用户异常行为检测方法、装置、电子设备、介质及程序与流程

1.本发明涉及异常检测技术领域，尤其涉及一种用户异常行为检测方法、装置、电子设备、介质及程序。


背景技术：

2.在一段时间内与其他观察结果表现出高度分歧的意外变化可以表示为异常行为。现有技术中基于用户行为基线的异常行为检测方法，通常以时间段为单位，计算出用户的行为基线，然后对比用户行为与基线值，如果超出预设的阈值，则认为是异常行为。由于用户的行为并不是严格按照一个行为模式一成不变的，因而用户的行为常常发生变化，如果基线的时间段单位设置过小，则会产生大量误报；如果基线的时间段单位设置过大，则异常行为被淹没在正常行为中。
3.因此现有技术中基于用户行为基线的异常检测方法不能很好的区分用户的行为变化是正常改变还是异常变化，因而会产生大量的误报。
4.对此，现亟需一种解决上述缺陷的技术方案。


技术实现要素：

5.本发明提供一种用户异常行为检测方法、装置、电子设备、介质及程序，用以解决现有技术中检测用户行为异常时误报率较高的缺陷。
6.本发明提供一种用户异常行为检测方法，包括：
7.根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率；其中，所述目标用户的待分析行为包括多个维度的行为数据，所述目标用户的待分析行为对应的第一行为概率曲线是根据所述目标用户的第一维度历史行为数据得到的；
8.根据所述第一概率，初步确定所述目标用户的待分析行为是否存在异常；
9.在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率；其中，所述目标用户所属用户组是根据用户的多个维度的历史行为数据聚类得到的多个用户组中的一个，所述目标用户所属用户组的第二行为概率曲线是根据所述目标用户所属用户组中的每一用户的第一维度历史行为数据得到的；
10.根据所述第二概率，确定所述目标用户的待分析行为是否异常。
11.根据本发明提供的一种用户异常行为检测方法，在所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率之前，方法还包括：
12.确定所述目标用户的待分析行为与目标用户的行为基线之间的差值，在所述差值不超出预设阈值的情况下，确定所述待分析行为正常；其中，所述目标用户的行为基线是根据所述目标用户的历史行为数据得到的；
13.在所述差值超出所述预设阈值的情况下，执行所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率的步骤。
14.根据本发明提供的一种用户异常行为检测方法，所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率，包括：
15.根据所述目标用户的每一行为维度与相应维度的行为概率曲线之间的对应关系，确定出第一维度相应的行为概率曲线，作为所述第一行为概率曲线；
16.将所述第一行为概率曲线上，所述待分析行为的第一维度的行为数据对应的概率，确定为所述目标用户发生所述待分析行为的第一概率。
17.根据本发明提供的一种用户异常行为检测方法，在所述根据所述待分析行为的第一维度的行为数据，从所述第一用户的多个维度相应的多条行为概率曲线中确定出第一维度相应的行为概率曲线，作为所述第一行为概率曲线之前，方法还包括：
18.根据所述目标用户的第一维度历史行为数据，利用核密度估计算法，生成所述目标用户的第一维度的行为概率曲线；其中，所述第一维度历史行为数据是多个维度的历史行为数据中的一个维度的历史行为数据。
19.根据本发明提供的一种用户异常行为检测方法，所述根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率，包括：
20.确定所述目标用户所属的用户组；
21.根据所述目标用户所属的用户组中每一行为维度与相应维度的行为概率曲线之间的对应关系，确定出第一维度相应的行为概率曲线，作为所述第二行为概率曲线；
22.将所述第二行为概率曲线上，所述待分析行为的第一维度的行为数据对应的概率，确定为所述目标用户发生所述待分析行为的第二概率。
23.根据本发明提供的一种用户异常行为检测方法，在所述在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率之前，方法还包括：
24.根据每一用户的多个维度的历史行为数据，利用聚类算法，对多个用户进行聚类分组，得到所述多个用户组。
25.根据本发明提供的一种用户异常行为检测方法，在所述根据每一用户的多个维度的历史行为数据，利用聚类算法，对多个用户进行聚类分组，得到所述多个用户组之后，方法还包括：
26.对于每一用户组，根据用户组中各个用户的第二维度历史行为数据，利用核密度估计算法，生成该用户组的第二维度的行为概率曲线；其中，所述第二维度是多个行为维度中的一个。
27.本发明还提供一种用户异常行为检测装置，包括：
28.第一概率确定模块，用于根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率；其中，所述目标用户的待分析行为包括多个维度的行为数据，所述目标用户的待分析行为对应的第一行为概率曲线是根据所述目标用户的第一维度历史行为数据得到的；
29.第一异常确定模块，用于根据所述第一概率，初步确定所述目标用户的待分析行为是否存在异常；
30.第二概率确定模块，用于在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率；其中，所述目标用户所属用户组是根据用户的多个维度的历史行为数据聚类得到的多个用户组中的一个，所述目标用户所属用户组的第二行为概率曲线是根据所述目标用户所属用户组中的每一用户的第一维度历史行为数据得到的；
31.第二异常确定模块，用于根据所述第二概率，确定所述目标用户的待分析行为是否异常。
32.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述用户异常行为检测方法的全部或部分步骤。
33.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述用户异常行为检测方法的全部或部分步骤。
34.本发明提供的一种用户异常行为检测方法、装置、电子设备、介质及程序，通过目标用户的第一行为概率曲线，从目标用户个体的角度初步判断了目标用户的待分析行为是否异常；通过目标用户的第二行为概率曲线，从目标用户所在用户组群体的角度进一步精确地判断了目标用户的待分析行为是否异常，降低了误报率。
附图说明
35.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
36.图1是本发明提供的一种用户异常行为检测方法的流程示意图；
37.图2是本发明提供的一种用户异常行为检测装置的结构示意图；
38.图3是本发明提供的电子设备的结构示意图。
具体实施方式
39.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
40.下面结合图1-图3描述本发明提供的一种用户异常行为检测方法、装置、电子设备、介质及程序
41.图1是本发明提供的一种用户异常行为检测方法的流程示意图，如图1所述，该方法包括：
42.s11、根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率；其中，所述目标用户的待分析行为包括多个维度的行为数据，所述目标用户的待分析行为对应的第一行为概率曲线是根据所述目标用户的第一维度历史行为数据得到的；
43.具体地，待分析行为数据可以是信息采集设备(音频采集设备、视频采集设备、指纹采集设备等)、用户终端(如手机、电脑、pda等)等设备采集到的数据。待分析行为是用于对目标用户进行异常行为检测的数据对象，例如，目标用户的考勤数据、目标用户利用办公系统执行的办公操作数据等。待分析行为数据包括多个维度的行为数据，以对待分析行为进行多角度的描述。例如对于目标用户的考勤数据(即待分析行为)，则多个维度的行为数据可以是“上班打卡时间”、“下班打卡时间”、“工作时长”、“当前出入办公区次数”等，又例如，对于目标用户的办公操作数据(即待分析行为)，多个维度的行为数据可以是“访问的应用数量”、“访问应用a的次数”、“产生的访问流量”等。
44.在对目标用户的待分析行为检测前，还需要预先根据目标用户的第一维度历史数据得到用户的第一维度行为的概率曲线，即第一行为概率曲线。对于连续型的行为描述数据，概率曲线是可以以概率密度函数的方式呈现，例如对于“上班打卡时间”，相应的概率曲线可以是“0～24h”时间段内打卡概率密度分布曲线；对于离散型的行为描述数据，概率曲线可以是离散概率的方式呈现，例如对于“访问的应用数量”，相应的概率曲线可以是“访问的应用数量”分别为1、2、3
……
n的相应离散概率。概率曲线体现了用户在观察时间段内发生具体的第一维度行为的可能性。
45.在对目标用户的待分析行为检测过程中，先根据目标用户的待分析行为对应的第一行为概率曲线确定所述目标用户发生所述待分析行为的第一概率。可以理解的是，第一行为概率曲线是目标用户的第一维度行为的概率曲线，结合待分析行为的第一维度的行为数据，即可得到第一概率，第一概率从第一维度的角度衡量了目标用户发生待分析行为的可能性。
46.另外，需要说明的是，在根据目标用户的第一维度历史行为数据得到目标用户的第一行为概率曲线时，需要预设观察时间段，以“观察时间段”为单位对目标用户的第一维度历史数据进行分析，进而确定相应的概率曲线，例如以“一天”为观察时间段分析用户的考勤数据，又例如以“一周”为观察时间段分析用户的办公操作数据。
47.s12、根据所述第一概率，初步确定所述目标用户的待分析行为是否存在异常；
48.具体地，可以结合经验数据预先设定的阈值/阈值范围，在第一概率超过设定阈值或超出阈值范围时，说明目标用户的待分析行为偏离正常行为，有可能存在异常。例如在第一概率小于或等于第一预设阈值时，确定目标用户的待分析行为正常；在第一概率大于第一预设阈值时，初步确定目标用户的待分析行为异常。
49.s13、在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率；其中，所述目标用户所属用户组是根据用户的多个维度的历史行为数据聚类得到的多个用户组中的一个，所述目标用户所属用户组的第二行为概率曲线是根据所述目标用户所属用户组中的每一用户的第一维度历史行为数据得到的；
50.具体地，利用目标用户的第一行为概率曲线初步判断目标用户行为异常后，需要结合用户组的行为概率曲线进一步判断目标用户行为是否异常。用户组是针对各用户，预先根据各用户的多个维度的历史行为数据进行多维度聚类，从而将各用户统一聚类划分得到的多个用户组。对于聚类得到的用户组，同一用户组内的多个用户，其相同维度的行为具有相似性。例如张三和李四的办公操作数据中均频繁访问应用a和应用b，很少访问应用c
(二人有可能是同岗位员工，被聚类划分为同一个用户组)。
51.在根据用户组的行为概率曲线进一步判断目标用户行为是否异常之前，还需要预先根据目标用户所属用户组中的每一用户的第一维度历史行为数据得到用户组的第一维度的行为概率曲线(即第二概率曲线)。然后，在此基础上结合目标用户的待分析行为的第一维度行为数据，即可得到第二概率，第二概率从第一维度的角度衡量了目标用户所在用户组中的每一用户发生待分析行为的可能性。
52.s14、根据所述第二概率，确定所述目标用户的待分析行为是否异常。
53.具体地，可以结合经验数据预先设定的阈值/阈值范围，在第二概率超过设定阈值或超出阈值范围时，则说明目标用户的待分析行为偏离了目标用户所在的用户组群体的正常行为，进一步确定了目标用户的待分析行为存在异常。例如在第二概率小于或等于第二预设阈值时，确定目标用户的待分析行为正常；在第二概率大于第二预设阈值时，初步确定目标用户的待分析行为异常。
54.需要说明的是上述步骤从第一维度判断了目标用户的待分析行为是否异常，待分析行为包括多个维度的行为数据，同理，参照上述方法还可以从其他维度判断目标用户的待分析行为是否异常。
55.本实施例通过目标用户的第一行为概率曲线，从目标用户个体的角度初步判断了目标用户的待分析行为是否异常；通过目标用户的第二行为概率曲线，从目标用户所在用户组群体的角度进一步精确地判断了目标用户的待分析行为是否异常，降低了误报率。
56.基于上述任一实施例，在一个实施例中，在所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率之前，方法还包括：
57.确定所述目标用户的待分析行为与目标用户的行为基线之间的差值，在所述差值不超出预设阈值的情况下，确定所述待分析行为正常；其中，所述目标用户的行为基线是根据所述目标用户的历史行为数据得到的；
58.在所述差值超出所述预设阈值的情况下，执行所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率的步骤。
59.具体地，需要预先获取目标用户的行为基线数据，可以利用用户实体行为分析技术(ueba)对目标用户的历史行为数据进行分析，得到目标用户的行为基线数据，行为基线数据以基线值以及阈值的方式描述了目标用户的正常的行为数据范围。在对目标用户的待分析行为进行分析前，先确定目标用户的待分析行为与目标用户的行为基线之间的差值。进而将差值与预设阈值进行比较，在该差值不超出预设阈值的情况下，说明目标用户的待分析行为在该用户正常的行为数据范围内，确定目标用户的待分析行为正常；在该差值超出预设阈值的情况下，说明目标用户的待分析行为已经不属于该用户正常的行为数据范围，相比于该用户的历史数据，该用户的待分析数据有一定的变化，需要进一步执行根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率的步骤确定该变化是正常变化还是异常变化。可以理解的是，目标用户的待分析行为、历史行为数据均包括多个维度，相应的目标用户的行为基线数据也包括多个维度的行为基线数据，在根据行为基线判断目标用户的待分析行为时，也可以从每一维度分别进行判断。
60.本实施例中通过将用户的待分析行为与目标用户的行为基线进行比较，确定了目标用户的待分析行为是否属于正常的行为数据范围，初步判断了目标用户的待分析行为是否异常。
61.基于上述任一实施例，在一个实施例中，所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率，包括：
62.根据所述目标用户的每一行为维度与相应维度的行为概率曲线之间的对应关系，确定出第一维度相应的行为概率曲线，作为所述第一行为概率曲线；
63.将所述第一行为概率曲线上，所述待分析行为的第一维度的行为数据对应的概率，确定为所述目标用户发生所述待分析行为的第一概率。
64.具体地，行为数据包括多个维度的行为数据，预先根据用户的每一行为维度的历史行为数据计算得到了相应行为维度的行为概率曲线，行为概率曲线并不与用户的历史行为数据严格对应，行为概率曲线能够预测历史行为数据中没有发生的行为所对应的概率。
65.根据目标用户的每一行为维度与相应维度的行为概率曲线之间的对应关系即可确定第一维度对应的行为概率曲线，即第一行为概率曲线。根据第一行为概率曲线上待分析行为的第一维度的行为数据对应的概率，即可确定为目标用户发生待分析行为的第一概率。例如，对于用户“访问的应用数量”，对应的概率曲线为离散概率呈现的概率曲线，且概率曲线中：“访问的应用数量为1”对应概率为0.05，“访问的应用数量为2”对应概率为0.1，“访问的应用数量为3”对应的概率为
……“
访问的应用数量为6”对应的概率为0.05，访问的应用数量为7”对应的概率为0。此时，目标用户的待分析行为中“访问的应用数量”为6，根据“访问的应用数量”对应的行为概率曲线，确定目标用户发生待分析行为“办公期间访问6个应用”的概率为0.05(对应第一概率)。又例如，对于用户考勤中“上班打卡时间”，“上班打卡时间”对应的行为概率曲线概率密度函数形式呈现的概率曲线，此时目标用户的待分析行为中“上班打卡时间”为6：32(即6点32分)，假设将每5分钟作为一个评估时间段，则可以将“上班打卡时间”对应的行为概率曲线上“6：30～6：35时间段”对应的概率曲线进行积分，将积分结果作为第一概率，即目标用户发生待分析行为“上班6：32打卡”的概率。
66.本实施例中预先根据目标用户的历史行为数据得到了第一行为概率曲线，在用户异常行为检测过程中利用第一行为概率曲线准确地预测了目标用户发生待分析行为的可能性，即第一概率。
67.基于上述任一实施例，在一个实施例中，在所述根据所述待分析行为的第一维度的行为数据，从所述第一用户的多个维度相应的多条行为概率曲线中确定出第一维度相应的行为概率曲线，作为所述第一行为概率曲线之前，方法还包括：
68.根据所述目标用户的第一维度历史行为数据，利用核密度估计算法，生成所述目标用户的第一维度的行为概率曲线；其中，所述第一维度历史行为数据是多个维度的历史行为数据中的一个维度的历史行为数据。
69.具体地，对目标用户的第一维度历史行为数据，利用核密度估计算法(kde算法)生成目标用户的第一维度的行为概率曲线，第一维度历史行为数据是多个维度的历史行为数据中的一个维度的历史行为数据。核密度估计算法可以包括多种内核(平滑内核、不平滑内核)，因而可以根据定样本集合求解得到随机变量的分布密度函数。本实施例利用核密度估计算法对目标用户的第一维度历史行为数据进行处理，得到相应的分布密度函数，作为第
一维度的行为概率曲线。
70.本实施例中利用核密度估计算法精确地得到了目标用户的第一维度的行为概率曲线，便于对目标用户发生待分析行为的第一概率进行准确地预测。
71.基于上述任一实施例，在一个实施例中，所述根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率，包括：
72.确定所述目标用户所属的用户组；
73.根据所述目标用户所属的用户组中每一行为维度与相应维度的行为概率曲线之间的对应关系，确定出第一维度相应的行为概率曲线，作为所述第二行为概率曲线；
74.将所述第二行为概率曲线上，所述待分析行为的第一维度的行为数据对应的概率，确定为所述目标用户发生所述待分析行为的第二概率。
75.具体地，预先已经对各个用户进行了分组得到多个用户组，同一用户组内的多个用户，其相同维度的行为具有相似性，根据预先的分组确定目标用户所属的用户组；对于每一用户组，预先根据用户组内各用户的历史行为数据计算得到了每一行为维度对应的行为概率曲线，根据待分析行为的第一维度行为数据，确定出用户组第一维度相应的行为概率曲线，即第二行为概率曲线；将第二行为概率曲线上，待分析行为的第一维度的行为数据对应的概率，确定为所述目标用户发生所述待分析行为的第二概率。可以理解的是第二概率从用户组群体的角度描述了用户组内成员发生待分析行为的概率，可以避免对目标用户正常变化的待分析行为的误判，例如目标用户a所在用户组由于紧急任务整体加班，导致目标用户a的“上班打卡时间”异常提前，又例如目标用户a与用户b有工作交接/代班，导致的办公操作数据异常，利用用户组的第二行为概率曲线方便判断目标用户的待分析行为是正常变化还是异常变化。
76.本实施例中预先根据目标用户所在用户组的历史行为数据得到了第二行为概率曲线，在用户异常行为检测过程中利用第二行为概率曲线从目标用户所在用户组群体的角度准确地预测了目标用户发生待分析行为的可能性，即第二概率。
77.基于上述任一实施例，在一个实施例中，在所述在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率之前，方法还包括：
78.根据每一用户的多个维度的历史行为数据，利用聚类算法，对多个用户进行聚类分组，得到所述多个用户组。
79.具体的，利用聚类算法对各用户的多维度的历史行为数据进行聚类，综合多维度的数据对多个用户进行聚类分组，得到多个用户组。对于聚类得到的用户组，同一用户组内的多个用户，其相同维度的行为具有相似性。具体的聚类算法可以采用例如k-means算法、dbscan算法、ap(affinity propagation)算法等，此处不作限制。
80.需要说明的是，本实施例中的聚类分组并不是根据单一维度的行为数据分别进行分组，而是对于每一用户考虑其多个维度的行为数据对多个用户进行聚类分组，多个维度行为数据相似的用户被聚类为一个用户组。
81.本实施例中根据每一用户的多个维度的历史行为数据，利用聚类算法对多个用户进行聚类分组得到多个用户组，便于从用户组群体的角度判断用户的待分析行为是否异常。
82.基于上述任一实施例，在一个实施例中，在所述根据每一用户的多个维度的历史行为数据，利用聚类算法，对多个用户进行聚类分组，得到所述多个用户组之后，方法还包括：
83.对于每一用户组，根据用户组中各个用户的第二维度历史行为数据，利用核密度估计算法，生成该用户组的第二维度的行为概率曲线；其中，所述第二维度是多个行为维度中的一个。
84.具体地，对每一用户组，根据用户组中各个用户的第二维度历史行为数据，利用核密度估计算法生成用户组的第二维度的行为概率曲线；第二维度是多个行为维度中的一个，相应地，对于用户组的每一维度，分别生成对应维度的行为概率曲线。核密度估计算法可以包括多种内核(平滑内核、不平滑内核)，因而可以根据定样本集合求解得到随机变量的分布密度函数。本实施例利用核密度估计算法对用户组中各个用户的第二维度历史行为数据进行处理，得到相应的的分布密度函数，作为该用户组的第二维度的行为概率曲线。
85.本实施例中利用核密度估计算法精确地得到了目标用户所在用户组的行为概率曲线，便于从用户组群体的角度判断用户的待分析行为是否异常。
86.下面对本发明提供的用户异常行为检测装置进行描述，下文描述的用户异常行为检测装置与上文描述的用户异常行为检测方法可相互对应参照。
87.图2是本发明提供的一种用户异常行为检测装置的结构示意图，如图2所示，该装置包括：第一概率确定模块21、第一异常确定模块22、第二概率确定模块23、第二异常确定模块24；其中，
88.第一概率确定模块21，用于根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率；其中，所述目标用户的待分析行为包括多个维度的行为数据，所述目标用户的待分析行为对应的第一行为概率曲线是根据所述目标用户的第一维度历史行为数据得到的；
89.第一异常确定模块22，用于根据所述第一概率，初步确定所述目标用户的待分析行为是否存在异常；
90.第二概率确定模块23，用于在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率；其中，所述目标用户所属用户组是根据用户的多个维度的历史行为数据聚类得到的多个用户组中的一个，所述目标用户所属用户组的第二行为概率曲线是根据所述目标用户所属用户组中的每一用户的第一维度历史行为数据得到的；
91.第二异常确定模块24，用于根据所述第二概率，确定所述目标用户的待分析行为是否异常。
92.本实施例通过目标用户的第一行为概率曲线，从目标用户个体的角度初步判断了目标用户的待分析行为是否异常；通过目标用户的第二行为概率曲线，从目标用户所在用户组群体的角度进一步精确地判断了目标用户的待分析行为是否异常，降低了误报率。
93.基于上述任一实施例，在一个实施例中，所述装置还包括：
94.第一基线判断模块，用于确定所述目标用户的待分析行为与目标用户的行为基线之间的差值，在所述差值不超出预设阈值的情况下，确定所述待分析行为正常；其中，所述目标用户的行为基线是根据所述目标用户的历史行为数据得到的；
95.第二基线判断模块，用于在所述差值超出所述预设阈值的情况下，执行所述根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率的步骤。
96.本实施例中通过将用户的待分析行为与目标用户的行为基线进行比较，确定了目标用户的待分析行为是否属于正常的行为数据范围，初步判断了目标用户的待分析行为是否异常。
97.基于上述任一实施例，在一个实施例中，所述第一概率确定模块21包括：
98.第一行为概率曲线确定单元，用于根据所述目标用户的每一行为维度与相应维度的行为概率曲线之间的对应关系，确定出第一维度相应的行为概率曲线，作为所述第一行为概率曲线；
99.第一概率确定单元，用于将所述第一行为概率曲线上，所述待分析行为的第一维度的行为数据对应的概率，确定为所述目标用户发生所述待分析行为的第一概率。
100.本实施例中预先根据目标用户的历史行为数据得到了第一行为概率曲线，在用户异常行为检测过程中利用第一行为概率曲线准确地预测了目标用户发生待分析行为的可能性，即第一概率。
101.基于上述任一实施例，在一个实施例中，所述装置还包括：
102.用户概率曲线生成单元，用于根据所述目标用户的第一维度历史行为数据，利用核密度估计算法，生成所述目标用户的第一维度的行为概率曲线；其中，所述第一维度历史行为数据是多个维度的历史行为数据中的一个维度的历史行为数据。
103.本实施例中利用核密度估计算法精确地得到了目标用户的第一维度的行为概率曲线，便于对目标用户发生待分析行为的第一概率进行准确地预测。
104.基于上述任一实施例，在一个实施例中，所述第二概率确定模块23，包括：
105.用户组确定单元，用于确定所述目标用户所属的用户组；
106.用户组概率曲线确定单元，用于根据所述目标用户所属的用户组中每一行为维度与相应维度的行为概率曲线之间的对应关系，确定出第一维度相应的行为概率曲线，作为所述第二行为概率曲线；
107.第二概率确定单元，用于将所述第二行为概率曲线上，所述待分析行为的第一维度的行为数据对应的概率，确定为所述目标用户发生所述待分析行为的第二概率。
108.本实施例中预先根据目标用户所在用户组的历史行为数据得到了第二行为概率曲线，在用户异常行为检测过程中利用第二行为概率曲线从目标用户所在用户组群体的角度准确地预测了目标用户发生待分析行为的可能性，即第二概率。
109.基于上述任一实施例，在一个实施例中，所述装置还包括：
110.聚类模块，用于根据每一用户的多个维度的历史行为数据，利用聚类算法，对多个用户进行聚类分组，得到所述多个用户组。
111.本实施例中根据每一用户的多个维度的历史行为数据，利用聚类算法对多个用户进行聚类分组得到多个用户组，便于从用户组群体的角度判断用户的待分析行为是否异常。
112.基于上述任一实施例，在一个实施例中，所述装置还包括：
113.用户组概率曲线生成单元，用于对于每一用户组，根据用户组中各个用户的第二
维度历史行为数据，利用核密度估计算法，生成该用户组的第二维度的行为概率曲线；其中，所述第二维度是多个行为维度中的一个。
114.本实施例中利用核密度估计算法精确地得到了目标用户所在用户组的行为概率曲线，便于从用户组群体的角度判断用户的待分析行为是否异常。
115.图3示例了一种电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)310、通信接口(communications interface)320、存储器(memory)330和通信总线340，其中，处理器310，通信接口320，存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令，以执行上述各提供的用户异常行为检测方法的全部或部分步骤，该方法包括：根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率；其中，所述目标用户的待分析行为包括多个维度的行为数据，所述目标用户的待分析行为对应的第一行为概率曲线是根据所述目标用户的第一维度历史行为数据得到的；根据所述第一概率，初步确定所述目标用户的待分析行为是否存在异常；在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率；其中，所述目标用户所属用户组是根据用户的多个维度的历史行为数据聚类得到的多个用户组中的一个，所述目标用户所属用户组的第二行为概率曲线是根据所述目标用户所属用户组中的每一用户的第一维度历史行为数据得到的；根据所述第二概率，确定所述目标用户的待分析行为是否异常。
116.此外，上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
117.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各提供的用户异常行为检测方法的全部或部分步骤，该方法包括：根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率；其中，所述目标用户的待分析行为包括多个维度的行为数据，所述目标用户的待分析行为对应的第一行为概率曲线是根据所述目标用户的第一维度历史行为数据得到的；根据所述第一概率，初步确定所述目标用户的待分析行为是否存在异常；在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率；其中，所述目标用户所属用户组是根据用户的多个维度的历史行为数据聚类得到的多个用户组中的一个，所述目标用户所属用户组的第二行为概率曲线是根据所述目标用户所属用户组中的每一用户的第一维度历史行为数据得到的；根据所述第二概率，确定所述目标用户的待分析行为是否异常。
118.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的用户异常行为检测方法的全部或部分步骤，该方法包括：根据目标用户的待分析行为对应的第一行为概率曲线，确定所述目标用户发生所述待分析行为的第一概率；其中，所述目标用户的待分析行为包括多个维度的行为数据，所述目标用户的待分析行为对应的第一行为概率曲线是根据所述目标用户的第一维度历史行为数据得到的；根据所述第一概率，初步确定所述目标用户的待分析行为是否存在异常；在初步确定所述目标用户的待分析行为存在异常的情况下，根据目标用户所属用户组的第二行为概率曲线，确定所述目标用户发生所述待分析行为的第二概率；其中，所述目标用户所属用户组是根据用户的多个维度的历史行为数据聚类得到的多个用户组中的一个，所述目标用户所属用户组的第二行为概率曲线是根据所述目标用户所属用户组中的每一用户的第一维度历史行为数据得到的；根据所述第二概率，确定所述目标用户的待分析行为是否异常。
119.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
120.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
121.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。