CN112491875B - 基于账号体系的智能跟踪安全检测方法及系统 - Google Patents

基于账号体系的智能跟踪安全检测方法及系统 Download PDF

Info

Publication number
CN112491875B
CN112491875B CN202011348004.0A CN202011348004A CN112491875B CN 112491875 B CN112491875 B CN 112491875B CN 202011348004 A CN202011348004 A CN 202011348004A CN 112491875 B CN112491875 B CN 112491875B
Authority
CN
China
Prior art keywords
account
tracking
modeling
intelligent
rules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011348004.0A
Other languages
English (en)
Other versions
CN112491875A (zh
Inventor
彭曦
龚致
肖建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN202011348004.0A priority Critical patent/CN112491875B/zh
Publication of CN112491875A publication Critical patent/CN112491875A/zh
Application granted granted Critical
Publication of CN112491875B publication Critical patent/CN112491875B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及网络安全领域,具体涉及一种基于账号体系的智能跟踪安全检测方法及系统,实现了对看似正常的操作行为的识别,提高了账户的安全性。本发明基于账号体系的智能跟踪安全检测方法,包括:对账号进行建模,得到账号模型,所述账号模型包含唯一标识;建模完成之后,随机生成跟踪检测标签并与唯一标识进行对应绑定;跟踪检测标签对账号的登录信息以及操作行为进行全程跟踪检测和记录;将当前记录的信息与历史记录的信息进行对比分析,别出不符合规则及非法行为。本发明适用于基于账号体系的智能跟踪安全检测。

Description

基于账号体系的智能跟踪安全检测方法及系统
技术领域
本发明涉及网络安全领域,具体涉及一种基于账号体系的智能跟踪安全检测方法及系统。
背景技术
互联网和物联网快速发展过程中,业务越来越多,越来越复杂,用户的权益和信息价值越来越高,业务安全的挑战也就越来越大。
随着攻击者手段加深,除了传统的漏洞攻击,出现了羊毛党、盗号党,他们暴力破解、批量注册以及盗取账号后进行非法刷积分、恶意下单等相关操作,来达到非法获利的目的。
而传统的安全防御手段,只能对访问链接中的攻击特征进行识别,无法识别这些看似正常的操作行为。
发明内容
本发明的目的是提供一种基于账号体系的智能跟踪安全检测方法及系统,实现了对看似正常的操作行为的识别,提高了账户的安全性。
本发明采取如下技术方案实现上述目的,基于账号体系的智能跟踪安全检测方法,包括:
步骤(1)、对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
步骤(2)、建模完成之后,随机生成跟踪检测标签并与唯一标识进行对应绑定;
步骤(3)、跟踪检测标签对账号的登录信息以及操作行为进行全程跟踪检测和记录;
步骤(4)、将当前记录的信息与历史记录的信息进行对比分析,别出不符合规则及非法行为。
进一步的是,在步骤(1)中,所述对账号进行建模的具体方法包括:
步骤101、从账号注册或者登录开始,建立对应的账号模型,所述账号模型包含账号的标识、属性以及与账号相关的所有操作行为;
步骤102、根据注册或者生成账号的地址以及设备环境对模型进行初始化;
步骤103、根据相应业务逻辑,将所有的操作进行分类以及编号,并根据操作的不同重要性进行赋值,对每一个操作都设置对应的操作代码,每当进行一个操作时就与账号进行关联,通过与账号关联的操作信息完善账号模型。
进一步的是,在步骤(3)中,所述登录信息包括常用登陆地点及常用登陆设备,所述操作行为包括键盘敲击习惯以及鼠标轨迹。
进一步的是,在步骤(4)中,所述识别出不符合规则的行为的具体方法包括:根据业务的具体逻辑以及每个接口不同参数再结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为。
进一步的是,在步骤(4)中,所述识别出非法行为的具体方法包括:使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
进一步的是,所述偏离值的计算公式为,
Figure BDA0002800440480000021
xi是样本,e为每个特征值对应的特征向量,λ是特征值,一共n个,每个特征值对应一个特征向量,score就是样本在n个特征向量方向上偏离值的总和。
基于账号体系的智能跟踪安全检测系统,包括账号建模模块、跟踪检测模块以及智能分析模块;
所述账号建模模块用于对账号进行建模,所述账号模型包含唯一标识;
所述跟踪检测模块用于在建模完成之后随机生成跟踪检测标签与唯一标识进行绑定,并对账号的登录信息以及操作行为进行全程跟踪检测和记录;
所述智能分析模块用于将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
进一步的是,所述智能分析模块包括规则引擎单元与AI引擎单元;
所述规则引擎单元用于根据业务的具体逻辑以及每个接口不同参数结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为;
所述AI引擎单元用于使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
所述账号建模模块在建模完成之后发送心跳消息通知智能跟踪检测模块。
本发明对账号进行建模管理,通过账号模型方便了对账号的管理,通过跟踪检测标签对账号的登录环境、登录行为以及操作行为进行全程跟踪检测和记录,每一次重新登录的时候,对应的跟踪检测标签会及时记录该账号关联的登录及操作信息,并将当前记录信息与过往记录的信息进行对比分析,识别出不符合规则及非法行为,实现了对看似正常的操作行为的识别,提高了账户的安全性。
附图说明
图1是本发明基于账号体系的智能跟踪安全检测方法的方法流程图。
具体实施方式
本发明基于账号体系的智能跟踪安全检测方法,包括:
步骤(1)、对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
步骤(2)、建模完成之后,随机生成跟踪检测标签并与唯一标识进行对应绑定;
步骤(3)、跟踪检测标签对账号的登录信息以及操作行为进行全程跟踪检测和记录;
步骤(4)、将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
进一步的是,在步骤(1)中,所述对账号进行建模的具体方法包括:
步骤101、从账号注册或者登录开始,建立对应的账号模型,所述账号模型包含账号的标识、属性以及与账号相关的所有操作行为;
步骤102、根据注册或者生成账号的地址以及设备环境对模型进行初始化;
步骤103、根据相应业务逻辑,将所有的操作进行分类以及编号,并根据操作的不同重要性进行赋值,对每一个操作都设置对应的操作代码,每当进行一个操作时就与账号进行关联,通过与账号关联的操作信息完善账号模型。
步骤(3)中,登录信息包括设备指纹信息:通过采集CPU类(cpuClass),平台(platform),Canvas指纹(canvas),WebGL指纹(webgl),浏览器的插件信息(plugins)等信息生成终端唯一id;
IP信息:设备的IP信息用于地理位置标识和常用地判断;
账号名:采集业务系统该用户用户名信息;
鼠标移动轨迹:每个一段时间采集鼠标位置形成移动轨迹,用于人机识别判断和账户盗用判断;
键盘输入间隔:监控键盘按下和弹起时间,键盘输入之间的间隔行为该用户在该业务系统的输入习惯,用于账户盗用识别;
间隔时间计算:D(t)=R(t)-P(t)。
步骤(4)中,所述识别出不符合规则的行为的具体方法包括:根据业务的具体逻辑以及每个接口不同参数再结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为。
步骤(4)中,所述识别出非法行为的具体方法包括:使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
其中偏离值的计算公式为,
Figure BDA0002800440480000031
xi是样本,e为每个特征值对应的特征向量,λ是特征值,一共n个,每个特征值对应一个特征向量,score就是样本在n个特征向量方向上偏离值的总和。
基于账号体系的智能跟踪安全检测系统,包括账号建模模块、跟踪检测模块以及智能分析模块;
所述账号建模模块用于对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
所述跟踪检测模块用于在建模完成之后随机生成跟踪检测标签与唯一标识进行绑定,并对账号的登录信息以及操作行为进行全程跟踪检测和记录;
所述智能分析模块用于将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
智能分析模块包括规则引擎单元与AI引擎单元;
规则引擎单元用于根据业务的具体逻辑以及每个接口不同参数结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为;
AI引擎单元用于使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
账号建模模块在建模完成之后发送心跳消息通知智能跟踪检测模块。
在进行智能跟踪检测与分析时,当相同账号再次登录时,智能跟踪标签立即采集登录时的硬件、软件信息,此时将采集到的信息传入智能分析模块;
智能分析模块将采集到的信息与账号模型中信息进行比对分析,首先智能分析模块中的规则引擎单元对登录的IP地址、操作系统版本、浏览器版本等信息进行比对;若信息一致,AI引擎单元再对键盘、鼠标的使用行为进行智能分析,若不一致,则进行告警;
当智能分析模块对登录环节的所有信息判定都为一致时,登录成功,此时智能跟踪检测标签仍然是活跃状态,它会对该用户在模块中所有的行为都进行记录分析,将操作的时间、频率、数量、金额等信息进行记录,并传入智能分析模块,智能分析模块将采集到的信息与账号模型所记录的信息进行规则比对和智能分析:
规则引擎单元将采集到的信息与已设置好的规则库进行比对,如果不一致,则发出告警;AI引擎单元将采集的密码敲击习惯、鼠标点击习惯等信息进行智能分析,建立用户智能画像,对鼠标点击频率、键盘敲击间隔进行记录分析,设定行为偏离值,当偏离值大于70%,则认为不一致,发出告警;如果偏离值小于30%,则认为一致,用户操作成功;
偏离值计算方式:
Figure BDA0002800440480000041
xi是样本,e为每个特征值对应的特征向量,λ是特征值,一共n个,每个特征值对应一个特征向量,score就是样本在n个特征向量方向上偏离值的总和。
本发明基于账号体系的智能跟踪安全检测方法的方法流程图,如图1,包括:
S1、对注册账号或者登陆账号进行建模,得到账号模型;
S2、随机生成跟踪检测标签并与账号模型的唯一标识进行对应绑定;
S3、跟踪检测标签对账号的登录环境、登录行为以及操作行为进行全程跟踪检测和记录;
S4、将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
综上所述,本发明实现了对看似正常的操作行为的识别,提高了账户的安全性。

Claims (6)

1.基于账号体系的智能跟踪安全检测方法,其特征在于,包括:
步骤(1)、对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
步骤(2)、建模完成之后,随机生成跟踪检测标签并与唯一标识进行对应绑定;
步骤(3)、跟踪检测标签对账号的登录信息以及操作行为进行全程跟踪检测和记录;
步骤(4)、将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为;
步骤(4)中,所述识别出不符合规则及非法行为的具体方法包括:使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为;
所述偏离值的计算公式为,
Figure FDA0003605402990000011
xi是样本,e为每个特征值对应的特征向量,λ是特征值,一共n个,每个特征值对应一个特征向量,score就是样本在n个特征向量方向上偏离值的总和。
2.根据权利要求1所述的基于账号体系的智能跟踪安全检测方法,其特征在于,在步骤(1)中,所述对账号进行建模的具体方法包括:
步骤101、从账号注册或者登录开始,建立对应的账号模型,所述账号模型包含账号的标识、属性以及与账号关联的所有操作行为;
步骤102、根据注册或者生成账号的地址以及设备环境对模型进行初始化;
步骤103、根据相应业务逻辑,将所有的操作进行分类以及编号,并根据操作的不同重要性进行赋值,对每一个操作都设置对应的操作代码,每当进行一个操作时就与账号进行关联,通过与账号关联的操作信息完善账号模型。
3.根据权利要求1所述的基于账号体系的智能跟踪安全检测方法,其特征在于,在步骤(3)中,所述登录信息包括常用登陆地点及常用登陆设备,所述操作行为包括键盘敲击习惯以及鼠标轨迹。
4.根据权利要求1-3任意一项所述的基于账号体系的智能跟踪安全检测方法,其特征在于,在步骤(4)中,所述识别出不符合规则的行为的具体方法包括:根据业务的具体逻辑以及每个接口不同参数再结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为。
5.基于账号体系的智能跟踪安全检测系统,其特征在于,包括账号建模模块、跟踪检测模块以及智能分析模块;
所述账号建模模块用于对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
所述跟踪检测模块用于在建模完成之后随机生成跟踪检测标签与唯一标识进行绑定,并对账号的登录信息以及操作行为进行全程跟踪检测和记录;
所述智能分析模块用于将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为;
所述智能分析模块包括规则引擎单元与AI引擎单元;所述规则引擎单元用于根据业务的具体逻辑以及每个接口不同参数结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为;
所述AI引擎单元用于使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为;
偏离值的计算公式为,
Figure FDA0003605402990000021
xi是样本,e为每个特征值对应的特征向量,λ是特征值,一共n个,每个特征值对应一个特征向量,score就是样本在n个特征向量方向上偏离值的总和。
6.根据权利要求5所述的基于账号体系的智能跟踪安全检测系统,其特征在于,所述账号建模模块在建模完成之后发送心跳消息通知智能跟踪检测模块。
CN202011348004.0A 2020-11-26 2020-11-26 基于账号体系的智能跟踪安全检测方法及系统 Active CN112491875B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011348004.0A CN112491875B (zh) 2020-11-26 2020-11-26 基于账号体系的智能跟踪安全检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011348004.0A CN112491875B (zh) 2020-11-26 2020-11-26 基于账号体系的智能跟踪安全检测方法及系统

Publications (2)

Publication Number Publication Date
CN112491875A CN112491875A (zh) 2021-03-12
CN112491875B true CN112491875B (zh) 2022-07-08

Family

ID=74935561

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011348004.0A Active CN112491875B (zh) 2020-11-26 2020-11-26 基于账号体系的智能跟踪安全检测方法及系统

Country Status (1)

Country Link
CN (1) CN112491875B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114172717A (zh) * 2021-12-03 2022-03-11 武汉极意网络科技有限公司 一种基于事件追踪的账户风险评价方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104767713A (zh) * 2014-01-02 2015-07-08 腾讯科技(深圳)有限公司 账号绑定的方法、服务器及系统
CN105243301A (zh) * 2014-07-09 2016-01-13 阿里巴巴集团控股有限公司 键盘输入异常检测方法、装置以及安全提示方法、装置
WO2017067103A1 (zh) * 2015-10-22 2017-04-27 同济大学 基于击键行为的身份认证方法和系统
CN109241711A (zh) * 2018-08-22 2019-01-18 平安科技(深圳)有限公司 基于预测模型的用户行为识别方法及装置
CN109345260A (zh) * 2018-10-09 2019-02-15 北京芯盾时代科技有限公司 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置
CN110163611A (zh) * 2019-03-18 2019-08-23 腾讯科技(深圳)有限公司 一种身份识别方法、装置以及相关设备
CN110445790A (zh) * 2019-08-12 2019-11-12 四川长虹电器股份有限公司 一种基于用户登录行为的账号异常检测方法
CN111552933A (zh) * 2020-03-30 2020-08-18 西安交大捷普网络科技有限公司 一种账号异常登录的识别方法与装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104881783A (zh) * 2015-05-14 2015-09-02 中国科学院信息工程研究所 电子银行账户欺诈行为及风险检测方法与系统
CN105279405B (zh) * 2015-10-28 2018-06-26 同济大学 触屏用户按键行为模式构建与分析系统及其身份识别方法
CN110062380A (zh) * 2019-04-28 2019-07-26 广东电网有限责任公司 一种移动应用系统的连接访问请求安全检测方法
CN110138791A (zh) * 2019-05-20 2019-08-16 四川长虹电器股份有限公司 基于Flink的Web业务账户盗用实时监测方法及系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104767713A (zh) * 2014-01-02 2015-07-08 腾讯科技(深圳)有限公司 账号绑定的方法、服务器及系统
CN105243301A (zh) * 2014-07-09 2016-01-13 阿里巴巴集团控股有限公司 键盘输入异常检测方法、装置以及安全提示方法、装置
WO2017067103A1 (zh) * 2015-10-22 2017-04-27 同济大学 基于击键行为的身份认证方法和系统
CN109241711A (zh) * 2018-08-22 2019-01-18 平安科技(深圳)有限公司 基于预测模型的用户行为识别方法及装置
CN109345260A (zh) * 2018-10-09 2019-02-15 北京芯盾时代科技有限公司 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置
CN110163611A (zh) * 2019-03-18 2019-08-23 腾讯科技(深圳)有限公司 一种身份识别方法、装置以及相关设备
CN110445790A (zh) * 2019-08-12 2019-11-12 四川长虹电器股份有限公司 一种基于用户登录行为的账号异常检测方法
CN111552933A (zh) * 2020-03-30 2020-08-18 西安交大捷普网络科技有限公司 一种账号异常登录的识别方法与装置

Also Published As

Publication number Publication date
CN112491875A (zh) 2021-03-12

Similar Documents

Publication Publication Date Title
CN109635872B (zh) 身份识别方法、电子设备及计算机程序产品
Ye et al. Probabilistic techniques for intrusion detection based on computer audit data
Mabu et al. An intrusion-detection model based on fuzzy class-association-rule mining using genetic network programming
CN107135093A (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
CN112199677A (zh) 一种数据处理方法和装置
CN109784015A (zh) 一种身份鉴别方法及装置
CN109871673B (zh) 基于不同上下文环境中的持续身份认证方法和系统
CN107733863A (zh) 一种分布式hadoop环境下的日志调试方法和装置
CN112733045B (zh) 用户行为的分析方法、装置及电子设备
CN107317682A (zh) 一种身份认证方法及系统
CN107409134A (zh) 法证分析
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN112149093A (zh) 一种基于浏览器指纹的身份认证系统和方法
CN107944293A (zh) 虚拟资产保护方法、系统、设备及存储介质
CN114143015A (zh) 异常访问行为检测方法和电子设备
CN112491875B (zh) 基于账号体系的智能跟踪安全检测方法及系统
CN107911232B (zh) 一种确定业务操作规则的方法及装置
CN110572302B (zh) 无盘局域网场景识别方法、装置及终端
CN111680167A (zh) 一种服务请求的响应方法及服务器
CN115174205A (zh) 一种网络空间安全实时监测方法、系统及计算机存储介质
CN114925391A (zh) 隐私信息的流转监管方法、装置、电子设备和存储介质
CN112528325B (zh) 一种数据信息的安全处理方法及系统
CN113849636A (zh) 一种基于人工智能的大数据分析建模预测方法
CN114117390A (zh) 基于机器学习和交互式人机区分验证生成方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant