1.一种异常行为检测方法,其特征在于,包括:
获取流量载体集合中的每个流量载体在预定时间段中的每个单位时间的多个实体的留存率和来源率,从而得到所述流量载体集合在所述预定时间段的留存来源信息集合,其中,所述预定时间段包括多个单位时间,所述多个实体在所述每个单位时间对所述每个流量载体中的内容进行操作,所述留存率表示在所述每个单位时间进行操作的实体留存在所述预定时间段中的后序时间中的比率,所述来源率表示在所述每个单位时间进行操作的实体来自所述预定时间段中的所述前序时间的比率,所述前序时间在时间上位于所述后序时间之前;
依据所述留存来源信息集合,对所述流量载体集合进行分类,得到至少一类流量载体;
针对所述至少一类流量载体的每类流量载体,获取所述每类流量载体中的流量载体之间的实体相似度;
当所述实体相似度大于预设相似度阈值时,确定所述每类流量载体中的流量载体存在异常行为。
2.根据权利要求1所述的方法,其特征在于,所述获取流量载体集合中的每个流量载体在预定时间段中的每个单位时间的多个实体的留存率和来源率,从而得到所述流量载体集合在所述预定时间段的留存来源信息集合,包括:
在所述预定时间段中,获取所述流量载体集合中的所述每个流量载体在n个单位时间内的n个实体集合,所述n个实体集合与所述n个单位时间一一对应,所述n个实体集合为所述每个单位时间的所述多个实体构成的与所述n个单位时间对应的集合,n为所述预定时间段内的单位时间的数量,n为大于等于1的整数;
基于所述n个实体集合,计算出所述每个单位时间的所述多个实体的所述留存率和所述来源率;
基于所述留存率和所述来源率,构成所述每个流量载体在所述预定时间段的留存来源信息,从而得到所述流量载体集合在所述预定时间段的所述留存来源信息集合,所述留存来源信息为所述每个流量载体在所述每个单位时间的所述留存率和所述来源率构成的与所述n个单位时间对应的信息。
3.根据权利要求2所述的方法,其特征在于,所述基于所述n个实体集合,计算出所述每个单位时间的所述多个实体的所述留存率和所述来源率,包括:
基于所述n个实体集合,计算出当前单位时间的多个实体在后序单位时间的单位留存率,从而得到所述当前单位时间对应的留存率,其中,所述后序单位时间为所述预定时间段内,所述当前单位时间之后的各个单位时间中的任一单位时间,所述当前单位时间为所述n个单位时间中的任意一个,所述当前单位时间对应的留存率包括至少一个单位留存率;
基于所述n个实体集合,计算出所述当前单位时间的多个实体来源于前序单位时间的单位来源率,从而得到所述当前单位时间对应的来源率,其中,所述前序单位时间为所述预定时间段内,所述当前单位时间之前的各个单位时间中的任一单位时间,所述当前单位时间对应的来源率包括至少一个单位来源率;
将所述当前单位时间更换为所述n个单位时间中另一单位时间重复上述操作,得到所述另一单位时间的留存率和来源率,直至处理完所述n个单位时间时为止,得到所述每个单位时间的所述留存率和所述来源率。
4.根据权利要求3所述的方法,其特征在于,所述基于所述n个实体集合,计算出当前单位时间的多个实体在后序单位时间的单位留存率,包括:
基于所述n个实体集合,获取所述当前单位时间对应的当前实体集合和所述后序单位时间对应的后序实体集合之间的共同实体,得到第一单位共同实体;
将所述第一单位共同实体与所述当前实体集合的比值,作为所述当前单位时间在所述后序单位时间的所述单位留存率。
5.根据权利要求3所述的方法,其特征在于,所述基于所述n个实体集合,计算出所述当前单位时间的多个实体来源于前序单位时间的单位来源率,包括:
基于所述n个实体集合,获取所述当前单位时间对应的当前实体集合和所述前序单位时间对应的前序实体集合之间的共同实体,得到第二单位共同实体;
将所述第二单位共同实体与所述当前实体集合的比值,作为所述当前单位时间在所述前序单位时间的所述单位来源率。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述依据所述留存来源信息集合,对所述流量载体集合进行分类,得到至少一类流量载体之后,以及针对所述至少一类流量载体的每类流量载体,获取所述每类流量载体中的流量载体之间的实体相似度之前,所述方法还包括:
获取所述每类流量载体中的当前流量载体对应的总互动量;所述当前流量载体为所述每类流量载体中的任一流量载体;
利用所述总互动量,计算所述每类流量载体对应的平均互动量;
所述针对所述至少一类流量载体的每类流量载体,获取所述每类流量载体中的流量载体之间的实体相似度,包括:
当所述平均互动量大于预设平均互动量阈值时,针对所述至少一类流量载体的所述每类流量载体,获取所述每类流量载体中的流量载体之间的所述实体相似度。
7.根据权利要求1至5任一项所述的方法,其特征在于,所述针对所述至少一类流量载体的每类流量载体,获取所述每类流量载体中的流量载体之间的实体相似度,包括:
针对所述至少一类流量载体中的所述每类流量载体,获取任意两流量载体之间的相似度,得到所述每类流量载体对应的相似度集合;
将所述相似度集合中最小的相似度,作为所述实体相似度。
8.根据权利要求7所述的方法,其特征在于,所述获取任意两流量载体之间的相似度,包括:
获取所述任意两流量载体对应的总实体数量;
获取所述任意两流量载体对应的共同实体数量;
将所述共同实体数量与所述总实体数量的比值,作为所述任意两流量载体之间的所述相似度。
9.根据权利要求1至5任一项所述的方法,其特征在于,所述针对所述至少一类流量载体的每类流量载体,获取所述每类流量载体中的流量载体之间的实体相似度之后,所述方法还包括:
当所述实体相似度大于所述预设相似度阈值时,确定所述实体相似度对应的异常实体。
10.根据权利要求2至5任一项所述的方法,其特征在于,所述当所述实体相似度大于预设相似度阈值时,确定所述每类流量载体中的流量载体存在异常行为之后,所述方法还包括:
根据所述留存来源信息,生成所述每个流量载体对应的留存来源热力图;
展示所述每个流量载体对应的所述留存来源热力图。
11.根据权利要求2至5任一项所述的方法,其特征在于,所述基于所述留存率和所述来源率,构成所述每个流量载体在所述预定时间段的留存来源信息,包括:
基于所述每个单位时间与所述n个单位时间的对应关系,将所述留存率和所述来源率,组合为与所述每个单位时间对应的子留存来源信息;
将所述子留存来源信息,作为矩阵中与所述每个单位时间对应的行或列,构成留存来源矩阵;
将所述留存来源矩阵展开为一个留存来源向量,将所述留存来源向量作为所述每个流量载体在所述预定时间段的所述留存来源信息。
12.一种异常行为检测装置,其特征在于,包括:
留存来源获取模块,用于获取流量载体集合中的每个流量载体在预定时间段中的每个单位时间的多个实体的留存率和来源率,从而得到所述流量载体集合在所述预定时间段的留存来源信息集合,其中,所述预定时间段包括多个单位时间,所述多个实体在所述每个单位时间对所述每个流量载体中的内容进行操作,所述留存率表示在所述每个单位时间进行操作的实体留存在所述预定时间段中的后序时间中的比率,所述来源率表示在所述每个单位时间进行操作的实体来自所述预定时间段中的所述前序时间的比率,所述前序时间在时间上位于所述后序时间之前;
分类模块,用于依据所述留存来源信息集合,对所述流量载体集合进行分类,得到至少一类流量载体;
相似度模块,用于针对所述至少一类流量载体的每类流量载体,获取所述每类流量载体中的流量载体之间的实体相似度;
异常检测模块,用于当所述实体相似度大于预设相似度阈值时,确定所述每类流量载体中的流量载体存在异常行为。
13.一种异常行为检测设备,其特征在于,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至11任一项所述的异常行为检测方法。
14.一种计算机可读存储介质,其特征在于,存储有可执行指令,用于引起处理器执行时,实现权利要求1至11任一项所述的异常行为检测方法。