CN111262887B - 基于对象特征的网络风险检测方法、装置、设备及介质 - Google Patents
基于对象特征的网络风险检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN111262887B CN111262887B CN202010338805.2A CN202010338805A CN111262887B CN 111262887 B CN111262887 B CN 111262887B CN 202010338805 A CN202010338805 A CN 202010338805A CN 111262887 B CN111262887 B CN 111262887B
- Authority
- CN
- China
- Prior art keywords
- sample
- feature vector
- detection result
- vector
- object information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种基于对象特征的网络风险检测方法、装置、设备及介质,属于计算机技术领域。该方法包括:接收携带对象信息的访问请求,对该对象信息进行特征提取得到特征向量,通过检测模型对该特征向量进行检测得到检测结果,在检测结果满足预设条件的情况下将对象确定为风险对象,实现了对网络风险的自动检测,无需人工进行分析,可以节省人力和时间,提高网络风险检测的准确性和效率。并且,通过检测模型对应的解释模型,对该特征向量进行处理得到解释向量,根据该解释向量可以得知特征向量中的哪些特征值导致该特征向量对应的对象被检测为风险对象,使检测结果便于理解,通过检测模型对应的解释模型实现了该检测模型的可解释性。
Description
技术领域
本申请实施例涉及计算机技术领域,特别涉及一种基于对象特征的网络风险检测方法、装置、设备及介质。
背景技术
随着计算机技术的飞速发展,网络安全问题日益凸显,网络中存在可疑设备或者可疑IP(Internet Protocol,网际互连协议)地址等风险对象,这些风险对象经常进行恶意行为的现象,如风险对象对网站进行攻击、恶意刷票、恶意抢票、恶意访问、在网站上实施欺诈行为等。因此需要对网络上的风险对象进行检测,以便保护网络安全。
相关技术中,当接收到访问请求时,获取发起该访问请求的对象对应的对象信息,人工对对象信息进行分析,来判断该对象是否为风险对象。但是,该方法仅通过人工对对象信息进行分析,难以保证对风险对象进行检测的准确性,耗费人力和时间。
发明内容
本申请实施例提供了一种基于对象特征的网络风险检测方法、装置、设备及介质,可以提高风险对象检测的效率和准确性。所述技术方案如下:
一方面,提供了一种基于对象特征的网络风险检测方法,所述方法包括:
接收访问请求,所述访问请求携带对象信息,所述对象信息用于指示发起所述访问请求的对象;
对所述对象信息进行特征提取,得到所述对象对应的特征向量;
通过检测模型对所述特征向量进行检测,得到所述特征向量对应的检测结果;
在所述检测结果满足预设条件的情况下,将所述对象确定为风险对象;
通过所述检测模型对应的解释模型,对所述特征向量进行处理,得到所述特征向量的解释向量,所述特征向量包括多个维度的特征值,所述解释向量包括所述多个维度的特征值的权重,所述权重用于表示所述特征向量中对应的特征值对所述检测结果的影响程度。
可选地,所述检测结果包括第一数值和第二数值,所述第一数值表示所述对象是风险对象的概率,所述第二数值表示所述对象不是风险对象的概率;
所述在所述检测结果满足预设条件的情况下,将所述对象确定为风险对象,包括:
在所述第一数值大于所述第二数值的情况下,将所述对象确定为风险对象。
可选地,所述检测结果包括第一数值,所述第一数值表示所述对象是风险对象的概率,所述在所述检测结果满足预设条件的情况下,将所述对象确定为风险对象,包括:
在所述第一数值大于预设阈值的情况下,将所述对象确定为风险对象。
一方面,提供了一种模型训练方法,所述方法包括:
获取第一样本对象信息对应的第一样本特征向量;
通过检测模型对所述第一样本特征向量进行检测,得到所述第一样本特征向量对应的第一目标检测结果;
对所述第一样本特征向量进行扰动处理,得到所述第一样本特征向量对应的多个扰动特征向量;
通过所述检测模型,分别对每个扰动特征向量进行检测,得到所述每个扰动特征向量对应的第二目标检测结果;
根据所述第一样本特征向量、所述多个扰动特征向量、所述第一目标检测结果和多个第二目标检测结果,训练解释模型。
另一方面,提供了一种基于对象特征的网络风险检测装置,所述装置包括:
请求接收模块,用于接收访问请求,所述访问请求携带对象信息,所述对象信息用于指示发起所述访问请求的对象;
特征提取模块,用于对所述对象信息进行特征提取,得到所述对象对应的特征向量;
检测模块,用于通过检测模型对所述特征向量进行检测,得到所述特征向量对应的检测结果;
确定模块,用于在所述检测结果满足预设条件的情况下,将所述对象确定为风险对象;
解释模块,用于通过所述检测模型对应的解释模型,对所述特征向量进行处理,得到所述特征向量的解释向量,所述特征向量包括多个维度的特征值,所述解释向量包括所述多个维度的特征值的权重,所述权重用于表示所述特征向量中对应的特征值对所述检测结果的影响程度。
可选地,所述装置还包括:
获取模块,用于获取第一样本对象信息对应的第一样本特征向量;
所述检测模块,还用于通过所述检测模型对所述第一样本特征向量进行检测,得到所述第一样本特征向量对应的第一目标检测结果;
扰动处理模块,用于对所述第一样本特征向量进行扰动处理,得到所述第一样本特征向量对应的多个扰动特征向量;
所述检测模块,还用于通过所述检测模型,分别对每个扰动特征向量进行检测,得到所述每个扰动特征向量对应的第二目标检测结果;
第一训练模块,用于根据所述第一样本特征向量、所述多个扰动特征向量、所述第一目标检测结果和多个第二目标检测结果,训练所述解释模型。
可选地,所述第一训练模块,包括:
距离获取单元,用于分别获取所述每个扰动特征向量与所述第一样本特征向量之间的距离;
调整单元,用于根据所述每个扰动特征向量与所述第一样本特征向量之间的距离,分别对所述每个扰动特征向量对应的第二目标检测结果进行调整,得到所述每个扰动特征向量对应的第三目标检测结果;
训练单元,用于根据所述第一目标检测结果与多个第三目标检测结果之间的差异,训练所述解释模型。
可选地,所述装置还包括:
所述解释模块,还用于通过训练后的所述解释模型,对所述第一样本特征向量进行处理,得到所述第一样本特征向量对应的样本解释向量,所述第一样本特征向量包括多个维度的特征值,所述样本解释向量包括所述多个维度的特征值的权重,所述权重用于表示所述第一样本特征向量中对应的特征值,对所述第一样本特征向量对应的第一样本检测结果的影响程度;
调整模块,用于根据所述样本解释向量中的多个权重,对所述第一样本特征向量中的多个特征值进行调整,得到调整后的第二样本特征向量;
第二训练模块,用于根据所述第二样本特征向量和所述第一样本检测结果,继续训练所述检测模型。
可选地,所述装置还包括:
所述获取模块,还用于获取第二样本对象信息对应的第三样本特征向量和第二样本检测结果;
所述检测模块,还用于通过所述检测模型,对所述第三样本特征向量进行检测,得到所述第二样本对象信息对应的第四目标检测结果;
第三训练模块,用于根据所述第二样本检测结果和所述第四目标检测结果之间的误差,对所述检测模型进行训练,以使通过训练后的检测模型检测后得到的检测结果的误差减小。
可选地,所述对象信息包括对象标识,所述特征提取模块,包括:
选取单元,用于若接收到多个访问请求,根据所述多个访问请求携带的对象信息中的对象标识,选取包括目标对象标识的至少一条对象信息,所述目标对象标识为任一对象标识;
特征提取单元,用于对所述至少一条对象信息进行特征提取,得到所述目标对象标识对应的特征向量。
可选地,所述选取单元,还用于:
若接收到多个访问请求,将所述多个访问请求携带的对象信息进行分组,得到多组对象信息集合,每组对象信息集合中的至少一条对象信息包括相同的对象标识;
从所述多组对象信息集合中,确定所述目标对象标识对应的目标对象信息集合,选取所述目标对象信息集合中的至少一条对象信息。
可选地,所述装置还包括:
解析处理模块,用于对所述访问请求进行解析处理,得到所述访问请求中携带的所述对象信息。
可选地,所述解析处理模块,包括:
第一解析单元,用于所述对象为设备,对所述访问请求进行解析处理,得到所述访问请求携带的设备信息,所述设备信息用于指示发起所述访问请求的设备;或者,
第二解析单元,用于所述对象为网际互连协议IP地址,对所述访问请求进行解析处理,得到所述访问请求携带的IP地址信息,所述IP地址信息用于指示发起所述访问请求的IP地址。
可选地,所述检测结果包括第一数值和第二数值,所述第一数值表示所述对象是风险对象的概率,所述第二数值表示所述对象不是风险对象的概率;
所述确定模块,包括:
第一确定单元,用于在所述第一数值大于所述第二数值的情况下,将所述对象确定为风险对象。
可选地,所述检测结果包括第一数值,所述第一数值表示所述对象是风险对象的概率,所述确定模块,包括:
第二确定单元,用于在所述第一数值大于预设阈值的情况下,将所述对象确定为风险对象。
另一方面,提供了一种模型训练装置,所述装置包括:
获取模块,用于获取第一样本对象信息对应的第一样本特征向量;
检测模块,用于通过检测模型对所述第一样本特征向量进行检测,得到所述第一样本特征向量对应的第一目标检测结果;
扰动处理模块,用于对所述第一样本特征向量进行扰动处理,得到所述第一样本特征向量对应的多个扰动特征向量;
所述检测模块,还用于通过所述检测模型,分别对每个扰动特征向量进行检测,得到所述每个扰动特征向量对应的第二目标检测结果;
第一训练模块,用于根据所述第一样本特征向量、所述多个扰动特征向量、所述第一目标检测结果和多个第二目标检测结果,训练解释模型。
可选地,所述第一训练模块,包括:
距离获取单元,用于分别获取所述每个扰动特征向量与所述第一样本特征向量之间的距离;
调整单元,用于根据所述每个扰动特征向量与所述第一样本特征向量之间的距离,分别对所述每个扰动特征向量对应的第二目标检测结果进行调整,得到所述每个扰动特征向量对应的第三目标检测结果;
训练单元,用于根据所述第一目标检测结果与多个第三目标检测结果之间的差异,训练所述解释模型。
可选地,所述装置还包括:
解释模块,用于通过训练后的所述解释模型,对所述第一样本特征向量进行处理,得到所述第一样本特征向量对应的样本解释向量,所述第一样本特征向量包括多个维度的特征值,所述样本解释向量包括所述多个维度的特征值的权重,所述权重用于表示所述第一样本特征向量中对应的特征值,对所述第一样本特征向量对应的第一样本检测结果的影响程度;
调整模块,用于根据所述样本解释向量中的多个权重,对所述第一样本特征向量中的多个特征值进行调整,得到调整后的第二样本特征向量;
第二训练模块,用于根据所述第二样本特征向量和所述第一样本检测结果,继续训练所述检测模型。
另一方面,提供了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现如所述基于对象特征的网络风险检测方法中所执行的操作,或者实现如所述模型训练方法中所执行的操作。
再一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行,以实现如所述基于对象特征的网络风险检测方法中所执行的操作,或者实现如所述模型训练方法中所执行的操作。
本申请实施例提供的方法、装置、设备及介质,接收携带对象信息的访问请求,对该对象信息进行特征提取,得到对象对应的特征向量,通过检测模型对该特征向量进行检测,得到特征向量对应的检测结果,在检测结果满足预设条件的情况下,将对象确定为风险对象,实现了对网络风险的自动检测,无需人工对对象信息进行分析,可以节省人力和时间,提高网络风险检测的准确性和效率。并且,通过检测模型对应的解释模型,对该特征向量进行处理,得到特征向量的解释向量,根据该解释向量可以得知特征向量中的哪些特征值导致该特征向量对应的对象被检测为风险对象,使检测结果更便于理解,因此通过检测模型对应的解释模型实现了该检测模型的可解释性。
并且,本申请实施例中的对象可以为设备、IP地址、账号等,因此在发起访问请求的对象不同的情况下,仍可以对该对象进行检测,判断该对象是否为风险对象,扩大了网络风险检测的适用性。
并且,若接收到多个访问请求,根据多个访问请求携带的对象信息中的对象标识,选取包括目标对象标识的至少一条对象信息,对至少一条对象信息进行特征提取,得到目标对象标识对应的特征向量,通过检测模型对该特征向量进行检测得到检测结果,因此可以实现对多条对象信息进行检测,而不是仅对单条对象信息进行处理,可以更加全面的对对象的对象信息进行自动分析,提高网络风险检测的准确性。
并且,基于检测模型对对象信息进行处理来实现风险对象的检测方案,检测模型的部署简单、可靠性强、覆盖率高,可以利用机器学习自动进行全方位多维度的检测,提高了网络风险检测的准确性和效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种基于对象特征的网络风险检测方法的系统架构图;
图2是本申请实施例提供的一种基于对象特征的网络风险检测方法的流程图;
图3是本申请实施例提供的一种基于对象特征的网络风险检测方法的流程图;
图4是本申请实施例提供的一种检测模型训练方法的流程图;
图5是本申请实施例提供的一种解释模型训练方法的流程图;
图6是本申请实施例提供的一种模型训练方法的流程图;
图7是本申请实施例提供的另一种基于对象特征的网络风险检测方法的流程图;
图8是本申请实施例提供的一种基于对象特征的网络风险检测装置的结构示意图;
图9是本申请实施例提供的另一种基于对象特征的网络风险检测装置的结构示意图;
图10是本申请实施例提供的一种模型训练装置的结构示意图;
图11是本申请实施例提供的另一种模型训练装置的结构示意图;
图12是本申请实施例提供的一种终端的结构示意图;
图13是本申请实施例提供的一种服务器的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种概念,但除非特别说明,这些概念不受这些术语限制。这些术语仅用于将一个概念与另一个概念区分。举例来说,在不脱离本申请的范围的情况下,可以将第一样本特征向量称为第二样本特征向量,且类似地,可将第二样本特征向量称为第一样本特征向量。
其中,至少一条是指一条或者一条以上,例如,至少一条对象信息可以是一条对象信息、两条对象信息、三条对象信息等任一大于等于一的整数条对象信息。多个是指两个或者两个以上,例如,多个访问请求可以是两个访问请求、三个访问请求等任一大于等于二的整数个访问请求。每组是指至少一组中的每一组,例如,每组对象信息集合是指多组对象信息集合中的每一组对象信息集合,若多组对象信息集合为3组对象信息集合,则每组对象信息集合是指3组对象信息集合中的每一组对象信息集合。
人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法,使机器具有感知、推理与决策的功能。
人工智能技术是一门综合学科,涉及领域广泛,既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术包括自然语言处理技术和机器学习。
机器学习(Machine Learning, ML)是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能。机器学习是人工智能的核心,是使计算机具有智能的根本途径,其应用遍及人工智能的各个领域。机器学习和深度学习通常包括人工神经网络、置信网络、强化学习、迁移学习、归纳学习、示教学习等技术。
云技术(Cloud Technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云安全(Cloud Security) 是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1、云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2、安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3、云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
以下将基于人工智能技术和云技术,对本申请实施例提供的基于对象特征的网络风险检测方法进行说明。
本申请实施例提供了一种基于对象特征的网络风险检测方法,执行主体为计算机设备。
在一种可能实现方式中,该计算机设备可以为终端,终端可以是手机、计算机、平板电脑、智能电视、笔记本电脑、台式计算机、智能音箱、智能手表等多种类型的设备。
或者,该计算机设备可以为服务器。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(ContentDelivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
图1是本申请实施例提供的一种基于对象特征的网络风险检测方法的系统架构图,参见图1,该系统架构中包括模型训练模块101、特征提取模块102、特征检测模块103和结果解释模块104。
其中,模型训练模块101用于通过对标注好的训练数据进行模型训练,得到准确率较高的检测模型和解释模型,检测模型用于检测风险对象,解释模型用于对检测模型输出的检测结果进行解释。特征提取模块102用于在检测过程中对对象信息进行特征提取,得到对应的特征向量。特征检测模块103用于通过训练好的检测模型对特征向量进行检测,从而得到对象的检测结果。结果解释模块104用于对检测出的风险对象的特征向量进行处理,得到对应的解释向量,以便根据解释向量对检测结果进行辅助分析。
本申请实施例提供的基于对象特征的网络风险检测方法,可应用于检测对象是否为风险对象的场景下。
例如,在领红包场景下,可以获取该领红包场景下接收到的任一红包领取请求,获取红包领取请求中携带的设备信息,对获取到的设备信息进行特征提取,得到特征向量,通过检测模型对特征向量进行检测,得到检测结果,根据检测结果以及预设条件,判断该设备信息对应的设备是否为恶意领红包的设备。又如,还可以应用于检测恶意抢票的对象、恶意刷票的对象等多种应用场景中。
图2是本申请实施例提供的一种基于对象特征的网络风险检测方法的流程图。本申请实施例的执行主体为计算机设备,参见图2,该方法包括。
201、接收访问请求,该访问请求携带对象信息。
当计算机设备接收到其他设备发送的访问请求,对该访问请求进行解析处理,得到访问请求中携带的对象信息。
其中,访问请求可以包括对网站、应用客户端或者数据的访问请求,还可以包括其他类型的访问请求。计算机设备可以是被访问的设备,也可以是拦截到该访问请求的设备。该访问请求中的对象信息用于指示发起访问请求的对象,发起访问请求的对象可以包括设备、IP地址、账号等。对象信息可以包括对象标识、对象属性、对象类型等与该对象相关的信息,例如,对象信息为设备信息,该设备信息中可以包括设备标识、设备型号、设备的屏幕宽度、设备的屏幕高度、设备的操作系统类型等。
202、对该对象信息进行特征提取,得到对象对应的特征向量。
当计算机设备获取到访问请求携带的对象信息,对该对象信息进行特征提取,得到该对象信息所指示的对象对应的特征向量。
其中,该特征向量用于表示该对象的特征。该特征向量可以为多维的特征向量,包括多个特征值,每个维度的特征值可以表示该对象的一种特征。
203、通过检测模型对特征向量进行检测,得到特征向量对应的检测结果。
当计算机设备得到该对象对应的特征向量,获取检测模型,将该特征向量输入检测模型中,通过该检测模型对该特征向量进行检测,得到该特征向量对应的检测结果。
其中,风险对象是指存在可疑行为的对象,可疑行为可以包括欺诈行为、攻击网站行为、恶意访问行为等。检测模型用于对输入的特征向量进行风险检测,得到检测结果,该检测结果可用于判断特征向量对应的对象是否为风险对象。
其中,该检测模型为该计算机设备预先存储的检测模型,可以由该计算机设备从其他设备中下载得到,可以由其他设备上传至该计算机设备中,还可以为开发人员上传至该计算机设备中。
204、在检测结果满足预设条件的情况下,将对象确定为风险对象。
当计算机设备获取到检测模型输出的检测结果时,判断该检测结果是否满足预设条件。当检测结果满足预设条件时,计算机设备将该特征向量对应的对象确定为风险对象;当检测结果不满足预设条件时,计算机设备将该特征向量对应的对象确定为非风险对象。
其中,预设条件为风险对象应当满足的条件,可以由计算机设备默认设置,或者由开发人员自行设置。
205、通过检测模型对应的解释模型,对特征向量进行处理,得到特征向量的解释向量。
当计算机设备确定特征向量对应的对象为风险对象时,获取该检测模型对应的解释模型,将该特征向量输入到解释模型中,由该解释模型对该特征向量进行处理,得到该特征向量的解释向量。
其中,解释模型用于解释该特征向量中的每个特征值对该特征向量的检测结果的影响程度,解释模型可以对输入的特征向量进行处理得到解释向量。该解释模型为根据该检测模型进行训练所得到的模型,可以由该计算机设备从其他设备中下载得到,可以由其他设备上传至该计算机设备中,还可以由开发人员上传至该计算机设备中。
其中,特征向量包括多个维度的特征值,解释向量包括多个维度的特征值的权重,权重用于表示特征向量中对应的特征值对检测结果的影响程度。
本申请实施例提供的方法,接收携带对象信息的访问请求,对该对象信息进行特征提取,得到对象对应的特征向量,通过检测模型对该特征向量进行检测,得到特征向量对应的检测结果,在检测结果满足预设条件的情况下,将对象确定为风险对象,实现了对网络风险的自动检测,无需人工对对象信息进行分析,可以节省人力和时间,提高网络风险检测的准确性和效率。并且,通过检测模型对应的解释模型,对该特征向量进行处理,得到特征向量的解释向量,根据该解释向量可以得知特征向量中的哪些特征值导致该特征向量对应的对象被检测为风险对象,使检测结果更便于理解,因此通过检测模型对应的解释模型实现了该检测模型的可解释性。
图3是本申请实施例提供的一种基于对象特征的网络风险检测方法的流程图。本申请实施例的执行主体为计算机设备,参见图3,该方法包括。
301、计算机设备接收到多个访问请求,根据多个访问请求携带的对象信息中的对象标识,选取包括目标对象标识的至少一条对象信息。
计算机设备具有管理网站数据、应用数据或者其他数据的功能,当任一设备想要访问该计算机设备所管理的网站或者应用时,可以向该计算机设备发送携带对象信息的访问请求,因此该计算机设备可以接收该任一设备发送的访问请求,获取该访问请求中携带的对象信息,从而对该对象信息进行处理。
访问请求中携带对象信息,该对象信息用于指示发起访问请求的对象,该发起访问请求的对象可以为发起访问请求的设备,也可以为发起访问请求的IP地址或者账号等。该对象信息中可以包括用于描述对象的信息,如对象标识、对象属性、对象类型等。其中,对象标识可以为对象名称、对象编号等。
其中,该对象信息可以为设备指纹信息,设备指纹信息包括可以用于唯一标识该设备的信息,如该设备的设备特征或者设备标识等,例如设备指纹信息可以包括设备的名称、设备的唯一序列号、设备的生产标识等。
在一种可能实现方式中,计算机设备接收到访问请求时,对该访问请求进行解析处理,得到访问请求中携带的对象信息。
可选地,发起访问请求的对象为设备,则该计算机设备对该访问请求进行解析处理,得到访问请求携带的设备信息,该设备信息用于指示发起访问请求的设备。设备信息中可以包括设备标识、设备属性、设备类型等用于描述该设备的信息。例如设备信息中包括该设备对应的IP(Internet Protocol,网际互连协议)地址数目、设备标识、屏幕宽度、屏幕高度、操作系统的类型、操作系统的版本、浏览器的平台、浏览器的类型、浏览器安装的插件、是否支持触屏、浏览器的语言、浏览器的版本号等。
可选地,发起访问请求的对象为IP地址,则该计算机设备对该访问请求进行解析处理,得到访问请求携带的IP地址信息,该IP地址信息用于指示发起访问请求的IP地址。IP地址信息中可以包括IP地址标识、IP地址属性、IP地址类型等用于描述该IP地址的信息。例如IP地址信息中包括该IP地址对应的设备数目、IP地址标识、屏幕宽度、屏幕高度、操作系统的类型、操作系统的版本、浏览器的平台、浏览器的类型、浏览器安装的插件、是否支持触屏、浏览器的语言、浏览器的版本号等。
可选地,发起访问请求的对象为账号,则该计算机设备对该访问请求进行解析处理,得到访问请求携带的账号信息,该账号信息用于指示发起访问请求的账号。账号信息中可以包括账号标识、账号类型等用于描述该账号的信息。例如账号信息中包括该账号对应的设备数目、IP地址数目、账号标识、屏幕宽度、屏幕高度、操作系统的类型、操作系统的版本、浏览器的平台、浏览器的类型、浏览器安装的插件、是否支持触屏、浏览器的语言、浏览器的版本号等。
可选地,在本申请实施例中以该计算机设备在某一时间段内接收到多个访问请求为例,因此计算机设备可以获取多个访问请求中每个访问请求携带的对象信息,当计算机设备想要检测某一对象是否为风险对象时,可以根据对象信息中的对象标识,在多个对象信息中选取包括该对象的目标对象标识的至少一条对象信息。
其中,计算机设备接收到的多个访问请求,可以为同一个设备在不同时间点发送的访问请求,也可以为不同设备发送的访问请求。
其中,当计算机设备想要检测某一对象是否为风险对象时,可以确定该对象的对象标识,将该对象标识作为目标对象标识。计算机设备检测的对象可以为任一对象,因此该目标对象标识为任一对象标识。
在另一种可能实现方式中,若计算机设备接收到多个访问请求,则计算机设备将多个访问请求携带的对象信息进行分组,得到多组对象信息集合。其中,每组对象信息集合中的至少一条对象信息包括相同的对象标识。计算机设备从多组对象信息集合中,确定目标对象标识对应的目标对象信息集合,选取目标对象信息集合中的至少一条对象信息。
当计算机设备接收到多条访问请求,该计算机设备获取多个访问请求中每个访问请求携带的对象信息,确定每条对象信息中包括的对象标识,根据对象标识将多条对象信息进行分组,组成对象信息集合,且使每组对象信息集合中的对象信息所包括的对象标识相同,也即是将包括相同对象标识的对象信息分为一组对象信息集合,由此得到多组对象信息集合,则每组对象信息集合都对应一个对象标识,每组对象信息集合中包括至少一条对象信息。当需要检测某一对象是否为风险对象时,确定该对象对应的目标对象标识,计算机设备从多组对象信息集合中,确定该目标对象标识对应的目标对象信息集合,获取该目标对象信息集合中的至少一条对象信息,该至少一条对象信息即为包括目标对象标识的对象信息,该至少一条对象信息均用于指示该目标对象标识对应的对象。
在另一种可能实现方式中,计算机设备接收多个访问请求,获取每个访问请求中携带的对象信息,将获取到的对象信息存储下来。当需要检测风险对象时,计算机设备获取预设时间段内存储的多条对象信息,在该多条对象信息中,选取包括目标对象标识的至少一条对象信息。其中,预设时间段可以为一天、两天、12个小时等,该预设时间段可以由计算机设备默认设置,或者由开发人员自行设置,本申请对此不做限定。
302、计算机设备对该至少一条对象信息进行特征提取,得到目标对象标识对应的特征向量。
当计算机设备获取到该至少一条对象信息后,对该至少一条对象信息进行特征提取,得到目标对象标识对应的特征向量,该特征向量用于描述目标对象标识对应的对象的特征。
其中,该特征向量包括多个维度的特征值,每个特征值用于表示对象的一种特征,该特征向量中可以包括总数量型特征值、最大数量型特征值以及比例型特征值等。总数量型特征值用于表示该对象的某一参数的总数量,最大数量型特征值用于表示该对象的某一参数的最大数量,比例型特征值用于表示该对象的某一参数与预设参数之间的比例。
以该对象为设备为例进行说明,则设备信息的特征向量中的总数量型特征值可以包括:
total_num:用于表示该设备对应的对象信息的总数量;
ip_num:用于表示该设备对应的IP地址的总数量;
typeip_num:用于表示该设备对应的不同类型的IP地址的总数量;
tagip_num:用于表示该设备对应的不同标签的IP地址的总数量;
os_appversion_num:用于表示该设备对应的不同版本的应用程序的总数量;
os_osinfo_num:用于表示该设备对应的不同版本的操作系统的总数量;
maxtouchpoint_num:用于表示该设备对应的不同最大接触点的总数量;
plugins_num:用于表示该设备包含的插件的总数量。
设备信息的特征向量中的最大数量型特征值可以包括:
ip_max_num:用于表示该设备对应的相同IP地址的最大数量;
plugins_max:用于表示该设备对应的相同插件的最大数量。
设备信息的特征向量中的比例型特征值可以包括:
width_less_ratio:用于表示该设备的屏幕宽度小于可用宽度的个数比例;
height_less_ratio:用于表示该设备的屏幕高度小于可用高度的个数比例;
height_larger_ratio:用于表示该设备的屏幕高度大于可用高度的个数比例;
width_height_neq_ratio:用于表示该设备的屏幕宽度和高度都不等于可用宽度和高度的个数比例;
android_ratio:用于表示该设备运行安卓系统的比例;
linux_i686_ratio:用于表示该设备的系统架构为Linux i686(一种操作系统)的比例;
android5_appversion_ratio:用于表示该设备的操作系统是android5.1(安卓5.1系统)的比例;
os_appversion_low_ratio:用于表示该设备的操作系统版本低于6.0的比例;
maxtouchpoint2_ratio:用于表示该设备的最大接触点为2的比例;
colordepth32_ratio:用于表示该设备的色彩深度为32位的比例;
evallength33_ratio:用于表示该设备的评估长度为33的比例;
indexeddatabase_ratio:用于表示该设备支持索引数据库的比例;
opendatabase_ratio:用于表示该设备支持开放数据库的比例;
webdriver_ratio:用于表示该设备运行自动化浏览器的比例;
hasliedlanguages_ratio:用于表示该设备的浏览器语言有问题的比例。
其中,IP地址信息的特征向量中的特征值与上述设备信息的特征向量中的特征值类似,仅有部分维度所表示的特征值不同。例如设备信息的特征向量中的特征值包括IP地址数量的特征值,但是没有设备数量的特征值,而IP地址信息的特征向量中的特征值包括设备数量的特征值,没有IP地址数量的特征值。
以上仅是本申请实施例以设备信息为例,对对象信息的特征向量中的特征值进行的举例说明,本申请实施例对对象信息的特征向量不做限定。
在一种可能实现方式中,计算机设备对该至少一条对象信息进行特征提取,得到目标对象标识对应的特征向量后,还可以将该特征向量进行归一化处理,得到目标对象标识对应的归一化后的特征向量。
303、计算机设备通过检测模型对特征向量进行检测,得到特征向量对应的检测结果。
当计算机设备获取到特征向量后,获取检测模型,将该特征向量输入检测模型中,通过该检测模型对该特征向量进行检测,得到该特征向量对应的检测结果。
其中,检测模型用于对输入的特征向量进行风险检测得到检测结果,该检测结果可用于判断特征向量对应的对象是否为风险对象,风险对象是指存在可疑行为的对象,可疑行为可以包括欺诈行为、攻击网站、恶意访问等。
其中,该检测模型可以为树模型、SVM(Support Vector Machine,支持向量机)模型、LR(Logistic Regression,逻辑回归)模型、神经网络模型等多种类型的模型,或者该检测模型还可以采用SVM模型、LR模型或者神经网络模型结合SHAP(SHapley AdditiveexPlanations,模型可解释性)、Permutation(置换)等可解释性算法来得到,本申请实施例对此不做限定。
其中,当检测模型为树模型时,该树模型可以包括RF(RandomForests,随机森林)模型、GBDT(GradientBoostingDecisionTree,梯度下降树)模型、XGBoost(eXtremeGradientBoosting,分布式梯度增强树)模型、LightGBM(Light GradientBoosting Machine,轻型梯度提升树)模型等。
RF模型的本质是由多棵决策树组成的决策树森林,在树和森林的构建过程中包含两重随机,分别是在训练一棵分类树时随机选择部分样本信息和随机选择部分特征向量。RF模型中的剪枝策略主要包括限制最大深度、限制最小样本分裂、限制最小样本节点数目以及样本分裂点的必须达到预设阈值等。在训练好RF模型后,在预测时对输入的样本特征向量是由多个决策树通过投票方式共同决策的,哪一类获得的票数多则预测为哪一类。
GBDT模型虽然也是由多颗树共同决策,但是多颗树的学习过程是串行的,也就是后面的树的学习和决策需要依赖前面树的结果。后面的树所学的是前面树的结论和残差,即后面的树的输入是前面树的输出和真实值的差值。
XGBoost模型基于GBDT模型做了优化,在提升模型速度方面增加了并行化机制,即在获取不同特征值的增益时采用并行化计算,在确定特征值时采用可并行的近似直方图算法。在提升模型准确率方面增加了正则机制,限制了模型了复杂度,提高了泛化能力。
LightGBM模型采用histogram(直方图)算法进行特征选择,将连续的多个数值转换为直方图中的预设数量个离散值,计算效率高。LightGBM模型抛除了按层生长的策略,采用按叶子生长的策略,在分裂次数相同的情况下,可以减少不必要的搜索和分裂,提高了模型的准确率。
304、计算机设备在检测结果满足预设条件的情况下,将对象确定为风险对象。
当计算机设备获取到检测模型输出的检测结果时,判断该检测结果是否满足预设条件。当检测结果满足预设条件时,计算机设备将该特征向量对应的对象确定为风险对象;当检测结果不满足预设条件时,计算机设备将该特征向量对应的对象确定为非风险对象。
在一种可能实现方式中,预设条件为:对象是风险对象的概率大于不是风险对象的概率,而上述检测结果包括第一数值和第二数值,第一数值表示对象是风险对象的概率,第二数值表示对象不是风险对象的概率。则计算机设备在第一数值大于第二数值的情况下,将对象确定为风险对象。
当计算机设备获取到检测模型输出的检测结果时,对检测结果中的第一数值和第二数值进行比较。若第一数值大于第二数值,则说明该对象是风险对象的概率大于该对象不是风险对象的概率,则计算机设备将对象确定为风险对象。若第一数值不大于第二数值,则说明该对象是风险对象的概率不大于该对象不是风险对象的概率,则计算机设备将对象确定为非风险对象。
可选地,该检测模型为二分类模型,该检测模型输出的检测结果为二维向量,二维向量中包括第一数值和第二数值,且第一数值和第二数值的和为1。例如,第一数值为0.6,第二数值为0.4,则第一数值大于第二数值,计算机设备将对象确定为风险对象。
在另一种可能实现方式中,预设条件为:对象是风险对象的概率大于预设阈值,而上述检测结果包括第一数值,第一数值表示对象是风险对象的概率。则计算机设备在第一数值大于预设阈值的情况下,将对象确定为风险对象。
当计算机设备获取到检测模型输出的检测结果时,对检测结果中的第一数值和预设阈值进行比较。若第一数值大于预设阈值,则说明该对象是风险对象的概率较大,则计算机设备将对象确定为风险对象。若第一数值不大于预设阈值,则说明该对象是风险对象的概率较小,则计算机设备将对象确定为非风险对象。
该预设阈值可以根据第一数值的取值范围进行设置,例如当第一数值的取值范围为0到1时,可以将预设阈值设置为0.8,则当第一数值大于0.8时,计算机设备将对象确定为风险对象。其中,该预设阈值可以由计算机设备默认设置,或者由开发人员自行设置。
305、计算机设备通过检测模型对应的解释模型,对特征向量进行处理,得到特征向量的解释向量。
由于检测结果为检测模型对特征向量进行检测所得到的结果,计算机设备仅可以根据检测结果和预设条件确定风险对象,却无法直观地根据检测结果得知该风险对象为何被检测为风险对象、该对象的哪一个维度的特征导致该对象被检测为了风险对象。而且若直接查询该风险对象对应的对象信息,也不能方便地根据对象信息分析为何该对象被检测为了风险对象。因此这里采用解释模型来对某一风险对象的检测结果进行解释,也即是根据解释模型输出该风险对象的解释向量。
因此,当计算机设备确定特征向量对应的对象为风险对象时,获取该检测模型对应的解释模型,将该特征向量输入到解释模型中,由该解释模型对该特征向量进行处理,得到该特征向量的解释向量。
其中,特征向量包括多个维度的特征值,解释向量包括多个维度的特征值的权重,权重用于表示特征向量中对应的特征值对检测结果的影响程度,权重越高,代表特征向量中对应的特征值对检测结果的影响程度越大。因此,根据解释向量中多个维度的特征值的权重,即可得知特征向量中的哪些特征值导致该特征向量对应的对象被检测为风险对象。
其中,解释模型用于解释特征向量中的每个特征值对特征向量的检测结果的影响程度,解释模型可以对输入的特征向量进行处理得到解释向量。该解释模型的训练过程详见下述图4至图6提供的实施例,本申请实施例在此暂不做说明。其中,该解释模型为根据该检测模型进行训练所得到的模型,可以由该计算机设备从其他设备中下载得到,可以由其他设备上传至该计算机设备中,还可以由开发人员上传至该计算机设备中。
本申请实施例提供的方法,接收携带对象信息的访问请求,对该对象信息进行特征提取,得到对象对应的特征向量,通过检测模型对该特征向量进行检测,得到特征向量对应的检测结果,在检测结果满足预设条件的情况下,将对象确定为风险对象,实现了对网络风险的自动检测,无需人工对对象信息进行分析,可以节省人力和时间,提高网络风险检测的准确性和效率。并且,通过检测模型对应的解释模型,对该特征向量进行处理,得到特征向量的解释向量,根据该解释向量可以得知特征向量中的哪些特征值导致该特征向量对应的对象被检测为风险对象,使检测结果更便于理解,因此通过检测模型对应的解释模型实现了该检测模型的可解释性。
并且,本申请实施例中的对象可以为设备、IP地址、账号等,因此在发起访问请求的对象不同的情况下,仍可以对该对象进行检测,判断该对象是否为风险对象,扩大了网络风险检测的适用性。
并且,若接收到多个访问请求,根据多个访问请求携带的对象信息中的对象标识,选取包括目标对象标识的至少一条对象信息,对至少一条对象信息进行特征提取,得到目标对象标识对应的特征向量,通过检测模型对该特征向量进行检测得到检测结果,因此可以实现对多条对象信息进行检测,而不是仅对单条对象信息进行处理,可以更加全面的对对象的对象信息进行自动分析,提高网络风险检测的准确性。
并且,基于检测模型对对象信息进行处理来实现风险对象的检测方案,检测模型的部署简单、可靠性强、覆盖率高,可以利用机器学习自动进行全方位多维度的检测,提高了网络风险检测的准确性和效率。
在通过检测模型和解释模型进行处理之前,需要先训练出检测模型和解释模型,训练过程详见下述实施例。
图4是本申请实施例提供的一种检测模型训练方法的流程图。本申请实施例的执行主体为计算机设备,参见图4,该方法包括。
401、获取第二样本对象信息对应的第三样本特征向量和第二样本检测结果。
计算机设备获取第二样本对象信息,以及该第二样本对象信息对应的第二样本检测结果,对该第二样本对象信息进行特征提取,得到该第二样本对象信息对应的第三样本特征向量。该第二样本对象信息和第二样本对象信息对应的第二样本检测结果可以通过人工标注的方法获得,还能通过强规则过滤的方法获得,本申请实施例对此不做限定。
其中,该第二样本检测结果为该第二样本对象信息对应的真实的检测结果,而不是通过检测模型预测得到的检测结果。
可选地,该第二样本对象信息可以为样本设备信息或者样本IP地址信息。当训练检测模型所用的第二样本对象信息为样本设备信息时,该检测模型用于检测样本设备信息对应的设备是否为风险设备;当训练检测模型所用的第二样本对象信息为样本IP地址信息时,该检测模型用于检测样本IP地址信息对应的IP地址是否为风险IP地址。
402、通过检测模型,对第三样本特征向量进行检测,得到第二样本对象信息对应的第四目标检测结果。
当计算机设备获取到第二样本对象信息对应的第三样本特征向量,则获取当前的检测模型,该检测模型可以为初始化的检测模型,或者经过一次或多次训练得到的检测模型。将该第三样本特征向量输入至该检测模型中,由该检测模型对该第三样本特征向量进行检测,得到该第二样本对象信息对应的第四目标检测结果。
其中,该第四目标检测结果为通过检测模型预测得到的检测结果。
403、根据第二样本检测结果和第四目标检测结果之间的误差,对检测模型进行训练,以使通过训练后的检测模型检测后得到的检测结果的误差减小。
当计算机设备获取到第二样本对象信息对应的第二样本检测结果以及第四目标检测结果,确定第二样本检测结果和第四目标检测结果之间的误差,根据该误差对检测模型的参数进行调整,由此对检测模型进行训练,以使通过训练后的检测模型检测后得到的检测结果的误差减小。
除此之外,还可以采用其他方式对检测模型进行训练,得到训练后的检测模型,本申请实施例对此不做限定。
图5是本申请实施例提供的一种解释模型训练方法的流程图。本申请实施例的执行主体为计算机设备,参见图5,该方法包括。
501、获取第一样本对象信息对应的第一样本特征向量。
计算机设备获取第一样本对象信息,对该第一样本对象信息进行特征提取,得到该第一样本对象信息对应的第一样本特征向量。
该第一样本特征向量用于描述第一样本对象信息所指示的对象的特征,该第一样本特征向量可以包括多个维度的特征值,每个维度的特征值表示对象的一种特征。
其中,该第一样本对象信息指示的对象可以为设备或者IP地址,则第一样本对象信息可以为样本设备信息或者样本IP地址信息。
502、通过检测模型对第一样本特征向量进行检测,得到第一样本特征向量对应的第一目标检测结果。
其中,本申请实施例中训练的解释模型用于解释检测模型的检测结果。计算机设备获取检测模型,将该第一样本特征向量输入至该检测模型中,由该检测模型对该第一样本特征向量进行检测,得到该第一样本对象信息对应的第一目标检测结果。
503、对第一样本特征向量进行扰动处理,得到第一样本特征向量对应的多个扰动特征向量。
计算机设备根据第一样本特征向量中的每个维度的特征值,对每个特征值进行扰动处理,得到扰动特征值,根据多个特征值对应的扰动特征值组成扰动特征向量,由此可以得到第一样本特征向量对应的多个扰动特征向量。
504、通过检测模型,分别对每个扰动特征向量进行检测,得到每个扰动特征向量对应的第二目标检测结果。
计算机设备将该多个扰动特征向量分别输入至该检测模型中,由该检测模型分别对该多个扰动特征向量进行检测,得到每个扰动特征向量对应的第二目标检测结果。
505、根据第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果,训练解释模型。
计算机设备获取到第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果后,根据第一样本特征向量和多个扰动特征向量,对多个第二目标检测结果进行调整,根据第一目标检测结果和多个调整后的第二目标检测结果之间的差异,训练解释模型。
本申请实施例提供的方法,通过检测模型对第一样本对象信息对应的第一样本特征向量进行检测,得到对应的第一目标检测结果,通过检测模型分别第一样本特征向量对应的每个扰动特征向量进行检测,得到对应的第二目标检测结果,根据第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果,可以训练该检测模型对应的解释模型,该解释模型可以对该检测模型输出的检测结果进行解释,使检测结果更便于理解,实现了该检测模型的可解释性。
图6是本申请实施例提供的一种模型训练方法的流程图。本申请实施例的执行主体为计算机设备,参见图6,该方法包括。
601、计算机设备获取第二样本对象信息对应的第三样本特征向量和第二样本检测结果。
602、计算机设备通过检测模型,对第三样本特征向量进行检测,得到样本对象信息对应的第四目标检测结果。
603、计算机设备根据第二样本检测结果和第四目标检测结果之间的误差,对检测模型进行训练,以使通过训练后的检测模型检测后得到的检测结果的误差减小。
上述步骤601-603与上述实施例中的步骤401-403类似,在此不再赘述。
得到训练的检测模型之后,可以根据该检测模型来训练对应的解释模型,通过解释模型对检测模型输出的检测结果进行解释,详见下述步骤604-611。
604、计算机设备获取第一样本对象信息对应的第一样本特征向量。
计算机设备获取第一样本对象信息,对该第一样本对象信息进行特征提取,得到该第一样本对象信息对应的第一样本特征向量。
605、计算机设备通过检测模型对第一样本特征向量进行检测,得到第一样本特征向量对应的第一目标检测结果。
当计算机设备获取到第一样本对象信息对应的第一样本特征向量,则获取当前的检测模型,将该第一样本特征向量输入至该检测模型中,由该检测模型对该第一样本特征向量进行检测,得到该第一样本对象信息对应的第一目标检测结果。
可选地,当步骤601中的第二样本对象信息为样本设备信息时,该检测模型用于检测样本设备信息对应的设备是否为风险设备,则该第一样本对象信息也为样本设备信息。当步骤601中的第二样本对象信息为样本IP地址信息时,该检测模型用于检测样本IP地址信息对应的IP地址是否为风险IP地址,则该第一样本对象信息也为样本IP地址信息。
606、计算机设备对第一样本特征向量进行扰动处理,得到第一样本特征向量对应的多个扰动特征向量。
在一种可能实现方式中,计算机设备获取第一样本特征向量中的每个维度的特征值,对每个特征值进行扰动处理。以扰动某一特征值为例,计算机设备获取以该特征值为中心的正态分布数值,在多个正态分布数值中进行随机抽样,得到该特征值的多个扰动值。计算机设备多个特征值对应的多个扰动值进行组合,可以得到多个特征向量,该多个特征向量即为该第一样本特征向量的多个扰动特征向量。
可选地,计算机设备对第一样本特征向量的多个特征值中任一特征值的扰动值进行遍历,将第一样本特征向量中的该特征值替换为该特征值的扰动值,得到第一样本特征向量的扰动特征向量,由于每个特征值对应多个扰动值,因此计算机设备可重复执行上述操作,每次选取该特征值对应的不同的扰动值来替换该特征值,得到第一样本特征向量对应的多个扰动特征向量。并且,由于第一样本特征向量包括多个特征值,计算机设备还可以重复执行上述操作,每次选取不同的特征值进行替换,得到多个扰动特征向量。
可选地,计算机设备可以在第一样本特征向量的多个特征值中确定预设数量个特征值,将预设数量个特征值分别替换为各自对应的任一扰动值,得到第一样本特征向量对应的扰动特征向量。由于预设数量个特征值中的每个特征值对应多个扰动值,因此计算机设备可重复执行上述操作,每次选取不同的扰动值进行替换,即可得到第一样本特征向量对应的多个扰动特征向量。
可选地,第一样本特征向量的多个特征值中任一特征值均对应多个扰动值,计算机设备从每个特征值对应的多个扰动值中选取任一扰动值,得到随机选取的多个扰动值,将该多个扰动值按照对应的特征值在第一样本特征向量中的组合顺序进行组合,得到第一样本特征向量对应的扰动特征向量。由于第一样本特征向量的多个特征值中的每个特征值对应多个扰动值,因此计算机设备可重复执行上述操作,每次选取不同的扰动值进行组合,即可得到第一样本特征向量对应的多个扰动特征向量。
607、计算机设备通过检测模型,分别对每个扰动特征向量进行检测,得到每个扰动特征向量对应的第二目标检测结果。
当计算机设备获取到第一样本特征向量的多个扰动特征向量,获取当前的检测模型,分别将每个扰动特征向量输入至该检测模型中,由该检测模型对该扰动特征向量进行检测,分别得到每个扰动特征向量对应的第二目标检测结果。
608、计算机设备根据第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果,训练解释模型。
计算机设备获取到第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果后,即可将第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果作为样本信息,训练解释模型。
在一种可能实现方式中,计算机设备分别获取每个扰动特征向量与第一样本特征向量之间的距离,根据每个扰动特征向量与第一样本特征向量之间的距离,分别对每个扰动特征向量对应的第二目标检测结果进行调整,得到每个扰动特征向量对应的第三目标检测结果,根据第一目标检测结果与多个第三目标检测结果之间的差异,训练解释模型。
可选地,每个扰动特征向量与第一样本特征向量之间的距离可以为向量之间的欧式距离,或者还可以采用其他方式获取扰动特征向量与第一样本特征向量之间的距离。
可选地,计算机设备可以将每个扰动特征向量与第一样本特征向量之间的距离作为该扰动特征向量对应的权重,将扰动特征向量对应的权重与扰动特征向量对应的第二目标检测结果相乘,将得到的乘积作为该每个扰动特征向量对应的第三目标检测结果。
可选地,计算机设备获取到多个扰动特征向量以及每个扰动特征向量对应的第四目标检测结果时,对于每个扰动特征向量来说,将该扰动特征向量作为因变量,将该扰动特征向量对应的第四目标检测结果作为自变量,对目标函数进行拟合处理,使扰动特征向量和对应的第四目标检测结果拟合到目标函数上,该目标函数包括多个目标参数,其中,特征向量中的一个特征值对应目标函数中的一个目标参数,该目标参数可以表示根据对应维度上的特征值得到检测结果时该特征值的权重,因此拟合处理后可以获得多个目标参数。则计算机设备可以获取该扰动特征向量对应的样本解释向量,该样本解释向量中包括多个目标参数。则将扰动特征向量作为输入,将样本解释向量作为输出,训练解释模型。
其中,该解释模型可以为线型回归模型等,本申请实施例对此不做限定。
609、计算机设备通过训练后的解释模型,对第一样本特征向量进行处理,得到第一样本特征向量对应的样本解释向量。
其中,第一样本特征向量包括多个维度的特征值,样本解释向量包括多个维度的特征值的权重,权重用于表示第一样本特征向量中对应的特征值,对第一样本特征向量对应的第一样本检测结果的影响程度。
其中,该步骤609与上述实施例中的步骤305类似,在此不再赘述。
610、计算机设备根据样本解释向量中的多个权重,对第一样本特征向量中的多个特征值进行调整,得到调整后的第二样本特征向量。
计算机设备根据样本解释向量中的多个权重,确定第一样本特征向量中的每个特征值对第一样本特征向量的检测结果的影响程度,则计算机设备可以根据每个特征值的权重,对第一样本特征向量中的多个特征值进行调整,得到调整后的第二样本特征向量。
例如,当某一特征值的权重小于预设权重时,认为该特征值对检测模型进行检测的影响程度较小,则可以将第一样本特征向量中的该特征值删除,得到第二样本特征向量。
611、计算机设备根据第二样本特征向量和第一样本检测结果,继续训练检测模型。
计算机设备获取到第二样本特征向量后,获取第一样本特征向量对应的第一样本检测结果,由于第二样本特征向量为第一样本特征向量进行调整后得到的特征向量,因此该第一样本检测结果也为该第二样本特征向量对应的样本检测结果。由于第二样本特征向量是根据样本解释向量中包括的多个维度的特征值的权重对第一样本特征向量进行调整得到的,因此可以将第一样本特征向量中的影响程度小的特征值进行删除得到第二样本特征向量,实现了对样本特征向量的优化,通过优化后的第二样本特征向量以及对应的第一样本检测结果,执行上述步骤601-603,来继续训练检测模型,可以提高检测模型的处理能力。
本申请实施例提供的方法,通过检测模型对第一样本对象信息对应的第一样本特征向量进行检测,得到对应的第一目标检测结果,通过检测模型分别第一样本特征向量对应的每个扰动特征向量进行检测,得到对应的第二目标检测结果,根据第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果,可以训练该检测模型对应的解释模型,该解释模型可以对该检测模型输出的检测结果进行解释,使检测结果更便于理解,实现了该检测模型的可解释性。
并且,获取到检测模型对应的解释模型后,可以根据该解释模型确定检测模型处理的特征向量中每个维度的特征值的影响程度,根据特征值的影响程度,对特征向量中的特征值进行调整,利用调整后的特征向量继续训练该检测模型,例如将影响程度小的特征值删除等,实现了对样本特征向量的优化,可以提高检测模型的处理效率。
图7是本申请实施例提供的另一种基于对象特征的网络风险检测方法的流程图,该方法应用于计算机设备中,可实现对风险设备的检测,参见图7,该方法包括。
701、获取标注好的样本设备信息。
其中,标注好的样本设备信息是指标注好样本检测结果的样本设备信息。
702、对样本设备信息进行特征提取,得到对应的样本设备特征向量。
703、根据标注好的样本设备信息以及对应的样本设备特征向量,训练用于检测风险设备的检测模型以及对应的解释模型。
704、通过解释模型分析特征值的影响程度,根据调整好的样本特征向量对检测模型进行优化。
705、实时采集对象信息,将对象信息存储至数据库中。
706、获取前一天的对象信息中的设备信息,并按照设备标识对多个设备信息进行分组。
707、对分好组的设备信息,以一组为单位进行特征提取。
708、通过检测模型对提取的设备特征向量进行检测,得到检测结果,当检测结果满足预设条件时确定风险设备。
709、通过解释模型对设备特征向量进行处理,得到对应的解释向量。
710、将检测结果和对应的解释向量存储至数据库中。
图8是本申请实施例提供的一种基于对象特征的网络风险检测装置的结构示意图。参见图8,该装置包括:
请求接收模块801,用于接收访问请求,访问请求携带对象信息,对象信息用于指示发起访问请求的对象;
特征提取模块802,用于对对象信息进行特征提取,得到对象对应的特征向量;
检测模块803,用于通过检测模型对特征向量进行检测,得到特征向量对应的检测结果;
确定模块804,用于在检测结果满足预设条件的情况下,将对象确定为风险对象;
解释模块805,用于通过检测模型对应的解释模型,对特征向量进行处理,得到特征向量的解释向量,特征向量包括多个维度的特征值,解释向量包括多个维度的特征值的权重,权重用于表示特征向量中对应的特征值对检测结果的影响程度。
本申请实施例提供的装置,接收携带对象信息的访问请求,对该对象信息进行特征提取,得到对象对应的特征向量,通过检测模型对该特征向量进行检测,得到特征向量对应的检测结果,在检测结果满足预设条件的情况下,将对象确定为风险对象,实现了对网络风险的自动检测,无需人工对对象信息进行分析,可以节省人力和时间,提高网络风险检测的准确性和效率。并且,通过检测模型对应的解释模型,对该特征向量进行处理,得到特征向量的解释向量,根据该解释向量可以得知特征向量中的哪些特征值导致该特征向量对应的对象被检测为风险对象,使检测结果更便于理解,因此通过检测模型对应的解释模型实现了该检测模型的可解释性。
可选地,参见图9,装置还包括:
获取模块806,用于获取第一样本对象信息对应的第一样本特征向量;
检测模块803,还用于通过检测模型对第一样本特征向量进行检测,得到第一样本特征向量对应的第一目标检测结果;
扰动处理模块807,用于对第一样本特征向量进行扰动处理,得到第一样本特征向量对应的多个扰动特征向量;
检测模块803,还用于通过检测模型,分别对每个扰动特征向量进行检测,得到每个扰动特征向量对应的第二目标检测结果;
第一训练模块808,用于根据第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果,训练解释模型。
可选地,参见图9,第一训练模块808,包括:
距离获取单元8081,用于分别获取每个扰动特征向量与第一样本特征向量之间的距离;
调整单元8082,用于根据每个扰动特征向量与第一样本特征向量之间的距离,分别对每个扰动特征向量对应的第二目标检测结果进行调整,得到每个扰动特征向量对应的第三目标检测结果;
训练单元8083,用于根据第一目标检测结果与多个第三目标检测结果之间的差异,训练解释模型。
可选地,参见图9,装置还包括:
解释模块805,还用于通过训练后的解释模型,对第一样本特征向量进行处理,得到第一样本特征向量对应的样本解释向量,第一样本特征向量包括多个维度的特征值,样本解释向量包括多个维度的特征值的权重,权重用于表示第一样本特征向量中对应的特征值,对第一样本特征向量对应的第一样本检测结果的影响程度;
调整模块809,用于根据样本解释向量中的多个权重,对第一样本特征向量中的多个特征值进行调整,得到调整后的第二样本特征向量;
第二训练模块810,用于根据第二样本特征向量和第一样本检测结果,继续训练检测模型。
可选地,参见图9,装置还包括:
获取模块806,还用于获取第二样本对象信息对应的第三样本特征向量和第二样本检测结果;
检测模块803,还用于通过检测模型,对第三样本特征向量进行检测,得到第二样本对象信息对应的第四目标检测结果;
第三训练模块811,用于根据第二样本检测结果和第四目标检测结果之间的误差,对检测模型进行训练,以使通过训练后的检测模型检测后得到的检测结果的误差减小。
可选地,参见图9,对象信息包括对象标识,特征提取模块802,包括:
选取单元8021,用于若接收到多个访问请求,根据多个访问请求携带的对象信息中的对象标识,选取包括目标对象标识的至少一条对象信息,目标对象标识为任一对象标识;
特征提取单元8022,用于对至少一条对象信息进行特征提取,得到目标对象标识对应的特征向量。
可选地,参见图9,选取单元8021,还用于:
若接收到多个访问请求,将多个访问请求携带的对象信息进行分组,得到多组对象信息集合,每组对象信息集合中的至少一条对象信息包括相同的对象标识;
从多组对象信息集合中,确定目标对象标识对应的目标对象信息集合,选取目标对象信息集合中的至少一条对象信息。
可选地,参见图9,装置还包括:
解析处理模块812,用于对访问请求进行解析处理,得到访问请求中携带的对象信息。
可选地,参见图9,解析处理模块812,包括:
第一解析单元8121,用于对象为设备,对访问请求进行解析处理,得到访问请求携带的设备信息,设备信息用于指示发起访问请求的设备;或者,
第二解析单元8122,用于对象为网际互连协议IP地址,对访问请求进行解析处理,得到访问请求携带的IP地址信息,IP地址信息用于指示发起访问请求的IP地址。
可选地,参见图9,检测结果包括第一数值和第二数值,第一数值表示对象是风险对象的概率,第二数值表示对象不是风险对象的概率;
确定模块804,包括:
第一确定单元8041,用于在第一数值大于第二数值的情况下,将对象确定为风险对象。
可选地,参见图9,检测结果包括第一数值,第一数值表示对象是风险对象的概率,确定模块804,包括:
第二确定单元8042,用于在第一数值大于预设阈值的情况下,将对象确定为风险对象。
需要说明的是:上述实施例提供的基于对象特征的网络风险检测装置在处理对象时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将计算机设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的基于对象特征的网络风险检测装置与基于对象特征的网络风险检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图10是本申请实施例提供的一种模型训练装置的结构示意图。参见图10,该装置包括:
获取模块1001,用于获取第一样本对象信息对应的第一样本特征向量;
检测模块1002,用于通过检测模型对第一样本特征向量进行检测,得到第一样本特征向量对应的第一目标检测结果;
扰动处理模块1003,用于对第一样本特征向量进行扰动处理,得到第一样本特征向量对应的多个扰动特征向量;
检测模块1002,还用于通过检测模型,分别对每个扰动特征向量进行检测,得到每个扰动特征向量对应的第二目标检测结果;
第一训练模块1004,用于根据第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果,训练解释模型。
本申请实施例提供的装置,通过检测模型对第一样本对象信息对应的第一样本特征向量进行检测,得到对应的第一目标检测结果,通过检测模型分别第一样本特征向量对应的每个扰动特征向量进行检测,得到对应的第二目标检测结果,根据第一样本特征向量、多个扰动特征向量、第一目标检测结果和多个第二目标检测结果,可以训练该检测模型对应的解释模型,该解释模型可以对该检测模型输出的检测结果进行解释,使检测结果更便于理解,实现了该检测模型的可解释性。
可选地,参见图11,第一训练模块1004,包括:
距离获取单元1014,用于分别获取每个扰动特征向量与第一样本特征向量之间的距离;
调整单元1024,用于根据每个扰动特征向量与第一样本特征向量之间的距离,分别对每个扰动特征向量对应的第二目标检测结果进行调整,得到每个扰动特征向量对应的第三目标检测结果;
训练单元1034,用于根据第一目标检测结果与多个第三目标检测结果之间的差异,训练解释模型。
可选地,参见图11,其特征在于,装置还包括:
解释模块1005,用于通过训练后的解释模型,对第一样本特征向量进行处理,得到第一样本特征向量对应的样本解释向量,第一样本特征向量包括多个维度的特征值,样本解释向量包括多个维度的特征值的权重,权重用于表示第一样本特征向量中对应的特征值,对第一样本特征向量对应的第一样本检测结果的影响程度;
调整模块1006,用于根据样本解释向量中的多个权重,对第一样本特征向量中的多个特征值进行调整,得到调整后的第二样本特征向量;
第二训练模块1007,用于根据第二样本特征向量和第一样本检测结果,继续训练检测模型。
需要说明的是:上述实施例提供的模型训练装置在训练模型时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将计算机设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的模型训练装置与模型训练方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图12示出了本申请一个示例性实施例提供的终端1200的结构示意图。终端1200可以用于执行上述基于对象特征的网络风险检测方法或者模型训练方法中计算机设备所执行的步骤。
通常,终端1200包括有:处理器1201和存储器1202。
处理器1201可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器1201可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器1201也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器1201可以在集成有GPU(Graphics Processing Unit,图像处理的交互器), GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器1201还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器1202可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器1202还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器1202中的非暂态的计算机可读存储介质用于存储至少一条指令,该至少一条指令用于被处理器1201所具有以实现本申请中方法实施例提供的基于对象特征的网络风险检测方法或者模型训练方法。
在一些实施例中,设备1200还可选包括有:外围设备接口1203和至少一个外围设备。处理器1201、存储器1202和外围设备接口1203之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口1203相连。具体地,外围设备包括:射频电路1204、触摸显示屏1205、摄像头组件1206、音频电路1207、定位组件1208和电源1209中的至少一种。
外围设备接口1203可被用于将I/O(Input /Output,输入/输出)相关的至少一个外围设备连接到处理器1201和存储器1202。在一些实施例中,处理器1201、存储器1202和外围设备接口1203被集成在同一芯片或电路板上;在一些其他实施例中,处理器1201、存储器1202和外围设备接口1203中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路1204用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路1204通过电磁信号与通信网络以及其他通信设备进行通信。射频电路1204将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路1204包括:天线系统、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路1204可以通过至少一种无线通信协议来与其它设备进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路1204还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏1205用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏1205是触摸显示屏时,显示屏1205还具有采集在显示屏1205的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器1201进行处理。此时,显示屏1205还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏1205可以为一个,设置终端1200的前面板;在另一些实施例中,显示屏1205可以为至少两个,分别设置在终端1200的不同表面或呈折叠设计;在一些实施例中,显示屏1205可以是柔性显示屏,设置在终端1200的弯曲表面上或折叠面上。甚至,显示屏1205还可以设置成非矩形的不规则图形,也即异形屏。显示屏1205可以采用LCD(Liquid Crystal Display,液晶显示屏)、OLED(Organic Light-Emitting Diode,有机发光二极管)等材质制备。
摄像头组件1206用于采集图像或视频。可选地,摄像头组件1206包括前置摄像头和后置摄像头。通常,前置摄像头设置在终端1200的前面板,后置摄像头设置在终端1200的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头组件1206还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路1207可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器1201进行处理,或者输入至射频电路1204以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在终端1200的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器1201或射频电路1204的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频电路1207还可以包括耳机插孔。
定位组件1208用于定位终端1200的当前地理位置,以实现导航或LBS(LocationBased Service,通过位置的服务)。定位组件1208可以是通过美国的GPS(GlobalPositioning System,全球定位系统)、中国的北斗系统、俄罗斯的格雷纳斯系统或欧盟的伽利略系统的定位组件。
电源1209用于为终端1200中的各个组件进行供电。电源1209可以是交流电、直流电、一次性电池或可充电电池。当电源1209包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
在一些实施例中,终端1200还包括有一个或多个传感器1210。该一个或多个传感器1210包括但不限于:加速度传感器1211、陀螺仪传感器1212、压力传感器1213、指纹传感器1214、光学传感器1215以及接近传感器1216。
加速度传感器1211可以检测以终端1200建立的坐标系的三个坐标轴上的加速度大小。比如,加速度传感器1211可以用于检测重力加速度在三个坐标轴上的分量。处理器1201可以根据加速度传感器1211采集的重力加速度信号,控制触摸显示屏1205以横向视图或纵向视图进行用户界面的显示。加速度传感器1211还可以用于游戏或者用户的运动数据的采集。
陀螺仪传感器1212可以检测终端1200的机体方向及转动角度,陀螺仪传感器1212可以与加速度传感器1211协同采集用户对终端1200的3D动作。处理器1201根据陀螺仪传感器1212采集的数据,可以实现如下功能:动作感应(比如根据用户的倾斜操作来改变UI)、拍摄时的图像稳定、游戏控制以及惯性导航。
压力传感器1213可以设置在终端1200的侧边框和/或触摸显示屏1205的下层。当压力传感器1213设置在终端1200的侧边框时,可以检测用户对终端1200的握持信号,由处理器1201根据压力传感器1213采集的握持信号进行左右手识别或快捷操作。当压力传感器1213设置在触摸显示屏1205的下层时,由处理器1201根据用户对触摸显示屏1205的压力操作,实现对UI界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
指纹传感器1214用于采集用户的指纹,由处理器1201根据指纹传感器1214采集到的指纹识别用户的身份,或者,由指纹传感器1214根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时,由处理器1201授权该用户具有相关的敏感操作,该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器1214可以被设置终端1200的正面、背面或侧面。当终端1200上设置有物理按键或厂商Logo时,指纹传感器1214可以与物理按键或厂商标志集成在一起。
光学传感器1215用于采集环境光强度。在一个实施例中,处理器1201可以根据光学传感器1215采集的环境光强度,控制触摸显示屏1205的显示亮度。具体地,当环境光强度较高时,调高触摸显示屏1205的显示亮度;当环境光强度较低时,调低触摸显示屏1205的显示亮度。在另一个实施例中,处理器1201还可以根据光学传感器1215采集的环境光强度,动态调整摄像头组件1206的拍摄参数。
接近传感器1216,也称距离传感器,通常设置在终端1200的前面板。接近传感器1216用于采集用户与终端1200的正面之间的距离。在一个实施例中,当接近传感器1216检测到用户与终端1200的正面之间的距离逐渐变小时,由处理器1201控制触摸显示屏1205从亮屏状态切换为息屏状态;当接近传感器1216检测到用户与终端1200的正面之间的距离逐渐变大时,由处理器1201控制触摸显示屏1205从息屏状态切换为亮屏状态。
本领域技术人员可以理解,图12中示出的结构并不构成对终端1200的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
图13是本申请实施例提供的一种服务器的结构示意图,该服务器1300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(Central ProcessingUnits,CPU)1301和一个或一个以上的存储器1302,其中,所述存储器1302中存储有至少一条指令,所述至少一条指令由所述处理器1301加载并执行以实现上述各个方法实施例提供的方法。当然,该服务器还可以具有有线或无线网络接口、键盘以及输入输出接口等部件,以便进行输入输出,该服务器还可以包括其他用于实现设备功能的部件,在此不做赘述。
服务器1300可以用于执行上述基于对象特征的网络风险检测方法或者模型训练方法中计算机设备所执行的步骤。
本申请实施例还提供了一种计算机设备,该计算机设备包括处理器和存储器,存储器中存储有至少一条指令,该至少一条指令由处理器加载并执行,以实现上述实施例的基于对象特征的网络风险检测方法中所具有的操作,或者实现上述实施例的模型训练方法中所具有的操作。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有至少一条指令,该至少一条指令由处理器加载并执行,以实现上述实施例的基于对象特征的网络风险检测方法中所具有的操作,或者实现上述实施例的模型训练方法中所具有的操作。
本申请实施例还提供了一种计算机程序,该计算机程序包括至少一条指令,该至少一条指令由处理器加载并执行,以实现上述实施例的基于对象特征的网络风险检测方法中所具有的操作,或者实现上述实施例的模型训练方法中所具有的操作。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请实施例的可选实施例,并不用以限制本申请实施例,凡在本申请实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (14)
1.一种基于对象特征的网络风险检测方法,其特征在于,所述方法包括:
获取第一样本对象信息对应的第一样本特征向量;通过检测模型对所述第一样本特征向量进行检测,得到所述第一样本特征向量对应的第一目标检测结果,所述检测模型用于检测风险对象;对所述第一样本特征向量进行扰动处理,得到所述第一样本特征向量对应的多个扰动特征向量;通过所述检测模型,分别对每个扰动特征向量进行检测,得到所述每个扰动特征向量对应的第二目标检测结果;根据所述第一样本特征向量、所述多个扰动特征向量、所述第一目标检测结果和多个第二目标检测结果,训练所述检测模型对应的解释模型;
接收访问请求,对所述访问请求进行解析处理,得到所述访问请求中携带的对象信息,所述对象信息用于指示发起所述访问请求的对象;对所述对象信息进行特征提取,得到所述对象对应的特征向量,所述特征向量用于表示所述对象的特征;通过所述检测模型对所述特征向量进行检测,得到所述特征向量对应的检测结果;在所述检测结果满足预设条件的情况下,将所述对象确定为风险对象;通过所述解释模型,对所述特征向量进行处理,得到所述特征向量的解释向量,所述特征向量包括多个维度的特征值,所述解释向量包括所述多个维度的特征值的权重,所述权重用于表示所述特征向量中对应的特征值对所述检测结果的影响程度;
根据所述解释向量中的多个权重,对所述特征向量中的多个特征值进行调整,得到调整后的特征向量;根据调整后的特征向量和所述检测结果,继续训练所述检测模型。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一样本特征向量、所述多个扰动特征向量、所述第一目标检测结果和多个第二目标检测结果,训练所述检测模型对应的解释模型,包括:
分别获取所述每个扰动特征向量与所述第一样本特征向量之间的距离;
根据所述每个扰动特征向量与所述第一样本特征向量之间的距离,分别对所述每个扰动特征向量对应的第二目标检测结果进行调整,得到所述每个扰动特征向量对应的第三目标检测结果;
根据所述第一目标检测结果与多个第三目标检测结果之间的差异,训练所述解释模型。
3.根据权利要求1所述的方法,其特征在于,所述通过所述检测模型对所述特征向量进行检测,得到所述特征向量对应的检测结果之前,所述方法还包括:
获取第二样本对象信息对应的第三样本特征向量和第二样本检测结果;
通过所述检测模型,对所述第三样本特征向量进行检测,得到所述第二样本对象信息对应的第四目标检测结果;
根据所述第二样本检测结果和所述第四目标检测结果之间的误差,对所述检测模型进行训练,以使通过训练后的检测模型检测后得到的检测结果的误差减小。
4.根据权利要求1所述的方法,其特征在于,所述对象信息包括对象标识,所述对所述对象信息进行特征提取,得到所述对象对应的特征向量,包括:
若接收到多个访问请求,根据所述多个访问请求携带的对象信息中的对象标识,选取包括目标对象标识的至少一条对象信息,所述目标对象标识为任一对象标识;
对所述至少一条对象信息进行特征提取,得到所述目标对象标识对应的特征向量。
5.根据权利要求4所述的方法,其特征在于,所述若接收到多个访问请求,根据所述多个访问请求携带的对象信息中的对象标识,选取包括目标对象标识的至少一条对象信息,包括:
若接收到多个访问请求,将所述多个访问请求携带的对象信息进行分组,得到多组对象信息集合,每组对象信息集合中的至少一条对象信息包括相同的对象标识;
从所述多组对象信息集合中,确定所述目标对象标识对应的目标对象信息集合,选取所述目标对象信息集合中的至少一条对象信息。
6.根据权利要求1所述的方法,其特征在于,所述对所述访问请求进行解析处理,得到所述访问请求中携带的对象信息,包括:
所述对象为设备,对所述访问请求进行解析处理,得到所述访问请求携带的设备信息,所述设备信息用于指示发起所述访问请求的设备;或者,
所述对象为网际互连协议IP地址,对所述访问请求进行解析处理,得到所述访问请求携带的IP地址信息,所述IP地址信息用于指示发起所述访问请求的IP地址。
7.一种基于对象特征的网络风险检测装置,其特征在于,所述装置包括:
获取模块,用于获取第一样本对象信息对应的第一样本特征向量;
检测模块,用于通过检测模型对所述第一样本特征向量进行检测,得到所述第一样本特征向量对应的第一目标检测结果,所述检测模型用于检测风险对象;
扰动处理模块,用于对所述第一样本特征向量进行扰动处理,得到所述第一样本特征向量对应的多个扰动特征向量;
所述检测模块,还用于通过所述检测模型,分别对每个扰动特征向量进行检测,得到所述每个扰动特征向量对应的第二目标检测结果;
第一训练模块,用于根据所述第一样本特征向量、所述多个扰动特征向量、所述第一目标检测结果和多个第二目标检测结果,训练所述检测模型对应的解释模型;
请求接收模块,用于接收访问请求;
解析处理模块,用于对所述访问请求进行解析处理,得到所述访问请求中携带的对象信息,所述对象信息用于指示发起所述访问请求的对象;
特征提取模块,用于对所述对象信息进行特征提取,得到所述对象对应的特征向量,所述特征向量用于表示所述对象的特征;
检测模块,用于通过所述检测模型对所述特征向量进行检测,得到所述特征向量对应的检测结果;
确定模块,用于在所述检测结果满足预设条件的情况下,将所述对象确定为风险对象;
解释模块,用于通过所述解释模型,对所述特征向量进行处理,得到所述特征向量的解释向量,所述特征向量包括多个维度的特征值,所述解释向量包括所述多个维度的特征值的权重,所述权重用于表示所述特征向量中对应的特征值对所述检测结果的影响程度;
调整模块,用于根据所述解释向量中的多个权重,对所述特征向量中的多个特征值进行调整,得到调整后的特征向量;
第二训练模块,用于根据调整后的特征向量和所述检测结果,继续训练所述检测模型。
8.根据权利要求7所述的装置,其特征在于,所述第一训练模块,包括:
距离获取单元,用于分别获取所述每个扰动特征向量与所述第一样本特征向量之间的距离;
调整单元,用于根据所述每个扰动特征向量与所述第一样本特征向量之间的距离,分别对所述每个扰动特征向量对应的第二目标检测结果进行调整,得到所述每个扰动特征向量对应的第三目标检测结果;
训练单元,用于根据所述第一目标检测结果与多个第三目标检测结果之间的差异,训练所述解释模型。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
所述获取模块,还用于获取第二样本对象信息对应的第三样本特征向量和第二样本检测结果;
所述检测模块,还用于通过所述检测模型,对所述第三样本特征向量进行检测,得到所述第二样本对象信息对应的第四目标检测结果;
第三训练模块,用于根据所述第二样本检测结果和所述第四目标检测结果之间的误差,对所述检测模型进行训练,以使通过训练后的检测模型检测后得到的检测结果的误差减小。
10.根据权利要求7所述的装置,其特征在于,所述对象信息包括对象标识,所述特征提取模块,包括:
选取单元,用于若接收到多个访问请求,根据所述多个访问请求携带的对象信息中的对象标识,选取包括目标对象标识的至少一条对象信息,所述目标对象标识为任一对象标识;
特征提取单元,用于对所述至少一条对象信息进行特征提取,得到所述目标对象标识对应的特征向量。
11.根据权利要求10所述的装置,其特征在于,所述选取单元,还用于:
若接收到多个访问请求,将所述多个访问请求携带的对象信息进行分组,得到多组对象信息集合,每组对象信息集合中的至少一条对象信息包括相同的对象标识;
从所述多组对象信息集合中,确定所述目标对象标识对应的目标对象信息集合,选取所述目标对象信息集合中的至少一条对象信息。
12.根据权利要求7所述的装置,其特征在于,所述解析处理模块,包括:
第一解析单元,用于所述对象为设备,对所述访问请求进行解析处理,得到所述访问请求携带的设备信息,所述设备信息用于指示发起所述访问请求的设备;或者,
第二解析单元,用于所述对象为网际互连协议IP地址,对所述访问请求进行解析处理,得到所述访问请求携带的IP地址信息,所述IP地址信息用于指示发起所述访问请求的IP地址。
13.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现如权利要求1至6任一所述的基于对象特征的网络风险检测方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行,以实现如权利要求1至6任一所述的基于对象特征的网络风险检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010338805.2A CN111262887B (zh) | 2020-04-26 | 2020-04-26 | 基于对象特征的网络风险检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010338805.2A CN111262887B (zh) | 2020-04-26 | 2020-04-26 | 基于对象特征的网络风险检测方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111262887A CN111262887A (zh) | 2020-06-09 |
| CN111262887B true CN111262887B (zh) | 2020-08-28 |
Family
ID=70949998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010338805.2A Active CN111262887B (zh) | 2020-04-26 | 2020-04-26 | 基于对象特征的网络风险检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111262887B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111784053A (zh) * | 2020-07-01 | 2020-10-16 | 深圳前海微众银行股份有限公司 | 交易风险检测方法、设备及可读存储介质 |
| CN111738623B (zh) * | 2020-07-17 | 2020-12-04 | 支付宝(杭州)信息技术有限公司 | 业务风险检测方法及装置 |
| CN112257063B (zh) * | 2020-10-19 | 2022-09-02 | 上海交通大学 | 一种基于合作博弈论的联邦学习中后门攻击的检测方法 |
| CN113223698B (zh) * | 2021-03-02 | 2024-03-12 | 联仁健康医疗大数据科技股份有限公司 | 急诊分级处理方法、装置、电子设备以及存储介质 |
| CN113420789A (zh) * | 2021-05-31 | 2021-09-21 | 北京经纬信息技术有限公司 | 一种预测风险账号的方法、装置、存储介质和计算机设备 |
| CN113392410B (zh) * | 2021-08-17 | 2022-02-11 | 腾讯科技(深圳)有限公司 | 接口安全性检测方法、装置、计算机设备及存储介质 |
| CN114385993A (zh) * | 2021-12-27 | 2022-04-22 | 阿里巴巴(中国)有限公司 | 身份检测方法、设备和可读介质 |
| TWI800351B (zh) * | 2022-04-13 | 2023-04-21 | 友達光電股份有限公司 | 場域環境參數的分析與提示的伺服器、處理系統與方法 |
| CN115277116B (zh) * | 2022-07-06 | 2024-02-02 | 中能电力科技开发有限公司 | 网络隔离的方法、装置、存储介质及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107392318A (zh) * | 2017-07-26 | 2017-11-24 | 清华大学 | 基于局部线性化的复杂机器学习模型解释方法及装置 |
| CN107920062A (zh) * | 2017-11-03 | 2018-04-17 | 北京知道创宇信息技术有限公司 | 一种业务逻辑攻击检测模型的构建方法和计算设备 |
| JP2018120347A (ja) * | 2017-01-24 | 2018-08-02 | 株式会社日立ソリューションズ東日本 | データ分析装置およびデータ分析方法 |
| CN109583470A (zh) * | 2018-10-17 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种异常检测的解释特征确定方法和装置 |
| CN109902833A (zh) * | 2018-12-05 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 机器学习模型解释方法以及装置 |
| CN110046799A (zh) * | 2019-03-08 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 决策优化方法及装置 |
| CN110766040A (zh) * | 2019-09-03 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 用于对交易风险数据进行风险聚类的方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104991891B (zh) * | 2015-07-28 | 2018-03-30 | 北京大学 | 一种短文本特征提取方法 |
| CN109902167B (zh) * | 2018-12-04 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 嵌入结果的解释方法和装置 |
-
2020
- 2020-04-26 CN CN202010338805.2A patent/CN111262887B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018120347A (ja) * | 2017-01-24 | 2018-08-02 | 株式会社日立ソリューションズ東日本 | データ分析装置およびデータ分析方法 |
| CN107392318A (zh) * | 2017-07-26 | 2017-11-24 | 清华大学 | 基于局部线性化的复杂机器学习模型解释方法及装置 |
| CN107920062A (zh) * | 2017-11-03 | 2018-04-17 | 北京知道创宇信息技术有限公司 | 一种业务逻辑攻击检测模型的构建方法和计算设备 |
| CN109583470A (zh) * | 2018-10-17 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种异常检测的解释特征确定方法和装置 |
| CN109902833A (zh) * | 2018-12-05 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 机器学习模型解释方法以及装置 |
| CN110046799A (zh) * | 2019-03-08 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 决策优化方法及装置 |
| CN110766040A (zh) * | 2019-09-03 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 用于对交易风险数据进行风险聚类的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| Looking beyond accuracy to improve trust in machine learning;Shirin Elsinghorst;《https://blog.codecentric.de/en/2018/01/look-beyond-accuracy-improve-trust-machine-learning/?utm_content=65461834&utm_medium=social&utm_source=twitter》;20180109;第3-7页 * |
| Shirin Elsinghorst.Looking beyond accuracy to improve trust in machine learning.《https://blog.codecentric.de/en/2018/01/look-beyond-accuracy-improve-trust-machine-learning/?utm_content=65461834&utm_medium=social&utm_source=twitter》.2018, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111262887A (zh) | 2020-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111262887B (zh) | 基于对象特征的网络风险检测方法、装置、设备及介质 | |
| CN111091132A (zh) | 基于人工智能的图像识别方法、装置、计算机设备及介质 | |
| CN111104980B (zh) | 确定分类结果的方法、装置、设备及存储介质 | |
| CN112069414A (zh) | 推荐模型训练方法、装置、计算机设备及存储介质 | |
| CN110414232B (zh) | 恶意程序预警方法、装置、计算机设备及存储介质 | |
| CN108132790B (zh) | 检测无用代码的方法、装置及计算机存储介质 | |
| CN111614634A (zh) | 流量检测方法、装置、设备及存储介质 | |
| CN111489378A (zh) | 视频帧特征提取方法、装置、计算机设备及存储介质 | |
| CN111178343A (zh) | 基于人工智能的多媒体资源检测方法、装置、设备及介质 | |
| CN111738365B (zh) | 图像分类模型训练方法、装置、计算机设备及存储介质 | |
| CN113822322A (zh) | 图像处理模型训练方法及文本处理模型训练方法 | |
| CN113742366A (zh) | 数据处理方法、装置、计算机设备及存储介质 | |
| CN111818050A (zh) | 目标访问行为检测方法、系统、装置、设备及存储介质 | |
| CN111914180A (zh) | 基于图结构的用户特征确定方法、装置、设备及介质 | |
| CN112561084B (zh) | 特征提取方法、装置、计算机设备及存储介质 | |
| CN113724189A (zh) | 图像处理方法、装置、设备及存储介质 | |
| CN110650210B (zh) | 影像数据获取方法、装置及存储介质 | |
| CN113570510A (zh) | 图像处理方法、装置、设备及存储介质 | |
| CN112036492A (zh) | 样本集处理方法、装置、设备及存储介质 | |
| CN113569822B (zh) | 图像分割方法、装置、计算机设备及存储介质 | |
| CN113343709B (zh) | 意图识别模型的训练方法、意图识别方法、装置及设备 | |
| CN111414496B (zh) | 基于人工智能的多媒体文件的检测方法和装置 | |
| CN113936240A (zh) | 确定样本图像的方法、装置、设备及存储介质 | |
| CN112416356A (zh) | Json字符串的处理方法、装置、设备及存储介质 | |
| CN113076452A (zh) | 应用分类的方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40024330 Country of ref document: HK |