CN109391620B - 异常行为判定模型的建立方法、系统、服务器及存储介质 - Google Patents
异常行为判定模型的建立方法、系统、服务器及存储介质 Download PDFInfo
- Publication number
- CN109391620B CN109391620B CN201811234985.9A CN201811234985A CN109391620B CN 109391620 B CN109391620 B CN 109391620B CN 201811234985 A CN201811234985 A CN 201811234985A CN 109391620 B CN109391620 B CN 109391620B
- Authority
- CN
- China
- Prior art keywords
- historical
- abnormal
- features
- current
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种异常行为判定模型的建立方法、系统、服务器及存储介质;本发明通过获取用户终端设备的多个历史行为数据;从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;根据所述异常特征建立异常行为判定模型,实现了通过用户行为轨迹建立模型,提高了异常行为判定准确率。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种异常行为判定模型的建立方法、系统、服务器及存储介质。
背景技术
随着互联网的发展,验证码渗透到人们数字化生活的各个角落,越来越多的网站使用验证码技术对人类行为与机器行为进行区分,以识别恶意破解密码、刷票、论坛灌水、刷页等行为。
目前的验证码多采用在图片中添加问题的形式,当能回答出问题时,则判定是人类行为,否则判定为机器。虽然是出于安全的考虑,但是越来越多的用户开始诟病这一反人类的设计发明,每天都要花部分时间浪费在回答无趣的问题上,大大降低了交互体验。同时,随着计算机自动识别技术的发展,简单的验证码数字图形也不再安全,很容易被黑客攻破,网站很难识别验证行为是由人类还是机器作出,即无法对机器的异常验证行为进行准确判定。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种异常行为判定模型的建立方法、系统、服务器及存储介质,旨在解决现有技术中无法准确识别机器异常行为的技术问题。
为实现上述目的,本发明提供一种异常行为判定模型的建立方法,所述方法包括以下步骤:
获取用户终端设备的多个历史行为数据;
从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;
在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;
在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;
根据所述异常特征建立异常行为判定模型。
所述根据所述异常特征建立异常行为判定模型,具体包括:
将所述异常特征作为负样本数据;
将所述历史全局特征中除所述异常特征的其他特征作为正样本数据;
将所述负样本数据及所述正样本数据代入高斯径向基函数进行模型训练,获得异常行为判定模型。
优选地,所述在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征,具体包括:
在所述历史标识特征遍历完成后,通过K均值聚类算法,以误差平方和准则函数对所述历史全局特征进行聚类分析,获得异常特征。
优选地,所述历史标识特征为用户IP;
相应地,所述在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征,具体包括:
在遍历到的当前用户IP异常时,获取所述当前用户IP对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征。
优选地,所述服务器获取用户终端设备的多个历史行为数据,具体包括:
获取用户终端设备发送的安全日志数据;
从所述安全日志数据中提取多个历史行为数据。
优选地,所述根据所述异常特征建立异常行为判定模型之后,所述方法还包括:
采集用户终端设备发送的当前行为数据;
从所述当前行为数据中提取当前全局特征;
将所述当前全局特征代入所述异常行为判定模型,以实现对所述当前行为数据进行异常判定。
优选地,所述将所述当前全局特征代入所述异常行为判定模型,以实现对所述当前行为数据进行异常判定之后,所述方法还包括:
在判定结果为异常时,向所述当前行为数据对应的用户终端设备输出验证码。
此外,为实现上述目的,本发明还提供一种异常行为判定模型的建立系统,所述异常行为判定模型的建立系统包括:
数据获取模块,用于获取用户终端设备的多个历史行为数据;
标识遍历模块,用于从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;
特征提取模块,用于在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;
特征聚类模块,用于在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;
模型建立模块,用于根据所述异常特征建立异常行为判定模型。
此外,为实现上述目的,本发明还提供一种服务器,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常行为判定模型的建立程序,所述异常行为判定模型的建立程序配置为实现所述的异常行为判定模型的建立方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,其特征在于,所述存储介质上存储有异常行为判定模型的建立程序,所述异常行为判定模型的建立程序被处理器执行时实现所述的异常行为判定模型的建立方法的步骤。
本发明通过获取用户终端设备的多个历史行为数据;从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;根据所述异常特征建立异常行为判定模型,实现了通过用户行为轨迹建立模型,提高了异常行为判定准确率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的服务器结构示意图;
图2为本发明一种异常行为判定模型的建立方法第一实施例的流程示意图;
图3为本发明第一实施例中异常行为数据与人类正常行为数据的可视化效果区分图;
图4为本发明一种异常行为判定模型的建立方法第二实施例的流程示意图;
图5为本发明一种异常行为判定模型的建立系统第一实施例的功能模块图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的服务器结构示意图。
如图1所示,该服务器可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及异常行为判定模型的建立程序。
在图1所示的服务器中,网络接口1004主要用于与外部网络进行数据通信;用户接口1003主要用于接收用户的输入指令;所述服务器通过处理器1001调用存储器1005中存储的异常行为判定模型的建立程序,并执行以下操作:
获取用户终端设备的多个历史行为数据;
从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;
在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;
在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;
根据所述异常特征建立异常行为判定模型。
进一步地,处理器1001可以调用存储器1005中存储的异常行为判定模型的建立程序,还执行以下操作:
将所述异常特征作为负样本数据;
将所述历史全局特征中除所述异常特征的其他特征作为正样本数据;
将所述负样本数据及所述正样本数据代入高斯径向基函数进行模型训练,获得异常行为判定模型。
进一步地,处理器1001可以调用存储器1005中存储的异常行为判定模型的建立程序,还执行以下操作:
在所述历史标识特征遍历完成后,通过K均值聚类算法,以误差平方和准则函数对所述历史全局特征进行聚类分析,获得异常特征。
进一步地,处理器1001可以调用存储器1005中存储的异常行为判定模型的建立程序,还执行以下操作:
获取用户终端设备发送的安全日志数据;
从所述安全日志数据中提取多个历史行为数据。
进一步地,处理器1001可以调用存储器1005中存储的异常行为判定模型的建立程序,还执行以下操作:
采集用户终端设备发送的当前行为数据;
从所述当前行为数据中提取当前全局特征;
将所述当前全局特征代入所述异常行为判定模型,以实现对所述当前行为数据进行异常判定。
进一步地,处理器1001可以调用存储器1005中存储的异常行为判定模型的建立程序,还执行以下操作:
在判定结果为异常时,向所述当前行为数据对应的用户终端设备输出验证码。
本实施例通过获取用户终端设备的多个历史行为数据;从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;根据所述异常特征建立异常行为判定模型,实现了通过用户行为轨迹建立模型,提高了异常行为判定准确率。
基于上述硬件结构,提出本发明一种异常行为判定模型的建立方法实施例。
参照图2,图2为本发明一种异常行为判定模型的建立方法第一实施例的流程示意图。
在第一实施例中,所述异常行为判定模型的建立方法包括以下步骤:
S10:获取用户终端设备的多个历史行为数据。
应理解的是,所述用户终端设备可以为智能手机、平板电脑或笔记本电脑等设备,本实施例对此不加以限制。
所述历史行为数据为用户在浏览页面时产生的所有行为轨迹数据,包括光标点击轨迹、鼠标滑动轨迹或者将行为轨迹进行分解后的特征,如光标滑动速度、光标滑动加速度及偏移量等特征,本实施例对此不加以限制。
具体地,服务器获取用户终端设备发送的安全日志数据;从所述安全日志数据中提取多个历史行为数据。
可理解的是,用户行为数据在网站上最简单的存在形式就是安全日志,安全日志中记录了用户每次访问网站时所有的行为数据如访问、浏览、搜索、点击及用户行为轨迹等,因此通过获取终端设备的安全日志数据,可以获得用户的历史行为数据。
需要说明的是,服务器需要获得大量的安全日志数据,以获得大量的历史行为数据,从而为构建异常行为判定模型提供基础。
S20:从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历。
可以理解的是,所述历史标识特征指历史行为数据中的标识特征,比如网络之间互连的协议(Internet Protocol,IP)、浏览器(User Agent,UA),通过IP和UA可以对历史行为数据进行初步判断,发现可疑行为数据。
S30:在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征。
可以理解的是,所述历史全局特征指历史行为数据中的所有的特征,当然也包括历史标识特征。
当所述历史标识特征为用户IP时,所述在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征相应地为,在遍历到的当前用户IP异常时,获取所述当前用户IP对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征。
需要说明的是,当前历史特征的异常判定规则根据当前标识特征可以自定义,本实施例对此不加以限制。比如,在所述历史标识特征为用户IP时,可以设定若当前用户IP在黑名单内时,判定当前用户IP异常。
S40:在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征。
可以理解的是,在所述历史标识特征遍历完成后,会得到从所有历史标识特征异常的历史行为数据中提取的历史全局特征,将这些可疑的历史行为数据的历史全局特征进行共同点对比,找到共同的异常特征,若其他的行为数据也有该异常特征,则说明其他的行为数据也异常。
参照图3,图3为异常行为数据与人类正常行为数据的可视化效果区分图,浅色圆点表示人类正常行为数据,深色圆点表示异常行为数据,所述异常行为数据指由机器产生的行为数据。
异常行为数据的分布有一定的规律,因此异常行为数据的特征中也有共同点,可以以此共同点来判断其它的行为数据是否异常,所述共同点即为异常特征。
在具体实现中,在所述历史标识特征遍历完成后,通过K均值聚类算法,以误差平方和准则函数对所述历史全局特征进行聚类分析,获得异常特征。
可以理解的是,聚类是一个将数据集中在某些方面相似的数据成员进行分类组织的过程,聚类就是一种发现这种内在结构的技术,聚类技术经常被称为无监督学习。
K均值聚类是随机选取K个对象作为初始的聚类中心,然后计算每个对象与各个种子聚类中心之间的距离,把每个对象分配给距离它最近的聚类中心。聚类中心以及分配给它们的对象就代表一个聚类。一旦全部对象都被分配了,每个聚类的聚类中心会根据聚类中现有的对象被重新计算。这个过程将不断重复直到满足某个终止条件,本实施例中,终止条件为误差平方和局部最小,当然,也可以是没有(或最小数目)对象被重新分配给不同的聚类或者没有(或最小数目)聚类中心再发生变化,本实施例对此不加以限制,通过K均值聚类算法可以快速而高效地对所述历史全局特征进行聚类分析。
S50:根据所述异常特征建立异常行为判定模型。
可以理解的是,将所述异常特征作为负样本数据;将所述历史全局特征中除所述异常特征的其他特征作为正样本数据;将所述负样本数据及所述正样本数据代入高斯径向基函数进行模型训练,获得异常行为判定模型。
需要说明的是,径向基函数是某种沿径向对称的标量函数,通常定义为空间中任一点x到某一中心xc之间欧氏距离的单调函数,可记作k(||x-xc||),其作用往往是局部的,即当x远离xc时函数取值很小。高斯径向基函数是径向基函数的一种,形式为k(||x-xc||)=exp{-||x-xc||^2/(2*σ^2)}其中xc为核函数中心,σ为函数的宽度参数,控制了函数的径向作用范围,通过此函数进行模型训练,可以使模型针对样本分类具有很高精度。
本实施例通过获取用户终端设备的多个历史行为数据;从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;根据所述异常特征建立异常行为判定模型,实现了通过用户行为轨迹建立模型,提高了异常行为判定准确率。
进一步地,如图4所示,基于第一实施例提出本发明一种异常行为判定模型的建立方法第二实施例,在本实施例中,步骤S50之后,所述方法还包括:
S60:采集用户终端设备发送的当前行为数据。
可以理解的是,在异常行为判定模型建立以后,服务器可以通过模型对用户终端设备的当前行为数据进行异常判定。此时,服务器不再需要获取历史行为数据,只需要获得当前行为数据即可。
S70:从所述当前行为数据中提取当前全局特征。
需要说明的是,所述当前全局特征为所述当前行为数据的所有特征,当然也包括当前标识特征,只是此时不再需要对当前标识特征进行异常判定的步骤。
S80:将所述当前全局特征代入所述异常行为判定模型,以实现对所述当前行为数据进行异常判定。
应理解的是,将所述当前全局特征代入所述异常行为判定模型,当所述当前全局特征中有异常特征时,判定所述当前全局特征对应的当前行为数据异常。在判定结果为异常时,可以采取安全策略调整措施,比如:向所述当前行为数据对应的用户终端设备输出验证码,或者对用户终端设备的请求进行异常标记,对用户IP进行封禁,当然还可以采用其它的措施,例如提供难度更高的验证形式,在攻击流量过后,再恢复至体验更好的验证形式。
本实施例通过采集用户终端设备发送的当前行为数据,从所述当前行为数据中提取当前全局特征,将所述当前全局特征代入所述异常行为判定模型,以实现对所述当前行为数据进行异常判定,实现了通过异常行为判定模型对当前用户行为数据进行准确判定。
本发明进一步提供一种异常行为判定模型的建立系统。
参照图5,图5为本发明一种异常行为判定模型的建立系统一实施例的功能模块图。
本实施例中,所述异常行为判定模型的建立系统包括:
数据获取模块10,用于获取用户终端设备的多个历史行为数据。
应理解的是,所述用户终端设备可以为智能手机、平板电脑或笔记本电脑等设备,本实施例对此不加以限制。
所述历史行为数据为用户在浏览页面时产生的所有行为轨迹数据,包括光标点击轨迹、鼠标滑动轨迹或者将行为轨迹进行分解后的特征,如光标滑动速度、光标滑动加速度及偏移量等特征,本实施例对此不加以限制。
具体地,服务器获取用户终端设备发送的安全日志数据;从所述安全日志数据中提取多个历史行为数据。
可理解的是,用户行为数据在网站上最简单的存在形式就是安全日志,安全日志中记录了用户每次访问网站时所有的行为数据如访问、浏览、搜索、点击及用户行为轨迹等,因此通过获取终端设备的安全日志数据,可以获得用户的历史行为数据。
需要说明的是,服务器需要获得大量的安全日志数据,以获得大量的历史行为数据,从而为构建异常行为判定模型提供基础。
标识遍历模块20,用于从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历。
可以理解的是,所述历史标识特征指历史行为数据中的标识特征,比如网络之间互连的协议(Internet Protocol,IP)、浏览器(User Agent,UA),通过IP和UA可以对历史行为数据进行初步判断,发现可疑行为数据。
特征提取模块30,用于在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征。
可以理解的是,所述历史全局特征指历史行为数据中的所有的特征,当然也包括历史标识特征。
当所述历史标识特征为用户IP时,所述在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征相应地为,在遍历到的当前用户IP异常时,获取所述当前用户IP对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征。
需要说明的是,当前历史特征的异常判定规则根据当前标识特征的可以自定义,本实施例对此不加以限制。比如,在所述历史标识特征为用户IP时,可以设定若当前用户IP在黑名单内时,判定当前用户IP异常。
特征聚类模块40,用于在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征。
可以理解的是,在所述历史标识特征遍历完成后,会得到从所有历史标识特征异常的历史行为数据中提取的历史全局特征,将这些可疑的历史行为数据的历史全局特征进行共同点对比,找到共同的异常特征,若其他的行为数据也有该异常特征,则说明其他的行为数据也异常。
参照图3,图3为异常行为数据与人类正常行为数据的可视化效果区分图,浅色圆点表示人类正常行为数据,深色圆点表示异常行为数据,,所述异常行为数据指由机器产生的行为数据,异常行为数据的分布有一定的规律,因此异常行为数据的特征中也有共同点,可以以此共同点来判断其它的行为数据是否异常,所述共同点即为异常特征。
在具体实现中,在所述历史标识特征遍历完成后,通过K均值聚类算法,以误差平方和准则函数对所述历史全局特征进行聚类分析,获得异常特征。
可以理解的是,聚类是一个将数据集中在某些方面相似的数据成员进行分类组织的过程,聚类就是一种发现这种内在结构的技术,聚类技术经常被称为无监督学习。
K均值聚类是随机选取K个对象作为初始的聚类中心,然后计算每个对象与各个种子聚类中心之间的距离,把每个对象分配给距离它最近的聚类中心。聚类中心以及分配给它们的对象就代表一个聚类。一旦全部对象都被分配了,每个聚类的聚类中心会根据聚类中现有的对象被重新计算。这个过程将不断重复直到满足某个终止条件,本实施例中,终止条件为误差平方和局部最小,当然,也可以是没有(或最小数目)对象被重新分配给不同的聚类或者没有(或最小数目)聚类中心再发生变化,本实施例对此不加以限制,通过K均值聚类算法可以快速而高效地对所述历史全局特征进行聚类分析。
模型建立模块50,用于根据所述异常特征建立异常行为判定模型。
可以理解的是,将所述异常特征作为负样本数据;将所述历史全局特征中除所述异常特征的其他特征作为正样本数据;将所述负样本数据及所述正样本数据代入高斯径向基函数进行模型训练,获得异常行为判定模型。
需要说明的是,径向基函数是某种沿径向对称的标量函数,通常定义为空间中任一点x到某一中心xc之间欧氏距离的单调函数,可记作k(||x-xc||),其作用往往是局部的,即当x远离xc时函数取值很小。高斯径向基函数是径向基函数的一种,形式为k(||x-xc||)=exp{-||x-xc||^2/(2*σ^2)}其中xc为核函数中心,σ为函数的宽度参数,控制了函数的径向作用范围,通过此函数进行模型训练,可以使模型针对样本分类具有很高精度。
本实施例通过获取用户终端设备的多个历史行为数据;从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;根据所述异常特征建立异常行为判定模型,实现了通过用户行为轨迹建立模型,提高了异常行为判定准确率。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有异常行为判定模型的建立程序,所述异常行为判定模型的建立程序被处理器执行时实现如下操作:
获取用户终端设备的多个历史行为数据;
从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;
在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;
在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;
根据所述异常特征建立异常行为判定模型。
进一步地,所述异常行为判定模型的建立程序被处理器执行时还实现如下操作:
将所述异常特征作为负样本数据;
将所述历史全局特征中除所述异常特征的其他特征作为正样本数据;
将所述负样本数据及所述正样本数据代入高斯径向基函数进行模型训练,获得异常行为判定模型。
进一步地,所述异常行为判定模型的建立程序被处理器执行时还实现如下操作:
将所述异常特征作为负样本数据;
将所述历史全局特征中除所述异常特征的其他特征作为正样本数据;
将所述负样本数据及所述正样本数据代入高斯径向基函数进行模型训练,获得异常行为判定模型。
进一步地,所述异常行为判定模型的建立程序被处理器执行时还实现如下操作:
在所述历史标识特征遍历完成后,通过K均值聚类算法,以误差平方和准则函数对所述历史全局特征进行聚类分析,获得异常特征。
进一步地,所述异常行为判定模型的建立程序被处理器执行时还实现如下操作:
获取用户终端设备发送的安全日志数据;
从所述安全日志数据中提取多个历史行为数据。
进一步地,所述异常行为判定模型的建立程序被处理器执行时还实现如下操作:
采集用户终端设备发送的当前行为数据;
从所述当前行为数据中提取当前全局特征;
将所述当前全局特征代入所述异常行为判定模型,以实现对所述当前行为数据进行异常判定。
进一步地,所述异常行为判定模型的建立程序被处理器执行时还实现如下操作:
在判定结果为异常时,向所述当前行为数据对应的用户终端设备输出验证码。
本实施例通过获取用户终端设备的多个历史行为数据;从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;根据所述异常特征建立异常行为判定模型,实现了通过用户行为轨迹建立模型,提高了异常行为判定准确率。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种异常行为判定模型的建立方法,其特征在于,所述异常行为判定模型的建立方法包括以下步骤:
服务器获取用户终端设备的多个历史行为数据;
从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;
在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;
在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;
根据所述异常特征建立异常行为判定模型;
所述在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征,具体包括:
在所述历史标识特征遍历完成后,通过K均值聚类算法,以误差平方和准则函数对所述历史全局特征进行聚类分析,获得异常特征。
2.如权利要求1所述的异常行为判定模型的建立方法,其特征在于,所述根据所述异常特征建立异常行为判定模型,具体包括:
将所述异常特征作为负样本数据;
将所述历史全局特征中除所述异常特征的其他特征作为正样本数据;
将所述负样本数据及所述正样本数据代入高斯径向基函数进行模型训练,获得异常行为判定模型。
3.如权利要求2所述的异常行为判定模型的建立方法,其特征在于,所述历史标识特征为用户IP;
相应地,所述在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征,具体包括:
在遍历到的当前用户IP异常时,获取所述当前用户IP对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征。
4.如权利要求1~3中任一项所述的异常行为判定模型的建立方法,其特征在于,所述服务器获取用户终端设备的多个历史行为数据,具体包括:
获取用户终端设备发送的安全日志数据;
从所述安全日志数据中提取多个历史行为数据。
5.如权利要求1~3中任一项所述的异常行为判定模型的建立方法,其特征在于,所述根据所述异常特征建立异常行为判定模型之后,所述方法还包括:
采集用户终端设备发送的当前行为数据;
从所述当前行为数据中提取当前全局特征;
将所述当前全局特征代入所述异常行为判定模型,以实现对所述当前行为数据进行异常判定。
6.如权利要求5所述的异常行为判定模型的建立方法,其特征在于,所述将所述当前全局特征代入所述异常行为判定模型,以实现对所述当前行为数据进行异常判定之后,所述方法还包括:
在判定结果为异常时,向所述当前行为数据对应的用户终端设备输出验证码。
7.一种异常行为判定模型的建立系统,其特征在于,所述异常行为判定模型的建立方法系统包括:
数据获取模块,用于获取用户终端设备的多个历史行为数据;
标识遍历模块,用于从所述历史行为数据中提取历史标识特征,并对所述历史标识特征进行遍历;
特征提取模块,用于在遍历到的当前历史标识特征异常时,获取所述当前历史标识特征对应的当前历史行为数据,并从所述当前历史行为数据中提取历史全局特征;
特征聚类模块,用于在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征;其中,所述在所述历史标识特征遍历完成后,将所述历史全局特征进行聚类,获得异常特征,具体包括:在所述历史标识特征遍历完成后,通过K均值聚类算法,以误差平方和准则函数对所述历史全局特征进行聚类分析,获得异常特征;
模型建立模块,用于根据所述异常特征建立异常行为判定模型。
8.一种服务器,其特征在于,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常行为判定模型的建立程序,所述异常行为判定模型的建立程序配置为实现如权利要求1至6中任一项所述的异常行为判定模型的建立方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有异常行为判定模型的建立程序,所述异常行为判定模型的建立程序被处理器执行时实现如权利要求1至6中任一项所述的异常行为判定模型的建立方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811234985.9A CN109391620B (zh) | 2018-10-22 | 2018-10-22 | 异常行为判定模型的建立方法、系统、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811234985.9A CN109391620B (zh) | 2018-10-22 | 2018-10-22 | 异常行为判定模型的建立方法、系统、服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109391620A CN109391620A (zh) | 2019-02-26 |
| CN109391620B true CN109391620B (zh) | 2021-06-25 |
Family
ID=65427675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811234985.9A Active CN109391620B (zh) | 2018-10-22 | 2018-10-22 | 异常行为判定模型的建立方法、系统、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109391620B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109922091B (zh) * | 2019-05-05 | 2021-11-09 | 中国联合网络通信集团有限公司 | 用户终端异常行为的检测方法、服务器、用户终端 |
| CN110445753A (zh) * | 2019-06-28 | 2019-11-12 | 平安科技(深圳)有限公司 | 终端设备异常访问的隔离方法和装置 |
| CN111209566A (zh) * | 2019-12-26 | 2020-05-29 | 武汉极意网络科技有限公司 | 一种多层威胁拦截的智能反爬虫系统及方法 |
| CN111371594B (zh) * | 2020-02-25 | 2023-05-02 | 成都西加云杉科技有限公司 | 设备异常告警方法、装置及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103678346A (zh) * | 2012-09-07 | 2014-03-26 | 阿里巴巴集团控股有限公司 | 一种人机识别的方法和系统 |
| CN105843947A (zh) * | 2016-04-08 | 2016-08-10 | 华南师范大学 | 基于大数据关联规则挖掘的异常行为检测方法和系统 |
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
| CN106101116A (zh) * | 2016-06-29 | 2016-11-09 | 东北大学 | 一种基于主成分分析的用户行为异常检测系统及方法 |
| CN107196844A (zh) * | 2016-11-28 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 异常邮件识别方法及装置 |
| CN108446720A (zh) * | 2018-02-27 | 2018-08-24 | 华青融天(北京)技术股份有限公司 | 异常数据检测方法和系统 |
| CN108616498A (zh) * | 2018-02-24 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种web访问异常检测方法和装置 |
-
2018
- 2018-10-22 CN CN201811234985.9A patent/CN109391620B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103678346A (zh) * | 2012-09-07 | 2014-03-26 | 阿里巴巴集团控股有限公司 | 一种人机识别的方法和系统 |
| CN105843947A (zh) * | 2016-04-08 | 2016-08-10 | 华南师范大学 | 基于大数据关联规则挖掘的异常行为检测方法和系统 |
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
| CN106101116A (zh) * | 2016-06-29 | 2016-11-09 | 东北大学 | 一种基于主成分分析的用户行为异常检测系统及方法 |
| CN107196844A (zh) * | 2016-11-28 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 异常邮件识别方法及装置 |
| CN108616498A (zh) * | 2018-02-24 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种web访问异常检测方法和装置 |
| CN108446720A (zh) * | 2018-02-27 | 2018-08-24 | 华青融天(北京)技术股份有限公司 | 异常数据检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109391620A (zh) | 2019-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109391620B (zh) | 异常行为判定模型的建立方法、系统、服务器及存储介质 | |
| CN112417439B (zh) | 账号检测方法、装置、服务器及存储介质 | |
| CN108416198B (zh) | 人机识别模型的建立装置、方法及计算机可读存储介质 | |
| EP3271868B1 (en) | Method and apparatus for verifying images based on image verification codes | |
| CN110311902B (zh) | 一种异常行为的识别方法、装置及电子设备 | |
| CN109509021B (zh) | 基于行为轨迹的异常识别方法、装置、服务器及存储介质 | |
| CN107547495B (zh) | 用于保护计算机免受未经授权的远程管理的系统和方法 | |
| CN109327439B (zh) | 业务请求数据的风险识别方法、装置、存储介质及设备 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| WO2019184122A1 (zh) | 一种登录验证方法、装置、终端设备及存储介质 | |
| CN106656944B (zh) | 手持移动设备滑动验证的方法及装置 | |
| CN109194689B (zh) | 异常行为识别方法、装置、服务器及存储介质 | |
| CN107204956B (zh) | 网站识别方法及装置 | |
| CN109413047B (zh) | 行为模拟的判定方法、系统、服务器及存储介质 | |
| CN110704816B (zh) | 接口破解的识别方法、装置、设备及存储介质 | |
| EP3830723B1 (en) | Increasing security of a password-protected resource based on publicly available data | |
| CN110162939B (zh) | 人机识别方法、设备和介质 | |
| CN111641588A (zh) | 网页模拟输入检测方法、装置、计算机设备及存储介质 | |
| CN111538978A (zh) | 基于从任务危险等级确定的访问权执行任务的系统和方法 | |
| CN103886238A (zh) | 一种基于掌纹的账户登录方法及装置 | |
| CN113315851A (zh) | 域名检测方法、装置及存储介质 | |
| CN109995751B (zh) | 上网设备标记方法、装置及存储介质、计算机设备 | |
| CN113076961A (zh) | 一种图像特征库更新方法、图像检测方法和装置 | |
| CN110691090B (zh) | 网站检测方法、装置、设备及存储介质 | |
| CN109992960B (zh) | 一种伪造参数检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |