CN116185802A

CN116185802A - 用户风险行为监测方法及装置

Info

Publication number: CN116185802A
Application number: CN202310231306.7A
Authority: CN
Inventors: 曾杰; 谭均昌; 黄桂锋
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2023-03-10
Filing date: 2023-03-10
Publication date: 2023-05-30

Abstract

本申请提供了一种用户风险行为监测方法及装置，可用于深度学习技术领域，该方法包括：获取当前用户的登录行为日志；根据所述当前用户对应的预存储的站点和设备访问频率类别列表，确定所述登录行为日志对应的站点访问频率类别和设备访问频率类别；根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的风险行为监测结果；所述预设的风险行为监测模型是基于批量历史登录行为日志对应的站点访问频率类别和设备访问频率类别对聚类算法进行训练得到的。本申请能够提高用户风险行为监测的实时性和可靠性，进而能够提高业务系统的安全性。

Description

用户风险行为监测方法及装置

技术领域

本申请涉及深度学习技术领域，尤其涉及一种用户风险行为监测方法及装置。

背景技术

随着远程办公、远程业务需求日益增加，内部办公平台、网点业务通过App、H5、小程序等方式面向互联网开放，员工身份认证平台从内网应用转变为可被公网访问。身份认证平台作为众多内网业务应用的单点登录入口，在银行企业架构中扮演着举足轻重的作用，其自身安全性直接影响到众多业务系统的安全性，在新的安全形势下，急需提升身份认证平台的安全能力。

目前，身份认证平台主要通过行为验证码、口令错误连续次数达到阈值进行冻结、多因子认证等技术进行安全加固，对用户的行为分析主要是通过事后通过对登录日志进行审计分析。

现有的技术在自动识别并封禁攻击源方面还是存在滞后性，需要人工介入通过对登录日志进行分析来查找攻击源，同时对如替人代考、冒用他人账号等异常行为的监测手段较为匮乏，无法快速识别员工异常行为从而防范风险。

发明内容

针对现有技术中的至少一个问题，本申请提出了一种用户风险行为监测方法及装置，能够提高用户风险行为监测的实时性和可靠性，进而能够提高业务系统的安全性。

为了解决上述技术问题，本申请提供以下技术方案：

第一方面，本申请提供一种用户风险行为监测方法，包括：

获取当前用户的登录行为日志；

根据所述当前用户对应的预存储的站点和设备访问频率类别列表，确定所述登录行为日志对应的站点访问频率类别和设备访问频率类别；

根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的登录行为监测结果；

所述预设的风险行为监测模型是基于批量历史登录行为日志对应的站点访问频率类别和设备访问频率类别对聚类算法进行训练得到的。

在一个实施例中，在所述获取当前用户的登录行为日志之后，还包括：

将所述登录行为日志发送至分布式搜索引擎并存储，所述分布式搜索引擎中存储有批量历史登录行为日志；

接收日志监控请求，从所述分布式搜索引擎中获得所述日志监控请求对应的历史登录行为日志；

根据预设的监控指标与报警处理方式对应关系表和所述日志监控请求对应的历史登录行为日志，确定风险信息，获得该风险信息的报警处理方式，完成报警处理。

在一个实施例中，所述的用户风险行为监测方法，还包括：

定时将所述分布式搜索引擎中存储时长超出预设时长的历史登录行为日志经由分布式发布订阅消息系统发送至目标数据湖中。

在一个实施例中，所述的用户风险行为监测方法，还包括：

获取批量训练样本，每个训练样本包括：历史登录行为日志对应的访问频率类别和设备访问频率类别；

应用批量训练样本对聚类算法进行训练，得到所述风险行为监测模型。

在一个实施例中，所述应用批量训练样本对聚类算法进行训练，得到所述风险行为监测模型，包括：

应用聚类算法和批量训练样本，确定多个类以及各个类的聚类中心；

获取多个异常样本，每个异常样本包括：历史异常登录行为日志对应的访问频率类别和设备访问频率类别；

从每个异常样本与各个聚类中心之间对应的欧几里得距离中，得到该异常样本对应的值最小的欧几里得距离；

将各个异常样本对应的值最小的欧几里得距离的平均值确定为异常距离阈值。

在一个实施例中，所述根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的登录行为监测结果，包括：

将所述站点访问频率类别和设备访问频率类别作为待监测对象，判断该待监测对象与各个聚类中心之间对应的欧几里得距离是否大于所述异常距离阈值，若是，则确定所述当前用户的风险行为监测结果为异常。

在一个实施例中，所述的用户风险行为监测方法，还包括：

若所述待监测对象与各个聚类中心之间的距离存在小于所述异常距离阈值的，则确定所述当前用户的风险行为监测结果为正常。

第二方面，本申请提供一种用户风险行为监测装置，包括：

获取模块，用于获取当前用户的登录行为日志；

分类模块，用于根据所述当前用户对应的预存储的站点和设备访问频率类别列表，确定所述登录行为日志对应的站点访问频率类别和设备访问频率类别；

监测模块，用于根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的登录行为监测结果；

在一个实施例中，所述的用户风险行为监测装置还包括：

发送模块，用于将所述登录行为日志发送至分布式搜索引擎并存储，所述分布式搜索引擎中存储有批量历史登录行为日志；

接收模块，用于接收日志监控请求，从所述分布式搜索引擎中获得所述日志监控请求对应的历史登录行为日志；

报警模块，用于根据预设的监控指标与报警处理方式对应关系表和所述日志监控请求对应的历史登录行为日志，确定风险信息，获得该风险信息的报警处理方式，完成报警处理。

在一个实施例中，所述的用户风险行为监测装置还包括：

存储模块，用于定时将所述分布式搜索引擎中存储时长超出预设时长的历史登录行为日志经由分布式发布订阅消息系统发送至目标数据湖中。

在一个实施例中，所述的用户风险行为监测装置还包括：

获取样本模块，用于获取批量训练样本，每个训练样本包括：历史登录行为日志对应的访问频率类别和设备访问频率类别；

训练模块，用于应用批量训练样本对聚类算法进行训练，得到所述风险行为监测模型。

在一个实施例中，所述训练模块包括：

确定聚类中心单元，用于应用聚类算法和批量训练样本，确定多个类以及各个类的聚类中心；

获取异常样本单元，用于获取多个异常样本，每个异常样本包括：历史异常登录行为日志对应的访问频率类别和设备访问频率类别；

确定距离单元，用于从每个异常样本与各个聚类中心之间对应的欧几里得距离中，得到该异常样本对应的值最小的欧几里得距离；

确定阈值单元，用于将各个异常样本对应的值最小的欧几里得距离的平均值确定为异常距离阈值。

在一个实施例中，所述监测模块包括：

异常行为监测单元，用于将所述站点访问频率类别和设备访问频率类别作为待监测对象，判断该待监测对象与各个聚类中心之间对应的欧几里得距离是否大于所述异常距离阈值，若是，则确定所述当前用户的风险行为监测结果为异常。

在一个实施例中，所述监测模块还包括：

正常行为监测单元，用于若所述待监测对象与各个聚类中心之间的距离存在小于所述异常距离阈值的，则确定所述当前用户的风险行为监测结果为正常。

第三方面，本申请提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的用户风险行为监测方法。

第四方面，本申请提供一种计算机可读存储介质，其上存储有计算机指令，所述指令被执行时实现所述的用户风险行为监测方法。

由上述技术方案可知，本申请提供一种用户风险行为监测方法及装置。其中，该方法包括：获取当前用户的登录行为日志；根据所述当前用户对应的预存储的站点和设备访问频率类别列表，确定所述登录行为日志对应的站点访问频率类别和设备访问频率类别；根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的登录行为监测结果；所述预设的风险行为监测模型是基于批量历史登录行为日志对应的站点访问频率类别和设备访问频率类别对聚类算法进行训练得到的，能够提高用户风险行为监测的实时性和可靠性，进而能够提高业务系统的安全性；具体地，可以借助分布式搜索引擎Elasticsearch高效的文本检索和统计函数实现风险监控，实现快速锁定攻击源，对其进行隔离封禁，避免风险进一步扩散；同时通过Kmeans聚类算法实现员工异常行为分析，进行风险识别，可以避免因员工异常行为带来的损失。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例中的用户风险行为监测方法的第一流程示意图；

图2是本申请实施例中的用户风险行为监测方法的第二流程示意图；

图3是本申请实施例中的用户风险行为监测方法的第三流程示意图；

图4是本申请实施例中的用户风险行为监测装置的第一结构示意图；

图5是本申请实施例中的用户风险行为监测装置的第二结构示意图；

图6是本申请应用实例中的用户风险行为监测装置的结构示意图；

图7为本申请实施例的电子设备的系统构成示意框图。

具体实施方式

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

目前员工身份认证平台作为各内网应用的统一入口，借此实现各内网应用的单点登录。面对新的网络安全形势，认证平台主要通过行为验证码、多因子认证等技术手段防止平台被暴力破解导致黑客可操作业务应用。在识别攻击源对其快速封禁还存在一定的滞后性，易导致较多用户被冻结，需重新解冻才能使用。同时对于盗用他人账号违规操作等异常行为的识别还有所欠缺，存在越权操作的风险。

身份认证平台面对新的安全形势的防御手段在快速识别攻击源上还存在一定滞后性，无法快速封禁攻击源，容易造成较多账号因被暴力破解所冻结，需用户重新解冻后才能使用。同时在对类似盗用他人账号进行越权操作等违规异常行为的监控还有所欠缺，不能及时发现异常行为引发的风险。

需要说明的是，本申请公开的用户风险行为监测方法及装置可用于金融技术领域，也可用于除金融技术领域之外的任意领域，本申请公开的用户风险行为监测方法及装置的应用领域不做限定。本申请各个实施例的技术方案中对数据的获取、存储、使用、处理等均符合法律法规的相关规定。

具体通过下述各个实施例进行说明。

为了提高用户风险行为监测的实时性和可靠性，进而提高业务系统的安全性，本实施例提供一种执行主体是用户风险行为监测装置的用户风险行为监测方法，该用户风险行为监测装置包括但不限于服务器，如图1所示，该方法具体包含有如下内容：

步骤100：获取当前用户的登录行为日志。

具体地，登录行为日志可以包含有“用户ID”、“用户所属机构”、“访问时间”、“访问站点”、“认证返回码”、“用户访问所使用客户端IP”、“用户访问所使用设备标识”等信息。

步骤200：根据所述当前用户对应的预存储的站点和设备访问频率类别列表，确定所述登录行为日志对应的站点访问频率类别和设备访问频率类别。

具体地，可以根据所述登录行为日志，从所述用户风险行为监测装置本地获得当前用户的站点和设备访问频率类别列表；所述站点和设备访问频率类别列表可以包含有：站点与站点访问频率类别之间的对应关系，设备与设备访问频率类别之间的对应关系。可以从所述站点和设备访问频率类别列表中获得所述登录行为日志中的用户访问所使用设备标识对应的设备访问频率类别，以及所述登录行为日志中的访问站点对应的战点访问频率类别；所述站点访问频率类别可以分为高、中、低频访问类别；所述设备访问频率类别可以分为高、中、低频访问类别。

进一步地，可以获取用户一定时间范围内的批量历史登录行为日志，根据批量历史登录行为日志和表1中的转换规则，得到该用户的站点和设备访问频率类别列表。

表1

步骤300：根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的登录行为监测结果；所述预设的风险行为监测模型是基于批量历史登录行为日志对应的站点访问频率类别和设备访问频率类别对聚类算法进行训练得到的。

具体地，可以将站点访问频率类别和设备访问频率类别转换为数值，例如，若是高频访问类别转换为数值10；若是中频访问类别转换为数值7；若是低频访问类别转换为数值3；其余情况转换为0。根据该规则这两种特征变量即能实现数值化。

为了在实现对实时登录行为日志监测的基础上，提高对风险信息的监测，如图2所示，在一个实施例中，在步骤100之后，还包括：

步骤400：将所述登录行为日志发送至分布式搜索引擎并存储，所述分布式搜索引擎中存储有批量历史登录行为日志。

具体地，可以通过td-agent日志采集器将登录行为日志采集至分布式搜索引擎Elasticsearch，作为历史登录行为日志存储。

步骤500：接收日志监控请求，从所述分布式搜索引擎中获得所述日志监控请求对应的历史登录行为日志。

具体地，可以接收前端输入的日志监控请求，所述日志监控请求可以包含有查询条件，如“userId”、“1分钟”等；可以将分布式搜索引擎作为Grafana可视化工具的数据源，基于Lucene查询语法直接编写查询语句，基于查询语句和查询条件，得到所述日志监控请求对应的历史登录行为日志。

步骤600：根据预设的监控指标与报警处理方式对应关系表和所述日志监控请求对应的历史登录行为日志，确定风险信息，获得该风险信息的报警处理方式，完成报警处理。

具体地，所述风险信息包括：风险站点、风险设备和风险账号信息中的至少一种。所述预设的监控指标与报警处理方式对应关系表可以包含有：监控指标、监测周期和报警处理方式之间的对应关系，该对应关系表可以如表2所示：

表2

具体地，还可以根据监控指标与报警处理方式对应关系表在Elasticsearch上做统计分析，判定当前用户的登录行为是否存在风险，若是，则对该用户操作的客户端进行网络封禁，避免风险进一步扩散。

为了进一步提高数据存储的可靠性，在一个实施例中，所述的用户风险行为监测方法，还包括：

具体地，所述目标数据湖可以部署在用户风险行为监测装置中。所述预设时长可以根据实际情况进行设置，本申请对此不作限制。例如，10天。

为了提高风险行为监测模型训练的可靠性，进而应用可靠的风险行为监测模型提高用户风险行为监测的准确性，在一个实施例中，所述的用户风险行为监测方法，还包括：

步骤001：获取批量训练样本，每个训练样本包括：历史登录行为日志对应的访问频率类别和设备访问频率类别。

具体地，可以从目标数据湖中获取批量历史登录行为日志，根据历史登录行为日志对应的用户和该用户的站点和设备访问频率类别列表，确定历史登录行为日志对应的访问频率类别和设备访问频率类别。

步骤002：应用批量训练样本对聚类算法进行训练，得到所述风险行为监测模型。

具体地，所述聚类算法可以是Kmeans聚类算法。

为了提高确定异常距离阈值的准确性，如图3所示，在一个实施例中，步骤002包括：

步骤021：应用聚类算法和批量训练样本，确定多个类以及各个类的聚类中心。

具体地，可以预先设定分为三类，分别为“高频访问”、“中频访问”和“低频访问”三类。

步骤022：获取多个异常样本，每个异常样本包括：历史异常登录行为日志对应的访问频率类别和设备访问频率类别。

步骤023：从每个异常样本与各个聚类中心之间对应的欧几里得距离中，得到该异常样本对应的值最小的欧几里得距离。

步骤024：将各个异常样本对应的值最小的欧几里得距离的平均值确定为异常距离阈值。

举例来说，异常样本A与三个聚类中心之间的欧几里得距离分别为A1、A2、A3，A3值最小；异常样本B与三个聚类中心之间的欧几里得距离分别为B1、B2、B3，B2值最小；则可以确定异常距离阈值＝(A3+B2)/2。

为了进一步提高异常登录行为监测的准确性，在一个实施例中，步骤300包括：

为了进一步提高正常登录行为监测的准确性，在一个实施例中，所述的用户风险行为监测方法，还包括：若所述待监测对象与各个聚类中心之间的距离存在小于所述异常距离阈值的，则确定所述当前用户的风险行为监测结果为正常。

从软件层面来说，为了提高用户风险行为监测的实时性和可靠性，进而提高业务系统的安全性，本申请提供一种用于实现所述用户风险行为监测方法中全部或部分内容的用户风险行为监测装置的实施例，参见图4，所述用户风险行为监测装置具体包含有如下内容：

获取模块01，用于获取当前用户的登录行为日志；

分类模块02，用于根据所述当前用户对应的预存储的站点和设备访问频率类别列表，确定所述登录行为日志对应的站点访问频率类别和设备访问频率类别；

监测模块03，用于根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的登录行为监测结果；所述预设的风险行为监测模型是基于批量历史登录行为日志对应的站点访问频率类别和设备访问频率类别对聚类算法进行训练得到的。

如图5所示，在一个实施例中，所述的用户风险行为监测装置还包括：

发送模块04，用于将所述登录行为日志发送至分布式搜索引擎并存储，所述分布式搜索引擎中存储有批量历史登录行为日志；

接收模块05，用于接收日志监控请求，从所述分布式搜索引擎中获得所述日志监控请求对应的历史登录行为日志；

报警模块06，用于根据预设的监控指标与报警处理方式对应关系表和所述日志监控请求对应的历史登录行为日志，确定风险信息，获得该风险信息的报警处理方式，完成报警处理。

在一个实施例中，所述的用户风险行为监测装置还包括：

在一个实施例中，所述训练模块包括：

在一个实施例中，所述监测模块包括：

在一个实施例中，所述监测模块还包括：

本说明书提供的用户风险行为监测装置的实施例具体可以用于执行上述用户风险行为监测方法的实施例的处理流程，其功能在此不再赘述，可以参照上述用户风险行为监测方法实施例的详细描述。

为了进一步说明本方案，本申请还提供一种用户风险行为分析装置的应用实例，具体描述如下：

用户的登录日志中包含有：“用户ID”、“用户所属机构”、“访问时间”、“访问站点”、“认证返回码”、“用户访问所使用客户端IP”、“用户访问所使用设备标识”等信息。日志采集模块实时采集登录日志并发送至Elasticsearch分布式搜索引擎，借助于Elasticsearch强大的文本检索和统计功能，根据监控预警规则进行实时统计，将统计值与规则设定的阈值进行比较，若超过阈值，则根据规则进行处理。Elasticsearch中的日志数据仅存储10天内的数据，超过10天的数据由日志迁移模块迁移至数据湖中，作为机器学习的样本数据。Kmeans聚类分析主要用于两种场景，一是对数据进行划分，二是发现异常情况。

用户风险行为分析装置主要是通过Kmeans发现异常情况。用户因角色需要对不同应用站点的访问频率也有所差别，同时对以往的登录日志进行分析，用户访问应用所使用的设备一般较为固定，因此将“访问站点”和“用户访问所使用设备标识”作为Kmeans聚类分析所使用的特征变量。同时将用户的访问行为分为“高频访问”、“中频访问”和“低频访问”三种情况，即正常情况下用户的访问行为会收敛于这三类，对于那些异常行为，往往和这三类的中心点距离较大，不能归属于这三类中的某一类。

如图6所示，用户风险行为分析装置主要包括五大模块：日志采集模块、日志检索模块、监控报警模块、日志迁移模块和Kmeans聚类分析模块；日志采集模块实现的功能可以相当于上述发送模块实现的功能，日志检索模块实现的功能可以相当于上述接收模块实现的功能，监控报警模块实现的功能可以相当于上述报警模块实现的功能，Kmeans聚类分析模块实现的功能可以相当于上述分类模块和监测模块结合实现的功能。具体描述如下：

一、日志采集模块

日志采集模块，主要用于将身份认证平台中记录用户登录行为的日志实时采集至Elasticsearch中，主要是通过td-agent实现。td-agent是一个开源的日志采集器，提供了丰富的插件来适配不同的数据源，本模块是将通过td-agent将日志文件中的日志采集至Elasticsearch，主要处理步骤如下。

步骤11)：定义登录日志格式，td-agent通过正则表达式对日志进行拆解出存储至Elasticsearch对应的字段，便于后续在Elasticsearch中统计检索，本方法对应的日志格式如下，通过“##”进行分隔；

访问时间(YYYY-MM-dd HH:mm:ss)##用户ID##用户所属机构##访问站点##认证返回码##用户访问所使用客户端IP##用户访问所使用设备标识

步骤12)：定义td-agent使用的配置文件，td-agent根据该配置文件从对应的数据源中进行解析并传输至对应的输出地址。配置文件主要关注source和match两部分。source即指定对应的数据源和解析的方式，本装置日志采集对应的数据源为日志文件，通过正则表达式对日志进行分割；match即指定日志的输出地址，此处配置为Elasticsearch地址，Elasticsearch提供了HTTP接口，td-agent根据配置的地址调用该接口将日志送至Elasticsearch。

步骤13)：启动td-agent。td-agent启动会会实时扫描对应的日志文件，发现有新日志输出，即将该内容采集传输至Elasticsearch。

二、日志检索模块

日志检索模块，主要用于在海量数据中快速检索出所需的日志信息，该模块基于Grafana+Elasticsearch实现。Grafana是一款强大的开源可视化工具，它支持多种数据源混合配置，能够快速灵活实现图表展示，支持指标报警通知等监控功能。该模块将Elasticsearch作为Grafana的数据源，基于Lucene查询语法直接编写查询语句，即可从Elasticsearch中检索出所需的日志数据并在Grafana中展示。该模块的处理流程如下。

步骤21)：配置Elasticsearch数据源。Grafana提供了数据源配置界面，按照要求将Elasticsearch信息配置好即可。

步骤22)：使用Lucene查询语法编写查询条件，Lucene查询语法类似于SQL，如要查询账号xxx的登录日志，输入查询条件”userId”:xxx即可。

步骤23)：点击“查询”按钮，即能检索出满足查询条件的日志，需要注意的是Elasticsearch上仅保存10日内的用户登录日志，所以该模块最长的时间检索范围仅能是10日内的数据。

三、监控报警模块

Grafana具有监控报警的功能，要开启功能仅需配置相应的规则即可，且Grafana提供了可视化界面进行监控报警规则编辑。该模块的处理流程如下。

步骤31)：编辑监控指标，监控指标的实现主要是通过Elasticsearch的聚合函数对数据进行统计，如指定条件内的求和计算、求平均值计算等。

步骤32)：编辑报警规则。Grafana提供了邮件报警和HTTP接口报警两个报警功能。邮件报警需要配置收件人地址、邮件主题和邮件正文三部分内容；HTTP接口对接行内的报警平台，使用该平台的上送报警信息即可，分别上送监控代码和报警内容。

步骤33)：监控指标与报警规则关联。将监控指标关联所需的报警规则，这样当监控发现指标超过设置的阈值时即可根据关联的报警方式报警。一个监控指标可关联多种报警渠道。

步骤34)：开启监控报警。按照设置的监测周期实时计算监控指标，若连续两个周期指标超过阈值则根据关联的报警渠道报警，同时根据监控指标对应的处理方式进行处理。

四、日志迁移模块

为了提升Elasticsearch的检索效率和机器学习使用的样本数据，日志迁移模块，用于将Elasticsearch超过10日的数据迁移至数据湖中。本模块先将Elasticsearch中的数据传输至Kafka上，再由数据湖平台消费Kafka上的数据，数据湖平台根据登记的入湖信息将从Kafka上拉取的数据写入数据湖中。具体处理步骤如下。

步骤41)：登记入湖信息，主要包括写入Kafka使用的topic、Kafka集群信息、湖上的表结构信息等；

步骤42)：启动后台定时扫描任务，每日零点开始扫描Elasticsearch上的数据，以“用户的访问时间”字段作为判断字段，若该值为当前时间的前10日，则将该数据从Elasticsearch中取出后写入Kafka，Kafka写入成功，再将该数据从Elasticsearch上删除。

步骤43)：数据湖平台根据登记的信息，消费对应kafka集群上的数据，将该数据按指定结构写入数据湖中。

五、Kmeans聚类分析模块

Kmeans聚类分析主要用于两种场景，一是对数据进行划分，二是发现异常情况。本装置主要是通过Kmeans发现异常情况。用户因角色需要对不同应用站点的访问频率也有所差别，同时对以往的登录日志进行分析，用户访问应用所使用的设备一般较为固定，因此将“访问站点”和“用户访问所使用设备标识”作为Kmeans聚类分析所使用的特征变量。同时将用户的访问行为分为“高频访问”、“中频访问”和“低频访问”三种情况，即正常情况下用户的访问行为会收敛于这三类，对于那些异常行为，往往和这三类的中心点距离较大，不能归属于这三类中的某一类。此外由于工作日和非工作日用户的访问习惯也差别较大，因此还需先剔除非工作日数据。该模块的处理步骤如下。

步骤51)：数据清洗。由于非工作日访问应用站点频率和次数与工作日的情况差别较大，且非工作日用户的访问应用量与工作日差别较大，因此将非工作日登录日志剔除，仅保存工作日数据作为样本数据。样本数据的时间范围为最近半年内。

步骤52)：特征变量数值化。由于Kmeans算法需要计算欧几里得距离(空间中两点的距离)，特征变量需要是数值类型，因此需要应用转换规则将“访问站点”和“用户访问所使用设备标识”做数值化转换。

根据转换规则，各用户会形成高、中、低频访问的站点列表和高、中、低频访问的设备列表，这两个列表会根据用户ID存储在关系型数据库中。同时对于“访问站点”和“用户访问所使用设备标识”这两个特征变量，若在对应类型的高频访问列表中，则转换为数值10；中频转换为数值7；低频转换为数值3；其余情况转换为0。根据该规则这两种特种变量即能实现数值化。

步骤53)：计算聚类中心。本装置使用sklearn库实现Kmeans算法，sklearn是基于python开发的机器学习库。由于特征变量分为了高、中、低频三种类型，因此分为三个类簇，计算这三个类簇的聚类中心，将这三个类簇的聚类中心存储在关系型数据库中。

步骤54)：异常距离阈值评估。从历史数据中选取部分经审计发现的用户异常行为的登录日志作为评估数据。评估方法是先将评估数据计算与三类聚类中心的欧几里得距离，取其最小值，最后再将这些最小值计算平均值，该平均值即为异常距离阈值，该值更新至关系型数据库中。

为了保持模型的时效性，可以每隔半个月通过后台定时任务重新执行Kmeans聚类分析模块的处理步骤51)至54)，以获取最新的模型结果。

步骤55)：用户行为是否异常判断。根据用户日志中的“用户ID”从关系型数据库中获取该用户的高、中、低频访问的站点列表、高、中、低频访问的设备列表以及这三类的聚类中心。再根据“访问站点”和“用户访问所使用设备标识”和获取的列表将这两个特征转换为数值。再用获取的数值分别计算与三类聚类中心的欧几里得距离，并获取其最小值，若该最小值大于阈值，则该用户此次的行为存在异常，向该用户的管理员发送报警信息；反之则用户行为正常。

由上述描述可知，本应用实例提供的用户风险行为监测装置，通过将用户的登录日志实时采集至Elasticsearch，借助Elasticsearch高效的文本检索和统计函数实现风险监测规则，快速锁定造成风险的攻击源，对其进行隔离封禁，避免风险进一步扩散。同时借助Kmeans聚类算法可检测异常情况的特点，使用其快速识别用户的行为是否存在异常，避免因员工异常行为带来的损失。

从硬件层面来说，为了提高用户风险行为监测的实时性和可靠性，进而提高业务系统的安全性，本申请提供一种用于实现所述用户风险行为监测方法中的全部或部分内容的电子设备的实施例所述电子设备具体包含有如下内容：

处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线；其中，所述处理器、存储器、通信接口通过所述总线完成相互间的通信；所述通信接口用于实现所述用户风险行为监测装置以及用户终端等相关设备之间的信息传输；该电子设备可以是台式计算机、平板电脑及移动终端等，本实施例不限于此。在本实施例中，该电子设备可以参照实施例用于实现所述用户风险行为监测方法的实施例及用于实现所述用户风险行为监测装置的实施例进行实施，其内容被合并于此，重复之处不再赘述。

图7为本申请实施例的电子设备9600的系统构成的示意框图。如图7所示，该电子设备9600可以包括中央处理器9100和存储器9140；存储器9140耦合到中央处理器9100。值得注意的是，该图7是示例性的；还可以使用其他类型的结构，来补充或代替该结构，以实现电信功能或其他功能。

在本申请一个或多个实施例中，用户风险行为监测功能可以被集成到中央处理器9100中。其中，中央处理器9100可以被配置为进行如下控制：

步骤100：获取当前用户的登录行为日志；

步骤200：根据所述当前用户对应的预存储的站点和设备访问频率类别列表，确定所述登录行为日志对应的站点访问频率类别和设备访问频率类别；

步骤300：根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的风险行为监测结果；所述预设的风险行为监测模型是基于批量历史登录行为日志对应的站点访问频率类别和设备访问频率类别对聚类算法进行训练得到的。

从上述描述可知，本申请的实施例提供的电子设备，能够提高用户风险行为监测的实时性和可靠性，进而提高业务系统的安全性。

在另一个实施方式中，用户风险行为监测装置可以与中央处理器9100分开配置，例如可以将用户风险行为监测装置配置为与中央处理器9100连接的芯片，通过中央处理器的控制来实现用户风险行为监测功能。

如图7所示，该电子设备9600还可以包括：通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是，电子设备9600也并不是必须要包括图7中所示的所有部件；此外，电子设备9600还可以包括图7中没有示出的部件，可以参考现有技术。

如图7所示，中央处理器9100有时也称为控制器或操作控件，可以包括微处理器或其他处理器装置和/或逻辑装置，该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。

其中，存储器9140，例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息，此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序，以实现信息存储或处理等。

输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器，但并不限于此。

该存储器9140可以是固态存储器，例如，只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器，其即使在断电时也保存信息，可被选择性地擦除且设有更多数据，该存储器的示例有时被称为EPROM等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142，该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。

存储器9140还可以包括数据存储部9143，该数据存储部9143用于存储数据，例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。

通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100，以提供输入信号和接收输出信号，这可以和常规移动通信终端的情况相同。

基于不同的通信技术，在同一电子设备中，可以设置有多个通信模块9110，如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132，以经由扬声器9131提供音频输出，并接收来自麦克风9132的音频输入，从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外，音频处理器9130还耦合到中央处理器9100，从而使得可以通过麦克风9132能够在本机上录音，且使得可以通过扬声器9131来播放本机上存储的声音。

上述描述可知，本申请的实施例提供的电子设备，能够提高用户风险行为监测的实时性和可靠性，进而提高业务系统的安全性。

本申请的实施例还提供能够实现上述实施例中的用户风险行为监测方法中全部步骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的用户风险行为监测方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：

步骤100：获取当前用户的登录行为日志；

从上述描述可知，本申请实施例提供的计算机可读存储介质，能够提高用户风险行为监测的实时性和可靠性，进而提高业务系统的安全性。

本申请中上述方法的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。相关之处参见方法实施例的部分说明即可。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本申请中应用了具体实施例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

1.一种用户风险行为监测方法，其特征在于，包括：

获取当前用户的登录行为日志；

根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的风险行为监测结果；

2.根据权利要求1所述的用户风险行为监测方法，其特征在于，在所述获取当前用户的登录行为日志之后，还包括：

3.根据权利要求2所述的用户风险行为监测方法，其特征在于，还包括：

4.根据权利要求1所述的用户风险行为监测方法，其特征在于，还包括：

5.根据权利要求4所述的用户风险行为监测方法，其特征在于，所述应用批量训练样本对聚类算法进行训练，得到所述风险行为监测模型，包括：

6.根据权利要求5所述的用户风险行为监测方法，其特征在于，所述根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的风险行为监测结果，包括：

7.根据权利要求6所述的用户风险行为监测方法，其特征在于，还包括：

8.一种用户风险行为监测装置，其特征在于，包括：

获取模块，用于获取当前用户的登录行为日志；

监测模块，用于根据预设的风险行为监测模型、所述站点访问频率类别和设备访问频率类别，确定所述当前用户的风险行为监测结果；

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至7任一项所述的用户风险行为监测方法。

10.一种计算机可读存储介质，其上存储有计算机指令，其特征在于，所述指令被执行时实现权利要求1至7任一项所述的用户风险行为监测方法。