CN105989155B - 识别风险行为的方法及装置 - Google Patents

识别风险行为的方法及装置 Download PDF

Info

Publication number
CN105989155B
CN105989155B CN201510093725.4A CN201510093725A CN105989155B CN 105989155 B CN105989155 B CN 105989155B CN 201510093725 A CN201510093725 A CN 201510093725A CN 105989155 B CN105989155 B CN 105989155B
Authority
CN
China
Prior art keywords
risk
specific behavior
user
link
behavior link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510093725.4A
Other languages
English (en)
Other versions
CN105989155A (zh
Inventor
毛仁歆
孙超
李新凯
何帝君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced New Technologies Co Ltd
Advantageous New Technologies Co Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to CN201510093725.4A priority Critical patent/CN105989155B/zh
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to PL16758446T priority patent/PL3267348T3/pl
Priority to JP2017546734A priority patent/JP6734293B2/ja
Priority to KR1020177026844A priority patent/KR102125116B1/ko
Priority to EP16758446.5A priority patent/EP3267348B1/en
Priority to ES16758446T priority patent/ES2801273T3/es
Priority to PCT/CN2016/074424 priority patent/WO2016138830A1/zh
Priority to SG11201707032UA priority patent/SG11201707032UA/en
Publication of CN105989155A publication Critical patent/CN105989155A/zh
Priority to US15/694,030 priority patent/US10601850B2/en
Application granted granted Critical
Publication of CN105989155B publication Critical patent/CN105989155B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请公开了一种识别风险行为的方法及装置,用以解决现有技术在识别网络行为风险的过程中因填补规则漏洞所带来的低效率问题。该方法包括:获取用户的行为数据;从所述行为数据中选取特定行为链路;确定所述特定行为链路在所述行为数据中的风险系数;根据所述风险系数,判定所述特定行为链路是否具有风险。

Description

识别风险行为的方法及装置
技术领域
本申请涉及计算机技术领域,尤其涉及一种识别网络风险行为的方法及装置。
背景技术
随着互联网的发展,人们的网络行为越来越频繁交织。从概念上讲,网络行为是指每个网络个体在网络中获取、发送或传输网络数据的过程,通常包括:信息查询、文件下载、发送邮件等。除了正常的网络行为外,网络个体有意或无意作出的异常网络行为会带来损失,例如:公司职员在工作期间浏览工作无关的信息、网络客服人员违规查询用户的消费记录等。为应对以上问题,用以监控网络风险行为的风险监控系统应运而生。
目前,传统的风险监控系统采取构建规则引擎的方式,对符合规则定义的网络行为进行特征提取并分析,从而实现网络行为的风险识别。然而,规则引擎所采用的规则通常存在漏洞,需要不断增加规则来填补规则的漏洞,这样无疑会增加开发人员的工作量,且效率较低;此外,以上规则引擎本身需要耗用额外的计算机资源,从而给计算机系统带来负担。
发明内容
本申请实施例提供一种识别风险行为的方法及装置,以解决现有技术在识别网络行为风险的过程中因填补规则漏洞所带来的低效率问题,以及规则引擎耗费额外的计算机资源的问题。
本申请实施例所提供的识别风险行为的方法,包括:
获取用户的行为数据;
确定特定行为链路在所述行为数据中的风险系数;
根据所述风险系数,判定所述特定行为链路是否具有风险。
本申请实施例所提供的识别风险行为的装置,包括:
获取模块,用于获取用户的行为数据;
确定模块,用于确定特定行为链路在所述行为数据中的风险系数;
判定模块,用于根据所述风险系数判定所述特定行为链路是否具有风险。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
本申请实施例通过获取用户的行为数据,并从该行为数据中选取特定行为链路,通过运算来确定所述特定行为链路在所述行为数据中的风险系数,最后根据风险系数来确定特定行为链路是否具有风险。以上过程相较于规则引擎方式,无需人工填补规则漏洞,从而提升了行为风险识别的效率;此外,以上过程避免了规则引擎耗用额外的计算机资源的弊端,从而减轻了计算机系统的负担。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用以解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的识别风险行为的方法的过程;
图2为本申请实施例提供的识别风险行为的方法中从行为数据中选取特定行为链路的过程;
图3为本申请实施例提供的识别风险行为的方法中确定短期风险系数的过程;
图4为本申请实施例提供的识别风险行为的方法中确定历史风险系数的过程;
图5为本申请实施例提供的识别风险行为的方法中确定团队风险系数的过程;
图6为本申请实施例提供的识别风险行为的方法中判定特定行为链路是否具有风险的过程;
图7为本申请实施例提供的识别风险行为的装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供的识别风险行为的方法的过程,包括如下步骤:
S11:获取用户的行为数据。
本申请实施例中,行为数据通过网络监控系统来获得,网络监控通过对网络中的计算机进行监视和控制,以将网络中各个用户在时间维度上所作的互联网活动(网络行为)进行记录。其中,网络监控系统包括监控硬件或监控软件,网络包括局域网、或城域网、或广域网。以上行为数据存储于特定的存储介质中,按照实际分析需求,从所述存储介质中抽取到相应的行为数据进行分析。
本文将以某电商网站为例来介绍本申请的技术方案。则本识别风险行为的方法用于监控某电商网站的客服人员的网络行为是否具有风险。
S12:从行为数据中选取特定行为链路。行为链路是指多个行为按照发生时间先后排序所得的组合,由于行为链路更贴近用户的真实行为意图,从而提升网络行为风险识别的真实度。
图2为本申请实施例提供的识别风险行为的方法中从行为数据中选取特定行为链路的过程,本申请实施例中,步骤S12具体包括如下步骤:
S121:从行为数据中选取特定时间段内的片段数据。
沿用本文实例,假设需要作行为风险分析的网络个体是用户M,则可以从存储介质中提取出该用户M在某一天D中的一个特定时间段的片段数据,假设该特定时间段是15分钟,比如:13:10~13:25,则所述片段数据是指该用户M在该天中13:10~13:25这段时间内所作的行为数据。
S122:获取片段数据中所包含的各个行为。
在以上实例中,假设在该天中13:10~13:25这段时间内,用户M所作的行为包括行为X、行为Y及行为Z。
S123:将各个行为按照发生时间的先后顺序进行排序,以得到行为链路。
在以上实例中,按照行为X、行为Y及行为Z的发生时间从先到后的顺序进行排序,则得到的特定行为链路G是:行为X→行为Y→行为Z。
S13:确定特定行为链路在行为数据中的风险系数。
本申请实施例中,风险系数是用于表达某个特定行为链路G的罕见程度的数值。通常,若某个网络行为所发生的概率较高,即较为普遍,则表明该网络行为是正常行为,比如:客服人员查看商铺信息的行为;若某个网络行为所发送的概率较低,即在极罕见的情况才会发生,则表明该网络行为是风险行为,比如:客服人员查询亲友的消费记录的行为。本申请通过风险系数来判别某个网络行为是否具有风险。
本申请实施例中,以上风险系数包括短期风险系数a、历史风险系数b、团队风险系数c中的一个或多个。当然,在本申请其他实施例中,所分析的风险系数可不限于以上三种。短期风险系数a是指用户M在第一时间段t1(如:一天)内操作以上特定行为链路G的罕见程度;历史风险系数b是指用户M在该用户注册的总时间长度t2(注册时间到当前时间的间隔)内操作以上特定行为链路G的罕见程度;若定义用户M所在的用户人群为用户组,则该用户组包括多个用户,则团队风险系数c是指用户M所在的用户组操作以上特定行为链路G的罕见程度。
以下将详细介绍以上各风险系数的确定过程:
图3为本申请实施例提供的识别风险行为的方法中确定短期风险系数的过程,具体包括如下步骤:
S131:获取用户M在第一时间段t1内操作所有行为链路的操作总次数s1
沿用本文实例,假设第一时间段t1是一天,则基于该用户M在该天中的行为数据,可以统计出该用户M在该天中所作的所有行为链路的数目(即操作总次数s1)。本申请实施例中,以单个特定行为链路G所持续的时间间隔tG为基准,来统计用户M在该天中的操作总次数s1,具体地,假设tG是15分钟,则操作总次数s1=24*60/15=96。
S132:获取用户M在第一时间段t1内操作特定行为链路G的操作次数s2
在以上实例中,所设定的第一时间段t1是一天,则统计用户M在该天中操作特定行为链路G的次数(即操作次数s2),具体地,假设tG是15分钟,则将该天划分成若干个15分钟的时间片段,并依次判断每个15分钟的时间片段内是否有发生特定行为链路G,若有发生,则操作次数s2加1,若没有发生,则操作次数s2加0,直至得到该天中的操作次数s2
S133:确定操作总次数s1与操作次数s2的比值,以得到短期风险系数a。
本申请实施例中,计算短期风险系数a的公式如下:
a=s1/s2
图4为本申请实施例提供的识别风险行为的方法中确定历史风险系数的过程,具体包括如下步骤:
S134:获取用户M从注册时间t0到当前时间ta的总时间长度t2
沿用本文实例,假设用户M在某电商网站的客服系统中的注册时间t0是:2014年1月1日,当前时间ta是2015年1月1日,则总时间长度t2是:365天。
S135:获取用户M操作特定行为链路G的实际时间长度t3
本申请实施例中,获取用户M操作特定行为链路G的实际时间长度t3的步骤以天来计算,则将该用户M在以上365天的行为数据,按天拆分成365个片段数据,并依次判断各天的片段数据中是否有发生过特定行为链路G,若有发生,则将实际时间长度t3加1,若没有发生,则将实际时间长度t3加0,直至得到用户M操作特定行为链路G的实际天数(即实际时间长度t3)。
S136:根据总时间长度t2及实际时间长度t3,确定历史风险系数b。
本申请实施例中,对于某个老用户而言,因其注册时间较早,总时间长度t2较长(如:3年),假设该老用户操作特定行为链路G的实际时间长度t3是2天,则最终得出该老用户在总时间长度t2内操作过该特定行为链路G的概率较低;然而,对于某个新用户而言,因其注册时间较晚,总时间长度t2较短(如:5天),假设该新用户操作特定行为链路G的实际时间长度t3是2天,则最终得出该新用户在总时间长度t2内操作过该特定行为链路G的概率较高。可见,新老用户之间的差异会影响历史风险系数b的真实程度,为了平滑处理新老用户之间的差异,以上步骤S136具体包括:
首先,将总时间长度t2及实际时间长度t3作平滑处理,以得到平滑总时间长度t2k和平滑实际时间长度t3k。本申请实施例中,平滑处理的方式可为对数化处理、或取余化处理、或开方化处理等。以对数化处理方式为例,t2k=lg t2;t3k=lg t3,当然,对数化处理的底数不受限制。
然后,将平滑实际时间长度t2k及平滑总时间长度t3k进行运算,以得到所述历史风险系数b。本申请实施例中,计算历史风险系数b的公式如下:
b=(1+t3k)/(1+t2k)=(1+lgt3)/(1+lgt2)。
图5为本申请实施例提供的识别风险行为的方法中确定团队风险系数的过程,具体包括如下步骤:
S137:确定用户M所在的用户组中包含的用户总数n。
沿用本文实例,假设用户M是某电商网站的客服人员,则以该用户M所在部门为用户组,假设该部门包含的用户总数n是20人。
S138:在所述用户组中,获取在第二时间段t4内操作过特定行为链路G的实际用户数m。
在以上实例中,假设第二时间段t4是一天,则该步骤S138用来统计该用户M所在部门的20人中,在某天中操作过特定行为链路G的人数(即实际用户数m)。具体地,事先分别获取该部门中20人在该天的行为数据,然后依次查看以上20个用户在该天中是否有操作过特定行为链路G,若有,则将实际用户数m加1,若没有,则将实际用户数m加0,直至得到在该天内操作过特定行为链路G的实际用户数m。
S139:根据用户总数n及实际用户数m,确定团队风险系数c。
本申请实施例中,若所需分析的用户组所包含的用户数量较大(如:n=1000人),若得到在某天内操作过特定行为链路G的实际用户数m=5,则此刻表明特定行为链路G在以上用户组中被操作过的概率较低;然而,若所需分析的用户组所包含的用户数量较小(如:n=10人),若得到在某天内操作过特定行为链路G的实际用户数m=5,则此刻表明特定行为链路G在以上用户组中被操作过的概率较高。可见,不同用户组之间用户数量的差异会影响团队风险系数c的真实程度,为了平滑处理用户组所包含的用户数量的差异,以上步骤S139具体包括:
首先,将用户总数n及实际用户数m作平滑处理,以得到平滑用户总数p和平滑实际用户数q。本申请实施例中,平滑处理的方式可为对数化处理、或取余化处理、或开方化处理等。以对数化处理方式为例,p=lg n;q=lg m,当然,对数化处理的底数不受限制。
然后,将平滑用户总数p及平滑实际用户数q进行运算,以得到所述团队风险系数c。本申请实施例中,计算团队风险系数c的公式如下:
c=(1+p)/(1+q)=(1+lgn)/(1+lgm)。
S14:根据风险系数r,判定特定行为链路G是否具有风险。
本申请实施例中,计算风险系数r的公式如下:
r=a×b×c。
当然,在本申请其他实施例中,风险系数r=a+b+c。
图6为本申请实施例提供的识别风险行为的方法中判定特定行为链路是否具有风险的过程。本申请实施例中,以上步骤S14具体包括:
S141:将各个行为链路的风险系数r按照从高到低进行排序。
继续沿用本文实例,假设所抽取的行为数据是用户M在某一天D的所有行为链路,在此行为数据中,监控到的行为链路有100个,则分别依据以上方法确定这100个行为链路的风险系数r1~r100,之后将风险系数r1~r100按照从高到低进行排序。
S142:判断特定行为链路G所对应的风险系数rG是否处于风险排名内。
本申请实施例中,风险系数的排名越靠前,则表明该行为链路越罕见,其风险系数越高,假设预先设定的风险排名是前3名,则判断特定行为链路G所对应的风险系数rG是否处于前3名内。
S143:若是,则判定该特定行为链路G具有风险。
若特定行为链路G所对应的风险系数rG处于前3名内,则表明该特定行为链路G具有风险,之后可将该特定行为链路G作为风险行为进行公布,以告知某电商网站的客服人员不要操作该行为链路。
S144:若否,则判定该特定行为链路G不具有风险。
若特定行为链路G所对应的风险系数rG不处于前3名内,则表明该特定行为链路G不具有风险。
图7为本申请实施例提供的识别风险行为的装置的结构示意图。基于同样的思路,该装置包括:
获取模块10,用于获取用户的行为数据。
选取模块20,用于从所述行为数据中选取特定行为链路。
确定模块30,用于确定特定行为链路在所述行为数据中的风险系数。
判定模块40,用于根据所述风险系数判定所述特定行为链路是否具有风险。
本申请实施例中,选取模块20具体用于:
从行为数据中选取特定时间段内的片段数据。
获取片段数据中所包含的各个行为。
将各个行为按照发生时间的先后顺序进行排序,以得到特定行为链路。
本申请实施例中,风险系数包括短期风险系数、历史风险系数、团队风险系数中的一个或多个。
本申请实施例中,确定模块30包括短期风险确定模块31,用于:
获取用户在第一时间段内操作所有行为链路的操作总次数。
获取用户在第一时间段内操作特定行为链路的操作次数。
确定操作总次数与操作次数的比值,以得到短期风险系数。
本申请实施例中,确定模块30包括历史风险确定模块32,用于:
获取用户从注册时间到当前时间的总时间长度。
获取用户操作特定行为链路的实际时间长度。
根据总时间长度及实际时间长度,确定历史风险系数。
本申请实施例中,确定模块30包括团队风险确定模块33,用于:
确定用户所在的用户组中包含的用户总数。
在用户组中,获取在第二时间段内操作过特定行为链路的实际用户数。
根据用户总数及实际用户数,确定团队风险系数。
本申请实施例中,历史风险确定模块32包括第一平滑处理单元,用于:
将总时间长度及实际时间长度作平滑处理,以得到平滑总时间长度和平滑实际时间长度。
将平滑实际时间长度及平滑总时间长度进行运算,以得到历史风险系数。
本申请实施例中,团队风险确定模块33包括第二平滑处理单元,用于:
将用户总数及实际用户数作平滑处理,以得到平滑用户总数和平滑实际用户数。
将平滑用户总数及平滑实际用户数进行运算,以得到团队风险系数。
本申请实施例中,确定模块30具体用于:将短期风险系数、历史风险系数及团队风险系数进行乘积或求和,以得到所述风险系数。
本申请实施例中,判定模块40具体用于:
将各个行为链路的风险系数按照从高到低进行排序。
判断特定行为链路所对应的风险系数是否处于风险排名内。
若是,则判定该特定行为链路具有风险,若否,则判定该特定行为链路不具有风险。
本申请实施例所提供的方法及装置,通过获取用户的行为数据,并从该行为数据中选取特定行为链路,通过运算来确定所述特定行为链路在所述行为数据中的风险系数,最后根据风险系数来确定特定行为链路是否具有风险。以上过程相较于规则引擎方式,无需人工填补规则漏洞,从而提升了行为风险识别的效率;此外,以上过程避免了规则引擎耗用额外的计算机资源的弊端,从而减轻了计算机系统的负担。
本申请实施例综合考虑短期(如:某天)、历史(注册时间到当前时间)以及团队(用户所在用户组)这三个因数,来分析用户的行为是否具有风险,从而减小某些突发因数的转变(如:团队调整业务方向、或用户转岗等)对用户的行为链路的影响,进而提升风险行为识别的准确度及真实度。
值得一提的是,本文所披露的识别风险行为的装置是基于以上识别风险行为的方法,按照同样的思路所产生的,故该识别风险行为的方法可沿用以上识别风险行为的装置的所有技术特征,本文不再予以赘述。
另外值得注意的是,本申请中各风险系数的计算公式并不限于所公开的实施例,如:在其他实施例中,短期风险系数a=s2/s1;历史风险系数b=(1+lgt2)/(1+lgt3);团队风险系数c=(1+lgm)/(1+lgn)。相应地,在后续判定行为链路是否具有风险时,则将各个行为链路的风险系数按照从低到高进行排序,以判断特定行为链路所对应的风险系数是否处于风险排名内。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用以实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用以实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用以存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用以限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (20)

1.一种识别风险行为的方法,其特征在于,包括:
获取用户的行为数据;
从所述行为数据中选取特定行为链路,所述特定行为链路是指多个行为按照发生时间先后排序所得的组合;
确定所述特定行为链路在所述行为数据中的风险系数,所述风险系数是用于表达所述特定行为链路发生风险的概率的数值;
根据所述风险系数,判定所述特定行为链路是否具有风险;
确定所述特定行为链路在所述行为数据中的风险系数,包括:
根据在一段时间内是否发生特定行为链路,确定所述风险系数。
2.根据权利要求1所述的方法,其特征在于,从所述行为数据中选取特定行为链路,具体包括:
从所述行为数据中选取特定时间段内的片段数据;
获取所述片段数据中所包含的各个行为;
将各个行为按照发生时间的先后顺序进行排序,以得到所述特定行为链路。
3.根据权利要求1所述的方法,其特征在于,所述风险系数包括短期风险系数、历史风险系数、团队风险系数中的一个或多个。
4.根据权利要求3所述的方法,其特征在于,确定特定行为链路在所述行为数据中的风险系数,具体包括:
获取所述用户在第一时间段内操作所有行为链路的操作总次数;
获取所述用户在第一时间段内操作所述特定行为链路的操作次数;
确定所述操作总次数与所述操作次数的比值,以得到所述短期风险系数。
5.根据权利要求3所述的方法,其特征在于,确定特定行为链路在所述行为数据中的风险系数,具体包括:
获取所述用户从注册时间到当前时间的总时间长度;
获取所述用户操作所述特定行为链路的实际时间长度;
根据所述总时间长度及所述实际时间长度,确定所述历史风险系数。
6.根据权利要求3所述的方法,其特征在于,确定特定行为链路在所述行为数据中的风险系数,具体包括:
确定所述用户所在的用户组中包含的用户总数;
在所述用户组中,获取在第二时间段内操作过所述特定行为链路的实际用户数;
根据所述用户总数及所述实际用户数,确定所述团队风险系数。
7.根据权利要求5所述的方法,其特征在于,根据所述总时间长度及所述实际时间长度,确定所述历史风险系数,具体包括:
将所述总时间长度及所述实际时间长度作平滑处理,以得到平滑总时间长度和平滑实际时间长度;
将所述平滑实际时间长度及所述平滑总时间长度进行运算,以得到所述历史风险系数。
8.根据权利要求6所述的方法,其特征在于,根据所述用户总数及所述实际用户数,确定所述团队风险系数,具体包括:
将所述用户总数及所述实际用户数作平滑处理,以得到平滑用户总数和平滑实际用户数;
将所述平滑用户总数及所述平滑实际用户数进行运算,以得到所述团队风险系数。
9.根据权利要求3所述的方法,其特征在于,确定特定行为链路在所述行为数据中的风险系数,具体包括:
将短期风险系数、历史风险系数及团队风险系数进行乘积或求和,以得到所述风险系数。
10.根据权利要求1所述的方法,其特征在于,根据所述风险系数,判定所述特定行为链路是否具有风险,具体包括:
将各个行为链路的风险系数按照从高到低进行排序;
判断所述特定行为链路所对应的风险系数是否处于风险排名内;
若是,则判定该特定行为链路具有风险,若否,则判定该特定行为链路不具有风险。
11.一种识别风险行为的装置,其特征在于,包括:
获取模块,用于获取用户的行为数据;
选取模块,用于从所述行为数据中选取特定行为链路,所述特定行为链路是指多个行为按照发生时间先后排序所得的组合;
确定模块,用于确定特定行为链路在所述行为数据中的风险系数,所述风险系数是用于表达所述特定行为链路发生风险的概率的数值;
判定模块,用于根据所述风险系数判定所述特定行为链路是否具有风险;
所述确定模块,用于根据在一段时间内是否发生特定行为链路,确定所述风险系数。
12.根据权利要求11所述的装置,其特征在于,所述选取模块具体用于:
从所述行为数据中选取特定时间段内的片段数据;
获取所述片段数据中所包含的各个行为;
将各个行为按照发生时间的先后顺序进行排序,以得到所述特定行为链路。
13.根据权利要求11所述的装置,其特征在于,所述风险系数包括短期风险系数、历史风险系数、团队风险系数中的一个或多个。
14.根据权利要求13所述的装置,其特征在于,所述确定模块包括短期风险确定模块,用于:
获取所述用户在第一时间段内操作所有行为链路的操作总次数;
获取所述用户在第一时间段内操作所述特定行为链路的操作次数;
确定所述操作总次数与所述操作次数的比值,以得到所述短期风险系数。
15.根据权利要求13所述的装置,其特征在于,所述确定模块包括历史风险确定模块,用于:
获取所述用户从注册时间到当前时间的总时间长度;
获取所述用户操作所述特定行为链路的实际时间长度;
根据所述总时间长度及所述实际时间长度,确定所述历史风险系数。
16.根据权利要求13所述的装置,其特征在于,所述确定模块包括团队风险确定模块,用于:
确定所述用户所在的用户组中包含的用户总数;
在所述用户组中,获取在第二时间段内操作过所述特定行为链路的实际用户数;
根据所述用户总数及所述实际用户数,确定所述团队风险系数。
17.根据权利要求15所述的装置,其特征在于,所述历史风险确定模块包括第一平滑处理单元,用于:
将所述总时间长度及所述实际时间长度作平滑处理,以得到平滑总时间长度和平滑实际时间长度;
将所述平滑实际时间长度及所述平滑总时间长度进行运算,以得到所述历史风险系数。
18.根据权利要求16所述的装置,其特征在于,所述团队风险确定模块包括第二平滑处理单元,用于:
将所述用户总数及所述实际用户数作平滑处理,以得到平滑用户总数和平滑实际用户数;
将所述平滑用户总数及所述平滑实际用户数进行运算,以得到所述团队风险系数。
19.根据权利要求13所述的装置,其特征在于,所述确定模块具体用于:
将短期风险系数、历史风险系数及团队风险系数进行乘积或求和,以得到所述风险系数。
20.根据权利要求11所述的装置,其特征在于,所述判定模块具体用于:
将各个行为链路的风险系数按照从高到低进行排序;
判断所述特定行为链路所对应的风险系数是否处于风险排名内;
若是,则判定该特定行为链路具有风险,若否,则判定该特定行为链路不具有风险。
CN201510093725.4A 2015-03-02 2015-03-02 识别风险行为的方法及装置 Active CN105989155B (zh)

Priority Applications (9)

Application Number Priority Date Filing Date Title
CN201510093725.4A CN105989155B (zh) 2015-03-02 2015-03-02 识别风险行为的方法及装置
JP2017546734A JP6734293B2 (ja) 2015-03-02 2016-02-24 危険行動を特定するための方法及び装置
KR1020177026844A KR102125116B1 (ko) 2015-03-02 2016-02-24 위험성 있는 활동을 인식하기 위한 방법 및 장치
EP16758446.5A EP3267348B1 (en) 2015-03-02 2016-02-24 Method and apparatus for recognizing risk behavior
PL16758446T PL3267348T3 (pl) 2015-03-02 2016-02-24 Sposób i urządzenie do rozpoznawania ryzykownego zachowania
ES16758446T ES2801273T3 (es) 2015-03-02 2016-02-24 Método y aparato para reconocer el comportamiento de riesgo
PCT/CN2016/074424 WO2016138830A1 (zh) 2015-03-02 2016-02-24 识别风险行为的方法及装置
SG11201707032UA SG11201707032UA (en) 2015-03-02 2016-02-24 Method and apparatus for identifying risky behavior
US15/694,030 US10601850B2 (en) 2015-03-02 2017-09-01 Identifying risky user behaviors in computer networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510093725.4A CN105989155B (zh) 2015-03-02 2015-03-02 识别风险行为的方法及装置

Publications (2)

Publication Number Publication Date
CN105989155A CN105989155A (zh) 2016-10-05
CN105989155B true CN105989155B (zh) 2019-10-25

Family

ID=56848744

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510093725.4A Active CN105989155B (zh) 2015-03-02 2015-03-02 识别风险行为的方法及装置

Country Status (9)

Country Link
US (1) US10601850B2 (zh)
EP (1) EP3267348B1 (zh)
JP (1) JP6734293B2 (zh)
KR (1) KR102125116B1 (zh)
CN (1) CN105989155B (zh)
ES (1) ES2801273T3 (zh)
PL (1) PL3267348T3 (zh)
SG (1) SG11201707032UA (zh)
WO (1) WO2016138830A1 (zh)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106529288A (zh) * 2016-11-16 2017-03-22 智者四海(北京)技术有限公司 一种帐号风险识别方法及装置
CN108229963B (zh) * 2016-12-12 2021-07-30 创新先进技术有限公司 用户操作行为的风险识别方法及装置
CN108427624B (zh) * 2017-02-13 2021-03-02 创新先进技术有限公司 一种系统稳定性风险的识别方法以及设备
CN108449307B (zh) * 2017-02-16 2020-12-29 上海行邑信息科技有限公司 一种用于识别风险设备的方法
US9882918B1 (en) 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US10917423B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Intelligently differentiating between different types of states and attributes when using an adaptive trust profile
US10862927B2 (en) * 2017-05-15 2020-12-08 Forcepoint, LLC Dividing events into sessions during adaptive trust profile operations
US10999297B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Using expected behavior of an entity when prepopulating an adaptive trust profile
US10943019B2 (en) 2017-05-15 2021-03-09 Forcepoint, LLC Adaptive trust profile endpoint
US10447718B2 (en) 2017-05-15 2019-10-15 Forcepoint Llc User profile definition and management
US10623431B2 (en) * 2017-05-15 2020-04-14 Forcepoint Llc Discerning psychological state from correlated user behavior and contextual information
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10129269B1 (en) 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
CN107517203B (zh) * 2017-08-08 2020-07-14 奇安信科技集团股份有限公司 一种用户行为基线建立方法及装置
CN107566163B (zh) * 2017-08-10 2020-11-06 奇安信科技集团股份有限公司 一种用户行为分析关联的告警方法及装置
CN108304308A (zh) * 2018-02-07 2018-07-20 平安普惠企业管理有限公司 用户行为监控方法、装置、计算机设备和存储介质
US10997295B2 (en) 2019-04-26 2021-05-04 Forcepoint, LLC Adaptive trust profile reference architecture
US11621974B2 (en) * 2019-05-14 2023-04-04 Tenable, Inc. Managing supersedence of solutions for security issues among assets of an enterprise network
CN110457896A (zh) * 2019-07-02 2019-11-15 北京人人云图信息技术有限公司 在线访问的检测方法及检测装置
CN111582722B (zh) * 2020-05-09 2022-06-07 拉扎斯网络科技(上海)有限公司 风险识别方法、装置、电子设备及可读存储介质
CN114764418A (zh) * 2020-12-31 2022-07-19 北京达佳互联信息技术有限公司 风险检测方法、装置、电子设备及存储介质
CN112866230B (zh) * 2021-01-13 2023-05-16 深信服科技股份有限公司 一种风险检测方法、装置及存储介质
CN112927068B (zh) * 2021-03-30 2024-08-20 善诊(上海)信息技术有限公司 业务数据风险分类门限确定方法、装置、设备及存储介质
CN113051560B (zh) * 2021-04-13 2024-05-24 北京安天网络安全技术有限公司 终端行为的安全识别方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7574382B1 (en) * 2004-08-03 2009-08-11 Amazon Technologies, Inc. Automated detection of anomalous user activity associated with specific items in an electronic catalog
CN104011731A (zh) * 2011-10-18 2014-08-27 迈克菲公司 用户行为风险评估
CN104376266A (zh) * 2014-11-21 2015-02-25 工业和信息化部电信研究院 应用软件安全级别的确定方法及装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7953814B1 (en) * 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
CA2531410A1 (en) * 2005-12-23 2007-06-23 Snipe Network Security Corporation Behavioural-based network anomaly detection based on user and group profiling
US7574832B1 (en) 2007-01-24 2009-08-18 Lieberman Phillip L Portable telescoping tower assembly
JP2010108469A (ja) 2008-10-01 2010-05-13 Sky Co Ltd 操作監視システム及び操作監視プログラム
US8356001B2 (en) 2009-05-19 2013-01-15 Xybersecure, Inc. Systems and methods for application-level security
US8566956B2 (en) 2010-06-23 2013-10-22 Salesforce.Com, Inc. Monitoring and reporting of data access behavior of authorized database users
US9690645B2 (en) * 2012-12-04 2017-06-27 Hewlett Packard Enterprise Development Lp Determining suspected root causes of anomalous network behavior
US8850517B2 (en) 2013-01-15 2014-09-30 Taasera, Inc. Runtime risk detection based on user, application, and system action sequence correlation
CN103297267B (zh) * 2013-05-10 2016-05-11 中华通信系统有限责任公司河北分公司 一种网络行为的风险评估方法和系统
US20140359777A1 (en) * 2013-05-31 2014-12-04 Fixmo, Inc. Context-aware risk measurement mobile device management system
US20150039513A1 (en) * 2014-02-14 2015-02-05 Brighterion, Inc. User device profiling in transaction authentications
US10075474B2 (en) * 2015-02-06 2018-09-11 Honeywell International Inc. Notification subsystem for generating consolidated, filtered, and relevant security risk-based notifications

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7574382B1 (en) * 2004-08-03 2009-08-11 Amazon Technologies, Inc. Automated detection of anomalous user activity associated with specific items in an electronic catalog
CN104011731A (zh) * 2011-10-18 2014-08-27 迈克菲公司 用户行为风险评估
CN104376266A (zh) * 2014-11-21 2015-02-25 工业和信息化部电信研究院 应用软件安全级别的确定方法及装置

Also Published As

Publication number Publication date
US20180013780A1 (en) 2018-01-11
JP6734293B2 (ja) 2020-08-05
KR20170125864A (ko) 2017-11-15
PL3267348T3 (pl) 2020-11-16
WO2016138830A1 (zh) 2016-09-09
EP3267348A1 (en) 2018-01-10
ES2801273T3 (es) 2021-01-08
SG11201707032UA (en) 2017-09-28
CN105989155A (zh) 2016-10-05
JP2018510422A (ja) 2018-04-12
US10601850B2 (en) 2020-03-24
EP3267348B1 (en) 2020-04-08
KR102125116B1 (ko) 2020-06-22
EP3267348A4 (en) 2018-10-31

Similar Documents

Publication Publication Date Title
CN105989155B (zh) 识别风险行为的方法及装置
US11175973B1 (en) Prediction of performance degradation with non-linear characteristics
US9530256B2 (en) Generating cumulative wear-based indicators for vehicular components
CN106600115A (zh) 一种企业信息系统运维智能分析方法
CN106716454A (zh) 利用机器学习来识别非技术性损失
CN108075906A (zh) 一种用于云计算数据中心的管理方法及系统
CN110162422A (zh) 一种基于决策树的问题定位方法和装置
AU2021309929B2 (en) Anomaly detection in network topology
CN104731664A (zh) 用于故障处理的方法和装置
CN110162445A (zh) 基于主机日志及性能指标的主机健康评价方法及装置
US11392821B2 (en) Detecting behavior patterns utilizing machine learning model trained with multi-modal time series analysis of diagnostic data
WO2022142013A1 (zh) 基于人工智能的ab测试方法、装置、计算机设备及介质
CN106371983A (zh) 基于数据开发的报警方法和装置
JP2015109074A (ja) ルールの自動化された生成および動的な更新
JP6252309B2 (ja) 監視漏れ特定処理プログラム,監視漏れ特定処理方法及び監視漏れ特定処理装置
Hoo Meng et al. A new approach towards developing a prescriptive analytical logic model for software application error analysis
CN112860523A (zh) 批量作业处理的故障预测方法、装置和服务器
US20230388277A1 (en) System and methods for predictive cyber-physical resource management
CN114877943B (zh) 一种基于区块链的生态环境监测装置
US12101343B2 (en) Event-based machine learning for a time-series metric
CN106571969B (zh) 一种云服务可用性评估方法和系统
CN106776623B (zh) 一种用户行为分析方法和设备
Tammi et al. Advanced RCM industry case—Modeling and advanced analytics (ELMAS) for improved availability and cost-efficiency
US20240291724A1 (en) Allocation of Resources to Process Execution in View of Anomalies
CN108804947A (zh) 用于确定对数据库进行操作的白名单的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20200924

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee after: Innovative advanced technology Co.,Ltd.

Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee before: Advanced innovation technology Co.,Ltd.

Effective date of registration: 20200924

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee after: Advanced innovation technology Co.,Ltd.

Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands

Patentee before: Alibaba Group Holding Ltd.