CN113282902B - 一种业务行为安全控制方法、系统与设备 - Google Patents
一种业务行为安全控制方法、系统与设备 Download PDFInfo
- Publication number
- CN113282902B CN113282902B CN202110841428.9A CN202110841428A CN113282902B CN 113282902 B CN113282902 B CN 113282902B CN 202110841428 A CN202110841428 A CN 202110841428A CN 113282902 B CN113282902 B CN 113282902B
- Authority
- CN
- China
- Prior art keywords
- user
- request
- strategy
- token
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种业务行为安全控制方法、系统与设备,本发明首先获取请求用户信息,转换成哈希编码,并判断是否在已有惩罚数据集中,若存在则拒绝用户此次请求;对于用户信息合法校验成功的请求,根据配置的限频策略以及用户ID计算出的唯一标识生成一个令牌桶;在用户请求被处理前,先从令牌桶中获取一个令牌,若获得令牌则处理用户请求;当桶里没有令牌可取时,则驳回用户请求,并记录请求用户信息。本发明根据配置的策略及用户信息动态管理令牌桶,通过控制桶的容量、发放令牌的速率,来达到对请求的限制。基于本发明的方案,所有策略配置及数据可随时在可视化操作系统平台上进行配置,可及时上线、下线和修改策略,方便快捷、效率高。
Description
技术领域
本发明涉及一种业务行为安全控制方法、系统与设备,属于互联网信息安全、反作弊领域。
背景技术
现阶段互联网用户产品越来越多,绝大多数产品都面临着用户批量提交操作的现象,原因有两种,一是因为用户不按照产品的规则操作,二是恶意攻击。不管是上述哪种原因,都将会对产品造成严重的安全问题。如何正确引导用户的操作行为,及防范恶意大批量行为攻击对产品来说十分重要。目前市面上大部分产品的用户提交限制规则都是写在代码里面,维度单一,不能及时得到限制数据,也无法及时进行策略修改优化,更无法个性化配置处置策略。
发明内容
发明目的:针对上述现有技术存在的问题,本发明目的在于提供一种业务行为安全控制方法、系统与设备,针对大量不同业务,提高安全策略配置的灵活性,以及用户提交行为的个性化处置能力。
技术方案:为实现上述发明目的,本发明提供的一种业务行为安全控制方法,包括如下步骤:
获取请求用户信息,包括用户请求中携带的特征值数据,或特征值数据及请求类型,转换成哈希编码,并判断是否存在于已有惩罚数据集中,若存在则拒绝用户此次请求操作,结束;所述特征值数据包括用户ID、用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种;
根据配置的限频策略以及用户ID计算出的唯一标识生成一个令牌桶,所述限频策略包括活动名称、召回对象、策略场景、相同特征和行为条件;所述活动名称为业务系统中涉及的用户提交行为;所述召回对象为命中策略之后惩罚的对象,包括用户ID、用户手机号、用户微信号、用户设备号中的一种或多种;所述策略场景为活动发生端,包括IOS、Android、H5、小程序中的一种或多种;所述相同特征配置为用户ID、用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种;所述行为条件为配置的行为频次,所述令牌桶容量及发放令牌的速率根据行为条件配置;
在用户请求被处理前,先从令牌桶中获取一个令牌,若获得令牌则处理用户请求;当桶里没有令牌可取时,则驳回用户请求,并记录请求用户信息。
作为优选,所述判断请求用户信息是否存在于已有惩罚数据集中的方法是,将请求用户信息分别通过不同的哈希函数映射到一个位数组中,若不同哈希函数映射的哈希值对应位数组上的位置标记都为1,则认为请求用户信息存在于已有惩罚数据集中;若至少存在一个哈希函数映射的哈希值对应位数组上的位置标记不为1,则认为请求用户信息不存在于已有惩罚数据集中。
作为优选,所述活动名称包括注册、点赞、关注、发布内容、评论中的一种或多种。
作为优选,所述限频策略在管理后台可视化配置,在配置策略的同时支持配置处置策略、处罚时长、生效时间中一种或多种。
作为优选,所述限频策略设有优先级,在判断用户请求是否触犯限频策略时优先判断优先级高的限频策略。
作为优选,在驳回用户请求记录请求用户信息的同时,将请求用户信息发送至人工审核,根据人工审核结果确定是否加入惩罚数据集中。
基于相同的发明构思,本发明提供的一种业务行为安全控制系统,包括:
用户合法校验模块,获取请求用户信息,包括用户请求中携带的特征值数据,或特征值数据及请求类型,转换成哈希编码,并判断是否存在于已有惩罚数据集中,若存在则拒绝用户此次请求操作,结束;所述特征值数据包括用户ID、用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种;
令牌桶模块,用于根据配置的限频策略以及用户ID计算出的唯一标识生成一个令牌桶,所述限频策略包括活动名称、召回对象、策略场景、相同特征和行为条件;所述活动名称为业务系统中涉及用户提交行为的名称;所述召回对象为命中策略之后惩罚的对象,包括用户ID、用户手机号、用户微信号、用户设备号中的一种或多种;所述相同特征配置为用户ID、用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种;所述策略场景为活动发生端,包括IOS、Android、H5、小程序中的一种或多种;所述行为条件为配置的行为频次,所述令牌桶容量及发放令牌的速率根据行为条件配置;
以及,限频处理模块,用于在用户请求被处理前,先从令牌桶中获取一个令牌,若获得令牌则处理用户请求;当桶里没有令牌可取时,则驳回用户请求,并记录请求用户信息。
作为优选,所述系统还包括:限频策略配置模块,用于在管理后台可视化配置限频策略,在配置策略的同时支持配置处置策略、处罚时长、生效时间中一种或多种。
作为优选,所述系统还包括:人工审核模块,用于在驳回用户请求记录请求用户信息的同时,将请求用户信息发送至人工审核,根据人工审核结果确定是否加入惩罚数据集中。
基于相同的发明构思,本发明提供的一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被加载至处理器时实现所述的一种业务行为安全控制方法。
有益效果:与现有技术相比,本发明具有如下优点:
1、本发明根据配置的策略及用户信息动态管理令牌桶,通过控制桶的容量、发放令牌的速率,来达到对请求的限制。基于本发明的方案,所有策略配置及数据可随时在可视化操作系统平台上进行配置,可及时上线、下线和修改策略,不需要研发上线代码,方便快捷、效率高。
2、本发明通过策略配置能够覆盖业务系统中所有用户提交行为的场景(例如点赞、关注、发布内容等),并针对不同的限频策略能够能个性化配置处置策略(例如:直接拦截、二次校验、封禁屏蔽等)、处罚时长、生效时间等。
3、本发明可以根据所有业务用户行为,进行不同维度数据的策略定制,高准确率处置违规行为,大大降低误伤率。
4、本发明通过记录用户特征值数据,并送至人工审核后台,能够及时监控数据波动、对行为处置进行分析并优化策略 。
附图说明
图1为本发明实施例的方法流程图。
图2为本发明实施例中基于哈希编码验证的原理示意图。
图3为本发明实施例中令牌桶算法的原理示意图。
具体实施方式
下面将结合附图和具体实施例,对本发明的技术方案进行清楚、完整的描述。
如图1所示,本发明实施例公开的一种业务行为安全控制方法,主要包括如下步骤:
S1:用户信息合法性校验。获取请求用户信息,包括用户请求中携带的用户特征值数据,或者特征值数据及请求类型,并判断是否存在于已有惩罚数据集中,若存在则拒绝用户此次请求操作。本实施例中,用户的特征值数据包括用户ID、用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种。
为了提高用户信息校验的效率,本步骤获取到的用户特征值数据,根据指定的不同的哈希算法(包含但不限于MD5、SHA1、BKDRHash)转换成特定的哈希编码,以此来区分此次请求是否合法。
以图2为例,具体的操作流程:假设集合里面有3个元素{x, y, z},哈希函数的个数为3。首先将位数组进行初始化,将里面每个位都设置位0。对于集合里面的每一个元素,将元素依次通过3个哈希函数进行映射,每次映射都会产生一个哈希值,这个值对应位数组上面的一个点,然后将位数组对应的位置标记为1。查询w元素是否存在集合中的时候,同样的方法将w通过哈希映射到位数组上的3个点。如果3个点的其中有一个点不为1,则可以判断该元素一定不存在集合中。反之,如果3个点都为1,则该元素可能存在集合中。具体到本场景中,集合即为惩罚数据集,里面存储被惩罚(临时或永久)的请求用户信息,如本次请求携带的用户信息在已有的惩罚数据集中则直接拒绝此次请求操作。
以登陆行为举例说明:用户登陆时,会从用户请求中获得用户ID、用户手机号、用户微信号、用户设备编号等特征值数据。系统后台会对用户当前或历史数据做统计、聚类等操作,会得到类似:手机号-用户ID、设备编号-用户ID 等数据。假设配置了针对登陆场景的策略:如限制设备数登陆同一账号。超过这个数量登陆的设备会命中此策略,从而被处罚(具体处罚手段根据系统策略确定,包括但不限于禁止用户ID再登录、一段时长禁用该用户ID等),将用户相关信息保存在惩罚数据集中。用户再次请求登录或提交其他请求时,若命中到惩罚数据集中的信息规则,则此次请求被直接拒绝。
S2:限频策略实现。通过用户信息合法性校验之后借助 redis中间件使用令牌桶算法,检查用户此次行为是否触限频策略。
系统通过可视化的策略配置模块可以配置各种限频策略,策略的属性包括活动名称、召回对象、策略场景、相同特征和行为条件。其中活动名称为业务系统中涉及的用户提交行为,如点赞、关注、发表内容、评论等,可以覆盖到业务中所有的提交行为;召回对象即为命中策略之后惩罚的对象,包括用户ID、用户手机号、用户微信号、用户设备号中的一种或多种;策略场景为活动发生端,包括IOS、Android、H5、小程序中的一种或多种;相同特征配置为用户ID、用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种;行为条件为配置的行为频次。
本步骤的具体实现步骤是:判断是否命中限频策略时会以活动名称+召回对象+策略场景+相同特征+行为条件+此次请求的用户信息(主要为用户ID)计算出唯一的MD5值。如图3所示,系统会维护一个令牌(token)桶,以一个恒定的速度往桶里放入令牌(token),这时如果有请求进来想要被处理,则需要先从桶里获取一个令牌(token),当桶里没有令牌(token)可取时,则该请求将被拒绝服务。令牌桶算法通过控制桶的容量、发放令牌的速率,来达到对请求的限制。
以注册行为举例说明:针对此行为后台配置了一种策略。其中活动名称配置为:注册;召回对象配置为:设备号(命中策略之后,惩罚此设备号在一定时间段内无法再次注册);策略场景配置为:IOS/Android/H5/小程序;相同特征配置为:设备号 (发现同一设备号多次时间段内多次注册);行为条件配置为:多少分钟内有过多少次此种行为 (实现步骤中桶容量及发放令牌的速率是从此配置中获取)。
对于相同的策略也可以配置策略的优先级,如对平台里的文章进行“点赞”操作的限频策略可以配置为:
优先级1:同一个手机号的用户(相同特征)1分钟内(行为条件中的频次区间)在APP端内(策略场景)对所有文章点赞(活动名称)超过10次(行为条件中的频次数量),对用户(召回对象)进行二次校验(处罚)。
优先级2:同一个手机号的用户(相同特征)1分钟内(行为条件中的频次区间)在APP端内(策略场景)对所有文章点赞(活动名称)超过20次(行为条件中的频次数量),对用户(召回对象)禁止点赞功能(处罚)1天(处罚时长)。
S3:人工审核。对于请求驳回的用户会将其请求IP地址、手机号、ID等用户信息留存至本地并同时将此用户信息通过消息队列送至审核后台。待人工审核确定违规用户后,根据具体处罚策略将相关信息添加到惩罚数据集。对于一些不需要人工审核的明显违规行为,自动识别出来后可以根据配置的处罚策略自动添加的惩罚数据集,由机器自动处置问题用户。
通过记录策略的命中、处置情况,能够及时监控数据波动、对行为处置进行分析并优化策略。
基于相同的发明构思,本发明实施例公开的一种业务行为安全控制系统,包括:用户合法校验模块,获取请求用户信息,包括用户请求中携带的特征值数据,或特征值数据及请求类型,转换成哈希编码,并判断是否存在于已有惩罚数据集中,若存在则拒绝用户此次请求操作,结束;令牌桶模块,用于根据配置的限频策略以及用户ID计算出的唯一标识生成一个令牌桶,以及,限频处理模块,用于在用户请求被处理前,先从令牌桶中获取一个令牌,若获得令牌则处理用户请求;当桶里没有令牌可取时,则驳回用户请求,并记录请求用户信息。还包括限频策略配置模块,用于在管理后台可视化配置限频策略,在配置策略的同时支持配置处置策略、处罚时长及生效时间;人工审核模块,用于在驳回用户请求记录请求用户信息的同时,将请求用户信息发送至人工审核,根据人工审核结果确定是否加入惩罚数据集中。各模块的具体实现参见上述方法实施例,此处不再赘述。
基于相同的发明构思,本发明实施例公开的一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该计算机程序被加载至处理器时实现上述的一种业务行为安全控制方法。
Claims (5)
1.一种业务行为安全控制方法,其特征在于,包括如下步骤:
获取请求用户信息,包括用户请求中携带的特征值数据,或特征值数据及请求类型,转换成哈希编码,并判断是否存在于已有惩罚数据集中,若存在则拒绝用户此次请求操作,结束;所述特征值数据是用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种;
根据配置的限频策略以及用户ID计算出唯一标识,并生成一个令牌桶,所述限频策略包括活动名称、召回对象、策略场景、相同特征和行为条件;所述活动名称为业务系统中涉及的用户提交行为,包括点赞、关注、发布内容、评论中的一种或多种;所述召回对象为命中策略之后惩罚的对象,包括用户手机号、用户微信号、用户设备号中的一种或多种;所述策略场景为活动发生端,包括IOS、Android、H5、小程序中的一种或多种;所述相同特征配置为用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种;所述行为条件为配置的行为频次,所述令牌桶容量及发放令牌的速率根据行为条件配置;所述限频策略在管理后台可视化配置,在配置策略的同时支持配置处置策略、处罚时长、生效时间中的一种或多种;
在用户请求被处理前,先从令牌桶中获取一个令牌,若获得令牌则处理用户请求;当桶里没有令牌可取时,则驳回用户请求,并记录请求用户信息;在驳回用户请求记录请求用户信息的同时,将请求用户信息发送至人工审核,根据人工审核结果确定是否加入惩罚数据集中。
2.根据权利要求1所述的一种业务行为安全控制方法,其特征在于,判断请求用户信息是否存在于已有惩罚数据集中的方法是,将请求用户信息分别通过不同的哈希函数映射到一个位数组中,若不同哈希函数映射的哈希值对应位数组上的位置标记都为1,则认为请求用户信息存在于已有惩罚数据集中;若至少存在一个哈希函数映射的哈希值对应位数组上的位置标记不为1,则认为请求用户信息不存在于已有惩罚数据集中。
3.根据权利要求1所述的一种业务行为安全控制方法,其特征在于,所述限频策略设有优先级,在判断用户请求是否触犯限频策略时优先判断优先级高的限频策略。
4.一种业务行为安全控制系统,其特征在于,包括:
用户合法校验模块,获取请求用户信息,包括用户请求中携带的特征值数据,或特征值数据及请求类型,转换成哈希编码,并判断是否存在于已有惩罚数据集中,若存在则拒绝用户此次请求操作,结束;所述特征值数据是用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种;
令牌桶模块,用于根据配置的限频策略以及用户ID计算出唯一标识,并生成一个令牌桶,所述限频策略包括活动名称、召回对象、策略场景、相同特征和行为条件;所述活动名称为业务系统中涉及用户提交行为的名称,包括点赞、关注、发布内容、评论中的一种或多种;所述召回对象为命中策略之后惩罚的对象,包括用户手机号、用户微信号、用户设备号中的一种或多种;所述相同特征配置为用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种;所述策略场景为活动发生端,包括IOS、Android、H5、小程序中的一种或多种;所述行为条件为配置的行为频次,所述令牌桶容量及发放令牌的速率根据行为条件配置;
限频处理模块,用于在用户请求被处理前,先从令牌桶中获取一个令牌,若获得令牌则处理用户请求;当桶里没有令牌可取时,则驳回用户请求,并记录请求用户信息;
限频策略配置模块,用于在管理后台可视化配置限频策略,在配置策略的同时支持配置处置策略、处罚时长、生效时间中一种或多种;
以及,人工审核模块,用于在驳回用户请求记录请求用户信息的同时,将请求用户信息发送至人工审核,根据人工审核结果确定是否加入惩罚数据集中。
5.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被加载至处理器时实现根据权利要求1-3任一项所述的一种业务行为安全控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110841428.9A CN113282902B (zh) | 2021-07-26 | 2021-07-26 | 一种业务行为安全控制方法、系统与设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110841428.9A CN113282902B (zh) | 2021-07-26 | 2021-07-26 | 一种业务行为安全控制方法、系统与设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113282902A CN113282902A (zh) | 2021-08-20 |
| CN113282902B true CN113282902B (zh) | 2022-03-08 |
Family
ID=77287247
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110841428.9A Active CN113282902B (zh) | 2021-07-26 | 2021-07-26 | 一种业务行为安全控制方法、系统与设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113282902B (zh) |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248472A (zh) * | 2013-04-16 | 2013-08-14 | 华为技术有限公司 | 一种处理操作请求的方法、系统以及攻击识别装置 |
| CN104021178B (zh) * | 2014-06-04 | 2018-02-02 | 深圳市腾讯计算机系统有限公司 | 多媒体信息过滤方法和装置 |
| CN110417888A (zh) * | 2019-07-30 | 2019-11-05 | 中国工商银行股份有限公司 | 流量控制方法、流量控制装置和电子设备 |
| CN110995611A (zh) * | 2019-12-20 | 2020-04-10 | 创盛视联数码科技(北京)有限公司 | 一种用于针对高并发请求分布式限流方法 |
| CN110932994B (zh) * | 2019-12-31 | 2022-11-22 | 深圳云天励飞技术有限公司 | 一种数据流量处理方法、装置、电子设备及存储介质 |
| CN111447150B (zh) * | 2020-02-29 | 2023-07-28 | 中国平安财产保险股份有限公司 | 访问请求限流方法、服务器及存储介质 |
| WO2020098845A2 (en) * | 2020-03-13 | 2020-05-22 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data authorization based on decentralized identifiers |
| CN111897659B (zh) * | 2020-09-29 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 业务处理频率的控制方法、系统、装置、电子设备 |
| CN113067875B (zh) * | 2021-03-24 | 2023-06-02 | 厦门立林科技有限公司 | 基于微服务网关动态流控的访问方法和装置以及设备 |
-
2021
- 2021-07-26 CN CN202110841428.9A patent/CN113282902B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113282902A (zh) | 2021-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102514325B1 (ko) | 모델 훈련 시스템 및 방법과, 저장 매체 | |
| CN110517097B (zh) | 识别异常用户的方法、装置、设备及存储介质 | |
| CN110197058B (zh) | 统一内控安全管理方法、系统、介质及电子设备 | |
| CN104519018B (zh) | 一种防止针对服务器的恶意请求的方法、装置和系统 | |
| CN108183924A (zh) | 一种登录验证方法及终端设备 | |
| CN110232292A (zh) | 数据访问权限认证方法、服务器及存储介质 | |
| CN106302328B (zh) | 敏感用户数据处理系统和方法 | |
| CN111400714B (zh) | 病毒检测方法、装置、设备及存储介质 | |
| JP5160205B2 (ja) | ファイル転送管理のための方法およびシステム | |
| WO2006062272A1 (en) | Internet access time control method using authentication assertion | |
| CN111274046A (zh) | 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质 | |
| CN109937564A (zh) | 检测分布式计算系统中的欺诈性帐户使用 | |
| CN109902493B (zh) | 脚本的下发方法及服务器 | |
| CN111277418B (zh) | 一种实现Api接口安全性的方法 | |
| CN113282902B (zh) | 一种业务行为安全控制方法、系统与设备 | |
| CN111625700B (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
| CN112613893A (zh) | 一种用户恶意注册识别方法、系统、设备及介质 | |
| CN111597577B (zh) | 功能菜单加载方法、功能菜单加载装置及终端设备 | |
| WO2006059852A1 (en) | Method and system for providing resources by using virtual path | |
| CN113468217A (zh) | 数据查询管理方法、装置、计算机设备及可读存储介质 | |
| CN112866272B (zh) | 一种云平台的防盗链管控方法、下载平台和设备 | |
| CN117494163B (zh) | 一种基于安全规则的数据服务的方法和装置 | |
| CN110032843B (zh) | 一种账号注册方法、装置、电子设备及存储介质 | |
| CN114186141A (zh) | 非法客户检测方法、装置、设备及介质 | |
| CN116319741A (zh) | 用于数据跨境传输的管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |