CN105656867A - 盗窃账号事件的监控方法及装置 - Google Patents
盗窃账号事件的监控方法及装置 Download PDFInfo
- Publication number
- CN105656867A CN105656867A CN201410720994.4A CN201410720994A CN105656867A CN 105656867 A CN105656867 A CN 105656867A CN 201410720994 A CN201410720994 A CN 201410720994A CN 105656867 A CN105656867 A CN 105656867A
- Authority
- CN
- China
- Prior art keywords
- event
- abnormal event
- operation requests
- user
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Alarm Systems (AREA)
Abstract
本申请涉及一种盗窃账号事件的监控方法及装置,所述方法包括:服务器接收用户提交的操作请求,所述操作请求中携带有所述操作请求的提交时间;根据所述操作请求的提交时间,从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息,得到第一事件集合;从所述第一事件集合中找出异常事件,得到异常事件集合;根据所述异常事件对应的事件信息,判断所述操作请求是否存在盗窃账号事件。本申请可以监控网络中的账号是否被盗,能及时报告风险,从而采取相应的措施,提高网络操作的安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种盗窃账号事件的监控方法及装置。
背景技术
随着互联网的迅速发展,经常会出现一些不法分子盗窃用户账号的事件,在这些盗号者操作盗取账号的过程中,现有的线上风险控制模型主要针对与用户的操作直接相关的信息构成的变量体系的变量进行分析,比如用户登录环境、登录设备、历史操作信息等信息,围绕着操作和账户的历史数据给出分析结果,而其他的与操作不直接相关的信息则并不进行考虑,使得一些盗窃账号事件无法被监控出来,不能及时报告风险,从而也无法采取相应的措施以避免用户的利益受损。
发明内容
本申请的目的是,提供一种盗窃账号事件的监控方法及装置,用以监控网络中的账号是否被盗,能及时报告风险,从而采取相应的措施,提高网络操作的安全性。
本申请提供了一种盗窃账号事件的监控方法,所述方法包括:
服务器接收用户提交的操作请求,所述操作请求中携带有所述操作请求的提交时间;
所述服务器根据所述操作请求的提交时间,从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息,得到第一事件集合,所述事件信息包括事件类型;
所述服务器从所述第一事件集合中找出异常事件,得到异常事件集合,所述异常事件为事件类型与预定义的异常事件类型相同的事件;
所述服务器根据所述异常事件对应的事件信息,判断所述操作请求是否存在盗窃账号事件。
又一方面,本申请还提供了一种盗窃账号事件的监控装置,所述装置包括:
接收单元,接收用户提交的操作请求,所述操作请求中携带有所述操作请求的提交时间;
提取单元,根据所述接收单元接收的所述操作请求的提交时间,从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息,得到第一事件集合,所述事件信息包括事件类型;
检验单元,从所述提取单元得到的所述第一事件集合中找出异常事件,得到异常事件集合,所述异常事件为事件类型与预定义的异常事件类型相同的事件;
判断单元,根据所述检验单元找出的所述异常事件对应的事件信息,判断所述操作请求是否存在盗窃账号事件。
本申请实施例提供的盗窃账号事件的监控方法及装置,通过分析操作请求前的异常事件的群聚性来判断是否存在盗窃账号事件,可以监控网络中的账号是否被盗,能及时报告风险,从而采取相应的措施,提高网络操作的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种盗窃账号事件的监控方法流程图;
图2为本申请实施例提供的一种盗窃账号事件的监控装置示意图;
图3为本申请实施例提供的判断单元的装置示意图。
具体实施方式
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供的盗窃账号事件的监控方法及装置,适用于各类网站的账号安全管理,为网站的系统平台提供安全保障,用以对盗窃账号事件进行监控。在本申请实施例中以电子商务网站的交易付款支付系统为例进行说明,并不以此作为限制。
在盗号者获取账户的过程中,往往会出现一系列相关联的事件,例如,登录失败、解换绑手机、修改密码等。这类异常事件群聚的发生是明显风险特征,这类异常事件同时伴随着其他异常事件的群聚发生也是明显风险特征。例如,盗号者在登录时发生异地登录、登录失败,登录后马上创建交易,创建交易虽然是很正常的事件,但如果创建交易和异常事件“群聚”,这也是高风险的特征,往往说明用户已经被盗了。本申请实施例提供的盗窃账号事件的监控方法及装置,正是考虑到这些交易操作之前异常事件的群聚发生的特点,通过分析和检验异常事件是否群聚发生,以判断是否发生了盗窃账号事件。
图1是本申请实施例提供的盗窃账号事件的监控方法流程图,如图1所示,本申请实施例的盗窃账号事件的监控方法包括:
S101、服务器接收用户提交的操作请求,所述操作请求中携带有所述操作请求的提交时间。
用户在购物平台上购买商品进行交易操作时,系统服务器可以接收到用户提交的操作请求,所述操作请求为交易操作请求。
可选地,当所述操作请求为交易操作请求时,系统服务器在接收到用户的进行交易的操作请求之后,可以启动进入到风险控制模式。
其中,风险控制模式是指交易进入到付款阶段,由电子商务网站、银行网站或者第三方支付平台启动的风险控制模型,是系统为用户提供安全的支付环境所用的一种模式。
S102、服务器根据所述操作请求的提交时间,从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息,得到第一事件集合。
所述数据库是指线上交易模型的数据库,用于风险控制模型中,以在进入风险控制模式时使用。数据库中包括线上风险控制模型的变量体系,主要由与用户操作、账户相关的变量,比如,用户(买卖家)登录环境、登录设备、用户的历史操作信息等直接与用户操作和账户相关的信息,以及,操作发生前的事件维度的信息,例如,用户信息等与用户操作不直接相关的信息。
所述操作请求之前预设时间是该操作请求之前的一段时间,例如,前1天或前1周等,具体的时间长短可根据实际场景进行调整。当进入风险控制模式时,从数据库中提取所述操作请求之前预设时间内的事件及对应的事件信息,得到第一事件集合。
所述事件信息包括以下所列中的一种或任意结合:事件名称、事件类型、用户信息、操作时间(即事件发生的时间点)、操作金额、操作环境。
其中,用户信息包括用户账号、用户身份等。所述操作环境包括用户设备信息、IP地址信息、浏览器信息等。
S103、服务器从所述第一事件集合中找出异常事件,得到异常事件集合。
所述异常事件为事件类型与预定义的异常事件类型相同的事件。
所述预先定义的异常事件类型包括:登录失败、修改密码、校验操作、解换绑手机或删除记录。
所述异常事件包括以下所列中的一种或任意结合:会员登录失败、网站登录失败、请求修改密码、修改密码失败、短信校验操作、手机校验失败、安全支付授权事件、用户更换绑定手机、用户解除绑定手机、删除记录进回收站事件、永久删除记录事件。
检验所述第一事件集合中是否存在上述事件类型的事件,如是,则将该事件判断为异常事件,得到异常事件集合。
S104、服务器根据所述异常事件对应的事件信息,判断所述操作请求是否存在盗窃账号事件。
服务器先根据所述异常事件对应的事件信息,统计所述异常事件集合的群聚特征。具体包括:
S1041、服务器根据所述异常事件发生的时间点设定多个时间窗口。
时间窗口是指异常事件发生的时间点左右的一段时间内,例如可以包括:1min(分钟)、3min、5min、1h(小时)等。1min的时间窗口表示异常事件发生的时间点±1min内的这段时间,同理,3min的时间窗口表示异常事件发生的时间点±3min内的这段时间,1h的时间窗口表示异常事件发生的时间点±1h内的这段时间。
设定的时间窗口的数量可以根据实际情况进行增加或减少,例如,3个或5个等。
针对第一事件集合中的各个异常事件,分别执行S1041,即,分别设定多个时间窗口以便进行S1042的分类汇总。
S1042、服务器根据所述异常事件的事件信息,分类汇总在各个所述时间窗口内异常事件发生的次数,得到所述异常事件集合的群聚特征。
具体地,可以包括以下所列中的一种或任意结合:
(1)根据所述异常事件的用户信息,分别统计同一用户在各个所述时间窗口内发生异常事件的次数;
(2)根据所述异常事件的IP地址信息,统计相似用户在各个所述时间窗口内发生异常事件的次数,所述相似用户为IP地址的前三段相同的用户;
(3)根据所述异常事件的IP地址信息,统计所述相似用户在各个所述时间窗口内发生异常事件的用户数量;或者,
(4)根据所述异常事件的用户设备信息,统计同一设备在各个所述时间窗口内发生异常事件的次数。
这样,通过分类统计不同时间窗口中发生异常事件的次数,得到所述异常事件集合的群聚特征,即分类统计的结果。
S1043、服务器利用所述异常事件集合的群聚特征,判断所述操作请求是否存在盗窃账号事件。
服务器利用S1042得到的所述群聚特征,判断所述操作请求是否存在盗窃账号事件。具体地,可以包括以下步骤A和步骤B:
A、服务器根据所述异常事件集合的群聚特征,计算所述异常事件群聚的可能性得分。
利用S1042分类汇总统计得到的各个不同时间窗口中发生异常事件的次数,来计算异常事件群聚的可能性得分。
具体的,可以包括以下步骤:
a1、从所述异常事件集合的群聚特征中,选取符合要求的群聚特征,构造第一变量作为风险控制模型的输入变量。
所述符合要求的群聚特征可以是不同异常事件的同一时间窗口中数据量较多的前几个数据,或者是同一异常事件的不同时间窗口中次数相同时选取较短的时间窗口的数据。具体地,可以根据实际使用需求的不同进行选取。而后,利用选取的群聚特征,构造第一变量,转化为风险控制模型能够识别的输入变量。
统计得到的所述第一事件集合的群聚特征为:同一用户在异常事件发生的时间点1分钟以内发生异常事件的次数。则构造的所述第一变量为:(所述异常事件发生的时间点)1分钟以内用户发生异常事件的次数。
统计得到的所述第一事件集合的群聚特征为:相似用户在异常事件发生的时间点1分钟以内发生异常事件的次数。则构造的所述第一变量为:1分钟以内相似用户(IP地址的前三段相同的用户)发生异常事件的次数。
统计得到的所述第一事件集合的群聚特征为:相似用户在异常事件发生的时间点1分钟以内发生异常事件的用户数量。则构造的所述第一变量为:(所述异常事件发生的时间点)1分钟以内相似用户(IP地址的前三段相同的用户)发生异常事件的用户数量。
a2、将所述第一变量及对应的变量值输入到所述风险控制模型中,计算得到所述异常事件群聚的可能性得分。
风险控制模型是根据以往一段时间的用户操作的历史数据作为模型训练样本而建立的风险买模型。其中,模型训练样本包括黑样本(欺诈或盗用案件)和白样本(正常操作),通过对样本的训练,学习黑样本和白样本的特征,构建风险控制模型。
当步骤a2中得到的第一变量输入到风险控制模型中时,风险控制模型可以根据输入的第一变量的特征,得到一个概率值,这个概率值即为述异常事件群聚的可能性得分。
B、服务器根据所述可能性得分,判断所述操作请求是否存在盗窃账号事件,将所述可能性得分超过预设阈值的所述操作请求判断为存在盗窃账号事件。
根据可能性得分的高低,判断是否存在盗窃账号事件,可能性得分越高,代表存在盗窃账号事件的可能性越大。所述预设阈值可以根据具体的风险控制模型进行设定,例如,可以是0.8或者是0.6等。当超过该预设阈值时,则判断为存在盗窃账号事件。
举个例子,当用户购买某个商品进行操作,进入到交易付款阶段时,向系统提交付款的操作请求。系统服务器接收到用户的付款操作请求,可以启动进入风险控制模式,系统服务器根据所述操作请求的提交时间,从数据库中提取该用户提交的操作请求的提交时间之前1天内的事件及对应的事件信息,得到第一事件集合。事件信息可以包括事件类型、事件名称、用户信息、操作时间以及操作环境等信息。
从该第一事件集合中找出异常事件,得到异常事件集合。根据异常事件对应得到事件信息,判断是否存在盗窃账号事件。
具体地,先根据事件信息中各个异常事件发生的时间点,设定多个时间窗口。如果找出10个异常事件,则利用这10个异常事件发生的时间点,针对每一时间点,分别设置1min(分钟)、3min、5min、1h(小时)、3h这5个时间窗口。
然后,分别统计在10个异常事件发生时间点的1min、3min、5min、1h、3h之内,同一用户发生异常事件的次数,同一IP的用户(IP地址前三段相同的相似用户)发生异常事件的次数,同一设备的用户发生异常事件的次数等,得到群聚特征。再利用这些群聚特征计算异常事件群聚的可能性得分。如果统计到第一个异常事件1min内同一用户发生异常事件的次数为3次,第一个异常事件3min内同一IP的用户发生异常事件的次数为5次,第一个异常事件5min内同一IP的用户发生异常事件的次数为5次,第一个异常事件1h内同一设备的用户发生异常事件的次数为10次等。
从这些统计得到的群聚特征中选取符合要求的群聚特征,构成第一变量输入到风险控制模型中,得到异常事件群聚的可能性得分。例如,第一变量可以包括:1min内用户发生异常事件的次数为3次,3min内同一IP的用户发生异常事件的次数为5次,1h内同一设备的用户发生异常事件的次数为10次等,将这些输入到风险控制模型中,可以得到异常事件群聚的可能性得分为0.75。如果预设阈值为0.6,那么该可能性得分超过了预设阈值,即判断为存在盗窃账号事件。如果预设阈值为0.8,那么该可能性得分还没有超过预设阈值,即判断为不存在盗窃账号事件。
可选的,在判断所述操作请求是否存在盗窃账号事件之后,还包括:
服务器对所述存在盗窃账号事件的所述操作请求的第一用户进行限权处理,并发送验证消息给所述第一用户。以及,服务器审理所述第一用户返回的验证信息,如符合,则对所述第一用户进行放行处理。
本申请实施例提供的盗窃账号事件的监控方法,通过分析用户提交的操作之前的异常事件的群聚性来判断是否存在盗窃账号事件,可以监控网络中的账号是否被盗,能及时报告风险,从而采取相应的措施,提高网络操作的安全性。
以上是对本申请实施例所提供的盗窃账号事件的监控方法进行的详细描述,下面对本申请提供的盗窃账号事件的监控装置进行详细描述。
与图1相对应地,本申请实施例还提供盗窃账号事件的监控装置,如图2所示,本申请的盗窃账号事件的监控装置包括:接收单元201、提取单元202、检验单元203和判断单元204。
接收单元201接收用户提交的操作请求,所述操作请求中携带有所述操作请求的提交时间。
提取单元202根据接收单元201接收的所述操作请求的提交时间,从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息,得到第一事件集合。
检验单元203从提取单元202得到的所述第一事件集合中找出异常事件,得到异常事件集合,所述异常事件为事件类型与预定义的异常事件类型相同的事件。
判断单元204根据检验单元203找出的所述异常事件对应的事件信息,判断所述操作请求是否存在盗窃账号事件。
其中,如图3所示,判断单元204具体包括设定子单元2041、统计子单元2042和判断子单元2043。
设定子单元2041根据所述异常事件发生的时间点,设定多个时间窗口。
统计子单元2042根据所述异常事件的事件信息,分类汇总在各个所述时间窗口内发生异常事件的次数,得到所述异常事件集合的群聚特征。
统计子单元2042可以具体用于以下所列中的一种或任意结合:根据所述异常事件的用户信息,分别统计同一用户在各个所述时间窗口内发生异常事件的次数;根据所述异常事件的IP地址信息,统计相似用户在各个所述时间窗口内发生异常事件的次数,所述相似用户为IP地址的前三段相同的用户;根据所述异常事件的IP地址信息,统计所述相似用户在各个所述时间窗口内发生异常事件的用户数量;或者,根据所述异常事件的用户设备信息,统计同一设备在各个所述时间窗口内发生异常事件的次数。
判断子单元2043利用统计子单元2042得到的所述异常事件集合的群聚特征,判断所述操作请求是否存在盗窃账号事件。
具体地,判断子单元2043可以包括计算子单元和比较子单元。
所述计算子单元根据所述异常事件集合的群聚特征,计算所述异常事件群聚的可能性得分。
计算子单元具体包括:构造子单元和模型计算子单元。所述构造子单元从所述第一事件集合的群聚特征中,选取符合要求的群聚特征,构造第一变量作为风险控制模型的输入变量。所述模型计算子单元将所述第一变量及对应的变量值输入到所述风险控制模型中,计算得到所述异常事件群聚的可能性得分。
所述比较子单元根据所述计算子单元得到的所述可能性得分,判断所述操作请求是否存在盗窃账号事件,将所述可能性得分超过预设阈值的所述操作请求判断为存在盗窃账号事件。
可选的,本申请实施例的装置还可以包括:处理单元。所述处理单元对判断单元204判断到的所述存在盗窃账号事件的所述操作请求的第一用户进行限权处理,并发送验证消息给所述第一用户,以及,审理所述第一用户返回的验证信息,如符合,则对所述第一用户进行放行处理。
上述各单元的功能可对应于图1详细描述的上述监控方法的处理步骤,于此不再赘述。
本申请实施例提供的盗窃账号事件的监控方法及装置,通过分析用户操作之前的异常事件的群聚性来判断是否存在盗窃账号事件,可以监控网络中的账号是否被盗,能及时报告风险,从而采取相应的措施,提高网络操作的安全性。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施方式而已,并不用于限定本申请的保护范围,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (13)
1.一种盗窃账号事件的监控方法,其特征在于,所述方法包括:
服务器接收用户提交的操作请求,所述操作请求中携带有所述操作请求的提交时间;
所述服务器根据所述操作请求的提交时间,从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息,得到第一事件集合,所述事件信息包括事件类型;
所述服务器从所述第一事件集合中找出异常事件,得到异常事件集合,所述异常事件为事件类型与预定义的异常事件类型相同的事件;
所述服务器根据所述异常事件对应的事件信息,判断所述操作请求是否存在盗窃账号事件。
2.根据权利要求1所述的方法,其特征在于,所述服务器根据所述异常事件对应的事件信息,判断所述操作请求是否存在盗窃账号事件,具体包括:
所述服务器根据所述异常事件发生的时间点,设定多个时间窗口;
所述服务器根据所述异常事件的事件信息,分类汇总在各个所述时间窗口内发生异常事件的次数,得到所述异常事件集合的群聚特征;
所述服务器利用所述异常事件集合的群聚特征,判断所述操作请求是否存在盗窃账号事件。
3.根据权利要求2所述的方法,其特征在于,所述服务器根据所述异常事件的事件信息,分类汇总在各个所述时间窗口内发生异常事件的次数,包括以下所列中的一种或任意结合:
根据所述异常事件的用户信息,分别统计同一用户在各个所述时间窗口内发生异常事件的次数;
根据所述异常事件的IP地址信息,统计相似用户在各个所述时间窗口内发生异常事件的次数,所述相似用户为IP地址的前三段相同的用户;
根据所述异常事件的IP地址信息,统计所述相似用户在各个所述时间窗口内发生异常事件的用户数量;
或者,根据所述异常事件的用户设备信息,统计同一设备在各个所述时间窗口内发生异常事件的次数。
4.根据权利要求2所述的方法,其特征在于,所述服务器利用所述异常事件集合的群聚特征,判断所述操作请求是否存在盗窃账号事件,具体包括:
所述服务器根据所述异常事件集合的群聚特征,计算所述异常事件群聚的可能性得分;
所述服务器根据所述可能性得分,判断所述操作请求是否存在盗窃账号事件,将所述可能性得分超过预设阈值的所述操作请求判断为存在盗窃账号事件。
5.根据权利要求4所述的方法,其特征在于,所述服务器利用所述异常事件集合的群聚特征,计算所述异常事件群聚的可能性得分,具体包括:
所述服务器从所述异常事件集合的群聚特征中,选取符合要求的群聚特征,构造第一变量作为风险控制模型的输入变量;
所述服务器将所述第一变量及对应的变量值输入到所述风险控制模型中,计算得到所述异常事件群聚的可能性得分。
6.根据权利要求1所述的方法,其特征在于,所述操作请求为交易操作请求;
所述预先定义的异常事件类型包括:登录失败、修改密码、校验操作、解换绑手机或删除记录;
所述异常事件包括以下所列中的一种或任意结合:会员登录失败、网站登录失败、请求修改密码、修改密码失败、短信校验操作、手机校验失败、安全支付授权事件、用户更换绑定手机、用户解除绑定手机、删除记录进回收站事件、永久删除记录事件。
7.根据权利要求1所述的方法,其特征在于,在判断所述操作请求是否存在盗窃账号事件之后,还包括:
所述服务器对所述存在盗窃账号事件的所述操作请求的第一用户进行限权处理,并发送验证消息给所述第一用户;
所述服务器审理所述第一用户返回的验证信息,如符合,则对所述第一用户进行放行处理。
8.一种盗窃账号事件的监控装置,其特征在于,所述装置包括:
接收单元,接收用户提交的操作请求,所述操作请求中携带有所述操作请求的提交时间;
提取单元,根据所述接收单元接收的所述操作请求的提交时间,从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息,得到第一事件集合,所述事件信息包括事件类型;
检验单元,从所述提取单元得到的所述第一事件集合中找出异常事件,得到异常事件集合,所述异常事件为事件类型与预定义的异常事件类型相同的事件;
判断单元,根据所述检验单元找出的所述异常事件对应的事件信息,判断所述操作请求是否存在盗窃账号事件。
9.根据权利要求8所述的装置,其特征在于,所述判断单元具体包括:
设定子单元,根据所述异常事件发生的时间点,设定多个时间窗口;
统计子单元,根据所述异常事件的事件信息,分类汇总在各个所述时间窗口内发生异常事件的次数,得到所述异常事件集合的群聚特征;
判断子单元,利用所述统计子单元得到的所述异常事件集合的群聚特征,判断所述操作请求是否存在盗窃账号事件。
10.根据权利要求9所述的装置,其特征在于,所述统计子单元具体用于以下所列中的一种或任意结合:
根据所述异常事件的用户信息,分别统计同一用户在各个所述时间窗口内发生异常事件的次数;
根据所述异常事件的IP地址信息,统计相似用户在各个所述时间窗口内发生异常事件的次数,所述相似用户为IP地址的前三段相同的用户;
根据所述异常事件的IP地址信息,统计所述相似用户在各个所述时间窗口内发生异常事件的用户数量;
或者,根据所述异常事件的用户设备信息,统计同一设备在各个所述时间窗口内发生异常事件的次数。
11.根据权利要求9所述的装置,其特征在于,所述判断子单元具体包括:
计算子单元,根据所述统计子单元得到的所述异常事件集合的群聚特征,计算所述异常事件群聚的可能性得分;
比较子单元,根据所述计算子单元得到的所述可能性得分,判断所述操作请求是否存在盗窃账号事件,将所述可能性得分超过预设阈值的所述操作请求判断为存在盗窃账号事件。
12.根据权利要求11所述的装置,其特征在于,所述计算子单元具体包括:
构造子单元,从所述异常事件集合的群聚特征中,选取符合要求的群聚特征,构造第一变量作为风险控制模型的输入变量;
模型计算子单元,将所述第一变量及对应的变量值输入到所述风险控制模型中,计算得到所述异常事件群聚的可能性得分。
13.根据权利要求8所述的装置,其特征在于,所述装置还包括:
处理单元,对所述判断单元判断到的所述存在盗窃账号事件的所述操作请求的第一用户进行限权处理,并发送验证消息给所述第一用户,以及,审理所述第一用户返回的验证信息,如符合,则对所述第一用户进行放行处理。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811324177.1A CN109936556B (zh) | 2014-12-02 | 2014-12-02 | 盗窃账号事件的监控方法及装置 |
| CN201410720994.4A CN105656867B (zh) | 2014-12-02 | 2014-12-02 | 盗窃账号事件的监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410720994.4A CN105656867B (zh) | 2014-12-02 | 2014-12-02 | 盗窃账号事件的监控方法及装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811324177.1A Division CN109936556B (zh) | 2014-12-02 | 2014-12-02 | 盗窃账号事件的监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105656867A true CN105656867A (zh) | 2016-06-08 |
| CN105656867B CN105656867B (zh) | 2018-10-16 |
Family
ID=56481220
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811324177.1A Active CN109936556B (zh) | 2014-12-02 | 2014-12-02 | 盗窃账号事件的监控方法及装置 |
| CN201410720994.4A Active CN105656867B (zh) | 2014-12-02 | 2014-12-02 | 盗窃账号事件的监控方法及装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811324177.1A Active CN109936556B (zh) | 2014-12-02 | 2014-12-02 | 盗窃账号事件的监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN109936556B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027520A (zh) * | 2016-05-19 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种检测处理盗取网站帐号的方法及装置 |
| CN107369094A (zh) * | 2017-06-14 | 2017-11-21 | 广东网金控股股份有限公司 | 一种基于用户行为的风险评估方法、装置及金融终端机 |
| CN108023740A (zh) * | 2016-10-31 | 2018-05-11 | 腾讯科技(深圳)有限公司 | 监控中异常信息的风险提示方法和装置 |
| CN108512822A (zh) * | 2017-02-28 | 2018-09-07 | 阿里巴巴集团控股有限公司 | 一种数据处理事件的风险识别方法和装置 |
| CN108924118A (zh) * | 2018-06-27 | 2018-11-30 | 亚信科技(成都)有限公司 | 一种撞库行为检测方法及系统 |
| CN110351267A (zh) * | 2019-07-04 | 2019-10-18 | 微梦创科网络科技(中国)有限公司 | 一种社交媒体账号被盗的确定方法及装置 |
| CN113810327A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 异常账户检测方法、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100229230A1 (en) * | 2003-07-23 | 2010-09-09 | Omon Ayodele Edeki | System and method for securing computer system against unauthorized access |
| CN102271091A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种网络异常事件分类方法 |
| CN103095658A (zh) * | 2011-11-03 | 2013-05-08 | 北京神州泰岳软件股份有限公司 | 一种账户登录的方法和系统 |
| CN103780592A (zh) * | 2012-10-24 | 2014-05-07 | 阿里巴巴集团控股有限公司 | 一种用户账号被盗确定方法及装置 |
| CN103853841A (zh) * | 2014-03-19 | 2014-06-11 | 北京邮电大学 | 一种社交网用户异常行为的分析方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924660B (zh) * | 2009-06-09 | 2014-07-02 | 阿尔卡特朗讯公司 | 检测网络恶意行为的方法和装置 |
| CN103685289B (zh) * | 2013-12-19 | 2017-02-08 | 北京奇虎科技有限公司 | 一种检测钓鱼网站的方法及装置 |
-
2014
- 2014-12-02 CN CN201811324177.1A patent/CN109936556B/zh active Active
- 2014-12-02 CN CN201410720994.4A patent/CN105656867B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100229230A1 (en) * | 2003-07-23 | 2010-09-09 | Omon Ayodele Edeki | System and method for securing computer system against unauthorized access |
| CN102271091A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种网络异常事件分类方法 |
| CN103095658A (zh) * | 2011-11-03 | 2013-05-08 | 北京神州泰岳软件股份有限公司 | 一种账户登录的方法和系统 |
| CN103780592A (zh) * | 2012-10-24 | 2014-05-07 | 阿里巴巴集团控股有限公司 | 一种用户账号被盗确定方法及装置 |
| CN103853841A (zh) * | 2014-03-19 | 2014-06-11 | 北京邮电大学 | 一种社交网用户异常行为的分析方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027520A (zh) * | 2016-05-19 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种检测处理盗取网站帐号的方法及装置 |
| CN106027520B (zh) * | 2016-05-19 | 2019-02-26 | 微梦创科网络科技(中国)有限公司 | 一种检测处理盗取网站帐号的方法及装置 |
| CN108023740A (zh) * | 2016-10-31 | 2018-05-11 | 腾讯科技(深圳)有限公司 | 监控中异常信息的风险提示方法和装置 |
| CN108023740B (zh) * | 2016-10-31 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 监控中异常信息的风险提示方法和装置 |
| CN108512822A (zh) * | 2017-02-28 | 2018-09-07 | 阿里巴巴集团控股有限公司 | 一种数据处理事件的风险识别方法和装置 |
| CN107369094A (zh) * | 2017-06-14 | 2017-11-21 | 广东网金控股股份有限公司 | 一种基于用户行为的风险评估方法、装置及金融终端机 |
| CN108924118A (zh) * | 2018-06-27 | 2018-11-30 | 亚信科技(成都)有限公司 | 一种撞库行为检测方法及系统 |
| CN110351267A (zh) * | 2019-07-04 | 2019-10-18 | 微梦创科网络科技(中国)有限公司 | 一种社交媒体账号被盗的确定方法及装置 |
| CN113810327A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 异常账户检测方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105656867B (zh) | 2018-10-16 |
| CN109936556B (zh) | 2021-07-09 |
| CN109936556A (zh) | 2019-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105656867A (zh) | 盗窃账号事件的监控方法及装置 | |
| CA2650346C (en) | Fraud analyst smart cookie | |
| TWI767879B (zh) | 基於電腦系統的網路交易風險識別方法及其裝置 | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| US9601000B1 (en) | Data-driven alert prioritization | |
| US10872389B2 (en) | Taxpayer identity determination through external verfication | |
| CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
| WO2015043491A1 (zh) | 一种用于对互联网账号的登录进行安全验证的方法及系统 | |
| CN103593609B (zh) | 一种可信行为识别的方法和装置 | |
| CN104202339B (zh) | 一种基于用户行为的跨云认证服务方法 | |
| US20060287902A1 (en) | Fraud risk advisor | |
| CN107451819B (zh) | 一种基于用户操作行为特征的身份验证方法和装置 | |
| WO2013028794A2 (en) | Multi-factor identity fingerprinting with user behavior | |
| CN107920062B (zh) | 一种业务逻辑攻击检测模型的构建方法和计算设备 | |
| CN104580075A (zh) | 一种用户登陆验证方法、装置及系统 | |
| CN105243252A (zh) | 一种账户风险评估的方法及装置 | |
| CN106548342A (zh) | 一种可信设备确定方法及装置 | |
| CN112036995A (zh) | 基于区块链的大型企业财务数据管理方法、系统和可读存储介质 | |
| CN109510800B (zh) | 一种网络请求处理方法、装置、电子设备及存储介质 | |
| CN113505393A (zh) | 应用于大数据的区块链支付数据处理方法及云服务器 | |
| CN107506355B (zh) | 对象分组方法及装置 | |
| CN107679865B (zh) | 一种基于触压面积的身份验证方法和装置 | |
| CN110990810B (zh) | 一种用户操作数据处理方法、装置、设备及存储介质 | |
| CN114338099A (zh) | 一种爬虫行为的识别方法及防范系统 | |
| AU2011265479B2 (en) | Fraud risk advisor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200927 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Patentee after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Patentee before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20200927 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Patentee after: Advanced innovation technology Co.,Ltd. Address before: Cayman Islands Grand Cayman capital building, a four storey No. 847 mailbox Patentee before: Alibaba Group Holding Ltd. |
|
| TR01 | Transfer of patent right |