特許第6841910号(P6841910)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ジョンアン インフォメーション テクノロジー サービシズ カンパニー リミテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ジョンアン インフォメーション テクノロジー サービシズ カンパニー リミテッドの特許一覧

特許6841910ユーザー異常行動検出方法、装置及びシステム
<>
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000002
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000003
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000004
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000005
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000006
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000007
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000008
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000009
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000010
  • 特許6841910-ユーザー異常行動検出方法、装置及びシステム 図000011
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6841910
(24)【登録日】2021年2月22日
(45)【発行日】2021年3月10日
(54)【発明の名称】ユーザー異常行動検出方法、装置及びシステム
(51)【国際特許分類】
   G06Q 30/06 20120101AFI20210301BHJP
【FI】
   G06Q30/06 300
【請求項の数】14
【全頁数】24
(21)【出願番号】特願2019-519733(P2019-519733)
(86)(22)【出願日】2018年7月2日
(65)【公表番号】特表2019-537115(P2019-537115A)
(43)【公表日】2019年12月19日
(86)【国際出願番号】CN2018094065
(87)【国際公開番号】WO2019007306
(87)【国際公開日】20190110
【審査請求日】2019年4月11日
(31)【優先権主張番号】201710577019.6
(32)【優先日】2017年7月14日
(33)【優先権主張国】CN
(31)【優先権主張番号】201710547742.X
(32)【優先日】2017年7月6日
(33)【優先権主張国】CN
(73)【特許権者】
【識別番号】518318266
【氏名又は名称】ジョンアン インフォメーション テクノロジー サービシズ カンパニー リミテッド
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際特許業務法人
(72)【発明者】
【氏名】宋 文鵬
(72)【発明者】
【氏名】沈 雄
【審査官】 塩澤 如正
(56)【参考文献】
【文献】 特開2015−153428(JP,A)
【文献】 特開2015−219651(JP,A)
【文献】 特開2016−066137(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06Q 10/00 − 99/00
(57)【特許請求の範囲】
【請求項1】
サーバーにより実行されるユーザー異常行動検出方法であって、
少なくとも1つのネットワーク行動を記述するための時系列データを取得するステップと、
取得された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップと
異常行動をしている前記ユーザーのログイン機器のネットワークアドレスを取得するステップと、
前記ネットワークアドレスに関連するネットワークアドレスに対応するユーザーが異常行動をしているか否かを確認するステップと、を含む、ことを特徴とする方法。
【請求項2】
前記少なくとも1つのネットワーク行動は、ログイン要求、データ転送要求及びトランザクション要求のうちの1つ又は複数を含む、ことを特徴とする請求項1に記載の方法。
【請求項3】
前記関連するットワークアドレスは、現在のネットワーク行動を開始する前記ネットワークアドレスと同じルーティング機器に属するネットワークアドレス、又は現在のネットワーク行動を開始する前記ネットワークアドレスの位置にあるプリセット地域範囲内のネットワークアドレスを含む、ことを特徴とする請求項1又は2に記載の方法。
【請求項4】
前記時系列データに対して定常性検定を行い、定常性パラメータを計算するステップと、
取得された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていること確認するステップと、
前記定常性パラメータがプリセット値を超えたときに前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップを更に含む、ことを特徴とする請求項1〜のいずれか一項に記載の方法。
【請求項5】
前記時系列データは、ログイン回数、データトラフィック及びトランザクション回数のうちの少なくとも1つを含み、前記時系列データに対応する定常性パラメータを計算する前記ステップは、
前記ログイン回数に対応する第1定常性パラメータ、前記データトラフィックに対応する第2定常性パラメータ、及び前記トランザクション回数に対応する第3定常性パラメータをそれぞれ計算するステップと、
前記第1定常性パラメータ、前記第2定常性パラメータ及び前記第3定常性パラメータに基づいて、前記定常性パラメータを計算するステップとを含む、ことを特徴とする請求項に記載の方法。
【請求項6】
複数の期間内の前記時系列データを取得するステップと、
前記複数の期間内の前記時系列データを平均化処理して、平均時系列データを取得するステップとを更に含み、
取得された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認する前記ステップは、
前記平均時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップとを含む、ことを特徴とする請求項1〜のいずれか一項に記載の方法。
【請求項7】
ユーザー異常行動検出装置であって、
少なくとも1つのネットワーク行動を記述するための時系列データを取得するための取得モジュールと、
取得された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するための処理モジュールとを含み、
前記取得モジュールは、異常行動をしている前記ユーザーのログイン機器のネットワークアドレスを取得し、前記ネットワークアドレスに関連するネットワークアドレスに対応するユーザーが異常行動をしているか否かを確認する、ことを特徴とする装置。
【請求項8】
前記検出装置は、
前記少なくとも1つのネットワーク行動が、ログイン要求、データ転送要求及びトランザクション要求のうちの1つ又は複数を含むように構成される、ことを特徴とする請求項に記載の装置。
【請求項9】
前記取得モジュールは、
前記関連するットワークアドレスが、現在のネットワーク行動を開始する前記ネットワークアドレスと同じルーティング機器に属するか、又は現在のネットワーク行動を開始する前記ネットワークアドレスの位置でのプリセット地域範囲内にあるように構成される、ことを特徴とする請求項7又は8に記載の装置。
【請求項10】
前記検出装置は、
前記時系列データに対して定常性検定を行い、定常性パラメータを計算し、
前記定常性パラメータがプリセット値を超えたときに前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するように構成される、ことを特徴とする請求項7〜9のいずれか一項に記載の装置。
【請求項11】
前記検出装置は、
複数の期間内の前記時系列データを取得し、
前記複数の期間内の前記時系列データを平均化処理して、平均時系列データを取得し、
前記平均時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するように構成される、ことを特徴とする請求項7〜10のいずれか一項に記載の装置。
【請求項12】
コンピュータ装置であって、メモリと、プロセッサと、前記メモリに記憶され前記プロセッサによって実行されるコンピュータプログラムとを含み、前記コンピュータプログラムが前記プロセッサによって実行されると、請求項1〜のいずれか一項に記載の方法が実現される、ことを特徴とするコンピュータ装置。
【請求項13】
コンピュータプログラムを記憶しているコンピュータ読取可能な記憶媒体であって、前記コンピュータプログラムがプロセッサによって実行されると、請求項1〜のいずれか一項に記載の方法が実現される、ことを特徴とするコンピュータ読取可能な記憶媒体。
【請求項14】
ユーザー異常行動検出システムであって、複数のサーバー及び複数のクライアントを含み、前記複数のサーバーは前記複数のクライアントと通信接続され、
前記クライアントは、前記少なくとも1つのネットワーク行動を実現し、前記時系列データを生成するために使用され、
前記サーバーは、請求項7〜11のいずれか一項に記載の検出装置を含む、ことを特徴とするユーザー異常行動検出システム。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、2017年07月06日に出願された第201710547742.X号、及び2017年07月14日に出願された201710577019.6(出願番号)号の中国特許出願の優先権を主張し、それらの内容を参照により本願に援用する。
本発明はコンピュータの分野に関し、特にユーザー異常行動検出方法、装置及びシステムに関する。
【背景技術】
【0002】
インターネットビジネス活動の普及に伴って、ショッピングウェブサイト、チケットウェブサイト、ホテル予約ウェブサイト及び評価ウェブサイトなどのストアは、タイムセールやサービス評価などの方法によってユーザーのインターネット消費体験をさらに改善することがますます多くなっている。しかしながら、実際の適用では、消費者を誤解させながら消費者の通常のインターネット消費に影響を与える、ダフ屋、悪意のある架空の注文、及び悪意のある評価などの異常なネットワーク行動もある。
【0003】
従来技術では、一般に、手動の削除や処理によって上記の異常なネットワーク行動を見つけている。人的要因、時間コスト及び効率の影響により、この方法は、人件費が増加すると同時に精度及び効率が低いので、ユーザーの異常なネットワーク行動を検出することができず、消費者の通常のインターネット消費に影響を及ぼし、ユーザー体験を低下させる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
ユーザーの異常行動検出の効率及び精度を改善するために、本発明の実施例は、ユーザー異常行動検出方法、装置及びシステムを提供する。技術案は以下のとおりである。
【課題を解決するための手段】
【0005】
本発明の一態様によれば、本発明の実施例はユーザー異常行動検出方法を提供する。前記方法は、少なくとも1つのネットワーク行動を記述するための時系列データを取得するステップと、取得された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップとを含む。
【0006】
一実施例では、前記少なくとも1つのネットワーク行動は、ログイン要求、データ転送要求及びトランザクション要求のうちの1つ又は複数を含む。
【0007】
一実施例では、時系列データを取得するステップは、
前記時系列データを周期的に取得するステップ、又は、前記時系列データがプリセット条件を満たす場合、前記時系列データを取得するステップを含む。
【0008】
一実施例では、複数のプリセット期間における少なくとも1つのネットワーク行動の実行回数に従って前記時系列データを確定する。前記プリセット条件は、設定時間内に前記時系列データに対応する前記少なくとも1つのネットワーク行動の前記実行回数の合計がプリセット回数を超えることを含む。
【0009】
一実施例では、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップの後、前記方法は、異常行動をしている前記ユーザーのログイン機器のネットワークアドレスを取得ステップと、前記ネットワークアドレス及び前記ネットワークアドレスに関連する前記ネットワークアドレスに対応する前記ユーザーが異常行動をしているか否かを確認するステップとを更に含む。
【0010】
一実施例では、前記関連するネットワークアドレスは、現在のネットワーク行動を開始する前記ネットワークアドレスと同じルーティング機器に属するか、又は現在のネットワーク行動を開始する前記ネットワークアドレスの位置でのプリセット地域範囲内にある。
【0011】
一実施例では、前記方法は、前記時系列データに対して定常性検定を行い、定常性パラメータを計算するステップと、前記定常性パラメータがプリセット値を超えたときに前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップとを更に含む。
【0012】
一実施例では、前記時系列データは、ログイン回数、データトラフィック及びトランザクション回数のうちの少なくとも1つを含み、前記時系列データに対応する定常性パラメータを計算する前記ステップは、前記ログイン回数に対応する第1定常性パラメータ、前記データトラフィックに対応する第2定常性パラメータ、及び前記トランザクション回数に対応する第3定常性パラメータをそれぞれ計算するステップと、前記第1定常性パラメータ、前記第2定常性パラメータ及び前記第3定常性パラメータに基づいて、前記定常性パラメータを計算するステップとを含む。
【0013】
一実施例では、前記方法は、取得された前記時系列データを前処理するステップと、前処理された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップとを更に含む。
【0014】
一実施例では、前記前処理は、前記時系列データのデータフォーマットを変換することと、前記時系列データにおける省略値を設定することと、前記時系列データにおける極限値を削除することのうちの1つ又は複数の組み合わせを含む。
【0015】
一実施例では、前記時系列データにおける省略値を設定することは、前記省略値をシステムデフォルト値として設定することと、前記時系列データにおいて前記省略値に隣接するデータ値に基づいて前記省略値を設定することのうちの1つを含む。
【0016】
一実施例では、前記方法は、複数の期間内の前記時系列データを取得するステップと、前記複数の期間内の前記時系列データを平均化処理して、平均時系列データを取得するステップと、前記平均時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップとを更に含む。
【0017】
本発明の別の態様によれば、ユーザー異常行動検出装置が提供される。この装置は、複数のプリセット期間における少なくとも1つのネットワーク行動の実行回数に従って確定された時系列データを取得するための取得モジュールと、取得された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するための処理モジュールとを含む。
【0018】
一実施例では、前記検出装置は、前記少なくとも1つのネットワーク行動がログイン要求、データ転送要求及びトランザクション要求のうちの1つ又は複数を含むように構成される。
【0019】
一実施例では、前記取得モジュールは、
前記時系列データを周期的に取得するか、又は、前記時系列データがプリセット条件を満たす場合、前記時系列データを取得するように構成される。
【0020】
一実施例では、前記取得モジュールは次にように構成される。
前記プリセット条件は、設定時間内に前記時系列データに対応する実行回数の合計がプリセット回数を超えることを含む。
【0021】
一実施例では、前記取得モジュールは、
現在のネットワーク行動を開始するネットワークアドレスに関連する前記ネットワークアドレスで行われた前記ネットワーク行動に異常がある場合、現在のネットワーク行動に対応する前記時系列データを取得するように構成される。
【0022】
一実施例では、前記取得モジュールは次にように構成される。
関連する前記ネットワークアドレスは、現在のネットワーク行動を開始する前記ネットワークアドレスと同じルーティング機器に属するか、又は現在のネットワーク行動を開始する前記ネットワークアドレスの位置でのプリセット地域範囲内にある。
【0023】
一実施例では、前記検出装置は、
前記時系列データに対して定常性検定を行い、定常性パラメータを計算し、前記定常性パラメータがプリセット値を超えたときに前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するように構成される。
【0024】
一実施例では、前記検出装置はさらに、
取得された前記時系列データを前処理し、前処理された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するように構成される。
【0025】
一実施例では、前記検出装置は次のように構成される、
前記前処理は、前記時系列データのデータフォーマットを変換すること、前記時系列データにおける省略値を設定すること、及び前記時系列データにおける極限値を削除することのうちの1つ又は複数の組み合わせを含む。
【0026】
一実施例では、前記検出装置は次のように構成される、
前記時系列データにおける省略値を設定することは、前記省略値をシステムデフォルト値として設定すること、及び前記時系列データにおいて前記省略値に隣接するデータ値に基づいて前記省略値を設定することのうちの1つを含む。
【0027】
一実施例では、前記検出装置は、
複数の期間内の前記時系列データを取得し、前記複数の期間内の前記時系列データを平均化処理して、平均時系列データを取得し、前記平均時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するように構成される。
【0028】
本発明の別の態様によれば、コンピュータ装置が提供される。このコンピュータ装置は、メモリと、プロセッサと、前記メモリに記憶され前記プロセッサによって実行されるコンピュータプログラムとを含む。前記コンピュータプログラムが前記プロセッサによって実行されると、上記方法のいずれかが実現される。
【0029】
本発明の別の態様によれば、コンピュータプログラムを記憶しているコンピュータ読取可能な記憶媒体が提供される。前記コンピュータプログラムがプロセッサによって実行されると、上記方法のいずれかが実現される。
【0030】
本発明の別の態様によれば、ユーザー異常行動検出システムが提供される。前記システムは、複数のサーバー及び複数のクライアントを含む。前記複数のサーバーは前記複数のクライアントと通信接続される。
前記クライアントは、前記少なくとも1つのネットワーク行動を実現し、前記時系列データを生成するために使用される。
前記サーバーは、上記いずれかの検出装置を含む。
【0031】
本発明の実施例は、ユーザー異常行動検出方法、装置及びシステムを提供し、複数のプリセット期間における少なくとも1つのネットワーク行動の実行回数に従って確定された時系列データを取得するステップと、取得された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップとを含む。時系列データはユーザーのネットワーク行動を正確に記述するので、非定常な時系列データを介して、ユーザーの異常行動を確認することは、精度が高く、効率が高いので、インターネットをサーフィンするときのユーザーの体験が向上する。
【図面の簡単な説明】
【0032】
以下、本発明の実施例の技術的手段を更に詳細に説明するために、実施例の説明に必要な図面を簡単に説明する。当然のことながら、下記の説明における図面は本発明の幾つかの実施例に過ぎず、当業者であれば、創造的な労働をしない前提で、これらの図面に基づいて他の図面を得ることができる。
図1】本発明の実施例によるユーザー異常行動検出方法のフローチャートである。
図2】本発明の実施例によるユーザー異常行動検出方法のフローチャートである。
図3】本発明の実施例によるユーザー異常行動検出方法のフローチャートである。
図4】本発明の実施例によるユーザー異常行動検出方法のフローチャートである。
図5】本発明の実施例による時系列データの模式図である。
図6】本発明の実施例によるユーザー異常行動検出方法のフローチャートである。
図7】本発明の実施例によるユーザー異常行動検出装置の構造模式図である。
図8】本発明の実施例によるユーザー異常行動検出装置の構造模式図である。
図9】本発明の実施例によるユーザー異常行動検出装置の構造模式図である。
図10】本発明の実施例によるユーザー異常行動検出システムの構造模式図である。
【発明を実施するための形態】
【0033】
本発明の目的、技術的手段及び利点をより明確にするために、添付の図面を参照しながら以下に本発明をさらに詳細に説明する。
【0034】
本発明の実施例は、ユーザー異常行動検出方法を提供する。この方法は主に、トランザクションシステム、又はトランザクションビジネスが含まれるシステムのユーザー異常行動の検出に適用される。システムは、ショッピングウェブサイト、チケットウェブサイト、ホテル予約ウェブサイト及び評価ウェブサイトなどを含むが、それらに限定されない。トランザクションビジネスは、タイムセール、注文及び評価などのビジネスを含み得る。ビジネスの商品は、乗車券を含むチケット、ネットワーク商品及び電子商取引の商品などであってもよい。実際の適用では、ユーザーの異常なネットワーク行動は、悪意のある架空の注文、悪意のあるログイン、及び悪意のある買い占めなどの行動を含むが、それらに限定されない。
【0035】
本発明の一態様によれば、本発明の一実施例はユーザー異常行動検出方法を提供する。図1を参照すると、この方法は、以下の101〜102を含む。
【0036】
101では、ユーザーのネットワーク行動を記述するためのユーザーの時系列データを取得する。例えば、前記時系列データは、複数のプリセット期間における少なくとも1つのネットワーク行動の実行回数に従って確定することができる。
【0037】
102では、時系列データが非定常である場合、ユーザーが異常行動をしていることを確認する。
【0038】
時系列データはユーザーのネットワーク行動を正確に記述するので、非定常な時系列データを介して、ユーザーの異常行動を確認することは、精度が高く、効率が高いので、インターネットをサーフィンするときのユーザーの体験が向上する。
【0039】
一実施例では、少なくとも1つのネットワーク行動は、ログイン要求、データ転送要求及びトランザクション要求のうちの1つ又は複数を含む。本実施例は、実際の適用シーンの要求に応じて異なるネットワーク行動を選択することができ、選択されたネットワーク行動がユーザーの操作行動を正確に記述することができる限り、ネットワーク行動の種類を限定しないことが理解されるべきである。
【0040】
一実施例では、時系列データを取得するステップは、時系列データを周期的に取得することを含み得る。本実施例では、時系列データを取得する方法を提供し、時系列データを周期的に取得する。取得周期は、実際の状況に従って適時に調整することができる。調整の方式は、現在のトランザクション量、トランザクション可能な商品及びオンラインのユーザーの数が多い場合、周期を短縮し、現在のトランザクション量、トランザクション可能な商品及びオンラインのユーザーの数が少ない場合、周期を延長することを含むが、それに限定されない。
【0041】
一実施例では、時系列データを取得するステップは、時系列データがプリセット条件を満たす場合、時系列データを取得することを含み得る。本実施例は、時系列データを取得する方法を提供する。時系列データがプリセット条件を満たす場合、時系列データが取得され、取得された時系列データは、ユーザーのネットワーク行動を正確に記述することができる。
【0042】
更なる実施例では、プリセット条件は、設定時間内に時系列データに対応するネットワーク行動の実行回数の合計がプリセット回数を超えることを含む。設定時間内の1つ又は複数のネットワーク行動の実行回数の合計がプリセット回数を超えたときに取得された時系列データによれば、このネットワーク行動に対応するユーザーは、異常行動をしている可能性が高い。プリセット条件の設定によって、可能性の高いユーザーネットワーク行動に対応する時系列データをより適切に取得することができる。
【0043】
一実施例では、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップの後、前記方法は、異常行動をしている前記ユーザーのログイン機器のネットワークアドレスを取得ステップと、前記ネットワークアドレス及び前記ネットワークアドレスに関連する前記ネットワークアドレスに対応する前記ユーザーが異常行動をしているか否かを確認するステップとを更に含む。例えば、複数のダフ屋の買い占め行動などの異常行動は一定の範囲内で複数の人によって同時に発生する可能性があるので、ネットワークアドレスに関連するユーザーが異常行動をしているか否かを判断することによって、複数のユーザーの異常行動をタイムリーに発見することができ、それにより、精度が高まり、効率が高まる。
【0044】
更なる実施例では、関連するネットワークアドレスは、現在のネットワーク行動を開始するネットワークアドレスと同じルーティング機器に属するか、又は現在のネットワーク行動を開始するネットワークアドレスの位置でのプリセット地域範囲内にある。ネットワークアドレスに関連するユーザーが異常行動をしているか否かを判断することによって、複数のユーザーの異常行動をタイムリーに発見することができ、それにより、精度が高まり、効率が高まる。
【0045】
一実施例では、前記時系列データは、ログイン回数、データトラフィック及びトランザクション回数のうちの少なくとも1つを含み、前記時系列データに対応する定常性パラメータを計算する前記ステップは、前記ログイン回数に対応する第1定常性パラメータ、前記データトラフィックに対応する第2定常性パラメータ、及び前記トランザクション回数に対応する第3定常性パラメータをそれぞれ計算するステップと、前記第1定常性パラメータ、前記第2定常性パラメータ及び前記第3定常性パラメータに基づいて、前記定常性パラメータを計算するステップとを含む。時系列データに対応する複数の定常性パラメータが計算され、複数の定常性パラメータに基づいて、最終的な定常性パラメータが加重平均計算により得られる。時系列データが非定常な時系列データであることが最終的な定常性パラメータにより示される場合、異常行動の存在が確認される。複数の定常性パラメータに基づいて最終的な定常性パラメータを得ることによって、各態様の状況を総合的に考慮することができ、前記時系列データの定常性判断の精度がさらに向上する。
【0046】
一実施例では、ステップ102は、時系列データに対して定常性検定を行い、定常性パラメータを計算するステップと、定常性パラメータがプリセット値を超えたときに時系列データが非定常である場合、少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップを更に含み得る。
【0047】
時系列データの定常性検定を介して、定常性パラメータを計算し、定常性パラメータがプリセット値を超えるとユーザーが異常行動をしていることを確認することは、別の方法と比較して、精度が高く、効率が高い。
【0048】
一実施例では、定常性検定方法は、単位根検定、PP(Phillips&Perron)検定、KPSS検定、DF−GLS検定、ERS検定及びNP検定のうちのいずれか1つを含み得る。本発明は、具体的な検定方法を限定しない。
【0049】
一実施例では、検出方法は、取得された時系列データを前処理するステップと、前処理された時系列データが非定常である場合、少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップとを更に含み得る。取得された時系列データを前処理することによって、データ取得エラー、ネットワークエラー、及びユーザーの誤操作による異常行動検出結果への影響が回避されるので、ユーザー異常行動検出の精度が向上する。
【0050】
更なる実施例では、前処理は、時系列データのデータフォーマットを変換すること、時系列データにおける省略値を設定すること、及び時系列データにおける極限値を削除することのうちの1つ又は複数の組み合わせを含み得る。
【0051】
本実施例は、実際の適用シーンの要求に応じて、異なる前処理方法を選択することができ、取得された時系列データを処理して検出の精度を向上させることができる限り、本実施例は前処理方法を限定しないことが理解されるべきである。
【0052】
更なる実施例では、時系列データにおける省略値を設定することは、省略値をシステムデフォルト値として設定すること、及び時系列データにおいて省略値に隣接するデータ値に基づいて省略値を設定することのうちの1つを含み得る。
【0053】
本実施例は、実際の適用シーンの要求に応じて、異なる省略値設定方法を選択することができ、取得された時系列データに対して省略値を設定して検出の精度を向上させることができる限り、本実施例は省略値設定方法を限定しないことが理解されるべきである。
【0054】
一実施例では、方法は、複数の期間内の時系列データを取得するステップと、複数の期間内の時系列データを平均化処理して、平均時系列データを取得するステップと、平均時系列データが非定常である場合、少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するステップとを更に含み得る。複数の期間内の時系列データを平均化処理した後にその定常性を総合的に判断することによって、ユーザー異常行動検出の精度が向上する。平均化処理の方法は、直接平均法又は加重平均法を含むが、それらに限定されない。
【0055】
上述した実施例に基づいて、本発明の別の実施例はユーザー異常行動検出方法を提供する。図2に示されるように、この方法は101、1021及び102を含む。
101では、ユーザーのネットワーク行動を記述するためのユーザーの時系列データを取得する。
【0056】
具体的には、以下の操作のうちのいずれかにより、ユーザーの時系列データを取得するステップを実現する。
時系列データを周期的に取得する。又は、時系列データがプリセット条件を満たす場合、時系列データを取得する。
【0057】
ステップ1021の前に、
時系列データを前処理して、前処理された時系列データを生成するステップが実行されてもよい。
【0058】
1021では、時系列データに対応する定常性パラメータを計算する。具体的には、前処理された時系列データに対して単位根検定を行い検定結果に含まれる定常性パラメータを取得する。
【0059】
オプションで、時系列データは、ログイン回数、データトラフィック及びトランザクション回数のうちの少なくとも1つを含む。時系列データに対応する定常性パラメータが計算される。ログイン回数に対応する第1定常性パラメータ、データトラフィックに対応する第2定常性パラメータ、及びトランザクション回数に対応する第3定常性パラメータをそれぞれ計算するステップと、第1定常性パラメータ、第2定常性パラメータ及び第3定常性パラメータに基づいて、定常性パラメータを計算するステップとがさらに含まれる。
【0060】
102では、時系列データが定常な時系列データであることを定常性パラメータにより示す場合、ユーザーが異常行動をしていないことを確認し、それ以外の場合、ユーザーが異常行動をしていることを確認する。
【0061】
オプションで、ユーザーが異常行動をしていることを確認するステップの後、前記方法は、ユーザーのログイン機器のネットワークアドレスを取得するステップと、ネットワークアドレス及びネットワークアドレスに関連するユーザーが異常行動をしているか否かを判断するステップとを更に含む。
【0062】
オプションで、前記方法は、ユーザーの複数の期間内の時系列データを取得するステップと、複数の時系列データにそれぞれ対応する複数の定常性パラメータを計算し、複数の定常性パラメータに基づいて、最終的な定常性パラメータを計算するステップと、最終的な定常性パラメータにより時系列データが定常な時系列データであることを示す場合、ユーザーが異常行動をしていないことを確認するステップと、それ以外の場合、ユーザーが異常行動をしていることを確認するステップとをさらに含む。
【0063】
本発明の実施例はユーザー異常行動検出方法を提供する。時系列データはユーザーのネットワーク行動を正確に記述するので、ユーザーが異常行動をしているか否かを時系列データにより判断することによって、精度が高まる。それにより、インターネットをサーフィンするときのユーザーの体験が向上する。また、時系列データの定常性によりユーザーの異常行動の有無を判断するので、別の方法と比較して、精度が高く、効率が高い。
【0064】
本発明の別の実施例は、ユーザー異常行動検出方法を提供する。本発明の実施例では、時系列データは、ログイン回数を含む。図3を参照すると、この方法は、以下の201〜206を含む。
201では、時系列データを周期的に取得する。
【0065】
具体的には、時系列データは、ユーザーのネットワーク行動を記述するために使用される。本発明の実施例では、時系列データはユーザーのログイン回数であってもよい。
【0066】
ステップ201のプロセスは次のとおりであってもよい。ログインするユーザーのログイン回数が記録され、記録の開始時間と現在の時間との間の時間間隔がプリセット周期を満たした後、この時間間隔内のすべてのユーザーログイン回数及び毎回のログインのログイン時間が取得される。
【0067】
上記取得周期は、実際の状況に従って適時に調整することができる。調整の方式は、現在のトランザクション量、トランザクション可能な商品及びオンラインのユーザーの数が多い場合、そのプリセット周期を短縮し、現在のトランザクション量、トランザクション可能な商品及びオンラインのユーザーの数が少ない場合、そのプリセット周期を延長することを含むが、それに限定されない。
【0068】
時系列データを周期的に取得することによって、ユーザーネットワーク行動のリアルタイム監視を実現することができるので、悪意のあるユーザーの異常行動による他のユーザーネットワーク行動、特にネットワークトランザクションなどのネットワーク行動への影響をタイムリーに回避することができ、ユーザー体験が向上する。また、実際の状況に応じてプリセット周期を適時に調整することによって、現在のトランザクション量、トランザクション可能な商品、及びオンラインのユーザー数が多いときに、ユーザーの異常な行動をタイムリーに発見することができるので、異常行動検出の効率が向上し、ユーザー体験が向上する。現在のトランザクション量、トランザクション可能な商品、及びオンラインのユーザー数が少ないときに、システムのデータ処理負担が軽減される。
【0069】
ステップ201の後にステップ203が実行される。
【0070】
202では、時系列データがプリセット条件を満たす場合、時系列データを取得する。ステップ202の後にステップ203が実行される。
【0071】
具体的には、この時系列データは、ステップ201に記載の時系列データと同じであるため、ここでは再度詳細には説明しない。
【0072】
ステップ202において時系列データが満たすプリセット条件は、ユーザーのログイン回数を記録し、当日のユーザーの累積ログイン回数がプリセット値以上である場合、ユーザーの初回ログインから現在までのすべてのユーザーログイン回数及び毎回ログインのログイン時間を取得することを含み得る。
【0073】
上記のプリセット条件は一例に過ぎず、実際の適用では他のプリセット条件も設定可能であり、本発明の実施例は具体的なプリセット条件を限定しない。
【0074】
1日のログイン数が多いとユーザーが異常行動をしている可能性があるため、時系列データがプリセット条件を満たす場合に時系列データが取得され、異常行動の有無が判断される。全てのユーザーの時系列データのリアルタイム取得と比較して、データ処理の負担が軽減され、ユーザー異常行動検出の効率が向上し、それにより、ユーザー体験がさらに向上する。
【0075】
なお、ステップ201及びステップ202のうちのいずれかは、ユーザーの時系列データの取得を実現するプロセスである。実際の適用では、ステップ201及びステップ202のうちのいずれかが実行されてもよい。また、実際の適用では、具体的な適用シーンに応じてステップ201又はステップ202を選択して実行してもよい。その具体的な適用シーンは、以下の場面を含むが、それらに限定されない。現在のシステムにおいてユーザーの異常行動が多い場合、又は現在のシステムにおいてビジネス上の原因(例えば、トランザクション及びタイムセールなどの存在)でユーザーの架空の注文などの異常行動が多い場合、ステップ201を選択して実行することで、オンラインのユーザーに対するリアルタイム監視を実現し、通常のトランザクション要求を有する他のユーザーのユーザー体験を確保する。現在のシステムにおいてユーザーの異常行動が少ない場合、又は現在のシステムにおいてビジネス上の原因(タイムセールなどのビジネスが少ない場合)及び顧客グループ(例えば、特定の顧客グループ)の原因で、ユーザーの架空の注文などの異常行動が少ない場合、又は異常行動の発見及び処理の効率に対する要求が高い場合、ステップ202を実行することができる。それにより、データ処理の負担が軽減し、ユーザー異常行動検出の効率が向上する。
【0076】
ステップ102の前に、ステップ203が実行されてもよい。
203では、時系列データを前処理して、前処理された時系列データを生成する。
【0077】
具体的には、ステップ203は、以下の操作の少なくとも1つにより実現される。
前記時系列データから極大値又は極小値などの極限値を削除して、前処理された時系列データを生成する。上記プロセスは、極大値や極小値を削除する規則に従って実現されてもよい。本発明の実施例は、具体的な実現方法を限定しない。
【0078】
あるいは、前記時系列データにおける省略値をデフォルト値として設定して、前処理された時系列データを生成する。または、省略値の前の時刻の値及び次の時刻の値に基づいて、その省略値を設定する。本発明の実施例は具体的な設定方法を限定しない。
【0079】
または、時系列データに対してフォーマット変換を行い、前処理された時系列データを生成する。前処理された時系列データは、システム読み取り可能なログイン回数及びログイン時間を含む。本発明の実施例は、具体的なフォーマット変換方法を限定しない。
【0080】
前記時系列データから極大値又は極小値などの極限値を削除することによって、データ取得エラー、ネットワークエラー、及びユーザーの誤操作による、ユーザー異常行動検出結果への極限値の影響が回避されるので、ユーザー異常行動検出の精度が向上する。また、前記時系列データにおける省略値をデフォルト値として設定することによって、データロスによるユーザー異常行動検出結果への影響が回避されるので、ユーザー異常行動検出の精度が向上する。また、時系列データに対してフォーマット変換を行うことによって、フォーマット不適合などの原因によるユーザー異常行動検出の異常又は検出不能が回避されるので、ユーザー異常行動検出の精度及び効率が向上する。
【0081】
なお、ステップ203は任意のステップであり、実際の適用では、ステップ201又はステップ202の後に、ステップ204を直ちに実行してもよく、必ずしもステップ203を実行しなくてもよい。
【0082】
204では、前処理された時系列データに対して単位根検定を行う。
【0083】
具体的には、このステップは、時間間隔を設定することであってもよい。設定のプロセスは、現在のトランザクション量、トランザクション可能な商品、及びオンラインのユーザー数に従って行われてもよい。例えば、現在のトランザクション量、トランザクション可能な商品、及びオンラインのユーザー数が多い場合、時間間隔が短く設定され、現在のトランザクション量、トランザクション可能な商品、及びオンラインのユーザー数が少ない場合、時間間隔が長く設定される。
時間間隔に従って、前処理された時系列データに対して行単位根検定が行われる。単位根検定は、例えば、ADF.test関数のような関数によって実現され得る。
【0084】
オプションで、前処理された時系列データに対して単位根検定を行うことに加えて、前処理された時系列データに対してPP(Phillips&Perron)検定、KPSS検定、DF−GLS検定、ERS検定、及びNP検定などを行ってもよい。本発明は具体的な検定方法を限定しない。
【0085】
205では、検定結果に含まれる定常性パラメータを取得する。
【0086】
具体的には、単位根検定後に得られたP値は定常性パラメータである。その定常性パラメータは、時系列データが定常性時系列データであるか否かを示すために使用される。
【0087】
本発明の実施例は具体的な取得方法を限定しない。
【0088】
なお、ステップ204〜ステップ205は、時系列データに対応する定常性パラメータの計算を実現するプロセスであり、そのプロセスは、上記のステップで説明した方法に加えて、他の方法によって実現することもできる。本発明の実施例は、具体的な方法を限定しない。
【0089】
時系列データはユーザーのネットワーク行動を正確に記述するので、ユーザーが異常行動をしているか否かを時系列データにより判断することによって、精度が高まる。それにより、インターネットをサーフィンするときのユーザーの体験が向上する。また、別の方法と比較して、時系列データの定常性によりユーザーの異常行動の有無を判断するのは、精度が高く、効率が高い。
【0090】
206では、定常性パラメータとプリセット値との間の関係を判断し、定常性パラメータがプリセット値以下である場合、定常性パラメータは時系列データが定常な時系列データであることを示し、ユーザーが異常行動をしていないことを確認し、それ以外の場合、ユーザーが異常行動をしていることを確認する。
【0091】
具体的に、実際の適用では、定常性パラメータが0.01以下である場合、定常性パラメータは時系列データが非定常な時系列データであることを示し、ユーザーが異常行動をしていることを確認する。
【0092】
定常性パラメータが0.01よりも大きい場合、定常性パラメータは、時系列データが非定常な時系列データであることを示すので、ユーザーが異常行動をしていることが確認される。
【0093】
オプションで、ユーザーが異常行動をしていることを確認するステップ206の後、前記方法は、ユーザーのログイン機器のネットワークアドレスを取得するステップを更に含む。そのプロセスは以下のとおりであってもよい。ユーザーのログインデータからユーザーのログイン機器のネットワークアドレスを取得する以外に、プロセスは他の方法で実施されてもよく、本発明は具体的な実施形態を限定しない。
【0094】
ネットワークアドレス及びネットワークアドレスに関連するユーザーが異常行動をしているか否かを判断する。このプロセスは以下のとおりであってもよい。そのユーザーのネットワークアドレス及びそのネットワークアドレスに関連する複数のネットワークアドレスを取得する。
【0095】
そのネットワークアドレスに関連するネットワークアドレスは、
そのネットワークアドレスと同じルーティング機器に属するか、又はそのネットワークアドレスの位置にあるプリセット地域範囲内のネットワークアドレスを含んでもよいが、それらに限定されない。
【0096】
そのネットワークアドレスに関連するネットワークアドレスに対応するユーザーが異常行動をしているか否かを判断する判断方法は、ステップ201〜ステップ206で説明したプロセスと同じであるため、ここでは再度詳細には説明しない。
【0097】
例えば、複数のダフ屋の架空の注文などの行動のような異常行動は一定の範囲内で複数の人によって同時に発生する可能性があるので、ネットワークアドレス及びネットワークアドレスに関連するユーザーが異常行動をしているか否かを判断することによって、複数のユーザーの異常行動をタイムリーに発見することができ、それにより、精度が高まり、効率が高まる。
【0098】
例示的に、本発明の実施例によって達成される有利な効果を更に説明するために、前処理された時系列データに対して単位根検定を行った結果が図4に示されていると仮定する。図4において、x軸は10分毎の時系列であり、y軸は時系列データであり、時系列データはログイン回数である。本発明の実施例で説明した方法を実行することによって、時系列データの定常性パラメータは0.01未満であり、時系列データは定常な時系列データであり、ユーザーが異常行動をしていないことを確認する。
【0099】
本発明の実施例はユーザー異常行動検出方法を提供する。時系列データはユーザーのネットワーク行動を正確に記述するので、ユーザーが異常行動をしているか否かを時系列データにより判断することによって、精度が高まる。それにより、インターネットをサーフィンするときのユーザーの体験が向上する。また、別の方法と比較して、時系列データの定常性によりユーザーの異常行動の有無を判断するのは、精度が高く、効率が高い。また、ログイン回数は他のデータと比較して、処理プロセス及び取得方法が簡単であるため、ログイン回数を含む時系列データに基づいて、ユーザーが異常行動をしているか否かを判断することによって、効率をさらに向上させることができる。
【0100】
本発明の別の実施例は、ユーザー異常行動検出方法を提供する。本発明の実施例では、時系列データは、ログイン回数、データトラフィック及びトランザクション回数を含む。図5を参照すると、この方法は、以下の401〜404を含む。
401では、ユーザーのネットワーク行動を記述するためのユーザーの時系列データを取得する。
【0101】
具体的には、時系列データは、ログイン回数、データトラフィック及びトランザクション回数を含む。時系列データは、ユーザーのネットワーク行動を記述するために使用される。
【0102】
上記時系列データは、以下の操作のいずれかにより取得され得る。時系列データを周期的に取得する。このプロセスは、ステップ201に記載のプロセスと同じであるため、ここでは再度詳細には説明しない。
【0103】
または、時系列データがプリセット条件を満たす場合、時系列データを取得する。このステップは、ステップ202に記載のプロセスと同じであるため、ここでは再度詳細には説明しない。
【0104】
また、実際の適用では、ログイン回数、データトラフィック及びトランザクション回数の取得プロセスは、同時に行われてもよいし、別々に行われてもよい。本発明の実施例は、具体的な取得順序を限定しない。
【0105】
ステップ402の前に、時系列データを前処理して、前処理された時系列データを生成するステップが実行されてもよい。そのプロセスは、ステップ203において時系列データを前処理して、前処理された時系列データを生成するプロセスと同じであるため、ここでは再度詳細には説明しない。
【0106】
402では、ログイン回数に対応する第1定常性パラメータ、データトラフィックに対応する第2定常性パラメータ、及びトランザクション回数に対応する第3定常性パラメータをそれぞれ計算する。
【0107】
具体的には、前処理された時系列データに対して単位根検定を行い、検定結果に含まれる定常性パラメータを取得する。ログイン回数に対応する第1定常性パラメータを計算するプロセスは、ステップ204〜ステップ205に記載のプロセスと同じであるため、ここでは再度詳細には説明しない。
【0108】
同様に、データトラフィックに対応する第2定常性パラメータ、及びトランザクション回数に対応する第3定常性パラメータを計算するプロセスは、ステップ204〜ステップ2055に記載のプロセスと同じであるため、ここでは再度詳細には説明しない。
【0109】
403では、第1定常性パラメータ、第2定常性パラメータ及び第3定常性パラメータに基づいて、定常性パラメータを計算する。
【0110】
具体的に、実際の適用では、第1定常性パラメータ、第2定常性パラメータ及び第3定常性パラメータの平均値又は加重平均値に基づいて、定常性パラメータを計算することができる。例示的には、第1定常性パラメータ、第2定常性パラメータ及び第3定常性パラメータの加重平均値を例にとると、そのステップは以下の式によって実現することができる。
定常性パラメータ=(a*第1定常性パラメータ+b*第2定常性パラメータ+c*第3定常性パラメータ)/3
上記式において、a、b及びcの値は、実際の適用におけるログイン回数、データトラフィック及びトランザクション回数の重要性に従って具体的な値に設定することができる。本発明の実施例は、具体的な設定方法を限定しない。
【0111】
なお、ステップ402〜ステップ403は、時系列データに対応する定常性パラメータの計算を実現するプロセスであり、そのプロセスは、上記のステップで説明した方法に加えて、他の方法によって実現することもできる。本発明の実施例は、具体的な方法を限定しない。
【0112】
ログイン回数、データトラフィック及びトランザクション回数により、ユーザーが異常行動をしているか否かを判断することは、それらのうちのいずれかによりユーザーが異常行動をしているか否かを判断することと比較して、ユーザーのネットワークに問題がある場合やネットワークの切断が発生する場合、誤り判断を回避するので、ユーザー異常行動検出の精度が向上し、ユーザー体験がさらに向上する。
【0113】
404では、時系列データが定常な時系列データであることを定常性パラメータにより示す場合、ユーザーが異常行動をしていないことを確認し、それ以外の場合、ユーザーが異常行動をしていることを確認する。
【0114】
具体的には、このステップはステップ206と同じであるため、ここでは再度詳細には説明しない。
【0115】
本発明の実施例はユーザー異常行動検出方法を提供する。時系列データはユーザーのネットワーク行動を正確に記述するので、ユーザーが異常行動をしているか否かを時系列データにより判断することによって、精度が高まる。それにより、インターネットをサーフィンするときのユーザーの体験が向上する。また、別の方法と比較して、時系列データの定常性によりユーザーの異常行動の有無を判断するのは、精度が高く、効率が高い。さらに、ログイン回数、データトラフィック及びトランザクション回数により、ユーザーが異常行動をしているか否かを判断することは、それらのうちのいずれかによりユーザーが異常行動をしているか否かを判断することと比較して、ユーザーのネットワークに問題がある場合やネットワークの切断が発生する場合、誤り判断を回避するので、ユーザー異常行動検出の精度が向上し、ユーザー体験がさらに向上する。
【0116】
本発明の別の実施例は、ユーザー異常行動検出方法を提供する。本発明の実施例では、ユーザーの複数の期間内の時系列データを取得する。図6を参照すると、この方法は、501〜504を含む。
501では、複数の期間内のユーザーの時系列データを取得する。時系列データは、ユーザーのネットワーク行動を記述するために使用される。
【0117】
具体的には、上記複数の期間内の時系列データは、以下の操作のいずれかにより取得される。
複数の時系列データを周期的に取得する。この複数の時系列データにおける任意の時系列データの取得方法は、ステップ201に記載の単一の時系列データを周期的に取得するプロセスと同じであるため、ここでは再度詳細には説明しない。または、
時系列データがプリセット条件を満たす場合、複数の時系列データを取得する。この複数の時系列データにおける任意の時系列データの取得方法は、ステップ202に記載の単一の時系列データを取得するプロセスと同じであるため、ここでは再度詳細には説明しない。
【0118】
ステップ502の前に、
複数の期間内の時系列データを前処理して、複数の前処理された時系列データを生成するステップが実行されてもよい。複数の期間内の時系列データのうちのいずれかを前処理するプロセスは、ステップ203における時系列データを前処理して、前処理された時系列データを生成するプロセスと同じであるため、ここでは再度詳細には説明しない。
【0119】
502では、複数の期間内の時系列データに対応する定常性パラメータをそれぞれ計算する。
【0120】
具体的には、複数の前処理された時系列データに対してそれぞれ単位根検定を行う。このステップでは、複数の前処理された時系列データのうちのいずれかに対して単位根検定を行うプロセスは、ステップ204に記載のプロセスと同じであるため、ここでは再度詳細には説明しない。
【0121】
検定結果に含まれる定常性パラメータがそれぞれ取得される。このステップは、ステップ205に記載のプロセスと同じであるため、ここでは再度詳細には説明しない。
【0122】
503では、複数の期間内の時系列データに基づいて、ユーザーの時系列データの定常性パラメータを計算する。
【0123】
具体的に、実際の適用において、複数の期間内の時系列データに対応する定常性パラメータの平均値又は加重平均値に基づいて、定常性パラメータを計算することができる。例示的には、n個の期間内の時系列データに対応する定常性パラメータの加重平均値を例にとると、そのステップは以下の式によって実現することができる。
定常性パラメータ=(a1*定常性パラメータ1+a2*定常性パラメータ+...+an*定常性パラメータn)/n
a1、a2... anは、各期間内のトランザクションの状況又はオンラインのユーザー数に応じて設定されてもよい。
【0124】
なお、ステップ502〜ステップ503は、時系列データに対応する定常性パラメータの計算を実現するプロセスであり、上記のステップで説明した方法以外、他の方法によってそのプロセスを実現することができる。本発明の実施例は、具体的な方法を限定しない。
【0125】
複数の期間内の時系列データを介して、ユーザーが異常行動をしているか否かを判断することによって、その期間の一部でトランザクション量又はユーザー数が増加した場合、オンラインのユーザーが多いことやビジネスが特殊なシーンである(例えば、タイムセールなど)ことを原因とする、ユーザーの通常の操作に対する誤った判断が回避される。それによって、ユーザー異常行動検出の精度が向上し、ユーザー体験がさらに向上する。
【0126】
504では、定常性パラメータにより時系列データが定常な時系列データであることを示す場合、ユーザーが異常行動をしていないことを確認しており、それ以外の場合、ユーザーが異常行動をしていることを確認する。
【0127】
具体的には、このステップはステップ206と同じであるため、ここでは再度詳細には説明しない。
【0128】
本発明の実施例はユーザー異常行動検出方法を提供する。時系列データはユーザーのネットワーク行動を正確に記述するので、ユーザーが異常行動をしているか否かを時系列データにより判断することによって、精度が高まる。それにより、インターネットをサーフィンするときのユーザーの体験が向上する。また、別の方法と比較して、時系列データの定常性によりユーザーの異常行動の有無を判断するのは、精度が高く、効率が高い。さらに、複数の期間内の時系列データを介して、ユーザーが異常行動をしているか否かを判断することによって、その期間の一部でトランザクション量又はユーザー数が増加した場合、オンラインのユーザーが多いことやビジネスが特殊なシーンである(例えば、タイムセールなど)ことを原因とする、ユーザーの通常の操作に対する誤った判断が回避される。それによって、ユーザー異常行動検出の精度が向上し、ユーザー体験がさらに向上する。
【0129】
本発明の別の態様によれば、本発明の実施例はユーザー異常行動検出装置60を提供する。図7に示されるように、前記装置60は、
複数のプリセット期間における少なくとも1つのネットワーク行動の実行回数に従って確定された時系列データを取得するための取得モジュール61と、取得された前記時系列データが非定常である場合、前記少なくとも1つのネットワーク行動に対応するユーザーが異常行動をしていることを確認するための処理モジュール63とを含む。
【0130】
上記実施例によるユーザー異常行動検出装置に記載された各モジュール又はユニットは、上述したユーザー異常行動検出方法の1つの方法ステップに対応することが理解されるべきである。したがって、上記の方法ステップで説明した操作及び特徴は、装置及びそこに含まれる対応するモジュールに等しく適用可能であり、重複する内容はここで再び説明しない。
【0131】
上記実施例に基づいて、本発明の別の実施例はユーザー異常行動検出装置を提供する。図8に示されるように、この方法は取得モジュール61、コンピューティングモジュール62及び処理モジュール63を含む。
取得モジュール61は、ユーザーのネットワーク行動を記述するためのユーザーの時系列データを取得するために使用される。
コンピューティングモジュール62は、時系列データに対応する定常性パラメータを計算するために使用される、
処理モジュール63は、定常性パラメータにより時系列データが定常な時系列データであることを示す場合、ユーザーが異常行動をしていないことを確認し、それ以外の場合、ユーザーが異常行動をしていることを確認するために使用される。
【0132】
オプションで、取得モジュール61は、
時系列データを周期的に取得すること、又は、時系列データがプリセット条件を満たす場合、時系列データを取得することを実行するために使用される。
【0133】
オプションで、装置は前処理モジュールを更に含む。前処理モジュールは、時系列データを前処理し、前処理された時系列データを生成するために使用される。
【0134】
オプションで、コンピューティングモジュール62は具体的に、前処理された時系列データに対して単位根検定を行い、検定結果に含まれる定常性パラメータを取得するために使用される。
【0135】
オプションで、時系列データは、ログイン回数、データトラフィック及びトランザクション回数のうちの少なくとも1つを含む。コンピューティングモジュール62はさらに、
ログイン回数に対応する第1定常性パラメータ、データトラフィックに対応する第2定常性パラメータ、及びトランザクション回数に対応する第3定常性パラメータをそれぞれ計算し、第1定常性パラメータ、第2定常性パラメータ及び第3定常性パラメータに基づいて、定常性パラメータを計算するために使用される。
【0136】
オプションで、取得モジュール61はさらに、ユーザーのログイン機器のネットワークアドレスを取得するために使用される。処理モジュール63はさらに、ネットワークアドレス及びネットワークアドレスに関連するユーザーが異常行動をしているか否かを判断するために使用される。
【0137】
オプションで、方法は以下のことを更に含む。
取得モジュール61はさらに、ユーザーの複数の期間内の時系列データを取得するために使用される。コンピューティングモジュール62はさらに、複数の時系列データにそれぞれ対応する複数の定常性パラメータを計算し、複数の定常性パラメータに基づいて、最終的な定常性パラメータを計算するために使用される。処理モジュール63はさらに、最終的な定常性パラメータにより時系列データが定常な時系列データであることを示す場合、ユーザーが異常行動をしていないことを確認し、それ以外の場合、ユーザーが異常行動をしていることを確認するために使用される。
【0138】
本発明の実施例はユーザー異常行動検出装置を提供する。時系列データはユーザーのネットワーク行動を正確に記述するので、ユーザーが異常行動をしているか否かを時系列データにより判断することによって、精度が高まる。それにより、インターネットをサーフィンするときのユーザーの体験が向上する。また、別の方法と比較して、時系列データの定常性によりユーザーの異常行動の有無を判断するのは、精度が高く、効率が高い。
【0139】
本発明の別の実施例では、ユーザー異常行動検出装置が提供される。図9を参照すると、この方法は、メモリ71及びメモリ71に接続されたプロセッサ72を含む。メモリ71は、プログラムコードのセットを記憶するために使用される。プロセッサ72は、上記検出方法のいずれかの操作を実行するためにメモリ71に記憶されているプログラムコードを呼び出す。
【0140】
更なる実施例では、この操作は、具体的に、
ユーザーのネットワーク行動を記述するためのユーザーの時系列データを取得するステップと、時系列データに対応する定常性パラメータを計算するステップと、定常性パラメータにより時系列データが定常な時系列データであることを示す場合、ユーザーが異常行動をしていないことを確認するステップと、それ以外の場合、ユーザーが異常行動をしていることを確認するステップとを含み得る。
【0141】
オプションで、プロセッサ72は、メモリ71に記憶されているプログラムコードを呼び出して、
時系列データを周期的に取得すること、又は、時系列データがプリセット条件を満たす場合、時系列データを取得することを実行する。
【0142】
オプションで、プロセッサ72は、メモリ71に記憶されているプログラムコードを呼び出して、
時系列データを前処理して、前処理された時系列データを生成する操作を実行する。
【0143】
オプションで、プロセッサ72は、メモリ71に記憶されているプログラムコードを呼び出して、
前処理された時系列データに対して単位根検定を行い、検定結果に含まれる定常性パラメータを取得することを実行する。
【0144】
オプションで、時系列データは、ログイン回数、データトラフィック及びトランザクション回数のうちの少なくとも1つを含む。プロセッサ72は、メモリ71に記憶されているプログラムコードを呼び出して、ログイン回数に対応する第1定常性パラメータ、データトラフィックに対応する第2定常性パラメータ、及びトランザクション回数に対応する第3定常性パラメータをそれぞれ計算し、第1定常性パラメータ、第2定常性パラメータ及び第3定常性パラメータに基づいて、定常性パラメータを計算することを実行する。
【0145】
オプションで、プロセッサ72は、以下の操作を実行するために、メモリ71に記憶されているプログラムコードを呼び出す。
ユーザーのログイン機器のネットワークアドレスを取得し、ネットワークアドレス及びネットワークアドレスに関連するユーザーが異常行動をしているか否かを判断する。
【0146】
オプションで、プロセッサ72は、以下の操作を実行するために、メモリ71に記憶されているプログラムコードを呼び出す。
ユーザーの複数の期間内の時系列データを取得し、複数の時系列データにそれぞれ対応する複数の定常性パラメータを計算し、複数の定常性パラメータに基づいて、最終的な定常性パラメータを計算しており、最終的な定常性パラメータにより時系列データが定常な時系列データであることを示す場合、ユーザーが異常行動をしていないことを確認し、それ以外の場合、ユーザーが異常行動をしていることを確認する。
【0147】
本発明の実施例はユーザー異常行動検出装置を提供する。時系列データはユーザーのネットワーク行動を正確に記述するので、ユーザーが異常行動をしているか否かを時系列データにより判断することによって、精度が高まる。それにより、インターネットをサーフィンするときのユーザーの体験が向上する。また、別の方法と比較して、時系列データの定常性によりユーザーの異常行動の有無を判断するのは、精度が高く、効率が高い。
【0148】
本発明の別の態様によれば、本発明は、ユーザー異常行動検出システムを提供する。図10に示されるように、システムは、複数のサーバー及び複数のクライアントを含む。複数のサーバーは複数のクライアントと通信接続される。
クライアントは、少なくとも1つのネットワーク行動を実現し、時系列データを生成するために使用される。サーバーは、上記いずれかの検出装置を含む。
【0149】
時系列データはユーザーのネットワーク行動を正確に記述するので、ユーザーが異常行動をしているか否かを時系列データにより判断することによって、精度が高まる。それにより、インターネットをサーフィンするときのユーザーの体験が向上する。
【0150】
本発明の別の実施例は、ユーザー異常行動検出システムを提供する。図10を参照すると、この方法は、
複数のサーバー81及び複数のクライアント82を含む。複数のサーバー81は複数のクライアント82と通信接続される。サーバー81は、取得モジュール811、コンピューティングモジュール812、及び処理モジュール813を含む。
取得モジュール811は、ユーザーのネットワーク行動を記述するためのユーザーの時系列データを取得するために使用される。
コンピューティングモジュール812は、時系列データに対応する定常性パラメータを計算するために使用される、
処理モジュール813は、定常性パラメータにより時系列データが定常な時系列データであることを示す場合、ユーザーが異常行動をしていないことを確認し、それ以外の場合、ユーザーが異常行動をしていることを確認するために使用される。
クライアント82は、ユーザーのネットワーク行動を実現し、時系列データを生成するために使用される。
【0151】
オプションで、取得モジュール811は、時系列データを周期的に取得すること、又は、時系列データがプリセット条件を満たす場合、時系列データを取得することを実行するために使用される。
【0152】
オプションで、装置は前処理モジュールを更に含む。前処理モジュールは、時系列データを前処理し、前処理された時系列データを生成するために使用される。
【0153】
オプションで、コンピューティングモジュール812は具体的に、前処理された時系列データに対して単位根検定を行い、検定結果に含まれる定常性パラメータを取得するために使用される。
【0154】
オプションで、時系列データは、ログイン回数、データトラフィック及びトランザクション回数のうちの少なくとも1つを含む。コンピューティングモジュール812はさらに、
ログイン回数に対応する第1定常性パラメータ、データトラフィックに対応する第2定常性パラメータ、及びトランザクション回数に対応する第3定常性パラメータをそれぞれ計算し、第1定常性パラメータ、第2定常性パラメータ及び第3定常性パラメータに基づいて、定常性パラメータを計算するために使用される。
【0155】
オプションで、取得モジュール811はさらに、ユーザーのログイン機器のネットワークアドレスを取得するために使用される。処理モジュール812はさらに、ネットワークアドレス及びネットワークアドレスに関連するユーザーが異常行動をしているか否かを判断するために使用される。
【0156】
オプションで、方法は以下のことを更に含む。
取得モジュール811はさらに、ユーザーの複数の期間内の時系列データを取得するために使用される。コンピューティングモジュール812はさらに、複数の時系列データにそれぞれ対応する複数の定常性パラメータを計算し、複数の定常性パラメータに基づいて、最終的な定常性パラメータを計算するために使用される。処理モジュール813はさらに、最終的な定常性パラメータにより時系列データが定常な時系列データであることを示す場合、ユーザーが異常行動をしていないことを確認し、それ以外の場合、ユーザーが異常行動をしていることを確認するために使用される。
【0157】
本発明の実施例はユーザー異常行動検出システムを提供する。時系列データはユーザーのネットワーク行動を正確に記述するので、ユーザーが異常行動をしているか否かを時系列データにより判断することによって、精度が高まる。それにより、インターネットをサーフィンするときのユーザーの体験が向上する。また、別の方法と比較して、時系列データの定常性によりユーザーの異常行動の有無を判断するのは、精度が高く、効率が高い。
【0158】
上記のオプションの技術的解決法のすべては、本発明のオプションの実施例を形成するために任意の組み合わせで使用することができ、本明細書ではこれ以上説明しない。
【0159】
前述の方法のいずれかのフローは、プロセッサによって実行されるプログラムを含む機械可読命令として実現されてもよい。このプログラムは、CD−ROM、フロッピーディスク、ハードディスク、デジタル多用途ディスク(DVD)、ブルーレイディスク又は他の形態のメモリなどの有形のコンピュータ可読媒体に記憶されたソフトウェアで実体化することができる。あるいは、前述の方法のいずれかのステップの一部又は全部は、特定用途向け集積回路(ASIC)、プログラマブルロジックデバイス(PLD)、フィールドプログラマブルロジックデバイス(EPLD)、ディスクリートロジック、ハードウェア、ファームウェアなどの任意の組み合わせによって実現することができる。さらに、上記の方法のいずれかに対応するフローチャートはデータ処理方法を説明しているが、処理方法のステップは変更、削除、又はマージされてもよい。
【0160】
上述したように、コード化された命令(コンピュータ可読命令など)によって、前述の方法のいずれかのプロセスを実現することができる。プログラミング命令は、ハードディスク、フラッシュメモリ、読み出し専用メモリ(ROM)、光ディスク(CD)、デジタル多用途ディスク(DVD)、高速バッファ、ランダムアクセスメモリ(RAM)及び/又は任意の他の記憶媒体などの有形のコンピュータ可読媒体に記憶される。情報は、記憶媒体にいつでも(例えば、長時間、恒久的、短時間、一時的なバッファリング、及び/又は情報のキャッシング)記憶することができる。本明細書で使用される有形のコンピュータ可読媒体という用語は、任意のタイプのコンピュータ可読記憶信号を含むように明らかに定義される。追加的又は代替的に、コード化された命令(コンピュータ可読命令など)によって、前述の方法のいずれかの例示的なプロセスを実現することができる。コード化された命令は、ハードディスク、フラッシュメモリ、読み出し専用メモリ、光ディスク、デジタル多用途ディスク、高速バッファ、ランダムアクセスメモリ及び/又は任意の他の記憶媒体などの非一時的なコンピュータ可読媒体に記憶される。情報は、記憶媒体にいつでも(例えば、長時間、恒久的、短時間、一時的なバッファリング、及び/又は情報のキャッシング)記憶することができる。
【0161】
なお、上記実施例による装置は、上記各機能モジュールの分割を例として説明したが、実際には、要求に応じて上記機能が異なる機能モジュールによって割り当てられてもよい。即ち、上述した機能のすべて又は一部を実現するために、機器の内部構造が異なる機能モジュールに分割される。また、上記実施例による実施例は同じ概念に属し、その具体的な実現プロセスの詳細は、方法の実施例を参照されたく、ここでは再び説明しない。
【0162】
当業者によって理解されるように、上記実施例におけるステップの全部又は一部を実現することは、ハードウェアにより完了されてもよいし、プログラムによって関連するハードウェアを命令することによって完了されてもよい。プログラムは、コンピュータ読取可能な記憶媒体に記憶されてもよい。言及した記憶媒体は、読み取り専用メモリ、磁気ディスク又は光ディスクなどであってもよい。
【0163】
上記は、本発明の好ましい実施例に過ぎず、本発明の保護範囲を限定するためのものではない。本発明の趣旨と原理内で行われるすべての修正、同等置換、改善などは、いずれも本発明の保護範囲内に含まれるべきである。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.