CN104767640A - 预警方法及预警系统 - Google Patents
预警方法及预警系统 Download PDFInfo
- Publication number
- CN104767640A CN104767640A CN201510132969.9A CN201510132969A CN104767640A CN 104767640 A CN104767640 A CN 104767640A CN 201510132969 A CN201510132969 A CN 201510132969A CN 104767640 A CN104767640 A CN 104767640A
- Authority
- CN
- China
- Prior art keywords
- time period
- operational ton
- client
- early warning
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Alarm Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种预警方法,包括:采集用户所在客户端产生的操作流量数据,操作流量数据由客户端在通过浏览器访问应用系统的过程中产生;对操作流量数据进行分析,确定客户端产生的操作;确定客户端在第一时间段产生的操作量;将客户端在第一时间段产生的操作量与相应的操作量模型进行比对,操作量模型是利用客户端在第一时间段之前的一段时间内产生的操作量构建的;在客户端在第一时间段产生的操作量超出操作量模型的操作量区间时,发出操作量异常预警。本发明公开的预警方法灵活性较好,同时也能够降低误报率。本发明还公开了一种预警系统。
Description
技术领域
本发明属于通信技术领域,尤其涉及预警方法及预警系统。
背景技术
现在有上网需求的用户越来越多,为了维护网络安全,企业的网络维护部门或者政府负责管理网络安全的部门,需要对用户的上网行为进行控制。
目前的处理方式是:为用户统一设置操作量上限值,当某一用户在一段时间(如一天)内的操作量超过该上限值,就发出预警,提示用户存在操作异常。
但是,上述处理方式采用的是一刀切的方式,灵活性较低、误报率较高,会给用户造成不便。例如:用户A和用户B的工作性质不同,用户A的上网需求较低,而用户B需要频繁使用网络,由于为两个用户设置的操作量上限值是相同的,因此会因为用户B正常的网络访问而发出针对用户B的预警,给用户B带来不便。
发明内容
有鉴于此,本发明的目的在于提供一种预警方法及预警系统,用于解决现有的预警方式灵活性低、误报率高的问题。
为实现上述目的,本发明提供如下技术方案:
本发明公开一种预警方法,包括:
采集用户所在客户端产生的操作流量数据,所述操作流量数据由所述客户端在通过浏览器访问应用系统的过程中产生;
对所述操作流量数据进行分析,确定所述客户端产生的操作;
确定所述客户端在第一时间段产生的操作量;
将所述客户端在第一时间段产生的操作量与相应的操作量模型进行比对,所述操作量模型是利用所述客户端在所述第一时间段之前的一段时间内产生的操作量构建的;
在所述客户端在第一时间段产生的操作量超出所述操作量模型的操作量区间时,发出操作量异常预警。
优选的,上述预警方法中,构建操作量模型的过程,包括:确定所述客户端在第二时间段内产生的操作量,所述第二时间段位于所述第一时间段之前,所述第二时间段的时长为m个单位时间,1个单位时间的时长与所述第一时间段的时长相同,其中m为大于1的整数;确定所述第二时间段的一个单位时间内产生的操作量的平均值μ和标准差σ;分别计算操作量上限值和操作量下限值以构成操作量模型的操作量区间,形成操作量模型,其中,所述操作量上限值为μ+N*σ,所述操作量下限值为μ-N*σ,N为1、2或3。
优选的,上述预警方法中,在确定所述客户端产生的操作之后,还包括:确定所述客户端产生的操作的类型;确定所述客户端在第三时间段内产生的操作的类型分布比率;计算所述客户端在第三时间段内产生的操作的类型分布比率与相应的操作内容模型的相似度,所述操作内容模型是利用所述客户端在所述第三时间段之前的一段时间内产生的操作的类型构建的;在获得的相似度低于相似度阈值时,发出操作内容异常预警。
优选的,上述预警方法中,构建操作内容模型的过程,包括:确定所述客户端在第四时间段内产生的操作的类型分布比率,将所述客户端在第四时间段内产生的操作的类型分布比率作为操作内容模型;其中,所述第四时间段位于所述第三时间段之前,并且第四时间段的时长为所述第三时间段的时长的n倍,其中n为大于1的整数。
优选的,上述预警方法中,所述计算所述客户端在第三时间段内产生的操作的类型分布比率与预存的操作内容模型的相似度,包括:利用余弦定理算法计算所述客户端在第三时间段内产生的操作的类型分布比率与预存的操作内容模型的相似度。
优选的,上述预警方法中,在确定所述客户端产生的操作之后,还包括:当同一用户在预设时间内使用多个客户端的情况下,确定所述多个客户端所处的地理位置,如果任意两个客户端所在地理位置之间的距离超出距离阈值,则发出操作异常预警。
本发明还公开一种预警系统,包括:
数据采集单元,用于采集用户所在客户端产生的操作流量数据,所述操作流量数据由所述客户端在通过浏览器访问应用系统的过程中产生;
分析单元,用于对所述操作流量数据进行分析,确定所述客户端产生的操作;
操作量确定单元,用于确定所述客户端在第一时间段产生的操作量;
比对单元,用于将所述客户端在第一时间段产生的操作量与相应的操作量模型进行比对,所述操作量模型是利用所述客户端在所述第一时间段之前的一段时间内产生的操作量构建的;
第一处理单元,用于在所述客户端在第一时间段产生的操作量超出所述操作量模型的操作量区间时,发出操作量异常预警。
优选的,上述预警系统还包括操作量模型构建单元;所述操作量模型构建单元确定所述客户端在第二时间段内产生的操作量,之后确定所述第二时间段的一个单位时间内产生的操作量的平均值μ和标准差σ,之后分别计算操作量上限值和操作量下限值以构成操作量模型的操作量区间,形成操作量模型,所述操作量上限值为μ+N*σ,所述操作量下限值为μ-N*σ,N为1、2或3;其中,所述第二时间段位于所述第一时间段之前,所述第二时间段的时长为m个单位时间,1个单位时间的时长与所述第一时间段的时长相同,其中m为大于1的整数。
优选的,上述预警系统还包括:类型确定单元,用于确定所述客户端产生的操作的类型;类型分布比率确定单元,用于确定所述客户端在第三时间段内产生的操作的类型分布比率;相似度确定单元,用于计算所述客户端在第三时间段内产生的操作的类型分布比率与相应的操作内容模型的相似度,所述操作内容模型是利用所述客户端在所述第三时间段之前的一段时间内产生的操作的类型构建的;第二处理单元,用于在获得的相似度低于相似度阈值时,发出操作内容异常预警。
优选的,上述预警系统还包括操作内容模型构建单元;所述操作内容模型构建单元确定所述客户端在第四时间段内产生的操作的类型分布比率,将所述客户端在第四时间段内产生的操作的类型分布比率作为操作内容模型,其中,所述第四时间段位于所述第三时间段之前,并且第四时间段的时长为所述第三时间段的时长的n倍,其中n为大于1的整数。
优选的,上述预警系统还包括第三处理单元;当同一用户在预设时间内使用多个客户端的情况下,所述第三处理单元确定所述多个客户端所处的地理位置,如果任意两个客户端所在地理位置之间的距离超出距离阈值,则发出操作异常预警。
由此可见,本发明的有益效果为:本发明公开的预警方法,采集用户所在客户端产生的操作流量数据,之后对该操作流量数据进行分析以确定客户端产生的操作,将客户端在第一时间段产生的操作量与相应的操作量模型进行比对,该操作量模型是利用客户端在第一时间段之前的一段时间内产生的操作量构建的,当客户端在第一时间段产生的操作量超出操作量模型的操作量区间时,发出操作量异常预警。本发明公开的预警方法中,将用户所在客户端在第一时间段产生的操作量与利用该客户端在过去一端时间内产生的操作量构建的操作量模型进行比对,以确定该用户的网络访问量是否正常,由于操作量模型是利用用户在一段时间内的操作量确定的,并且针对不同用户使用的是各用户相应的操作量模型,因此,本发明公开的预警方法灵活性较好,同时也能够降低误报率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明公开的一种预警方法的流程图;
图2为本发明公开的一种构建操作量模型的方法的流程图;
图3为本发明中预警系统的一种运行界面示意图;
图4为本发明中预警系统的另一种运行界面示意图;
图5为本发明公开的另一种预警方法的流程图;
图6为本发明公开的一种预警系统的结构示意图;
图7为本发明公开的另一种预警系统的结构示意图;
图8为本发明公开的另一种预警系统的结构示意图;
图9为本发明公开的另一种预警系统的结构示意图;
图10为本发明公开的另一种预警系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明公开一种预警方法,用于解决现有的预警处理方式灵活性低的问题。
参见图1,图1为本发明公开的一种预警方法的流程图。该预警方法包括:
步骤S11:采集用户所在客户端产生的操作流量数据。
操作流量数据是由客户端在通过浏览器访问应用系统的过程中产生的。
步骤S12:对操作流量数据进行分析,确定客户端产生的操作。
通过对客户端产生的操作流量数据进行分析,就可以确定该客户端产生的操作。实施中,可以利用hadoop(分布式系统基础架构)组件、solr(独立的企业级搜索应用服务器)组件、hbase(分布式的、面向列的开源数据库)组件和hive(基于Hadoop的数据仓库工具)组件对操作流量数据进行分析。
步骤S13:确定客户端在第一时间段产生的操作量。
其中,第一时间段可以为一天、一周、一个小时、一天中的一段时间(例如早上8点至早上10点),当然第一时间段还可以配置为其他形式,本发明不进行限定。
步骤S14:将客户端在第一时间段产生的操作量与相应的操作量模型进行比对。
操作量模型是利用客户端在第一时间段之前的一段时间内产生的操作量构建的。并且,针对第一时间段的一种配置方式至少预先构建有一个操作量模型。也就是说,在预警系统中预先存储有多个操作量模型。
这里进行简单说明:
如果第一时间段配置为一个小时,则预警系统需要预先构建以小时为单位的操作量模型,该操作量模型中的操作量区间指示了用户在一小时内可以执行的访问操作的上限值和下限值。
如果第一时间段配置为一天,则预警系统需要预先构建以天为单位的操作量模型,该操作量模型中的操作量区间指示了用户在一天内可以执行的访问操作的上限值和下限值。
如果第一时间段配置为一天中的一段时间,则预警系统需要预先构建以该段时间为单位的操作操作量模型,该操作量模型中的操作量区间指示了用户在一天中的该段时间可以执行的访问操作的上限值和下限值。
步骤S15:在客户端在第一时间段产生的操作量超出操作量模型的操作量区间时,发出操作量异常预警。
如果客户端在第一时间段产生的操作量高于相应的操作量模型的上限值,或者低于操作量模型的下限值,表明用户在第一时间段内的操作量出现异常,因此预警系统发出操作量异常预警。
本发明公开的预警方法,采集用户所在客户端产生的操作流量数据,之后对该操作流量数据进行分析以确定客户端产生的操作,将客户端在第一时间段产生的操作量与相应的操作量模型进行比对,该操作量模型是利用客户端在第一时间段之前的一段时间内产生的操作量构建的,当客户端在第一时间段产生的操作量超出操作量模型的操作量区间时,发出操作量异常预警。本发明公开的预警方法中,将用户所在客户端在第一时间段产生的操作量与利用该客户端在过去一端时间内产生的操作量构建的操作量模型进行比对,以确定该用户的网络访问量是否正常,由于操作量模型是利用用户在一段时间内的操作量确定的,并且针对不同用户使用的是各用户相应的操作量模型,因此,本发明公开的预警方法灵活性较好,同时也能够降低误报率。
实施中,可以采用图2所示的方法构建操作量模型,包括:
步骤S21:确定客户端在第二时间段内产生的操作量。
其中,第二时间段位于第一时间段之前,第二时间段的时长为m个单位时间,1个单位时间的时长与第一时间段的时长相同,其中m为大于1的整数。这里需要说明的是,第二时间段可以是一段连续的时间,也可以为多个离散的时间段,但一个时间段的时长为第一时间段的时长的整数倍。
例如:第一时间段为2014年5月1日,第二时间段可以配置为2014年5月1日之前的一段连续的时间,如2014年4月24日至2014年4月30日,共包括7个单位时间,或者2014年4月1日至2014年4月30日,共包括30个单位时间;第二时间段还可以配置为多个离散的时间段,如2014年5月1日为周四,第二时间段可以配置为2014年5月1日之前的多个周四。
步骤S22:确定第二时间段的一个单位时间内产生的操作量的平均值μ和标准差σ。
第二时间段包括多个单位时间,首先确定每个单位时间内的操作量,之后就可以确定第二时间段的一个单位时间内产生的操作量的平均值μ和标准差σ。具体的:
其中,N为第二时间段所包含的单位时间的数量,xi为第i个单位时间内的操作量,i=1、2…N。
步骤S23:分别计算操作量上限值和操作量下限值以构成操作量模型的操作量区间,形成操作量模型。其中,操作量上限值为μ+N*σ,操作量下限值为μ-N*σ,N为1、2或3。
这里以第一时间段为2014年5月1日,第二时间段配置为2014年4月24日至2014年4月30日为例进行说明。首先确定2014年4月24日至2014年4月30日之间每天的操作量(共7个操作量),之后利用公式1计算出7个操作量的平均值μ,之后再利用公式2计算出标准差σ,之后分别计算出操作量上限值和操作量下限值,形成操作量模型。
作为一种具体实施方式,在预警系统运行过程中,可以通过图表的形式显示用户的操作量以及操作量模型。如图3所示,以曲线绘制出用户的实际操作量(图3中标注为31),以步进图绘制出用户的周次平均值(图3中标注为32),以直线图绘制出操作量模型的操作量上限值(图3中标注为33)和操作量下限值(图3中标注为34)。这里要说明的是,周次平均值指的是:相同周次的操作量的平均值。例如:周一的周次平均值是指在多个周一产生的操作量的平均值,周二的周次平均值是指在多个周二产生的操作量的平均值,以此类推,周日的周次平均值是指在多个周日产生的操作量的平均值。
作为另一种具体实施方式,在预警系统运行过程中,还可以通过表格的形式显示用户的操作量以及操作量模型,如图4所示。
参见图5,图5为本发明公开的另一种预警方法的流程图。该预警方法包括:
步骤S11:采集用户所在客户端产生的操作流量数据。
步骤S12:对操作流量数据进行分析,确定客户端产生的操作,之后执行步骤S13和步骤S16。
步骤S13:确定客户端在第一时间段产生的操作量。
步骤S14:将客户端在第一时间段产生的操作量与相应的操作量模型进行比对。
步骤S15:当客户端在第一时间段产生的操作量超出操作量模型的操作量区间时,发出操作量异常预警。
步骤S16:确定客户端产生的操作的类型。
当预警系统被配置在电信系统中,用于对访问电信服务器的用户进行预警的情况下,操作的类型包括但不限于用户开户、账单查询、积分查询、积分兑换、资料变更和密码变更。
步骤S17:确定客户端在第三时间段内产生的操作的类型分布比率。
其中,第三时间段可以为一天、一周、一个小时,当然,第三时间段还可以配置为其他形式,本发明不进行限定。实施中,统计在第三时间段内产生的操作总量,分别统计各个类型的操作出现的次数,之后分别计算同一类型的操作出现的次数与操作总量的比值,各个比值的集合即为第三时间段内产生的操作的类型分布比率。
例如:用户所在客户端在一天内产生了类型1操作A1次,产生了类型2操作A2次,产生了类型3操作A3次,则该用户所在客户端在一天内产生的操作总量A为A1、A2和A3的总和,该用户所在客户端在一天内产生的操作的类型分布比率为{类型1:A1/A,类型2:A2/A,类型3:A3/A}。
步骤S18:计算客户端在第三时间段内产生的操作的类型分布比率与相应的操作内容模型的相似度。
其中,操作内容模型是利用客户端在第三时间段之前的一段时间内产生的操作的类型构建的。并且,针对第三时间段的一种配置方式至少预先构建有一个操作内容模型。
实施中,可以采用如下方式构建操作内容模型。
确定用户所在客户端在第四时间段内产生的操作的类型分布比率,将该类型分布比率作为该用户所在客户端的操作内容模型。其中,第四时间段位于第三时间段之前,并且该第四时间段的时长为第三时间段的时长的n倍,n为大于1的整数。这里需要说明的是,第四时间段可以是一段连续的时间,也可以为多个离散的时间段,但一个时间段的时长为第三时间段的时长的整数倍。
实施中,统计在第四时间段内产生的操作总量,分别统计各个类型的操作出现的次数,之后分别计算同一类型的操作出现的次数与操作总量之间的比值,各个比值的集合即为第四时间段内产生的操作的类型分布比率。
例如:在第三时间段被配置为一天的情况下,第四时间段被配置为n天,n为大于1的整数。在n天内,用户所在客户端产生了类型1操作B1次,产生了类型2操作B2次,产生了类型3操作B3次,产生了类型4操作B4次,产生了类型5操作B4次,则该用户所在客户端在n天内产生的操作总量B为B1、B2、B3、B4和B5的总和,该用户所在客户端在n天内产生的操作的类型分布比率为{类型1:B1/B;类型2:B2/B;类型3:B3/B;类型4:B4/B;类型5:B5/B;}。
步骤S19:在获得的相似度低于相似度阈值时,发出操作内容异常预警。
客户端在第三时间段内产生的操作的类型分布比率与相应的操作内容模型的相似度越接近1,表明两者越相似,相似度越接近0,表明两者的差异越大。如果客户端在第三时间段内产生的操作的类型分布比率与相应的操作内容模型的相似度低于相似度阈值,表明用户在第三时间段内的操作类型与操作内容模型之间的差异较大,预警系统发出操作内容异常预警。
本发明图5所示的预警方法与图1所示预警方法相比,不仅可以对用户在一段时间内的操作量进行监控,在用户的操作量出现异常时发出预警,还可以对用户在一段时间内的操作类型进行监控,在用户的操作类型与操作内容模型出现较大差异时发出操作内容异常预警,预警类型更加多样。
实施中,可以采用欧几里得算法、皮尔森算法或者余弦定理算法来计算客户端在第三时间段内产生的操作的类型分布比率与预存的操作内容模型的相似度。
预警系统运行过程中,可以采用饼图的形式显示客户端在第三时间段内产生的操作的类型分布比率以及操作内容模型,显示效果更加直观。
另外,在图1和图5所示预警方法的基础上,还可以做进一步改进,从而进一步丰富预警类型。具体的,在确定客户端产生的操作之后,还包括:当同一用户在预设时间内使用多个客户端的情况下,确定用户使用的多个客户端所处的地理位置,如果任意两个客户端所在地理位置之间的距离超出距离阈值,则发出操作异常预警。
当用户在短时间内使用了多个客户端,并且客户端之间的距离较远,表明用户的账号信息可能被盗取,此时预警系统发出操作异常预警,以便后续向用户发出提示。
实施中,可以利用客户端的IP地址来确定客户端所处的地理位置。
本发明上述公开了多种预警方法,相应的,本发明还公开预警系统。参见图6,图6为本发明公开的一种预警系统的结构示意图。该预警系统包括数据采集单元1、分析单元2、操作量确定单元3、比对单元4和第一处理单元5。
其中:
数据采集单元1,用于采集用户所在客户端产生的操作流量数据。其中,操作流量数据由客户端在通过浏览器访问应用系统的过程中产生。
分析单元2,用于对操作流量数据进行分析,确定客户端产生的操作。通过对客户端产生的操作流量数据进行分析,就可以确定该客户端产生的操作。实施中,可以利用hadoop组件、solr组件、hbase(组件和hive组件对操作流量数据进行分析。
操作量确定单元3,用于确定客户端在第一时间段产生的操作量。其中,第一时间段可以为一天、一周、一个小时、一天中的一段时间(例如早上8点至早上10点),当然第一时间段还可以配置为其他形式,本发明不进行限定。
比对单元4,用于将客户端在第一时间段产生的操作量与相应的操作量模型进行比对。其中,操作量模型是利用客户端在第一时间段之前的一段时间内产生的操作量构建的。并且,针对第一时间段的一种配置方式至少预先构建有一个操作量模型。也就是说,在预警系统中预先存储有多个操作量模型。
第一处理单元5,用于在客户端在第一时间段产生的操作量超出操作量模型的操作量区间时,发出操作量异常预警。
本发明公开的预警系统,采集用户所在客户端产生的操作流量数据,之后对该操作流量数据进行分析以确定客户端产生的操作,将客户端在第一时间段产生的操作量与相应的操作量模型进行比对,该操作量模型是利用客户端在第一时间段之前的一段时间内产生的操作量构建的,当客户端在第一时间段产生的操作量超出操作量模型的操作量区间时,发出操作量异常预警。本发明公开的预警系统,将用户所在客户端在第一时间段产生的操作量与利用该客户端在过去一端时间内产生的操作量构建的操作量模型进行比对,以确定该用户的网络访问量是否正常,由于操作量模型是利用用户在一段时间内的操作量确定的,并且针对不同用户使用的是各用户相应的操作量模型,因此,本发明公开的预警系统灵活性较好,同时也能够降低误报率。
在预警系统运行过程中,可以通过图表的形式显示用户的操作量以及操作量模型。如图3所示,以曲线绘制出用户的实际操作量(图3中标注为31),以步进图绘制出用户的周次平均值(图3中标注为32),以直线图绘制出操作量模型的操作量上限值(图3中标注为33)和操作量下限值(图3中标注为34)。这里要说明的是,周次平均值指的是:相同周次的操作量的平均值。例如:周一的周次平均值是指在多个周一产生的操作量的平均值,周二的周次平均值是指在多个周二产生的操作量的平均值,以此类推,周日的周次平均值是指在多个周日产生的操作量的平均值。
作为另一种具体实施方式,在预警系统运行过程中,还可以通过表格的形式显示用户的操作量以及操作量模型,如图4所示。
实施中,可以在预警系统中设置操作量模型构建单元6,如图7所示。其中,操作量模型构建单元6具体用于:确定客户端在第二时间段内产生的操作量,之后确定第二时间段的一个单位时间内产生的操作量的平均值μ和标准差σ,之后分别计算操作量上限值和操作量下限值以构成操作量模型的操作量区间,形成操作量模型,操作量上限值为μ+N*σ,操作量下限值为μ-N*σ,N为1、2或3。其中,第二时间段位于第一时间段之前,第二时间段的时长为m个单位时间,1个单位时间的时长与第一时间段的时长相同,其中m为大于1的整数。
在图6或者图7所示预警系统的基础上,可以进行进一步改进。
参见图8,图8为本发明公开的另一种预警系统的结构示意图。该预警系统包括数据采集单元1、分析单元2、操作量确定单元3、比对单元4、第一处理单元5、操作量模型构建单元6、类型确定单元7、类型分布比率确定单元8、相似度确定单元9和第二处理单元10。这里着重对类型确定单元7、类型分布比率确定单元8、相似度确定单元9和第二处理单元10进行说明,其他单元的连接关系及功能请参见前文描述。
类型确定单元7,用于确定客户端产生的操作的类型。当预警系统被配置在电信系统中,用于对访问电信服务器的用户进行预警的情况下,操作的类型包括但不限于用户开户、账单查询、积分查询、积分兑换、资料变更和密码变更。
类型分布比率确定单元8,用于确定客户端在第三时间段内产生的操作的类型分布比率。其中,第三时间段可以为一天、一周、一个小时,当然,第三时间段还可以配置为其他形式,本发明不进行限定。实施中,统计在第三时间段内产生的操作总量,分别统计各个类型的操作出现的次数,之后分别计算同一类型的操作出现的次数与操作总量的比值,各个比值的集合即为第三时间段内产生的操作的类型分布比率。
相似度确定单元9,用于计算客户端在第三时间段内产生的操作的类型分布比率与相应的操作内容模型的相似度。其中,操作内容模型是利用客户端在第三时间段之前的一段时间内产生的操作的类型构建的。并且,针对第三时间段的一种配置方式至少预先构建有一个操作内容模型。
第二处理单元10,用于在获得的相似度低于相似度阈值时,发出操作内容异常预警。
本发明图8所示的预警系统与图6和图7所示的预警系统相比,不仅可以对用户在一段时间内的操作量进行监控,在用户的操作量出现异常时发出预警,还可以对用户在一段时间内的操作类型进行监控,在用户的操作类型与操作内容模型出现较大差异时发出操作内容异常预警,预警类型更加多样。
实施中,可以采用欧几里得算法、皮尔森算法或者余弦定理算法来计算客户端在第三时间段内产生的操作的类型分布比率与预存的操作内容模型的相似度。
预警系统运行过程中,可以采用饼图的形式显示客户端在第三时间段内产生的操作的类型分布比率以及操作内容模型,显示效果更加直观。
另外,在图8所示的预警系统中可以设置操作内容模型构建单元11,如图9所示。其中,操作内容模型构建单元11具体用于:确定客户端在第四时间段内产生的操作的类型分布比率,将客户端在第四时间段内产生的操作的类型分布比率作为操作内容模型。其中,第四时间段位于第三时间段之前,并且第四时间段的时长为第三时间段的时长的n倍,其中n为大于1的整数。
在图6、图7、图8或图9所示预警系统的基础上,可以进一步设置第三处理单元12。参见图10,图10为本发明公开的另一种预警系统的结构示意图。其中,当同一用户在预设时间内使用多个客户端的情况下,第三处理单元12确定多个客户端所处的地理位置,如果任意两个客户端所在地理位置之间的距离超出距离阈值,则发出操作异常预警。在图10所示预警系统中的其他单元的功能请参见前文描述,这里不再进行赘述。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种预警方法,其特征在于,包括:
采集用户所在客户端产生的操作流量数据,所述操作流量数据由所述客户端在通过浏览器访问应用系统的过程中产生;
对所述操作流量数据进行分析,确定所述客户端产生的操作;
确定所述客户端在第一时间段产生的操作量;
将所述客户端在第一时间段产生的操作量与相应的操作量模型进行比对,所述操作量模型是利用所述客户端在所述第一时间段之前的一段时间内产生的操作量构建的;
在所述客户端在第一时间段产生的操作量超出所述操作量模型的操作量区间时,发出操作量异常预警。
2.根据权利要求1所述的预警方法,其特征在于,构建操作量模型的过程,包括:
确定所述客户端在第二时间段内产生的操作量,所述第二时间段位于所述第一时间段之前,所述第二时间段的时长为m个单位时间,1个单位时间的时长与所述第一时间段的时长相同,其中m为大于1的整数;
确定所述第二时间段的一个单位时间内产生的操作量的平均值μ和标准差σ;
分别计算操作量上限值和操作量下限值以构成操作量模型的操作量区间,形成操作量模型,其中,所述操作量上限值为μ+N*σ,所述操作量下限值为μ-N*σ,N为1、2或3。
3.根据权利要求1所述的预警方法,其特征在于,在确定所述客户端产生的操作之后,还包括:
确定所述客户端产生的操作的类型;
确定所述客户端在第三时间段内产生的操作的类型分布比率;
计算所述客户端在第三时间段内产生的操作的类型分布比率与相应的操作内容模型的相似度,所述操作内容模型是利用所述客户端在所述第三时间段之前的一段时间内产生的操作的类型构建的;
在获得的相似度低于相似度阈值时,发出操作内容异常预警。
4.根据权利要求3所述的预警方法,其特征在于,构建操作内容模型的过程,包括:
确定所述客户端在第四时间段内产生的操作的类型分布比率,将所述客户端在第四时间段内产生的操作的类型分布比率作为操作内容模型;
其中,所述第四时间段位于所述第三时间段之前,并且第四时间段的时长为所述第三时间段的时长的n倍,其中n为大于1的整数。
5.根据权利要求4或5所述的预警方法,其特征在于,所述计算所述客户端在第三时间段内产生的操作的类型分布比率与预存的操作内容模型的相似度,包括:
利用余弦定理算法计算所述客户端在第三时间段内产生的操作的类型分布比率与预存的操作内容模型的相似度。
6.根据权利要求1、2、3或4所述的预警方法,其特征在于,在确定所述客户端产生的操作之后,还包括:
当同一用户在预设时间内使用多个客户端的情况下,确定所述多个客户端所处的地理位置,如果任意两个客户端所在地理位置之间的距离超出距离阈值,则发出操作异常预警。
7.一种预警系统,其特征在于,包括:
数据采集单元,用于采集用户所在客户端产生的操作流量数据,所述操作流量数据由所述客户端在通过浏览器访问应用系统的过程中产生;
分析单元,用于对所述操作流量数据进行分析,确定所述客户端产生的操作;
操作量确定单元,用于确定所述客户端在第一时间段产生的操作量;
比对单元,用于将所述客户端在第一时间段产生的操作量与相应的操作量模型进行比对,所述操作量模型是利用所述客户端在所述第一时间段之前的一段时间内产生的操作量构建的;
第一处理单元,用于在所述客户端在第一时间段产生的操作量超出所述操作量模型的操作量区间时,发出操作量异常预警。
8.根据权利要求7所述的预警系统,其特征在于,还包括操作量模型构建单元;
所述操作量模型构建单元确定所述客户端在第二时间段内产生的操作量,之后确定所述第二时间段的一个单位时间内产生的操作量的平均值μ和标准差σ,之后分别计算操作量上限值和操作量下限值以构成操作量模型的操作量区间,形成操作量模型,所述操作量上限值为μ+N*σ,所述操作量下限值为μ-N*σ,N为1、2或3;
其中,所述第二时间段位于所述第一时间段之前,所述第二时间段的时长为m个单位时间,1个单位时间的时长与所述第一时间段的时长相同,其中m为大于1的整数。
9.根据权利要求7所述的预警系统,其特征在于,还包括:
类型确定单元,用于确定所述客户端产生的操作的类型;
类型分布比率确定单元,用于确定所述客户端在第三时间段内产生的操作的类型分布比率;
相似度确定单元,用于计算所述客户端在第三时间段内产生的操作的类型分布比率与相应的操作内容模型的相似度,所述操作内容模型是利用所述客户端在所述第三时间段之前的一段时间内产生的操作的类型构建的;
第二处理单元,用于在获得的相似度低于相似度阈值时,发出操作内容异常预警。
10.根据权利要求9所述的预警系统,其特征在于,还包括操作内容模型构建单元;
所述操作内容模型构建单元确定所述客户端在第四时间段内产生的操作的类型分布比率,将所述客户端在第四时间段内产生的操作的类型分布比率作为操作内容模型,其中,所述第四时间段位于所述第三时间段之前,并且第四时间段的时长为所述第三时间段的时长的n倍,其中n为大于1的整数。
11.根据权利要求7至10中任一项所述的预警系统,其特征在于,还包括第三处理单元;
当同一用户在预设时间内使用多个客户端的情况下,所述第三处理单元确定所述多个客户端所处的地理位置,如果任意两个客户端所在地理位置之间的距离超出距离阈值,则发出操作异常预警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510132969.9A CN104767640B (zh) | 2015-03-25 | 2015-03-25 | 预警方法及预警系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510132969.9A CN104767640B (zh) | 2015-03-25 | 2015-03-25 | 预警方法及预警系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104767640A true CN104767640A (zh) | 2015-07-08 |
| CN104767640B CN104767640B (zh) | 2019-03-12 |
Family
ID=53649268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510132969.9A Active CN104767640B (zh) | 2015-03-25 | 2015-03-25 | 预警方法及预警系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104767640B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106445942A (zh) * | 2015-08-05 | 2017-02-22 | 腾讯科技(北京)有限公司 | 一种用户跨屏识别方法和装置 |
| CN106656837A (zh) * | 2016-10-14 | 2017-05-10 | 东软集团股份有限公司 | 网络拥塞问题的定位方法以及装置 |
| CN106952190A (zh) * | 2017-03-22 | 2017-07-14 | 国信优易数据有限公司 | 虚假房源录入行为识别与预警系统 |
| CN107465652A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 一种操作行为检测方法、服务器及系统 |
| CN107547266A (zh) * | 2017-07-31 | 2018-01-05 | 腾讯科技(深圳)有限公司 | 在线量异常点的检测方法和装置、计算机设备和存储介质 |
| CN107682345A (zh) * | 2017-10-16 | 2018-02-09 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置及电子设备 |
| CN108681745A (zh) * | 2018-04-25 | 2018-10-19 | 腾讯科技(深圳)有限公司 | 异常信息的识别方法和装置、存储介质、电子装置 |
| CN108961129A (zh) * | 2018-06-11 | 2018-12-07 | 福建工程学院 | 基于水表用水的生活状态检测方法及存储介质 |
| CN110764975A (zh) * | 2018-07-27 | 2020-02-07 | 华为技术有限公司 | 设备性能的预警方法、装置及监控设备 |
| CN113259396A (zh) * | 2021-07-06 | 2021-08-13 | 北京安帝科技有限公司 | 一种S7comm协议的异常检测方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090278680A1 (en) * | 2006-12-21 | 2009-11-12 | Abb Technology Ag | Method and device for optimizing the alarm configuration |
| CN101902366A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
| CN102480385A (zh) * | 2010-11-26 | 2012-05-30 | 北京启明星辰信息技术股份有限公司 | 数据库安全保护方法和装置 |
| CN103763124A (zh) * | 2013-12-26 | 2014-04-30 | 孙伟力 | 一种互联网用户行为分析预警系统及方法 |
| CN104408143A (zh) * | 2014-12-01 | 2015-03-11 | 北京国双科技有限公司 | 网页数据的监测方法和装置 |
-
2015
- 2015-03-25 CN CN201510132969.9A patent/CN104767640B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090278680A1 (en) * | 2006-12-21 | 2009-11-12 | Abb Technology Ag | Method and device for optimizing the alarm configuration |
| CN101902366A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
| CN102480385A (zh) * | 2010-11-26 | 2012-05-30 | 北京启明星辰信息技术股份有限公司 | 数据库安全保护方法和装置 |
| CN103763124A (zh) * | 2013-12-26 | 2014-04-30 | 孙伟力 | 一种互联网用户行为分析预警系统及方法 |
| CN104408143A (zh) * | 2014-12-01 | 2015-03-11 | 北京国双科技有限公司 | 网页数据的监测方法和装置 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106445942B (zh) * | 2015-08-05 | 2020-07-03 | 腾讯科技(北京)有限公司 | 一种用户跨屏识别方法和装置 |
| CN106445942A (zh) * | 2015-08-05 | 2017-02-22 | 腾讯科技(北京)有限公司 | 一种用户跨屏识别方法和装置 |
| CN107465652A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 一种操作行为检测方法、服务器及系统 |
| CN107465652B (zh) * | 2016-06-06 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 一种操作行为检测方法、服务器及系统 |
| CN106656837A (zh) * | 2016-10-14 | 2017-05-10 | 东软集团股份有限公司 | 网络拥塞问题的定位方法以及装置 |
| CN106952190A (zh) * | 2017-03-22 | 2017-07-14 | 国信优易数据有限公司 | 虚假房源录入行为识别与预警系统 |
| CN107547266B (zh) * | 2017-07-31 | 2020-09-29 | 腾讯科技(深圳)有限公司 | 在线量异常点的检测方法和装置、计算机设备和存储介质 |
| CN107547266A (zh) * | 2017-07-31 | 2018-01-05 | 腾讯科技(深圳)有限公司 | 在线量异常点的检测方法和装置、计算机设备和存储介质 |
| CN107682345B (zh) * | 2017-10-16 | 2020-03-06 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置及电子设备 |
| CN107682345A (zh) * | 2017-10-16 | 2018-02-09 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置及电子设备 |
| CN108681745A (zh) * | 2018-04-25 | 2018-10-19 | 腾讯科技(深圳)有限公司 | 异常信息的识别方法和装置、存储介质、电子装置 |
| CN108681745B (zh) * | 2018-04-25 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 异常信息的识别方法和装置、存储介质、电子装置 |
| CN108961129A (zh) * | 2018-06-11 | 2018-12-07 | 福建工程学院 | 基于水表用水的生活状态检测方法及存储介质 |
| CN110764975A (zh) * | 2018-07-27 | 2020-02-07 | 华为技术有限公司 | 设备性能的预警方法、装置及监控设备 |
| CN110764975B (zh) * | 2018-07-27 | 2021-10-22 | 华为技术有限公司 | 设备性能的预警方法、装置及监控设备 |
| CN113259396A (zh) * | 2021-07-06 | 2021-08-13 | 北京安帝科技有限公司 | 一种S7comm协议的异常检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104767640B (zh) | 2019-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104767640A (zh) | 预警方法及预警系统 | |
| US20240048596A1 (en) | Parametric analysis of integrated operational and information technology systems | |
| US7172118B2 (en) | System and method for overcoming decision making and communications errors to produce expedited and accurate group choices | |
| Duxbury et al. | Criminal network security: An agent‐based approach to evaluating network resilience | |
| Karatepe et al. | Anomaly detection in cellular network data using big data analytics | |
| CN112633395B (zh) | 异常数据的检测方法、装置、计算机设备和存储介质 | |
| CN102043702A (zh) | 监控事件的方法、规则引擎装置和规则引擎系统 | |
| CN105069130A (zh) | 一种嫌疑对象预测方法 | |
| CN109767227B (zh) | 通过rds实现支付风险智能判断和控制的系统及方法 | |
| US20130151979A1 (en) | System and method for enterprise utility data aggregation, management, and reporting | |
| US20170054750A1 (en) | Risk assessment | |
| CN111913936A (zh) | 一种涉及多领域溯源系统 | |
| Grosser et al. | Detecting fraud in mobile telephony using neural networks | |
| CN113888349A (zh) | 电力数据分析系统 | |
| CN118071312B (zh) | 供应链碳足迹的追溯与管理方法、系统、设备及介质 | |
| CN104657457A (zh) | 一种用户评价视频的数据处理方法、视频推荐方法及装置 | |
| Colpaert et al. | What public transit API logs tell us about travel flows | |
| Ghimire et al. | Data-driven quickest change detection for securing federated learning for internet-of-vehicles | |
| CN114679327A (zh) | 网络攻击等级确定方法、装置、计算机设备和存储介质 | |
| Johnson et al. | Towards the modest predictability of daily burglary counts | |
| Sparks | Detecting periods of significant increased communication levels for subgroups of targeted individuals | |
| CN104504615A (zh) | 用于电力作业成本监控的数据处理方法和系统 | |
| CA3083461A1 (en) | User interface system incorporating analysis of user interaction classification | |
| US20210035235A1 (en) | System and method for detecting fraud among tax experts | |
| Jawurek | Privacy in smart grids |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |