[发明专利]异常检测方法、装置、计算机设备及存储介质

说明书

本发明公开一种异常检测方法，包括：获取用户进行注册或验证时的操作终端数据，其中，操作终端数据为包括设备类型、系统信息和IP地址中的两种或两种以上的组合数据；将操作终端数据输入至组合检测模型中进行检测以得到组合结果信息，其中，组合检测模型中包括两个或两个以上的检测模型，每个检测模型均输出对应的子结果，多个子结果生成组合结果信息；对组合结果信息进行投票，以得到最终结果信息。本申请中采用特征转化方法，将难以理解的多个属性数据结合样本分布情况，转化为0‑1二值的组合特征，生成具有区分性的组合特征集合，构建Bagging策略下的检测模型，较为全面的判断注册、验证用户是否异常，提高了异常检测的准确率。

技术领域

本发明涉及计算机应用技术领域，具体而言，本发明涉及一种异常检测方法、装置、计算机设备及存储介质。

背景技术

用户异常行为是指违反社会文明准则或成群体行为习惯和标准的“反常”行为。特别是随着人们对公共安全意识、网络安全意识的提高，因此对人群场景、网络等环境中的异常行为检测的关注度越来越高。

目前对用户行为异常检测，通常依据个体异常行为的特征进行匹配检测，或依据个体正常行为的特征进行对比检测。但由于样本的属性基本为标称属性，仅分辨率等少量属性为数值型。复杂的文本型设备数据和难以理解的标称属性数据，难以挖掘有效分类特征，进而不能得到好的异常检测模型，导致了异常检测的准确率很低。

发明内容

本发明的目的旨在至少能解决上述的技术缺陷之一，公开一种异常检测方法、装置、计算机设备及存储介质，能够全面地获取光标的触发数据，以精确地识别异常的光标触发数据。

为了达到上述目的，本发明公开一种异常检测方法，包括：

获取用户进行注册或验证时的操作终端数据，其中，所述操作终端数据为包括设备类型、系统信息和IP地址中的两种或两种以上的组合数据；

将所述操作终端数据输入至组合检测模型中进行检测以得到组合结果信息，其中，所述组合检测模型中包括两个或两个以上的检测模型，每个所述检测模型均输出对应的子结果，多个所述子结果生成组合结果信息；

对所述组合结果信息进行投票，以得到最终结果信息。

可选的，所述组合检测模型中的检测模型包括：Naive Bayes检测模型、正类的OneClassSVM检测模型、负类的OneClassSVM检测模型、正类的孤立森林分类与检测模型和负类的孤立森林分类与检测模型。

可选的，所述组合检测模型的训练方法包括：

获取样本数据以构造组合特征集，其中，所述组合特征集包括正样本和负样本；

所述Naive Bayes检测模型同时学习正样本和负样本的识别；

所述正类的OneClassSVM检测模型和所述正类的孤立森林分类与检测模型学习正样本的识别；

所述负类的OneClassSVM检测模型和负类的孤立森林分类与检测模型学习负样本的识别。

可选的，所述获取样本数据以构造组合特征集的方法包括：

将通过至少两种获取方式而获取的用户注册或验证时的操作终端数据作为样本数据，其中，所述获取方式包括通过爬虫算法获取、设备检测获得以及从用户发送的注册或验证信息中获取；

计算每一种获取方式所获取的样本数据的支持度和置信度；

选取所述支持度和置信度最大的操作终端数据的组合作为基准数据；

将每一种所述获取方式所获取的操作终端数据与所述基准数据的比对结果按照第一规则进行标记，构成特征集。