CN110457896A - 在线访问的检测方法及检测装置 - Google Patents
在线访问的检测方法及检测装置 Download PDFInfo
- Publication number
- CN110457896A CN110457896A CN201910590097.9A CN201910590097A CN110457896A CN 110457896 A CN110457896 A CN 110457896A CN 201910590097 A CN201910590097 A CN 201910590097A CN 110457896 A CN110457896 A CN 110457896A
- Authority
- CN
- China
- Prior art keywords
- data
- access
- vector
- feature
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种在线访问的检测方法及检测装置,该检测方法包括:确定用户当前访问数据平台时的第一访问数据;利用深度学习模型,针对第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对第一特征数据和第二特征数据进行识别,以确定用户的当前访问是否是异常访问,其中,第二访问数据是在用户上一次访问数据平台时生成的。本发明的技术方案能够充分挖掘用户当前访问的动机和意图,进而能够提高异常访问行为检测的准确率和召回率。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种在线访问的检测方法及检测装置。
背景技术
随着互联网技术的发展,网络在带给用户方便的同时,也遭受一些异常访问行为的攻击,使得网络安全遭受威胁。因此,识别异常访问行为对维护网络的信息安全是十分重要的。现有的检测方法误检率较高,难以对网络安全提供保障。
发明内容
有鉴于此,本发明实施例提供了一种在线访问的检测方法及检测装置,能够提高异常访问行为检测的准确率和召回率。
第一方面,本发明的实施例提供了一种在线访问的检测方法,包括:确定用户当前访问数据平台时的第一访问数据;利用深度学习模型,针对第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对第一特征数据和第二特征数据进行识别,以确定用户的当前访问是否是异常访问,其中,第二访问数据是在用户上一次访问数据平台时生成的。
在本发明某些实施例中,深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,利用深度学习模型,针对第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对第一特征数据和第二特征数据进行识别,以确定用户的当前访问是否是异常访问,包括:利用第一特征提取器针对第一访问数据提取第一特征数据;利用第二特征提取器针对第二访问数据提取第二特征数据;利用特征拼接器拼接第一特征数据和第二特征数据,得到第三特征数据;利用分类器对第三特征数据进行识别,以确定当前访问是否是异常访问。
在本发明某些实施例中,第一特征数据包括第一特征向量,第二特征数据包括第二特征向量,第一特征提取器与第二特征提取器的参数设置不同,以使得第一特征向量与第二特征向量的维度不同。
在本发明某些实施例中,第一访问数据包括至少一个访问向量,其中,确定用户当前访问数据平台时的第一访问数据,包括:对当前访问的时间权重数据和访问地点数据进行向量化处理,确定至少一个访问向量,时间权重数据用于表征当前访问的时间与用户上一次访问数据平台的时间的间隔。
在本发明某些实施例中,对当前访问的时间权重数据和访问地点数据进行向量化处理,确定至少一个访问向量,包括:对时间权重数据、访问地点数据以及当前访问的访问行为数据进行向量化处理,确定至少一个访问向量,访问行为数据用于表征用户对数据平台执行的操作行为。
在本发明某些实施例中,至少一个访问向量包括第一访问向量和第二访问向量,对时间权重数据、访问地点数据以及当前访问的访问行为数据进行向量化处理,确定至少一个访问向量,包括:对访问地点数据进行向量化处理,确定第一访问向量;对访问行为数据和时间权重数据进行向量化处理,确定第二访问向量,第一访问向量和第二访问向量的维度一致。
第二方面,本发明的实施例提供了一种在线访问的检测装置,包括:确定模块,用于确定用户当前访问数据平台时的第一访问数据;识别模块,用于利用深度学习模型,针对第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对第一特征数据和第二特征数据进行识别,以确定用户的当前访问是否是异常访问,其中,第二访问数据是在用户上一次访问数据平台时生成的。
在本发明某些实施例中,深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,第一特征提取器用于针对第一访问数据提取第一特征数据;第二特征提取器用于针对第二访问数据提取第二特征数据;特征拼接器用于拼接第一特征数据和第二特征数据,得到第三特征数据;分类器用于对第三特征数据进行识别,以确定当前访问是否是异常访问。
在本发明某些实施例中,第一特征数据包括第一特征向量,第二特征数据包括第二特征向量,第一特征提取器与第二特征提取器的参数设置不同,以使得第一特征向量与第二特征向量的维度不同。
在本发明某些实施例中,第一访问数据包括至少一个访问向量,其中,确定模块用于对当前访问的时间权重数据和访问地点数据进行向量化处理,确定至少一个访问向量,时间权重数据用于表征当前访问的时间与用户上一次访问数据平台的时间的间隔。
在本发明某些实施例中,确定模块用于对时间权重数据、访问地点数据以及当前访问的访问行为数据进行向量化处理,确定至少一个访问向量,访问行为数据用于表征用户对数据平台执行的操作行为。
在本发明某些实施例中,至少一个访问向量包括第一访问向量和第二访问向量,确定模块用于对访问地点数据进行向量化处理,确定第一访问向量,对访问行为数据和时间权重数据进行向量化处理,确定第二访问向量,第一访问向量和第二访问向量的维度一致。
第三方面,本发明的实施例提供了一种计算机可读存储介质,存储介质存储有计算机程序,计算机程序用于执行上述第一方面所述的在线访问的检测方法。
第四方面,本发明的实施例提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器,其中,处理器用于执行上述第一方面所述的在线访问的检测方法。
本发明实施例提供了一种在线访问的检测方法及检测装置,通过利用相邻两次访问的访问数据,并对访问数据进行特征数据的提取和识别,从而可以从“上下文语境”的角度充分挖掘用户当前访问的动机和意图,进而能够提高异常访问行为检测的准确率和召回率。
附图说明
图1所示为本发明一示例性实施例提供的在线访问的检测系统的系统架构示意图。
图2所示为本发明一实施例提供的在线访问的检测方法的流程示意图。
图3所示为本发明另一实施例提供的在线访问的检测方法的流程示意图。
图4所示为本发明一实施例提供的在线访问的检测装置的结构示意图。
图5所示为本发明一示例性实施例示出的用于在线访问的检测的电子设备的框图。
图6所示为本发明一示例性实施例示出的深度学习模型的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
异常访问行为的检测有两种方式:一种是离线检测,即从访问日志中,对历史访问行为进行二次筛查;一种是动态检测,即对当前的访问行为进行实时检测。离线检测可以利用历史数据的特征,检测结果具有较高的准确率,但是在离线检测时,异常访问行为已经对服务器或者数据平台造成了损失,因此实时性较差。动态检测实时性高,但是现有的动态检测方法考虑到的特征比较单一,误检率高。
图1所示为本发明一示例性实施例提供的在线访问的检测系统的系统架构示意图,其示出了一种对终端上进行的访问行为进行检测的应用场景。如图1所示,该检测系统包括服务器10和终端20。终端20可以是手机、电脑等电子设备。
在一示例性场景中,用户可以通过终端20访问数据平台,该数据平台可以是网站或者数据库,例如可以是Hadoop平台。在用户访问数据平台的过程中,会在服务器10上产生访问数据,服务器10可以通过对访问数据进行检测,进而对用户的访问行为进行识别。
需要说明的是,本发明实施例中的检测系统还可以进一步包括服务器30,服务器30可以对服务器10上的访问数据进行检测,进而对用户的访问行为进行识别。
需要注意的是,上述应用场景仅是为了便于理解本发明的精神和原理而示出,本发明的实施例并不限于此。相反,本发明的实施例可以应用于可能适用的任何场景。
图2所示为本发明一实施例提供的在线访问的检测方法的流程示意图。如图2所示,该方法包括如下内容。
110:确定用户当前访问数据平台时的第一访问数据。
具体地,用户访问数据平台时,服务器或终端会生成访问日志,该访问日志会记录用户每次访问行为的原始数据。例如,该原始数据包括用户的访问地点,访问时间,以及用户访问时对数据库进行的具体操作等。
120:利用深度学习模型,针对第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对第一特征数据和第二特征数据进行识别,以确定用户的当前访问是否是异常访问,其中,第二访问数据是在用户上一次访问数据平台时生成的。
具体地,第一访问数据可以是访问日志中记录的原始数据,也可以是原始数据经过处理后得到的数据。
利用深度学习模型对用户的访问行为进行检测,可以实时检测用户的当前访问是否是异常访问,便于服务器或终端及时对异常访问做出拦截,以维护网络信息安全。
在本实施例中,第一访问数据是用户当前访问数据平台时生成的,第二访问数据是用户在上一次访问数据平台时生成的。当前访问和上一次访问是相邻的两次访问,两次访问之间的间隔访问次数是0,即第一访问数据和第二访问数据是连续的。深度学习模型可以针对相邻两次访问的访问数据分别提取特征数据,进而确定当前访问是否是异常访问。
从自然语言处理的角度,第二次访问数据可以看作是第一次访问数据的“上文”,第一次访问数据可以看作是第二次访问数据的“下文”,这样通过“上下文语境”的角度对用户的当前访问进行检测,可以充分挖掘用户当前访问的动机和意图。
当然,两次访问之间的间隔访问次数也可以是大于1的,本发明实施例对具体的间隔访问次数不做限定。这里需要说明的是,当两次访问之间的间隔访问次数是0时,可以更准确地挖掘用户当前访问的动机和意图,提高检测结果的准确率。
本发明实施例提供了一种在线访问的检测方法及检测装置,通过利用相邻两次访问的访问数据,并对访问数据进行特征数据的提取和识别,从而可以从“上下文语境”的角度充分挖掘用户当前访问的动机和意图,进而能够提高异常访问行为检测的准确率和召回率。
根据本发明一实施例,深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,120包括:利用第一特征提取器针对第一访问数据提取第一特征数据;利用第二特征提取器针对第二访问数据提取第二特征数据;利用特征拼接器拼接第一特征数据和第二特征数据,得到第三特征数据;利用分类器对第三特征数据进行识别,以确定当前访问是否是异常访问。
具体地,深度学习模型可以是通过训练或学习多个样本访问数据得到的,多个样本访问数据包括在访问次数上相邻的样本访问数据。利用经过学习的深度学习模型对第一访问数据和第二访问数据进行分析,进而对用户的访问行为进行实时检测,从而可以实现端到端的检测过程,使得检测过程更加便捷,且提高检测方法的容错性。
第一特征提取器和第二特征提取器可以相同也可以不同。由于第三特征数据是第一特征数据和第二特征数据经过拼接之后得到的,因此第三特征数据能够充分体现相邻两次访问之间的联系,进而提高检测结果的可靠性。
根据本发明一实施例,第一特征数据包括第一特征向量,第二特征数据包括第二特征向量,第一特征提取器与第二特征提取器的参数设置不同,以使得第一特征向量与第二特征向量的维度不同。
具体地,在深度学习模型学习的过程中,为了避免第一特征提取器的参数的确定过程受第二特征提取器的参数的确定过程的影响,可以将第一特征提取器和第二特征提取器分别设置成用于提取不同维度的特征向量,这样可以进一步提高检测结果的可靠性。
根据本发明一实施例,第一访问数据包括至少一个访问向量,其中,110包括:对当前访问的时间权重数据和访问地点数据进行向量化处理,确定至少一个访问向量,时间权重数据用于表征当前访问的时间与用户上一次访问数据平台的时间的间隔。
在本实施例中,第一访问数据是通过对访问日志中的原始数据进行向量化后得到的至少一个访问向量。原始数据可以是当前访问的时间权重数据和访问地点数据。
用户访问数据平台时的访问地点可以是根据省份或直辖市的不同进行划分,也可以是根据城市的不同进行划分,或者根据社区的不同进行划分。具体的划分等级可以根据实际情况进行设定,本发明实施例对此不做限定。
当用户多次访问数据平台时,相邻两次访问之间的时间间隔(或者说访问频率)可以在一定程度上反映用户的访问行为是否异常。因此,充分利用用户访问时的时间权重数据,并结合访问地点数据,可以从时间和空间两个维度上对用户的访问行为进行检测,可以提高异常行为检测的准确率。
类似地,第二访问数据可以是上一次访问的时间权重数据和访问地点数据经过向量化后得到的至少一个访问向量。
至少一个向量可以是一个向量,即时间权重数据和访问地点数据经过向量化处理后得到一个向量。至少一个向量也可以是两个向量,即时间权重数据和访问地点数据分别经过向量化处理后得到两个向量。
第一特征提取器可以是循环神经网络模型、长短期记忆网络模型或全连接神经网络模型等,第二特征提取器与第一特征提取器类似。分类器的种类可以是支持向量机(Support Vector Machine,SVM)、贝叶斯、K近邻(K-Nearest Neighbors,KNN)或K-MEANS等。
根据本发明一实施例,对当前访问的时间权重数据和访问地点数据进行向量化处理,确定至少一个访问向量,包括:对时间权重数据、访问地点数据以及当前访问的访问行为数据进行向量化处理,确定至少一个访问向量,访问行为数据用于表征用户对数据平台执行的操作行为。
具体地,对用户的访问行为进行检测的过程中,利用的原始数据越多,则检测结果的准确率就越高。因此,在本实施例中,充分利用了访问的原始数据:时间权重数据、访问地点数据以及访问行为数据。
在一实施例中,用户对数据平台的操作行为可以包括以下八种中的至少一种:增加、删除、修改、查找、导入、导出、获取、发送。当然,用户对数据平台的操作行为还可以是其他种类,本发明实施例对操作行为的具体种类和具体数量不做限定。
根据本发明一实施例,至少一个访问向量包括第一访问向量和第二访问向量,对时间权重数据、访问地点数据以及当前访问的访问行为数据进行向量化处理,确定至少一个访问向量,包括:对访问地点数据进行向量化处理,确定第一访问向量;对访问行为数据和时间权重数据进行向量化处理,确定第二访问向量,第一访问向量和第二访问向量的维度一致。
由于时间和行为是强相关的,因此,在本实施例中,对访问行为数据和时间权重数据一同进行向量化处理,得到第二访问向量,可以提高检测结果的准确率。
第一访问向量和第二访问向量的维度可以不一致,也可以一致。当第一访问向量和第二访问向量的维度一致时,第一访问向量和第二访问向量可以组成一个矩阵,这样可以避免因输入深度学习模型中的各个向量的维度不同(维度太离散)而导致深度学习模型学习难度增加的情况。
类似地,第二访问数据可以包括第三访问向量和第四访问向量。第三访问向量为上一次访问中的访问地点数据经过向量化处理后得到的,第四访问向量为上一次访问中的访问行为数据和时间权重数据经过向量化处理后得到的。
下面以当前访问为例,对访问向量(第一访问向量和第二访问向量)的生成过程进行详细的描述。上一次访问的访问向量(第三访问向量和第四访问向量)的生成过程与之类似,此处不做赘述。
用户的访问地点是根据省份或直辖市的不同进行划分,即,访问地点数据包括34个状态(省份、直辖市),第一访问向量是34维(34个元素)的向量,从向量中的第1个位置到第34个位置(即从第0维到第33维),一个位置代表一个维度,一个维度代表一个省份或直辖市。
向量化过程可以通过one-hot编码方法来实现,例如,第一访问向量中第一个位置代表的是“北京”,当用户的访问地点是“北京”时,第一访问向量中第一个位置上的数字是1,而其他位置上的数字均是0。当然,也可以采用其他合适的方法来实现向量化过程。
第二访问向量的获取过程与第一访问向量的获取过程类似。在本实施例中,第二访问向量的维度与第一访问向量的维度一致,也是34维。
用户对数据平台的操作行为包括以下八种:增加、删除、修改、查找、导入、导出、获取、发送。即,访问行为数据包括8个状态,第二访问向量中有8个位置上的数字用于表征用户的访问行为数据。第二访问向量中剩下的26个位置上的数字用于表征用户的时间权重数据。
例如,时间权重数据的各个状态的取值可以通过以下公式进行确定。
在该公式中,T为时间间隔权重,用于表征上述26个位置中第T+1个位置上的数字为1,其余25个位置上的数字为0;t为两次访问实际的时间间隔。这里,时间间隔t的单位可以是秒、毫秒或其他单位。
当t大于25时,T=0,上次访问和本次访问的时间间隔较长,可以认为上次访问对本次访问不构成影响,本次访问的检测可以只考虑访问行为数据和访问地点数据。当然,T可以通过其他合适的公式进行获取,本发明实施例对此不做限定。
以用户的访问地点为“北京”、时间间隔权重T为25、访问行为为“查找”为例,可以获得如下的矩阵。
在该矩阵中,第一个行向量即第一访问向量,第一访问向量的第一个位置代表的是“北京”,所以第一访问向量中第一个位置上的数字为1,其他位置上的数字为0。第二个行向量即第二访问向量,第二访问向量中前8个数字代表的是访问行为数据的8个状态,后26个数字代表的是时间权重数据的26个状态。第二个行向量中前8个数字可以看成是一个向量,用于表征访问行为数据,在该向量中,第一个位置代表的是“查找”,所以第一个位置上的数字为1,其他位置上的数字为0;后26个数字可以看成是另一个向量,用于表征时间权重数据,由于T为25(t=0,即同一时间存在两次或两次以上的访问),在该向量中第26个位置上的数字为1,其他位置上的数字为0。这两个向量可以经过拼接形成第二访问向量。
需要说明的是,在保证第二访问向量和第一访问向量的维度一致的情况下,关于访问行为数据的状态的个数、以及时间权重数据的状态的个数可以根据实际情况进行调整。同时关于时间权重数据的各个状态的取值的确定方法,也可以根据实际情况进行设定,本发明实施例对此不作具体的限定。
第一特征提取器基于第一访问向量和第二访问向量提取第一特征向量,第二特征提取器基于第三访问向量和第四访问向量提取第二特征向量。第三特征数据包括第三特征向量,特征拼接器将第一特征向量和第二特征向量进行拼接形成第三特征向量。分类器对第三特征向量进行识别,以确定当前访问是否是异常访问。
下面以卷积神经网络(Convolutional Neural Networks,CNN)模型作为第一特征提取器和第二特征提取器为例,对深度学习模型的检测过程进行详细的说明。如图6所示,第一特征提取器用于对当前访问的信息进行卷积,可以称为当前行为信息卷积层,其中,当前访问的信息可以是第一访问向量和第二访问向量组成的矩阵。当前行为信息卷积层由两部分组成,第一部分由3个2*8大小的卷积核与1*3大小的最大值池化(pooling)组成;第二部分为具有24个隐藏节点的全连接神经网络。
第二特征提取器用于对上一次访问的信息进行卷积,可以称为上文信息卷积层,其中,上一次访问的信息可以是第三访问向量和第四访问向量组成的矩阵。上文信息卷积层由三部分组成,第一部分由4个2*8大小的卷积核组成;第二部分由8个2*4大小的卷积核与2*2大小的最大值池化(pooling)组成;第三部分为具有16个隐藏节点的全连接神经网络。
当前行为信息卷积层和上文信息卷积层是并列的两个CNN模型。
第一访问向量和第二访问向量组成的矩阵经过当前行为信息卷积层的处理后,得到维度是24的第一特征向量。第三访问向量和第四访问向量组成的矩阵经过上文信息卷积层的处理后,得到维度是16的第二特征向量。
特征拼接器作为拼接层可以对24维的第一特征向量和16维的第二特征向量进行拼接,得到40维的第三特征向量。
分类器(Softmax)对40维的第三特征向量进行分类,进而确定当前访问是否是异常访问。
当然,图6所示的结构仅是本发明的一个实施例,并不用于限制本发明。
第一特征向量的维度和第二特征向量的维度也可以是其他的值,特征提取器中卷积核的个数、以及最大池化的规格可以根据实际需要进行设定,本发明实施例对此不做限定。
图3所示为本发明另一实施例提供的在线访问的检测方法的流程示意图。图3所示实施例是图2所示实施例的具体例子,为避免重复,相同之处不做具体解释。如图3所示,该方法包括如下内容。
210:确定用户当前访问数据平台时的第一访问向量和第二访问向量。
220:确定用户上一次访问数据平台时的第三访问向量和第四访问向量。
第一访问向量、第二访问向量、第三访问向量和第四访问向量的获取过程可以参见上述图2中的描述,为避免重复,在此不作赘述。
220可以在210之前或之后执行,或者与210同时执行。
230:利用第一特征提取器针对第一访问向量和第二访问向量提取第一特征向量。
240:利用第二特征提取器针对第三访问向量和第四访问向量提取第二特征向量。
第一特征提取器与第二特征提取器的参数设置不同,第一特征向量和第二特征向量的维度不同。
230可以在240之前或之后执行,或者与240同时执行。
250:利用特征拼接器拼接第一特征向量和第二特征向量,得到第三特征向量。
260:利用分类器对第三特征向量进行识别,以确定当前访问是否是异常访问。
第一特征提取器、第二特征提取器、特征拼接器以及分类器可以同属于一个深度学习模型。
图4所示为本发明一实施例提供的在线访问的检测装置400的结构示意图。如图4所示,装置400包括:确定模块410以及识别模块420。
确定模块410用于确定用户当前访问数据平台时的第一访问数据;识别模块420用于利用深度学习模型,针对第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对第一特征数据和第二特征数据进行识别,以确定用户的当前访问是否是异常访问,其中,第二访问数据是在用户上一次访问数据平台时生成的。
本发明实施例提供了一种在线访问的检测装置,通过利用相邻两次访问的访问数据,并对访问数据进行特征数据的提取和识别,从而可以从“上下文语境”的角度充分挖掘用户当前访问的动机和意图,进而能够提高异常访问行为检测的准确率和召回率。
根据本发明一实施例,深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,第一特征提取器用于针对第一访问数据提取第一特征数据;第二特征提取器用于针对第二访问数据提取第二特征数据;特征拼接器用于拼接第一特征数据和第二特征数据,得到第三特征数据;分类器用于对第三特征数据进行识别,以确定当前访问是否是异常访问。
根据本发明一实施例,第一特征数据包括第一特征向量,第二特征数据包括第二特征向量,第一特征提取器与第二特征提取器的参数设置不同,以使得第一特征向量与第二特征向量的维度不同。
根据本发明一实施例,第一访问数据包括至少一个访问向量,其中,确定模块410用于对当前访问的时间权重数据和访问地点数据进行向量化处理,确定至少一个访问向量,时间权重数据用于表征当前访问的时间与用户上一次访问数据平台的时间的间隔。
根据本发明一实施例,确定模块410用于对时间权重数据、访问地点数据以及当前访问的访问行为数据进行向量化处理,确定至少一个访问向量,访问行为数据用于表征用户对数据平台执行的操作行为。
根据本发明一实施例,至少一个访问向量包括第一访问向量和第二访问向量,确定模块410用于对访问地点数据进行向量化处理,确定第一访问向量,对访问行为数据和时间权重数据进行向量化处理,确定第二访问向量,第一访问向量和第二访问向量的维度一致。
应当理解,上述实施例中的确定模块410以及识别模块420的操作和功能可以参考上述图2和图3提供的在线访问的检测方法中的描述,为了避免重复,在此不再赘述。
图5所示为本发明一示例性实施例示出的用于在线访问的检测的电子设备500的框图。
参照图5,电子设备500包括处理组件510,其进一步包括一个或多个处理器,以及由存储器520所代表的存储器资源,用于存储可由处理组件510的执行的指令,例如应用程序。存储器520中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件510被配置为执行指令,以执行上述在线访问的检测方法。
电子设备500还可以包括一个电源组件被配置为执行电子设备500的电源管理,一个有线或无线网络接口被配置为将电子设备500连接到网络,和一个输入输出(I/O)接口。可以基于存储在存储器520的操作系统操作电子设备500,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM,FreeBSDTM或类似。
一种非临时性计算机可读存储介质,当存储介质中的指令由上述电子设备500的处理器执行时,使得上述电子设备500能够执行一种在线访问的检测方法,包括:确定用户当前访问数据平台时的第一访问数据;利用深度学习模型,针对第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对第一特征数据和第二特征数据进行识别,以确定用户的当前访问是否是异常访问,其中,第二访问数据是在用户上一次访问数据平台时生成的。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序校验码的介质。
需要说明的是,在本发明的描述中,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种在线访问的检测方法,其特征在于,包括:
确定用户当前访问数据平台时的第一访问数据;
利用深度学习模型,针对所述第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对所述第一特征数据和所述第二特征数据进行识别,以确定所述用户的当前访问是否是异常访问,其中,所述第二访问数据是在所述用户上一次访问所述数据平台时生成的。
2.根据权利要求1所述的检测方法,其特征在于,所述深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,所述利用深度学习模型,针对所述第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对所述第一特征数据和所述第二特征数据进行识别,以确定所述用户的当前访问是否是异常访问,包括:
利用所述第一特征提取器针对所述第一访问数据提取所述第一特征数据;
利用所述第二特征提取器针对所述第二访问数据提取所述第二特征数据;
利用所述特征拼接器拼接所述第一特征数据和所述第二特征数据,得到第三特征数据;
利用所述分类器对所述第三特征数据进行识别,以确定所述当前访问是否是异常访问。
3.根据权利要求2所述的检测方法,其特征在于,所述第一特征数据包括第一特征向量,所述第二特征数据包括第二特征向量,所述第一特征提取器与所述第二特征提取器的参数设置不同,以使得所述第一特征向量与所述第二特征向量的维度不同。
4.根据权利要求1至3中任一项所述的检测方法,其特征在于,所述第一访问数据包括至少一个访问向量,其中,所述确定用户当前访问数据平台时的第一访问数据,包括:
对所述当前访问的时间权重数据和访问地点数据进行向量化处理,确定所述至少一个访问向量,所述时间权重数据用于表征所述当前访问的时间与所述用户上一次访问所述数据平台的时间的间隔。
5.根据权利要求4所述的检测方法,其特征在于,所述对所述当前访问的时间权重数据和访问地点数据进行向量化处理,确定所述至少一个访问向量,包括:
对所述时间权重数据、所述访问地点数据以及所述当前访问的访问行为数据进行向量化处理,确定所述至少一个访问向量,所述访问行为数据用于表征所述用户对所述数据平台执行的操作行为。
6.根据权利要求5所述的检测方法,其特征在于,所述至少一个访问向量包括第一访问向量和第二访问向量,所述对所述时间权重数据、所述访问地点数据以及所述当前访问的访问行为数据进行向量化处理,确定所述至少一个访问向量,包括:
对所述访问地点数据进行向量化处理,确定所述第一访问向量;
对所述访问行为数据和所述时间权重数据进行向量化处理,确定所述第二访问向量,所述第一访问向量和所述第二访问向量的维度一致。
7.一种在线访问的检测装置,其特征在于,包括:
确定模块,用于确定用户当前访问数据平台时的第一访问数据;
识别模块,用于利用深度学习模型,针对所述第一访问数据提取第一特征数据,针对第二访问数据提取第二特征数据,并对所述第一特征数据和所述第二特征数据进行识别,以确定所述用户的当前访问是否是异常访问,其中,所述第二访问数据是在所述用户上一次访问所述数据平台时生成的。
8.根据权利要求7所述的检测装置,其特征在于,所述深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,所述第一特征提取器用于针对所述第一访问数据提取第一特征数据;所述第二特征提取器用于针对所述第二访问数据提取第二特征数据;所述特征拼接器用于拼接所述第一特征数据和所述第二特征数据,得到第三特征数据;所述分类器用于对所述第三特征数据进行识别,以确定所述当前访问是否是异常访问。
9.根据权利要求8所述的检测装置,其特征在于,所述第一特征数据包括第一特征向量,所述第二特征数据包括第二特征向量,所述第一特征提取器与所述第二特征提取器的参数设置不同,以使得所述第一特征向量与所述第二特征向量的维度不同。
10.根据权利要求7至9中任一项所述的检测装置,其特征在于,所述第一访问数据包括至少一个访问向量,其中,所述确定模块用于对所述当前访问的时间权重数据和访问地点数据进行向量化处理,确定所述至少一个访问向量,所述时间权重数据用于表征所述当前访问的时间与所述用户上一次访问所述数据平台的时间的间隔。
11.根据权利要求10所述的检测装置,其特征在于,所述确定模块用于对所述时间权重数据、所述访问地点数据以及所述当前访问的访问行为数据进行向量化处理,确定所述至少一个访问向量,所述访问行为数据用于表征所述用户对所述数据平台执行的操作行为。
12.根据权利要求11所述的检测装置,其特征在于,所述至少一个访问向量包括第一访问向量和第二访问向量,所述确定模块用于对所述访问地点数据进行向量化处理,确定所述第一访问向量,对所述访问行为数据和所述时间权重数据进行向量化处理,确定所述第二访问向量,所述第一访问向量和所述第二访问向量的维度一致。
13.一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1至6中任一项所述的在线访问的检测方法。
14.一种电子设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器,
其中,所述处理器用于执行上述权利要求1至6中任一项所述的在线访问的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910590097.9A CN110457896A (zh) | 2019-07-02 | 2019-07-02 | 在线访问的检测方法及检测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910590097.9A CN110457896A (zh) | 2019-07-02 | 2019-07-02 | 在线访问的检测方法及检测装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110457896A true CN110457896A (zh) | 2019-11-15 |
Family
ID=68482039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910590097.9A Pending CN110457896A (zh) | 2019-07-02 | 2019-07-02 | 在线访问的检测方法及检测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110457896A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112417447A (zh) * | 2020-11-11 | 2021-02-26 | 北京京航计算通讯研究所 | 一种恶意代码分类结果的精确度验证方法及装置 |
| CN113722707A (zh) * | 2021-11-02 | 2021-11-30 | 西安热工研究院有限公司 | 基于距离度量的数据库异常访问检测方法、系统及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
| CN107566163A (zh) * | 2017-08-10 | 2018-01-09 | 北京奇安信科技有限公司 | 一种用户行为分析关联的告警方法及装置 |
| US20180013780A1 (en) * | 2015-03-02 | 2018-01-11 | Alibaba Group Holding Limited | Identifying risky user behaviors in computer networks |
| CN108173704A (zh) * | 2017-11-24 | 2018-06-15 | 中国科学院声学研究所 | 一种基于表征学习的网络流量分类的方法及装置 |
| CN109391624A (zh) * | 2018-11-14 | 2019-02-26 | 国家电网有限公司 | 一种基于机器学习的终端接入数据异常检测方法及装置 |
-
2019
- 2019-07-02 CN CN201910590097.9A patent/CN110457896A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180013780A1 (en) * | 2015-03-02 | 2018-01-11 | Alibaba Group Holding Limited | Identifying risky user behaviors in computer networks |
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
| CN107566163A (zh) * | 2017-08-10 | 2018-01-09 | 北京奇安信科技有限公司 | 一种用户行为分析关联的告警方法及装置 |
| CN108173704A (zh) * | 2017-11-24 | 2018-06-15 | 中国科学院声学研究所 | 一种基于表征学习的网络流量分类的方法及装置 |
| CN109391624A (zh) * | 2018-11-14 | 2019-02-26 | 国家电网有限公司 | 一种基于机器学习的终端接入数据异常检测方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112417447A (zh) * | 2020-11-11 | 2021-02-26 | 北京京航计算通讯研究所 | 一种恶意代码分类结果的精确度验证方法及装置 |
| CN113722707A (zh) * | 2021-11-02 | 2021-11-30 | 西安热工研究院有限公司 | 基于距离度量的数据库异常访问检测方法、系统及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889538B (zh) | 用户异常行为检测方法及系统 | |
| CN110489964A (zh) | 账号检测方法、装置、服务器及存储介质 | |
| CN109005145A (zh) | 一种基于自动特征抽取的恶意url检测系统及其方法 | |
| CN108879732A (zh) | 电力系统暂态稳定评估方法及装置 | |
| CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构系统 | |
| CN110457896A (zh) | 在线访问的检测方法及检测装置 | |
| CN112600794A (zh) | 一种联合深度学习中检测gan攻击的方法 | |
| CN108961019A (zh) | 一种用户账户的检测方法和装置 | |
| CN115102705A (zh) | 一种基于深度强化学习的自动化网络安全检测方法 | |
| CN115203550A (zh) | 一种增强邻居关系的社交推荐方法及系统 | |
| CN114021188A (zh) | 一种联邦学习协议交互安全验证方法、装置及电子设备 | |
| CN114329455B (zh) | 基于异构图嵌入的用户异常行为检测方法及装置 | |
| CN108985052A (zh) | 一种恶意程序识别方法、装置和存储介质 | |
| CN116232694A (zh) | 轻量级网络入侵检测方法、装置、电子设备及存储介质 | |
| CN111144453A (zh) | 构建多模型融合计算模型的方法及设备、网站数据识别方法及设备 | |
| CN113011893B (zh) | 数据处理方法、装置、计算机设备及存储介质 | |
| CN114625406A (zh) | 应用开发管控方法、计算机设备、存储介质 | |
| CN118018260A (zh) | 网络攻击的检测方法、系统、设备及介质 | |
| CN109800797A (zh) | 基于ai的文件黑白判断方法、装置及设备 | |
| CN115348117B (zh) | 用户水平越权行为判定方法和装置 | |
| CN112783513A (zh) | 一种代码风险检查方法、装置及设备 | |
| CN110460569A (zh) | 在线访问的检测方法及检测装置 | |
| CN111833115A (zh) | 一种操作识别方法、装置及存储介质和服务器 | |
| CN115834251A (zh) | 基于超图Transformer威胁狩猎模型建立方法 | |
| CN114817928A (zh) | 网络空间数据融合分析方法、系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191115 |
|
| RJ01 | Rejection of invention patent application after publication |