基于点击流数据的入侵账户检测

博士课程WWW 2018，2018年4月23日至27日，法国里昂819基于点击流数据的入侵账户检测TobiasWeller*Institute AIFB（KIT）Karlsruhe，Germanytobias.kit.edu摘要万维网的用户数量在不断增加。然而，这也增加了风险。存在其他用户非法获得对社交网络、网络商店或其他网络服务的用户帐户的访问的可能性以前的工作使用基于图形的方法来识别被劫持或被入侵的帐户。大多数情况下，帖子在社交网络中用于检测欺诈行为。但是，并不是每个被入侵的帐户都被用来传播亲异教信息或网络钓鱼攻击。因此，我们将自己限制在帐户的点击流。 为了通过点击流来识别受损账户，我们还将考虑时间方面，因为用户的偏好随着时间而改变。我们选择了一种混合的方法，包括从子符号和符号AI的方法来检测欺诈点击流。我们还将考虑领域专家的经验我们的方法也可以用来识别不仅受到损害的帐户，但也共享帐户的实例流媒体网站。CCS概念• 信息系统→Web日志分析;·安全和隐私→入侵/异常检测和恶意软件攻击;·社会和专业主题→身份盗窃;·计算数学→概率表示;关键词点击流分析，点击流欺诈检测，异常检测，机器学习ACM参考格式：托拜厄斯·威勒2018年。 基于点击流数据的受损账户检测。在WWW '18伴侣：2018年网络会议伴侣，2018年4月23日至27日，法国里昂。ACM，New York，NY，USA，5页。网址：//doi. 沪ICP备11014558号-11问题互联网是各个网络的全球互连自1994年开始以来，参加这一网络的用户数量有所增加。目前，估计有41.57亿用户使用万维网1。同时还有*由D r提供支持。玛丽亚·马莱什克1http：//www.internetworldstats.com/emarketing.htm，最后访问日期：2018年2月23日本文在知识共享署名4.0国际（CC BY 4.0）许可下发布作者保留在其个人和公司网站上以适当的归属方式传播作品的权利。WWW©2018 IW3C2（国际万维网会议委员会），在知识共享CC BY 4.0许可下发布。ACM ISBN 978-1-4503-5640-4/18/04。https://doi.org/10.1145/3184558.3186569社交网络2（如Facebook和Twitter）中的用户数量增加，网络商店（如亚马逊和阿里巴巴）中的数字买家3的数量也增加所有这些网络都有一个共同点，即用户必须登录才能完全使用应用程序这些账户对黑客特别感兴趣黑客试图在不受注意的情况下访问用户的帐户，以便使用它们进行犯罪活动。 这些被劫持的帐户被用于网络钓鱼攻击、网络犯罪相关诈骗、垃圾邮件活动和传播宣传信息。然而，也有一个初步阶段，甚至在劫持帐户之前，即妥协帐户。受危害的帐户是其密码在不被注意的情况下可供其他人使用的帐户，因此这些人可以在不被注意的情况下访问该帐户。在这种情况下，黑客通常只是试图收集尽可能多的信息并注销，而不发布或造成进一步的伤害。通常，受影响的用户并不知道他们的帐户已受到损害。 因此，需要有指标和措施来识别受损账户或用户的异常移动。评估用户的帖子以确定妥协的方法目前的方法，如从未知客户端登录时发送电子邮件，如Facebook或谷歌，只有有限的用途。用户被这些电子邮件惹恼了，或者在收件箱中没有被注意到一个类似的相关用例是检测共享帐户。用户通常共享他们的帐户，使得两个或更多个人使用相同的帐户。一方面，网络解决方案的提供商可能对用户与其他人共享他们的账户不感兴趣，但另一方面，这些提供商可能有兴趣识别当前浏览的人并进行有针对性的广告或推荐。通过这种方式，您可以根据当前使用帐户的人而不是帐户本身进行广告或推荐。例如，当使用家庭亚马逊帐户时，您可以尝试自己识别和解决该人。图1总结了两种可能的用例。2现有技术在这项工作中，三个主题进行处理。 这些是欺诈和异常检测，网络日志分析以及小范围的数据建模和推理。在下文中，我们将展示当前的研究如何处理这些主题。在社交妥协账户的领域中，通常分析用户的帖子以检测内容的变化，作为妥协指示[8]。大多数工作都是研究行为变化。因此，统计方法用于识别这些。贝叶斯2 https：//www.statista.com/statistics/278414/number-of-worldwide-social-network-users/，最后访问时间：2018年2月23日3 https：//www.statista.com/statistics/251666/number-of-digital-buyers-worldwide/，最后访问：2018年2月23日博士课程WWW 2018，2018年4月23日至27日，法国里昂820图1：这项工作可以解决两个用例。用例A：标识共享帐户人员。用例B：检测到受感染的帐户。模型用于识别离散时间的图形异常[11]。由此，利用社交网络的网络结构相似性分析也用于检测个人账户中的妥协[7]。与社交网络中的欺诈检测相反，类似的方法用于检测在线广告中的异常互联网平台的提供商对于广告上的每次成功点击接收佣金。供应商试图通过这些所谓的按点击付费模式中的欺诈性点击来增加他们的佣金研究的主题是识别这些欺诈性点击[27]。然而，这里的重点是识别重复，而不是一系列点击。关联规则也用于广告网络中的欺诈检测[13]。就像在社交网络中一样，基于图的方法用于检测基于图的数据中的异常一些作品经常使用两种技术[17]。一方面是一种识别图中规律性的技术，以识别正态性。第二，识别异常i. e.偏离标准。欺诈检测也是识别UNIX命令中异常的主题。由此，通过使用相似性度量将用户的命令序列与用户的命令序列的简档进行比较[ 12 ]。服务器端的其他技术使用文本挖掘方法进行入侵检测[2]。另一种技术是使用神经网络进行入侵检测。这被称为NNID（神经网络入侵检测器）[22]。这里的假设是每个用户都在服务器上留下指纹，这基本上和我们的假设相同，但我们的假设是基于点击流的。 神经网络用于学习打印并基于这些打印识别用户。如果用户的行为与他的指纹不匹配，则他的帐户被分类为可能的安全漏洞。调查提供了一个全面的概述异常和入侵检测系统。此外，还讨论了趋势[21，24]。除了在社交网络或服务器上识别用户的异常之外，欺诈检测通常用于金融部门。许多作品使用神经网络进行欺诈检测。他们中的一些人在在线系统中操作[6]。除此之外，数据挖掘技术和神经网络算法成功地结合在一起，以获得高欺诈覆盖率和低误报率[4]。在这些工作中，金融欺诈检测中的时间方面总是被考虑[10]。领域的调查金融欺诈检测总结了过去的应用方法[5，26]。 调查表明，挖掘算法，统计测试，回归分析，神经网络，决策树和贝叶斯网络用于欺诈检测。此外，调查表明，在一般情况下，神经网络的检测效果和精度优于回归模型。如所看到的，识别受损账户的点击流尚未成为研究的主题然而，由于各种原因，已经分析了web日志。已分析AltaVista搜索引擎查询日志因此，使用相关性分析来分析日志条目并研究查询内术语的相互作用[25]。对韩国网络搜索引擎（NAVER）的事务日志的进一步分析表明，用户的行为方式很简单[ 20 ]。其他工作使用无监督算法来聚类用户，基于来自大学的在线交易数据。此外，还介绍了过滤器和组合[9]。矩阵聚类成功地实现了表示页面和用户之间的关系，在一个二进制矩阵从Web访问日志。通过矩阵聚类提取的页面聚类可以应用于Web访问预测[19]。在调查[3]中介绍了关于日志分析的大约10年研究的概述。在很小的程度上，我们将使用逻辑和建模的方法组织分析这些数据以评估其活动和应用程序的有效性[14]。进一步的论文集中使用Web数据进行推荐系统的模糊近似推理[16]。使用点击流的动态多项式概率模型作为预测和分类点击流路径的模型。已经表明，这种技术优于传统的一阶马尔可夫模型[15]。除了仅考虑点击流之外，还考虑其他特征，例如 推荐列表、评级、样式和标签。考虑额外的功能显示出显著的影响，但既有积极的，也有消极的[18]。其他工作确定了点击流中的典型和非典型会话。可以用不同的距离度量（诸如用户会话空间中的马氏距离）来识别异常值结果表明，识别典型和非典型用户会话对于清理“噪声”用户会话数据以提高评估用户体验的准确性是非常有价值的[23]。语义用户模型也是研究的主题可以从用户的会话中提取单词，并与来自Wordnet或其他词典的单词消除歧义。 通过相似性度量，语义向量空间可以被分类[1]。3该方法这项工作的总体目标是根据点击流数据检测受损的用户帐户。目前，在检测受损用户帐户方面的研究很少。大多数情况下，这项工作的重点是检测被劫持的社交帐户或网络服务器上的入侵。此外，考虑点击流数据来检测受损帐户的工作量甚至更少。现有的方法主要使用基于图的方法来识别被劫持的帐户。然而，我们假设受损账户的点击流与账户受损之前的点击流不同 已经获得帐户访问权限的黑客的遍历和行为与实际用户不同。这些产生的点击流因此不同于博士课程WWW 2018，2018年4月23日至27日，法国里昂821图2：底层工作的敏捷方法可以被视为异常。 除了检测受损帐户外，我们还将检测帐户是否是共享帐户，如果是，则检测当前使用帐户的人。了解该人、使用该账户允许个性化广告，甚至以共享账户的方式。为此，我们还将使用点击流数据。然而，我们还必须考虑用户的偏好随着时间的推移，因为他们可以改变。只有这样，我们才能识别不可预见的事情，并确定偏好是否相差太大。偏好突然改变或不匹配的帐户将被标记为显著帐户。在整个工作中，我们使用敏捷方法尽快获得初步结果，以获得初步见解，并使用此来调整方法和改进模型。我们希望这种方法能够尽快产生良好的结果，并尽快拒绝错误的假设 图2显示了敏捷过程和单个步骤的高级概述。该方法的第一步是提出研究问题，并为每个研究问题提供适当的贡献。基于动机和问题陈述，我们确定了以下研究问题：RQ1我们如何根据用户的点击流并考虑时间因素来识别受损的用户帐户RQ2我们需要多少次点击和关于用户的背景知识，以便能够对妥协给予足够的信心。RQ3我们的方法是否适用于每一个点击流数据，或者它仅限于某个域？第一个研究问题处理识别用户帐户中的欺诈行为的方面。我们可以用于这些和以下研究问题的方法将在下一节中更详细地解释。第二个研究问题是关于为RQ1所做的预测提供置信度。更多的点击和关于用户的背景知识可能导致预测的置信度提高。但问题是需要多少点击和背景知识来获得一定的信心。此外，当无法获得这一关键数量的信息以作出具有一定置信度的声明时，哪些方法是合适的问题也是令人感兴趣的。最后的研究问题解决了我们的方法的适用性，其适用于某些领域。在这里，我们将检查不同场景的点击流是否不同，以及我们的方法是否仅限于特定的用例。对于每个研究问题，将提供相应的贡献在我们已经尖锐的研究问题，我们必须确定在下一步的相关文献 我们已经迈出了第一步（参见第2节-最新技术水平）。但是，其他研究思路和方法的应用可以导致对相关文献的进一步检索。因此，该步骤将与方法选择并行执行。为了评估方法和途径，需要数据集优选地，所选择的方法不是在单个数据集上测试，而是在多个数据集上测试。现有的数据集，如RecSys Challenge 20154和Yandex5都有一个共同点，尽管它们包含不同形式的点击流，不知道它们是否包含欺诈点击。这意味着不可能量化我们的方法实际上有多好然而，如第2节-最新技术所述，该专题与金融部门的欺诈侦查有关因此，我们可以考虑使用金融数据集。有合成数据，如banksim6和paysim7可用。因此，我们可以考虑调整合成金融数据集，并将每个金融交易视为点击，并将后续交易视为点击流。转账金额可以被认为是网页上的持续时间这里的这将有助于评估，因为通过与正确的分类进行比较，可以准确地确定所选择的方法和途径是否有利于识别数据集中的作为最后一个选项，我们可以创建自己的数据集。测试人员可以在服务器自己的系统上遍历，从而生成包括欺诈的数据集。一旦我们选择了一个或多个数据集，我们就可以选择适当的方法并使用它们来识别受损或共享的帐户。 我们将通过使用基于语义和结构的分析而不是基于图的分析来将自己与现有的方法区分开来。我们将在第4节----方法中更详细地介绍方法的选择和评价标准。我们将继续实施敏捷方法，直到我们选择的方法优于现有的方法。在工作的最后，我们将得出结论的基础上的评价和经验，在研究过程中获得的。的见解和选择，并可能扩展，方法进行了描述和总结。在工作开始时提出的研究问题在洞察力的帮助下得到了回答此外，我们的工作是嵌入在现有的研究环境，使工作的背景。这一方面保证了工作4http：//recsys.yoochoose.net/challenge.html，最后访问时间：2018年2月23日5https：//www.kaggle.com/c/yandex-personalized-web-search-challenge/data，最后访问日期：2018年6https：//www.kaggle.com/ntnu-testimon/banksim1/data，最后访问日期：2018年2月23日7 https：//www.kaggle.com/ntnu-testimon/paysim1，最后访问：2018年2月23日博士课程WWW 2018，2018年4月23日至27日，法国里昂822· ·再次从现有领域中划分出来，确定了与其他领域的协同作用，并提出了在其他领域的可能应用。4方法对于目前的工作，我们使用定量研究的方法我们使用混合方法来识别欺诈行为。 在机器学习方法的帮助下，我们可以快速识别异常和相互关系。有了这些信息，我们可以建立一个知识库，使用这些知识来识别受损和共享的帐户。此外，我们还将以实用知识丰富知识库。这两种方法，建立了我们的混合方法的基础。我们将在下面更详细地解释子符号AI的可用方法，然后讨论符号AI的可能方法。如已经提到的，欺诈的识别主要是二元分类问题。为此，我们可以使用各种子符号AI方法 首先，我们必须将点击流转换为相应的模型。为此，我们可以使用文本挖掘领域的方法，如e。G. 共现矩阵、词频矩阵、计算tfidf以识别点击的相关性或使用Doc2Vec。所有这些方法的共同之处在于它们产生会话或点击的数字矢量表示。建议采用数值表示法进行进一步处理，因为它允许我们使用初等代数和几何工具进行进一步处理。确定数字表示的另一种方法是使用潜在语义分析（LSA）。我们将考虑在点击流中包含和识别语义信息LSA在自然语言处理（NLP）领域中使用得非常成功。我们已经首次尝试将LSA应用于点击流。除了适当的点击流表示，选择合适的方法也是至关重要的。可以使用支持向量机、贝叶斯网络或人工神经网络。的然而，这些方法的共同之处在于，它们统计地考虑数据而不考虑任何时间方面8。在表示点击流以及选择模型时，必须考虑到这一点，因为用户的偏好可能会改变随着时间的推移，这些点击不应被视为欺诈。因此，模型必须随着时间的推移进行调整，并且必须考虑时间分量可能需要调整方法以考虑到这一点。对于RQ2，统计方法用于验证预测，一方面，将预测置于概率的上下文中，从而确定预测的质量，另一方面，证明其适用性。到目前为止，我们只列出了监督学习的方法然而，也可以使用无监督学习方法。如果对用户知之甚少，则这可能是特别有利的通过最近邻或k均值聚类，可以将用户分配到最相似的集合。然而，如果作为分配的结果，簇的密度变化很大，则可以假设该用户包含欺诈，因为分配是不利的。上述方法突出了子符号AI的应用。然而，正如上面已经提到的，我们选择混合动力8除了一些NN类递归神经网络使用子符号和符号AI。 我们希望在知识库中提供上述方法的结果。这个知识库丰富了符号AI领域的方法。在这里，我们希望通过领域专家的实践知识来丰富机器学习的知识。 我们希望混合方法将使我们能够实现更高层次的意义。这里的一个困难是找到机器学习和实践知识的见解的合适表示，并相应地对其进行建模。在对知识建模时，我们还需要考虑时间方面类似地，在建模过程中还必须考虑不同领域专家的意见和经验。不同的专家可能对受损账户有不同的体验，并提供不同的体验。在选择评估标准时，应该注意的是，在我们的情况下，它主要是一个二元分类问题。当标识共享帐户的人员时，可以有几个类。此外，可以假设所考虑的数据集非常不平衡。这意味着在某个类的点击流数据集中有很多会话在我们的情况下，不受损害或共享的会话的范围将大大增加。 对于不平衡数据，推荐使用曲线下面积（ROCAUC）作为评价标准。ROCAUC未通过数据不平衡反映。ROC AUC计算受试者工作特征曲线 下 的 面 积 ， 其 示 出 了 真 阳 性 率 （ TPR ） 与 假 阳 性 率（FPR）。ROC AUC对类别平衡不敏感的事实使得该评估标准非常适合我们的情况。 为了将我们的方法和方法与现有方法进行比较，我们将现有方法应用于数据集，以便将它们与我们的方法进行比较。在现有方法的实施和随后的比较中，必须始终考虑数据集和不同的方法。现有方法通常使用基于图的方法来识别受损账户。我们可能无法获得这些图表5结果目前，这项工作处于早期阶段。工作的方法被清楚地写下来，第一个相关的作品被确定，并提出了可能的应用方法。然而，在工作期间，将扩大相关工作的概述。最初的工作是使点击流的语义表示。为此使用了RecSysChallenge 20159数据集数据表示为会话项矩阵。 因此，我们分别为每个项目和会话创建了一个嵌入。LSA然后应用于它。LSA允许将会话项矩阵A表示为三个矩阵的乘积：A=UΣVT。 这里U表示项目，V T表示会话。 通过这种表示，可以以高准确度将项目分配到正确的类别。 我们使用支持向量机（SVM）分类的项目在其类别。由于此信息可用，因此使用了对类别的分配由于不了解用户的信息，因此无法将会话分配给用户。相似性分析是可能的，但不能与金标准进行比较我们展示9http：//recsys.yoochoose.net/challenge.html，最后访问日期：2018年2月23日博士课程WWW 2018，2018年4月23日至27日，法国里昂823在这项工作中，LSA适用于基于用户点击流将项目分配到其正确的类别在LSA的帮助下，我们利用了点击流的语义。 此外，我们试图通过利用点击流中的语义来重建产品类别的分类。但是，我们没有可用的分类法。我们根据每个类别的共享项目信息构建它 这项工作有助于在点击流中进行会话建模的第一步。6结论和今后的工作这项工作的主要目标是根据点击流数据识别欺诈和共享用户帐户除了识别欺诈之外，一个方面是做出有意义的预测所需的信息量。在这项工作中解决的另一个方面是我们的方法在不同领域的适用性。 该方法应该足够抽象，以适用于不同的点击流数据，例如社交网络、网上商店和网络解决方案。大多数相关工作都集中在基于图形的解决方案上，以识别被劫持的帐户。我们将重点关注compro-mised帐户和使用点击流数据方面的。我们使用一种混合的方法，包括从subsym- bolic和符号AI的方法。因此，使用来自数据表示和机器学习的方法，以及基于逻辑的方法。在我们的方法中考虑了从机器学习算法和领域专家的实践知识中获得的见解我们希望，这将导致取得更好的结果。未来的工作包括识别一个或多个合适的数据集。 目前可用的数据集并不满足所有规定的要求。 我们目前正在考虑使用其中一个合成金融数据集作为点击流数据集，因为它包含标记数据。 这使得评估可信，而不是不知道包含欺诈的数据集。重要的是要注意，数据集应该具有针对一个用户的不同会话，以便考虑针对一个用户的偏好随时间的变化。 除了为评估选择适当的数据集外，还必须考虑知识库的适当模型。 由于我们希望将信息存储在知识库中，并使用实用知识丰富它，因此需要提供一个数据模型，使两者都成为可能。此外，这种数据模型必须能够处理模糊和矛盾的实际知识，并允许随着时间的推移而改变。然后，我们可以将数据转换为适当的数据模型，并将所选择的方法应用于它。由于采用敏捷方法，我们将快速调整第一次实验的结果，以反映数据模型以及所使用的方法在工作结束时，我们将收集所获得的知识，从而回答研究问题。引用[1] Palakorn Achananuparp、Hyoil Han、Olfa Nasraoui和Roberta Johnson。2007年语义增强的用户建模。2007年ACM Symposiumon Applied Computing（SAC '07）ACM，New York，NY，USA，1335[2] Juan Josín García Adeva and Juan Manuel Pikatza Atxa. 2007.利用文本挖掘进行网络入侵检测。Engineering Applications of Artificial Intelligence20，4（2007），555[3] Maristella Agosti，Franco Crivellari，and Giorgio Maria Di Nunzio. 2012.网络日志分析：十年来关于用户交互的信息获取，检查和解释的研究综述 DataMining and Knowledge Discovery 24，3（01 May 2012），663-696.[4] R. Brause，T. Langsdorf和M.赫普1999.用于信用卡欺诈检测的神经数据挖掘。第11届人工智能工具国际会议论文集。103-106.[5] Philip K. Chan和Salvatore J.斯托弗1998.面向非均匀类和成本分布的可扩展学习：信用卡欺诈检测案例研究第四届知识发现和数据挖掘国际会议（KDDAAAI Press，164[6] J. R. Dorronsoro，F.吉内尔角Sgnchez和C.S. Cruz. 一九九七年。神经欺诈检测信用卡业务。IEEE Transactions on Neural Networks8，4（Jul 1997），827[7] M. Egele，G.斯特林吉尼角Kruegel和G.豇豆2017.在社交网络上检测受损帐户IEEE Transactions on Dependable and Secure Computing14，4（2017年7月），447[8] Manuel Egele 、 Gianluca Stringhini 、 Christopher Krügel 和 GiovanniVigna。2013. COMPA：检测社交网络上的受损帐户。在国家安全局。[9] Andrew Foss，Weinan Wang，and Osmar R.Zaane. 2001年Web日志分析的非参数方法。（2001年）的第10页。[10] S. Ghosh和D.L. 赖利一九九四年用神经网络检测信用卡欺诈1994年第27届夏威夷系统科学国际会议论文集，第3卷。621-630[11] 尼古拉斯A.听到了，大卫·J。Weston，Kiriaki Platanioti，and David J.手2010年。社交网络的贝叶斯异常检测方法 Ann. Appl. Stat. 4，2（062010），645-662。[12] Terran Lane和Carla E.Brodley 一九九七年。机器学习在异常检测中的应用第20届全国信息系统安全会议论文集。366-380.[13] Ahmed Metwally、Divyakant Agrawal和Amr El Abbadi。2005.使用关联规则 进 行 网 络 广 告 网 络 中 的 欺 诈 检 测 第 31 届 超 大 型 数 据 库 国 际 会 议（VLDBVLDB Endowment，169[14] 班 沙 德 ·莫 巴 舍 2005年 Web使 用 挖 掘 。 数 据 仓 库 和挖掘百科全书。IGIGlobal，1216[15] Alan L. Montgomery、Shibo Li、Kannan Srinivasan和John C.不好意思2004年 使 用 点 击 流 数 据 建 模 在 线 浏 览 和 路 径 分 析 。 MarketingScience 23 ， 4（2004），579-595.[16] O. Nasraoui和C.佩泰内斯2003年。基于模糊近似推理的智能Web推荐模糊系统，2003年。FUZZ第12届IEEE国际会议，卷。二、1116[17] 凯莱布角作者声明：Diane J.厨师. 2003. 基于图的异常检测。在第九届ACM SIGKDD知识发现和数据挖掘国际会议（KDDACM，NewYork，NY，USA，631[18] Rainer Olbrich和Christian Holsing。2011年。基于点击流数据的社会化购物 社 区 消 费 者 购 买 行 为 建 模 。 InternationalJournal of Electronic Commerce16，2（2011），15-40.[19] Shigeru Oyanagi，Kazuto Kubota，and Akihiko Nakase. 2001.矩阵聚类在Web日志分析和访问预测中的应用。在：WEBKDD2001-在所有客户接触点挖掘Web日志数据，第三届国际研讨会。13-21[20] Soyeon Park，Joon Ho Lee，and Hee Jin Bae.2005年最终用户搜索：韩国网 络 搜 索 引 擎 NAVER 的 网 络 日 志 分 析 Library Information ScienceResearch27，2（2005），203[21] Animesh Patcha和Jung-Min Park2007年异常检测技术概述：现有解决方案和最新技术趋势。 Computer Networks 51，12（2007），3448 - 3470.[22] Jake Ryan，Meng-Jang Lin，and Risto Miikkulainen.一九九八年。基于神经网络的入侵检测。在神经信息处理系统的进展10中，Michael I。迈克尔·乔丹Kearns和Sara A. Solla（编）。Cambridge，MA：MIT Press，943[23] Narayanan Sadagopan和Jie Li。2008年点击流中典型和非典型用户会话的特征化。第17届万维网国际会议ACM，New York，NY，USA，885-894。[24] David Savage，Xiuzhen Zhang，Xinghuo Yu，Pauline Chou，and QingmaiWang.2014. 在线社交网络中的异常检测社交网络 39，Supple-ment C（2014），62[25] Craig Silverstein， Hannes Marais ， Monika Henzinger ， and Michael Moricz.1999. 一 个 超 大 型 网 络 搜 索 引 擎 查 询 日 志 的 分 析 SIGIR Forum33 ， 1（Sept.1999），6-12.[26] S. 王. 2010年。基于数据挖掘的会计舞弊检测研究综述2010年智能计算技术与自动化国际会议，第1卷。50比53[27] L. Zhang和Y.关。2008.检测在线广告网络的按点击付费流中的点击欺诈。2008年第28届分布式计算系统国际会议。七十七比八十四