1.一種方法，包括：

檢測與安全系統內的用戶活動有關的多個事件，其中所述事件由多個屬性所定義，其中至少一個屬性是分類的，并且其中事件之間的數據距離是事件屬性的函數；

通過使用基于密度的異常檢測方法f(r)來評估所檢測的事件，其中r是表示所述事件的數據點周圍鄰域的大小；

將所評估的表達式的值與邊緣閾值(msg(r))相比較；以及

在檢測到所述值超過所述閾值時設置告警。

2.如權利要求1中的方法，其中所述事件屬性的函數進一步包括將事件的訪問點識別符（ID）關聯到所述安全區域內的多個安全地帶中預定的一個，其中基于安全地帶的空間布置來確定事件間的距離，并且其中所述距離被用來建立表示所述事件的數據點周圍鄰域的概念。

3.如權利要求1中的方法，其中所述事件屬性的函數進一步包括將所述事件的用戶ID關聯到所述安全區域內的多個用戶角色中預定的一個，其中基于所關聯的用戶角色的相似性來確定事件之間的距離，并且其中所述距離被用來建立表示所述事件的數據點周圍鄰域的概念。

4.如權利要求1中的方法，其中所述事件屬性的函數進一步包括將所述事件的用戶ID關聯到所述安全區域內的多個安全地帶中預定的一個，其中基于所關聯的安全地帶之間的區別來確定事件之間的距離，并且其中所述距離被用來建立表示所述事件的數據點周圍鄰域的概念。

5.如權利要求1中的方法，其中所述函數進一步包括連續數據值，所述連續數據值包括以下中的至少一個：進入到安全區域中的時間、每個時間段進入到安全區域中的頻率、每次進入之后停留在安全區域內的持續時間、在安全區域內從一個安全地帶行進到另一個的頻率以及未進入到安全區域中的持續時間。

6.如權利要求5中的方法，進一步包括針對與用戶的每個分類值相關聯的每個連續數據值函數構建連續屬性分布。

7.如權利要求6中的方法，進一步包括使用至少包括針對兩個分布所定義的Kullback-Leibler散度或互信息的相似性度量來定義相似性度量。

8.如權利要求7中的方法，進一步包括將相似性轉化成距離測量，并使用其來建立表示所述事件的數據點周圍鄰域的概念。

9.一種設備，包括：

事件處理器，其檢測與安全系統內的用戶活動有關的多個事件，其中所述事件由多個屬性所定義，其中至少一個屬性是分類的，并且其中事件間的數據距離是事件屬性的函數；

評估處理器，其通過使用基于密度的異常檢測方法f(r)來評估所檢測的事件，其中r是表示所述事件的數據點周圍鄰域的大小；

比較處理器，其將所評估的表達式的值與邊緣閾值(msg(r))進行比較；以及

告警處理器，其在檢測到所述值超過所述閾值時設置告警。

10.如權利要求9中的裝置，其中所述事件處理器和所述事件屬性的函數進一步包括處理器，其將事件的訪問點識別符（ID）關聯到所述安全區域內的多個安全地帶中預定的一個，其中基于所述安全地帶的空間布置來確定事件間的距離，并且其中所述距離被用來建立表示所述事件的數據點周圍鄰域的概念。

11.如權利要求9中的裝置，其中所述事件處理器和所述事件屬性的函數進一步包括處理器，其將所述事件的用戶ID關聯到所述安全區域內的多個用戶角色中預定的一個，其中基于所關聯的用戶角色的相似性來確定事件間的距離，并且其中所述距離被用來建立表示所述事件的數據點周圍鄰域的概念。

12.如權利要求9中的裝置，其中所述事件處理器和所述事件屬性的函數進一步包括處理器，其將所述事件的用戶ID關聯到所述安全區域內的多個安全地帶中預定的一個，其中基于所關聯的安全地帶之間的區別來確定事件間的距離，并且其中所述距離被用來建立表示所述事件的數據點周圍鄰域的概念。

13.如權利要求9中的裝置，其中所述函數進一步包括連續數據值，所述連續數據值包括以下中的至少一個：進入到安全區域中的時間、每個時間段進入到安全區域中的頻率、每次進入之后停留在安全區域內的持續時間、在安全區域內從一個安全地帶行進到另一個的頻率以及未進入到安全區域中的持續時間。

14.如權利要求13中的裝置，進一步包括針對與用戶的每個分類值相關聯的每個連續數據值函數構建連續屬性分布。

15.如權利要求14中的裝置，進一步包括使用至少包括針對兩個分布所定義的Kullback-Leibler散度或互信息的相似性度量來定義相似性度量。