CN114510704B - 风险检测方法、装置、计算设备及计算机存储介质 - Google Patents
风险检测方法、装置、计算设备及计算机存储介质 Download PDFInfo
- Publication number
- CN114510704B CN114510704B CN202210414486.8A CN202210414486A CN114510704B CN 114510704 B CN114510704 B CN 114510704B CN 202210414486 A CN202210414486 A CN 202210414486A CN 114510704 B CN114510704 B CN 114510704B
- Authority
- CN
- China
- Prior art keywords
- risk
- login
- time
- real
- calculating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Abstract
本发明实施例涉及互联网技术领域,公开了一种登录行为的风险检测方法、装置、计算设备及计算机存储介质,该方法包括:获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;计算所述历史登录数据的危险系数的综合平均值;根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值;根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级。通过上述方式,本发明实施例能够实现根据历史登录数据实现对风险权重进行实时调整,提高风险检测的准确性。
Description
技术领域
本发明实施例涉及互联网技术领域,具体涉及一种登录行为的风险检测方法、装置、计算设备及计算机存储介质。
背景技术
随着各类物联网应用越来越广泛。用户使用各类应用时,为了保证用户的安全性,往往需要进行认证登录。而在用户进行认证登录的过程中,会对用户认证登录进行风险检测,判断是否存在异常点。
现有技术中对用户的登录行为进行风险检测时,是通过人为根据以往的经验预先对特定登录系统中的各个风险模型进行风险权重的设置,根据用户登录时触发的风险模型,返回触发的风险模型对应的风险权重。由于不同行业、不同部门的原因,用户的登录行为存在差异化特征,因此,采用人为经验设置的风险权重在实际应用场景中容易出现偏差,风险检测的准确度较低。
发明内容
鉴于上述问题,本发明实施例提供了一种登录行为的风险检测方法、装置、计算设备和计算机存储介质,克服了风险检测的准确度较低的问题。
根据本发明实施例的一个方面,提供了一种登录行为的风险检测方法,所述方法包括:
获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;
获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;
计算所述历史登录数据的危险系数的综合平均值;
根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值;
根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级。
在一种可选的方式中,所述历史登录数据包括登录次数和每次登录触发的各个风险模型的危险系数;所述计算所述历史登录数据的危险系数的综合平均值包括:
将所述预设时长划分成多个时间段;
根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值;
根据所有所述历史平均值计算所述综合平均值。
在一种可选的方式中,所述根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值包括:
获得每个所述时间段的每次登录触发的风险模型及每个风险模型的危险系数;
根据每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值;
如果每个时间段内的各所述第一平均值为第一正态分布,则计算所述第二正态分布的置信区间;
根据位于所述置信区间的所述第一平均值计算每个时间段的历史平均值。
在一种可选的方式中,所述根据每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值包括:
如果历史登录行为触发的所有风险模型的危险系数为第二正态分布,则计算所述所有风险模型的危险系数的下限值,其中,所述历史登录行为是指发生在其中一个所述时间段内的登录行为;
将所述历史登录行为中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述历史登录行为的第一平均值,进而得到每个时间段内的每次登陆的各危险系数的第一平均值。
在一种可选的方式中,所述根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值包括:
如果实时登录行为触发的每个风险模型的危险系数为第三正态分布,则获取计算所有所述风险模型的危险系数的下限值;
将每个所述风险模型中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述实时登录行为的危险系数的实时平均值。
在一种可选的方式中,所述根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级包括:
判断所有所述历史平均值是否为第四正态分布;
若是,则根据所有所述历史平均值和预设的置信参数计算所述第四正态分布的上限值和平均标准误差;
计算所述实时平均值与所述综合平均值的偏离值;
根据所述偏离值与平均标准误差确定所述实时登录行为的风险等级。
在一种可选的方式中,在获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据之前,所述方法还包括:
获取与所述登录系统相关联的每个风险模型预设的危险系数;
根据TF-IDF算法计算每个风险模型的危险系数在所述预设时长内的变化率;
根据所述变化率对所述预设的危险系数进行校正得到每个所述风险模型的危险系数。
根据本发明实施例的另一方面,提供了一种登录行为的风险检测装置,包括:
第一获取单元,用于获取实时登录行为触发的多个风险模型和各个风险模型对应的危险系数;
第二获取单元,用于获取在所述登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;
第一计算单元,用于计算所述历史登录数据的危险系数的综合平均值;
第二计算单元,用于根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值;
确定单元,用于根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级。
根据本发明实施例的另一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上面所述风险检测方法的步骤。
根据本发明实施例的另一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行上面所述风险检测方法的步骤。
本发明实施例通过获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;计算历史登录数据的危险系数的综合平均值;
根据实时登录行为的每个风险模型对应的危险系数计算实时登录行为的危险系数的实时平均值;根据实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级。通过将风险模型的风险权重的设置改成对风险模型的危险系数的设置,且利用同一登录系统下的登录行为的历史登录数据,根据历史登录数据的综合平均值实时平均值进行比较,再实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级,实现对风险权重的实时调整,提高风险检测的准确性。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的风险检测方法的流程示意图;
图2示出了本发明实施例提供的风险检测方法的另一流程示意图;
图3示出了本发明实施例提供的风险检测方法的又一流程示意图;
图4示出了本发明实施例提供的风险检测方法的再一流程示意图;
图5示出了本发明实施例提供的风险检测装置的结构示意图;
图6示出了本发明实施例提供的风险检测装置的另一结构示意图;
图7示出了本发明实施例提供的计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
目前风险检测系统对登录行为进行风险检测前,需要根据专家经验预先设置风险检测系统中包含哪些风险模型以及各风险模型对应的风险权重,其中,风险权重是指当一个用户的登录行为触发风险之后,返回当前用户行为所触发的风险等级,如:“高风险”、“中风险”和“低风险”等。
风险检测系统对登录行为进行风险检测时,首先获取用户登录行为产生的登录行为数据,判断登录行为数据是否满足预先设置的风险模型的触发条件,若登录行为数据满足预测设置的风险模型的触发条件,则根据被触发的风险检测模型的风险权重确定该登录行为的风险情况。如用户的登录行为触发了单个风险模型,则系统直接返回对应风险模型的风险权重进行提示,而当该登录行为触发了多个风险时,系统会直接返回风险权重最高的,比如同时触发了非常用地点检测模型和使用浏览器限制模型,则返回高风险提示,这种风险检测的返回机制过于简单。且该风险检测系统中的风险检测模型的风险权重是预先根据专家经验进行设置的,当同一登录系统用户的操作行为存在差异化区别时,所产生的登录行为是不同的,这种直接通过专家按其经验进行设置的风险权重不能根据实际情况进行调整,进而容易与实际情况出现偏差,检测的准确度低。
基于此,本发明实施例提供一种本发明实施例提供的登录行为的风险检测方法。
图1示出了本发明实施例提供的登录行为的风险检测方法,应用于计算机设备中,该计算机设备可以是计算机、智能手机、台式计算机、平板电脑、电子书阅读器和膝上型便携计算机等设备中的至少一种。本发明实施例提供的登录行为的风险检测方法包括以下步骤:
步骤110:获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数。
在本实施例中,实时登录行为是指用户最近一次发起对某一应用或网页的访问请求,通过相应的登录系统的认证登录界面进行认证登录的行为。通过风险检测系统获取实时登录行为的实时登录行为数据,根据实时登录行为数据确定触发的风险模型和各风险模型的危险系数。
需要说明的是,风险检测系统的风险模型和各风险模型的危险系数是在登录系统对实时登录行为进行认证之前,根据历史经验预先设置的。如,风险检测系统中包括的风险模型有:非常用地点检测模型、使用浏览器限制模型、移动端使用限制模型、使用操作系统限制模型和异常攻击检测模型,其中每个风险模型的危险系数分别为80、30、40、50和100。实时登录行为触发的风险模型是非常用地点检测模型和使用浏览器限制模型,则非常用地点检测模型和使用浏览器限制模型的危险系数分别为80和30。将风险模型的风险权重改成危险系数,使得各个风险模型的风险程度更加地精细化,比如在用风险权重进行设置时,使用浏览器限制模型和移动端使用限制模型的风险权重都是低风险,但移动端使用限制模型的风险程度是要高于使用浏览器限制模型的。因此,将风险权重改成危险系数,更能体现各个风险模型的风险程度。
步骤120:获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据。
在本实施例中,在登录系统使用时间较长远的情况下,如果获取实时登录行为发生之前的所有历史登录数据,则会增加操作的复杂性。优选地,可预先设置获取的历史登录数据的预设时长,通过该预设时长的历史登录数据分析登录趋势,该预设时长是在实时登录行为之前时间时长,如在实时登录行为的前一周、一个月或一个季度的历史登录数据,可根据实际需要设置。且不同的登录系统,使用的用户人群不同,用户的操作行为也不同。获取与实时登录行为相同登录系统的历史登录数据进行分析,对实时登录行为的登录趋势的判断更加准确。
进一步地,登录系统是指login登录和sso登录,其中login登录指的是普通的登录系统,比如登录某一应用,就只能访问该应用内的信息,而不能同时访问其他应用的信息;而sso(Single Sign On)登录为单点登录,是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统;而login登录指的是普通的登录方式。用户在使用单点登录系统时,需要先进行login登录,在login登录通过后,再进行sso登录。因此,sso登录的安全性要求相比较login登录更高,且两种登录存在的风险也有所区别。因此,login登录和sso登录设置的风险模型也会有差别和风险程度不同。如sso登录中的风险模型包括非常用地点检测模型、使用浏览器限制模型、移动端使用限制模型、使用操作系统限制模型和异常攻击检测模型等,对应的危险系数分别为:80、30、40、50和100。而login登录的风险模型则包括非常用手机检测模型、非常用IP检测模型、使用IP限制模型和使用时间限制模型等。对应的危险系数分别为:90、70、40和60。
步骤130:计算历史登录数据的危险系数的综合平均值。
需要说明的是,历史登录数据包括登录次数和每次登录触发的各个风险模型的危险系数。历史登录数据的危险系数的综合平均值是指所有登录次数触发的风险模型的风险系数的总和,除以触发的风险模型的个数;或者是指每次登录触发的各风险模型的风险系数的平均值的总和,除以登录的次数;或者是历史登录数据中其中一部分登录次数所触发的各风险模型的风险系数的平均值的总和,除以该部分登录的次数。
在一具体的实施例中,当历史登录数据的危险系数的综合平均值指每次登录触发的各风险模型的风险系数的平均值的总和,除以登录的次数时,步骤130可以包括:如图2所示,步骤130可以包括:
步骤131:将所述预设时长划分成多个时间段。
在本实施例中,虽然登录系统的用户量及需求不同,使用的频率也会不同,产生的登录数据可能很大,但是同一时间段内,用户登录的操作时间相似,且较为集中,将预设时长分为多个时间段,方便历史登录数据的统计。比如有的系统可能每天登录的次数可能为零,也可能达到上千或上万次,而同一时间段的登录行为可能相差较小,比如同一天,登录该系统的用户的上班时间是早上8点到下午5点,且都是在办公室内办公,使用固定的设备及地点进行登录,则触发风险类型类似。因此,如一个预设时长为一周,将预设时长划分成多个时间段,如预设时长为一周,以一天为一个时间段,则将预设时长划分成七个时间段,根据这七天的登录行为形成一个登录趋势,
步骤132:根据每个时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个时间段的危险系数的历史平均值。
需要说明的是,获取到的历史登录数据不仅包括登录次数和每次登录触发的各个风险模型的危险系数,还包括每次登录触发的时间。将预设时长划分成多个时间段后,历史登录数据也按时间段划分,得到每个时间段内的登录次数以及每次登录触发的每个风险模型的危险系数。如将预设时长按天进行划分,即一天为一个时间段,此时得到的是预设时长内每天每次登录触发的风险模型及每个风险模型的危险系数。
在本实施例中,在计算每个时间段的危险系数的历史平均值时,可根据每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值;根据每个时间段内所有登录次数的第一平均值计算每个时间段的历史平均值。
其中,当每个时间段内的每次登录触发的风险模型为单个时,可直接将次登录触发的风险模型的危险系数作为第一平均值,将每次登录触发的风险模型的危险系数进行累加除以登录的次数得到历史平均值;当每次登录触发的风险模型大于2个时,则需要计算每个时间段内每次登陆的各危险系数的第一平均值,然后再根据所有第一平均值计算历史平均值,如登录行为触发了非常用IP检测模型和移动端使用限制模型这两个风险模型,且两个风险模型的危险系数分别为78和45,则第一平均值为61.5,以此类推,计算得到每次登录触发的危险系数的第一平均值,然后将所有第一平均值进行累加然后除以登录的次数得到历史平均值。
进一步地,为了排除危险系数较低的风险模型对预测结果的干扰,在计算第一平均值时还包括:判断历史登录行为触发的每个风险模型的危险系数是否为第二正态分布,历史登录行为是指发生在其中一个所述时间段内的登录行为,如果历史登录行为为第二正态分布,则计算所有风险模型的危险系数的下限值;将其中危险系数小于下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述历史登录行为的第一平均值,进而得到每个时间段内每次登录的各危险系数的第一平均值。
其中,正态分布(Normal distribution),也称“常态分布”,正态曲线呈钟型,两头低,中间高,左右对称因其曲线呈钟形,因此人们又经常称之为钟形曲线。正态分布的置信区间为:
,其中,
为下限值,
为上限值,
为每次登录触发的风险模型对应的危险系数的第四平均值,
为标准误差,
为标准差,
,
,N为一次登录触发的风险模型的个数,
为置信参数,假设按四分位法,会把一组数据分为4个部分,将概率密度在负方向的25%的值作为下限的临界值,通过查表得到
为0.748,会把(-25%)部分的分值给排除掉。假设一天发生了三次登录行为,三次登录行为分别触发的风险模型及风险模型的危险系数如表1所示:
表1
根据上述表1,三次登录的危险系数均为正态分布,首先根据公式
表2
根据公式
和以及
得到每次登录的危险系数的偏差值
,如表3:
表3
再根据公式
,得到每次登录的危险系数的下限值,如表4所示:
表4
再根据每次登录的危险系数的下限值将每次登录的危险系数小于下限值的风险模型剔除,得到每次登录的危险系数大于下限值的风险模型及危险系数如表5所示:
表5
并将剩下的所有风险模型的危险系数进行计算,得到每次登录的危险系数的第一平均值,结果如表6所述:
表6
其中,通过以上方式,可以得到每个时间段的危险系数的第一平均值。在得到所有时间段的第一平均值之后,将所有第一平均值进行累加,然后除以第一平均值的个数得到历史平均值。
步骤133:根据所有历史平均值计算历史登录数据的综合平均值。
在本实施例中,通过以上方式得到每个时间段的历史平均值之后,将历史平均值进行累加,然后除以历史平均值的个数得到该综合平均值。
在另一具体实施例中,当历史登录数据的综合平均值是指历史登录数据中其中一部分登录次数所触发的各风险模型的风险系数的平均值的总和,除以该部分登录的次数时。如图3所示,步骤130可以包括:
步骤134:将所述预设时长划分成多个时间段。
具体地,步骤134将预设时长划分成多个时间段的方式与步骤131一致,此处不再赘述。
步骤135:根据每个时间段内的每次登陆触发的每个风险模型的危险系数计算每个时间段内每次登陆的各危险系数的第一平均值。
其中,步骤135计算计算每个时间段内每次登陆的各危险系数的第一平均值的过程与步骤132计算每个时间段内每次登陆的各危险系数的第一平均值的实现过程大体一致,此处不再赘述。
需要说明的是,每个时间段内的每次登陆触发的每个风险模型的危险系数为每个时间段的特定时间范围内发生的每次登陆触发的每个风险模型的危险系数。
其中,每个时间段的特定时间范围是指在将预设时间化成多个时间段后,每个时间段内登录行为集中发生的时间范围,如预设时长为1周,时间段为一天,其中一天使用该系统的用户的上班时间是早上8点到下午5点,则登录行为集中发生在早上7点到10点之间,用早上7点到10点之间所发生的登录数据代表一天的登录数据,则特定时间范围为早上7点到10点。
步骤136:判断每个时间段内的各第一平均值是否为第一正态分布;
步骤137:如果每个时间段内的各所述第一平均值为第一正态分布,则计算所述第一正态分布的置信区间;
具体地,计算第一正态分布的置信区间包括:先通过步骤132的计算公式得到各第一平均值的下限值和上下限值,根据下限值和上下限值确定置信区间。
步骤138:根据位于所述置信区间的所述第一平均值计算每个时间段的历史平均值。
在本实施例中,通过以上方式获得每个时间段的所有第一平均值后,将所有位于置信区间的第一平均值进行累加,除以所有第一平均值的数量得到每个时间段的历史平均值。通过将位于该置信区间外的第一平均值剔除;根据位于所述置信区间的所述第一平均值计算每个时间段的历史平均值,排除较小的第一平均值对结果的干扰,而置信区间上的第一平均值代表了该登录系统风险触发的趋势。
步骤139:根据所有历史平均值计算历史登录数据的综合平均值。
在本实施例中,通过以上方式得到每个时间段的历史平均值之后,将所有时间段的历史平均值进行累加,然后除以历史平均值的个数得到该综合平均值。
步骤140:根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值。
在本实施例中,在实时登录行为触发的风险模型为单个时,直接将该风险模型的危险系数作为实时平均值,当触发的风险模型大于两个时,对所有触发的风险模型的危险系数进行计算得到实时平均值,如实时登录行为触发了非常用IP检测和移动端使用限制这两个风险模型,这两个风险模型的危险系数分别为78和45,则实时平均值为61.5。
为了排除危险系数较低的风险模型对预测结果的干扰,在计算实时平均时时还包括:判断实时登录行为触发的每个风险模型的危险系数是否满足第三正态分布,如果满足第三正态分布,则获取计算所有风险模型的危险系数的下限值;将每个所述风险模型中危险系数小于下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算实时登录行为的危险系数的实时平均值。如实时登录触发的风险模型和风险模型的危险系数如表7:
表7
则该实时登录行为的危险系数为正态分布,同样按四分位法,将概率密度在负方向的25%的值作为临界值,置信水平为50计算该组危险系数的下限值,首先根据公式
计算这四个危险系数的第五平均值,并根据公式
和以及
等于0.748得到实时登录行为的危险系数的偏差值
,根据公式
得到实时登录行为的危险系数的下限值为63.04,再根据下限值将每个风险模型中危险系数小于下限值的风险模型剔除,剩下的所有风险模型及危险系数如表8:
表8
并将剩下的所有风险模型的危险系数进行计算实时登录行为的实时平均值为91。
步骤150:根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级。
在本实施例中,需要先判断所有历史平均值是否为第四正态分布,当所有历史平均值为第四正态分布时,偏离程度可以通过标准误差来表示,比如根据所有历史平均值和预设的置信参数计算第四正态分布的上限值和平均误差;计算实时平均值与综合平均值的偏离值;根据偏离值与平均误差确定实时登录行为的风险等级。假设预设时长为7天,且日期为2019年1月1日到2019年1月7日,以天为时间段,该系统的用户都是上白班,且上班的时间为早上8点,则登录行为集中发生在早上7点到10点这段时间,用7点到10点这段时间所发生的登录数据代表一天的登录数据。假设经过以上计算得到每天的历史平均值和标准误差如表9:
表9
则预设时长为七天的综合平均值为= (67.04 + 66.71 + 67.28 + 66.22 +67.05 + 66.53 + 66.55) / 7 = 66.77,标准误差为= (7.44 + 7.64 + 7.62 + 7.45 +7.62 + 7.68 +7.50) / 7 = 7.57,样本的平均误差为(0.748 × 7.57) ,即为5.66。则临界值为(66.77 + 5.66) ,即为 72.43,同时规定如果实时登录行为的实时平均值偏离综合平均值的程度在1个样本平均误差内,定为低风险;实时登录行为的实时平均值偏离综合平均值的程度在2个样本平均误差内,定位中风险;实时登录行为的实时平均值偏离综合平均值的程度在2个样本平均误差外,定为高风险;以步骤140的实时登录行为触发的风险模型和以上实施例得到的综合平均值和样本平均误差为例,实时登录行为的实时平均值为91,综合平均值和样本平均误差分别为66.77和5.66,实时登录行为的实时平均值91偏离综合平均值66.77的程度在2个样本平均误差83.75外,则实时登录行为触发的风险权重为“高”风险,返回风险提示后,做出相应的风险警告。
在一种可选的实施方式中,在获取历史登录数据和实时登录行为的危险系数之前,需要根据风险触发的情况,对专家设置的危险系数进行校正,计算预设时长内每个风险模型实时的危险系数。如图4所示,在所述获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据之前,还包括:
步骤210:获取与登录系统相关联的每个风险模型预设的危险系数;
在本实施例中,在对每个登录系统进行风险检测的设置时,专家会根据经验对每个登录系统下的各个风险模型进行危险系数的设置,比如上面实施例中根据历史经验的设置sso登录和login登录的风险模型及危险系数。
步骤220:根据TF-IDF算法计算每个风险模型的危险系数在所述预设时长内的变化率。
在本实施例中,在根据TF-IDF算法计算每个风险模型的危险系数在预设时长内的变化率时,先计算TF-IDF算法预设时长内每个风险模型的危险系数每天的TF-IDF值,再根据每个风险模型的危险系数每天的TF-IDF值计算每个风险模型的危险系数每天的变化率。
其中,TF-IDF算法用于衡量一个风险模型在一个登录系统中的重要程度,它由TF部分和IDF部分组成,分别代表频次和稀缺程度,其中TF-IDF的计算公式为:
其中,P表示预设时长,R表示被触发的风险模型,TF(P,R)表示R风险模型被触发的次数在预设时长P内占所有风险模型被触发的总次数比例;IDF(S,R)表示风险模型R在同一登录系统S下的全部风险中的稀缺程度,即这个风险模型R在登录系统S中被关联了,并且在越短的时间内发生了含有该风险模型的风险触发事件,这就代表登录系统S目前所在的风险环境与该风险模型R之间的关系更加紧密。
其中,
;w(P,R)表示P预设时长内,R这个模型被触发的次数;Σw(P,Ri) 表示预设时长P内,所有风险模型Ri被触发的总次数。
其中,
;假设计算的是预设时长内每个风险模型的危险系数每天的变化率,其中Σw(S,Ri)标识登录系统S中所有风险模型Ri被关联的天数之和,(w(S,R)表示登录系统S中风险模型R被关联的天数。
比如,登录系统S为sso登录,专家设置的风险模型和风险系数前面实施例所述,以风险模型R为非常用登录检测模型为例,假设预设时长P为7天,在这个预设时长内风险模型非常用地点检测模型、使用浏览器限制模型、移动端使用规则模型、使用操作系统限制模型和异常攻击检测模型被触发的次数分别是4、20、9、0、16和 1,被关联的天数分别为12、16、9、6、7和1,则非常用地点检测模型R的TF(7,非常用地点检测) = (4+1) / ( 4 + 20 + 9 +0 + 16 + 1) = 0.10、IDF(sso,非常用地点检测) = log ( ( 12 + 16 + 9 + 6 + 7 +1)/ ( 12 + 1 ) ) = 1.37,则计算得到非常用地点检测模型R的TF-IDF值为1.37。
进一步地,每个风险模型的危险系数每天的变化率的计算公式为:((( 当前日期的TF-IDF值)-(上个日期的TF-IDF值))/(上个日期的TF-IDF值))*100% ,比如非常用地点检测模型12月31日到1月4日的TF-IDF值分别为1.00、1、04、1.06、1.13和1.02,则1月1日的变化率:((1.04 - 1.00) / 1.00 )× 100.00% = 3.57%,以此得到1月1日-1月4日的变化率分别为:2.51%、6.05%和(-9.03%)。
步骤230:根据所述变化率对预设的危险系数进行校正得到每个风险模型的危险系数。
在本实施例中,在对预设的危险系数进行校正时,将当天的变化率与当天预设的危险系数进行相加,得到每个风险模型的危险系数。以步骤230得到的非常用地点检测风险模型1月1日-1月4日的变化率为例,假设非常用地点检测风险模型1月1日预设的危险系数为80,则非常用地点检测风险模型经过校正后1月1日-1月4日的危险系数分别为83.57、82.51、86.05和70.97,同理,可以对其他风险模型的危险进行校正,得到校正后相应的风险系数,在此不再赘述。
本发明实施例通过获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;获取在登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;计算历史登录数据的危险系数的综合平均值;根据实时登录行为的每个风险模型对应的危险系数计算实时登录行为的危险系数的实时平均值;根据实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级。通过将风险模型的风险权重的设置改成对风险模型的危险系数的设置,且利用同一登录系统下的登录行为的历史登录数据,根据历史登录数据的综合平均值实时平均值进行比较,再实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级,实现对风险权重的实时调整,提高风险检测的准确性。
图5示出了本发明实施例提供的登录行为的风险检测装置的结构示意图。如图5所示,该风险检测装置300包括:第一获取单元310、第二获取单元320和第一计算单元330、第二计算单元340和确定单元350。
其中,所述第一获取单元310,用于获取实时登录行为触发的至少一个个风险模型和各个风险模型对应的危险系数;
第二获取单元320,用于获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;
第一计算单元330,用于计算所述历史登录数据的危险系数的综合平均值;
第二计算单元340,用于根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值;
确定单元350,用于根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级。
在一种可选的方式中,当所述第二获取单元320获取到的历史登录数据包括登录次数和每次登录触发的各个风险模型的危险系数时,所述第一计算单元330还用于:将所述预设时长划分成多个时间段;根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值;根据所有所述时间段的所述历史平均值计算所述综合平均值。
其中,所述根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值包括:获得每个所述时间段的每次登录触发的风险模型及每个风险模型的危险系数;根据所述每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值;如果每个时间段内的各所述第一平均值为第一正态分布,则计算所述第一正态分布的置信区间;根据位于所述置信区间的所述第一平均值计算每个时间段的历史平均值。其中所述根据所述每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值包括:如果历史登录行为触发的所有风险模型的危险系数为第二正态分布,则计算所述所有风险模型的危险系数的下限值,其中,所述历史登录行为是指发生在其中一个所述时间段内的登录行为;将所述历史登录行为中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述历史登录行为的第一平均值,进而得到每个时间段内的每次登陆的各危险系数的第一平均值。
在一种可选的方式中,第二计算单元340还用于:如果实时登录行为触发的每个风险模型的危险系数为第三正态分布,则获取计算所有所述风险模型的危险系数的下限值;将每个所述风险模型中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述实时登录行为的危险系数的实时平均值。
在一种可选的方式中,所述确定单元350还用于:判断所有所述时间段的所述历史平均值是否为第四正态分布;如果是,则根据所有所述历史平均值和预设的置信参数计算所述第一正态分布的上限值和平均标准误差;计算所述实时平均值与所述综合平均值的偏离值;根据所述偏离值与平均标准误差确定所述实时登录行为的风险等级。
在一种可选的方式中,如图6所示,所述装置还包括校正单元360,所述校正单元用于:获取与所述登录系统相关联的每个风险模型预设的危险系数;根据TF-IDF算法计算每个风险模型的危险系数在所述预设时长内的变化率;根据所述变化率对所述预设的危险系数进行校正得到每个所述风险模型的危险系数。
本发明实施例通过获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;获取在登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;计算历史登录数据的危险系数的综合平均值;根据实时登录行为的每个风险模型对应的危险系数计算实时登录行为的危险系数的实时平均值;根据实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级。通过将风险模型的风险权重的设置改成对风险模型的危险系数的设置,且利用同一登录系统下的登录行为的历史登录数据,根据历史登录数据的综合平均值实时平均值进行比较,再实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级,实现对风险权重的实时调整,提高风险检测的准确性。
图7示出了本发明实施例提供的计算设备的结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图7所示,该计算设备可以包括:处理器(processor)502、通信接口(Communications Interface)504、存储器(memory)506、以及通信总线508。
其中:处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。通信接口504,用于与其它设备比如客户端或其它服务器等的网元通信。处理器502,用于执行程序510,具体可以执行上述用于风险检测方法实施例中的相关步骤。
具体地,程序510可以包括程序代码,该程序代码包括计算机可执行指令。
处理器502可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器506,用于存放程序510。存储器506可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序510具体可以被处理器502调用使计算设备执行以下操作:
获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;
获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统系统的历史登录数据;
计算所述历史登录数据的危险系数的综合平均值;
根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值;
根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级。
在一种可选的方式中,所述历史登录数据包括登录次数和每次登录触发的各个风险模型的危险系数,所述计算所述历史登录数据的危险系数的综合平均值包括:将所述预设时长划分成多个时间段;根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值;根据所有所述时间段的所述历史平均值计算所述综合平均值。
其中,所述根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值包括:获得每个所述时间段的每次登录触发的风险模型及每个风险模型的危险系数;根据所述每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值;如果每个时间段内的各所述第一平均值为第一正态分布,则计算所述第一正态分布的置信区间;根据位于所述置信区间的所述第一平均值计算每个时间段的历史平均值。
其中,所述根据所述每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值包括:
如果历史登录行为触发的所有风险模型的危险系数为第二正态分布,则计算所述所有风险模型的危险系数的下限值,其中,所述历史登录行为是指发生在其中一个所述时间段内的登录行为;
将所述历史登录行为中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述历史登录行为的第一平均值,进而得到每个时间段内的每次登陆的各危险系数的第一平均值。
在一种可选的方式中,所述根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值包括:如果实时登录行为触发的每个风险模型的危险系数为第三正态分布,则获取计算所有所述风险模型的危险系数的下限值;将每个所述风险模型中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述实时登录行为的危险系数的实时平均值。
在一种可选的方式中,所述根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级包括:判断所有所述时间段的所述历史平均值是否为第四正态分布;如果是,则根据所有所述历史平均值和预设的置信参数计算所述第一正态分布的上限值和平均标准误差;计算所述实时平均值与所述综合平均值的偏离值;根据所述偏离值与平均标准误差确定所述实时登录行为的风险等级。
在一种可选的方式中,程序510具体可以被处理器502调用使计算机设备执行获取在所述登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据的操作之前还执行以下操作:
获取与所述登录系统相关联的每个风险模型预设的危险系数;
根据TF-IDF算法计算每个风险模型的危险系数在所述预设时长内的变化率;
根据所述变化率对所述预设的危险系数进行校正得到每个所述风险模型的危险系数。
本发明实施例通过获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;获取在登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;计算历史登录数据的危险系数的综合平均值;根据实时登录行为的每个风险模型对应的危险系数计算实时登录行为的危险系数的实时平均值;根据实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级。通过将风险模型的风险权重的设置改成对风险模型的危险系数的设置,且利用同一登录系统下的登录行为的历史登录数据,根据历史登录数据的综合平均值实时平均值进行比较,再实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级,实现对风险权重的实时调整,提高风险检测的准确性。
本发明实施例提供了一种计算机可读存储介质,所述存储介质存储有至少一可执行指令,该可执行指令在计算机设备上运行时,使得所述计算机设备执行上述任意方法实施例中的登录行为的风险检测方法。
可执行指令具体可以用于使得计算机设备执行以下操作:
获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;
获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;
计算所述历史登录数据的危险系数的综合平均值;
根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值;
根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级。
在一种可选的方式中,当所述历史登录数据包括登录次数和每次登录触发的各个风险模型的危险系数时,计算所述历史登录数据的危险系数的综合平均值具体包括:将所述预设时长划分成多个时间段;根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值;根据所有所述时间段的所述历史平均值计算所述综合平均值。
其中,所述根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值包括:获得每个所述时间段的每次登录触发的风险模型及每个风险模型的危险系数;根据所述每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值;如果每个时间段内的各所述第一平均值为第一正态分布,则计算所述第一正态分布的置信区间;根据位于所述置信区间的所述第一平均值计算每个时间段的历史平均值。
其中,所述根据所述每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值包括:
如果历史登录行为触发的所有风险模型的危险系数为第二正态分布,则计算所述所有风险模型的危险系数的下限值,其中,所述历史登录行为是指发生在其中一个所述时间段内的登录行为;
将所述历史登录行为中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述历史登录行为的第一平均值,进而得到每个时间段内的每次登陆的各危险系数的第一平均值。
在一种可选的方式中,所述根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值包括:如果实时登录行为触发的每个风险模型的危险系数为第三正态分布,则获取计算所有所述风险模型的危险系数的下限值;将每个所述风险模型中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述实时登录行为的危险系数的实时平均值。
在一种可选的方式中,所述根据所述实时平均值与所述综合平均值的偏离程度确定所述实时登录行为的风险等级包括:判断所有所述时间段的所述历史平均值是否为第四正态分布;如果是,则根据所有所述历史平均值和预设的置信参数计算所述第一正态分布的上限值和平均标准误差;计算所述实时平均值与所述综合平均值的偏离值;根据所述偏离值与平均标准误差确定所述实时登录行为的风险等级。
在一种可选的方式中,可执行指令具体可以用于使得计算机设备执行所述获取在所述登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据的操作之前还执行以下操作:
获取与所述登录系统相关联的每个风险模型预设的危险系数;
根据TF-IDF算法计算每个风险模型的危险系数在所述预设时长内的变化率;
根据所述变化率对所述预设的危险系数进行校正得到每个所述风险模型的危险系数。
本发明实施例通过获取实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;获取在登录行为之前预设的预设时长内与所述登录行为相同登录系统的历史登录数据;计算历史登录数据的危险系数的综合平均值;根据实时登录行为的每个风险模型对应的危险系数计算实时登录行为的危险系数的实时平均值;根据实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级。通过将风险模型的风险权重的设置改成对风险模型的危险系数的设置,且利用同一登录系统下的登录行为的历史登录数据,根据历史登录数据的综合平均值实时平均值进行比较,再实时平均值与综合平均值的偏离程度确定实时登录行为的风险等级,实现对风险权重的实时调整,提高风险检测的准确性。
本发明实施例提供了一种计算机程序,所述计算机程序可被处理器调用使计算机设备执行上述任意方法实施例中的登录行为的风险检测方法。
本发明实施例提供了一种计算机程序产品,计算机程序产品包括存储在计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令在计算机上运行时,使得所述计算机执行上述任意方法实施例中的登录行为的风险检测方法。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (7)
1.一种登录行为的风险检测方法,其特征在于,包括:
获取与实时登录行为相同登录系统中的每个风险模型预设的危险系数;
根据TF-IDF算法计算每个风险模型预设的危险系数在所述实时登录行为之前预设时长内的变化率;
根据所述变化率对所述预设的危险系数进行校正得到每个所述风险模型的危险系数;
获取所述实时登录行为触发的至少一个风险模型和每个风险模型对应的危险系数;
获取在所述实时登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据,其中,所述历史登录数据包括登录次数和每次登录触发的各个风险模型的危险系数;
将所述预设时长划分成多个时间段;
根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值;
根据所有所述历史平均值计算综合平均值;
根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值;
判断所有所述历史平均值是否为第四正态分布;
若是,则根据所有所述历史平均值和预设的置信参数计算所述第四正态分布的上限值和平均标准误差;
计算所述实时平均值与所述综合平均值的偏离值;
根据所述偏离值与平均标准误差确定所述实时登录行为的风险等级;其中,所述风险等级包括低风险、中风险和高风险中的一种。
2.根据权利要求1所述的方法,其特征在于,所述根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值包括:
根据每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值;
如果每个时间段内的各所述第一平均值为第一正态分布,则计算所述第一正态分布的置信区间;
根据位于所述置信区间的所述第一平均值计算每个时间段的历史平均值。
3.根据权利要求2所述的方法,其特征在于,所述根据每个时间段内的每次登陆触发的每个风险模型的危险系数进行计算每个时间段内每次登陆的各危险系数的第一平均值包括:
如果历史登录行为触发的所有风险模型的危险系数为第二正态分布,则计算所述所有风险模型的危险系数的下限值,其中,所述历史登录行为是指发生在其中一个所述时间段内的登录行为;
将所述历史登录行为中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述历史登录行为的第一平均值,进而得到每个时间段内的每次登陆的各危险系数的第一平均值。
4.根据权利要求1所述的方法,其特征在于,所述根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值包括:
如果实时登录行为触发的每个风险模型的危险系数为第三正态分布,则获取计算所有所述风险模型的危险系数的下限值;
将每个所述风险模型中危险系数小于所述下限值的风险模型剔除,并将剩下的所有风险模型的危险系数进行计算所述实时登录行为的危险系数的实时平均值。
5.一种登录行为的风险检测装置,其特征在于,包括:
校正单元,用于获取与实时登录行为相同登录系统中的每个风险模型预设的危险系数;根据TF-IDF算法计算每个风险模型预设的危险系数在所述实时登录行为之前预设时长内的变化率;根据所述变化率对所述预设的危险系数进行校正得到每个所述风险模型的危险系数;
第一获取单元,用于获取所述实时登录行为触发的多个风险模型和各个风险模型对应的危险系数;
第二获取单元,用于获取在所述登录行为之前预设时长内与所述登录行为相同登录系统的历史登录数据;其中,所述历史登录数据包括登录次数和每次登录触发的各个风险模型的危险系数;
第一计算单元,用于将所述预设时长划分成多个时间段;根据每个所述时间段内的登录次数以及每次登录触发的每个风险模型的危险系数计算每个所述时间段的危险系数的历史平均值;根据所有所述历史平均值计算综合平均值;
第二计算单元,用于根据所述实时登录行为的每个风险模型对应的危险系数计算所述实时登录行为的危险系数的实时平均值;
确定单元,用于判断所有所述历史平均值是否为第四正态分布;若是,则根据所有所述历史平均值和预设的置信参数计算所述第四正态分布的上限值和平均标准误差;计算所述实时平均值与所述综合平均值的偏离值;根据所述偏离值与平均标准误差确定所述实时登录行为的风险等级;其中,所述风险等级包括低风险、中风险和高风险中的一种。
6.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行根据权利要求1-4任一项所述风险检测方法的步骤。
7.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行根据权利要求1-4任一项所述风险检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210414486.8A CN114510704B (zh) | 2022-04-20 | 2022-04-20 | 风险检测方法、装置、计算设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210414486.8A CN114510704B (zh) | 2022-04-20 | 2022-04-20 | 风险检测方法、装置、计算设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114510704A CN114510704A (zh) | 2022-05-17 |
| CN114510704B true CN114510704B (zh) | 2022-08-16 |
Family
ID=81555292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210414486.8A Active CN114510704B (zh) | 2022-04-20 | 2022-04-20 | 风险检测方法、装置、计算设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114510704B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471819A (zh) * | 2014-08-19 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 账号异常检测方法及装置 |
| CN107992744A (zh) * | 2016-10-26 | 2018-05-04 | 珠海市魅族科技有限公司 | 登陆行为的风险识别方法和装置 |
| CN109151518A (zh) * | 2018-08-06 | 2019-01-04 | 武汉斗鱼网络科技有限公司 | 一种被盗账号的识别方法、装置及电子设备 |
| CN111552933A (zh) * | 2020-03-30 | 2020-08-18 | 西安交大捷普网络科技有限公司 | 一种账号异常登录的识别方法与装置 |
| CN113497807A (zh) * | 2021-07-09 | 2021-10-12 | 深圳竹云科技有限公司 | 检测用户登录风险的方法、装置及计算机可读存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108924118B (zh) * | 2018-06-27 | 2021-07-02 | 亚信科技(成都)有限公司 | 一种撞库行为检测方法及系统 |
| CN111083165B (zh) * | 2019-12-31 | 2022-03-29 | 支付宝(杭州)信息技术有限公司 | 基于联合防撞库平台的登录拦截方法和系统 |
-
2022
- 2022-04-20 CN CN202210414486.8A patent/CN114510704B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471819A (zh) * | 2014-08-19 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 账号异常检测方法及装置 |
| CN107992744A (zh) * | 2016-10-26 | 2018-05-04 | 珠海市魅族科技有限公司 | 登陆行为的风险识别方法和装置 |
| CN109151518A (zh) * | 2018-08-06 | 2019-01-04 | 武汉斗鱼网络科技有限公司 | 一种被盗账号的识别方法、装置及电子设备 |
| CN111552933A (zh) * | 2020-03-30 | 2020-08-18 | 西安交大捷普网络科技有限公司 | 一种账号异常登录的识别方法与装置 |
| CN113497807A (zh) * | 2021-07-09 | 2021-10-12 | 深圳竹云科技有限公司 | 检测用户登录风险的方法、装置及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114510704A (zh) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7497374B2 (en) | Fraud risk advisor | |
| Meinshausen et al. | Monte Carlo methods for the valuation of multiple‐exercise options | |
| CN113282960B (zh) | 一种基于联邦学习的隐私计算方法、装置、系统及设备 | |
| US11042880B1 (en) | Authenticating users in the presence of small transaction volumes | |
| US9967275B1 (en) | Efficient detection of network anomalies | |
| WO2018130201A1 (zh) | 确定关联账号的方法、服务器及存储介质 | |
| US9124570B1 (en) | Providing an assessment of authentication requests | |
| CN104348624B (zh) | 一种哈希认证可信度的方法和装置 | |
| CN111400755A (zh) | 一种基于指数机制的个性化差分隐私保护方法及系统 | |
| US11563654B2 (en) | Detection device and detection method | |
| US10853359B1 (en) | Data log stream processing using probabilistic data structures | |
| CN109213651A (zh) | 一种对象监控方法及装置、电子设备 | |
| CN114510704B (zh) | 风险检测方法、装置、计算设备及计算机存储介质 | |
| CN108985755B (zh) | 一种账号状态识别方法、装置及服务器 | |
| CN112148880A (zh) | 一种客服对话语料聚类方法、系统、设备及存储介质 | |
| CN112182520B (zh) | 非法账号的识别方法、装置、可读介质及电子设备 | |
| CN111783883A (zh) | 一种异常数据的检测方法及装置 | |
| WO2020000768A1 (zh) | 房产估价方法、装置、计算机设备及计算机可读存储介质 | |
| US10693855B1 (en) | Fraud detection | |
| CN112116405B (zh) | 数据处理方法、装置、电子设备及介质 | |
| CN111865941A (zh) | 一种异常行为识别方法和装置 | |
| CN113052509A (zh) | 模型评估方法、模型评估装置、电子设备和存储介质 | |
| US20230419221A1 (en) | Simulating models of relative risk forecasting in a network system | |
| US20220351098A1 (en) | Determining relative risk in a network system | |
| CN113268772A (zh) | 基于差分隐私的联合学习安全聚合方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 518000 4001, Block D, Building 1, Chuangzhi Yuncheng Lot 1, Liuxian Avenue, Xili Community, Xili Street, Nanshan District, Shenzhen, Guangdong Patentee after: Shenzhen Zhuyun Technology Co.,Ltd. Address before: 518000 East, 3rd floor, incubation building, China Academy of science and technology, 009 Gaoxin South 1st Road, Nanshan District, Shenzhen City, Guangdong Province Patentee before: Shenzhen Zhuyun Technology Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |