本公開提供了一種用戶異常行為檢測方法、裝置、電子設備及存儲介質，涉及互聯網技術領域。獲取目標用戶的用戶行為鏈數據，用戶行為鏈數據包括多個按時序排列的目標用戶的用戶狀態和每一用戶狀態的滯留時長；基于第一用戶狀態轉移至第二用戶狀態的轉移概率，得到轉移指數；基于第一用戶狀態的滯留時長與第一用戶狀態的正常時長范圍，得到滯留指數；將轉移指數和滯留指數結合，得到第二用戶狀態的異常指數；將第二用戶狀態的異常指數和歷史用戶狀態的異常指數結合，得到用戶行為異常指數；基于用戶行為異常指數，確定目標用戶的用戶行為是否存在異常。本公開可判斷用戶的異常行為發出告警，并且可以做到實時檢測實時報告，計算簡便，實用性強。

技術領域

本公開涉及互聯網技術領域，尤其涉及一種用戶異常行為檢測方法、裝置、電子設備及存儲介質。

背景技術

在互聯網應用中，由于超文本傳輸協議HTTP的無狀態性，服務器端無法直接判斷用戶的狀態。如果遇到用戶賬戶被盜、攻擊前期試探、非法爬蟲等異常的用戶行為將對網絡安全產生惡劣影響。如何判斷用戶的異常行為成為重要的議題。

目前對用戶異常行為的檢測一種是結合業務規律通過規則的方法挑選出可疑用戶，然后依靠人工的方法去判斷異常行為。這種方式只能事后追溯，自動化程度低，需要消耗大量人力物力；或者是采用復雜的模型，例如多階的馬爾科夫模型，模型復雜難以訓練，檢測時計算量很大，另外沒有考慮狀態的時長等因素的影響，導致誤報率高。

需要說明的是，在上述背景技術部分公開的信息僅用于加強對本公開的背景的理解，因此可以包括不構成對本領域普通技術人員已知的現有技術的信息。

發明內容

本公開提供一種用戶異常行為檢測方法、裝置、電子設備及存儲介質，至少在一定程度上克服相關技術中無法快速準確地識別用戶異常行為的技術問題。

本公開的其他特性和優點將通過下面的詳細描述變得顯然，或部分地通過本公開的實踐而習得。

根據本公開的一個方面，提供一種用戶異常行為檢測方法，包括：

獲取目標用戶的用戶行為鏈數據，所述用戶行為鏈數據包括多個按時序排列的所述目標用戶的用戶狀態和每一用戶狀態的滯留時長；

基于第一用戶狀態轉移至第二用戶狀態的轉移概率，得到轉移指數，所述轉移概率通過預訓練的馬爾科夫模型確定，所述第一用戶狀態和所述第二用戶狀態為所述用戶行為鏈數據中前后相鄰的兩個用戶狀態；

基于第一用戶狀態的滯留時長與第一用戶狀態的正常時長范圍，得到滯留指數，所述正常時長范圍通過拉依達準則確定；

將所述轉移指數和所述滯留指數結合，得到第二用戶狀態的異常指數；

將所述第二用戶狀態的異常指數和歷史用戶狀態的異常指數結合，得到用戶行為異常指數，所述歷史用戶狀態包括所述用戶行為鏈數據中所述第二用戶狀態之前的用戶狀態；

基于所述用戶行為異常指數，確定所述目標用戶的用戶行為是否存在異常。

在本公開的一個實施例中，在基于第一用戶狀態轉移至第二用戶狀態的轉移概率，得到轉移指數之前，所述方法還包括：

采集正常用戶行為鏈數據，所述正常用戶行為鏈數據包括多個按時序排列的用戶狀態；

基于所述正常用戶行為鏈數據中的用戶狀態訓練馬爾科夫模型；

基于訓練后的馬爾科夫模型，得到所述目標用戶的用戶行為鏈數據中不同用戶狀態之間的轉移概率。

在本公開的一個實施例中，在基于所述滯留時長與正常時長范圍的關系，得到狀態滯留指數之前，所述方法還包括：

采集正常用戶行為鏈數據，所述正常用戶行為鏈數據包括多個用戶狀態的滯留時長；