CN116743510A - 一种检测方法、装置、电子设备、芯片及介质 - Google Patents
一种检测方法、装置、电子设备、芯片及介质 Download PDFInfo
- Publication number
- CN116743510A CN116743510A CN202311021920.7A CN202311021920A CN116743510A CN 116743510 A CN116743510 A CN 116743510A CN 202311021920 A CN202311021920 A CN 202311021920A CN 116743510 A CN116743510 A CN 116743510A
- Authority
- CN
- China
- Prior art keywords
- detection
- user
- authentication information
- abnormal
- behavior data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 221
- 230000002159 abnormal effect Effects 0.000 claims abstract description 63
- 230000004044 response Effects 0.000 claims abstract description 14
- 230000006399 behavior Effects 0.000 claims description 104
- 238000000034 method Methods 0.000 claims description 45
- 238000012549 training Methods 0.000 claims description 27
- 238000003860 storage Methods 0.000 claims description 8
- 230000003542 behavioural effect Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 6
- 230000002093 peripheral effect Effects 0.000 description 6
- 206010000117 Abnormal behaviour Diseases 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000004927 fusion Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013499 data model Methods 0.000 description 3
- 101000742844 Homo sapiens RNA-binding motif protein, Y chromosome, family 1 member A1 Proteins 0.000 description 2
- 102100038040 RNA-binding motif protein, Y chromosome, family 1 member A1 Human genes 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000003058 natural language processing Methods 0.000 description 2
- 101001046999 Homo sapiens Kynurenine-oxoglutarate transaminase 3 Proteins 0.000 description 1
- 101001076867 Homo sapiens RNA-binding protein 3 Proteins 0.000 description 1
- 102100025902 RNA-binding protein 3 Human genes 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000002775 capsule Substances 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000946 synaptic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开提供一种检测方法、装置、电子设备、芯片及介质,涉及网络安全技术领域,该方法包括:响应于用户操作,获取认证信息和行为数据;将认证信息输入至第一检测模型,确定第一检测结果,第一检测结果指示认证信息正常或异常;将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常;基于第一检测结果和第二检测结果,确定用户的身份特征是否异常,通过校验用户认证信息和行为数据进行用户身份特征检测,提高用户检测信息的维度,加强了身份盗用攻击检测的检测精度和鲁棒性。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种检测方法、装置、电子设备、芯片及介质。
背景技术
随着互联网的不断发展,网络安全面临着严峻的形势,网络中的身份盗用攻击越来越频繁。身份盗用攻击是指攻击者通过使用社工库、欺骗、盗用或破解获得的用户认证凭证,合法的在网络中进行移动,伺机侵入更多的计算机,并实施不限于盗取数据、修改权限、破坏生产的恶意行为。因此,身份盗用攻击检测是保护网络安全的重要手段之一。
相关技术中使用的身份盗用攻击检测方式主要分为两类:一类是基于用户认证信息的身份盗用攻击检测;另一类是基于用户操作数据的身份盗用攻击检测。第一类身份盗用攻击检测,因用户认证信息的维度较低,能够使用得到数据或者信息有限,容易伪造认证信息,存在安全风险。对于第二类身份盗用攻击检测方式,是对用户的行为数据结果进行检测,并没有直接对用户的行为数据进行检测,检测结果受限于预先定义的异常行为数据,容易导致检测效果较差。
发明内容
本公开提供一种检测方法、装置、电子设备、芯片及介质,以解决相关技术中检测效果较差的问题,通过校验用户认证信息和行为数据进行用户身份特征检测,提高用户检测信息的维度,加强了身份盗用攻击检测的检测精度和鲁棒性。
本公开的第一方面实施例提出了一种检测方法,该方法包括:响应于用户操作,获取认证信息和行为数据;将认证信息输入至第一检测模型,确定第一检测结果,第一检测结果指示认证信息正常或异常;将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常;基于第一检测结果和第二检测结果,确定用户的身份特征是否异常。
在本公开的一些实施例中,响应于用户操作,获取认证信息和行为数据包括:响应于用户的认证操作,获取用户的认证信息,认证标识包括终端设备的物理信息以及用户输入的认证标识;响应于用户的输入设备操作,获取输入设备的行为数据,输入设备包括按键和鼠标,行为数据包括按键的时间数据和鼠标的运动数据。
在本公开的一些实施例中,将认证信息输入至第一检测模型,确定第一检测结果,第一检测结果指示认证信息正常或异常包括:判断认证信息与预设配置表中的配置信息是否匹配,若认证信息与配置信息匹配,确定认证信息正常,若认证信息与配置信息不匹配,确定认证信息异常。
在本公开的一些实施例中,将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常之前,包括:对存储的历史行为数据进行正相操作和反相操作,获取训练数据;利用训练数据对三层深度置信网络模型进行训练,得到第二检测模型。
在本公开的一些实施例中,将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常,包括:将按键的时间数据和鼠标的运动数据输入至第二检测模型,确定行为数据正常或异常。
在本公开的一些实施例中,基于所述第一检测结果和所述第二检测结果,确定所述用户的身份特征是否异常包括:若认证信息正常和行为数据正常,确定用户的身份特征正常;若认证信息异常和/或行为数据异常,确定用户的身份特征异常,并进行异常处理。
本公开的第二方面实施例提出了一种检测装置,该装置包括:获取单元,用于响应于用户操作,获取认证信息和行为数据;第一确定单元,用于将认证信息输入至第一检测模型,确定第一检测结果,第一检测结果指示认证信息正常或异常;第二确定单元,用于将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常;第三确定单元,用于基于第一检测结果和第二检测结果,确定用户的身份特征是否异常。
本公开的第三方面实施例提出了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本公开第一方面实施例中描述的方法。
本公开的第四方面实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本公开第一方面实施例中描述的方法。
本公开的第五方面实施例提出了一种芯片,该芯片包括一个或多个接口电路和一个或多个处理器;接口电路用于从电子设备的存储器接收信号,并向处理器发送信号,信号包括存储器中存储的计算机指令,当处理器执行计算机指令时,使得电子设备执行本公开第一方面实施例中描述的方法。
综上,根据本公开提出的检测方法,响应于用户操作,获取认证信息和行为数据;将认证信息输入至第一检测模型,确定第一检测结果,第一检测结果指示认证信息正常或异常;将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常;基于第一检测结果和第二检测结果,确定用户的身份特征是否异常,通过校验用户认证信息和行为数据进行用户身份特征检测,提高用户检测信息的维度,加强了身份盗用攻击检测的检测精度和鲁棒性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理,并不构成对本公开的不当限定。
图1为本公开实施例提供的一种检测方法的流程图;
图2为本公开实施例提供的一种检测方法的流程图;
图3为本公开实施例提供的一种用户认证信息监测模型的示意图;
图4为本公开实施例提供的一种三层深度置信网络模型的示意图;
图5为本公开实施例提供的一种用户身份盗用攻击检测的融合模型的示意图
图6为本公开实施例提供的一种检测装置的结构示意图;
图7为本公开实施例提供的电子设备的结构示意图。
具体实施方式
下面详细描述本公开的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实。
随着互联网的不断发展,网络安全已经成为现代信息社会中最重要的需求之一。目前,网络安全面临着严峻的形势,网络中的身份盗用攻击越来越频繁,身份盗用攻击是指攻击者通过使用社工库、欺骗、盗用或破解获得的用户认证凭证,合法的在网络中进行移动,伺机侵入更多的计算机,并实施不限于盗取数据、修改权限、破坏生产的恶意行为。由于这种攻击使用的身份凭证和真实用户完全一致,传统的访问授权和权限控制难以对这种通过认证用户的攻击行为进行的数据盗取、生产破坏等恶意行为进行有效的识别。因此,身份盗用攻击检测是保护网络安全的重要手段之一。
相关技术中针对身份盗用攻击检测的技术方案主要有2种:
1、基于用户认证信息的身份盗用攻击检测:利用用户和计算机之间的连接关系,为用户建立身份认证图,通过提取出图中的维度信息、图密度、直径等拓扑信息,使用回归分类算法对认证用户进行分类,从而识别出异常的登录用户。
但是,用户认证信息的维度较低,能够使用得到数据或者信息有限,导致对已认证用户的信息分析不充分,没有能够表现出来正常用户和被盗用户之间的认证信息差异。比如使用登录IP,登录地点和登录设备认证信息的联合认证方式只有三个认证信息维度,且容易伪造以绕过检测。同时,用户认证信息通常会随着工作内容的变化而变化,基于认证信息的检测方法不具有普适性,难以进行真实的生产应用。
2、基于用户操作数据的身份盗用攻击检测:基于用户操作数据的检测方法通过定义一些恶意或异常的行为,并检测节点状态是否偏移到正常行为的范围以外,如统计学、偏差距离度量、历史数据统计和基于模型的分析方法等,提出了一些基于异常行为的检测方法,试图准确区别正常行为和异常行为。比如基于日志行为数据的检测方法,基于输入命令行为数据的检测方法。
但是,该检测方法大多是对用户的操作数据的检测,并没有对用户的行为数据进行检测,而用户的操作数据是行为数据的结果,容易导致检测效果较差。
可见,相关技术中仅通过当前检测方案的检测效果较差,存在安全风险。
为了解决相关技术中存在的问题,本公开提出一种检测方法,通过基于深度置信网络的身份盗用攻击检测方法,通过融合可配置的用户认证信息检测模型和多维度的用户外设行为数据模型,建立了一个多重的用户身份盗用防范模型,提升了检测信息的维度和普适性,同时通过该模型进行并行检测,具有较好的检测精度和鲁棒性。
本公开提出的方法可以应用于云计算、身份盗用、机器学习、用户交互行为等领域,在本公开实施例中不予限制。
下面结合附图对本申请所提供的检测方法进行详细介绍。
图1为本公开实施例提供的一种检测方法的流程图。如图1所示,该检测方法包括步骤101-104。
步骤101,响应于用户操作,获取认证信息和行为数据。
在本公开的实施例中,用户操作包括用户的认证操作和输入设备操作,通过记录用户的认证操作和输入设备操作,确定当前用户对应的认证信息和行为信息。
认证信息是指用户在终端设备上登录和验证其他应用程序、服务和网站时使用的各种安全凭据和信息。认证标识包括终端设备的物理信息以及用户输入的认证标识。
行为数据是通过记录用户在应用程序、服务和网站的操作数据计算得到的输入设备的时间数据和运动数据。输入设备可以包括鼠标和键盘。
步骤102,将认证信息输入至第一检测模型,确定第一检测结果,第一检测结果指示认证信息正常或异常。
在本公开的实施例中,第一检测模型是指认证信息检测模型,通过第一检测模型判断当前的认证信息是否正常。
其中,用户认证信息检测模型采用配置式的方法,通过将认证信息和预设配置表中的配置信息进行匹配,通过匹配成功或者失败的结果决定当前认证信息正常或异常。
预设配置表是预先存储至终端设备中的,该预设配置表中的配置信息可以根据实际需求进行设定,在本公开实施例中不予限制。
步骤103,将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常。
在本公开的实施例中,第二检测模型是指行为数据检测模型,是通过三层深度置信网络模型训练得到的。深度置信网络(Deep Belief Network,DBN)是由多层用于学习的结构形成的一种人工神经网络应用模型。
通过将输入设备的行为数据输入至第二检测模型,确定当前行为数据是否正常。
步骤104,基于第一检测结果和第二检测结果,确定用户的身份特征是否异常。
在本公开的实施例中,结合第一检测结果和第二检测结果,确定当前用户的身份特征是否异常,即确定当前用户是否为身份盗用攻击者。
可以理解的是,确定用户的身份特征是否异常需要通过并行检测的方式进行用户认证信息和行为数据的校验,只有用户的认证信息和和行为数据都通过检测之后,才能认为该用户为非身份盗用攻击者,否则将被判定为身份盗用攻击者。
综上,根据本公开提出的检测方法,响应于用户操作,获取认证信息和行为数据;将认证信息输入至第一检测模型,确定第一检测结果,第一检测结果指示认证信息正常或异常;将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常;基于第一检测结果和第二检测结果,确定用户的身份特征是否异常,通过校验用户认证信息和行为数据进行用户身份特征检测,提高用户检测信息的维度,加强了身份盗用攻击检测的检测精度和鲁棒性。
基于图1所示的实施例,图2进一步示出本公开提出的一种检测方法的流程图。图2基于图1所示的实施例,对步骤101、步骤102、步骤103、步骤104进行进一步定义。在图2所示的实施例中,步骤101包括步骤201、步骤202,步骤102包括步骤203,步骤103包括步骤204,步骤104包括步骤205和步骤206。该方法应用于适用于检测场景,如图2所示,该方法包括如下步骤:
步骤201,响应于用户的认证操作,获取用户的认证信息,认证标识包括终端设备的物理信息以及用户输入的认证标识。
在本公开的实施例中,在用户进行认证操作时,不仅需要获取用户提交的认证标识,例如用户输入的登录账号和登录密码。还需获取当次用户所使用的终端设备的物理信息,物理信息可以包括电脑型号、IP信息、MAC信息、归属地、时间等。
步骤202,响应于用户的输入设备操作,获取输入设备的行为数据,输入设备包括按键和鼠标,行为数据包括按键的时间数据和鼠标的运动数据。
在本公开的实施例中,由于输入设备包括按键和鼠标,所以在用户进行输入设备操作时,需要收集鼠标行为数据和按键行为数据。按键的时间数据包括按键的持续时间和击键频率。鼠标的运动数据包括鼠标的移动速度和移动距离。
在本公开的一种可选的实施例中,收集鼠标行为数据包括:当用户想要选择或编辑云系统中的应用/数据时,会发生鼠标移动,例如拖动、点击和双击。将鼠标移动的方向分为八类,即上下、左右、斜对角八个方向。并记录鼠标移动的距离和速度的平均值和方差。
对于鼠标右键单击(MRclick)、鼠标左键单击(MLclick)、鼠标双击(MDclick)和鼠标拖动(MDrag)这些操作,记录鼠标操作的速度。如表1所示,其中是和否表示是否记录对应记录操作的距离和速度。
表1 鼠标行为数据模型
其中,鼠标的移动速度是根据当前鼠标开始移动的坐标位置、当前的时间,鼠标移动结束的时的位置坐标计算得到的。
对于鼠标移动距离的计算通过N-grams方法实现。对于离散值,用户的第 k 个行为的集合表示为 K = {k1 , k2, ...kn},第k个行为出现的频率通过公式1计算:
公式1
n表示n-grams中的n,即将文本分成连续的n个单词或字符序列,在公式1中表示一个行为序列中的行为个数。 K:表示一个行为序列。 fn表示K在n-grams中出现的频率,即K中出现的n-grams的数量。i表示K中n-grams的起始位置,i的取值范围为[1, N+1-n],其中N是K中行为的数量(N是固定的,n是动态的划分,对于不同的n会有不同的概率)。
可以理解的是,n-gram表示一种概率计算的方法,公式1和自然语言处理中的n-grams同义,不同于自然语言处理中用于计算单词上下文之间的出现概率,公式1用于计算某一个行为序列K在n个行为序列中出现的概率(比如连续拖动鼠标之后,用户将要进行某种操作的概率)。
通过公式1计算得到的频率,以及Jaccard系数计算两个行为集合之间的距离,如公式2所示:
公式2
表示两个行为序列之间的空间距离。Jaccard系数(Jaccard index,又称为杰卡德相似系数)用于比较有限样本集之间的相似性与差异性。
在本公开的一种可选的实施例中,收集按键行为数据包括:当用户按下特定功能的按键时,会发生击键事件。表2显示了本方法中使用的关键事件。分别是KNum(包含数字键1,2,3,…),KAlpha(字母,如A,b,c,…),KShift (Shift+num,Alpha),KCtrl (ctrl键,alt,win),KDir(键如->,<-),KFunc (F1,F2,…),KOhter (tab,capslocak,…)等。通过响应用户的按键操作,记录下操作的持续时间和延迟时间。
表2按键行为数据模型
持续时间定义为按下按键和松开按键的时间之差,由公式3定义:
公式3
其中user表示用户u,timep(u,K)表示按下用户user按下按键的时间,timer(u,K)表示用户user松开按键的时间。
延迟时间定义为按键的击键频率,即松开当前按键到按下下一个按键之间的时间差,由公式4定义:
公式4
其中u表示用户u,timer(u,K)表示用户u松开当前按键的时间,timep(u,K)表示用户u按下下一个按键的时间。
按键操作的特征向量由如下公式5定义:
公式5
步骤203,判断认证信息与预设配置表中的配置信息是否匹配,确定认证信息正常或异常。
在本公开的实施例中,判断认证信息与预设配置表中的配置信息是否匹配,若认证信息与配置信息匹配,确定认证信息正常,若认证信息与配置信息不匹配,确定认证信息异常。
在本公开的一种可选的实施例中,如图3所示,用户认证信息检测模型采用配置式的方法,在用户进行认证或者认证后操作时,将用户携带的认证信息和预设配置表中的配置信息进行匹配,通过匹配成功或者失败的结果决定是否放行进行下一步操作。
步骤204,将按键的时间数据和鼠标的运动数据输入至第二检测模型,确定行为数据正常或异常。
在本公开的实施例中,将按键的时间数据和所述鼠标的运动数据输入至训练好的第二检测模型,确定行为数据正常或异常。
需要注意的是,将行为数据输入至第二检测模型之前,需要通过对存储的历史行为数据进行正相操作和反相操作,获取训练数据;利用训练数据对三层深度置信网络模型进行训练,得到第二检测模型。
在本公开的一种可选的实施例中,基于三层深度置信网络(由三个堆叠的RBM组成)进行模型的训练。如图4所示,RBM1由可见层和隐藏层1组成,RBM2由隐藏层1和2组成,RBM3由隐藏层2和3组成。
三层深度置信网络模型的权重和偏置将会一直被优化,直到达到设置的最大训练次数。其训练过程的输入为按键和鼠标数据,最大训练次数,初始化的权重和偏置,输出为可以进行用户攻击检测的二分类模型,即第二检测模型。
对三层深度置信网络模型进行训练包括:在初始化受限玻尔兹曼机(RBM)层中所有神经元的突触权重和偏差时,使用正相和反相公式训练RBM的第一个隐藏层,即对每个输入数据执行两种操作:正相和负相,以得到训练数据。当训练次数小于最大训练次数的情况下,通过训练数据,更新权重和偏置,同时将第一层的输出数据作为下一层的输入数据,以训练RBM的连续层,直到训练次数等于最大训练次数,此时训练结束,得到第二检测模型。
其中,最大训练次数可以依据实际需求设定,在本公开实施例中不予限制。输入数据包括历史行为数据。正相操作是将历史行为数据从可见层对转换到隐藏层,而负相将历史行为数据从隐藏层转换到对应的可见层。
正相和负相转换公式6所示:
--正相操作
--负相操作公式6
其中,公式6中的参数用于描述受限玻尔兹曼机(RBM)的概率模型,其中RBM被用于对行为序列进行建模和特征提取。vi表示第i个可见节点,即输入节点,代表行为序列中的一个行为。hi表示第i个隐藏节点,即输出节点,代表行为序列中的一个状态。bi表示第i个可见节点的偏置。ci表示第i个隐藏节点的偏置。wij表示从可见节点i到隐藏节点j的连接权重。sigm(x)表示sigmoid函数,其定义为1 / (1 + exp(-x)),其作用是将x映射到0到1之间的值,用于计算节点的激活状态。
步骤205,若认证信息正常和行为数据正常,确定用户的身份特征正常。
步骤206,若认证信息异常和/或行为数据异常,确定用户的身份特征异常,并进行异常处理。
在本公开的实施例中,异常处理可以包括拦截登录,上报告警信息等。通过将第一检测模型和第二检测模型结合,得到用户身份盗用攻击检测的融合模型,通过分别对认证信息和行为数据进行检测,获取最终的检测结构,以此提高检测精度。
在本公开的一种可选的实施例中,可以采用用户身份盗用攻击检测的融合模型的并联检测的方式,在用户登录后,采用模块并行检测的方式进行用户认证信息和行为数据的校验。即通过第一检测模型检测用户认证信息,通过第二检测模型检测行为数据,如图5所示,只有用户的认证信息和和行为数据都通过检测之后,才能认为该用户为非身份盗用攻击者,否则将被判定为身份盗用攻击者,同时阻止用户的操作,并进行告警或者其他处理。
可以理解的是,对于认证信息和行为数据的检测顺序在本公开实施例中不予限制,可以同时进行检测,也可以先检测其中一方。
综上,通过本公开的提供的方法,通过基于用户认证信息和外设行为数据融合的身份盗用攻击检测方法,提高检测精度。基于外设行为数据的用户身份检测模型,基于用户的对外设的操作数据进行建模,以判断是否为正常用户的操作。相较于其它针对输入后数据的检测方法(如:日志,命令行数据等),第二检测模型从用户的操作根源出发,直接分析用户和电脑交互的工具:键盘和数据的操作数据,是一种具有普适性的分析方法,不针对任何特定领域和工作场景,具有较好的检测鲁棒性。同时在训练第二模型的过程中,提出了对输入数据的正相和反相数据操作,在外设行为数据集上有着较好的检测精度。
图6为本公开实施例提供的一种检测装置600的结构示意图。如图6所示,该检测装置包括:
获取单元610,用于响应于用户操作,获取认证信息和行为数据;
第一确定单元620,用于将认证信息输入至第一检测模型,确定第一检测结果,第一检测结果指示认证信息正常或异常;
第二确定单元630,用于将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常;
第三确定单元640,用于基于第一检测结果和第二检测结果,确定用户的身份特征是否异常。
在一些实施例中,获取单元610用于:响应于用户的认证操作,获取用户的认证信息,认证标识包括终端设备的物理信息以及用户输入的认证标识;响应于用户的输入设备操作,获取输入设备的行为数据,输入设备包括按键和鼠标,行为数据包括按键的时间数据和鼠标的运动数据。
在一些实施例中,第一确定单元620用于:判断认证信息与预设配置表中的配置信息是否匹配,若认证信息与配置信息匹配,确定认证信息正常,若认证信息与配置信息不匹配,确定认证信息异常。
在一些实施例中,装置600还包括:训练单元,用于对存储的历史行为数据进行正相操作和反相操作,获取训练数据;利用训练数据对三层深度置信网络模型进行训练,得到第二检测模型。
在一些实施例中,第二确定单元630用于:将按键的时间数据和鼠标的运动数据输入至第二检测模型,确定行为数据正常或异常。
在一些实施例中,第三确定单元640用于:若认证信息正常和行为数据正常,确定用户的身份特征正常;若认证信息异常和/或行为数据异常,确定用户的身份特征异常,并进行异常处理。
综上,通过检测装置,响应于用户操作,获取认证信息和行为数据;将认证信息输入至第一检测模型,确定第一检测结果,第一检测结果指示认证信息正常或异常;将行为数据输入至第二检测模型,确定第二检测结果,第二检测指示行为数据正常或异常;基于第一检测结果和第二检测结果,确定用户的身份特征是否异常,通过校验用户认证信息和行为数据进行用户身份特征检测,提高用户检测信息的维度,加强了身份盗用攻击检测的检测精度和鲁棒性。
与上述几种实施例提供的方法相对应,本公开还提供一种检测装置,由于本公开实施例提供的装置与上述几种实施例提供的方法相对应,因此方法的实施方式也适用于本实施例提供的装置,在本实施例中不再详细描述。
上述本申请提供的实施例中,对本申请实施例提供的方法及装置进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,电子设备可以包括硬件结构、软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能可以以硬件结构、软件模块、或者硬件结构加软件模块的方式来执行。
图7是根据一示例性实施例示出的一种用于实现上述检测方法的电子设备700的框图。例如,电子设备700可以是移动电话,计算机,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图7,电子设备700可以包括以下一个或多个组件:处理组件702,存储器704,电源组件706,多媒体组件708,音频组件710,输入/输出(I/O)的接口712,传感器组件714,以及通信组件716。
处理组件702通常控制电子设备700的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件702可以包括一个或多个处理器720来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件702可以包括一个或多个模块,便于处理组件702和其他组件之间的交互。例如,处理组件702可以包括多媒体模块,以方便多媒体组件708和处理组件702之间的交互。
存储器704被配置为存储各种类型的数据以支持在电子设备700的操作。这些数据的示例包括用于在电子设备700上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器704可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件706为电子设备700的各种组件提供电力。电源组件706可以包括电源管理系统,一个或多个电源,及其他与为电子设备700生成、管理和分配电力相关联的组件。
多媒体组件708包括在电子设备700和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件708包括一个前置摄像头和/或后置摄像头。当电子设备700处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件710被配置为输出和/或输入音频信号。例如,音频组件710包括一个麦克风(MIC),当电子设备700处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器704或经由通信组件716发送。在一些实施例中,音频组件710还包括一个扬声器,用于输出音频信号。
I/O接口712为处理组件702和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件714包括一个或多个传感器,用于为电子设备700提供各个方面的状态评估。例如,传感器组件714可以检测到电子设备700的打开/关闭状态,组件的相对定位,例如组件为电子设备700的显示器和小键盘,传感器组件714还可以检测电子设备700或电子设备700一个组件的位置改变,用户与电子设备700接触的存在或不存在,电子设备700方位或加速/减速和电子设备700的温度变化。传感器组件714可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件714还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件714还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件716被配置为便于电子设备700和其他设备之间有线或无线方式的通信。电子设备1000可以接入基于通信标准的无线网络,如WiFi,2G或3G,4G LTE、5G NR(NewRadio)或它们的组合。在一个示例性实施例中,通信组件716经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件716还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,电子设备700可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器704,上述指令可由电子设备700的处理器720执行以完成上述方法。例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本公开的实施例还提出了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本公开上述实施例中描述的检测方法。
本公开的实施例还提出一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行本公开上述实施例中描述的检测方法。
本公开的实施例还提出了一种芯片,该芯片包括一个或多个接口电路和一个或多个处理器;接口电路用于从电子设备的存储器接收信号,并向处理器发送信号,信号包括存储器中存储的计算机指令,当处理器执行计算机指令时,使得电子设备执行本公开上述实施例中描述的检测方法。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本说明书的描述中,参考术语“一个实施方式”、“一些实施方式”、“示意性实施方式”、“示例”、“具体示例”或“一些示例”等的描述意指结合实施方式或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理模块的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(控制方法),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得程序,然后将其存储在计算机存储器中。
应当理解,本发明的实施方式的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明的各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。
尽管上面已经示出和描述了本发明的实施方式,可以理解的是,上述实施方式是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施实施进行变化、修改、替换和变型。
Claims (10)
1.一种检测方法,其特征在于,所述方法包括:
响应于用户操作,获取认证信息和行为数据;
将所述认证信息输入至第一检测模型,确定第一检测结果,所述第一检测结果指示所述认证信息正常或异常;
将所述行为数据输入至第二检测模型,确定第二检测结果,所述第二检测指示所述行为数据正常或异常;
基于所述第一检测结果和所述第二检测结果,确定所述用户的身份特征是否异常。
2.根据权利要求1所述的方法,其特征在于,所述响应于用户操作,获取认证信息和行为数据包括:
响应于用户的认证操作,获取所述用户的认证信息,所述认证标识包括终端设备的物理信息以及用户输入的认证标识;
响应于所述用户的输入设备操作,获取所述输入设备的行为数据,所述输入设备包括按键和鼠标,所述行为数据包括所述按键的时间数据和所述鼠标的运动数据。
3.根据权利要求2所述的方法,其特征在于,所述将所述认证信息输入至第一检测模型,确定第一检测结果,所述第一检测结果指示所述认证信息正常或异常包括:
判断所述认证信息与预设配置表中的配置信息是否匹配,
若所述认证信息与所述配置信息匹配,确定所述认证信息正常,
若所述认证信息与所述配置信息不匹配,确定所述认证信息异常。
4.根据权利要求2所述的方法,其特征在于,所述将所述行为数据输入至第二检测模型,确定第二检测结果,所述第二检测指示所述行为数据正常或异常之前,包括:
对存储的历史行为数据进行正相操作和反相操作,获取训练数据;
利用所述训练数据对三层深度置信网络模型进行训练,得到所述第二检测模型。
5.根据权利要求4所述的方法,其特征在于,所述将所述行为数据输入至第二检测模型,确定第二检测结果,所述第二检测指示所述行为数据正常或异常,包括:
将所述按键的时间数据和所述鼠标的运动数据输入至第二检测模型,确定所述行为数据正常或异常。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述基于所述第一检测结果和所述第二检测结果,确定所述用户的身份特征是否异常包括:
若所述认证信息正常和所述行为数据正常,确定所述用户的身份特征正常;
若所述认证信息异常和/或所述行为数据异常,确定所述用户的身份特征异常,并进行异常处理。
7.一种检测装置,其特征在于,所述装置包括:
获取单元,用于响应于用户操作,获取认证信息和行为数据;
第一确定单元,用于将所述认证信息输入至第一检测模型,确定第一检测结果,所述第一检测结果指示所述认证信息正常或异常;
第二确定单元,用于将所述行为数据输入至第二检测模型,确定第二检测结果,所述第二检测指示所述行为数据正常或异常;
第三确定单元,用于基于所述第一检测结果和所述第二检测结果,确定所述用户的身份特征是否异常。
8.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-6中任一项所述的方法。
9.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行根据权利要求1-6中任一项所述的方法。
10.一种芯片,其特征在于,包括一个或多个接口电路和一个或多个处理器;所述接口电路用于从电子设备的存储器接收信号,并向所述处理器发送所述信号,所述信号包括存储器中存储的计算机指令,当所述处理器执行所述计算机指令时,使得所述电子设备执行权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311021920.7A CN116743510A (zh) | 2023-08-15 | 2023-08-15 | 一种检测方法、装置、电子设备、芯片及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311021920.7A CN116743510A (zh) | 2023-08-15 | 2023-08-15 | 一种检测方法、装置、电子设备、芯片及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116743510A true CN116743510A (zh) | 2023-09-12 |
Family
ID=87904774
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311021920.7A Pending CN116743510A (zh) | 2023-08-15 | 2023-08-15 | 一种检测方法、装置、电子设备、芯片及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116743510A (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113496015A (zh) * | 2020-04-01 | 2021-10-12 | 中国移动通信有限公司研究院 | 一种身份认证方法、装置和计算机可读存储介质 |
-
2023
- 2023-08-15 CN CN202311021920.7A patent/CN116743510A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113496015A (zh) * | 2020-04-01 | 2021-10-12 | 中国移动通信有限公司研究院 | 一种身份认证方法、装置和计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI724736B (zh) | 圖像處理方法及裝置、電子設備、儲存媒體和電腦程式 | |
| EP3279822B1 (en) | Identity verification method and device | |
| CN111612070B (zh) | 基于场景图的图像描述生成方法及装置 | |
| Shezan et al. | Read between the lines: An empirical measurement of sensitive applications of voice personal assistant systems | |
| US11416703B2 (en) | Network optimization method and apparatus, image processing method and apparatus, and storage medium | |
| CN111259967B (zh) | 图像分类及神经网络训练方法、装置、设备及存储介质 | |
| CN110191085B (zh) | 基于多分类的入侵检测方法、装置及存储介质 | |
| CN107220614B (zh) | 图像识别方法、装置及计算机可读存储介质 | |
| JP7482326B2 (ja) | 身元認証方法および装置、電子機器並びに記憶媒体 | |
| CN108345581A (zh) | 一种信息识别方法、装置和终端设备 | |
| CN114338083A (zh) | 控制器局域网络总线异常检测方法、装置和电子设备 | |
| CN111242188A (zh) | 入侵检测方法、装置及存储介质 | |
| Zhang et al. | Using AI to attack VA: a stealthy spyware against voice assistances in smart phones | |
| CN112270288A (zh) | 活体识别、门禁设备控制方法和装置、电子设备 | |
| CN112381091B (zh) | 视频内容识别方法、装置、电子设备及存储介质 | |
| TWI770531B (zh) | 人臉識別方法、電子設備和儲存介質 | |
| CN111797746B (zh) | 人脸识别方法、装置及计算机可读存储介质 | |
| US10095911B2 (en) | Methods, devices, and computer-readable mediums for verifying a fingerprint | |
| CN111062407A (zh) | 图像处理方法及装置、电子设备和存储介质 | |
| CN116743510A (zh) | 一种检测方法、装置、电子设备、芯片及介质 | |
| CN111860552A (zh) | 基于核自编码器的模型训练方法、装置及存储介质 | |
| CN110213062A (zh) | 处理消息的方法及装置 | |
| CN115146633A (zh) | 一种关键词识别方法、装置、电子设备及存储介质 | |
| CN110149310B (zh) | 流量入侵检测方法、装置及存储介质 | |
| CN111753266A (zh) | 用户认证方法、多媒体内容的推送方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |