WO2016082462A1

WO2016082462A1 - 识别用户行为的方法及装置

Info

Publication number: WO2016082462A1
Application number: PCT/CN2015/078019
Authority: WO
Inventors: 张华�; 夏翼; 洪定坤; 王海洲
Original assignee: 小米科技有限责任公司
Priority date: 2014-11-27
Filing date: 2015-04-30
Publication date: 2016-06-02
Also published as: MX2015009131A; BR112015018912A2; EP3026864B1; MX350670B; US20160156653A1; CN104486298A; EP3026864A1; RU2015128769A; RU2628127C2; JP2017503293A; KR20160077009A; KR101677217B1; CN104486298B

Abstract

一种识别用户行为的方法及装置，用于更有效、更准确的识别恶意行为。所述方法包括：获取在预设的时间滑动窗口内的终端的访问行为(101)；根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估(102)；根据评估结果确定所述终端的访问行为是否为恶意访问(103)。

Description

识别用户行为的方法及装置

本申请基于申请号为201410708281.6、申请日为2014年11月27日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本公开涉及通信及计算机处理领域，尤其涉及识别用户行为的方法及装置。

背景技术

随着互联网的发展，通过网络实现了资源共享。人们可以通过网络方便快捷的获取丰富的信息。在人们获取信息的同时，不少网站面临着各种恶意攻击。

本公开的发明人发现，相关技术中，一种恶意攻击方式是在较短的时间内频繁的向网站发送数据包。这种情况经常发生在抢购商品的时候，在短时间内频繁的访问网站，以抢购降价商品。这种高频次的访问行为一般是通过抢购软件来实现，人为操作无法得到该频次。相关技术中有些手段可以阻止该恶意行为，但是阻止的效果不理想。因此，如何更有效的识别用户的恶意行为，是亟待解决的问题。

发明内容

为克服相关技术中存在的问题，本公开提供一种识别用户行为的方法及装置。

根据本公开实施例的第一方面，提供一种识别用户行为的方法，包括：

获取在预设的时间滑动窗口内的终端的访问行为；

根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估；

根据评估结果确定所述终端的访问行为是否为恶意访问。

本公开的实施例提供的技术方案可以包括以下有益效果：本实施例通过时间滑动窗口实时监控用户的访问行为，并对访问行为进行评估，据此来判断用户的访问行为是否存在恶意。

在一个实施例中，所述时间滑动窗口包括m个等分的时间片；

所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估，包括：

针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阈值，得到n个访问次数超过预设的分片次数阈值的时间片；

判断n与m的比例是否超过预设的第一比例阈值；

所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：

在n与m的比例超过预设的第一比例阈值时，确定所述终端的访问行为为恶意访问。

本公开的实施例提供的技术方案可以包括以下有益效果：本实施例通过对每个时间片内的访问行为监控，检查访问次数是否持续位于比较高的值，据此来评估访问行为是否存在恶意，评估结果更准确。

在一个实施例中，所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估，包括：

针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔；

根据获得的时间间隔，计算访问行为的时间方差；

判断所述时间方差是否大于预设的方差阈值；

在所述时间方差大于预设的方差阈值时，确定所述终端的访问行为为恶意访问。

本公开的实施例提供的技术方案可以包括以下有益效果：本实施例通过对时间间隔进行方差计算，来判断访问行为是否是以一个固定的频率发生，如果是，则可确定该访问行为是由软件触发，而不是用户。据此可更准确的识别出恶意行为。

根据获得的时间间隔，计算访问行为的时间方差；

计算所述时间方差与时间间隔的平均值的比值；

判断所述比值是否小于预设的第二比例阈值；

在所述比值小于预设的第二比例阈值时，确定所述终端的访问行为为恶意访问。

本公开的实施例提供的技术方案可以包括以下有益效果：本实施例可以将方差与时间间隔的平均值做进一步比较，可更准确的识别出恶意行为。

获得所述时间滑动窗口内的访问行为的总数；

判断所述总数是否超过预设的总数阈值；

根据判断结果，对所述时间滑动窗口内的访问行为进行评估。

本公开的实施例提供的技术方案可以包括以下有益效果：本实施例在上述方案的基础上，利用访问行为的总数进一步对访问行为进行评估，可更准确的识别出恶意行为。

根据本公开实施例的第二方面，提供一种识别用户行为的装置，包括：

获取模块，用于获取在预设的时间滑动窗口内的终端的访问行为；

评估模块，用于根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估；

确定模块，用于根据评估结果确定所述终端的访问行为是否为恶意访问。

在一个实施例中，所述时间滑动窗口包括m个等分的时间片；

所述评估模块包括：

时间片子模块，用于针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阈值，得到n个访问次数超过预设的分片次数阈值的时间片；

第一比例子模块，用于判断n与m的比例是否超过预设的第一比例阈值；

所述确定模块在n与m的比例超过预设的第一比例阈值时，确定所述终端的访问行为为恶意访问。

在一个实施例中，所述评估模块包括：

间隔子模块，用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔；

方差子模块，用于根据获得的时间间隔，计算访问行为的时间方差；

第一评估子模块，用于判断所述时间方差是否大于预设的方差阈值；

所述确定模块在所述时间方差大于预设的方差阈值时，确定所述终端的访问行为为恶意访问。

在一个实施例中，所述第一评估模块包括：

比值子模块，用于计算所述时间方差与时间间隔的平均值的比值；

第二比例子模块，用于判断所述比值是否小于预设的第二比例阈值；

所述确定模块在所述比值小于预设的第二比例阈值时，确定所述终端的访问行为为恶意访问。

在一个实施例中，所述评估模块包括：

总数子模块，用于获得所述时间滑动窗口内的访问行为的总数；

总数判断子模块，用于判断所述总数是否超过预设的总数阈值；

第二评估子模块，用于根据判断结果，对所述时间滑动窗口内的访问行为进行评估。

根据本公开实施例的第三方面，提供一种识别用户行为的装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为：

获取在预设的时间滑动窗口内的终端的访问行为；

根据评估结果确定所述终端的访问行为是否为恶意访问。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是根据一示例性实施例示出的一种识别用户行为的方法的流程图。

图2是根据一示例性实施例示出的一种识别用户行为的方法的流程图。

图3是根据一示例性实施例示出的一种识别用户行为的方法的流程图。

图4是根据一示例性实施例示出的一种识别用户行为的装置的框图。

图5是根据一示例性实施例示出的一种评估模块的框图。

图6A是根据一示例性实施例示出的一种评估模块的框图。

图6B是根据一示例性实施例示出的一种评估模块的框图。

图7是根据一示例性实施例示出的一种评估模块的框图。

图8是根据一示例性实施例示出的一种装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

相关技术中，网络活动日益频繁，网络商户经常推出降价秒杀的活动。用户为了抢到价格低廉的商品，会在短时间内频繁访问该商户的网站。有些用户则会通过一些抢购软件来实现。抢购软件会以高于普通用户的访问频次访问商户的网站。而抢购软件所触发的访问行为就是一种恶意行为，可能导致网站瘫痪。一种可能的解决方案是，判断预设的时长内访问次数是否超过预设的阈值，如果超过，则确定存在恶意访问行为。但是该识别方式比较单一，无法较准确的识别出该访问次数是用户的行为导致的还是抢购软件触发所导致的，识别结果不够准确。

为解决该问题，本实施例通过时间滑动窗口对终端的访问行为进行监控，可较准确的识别出终端的访问行为是否存在恶意。

本实施例中的时间滑动窗口是一个动态的时间窗口，该时间滑动窗口的长度固定，如长度为3600秒。该时间滑动窗口的结束位置始终是当前时间，因此时间滑动窗口随着时间的变化而移动。

相关技术中根据预设时长检测访问次数的方案是，例如，预设时长为1000秒，则0～1000秒检测一次，1001～2000秒检测一次，以此类推。但是500～1500秒发生的访问行为则无法检测。而本实施例随着时间滑动窗口的移动进行实时检测，例如时间滑动窗口的长度为1000秒，则0～1000秒检测一次，1～1001秒检测一次，2～1002秒检测一次，以此类推。可见，相比于相关技术的方案，检测更准确，可更准确的识别出恶意行为。

图1是根据一示例性实施例示出的一种识别用户行为的方法的流程图，如图1所示，该方法可以由服务器实现，包括以下步骤：

在步骤101中，获取在预设的时间滑动窗口内的终端的访问行为。

在步骤102中，根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估。

在步骤103中，根据评估结果确定所述终端的访问行为是否为恶意访问。

本实施例通过时间滑动窗口可以实时监控终端的访问行为，并且同时实现监控一段时间内的访问行为，评估访问行为是否存在恶意，识别结果更准确。本实施例是针对单一终端的行为监控和评估，可通过用户名、IP(互联网协议)地址或MAC(媒体访问控制)地址等手段来确定终端。

如果识别出存在恶意访问，则可以采用多种手段。如，要求终端发送验证码；或者，临时屏蔽该用户(或该终端)的访问；或者，将该用户加入到黑名单，永久性拒绝该用户的访问；还可以向用户发送警告消息等。

在一个实施例中，步骤102可实现为步骤A。

在步骤A中，根据所述时间滑动窗口中每个时间片内的访问行为，对所述时间滑动窗口内的访问行为进行评估。

本实施例将时间滑动窗口进一步细化为多个时间片，每个时间片的长度相同(等分的)。例如，时间滑动窗口的长度为3600秒，包含10个时间片，则每个时间片的长度为360秒。本实施例以时间片为单位对用户的访问行为进行监控，监控粒度进一步缩小，有助于更准确的识别恶意行为。并且，本实施例根据每个时间片内的访问行为以及时间滑动窗口内整体的访问行为进行评估，评估结果更准确。

在一个实施例中，步骤A可以包括步骤A1-步骤A2。

在步骤A1中，针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阈值，得到n个访问次数超过预设的分片次数阈值的时间片；

在步骤A2中，判断n与m的比例是否超过预设的第一比例阈值；

步骤103可实现为步骤A3。

在步骤A3中，在n与m的比例超过预设的第一比例阈值时，确定所述终端的访问行为为恶意访问。

即，确定访问次数超过预设的分片次数阈值的时间片。判断超过分片次数阈值的时间片的数量占时间片总数的比例是否超过预设的第一比例阈值。根据判断结果对所述时间滑动窗口内的访问行为进行评估。

本实施例中，如果超过分片次数阈值的时间片的数量占时间片总数的比例超过预设的第一比例阈值，则确定访问次数过高，存在恶意访问；否则确定不存在恶意访问。

例如，时间滑动窗口T的长度为3600秒，包含10个时间片t1-t10，则每个时间片的长度为360秒。10个时间片对应的访问次数分别为t1＝50，t2＝60，t3＝52，t4＝55，t5＝48，t6＝56，t7＝58，t8＝54，t9＝56，t10＝57。分片次数阈值为50，则除了时间片t5以外，其它9个时间片对应的访问次数均超过分片次数阈值。计算超过分片次数阈值的时间片的数量占时间片总数的比例9/10＝90％。假如第一比例阈值为90％，通过将超过分片次数阈值的时间片的数量占时间片总数的比例90％与第一比例阈值为90％进行比较，对访问行为进行评估，则可确定该时间滑动窗口T内存在恶意访问行为。

在一个实施例中，步骤102还可以由方案B实现。

方案B：

在步骤B1中，针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔。

在步骤B2中，根据获得的时间间隔，计算访问行为的时间方差。

在步骤B3中，根据所述时间方差，对所述时间滑动窗口内的访问行为进行评估。判断所述时间方差是否大于预设的方差阈值。

在步骤103中，在所述时间方差大于预设的方差阈值时，确定所述终端的访问行为为恶意访问。

本实施例可以将时间方差与预设的方差阈值进行比较，如果大于预设的方差阈值，则说明方差比较大，也就是访问行为的时间间隔的波动比较大，则可确定该访问行为出自于用户，而不是抢购软件，进而可确定不存在恶意行为。反之，如果不大于预设的方差阈值，则确定存在恶意行为。

例如，针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔x1,x2,x3,…,xn，

为x1～xn的平均值。方差公式如：

其中s表示计算得到的方差。

在一个实施例中，方案B还可以与步骤A1-步骤A3结合。例如，计算每个时间片对应的方差，确定方差大于方差阈值的时间片，并确定方差大于方差阈值的时间片的数量与时间片总数的比例，进而将该比例与第一比例阈值进行比较，确定是否存在恶意访问。

在一个实施例中，可以对方案B做进一步改进。则步骤B3可以包括步骤B31-步骤B32。

根据获得的时间间隔，计算访问行为的时间方差；

在步骤B31中，计算所述时间方差与时间间隔的平均值的比值。

在步骤B32中，判断所述比值是否小于预设的第二比例阈值。根据判断结果对所述时间滑动窗口内的访问行为进行评估。

步骤103可实现为步骤B33。

在步骤B33中，在所述比值小于预设的第二比例阈值时，确定所述终端的访问行为为恶意访问。

本实施例中，如果时间方差与时间间隔的平均值的比值超过预设的第二比例阈值，则说明时间方差与时间间隔的平均值非常接近，可确定该访问行为是由抢购软件触发所产生，存在恶意访问。反之，则可确定该访问行为是由用户触发所产生，不存在恶意访问。

例如，平均值x为1，时间方差为0.5。时间方差与平均值的比例为50％，大于预设的第二比例阈值100％。虽然0.5的方差比较小，但是相对于平均值1来说偏离比较大。

又如，平均值x为10，时间方差为0.5。时间方差与平均值的比例为5％，小于预设的第二比例阈值10％。由于平均值10比较大，所以时间方差0.5非常接近平均值。

本实施例通过比较方差与平均值的接近程度(从另一个角度可称之为偏离程度)，可更准确的评估访问行为。

在一个实施例中，步骤102可实现为方案C。

方案C：

在步骤C1中，获得所述时间滑动窗口内的访问行为的总数。

在步骤C2中，判断所述总数是否超过预设的总数阈值。

在步骤C3中，根据判断结果，对所述时间滑动窗口内的访问行为进行评估。

本实施例中，如果时间滑动窗口内的访问行为的总数超过总数阈值，则可确定访问量过高，存在恶意访问。反之，确定不存在恶意访问。

在一个实施例中，方案C可以与上述方案结合。在步骤A或方案B的判断结果基础上，进一步执行方案C的判断，在均判断为存在恶意访问时，才做出存在恶意访问的结论。

下面通过几个实施例来详细介绍识别用户行为的实现过程。

图2是根据一示例性实施例示出的一种识别用户行为的方法的流程图，如图2所示，该方法可以由服务器实现，包括以下步骤：

在步骤201中，获取在预设的时间滑动窗口内的终端的访问行为。

在步骤202中，针对时间滑动窗口中的每个时间片，将时间片对应的访问次数与预设的分片次数阈值进行比较。

在步骤203中，确定访问次数超过预设的分片次数阈值的时间片。

在步骤204中，计算超过分片次数阈值的时间片的数量占时间片总数的比例。

在步骤205中，判断计算得到的比例是否超过预设的第一比例阈值。在超过预设的第一比例阈值时，继续步骤206；在不超过预设的第一比例阈值时，继续步骤207。

在步骤206中，确定存在恶意访问行为。

在步骤207中，确定不存在恶意访问行为。

本实施例通过时间片可进行更细致的访问行为监控。通过较小粒度的访问次数的监控，可更准确的识别出是否存在恶意访问。

图3是根据一示例性实施例示出的一种识别用户行为的方法的流程图，如图3所示，该方法可以由服务器实现，包括以下步骤：

在步骤301中，获取在预设的时间滑动窗口内的终端的访问行为。

在步骤302中，针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔。

在步骤303中，根据获得的时间间隔，计算时间间隔的平均值。

在步骤304中，根据获得的时间间隔，计算访问行为的时间方差。

在步骤305中，计算所述时间方差与时间间隔的平均值的比值。

在步骤306中，判断所述比值是否小于预设的第二比例阈值。在小于预设的第二比例阈值时，继续步骤307；在不小于预设的第二比例阈值时，继续步骤308。

在步骤307中，确定存在恶意访问行为。

在步骤308中，确定不存在恶意访问行为。

本实施例通过方差来确定在时间上是否均匀获得访问行为，如果是，则确定是由软件产生的访问行为，而不是用户触发，因此确定存在恶意访问；反之，则确定不存在恶意访问。该方式可更准确的识别出恶意访问行为。

通过以上介绍了解了识别用户行为的实现过程，该过程由服务器实现，下面针对设备的内部结构和功能进行介绍。

图4是根据一示例性实施例示出的一种识别用户行为的装置示意图。参照图4，该装置包括：获取模块401、评估模块402和确定模块403。

获取模块401，用于获取在预设的时间滑动窗口内的终端的访问行为。

评估模块402，用于根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估。

确定模块403，用于根据评估结果确定所述终端的访问行为是否为恶意访问。

在一个实施例中，所述时间滑动窗口包括m个等分的时间片；如图5所示，所述评估模块402包括：时间片子模块4021和第一比例子模块4028。

时间片子模块4021，用于针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阈值，得到n个访问次数超过预设的分片次数阈值的时间片。

第一比例子模块4028，用于判断n与m的比例是否超过预设的第一比例阈值。

所述确定模块403在n与m的比例超过预设的第一比例阈值时，确定所述终端的访问行为为恶意访问。

在一个实施例中，如图6A所示，所述评估模块402包括：间隔子模块4022、方差子模块4023和第一评估子模块4024。

间隔子模块4022，用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔。

方差子模块4023，用于根据获得的时间间隔，计算访问行为的时间方差。

第一评估子模块4024，用于判断所述时间方差是否大于预设的方差阈值。

所述确定模块403在所述时间方差大于预设的方差阈值时，确定所述终端的访问行为为恶意访问。

在一个实施例中，时间片子模块4021也可以包括间隔子模块4022、方差子模块4023和第一评估子模块4024。

在一个实施例中，如图6B所示，所述评估模块402包括：间隔子模块4022、方差子模块4023、比值子模块4029和第二比例子模块40210。

比值子模块4029，用于计算所述时间方差与时间间隔的平均值的比值。

第二比例子模块40210，用于判断所述比值是否小于预设的第二比例阈值。

所述确定模块403在所述比值小于预设的第二比例阈值时，确定所述终端的访问行为为恶意访问。

在一个实施例中，如图7所示，所述评估模块402包括：总数子模块4025、总数判断子模块4026和第二评估子模块4027。

总数子模块4025，用于获得所述时间滑动窗口内的访问行为的总数。

总数判断子模块4026，用于判断所述总数是否超过预设的总数阈值。

第二评估子模块4027，用于根据判断结果，对所述时间滑动窗口内的访问行为进行评估。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图8是根据一示例性实施例示出的一种用于识别用户行为的装置800的框图。例如，装置800可以被提供为一计算机。参照图8，装置800包括处理组件822，其进一步包括一个或多个处理器，以及由存储器832所代表的存储器资源，用于存储可由处理部件822的执行的指令，例如应用程序。存储器832中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件822被配置为执行指令，以执行上述方法识别用户行为。

装置800还可以包括一个电源组件826被配置为执行装置800的电源管理，一个有线或无线网络接口850被配置为将装置800连接到网络，和一个输入输出(I/O)接口858。装置800可以操作基于存储在存储器832的操作系统，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM或类似。

一种识别用户行为的装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为：

获取在预设的时间滑动窗口内的终端的访问行为；

根据评估结果确定所述终端的访问行为是否为恶意访问。

所述处理器还可以被配置为：

所述时间滑动窗口包括m个等分的时间片；

判断n与m的比例是否超过预设的第一比例阈值；

所述处理器还可以被配置为：

根据获得的时间间隔，计算访问行为的时间方差；

判断所述时间方差是否大于预设的方差阈值；

所述处理器还可以被配置为：

根据获得的时间间隔，计算访问行为的时间方差；

计算所述时间方差与时间间隔的平均值的比值；

判断所述比值是否小于预设的第二比例阈值；

所述处理器还可以被配置为：

获得所述时间滑动窗口内的访问行为的总数；

判断所述总数是否超过预设的总数阈值；

一种非临时性计算机可读存储介质，当所述存储介质中的指令由移动终端的处理器执行时，使得移动终端能够执行一种识别用户行为的方法，所述方法包括：

获取在预设的时间滑动窗口内的终端的访问行为；

根据评估结果确定所述终端的访问行为是否为恶意访问。

所述存储介质中的指令还可以包括：

所述时间滑动窗口包括m个等分的时间片；

判断n与m的比例是否超过预设的第一比例阈值；

所述存储介质中的指令还可以包括：

根据获得的时间间隔，计算访问行为的时间方差；

判断所述时间方差是否大于预设的方差阈值；

所述存储介质中的指令还可以包括：

根据获得的时间间隔，计算访问行为的时间方差；

计算所述时间方差与时间间隔的平均值的比值；

判断所述比值是否小于预设的第二比例阈值；

所述存储介质中的指令还可以包括：

获得所述时间滑动窗口内的访问行为的总数；

判断所述总数是否超过预设的总数阈值；

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims

一种识别用户行为的方法，其特征在于，包括：

获取在预设的时间滑动窗口内的终端的访问行为；

根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估；

根据评估结果确定所述终端的访问行为是否为恶意访问。
根据权利要求1所述的识别用户行为的方法，其特征在于，所述时间滑动窗口包括m个等分的时间片；

所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估，包括：

针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阈值，得到n个访问次数超过预设的分片次数阈值的时间片；

判断n与m的比例是否超过预设的第一比例阈值；

所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：

在n与m的比例超过预设的第一比例阈值时，确定所述终端的访问行为为恶意访问。
根据权利要求1所述的识别用户行为的方法，其特征在于，所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估，包括：

针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔；

根据获得的时间间隔，计算访问行为的时间方差；

判断所述时间方差是否大于预设的方差阈值；

所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：

在所述时间方差大于预设的方差阈值时，确定所述终端的访问行为为恶意访问。
根据权利要求1所述的识别用户行为的方法，其特征在于，所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估，包括：

针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔；

根据获得的时间间隔，计算访问行为的时间方差；

计算所述时间方差与时间间隔的平均值的比值；

判断所述比值是否小于预设的第二比例阈值；

所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：

在所述比值小于预设的第二比例阈值时，确定所述终端的访问行为为恶意访问。
根据权利要求1中任一项所述的识别用户行为的方法，其特征在于，所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估，包括：

获得所述时间滑动窗口内的访问行为的总数；

判断所述总数是否超过预设的总数阈值；

根据判断结果，对所述时间滑动窗口内的访问行为进行评估。
一种识别用户行为的装置，其特征在于，包括：

获取模块，用于获取在预设的时间滑动窗口内的终端的访问行为；

评估模块，用于根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估；

确定模块，用于根据评估结果确定所述终端的访问行为是否为恶意访问。
根据权利要求6所述的识别用户行为的装置，其特征在于，所述时间滑动窗口包括m个等分的时间片；

所述评估模块包括：

时间片子模块，用于针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阈值，得到n个访问次数超过预设的分片次数阈值的时间片；

第一比例子模块，用于判断n与m的比例是否超过预设的第一比例阈值；

所述确定模块在n与m的比例超过预设的第一比例阈值时，确定所述终端的访问行为为恶意访问。
根据权利要求6所述的识别用户行为的装置，其特征在于，所述评估模块包括：

间隔子模块，用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔；

方差子模块，用于根据获得的时间间隔，计算访问行为的时间方差；

第一评估子模块，用于判断所述时间方差是否大于预设的方差阈值；

所述确定模块在所述时间方差大于预设的方差阈值时，确定所述终端的访问行为为恶意访问。
根据权利要求6所述的识别用户行为的装置，其特征在于，所述评估模块包括：

间隔子模块，用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间隔；

方差子模块，用于根据获得的时间间隔，计算访问行为的时间方差；

比值子模块，用于计算所述时间方差与时间间隔的平均值的比值；

第二比例子模块，用于判断所述比值是否小于预设的第二比例阈值；

所述确定模块在所述比值小于预设的第二比例阈值时，确定所述终端的访问行为为恶意访问。
根据权利要求6中任一项所述的识别用户行为的装置，其特征在于，所述评估模块包括：

总数子模块，用于获得所述时间滑动窗口内的访问行为的总数；

总数判断子模块，用于判断所述总数是否超过预设的总数阈值；

第二评估子模块，用于根据判断结果，对所述时间滑动窗口内的访问行为进行评估。
一种识别用户行为的装置，其特征在于，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为：

获取在预设的时间滑动窗口内的终端的访问行为；

根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估；

根据评估结果确定所述终端的访问行为是否为恶意访问。