CN109361660A - 异常行为分析方法、系统、服务器及存储介质 - Google Patents
异常行为分析方法、系统、服务器及存储介质 Download PDFInfo
- Publication number
- CN109361660A CN109361660A CN201811152056.3A CN201811152056A CN109361660A CN 109361660 A CN109361660 A CN 109361660A CN 201811152056 A CN201811152056 A CN 201811152056A CN 109361660 A CN109361660 A CN 109361660A
- Authority
- CN
- China
- Prior art keywords
- target
- abnormal behaviour
- information
- matching degree
- behavioural information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种异常行为分析方法、系统、服务器及存储介质,所述文件传输方法包括:采集正常样本用户特征,建立常规用户模型;收集异常样本用户特征,建立异常用户模型;对目标用户设备行为进行分析;当与异常用户模型的匹配度大于或等于与常规用户模型的匹配度时,向用户发送重复验证指令。本发明解决了现有的技术存在无法及时制止风险访问及账户登录后缺乏安全防护手段的问题;达到了不影响用户体验的情况下,提高用户账户安全的技术效果。
Description
技术领域
本发明设计信息安全技术领域,尤其涉及异常行为分析方法、系统、服务器及存储介质。
背景技术
目前账户的安全验证只在登录时进行,但是如今的许多网页及应用为了客户的使用便利,提供了保存登录信息的服务,给用户的账户带来了风险,而目前的应对手段主要为记录用户登录的位置信息,当用户账户进行异地登录时,对用户发出风险提示,现有的技术存在无法及时制止风险访问及账户登录后缺乏安全防护手段的问题。
发明内容
本发明的主要目的在于提供异常行为分析方法、用户设备及存储介质,旨在解决现有技术中,无法及时制止风险访问及账户登录后缺乏安全防护手段的问题。
为达到上述目的,本发明提出一种异常行为分析方法,所述异常行为分析方法包括以下步骤:
获取目标用户设备的行为信息;
确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度;
当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令。
优选地,所述确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度之后,所述异常行为分析方法还包括:
当所述第一匹配度大于等于所述第二匹配度时,返回所述获取目标用户设备的行为信息的步骤。
优选地,所述获取目标用户设备的行为信息之前,所述异常行为分析方法还包括:
获取正常样本用户特征及异常样本用户特征;
根据正常样本用户特征建立正常模型学习库,并根据异常样本用户特征建立异常模型学习库;
根据正常模型学习库建立常规模型,并根据异常模型学习库建立异常模型。
优选地,所述当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令之后,所述异常行为分析方法还包括:
接收用户设备反馈的第一验证信息;
对所述第一验证信息进行校验;
若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户。
优选地,所述对所述第一验证信息进行校验之后,所述异常行为分析方法还包括:
若校验结果为通过验证,则将所述目标用户设备的行为信息添加至所述常规模型学习库,并返回所述获取目标用户设备的行为信息的步骤。
优选地,所述若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户之后,所述异常行为分析方法还包括:
响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令;
接收所述目标用户设备反馈的第二验证信息;
对所述第二验证信息进行校验;
若校验结果为通过验证,则删除所述目标用户设备登录的账户的风险标记;
将所述目标用户设备的行为信息添加至所述常规模型学习库;
若校验结果为未通过验证,则将所述目标用户设备的行为信息添加至所述异常模型学习库;
向所述目标用户设备的预留联系方式发送安全提示及密码重置信息。
优选地,所述响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令之后,所述异常行为分析方法还包括:
若预设时间内未收到所述目标设备对退出的账户进行登录操作,则将所述目标用户设备的行为信息添加至所述异常模型学习库。
本发明还提出一种异常行为分析系统,所述行为分析系统包括:
数据采集单元,用于获取目标用户设备的行为信息;
数据处理单元,用于确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度;
异常处理单元,用于当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送验证指令。
本发明还提出一种服务器,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行异常行为分析程序,所述异常行为分析程序被所述处理器执行时实现如权利要求如上所述的异常行为分析方法的步骤。
本发明还提出一种存储介质,所述存储介质上存储有行为分析程序,所述行为分析程序被处理器执行时如权利要求如上所述的异常行为分析方法的步骤。
本发明技术方案通过建立常规模型及异常模型,分析目标用户设备的行为信息,对目标用户设备的行为信息与常规模型及异常模型进行匹配,当常规模型匹配度小于异常模型时,对用户设备发送验证指令,根据反馈的验证信息,控制目标用户设备访问权限,并完善模型的数据,使得异常行为的分析更为准确;本发明技术方案解决了现有的技术存在无法及时制止风险访问及账户登录后缺乏安全防护手段的问题,增强了用户账户的安全性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的服务器结构示意图;
图2为本发明异常行为分析方法第一实施例的流程示意图;
图3为本发明异常行为分析方法第二实施例的流程示意图;
图4为本发明异常行为分析方法第三实施例的流程示意图;
图5为本发明异常行为分析方法第四实施例的流程示意图;
图6为本发明访问行为安全防护的装置的功能模块图。
本发明目的、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1是本发明实施例方案涉及的硬件运行环境的服务器结构示意图。
如图1所示,所述服务器可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储服务器。
本领域技术人员可以理解,图1中示出的结构并不构成对所述服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及异常行为分析程序。
在图1所示的网络设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接外设;所述网络设备通过处理器1001调用存储器1005中存储的异常行为分析程序,并执行以下操作:
获取目标用户设备的行为信息;
确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度;
当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令
进一步地,处理器1001可以调用存储器1005中存储的异常行为分析程序,还执行以下操作:
当所述第一匹配度大于等于所述第二匹配度时,返回所述获取目标用户设备的行为信息的步骤。
进一步地,处理器1001可以调用存储器1005中存储的异常行为分析程序,还执行以下操作:
获取正常样本用户特征及异常样本用户特征;
根据正常样本用户特征建立正常模型学习库,并根据异常样本用户特征建立异常模型学习库;
根据正常模型学习库建立常规模型,并根据异常模型学习库建立异常模型。
进一步地,处理器1001可以调用存储器1005中存储的异常行为分析程序,还执行以下操作:
接收用户设备反馈的第一验证信息;
对所述第一验证信息进行校验;
若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户。
进一步地,处理器1001可以调用存储器1005中存储的异常行为分析程序,还执行以下操作:
若校验结果为通过验证,则将所述目标用户设备的行为信息添加至所述常规模型学习库,并返回所述获取目标用户设备的行为信息的步骤。
进一步地,处理器1001可以调用存储器1005中存储的异常行为分析程序,还执行以下操作:
响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令;
接收所述目标用户设备反馈的第二验证信息;
对所述第二验证信息进行校验;
若校验结果为通过验证,则删除所述目标用户设备登录的账户的风险标记;
将所述目标用户设备的行为信息添加至所述常规模型学习库;
若校验结果为未通过验证,则将所述目标用户设备的行为信息添加至所述异常模型学习库;
向所述目标用户设备的预留联系方式发送安全提示及密码重置信息。
本实施例通过建立常规模型及异常模型,分析目标用户设备的行为信息,对目标用户设备的行为信息与常规模型及异常模型进行匹配,当常规模型匹配度小于异常模型时,对用户设备发送验证指令,根据反馈的验证信息,控制目标用户设备访问权限,并完善模型的数据,使得异常行为的分析更为准确;本发明技术方案解决了现有的技术存在无法及时制止风险访问及账户登录后缺乏安全防护手段的问题,增强了用户账户的安全性。
基于上述硬件结构,提出本发明异常行为分析方法的实施例。
如图2所示,所述服务器在第一实施例中,所述异常行为分析方法包括以下步骤:
S10、获取目标用户设备的行为信息;
可以理解的是,详细的采集过程为目标用户设备使用浏览器或者网页登录目标账户,访问服务器,此时,采集用户的行为信息,例如两次点击之间的间隔时间、内容页面的停留时间、是否意图浏览不公开信息及是否尝试套取密码等,需要注意的是,所述行为信息不包括用户访问的内容及其他隐私信息。
S20、确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度;
可以理解的是,所述第一匹配度为所述行为信息与所述常规模型之间的匹配度,所述第二匹配度为所述行为信息与所述异常模型之间的匹配度;易于理解的是将采集到的行为信息与常规模型及异常模型进行匹配,得到二者的匹配度,需要注意的是,此处的匹配度接近但不同于相似度。
S30、当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令。
可以理解的是,当所述第一匹配度小于所述第二匹配度时,所述行为信息与所述常规模型的匹配度小于与所述异常模型的匹配度,即更接近异常模型,则此时,判定所述行为信息属于异常信息,此时向目标用户设备发送验证指令;易于理解的是,此验证指令的目的是验证用户是否为本人登录。
本实施例通过建立常规模型及异常模型,分析目标用户设备的行为信息,对目标用户设备的行为信息与常规模型及异常模型进行匹配,当常规模型匹配度小于异常模型时,判定目标用户的行为信息为异常行为信息,对用户设备发送验证指令,本发明技术方案解决了现有的技术存在无法及时制止风险访问及账户登录后缺乏安全防护手段的问题,增强了用户账户的安全性。
在第二实施例中,所述获取目标用户设备的行为信息之前,所述异常行为分析方法具体包括:
S50、获取正常样本用户特征及异常样本用户特征;
该步骤易于理解的是,获取原始样本特征并进行分类,所述获取方法包括采集系统采集然后人工分类等方式,需要注意的是,所述样本用户特征为行为特征。
S60、根据正常样本用户特征建立正常模型学习库,并根据异常样本用户特征建立异常模型学习库;
该步骤易于理解的是,将分类后的样本特征对应存储至所述正常模型学习库及所述异常模型学习库,其中,正常样本用户特征存储在正常模型学习库中,异常样本用户特征存储在异常模型学习库中,需要注意的是,该学习库建立完成后依然可以添加、修改或删除数据。
S70、根据正常模型学习库建立常规模型,并根据异常模型学习库建立异常模型。
该步骤易于理解的是,根据分类后的特征数据建立对应的模型,需要注意的是,常规模型会随着正常模型学习库中数据的改变而改变,例如,正常模型学习库中的数据增加,则常规模型在对采集到的行为信息进行匹配时的匹配度会更接近真实值,即更加准确。
本实施例通过采集样板数据,建立模型学习数据库,进而建立模型,将采集到的用户行为信息进过筛选,分类后,程序自动将每一次异常行为识别过程采集到的信息添加为样板信息,增加并持续增加异常行为验证的准确度,提高了产品的竞争力,保障了用户体验。
在第三实施例中,所述S30之后;其中,异常行为分析方法具体包括:
S81、接收用户设备反馈的第一验证信息;
S82、对所述第一验证信息进行校验;
可以理解的是,此步骤为服务器对验证信息的验证过程,其中,所述验证方式包括但不限于预留的联系方式验证所述验证信息包括但不限于验证码。
S83、若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户;
易于理解的是,若目标用户非用户本人,则无法通过验证,此时,用户的账户信息可能已经泄露,故而将目标用户设备登录的账户标记为风险账户。
S84、若校验结果为通过验证,则将所述目标用户设备的行为信息添加至所述常规模型学习库,并返回所述获取目标用户设备的行为信息的步骤;
若通过验证,则判定目标账户为本人,则此次判断失误,将采集到的行为信息添加至所述常规模型学习库,增加下次判断的准确程度;并重新采集目标用户设备的行为信息。
本实施例通过建立常规模型及异常模型,分析目标用户设备的行为信息,对目标用户设备的行为信息与常规模型及异常模型进行匹配,当常规模型匹配度小于异常模型时,对用户设备发送验证指令,根据反馈的验证信息,控制目标用户设备访问权限,并完善常规模型及异常模型的数据,使得异常行为的分析更为准确;本发明技术方案解决了现有的技术存在无法及时制止风险访问及账户登录后缺乏安全防护手段的问题,增强了用户账户的安全性。
在第四实施例中,所述若校验结果为通过验证,则将所述目标用户设备的行为信息添加至所述常规模型学习库,并返回所述获取目标用户设备的行为信息的步骤之后,所述异常行为分析方法具体包括:
S91、若用于尝试二次登陆,响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令;
可以理解的是,在具体实现中若用户退出登录后会进行二次登录操作,此步骤应用于二次登录步骤的验证过程。
S92、接收所述目标用户设备反馈的第二验证信息;
S93对所述第二验证信息进行校验;
可以理解的是,步骤为S92及S93为二次登录的验证步骤其中,所述验证方式包括但不限于预留的联系方式验证所述验证信息包括但不限于验证码。
S94、若校验结果为通过验证,则删除所述用户设备登录的账户的风险标记;
可以理解的是,若验证通过,则判断之前校验失败为误操作,删除用户设备登录的账户的风险标记。
S95、将所述目标用户设备的行为信息添加至所述常规模型学习库;
可以理解的是,在具体实现中通过验证则该账户为本人使用,故而将采集到的行为信息添加至所述常规模型学习库,增加下次匹配的准确度。
S96若校验结果为未通过验证,则将所述目标用户设备的行为信息添加至所述异常模型学习库;
应当理解的是,在具体实现中未通过验证则该账户不是本人使用,故而将采集到的行为信息添加至所述异常模型学习库,增加下次匹配的准确度。
S97向所述目标用户设备的预留联系方式发送安全提示及密码重置信息;此时可能用户账户存在风险,故而向用户发送安全提示及密码重置信息。
本实施例将采集到的用户行为信息进过筛选,分类并额外进行验证后,程序自动将每一次异常行为识别过程采集到的信息添加为样板信息,增加并持续增加异常行为验证的准确度,提高了产品的竞争力,保障了用户体验。
本发明还提出一种存储介质,所述存储介质上存储有行为分析程序,所述行为分析程序被处理器执行时实现如下操作:
获取目标用户设备的行为信息;
确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度;
当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令。
进一步地,所述确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度之后,所述异常行为分析方法还包括:
当所述第一匹配度大于等于所述第二匹配度时,返回所述获取目标用户设备的行为信息的步骤。
进一步地,所述获取目标用户设备的行为信息之前,所述异常行为分析方法还包括:
获取正常样本用户特征及异常样本用户特征;
根据正常样本用户特征建立正常模型学习库,并根据异常样本用户特征建立异常模型学习库;
根据正常模型学习库建立常规模型,并根据异常模型学习库建立异常模型。
进一步地,所述当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令之后,所述异常行为分析方法还包括:
接收用户设备反馈的第一验证信息;
对所述第一验证信息进行校验;
若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户。
进一步地,所述对所述第一验证信息进行校验之后,所述异常行为分析方法还包括:
若校验结果为通过验证,则将所述目标用户设备的行为信息添加至所述常规模型学习库,并返回所述获取目标用户设备的行为信息的步骤。
进一步地,所述若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户之后,所述异常行为分析方法还包括:
响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令;
接收所述目标用户设备反馈的第二验证信息;
对所述第二验证信息进行校验;
若校验结果为通过验证,则删除所述目标用户设备登录的账户的风险标记;
将所述目标用户设备的行为信息添加至所述常规模型学习库;
若校验结果为未通过验证,则将所述目标用户设备的行为信息添加至所述异常模型学习库;
向所述目标用户设备的预留联系方式发送安全提示及密码重置信息。
进一步地,所述响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令之后,所述异常行为分析方法还包括:
若预设时间内未收到所述目标设备对退出的账户进行登录操作,则将所述目标用户设备的行为信息添加至所述异常模型学习库。
本实施例通过建立常规模型及异常模型,分析目标用户设备的行为信息,对目标用户设备的行为信息与常规模型及异常模型进行匹配,当常规模型匹配度小于异常模型时,对用户设备发送验证指令,根据反馈的验证信息,控制目标用户设备访问权限,并完善常规模型及异常模型的数据,使得异常行为的分析更为准确;本发明技术方案解决了现有的技术存在无法及时制止风险访问及账户登录后缺乏安全防护手段的问题,增强了用户账户的安全性。
此外,基于图6,本发明还提出一种服务器,所述服务器分析目标用户设备的行为信息是否异常包括以下步骤:
获取目标用户设备的行为信息;
确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度;
当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令。
进一步地,所述确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度之后,所述异常行为分析方法还包括:
当所述第一匹配度大于等于所述第二匹配度时,返回所述获取目标用户设备的行为信息的步骤。
进一步地,所述获取目标用户设备的行为信息之前,所述异常行为分析方法还包括:
获取正常样本用户特征及异常样本用户特征;
根据正常样本用户特征建立正常模型学习库,并根据异常样本用户特征建立异常模型学习库;
根据正常模型学习库建立常规模型,并根据异常模型学习库建立异常模型。
进一步地,所述当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令之后,所述异常行为分析方法还包括:
接收用户设备反馈的第一验证信息;
对所述第一验证信息进行校验;
若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户。
进一步地,所述对所述第一验证信息进行校验之后,所述异常行为分析方法还包括:
若校验结果为通过验证,则将所述目标用户设备的行为信息添加至所述常规模型学习库,并返回所述获取目标用户设备的行为信息的步骤。
进一步地,所述若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户之后,所述异常行为分析方法还包括:
响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令;
接收所述目标用户设备反馈的第二验证信息;
对所述第二验证信息进行校验;
若校验结果为通过验证,则删除所述目标用户设备登录的账户的风险标记;
将所述目标用户设备的行为信息添加至所述常规模型学习库;
若校验结果为未通过验证,则将所述目标用户设备的行为信息添加至所述异常模型学习库;
向所述目标用户设备的预留联系方式发送安全提示及密码重置信息。
进一步地,所述响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令之后,所述异常行为分析方法还包括:
若预设时间内未收到所述目标设备对退出的账户进行登录操作,则将所述目标用户设备的行为信息添加至所述异常模型学习库。
本实施例通过建立常规模型及异常模型,分析目标用户设备的行为信息,对目标用户设备的行为信息与常规模型及异常模型进行匹配,当常规模型匹配度小于异常模型时,对用户设备发送验证指令,根据反馈的验证信息,控制目标用户设备访问权限,并完善模型的数据,使得异常行为的分析更为准确;本发明技术方案解决了现有的技术存在无法及时制止风险访问及账户登录后缺乏安全防护手段的问题,增强了用户账户的安全性。
本发明还提出一种异常行为分析系统,所述行为分析系统包括:
数据采集单元700,用于获取目标用户设备800的行为信息;
数据处理单元500,用于确定所述目标用户设备800的行为信息与常规模型100之间的第一匹配度,并确定所述目标用户设备800的行为信息与异常模型200之间的第二匹配度;
异常处理单元600,用于当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备800的行为信息属于异常行为信息,并向所述目标用户设备800发送验证指令。
比较第一匹配度和第二匹配度的大小,若所述行为信息与所述常规模型100的匹配度小于所述行为信息与所述异常模型200的匹配度,则判断此目标用户设备行为为异常行为,并将目标用户设备登录账户标记为风险账户。
进一步地,若所述数据处理单元500判断此目标用户设备800行为为异常行为,所述数据处理单元500会发送预设指令a至所述异常处理单元600,所述异常处理单元600对目标用户设备800发送第一验证指令,若未能通过验证,退出所述目标用户设备800账户的登录,若通过则将所述行为信息添加至正常模型学习库。
进一步地,此时若用户再次登录,所述数据采集单元700会采集目标用户设备800的登录信息,发送至所述数据处理单元500,所述数据处理单元500读取信息判断为同一设备登录相同账户,则发送预设指令b至所述异常处理单元600,所述异常处理单600元对目标用户设备发送第二验证指令,若通过验证,则删除此账户的风险标记,并将所述行为信息添加至所述正常模型学习库300,若未通过验证,则将所述行为信息添加至异常模型学习库400;若用户超过预设时间未再次登录,则将所述行为信息添加至所述异常模型学习库400。
本实施例通过建立常规模型及异常模型,分析目标用户设备的行为信息,对目标用户设备的行为信息与常规模型及异常模型进行匹配,当常规模型匹配度小于异常模型时,对用户设备发送验证指令,根据反馈的验证信息,控制目标用户设备访问权限,并完善模型的数据,使得异常行为的分析更为准确;本发明技术方案解决了现有的技术存在无法及时制止风险访问及账户登录后缺乏安全防护手段的问题,增强了用户账户的安全性。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种异常行为分析方法,其特征在于,所述异常行为分析方法包括以下步骤:
获取目标用户设备的行为信息;
确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度;
当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令。
2.如权利要求1所述的异常行为分析方法,其特征在于,所述确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度之后,所述异常行为分析方法还包括:
当所述第一匹配度大于等于所述第二匹配度时,返回所述获取目标用户设备的行为信息的步骤。
3.如权利要求1所述的异常行为分析方法,其特征在于,所述获取目标用户设备的行为信息之前,所述异常行为分析方法还包括:
获取正常样本用户特征及异常样本用户特征;
根据正常样本用户特征建立正常模型学习库,并根据异常样本用户特征建立异常模型学习库;
根据正常模型学习库建立常规模型,并根据异常模型学习库建立异常模型。
4.如权利要求3所述的异常行为分析方法,其特征在于,所述当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送第一验证指令之后,所述异常行为分析方法还包括:
接收用户设备反馈的第一验证信息;
对所述第一验证信息进行校验;
若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户。
5.如权利要求4所述的异常行为分析方法,其特征在于,所述对所述第一验证信息进行校验之后,所述异常行为分析方法还包括:
若校验结果为通过验证,则将所述目标用户设备的行为信息添加至所述常规模型学习库,并返回所述获取目标用户设备的行为信息的步骤。
6.如权利要求4所述的异常行为分析方法,其特征在于,所述若校验结果为未通过验证,则退出目标用户设备登录的账户,并将目标用户设备登录的账户标记为风险账户之后,所述异常行为分析方法还包括:
响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令;
接收所述目标用户设备反馈的第二验证信息;
对所述第二验证信息进行校验;
若校验结果为通过验证,则删除所述目标用户设备登录的账户的风险标记;
将所述目标用户设备的行为信息添加至所述常规模型学习库;
若校验结果为未通过验证,则将所述目标用户设备的行为信息添加至所述异常模型学习库;
向所述目标用户设备的预留联系方式发送安全提示及密码重置信息。
7.如权利要求6所述的异常行为分析方法,其特征在于,所述响应于所述目标用户设备对退出的账户进行登录操作,对所述目标用户设备发送第二验证指令之后,所述异常行为分析方法还包括:
若预设时间内未收到所述目标设备对退出的账户进行登录操作,则将所述目标用户设备的行为信息添加至所述异常模型学习库。
8.一种异常行为分析系统,其特征在于,所述行为分析系统包括:
数据采集单元,用于获取目标用户设备的行为信息;
数据处理单元,用于确定所述目标用户设备的行为信息与常规模型之间的第一匹配度,并确定所述目标用户设备的行为信息与异常模型之间的第二匹配度;
异常处理单元,用于当所述第一匹配度小于所述第二匹配度时,标记所述目标用户设备的行为信息属于异常行为信息,并向目标用户设备发送验证指令。
9.一种服务器,其特征在于,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行异常行为分析程序,所述异常行为分析程序被所述处理器执行时实现如权利要求1至7中任一项所述的异常行为分析方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有行为分析程序,所述行为分析程序被处理器执行时如权利要求1至7中任一项所述的异常行为分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811152056.3A CN109361660B (zh) | 2018-09-29 | 2018-09-29 | 异常行为分析方法、系统、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811152056.3A CN109361660B (zh) | 2018-09-29 | 2018-09-29 | 异常行为分析方法、系统、服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109361660A true CN109361660A (zh) | 2019-02-19 |
| CN109361660B CN109361660B (zh) | 2021-09-03 |
Family
ID=65348324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811152056.3A Active CN109361660B (zh) | 2018-09-29 | 2018-09-29 | 异常行为分析方法、系统、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109361660B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109922091A (zh) * | 2019-05-05 | 2019-06-21 | 中国联合网络通信集团有限公司 | 用户终端异常行为的检测方法、服务器、用户终端 |
| CN111008377A (zh) * | 2019-10-12 | 2020-04-14 | 中国平安财产保险股份有限公司 | 账号监控方法、装置、计算机设备和存储介质 |
| CN113727348A (zh) * | 2020-05-12 | 2021-11-30 | 华为技术有限公司 | 用户设备ue用户数据的检测方法、设备及存储介质 |
| CN113987515A (zh) * | 2021-11-02 | 2022-01-28 | 长春嘉诚信息技术股份有限公司 | 一种基于智能匹配的漏洞威胁发现方法及系统 |
| CN115134125A (zh) * | 2022-06-09 | 2022-09-30 | 重庆伏特猫科技有限公司 | 一种基于数据路由网关的数据采集与监控方法 |
| CN115630373A (zh) * | 2022-12-21 | 2023-01-20 | 四川知行志成科技有限公司 | 一种云服务安全分析方法、监控设备及分析系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104318138A (zh) * | 2014-09-30 | 2015-01-28 | 杭州同盾科技有限公司 | 一种验证用户身份的方法和装置 |
| CN106155298A (zh) * | 2015-04-21 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 人机识别方法及装置、行为特征数据的采集方法及装置 |
| CN107104973A (zh) * | 2017-05-09 | 2017-08-29 | 北京潘达互娱科技有限公司 | 用户行为的校验方法及装置 |
| CN107294981A (zh) * | 2017-06-29 | 2017-10-24 | 苏州锦佰安信息技术有限公司 | 一种认证的方法和设备 |
| CN107800680A (zh) * | 2016-09-01 | 2018-03-13 | 联想(新加坡)私人有限公司 | 用于认证用户的设备、方法及计算机可读存储介质 |
| CN107888604A (zh) * | 2017-11-27 | 2018-04-06 | 山东浪潮云服务信息科技有限公司 | 一种互联网数据获取方法及获取装置 |
| CN108491714A (zh) * | 2018-04-09 | 2018-09-04 | 众安信息技术服务有限公司 | 验证码的人机识别方法 |
-
2018
- 2018-09-29 CN CN201811152056.3A patent/CN109361660B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104318138A (zh) * | 2014-09-30 | 2015-01-28 | 杭州同盾科技有限公司 | 一种验证用户身份的方法和装置 |
| CN106155298A (zh) * | 2015-04-21 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 人机识别方法及装置、行为特征数据的采集方法及装置 |
| CN107800680A (zh) * | 2016-09-01 | 2018-03-13 | 联想(新加坡)私人有限公司 | 用于认证用户的设备、方法及计算机可读存储介质 |
| CN107104973A (zh) * | 2017-05-09 | 2017-08-29 | 北京潘达互娱科技有限公司 | 用户行为的校验方法及装置 |
| CN107294981A (zh) * | 2017-06-29 | 2017-10-24 | 苏州锦佰安信息技术有限公司 | 一种认证的方法和设备 |
| CN107888604A (zh) * | 2017-11-27 | 2018-04-06 | 山东浪潮云服务信息科技有限公司 | 一种互联网数据获取方法及获取装置 |
| CN108491714A (zh) * | 2018-04-09 | 2018-09-04 | 众安信息技术服务有限公司 | 验证码的人机识别方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109922091A (zh) * | 2019-05-05 | 2019-06-21 | 中国联合网络通信集团有限公司 | 用户终端异常行为的检测方法、服务器、用户终端 |
| CN109922091B (zh) * | 2019-05-05 | 2021-11-09 | 中国联合网络通信集团有限公司 | 用户终端异常行为的检测方法、服务器、用户终端 |
| CN111008377A (zh) * | 2019-10-12 | 2020-04-14 | 中国平安财产保险股份有限公司 | 账号监控方法、装置、计算机设备和存储介质 |
| CN111008377B (zh) * | 2019-10-12 | 2024-07-16 | 中国平安财产保险股份有限公司 | 账号监控方法、装置、计算机设备和存储介质 |
| CN113727348A (zh) * | 2020-05-12 | 2021-11-30 | 华为技术有限公司 | 用户设备ue用户数据的检测方法、设备及存储介质 |
| CN113987515A (zh) * | 2021-11-02 | 2022-01-28 | 长春嘉诚信息技术股份有限公司 | 一种基于智能匹配的漏洞威胁发现方法及系统 |
| CN113987515B (zh) * | 2021-11-02 | 2022-04-01 | 长春嘉诚信息技术股份有限公司 | 一种基于智能匹配的漏洞威胁发现方法及系统 |
| CN115134125A (zh) * | 2022-06-09 | 2022-09-30 | 重庆伏特猫科技有限公司 | 一种基于数据路由网关的数据采集与监控方法 |
| CN115630373A (zh) * | 2022-12-21 | 2023-01-20 | 四川知行志成科技有限公司 | 一种云服务安全分析方法、监控设备及分析系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109361660B (zh) | 2021-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361660A (zh) | 异常行为分析方法、系统、服务器及存储介质 | |
| CN107277036B (zh) | 基于多站点数据的登录验证方法、验证设备及存储介质 | |
| CN110413506A (zh) | 测试用例推荐方法、装置、设备及存储介质 | |
| CN109509021A (zh) | 基于行为轨迹的异常识别方法、装置、服务器及存储介质 | |
| CN105049421A (zh) | 基于用户使用行为特征的认证方法、服务器、终端及系统 | |
| CN109194689B (zh) | 异常行为识别方法、装置、服务器及存储介质 | |
| CN108491212A (zh) | 文件烧录方法、设备及计算机可读存储介质 | |
| CN104754136A (zh) | 基于智能终端的手机号码相关账号的管理方法及管理系统 | |
| CN109684157A (zh) | 基于报错日志的告警方法、设备、存储介质及装置 | |
| KR101947757B1 (ko) | 취약점 분석을 수행하는 보안 관리 시스템 | |
| CN106130739A (zh) | 应用程序登录处理方法及装置 | |
| CN111917707A (zh) | 网络安全等级保护中的分级方法、客户端及系统 | |
| CN109460653B (zh) | 基于规则引擎的验证方法、验证设备、存储介质及装置 | |
| CN109257269A (zh) | 一种基于wifi定位的签到方法 | |
| CN108334797A (zh) | 文件扫描方法、装置和计算机可读存储介质 | |
| CN107140589A (zh) | 举升机使用信息统计方法、系统及计算机可读存储介质 | |
| CN111385272B (zh) | 弱口令的检测方法及装置 | |
| CN109688096A (zh) | Ip地址的识别方法、装置、设备及计算机可读存储介质 | |
| CN109284590A (zh) | 访问行为安全防护的方法、设备、存储介质及装置 | |
| CN113239333A (zh) | 基于跨域资源访问的浏览器用户身份验证的方法及系统 | |
| CN112925711A (zh) | 本地联调测试方法及相关装置 | |
| CN110460593B (zh) | 一种移动流量网关的网络地址识别方法、装置及介质 | |
| CN107948149A (zh) | 基于随机森林的策略自学习和优化方法及装置 | |
| CN109660566B (zh) | 一种用于异地登陆风险控制的安全检测方法及其系统 | |
| CN107294981A (zh) | 一种认证的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |