CN107659562A - 一种挖掘恶意登录账号的方法及装置 - Google Patents
一种挖掘恶意登录账号的方法及装置 Download PDFInfo
- Publication number
- CN107659562A CN107659562A CN201710807693.9A CN201710807693A CN107659562A CN 107659562 A CN107659562 A CN 107659562A CN 201710807693 A CN201710807693 A CN 201710807693A CN 107659562 A CN107659562 A CN 107659562A
- Authority
- CN
- China
- Prior art keywords
- model
- sampling
- logon data
- login account
- initialization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Investigation Of Foundation Soil And Reinforcement Of Foundation Soil By Compacting Or Drainage (AREA)
Abstract
本申请涉及计算机技术领域,尤其涉及一种挖掘恶意登录账号的方法及装置,用以解决现有技术中存在的挖掘恶意登录账号的准确率较低问题。本申请中,根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。不需要设定规则和阈值来对统计得到的以登录账号为依据的登录数据进行判定,降低了被攻击者破解的风险,而且,采用逻辑回归模型进行训练得到检测模型,并以该检测模型对待检测的登录账号对应的检测登录数据进行判定,可以便捷、准确的挖掘出恶意登录账号。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种挖掘恶意登录账号的方法及装置。
背景技术
现有的网站管理过程中,每个登录操作都可以通过日志进行记录。其中,日志记录的信息有:登录时间、登录方式、登录设备、登录地址、登录浏览器、登录请求时长、登录结果和登录帐号等信息。然而,并不是每个登录操作都是合法的,在大量的登录请求中,可能存在一些非法的恶意登录请求,而为了便于网站管理,需要通过各种手段挖掘出夹杂的恶意请求。
目前,一种较为常用的恶意请求的鉴别方法,是通过挖掘恶意请求的登录账号来实现的。具体地,通过统计预设时长内各登录账号对应的登录请求数量、登录IP数量等数据,依据一定的规则对数据进行统计计算之后,根据阈值挖掘发出恶意登录请求的登录账号,作为恶意登录账号。
然而,由于现有的挖掘恶意登录账号的方案的执行依赖规则和阈值的设定,易被攻击者破解,而且,易误伤非恶意登录账号,进而,导致挖掘恶意登录账号的准确率较低。
发明内容
本申请实施例提供一种挖掘恶意登录账号的方法及装置,用以解决现有技术中存在的挖掘恶意登录账号的准确率较低问题。
本申请实施例采用下述技术方案:
一种挖掘恶意登录账号的方法,包括:
根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
可选地,根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型,具体包括:
采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型。
可选地,采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型,具体包括:
将所述预设模型初始化参数组以及所述采样登录数据代入初始化模型;
利用梯度下降法对所述初始化模型进行训练,确定一个检测模型。
可选地,采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型,具体包括:
采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型;
根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测,选取准确率最高的初级模型作为检测模型。
可选地,采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型,具体包括:
依次对预设数目个模型初始化参数组分别执行以下操作:
将所述模型初始化参数组以及所述采样登录数据代入初始化模型;
利用梯度下降法对所述初始化模型进行训练,确定初级模型。
可选地,根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测,具体包括:
确定采样日志集合中除所述部分登录账号以外的其他登录账号;
分别统计所述其他登录账号对应的子采样登录数据;
针对每个初级模型,将所述其他登录账号对应的子采样登录数据中除登录结果以外的采样登录数据分别代入初级模型,并根据每个其他登录账号对应的检测结果确定该初级模型的检测准确率。
可选地,所述预设数目个模型初始化参数组通过以下方式确定:
以模型初始化参数组的默认取值范围的整数倍作为待选取的取值范围,从中随机选取预设数目个模型初始化参数组;或者,
对模型初始化参数组的默认取值范围进行正态分布处理得到待选取的取值范围,从中随机选取预设数目个模型初始化参数组。
一种挖掘恶意登录账号的装置,包括:
确定单元,用于根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
挖掘单元,用于采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
可选地,所述确定单元,具体用于:
采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型。
可选地,所述确定单元,在采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型时,具体用于:
将所述预设模型初始化参数组以及所述采样登录数据代入初始化模型;
利用梯度下降法对所述初始化模型进行训练,确定一个检测模型。
可选地,所述确定单元,在采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型时,具体用于:
采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型;
根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测,选取检测准确率最高的初级模型作为检测模型。
可选地,所述确定单元,在采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型时,具体用于:
依次对预设数目个模型初始化参数组分别执行以下操作:
将所述模型初始化参数组以及所述采样登录数据代入初始化模型;
利用梯度下降法对所述初始化模型进行训练,确定初级模型。
可选地,所述确定单元,在根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测时,具体用于:
确定采样日志集合中除所述部分登录账号以外的其他登录账号;
分别统计所述其他登录账号对应的子采样登录数据;
针对每个初级模型,将所述其他登录账号对应的子采样登录数据中除登录结果以外的采样登录数据分别代入初级模型,并根据每个其他登录账号对应的检测结果确定该初级模型的检测准确率。
一种挖掘恶意登录账号的装置,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
通过上述技术方案,不需要设定规则和阈值来对统计得到的以登录账号为依据的登录数据进行判定,降低了被攻击者破解的风险,而且,采用初始化模型进行训练得到检测模型,并以该检测模型对待检测的登录账号对应的检测登录数据进行判定,可以便捷、准确的挖掘出恶意登录账号;此外,还可以得到多个初级模型,利用一部分与登录账号相关的采样登录数据对初级模型进行二次检测,从中确定出检测准确率高的初级模型作为检测模型,进一步提升挖掘恶意登录账号的准确率,因此,从整体上提升了挖掘恶意登录账号的效率。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种挖掘恶意登录账号的方法步骤示意图;
图2为本申请实施例提供的一种挖掘恶意登录账号的装置结构示意图;
图3为为本申请提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
实施例一
如图1所示,为本申请实施例提供的挖掘恶意登录账号的方法步骤示意图,该方法主要包括:
步骤11:根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型。
在本申请中,可采用网络爬虫技术或者其他数据收集方式,采集一些历史日志(即登录日志文件)数据整合为采样日志集合;每条日志中包含:登录时间、登录方式、登录设备、登录IP、登录浏览器、登录请求时长、登录结果和登录帐号等登录信息。
其中,与采样日志集合中的登录账号相关的采样登录数据,可以理解为以登录账号作为统计依据得到的采样登录数据,例如,与登录账号1相关的采样登录数据可以包含:发出请求次数、登录IP个数、登录成功比例等。
本申请中的检测模型,主要是基于逻辑回归模型进行训练处理得到的。逻辑回归模型常用于数据挖掘、疾病自动诊断、经济预测等领域。该模型具有学习能力,在采用相关数据对逻辑回归模型进行训练之后,逻辑回归模型对待处理数据进行概率预测或是非判断。其实,若其他类似模型合适,也不排除使用其他模型进行类似处理的方案。
可选地,在本申请中,步骤11在具体实现时,可执行为:采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型。
在本申请中,可存在以下两种关于检测模型的确定方式,以初始化模型为逻辑回归模型为例:
方式一:根据一个模型初始化参数组确定一个检测模型
第一步,将所述预设模型初始化参数组以及所述采样登录数据代入逻辑回归模型。
第二步,利用梯度下降法对所述逻辑回归模型进行训练,确定一个检测模型。
方式二:根据多个模型初始化参数组确定一个检测模型
第一步,采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型;
第二步,根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测,选取准确率最高的初级模型作为检测模型。
在具体实现时,方式二的第一步可具体操作为:依次对预设数目个模型初始化参数组分别执行方式一的操作:将所述模型初始化参数组以及所述采样登录数据代入逻辑回归模型;利用梯度下降法对所述逻辑回归模型进行训练,确定初级模型。
其实,在本申请中,无论方式一还是方式二中的第一步,都可以参照以下逻辑回归模型公式(1)进行处理,
其中,hθ(x)为检测输出结果,即在进行逻辑回归模型训练时,定义的一种输出结果,例如,针对合法IP,该输出结果可定义为1,针对恶意IP,该输出结果可定义为0。其具体的输出值需要在进行训练时调试,也不限定为1或0,还可以为其他代表合法IP或恶意IP的数值。θ为公式参数向量,θT表示该公式参数向量的转秩,xi表示第i条采样登录数据。该逻辑回归模型是一个初始化的模型,需要根据采样登录数据进行多次训练得到合适的公式参数向量θ,从而,确定出检测用的逻辑回归模型。其中,公式参数向量θ可通过以下梯度下降公式进行确定:
其中,θj是公式参数向量θ的向量分量,α为学习率,m为采样登录数据的条数,yi为第i条采样登录数据的人为判断结果(0或1),为第i条采样登录数据的第j个向量分量,λθj为正则项,λ为常数。
上述公式(2)为梯度下降公式,对每一个θj不断执行上式,使得所有的θj会收敛于全局最优解。换言之,当训练完成后,得到的是最符合训练集的公式参数向量θ。该公式参数向量θ与模型参数组[λ,α,it]是不同的,其中,it是指算法执行次数。在模型训练过程中,算法执行次数it与常数λ都需要人为调整,以得到合适的检测模型,进而,在利用检测模型进行检测时的准确率也会提高。
可选地,在本申请中,预设数目个模型初始化参数组通过以下方式确定:
方式一:以模型初始化参数组的默认取值范围的整数倍作为待选取的取值范围,从中随机选取预设数目个模型初始化参数组;例如,假设模型初始化参数组的默认取值范围为:η=[λ,α,it]∈(η1,η2),可将其调整为N的整数倍:η=[λ,α,it]∈(Nη1,Nη2),从调整后的取值范围中随机选取预设数目个模型初始化参数组。
方式二:对模型初始化参数组的默认取值范围进行正态分布处理得到待选取的取值范围,从中随机选取预设数目个模型初始化参数组;例如,对模型初始化参数组的默认取值范围:η=[λ,α,it]∈(η1,η2)进行正态分布处理,进行方差、平均值的处理,得到一个新的取值范围,从该新的取值范围中选取预设数目个模型初始化参数组。
针对方式一而言,在利用上述公式(1)和公式(2)确定出检测模型之后,就可以执行步骤12。
针对方式二而言,在利用上述公式(1)和公式(2)确定出多个初级模型之后,还需要根据一定规则从这多个初级模型中选取出一个作为最佳的检测模型。具体地,参照方式二的第二步,根据预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测。
而方式二的第二步在具体实现时,可执行为:确定采样日志集合中除所述部分登录账号以外的其他登录账号;分别统计所述其他登录账号对应的子采样登录数据;针对每个初级模型,将所述其他登录账号对应的子采样登录数据中除登录结果以外的采样登录数据分别代入初级模型,并根据每个其他登录账号对应的检测结果确定该初级模型的检测准确率。
将其他登录账号对应的子采样登录数据进行类似于部分登录账号对应的子采样登录数据的处理,分别代入每个初级模型中,从而得到每个初级模型对登录账号进行检测的结果,将该结果与登录账号的实际合法性进行比对,若比对一致,表示该初级模型检测正确;并统计每个初级模型分别对每个登录账号对应的采样登录数据进行检测的结果的准确率,选取准确率最高的初级模型作为检测模型。可见,该步骤能够保证确定出的检测模型具备较优的检测准确率,相比于现有技术而言,提升了检测准确率,进而提升挖掘恶意登录账号的准确率。
步骤12:采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
具体地,在确定出检测准确率较高的检测模型之后,可将与待检测日志集合中的登录账号相关的检测登录数据代入该检测模型中,并根据每个登录账号对应的检测登录数据输出的结果,确定该登录账号是否为恶意登录账号。其中该待检测日志集合中的登录账号相关的检测登录数据不同于采样日志集合中的采样登录数据,采样登录数据是在得知了登录账号是否为恶意登录账号之后的采样数据,而检测登录数据并不了解登录账号是否为恶意登录账号,是需要通过该检测模型进行检测,并通过输出结果进行判定的。假设在进行检测模型的训练时,定义输出1为合法登录账号,而输出结果0为恶意登录账号,则根据检测结果的输出为0或1来判定是否为恶意登录账号。
需要说明的是,在本申请中,并不对采样日志集合确定的采样登录数据中,部分登录账号对应的子采样登录数据与其他登录账号对应的子采样登录数据的条数进行限定,可以相同,也可以不同;例如,部分登录账号对应的子采样登录数据的条数与其他登录账号对应的子采样登录数据的条数之比为2:3。
下面通过具体的实例对本申请技术方案进行详述。
假设,获取到采样登录日志并以下面的简化版用户模型进行展示:
根据以上用户模型,利用编程的方法编写向量化模块,该向量化模块的功能是把上述的用户模型中的采样登录数据转化为向量的形式。举例来说,对于上例模型,可以提取的登录数据有entry的个数(3),device的个数(3),loc的值(5),最近6个月改密码次数(2),关注数量(99),0-4点发帖数(23),4-8点发帖数(23),8-12点发帖数(12),12-16点发帖数(3),16-20点发帖数(0),20-24点发帖数(2),最后得到代表用户账号为23142的采样登录数据的向量:{3,3,5,2,99,23,23,12,3,0,2}。
筛选出部分包含正常账户和恶意账户的采样登录数据作为训练使用的数据,利用向量化模块将采样登录数据转化成向量,然后训练逻辑回归模型。并设定结果y为恶意(1)或非恶意(0);把这一部分向量数据在python中表示为X1,y是输出。然后输入:
model=LogisticRegression()
model.fit(X1,y)
其中,第一句代码的意思是选择了逻辑回归作为模型。第二句是把确定的向量输入到检测模型里。从而可以利用这些数据对逻辑回归进行训练。训练过的模型可以对其他的未知y的模型数据进行预测。
利用检测模型挖掘恶意账户。把待检测的登录账号的用户模型做向量化处理,并输入训练好的模型,并得到对每个用户的判断结果。把所有用户模型向量化并表示为X2,然后在Python中输入如下的代码:
predicted=model.predict(X2)
这句代码能够根据已有的逻辑回归模型对X2做判断,即判断X2中的每一个用户模型是否为恶意用户。这样Predicted就存放了X2中的所有登录账号以及其对应的合法性结构。
通过上述技术方案,不需要设定规则和阈值来对统计得到的以登录账号为依据的登录数据进行判定,降低了被攻击者破解的风险,而且,采用逻辑回归模型进行训练得到检测模型,并以该检测模型对待检测的登录账号对应的检测登录数据进行判定,可以便捷、准确的挖掘出恶意登录账号;此外,还可以得到多个初级模型,利用一部分与登录账号相关的采样登录数据对初级模型进行二次检测,从中确定出检测准确率高的初级模型作为检测模型,进一步提升挖掘恶意登录账号的准确率,因此,从整体上提升了挖掘恶意登录账号的效率。
与上述实施例一属于同一发明构思,本申请实施例二提供了一种挖掘恶意登录账号的装置。
实施例二
如图2所示,为本申请实施例提供的一种挖掘恶意登录账号的装置结构示意图,该装置主要包括:
确定单元21,用于根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
挖掘单元22,用于采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
可选地,所述确定单元21,具体用于:采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型。
可选地,所述确定单元21,在采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型时,具体用于:将所述预设模型初始化参数组以及所述采样登录数据代入初始化模型;利用梯度下降法对所述初始化模型进行训练,确定一个检测模型。
可选地,所述确定单元21,在采用预设模型初始化参数组,对所述采样登录数据进行训练,确定检测模型时,具体用于:采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型;根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测,选取检测准确率最高的初级模型作为检测模型。
可选地,所述确定单元21,在采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型时,具体用于:依次对预设数目个模型初始化参数组分别执行以下操作:将所述模型初始化参数组以及所述采样登录数据代入初始化模型;利用梯度下降法对所述初始化模型进行训练,确定初级模型。
可选地,所述确定单元21,在根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测时,具体用于:确定采样日志集合中除所述部分登录账号以外的其他登录账号;分别统计所述其他登录账号对应的子采样登录数据;针对每个初级模型,将所述其他登录账号对应的子采样登录数据中除登录结果以外的采样登录数据分别代入初级模型,并根据每个其他登录账号对应的检测结果确定该初级模型的检测准确率。
实施例三
此外,本申请还提供了电子设备的结构示意图,参照图3所示,在硬件层面,该电子设备包括处理器31,可选地还包括内部总线32、网络接口33、存储器34。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器34,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器34可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器31从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成挖掘恶意登录账号的装置。处理器31,用于执行存储器所存放的程序,并具体用于执行以下操作:
根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的电子设备执行时,能够使该电子设备执行图3所示实施例中挖掘恶意登录账号的装置执行的方法,并具体用于执行:
根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (15)
1.一种挖掘恶意登录账号的方法,其特征在于,包括:
根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
2.如权利要求1所述的方法,其特征在于,根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型,具体包括:
采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型。
3.如权利要求2所述的方法,其特征在于,采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型,具体包括:
将所述预设模型初始化参数组以及所述采样登录数据代入初始化模型;
利用梯度下降法对所述初始化模型进行训练,确定一个检测模型。
4.如权利要求2所述的方法,其特征在于,采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型,具体包括:
采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型;
根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测,选取检测准确率最高的初级模型作为检测模型。
5.如权利要求4所述的方法,其特征在于,采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型,具体包括:
依次对预设数目个模型初始化参数组分别执行以下操作:
将所述模型初始化参数组以及所述采样登录数据代入初始化模型;
利用梯度下降法对所述初始化模型进行训练,确定初级模型。
6.如权利要求4所述的方法,其特征在于,根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测,具体包括:
确定采样日志集合中除所述部分登录账号以外的其他登录账号;
分别统计所述其他登录账号对应的子采样登录数据;
针对每个初级模型,将所述其他登录账号对应的子采样登录数据中除登录结果以外的采样登录数据分别代入初级模型,并根据每个其他登录账号对应的检测结果确定该初级模型的检测准确率。
7.如权利要求4-6所述的方法,其特征在于,所述预设数目个模型初始化参数组通过以下方式确定:
以模型初始化参数组的默认取值范围的整数倍作为待选取的取值范围,从中随机选取预设数目个模型初始化参数组;或者,
对模型初始化参数组的默认取值范围进行正态分布处理得到待选取的取值范围,从中随机选取预设数目个模型初始化参数组。
8.一种挖掘恶意登录账号的装置,其特征在于,包括:
确定单元,用于根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
挖掘单元,用于采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
9.如权利要求8所述的装置,其特征在于,所述确定单元,具体用于:
采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型。
10.如权利要求9所述的装置,其特征在于,所述确定单元,在采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型时,具体用于:
将所述预设模型初始化参数组以及所述采样登录数据代入初始化模型;
利用梯度下降法对所述初始化模型进行训练,确定一个检测模型。
11.如权利要求9所述的装置,其特征在于,所述确定单元,在采用所述采样登录数据,以及预设模型初始化参数组,对初始化模型进行训练,确定检测模型时,具体用于:
采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型;
根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测,选取准确率最高的初级模型作为检测模型。
12.如权利要求11所述的装置,其特征在于,所述确定单元,在采用所述采样登录数据中部分登录账号对应的子采样登录数据,以及预设数目个模型初始化参数组,对初始化模型进行训练,确定预设数目个初级模型时,具体用于:
依次对预设数目个模型初始化参数组分别执行以下操作:
将所述模型初始化参数组以及所述采样登录数据代入初始化模型;
利用梯度下降法对所述初始化模型进行训练,确定初级模型。
13.如权利要求11所述的装置,其特征在于,所述确定单元,在根据所述预设数目个初级模型,分别对所述采样登录数据中除所述部分登录账号以外的其他登录账号对应的子采样登录数据进行检测时,具体用于:
确定采样日志集合中除所述部分登录账号以外的其他登录账号;
分别统计所述其他登录账号对应的子采样登录数据;
针对每个初级模型,将所述其他登录账号对应的子采样登录数据中除登录结果以外的采样登录数据分别代入初级模型,并根据每个其他登录账号对应的检测结果确定该初级模型的检测准确率。
14.一种挖掘恶意登录账号的装置,其特征在于,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
根据与采样日志集合中的登录账号相关的采样登录数据,确定检测模型;
采用所述检测模型,对与待检测日志集合中的登录账号相关的检测登录数据进行检测,根据检测结果挖掘出恶意登录账号。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710807693.9A CN107659562A (zh) | 2017-09-08 | 2017-09-08 | 一种挖掘恶意登录账号的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710807693.9A CN107659562A (zh) | 2017-09-08 | 2017-09-08 | 一种挖掘恶意登录账号的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107659562A true CN107659562A (zh) | 2018-02-02 |
Family
ID=61129326
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710807693.9A Pending CN107659562A (zh) | 2017-09-08 | 2017-09-08 | 一种挖掘恶意登录账号的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107659562A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109344615A (zh) * | 2018-07-27 | 2019-02-15 | 北京奇虎科技有限公司 | 一种检测恶意命令的方法及装置 |
CN111177596A (zh) * | 2019-12-25 | 2020-05-19 | 微梦创科网络科技(中国)有限公司 | 一种基于lstm模型的url请求分类方法及装置 |
CN112149037A (zh) * | 2020-09-28 | 2020-12-29 | 微梦创科网络科技(中国)有限公司 | 基于逻辑回归的实时识别异常关注的方法及系统 |
CN112445785A (zh) * | 2019-08-30 | 2021-03-05 | 深信服科技股份有限公司 | 一种账号爆破检测方法及相关装置 |
CN113542227A (zh) * | 2021-06-18 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 账号安全防护方法、装置、电子装置和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060095248A1 (en) * | 2004-11-04 | 2006-05-04 | Microsoft Corporation | Machine translation system incorporating syntactic dependency treelets into a statistical framework |
CN105912500A (zh) * | 2016-03-30 | 2016-08-31 | 百度在线网络技术(北京)有限公司 | 机器学习模型生成方法和装置 |
CN107070940A (zh) * | 2017-05-03 | 2017-08-18 | 微梦创科网络科技(中国)有限公司 | 一种从流式登录日志中判断恶意登录ip地址的方法及装置 |
-
2017
- 2017-09-08 CN CN201710807693.9A patent/CN107659562A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060095248A1 (en) * | 2004-11-04 | 2006-05-04 | Microsoft Corporation | Machine translation system incorporating syntactic dependency treelets into a statistical framework |
CN105912500A (zh) * | 2016-03-30 | 2016-08-31 | 百度在线网络技术(北京)有限公司 | 机器学习模型生成方法和装置 |
CN107070940A (zh) * | 2017-05-03 | 2017-08-18 | 微梦创科网络科技(中国)有限公司 | 一种从流式登录日志中判断恶意登录ip地址的方法及装置 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109344615A (zh) * | 2018-07-27 | 2019-02-15 | 北京奇虎科技有限公司 | 一种检测恶意命令的方法及装置 |
CN109344615B (zh) * | 2018-07-27 | 2023-02-17 | 北京奇虎科技有限公司 | 一种检测恶意命令的方法及装置 |
CN112445785A (zh) * | 2019-08-30 | 2021-03-05 | 深信服科技股份有限公司 | 一种账号爆破检测方法及相关装置 |
CN112445785B (zh) * | 2019-08-30 | 2024-05-31 | 深信服科技股份有限公司 | 一种账号爆破检测方法及相关装置 |
CN111177596A (zh) * | 2019-12-25 | 2020-05-19 | 微梦创科网络科技(中国)有限公司 | 一种基于lstm模型的url请求分类方法及装置 |
CN111177596B (zh) * | 2019-12-25 | 2023-08-25 | 微梦创科网络科技(中国)有限公司 | 一种基于lstm模型的url请求分类方法及装置 |
CN112149037A (zh) * | 2020-09-28 | 2020-12-29 | 微梦创科网络科技(中国)有限公司 | 基于逻辑回归的实时识别异常关注的方法及系统 |
CN112149037B (zh) * | 2020-09-28 | 2024-03-19 | 微梦创科网络科技(中国)有限公司 | 基于逻辑回归的实时识别异常关注的方法及系统 |
CN113542227A (zh) * | 2021-06-18 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 账号安全防护方法、装置、电子装置和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107659562A (zh) | 一种挖掘恶意登录账号的方法及装置 | |
CN107046550A (zh) | 一种异常登录行为的检测方法及装置 | |
CN112800290B (zh) | 一种追溯数据获取方法、装置及设备 | |
CN108512827A (zh) | 异常登录的识别和监督学习模型的建立方法、装置 | |
CN107957957A (zh) | 测试用例的获取方法和装置 | |
CN108229963A (zh) | 用户操作行为的风险识别方法及装置 | |
WO2018072580A1 (zh) | 一种非法交易检测方法及装置 | |
CN110177108A (zh) | 一种异常行为检测方法、装置及验证系统 | |
CN108038052A (zh) | 自动化测试管理方法、装置、终端设备及存储介质 | |
CN107463878A (zh) | 基于深度学习的人体行为识别系统 | |
CN105550927A (zh) | 一种银行信贷系统风险评估方法及装置 | |
CN109766719A (zh) | 一种敏感信息检测方法、装置及电子设备 | |
EP3739524A1 (en) | Method and system for protecting a machine learning model against extraction | |
CN110300127A (zh) | 一种基于深度学习的网络入侵检测方法、装置以及设备 | |
CN107800683A (zh) | 一种挖掘恶意ip的方法及装置 | |
CN106790072A (zh) | 恶意登录地址识别方法及装置 | |
CN112711757B (zh) | 一种基于大数据平台的数据安全集中管控方法及系统 | |
CN107843812A (zh) | 一种配电网故障定位方法及装置 | |
CN116910707A (zh) | 基于设备历史记录的模型版权管理方法及系统 | |
CN106650446A (zh) | 基于系统调用的恶意程序行为识别方法和系统 | |
WO2018193085A1 (fr) | Système et procédé pour gérer la détection de fraudes dans un système de transactions financières | |
CN107347064A (zh) | 基于神经网络算法的云计算平台态势预测方法 | |
CN107256231A (zh) | 一种团队成员识别设备、方法及系统 | |
CN117370548A (zh) | 用户行为风险识别方法、装置、电子设备及介质 | |
CN112464295A (zh) | 基于电力边缘网关设备的维护通信安全装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180202 |
|
RJ01 | Rejection of invention patent application after publication |