(EN) Methods, systems, and apparatus, including computer programs encoded on computer storage media, for classifying user behavior as anomalous. One of the methods includes obtaining user behavior data representing behavior of a user in a subject system. An initial model is generated from training data, the initial model having first characteristic features of the training data. A resampling model is generated from the training data and from multiple instances of the first representation for a test time period. A difference between the initial model and the resampling model is computed. The user behavior in the test time period is classified as anomalous based on the difference between the initial model and the resampling model.
(FR) L'invention concerne des procédés, des systèmes, et un appareil, contenant des programmes informatiques encodés sur un support de stockage informatique, pour classifier un comportement d'utilisateur comme anormal. Un des procédés consiste à obtenir des données de comportement d'utilisateur représentant le comportement d'un utilisateur dans un système sujet. Un modèle initial est produit à partir de données d'apprentissage, le modèle initial ayant des premières fonctionnalités caractéristiques des données d'apprentissage. Un modèle de rééchantillonnage est produit à partir des données d'apprentissage et de multiples instances de la première représentation pour une période temporelle de test. Une différence entre le modèle initial et le modèle de rééchantillonnage est calculée. Le comportement de l'utilisateur dans la période temporelle de test est classifié comme anormal en fonction de la différence entre le modèle initial et le modèle de rééchantillonnage.