CN110493181A - 用户行为检测方法、装置、计算机设备及存储介质 - Google Patents
用户行为检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN110493181A CN110493181A CN201910603389.1A CN201910603389A CN110493181A CN 110493181 A CN110493181 A CN 110493181A CN 201910603389 A CN201910603389 A CN 201910603389A CN 110493181 A CN110493181 A CN 110493181A
- Authority
- CN
- China
- Prior art keywords
- user behavior
- risk
- data
- score
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种用户行为检测方法、装置、计算机设备及存储介质,所述方法包括:获取用户行为数据,并根据预设评分计算方式对用户行为数据进行计算,得到用户行为数据的基础风险评分;将基础风险评分与预设标准分数进行比较,若基础风险评分超过预设标准分数,则确定用户行为数据对应的用户行为为风险行为;若基础风险评分低于预设标准分数,则将用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,并根据运算结果与预设阈值之间的数值关系,确定用户行为数据对应的用户行为是否属于风险行为或正常行为。本发明的技术方案减少了用户行为检测过程中的漏报和误报的概率,提高风险行为识别的准确性。
Description
技术领域
本发明涉及信息处理领域,尤其涉及用户行为检测方法、装置、计算机设备及存储介质。
背景技术
随着互联网和大数据技术的发展,数据信息的数量成爆发式增长,并且其传播速度比以往任何时代都要更快、更广泛,因此,信息安全显得越来越重要。
例如,在互联网应用中,为了信息安全,运维人员需要从海量数据中发现用户异常行为,并进行提前预警或进行事中阻断。其中,用户异常行为包括异常登录行为、尝试非法访问的行为等。
目前,针对用户行为检测,各安全厂商提供的安全产品主要是从纯技术的角度进行检测,不能很好的与实际应用相结合,在一定程度上防御用户不法行为的同时,也存在漏报误报率的问题,给运维人员带来不必要的麻烦。
发明内容
本发明实施例提供一种用户行为检测方法、装置、计算机设备及存储介质,以解决传统用户行为检测方式中,存在漏报误报,用户风险行为识别率低的问题。
一种用户行为检测方法,包括:
获取用户行为数据,并根据预设评分计算方式对所述用户行为数据进行计算,得到所述用户行为数据的基础风险评分;
将所述基础风险评分与预设标准分数进行比较,若所述基础风险评分超过所述预设标准分数,则确定所述用户行为数据对应的用户行为为风险行为;
若所述基础风险评分低于所述预设标准分数,则将所述用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分;
若所述附加风险评分超过预设阈值,则确定所述用户行为数据对应的用户行为为风险行为,若所述附加风险评分未超过所述预设阈值,则确定所述用户行为数据对应的用户行为为正常行为。
一种用户行为检测装置,包括:
计算模块,用于获取用户行为数据,并根据预设评分计算方式对所述用户行为数据进行计算,得到所述用户行为数据的基础风险评分;
基础评测模块,用于将所述基础风险评分与预设标准分数进行比较,若所述基础风险评分超过所述预设标准分数,则确定所述用户行为数据对应的用户行为为风险行为;
集合运算模块,用于若所述基础风险评分低于所述预设标准分数,则将所述用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分;
附加评测模块,用于若所述附加风险评分超过预设阈值,则确定所述用户行为数据对应的用户行为为风险行为,若所述附加风险评分未超过所述预设阈值,则确定所述用户行为数据对应的用户行为为正常行为。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述用户行为检测方法。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述用户行为检测方法。
上述用户行为检测方法、装置、计算机设备及存储介质,获取用户行为数据,并根据预设评分计算方式对用户行为数据进行计算,得到用户行为数据的基础风险评分;将基础风险评分与预设标准分数进行比较,即,根据预设标准分数对用户行为数据进行第一次筛选,从技术层过滤掉明显可以确定为风险行为的数据;然后,将尚不能确定是否为风险行为的用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分,并根据附加风险评分与预设阈值之间的数值关系,以确定该用户行为数据所对应的用户行为是否正常,即,从实际应用角度出发,使用根据业务层确定的预设风险行为模板对用户行为数据进行第二次筛选,使得经过两层数据比对和筛选,减少用户行为检测过程中的漏报和误报的概率,提高风险行为识别的准确性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例中用户行为检测方法的一应用环境示意图;
图2是本发明一实施例中用户行为检测方法的流程图;
图3是本发明一实施例中用户行为检测方法中步骤S1的流程图;
图4是本发明一实施例中用户行为检测方法中步骤S3的流程图;
图5是本发明一实施例中用户行为检测方法中确定附加风险评分的另一流程图;
图6是本发明一实施例中用户行为检测方法中对风险行为模板进行更新的流程图;
图7是本发明一实施例中用户行为检测装置的示意图;
图8是本发明一实施例中计算机设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的用户行为检测方法,可应用在如图1的应用环境中,其中,服务端是提供用户行为检测服务的计算机设备,服务端可以是服务器或服务器集群;用户行为数据库是存储用户行为相关数据的数据库系统,包括但不限于各种关系型或非关系型数据库,如MS-SQL、Oracle、MySQL、Sybase、DB2、Redis、MongodDB、Hbase等等;预设参考风险库是存储与实际应用相关的用户风险行为的特征的数据库;用户行为数据库与服务端之间、服务端与预设参考风险库之间通过网络连接,网络可以是有线网络或无线网络。本发明实施例提供的用户行为检测方法应用于服务端。
在一实施例中,如图2所示,提供了一种用户行为检测方法,其具体实现流程包括如下步骤:
S1:获取用户行为数据,并根据预设评分计算方式对用户行为数据进行计算,得到用户行为数据的基础风险评分。
用户行为数据,是与用户行为相关的一组数据的集合。其中,用户行为包括但不限于用户的登录、登出行为、用户访问数据的行为、用户尝试连接特定服务器的行为,等。例如,用户行为数据可以包括用户日常的登录时间、平均下线时间;用户在一定时间范围内尝试访问数据的次数;用户尝试连接特定服务器的次数,等等。
用户行为数据可以存储在预设的数据库系统中,预设的数据库系统可以部署在服务端本地,也可以通过网络与服务端相连。
基础风险评分,是对用户行为的风险程度的量化值。其中,风险程度,是指用户行为造成系统安全风险的可能性。例如,若用户行为是连续尝试访问非授权的数据,则安全人员有理由怀疑该用户行为异常,具有数据入侵的风险。
预设评分计算方式,是对用户行为数据进行量化,得到基础风险评分的过程。其中,基础风险评分是一个综合值,整体上反应了用户行为的风险程度。例如,若预先设置来自同一IP地址的用户,其尝试连接特定服务器的次数不得高于10次;则若用户行为数据中来自同一IP地址的用户,其尝试连接特定服务器的次数高于10次,则该用户行为数据的基础风险评分可以为90。
S2:将基础风险评分与预设标准分数进行比较,若基础风险评分超过预设标准分数,则确定用户行为数据对应的用户行为为风险行为。
风险行为,是对用户行为具有影响系统安全的风险程度的定义。风险行为,包括但不限于用户在一定时间范围内尝试访问非授权数据的次数;用户尝试非法连接特定服务器的次数,等。
预设标准分数,是对用户行为风险程度进行评估的临界值。预设标准分数基于技术层面的用户行为而综合确定。其中,技术层面的用户行为包括但不限于用户登录、登出的时间、用户来源的IP地址、用户所使用的操作系统信息、浏览器信息、用户所在智能终端设备信息、用户连接服务端的次数、输错验证码的次数,等等。
通过将基层风险评分与预设标准分数进行比较,可以直接从海量用户行为数据中过滤掉明显属于风险行为的数据,从而对用户行为进行初步检测。例如,预设标准分数可以设为60,则基础风险评分高于60的用户行为数据所对应的用户行为可视为风险行为。
具体地,服务端将基础风险评分与预设标准分数进行数值大小比较,若基础风险评分超过预设标准分数,则可以确定用户行为数据对应的用户行为为风险行为。
S3:若基础风险评分低于预设标准分数,则将用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分。
预设参考风险库,是存储与实际应用相关的用户风险行为的特征的数据库。预设参考风险库具体可以是各种关系型或非关系型数据库系统,此处不做限制。
风险行为模板,是从技术层面之外的维度,对用户的风险行为进行提炼而得到数据模型。其中,技术层面之外的维度,是指根据实际应用的需要,对具有风险的用户行为的概括。
例如,用户在与服务器进行加密通信时,可能需要在用户和服务端之间进行多次握手确认,因此,若在通信过程中出现网络不稳定的状态,用户多次尝试与服务器进行连接,此时将不能将该用户行为视为风险行为。或者,若用户尝试通过多个正常的账号进行登录,并对某一敏感数据进行非法读取,此时,用户行为数据或不能体现出风险,即此时的基础风险评分可能低于预设标准分数;即,通过风险行为模板对基础风险评分进行再次筛选,从而用户行为检测中的避免漏报或误报问题。
具体地,风险行为模板可以表现为存储在数据库中的数据表,或者,以键值对形式存储的文本文件,例如,JSON文件,等。其中,JSON(JavaScript Object Notation,JS对象简谱)是一种轻量级的数据交换格式。JSON文件是以ASCII编码方式存储的,不依赖于操作系统,能被计算机程序快速的读取或生成,是一种流行的数据交换格式。
以JSON格式的风险行为模板为例,一组键值对可以代表一个由技术层面之外的维度所确定的风险用户行为,如,某个无法单纯从用户登录次数所判断的用户行为;其中,JSON文件的键名可以对应一种用户行为,如用户登录次数,用户尝试连接次数,等;JSON文件的键值可以为用户风险行为时,用户行为数据对应的值。
数据交集运算,即通过风险行为模板对用户行为数据的再次筛选。
附加风险评分,是在基础风险评分的基础上,对用户行为进行再次筛选后得到的量化值。附加风险评分,体现了从技术和实际应用的角度对用户行为的风险性进行量化的数值,即,通过技术层面和实际应用层面的结合,对用户行为进行检测,从而避免漏报和误报,提供识别准确性。
具体地,服务端可以先将用户行为数据与JSON文件中的键值对进行比较,将符合风险行为模板的数据提取出来;然后对这些用户行为数据所对应的基础风险评分进行调整,例如,将基础风险评分乘以1.5倍的系数,从而得到附加风险评分。
S4:若附加风险评分超过预设阈值,则确定用户行为数据对应的用户行为为风险行为,若附加风险评分未超过预设阈值,则确定用户行为数据对应的用户行为为正常行为。
预设阈值,是判断用户行为是否正常的临界值。例如,预设阈值可以为60。
具体地,服务端根据附加风险评分与预设阈值进行数值大小比较,将超过预设阈值的用户行为数据所对应的用户行为确定为风险行为;将未超过预设阈值的用户行为数据所对应的用户行为确定为正常行为。
在本实施例中,获取用户行为数据,并根据预设评分计算方式对用户行为数据进行计算,得到用户行为数据的基础风险评分;将基础风险评分与预设标准分数进行比较,即,根据预设标准分数对用户行为数据进行第一次筛选,从技术层过滤掉明显可以确定为风险行为的数据;然后,将尚不能确定是否为风险行为的用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分,并根据附加风险评分与预设阈值之间的数值关系,以确定该用户行为数据所对应的用户行为是否正常,即,从实际应用角度出发,使用根据业务层确定的预设风险行为模板对用户行为数据进行第二次筛选,使得经过两层数据比对和筛选,减少用户行为检测过程中的漏报和误报的概率,提高风险行为识别的准确性。
进一步地,在一实施例中,如图3所示,针对步骤S1,即获取用户行为数据,并根据预设评分计算方式对用户行为数据进行计算,得到用户行为数据的基础风险评分,包括:
S11:根据预设单项标准,对用户行为数据中的每项数据进行评分,得到分项评分。
预设单项标准,是将一个完整的用户行为拆分若干个单独操作行为后,对每一个单独操作行为的衡量标准。
举例来说,一个用户行为可以分为登录系统、认证身份、从服务器读取数据、向服务器存储数据等若干个单独步骤组成,每个单独步骤对应一个单独操作行为。
服务端需要对每个单独操作行为进行分析,从而确定由这些单独操作行为组成的完整的用户行为是否为风险行为。
可以理解地,用户行为对应于用户行为数据,用户行为中的每个单独操作行为对应于用户行为数据中的每项数据。
具体地,预设单项标准与每个单独操作行为的判断标准相对应。例如,在登录系统的单独操作行为中,预设单项标准可以包括但不限于用户登录的IP地址、用户所在终端的硬件设备信息、操作系统的版本号,等;在向服务器存储数据的单独操作行为中,预设单项标准可以包括但不限于用户所在终端向服务器发送数据包的大小、存储数据的时间、连续两次存储数据之间的时间间隔,等。
分项评分,反应了用户行为中每个单独操作行为的风险程度。
以向服务器存储数据的单独操作行为为例,若一个预设单项标准为“用户所在终端向服务器发送数据包的大小”,则服务端可以根据数据包的大小来判断用户所在终端的发包行为是否具有风险。
具体地,若服务端预先限制用户所在终端向服务端发送数据包的最大值为10M字节,并且与该预设单项标准对应的用户行为数据中的单项数据为11M字节;则由于用户所在终端向服务端发送的数据包大小11M字节超过10M字节,服务端可以确定用户的发包行为异常,其分项评分为90。
可以理解地,根据预设单项标准,用户行为数据中的每项数据所对应的分项评分的值可能不同。即,有的单独操作行为具有风险性,有的单独操作行为不具有风险性。
S12:按照预设加权计算方式,对分项评分进行计算,得到用户行为数据的基础风险评分。
预设加权计算方式,是对每个分项评分赋予不同的权值,并计算得到用户行为数据的基础风险评分的过程。其中,对每个分项评分赋予不同的权值,是依据每个单独操作行为能代表的风险程度而预先设定的。
举例来说,用户所在终端发送超额数据包的行为属于异常行为,其分项评分所占的权值要相对大,如为0.6;若对用户所在终端向服务端发起数据存储请求的时间不作限制,则预设单项标准“存储数据的时间”所对应的分项评分所占的权值要相对小,如为0.4。
具体地,假设由预设单项标准A所对应的分项评分为60,权值为0.6;预设单项标准B所对应的分项评分为90,权值为0.4,则用户行为数据的基础风险评分可以通过对A、B的分项评分乘以各自权值后相加得到。
在本实施例中,服务端根据预设单项标准将用户行为分解成若干个单独操作行为,并对每个单独操作行为进行独立评分判断;然后通过预设加权计算方式,对每个单独操作行为的分项评分进行综合,得到用户基础风险评分,使得可以减少单个用户异常操作行为对整个用户行为进行判断的影响,减少误报率。
进一步地,在一实施例中,如图4所示,针对步骤S3,即若基础风险评分低于预设标准分数,则将用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分,包括:
S31:获取用户行为数据中包含的字段标识,得到待检测字段集合。
用户行为数据中包含的字段标识,是用户行为数据中单项数据所对应的字段的标识信息。例如,单项数据为“用户存储数据时间”,则其对应的字段标识可以为“insert_time”。
待检测字段集合,即由若干字段标识组成的数据集合。
具体地,服务端可以从用户行为数据数据库中获取包含用户行为的数据表,并提取数据表中的字段信息,得到一组字段标识。可以理解地,字段标识数量众多,服务端可以对字段标识进行临时存储,得到一个数据集合,即为待检测字段集合。
S32:获取预设风险行为模板中的目标字段标识,得到目标字段集合。
目标字段标识,是相对于用户行为数据中的字段标识而言,目标字段标识产生于预设风险行为模板。
目标字段集合,是由若干目标字段标识组成的数据集合。
具体地,若预设风险行为模板为数据表形式,则服务端可以通过SQL语句获取数据表中的字段名称,并将字段名称的集合作为目标字段集合;若预设风险行为模板为JSON格式的文件,则服务端可以解析JSON文件中的键名,以所获取到的键名集合作为目标字段集合。
S33:计算待检测字段集合与目标字段集合的交集,得到交叉字段集。
具体地,服务端对待检测字段集合中的字段标识与目标字段集合中的目标字段标识进行一一比较,以相同的字段标识作为两者的交集,得到数据集合作为交叉字段集,即代表了用户行为与预设风险行为模板中的风险行为的匹配度。
S34:根据交叉字段集合中的元素数量与目标字段集合中的元素数量之间的比值,确定附加风险评分。
具体地,若交叉字段集合中的元素数量为20,目标字段集合中的元素数量为35,则两者的比值为20/35,即得到附加风险评分。
在本实施例中,服务端以用户行为数据中包含的字段标识作为待检测字段集合,以预设风险行为模板中的目标字段标识作为目标字段集合,并计算两个集合之间的交集,即以交叉字段集的大小确定用户行为与预设风险行为模板中的风险行为的匹配程度;然后,根据交叉字段集合中的元素数量与目标字段集合中的元素数量之间的比值确定附加风险评分,即,将匹配程度量化成附加风险评分,从而实根据业务层确定的预设风险行为模板对用户行为数据进行第二次筛选,进一步减少漏报的概率,提高风险行为识别的准确性。
进一步地,在一实施例中,如图5所示,在步骤S34之后,即根据交叉字段集合中的元素数量与目标字段集合中的元素数量之间的比值,确定附加风险评分之后,具体包括如下步骤:
S35:根据交叉字段集合中的元素数量确定与基础风险评分对应的预设修正系数。
预设修正系数,是根据交叉字段集合中元素数量的范围而预先设定的常量。
例如,若交叉字段集合中元素数量的范围在0-20之间,则此时用户风险行为所对应的预设修正系数可以为1;若交叉字段集合中元素数量的范围在20-40之间,则此时用户风险行为所对应的预设修正系数可以为1.5;若交叉字段集合中元素数量的范围在40以上,则此时用户风险行为所对应的预设修正系数可以为2。
S36:使用预设修正系数,对基础风险评分进行调整,得到附加风险评分。
具体地,服务端以基础风险评分乘以预设修正系数,可以得到附加风险评分。例如,若基础风险评分为90,预设修正系数1,则附加风险评分为90;若预设修正系数1.5,则附加风险评分为135。
在本实施例中,通过预设的修正系数对基础风险评分进行调整,得到附加风险评分,使得对基础风险评分的调整更加简便,有利于加快运算速度。
进一步地,在一实施例中,如图6所示,在步骤S4之后,即若附加风险评分超过预设阈值,则确定用户行为数据对应的用户行为为风险行为,若附加风险评分未超过预设阈值,则确定用户行为数据对应的用户行为为正常行为,具体包括如下步骤:
S5:提取用户行为数据中的关键字,并使用关键字对用户行为进行画像,得到用户行为标签。
具体地,服务端可以以用户行为数据中每项数据的字段标识和每项数据的具体数值结合起来,作为关键字。例如,将字段标识“数据包大小”和该项数据的具体值“13M”组合成字符串“数据包大小13M”,从而得到关键字。
服务端使用关键字对用户行为进行画像,即通过获取关键字,以用户行为标签的形式对当前用户行为进行标注,从而对用户行为数据所对应的用户行为进行提炼,得到用户行为标签。
例如,服务端通过提取用户行为数据中的用户IP地址,若该IP地址曾发生过金融欺诈交易行为,如包括使用非正常的信用卡进行交易,盗窃他人的账号进行交易,等;或者,该IP地址曾经通过发送大量的网络包服务器发起过拒绝服务攻击,则服务端将该IP地址作为用户行为标签,并注明附加信息为“高风险”。
S6:使用用户行为标签对风险行为模板进行更新。
具体地,若风险行为模板为数据表形式,则服务端可以将用户行为标签作为数据记录插入到数据表中,作为一种新的风险行为;若风险行为模板为JSON格式的数据,则服务端可以将用户行为标签和附加信息作为键值对插入到JSON文件中。
在本实施例中,服务端在确定用户行为是否为正常行为或风险行为之后,服务端通过提取用户行为数据中的关键字,以用户行为标签的形式对当前用户行为进行标注,并使用用户行为标签对风险行为模板进行更新,即,及时收集新的风险行为,提取新风险行为的特征,并对风险行为模板进行补充和完善,可以进一步防止用户行为检测过程中的漏报概率,从而进一步提高风险行为识别的准确性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种用户行为检测装置,该用户行为检测装置与上述实施例中用户行为检测方法一一对应。如图7所示,该用户行为检测装置包括计算模块71、基础评测模块72、集合运算模块73和附加评测模块74。各功能模块详细说明如下:
计算模块71,用于获取用户行为数据,并根据预设评分计算方式对用户行为数据进行计算,得到用户行为数据的基础风险评分;
基础评测模块72,用于将基础风险评分与预设标准分数进行比较,若基础风险评分超过预设标准分数,则确定用户行为数据对应的用户行为为风险行为;
集合运算模块73,用于若基础风险评分低于预设标准分数,则将用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分;
附加评测模块74,用于若附加风险评分超过预设阈值,则确定用户行为数据对应的用户行为为风险行为,若附加风险评分未超过预设阈值,则确定用户行为数据对应的用户行为为正常行为。
进一步地,计算模块71,包括:
单向计算子模块711,用于根据预设单项标准,对用户行为数据中的每项数据进行评分,得到分项评分;
加权计算子模块712,用于按照预设加权计算方式,对分项评分进行计算,得到用户行为数据的基础风险评分。
进一步地,集合运算模块73,包括:
第一字段检测子模块731,用于获取用户行为数据中包含的字段标识,得到待检测字段集合;
第二字段检测子模块732,用于获取预设风险行为模板中的目标字段标识,得到目标字段集合;
交集运算子模块733,用于计算待检测字段集合与目标字段集合的交集,得到交叉字段集;
评分计算子模块734,用于根据交叉字段集合中的元素数量与目标字段集合中的元素数量之间的比值,确定附加风险评分。
进一步地,集合运算模块73,还包括:
系数确定子模块735,用于根据交叉字段集合中的元素数量确定与基础风险评分对应的预设修正系数;
微调子模块736,用于使用预设修正系数,对基础风险评分进行调整,得到附加风险评分。
进一步地,用户行为检测装置,还包括:
画像模块75,用于提取用户行为数据中的关键字,并使用关键字对用户行为进行画像,得到用户行为标签;
更新模块76,用于使用用户行为标签对风险行为模板进行更新。
关于用户行为检测装置的具体限定可以参见上文中对于用户行为检测方法的限定,在此不再赘述。上述用户行为检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种用户行为检测方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例中用户行为检测方法的步骤,例如图2所示的步骤S1至步骤S4。或者,处理器执行计算机程序时实现上述实施例中用户行为检测装置的各模块/单元的功能,例如图7所示模块71至模块74的功能。为避免重复,这里不再赘述。
在一实施例中,提供一计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例中用户行为检测方法,或者,该计算机程序被处理器执行时实现上述装置实施例中用户行为检测装置中各模块/单元的功能。为避免重复,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本发明所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用户行为检测方法,其特征在于,所述用户行为检测方法包括:
获取用户行为数据,并根据预设评分计算方式对所述用户行为数据进行计算,得到所述用户行为数据的基础风险评分;
将所述基础风险评分与预设标准分数进行比较,若所述基础风险评分超过所述预设标准分数,则确定所述用户行为数据对应的用户行为为风险行为;
若所述基础风险评分低于所述预设标准分数,则将所述用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分;
若所述附加风险评分超过预设阈值,则确定所述用户行为数据对应的用户行为为风险行为,若所述附加风险评分未超过所述预设阈值,则确定所述用户行为数据对应的用户行为为正常行为。
2.如权利要求1所述的用户行为检测方法,其特征在于,所述获取用户行为数据,并根据预设评分计算方式对所述用户行为数据进行计算,得到所述用户行为数据的基础风险评分,包括:
根据预设单项标准,对所述用户行为数据中的每项数据进行评分,得到分项评分;
按照预设加权计算方式,对所述分项评分进行计算,得到所述用户行为数据的所述基础风险评分。
3.如权利要求1所述的用户行为检测方法,其特征在于,所述将所述用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分,包括:
获取所述用户行为数据中包含的字段标识,得到待检测字段集合;
获取所述预设风险行为模板中的目标字段标识,得到目标字段集合;
计算所述待检测字段集合与所述目标字段集合的交集,得到交叉字段集;
根据所述交叉字段集合中的元素数量与所述目标字段集合中的元素数量之间的比值,确定所述附加风险评分。
4.如权利要求3所述的用户行为检测方法,其特征在于,所述计算所述待检测字段集合与所述目标字段集合的交集,得到交叉字段集之后,所述用户行为检测方法,还包括:
根据所述交叉字段集合中的元素数量确定与所述基础风险评分对应的预设修正系数;
使用所述预设修正系数,对所述基础风险评分进行调整,得到所述附加风险评分。
5.如权利要求1所述的用户行为检测方法,其特征在于,所述若所述附加风险评分超过预设阈值,则确定所述用户行为数据对应的用户行为为风险行为,若所述附加风险评分未超过所述预设阈值,则确定所述用户行为数据对应的用户行为为正常行为之后,所述用户行为检测方法,还包括:
提取所述用户行为数据中的关键字,并使用所述关键字对用户行为进行画像,得到用户行为标签;
使用所述用户行为标签对所述风险行为模板进行更新。
6.一种用户行为检测装置,其特征在于,所述用户行为检测装置,包括:
计算模块,用于获取用户行为数据,并根据预设评分计算方式对所述用户行为数据进行计算,得到所述用户行为数据的基础风险评分;
基础评测模块,用于将所述基础风险评分与预设标准分数进行比较,若所述基础风险评分超过所述预设标准分数,则确定所述用户行为数据对应的用户行为为风险行为;
集合运算模块,用于若所述基础风险评分低于所述预设标准分数,则将所述用户行为数据与预设参考风险库中的风险行为模板进行数据交集运算,得到附加风险评分;
附加评测模块,用于若所述附加风险评分超过预设阈值,则确定所述用户行为数据对应的用户行为为风险行为,若所述附加风险评分未超过所述预设阈值,则确定所述用户行为数据对应的用户行为为正常行为。
7.如权利要求6所述的用户行为检测装置,其特征在于,所述计算模块,包括:
单向计算子模块,用于根据预设单项标准,对所述用户行为数据中的每项数据进行评分,得到分项评分;
加权计算子模块,用于按照预设加权计算方式,对所述分项评分进行计算,得到所述用户行为数据的所述基础风险评分。
8.如权利要求6所述的用户行为检测装置,其特征在于,所述集合运算模块,包括:
第一字段检测子模块,用于获取所述用户行为数据中包含的字段标识,得到待检测字段集合;
第二字段检测子模块,用于获取所述预设风险行为模板中的目标字段标识,得到目标字段集合;
交集运算子模块,用于计算所述待检测字段集合与所述目标字段集合的交集,得到交叉字段集;
评分计算子模块,用于根据所述交叉字段集合中的元素数量与所述目标字段集合中的元素数量之间的比值,确定所述附加风险评分。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述用户行为检测方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述用户行为检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910603389.1A CN110493181B (zh) | 2019-07-05 | 2019-07-05 | 用户行为检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910603389.1A CN110493181B (zh) | 2019-07-05 | 2019-07-05 | 用户行为检测方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110493181A true CN110493181A (zh) | 2019-11-22 |
| CN110493181B CN110493181B (zh) | 2023-04-07 |
Family
ID=68546066
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910603389.1A Active CN110493181B (zh) | 2019-07-05 | 2019-07-05 | 用户行为检测方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110493181B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131235A (zh) * | 2019-12-23 | 2020-05-08 | 杭州安恒信息技术股份有限公司 | 一种业务系统的安全维护方法、装置、设备及存储介质 |
| CN112488641A (zh) * | 2020-11-19 | 2021-03-12 | 深圳市中博科创信息技术有限公司 | 用户评价数据的处理方法、终端设备及可读存储介质 |
| CN113112323A (zh) * | 2021-03-16 | 2021-07-13 | 中国平安财产保险股份有限公司 | 基于数据分析的异常订单识别方法、装置、设备及介质 |
| CN113328978A (zh) * | 2020-02-28 | 2021-08-31 | 北京沃东天骏信息技术有限公司 | 恶意用户识别方法及装置、计算机存储介质、电子设备 |
| CN114880713A (zh) * | 2022-06-30 | 2022-08-09 | 深圳红途科技有限公司 | 基于数据链路的用户行为分析方法、装置、设备及介质 |
| CN115859345A (zh) * | 2022-11-10 | 2023-03-28 | 广州益涛网络科技有限公司 | 一种基于区块链的数据访问管理方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107239680A (zh) * | 2017-05-22 | 2017-10-10 | 微梦创科网络科技(中国)有限公司 | 一种对用户登录进行风险评估的方法及装置 |
| US9798883B1 (en) * | 2014-10-06 | 2017-10-24 | Exabeam, Inc. | System, method, and computer program product for detecting and assessing security risks in a network |
| CN108304308A (zh) * | 2018-02-07 | 2018-07-20 | 平安普惠企业管理有限公司 | 用户行为监控方法、装置、计算机设备和存储介质 |
| CN108875388A (zh) * | 2018-05-31 | 2018-11-23 | 康键信息技术(深圳)有限公司 | 实时风险控制方法、装置及计算机可读存储介质 |
| CN109688166A (zh) * | 2019-02-28 | 2019-04-26 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
| CN109858737A (zh) * | 2018-12-18 | 2019-06-07 | 平安科技(深圳)有限公司 | 基于模型部署的评分模型调整方法、装置和计算机设备 |
| CN109858735A (zh) * | 2018-12-14 | 2019-06-07 | 深圳壹账通智能科技有限公司 | 用户风险评分评定方法、装置、计算机设备及存储介质 |
-
2019
- 2019-07-05 CN CN201910603389.1A patent/CN110493181B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9798883B1 (en) * | 2014-10-06 | 2017-10-24 | Exabeam, Inc. | System, method, and computer program product for detecting and assessing security risks in a network |
| CN107239680A (zh) * | 2017-05-22 | 2017-10-10 | 微梦创科网络科技(中国)有限公司 | 一种对用户登录进行风险评估的方法及装置 |
| CN108304308A (zh) * | 2018-02-07 | 2018-07-20 | 平安普惠企业管理有限公司 | 用户行为监控方法、装置、计算机设备和存储介质 |
| CN108875388A (zh) * | 2018-05-31 | 2018-11-23 | 康键信息技术(深圳)有限公司 | 实时风险控制方法、装置及计算机可读存储介质 |
| CN109858735A (zh) * | 2018-12-14 | 2019-06-07 | 深圳壹账通智能科技有限公司 | 用户风险评分评定方法、装置、计算机设备及存储介质 |
| CN109858737A (zh) * | 2018-12-18 | 2019-06-07 | 平安科技(深圳)有限公司 | 基于模型部署的评分模型调整方法、装置和计算机设备 |
| CN109688166A (zh) * | 2019-02-28 | 2019-04-26 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131235A (zh) * | 2019-12-23 | 2020-05-08 | 杭州安恒信息技术股份有限公司 | 一种业务系统的安全维护方法、装置、设备及存储介质 |
| CN111131235B (zh) * | 2019-12-23 | 2022-02-22 | 杭州安恒信息技术股份有限公司 | 一种业务系统的安全维护方法、装置、设备及存储介质 |
| CN113328978A (zh) * | 2020-02-28 | 2021-08-31 | 北京沃东天骏信息技术有限公司 | 恶意用户识别方法及装置、计算机存储介质、电子设备 |
| CN113328978B (zh) * | 2020-02-28 | 2023-06-27 | 北京沃东天骏信息技术有限公司 | 恶意用户识别方法及装置、计算机存储介质、电子设备 |
| CN112488641A (zh) * | 2020-11-19 | 2021-03-12 | 深圳市中博科创信息技术有限公司 | 用户评价数据的处理方法、终端设备及可读存储介质 |
| CN113112323A (zh) * | 2021-03-16 | 2021-07-13 | 中国平安财产保险股份有限公司 | 基于数据分析的异常订单识别方法、装置、设备及介质 |
| CN113112323B (zh) * | 2021-03-16 | 2023-06-27 | 中国平安财产保险股份有限公司 | 基于数据分析的异常订单识别方法、装置、设备及介质 |
| CN114880713A (zh) * | 2022-06-30 | 2022-08-09 | 深圳红途科技有限公司 | 基于数据链路的用户行为分析方法、装置、设备及介质 |
| CN115859345A (zh) * | 2022-11-10 | 2023-03-28 | 广州益涛网络科技有限公司 | 一种基于区块链的数据访问管理方法和系统 |
| CN115859345B (zh) * | 2022-11-10 | 2023-09-22 | 湖北华中电力科技开发有限责任公司 | 一种基于区块链的数据访问管理方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110493181B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110493181A (zh) | 用户行为检测方法、装置、计算机设备及存储介质 | |
| US10356099B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using identity services | |
| CN109816397B (zh) | 一种欺诈判别方法、装置及存储介质 | |
| CN103297435B (zh) | 一种基于web日志的异常访问行为检测方法与系统 | |
| CN109544163B (zh) | 一种用户支付行为的风险控制方法、装置、设备及介质 | |
| CN106548091A (zh) | 一种数据存证、验证的方法及装置 | |
| CN104040557B (zh) | 在线诈骗检测动态评分集合系统和方法 | |
| CN108989150A (zh) | 一种登录异常检测方法及装置 | |
| CN107067157A (zh) | 业务风险评估方法、装置及风控系统 | |
| Xie et al. | A feature extraction method for credit card fraud detection | |
| CN108229963A (zh) | 用户操作行为的风险识别方法及装置 | |
| CN107169499A (zh) | 一种风险识别方法及装置 | |
| CN107992746A (zh) | 恶意行为挖掘方法及装置 | |
| Landauer et al. | A framework for cyber threat intelligence extraction from raw log data | |
| CN107222472A (zh) | 一种Hadoop集群下的用户行为异常检测方法 | |
| US10587650B2 (en) | Communications security | |
| Huang et al. | DTD: A novel double-track approach to clone detection for RFID-enabled supply chains | |
| CN112464117A (zh) | 请求处理方法、装置、计算机设备和存储介质 | |
| CN101458751B (zh) | 一种基于人工免疫的存储异常检测方法 | |
| CN107231345A (zh) | 基于ahp的网络用户行为风险评估方法 | |
| CN110474871A (zh) | 一种异常账号检测方法、装置、计算机设备及存储介质 | |
| CN108108624A (zh) | 基于产品和服务的信息安全质量评估方法及装置 | |
| CN106850675A (zh) | 一种网络攻击行为的确定方法及装置 | |
| CN113067820A (zh) | 对异常网页和/或app进行预警的方法、装置及设备 | |
| CN109413016A (zh) | 一种基于规则的报文检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |