CN109726550B - 异常操作行为检测方法、装置及计算机可读存储介质 - Google Patents
异常操作行为检测方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN109726550B CN109726550B CN201711023194.7A CN201711023194A CN109726550B CN 109726550 B CN109726550 B CN 109726550B CN 201711023194 A CN201711023194 A CN 201711023194A CN 109726550 B CN109726550 B CN 109726550B
- Authority
- CN
- China
- Prior art keywords
- terminal
- behavior
- operation behavior
- abnormal
- terminal operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种异常操作行为检测方法,其包括:获取设定时间段的终端操作行为的终端操作数据,其中终端操作数据包括终端操作时间以及终端操作类型;计算每种终端操作类型对应的终端操作行为的操作时间均匀度;当终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定终端操作行为对应终端具有异常操作行为。本发明还提供一种异常操作行为检测装置以及计算机可读存储介质,本发明通过异常终端的终端操作行为的操作时间均匀度对异常操作终端进行判定;提高了异常操作终端的异常操作行为检测的准确性。
Description
技术领域
本发明涉及互联网领域,特别是涉及一种异常操作行为检测方法、装置及计算机可读存储介质。
背景技术
随着科技的发展,人们通过IM(Instant Messaging,即时通信)软件进行即时交互的场景越来越多,这样大大降低了用户的交互难度。但是同时也意味着一些恶意用户向正常用户发送垃圾消息的难度也大大降低,如恶意用户使用自己的电脑或通过控制其他人的电脑给大量设定用户发送营销类的骚扰消息等。
现在IM软件服务器可通过获取用户的操作频率对上述异常操作行为进行检测,如某个网络地址的终端突然发送大量消息,则可判断该终端可能正在进行异常操作。但是上述检测方式无法对异常操作的具体内容进行判断,因此容易造成误判。如IM软件服务器将异常操作的操作频率值设置得太高,则容易遗漏异常操作终端;如IM软件服务器将操作频率的操作频率设置得太低,则容易将正常终端设定为异常操作终端。因此现有的IM软件服务器对异常操作终端的检测准确性较低。
发明内容
本发明实施例提供一种可提高对异常操作终端的检测准确性的异常操作行为检测方法、装置及计算机可读存储介质;以解决现有的IM软件服务器对异常操作终端的检测准确性较低的技术问题。
本发明实施例提供一种异常操作行为检测方法,其包括:
获取设定时间段的终端操作行为的终端操作数据,所述终端操作数据包括终端操作时间以及终端操作类型;
计算每种终端操作类型对应的终端操作行为的操作时间均匀度;以及
当所述终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定所述终端操作行为对应终端具有异常操作行为。
本发明实施例还提用一种异常操作行为检测装置,其包括:
终端操作数据获取模块,用于获取设定时间段的终端操作行为的终端操作数据,所述终端操作数据包括终端操作时间以及终端操作类型;
操作时间均匀度计算模块,用于计算每种终端操作类型对应的终端操作行为的操作时间均匀度;以及
异常操作行为判定模块,用于当所述终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定所述终端操作行为对应终端具有异常操作行为。
本发明实施例还提供一种计算机可读存储介质,其内存储有处理器可执行指令,所述指令由一个或一个以上处理器加载,以执行上述的异常操作行为检测方法。
相较于现有技术,本发明的异常操作行为检测方法、装置及计算机可读存储介质通过异常终端的终端操作行为的操作时间均匀度对异常操作终端进行判定;提高了异常操作终端的异常操作行为检测的准确性;解决了现有的IM软件服务器对异常操作终端的检测准确性较低的技术问题。
附图说明
图1为本发明的异常操作行为检测方法的一实施例的流程图;
图2为本发明的异常操作行为检测方法的另一实施例的流程图;
图3为本发明的异常操作行为检测方法的另一实施例的步骤S202的流程图;
图4为本发明的异常操作行为检测方法的另一实施例的步骤S203的流程图;
图5为本发明的异常操作行为检测装置的一实施例的结构示意图;
图6为本发明的异常操作行为检测装置的另一实施例的结构示意图;
图7为本发明的异常操作行为检测装置的另一实施例的异常操作行为判定模块的结构示意图;
图8为本发明的异常操作行为检测装置的另一实施例的操作时间均匀度计算模块的结构示意图;
图9为本发明的异常操作行为检测方法及异常操作行为检测装置的具体实施例的时序图;
图10为本发明的异常操作行为检测装置所在的电子设备的工作环境结构示意图。
具体实施方式
请参照图式,其中相同的组件符号代表相同的组件,本发明的原理是以实施在一适当的运算环境中来举例说明。以下的说明是基于所例示的本发明具体实施例,其不应被视为限制本发明未在此详述的其它具体实施例。
在以下的说明中,本发明的具体实施例将参考由一部或多部计算机所执行之作业的步骤及符号来说明,除非另有述明。因此,其将可了解到这些步骤及操作,其中有数次提到为由计算机执行,包括了由代表了以一结构化型式中的数据之电子信号的计算机处理单元所操纵。此操纵转换该数据或将其维持在该计算机之内存系统中的位置处,其可重新配置或另外以本领域技术人员所熟知的方式来改变该计算机之运作。该数据所维持的数据结构为该内存之实体位置,其具有由该数据格式所定义的特定特性。但是,本发明原理以上述文字来说明,其并不代表为一种限制,本领域技术人员将可了解到以下所述的多种步骤及操作亦可实施在硬件当中。
本发明的异常操作行为检测方法以及异常操作行为检测装置可设置在任何的电子设备中,用于对终端的终端操作行为进行监控,以准确的检测异常操作终端。电子设备包括但不限于可穿戴设备、头戴设备、医疗健康平台、个人计算机、服务器计算机、手持式或膝上型设备、移动设备(比如移动电话、个人数字助理(PDA)、媒体播放器等等)、多处理器系统、消费型电子设备、小型计算机、大型计算机、包括上述任意系统或设备的分布式计算环境,等等。该电子设备优选为IM软件服务器。本发明的异常操作行为检测方法以及异常操作行为检测装置通过异常终端的终端操作行为的操作时间均匀度对异常操作终端进行判定,提高了异常操作终端的异常操作行为检测的准确性;可有效的解决现有的IM软件服务器对异常操作终端的检测准确性较低的技术问题。
请参照图1,图1为本发明的异常操作行为检测方法的一实施例的流程图。本实施例的异常操作行为检测方法可使用上述的电子设备进行实施,本实施例的异常操作行为检测方法包括:
步骤S101,获取设定时间段的终端操作行为的终端操作数据,其中终端操作数据包括终端操作时间以及终端操作类型;
步骤S102,计算每种终端操作类型对应的终端操作行为的操作时间均匀度;
步骤S103,当终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定终端操作行为对应终端具有异常操作行为。
下面详细说明本实施例的异常操作行为检测方法的终端异常操作行为检测过程。
在步骤S101中,异常操作行为检测装置(如设置在IM软件服务器中)获取设定时间段的终端操作行为的终端操作数据。该终端操作数据包括终端操作时间以及终端操作类型。
这里与IM软件服务器连接的IM终端(IM客户端)会检测用户在IM终端上的各种终端操作行为。如打开聊天窗口、输入消息、发送消息、关闭聊天窗口、打开资料面板、打开联系人列表以及选中联系人等。
为了便于异常操作行为检测装置对IM终端的终端操作行为进行分析,IM 终端会收集设定时间段的终端操作行为的终端操作数据,该终端操作数据包括终端操作行为的终端操作时间以及终端操作行为的终端操作类型等。当然该终端操作数据还可包括终端操作行为的其他数据,如终端操作行为的行为定义描述等。
这里的终端操作时间为该终端操作行为的操作时间,终端操作类型为该终端操作行为的类型,如输入消息操作行为、发送消息操作行为等。
这里的设定时间段可根据用户的要求进行设定,如统计一小时内的终端操作行为或统计一天内的终端操作行为等。
随后IM终端会将上述设定时间段的终端操作行为上报至异常操作行为检测装置,或异常操作行为检测装置从IM终端上读取该设定时间段的终端操作行为。这里IM终端可以按设定时间间隔对上述终端操作行为进行上报,也可在用户触发某个终端操作行为(如关闭IM应用)后对上述终端操作行为进行上报。
异常操作行为检测装置获取了设定时间段的终端操作行为的终端操作数据后,会按一定格式对上述终端操作数据进行存储操作,如以Key-Value格式存储在Redis数据库(一种开源的使用ANSI C语言编写、支持网络的Key-Value 数据库)中,或以记录形式存储在mysql数据库中。
在步骤S102中,异常操作行为检测装置计算每种终端操作类型对应的终端操作行为的操作时间均匀度。这里的操作时间均匀度用于表示某种终端操作类型的终端操作行为在时间上分布的平均程度。这里异常操作行为检测装置可根据终端操作行为的数量、终端操作行为的预计操作时间值、终端操作行为的实际操作时间值以及终端操作行为的平均操作时间,计算每种终端操作类型对应的终端操作行为的操作时间均匀度,具体通过下式计算每种终端操作类型对应的终端操作行为的操作时间均匀度:
其中n为终端操作类型对应的终端操作行为的数量;ti’是终端操作类型对应的第i个终端操作行为的预计操作时间值;ti是终端操作类型对应的第i个终端操作行为的实际操作时间值;Δt为终端操作类型对应的终端操作行为的平均操作时间,E为终端操作类型对应的终端操作行为的操作时间均匀度。
如双击联系人的终端操作行为的数量n为12;
t1为12s,t2为55s,t3为100s,t4为166s,t5为233s,t6为300s,t7为354s, t8为400s,t9为466s,t10为533s,t11为601s,t12为666s;
Δt为59.5s;
t1’为12s,t2’为71.5s,t3’为131s,t4’为190.5s,t5’为250s,t6’为309.5s,t7’为369s,t8’为428.5s,t9’为488s,t10’为547.5s,t11’为607s,t12’为666.5s;
则E=0.953。
这里E的取值范围为0-1,E越接近于1,则终端操作行为的操作时间均匀度越高。
在步骤S103中,异常操作行为检测装置获取终端操作行为类型对应的终端操作行为的操作时间均匀度,当终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值(如0.5)时,异常操作行为检测装置就认为该终端操作行为类型对应的终端操作行为可能为异常操作行为,从而判定该终端操作行为对应终端具有异常操作行为。
这里的第一设定值可按用户的要求进行设定,如需要对异常操作行为检测要求较高,则可设置比较小的第一设定值;如需要对异常操作行为检测要求较低,则可设置较为接近1的第一设定值。
这样即完成了本实施例的异常操作行为检测方法的终端异常操作行为检测过程。
本实施例的异常操作行为检测方法通过异常终端的终端操作行为的操作时间均匀度对异常操作终端进行判定;提高了异常操作终端的异常操作行为检测的准确性。
请参照图2,图2为本发明的异常操作行为检测方法的另一实施例的流程图。本实施例的异常行为检测方法可使用上述的电子设备进行实施,本实施例的异常操作行为检测方法包括:
步骤S201,获取设定时间段的终端操作行为的终端操作数据,其中终端操作数据包括终端操作时间以及终端操作类型;
步骤S202,计算每种终端操作类型对应的终端操作行为的操作时间均匀度;
步骤S203,当终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定终端操作行为对应终端具有异常操作行为;
步骤S204,当判定终端操作行为对应终端具有异常操作行为,则获取终端的所有疑似异常操作行为;
步骤S205,计算不同终端操作行为类型的疑似异常操作行为的数量比值;
步骤S206,判断不同终端操作行为类型的疑似异常操作行为的数量比值是否符合预设条件,如符合预设条件,则转到步骤S207;如不符合预设条件,则转到步骤S208;
步骤S207,对异常操作行为对应的终端进行异常操作行为提示或异常操作行为控制;
步骤S208,将异常操作行为进行上报操作,以便对异常操作行为进行分析。
下面详细说明本实施例的异常操作行为检测方法的终端异常操作行为检测过程。
在步骤S201中,异常操作行为检测装置(如设置在IM软件服务器中)获取设定时间段的终端操作行为的终端操作数据。该终端操作数据包括终端操作时间以及终端操作类型。
为了便于异常操作行为检测装置可对IM终端的终端操作行为进行分析, IM终端会收集设定时间段的终端操作行为的终端操作数据,该终端操作数据包括终端操作行为的终端操作时间以及终端操作行为的终端操作类型等。当然该终端操作数据还可包括终端操作行为的其他数据,如终端操作行为的行为定义描述等。
这里的终端操作时间为该终端操作行为的操作时间,终端操作类型为该终端操作行为的类型,如输入消息操作行为、发送消息操作行为等。
这里的设定时间段可根据用户的要求进行设定,如统计一小时内的终端操作行为或统计一天内的终端操作行为等。
随后IM终端会将上述设定时间段的终端操作行为上报至异常操作行为检测装置,或异常操作行为检测装置从IM终端上读取该设定时间段的终端操作行为。这里IM终端可以按设定时间间隔对上述终端操作行为进行上报,也可在用户触发某个终端操作行为(如关闭IM应用)后对上述终端操作行为进行上报。
步骤S202,异常操作行为检测装置计算每种终端操作类型对应的终端操作行为的操作时间均匀度。这里的操作时间均匀度用于表示某种终端操作类型的终端操作行为在时间上分布的平均程度。这里异常操作行为检测装置可根据终端操作行为的数量、终端操作行为的预计操作时间值、终端操作行为的实际操作时间值以及终端操作行为的平均操作时间,计算每种终端操作类型对应的终端操作行为的操作时间均匀度,具体可通过下式计算每种终端操作类型对应的终端操作行为的操作时间均匀度:
其中n为终端操作类型对应的终端操作行为的数量;ti’是终端操作类型对应的第i个终端操作行为的预计操作时间值;ti是终端操作类型对应的第i个终端操作行为的实际操作时间值;Δt为终端操作类型对应的终端操作行为的平均操作时间,E为终端操作类型对应的终端操作行为的操作时间均匀度。
为了进一步简化操作时间均匀度的计算量,计算终端操作行为的操作时间均匀度的步骤请参照图3,图3为本发明的异常操作行为检测方法的另一实施例的步骤S202的流程图。该步骤S202包括:
步骤S301,异常操作行为检测装置获取每种终端操作类型的终端操作行为的行为数量。即获取设定时间段的每种终端操作类型的终端操作行为的行为数量。
步骤S302,由于如某种终端操作类型的终端操作行为的数量过少,该终端操作行为的操作时间均匀度,与该终端操作行为是否为异常操作行为的关联性较差。因此在本步骤中,异常操作行为检测装置将行为数量较少的终端操作行为删除,即异常操作行为检测装置仅计算行为数量大于第三设定值的终端操作类型对应的终端操作行为的操作时间均匀度。
这里的第三设定值可按用户的要求进行设定,如终端操作行为的总数较大,则可设置较大的第三设定值;如终端操作行为的总数较小,则可设置较小的第三设定值。
步骤S203,异常操作行为检测装置获取终端操作行为类型对应的终端操作行为的操作时间均匀度,当终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值(如0.5)时,异常操作行为检测装置就认为该终端操作行为类型对应的终端操作行为可能为异常操作行为,从而判定该终端操作行为对应终端具有异常操作行为。
具体请参照图4,图4为本发明的异常操作行为检测方法的另一实施例的步骤S203的流程图。该步骤S203包括:
步骤S401,异常操作行为检测装置将终端操作行为的操作时间均匀度大于第一设定值的终端操作行为设定为疑似异常操作行为。
步骤S402,由于并非具有疑似异常操作行为的终端就必定具有异常操作行为,为了避免对具有异常操作行为的终端产生误判断,这里设定当疑似异常操作行为对应的终端操作类型的数量大于第二设定值时,异常操作行为检测装置才判定该终端操作行为对应的终端具有异常操作行为。
即某终端具有的疑似异常操作行为的终端操作行为越多,该终端被判定为异常操作终端的概率就越大。
这里的第二设定值可按用户的要求进行设定,如发现将较多的正常操作终端判定为异常操作终端,则可减小第二设定值;如发现检测到的异常操作终端的数量过少,则可加大该第二设定值。
步骤S204,如在步骤S203中,异常操作行为检测装置判定终端操作行为对应终端具有异常操作行为,则异常操作行为检测装置获取该终端的所有疑似异常操作行为。
步骤S205,异常操作行为检测装置计算不同终端操作行为类型的疑似异常操作行为的数量比值。由于疑似异常操作行为均为操作时间均匀度较大的终端操作行为,在相同设定时间段中的不同终端操作行为类型的疑似异常操作行为的数量比值应为一定值。如在660s的时间内,产生了12次的双击联系人的疑似异常操作行为,产生了24次的粘贴操作的疑似异常操作行为,产生了12次的消息发送的疑似异常操作行为。这样双击联系人,粘贴操作以及消息发送操作的疑似异常操作行为的数量比值为1:2:1。
步骤S206,异常操作行为检测装置判断步骤S205获取的不同终端操作行为类型的疑似异常操作行为的数量比值是否符合预设条件。
这里的预设条件为IM软件服务器维护人员预先根据异常操作行为设定的疑似异常操作行为的数量比值。如批量发送消息的操作一般为双击联系人、粘贴复制发送消息以及消息发送操作,因此如上述双击联系人、粘贴操作以及消息发送操作的疑似异常操作行为的数量比值为1:n(粘贴多次消息):1则可判定该终端具有批量发送消息的异常操作行为。
因此这里如获取的不同终端操作行为类型的疑似异常操作行为的数量比值符合预设条件,则转到步骤S207;如获取的不同终端操作行为类型的疑似异常操作行为的数量比值不符合预设条件,则转到步骤S208。
步骤S207,由于判定该终端具有已知的特定异常操作行为,因此异常操作行为检测装置可根据该特定异常操作行为,对相应的终端进行异常操作行为提示或异常操作行为控制。如提示终端用户该终端正在异常的批量发送消息,请终端用户检查终端是否中毒等;或直接对具有异常操作行为的终端进行消息发送限制等。
步骤S208,由于无法判定该终端具有何种异常操作行为,因此异常操作行为检测装置将该终端的异常操作行为进行上报操作。如以短信、微信、邮件等方式通知IM软件服务器维护人员对该异常操作行为进行跟进处理。
IM软件服务器维护人员可通过网页等方式对异常操作行为对应的终端操作数据进行查看,以对该异常操作行为进行识别。
这样即完成了本实施例的异常操作行为检测方法的终端异常操作行为检测过程。
本实施例的异常操作行为检测方法通过异常终端的终端操作行为的操作时间均匀度对异常操作终端进行判定;提高了异常操作终端的异常操作行为检测的准确性。
同时本实施例的异常操作行为检测方法通过的第三设定值的设置,减小了操作时间均匀度的计算量;通过第二设定值的设置,提高了异常操作终端的准确度;通过预设条件的设置以及判定,实现了已知异常操作行为的自动化判定;以及对未知异常操作行为可及时进行上报操作。
本发明还提供一种异常操作行为检测装置,请参照图5,图5为本发明的异常操作行为检测装置的一实施例的结构示意图。本实施例的异常操作行为检测装置可使用上述的电子设备进行实施,本实施例的异常操作行为检测装置50 包括终端操作数据获取模块51、操作时间均匀度计算模块52以及异常操作行为判定模块53。
终端操作数据获取模块51用于获取设定时间段的终端操作行为的终端操作数据,其中终端操作数据包括终端操作时间以及终端操作类型。操作时间均匀度计算模块52用于计算每种终端操作类型对应的终端操作行为的操作时间均匀度。异常操作行为判定模块53用于当终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定终端操作行为对应终端具有异常操作行为。
本实施例的异常操作行为检测装置50使用时,首先终端操作数据获取模块 51(如设置在IM软件服务器中)获取设定时间段的终端操作行为的终端操作数据。该终端操作数据包括终端操作时间以及终端操作类型。
这里与IM软件服务器连接的IM终端(IM客户端)会检测用户在IM终端上的各种终端操作行为。如打开聊天窗口、输入消息、发送消息、关闭聊天窗口、打开资料面板、打开联系人列表以及选中联系人等。
为了便于终端操作数据获取模块51对IM终端的终端操作行为进行分析, IM终端会收集设定时间段的终端操作行为的终端操作数据,该终端操作数据包括终端操作行为的终端操作时间以及终端操作行为的终端操作类型等。当然该终端操作数据还可包括终端操作行为的其他数据,如终端操作行为的行为定义描述等。
这里的终端操作时间为该终端操作行为的操作时间,终端操作类型为该终端操作行为的类型,如输入消息操作行为、发送消息操作行为等。
这里的设定时间段可根据用户的要求进行设定,如统计一小时内的终端操作行为或统计一天内的终端操作行为等。
随后IM终端会将上述设定时间段的终端操作行为上报至终端操作数据获取模块51,或终端操作数据获取模块51从IM终端上读取该设定时间段的终端操作行为。这里IM终端可以按设定时间间隔对上述终端操作行为进行上报,也可在用户触发某个终端操作行为(如关闭IM应用)后对上述终端操作行为进行上报。
终端操作数据获取模块51获取了设定时间段的终端操作行为的终端操作数据后,会按一定格式对上述终端操作数据进行存储操作,如以Key-Value格式存储在Redis数据库(一种开源的使用ANSI C语言编写、支持网络的 Key-Value数据库)中,或以记录形式存储在mysql数据库中。
随后操作时间均匀度计算模块52计算每种终端操作类型对应的终端操作行为的操作时间均匀度。这里的操作时间均匀度用于表示某种终端操作类型的终端操作行为在时间上分布的平均程度。这里异常操作行为检测装置可根据终端操作行为的数量、终端操作行为的预计操作时间值、终端操作行为的实际操作时间值以及终端操作行为的平均操作时间,计算每种终端操作类型对应的终端操作行为的操作时间均匀度,具体通过下式计算每种终端操作类型对应的终端操作行为的操作时间均匀度:
其中n为终端操作类型对应的终端操作行为的数量;ti’是终端操作类型对应的第i个终端操作行为的预计操作时间值;ti是终端操作类型对应的第i个终端操作行为的实际操作时间值;Δt为终端操作类型对应的终端操作行为的平均操作时间,E为终端操作类型对应的终端操作行为的操作时间均匀度。
这里E的取值范围为0-1,E越接近于1,则终端操作行为的操作时间均匀度越高。
最后异常操作行为判定模块53获取终端操作行为类型对应的终端操作行为的操作时间均匀度,当终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值(如0.5)时,异常操作行为判定模块53就认为该终端操作行为类型对应的终端操作行为可能为异常操作行为,从而判定该终端操作行为对应终端具有异常操作行为。
这里的第一设定值可按用户的要求进行设定,如需要对异常操作行为检测要求较高,则可设置比较小的第一设定值;如需要对异常操作行为检测要求较低,则可设置较为接近1的第一设定值。
这样即完成了本实施例的异常操作行为检测装置50的终端异常操作行为检测过程。
本实施例的异常操作行为检测装置通过异常终端的终端操作行为的操作时间均匀度对异常操作终端进行判定;提高了异常操作终端的异常操作行为检测的准确性。
请参照图6,图6为本发明的异常操作行为检测装置的另一实施例的结构示意图。本实施例的异常操作行为检测装置可使用上述的电子设备进行实施,本实施例的异常操作行为检测装置60包括终端操作数据获取模块61、操作时间均匀度计算模块62、异常操作行为判定模块63、疑似异常操作行为获取模块 64、比值计算模块65、终端提示控制模块66以及异常操作行为上报模块67。
终端操作数据获取模块61用于获取设定时间段的终端操作行为的终端操作数据,其中终端操作数据包括终端操作时间以及终端操作类型。操作时间均匀度计算模块62用于计算每种终端操作类型对应的终端操作行为的操作时间均匀度。异常操作行为判定模块63用于当终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定终端操作行为对应终端具有异常操作行为。疑似异常操作行为获取模块64用于当判定终端操作行为对应终端具有异常操作行为,则获取终端的所有疑似异常操作行为。比值计算模块65用于计算不同终端操作行为类型的疑似异常操作行为的数量比值。终端提示控制模块66用于对异常操作行为对应的终端进行异常操作行为提示或异常操作行为控制;异常操作行为上报模块67用于将异常操作行为进行上报操作,以便对异常操作行为进行分析。
请参照图7,图7为本发明的异常操作行为检测装置的另一实施例的异常操作行为判定模块的结构示意图。该异常操作行为判定模块63包括疑似异常操作行为设定单元71以及异常操作行为判定单元72。
疑似异常操作行为设定单元71用于将终端操作行为的操作时间均匀度大于第一设定值的终端操作行为设定为疑似异常操作行为。异常操作行为判定单元72用于当疑似异常操作行为对应的终端操作类型的数量大于第二设定值时,判定终端操作行为对应的终端具有异常操作行为。
请参照图8,图8为本发明的异常操作行为检测装置的另一实施例的操作时间均匀度计算模块的结构示意图。该操作时间均匀度计算模块62包括行为数量获取单元81以及操作时间均匀度计算单元82。
行为数量获取单元81用于获取每种终端操作类型的终端操作行为的行为数量;操作时间均匀度计算单元82用于计算行为数量大于第三设定值的终端操作类型对应的终端操作行为的操作时间均匀度。
本实施例的异常操作行为检测装置60使用时,终端操作数据获取模块61 (如设置在IM软件服务器中)获取设定时间段的终端操作行为的终端操作数据。该终端操作数据包括终端操作时间以及终端操作类型。
为了便于异常操作行为检测装置60可对IM终端的终端操作行为进行分析,IM终端会收集设定时间段的终端操作行为的终端操作数据,该终端操作数据包括终端操作行为的终端操作时间以及终端操作行为的终端操作类型等。当然该终端操作数据还可包括终端操作行为的其他数据,如终端操作行为的行为定义描述等。
这里的终端操作时间为该终端操作行为的操作时间,终端操作类型为该终端操作行为的类型,如输入消息操作行为、发送消息操作行为等。
这里的设定时间段可根据用户的要求进行设定,如统计一小时内的终端操作行为或统计一天内的终端操作行为等。
随后IM终端会将上述设定时间段的终端操作行为上报至终端操作数据获取模块61,或终端操作数据获取模块61从IM终端上读取该设定时间段的终端操作行为。这里IM终端可以按设定时间间隔对上述终端操作行为进行上报,也可在用户触发某个终端操作行为(如关闭IM应用)后对上述终端操作行为进行上报。
然后操作时间均匀度计算模块62计算每种终端操作类型对应的终端操作行为的操作时间均匀度。这里的操作时间均匀度用于表示某种终端操作类型的终端操作行为在时间上分布的平均程度。这里异常操作行为检测装置可根据终端操作行为的数量、终端操作行为的预计操作时间值、终端操作行为的实际操作时间值以及终端操作行为的平均操作时间,计算每种终端操作类型对应的终端操作行为的操作时间均匀度,具体可通过下式计算每种终端操作类型对应的终端操作行为的操作时间均匀度:
其中n为终端操作类型对应的终端操作行为的数量;ti’是终端操作类型对应的第i个终端操作行为的预计操作时间值;ti是终端操作类型对应的第i个终端操作行为的实际操作时间值;Δt为终端操作类型对应的终端操作行为的平均操作时间,E为终端操作类型对应的终端操作行为的操作时间均匀度。
为了进一步简化操作时间均匀度的计算量,计算终端操作行为的操作时间均匀度的步骤包括:
操作时间均匀度计算模块62的行为数量获取单元81获取每种终端操作类型的终端操作行为的行为数量。即获取设定时间段的每种终端操作类型的终端操作行为的行为数量。
由于如某种终端操作类型的终端操作行为的数量过少,该终端操作行为的操作时间均匀度,与该终端操作行为是否为异常操作行为的关联性较差。因此操作时间均匀度计算模块62的操作时间均匀度计算单元82将行为数量较少的终端操作行为删除,即操作时间均匀度计算单元仅计算行为数量大于第三设定值的终端操作类型对应的终端操作行为的操作时间均匀度。
这里的第三设定值可按用户的要求进行设定,如终端操作行为的总数较大,则可设置较大的第三设定值;如终端操作行为的总数较小,则可设置较小的第三设定值。
随后异常操作行为判定模块63获取终端操作行为类型对应的终端操作行为的操作时间均匀度,当终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值(如0.5)时,异常操作行为判定模块63就认为该终端操作行为类型对应的终端操作行为可能为异常操作行为,从而判定该终端操作行为对应终端具有异常操作行为。
具体包括:
异常操作行为判定模块63的疑似异常操作行为设定单元71将终端操作行为的操作时间均匀度大于第一设定值的终端操作行为设定为疑似异常操作行为。
由于并非具有疑似异常操作行为的终端就必定具有异常操作行为,为了避免对具有异常操作行为的终端产生误判断,这里设定当疑似异常操作行为对应的终端操作类型的数量大于第二设定值时,异常操作行为判定模块63的异常操作行为判定单元72才判定该终端操作行为对应的终端具有异常操作行为。
即某终端具有的疑似异常操作行为的终端操作行为越多,该终端被判定为异常操作终端的概率就越大。
这里的第二设定值可按用户的要求进行设定,如发现将较多的正常操作终端判定为异常操作终端,则异常操作行为判定单元可减小第二设定值;如发现检测到的异常操作终端的数量过少,则异常操作行为判定单元可加大该第二设定值。
如异常操作行为判定模块63判定终端操作行为对应终端具有异常操作行为,则疑似异常操作行为获取模块64获取该终端的所有疑似异常操作行为。
然后比值计算模块65计算不同终端操作行为类型的疑似异常操作行为的数量比值。由于疑似异常操作行为均为操作时间均匀度较大的终端操作行为,在相同设定时间段中的不同终端操作行为类型的疑似异常操作行为的数量比值应为一定值。如在660s的时间内,产生了12次的双击联系人的疑似异常操作行为,产生了24次的粘贴操作的疑似异常操作行为,产生了12次的消息发送的疑似异常操作行为。这样双击联系人,粘贴操作以及消息发送操作的疑似异常操作行为的数量比值为1:2:1。
随后比值计算模块65判断获取的不同终端操作行为类型的疑似异常操作行为的数量比值是否符合预设条件。
这里的预设条件为IM软件服务器维护人员预先根据异常操作行为设定的疑似异常操作行为的数量比值。如批量发送消息的操作一般为双击联系人、粘贴复制发送消息以及消息发送操作,因此如上述双击联系人、粘贴操作以及消息发送操作的疑似异常操作行为的数量比值为1:n(粘贴多次消息):1则可判定该终端具有批量发送消息的异常操作行为。
如获取的不同终端操作行为类型的疑似异常操作行为的数量比值符合预设条件,由于判定该终端具有已知的特定异常操作行为,因此终端提示控制模块 66可根据该特定异常操作行为,对相应的终端进行异常操作行为提示或异常操作行为控制。如提示终端用户该终端正在异常的批量发送消息,请终端用户检查终端是否中毒等;或直接对具有异常操作行为的终端进行消息发送限制等。
如获取的不同终端操作行为类型的疑似异常操作行为的数量比值不符合预设条件,由于无法判定该终端具有何种异常操作行为,因此异常操作行为上报模块67将该终端的异常操作行为进行上报操作。如以短信、微信、邮件等方式通知IM软件服务器维护人员对该异常操作行为进行跟进处理。
IM软件服务器维护人员可通过网页等方式对异常操作行为对应的终端操作数据进行查看,以对该异常操作行为进行识别。
这样即完成了本实施例的异常操作行为检测装置60的终端异常操作行为检测过程。
本实施例的异常操作行为检测装置通过异常终端的终端操作行为的操作时间均匀度对异常操作终端进行判定;提高了异常操作终端的异常操作行为检测的准确性。
同时本实施例的异常操作行为检测装置通过的第三设定值的设置,减小了操作时间均匀度的计算量;通过第二设定值的设置,提高了异常操作终端的准确度;通过预设条件的设置以及判定,实现了已知异常操作行为的自动化判定;以及对未知异常操作行为可及时进行上报操作。
下面通过一具体实施例说明本发明的异常操作行为检测方法及异常操作行为检测装置的具体工作原理。请参照图9,图9为本发明的异常操作行为检测方法及异常操作行为检测装置的具体实施例的时序图。本具体实施例中的异常操作行为检测装置设置在IM软件服务器中,用于对IM终端的终端操作行为进行分析。该终端异常操作行为检测过程包括:
步骤S901,IM终端对用户在IM终端上的终端操作行为进行记录,该终端操作行为可为打开聊天窗口、输入消息、发送消息、关闭聊天窗口、打开资料面板、打开联系人列表、选中联系人等。IM终端会记录终端操作行为的终端操作数据(终端操作时间以及终端操作类型等)。
步骤S902,IM终端按一定策略将获取到的设定时间段的终端操作行为的终端操作数据上报至IM软件服务器。如用户执行某个终端操作行为时,对设定时间段的终端操作行为的终端操作数据进行上报,或在收集到设定时间长度的终端操作行为后,将设定时间段的终端操作行为的终端操作数据进行上报。
步骤S903,IM软件服务器接收设定时间段的终端操作行为的终端操作数据,并按一定格式对上述终端操作数据进行存储操作,如以Key-Value格式存储在Redis数据库(一种开源的使用ANSI C语言编写、支持网络的Key-Value 数据库)中,或以记录形式存储在mysql数据库中。
步骤S904,IM软件服务器以终端操作类型为维度,得到不同终端操作类型的终端操作行为的操作序列。统计操作序列中终端操作行为的行为数量最多的五个终端操作类型的终端操作行为,并将该终端操作行为的集合记为
C={C1,C2,C3,C4,C5}。具体如图表1所示。
步骤S905,IM软件服务器计算终端操作行为的集合中每个终端操作行为的操作时间均匀度,从而获取操作时间均匀度集合E={E1,E2,E3,E4,E5}
步骤S906,获取操作时间均匀度集合E中操作时间均匀度大于阈值Eth (0.5)的终端操作行为,并将这些终端操作行为设定为疑似异常操作行为。其中E2为0.985,E3为0.693,E4为0.951,因此如将C2、C3以及C4对应的终端操作行为设定为疑似异常操作行为。C1和C5对应的终端操作行为的数量较少,因此这里将终端操作行为C1和终端操作行为C5的数据删除。
步骤S907,当疑似异常操作行为对应的终端操作类型的数量大于A(如A 为2或3)时,IM软件服务器将该终端判定为具有异常操作行为的终端。
步骤S908,IM软件服务器获取该异常操作行为终端的所有疑似异常操作行为。
表1
步骤S909,IM软件服务器计算不同终端操作行为类型的疑似异常操作行为的数量比值,如疑似异常操作行为C2、疑似异常操作行为C3以及疑似异常操作行为C4的数量比值为1:2:1,即1次双击联系人操作、2次粘贴操作以及1 次消息发送操作。
步骤S910,由于步骤S909中获取的疑似异常操作行为的数量比值符合使用外挂进行群发消息行为的预设条件,因此提示终端用户该终端正在异常的批量发送消息,请终端用户检查终端是否中毒等;或直接对具有异常操作行为的终端进行消息发送限制等。
当然这里也可将上述疑似异常操作行为的数量比值通过短信、微信或邮件等方式发送至服务器维护人员进行后续跟进。
这样即完成了本发明的异常操作行为检测方法及异常操作行为检测装置的具体实施例的终端异常操作行为的检测过程。
本发明的异常操作行为检测方法及异常操作行为检测装置可对用户操作行为数据进行实时分析,从而识别出疑似外挂的行为,以便及时进行阻止或实施惩罚的措施。因为是基于用户行为数据的模糊分析,不会因为外挂程序的改变或升级而导致外挂行为识别的失效。同时即使疑似外挂行为由人工操作产生,服务器维护人员也可基于该异常操作行为对用户进行教育以及引导。
本发明的异常操作行为检测方法、装置及计算机可读存储介质通过异常终端的终端操作行为的操作时间均匀度对异常操作终端进行判定;提高了异常操作终端的异常操作行为检测的准确性;解决了现有的IM软件服务器对异常操作终端的检测准确性较低的技术问题。
如本申请所使用的术语“组件”、“模块”、“系统”、“接口”、“进程”等等一般地旨在指计算机相关实体:硬件、硬件和软件的组合、软件或执行中的软件。例如,组件可以是但不限于是运行在处理器上的进程、处理器、对象、可执行应用、执行的线程、程序和/或计算机。通过图示,运行在控制器上的应用和该控制器二者都可以是组件。一个或多个组件可以有在于执行的进程和/或线程内,并且组件可以位于一个计算机上和/或分布在两个或更多计算机之间。
图10和随后的讨论提供了对实现本发明所述的异常操作行为检测装置所在的电子设备的工作环境的简短、概括的描述。图10的工作环境仅仅是适当的工作环境的一个实例并且不旨在建议关于工作环境的用途或功能的范围的任何限制。实例电子设备1012包括但不限于可穿戴设备、头戴设备、医疗健康平台、个人计算机、服务器计算机、手持式或膝上型设备、移动设备(比如移动电话、个人数字助理(PDA)、媒体播放器等等)、多处理器系统、消费型电子设备、小型计算机、大型计算机、包括上述任意系统或设备的分布式计算环境,等等。
尽管没有要求,但是在“计算机可读指令”被一个或多个电子设备执行的通用背景下描述实施例。计算机可读指令可以经由计算机可读介质来分布(下文讨论)。计算机可读指令可以实现为程序模块,比如执行特定任务或实现特定抽象数据类型的功能、对象、应用编程接口(API)、数据结构等等。典型地,该计算机可读指令的功能可以在各种环境中随意组合或分布。
图10图示了包括本发明的异常操作行为检测装置中的一个或多个实施例的电子设备1012的实例。在一种配置中,电子设备1012包括至少一个处理单元1016和存储器1018。根据电子设备的确切配置和类型,存储器1018可以是易失性的(比如RAM)、非易失性的(比如ROM、闪存等)或二者的某种组合。该配置在图10中由虚线1014图示。
在其他实施例中,电子设备1012可以包括附加特征和/或功能。例如,设备1012还可以包括附加的存储装置(例如可移除和/或不可移除的),其包括但不限于磁存储装置、光存储装置等等。这种附加存储装置在图10中由存储装置1020图示。在一个实施例中,用于实现本文所提供的一个或多个实施例的计算机可读指令可以在存储装置1020中。存储装置1020还可以存储用于实现操作系统、应用程序等的其他计算机可读指令。计算机可读指令可以载入存储器 1018中由例如处理单元1016执行。
本文所使用的术语“计算机可读介质”包括计算机存储介质。计算机存储介质包括以用于存储诸如计算机可读指令或其他数据之类的信息的任何方法或技术实现的易失性和非易失性、可移除和不可移除介质。存储器1018和存储装置 1020是计算机存储介质的实例。计算机存储介质包括但不限于RAM、ROM、 EEPROM、闪存或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光存储装置、盒式磁带、磁带、磁盘存储装置或其他磁存储设备、或可以用于存储期望信息并可以被电子设备1012访问的任何其他介质。任意这样的计算机存储介质可以是电子设备1012的一部分。
电子设备1012还可以包括允许电子设备1012与其他设备通信的通信连接 1026。通信连接1026可以包括但不限于调制解调器、网络接口卡(NIC)、集成网络接口、射频发射器/接收器、红外端口、USB连接或用于将电子设备1012 连接到其他电子设备的其他接口。通信连接1026可以包括有线连接或无线连接。通信连接1026可以发射和/或接收通信媒体。
术语“计算机可读介质”可以包括通信介质。通信介质典型地包含计算机可读指令或诸如载波或其他传输机构之类的“己调制数据信号”中的其他数据,并且包括任何信息递送介质。术语“己调制数据信号”可以包括这样的信号:该信号特性中的一个或多个按照将信息编码到信号中的方式来设置或改变。
电子设备1012可以包括输入设备1024,比如键盘、鼠标、笔、语音输入设备、触摸输入设备、红外相机、视频输入设备和/或任何其他输入设备。设备1012中也可以包括输出设备1022,比如一个或多个显示器、扬声器、打印机和/或任意其他输出设备。输入设备1024和输出设备1022可以经由有线连接、无线连接或其任意组合连接到电子设备1012。在一个实施例中,来自另一个电子设备的输入设备或输出设备可以被用作电子设备1012的输入设备1024 或输出设备1022。
电子设备1012的组件可以通过各种互连(比如总线)连接。这样的互连可以包括外围组件互连(PCI)(比如快速PCI)、通用串行总线(USB)、火线(IEEE 1394)、光学总线结构等等。在另一个实施例中,电子设备1012的组件可以通过网络互连。例如,存储器1018可以由位于不同物理位置中的、通过网络互连的多个物理存储器单元构成。
本领域技术人员将认识到,用于存储计算机可读指令的存储设备可以跨越网络分布。例如,可经由网络1028访问的电子设备1030可以存储用于实现本发明所提供的一个或多个实施例的计算机可读指令。电子设备1012可以访问电子设备1030并且下载计算机可读指令的一部分或所有以供执行。可替代地,电子设备1012可以按需要下载多条计算机可读指令,或者一些指令可以在电子设备1012处执行并且一些指令可以在电子设备1030处执行。
本文提供了实施例的各种操作。在一个实施例中,所述的一个或多个操作可以构成一个或多个计算机可读介质上存储的计算机可读指令,其在被电子设备执行时将使得计算设备执行所述操作。描述一些或所有操作的顺序不应当被解释为暗示这些操作必需是顺序相关的。本领域技术人员将理解具有本说明书的益处的可替代的排序。而且,应当理解,不是所有操作必需在本文所提供的每个实施例中存在。
而且,尽管已经相对于一个或多个实现方式示出并描述了本公开,但是本领域技术人员基于对本说明书和附图的阅读和理解将会想到等价变型和修改。本公开包括所有这样的修改和变型,并且仅由所附权利要求的范围限制。特别地关于由上述组件(例如元件、资源等)执行的各种功能,用于描述这样的组件的术语旨在对应于执行所述组件的指定功能(例如其在功能上是等价的)的任意组件(除非另外指示),即使在结构上与执行本文所示的本公开的示范性实现方式中的功能的公开结构不等同。此外,尽管本公开的特定特征已经相对于若干实现方式中的仅一个被公开,但是这种特征可以与如可以对给定或特定应用而言是期望和有利的其他实现方式的一个或多个其他特征组合。而且,就术语“包括”、“具有”、“含有”或其变形被用在具体实施方式或权利要求中而言,这样的术语旨在以与术语“包含”相似的方式包括。
本发明实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。上述的各装置或系统,可以执行相应方法实施例中的方法。
综上所述,虽然本发明已以实施例揭露如上,实施例前的序号仅为描述方便而使用,对本发明各实施例的顺序不造成限制。并且,上述实施例并非用以限制本发明,本领域的普通技术人员,在不脱离本发明的精神和范围内,均可作各种更动与润饰,因此本发明的保护范围以权利要求界定的范围为准。
Claims (9)
1.一种异常操作行为检测方法,其特征在于,包括:
获取设定时间段的终端操作行为的终端操作数据,其中所述终端操作数据包括终端操作时间以及终端操作类型;
计算每种终端操作类型对应的终端操作行为的操作时间均匀度;以及
当所述终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定所述终端操作行为对应终端具有异常操作行为;其中所述操作时间均匀度用于表示某种终端操作类型的终端操作行为在时间上的分布均匀程度,根据终端操作行为数据、终端操作行为的预计操作时间值、终端操作行为的实际操作时间值以及终端操作行为的平均操作时间确定所述操作时间均匀度。
2.根据权利要求1所述的异常操作行为检测方法,其特征在于,所述当所述终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定所述终端操作行为的对应终端具有异常操作行为的步骤包括:
将终端操作行为的操作时间均匀度大于第一设定值的终端操作行为设定为疑似异常操作行为;以及
当所述疑似异常操作行为对应的终端操作类型的数量大于第二设定值时,判定所述终端操作行为对应的终端具有异常操作行为。
3.根据权利要求1所述的异常操作行为检测方法,其特征在于,所述计算每种终端操作类型对应的终端操作行为的操作时间均匀度的步骤包括:
获取每种终端操作类型的终端操作行为的行为数量;以及
计算所述行为数量大于第三设定值的终端操作类型对应的终端操作行为的操作时间均匀度。
4.根据权利要求2所述的异常操作行为检测方法,其特征在于,所述异常操作行为检测方法还包括:
当判定所述终端操作行为对应终端具有异常操作行为,则获取所述终端的所有疑似异常操作行为;
计算不同终端操作行为类型的疑似异常操作行为的数量比值;以及
当所述不同终端操作行为类型的疑似异常操作行为的数量比值符合预设条件时,则对所述异常操作行为对应的终端进行异常操作行为提示或异常操作行为控制;否则将所述异常操作行为进行上报操作,以便对所述异常操作行为进行分析。
5.一种异常操作行为检测装置,其特征在于,包括:
终端操作数据获取模块,用于获取设定时间段的终端操作行为的终端操作数据,其中所述终端操作数据包括终端操作时间以及终端操作类型;
操作时间均匀度计算模块,用于计算每种终端操作类型对应的终端操作行为的操作时间均匀度;以及
异常操作行为判定模块,用于当所述终端操作行为类型对应的终端操作行为的操作时间均匀度大于第一设定值时,判定所述终端操作行为对应终端具有异常操作行为;其中所述操作时间均匀度用于表示某种终端操作类型的终端操作行为在时间上的分布均匀程度,根据终端操作行为数据、终端操作行为的预计操作时间值、终端操作行为的实际操作时间值以及终端操作行为的平均操作时间确定所述操作时间均匀度。
6.根据权利要求5所述的异常操作行为检测装置,其特征在于,所述异常操作行为判定模块包括:
疑似异常操作行为设定单元,用于将终端操作行为的操作时间均匀度大于第一设定值的终端操作行为设定为疑似异常操作行为;以及
异常操作行为判定单元,用于当所述疑似异常操作行为对应的终端操作类型的数量大于第二设定值时,判定所述终端操作行为对应的终端具有异常操作行为。
7.根据权利要求5所述的异常操作行为检测装置,其特征在于,所述操作时间均匀度计算模块包括:
行为数量获取单元,用于获取每种终端操作类型的终端操作行为的行为数量;以及
操作时间均匀度计算单元,用于计算所述行为数量大于第三设定值的终端操作类型对应的终端操作行为的操作时间均匀度。
8.根据权利要求6所述的异常操作行为检测装置,其特征在于,所述异常操作行为检测装置还包括:
疑似异常操作行为获取模块,用于当判定所述终端操作行为对应终端具有异常操作行为,则获取所述终端的所有疑似异常操作行为;
比值计算模块,用于计算不同终端操作行为类型的疑似异常操作行为的数量比值;
终端提示控制模块,用于对异常操作行为对应的终端进行异常操作行为提示或异常操作行为控制;以及
异常操作行为上报模块,用于将所述异常操作行为进行上报操作,以便对所述异常操作行为进行分析。
9.一种计算机可读存储介质,其内存储有处理器可执行指令,所述指令由一个或一个以上处理器加载,以执行如权利要求1-4中任一的异常操作行为检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711023194.7A CN109726550B (zh) | 2017-10-27 | 2017-10-27 | 异常操作行为检测方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711023194.7A CN109726550B (zh) | 2017-10-27 | 2017-10-27 | 异常操作行为检测方法、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109726550A CN109726550A (zh) | 2019-05-07 |
| CN109726550B true CN109726550B (zh) | 2022-05-06 |
Family
ID=66291622
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711023194.7A Active CN109726550B (zh) | 2017-10-27 | 2017-10-27 | 异常操作行为检测方法、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109726550B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110322320B (zh) * | 2019-06-28 | 2022-04-22 | 北京金山安全软件有限公司 | 一种阈值确定方法、装置及电子设备 |
| CN110399281A (zh) * | 2019-06-28 | 2019-11-01 | 平安科技(深圳)有限公司 | 异常操作识别方法、装置、计算机设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624677A (zh) * | 2011-01-27 | 2012-08-01 | 阿里巴巴集团控股有限公司 | 一种网络用户行为监控方法及服务器 |
| CN105183873A (zh) * | 2015-09-18 | 2015-12-23 | 北京博雅立方科技有限公司 | 恶意点击行为检测方法及装置 |
| CN105323144A (zh) * | 2014-07-16 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 即时通讯中消息异常提示方法和系统 |
| CN106209569A (zh) * | 2015-05-04 | 2016-12-07 | 腾讯科技(深圳)有限公司 | 一种企业即时通讯的鉴权方法及装置 |
| CN106789837A (zh) * | 2015-11-20 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 网络异常行为检测方法及检测装置 |
| CN106791220A (zh) * | 2016-11-04 | 2017-05-31 | 国家计算机网络与信息安全管理中心 | 防止电话诈骗的方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4482816B2 (ja) * | 2005-09-27 | 2010-06-16 | 日本電気株式会社 | ポリシ処理装置、方法、及び、プログラム |
-
2017
- 2017-10-27 CN CN201711023194.7A patent/CN109726550B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624677A (zh) * | 2011-01-27 | 2012-08-01 | 阿里巴巴集团控股有限公司 | 一种网络用户行为监控方法及服务器 |
| CN105323144A (zh) * | 2014-07-16 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 即时通讯中消息异常提示方法和系统 |
| CN106209569A (zh) * | 2015-05-04 | 2016-12-07 | 腾讯科技(深圳)有限公司 | 一种企业即时通讯的鉴权方法及装置 |
| CN105183873A (zh) * | 2015-09-18 | 2015-12-23 | 北京博雅立方科技有限公司 | 恶意点击行为检测方法及装置 |
| CN106789837A (zh) * | 2015-11-20 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 网络异常行为检测方法及检测装置 |
| CN106791220A (zh) * | 2016-11-04 | 2017-05-31 | 国家计算机网络与信息安全管理中心 | 防止电话诈骗的方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| 《A State-Based Predictive Approach for Leakage Reduction of Functional Units》;Linfeng Pan等;《2008 IEEE/IFIP International Conference on Embedded and Ubiquitous Computing》;20090120;第52-58页 * |
| 《SV采样报文异常大值的特征及检测方案研究》;王剑宇等;《电力勘测设计》;20150531(第5期);第47-52页 * |
| 《Virtual Reality Smart City Based on WebVRGIS》;Zhihan Lv等;《IEEE Internet of Things Journal》;20160324;第3卷(第6期);第1015-1024页 * |
| 《基于时间序列的预测模型应用与异常检测》;李健等;《计算机辅助工程》;20060721;第15卷(第2期);第49-51页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109726550A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200242419A1 (en) | Systems and methods for inferential sharing of photos | |
| US12099579B1 (en) | Communication generation using sparse indicators and sensor data | |
| JP6546180B2 (ja) | ネットワークサブジェクトの社会的関係タイプの取得 | |
| KR20190109427A (ko) | 침입 탐지를 위한 지속적인 학습 | |
| WO2020062803A1 (zh) | 基于模型树算法的异常流量分析方法、装置、电子设备及非易失性可读存储介质 | |
| CN110737887B (zh) | 恶意代码检测方法、装置、电子设备及存储介质 | |
| CN112131079B (zh) | 数据监控方法、装置、电子设备和存储介质 | |
| US20130339456A1 (en) | Techniques to filter electronic mail based on language and country of origin | |
| CN109726550B (zh) | 异常操作行为检测方法、装置及计算机可读存储介质 | |
| CN109726555B (zh) | 病毒检测处理方法、病毒提示方法以及相关设备 | |
| CN114785616A (zh) | 数据风险检测方法、装置、计算机设备及存储介质 | |
| CN110602207A (zh) | 基于离网预测推送信息的方法、装置、服务器和存储介质 | |
| CN116955198B (zh) | 一种规则集合的确定方法及装置 | |
| CN111046393B (zh) | 漏洞信息上传方法、装置、终端设备及存储介质 | |
| CN116541238A (zh) | 日志文件采集方法、装置、电子设备及可读存储介质 | |
| CN111741046B (zh) | 数据上报方法、获取方法、装置、设备及介质 | |
| CN109036497B (zh) | 一种医学实验室检测结果的分析方法及装置 | |
| CN111427874A (zh) | 医疗数据生产的质控方法、装置以及电子设备 | |
| US20220147710A1 (en) | Detecting Online Contextual Evolution Of Linguistic Terms | |
| CN116405551B (zh) | 基于社交平台的数据推送方法、系统及云平台 | |
| CN111835830B (zh) | 一种数据感知系统、方法及装置 | |
| CN117130815A (zh) | 云桌面卡顿分析方法、装置、设备和介质 | |
| CN118363811A (zh) | 系统运行状态监测方法、装置、计算机设备及存储介质 | |
| CN114115196A (zh) | 设备可靠性的检测方法、装置、设备及存储介质 | |
| JP2007164382A (ja) | 情報処理装置及び情報処理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |