MAC地址的风险识别方法及装置
技术领域
本申请涉及计算机技术领域,尤其涉及一种MAC地址的风险识别方法及装置。
背景技术
目前,网上支付交易是用户常用的一种支付方式,为了保证支付过程中用户账号的安全,通常在用户进行支付交易的过程中,电子商务网站会通过风险监控系统对当前的支付环境进行监控,以保障支付交易在安全的环境中进行支付。
风险监控系统是保证交易安全的保证机制,现有的风险监控系统多倾向于加强客户端的可靠性来保障其交易安全。风险监控系统在监测当前交易风险的过程中,多是基于当前账号、当前软件环境和当前硬件环境等指标进行交易风险监测。
然而,当用户的账号被盗号者盗取后,盗号者通常会在同一台计算机对同一账号或者不同账号进行多次操作,在盗号者基于账号进行操作的过程中,由于当前风险监控系统未对用户在同一MAC地址(Media Access Control,媒体访问控制)上的行为进行考虑或者无法根据用户的行为识别MAC的风险,因而无法有效地拦截或处理一些不安全操作,容易造成合法用户的财产损失。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种MAC地址的风险识别方法,该方法提出了一种通过分析MAC地址上的用户操作行为来识别MAC地址的风险的方式,该方式可以准确识别出当前MAC地址的风险,进而可有效拦截风险MAC地址上的不安全操作,避免合法用户的财产损失。
本申请的第二个目的在于提出一种MAC地址的风险识别装置。
为达上述目的,本申请第一方面实施例提出了一种MAC地址的风险识别方法,包括:获得当前MAC地址,并获得用于识别当前MAC地址风险的特征字段;基于当前MAC地址的历史行为记录获得每个特征字段的取值;以及根据所述当前MAC地址每个特征字段的取值和预存的每个特征字段每个数值区间的风险值,获得当前MAC地址的每个特征字段的风险值,基于当前MAC地址的每个特征字段的风险值计算出当前MAC地址的总风险值,并根据当前MAC地址的总风险值识别出当前MAC地址的风险。
本申请实施例的MAC地址的风险识别方法,获得当前MAC地址,并获得用于识别当前MAC地址风险的特征字段,并基于当前MAC地址的历史行为记录获得每个特征字段的取值,以及根据所述当前MAC地址每个特征字段的取值和预存的每个特征字段每个数值区间的风险值,获得当前MAC地址的每个特征字段的风险值,然后基于当前MAC地址的每个特征字段的风险值计算出当前MAC地址的总风险值,并根据当前MAC地址的总风险值识别出当前MAC地址的风险,由此,提出了一种通过分析MAC地址上的用户操作行为来识别MAC地址的风险的方式,该方式可以准确识别出当前MAC地址的风险,进而可有效拦截风险MAC地址上的不安全操作,避免合法用户的财产损失。
为达上述目的,本申请第二方面实施例提出了一种MAC地址的风险识别装置,包括:第一获得模块,用于获得当前MAC地址,并获得用于识别当前MAC风险的特征字段;第二获得模块,用于基于当前MAC地址的历史行为记录获得每个特征字段的取值;以及第一处理模块,用于根据所述当前MAC地址的每个特征字段的取值和预存的每个特征字段每个数值区间的风险值,获得当前MAC地址的每个特征字段的风险值,基于当前MAC地址的每个特征字段的风险值计算出当前MAC地址的总风险值,并根据当前MAC地址的总风险值识别出当前MAC地址的风险。
本申请实施例的MAC地址的风险识别装置,通过第一获得模块获得当前MAC地址,并获得用于识别当前MAC地址风险的特征字段,第二获得模块基于当前MAC地址的历史行为记录获得每个特征字段的取值,以及第一处理模块根据所述当前MAC地址每个特征字段的取值和预存的每个特征字段每个数值区间的风险值,获得当前MAC地址的每个特征字段的风险值,然后基于当前MAC地址的每个特征字段的风险值计算出当前MAC地址的总风险值,并根据当前MAC地址的总风险值识别出当前MAC地址的风险,由此,可以准确识别出当前MAC地址的风险,进而可有效拦截风险MAC地址上的不安全操作,避免合法用户的财产损失。
附图说明
图1是本申请一个实施例的MAC地址的风险识别方法的流程图。
图2是本申请一个实施例的获得每个特征字段每个数值区间的风险值的流程图。
图3是本申请一个实施例的MAC地址的风险识别装置的结构示意图。
图4是本申请另一个实施例的MAC地址的风险识别装置的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的MAC地址的风险识别方法及装置。
图1是本申请一个实施例的MAC地址的风险识别方法的流程图。
如图1所示,该MAC地址的风险识别方法包括:
S101,获得当前MAC地址,并获得用于识别当前MAC地址风险的特征字段。
在该实施例中,在用户在终端操作的过程中,可获得当前操作,并从当前操作中提取出当前MAC地址,然后获得用于识别当前MAC地址风险的特征字段。
其中,上述终端可以为个人计算机PC(Personal Computer)、手机、平板电脑等具有各种操作系统的硬件设备。
例如,在用户操作支付宝账号进行支付交易的过程中,可获得当前支付交易所在终端的MAC地址,并获得用于识别当前MAC地址风险的12个特征字段,其中,每个特征字段所代表的意义不同,特征字段1-特征字段4分别表示5分钟内MAC地址上删除记录的用户数、MAC地址上绑定在不同手机号码的个数、MAC地址上进行交易的用户数量、MAC地址上登录的用户数;特征字段5-特征字段8分别表示3天内MAC地址上删除记录的用户数、MAC地址上绑定在不同手机号码的个数、MAC地址上进行交易的用户数量、MAC地址上登录的用户数;特征字段9-特征字段12表示7天内MAC地址上删除记录的用户数、MAC地址上绑定在不同手机号码的个数、MAC地址上进行交易的用户数量、MAC地址上登录的用户数。需要说明的是,上述12个特征字段仅是一种示例。
S102,基于与当前MAC地址的历史行为记录获得每个特征字段的取值。
例如,在获得当前支付交易所在终端的MAC地址后,可从当前MAC地址的历史行为记录中获得当前MAC地址5分钟内、3天内和7天内分别对应的彻底删除记录的用户的取值、当前MAC地址上用户绑定在不同手机号码的个数、MAC地址上进行交易的用户数量和MAC地址上登录的用户数。
S103,根据当前MAC地址每个特征字段的取值和预存的每个特征字段每个数值区间的风险值,获得当前MAC地址的每个特征字段的风险值,基于当前MAC地址的每个特征字段的风险值计算出当前MAC地址的总风险值,并根据当前MAC地址的总风险值识别出当前MAC地址的风险。
具体地,在根据当前MAC地址的历史行为记录获得每个特征字段的取值后,针对每个特征字段,可从服务器中保存的特征字段的数值区间与风险值的对应关系中获得对应特征字段的风险值。
例如,特征字段为3天内删除记录的用户数,并且服务器中保存的该特征字段的数值区间和风险值对应关系为:数值区间[0,1)、[1,2)、[2,5)、[5,+∞)分别对应的风险值为-2、1、2、3,在获得当前MAC地址上3天内删除记录的用户数为4后,可以确定该特征字段的取值在数值区间[2,5)内,通过对应关系可以获得该特征字段的取值对应的风险值为2。
在获得当前MAC地址的每个特征字段的风险值后,可基于当前MAC的每个特征字段的风险值计算出当前MAC的总风险值,例如,可将当前MAC的每个特征字段的风险值进行相加,所获得的计算结果即为当前MAC的总风险值。
在该实施例中,在获得当前MAC地址的总风险值后,可将当前MAC地址的总风险值转换为对应的分数,当分数达到对应的阈值时,确定当前MAC地址为风险MAC地址。
例如,在获得当前MAC地址的总风险值后,可根据预先设置的标准化映射关系将对应的风险值映射到0-100的分数,若当前MAC的总风险值小于0,则映射后所获得的分数在0-50内,若当前MAC的总风险值大于0,则映射后所获得的分数在50-100内,分析所获得的对应MAC地址的分数越大表示当前MAC地址的风险越高,假定当前阈值为50,若获得当前MAC映射后的分数为61,由此,可以确定当前MAC存在风险。
需要说明的是,在根据分数确定当前MAC地址为风险MAC地址的过程中,可以根据分数对MAC地址的风险进行分级,例如,MAC的风险分为A级、B级、C级、D级、F级五个等级,五个等级分别对应的分数范围为[100,90)、[90,80)、[80,70)、[70,60)、[60,50),在根据分数确定MAC存在危险的同时,还可以确定出当前MAC风险的等级,通常不同级别的MAC地址所对应的管控力度不同,MAC风险对应的等级越高,对应的管控力度越严格。
为了避免当前MAC地址上的用户继续操作合法用户的账号,在识别出当前MAC地址为风险MAC后,可拦截当前操作。
在该实施例中,在识别出当前MAC地址为风险MAC地址后,在拦截当前操作的同时,还可以将当前MAC地址加入风险MAC地址数据库,以用于后续根据风险MAC地址数据库识别MAC地址是否为风险MAC地址。
另外,在该实施例中,当分数未达到对应的阈值时,可以确定当前MAC为安全MAC,无需对当前MAC地址上的用户操作进行严格管控。
本申请实施例的MAC地址的风险识别方法,获得当前MAC地址,并获得用于识别当前MAC地址风险的特征字段,并基于当前MAC地址的历史行为记录获得每个特征字段的取值,以及根据所述当前MAC地址每个特征字段的取值和预存的每个特征字段每个数值区间的风险值,获得当前MAC地址的每个特征字段的风险值,然后基于当前MAC地址的每个特征字段的风险值计算出当前MAC地址的总风险值,并根据当前MAC地址的总风险值识别出当前MAC地址的风险,由此,提出了一种通过分析MAC地址上的用户操作行为来识别MAC地址的风险的方式,该方式可以准确识别出当前MAC地址的风险,进而可有效拦截风险MAC地址上的不安全操作,避免合法用户的财产损失。
在该实施例中,为了可以获得当前MAC地址的每个特征字段的风险值,在步骤S103之前,还可以包括:获得并保存每个特征字段每个数值区间的风险值,具体实现如图2所示,包括:
S201,获得MAC地址样本数据,并获得特征字段。
其中,上述特征字段为基于不同MAC的历史行为记录和不同时间信息生成的。例如S101中提到的12个特征字段。
具体地,可先获得初始MAC地址样本数据,然后根据非正常MAC地址数据库排除初始MAC地址样本数据中的非正常MAC地址,以获得MAC地址样本数据,最后可根据风险MAC地址数据库查询MAC地址样本数据的属性值,属性值包括安全和风险两个属性值。
由于一个非正常MAC地址(例如,伪造MAC地址)会同时被很多机器使用,故无法有效判断MAC地址的风险,所以本申请实施例会排除非正常MAC地址,只针对正常MAC地址进行识别。
例如,在获得支付宝在预定时间段内数据库中所保存的初始MAC地址样本数据后,可根据现有的非正常MAC地址库排除初始MAC地址样本数据中的非正常MAC地址,仅保留正常MAC地址上的交易数据以方便后续分析。在获得MAC地址样本数据后,可从风险MAC地址数据库中查询MAC地址样本数据的属性值,其中,属性值为1表示为风险,0表示为安全。
S202,基于MAC地址样本数据的历史行为记录获得每个特征字段的数值,并对每个特征字段的数值进行划分,以获得多个数值区间。
在获得正常MAC地址后,可根据正常MAC地址获得对应的历史行为记录,并根据历史行为记录获得12个特征字段的数值,即获得5分钟内、3天内和7天内对应的MAC地址上删除记录的用户数、MAC地址上绑定在不同手机号码的个数、MAC地址上进行交易的用户数量、MAC地址上登录的用户数。在获得对应特征字段的数值后,可分别对12个特征字段的数值进行分段,例如,对3天内对应MAC地址上删除记录的用户数进行分段,所获得的数值区间为[0,1)、[1,2)、[2,5)、[5,+∞)。
S203,计算并保存每个特征字段每个数值区间的风险值。
在对每个特征字段进行划分后,针对每个特征字段,可基于预设公式计算当前特征字段每个数值区间的风险值,其中,预设公式可以为:
其中,Yi表示当前特征字段的第i个数值区间的风险值,1≤i≤N,N为当前特征字段数值区间的总个数,Bi表示在当前特征字段的第i个数值区间中安全MAC地址的数量,Gi表示在当前特征字段的第i个数值区间中风险MAC地址的数量,B表示MAC地址样本数据中安全MAC地址的数量,G表示MAC地址样本数据中风险MAC地址的数量。
例如,特定字段为3天内对应MAC地址上删除记录的用户数,若对该特定字段进行划分后所获得的数值区间为[0,1)、[1,2)、[2,5)、[5,+∞),通过上述公式对该特定字段的数值区间[0,1)、[1,2)、[2,5)、[5,+∞)进行计算,假定计算后所获得的对应数值区间的风险值分别为-2、1、2、3,在获得对应数值区间的风险值后,可保存数值区间与风险值的对应关系,以方便后续根据数值区间直接获得对应的风险值。
由此,通过步骤S201-S203实现了在服务器中预存每个特征字段每个数值区间的风险值,方便了后续获得每个特征字段每个数值区间的风险值。
为了实现上述实施例,本申请还提出一种MAC地址的风险识别装置。
图3是本申请一个实施例的MAC地址的风险识别装置的结构示意图。
如图3所示,该MAC地址的风险识别装置包括第一获得模块31、第二获得模块32和第一处理模块33,其中:
第一获得模块31用于获得当前MAC地址,并获得用于识别当前MAC风险的特征字段;第二获得模块32用于基于当前MAC地址的历史行为记录获得每个特征字段的取值;以及第一处理模块33用于根据当前MAC地址的每个特征字段的取值和预存的每个特征字段每个数值区间的风险值,获得当前MAC地址的每个特征字段的风险值,基于当前MAC地址的每个特征字段的风险值计算出当前MAC地址的总风险值,并根据当前MAC地址的总风险值识别出当前MAC地址的风险。
具体地,第一获得模块31可获得当前操作,并从当前操作中提取出当前MAC地址。
例如,在用户操作支付宝账号进行支付交易的过程中,第一获得模块31可获得当前支付交易所在终端的MAC地址,并获得用于识别当前MAC地址风险的12个特征字段,其中,每个特征字段所代表的意义不同,特征字段1-特征字段4分别表示5分钟内MAC地址上删除记录的用户数、MAC地址上绑定在不同手机号码的个数、MAC地址上进行交易的用户数量、MAC地址上登录的用户数;特征字段5-特征字段8分别表示3天内MAC地址上删除记录的用户数、MAC地址上绑定在不同手机号码的个数、MAC地址上进行交易的用户数量、MAC地址上登录的用户数;特征字段9-特征字段12表示7天内MAC地址上删除记录的用户数、MAC地址上绑定在不同手机号码的个数、MAC地址上进行交易的用户数量、MAC地址上登录的用户数。需要说明的是,上述12个特征字段仅是一种示例。
具体地,在第二获得模块32根据当前MAC的历史行为记录获得每个特征字段的取值后,针对每个特征字段,第一处理模块33可从服务器中保存的特征字段的数值区间与风险值的对应关系中获得对应特征字段的风险值。
例如,特征字段为3天内删除记录的用户数,并且服务器中保存的该特征字段的数值区间和风险值对应关系为:数值区间[0,1)、[1,2)、[2,5)、[5,+∞)分别对应的风险值为-2、1、2、3,在获得当前MAC地址上3天内删除记录的用户数为4后,第一处理模块33可以确定该特征字段的取值在数值区间[2,5)内,通过对应关系可以获得该特征字段的取值对应的风险值为2。
另外,在第一处理模块33获得当前MAC地址的总风险值后,第一处理模块可将当前MAC地址的总风险值转换为对应的分数,当分数达到对应的阈值时,确定当前MAC地址为风险MAC地址,当分数未达到对应的阈值时,确定当前MAC地址为安全MAC地址。
若识别出当前MAC地址为风险MAC地址,为了避免当前MAC地址上的用户继续操作合法用户的账号,第一处理模块33还可以拦截当前操作。
另外,在该实施例中,第一处理模块33识别出当前MAC地址为风险MAC地址后,第一处理模块33还可以将当前MAC地址加入风险MAC地址数据库,以用于根据风险MAC地址数据库识别MAC地址是否为风险MAC地址。
如图4所示,上述装置还可以包括第二处理模块34,该第二处理模块34用于在第一处理模块31根据当前MAC地址的每个特征字段的取值和预存的每个特征字段每个数值区间的风险值,获得当前MAC地址的每个特征字段的风险值之前,获得MAC地址样本数据,并获得特征字段;基于MAC地址样本数据的历史行为记录获得每个特征字段的数值,并对每个特征字段的数值进行划分,以获得多个数值区间;以及计算并保存每个特征字段每个数值区间的风险值。
其中,特征字段为基于不同MAC地址的历史行为记录和不同时间信息生成的。
具体地,第一处理模块34在获得初始MAC地址样本数据后,可根据非正常MAC地址数据库排除初始MAC地址样本数据中的非正常MAC地址,以获得MAC地址样本数据;以及根据风险MAC地址数据库查询MAC地址样本数据的属性值,属性值包括安全和风险两个属性值。
由于一个非正常MAC地址(例如,伪造MAC地址)会同时被很多机器使用,故无法有效判断MAC地址的风险,所以本申请实施例会排除非正常MAC地址,只针对正常MAC地址进行识别。
在对每个特征子都进行划分后,针对每个特征字段,第二处理模块34可基于预设公式计算当前特征字段每个数值区间的风险值,其中,预设公式为:
其中,Yi表示当前特征字段的第i个数值区间的风险值,1≤i≤N,N为当前特征字段数值区间的总个数,Bi表示在当前特征字段的第i个数值区间中安全MAC地址的数量,Gi表示在当前特征字段的第i个数值区间中风险MAC地址的数量,B表示MAC地址样本数据中安全MAC地址的数量,G表示MAC地址样本数据中风险MAC地址的数量。
其中,第二处理模块34计算并保存每个特征字段每个数值区间的风险值的过程可参见图2,此处不赘述。
本申请实施例的MAC地址的风险识别装置,通过第一获得模块获得当前MAC地址,并获得用于识别当前MAC地址风险的特征字段,第二获得模块基于当前MAC地址的历史行为记录获得每个特征字段的取值,以及第一处理模块根据所述当前MAC地址每个特征字段的取值和预存的每个特征字段每个数值区间的风险值,获得当前MAC地址的每个特征字段的风险值,然后基于当前MAC地址的每个特征字段的风险值计算出当前MAC地址的总风险值,并根据当前MAC地址的总风险值识别出当前MAC地址的风险,由此,可以准确识别出当前MAC地址的风险,进而可有效拦截风险MAC地址上的不安全操作,避免合法用户的财产损失。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。