摘要
本发明提供了一种异常行为检测方法及装置,包括:从多种来源采集Web访问日志数据并进行预处理,提取关键信息;基于用户唯一标识ID构建用户行为模型,并提取量化的行为特征;基于马尔科夫链模型计算用户行为状态之间的转移概率,并构建状态转移概率矩阵;利用机器学习算法学习正常行为模式和异常行为模式,对不同类型的异常行为进行分类;基于统计分析方法动态设定异常行为的阈值;对实时Web访问日志数据进行分析,计算用户行为的异常得分,并与动态阈值比较判断是否存在异常行为。本方案提供了一种高效的,通用的特征提取和行为序列检测方法,支持不同异常行为类型的检测,能有效降低误报率和漏报率,具备很高的泛化能力。
