[发明专利]一种数据异常检测方法、装置及终端设备

权利要求书

1.一种数据异常检测方法，其特征在于，所述方法包括：

获取用户访问目标服务器的目标数据；

根据所述目标数据，确定所述用户所访问的第一资源序列信息；

获取所述第一资源序列信息中包含的第一点击事件，并对每个所述第一点击事件进行分类，得到每个所述第一点击事件所属的事件类型；

根据得到的所述事件类型构建的马尔可夫链和预先训练的马尔可夫转移矩阵，确定所述马尔可夫链中每相邻两个状态之间的第一转移概率；

基于所述马尔可夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常；

所述对每个所述第一点击事件进行分类，得到每个所述第一点击事件所属的事件类型，包括：

分别计算所述第一点击事件与点击事件类的相似度，将相似度最高的点击事件类确定为所述第一点击事件所属的事件类型，所述点击事件类为所述点击事件对应的事件类型。

2.根据权利要求1所述的方法，其特征在于，在所述获取用户访问目标服务器的目标数据之前，所述方法还包括：

获取用户访问所述目标服务器的样本数据；

根据所述样本数据，确定所述用户所访问的第二资源序列信息；

获取所述第二资源序列信息中包含的第二点击事件，并对每个所述第二点击事件进行分类，得到每个所述第二点击事件所属的点击事件类；

获取所述点击事件类之间的第二转移概率；

由所述点击事件类之间的第二转移概率构建所述预先训练的马尔可夫转移矩阵。

3.根据权利要求2所述的方法，其特征在于，所述第二点击事件包含一个或多个URI，所述对每个所述第二点击事件进行分类，得到每个所述第二点击事件所属的点击事件类，包括：

根据预设转换规则，对每个所述第二点击事件包含的URI进行转换，得到转换值；

基于所述转换值，计算每两个所述第二点击事件之间的相似度；

如果所述相似度大于预设分类阈值，则将所述相似度对应的两个第二点击事件划分为一个点击事件类，以确定每个所述第二点击事件所属的点击事件类。

4.根据权利要求3所述的方法，其特征在于，所述分别计算所述第一点击事件与所述点击事件类的相似度，包括：

确定每个所述点击事件类中的代表点击事件；

分别计算所述第一点击事件与每个所述点击事件类中的代表点击事件之间的相似度。

5.根据权利要求1所述的方法，其特征在于，所述基于所述马尔可夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常，包括：

如果所述第一转移概率中包含小于预设概率阈值的目标转移概率，且所述目标转移概率的数量大于第一预设阈值，则所述目标服务器的访问出现异常。

6.根据权利要求1所述的方法，其特征在于，所述基于所述马尔可夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常，包括：

将所述马尔可夫链中概率值非零的所述第一转移概率相乘，得到相应的乘积，并获取所述乘积的预定次数方根；

如果所述预定次数方根小于第二预设阈值，则所述目标服务器的访问出现异常。

7.根据权利要求2所述的方法，其特征在于，所述方法还包括：

对所述目标数据和所述样本数据进行预处理，其中，所述预处理包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测。