CN109299135A - 基于识别模型的异常查询识别方法、识别设备及介质 - Google Patents
基于识别模型的异常查询识别方法、识别设备及介质 Download PDFInfo
- Publication number
- CN109299135A CN109299135A CN201811416103.0A CN201811416103A CN109299135A CN 109299135 A CN109299135 A CN 109299135A CN 201811416103 A CN201811416103 A CN 201811416103A CN 109299135 A CN109299135 A CN 109299135A
- Authority
- CN
- China
- Prior art keywords
- target
- terminal
- identification
- target terminal
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 157
- 238000000034 method Methods 0.000 title claims abstract description 56
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 54
- 238000011217 control strategy Methods 0.000 claims abstract description 36
- 238000012795 verification Methods 0.000 claims description 52
- 238000012216 screening Methods 0.000 claims description 29
- 238000012549 training Methods 0.000 claims description 23
- 230000032683 aging Effects 0.000 claims description 21
- 238000012423 maintenance Methods 0.000 claims description 15
- 230000005856 abnormality Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 9
- 238000013473 artificial intelligence Methods 0.000 abstract description 2
- 230000005540 biological transmission Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 64
- 230000006399 behavior Effects 0.000 description 20
- 238000012545 processing Methods 0.000 description 15
- 238000001914 filtration Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000000717 retained effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Debugging And Monitoring (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开了一种基于识别模型的异常查询识别方法、识别设备及介质,应用于人工智能技术领域。其中,该方法包括:当接收到目标终端发送的保单查询请求时,获取预设时间范围内所述目标终端上的目标操作数据;将所述目标操作数据输入预置的异常行为识别模型,以得到针对所述保单查询请求对应的查询操作的目标分析结果;根据预设的分析结果和控制策略的对应关系,确定出所述目标分析结果对应的控制策略,并按照确定出的所述控制策略对所述目标终端进行控制。采用本申请,有助于提升保单异常查询识别效率,降低识别开销和人工成本。
Description
技术领域
本申请涉及人工智能技术领域,尤其涉及一种基于识别模型的异常查询识别方法、识别设备及介质。
背景技术
目前某些保险系统经常存在异常查询用户保单的情况,某些非法分子通过大量查询用户保单窃取大量用户隐私信息,以进行营销,或甚至进行一些非法行为。而目前对保单异常查询行为的识别一般依赖人工研判的方式,该人工研判的方式存在着效率低开销大的弊端,无法及时识别出该异常查询行为,且该方式成本较高。
发明内容
本申请实施例提供一种基于识别模型的异常查询识别方法、识别设备及介质,有助于提升保单异常查询识别效率,降低识别开销和人工成本。
第一方面,本申请实施例提供了一种基于识别模型的异常查询识别方法,包括:
当接收到目标终端发送的保单查询请求时,获取预设时间范围内所述目标终端上的目标操作数据;
将所述目标操作数据输入预置的异常行为识别模型,以得到针对所述保单查询请求对应的查询操作的目标分析结果;其中,所述异常行为识别模型是根据历史记录中异常查询的保单的操作数据训练得到的,所述目标分析结果用于指示所述查询操作是否异常,所述目标分析结果包括所述查询操作是否异常的标记信息、所述查询操作存在异常的概率、所述查询操作异常时的异常类型中的任一项或多项;
根据预设的分析结果和控制策略的对应关系,确定出所述目标分析结果对应的控制策略,并按照确定出的所述控制策略对所述目标终端进行控制。
可选的,所述方法还包括:
从数据库中获取第一数量的第一异常类型的操作数据,以及获取第二数量的第二异常类型的操作数据,所述第一数量与所述第二数量的差值小于预设的第一数目阈值;
利用无监督算法分别对所述第一异常类型的操作数据和所述第二异常类型的操作数据进行训练,以得到异常操作数据样本;
利用所述异常操作数据样本进行模型训练,以得到所述异常行为识别模型。
可选的,所述保单查询请求携带有所述目标终端的标识;在所述将所述目标操作数据输入预置的异常行为识别模型之前,所述方法还包括:
根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数;
判断所述次数是否大于预设的第二数目阈值;
如果所述次数大于所述第二数目阈值,触发所述将所述目标操作数据输入预置的异常行为识别模型的步骤。
可选的,在所述根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数之前,所述方法还包括:
使用预设的校验算法对所述目标终端的标识进行校验,以确定所述目标终端的标识是否被篡改;
如果确定所述目标终端的标识被篡改,对所述目标终端的标识进行还原处理,以得到所述目标终端的原始标识;
所述根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数,包括:
使用所述校验算法分别对所述预设时间范围内接收到的所有保单查询请求携带的终端标识进行校验,以确定所述预设时间范围内每一个所述终端标识是否被篡改;
如果确定任一终端标识被篡改,对该终端标识进行还原处理,以得到该终端标识对应的原始终端标识;如果任一终端标识未被篡改,将该终端标识作为原始终端标识;
根据所述目标终端的原始标识和所述预设时间范围内每一个所述终端标识对应的原始终端标识,确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数。
可选的,所述保单查询请求携带有所述目标终端的标识;在所述获取预设时间范围内所述目标终端上的目标操作数据之前,所述方法还包括:
确定所述目标终端的标识的类型;
根据预设的校验算法与标识类型的对应关系,从预设的校验算法集合中确定出与所述目标终端的标识的类型对应的目标校验算法;
使用所述目标校验算法对所述终端标识进行校验,以确定所述目标终端的标识是否被篡改;
如果确定所述目标终端的标识未被篡改,触发所述获取预设时间范围内所述目标终端上的目标操作数据的步骤。
可选的,所述方法还包括:
如果确定所述目标终端的标识被篡改,拒绝所述目标终端的所述保单查询请求;
为所述目标终端的标识设置拒绝时效,并将所述目标终端的标识和所述拒绝时效关联存储至预置的标识黑名单,所述标识黑名单包括至少一个终端标识以及每一个终端标识对应的拒绝时效;
当接收到携带所述至少一个终端标识中任一终端标识的保单查询请求,且该终端标识的拒绝时效处于有效期内时,拒绝该保单查询请求。
可选的,所述获取预设时间范围内所述目标终端上的目标操作数据,包括:
获取预设时间范围内所述目标终端上的所有操作数据;
识别所述目标终端所处的查询场景;
根据预设的查询场景和筛选规则的对应关系,确定出与所述目标终端所处的查询场景对应的目标筛选规则;
按照所述目标筛选规则从所述所有操作数据中筛选出所述目标操作数据。
第二方面,本申请实施例提供了一种识别设备,该识别设备包括用于执行上述第一方面的方法的单元。
第三方面,本申请实施例提供了另一种识别设备,包括处理器、用户接口、通信接口和存储器,所述处理器、用户接口、通信接口和存储器相互连接,其中,所述存储器用于存储支持识别设备执行上述方法的计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行上述第一方面的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。
本申请实施例能够在接收到终端发送的保单查询请求时,通过获取预设时间范围内该终端上的目标操作数据,并将该目标操作数据输入预置的异常行为识别模型,以得到针对该保单查询请求对应的查询操作的目标分析结果,进而能够根据预设的分析结果和控制策略的对应关系,确定出该目标分析结果对应的控制策略对该终端进行控制,这就有助于提升保单异常查询识别效率,降低识别开销和人工成本。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种基于识别模型的异常查询识别方法的流程示意图;
图2是本申请实施例提供的另一种基于识别模型的异常查询识别方法的流程示意图;
图3是本申请实施例提供的一种识别设备的结构示意图;
图4是本申请实施例提供的另一种识别设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的技术方案可应用于识别设备中,该识别设备可包括服务器、终端、主机或其他识别设备,用于识别或检测系统中的异常查询。本申请涉及的终端可以是手机、电脑、平板、个人计算机、智能手表等,本申请不做限定。
具体的,本申请能够通过预置异常行为识别模型,使得在接收到目标终端(客户端)发送的保单查询请求时,能够通过获取预设时间范围内该目标终端上的目标操作数据,并将该目标操作数据输入该异常行为识别模型以得到针对该保单查询请求对应的查询操作的目标分析结果,进而能够确定出该目标分析结果对应的控制策略对该终端设备进行控制,这就有助于提升保单异常查询识别效率,降低识别开销和人工成本,且通过对终端设备进行控制有助于保护用户隐私,避免用户隐私泄露,提升终端安全性。以下分别详细说明。
请参见图1,图1是本申请实施例提供的一种基于识别模型的异常查询识别方法的流程示意图。具体的,本实施例的方法可应用于上述的识别设备中。如图1所示,该基于识别模型的异常查询识别方法可以包括以下步骤:
101、当接收到目标终端发送的保单查询请求时,获取预设时间范围内该目标终端上的目标操作数据。
可选的,该目标终端可以是指能够进行保单查询的任一终端,或者处于特定风控场景如登录到特定查询APP的终端,或者为IP地址处于预设IP地址段的终端,或者为预设区域范围内的终端,等等,本申请不做限定。
具体的,识别设备在接收到保单查询请求时,可监测该目标终端上的用户操作行为数据即目标操作数据,以便于将该目标操作数据输入建立的异常行为识别模型以得到该目标终端上的查询操作的分析结果。为了实现对用户操作行为数据的有效分析,可以设置一个时间窗,接收到保单查询请求之后,监测该时间窗内的用户操作行为数据,在间隔该时间窗之后再将收集的所有的用户操作行为数据输入该异常行为识别模型确定是否为异常查询。也就是说,该预设时间范围可以是指接收到该保单查询请求之后的预设时间范围;在其他实施例中,该预设时间范围可以是指接收到该保单查询请求之前的预设时间范围,具体可预先设置得到,本申请不做限定。进一步可选的,该预设时间范围内该目标终端上的目标操作数据即获取的用于进行异常查询识别的操作数据可以是指该预设时间范围内该目标终端上的所有操作数据;或者,可以是指该预设时间范围内该目标终端的特定查询APP上的所有操作数据;或者,可以是指对该所有操作数据进行筛选后得到的操作数据,以进一步提升模型识别的效率,等等,此处不一一列举。
进一步可选的,在其他实施例中,还可以设置一查询次数,在接收到保单查询请求后可监测该查询次数内的用户操作行为数据,在达到该查询次数之后,再将该查询次数对应所有的用户操作行为数据作为目标操作数据输入该异常行为识别模型以确定是否存在异常查询,或者对该所有操作数据进行筛选将筛选后得到的操作数据作为该目标操作数据输入该异常行为识别模型以确定是否存在异常查询,以进一步提升模型识别的效率。从而可通过积累一定数量的用户操作行为再进行异常行为检测,使得能够提升查询结果的准确性和可靠性。可选的,该检测操作可以是在终端侧执行,也可以是在识别设备侧执行,比如目标终端收集到用户操作行为数据即目标操作数据后可上报该识别设备,由识别设备如服务器对该目标操作数据进行异常行为识别。可以理解,在其他实施例中,还可以是在接收到目标终端发送的其他查询请求时,再触发获取预设时间范围内该目标终端上的目标操作数据;或者,还可以是按照预设的周期获取该目标终端上的目标操作数据,以基于该目标操作数据确定该目标终端上的操作是否异常。
进一步可选的,对操作数据进行筛选可以是指过滤掉无效数据,筛选出保单查询的关键数据作为该目标操作数据。例如,可预置一个数据筛选的白名单,该白名单用于指示需要保留的数据的条件信息,比如需要保留的目标操作数据的类型、格式等等,该需要保留的目标操作数据可包括保单查询次数信息、出单信息、保单查询客户端的访问次数信息、访问时间信息、访问标识信息如IP信息等等。
102、将该目标操作数据输入预置的异常行为识别模型,以得到针对该保单查询请求对应的查询操作的目标分析结果。
其中,该异常行为识别模型可以是根据历史记录中异常查询的保单的操作数据(即异常操作数据)训练得到的。可选的,在对该异常行为识别模型进行训练时,可通过获取历史记录中不同类型的异常查询的保单的操作数据,即获取不同异常类型的操作数据(也即不同类型的异常操作数据)来对该异常行为识别模型进行训练,以提升异常查询行为的识别的准确性和可靠性。该异常类型可预先划分得到。
其中,该目标分析结果可用于指示该查询操作是否异常(即是否存在异常查询),该目标分析结果可包括该查询操作是否异常的标记信息、该查询操作存在异常的概率、该查询操作异常时的异常类型中的任一项或多项。可选的,该标记信息可以是文字信息如该查询操作是否异常的文字信息;或者,该标记信息可以用于标记该查询操作是否异常的字符,如“0”代表非异常或正常,“1”代表异常,反之亦可,等等,此处不一一列举。
可选的,还可以根据异常行为的类型即异常类型分别建立异常行为识别模型,使得能够识别出保单查询操作是否异常,以及其异常类型等信息。例如,该异常类型可包括机器异常查询或人为异常查询(多人团伙异常行为)等等。又如,该异常类型可包括仅查询不出单或少出单,即用户的查询量较大(比如某一时间段内查询次数超过预设次数阈值),而出单量较小(比如该时间段内的出单量低于预设数量阈值)或不出单;或者,访问较为频繁,如即离散度较低(访问时间间隔的方差低于预设方差阈值或标准差低于预设标准差阈值)或单位时间内访问量过大(如访问量超过预设访问量阈值)等等;或者:访问时间不为常规时间,比如为凌晨2:00-5:00;或者,IP变换频繁等等,如某一查询时间段内同一终端变换IP的次数超过阈值,等等,此处不一一列举。从而能够根据保单查询的异常类型,分别确定出其对应的异常行为标注数据样本即异常操作数据后,分别建立不同异常类型对应的异常行为识别模型,或者作为不同的分类建立一个异常行为识别模型(比如根据异常行为的类型进行分类,人为异常的异常操作数据作为分类1,输出结果为人为异常,机器异常的异常操作数据作为分类2,输出结果为机器异常,等等,不同的分类可对应不同的输出结果,此处不赘述),以便于后续能够根据该学习模型确定保单查询行为是否异常,并进一步确定出异常行为的类型,以及时采取对应的措施。
103、根据预设的分析结果和控制策略的对应关系,确定出该目标分析结果对应的控制策略,并按照确定出的控制策略对该目标终端进行控制。
可选的,可预先设置得到多个控制策略,比如拒绝预设时间窗内的终端的所有保单查询请求;又如指示终端输出提示,要求用户输入验证信息,并在验证通过时再输出查询结果或确定该查询操作正常等等;又如控制暂时关闭(比如关闭预设时间如30分钟)该终端的查询权限,又如控制关闭该查询APP或客户端的查询功能;又如继续监测该目标终端的操作数据,累积更多的操作数据之后再输入该异常行为识别模型以实现对该异常查询行为识别,等等,此处不一一列举。其中,该验证方式可包括但不限于图片验证、短信验证、手势验证等方式。
进一步的,还可预置得到各分析结果和控制策略的对应关系,不同分析结果对应的控制策略可以相同也可以不同。例如,可预设得到查询操作异常时对应的控制策略,以及查询操作非异常(正常)时对应的控制策略,从而可根据该目标分析结果指示的该查询操作是否异常来确定控制策略;又如,可预设得到查询操作异常的各概率区间与控制策略的对应关系,从而可通过确定该目标分析结果包括的查询操作异常的概率所处的概率区间,进而确定该概率区间对应的控制策略以对该目标终端进行控制;又如,可预设得到各异常类型与控制策略的对应关系,从而可通过确定该目标分析结果包括的查询操作异常时所属的异常类型来确定控制策略,等等,此处不一一列举。从而在得到查询操作的分析结果之后,还可根据是否为异常查询、异常查询的概率(得分)和/或异常查询操作的异常类型等分析结果确定出对应的控制策略对该目标终端进行控制。
可选的,如果该目标分析结果指示该查询操作异常,即识别出存在异常查询之后,还可生成告警信息,并可输出告警信息或者向服务端上报该告警信息。其中,该告警信息可包括用于指示该目标终端上的查询操作异常的信息,如可包括该目标终端上的查询操作异常的标记信息、该查询操作存在异常的概率、该查询操作异常时所属的异常类型等等。
举例来说,该目标分析结果可包括该查询操作存在异常的得分(即风险分值),也即该异常行为识别模型可计算出该查询操作为异常查询的得分,不同得分区间可对应不同的控制策略,具体可预置得到各得分区间和控制策略的对应关系;或者不同得分区间可对应不同的风险等级,不同风险等级对应不同的控制策略,比如该风险等级可分为低风险、中风险、高风险三个风险等级,或者分为一级、二级、三级,等等,并可预置得到各得分区间与风险等级的对应的关系,以及各风险等级与控制策略的对应关系。假设按照得分划分的得分区间分为区间1、区间2和区间3,区间1对应的控制策略为策略1如控制关闭该查询APP或客户端的查询功能,以禁用用户查询权限;区间2对应的控制策略为策略2如控制暂时关闭该目标终端的查询权限(比如禁用该目标终端上的查询权限20分钟),并可对该目标终端上的禁用事件及风险等级进行记录,根据该目标终端上的后续操作行为进行进一步控制,如若预设时间间隔内再次检测到该目标终端上的异常查询行为(比如该分析结果指示再次检查的查询操作为异常,或者为异常的得分对应的风险等级为中风险或高风险等级,等等),则禁用该目标终端上的查询权限等等;区间3对应的控制策略为策略3如指示该目标终端输出提示,要求用户输入验证信息,并在验证通过时再输出查询结果或确定该查询操作正常,以防止机器异常查询行为;或者,按照风险等级划分为低风险、中风险、高风险等级,区间1对应高风险等级,高风险等级对应策略1,区间2对应中风险等级,中风险等级对应策略2,区间3对应低风险等级,低风险等级对应策略3。如果该查询操作存在异常的得分所处的得分区间为区间1,即为高风险等级,识别设备可按照上述的策略1实现对目标终端的控制;如果该查询操作存在异常的得分所处的得分区间为区间2,即为中风险等级,识别设备可按照上述的策略2实现对目标终端的控制;如果该查询操作存在异常的得分区间为区间3,即为低风险等级,则可按照上述的策略3实现对目标终端的控制,等等,此处不一一列举。
又如,该目标分析结果可包括该查询操作异常时所属的异常类型,也即该异常行为识别模型可识别出异常查询的类型,进而根据该异常类型确定出对应的控制策略。假设异常类型包括类型1(如机器异常)和类型2(如人为异常),类型1对应的控制策略为策略1,类型2对应的控制策略为策略2。如果异常行为识别模型识别出该查询操作异常时的异常类型为上述的类型1时,则可以按照该策略1实现对目标终端的控制。
进一步可选的,如果确定该查询操作存在异常,比如该目标分析结果指示该查询操作异常,或者该查询操作存在异常的概率(得分)高于某一阈值,或者该目标分析结果包括异常查询的异常类型时,可确定该查询操作存在异常,对于该保单查询请求和/或该目标终端的后续保单查询请求,还可以输出保单不存在、系统错误等虚假信息,而不再输出用户保单信息,也可不再输出异常提示信息,以避免泄露用户隐私,从而可有效保护用户隐私,提升终端安全性。
在本实施例中,识别设备能够在接收到目标终端发送的保单查询请求时,通过获取预设时间范围内该目标终端上的目标操作数据,并将该目标操作数据输入预置的异常行为识别模型,以得到针对该保单查询请求对应的查询操作的目标分析结果,进而能够根据预设的分析结果和控制策略的对应关系,确定出该目标分析结果对应的控制策略对该目标终端进行控制,这就有助于提升保单异常查询识别效率,降低识别开销和人工成本,且能够通过对终端设备进行控制实现保护用户隐私,避免用户隐私泄露,提升终端安全性。
请参见图2,图2是本申请实施例提供的另一种基于识别模型的异常查询识别方法的流程示意图。具体的,如图2所示,该基于识别模型的异常查询识别方法可以包括以下步骤:
201、从数据库中获取第一数量的第一异常类型的操作数据,以及获取第二数量的第二异常类型的操作数据,该第一数量与该第二数量的差值小于预设的第一数目阈值。
其中,该数据库中可存储有历史记录中各种异常类型的异常查询的保单的操作数据,比如可包括第一异常类型如机器异常查询和第二异常类型如人为异常查询的操作数据,即历史操作数据,以便于根据该各异常类型的操作数据训练得到异常行为识别模型。可选的,在获取各异常类型的操作数据时,可获取相同或相近数目(如各异常类型的操作数据的数目的差值小于第一数目阈值)即数量均衡的操作数据,以实现不同类型的异常操作数据的均衡化处理。由此可提升模型训练效果,进而提升了异常查询识别的可靠性。可以理解,该第一异常类型和第二异常类型仅作为异常类型的示例,并不是说明仅限于两种异常类型。如果存在多种异常类型,可分别获取数量均衡的各异常类型的操作数据。
202、利用无监督算法分别对该第一异常类型的操作数据和该第二异常类型的操作数据进行训练,以得到异常操作数据样本。
203、利用该异常操作数据样本进行模型训练,以得到该异常行为识别模型。
可选的,在获取得到该第一异常类型和第二异常类型的操作数据之后,还可对该第一异常类型的操作数据和/或该第二异常类型的操作数据进行无监督训练,以得到和该第一异常类型和/或第二异常类型类似的数据,进而可利用该训练得到的类似数据和该第一异常类型、第二异常类型的操作数据训练得到该异常行为识别模型。从而能够通过无监督训练增加模型训练的样本数据,以提升训练效果。
204、当接收到目标终端发送的保单查询请求时,获取预设时间范围内该目标终端上的目标操作数据。
可选的,识别设备在获取预设时间范围内该目标终端上的目标操作数据时,可以是通过获取预设时间范围内该目标终端上的所有操作数据,进而按照预设的筛选规则从该操作数据中筛选出该筛选规则对应的操作数据,并将筛选出的操作数据作为该目标操作数据;也就是说,可固定设置一个筛选规则用于筛选该目标操作数据,这就提升了筛选效率。或者,可选的,识别设备在获取预设时间范围内该目标终端上的目标操作数据时,可以是通过获取该预设时间范围内该目标终端上的所有操作数据,并通过识别该目标终端所处的查询场景,进而根据预设的查询场景和筛选规则的对应关系,确定出与该目标终端所处的查询场景对应的目标筛选规则,按照该目标筛选规则从该所有操作数据中筛选出该目标操作数据。也就是说,可预先设置得到多个筛选规则,并预先设置得到各查询场景和筛选规则的对应关系,以便于根据不同查询场景灵活确定该筛选规则来筛选目标操作数据。例如,该查询场景可包括PC端查询场景、移动端查询场景,各筛选规则可用于指示需要保留的目标操作数据的类型、格式等等,不同筛选规则指示的类型、格式可以不同。从而在获取该目标操作数据时,可识别出该目标终端所处的查询场景,进而按照该查询场景对应的筛选规则即目标筛选规则指示的类型、格式去筛选出操作数据,并将筛选出的操作数据作为该目标操作数据。这就提升了数据筛选方式的灵活性,提升了获取的目标操作数据的可靠性,进而有助于提升异常查询识别效果。
进一步可选的,该保单查询请求可携带有该目标终端的标识。在该获取预设时间范围内该目标终端上的操作数据之前,识别设备还可确定该目标终端的标识的类型,根据预设的校验算法与标识类型的对应关系,从预设的校验算法集合中确定出与该目标终端的标识的类型对应的目标校验算法,进而使用该目标校验算法对该终端标识进行校验,以确定该终端标识是否被篡改;如果确定该终端标识未被篡改,则可触发该获取预设时间范围内该目标终端上的目标操作数据的步骤。
其中,该校验算法集合可包括多种校验算法,比如luhn算法、移动设备识别码(Mobile Equipment Identifier,缩写:MEID)校验算法、媒体访问控制(Media AccessControl,缩写:MAC)地址段校验算法、长度校验算法、字符校验算法、flag校验算法等等。该标识类型可包括IP地址、MAC地址、CPU序列号、主板型号、设备品牌、CPU型号、操作系统编译类型等等,每种校验算法可对应一种或多种标识类型,每种标识类型也可对应一种或多种校验算法,具体可预先设置校验算法和标识类型的对应关系,比如校验算法1对应IP地址,校验算法2对应MAC地址,校验算法3对应IP地址、MAC地址、CPU序列号、主板型号、设备品牌、CPU型号、操作系统编译类型等等。从而能够根据目标终端的标识的类型快速确定出与该目标终端的标识的类型对应的校验算法即目标校验算法以对该目标终端的标识进行校验,这就提升了校验的灵活性和可靠性。
例如,针对该目标终端的标识的类型为IP地址时,可基于长度校验算法、字符校验算法校验该目标终端的IP地址是否被篡改,如检测该IP地址是否为预设的某一固定长度、是否包括其他字符(即与正确的IP地址的长度和字符信息比较以进行校验,如正确的IP地址一般是一固定长度,由0~255组成),以检测该目标终端的IP地址是否被篡改。又如,该目标终端的标识的类型为MEID时,可基于luhn算法和MEID校验算法(即目标校验算法为luhn算法和MEID校验算法)对该目标终端的IMEI进行校验,验证该IMEI是否合法,从而实现从多角度验证目标终端的IMEI是否被篡改;又如,该目标终端的标识的类型为MAC地址时,可基于MAC地址段校验算法校验该目标终端的MAC地址是否被篡改,即检测获取的MAC地址的是否属于为该主机的型号、品牌分配的地址段(该主机型号、品牌和MAC地址段的对应关系可预先设置得到)内,以检测目标终端的MAC地址是否被篡改;又如,该目标终端的标识的类型为Android ID时,可基于长度校验算法、字符校验算法校验该目标终端的Android ID是否被篡改,即检测Android ID是否为预设的某一固定长度、是否包括其他字符(正确的Android ID一般是一固定长度,且由0~9,a~f组成),以检测目标终端的Android ID是否被篡改。
又如,该目标终端的标识可能通过Xposed插件进行篡改。由此,针对该目标终端的标识,可基于flag校验算法校验其是否被篡改。具体的,识别设备可获取该目标终端的标识对应的目标函数的flag值,并根据该flag值确定该目标函数是否被hook。可选的,当确定该目标函数被hook时,即可表明该目标终端的标识被篡改,进而可拒绝该保单查询请求,或者,可上报服务器一个提示消息以提示该目标终端的标识被篡改,或者,执行其他预设处理。也就是说,在获取目标终端上的操作数据以进行异常查询识别之前,识别设备能够通过检测该目标终端的标识对应的函数是否被篡改,即检测函数内存的flag的值是否发生改变来检测函数是否被篡改,并在检测到被篡改时拒绝该保单查询请求或进行其他预设处理。其中,该flag值可用于标记所述目标函数的状态,该状态可以是指是否被篡改的状态,或者可以是指读写状态、阻塞与非阻塞状态、退出进程或程序的状态和/或更改文件的内容的状态等等,从而能够根据该flag值确定出该目标函数是否被hook。可以理解,每一个函数都有对应的flag,该flag为一个变量,当某一函数被篡改时,该函数对应的flag会发生改变。由此,识别设备可通过检测函数的flag是否发生改变,来确定该函数是否被hook,也即该函数对应的IP地址是否被篡改。其中,该flag的值可以是存储于该目标函数对应的内存中。
在一种可能的实施方式中,在根据该flag值确定该目标函数是否被hook时,识别设备可以将该flag值中的预设位置处的字符与预设的固定字符进行比较;当比较得到该预设位置处的字符与该固定字符不同时,确定该目标函数被hook。其中,该预设位置处的字符的字符数与该固定字符的字符数相同,以便于匹配比较。也就是说,该flag发生改变可以是指该flag值的一位或多位发生改变,且该一位或多位可以是指flag的预设位置处的一位或多位。从而识别设备可以通过将获取的flag值预设位置处的一位或多位与未被篡改时的固定字符进行比较,如果flag值的该一位或多位发生改变,即flag值的一位或多位与该固定字符不同,则表明该目标函数被hook,即该目标函数对应的设备信息被篡改。例如,针对Android版本在4.4以上及5.0以下的系统,有的Xposed插件对某函数进行hook时,会将该函数的flag值的固定位置处的1位(bit)设置为1;而正常未被篡改的函数,flag值的该位是0(即上述的固定字符)。因此,可通过检测函数的flag值的该固定位是否是0,就可以知道该函数是否被Xposed插件进行了hook。也即,如果该测函数的flag值的该固定位不为0,即可表明该函数被hook,该函数被篡改。
在一种可能的实施方式中,在根据该flag值确定该目标函数是否被hook时,识别设备还可以按照预设的逻辑算法对该flag值进行逻辑运算,以得到运算结果值;当该运算结果值为正整数时,确定该目标函数被hook。其中,该逻辑算法可以是根据预设字符串和系统中的原生函数执行时的跳转地址确定的。也就是说,还可将按照预设逻辑算法对flag处理后的值与未被篡改时的固定字符如0进行比较,如果处理后的该值发生改变,即不为0,比如为某一正整数时,则表明该函数被hook。例如,针对Android版本在5.0及其以上的系统,如果按照逻辑算法如逻辑算式EntryPointFromJni&&AccessFlags&0x10000000结果等于正整数,则可表明该函数被篡改;如果该逻辑算式结果等于0(即为固定字符),则可表明该函数未被篡改。其中,该EntryPointFromJni可以是指原生函数如native函数执行时的跳转地址,AccessFlags即为上述的flag。
可选的,识别设备在根据该flag值确定该目标函数是否被hook之前,还可确定该目标终端当前使用的系统版本,进而根据该当前使用的系统版本去选择根据该flag值确定该目标函数是否被hook的方式(以下简称hook方式),以提升hook检测的效率。其中,该系统版本和hook检测的方式的对应关系可预先设置得到。或者,还可根据该目标终端的型号等,检测历史记录中相同型号的终端使用的hook方式的比例,将比例最高即使用最多的hook方式作为该目标终端的hook方式,等等,此处不一一列举。
205、根据该目标终端的标识确定出该预设时间范围内接收到的该目标终端发送的保单查询请求的次数。
具体的,识别设备可根据该预设时间范围接收到的所有保单查询请求携带的终端标识,对携带终端标识与该目标终端的标识(真实标识)相同的请求进行统计,以得到该目标终端发送保单查询请求的次数。
206、判断该次数是否大于预设的第二数目阈值。
其中,该第二数目阈值可预先设置得到。可选的,该第二数目阈值可根据不同的异常查询时间段确定出,即不同查询时间段,该第二数目阈值可以不同。例如,该预设时间范围为晚上时对应的第二数目阈值小于该预设时间范围为白天时对应的第二数目阈值,其对应关系可预先设置得到,以提升识别可靠性。
207、如果该次数大于该第二数目阈值,将该操作数据输入预置的异常行为识别模型,以得到针对该保单查询请求对应的查询操作的目标分析结果。
其中,该异常行为识别模型可以是根据历史记录中异常查询的保单的操作数据训练得到的,该目标分析结果可用于指示该查询操作是否异常,该目标分析结果可包括该查询操作是否异常的标记信息、该查询操作存在异常的概率、该查询操作异常时的异常类型中的任一项或多项,具体可参照上述图1所示实施例的相关描述,此处不赘述。
可选的,在该根据该目标终端的标识确定出该预设时间范围内接收到的该目标终端发送的保单查询请求的次数之前,识别设备还可使用预设的校验算法对该目标终端的标识进行校验,以确定该目标终端的标识是否被篡改。如果确定该目标终端的标识被篡改,还可对该目标终端的标识进行还原处理,以得到该目标终端的原始标识,以基于该原始标识(真实标识)进行该次数统计。进一步的,识别设备在根据该目标终端的标识确定出该预设时间范围内接收到的该目标终端发送的保单查询请求的次数时,可以使用该校验算法分别对该预设时间范围内接收到的所有保单查询请求携带的终端标识进行校验,以确定该预设时间范围内每一个该终端标识是否被篡改;如果确定任一终端标识被篡改,对该终端标识进行还原处理,以得到该终端标识对应的原始终端标识;如果任一终端标识未被篡改,将该终端标识作为原始终端标识,从而得到每一个保单查询请求对应的真实标识;进而根据该目标的原始标识和该预设时间范围内每一个该终端标识对应的原始终端标识(即每一个保单查询请求对应的真实标识),确定出该预设时间范围内接收到的该目标终端发送的保单查询请求的次数。例如,该校验算法为上述的基于flag的hook方式,当确定该目标函数被hook时,可从该目标函数的内存中获取该目标函数对应的目标函数指针;根据预先存储的各函数指针和函数的对应关系,确定出该目标函数指针对应的原始函数,比如可通过该原始函数替换该目标函数,实现对被hook的函数的还原,并可根据该原始函数确定出该目标终端的原始标识。进而能够根据该原始标识来统计该次数。其中,该函数指针和被hook的函数是存储于同一块内存的不同字段中的,且不同函数指针和原始函数存在映射关系,或者说不同函数指针和原始函数的存储地址存在映射关系。在该目标函数指针指向的特定地址获取到的原始函数,一定是正确的函数,其不会被篡改。也就是说,在检测到终端标识被篡改时可及时地还原真实的标识,即原始标识,以基于该原始标识来进行该次数统计,从而能够确保该次数是基于真实的标识统计得到的,这就提升了次数统计的可靠性,进而提升了异常查询识别的可靠性。进一步可选的,识别设备在确定该校验算法时,可通过确定该目标终端的标识的类型,进而根据预设的校验算法与标识类型的对应关系,从预设的校验算法集合中确定出与该目标终端的标识的类型对应的校验算法,并将该确定出的校验算法对该目标终端的标识以及接收到的保单查询请求携带的终端标识进行校验,由此提升了校验灵活性,进一步提升了校验可靠性。
进一步可选的,如果确定该目标终端的标识被篡改,识别设备可拒绝该目标终端的该保单查询请求。进一步可选的,识别设备还可为该目标终端的标识设置拒绝时效,并将该目标终端的标识和该拒绝时效关联存储至预置的标识黑名单中;从而在接收到携带该黑名单中任一终端标识的保单查询请求,且该终端标识的拒绝时效处于有效期内时,拒绝该保单查询请求。其中该标识黑名单包括至少一个终端标识以及每一个终端标识对应的拒绝时效,该拒绝时效可以是一个截止时间,该有效期为该截止时间之前;或者,该拒绝时效还可以是一个时间段(包括开始时间和截止时间),则该有效期为该时间段。进一步可选的,如果某一终端标识对应的拒绝时效超过有效期,则可删除该终端标识及其对应的拒绝时效,以节省存储开销;此时,在接收到携带该黑名单中任一终端标识的保单查询请求,即可直接拒绝该保单查询请求。
208、根据预设的分析结果和控制策略的对应关系,确定出该目标分析结果对应的控制策略,并按照确定出的该控制策略对该目标终端进行控制。
具体的,该步骤208的描述请参照上述图1所示实施例的相关描述,此处不赘述。
在本实施例中,识别设备能够通过获取各异常类型的历史异常数据并对其进行无监督训练后,训练得到异常行为识别模型,使得在接收到目标终端发送的保单查询请求时,能够通过获取预设时间范围内该目标终端上的目标操作数据,并确定预设时间范围内接收到的该目标终端发送的保单查询请求的次数大于阈值时,将该目标操作数据输入该异常行为识别模型进行异常查询识别,并能够根据预设的分析结果和控制策略的对应关系,确定出该目标分析结果对应的控制策略对该目标终端进行控制,这就有助于提升保单异常查询识别效率,降低识别开销和人工成本,且提升了异常查询识别的可靠性和终端的安全性。
上述方法实施例都是对本申请的基于识别模型的异常查询识别方法的举例说明,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
请参见图3,图3是本申请实施例提供的一种识别设备的结构示意图。本申请实施例的识别设备包括用于执行上述基于识别模型的异常查询识别方法的单元。具体的,本实施例的识别设备300可包括:获取单元301和处理单元302。其中,
获取单元301,用于当接收到目标终端发送的保单查询请求时,获取预设时间范围内所述目标终端上的目标操作数据;
处理单元302,用于将所述目标操作数据输入预置的异常行为识别模型,以得到针对所述保单查询请求对应的查询操作的目标分析结果;其中,所述异常行为识别模型是根据历史记录中异常查询的保单的操作数据训练得到的,所述目标分析结果用于指示所述查询操作是否异常,所述目标分析结果包括所述查询操作是否异常的标记信息、所述查询操作存在异常的概率、所述查询操作异常时的异常类型中的任一项或多项;
处理单元302,还用于根据预设的分析结果和控制策略的对应关系,确定出所述目标分析结果对应的控制策略,并按照确定出的所述控制策略对所述目标终端进行控制。
可选的,所述获取单元301,还可用于从数据库中获取第一数量的第一异常类型的操作数据,以及获取第二数量的第二异常类型的操作数据,所述第一数量与所述第二数量的差值小于预设的第一数目阈值;
所述处理单元302,还可用于利用无监督算法分别对所述第一异常类型的操作数据和所述第二异常类型的操作数据进行训练,以得到异常操作数据样本;
所述处理单元302,还可用于利用所述异常操作数据样本进行模型训练,以得到所述异常行为识别模型。
可选的,所述保单查询请求携带有所述目标终端的标识;
所述处理单元302,还可用于在所述将所述目标操作数据输入预置的异常行为识别模型之前,根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数;判断所述次数是否大于预设的第二数目阈值;如果所述次数大于所述第二数目阈值,触发所述将所述目标操作数据输入预置的异常行为识别模型。
可选的,所述处理单元302,还可用于在所述根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数之前,使用预设的校验算法对所述目标终端的标识进行校验,以确定所述目标终端的标识是否被篡改;如果确定所述目标终端的标识被篡改,对所述目标终端的标识进行还原处理,以得到所述目标终端的原始标识;
所述处理单元302在执行所述根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数时,可具体用于:
使用所述校验算法分别对所述预设时间范围内接收到的所有保单查询请求携带的终端标识进行校验,以确定所述预设时间范围内每一个所述终端标识是否被篡改;
如果确定任一终端标识被篡改,对该终端标识进行还原处理,以得到该终端标识对应的原始终端标识;如果任一终端标识未被篡改,将该终端标识作为原始终端标识;
根据所述目标终端的原始标识和所述预设时间范围内每一个所述终端标识对应的原始终端标识,确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数。
可选的,所述保单查询请求携带有所述目标终端的标识;
所述处理单元302,还可用于在所述获取预设时间范围内所述目标终端上的目标操作数据之前,确定所述目标终端的标识的类型;根据预设的校验算法与标识类型的对应关系,从预设的校验算法集合中确定出与所述目标终端的标识的类型对应的目标校验算法;使用所述目标校验算法对所述终端标识进行校验,以确定所述目标终端的标识是否被篡改;如果确定所述目标终端的标识未被篡改,触发所述获取预设时间范围内所述目标终端上的目标操作数据。
可选的,所述处理单元302,还可用于在确定所述目标终端的标识被篡改时,拒绝所述目标终端的所述保单查询请求;为所述目标终端的标识设置拒绝时效,并将所述目标终端的标识和所述拒绝时效关联存储至预置的标识黑名单,所述标识黑名单包括至少一个终端标识以及每一个终端标识对应的拒绝时效。进一步的,当接收到携带所述至少一个终端标识中任一终端标识的保单查询请求,且该终端标识的拒绝时效处于有效期内时,拒绝该保单查询请求。
可选的,所述获取单元301,可具体用于获取预设时间范围内所述目标终端上的所有操作数据;识别所述目标终端所处的查询场景;根据预设的查询场景和筛选规则的对应关系,确定出与所述目标终端所处的查询场景对应的目标筛选规则;按照所述目标筛选规则从所述所有操作数据中筛选出所述目标操作数据。
具体的,该识别设备可通过上述单元实现上述图1至图2所示实施例中的基于识别模型的异常查询识别方法中的部分或全部步骤。应理解,本申请实施例是对应方法实施例的装置实施例,对方法实施例的描述,也适用于本申请实施例。
请参见图4,图4是本申请实施例提供的另一种识别设备的结构示意图。该识别设备用于执行上述的方法。如图4所示,本实施例中的识别设备400可以包括:一个或多个处理器401、存储器402和通信接口403。可选的,该服务器还可包括一个或多个用户接口404。上述处理器401、通信接口403、用户接口404和存储器402可通过总线405连接,或者可以通过其他方式连接,图4中以总线方式进行示例说明。其中,存储器402可用于存储计算机程序,所述计算机程序包括程序指令,处理器401用于执行存储器402存储的程序指令。其中,处理器401可用于调用所述程序指令执行上述图1至图2中的部分或全部步骤。
例如,处理器401可用于调用所述程序指令执行以下步骤:当通过通信接口403接收到目标终端发送的保单查询请求时,获取预设时间范围内所述目标终端上的目标操作数据;将所述目标操作数据输入预置的异常行为识别模型,以得到针对所述保单查询请求对应的查询操作的目标分析结果;其中,所述异常行为识别模型是根据历史记录中异常查询的保单的操作数据训练得到的,所述目标分析结果用于指示所述查询操作是否异常,所述目标分析结果包括所述查询操作是否异常的标记信息、所述查询操作存在异常的概率、所述查询操作异常时的异常类型中的任一项或多项;根据预设的分析结果和控制策略的对应关系,确定出所述目标分析结果对应的控制策略,并按照确定出的所述控制策略对所述目标终端进行控制。
可选的,处理器401还用于执行以下步骤:从数据库中获取第一数量的第一异常类型的操作数据,以及获取第二数量的第二异常类型的操作数据,所述第一数量与所述第二数量的差值小于预设的第一数目阈值;利用无监督算法分别对所述第一异常类型的操作数据和所述第二异常类型的操作数据进行训练,以得到异常操作数据样本;利用所述异常操作数据样本进行模型训练,以得到所述异常行为识别模型。
可选的,所述保单查询请求携带有所述目标终端的标识;处理器401在执行所述将所述目标操作数据输入预置的异常行为识别模型之前,还用于执行以下步骤:根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数;判断所述次数是否大于预设的第二数目阈值;如果所述次数大于所述第二数目阈值,触发所述将所述目标操作数据输入预置的异常行为识别模型的步骤。
可选的,处理器401在执行所述根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数之前,还用于执行以下步骤:使用预设的校验算法对所述目标终端的标识进行校验,以确定所述目标终端的标识是否被篡改;如果确定所述目标终端的标识被篡改,对所述目标终端的标识进行还原处理,以得到所述目标终端的原始标识;
处理器401在执行所述根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数时,可具体执行以下步骤:使用所述校验算法分别对所述预设时间范围内接收到的所有保单查询请求携带的终端标识进行校验,以确定所述预设时间范围内每一个所述终端标识是否被篡改;如果确定任一终端标识被篡改,对该终端标识进行还原处理,以得到该终端标识对应的原始终端标识;如果任一终端标识未被篡改,将该终端标识作为原始终端标识;根据所述目标终端的原始标识和所述预设时间范围内每一个所述终端标识对应的原始终端标识,确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数。
可选的,处理器401在执行所述保单查询请求携带有所述目标终端的标识;在所述获取预设时间范围内所述目标终端上的目标操作数据之前,还可执行以下步骤:确定所述目标终端的标识的类型;根据预设的校验算法与标识类型的对应关系,从预设的校验算法集合中确定出与所述目标终端的标识的类型对应的目标校验算法;使用所述目标校验算法对所述终端标识进行校验,以确定所述目标终端的标识是否被篡改;如果确定所述目标终端的标识未被篡改,触发所述获取预设时间范围内所述目标终端上的目标操作数据的步骤。
可选的,处理器401还可执行以下步骤:如果确定所述目标终端的标识被篡改,拒绝所述目标终端的所述保单查询请求;为所述目标终端的标识设置拒绝时效,并将所述目标终端的标识和所述拒绝时效关联存储至预置的标识黑名单,所述标识黑名单包括至少一个终端标识以及每一个终端标识对应的拒绝时效;当通过通信接口403接收到携带所述至少一个终端标识中任一终端标识的保单查询请求,且该终端标识的拒绝时效处于有效期内时,拒绝该保单查询请求。
可选的,处理器401在执行所述获取预设时间范围内所述目标终端上的目标操作数据时,可具体执行以下步骤:获取预设时间范围内所述目标终端上的所有操作数据;识别所述目标终端所处的查询场景;根据预设的查询场景和筛选规则的对应关系,确定出与所述目标终端所处的查询场景对应的目标筛选规则;按照所述目标筛选规则从所述所有操作数据中筛选出所述目标操作数据。
其中,所述处理器401可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
通信接口403可包括接收器和发射器,用于与其他设备如终端进行通信。
用户接口404可包括输入设备和输出设备,输入设备可以包括触控板、麦克风等,输出设备可以包括显示器(LCD等)、扬声器等。
存储器402可以包括只读存储器和随机存取存储器,并向处理器401提供指令和数据。存储器402的一部分还可以包括非易失性随机存取存储器。例如,存储器402还可以存储上述的操作数据、校验算法与标识类型的对应关系、标识黑名单等等。
具体实现中,本申请实施例中所描述的处理器401等可执行上述图1至图2所示的方法实施例中所描述的实现方式,也可执行本申请实施例图3所描述的各单元的实现方式,此处不赘述。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时可实现图1至图2所对应实施例中描述的基于识别模型的异常查询识别方法中的部分或全部步骤,也可实现本申请图3或图4所示实施例的识别设备的功能,此处不赘述。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法中的部分或全部步骤。
所述计算机可读存储介质可以是前述任一实施例所述的识别设备的内部存储单元,例如识别设备的硬盘或内存。所述计算机可读存储介质也可以是所述识别设备的外部存储设备,例如所述识别设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
在本申请中,术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
以上所述,仅为本申请的部分实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种基于识别模型的异常查询识别方法,其特征在于,包括:
当接收到目标终端发送的保单查询请求时,获取预设时间范围内所述目标终端上的目标操作数据;
将所述目标操作数据输入预置的异常行为识别模型,以得到针对所述保单查询请求对应的查询操作的目标分析结果;其中,所述异常行为识别模型是根据历史记录中异常查询的保单的操作数据训练得到的,所述目标分析结果用于指示所述查询操作是否异常,所述目标分析结果包括所述查询操作是否异常的标记信息、所述查询操作存在异常的概率、所述查询操作异常时的异常类型中的任一项或多项;
根据预设的分析结果和控制策略的对应关系,确定出所述目标分析结果对应的控制策略,并按照确定出的所述控制策略对所述目标终端进行控制。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从数据库中获取第一数量的第一异常类型的操作数据,以及获取第二数量的第二异常类型的操作数据,所述第一数量与所述第二数量的差值小于预设的第一数目阈值;
利用无监督算法分别对所述第一异常类型的操作数据和所述第二异常类型的操作数据进行训练,以得到异常操作数据样本;
利用所述异常操作数据样本进行模型训练,以得到所述异常行为识别模型。
3.根据权利要求1所述的方法,其特征在于,所述保单查询请求携带有所述目标终端的标识;在所述将所述目标操作数据输入预置的异常行为识别模型之前,所述方法还包括:
根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数;
判断所述次数是否大于预设的第二数目阈值;
如果所述次数大于所述第二数目阈值,触发所述将所述目标操作数据输入预置的异常行为识别模型的步骤。
4.根据权利要求3所述的方法,其特征在于,在所述根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数之前,所述方法还包括:
使用预设的校验算法对所述目标终端的标识进行校验,以确定所述目标终端的标识是否被篡改;
如果确定所述目标终端的标识被篡改,对所述目标终端的标识进行还原处理,以得到所述目标终端的原始标识;
所述根据所述目标终端的标识确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数,包括:
使用所述校验算法分别对所述预设时间范围内接收到的所有保单查询请求携带的终端标识进行校验,以确定所述预设时间范围内每一个所述终端标识是否被篡改;
如果确定任一终端标识被篡改,对该终端标识进行还原处理,以得到该终端标识对应的原始终端标识;如果任一终端标识未被篡改,将该终端标识作为原始终端标识;
根据所述目标终端的原始标识和所述预设时间范围内每一个所述终端标识对应的原始终端标识,确定出所述预设时间范围内接收到的所述目标终端发送的保单查询请求的次数。
5.根据权利要求1所述的方法,其特征在于,所述保单查询请求携带有所述目标终端的标识;在所述获取预设时间范围内所述目标终端上的目标操作数据之前,所述方法还包括:
确定所述目标终端的标识的类型;
根据预设的校验算法与标识类型的对应关系,从预设的校验算法集合中确定出与所述目标终端的标识的类型对应的目标校验算法;
使用所述目标校验算法对所述终端标识进行校验,以确定所述目标终端的标识是否被篡改;
如果确定所述目标终端的标识未被篡改,触发所述获取预设时间范围内所述目标终端上的目标操作数据的步骤。
6.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
如果确定所述目标终端的标识被篡改,拒绝所述目标终端的所述保单查询请求;
为所述目标终端的标识设置拒绝时效,并将所述目标终端的标识和所述拒绝时效关联存储至预置的标识黑名单,所述标识黑名单包括至少一个终端标识以及每一个终端标识对应的拒绝时效;
当接收到携带所述至少一个终端标识中任一终端标识的保单查询请求,且该终端标识的拒绝时效处于有效期内时,拒绝该保单查询请求。
7.根据权利要求1所述的方法,其特征在于,所述获取预设时间范围内所述目标终端上的目标操作数据,包括:
获取预设时间范围内所述目标终端上的所有操作数据;
识别所述目标终端所处的查询场景;
根据预设的查询场景和筛选规则的对应关系,确定出与所述目标终端所处的查询场景对应的目标筛选规则;
按照所述目标筛选规则从所述所有操作数据中筛选出所述目标操作数据。
8.一种识别设备,其特征在于,包括用于执行如权利要求1-7任一项权利要求所述的方法的单元。
9.一种识别设备,其特征在于,包括处理器、通信接口和存储器,所述处理器、通信接口和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811416103.0A CN109299135B (zh) | 2018-11-26 | 2018-11-26 | 基于识别模型的异常查询识别方法、识别设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811416103.0A CN109299135B (zh) | 2018-11-26 | 2018-11-26 | 基于识别模型的异常查询识别方法、识别设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109299135A true CN109299135A (zh) | 2019-02-01 |
CN109299135B CN109299135B (zh) | 2024-05-14 |
Family
ID=65143741
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811416103.0A Active CN109299135B (zh) | 2018-11-26 | 2018-11-26 | 基于识别模型的异常查询识别方法、识别设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109299135B (zh) |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110362401A (zh) * | 2019-06-20 | 2019-10-22 | 深圳壹账通智能科技有限公司 | 数据跑批方法、装置、存储介质及集群中的成员主机 |
CN110427971A (zh) * | 2019-07-05 | 2019-11-08 | 五八有限公司 | 用户及ip的识别方法、装置、服务器和存储介质 |
CN110706091A (zh) * | 2019-08-30 | 2020-01-17 | 平安普惠企业管理有限公司 | 对预定位置的异常行为的预警方法及相关装置 |
CN110855703A (zh) * | 2019-11-22 | 2020-02-28 | 秒针信息技术有限公司 | 智能风险识别系统、方法和电子设备 |
CN110866049A (zh) * | 2019-11-27 | 2020-03-06 | 北京明略软件系统有限公司 | 目标对象类别的确认方法及装置、存储介质、电子装置 |
CN112069385A (zh) * | 2020-09-04 | 2020-12-11 | 中国平安人寿保险股份有限公司 | 一种保单数据处理方法、设备、服务器及存储介质 |
CN112182509A (zh) * | 2020-09-16 | 2021-01-05 | 支付宝(杭州)信息技术有限公司 | 一种合规数据的异常检测方法、装置及设备 |
CN112837825A (zh) * | 2021-02-10 | 2021-05-25 | 北京声智科技有限公司 | 一种预警方法、系统和相关设备 |
CN113111098A (zh) * | 2021-06-11 | 2021-07-13 | 阿里云计算有限公司 | 检测时序数据的查询的方法、装置及时序数据库系统 |
CN113965781A (zh) * | 2020-07-21 | 2022-01-21 | 武汉斗鱼网络科技有限公司 | 一种风控策略执行方法和装置 |
CN114067341A (zh) * | 2020-07-27 | 2022-02-18 | 顺丰科技有限公司 | 异常操作运单的识别方法、装置、电子设备及存储介质 |
CN114116187A (zh) * | 2020-08-26 | 2022-03-01 | 中国电信股份有限公司 | 容器资源动态扩容方法和装置 |
CN114244611A (zh) * | 2021-12-17 | 2022-03-25 | 中国平安财产保险股份有限公司 | 异常攻击检测方法、装置、设备及存储介质 |
WO2022068564A1 (zh) * | 2020-09-30 | 2022-04-07 | 华为技术有限公司 | 设备异常监测方法及设备 |
CN114647636A (zh) * | 2022-05-13 | 2022-06-21 | 杭银消费金融股份有限公司 | 大数据异常检测方法及系统 |
CN114817912A (zh) * | 2022-06-15 | 2022-07-29 | 国网浙江省电力有限公司杭州供电公司 | 基于行为识别模型的病毒阻断处理方法及平台 |
CN115033747A (zh) * | 2022-06-24 | 2022-09-09 | 北京百度网讯科技有限公司 | 异常状态的检索方法及其装置 |
CN115043446A (zh) * | 2020-06-16 | 2022-09-13 | 浙江富春紫光环保股份有限公司 | 基于异常分类模型的污水处理进程的异常监控方法与系统 |
CN116383795A (zh) * | 2023-06-01 | 2023-07-04 | 杭州海康威视数字技术股份有限公司 | 生物特征识别方法、装置及电子设备 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040215755A1 (en) * | 2000-11-17 | 2004-10-28 | O'neill Patrick J. | System and method for updating and distributing information |
CN1859224A (zh) * | 2005-12-31 | 2006-11-08 | 华为技术有限公司 | 一种业务行为异常处理方法及系统 |
CN101203052A (zh) * | 2007-12-24 | 2008-06-18 | 华为技术有限公司 | 一种防范恶意业务请求的方法和设备 |
CN103297435A (zh) * | 2013-06-06 | 2013-09-11 | 中国科学院信息工程研究所 | 一种基于web日志的异常访问行为检测方法与系统 |
CN104796383A (zh) * | 2014-01-20 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种终端信息防篡改的方法和装置 |
CN104866296A (zh) * | 2014-02-25 | 2015-08-26 | 腾讯科技(北京)有限公司 | 数据处理方法和装置 |
CN105957271A (zh) * | 2015-12-21 | 2016-09-21 | 中国银联股份有限公司 | 一种金融终端安全防护方法及系统 |
CN107800678A (zh) * | 2017-02-16 | 2018-03-13 | 平安科技(深圳)有限公司 | 检测终端异常注册的方法及装置 |
CN107896170A (zh) * | 2017-11-08 | 2018-04-10 | 平安科技(深圳)有限公司 | 保险应用系统的监控方法及装置 |
CN108595957A (zh) * | 2018-05-02 | 2018-09-28 | 腾讯科技(深圳)有限公司 | 浏览器主页篡改检测方法、装置及存储介质 |
CN108737333A (zh) * | 2017-04-17 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种数据检测方法以及装置 |
-
2018
- 2018-11-26 CN CN201811416103.0A patent/CN109299135B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040215755A1 (en) * | 2000-11-17 | 2004-10-28 | O'neill Patrick J. | System and method for updating and distributing information |
CN1859224A (zh) * | 2005-12-31 | 2006-11-08 | 华为技术有限公司 | 一种业务行为异常处理方法及系统 |
CN101203052A (zh) * | 2007-12-24 | 2008-06-18 | 华为技术有限公司 | 一种防范恶意业务请求的方法和设备 |
CN103297435A (zh) * | 2013-06-06 | 2013-09-11 | 中国科学院信息工程研究所 | 一种基于web日志的异常访问行为检测方法与系统 |
CN104796383A (zh) * | 2014-01-20 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种终端信息防篡改的方法和装置 |
CN104866296A (zh) * | 2014-02-25 | 2015-08-26 | 腾讯科技(北京)有限公司 | 数据处理方法和装置 |
CN105957271A (zh) * | 2015-12-21 | 2016-09-21 | 中国银联股份有限公司 | 一种金融终端安全防护方法及系统 |
CN107800678A (zh) * | 2017-02-16 | 2018-03-13 | 平安科技(深圳)有限公司 | 检测终端异常注册的方法及装置 |
CN108737333A (zh) * | 2017-04-17 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种数据检测方法以及装置 |
CN107896170A (zh) * | 2017-11-08 | 2018-04-10 | 平安科技(深圳)有限公司 | 保险应用系统的监控方法及装置 |
CN108595957A (zh) * | 2018-05-02 | 2018-09-28 | 腾讯科技(深圳)有限公司 | 浏览器主页篡改检测方法、装置及存储介质 |
Non-Patent Citations (1)
Title |
---|
姚前 等: "基于数据挖掘的个人征信系统异常查询实时监测模型及其应用", 《大数据》, no. 04, pages 83 - 92 * |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110362401A (zh) * | 2019-06-20 | 2019-10-22 | 深圳壹账通智能科技有限公司 | 数据跑批方法、装置、存储介质及集群中的成员主机 |
CN110427971A (zh) * | 2019-07-05 | 2019-11-08 | 五八有限公司 | 用户及ip的识别方法、装置、服务器和存储介质 |
CN110706091A (zh) * | 2019-08-30 | 2020-01-17 | 平安普惠企业管理有限公司 | 对预定位置的异常行为的预警方法及相关装置 |
CN110855703A (zh) * | 2019-11-22 | 2020-02-28 | 秒针信息技术有限公司 | 智能风险识别系统、方法和电子设备 |
CN110866049A (zh) * | 2019-11-27 | 2020-03-06 | 北京明略软件系统有限公司 | 目标对象类别的确认方法及装置、存储介质、电子装置 |
CN115043446B (zh) * | 2020-06-16 | 2024-01-23 | 浙江富春紫光环保股份有限公司 | 基于异常分类模型的污水处理进程的异常监控方法与系统 |
CN115043446A (zh) * | 2020-06-16 | 2022-09-13 | 浙江富春紫光环保股份有限公司 | 基于异常分类模型的污水处理进程的异常监控方法与系统 |
CN113965781B (zh) * | 2020-07-21 | 2023-11-24 | 东初智能科技(上海)有限公司 | 一种风控策略执行方法和装置 |
CN113965781A (zh) * | 2020-07-21 | 2022-01-21 | 武汉斗鱼网络科技有限公司 | 一种风控策略执行方法和装置 |
CN114067341A (zh) * | 2020-07-27 | 2022-02-18 | 顺丰科技有限公司 | 异常操作运单的识别方法、装置、电子设备及存储介质 |
CN114116187B (zh) * | 2020-08-26 | 2024-02-02 | 中国电信股份有限公司 | 容器资源动态扩容方法和装置 |
CN114116187A (zh) * | 2020-08-26 | 2022-03-01 | 中国电信股份有限公司 | 容器资源动态扩容方法和装置 |
CN112069385A (zh) * | 2020-09-04 | 2020-12-11 | 中国平安人寿保险股份有限公司 | 一种保单数据处理方法、设备、服务器及存储介质 |
CN112069385B (zh) * | 2020-09-04 | 2023-09-22 | 中国平安人寿保险股份有限公司 | 一种保单数据处理方法、设备、服务器及存储介质 |
CN112182509A (zh) * | 2020-09-16 | 2021-01-05 | 支付宝(杭州)信息技术有限公司 | 一种合规数据的异常检测方法、装置及设备 |
WO2022068564A1 (zh) * | 2020-09-30 | 2022-04-07 | 华为技术有限公司 | 设备异常监测方法及设备 |
EP4210289A4 (en) * | 2020-09-30 | 2024-02-28 | Petal Cloud Technology Co., Ltd. | METHOD AND DEVICE FOR MONITORING DEVICE ANOMALIES |
CN112837825B (zh) * | 2021-02-10 | 2022-08-16 | 北京声智科技有限公司 | 一种预警方法、系统和相关设备 |
CN112837825A (zh) * | 2021-02-10 | 2021-05-25 | 北京声智科技有限公司 | 一种预警方法、系统和相关设备 |
CN113111098A (zh) * | 2021-06-11 | 2021-07-13 | 阿里云计算有限公司 | 检测时序数据的查询的方法、装置及时序数据库系统 |
CN114244611A (zh) * | 2021-12-17 | 2022-03-25 | 中国平安财产保险股份有限公司 | 异常攻击检测方法、装置、设备及存储介质 |
CN114244611B (zh) * | 2021-12-17 | 2023-10-13 | 中国平安财产保险股份有限公司 | 异常攻击检测方法、装置、设备及存储介质 |
CN114647636A (zh) * | 2022-05-13 | 2022-06-21 | 杭银消费金融股份有限公司 | 大数据异常检测方法及系统 |
CN114817912B (zh) * | 2022-06-15 | 2022-11-04 | 国网浙江省电力有限公司杭州供电公司 | 基于行为识别模型的病毒阻断处理方法及平台 |
CN114817912A (zh) * | 2022-06-15 | 2022-07-29 | 国网浙江省电力有限公司杭州供电公司 | 基于行为识别模型的病毒阻断处理方法及平台 |
CN115033747B (zh) * | 2022-06-24 | 2023-05-30 | 北京百度网讯科技有限公司 | 异常状态的检索方法及其装置 |
CN115033747A (zh) * | 2022-06-24 | 2022-09-09 | 北京百度网讯科技有限公司 | 异常状态的检索方法及其装置 |
CN116383795B (zh) * | 2023-06-01 | 2023-08-25 | 杭州海康威视数字技术股份有限公司 | 生物特征识别方法、装置及电子设备 |
CN116383795A (zh) * | 2023-06-01 | 2023-07-04 | 杭州海康威视数字技术股份有限公司 | 生物特征识别方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN109299135B (zh) | 2024-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109299135B (zh) | 基于识别模型的异常查询识别方法、识别设备及介质 | |
CN109241711B (zh) | 基于预测模型的用户行为识别方法及装置 | |
WO2020019484A1 (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
CN110417778B (zh) | 访问请求的处理方法和装置 | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
WO2020019483A1 (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
CN109756458B (zh) | 身份认证方法和系统 | |
CN109918279B (zh) | 电子装置、基于日志数据识别用户异常操作的方法及存储介质 | |
CN109145590B (zh) | 一种函数hook检测方法、检测设备及计算机可读介质 | |
CN109062667B (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
CN109600362B (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
CN113726780B (zh) | 基于态势感知的网络监控方法、装置、电子设备 | |
CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
US11297082B2 (en) | Protocol-independent anomaly detection | |
CN114726571A (zh) | 一种网络安全预警管理平台和方法 | |
JP7176564B2 (ja) | 監視装置、および、監視方法 | |
CN109902486A (zh) | 电子装置、异常用户处理策略智能决策方法及存储介质 | |
CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 | |
CN115242497A (zh) | 一种基于区块链的数据防篡改方法及系统 | |
CN112395600B (zh) | 恶意行为的去误报方法、装置及设备 | |
KR102177392B1 (ko) | 맥락 데이터 기반 모바일 사용자 인증 장치 및 방법 | |
CN113448806A (zh) | 数据库集群异常检测方法、装置、终端设备及存储介质 | |
US20200226257A1 (en) | System and method for identifying activity in a computer system | |
CN111508617B (zh) | 疫情数据维护方法、装置、计算机设备和可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |