CN109583203B - 一种恶意用户检测方法、装置及系统 - Google Patents
一种恶意用户检测方法、装置及系统 Download PDFInfo
- Publication number
- CN109583203B CN109583203B CN201811290241.9A CN201811290241A CN109583203B CN 109583203 B CN109583203 B CN 109583203B CN 201811290241 A CN201811290241 A CN 201811290241A CN 109583203 B CN109583203 B CN 109583203B
- Authority
- CN
- China
- Prior art keywords
- user
- malicious
- behavior
- users
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明涉及一种恶意用户检测方法、装置及系统,所述方法包括获取用户会话特征及行为数据,并根据会话特征对用户进行分类;根据历史用户行为数据制定检测策略;对不同分类的用户赋予不同的权重向量;并根据当前用户的行为数据计算当前用户的行为特征;根据权重向量及行为特征计算目标用户行为的恶意指数,根据所述检测策略判断目标用户是否为恶意用户。通过历史用户行为数据制定检测策略,根据当前行为特征以及用户恶意指数,检测恶意行为用户,从而可以检测出采用不断改变行为执行策略的方式实施恶意行为的用户,降低了恶意用户成功逃避识别的概率,提高了恶意行为和恶意用户的检出率,优化了恶意行为的检测效果。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种恶意用户的检测方法、装置及系统。
背景技术
随着网络技术的发展,越来越多的用户通过互联网进行各种各样的社交活动,如网络聊天、网络游戏、广告发布及互联网金融平台投资等。除正常用户外,随之而来的还有各种从事黑色产业的用户,他们通过批量注册账号,批量实施恶意行为牟取利益。这些行为不仅破坏了线上平台的生态环境,而且造成了其他用户财产和精神损失,影响恶劣。
为了打击上述恶意行为,网络平台的维护人员通常进行事前和事中管控,一方面在流程上要求绑定实名手机号、验证手机验证码,提高恶意行为实施成本;另一方面,通过记录一个用户短时间内累积执行某种行为的次数,并按照经验设定一个阈值,当该用户的执行该行为的次数超过阈值,则将该用户识别为恶意用户。
但是由于打码平台存在,使得恶意用户可以通过打码平台代收验证码,恶意行为实施成本大幅降低;另一方面,按照经验设定阈值的方式,只要恶意用户的恶意行为执行方式发生了变化,就会导致恶意用户的识别率越来越低,识别效果变差。
发明内容
本发明针对现有技术中存在的技术问题,提供一种恶意用户检测方法、装置及系统。
本发明解决上述技术问题的技术方案如下:
第一方面,本发明提供一种恶意用户检测方法,包括以下步骤:
获取用户会话特征及行为数据,并根据会话特征及行为数据对用户进行分类;
根据历史用户会话特征及行为数据制定检测策略;
对不同分类的用户赋予不同的权重向量wi,i为用户所属分类;并根据当前用户的会话特征及行为数据计算当前用户的行为特征;
根据权重向量wi及行为特征计算目标用户行为的恶意指数,根据所述检测策略判断目标用户是否为恶意用户。
恶意指数=f(wi,行为特征)
进一步,所述的根据历史用户会话特征及行为数据制定检测策略包括:
获取被举报用户信息,根据所述被举报用户信息查询被举报用户的完整的历史会话特征及行为数据;
对所述的被举报用户的完整的历史会话特征及行为数据进行数据挖掘,确定检测策略。
进一步,本方法还包括:所述检测策略包括计算周期和判断阈值X,所述恶意指数大于所述判断阈值时,则认为目标用户为恶意用户。
进一步,本方法还包括:所述判断阈值X,采用浮标策略进行动态更新:
当判断阈值x时,检测到的真实恶意用户增加了n,则判断阈值x=x+f(β,n),β为调节因子。
进一步,本方法还包括:所述行为特征包括:一定周期内同一IP同时登陆账号数、各行为占比、各行为执行间隔方差。
进一步,所述的用户会话特征及行为数据包括:目标用户注册时间、手机号码归属、ip地理位置。
第二方面,本发明还提供一种恶意用户检测装置,包括:
采集模块,用于获取用户会话特征及行为数据,并根据会话特征及行为数据对用户进行分类;
学习模块,用于根据历史用户会话特征及行为数据制定检测策略;
行为特征计算模块,用于对不同分类的用户赋予不同的权重向量wi,i为用户所属分类,并根据当前用户的会话特征及行为数据计算当前用户的行为特征;
恶意用户检测模块,用于根据权重向量wi及行为特征计算目标用户行为的恶意指数,根据所述检测策略判断目标用户是否为恶意用户。
进一步,所述学习模块还包括:
举报处理模块,用于获取被举报用户信息;
回溯模块,用于根据所述被举报用户信息查询被举报用户的完整的历史会话特征及行为数据;
策略制定模块,用于对所述的被举报用户的完整的历史会话特征及行为数据进行数据挖掘,确定检测策略。
第三方面,本发明还包括一种恶意用户检测系统,包括:用户检测装置和数据存储系统;
所述用户检测装置,其包括:
采集模块,用于获取用户会话特征及行为数据,并根据会话特征及行为数据对用户进行分类;
学习模块,用于根据历史用户会话特征及行为数据制定检测策略;
行为特征计算模块,用于对不同分类的用户赋予不同的权重向量wi,i为用户所属分类,并根据当前用户的会话特征及行为数据计算当前用户的行为特征;
恶意用户检测模块,用于根据权重向量wi及行为特征计算目标用户行为的恶意指数,根据所述检测策略判断目标用户是否为恶意用户;
所述数据存储系统,用于存储所述用户检测装置的采集模块采集的实时数据和历史数据,其包括:
Hadoop集群,用于存储历史数据全量;
Druid,用于存储实时数据增量。
本发明的有益效果是:通过根据用户所执行的行为中目标行为的特征以及用户恶意指数,与动态更新的阈值进行比较,检测恶意行为用户,从而可以检测出采用不断改变行为执行策略的方式实施恶意行为的用户。由于现有技术中恶意用户往往采用改变执行目标行为间隔的方式逃避识别,因此,基于动态策略的检测方式,降低了恶意用户成功逃避识别的概率,提高了恶意行为和恶意用户的检出率,优化了恶意行为的检测效果。
附图说明
图1为本发明方法流程图;
图2为本发明装置结构图;
图3为本发明系统结构图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,本发明提供一种恶意用户检测方法,包括以下步骤:
获取用户会话特征及行为数据,并根据会话特征及行为数据对用户进行分类;所述的用户会话特征及行为数据包括:目标用户注册时间、手机号码归属、ip地理位置等。
根据历史用户会话特征及行为数据制定检测策略;包括计算周期和判断阈值X等,所述恶意指数大于所述判断阈值时,则认为目标用户为恶意用户。
制定检测策略时,首先获取被举报用户信息,根据所述被举报用户信息查询被举报用户的完整的历史会话特征及行为数据;然后对所述的被举报用户的完整的历史会话特征及行为数据进行数据挖掘,确定检测策略。
对不同分类的用户赋予不同的权重向量wi,i为用户所属分类;并根据当前用户的会话特征及行为数据计算当前用户的行为特征;所述行为特征包括:一定周期内同一IP同时登陆账号数、各行为占比、各行为执行间隔方差等。
根据权重向量wi及行为特征计算目标用户行为的恶意指数,根据所述检测策略判断目标用户是否为恶意用户。
恶意指数=f(wi,行为特征)
不同分类下属于“恶意行为”的可能性是不同的。
比如对于某一用户,通过计算得出他属于A、B、C三种类型的概率分别为0.7,0.2,0.1.那么在计算。而这三种类型下有可能产生恶意行为的概率分别为0.3,0.5,0.8,那么他的恶意指数=0.3*0.7+0.5*0.2+0.8*0.1,再与设定的阈值进行比对,最终得到是否为恶意行为的判断。恶意指数越高说明该用户实施过恶意行为的可能性越大。
从贝叶斯视角来描述,具体公式是这样:
设y=1时该用户为恶意用户,πi为该用户被分为i类的概率,xi为某一高阶特征,θ为高阶特征的权重,w为每个分类下对恶意指数贡献的权重,则:
πi=θ1x1+…+θnxn
令g(x|θ)=πi
P(y=1|w,θ)=f(z(g(x|θ),w))
其中z=w1π1+…+wnπn。
所述判断阈值X,采用浮标策略进行动态更新:
当判断阈值x时,检测到的真实恶意用户增加了n,则判断阈值x=x+f(β,n),β为调节因子。
图2为本发明装置结构图。一种恶意用户检测装置,包括:
采集模块,用于获取用户会话特征及行为数据,并根据会话特征及行为数据对用户进行分类;
学习模块,用于根据历史用户会话特征及行为数据制定检测策略;
行为特征计算模块,用于对不同分类的用户赋予不同的权重向量wi,i为用户所属分类,并根据当前用户的会话特征及行为数据计算当前用户的行为特征;
恶意用户检测模块,用于根据权重向量wi及行为特征计算目标用户行为的恶意指数,根据所述检测策略判断目标用户是否为恶意用户。
进一步,所述学习模块还包括:
举报处理模块,用于获取被举报用户信息;
回溯模块,用于根据所述被举报用户信息查询被举报用户的完整的历史会话特征及行为数据;
策略制定模块,用于对所述的被举报用户的完整的历史会话特征及行为数据进行数据挖掘,确定检测策略。
图3为本发明系统结构图。一种恶意用户检测系统,包括:用户检测装置和数据存储系统;
所述用户检测装置,其包括:
采集模块,用于获取用户会话特征及行为数据,并根据会话特征及行为数据对用户进行分类;
学习模块,用于根据历史用户会话特征及行为数据制定检测策略;
行为特征计算模块,用于对不同分类的用户赋予不同的权重向量wi,i为用户所属分类,并根据当前用户的会话特征及行为数据计算当前用户的行为特征;
恶意用户检测模块,用于根据权重向量wi及行为特征计算目标用户行为的恶意指数,根据所述检测策略判断目标用户是否为恶意用户;
所述数据存储系统,用于存储所述用户检测装置的采集模块采集的实时数据和历史数据,其包括:
Hadoop集群,用于存储历史数据全量;
Druid,用于存储实时数据增量。
实时数据和历史数据在处理上的区别,一是存储方式不同,历史数据全量存储到Hadoop集群上,而实时数据增量存储到Druid中;二是处理流程不同,历史数据通常简单进行数据清洗后就存储了,后期使用时再提取出来进行更复杂的计算;而实时数据通常会进行实时计算并将计算结果马上应用,这里的应用包括各项统计指标实时展示、各项服务相应策略等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种恶意用户检测方法,其特征在于,包括以下步骤:
获取用户会话特征及行为数据,并根据会话特征及行为数据对用户进行分类;所述的用户会话特征及行为数据包括:目标用户注册时间、手机号码归属、ip地理位置;
获取被举报用户信息,根据所述被举报用户信息查询被举报用户的完整的历史会话特征及行为数据;然后对所述的被举报用户的完整的历史会话特征及行为数据进行数据挖掘,确定计算周期和判断阈值X;
对不同分类的用户赋予不同的权重向量wi,i为用户所属分类;并根据当前用户的会话特征及行为数据计算当前用户的行为特征;所述行为特征包括:一定周期内同一IP同时登陆账号数、各行为占比、各行为执行间隔方差;
根据权重向量wi及行为特征,利用贝叶斯公式计算目标用户行为的恶意指数;
若所述恶意指数大于判断阈值X,则认定目标用户为恶意用户;
所述恶意指数的计算公式如下:
恶意指数=P(y=1|w,θ)=f(z(g(x|θ),w))
其中,g(x|θ)=πi=θ1x1+...+θnxn;z(g(x|θ),w)=w1π1+...+wnπn;y=1表示用户为恶意用户;πi为该用户被分为i类的概率,xi为某一高阶特征,θ为高阶特征的权重,w为每个分类下对恶意指数贡献的权重。
2.根据权利要求1所述一种恶意用户检测方法,其特征在于,还包括:所述判断阈值X,采用浮标策略进行动态更新:
当判断阈值X时,检测到的真实恶意用户增加了n,则判断阈值X=X+f(β,n),β为调节因子。
3.一种恶意用户检测装置,其特征在于,包括:
采集模块,用于获取用户会话特征及行为数据,并根据会话特征及行为数据对用户进行分类;所述的用户会话特征及行为数据包括:目标用户注册时间、手机号码归属、ip地理位置;
学习模块,用于获取被举报用户信息,根据所述被举报用户信息查询被举报用户的完整的历史会话特征及行为数据;然后对所述的被举报用户的完整的历史会话特征及行为数据进行数据挖掘,确定计算周期和判断阈值X;
行为特征计算模块,用于对不同分类的用户赋予不同的权重向量wi,i为用户所属分类,并根据当前用户的会话特征及行为数据计算当前用户的行为特征;所述行为特征包括:一定周期内同一IP同时登陆账号数、各行为占比、各行为执行间隔方差;
恶意用户检测模块,用于根据权重向量wi及行为特征,利用贝叶斯公式计算目标用户行为的恶意指数;若所述恶意指数大于判断阈值X,则认定目标用户为恶意用户;
所述恶意指数的计算公式如下:
恶意指数=P(y=1|w,θ)=f(z(g(x|θ),w))
其中,g(x|θ)=πi=θ1x1+...+θnxn;z(g(x|θ),w)=w1π1+...+wnπn;y=1表示用户为恶意用户;πi为该用户被分为i类的概率,xi为某一高阶特征,θ为高阶特征的权重,w为每个分类下对恶意指数贡献的权重。
4.根据权利要求3所述一种恶意用户检测装置,其特征在于,所述学习模块还包括:
举报处理模块,用于获取被举报用户信息;
回溯模块,用于根据所述被举报用户信息查询被举报用户的完整的历史行为数据;
策略制定模块,用于对所述的被举报用户的完整的历史行为数据进行数据挖掘,确定检测策略。
5.一种恶意用户检测系统,其特征在于,包括:如权利要求3或4所述恶意用户检测装置和数据存储系统;
所述数据存储系统,用于存储所述用户检测装置的采集模块采集的实时数据和历史数据,其包括:
Hadoop集群,用于存储历史数据全量;
Druid,用于存储实时数据增量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811290241.9A CN109583203B (zh) | 2018-10-31 | 2018-10-31 | 一种恶意用户检测方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811290241.9A CN109583203B (zh) | 2018-10-31 | 2018-10-31 | 一种恶意用户检测方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109583203A CN109583203A (zh) | 2019-04-05 |
CN109583203B true CN109583203B (zh) | 2020-10-16 |
Family
ID=65921031
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811290241.9A Active CN109583203B (zh) | 2018-10-31 | 2018-10-31 | 一种恶意用户检测方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109583203B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111277488B (zh) * | 2020-01-19 | 2022-09-23 | 上海掌门科技有限公司 | 会话处理方法和装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103077172A (zh) * | 2011-10-26 | 2013-05-01 | 腾讯科技(深圳)有限公司 | 一种挖掘作弊用户的方法与装置 |
CN103136330A (zh) * | 2013-01-04 | 2013-06-05 | 武汉大学 | 基于微博平台的用户可信度评估方法 |
CN103581355A (zh) * | 2012-08-02 | 2014-02-12 | 北京千橡网景科技发展有限公司 | 用户行为异常处理方法和设备 |
CN108596276A (zh) * | 2018-05-10 | 2018-09-28 | 重庆邮电大学 | 基于特征加权的朴素贝叶斯微博用户分类方法 |
CN108616491A (zh) * | 2016-12-13 | 2018-10-02 | 北京酷智科技有限公司 | 一种恶意用户的识别方法和系统 |
-
2018
- 2018-10-31 CN CN201811290241.9A patent/CN109583203B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103077172A (zh) * | 2011-10-26 | 2013-05-01 | 腾讯科技(深圳)有限公司 | 一种挖掘作弊用户的方法与装置 |
CN103581355A (zh) * | 2012-08-02 | 2014-02-12 | 北京千橡网景科技发展有限公司 | 用户行为异常处理方法和设备 |
CN103136330A (zh) * | 2013-01-04 | 2013-06-05 | 武汉大学 | 基于微博平台的用户可信度评估方法 |
CN108616491A (zh) * | 2016-12-13 | 2018-10-02 | 北京酷智科技有限公司 | 一种恶意用户的识别方法和系统 |
CN108596276A (zh) * | 2018-05-10 | 2018-09-28 | 重庆邮电大学 | 基于特征加权的朴素贝叶斯微博用户分类方法 |
Non-Patent Citations (1)
Title |
---|
微博恶意用户识别;赵建勋;《中国优秀硕士学位论文全文数据库信息科技辑(月刊)》;20170715;第2016年卷(第07期);第I139-133页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109583203A (zh) | 2019-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101443736B (zh) | 消息评估系统及方法 | |
CN106294590B (zh) | 一种基于半监督学习的社交网络垃圾用户过滤方法 | |
CN107306306B (zh) | 通信号码处理方法及装置 | |
CN109118779B (zh) | 交通违章信息识别方法、设备及可读存储介质 | |
CN110830448B (zh) | 目标事件的流量异常检测方法、装置、电子设备及介质 | |
US20100082400A1 (en) | Scoring clicks for click fraud prevention | |
CN111681102B (zh) | 信贷预测方法、装置、设备和存储介质 | |
CN111461784B (zh) | 一种基于多模型融合的欺诈行为检测方法 | |
CN109767225B (zh) | 一种基于自学习滑动时间窗口的网络支付欺诈检测方法 | |
CN104506356A (zh) | 一种确定ip地址信誉度的方法和装置 | |
EP3644232B1 (en) | Method and device for classifying samples to be assessed | |
CN107015993B (zh) | 一种用户类型识别方法及装置 | |
CN109583203B (zh) | 一种恶意用户检测方法、装置及系统 | |
CN110689359A (zh) | 对模型进行动态更新的方法及装置 | |
CN111970400A (zh) | 骚扰电话识别方法及装置 | |
CN109587248B (zh) | 用户识别方法、装置、服务器及存储介质 | |
CN116957770A (zh) | 一种识别金融欺诈的方法及装置 | |
CN111327661A (zh) | 推送方法、推送装置、服务器和计算机可读存储介质 | |
CN111652713B (zh) | 权益风控建模方法和装置 | |
CN113850483A (zh) | 一种企业信用风险评级系统 | |
CN112598225A (zh) | 评价指标的确定方法及装置、存储介质、电子装置 | |
CN111125325A (zh) | 一种基于gan网络的faq生成系统及方法 | |
CN115827934B (zh) | 基于统一社会信用代码的企业画像智能分析系统及方法 | |
CN108174359A (zh) | 用于移动终端的消息推送处理方法 | |
CN113946758B (zh) | 一种数据识别方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |