[发明专利]一种用户异常行为识别方法、装置及计算机可读存储介质

说明书

本发明公开了一种用户异常行为识别方法、装置及计算机可读存储介质，属于计算机技术领域。方法包括：获取用户的行为相关联的时间序列数据以及空间序列数据；根据时间序列数据中预设时间点之前的多个指标实际值，通过ARIMA模型预测用户在预设时间点时的指标置信区间；对用户在预设时间点时的指标实际值与对应的指标置信区间进行比较，获得针对用户的行为的第一检测结果；根据空间序列数据，通过预先训练好的SOM神经网络模型进行异常检测，获得针对用户的行为的第二检测结果；根据第一检测结果和第二检测结果，对用户的行为进行异常识别。本发明实施例能够实现准确可靠地识别出用户异常行为。

技术领域

本发明涉及计算机技术领域，尤其涉及一种用户异常行为识别方法、装置及计算机可读存储介质。

背景技术

信息安全是一个日益突出的人们话题。常用的网络、app账号被盗可能会造成信息泄露，资金被转走，或者被作为跳板对重要资产进行一系列的攻击行为。很多行业没有明确的认定和追查方法，因而最大的受害者往往是用户本身。由于账号权限的区别，很难简单判断多大范围的活动程度被认为有违规行为，由于业务的复杂性，也很难准确地判断账号是处于正常状态还是异常状态。异常状态是一种由各种异常活动产生的与用户常规不符的现象或事件。

目前对用户异常行为的识别，通常采用K-Means聚类这种无监督机器学习地算法，但是K-Means算法需事先确定类的个数（k），并且为每个输入数据找到一个最相似的类后，只更新这个类的参数，因此存在受初值和受噪声数据的影响而导致每次的结果不稳定，从而导致无法准确可靠地识别出风险用户。

发明内容

为了解决上述背景技术中提到的技术问题，本发明提供了一种用户异常行为识别方法、装置及计算机可读存储介质，以实现准确可靠地识别出用户异常行为。

本发明实施例提供的具体技术方案如下：

第一方面，提供一种用户异常行为识别方法，其特征在于，所述方法包括：

获取用户的行为相关联的时间序列数据以及空间序列数据；

根据所述时间序列数据中预设时间点之前的多个指标实际值，通过ARIMA模型预测所述用户在所述预设时间点时的指标置信区间；

对所述用户在所述预设时间点时的指标实际值与对应的所述指标置信区间进行比较，获得针对所述用户的行为的第一检测结果；

根据所述空间序列数据，通过预先训练好的SOM神经网络模型进行异常检测，获得针对所述用户的行为的第二检测结果；

根据所述第一检测结果和所述第二检测结果，对所述用户的行为进行异常识别。

进一步地，所述ARIMA模型是通过如下方式构建得到：

获取样本用户的行为相关联的时间序列样本数据；

对所述时间序列样本数据进行平稳性检验，对于检验不通过的所述时间序列样本数据进行差分处理，得到平稳时间序列样本数据；

针对所述平稳时间序列样本数据，建立初始ARIMA模型，并根据所述平稳时间序列样本数据的自相关系数以及偏自相关系数，确定所述初始ARIMA模型的自回归阶数和移动平均阶数的范围；

采用AIC信息准则，确定出所述初始ARIMA模型最优的自回归阶数和移动平均阶数的组合，构建得到所述ARIMA模型。

进一步地，所述SOM神经网络模型是通过如下方式训练得到：

S1，初始化预设的SOM神经网络中每个神经元的权重；

S2，获取样本用户的行为相关联的空间序列样本数据，并对各个所述空间序列样本数据进行归一化处理，得到训练样本集；