用于用户网络活动异常检测的系统、方法和计算机程序产品与流程

本公开大体上涉及网络行为分析，并且在非限制性实施例或方面中涉及用于通过对行为进行多层绘图来进行异常检测的系统、方法和计算机程序产品。

背景技术：

1、检测群体内的异常对于许多不同类型的系统是有益的。然而，典型的异常检测是基于单层信息。这与现实世界应用中常见的条件不匹配，在现实世界应用中可能需要多个输入来确定群体内的异常。此外，基于与给定用户的对等方的活动的比较，所述用户的行为可能是异常的，也可能不是异常的。因此，有必要基于组成员之间的关系将群体分成不同的组，并且基于多个输入来标识组内的异常。这样做会提高检测异常网络活动的准确性，进而通过准确标识和响应异常行为来节约网络资源，无论是通过缓解所述行为还是重新分配网络资源以适应异常行为。

技术实现思路

1、根据一些非限制性实施例或方面，提供一种用于用户网络活动异常检测的计算机实施的方法。所述方法包括利用至少一个处理器，在包括至少一个网络资源的网络上接收与多个用户的网络资源活动相关联的网络资源数据。所述方法还包括利用至少一个处理器，从所述网络资源数据生成多层图的多个层。所述多个层中的每个层包括由多个边缘连接的多个节点。所述多个节点中的每个节点与所述多个用户中的用户相关联。所述多个边缘中的每个边缘表示所述节点的相关性。每个层表示根据网络资源活动的唯一参数的节点的相关性。所述方法还包括利用至少一个处理器，生成与所述多个层中的每个层相关联的邻接矩阵以产生多个邻接矩阵。所述方法还包括利用至少一个处理器，将权重分配给所述多个邻接矩阵中的每个邻接矩阵以产生多个权重。所述方法还包括利用至少一个处理器，通过使用所述多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成合并单层图，所述合并单层图包括合并的一组节点。所述方法还包括利用至少一个处理器，通过针对所述合并的一组节点中的每个节点，基于所述节点的属性和在所述合并的一组节点中连接到所述节点的至少一个对等节点的至少一个属性生成异常得分，生成一组异常得分。所述方法还包括利用至少一个处理器，基于所述一组异常得分确定所述多个用户中的一组异常用户。

2、在另外的非限制性实施例或方面中，所述方法还可包括(a)利用至少一个处理器，基于至少一个损失函数修改所述多个权重以产生修改后的多个权重。所述方法还可包括(b)利用至少一个处理器，通过使用所述修改后的多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成更新后的合并单层图。所述方法还可包括(c)利用至少一个处理器，基于所述更新后的合并单层图生成一组新的异常得分。所述方法还可包括(d)利用至少一个处理器，基于所述一组新的异常得分更新所述一组异常用户。

3、在另外的非限制性实施例或方面中，所述至少一个损失函数可包括至少两个损失函数的加权和。所述至少两个损失函数可包括至少部分地基于所述合并单层图的损失函数。所述方法还可包括通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在无监督的训练环境中重复执行上述步骤(a)-(d)。

4、在另外的非限制性实施例或方面中，所述至少两个损失函数还可包括至少部分地基于外部标识的异常用户的输入反馈的损失函数。所述方法还可包括通过接收外部标识的异常用户的新输入反馈，并且通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在至少部分受监督的训练环境中重复执行上述步骤(a)-(d)。

5、在另外的非限制性实施例或方面中，所述方法还可包括利用至少一个处理器，基于所述一组异常用户检测欺诈性网络活动。所述方法还可包括响应于检测到欺诈性网络活动，利用至少一个处理器执行至少一个欺诈缓解过程。

6、根据一些非限制性实施例或方面，提供一种用于用户网络活动异常检测的系统。所述系统包括服务器，所述服务器包括至少一个处理器。所述服务器被编程或配置成在包括至少一个网络资源的网络上接收与多个用户的网络资源活动相关联的网络资源数据。所述服务器还被编程或配置成从所述网络资源数据生成多层图的多个层。所述多个层中的每个层包括由多个边缘连接的多个节点。所述多个节点中的每个节点与所述多个用户中的用户相关联。所述多个边缘中的每个边缘表示所述节点的相关性。每个层表示根据网络资源活动的唯一参数的节点的相关性。所述服务器还被编程或配置成生成与所述多个层中的每个层相关联的邻接矩阵以产生多个邻接矩阵。所述服务器还被编程或配置成将权重分配给所述多个邻接矩阵中的每个邻接矩阵以产生多个权重。所述服务器还被编程或配置成通过使用所述多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成合并单层图，所述合并单层图包括合并的一组节点。所述服务器还被编程或配置成通过针对所述合并的一组节点中的每个节点，基于所述节点的属性和在所述合并的一组节点中连接到所述节点的至少一个对等节点的至少一个属性生成异常得分，生成一组异常得分。所述服务器还被编程或配置成基于所述一组异常得分确定所述多个用户中的一组异常用户。

7、在另外的非限制性实施例或方面中，所述服务器还可被编程或配置成(a)基于至少一个损失函数修改所述多个权重以产生修改后的多个权重。所述服务器还可被编程或配置成(b)通过使用所述修改后的多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成更新后的合并单层图。所述服务器还可被编程或配置成(c)基于所述更新后的合并单层图生成一组新的异常得分。所述服务器还可被编程或配置成(d)基于所述一组新的异常得分更新所述一组异常用户。

8、在另外的非限制性实施例或方面中，所述至少一个损失函数可包括至少两个损失函数的加权和。所述至少两个损失函数可包括至少部分地基于所述合并单层图的损失函数。所述服务器还可被编程或配置成通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在无监督的训练环境中重复执行步骤(a)-(d)。

9、在另外的非限制性实施例或方面中，所述至少两个损失函数还可包括至少部分地基于外部标识的异常用户的输入反馈的损失函数。所述服务器还可被编程或配置成通过接收外部标识的异常用户的新输入反馈，并且通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在至少部分受监督的训练环境中重复执行步骤(a)-(d)。

10、在另外的非限制性实施例或方面中，所述服务器还可被编程或配置成基于所述一组异常用户检测欺诈性网络活动。所述服务器还可被编程或配置成响应于检测到欺诈性网络活动，执行至少一个欺诈缓解过程。

11、根据一些非限制性实施例或方面，提供一种用于用户网络活动异常检测的计算机程序产品。所述计算机程序产品包括至少一个非瞬态计算机可读介质，所述至少一个非瞬态计算机可读介质包括程序指令，所述程序指令在由至少一个处理器执行时，使得所述至少一个处理器在包括至少一个网络资源的网络上接收与多个用户的网络资源活动相关联的网络资源数据。所述程序指令还使得所述至少一个处理器从所述网络资源数据生成多层图的多个层。所述多个层中的每个层包括由多个边缘连接的多个节点。所述多个节点中的每个节点与所述多个用户中的用户相关联。所述多个边缘中的每个边缘表示所述节点的相关性。每个层表示根据网络资源活动的唯一参数的节点的相关性。所述程序指令还使得所述至少一个处理器生成与所述多个层中的每个层相关联的邻接矩阵以产生多个邻接矩阵。所述程序指令还使得所述至少一个处理器将权重分配给所述多个邻接矩阵中的每个邻接矩阵以产生多个权重。所述程序指令还使得所述至少一个处理器通过使用所述多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成合并单层图，所述合并单层图包括合并的一组节点。所述程序指令还使得所述至少一个处理器通过针对所述合并的一组节点中的每个节点，基于所述节点的属性和在所述合并的一组节点中连接到所述节点的至少一个对等节点的至少一个属性生成异常得分，生成一组异常得分。所述程序指令还使得所述至少一个处理器基于所述一组异常得分确定所述多个用户中的一组异常用户。

12、在另外的非限制性实施例或方面中，所述程序指令还使得所述至少一个处理器(a)基于至少一个损失函数修改所述多个权重以产生修改后的多个权重。所述程序指令还使得所述至少一个处理器(b)通过使用所述修改后的多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成更新后的合并单层图。所述程序指令还使得所述至少一个处理器(c)基于所述更新后的合并单层图生成一组新的异常得分。所述程序指令还使得所述至少一个处理器(d)基于所述一组新的异常得分更新所述一组异常用户。

13、在另外的非限制性实施例或方面中，所述至少一个损失函数可包括至少两个损失函数的加权和。所述至少两个损失函数还可包括至少部分地基于所述合并单层图的损失函数。

14、在另外的非限制性实施例或方面中，所述至少两个损失函数可包括至少部分地基于外部标识的异常用户的输入反馈的损失函数。所述程序指令还使得所述至少一个处理器通过接收外部标识的异常用户的新输入反馈，并且通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在至少部分受监督的训练环境中重复执行步骤(a)-(d)。

15、在另外的非限制性实施例或方面中，所述程序指令还使得所述至少一个处理器基于所述一组异常用户检测欺诈性网络活动。所述程序指令还使得所述至少一个处理器响应于检测到欺诈性网络活动执行至少一个欺诈缓解过程。

16、将在以下编号条款中阐述其它非限制性实施例或方面：

17、条款1：一种计算机实施的方法，包括：利用至少一个处理器，在包括至少一个网络资源的网络上接收与多个用户的网络资源活动相关联的网络资源数据；利用至少一个处理器，从所述网络资源数据生成多层图的多个层，其中所述多个层中的每个层包括由多个边缘连接的多个节点，所述多个节点中的每个节点与所述多个用户中的用户相关联，所述多个边缘中的每个边缘表示所述节点的相关性，并且每个层表示根据网络资源活动的唯一参数的节点的相关性；利用至少一个处理器，生成与所述多个层中的每个层相关联的邻接矩阵以产生多个邻接矩阵；利用至少一个处理器，将权重分配给所述多个邻接矩阵中的每个邻接矩阵以产生多个权重；利用至少一个处理器，通过使用所述多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成合并单层图，所述合并单层图包括合并的一组节点；利用至少一个处理器，通过针对所述合并的一组节点中的每个节点，基于所述节点的属性和在所述合并的一组节点中连接到所述节点的至少一个对等节点的至少一个属性生成异常得分，生成一组异常得分；以及利用至少一个处理器，基于所述一组异常得分确定所述多个用户中的一组异常用户。

18、条款2：根据条款1所述的计算机实施的方法，还包括：(a)利用至少一个处理器，基于至少一个损失函数修改所述多个权重以产生修改后的多个权重；(b)利用至少一个处理器，通过使用所述修改后的多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成更新后的合并单层图；(c)利用至少一个处理器，基于所述更新后的合并单层图生成一组新的异常得分；以及(d)利用至少一个处理器，基于所述一组新的异常得分更新所述一组异常用户。

19、条款3：根据条款1或2所述的计算机实施的方法，其中所述至少一个损失函数包括至少两个损失函数的加权和，并且其中所述至少两个损失函数包括至少部分地基于所述合并单层图的损失函数。

20、条款4：根据条款1至3中任一项所述的计算机实施的方法，其中所述至少两个损失函数还包括至少部分地基于外部标识的异常用户的输入反馈的损失函数。

21、条款5：根据条款1至4中任一项所述的计算机实施的方法，还包括通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在无监督的训练环境中重复执行步骤(a)-(d)。

22、条款6：根据条款1至5中任一项所述的计算机实施的方法，还包括通过接收外部标识的异常用户的新输入反馈，并且通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在至少部分受监督的训练环境中重复执行步骤(a)-(d)。

23、条款7：根据条款1至6中任一项所述的计算机实施的方法，还包括：利用至少一个处理器，基于所述一组异常用户检测欺诈性网络活动；以及响应于检测到欺诈性网络活动，利用至少一个处理器执行至少一个欺诈缓解过程。

24、条款8：一种包括服务器的系统，所述服务器包括至少一个处理器，所述服务器被编程或配置成：在包括至少一个网络资源的网络上接收与多个用户的网络资源活动相关联的网络资源数据；从所述网络资源数据生成多层图的多个层，其中所述多个层中的每个层包括由多个边缘连接的多个节点，所述多个节点中的每个节点与所述多个用户中的用户相关联，所述多个边缘中的每个边缘表示所述节点的相关性，并且每个层表示根据网络资源活动的唯一参数的节点的相关性；生成与所述多个层中的每个层相关联的邻接矩阵以产生多个邻接矩阵；将权重分配给所述多个邻接矩阵中的每个邻接矩阵以产生多个权重；通过使用所述多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成合并单层图，所述合并单层图包括合并的一组节点；通过针对所述合并的一组节点中的每个节点，基于所述节点的属性和在所述合并的一组节点中连接到所述节点的至少一个对等节点的至少一个属性生成异常得分，生成一组异常得分；以及基于所述一组异常得分确定所述多个用户中的一组异常用户。

25、条款9：根据条款8所述的系统，其中所述服务器还被编程或配置成：(a)基于至少一个损失函数修改所述多个权重以产生修改后的多个权重；(b)通过使用所述修改后的多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成更新后的合并单层图；(c)基于所述更新后的合并单层图生成一组新的异常得分；以及(d)基于所述一组新的异常得分更新所述一组异常用户。

26、条款10：根据条款8或9所述的系统，其中所述至少一个损失函数包括至少两个损失函数的加权和，并且其中所述至少两个损失函数包括至少部分地基于所述合并单层图的损失函数。

27、条款11：根据条款8-10中任一项所述的系统，其中所述至少两个损失函数还包括至少部分地基于外部标识的异常用户的输入反馈的损失函数。

28、条款12：根据条款8至11中任一项所述的系统，其中所述服务器还被编程或配置成通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在无监督的训练环境中重复执行步骤(a)-(d)。

29、条款13：根据条款8至12中任一项所述的系统，其中所述服务器还被编程或配置成通过接收外部标识的异常用户的新输入反馈，并且通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在至少部分受监督的训练环境中重复执行步骤(a)-(d)。

30、条款14：根据条款8至13中任一项所述的系统，其中所述服务器还被编程或配置成：基于所述一组异常用户检测欺诈性网络活动；以及响应于检测到欺诈性网络活动，执行至少一个欺诈缓解过程。

31、条款15：一种计算机程序产品，包括至少一个非瞬态计算机可读介质，所述至少一个非瞬态计算机可读介质包括程序指令，所述程序指令在由至少一个处理器执行时，使得所述至少一个处理器：在包括至少一个网络资源的网络上接收与多个用户的网络资源活动相关联的网络资源数据；从所述网络资源数据生成多层图的多个层，其中所述多个层中的每个层包括由多个边缘连接的多个节点，所述多个节点中的每个节点与所述多个用户中的用户相关联，所述多个边缘中的每个边缘表示所述节点的相关性，并且每个层表示根据网络资源活动的唯一参数的节点的相关性；生成与所述多个层中的每个层相关联的邻接矩阵以产生多个邻接矩阵；将权重分配给所述多个邻接矩阵中的每个邻接矩阵以产生多个权重；通过使用所述多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成合并单层图，所述合并单层图包括合并的一组节点；通过针对所述合并的一组节点中的每个节点，基于所述节点的属性和在所述合并的一组节点中连接到所述节点的至少一个对等节点的至少一个属性生成异常得分，生成一组异常得分；以及基于所述一组异常得分确定所述多个用户中的一组异常用户。

32、条款16：根据条款15所述的计算机程序产品，其中所述程序指令还使得所述至少一个处理器：(a)基于至少一个损失函数修改所述多个权重以产生修改后的多个权重；(b)通过使用所述修改后的多个权重基于所述多个邻接矩阵的加权和合并所述多个层来生成更新后的合并单层图；(c)基于所述更新后的合并单层图生成一组新的异常得分；以及(d)基于所述一组新的异常得分更新所述一组异常用户。

33、条款17：根据条款15或16所述的计算机程序产品，其中所述至少一个损失函数包括至少两个损失函数的加权和，并且其中所述至少两个损失函数包括至少部分地基于所述合并单层图的损失函数。

34、条款18：根据条款15至17中任一项所述的计算机程序产品，其中所述至少两个损失函数还包括至少部分地基于外部标识的异常用户的输入反馈的损失函数。

35、条款19：根据条款15至18中任一项所述的计算机程序产品，其中所述程序指令还使得所述至少一个处理器通过接收外部标识的异常用户的新输入反馈，并且通过在每次新执行步骤(a)之前改变所述至少两个损失函数的所述加权和的权重，在至少部分受监督的训练环境中重复执行步骤(a)-(d)。

36、条款20：根据条款15至19中任一项所述的计算机程序产品，其中所述程序指令还使得所述至少一个处理器：基于所述一组异常用户检测欺诈性网络活动；以及响应于检测到欺诈性网络活动，执行至少一个欺诈缓解过程。

37、在参考附图考虑以下描述和所附权利要求书之后，本公开的这些和其它特征和特性以及相关结构元件和各部分的组合的操作方法和功能以及制造经济性将变得更加显而易见，所有附图形成本说明书的部分，其中相似附图标号在各图中标示对应部分。然而，应明确地理解，图式仅用于说明及描述的目的，且不希望作为对本公开的限制的定义。除非上下文另外明确规定，否则在本说明书和权利要求书中使用时，单数形式“一”和“所述”包括多个指示物。