CN111177656B - 一种行为检测方法、计算机设备和计算机可读存储介质 - Google Patents
一种行为检测方法、计算机设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN111177656B CN111177656B CN201911421740.1A CN201911421740A CN111177656B CN 111177656 B CN111177656 B CN 111177656B CN 201911421740 A CN201911421740 A CN 201911421740A CN 111177656 B CN111177656 B CN 111177656B
- Authority
- CN
- China
- Prior art keywords
- behavior
- access
- resource
- target behavior
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 114
- 230000006399 behavior Effects 0.000 claims description 319
- 238000009826 distribution Methods 0.000 claims description 32
- 238000000034 method Methods 0.000 claims description 23
- 239000011159 matrix material Substances 0.000 claims description 14
- 238000003491 array Methods 0.000 claims description 13
- 230000009191 jumping Effects 0.000 claims description 12
- 238000012216 screening Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 description 8
- 238000001914 filtration Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 235000008694 Humulus lupulus Nutrition 0.000 description 5
- 238000010606 normalization Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013501 data transformation Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000011895 specific detection Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Quality & Reliability (AREA)
- Mathematical Physics (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Algebra (AREA)
- Evolutionary Biology (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种行为检测方法,能够降低漏检率并提高检测准确性,所述方法包括:接收目标行为的检测指令;确定所述目标行为的检测指令指向的时间周期;获取在所述时间周期内由所述目标行为产生的访问日志;根据所述访问日志检测所述目标行为是否是机器行为。本公开还提供了一种计算机设备以及一种计算机可读存储介质。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种行为检测方法、装置、计算机设备和计算机可读存储介质。
背景技术
目前,市场上存在诸多检测机器行为的方法,如黑名单检测和基于有监督的机器学习检测等。其中,黑名单检测是判断行为是否落入黑名单,若是则认为该行为是机器行为;基于有监督的机器学习检测是预先通过人工标记哪些行为属于机器行为,然后通过标记的数据进行机器学习,以使学习好的机器模型验证行为是否是机器行为。
然后,发明人研究发现,黑名单检测和基于有监督的机器学习检测存在漏检率较高且检测的准确性较低的缺陷。
发明内容
本发明的目的在于提供了一种行为检测方法、装置、计算机设备和计算机可读存储介质,能够解决现有技术中漏检率较高及检测确定性较低的缺陷。
本发明的一个方面提供了一种行为检测方法,所述方法包括:接收目标行为的检测指令;确定所述目标行为的检测指令指向的时间周期;获取在所述时间周期内由所述目标行为产生的访问日志;根据所述访问日志检测所述目标行为是否是机器行为。
可选地,确定所述目标行为的检测指令指向的时间周期的步骤包括:确定所述目标行为的检测指令指向的至少两个时间周期;获取在所述时间周期内由所述目标行为产生的访问日志的步骤包括:在确定的时间周期中获取至少两个所述时间周期内由所述目标行为产生的访问日志;根据所述访问日志检测所述目标行为是否是机器行为的步骤包括:筛选获取的所述访问日志,得到用于检测机器行为的访问日志集合,根据所述访问日志集合检测所述目标行为是否是机器行为。
可选地,根据所述访问日志集合检测所述目标行为是否是机器行为的步骤包括:在所述访问日志集合的每个所述访问日志中,统计所述目标行为访问各个资源的次数,并将在每个所述访问日志中统计的次数作为资源访问次数组;根据各个所述资源访问次数组检测所述目标行为是否是机器行为。
可选地,根据各个所述资源访问次数组检测所述目标行为是否是机器行为的步骤包括:计算各个所述资源访问次数组之间的相似度;判断计算的各个所述资源访问次数组之间的相似度中是否存在第一预设数量个大于等于第一相似度阈值的相似度;在存在所述第一预设数量个大于等于所述第一相似度阈值的相似度时,确定所述目标行为是机器行为。
可选地,根据各个所述资源访问次数组检测所述目标行为是否是机器行为的步骤包括:根据每个所述资源访问次组计算所述目标行为访问各个资源的概率,并将根据每个所述资源访问次数组计算出的概率作为资源访问概率组;根据各个所述资源访问概率组检测所述目标行为是否是机器行为。
可选地,根据各个所述资源访问概率组检测所述目标行为是否是机器行为的步骤包括:计算各个所述资源访问概率组的概率分布;判断计算的所述概率分布中是否存在第二预设数量个符合均匀随机分布的概率分布;在存在所述第二预设数量个符合所述均匀随机分布的概率分布时,确定所述目标行为是机器行为。
可选地,根据所述访问日志集合检测所述目标行为是否是机器行为的步骤包括:在所述访问日志集合的每个所述访问日志中,按照时间顺序统计所述目标行为访问各个资源的顺序,并将在每个所述访问日志中统计的所述目标行为访问各个资源的顺序作为资源访问顺序序列;根据各个所述资源访问顺序序列检测所述目标行为是否是机器行为。
可选地,根据各个所述资源访问顺序序列检测所述目标行为是否是机器行为的步骤包括:根据每个所述资源访问顺序序列计算所述目标行为从每个资源跳转访问另一个资源的概率,并将根据每个所述资源访问顺序序列计算出的概率组合成矩阵;计算各个所述矩阵之间的相似度;判断计算的各个所述矩阵之间的相似度中是否存在第三预设数量个大于等于第二相似度阈值的相似度;在存在第三预设数量个大于等于所述第二相似度阈值的相似度时,确定所述目标行为是机器行为。
可选地,筛选获取的所述访问日志,得到用于检测机器行为的访问日志集合的步骤包括:在获取的每个所述访问日志中,统计所述目标行为访问所有资源的总次数;将所有大于等于访问次数阈值的所述总次数对应的所述访问日志作为所述访问日志集合。
本发明的另一个方面提供了一种行为检测装置,所述装置包括:接收模块,用于接收目标行为的检测指令;确定模块,用于确定所述目标行为的检测指令指向的时间周期;获取模块,用于获取在所述时间周期内由所述目标行为产生的访问日志;检测模块,用于根据所述访问日志检测所述目标行为是否是机器行为。
本发明的再一个方面提供了一种计算机设备,所述计算机设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一实施例所述的行为检测方法。
本发明的又一个方面提供了一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现上述任一实施例所述的行为检测方法。
本发明提供的行为检测方法,在接收到目标行为的检测指令之后,确定目标行为的检测指令指向的时间周期,然后获取该时间周期内由目标行为产生的访问日志,最后可以根据访问日志检测目标行为是否是机器行为。由于目标行为的检测指令可能指向一个、两个或多个时间周期,本发明通过总结并分析这些时间周期内由目标行为真实产生的访问日志,以此判断目标行为是否是机器行为,降低了漏检率且提高了检测的准确性。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示意性示出了根据本发明实施例一的行为检测方法的流程图;
图2示意性示出了根据本发明实施例二的行为检测方法的流程图;
图3示意性示出了根据本发明实施例三的行为检测方法的流程图;
图4示意性示出了根据本发明实施例四的行为检测方法的流程图;
图5示意性示出了根据本发明实施例五的行为检测方法的流程图;
图6示意性示出了根据本发明实施例六的行为检测装置的框图;
图7示意性示出了根据本发明实施例七的适于实现行为检测方法的计算机设备的框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
应用场景
本发明提供的行为检测方法可以应用于“零信任”网络场景。目前,现有的安全措施主要是基于物理边界构建安全防护,如假定某个局域网可信,位于该局域网内的设备可以访问该局域网内的任何资源。而“零信任”网络则是去除物理边界,不信任任何身份,对于任何身份均通过动态检测手段验证身份的可靠性。如,现有技术中的访问请求可以直接调用API(Application Programming Interface)接口实现资源访问,而本发明的提供的行为检测方法,基于“零信任”网络架构,假定每个用户的身份均是不可信的,对于每个用户触发的访问请求都通过API代理拦截,并在API代理中形成访问日志,API代理通过执行本发明提供的行为检测方法动态检测用户的身份,如用户触发访问请求的行为称为目标行为,则API代理通过检测目标行为是否是机器行为来检测用户的身份是人还是机器,进而在实现行为检测目的的同时也验证了用户的身份。
需要说明的是,对于API代理而言,所有执行目标行为并触发访问请求的主体均可称为用户,API代理的目的在于检测目标行为是否是机器行为,若是,则认为该用户是机器,否则认为该用户是人。
实施例一
图1示意性示出了根据本发明实施例一的行为检测方法的流程图。如图1所示,该实施例一所述的行为检测方法可以包括步骤S11~步骤S14,其中:
步骤S11,接收目标行为的检测指令。
本实施例的执行主体可以为API代理,用户通过执行目标行为可以触发访问请求,API代理拦截访问请求并在本地存储访问请求对应的访问日志,API代理还可以根据访问请求中携带的URL(uniform resource locator,统一资源定位系统)为该访问请求调用对应的API接口,以实现访问目的。其中,目标行为的检测指令用于指示API代理检测目标行为是否是机器行为。
步骤S12,确定所述目标行为的检测指令指向的时间周期。
目标行为的检测指令指向的时间周期可以为一个、两个或多个时间周期。可选地,在目标行为的检测指令中携带时间周期的具体标识,通过解析目标行为的检测指令可以得到标识,然后通过标识可以确定目标行为的检测指令指向的时间周期。
步骤S13,获取在所述时间周期内由所述目标行为产生的访问日志。
访问日志可以包括访问时间、访问的资源和访问请求方(如用户)等。由于目标行为可以触发访问请求,而API代理是通过拦截访问请求并根据访问请求中信息在本地形成访问日志的,因此访问日志也可以称为是由目标行为产生的。本实施例中,通过访问日志中的访问时间,可以确定每个时间周期内包含的访问日志。为了便于理解,可以将每个时间周期内的访问日志称为一个访问日志。
可选地,本实施例可以通过UDP(User Datagram Protocol,用户数据报协议)或TCP(Transmission Control Protocol,传输控制协议)获取访问日志,在获取到访问日志之后,可以对访问日志进行预处理,如数据清洗、数据集成、数据变换和数据归约等。数据清洗可以为对数据进行重新审查和校验的过程,目的在于删除重复信息、纠正存在的错误,并提供数据一致性。数据集成可以是把不同来源、格式、特点性质的数据在逻辑上或物理上有机地集中在一起。数据变换可以是对数据进行转换,如转换为离散型数据。数据归约可以是指在尽可能保持数据原貌的前提下,最大限度地精简数据量。
步骤S14,根据所述访问日志检测所述目标行为是否是机器行为。
若目标行为的检测指令只指向一个时间周期,可以将该时间周期内的访问日志化分为至少两部分,根据划分后各个部分的访问日志检测目标行为是否是机器行为,具体检测方法与实施例三、实施例四和实施例五类似。
若目标行为的检测指令指向至少两个时间周期,可以根据实施例二所述的方法实现检测目的。
本发明提供的行为检测方法,在接收到目标行为的检测指令之后,确定目标行为的检测指令指向的时间周期,然后获取该时间周期内由目标行为产生的访问日志,最后可以根据访问日志检测目标行为是否是机器行为。由于目标行为的检测指令可能指向一个、两个或多个时间周期,本发明通过总结并分析这些时间周期内由目标行为真实产生的访问日志,以此判断目标行为是否是机器行为,降低了漏检率且提高了检测的准确性。
实施例二
本发明的实施例二提供了一种行为检测方法,该行为检测方法的部分步骤与上述实施例一中的步骤对应相同,这部分步骤在该实施例中不再赘述,具体可参考上述实施例一。具体地,图2示意性示出了根据本发明实施例二的行为检测方法的流程图,如图2所示,该实施例二所述的行为检测方法可以包括步骤S21~步骤S24,其中:
步骤S21,接收目标行为的检测指令。
步骤S22,确定所述目标行为的检测指令指向的至少两个时间周期。
其中,目标行为的检测指令指向两个或多个时间周期,本实施例可以确定目标行为的检测指令指向的至少两个时间周期。例如,目标行为的检测指令指向10个时间周期,本实施例可以确定目标行为的检测指令指向的7个时间周期,也可以确定目标行为的检测指令指向的10个时间周期。
步骤S23,在确定的时间周期中获取至少两个所述时间周期内由所述目标行为产生的访问日志。
无论根据步骤S22确定出几个时间周期,本实施例可以在确定的所有时间周期中获取至少两个时间周期内由目标行为产生的访问日志。例如,确定的目标行为的检测指令指向的时间周期有7个,本实施例可以获取5个时间周期内由目标行为产生的访问日志,也可以获取7个时间周期内由目标行为产生的访问日志。
步骤S24,筛选获取的所述访问日志,得到用于检测机器行为的访问日志集合,根据所述访问日志集合检测所述目标行为是否是机器行为。
本实施例中,筛选可以是基于条件的筛选,如筛选出满足条件的访问日志,将所有满足条件的访问日志作为访问日志集合。如,步骤S24可以包括步骤S241和步骤S242,其中:
步骤S241,在获取的每个所述访问日志中,统计所述目标行为访问所有资源的总次数;
步骤S242,将所有大于等于访问次数阈值的所述总次数对应的所述访问日志作为所述访问日志集合。
本实施例中,由于访问日志中记载了目标行为访问的资源,通过叠加该访问日志中出现的所有资源的个数可以得到该访问日志中目标行为访问所有资源的总次数,在总次数大于等于访问次数阈值时,可以初步认为可能存在循环调用行为,即可能存在机器行为,进而可以将该访问日志作为访问日志集合中的一个元素,用作后续检测使用。
另外,筛选还可以是无条件的筛选,即只是执行筛选动作,但是实际上并没有筛掉任何访问日志,而是将获取的所有访问日志作为访问日志集合。
进一步,可以根据访问日志集合检测目标行为是否是机器行为。在访问日志集合只包括一个访问日志时,可以将该时间周期内的访问日志化分为至少两部分,将根据划分后各个部分的访问日志检测目标行为是否是机器行为,具体检测方法与实施例三、实施例四和实施例五类似。在访问日志集合中包括至少两个访问日志时,可以根据访问日志集合中的每个访问日志检测目标行为是否是机器行为,还可以根据访问日志集合中的部分访问日志检测目标行为是否是机器行为,具体可以参见实施例三、实施例四和实施例五。
实施例三
本发明的实施例三提供了一种行为检测方法,该行为检测方法的部分步骤与上述实施例二中的步骤对应相同,这部分步骤在该实施例中不再赘述,具体可参考上述实施例二。具体地,图3示意性示出了根据本发明实施例三的行为检测方法的流程图,如图3所示,该实施例三所述的行为检测方法可以包括步骤S31~步骤S36,其中:
步骤S31,接收目标行为的检测指令。
步骤S32,确定所述目标行为的检测指令指向的至少两个时间周期。
步骤S33,在确定的时间周期中获取至少两个所述时间周期内由所述目标行为产生的访问日志。
步骤S34,筛选获取的所述访问日志,得到用于检测机器行为的访问日志集合。
步骤S35,在所述访问日志集合的每个所述访问日志中,统计所述目标行为访问各个资源的次数,并将在每个所述访问日志中统计的所述目标行为访问各个资源的次数作为资源访问次数组。
访问日志集合中的每个访问日志对应一个资源访问次数组,每个资源访问次数组包括访问的资源和访问资源的次数。
例如,一个访问日志为:
2019/11/01/11:01:02,www.baidu.com,用户1
2019/11/01/11:21:15,www.taobao.com,用户1
2019/11/01/12:03:47,www.tengxun.com,用户1
2019/11/01/12:18:36,www.baidu.com,用户1
则由该访问日志统计出资源访问次数组包括:www.baidu.com,2次;www.taobao.com,1次;www.tengxun.com,1次。具体形式可以参见下表:
| 资源 | www.baidu.com | www.taobao.com | www.tengxun.com |
| 次数 | 2 | 1 | 1 |
步骤S36,根据各个所述资源访问次数组检测所述目标行为是否是机器行为。
由于人的行为具有不确定性,若目标行为是人的行为,则在不同的时间周期内目标行为有一定的偏差;而机器是比较有规律的,若目标行为是机器行为,则在不同的时间周期内目标行为会存在一定的相似性。本实施例根据目标行为产生的访问日志,筛选出访问日志集合,进而通过统计访问日志集合中每个访问日志内的资源访问次数得到每个时间周期对应的资源访问次数组,通过比较这些资源访问次数组之间的相似性,可以判断目标行为是否是机器行为。具体地,步骤S36可以包括步骤S361~步骤S363,其中:
步骤S361,计算各个所述资源访问次数组之间的相似度;
步骤S362,判断计算的各个所述资源访问次数组之间的相似度中是否存在第一预设数量个大于等于第一相似度阈值的相似度;
步骤S363,在存在所述第一预设数量个大于等于所述第一相似度阈值的相似度时,确定所述目标行为是机器行为。
本实施例中,计算各个资源访问次数组之间的相似度可以是计算每两个资源访问次数组之间的相似度,第一预设数量可以是一个、两个或多个,第一预设数量可以小于或等于计算出的相似度的总数量,第一预设数量的具体数值可以根据需求设定,本实施例在此不做限定。
可选地,若是资源访问次数组中访问资源的次数差距过大,可以对资源访问次数组进行归一化处理,其中,归一化处理方式可以包括按照行归一化处理,还可以包括按照列归一化处理。例如,访问www.baidu.com的次数为100次,访问www.taobao.com的次数为200次,访问www.tengxun.com的次数为300次,则可以按行归一化处理,如每个元素除以所有元素的总和,得到访问www.baidu.com的次数为100/(100+200+300)=1/6,访问www.taobao.com的次数为2/6,访问www.tengxun.com的次数为3/6。
实施例四
本发明的实施例四提供了一种行为检测方法,该行为检测方法的部分步骤与上述实施例二和实施例三中的步骤对应相同,这部分步骤在该实施例中不再赘述,具体可参考上述实施例二和实施例三。具体地,图4示意性示出了根据本发明实施例四的行为检测方法的流程图,如图4所示,该实施例四所述的行为检测方法可以包括步骤S41~步骤S47,其中:
步骤S41,接收目标行为的检测指令。
步骤S42,确定所述目标行为的检测指令指向的至少两个时间周期。
步骤S43,在确定的时间周期中获取至少两个所述时间周期内由所述目标行为产生的访问日志。
步骤S44,筛选获取的所述访问日志,得到用于检测机器行为的访问日志集合。
步骤S45,在所述访问日志集合的每个所述访问日志中,统计所述目标行为访问各个资源的次数,并将在每个所述访问日志中统计的所述目标行为访问各个资源的次数作为资源访问次数组。
步骤S46,根据每个所述资源访问次组计算所述目标行为访问各个资源的概率,并将根据每个所述资源访问次数组计算出的概率作为资源访问概率组。
目标行为访问每个资源的概率可以通过计算目标行为访问该资源的次数和该资源访问次数组中所有资源被访问次数总和的商得到,其中,资源访问次数组中所有资源被访问次数总和即为对应的访问日志中访问所有资源的总次数。
每个资源访问次组对应一个资源访问概率组,每个资源访问概率组包括访问的资源和访问资源的概率。
例如,结合实施例三中的示例,资源访问概率组包括:www.baidu.com,1/2;www.taobao.com,1/4;www.tengxun.com,1/4。具体形式可以参见下表:
| 资源 | www.baidu.com | www.taobao.com | www.tengxun.com |
| 概率 | 1/2 | 1/4 | 1/4 |
步骤S47,根据各个所述资源访问概率组检测所述目标行为是否是机器行为。
由于人的行为具有不确定性,若目标行为是人的行为,则在不同的时间周期内目标行为有一定的偏差;而机器是比较有规律的,若目标行为是机器行为,则在不同的时间周期内目标行为会存在一定的相似性。本实施例根据目标行为产生的访问日志,筛选出访问日志集合,然后通过统计访问日志集合中每个访问日志内的资源访问次数得到每个时间周期对应的资源访问次数组,进一步可以根据每个资源访问次组计算目标行为访问各个资源的概率得到每个时间周期对应的资源访问概率组,最后判断资源访问概率组的概率分布是否是均匀随机分布,由于均匀随机分布具有较强的规律性,因此可以根据计算出的概率分布的特点判断判断目标行为是否是机器行为。具体地,步骤S47可以包括步骤S471~步骤S473,其中:
步骤S471,计算各个所述资源访问概率组的概率分布;
步骤S472,判断计算的所述概率分布中是否存在第二预设数量个符合均匀随机分布的概率分布;
步骤S473,在存在所述第二预设数量个符合所述均匀随机分布的概率分布时,确定所述目标行为是机器行为。
本实施例中,计算各个资源访问概率组的概率分布即是计算每个资源访问概率的概率分布,第二预设数量可以是一个、两个或多个,第二预设数量可以小于或等于资源访问概率组的数量,具体设置不做限定。一旦确定存在第二预设数量个符合均匀随机分布的概率分布时,便可确定目标行为是机器行为。
实施例五
本发明的实施例五提供了一种行为检测方法,该行为检测方法的部分步骤与上述实施例二中的步骤对应相同,这部分步骤在该实施例中不再赘述,具体可参考上述实施例二。具体地,图5示意性示出了根据本发明实施例五的行为检测方法的流程图,如图5所示,该实施例五所述的行为检测方法可以包括步骤S51~步骤S56,其中:
步骤S51,接收目标行为的检测指令。
步骤S52,确定所述目标行为的检测指令指向的至少两个时间周期。
步骤S53,在确定的时间周期中获取至少两个所述时间周期内由所述目标行为产生的访问日志。
步骤S54,筛选获取的所述访问日志,得到用于检测机器行为的访问日志集合。
步骤S55,在所述访问日志集合的每个所述访问日志中,按照时间顺序统计所述目标行为访问各个资源的顺序,并将在每个所述访问日志中统计的所述目标行为访问各个资源的顺序作为资源访问顺序序列。
访问日志集合中的每个访问日志对应一个资源访问顺序序列,每个资源访问顺序序列包括的资源是按照时间顺序排列的。
例如,结合实施例三中的示例,资源访问顺序序列可以包括[www.baidu.com,www.taobao.com,www.tengxun.com,www.baidu.com]。
步骤S56,根据各个所述资源访问顺序序列检测所述目标行为是否是机器行为。
由于人的行为具有不确定性,若目标行为是人的行为,则在不同的时间周期内目标行为有一定的偏差;而机器是比较有规律的,若目标行为是机器行为,则在不同的时间周期内目标行为会存在一定的相似性。本实施例根据目标行为产生的访问日志,筛选出访问日志集合,进而通过按照时间顺序统计的访问日志集合中每个访问日志内的资源访问顺序得到每个时间周期对应的资源访问顺序序列,然后根据各个资源访问顺序序列检测目标行为是否是机器行为,如根据各个资源访问顺序序列之间的相似度判断目标行为是否是机器行为,或者步骤S56可以包括步骤S561~步骤S564,其中:
步骤S561,根据每个所述资源访问顺序序列计算所述目标行为从每个资源跳转访问另一个资源的概率,并将根据每个所述资源访问顺序序列计算出的概率组合成矩阵;
步骤S562,计算各个所述矩阵之间的相似度;
步骤S563,判断计算的各个所述矩阵之间的相似度中是否存在第三预设数量个大于等于第二相似度阈值的相似度;
步骤S564,在存在第三预设数量个大于等于所述第二相似度阈值的相似度时,确定所述目标行为是机器行为。
其中,本实施例所述的矩阵又称为概率转移矩阵,还可称为转移概率矩阵,在该矩阵中,各元素都是非负的,并且各行元素之和等于1。
本实施例中,在每个资源访问顺序序列中,从每个资源跳转访问另一个资源的概率即为:对于资源i和资源j,若资源访问顺序序列中存在相邻排列的资源i和资源j且资源i排列在资源j前面,则存在从资源i跳转访问资源j,统计该资源访问顺序序列中从资源i跳转访问资源j的次数,统计资源访问顺序序列中从资源i跳转访问所有资源的总次数,然后将二者做商可以得到从资源i跳转访问到资源j的概率;否则,不存在从资源i跳转访问资源j,则从资源i跳转访问资源j的概率为0。
例如,结合实施例五中的示例,www.baidu.com称为资源1,www.taobao.com称资源2为,www.tengxun.com称为资源3,从资源1跳转访问资源2的次数为1,从资源1跳转访问所有资源的次数也为1,则从资源1跳转访问资源2的概率为1,相应地,从资源2跳转访问资源3的概率为1,从资源3跳转访问资源1的概率为1,其余为0。将上述概率组合成矩阵可以为:
其中,矩阵的列依次为资源1、资源2和资源3,矩阵的行依次为资源1、资源2和资源3,矩阵中的每个元素表示从矩阵的行代表的资源跳转访问到矩阵的列代表的资源的概率。
本实施例中,计算各个矩阵之间的相似度即是计算每两个矩阵之间的相似度,第三预设数量可以是一个、两个或多个,第三预设数量可以小于或等于计算出的相似度的总数量,具体设置不做限定。一旦确定存在第三预设数量个大于等于第二相似度阈值的相似度时,便可确定目标行为是机器行为。
实施例六
本发明的实施例六提供了一种行为检测装置,该行为检测装置与上述实施例一相对应,相应的技术特征和技术效果在本实施例中不再详述,相关之处可参考上述实施例一。具体地,图6示意性示出了根据本发明实施例六的行为检测装置的框图,如图6所示,该行为检测装置600可以包括接收模块601、确定模块602、获取模块603和检测模块604,其中:
接收模块601,用于接收目标行为的检测指令;
确定模块602,用于确定所述目标行为的检测指令指向的时间周期;
获取模块603,用于获取在所述时间周期内由所述目标行为产生的访问日志;
检测模块604,用于根据所述访问日志检测所述目标行为是否是机器行为。
可选地,确定模块还用于:确定所述目标行为的检测指令指向的至少两个时间周期;获取模块还用于:在确定的时间周期中获取至少两个所述时间周期内由所述目标行为产生的访问日志;检测模块还用于:筛选获取的所述访问日志,得到用于检测机器行为的访问日志集合,根据所述访问日志集合检测所述目标行为是否是机器行为。
可选地,检测模块在根据所述访问日志集合检测所述目标行为是否是机器行为时,还用于:在所述访问日志集合的每个所述访问日志中,统计所述目标行为访问各个资源的次数,并将在每个所述访问日志中统计的所述目标行为访问各个资源的次数作为资源访问次数组;根据各个所述资源访问次数组检测所述目标行为是否是机器行为。
可选地,检测模块在根据各个所述资源访问次数组检测所述目标行为是否是机器行为时,还用于:计算各个所述资源访问次数组之间的相似度;判断计算的各个所述资源访问次数组之间的相似度中是否存在第一预设数量个大于等于第一相似度阈值的相似度;在存在所述第一预设数量个大于等于所述第一相似度阈值的相似度时,确定所述目标行为是机器行为。
可选地,检测模块在根据各个所述资源访问次数组检测所述目标行为是否是机器行为时,还用于:根据每个所述资源访问次组计算所述目标行为访问各个资源的概率,并将根据每个所述资源访问次数组计算出的概率作为资源访问概率组;根据各个所述资源访问概率组检测所述目标行为是否是机器行为。
可选地,检测模块在根据各个所述资源访问概率组检测所述目标行为是否是机器行为时,还用于:计算各个所述资源访问概率组的概率分布;判断计算的所述概率分布中是否存在第二预设数量个符合均匀随机分布的概率分布;在存在所述第二预设数量个符合所述均匀随机分布的概率分布时,确定所述目标行为是机器行为。
可选地,检测模块在根据所述访问日志集合检测所述目标行为是否是机器行为时,还用于:在所述访问日志集合的每个所述访问日志中,按照时间顺序统计所述目标行为访问各个资源的顺序,并将在每个所述访问日志中统计的所述目标行为访问各个资源的顺序作为资源访问顺序序列;根据各个所述资源访问顺序序列检测所述目标行为是否是机器行为。
可选地,检测模块在根据各个所述资源访问顺序序列检测所述目标行为是否是机器行为时,还用于:根据每个所述资源访问顺序序列计算所述目标行为从每个资源跳转访问另一个资源的概率,并将根据每个所述资源访问顺序序列计算出的概率组合成矩阵;计算各个所述矩阵之间的相似度;判断计算的各个所述矩阵之间的相似度中是否存在第三预设数量个大于等于第二相似度阈值的相似度;在存在第三预设数量个大于等于所述第二相似度阈值的相似度时,确定所述目标行为是机器行为。
可选地,检测模块在筛选获取的所述访问日志,得到用于检测机器行为的访问日志集合时,还用于:在获取的每个所述访问日志中,统计所述目标行为访问所有资源的总次数;将所有大于等于访问次数阈值的所述总次数对应的所述访问日志作为所述访问日志集合。
实施例七
图7示意性示出了根据本发明实施例七的适于实现行为检测方法的计算机设备的框图。本实施例中,计算机设备700可以是执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图7所示,本实施例的计算机设备700至少包括但不限于:可通过系统总线相互通信连接的存储器701、处理器702、网络接口703。需要指出的是,图7仅示出了具有组件701-703的计算机设备700,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器703至少包括一种类型的计算机可读存储介质,可读存储介质包括包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器701可以是计算机设备700的内部存储单元,例如该计算机设备700的硬盘或内存。在另一些实施例中,存储器701也可以是计算机设备700的外部存储设备,例如该计算机设备700上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器701还可以既包括计算机设备700的内部存储单元也包括其外部存储设备。在本实施例中,存储器701通常用于存储安装于计算机设备700的操作系统和各类应用软件,例如行为检测方法的程序代码等。此外,存储器701还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器702在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器702通常用于控制计算机设备700的总体操作。例如执行与计算机设备700进行数据交互或者通信相关的控制和处理等的行为检测方法的程序代码。
在本实施例中,存储于存储器701中的行为检测方法还可以被分割为一个或者多个程序模块,并由一个或多个处理器(本实施例为处理器702)所执行,以完成本发明。
网络接口703可包括无线网络接口或有线网络接口,该网络接口703通常用于在计算机设备700与其他计算机设备之间建立通信链接。例如,网络接口703用于通过网络将计算机设备700与外部终端相连,在计算机设备700与外部终端之间的建立数据传输通道和通信链接等。网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communication,简称为GSM)、宽带码分多址(Wideband CodeDivision Multiple Access,简称为WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
实施例八
本实施例八还提供一种计算机可读存储介质,包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等,其上存储有计算机程序,所述计算机程序被处理器执行时实现行为检测方法。
显然,本领域的技术人员应该明白,上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明实施例不限制于任何特定的硬件和软件结合。
本发明上述实施例序号仅仅为了描述,并不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种行为检测方法,其特征在于,所述方法包括:
接收目标行为的检测指令;
确定所述目标行为的检测指令指向的至少两个时间周期;
在确定的时间周期中获取至少两个所述时间周期内由所述目标行为产生的访问日志;
筛选获取的所述访问日志,得到用于检测机器行为的访问日志集合,根据所述访问日志集合检测所述目标行为是否是机器行为;
其中,所述根据所述访问日志集合检测所述目标行为是否是机器行为的步骤包括:
在所述访问日志集合的每个所述访问日志中,统计所述目标行为访问各个资源的次数,并将在每个所述访问日志中统计的次数作为资源访问次数组;
根据各个所述资源访问次数组检测所述目标行为是否是机器行为;
其中,根据各个所述资源访问次数组检测所述目标行为是否是机器行为的步骤包括:
根据每个所述资源访问次数组计算所述目标行为访问各个资源的概率,并将根据每个所述资源访问次数组计算出的概率作为资源访问概率组;
计算各个所述资源访问概率组的概率分布;
判断计算的所述概率分布中是否存在第二预设数量个符合均匀随机分布的概率分布;
在存在所述第二预设数量个符合所述均匀随机分布的概率分布时,确定所述目标行为是机器行为。
2.根据权利要求1所述的方法,其特征在于,根据各个所述资源访问次数组检测所述目标行为是否是机器行为的步骤包括:
计算各个所述资源访问次数组之间的相似度;
判断计算的各个所述资源访问次数组之间的相似度中是否存在第一预设数量个大于等于第一相似度阈值的相似度;
在存在所述第一预设数量个大于等于所述第一相似度阈值的相似度时,确定所述目标行为是机器行为。
3.根据权利要求1所述的方法,其特征在于,根据所述访问日志集合检测所述目标行为是否是机器行为的步骤包括:
在所述访问日志集合的每个所述访问日志中,按照时间顺序统计所述目标行为访问各个资源的顺序,并将在每个所述访问日志中统计的所述目标行为访问各个资源的顺序作为资源访问顺序序列;
根据各个所述资源访问顺序序列检测所述目标行为是否是机器行为。
4.根据权利要求3所述的方法,其特征在于,根据各个所述资源访问顺序序列检测所述目标行为是否是机器行为的步骤包括:
根据每个所述资源访问顺序序列计算所述目标行为从每个资源跳转访问另一个资源的概率,并将根据每个所述资源访问顺序序列计算出的概率组合成矩阵;
计算各个所述矩阵之间的相似度;
判断计算的各个所述矩阵之间的相似度中是否存在第三预设数量个大于等于第二相似度阈值的相似度;
在存在第三预设数量个大于等于所述第二相似度阈值的相似度时,确定所述目标行为是机器行为。
5.一种计算机设备,所述计算机设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述方法。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421740.1A CN111177656B (zh) | 2019-12-31 | 2019-12-31 | 一种行为检测方法、计算机设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421740.1A CN111177656B (zh) | 2019-12-31 | 2019-12-31 | 一种行为检测方法、计算机设备和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111177656A CN111177656A (zh) | 2020-05-19 |
| CN111177656B true CN111177656B (zh) | 2024-02-06 |
Family
ID=70657746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911421740.1A Active CN111177656B (zh) | 2019-12-31 | 2019-12-31 | 一种行为检测方法、计算机设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111177656B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113360899B (zh) * | 2021-07-06 | 2023-11-21 | 上海观安信息技术股份有限公司 | 一种机器行为的识别方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104239351A (zh) * | 2013-06-20 | 2014-12-24 | 阿里巴巴集团控股有限公司 | 一种用户行为的机器学习模型的训练方法及装置 |
| CN107493277A (zh) * | 2017-08-10 | 2017-12-19 | 福建师范大学 | 基于最大信息系数的大数据平台在线异常检测方法 |
| WO2019120241A1 (zh) * | 2017-12-22 | 2019-06-27 | 北京数安鑫云信息技术有限公司 | 基于日志的用户行为数据处理方法、介质、设备及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10135852B2 (en) * | 2016-09-09 | 2018-11-20 | Ca, Inc. | Bot detection based on behavior analytics |
-
2019
- 2019-12-31 CN CN201911421740.1A patent/CN111177656B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104239351A (zh) * | 2013-06-20 | 2014-12-24 | 阿里巴巴集团控股有限公司 | 一种用户行为的机器学习模型的训练方法及装置 |
| CN107493277A (zh) * | 2017-08-10 | 2017-12-19 | 福建师范大学 | 基于最大信息系数的大数据平台在线异常检测方法 |
| WO2019120241A1 (zh) * | 2017-12-22 | 2019-06-27 | 北京数安鑫云信息技术有限公司 | 基于日志的用户行为数据处理方法、介质、设备及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 张宇弘,王界兵,严晓浪,汪乐宇.标志预访问和组选择历史相结合的低功耗指令cache.电子学报.2004,(08),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111177656A (zh) | 2020-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110177108B (zh) | 一种异常行为检测方法、装置及验证系统 | |
| CN106254153B (zh) | 一种网络异常监控方法和装置 | |
| CN106657057B (zh) | 反爬虫系统及方法 | |
| CN108366012B (zh) | 一种社交关系建立方法、装置及电子设备 | |
| WO2017054504A1 (zh) | 一种身份验证方法、装置及存储介质 | |
| CN111339436B (zh) | 一种数据识别方法、装置、设备以及可读存储介质 | |
| CN112087452B (zh) | 异常行为检测方法、装置、电子设备及计算机存储介质 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN109685092B (zh) | 基于大数据的聚类方法、设备、存储介质及装置 | |
| CN110928880B (zh) | 基于区块链的数据处理方法、装置、终端及介质 | |
| CN110648180B (zh) | 一种调整投放渠道的方法、装置和电子设备 | |
| CN113992340B (zh) | 用户异常行为识别方法、装置、设备和存储介质 | |
| CN110708360A (zh) | 一种信息处理方法、系统和电子设备 | |
| CN111177656B (zh) | 一种行为检测方法、计算机设备和计算机可读存储介质 | |
| CN110659268A (zh) | 基于聚类算法的数据填充方法、装置及计算机设备 | |
| CN106713242B (zh) | 数据请求的处理方法及处理装置 | |
| CN109688109B (zh) | 基于客户端信息识别的验证码的验证方法及装置 | |
| CN109002715B (zh) | 一种基于卷积神经网络的恶意软件识别方法及系统 | |
| CN111475402A (zh) | 程序功能的测试方法及相关装置 | |
| CN112019377B (zh) | 网络用户角色识别的方法、系统、电子装置和存储介质 | |
| CN110674488B (zh) | 基于神经网络的验证码识别方法、系统及计算机设备 | |
| CN109783058B (zh) | 用户身份码生成方法、装置、计算机设备及存储介质 | |
| CN106294090A (zh) | 一种数据统计方法和装置 | |
| EP2784692A1 (en) | Filter regular expression | |
| CN113254672B (zh) | 异常账号的识别方法、系统、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: Qianxin Technology Group Co.,Ltd. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |