[发明专利]异常行为检测方法

摘要

本发明提出了一种异常行为检测的方法，该方法通过观察一定时期内主体/个体的行为在社交网络或者普适计算环境中呈现出的特定模式来检测异常。用户可以根据他们各自的社交标签被分为不同的组，他们的行为模式应该与群体的行为模式相似。然后整合个体和群体的行为模式来计算新行为的异常程度。通过监测主体/个体的行为，收集有关多维数组的特性，如时间，地点，频率，总和以及其它多维数组信息。本发明通过对这些记录进行分析和挖掘来建立一个学习模式知识库；基于社交标识来建立群体行为模式，用于计算异常行为系数；建立一定的时间段内自我更新机制，用于更新收集到的动态权重。在这个方法中，所有的行为都会被监测和分析。

主权项

1.异常行为检测方法，其特征在于：在社交网络或者普适计算环境中，通过观察一段时间内个体的行为呈现出的特定模式来监测异常；每个个体在社交网络中有很多的社交标签，因此根据这些标签将其划分为不同的类别或者团体，个体的行为模式应该与其所属类别的群体行为模式相似，所以当发现个体产生新的行为后，参照个体和群体的行为模式发现个体行为的异常程度；主要流程是采用对个体异常程度监测，构建个体行为特征向量，形成个体行为记录，通过对这些监测到的个体行为记录进行分析和挖掘来建立一个学习模式知识库；在分析和挖掘过程中，采用基于社交标识来建立群体行为模式，用于计算异常行为系数；为了保证异常行为系数计算准确性，建立一定的时间段内自我更新机制，通过更新异常行为系数计算模型中的集群权重来动态更新异常行为系数；根据这些个体行为记录在空间和时间的变化，采用异常程度监测步骤来检测异常行为，当发现异常行为时，根据其风险程度触发相应级别的警报来提醒用户；异常程度监测的步骤为：1)、行为检测个体行为异常检测的第一步是监测和收集个体的日常行为相关的信息，并利用这些信息构建行为特征向量，用以描述个体行为；个体行为特征元素包括行为发生目的、时间、地点、频率以及其它多维信息，该个体行为特征向量被定义为F_c＝{F₁，F₂，F₃...F_n}，其中n表示特征维度，考虑到不同特征的影响力存在显著差异，特征影响的不同权重被量化为权重向量：”；2)、计算异常行为系数本发明通过融合个体行为异常系数和其所属群组的行为异常系数来计算个体总的行为异常系数；Ca＝WGGa+W1Ia其中，Ca是行为异常系数，Ga是群组行为异常系数，WG是Ga的权重，Ia是个体行为异常系数，WI是Ia的权重；子步骤：步骤1：分组个体群体行为异常系数的计算公式如下：Ga＝Dis(Fc，Fg)其中，Fg是基于社会标识的分组群体行为模式；步骤2：如果记录数值为1，则个体行为异常系数计算公式为：Ia＝Dis(Fc，Fr)其中，Dis(Fc，Fr)＝||aFc‑aFr||这里的“||·||”代表矢量距离，fr表示历史特征；步骤3：如果记录数值大于1，则这些记录矢量用聚类算法被聚集成M类，并存储到数据库中；需要注意的是，我们将新的记录存储到数据库中时，当它们的量到达阈值后，需要对所有的记录重新聚类；当一个新的行为被获取时，会计算每一个群集中心的记录距离，并且最近的一个行为会被设定为个体异常行为系数Ia；Ia＝argMin(D)其中，D＝Dis(Fc，Firc)/OF(t，Fc，Firc)，i∈{1，2，3，...M}，M∈R；这里的Firc表示ith集群中心，OF(t，Fc，Firc)表示ith集群的权重；步骤4：更新集群权重自我更新机制就像人们的记忆机制，行为模式会不断地衰减直到新的相关激励发生；另一方面，如果一种行为模式经常被激发，这种行为应该被认为比其它行为更重要；同时，它可以像人们的记忆系统的遗忘过程那样衰减，也可以通过新的激励被积累；在一个时刻里的集群权重总值是它们的组合；①激励累积记录一个集群，当时间t＞1，当前记录和集群之间的距离被表示为Dis(Fc，Firc)，我们需要计算这些集群的直到t时刻的权重累积值总和；首先，时间t中的累积程度可以通过距离反映，所以Fc，Firc之间的累积程度值可以表示为：f(t，Fc，Firc)＝γ/Dis(Fc，Firc)；i∈{1，2，3，...M}；其中γ是集群权重程度中转换持续时间参数；Dis(Fc，Firc)是归一化之后的值，如果Dis(Fc，Firc)＝0，时间t相对应的值为1；累积值可以表示为权重值的总和：af(t，Fc，Firc)；af(t，Fc，Firc)＝af(t‑1，Fc，Firc)+f(t，Fc，Firc)；i∈{1，2，3，...M}；其中，af(t‑1，Fc，Firc)是时间t‑1的累积总值，并且af(0，Fc，Firc)＝0；考虑到随时间变化的行为模式，集群的影响权重可以被描述为一个指数曲线；因此，我们得到一个集群的影响权重衰减公式：其中dt是从激励最后时刻开始的衰减时间，β和λ表示模式参数；这个公式表示每一个时间单元以及丢失部分的权重；这个过程引起放射性衰变的图像，经常作为描述遗忘的类比；②权重总值最后，在时刻t的权重总值被表示为累积值与衰减值的和；OF(t，Fc，Firc)＝af(t，Fc，Firc)+df(t，Fc，Firc)；i∈{1，2，３，...M}此公式表示直到新的激励开始之前权重的衰减程度值；然后将其加在新对话进程中计算，并且重新启动衰减进程；这个进程是迭代的；3)、行为鉴定这一步，我们设定多阈值来确定系数的水平，并根据行为异常系数来进行行为鉴定；子步骤：步骤1：一级身份认证如果主体/个体的行为异常系数值过低，这说明主体/个体行为与历史行为一致，这种主体/个体仅需要输入密码甚至不需要验证就可以进入；步骤2：二级身份认证如果主体/个体的行为异常系数值正常，当前行为与历史行为仅有一点不同，会请求一般签名认证或密码认证；步骤3：三级身份认证如果主体/个体的行为异常系数值较高，当前行为与历史行为有显著不同，会请求生物特征身份认证；步骤4：四级身份认证如果主体/个体的行为异常系数值非常高，这说明主体/个体行为与历史行为完全不同，系统会终止认证并发出警报。