CN110830445A - 一种异常访问对象的识别方法及设备 - Google Patents
一种异常访问对象的识别方法及设备 Download PDFInfo
- Publication number
- CN110830445A CN110830445A CN201910974775.1A CN201910974775A CN110830445A CN 110830445 A CN110830445 A CN 110830445A CN 201910974775 A CN201910974775 A CN 201910974775A CN 110830445 A CN110830445 A CN 110830445A
- Authority
- CN
- China
- Prior art keywords
- access
- abnormal
- type
- candidate
- simulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明适用于互联网技术领域,提供了一种异常访问对象的识别方法及设备,包括:获取待识别的候选对象关于非敏感数据的访问记录;访问记录包括访问时间;基于各个访问记录的访问时间,构建候选对象的访问次数变化曲线,并根据访问次数变化曲线输出候选对象的访问特征参量;将访问特征参量导入到预设的用户类型分类模型,输出候选对象的对象类型;若候选对象的对象类型为异常访问类型,则识别候选对象为异常访问对象,并停止响应异常访问对象的访问请求。本发明在通过获取非敏感数据的访问记录,确定候选对象对于非敏感数据的访问规律,从而判断得到候选对象是否为异常访问对象,提高了异常访问对象识别的抗干扰性,从而降低了用户信息泄露的风险。
Description
技术领域
本发明属于数据处理技术领域,尤其涉及一种异常访问对象的识别方法及设备。
背景技术
随着各种各样文件通过电子化转换成电子文档,用户信息可以通过电子文档存储在云端服务器,并在接收到对应的访问请求时从云端服务器处提取用户信息,在用户办理各种业务时,能够更加便捷地进行信息查询以及身份认证等操作,提高了业务办理的效率。然而由于数据存储在云端服务器,则会增加用户信息泄露的风险,特别不法分子可以通过伪装为正常的用户,向云端服务器发起访问需求,通过云端服务器返回的业务处理结果盗取用户信息,增加了用户信息泄露的风险。
现有的异常访问对象的识别方法,主要在检测到账户或设备对敏感数据,即包含有用户信息的数据,进行访问时,获取该访问账户的访问规律,并对该访问规律进行合法性检测,从而能够检测该账户是否为属于非法分子的异常账户。然而现有的不法分子为了提高盗取操作的隐蔽性,在发起包含对敏感数据的访问请求同时,往往会引入大量对非敏感文件访问操作,从而能够降低对于敏感文件操作请求的密度,而现有方式对于该类型的操作则会误判为正常用户的访问操作,从而提高了用户信息泄露的风险,由此可见当前的异常访问对象的识别方法的抗干扰性较差。
发明内容
有鉴于此,本发明实施例提供了一种异常访问对象的识别方法及设备,以解决异常访问对象的识别响应技术,对于引入大量对非敏感文件访问操作的异常访问对象会误判为正常用户的访问操作,从而提高了用户信息泄露的风险,抗干扰性较差的问题。
本发明实施例的第一方面提供了一种异常访问对象的识别方法,包括:
获取待识别的候选对象关于非敏感数据的访问记录;所述访问记录包括访问时间;
基于各个所述访问记录的访问时间,构建所述候选对象的访问次数变化曲线,并根据所述访问次数变化曲线输出所述候选对象的访问特征参量;
将所述访问特征参量导入到预设的用户类型分类模型,输出所述候选对象的对象类型;
若所述候选对象的所述对象类型为异常访问类型,则识别所述候选对象为异常访问对象,并停止响应所述异常访问对象的访问请求。
本发明实施例的第二方面提供了一种异常访问对象的识别设备,包括:
访问记录获取单元,用于获取待识别的候选对象关于非敏感数据的访问记录;所述访问记录包括访问时间;
访问特征参量输出单元,用于基于各个所述访问记录的访问时间,构建所述候选对象的访问次数变化曲线,并根据所述访问次数变化曲线输出所述候选对象的访问特征参量;
对象类型识别单元,用于将所述访问特征参量导入到预设的用户类型分类模型,输出所述候选对象的对象类型;
异常访问对象响应单元,用于若所述候选对象的所述对象类型为异常访问类型,则识别所述候选对象为异常访问对象,并停止响应所述异常访问对象的访问请求。
本发明实施例的第三方面提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现第一方面的各个步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现第一方面的各个步骤。
实施本发明实施例提供的一种异常访问对象的识别方法及设备具有以下有益效果:
本发明实施例通过获取待识别的候选对象对于非敏感数据的访问记录,并根据各个访问记录中记载的访问时间,构建该候选对象的访问次数变化曲线,从而输出对应的访问特征参量,通过访问特征参量可以确定该候选对象对于非敏感数据的访问规律,继而将访问特征参量导入到预设的用户类型分类模型中,确定该候选对象的对象类型,若检测到该候选对象的对象类型为异常访问类型,即表示基于访问特征参量确定的关于候选对象的访问规律与异常用户的访问规律相似,此时会将候选对象判定为异常访问对象,并限制该候选对象的访问权限,停止响应该异常访问对象发送的所有访问请求,实现了对异常访问对象的自动识别。与现有的异常对象的识别技术相比,本发明通过获取非敏感数据的访问记录,确定候选对象对于非敏感数据的访问规律,从而判断得到候选对象是否为异常访问对象,避免异常访问对象通过引入大量对于非敏感数据的访问操作而降低对于敏感数据的访问密度,无法对该类型的异常访问对象进行识别,提高了异常访问对象识别的抗干扰性,从而降低了用户信息泄露的风险。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一实施例提供的一种异常访问对象的识别方法的实现流程图;
图2是本发明第二实施例提供的一种异常访问对象的识别方法具体实现流程图;
图3是本发明第三实施例提供的一种异常访问对象的识别方法S102具体实现流程图;
图4是本发明第四实施例提供的一种异常访问对象的识别方法具体实现流程图;
图5是本发明第五实施例提供的一种异常访问对象的识别方法具体实现流程图;
图6是本发明一实施例提供的一种异常访问对象的识别设备的结构框图;
图7是本发明另一实施例提供的一种终端设备的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例通过获取待识别的候选对象对于非敏感数据的访问记录,并根据各个访问记录中记载的访问时间,构建该候选对象的访问次数变化曲线,从而输出对应的访问特征参量,通过访问特征参量可以确定该候选对象对于非敏感数据的访问规律,继而将访问特征参量导入到预设的用户类型分类模型中,确定该候选对象的对象类型,若检测到该候选对象的对象类型为异常访问类型,即表示基于访问特征参量确定的关于候选对象的访问规律与异常用户的访问规律相似,此时会将候选对象判定为异常访问对象,并限制该候选对象的访问权限,停止响应该异常访问对象发送的所有访问请求,实现了对异常访问对象的自动识别,解决了现有的异常访问对象的识别响应技术,对于引入大量对非敏感文件访问操作的异常访问对象会误判为正常用户的访问操作,从而提高了用户信息泄露的风险,抗干扰性较差的问题。
在本发明实施例中,流程的执行主体为终端设备。该终端设备包括但不限于:服务器、计算机、智能手机以及平板电脑等能够执行任务请求响应操作的设备。图1示出了本发明第一实施例提供的异常访问对象的识别方法的实现流程图,详述如下:
在S101中,获取待识别的候选对象关于非敏感数据的访问记录;所述访问记录包括访问时间。
在本实施例中,终端设备可以为存储有用户信息的数据服务器,对本地数据进行访问的各个对象的进行异常对象识别,若检测到某一对象为异常访问对象,则可以通过添加黑名单的方式来屏蔽该对象发送的所有访问请求。可选地,终端设备还可以为第三方的访问行为监控设备,对至少一个用于存储用户信息的数据服务器进行访问行为的监控操作。在该情况下,管理员可以通过手动设置的方式来输入数据服务器的设备标识,该设备标识可以为网络地址以及用于进行访问行为监控的数据接口,优选地,该数据接口可以为用于接收各个对象发送的访问请求的数据接口。终端设备可以在该数据接口处配置有数据反馈脚本,当数据接口获取到对象发送的数据包后,可以对该数据包进行解析,判断该数据包是否为访问请求类型的数据包,若是,则生成该数据包对应的访问记录,并反馈给终端设备,以便终端设备基于所述访问请求检测发送请求的对象是否为异常访问对象。管理员可以配置有监控列表,将各个需要进行异常访问识别监控的数据服务器添加到监控列表内,终端设备可以以预设的监控周期对各个数据服务器关联的候选对象进行异常识别。可选地,终端设备可以根据不同数据服务器的数据类型,配置对应的监控周期,例如将监控周期设置于数据服务器的闲时时段,此时数据服务器接收的用户请求的量较少,可以分配资源提取访问记录以及将访问记录发送给终端设备。闲时时段可以根据数据服务器的历史响应记录进行确定。
在本实施例中,候选对象具体指的是向包含有用户信息的数据服务器发送访问请求的对象。候选对象若基于对象类型进行划分可以划分为:账户类型对象、网络地址类型对象、集团类型对象以及设备类型对象等。其中,账户类型对象具体为通过同一账户对数据服务器发起访问请求,在该情况下,不同的用户可以通过同一账户信息在不同的网络地址、设备上进行登录操作,即账户类型对象可以关联有多个网络地址或设备标识。而网络地址类型的候选对象,具体指的是该对象发送的访问请求需要使用与数据服务器关联的客户端,且该客户端已绑定了某一固定的网络地址,无法在其他网络地址上进行登录,同样滴,对于设备类型对象也可以绑定了某一设备的硬件标识,无法在其他设备上进行登录以及发起访问请求。而对于集团类型对象,可以关联有多个子账户,子账户可以根据用户的实际需求自行创建,而各个子账户均隶属于该集团类型的候选账户。因此,若检测到某一候选对象为异常访问对象,且该异常访问对象的对象类型为账户类型,则将其关联的网络地址以及设备标识均识别为异常数据源,不对关联的网络地址以及关联的设备标识发送的访问请求进行响应,实现批量异常识别。
在本实施例中,访问记录包括有访问时间、访问内容以及对象标识,其中,访问时间具体指的是候选对象对数据服务器发起访问操作时对应的时间信息。终端设备可以根据各个访问记录包含的对象标识,提取候选对象向数据服务器发起的多个候选记录,并检测各个候选记录的访问内容是否包含有敏感数据,若该候选记录不包含敏感数据,则识别该候选记录为目标的访问记录。
在S102中,基于各个所述访问记录的访问时间,构建所述候选对象的访问次数变化曲线,并根据所述访问次数变化曲线输出所述候选对象的访问特征参量。
在本实施例中,终端设备可以在预设的坐标系内构件访问次数变化曲线,以时间维度作为坐标系的横轴,以访问次数作为坐标系的纵轴。终端设备根据各个访问记录的访问时间,统计各个预设时间点关联的访问记录的个数,确定该时间点在坐标系内上的坐标点。例如,该预设时间点为12点,即将访问时间在11:30至12:30内的访问记录,识别为该预设时间点的访问记录,统计该时间段内包含的访问记录的个数,即为候选对象在该时间点对应的访问次数。当然,具体时间段的时长长度,与各个预设时间点之间的距离相关。
在本实施例中,终端设备在确定了坐标系上各个时间点对应的访问次数后,可以依次连接各个坐标点,生成候选对象的访问次数变化曲线。由于各个坐标点是离散分布,终端设备可以通过预设线性拟合的方式,连接不同时间点所对应的坐标点,从而构成一条连续的访问次数变化曲线。终端设备可以从访问次数变化曲线提取候选对象的访问特征参量,上述访问特征参量包括但不限于:访问变化率、一天的访问总数、每半小时访问量、平均半小时的访问量、访问标准差。若该访问记录还包含有访问时长,还可以计算出该候选对象的平均访问时长以及访问时长的标准差。通过从访问次数变化曲线提取的访问特征参量,可以确定该候选对象的访问习惯,从而判断该候选对象的对象类型。需要说明的是,该访问特征参量可以包含一个特征值,也可以包含由多个不同特征值构成的序列,在该情况下,该序列中不同位置的元素对应固定的参量类型,若某一参量类型无法通过访问次数变化曲线提取得到,则可以填入预设无效字符。
可选地,该访问特征参量可以为访问变化率,在该情况下,终端设备可以对各个坐标点进行微分操作,并将微分后的数值识别为该坐标点的访问变化率。终端设备可以检测在不同日期相同时间点中的访问变化率,计算得到该时间点对应的平均访问变化率。由于用户的对于数据的访问具有一定的时间倾向,即用户往往会在特定的时间段内对数据进行访问,例如在晚上8点或者9点,用户的活跃程度较高,而在晚上7点,用户的活跃程度较低,因此8点这一时刻的访问变化率较大,若某一对象在8点时刻的访问变化率或平均访问变化率的数值较大,则可以识别该对象与正常用户的访问习惯一直,可以识别该对象为正常对象。通过检测访问变化率,可以减少访问量的影响,提高了识别的准确性。
在S103中,将所述访问特征参量导入到预设的用户类型分类模型,输出所述候选对象的对象类型。
在本实施例中,终端设备可以将提取得到的访问特征参量导入到用户类型分类模型内,该用户类型分类模型可以包含不同对象类型关联的标准特征参量,终端设备分别计算候选对象的访问特征参量与各个候选对象类型的标准特征参量之间的差异度,选取差异度最小的一个候选类型作为候选对象的对象类型。具体地,该对象类型至少包括异常访问类型以及正常访问类型,优选地,对象类型还可以包括:风险访问类型、
可选地,在本实施例中,终端设备可以为不同的对象类型配置有访问特征参量的取值范围,终端设备可以判断当前识别得到的访问特征参量所处的取值范围,并将该取值范围对应对象类型作为候选对象的对象类型。若该访问特征参量包含有多个,则可以为不同的访问特征参量配置对应的匹配权重,基于匹配的参数项以及该参数项对应的匹配权重,计算关于对象类型的匹配度,将匹配度最高的一个对象类型作为候选对象的对象类型。
在S104中,若所述候选对象的所述对象类型为异常访问类型,则识别所述候选对象为异常访问对象,并停止响应所述异常访问对象的访问请求。
在本实施例中,若终端设备检测到该候选对象的对象类型为异常访问类型,即该对象在对非敏感数据访问的目的,并非用于查询数据,而是用于稀释对应敏感数据的访问密度,此时可以将该候选对象识别为异常访问对象,并将候选对象添加到黑名单内,终端设备若接收到黑名单内的任一异常访问对象发送的访问请求,则会将该访问请求丢弃,并返回访问无效信息。
可选地,在本实施例中,终端设备若检测到某一候选对象的对象类型为异常访问类型,还可以获取候选对象对于敏感数据的访问记录,若该候选对象对于敏感数据的访问记录的个数少于预设的个数阈值,则可以将该候选对象识别为风险对象,并在风险对象对于敏感数据的访问记录在预设时间段内的访问次数大于预设的次数阈值时,将风险对象识别为异常访问对象。
在本实施例中,以上可以看出,本发明实施例提供的一种异常访问对象的识别方法通过获取待识别的候选对象对于非敏感数据的访问记录,并根据各个访问记录中记载的访问时间,构建该候选对象的访问次数变化曲线,从而输出对应的访问特征参量,通过访问特征参量可以确定该候选对象对于非敏感数据的访问规律,继而将访问特征参量导入到预设的用户类型分类模型中,确定该候选对象的对象类型,若检测到该候选对象的对象类型为异常访问类型,即表示基于访问特征参量确定的关于候选对象的访问规律与异常用户的访问规律相似,此时会将候选对象判定为异常访问对象,并限制该候选对象的访问权限,停止响应该异常访问对象发送的所有访问请求,实现了对异常访问对象的自动识别。与现有的异常对象的识别技术相比,本发明通过获取非敏感数据的访问记录,确定候选对象对于非敏感数据的访问规律,从而判断得到候选对象是否为异常访问对象,避免异常访问对象通过引入大量对于非敏感数据的访问操作而降低对于敏感数据的访问密度,无法对该类型的异常访问对象进行识别,提高了异常访问对象识别的抗干扰性,从而降低了用户信息泄露的风险。
图2示出了本发明第二实施例提供的一种异常访问对象的识别方法的具体实现流程图。参见图2,相对于图1所述实施例,本实施例提供的一种异常访问对象的识别方法还包括:S201~S204,具体详述如下:
进一步地,在所述将所述访问特征参量导入到预设的用户类型分类模型,输出所述候选对象的对象类型之前,还包括:
在S201中,通过异常操作模拟算法构建多个异常模拟脚本,并为每个所述异常模拟脚本配置异常模拟对象。
在本实施例中,终端设备在使用用户类型分类模型之前,需要对该用户类型分类模型进行训练学习,通过引入神经网络学习算法提高分类模型识别的准确性。基于此,终端设备将属于合法对象的访问记录以及非法对象的访问记录导入到待调整的用户类型分类模型,通过多个样本数据确定合法对象以及非法对象的访问规律。
在本实施例中,终端设备除了可以通过已识别得到的异常访问对象的访问记录生成异常特征参量外,还可以通过异常操作模拟算法,模拟异常访问对象的操作行为,生成对应的异常模拟脚本。该异常模拟脚本可以包含有对数据服务器执行访问的多个时间节点,以及每个时间节点对应的访问内容、访问次数以及访问时间。具体地,该访问内容可以包括有对于敏感数据的访问请求以及对于非敏感数据的访问请求。
在本实施例中,终端设备可以创建多个异常模拟对象,并为每个异常模拟对象配置一个异常模拟脚本,即将上述的异常模拟对象作为执行该异常模拟脚本的主体向数据服务器发起访问操作。
在S202中,基于各个所述异常模拟脚本对所述非敏感数据执行模拟访问操作,得到所述异常模拟对象的多个异常记录样本,并根据所述非法模拟记录输出所述异常模拟对象的异常特征参量。
在本实施例中,终端设备可以创建多个虚拟机,在每个虚拟机登录上述异常模拟对象,并执行该异常模拟对象配置异常模拟脚本,向数据服务器执行关于非敏感数据的访问操作。可选地,若终端设备下联有多个分布式用户终端,则可以将各个异常模拟脚本发送给各个分布式用户终端,并在分布式用户终端上登录对应的异常模拟对象,向数据服务器发送模拟访问操作。需要强调的是,为了避免模拟访问操作占用过多数据服务器的硬件资源,可以在模拟访问请求上添加有模拟标识,数据服务器若检测到访问请求包含有模拟标识,则生成关于该访问请求的访问记录,而并不应答该访问记录,也不返回访问结果,从而能够减少模拟操作对于实际访问请求的影响。
在本实施例中,通过异常模拟对象向数据服务器发起访问请求后,会生成一个访问记录,即上述的异常记录样本,终端设备可以通过访问特征参量提取算法,通过多个异常记录样本输出异常模拟对象的异常特征参量,具体生成异常特征参量的方式可以参见S102的操作,在此不再赘述。
在S203中,根据用户数据库内合法对象的合法访问记录,输出所述合法对象的合法特征参量。
在本实施例中,终端设备可以配置有诚信用户列表,该诚信用户列表内各个对象可以识别为合法对象。基于各个合法对象的对象标识,从用户数据库中提取包含有合法对象标识的访问记录,识别为合法访问记录。需要说明的是,各个合法访问记录同样包含访问时间,因此可以通过合法访问记录构建合法访问变化曲线,并基于该合法访问变化曲线输出合法特征参量。具体实现方式可以参见S102的操作,在此不再赘述。
在S204中,将多个所述异常特征参量以及所述合法特征参量分别输入到待学习的用户类型分类模型,对所述用户类型分类模型进行训练学习。
在本实施例中,终端设备可以将获取得到异常特征参量以及合法特征参量分别输入到待学习的用户类型分类模型,并获取用户类型分类模型对于上述各个特征参量输出的对象类型,判断该对象类型与特征参量关联的用户类型是否一致,例如,异常特征参量导入到用户类型分类模型,输出的对象类型应该为异常访问类型;而对于合法特征参量导入到用户类型分类模型,输出的对象类型应该为正常访问类型。终端设备可以通过调整用户类型分类模型内的学习参数,以使该用户类型分类模型的损失率减少。终端设备除了监控用户类型分类模型的损失率外,还需要监控整个用户类型分类模型的模型熵值,从而提高该模型的鲁棒性。
在S205中,若检测到所述用户类型分类模型对应的模型熵值大于预设的有效阈值,则识别所述用户类型分类模型已调整完毕;所述模型熵值计算算法为:
其中,H为所述模型熵值;M为所述用户类型分类模型可识别的对象类型的个数;N为所述异常模拟对象与所述合法对象的总数;Px(i)为第i个所述异常模拟对象或所述合法对象为第x类对象类型的概率。
在本实施例中,终端设备在检测到用户类型分类模型的损失率小于预设的预设的损失阈值时,可以计算该用户类型分类模型对应模型熵值,若该用户类型分类模型的熵值越大,则表示该模型内不同用户类型的识别差异度越大,对应识别的准确性越高,容错率也较高。因此,终端设备不仅需要检测用户类型分类模型的损失率,还需要计算该模型的模型熵值。需要强调,该用户类型分类模型至少包含两类对象类型,分别为合法对象类型以及异常访问对象类型。
在本发明实施例中,通过异常操作模拟算法能够生成多个异常记录样本,从而得到异常特征参量,并根据异常特征参量以及合法特征参量对用户类型分类模型进行训练学习,提高了训练学习的效率。
图3示出了本发明第三实施例提供的一种异常访问对象的识别方法的S102具体实现流程图。参见图3,相对于图1所述的实施例,本实施例提供的一种异常访问对象的识别方法S102包括:S1021~S1024,具体详述如下:
进一步地,所述基于各个所述访问记录的访问时间,构建所述候选对象的访问次数变化曲线,并根据所述访问次数变化曲线输出所述候选对象的访问特征参量,包括:
在S1021中,识别所述非敏感数据的数据类型,获取所述数据类型关联的闲忙访问时间分布信息。
在本实施例中,终端设备在提取访问特征参量时,为了提高该特征参量的准确性,需要获取该非敏感数据的数据类型,并基于数据类型提取对应时间段内的特征参量。例如,对于与工作相关的非敏感数据,则用户大部分时间是在工作时间段对其该类型的数据进行访问,即在9点至17点这一时间段为工作类型数据的繁忙访问时间段;而在除上述时间段外的其他时间为工作类型数据的闲时访问时间段。而对于娱乐相关的非敏感数据,则在用户休息时间较为频繁对其进行访问。由此可见,对于不同的数据类型,其访问分布规律不同,而且对于特征时间的划分方式也存在差异。因此,为了能够提取特征时间的访问特征参量,首先需要确定非敏感数据的数据类型,并查询该数据类型关联的闲忙访问时间分布信息。
在S1022中,根据所述闲忙访问时间分布信息确定多个闲忙时间段。
在本实施例中,终端设备对该闲忙访问时间分布信息进行解析,该闲忙访问时间分布信息记录有多个时间节点,并标记有各个时间节点对应的闲忙标识。具体地,若某一时间段或时间点对于非敏感数据的访问总量大于预设的访问上限阈值,则识别该时间段或时间节点为繁忙时间点;若某一时间段或时间段对于非敏感数据的访问总量小于预设的访问下限阈值,则识别该时间段或时间节点为闲时时间点。因此,通过闲忙访问时间分布信息,可以得到多个闲忙时间段。
在S1023中,基于所述访问次数变化曲线统计各个所述闲忙时间段的实际访问量。
在本实施例中,终端设备可以根据闲忙时间段对访问次数变化曲线进行划分,得到多个访问次数曲线段,并通过积分算法对访问次数曲线段进行积分操作,从而可以计算的该闲忙时间段的实际访问量。
在S1024中,通过多个所述实际访问量计算所述候选对象的访问偏差值以及访问标准差,将所述访问偏差值以及所述访问标准差识别为所述访问特征参量。
在本实施例中,终端设备可以根据各个闲忙时间段的实际访问量,计算得到访问偏差值以及访问标准差,并将上述两个参量识别为访问特征参量。标准差描述了数据的波动情况,由于非法账户一般是通过固定算法爬取用户信息,因此一般会对数据库进行规律访问,即每半小时访问量会比较一致,因此标准差会比较少小。而正常人为访问,则不同时间段,访问一直会处于波动,比如8:00-9:00刚上班时间访问会比较少,而在10:00-11:00访问逐渐趋于密集,而在中午休息时间,访问又明显下降。因此正常访问行为的标准差会非常大。通过检测在不同时段该候选对象的访问标准差,则可以作为判断该对象的对象类型的基准参量。
在本发明实施例中,通过获取非敏感数据的数据类型,从而确定该数据类型的闲忙分布规律,并计算在各个特征时间段内的实际访问量,从而计算在闲忙时间段之间的访问标准差以及访问偏差值,并将其作为访问特征参量,能够提高异常访问对象的识别准确性。
图4示出了本发明第四实施例提供的一种异常访问对象的识别方法的具体实现流程图。参见图4,相对于图1至3任一所述实施例,本实施例提供的一种异常访问对象的识别方法,在所述获取待识别的候选对象关于非敏感数据的访问记录之前,还包括:S401~S403,具体详述如下:
进一步地,,在所述获取待识别的候选对象关于非敏感数据的访问记录之前,还包括:
在S401中,获取已建对象的对象类型;所述对象类型包括账户类型以及网络地址类型。
在本实施例中,终端设备可以对所需识别的对象进行过滤,将明显的合法的对象滤去,而提取具有异常风险的对象执行S101至S104的操作。基于此,终端设备需要获取对象数据库内各个已建对象的对象类型。如S101中所述,候选对象可以基于登录方式的不同,划分为账户类型以及网络地址类型,网络地址类型即客户端与网络地址进行绑定;而账户类型则可以在不同终端设备或者以不同的网络地址对数据服务器进行访问操作,不同的对象类型可以通过对应的风险识别算法确定是否为风险对象,即上述的候选对象,并通过图1实施例的方式对候选对象进行异常识别。
在S402中,若所述已建对象类型为账户类型,则基于所述已建对象的所有登录记录,识别所述已建对象关联的网络地址。
在本实施例中,若检测到该意见对象类型为账户类型,则用户可以根据该账户类型在不同的设备或不同的网络地址同时执行登录操作,并通过该账户对数据服务器进行数据访问,非法用户可以通过公用同一账户爬取数据服务器内的用户信息,实现敏感数据的盗取。为了避免上述情况发生,对于账户类型的已建对象,会获取该类型的已建对象的所有登录记录,并将各个登录记录关联的网络地址识别为意见对象关联的网络地址。优选地,终端设备可以识别各个网络地址对应的登录次数,将登录次数小于预设的次数阈值的网络地址识别为无效网络地址,只对有效网络地址进行统计。
在S403中,若关联的所述网络地址的个数大于预设的个数阈值,则识别所述已建对象为所述候选对象。
在本实施例中,若检测到某一已建对象关联的网络地址的个数大于预设的个数阈值,则识别该已建对面存在账号共享的情况下,此时可以识别该已建对象为存在异常风险的候选对象。
在本发明实施例中,通过识别各个已建对象的对象类型,并统计账户类型的已建对象关联的网络地址,筛选出存在异常风险的候选对象,从而能够减少候选对象的识别个数,提高异常识别效率。
图5示出了本发明第五实施例提供的一种异常访问对象的识别方法的具体实现流程图。参见图5,相对于图1至图3任一所述实施例,本实施例提供的一种异常访问对象的识别方法还包括:S501~S503,具体详述如下:
进一步地,在所述获取待识别的候选对象关于非敏感数据的访问记录;所述访问记录包括访问时间之前,还包括:
在S501中,根据目标数据库内存储的用户信息,输出关于用户信息的敏感关键词。
在本实施例中,终端设备内可以存在有敏感数据以及非敏感数据。不同的数据可以配有对应的网络页面进行数据展示。为了判断各个网络页面属于敏感数据或是非敏感数据,终端设备可以根据用户信息内包含的字符,输出敏感关键词,例如选取出现词频或出现次数大于预设的敏感阈值的字符识别为敏感关键词。
在S502中,若任一用于访问所述目标数据库的网络页面内包含所述敏感关键词,则识别所述网络页面为敏感数据。
在本实施例中,终端设备可以通过敏感关键词构建敏感词典,并对分别检测各个网络页面是否包含敏感词典内的敏感关键词,若包含,则识别该网络页面属于敏感数据。
在S503中,将用于访问所述目标数据库的所有网络页面中除所述敏感数据外的其他网络页面识别为非敏感数据。
在本实施例中,终端设备在确定了敏感数据后,不包含敏感数据的网络页面则可以识别为非敏感数据。
在本发明实施例中,根据用户信息输出敏感关键词,并基于敏感关键词识别非敏感数据,实现了数据类型的自动分类,提高了数据分类效率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
图6示出了本发明一实施例提供的一种异常访问对象的识别设备的结构框图,该异常访问对象的识别设备包括的各单元用于执行图1对应的实施例中的各步骤。具体请参阅图1与图1所对应的实施例中的相关描述。为了便于说明,仅示出了与本实施例相关的部分。
参见图6,所述异常访问对象的识别设备包括:
访问记录获取单元61,用于获取待识别的候选对象关于非敏感数据的访问记录;所述访问记录包括访问时间;
访问特征参量输出单元62,用于基于各个所述访问记录的访问时间,构建所述候选对象的访问次数变化曲线,并根据所述访问次数变化曲线输出所述候选对象的访问特征参量;
对象类型识别单元63,用于将所述访问特征参量导入到预设的用户类型分类模型,输出所述候选对象的对象类型;
异常访问对象响应单元64,用于若所述候选对象的所述对象类型为异常访问类型,则识别所述候选对象为异常访问对象,并停止响应所述异常访问对象的访问请求。
可选地,所述异常访问对象的识别设备还包括:
异常模拟对象配置单元,用于通过异常操作模拟算法构建多个异常模拟脚本,并为每个所述异常模拟脚本配置异常模拟对象;
异常特征参量输出单元,用于基于各个所述异常模拟脚本对所述非敏感数据执行模拟访问操作,得到所述异常模拟对象的多个异常记录样本,并根据所述非法模拟记录输出所述异常模拟对象的异常特征参量;
合法特征参量输出单元,用于根据用户数据库内合法对象的合法访问记录,输出所述合法对象的合法特征参量;
用户类型分类模型训练单元,用于将多个所述异常特征参量以及所述合法特征参量输入到待学习的用户类型分类模型,对所述用户类型分类模型进行训练学习;
模型训练完毕判定单元,用于若检测到所述用户类型分类模型对应的模型熵值大于预设的有效阈值,则识别所述用户类型分类模型已调整完毕;所述模型熵值计算算法为:
其中,H为所述模型熵值;M为所述用户类型分类模型可识别的对象类型的个数;N为所述异常模拟对象与所述合法对象的总数;Px(i)为第i个所述异常模拟对象或所述合法对象为第x类对象类型的概率。
可选地,所述访问特征参量输出单元62包括:
闲忙访问信息获取单元,用于识别所述非敏感数据的数据类型,获取所述数据类型关联的闲忙访问时间分布信息;
闲忙时间段识别单元,用于根据所述闲忙访问时间分布信息确定多个闲忙时间段;
实际访问量统计单元,用于基于所述访问次数变化曲线统计各个所述闲忙时间段的实际访问量;
访问特征参量计算单元,用于通过多个所述实际访问量计算所述候选对象的访问偏差值以及访问标准差,将所述访问偏差值以及所述访问标准差识别为所述访问特征参量。
可选地,所述异常访问对象的识别设备还包括:
对象类型获取单元,用于获取已建对象的对象类型;所述对象类型包括账户类型以及网络地址类型;
关联网络地址识别单元,用于若所述已建对象类型为账户类型,则基于所述已建对象的所有登录记录,识别所述已建对象关联的网络地址;
候选对象识别单元,用于若关联的所述网络地址的个数大于预设的个数阈值,则识别所述已建对象为所述候选对象。
可选地,所述异常访问对象的识别设备还包括:
敏感关键词输出单元,用于根据目标数据库内存储的用户信息,输出关于用户信息的敏感关键词;
敏感数据识别单元,用于若任一用于访问所述目标数据库的网络页面内包含所述敏感关键词,则识别所述网络页面为敏感数据;
非敏感数据识别单元,用于将用于访问所述目标数据库的所有网络页面中除所述敏感数据外的其他网络页面识别为非敏感数据。
因此,本发明实施例提供的异常访问对象的识别设备同样可以通过获取非敏感数据的访问记录,确定候选对象对于非敏感数据的访问规律,从而判断得到候选对象是否为异常访问对象,避免异常访问对象通过引入大量对于非敏感数据的访问操作而降低对于敏感数据的访问密度,无法对该类型的异常访问对象进行识别,提高了异常访问对象识别的抗干扰性,从而降低了用户信息泄露的风险。
图7是本发明另一实施例提供的一种终端设备的示意图。如图7所示,该实施例的终端设备7包括:处理器70、存储器71以及存储在所述存储器71中并可在所述处理器70上运行的计算机程序72,例如异常访问对象的识别程序。所述处理器70执行所述计算机程序72时实现上述各个异常访问对象的识别方法实施例中的步骤,例如图1所示的S101至S104。或者,所述处理器70执行所述计算机程序72时实现上述各装置实施例中各单元的功能,例如图6所示模块61至64功能。
示例性的,所述计算机程序72可以被分割成一个或多个单元,所述一个或者多个单元被存储在所述存储器71中,并由所述处理器70执行,以完成本发明。所述一个或多个单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序72在所述终端设备7中的执行过程。例如,所述计算机程序72可以被分割成访问记录获取单元、访问特征参量输出单元、对象类型识别单元以及异常访问对象响应单元,各单元具体功能如上所述。
所述终端设备7可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括,但不仅限于,处理器70、存储器71。本领域技术人员可以理解,图7仅仅是终端设备7的示例,并不构成对终端设备7的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器70可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器71可以是所述终端设备7的内部存储单元,例如终端设备7的硬盘或内存。所述存储器71也可以是所述终端设备7的外部存储设备,例如所述终端设备7上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器71还可以既包括所述终端设备7的内部存储单元也包括外部存储设备。所述存储器71用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器71还可以用于暂时地存储已经输出或者将要输出的数据。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种异常访问对象的识别方法,其特征在于,包括:
获取待识别的候选对象关于非敏感数据的访问记录;所述访问记录包括访问时间;
基于各个所述访问记录的访问时间,构建所述候选对象的访问次数变化曲线,并根据所述访问次数变化曲线输出所述候选对象的访问特征参量;
将所述访问特征参量导入到预设的用户类型分类模型,输出所述候选对象的对象类型;
若所述候选对象的所述对象类型为异常访问类型,则识别所述候选对象为异常访问对象,并停止响应所述异常访问对象的访问请求。
2.根据权利要求1所述的识别方法,其特征在于,还包括:
通过异常操作模拟算法构建多个异常模拟脚本,并为每个所述异常模拟脚本配置异常模拟对象;
基于各个所述异常模拟脚本对所述非敏感数据执行模拟访问操作,得到所述异常模拟对象的多个异常记录样本,并根据所述非法模拟记录输出所述异常模拟对象的异常特征参量;
根据用户数据库内合法对象的合法访问记录,输出所述合法对象的合法特征参量;
将多个所述异常特征参量以及所述合法特征参量分别输入到待学习的用户类型分类模型,对所述用户类型分类模型进行训练学习;
若检测到所述用户类型分类模型对应的模型熵值大于预设的有效阈值,则识别所述用户类型分类模型已调整完毕;所述模型熵值计算算法为:
其中,H为所述模型熵值;M为所述用户类型分类模型可识别的对象类型的个数;N为所述异常模拟对象与所述合法对象的总数;Px(i)为第i个所述异常模拟对象或所述合法对象为第x类对象类型的概率。
3.根据权利要求1所述的识别方法,其特征在于,所述基于各个所述访问记录的访问时间,构建所述候选对象的访问次数变化曲线,并根据所述访问次数变化曲线输出所述候选对象的访问特征参量,包括:
识别所述非敏感数据的数据类型,获取所述数据类型关联的闲忙访问时间分布信息;
根据所述闲忙访问时间分布信息确定多个闲忙时间段;
基于所述访问次数变化曲线统计各个所述闲忙时间段的实际访问量;
通过多个所述实际访问量计算所述候选对象的访问偏差值以及访问标准差,将所述访问偏差值以及所述访问标准差识别为所述访问特征参量。
4.根据权利要求1-3任一项所述的识别方法,其特征在于,在所述获取待识别的候选对象关于非敏感数据的访问记录之前,还包括:
获取已建对象的对象类型;所述对象类型包括账户类型以及网络地址类型;
若所述已建对象类型为账户类型,则基于所述已建对象的所有登录记录,识别所述已建对象关联的网络地址;
若关联的所述网络地址的个数大于预设的个数阈值,则识别所述已建对象为所述候选对象。
5.根据权利要求1-3任一项所述的识别方法,其特征在于,还包括:
根据目标数据库内存储的用户信息,输出关于用户信息的敏感关键词;
若任一用于访问所述目标数据库的网络页面内包含所述敏感关键词,则识别所述网络页面为敏感数据;
将用于访问所述目标数据库的所有网络页面中除所述敏感数据外的其他网络页面识别为非敏感数据。
6.一种异常访问对象的识别设备,其特征在于,包括:
访问记录获取单元,用于获取待识别的候选对象关于非敏感数据的访问记录;所述访问记录包括访问时间;
访问特征参量输出单元,用于基于各个所述访问记录的访问时间,构建所述候选对象的访问次数变化曲线,并根据所述访问次数变化曲线输出所述候选对象的访问特征参量;
对象类型识别单元,用于将所述访问特征参量导入到预设的用户类型分类模型,输出所述候选对象的对象类型;
异常访问对象响应单元,用于若所述候选对象的所述对象类型为异常访问类型,则识别所述候选对象为异常访问对象,并停止响应所述异常访问对象的访问请求。
7.根据权利要求6所述的识别设备,其特征在于,所述异常访问对象的识别设备还包括:
异常模拟对象配置单元,用于通过异常操作模拟算法构建多个异常模拟脚本,并为每个所述异常模拟脚本配置异常模拟对象;
异常特征参量输出单元,用于基于各个所述异常模拟脚本对所述非敏感数据执行模拟访问操作,得到所述异常模拟对象的多个异常记录样本,并根据所述非法模拟记录输出所述异常模拟对象的异常特征参量;
合法特征参量输出单元,用于根据用户数据库内合法对象的合法访问记录,输出所述合法对象的合法特征参量;
用户类型分类模型训练单元,用于将多个所述异常特征参量以及所述合法特征参量分别输入到待学习的用户类型分类模型,对所述用户类型分类模型进行训练学习;
模型训练完毕判定单元,用于若检测到所述用户类型分类模型对应的模型熵值大于预设的有效阈值,则识别所述用户类型分类模型已调整完毕;所述模型熵值计算算法为:
其中,H为所述模型熵值;M为所述用户类型分类模型可识别的对象类型的个数;N为所述异常模拟对象与所述合法对象的总数;Px(i)为第i个所述异常模拟对象或所述合法对象为第x类对象类型的概率。
8.根据权利要求6所述的识别设备,其特征在于,所述访问特征参量输出单元,包括:
闲忙访问信息获取单元,用于识别所述非敏感数据的数据类型,获取所述数据类型关联的闲忙访问时间分布信息;
闲忙时间段识别单元,用于根据所述闲忙访问时间分布信息确定多个闲忙时间段;
实际访问量统计单元,用于基于所述访问次数变化曲线统计各个所述闲忙时间段的实际访问量;
访问特征参量计算单元,用于通过多个所述实际访问量计算所述候选对象的访问偏差值以及访问标准差,将所述访问偏差值以及所述访问标准差识别为所述访问特征参量。
9.一种终端设备,其特征在于,所述终端设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时如权利要求1至5任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910974775.1A CN110830445B (zh) | 2019-10-14 | 2019-10-14 | 一种异常访问对象的识别方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910974775.1A CN110830445B (zh) | 2019-10-14 | 2019-10-14 | 一种异常访问对象的识别方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110830445A true CN110830445A (zh) | 2020-02-21 |
| CN110830445B CN110830445B (zh) | 2023-02-03 |
Family
ID=69549226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910974775.1A Active CN110830445B (zh) | 2019-10-14 | 2019-10-14 | 一种异常访问对象的识别方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830445B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111508617A (zh) * | 2020-07-01 | 2020-08-07 | 智博云信息科技(广州)有限公司 | 疫情数据维护方法、装置、计算机设备和可读存储介质 |
| CN111510340A (zh) * | 2020-03-10 | 2020-08-07 | 北京三快在线科技有限公司 | 访问请求检测方法、装置、电子设备及可读存储介质 |
| CN112152873A (zh) * | 2020-09-02 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 用户识别方法、装置、计算机设备和存储介质 |
| CN113158185A (zh) * | 2021-03-05 | 2021-07-23 | 杭州数梦工场科技有限公司 | 安全检测方法与装置 |
| CN113486060A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN115134102A (zh) * | 2021-03-24 | 2022-09-30 | 北京字节跳动网络技术有限公司 | 异常访问检测方法、装置、存储介质及电子设备 |
| CN115630373A (zh) * | 2022-12-21 | 2023-01-20 | 四川知行志成科技有限公司 | 一种云服务安全分析方法、监控设备及分析系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN106302534A (zh) * | 2016-09-30 | 2017-01-04 | 微梦创科网络科技(中国)有限公司 | 一种检测和处理非法用户的方法及系统 |
| CN106815255A (zh) * | 2015-11-27 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 检测数据访问异常的方法及装置 |
| CN106992993A (zh) * | 2017-05-24 | 2017-07-28 | 顺丰科技有限公司 | 一种外包输单异常检测方法、系统及设备 |
| WO2018177247A1 (zh) * | 2017-03-28 | 2018-10-04 | 瀚思安信(北京)软件技术有限公司 | 用于检测计算机网络系统用户的异常行为的方法 |
| CN109194671A (zh) * | 2018-09-19 | 2019-01-11 | 网宿科技股份有限公司 | 一种异常访问行为的识别方法及服务器 |
| CN109274639A (zh) * | 2018-07-03 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 开放平台异常数据访问的识别方法和装置 |
| CN109413044A (zh) * | 2018-09-26 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种异常访问请求识别方法及终端设备 |
| CN109460432A (zh) * | 2018-11-14 | 2019-03-12 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及系统 |
-
2019
- 2019-10-14 CN CN201910974775.1A patent/CN110830445B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN106815255A (zh) * | 2015-11-27 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 检测数据访问异常的方法及装置 |
| CN106302534A (zh) * | 2016-09-30 | 2017-01-04 | 微梦创科网络科技(中国)有限公司 | 一种检测和处理非法用户的方法及系统 |
| WO2018177247A1 (zh) * | 2017-03-28 | 2018-10-04 | 瀚思安信(北京)软件技术有限公司 | 用于检测计算机网络系统用户的异常行为的方法 |
| CN106992993A (zh) * | 2017-05-24 | 2017-07-28 | 顺丰科技有限公司 | 一种外包输单异常检测方法、系统及设备 |
| CN109274639A (zh) * | 2018-07-03 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 开放平台异常数据访问的识别方法和装置 |
| CN109194671A (zh) * | 2018-09-19 | 2019-01-11 | 网宿科技股份有限公司 | 一种异常访问行为的识别方法及服务器 |
| CN109413044A (zh) * | 2018-09-26 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种异常访问请求识别方法及终端设备 |
| CN109460432A (zh) * | 2018-11-14 | 2019-03-12 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111510340A (zh) * | 2020-03-10 | 2020-08-07 | 北京三快在线科技有限公司 | 访问请求检测方法、装置、电子设备及可读存储介质 |
| CN111508617A (zh) * | 2020-07-01 | 2020-08-07 | 智博云信息科技(广州)有限公司 | 疫情数据维护方法、装置、计算机设备和可读存储介质 |
| CN112152873A (zh) * | 2020-09-02 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 用户识别方法、装置、计算机设备和存储介质 |
| CN112152873B (zh) * | 2020-09-02 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 用户识别方法、装置、计算机设备和存储介质 |
| CN113158185A (zh) * | 2021-03-05 | 2021-07-23 | 杭州数梦工场科技有限公司 | 安全检测方法与装置 |
| CN115134102A (zh) * | 2021-03-24 | 2022-09-30 | 北京字节跳动网络技术有限公司 | 异常访问检测方法、装置、存储介质及电子设备 |
| CN113486060A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN113486060B (zh) * | 2021-06-25 | 2023-06-16 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN115630373A (zh) * | 2022-12-21 | 2023-01-20 | 四川知行志成科技有限公司 | 一种云服务安全分析方法、监控设备及分析系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110830445B (zh) | 2023-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110830445B (zh) | 一种异常访问对象的识别方法及设备 | |
| CN107888616B (zh) | 基于URI的分类模型的构建方法和Webshell攻击网站的检测方法 | |
| US9601000B1 (en) | Data-driven alert prioritization | |
| CN107305611B (zh) | 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置 | |
| CN108632227A (zh) | 一种恶意域名检测处理方法及装置 | |
| EP3211825B1 (en) | Trusted terminal verification method and apparatus | |
| CN109040329B (zh) | 联系人标签的确定方法、终端设备及介质 | |
| CN107172064B (zh) | 数据访问控制方法、装置及服务器 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN110609937A (zh) | 一种爬虫识别方法及装置 | |
| CN106992981B (zh) | 一种网站后门检测方法、装置和计算设备 | |
| CN104980421B (zh) | 一种批量请求处理方法及系统 | |
| WO2019218476A1 (zh) | 一种数据的导出方法及设备 | |
| CN110213255B (zh) | 一种对主机进行木马检测的方法、装置及电子设备 | |
| CN111371776A (zh) | Http请求数据的异常检测方法、装置、服务器及存储介质 | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| CN107231383B (zh) | Cc攻击的检测方法及装置 | |
| CN111680167A (zh) | 一种服务请求的响应方法及服务器 | |
| CN106713242B (zh) | 数据请求的处理方法及处理装置 | |
| EP4102771A1 (en) | Information leakage detection method and device using the same | |
| CN109067794A (zh) | 一种网络行为的检测方法和装置 | |
| CN111953665A (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
| CN113157542B (zh) | 基于应用日志的趋同行为用户识别方法及系统 | |
| CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
| CN116032652B (zh) | 基于智能交互触控平板的网关认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |