CN110460587B - 一种异常账号检测方法、装置及计算机存储介质 - Google Patents
一种异常账号检测方法、装置及计算机存储介质 Download PDFInfo
- Publication number
- CN110460587B CN110460587B CN201910669346.3A CN201910669346A CN110460587B CN 110460587 B CN110460587 B CN 110460587B CN 201910669346 A CN201910669346 A CN 201910669346A CN 110460587 B CN110460587 B CN 110460587B
- Authority
- CN
- China
- Prior art keywords
- access data
- account
- abnormal
- target
- groups
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例公开了一种异常账号检测方法、装置及计算机存储介质,应用于计算机技术领域。其中,该方法包括:获取N个账号在预设时间内访问目标网址的N组访问数据,所述N组访问数据中的每组访问数据为M维数据,N和M均为正整数;采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间;将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,所述分布异常的访问数据是与所述N个账号中的至少一半的账号的访问数据分布不同的访问数据。实施本发明实施例,能够准确高效的检测到异常访问的账号。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种异常账号检测方法、装置及计算机存储介质。
背景技术
如何避免公司关键数据的泄露,确保公司的信息安全,一直以来都是信息安全部门所关心的重大问题。目前传统的防止公司关键数据被窃取的方式有两类。第一种方式是人工设立一条警戒线,如果某一账号访问公司关键统一资源定位符(uniform resourcelocator,URL)的次数超过了这条警戒线,则取消该账号的权限或将其拉入黑名单之中。这种方法的局限在于,很难设定一条“正确”的警戒线,导致有些“擦边球”的违规账号无法被发现。第二种方式是通过机器学习的方式,通过标注“违规”和“不违规”的标签,用有监督的学习方法生成分类器。这种方式的缺陷在于,在实际操作中,无法明确地标注账号是否“违规”。除此之外,真实违规的账号占所有账号的比例非常之小,对有监督学习的效果影响非常大。现有技术中监测违规账号的方式效果差,精准度低,不能有效查找到异常访问的账号或者违规账号。
发明内容
本发明实施例提供了一种异常账号检测方法、装置及计算机存储介质,能够准确高效的检测到异常访问的账号。
第一方面,本发明实施例提供了一种异常账号检测方法,包括:
获取N个账号在预设时间内访问目标网址的N组访问数据,所述N组访问数据中的每组访问数据为M维数据,N和M均为正整数;
采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间;
将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,所述分布异常的访问数据是与所述N个账号中的至少一半的账号的访问数据分布不同的访问数据。
实施本发明实施例,无需人工设定一条“警戒线”,也无需预先提供“异常”的样本,能够自动识别出访问行为存在异常的账号。改变了传统的监控异常行为的方式,采用无监督的方式利用高斯核算法自动识别出分别异常的账号,并且,针对某一访问数据,可以从不同的时间维度上进行分层(比如统计一分钟内访问的次数、一小时访问的次数,一天内访问的次数),把一个特征按照时间维度划分为多个维度的特征分别进行高维空间映射,能够更加精准的查找到异常账号。
在一种可能的设计中,M等于1,即访问数据为一维数据;所述采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间,包括:
利用铰链函数对所述N组访问数据进行初步变换,若所述N组访问数据中的目标访问数据大于所述N个访问数据中的众数,则将所述目标访问数据的值设置为所述目标访问数据与所述众数的差值;
若所述N组访问数据中的目标访问数据小于等于所述N个访问数据中的众数,则将所述目标访问数据的值设置为0;
根据经过所述初步变换后的所述N组访问数据中的众数确定高斯核变换的中心值;
根据经过所述初步变换后的所述N组访问数据中的最大值与最小值之差和第一预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到一维空间,在所述一维空间中所述N组访问数据均分布到0-1值之间;
所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,包括:
将所述一维空间中与0值之间的距离小于等于第一预设距离的访问数据对应的账号确定为异常账号。
本发明实施例中,将N组一维的访问数据映射到一维空间后,所有的值都会分布到0-1之间,离0越近,对应的账号为异常账号的概率越大;离1越近,对应的账号为异常账号的概率越小。
可选的,所述第一预设值例如可以为二分之一或三分之一。
可选的,第一预设距离可以人为设定,也可以设备默认设置。
在一种可能的设计中,M大于等于2,即访问数据为多维数据;所述采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间,包括:
利用铰链函数对所述N组访问数据在每个维度上进行初步变换,若所述N组访问数据中的目标访问数据在目标维度上的数值大于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为所述目标访问数据在所述目标维度上的值与所述众数的差值;
若所述N组访问数据中的目标访问数据在所述目标维度上小于等于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为0;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的众数确定高斯核变换的中心值;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的最大值与最小值之差和第二预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到多维空间,在所述多维空间中所述N组访问数据在每个维度上的数据均分布到0-1值之间;
所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,包括:
将所述多维空间中与空间基点之间的欧氏距离大于等于第二预设距离的访问数据对应的账号确定为异常账号,所述空间基点为值为[1,…,1]的点,所述[1,…,1]为M维数据。
本发明实施例中,将N组多维的访问数据映射到多维空间后,所有的值都会分布到[0,…,0]与[1,…,1]之间,根据目标点与空间基点(即[1,…,1])之间的欧式距离来确定异常点的概率,以距离的长短作为判断标准,距离越长,则对应的账号为异常账号的概率越大,距离越短,则对应的账号为异常账号的概率越小。
可选的,所述第二预设值例如可以为二分之一或三分之一。
可选的,第二预设距离可以人为设定,也可以设备默认设置。
在一种可能的设计中,所述预设时间包括多个,所述获取N个账号在预设时间内访问目标网址的访问数据,包括:
获取在所述多个预设时间内访问目标网址的N个账号的访问数据。所述N个账号中的目标账号对应的M维数据包括所述目标账号在所述多个预设时间内访问所述目标网址的访问数据。
在一种可能的设计中,所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号之后,还包括:
将所述异常账号添加到黑名单中,在下一次接收到所述异常账号发起的访问请求时,拒绝所述访问请求。
在一种可能的设计中,所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号之后,还包括:
对所述异常账号的互联网协议IP地址或者域名进行识别,将IP地址与所述异常账号的IP地址位于同一网段或者域名与所述异常账号的域名相同的其他账号设置为异常账号并添加到黑名单中;
或者,将IP地址与所述异常账号的IP地址位于同一网段或者域名与所述异常账号的域名相同的其他账号设置为疑似异常的账号,将所述疑似异常的账号进行统计,并生成表格进行输出。
在一种可能的设计中,所述预设时间包括工作时间段对应的预设时间和/或非工作时间段对应的预设时间;所述预设时间包括一秒钟、一分钟、一小时、一天或一周中的任意一种。
在一种可能的设计中,所述访问类型包括询价、检索或投保跟踪。
在一种可能的设计中,所述获取N个账号在预设时间内访问目标网址的访问数据,包括:
按照预设周期获取N个账号在预设时间内访问目标网址的访问数据。
第二方面,本发明实施例提供了一种异常账号检测装置,包括:
获取单元,用于获取N个账号在预设时间内访问目标网址的N组访问数据,所述N组访问数据中的每组访问数据为M维数据,N和M均为正整数;
映射单元,用于采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间;
确定单元,用于将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,所述分布异常的访问数据是与所述N个账号中的至少一半的账号的访问数据分布不同的访问数据。
在一种可能的设计中,M等于1,即访问数据为一维数据;所述映射单元具体用于:
利用铰链函数对所述N组访问数据进行初步变换,若所述N组访问数据中的目标访问数据大于所述N个访问数据中的众数,则将所述目标访问数据的值设置为所述目标访问数据与所述众数的差值;
若所述N组访问数据中的目标访问数据小于等于所述N个访问数据中的众数,则将所述目标访问数据的值设置为0;
根据经过所述初步变换后的所述N组访问数据中的众数确定高斯核变换的中心值;
根据经过所述初步变换后的所述N组访问数据中的最大值与最小值之差和第一预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到一维空间,在所述一维空间中所述N组访问数据均分布到0-1值之间;
所述确定单元具体用于:
将所述一维空间中与0值之间的距离小于等于第一预设距离的访问数据对应的账号确定为异常账号。
本发明实施例中,将N组一维的访问数据映射到一维空间后,所有的值都会分布到0-1之间,离0越近,对应的账号为异常账号的概率越大;离1越近,对应的账号为异常账号的概率越小。
可选的,所述第一预设值例如可以为二分之一或三分之一。
可选的,第一预设距离可以人为设定,也可以设备默认设置。
在一种可能的设计中,M大于等于2,即访问数据为多维数据;所述映射单元具体用于:
利用铰链函数对所述N组访问数据在每个维度上进行初步变换,若所述N组访问数据中的目标访问数据在目标维度上的数值大于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为所述目标访问数据在所述目标维度上的值与所述众数的差值;
若所述N组访问数据中的目标访问数据在所述目标维度上小于等于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为0;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的众数确定高斯核变换的中心值;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的最大值与最小值之差和第二预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到多维空间,在所述多维空间中所述N组访问数据在每个维度上的数据均分布到0-1值之间;
所述确定单元具体用于:
将所述多维空间中与空间基点之间的欧氏距离大于等于第二预设距离的访问数据对应的账号确定为异常账号,所述空间基点为值为[1,…,1]的点,所述[1,…,1]为M维数据。
本发明实施例中,将N组多维的访问数据映射到多维空间后,所有的值都会分布到[0,…,0]与[1,…,1]之间,根据目标点与空间基点(即[1,…,1])之间的欧式距离来确定异常点的概率,以距离的长短作为判断标准,距离越长,则对应的账号为异常账号的概率越大,距离越短,则对应的账号为异常账号的概率越小。
可选的,所述第二预设值例如可以为二分之一或三分之一。
可选的,第二预设距离可以人为设定,也可以设备默认设置。
在一种可能的设计中,所述预设时间包括多个,所述获取单元,用于获取N个账号在预设时间内访问目标网址的访问数据,包括:
获取在所述多个预设时间内访问目标网址的N个账号的访问数据。所述N个账号中的目标账号对应的M维数据包括所述目标账号在所述多个预设时间内访问所述目标网址的访问数据。
在一种可能的设计中,所述装置还包括:
添加单元,用于在所述确定单元将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号之后,将所述异常账号添加到黑名单中,在下一次接收到所述异常账号发起的访问请求时,拒绝所述访问请求。
在一种可能的设计中,所述装置还包括:
添加单元,用于在所述确定单元将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号之后,对所述异常账号的互联网协议IP地址或者域名进行识别,将IP地址与所述异常账号的IP地址位于同一网段或者域名与所述异常账号的域名相同的其他账号设置为异常账号并添加到黑名单中;
或者,将IP地址与所述异常账号的IP地址位于同一网段或者域名与所述异常账号的域名相同的其他账号设置为疑似异常的账号,将所述疑似异常的账号进行统计,并生成表格进行输出。
在一种可能的设计中,所述预设时间包括工作时间段对应的预设时间和/或非工作时间段对应的预设时间;所述预设时间包括一秒钟、一分钟、一小时、一天或一周中的任意一种。
在一种可能的设计中,所述访问类型包括询价、检索或投保跟踪。
在一种可能的设计中,所述获取单元,用于在预设时间内访问目标网址的N个账号的访问数据,包括:
按照预设周期获取N个账号在预设时间内访问目标网址的访问数据。
第三方面,本发明实施例提供了一种计算机设备,用于执行第一方面所提供的异常账号检测方法。该计算机设备可包括:处理器、通信接口和存储器,处理器、通信接口和存储器相互连接。其中,通信接口用于与其它网络设备(例如终端)进行通信,存储器用于存储第一方面所提供的异常账号检测方法的实现代码,处理器用于执行存储器中存储的程序代码,即执行第一方面所提供的异常账号检测方法。
第四方面,本申请实施例提供一种计算机可读存储介质,可读存储介质上存储有指令,当其在处理器上运行时,使得处理器执行上述第一方面描述的异常账号检测方法。
第五方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在处理器上运行时,使得处理器执行上述第一方面描述的异常账号检测方法。
附图说明
图1是本发明实施例提供的一种计算机设备的硬件结构示意图;
图2是本发明实施例提供的一种异常账号检测方法的流程示意图;
图3A是本发明实施例提供的一种一维空间的示意图;
图3B是本发明实施例提供的另一种多维空间的示意图;
图4是本发明实施例提供的一种计算机设备的逻辑结构示意图。
具体实施方式
首先针对本发明实施例涉及的计算机设备进行介绍。请参见图1,示出了本发明实施例提供的计算机设备,该计算机设备100可包括:存储器101、通信接口102、和一个或多个处理器103。这些部件可通过总线104或者其他方式连接,图1以通过总线连接为例。其中:
存储器101可以和处理器103通过总线104或者输入输出端口耦合,存储器101也可以与处理器103集成在一起。存储器101用于存储各种软件程序和/或多组指令。具体的,存储器101可包括高速随机存取的存储器,并且也可包括非易失性存储器,例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。存储器101还可以存储网络通信程序,该网络通信程序可用于与一个或多个附加设备,一个或多个终端,一个或多个网络设备进行通信。
处理器103可以是通用处理器,例如中央处理器(central processing unit,CPU),还可以是数字信号处理器(digital signal processing,DSP)、专用集成电路(application specific integrated circuit,ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路。处理器103可处理通过通信接口102接收到的数据。
通信接口102用于计算机设备100与其他网络设备进行通信,例如终端进行通信。通信接口102可以是收发器、收发电路等,其中,通信接口是统称,可以包括一个或多个接口,例如终端与服务器之间的接口。通信接口102可以包括有线接口和无线接口,例如标准接口、以太网、多机同步接口。
处理器103可用于读取和执行计算机可读指令。具体的,处理器103可用于调用存储于存储器101中的数据。可选地,当处理器103发送任何消息或数据时,其具体通过驱动或控制通信接口102做所述发送。可选地,当处理器103接收任何消息或数据时,其具体通过驱动或控制通信接口102做所述接收。因此,处理器103可以被视为是执行发送或接收的控制中心,通信接口102是发送和接收操作的具体执行者。
在本申请实施例中,通信接口102具体用于执行下述方法实施例中涉及的数据收发的步骤,处理器103具体用于实施除数据收发之外的数据处理的步骤。
本发明实施例中,计算机设备100可以是具备计算或处理能力的服务器或者终端设备等。
基于图1所示的计算机设备的结构,图2提供了本发明实施例涉及的一种异常账号检测方法,该异常账号检测方法包括但不限于如下步骤S201-S203。
步骤S201:获取N个账号在预设时间内访问目标网址的N组访问数据,所述N组访问数据中的每组访问数据为M维数据,N和M均为正整数。
可选的,所述访问数据包括访问时间或访问次数中的一种或多种。
例如,针对保险产品,访问目标网址的访问类型可以包括但不限于:登录、询价、检索或投保跟踪中的一种或多种。目标网址例如可以是登录的保险系统网址(或URL)、询价对应的保险系统网址(或URL)、检索对应的保险系统网址(或URL)或投保跟踪对应的保险系统网址(或URL)等。若访问类型为登录,则访问数据可以是访问某一网址(或URL)的访问时间和/或访问次数。若访问类型为询价,则访问数据可以是访问某一询价网址(或URL)进行询价的访问时间和/或访问次数。若访问类型为检索,则访问数据可以是访问某一检索网址(或URL)进行检索的访问时间和/或访问次数。若访问类型为投保跟踪,则访问数据可以是访问某一投保跟踪网址(或URL)进行投保跟踪的访问时间和/或访问次数。
上述N个账号可以是访问目标网址的全部账号。预设时间可以是一秒钟、一分钟、一小时、一天或者一周等等。还可以分别设置工作时间段的预设时间和非工作时间段的预设时间。例如,工作时间段包括7:00-23:59,非工作时间段包括00:00-6:59。工作时间段对应的预设时间与非工作时间段对应的预设时间可以不同,例如,工作时间段对应的预设时间可以是1秒钟,非工作时间段对应的预设时间是1分钟。预设时间可以是一个,也可以是多个。且不同账号相同的预设时间各自对应的统计时间段可以相同,也可以不同。
针对某一种访问类型,统计N个账号在预设时间内的访问数据。例如,访问类型为登录目标URL(如某一保险系统的网址),则统计N个账号在预设时间(例如一分钟)内登录目标URL的访问数据(例如访问次数)。在统计时,各个账号各自对应的一分钟可以是不同的,可以以某一账号在一天内访问次数最多的那一分钟确认为该账号的统计时间。例如,假设账号1在一天内的10:00-10:01这一分钟内访问目标URL的次数最多,则以账号1在10:00-10:01这一分钟内访问目标URL的次数作为账号1的统计数据。假设账号2在一天内的11:00-11:01这一分钟内访问目标URL的次数最多,则以账号2在11:00-11:01这一分钟内访问目标URL的次数作为账号2的统计数据。针对不同的访问类型,均可以采用上述方式获取各个账号在预设时间内的访问数据。例如,统计N个账号在一分钟内的询价的次数、统计N个账号在一分钟内检索的次数等等。
针对同一种访问类型,还可以统计各个账号在多个预设时间内的访问数据,各个预设时间可以不同。例如,可以统计N个账号在一秒钟内登录目标URL的次数、N个账号在一分钟内登录目标URL的次数、N个账号在一小时内登录UPR的次数以及N个账号在一天内登录目标URL的次数。
可选的,针对不同的访问类型,预设时间可以不同。例如,针对登录这一访问类型,预设时间可以是一秒钟,针对询价这一访问类型,预设时间可以是一小时,针对投保跟踪这一访问类型,预设时间可以是一天,等等。
其中,访问数据可以是系统数据库中存储的数据,也可以是根据接收到的访问请求统计的。其中,用户可以利用账号访问相关的URL链接,某一账号在请求访问时,会携带相应的访问地址。系统在接收到某一账号发来的访问请求时,记录该账号的访问时间、访问地址以及该账号的标识。
步骤S202:采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间。
其中,高斯核是一种非线性的度量相似性的数学方法。通过使用高斯核,在每个特征维度上,都可以识别出相应维度上的异常点。这里,特征维度即包括:访问时间、访问次数、询价出单比、检索出单比或投保跟踪出单比等。
在本申请中,采用高斯核对N个账号进行二分类,由于N个账号的访问数据不是线性可分的,需要利用高斯核将数据集映射到高维空间。这样数据在高维空间中就线性可分。
可选的,访问数据可以是一维的,也可以是多维的。当访问数据为一维数据时,所述采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间,包括:
利用铰链函数对所述N组访问数据进行初步变换,若所述N组访问数据中的目标访问数据大于所述N个访问数据中的众数,则将所述目标访问数据的值设置为所述目标访问数据与所述众数的差值;
若所述N组访问数据中的目标访问数据小于等于所述N个访问数据中的众数,则将所述目标访问数据的值设置为0;
根据经过所述初步变换后的所述N组访问数据中的众数确定高斯核变换的中心值;
根据经过所述初步变换后的所述N组访问数据中的最大值与最小值之差和第一预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到一维空间,在所述一维空间中所述N组访问数据均分布到0-1值之间;
所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,包括:
将所述一维空间中与0值之间的距离小于等于第一预设距离的访问数据对应的账号确定为异常账号。
其中,众数是指所述N个访问数据中出现次数最多的数值。所述第一预设值例如可以为二分之一或三分之一。可选的,第一预设距离可以人为设定,也可以设备默认设置。
即针对某一指标的N个访问数据,取这N个访问数据中出现次数最多的众数作为基准,如果某个访问数据大于众数,则将该访问数据的值设置成该访问数据与众数的差值,如果小于众数,则设置成0。再做高斯核变换,高斯核变换过程涉及中心值和尺度参数,取处理后的值中的众数作为中心值,取处理后的值中的最大值和最小值的差值*二分之一(或三分之一)得到高斯核变换的尺度参数,得到了这2个参数后就可以进行高斯核变换处理。经过高斯核变换处理后,得到一维空间图,所有的值都会分布到0-1之间,离众数越远的在一维空间中越趋近于0。因此,可以根据目标点离0的远近来判断异常点,离0越近,则为异常点的概率越大,离1越近,则为异常点的概率越小。
当访问数据为多维数据时,所述采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间,包括:
利用铰链函数对所述N组访问数据在每个维度上进行初步变换,若所述N组访问数据中的目标访问数据在目标维度上的数值大于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为所述目标访问数据在所述目标维度上的值与所述众数的差值;
若所述N组访问数据中的目标访问数据在所述目标维度上小于等于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为0;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的众数确定高斯核变换的中心值;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的最大值与最小值之差和第二预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到多维空间,在所述多维空间中所述N组访问数据在每个维度上的数据均分布到0-1值之间,其中,多维空间即多个[0,1]区间组成的超立方体,即所述N组访问数据均分布到[0,…,0]与[1,…,1]值之间,所述[0,…,0]和所述[1,…,1]均为M维数据;
所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,包括:
将所述多维空间中与空间基点之间的欧氏距离大于等于第二预设距离的访问数据对应的账号确定为异常账号,所述空间基点为值为[1,…,1]的点,所述[1,…,1]为M维数据。
可选的,所述第二预设值例如可以为二分之一或三分之一。可选的,第二预设距离可以人为设定,也可以设备默认设置。
针对多维数据,针对所有的维度按照前述一维数据构造了多维空间后,计算目标点与空间基点(即[1,…,1])之间的欧式距离来确定异常点的概率,以距离的长短作为判断标准,距离越长,则对应的账号为异常账号的概率越大,距离越短,则对应的账号为异常账号的概率越小。
以访问次数为例,获取N个账号在1分钟内各自访问某一URL的访问次数,采用高斯核对N个账号的访问次数进行处理,得到一维空间。如图3A所示,是本发明实施例提供的一种一维空间的示意图。该一维空间的一个坐标轴代表分布值,该分布值可以将原始数据(即统计得到的登录的次数)归一化到0-1区间。
针对多种访问类型,可以将N个账号的多种访问类型对应的访问数据映射到多维空间。例如,可以采用N个账号在1分钟内登录(访问)目标URL的次数和N个账号在1分钟内询价的次数(例如可以是登录询价对应的保险系统网址(或URL)的次数)这2个维度建立二维空间。该二维空间中的一个坐标轴代表1分钟内登录目标URL的次数,另一个坐标轴代表1分钟内询价的次数。该二维空间可以例如图3B所示。在图3B中,将登录次数以及询价的次数均归一化到0-1区间内。又例如,可以采用N个账号在1分钟内登录目标URL的次数、N个账号在1分钟内询价的次数(例如可以是登录询价对应的保险系统网址(或URL)的次数)以及N个账号在1分钟内检索的次数(例如可以是登录检索对应的保险系统网址(或URL)的次数)这3个维度建立三维空间。该三维空间中的一个坐标轴代表1分钟内登录目标URL的次数,另一个坐标轴代表1分钟内询价的次数,另一个坐标轴代表1分钟内检索的次数。访问类型设置的越多,则可映射的多维空间的维度数也会越多。
可选的,针对同一访问类型不同预设时间内的访问数据,也可以将N个账号在不同预设时间内的访问数据映射到多维空间中。例如,可以采用N个账号在1秒钟内登录目标URL的次数和N个账号在1分钟内登录目标URL的次数这2个维度建立多维空间。该多维空间中的一个坐标轴代表1秒钟内登录目标URL的次数,另一个坐标轴代表1分钟内登录目标URL的次数。该二维空间可以例如图3B所示。在图3B中,将1秒钟内登录目标URL的次数以及1分钟内登录目标URL的次数均归一化到0-1区间内。又例如,可以采用N个账号在1秒钟内登录目标URL的次数、N个账号在1分钟内登录目标URL的次数以及N个账号在1小时内登录目标URL的次数这3个维度建立多维空间。该多维空间中的一个坐标轴代表1秒钟内登录目标URL的次数,另一个坐标轴代表1分钟内登录目标URL的次数,另一个坐标轴代表1小时内登录目标URL的次数。预设时间的数量设置的越多,则可映射的多维空间的维度数也会越多。
可选的,还可以将多个访问类型在多个预设时间内的访问数据映射到多维空间中。例如,可以采用N个账号在1秒钟内登录目标URL的次数、N个账号在1分钟内登录目标URL的次数、N个账号在1分钟内询价的次数(例如可以是登录询价对应的保险系统网址(或URL)的次数)以及N个账号在1小时内询价的次数(例如可以是登录询价对应的保险系统网址(或URL)的次数)这4个维度建立多维空间。该多维空间可以是四维的。其中的一个坐标轴代表1秒钟内登录目标URL的次数,另一个坐标轴代表1分钟内登录目标URL的次数,另一个坐标轴代表1分钟内询价的次数,第四个坐标轴代表1小时内询价的次数。
步骤S203:将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,所述分布异常的访问数据是与所述N个账号中的至少一半的账号的访问数据分布不同的访问数据。
如图3A所示,图3A中将N个账号各自在1分钟内登录目标URL的次数全部拉到0-1区间内,其中,距离0越近的账号越异常,距离1越近的账号越正常,由图3A可知,绝大多数的账号的访问次数均分布在1附近(例如绝大多数的账号访问的次数不超过1万次,分布在1附近),而少部分账号的访问次数则分布在0附近(例如少部分的账号访问的次数超过了10万次,分布在0附近),则可以表征出分布在0附近的账号为异常账号。
同样的,针对多维度的访问数据,得到多维空间,针对每一维,均能够识别出分布异常的点。例如,如果每个账号均是M维向量(例如M维向量分别包括:工作时间内的一分钟登录某一关键URL的次数、非工作时间内的一分钟登录某一关键URL的最大次数、工作时间内的一分钟询价数量、非工作时间内的一分钟询价数量、工作时间内的一分钟检索数量、非工作时间内的一分钟检索数量、工作时间内的一分钟投保跟踪数量以及非工作时间内的一分钟的投保跟踪数量中的任意几种),则N个账号的共计N*M个访问数据,这N个账号是分布在M维空间坐标系中,根据目标点与空间基点([1,…,1])之间的欧氏距离确定异常点,与空间基点(1,1,1,…,1)之间的欧氏距离越大的为异常点的概率越大,与基点(1,1,1,…,1)之间的欧氏距离越小的为异常点的概率越小。可以设置一个阈值,与空间基点之间的欧式距离超过该阈值的则确定为是异常账号。如图3B所示,假设大多数(超过一半)的账号均分布在(1,1,1,…,1)附近,而少部分账号分布在(0,0,0,…,0)附近,分布在(0,0,0,…,0)附近的账号即为异常访问的账号。或只考虑每个账号距离空间基点(1,1,1,…,1)的欧式距离大小,距离越大者异常分数越高。
在可选的实施例中,针对某一种访问类型,还可以基于时间维度进行细分。例如,针对登录次数这一访问类型,可以依次统计N个账号1秒钟内登录某一URL的次数、N个账号1分钟内登录某一URL的次数、N个账号1天内登录某一URL的次数、N个账号1周内登录某一URL的次数,得到4组访问次数,利用这4组访问次数建立4维的空间坐标,得到N个账号的多维空间。将该4维的空间坐标中分别异常点确定为是异常访问的账号。针对每种访问数据,均可以将其基于时间维度划分成多组数据,最终基于多种访问数据各自划分的多组数据创建多维空间,将多维空间中分布异常的点确认为是异常账号。例如,每个账号均是5维向量,针对每个特征均选择两个时间段内的数据,例如1秒钟内的和1分钟内的,则10个账号的共计10*5*2个访问数据,这10个账号是分布在10维空间坐标系中,根据目标点与空间基点(1,1,1,1,1,1,1,1,1,1)之间的欧氏距离确定出异常点对应的异常账号,距离远的为异常点的概率越大。
在确定出异常账号后,可以将异常账号添加到黑名单中。当下一次接收到异常账号发起的访问请求时,拒绝其访问请求。
可选的,在检测出异常账号后,对异常账号的IP地址或者域名进行识别,将IP地址与异常账号的IP地址位于同一网段或者域名与异常账号的域名相同的其他账号设置为异常账号添加到黑名单中。或者,将IP地址与异常账号的IP地址位于同一网段或者域名与异常账号的域名相同的其他账号设置为疑似异常的账号,将疑似异常的账号进行统计,并生成表格进行输出,操作人员可以重点关注疑似异常的账号。
具体实现中,可以定期的进行异常账号的检测过程。例如,每周检测一次,或者每月检测一次。在每次进行异常账号检测时,可以基于系统中最新的数据进行高斯分布。例如,1月8号进行异常账号检测,则可以从系统中找到1月1号-1月7号这一周内各个账号的访问数据,基于最新的访问数据进行高斯分布以及异常账号检测能够及时监测到最近一段时间内的异常账号,可以及时避免系统中的隐私数据被窃取或泄露。
相较于现有技术,本发明实施例无需人工设定一条“警戒线”,也无需预先提供“异常”的样本,能够自动识别出访问行为存在异常的账号。改变了传统的监控异常行为的方式,采用无监督的方式利用高斯核算法自动识别出分别异常的账号,并且,针对某一访问数据,可以从不同的时间维度上进行分层(比如统计一分钟内访问的次数、一小时访问的次数,一天内访问的次数),把一个特征按照时间维度划分为多个维度的特征分别进行高维空间映射,能够更加精准的查找到异常账号。
参见图4,图4示给出了一种异常账号检测装置的结构示意图,如图4所示,该异常账号检测装置400包括:获取单元401,映射单元402和确定单元403。
其中,获取单元401,获取N个账号在预设时间内访问目标网址的N组访问数据,所述N组访问数据中的每组访问数据为M维数据,N和M均为正整数;
映射单元402,用于采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间;
确定单元403,用于将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,所述分布异常的访问数据是与所述N个账号中的至少一半的账号的访问数据分布不同的访问数据。
在一种可能的设计中,M等于1,即访问数据为一维数据;所述映射单元402具体用于:
利用铰链函数对所述N组访问数据进行初步变换,若所述N组访问数据中的目标访问数据大于所述N个访问数据中的众数,则将所述目标访问数据的值设置为所述目标访问数据与所述众数的差值;
若所述N组访问数据中的目标访问数据小于等于所述N个访问数据中的众数,则将所述目标访问数据的值设置为0;
根据经过所述初步变换后的所述N组访问数据中的众数确定高斯核变换的中心值;
根据经过所述初步变换后的所述N组访问数据中的最大值与最小值之差和第一预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到一维空间,在所述一维空间中所述N组访问数据均分布到0-1值之间;
所述确定单元403具体用于:
将所述一维空间中与0值之间的距离小于等于第一预设距离的访问数据对应的账号确定为异常账号。
在一种可能的设计中,M大于等于2,即访问数据为多维数据;所述映射单元402具体用于:
利用铰链函数对所述N组访问数据在每个维度上进行初步变换,若所述N组访问数据中的目标访问数据在目标维度上的数值大于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为所述目标访问数据在所述目标维度上的值与所述众数的差值;
若所述N组访问数据中的目标访问数据在所述目标维度上小于等于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为0;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的众数确定高斯核变换的中心值;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的最大值与最小值之差和第二预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到多维空间,在所述多维空间中所述N组访问数据在每个维度上的数据均分布到0-1值之间;
所述确定单元403具体用于:
将所述多维空间中与空间基点之间的欧氏距离大于等于第二预设距离的访问数据对应的账号确定为异常账号,所述空间基点为值为[1,…,1]的点,所述[1,…,1]为M维数据。
在一种可能的设计中,所述装置400还包括:
添加单元,用于在所述确定单元403将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号之后,将所述异常账号添加到黑名单中,在下一次接收到所述异常账号发起的访问请求时,拒绝所述访问请求。
在一种可能的设计中,所述装置400还包括:
添加单元,用于在所述确定单元403将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号之后,对所述异常账号的互联网协议IP地址或者域名进行识别,将IP地址与所述异常账号的IP地址位于同一网段或者域名与所述异常账号的域名相同的其他账号设置为异常账号并添加到黑名单中;
或者,将IP地址与所述异常账号的IP地址位于同一网段或者域名与所述异常账号的域名相同的其他账号设置为疑似异常的账号,将所述疑似异常的账号进行统计,并生成表格进行输出。
在一种可能的设计中,所述预设时间包括多个,所述N个账号中的目标账号对应的M维数据包括所述目标账号在所述多个预设时间内访问所述目标网址的访问数据。
在一种可能的设计中,所述预设时间包括工作时间段对应的预设时间和/或非工作时间段对应的预设时间;所述预设时间包括一秒钟、一分钟、一小时、一天或一周中的任意一种。
在一种可能的设计中,所述访问类型包括询价、检索或投保跟踪。
在一种可能的设计中,所述获取单元401,用于在预设时间内访问目标网址的N个账号的访问数据,包括:
按照预设周期获取N个账号在预设时间内访问目标网址的访问数据。
需要说明的是,关于异常账号检测装置400的具体实现过程可以参见前述图2所示方法实施例的相关描述,此处不再赘述。
在本申请的另一实施例中提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如数字多功能光盘(digital versatile disc,DVD)、半导体介质(例如固态硬盘solid state disk,SSD)等。
以上所述的具体实施方式,对本发明实施例的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明实施例的具体实施方式而已,并不用于限定本发明实施例的保护范围,凡在本发明实施例的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明实施例的保护范围之内。
Claims (10)
1.一种异常账号检测方法,其特征在于,包括:
获取N个账号在预设时间内访问目标网址的N组访问数据,所述N组访问数据中的每组访问数据为M维数据,N和M均为正整数;
采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间,其中,利用铰链函数对所述N组访问数据在每个维度上进行初步变换后,确定高斯核变换在每个维度上的中心值和尺度参数;
将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,所述分布异常的访问数据是与所述N个账号中的至少一半的账号的访问数据分布不同的访问数据。
2.根据权利要求1所述的方法,其特征在于,M等于1;所述采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间,包括:
利用铰链函数对所述N组访问数据进行初步变换,若所述N组访问数据中的目标访问数据大于所述N个访问数据中的众数,则将所述目标访问数据的值设置为所述目标访问数据与所述众数的差值;
若所述N组访问数据中的目标访问数据小于等于所述N个访问数据中的众数,则将所述目标访问数据的值设置为0;
根据经过所述初步变换后的所述N组访问数据中的众数确定高斯核变换的中心值;
根据经过所述初步变换后的所述N组访问数据中的最大值与最小值之差和第一预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到一维空间,在所述一维空间中所述N组访问数据均分布到0-1值之间;
所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,包括:
将所述一维空间中与0值之间的距离小于等于第一预设距离的访问数据对应的账号确定为异常账号。
3.根据权利要求1所述的方法,其特征在于,M大于等于2;所述采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间,包括:
利用铰链函数对所述N组访问数据在每个维度上进行初步变换,若所述N组访问数据中的目标访问数据在目标维度上的数值大于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为所述目标访问数据在所述目标维度上的值与所述众数的差值;
若所述N组访问数据中的目标访问数据在所述目标维度上小于等于所述N个访问数据在所述目标维度上的众数,则将所述目标访问数据在所述目标维度上的值设置为0;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的众数确定高斯核变换的中心值;
根据每个维度均经过数值变更后的所述N组访问数据在所述目标维度上的最大值与最小值之差和第二预设值的乘积确定所述高斯核变换的尺度参数;
根据所述中心值和所述尺度参数进行高斯核变换处理得到多维空间,在所述多维空间中所述N组访问数据在每个维度上的数据均分布到0-1值之间;
所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,包括:
将所述多维空间中与空间基点之间的欧氏距离大于等于第二预设距离的访问数据对应的账号确定为异常账号,所述空间基点为值为[1,…,1]的点,所述[1,…,1]为M维数据。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述预设时间包括多个,所述N个账号中的目标账号对应的M维数据包括所述目标账号在所述多个预设时间内访问所述目标网址的访问数据。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号之后,还包括:
将所述异常账号添加到黑名单中,在下一次接收到所述异常账号发起的访问请求时,拒绝所述访问请求。
6.根据权利要求1至3任一项所述的方法,其特征在于,所述将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号之后,还包括:
对所述异常账号的互联网协议IP地址或者域名进行识别,将IP地址与所述异常账号的IP地址位于同一网段或者域名与所述异常账号的域名相同的其他账号设置为异常账号并添加到黑名单中;
或者,将IP地址与所述异常账号的IP地址位于同一网段或者域名与所述异常账号的域名相同的其他账号设置为疑似异常的账号,将所述疑似异常的账号进行统计,并生成表格进行输出。
7.根据权利要求1至3任一项所述的方法,其特征在于,所述预设时间包括工作时间段对应的预设时间和/或非工作时间段对应的预设时间;所述预设时间包括一秒钟、一分钟、一小时、一天或一周中的任意一种。
8.一种异常账号检测装置,其特征在于,包括:
获取单元,用于获取N个账号在预设时间内访问目标网址的N组访问数据,所述N组访问数据中的每组访问数据为M维数据,N和M均为正整数;
映射单元,用于采用高斯核函数将所述N组访问数据在每个维度上的数据映射到[0,1]区间,其中,利用铰链函数对所述N组访问数据在每个维度上进行初步变换后,确定高斯核变换在每个维度上的中心值和尺度参数;
确定单元,用于将所述[0,1]区间中分布异常的访问数据对应的账号确定为异常账号,所述分布异常的访问数据是与所述N个账号中的至少一半的账号的访问数据分布不同的访问数据。
9.一种计算机设备,其特征在于,包括处理器、通信接口和存储器,所述处理器、所述通信接口和所述存储器相互连接,其中,所述通信接口用于与其它网络设备进行通信,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-7任一项所述的异常账号检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的异常账号检测方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910669346.3A CN110460587B (zh) | 2019-07-23 | 2019-07-23 | 一种异常账号检测方法、装置及计算机存储介质 |
| PCT/CN2019/117581 WO2021012509A1 (zh) | 2019-07-23 | 2019-11-12 | 一种异常账号检测方法、装置及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910669346.3A CN110460587B (zh) | 2019-07-23 | 2019-07-23 | 一种异常账号检测方法、装置及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110460587A CN110460587A (zh) | 2019-11-15 |
| CN110460587B true CN110460587B (zh) | 2022-01-25 |
Family
ID=68483151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910669346.3A Active CN110460587B (zh) | 2019-07-23 | 2019-07-23 | 一种异常账号检测方法、装置及计算机存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110460587B (zh) |
| WO (1) | WO2021012509A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112162993A (zh) * | 2020-11-10 | 2021-01-01 | 平安普惠企业管理有限公司 | 黑名单的数据更新方法、装置以及计算机设备 |
| CN115189901B (zh) * | 2021-04-07 | 2024-02-06 | 北京达佳互联信息技术有限公司 | 异常请求的识别方法、装置、服务器及存储介质 |
| CN113344621B (zh) * | 2021-05-31 | 2023-08-04 | 北京百度网讯科技有限公司 | 异常账户的确定方法、装置和电子设备 |
| CN113723524B (zh) * | 2021-08-31 | 2024-05-17 | 深圳平安智慧医健科技有限公司 | 基于预测模型的数据处理方法、相关设备及介质 |
| CN114282130A (zh) * | 2021-12-03 | 2022-04-05 | 重庆邮电大学 | 一种基于选择变异飞蛾火焰优化算法的欺诈网址识别方法 |
| CN114971768B (zh) * | 2022-04-14 | 2024-03-05 | 中国电信股份有限公司 | 用户账号识别方法及装置、计算机存储介质、电子设备 |
| CN115603955B (zh) * | 2022-09-26 | 2023-11-07 | 北京百度网讯科技有限公司 | 异常访问对象识别方法、装置、设备和介质 |
| CN116842327B (zh) * | 2023-05-18 | 2024-05-10 | 中国地质大学(北京) | 资源量评价中异常数据的处理方法、装置及设备 |
| CN116644372B (zh) * | 2023-07-24 | 2023-11-03 | 北京芯盾时代科技有限公司 | 一种账户类型的确定方法、装置、电子设备及存储介质 |
| CN117235654B (zh) * | 2023-11-15 | 2024-03-22 | 中译文娱科技(青岛)有限公司 | 一种人工智能的数据智能处理方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917643A (zh) * | 2014-03-11 | 2015-09-16 | 腾讯科技(深圳)有限公司 | 异常账号检测方法及装置 |
| CN105471819A (zh) * | 2014-08-19 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 账号异常检测方法及装置 |
| CN108809745A (zh) * | 2017-05-02 | 2018-11-13 | 中国移动通信集团重庆有限公司 | 一种用户异常行为检测方法、装置及系统 |
| CN109743309A (zh) * | 2018-12-28 | 2019-05-10 | 微梦创科网络科技(中国)有限公司 | 一种非法请求识别方法、装置及电子设备 |
| CN110019074A (zh) * | 2017-12-30 | 2019-07-16 | 中国移动通信集团河北有限公司 | 访问路径的分析方法、装置、设备及介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8719257B2 (en) * | 2011-02-16 | 2014-05-06 | Symantec Corporation | Methods and systems for automatically generating semantic/concept searches |
| CN107563194A (zh) * | 2017-09-04 | 2018-01-09 | 杭州安恒信息技术有限公司 | 潜伏性盗取用户数据行为检测方法及装置 |
-
2019
- 2019-07-23 CN CN201910669346.3A patent/CN110460587B/zh active Active
- 2019-11-12 WO PCT/CN2019/117581 patent/WO2021012509A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917643A (zh) * | 2014-03-11 | 2015-09-16 | 腾讯科技(深圳)有限公司 | 异常账号检测方法及装置 |
| CN105471819A (zh) * | 2014-08-19 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 账号异常检测方法及装置 |
| CN108809745A (zh) * | 2017-05-02 | 2018-11-13 | 中国移动通信集团重庆有限公司 | 一种用户异常行为检测方法、装置及系统 |
| CN110019074A (zh) * | 2017-12-30 | 2019-07-16 | 中国移动通信集团河北有限公司 | 访问路径的分析方法、装置、设备及介质 |
| CN109743309A (zh) * | 2018-12-28 | 2019-05-10 | 微梦创科网络科技(中国)有限公司 | 一种非法请求识别方法、装置及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| powerlink协议通讯的异常检测方法;张瑜等;《计算机工程与设计》;20190131;原文第3-4页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021012509A1 (zh) | 2021-01-28 |
| CN110460587A (zh) | 2019-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110460587B (zh) | 一种异常账号检测方法、装置及计算机存储介质 | |
| CN109240876B (zh) | 实例监控方法、计算机可读存储介质和终端设备 | |
| CN105657003B (zh) | 一种信息处理方法和服务器 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN107943949B (zh) | 一种确定网络爬虫的方法及服务器 | |
| CN110807487B (zh) | 一种基于域名系统流量记录数据识别用户的方法及装置 | |
| CN111092880B (zh) | 一种网络流量数据提取方法及装置 | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN110362455B (zh) | 一种数据处理方法和数据处理装置 | |
| CN110830445B (zh) | 一种异常访问对象的识别方法及设备 | |
| CN111401844B (zh) | 基于物联网的数据共享协同办公方法及数据共享平台 | |
| CN110083475B (zh) | 一种异常数据的检测方法及装置 | |
| CN108156141B (zh) | 一种实时数据识别方法、装置及电子设备 | |
| CN104836701A (zh) | 订单监控方法及装置 | |
| CN108366012B (zh) | 一种社交关系建立方法、装置及电子设备 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN114595481A (zh) | 一种应答数据的处理方法、装置、设备和存储介质 | |
| CN111756745A (zh) | 告警方法、告警装置及终端设备 | |
| CN112765502B (zh) | 恶意访问检测方法、装置、电子设备和存储介质 | |
| CN111338888A (zh) | 一种数据统计方法、装置、电子设备及存储介质 | |
| EP3437006A1 (en) | Malicious database request identification | |
| CN109729054B (zh) | 访问数据监测方法及相关设备 | |
| CN114003796A (zh) | 工控资产的发现方法、装置和电子设备 | |
| CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
| JP6574310B2 (ja) | 評価情報のマッチング方法、装置及びサーバー |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |