CN114285664A - 异常用户识别方法、系统、设备及介质 - Google Patents
异常用户识别方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN114285664A CN114285664A CN202111639893.0A CN202111639893A CN114285664A CN 114285664 A CN114285664 A CN 114285664A CN 202111639893 A CN202111639893 A CN 202111639893A CN 114285664 A CN114285664 A CN 114285664A
- Authority
- CN
- China
- Prior art keywords
- user
- risk
- risk value
- determining
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提供了一种异常用户识别方法,可以应用于网络安全技术领域。该异常用户识别方法包括:获取用户对应的身份信息、设备信息和访问资源信息;根据身份信息、设备信息和访问资源信息确定用户的风险值;以及根据风险值识别异常用户。本发明还提供了一种异常用户识别系统、设备和存储介质。
Description
技术领域
本发明涉及网络安全领域,具体地涉及一种异常用户识别方法、系统、设备及介质。
背景技术
“零信任”是一个安全术语,也是一个安全概念,它将网络防御的边界缩小到单个或更小的资源组,其中心思想是企业不应自动信任内部或外部的任何人/事/物、不应该根据物理或网络位置对系统授予完全可信的权限,应在授权前对任何试图接入企业系统的人/事/物进行验证、对数据资源的访问只有当资源需要的时候才授予权限。
传统的网络安全是基于防火墙的物理边界防御,也就是为大众所熟知的“内网”。防火墙的概念起源于上世纪80年代,该防御模型前提是企业所有的办公设备和数据资源都在内网,并且内网是完全可信的。
随着互联网的发展,网络安全对企业提出了新的挑战,企业仅仅依赖于传统的网络安全进行防御已不能完全确保企业网络的安全。特别是当用户对企业的资源进行访问时,对用户的识别就更为重要。
发明内容
鉴于上述问题,本发明提供了一种的一种异常用户识别方法、系统、设备、介质。
根据本发明的第一个方面,提供了一种异常用户识别方法,包括:获取用户对应的身份信息、设备信息和访问资源信息;根据身份信息、设备信息和访问资源信息确定用户的风险值;根据风险值识别异常用户。
根据本发明的实施例,根据身份信息、设备信息和访问资源信息确定用户的风险值包括:根据用户的身份信息确定用户的第一风险值;根据第一风险值和设备信息确定用户的第二风险值;根据第二风险值和访问资源信息确定用户的第三风险值。
根据本发明的实施例,根据风险值识别异常用户包括:判断第一风险值是否大于预设阈值,若是,则将用户标记为异常用户;若否,判断第二风险值是否大于预设阈值,若是,则将用户标记为异常用户;若否,判断第三风险值是否大于预设阈值,若是,则将用户标记为异常用户,若否,则将用户标记为正常用户。
根据本发明的实施例,根据用户的身份信息确定用户的第一风险值包括:配置用户的初始风险值;根据身份信息确定用户是否为常用用户以确定第一风险基准;根据身份信息确定用户是否为非法身份信息以确定第一风险系数;根据初始风险值、第一风险基准及第一风险系数确定用户的第一风险值。
根据本发明的实施例,根据第一风险值和设备信息确定用户的第二风险值包括:根据设备信息识别设备种类,根据设备种类确定第二风险基准;根据设备信息确定用户的设备是否为非法设备,根据用户的设备是否为非法设备确定第二风险系数;根据第一风险值、第二风险基准及第二风险系数确定用户的第二风险值。
根据本发明的实施例,根据第二风险值和访问资源信息确定用户的第三风险值包括:根据访问资源信息确定用户访问研发环境或非研发环境,根据用户访问研发环境或非研发环境确定第三风险基准;根据访问资源信息确定访问资源信息的单位时间内的非法访问次数,根据访问资源信息的单位时间内的非法访问次数确定第三风险系数;根据第二风险值、第三风险基准及第三风险系数确定用户的第三风险值。
根据本发明的实施例,异常用户识别方法还包括:获取用户的多因子登录信息;对多因子登录信息中的用户ID、用户手机号、系统邮箱以及至少一个的社交帐号进行检测;若用户ID、用户手机号、系统邮箱以及至少一个的社交帐号都通过检测,则用户登录成功。
本发明的第二方面提供了一种异常用户识别系统,包括:获取模块,用于获取用户对应的身份信息、设备信息和访问资源信息;风险值模块,用于根据身份信息、设备信息和访问资源信息确定用户的风险值;以及识别模块,用于根据风险值识别异常用户。
本发明的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述异常用户识别方法。
本发明的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述异常用户识别方法。
附图说明
通过以下参照附图对本发明实施例的描述,本发明的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本发明实施例的异常用户识别方法、系统、设备、介质和程序产品的应用场景图;
图2示意性示出了根据本发明实施例的异常用户识别方法的流程图;
图3示意性示出了根据本发明实施例的风险值检测的流程图;
图4示意性示出了根据本发明实施例的异常用户识别系统的结构框图;以及
图5示意性示出了根据本发明实施例的适于实现异常用户识别方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本发明的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本发明的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本发明实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本发明。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本发明的实施例提供了一种基于零信任构架提出的快速识别出异常用户的方法,主要针对企业网络的安全,但不局限于此,也适用于其他网络安全场景。
图1示意性示出了根据本发明实施例的异常用户识别方法、系统、设备、介质和程序产品的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括用户通过各种终端设备对企业网络服务器或者其他专用网络服务器进行访问时对异常用户的识别。网络102用以在终端设备101和服务器103之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101通过网络102与服务器103交互,以发送访问请求或拒绝访问请求等。终端设备101上可以安装有各种系统终端软件,以对服务器103进行访问。
终端设备101可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器103可以是提供各种服务的服务器,例如对用户利用终端设备101所发送的访问请求进行异常用户的检测。后台管理服务器可以检测接收到的用户访问请求中的各种数据以进行异常用户的识别,并对异常用户进行相应的处理,例如冻结用户或者警告用户等。
需要说明的是,本发明实施例所提供的异常用户识别方法一般可以由服务器103执行。相应地,本发明实施例所提供的异常用户识别装置一般可以设置于服务器103中。本发明实施例所提供的异常用户识别方法也可以由不同于服务器103且能够与终端设备101和/或服务器103通信的服务器或服务器集群执行。相应地,本发明实施例所提供的异常用户识别装置也可以设置于不同于服务器103且能够与终端设备101和/或服务器103通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
以下将基于图1描述的场景,通过图2~图3对发明实施例的异常用户识别方法进行详细描述。
图2示意性示出了根据本发明实施例的异常用户识别方法的流程图。
如图2所示,该实施例的异常用户识别方法包括操作S201~操作S203。
在操作S201,获取用户对应的身份信息、设备信息和访问资源信息。
在操作S202,根据身份信息、设备信息和访问资源信息确定用户的风险值。
在操作S203,根据风险值识别异常用户。
在本发明的实施例中,在获取用户的信息之前,可以获得用户的同意或授权。例如,在操作S201之前,可以向用户发出获取用户信息的请求。在用户同意或授权可以获取用户信息的情况下,执行所述操作S201。另外,在操作S201之前,还需要对用户的登录信息进行验证。
在操作S201中,用户对应的身份信息主要包括用户ID,用户的访问记录以及用户的身份识别信息,用于识别该用户是否为非法用户;用户对应的设备信息主要包括设备的识别码,设备的类型等信息;用户对应的访问资源信息分为两类,研发环境资源信息和非研发环境资源信息,访问资源信息还包括单位时间内用户尝试非授权访问的次数。
在本发明的一具体的实施例中,用户A的用户ID可为8位的记录在系统中的唯一识别码。设备信息可为IMEI或Mac地址。IMEI(International Mobile Equipment Identity)为国际移动设备识别码,即移动通信设备的手机序列号。Mac(Media Access ControlAddress)地址,也称为局域网地址(LAN Address),以太网地址(Ethernet Address)或物理地址(Physical Address),在网络中每台设备都有一个唯一的网络标识,这个地址叫MAC地址或网卡地址,由网络设备制造商生产时写在硬件内部。用户A尝试连接服务器中的研发环境进行访问。服务器对用户进行零信任检测,根据身份信息、设备信息和访问资源信息确定用户的风险值,若用户的用户ID或Mac地址在系统中没有记录,为非法信息,则得到的风险值较高。当风险值大于一预设的风险值,例如150时,则识别该用户为异常用户,对异常用户采取冻结操作并警告该用户。
在本发明又一实施例中,异常用户识别方法还包括对用户进行多因子的登录认证:获取所述用户的多因子登录信息;对所述多因子登录信息中的用户ID、用户手机号、系统邮箱以及至少一个的社交帐号进行检测;若所述用户ID、用户手机号、系统邮箱以及至少一个的社交帐号都通过检测,则所述用户登录成功。用户ID是8位的记录在系统中的唯一识别码,是用户在注册时生成的随机代码。用户手机号为用户在系统中记录的认证手机号,还可用于找回密码时的短信认证。系统邮箱是用户注册时和用户ID一起生成的验证和登录的邮箱。至少一个是社交帐号是用户在系统中选择记录的常用的社交帐号,例如微信、支付宝等。在对用户进行验证时,如用户缺少上述的用户ID、用户手机号、系统邮箱以及至少一个的社交帐号的相关信息,则认证失败,拒绝用户进入系统。通过对用户多因子登录信息的验证,提高了登录验证的安全水平,确保了登录环节的安全。
在本发明另一实施例中,步骤S202包括:根据用户的身份信息确定所述用户的第一风险值;根据所述第一风险值和所述设备信息确定所述用户的第二风险值;根据所述第二风险值和所述访问资源信息确定所述用户的第三风险值。步骤S203包括:判断所述第一风险值是否大于预设阈值,若是,则将所述用户标记为异常用户;若否,判断所述第二风险值是否大于预设阈值,若是,则将所述用户标记为异常用户;若否,判断所述第三风险值是否大于预设阈值,若是,则将所述用户标记为异常用户,若否,则将所述用户标记为正常用户。
参见图3,图3示意性示出了根据本发明实施例的风险值检测的流程图。用户在成功登录之后,在成功进行访问之前,需要进行至少3道检测:步骤S301中,检测第一风险值,第一风险值根据用户信息确定,若第一风险值大于预设阈值,例如预设阈值为150,此时检测到非法用户信息,确定得到第一风险值为160,则进行步骤S304,即标识该用户为异常用户,可对该异常用户进行冻结并发出警告;若第一风险值小于预设阈值,例如用户信息正常,为常用用户,确定得到的风险值为50,则进行下一步步骤S302进行识别第二风险值。在步骤S302中,若第二风险值存在异常,例如访问的设备信息为未记录的非法信息设备,第一风险值为60,但确定的所述第二风险值为140,未大于预设阈值,判断第二风险值识别正常,可选地,可设定一告警阈值,例如告警阈值为100,当第二风险值小于预设阈值150但大于告警阈值100时,对该用户发出告警信息,并加强对该用户的检测,例如加强对该用户的检测频率、限制该用户访问重要安全信息等。在步骤S303中,检测用户的第三风险值,若用户访问的低风险资源,不包含异常的未授权连接次数,增加的风险值较低,第二风险值为140,确定的第三风险值为145,未大于预设阈值,则该用户为正常用户,结束识别,但由于该用户的风险值较高,仍包含较大的风险,需要对该风险值较高的用户进行警告并加强检测。其中,预设阈值用于衡量风险值的临界标准,风险值大于预设阈值则标记为异常用户,风险值包括第一风险值、第二风险值及第三风险值。
在本发明另一实施例中,本发明的异常用户识别方法还包括识别策略的配置,针对身份信息、设备信息及访问资源信息进行风险基准和风险系数的配置,对不同类别的子类别进行风险等级和风险基准的配置,其中,风险等级分为一般等级、中等等级、高级风险以及最高风险,分别对应的风险基准为0.1、0.2、0.5、1,如下表1、表2所示。
表1风险等级和风险基准表
表2研发环境风险等级和研发环境风险基准表
同时,本发明还针对身份信息、设备信息及访问资源信息识别其中的威胁操作和风险系数,该风险系数用于衡量该风险操作的风险大小,如下表3所示。
表3操作威胁及风险系数表
通过表1、表2确定风险基准(Ra)、通过表3风险系数(Rb)以及用户当前风险值R0,确定用户操作的风险值Rv,其中:Rv=R0+Ra*Rb。例如用户当前风险值R0为100,风险基准Ra为0.2,风险系数Rb为20,则风险值Rv=100+0.2*20=104。
本发明还配置用风险值等级表,如下表4所示。
表4风险值等级表
| 风险值 | 威胁程度 | 措施 |
| >150 | 不可接受 | 警告用户,并冻结处理 |
| 100~150 | 重大 | 警告用户,并加强监测 |
| 50~100 | 中等 | 提醒用户异常操作 |
| 20~50 | 容许 | 不操作 |
| <=20 | 忽略 | 不操作 |
| 0 | 忽略 | 不操作 |
在本发明一实施例中,表2中的编译环境包括Java、.net、c、c++、python以及php等语言的编译环境;性能测试环境采用loadrunner工具,其中,LoadRunner是一种预测系统行 为和性能的负载测试工具,其通过模拟若干用户实施并发负载及实时性能监测的方式来确认和查找问题,LoadRunner能够对整个企业架构进行测试;安全测试环境主要用于代码审计。
在本发明又一实施例中,根据用户的身份信息确定所述用户的第一风险值包括:配置所述用户的初始风险值;根据所述身份信息确定所述用户是否为常用用户以确定第一风险基准;根据所述身份信息确定所述用户是否为非法身份信息以确定第一风险系数;根据所述初始风险值、所述第一风险基准及所述第一风险系数确定所述用户的第一风险值。可选地,配置新用户的初始风险值为0;已记录风险值的用户则获取上次记录的第三风险值作为本次的初始风险值,若上次记录的第三风险值为空或者大于预设阈值,则通知用户进行风险排查,并终止用户操作;对于排查风险后的用户,可重新配置初始风险值为50,例如用户进行非法操作导致风险值大于预设阈值,风险排查后可重新配置初始风险值为50。举例来说,对于以用户A,其为陌生用户,即3天内未登录的用户,其风险基准为0.5,其初始风险值配置为100,风险系数为0,则第一风险值=100+0.5*0=100。
根据所述第一风险值和所述设备信息确定所述用户的第二风险值包括:根据所述设备信息识别设备种类,根据所述设备种类确定所述第二风险基准;根据所述设备信息确定所述用户的设备是否为非法设备,根据所述用户的设备是否为非法设备确定所述第二风险系数;根据所述第一风险值、所述第二风险基准及所述第二风险系数确定所述用户的第二风险值。其中,第二风险值=第一风险值+第二风险系数*第二风基准。
根据所述第二风险值和所述访问资源信息确定所述用户的第三风险值包括:根据所述访问资源信息确定所述用户访问研发环境或非研发环境,根据所述用户访问研发环境或非研发环境确定所述第三风险基准;根据所述访问资源信息确定所述访问资源信息的单位时间内的非法访问次数,根据所述访问资源信息的单位时间内的非法访问次数确定所述第三风险系数;根据所述第二风险值、所述第三风险基准及所述第三风险系数确定所述用户的第三风险值。其中,第三风险值=第二风险值+第三风险系数*第三风基准。
本发明采用上述异常用户识别方法,分别获取身份信息、设备信息,访问资源信息,通过多次对风险值的检测,即第一风险值、第二风险值以及第三风险值,实现了异常用户的快速识别,涵盖了企业网络中用户识别的三个维度,对企业的网络安全进行了补充,提供了安全性。
基于上述方法,本发明还提供了一种异常用户识别系统。以下将结合图4对该系统进行详细描述。
图4示意性示出了根据本发明实施例的异常用户识别系统的结构框图。
如图4所示,该实施例的异常用户识别系统400包括获取模块401、风险值模块402和识别模块403。
获取模块401用于获取用户对应的身份信息、设备信息和访问资源信息。在一实施例中,获取模块401可以用于执行前文描述的操作S201,在此不再赘述。
风险值模块402用于根据所述身份信息、设备信息和访问资源信息确定所述用户的风险值在一实施例中,风险值模块402可以用于执行前文描述的操作S202,在此不再赘述。
识别模块403用于根据所述风险值识别异常用户。在一实施例中,识别模块403可以用于执行前文描述的操作S203,在此不再赘述。
根据本发明的实施例,获取模块401、风险值模块402和识别模块403中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本发明的实施例,获取模块401、风险值模块402和识别模块403中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,获取模块401、风险值模块402和识别模块403中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图5示意性示出了根据本发明实施例的适于实现异常用户识别方法的电子设备的方框图。
如图5所示,根据本发明实施例的电子设备500包括处理器501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。处理器501例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器501还可以包括用于缓存用途的板载存储器。处理器501可以包括用于执行根据本发明实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 503中,存储有电子设备500操作所需的各种程序和数据。处理器501、ROM502以及RAM 503通过总线504彼此相连。处理器501通过执行ROM 502和/或RAM 503中的程序来执行根据本发明实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 502和RAM 503以外的一个或多个存储器中。处理器501也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本发明实施例的方法流程的各种操作。
根据本发明的实施例,电子设备500还可以包括输入/输出(I/O)接口505,输入/输出(I/O)接口505也连接至总线504。电子设备500还可以包括连接至I/O接口505的以下部件中的一项或多项:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本发明实施例的方法。
根据本发明的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本发明的实施例,计算机可读存储介质可以包括上文描述的ROM 502和/或RAM 503和/或ROM 502和RAM 503以外的一个或多个存储器。
本发明的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本发明实施例所提供的异常用户识别方法。
在该计算机程序被处理器501执行时执行本发明实施例的系统/装置中限定的上述功能。根据本发明的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分509被下载和安装,和/或从可拆卸介质511被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被处理器501执行时,执行本发明实施例的系统中限定的上述功能。根据本发明的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本发明的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本发明实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本发明的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本发明中。特别地,在不脱离本发明精神和教导的情况下,本发明的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本发明的范围。
以上对本发明的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本发明的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本发明的范围由所附权利要求及其等同物限定。不脱离本发明的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本发明的范围之内。
Claims (10)
1.一种异常用户识别方法,包括:
获取用户对应的身份信息、设备信息和访问资源信息;
根据所述身份信息、设备信息和访问资源信息确定所述用户的风险值;以及
根据所述风险值识别异常用户。
2.根据权利要求1所述的方法,其中,所述根据所述身份信息、设备信息和访问资源信息确定所述用户的风险值包括:
根据用户的身份信息确定所述用户的第一风险值;
根据所述第一风险值和所述设备信息确定所述用户的第二风险值;
根据所述第二风险值和所述访问资源信息确定所述用户的第三风险值。
3.根据权利要求2所述的方法,其中,所述根据所述风险值识别异常用户包括:
判断所述第一风险值是否大于预设阈值,若是,则将所述用户标记为异常用户;
若否,判断所述第二风险值是否大于预设阈值,若是,则将所述用户标记为异常用户;
若否,判断所述第三风险值是否大于预设阈值,若是,则将所述用户标记为异常用户,若否,则将所述用户标记为正常用户。
4.根据权利要求2所述的方法,其中,所述根据用户的身份信息确定所述用户的第一风险值包括:
配置所述用户的初始风险值;
根据所述身份信息确定所述用户是否为常用用户以确定第一风险基准;
根据所述身份信息确定所述用户是否为非法身份信息以确定第一风险系数;
根据所述初始风险值、所述第一风险基准及所述第一风险系数确定所述用户的第一风险值。
5.根据权利要求2所述的方法,其中,所述根据所述第一风险值和所述设备信息确定所述用户的第二风险值包括:
根据所述设备信息识别设备种类,根据所述设备种类确定所述第二风险基准;
根据所述设备信息确定所述用户的设备是否为非法设备,根据所述用户的设备是否为非法设备确定所述第二风险系数;
根据所述第一风险值、所述第二风险基准及所述第二风险系数确定所述用户的第二风险值。
6.根据权利要求2所述的方法,其中,所述根据所述第二风险值和所述访问资源信息确定所述用户的第三风险值包括:
根据所述访问资源信息确定所述用户访问研发环境或非研发环境,根据所述用户访问研发环境或非研发环境确定所述第三风险基准;
根据所述访问资源信息确定所述访问资源信息的单位时间内的非法访问次数,根据所述访问资源信息的单位时间内的非法访问次数确定所述第三风险系数;
根据所述第二风险值、所述第三风险基准及所述第三风险系数确定所述用户的第三风险值。
7.根据权利要求1所述的方法,其中,所述异常用户识别方法还包括:
获取所述用户的多因子登录信息;
对所述多因子登录信息中的用户ID、用户手机号、系统邮箱以及至少一个的社交帐号进行检测;
若所述用户ID、用户手机号、系统邮箱以及至少一个的社交帐号都通过检测,则所述用户登录成功。
8.一种异常用户识别系统,包括:
获取模块,用于获取用户对应的身份信息、设备信息和访问资源信息;
风险值模块,用于根据所述身份信息、设备信息和访问资源信息确定所述用户的风险值;以及
识别模块,用于根据所述风险值识别异常用户。
9.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111639893.0A CN114285664A (zh) | 2021-12-29 | 2021-12-29 | 异常用户识别方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111639893.0A CN114285664A (zh) | 2021-12-29 | 2021-12-29 | 异常用户识别方法、系统、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114285664A true CN114285664A (zh) | 2022-04-05 |
Family
ID=80877976
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111639893.0A Pending CN114285664A (zh) | 2021-12-29 | 2021-12-29 | 异常用户识别方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285664A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314405A (zh) * | 2022-05-28 | 2022-11-08 | 江苏安几科技有限公司 | 零信任网关用户动态评分方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610616A (zh) * | 2015-12-29 | 2016-05-25 | 赛尔网络有限公司 | 基于icp活跃度的接入网单个ip平均流量统计方法及系统 |
| CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
| CN108092975A (zh) * | 2017-12-07 | 2018-05-29 | 上海携程商务有限公司 | 异常登录的识别方法、系统、存储介质和电子设备 |
| CN109753772A (zh) * | 2018-11-29 | 2019-05-14 | 武汉极意网络科技有限公司 | 一种账户安全验证方法及系统 |
| CN111556059A (zh) * | 2020-04-29 | 2020-08-18 | 深圳壹账通智能科技有限公司 | 异常检测方法、异常检测装置及终端设备 |
| US20200396239A1 (en) * | 2019-06-12 | 2020-12-17 | Paypal, Inc. | Security Risk Evaluation for User Accounts |
-
2021
- 2021-12-29 CN CN202111639893.0A patent/CN114285664A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610616A (zh) * | 2015-12-29 | 2016-05-25 | 赛尔网络有限公司 | 基于icp活跃度的接入网单个ip平均流量统计方法及系统 |
| CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
| CN108092975A (zh) * | 2017-12-07 | 2018-05-29 | 上海携程商务有限公司 | 异常登录的识别方法、系统、存储介质和电子设备 |
| CN109753772A (zh) * | 2018-11-29 | 2019-05-14 | 武汉极意网络科技有限公司 | 一种账户安全验证方法及系统 |
| US20200396239A1 (en) * | 2019-06-12 | 2020-12-17 | Paypal, Inc. | Security Risk Evaluation for User Accounts |
| CN111556059A (zh) * | 2020-04-29 | 2020-08-18 | 深圳壹账通智能科技有限公司 | 异常检测方法、异常检测装置及终端设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314405A (zh) * | 2022-05-28 | 2022-11-08 | 江苏安几科技有限公司 | 零信任网关用户动态评分方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10348759B2 (en) | Threat detection and mitigation through run-time introspection and instrumentation | |
| US10382470B2 (en) | Interacting with a remote server over a network to determine whether to allow data exchange with a resource at the remote server | |
| US9934384B2 (en) | Risk assessment for software applications | |
| US20180121657A1 (en) | Security risk evaluation | |
| CN110581855B (zh) | 应用控制方法、装置、电子设备和计算机可读存储介质 | |
| US11816222B2 (en) | Detecting vulnerabilities in managed client devices | |
| US20180295149A1 (en) | System and method for detecting directed cyber-attacks targeting a particular set of cloud based machines | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| US20220217169A1 (en) | Malware detection at endpoint devices | |
| US11962601B1 (en) | Automatically prioritizing computing resource configurations for remediation | |
| US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
| CN111683047A (zh) | 越权漏洞检测方法、装置、计算机设备及介质 | |
| CN112087469A (zh) | 面向电力物联网设备和用户的零信任动态访问控制方法 | |
| US20230239293A1 (en) | Probe-based risk analysis for multi-factor authentication | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN114268494A (zh) | 安全访问方法、系统、设备及介质 | |
| CN114285664A (zh) | 异常用户识别方法、系统、设备及介质 | |
| US9386019B1 (en) | System and method for controlled access to network devices | |
| US20220215095A1 (en) | Detecting and Preventing Installation and Execution of Malicious Browser Extensions | |
| CN109714371B (zh) | 一种工控网络安全检测系统 | |
| US10708282B2 (en) | Unauthorized data access detection based on cyber security images | |
| EP3721364A1 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
| US20230214533A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| US20230101198A1 (en) | Computer-implemented systems and methods for application identification and authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |