[发明专利]一种异常行为检测方法及系统

权利要求书

1.一种异常行为检测方法，其特征在于，根据用户的页面访问行为数据，确定页面访问行为序列、以及与所述页面访问行为序列对应的频繁规则，并对所述频繁规则进行判断；根据判断结果中的异常频繁规则，生成异常行为规则库；所述方法还包括：

获取待检测行为信息；

将所述待检测行为信息与所述异常行为规则库中的行为进行匹配，匹配成功时，将所述待检测行为信息判定为异常行为信息；

其中，所述用户的页面访问行为数据包括：用户号码、会话编号、页面名称、页面类型、以及页面访问时间；

所述根据用户的页面访问行为数据，确定页面访问行为序列，包括：

获取当前用户的所有页面访问行为数据，对所述页面访问行为数据中需检测的页面类型进行特殊标识，并根据所述会话编号和所述页面访问时间，对用户的访问页面进行排序，将用户的访问页面类型的编号进行序列化，得到所述页面访问行为序列。

2.根据权利要求1所述的方法，其特征在于，在所述将所述待检测行为信息判定为异常行为信息之后，所述方法还包括：将所述待检测行为信息的判定结果保存至所述异常行为规则库中。

3.根据权利要求1所述的方法，其特征在于，在所述确定与所述页面访问行为序列对应的频繁规则之前，所述方法还包括：对所述用户的访问页面类型的编号进行去重。

4.一种异常行为检测系统，其特征在于，所述系统包括：确定模块、判断模块、生成模块、获取模块、匹配模块；其中，

所述确定模块，用于根据用户的页面访问行为数据，确定页面访问行为序列、以及与所述页面访问行为序列对应的频繁规则；

所述判断模块，用于对所述频繁规则进行判断；

所述生成模块，用于根据判断结果中的异常频繁规则，生成异常行为规则库；

所述获取模块，用于获取待检测行为信息；

所述匹配模块，用于将所述待检测行为信息与所述异常行为规则库中的行为进行匹配，匹配成功时，则将所述待检测行为信息判定为异常行为信息；

其中，所述用户的页面访问行为数据包括：用户号码、会话编号、页面名称、页面类型、以及页面访问时间；

所述确定模块，具体用于：获取当前用户的所有页面访问行为数据，对所述页面访问行为数据中需检测的页面类型进行特殊标识，并根据所述会话编号和所述页面访问时间，对用户的访问页面进行排序，将用户的访问页面类型的编号进行序列化，得到所述页面访问行为序列。

5.根据权利要求4所述的系统，其特征在于，所述生成模块，还用于在所述匹配模块将所述待检测行为信息判定为异常行为信息之后，将所述待检测行为信息的判定结果保存至所述异常行为规则库中。

6.根据权利要求4所述的系统，其特征在于，所述系统还包括：去重模块，用于在所述确定模块确定与所述页面访问行为序列对应的频繁规则之前，对所述用户的访问页面类型的编号进行去重。