本發明提供了一種用戶異常行為檢測方法、裝置及系統。其中的用戶異常行為檢測方法，包括：獲得用戶行為信息；從用戶行為信息中提取與用戶行為相關的用戶行為特征值；根據用戶行為特征值的聚類特性，計算每一類用戶行為相關的用戶行為特征值的聚類質心；以所述聚類質心為中心，確定用戶正常行為的標準基線；計算用戶行為信息的用戶行為特征值與聚類質心的距離；將計算得到的距離與所述標準基線進行比較，判斷用戶行為信息是否屬于異常行為信息。本發明通過采集用戶行為信息并從中提取特征值，結合正常行為標準基線對提取的特征值進行聚類分析，判斷用戶行為的異常情況，從而簡化了用戶異常行為的判斷過程，實現了對用戶異常行為的快速、準確檢測。

技術領域

本發明涉及網絡用戶行為監控技術領域，具體設計一種用戶異常行為檢測方法及系統。

背景技術

隨著計算機及網絡的普及和發展，不管是局域網還是廣域網，網絡用戶的規模都在逐漸擴大，用戶行為也越來越復雜，在此背景下，對用戶行為的快速檢測和有效控制顯得尤為重要。聚類是將數據分類到不同的類或者簇這樣的一個過程，所以同一個簇中的對象有很大的相似性，而不同簇間的對象有很大的相異性。聚類分析的目標是，組內的對象相互之間是相關的，而不同組內的對象是不相關的。組內的相似性越大，組間差別越大，聚類就越好。聚類可以看作是一種分類，它用類(簇)標記創建對象的標記，但只能從數據導出這些標號，因此聚類分析成為非監督分類。

現有異常檢測的對象一般是本機當前的一段行為序列(記為q)，通過一定的方法來判斷序列q是否存在異常。在判斷過程中可以利用的資源有本機的歷史行為序列h，以及本機所在網絡環境的群體行為序列集合c。異常行為檢測作為一種模式判定應用，往往存在一定的誤判，因此需要從多角度對行為進行檢測，練合做出判斷，以降低誤判的幾率。

當前基于聚類的用戶異常行為檢測方法判斷異常過程復雜，具有檢測速度慢、檢測不準確的問題。

發明內容

為解決當前基于聚類的用戶異常行為檢測方法判斷異常過程復雜，具有檢測速度慢、檢測不準確的問題，本發明實施例提供了一種用戶異常行為檢測方法、裝置及系統。

根據本發明實施例的一個方面，提供一種用戶異常行為檢測方法，包括：

獲得用戶行為信息；

從用戶行為信息中提取與用戶行為相關的用戶行為特征值；

根據用戶行為特征值的聚類特性，計算每一類用戶行為相關的用戶行為特征值的聚類質心；

以所述聚類質心為中心，確定用戶正常行為的標準基線；

計算用戶行為信息的用戶行為特征值與聚類質心的距離；

將計算得到的距離與所述標準基線進行比較，判斷用戶行為信息是否屬于異常行為信息。

可選擇地，所述用戶異常行為檢測方法，還包括：

所述用戶行為信息為預設周期內獲得的全部用戶行為信息。

所述根據用戶行為特征值的聚類特性，計算每一類用戶行為相關的用戶行為特征值的聚類質心，包括：

從每一類用戶行為特征值中選定一個初始質心；

計算用戶行為信息的用戶行為特征值與各個初始質心的距離；

指派用戶行為信息的用戶行為特征值給最小距離對應的初始質心；

重新計算每一類用戶行為特征值的修正質心；

判斷修正質心與初始質心是否變化，如果變化超過預設閾值則以修正心作為初始質心重新計算；如果變化不超過預設閾值則確定修正質心為該類用戶行為特征值的聚類質心。

所述初始質心，采用隨機選定或者指定的方式選定。