CN110808995B

CN110808995B - 安全防护方法和装置

Info

Publication number: CN110808995B
Application number: CN201911093999.8A
Authority: CN
Inventors: 吕博良; 程佩哲; 姜城; 牟天宇
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2019-11-08
Filing date: 2019-11-08
Publication date: 2022-12-23
Anticipated expiration: 2039-11-08
Also published as: CN110808995A

Abstract

本公开提供了一种安全防护方法，该方法包括：获取行为数据，其中行为数据为目标辅助设备响应于用户操作而产生的；基于行为数据，确定特征数据，其中特征数据用于表征目标辅助设备的行为特征；将特征数据输入预定的预测模型，得到对应的预测结果；以及基于预测结果，确定用户操作的实施主体是否机器人，以便进行安全防护。本公开还提供了一种安全防护装置、一种电子设备以及一种计算机可读存储介质。

Description

安全防护方法和装置

技术领域

本公开涉及大数据领域及安全检测领域，特别是涉及一种安全防护方法和装置。

背景技术

黑客为提高对互联网企业的攻击效率，多将攻击方法和攻击载荷编写为自动化攻击脚本，利用自动化攻击脚本(即机器人)发起对网站的攻击。防护机器人攻击的传统方式是使用验证码并根据答题结果来区别人机操作。但黑客利用OCR(Optical CharacterRecognition，光学字符识别)、计算机视觉技术或打码平台已经可以绕过传统验证码的防护，从而达到自动化攻击的目的。

发明内容

本公开实施例的一个方面提供了一种安全防护方法，包括：获取行为数据，其中所述行为数据为目标辅助设备响应于用户操作而产生的；基于所述行为数据，确定特征数据，其中所述特征数据用于表征所述目标辅助设备的行为特征；将所述特征数据输入预定的预测模型，得到对应的预测结果；以及基于所述预测结果，确定所述用户操作的实施主体是否机器人，以便进行安全防护。

可选地，所述目标辅助设备包括鼠标和键盘；所述基于所述行为数据，确定特征数据，包括：将所述行为数据分为鼠标行为数据和键盘行为数据；基于所述鼠标行为数据，确定第一特征数据，其中所述第一特征数据用于表征所述鼠标的行为特征；基于所述键盘行为数据，确定第二特征数据，其中所述第二特征数据用于表征所述键盘的行为特征；所述将所述特征数据输入预定的预测模型，得到对应的预测结果，包括：将所述第一特征数据输入第一预测模型，得到第一预测结果；以及将所述第二特征数据输入第二预测模型，得到第二预测结果。

可选地，所述基于所述鼠标行为数据，确定第一特征数据，包括：确定至少一个第一维度特征；针对每个第一维度特征，基于所述鼠标行为数据，确定至少一个第一特征值；组合所述至少一个第一特征值，得到所述第一特征数据；所述基于所述键盘行为数据，确定第二特征数据，包括：确定至少一个第二维度特征；针对每个第二维度特征，基于所述键盘行为数据，确定至少一个第二特征值；以及组合所述至少一个第二特征值，得到所述第二特征数据。

可选地，所述基于所述行为数据，确定特征数据，还包括：基于所述第一特征数据与所述第二特征数据之间的相关性，针对第一特征数据，提取第一关键特征数据；以及针对第二特征数据，提取第二关键特征数据。

可选地，所述至少一个第一维度特征包括以下特征中的一个或几个：横坐标；纵坐标；距离；角度；速度；以及加速度。

可选地，所述至少一个第二维度特征包括以下特征中的一个或几个：按键速度；以及按键频率。

可选地，所述至少一个第一特征值包括以下统计特征值中的一个或几个：最大值；最小值；极值；均值；标准差；离散系数；四分位数；四分差；偏度；以及峰度。

可选地，所述至少一个第二特征值包括以下统计特征值中的一个或几个：最大值；最小值；极值；均值；标准差；离散系数；四分位数；四分差；偏度；以及峰度。

可选地，所述目标辅助设备包括鼠标；所述基于所述行为数据，确定特征数据，包括：从所述行为数据分提取鼠标行为数据；基于所述鼠标行为数据，确定第一特征数据，其中所述第一特征数据用于表征所述鼠标的行为特征；所述将所述特征数据输入预定的预测模型，得到对应的预测结果，包括：将所述第一特征数据输入第一预测模型，得到第一预测结果。

可选地，所述目标辅助设备包括键盘；所述基于所述行为数据，确定特征数据，包括：从所述行为数据分提取键盘行为数据；基于所述键盘行为数据，确定第二特征数据，其中所述第二特征数据用于表征所述键盘的行为特征；所述将所述特征数据输入预定的预测模型，得到对应的预测结果，包括：将所述第二特征数据输入第一预测模型，得到第二预测结果。

本公开的另一个方面提供了一种安全防护装置，包括：获取行为数据，其中所述行为数据为目标辅助设备响应于用户操作而产生的；基于所述行为数据，确定特征数据，其中所述特征数据用于表征所述目标辅助设备的行为特征；将所述特征数据输入预定的预测模型，得到对应的预测结果；以及基于所述预测结果，确定所述用户操作的实施主体是否机器人，以便进行安全防护。

可选地，还包括：基于所述第一特征数据与所述第二特征数据之间的相关性，针对第一特征数据，提取第一关键特征数据；以及针对第二特征数据，提取第二关键特征数据。

本公开实施例的另一方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现本公开实施例的方法。

本公开实施例的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现本公开实施例的方法。

本公开实施例的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现本公开实施例的方法。

附图说明

为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：

图1示意性示出了根据本公开实施例的适于安全防护方法和装置的系统架构；

图2示意性示出了根据本公开实施例的安全防护方法的流程图；

图3A示意性示出了根据本公开实施例的数据清晰模块的结构图；

图3B示意性示出了根据本公开实施例的行为阻断模块的结构图；

图3C示意性示出了根据本公开实施例的数据采集模块的结构图；

图3D示意性示出了根据本公开实施例的行为分析模块的结构图；

图4示意性示出了根据本公开另一实施例的安全防护方法的流程图；

图5示意性示出了根据本公开实施例的安全防护装置的框图；以及

图6示意性示出了根据本公开实施例的电子设备的框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。

附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。

鉴于自动化攻击风险的持续升级，本公开实施例围绕自然人与自动化攻击脚本(即机器人)操作鼠标、键盘等计算机辅助设备的行为特征建立特征工程，使用机器学习模型分析行为特征，引入操作行为维度的攻击检测技术，实时区分人为操作和自动化操作，智能识别当前操作是否存在安全风险，强化对自动化攻击行为的发现和检测能力。

对此，本公开的实施例提供了一种能够检测并感知自然人与机器人的安全防护方法以及能够应用该方法的安全防护装置。该方法包括如下操作。获取行为数据，其中上述行为数据为目标辅助设备响应于用户操作而产生的。基于上述行为数据，确定特征数据，其中上述特征数据用于表征上述目标辅助设备的行为特征；将上述特征数据输入预定的预测模型，得到对应的预测结果；以及基于上述预测结果，确定上述用户操作的实施主体是否机器人，以便进行安全防护。

需要说明的是，本公开实施例的核心发明思想在于主动检测互联网访问行为的潜在威胁，利用大数据技术对操作行为进行划分，并将划分结果作为是否为机器人行为的一个主要判决条件，并据此作出告警提示或禁止访问等处理动作。

并且，本公开实施例旨在利用用户操作鼠标、键盘等计算机辅助设备的行为轨迹特征，通过机器学习模型判别用户身份或进行人机识别的行为数据分析技术，识别当前执行鼠标、键盘操作的用户是自然人还是机器人，强化机器人自动化攻击行为的检测分析能力，丰富风险控制系统，形成基于用户操作行为的事前管控、事中监控、事后分析的全流程监控方法。

具体地，在本公开实施例中，通过采集鼠标移动轨迹和点击数据、键盘击键数据，运用大数据技术生成鼠标轨迹特征与键盘击键特征，形成识别互联网风险攻击行为的有效方法，建立操作行为风险检测系统，以提升数据风险控制能力，为应对互联网攻击行为提供数据支撑和技术方法。

图1示意性示出了根据本公开实施例的适于安全防护方法和装置的系统架构。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。

如图1所示，该系统架构1包括：数据采集模块10、数据清理模块20、行为分析模块30和行为阻断模块40。

数据采集模块10和行为阻断模块40与客户端进行联动。具体地，数据采集模块10和行为阻断模块40前置于移动设备端。移动设备客户端仅需嵌入数据采集模块10，即可在不影响移动设备客户端自身功能和系统设计的情况下通过该模块获取符合标准的信息数据。

行为分析模块30与数据采集模块10、行为阻断模块40相互连接。一旦机器人访问防护系统，则可以通过行为分析模块30对行为风险进行识别，并通过行为阻断模块40对异常行为进行精准拦截，及时阻断攻击行为。

以下将参考图1并结合具体实施例对本公开进行详细阐述。

图2示意性示出了根据本公开实施例的安全防护方法的流程图。

如图2所示，该方法包括操作S210～S240。

在操作S210，获取行为数据，其中行为数据为目标辅助设备响应于用户操作而产生的。

返回参考图1，可以通过与移动设备端联动的数据采集模块10获取针对客户端的行为数据。具体地，在本公开实施例中计算机辅助设备可以鼠标、键盘中的一个或几个。对应的，用户(包括自然人和机器人)操作鼠标会产生鼠标移动轨迹和鼠标点击数据，用户操作键盘会产生键盘击键数据，等等。鼠标移动轨迹和鼠标点击数据(称为鼠标行为数据)、键盘击键数据(称为键盘行为数据)都可以作为本公开实施例的行为数据。

在操作S220，基于行为数据，确定特征数据，其中特征数据用于表征目标辅助设备的行为特征。

作为一个实施例，由操作S210获取行为数据之后，可以先对获取的行为数据进行预处理，再确定特征数据。

返回参考图1，可以通过数据清理模块20执行数据预处理操作。例如，数据清洗模块20用于清洗数据采集模块10采集的鼠标行为数据和键盘行为数据，形成标准数据并送入行为分析模块30进行判别。

参考图3A，数据清理模块20包括归一化单元201和规范化单元202。归一化单元201用于对行为数据进行归一化处理，规范化单元202用于对归一化单元201处理后的归一化行为数据进行规范化处理。

以用三元组数据(x，y，t)表示的鼠标行为数据为例，归一化单元201可以将鼠标行为数据三元组数据(x，y，t)进行归一化。具体地，将具有相同行为数据唯一标识码的鼠标移动数据(用于表征鼠标移动轨迹)和鼠标点击数据三元组(x，y，t)分到同一组，随后将分到同一组内的三元组数据按照时间t先后顺序排列，即可形成每个会话的鼠标行为序列。由于不同设备的系统时间和浏览器窗口大小设置不同，因此需要对序列中的三元组数据进行归一化处理。

对于坐标数据x、y，可以分别根据下列公式实现归一化：

其中x_norm、y_norm为归一化(又称标准化)后的鼠标横、纵坐标数据，a、b分别表示浏览器窗口的长和宽。

对于时间t，可以根据下列公式实现归一化：

t_norm＝t-t₀

其中t_norm为归一化后的时间，t₀表示第一个数据记录的时间。

继续以鼠标行为数据为例，由于不同操作行为在操作页面上的停留时间及操作步骤不同，导致鼠标行为数据三元组数据(x_norm，y_norm，t_norm)个数差异，为保证模型分析的可靠性和准确性，通过规范化单元202将归一化后的鼠标行为数据进行规范处理。具体地，可以先使用高斯混合模型(Gaussian Mixture Model，GMM)将鼠标行为三元组数据(x_norm，y_norm，t_norm)中的x_norm和y_norm进行规范化处理，聚类形成N(N≥1且N为整数)个根据实际行为数据拟合成的(x_norm1，y_norm1，t_norm)三元组，以便实现对原始三元组数据进行缩放，从而达到保证数据量纲一致性的目的。

应该理解，高斯混合模型中融合有多个单高斯模型，具有更复杂的概率密度曲线函数，可以拟合任意分布样本，形成数据拟合成的(x_norm1，y_norm1，t_norm)三元组。

以键盘行为数据为例，归一化单元201将相同行为数据唯一标识码的键盘敲击数据分到同一组，并按照时间t先后顺序排列，即可形成每个会话的键盘行为序列。由于不同设备的系统时间设置可能不同，所以需要对时间t进行归一化化。

对于时间t，可以根据下列公式实现归一化：

t_norm＝t-t₀

其中t_norm为归一化后的时间，t₀为第一个数据记录的时间。

在本公开实施例中，可以将规范化后的行为数据作为对应的特征数据。

在操作S230，将特征数据输入预定的预测模型，得到对应的预测结果。

需要说明的是，在本公开实施例中，预测模型可以是预先训练的用于针对行为数据对用户进行分类的模型。由于行为数据可以划分为不同类别的数据，因此预测模型可以包括多个，不同的预测模型用于针对不同类型的行为数据对用户进行分类。

在一个实施例中，预测模型可以包括多个。这种情况下，针对多个预测模型的多个预测结果，可以采用投票法或者权重概率法计算最终的预测结果。

以加权求和为例，可以采用线性加权求和方法进行计算。具体地，在计算最终预测结果(如行为异常度)时，可以赋予鼠标行为异常度和键盘行为异常度不同的权重，通过如下公式所示的线性组合生成最终的行为异常度。

p＝k×p_mouse+(1-k)×p_keyboard

其中，p表示最终的行为异常度，p_mouse表示鼠标行为异常度，p_keyboard表示键盘行为异常度，k表示概率权重参数。其中通过调整K值，可以动态地调节p_mouse、p_keyboard所占比例。

在操作S240，基于预测结果，确定用户操作的实施主体是否机器人，以便进行安全防护。

具体地，可以设定行为异常度范围。如果最终的预测结果落在这个行为异常度范围之内，则可以确定此时的用户行为为机器人行为。如果最终的预测结果落在这个行为异常度范围之外，则可以确定此时的用户行为为自然人行为。对于机器人行为，可以及时进行阻断。对于自然人行为，可以不做任何处理。

返回参考图1，可以通过行为阻断模块40对机器人的自动化攻击进行阻断。

参考图3B，行为阻断模块40包括消息接收单元401和干扰阻断单元402。消息接收单元401用于接收行为分析模块30的检测结果，干扰阻断单元402用于对当前的操作行为进行干扰及阻断。

消息接收单元401接收的机器人访问防护系统时行为分析模块30的检测结果包括：所检测的行为数据的唯一标识码、行为风险等级(预留字段)。

在一个实施例中，干扰阻断单元402可以向送检设备的客户端发送行为阻断数据报文，以便客户端能够阻断机器人的自动化攻击行为。其中，行为阻断数据报文的相关内容如表1所示。

表1

需要说明的是，经校验行为数据的唯一标识码为当前客户端的标识，并且根据行为风险等级，干扰阻断单元402可以采取干扰阻断措施。例如，若行为风险等级为True则对当前行为进行干预，否则不采取任何措施。

由于用户操作大多与鼠标和键盘有关，因此可以通过监控鼠标和键盘中的一种或两种来监控是否存在黑客自动化攻击行为。

方案1

同时监控鼠标和键盘，此时目标辅助设备包括鼠标和键盘。

对应地，操作S220基于行为数据确定特征数据包括如下操作。

将行为数据分为鼠标行为数据和键盘行为数据。

基于鼠标行为数据，确定第一特征数据，其中第一特征数据用于表征鼠标的行为特征。

基于键盘行为数据，确定第二特征数据，其中第二特征数据用于表征键盘的行为特征。

对应地，操作S230将特征数据输入预定的预测模型得到对应的预测结果包括如下操作。

将第一特征数据输入第一预测模型，得到第一预测结果。

将第二特征数据输入第二预测模型，得到第二预测结果。

方案2

仅监控鼠标，此时目标辅助设备仅包括鼠标。

对应地，操作S220基于行为数据确定特征数据包括如下操作。

从行为数据分提取鼠标行为数据。

对应地，操作S230将特征数据输入预定的预测模型得到对应的预测结果包括：将第一特征数据输入第一预测模型，得到第一预测结果。

方案3

仅监控键盘，此时目标辅助设备仅包括键盘。

对应地，操作S220基于行为数据确定特征数据包括如下操作。

从行为数据分提取键盘行为数据。

对应地，操作S230将特征数据输入预定的预测模型得到对应的预测结果包括：将第二特征数据输入第一预测模型，得到第二预测结果。

以下以方案1为例详细阐述操作S220和操作S230。

参考图3C，在一个实施例中，数据采集模块10包括鼠标数据采集单元101、键盘数据采集单元102和消息队列单元103。

数据采集模块10与被检测的客户端对接，被检测客户端的待检测行为数据均通过数据采集模块10接入机器人访问防护系统。

鼠标数据采集单元101用于采集针对被检测客户端的鼠标移动轨迹、鼠标目标坐标点、鼠标点击坐标点等鼠标行为数据，并将采集到的行为数据的格式标准化，以便于后续机器人访问防护系统的检测。

键盘数据采集单元102用于采集针对被检测客户端的用户键盘敲击而产生的键盘行为数据(包括键盘敲击数据)，并将采集到的行为数据的格式标准化。其中键盘敲击数据包含击键下落和击键回弹两部分数据，分别用keydown和keyup标识。需要说明的是，若键盘敲击数据涉及客户敏感信息则上送时可以进行脱敏处理(即滤除客户敏感信息)。

消息队列单元103用于生成检测序列编号，并根据当前检测客户端的时间及网络连接序号生成行为数据唯一标识码，从而保证处理实时行为数据及回传检测结果均按照行为数据唯一标识码进行一对一处理，同时能够确保并发机制行为检测的可控性。

在一个实施例中，数据采集模块10可以将行为数据通过报文的形式发送给数据清理模块20。其中，在行为数据报文中，行为风险等级为预留字段，机器人访问防护系统在行为分析模块30计算后将数据回填。行为数据报文的具体格式如表2所示。

表2

返回参考图1和图3A，数据清理模块20接收并处理来自数据采集模块10行为数据报文。具体处理方法和流程可以参考上述实施例，在此不再赘述。

行为分析模块30用于接收来自数据采集模块10(无数据清理的情况)或数据清理模块20(有数据清理的情况)的特征数据，并基于所接收的特征数据对用户行为进行分析。

参考图3D，行为分析模块30包含鼠标行为分析单元301、键盘行为分析单元302和异常行为判别单元303。

在一个实施例中，行为分析模块30用于对数据采集模块10传入机器人访问防护系统的行为数据进行鼠标行为分析、键盘行为分析及异常判别，在此主要是采用大数据技术手段利用行为数据判别当前鼠标、键盘行为是为机器人访问行为还是自然人访问行为。行为分析模块30会生成行为判别结果，并将判别结果传入行为阻断模块40，以便对机器人自动化攻击进行干预。

在一个实施例中，鼠标行为分析单元301用于从数据清理模块20中提取鼠标行为特征数据，并将该特征数据传递给异常行为判别单元303。

具体地，鼠标行为分析单元301遍历清理后的鼠标行为序列，根据各数组的横、纵坐标和时间，先计算序列中每两个相邻数组之间的距离、从一个数组指向与之相邻的下一个数组的向量与x坐标轴的角度、从一个数组移动到与之相邻的下一个数组的速度和加速度，再针对上述横坐标、纵坐标、距离、角度、速度和加速度分别计算极值、均值、标准差、偏度、峰度等统计学特征值，并由此得到如表3所示的鼠标行为特征数据。

表3

在一个实施例中，键盘行为分析单元302从数据清理模块20中提取到的键盘行为特征数据，并将该特征数据传递给异常行为判别单元303。

具体地，键盘行为分析单元302遍历规范化后的键盘行为序列，计算按键速度和按键频率的极值、均值、标准差、偏度、峰度等统计学特征值，并由此得到如表4所示的键盘行为特征数据。

表4

其中按键速度定义为下一个按键按下的时间与上一个按键松开的时间之间的时间差。按键频率定义为同一个按键按下的时间与松开的时间之间的时间差。

异常行为判别单元303利用鼠标行为分析单元301提取的鼠标行为特征数据和键盘行为分析单元302提取的键盘行为特征数据，分别判别当前的鼠标、键盘行为是否为机器人的访问行为还是自然人的访问行为。

作为一种可选的实施例，基于鼠标行为数据确定第一特征数据进一步包括如下操作。

确定至少一个第一维度特征。

需要说明的是，作为一种可选的实施例，在分析鼠标特征时，可以选取表3所示的横坐标、纵坐标、距离、角度、速度和加速度等特征中的一个或几个作为本公开实施例中的第一维度特征。

针对每个第一维度特征，基于鼠标行为数据，确定至少一个第一特征值。

例如，在第一维度特征包括横坐标时，可以计算如表3所示的横坐标的极值、均值、标准差、偏度、峰度等统计学特征值中的一个或者多个作为本公开实施例的第一特征值。

组合至少一个第一特征值，得到第一特征数据。

具体地，可以按照预先设置的特征及特征值排列顺序，构造相应的特征向量作为本公开实施例的第一特征数据。

同样，基于键盘行为数据确定第二特征数据包括如下操作。

确定至少一个第二维度特征。

需要说明的是，作为一种可选的实施例，在分析键盘特征时，可以选取表4所示的按键速度和按键频率等特征中的一个或两个作为本公开实施例中的第二维度特征。

针对每个第二维度特征，基于键盘行为数据，确定至少一个第二特征值。

例如，在第二维度特征包括按键速度时，可以计算如表4所示的按键速度中的最大值、最小值、极值、均值、标准差、离散系数、四分位数、四分差、偏度、峰度等统计学特征值中的一个或者多个作为本公开实施例的第二特征值。

组合至少一个第二特征值，得到第二特征数据。

该操作与组合至少一个第一特征值得到第一特征数据相同或者类似，在此不再赘述。

由于按照上述实施例提供的方法可能会导致特征维度太多，进而导致计算量太大，因此还可以通过筛选一部分特征数据来对特征数据进行压缩。作为一种可选的实施例，该方法还包括如下操作。

基于第一特征数据与第二特征数据之间的相关性，针对第一特征数据，提取第一关键特征数据。

基于第一特征数据与第二特征数据之间的相关性，针对第二特征数据，提取第二关键特征数据。

返回参考图3D，由于鼠标行为分析单元301和键盘行为分析单元302计算得到的某些特征可能存在一定的相关性，在异常判别过程中可能造成重复计算，因此可以先采用相关系数法和PCA(Principal Component Analysis，主成分分析)降维方法对特征数据进行聚合提取，得到鼠标关键特征数据和键盘关键特征数据。随后，分别将鼠标关键特征数据和键盘关键特征数据传入梯度下降树算法(GBDT)算法模型，以便计算鼠标行为异常度和键盘行为异常度。

以下参考图4并结合具体实施例详细阐述本公开。

作为一个实施例，机器人访问防护系统的检测逻辑判别流程如图4所示。

在操作S410，机器人访问防护系统通过数据采集模块10采集待检测客户端鼠标、键盘行为数据，生成行为数据唯一标识码。

在操作S420，对采集到的鼠标、键盘行为数据进行归一化和规范化处理。其中使用浏览器分辨率对数据坐标进行归一化，去除浏览器差异引起的噪声。利用高斯混合模型将坐标数据规范化，确保拟合数据在不丢失原始数据信息的前提下规范化数据样本大小。

在操作S430，在时域、频域、偏射角度、加速度、速度、平均按键频率、按键持续时间等多维度建立鼠标、键盘数据特征工程。

在操作S440，利用鼠标行为判别模型判别鼠标轨迹、点击等特征，输出概率值。

在操作S450，利用键盘行为判别模型判别键盘频次、点击间隔等特征，输出概率值。

在操作S460，利用权重表达式或投票方式根据鼠标行为判别模型结果及键盘行为判别结果判别本次访问是否是机器人访问。若是机器人访问则执行操作S480，若否则执行操作S470；

在操作S470，该次访问行为为自然人访问行为，行为风险等级(预留)字段置False，可以正常访问业务。

在操作S480，该次访问行为为机器人访问行为，行为风险等级(预留)字段置Ture，需要提示行为风险并对访问进行阻断。

图5示意性示出了根据本公开实施例的安全防护装置的框图。

如图5所示，该安全防护装置500包括获取模块501、第一确定模块502、预测模块503和第二确定模块504。该安全防护装置可以执行上面参考方法实施例部分描述的方法，在此不再赘述。

具体地，获取模块501，用于获取行为数据，其中行为数据为目标辅助设备响应于用户操作而产生的。

第一确定模块502，用于基于行为数据，确定特征数据，其中特征数据用于表征目标辅助设备的行为特征。

预测模块503，用于将特征数据输入预定的预测模型，得到对应的预测结果。

第二确定模块504，用于基于预测结果，确定用户操作的实施主体是否机器人，以便进行安全防护。

作为一种可选的实施例，目标辅助设备包括鼠标和键盘。对应地，第一确定模块包括：分类单元、第一确定单元和第二确定单元；预测模块包括：第一预测单元和第二预测单元。

具体地，分类单元，用于将行为数据分为鼠标行为数据和键盘行为数据。

第一确定单元，用于基于鼠标行为数据，确定第一特征数据，其中第一特征数据用于表征鼠标的行为特征。

第二确定单元，用于基于键盘行为数据，确定第二特征数据，其中第二特征数据用于表征键盘的行为特征。

第一预测单元，用于将第一特征数据输入第一预测模型，得到第一预测结果。

第二预测单元，用于将第二特征数据输入第二预测模型，得到第二预测结果。

作为一种可选的实施例，第一确定单元包括：第一确定子单元、第二确定子单元和第一组合子单元；第二确定单元包括：第三确定子单元、第四确定子单元和第二组合子单元。

具体地，第一确定子单元，用于确定至少一个第一维度特征。

第二确定子单元，用于针对每个第一维度特征，基于鼠标行为数据，确定至少一个第一特征值。

第一组合子单元，用于组合至少一个第一特征值，得到第一特征数据。

第三确定子单元，用于确定至少一个第二维度特征。

第四确定子单元，用于针对每个第二维度特征，基于键盘行为数据，确定至少一个第二特征值。

第二组合子单元，用于组合至少一个第二特征值，得到第二特征数据。

作为一种可选的实施例，第一确定模块还包括：第一提取单元和第二提取单元。

具体地，第一提取单元，用于基于第一特征数据与第二特征数据之间的相关性，并针对第一特征数据，提取第一关键特征数据。

第一提取单元，用于基于第一特征数据与第二特征数据之间的相关性，并针对第二特征数据，提取第二关键特征数据。

作为一种可选的实施例，至少一个第一维度特征包括以下特征中的一个或几个：横坐标；纵坐标；距离；角度；速度；以及加速度。

作为一种可选的实施例，至少一个第二维度特征包括以下特征中的一个或几个：按键速度；以及按键频率。

作为一种可选的实施例，至少一个第一特征值包括以下统计特征值中的一个或几个：最大值；最小值；极值；均值；标准差；离散系数；四分位数；四分差；偏度；以及峰度。

作为一种可选的实施例，目标辅助设备包括鼠标。对应地，第一确定模块包括：第三提取单元和第三确定单元。

具体地，第三提取单元，用于从行为数据分提取鼠标行为数据。

第三确定单元，用于基于鼠标行为数据，确定第一特征数据，其中第一特征数据用于表征鼠标的行为特征。

对应地，预测模块还用于：将第一特征数据输入第一预测模型，得到第一预测结果。

作为一种可选的实施例，目标辅助设备包括键盘。对应地，第一确定模块包括：第四提取单元和第四确定单元。

具体地，第四提取单元，用于从行为数据分提取键盘行为数据。

具体地，第四确定单元，用于基于键盘行为数据，确定第二特征数据，其中第二特征数据用于表征键盘的行为特征。

对应地，预测模块还用于：将第二特征数据输入第一预测模型，得到第二预测结果。

需要说明的是，装置部分的实施例方式与方法部分的实施例方式对应类似，并且所达到的技术效果也对应类似，在此不再赘述。

根据本公开的实施例的模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

例如，获取模块501、第一确定模块502、预测模块503和第二确定模块504中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，获取模块501、第一确定模块502、预测模块503和第二确定模块504中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，获取模块501、第一确定模块502、预测模块503和第二确定模块504中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图6示意性示出了根据本公开实施例的电子设备的框图。图6示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图6所示，电子设备600包括处理器610、计算机可读存储介质620。该电子设备600可以执行根据本公开实施例的方法。

具体地，处理器610例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))，等等。处理器610还可以包括用于缓存用途的板载存储器。处理器610可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

计算机可读存储介质620，例如可以是非易失性的计算机可读存储介质，具体示例包括但不限于：磁存储装置，如磁带或硬盘(HDD)；光存储装置，如光盘(CD-ROM)；存储器，如随机存取存储器(RAM)或闪存；等等。

计算机可读存储介质620可以包括计算机程序621，该计算机程序621可以包括代码/计算机可执行指令，其在由处理器610执行时使得处理器610执行根据本公开实施例的方法或其任何变形。

计算机程序621可被配置为具有例如包括计算机程序模块的计算机程序代码。例如，在示例实施例中，计算机程序621中的代码可以包括一个或多个程序模块，例如包括621A、模块621B、……。应当注意，模块的划分方式和个数并不是固定的，本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合，当这些程序模块组合被处理器610执行时，使得处理器610可以执行根据本公开实施例的方法或其任何变形。

根据本公开的实施例，获取模块501、第一确定模块502、预测模块503和第二确定模块504中的至少一个可以实现为参考图6描述的计算机程序模块，其在被处理器610执行时，可以实现上面描述的相应操作。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时电可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，尽管已经参照本公开的特定示例性实施例示出并描述了本公开，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下，可以对本公开进行形式和细节上的多种改变。因此，本公开的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。

Claims

1.一种安全防护方法，包括：

获取行为数据，其中所述行为数据为目标辅助设备响应于用户操作而产生的，所述目标辅助设备包括鼠标和键盘，所述行为数据分为鼠标行为数据和键盘行为数据，其中，所述行为数据以报文形式进行传递，所述行为数据包括行为数据唯一标识码，所述行为数据唯一标识码用于并发机制下的行为检测；

基于所述行为数据，获得预处理后的规范化行为数据，其中所述预处理包括对所述行为数据进行归一化处理和规范化处理；

其中，所述归一化处理包括：

将具有相同行为数据唯一标识码的行为数据分到同一组，随后将分到同一组内的行为数据按照时间t先后顺序排列，得到每个会话的行为序列，其中，鼠标行为数据包括三元组数据(x，y，t)；

对于坐标数据x、y可以分别根据下列公式实现归一化：

其中x_norm、y_norm为归一化后的鼠标横、纵坐标数据，a、b分别表示浏览器窗口的长和宽；

对于时间t，可以根据下列公式实现归一化：

t_norm＝t-t₀

其中t_norm为归一化后的时间，t₀表示第一个数据记录的时间；

其中，所述规范化处理包括使用高斯混合模型将所述x_norm、y_norm进行规范化处理，聚类形成N(N≥1且N为整数)个根据实际行为数据拟合成的(x_norm1，y_norm1，t_norm)三元组，所述高斯混合模型中融合有多个单高斯模型，具有更复杂的概率密度曲线函数；

基于所述规范化行为数据，确定特征数据；

采用相关系数法和主成分分析降维方法聚合提取所述特征数据，获得降维特征数据，其中所述特征数据用于表征所述目标辅助设备的行为特征；

将所述降维特征数据输入预定的预测模型，得到对应的预测结果，其中，所述预定的预测模型包括第一预测模型和第二预测模型，所述第一预测模型用于确定与鼠标行为数据对应的第一预测结果，所述第二预测模型用于确定与键盘行为数据对应的第二预测结果；

基于所述第一预测结果和所述第二预测结果，采用投票法或者权重概率法计算最终的预测结果；以及

基于所述最终的预测结果，确定所述用户操作的实施主体是否机器人，以便进行安全防护；

所述权重概率法包括加权求和，赋予鼠标行为异常度和键盘行为异常度不同的权重，通过如下公式所示的线性组合生成最终的行为异常度：

p＝k×p_mouse+(1-k)×p_keyboard

其中，p表示最终的行为异常度，p_mouse表示鼠标行为异常度，p_keyboard表示键盘行为异常度，k表示概率权重参数，通过调整K值，可以动态地调节p_mouse、p_keyboard所占比例。

2.根据权利要求1所述的方法，其中，所述规范化行为数据包括规范化后的鼠标行为数据和规范化后的键盘行为数据；所述降维特征数据包括降维后的第一特征数据和降维后的第二特征数据；

所述基于所述规范化行为数据，确定特征数据，包括：

基于所述规范化后的鼠标行为数据，确定第一特征数据，

其中所述第一特征数据用于表征所述鼠标的行为特征；

基于所述规范化后的键盘行为数据，确定第二特征数据，

其中所述第二特征数据用于表征所述键盘的行为特征；

所述将所述降维特征数据输入预定的预测模型，得到对应的预测结果，包括：

将所述降维后的第一特征数据输入第一预测模型，得到第一预测结果；以及

将所述降维后的第二特征数据输入第二预测模型，得到第二预测结果。

3.根据权利要求2所述的方法，其中，

所述基于所述规范化后的鼠标行为数据，确定第一特征数据，包括：

确定至少一个第一维度特征；

针对每个第一维度特征，基于所述规范化后的鼠标行为数据，确定至少一个第一特征值；

组合所述至少一个第一特征值，得到所述第一特征数据；

所述基于所述规范化后的键盘行为数据，确定第二特征数据，包括：

确定至少一个第二维度特征；

针对每个第二维度特征，基于所述规范化后的键盘行为数据，确定至少一个第二特征值；以及

组合所述至少一个第二特征值，得到所述第二特征数据。

4.根据权利要求2或3所述的方法，其中，还包括：基于所述第一特征数据与所述第二特征数据之间的相关性，

针对第一特征数据，提取第一关键特征数据；以及

针对第二特征数据，提取第二关键特征数据。

5.根据权利要求3所述的方法，其中，所述至少一个第一维度特征包括以下特征中的一个或几个：

横坐标；

纵坐标；

距离；

角度；

速度；以及

加速度。

6.根据权利要求3所述的方法，其中，所述至少一个第二维度特征包括以下特征中的一个或几个：

按键速度；以及

按键频率。

7.根据权利要求3所述的方法，其中，所述至少一个第一特征值包括以下统计特征值中的一个或几个：

最大值；

最小值；

极值；

均值；

标准差；

离散系数；

四分位数；

四分差；

偏度；以及

峰度。

8.一种安全防护装置，包括：

获取模块，用于获取行为数据，其中所述行为数据为目标辅助设备响应于用户操作而产生的，所述目标辅助设备包括鼠标和键盘，所述行为数据分为鼠标行为数据和键盘行为数据，其中，所述行为数据以报文形式进行传递，所述行为数据包括行为数据唯一标识码，所述行为数据唯一标识码用于并发机制下的行为检测；

第一确定模块，用于基于所述行为数据，获得预处理后的规范化行为数据，其中所述预处理包括对所述行为数据进行归一化处理和规范化处理；

其中，所述归一化处理包括：

将具有相同行为数据唯一标识码的行为数据分到同一组，随后将分到同一组内的行为数据按照时间t先后顺序排列，得到每个会话的行为序列，其中，鼠标行为数据包括三元组数据(x，y，

t)；

对于坐标数据x、y可以分别根据下列公式实现归一化：

对于时间t，可以根据下列公式实现归一化：

t_norm＝t-t₀

基于所述规范化行为数据，确定特征数据；

预测模块，用于将所述降维特征数据输入预定的预测模型，得到对应的预测结果，其中，所述预定的预测模型包括第一预测模型和第二预测模型，所述第一预测模型用于确定与鼠标行为数据对应的第一预测结果，所述第二预测模型用于确定与键盘行为数据对应的第二预测结果；

第二确定模块，用于基于所述最终的预测结果，确定所述用户操作的实施主体是否机器人，以便进行安全防护；

p＝k×p_mouse+(1-k)×p_keyboard

9.一种电子设备，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至7中任一项所述的方法。

10.一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现权利要求1至7中任一项所述的方法。