CN106572056B - 一种风险监控方法及装置 - Google Patents
一种风险监控方法及装置 Download PDFInfo
- Publication number
- CN106572056B CN106572056B CN201510651575.4A CN201510651575A CN106572056B CN 106572056 B CN106572056 B CN 106572056B CN 201510651575 A CN201510651575 A CN 201510651575A CN 106572056 B CN106572056 B CN 106572056B
- Authority
- CN
- China
- Prior art keywords
- risk
- account
- history
- terminal
- address information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种风险监控方法及装置,所述方法包括:服务器确定接收当前业务操作信息所基于的中间设备的地址信息,确定第一历史时间段内通过所述地址信息访问该服务器的账户的数量以及终端的数量,根据确定出的所述账户的数量、终端的数量,确定所述地址信息的风险级别,根据确定出的该地址信息对应的风险级别,确定对所述当前业务操作信息的监控级别,并根据所述监控级别对所述当前业务操作信息进行监控。本方法的滞后性极低,可以在风险操作发生前,通过不同的监控级别进行监控,从而避免风险操作的发生。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种风险监控方法及装置。
背景技术
随着信息技术的发展,账户作为一种重要的用户身份标识,使得用户可以通过终端使用已注册的账户,登录至相应的服务系统(如:网站)中,以获得丰富的业务服务。
目前,用户所使用的账户存在被非法操作者盗取的可能,一旦用户的账户被盗取,非法操作者便可以使用用户的账户,在该非法操作者自身的终端上以用户的名义登录至服务系统中,这样的情况对用户的信息安全造成威胁。
现有技术中,考虑到用户(包括非法操作者)需要通过相应的网络设备(如:路由器)才能够访问服务系统,所以,一旦发生了账户被盗的情况后,服务系统通常会将非法操作者所使用的网络设备的物理地址(Media Access Control,MAC地址),记录到黑名单中,并对黑名单中的MAC地址发出的网络行为进行监控。
但是,采用上述方式具有较强的滞后性,具体而言,当用户的账户被盗取后,用户需要向服务系统提出申请,服务系统需要对该账户下发出的网络操作进行确认,只有在确定了网络操作为非法操作后,才会将相应的网络设备的MAC地址记录到黑名单中进行监控,在将该MAC地址记录到黑名单期间,非法操作者仍可以使用用户的账户执行非法操作。
显然,现有技术中的上述方法只有在账户被盗后才会对发生过非法操作的MAC地址进行监控,这种监控方式的滞后性强,难以及时对风险操作进行监控。
发明内容
本申请实施例提供一种风险监控方法及装置,用以解决对账户监控的滞后性高、难以及时对风险操作进行监控的问题。
本申请实施例提供的一种风险监控方法,包括:
服务器确定接收当前业务操作信息所基于的中间设备的地址信息;
确定第一历史时间段内通过所述地址信息访问该服务器的账户的数量以及终端的数量;
根据确定出的所述账户的数量、终端的数量,确定所述地址信息的风险级别;
根据确定出的该地址信息对应的风险级别,确定对所述当前业务操作信息的监控级别,并根据所述监控级别对所述当前业务操作信息进行监控。
本申请实施例提供的一种风险监控装置,包括:
地址信息模块,用于确定接收当前业务操作信息所基于的中间设备的地址信息;
数据统计处理模块,用于确定第一历史时间段内通过所述地址信息访问该服务器的账户的数量以及终端的数量;
风险级别模块,用于根据确定出的所述账户的数量、终端的数量,确定所述地址信息的风险级别;
监控模块,用于根据确定出的该地址信息对应的风险级别,确定对所述当前业务操作信息的监控级别,并根据所述监控级别对所述当前业务操作信息进行监控。
本申请实施例提供一种风险监控方法及装置,通过本方法,当服务器接收到了当前业务操作信息后,将确定该当前业务操作信息所基于的中间设备的地址信息,并且,服务器将统计出一定的历史时间段内通过该地址信息访问至服务器中的账户数量和终端数量,统计出的账户数量和终端数量之间的关系可以反映出该地址信息的出现风险的可能性的大小,从而,服务器也就可以根据统计出的账户数量和终端数量,确定出该地址信息的风险级别,再根据风险级别确定针对该地址信息的监控级别,以便对该地址信息进行监控。这样的方式能够及时且准确地确定出可能存在风险的地址信息,进一步地,也就可以确定可能存在风险的终端和账户信息,不同于现有技术中的方式,这样的方式滞后性极低,可以在风险操作发生前,通过不同的监控级别进行监控,从而避免风险操作的发生。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的风险监控过程示意图;
图2为本申请实施例提供的风险监控装置结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供的风险监控过程,该过程具体包括以下步骤:
S101,服务器确定接收当前业务操作信息所基于的中间设备的地址信息。
实际应用中,用户可以通过终端从相应的服务提供商(如:网站)的服务系统中获得业务服务,如:通过安装在终端内的支付应用获得交易业务、转账业务等等,在这样的情况下,终端就会通过中间设备向服务系统中的服务器发送业务操作信息,以完成业务服务。
在本申请实施例中,所述的中间设备通常是具有无线路由功能的路由器,当然,在一些实际应用场景中,中间设备还可以包括:由电信运营商提供的大型无线路由器(这类无线路由器可同时接入大量的终端)、家用型路由器,交换机等。所述的地址信息,具体可以是该中间设备自身的MAC地址。
需要说明的是,通常一台中间设备具有一个MAC地址,该MAC地址可以唯一地表明一台中间设备,而当不同终端通过该中间设备访问至服务器时,均会携带该中间设备的MAC地址。
所以,服务器接收到了当前的业务操作信息后,也就可以确定出相应的中间设备(也就是传输该业务操作信息的中间设备)的地址信息。
S102,确定第一历史时间段内通过所述地址信息访问该服务器的账户的数量以及终端的数量。
考虑到在实际应用中,如果非法操作者盗取了其他用户的账号,通常该非法操作者会通过自身的终端使用盗取的账户进行登录,以进行非法操作(如:非法转账、非法交易等)。这样一来,在同一终端上就出现了多个账户登录的情况,而该终端也需要通过某中间设备访问至服务器,那么换言之,也就出现了基于同一MAC地址访问至服务器时账户数量多于终端数量的情况。所以,在本申请中,一旦服务器确定了中间设备的地址信息后,就需要确定基于该地址信息的账户数量与终端数量的关系,以便后续判断该地址信息的风险级别。
正是基于此,本申请的上述步骤中,服务器将在一定的历史时间段内(也即,第一历史时间段),确定出通过该地址信息访问至该服务器中的账户的数量以及终端的数量。
所述的第一历史时间段,可以是以接收到当前业务操作信息的时间为基准设定天数的历史时间段,如:前1天、前3天、前7天等,当然,在实际应用中,第一历史时间段的设定还可以是采用其他方式,如:以设定数量的小时作为第一历史时间段,如:前20小时、前36小时等等。这里并不构成对本申请的限定。
S103,根据确定出的所述账户的数量、终端的数量,确定所述地址信息的风险级别。
正如前述,如果同一个地址信息(如:MAC地址)中的账户的数量与终端的数量的差别越大,那么,该地址信息是非法操作者所使用的地址信息的可能性也就越大。
所以,当服务器确定出第一历史时间段内,通过所述地址信息访问该服务器的账户的数量以及终端的数量后,也就可以获知在第一历史时间段内,账户的数量与终端的数量之间的关系,从而,可判断出该地址信息的风险级别。例如:确定出同一地址信息的账户数量与终端数量之间的数量差较大,那么,该地址信息的风险级别也就较高。
S104,根据确定出的该地址信息对应的风险级别,确定对所述当前业务操作信息的监控级别,并根据所述监控级别对所述当前业务操作信息进行监控。
风险级别高的地址信息,发生非法操作者盗用用户账户的可能性也较高,所以,为了能够及时、有效地避免这种情况的发生,在本申请中将对风险级别较高的地址信息采用较高的监控级别对该地址信息进行监控。反之,如果地址信息的风险级别低,那么也就表明该地址信息发生盗用用户账户的可能性较小,相应地,采用一般或较低的监控级别对该地址信息进行监控即可。
当然,本申请中,在高监控级别下对地址信息进行监控,具体可以采用增加在业务操作流程中的安全问题数量的方式,使得当前的操作者回答安全问题,以验证当前操作者的身份;或者,向与该账户相绑定的手机号码发送验证码,并监控当前操作者是否正确地输入该验证码等方式。这里并不构成对本申请的限定。
通过上述步骤,当服务器接收到了当前业务操作信息后,将确定该当前业务操作信息所基于的中间设备的地址信息,并且,服务器将统计出一定的历史时间段内通过该地址信息访问至服务器中的账户数量和终端数量,统计出的账户数量和终端数量之间的关系可以反映出该地址信息的出现风险的可能性的大小,从而,服务器也就可以根据统计出的账户数量和终端数量,确定出该地址信息的风险级别,再根据风险级别确定针对该地址信息的监控级别,以便对该地址信息进行监控。这样的方式能够及时且准确地确定出可能存在风险的地址信息,进一步地,也就可以确定可能存在风险的终端和账户信息,不同于现有技术中的方式,这样的方式滞后性极低,可以在风险操作发生前,通过不同的监控级别进行监控,从而避免风险操作的发生。
需要说明的是,在第一历史时间段内所统计得到的基于所述地址信息访问至服务器的账户数量和终端数量之间的关系,能够表明该地址信息存在风险的级别,所以,在本申请实施例中,对于上述步骤S103而言,根据确定出的所述账户的数量、终端的数量,确定所述地址信息的风险级别,具体为:根据所述账户的数量与终端的数量,确定所述账户的数量与终端的数量之间的关系参考值,根据预设的各风险级别与各关系参考值的对应关系,确定所述账户的数量与终端的数量之间的关系参考值对应的风险级别,并将确定出的风险级别,确定为所述地址信息的风险级别。
其中,所述关系参考值可以包括差值或比值,这里的差值是指账户数量与终端数量的差值,相应地,这里的比值可以是账户数量与终端数量之比。当然,这里并不构成对本申请的限定。
在上述内容中,服务器之所以将确定出第一历史时间段内的账户数量和终端数量的关系参考值,这是因为:实际应用场景下,盗取用户账户并使用账户进行非法操作往往是一种持续行为(由非法操作者或其开发的非法程序执行),那么,服务器通过统计第一历史时间段,就可以获得相应的地址信息对应的账户数量和终端数量,可以认为,在第一历史时间段内统计得到的账户数量和终端数量,是一种样本数据,通过这些样本数据之间的关系参考值,也就可以与服务器预先保存的历史数据进行比较,从而确定出该地址信息对应的风险级别。
例如:假设针对某无线路由器的MAC地址为mac1,当前,服务器接收到了某账户的一个业务操作信息,且该业务操作信息是由mac1发送至服务器的。此时,服务器并不知晓发出该业务操作信息的账户是否被盗,那么,服务器就需要统计该mac1统计其前7天内(也即,上述的第一历史时间段)访问服务器的所有账户数量和终端数量,并确定出账号数量和终端数量的差值(也即,上述的关系参考值),假设差值为10(这就表明,在前7天内,通过该mac1访问至服务器的账户数量比终端数量多10)。假设,服务器根据其中的历史数据,预先确定出“当差值超过3时,为高风险级别”的对应关系,那么,针对本示例中的差值10,也就可以确定出其风险级别为“高风险级别”,所以,mac1的风险级别也就为“高风险级别”。
从该示例中可见,服务器根据历史数据得到的“预设的各风险级别与各关系参考值的对应关系”中,关系参考值可以是具体的数值,也可以是一种范围,正如上例中“当差值超过3时,为高风险级别”的对应关系,所以,确定所述账户的数量与终端的数量之间的关系参考值对应的风险级别时,可以采用范围来判断。
具体而言,根据预设的各风险级别与各关系参考值的对应关系,确定所述账户的数量与终端的数量之间的关系参考值对应的风险级别,具体为:确定所述账户的数量与终端的数量之间的关系参考值所落入的关系参考值范围,将确定的所述关系参考值范围对应的风险级别,确定为所述账户的数量与终端的数量之间的关系参考值对应的风险级别。
在本申请实施例的一种方式下,可以包含多种风险级别,如:低、中、高三种风险级别,当然,在实际应用时,也可以只设置两种风险级别,或其他不同种类的风险级别。对于风险级别的种类的设置并不作为对本申请的限定。
需要说明的是,本申请中的风险级别,是服务器根据自身的历史数据所确定出来的,具体可以是基于某地址信息历史上发生的风险操作的占比。可以认为,风险操作的占比越高,该地址信息的风险级别也就越大。而实际上,风险操作的占比与关系参考值范围相关,也就是说,风险操作的占比将根据参考值范围内的关系参考值来确定。
下面将详细描述确定关系参考值范围的过程。
考虑到实际应用中,中间设备通常包括可为少数用户提供服务的小型路由器(如:家用型路由器),以及可为大量用户提供服务的大型路由器(如:由电信运营商提供的大型无线路由器)。对于小型路由器而言,其可以接入的终端的数量有限(可以认为数据量较小),因而不能够较准确地确定出关系参考值范围以及相应的非法操作的占比,故在此情况下,通常服务器会统计所有访问了该服务器的小型路由器的数据(数量级在百万级至上亿级,这样的数据量能够充分且准确地确定出关系参考值范围以及相应的非法操作的占比)。而对于大型路由器而言,自身可以接入大量的终端,那么,服务器通常可以通过这一个大型路由器统计得到足够多的数据(数量级在万级至十万级,这样的数据量也能够充分且准确地确定出关系参考值范围以及相应的非法操作的占比)。因此,对于上述的两种情况下,确定关系参考值范围的方式也不相同。具体而言:
第一种情况
在该情况下,为了能够获得足够大量的历史数据,所以,服务器通常会统计所有的访问过该服务器的中间设备的地址信息所对应的终端数量和账户数量,以及基于这些地址信息接收到的历史上所有的业务操作信息,从而,统计出不同的终端数量和账户数量所对应的风险操作的占比,进而确定出不同的风险级别。
具体地,预先通过以下方法确定所述关系参考值范围:获取基于不同的样本地址信息接收到的所有历史业务操作信息,以及在历史上基于每一样本地址信息访问所述服务器的终端的历史数量、账户的历史数量;其中,所述历史业务操作信息中包含已识别的正常操作信息和风险操作信息;根据获取到的各样本地址信息的终端的历史数量和账户的历史数量,确定每个样本地址信息分别对应的账户的历史数量与终端的历史数量之间的各历史关系参考值,根据每一样本地址信息分别对应的风险操作信息的数量,统计每一样本地址信息的历史关系参考值分别对应的风险操作占比,根据预先划分的各风险操作占比区间,分别确定落入预先划分的各风险操作占比区间内的风险操作占比,分别确定落入每一风险操作占比区间内各样本地址信息的风险操作占比对应的历史关系参考值,形成关系参考值范围。
为了能够清楚对上述内容进行说明分析,现以一具体应用实例进行说明:
假设共有N台中间设备访问过服务器,这些中间设备的地址信息分别为:mac1、mac2……macN。
服务器将统计每一个地址信息在历史上的所有终端的历史数量和账户的历史数量,并且,统计基于每一个地址信息的业务操作的数量和已经被标记为风险操作的数量,统计出的数据如下表1所示。
表1
表1中示出了在历史上,访问过该服务器的不同MAC地址对应的历史数据,通过这些数据,就可以确定账户的历史数量与终端的历史数量之间的历史参考关系值(在本示例中,是指账户的历史数量与终端的历史数量之间的差值),以及已经被标记为风险操作的占比(其中,风险操作占比=已被标记为风险操作的数量/业务操作数量)。并得到下表2所示的数据。
表2
表2中,账户的历史数量与终端的历史数量之间的差值,是根据表1中统计的数据得到的,并将相同的差值的业务操作的数量进行合并,从而得到表2中的数据。需要说明的是,在实际应用中,如果差值等于或超过3时,出现非法操作的可能性极大,故在表2中,将差值大于或等于3的情况均进行合并统计。
在得到了表2中的风险操作占比后,通常可以预设一个标准风险占比值(在本示例中,假设为1%),显然,只有差值为0的情况下,风险操作占比0.46%<1%,而其他情况均超过了1%,所以,该标准风险占比值可以将风险操作占比划分为两个区间,一种是小于1%的安全区间,另一种则是大于1%的风险区间。从而,也就确定出了两个关系参考值范围:差值为0,以及差值大于0的区间。
也就是说,只有差值为0的时候,才可以认为是该MAC地址是较为安全的,而差值超过0,则该MAC地址就有风险操作的可能,所以,将进行高级别的监控。
在实际使用时,假设服务器接收到了基于mac2的某一业务操作,那么,服务器则会统计7天前,该mac2的终端的数量和账户的数量,并确定账户数量和终端数量的差值,假设差值为0,那么,与上述表2对照后,就可以认为,此次由mac2发出的业务操作是安全的。
以上内容是服务器对所有MAC地址的数据进行统计后得到的结果的说明,而在实际应用中,对于一个大型无线路由器而言,由于其可以接入大量的终端,数据量足够大,所以,可以只针对一个大型无线路由器中的数据进行统计。也即,下述的第二种情况
第二种情况
在该情况下,大型路由器也具有唯一的MAC地址,由于该大型路由器可以接入大量的终端,那么,基于该MAC地址访问至服务器的终端的数量和账户的数量也将足够多。
故在该情况下,预先通过以下方法确定所述关系参考值范围:获取在不同的第二历史时间段内基于所述地址信息接收到的历史业务操作信息,以及在不同的第二历史时间段内,基于所述地址信息访问所述服务器的所有终端的历史数量、账户的历史数量;其中,所述历史业务操作信息中包含已识别的正常操作信息和风险操作信息;根据获取到的不同第二历史时间段内的终端的历史数量以及账户的历史数量,确定各第二历史时间段分别对应的所述账户的历史数量与终端的历史数量之间的各历史关系参考值,根据确定出的各历史时间段对应的各历史关系参考值,以及各历史时间段内的风险操作信息的数量,确定相同的历史关系参考值对应的风险操作占比,根据预先划分的各风险操作占比区间,分别确定落入预先划分的各风险操作占比区间内的风险操作占比,分别确定落入每一风险操作占比区间内的风险操作占比对应的历史关系参考值,形成关系参考值范围。
与第一种情况不同的是,大型路由器在历史上每一时间段(如:历史上的每一天,这里为了区分上述的第一历史时间段,这里将历史上的每一时间段称为第二历史时间段)内,可接入大量的终端,基于该大型路由器的MAC地址访问至服务器的账户的数量也足够大,故服务器可以直接针对各历史时间段基于大型路由器的MAC地址进行访问的终端和账户的数量进行统计。
为了能够清楚对上述内容进行说明分析,现以一具体应用实例进行说明:
假设针对某一台大型的无线路由器而言,统计其历史上每一天中的终端的历史数量和账户的历史数量,以及每一天中的业务操作的数量和已识别为风险操作的数量。统计出的数据如下表3所示。
表3
表3中示出了该大型无线路由器在历史上每一天(也即,第二历史时间段)的数量,通过这些数据,就可以,确定账户的历史数量与终端的历史数量之间的历史参考关系值(在本示例中,是指账户的历史数量与终端的历史数量之间的差值),以及已经被标记为风险操作的占比(其中,风险操作占比=已被标记为风险操作的数量/业务操作数量)。并得到下表4所示的数据。
表4
表4中,账户的历史数量与终端的历史数量之间的差值,是根据表3中统计的数据得到的,并将相同的差值的业务操作的数量进行合并,从而得到表4中的数据。需要说明的是,与表2相类似,在表4中,差值大于3的情况,可以认为出现非法操作的可能性极大,所以将差值大于3的情况进行合并统计。
同样,也可以预设一个标准风险占比值(在本示例中,也可以假设为1%),那么,也就可以将风险操作占比划分为两个区间,一种是小于1%的安全区间,另一种则是大于1%的风险区间。当然,在实际应用中,可以设置多个标准风险占比值,将风险操作占比划分为多个占比区间。这里不作具体限定。
而对于在第二种情况下,服务器对当前发出业务操作的MAC地址的监控,与上述第一种情况相同,在此不再敖述。
以上为本申请实施例提供的风险监控方法,基于同样的思路,本申请实施例还提供一种风险监控装置,如图2所示。
图2中的风险监控装置,设置在服务器中,包括:
地址信息模块201,用于确定接收当前业务操作信息所基于的中间设备的地址信息。
数据统计处理模块202,用于确定第一历史时间段内通过所述地址信息访问该服务器的账户的数量以及终端的数量。
风险级别模块203,用于根据确定出的所述账户的数量、终端的数量,确定所述地址信息的风险级别。
监控模块204,用于根据确定出的该地址信息对应的风险级别,确定对所述当前业务操作信息的监控级别,并根据所述监控级别对所述当前业务操作信息进行监控。
所述风险级别模块203,具体用于根据所述账户的数量与终端的数量,确定所述账户的数量与终端的数量之间的关系参考值,根据预设的各风险级别与各关系参考值的对应关系,确定所述账户的数量与终端的数量之间的关系参考值对应的风险级别,并将确定出的风险级别,确定为所述地址信息的风险级别;
其中,所述关系参考值包括差值、比值中的至少一种。
所述风险级别模块203,具体用于确定所述账户的数量与终端的数量之间的关系参考值所落入的关系参考值范围,将确定的所述关系参考值范围对应的风险级别,确定为所述账户的数量与终端的数量之间的关系参考值对应的风险级别。
在本申请实施例中的一种方式,所述风险级别模块203,具体用于预先通过以下方法确定所述关系参考值范围:
获取在不同的第二历史时间段内基于所述地址信息接收到的历史业务操作信息,以及在不同的第二历史时间段内,基于所述地址信息访问所述服务器的所有终端的历史数量、账户的历史数量;其中,所述历史业务操作信息中包含已识别的正常操作信息和风险操作信息;根据获取到的不同第二历史时间段内的终端的历史数量以及账户的历史数量,确定各第二历史时间段分别对应的所述账户的历史数量与终端的历史数量之间的各历史关系参考值,根据确定出的各历史时间段对应的各历史关系参考值,以及各历史时间段内的风险操作信息的数量,确定相同的历史关系参考值对应的风险操作占比,根据预先划分的各风险操作占比区间,分别确定落入预先划分的各风险操作占比区间内的风险操作占比,分别确定落入每一风险操作占比区间内的风险操作占比对应的历史关系参考值,形成关系参考值范围。
而在本申请实施例中的另一种方式下,所述风险级别模块203,具体用于预先通过以下方法确定所述关系参考值范围:
获取基于不同的样本地址信息接收到的所有历史业务操作信息,以及在历史上基于每一样本地址信息访问所述服务器的终端的历史数量、账户的历史数量;其中,所述历史业务操作信息中包含已识别的正常操作信息和风险操作信息;根据获取到的各样本地址信息的终端的历史数量和账户的历史数量,确定每个样本地址信息分别对应的账户的历史数量与终端的历史数量之间的各历史关系参考值,根据每一样本地址信息分别对应的风险操作信息的数量,统计每一样本地址信息的历史关系参考值分别对应的风险操作占比,根据预先划分的各风险操作占比区间,分别确定落入预先划分的各风险操作占比区间内的风险操作占比,分别确定落入每一风险操作占比区间内各样本地址信息的风险操作占比对应的历史关系参考值,形成关系参考值范围。
所述地址信息包括中间设备的MAC地址;其中,所述中间设备包括但不限于交换机、无线路由器等。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (12)
1.一种风险监控方法,其特征在于,包括:
服务器确定接收当前业务操作信息所基于的中间设备的地址信息;
确定第一历史时间段内通过所述地址信息访问该服务器的账户的数量以及终端的数量;
根据确定出的所述账户的数量、终端的数量,确定所述地址信息的风险级别;
根据确定出的该地址信息对应的风险级别,确定对所述当前业务操作信息的监控级别,并根据所述监控级别对所述当前业务操作信息进行监控。
2.如权利要求1所述的方法,其特征在于,根据确定出的所述账户的数量、终端的数量,确定所述地址信息的风险级别,具体包括:
根据所述账户的数量与终端的数量,确定所述账户的数量与终端的数量之间的关系参考值;
根据预设的各风险级别与各关系参考值的对应关系,确定所述账户的数量与终端的数量之间的关系参考值对应的风险级别,并将确定出的风险级别,确定为所述地址信息的风险级别;
其中,所述关系参考值包括差值、比值中的至少一种。
3.如权利要求2所述的方法,其特征在于,根据预设的各风险级别与各关系参考值的对应关系,确定所述账户的数量与终端的数量之间的关系参考值对应的风险级别,具体包括:
确定所述账户的数量与终端的数量之间的关系参考值所落入的关系参考值范围;
将确定的所述关系参考值范围对应的风险级别,确定为所述账户的数量与终端的数量之间的关系参考值对应的风险级别。
4.如权利要求3所述的方法,其特征在于,预先通过以下方法确定所述关系参考值范围:
获取在不同的第二历史时间段内基于所述地址信息接收到的历史业务操作信息,以及在不同的第二历史时间段内,基于所述地址信息访问所述服务器的所有终端的历史数量、账户的历史数量;其中,所述历史业务操作信息中包含已识别的正常操作信息和风险操作信息;
根据获取到的不同第二历史时间段内的终端的历史数量以及账户的历史数量,确定各第二历史时间段分别对应的所述账户的历史数量与终端的历史数量之间的各历史关系参考值;
根据确定出的各历史时间段对应的各历史关系参考值,以及各历史时间段内的风险操作信息的数量,确定相同的历史关系参考值对应的风险操作占比;
根据预先划分的各风险操作占比区间,分别确定落入预先划分的各风险操作占比区间内的风险操作占比;
分别确定落入每一风险操作占比区间内的风险操作占比对应的历史关系参考值,形成关系参考值范围。
5.如权利要求3所述的方法,其特征在于,预先通过以下方法确定所述关系参考值范围:
获取基于不同的样本地址信息接收到的所有历史业务操作信息,以及在历史上基于每一样本地址信息访问所述服务器的终端的历史数量、账户的历史数量;其中,所述历史业务操作信息中包含已识别的正常操作信息和风险操作信息;
根据获取到的各样本地址信息的终端的历史数量和账户的历史数量,确定每个样本地址信息分别对应的账户的历史数量与终端的历史数量之间的各历史关系参考值;
根据每一样本地址信息分别对应的风险操作信息的数量,统计每一样本地址信息的历史关系参考值分别对应的风险操作占比;
根据预先划分的各风险操作占比区间,分别确定落入预先划分的各风险操作占比区间内的风险操作占比;
分别确定落入每一风险操作占比区间内各样本地址信息的风险操作占比对应的历史关系参考值,形成关系参考值范围。
6.如权利要求1所述的方法,其特征在于,所述地址信息包括中间设备的MAC地址;
其中,所述中间设备包括交换机、路由器中的至少一种。
7.一种风险监控装置,其特征在于,包括:
地址信息模块,用于确定接收当前业务操作信息所基于的中间设备的地址信息;
数据统计处理模块,用于确定第一历史时间段内通过所述地址信息访问服务器的账户的数量以及终端的数量;
风险级别模块,用于根据确定出的所述账户的数量、终端的数量,确定所述地址信息的风险级别;
监控模块,用于根据确定出的该地址信息对应的风险级别,确定对所述当前业务操作信息的监控级别,并根据所述监控级别对所述当前业务操作信息进行监控。
8.如权利要求7所述的装置,其特征在于,所述风险级别模块,具体用于根据所述账户的数量与终端的数量,确定所述账户的数量与终端的数量之间的关系参考值,根据预设的各风险级别与各关系参考值的对应关系,确定所述账户的数量与终端的数量之间的关系参考值对应的风险级别,并将确定出的风险级别,确定为所述地址信息的风险级别;
其中,所述关系参考值包括差值、比值中的至少一种。
9.如权利要求8所述的装置,其特征在于,所述风险级别模块,具体用于确定所述账户的数量与终端的数量之间的关系参考值所落入的关系参考值范围,将确定的所述关系参考值范围对应的风险级别,确定为所述账户的数量与终端的数量之间的关系参考值对应的风险级别。
10.如权利要求9所述的装置,其特征在于,所述风险级别模块,具体用于预先通过以下方法确定所述关系参考值范围:
获取在不同的第二历史时间段内基于所述地址信息接收到的历史业务操作信息,以及在不同的第二历史时间段内,基于所述地址信息访问所述服务器的所有终端的历史数量、账户的历史数量;其中,所述历史业务操作信息中包含已识别的正常操作信息和风险操作信息;根据获取到的不同第二历史时间段内的终端的历史数量以及账户的历史数量,确定各第二历史时间段分别对应的所述账户的历史数量与终端的历史数量之间的各历史关系参考值,根据确定出的各历史时间段对应的各历史关系参考值,以及各历史时间段内的风险操作信息的数量,确定相同的历史关系参考值对应的风险操作占比,根据预先划分的各风险操作占比区间,分别确定落入预先划分的各风险操作占比区间内的风险操作占比,分别确定落入每一风险操作占比区间内的风险操作占比对应的历史关系参考值,形成关系参考值范围。
11.如权利要求9所述的装置,其特征在于,所述风险级别模块,具体用于预先通过以下方法确定所述关系参考值范围:
获取基于不同的样本地址信息接收到的所有历史业务操作信息,以及在历史上基于每一样本地址信息访问所述服务器的终端的历史数量、账户的历史数量;其中,所述历史业务操作信息中包含已识别的正常操作信息和风险操作信息;根据获取到的各样本地址信息的终端的历史数量和账户的历史数量,确定每个样本地址信息分别对应的账户的历史数量与终端的历史数量之间的各历史关系参考值,根据每一样本地址信息分别对应的风险操作信息的数量,统计每一样本地址信息的历史关系参考值分别对应的风险操作占比,根据预先划分的各风险操作占比区间,分别确定落入预先划分的各风险操作占比区间内的风险操作占比,分别确定落入每一风险操作占比区间内各样本地址信息的风险操作占比对应的历史关系参考值,形成关系参考值范围。
12.如权利要求7所述的装置,其特征在于,所述地址信息包括中间设备的MAC地址;
其中,所述中间设备包括交换机、路由器中的至少一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510651575.4A CN106572056B (zh) | 2015-10-10 | 2015-10-10 | 一种风险监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510651575.4A CN106572056B (zh) | 2015-10-10 | 2015-10-10 | 一种风险监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106572056A CN106572056A (zh) | 2017-04-19 |
| CN106572056B true CN106572056B (zh) | 2019-07-12 |
Family
ID=58507325
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510651575.4A Active CN106572056B (zh) | 2015-10-10 | 2015-10-10 | 一种风险监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106572056B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234449A (zh) * | 2017-12-07 | 2018-06-29 | 深圳市买买提信息科技有限公司 | 登陆请求处理方法、服务器及计算机可读存储介质 |
| CN108932582B (zh) * | 2018-06-13 | 2022-06-03 | 平安科技(深圳)有限公司 | 风险信息确定方法、装置、计算机设备和存储介质 |
| CN111212019B (zh) * | 2018-11-22 | 2022-09-02 | 阿里巴巴集团控股有限公司 | 用户账户的访问控制方法、装置及设备 |
| CN109754202A (zh) * | 2018-12-05 | 2019-05-14 | 深圳市闻迅数码科技有限公司 | 一种船舶管理方法、船舶管理装置及计算机可读存储介质 |
| CN110245954B (zh) * | 2019-05-27 | 2023-06-27 | 创新先进技术有限公司 | 用于风险控制的方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1700658A (zh) * | 2005-06-21 | 2005-11-23 | 广东省电信有限公司研究院 | 一种垃圾邮件服务器的检测与定位方法 |
| CN103886495A (zh) * | 2013-09-30 | 2014-06-25 | 上海本家空调系统有限公司 | 一种基于网络交易的监控方法及系统 |
| US9118646B2 (en) * | 2004-06-14 | 2015-08-25 | Iovation, Inc. | Network security and fraud detection system and method |
-
2015
- 2015-10-10 CN CN201510651575.4A patent/CN106572056B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9118646B2 (en) * | 2004-06-14 | 2015-08-25 | Iovation, Inc. | Network security and fraud detection system and method |
| CN1700658A (zh) * | 2005-06-21 | 2005-11-23 | 广东省电信有限公司研究院 | 一种垃圾邮件服务器的检测与定位方法 |
| CN103886495A (zh) * | 2013-09-30 | 2014-06-25 | 上海本家空调系统有限公司 | 一种基于网络交易的监控方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106572056A (zh) | 2017-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106572056B (zh) | 一种风险监控方法及装置 | |
| CN107046550B (zh) | 一种异常登录行为的检测方法及装置 | |
| CN104348809B (zh) | 网络安全监控方法及系统 | |
| CN104519018B (zh) | 一种防止针对服务器的恶意请求的方法、装置和系统 | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| US9601000B1 (en) | Data-driven alert prioritization | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN109698809B (zh) | 一种账号异常登录的识别方法及装置 | |
| CN110232010A (zh) | 一种告警方法、告警服务器及监控服务器 | |
| CN107426202B (zh) | 一种自动化测试waf拦截规则的方法 | |
| CN104346365A (zh) | 确定与特定业务相关的关联日志的方法和装置 | |
| CN102769549A (zh) | 网络安全监控的方法和装置 | |
| CN105516133A (zh) | 用户身份的验证方法、服务器及客户端 | |
| CN102855588A (zh) | 交易数据检测方法、装置及服务器 | |
| CN109525484A (zh) | 风险识别处理方法和装置 | |
| CN107483381A (zh) | 关联账户的监控方法及装置 | |
| CN106034054A (zh) | 冗余访问控制列表acl规则文件检测方法和装置 | |
| CN106131078A (zh) | 一种处理业务请求的方法及装置 | |
| CN107577550B (zh) | 一种确定访问请求的响应是否异常的方法及装置 | |
| CN110049028A (zh) | 监控域控管理员的方法、装置、计算机设备及存储介质 | |
| CN109474623B (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
| CN109241282A (zh) | 一种报警信息汇聚方法及装置 | |
| CN104219219B (zh) | 一种数据处理的方法、服务器及系统 | |
| CN106101117B (zh) | 一种钓鱼网站阻断方法、装置和系统 | |
| CN114765584A (zh) | 一种用户行为监测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200925 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Patentee after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Patentee before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20200925 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Patentee after: Advanced innovation technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Patentee before: Alibaba Group Holding Ltd. |
|
| TR01 | Transfer of patent right |