CN111818066B - 一种风险检测方法及装置 - Google Patents

一种风险检测方法及装置 Download PDF

Info

Publication number
CN111818066B
CN111818066B CN202010672722.7A CN202010672722A CN111818066B CN 111818066 B CN111818066 B CN 111818066B CN 202010672722 A CN202010672722 A CN 202010672722A CN 111818066 B CN111818066 B CN 111818066B
Authority
CN
China
Prior art keywords
risk
target account
preset
component
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010672722.7A
Other languages
English (en)
Other versions
CN111818066A (zh
Inventor
刘必为
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010672722.7A priority Critical patent/CN111818066B/zh
Publication of CN111818066A publication Critical patent/CN111818066A/zh
Application granted granted Critical
Publication of CN111818066B publication Critical patent/CN111818066B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Alarm Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种风险检测方法及装置;获取目标账户对云服务器的历史操作信息;从历史操作信息中确定预设的风险操作对应的目标历史操作信息,其中,云服务器可以存储目标历史操作信息,还可以读取目标历史操作信息,基于目标历史操作信息中的操作时间,按照预设时间间隔统计目标账户在各间隔时间段内的风险操作执行次数,得到目标账户的风险操作执行次数的时间序列;基于时间序列中风险操作执行次数的分布规律,对时间序列中待检测间隔时间段内的目标账户的操作行为进行异常检测;基于异常检测结果,确定目标账户在待检测间隔时间段中的操作行为是否命中预设的异常操作场景。该方案可以提高网络的安全性。

Description

一种风险检测方法及装置
技术领域
本申请涉及通信技术领域,具体涉及一种风险检测方法及装置。
背景技术
近年来随着信息技术的飞速发展,网络安全越来越受到重视,在对相关技术的研究和实践过程中,本申请的发明人发现目前在各网络安全场景中,着重解决的网络安全问题都是服务器内部漏洞风险或外部攻击风险,对于内部用户带来的风险往往检测不到。
发明内容
本申请实施例提供一种风险检测方法及装置,通过分析目标账户的历史操作行为中预设风险操作,可以识别出内部用户对云服务器的操作带来的风险,提高网络的安全性。
本申请实施例提供了一种风险检测方法,包括:
获取目标账户对所述云服务器的历史操作信息,所述历史操作信息包括所述目标账户在所述云服务器中进行的历史操作的标识信息与操作时间;
基于所述标识信息,从所述历史操作信息中确定预设的风险操作对应的目标历史操作信息;
基于所述目标历史操作信息中的操作时间,按照预设时间间隔统计所述目标账户在各间隔时间段内的风险操作执行次数,得到所述目标账户的所述风险操作执行次数的时间序列;
基于所述时间序列中所述风险操作执行次数的分布规律,对所述时间序列中待检测间隔时间段内的所述目标账户的操作行为进行异常检测;
基于异常检测结果,确定所述目标账户在所述待检测间隔时间段中的操作行为是否命中预设的异常操作场景。
相应的,本申请实施例提供了一种风险检测装置,包括:
第一获取单元,用于获取目标账户对所述云服务器的历史操作信息,所述历史操作信息包括所述目标账户在所述云服务器中进行的历史操作的标识信息与操作时间;
第一确定单元,用于基于所述标识信息,从所述历史操作信息中确定预设的风险操作对应的目标历史操作信息;
统计单元,用于基于所述目标历史操作信息中的操作时间,按照预设时间间隔统计所述目标账户在各间隔时间段内的风险操作执行次数,得到所述目标账户的所述风险操作执行次数的时间序列;
检测单元,用于基于所述时间序列中所述风险操作执行次数的分布规律,对所述时间序列中待检测间隔时间段内的所述目标账户的操作行为进行异常检测;
第二确定单元,用于基于异常检测结果,确定所述目标账户在所述待检测间隔时间段中的操作行为是否命中预设的异常操作场景。
在一实施例中,所述第一确定单元,包括:
获取子单元,用于获取预设的风险操作对应的组件标识信息;
第一确定子单元,用于基于所述历史操作信息中各历史操作对应的组件标识信息,与所述预设的风险操作对应的组件标识信息,从所述历史操作信息中确定所述预设的风险操作对应的目标历史操作信息。
在一实施例中,所述检测单元,包括:
分解子单元,用于对所述时间序列进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量;
去除子单元,用于基于所述周期性分量去除所述时间序列中风险操作执行次数的周期性,得到各间隔时间段的风险操作执行次数的自定义残余值;
第二确定子单元,用于基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定所述时间序列中待检测间隔时间段内的所述目标账户的操作行为是否异常。
在一实施例中,所述分解子单元还用于将所述时间序列的中间位置的风险操作执行次数,作为风险操作参考执行次数;当所述风险操作参考执行次数等于预设执行次数时,对所述时间序列按照第一预设分解算法进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量;当所述风险操作参考执行次数不等于所述预设执行次数时,对所述时间序列按照第二预设分解算法进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量。
在一实施例中,所述去除子单元还用于从所述时间序列的各间隔时间段内实际的风险操作执行次数中,分别减去所述周期性分量对应的周期性子分量值、以及所述风险操作参考执行次数,得到各间隔时间段的风险操作执行次数的自定义残余值。
在一实施例中,所述第二确定子单元还用于基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定所述待检测间隔时间段的风险操作执行次数的自定义残余值是否为异常值;若所述待检测间隔时间段的风险操作执行次数残余值为异常值,则确定所述时间序列中待检测间隔时间段内的所述目标账户的操作行为异常;若所述待检测间隔时间段的风险操作执行次数残余值不为异常值,则确定所述时间序列中待检测间隔时间段内的所述目标账户的操作行为正常。
在一实施例中,所述第二确定单元,包括:
计算子单元,用于当异常检测结果为目标账户在所述待检测间隔时间内的操作行为异常时,计算所述待检测间隔时间段内所述目标账户的操作行为的风险评分;
第三确定子单元,用于当所述风险评分高于预设风险评分时,确定所述目标账户在所述待检测间隔时间段中的操作行为命中预设的异常操作场景;
第四确定子单元,用于当所述风险评分不高于预设风险评分时,确定所述目标账户在所述待检测间隔时间段中的操作行为未命中预设的异常操作场景。
在一实施例中,所述计算子单元还用于当所述目标账户为主账户时,从所述残余分量中提取所述待检测间隔时间段的残余子分量值,对所述残余子分量值进行第一加权处理,得到所述目标账户在所述待检测间隔时间段内的操作行为的风险评分;当所述目标账户为子账户时,从所述残余分量中提取所述待检测间隔时间段的残余子分量值,对所述残余子分量值进行第二加权处理,得到加权后残余子分量值,对所述加权后残余子分量值与所述子账户的基础风险分值求和,得到所述子账户在所述待检测间隔时间段内对应的操作行为的风险评分。
在一实施例中,风险检测装置,还包括:
第三确定单元,用于从所述云服务器的组件中确定所述目标账户对应的预设风险组件;
第二获取单元,用于获取所述预设风险组件的组件标识信息,作为所述目标账户的预设风险操作的标识信息。
在一实施例中,风险检测装置,还包括:
推送单元,用于当确定所述目标账户在所述待检测间隔时间段内命中所述预设的异常操作场景时,向所述目标账户推送操作风险告警信息。
相应的,本申请实施例还提供了一种计算机设备,包括存储器,处理器及存储在储存器上并可在处理器上运行的计算机程序,其中,所述处理器执行本申请实施例任一提供的风险检测方法中的步骤。
相应的,本申请实施例还提供一种存储介质,所述存储介质存储有多条指令,所述指令适用于处理器进行加载,以执行本申请实施例任一提供的风险检测方法中的步骤。
本申请实施例可以获取目标账户对所述云服务器的历史操作信息,所述历史操作信息包括所述目标账户在所述云服务器中进行的历史操作的标识信息与操作时间;基于所述标识信息,从所述历史操作信息中确定预设的风险操作对应的目标历史操作信息;基于所述目标历史操作信息中的操作时间,按照预设时间间隔统计所述目标账户在各间隔时间段内的风险操作执行次数,得到所述目标账户的所述风险操作执行次数的时间序列;基于所述时间序列中所述风险操作执行次数的分布规律,对所述时间序列中待检测间隔时间段内的所述目标账户的操作行为进行异常检测;基于异常检测结果,确定所述目标账户在所述待检测间隔时间段中的操作行为是否命中预设的异常操作场景。该方案可以从目标账户历史操作对应的历史操作信息中,提取预设风险操作对应的预设风险操作信息,然后基于预设风险操作信息,检测目标账户在待检测间隔时间段中的操作行为,并确定目标账户在待检测间隔时间段内的操作行为是否命中预设的异常操作场景,当命中预设的异常操作场景时,可以向目标账户推送告警信息,进而可以提高网络的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的风险检测方法的场景示意图;
图2是本申请实施例提供的风险检测方法的流程图;
图3是本申请实施例提供的风险检测方法的整体步骤流程图;
图4是本申请实施例提供的风险检测方法的整体架构图;
图5是本申请实施例提供的风险检测方法的另一整体架构图;
图6是本申请实施例提供的风险检测方法的异常检测流程图;
图7是本申请实施例提供的风险检测方法的风险评分流程图;
图8是本申请实施例提供的风险检测方法的另一流程图;
图9是本申请实施例提供的风险检测方法的装置图;
图10是本申请实施例提供的风险检测方法的另一装置图;
图11是本申请实施例提供的风险检测方法的另一装置图;
图12是本申请实施例提供的风险检测方法的另一装置图;
图13是本申请实施例提供的计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种风险检测方法、装置和计算机可读存储介质。具体地,本申请实施例提供适用于计算机设备的风险检测装置。其中,该计算机设备可以为终端或服务器等设备,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
参考图1,以计算机设备为云服务器为例,该云服务器可以获取自身的目标账户的历史操作信息,历史操作信息包括目标账户在云服务器中进行的历史操作的标识信息与操作时间;基于标识信息,从历史操作信息中确定预设的风险操作对应的目标历史操作信息;基于目标历史操作信息中的操作时间,按照预设时间间隔统计目标账户在各间隔时间段内的风险操作执行次数,得到目标账户的风险操作执行次数的时间序列;基于时间序列中风险操作执行次数的分布规律,对时间序列中待检测间隔时间段内的目标账户的操作行为进行异常检测;基于异常检测结果,确定目标账户在待检测间隔时间段中的操作行为是否命中预设的异常操作场景。
其中,该历史操作信息可以基于云平台技术进行获取,而云平台也称云计算平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力。本实施例中的云平台可以理解为基于上述云服务器构成的平台,该平台可以为用户提供各种需要的服务,例如为用户提供公司网站构建和运营服务等等,用户可以在该云平台上购买云服务器资源,例如存储资源和计算资源等等,用户可以基于购买的资源和云服务器提供的各种组件,完成各种任务。
云计算(cloud computing)是一种计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费,本实施例中,目标账户的历史操作,可以是利用云服务器中分布式的服务器实现的,可以理解的是,目标账户的不同历史操作,可以是通过云服务器中的不同实体服务器实现,本实施例对此没有限制。
由以上可知,本申请实施例可以从目标账户历史操作对应的历史操作信息中,提取预设风险操作对应的预设风险操作信息,然后基于预设风险操作信息,检测目标账户在待检测间隔时间段中的操作行为,并确定目标账户在待检测间隔时间段内的操作行为是否命中预设的异常操作场景,当命中预设的异常操作场景时,可以向目标账户推送告警信息,进而可以提高网络的安全性。
本实施例可以以下分别进行详细说明,需说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
本申请实施例提供一种风险检测方法,该方法可以由终端或服务器执行,也可以由终端和服务器共同执行;本申请实施例以风险检测方法由服务器执行为例来进行说明,具体的,由集成在服务器中的风险检测装置来执行。如图2所示,该风险检测方法的具体流程可以如下:
201、获取目标账户对云服务器的历史操作信息,历史操作信息包括目标账户在云服务器中进行的历史操作的标识信息与操作时间。
本实施例中,云服务器设置有云审计日志,该日志中可以记录云服务器的所有用户在云服务器上的历史操作信息。其中,用户在服务器上的操作,是通过调用云服务器提供的组件实现的。该组件可以理解为函数,或一段应用程序代码等形式的数据。各组件可以实现不同的功能,例如某组件可以实现从云服务器的账户管理模块中获取某用户的账户信息,如账户等级,购买的云服务器资源等等。
本实施例中,云服务器提供了预先定义好的组件给用户使用,可以通过组件的api接口调用该预先定义好的组件来实现目的。用户在云服务器中进行的每一个操作都是基于云平台预先定义好的组件完成。
本实施例的云审计日志的类型根据用户在云服务器上实现操作的方式不同,可以分为多种日志,例如,云审计日志包括第一日志和第二日志,在第一日志中,包括用户的第一历史操作信息,该第一历史操作信息对应的历史操作,是用户通过云服务器提供的控制台,调用云服务器提供的组件而实现的操作。第二日志中包括用户的第二历史操作信息,该第二历史操作信息对应的历史操作,是用户利用云服务器中组件的apikey对组件增加自定义脚本后,使用该增加有自定义脚本的组件实现的操作。
本实施例中,可以基于目标账户的身份标识(如账户标识)从云审计日志中获取目标账户的历史操作信息。
在另一个示例中,云服务器所在的平台设置有风险检测模块,该模块可以实现本实施例的风险检测方法,该风险检测模块设置有自己的检测服务器,该风险检测模块可以定时从云审计日志中获取云服务器的所有账户的历史操作信息,然后存储到检测服务器中。步骤201具体可以包括:基于所述目标账户的身份标识,从检测服务器中读取目标账户的历史操作信息。
在一实施例中,云审计日志可以存储于云服务器的文件存储桶(Cloud ObjectStorage,COS,对象存储)中,云审计日志的文件可以按桶的方式存储在文件存储桶中,方便后续处理。本实施例的风险检测模块可以将COS存储桶作为中转,风险检测模块可定时读取COS存储桶中存储的用户账户的历史操作信息,将风险检测所需的历史操作信息存入到本地的检测服务器的数据表中。
参考图3,当目标账户在控制台或通过应用程序接口执行某操作产生用户操作记录时,将用户的操作信息作为历史操作信息存入文件存储桶中的云审计日志中,风险检测模块可以定时读取文件存储桶中的云审计日志,存入本地es数据库中,得到本地的原始日志。
其中,本地的历史操作信息还可以存储到如图4所示的日志展示表,该日志展示表可以存放展示目标账户的历史操作信息的记录明细,比如,目标账户发起操作的时间,发起的操作的源IP,发起的操作的类型、以及操作对应的鉴权key值、以及附加信息等等信息。
202、基于标识信息,从历史操作信息中确定预设的风险操作对应的目标历史操作信息。
其中,标识信息可以用于指示目标账户在云服务器中的操作是否为预设风险操作,比如,标识信息可以为在云服务器中进行的操作所调用组件的组件标识信息。
在一示例中,目标账户在云服务器中进行的操作可以通过调用组件的api来实现,采集回来的每一条历史操作信息,可以包括:目标账户在云服务器中执行的一次操作所调用组件的组件信息,该组件信息包括但不限于:组件的名称,api接口,组件调用时间等等信息,其中,组件理解为云函数时,组件的名称理解为云函数名称。
在一实施例中,标识信息包括:在云服务器中进行的操作所调用组件的组件标识信息,该组件标识信息可以包括:上述的api接口和/或组件名称,本实施例对此没有限制。步骤“基于标识信息,从历史操作信息中确定预设风险操作对应的目标历史操作信息”,可以包括:
获取预设的风险操作对应的组件标识信息;
基于历史操作信息中各历史操作对应的组件标识信息,与预设的风险操作对应的组件标识信息,从历史操作信息中确定预设的风险操作对应的目标历史操作信息。
在一实施例中,获取预设风险操作对应的组件标识信息前,还包括:
从云服务器的组件中确定目标账户对应的预设风险组件;
获取预设风险组件的组件标识信息,作为目标账户的预设风险操作的标识信息。
其中,在一示例中,组件标识信息可以包括组件的api名称,可以基于该api名称,从云服务器中所有的api中预先挑选出资产高风险类api名称,比如挑选实例绑定安全组、开通实例外网访问等资产高风险类api名称。在挑选出资产高风险类api的名称后,可以将该资产高风险类api的名称存储在风险检测模块中,在需要的时候读取该名称进行使用。
203、基于目标历史操作信息中的操作时间,按照预设时间间隔统计目标账户在各间隔时间段内的风险操作执行次数,得到目标账户的风险操作执行次数的时间序列。
其中,时间序列为将各时间间隔内的风险操作执行次数,按照时间顺序排列而成的数列,时间序列中各时间间隔的风险操作执行次数可以不同或相同,本实施例对此没有任何限制。
在一实施例中,可以将目标账户在预设历史时间段内的目标历史操作信息,作为构建目标账户的风险操作执行次数的时间序列,构建目标账户的风险操作执行次数的时间序列的步骤可以如下:
(1)获取目标账户在预设历史时间段内的目标历史操作信息,比如,可以获取目标账户在预设历史时间段内的历史操作信息,然后从历史操作信息中,确定预设风险操作对应的目标历史操作信息,其中,可以根据云服务器中资产高风险类api的名称,来从历史操作信息中筛选出预设风险操作对应的目标历史操作信息。
(2)分别统计预设历史时间段内目标历史操作信息,在预设间隔时间的风险操作执行次数,形成目标账户的风险操作执行次数的时间序列。比如,可以统计14天内目标历史操作信息,在每小时内的风险操作执行次数,形成目标账户s的时间序列:Ns=(n1,n2,…,ni),i∈[1,14*24],其中,n1,n2,…,ni分别为第一个小时内风险操作执行的次数、第二个小时内风险操作执行的次数、……、第i个小时内风险操作执行的次数。
204、基于时间序列中风险操作执行次数的分布规律,对时间序列中待检测间隔时间段内的目标账户的操作行为进行异常检测。
本实施例中的待检测间隔时间段可以是时间序列中的任意间隔时间段,待检测间隔时间段可以在步骤204中确定,也可以在步骤201之前确定。对于在步骤201之前确定待检测间隔时间段的方案,获取目标账户对所述云服务器的历史操作信息时,需要满足历史操作信息的操作时间包括该待检测间隔时间段。
在一个示例中若将当前时刻作为待检测间隔时间段中的一个时刻,则获取目标账户对所述云服务器的历史操作信息,包括:获取当前时刻之前的历史时间段内,目标账户对所述云服务器的历史操作信息。该历史时间段可以根据实际需要设置,例如可以设置为不少于7天的数值等等。在该示例中,待检测间隔时间段为时间序列中的最后一个间隔时间段。可以理解的是,按照预设间隔时间段统计风险操作执行次数时,最后一个间隔时间段的时长可能不等于其之前的间隔时间段的时长。例如,时间序列中,预设时间间隔为1小时,但是最后一个间隔时间段可能是30分钟。
其中,异常检测指的是,通过对目标账户在待检测间隔时间段内的风险操作执行次数进行检测,以确定在时间序列中待检测间隔时间段内的目标账户的操作行为是否异常。
在一实施例中,参考图5,将用户在云服务器中进行操作的历史操作信息存入COS存储桶中,然后定时读取COS存储桶中的存储的操作信息,得到目标账户在本地的历史操作信息,再基于历史操作信息对目标账户的操作行为进行风险检测,并且将历史操作信息的数据格式处理成可以在前端展示用的数据格式,最后标记历史操作信息中存在风险的操作,存入日志展示表中,以在前端展示。
在一实施例中,步骤“基于时间序列中风险操作执行次数的分布规律,对时间序列中待检测间隔时间段内的目标账户的操作行为进行异常检测”,可以包括:
对时间序列进行分解,得到时间序列的周期性分量、趋势性分量、以及残余分量;
基于周期性分量去除时间序列中风险操作执行次数的周期性,得到各间隔时间段的风险操作执行次数的自定义残余值;
基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定时间序列中待检测间隔时间段内的目标账户的操作行为是否异常。
本实施例中,时间序列的检测,可以采用现有的时间序列检测算法,例如SHESD算法等等。本实施例对此没有限制。
其中,S-H-ESD时间序列检测算法是Twitter公司于2016年公开的异常检测算法。由于时间序列数据具有周期性和趋势性的特点,因此异常检测不能将孤立的样本点单独进行处理,而应该基于历史数据进行分析判断。S-H-ESD算法是基于ESD(ExtremeStudentized Deviate test)进行优化的算法。而ESD算法则是基于Grubbs Test(一种假设检验方法)假设检验扩展到多个异常值检验的算法(Grubbs Test只能检验单个异常值)。
而对于时间序列的周期性分解,可以采用STL(Seasonal-Trend decompositionprocedure based on Loess)算法实现,将序列数据拆分为周期性分量(seasonalcomponent)、趋势性分量(trend component)和残余分量(remainder component)。
考虑到本实施例中,时间序列数据与S-H-ESD解决的传统时序数据存在不同之处,即本实施例的时序数据中可能存在大量的数值为0,这种情况下,采用原始的S-H-ESD算法,效果不是很理想,有鉴于此,本实施例中对时间序列数据的分解方案进行了适应性的调整,使得S-H-ESD算法在本实施例中的时序数据中表现更优。
具体的,STL算法中可以调整周期性分量的求解公式,所以本实施例可以通过周期性分量的求解公式的设置解决上述提出的问题。
在一实施例中,具体步骤“对时间序列进行分解,得到时间序列的周期性分量、趋势性分量、以及残余分量”,可以包括:
将时间序列的中间位置的风险操作执行次数,作为风险操作参考执行次数;
当风险操作参考执行次数等于预设执行次数时,对时间序列按照第一预设分解算法进行分解,得到时间序列的周期性分量、趋势性分量、以及残余分量;
当风险操作参考执行次数不等于预设执行次数时,对时间序列按照第二预设分解算法进行分解,得到时间序列的周期性分量、趋势性分量、以及残余分量。
具体的,STL算法中可以调整周期性分量的求解阶数,所以可以对第一预设分解算法和第二预设分解算法中周期性分量的求解阶数进行不同的设置。
在一个示例中,预设执行次数可以设置为0,第一预设分解算法中周期性分量的求解阶数可以设置为1,第二预设分解算法中周期性分量的求解阶数可以设置为0。当然,预设执行次数还可以是其他的数值,第一预设分解算法和第二预设分解算法中周期性分量的求解阶数还可以设置为其他需要的阶数,本实施例在此不做限制。
参考图6,获取时间序列后,确定其中间位置的风险操作执行次数,作为风险操作参考执行次数,当风险操作参考执行次数等于0时,将STL算法中周期性分量的求解阶数设置为1,然后对时间序列进行分解,当风险操作参考执行次数不等于0时,将STL算法中周期性分量的求解阶数设置为0,然后对时间序列进行分解,分解后可以得到周期性分量、趋势性分量、残余分量,然后根据分解后可以得到周期性分量、趋势性分量、残余分量,可以确定各间隔时间段的风险操作执行次数的自定义残余值,最后根据自定义残余值的变化规律,确定时间序列中待检测间隔时间段内的目标账户的操作行为是否异常。
更具体的,对于目标账户s的时间序列Ns,可以将时间序列按照预设时间序列分解算法拆分,比如,采用S-H-ESD(时间序列检测算法)算法检测待检测间隔时间段内的风险操作执行次数是否异常,其中S-H-ESD算法的检测机制为:首先将序列数据利用STL算法拆分得到Ns=S+T+R,其中S代表序列中的周期性分量,T代表序列中趋势性分量,R代表残余分量。
若时间序列Ns的中间位置的风险操作执行次数等于0,则此时分解出的周期性分量S存在极细微抖动,在后文计算中可忽略。其中,还可以计算待检测间隔时间段内预测的风险操作执行次数:ni =si+ti,其中ni 代表Ns中的第i个点的预测值,si代表周期性分量S中的第i个点(间隔时间段)的值,ti代表趋势性分量T中的第i个点的值。
在一实施例中,具体步骤“基于周期性分量去除时间序列中风险操作执行次数的周期性,得到各间隔时间段的风险操作执行次数的自定义残余值”,可以包括:
从时间序列的各间隔时间段内实际的风险操作执行次数中,分别减去周期性分量对应的周期性子分量值、以及风险操作参考执行次数,得到各间隔时间段的风险操作执行次数的自定义残余值。
在一示例中,可以利用自定义残差ri 的公式,计算出时间序列中各间隔时间段的风险操作执行次数残余值,以识别异常点,其中ri =ni-si-m,m为Ns的中位数(中间位置的风险操作执行次数),ni为时间序列中第i个间隔时间段内的风险操作执行次数,si代表周期性分量S中的第i个点的值。
在一实施例中,具体步骤“基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定时间序列中待检测间隔时间段内的目标账户的操作行为是否异常”,可以包括:
基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定待检测间隔时间段的风险操作执行次数的自定义残余值是否为异常值;
若待检测间隔时间段的风险操作执行次数残余值为异常值,则确定时间序列中待检测间隔时间段内的目标账户的操作行为异常;
若待检测间隔时间段的风险操作执行次数残余值不为异常值,则确定时间序列中待检测间隔时间段内的目标账户的操作行为正常。
其中,对于异常值的判断,可以基于上述例子中的自定义残差ri 实现,例如,计算出时间序列中各间隔时间段的风险操作执行次数的自定义残余值ri 后,可以得出关于ri 的数据序列,可以将该数据序列的曲线上不符合曲线变化规律的数据点,确定为异常点,也就是说,若待检测时间段的自定义残余值不符合各间隔时间段的自定义残余值组成的数据序列的变化规律,则待检测间隔时间段的自定义残余值为异常值,待检测间隔时间段内的目标账户的操作行为是异常。
205、基于异常检测结果,确定目标账户在待检测间隔时间段中的操作行为是否命中预设的异常操作场景。
其中,异常操作场景指的是具有高风险操作的场景,例如,目标账户在云服务器中进行一些存在风险的操作的场景,比如,进行一些资产高风险权限修改的操作的场景,如修改云服务器数据库密码的操作的场景、修改云服务器中网络安全组api规则的操作的场景,等等。
在一实施例中,步骤“基于异常检测结果,确定目标账户在待检测间隔时间段中的操作行为是否命中预设的异常操作场景”,可以包括:
当异常检测结果为目标账户在待检测间隔时间内的操作行为异常时,计算待检测间隔时间段内目标账户的操作行为的风险评分;
当风险评分高于预设风险评分时,确定目标账户在待检测间隔时间段中的操作行为命中预设的异常操作场景;
当风险评分不高于预设风险评分时,确定目标账户在待检测间隔时间段中的操作行为未命中预设的异常操作场景。
在一实施例中,目标账户的类型包括主账户与主账户下的子账户,步骤“计算待检测间隔时间段内目标账户的操作行为的风险评分”,可以包括:
当目标账户为主账户时,从残余分量中提取待检测间隔时间段的残余子分量值,对残余子分量值进行第一加权处理,得到目标账户在待检测间隔时间段内的操作行为的风险评分;
当目标账户为子账户时,从残余分量中提取待检测间隔时间段的残余子分量值,对残余子分量值进行第二加权处理,得到加权后残余子分量值,对加权后残余子分量值与子账户的基础风险分值求和,得到子账户在待检测间隔时间段内对应的操作行为的风险评分。
其中,第一加权处理和第二加权处理中使用的加权值可以相同或不同,本实施例对此没有限制。
参考图7,若待检测间隔时间段内目标账户的操作行为正常,则待检测间隔时间段内目标账户的操作行为的风险评分score=0;若待检测间隔时间段内目标账户的操作行为异常,则计算待检测间隔时间段内目标账户的操作行为的风险评分,比如,从残余分量R中提取待检测间隔时间段的残余子分量值r(也可以叫做残差),待检测间隔时间段为时间序列中最后一个间隔时间段时,残差r为残余分量R中的最后间隔时间段的数据点。因S-H-ESD算法的特性,r的取值可能不规则,需要对r做进一步处理,处理方法为若r<0,则r=0,若r>0,但r不为整数时,对r取整得r″=int(r)。在获得规则的r″后,分账户计算待检测间隔时间段内对应账户的操作行为的风险评分。
具体风险评分的计算规则为:当目标账户为主账户时,对残余子分量值采用第一加权值(如下列公式10*r″中的10)进行第一加权处理,得到目标账户在待检测间隔时间段内的操作行为的风险评分;当目标账户为子账户时,对残余子分量值采用第二加权值(如下列公式50+10*r″中的10)进行第二加权处理,得到加权后残余子分量值,对加权后残余子分量值与子账户的基础风险分值求和,得到子账户在待检测间隔时间段内对应的操作行为的风险评分:
可选的,预设风险评分可以根据实际需要设置,例如,对于主账户和子账户可以设置不同(或相同)的预设风险评分,对于不同的子账户,也可以设置不同的预设风险评分。假设主账户和子账户的预设风险评分都设置为60,当风险评分score≥60时,可以判定该目标账户在待检测间隔时间段中的操作行为命中异常操作场景,可以将该命中异常操作场景的操作行为存入图4所示的风险评分全量记录表与命中结果表中,以及将操作信息表中的相关操作行为标为风险。
在一实施例中,在基于异常检测结果,确定目标账户在待检测间隔时间段中的操作行为是否命中预设的异常操作场景之后,方法还包括:
当确定目标账户在待检测间隔时间段内命中预设的异常操作场景时,向目标账户推送操作风险告警信息。
本实施例中,操作风险告警信息可以用于提示接收方,目标账户命中预设的异常操作场景。
当终端侧检测到用户点针对该操作风险告警信息触发详细风险信息获取操作时,终端可以向风险检测模块发送详细风险信息获取请求,风险检测模块基于该请求,向终端发送更为详细的关于目标账户的风险信息,例如该风险信息包括:目标账户的账户信息,产生风险的时间段即上述的待检测间隔时间段,待检测间隔时间段中风险操作执行次数,和风险操作的对应的目标历史操作信息等等信息。终端可以通过详细风险信息页面将该信息显示给用户。
由以上可知,本实施例可以从目标账户历史操作对应的历史操作信息中,提取预设风险操作对应的预设风险操作信息,然后基于预设风险操作信息,检测目标账户在待检测间隔时间段中的操作行为,并确定目标账户在待检测间隔时间段内的操作行为是否命中预设的异常操作场景,当命中预设的异常操作场景时,可以向目标账户推送告警信息,进而可以提高网络的安全性。
根据上述介绍的内容,下面将举例来进一步说明本申请的风险检测方法。参考图8,一种风险检测方法,具体流程可以如下:
801、获取目标账户对云服务器的历史操作信息,历史操作信息包括目标账户在云服务器中进行的历史操作的操作信息。
在一实施例中,参考图3,首先获取目标账户在云服务器的控制台或通过应用程序接口执行操作的操作信息,其次将获取的操作信息存入文件存储桶(COS)中,利用文件存储桶作为中转,将目标账户的操作信息拉取回本地,作为目标账户的历史操作信息。
其中,还可以将历史操作信息存入如图4所示的操作信息展示表中。
802、基于历史操作信息中各历史操作对应的组件标识信息,与预设的风险操作对应的组件标识信息,从历史操作信息中确定预设的风险操作对应的目标历史操作信息。
在一实施例中,获取的每一条历史操作信息可以为目标账户执行的一次操作的操作信息,而每一个操作都是可以由云服务器预先定义好的各组件,比如各api完成,因此可以挑选出云服务器上所有的api中资产高风险类api的名称,然后在根据各历史操作对应的组件标识,从历史操作信息中确定预设的风险操作对应的目标历史操作信息。
803、基于目标历史操作信息中的操作时间,按照预设时间间隔统计目标账户在各间隔时间段内的风险操作执行次数,得到目标账户的风险操作执行次数的时间序列。
在一示例中,可以按照时间顺序,统计每小时间隔内目标账户的风险操作执行次数,然后将统计得到的每个小时间隔内风险操作执行次数,按照时间顺序,得到目标账户的风险操作执行次数的时间序列。
804、对时间序列进行分解,得到时间序列的周期性分量、趋势性分量、以及残余分量。
在一实施例中,将时间序列的中间位置的风险操作执行次数,作为风险操作参考执行次数,当风险操作参考执行次数等于预设执行次数时,对所述时间序列按照第一预设分解算法进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量;当风险操作参考执行次数不等于预设执行次数时,对时间序列按照第二预设分解算法进行分解,得到时间序列的周期性分量、趋势性分量、以及残余分量。其中,第一预设分解算法与第二预设分解算法在上述实施例中已进行详细解释,在这里就不在赘述。
805、基于周期性分量去除时间序列中风险操作执行次数的周期性,得到各间隔时间段的风险操作执行次数的自定义残余值。
806、基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定时间序列中待检测间隔时间段内的目标账户的操作行为是否异常。
在一实施例中,可以通过利用自定义残差ri′计算出的时间序列中各间隔时间段的风险操作执行次数残余值,可以得出关于风险操作执行次数残余值的数据序列,将在该数据序列的曲线上突出的数据点,作为异常点,该异常点的值可以作为异常值,当待检测间隔时间段的风险操作执行次数残余值为异常值时,确定时间序列中待检测间隔时间段内的目标账户的操作行为异常;当待检测间隔时间段的风险操作执行次数残余值不为异常值时,确定时间序列中待检测间隔时间段内的目标账户的操作行为不为异常,进而可以确定待检测间隔时间段内的目标账户的操作行为是否为异常。
807、当异常检测结果为目标账户在待检测间隔时间内的操作行为异常时,计算待检测间隔时间段内目标账户的操作行为的风险评分。
在一实施例中,目标账户为主账户时,对残余子分量值进行第一加权处理,得到目标账户在待检测间隔时间段内的操作行为的风险评分,比如,从残余分量中提取待检测间隔时间段的残余子分量值为r,对r取整可以得到r″,那么主账户的风险评分为:score=10×r″;目标账户为子账户时,对残余子分量值进行第二加权处理,得到加权后残余子分量值,对加权后残余子分量值与子账户的基础风险分值求和,得到子账户在待检测间隔时间段内对应的操作行为的风险评分,比如,同理残余子分量值为r,对r取整可以得到r″,子账户的基础风险分值为50,那么子账户的风险评分为:score=50+10×r″。
808、当风险评分高于预设风险评分时,确定目标账户在待检测间隔时间段中的操作行为命中预设的异常操作场景。
在一实施例中,可以将预设风险评分设置为60分,当风险评分高于60分时,确定目标账户在待检测间隔时间段中的操作行为命中预设的异常操作场景,可以向目标账户推送操作风险告警信息。
809、当风险评分不高于预设风险评分时,确定目标账户在待检测间隔时间段中的操作行为未命中预设的异常操作场景。
在一实施例中,同样可以将预设风险评分设置为60分,当风险评分不高于60分时,可以确定目标账户在待检测间隔时间段内的操作没有命中预设的异常操作场景。
由以上可知,本实施例从目标账户历史操作对应的历史操作信息中,提取预设风险操作对应的预设风险操作信息,然后基于预设风险操作信息,检测目标账户在待检测间隔时间段中的操作行为,并确定目标账户在待检测间隔时间段内的操作行为是否命中预设的异常操作场景,当命中预设的异常操作场景时,可以向目标账户推送告警信息,进而可以提高网络的安全性。
为了更好地实施以上方法,相应的,本申请实施例还提供一种风险检测装置,其中,该风险检测装置具体可以集成在服务器中,参考图9,该风险检测装置可以包括第一获取单元901、第一确定单元902、统计单元903、检测单元904和第二确定单元905,如下:
(1)第一获取单元901;
第一获取单元901,用于获取目标账户对云服务器的历史操作信息,历史操作信息包括目标账户在云服务器中进行的历史操作的标识信息与操作时间。
(2)第一确定单元902;
第一确定单元902,用于基于标识信息,从历史操作信息中确定预设的风险操作对应的目标历史操作信息。
在一实施例中,如图10所示,第一确定单元902,包括:
获取子单元9021,用于获取预设的风险操作对应的组件标识信息;
第一确定子单元9022,用于基于历史操作信息中各历史操作对应的组件标识信息,与预设的风险操作对应的组件标识信息,从历史操作信息中确定预设的风险操作对应的目标历史操作信息。
(3)统计单元903;
统计单元903,用于基于目标历史操作信息中的操作时间,按照预设时间间隔统计目标账户在各间隔时间段内的风险操作执行次数,得到目标账户的风险操作执行次数的时间序列。
(4)检测单元904;
检测单元904,用于基于时间序列中风险操作执行次数的分布规律,对时间序列中待检测间隔时间段内的目标账户的操作行为进行异常检测。
在一实施例中,如图11所示,检测单元904,包括:
分解子单元9041,用于对时间序列进行分解,得到时间序列的周期性分量、趋势性分量、以及残余分量;
去除子单元9042,用于基于周期性分量去除时间序列中风险操作执行次数的周期性,得到各间隔时间段的风险操作执行次数的自定义残余值;
第二确定子单元9043,用于基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定时间序列中待检测间隔时间段内的目标账户的操作行为是否异常。
在一实施例中,分解子单元9041还用于将时间序列的中间位置的风险操作执行次数,作为风险操作参考执行次数;当风险操作参考执行次数等于预设执行次数时,对时间序列按照第一预设分解算法进行分解,得到时间序列的周期性分量、趋势性分量、以及残余分量;当风险操作参考执行次数不等于预设执行次数时,对时间序列按照第二预设分解算法进行分解,得到时间序列的周期性分量、趋势性分量、以及残余分量。
在一实施例中,去除子单元9042还用于从时间序列的各间隔时间段内实际的风险操作执行次数中,分别减去周期性分量对应的周期性子分量值、以及风险操作参考执行次数,得到各间隔时间段的风险操作执行次数的自定义残余值。
在一实施例中,第二确定子单元9043还用于基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定待检测间隔时间段的风险操作执行次数的自定义残余值是否为异常值;若待检测间隔时间段的风险操作执行次数残余值为异常值,则确定时间序列中待检测间隔时间段内的目标账户的操作行为异常;若待检测间隔时间段的风险操作执行次数残余值不为异常值,则确定时间序列中待检测间隔时间段内的目标账户的操作行为正常。
(5)第二确定单元905;
第二确定单元905,用于基于异常检测结果,确定目标账户在待检测间隔时间段中的操作行为是否命中预设的异常操作场景。
在一实施例中,如图12所示,第二确定单元905,包括:
计算子单元9051,用于当异常检测结果为目标账户在待检测间隔时间内的操作行为异常时,计算待检测间隔时间段内目标账户的操作行为的风险评分;
第三确定子单元9052,用于当风险评分高于预设风险评分时,确定目标账户在待检测间隔时间段中的操作行为命中预设的异常操作场景;
第四确定子单元9053,用于当风险评分不高于预设风险评分时,确定目标账户在待检测间隔时间段中的操作行为未命中预设的异常操作场景。
在一实施例中,计算子单元9051还用于当目标账户为主账户时,从残余分量中提取待检测间隔时间段的残余子分量值,对残余子分量值进行第一加权处理,得到目标账户在待检测间隔时间段内的操作行为的风险评分;当目标账户为子账户时,从残余分量中提取待检测间隔时间段的残余子分量值,对残余子分量值进行第二加权处理,得到加权后残余子分量值,对加权后残余子分量值与子账户的基础风险分值求和,得到子账户在待检测间隔时间段内对应的操作行为的风险评分。
在一实施例中,风险检测装置,还包括:
第三确定单元906,用于从云服务器的组件中确定目标账户对应的预设风险组件;
第二获取单元907,用于获取预设风险组件的组件标识信息,作为目标账户的预设风险操作的标识信息。
在一实施例中,风险检测装置,还包括:
推送单元908,用于当确定目标账户在待检测间隔时间段内命中预设的异常操作场景时,向目标账户推送操作风险告警信息。
由以上可知,本申请实施例的风险检测装置的第一获取单元901获取目标账户对云服务器的历史操作信息,历史操作信息包括目标账户在云服务器中进行的历史操作的标识信息与操作时间;然后,由第一确定单元902基于标识信息,从历史操作信息中确定预设的风险操作对应的目标历史操作信息;由统计单元903基于目标历史操作信息中的操作时间,按照预设时间间隔统计目标账户在各间隔时间段内的风险操作执行次数,得到目标账户的风险操作执行次数的时间序列;由检测单元904基于时间序列中风险操作执行次数的分布规律,对时间序列中待检测间隔时间段内的目标账户的操作行为进行异常检测;由第二确定单元905基于异常检测结果,确定目标账户在待检测间隔时间段中的操作行为是否命中预设的异常操作场景。该方案可以从目标账户历史操作对应的历史操作信息中,提取预设风险操作对应的预设风险操作信息,然后基于预设风险操作信息,检测目标账户在待检测间隔时间段中的操作行为,并确定目标账户在待检测间隔时间段内的操作行为是否命中预设的异常操作场景,当命中预设的异常操作场景时,可以向目标账户推送告警信息,进而可以提高网络的安全性。
此外,本申请实施例还提供一种计算机设备,该计算机设备可以为终端或者服务器等设备,如图13所示,其示出了本申请实施例所涉及的计算机设备的结构示意图,具体来讲:
该计算机设备可以包括一个或者一个以上处理核心的处理器1001、一个或一个以上存储介质的存储器1002、电源1003和输入单元1004等部件。本领域技术人员可以理解,图13中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器1001是该计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器1002内的软件程序和/或模块,以及调用存储在存储器1002内的数据,执行计算机设备的各种功能和处理数据,从而对计算机设备进行整体监测。可选的,处理器1001可包括一个或多个处理核心;优选的,处理器1001可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1001中。
存储器1002可用于存储软件程序以及模块,处理器1001通过运行存储在存储器1002的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器1002可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器1002可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器1002还可以包括存储器控制器,以提供处理器1001对存储器1002的访问。
计算机设备还包括给各个部件供电的电源1003,优选的,电源1003可以通过电源管理系统与处理器1001逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源1003还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该计算机设备还可包括输入单元1004,该输入单元1004可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,计算机设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,计算机设备中的处理器1001会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器1002中,并由处理器1001来运行存储在存储器1002中的应用程序,从而实现各种功能,如下:
获取目标账户对云服务器的历史操作信息,历史操作信息包括目标账户在云服务器中进行的历史操作的标识信息与操作时间;基于标识信息,从历史操作信息中确定预设的风险操作对应的目标历史操作信息;基于目标历史操作信息中的操作时间,按照预设时间间隔统计目标账户在各间隔时间段内的风险操作执行次数,得到目标账户的风险操作执行次数的时间序列;基于时间序列中风险操作执行次数的分布规律,对时间序列中待检测间隔时间段内的目标账户的操作行为进行异常检测;基于异常检测结果,确定目标账户在待检测间隔时间段中的操作行为是否命中预设的异常操作场景。
由以上可知,本实施例可以从目标账户历史操作对应的历史操作信息中,提取预设风险操作对应的预设风险操作信息,然后基于预设风险操作信息,检测目标账户在待检测间隔时间段中的操作行为,并确定目标账户在待检测间隔时间段内的操作行为是否命中预设的异常操作场景,当命中预设的异常操作场景时,可以向目标账户推送告警信息,进而可以提高网络的安全性。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请实施例所提供的任一种风险检测方法中的步骤。例如,该指令可以执行如下步骤:
获取目标账户对云服务器的历史操作信息,历史操作信息包括目标账户在云服务器中进行的历史操作的标识信息与操作时间;基于标识信息,从历史操作信息中确定预设的风险操作对应的目标历史操作信息;基于目标历史操作信息中的操作时间,按照预设时间间隔统计目标账户在各间隔时间段内的风险操作执行次数,得到目标账户的风险操作执行次数的时间序列;基于时间序列中风险操作执行次数的分布规律,对时间序列中待检测间隔时间段内的目标账户的操作行为进行异常检测;基于异常检测结果,确定目标账户在待检测间隔时间段中的操作行为是否命中预设的异常操作场景。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一种风险检测方法中的步骤,因此,可以实现本申请实施例所提供的任一种风险检测方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
其中,根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述发明内容和实施例中提供的风险检测方法。
以上对本申请实施例所提供的一种风险检测方法、装置、计算机设备和存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。

Claims (9)

1.一种风险检测方法,其特征在于,适用于云服务器,包括:
获取目标账户对所述云服务器的历史操作信息,所述历史操作信息包括所述目标账户在所述云服务器中进行的历史操作的标识信息与操作时间;
基于所述标识信息,从所述历史操作信息中确定预设的风险操作对应的目标历史操作信息;
基于所述目标历史操作信息中的操作时间,按照预设时间间隔统计所述目标账户在各间隔时间段内的风险操作执行次数,得到所述目标账户的所述风险操作执行次数的时间序列;
基于所述时间序列中所述风险操作执行次数的分布规律,对所述时间序列中待检测间隔时间段内的所述目标账户的操作行为进行异常检测;
基于异常检测结果,确定所述目标账户在所述待检测间隔时间段中的操作行为是否命中预设的异常操作场景;
所述基于所述时间序列中所述风险操作执行次数的分布规律,对所述时间序列中待检测间隔时间段内的所述目标账户的操作行为进行异常检测,包括:
对所述时间序列进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量;
基于所述周期性分量去除所述时间序列中风险操作执行次数的周期性,得到各间隔时间段的风险操作执行次数的自定义残余值;
基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定所述时间序列中待检测间隔时间段内的所述目标账户的操作行为是否异常;
其中,所述对所述时间序列进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量,包括:
将所述时间序列的中间位置的风险操作执行次数,作为风险操作参考执行次数;
当所述风险操作参考执行次数等于预设执行次数时,对所述时间序列按照第一预设分解算法进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量;
当所述风险操作参考执行次数不等于所述预设执行次数时,对所述时间序列按照第二预设分解算法进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量。
2.根据权利要求1所述的方法,其特征在于,所述基于所述周期性分量去除所述时间序列中风险操作执行次数的周期性,得到各间隔时间段的风险操作执行次数的自定义残余值,包括:
从所述时间序列的各间隔时间段内实际的风险操作执行次数中,分别减去所述周期性分量对应的周期性子分量值、以及所述风险操作参考执行次数,得到各间隔时间段的风险操作执行次数的自定义残余值。
3.根据权利要求1所述的方法,其特征在于,所述基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定所述时间序列中待检测间隔时间段内的所述目标账户的操作行为是否异常,包括:
基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定所述待检测间隔时间段的风险操作执行次数的自定义残余值是否为异常值;
若所述待检测间隔时间段的风险操作执行次数残余值为异常值,则确定所述时间序列中待检测间隔时间段内的所述目标账户的操作行为异常;
若所述待检测间隔时间段的风险操作执行次数残余值不为异常值,则确定所述时间序列中待检测间隔时间段内的所述目标账户的操作行为正常。
4.根据权利要求1所述的方法,其特征在于,所述基于异常检测结果,确定所述目标账户在所述待检测间隔时间段中的操作行为是否命中预设的异常操作场景,包括:
当异常检测结果为目标账户在所述待检测间隔时间内的操作行为异常时,计算所述待检测间隔时间段内所述目标账户的操作行为的风险评分;
当所述风险评分高于预设风险评分时,确定所述目标账户在所述待检测间隔时间段中的操作行为命中预设的异常操作场景;
当所述风险评分不高于预设风险评分时,确定所述目标账户在所述待检测间隔时间段中的操作行为未命中预设的异常操作场景。
5.根据权利要求4所述的方法,其特征在于,所述目标账户的类型包括主账户与所述主账户下的子账户;
所述计算所述待检测间隔时间段内所述目标账户的操作行为的风险评分,包括:
当所述目标账户为主账户时,从所述残余分量中提取所述待检测间隔时间段的残余子分量值,对所述残余子分量值进行第一加权处理,得到所述目标账户在所述待检测间隔时间段内的操作行为的风险评分;
当所述目标账户为子账户时,从所述残余分量中提取所述待检测间隔时间段的残余子分量值,对所述残余子分量值进行第二加权处理,得到加权后残余子分量值,对所述加权后残余子分量值与所述子账户的基础风险分值求和,得到所述子账户在所述待检测间隔时间段内对应的操作行为的风险评分。
6.根据权利要求1所述的方法,其特征在于,所述标识信息包括:在所述云服务器中进行的操作所调用组件的组件标识信息;
所述基于所述标识信息,从所述历史操作信息中确定预设风险操作对应的目标历史操作信息,包括:
获取预设的风险操作对应的组件标识信息;
基于所述历史操作信息中各历史操作对应的组件标识信息,与所述预设的风险操作对应的组件标识信息,从所述历史操作信息中确定所述预设的风险操作对应的目标历史操作信息。
7.根据权利要求6所述的方法,其特征在于,所述获取预设风险操作对应的组件标识信息前,还包括:
从所述云服务器的组件中确定所述目标账户对应的预设风险组件;
获取所述预设风险组件的组件标识信息,作为所述目标账户的预设风险操作的标识信息。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述基于异常检测结果,确定所述目标账户在所述待检测间隔时间段中的操作行为是否命中预设的异常操作场景之后,所述方法还包括:
当确定所述目标账户在所述待检测间隔时间段内命中所述预设的异常操作场景时,向所述目标账户推送操作风险告警信息。
9.一种风险检测装置,其特征在于,包括:
第一获取单元,用于获取目标账户对云服务器的历史操作信息,所述历史操作信息包括所述目标账户在所述云服务器中进行的历史操作的标识信息与操作时间;
第一确定单元,用于基于所述标识信息,从所述历史操作信息中确定预设的风险操作对应的目标历史操作信息;
统计单元,用于基于所述目标历史操作信息中的操作时间,按照预设时间间隔统计所述目标账户在各间隔时间段内的风险操作执行次数,得到所述目标账户的所述风险操作执行次数的时间序列;
检测单元,用于基于所述时间序列中所述风险操作执行次数的分布规律,对所述时间序列中待检测间隔时间段内的所述目标账户的操作行为进行异常检测;所述检测单元,具体用于将所述时间序列的中间位置的风险操作执行次数,作为风险操作参考执行次数;当所述风险操作参考执行次数等于预设执行次数时,对所述时间序列按照第一预设分解算法进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量;当所述风险操作参考执行次数不等于所述预设执行次数时,对所述时间序列按照第二预设分解算法进行分解,得到所述时间序列的周期性分量、趋势性分量、以及残余分量;基于所述周期性分量去除所述时间序列中风险操作执行次数的周期性,得到各间隔时间段的风险操作执行次数的自定义残余值;基于所述各间隔时间段的风险操作执行次数的自定义残余值的变化规律,确定所述时间序列中待检测间隔时间段内的所述目标账户的操作行为是否异常;
第二确定单元,用于基于异常检测结果,确定所述目标账户在所述待检测间隔时间段中的操作行为是否命中预设的异常操作场景。
CN202010672722.7A 2020-07-14 2020-07-14 一种风险检测方法及装置 Active CN111818066B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010672722.7A CN111818066B (zh) 2020-07-14 2020-07-14 一种风险检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010672722.7A CN111818066B (zh) 2020-07-14 2020-07-14 一种风险检测方法及装置

Publications (2)

Publication Number Publication Date
CN111818066A CN111818066A (zh) 2020-10-23
CN111818066B true CN111818066B (zh) 2023-07-25

Family

ID=72842474

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010672722.7A Active CN111818066B (zh) 2020-07-14 2020-07-14 一种风险检测方法及装置

Country Status (1)

Country Link
CN (1) CN111818066B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112367324B (zh) * 2020-11-12 2023-09-19 平安科技(深圳)有限公司 Cdn的攻击检测方法、装置、存储介质及电子设备
CN112613756B (zh) * 2020-12-25 2024-04-02 北京知因智慧科技有限公司 一种异常企业的检测方法、检测装置及电子设备
CN113312239B (zh) * 2021-06-11 2024-03-15 腾讯云计算(北京)有限责任公司 一种数据检测方法、装置、电子设备及介质
CN115526363A (zh) * 2021-06-24 2022-12-27 腾讯科技(深圳)有限公司 业务数据处理方法、装置、计算机设备和存储介质
CN114967571B (zh) * 2022-07-28 2022-10-18 山东汇能电气有限公司 基于互联网的充气柜远程监控系统
CN118174960A (zh) * 2024-05-10 2024-06-11 华能信息技术有限公司 一种微服务架构的用户操作审计方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347653A (zh) * 2018-09-07 2019-02-15 阿里巴巴集团控股有限公司 一种指标异常发现方法和装置
CN109818942A (zh) * 2019-01-07 2019-05-28 微梦创科网络科技(中国)有限公司 一种基于时序特征的用户帐号异常检测方法及装置
CN111310139A (zh) * 2020-01-21 2020-06-19 腾讯科技(深圳)有限公司 行为数据识别方法、装置及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10715544B2 (en) * 2016-02-05 2020-07-14 Sony Corporation Method, apparatus and system for calculating a risk score of a user request by a user on a web application

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347653A (zh) * 2018-09-07 2019-02-15 阿里巴巴集团控股有限公司 一种指标异常发现方法和装置
CN109818942A (zh) * 2019-01-07 2019-05-28 微梦创科网络科技(中国)有限公司 一种基于时序特征的用户帐号异常检测方法及装置
CN111310139A (zh) * 2020-01-21 2020-06-19 腾讯科技(深圳)有限公司 行为数据识别方法、装置及存储介质

Also Published As

Publication number Publication date
CN111818066A (zh) 2020-10-23

Similar Documents

Publication Publication Date Title
CN111818066B (zh) 一种风险检测方法及装置
CN110417721B (zh) 安全风险评估方法、装置、设备及计算机可读存储介质
JP6732806B2 (ja) アカウント盗難リスクの識別方法、識別装置、及び防止・制御システム
CN110442712B (zh) 风险的确定方法、装置、服务器和文本审理系统
CN104836781A (zh) 区分访问用户身份的方法及装置
CN110245488B (zh) 密码强度检测方法、装置、终端和计算机可读存储介质
CN113992340B (zh) 用户异常行为识别方法、装置、设备和存储介质
CN112990583B (zh) 一种数据预测模型的入模特征确定方法及设备
CN106933677A (zh) 系统异常处理方法及装置
EP4049433A1 (en) User impact potential for security alert management
CN112307464A (zh) 诈骗识别方法、装置及电子设备
CN106789973B (zh) 页面的安全性检测方法及终端设备
CN115204733A (zh) 数据审计方法、装置、电子设备及存储介质
CN113849362B (zh) 一种业务服务平台管理方法、装置和计算机可读存储介质
CN107871213B (zh) 一种交易行为评价方法、装置、服务器以及存储介质
CN111030974A (zh) 一种apt攻击事件检测方法、装置及存储介质
CN111222181B (zh) Ai模型的监管方法、系统、服务器及存储介质
CN114331446B (zh) 区块链的链外服务实现方法、装置、设备和介质
CN110677494B (zh) 访问响应方法和装置
CN113159915B (zh) 基于大数据的智能金融信用动态评估方法及系统
CN113191871B (zh) 智能信用交易履约监控方法及系统
CN116308394B (zh) 标签关联方法、装置、电子设备及计算机可读存储介质
CN117034261B (zh) 一种基于标识符的异常检测方法、装置、介质及电子设备
CN112989349B (zh) 病毒检测方法、装置、设备及存储介质
CN118337438A (zh) 一种运维安全审计管理方法、电子设备、介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant