[发明专利]基于大数据的网络异常行为检测系统及其方法

权利要求书

1.一种基于大数据的网络异常行为检测系统，其特征在于，所述检测系统包括第一疑似异常视频判断模块和预标识添加判断模块，所述第一疑似异常视频判断模块用户在检测到某个视频的播放量满足一定条件时，获取当前时间与视频文件上传的时间的时间间隔，在时间间隔小于等于时间间隔阈值时，判断视频文件为第一疑似异常视频，所述预标识添加判断模块采集第一疑似异常视频的上传者的历史视频的播放情况以及在预设时间段内每次播放第一疑似异常视频的情况，据此判断是否给第一疑似异常视频添加异常预标识；

所述第一疑似异常视频判断模块包括播放量参考值计算模块和播放量参考值比较模块，所述播放量参考值计算模块根据视频文件的总播放量Hz和视频文件在预设时间段内的播放量Hf，计算播放量参考值Hc=Hf/Hz，所述播放量参考值比较模块比较播放量参考值和播放量参考阈值的关系，在播放量参考值大于等于播放量参考阈值时，获取当前时间与视频文件上传的时间的时间间隔；所述预标识添加判断模块包括参照视频选取模块、第一异常指数计算模块、第二异常指数计算模块和第二异常指数比较模块，所述参照视频选取模块采集第一疑似异常视频的上传者的历史视频的播放情况，将历史视频按照播放总量从大到小的顺序进行排序，依次选取排序前三的视频作为第一疑似异常视频的第一参照视频、第二参照视频和第三参照视频，所述第一异常指数计算模块采集第一疑似异常视频、第一参照视频、第二参照视频和第三参照视频播放情况，根据播放情况分别计算各个视频的第一异常指数，所述第二异常指数计算模块根据第一疑似异常视频、第一参照视频、第二参照视频和第三参照视频的异常指数计算第一疑似异常视频的第二异常指数，所述第二异常指数比较模块用于判断第二异常指数与第二异常指数阈值的关系，在第二异常指数大于等于第二异常指数阈值时，给播放视频添加视频异常预标识；

所述第一异常指数计算模块包括视频播放统计模块和第一异常指数输出模块，视频播放统计模块用于分别统计某个视频的播放总次数Pz、第一存疑播放次数P1、第二存疑播放次数P2、第三存疑播放次数P3、播放该视频的总用户数量Rz以及添加有异常用户标识的用户的数量Ry、所述第一异常指数输出模块根据视频播放统计模块统计的结果计算该视频的第一异常指数，其中，当某次播放该视频时，该视频的播放时长与该视频的总时长之比小于等于第一比值阈值，该次播放视频为第一存疑播放，当某次播放该视频时，该视频被以最大倍速播放时，该次播放视频为第二存疑播放，某次播放该视频的上一级页面的链接，如果上一级页面链接属于视频上传网站以外其他的网站，该次播放视频为第三存疑播放；

所述检测系统还包括异常用户标识添加模块和异常上传标识添加模块，所述异常用户标识添加模块包括异常参数计算模块和异常参数比较模块，所述异常参数计算模块用于获取某个用户的历史播放视频的总次数Yz、该用户以最大倍速播放视频的次数Yb以及播放某条视频时，播放该条视频时长与该条视频总时长之比小于等于第二比值阈值的次数Yd,并据此计算该用户的异常参数，所述异常参数比较模块用于将异常参数与异常参数阈值进行比较，在异常参数大于等于异常参数阈值时，那么给该用户添加异常用户标识，所述异常上传标识添加模块包括预标识占比计算模块和预标识占比比较模块，所述预标识占比计算模块统计第一疑似异常视频的上传者的所有视频个数Gz以及带有异常预标识的视频个数Gy，并据此计算预标识占比Gb=Gy/Gz，所述预标识占比比较模块将预标识占比与预标识占比阈值进行比较，在预标识占比大于等于预标识占比阈值时，给该上传者添加异常上传标识；

检测方法包括以下步骤：

步骤S1：当某个视频的播放量满足一定条件时，获取当前时间与视频文件上传的时间的时间间隔，如果时间间隔小于等于时间间隔阈值，视频文件为第一疑似异常视频，

步骤S2：采集第一疑似异常视频的上传者的历史视频的播放情况以及在预设时间段内每次播放第一疑似异常视频的情况，据此判断是否给第一疑似异常视频添加异常预标识；

所述步骤S1中当某个视频的播放量满足一定条件时包括以下：

获取某个视频文件的总播放量Hz和视频文件在预设时间段内的播放量Hf，计算播放量参考值Hc=Hf/Hz，当播放量参考值大于等于播放量参考阈值时，获取当前时间与视频文件上传的时间的时间间隔；

所述步骤S2进一步包括以下：

步骤S21：采集第一疑似异常视频的上传者的历史视频的播放情况，将历史视频按照播放总量从大到小的顺序进行排序，依次选取排序前三的视频作为第一疑似异常视频的第一参照视频、第二参照视频和第三参照视频；

步骤S22：采集第一疑似异常视频、第一参照视频、第二参照视频和第三参照视频的播放情况，根据播放情况分别计算各个视频的第一异常指数；

步骤S23：那么第一疑似异常视频的第二异常指数

Wv=0.72*W1a+0.28*(0.5*W1b+0.3*W1c+0.2*W1d),

其中，W1a、W1b、W1c、W1d分别为第一疑似异常视频、第一参照视频、第二参照视频和第三参照视频的第一异常指数；

步骤S24：判断第二异常指数与第二异常指数阈值的关系，当第二异常指数大于等于第二异常指数阈值时，给该第一疑似异常视频添加视频异常预标识；

所述步骤S22中根据播放情况分别计算各个视频的第一异常指数包括：

分别统计某个视频的播放总次数Pz、第一存疑播放次数P1、第二存疑播放次数P2、第三存疑播放次数P3、播放该视频的总用户数量Rz以及添加有异常用户标识的用户的数量Ry，

那么该视频的第一异常指数W1=0.63*(0.45*P1+0.2*P2+0.35*P3)/Pz+0.37*Ry/Rz，

其中，当某次播放该视频时，该视频的播放时长与该视频的总时长之比小于等于第一比值阈值，该次播放视频为第一存疑播放，

当某次播放该视频时，该视频被以最大倍速播放时，该次播放视频为第二存疑播放，

某次播放该视频的上一级页面的链接，如果上一级页面链接属于视频上传网站以外其他的网站，该次播放视频为第三存疑播放；

所述检测方法还包括：

获取某个用户的历史播放视频的总次数Yz、该用户以最大倍速播放视频的次数Yb以及播放某条视频时，播放该条视频时长与该条视频总时长之比小于等于第二比值阈值的次数Yd,

计算该用户的异常参数Yy=0.32*Yb/Yz+0.68*Yd/Yz，如果异常参数大于等于异常参数阈值，那么给该用户添加异常用户标识；

所述检测方法还包括：

统计第一疑似异常视频的上传者的所有视频个数Gz以及带有异常预标识的视频个数Gy，计算预标识占比Gb=Gy/Gz，当预标识占比大于等于预标识占比阈值时，给该上传者添加异常上传标识。