[发明专利]用户异常行为检测方法、装置、电子设备及存储介质

说明书

本公开提供了一种用户异常行为检测方法、装置、电子设备及存储介质，涉及互联网技术领域。获取目标用户的用户行为链数据，用户行为链数据包括多个按时序排列的目标用户的用户状态和每一用户状态的滞留时长；基于第一用户状态转移至第二用户状态的转移概率，得到转移指数；基于第一用户状态的滞留时长与第一用户状态的正常时长范围，得到滞留指数；将转移指数和滞留指数结合，得到第二用户状态的异常指数；将第二用户状态的异常指数和历史用户状态的异常指数结合，得到用户行为异常指数；基于用户行为异常指数，确定目标用户的用户行为是否存在异常。本公开可判断用户的异常行为发出告警，并且可以做到实时检测实时报告，计算简便，实用性强。

技术领域

本公开涉及互联网技术领域，尤其涉及一种用户异常行为检测方法、装置、电子设备及存储介质。

背景技术

在互联网应用中，由于超文本传输协议HTTP的无状态性，服务器端无法直接判断用户的状态。如果遇到用户账户被盗、攻击前期试探、非法爬虫等异常的用户行为将对网络安全产生恶劣影响。如何判断用户的异常行为成为重要的议题。

目前对用户异常行为的检测一种是结合业务规律通过规则的方法挑选出可疑用户，然后依靠人工的方法去判断异常行为。这种方式只能事后追溯，自动化程度低，需要消耗大量人力物力；或者是采用复杂的模型，例如多阶的马尔科夫模型，模型复杂难以训练，检测时计算量很大，另外没有考虑状态的时长等因素的影响，导致误报率高。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开提供一种用户异常行为检测方法、装置、电子设备及存储介质，至少在一定程度上克服相关技术中无法快速准确地识别用户异常行为的技术问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一个方面，提供一种用户异常行为检测方法，包括：

获取目标用户的用户行为链数据，所述用户行为链数据包括多个按时序排列的所述目标用户的用户状态和每一用户状态的滞留时长；

基于第一用户状态转移至第二用户状态的转移概率，得到转移指数，所述转移概率通过预训练的马尔科夫模型确定，所述第一用户状态和所述第二用户状态为所述用户行为链数据中前后相邻的两个用户状态；

基于第一用户状态的滞留时长与第一用户状态的正常时长范围，得到滞留指数，所述正常时长范围通过拉依达准则确定；

将所述转移指数和所述滞留指数结合，得到第二用户状态的异常指数；

将所述第二用户状态的异常指数和历史用户状态的异常指数结合，得到用户行为异常指数，所述历史用户状态包括所述用户行为链数据中所述第二用户状态之前的用户状态；

基于所述用户行为异常指数，确定所述目标用户的用户行为是否存在异常。

在本公开的一个实施例中，在基于第一用户状态转移至第二用户状态的转移概率，得到转移指数之前，所述方法还包括：

采集正常用户行为链数据，所述正常用户行为链数据包括多个按时序排列的用户状态；

基于所述正常用户行为链数据中的用户状态训练马尔科夫模型；

基于训练后的马尔科夫模型，得到所述目标用户的用户行为链数据中不同用户状态之间的转移概率。

在本公开的一个实施例中，在基于所述滞留时长与正常时长范围的关系，得到状态滞留指数之前，所述方法还包括：

采集正常用户行为链数据，所述正常用户行为链数据包括多个用户状态的滞留时长；