CN113222736A - 一种异常用户的检测方法、装置、电子设备及存储介质 - Google Patents
一种异常用户的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113222736A CN113222736A CN202110564792.5A CN202110564792A CN113222736A CN 113222736 A CN113222736 A CN 113222736A CN 202110564792 A CN202110564792 A CN 202110564792A CN 113222736 A CN113222736 A CN 113222736A
- Authority
- CN
- China
- Prior art keywords
- users
- user
- abnormal
- service
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 107
- 238000001514 detection method Methods 0.000 title claims abstract description 33
- 238000000034 method Methods 0.000 claims abstract description 44
- 230000006399 behavior Effects 0.000 claims description 106
- 238000004590 computer program Methods 0.000 claims description 11
- 230000002547 anomalous effect Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/03—Credit; Loans; Processing thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- General Physics & Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种异常用户的检测方法、装置、电子设备及存储介质,涉及计算机技术领域。该方法包括:获取M个用户中每一个用户在多业务场景下的业务行为数据,M为正整数;根据所述M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户。上述方案,能够提高检测效率并降低多个业务场景检测的成本。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种异常用户的检测方法、装置、电子设备及存储介质。
背景技术
现在风控大部分情况下是按照场景或者业务进行隔离,使用不同的名单数据,设置不同的风控规则。
但是,上述技术有如下缺陷:第一,由于黑产用户一般会在多个场景下作恶,不同的场景风控人员只对当前风控场景的业务熟悉;并且,单个场景的数据有限,不能直观的看到用户的行为路径和业务路线;第二,对于反欺诈的运营人员来说,提取出具有疑似问题的用户之后,希望在众多的业务行为下都进行感知,一旦触发敏感的业务行为和业务动作时进行预警操作;按照现有的模式需要在各个相关业务场景配置规则和策略,成本极高;第三,现在黑产用户的手法多变,攻击方式和技术变化较快,单个场景的风控很难发现问题。
发明内容
本发明实施例提供一种异常用户的检测方法、装置、电子设备及存储介质,用以解决规模化攻击的异常用户的检测效率较低以及单场景预测成本较高的问题。
第一方面,本发明实施例提供了一种异常用户的检测方法,包括:
获取M个用户中每一个用户在多业务场景下的业务行为数据,M为正整数;
根据所述M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户。
可选的,在M的取值为至少两个的情况下,所述方法还包括:
根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群;
根据每一个用户集群中包含的异常用户数量,确定所述用户集群的所属类型。
可选的,所述根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群,包括:
根据所述M个用户的业务行为,获取所述M个用户之间的业务行为相似度;
将所述M个用户之间的业务行为相似度与预设相似度进行比对;
将所述M个用户中业务行为相似度大于或等于所述预设相似度的用户分类为同一用户集群。
可选的,所述根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群,包括:
根据所述M个用户的业务行为,判断所述M个用户中是否存在具有关联关系的用户;
将所述M个用户中具有关联关系的用户分类为同一用户集群。
可选的,所述根据每一个用户集群中包含的异常用户数量,确定所述用户集群的所属类型,包括:
根据每一个用户集群中包含的异常用户数量,计算每一个用户集群中异常用户所占比例;
根据每一个用户集群中异常用户所占比例,确定所述用户集群的所属类型。
可选的,所述根据每一个用户集群中异常用户所占比例,确定所述用户集群的所属类型,包括:
将每一个用户集群中异常用户所占比例与预设比例进行比对;
将多个用户集群中异常用户所占比例大于或等于所述预设比例的用户集群的所属类型确定为异常类型。
可选的,所述业务行为数据是与用户信息对应的行为数据;其中,所述用户信息包括以下至少一项:用户账号ID、用户互联网地址IP、用户设备、用户手机号、用户身份证号、用户营业执照。
第二方面,本发明实施例还提供了一种异常用户的检测装置,包括:
第一获取模块,用于获取M个用户中每一个用户在多业务场景下的业务行为数据,M为正整数;
第一检测模块,用于根据所述M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户。
可选的,在M的取值为至少两个的情况下,所述装置还包括:
分类模块,用于根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群;
确定模块,用于根据每一个用户集群中包含的异常用户数量,确定所述用户集群的所属类型。
可选的,所述分类模块,包括:
获取单元,用于根据所述M个用户的业务行为,获取所述M个用户之间的业务行为相似度;
比对单元,用于将所述M个用户之间的业务行为相似度与预设相似度进行比对;
第一分类单元,用于将所述M个用户中业务行为相似度大于或等于所述预设相似度的用户分类为同一用户集群。
可选的,所述分类模块,包括:
判断单元,用于根据所述M个用户的业务行为,判断所述M个用户中是否存在具有关联关系的用户;
第二分类单元,用于将所述M个用户中具有关联关系的用户分类为同一用户集群。
可选的,所述确定模块,包括:
计算单元,用于根据每一个用户集群中包含的异常用户数量,计算每一个用户集群中异常用户所占比例;
确定单元,用于根据每一个用户集群中异常用户所占比例,确定所述用户集群的所属类型。
可选的,所述确定单元,包括:
比对子单元,用于将每一个用户集群中异常用户所占比例与预设比例进行比对;
确定子单元,用于将多个用户集群中异常用户所占比例大于或等于所述预设比例的用户集群的所属类型确定为异常类型。
可选的,所述业务行为数据是与用户信息对应的行为数据;其中,所述用户信息包括以下至少一项:用户账号ID、用户互联网地址IP、用户设备、用户手机号、用户身份证号、用户营业执照。
第三方面,本发明实施例还提供了一种电子设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述异常用户的检测方法的步骤。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述异常用户的检测方法的步骤。
本发明上述实施例,通过获取的M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户,由此提高检测效率并降低多个业务场景检测的成本。
附图说明
图1是本发明实施例中异常用户的检测方法流程图;
图2是本发明实施例中异常用户的检测装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种异常用户的检测方法,该方法具体包括如下步骤:
步骤101,获取M个用户中每一个用户在多业务场景下的业务行为数据,M为正整数。
在上述步骤101中,在多业务场景下收集M个用户中每一个用户的业务行为数据,即每一个用户的业务行为数据是在多业务场景下产生的业务行为的有关数据。
需要说明的是,业务行为表示用户在平台发生的业务行为,比如:登录行为、注册行为、浏览行为、发布行为、发起微聊聊天行为等,在此不做具体限定。
可选的,所述业务行为数据是与用户信息对应的行为数据;其中,所述用户信息包括以下至少一项:用户账号ID、用户互联网地址IP、用户设备、用户手机号、用户身份证号、用户营业执照等。或者,所述用户也可以表示检测主体,指代一个用户ID,可以是一个用户设备等,在此不做具体限定。
步骤102,根据所述M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户。
在上述步骤102中,根据每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常行为检测,由此判断每一个用户是异常用户还是正常用户;换句话说,针对M个用户中的每一个用户,根据该用户在多业务场景下的业务行为数据对该用户进行异常检测,由此判断该用户是异常用户还是正常用户。在得知M个用户中的每一个用户是正常用户还是异常用户的基础上,可以确定M个用户中的异常用户,由此将M个用户中的异常用户筛选出来,通过对多业务场景下的业务行为数据进行检测,由此提高检测效率并降低多个业务场景检测的成本。
具体的,异常检测方式可以为:检测是否一个用户ID使用多个用户设备,如果一个用户ID使用多个用户设备,则判定该用户为异常用户。或者,检测用户设备是否为虚拟机,若为虚拟机,则判定该用户为异常用户。或者,检测用户是否有被处罚、业务异常等记录信息,若有,则判定该用户为异常用户。其中,异常检测方式并不仅限于上述三种,上述三种方式仅为示例,在此不做具体限定。
可选的,在步骤102之后,所述方法还可以包括:
在检测到M个用户中的异常用户的情况下,可以发送警示信息至风控人员,以便及时预警;或者将异常用户推送至审核系统进行核验,避免错检情况的发生。其中,警示信息的发送方式可以是通过邮件、短信等方式发送。
本发明上述实施例,通过获取的M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户,由此提高检测效率并降低多个业务场景检测的成本。
可选的,在M的取值为至少两个的情况下,所述方法还可以包括如下步骤:
步骤A1,根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群。
在上述实施例中,根据M个用户中每一个用户在多业务场景下的业务行为,可以对M个用户进行分类,得到分类后的一个或多个用户集群;换句话说,根据M个用户中每一个用户在多业务场景下的业务行为,可以对M个用户进行分组,形成分组后的一个或多个用户群组。其中,每一个集群中包括有至少一个用户。
需要说明的是,可以根据M个用户的业务行为对M个用户进行分类,也可以通过社群发现算法等方式对M个用户进行分类,在此对分类的具体方式不做具体限定。
步骤A2,根据每一个用户集群中包含的异常用户数量,确定所述用户集群的所属类型。
在上述实施例中,将每个用户集群作为一个整体,获取每一个用户集群中的异常用户数量;然后根据每一个用户集群中的异常用户数量,可以得知该用户集群的所属类型。
需要说明的是,可以根据每一个用户集群中包含的异常用户数量确定所述用户集群的所属类型;也可以根据用户集群中多个用户是否流转到同一个业务场景来判定该用户集群的所属类型,即如果用户集群中的多个用户流转到同一个业务场景,可以判定该用户集群为异常用户集群类型,可以将该异常用户集群发送至审核系统进行核验,进一步判定该异常用户集群是否异常;也可以发送警示信息至风控人员,以便提前感知、及时预警,通过对群体用户的统一监控,能够更加直观、快速的发现和了解黑产的攻击手段,进而进行后续相应的控制处理。
可选的,所述步骤A1根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群,具体可以包括如下内容:
根据所述M个用户的业务行为,获取所述M个用户之间的业务行为相似度;
将所述M个用户之间的业务行为相似度与预设相似度进行比对;
将所述M个用户中业务行为相似度大于或等于所述预设相似度的用户分类为同一用户集群。
在上述实施例中,根据M个用户中每个用户的业务行为,获取每一个用户与其他用户的业务行为相似度,即获取在M个用户中,每一个用户与M个用户中的其他用户之间的业务行为的相似度;然后将获取的业务行为相似度与预设相似度进行比对,如果两个用户的业务行为相似度小于预设相似度,则判定这两个用户不能分为同一类,即这两个用户不属于同一个用户集群;如果两个用户的业务行为相似度大于或等于预设相似度,则将这两个用户分为同一类,即这两个用户属于同一用户集群。其中,预设相似度为预先设置的相似度阈值,用以判断用户是否属于同一用户集群,该预设相似度的取值可以根据需要进行设定。
可选的,所述步骤A1根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群,具体可以包括如下内容:
根据所述M个用户的业务行为,判断所述M个用户中是否存在具有关联关系的用户;
将所述M个用户中具有关联关系的用户分类为同一用户集群。
在上述实施例中,根据M个用户中每个用户的业务行为,判断每一个用户与其他用户是否具有业务行为关联关系;然后将具有业务行为关联关系的用户分类为同一个用户集群,即在M个用户中,具有业务行为关联关系的用户分类为同一个用户集群。集群分类还可以采用如下方式:通过社群发现算法对M个用户进行分类,得到一个或多个用户集群。其中,上述集群分类的方式并不限定,上述仅为示例。
可选的,所述步骤A2根据每一个用户集群中包含的异常用户数量,确定所述用户集群的所属类型,具体可以包括如下内容:
根据每一个用户集群中包含的异常用户数量,计算每一个用户集群中异常用户所占比例;
根据每一个用户集群中异常用户所占比例,确定所述用户集群的所属类型。
在上述实施例中,根据每一个用户集群中包含的用户中异常用户的数量,可以计算出每一用户集群中异常用户占该用户集群中所有用户的比例;根据每一用户集群中异常用户所占比例,可以确定该用户集群所属类型是异常类型还是正常类型。或者,根据每一个用户集群中包含的用户中异常用户的数量,可以确定该用户集群的所属类型为异常类型还是正常类型。
需要说明的是,上述确定用户集群的所属类型的具体方式并不进行限定,可以根据需要进行设定,在此不做具体限定。
可选的,上述根据每一个用户集群中异常用户所占比例,确定所述用户集群的所属类型,具体可以包括如下内容:
将每一个用户集群中异常用户所占比例与预设比例进行比对;
将多个用户集群中异常用户所占比例大于或等于所述预设比例的用户集群的所属类型确定为异常类型。
在上述实施例中,将每一用户集群中异常用户所占比例与预设比例进行大小比对,如果用户集群中异常用户所占比例小于所述预设比例,则确定该用户集群所属类型为正常类型,即该用户集群为正常用户集群;如果用户集群中异常用户所占比例大于或等于所述预设比例,则确定该用户集群所属类型为异常类型,即该用户集群为异常用户集群,由此可以提高检测效率。
综上所述,本发明上述实施例获取M个用户中每一个用户在多业务场景下的业务行为数据,根据所述M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户,即把分散在各个业务场景的业务行为数据整合在一起,脱离单个业务场景的范围,从多业务场景全方面的看用户的业务行为是否存在敏感操作和异常操作,能够更加明显发现异常用户,并且也能够极大的降低反欺诈人员在各个业务场景里面配置规则、沟通协调的成本,由此可以提高检测效率并降低多个业务场景检测的成本;并且,通过把多个用户当成一个用户集群的方式来对整个用户集群进行监控,可以更有效的发现聚集操作和恶意攻击行为,在处理效率和发现效率上也是一个极大的提升。
如图2所示,本发明实施例还提供了一种异常用户的检测装置200,所述装置具体包括:
第一获取模块201,用于获取M个用户中每一个用户在多业务场景下的业务行为数据,M为正整数;
第一检测模块202,用于根据所述M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户。
可选的,在M的取值为至少两个的情况下,所述装置还包括:
分类模块,用于根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群;
确定模块,用于根据每一个用户集群中包含的异常用户数量,确定所述用户集群的所属类型。
可选的,所述分类模块,包括:
获取单元,用于根据所述M个用户的业务行为,获取所述M个用户之间的业务行为相似度;
比对单元,用于将所述M个用户之间的业务行为相似度与预设相似度进行比对;
第一分类单元,用于将所述M个用户中业务行为相似度大于或等于所述预设相似度的用户分类为同一用户集群。
可选的,所述分类模块,包括:
判断单元,用于根据所述M个用户的业务行为,判断所述M个用户中是否存在具有关联关系的用户;
第二分类单元,用于将所述M个用户中具有关联关系的用户分类为同一用户集群。
可选的,所述确定模块,包括:
计算单元,用于根据每一个用户集群中包含的异常用户数量,计算每一个用户集群中异常用户所占比例;
确定单元,用于根据每一个用户集群中异常用户所占比例,确定所述用户集群的所属类型。
可选的,所述确定单元,包括:
比对子单元,用于将每一个用户集群中异常用户所占比例与预设比例进行比对;
确定子单元,用于将多个用户集群中异常用户所占比例大于或等于所述预设比例的用户集群的所属类型确定为异常类型。
可选的,所述业务行为数据是与用户信息对应的行为数据;其中,所述用户信息包括以下至少一项:用户账号ID、用户互联网地址IP、用户设备、用户手机号、用户身份证号、用户营业执照。
需要说明的是,该异常用户的检测装置实施例是与上述异常用户的检测方法相对应的装置,上述方法实施例的所有实现方式均适用于该装置实施例中,也能达到与其相同的技术效果,在此不做具体赘述。
综上所述,本发明上述实施例获取M个用户中每一个用户在多业务场景下的业务行为数据,根据所述M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户,即把分散在各个业务场景的业务行为数据整合在一起,脱离单个业务场景的范围,从多业务场景全方面的看用户的业务行为是否存在敏感操作和异常操作,能够更加明显发现异常用户,并且也能够极大的降低反欺诈人员在各个业务场景里面配置规则、沟通协调的成本,由此可以提高检测效率并降低多个业务场景检测的成本;并且,通过把多个用户当成一个用户集群的方式来对整个用户集群进行监控,可以更有效的发现聚集操作和恶意攻击行为,在处理效率和发现效率上也是一个极大的提升。
优选的,本发明实施例还提供了一种电子设备,包括:处理器,存储器,存储在存储器上并可在处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述异常用户的检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述异常用户的检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random AccessMemory,简称RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
本领域普通技术人员可以意识到,结合本发明实施例中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (16)
1.一种异常用户的检测方法,其特征在于,包括:
获取M个用户中每一个用户在多业务场景下的业务行为数据,M为正整数;
根据所述M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户。
2.根据权利要求1所述的方法,其特征在于,在M的取值为至少两个的情况下,所述方法还包括:
根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群;
根据每一个用户集群中包含的异常用户数量,确定所述用户集群的所属类型。
3.根据权利要求2所述的方法,其特征在于,所述根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群,包括:
根据所述M个用户的业务行为,获取所述M个用户之间的业务行为相似度;
将所述M个用户之间的业务行为相似度与预设相似度进行比对;
将所述M个用户中业务行为相似度大于或等于所述预设相似度的用户分类为同一用户集群。
4.根据权利要求2所述的方法,其特征在于,所述根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群,包括:
根据所述M个用户的业务行为,判断所述M个用户中是否存在具有关联关系的用户;
将所述M个用户中具有关联关系的用户分类为同一用户集群。
5.根据权利要求2所述的方法,其特征在于,所述根据每一个用户集群中包含的异常用户数量,确定所述用户集群的所属类型,包括:
根据每一个用户集群中包含的异常用户数量,计算每一个用户集群中异常用户所占比例;
根据每一个用户集群中异常用户所占比例,确定所述用户集群的所属类型。
6.根据权利要求5所述的方法,其特征在于,所述根据每一个用户集群中异常用户所占比例,确定所述用户集群的所属类型,包括:
将每一个用户集群中异常用户所占比例与预设比例进行比对;
将多个用户集群中异常用户所占比例大于或等于所述预设比例的用户集群的所属类型确定为异常类型。
7.根据权利要求1所述的方法,其特征在于,所述业务行为数据是与用户信息对应的行为数据;其中,所述用户信息包括以下至少一项:用户账号ID、用户互联网地址IP、用户设备、用户手机号、用户身份证号、用户营业执照。
8.一种异常用户的检测装置,其特征在于,包括:
第一获取模块,用于获取M个用户中每一个用户在多业务场景下的业务行为数据,M为正整数;
第一检测模块,用于根据所述M个用户中每一个用户在多业务场景下的业务行为数据,对每一个用户进行异常检测,确定所述M个用户中的异常用户。
9.根据权利要求8所述的装置,其特征在于,在M的取值为至少两个的情况下,所述装置还包括:
分类模块,用于根据所述M个用户的业务行为,对所述M个用户进行分类,得到至少一个用户集群;
确定模块,用于根据每一个用户集群中包含的异常用户数量,确定所述用户集群的所属类型。
10.根据权利要求9所述的装置,其特征在于,所述分类模块,包括:
获取单元,用于根据所述M个用户的业务行为,获取所述M个用户之间的业务行为相似度;
比对单元,用于将所述M个用户之间的业务行为相似度与预设相似度进行比对;
第一分类单元,用于将所述M个用户中业务行为相似度大于或等于所述预设相似度的用户分类为同一用户集群。
11.根据权利要求9所述的装置,其特征在于,所述分类模块,包括:
判断单元,用于根据所述M个用户的业务行为,判断所述M个用户中是否存在具有关联关系的用户;
第二分类单元,用于将所述M个用户中具有关联关系的用户分类为同一用户集群。
12.根据权利要求9所述的装置,其特征在于,所述确定模块,包括:
计算单元,用于根据每一个用户集群中包含的异常用户数量,计算每一个用户集群中异常用户所占比例;
确定单元,用于根据每一个用户集群中异常用户所占比例,确定所述用户集群的所属类型。
13.根据权利要求12所述的装置,其特征在于,所述确定单元,包括:
比对子单元,用于将每一个用户集群中异常用户所占比例与预设比例进行比对;
确定子单元,用于将多个用户集群中异常用户所占比例大于或等于所述预设比例的用户集群的所属类型确定为异常类型。
14.根据权利要求8所述的装置,其特征在于,所述业务行为数据是与用户信息对应的行为数据;其中,所述用户信息包括以下至少一项:用户账号ID、用户互联网地址IP、用户设备、用户手机号、用户身份证号、用户营业执照。
15.一种电子设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的异常用户的检测方法的步骤。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的异常用户的检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110564792.5A CN113222736A (zh) | 2021-05-24 | 2021-05-24 | 一种异常用户的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110564792.5A CN113222736A (zh) | 2021-05-24 | 2021-05-24 | 一种异常用户的检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113222736A true CN113222736A (zh) | 2021-08-06 |
Family
ID=77097934
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110564792.5A Pending CN113222736A (zh) | 2021-05-24 | 2021-05-24 | 一种异常用户的检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113222736A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900356A (zh) * | 2022-05-06 | 2022-08-12 | 联云(山东)大数据有限公司 | 恶意用户行为检测方法、装置及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109241711A (zh) * | 2018-08-22 | 2019-01-18 | 平安科技(深圳)有限公司 | 基于预测模型的用户行为识别方法及装置 |
CN109284380A (zh) * | 2018-09-25 | 2019-01-29 | 平安科技(深圳)有限公司 | 基于大数据分析的非法用户识别方法及装置、电子设备 |
CN110033170A (zh) * | 2019-03-14 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 识别风险商家的方法及装置 |
WO2019196549A1 (zh) * | 2018-04-12 | 2019-10-17 | 阿里巴巴集团控股有限公司 | 确定高风险用户的方法及装置 |
CN110557447A (zh) * | 2019-08-26 | 2019-12-10 | 腾讯科技(武汉)有限公司 | 一种用户行为识别方法、装置及存储介质和服务器 |
CN111522724A (zh) * | 2020-04-23 | 2020-08-11 | 广州酷狗计算机科技有限公司 | 异常账号的确定方法、装置、服务器及存储介质 |
CN112215702A (zh) * | 2020-10-14 | 2021-01-12 | 深圳市欢太科技有限公司 | 信用风险的评估方法、移动终端及计算机存储介质 |
-
2021
- 2021-05-24 CN CN202110564792.5A patent/CN113222736A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019196549A1 (zh) * | 2018-04-12 | 2019-10-17 | 阿里巴巴集团控股有限公司 | 确定高风险用户的方法及装置 |
CN109241711A (zh) * | 2018-08-22 | 2019-01-18 | 平安科技(深圳)有限公司 | 基于预测模型的用户行为识别方法及装置 |
CN109284380A (zh) * | 2018-09-25 | 2019-01-29 | 平安科技(深圳)有限公司 | 基于大数据分析的非法用户识别方法及装置、电子设备 |
CN110033170A (zh) * | 2019-03-14 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 识别风险商家的方法及装置 |
CN110557447A (zh) * | 2019-08-26 | 2019-12-10 | 腾讯科技(武汉)有限公司 | 一种用户行为识别方法、装置及存储介质和服务器 |
CN111522724A (zh) * | 2020-04-23 | 2020-08-11 | 广州酷狗计算机科技有限公司 | 异常账号的确定方法、装置、服务器及存储介质 |
CN112215702A (zh) * | 2020-10-14 | 2021-01-12 | 深圳市欢太科技有限公司 | 信用风险的评估方法、移动终端及计算机存储介质 |
Non-Patent Citations (1)
Title |
---|
朱玉全等: "《数据挖掘技术》", 30 November 2006, 东南大学出版社, pages: 130 - 131 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900356A (zh) * | 2022-05-06 | 2022-08-12 | 联云(山东)大数据有限公司 | 恶意用户行为检测方法、装置及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107154950B (zh) | 一种日志流异常检测的方法及系统 | |
US8549645B2 (en) | System and method for detection of denial of service attacks | |
US11496495B2 (en) | System and a method for detecting anomalous patterns in a network | |
CN108809745A (zh) | 一种用户异常行为检测方法、装置及系统 | |
CN106469276B (zh) | 数据样本的类型识别方法及装置 | |
US20220239630A1 (en) | Graphical representation of security threats in a network | |
CN108650225B (zh) | 一种远程安全监测设备、系统及远程安全监测方法 | |
CN103782303A (zh) | 对于恶意过程的基于非签名的检测的系统和方法 | |
CN111600880A (zh) | 异常访问行为的检测方法、系统、存储介质和终端 | |
WO2005048022A2 (en) | Method and system for addressing intrusion attacks on a computer system | |
CN106960153B (zh) | 病毒的类型识别方法及装置 | |
Papadopoulos et al. | A novel graph-based descriptor for the detection of billing-related anomalies in cellular mobile networks | |
CN112671767B (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
Peneti et al. | DDOS attack identification using machine learning techniques | |
CN113222736A (zh) | 一种异常用户的检测方法、装置、电子设备及存储介质 | |
CN113765850B (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
CN112966264A (zh) | Xss攻击检测方法、装置、设备及机器可读存储介质 | |
CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
Chhikara et al. | Significance of hybrid feature selection technique for intrusion detection systems | |
CN115913652A (zh) | 异常访问行为检测方法及装置、电子设备及可读存储介质 | |
CN114866297A (zh) | 网络数据检测方法、装置、电子设备及存储介质 | |
CN113315739A (zh) | 一种恶意域名的检测方法及系统 | |
Pramudya et al. | Implementation of signature-based intrusion detection system using SNORT to prevent threats in network servers | |
CN107770129B (zh) | 用于检测用户行为的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |