CN114978969A - 一种基于用户行为的自适应监控调整方法和系统 - Google Patents
一种基于用户行为的自适应监控调整方法和系统 Download PDFInfo
- Publication number
- CN114978969A CN114978969A CN202210563326.XA CN202210563326A CN114978969A CN 114978969 A CN114978969 A CN 114978969A CN 202210563326 A CN202210563326 A CN 202210563326A CN 114978969 A CN114978969 A CN 114978969A
- Authority
- CN
- China
- Prior art keywords
- threshold
- user behavior
- window
- value
- threshold value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于用户行为的自适应监控调整方法和系统,涉及计算机技术领域。该方法包括:根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值,结合所述当前阈值对用户行为在第一时间窗的请求次数进行判断,当所述请求次数大于所述当前阈值,则停止衰减处理;当所述请求次数在预设时间内超过所述当前阈值,则将执行所述用户行为的用户进行拦截,可以有效的对高危用户进行提前拦截,同时避免误杀,并能快速应用到相关领域。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于用户行为的自适应监控调整方法和系统。
背景技术
随着互联网业务的迅速发展,各个平台推出的新玩法与运营活动极大地丰富了人们的社交方式,然而这也同时给背后的黑色产业链创造了机会,通过批量的注册、刷赞、刷关注、领券等等事件获利,不仅会影响用户的体验,有时还会给平台造成了巨大的损失。
目前主流的算法是通过不同的接入事件(如登录、注册、抢红包等)的不同时间窗口(如10s、1min、5min等)设计不同的固定阈值,或者采用动态阈值(阈值取到整体数据分布的某个分位点)进行请求拦截。随着黑产技术手段的不断提高,基于时间窗口的固定阈值极易被嗅探从而绕过频度策略,而大窗口阈值较大,通常在达到阈值前黑产已经获利。
发明内容
本发明所要解决的技术问题是针对现有技术的不足,提供一种基于用户行为的自适应监控调整方法和系统。
本发明解决上述技术问题的技术方案如下:
一种基于用户行为的自适应监控调整方法,包括:
根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值;
结合所述当前阈值对用户行为在第一时间窗的请求次数进行判断;
当所述请求次数大于所述当前阈值,则停止衰减处理;
当所述请求次数在预设时间内超过所述当前阈值,则将执行所述用户行为的用户进行拦截。
本发明的有益效果是:本方案通过根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值,当所述请求次数在预设时间内超过所述当前阈值,则将执行所述用户行为的用户进行拦截,可以有效的对高危用户进行提前拦截,同时避免误杀,并能快速应用到相关领域。
进一步地,还包括:当所述请求次数在预设时间内没有超过所述当前阈值,则将所述当前阈值恢复到初始阈值。
采用上述进一步方案的有益效果是:通过当所述请求次数在预设时间内没有超过所述当前阈值,则将所述当前阈值恢复到初始阈值,可以在危险用户拦截的同时正常用户被避免误杀。
进一步地,还包括:
设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值;其中,0<i<第一时间窗的时间值;
根据所述第一窗口阈值和所述第二窗口阈值对所述用户行为进行处置,获得处置结果;
根据所述处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值;
对i在不同值的权重值进行累加;
根据累加后的权重值计算阈值衰减值。
采用上述进一步方案的有益效果是:本方案通过设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值,每个时间窗口设计两个阈值,小阈值设计的足够小以标记危险动作但不进行拦截避免误杀,大阈值设计的足够大并进行拦截使其高命中高危用户。
根据所述第一窗口阈值和所述第二窗口阈值对所述用户行为进行处置,获得处置结果;根据所述处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值,各个时间窗口发生联动关系,受异常数据分布的影响极小,同时兼具通用性与灵活性,业务方可以根据具体的业务事件对权重或阈值进行灵活调整。
进一步地,还包括:
根据用户行为的类型、用户行为持续时间和扩充系数获得所述用户行为的初始阈值。
进一步地,所述根据所述第一窗口阈值和所述第二窗口阈值对所述用户行为进行处置,获得处置结果具体包括:
根据第一窗口阈值对所述用户行为进行危险标记;
根据第二窗口阈值对所述用户行为进行拦截和危险标记;
所述标记和所述拦截为所述处置结果。
采用上述进一步方案的有益效果是:本方案根据所述处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值,基于单用户在执行动作过程中的危险等级赋予不同的权重,小窗口阈值负责标识危险等级,同时根据权重不同对大窗口阈值进行动态衰减,这样做即使绕过小窗口阈值,因为被标记会使得大窗口阈值急剧衰减,完成对高危请求的提前拦截。
本发明解决上述技术问题的另一种技术方案如下:
一种基于用户行为的自适应监控调整系统,包括:阈值衰减模块、判断模块、衰减控制模块和拦截模块;
所述阈值衰减模块用于根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值;
所述判断模块用于结合所述当前阈值对用户行为在第一时间窗的请求次数进行判断;
所述衰减控制模块用于当所述请求次数大于所述当前阈值,则停止衰减处理;
所述拦截模块用于当所述请求次数在预设时间内超过所述当前阈值,则将执行所述用户行为的用户进行拦截。
本发明的有益效果是:本方案通过根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值,当所述请求次数在预设时间内超过所述当前阈值,则将执行所述用户行为的用户进行拦截,可以有效的对高危用户进行提前拦截,同时避免误杀,并能快速应用到相关领域。
进一步地,还包括:恢复调整模块,用于当所述请求次数在预设时间内没有超过所述当前阈值,则将所述当前阈值恢复到初始阈值。
采用上述进一步方案的有益效果是:通过当所述请求次数在预设时间内没有超过所述当前阈值,则将所述当前阈值恢复到初始阈值,可以在危险用户拦截的同时正常用户被避免误杀。
进一步地,还包括:阈值衰减值计算模块,用于设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值;其中,0<i<第一时间窗的时间值;
根据所述第一窗口阈值和所述第二窗口阈值对所述用户行为进行处置,获得处置结果;
根据所述处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值;
对i在不同值的权重值进行累加;
根据累加后的权重值计算阈值衰减值。
采用上述进一步方案的有益效果是:本方案通过设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值,每个时间窗口设计两个阈值,小阈值设计的足够小以标记危险动作但不进行拦截避免误杀,大阈值设计的足够大并进行拦截使其高命中高危用户。
根据所述第一窗口阈值和所述第二窗口阈值对所述用户行为进行处置,获得处置结果;根据所述处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值,各个时间窗口发生联动关系,受异常数据分布的影响极小,同时兼具通用性与灵活性,业务方可以根据具体的业务事件对权重或阈值进行灵活调整。
进一步地,还包括:初始阈值获取模块,用于根据用户行为的类型、用户行为持续时间和扩充系数获得所述用户行为的初始阈值。
进一步地,所述阈值衰减值计算模块具体用于根据第一窗口阈值对所述用户行为进行危险标记;
根据第二窗口阈值对所述用户行为进行拦截和危险标记;
所述标记和所述拦截为所述处置结果。
采用上述进一步方案的有益效果是:本方案根据所述处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值,基于单用户在执行动作过程中的危险等级赋予不同的权重,小窗口阈值负责标识危险等级,同时根据权重不同对大窗口阈值进行动态衰减,这样做即使绕过小窗口阈值,因为被标记会使得大窗口阈值急剧衰减,完成对高危请求的提前拦截。
本发明附加的方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明实践了解到。
附图说明
图1为本发明的实施例提供的一种基于用户行为的自适应监控调整方法的流程示意图;
图2为本发明的实施例提供的一种基于用户行为的自适应监控调整系统的结构框图;
图3为本发明的其他实施例提供的基于用户行为的适应频度策略配置的流程示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实施例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,为本发明实施例提供的一种基于用户行为的自适应监控调整方法,包括:
S1,根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值;其中,可以根据业务事件的不同选取相应的初始阈值,值得注意的是初始阈值的选取要考虑正常用户的持续动作极限。需要说明的是,根据用户所触及不同阈值的的次数,乘上对应权重,在1d窗口的初始阈值基础上衰减。
在某一实施例中,计算阈值衰减值的过程可以包括:设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值;其中,0<i<第一时间窗的时间值,i为正整数;在另一实施例中,设置时间窗口可以包括:
如图3所示,设计基于4种时间窗口(10s、5min、1h、1d)的固定阈值策略,首先,对于前三种时间窗口,每种时间窗口有两个大小不同的阈值,用于标识在相同时间窗口下用户行为的危险程度,小阈值只标记危险性不拦截,大阈值直接进行拦截并标记危险性。显然,触及大阈值的用户会比触及小阈值的用户更加危险。触及小阈值的用户可能是正常用户也可能是黑产在持续的绕过高阈值策略。触及大时间窗口阈值的用户证明在某段较长时间内持续进行危险动作,其危险性要比触及小时间窗口的用户更加危险。根据危险程度的划分,赋予不同的权重,危险程度越高,其权重越大。权重的选取根据危险性与业务数据分布进行。
根据第一窗口阈值和第二窗口阈值对用户行为进行处置,获得处置结果;根据处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值;对i在不同值的权重值进行累加;根据累加后的权重值计算阈值衰减值。
S2,结合当前阈值对用户行为在第一时间窗的请求次数进行判断;其中,第一时间窗可以为一天内。
S3,当请求次数大于当前阈值,则停止衰减处理;
S4,当请求次数在预设时间内超过当前阈值,则将执行用户行为的用户进行拦截。需要说明的是,在某一实施例中,当目前1d的阈值已经小于当前用户在1d内(可以是当条流水时间向前推算24小时)的流水次数开始进行拦截并且运算停止
本方案通过根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值,当请求次数在预设时间内超过当前阈值,则将执行用户行为的用户进行拦截,可以有效的对高危用户进行提前拦截,同时避免误杀,并能快速应用到相关领域。
优选地,在上述任意实施例中,还包括:当请求次数在预设时间内没有超过当前阈值,则将当前阈值恢复到初始阈值。需要说明的是,在某一实施例中,检测到一段时间内用户没有危险动作也就是没有打中频度策略后,针对该用户的1d的阈值会逐步恢复到初始值水平。
通过当请求次数在预设时间内没有超过当前阈值,则将当前阈值恢复到初始阈值,可以在危险用户拦截的同时正常用户被避免误杀。
优选地,在上述任意实施例中,还包括:
设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值;其中,0<i<第一时间窗的时间值;其中,第一窗口阈值为小阈值,第二窗口阈值为大阈值。
根据第一窗口阈值和第二窗口阈值对用户行为进行处置,获得处置结果;
根据处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值;
对i在不同值的权重值进行累加;
根据累加后的权重值计算阈值衰减值。
在某一实施例中,设置第i时间窗可以包括:设置4种时间窗,实际的时间窗口可以根据业务实现与黑产模式灵活调整,例如本方案可以选用10s(10秒)、5min(5分钟)、1h(1小时)、1d(1天)。以时间窗口10s为例解释为当前流水发生的时间向前推10s,再由变量计算这10s内某个事件发生的次数的固定阈值策略。
在第i时间窗中设置第一窗口阈值和第二窗口阈值的方法可以包括:首先对于10s的小窗口阈值,阈值的选取综合考虑事件性质、正常人的发生频次、极限频次来取值,例如抢红包、点赞、关注、等事件,正常人可以进行持续高频的点击,那么小窗口阈值的选取就相对较高,比如10s发生5次。大窗口阈值为了抓住机器操作或者脚本点击可以向高选取,比如10s发生30次。另外,对于做任务、评论、发帖等事件需要一定时间间隔才能完成动作的事件,小窗口阈值可以定的较小比如10s发生2次,大窗口阈值为10s发生8次)。以点赞事件为例F_10s_s=5(策略1),F_10s_b=30(策略2)分别表示为小阈值、大阈值。以后大时间窗口的阈值一般基于小时间窗口阈值选取。
其次,对于5min时间窗口的取值,小阈值考虑正常人5min中内给予1min的持续高频次点击,基于10s的阈值取值为F_5min_s=(5×60/10×F_10s_s)×1/5=30(策略3),解释为正常情况下5分钟内只有一分钟在可疑操作,赋予较低阈值。还应考虑异常频度数值(持续的高频次点击疑似机器操作)并做拒绝处理。F_5min_b=(5×60/10×F_10s_s)×4/5=120(策略4)。
最后,对于1h时间窗口的取值,小阈值考虑正常人1h中内给予10min的持续高频次点击,基于5min的小阈值取值为F_1h_s=(1×60/5×F_5min_s)×1/6=60(策略5),大阈值为F_1h_b=(1×60/5×F_5min_s)×5/6=300(策略6)。
取值的规律总结:根据事件性质、正常人的发生频次,极限频次综合选取。大时间窗口的阈值根据上一级小时间窗口选取,具体情况还应根据业务灵活调整。各个时间窗口的小阈值之间依次增大,大阈值之间依次增大。
需要说明的是,小阈值与大阈值用于标识在相同时间窗口下用户行为的危险程度,小阈值只标记危险性不拦截,大阈值直接进行拦截并标记危险性。显然,触及大阈值的用户会比触及小阈值的用户更加危险。触及小阈值的用户可能是正常用户也可能是黑产在持续的绕过高阈值策略。触及大时间窗口阈值的用户证明在某段较长时间内持续进行危险动作,其危险性要比触及小时间窗口的用户更加危险。
在另一实施例中,根据危险程度的划分,赋予不同的权重,危险程度越高,其权重越大。权重的选取根据危险性与业务数据分布进行。接着以之前的点赞事件为例。如表1所示:
表1
需要说明的是,根据第一窗口阈值和第二窗口阈值对用户行为进行处置中,小阈值(第一窗口阈值)只标记不拦截,大阈值(第二窗口阈值)拦截的同时标记。相同时间窗口,触及大阈值的用户的危险性高于触及小阈值的用户。小阈值或者大阈值之间,触及大时间窗口的用户危险等级高于触及小时间窗口的用户。对应权重方面,无计算公式,根据具体的业务情况选取,如果业务收紧则增大权重,业务宽松,则减少权重。可减次数方面,由于实际的变量运算按照具体的流水进行(按照当前流水时间向前推一定时间的次数),也就是说一个账号,可能在几秒内连续打中某一策略,为了缓冲1d阈值的急速衰减避免误杀,设计了可减次数,当一个策略的可减次数用完,再打中策略,就不会进行计算。最大可减值,为权重×可减次数,标识在1d的初始阈值中,这个策略最多能让初始阈值衰减多少。
本方案通过设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值,每个时间窗口设计两个阈值,小阈值设计的足够小以标记危险动作但不进行拦截避免误杀,大阈值设计的足够大并进行拦截使其高命中高危用户。
根据第一窗口阈值和第二窗口阈值对用户行为进行处置,获得处置结果;根据处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值,各个时间窗口发生联动关系,受异常数据分布的影响极小,同时兼具通用性与灵活性,业务方可以根据具体的业务事件对权重或阈值进行灵活调整。
优选地,在上述任意实施例中,还包括:
根据用户行为的类型、用户行为持续时间和扩充系数获得用户行为的初始阈值。
在某一实施例中,如图3所示,根据业务事件的不同,选取1d时间窗口的初始阈值,初始阈值的选取根据业务事件的不同而不同。1d阈值的选取,根据事件的不同,比如浏览、点赞事件就是要比注册、登陆事件的1d整体频度要高,根据业务需要设计不用的初始阈值,有经验公式作为参考,因为要做阈值动态衰减,所以乘上扩充系数以进行扩充,防止误杀,各个事件的1d阈值可以根据实际数据分布情况调整,但是都要大于此值,以点赞事件为例,实际的取得为,结合异常与正常情况F_1d=F_1h_s×(24-7)×1.4=7140(除了休息时间持续进行动作,1.4为扩充系数)作为初始经验值。也可以根据数据分布取得,但是一般要大于经验值。
初始阈值的选取要可以考虑正常用户的持续动作极限。后续根据用户所触及不同阈值的的次数,乘上对应权重,在1d窗口的初始阈值基础上衰减。
同时打中策略先返回较高危险性策略并对权重进行计算衰减、并逐级进行对若较高危险性次数用完用次高危险性策略的权重。
当目前1d的阈值已经小于当前用户在1d内(当条流水时间向前推算24小时)的流水次数开始进行拦截并且运算停止。需要说明的是,1d的时间窗口只有一个初始阈值,无大阈值与小阈值之分。
检测到一段时间内用户没有危险动作也就是没有打中频度策略后,针对该用户的1d的阈值会逐步恢复到初始值水平。需要说明的是,初始值水平表示初始经验值,也就是F_1d=F_1h_s×(24-7)×1.4=7140,解释:例如当一个账户原来打中过频度频度策略之后,这个账户的1d的阈值假假设为400,经过一段时间没打中策略(恢复正常操作)那么在下一条流水到来的时候,那么这个账户的1d的阈值会逐步恢复到7140,具体的算法可以包括:
计算当前流水时间-最后一次打中处置建议为拒绝的频度策略的时间=time;
如果48h>time>24h、则此账户1d阈值=当前阈值+(初始阈值-当前阈值)/7×1,也就是1d阈值=400+(7140-400)/7×1=1362,如果72h>time>48h、则此账户1d阈值=当前阈值+(初始阈值-当前阈值)/7×2,以此类推,分7次逐步恢复。
优选地,在上述任意实施例中,根据第一窗口阈值和第二窗口阈值对用户行为进行处置,获得处置结果具体包括:
根据第一窗口阈值对用户行为进行危险标记;
根据第二窗口阈值对用户行为进行拦截和危险标记;
标记和拦截为处置结果。
本方案根据处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值,基于单用户在执行动作过程中的危险等级赋予不同的权重,小窗口阈值负责标识危险等级,同时根据权重不同对大窗口阈值进行动态衰减,这样做即使绕过小窗口阈值,因为被标记会使得大窗口阈值急剧衰减,完成对高危请求的提前拦截。
在某一实施例中,如图2所示,一种基于用户行为的自适应监控调整系统,包括:阈值衰减模块1101、判断模块1102、衰减控制模块1103和拦截模块1104;
阈值衰减模块1101用于根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值;
判断模块1102用于结合当前阈值对用户行为在第一时间窗的请求次数进行判断;
衰减控制模块1103用于当请求次数大于当前阈值,则停止衰减处理;
拦截模块1104用于当请求次数在预设时间内超过当前阈值,则将执行用户行为的用户进行拦截。
本方案通过根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值,当请求次数在预设时间内超过当前阈值,则将执行用户行为的用户进行拦截,可以有效的对高危用户进行提前拦截,同时避免误杀,并能快速应用到相关领域。
优选地,在上述任意实施例中,还包括:恢复调整模块,用于当请求次数在预设时间内没有超过当前阈值,则将当前阈值恢复到初始阈值。
通过当请求次数在预设时间内没有超过当前阈值,则将当前阈值恢复到初始阈值,可以在危险用户拦截的同时正常用户被避免误杀。
优选地,在上述任意实施例中,还包括:阈值衰减值计算模块,用于设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值;其中,0<i<第一时间窗的时间值;
根据第一窗口阈值和第二窗口阈值对用户行为进行处置,获得处置结果;
根据处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值;
对i在不同值的权重值进行累加;
根据累加后的权重值计算阈值衰减值。
方案通过设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值,每个时间窗口设计两个阈值,小阈值设计的足够小以标记危险动作但不进行拦截避免误杀,大阈值设计的足够大并进行拦截使其高命中高危用户。
根据第一窗口阈值和第二窗口阈值对用户行为进行处置,获得处置结果;根据处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值,各个时间窗口发生联动关系,受异常数据分布的影响极小,同时兼具通用性与灵活性,业务方可以根据具体的业务事件对权重或阈值进行灵活调整。
优选地,在上述任意实施例中,还包括:初始阈值获取模块,用于根据用户行为的类型、用户行为持续时间和扩充系数获得用户行为的初始阈值。
优选地,在上述任意实施例中,阈值衰减值计算模块具体用于根据第一窗口阈值对用户行为进行危险标记;
根据第二窗口阈值对用户行为进行拦截和危险标记;
标记和拦截为处置结果。
本方案根据处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值,基于单用户在执行动作过程中的危险等级赋予不同的权重,小窗口阈值负责标识危险等级,同时根据权重不同对大窗口阈值进行动态衰减,这样做即使绕过小窗口阈值,因为被标记会使得大窗口阈值急剧衰减,完成对高危请求的提前拦截。
可以理解,在一些实施例中,可以包含如上述各实施例中的部分或全部可选实施方式。
需要说明的是,上述各实施例是与在先方法实施例对应的产品实施例,对于产品实施例中各可选实施方式的说明可以参考上述各方法实施例中的对应说明,在此不再赘述。
读者应理解,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的方法实施例仅仅是示意性的,例如,步骤的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个步骤可以结合或者可以集成到另一个步骤,或一些特征可以忽略,或不执行。
上述方法如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于用户行为的自适应监控调整方法,其特征在于,包括:
根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值;
结合所述当前阈值对用户行为在第一时间窗的请求次数进行判断;
当所述请求次数大于所述当前阈值,则停止衰减处理;
当所述请求次数在预设时间内超过所述当前阈值,则将执行所述用户行为的用户进行拦截。
2.根据权利要求1所述的一种基于用户行为的自适应监控调整方法,其特征在于,还包括:当所述请求次数在预设时间内没有超过所述当前阈值,则将所述当前阈值恢复到初始阈值。
3.根据权利要求1或2所述的一种基于用户行为的自适应监控调整方法,其特征在于,还包括:
设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值;其中,0<i<第一时间窗的时间值;
根据所述第一窗口阈值和所述第二窗口阈值对所述用户行为进行处置,获得处置结果;
根据所述处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值;
对i在不同值的权重值进行累加;
根据累加后的权重值计算阈值衰减值。
4.根据权利要求1或2所述的一种基于用户行为的自适应监控调整方法,其特征在于,还包括:
根据用户行为的类型、用户行为持续时间和扩充系数获得所述用户行为的初始阈值。
5.根据权利要求3所述的一种基于用户行为的自适应监控调整方法,其特征在于,所述根据所述第一窗口阈值和所述第二窗口阈值对所述用户行为进行处置,获得处置结果具体包括:
根据第一窗口阈值对所述用户行为进行危险标记;
根据第二窗口阈值对所述用户行为进行拦截和危险标记;
所述标记和所述拦截为所述处置结果。
6.一种基于用户行为的自适应监控调整系统,其特征在于,包括:阈值衰减模块、判断模块、衰减控制模块和拦截模块;
所述阈值衰减模块用于根据用户行为的阈值衰减值对用户行为的初始阈值进行衰减处理,获得用户行为在第一时间窗的当前阈值;
所述判断模块用于结合所述当前阈值对用户行为在第一时间窗的请求次数进行判断;
所述衰减控制模块用于当所述请求次数大于所述当前阈值,则停止衰减处理;
所述拦截模块用于当所述请求次数在预设时间内超过所述当前阈值,则将执行所述用户行为的用户进行拦截。
7.根据权利要求6所述的一种基于用户行为的自适应监控调整系统,其特征在于,还包括:恢复调整模块,用于当所述请求次数在预设时间内没有超过所述当前阈值,则将所述当前阈值恢复到初始阈值。
8.根据权利要求6或7所述的一种基于用户行为的自适应监控调整系统,其特征在于,还包括:阈值衰减值计算模块,用于设置第i时间窗,并在第i时间窗中设置第一窗口阈值和第二窗口阈值;其中,0<i<第一时间窗的时间值;
根据所述第一窗口阈值和所述第二窗口阈值对所述用户行为进行处置,获得处置结果;
根据所述处置结果获得用户行为的危险等级,根据危险等级获得处置结果对应的权重值;
对i在不同值的权重值进行累加;
根据累加后的权重值计算阈值衰减值。
9.根据权利要求6或7所述的一种基于用户行为的自适应监控调整系统,其特征在于,还包括:初始阈值获取模块,用于根据用户行为的类型、用户行为持续时间和扩充系数获得所述用户行为的初始阈值。
10.根据权利要求8所述的一种基于用户行为的自适应监控调整系统,其特征在于,所述阈值衰减值计算模块具体用于根据第一窗口阈值对所述用户行为进行危险标记;
根据第二窗口阈值对所述用户行为进行拦截和危险标记;
所述标记和所述拦截为所述处置结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210563326.XA CN114978969B (zh) | 2022-05-20 | 2022-05-20 | 一种基于用户行为的自适应监控调整方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210563326.XA CN114978969B (zh) | 2022-05-20 | 2022-05-20 | 一种基于用户行为的自适应监控调整方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978969A true CN114978969A (zh) | 2022-08-30 |
| CN114978969B CN114978969B (zh) | 2023-03-24 |
Family
ID=82984880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210563326.XA Active CN114978969B (zh) | 2022-05-20 | 2022-05-20 | 一种基于用户行为的自适应监控调整方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978969B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933328A (zh) * | 2016-06-12 | 2016-09-07 | 北京三快在线科技有限公司 | 一种用户访问行为的处理方法和装置 |
| CN110417778A (zh) * | 2019-07-30 | 2019-11-05 | 中国工商银行股份有限公司 | 访问请求的处理方法和装置 |
| CN111881972A (zh) * | 2020-07-24 | 2020-11-03 | 腾讯音乐娱乐科技(深圳)有限公司 | 一种黑产用户识别方法及装置、服务器、存储介质 |
| CN112069485A (zh) * | 2020-06-12 | 2020-12-11 | 完美世界(北京)软件科技发展有限公司 | 基于用户行为的安全处理方法、装置及设备 |
| US11075933B1 (en) * | 2019-03-27 | 2021-07-27 | Ca, Inc. | Abnormal user behavior detection |
-
2022
- 2022-05-20 CN CN202210563326.XA patent/CN114978969B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933328A (zh) * | 2016-06-12 | 2016-09-07 | 北京三快在线科技有限公司 | 一种用户访问行为的处理方法和装置 |
| US11075933B1 (en) * | 2019-03-27 | 2021-07-27 | Ca, Inc. | Abnormal user behavior detection |
| CN110417778A (zh) * | 2019-07-30 | 2019-11-05 | 中国工商银行股份有限公司 | 访问请求的处理方法和装置 |
| CN112069485A (zh) * | 2020-06-12 | 2020-12-11 | 完美世界(北京)软件科技发展有限公司 | 基于用户行为的安全处理方法、装置及设备 |
| CN111881972A (zh) * | 2020-07-24 | 2020-11-03 | 腾讯音乐娱乐科技(深圳)有限公司 | 一种黑产用户识别方法及装置、服务器、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978969B (zh) | 2023-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| US11811796B2 (en) | Indicator of compromise calculation system | |
| AU2017387092B2 (en) | Gathering indicators of compromise for security threat detection | |
| US8312536B2 (en) | Hygiene-based computer security | |
| US8752179B2 (en) | System and method for removal of malicious software from computer systems and management of treatment side-effects | |
| CN103701795B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| US8108929B2 (en) | Method and system for detecting intrusive anomalous use of a software system using multiple detection algorithms | |
| CN109561090B (zh) | 一种web智能防御方法、装置、设备及可读存储介质 | |
| CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
| CN108243189B (zh) | 一种网络威胁管理方法、装置、计算机设备及存储介质 | |
| CN108390870B (zh) | 一种防御网络攻击的方法、装置、存储介质及设备 | |
| WO2005045715A2 (en) | A method used in the control of a physical system affected by threats | |
| AU2014364348B2 (en) | Communications security | |
| Zhang et al. | Active defense strategy selection based on static Bayesian game | |
| CN114978969B (zh) | 一种基于用户行为的自适应监控调整方法和系统 | |
| CN112491869A (zh) | 一种基于ip信誉度的应用层ddos攻击的检测防护方法及系统 | |
| CN116389147A (zh) | 一种网络攻击的封禁方法、装置、电子设备及存储介质 | |
| WO2012053041A1 (ja) | セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム | |
| CN112087414A (zh) | 挖矿木马的检测方法及装置 | |
| CN107205019B (zh) | 用户行为数据清理方法及装置 | |
| CN108197471B (zh) | 一种恶意软件检测方法及装置 | |
| CN106161542A (zh) | 一种数据下载方法及装置 | |
| CN110674169B (zh) | 一种网站数据库的保护方法及相关装置 | |
| US20110029935A1 (en) | Method and apparatus for detecting undesired users using socially collaborative filtering | |
| CN111800439B (zh) | 一种威胁情报在银行中的应用方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |