CN110365672A - 一种电子商务异常攻击的检测方法 - Google Patents

Abstract

本发明属于电子商务技术领域，具体涉及一种电子商务异常攻击的检测方法，检测方法包括根据不同流量数据特征值对应电商评价参数，按照电商评价参数对电商进行分类，得到电商集合，每个电商集合对应一套异常流量分析模型，用于评价某电商对应电商评价参数是否在正常阈值范围内以及分析客户类型，根据分析结果判断是否为异常攻击并执行相应防护指令。本发明相比现有技术具有以下优点：相比现有异常检测库需要对电商信息进行深度解析实现了简化，通过进一步判断能够向电商发出预警信息或冻结交易，对客户与电商交互产生的实时流量数据实现客观、正确的评价，能够满足不断更新的异常攻击方式，能够保护电商利益不受异常攻击影响。

Description

一种电子商务异常攻击的检测方法

技术领域

本发明属于电子商务技术领域，具体涉及一种电子商务异常攻击的检测方法。

背景技术

随着电子商务的蓬勃发展，国内越来越多的企业涉足网络营销，电子商务领域的安全问题日益凸显，为了提高安全方案，现有技术中通常为消费者建立更完善的安全保护方案，但对于电商的保护较少；在现有电子商务环境中，对电商进行异常攻击的方式主要有反向刷单、恶意流量和恶意嗅探，反向刷单为有的商家为了打压竞争对手，雇人在对手网店刷单，使得对手网店销售的商品订单量暴增，指使刷手恶意刷单，然后通过差评和退货等方式，造成店铺损失，并使其对手网店面临违规处罚等风险；恶意流量为通过聚集网络资源，调度肉机等占用客服等资源，使得电子商务店铺的正常经营无法开展；恶意嗅探为竞争对手通过电子商务平台和网点，嗅探竞争对手成交信息等商业秘密，并伺机采取破坏的形式，让电子商务的竞争对手遭受损失。

现有技术针对异常流量的检测，主要包括以下四类：基于阈值检测、基于规则匹配、基于统计和机器学习方法；

其中基于阈值监测的方法是针对电子商务流量的特征值设定一个阈值，当检测到某条电子商务流量特征值超过这个阈值时，系统就会判定该电子商务流量是一条异常流量，并处理该流量；

基于规则匹配的方法是提取特种类型电子商务流量的通行行为特征，在提取需要检测的电子商务流量特征，并对其进行特征匹配，达到检测目的；

基于统计的方法是针对网络中流量进行数理统计分析，构建出一种或多种电子商务异常的流量，统计数据对应模型来检测电子商务流量中的异常；

基于机器学习方法是使用机器学习的方法，进行电子商务异常流量的检测。

以上四种方法虽然能在一定程度上检测到异常攻击，但在特征值的选择和提取上，由于电子商务的流量种类繁多，异常流量的种类也非常复杂，找到合适的特征值来区分和描述正常的电子商务流量和异常的电子商务流量是十分困难的，同时电子商务网站中的应用流量占比电子商务正常流量中的数量较少，而异常流量的数量相比十分稀少，所以检测的异常流量相比检测正常流量难度更高。

发明内容

本发明的目的是针对现有检测异常流量时数据量过大、找到合适特征值区分和描述正常的电子商务流量和异常的电子商务流量十分困难的问题，着重注意力的区域，形成注意力焦点，针对主要区域投入更多的注意力，以获取电子商务运作区域需要关注的目标细节和特征，忽略其他区域及无用信息，进而能保证用有限的注意力，在大量的全域电子商务数据信息中快速过滤出有价值信息的一种方法，即从样本的众多信息中选择出对评价当前电子商务态势感知目标更有价值的信息，提供了一种电子商务异常攻击的检测方法。

本发明是通过以下技术方案实现的：一种电子商务异常攻击的检测方法，包括检测容器，检测容器具有处理器和存储设备，所述存储设备中存储有多条计算机指令，所述处理器用以对这些计算机指令加载并执行，检测方法包括以下步骤：

（1）所述检测容器用于采集以电商为单位的流量数据，确定流量数据特征值，每个流量数据特征值对应电商流量信息，每个流量数据特征值对应不同的权重系数，通过计算后归一化处理，进行加权求和，每个电商对应一个电商评价参数，按照电商评价参数规律性分布设置多个参数范围，实现对电商进行分类，得到电商集合；

所述流量数据特征值对应的权重系数基于原始赋权，选定修正值，采用反向探测工具对初次得到的权重系数进行正向修正和调节，得到权重系数；

（2）每个电商集合对应一套异常流量分析模型，每套异常流量分析模型包括电商参数评价模块和客户信息评价模块，所述电商参数评价模块用于评价某电商对应电商评价参数是否在正常阈值范围内，所述客户信息评价模块用于分析客户类型，所述客户类型包括安全型客户和危险型客户；

（3）如果在某电商集合内的某电商对应的电商评价参数在预设时间内超出正常阈值范围，向该电商发送初步预警信号，并根据客户信息评价模块对该电商数据流量中的客户信息进行分析；

（4）如果判断得到客户属于危险型客户，则冻结该客户进行的交易，并向该电商发送二次预警信号；

（5）电商接收到二次预警信号后根据实际情况进行判断，如果属于正常交易，则解除冻结继续交易，如果不属于正常交易则申请平台/三方介入。

作为对上述方案的进一步改进，所述修正值采用德尔菲法筛选，筛选所得修正值需要满足专家的协调系数高于0.65。

作为对上述方案的进一步改进，录入新的电商流量数据时，检测容器根据各流量数据特征值对应的权重系数计算得到电商评价参数，自动分配到符合的电商集合内；已在电商集合内的电商对应的电商评价参数根据流量数据的改变而变化，当电商评价参数的变化为有效变化时，自动分配到符合的电商集合内；能够保证检测容器内流量数据在不断更新，以实现对电商异常流量检测的准确性。

作为对上述方案的进一步改进，所述电商被分配前设定考察期，考察期内保持流量稳定则变化有效，考察期时间长于预设时间，能够避免有效流量变化影响电商异常流量检测的准确性。

作为对上述方案的进一步改进，所述客户类型的评价方法为，对客户信息进行特征提取，得到客户特征值，每个客户特征值对应信息参数，且每个客户特征值对应不同的权重系数，通过计算后归一化处理，进行加权求和，每个客户对应一个客户评价参数；根据现有具有潜在攻击行为的异常交易信息设定安全型客户对应的客户评价参数范围，超出安全型客户对应的客户评价参数范围则属于危险型客户；以相对简单的方式判断出危险型用户，以方便实现预警。

作为对上述方案的进一步改进，所述电商根据店铺情况自行设定针对该电商的流量数据特征值对应的权重系数或正常阈值范围。

本申请中通过对电商的流量数据特征值赋予权重，并不断的调整权重，使所得到的电商评价参数能够反映实时流量数据是否属于异常；客户信息用同样的方法，能够得到客户评价参数，用于进一步验证反映异常实时流量数据是否为异常攻击。

本发明相比现有技术具有以下优点：合理选择电商特征值并设定对应的权重系数，得到电商评价参数，且能够自动匹配对应的评价标准，以判断该是否为异常流量，相比现有异常检测库需要对电商信息进行深度解析实现了简化，通过进一步判断能够向电商发出预警信息或冻结交易，对客户与电商交互产生的实时流量数据实现客观、正确的评价；在流量数据不断更新的情况下动态调整权重系数，保证整个系统的动态性和正确性，相比现有异常检测方式能够满足不断更新的异常攻击方式，能够保护电商利益不受异常攻击影响。

附图说明

图1是本发明的异常攻击分析流程图。

具体实施方式

下面结合附图对本发明进一步说明。

如图1中所示，一种电子商务异常攻击的检测方法，包括检测容器，检测容器具有处理器和存储设备，所述存储设备中存储有多条计算机指令，所述处理器用以对这些计算机指令加载并执行，检测方法包括以下步骤：

（1）所述检测容器用于采集以电商为单位的流量数据，确定流量数据特征值，每个流量数据特征值对应电商流量信息，每个流量数据特征值对应不同的权重系数，通过计算后归一化处理，进行加权求和，每个电商对应一个电商评价参数，按照电商评价参数规律性分布设置多个参数范围，实现对电商进行分类，得到电商集合；

所述流量数据特征值对应的权重系数基于原始赋权，选定修正值，采用反向探测工具对初次得到的权重系数进行正向修正和调节，得到权重系数；

流量数据特征值包括店铺访问量、客服咨询量、商品成交量；

（2）每个电商集合对应一套异常流量分析模型，每套异常流量分析模型包括电商参数评价模块和客户信息评价模块，所述电商参数评价模块用于评价某电商对应电商评价参数是否在正常阈值范围内，所述客户信息评价模块用于分析客户类型，所述客户类型包括安全型客户和危险型客户；

所述客户类型的评价方法为，对客户信息进行特征提取，得到客户特征值，每个客户特征值对应信息参数，且每个客户特征值对应不同的权重系数，通过计算后归一化处理，进行加权求和，每个客户对应一个客户评价参数；根据现有具有潜在攻击行为的异常交易信息设定安全型客户对应的客户评价参数范围，超出安全型客户对应的客户评价参数范围则属于危险型客户；以相对简单的方式判断出危险型用户，以方便实现预警；

具体的客户特征值包括账户等级、历史成交量、历史退货率、历史好评率、历史差评率；现有具有潜在攻击行为的异常交易信息可以为退货率较高，经常无故关闭交易等。

（3）如果在某电商集合内的某电商对应的电商评价参数在预设时间内超出正常阈值范围，向该电商发送初步预警信号，并根据客户信息评价模块对该电商数据流量中的客户信息进行分析；

电商也可以在接收到初步预警信号时对是否为异常攻击进行判断，如果能确定是异常攻击，可以直接申请平台/三方介入辅助调查；

（4）如果判断得到客户属于危险型客户，则冻结该客户进行的交易，并向该电商发送二次预警信号；

（5）电商接收到二次预警信号后根据实际情况进行判断，如果属于正常交易，则解除冻结继续交易，如果不属于正常交易则申请平台/三方介入。

其中，所述修正值采用德尔菲法筛选，筛选所得修正值需要满足专家的协调系数高于0.65。

具体的，录入新的电商流量数据时，检测容器根据各流量数据特征值对应的权重系数计算得到电商评价参数，自动分配到符合的电商集合内；已在电商集合内的电商对应的电商评价参数根据流量数据的改变而变化，当电商评价参数的变化为有效变化时，自动分配到符合的电商集合内；能够保证检测容器内流量数据在不断更新，以实现对电商异常流量检测的准确性；所述电商被分配前设定考察期，考察期内保持流量稳定则变化有效，考察期时间长于预设时间，能够避免有效流量变化影响电商异常流量检测的准确性。

特别的，所述电商根据店铺情况自行设定针对该电商的流量数据特征值对应的权重系数或正常阈值范围；

比如，电商由于特殊宣传或有特殊优惠时，自行调整正常阈值范围；

或者商品特点需要与客户有大量沟通时，降低客服咨询量在判断异常攻击时的权重系数。

本申请中通过对电商的流量数据特征值赋予权重，并不断的调整权重，使所得到的电商评价参数能够反映实时流量数据是否属于异常；客户信息用同样的方法，能够得到客户评价参数，用于进一步验证反映异常实时流量数据是否为异常攻击。

本发明中方法按照电商评价参数规律性分布设置多个参数范围，实现对电商进行分类，得到电商集合，能够实现对不同级别的电商分类判别，实现流量分流；然后由大类到小类逐步分析交易是否属于异常攻击，能够减少对无效数据的判断。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种电子商务异常攻击的检测方法，包括检测容器，检测容器具有处理器和存储设备，所述存储设备中存储有多条计算机指令，所述处理器用以对这些计算机指令加载并执行，其特征在于，检测方法包括以下步骤：

（1）所述检测容器用于采集以电商为单位的流量数据，确定流量数据特征值，每个流量数据特征值对应电商流量信息，每个流量数据特征值对应不同的权重系数，通过计算后归一化处理，进行加权求和，每个电商对应一个电商评价参数，按照电商评价参数规律性分布设置多个参数范围，实现对电商进行分类，得到电商集合；

所述流量数据特征值对应的权重系数基于原始赋权，选定修正值，采用反向探测工具对初次得到的权重系数进行正向修正和调节，得到权重系数；

（2）每个电商集合对应一套异常流量分析模型，每套异常流量分析模型包括电商参数评价模块和客户信息评价模块，所述电商参数评价模块用于评价某电商对应电商评价参数是否在正常阈值范围内，所述客户信息评价模块用于分析客户类型，所述客户类型包括安全型客户和危险型客户；

（3）如果在某电商集合内的某电商对应的电商评价参数在预设时间内超出正常阈值范围，向该电商发送初步预警信号，并根据客户信息评价模块对该电商数据流量中的客户信息进行分析；

（4）如果判断得到客户属于危险型客户，则冻结该客户进行的交易，并向该电商发送二次预警信号；

（5）电商接收到二次预警信号后根据实际情况进行判断，如果属于正常交易，则解除冻结继续交易，如果不属于正常交易则申请平台/三方介入。

2.如权利要求1所述一种电子商务异常攻击的检测方法，其特征在于，所述修正值采用德尔菲法筛选。

3.如权利要求1所述一种电子商务异常攻击的检测方法，其特征在于，录入新的电商流量数据时，检测容器根据各流量数据特征值对应的权重系数计算得到电商评价参数，自动分配到符合的电商集合内；已在电商集合内的电商对应的电商评价参数根据流量数据的改变而变化，当电商评价参数的变化为有效变化时，自动分配到符合的电商集合内。

4.如权利要求3所述一种电子商务异常攻击的检测方法，其特征在于，所述电商被分配前设定考察期，考察期内保持流量稳定则变化有效。

5.如权利要求1所述一种电子商务异常攻击的检测方法，其特征在于，所述客户类型的评价方法为，对客户信息进行特征提取，得到客户特征值，每个客户特征值对应信息参数，且每个客户特征值对应不同的权重系数，通过计算后归一化处理，进行加权求和，每个客户对应一个客户评价参数；根据现有具有潜在攻击行为的异常交易信息设定安全型客户对应的客户评价参数范围，超出安全型客户对应的客户评价参数范围则属于危险型客户。

6.如权利要求1所述一种电子商务异常攻击的检测方法，其特征在于，所述电商根据店铺情况自行设定针对该电商的流量数据特征值对应的权重系数或正常阈值范围。