CN103581355A - 用户行为异常处理方法和设备 - Google Patents
用户行为异常处理方法和设备 Download PDFInfo
- Publication number
- CN103581355A CN103581355A CN201210279556.XA CN201210279556A CN103581355A CN 103581355 A CN103581355 A CN 103581355A CN 201210279556 A CN201210279556 A CN 201210279556A CN 103581355 A CN103581355 A CN 103581355A
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- abnormal
- abnormal behavior
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用户行为异常处理方法,包括:根据用户档案中的用户行为模式,识别用户行为异常;以及基于关联规则,确定与行为异常用户相关联的用户群。
Description
技术领域
本发明涉及一种用户行为异常处理方法和设备。
背景技术
人们的日常生活越来越多地依赖于网络。在目益重要的各种各样的网络服务中,与用户的网络注册和登录相关联的安全性问题始终是网络业务中最基本和重要的内容之一。但是,在网络为人们的日常生活带来越来越多的便利的同时,伴随而来的是关于网络安全问题的越来越多的挑战。这样就出现了在提供受便利的网络服务的同时尽可能地避免关于安全性的不良影响的问题。
关于用户的网络安全性问题,目前已经出现了各种各样的异常检测和保护措施。很多网站在发现用户行为异常或用户登录后有异常行为,例如发现盗号等时,可以针对特定是用户进行处理。目前也存在将用户登录信息与IP地址进行绑定的安全措施,即如果用户从不同于绑定的IP地址登录,则仅仅使得用户不能进行安全性要求比较高的操作,例如不能进行支付或不能修改密码等。但是这样的安全性措施显然仅仅是针对某一个特定的用户,并且是在用户实际上已经出现了异常的情况下所采取的可能的保护和防范。而不是对可能的异常情况进行主动的保护和防范。因此,需要一种用户行为异常处理方法和设备,以进一步提高网络服务的安全性。
发明内容
鉴于本领域中存在的上述问题,本发明提出了一种新颖的用户行为异常处理方法和设备。
根据本发明的一个方面,提供了一种用户行为异常处理方法,包括:根据用户档案中的用户行为模式,识别用户行为异常;以及基于关联规则,确定与行为异常用户相关联的用户群。
根据本发明的一个实施例,其中所述关联规则包括针对行为异常用户的用户档案中的用户属性,对其他用户的相关属性进行匹配。
根据本发明的又一个实施例,其中所述用户属性包括下列信息中的一个或多个:行为异常用户注册时的IP地址和时间;与行为异常用户互为好友的信息;与行为异常用户同为某一社团成员的信息;与行为异常用户同在一个班级中的信息。
根据本发明的另一个方面,提供了一种用户行为异常处理设备,包括:识别装置,用于根据用户档案中的用户行为模式,识别用户行为异常;以及关联装置,用于基于关联规则,确定与行为异常用户相关联的用户群。
根据本发明的一个实施例,其中所述关联装置还包括匹配装置,其用于针对行为异常用户的用户档案中的用户属性,对其他用户的相关属性进行匹配。
根据本发明的又一个实施例,其中所述用户属性包括下列信息中的一个或多个:行为异常用户注册时的IP地址和时间;与行为异常用户互为好友的信息;与行为异常用户同为某一社团成员的信息;与行为异常用户同在一个班级中的信息。
附图说明
通过对结合附图所示出的实施例进行详细说明,本发明的上述以及其他特征将更加明显。在附图中:
图1示出了根据本发明实施例的设备可在其中应用的网络环境的示意性框图。
图2是根据本发明的用户行为异常处理方法的流程图;
图3是根据本发明的用户行为异常处理设备的示意图。
图4示意性示出了可以实现根据本发明的实施例的计算机设备的结构方框图。
具体实施例
下面将参考附图中示出的若干示例性实施例来描述本发明的原理和精神。应当理解,给出这些实施例仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。
首先参考图1,其示出了根据本发明一个示例性实施例的基于服务器-客户端(C/S)架构的网络环境100的示意图。如图1所示,客户端102-1到102-N可以通过网络104连接到服务器或服务器组106。
客户端102-1到102-N例如可以包括个人数字助理(PDA)、蜂窝电话、智能电话、膝上型计算机等移动终端,也可以是诸如个人计算机(PC)之类的传统桌面型计算设备。应当理解,上面列举的仅仅是若干可能的示例,并非意在限制本发明的范围。实际上,客户端102-1到102-N可以是具有信息处理和网络通信能力的任何设备,不论是现在已知还是将来开发的。
图1中示出的网络或称网络连接104可以包括目前已知或者将来开发的任何有线网络、无线网络或其组合,包括但不限于以下至少一个:蜂窝电话网络,以太网,基于IEEE802.11、802.16、802.20等的无线局域网(WLAN),和/或全球微波接入互操作性(WiMAX)网络。此外,网络106可以是公共网络(诸如,因特网)、专用网络(诸如,企业内部网)或其组合。在分层式网络通信架构下,网络106的传输层可以按照传输控制协议(TCP)、实时传输协议(RTP)或其他传输逻辑进行操作。网络层可以基于网际协议第4版(IPv4)或第6版(IPv6)或其他网络层协议来路由信息。数据链路层可以包括有线或无线链路,如异步传输模式(ATM)、光纤分布式数据接口(FDDI)、光纤、同轴电缆、双绞线或其他物理层上的其他数据链路层。
服务器106是可以操作以通过网络连接104与客户端102通信从而为其提供各种服务的任何适当机器。特别地,如上所述,在很多服务和应用环境中,服务器106需要对客户端102或其用户的身份进行验证。在服务器106中可以实现本发明的用户行为异常处理设备。
图2是根据本发明的用户行为异常处理方法的流程图。在如图2所示的用户行为异常处理方法中,在步骤S201,根据用户档案中的用户行为模式,识别用户行为异常。其中用户档案包括与用户相关的全部的信息,例如用户的名称、密码、登录的IP地址和时间等。其中用户的行为模式包括在用户每次登录和使用过程中的记录基础上,通过统计而得出的用户行为的具体描述。用户的行为模式反映了每个用户在登录和使用过程中的正常的行为,可以作为识别用户行为异常的基础。
在步骤S202,基于关联规则,确定与行为异常用户相关联的用户群。在发现用户行为异常后,除了常规地对该用户进行针对性的处理之外,还对有可能出现相同或相似的异常的用户进行关联。例如无论是出于主动或被动的原因,与行为异常用户有某些相同或相似属性的用户也有可能出现相同或相似的异常,因为他们之间存在着一定的关联性。而关联的规则可以包括针对行为异常用户的用户档案中的用户属性,对其他用户的相关属性进行匹配,从而发现与行为异常用户相关联的具有相同或相似的属性的,即有可能发生相同或相似的异常的用户群。这样的用于确定关联性的用户属性可以包括用户档案中的各种各样的信息。例如这样的信息可以包括下列信息中的一个或多个:行为异常用户注册时的IP地址和时间;与行为异常用户互为好友的信息;与行为异常用户同为某一社团成员的信息;与行为异常用户同在一个班级中的信息,等等。其中上述信息可以被单独地用来进行关联,但是也可以使用上述信息的组合来进行关联。此外,应当理解上述信息的列举仅仅是示意性的,并不排除可以使用用户档案中的能够反映用户之间的关联性的其他属性来进行关联。
应当可以理解,在确定了与行为异常用户相关联的用户群后,可以利用现有技术中的各种各样的防范和保护措施对上述用户群实施防范和保护。
图3是根据本发明的用户行为异常处理设备30的示意图。如图3所示,根据本发明的用户行为异常处理设备30包括:识别装置310,用于根据用户档案中的用户行为模式,识别用户行为异常;以及关联装置320,用于基于关联规则,确定与行为异常用户相关联的用户群。
根据本发明的可选实施例,关联装置320还可以包括:匹配装置330,用于针对行为异常用户的用户档案中的用户属性,对其他用户的相关属性进行匹配。其中用户属性包括下列信息中的一个或多个:行为异常用户注册时的IP地址和时间;与行为异常用户互为好友的信息;与行为异常用户同为某一社团成员的信息;与行为异常用户同在一个班级中的信息,等等。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。相反,流程图中描绘的步骤可以改变执行顺序。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
下面,将参考图4来描述可以实现本发明的计算机设备。图4示意性示出了可以实现根据本发明的实施例的计算机设备的结构方框图。
图4中所示的计算机系统包括CPU(中央处理单元)401、RAM(随机存取存储器)402、ROM(只读存储器)403、系统总线404、硬盘控制器405、键盘控制器406、串行接口控制器407、并行接口控制器408、显示器控制器409、硬盘410、键盘411、串行外部设备412、并行外部设备413和显示器414。在这些部件中,与系统总线404相连的有CPU401、RAM402、ROM403、硬盘控制器405、键盘控制器406、串行接口控制器407、并行接口控制器408和显示器控制器409。硬盘410与硬盘控制器405相连,键盘411与键盘控制器406相连,串行外部设备412与串行接口控制器407相连,并行外部设备413与并行接口控制器408相连,以及显示器414与显示器控制器409相连。
图4所述的结构方框图仅仅为了示例的目的而示出的,并非是对本发明的限制。在一些情况下,可以根据需要添加或者减少其中的一些设备。
此外,本发明的实施例可以以软件、硬件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的方法和系统可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本实施例的系统及其组件可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
虽然已经参考若干具体实施例描述了本发明,但是应该理解,本发明并不限于所公开的具体实施例。本发明旨在涵盖所附权利要求书的精神和范围内所包括的各种修改和等同布置。所附权利要求书的范围符合最宽泛的解释,从而包含所有这样的修改及等同结构和功能。
Claims (6)
1.一种用户行为异常处理方法,包括:
根据用户档案中的用户行为模式,识别用户行为异常;以及
基于关联规则,确定与行为异常用户相关联的用户群。
2.根据权利要求1所述的方法,其中所述关联规则包括针对行为异常用户的用户档案中的用户属性,对其他用户的相关属性进行匹配。
3.根据权利要求2所述的方法,其中所述用户属性包括下列信息中的一个或多个:
行为异常用户注册时的IP地址和时间;
与行为异常用户互为好友的信息;
与行为异常用户同为某一社团成员的信息;
与行为异常用户同在一个班级中的信息。
4.一种用户行为异常处理设备,包括:
识别装置,用于根据用户档案中的用户行为模式,识别用户行为异常;以及
关联装置,用于基于关联规则,确定与行为异常用户相关联的用户群。
5.根据权利要求4所述的设备,其中所述关联装置还包括:
匹配装置,用于针对行为异常用户的用户档案中的用户属性,对其他用户的相关属性进行匹配。
6.根据权利要求5所述的设备,其中所述用户属性包括下列信息中的一个或多个:
行为异常用户注册时的IP地址和时间;
与行为异常用户互为好友的信息;
与行为异常用户同为某一社团成员的信息;
与行为异常用户同在一个班级中的信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210279556.XA CN103581355A (zh) | 2012-08-02 | 2012-08-02 | 用户行为异常处理方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210279556.XA CN103581355A (zh) | 2012-08-02 | 2012-08-02 | 用户行为异常处理方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103581355A true CN103581355A (zh) | 2014-02-12 |
Family
ID=50052263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210279556.XA Pending CN103581355A (zh) | 2012-08-02 | 2012-08-02 | 用户行为异常处理方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103581355A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105808988A (zh) * | 2014-12-31 | 2016-07-27 | 阿里巴巴集团控股有限公司 | 一种识别异常账户的方法及装置 |
| CN106295349A (zh) * | 2015-05-29 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 账号被盗的风险识别方法、识别装置及防控系统 |
| CN106301978A (zh) * | 2015-05-26 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 团伙成员账号的识别方法、装置及设备 |
| CN107239533A (zh) * | 2017-05-31 | 2017-10-10 | 北京知道创宇信息技术有限公司 | 生成异常模式、确定用户是否存在恶意行为的方法和计算设备 |
| CN109255024A (zh) * | 2017-07-12 | 2019-01-22 | 车伯乐(北京)信息科技有限公司 | 一种异常用户同党的搜索方法,装置,及系统 |
| CN109583203A (zh) * | 2018-10-31 | 2019-04-05 | 武汉华中时讯科技有限责任公司 | 一种恶意用户检测方法、装置及系统 |
| WO2021159766A1 (zh) * | 2020-02-11 | 2021-08-19 | 腾讯科技(深圳)有限公司 | 一种数据识别方法、装置、设备以及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649311A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于机器学习的用户行为异常检测系统和方法 |
| CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
| CN101345627A (zh) * | 2008-08-12 | 2009-01-14 | 中国科学院软件研究所 | 一种p2p网络中基于行为相似度的共谋团体识别方法 |
| CN101355504A (zh) * | 2008-08-14 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 一种用户行为的确定方法和装置 |
| CN101854340A (zh) * | 2009-04-03 | 2010-10-06 | 丛林网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN102571484A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种检测网络水军以及找到网络水军的方法 |
-
2012
- 2012-08-02 CN CN201210279556.XA patent/CN103581355A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649311A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于机器学习的用户行为异常检测系统和方法 |
| CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
| CN101345627A (zh) * | 2008-08-12 | 2009-01-14 | 中国科学院软件研究所 | 一种p2p网络中基于行为相似度的共谋团体识别方法 |
| CN101355504A (zh) * | 2008-08-14 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 一种用户行为的确定方法和装置 |
| CN101854340A (zh) * | 2009-04-03 | 2010-10-06 | 丛林网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN102571484A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种检测网络水军以及找到网络水军的方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105808988A (zh) * | 2014-12-31 | 2016-07-27 | 阿里巴巴集团控股有限公司 | 一种识别异常账户的方法及装置 |
| CN106301978A (zh) * | 2015-05-26 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 团伙成员账号的识别方法、装置及设备 |
| CN106295349A (zh) * | 2015-05-29 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 账号被盗的风险识别方法、识别装置及防控系统 |
| US11233812B2 (en) | 2015-05-29 | 2022-01-25 | Advanced New Technologies Co., Ltd. | Account theft risk identification |
| CN107239533A (zh) * | 2017-05-31 | 2017-10-10 | 北京知道创宇信息技术有限公司 | 生成异常模式、确定用户是否存在恶意行为的方法和计算设备 |
| CN107239533B (zh) * | 2017-05-31 | 2021-12-07 | 北京知道创宇信息技术股份有限公司 | 生成异常模式、确定用户是否存在恶意行为的方法和计算设备 |
| CN109255024A (zh) * | 2017-07-12 | 2019-01-22 | 车伯乐(北京)信息科技有限公司 | 一种异常用户同党的搜索方法,装置,及系统 |
| CN109583203A (zh) * | 2018-10-31 | 2019-04-05 | 武汉华中时讯科技有限责任公司 | 一种恶意用户检测方法、装置及系统 |
| CN109583203B (zh) * | 2018-10-31 | 2020-10-16 | 武汉华中时讯科技有限责任公司 | 一种恶意用户检测方法、装置及系统 |
| WO2021159766A1 (zh) * | 2020-02-11 | 2021-08-19 | 腾讯科技(深圳)有限公司 | 一种数据识别方法、装置、设备以及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10708288B2 (en) | Computerized system and method for automatically determining malicious IP clusters using network activity data | |
| US11178170B2 (en) | Systems and methods for detecting anomalous behavior within computing sessions | |
| US20240080318A1 (en) | Risk-based multi-factor authentication | |
| CN103581355A (zh) | 用户行为异常处理方法和设备 | |
| CA2964301C (en) | Systems and methods for classifying security events as targeted attacks | |
| US10282546B1 (en) | Systems and methods for detecting malware based on event dependencies | |
| EP3289515B1 (en) | Systems and methods for evaluating content provided to users via user interfaces | |
| CN107005543B (zh) | 用于防止未经授权的网络入侵的系统和方法 | |
| CN109155774B (zh) | 用于检测安全威胁的系统和方法 | |
| US11038913B2 (en) | Providing context associated with a potential security issue for an analyst | |
| US20210021624A1 (en) | Method, electronic device and computer program product for detecting abnormal network request | |
| US20200067980A1 (en) | Increasing security of network resources utilizing virtual honeypots | |
| US11503059B2 (en) | Predicting a next alert in a pattern of alerts to identify a security incident | |
| US9332025B1 (en) | Systems and methods for detecting suspicious files | |
| US10574700B1 (en) | Systems and methods for managing computer security of client computing machines | |
| US10546123B1 (en) | Systems and methods for identifying malicious computer files | |
| US10417579B2 (en) | Multi-label classification for overlapping classes | |
| US20170262522A1 (en) | Systems and methods for automated classification of application network activity | |
| CN110612731A (zh) | 用于强制执行数据丢失防护策略的系统和方法 | |
| US11025666B1 (en) | Systems and methods for preventing decentralized malware attacks | |
| US10445516B1 (en) | Systems and methods for preventing vulnerable files from being opened | |
| US9171152B1 (en) | Systems and methods for preventing chronic false positives | |
| US10375077B1 (en) | Systems and methods for mediating information requests | |
| CN113992366A (zh) | 一种网络数据传输方法、装置、设备及存储介质 | |
| CN103685161A (zh) | 用户行为异常处理方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140212 |