[发明专利]将用户行为分类为异常

说明书

用于将用户行为分类为异常的方法、系统和装置，包括在计算机存储介质上编码的计算机程序。一种方法包括获取表示在主体系统中用户的行为的用户行为数据。从训练数据生成初始模型，初始模型具有训练数据的第一特性特征。根据训练数据和测试时间段的第一表示的多个实例生成重采样模型。计算初始模型和重采样模型之间的差异。基于初始模型和重采样模型之间的差异，测试时间段中的用户行为被分类为异常。

技术领域

本说明书涉及检测大型数据集中的异常。

背景技术

用于检测大数据集中的异常的技术可以用于数据处理应用的多个领域，包括计算机网络安全和保健。

发明内容

本说明书描述了数据处理系统可以如何根据利用指示在一个或多个特定数据处理系统中用户访问的资源的数据的各种技术，将用户行为分类为异常或非异常。即使用户可能有权访问所有访问的资源，系统仍然可以将某些用户的行为归类为可疑的。

通常，本说明书中描述的主题的一个创新方面可以体现在包括以下动作的方法：获得表示在主体系统中用户的行为的用户行为数据，其中所述用户行为数据指示所述用户在主体系统中访问的一个或多个资源，以及对于用户访问的每个资源，该资源何时被访问；从用户行为数据生成测试数据，所述测试数据包括在测试时间段期间由所述用户访问的资源的第一表示；从用户行为数据生成训练数据，所述训练数据包括在测试时间段之前的多个时间段中的每个时间段中由用户访问的资源的相应的第二表示；从训练数据生成初始模型，所述初始模型具有训练数据的第一特性特征；从训练数据以及从测试时间段的第一表示的多个实例生成重采样模型，所述重采样模型具有训练数据的第二特性特征和测试时间段的第一表示的多个实例；计算初始模型和重采样模型之间的差异，包括比较训练数据的第一特性特征和训练数据的第二特性特征以及测试时间段的第一表示的多个实例；以及基于初始模型和重采样模型之间的差异，将测试时间段中的用户行为分类为异常。这个方面的其他实施例包括记录在一个或多个计算机存储设备上的对应的计算机系统、装置和计算机程序，每个计算机程序被配置为执行这些方法的动作。对于被配置为执行特定操作或动作的一个或多个计算机系统，意味着该系统上已经安装了软件、固件、硬件或者它们的组合，这些软件、固件、硬件或者它们的组合在操作中使系统执行操作或动作。对于被配置为执行特定操作或动作的一个或多个计算机程序意味着所述一个或多个程序包括在由数据处理装置执行时使装置执行操作或动作的指令。

前述和其它实施例可以各自任选地包括单独或组合的一个或多个以下特征。用户行为数据包括用户访问记录，每个用户访问记录表示在文件系统中用户访问的文件夹或文件。该动作包括对第一矩阵执行主分量分析以生成第一矩阵的第一多个主分量；从训练数据的多个向量生成第二矩阵；和对第二矩阵执行主分量分析以生成第二矩阵的第二多个主分量，其中计算初始模型和重采样模型之间的差异包括计算第一多个主分量和第二多个主分量中的一个或多个主分量之间的角度。该动作包括生成包括训练数据的向量和测试数据的相同向量的N个实例的第一矩阵；对第一矩阵执行奇异值分解以生成第一矩阵的第一多个主分量；从训练数据的多个向量生成第二矩阵；和对第二矩阵执行奇异值分解以生成第二矩阵的第二多个主成分，其中计算初始模型和重采样模型之间的差异包括计算第一多个主分量和第二多个主分量中的一个或多个主分量之间的角度。