[发明专利]基于频繁行为序列模式的异常行为检测方法及系统有效
| 申请号: | 201810661474.9 | 申请日: | 2018-06-25 |
| 公开(公告)号: | CN110704773B | 公开(公告)日: | 2022-06-03 |
| 发明(设计)人: | 张振海;罗剑江;胡泽柱 | 申请(专利权)人: | 顺丰科技有限公司 |
| 主分类号: | G06F16/958 | 分类号: | G06F16/958 |
| 代理公司: | 北京瑞盟知识产权代理有限公司 11300 | 代理人: | 刘昕 |
| 地址: | 518000 广东省深圳市南山区学府路(以南)*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 频繁 行为 序列 模式 异常 检测 方法 系统 | ||
1.一种基于频繁行为序列模式的异常行为检测方法,其特征在于,所述方法包括如下步骤:
根据所采集的数据,生成频繁行为序列模式集合;
删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,首先将行为序列数据按照时间划分成多个数据块,然后在每个数据块上构建相应模型,并基于集成学习框架对异常行为检测模型集合进行融合和动态更新;
利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
2.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,根据所采集的数据,生成所述频繁行为序列模式集合的过程包括:
将所采集的数据按照时间划分为若干数据块;
针对数据块内的所有行为序列,生成行为序列模式,并统计每个行为序列模式的计数,得到行为序列模式集合;
计算行为序列模式集合中每个行为序列模式的支持度,得到行为序列模式支持度集合;
设定最小支持度阈值,挑选出行为序列模式支持度集合中大于最小支持度阈值的行为序列模式,组成新的集合,即为频繁行为序列模式集合。
3.根据权利要求2所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,所述支持度的定义为:
在行为序列模式集合中,任一行为序列模式的出现次数与该行为序列模式集合的大小之比,即为该行为序列模式的支持度。
4.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,剔除所述频繁行为序列模式集合中的所有子行为序列模式,对所述频繁行为序列模式集合进行压缩的过程包括:
从频繁行为序列模式集合中任选一个未被访问过的频繁行为序列模式Bip,针对集合中除了Bip以外的任一频繁行为序列模式Bjp,如果Bjp为Bip子行为序列,则将Bjp从集合中删除;
如果不存在未被访问过的频繁行为序列模式,则输出所述频繁行为序列模式集合,否则重复上一步骤。
5.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,所述异常行为检测模型集合包括多个压缩后的频繁行为序列模式。
6.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,对所述异常行为检测模型集合进行动态更新的过程包括:
对于当前构建的异常行为检测模型集合,使用每一个模型对新产生的行为序列模式集合中的每一个行为序列模式进行预测,并根据预测结果将超过半数的结果作为最终输出结果;
根据最终输出结果计算各个异常行为检测模型的准确率,将准确率最低的异常行为检测模型从异常行为检测模型集合中删除,得到动态更新后的异常行为检测模型集合。
7.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,所述利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测的过程包括:
利用动态更新后的异常行为检测模型集合中的各个模型对新产生的行为序列模式集合中的每个行为序列模式进行预测,得到预测结果;
针对每个行为序列模式,将超过多半数的预测结果作为最终预测结果。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于顺丰科技有限公司,未经顺丰科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810661474.9/1.html,转载请声明来源钻瓜专利网。
