一种异常检测模型更新方法、装置及电子设备与流程

本文件涉及人工智能技术领域，尤其涉及一种异常检测模型更新方法、装置及电子设备。

背景技术：

目前的用户身份认证主要采用静态的安全认证方式，例如指纹认证、面部认证、密码认证等。这种方式下，静态的认证信息是固定不变的，一旦被窃取，则导致较为严重的后果。此外，这种方式还要求用户配合操作，比如密码认证需要用户输入密码信息，对于用户来讲，不够便捷，影响了使用体验。

有鉴于此，当期亟需一种对用户更加友好且更可靠的安全认证方式。

技术实现要素：

本说明书实施例目的是提供一种异常检测模型更新方法、装置及电子设备，能够基于异常检测模型实现更可靠、更便捷的动态安全认证。

为了实现上述目的，本说明书实施例是这样实现的：

第一方面，提供一种异常检测模型更新方法，包括：

获取目标用户的终端设备采集到的用户时序行为特征；

将所述用户时序行为特征输入至针对所述目标用户部署的异常检测模型，得到所述异常检测模型针对所述用户时序行为特征的异常检测结果，其中，所述异常检测模型是基于所述目标用户在至少一个终端设备中的历史用户行为时序特征和对应的标签所训练得到的，所述标签包括用户行为异常和用户行为非异常；

若所述异常检测结果指示为用户行为非异常，则基于所述用户行为时序特征和用户行为非异常的标签对所述异常检测模型进行迭代训练。

第二方面，提供一种异常检测模型更新装置，包括：

特征获取模块，获取目标用户的终端设备采集到的用户时序行为特征；

异常检测模块，将所述用户时序行为特征输入至针对所述目标用户部署的异常检测模型，得到所述异常检测模型针对所述用户时序行为特征的异常检测结果，其中，所述异常检测模型是基于所述目标用户在至少一个终端设备中的历史用户行为时序特征和对应的标签所训练得到的，所述标签包括用户行为异常和用户行为非异常；

模型训练模块，若所述异常检测结果指示为用户行为非异常时，则基于所述用户行为时序特征和用户行为非异常的标签对所述异常检测模型进行迭代训练。

第三方面，提供一种电子设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行：

获取目标用户的终端设备采集到的用户时序行为特征；

将所述用户时序行为特征输入至针对所述目标用户部署的异常检测模型，得到所述异常检测模型针对所述用户时序行为特征的异常检测结果，其中，所述异常检测模型是基于所述目标用户在至少一个终端设备中的历史用户行为时序特征和对应的标签所训练得到的，所述标签包括用户行为异常和用户行为非异常；

若所述异常检测结果指示为用户行为非异常，则基于所述用户行为时序特征和用户行为非异常的标签对所述异常检测模型进行迭代训练。

第四方面，提供一种算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如下步骤：

获取目标用户的终端设备采集到的用户时序行为特征；

将所述用户时序行为特征输入至针对所述目标用户部署的异常检测模型，得到所述异常检测模型针对所述用户时序行为特征的异常检测结果，其中，所述异常检测模型是基于所述目标用户在至少一个终端设备中的历史用户行为时序特征和对应的标签所训练得到的，所述标签包括用户行为异常和用户行为非异常；

若所述异常检测结果指示为用户行为非异常，则基于所述用户行为时序特征和用户行为非异常的标签对所述异常检测模型进行迭代训练。

本说明书实施例的方案通过终端设备采集目标用户的用户时序行为特征，并对异常检测模型进行增量训练，使得异常检测模型能够学习目标用户最新的时序行为特征，以具备对目标用户进行动态安全认证的能力。由于异常检测的认证信息可以随时间发生变化，即便被泄露，所产生的后果也相对较低。此外，异常检测模型的训练和运作可以在用户无感知下进行，不会影响用户对终端设备的使用体验。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书实施例中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本说明书实施例提供的异常检测模型更新方法的第一种流程示意图。

图2为本说明书实施例提供的异常检测模型更新方法的第二种流程示意图。

图3为本说明书实施例提供的异常检测模型更新装置的结构示意图。

图4为本说明书实施例提供的服务器的结构示意图。

图5为本说明书实施例提供的电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。

如前所述，目前的用户身份认证主要采用静态的安全认证方式，例如指纹认证、面部认证、密码认证等。这种方式下，静态的认证信息是固定不变的，一旦被窃取，则导致较为严重的后果。此外，这种方式还要求用户配合操作，比如密码认证需要用户输入密码信息，对于用户来讲，不够便捷，影响了使用体验。针对上述问题，本文件旨在提供一种更可靠、更便捷的安全认证方式。

图1是本说明书实施例异常检测模型更新方法的流程图。图1所示的方法可以由下文相对应的装置执行，包括：

步骤s102，获取目标用户的终端设备采集到的用户时序行为特征。

其中：

目标用户的终端设备可以但不限于包括：pc、手机、pad、智能手环、智能眼镜等常见的个人设备。显然，这类终端设备普遍具有采集用户时序行为特征的功能。

用户时序行为特征顾名思义，可以在时间维度上反映用户行为习惯。作为示例性介绍，本实施例的用户时序行为特征可以但不限于包括：

用户动态运动轨迹特征，例如，用户平时走路的步频、步幅等，由终端设备的重力传感器、陀螺仪传感器等识别得到。

用户动态触控特征，例如，用户触控终端设备的屏幕的频率、粒度等，由终端屏幕内置的压力传感器识别得到。

用户动态应用交互特征，例如，用户针对应用程序的使用习惯、使用喜好等，由终端设备的系统日志中获取得到。

显然，用户时序行为特征是一种时间维度上持续的行为特征，可以看成是由至少两个时间点的用户行为特征关联而成。在本说明书实施例中，终端设备可以基于预设置的关联算法，对具有时序关系的至少两个用户行为特征进行计算，以获得用户时序行为特征。其中需要说明的是，关联算法的具体实现方式并不唯一，且属于现有技术，因此本文不再举例进行赘述。

步骤s104，将用户时序行为特征输入至针对目标用户部署的异常检测模型，得到异常检测模型针对用户时序行为特征的异常检测结果，其中，异常检测模型是基于目标用户在至少一个终端设备中的历史用户行为时序特征和对应的标签所训练得到的，标签包括用户行为异常和用户行为非异常。

应理解，异常检测模型是基于用户在至少一个终端设备中的历史用户行为时序特征训练得到的(目标用户可以指定至少一个终端设备负责采集用户行为时序特征)，能够对比现状用户行为时序特征和历史用户行为时序特征，以判断用户行为是否异常。异常则说明了终端设备的当前用户可能不是目标用户，由此可见，本说明书实施例的异常检测模型具有安全认证的功能。

这里需要说明的是，异常检测模型的实现方式并不唯一，只要具有分类功能(按照上述标签进行分类)，都可以适用于本说明书实施例的方案。

步骤s106，若异常检测结果指示为用户行为非异常时，则基于用户行为时序特征和用户行为非异常的标签对异常检测模型进行迭代训练。

其中，本步骤可以将用户行为时序特征作为异常检测模型的输入，将用户行为非异常的标签作为异常检测模型输出，以对异常检测模型进行迭代训练。

在具体训练过程中，也可以结合历史用户行为时序特征和用户行为时序特征所匹配的标签对异常检测模型进行迭代训练。

应理解，目标用户会因年龄、体重、季节、状态等多方面因素会导致行为特征随时间发生变化，这些变化都需要异常检测模型适应性的迭代推新。

目标用户的用户时序行为特征会随时间发生一定变化，比如由于身体、季节等因素导致行为特征发生变化。这些变化都需要异常检测模型做适应性的迭代推新。因此最新获取到的用户时序行为特征的重要度应大于历史用户时序行为特征，在训练过程中应对应有更高的占比。

基于图1所示的异常检测模型更新方法可以知道：本说明书实施例的方案通过终端设备采集目标用户的用户时序行为特征，并对异常检测模型进行增量训练，使得异常检测模型能够学习目标用户最新的时序行为特征，以具备对目标用户进行动态安全认证的能力。由于异常检测的认证信息可以随时间发生变化，即便被泄露，所产生的后果也相对较低。此外，异常检测模型的训练和运作可以在用户无感知下进行，不会影响用户对终端设备的使用体验。

此外，如果上述异常检测结果指示用户行为异常，则可能有两种情况解释。一种是终端设备的用户不是目标用户；另一种是终端设备的用户是目标用户，但基于一些原因导致以前的行为习惯发生了改变，使得用户时序行为特征也随之发生变化。

针对上述两种情况，本说明书实施例的方法可以先控制终端设备发起用户身份认证，以确定终端设备的用户是否为目标用户。比如，调用终端设备自带的认证功能(如生物认证、密码认证和usb密钥认证等)对用户的身份发起认证。

如果用户身份认证通过，则表示终端设备的用户是目标用户，此时基于用户行为时序特征和用户行为非异常的标签对异常检测模型进行正例的迭代训练，以使异常检测模型适应目标用户的行为习惯的变化。

如果用户身份认证未通过，则表示终端设备的用户不是目标用户，此时可以基于用户行为时序特征和用户行为非异常的标签对异常检测模型进行反例的迭代训练。或者，直接忽视掉步骤s102获得的用户行为时序特征，不对异常检测模型进行训练。

下面对本说明书实施例的异常检测模型更新方法进行详细介绍。

本说明书实施例的方法旨在通过与用户相关联的一个或多个终端设备，来动态采集用户时序行为特征，并基于网络高速的传输能力，实时分析用户动态行为，通过人工智能方法建模刻画用户行为属性。如果未发现用户行为异常，则使用获取到的用户时序行为特征对异常检测模型进行增量训练，保证异常检测模型的迭代更新。如果发现用户行为异常(与历史构建的用户行为属性不相符)，则启动深度身份认证流程，确定终端设备的用户是否为合法的目标用户。如果确定终端设备的用户是目标用户，则使用获取到的用户时序行为特征对异常检测模型进行正例训练。如果确定终端设备的用户是合法的目标用户，则使用获取到的用户时序行为特征对异常检测模型反例训练，或者直接忽视掉获取到的用户时序行为特征。通过上述方法，可以机械对异常检测模型进行动态更新，使异常检测模型实现了对目标用户进行安全认证的功能。

其中，异常检测模型更新方法主要流程包括：

步骤一，终端设备按照预设的数据同步规则，周期性采集用户使用过程中的用户时序行为特征。

可选地，终端设备基于异常检测模型匹配的特征提取方式，对采集到的用户行为数据进行特征提取，以获得至少两个用户行为特征。之后，终端设备基于预设置的关联算法，对具有时序关系的至少两个用户行为特征进行计算，以确定出用户时序行为特征。

作为示例性介绍，假设本说明书实施例的方法根据用户动态运动轨迹特征构建异常检测模型，则终端设备可以采集用户运动轨迹数据，并提取计算出用户动态运动轨迹特征。比如，用户走路、跑步、吃饭时的动态运动轨迹特征。

步骤二，将终端设备采集到的用户时序行为特征输入至异常检测模型，得到异常检测模型针对用户时序行为特征的异常检测结果。

步骤三，若异常检测结果指示用户行为非异常，则将终端设备本次采集到的用户行为时序特征和用户行为非异常的标签作为异常检测模型的正例训练数据，以添置至训练数据集。

步骤四，若异常检测结果指示用户行为异常，则调用终端设备的认证功能，对当前用户发起深度的身份认证。

步骤五，若身份认证通过，则将本次终端设备采集到的用户行为时序特征和用户行为非异常的标签作为异常检测模型的正例训练数据添置至训练数据集。

步骤六，若身份认证未通过，则将本次采集到的用户行为时序特征和用户行为异常的标签作为异常检测模型的反例训练数据添置至训练数据集，或者，直接忽略掉本次终端设备采集到的用户行为特征序。

步骤七，在预设的训练条件触发时，基于上述训练数据集，对异常检测模型进行训练。

其中，训练条件触发包括以下至少一者：

训练数据集增量的训练数据达到预设阈值。即，本说明书实施例的方法在积累一定数量的新的训练数据后，对异常检测模型进行增量更新。

到达异常检测模型的预设训练周期。即，本说明书实施例的方法周期性对异常检测模型进行增量更新。

下面结合实际的应用场景，对本说明书实施例的方法进行示例性介绍。

在本应用场景中，终端设备安全有支付应用。终端设备的用户在使用支付应用进行资源处理时(如转账、支出等)，支付应用控制终端设备发起安全验证。如图2所示，对应的方法流程包括：

终端设备按照预设的数据同步规则，周期性采集用户在使用支付应用时，进行资源处理过程中的用户行为时序特征，并将用户行为时序特征发送至支付应用的服务器。

具体地，如果终端设备为pc，则用户行为时序特征可以但不限于包括：键盘敲击的力度分布、鼠标点击行为和鼠标点击规律等特征。如果终端设备为移动设备，则用户行为时序特征可以但不限于包括：用户与移动设备指尖交互的力度分布、点击行为模式规律等特征，同时还可以进一步包括：移动设备传感器(重力传感器，角速度传感器，温度传感器)采集到的一些基础特征。

服务器将历史获取到的用户使用支付应用时，进行资源处理过程中的用户行为时序特征作为训练数据，以对异常检测模型进行训练，使异常检测模型刻画出用户使用支付应用进行资源处理的习惯。

用户在使用终端设备的支付应用进行资源处理时，支付应用控制终端设备，向其服务器发起辅助认证请求。

服务器在接收到辅助认证请求后，确定与辅助认证请求时间相关联的预定时间段(预定时间段可以是服务器接收到辅助认证请求时相近的时间段，可以位于服务器接收到辅助认证请求之前，也可以位于服务器接收到辅助认证请求之后)，并将属于预定时间段的用户行为时序特征作为现状用户行为时序特征。之后，服务器将现状用户行为时序特征输入至异常检测模型，以对用户进行异常检测。

服务器将异常检测结果反馈至终端设备，如果异常检测结果指示用户行为异常，则支付应用发起终端设备所配置的深度身份认证，如指纹认证、密码认证等。如果异常检测结果指示用户行为非异常，则支付应用判定安全认证通过，允许用户进行资源处理操作。

同时，如果异常检测结果指示用户行为非异常，则服务器将用户行为时序特征和用户行为非异常的标签作为正例的训练数据对异常检测模型进行训练。如果异常检测结果指示用户行为异常，则服务器还向终端设备获取深度身份认证结果。若深度身份认证通过，则服务器将用户行为时序特征和用户行为非异常的标签作为正例的训练数据对异常检测模型进行训练。若深度身份认证未通过，则服务器认定终端设备的当前用户属于非法用户，并直接忽略掉本次终端设备上传的用户行为时序特征。

以上是对本说明书实施例的方法的介绍。应理解，在不脱离本文上述原理基础之上，还可以进行适当的变化，这些变化也应视为本说明书实施例的保护范围。

以上是对本说明书实施例的方法的介绍。应理解，在不脱离本文上述原理基础之上，还可以进行适当的变化，这些变化也应视为本说明书实施例的保护范围。

图3是本说明书实施例的异常检测模型更新装置300，包括：

特征获取模块310，获取目标用户的终端设备采集到的用户时序行为特征；

异常检测模块320，将所述用户时序行为特征输入至针对所述目标用户部署的异常检测模型，得到所述异常检测模型针对所述用户时序行为特征的异常检测结果，其中，所述异常检测模型是基于所述目标用户在至少一个终端设备中的历史用户行为时序特征和对应的标签所训练得到的，所述标签包括用户行为异常和用户行为非异常；

模型训练模块330，若所述异常检测结果指示为用户行为非异常时，则基于所述用户行为时序特征和用户行为非异常的标签对所述异常检测模型进行迭代训练。

基于图3所示的异常检测模型更新装置可以知道：本说明书实施例的方案通过终端设备采集目标用户的用户时序行为特征，并对异常检测模型进行增量训练，使得异常检测模型能够学习目标用户最新的时序行为特征，以具备对目标用户进行动态安全认证的能力。由于异常检测的认证信息可以随时间发生变化，即便被泄露，所产生的后果也相对较低。此外，异常检测模型的训练和运作可以在用户无感知下进行，不会影响用户对终端设备的使用体验。

可选地，本说明书实施例装置还包括：

身份认证模块，若所述异常检测结果指示用户行为异常，则控制所述终端设备发起用户身份认证。

其中：

若所述用户身份认证通过，则模型训练模块330基于所述用户行为时序特征和用户行为非异常的标签对所述异常检测模型进行迭代训练。

若所述用户身份认证不通过，则模型训练模块330基于用户时序行为特征和用户行为异常的标签对异常检测模型进行迭代训练，或者模型训练模块330忽略掉用户时序行为特征，即不使用用户时序行为特征对异常检测模型进行迭代训练。

其中，上述用户身份认证采用以下至少一者认证方式：

生物认证、密码认证、usb密钥认证。

可选地，在上述模型训练模块330在实际应用中，可以将所述用户行为时序特征作为所述异常检测模型的训练数据添置至训练数据集，并在预设的训练条件触发时，基于所述训练数据集，对所述异常检测模型进行训练；

其中，所述训练条件触发包括以下至少一者：

训练数据集增量的训练数据达到预设阈值。即，本说明书实施例的方法在积累一定数量的新的训练数据后，对异常检测模型进行增量更新。

到达异常检测模型的预设训练周期。即，本说明书实施例的方法周期性对异常检测模型进行增量更新。

可选地，模型训练模块330具体分别基于所述用户行为时序特征和用户行为非异常的标签，以及历史用户行为时序特征和历史用户行为时序特征所对应的标签，对所述异常检测模型进行训练，其中，训练使用的历史用户行为时序特征不多于所述用户行为时序特征。

可选地，所述用户时序行为特征是所述终端设备基于预设置的关联算法，对具有时序关系的至少两个用户行为特征进行计算所获得的。所述至少两个用户行为特征是所述终端设备基于所述异常检测模型匹配的特征提取方式，对采集到的用户行为数据进行特征提取所获得的。

图4是本说明书实施例的服务器400，包括：

特征获取设备410，获取目标用户的终端设备采集到的用户时序行为特征；

异常检测设备420，将所述用户时序行为特征输入至针对所述目标用户部署的异常检测模型，得到所述异常检测模型针对所述用户时序行为特征的异常检测结果，其中，所述异常检测模型是基于所述目标用户在至少一个终端设备中的历史用户行为时序特征和对应的标签所训练得到的，所述标签包括用户行为异常和用户行为非异常；

模型训练设备430，若所述异常检测结果指示为用户行为非异常，则基于所述用户行为时序特征和用户行为非异常的标签对所述异常检测模型进行迭代训练。

本说明书实施例的服务器利用终端设备采集到的用户时序行为特征训练异常检测模型，使异常检测模型刻画用户的用户行为属性。在终端设备需要进行安全认证时，服务器基于异常检测模型，对现状的用户时序行为特征进行异常检测，并将异常检测结果反馈给终端设备，由终端设备执行与异常检测结果相匹配的安全认证流程。比如，在异常检测结果指示用户行为非异常时，终端设备可以通过安全认证。在异常检测结果指示用户行为异常时，终端设备向用户发起深度的身份认证。

对应服务器来讲，异常检测结果指示用户行为非异常，则可以将获取到的用户时序行为特征作为正例的训练数据对异常检测模型进行迭代更新。如果异常检测结果指示用户行为异常，在可以根据终端设备的身份认证结果，来确定终端设备的当前用户是否属于合法的目标用户。是目标用户，则将获取到的用户时序行为特征作为正例的训练数据对异常检测模型进行迭代更新。不是目标用户，将获取到的用户时序行为特征作为反例的训练数据对异常检测模型进行迭代更新，或者直接忽略掉本地获得的用户时序行为特征。

显然，本说明书实施例的服务器可以作为上述图1所示的异常检测模型更新方法的执行主体，因此够实现该异常检测模型更新方法在图1和图2所实现的功能。由于原理相同，本文不再赘述。

图5是本说明书的一个实施例电子设备的结构示意图。请参考图5，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(random-accessmemory，ram)，也可能还包括非易失性存储器(non-volatilememory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是isa(industrystandardarchitecture，工业标准体系结构)总线、pci(peripheralcomponentinterconnect，外设部件互连标准)总线或eisa(extendedindustrystandardarchitecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。

处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成问答对数据挖掘装置。处理器，执行存储器所存放的程序，并具体用于执行以下操作：

获取目标用户的终端设备采集到的用户时序行为特征。

将所述用户时序行为特征输入至针对所述目标用户部署的异常检测模型，得到所述异常检测模型针对所述用户时序行为特征的异常检测结果，其中，所述异常检测模型是基于所述目标用户在至少一个终端设备中的历史用户行为时序特征和对应的标签所训练得到的，所述标签包括用户行为异常和用户行为非异常。

若所述异常检测结果指示为用户行为非异常，则基于所述用户行为时序特征和用户行为非异常的标签对所述异常检测模型进行迭代训练。

本说明书实施例的电子设备通过终端设备采集目标用户的用户时序行为特征，并对异常检测模型进行增量训练，使得异常检测模型能够学习目标用户最新的时序行为特征，以具备对目标用户进行动态安全认证的能力。由于异常检测的认证信息可以随时间发生变化，即便被泄露，所产生的后果也相对较低。此外，异常检测模型的训练和运作可以在用户无感知下进行，不会影响用户对终端设备的使用体验。

上述如本说明书图1所示实施例揭示的异常检测模型更新方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field－programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

应理解，本说明书实施例的电子设备可以实现上述异常检测模型更新装置在图1和图2所示的实施例的功能，本文不再赘述。

当然，除了软件实现方式之外，本说明书的电子设备并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

此外，本说明书实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图1所示实施例的方法，并具体用于执行以下方法：

获取目标用户的终端设备采集到的用户时序行为特征；

将所述用户时序行为特征输入至针对所述目标用户部署的异常检测模型，得到所述异常检测模型针对所述用户时序行为特征的异常检测结果，其中，所述异常检测模型是基于所述目标用户在至少一个终端设备中的历史用户行为时序特征和对应的标签所训练得到的，所述标签包括用户行为异常和用户行为非异常；

若所述异常检测结果指示为用户行为非异常，则基于所述用户行为时序特征和用户行为非异常的标签对所述异常检测模型进行迭代训练。

应理解，上述指令当被包括多个应用程序的便携式电子设备执行时，能够使上文所述的异常检测模型更新装置实现图1和图2所示实施例的功能，本文不再赘述。

本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

以上仅为本说明书的实施例而已，并不用于限制本说明书。对于本领域技术人员来说，本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。此外，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本文件的保护范围。