[发明专利]一种用户异常行为检测方法、装置及系统

说明书

本发明提供了一种用户异常行为检测方法、装置及系统。其中的用户异常行为检测方法，包括：获得用户行为信息；从用户行为信息中提取与用户行为相关的用户行为特征值；根据用户行为特征值的聚类特性，计算每一类用户行为相关的用户行为特征值的聚类质心；以所述聚类质心为中心，确定用户正常行为的标准基线；计算用户行为信息的用户行为特征值与聚类质心的距离；将计算得到的距离与所述标准基线进行比较，判断用户行为信息是否属于异常行为信息。本发明通过采集用户行为信息并从中提取特征值，结合正常行为标准基线对提取的特征值进行聚类分析，判断用户行为的异常情况，从而简化了用户异常行为的判断过程，实现了对用户异常行为的快速、准确检测。

技术领域

本发明涉及网络用户行为监控技术领域，具体设计一种用户异常行为检测方法及系统。

背景技术

随着计算机及网络的普及和发展，不管是局域网还是广域网，网络用户的规模都在逐渐扩大，用户行为也越来越复杂，在此背景下，对用户行为的快速检测和有效控制显得尤为重要。聚类是将数据分类到不同的类或者簇这样的一个过程，所以同一个簇中的对象有很大的相似性，而不同簇间的对象有很大的相异性。聚类分析的目标是，组内的对象相互之间是相关的，而不同组内的对象是不相关的。组内的相似性越大，组间差别越大，聚类就越好。聚类可以看作是一种分类，它用类(簇)标记创建对象的标记，但只能从数据导出这些标号，因此聚类分析成为非监督分类。

现有异常检测的对象一般是本机当前的一段行为序列(记为q)，通过一定的方法来判断序列q是否存在异常。在判断过程中可以利用的资源有本机的历史行为序列h，以及本机所在网络环境的群体行为序列集合c。异常行为检测作为一种模式判定应用，往往存在一定的误判，因此需要从多角度对行为进行检测，练合做出判断，以降低误判的几率。

当前基于聚类的用户异常行为检测方法判断异常过程复杂，具有检测速度慢、检测不准确的问题。

发明内容

为解决当前基于聚类的用户异常行为检测方法判断异常过程复杂，具有检测速度慢、检测不准确的问题，本发明实施例提供了一种用户异常行为检测方法、装置及系统。

根据本发明实施例的一个方面，提供一种用户异常行为检测方法，包括：

获得用户行为信息；

从用户行为信息中提取与用户行为相关的用户行为特征值；

根据用户行为特征值的聚类特性，计算每一类用户行为相关的用户行为特征值的聚类质心；

以所述聚类质心为中心，确定用户正常行为的标准基线；

计算用户行为信息的用户行为特征值与聚类质心的距离；

将计算得到的距离与所述标准基线进行比较，判断用户行为信息是否属于异常行为信息。

可选择地，所述用户异常行为检测方法，还包括：

所述用户行为信息为预设周期内获得的全部用户行为信息。

所述根据用户行为特征值的聚类特性，计算每一类用户行为相关的用户行为特征值的聚类质心，包括：

从每一类用户行为特征值中选定一个初始质心；

计算用户行为信息的用户行为特征值与各个初始质心的距离；

指派用户行为信息的用户行为特征值给最小距离对应的初始质心；

重新计算每一类用户行为特征值的修正质心；

判断修正质心与初始质心是否变化，如果变化超过预设阈值则以修正心作为初始质心重新计算；如果变化不超过预设阈值则确定修正质心为该类用户行为特征值的聚类质心。

所述初始质心，采用随机选定或者指定的方式选定。