CN110198305A - 坐席ip的异常检测方法、系统、计算机设备及存储介质 - Google Patents
坐席ip的异常检测方法、系统、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN110198305A CN110198305A CN201910366758.XA CN201910366758A CN110198305A CN 110198305 A CN110198305 A CN 110198305A CN 201910366758 A CN201910366758 A CN 201910366758A CN 110198305 A CN110198305 A CN 110198305A
- Authority
- CN
- China
- Prior art keywords
- target
- address
- user
- system use
- frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 235000021167 banquet Nutrition 0.000 title claims abstract description 52
- 230000005856 abnormality Effects 0.000 title claims abstract description 44
- 238000000034 method Methods 0.000 title claims abstract description 33
- 230000002159 abnormal effect Effects 0.000 claims abstract description 54
- 238000001514 detection method Methods 0.000 claims abstract description 25
- 238000004590 computer program Methods 0.000 claims description 8
- 238000012549 training Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000011017 operating method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明实施例提供了一种坐席IP的异常检测方法,所述方法包括:统计所述用户的系统使用信息,所述系统使用信息包括登陆次数、登陆时间、IP地址信息;根据所述系统使用信息分析得到所述用户的系统使用习惯数据,所述系统使用习惯数据包括每个时间段的历史登录频率、历史IP地址信息;根据所述系统使用习惯数据以及目标时间段的目标登录频率、目标IP地址信息,判断所述用户的账户在所述目标时间段内是否发生异常事件。本发明实施例还提供了坐席IP的异常检测系统、计算机设备和计算机可存储介质。本发明实施例通过用户的系统使用习惯数据对坐席用户的IP地址进行异常检测,可以及时发现出现异常的用户账号,保证坐席用户账号的安全性。
Description
技术领域
本发明实施例涉及安全检测技术,尤其涉及一种坐席IP的异常检测方法、 系统、计算机设备及计算机可读存储介质。
背景技术
IP地址的安全性很重要,检测用户的登陆IP是否异常,是判断该用户的账 户是否被违规使用的一个重要依据。对于一般的账户防盗系统,是针对经常在 固定地点进行使用的用户账户,通过检测用户此次登陆的地点和上次登陆的地 点进行比较,如果IP地址对应的登录地点发生变化,则标记为用户账户存在异 常,进而触发其他风控措施。但对于企业内部(比如客服、电话销售等坐席人员), 往往存在系统操作频率高,IP地址在小范围区间内变化多等特点,并且企业内 部IP多为内网IP,这时当前常见的检测算法无法很好的适用于企业内部的异常 IP检测。
发明内容
有鉴于此,本发明实施例的目的是提供一种坐席IP的异常检测方法、系统、 计算机设备及存储介质,通过用户的系统使用习惯数据对坐席用户的IP地址进 行异常检测,可以及时发现出现异常的用户账号,保证坐席用户账号的安全性。
为实现上述目的,本发明实施例提供了一种坐席IP的异常检测方法,所述 方法包括:
统计所述用户的系统使用信息,所述系统使用信息包括登陆次数、登陆时 间、IP地址信息;
根据所述系统使用信息分析得到所述用户的系统使用习惯数据,所述系统 使用习惯数据包括每个时间段的历史登录频率、历史IP地址信息;
根据所述系统使用习惯数据以及目标时间段的目标登录频率、目标IP地址 信息,判断所述用户的账户在所述目标时间段内是否发生异常事件。
进一步地,根据系统使用习惯数据以及目标时间段的目标登录频率、目标 IP地址信息,判断所述用户的账号在所述目标时间段内是否发生异常事件的步 骤,包括:
根据所述系统使用习惯数据计算各个时间段的各个IP地址的登录频率范 围;
判断目标时间段的目标IP地址的登录频率是否在预设登录频率范围内;及
如果目标时间段的目标IP地址的登录频率未在所述预设登录频率范围内, 判断所述用户的账号发生异常事件。
进一步地,还包括:
预先建立地理位置对应表;
所述地理位置对应表包括所述多个IP地址网段,以及每个IP地址网段关 联的位置同属于一个机房或者办公室的多个IP地址。
进一步地,根据系统使用习惯数据以及目标时间段的目标登录频率、目标 IP地址信息,判断所述用户的账号是否发生异常事件的步骤,包括:
根据所述系统使用习惯数据计算各个时间段的各个IP地址网段的登录频 率范围;
判断目标时间段的目标IP地址网段的登录频率是否在预设登录频率范围 内;及
如果目标时间段的目标IP地址网段的登录频率未在所述预设登录频率范 围内,判断所述用户的账号发生异常事件。
进一步地,根据系统使用习惯数据以及目标时间段的目标登录频率、目标 IP地址信息,判断所述用户的账号在所述目标时间段内是否发生异常事件的步 骤,包括:
将所述目标时间段的目标登录频率、目标IP地址以及目标IP地址网段输 入到预先配置的孤立森林模型中,得到所述用户的异常系数;
如果所述异常系数大于预设阈值时,判断所述用户的账号发生异常事件。
为实现上述目的,本发明实施例还提供了一种坐席IP的异常检测系统,包 括:
统计模块,用于统计所述用户的系统使用信息,所述系统使用信息包括登 陆次数、登陆时间以及IP地址信息;
分析模块,用于根据所述用户系统使用信息分析得到所述用户的系统使用 习惯数据,所述系统使用习惯数据包括每个时间段的历史登录频率、历史IP地 址信息;
判断模块,用于根据所述系统使用习惯数据以及目标时间段的目标登录频 率、目标IP地址信息,判断所述用户的账户在所述目标时间段内是否发生异常 事件。
进一步地,所述判断模块还用于:
根据所述系统使用习惯数据计算各个时间段的各个IP地址或IP地址网段 的登录频率范围;
判断目标时间段的目标IP地址或目标IP地址网段的登录频率是否在预设 登录频率范围内;及
如果目标时间段的目标IP地址以及目标IP地址网段的登录频率未在所述 预设登录频率范围内,判断所述用户的账号发生异常事件。
进一步地,所述判断模块还用于:
将所述目标时间段的目标登录频率、目标IP地址以及目标IP地址网段输 入到预先配置的孤立森林模型中,得到所述用户的异常系数;
如果所述异常系数大于预设阈值时,判断所述用户的账号发生异常事件。
为实现上述目的,本发明实施例还提供了一种计算机设备,包括存储器、 处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执 行所述计算机程序时实现如上所述坐席IP的异常检测方法的步骤。
为实现上述目的,本发明实施例还提供了一种计算机可读存储介质,其上 存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如上所 述坐席IP的异常检测方法的步骤。
本发明分别对用户的IP地址及IP地址网段进行异常检测,通过用户的系 统使用习惯数据对坐席用户的IP地址进行异常检测,可以及时发现出现异常的 用户账号,保证坐席用户账号的安全性。相对于现有的发现IP地址出现变化即 告警的方案,可以做到一定的容错性,且操作步骤简单。
附图说明
图1为本发明坐席IP的异常检测方法实施例一的流程图。
图2为图1中步骤S104实施例一的流程图。
图3为本发明坐席IP的异常检测方法实施例二的流程图。
图4为本发明坐席IP的异常检测方法实施例三的流程图。
图5为本发明坐席IP的异常检测系统实施例四的程序模块示意图。
图6为本发明计算机设备实施例五的硬件结构示意图。
具体实施方式
为了使本发明的目的、技术发明及优点更加清楚明白,以下结合附图及实 施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅 用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通 技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发 明保护的范围。
实施例一
参阅图1,示出了本发明实施例一之坐席IP的异常检测方法的步骤流程图。 可以理解,本方法实施例中的流程图不用于对执行步骤的顺序进行限定。下面 以服务器为执行主体进行示例性描述。具体如下。
步骤S100:统计所述用户的系统使用信息,所述系统使用信息包括登陆次 数、登陆时间、IP地址信息。
具体的,所述用户可以为坐席用户。坐席用户基于工作因素,工位和工作 时间可能经常发生变动,因此本实施例旨在统计每个坐席用户在各个时间段和 各个工位上的系统使用信息。
不难理解,在不同工位上登录时,所关联的IP信息也不相同。
步骤S102:根据所述系统使用信息分析得到所述用户的系统使用习惯数 据,所述系统使用习惯数据包括每个时间段的历史登录频率、历史IP地址信息。
具体的,所述历史IP地址信息包括IP地址,所述历史登录频率为每个所 述用户在每个时间段内的登录次数。
步骤S104:根据所述系统使用习惯数据以及目标时间段的目标登录频率、 目标IP地址信息,判断所述用户的账户在所述目标时间段内是否发生异常事 件。
具体的,目标时间段的选取是不定的,取决于需要计算多久时间内的目标 IP地址信息,或者说是多久时间内目标IP地址信息发生变化视为异常。比如: 1小时或者1天。
示例性的,参阅图2,所述步骤S104进一步包括:
步骤S104A:根据所述系统使用习惯数据计算各个时间段的各个IP地址的 登录频率范围。
步骤S104B:判断目标时间段的目标IP地址的登录频率是否在预设登录频 率范围内。如果在在预设登录频率范围内,则进入步骤S104D;否则进入步骤 S104C。
步骤S104C:判断所述用户的账号发生异常事件。
步骤S104D:判断所述用户的账号未发生异常事件。
具体的,计算所述目标IP地址在所述目标时间段内的登录频率在总时间段 的总登录频率的占比,得到所述目标IP地址在所述目标时间段的百分比。预先 对所述登录频率的最小百分比进行设置,判断所述目标IP地址的登录频率的百 分比是否小于最小百分比。若所述目标IP地址的登录频率的百分比小于最小百 分比,则判断所述用户的账号发生异常事件;反之,判断所述用户的账号未发 生异常事件。
具体的,由于坐席用户登录的频率一般较高,在目标时间段内,用户常用 IP地址的出现频率较高,若出现一个出现频率低的IP地址,表示该IP地址可 能存在异常,对该IP地址进行后续的调查。本发明只是将在正常工作时间内存 在异常IP地址的用户进行筛选,账户是否被盗用需进一步调查。
实施例二
参阅图3,示出了本发明实施例二之坐席IP的异常检测方法的步骤流程图。 可以理解,本方法实施例中的流程图不用于对执行步骤的顺序进行限定。下面 以服务器为执行主体进行示例性描述。具体如下。
步骤S200:预先建立地理位置对应表。
所述地理位置对应表包括所述多个IP地址网段,以及每个IP地址网段关 联的位置同属于一个机房或者办公室的多个IP地址。
步骤S202:统计所述用户的系统使用信息,所述系统使用信息包括登陆次 数、登陆时间、IP地址网段。
具体的,所述用户可以为坐席用户。坐席用户基于工作因素,工位和工作 时间可能经常发生变动,因此本实施例旨在统计每个坐席用户在各个时间段和 各个工位上的系统使用信息。
不难理解,在不同工位上登录时,所关联的IP地址也不相同,当可能在同 一个网段内。
步骤S204:根据所述系统使用信息分析得到所述用户的系统使用习惯数 据,所述系统使用习惯数据包括每个时间段的登录频率、IP地址网段。
步骤S206:根据所述系统使用习惯数据计算各个时间段的各个IP地址网 段的登录频率范围。
步骤S208:判断目标时间段的目标IP地址网段的登录频率是否在预设登 录频率范围内。如果目标时间段的目标IP地址网段的登录频率未在所述预设登 录频率范围内,则进入步骤S210;否则进入步骤S212。
具体的,目标时间段的选取是不定的,取决于需要计算多久时间内的目标 IP地址信息,或者说是多久时间内目标IP地址网段发生变化视为异常。比如: 1小时或者1天。
步骤S210:判断所述用户的账号发生异常事件。
步骤S212:判断所述用户的账号未发生异常事件。
具体的,当所述目标IP地址网段出现变化,表示在所述目标IP地址网段 中存在不属于目标IP地址网段的某个IP地址,目标IP地址网段出现了异常, 进一步确定异常IP地址。通过计算所述IP地址网段的登录频率范围,若目标 时间段的目标IP地址网段的登录频率未在所述预设登录频率范围内,判断所述 用户的账号发生异常事件;反之,判断所述用户的账号未发生异常事件。
所述步骤S200进一步包括:将所述获取的IP地址分成IP地址网段以C-IP 地址进行表示,根据所述IP地址网段与所述C-IP地址建立C-IP地理位置对应 表。
不难理解,地理位置上靠近的IP地址,通常也属于一个IP地址网段。如 果IP地址网段不同,那么电脑的位置很有可能也在地理位置上并不靠近。由对 C-IP地址是否发生变化,可以判断出用户所使用的IP地址是否为同一IP地址 网段的,即对异常的C-IP地址进行初步确定。
具体的,将获取的IP地址分成IP地址网段即将所述IP地址按特地的规律 分成所述IP地址网段,特地的规律可以为同一个办公室内、一段网络地址、一 个机房内等。由于检测的IP地址属于坐席IP地址,具有系统操作频率高、在 小范围区间内变化多等特点,IP地址在同一个办公室内、一段网络地址、一个 机房内等变动,可以被认为是合法操作,可以由C-IP地址进行标记。例如:以 机房号代替某个IP地址网段,以网络号代替某个IP地址网段,比如 127.0.0.1-127.0.0.255内的IP地址可以使用127.0.0来表示。转换后的IP地址以 C-IP地址表示127.0.0,将IP地址与C-IP地址的映射关系以C-IP地理位置对应 表表示,用以查找C-IP地址内的异常IP地址。
实施例三
参阅图4,示出了本发明实施例三之坐席IP的异常检测方法的步骤流程图。 可以理解,本方法实施例中的流程图不用于对执行步骤的顺序进行限定。下面 以服务器为执行主体进行示例性描述。具体如下。
步骤S300:统计所述用户的系统使用信息,所述系统使用信息包括登陆次 数、登陆时间、IP地址信息。
步骤S302:根据所述系统使用信息分析得到所述用户的系统使用习惯数 据,所述系统使用习惯数据包括每个时间段的历史登录频率、历史IP地址信息。
步骤S304:将所述目标时间段的目标登录频率、目标IP地址以及目标IP 地址网段输入到预先配置的孤立森林模型中,得到所述用户的异常系数。判断 所述异常系数是否大于预设阈值,如果所述异常系数大于预设阈值,则进入步 骤S306;否则进入步骤S308。
步骤S306:判断所述用户的账号发生异常事件。
步骤S308:判断所述用户的账号未发生异常事件。
具体的,所述孤立森林通过对目标IP地址以及目标IP地址网段的目标登 录频率进行计算分析,得到目标IP地址或者目标IP地址网段的目标登录频率 的异常系数。当出现一个IP地址的目标登录频率大于预设阈值,即表示该用户 的账号发生异常事件。
示例性的,使用任一训练子集(1≤i≤M,i是整数)训练孤立森林模型f,共得 到M个孤立森林模型集合F=(f,f...f...f),其中,子集为IP地址信息,具体过程 如下:
首先,孤立森林模型f是由T棵孤立树组成的,即f={t,...,t},而每一棵孤 立树的构建需要以下步骤:
(1)初始化一颗树,只有一个根节点φ,无叶子节点,从训练子集中随机选 择Ψ个样本作为样本子集,放入树的根节点;
(2)随机指定一个维度,也就是随机选取一个特征u,在根节点数据中随机 产生一个切割点q,切割点q在根节点数据中指定维度的最大值和最小值之间;
(3)以此切割点q生成一个超平面,然后将根节点数据空间划分为两个子空 间:把指定维度里小于切割点q的数据放在根节点的左孩子节点,把大于等于 切割点q的数据放在根节点的右孩子节点;
(4)将步骤(3)得到的孩子节点作为根节点,递归前述步骤(2)和步骤(3),不 断构造新的一层孩子节点,直到孩子节点中只有一个数据(即无法再继续切割) 或孩子节点已到达限定高度H,H=7层,将此时的孩子节点作为叶子节点,即 得到一颗孤立树;在构造各层孩子节点时,指定的维度均不相同,即选取的特征 均不相同;
按照上述步骤,针对训练子集获得T棵孤立树,即构成一片孤立森林f。
其中,上述的切割点q可以从登录频率中选出。
实施例四
请继续参阅图5,示出了本发明坐席IP的异常检测系统实施例四的程序模 块示意图。在本实施例中,坐席IP的异常检测系统20可以包括或被分割成一 个或多个程序模块,一个或者多个程序模块被存储于存储介质中,并由一个或 多个处理器所执行,以完成本发明,并可实现上述网关动态配置方法。本发明 实施例所称的程序模块是指能够完成特定功能的一系列计算机程序指令段,比 程序本身更适合于描述坐席IP的异常检测系统20在存储介质中的执行过程。 以下描述将具体介绍本实施例各程序模块的功能:
统计模块401,用于统计所述用户的系统使用信息,所述系统使用信息包 括登陆次数、登陆时间以及IP地址信息.
具体的,所述用户可以为坐席用户。坐席用户基于工作因素,工位和工作 时间可能经常发生变动,因此本实施例旨在统计每个坐席用户在各个时间段和 各个工位上的系统使用信息。
不难理解,在不同工位上登录时,所关联的IP信息也不相同。
分析模块402,用于根据所述用户系统使用信息分析得到所述用户的系统 使用习惯数据,所述系统使用习惯数据包括每个时间段的历史登录频率、历史 IP地址信息。
具体的,所述历史IP地址信息包括IP地址,所述历史登录频率为每个所 述用户在每个时间段内的登录次数。
判断模块403,用于根据所述系统使用习惯数据以及目标时间段的目标登 录频率、目标IP地址信息,判断所述用户的账户在所述目标时间段内是否发生 异常事件。
具体的,目标时间段的选取是不定的,取决于需要计算多久时间内的目标 IP地址信息,或者说是多久时间内目标IP地址信息发生变化视为异常。比如: 1小时或者1天。
示例性的,所述判断模块403进一步用于:
根据所述系统使用习惯数据计算各个时间段的各个IP地址的登录频率范 围;
判断目标时间段的目标IP地址的登录频率是否在预设登录频率范围内;及
如果在在预设登录频率范围内,判断所述用户的账号发生异常事件。
具体的,计算所述目标IP地址在所述目标时间段内的登录频率在总时间段 的总登录频率的占比,得到所述目标IP地址在所述目标时间段的百分比。预先 对所述登录频率的最小百分比进行设置,判断所述目标IP地址的登录频率的百 分比是否小于最小百分比。若所述目标IP地址的登录频率的百分比小于最小百 分比,则判断所述用户的账号发生异常事件;反之,判断所述用户的账号未发 生异常事件。
具体的,由于坐席用户登录的频率一般较高,在目标时间段内,用户常用 IP地址的出现频率较高,若出现一个出现频率低的IP地址,表示该IP地址可 能存在异常,对该IP地址进行后续的调查。本发明只是将在正常工作时间内存 在异常IP地址的用户进行筛选,账户是否被盗用需进一步调查。
示例性的,所述判断模块403进一步用于:
预先建立地理位置对应表;
所述地理位置对应表包括所述多个IP地址网段,以及每个IP地址网段关 联的位置同属于一个机房或者办公室的多个IP地址。
根据所述系统使用习惯数据计算各个时间段的各个IP地址网段的登录频 率范围;
判断目标时间段的目标IP地址网段的登录频率是否在预设登录频率范围 内;及
如果目标时间段的目标IP地址网段的登录频率未在所述预设登录频率范 围内,判断所述用户的账号发生异常事件。
具体的,当所述目标IP地址网段出现变化,表示在所述目标IP地址网段 中存在不属于目标IP地址网段的某个IP地址,目标IP地址网段出现了异常, 进一步确定异常IP地址。通过计算所述IP地址网段的登录频率范围,若目标 时间段的目标IP地址网段的登录频率未在所述预设登录频率范围内,判断所述 用户的账号发生异常事件;反之,判断所述用户的账号未发生异常事件。
所述预先建立地理位置对应表进一步包括:将所述获取的IP地址分成IP 地址网段以C-IP地址进行表示,根据所述IP地址网段与所述C-IP地址建立 C-IP地理位置对应表。
不难理解,地理位置上靠近的IP地址,通常也属于一个IP地址网段。如 果IP地址网段不同,那么电脑的位置很有可能也在地理位置上并不靠近。由对 C-IP地址是否发生变化,可以判断出用户所使用的IP地址是否为同一IP地址 网段的,即对异常的C-IP地址进行初步确定。
具体的,将获取的IP地址分成IP地址网段即将所述IP地址按特地的规律 分成所述IP地址网段,特地的规律可以为同一个办公室内、一段网络地址、一 个机房内等。由于检测的IP地址属于坐席IP地址,具有系统操作频率高、在 小范围区间内变化多等特点,IP地址在同一个办公室内、一段网络地址、一个 机房内等变动,可以被认为是合法操作,可以由C-IP地址进行标记。例如:以 机房号代替某个IP地址网段,以网络号代替某个IP地址网段,比如 127.0.0.1-127.0.0.255内的IP地址可以使用127.0.0来表示。转换后的IP地址以 C-IP地址表示127.0.0,将IP地址与C-IP地址的映射关系以C-IP地理位置对应 表表示,用以查找C-IP地址内的异常IP地址。
示例性的,所述判断模块403进一步用于:
统计所述用户的系统使用信息,所述系统使用信息包括登陆次数、登陆时 间、IP地址信息;
根据所述系统使用信息分析得到所述用户的系统使用习惯数据,所述系统 使用习惯数据包括每个时间段的登录频率、IP地址信息;
将所述目标时间段的目标登录频率、目标IP地址以及目标IP地址网段输 入到预先配置的孤立森林模型中,得到所述用户的异常系数;及
如果所述异常系数大于预设阈值,判断所述用户的账号发生异常事件。
具体的,所述孤立森林算法通过对目标IP地址以及目标IP地址网段的目 标登录频率进行计算分析,得到目标IP地址或者目标IP地址网段的目标登录 频率的异常系数。当出现一个IP地址的目标登录频率大于预设阈值,即表示该 用户的账号发生异常事件。
示例性的,使用任一训练子集(1≤i≤M,i是整数)训练孤立森林模型f,共得 到M个孤立森林模型集合F=(f,f...f...f),其中,子集为IP地址信息,具体过程 如下:
首先,孤立森林模型f是由T棵孤立树组成的,即f={t,...,t},而每一棵孤 立树的构建需要以下步骤:
(1)初始化一颗树,只有一个根节点φ,无叶子节点,从训练子集中随机选 择Ψ个样本作为样本子集,放入树的根节点;
(2)随机指定一个维度,也就是随机选取一个特征u,在根节点数据中随机 产生一个切割点q,切割点q在根节点数据中指定维度的最大值和最小值之间;
(3)以此切割点q生成一个超平面,然后将根节点数据空间划分为两个子空 间:把指定维度里小于切割点q的数据放在根节点的左孩子节点,把大于等于 切割点q的数据放在根节点的右孩子节点;
(4)将步骤(3)得到的孩子节点作为根节点,递归前述步骤(2)和步骤(3),不 断构造新的一层孩子节点,直到孩子节点中只有一个数据(即无法再继续切割) 或孩子节点已到达限定高度H,H=7层,将此时的孩子节点作为叶子节点,即 得到一颗孤立树;在构造各层孩子节点时,指定的维度均不相同,即选取的特征 均不相同;
按照上述步骤,针对训练子集获得T棵孤立树,即构成一片孤立森林f。
其中,上述的切割点q可以从登录频率中选出。
实施例五
参阅图6,是本发明实施例五之计算机设备的硬件架构示意图。本实施例 中,所述计算机设备2是一种能够按照事先设定或者存储的指令,自动进行数 值计算和/或信息处理的设备。该计算机设备2可以是机架式服务器、刀片式服 务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组 成的服务器集群)等。如图所示,所述计算机设备2至少包括,但不限于,可 通过系统总线相互通信连接存储器21、处理器22、网络接口23、以及网关动 态配置系统20。其中:
本实施例中,存储器21至少包括一种类型的计算机可读存储介质,所述可 读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器 等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储 器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器 (PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器21可以是 计算机设备2的内部存储单元,例如该计算机设备2的硬盘或内存。在另一些 实施例中,存储器21也可以是计算机设备2的外部存储设备,例如该计算机设 备20上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器21还可以既 包括计算机设备2的内部存储单元也包括其外部存储设备。本实施例中,存储 器21通常用于存储安装于计算机设备2的操作系统和各类应用软件,例如实施 例四的坐席IP的异常检测系统20的程序代码等。此外,存储器21还可以用于 暂时地存储已经输出或者将要输出的各类数据。
处理器22在一些实施例中可以是中央处理器(Central Processing Unit, CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通 常用于控制计算机设备20的总体操作。本实施例中,处理器22用于运行存储 器21中存储的程序代码或者处理数据,例如运行坐席IP的异常检测系统20, 以实现实施例一、二或三的坐席IP的异常检测方法。
所述网络接口23可包括无线网络接口或有线网络接口,该网络接口23通 常用于在所述服务器2与其他电子装置之间建立通信连接。例如,所述网络接 口23用于通过网络将所述服务器2与外部终端相连,在所述服务器2与外部终 端之间的建立数据传输通道和通信连接等。所述网络可以是企业内部网 (Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communication,GSM)、宽带码分多址(Wideband CodeDivision Multiple Access, WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
需要指出的是,图6仅示出了具有部件20-23的计算机设备2,但是应理 解的是,并不要求实施所有示出的部件,可以替代的实施更多或者更少的部件。
在本实施例中,存储于存储器21中的所述坐席IP的异常检测系统20还可 以被分割为一个或者多个程序模块,所述一个或者多个程序模块被存储于存储 器21中,并由一个或多个处理器(本实施例为处理器22)所执行,以完成本 发明。
例如,图5示出了所述实现坐席IP的异常检测系统20实施例四的程序模 块示意图,该实施例中,所述基于坐席IP的异常检测系统20可以被划分为统 计模块401、分析模块402和判断模块403。其中,本发明所称的程序模块是指 能够完成特定功能的一系列计算机程序指令段,比程序更适合于描述所述坐席IP的异常检测系统20在所述计算机设备2中的执行过程。所述程序模块401-403 的具体功能在实施例四中已有详细描述,在此不再赘述。
实施例六
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡 型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随 机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器 (EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服 务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储坐席IP的异常检测系统 20,被处理器执行时实现实施例一、二或三的坐席IP的异常检测方法。
本发明分别对用户的IP地址及IP地址网段进行异常检测,通过用户的系 统使用习惯数据对坐席用户的IP地址进行异常检测,可以及时发现出现异常的 用户账号,保证坐席用户账号的安全性。相对于现有的发现IP地址出现变化即 告警的方案,可以做到一定的容错性,且操作步骤简单。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实 施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬 件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利 用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运 用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种坐席IP的异常检测方法,其特征在于,包括:
统计所述用户的系统使用信息,所述系统使用信息包括登陆次数、登陆时间、IP地址信息;
根据所述系统使用信息分析得到所述用户的系统使用习惯数据,所述系统使用习惯数据包括每个时间段的历史登录频率、历史IP地址信息;
根据所述系统使用习惯数据以及目标时间段的目标登录频率、目标IP地址信息,判断所述用户的账户在所述目标时间段内是否发生异常事件。
2.根据权利要求1所述的异常检测方法,其特征在于,根据系统使用习惯数据以及目标时间段的目标登录频率、目标IP地址信息,判断所述用户的账号在所述目标时间段内是否发生异常事件的步骤,包括:
根据所述系统使用习惯数据计算各个时间段的各个IP地址的登录频率范围;
判断目标时间段的目标IP地址的登录频率是否在预设登录频率范围内;及
如果目标时间段的目标IP地址的登录频率未在所述预设登录频率范围内,判断所述用户的账号发生异常事件。
3.根据权利要求1所述的异常检测方法,其特征在于,还包括:
预先建立地理位置对应表;
所述地理位置对应表包括所述多个IP地址网段,以及每个IP地址网段关联的位置同属于一个机房或者办公室的多个IP地址。
4.根据权利要求3所述的异常检测方法,其特征在于,根据系统使用习惯数据以及目标时间段的目标登录频率、目标IP地址信息,判断所述用户的账号是否发生异常事件的步骤,包括:
根据所述系统使用习惯数据计算各个时间段的各个IP地址网段的登录频率范围;
判断目标时间段的目标IP地址网段的登录频率是否在预设登录频率范围内;及
如果目标时间段的目标IP地址网段的登录频率未在所述预设登录频率范围内,判断所述用户的账号发生异常事件。
5.根据权利要求1所述的异常检测方法,其特征在于,根据系统使用习惯数据以及目标时间段的目标登录频率、目标IP地址信息,判断所述用户的账号在所述目标时间段内是否发生异常事件的步骤,包括:
将所述目标时间段的目标登录频率、目标IP地址以及目标IP地址网段输入到预先配置的孤立森林模型中,得到所述用户的异常系数;
如果所述异常系数大于预设阈值时,判断所述用户的账号发生异常事件。
6.一种坐席IP的异常检测系统,其特征在于,包括:
统计模块,用于统计所述用户的系统使用信息,所述系统使用信息包括登陆次数、登陆时间以及IP地址信息;
分析模块,用于根据所述用户系统使用信息分析得到所述用户的系统使用习惯数据,所述系统使用习惯数据包括每个时间段的历史登录频率、历史IP地址信息;
判断模块,用于根据所述系统使用习惯数据以及目标时间段的目标登录频率、目标IP地址信息,判断所述用户的账户在所述目标时间段内是否发生异常事件。
7.根据权利要求6所述的异常检测系统,其特征在于,所述判断模块还用于:
根据所述系统使用习惯数据计算各个时间段的各个IP地址或IP地址网段的登录频率范围;
判断目标时间段的目标IP地址或目标IP地址网段的登录频率是否在预设登录频率范围内;及
如果目标时间段的目标IP地址以及目标IP地址网段的登录频率未在所述预设登录频率范围内,判断所述用户的账号发生异常事件。
8.根据权利要求7所述的异常检测系统,其特征在于,所述判断模块还用于:
将所述目标时间段的目标登录频率、目标IP地址以及目标IP地址网段输入到预先配置的孤立森林模型中,得到所述用户的异常系数;
如果所述异常系数大于预设阈值时,判断所述用户的账号发生异常事件。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一项所述坐席IP的异常检测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至5任一项所述坐席IP的异常检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910366758.XA CN110198305A (zh) | 2019-05-05 | 2019-05-05 | 坐席ip的异常检测方法、系统、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910366758.XA CN110198305A (zh) | 2019-05-05 | 2019-05-05 | 坐席ip的异常检测方法、系统、计算机设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110198305A true CN110198305A (zh) | 2019-09-03 |
Family
ID=67752381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910366758.XA Pending CN110198305A (zh) | 2019-05-05 | 2019-05-05 | 坐席ip的异常检测方法、系统、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110198305A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110708296A (zh) * | 2019-09-19 | 2020-01-17 | 中国电子科技网络信息安全有限公司 | 一种基于长时间行为分析的vpn账号失陷智能检测模型 |
| CN110933080A (zh) * | 2019-11-29 | 2020-03-27 | 上海观安信息技术股份有限公司 | 一种用户登录异常的ip群体识别方法及装置 |
| CN111062010A (zh) * | 2019-11-08 | 2020-04-24 | 支付宝(杭州)信息技术有限公司 | 一种身份验证方法、装置及设备 |
| CN111294336A (zh) * | 2020-01-15 | 2020-06-16 | 深圳开源互联网安全技术有限公司 | 登录行为检测方法、装置、计算机设备和存储介质 |
| CN111988278A (zh) * | 2020-07-23 | 2020-11-24 | 微梦创科网络科技(中国)有限公司 | 一种基于用户地理位置日志的异常用户确定方法及装置 |
| CN112581088A (zh) * | 2020-12-18 | 2021-03-30 | 携程旅游网络技术(上海)有限公司 | 员工坐席信息管理方法、系统、电子设备及存储介质 |
| CN112822143A (zh) * | 2019-11-15 | 2021-05-18 | 网宿科技股份有限公司 | 一种ip地址的评估方法、系统及设备 |
| CN113569879A (zh) * | 2020-04-28 | 2021-10-29 | 中国移动通信集团浙江有限公司 | 异常识别模型的训练方法、异常账号识别方法及相关装置 |
| CN113810329A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
| CN115514562A (zh) * | 2022-09-22 | 2022-12-23 | 国网山东省电力公司 | 一种用于数据安全预警方法及系统 |
| CN117134976A (zh) * | 2023-09-04 | 2023-11-28 | 世纪鑫睿(北京)传媒科技有限公司 | 一种账号集中管理方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN104426844A (zh) * | 2013-08-21 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 一种安全认证方法、服务器以及安全认证系统 |
| CN105391793A (zh) * | 2015-11-27 | 2016-03-09 | 北京奇虎科技有限公司 | 一种跨平台聊天系统和跨平台聊天方法 |
| CN106331066A (zh) * | 2016-08-15 | 2017-01-11 | 努比亚技术有限公司 | 电子设备及信息处理方法 |
| CN106998317A (zh) * | 2016-01-22 | 2017-08-01 | 高德信息技术有限公司 | 异常访问请求识别方法及装置 |
| CA3028296A1 (en) * | 2016-02-25 | 2017-08-31 | Sas Institute Inc. | Cybersecurity system |
| CN108011782A (zh) * | 2017-12-06 | 2018-05-08 | 北京百度网讯科技有限公司 | 用于推送告警信息的方法和装置 |
| US10129288B1 (en) * | 2014-02-11 | 2018-11-13 | DataVisor Inc. | Using IP address data to detect malicious activities |
| CN109145581A (zh) * | 2018-09-29 | 2019-01-04 | 武汉极意网络科技有限公司 | 基于浏览器渲染性能的防模拟登录方法、装置及服务器 |
| CN109413044A (zh) * | 2018-09-26 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种异常访问请求识别方法及终端设备 |
-
2019
- 2019-05-05 CN CN201910366758.XA patent/CN110198305A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN104426844A (zh) * | 2013-08-21 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 一种安全认证方法、服务器以及安全认证系统 |
| US10129288B1 (en) * | 2014-02-11 | 2018-11-13 | DataVisor Inc. | Using IP address data to detect malicious activities |
| CN105391793A (zh) * | 2015-11-27 | 2016-03-09 | 北京奇虎科技有限公司 | 一种跨平台聊天系统和跨平台聊天方法 |
| CN106998317A (zh) * | 2016-01-22 | 2017-08-01 | 高德信息技术有限公司 | 异常访问请求识别方法及装置 |
| CA3028296A1 (en) * | 2016-02-25 | 2017-08-31 | Sas Institute Inc. | Cybersecurity system |
| CN106331066A (zh) * | 2016-08-15 | 2017-01-11 | 努比亚技术有限公司 | 电子设备及信息处理方法 |
| CN108011782A (zh) * | 2017-12-06 | 2018-05-08 | 北京百度网讯科技有限公司 | 用于推送告警信息的方法和装置 |
| CN109413044A (zh) * | 2018-09-26 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种异常访问请求识别方法及终端设备 |
| CN109145581A (zh) * | 2018-09-29 | 2019-01-04 | 武汉极意网络科技有限公司 | 基于浏览器渲染性能的防模拟登录方法、装置及服务器 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110708296A (zh) * | 2019-09-19 | 2020-01-17 | 中国电子科技网络信息安全有限公司 | 一种基于长时间行为分析的vpn账号失陷智能检测模型 |
| CN110708296B (zh) * | 2019-09-19 | 2022-03-18 | 中国电子科技网络信息安全有限公司 | 一种基于长时间行为分析的vpn账号失陷智能检测模型 |
| CN111062010A (zh) * | 2019-11-08 | 2020-04-24 | 支付宝(杭州)信息技术有限公司 | 一种身份验证方法、装置及设备 |
| CN112822143A (zh) * | 2019-11-15 | 2021-05-18 | 网宿科技股份有限公司 | 一种ip地址的评估方法、系统及设备 |
| CN112822143B (zh) * | 2019-11-15 | 2022-05-27 | 网宿科技股份有限公司 | 一种ip地址的评估方法、系统及设备 |
| CN110933080A (zh) * | 2019-11-29 | 2020-03-27 | 上海观安信息技术股份有限公司 | 一种用户登录异常的ip群体识别方法及装置 |
| CN110933080B (zh) * | 2019-11-29 | 2021-10-26 | 上海观安信息技术股份有限公司 | 一种用户登录异常的ip群体识别方法及装置 |
| CN111294336A (zh) * | 2020-01-15 | 2020-06-16 | 深圳开源互联网安全技术有限公司 | 登录行为检测方法、装置、计算机设备和存储介质 |
| CN113569879B (zh) * | 2020-04-28 | 2024-03-19 | 中国移动通信集团浙江有限公司 | 异常识别模型的训练方法、异常账号识别方法及相关装置 |
| CN113569879A (zh) * | 2020-04-28 | 2021-10-29 | 中国移动通信集团浙江有限公司 | 异常识别模型的训练方法、异常账号识别方法及相关装置 |
| CN113810329B (zh) * | 2020-06-11 | 2023-09-29 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
| CN113810329A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
| CN111988278A (zh) * | 2020-07-23 | 2020-11-24 | 微梦创科网络科技(中国)有限公司 | 一种基于用户地理位置日志的异常用户确定方法及装置 |
| CN112581088A (zh) * | 2020-12-18 | 2021-03-30 | 携程旅游网络技术(上海)有限公司 | 员工坐席信息管理方法、系统、电子设备及存储介质 |
| CN115514562B (zh) * | 2022-09-22 | 2023-03-28 | 国网山东省电力公司 | 一种用于数据安全预警方法及系统 |
| CN115514562A (zh) * | 2022-09-22 | 2022-12-23 | 国网山东省电力公司 | 一种用于数据安全预警方法及系统 |
| CN117134976A (zh) * | 2023-09-04 | 2023-11-28 | 世纪鑫睿(北京)传媒科技有限公司 | 一种账号集中管理方法 |
| CN117134976B (zh) * | 2023-09-04 | 2024-04-02 | 世纪鑫睿(北京)传媒科技有限公司 | 一种账号集中管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110198305A (zh) | 坐席ip的异常检测方法、系统、计算机设备及存储介质 | |
| US11792229B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
| CN109639450B (zh) | 基于神经网络的故障告警方法、系统、计算机设备及介质 | |
| US11848966B2 (en) | Parametric analysis of integrated operational technology systems and information technology systems | |
| CN110213068B (zh) | 一种消息中间件的监控方法及相关设备 | |
| US20220224723A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| CN109918279B (zh) | 电子装置、基于日志数据识别用户异常操作的方法及存储介质 | |
| RU2017118317A (ru) | Система и способ автоматического расчета кибер-риска в бизнес-критических приложениях | |
| US20110320228A1 (en) | Automated Generation of Markov Chains for Use in Information Technology | |
| CN113176978B (zh) | 基于日志文件的监控方法、系统、设备及可读存储介质 | |
| CN109002424B (zh) | 文件格式转换方法、装置、计算机设备及存储介质 | |
| CN112084055A (zh) | 应用系统的故障定位方法、装置、电子设备及存储介质 | |
| CN109669835B (zh) | MySQL数据库监控方法、装置、设备及可读存储介质 | |
| CN110955586A (zh) | 一种基于日志的系统故障预测方法、装置和设备 | |
| CN112769605B (zh) | 一种异构多云的运维管理方法及混合云平台 | |
| WO2021216163A2 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| CN111258798A (zh) | 监控数据的故障定位方法、装置、计算机设备及存储介质 | |
| CN110069925A (zh) | 软件监测方法、系统及计算机可读存储介质 | |
| CN113986595A (zh) | 一种异常定位方法及装置 | |
| CN110191097B (zh) | 登录页面安全性的检测方法、系统、设备及存储介质 | |
| CN112217657A (zh) | 基于sd-wan系统的数据传输方法、数据处理方法、设备和介质 | |
| US9917858B2 (en) | Honey user | |
| CN104477776A (zh) | 基于角色的起重机远程分级监控系统 | |
| CN109905407B (zh) | 基于vpn服务器访问内网的管理方法、系统、设备及介质 | |
| CN115809384A (zh) | 网页更新方法、装置、计算机设备及计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190903 |