CN110474871A - 一种异常账号检测方法、装置、计算机设备及存储介质 - Google Patents
一种异常账号检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN110474871A CN110474871A CN201910602402.1A CN201910602402A CN110474871A CN 110474871 A CN110474871 A CN 110474871A CN 201910602402 A CN201910602402 A CN 201910602402A CN 110474871 A CN110474871 A CN 110474871A
- Authority
- CN
- China
- Prior art keywords
- feature
- decision tree
- account
- sample
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种异常账号检测方法、装置、计算机设备及存储介质,应用于系统管理技术领域,用于解决异常账号隐蔽性高,难以检测的问题。本发明提供的方法包括:从系统操作日志中提取目标账号的系统访问记录;根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值;从预设的随机森林中随机选取第一数量个决策树;将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,每个预测结果为正常或异常;若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,则确定所述目标账号为异常账号。
Description
技术领域
本发明涉及系统管理技术领域,尤其涉及一种异常账号检测方法、装置、计算机设备及存储介质。
背景技术
目前,业内对于异常访问系统的行为都是采用基于统计学的监控模型进行检测的,这类模型一般选用较为常见的特征,通过提取到特征值与预设阈值对比判定账号是否存在异常访问行为,从而确定账号是否为异常账号。然而,异常账号的使用者往往会根据模型选用的特征调整异常访问行为的模式,这就使得模型选用的特征往往难以命中异常账号的行为特征,容易漏检异常账号。
因此,寻找一种针对隐蔽高的异常账号更高效的检测方法成为本领域技术人员亟需解决的问题。
发明内容
本发明实施例提供一种异常账号检测方法、装置、计算机设备及存储介质,以解决异常账号隐蔽性高,难以检测的问题。
一种异常账号检测方法,包括:
从系统操作日志中提取目标账号的系统访问记录;
根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值;
从预设的随机森林中随机选取第一数量个决策树,所述随机森林由第二数量个决策树组成,所述第二数量个决策树分别与第二数量个不同特征分类对应,每个决策树依据样本访问特征和样本特征值设定,所述样本特征值为针对所述样本访问特征根据多个异常账号的历史系统访问记录计算得到,所述样本访问特征是指与所述每个决策树对应的特征分类下的访问特征,第二数量大于第一数量;
将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,每个预测结果为正常或异常;
若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,则确定所述目标账号为异常账号。
一种异常账号检测装置,包括:
访问记录提取模块,用于从系统操作日志中提取目标账号的系统访问记录;
特征值计算模块,用于根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值;
决策树选取模块,用于从预设的随机森林中随机选取第一数量个决策树,所述随机森林由第二数量个决策树组成,所述第二数量个决策树分别与第二数量个不同特征分类对应,每个决策树依据样本访问特征和样本特征值设定,所述样本特征值为针对所述样本访问特征根据多个异常账号的历史系统访问记录计算得到,所述样本访问特征是指与所述每个决策树对应的特征分类下的访问特征,第二数量大于第一数量;
结果预测模块,用于将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,每个预测结果为正常或异常;
异常账号确定模块,用于若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,则确定所述目标账号为异常账号。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述异常账号检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述异常账号检测方法的步骤。
上述异常账号检测方法、装置、计算机设备及存储介质,首先,从系统操作日志中提取目标账号的系统访问记录;然后,根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值;接着,从预设的随机森林中随机选取第一数量个决策树,所述随机森林由第二数量个决策树组成,所述第二数量个决策树分别与第二数量个不同特征分类对应,每个决策树依据样本访问特征和样本特征值设定,所述样本特征值为针对所述样本访问特征根据多个异常账号的历史系统访问记录计算得到,所述样本访问特征是指与所述每个决策树对应的特征分类下的访问特征,第二数量大于第一数量;再之,将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,每个预测结果为正常或异常;最后,若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,则确定所述目标账号为异常账号。可见,本发明利用异常账号的历史系统访问记录作为样本,基于其在历史系统访问记录中的特征分别设立多个决策树组成随机森林,在使用时,从该随机森林中随机选取第一数量个决策树来参与对目标账号的行为判定,由于不同决策树对应不同的特征分类,这就使得随机选取出来的第一数量个决策树对应的特征分类不固定,能够很好地应对适时调整行为模型的异常访问行为,比传统的固定特征的检测模型更难以被异常账号规避,能够检测出隐蔽性较高的异常账号,提升针对异常访问的检测能力。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例中异常账号检测方法的一应用环境示意图;
图2是本发明一实施例中异常账号检测方法的一流程图;
图3是本发明一实施例中异常账号检测方法在一个应用场景下的决策树示意图;
图4是本发明一实施例中异常账号检测方法步骤102在一个应用场景下的流程示意图;
图5是本发明一实施例中异常账号检测方法在一个应用场景下预先设定决策树的流程示意图;
图6是本发明一实施例中异常账号检测方法步骤104在一个应用场景下的流程示意图;
图7是本发明一实施例中异常账号检测方法在一个应用场景下对异常账号进行处置的流程示意图;
图8是本发明一实施例中异常账号检测装置在一个应用场景下的结构示意图;
图9是本发明一实施例中异常账号检测装置在另一个应用场景下的结构示意图;
图10是本发明一实施例中结果预测模块的结构示意图;
图11是本发明一实施例中计算机设备的一示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请提供的异常账号检测方法,可应用在如图1的应用环境中,其中,客户端通过网络与服务器进行通信。其中,该客户端可以但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一实施例中,如图2所示,提供一种异常账号检测方法,以该方法应用在图1中的服务器为例进行说明,包括如下步骤:
101、从系统操作日志中提取目标账号的系统访问记录;
本实施例中,当服务器需要对目标账号进行检测时,首先可以从系统操作日志中提取目标账号的系统访问记录。
需要说明的是,这里所说的目标账号是指待检测异常访问行为的账号,服务器执行检测异常访问行为的任务时,可以对这些目标账号进行逐个检测,也可以采用多线程的方式同时检测多个目标账号,对此本实施例不作限定。
102、根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值;
可以理解的是,可以预先在服务器上设定好检测可能用到的各个访问特征,这些访问特征是指异常账号的异常访问行为中可能具有的共性特征,一般由对大量异常访问行为的归纳总结得到,比如可以包括:每天的访问频率、每小时的访问频率、每小时最大访问频率、工作时段一小时内最高访问次数、非工作时段的访问总次数,等等。因此,在执行步骤102时,服务器可以针对每个访问特征根据所述系统访问记录分别计算出该目标账号在该访问特征下的特征值,例如,对“每日的访问总次数”这一访问特征,服务器可以从该系统访问记录中统计该目标账号每日访问系统的总次数,从而得到以天为单位的该目标账号的每日访问总次数的各个特征值。
为了便于理解,如图4所示,进一步地,步骤102可以包括:
201、针对每个访问特征,从所述系统访问记录中统计得到与所述每个访问特征关联的预设变量的变量值;
202、获取所述每个访问特征对应的计算公式;
203、将统计得到的所述变量值代入所述计算公式,得到所述每个访问特征对应的特征值。
对于步骤201,可以理解的是,每个访问特征的计算均涉及对应的变量。因此,本实施例中对每个访问特征设定有与之关联的预设变量,一个访问特征可以对应多个变量,也可以对应一个变量。例如,“每日访问总次数”这一访问特征关联两个变量,分别为每日的时间和每日的访问次数;又比如,“工作时段一小时内最高访问次数”这一访问特征关联两个变量,分别为工作时段和每小时的访问次数。
对于步骤202,容易得到的是,每个访问特征在设定时可以一并在服务器上设定其计算公式。一般这些访问特征的计算公式均为常用计算公式,比如,每日访问总次数等于每天的时间段内所有访问行为的次数之和。
对于步骤203,服务器在得到所述每个访问特征关联的预设变量的变量值,以及所述每个访问特征对应的计算公式之后,可以将统计得到的所述变量值代入所述计算公式,得到所述每个访问特征对应的特征值。
103、从预设的随机森林中随机选取第一数量个决策树,所述随机森林由第二数量个决策树组成,所述第二数量个决策树分别与第二数量个不同特征分类对应,每个决策树依据样本访问特征和样本特征值设定,所述样本特征值为针对所述样本访问特征根据多个异常账号的历史系统访问记录计算得到,所述样本访问特征是指与所述每个决策树对应的特征分类下的访问特征,第二数量大于第一数量;
另一方面,服务器还可以从预设的随机森林中随机选取第一数量个决策树,这些选取出的第一数量个决策树将作为检测用的模型来预测所述目标账号是否为异常账号。
本实施例中,所述随机森林由第二数量个决策树组成,所述第二数量个决策树分别与第二数量个不同特征分类对应,也即每个决策树与一个特征分类对应,且不同决策树对应的特征分类各不相同。加上第一数量个决策树来自于对随机森林中第二数量个决策树的随机选取,这就使得每次检测账号所使用的决策树对应的特征分类是不固定的。这样做的好处是,第一,随机性的引入可以使得随机森林不容易陷入过拟合,具有良好的抗噪声能力;第二,面对异常账号在前端作案时往往随机调整异常操作行为的模式和频率,随机性的引入可以提升异常账号规避检测的难度,相比传统检测模型更容易检测出隐蔽性较高的异常账号,提升针对异常访问的检测能力。
需要说明的是,本实施例中每个决策树依据样本访问特征和样本特征值设定,其中,所述样本特征值为针对所述样本访问特征根据多个异常账号的历史系统访问记录计算得到,所述样本访问特征是指与所述每个决策树对应的特征分类下的访问特征。为便于理解,如图5所示,进一步地,所述每个决策树通过以下步骤预先设定:
301、获取作为样本的多个异常账号的历史系统访问记录;
302、针对每个异常账号,根据所述每个异常账号的历史系统访问记录计算得到所述样本访问特征对应的样本特征值;
303、针对每个样本访问特征,根据所述每个样本访问特征对应的、所述多个异常账号的样本特征值确定所述每个样本访问特征的特征基准值;
304、设定以每个样本访问特征作为决策树的决策点,以所述每个样本访问特征的特征基准值作为所述决策点的基准值,且以正常或异常的预测结果作为结果节点,得到所述每个决策树。
对于步骤301,为了设定随机森林中的每一个决策树,本实施例中需要收集大量的、历史处理过的异常账号的数据,主要是指收集这些作为样本的异常账号的历史系统访问记录。可以认为,这些异常账号的历史系统访问记录中隐含了异常访问行为的共性特征,因此依据这些历史系统访问记录来设立决策树是可靠的。
对于步骤302,当需要设立一个决策树时,服务器应当针对该决策树对应的特征分类下的访问特征来计算其特征值,也即上述的样本特征值。例如,假设该决策树对应的特征分类为“工作时间的访问次数”,在该特征分类下包括4个样本访问特征,分别为“非工作时段一个小时访问最高次数”、“工作时间一小时访问最高次数”、“非工作时段访问总次数”和“当天总访问次数”。因此,服务器可以针对每个异常账号,分别根据每个异常账号的历史系统访问记录计算得这些样本访问特征对应的样本特征值。
对于步骤303,服务器在计算得到每个样本访问特征对应的样本特征值之后,接着,服务器可以针对每个样本访问特征,根据所述每个样本访问特征对应的、所述多个异常账号的样本特征值确定所述每个样本访问特征的特征基准值。可知,上述步骤302中,对每一个样本访问特征来说,其可以计算出n个样本特征值,n的数量为样本的数量,也就是一个样本可以针对一个样本访问特征计算出一个样本特征值。因此,在步骤303中,对每个样本访问特征来说,可以根据这些异常账号对应计算出的多个样本特征值来共同确定所述个样本访问特征的特征基准值。举例说明,比如对于“当天总访问次数”这一样本访问特征,假设共100个异常账号,这100个异常账号针对“当天总访问次数”计算得到的样本特征值为1万个(假设每个异常账号的历史系统访问记录包含100天的数据),而这1万个样本特征值中90%以上小于800次,因此,可以确定“当天总访问次数”这一样本访问特征的特征基准值为800次。
对于步骤304,服务器在确定出每个样本访问特征的特征基准值之后,可以以每个样本访问特征作为决策树的决策点,以所述每个样本访问特征的特征基准值作为所述决策点的基准值,且以正常或异常的预测结果作为结果节点,设定得到一个决策树,该决策树即为与所述样本访问特征所述特征分类对应的决策树。承接上述举例,假设“非工作时段一个小时访问最高次数”的特征基准值为100,“工作时间一小时访问最高次数”的特征基准值为80,“非工作时段访问总次数”的特征基准值为600,“当天总访问次数”的特征基准值为800,则可以设定出的决策树如图3所示。
104、将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,每个预测结果为正常或异常;
服务器在计算得到预设的各个访问特征对应的各个特征值,以及选取出检测用的第一数量个决策树之后,可以将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,其中,每个预测结果可以为正常或异常。
为便于理解,如图6所示,进一步地,步骤104可以包括:
401、针对所述第一数量个决策树中每个决策树,确定所述每个决策树上的样本访问特征作为目标访问特征;
402、获取所述各个特征值中与所述目标访问特征对应的目标特征值;
403、将获取到的目标特征值输入所述每个决策树,得到所述每个决策树输出的预测结果。
对于步骤401,可以理解的是,由于每个决策树中仅包括一种特征分类下的访问特征,当需要将特征值输入到该决策树中进行决策时,除了该特征分类下的访问特征对应的特征值以外,其它特征值是无用的,也无法完成输入操作。因此,服务器可以针对每个决策树,先确定该决策树上的样本访问特征作为目标访问特征。
对于步骤402,对于所述每个决策树来说,服务器确定了该决策树的目标访问特征之后,可以获取所述各个特征值中与所述目标访问特征对应的目标特征值。
对于步骤403,随后,服务器可以将获取到的目标特征值输入所述每个决策树,得到所述每个决策树输出的预测结果。可知,服务器针对所述第一数量个决策树中每个决策树均执行一遍步骤401-403,即可得到所述第一数量个决策树各自对应的预测结果,共第一数量个预测结果。
105、若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,则确定所述目标账号为异常账号。
可以理解的是,若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,可以认为该目标账号的访问行为无法达到正常访问行为的程度,因此确定所述目标账号为异常账号。同理,若所述第一数量个预测结果中正常的预测结果的占比大于预设比例阈值,可以认为该目标账号的访问行为已达到正常访问行为的程度,因此确定所述目标账号为正常账号。
需要说明的是,所述预设比例阈值为预先设置的临界值,用来作为评判一个账号的正常访问行为在多个决策树的整体预测结果中表现程度。比如,该预设比例阈值可以设为50%,也即只要第一数量个预测结果中正常的预测结果超过一半,则可以认为该目标账号的访问行为无异常,确定其为正常账号;反之,则确定其为异常账号。
本实施例中,在确定出异常账号之后,还可以对异常账号进行风险处置,以降低企业管理的风险。如图7所示,进一步地,在确定所述目标账号为异常账号之后,本方法还可以包括:
501、将所述目标账号的系统访问记录发送至指定的风险处置岗,以使所述风险处置岗核实所述目标账号的系统访问行为;
502、接收来自所述风险处置岗的核实结果;
503、根据预设的处置指令对应关系确定与所述核实结果对应的目标账号处置指令,所述处置指令对应关系记录了各种核实结果与各个账号处置指令的对应关系;
504、执行所述目标账号处置指令以处理所述目标账号。
对于步骤501,服务器在确定该目标账号为异常账号之后,可以将所述目标账号的系统访问记录发送至指定的风险处置岗,以使所述风险处置岗核实所述目标账号的系统访问行为。其中,该风险处置岗是指专门针对异常访问行为进行人工审核的岗位,风险处置岗在接收到这些系统访问记录之后,可以对这些系统访问记录进行深入分析,确定该目标账号异常访问的真实性和原因等,最后给出核实结果。
对于步骤502,由上述内容可知,服务器可以接收来自所述风险处置岗的核实结果,该核实结果可以为“已核实该目标账号为异常账号”,或者“经核实,该目标账号不属于异常账号”,等等。
对于步骤503,本实施例中,可以在服务器上预先设置处置指令对应关系,该处置指令对应关系记录了各种核实结果与各个账号处置指令的对应关系。因此,服务器可以根据预设的处置指令对应关系确定与所述核实结果对应的目标账号处置指令。例如,对于“已核实该目标账号为异常账号”这一核实结果,确定出的目标账号处置指令可以为“冻结该目标账号”。
对于步骤504,服务器通过执行所述目标账号处置指令来完成对所述目标账号的风险处置,比如对于核实结果为“已核实该目标账号为异常账号”,服务器执行“冻结该目标账号”的指令,将所述目标账号冻结,相关人员将无法使用该目标账号上的权限和功能。
本发明实施例中,首先,从系统操作日志中提取目标账号的系统访问记录;然后,根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值;接着,从预设的随机森林中随机选取第一数量个决策树,所述随机森林由第二数量个决策树组成,所述第二数量个决策树分别与第二数量个不同特征分类对应,每个决策树依据样本访问特征和样本特征值设定,所述样本特征值为针对所述样本访问特征根据多个异常账号的历史系统访问记录计算得到,所述样本访问特征是指与所述每个决策树对应的特征分类下的访问特征,第二数量大于第一数量;再之,将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,每个预测结果为正常或异常;最后,若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,则确定所述目标账号为异常账号。可见,本发明利用异常账号的历史系统访问记录作为样本,基于其在历史系统访问记录中的特征分别设立多个决策树组成随机森林,在使用时,从该随机森林中随机选取第一数量个决策树来参与对目标账号的行为判定,由于不同决策树对应不同的特征分类,这就使得随机选取出来的第一数量个决策树对应的特征分类不固定,能够很好地应对适时调整行为模型的异常访问行为,比传统的固定特征的检测模型更难以被异常账号规避,能够检测出隐蔽性较高的异常账号,提升针对异常访问的检测能力。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种异常账号检测装置,该异常账号检测装置与上述实施例中异常账号检测方法一一对应。如图8所示,该异常账号检测装置包括访问记录提取模块601、特征值计算模块602、决策树选取模块603、结果预测模块604和异常账号确定模块605。各功能模块详细说明如下:
访问记录提取模块601,用于从系统操作日志中提取目标账号的系统访问记录;
特征值计算模块602,用于根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值;
决策树选取模块603,用于从预设的随机森林中随机选取第一数量个决策树,所述随机森林由第二数量个决策树组成,所述第二数量个决策树分别与第二数量个不同特征分类对应,每个决策树依据样本访问特征和样本特征值设定,所述样本特征值为针对所述样本访问特征根据多个异常账号的历史系统访问记录计算得到,所述样本访问特征是指与所述每个决策树对应的特征分类下的访问特征,第二数量大于第一数量;
结果预测模块604,用于将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,每个预测结果为正常或异常;
异常账号确定模块605,用于若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,则确定所述目标账号为异常账号。
如图9所示,进一步地,所述每个决策树可以通过以下模块预先设定:
历史记录获取模块606,用于获取作为样本的多个异常账号的历史系统访问记录;
样本特征值计算模块607,用于针对每个异常账号,根据所述每个异常账号的历史系统访问记录计算得到所述样本访问特征对应的样本特征值;
特征基准值确定模块608,用于针对每个样本访问特征,根据所述每个样本访问特征对应的、所述多个异常账号的样本特征值确定所述每个样本访问特征的特征基准值;
决策点设定模块609,用于设定以每个样本访问特征作为决策树的决策点,以所述每个样本访问特征的特征基准值作为所述决策点的基准值,且以正常或异常的预测结果作为结果节点,得到所述每个决策树。
如图10所示,进一步地,所述结果预测模块604可以包括:
目标特征确定模块6041,用于针对所述第一数量个决策树中每个决策树,确定所述每个决策树上的样本访问特征作为目标访问特征;
目标特征值获取模块6042,用于获取所述各个特征值中与所述目标访问特征对应的目标特征值;
预测结果输出模块6043,用于将获取到的目标特征值输入所述每个决策树,得到所述每个决策树输出的预测结果。
进一步地,所述异常账号检测装置还可以包括:
访问记录发送模块,用于将所述目标账号的系统访问记录发送至指定的风险处置岗,以使所述风险处置岗核实所述目标账号的系统访问行为;
核实结果接收模块,用于接收来自所述风险处置岗的核实结果;
处置指令确定模块,用于根据预设的处置指令对应关系确定与所述核实结果对应的目标账号处置指令,所述处置指令对应关系记录了各种核实结果与各个账号处置指令的对应关系;
处置指令执行模块,用于执行所述目标账号处置指令以处理所述目标账号。
进一步地,所述特征值计算模块可以包括:
变量值统计单元,用于针对每个访问特征,从所述系统访问记录中统计得到与所述每个访问特征关联的预设变量的变量值;
计算公式获取单元,用于获取所述每个访问特征对应的计算公式;
公式代入单元,用于将统计得到的所述变量值代入所述计算公式,得到所述每个访问特征对应的特征值。
关于异常账号检测装置的具体限定可以参见上文中对于异常账号检测方法的限定,在此不再赘述。上述异常账号检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图11所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储异常账号检测方法中涉及到的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种异常账号检测方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例中异常账号检测方法的步骤,例如图2所示的步骤101至步骤105。或者,处理器执行计算机程序时实现上述实施例中异常账号检测装置的各模块/单元的功能,例如图8所示模块601至模块605的功能。为避免重复,这里不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例中异常账号检测方法的步骤,例如图2所示的步骤101至步骤105。或者,计算机程序被处理器执行时实现上述实施例中异常账号检测装置的各模块/单元的功能,例如图8所示模块601至模块605的功能。为避免重复,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种异常账号检测方法,其特征在于,包括:
从系统操作日志中提取目标账号的系统访问记录;
根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值;
从预设的随机森林中随机选取第一数量个决策树,所述随机森林由第二数量个决策树组成,所述第二数量个决策树分别与第二数量个不同特征分类对应,每个决策树依据样本访问特征和样本特征值设定,所述样本特征值为针对所述样本访问特征根据多个异常账号的历史系统访问记录计算得到,所述样本访问特征是指与所述每个决策树对应的特征分类下的访问特征,第二数量大于第一数量;
将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,每个预测结果为正常或异常;
若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,则确定所述目标账号为异常账号。
2.根据权利要求1所述的异常账号检测方法,其特征在于,所述每个决策树通过以下步骤预先设定:
获取作为样本的多个异常账号的历史系统访问记录;
针对每个异常账号,根据所述每个异常账号的历史系统访问记录计算得到所述样本访问特征对应的样本特征值;
针对每个样本访问特征,根据所述每个样本访问特征对应的、所述多个异常账号的样本特征值确定所述每个样本访问特征的特征基准值;
设定以每个样本访问特征作为决策树的决策点,以所述每个样本访问特征的特征基准值作为所述决策点的基准值,且以正常或异常的预测结果作为结果节点,得到所述每个决策树。
3.根据权利要求1所述的异常账号检测方法,其特征在于,所述将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果包括:
针对所述第一数量个决策树中每个决策树,确定所述每个决策树上的样本访问特征作为目标访问特征;
获取所述各个特征值中与所述目标访问特征对应的目标特征值;
将获取到的目标特征值输入所述每个决策树,得到所述每个决策树输出的预测结果。
4.根据权利要求1所述的异常账号检测方法,其特征在于,在确定所述目标账号为异常账号之后,还包括:
将所述目标账号的系统访问记录发送至指定的风险处置岗,以使所述风险处置岗核实所述目标账号的系统访问行为;
接收来自所述风险处置岗的核实结果;
根据预设的处置指令对应关系确定与所述核实结果对应的目标账号处置指令,所述处置指令对应关系记录了各种核实结果与各个账号处置指令的对应关系;
执行所述目标账号处置指令以处理所述目标账号。
5.根据权利要求1至4中任一项所述的异常账号检测方法,其特征在于,所述根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值包括:
针对每个访问特征,从所述系统访问记录中统计得到与所述每个访问特征关联的预设变量的变量值;
获取所述每个访问特征对应的计算公式;
将统计得到的所述变量值代入所述计算公式,得到所述每个访问特征对应的特征值。
6.一种异常账号检测装置,其特征在于,包括:
访问记录提取模块,用于从系统操作日志中提取目标账号的系统访问记录;
特征值计算模块,用于根据所述系统访问记录计算得到预设的各个访问特征对应的各个特征值;
决策树选取模块,用于从预设的随机森林中随机选取第一数量个决策树,所述随机森林由第二数量个决策树组成,所述第二数量个决策树分别与第二数量个不同特征分类对应,每个决策树依据样本访问特征和样本特征值设定,所述样本特征值为针对所述样本访问特征根据多个异常账号的历史系统访问记录计算得到,所述样本访问特征是指与所述每个决策树对应的特征分类下的访问特征,第二数量大于第一数量;
结果预测模块,用于将所述各个特征值输入所述第一数量个决策树,得到所述第一数量个决策树分别输出的第一数量个预测结果,每个预测结果为正常或异常;
异常账号确定模块,用于若所述第一数量个预测结果中正常的预测结果的占比小于或等于预设比例阈值,则确定所述目标账号为异常账号。
7.根据权利要求6所述的异常账号检测装置,其特征在于,所述每个决策树通过以下模块预先设定:
历史记录获取模块,用于获取作为样本的多个异常账号的历史系统访问记录;
样本特征值计算模块,用于针对每个异常账号,根据所述每个异常账号的历史系统访问记录计算得到所述样本访问特征对应的样本特征值;
特征基准值确定模块,用于针对每个样本访问特征,根据所述每个样本访问特征对应的、所述多个异常账号的样本特征值确定所述每个样本访问特征的特征基准值;
决策点设定模块,用于设定以每个样本访问特征作为决策树的决策点,以所述每个样本访问特征的特征基准值作为所述决策点的基准值,且以正常或异常的预测结果作为结果节点,得到所述每个决策树。
8.根据权利要求6或7所述的异常账号检测装置,其特征在于,所述结果预测模块包括:
目标特征确定模块,用于针对所述第一数量个决策树中每个决策树,确定所述每个决策树上的样本访问特征作为目标访问特征;
目标特征值获取模块,用于获取所述各个特征值中与所述目标访问特征对应的目标特征值;
预测结果输出模块,用于将获取到的目标特征值输入所述每个决策树,得到所述每个决策树输出的预测结果。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述异常账号检测方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述异常账号检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910602402.1A CN110474871B (zh) | 2019-07-05 | 2019-07-05 | 一种异常账号检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910602402.1A CN110474871B (zh) | 2019-07-05 | 2019-07-05 | 一种异常账号检测方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110474871A true CN110474871A (zh) | 2019-11-19 |
| CN110474871B CN110474871B (zh) | 2023-10-13 |
Family
ID=68506873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910602402.1A Active CN110474871B (zh) | 2019-07-05 | 2019-07-05 | 一种异常账号检测方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110474871B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111158732A (zh) * | 2019-12-23 | 2020-05-15 | 中国平安人寿保险股份有限公司 | 访问数据处理方法、装置、计算机设备及存储介质 |
| CN111737493A (zh) * | 2020-06-23 | 2020-10-02 | 平安科技(深圳)有限公司 | 基于决策树的异常数据源输出方法、装置和计算机设备 |
| CN112181767A (zh) * | 2020-09-27 | 2021-01-05 | 深圳前海微众银行股份有限公司 | 软件系统异常的确定方法、装置和存储介质 |
| CN112561389A (zh) * | 2020-12-23 | 2021-03-26 | 北京元心科技有限公司 | 确定设备检测结果的方法、装置以及电子设备 |
| CN112839014A (zh) * | 2019-11-22 | 2021-05-25 | 北京数安鑫云信息技术有限公司 | 建立识别异常访问者模型的方法、系统、设备及介质 |
| CN114124873A (zh) * | 2020-08-26 | 2022-03-01 | 腾讯科技(深圳)有限公司 | 账号异常处理方法、装置、计算机设备和存储介质 |
| CN114861177A (zh) * | 2022-04-19 | 2022-08-05 | 中国科学院信息工程研究所 | 社交网络上可疑账号的检测方法及装置 |
| CN115603955A (zh) * | 2022-09-26 | 2023-01-13 | 北京百度网讯科技有限公司(Cn) | 异常访问对象识别方法、装置、设备和介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7458508B1 (en) * | 2003-05-12 | 2008-12-02 | Id Analytics, Inc. | System and method for identity-based fraud detection |
| CN104917643A (zh) * | 2014-03-11 | 2015-09-16 | 腾讯科技(深圳)有限公司 | 异常账号检测方法及装置 |
| CN108183888A (zh) * | 2017-12-15 | 2018-06-19 | 恒安嘉新(北京)科技股份公司 | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 |
| CN108898418A (zh) * | 2018-05-31 | 2018-11-27 | 康键信息技术(深圳)有限公司 | 用户账号检测方法、装置、计算机设备和存储介质 |
| US10333964B1 (en) * | 2015-05-29 | 2019-06-25 | Microsoft Technology Licensing, Llc | Fake account identification |
-
2019
- 2019-07-05 CN CN201910602402.1A patent/CN110474871B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7458508B1 (en) * | 2003-05-12 | 2008-12-02 | Id Analytics, Inc. | System and method for identity-based fraud detection |
| CN104917643A (zh) * | 2014-03-11 | 2015-09-16 | 腾讯科技(深圳)有限公司 | 异常账号检测方法及装置 |
| US10333964B1 (en) * | 2015-05-29 | 2019-06-25 | Microsoft Technology Licensing, Llc | Fake account identification |
| CN108183888A (zh) * | 2017-12-15 | 2018-06-19 | 恒安嘉新(北京)科技股份公司 | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 |
| CN108898418A (zh) * | 2018-05-31 | 2018-11-27 | 康键信息技术(深圳)有限公司 | 用户账号检测方法、装置、计算机设备和存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 顾宇峰: "基于三维激光点云数据的室外场景理解", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 顾宇峰: "基于三维激光点云数据的室外场景理解", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 February 2019 (2019-02-15), pages 1125 - 83 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112839014A (zh) * | 2019-11-22 | 2021-05-25 | 北京数安鑫云信息技术有限公司 | 建立识别异常访问者模型的方法、系统、设备及介质 |
| CN112839014B (zh) * | 2019-11-22 | 2023-09-22 | 北京数安鑫云信息技术有限公司 | 建立识别异常访问者模型的方法、系统、设备及介质 |
| CN111158732A (zh) * | 2019-12-23 | 2020-05-15 | 中国平安人寿保险股份有限公司 | 访问数据处理方法、装置、计算机设备及存储介质 |
| CN111158732B (zh) * | 2019-12-23 | 2024-04-02 | 中国平安人寿保险股份有限公司 | 访问数据处理方法、装置、计算机设备及存储介质 |
| CN111737493B (zh) * | 2020-06-23 | 2023-05-02 | 平安科技(深圳)有限公司 | 基于决策树的异常数据源输出方法、装置和计算机设备 |
| CN111737493A (zh) * | 2020-06-23 | 2020-10-02 | 平安科技(深圳)有限公司 | 基于决策树的异常数据源输出方法、装置和计算机设备 |
| CN114124873A (zh) * | 2020-08-26 | 2022-03-01 | 腾讯科技(深圳)有限公司 | 账号异常处理方法、装置、计算机设备和存储介质 |
| CN112181767A (zh) * | 2020-09-27 | 2021-01-05 | 深圳前海微众银行股份有限公司 | 软件系统异常的确定方法、装置和存储介质 |
| CN112561389A (zh) * | 2020-12-23 | 2021-03-26 | 北京元心科技有限公司 | 确定设备检测结果的方法、装置以及电子设备 |
| CN112561389B (zh) * | 2020-12-23 | 2023-11-10 | 北京元心科技有限公司 | 确定设备检测结果的方法、装置以及电子设备 |
| CN114861177A (zh) * | 2022-04-19 | 2022-08-05 | 中国科学院信息工程研究所 | 社交网络上可疑账号的检测方法及装置 |
| CN115603955A (zh) * | 2022-09-26 | 2023-01-13 | 北京百度网讯科技有限公司(Cn) | 异常访问对象识别方法、装置、设备和介质 |
| CN115603955B (zh) * | 2022-09-26 | 2023-11-07 | 北京百度网讯科技有限公司 | 异常访问对象识别方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110474871B (zh) | 2023-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110474871A (zh) | 一种异常账号检测方法、装置、计算机设备及存储介质 | |
| CN109829776B (zh) | 商户风险评估方法、装置、计算机设备和存储介质 | |
| EP3931731B1 (en) | Feature drift hardened online application origination (oao) service for fraud prevention systems | |
| CN107316198B (zh) | 账户风险识别方法及装置 | |
| CN108876133A (zh) | 基于业务信息的风险评估处理方法、装置、服务器和介质 | |
| US20160171500A1 (en) | Authentication System and Method | |
| CN108876600A (zh) | 预警信息推送方法、装置、计算机设备和介质 | |
| CN109858737A (zh) | 基于模型部署的评分模型调整方法、装置和计算机设备 | |
| US20090018940A1 (en) | Enhanced Fraud Detection With Terminal Transaction-Sequence Processing | |
| US20070124236A1 (en) | Credit risk profiling method and system | |
| CN110929879A (zh) | 基于决策引擎和模型平台的业务决策逻辑更新方法 | |
| CN110263329A (zh) | 软件产品测评处理方法、装置、计算机设备及存储介质 | |
| CN109615280A (zh) | 员工数据处理方法、装置、计算机设备和存储介质 | |
| CN109949154A (zh) | 客户信息分类方法、装置、计算机设备和存储介质 | |
| CN109785116A (zh) | 资信审核方法、装置、计算机设备及存储介质 | |
| CN109583682A (zh) | 企业财务造假风险的识别方法、装置以及计算机设备 | |
| CN113689218A (zh) | 风险账户的识别方法、装置、计算机设备和存储介质 | |
| CN110084606A (zh) | 风险控制方法、装置、计算机设备和存储介质 | |
| CN112669039B (zh) | 基于知识图谱的客户风险管控系统及方法 | |
| CN109523124A (zh) | 资产数据处理方法、装置、计算机设备和存储介质 | |
| CN110728301A (zh) | 一种个人用户的信用评分方法、装置、终端及存储介质 | |
| CN111915316A (zh) | 一种可疑交易的监控方法、装置、计算机设备和存储介质 | |
| CN109214904A (zh) | 财务造假线索的获取方法、装置、计算机设备和存储介质 | |
| CN113642672A (zh) | 医保数据的特征加工方法、装置、计算机设备及存储介质 | |
| CN109858735A (zh) | 用户风险评分评定方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |