CN108512827B - 异常登录的识别和监督学习模型的建立方法、装置,设备和存储介质 - Google Patents

异常登录的识别和监督学习模型的建立方法、装置,设备和存储介质 Download PDF

Info

Publication number
CN108512827B
CN108512827B CN201810136297.2A CN201810136297A CN108512827B CN 108512827 B CN108512827 B CN 108512827B CN 201810136297 A CN201810136297 A CN 201810136297A CN 108512827 B CN108512827 B CN 108512827B
Authority
CN
China
Prior art keywords
learning model
unsupervised learning
login data
judgment result
historical login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810136297.2A
Other languages
English (en)
Other versions
CN108512827A (zh
Inventor
彭剑龙
肖锋
朱健超
黄伟胜
张颖
潘浩
高保庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianyi Digital Life Technology Co Ltd
Original Assignee
CENTURY DRAGON INFORMATION NETWORK CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CENTURY DRAGON INFORMATION NETWORK CO LTD filed Critical CENTURY DRAGON INFORMATION NETWORK CO LTD
Priority to CN201810136297.2A priority Critical patent/CN108512827B/zh
Publication of CN108512827A publication Critical patent/CN108512827A/zh
Application granted granted Critical
Publication of CN108512827B publication Critical patent/CN108512827B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Image Analysis (AREA)
  • Probability & Statistics with Applications (AREA)

Abstract

本发明涉及异常登录的识别和监督学习模型的建立方法、装置,属于网络技术领域。所述异常登录的识别方法包括:获取当前用户的登录数据;将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;所述监督学习模型是根据无监督学习模型输出的结果建立的;所述无监督学习模型是根据多个参考用户的历史登录数据建立的;根据所述安全识别结果确定当前用户是否为异常登录。上述技术方案,解决了通过固定规则对异常登录进行识别时准确率不高的问题,能通过建立好的模型对异常登录进行准确地识别,防止黑客绕过固化规则“漏洞”而盗取用户数据,可以有效保证用户的信息安全。

Description

异常登录的识别和监督学习模型的建立方法、装置,设备和存 储介质
技术领域
本发明涉及网络技术领域,特别是涉及异常登录的识别方法、装置、计算机设备、存储介质以及监督学习模型的建立方法、装置、计算机设备、存储介质。
背景技术
随着越来越多应用、网站等的出现,账号登录的安全性已经成为保证用户的个人数据、隐私甚至财产安全的重要因素。现有的主流账号体系中,比较常见的登录保障措施有:注册时,提示用户使用复杂密码(密码中加入特殊符号);使用错误密码登录时,前端弹出图像验证码等。在实现本发明过程中,发明人发现现有技术中至少存在如下问题:在保证优质的用户体验的前提下,账号的安全保障措施是非常有限或者说账号安全保障规则是非常“固化与死板”的。在某些情况下,用户乃至账号体系均无法判定此次登录是否异常。而不能准确识别异常登录会给用户信息带来安全隐患。
发明内容
基于此,本发明提供了异常登录的识别方法、装置、计算机设备和存储介质,能通过非固定规则对异常登录进行识别。
本发明实施例的内容如下:
一种异常登录的识别方法,包括以下步骤:获取当前用户的登录数据;将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;所述监督学习模型是根据无监督学习模型输出的结果建立的;所述无监督学习模型是根据多个参考用户的历史登录数据建立的;根据所述安全识别结果确定当前用户是否为异常登录。
在其中一个实施例中,所述将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果的步骤之前,还包括:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型;获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;若所述准确率不满足预设的条件,调整所述初始无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立。
在其中一个实施例中,所述完成无监督学习模型的建立的步骤之后,还包括:根据各个参考用户的历史登录数据以及所述无监督学习模型对各个参考用户的判断结果,建立监督学习模型。
在其中一个实施例中,还包括以下步骤:每隔预设的时间段重新获取多个参考用户的历史登录数据,根据重新获取的历史登录数据更新所述无监督学习模型;根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
在其中一个实施例中,所述根据所述安全识别结果确定当前用户是否为异常登录的步骤之后,还包括:获取对当前用户是否为异常登录的实际反馈结果,根据所述实际反馈结果和由所述监督学习模型确定的登录识别结果更新所述无监督学习模型;根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
在其中一个实施例中,所述将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果的步骤之后,还包括:若当前用户为异常登录,对所述当前用户执行预设的安全保障操作。
在其中一个实施例中,所述无监督学习模型为基于二分类机器学习算法的模型;所述监督学习模型为基于随机森林算法和/或孤立森林算法的模型。
相应的,本发明实施例提供一种异常登录的识别装置,包括:数据获取模块,用于获取当前用户的登录数据;识别模块,用于将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;所述监督学习模型是根据无监督学习模型输出的结果建立的;所述无监督学习模型是根据多个参考用户的历史登录数据建立的;以及,登录判断模块,用于根据所述安全识别结果确定当前用户是否为异常登录。
上述异常登录的识别方法及装置,获取当前用户的登录数据;将所述登录数据输入预先建立好的监督学习模型中,得到对所述当前用户的安全识别结果;根据所述安全识别结果确定当前用户是否为异常登录。同时,监督学习模型是根据无监督学习模型输出的结果建立的,该无监督学习模型是根据历史登录数据建立的,这些模型的建立由具体的用户登录数据确定,不同的登录数据确定的模型可能不同,通过尽可能多的数据得到的模型也会尽可能准确。因此,能通过非固定规则对异常登录进行准确地识别,防止黑客绕过固化规则的“漏洞”而盗取用户数据,可以有效保证用户的信息安全。
一种监督学习模型的建立方法,包括以下步骤:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立无监督学习模型;获取所述无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;若所述准确率不满足预设的条件,调整所述无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立;根据各个参考用户的历史登录数据以及无监督学习模型对各个参考用户的判断结果,建立用于根据用户的登录数据识别用户是否登录异常的监督学习模型。
相应的,本发明实施例提供一种监督学习模型的建立装置,包括:第三模型建立模块,用于获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立无监督学习模型;第二判断模块,用于获取所述无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;第二模型调整模块,用于若所述准确率不满足预设的条件,调整所述无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立;以及,第四模型建立模块,用于根据各个参考用户的历史登录数据以及无监督学习模型对各个参考用户的判断结果,建立用于根据用户的登录数据识别用户是否登录异常的监督学习模型。
上述监督学习模型的建立方法及装置,根据多个参考用户的历史登录数据建立无监督学习模型,该无监督学习模型能准确地对参考用户是否为异常登录进行识别;通过建立好的无监督学习模型输出的判断结果以及各个参考用户的历史登录数据建立监督学习模型。该监督学习模型输入的数据有较高准确率的无监督学习模型输出的。因此,能准确地根据用户的登录数据识别用户是否为异常登录,同时可以省去人工对监督学习模型的输入数据的判断过程,提高模型建立的效率。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:获取当前用户的登录数据;将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;所述监督学习模型是根据无监督学习模型输出的结果建立的;所述无监督学习模型是根据多个参考用户的历史登录数据建立的;根据所述安全识别结果确定当前用户是否为异常登录。
上述计算机设备,能通过非固定规则对异常登录进行准确地识别,防止黑客绕过固化规则的“漏洞”而盗取用户数据,可以有效保证用户的信息安全。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:获取当前用户的登录数据;将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;所述监督学习模型是根据无监督学习模型输出的结果建立的;所述无监督学习模型是根据多个参考用户的历史登录数据建立的;根据所述安全识别结果确定当前用户是否为异常登录。
上述计算机可读存储介质,能通过非固定规则对异常登录进行准确地识别,防止黑客绕过固化规则的“漏洞”而盗取用户数据,可以有效保证用户的信息安全。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立无监督学习模型;获取所述无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;若所述准确率不满足预设的条件,调整所述无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立;根据各个参考用户的历史登录数据以及无监督学习模型对各个参考用户的判断结果,建立用于根据用户的登录数据识别用户是否登录异常的监督学习模型。
上述计算机设备,能准确地根据用户的登录数据识别用户是否为异常登录,同时可以省去人工对监督学习模型的输入数据的判断过程,提高模型建立的效率。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立无监督学习模型;获取所述无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;若所述准确率不满足预设的条件,调整所述无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立;根据各个参考用户的历史登录数据以及无监督学习模型对各个参考用户的判断结果,建立用于根据用户的登录数据识别用户是否登录异常的监督学习模型。
上述计算机可读存储介质,能准确地根据用户的登录数据识别用户是否为异常登录,同时可以省去人工对监督学习模型的输入数据的判断过程,提高模型建立的效率。
附图说明
图1为一个实施例中异常登录的识别方法的应用环境图;
图2为一个实施例中异常登录的识别方法的流程示意图;
图3为另一个实施例中异常登录的识别方法的流程示意图;
图4为一个实施例中通过K-means聚类算法建立模型的流程示意图;
图5为一个实施例中K-means聚类算法建立的模型示意图;
图6为一个实施例中随机森林算法的流程示意图;
图7为一个实施例中异常登录的识别方法的具体应用实例图;
图8为一个实施例中监督学习模型的建立方法的流程示意图;
图9为一个实施例中异常登录的识别装置的结构框图;
图10为一个实施例中监督学习模型的建立装置的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
目前,多数互联网公司都拥有着自己的一套账号体系。然而,目前各种账号体系在保证优质的用户体验的条件下,对账号的安全保障措施非常有限,且账号的安全保障规则非常“固化与死板”。
在现有的主流账号体系中,常见的账号保障措施有:
a、注册时,提示用户使用复杂密码(密码中加入特殊符号);
b、登录时,若使用错误密码登录,前端弹出图像验证码;
c、登录时,同一账号使用错误密码登录到一定次数时,对该账号进行登录限制;
d、登录时,如果异地登录,提醒用户此次登录异常;
e、改密时,即使在成功登录的情况下,仍需进行身份验证;
f、邮件发送时,若发送垃圾邮件,进行拉黑处理。
从以上保障措施可以发现,现有的账号保障措施过于“规则化”。在某些情况下,用户乃至账号体系本身均无法判定此次登录是否异常。若无对用户实时登录进行正异常检测的能力,用户的个人数据、隐私资料甚至财产安全会时时收到巨大的威胁。
因此,本发明实施例提供一种异常登录的识别方法及装置和监督学习模型的建立方法及装置,以下分别进行详细说明。
本申请提供的异常登录的识别方法和监督学习模型的建立方法,可以应用于如图1所示的计算机设备中。该计算机设备可以是服务器,其内部结构图可以如图1所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库可以用于存储登录数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种异常登录的识别方法或监督学习模型的建立方法。
本领域技术人员可以理解,图1中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一实施例中,如图2所示,提供了一种异常登录的识别方法,包括以下步骤:
S210、获取当前用户的登录数据。
其中,登录可以为邮箱协议登录、非邮箱协议登录等登录方式,本发明实施例对登录的形式不做限制。
登录数据为用户登录某个应用、终端、系统、网站等时生成的数据。可以包括登录时间、登录地点、历史登录时间、历史登录地点以及其他的相关数据。用户可以指某个账号、IP地址,还可以为其他与登录相关的主体。
S220、将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;所述监督学习模型是根据无监督学习模型输出的结果建立的;所述无监督学习模型是根据多个参考用户的历史登录数据建立的。
可选地,参考用户是与当前用户相对应的用户,两者可以是登录某一应用的用户,如当前用户为登录微信的某一用户,参考用户为在此次登录之前登录微信的用户。当然,该参考用户的历史登录数据也可能包含当前用户之前登录时所生成的登录数据。
本发明实施例对参考用户的个数不做限制,能够使建立的无监督学习模型准确地对用户的登录数据进行分析并判断该用户是否为异常登录即可。
其中,安全识别结果为监督学习模型对输入的登录数据进行分析之后得出的结果,该结果对当前用户的登录数据属于正常类别或是异常类别进行了区分,根据该安全识别结果能确定出当前用户是否为异常登录。
在本步骤中,无监督学习模型是根据多个参考用户的历史登录数据建立的,因此,建立好的无监督学习模型可以整合这些参考用户的数据,较好地对未知的登录数据进行预测,实现对当前用户是否为异常登录的判断。
S230、根据所述安全识别结果确定当前用户是否为异常登录。
本步骤的安全识别结果准确地表征了当前用户的登录数据是否异常,根据这个安全识别结果即可确定当前用户是否为异常登录。
本实施例通过无监督学习算法和监督学习算法得出一个监督学习模型;该模型是综合多种数据通过监督学习建模得出的。该监督学习模型无固定的“安全”规则,是动态变更的,黑客无法通过绕过固化规则“漏洞”的方式盗取用户数据。因此,当有用户登录请求时,能够极为准确地通过监督学习模型鉴定此次登录是否异常。若判断用户为异常登录时则采取一定的安全保障措施,可以有效保证用户的信息安全。
在一实施例中,所述将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果的步骤之前,还包括:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型;获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;若所述准确率不满足预设的条件,调整所述初始无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立。
可选地,用户或参考用户可以为某一IP地址,登录数据为通过该IP地址进行登录时生成的相关数据。
可选地,分类算法为对数据进行分类的算法,该分类算法可以是二分类机器学习算法、决策树、最近邻分类算法、贝叶斯信念网络(BBN)、人工网络、 SVM支持向量机等分类算法。
可选地,对无监督学习模型进行调整的过程可以是模型自动调整的过程,也可以为控制该无监督学习模型进行调整的过程。
可选地,将登录数据和历史登录数据输入模型之前还包括提取其中的特征数据的步骤。这些特征数据能表征用户的特征,用这些特征数据来训练模型以及对用户登录情况进行预测,可以有效减少对无效数据进行分析的过程,提高异常登录识别过程的效率。
可选地,对无监督学习模型的判断结果准确率的分析过程可以包括:
(a)线下评估:
根据已有规则评估:根据黑产(或盗号者)的行为习惯及业务经验,总结出一套规则性的评定规则。根据该规则,可以确认模型的部分判断结果是否异常;以及人工审定:利用业务经验,按照一定规则进行抽样,对剩余的判断结果进行分析。
(b)线上评估:
进行线上分批使用,设置反馈渠道,验证反馈结果是否合理,进行判断结果的正确率进行评估。
经过线上、线下综合分析,进行无监督学习模型的判断结果准确率的评定。
本实施例实现的是:整合参考用户的历史登录数据并通过分类算法可以建立初始无监督学习模型,若初始无监督学习模型的准确率不满足要求,则不断调整该初始无监督学习模型。当该准确率满足预设的阈值条件时,表明该无监督学习模型可以准确地对用户是否为异常登录进行判断。该判断结果可以作为监督学习模型输入数据的标记,不需要人为地对监督学习模型输入的数据进行标记。根据该标记以及历史登录数据可以将监督学习模型训练成根据用户的登录数据识别用户是否登录异常的模型。整个过程不需要人为参与,且通过无监督学习模型即可得到监督学习模型的训练数据,可以有效提高建模的效率。
在一实施例中,所述完成无监督学习模型的建立的步骤之后,还包括:根据各个参考用户的历史登录数据以及所述无监督学习模型对各个参考用户的判断结果,建立监督学习模型。
可选地,建立监督学习模型时采用的历史登录数据可以是建立无监督学习模型时的所有历史登录数据,与可以是其中的一部分。
本实施例根据历史登录数据建立监督学习模型,该历史登录数据中带有无监督学习模型对各个参考用户是否为异常登录的标记结果,监督学习模型在结合历史登录数据和该标记结果以后能得到一个对用户是否为异常登录进行准确识别的模型。这样的实现方式可以有效提高监督学习模型的建立效率。
在一实施例中,还包括以下步骤:每隔预设的时间段重新获取多个参考用户的历史登录数据,根据重新获取的历史登录数据更新所述无监督学习模型;根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
监督学习模型是根据多个参考用户的历史登录数据建立的,但是随着用户的增加,判断用户是否为异常登录的维度可以会增加,而某些维度也可能需要删除。因此,需要定期对模型进行更新,使模型能及时地根据用户的实际情况做出准确的判断。
可选地,预设的时间段可以为1分钟、1小时、1天甚至多天,或者是其他时间。对模型进行更新还可以是非周期性的,或是随机的。如:在需要对模型进行更新时(如系统升级等),可以通过一定的操作直接对无监督学习模型和监督学习模型进行更新。
可选地,无监督学习模型和监督学习模型的更新也可以不是一起进行,如每隔1天对无监督学习模型更新一次,每隔2天对监督学习模型更新一次。
本实施例实现的是定期对无监督学习模型和监督学习模型进行更新的过程。通过重新获取的历史登录数据来训练优化这些模型,能使模型及时地对用户的实际情况进行反馈,得到最准确的识别模型。
在一实施例中,所述根据所述安全识别结果确定当前用户是否为异常登录的步骤之后,还包括:获取对当前用户是否为异常登录的实际反馈结果,根据所述实际反馈结果和由所述监督学习模型确定的登录识别结果更新所述无监督学习模型;根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
本实施例,根据当前用户的实际反馈结果以及登录识别结果来更新优化模型。这样更新得到的监督学习模型能反应每一个用户的情况,因此可以对未知登录数据进行更准确的预测。
在一实施例中,所述将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果的步骤之后,还包括:若当前用户为异常登录,对所述当前用户执行预设的安全保障操作。
其中,安全保障操作指的是在用户为异常登录时,对用户的登录进行限制、拉黑、记录等操作,目的是保护用户的安全不受侵害。
本实施例在识别到用户为异常登录时对用户的登录进行相应的安全保证操作,能有效保证用户以及用户信息的安全。
在一个实施例中,图3为异常登录的识别方法的具体流程示意图,如图3 所示,异常登录的识别方法包括以下步骤:
S310、获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型。
S320、获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率。
S330、若所述准确率不满足预设的条件,调整所述初始无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立。
S340、根据各个参考用户的历史登录数据以及所述无监督学习模型对各个参考用户的判断结果,建立监督学习模型。
S350、获取当前用户的登录数据。
S360、将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果。
S370、根据所述安全识别结果确定当前用户是否为异常登录。
本实施例能通过非固定规则对异常登录进行准确地识别,防止黑客绕过固化规则的“漏洞”而盗取用户数据,可以有效保证用户的信息安全。
在一实施例中,所述无监督学习模型为基于二分类机器学习算法的模型;所述监督学习模型为基于随机森林算法和/或孤立森林算法的模型。
可选地,二分类机器学习算法可以为BP神经网络、SVM支持向量机、 K-means聚类等算法。
K-means聚类算法属于无监督学习算法,是基于距离的聚类算法(一般使用欧式距离)。图4为K-means聚类算法的流程示意图,如图4所示,通过K-means 聚类算法建立模型的具体过程为:
1)设定聚类数k(k需指定),输入样本数据集;
2)从样本数据集中选取k个样本数据,作为初始中心点;
3)根据距离各簇中心的距离做预测,并根据k个中心点分类样本数据集D;
4)迭代处理,当各簇中心点不再明显变化时迭代结束,模型建立完成;
5)输出模型。
通过K-means聚类算法建立的模型示意图如图5所示。经过逐步的整合和调整,准确地确定了各簇的中心点。若图中右上角部分的点为正常登录数据,左下角的点为异常登录数据。建立好的无监督学习模型将正常登录数据和异常登录数据进行明显地区分,能够很好地对参考用户是否为异常登录进行区分。
随机森林算法和孤立森林算法(Isolation Forest)均可以检测特征数据的全局孤立点。随机森林算法的流程示意图如图6所示。随机森林是由多棵决策树构成的森林,每棵决策树都代表输入数据的其中一个特征维度,算法分类结果由这些决策树投票得到,决策树在生成的过程中分别在行方向和列方向上添加随机过程,行方向上构建决策树时采用放回抽样(bootstraping)得到训练数据,列方向上采用无放回随机抽样得到特征子集,并据此得到其最优切分点,这便是随机森林算法的基本原理。从图6可以看出,随机森林是一个组合模型,内部仍然是基于决策树。同单一的决策树分类不同的是,随机森林通过多个决策树的投票结果进行分类,算法不容易出现过度拟合的问题。经过不断地调整,最终能够对输入的数据进行准确地分类。
本实施例基于K-means聚类算法建立无监督学习模型,基于随机森林算法和/或孤立森林算法建立监督学习模型,通过这些算法建立的模型能够准确地对用户的登录数据进行分析并对用户是否为异常登录进行识别。
为了更好地理解上述方法,以下详细阐述一个本发明异常登录的识别方法的应用实例,具体应用实例如图7所示,详细说明如下:
1)无监督学习模型建设(K-means聚类算法):获取大量参考用户的历史登录数据,从中提取登录特征数据,使用特征数据进行无监督学习建模处理,建模完成后,输出其中的正常和异常IP数据;然后,对正常、异常IP数据进行准确率分析。若准确率低于99%,调整无监督学习模型,若准确率达到99%及以上时,完成无监督学习模型建设;
2)监督学习模型建设(随机森林算法):通过无监督学习模型分析出的正常、异常IP数据进行监督学习模型建设;然后,根据此模型随机对参考用户的历史登录数据进行分析,当分析准确率到99%及以上时,完成监督学习模型建设;
3)线上使用:获取当前登录IP的的登录数据,提取其中的特征数据,将这些特征数据输入建立好的监督学习模型中,监督学习模型确认此IP下的账号登录是否正常,若检测出异常,根据具体业务进行相应的安全保障处理;
4)优化:定期分析登录情况(结合具体账号的相关业务),观察是否有新增维度;同时根据用户反馈,对模型进行动态调整、优化。
在一实施例中,如图8所示,提供了一种监督学习模型的建立方法,包括以下步骤:
S810、获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立无监督学习模型。
S820、获取所述无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率。
S830、若所述准确率不满足预设的条件,调整所述无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立。
S840、根据各个参考用户的历史登录数据以及无监督学习模型对各个参考用户的判断结果,建立用于根据用户的登录数据识别用户是否登录异常的监督学习模型。
本实施例根据多个参考用户的历史登录数据建立无监督学习模型,该无监督学习模型能准确地对参考用户是否为安全登录进行识别;通过建立好的无监督学习模型输出的判断结果以及各个参考用户的历史登录数据建立监督学习模型。监督学习模型输入的数据是有高准确率的无监督学习模型输出的。因此,能准确地根据用户的登录数据识别用户是否为异常登录,同时可以省去人工对监督学习模型的训练数据的标记过程,提高模型建立的效率。
在一实施例中,所述无监督学习模型为基于二分类机器学习算法的模型;所述监督学习模型为基于随机森林算法和/或孤立森林算法的模型。
可选地,二分类机器学习算法可以为BP神经网络、SVM支持向量机、 K-means聚类等算法。
随机森林算法和孤立森林算法均可以检测特征数据的全局孤立点,通过确定全局孤立点可以建立对用户进行准确分析的模型。
本实施例基于K-means聚类算法建立无监督学习模型,基于随机森林算法和/或孤立森林算法建立监督学习模型,通过这些算法建立的模型能够准确地对用户的登录数据进行分析并对用户是否为异常登录进行识别。
需要说明的是,对于前述的各方法实施例,为了简便描述,将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其它顺序或者同时进行。
基于与上述实施例中的异常登录的识别方法相同的思想,本发明还提供异常登录的识别装置,该装置可用于执行上述异常登录的识别方法。为了便于说明,异常登录的识别装置实施例的结构示意图中,仅仅示出了与本发明实施例相关的部分,本领域技术人员可以理解,图示结构并不构成对装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
在一实施例中,如图9所述,提供了一种异常登录的识别装置。所述异常登录的识别装置包括数据获取模块910、识别模块920和登录判断模块930,详细说明如下:
数据获取模块910,用于获取当前用户的登录数据。
识别模块920,用于将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;所述监督学习模型是根据无监督学习模型输出的结果建立的;所述无监督学习模型是根据多个参考用户的历史登录数据建立的。
以及,登录判断模块930,用于根据所述安全识别结果确定当前用户是否为异常登录。
在一实施例中,所述异常登录的识别装置,还包括:第一模型建立模块,用于获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型;第一判断模块,用于获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;第一模型调整模块,用于若所述准确率不满足预设的条件,调整所述初始无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立。
在一实施例中,所述异常登录的识别装置,还包括:第二模型建立模块,用于根据各个参考用户的历史登录数据以及所述无监督学习模型对各个参考用户的判断结果,建立监督学习模型。
在一实施例中,所述异常登录的识别装置,还包括:第一模型更新模块,用于每隔预设的时间段重新获取多个参考用户的历史登录数据,根据重新获取的历史登录数据更新所述无监督学习模型;第二模型更新模块,用于根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
在一实施例中,所述异常登录的识别装置,还包括:第三模型更新模块,用于获取对当前用户是否为异常登录的实际反馈结果,根据所述实际反馈结果和由所述监督学习模型确定的登录识别结果更新所述无监督学习模型;第四模型更新模块,用于根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
在一实施例中,所述异常登录的识别装置,还包括操作执行模块,用于若当前用户为异常登录,对所述当前用户执行预设的安全保障操作。
在一实施例中,所述无监督学习模型为基于二分类机器学习算法的模型;所述监督学习模型为基于随机森林算法和/或孤立森林算法的模型。
在一实施例中,如图10所述,提供了一种监督学习模型的建立装置。如图 10所述,所述监督学习模型的建立装置包括第三模型建立模块101、第二判断模块102、第二模型调整模块103和第四模型建立模块104,详细说明如下:
第三模型建立模块101,用于获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立无监督学习模型。
第二判断模块102,用于获取所述无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率。
第二模型调整模块103,用于若所述准确率不满足预设的条件,调整所述无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立。
以及,第四模型建立模块104,用于根据各个参考用户的历史登录数据以及无监督学习模型对各个参考用户的判断结果,建立用于根据用户的登录数据识别用户是否登录异常的监督学习模型。
在一实施例中,所述无监督学习模型为基于二分类机器学习算法的模型;所述监督学习模型为基于随机森林算法和/或孤立森林算法的模型。
需要说明的是,本发明的异常登录的识别装置与本发明的异常登录的识别方法一一对应,在上述异常登录的识别方法的实施例阐述的技术特征及其有益效果均适用于异常登录的识别装置的实施例中;监督学习模型的建立装置与本发明的监督学习模型的建立方法一一对应,在上述监督学习模型的建立方法的实施例阐述的技术特征及其有益效果均适用于监督学习模型的建立装置的实施例中;具体内容可参见本发明方法实施例中的叙述,此处不再赘述,特此声明。
此外,上述示例的装置的实施方式中,各程序模块的逻辑划分仅是举例说明,实际应用中可以根据需要,例如出于相应硬件的配置要求或者软件的实现的便利考虑,将上述功能分配由不同的程序模块完成,即将所述异常登录的识别装置或监督学习模型的建立转置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分功能。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:获取当前用户的登录数据;将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;所述监督学习模型是根据无监督学习模型输出的结果建立的;所述无监督学习模型是根据多个参考用户的历史登录数据建立的;根据所述安全识别结果确定当前用户是否为异常登录。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:所述将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果的步骤之前,还包括:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型;获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;若所述准确率不满足预设的条件,调整所述初始无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:所述完成无监督学习模型的建立的步骤之后,还包括:根据各个参考用户的历史登录数据以及所述无监督学习模型对各个参考用户的判断结果,建立监督学习模型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:每隔预设的时间段重新获取多个参考用户的历史登录数据,根据重新获取的历史登录数据更新所述无监督学习模型;根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:所述根据所述安全识别结果确定当前用户是否为异常登录的步骤之后,还包括:获取对当前用户是否为异常登录的实际反馈结果,根据所述实际反馈结果和由所述监督学习模型确定的登录识别结果更新所述无监督学习模型;根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:所述将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果的步骤之后,还包括:若当前用户为异常登录,对所述当前用户执行预设的安全保障操作。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立无监督学习模型;获取所述无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;若所述准确率不满足预设的条件,调整所述无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立;根据各个参考用户的历史登录数据以及无监督学习模型对各个参考用户的判断结果,建立用于根据用户的登录数据识别用户是否登录异常的监督学习模型。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:获取当前用户的登录数据;将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;所述监督学习模型是根据无监督学习模型输出的结果建立的;所述无监督学习模型是根据多个参考用户的历史登录数据建立的;根据所述安全识别结果确定当前用户是否为异常登录。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤所述将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果的步骤之前,还包括:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型;获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;若所述准确率不满足预设的条件,调整所述初始无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:所述完成无监督学习模型的建立的步骤之后,还包括:根据各个参考用户的历史登录数据以及所述无监督学习模型对各个参考用户的判断结果,建立监督学习模型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:每隔预设的时间段重新获取多个参考用户的历史登录数据,根据重新获取的历史登录数据更新所述无监督学习模型;根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:所述根据所述安全识别结果确定当前用户是否为异常登录的步骤之后,还包括:获取对当前用户是否为异常登录的实际反馈结果,根据所述实际反馈结果和由所述监督学习模型确定的登录识别结果更新所述无监督学习模型;根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:所述将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果的步骤之后,还包括:若当前用户为异常登录,对所述当前用户执行预设的安全保障操作。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立无监督学习模型;获取所述无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述判断结果的准确率;若所述准确率不满足预设的条件,调整所述无监督学习模型;通过调整后的无监督学习模型重新判断各个参考用户是否为异常登录;直到无监督学习模型得到的准确率满足预设的条件,完成无监督学习模型的建立;根据各个参考用户的历史登录数据以及无监督学习模型对各个参考用户的判断结果,建立用于根据用户的登录数据识别用户是否登录异常的监督学习模型。
本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,作为独立的产品销售或使用。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA) 等。
本发明实施例的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或(模块)单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,不能理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种异常登录的识别方法,其特征在于,包括以下步骤:
获取当前用户的登录数据;
将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;
根据所述安全识别结果确定当前用户是否为异常登录;
所述监督学习模型的构建包括:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型;获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述初始无监督学习模型的判断结果的准确率;若所述初始无监督学习模型的判断结果的准确率不满足预设条件,调整所述初始无监督学习模型,得到调整后的初始无监督学习模型;获取所述调整后的初始无监督学习模型对各个参考用户是否为异常登录的判断结果,若所述调整后的初始无监督学习模型的判断结果的准确率满足所述预设条件,则将所述调整后的初始无监督学习模型作为构建完成的无监督学习模型;
获取由所述构建完成的无监督学习模型对待标记的历史登录数据的判断结果,将所述判断结果作为所述待标记的历史登录数据的标记,得到已标记的历史登录数据;根据所述已标记的历史登录数据,建立所述监督学习模型;
其中,所述判断结果表征所述待标记的历史登录数据属于正常的历史登录数据还是异常的历史登录数据。
2.根据权利要求1所述的异常登录的识别方法,其特征在于,还包括以下步骤:
每隔预设的时间段重新获取多个参考用户的历史登录数据,根据重新获取的历史登录数据更新所述无监督学习模型;
根据更新后的无监督学习模型输出的结果更新所述监督学习模型;
和/或,
所述根据所述安全识别结果确定当前用户是否为异常登录的步骤之后,还包括:
获取对当前用户是否为异常登录的实际反馈结果,根据所述实际反馈结果和由所述监督学习模型确定的登录识别结果更新所述无监督学习模型;
根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
3.根据权利要求1至2任一所述的异常登录的识别方法,其特征在于,所述将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果的步骤之后,还包括:
若当前用户为异常登录,对所述当前用户执行预设的安全保障操作;
和/或,
所述无监督学习模型为基于二分类机器学习算法的模型;
所述监督学习模型为基于随机森林算法和/或孤立森林算法的模型。
4.一种监督学习模型的建立方法,其特征在于,包括以下步骤:
获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型;
获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述初始无监督学习模型的判断结果的准确率;
若所述初始无监督学习模型的判断结果的准确率不满足预设条件,调整所述无监督学习模型,得到调整后的初始无监督学习模型;
获取所述调整后的初始无监督学习模型对各个参考用户是否为异常登录的判断结果;
若所述调整后的初始无监督学习模型的判断结果的准确率满足所述预设条件,则将所述调整后的初始无监督学习模型作为构建完成的无监督学习模型;
获取由所述构建完成的无监督学习模型对待标记的历史登录数据的判断结果,将所述判断结果作为所述待标记的历史登录数据的标记,得到已标记的历史登录数据;其中,所述判断结果表征所述待标记的历史登录数据属于正常的历史登录数据还是异常的历史登录数据;
根据所述已标记的历史登录数据,建立所述监督学习模型。
5.根据权利要求4所述的监督学习模型的建立方法,其特征在于,所述无监督学习模型为基于二分类机器学习算法的模型;所述监督学习模型为基于随机森林算法和/或孤立森林算法的模型。
6.一种异常登录的识别装置,其特征在于,包括:
数据获取模块,用于获取当前用户的登录数据;
识别模块,用于将所述登录数据输入监督学习模型中,得到对所述当前用户的安全识别结果;
以及,登录判断模块,用于根据所述安全识别结果确定当前用户是否为异常登录;
所述监督学习模型的构建包括:获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型;获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述初始无监督学习模型的判断结果的准确率;若所述初始无监督学习模型的判断结果的准确率不满足预设条件,调整所述初始无监督学习模型,得到调整后的初始无监督学习模型;获取所述调整后的初始无监督学习模型对各个参考用户是否为异常登录的判断结果,若所述调整后的初始无监督学习模型的判断结果的准确率满足所述预设条件,则将所述调整后的初始无监督学习模型作为构建完成的无监督学习模型;
获取由所述构建完成的无监督学习模型对待标记的历史登录数据的判断结果,将所述判断结果作为所述待标记的历史登录数据的标记,得到已标记的历史登录数据;根据所述已标记的历史登录数据,建立所述监督学习模型;
其中,所述判断结果表征所述待标记的历史登录数据属于正常的历史登录数据还是异常的历史登录数据。
7.根据权利要求6所述的异常登录的识别装置,其特征在于,还包括:第一模型更新模块,用于每隔预设的时间段重新获取多个参考用户的历史登录数据,根据重新获取的历史登录数据更新所述无监督学习模型;第二模型更新模块,用于根据更新后的无监督学习模型输出的结果更新所述监督学习模型;
和/或,
第三模型更新模块,用于获取对当前用户是否为异常登录的实际反馈结果,根据所述实际反馈结果和由所述监督学习模型确定的登录识别结果更新所述无监督学习模型;第四模型更新模块,用于根据更新后的无监督学习模型输出的结果更新所述监督学习模型。
8.一种监督学习模型的建立装置,其特征在于,包括:
第三模型建立模块,用于获取多个参考用户的历史登录数据,根据所述历史登录数据和分类算法建立初始无监督学习模型;
第二判断模块,用于获取所述初始无监督学习模型对各个参考用户是否为异常登录的判断结果,并确定所述初始无监督学习模型的判断结果的准确率;
第二模型调整模块,用于若所述初始无监督学习模型的判断结果的准确率不满足预设的条件,调整所述无监督学习模型,得到调整后的初始无监督学习模型;获取所述调整后的初始无监督学习模型对各个参考用户是否为异常登录的判断结果,若所述调整后的初始无监督学习模型的判断结果的准确率满足所述预设条件,则将所述调整后的初始无监督学习模型作为构建完成的无监督学习模型;
以及,第四模型建立模块,用于获取由所述构建完成的无监督学习模型对待标记的历史登录数据的判断结果,将所述判断结果作为所述待标记的历史登录数据的标记,得到已标记的历史登录数据;根据所述已标记的历史登录数据,建立所述监督学习模型;
其中,所述判断结果表征所述待标记的历史登录数据属于正常的历史登录数据还是异常的历史登录数据。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述的方法的步骤。
CN201810136297.2A 2018-02-09 2018-02-09 异常登录的识别和监督学习模型的建立方法、装置,设备和存储介质 Active CN108512827B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810136297.2A CN108512827B (zh) 2018-02-09 2018-02-09 异常登录的识别和监督学习模型的建立方法、装置,设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810136297.2A CN108512827B (zh) 2018-02-09 2018-02-09 异常登录的识别和监督学习模型的建立方法、装置,设备和存储介质

Publications (2)

Publication Number Publication Date
CN108512827A CN108512827A (zh) 2018-09-07
CN108512827B true CN108512827B (zh) 2021-09-21

Family

ID=63374948

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810136297.2A Active CN108512827B (zh) 2018-02-09 2018-02-09 异常登录的识别和监督学习模型的建立方法、装置,设备和存储介质

Country Status (1)

Country Link
CN (1) CN108512827B (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109583470A (zh) * 2018-10-17 2019-04-05 阿里巴巴集团控股有限公司 一种异常检测的解释特征确定方法和装置
TWI710922B (zh) * 2018-10-29 2020-11-21 安碁資訊股份有限公司 行為標記模型訓練系統及方法
TWI674777B (zh) * 2018-11-09 2019-10-11 財團法人資訊工業策進會 異常流量偵測裝置及其異常流量偵測方法
CN111177802B (zh) * 2018-11-09 2022-09-13 安碁资讯股份有限公司 行为标记模型训练系统及方法
CN109506963B (zh) * 2018-11-29 2019-09-03 中南大学 一种智能列车牵引故障大数据异常检测辨识方法
CN109784015B (zh) * 2018-12-27 2023-05-12 腾讯科技(深圳)有限公司 一种身份鉴别方法及装置
CN110008980B (zh) * 2019-01-02 2024-01-19 创新先进技术有限公司 识别模型生成方法、识别方法、装置、设备及存储介质
CN111651761B (zh) * 2019-03-04 2023-04-14 腾讯科技(深圳)有限公司 一种黑产电子设备检测方法、装置、服务器及存储介质
CN109947079A (zh) * 2019-03-20 2019-06-28 阿里巴巴集团控股有限公司 基于边缘计算的区域异常检测方法和边缘计算设备
CN110210205B (zh) * 2019-04-19 2024-06-25 平安科技(深圳)有限公司 登录状态的确定方法、装置、计算机设备及计算机存储介质
CN110505144A (zh) * 2019-08-09 2019-11-26 世纪龙信息网络有限责任公司 邮件分类方法、装置、设备及存储介质
CN110990164B (zh) * 2019-11-08 2022-05-24 支付宝(杭州)信息技术有限公司 账户检测方法和装置、账户检测模型的训练方法和装置
CN110933080B (zh) * 2019-11-29 2021-10-26 上海观安信息技术股份有限公司 一种用户登录异常的ip群体识别方法及装置
CN111400357A (zh) * 2020-02-21 2020-07-10 中国建设银行股份有限公司 一种识别异常登录的方法和装置
CN111338897B (zh) * 2020-02-24 2024-07-19 京东科技控股股份有限公司 应用主机中异常节点的识别方法、监测设备和电子设备
CN111313355B (zh) * 2020-03-02 2022-06-10 国网江苏省电力有限公司南京供电分公司 一种人工监督下的监控信号事件规则更新的方法
CN111353890A (zh) * 2020-03-30 2020-06-30 中国工商银行股份有限公司 基于应用日志的应用异常检测方法及装置
CN112070225B (zh) * 2020-09-01 2023-10-10 多点(深圳)数字科技有限公司 一种基于无监督学习的实体卡异常绑卡报警的方法
CN113743963A (zh) * 2021-09-28 2021-12-03 北京奇艺世纪科技有限公司 异常识别模型训练、异常对象识别方法、装置及电子设备
US20230275915A1 (en) * 2022-02-28 2023-08-31 Microsoft Technology Licensing, Llc. Machine learning for anomaly detection based on logon events
CN116319109B (zh) * 2023-05-23 2023-08-08 国网浙江省电力有限公司金华供电公司 一种智能电网运行信息安全防护方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007048063A2 (en) * 2005-10-21 2007-04-26 Feeva, Inc. Systems and methods of network operation and information processing, including data acquisition, processing and provision and/or interoperability features
CN105763548A (zh) * 2016-02-06 2016-07-13 北京祥云天地科技有限公司 基于行为模型对用户登录进行识别的方法、设备和系统
CN106685996A (zh) * 2017-02-23 2017-05-17 上海万雍科技股份有限公司 基于hmm模型的账号异常登录检测方法
CN107276982A (zh) * 2017-05-08 2017-10-20 微梦创科网络科技(中国)有限公司 一种异常登录检测方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007048063A2 (en) * 2005-10-21 2007-04-26 Feeva, Inc. Systems and methods of network operation and information processing, including data acquisition, processing and provision and/or interoperability features
CN105763548A (zh) * 2016-02-06 2016-07-13 北京祥云天地科技有限公司 基于行为模型对用户登录进行识别的方法、设备和系统
CN106685996A (zh) * 2017-02-23 2017-05-17 上海万雍科技股份有限公司 基于hmm模型的账号异常登录检测方法
CN107276982A (zh) * 2017-05-08 2017-10-20 微梦创科网络科技(中国)有限公司 一种异常登录检测方法及装置

Also Published As

Publication number Publication date
CN108512827A (zh) 2018-09-07

Similar Documents

Publication Publication Date Title
CN108512827B (zh) 异常登录的识别和监督学习模型的建立方法、装置,设备和存储介质
US11861947B2 (en) Machine learning-based platform for user identification
EP3719678B1 (en) Identity verification method and apparatus
CN106713324B (zh) 一种流量检测方法及装置
CN112800116B (zh) 一种业务数据的异常检测方法及装置
CN108920947B (zh) 一种基于日志图建模的异常检测方法和装置
US8856923B1 (en) Similarity-based fraud detection in adaptive authentication systems
CN111652496A (zh) 基于网络安全态势感知系统的运行风险评估方法及装置
CN106650350B (zh) 一种身份认证方法及系统
WO2017032261A1 (zh) 身份认证方法、装置及设备
CN108768883B (zh) 一种网络流量识别方法及装置
CN109818961B (zh) 一种网络入侵检测方法、装置和设备
EP3648433B1 (en) System and method of training behavior labeling model
CN111177714A (zh) 异常行为检测方法、装置、计算机设备和存储介质
CN110008082B (zh) 异常任务智能监测方法、装置、设备及存储介质
CN112329811A (zh) 异常账号识别方法、装置、计算机设备和存储介质
CN114079579A (zh) 一种恶意加密流量检测方法及装置
CN109583161A (zh) 一种信息处理方法及装置、存储介质
CN112437034B (zh) 虚假终端检测方法和装置、存储介质及电子装置
CN115314268A (zh) 基于流量指纹和行为的恶意加密流量检测方法和系统
CN118075017A (zh) 一种网络信息安全防护检测方法及系统
Yang et al. Cloud-edge coordinated traffic anomaly detection for industrial cyber-physical systems
CN114663709A (zh) 一种应急污水处理方法、装置及设备
CN116963072A (zh) 诈骗用户预警方法、装置、电子设备及存储介质
CN105827578A (zh) 一种击键特征数据的处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220221

Address after: Room 1423, No. 1256 and 1258, Wanrong Road, Jing'an District, Shanghai 200040

Patentee after: Tianyi Digital Life Technology Co.,Ltd.

Address before: 1 / F and 2 / F, East Garden, Huatian International Plaza, 211 Longkou Middle Road, Tianhe District, Guangzhou, Guangdong 510630

Patentee before: Century Dragon Information Network Co.,Ltd.

TR01 Transfer of patent right