CN115481002A - 异常行为的识别方法、装置、设备及存储介质 - Google Patents
异常行为的识别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115481002A CN115481002A CN202211176717.2A CN202211176717A CN115481002A CN 115481002 A CN115481002 A CN 115481002A CN 202211176717 A CN202211176717 A CN 202211176717A CN 115481002 A CN115481002 A CN 115481002A
- Authority
- CN
- China
- Prior art keywords
- service request
- attribute information
- identification code
- historical attribute
- abnormal behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3495—Performance evaluation by tracing or monitoring for systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24552—Database cache management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Databases & Information Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及一种异常行为的识别方法、装置、设备及存储介质。所述方法包括:将终端上报的历史属性信息写入分布式缓存后与设备标识码进行关联映射得到映射关系,接收终端发起的业务请求,判断业务请求是否携带设备标识码,若否,根据业务请求的当前属性信息及映射关系,从分布式缓存中查询业务请求关联的目标标识码,根据目标标识码及预设识别规则,判断发起业务请求的用户是否存在异常行为。本申请通过分布式缓存来反向查询出目标标识码,不影响业务的实时链路,再根据目标标识码及预设识别规则,判断发起业务请求的用户是否存在异常操作行为,可以实现更快地从多维度的去分析用户是否存在异常操作行为。
Description
技术领域
本申请涉及消息推送技术领域,尤其涉及一种异常行为的识别方法、装置、设备及存储介质。
背景技术
目前,APP的风控系统大多需要根据用户的设备信息(例如,设备标识码)来判断用户操作行为的是否存在风险,即是否存在异常操作行为,但由于风控系统不能贯穿用户对APP的所有业务操作,所以在全链路里面设备标识码被设计为非必传字段,即有些业务操作没有携带设备标识码(dfp字段),导致在没有携带设备标识码的业务场景里面无法识别用户是否存在异常行为。
发明内容
鉴于以上内容,本申请提供一种异常行为的识别方法、装置、设备及存储介质,其目的在于解决上述技术问题。
第一方面,本申请提供一种异常行为的识别方法,该方法包括:
获取终端上报的多个维度的历史属性信息;
将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系;
接收终端发起的业务请求,判断所述业务请求是否携带设备标识码,若否,根据所述业务请求的当前属性信息及所述映射关系,从所述分布式缓存中查询所述业务请求关联的至少一个目标标识码;
根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
优选地,所述将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系,包括:
将每个维度的历史属性信息划分为核心维度的历史属性信息及非核心维度的历史属性信息;
将所述核心维度的历史属性信息与所述非核心维度的历史属性信息分别与设备标识码进行关联映射得到映射关系。
优选地,所述根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为,包括:
获取所述目标标识码对应的核心维度的历史属性信息及非核心维度的历史属性信息;
根据预设识别规则分别为所述目标标识码对应的核心维度的历史属性信息及非核心维度的历史属性信息进行评分,得到评分结果;
根据所述评分结果判断发起所述业务请求的用户是否存在异常行为。
优选地,所述根据所述评分结果判断发起所述业务请求的用户是否存在异常行为,包括:
当所述评分结果的分值大于第一阈值且小于第二阈值时,判断发起所述业务请求的用户的风险等级为低风险;
当所述评分结果的分值小于或等于第一阈值时,判断发起所述业务请求的用户的风险等级为无风险;
当所述评分结果的分值大于或等于第三阈值时,判断发起所述业务请求的用户的风险等级为高风险;
当所述评分结果的分值大于第二阈值且小于第三阈值时,判断发起所述业务请求的用户的风险等级为中风险;
若所述用户的风险等级为无风险时,判断所述用户不存在异常行为;
若所述用户的风险等级为高风险、中风险或低风险时,判断所述用户存在异常行为。
优选地,所述判断所述业务请求是否携带设备标识码还包括:
当判断所述业务请求携带设备标识码时,根据所述业务请求携带的设备标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
优选地,所述判断所述业务请求是否携带设备标识码还包括:
当判断所述业务请求携带设备标识码时,根据所述业务请求携带的设备标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
优选地,所述方法还包括:
将所述多个维度的历史属性信息写入HIVE表中。
第二方面,本申请提供一种异常行为的识别装置,该异常行为的识别装置包括:
获取模块:用于获取终端上报的多个维度的历史属性信息;
关联模块:用于将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系;
查询模块:用于接收终端发起的业务请求,判断所述业务请求是否携带设备标识码,若否,根据所述业务请求的当前属性信息及所述映射关系,从所述分布式缓存中查询所述业务请求关联的至少一个目标标识码;
识别模块:用于根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
第三方面,本申请提供一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面任一项实施例所述的异常行为的识别方法的步骤。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任一项实施例所述的异常行为的识别方法的步骤。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:
本申请通过获取终端上报的多个维度的历史属性信息,将历史属性信息写入分布式缓存后与设备标识码进行关联映射得到映射关系,对于没有携带设备标识码的业务请求,根据业务请求的当前属性信息及映射关系,从分布式缓存中查询业务请求关联的目标标识码,避免了现有技术中因有的业务请求没有携带设备标识导致无法对该业务请求进行风控分析(即异常行为识别)的情况,且由于分布式缓存属于缓存介质,通过分布式缓存来反向查询出目标标识码,查询时间可以控制在5ms以内,不影响业务的实时链路,再根据目标标识码及预设识别规则,判断发起业务请求的用户是否存在异常操作行为,从而实现更快地从多维度的去分析用户是否存在异常操作行为。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请异常行为的识别方法较佳实施例的流程示意图;
图2为本申请异常行为的识别装置较佳实施例的模块示意图;
图3为本申请电子设备较佳实施例的示意图;
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
本申请提供一种异常行为的识别方法。参照图1所示,为本申请异常行为的识别方法的实施例的方法流程示意图。该方法可以由一个电子设备(例如,服务器)执行,该电子设备可以由软件和/或硬件实现。异常行为的识别方法包括:
步骤S10:获取终端上报的多个维度的历史属性信息;
步骤S20:将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系;
步骤S30:接收终端发起的业务请求,判断所述业务请求是否携带设备标识码,若否,根据所述业务请求的当前属性信息及所述映射关系,从所述分布式缓存中查询所述业务请求关联的至少一个目标标识码;
步骤S40:根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
以识别用户在APP上的操作有无异常操作行为为例,对本方案进行说明,APP可以是视频类APP、金融类APP、社交类APP等,例如,识别用户登录操作有无异常、识别用户提现操作有无异常等。
本实施例中,终端可以是手机、平板电脑等,终端安装相关的APP,终端可以具有指纹系统,用户可以通过指纹在终端的APP进行相关操作(例如,登录操作、提现操作),终端的指纹系统可以具有上报多个维度的历史属性信息的功能模块,即用户使用APP进行相关操作时对应的历史属性信息会上报至服务端,例如,终端可以每隔一天或几个小时上报用户使用APP进行相关操作时对应的历史属性信息。历史属性信息可以是多个维度的信息,属性信息包括APP所属终端的设备信息及APP所处的环境信息等,以终端为安卓手机为例,上报的设备信息可以包括:手机网卡物理地址、入网许可证序号、手机SIM卡序号、安卓系统的ID等,上报的环境信息包括终端所连接的网络的IP地址,网络的运营商等。服务端根据终端的指纹系统每日上报的历史属性信息,后续可以实时分析用户在APP上的相关操作或业务请求对应的风险等级,从而根据风险等级判断用户是否存在异常的操作行为。
服务端将可以获取的历史属性信息写入分布式缓存,由于用户可能使用多台不同的终端设备登录了APP进行操作,也可能在多个不同的网络环境下操作了APP,获取到历史属性信息与同个用户的设备还未关联,因此可以利用ID-Mapping算法将历史属性信息与至少一个设备标识码进行关联映射得到映射关系,从而使用历史属性信息与设备标识码以键值对(key value)的形式存储在分布式缓存中,各属性信息为key与设备标识码反向关联。设备标识码是指dfp字段,dfp字段可以标识唯一的一个终端设备。ID-Mapping是大数据应用和分析中非常关键的环节,ID-Mapping可以将不同来源的数据通过技术手段识别为同一个对象或主题,例如,同一台设备或同一个用户等。
将终端上报的历史属性信息与设备标识码进行关联映射后,用户在APP的相关操作会经过APP对应的风控系统来判断用户的风险等级,风控系统大多是根据用户的设备维度(例如,设备标识码)来判别用户的风险等级的,但由于风控系统不能贯穿用户对APP的所有业务操作,在一些业务操作中,设备标识码被设计为非必传的字段,即有些业务操作可能没有传递dfp这个字段。因此,在接收到终端发起的业务请求后,判断业务请求是否携带设备标识码,若该业务请求没有携带设备标识码,则可以获取该业务请求对应的当前属性信息,根据业务请求的当前属性信息及分布式缓存中的映射关系,从分布式缓存中查询出该业务请求关联的至少一个目标标识码,目标标识码为dfp字段。由于分布式缓存属于缓存介质,通过分布式缓存来反向查询出目标标识码,查询时间可以控制在5ms以内,不影响实时链路。
根据该目标标识码及预设识别规则,可以识别出用户的风险等级,根据风险等级判断发起业务请求的用户是否存在异常行为,例如,根据目标标识码查询出历史属性信息,若从历史属性信息得知该目标标识码对应的用户账号(UID)在短时间内关联了10个不同的IP,说明该用户账号可能存在风险及登录该账号的用户可能存在异常操作行为,需要说明的是,预设识别规则可以根据实际风控管理需求进行设定。
本申请通过获取终端上报的多个维度的历史属性信息,将历史属性信息写入分布式缓存后与设备标识码进行关联映射得到映射关系,对于没有携带设备标识码的业务请求,根据业务请求的当前属性信息及映射关系,从分布式缓存中查询业务请求关联的目标标识码,避免了现有技术中因有的业务请求没有携带设备标识导致无法对该业务请求进行风控分析的情况,且由于分布式缓存属于缓存介质,通过分布式缓存来反向查询出目标标识码,查询时间可以控制在5ms以内,不影响业务的实时链路,再根据目标标识码及预设识别规则,判断发起业务请求的用户是否存在异常操作行为,从而实现更快地从多维度的去分析用户是否存在异常操作行为。
在一个实施例中,所述获取终端上报的多个维度的历史属性信息,包括:
从消息队列中获取终端每隔预设时间段上报的多个维度的历史属性信息,其中,所述多个维度的历史属性信息为终端通过异步消息的形式发送至所述消息队列中。
终端可以将用户使用APP进行相关操作时对应的历史属性信息,通过异步消息的形式发送至消息队列(例如,Kafka),服务端可以从Kafka中监听并获取历史属性信息。通过消息队列传输历史属性信息,可以减轻服务器的数据传输压力。
在一个实施例中,所述将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系,包括:
将每个维度的历史属性信息划分为核心维度的历史属性信息及非核心维度的历史属性信息;
将所述核心维度的历史属性信息与所述非核心维度的历史属性信息分别与设备标识码进行关联映射得到映射关系。
由于历史属性信息包括了多个维度的信息,因此可以将其划分为核心维度的历史属性信息和非核心维度的历史属性信息,例如,以安卓手机为例,核心维度的历史属性信息包括:手机网卡物理地址、入网许可证序号、手机SIM卡序号、安卓系统的ID等,非核心维度的历史属性信息包括:手机的CPU信息、手机品牌信息、手机内存大小等。将核心维度的历史属性信息与非核心维度的历史属性信息分别与设备标识码进行关联映射得到映射关系,后续可以对业务请求的目标标识码对应的核心维度和非核心维度的信息分别进行评分,将核心维度与非核心维度的评分进行加权求和得到总评分。
在一个实施例中,所述判断所述业务请求是否携带设备标识码还包括:
当判断所述业务请求携带设备标识码时,根据所述业务请求携带的设备标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
当判断业务请求携带设备标识码时,则不需要去查询分布式缓存,此时可以直接根据业务请求携带的设备标识码及预设识别规则,识别出用户的风险等级,再根据风险等级判断发起业务请求的用户是否存在异常行为。
在一个实施例中,所述根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为,包括:
获取所述目标标识码对应的核心维度的历史属性信息及非核心维度的历史属性信息;
根据预设识别规则分别为所述目标标识码对应的核心维度的历史属性信息及非核心维度的历史属性信息进行评分,得到评分结果;
根据所述评分结果判断发起所述业务请求的用户是否存在异常行为。
由于目标识别码(dfp字段)与历史属性信息建立了映射关系,因此可以获取到目标识别码对应的核心维度的历史属性信息及非核心维度的历史属性信息,分别对核心维度的历史属性信息及非核心维度的历史属性信息进行评分,例如,用户短时间内多设备登录最高记4分,用户异地登录最高记3分,用户频繁切换账号最高记3分。假如用户在短时间内一个账号关联了5个dfp(即短时间内用5台不同的设备登录1个账号),可以记为2分。假如用户在短时间内一个账号关联了10个dfp,则记4分。假如用户在短时间段内一个dfp关联了10个账号(即用户在短时间内一个设备切换了10个账号),则记3分。可以对目标标识码对应的核心维度的历史属性信息的评分赋较高的权重(例如,0.7),对目标标识码对应的核心维度的历史属性信息的评分赋较低的权重(例如,0.3),之后进行加权求和得到评分结果。根据评分结果可以判断发起业务请求的用户是否存在异常行为,例如,评分结果大于2分,说明用户存在异常行为。
进一步地,所述根据所述评分结果判断发起所述业务请求的用户是否存在异常行为,包括:
当所述评分结果的分值大于第一阈值且小于第二阈值时,判断发起所述业务请求的用户的风险等级为低风险;
当所述评分结果的分值小于或等于第一阈值时,判断发起所述业务请求的用户的风险等级为无风险;
当所述评分结果的分值大于或等于第三阈值时,判断发起所述业务请求的用户的风险等级为高风险;
当所述评分结果的分值大于第二阈值且小于第三阈值时,判断发起所述业务请求的用户的风险等级为中风险;
若所述用户的风险等级为无风险时,判断所述用户不存在异常行为;
若所述用户的风险等级为高风险、中风险或低风险时,判断所述用户存在异常行为。
第一阈值可以是2,第二阈值可以是5,第三阈值可以是8,根据评分结果可以判断出用户是否存在异常行为,若用户存在异常行为时,可以进一步判断用户属于哪种风险等级的异常行为,对用户的操作行为作出进一步处理,例如,若用户存在异常行为时,重新对发起业务请求的用户进行进行身份验证,或者禁止用户的操作。
在一个实施例中,所述方法还包括:
将所述多个维度的历史属性信息写入HIVE表中。
还可以将多个维度的历史属性信息,以Spark任务的形式将数据写入HIVE表中,作为大数据离线分析使用。
参照图2所示,为本申请异常行为的识别装置100的功能模块示意图。
本申请所述异常行为的识别装置100可以安装于电子设备中。根据实现的功能,所述异常行为的识别装置100可以包括获取模块110、关联模块120、查询模块130及识别模块140。本申请所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
获取模块110:用于获取终端上报的多个维度的历史属性信息;
关联模块120:用于将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系;
查询模块130:用于接收终端发起的业务请求,判断所述业务请求是否携带设备标识码,若否,根据所述业务请求的当前属性信息及所述映射关系,从所述分布式缓存中查询所述业务请求关联的至少一个目标标识码;
识别模块140:用于根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
在一个实施例中,所述获取终端上报的多个维度的历史属性信息,包括:
从消息队列中获取终端每隔预设时间段上报的多个维度的历史属性信息,其中,所述多个维度的历史属性信息为终端通过异步消息的形式发送至所述消息队列中。
在一个实施例中,所述将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系,包括:
将每个维度的历史属性信息划分为核心维度的历史属性信息及非核心维度的历史属性信息;
将所述核心维度的历史属性信息与所述非核心维度的历史属性信息分别与设备标识码进行关联映射得到映射关系。
在一个实施例中,所述判断所述业务请求是否携带设备标识码还包括:
当判断所述业务请求携带设备标识码时,根据所述业务请求携带的设备标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
在一个实施例中,所述根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为,包括:
获取所述目标标识码对应的核心维度的历史属性信息及非核心维度的历史属性信息;
根据预设识别规则分别为所述目标标识码对应的核心维度的历史属性信息及非核心维度的历史属性信息进行评分,得到评分结果;
根据所述评分结果判断发起所述业务请求的用户是否存在异常行为。
在一个实施例中,所述根据所述评分结果判断发起所述业务请求的用户是否存在异常行为,包括:
当所述评分结果的分值大于第一阈值且小于第二阈值时,判断发起所述业务请求的用户的风险等级为低风险;
当所述评分结果的分值小于或等于第一阈值时,判断发起所述业务请求的用户的风险等级为无风险;
当所述评分结果的分值大于或等于第三阈值时,判断发起所述业务请求的用户的风险等级为高风险;
当所述评分结果的分值大于第二阈值且小于第三阈值时,判断发起所述业务请求的用户的风险等级为中风险;
若所述用户的风险等级为无风险时,判断所述用户不存在异常行为;
若所述用户的风险等级为高风险、中风险或低风险时,判断所述用户存在异常行为。
在一个实施例中,所述获取模块110还用于:
将所述多个维度的历史属性信息写入HIVE表中。
参照图3所示,为本申请电子设备1较佳实施例的示意图。
该电子设备1包括但不限于:存储器11、处理器12、显示器13及通信接口14。所述电子设备1通过通信接口14连接网络。其中,所述网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communication,GSM)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi、通话网络等无线或有线网络。
其中,存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器11可以是所述电子设备1的内部存储单元,例如该电子设备1的硬盘或内存。在另一些实施例中,所述存储器11也可以是所述电子设备1的外部存储设备,例如该电子设备1配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器11还可以既包括所述电子设备1的内部存储单元也包括其外部存储设备。本实施例中,存储器11通常用于存储安装于所述电子设备1的操作系统和各类应用软件,例如异常行为的识别程序10的程序代码等。此外,存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器12在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器12通常用于控制所述电子设备1的总体操作,例如执行数据交互或者通信相关的控制和处理等。本实施例中,所述处理器12用于运行所述存储器11中存储的程序代码或者处理数据,例如运行异常行为的识别程序10的程序代码等。
显示器13可以称为显示屏或显示单元。在一些实施例中显示器13可以是LED显示器、液晶显示器、触控式液晶显示器以及有机发光二极管(Organic Light-EmittingDiode,OLED)触摸器等。显示器13用于显示在电子设备1中处理的信息以及用于显示可视化的工作界面。
通信接口14可选地可以包括标准的有线接口、无线接口(如WI-FI接口),该通信接口14通常用于在所述电子设备1与其它设备之间建立通信连接。
图3仅示出了具有组件11-14以及异常行为的识别程序10的电子设备1,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
可选地,所述电子设备1还可以包括用户接口,用户接口可以包括显示器(Display),可选的用户接口还可以包括标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及有机发光二极管(Organic Light-Emitting Diode,OLED)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的界面。
该电子设备1还可以包括射频(Radio Frequency,RF)电路、传感器和音频电路等等,在此不再赘述。
在上述实施例中,处理器12执行存储器11中存储的异常行为的识别程序10时可以实现如下步骤:
获取终端上报的多个维度的历史属性信息;
将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系;
接收终端发起的业务请求,判断所述业务请求是否携带设备标识码,若否,根据所述业务请求的当前属性信息及所述映射关系,从所述分布式缓存中查询所述业务请求关联的至少一个目标标识码;
根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
所述存储设备可以为电子设备1的存储器11,也可以为与电子设备1通讯连接的其它存储设备。
关于上述步骤的详细介绍,请参照上述图2关于异常行为的识别装置100实施例的功能模块图以及图1关于异常行为的识别方法实施例的流程图的说明。
此外,本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质可以是非易失性的,也可以是易失性的。该计算机可读存储介质可以是硬盘、多媒体卡、SD卡、闪存卡、SMC、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、便携式紧致盘只读存储器(CD-ROM)、USB存储器等等中的任意一种或者几种的任意组合。所述计算机可读存储介质中包括存储数据区和存储程序区,存储程序区存储有异常行为的识别程序10,所述异常行为的识别程序10被处理器执行时实现如下操作:
获取终端上报的多个维度的历史属性信息;
将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系;
接收终端发起的业务请求,判断所述业务请求是否携带设备标识码,若否,根据所述业务请求的当前属性信息及所述映射关系,从所述分布式缓存中查询所述业务请求关联的至少一个目标标识码;
根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
本申请之计算机可读存储介质的具体实施方式与上述异常行为的识别方法的具体实施方式大致相同,在此不再赘述。
需要说明的是,上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,电子装置,或者网络设备等)执行本申请各个实施例所述的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种异常行为的识别方法,其特征在于,所述方法包括:
获取终端上报的多个维度的历史属性信息;
将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系;
接收终端发起的业务请求,判断所述业务请求是否携带设备标识码,若否,根据所述业务请求的当前属性信息及所述映射关系,从所述分布式缓存中查询所述业务请求关联的至少一个目标标识码;
根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
2.如权利要求1所述的异常行为的识别方法,其特征在于,所述将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系,包括:
将每个维度的历史属性信息划分为核心维度的历史属性信息及非核心维度的历史属性信息;
将所述核心维度的历史属性信息与所述非核心维度的历史属性信息分别与设备标识码进行关联映射得到映射关系。
3.如权利要求2所述的异常行为的识别方法,其特征在于,所述根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为,包括:
获取所述目标标识码对应的核心维度的历史属性信息及非核心维度的历史属性信息;
根据预设识别规则分别为所述目标标识码对应的核心维度的历史属性信息及非核心维度的历史属性信息进行评分,得到评分结果;
根据所述评分结果判断发起所述业务请求的用户是否存在异常行为。
4.如权利要求3所述的异常行为的识别方法,其特征在于,所述根据所述评分结果判断发起所述业务请求的用户是否存在异常行为,包括:
当所述评分结果的分值大于第一阈值且小于第二阈值时,判断发起所述业务请求的用户的风险等级为低风险;
当所述评分结果的分值小于或等于第一阈值时,判断发起所述业务请求的用户的风险等级为无风险;
当所述评分结果的分值大于或等于第三阈值时,判断发起所述业务请求的用户的风险等级为高风险;
当所述评分结果的分值大于第二阈值且小于第三阈值时,判断发起所述业务请求的用户的风险等级为中风险;
若所述用户的风险等级为无风险时,判断所述用户不存在异常行为;
若所述用户的风险等级为高风险、中风险或低风险时,判断所述用户存在异常行为。
5.如权利要求1所述的异常行为的识别方法,其特征在于,所述获取终端上报的多个维度的历史属性信息,包括:
从消息队列中获取终端每隔预设时间段上报的多个维度的历史属性信息,其中,所述多个维度的历史属性信息为终端通过异步消息的形式发送至所述消息队列中。
6.如权利要求1所述的异常行为的识别方法,其特征在于,所述判断所述业务请求是否携带设备标识码还包括:
当判断所述业务请求携带设备标识码时,根据所述业务请求携带的设备标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
7.如权利要求1至6中任意一项所述的异常行为的识别方法,其特征在于,所述方法还包括:
将所述多个维度的历史属性信息写入HIVE表中。
8.一种异常行为的识别装置,其特征在于,所述装置包括:
获取模块:用于获取终端上报的多个维度的历史属性信息;
关联模块:用于将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映射关系;
查询模块:用于接收终端发起的业务请求,判断所述业务请求是否携带设备标识码,若否,根据所述业务请求的当前属性信息及所述映射关系,从所述分布式缓存中查询所述业务请求关联的至少一个目标标识码;
识别模块:用于根据所述目标标识码及预设识别规则,判断发起所述业务请求的用户是否存在异常行为。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1至7中任一项所述的异常行为的识别方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述异常行为的识别方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211176717.2A CN115481002A (zh) | 2022-09-26 | 2022-09-26 | 异常行为的识别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211176717.2A CN115481002A (zh) | 2022-09-26 | 2022-09-26 | 异常行为的识别方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115481002A true CN115481002A (zh) | 2022-12-16 |
Family
ID=84393852
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211176717.2A Pending CN115481002A (zh) | 2022-09-26 | 2022-09-26 | 异常行为的识别方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115481002A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115829192A (zh) * | 2023-02-23 | 2023-03-21 | 中建安装集团有限公司 | 一种用于实现工程信息安全监管的数字化管理系统及方法 |
-
2022
- 2022-09-26 CN CN202211176717.2A patent/CN115481002A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115829192A (zh) * | 2023-02-23 | 2023-03-21 | 中建安装集团有限公司 | 一种用于实现工程信息安全监管的数字化管理系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112052111B (zh) | 服务器异常预警的处理方法、装置、设备及存储介质 | |
CN108416485B (zh) | 用户身份识别方法、电子装置及计算机可读存储介质 | |
CN112491602B (zh) | 行为数据的监控方法、装置、计算机设备及介质 | |
CN106155596B (zh) | 数据写入方法及装置 | |
CN113726780B (zh) | 基于态势感知的网络监控方法、装置、电子设备 | |
CN108287823B (zh) | 消息数据处理方法、装置、计算机设备和存储介质 | |
CN110457612B (zh) | 一种终端页面访问方法及系统 | |
CN109918984A (zh) | 保险单号码识别方法、装置、电子设备及存储介质 | |
CN115481002A (zh) | 异常行为的识别方法、装置、设备及存储介质 | |
CN111767262A (zh) | 日志展示方法、装置、设备及存储介质 | |
CN110457255B (zh) | 数据归档的方法、服务器及计算机可读存储介质 | |
CN112307464A (zh) | 诈骗识别方法、装置及电子设备 | |
CN109491733B (zh) | 基于可视化的界面显示方法及相关设备 | |
CN109542945B (zh) | 区块链数据统计分析方法、装置及存储介质 | |
CN110191097A (zh) | 登录页面安全性的检测方法、系统、设备及存储介质 | |
CN114445088A (zh) | 一种欺诈行为的判定方法、装置、电子设备和存储介质 | |
CN111506455B (zh) | 服务发布结果的查验方法及装置 | |
CN110618990B (zh) | 清单报表设置方法、系统及清单报表获取方法 | |
CN112463799A (zh) | 数据提取方法、装置、设备及存储介质 | |
CN111931186A (zh) | 软件风险识别方法及装置 | |
CN112016870A (zh) | 一种智能仓储系统 | |
CN114416507A (zh) | 通信行为监控方法、装置、计算机设备及存储介质 | |
CN111026613B (zh) | 日志处理方法及装置 | |
CN114282940A (zh) | 用于意图识别的方法及装置、存储介质及电子设备 | |
CN113342825A (zh) | 埋点数据处理方法、装置、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |