CN110460569A - 在线访问的检测方法及检测装置 - Google Patents
在线访问的检测方法及检测装置 Download PDFInfo
- Publication number
- CN110460569A CN110460569A CN201910590766.2A CN201910590766A CN110460569A CN 110460569 A CN110460569 A CN 110460569A CN 201910590766 A CN201910590766 A CN 201910590766A CN 110460569 A CN110460569 A CN 110460569A
- Authority
- CN
- China
- Prior art keywords
- access
- vector
- data
- feature
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种在线访问的检测方法及检测装置,该检测方法包括:获取用户当前访问数据平台时的第一访问数据,其中,第一访问数据包括时间权重数据和访问地点数据,时间权重数据用于表征用户的当前访问的时间与用户上一次访问数据平台的时间的间隔;对第一访问数据进行向量化处理,得到至少一个访问向量;利用深度学习模型对至少一个访问向量进行识别,以确定当前访问是否是异常访问。本发明的技术方案能够从时间和空间上对用户的访问行为进行检测,实现端到端的检测过程,进而提高异常访问行为检测的准确率和便捷度。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种在线访问的检测方法及检测装置。
背景技术
随着互联网技术的发展,网络在带给用户方便的同时,也遭受一些异常访问行为的攻击,使得网络安全遭受威胁。因此,识别异常访问行为对维护网络的信息安全是十分重要的。现有的检测方法误检率较高,难以对网络安全提供保障。
发明内容
有鉴于此,本发明实施例提供了一种在线访问的检测方法及检测装置,能够提高异常访问行为检测的准确率和便捷度。
第一方面,本发明的实施例提供了一种在线访问的检测方法,包括:获取用户当前访问数据平台时的第一访问数据,其中,第一访问数据包括时间权重数据和访问地点数据,时间权重数据用于表征用户的当前访问的时间与用户上一次访问数据平台的时间的间隔;对第一访问数据进行向量化处理,得到至少一个访问向量;利用深度学习模型对至少一个访问向量进行识别,以确定当前访问是否是异常访问。
在本发明某些实施例中,第一访问数据还包括访问行为数据,访问行为数据用于表征用户对数据平台执行的操作行为。
在本发明某些实施例中,至少一个访问向量包括第一访问向量和第二访问向量,其中,对第一访问数据进行向量化处理,得到至少一个访问向量,包括:对访问地点数据进行向量化处理,得到第一访问向量;对访问行为数据和时间权重数据进行向量化处理,得到第二访问向量,第一访问向量和第二访问向量的维度一致。
在本发明某些实施例中,第一方面的检测方法还包括:对第二访问数据进行向量化处理,得到第三访问向量和第四访问向量,其中,第二访问数据是在用户上一次访问数据平台时生成的,第三访问向量为第二访问数据中的访问地点数据经过向量化处理后得到的,第四访问向量为第二访问数据中的访问行为数据和时间权重数据经过向量化处理后得到的,其中,利用深度学习模型对至少一个访问向量进行识别,以确定当前访问是否是异常访问,包括:利用深度学习模型针对第一访问向量和第二访问向量提取第一特征向量,针对第三访问向量和第四访问向量提取第二特征向量,并对第一特征向量和第二特征向量进行识别,以确定当前访问是否是异常访问。
在本发明某些实施例中,深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,利用深度学习模型针对第一访问向量和第二访问向量提取第一特征向量,针对第三访问向量和第四访问向量提取第二特征向量,并对第一特征向量和第二特征向量进行识别,以确定当前访问是否是异常访问,包括:利用第一特征提取器针对第一访问向量和第二访问向量提取第一特征向量;利用第二特征提取器针对第三访问向量和第四访问向量提取第二特征向量;利用特征拼接器拼接第一特征向量和第二特征向量,得到第三特征向量;利用分类器对第三特征向量进行识别,以确定当前访问是否是异常访问。
在本发明某些实施例中,第一特征提取器与第二特征提取器的参数设置不同,以使得第一特征向量与第二特征向量的维度不同。
第二方面,本发明的实施例提供了一种在线访问的检测装置,包括:获取模块,用于获取用户当前访问数据平台时的第一访问数据,其中,第一访问数据包括时间权重数据和访问地点数据,时间权重数据用于表征用户的当前访问的时间与用户上一次访问数据平台的时间的间隔;处理模块,用于对第一访问数据进行向量化处理,得到至少一个访问向量;识别模块,用于利用深度学习模型对至少一个访问向量进行识别,以确定当前访问是否是异常访问。
在本发明某些实施例中,第一访问数据还包括访问行为数据,访问行为数据用于表征用户对数据平台执行的操作行为。
在本发明某些实施例中,至少一个访问向量包括第一访问向量和第二访问向量,其中,处理模块用于对访问地点数据进行向量化处理,得到第一访问向量,并对访问行为数据和时间权重数据进行向量化处理,得到第二访问向量,第一访问向量和第二访问向量的维度一致。
在本发明某些实施例中,处理模块还用于对第二访问数据进行向量化处理,得到第三访问向量和第四访问向量,其中,第二访问数据是在用户上一次访问数据平台时生成的,第三访问向量为第二访问数据中的访问地点数据经过向量化处理后得到的,第四访问向量为第二访问数据中的访问行为数据和时间权重数据经过向量化处理后得到的,识别模块用于利用深度学习模型针对第一访问向量和第二访问向量提取第一特征向量,针对第三访问向量和第四访问向量提取第二特征向量,并对第一特征向量和第二特征向量进行识别,以确定当前访问是否是异常访问。
在本发明某些实施例中,深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,第一特征提取器用于针对第一访问向量和第二访问向量提取第一特征向量;第二特征提取器用于针对第三访问向量和第四访问向量提取第二特征向量;特征拼接器用于拼接第一特征向量和第二特征向量,得到第三特征向量;分类器用于对第三特征向量进行识别,以确定当前访问是否是异常访问。
在本发明某些实施例中,第一特征提取器与第二特征提取器的参数设置不同,以使得第一特征向量与第二特征向量的维度不同。
第三方面,本发明的实施例提供了一种计算机可读存储介质,存储介质存储有计算机程序,计算机程序用于执行上述第一方面所述的在线访问的检测方法。
第四方面,本发明的实施例提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器,其中,处理器用于执行上述第一方面所述的在线访问的检测方法。
本发明实施例提供了一种在线访问的检测方法及检测装置,通过充分利用用户访问数据平台时的时间权重数据以及访问地点数据,并对该两种数据进行向量化处理,从而能够从时间和空间上对用户的访问行为进行检测,实现端到端的检测过程,进而提高异常访问行为检测的准确率和便捷度。
附图说明
图1所示为本发明一示例性实施例提供的在线访问的检测系统的系统架构示意图。
图2所示为本发明一实施例提供的在线访问的检测方法的流程示意图。
图3所示为本发明另一实施例提供的在线访问的检测方法的流程示意图。
图4所示为本发明一实施例提供的在线访问的检测装置的结构示意图。
图5所示为本发明一示例性实施例示出的用于在线访问的检测的电子设备的框图。
图6所示为本发明一示例性实施例示出的深度学习模型的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着互联网技术的发展,用户可以更便捷地通过在线访问获取信息、分享信息。但是在访问过程中,不可避免地会存在一些异常访问,这些异常访问可能威胁信息安全。为了维护信息安全,可以通过基于规则的检测方法、或基于数据分析的检测方法对用户的访问行为进行检测。基于规则的检测方法是通过对异常访问行为进行分析后,人工地抽象出异常行为的特征,进而根据特征的规律制定规则,将符合该规则的访问认为是异常访问。这种方法在实现上简单快速,但是需要大量的人力介入,局限性大,容错性低。基于数据分析的检测方法是通过对访问数据进行分析,将异常访问与正常访问区分开来,这种方法属于事后检测,难以实时对访问行为进行检测。
图1所示为本发明一示例性实施例提供的在线访问的检测系统的系统架构示意图,其示出了一种对终端上进行的访问行为进行检测的应用场景。如图1所示,该检测系统包括服务器10和终端20。终端20可以是手机、电脑等电子设备。
在一示例性场景中,用户可以通过终端20访问数据平台,该数据平台可以是网站或者数据库,例如可以是Hadoop平台。在用户访问数据平台的过程中,会在服务器10上产生访问数据,服务器10可以通过对访问数据进行检测,进而对用户的访问行为进行识别。
需要说明的是,本发明实施例中的检测系统还可以进一步包括服务器30,服务器30可以对服务器10上的访问数据进行检测,进而对用户的访问行为进行识别。
需要注意的是,上述应用场景仅是为了便于理解本发明的精神和原理而示出,本发明的实施例并不限于此。相反,本发明的实施例可以应用于可能适用的任何场景。
图2所示为本发明一实施例提供的在线访问的检测方法的流程示意图。如图2所示,该方法包括如下内容。
110:获取用户当前访问数据平台时的第一访问数据,其中,第一访问数据包括时间权重数据和访问地点数据,时间权重数据用于表征用户的当前访问的时间与用户上一次访问数据平台的时间的间隔。
具体地,用户访问数据平台时,服务器或终端会生成访问日志,该访问日志会记录用户每次访问行为的原始数据。例如,该原始数据包括用户的访问地点,访问时间,以及用户访问时对数据库进行的具体操作等。
当用户多次访问数据平台时,相邻两次访问之间的时间间隔(或者说访问频率)可以在一定程度上反映用户的访问行为是否异常。因此,充分利用用户访问时的时间权重数据,并结合访问地点数据,可以从时间和空间两个维度上对用户的访问行为进行检测,可以提高异常行为检测的准确率。
120:对第一访问数据进行向量化处理,得到至少一个访问向量。
在本实施例中,可以对时间权重数据和访问地点数据分别进行向量化处理,得到一个表征时间权重数据的向量、一个表征访问地点数据的向量;或者,也可以对时间权重数据和访问地点数据一同进行向量化处理,得到一个向量,进而通过该向量中不同位置的数字来表征时间权重数据和访问地点数据。
130:利用深度学习模型对至少一个访问向量进行识别,以确定当前访问是否是异常访问。
具体地,深度学习模型可以是通过训练或学习多个样本数据得到的,该样本数据可以是在不同时间间隔、不同访问地点的访问情况下获取的多个样本向量。
当深度学习模型训练好以后,通过该深度学习模型可以对用户的访问行为进行实时检测,实现端到端的检测过程,省略了传统方法中人为介入的过程,使得检测过程更加便捷,且提高检测方法的容错性。
本发明实施例提供了一种在线访问的检测方法,通过充分利用用户访问数据平台时的时间权重数据以及访问地点数据,并对该两种数据进行向量化处理,从而能够从时间和空间上对用户的访问行为进行检测,实现端到端的检测过程,进而提高异常访问行为检测的准确率和便捷度。
根据本发明一实施例,第一访问数据还包括访问行为数据,访问行为数据用于表征用户对数据平台执行的操作行为。
在一实施例中,用户对数据平台的操作行为可以包括以下八种中的至少一种:增加、删除、修改、查找、导入、导出、获取、发送。
当然,用户对数据平台的操作行为还可以是其他种类,本发明实施例对操作行为的具体种类和具体数量不做限定。
访问行为数据可以单独进行向量化处理得到一个向量,也可以与时间权重数据和/或访问地点数据一同进行向量化处理,得到一个向量。
在本实施例中,通过对访问地点数据、时间权重数据和访问行为数据进行综合考虑,可以充分利用用户访问时的第一访问数据,进一步提高检测结果的可靠性。
根据本发明一实施例,至少一个访问向量包括第一访问向量和第二访问向量,其中,120包括:对访问地点数据进行向量化处理,得到第一访问向量;对访问行为数据和时间权重数据进行向量化处理,得到第二访问向量,第一访问向量和第二访问向量的维度一致。
具体地,用户访问数据平台时的访问地点可以是根据省份或直辖市的不同进行划分,也可以是根据城市的不同进行划分,或者根据社区的不同进行划分。具体的划分等级可以根据实际情况进行设定,本发明实施例对此不做限定。
由于时间和行为是强相关的,因此,在本实施例中,对访问行为数据和时间权重数据一同进行向量化处理,得到第二访问向量,可以提高检测结果的准确率。
第一访问向量和第二访问向量的维度可以不一致,也可以一致。当第一访问向量和第二访问向量的维度一致时,第一访问向量和第二访问向量可以组成一个矩阵,这样可以避免因输入深度学习模型中的各个向量的维度不同(维度太离散)而导致深度学习模型学习难度增加的情况。
根据本发明一实施例,以访问地点数据为例,向量化处理可以包括:确定访问地点数据的多个状态;根据多个状态确定第一访问向量,其中,多个状态作为第一访问向量的元素。
具体地,用户的访问地点是根据省份或直辖市的不同进行划分,即,访问地点数据包括34个状态(省份、直辖市),第一访问向量是34维(34个元素)的向量,从向量中的第1个位置到第34个位置(即从第0维到第33维),一个位置代表一个维度,一个维度代表一个省份或直辖市。
在本实施例中,可以通过one-hot编码方法来实现向量化过程。例如,第一访问向量中第一个位置代表的是“北京”,当用户的访问地点是“北京”时,第一访问向量中第一个位置上的数字是1,而其他位置上的数字均是0。当然,也可以采用其他合适的方法来实现向量化过程。
第二访问向量的获取过程与第一访问向量的获取过程类似。在本实施例中,第二访问向量的维度与第一访问向量的维度一致,也是34维。
具体地,用户对数据平台的操作行为包括以下八种:增加、删除、修改、查找、导入、导出、获取、发送。即,访问行为数据包括8个状态,第二访问向量中有8个位置上的数字用于表征用户的访问行为数据。第二访问向量中剩下的26个位置上的数字用于表征用户的时间权重数据。
例如,时间权重数据的各个状态的取值可以通过以下公式进行确定。
在该公式中,T为时间间隔权重,用于表征上述26个位置中第T+1个位置上的数字为1,其余25个位置上的数字为0;t为两次访问实际的时间间隔。这里,时间间隔t的单位可以是秒、毫秒或其他单位。
当t大于25时,T=0,上次访问和本次访问的时间间隔较长,可以认为上次访问对本次访问不构成影响,本次访问的检测可以只考虑访问行为数据和访问地点数据。当然,T可以通过其他合适的公式进行获取,本发明实施例对此不做限定。
以用户的访问地点为“北京”、时间间隔权重T为25、访问行为为“查找”为例,可以获得如下的矩阵。
在该矩阵中,第一个行向量即第一访问向量,第一访问向量的第一个位置代表的是“北京”,所以第一访问向量中第一个位置上的数字为1,其他位置上的数字为0。第二个行向量即第二访问向量,第二访问向量中前8个数字代表的是访问行为数据的8个状态,后26个数字代表的是时间权重数据的26个状态。第二个行向量中前8个数字可以看成是一个向量,用于表征访问行为数据,在该向量中,第一个位置代表的是“查找”,所以第一个位置上的数字为1,其他位置上的数字为0;后26个数字可以看成是另一个向量,用于表征时间权重数据,由于T为25(t=0,即同一时间存在两次或两次以上的访问),在该向量中第26个位置上的数字为1,其他位置上的数字为0。这两个向量可以经过拼接形成第二访问向量。
需要说明的是,在保证第二访问向量和第一访问向量的维度一致的情况下,关于访问行为数据的状态的个数、以及时间权重数据的状态的个数可以根据实际情况进行调整。同时关于时间权重数据的各个状态的取值的确定方法,也可以根据实际情况进行设定,本发明实施例对此不作具体的限定。
根据本发明一实施例,图2中的方法还包括:对第二访问数据进行向量化处理,得到第三访问向量和第四访问向量,其中,第二访问数据是在用户上一次访问数据平台时生成的,第三访问向量为第二访问数据中的访问地点数据经过向量化处理后得到的,第四访问向量为第二访问数据中的访问行为数据和时间权重数据经过向量化处理后得到的。
在本实施例中,130包括:利用深度学习模型针对第一访问向量和第二访问向量提取第一特征向量,针对第三访问向量和第四访问向量提取第二特征向量,并对第一特征向量和第二特征向量进行识别,以确定当前访问是否是异常访问。
具体地,用户每次访问数据平台时,都可以通过图2中的方法对访问行为进行检测,并保存访问时的访问数据、或者保存访问数据经过向量化处理后得到的访问向量。在对用户上一次访问数据平台时生成的第二访问数据进行向量化处理的过程与第一访问数据类似,第三访问向量的获取过程可以参见第一访问向量的获取过程,第四访问向量的获取过程可以参见第二访问向量的获取过程。
在本实施例中,通过对相邻两次访问的访问数据进行分析,进而对用户的当前访问进行检测,可以提高检测结果的召回率。
在一实施例中,第一特征向量和第二特征向量的维度相同,深度学习模型在提取第一特征向量和第二特征向量之后,可以通过对比两个向量之间的差异的大小来确定当前访问是否是异常访问。
根据本发明一实施例,深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,利用深度学习模型针对第一访问向量和第二访问向量提取第一特征向量,针对第三访问向量和第四访问向量提取第二特征向量,并对第一特征向量和第二特征向量进行识别,以确定当前访问是否是异常访问,包括:利用第一特征提取器针对第一访问向量和第二访问向量提取第一特征向量;利用第二特征提取器针对第三访问向量和第四访问向量提取第二特征向量;利用特征拼接器拼接第一特征向量和第二特征向量,得到第三特征向量;利用分类器对第三特征向量进行识别,以确定当前访问是否是异常访问。
具体地,第一特征提取器可以是循环神经网络模型、长短期记忆网络模型或全连接神经网络模型等,第二特征提取器与第一特征提取器类似。第二特征提取器的参数可以与第一特征提取器的参数相同,也可以不同。
分类器的种类可以是支持向量机(Support Vector Machine,SVM)、贝叶斯、K近邻(K-Nearest Neighbors,KNN)或K-MEANS等。
在本实施例中,第一特征向量和第二特征向量的维度可以相同,也可以不同。
当第一特征向量和第二特征向量的维度不同时,第一特征提取器与第二特征提取器的参数设置也不同。在深度学习模型学习的过程中,第一特征提取器的参数的确定过程不会受到第二特征提取器的影响,进而提高检测结果的可靠性。
特征拼接器就是将第一特征向量和第二特征向量进行拼接形成一个向量。
在本实施例中,通过对第一特征向量和第二特征向量拼接后获得的第三特征向量进行识别,进而对用户的当前访问进行检测,可以捕捉到用户当前访问的动机和意图,从而进一步提高检测结果的召回率和准确率。
下面以卷积神经网络(Convolutional Neural Networks,CNN)模型作为第一特征提取器和第二特征提取器为例,对深度学习模型的检测过程进行详细的说明。如图6所示,第一特征提取器用于对当前访问的信息进行卷积,可以称为当前行为信息卷积层,其中,当前访问的信息可以是第一访问向量和第二访问向量组成的矩阵。当前行为信息卷积层由两部分组成,第一部分由3个2*8大小的卷积核与1*3大小的最大值池化(pooling)组成;第二部分为具有24个隐藏节点的全连接神经网络。
第二特征提取器用于对上一次访问的信息进行卷积,可以称为上文信息卷积层,其中,上一次访问的信息可以是第三访问向量和第四访问向量组成的矩阵。上文信息卷积层由三部分组成,第一部分由4个2*8大小的卷积核组成;第二部分由8个2*4大小的卷积核与2*2大小的最大值池化(pooling)组成;第三部分为具有16个隐藏节点的全连接神经网络。
当前行为信息卷积层和上文信息卷积层是并列的两个CNN模型。
第一访问向量和第二访问向量组成的矩阵经过当前行为信息卷积层的处理后,得到维度是24的第一特征向量。第三访问向量和第四访问向量组成的矩阵经过上文信息卷积层的处理后,得到维度是16的第二特征向量。
特征拼接器作为拼接层可以对24维的第一特征向量和16维的第二特征向量进行拼接,得到40维的第三特征向量。
分类器(Softmax)对40维的第三特征向量进行分类,进而确定当前访问是否是异常访问。
当然,图6所示的结构仅是本发明的一个实施例,并不用于限制本发明。
第一特征向量的维度和第二特征向量的维度也可以是其他的值,特征提取器中卷积核的个数、以及最大池化的规格可以根据实际需要进行设定,本发明实施例对此不做限定。
图3所示为本发明另一实施例提供的在线访问的检测方法的流程示意图。图3所示实施例是图2所示实施例的具体例子,为避免重复,相同之处不做具体解释。如图3所示,该方法包括如下内容。
210:获取用户当前访问数据平台时的第一访问数据。
第一访问数据包括时间权重数据、访问地点数据和访问行为数据。时间权重数据用于表征用户的当前访问的时间与用户上一次访问数据平台的时间的间隔,访问行为数据用于表征用户对数据平台执行的操作行为。
220:对第一访问数据进行向量化处理,得到第一访问向量和第二访问向量。
具体地,对访问地点数据进行向量化处理,得到第一访问向量;对访问行为数据和时间权重数据进行向量化处理,得到第二访问向量。第一访问向量和第二访问向量的维度一致。
230:对第二访问数据进行向量化处理,得到第三访问向量和第四访问向量。
第二访问数据是在用户上一次访问数据平台时生成的,第三访问向量为第二访问数据中的访问地点数据经过向量化处理后得到的,第四访问向量为第二访问数据中的访问行为数据和时间权重数据经过向量化处理后得到的。
230可以在210之前执行,也可以在210和220之间执行,或者在220之后执行。
240:利用第一特征提取器针对第一访问向量和第二访问向量提取第一特征向量。
250:利用第二特征提取器针对第三访问向量和第四访问向量提取第二特征向量。
第一特征提取器与第二特征提取器的参数设置不同,第一特征向量和第二特征向量的维度不同。
240可以在250之前或之后执行,或者与250同时执行。
260:利用特征拼接器拼接第一特征向量和第二特征向量,得到第三特征向量。
270:利用分类器对第三特征向量进行识别,以确定当前访问是否是异常访问。
第一特征提取器、第二特征提取器、特征拼接器以及分类器可以同属于一个深度学习模型。
图4所示为本发明一实施例提供的在线访问的检测装置400的结构示意图。如图4所示,装置400包括:获取模块410,处理模块420以及识别模块430。
获取模块410用于获取用户当前访问数据平台时的第一访问数据,其中,第一访问数据包括时间权重数据和访问地点数据,时间权重数据用于表征用户的当前访问的时间与用户上一次访问数据平台的时间的间隔;处理模块420用于对第一访问数据进行向量化处理,得到至少一个访问向量;识别模块430用于利用深度学习模型对至少一个访问向量进行识别,以确定当前访问是否是异常访问。
本发明实施例提供了一种在线访问的检测装置,通过充分利用用户访问数据平台时的时间权重数据以及访问地点数据,并对该两种数据进行向量化处理,从而能够从时间和空间上对用户的访问行为进行检测,实现端到端的检测过程,进而提高异常访问行为检测的准确率和便捷度。
根据本发明一实施例,第一访问数据还包括访问行为数据,访问行为数据用于表征用户对数据平台执行的操作行为。
根据本发明一实施例,至少一个访问向量包括第一访问向量和第二访问向量,其中,处理模块420用于对访问地点数据进行向量化处理,得到第一访问向量,并对访问行为数据和时间权重数据进行向量化处理,得到第二访问向量,第一访问向量和第二访问向量的维度一致。
根据本发明一实施例,处理模块420还用于对第二访问数据进行向量化处理,得到第三访问向量和第四访问向量,其中,第二访问数据是在用户上一次访问数据平台时生成的,第三访问向量为第二访问数据中的访问地点数据经过向量化处理后得到的,第四访问向量为第二访问数据中的访问行为数据和时间权重数据经过向量化处理后得到的,识别模块430用于利用深度学习模型针对第一访问向量和第二访问向量提取第一特征向量,针对第三访问向量和第四访问向量提取第二特征向量,并对第一特征向量和第二特征向量进行识别,以确定当前访问是否是异常访问。
根据本发明一实施例,深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,第一特征提取器用于针对第一访问向量和第二访问向量提取第一特征向量;第二特征提取器用于针对第三访问向量和第四访问向量提取第二特征向量;特征拼接器用于拼接第一特征向量和第二特征向量,得到第三特征向量;分类器用于对第三特征向量进行识别,以确定当前访问是否是异常访问。
根据本发明一实施例,第一特征提取器与第二特征提取器的参数设置不同,以使得第一特征向量与第二特征向量的维度不同。
应当理解,上述实施例中的获取模块410,处理模块420以及识别模块430的操作和功能可以参考上述图2和图3提供的在线访问的检测方法中的描述,为了避免重复,在此不再赘述。
图5所示为本发明一示例性实施例示出的用于在线访问的检测的电子设备500的框图。
参照图5,电子设备500包括处理组件510,其进一步包括一个或多个处理器,以及由存储器520所代表的存储器资源,用于存储可由处理组件510的执行的指令,例如应用程序。存储器520中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件510被配置为执行指令,以执行上述在线访问的检测方法。
电子设备500还可以包括一个电源组件被配置为执行电子设备500的电源管理,一个有线或无线网络接口被配置为将电子设备500连接到网络,和一个输入输出(I/O)接口。可以基于存储在存储器520的操作系统操作电子设备500,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM,FreeBSDTM或类似。
一种非临时性计算机可读存储介质,当存储介质中的指令由上述电子设备500的处理器执行时,使得上述电子设备500能够执行一种在线访问的检测方法,包括:获取用户当前访问数据平台时的第一访问数据,其中,第一访问数据包括时间权重数据和访问地点数据,时间权重数据用于表征用户的当前访问的时间与用户上一次访问数据平台的时间的间隔;对第一访问数据进行向量化处理,得到至少一个访问向量;利用深度学习模型对至少一个访问向量进行识别,以确定当前访问是否是异常访问。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序校验码的介质。
需要说明的是,在本发明的描述中,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种在线访问的检测方法,其特征在于,包括:
获取用户当前访问数据平台时的第一访问数据,其中,所述第一访问数据包括时间权重数据和访问地点数据,所述时间权重数据用于表征所述用户的当前访问的时间与所述用户上一次访问所述数据平台的时间的间隔;
对所述第一访问数据进行向量化处理,得到至少一个访问向量;
利用深度学习模型对所述至少一个访问向量进行识别,以确定所述当前访问是否是异常访问。
2.根据权利要求1所述的检测方法,其特征在于,所述第一访问数据还包括访问行为数据,所述访问行为数据用于表征所述用户对所述数据平台执行的操作行为。
3.根据权利要求2所述的检测方法,其特征在于,所述至少一个访问向量包括第一访问向量和第二访问向量,其中,所述对所述第一访问数据进行向量化处理,得到至少一个访问向量,包括:
对所述访问地点数据进行向量化处理,得到所述第一访问向量;
对所述访问行为数据和所述时间权重数据进行向量化处理,得到所述第二访问向量,所述第一访问向量和所述第二访问向量的维度一致。
4.根据权利要求3所述的检测方法,其特征在于,还包括:
对第二访问数据进行向量化处理,得到第三访问向量和第四访问向量,其中,所述第二访问数据是在所述用户上一次访问所述数据平台时生成的,所述第三访问向量为所述第二访问数据中的访问地点数据经过向量化处理后得到的,所述第四访问向量为所述第二访问数据中的访问行为数据和时间权重数据经过向量化处理后得到的,
其中,所述利用深度学习模型对所述至少一个访问向量进行识别,以确定所述当前访问是否是异常访问,包括:
利用所述深度学习模型针对所述第一访问向量和所述第二访问向量提取第一特征向量,针对所述第三访问向量和所述第四访问向量提取第二特征向量,并对所述第一特征向量和所述第二特征向量进行识别,以确定所述当前访问是否是异常访问。
5.根据权利要求4所述的检测方法,其特征在于,所述深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,所述利用所述深度学习模型针对所述第一访问向量和所述第二访问向量提取第一特征向量,针对所述第三访问向量和所述第四访问向量提取第二特征向量,并对所述第一特征向量和所述第二特征向量进行识别,以确定所述当前访问是否是异常访问,包括:
利用所述第一特征提取器针对所述第一访问向量和所述第二访问向量提取所述第一特征向量;
利用所述第二特征提取器针对所述第三访问向量和所述第四访问向量提取所述第二特征向量;
利用所述特征拼接器拼接所述第一特征向量和所述第二特征向量,得到第三特征向量;
利用所述分类器对所述第三特征向量进行识别,以确定所述当前访问是否是异常访问。
6.根据权利要求5所述的检测方法,其特征在于,所述第一特征提取器与所述第二特征提取器的参数设置不同,以使得所述第一特征向量与所述第二特征向量的维度不同。
7.一种在线访问的检测装置,其特征在于,包括:
获取模块,用于获取用户当前访问数据平台时的第一访问数据,其中,所述第一访问数据包括时间权重数据和访问地点数据,所述时间权重数据用于表征所述用户的当前访问的时间与所述用户上一次访问所述数据平台的时间的间隔;
处理模块,用于对所述第一访问数据进行向量化处理,得到至少一个访问向量;
识别模块,用于利用深度学习模型对所述至少一个访问向量进行识别,以确定所述当前访问是否是异常访问。
8.根据权利要求7所述的检测装置,其特征在于,所述第一访问数据还包括访问行为数据,所述访问行为数据用于表征所述用户对所述数据平台执行的操作行为。
9.根据权利要求8所述的检测装置,其特征在于,所述至少一个访问向量包括第一访问向量和第二访问向量,其中,所述处理模块用于对所述访问地点数据进行向量化处理,得到所述第一访问向量,并对所述访问行为数据和所述时间权重数据进行向量化处理,得到所述第二访问向量,所述第一访问向量和所述第二访问向量的维度一致。
10.根据权利要求9所述的检测装置,其特征在于,所述处理模块还用于对第二访问数据进行向量化处理,得到第三访问向量和第四访问向量,其中,所述第二访问数据是在所述用户上一次访问所述数据平台时生成的,所述第三访问向量为所述第二访问数据中的访问地点数据经过向量化处理后得到的,所述第四访问向量为所述第二访问数据中的访问行为数据和时间权重数据经过向量化处理后得到的,
所述识别模块用于利用所述深度学习模型针对所述第一访问向量和所述第二访问向量提取第一特征向量,针对所述第三访问向量和所述第四访问向量提取第二特征向量,并对所述第一特征向量和所述第二特征向量进行识别,以确定所述当前访问是否是异常访问。
11.根据权利要求10所述的检测装置,其特征在于,所述深度学习模型包括第一特征提取器、第二特征提取器、特征拼接器以及分类器,其中,所述第一特征提取器用于针对所述第一访问向量和所述第二访问向量提取所述第一特征向量;所述第二特征提取器用于针对所述第三访问向量和所述第四访问向量提取所述第二特征向量;所述特征拼接器用于拼接所述第一特征向量和所述第二特征向量,得到第三特征向量;所述分类器用于对所述第三特征向量进行识别,以确定所述当前访问是否是异常访问。
12.根据权利要求11所述的检测装置,其特征在于,所述第一特征提取器与所述第二特征提取器的参数设置不同,以使得所述第一特征向量与所述第二特征向量的维度不同。
13.一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1至6中任一项所述的在线访问的检测方法。
14.一种电子设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器,
其中,所述处理器用于执行上述权利要求1至6中任一项所述的在线访问的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910590766.2A CN110460569A (zh) | 2019-07-02 | 2019-07-02 | 在线访问的检测方法及检测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910590766.2A CN110460569A (zh) | 2019-07-02 | 2019-07-02 | 在线访问的检测方法及检测装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110460569A true CN110460569A (zh) | 2019-11-15 |
Family
ID=68482063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910590766.2A Pending CN110460569A (zh) | 2019-07-02 | 2019-07-02 | 在线访问的检测方法及检测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110460569A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296855A (zh) * | 2022-07-11 | 2022-11-04 | 绿盟科技集团股份有限公司 | 一种用户行为基线生成方法及相关装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104183027A (zh) * | 2013-05-21 | 2014-12-03 | 腾讯科技(深圳)有限公司 | 一种用户状态确定方法及装置 |
| CN106101116A (zh) * | 2016-06-29 | 2016-11-09 | 东北大学 | 一种基于主成分分析的用户行为异常检测系统及方法 |
| CN109861845A (zh) * | 2018-12-15 | 2019-06-07 | 中国大唐集团科学技术研究院有限公司 | 一种基于神经网络和用户访问行为的数据监控与预警方法 |
| CN109858254A (zh) * | 2019-01-15 | 2019-06-07 | 西安电子科技大学 | 基于日志分析的物联网平台攻击检测系统及方法 |
| US10846604B2 (en) * | 2018-09-11 | 2020-11-24 | ZineOne, Inc. | Session monitoring for selective intervention |
-
2019
- 2019-07-02 CN CN201910590766.2A patent/CN110460569A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104183027A (zh) * | 2013-05-21 | 2014-12-03 | 腾讯科技(深圳)有限公司 | 一种用户状态确定方法及装置 |
| CN106101116A (zh) * | 2016-06-29 | 2016-11-09 | 东北大学 | 一种基于主成分分析的用户行为异常检测系统及方法 |
| US10846604B2 (en) * | 2018-09-11 | 2020-11-24 | ZineOne, Inc. | Session monitoring for selective intervention |
| CN109861845A (zh) * | 2018-12-15 | 2019-06-07 | 中国大唐集团科学技术研究院有限公司 | 一种基于神经网络和用户访问行为的数据监控与预警方法 |
| CN109858254A (zh) * | 2019-01-15 | 2019-06-07 | 西安电子科技大学 | 基于日志分析的物联网平台攻击检测系统及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296855A (zh) * | 2022-07-11 | 2022-11-04 | 绿盟科技集团股份有限公司 | 一种用户行为基线生成方法及相关装置 |
| CN115296855B (zh) * | 2022-07-11 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种用户行为基线生成方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107872436B (zh) | 一种账号识别方法、装置及系统 | |
| CN109889538B (zh) | 用户异常行为检测方法及系统 | |
| CN112804196A (zh) | 日志数据的处理方法及装置 | |
| CN111522987A (zh) | 一种图像审核方法、设备及计算机可读存储介质 | |
| CN110414581B (zh) | 图片检测方法和装置、存储介质及电子装置 | |
| CN108491228A (zh) | 一种二进制漏洞代码克隆检测方法及系统 | |
| CN114693192A (zh) | 风控决策方法、装置、计算机设备和存储介质 | |
| CN108961019A (zh) | 一种用户账户的检测方法和装置 | |
| CN114021188A (zh) | 一种联邦学习协议交互安全验证方法、装置及电子设备 | |
| CN109582560A (zh) | 测试文件编辑方法、装置、设备及计算机可读存储介质 | |
| CN115758337A (zh) | 基于时序图卷积网络的后门实时监测方法、电子设备、介质 | |
| CN116707859A (zh) | 特征规则提取方法和装置、网络入侵检测方法和装置 | |
| CN112966547A (zh) | 一种基于神经网络的燃气现场异常行为识别预警方法、系统、终端及存储介质 | |
| CN113011893B (zh) | 数据处理方法、装置、计算机设备及存储介质 | |
| CN118018260A (zh) | 网络攻击的检测方法、系统、设备及介质 | |
| CN110457896A (zh) | 在线访问的检测方法及检测装置 | |
| CN110309402A (zh) | 检测网站的方法和系统 | |
| CN111144453A (zh) | 构建多模型融合计算模型的方法及设备、网站数据识别方法及设备 | |
| CN110460569A (zh) | 在线访问的检测方法及检测装置 | |
| CN109800797A (zh) | 基于ai的文件黑白判断方法、装置及设备 | |
| CN115348117B (zh) | 用户水平越权行为判定方法和装置 | |
| CN117435999A (zh) | 一种风险评估方法、装置、设备以及介质 | |
| CN114039837B (zh) | 告警数据处理方法、装置、系统、设备和存储介质 | |
| CN115834251A (zh) | 基于超图Transformer威胁狩猎模型建立方法 | |
| CN110210215A (zh) | 一种病毒检测的方法以及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191115 |
|
| RJ01 | Rejection of invention patent application after publication |