[发明专利]用户异常行为检测方法、装置、电子设备、介质及程序

权利要求书

1.一种用户异常行为检测方法，其特征在于，包括：

根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率；其中，所述目标用户的待分析行为包括多个维度的行为数据，所述目标用户的待分析行为对应的第一行为概率曲线是根据所述目标用户的第一维度历史行为数据得到的；

根据所述第一概率，初步确定所述目标用户的待分析行为是否存在异常；

在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率；其中，所述目标用户所属用户组是根据用户的多个维度的历史行为数据聚类得到的多个用户组中的一个，所述目标用户所属用户组的第二行为概率曲线是根据所述目标用户所属用户组中的每一用户的第一维度历史行为数据得到的；

根据所述第二概率，确定所述目标用户的待分析行为是否异常。

2.根据权利要求1所述的用户异常行为检测方法，其特征在于，在所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率之前，方法还包括：

确定所述目标用户的待分析行为与目标用户的行为基线之间的差值，在所述差值不超出预设阈值的情况下，确定所述待分析行为正常；其中，所述目标用户的行为基线是根据所述目标用户的历史行为数据得到的；

在所述差值超出所述预设阈值的情况下，执行所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率的步骤。

3.根据权利要求1所述的用户异常行为检测方法，其特征在于，所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率，包括：

根据所述目标用户的每一行为维度与相应维度的行为概率曲线之间的对应关系，确定出第一维度相应的行为概率曲线，作为所述第一行为概率曲线；

将所述第一行为概率曲线上，所述待分析行为的第一维度的行为数据对应的概率，确定为所述目标用户发生所述待分析行为的第一概率。

4.根据权利要求3所述的用户异常行为检测方法，其特征在于，在所述根据所述待分析行为的第一维度的行为数据，从所述第一用户的多个维度相应的多条行为概率曲线中确定出第一维度相应的行为概率曲线，作为所述第一行为概率曲线之前，方法还包括：

根据所述目标用户的第一维度历史行为数据，利用核密度估计算法，生成所述目标用户的第一维度的行为概率曲线；其中，所述第一维度历史行为数据是多个维度的历史行为数据中的一个维度的历史行为数据。

5.根据权利要求1所述的用户异常行为检测方法，其特征在于，所述根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率，包括：

确定所述目标用户所属的用户组；

根据所述目标用户所属的用户组中每一行为维度与相应维度的行为概率曲线之间的对应关系，确定出第一维度相应的行为概率曲线，作为所述第二行为概率曲线；

将所述第二行为概率曲线上，所述待分析行为的第一维度的行为数据对应的概率，确定为所述目标用户发生所述待分析行为的第二概率。

6.根据权利要求1所述的用户异常行为检测方法，其特征在于，在所述在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率之前，方法还包括：

根据每一用户的多个维度的历史行为数据，利用聚类算法，对多个用户进行聚类分组，得到所述多个用户组。

7.根据权利要求6所述的用户异常行为检测方法，其特征在于，在所述根据每一用户的多个维度的历史行为数据，利用聚类算法，对多个用户进行聚类分组，得到所述多个用户组之后，方法还包括：

对于每一用户组，根据用户组中各个用户的第二维度历史行为，利用核密度估计算法，生成该用户组的第二维度的行为概率曲线；其中，所述第二维度是多个行为维度中的一个。