CN104486298B - 识别用户行为的方法及装置 - Google Patents
识别用户行为的方法及装置 Download PDFInfo
- Publication number
- CN104486298B CN104486298B CN201410708281.6A CN201410708281A CN104486298B CN 104486298 B CN104486298 B CN 104486298B CN 201410708281 A CN201410708281 A CN 201410708281A CN 104486298 B CN104486298 B CN 104486298B
- Authority
- CN
- China
- Prior art keywords
- access
- access behavior
- time
- behavior
- slide window
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000006399 behavior Effects 0.000 claims description 274
- 238000011156 evaluation Methods 0.000 claims description 19
- 238000010586 diagram Methods 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2133—Verifying human interaction, e.g., Captcha
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开是关于一种识别用户行为的方法及装置,用于更有效、更准确的识别恶意行为。所述方法包括:获取在预设的时间滑动窗口内的终端的访问行为;根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;根据评估结果确定所述终端的访问行为是否为恶意访问。
Description
技术领域
本公开涉及通信及计算机处理领域,尤其涉及识别用户行为的方法及装置。
背景技术
随着互联网的发展,通过网络实现了资源共享。人们可以通过网络方便快捷的获取丰富的信息。在人们获取信息的同时,不少网站面临着各种恶意攻击。
本公开的发明人发现,相关技术中,一种恶意攻击方式是在较短的时间内频繁的向网站发送数据包。这种情况经常发生在抢购商品的时候,在短时间内频繁的访问网站,以抢购降价商品。这种高频次的访问行为一般是通过抢购软件来实现,人为操作无法得到该频次。相关技术中有些手段可以阻止该恶意行为,但是阻止的效果不理想。因此,如何更有效的识别用户的恶意行为,是亟待解决的问题。
发明内容
为克服相关技术中存在的问题,本公开提供一种识别用户行为的方法及装置。
根据本公开实施例的第一方面,提供一种识别用户行为的方法,包括:
获取在预设的时间滑动窗口内的终端的访问行为;
根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;
根据评估结果确定所述终端的访问行为是否为恶意访问。
本公开的实施例提供的技术方案可以包括以下有益效果:本实施例通过时间滑动窗口实时监控用户的访问行为,并对访问行为进行评估,据此来判断用户的访问行为是否存在恶意。
在一个实施例中,所述时间滑动窗口包括m个等分的时间片;
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片;
判断n与m的的比例是否超过预设的第一比例阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在n与m的的比例超过预设的第一比例阈值时,确定所述终端的访问行为为恶意访问。
本公开的实施例提供的技术方案可以包括以下有益效果:本实施例通过对每个时间片内的访问行为监控,检查访问次数是否持续位于比较高的值,据此来评估访问行为是否存在恶意,评估结果更准确。
在一个实施例中,所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
根据获得的时间间隔,计算访问行为的时间方差;
判断所述时间方差是否大于预设的方差阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在所述时间方差大于预设的方差阈值时,确定所述终端的访问行为为恶意访问。
本公开的实施例提供的技术方案可以包括以下有益效果:本实施例通过对时间间隔进行方差计算,来判断访问行为是否是以一个固定的频率发生,如果是,则可确定该访问行为是由软件触发,而不是用户。据此可更准确的识别出恶意行为。
在一个实施例中,所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
根据获得的时间间隔,计算访问行为的时间方差;
计算所述时间方差与时间间隔的平均值的比值;
判断所述比值是否小于预设的第二比例阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在所述比值小于预设的第二比例阈值时,确定所述终端的访问行为为恶意访问。
本公开的实施例提供的技术方案可以包括以下有益效果:本实施例可以将方差与时间间隔的平均值做进一步比较,可更准确的识别出恶意行为。
在一个实施例中,所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
获得所述时间滑动窗口内的访问行为的总数;
判断所述总数是否超过预设的总数阈值;
根据判断结果,对所述时间滑动窗口内的访问行为进行评估。
本公开的实施例提供的技术方案可以包括以下有益效果:本实施例在上述方案的基础上,利用访问行为的总数进一步对访问行为进行评估,可更准确的识别出恶意行为。
根据本公开实施例的第二方面,提供一种识别用户行为的装置,包括:
获取模块,用于获取在预设的时间滑动窗口内的终端的访问行为;
评估模块,用于根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;
确定模块,用于根据评估结果确定所述终端的访问行为是否为恶意访问。
在一个实施例中,所述时间滑动窗口包括m个等分的时间片;
所述评估模块包括:
时间片子模块,用于针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片;
第一比例子模块,用于判断n与m的的比例是否超过预设的第一比例阈值;
所述确定模块在n与m的的比例超过预设的第一比例阈值时,确定所述终端的访问行为为恶意访问。
在一个实施例中,所述评估模块包括:
间隔子模块,用于针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
方差子模块,用于根据获得的时间间隔,计算访问行为的时间方差;
第一评估子模块,用于判断所述时间方差是否大于预设的方差阈值;
所述确定模块在所述时间方差大于预设的方差阈值时,确定所述终端的访问行为为恶意访问。
在一个实施例中,所述第一评估模块包括:
间隔子模块,用于针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
方差子模块,用于根据获得的时间间隔,计算访问行为的时间方差;
比值子模块,用于计算所述时间方差与时间间隔的平均值的比值;
第二比例子模块,用于判断所述比值是否小于预设的第二比例阈值;
所述确定模块在所述比值小于预设的第二比例阈值时,确定所述终端的访问行为为恶意访问。
在一个实施例中,所述评估模块包括:
总数子模块,用于获得所述时间滑动窗口内的访问行为的总数;
总数判断子模块,用于判断所述总数是否超过预设的总数阈值;
第二评估子模块,用于根据判断结果,对所述时间滑动窗口内的访问行为进行评估。
根据本公开实施例的第三方面,提供一种识别用户行为的装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
获取在预设的时间滑动窗口内的终端的访问行为;
根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;
根据评估结果确定所述终端的访问行为是否为恶意访问。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据一示例性实施例示出的一种识别用户行为的方法的流程图。
图2是根据一示例性实施例示出的一种识别用户行为的方法的流程图。
图3是根据一示例性实施例示出的一种识别用户行为的方法的流程图。
图4是根据一示例性实施例示出的一种识别用户行为的装置的框图。
图5是根据一示例性实施例示出的一种评估模块的框图。
图6A是根据一示例性实施例示出的一种评估模块的框图。
图6B是根据一示例性实施例示出的一种评估模块的框图。
图7是根据一示例性实施例示出的一种评估模块的框图。
图8是根据一示例性实施例示出的一种装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
相关技术中,网络活动日益频繁,网络商户经常推出降价秒杀的活动。用户为了抢到价格低廉的商品,会在短时间内频繁访问该商户的网站。有些用户则会通过一些抢购软件来实现。抢购软件会以高于普通用户的访问频次访问商户的网站。而抢购软件所触发的访问行为就是一种恶意行为,可能导致网站瘫痪。一种可能的解决方案是,判断预设的时长内访问次数是否超过预设的阈值,如果超过,则确定存在恶意访问行为。但是该识别方式比较单一,无法较准确的识别出该访问次数是用户的行为导致的还是抢购软件触发所导致的,识别结果不够准确。
为解决该问题,本实施例通过时间滑动窗口对终端的访问行为进行监控,可较准确的识别出终端的访问行为是否存在恶意。
本实施例中的时间滑动窗口是一个动态的时间窗口,该时间滑动窗口的长度固定,如长度为3600秒。该时间滑动窗口的结束位置始终是当前时间,因此时间滑动窗口随着时间的变化而移动。
相关技术中根据预设时长检测访问次数的方案是,例如,预设时长为1000秒,则0~1000秒检测一次,1001~2000秒检测一次,以此类推。但是500~1500秒发生的访问行为则无法检测。而本实施例随着时间滑动窗口的移动进行实时检测,例如时间滑动窗口的长度为1000秒,则0~1000秒检测一次,1~1001秒检测一次,2~1002秒检测一次,以此类推。可见,相比于相关技术的方案,检测更准确,可更准确的识别出恶意行为。
图1是根据一示例性实施例示出的一种识别用户行为的方法的流程图,如图1所示,该方法可以由服务器实现,包括以下步骤:
在步骤101中,获取在预设的时间滑动窗口内的终端的访问行为。
在步骤102中,根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估。
在步骤103中,根据评估结果确定所述终端的访问行为是否为恶意访问。
本实施例通过时间滑动窗口可以实时监控终端的访问行为,并且同时实现监控一段时间内的访问行为,评估访问行为是否存在恶意,识别结果更准确。本实施例是针对单一终端的行为监控和评估,可通过用户名、IP(互联网协议)地址或MAC(媒体访问控制)地址等手段来确定终端。
如果识别出存在恶意访问,则可以采用多种手段。如,要求终端发送验证码;或者,临时屏蔽该用户(或该终端)的访问;或者,将该用户加入到黑名单,永久性拒绝该用户的访问;还可以向用户发送警告消息等。
在一个实施例中,步骤102可实现为步骤A。
在步骤A中,根据所述时间滑动窗口中每个时间片内的访问行为,对所述时间滑动窗口内的访问行为进行评估。
本实施例将时间滑动窗口进一步细化为多个时间片,每个时间片的长度相同(等分的)。例如,时间滑动窗口的长度为3600秒,包含10个时间片,则每个时间片的长度为360秒。本实施例以时间片为单位对用户的访问行为进行监控,监控粒度进一步缩小,有助于更准确的识别恶意行为。并且,本实施例根据每个时间片内的访问行为以及时间滑动窗口内整体的访问行为进行评估,评估结果更准确。
在一个实施例中,步骤A可以包括步骤A1-步骤A2。
在步骤A1中,针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片;
在步骤A2中,判断n与m的的比例是否超过预设的第一比例阈值;
步骤103可实现为步骤A3。
在步骤A3中,在n与m的的比例超过预设的第一比例阈值时,确定所述终端的访问行为为恶意访问。
即,确定访问次数超过预设的分片次数阈值的时间片。判断超过分片次数阈值的时间片的数量占时间片总数的比例是否超过预设的第一比例阈值。根据判断结果对所述时间滑动窗口内的访问行为进行评估。
本实施例中,如果超过分片次数阈值的时间片的数量占时间片总数的比例超过预设的第一比例阈值,则确定访问次数过高,存在恶意访问;否则确定不存在恶意访问。
例如,时间滑动窗口T的长度为3600秒,包含10个时间片t1-t10,则每个时间片的长度为360秒。10个时间片对应的访问次数分别为t1=50,t2=60,t3=52,t4=55,t5=48,t6=56,t7=58,t8=54,t9=56,t10=57。分片次数阈值为50,则除了时间片t5以外,其它9个时间片对应的访问次数均超过分片次数阈值。计算超过分片次数阈值的时间片的数量占时间片总数的比例9/10=90%。假如第一比例阈值为90%,通过将超过分片次数阈值的时间片的数量占时间片总数的比例90%与第一比例阈值为90%进行比较,对访问行为进行评估,则可确定该时间滑动窗口T内存在恶意访问行为。
在一个实施例中,步骤102还可以由方案B实现。
方案B:
在步骤B1中,针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔。
在步骤B2中,根据获得的时间间隔,计算访问行为的时间方差。
在步骤B3中,根据所述时间方差,对所述时间滑动窗口内的访问行为进行评估。判断所述时间方差是否大于预设的方差阈值。
在步骤103中,在所述时间方差大于预设的方差阈值时,确定所述终端的访问行为为恶意访问。
本实施例可以将时间方差与预设的方差阈值进行比较,如果大于预设的方差阈值,则说明方差比较大,也就是访问行为的时间间隔的波动比较大,则可确定该访问行为出自于用户,而不是抢购软件,进而可确定不存在恶意行为。反之,如果不大于预设的方差阈值,则确定存在恶意行为。
例如,针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔x1,x2,x3,…,xn,为x1~xn的平均值。方差公式如:
其中s表示计算得到的方差。
在一个实施例中,方案B还可以与步骤A1-步骤A3结合。例如,计算每个时间片对应的方差,确定方差大于方差阈值的时间片,并确定方差大于方差阈值的时间片的数量与时间片总数的比例,进而将该比例与第一比例阈值进行比较,确定是否存在恶意访问。
在一个实施例中,可以对方案B做进一步改进。则步骤B3可以包括步骤B31-步骤B32。
针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
根据获得的时间间隔,计算访问行为的时间方差;
在步骤B31中,计算所述时间方差与时间间隔的平均值的比值。
在步骤B32中,判断所述比值是否小于预设的第二比例阈值。根据判断结果对所述时间滑动窗口内的访问行为进行评估。
步骤103可实现为步骤B33。
在步骤B33中,在所述比值小于预设的第二比例阈值时,确定所述终端的访问行为为恶意访问。
本实施例中,如果时间方差与时间间隔的平均值的比值超过预设的第二比例阈值,则说明时间方差与时间间隔的平均值非常接近,可确定该访问行为是由抢购软件触发所产生,存在恶意访问。反之,则可确定该访问行为是由用户触发所产生,不存在恶意访问。
例如,平均值x为1,时间方差为0.5。时间方差与平均值的比例为50%,大于预设的第二比例阈值100%。虽然0.5的方差比较小,但是相对于平均值1来说偏离比较大。
又如,平均值x为10,时间方差为0.5。时间方差与平均值的比例为5%,小于预设的第二比例阈值10%。由于平均值10比较大,所以时间方差0.5非常接近平均值。
本实施例通过比较方差与平均值的接近程度(从另一个角度可称之为偏离程度),可更准确的评估访问行为。
在一个实施例中,步骤102可实现为方案C。
方案C:
在步骤C1中,获得所述时间滑动窗口内的访问行为的总数。
在步骤C2中,判断所述总数是否超过预设的总数阈值。
在步骤C3中,根据判断结果,对所述时间滑动窗口内的访问行为进行评估。
本实施例中,如果时间滑动窗口内的访问行为的总数超过总数阈值,则可确定访问量过高,存在恶意访问。反之,确定不存在恶意访问。
在一个实施例中,方案C可以与上述方案结合。在步骤A或方案B的判断结果基础上,进一步执行方案C的判断,在均判断为存在恶意访问时,才做出存在恶意访问的结论。
下面通过几个实施例来详细介绍识别用户行为的实现过程。
图2是根据一示例性实施例示出的一种识别用户行为的方法的流程图,如图2所示,该方法可以由服务器实现,包括以下步骤:
在步骤201中,获取在预设的时间滑动窗口内的终端的访问行为。
在步骤202中,针对时间滑动窗口中的每个时间片,将时间片对应的访问次数与预设的分片次数阈值进行比较。
在步骤203中,确定访问次数超过预设的分片次数阈值的时间片。
在步骤204中,计算超过分片次数阈值的时间片的数量占时间片总数的比例。
在步骤205中,判断计算得到的比例是否超过预设的第一比例阈值。在超过预设的第一比例阈值时,继续步骤206;在不超过预设的第一比例阈值时,继续步骤207。
在步骤206中,确定存在恶意访问行为。
在步骤207中,确定不存在恶意访问行为。
本实施例通过时间片可进行更细致的访问行为监控。通过较小粒度的访问次数的监控,可更准确的识别出是否存在恶意访问。
图3是根据一示例性实施例示出的一种识别用户行为的方法的流程图,如图3所示,该方法可以由服务器实现,包括以下步骤:
在步骤301中,获取在预设的时间滑动窗口内的终端的访问行为。
在步骤302中,针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔。
在步骤303中,根据获得的时间间隔,计算时间间隔的平均值。
在步骤304中,根据获得的时间间隔,计算访问行为的时间方差。
在步骤305中,计算所述时间方差与时间间隔的平均值的比值。
在步骤306中,判断所述比值是否小于预设的第二比例阈值。在小于预设的第二比例阈值时,继续步骤307;在不小于预设的第二比例阈值时,继续步骤308。
在步骤307中,确定存在恶意访问行为。
在步骤308中,确定不存在恶意访问行为。
本实施例通过方差来确定在时间上是否均匀获得访问行为,如果是,则确定是由软件产生的访问行为,而不是用户触发,因此确定存在恶意访问;反之,则确定不存在恶意访问。该方式可更准确的识别出恶意访问行为。
通过以上介绍了解了识别用户行为的实现过程,该过程由服务器实现,下面针对设备的内部结构和功能进行介绍。
图4是根据一示例性实施例示出的一种识别用户行为的装置示意图。参照图4,该装置包括:获取模块401、评估模块402和确定模块403。
获取模块401,用于获取在预设的时间滑动窗口内的终端的访问行为。
评估模块402,用于根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估。
确定模块403,用于根据评估结果确定所述终端的访问行为是否为恶意访问。
在一个实施例中,所述时间滑动窗口包括m个等分的时间片;如图5所示,所述评估模块402包括:时间片子模块4021和第一比例子模块4028。
时间片子模块4021,用于针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片。
第一比例子模块4028,用于判断n与m的的比例是否超过预设的第一比例阈值。
所述确定模块403在n与m的的比例超过预设的第一比例阈值时,确定所述终端的访问行为为恶意访问。
在一个实施例中,如图6A所示,所述评估模块402包括:间隔子模块4022、方差子模块4023和第一评估子模块4024。
间隔子模块4022,用于针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔。
方差子模块4023,用于根据获得的时间间隔,计算访问行为的时间方差。
第一评估子模块4024,用于判断所述时间方差是否大于预设的方差阈值。
所述确定模块403在所述时间方差大于预设的方差阈值时,确定所述终端的访问行为为恶意访问。
在一个实施例中,时间片子模块4021也可以包括间隔子模块4022、方差子模块4023和第一评估子模块4024。
在一个实施例中,如图6B所示,所述评估模块402包括:间隔子模块4022、方差子模块4023、比值子模块4029和第二比例子模块40210。
间隔子模块4022,用于针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔。
方差子模块4023,用于根据获得的时间间隔,计算访问行为的时间方差。
比值子模块4029,用于计算所述时间方差与时间间隔的平均值的比值。
第二比例子模块40210,用于判断所述比值是否小于预设的第二比例阈值。
所述确定模块403在所述比值小于预设的第二比例阈值时,确定所述终端的访问行为为恶意访问。
在一个实施例中,如图7所示,所述评估模块402包括:总数子模块4025、总数判断子模块4026和第二评估子模块4027。
总数子模块4025,用于获得所述时间滑动窗口内的访问行为的总数。
总数判断子模块4026,用于判断所述总数是否超过预设的总数阈值。
第二评估子模块4027,用于根据判断结果,对所述时间滑动窗口内的访问行为进行评估。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图8是根据一示例性实施例示出的一种用于识别用户行为的装置800的框图。例如,装置800可以被提供为一计算机。参照图8,装置800包括处理组件822,其进一步包括一个或多个处理器,以及由存储器832所代表的存储器资源,用于存储可由处理部件822的执行的指令,例如应用程序。存储器832中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件822被配置为执行指令,以执行上述方法识别用户行为。
装置800还可以包括一个电源组件826被配置为执行装置800的电源管理,一个有线或无线网络接口850被配置为将装置800连接到网络,和一个输入输出(I/O)接口858。装置800可以操作基于存储在存储器832的操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
一种识别用户行为的装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
获取在预设的时间滑动窗口内的终端的访问行为;
根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;
根据评估结果确定所述终端的访问行为是否为恶意访问。
所述处理器还可以被配置为:
所述时间滑动窗口包括m个等分的时间片;
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片;
判断n与m的的比例是否超过预设的第一比例阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在n与m的的比例超过预设的第一比例阈值时,确定所述终端的访问行为为恶意访问。
所述处理器还可以被配置为:
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
根据获得的时间间隔,计算访问行为的时间方差;
判断所述时间方差是否大于预设的方差阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在所述时间方差大于预设的方差阈值时,确定所述终端的访问行为为恶意访问。
所述处理器还可以被配置为:
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
根据获得的时间间隔,计算访问行为的时间方差;
计算所述时间方差与时间间隔的平均值的比值;
判断所述比值是否小于预设的第二比例阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在所述比值小于预设的第二比例阈值时,确定所述终端的访问行为为恶意访问。
所述处理器还可以被配置为:
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
获得所述时间滑动窗口内的访问行为的总数;
判断所述总数是否超过预设的总数阈值;
根据判断结果,对所述时间滑动窗口内的访问行为进行评估。
一种非临时性计算机可读存储介质,当所述存储介质中的指令由移动终端的处理器执行时,使得移动终端能够执行一种识别用户行为的方法,所述方法包括:
获取在预设的时间滑动窗口内的终端的访问行为;
根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;
根据评估结果确定所述终端的访问行为是否为恶意访问。
所述存储介质中的指令还可以包括:
所述时间滑动窗口包括m个等分的时间片;
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片;
判断n与m的的比例是否超过预设的第一比例阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在n与m的的比例超过预设的第一比例阈值时,确定所述终端的访问行为为恶意访问。
所述存储介质中的指令还可以包括:
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
根据获得的时间间隔,计算访问行为的时间方差;
判断所述时间方差是否大于预设的方差阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在所述时间方差大于预设的方差阈值时,确定所述终端的访问行为为恶意访问。
所述存储介质中的指令还可以包括:
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
根据获得的时间间隔,计算访问行为的时间方差;
计算所述时间方差与时间间隔的平均值的比值;
判断所述比值是否小于预设的第二比例阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在所述比值小于预设的第二比例阈值时,确定所述终端的访问行为为恶意访问。
所述存储介质中的指令还可以包括:
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
获得所述时间滑动窗口内的访问行为的总数;
判断所述总数是否超过预设的总数阈值;
根据判断结果,对所述时间滑动窗口内的访问行为进行评估。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (8)
1.一种识别用户行为的方法,其特征在于,包括:
获取在预设的时间滑动窗口内的终端的访问行为;
根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;
根据评估结果确定所述终端的访问行为是否为恶意访问;
所述时间滑动窗口包括m个等分的时间片;
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片;
判断n与m的的比例是否超过预设的第一比例阈值;
所述方法还包括:
当确定所述终端的访问行为为恶意访问时,要求所述终端发送验证码和/或向用户发送警告消息;
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
获得所述时间滑动窗口内的访问行为的总数;
判断所述总数是否超过预设的总数阈值;
根据判断结果,对所述时间滑动窗口内的访问行为进行评估;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在n与m的的比例超过预设的第一比例阈值且所述总数超过所述预设的总数阈值时,确定所述访问行为为恶意访问。
2.根据权利要求1所述的识别用户行为的方法,其特征在于,所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
根据获得的时间间隔,计算访问行为的时间方差;
判断所述时间方差是否大于预设的方差阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在所述时间方差不大于预设的方差阈值时,确定所述终端的访问行为为恶意访问。
3.根据权利要求1所述的识别用户行为的方法,其特征在于,所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
根据获得的时间间隔,计算访问行为的时间方差;
计算所述时间方差与时间间隔的平均值的比值;
判断所述比值是否小于预设的第二比例阈值;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在所述比值小于预设的第二比例阈值时,确定所述终端的访问行为为恶意访问。
4.一种识别用户行为的装置,其特征在于,包括:
获取模块,用于获取在预设的时间滑动窗口内的终端的访问行为;
评估模块,用于根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;
确定模块,用于根据评估结果确定所述终端的访问行为是否为恶意访问;
所述时间滑动窗口包括m个等分的时间片;
所述评估模块包括:
时间片子模块,用于针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片;
第一比例子模块,用于判断n与m的的比例是否超过预设的第一比例阈值;
所述装置还用于:
当确定所述终端的访问行为为恶意访问时,要求所述终端发送验证码和/或向用户发送警告消息;
所述评估模块包括:
总数子模块,用于获得所述时间滑动窗口内的访问行为的总数;
总数判断子模块,用于判断所述总数是否超过预设的总数阈值;
第二评估子模块,用于根据判断结果,对所述时间滑动窗口内的访问行为进行评估;
所述确定模块还用于:
在n与m的的比例超过预设的第一比例阈值且所述总数超过所述预设的总数阈值时,确定所述访问行为为恶意访问。
5.根据权利要求4所述的识别用户行为的装置,其特征在于,所述评估模块包括:
间隔子模块,用于针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
方差子模块,用于根据获得的时间间隔,计算访问行为的时间方差;
第一评估子模块,用于判断所述时间方差是否大于预设的方差阈值;
所述确定模块在所述时间方差不大于预设的方差阈值时,确定所述终端的访问行为为恶意访问。
6.根据权利要求4所述的识别用户行为的装置,其特征在于,所述评估模块包括:
间隔子模块,用于针对所述时间滑动窗口内的每相邻两个访问行为,获得相邻两个访问行为的时间间隔;
方差子模块,用于根据获得的时间间隔,计算访问行为的时间方差;
比值子模块,用于计算所述时间方差与时间间隔的平均值的比值;
第二比例子模块,用于判断所述比值是否小于预设的第二比例阈值;
所述确定模块在所述比值小于预设的第二比例阈值时,确定所述终端的访问行为为恶意访问。
7.一种识别用户行为的装置,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
获取在预设的时间滑动窗口内的终端的访问行为;
根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;
根据评估结果确定所述终端的访问行为是否为恶意访问;
所述时间滑动窗口包括m个等分的时间片;
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片;
判断n与m的的比例是否超过预设的第一比例阈值;
所述处理器还被配置为:
当确定所述终端的访问行为为恶意访问时,要求所述终端发送验证码和/或向用户发送警告消息;
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
获得所述时间滑动窗口内的访问行为的总数;
判断所述总数是否超过预设的总数阈值;
根据判断结果,对所述时间滑动窗口内的访问行为进行评估;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在n与m的的比例超过预设的第一比例阈值且所述总数超过所述预设的总数阈值时,确定所述访问行为为恶意访问。
8.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现以下步骤:
获取在预设的时间滑动窗口内的终端的访问行为;
根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估;
根据评估结果确定所述终端的访问行为是否为恶意访问;
所述时间滑动窗口包括m个等分的时间片;
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
针对每个时间片,判断在时间片内的访问次数是否超过预设的分片次数阈值,得到n个访问次数超过预设的分片次数阈值的时间片;
判断n与m的的比例是否超过预设的第一比例阈值;
当确定所述终端的访问行为为恶意访问时,要求所述终端发送验证码和/或向用户发送警告消息;
所述根据所述时间滑动窗口内的访问行为,对所述时间滑动窗口内的访问行为进行评估,包括:
获得所述时间滑动窗口内的访问行为的总数;
判断所述总数是否超过预设的总数阈值;
根据判断结果,对所述时间滑动窗口内的访问行为进行评估;
所述根据评估结果确定所述终端的访问行为是否为恶意访问,包括:
在n与m的的比例超过预设的第一比例阈值且所述总数超过所述预设的总数阈值时,确定所述访问行为为恶意访问。
Priority Applications (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410708281.6A CN104486298B (zh) | 2014-11-27 | 2014-11-27 | 识别用户行为的方法及装置 |
| KR1020157016876A KR101677217B1 (ko) | 2014-11-27 | 2015-04-30 | 유저 행위 식별 방법 및 유저 행위 식별 장치, 프로그램 및 저장매체 |
| BR112015018912A BR112015018912A2 (pt) | 2014-11-27 | 2015-04-30 | método e dispositivo para identificar comportamento de usuário |
| PCT/CN2015/078019 WO2016082462A1 (zh) | 2014-11-27 | 2015-04-30 | 识别用户行为的方法及装置 |
| JP2016561070A JP2017503293A (ja) | 2014-11-27 | 2015-04-30 | ユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体 |
| MX2015009131A MX350670B (es) | 2014-11-27 | 2015-04-30 | Método y dispositivo para identificar el comportamiento de usuario. |
| RU2015128769A RU2628127C2 (ru) | 2014-11-27 | 2015-04-30 | Способ и устройство для идентификации поведения пользователя |
| US14/933,197 US20160156653A1 (en) | 2014-11-27 | 2015-11-05 | Method and Device for Identifying User Behavior |
| EP15196035.8A EP3026864B1 (en) | 2014-11-27 | 2015-11-24 | Method and device for identifying bot access |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410708281.6A CN104486298B (zh) | 2014-11-27 | 2014-11-27 | 识别用户行为的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104486298A CN104486298A (zh) | 2015-04-01 |
| CN104486298B true CN104486298B (zh) | 2018-03-09 |
Family
ID=52760802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410708281.6A Active CN104486298B (zh) | 2014-11-27 | 2014-11-27 | 识别用户行为的方法及装置 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20160156653A1 (zh) |
| EP (1) | EP3026864B1 (zh) |
| JP (1) | JP2017503293A (zh) |
| KR (1) | KR101677217B1 (zh) |
| CN (1) | CN104486298B (zh) |
| BR (1) | BR112015018912A2 (zh) |
| MX (1) | MX350670B (zh) |
| RU (1) | RU2628127C2 (zh) |
| WO (1) | WO2016082462A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486298B (zh) * | 2014-11-27 | 2018-03-09 | 小米科技有限责任公司 | 识别用户行为的方法及装置 |
| CN104881479B (zh) * | 2015-06-03 | 2018-07-13 | 北京京东尚科信息技术有限公司 | 一种限制用户最小操作间隔的方法及装置 |
| CN106327230B (zh) * | 2015-06-30 | 2019-12-24 | 阿里巴巴集团控股有限公司 | 一种异常用户检测方法及设备 |
| CN104967629B (zh) * | 2015-07-16 | 2018-11-27 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
| CN105282047B (zh) * | 2015-09-25 | 2020-04-14 | 小米科技有限责任公司 | 访问请求处理方法及装置 |
| CN106789831B (zh) * | 2015-11-19 | 2020-10-23 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| CN111629010B (zh) * | 2015-11-23 | 2023-03-10 | 创新先进技术有限公司 | 一种恶意用户识别方法及装置 |
| US11625629B2 (en) | 2016-03-04 | 2023-04-11 | Axon Vibe AG | Systems and methods for predicting user behavior based on location data |
| CN106506451B (zh) * | 2016-09-30 | 2019-08-27 | 百度在线网络技术(北京)有限公司 | 恶意访问的处理方法及装置 |
| JP6737189B2 (ja) * | 2017-01-18 | 2020-08-05 | トヨタ自動車株式会社 | 不正判定システム及び不正判定方法 |
| CN106657410B (zh) * | 2017-02-28 | 2018-04-03 | 国家电网公司 | 基于用户访问序列的异常行为检测方法 |
| CN107046489B (zh) * | 2017-04-07 | 2020-07-28 | 上海熙菱信息技术有限公司 | 一种频次类实时统计模型系统及方法 |
| CN107481090A (zh) * | 2017-07-06 | 2017-12-15 | 众安信息技术服务有限公司 | 一种用户异常行为检测方法、装置和系统 |
| FR3094518B1 (fr) | 2019-04-01 | 2021-02-26 | Idemia Identity & Security France | Procédé de détection de bots dans un réseau d’utilisateurs |
| KR102034998B1 (ko) * | 2019-07-12 | 2019-10-22 | 경상대학교산학협력단 | 돼지움직임 감지용 광이표 |
| KR102295463B1 (ko) * | 2019-07-12 | 2021-08-27 | 경상국립대학교산학협력단 | 가속도 센서를 구비한 돼지이표 |
| CN111224939B (zh) * | 2019-11-15 | 2022-07-12 | 上海钧正网络科技有限公司 | 任务请求的拦截方法、装置、计算机设备和存储介质 |
| CN110933115B (zh) * | 2019-12-31 | 2022-04-29 | 上海观安信息技术股份有限公司 | 基于动态session的分析对象行为异常检测方法及装置 |
| CN113114611B (zh) * | 2020-01-13 | 2024-02-06 | 北京沃东天骏信息技术有限公司 | 黑名单管理的方法和装置 |
| CN112784288B (zh) * | 2021-01-22 | 2024-05-10 | 尚娱软件(深圳)有限公司 | 访问管理方法、终端及计算机可读存储介质 |
| US11991196B2 (en) | 2021-03-04 | 2024-05-21 | Qatar Foundation For Education, Science And Community Development | Anomalous user account detection systems and methods |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011022272A2 (en) * | 2009-08-18 | 2011-02-24 | Behavioral Recognition Systems, Inc. | Scene preset identification using quadtree decomposition analysis |
| CN102769549A (zh) * | 2011-05-05 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 网络安全监控的方法和装置 |
| CN103718170A (zh) * | 2011-07-29 | 2014-04-09 | 惠普发展公司,有限责任合伙企业 | 用于事件的分布式基于规则的相关的系统和方法 |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000148276A (ja) * | 1998-11-05 | 2000-05-26 | Fujitsu Ltd | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 |
| KR100479328B1 (ko) * | 2002-12-24 | 2005-03-31 | 한국전자통신연구원 | 슬라이딩 윈도우 캐쉬 구조 |
| JP2005044277A (ja) * | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
| KR101074597B1 (ko) * | 2004-09-17 | 2011-10-17 | 주식회사 케이티 | 가상 웹서버 기반의 침입 유도 시스템 및 그 방법 |
| JP2006279930A (ja) * | 2005-03-01 | 2006-10-12 | Nec Corp | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 |
| CA2674635C (en) * | 2007-01-16 | 2016-03-22 | Absolute Software Corporation | A security module having a secondary agent in coordination with a host agent |
| US7885976B2 (en) * | 2007-02-23 | 2011-02-08 | International Business Machines Corporation | Identification, notification, and control of data access quantity and patterns |
| EP2009864A1 (en) | 2007-06-28 | 2008-12-31 | Nibelung Security Systems GmbH | Method and apparatus for attack prevention |
| JP4948359B2 (ja) * | 2007-10-26 | 2012-06-06 | 三菱電機株式会社 | 不正アクセス検知装置及び不正アクセス検知方法及びプログラム |
| US20090144545A1 (en) * | 2007-11-29 | 2009-06-04 | International Business Machines Corporation | Computer system security using file system access pattern heuristics |
| JP2009217555A (ja) * | 2008-03-11 | 2009-09-24 | Mitsubishi Electric Corp | ネットワーク異常判定装置 |
| US8326987B2 (en) * | 2008-11-12 | 2012-12-04 | Lin Yeejang James | Method for adaptively building a baseline behavior model |
| US8572736B2 (en) * | 2008-11-12 | 2013-10-29 | YeeJang James Lin | System and method for detecting behavior anomaly in information access |
| CN101446956A (zh) * | 2008-12-12 | 2009-06-03 | 北京理工大学 | 预测模型的在线增量式插入与删除方法 |
| JP2010146160A (ja) * | 2008-12-17 | 2010-07-01 | Kureo:Kk | 通信管理装置、通信管理方法、およびプログラム |
| US20100192201A1 (en) * | 2009-01-29 | 2010-07-29 | Breach Security, Inc. | Method and Apparatus for Excessive Access Rate Detection |
| JP5911431B2 (ja) * | 2010-01-21 | 2016-05-11 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 悪意のあるアクセスの遮断 |
| JP5791548B2 (ja) * | 2012-03-15 | 2015-10-07 | 三菱電機株式会社 | アドレス抽出装置 |
| US20130291107A1 (en) * | 2012-04-27 | 2013-10-31 | The Irc Company, Inc. | System and Method for Mitigating Application Layer Distributed Denial of Service Attacks Using Human Behavior Analysis |
| US20140304833A1 (en) * | 2013-04-04 | 2014-10-09 | Xerox Corporation | Method and system for providing access to crowdsourcing tasks |
| RU133954U1 (ru) * | 2013-04-29 | 2013-10-27 | Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) | Устройство защиты сети |
| CN104486298B (zh) * | 2014-11-27 | 2018-03-09 | 小米科技有限责任公司 | 识别用户行为的方法及装置 |
-
2014
- 2014-11-27 CN CN201410708281.6A patent/CN104486298B/zh active Active
-
2015
- 2015-04-30 JP JP2016561070A patent/JP2017503293A/ja active Pending
- 2015-04-30 RU RU2015128769A patent/RU2628127C2/ru active
- 2015-04-30 KR KR1020157016876A patent/KR101677217B1/ko active IP Right Grant
- 2015-04-30 WO PCT/CN2015/078019 patent/WO2016082462A1/zh active Application Filing
- 2015-04-30 MX MX2015009131A patent/MX350670B/es active IP Right Grant
- 2015-04-30 BR BR112015018912A patent/BR112015018912A2/pt not_active IP Right Cessation
- 2015-11-05 US US14/933,197 patent/US20160156653A1/en not_active Abandoned
- 2015-11-24 EP EP15196035.8A patent/EP3026864B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011022272A2 (en) * | 2009-08-18 | 2011-02-24 | Behavioral Recognition Systems, Inc. | Scene preset identification using quadtree decomposition analysis |
| CN102769549A (zh) * | 2011-05-05 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 网络安全监控的方法和装置 |
| CN103718170A (zh) * | 2011-07-29 | 2014-04-09 | 惠普发展公司,有限责任合伙企业 | 用于事件的分布式基于规则的相关的系统和方法 |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101677217B1 (ko) | 2016-11-17 |
| JP2017503293A (ja) | 2017-01-26 |
| BR112015018912A2 (pt) | 2017-07-18 |
| US20160156653A1 (en) | 2016-06-02 |
| EP3026864B1 (en) | 2018-09-26 |
| MX2015009131A (es) | 2016-08-01 |
| MX350670B (es) | 2017-09-12 |
| RU2015128769A (ru) | 2017-01-20 |
| CN104486298A (zh) | 2015-04-01 |
| RU2628127C2 (ru) | 2017-08-15 |
| WO2016082462A1 (zh) | 2016-06-02 |
| EP3026864A1 (en) | 2016-06-01 |
| KR20160077009A (ko) | 2016-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104486298B (zh) | 识别用户行为的方法及装置 | |
| CN104391979B (zh) | 网络恶意爬虫识别方法及装置 | |
| CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
| US9870470B2 (en) | Method and apparatus for detecting a multi-stage event | |
| RU2622876C2 (ru) | Способ, устройство и электронное устройство для управления соединениями | |
| CN104601601B (zh) | 网络爬虫的检测方法及装置 | |
| KR102167602B1 (ko) | 신뢰된 단말기 검증 방법 및 장치 | |
| JP2016527605A (ja) | 人間と機械を区別する方法及びシステム | |
| CN106778260A (zh) | 攻击检测方法和装置 | |
| KR101867299B1 (ko) | 정보 유출 위험도 판단 방법 및 장치 | |
| US9251367B2 (en) | Device, method and program for preventing information leakage | |
| US20200301972A1 (en) | Graph analysis of time-series cluster data | |
| EP2854362B1 (en) | Software network behavior analysis and identification system | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| CN111641619B (zh) | 一种基于大数据构建黑客画像的方法、装置和计算机设备 | |
| CN110858831A (zh) | 安全防护方法、装置以及安全防护设备 | |
| CN105939321B (zh) | 一种dns攻击检测方法及装置 | |
| CN104184730B (zh) | 访问处理方法和装置、电子设备 | |
| CN108804914A (zh) | 一种异常数据检测的方法及装置 | |
| US20210081949A1 (en) | Fraud detection based on known user identification | |
| CN113472798A (zh) | 一种网络数据包的回溯解析方法、装置、设备及介质 | |
| CN109429296B (zh) | 用于终端与上网信息关联的方法、装置及存储介质 | |
| CN107547502B (zh) | 信息监听系统、方法、装置、电子设备及存储介质 | |
| US10009330B1 (en) | Method, apparatus and article of manufacture for fast tracking authentication | |
| CN114157465B (zh) | 一种勒索病毒传播路径的确定方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |