(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211125473.5 (22)申请日 2022.09.16 (65)同一申请的已公布的文献号 申请公布号 CN 115204322 A (43)申请公布日 2022.10.18 (73)专利权人 成都新希望金融信息有限公司 地址 610000 四川省成 都市高新区仁和街 39号6栋2层3号 (72)发明人 吴枭　吕文勇　周智杰　王渊　 汪劲松　金秋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 杜杨 (51)Int.Cl. G06K 9/62(2022.01)G06Q 40/02(2012.01) (56)对比文件 CN 111163065 A,2020.0 5.15 CN 114661568 A,202 2.06.24 US 2011064267 A1,201 1.03.17 CN 107402 921 A,2017.1 1.28 审查员 李秋萍 (54)发明名称 行为链路异常识别方法和装置 (57)摘要 本申请提供一种行为链路异常识别方法和 装置， 通过采集用户的时间序列 样本并对时间间 隔进行聚类处理以判断相邻事件是否连续从而 构建行为序列样本。 对行为训练样 本进行类别判 定， 并利用各个行为类别的行为序列样本训练马 尔科夫概率矩阵， 构建用户行为链路模型， 且构 建OCSVMs集群模型。 基于用户行为链路模型和 OCSVMs集群模型构建综合异常检测模型， 利用综 合异常检测模型对待识别用户的行为进行异常 检测。 该方案可精准地刻画用户的行为链路画 像， 通过对行为链路进行异常检测， 可 以对用户 风险操作进行有效防范。 权利要求书3页 说明书16页 附图7页 CN 115204322 B 2022.11.22 CN 115204322 B 1.一种行为链路异常识别方法， 其特 征在于， 所述方法包括： 采集多个用户的事件序列样本， 各所述事件序列样本包括多个事件项， 相邻事件项之 间具有时间 间隔； 对多个事件序列样本对应的时间间隔进行聚类处理， 根据聚类处理结果确定相邻事件 项之间是否连续， 并根据确定结果得到各用户的行为序列样本， 各行为序列样本中包含多 个行为项， 各 所述行为项由多个连续的事 件项组成； 对各用户的行为序列样本进行 行为类别判定； 利用各个行为类别的行为序列样本训练得到马尔科夫概率矩阵， 并建立用户行为链路 模型； 利用各个行为类别的行为序列样本构 建得到OCSVMs集群模型， 所述OCSVMs集群模型用 于对各个行为类别的异常行为进行识别； 基于所述行为链路模型和OCSVMs集群模型构 建综合异常检测模型， 利用所述综合异常 检测模型对待识别用户的行为进行异常检测； 所述根据聚类处理结果确定相邻事件项之间是否连续， 并根据确定结果得到各用户的 行为序列样本的步骤， 包括： 根据聚类处理结果中， 时间间隔数值最小的聚类簇 中最大时间间隔或时间间隔数值最 小的聚类簇中设定分位数对应的时间 间隔， 得到判定标识符； 针对各用户的事件序列样本， 将对应时间间隔小于或等于所述标识符的两个相邻事件 项确定为连续的， 将对应时间 间隔大于所述标识符的两个相邻事 件项确定为 不连续的； 将连续的事 件项组成一行为项， 以得到各用户的包 含多个行为项的行为序列样本 。 2.根据权利要求1所述的行为链路异常识别方法， 其特征在于， 所述对多个事件序列样 本对应的时间 间隔进行聚类处 理的步骤， 包括： 对多个事 件序列样本对应的时间 间隔进行多次的初步聚类； 针对每次初步聚类后的各个聚类簇中的各个时间间隔， 计算该时间间隔与其所在聚类 簇内其他时间间隔之 间的簇内平均 距离， 以及该时间间隔与其他聚类簇中时间间隔之 间的 簇间平均 距离， 并根据所述簇内平均 距离和簇间平均 距离计算得到单个时间间隔的轮廓系 数； 根据多个时间 间隔的轮廓系数 得到每次初步聚类后的总的轮廓系数； 获得总的轮廓系数最大的初步 聚类的聚类簇数目作为最优聚类簇数目， 并将该最优聚 类簇数目对应的初步聚类作为 最优聚类操作， 以完成对时间 间隔的聚类处 理。 3.根据权利要求1所述的行为链路异常识别方法， 其特征在于， 所述对各用户的行为序 列样本进行 行为类别判定的步骤， 包括： 针对各用户的行为序列样本， 若所述行为序列样本中的行为项存在设定关键事件项， 则根据所述设定关键事 件项确定对应的行为项的行为类别； 若行为项中不存在 设定关键事件项， 则 计算行为序列样本 中各个事件序列之间的莱文 斯坦距离， 并基于莱文斯坦距离进行聚类操作， 将最优聚类操作的聚类簇数目作为行为类 别的数目， 并按得到的行为类别的数目进行 行为类别划分； 若行为序列样本中存在静默序列， 则根据静默序列的类型确定其行为类别。 4.根据权利要求1所述的行为链路异常识别方法， 其特征在于， 所述利用各个行为类别权　利　要　求　书 1/3 页 2 CN 115204322 B 2的行为序列样本训练得到马尔科 夫概率矩阵， 并建立用户行为链路模型的步骤， 包括： 基于各个行为类别的行为序列样本， 统计得到初始行为项为各个行为类别的初始概率 向量； 根据从上一个行为项的行为类别转移到下一个行为项的行为类别的频数， 计算得到从 上一个行为项的行为类别转移到下一个行为项的行为类别的概率， 并得到由多个概率构成 的马尔科 夫概率矩阵； 根据所述初始概率向量和马尔科夫概率矩阵构建得到用户行为链路模型， 所述用户行 为链路模型表征用户从初始行为项发展到当前 行为项的概 率。 5.根据权利要求1所述的行为链路异常识别方法， 其特征在于， 所述利用各个行为类别 的行为序列样本构建得到OCSVMs集群模型的步骤， 包括： 针对各个行为类别的行为序列样本， 结合设定加工维度 下的加工特征得到特征向量矩 阵； 基于各个行为类别的特征向量矩阵， 通过最小化球体半径并确定球体球心以构建得到 一超球体； 根据得到的超球 体构建得到决策函数， 以确定OCSVMs集群模型。 6.根据权利要求4所述的行为链路异常识别方法， 其特征在于， 所述基于所述行为链路 模型和OCSVMs集群模型构建综合异常检测模型的步骤， 包括： 将所述行为链路模型乘以所述OCSVMs集群模型构建得到综合异常检测模型。 7.根据权利要求6所述的行为链路异常识别方法， 其特征在于， 所述利用所述综合异常 检测模型对待识别用户的行为进行异常检测的步骤， 包括： 获取待识别用户的事件序列， 并根据所述事件序列得到行为序列， 确定行为序列中各 行为项的行为类别； 将具有多个行为类别的行为序列带入至所述综合异常检测模型中， 得到无异常分值， 该无异常分值体现待识别用户从初始行为项到目前 行为项的全链路行为的异常情况； 若所述无异常分值低于设定阈值， 则确定待识别用户的行为存在异常并进行风险预 警。 8.根据权利要求6所述的行为链路异常识别方法， 其特征在于， 所述利用所述综合异常 检测模型对待识别用户的行为进行异常检测的步骤， 包括： 获取待识别用户的检测周期内的事件序列， 并根据所述事件序列得到行为序列， 确定 行为序列中各 行为项的行为类别； 将检测周期内的具有多个行为类别的行为序列带入至去除所述初始概率向量的综合 异常检测模型中， 得到无异常分值， 该无异常分值体现待识别用户在检测周期内的行为链 路的异常情况； 若所述无异常分值低于设定阈值， 则确定待识别用户的行为存在异常并进行风险预 警。 9.一种行为链路异常识别装置， 其特 征在于， 所述装置包括： 采集模块， 用于采集多个用户的事件序列样本， 各所述事件序列样本包括多个事件项， 相邻事件项之间具有时间 间隔； 聚类模块， 用于对多个事件序列样本对应的时间间隔进行聚类处理， 根据聚类处理结权　利　要　求　书 2/3 页 3 CN 115204322 B 3