CN113660228A - 危险用户检测方法、装置及服务器 - Google Patents
危险用户检测方法、装置及服务器 Download PDFInfo
- Publication number
- CN113660228A CN113660228A CN202110872224.1A CN202110872224A CN113660228A CN 113660228 A CN113660228 A CN 113660228A CN 202110872224 A CN202110872224 A CN 202110872224A CN 113660228 A CN113660228 A CN 113660228A
- Authority
- CN
- China
- Prior art keywords
- user
- community
- detection
- danger
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 207
- 230000006399 behavior Effects 0.000 claims description 95
- 238000012502 risk assessment Methods 0.000 claims description 54
- 238000002955 isolation Methods 0.000 claims description 37
- 230000002159 abnormal effect Effects 0.000 claims description 30
- 238000000034 method Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 10
- 230000003993 interaction Effects 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 3
- 231100001261 hazardous Toxicity 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/40—Business processes related to the transportation industry
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Marketing (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- General Business, Economics & Management (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Operations Research (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Development Economics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种危险用户检测方法、装置及服务器,通过获取用户社群的用户注册信息,根据所述用户注册信息,确定用户社群的危险评估分值,通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果。如此,可以更准确地检测出危险用户。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种危险用户检测方法、装置及服务器。
背景技术
危险用户检测是一种根据用户的行为确定出存在危险操作行为的用户,进而对这些危险用户进行进一步的用户隔离、跟踪等动作。现有的危险用户检测方案中,通常仅对单独的用户行为进行检测,检测方式单一,检测结果不准确。
发明内容
第一方面,本申请提供一种危险用户检测方法,所述方法包括:
获取用户社群的用户注册信息,所述用户注册信息用于描述用户社群中各用户的用户ID和用户行为记录;
根据所述用户注册信息,确定用户社群的危险评估分值,其中不同危险评估分值表示用户社群的不同危险程度;
通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,其中,用户检测结果用于表示检测到的用户信息,危险评估分值越高对应的用户检测模型准确度越高;
通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果,其中,危险评估分值越高对应的行为检测模型准确度越高。
在一个例子中,所述方法还包括:
根据行为检测结果,采用与危险评估分值对应的安全隔离模型,对用户社群进行安全隔离;
生成用户行为检测报告,所述用户行为检测报告包括下述中至少一种:用户注册信息、用户检测结果、行为检测结果和安全隔离结果。
在一个例子中,所述获取用户社群的用户注册信息,包括:获取登记的用户数量、用户地理位置、用户类型和危险行为记录;
在用户社群的在线用户比例低于第一阈值,用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群发生过危险行为时,确定用户社群的危险评估分值为第一危险评分区间;
在用户社群满足第一预设条件时,确定用户社群的危险评估分值为第三危险评分区间,其中,第一预设条件包括下述中任一个:用户社群的在线用户比例低于第一阈值,用户社群中缺失用户地理位置和用户类型的用户低于第二阈值,并且用户社群未发生过危险行为;用户社群的在线用户比例达到第一阈值,用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群未发生过危险行为;用户社群的在线用户比例达到第一阈值,用户社群中缺失用户地理位置和用户类型的用户低于第二阈值,并且用户社群未发生过危险行为;
在用户社群满足第二预设条件时,确定用户社群的危险评估分值为第二危险评分区间,其中,第二预设条件包括下述中任一个:用户社群的在线用户比例低于第一阈值,并且用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群未发生过危险行为;用户社群的在线用户比例低于第一阈值或者用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群发生过危险行为。
在一个例子中,所述通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,包括:
在用户社群的危险评估分值为第一危险评分区间时,向用户社群中各用户发送检测数据报文,并根据各用户返回的用户的响应数据报文进行用户检测,用户的响应数据报文包括用户进行一次在线周期的数据;
在用户的危险评估分值为第三危险评分区间或第二危险评分区间时,监测用户社群中用户的响应数据报文,并根据响应数据报文进行用户检测。
在一个例子中,所述通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果,包括:
对于用户检测结果对应的任一个用户,根据该用户在用户检测结果中的用户类型和版本号,比对用户画像危险库,确定该用户存在的用户危险特征,所述用户危险特征表示用户本身存在的危险;
在危险评估分值为第一危险评分区间时,对该用户的全部用户危险特征进行危险检测;
在危险评估分值为第二危险评分区间时,选择该用户的部分用户危险特征进行危险检测;
在危险评估分值为第三危险评分区间时,不对该用户的用户危险特征进行危险检测;
在危险评估分值为第一危险评分区间时,对该用户的异常项目进行检测,其中,异常项目包括下述中至少一个:用户登录安全属性异常、用户交互异常和用户登录异常,其中,用户登录安全属性异常的检测方式包括:检测用户是否属于简单密码、检测本地防火墙是否未关闭和检测用户的风险调用接口是否为关闭;用户交互异常的检测方式包括:确定用户检测结果中该用户的用户信息是否与用户注册信息是否匹配;用户登录异常的检测方式包括:该用户的用户信息是否记录在所述用户注册信息中。
在一个例子中,所述根据行为检测结果,采用与危险评估分值对应的安全隔离模型,对用户社群进行安全隔离,包括:
对于用户危险特征,在危险评估分值为第一危险评分区间时,对用户进行客户端安全策略更新处理,并在客户端安全策略更新失败时进行用户隔离处理;
对于用户交互异常的异常项目,在危险评估分值为第二危险评分区间或者第一危险评分区间时,进行用户隔离处理;
对于用户登录异常的异常项目,在危险评估分值为第一危险评分区间时,进行用户隔离处理。
第二方面,本申请提供一种危险用户检测装置,所述装置包括:
数据获取模块,用于获取用户社群的用户注册信息,所述用户注册信息用于描述用户社群中各用户的用户ID和用户行为记录;
危险评分模块,用于根据所述用户注册信息,确定用户社群的危险评估分值,其中不同危险评估分值表示用户社群的不同危险程度;
第一检测模块,通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,其中,用户检测结果用于表示检测到的用户信息,危险评估分值越高对应的用户检测模型准确度越高;
第二检测模块,用于通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果,其中,危险评估分值越高对应的行为检测模型准确度越高。
在一个例子中,所述装置还包括:
隔离模块,用于根据行为检测结果,采用与危险评估分值对应的安全隔离模型,对用户社群进行安全隔离;生成用户行为检测报告,所述用户行为检测报告包括下述中至少一种:用户注册信息、用户检测结果、行为检测结果和安全隔离结果。
本申请的另一目的在于提供一种服务器,包括处理器及机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被所述处理器执行时,实现本申请提供的危险用户检测方法。
本申请的另一目的在于提供一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被一个或多个处理器执行时,实现本申请提供的危险用户检测方法。
相对于现有技术而言,本申请具有以下有益效果:
本申请提供一种危险用户检测方法、装置及服务器,通过获取用户社群的用户注册信息,根据所述用户注册信息,确定用户社群的危险评估分值, 通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果。如此,可以更准确地检测出危险用户。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的危险用户检测方法的示意图;
图2为本申请实施例提供的服务器的示意图;
图3为本申请实施例提供的危险用户检测装置的示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
请参照图1,图1本实施例提供的一种危险用户检测方法的流程图,以下将对所述方法包括各个步骤进行详细阐述。
步骤A01,获取用户社群的用户注册信息,所述用户注册信息用于描述用户社群中各用户的用户ID和用户行为记录。
步骤A02,根据所述用户注册信息,确定用户社群的危险评估分值,其中不同危险评估分值表示用户社群的不同危险程度。
步骤A03,通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,其中,用户检测结果用于表示检测到的用户信息,危险评估分值越高对应的用户检测模型准确度越高。
步骤A04,通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果,其中,危险评估分值越高对应的行为检测模型准确度越高。
可选地,所述方法还包括:
步骤B01,根据行为检测结果,采用与危险评估分值对应的安全隔离模型,对用户社群进行安全隔离。
步骤B02,生成用户行为检测报告,所述用户行为检测报告包括下述中至少一种:用户注册信息、用户检测结果、行为检测结果和安全隔离结果。
可选地,所述获取用户社群的用户注册信息,包括:获取登记的用户数量、用户地理位置、用户类型和危险行为记录。
在用户社群的在线用户比例低于第一阈值,用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群发生过危险行为时,确定用户社群的危险评估分值为第一危险评分区间。
在用户社群满足第一预设条件时,确定用户社群的危险评估分值为第三危险评分区间,其中,第一预设条件包括下述中任一个:用户社群的在线用户比例低于第一阈值,用户社群中缺失用户地理位置和用户类型的用户低于第二阈值,并且用户社群未发生过危险行为。用户社群的在线用户比例达到第一阈值,用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群未发生过危险行为。用户社群的在线用户比例达到第一阈值,用户社群中缺失用户地理位置和用户类型的用户低于第二阈值,并且用户社群未发生过危险行为。
在用户社群满足第二预设条件时,确定用户社群的危险评估分值为第二危险评分区间,其中,第二预设条件包括下述中任一个:用户社群的在线用户比例低于第一阈值,并且用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群未发生过危险行为。用户社群的在线用户比例低于第一阈值或者用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群发生过危险行为。
可选地,所述通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,包括:
在用户社群的危险评估分值为第一危险评分区间时,向用户社群中各用户发送检测数据报文,并根据各用户返回的用户的响应数据报文进行用户检测,用户的响应数据报文包括用户进行一次在线周期的数据。
在用户的危险评估分值为第三危险评分区间或第二危险评分区间时,监测用户社群中用户的响应数据报文,并根据响应数据报文进行用户检测。
可选地,所述通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果,包括:
对于用户检测结果对应的任一个用户,根据该用户在用户检测结果中的用户类型和版本号,比对用户画像危险库,确定该用户存在的用户危险特征,所述用户危险特征表示用户本身存在的危险。
在危险评估分值为第一危险评分区间时,对该用户的全部用户危险特征进行危险检测。
在危险评估分值为第二危险评分区间时,选择该用户的部分用户危险特征进行危险检测。
在危险评估分值为第三危险评分区间时,不对该用户的用户危险特征进行危险检测。
在危险评估分值为第一危险评分区间时,对该用户的异常项目进行检测,其中,异常项目包括下述中至少一个:用户登录安全属性异常、用户交互异常和用户登录异常,其中,用户登录安全属性异常的检测方式包括:检测用户是否属于简单密码、检测本地防火墙是否未关闭和检测用户的风险调用接口是否为关闭。用户交互异常的检测方式包括:确定用户检测结果中该用户的用户信息是否与用户注册信息是否匹配。用户登录异常的检测方式包括:该用户的用户信息是否记录在所述用户注册信息中。
可选地,所述根据行为检测结果,采用与危险评估分值对应的安全隔离模型,对用户社群进行安全隔离,包括:
对于用户危险特征,在危险评估分值为第一危险评分区间时,对用户进行客户端安全策略更新处理,并在客户端安全策略更新失败时进行用户隔离处理。
对于用户交互异常的异常项目,在危险评估分值为第二危险评分区间或者第一危险评分区间时,进行用户隔离处理。
对于用户登录异常的异常项目,在危险评估分值为第一危险评分区间时,进行用户隔离处理。
请参照图2,图2为本实施例提供的一种服务器90的硬件结构示意图。该服务器90可包括处理器93及机器可读存储介质92。处理器93与机器可读存储介质92可经由系统总线通信。并且,机器可读存储介质92存储有机器可执行指令,通过读取并执行机器可读存储介质92中与危险用户检测逻辑对应的机器可执行指令,处理器93可执行上文描述的危险用户检测方法。
本文中提到的机器可读存储介质92可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
请参照图3,本实施例还提供一种危险用户检测装置91,危险用户检测装置91包括至少一个可以软件形式存储于机器可读存储介质92中的功能模块。从功能上划分,危险用户检测装置91可以包括数据获取模块911、危险评分模块912、第一检测模块913及第二检测模块914。
数据获取模块911,用于获取用户社群的用户注册信息,所述用户注册信息用于描述用户社群中各用户的用户ID和用户行为记录。
危险评分模块912,用于根据所述用户注册信息,确定用户社群的危险评估分值,其中不同危险评估分值表示用户社群的不同危险程度。
第一检测模块913,通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,其中,用户检测结果用于表示检测到的用户信息,危险评估分值越高对应的用户检测模型准确度越高。
第二检测模块914,用于通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果,其中,危险评估分值越高对应的行为检测模型准确度越高。
可选地,所述危险用户检测装置91还包括:
隔离模块,用于根据行为检测结果,采用与危险评估分值对应的安全隔离模型,对用户社群进行安全隔离。生成用户行为检测报告,所述用户行为检测报告包括下述中至少一种:用户注册信息、用户检测结果、行为检测结果和安全隔离结果。
综上所述,本申请实施例提供一种危险用户检测方法、装置及服务器,通过获取用户社群的用户注册信息,根据所述用户注册信息,确定用户社群的危险评估分值, 通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果。如此,可以更准确地检测出危险用户。
以上所述,仅为本申请的各种实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种危险用户检测方法,其特征在于,所述方法包括:
获取用户社群的用户注册信息,所述用户注册信息用于描述用户社群中各用户的用户ID和用户行为记录;
根据所述用户注册信息,确定用户社群的危险评估分值,其中不同危险评估分值表示用户社群的不同危险程度;
通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,其中,用户检测结果用于表示检测到的用户信息,危险评估分值越高对应的用户检测模型准确度越高;
通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果,其中,危险评估分值越高对应的行为检测模型准确度越高。
2.如权利要求1所述的危险用户检测方法,其特征在于,所述方法还包括:
根据行为检测结果,采用与危险评估分值对应的安全隔离模型,对用户社群进行安全隔离;
生成用户行为检测报告,所述用户行为检测报告包括下述中至少一种:用户注册信息、用户检测结果、行为检测结果和安全隔离结果。
3.如权利要求1所述的危险用户检测方法,其特征在于,所述获取用户社群的用户注册信息,包括:获取登记的用户数量、用户地理位置、用户类型和危险行为记录;
在用户社群的在线用户比例低于第一阈值,用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群发生过危险行为时,确定用户社群的危险评估分值为第一危险评分区间;
在用户社群满足第一预设条件时,确定用户社群的危险评估分值为第三危险评分区间,其中,第一预设条件包括下述中任一个:用户社群的在线用户比例低于第一阈值,用户社群中缺失用户地理位置和用户类型的用户低于第二阈值,并且用户社群未发生过危险行为;用户社群的在线用户比例达到第一阈值,用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群未发生过危险行为;用户社群的在线用户比例达到第一阈值,用户社群中缺失用户地理位置和用户类型的用户低于第二阈值,并且用户社群未发生过危险行为;
在用户社群满足第二预设条件时,确定用户社群的危险评估分值为第二危险评分区间,其中,第二预设条件包括下述中任一个:用户社群的在线用户比例低于第一阈值,并且用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群未发生过危险行为;用户社群的在线用户比例低于第一阈值或者用户社群中缺失用户地理位置和用户类型的用户比例超过第二阈值,并且用户社群发生过危险行为。
4.如权利要求3所述的危险用户检测方法,其特征在于,所述通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,包括:
在用户社群的危险评估分值为第一危险评分区间时,向用户社群中各用户发送检测数据报文,并根据各用户返回的用户的响应数据报文进行用户检测,用户的响应数据报文包括用户进行一次在线周期的数据;
在用户的危险评估分值为第三危险评分区间或第二危险评分区间时,监测用户社群中用户的响应数据报文,并根据响应数据报文进行用户检测。
5.如权利要求3所述的危险用户检测方法,其特征在于,所述通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果,包括:
对于用户检测结果对应的任一个用户,根据该用户在用户检测结果中的用户类型和版本号,比对用户画像危险库,确定该用户存在的用户危险特征,所述用户危险特征表示用户本身存在的危险;
在危险评估分值为第一危险评分区间时,对该用户的全部用户危险特征进行危险检测;
在危险评估分值为第二危险评分区间时,选择该用户的部分用户危险特征进行危险检测;
在危险评估分值为第三危险评分区间时,不对该用户的用户危险特征进行危险检测;
在危险评估分值为第一危险评分区间时,对该用户的异常项目进行检测,其中,异常项目包括下述中至少一个:用户登录安全属性异常、用户交互异常和用户登录异常,其中,用户登录安全属性异常的检测方式包括:检测用户是否属于简单密码、检测本地防火墙是否未关闭和检测用户的风险调用接口是否为关闭;用户交互异常的检测方式包括:确定用户检测结果中该用户的用户信息是否与用户注册信息是否匹配;用户登录异常的检测方式包括:该用户的用户信息是否记录在所述用户注册信息中。
6.如权利要求2所述的危险用户检测方法,其特征在于,所述根据行为检测结果,采用与危险评估分值对应的安全隔离模型,对用户社群进行安全隔离,包括:
对于用户危险特征,在危险评估分值为第一危险评分区间时,对用户进行客户端安全策略更新处理,并在客户端安全策略更新失败时进行用户隔离处理;
对于用户交互异常的异常项目,在危险评估分值为第二危险评分区间或者第一危险评分区间时,进行用户隔离处理;
对于用户登录异常的异常项目,在危险评估分值为第一危险评分区间时,进行用户隔离处理。
7.一种危险用户检测装置,其特征在于,所述装置包括:
数据获取模块,用于获取用户社群的用户注册信息,所述用户注册信息用于描述用户社群中各用户的用户ID和用户行为记录;
危险评分模块,用于根据所述用户注册信息,确定用户社群的危险评估分值,其中不同危险评估分值表示用户社群的不同危险程度;
第一检测模块,通过与危险评估分值对应的用户检测模型,对用户社群中用户进行用户检测,得到用户检测结果,其中,用户检测结果用于表示检测到的用户信息,危险评估分值越高对应的用户检测模型准确度越高;
第二检测模块,用于通过与危险评估分值对应的行为检测模型,对用户检测结果进行行为检测,得到用户检测结果对应的用户的行为检测结果,其中,危险评估分值越高对应的行为检测模型准确度越高。
8.如权利要求7所述的危险用户检测装置,其特征在于,所述装置还包括:
隔离模块,用于根据行为检测结果,采用与危险评估分值对应的安全隔离模型,对用户社群进行安全隔离;生成用户行为检测报告,所述用户行为检测报告包括下述中至少一种:用户注册信息、用户检测结果、行为检测结果和安全隔离结果。
9.一种服务器,其特征在于,包括处理器及机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被所述处理器执行时,实现权利要求1-7任意一项所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被一个或多个处理器执行时,实现权利要求1-7任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110872224.1A CN113660228A (zh) | 2021-07-30 | 2021-07-30 | 危险用户检测方法、装置及服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110872224.1A CN113660228A (zh) | 2021-07-30 | 2021-07-30 | 危险用户检测方法、装置及服务器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113660228A true CN113660228A (zh) | 2021-11-16 |
Family
ID=78490146
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110872224.1A Withdrawn CN113660228A (zh) | 2021-07-30 | 2021-07-30 | 危险用户检测方法、装置及服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113660228A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115987579A (zh) * | 2022-12-07 | 2023-04-18 | 南京鼎山信息科技有限公司 | 基于大数据和物联网通信的数据处理方法和数据处理系统 |
-
2021
- 2021-07-30 CN CN202110872224.1A patent/CN113660228A/zh not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115987579A (zh) * | 2022-12-07 | 2023-04-18 | 南京鼎山信息科技有限公司 | 基于大数据和物联网通信的数据处理方法和数据处理系统 |
CN115987579B (zh) * | 2022-12-07 | 2023-09-15 | 南京鼎山信息科技有限公司 | 基于大数据和物联网通信的数据处理方法和数据处理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7516220B1 (en) | Method and system for detecting and deterring robot access of web-based interfaces by using minimum expected human response time | |
CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
JP6841910B2 (ja) | ユーザー異常行動検出方法、装置及びシステム | |
JP6732806B2 (ja) | アカウント盗難リスクの識別方法、識別装置、及び防止・制御システム | |
CN108268354B (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
US10404729B2 (en) | Device, method, and system of generating fraud-alerts for cyber-attacks | |
CN104519032B (zh) | 一种互联网账号的安全策略及系统 | |
US8407801B2 (en) | Security countermeasure function evaluation program | |
CN110581827B (zh) | 一种针对于暴力破解的检测方法及装置 | |
US20160036834A1 (en) | System and method for determining category of trustof applications performing interface overlay | |
CN107682345B (zh) | Ip地址的检测方法、检测装置及电子设备 | |
CN106341248B (zh) | 一种基于云平台的故障处理方法和装置 | |
CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CN110348188B (zh) | 一种核身校验方法及装置 | |
CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
CN105208009B (zh) | 一种账号安全检测方法及装置 | |
CN108282446A (zh) | 识别扫描器的方法及设备 | |
CN113660228A (zh) | 危险用户检测方法、装置及服务器 | |
CN108073703A (zh) | 一种评论信息获取方法、装置、设备及存储介质 | |
CN116260715B (zh) | 基于大数据的账号安全预警方法、装置、介质及计算设备 | |
CN110955842A (zh) | 一种异常访问行为识别方法及装置 | |
KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
CN116185785A (zh) | 文件异常变更的预警方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20211116 |