CN111600874A - 用户账号检测方法、装置、电子设备、介质和程序产品 - Google Patents
用户账号检测方法、装置、电子设备、介质和程序产品 Download PDFInfo
- Publication number
- CN111600874A CN111600874A CN202010405042.9A CN202010405042A CN111600874A CN 111600874 A CN111600874 A CN 111600874A CN 202010405042 A CN202010405042 A CN 202010405042A CN 111600874 A CN111600874 A CN 111600874A
- Authority
- CN
- China
- Prior art keywords
- log information
- account
- historical
- detected
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开提供了一种用户账号检测方法,包括:获取待检测账号在当前预定时间段内的第一日志信息;获取待检测账号在多个历史时间段中每个历史时间段内的多个历史日志信息;基于第一日志信息和多个历史日志信息,确定待检测账号的第一异常度;获取当前时间段预定时间段内多个有效账号各自的第二日志信息;基于多个第二日志信息和第一日志信息,确定待检测账号的第二异常度;以及基于第一异常度和第二异常度,确定待检测账号是否异常。本公开还提供了一种用户账户检测装置、一种电子设备、计算机可读存储介质和计算机程序产品。
Description
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种用户账号检测方法和一种用户账号检测装置、电子设备、介质和程序产品。
背景技术
互联网、通信和计算机技术的快速发展,极大地丰富了人们的生活,并且使人们的生活更加便利。例如用户可以通过APP在网上缴纳电费、观看视频等等。通常用户需要在APP上注册账号,通过注册的账号来使用APP所提供的功能。
然而,若用户的账户被窃取,则会导致用户的隐私数据被泄露,甚至影响到用户的人身和财产安全。因此,检测用户账号是否异常非常重要。
在实现本公开构思的过程中,发明人发现相关技术中至少存在如下问题:难以准确地检测用户账号是否异常。
发明内容
有鉴于此,本公开提供了一种用户账号检测方法和一种用户账号检测装置、电子设备、介质和程序产品。
本公开的一个方面提供了一种用户账号检测方法,包括:获取待检测账号在预定时间段内的第一日志信息;获取待检测账号在多个历史时间段中每个历史时间段内的多个历史日志信息;基于第一日志信息和多个历史日志信息,确定待检测账号的第一异常度;获取预定时间段内多个有效账号各自的第二日志信息;基于多个第二日志信息和第一日志信息,确定待检测账号的第二异常度;以及基于第一异常度和第二异常度,确定待检测账号是否异常。
根据本公开的实施例,基于第一日志信息和多个历史日志信息,确定待检测账号的第一异常度包括:基于第一日志信息,生成第一日志信息的第一特征向量;将所述第一特征向量输入到日志模型中,其中,所述日志模型是根据多个所述历史日志信息而生成的;以及经由日志模型对第一特征向量进行处理来得到第一异常度。
根据本公开的实施例,还包括:根据多个历史日志信息确定待检测账号的日志模型,基于多个历史日志信息,确定待检测账号的日志模型包括:基于多个历史日志信息,确定各个历史日志信息的历史特征向量;将多个历史特征向量合并成第一特征矩阵,其中,每个历史特征向量作为第一特征矩阵的一行;对第一特征矩阵进行特征分解,获得待检测账号的特征分解模型;以及基于多个历史特征向量生成获得特征矩阵模型,其中,日志模型包括特征分解模型和特征矩阵模型。
根据本公开的实施例,经由日志模型对第一特征向量进行处理而得到第一异常度包括:基于第一特征向量和其他特征向量,确定输入矩阵,其他特征向量为历史特征向量中的至少一个向量和/或根据预定时间段之后的至少一个时间段内的日志信息生成的至少一个特征向量;将输入矩阵输入到特征分解模型中,以由特征分解模型确定用户特征矩阵;以及将用户特征矩阵输入到特征矩阵模型中,由特征矩阵模型输出第一异常度。
根据本公开的实施例,基于多个第二日志信息和第一日志信息,确定待检测账号的第二异常度包括:确定多个第二日志信息中每个第二日志信息的第二特征向量;将多个第二特征向量合并成第二特征矩阵,其中,每个第二特征向量作为第二特征矩阵的一行;对第二特征矩阵进行特征分解而获得行为特征矩阵;对行为特征矩阵中的行向量进行聚类分析而获得分类结果;以及基于分类结果,确定待检测账号的第二异常度。
根据本公开的实施例,基于分类结果,确定待检测账号的第二异常度包括:基于分类结果,确定待检测账号的类别;以及基于待检测账号所在的类别,确定待检测账号的第二异常度。
根据本公开的实施例,基于第一异常度和第二异常度,确定待检测账号是否异常包括:获取第一异常度和第二异常度各自的权重值;基于权重值,确定第一异常度和第二异常度加权平均值;在加权平均值大于预设阈值的情况下,确定待检测账号异常。
根据本公开的实施例,获取第一日志信息和历史日志信息包括:获取多个初始日志信息,初始日志信息包括待检测账号在预定时间段内的日志信息和待检测账号在多个历史时间段中每个历史时间段内的日志信息;对多个初始日志信息中的每个初始日志进行相关性分析,以确定初始日志信息的冗余信息;删除初始日志信息中的冗余信息而分别获得第一日志信息和历史日志信息。
本公开的另一个方面提供了一种用户账号检测装置,包括:第一获取模块,用于获取待检测账号在预定时间段内的第一日志信息;第二获取模块,用于获取待检测账号在多个历史时间段中每个历史时间段内的多个历史日志信息;第一确定模块,用于基于第一日志信息和多个历史日志信息,确定待检测账号的第一异常度;第三获取模块,用于获取预定时间段内多个当前账号各自的第二日志信息;第二确定模块,用于基于多个第二日志信息和第一日志信息,确定待检测账号的第二异常度;以及第三确定模块,用于基于第一异常度和第二异常度,确定待检测账号是否异常。
本公开的另一个方面提供了一种电子设备,包括一个或多个处理器;存储装置,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行上述的方法。
本公开的另一个方面提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例,可以至少部分地解决难以准确地检测用户账号是否异常的问题,并因此可以实现提高对用户账号检测的准确度的技术效果。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的可以应用用户账号检测方法的示例性系统架构;
图2示意性示出了根据本公开实施例的用户账号检测方法的流程图;
图3示意性示出了根据本公开实施例的确定待检测账号的第一异常度的方法流程图;
图4示意性示出了根据本公开另一实施例的确定待检测账号的日志模型的方法流程图;
图5示意性示出了根据本公开实施例的经由日志模型对第一特征向量进行处理而得到第一异常度的方法流程图;
图6示意性示出了根据本公开实施例的确定待检测账号的第二异常度的方法流程图;
图7示意性示出了根据本公开实施例的获取第一日志信息和历史日志信息的方法流程图;
图8示意性示出了根据本公开另一实施例的用户账号检测方法的流程图;
图9示意性示出了根据本公开实施例的用户账号检测装置的框图;以及
图10示意性示出了根据本公开实施例的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种用户账号检测方法,包括:获取待检测账号在当前预定时间段内的第一日志信息;获取待检测账号在多个历史时间段中每个历史时间段内的多个历史日志信息;基于第一日志信息和多个历史日志信息,确定待检测账号的第一异常度;获取当前时间段预定时间段内多个有效账号各自的第二日志信息;基于多个第二日志信息和第一日志信息,确定待检测账号的第二异常度;以及基于第一异常度和第二异常度,确定待检测账号是否异常。
图1示意性示出了根据本公开实施例的可以应用用户账号检测方法的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的用户账号检测方法一般可以由服务器105执行。相应地,本公开实施例所提供的用户账号检测装置一般可以设置于服务器105中。本公开实施例所提供的用户账号检测方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的用户账号检测装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图2示意性示出了根据本公开实施例的用户账号检测方法的流程图。
如图2所示,该方法包括操作S201~S206。
在操作S201,获取待检测账号在预定时间段内的第一日志信息。
根据本公开的实施例,预定时间段例如可以是一个小时、两个小时、一天、两天等。预设时间段例如可以是当前时刻之前的1个小时对应的时刻到当前时刻之间的时间段。例如本领域技术人员可以将预设时间段的信息写入到配置文件中,从而应用该方法的电子设备可以通过读取配置文件,来获取预定时间段。
根据本公开的实施例,第一日志信息例如可以是电子设备记录的与待检测账号相关的操作信息。第一日志信息例如可以包括域登录日志、打印日志、USB操作日志等。
例如在图1所示的情景中,多个用户各自在终端设备101、102、103上的操作信息可以发送到服务器105,服务器105接收来自来自终端设备101、102、103的操作信息,并且根据操作信息形成多个用户中每个用户的日志信息。根据本公开的实施例,服务器105例如可以从多个用户的日志信息中查找到待检测账号在预设时间段内的第一日志信息。例如可以根据待检测账号的账号标识来查找日志信息中属于待检测账号的第一日志信息,或者根据终端设备的设备标识来查找日志信息中属于待检测账号的第一日志信息。
在操作S202,获取待检测账号在多个历史时间段中每个历史时间段内的多个历史日志信息。
根据本公开的实施例,历史时间段的时间长度可以与预定时间段的长度相同。具体地,预设时间段例如可以是2020年4月27日14:00到15:00,那么历史时间段例如可以是2020年4月27日10:00到11:00、2020年4月25日10:00到11:00等。例如可以分别获取2020年4月27日10:00到11:00的历史日志信息和2020年4月25日10:00到11:00的历史日志信息。
在操作S203,基于第一日志信息和多个历史日志信息,确定待检测账号的第一异常度。
根据本公开的实施例,例如可以将第一日志信息的特征字段和历史日志信息的特征字段进行比对,获得第一日志信息的特征字段和历史日志信息的特征字段的相似度,从而可以用相似度来表征待检测账号的第一异常度。其中,相似度越高,则第一异常度越小。
特征字段可以是第一日志信息中记载的操作信息,例如可以是USB设备的插入、下载文件、读取文件等操作信息。
根据本公开的实施例,例如可以利用历史日志信息的特征字段训练神经网络模型,从而将第一日志信息的特征字段作为神经网络模型的输入,由神经网络模型输出上述相似度。
在操作S204,获取预定时间段内多个有效账号各自的第二日志信息。
有效账号可以包括待检测账号和与待检测账号不相关的其他账号,即有效账号可以是服务器在预定时间段内获取到的所有当前未被标记为异常的账号。第二日志信息可以包括电子设备记录的每个有效账号的日志信息,其中,第二日志信息可以包括第一日志信息。
例如可以获取预定时间段内所有有效账号的第二日志信息。在图1所示的情景中,可以是服务器105从收集到的日志信息中确定出在预定时间段内所有有效账号的第二日志信息。
在操作S205,基于多个第二日志信息和第一日志信息,确定待检测账号的第二异常度。
根据本公开的实施例,例如可以根据多个第二日志信息,确定该预定时间段内的第二日志信息特征字段,将第一日志信息的特征字段和第二日志信息特征字段进行比对,确定第一日志信息的特征字段和第二日志信息特征字段的相似度,从而可以用相似度来表征待检测账号的第二异常度。其中,相似度越高,则第二异常度越小。
在操作S206,基于第一异常度和第二异常度,确定待检测账号是否异常。
根据本公开的实施例,例如计算第一异常度和第二异常度的平均值,若平均值大于预设阈值,则可以确定待检测账号为异常账号。预设阈值例如可以是0.6、0.7、0.8等。
根据本公开的实施例,该方法不仅将待检测账号的第一日志信息与待检测账号的历史日志信息进行比对,还将第一日志信息与其他账号的日志信息进行比对,能够至少部分地避免大规模更改系统配置或者系统规则而误将待检测账号的正常操作判断为异常操作,从而提高了检测准确度。
图3示意性示出了根据本公开实施例的确定待检测账号的第一异常度的方法流程图。
如图3所示,该方法可以包括操作S213~S233。
在操作S213,基于第一日志信息,生成第一日志信息的第一特征向量。
根据本公开的实施例,例如可以提取第一日志信息中的多个特征字段,对该多个特征字段进行独热编码(One-Hot Encoding),从而生成一个长度为m的第一特征向量U1。
在操作S223,将所述第一特征向量输入到日志模型中,其中,所述日志模型是根据多个历史日志信息而生成的。
根据本公开的实施例,日志模型可以是针对多个历史日志信息进行神经网络训练而得到的。例如可以从多个历史日志信息中提取特征字段,将该特征字段对应的特征向量作为基于神经网络模型的输入来对神经网络模型进行训练而得到日志模型。根据本公开的实施例,该神日志模型例如可以是聚类模型,可以根据历史日志信息确定多个类别。
在操作S233,经由日志模型对第一特征向量进行处理来得到第一异常度。
根据本公开的实施例,在第一特征向量输入到该日志模型中的情况下,日志模型可以输出该第一特征向量所属的类别。
例如可以将第一特征向量U1输入到日志模型中,由日志模型对识别第一特征向量U1进行识别来确定第一特征向量U1所属的类别,从而可以根据第一特征向量U1所属的类别确定第一异常度。
根据本公开的实施例,第一异常度例如可以根据第一特征向量所属的类别的历史特征向量的个数和全部历史特征向量的个数的比例来确定。例如第一特征向量所属的类别为稀少类别,属于该稀少类别的历史特性向量的个数可以是10个,而全部用于神经网络训练的历史特征向量为1000个,根据比例和第一异常度的对应关系表,可以确定该第一特征向量的异常度例如是0.9。
图4示意性示出了根据本公开另一实施例的确定待检测账号的日志模型的方法流程图。
如图4所示,该方法可以包括操作S2231~S2234。
在操作S2231,基于多个历史日志信息,确定各个历史日志信息的历史特征向量。
例如针对每个历史日志信息可以执行如下操作,可以提取历史日志信息中的多个历史特征字段,对该多个历史特征字段进行独热编码,从而生成一个长度为m(即,包含的元素个数为m)的历史特征向量U历。根据多个历史日志信息确定的多个历史特征向量,例如可以是U历1、U历2、......U历n。m和n是大于1的整数。
在操作S2232,将多个历史特征向量合并成第一特征矩阵,其中,每个历史特征向量可以作为第一特征矩阵的一行。
根据本公开的实施例,例如上述实施例中,多个历史特征向量合并产生的第一特征矩阵Mu可以表示为:
在操作S2233,对第一特征矩阵进行特征分解,获得待检测账号的特征分解模型。
根据本公开的实施例,例如可以利用NMF(Non-negative Matrix Factorization,非负矩阵分解)或者LDA(Linear Discriminant Analysis,线性判别式分解)对第一特征矩阵进行分解。
Mu=W(u)n×k×H(u)k×m
其中,W(u)n×k为对Mu特征分解得到的用户特征矩阵,H(u)k×m为对Mu特征分解得到的基模式矩阵。
根据本公开的实施例,基模式矩阵H(u)k×m中基模式个数k的选取可以采用gridsearch,以保证基模式矩阵中相邻基模式之间的差异性。
根据本公开的实施例,在对第一特征矩阵进行NMF或者LDA得到用户特征矩阵和基模式矩阵的情况下,可以存储该账号的特征分解模型Mod_u至模型库。特征分解模型Mod_u为在对第一特征矩阵进行NMF或者LDA时所使用到的参数。特征分解模型Mod_u例如可以包括该基模式矩阵和基模式个数k等。
在操作S2234,基于多个历史特征向量,生成特征矩阵模型,其中,日志模型包括特征分解模型和特征矩阵模型。
根据本公开的实施例,例如可以根据n个历史特征向量生成历史特征矩阵,对多个历史特征矩阵进行无监督无标签的机器学习训练(例如,OneClassSVM,isolationForest等),从而得到待检测账号的特征矩阵模型Bumod。该特征矩阵模型Bumod的输入例如可以是用户特征矩阵,输出可以是第一异常度。
图5示意性示出了根据本公开实施例的经由日志模型对第一特征向量进行处理而得到第一异常度的方法流程图。
如图5所示,该方法可以包括操作S2331~S2333。
在操作S2331,基于第一特征向量和其他特征向量,确定输入矩阵,其他特征向量为历史特征向量中的至少一个向量和/或根据预定时间段之后的至少一个时间段内的日志信息生成的至少一个特征向量。
根据本公开的实施例,例如可以是第一特征向量和其他n-1个其他特征向量组合成输入矩阵。其中,每个第一特征向量或者其他特征向量作为输入矩阵的一行。
例如预定时间段可以是2020年5月1日的10点~11点,则其他特征向量可以是2020年5月1日的10点之前的时间段内的日志信息生成的特征向量,或者也可以是2020年5月1日的11点之后的时间段内的日志信息所生成的特征向量。
在操作S2332,将输入矩阵输入到特征分解模型中,以由特征分解模型确定用户特征矩阵。
根据本公开的实施例,例如可以将输入矩阵输入到特征分解模型Mod_u中,由特征分解模型对输入矩阵进行分解而得到用户特征矩阵。
在操作S2333,将用户特征矩阵输入到特征矩阵模型中,由特征矩阵模型输出第一异常度。
根据本公开的实施例,例如可以将用户特征矩阵输入到特征矩阵模型Bumod中,由特征矩阵模型输出第一异常度。
图6示意性示出了根据本公开实施例的确定待检测账号的第二异常度的方法流程图。
如图6所示,该方法可以包括操作S215~S255。
在操作S215,确定多个所述第二日志信息中每个第二日志信息的第二特征向量。
根据本公开的实施例,例如针对每个第二日志信息可以执行如下操作:可以提取第二日志信息中的多个特征字段,对该多个特征字段进行独热编码,从而生成一个长度为m的第二特征向量U2。根据多个第二日志信息确定的多个第二特征向量,例如可以是U21、U22、......U2n。
在操作S225,将多个所述第二特征向量合并成第二特征矩阵,其中,每个所述第二特征向量作为所述第二特征矩阵的一行。
根据本公开的实施例,例如上述实施例中,多个第二特征向量合并产生的第二特征矩阵Muall可以表示为:
在操作S235,对所述第二特征矩阵进行特征分解而获得行为特征矩阵。
根据本公开的实施例,例如可以利用NMF或者LDA对第二特征矩阵Muall进行特征分解。例如对Muall进行特征分解的结果可以是:
M(uall)n×m=W(uall)n×k×H(uall)k×m
其中,W(uall)n×k为当前预定时间段内有效帐号的特征矩阵,H(uall)k×m为当前预定时间段内的基模式矩阵。
其中,基模式矩阵H(uall)k×m中的基模式个数的选取k可以采用gridsearch,以保证基模式向量之间的差异性。
在操作S245,对所述行为特征矩阵中的行向量进行聚类分析而获得分类结果。
例如在上述情景中,可以对特征矩阵W(uall)n×k中的每个行向量进行聚类分析而获得分类结果。例如可以利用均值漂移聚类算法对特征矩阵中的行向量进行聚类而获得多个类别。
在操作S255,基于所述分类结果,确定所述待检测账号的第二异常度。
根据本公开的实施例,例如可以基于分类结果,确定待检测账号的类别;以及基于待检测账号所在的类别,确定待检测账号的第二异常度。
例如可以根据待检测账号所在的类别中向量的数量来确定待检测账号的第二异常度。例如可以根据数量和第二异常度之间的映射表,来确定第二异常度。
根据本公开的实施例,基于第一异常度和第二异常度,确定待检测账号是否异常包括:获取第一异常度和第二异常度各自的权重值;基于权重值,确定第一异常度和第二异常度加权平均值;在加权平均值大于预设阈值的情况下,确定待检测账号异常。
例如,R=a×Ruh+b×Ruc,其中,a,b分别为第一异常度和第二异常度的权重值,a+b=1,Ruh为第一异常度,Ruc为第二异常度,R为异常值。例如若R>=预设阈值0.5则可以确定该待检测账号异常。
根据本公开的实施例,例如可以从本领域技术人员配置的配置文件中读取第一异常度和第二异常度各自的权重值。
图7示意性示出了根据本公开实施例的获取第一日志信息和历史日志信息的方法流程图。
如图7所示,该方法可以包括操作S211~S231。
在操作S211,获取多个初始日志信息,初始日志信息包括待检测账号在预定时间段内的日志信息和待检测账号在多个历史时间段中每个历史时间段内的日志信息。
在操作S221,对多个初始日志信息中的每个初始日志进行相关性分析,以确定初始日志信息的冗余信息。
根据本公开的实施例,例如可以分析每个初始日志中不同特征字段之间的相关性。根据本公开的实施例,例如可以利用pearson系数等分析初始日志中的特征字段之间的相关性。
利用pearson系数对初始日志中的特征字段进行分析,例如可以认为USB设备的插入和拔出之间存在很强的相关性,则可以确定插入和拔出中的之一为初始日志中的冗余信息,又例如可以认为日志打开和关闭之间存在很强的相关性,则可以确定打开和关闭之一为初始日志中的冗余信息。
在操作S231,删除初始日志信息中的冗余信息而分别获得第一日志信息和历史日志信息。
根据本公开的实施例,该方法可以简化初始日志,从而降低电子设备的计算量,进一步地提高了账号检测地准确度。
图8示意性示出了根据本公开另一实施例的用户账号检测方法的流程图。
如图8所示,该方法可以包括操作S810~S870。其中操作S810包括操作S811~S813。
在操作S810,对日志进行预处理。其中,对日志进行预处理包括操作S811~操作S813。
在操作S811,获取初始日志信息。例如可以以文件审计日志为中心关联其他日志,文件审计日志可以是图1所示的情景中服务器105管理的日志,该文件审计日志例如可以通过账号标识或者设备标识将打印日志、USB日志以及其他日志关联到同一个账号可以记录待检测账号操作行为,从而根据文件审计日志来获取同一账号的打印日志、USB日志以及其他日志。
在操作S812,对每个初始日志信息进行相关性分析,以删除初始日志信息中的冗余信息而获得待检测账号在预定时间段内的第一日志信息、历史日志信息以及其他有效账号在预定时间段内的第二日志信息。例如可以执行图7所描述的操作S211~S231。
在操作S813,可以对第一日志信息进行独热编码处理而获得第一特征向量,对每个历史日志信息进行独热编码处理而获得历史特征向量,对每个第二日志信息进行独热编码处理而获得第二特征向量。例如可以执行上文参考图3描述的操作S213、上文参考图4描述的S2231以及上文参考图6描述的操作S215。
在操作S820,根据历史特征向量生成第一特征矩阵,并且对第一特征矩阵进行分解而获得特征分解模型,将该特征分解模型存储到模型库中。例如可以执行上文参考图4描述的操作S2232和操作S2233。
在操作S830,根据历史特征向量,建立特征矩阵模型,并且将特征矩阵模型存入模型库中。例如可以执行上文参考图4描述的操作S2234。
在操作S840,利用特征分解模型和特征矩阵模型,对第一特征向量进行分析,以根据第一特征向量确定第一异常度。例如可以执行上文参考图5描述的操作S2331~2333。
在操作S850,将多个第二特征向量合并成第二特征矩阵,每个第二特征向量作为第二特征矩阵的一行,对第二特征矩阵进行特征分解而获得行为特征矩阵,对行为特征矩阵中的行向量进行聚类分析而获得多个类别。例如可以执行上文参考图6描述的操作S225~245。
在操作S860,确定待检测账号所在的类别,根据待检测账号所在的类别确定第二异常度。例如可以执行上文参考图6描述的操作S255。
在操作S870,将第一异常度和第二异常度进行加权平均而得到异常值,若异常值大于预设阈值,则该待检测账号异常。
图9示意性示出了根据本公开实施例的用户账号检测装置900的框图。
如图9所示,用户账号检测装置900可以包括第一获取模块910、第二获取模块920、第一确定模块930、第三获取模块940、第二确定模块950和第三确定模块960。
第一获取模块910,例如执行上文参考图2描述的操作S201,用于获取待检测账号在预定时间段内的第一日志信息。
第二获取模块920,例如执行上文参考图2描述的操作S202,用于获取所述待检测账号在多个历史时间段中每个历史时间段内的多个历史日志信息。
第一确定模块930,例如执行上文参考图2描述的操作S203,用于基于所述第一日志信息和多个所述历史日志信息,确定所述待检测账号的第一异常度。
第三获取模块,例如执行上文参考图2描述的操作S204,用于获取所述预定时间段内多个当前账号各自的第二日志信息。
第二确定模块,例如执行上文参考图2描述的操作S205,用于基于多个所述第二日志信息和所述第一日志信息,确定所述待检测账号的第二异常度。
第三确定模块,例如执行上文参考图2描述的操作S206,用于基于所述第一异常度和所述第二异常度,确定所述待检测账号是否异常。
根据本公开的实施例,第一确定模块930可以包括第一生成子模块,用于基于所述第一日志信息,生成所述第一日志信息的第一特征向量;第一确定子模块,用于将所述第一特征向量输入到日志模型中,其中,所述日志模型是根据多个所述历史日志信息生成的;第一处理子模块,用于经由所述日志模型对所述第一特征向量进行处理来得到所述第一异常度。
根据本公开的实施例,第一确定子模块可以包括第一确定单元,用于基于多个所述历史日志信息,确定各个所述历史日志信息的历史特征向量;第一生成单元,用于将多个所述历史特征向量合并成第一特征矩阵,其中,每个所述历史特征向量作为所述第一特征矩阵的一行;第一获得单元,用于对所述第一特征矩阵进行特征分解,获得所述待检测账号的特征分解模型;以及第二生成单元,用于基于多个所述历史特征向量,生成特征矩阵模型,其中,所述日志模型包括所述特征分解模型和所述特征矩阵模型。
根据本公开的实施例,第一处理子模块可以包括第二确定单元,用于基于所述第一特征向量和其他特征向量,确定输入矩阵,所述其他特征向量为所述历史特征向量中的至少一个向量和/或根据所述预定时间段之后的至少一个时间段内的日志信息生成的至少一个特征向量;第一输入单元,用于将所述输入矩阵输入到所述特征分解模型中,以由所述特征分解模型确定用户特征矩阵;以及第二输入单元,用于将所述用户特征矩阵输入到所述特征矩阵模型中,由所述特征矩阵模型输出所述第一异常度。
根据本公开的实施例,第二确定模块950可以包括第二确定子模块,用于确定多个所述第二日志信息中每个第二日志信息的第二特征向量;第二生成子模块,用于将多个所述第二特征向量合并成第二特征矩阵,其中,每个所述第二特征向量作为所述第二特征矩阵的一行;第二获得子模块,用于对所述第二特征矩阵进行特征分解而获得行为特征矩阵;第三获得子模块,用于对所述行为特征矩阵中的行向量进行聚类分析而获得分类结果;第三确定子模块,用于基于所述分类结果,确定所述待检测账号的第二异常度。
根据本公开的实施例,基于所述分类结果,确定所述待检测账号的第二异常度包括:基于所述分类结果,确定所述待检测账号的类别;以及基于所述待检测账号所在的类别,确定所述待检测账号的第二异常度。
第三确定模块960,用于基于所述第一异常度和所述第二异常度,确定所述待检测账号是否异常。例如可以获取所述第一异常度和所述第二异常度各自的权重值;基于所述权重值,确定所述第一异常度和第二异常度加权平均值;以及在所述加权平均值大于预设阈值的情况下,确定所述待检测账号异常。
根据本公开的实施例,获取所述第一日志信息和所述历史日志信息包括:获取多个初始日志信息,所述初始日志信息包括所述待检测账号在预定时间段内的日志信息和所述待检测账号在多个历史时间段中每个历史时间段内的日志信息;对所述多个初始日志信息中的每个初始日志进行相关性分析,以确定所述初始日志信息的冗余信息;删除所述初始日志信息中的冗余信息而分别获得所述第一日志信息和所述历史日志信息。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或同件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块910、第二获取模块920、第一确定模块930、第三获取模块940、第二确定模块950和第三确定模块960中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块910、第二获取模块920、第一确定模块930、第三获取模块940、第二确定模块950和第三确定模块960中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块910、第二获取模块920、第一确定模块930、第三获取模块940、第二确定模块950和第三确定模块960中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图10示意性示出了根据本公开实施例的电子设备的方框图。图10示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,根据本公开实施例的电子设备1000包括处理器1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。处理器1001例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1001还可以包括用于缓存用途的板载存储器。处理器1001可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1003中,存储有电子设备1000操作所需的各种程序和数据。处理器1001、ROM 1002以及RAM 1003通过总线1004彼此相连。处理器1001通过执行ROM 1002和/或RAM1003中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1002和RAM 1003以外的一个或多个存储器中。处理器1001也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1000还可以包括输入/输出(I/O)接口1005,输入/输出(I/O)接口1005也连接至总线1004。电子设备1000还可以包括连接至I/O接口1005的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被处理器1001执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1002和/或RAM 1003和/或ROM 1002和RAM 1003以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (12)
1.一种用户账号检测方法,包括:
获取待检测账号在预定时间段内的第一日志信息;
获取所述待检测账号在多个历史时间段中每个历史时间段内的多个历史日志信息;
基于所述第一日志信息和多个所述历史日志信息,确定所述待检测账号的第一异常度;
获取所述预定时间段内多个有效账号各自的第二日志信息;
基于多个所述第二日志信息和所述第一日志信息,确定所述待检测账号的第二异常度;以及
基于所述第一异常度和所述第二异常度,确定所述待检测账号是否异常。
2.根据权利要求1所述的方法,其中,所述基于所述第一日志信息和多个所述历史日志信息,确定所述待检测账号的第一异常度包括:
基于所述第一日志信息,生成所述第一日志信息的第一特征向量;
将所述第一特征向量输入到日志模型中,其中,所述日志模型是根据多个所述历史日志信息而生成的;以及
经由所述日志模型对所述第一特征向量进行处理来得到所述第一异常度。
3.根据权利要求2所述的方法,还包括:根据多个历史日志信息确定待检测账号的日志模型,所述基于多个所述历史日志信息,确定所述待检测账号的日志模型包括:
基于多个所述历史日志信息,确定各个所述历史日志信息的历史特征向量;
将多个所述历史特征向量合并成第一特征矩阵,其中,每个所述历史特征向量作为所述第一特征矩阵的一行;
对所述第一特征矩阵进行特征分解,获得所述待检测账号的特征分解模型;以及
基于多个所述历史特征向量,生成特征矩阵模型,
其中,所述日志模型包括所述特征分解模型和所述特征矩阵模型。
4.根据权利要求3所述的方法,其中,所述经由所述日志模型对所述第一特征向量进行处理而得到所述第一异常度包括:
基于所述第一特征向量和其他特征向量,确定输入矩阵,所述其他特征向量为所述历史特征向量中的至少一个向量和/或根据所述预定时间段之后的至少一个时间段内的日志信息生成的至少一个特征向量;
将所述输入矩阵输入到所述特征分解模型中,以由所述特征分解模型确定用户特征矩阵;以及
将所述用户特征矩阵输入到所述特征矩阵模型中,由所述特征矩阵模型输出所述第一异常度。
5.根据权利要求1所述的方法,其中,所述基于多个所述第二日志信息和所述第一日志信息,确定所述待检测账号的第二异常度包括:
确定多个所述第二日志信息中每个第二日志信息的第二特征向量;
将多个所述第二特征向量合并成第二特征矩阵,其中,每个所述第二特征向量作为所述第二特征矩阵的一行;
对所述第二特征矩阵进行特征分解而获得行为特征矩阵;
对所述行为特征矩阵中的行向量进行聚类分析而获得分类结果;以及
基于所述分类结果,确定所述待检测账号的第二异常度。
6.根据权利要求5所述的方法,其中,所述基于所述分类结果,确定所述待检测账号的第二异常度包括:
基于所述分类结果,确定所述待检测账号的类别;以及
基于所述待检测账号所在的类别,确定所述待检测账号的第二异常度。
7.根据权利要求1所述的方法,其中,所述基于所述第一异常度和所述第二异常度,确定所述待检测账号是否异常包括:
获取所述第一异常度和所述第二异常度各自的权重值;
基于所述权重值,确定所述第一异常度和第二异常度加权平均值;以及
在所述加权平均值大于预设阈值的情况下,确定所述待检测账号异常。
8.根据权利要求1所述的方法,其中,所述获取所述第一日志信息和所述历史日志信息包括:
获取多个初始日志信息,所述初始日志信息包括所述待检测账号在预定时间段内的日志信息和所述待检测账号在多个历史时间段中每个历史时间段内的日志信息;
对所述多个初始日志信息中的每个初始日志进行相关性分析,以确定所述初始日志信息的冗余信息;以及
删除所述初始日志信息中的冗余信息而分别获得所述第一日志信息和所述历史日志信息。
9.一种用户账号检测装置,包括:
第一获取模块,用于获取待检测账号在预定时间段内的第一日志信息;
第二获取模块,用于获取所述待检测账号在多个历史时间段中每个历史时间段内的多个历史日志信息;
第一确定模块,用于基于所述第一日志信息和多个所述历史日志信息,确定所述待检测账号的第一异常度;
第三获取模块,用于获取所述预定时间段内多个当前账号各自的第二日志信息;
第二确定模块,用于基于多个所述第二日志信息和所述第一日志信息,确定所述待检测账号的第二异常度;以及
第三确定模块,用于基于所述第一异常度和所述第二异常度,确定所述待检测账号是否异常。
10.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1~8任意一项所述的方法。
11.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如权利要求1~8任意一项所述的方法。
12.一种计算机程序产品,包括计算机可读指令,其中,所述计算机可读指令被执行时用于执行根据权利要求1~8之一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010405042.9A CN111600874B (zh) | 2020-05-13 | 2020-05-13 | 用户账号检测方法、装置、电子设备、介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010405042.9A CN111600874B (zh) | 2020-05-13 | 2020-05-13 | 用户账号检测方法、装置、电子设备、介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111600874A true CN111600874A (zh) | 2020-08-28 |
CN111600874B CN111600874B (zh) | 2022-10-28 |
Family
ID=72185426
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010405042.9A Active CN111600874B (zh) | 2020-05-13 | 2020-05-13 | 用户账号检测方法、装置、电子设备、介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111600874B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112926048A (zh) * | 2021-05-11 | 2021-06-08 | 北京天空卫士网络安全技术有限公司 | 一种异常信息检测方法和装置 |
CN113065754A (zh) * | 2021-03-25 | 2021-07-02 | 北京百度网讯科技有限公司 | 账号管理方法、装置、电子设备和计算机可读存储介质 |
CN113413605A (zh) * | 2021-07-08 | 2021-09-21 | 腾讯数码(深圳)有限公司 | 对局作弊账号的检测方法、装置、设备及存储介质 |
CN113596051A (zh) * | 2021-08-05 | 2021-11-02 | 工银科技有限公司 | 检测方法、检测装置、电子设备、介质和计算机程序 |
CN115150414A (zh) * | 2022-06-29 | 2022-10-04 | 中国电信股份有限公司 | 异常账号的检测方法、装置及计算机可读存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160105801A1 (en) * | 2014-10-09 | 2016-04-14 | Microsoft Corporation | Geo-based analysis for detecting abnormal logins |
CN105718579A (zh) * | 2016-01-22 | 2016-06-29 | 浙江大学 | 一种基于上网日志挖掘和用户活动识别的信息推送方法 |
CN107707545A (zh) * | 2017-09-29 | 2018-02-16 | 深信服科技股份有限公司 | 一种异常网页访问片段检测方法、装置、设备及存储介质 |
US20180270261A1 (en) * | 2017-03-17 | 2018-09-20 | Target Brands, Inc. | Word embeddings for anomaly classification from event logs |
CN108989150A (zh) * | 2018-07-19 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种登录异常检测方法及装置 |
CN109889538A (zh) * | 2019-03-20 | 2019-06-14 | 中国工商银行股份有限公司 | 用户异常行为检测方法及系统 |
CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
-
2020
- 2020-05-13 CN CN202010405042.9A patent/CN111600874B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160105801A1 (en) * | 2014-10-09 | 2016-04-14 | Microsoft Corporation | Geo-based analysis for detecting abnormal logins |
CN105718579A (zh) * | 2016-01-22 | 2016-06-29 | 浙江大学 | 一种基于上网日志挖掘和用户活动识别的信息推送方法 |
US20180270261A1 (en) * | 2017-03-17 | 2018-09-20 | Target Brands, Inc. | Word embeddings for anomaly classification from event logs |
CN107707545A (zh) * | 2017-09-29 | 2018-02-16 | 深信服科技股份有限公司 | 一种异常网页访问片段检测方法、装置、设备及存储介质 |
CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
CN108989150A (zh) * | 2018-07-19 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种登录异常检测方法及装置 |
CN109889538A (zh) * | 2019-03-20 | 2019-06-14 | 中国工商银行股份有限公司 | 用户异常行为检测方法及系统 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113065754A (zh) * | 2021-03-25 | 2021-07-02 | 北京百度网讯科技有限公司 | 账号管理方法、装置、电子设备和计算机可读存储介质 |
CN113065754B (zh) * | 2021-03-25 | 2024-03-15 | 北京百度网讯科技有限公司 | 账号管理方法、装置、电子设备和计算机可读存储介质 |
CN112926048A (zh) * | 2021-05-11 | 2021-06-08 | 北京天空卫士网络安全技术有限公司 | 一种异常信息检测方法和装置 |
CN112926048B (zh) * | 2021-05-11 | 2021-08-20 | 北京天空卫士网络安全技术有限公司 | 一种异常信息检测方法和装置 |
CN113413605A (zh) * | 2021-07-08 | 2021-09-21 | 腾讯数码(深圳)有限公司 | 对局作弊账号的检测方法、装置、设备及存储介质 |
CN113413605B (zh) * | 2021-07-08 | 2022-08-26 | 腾讯数码(深圳)有限公司 | 对局作弊账号的检测方法、装置、设备及存储介质 |
CN113596051A (zh) * | 2021-08-05 | 2021-11-02 | 工银科技有限公司 | 检测方法、检测装置、电子设备、介质和计算机程序 |
CN115150414A (zh) * | 2022-06-29 | 2022-10-04 | 中国电信股份有限公司 | 异常账号的检测方法、装置及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111600874B (zh) | 2022-10-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111600874B (zh) | 用户账号检测方法、装置、电子设备、介质 | |
CN111859960B (zh) | 基于知识蒸馏的语义匹配方法、装置、计算机设备和介质 | |
US20200151392A1 (en) | System and method automated analysis of legal documents within and across specific fields | |
CN112863683B (zh) | 基于人工智能的病历质控方法、装置、计算机设备及存储介质 | |
US11159547B2 (en) | Malware clustering approaches based on cognitive computing techniques | |
CN114298417A (zh) | 反欺诈风险评估方法、训练方法、装置及可读存储介质 | |
CN110414989A (zh) | 异常检测方法及装置、电子设备和计算机可读存储介质 | |
CN112990281A (zh) | 异常投标识别模型训练方法、异常投标识别方法及装置 | |
CN115795000A (zh) | 基于联合相似度算法对比的围标识别方法和装置 | |
CN113507419B (zh) | 流量分发模型的训练方法、流量分发方法及装置 | |
CN113535577A (zh) | 基于知识图谱的应用测试方法、装置、电子设备和介质 | |
CN116155628B (zh) | 网络安全检测方法、训练方法、装置、电子设备和介质 | |
CN112231696A (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
CN116881971A (zh) | 一种敏感信息泄露检测方法、设备及存储介质 | |
US20190340542A1 (en) | Computational Efficiency in Symbolic Sequence Analytics Using Random Sequence Embeddings | |
CN114301713A (zh) | 风险访问检测模型的训练方法、风险访问检测方法及装置 | |
CN115827122A (zh) | 操作引导方法、装置、电子设备及存储介质 | |
CN114493850A (zh) | 基于人工智能的在线公证方法、系统及存储介质 | |
CN114493853A (zh) | 信用等级评价方法、装置、电子设备及存储介质 | |
CN113392200A (zh) | 基于用户学习行为的推荐方法及装置 | |
CN113627514A (zh) | 知识图谱的数据处理方法、装置、电子设备和存储介质 | |
CN110610392A (zh) | 数据处理方法及系统、计算机系统和计算机可读存储介质 | |
CN110674497B (zh) | 一种恶意程序相似度计算的方法和装置 | |
US20240121119A1 (en) | Method and Apparatus for Classifying Blockchain Address | |
CN114692970A (zh) | 用户意向预测模型训练方法、用户意向预测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: Qianxin Technology Group Co.,Ltd. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |