盗窃账号事件的监控方法及装置制造方法及图纸

本申请涉及一种盗窃账号事件的监控方法及装置，所述方法包括：服务器接收用户提交的操作请求，所述操作请求中携带有所述操作请求的提交时间；根据所述操作请求的提交时间，从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合；从所述第一事件集合中找出异常事件，得到异常事件集合；根据所述异常事件对应的事件信息，判断所述操作请求是否存在盗窃账号事件。本申请可以监控网络中的账号是否被盗，能及时报告风险，从而采取相应的措施，提高网络操作的安全性。

【技术实现步骤摘要】

本申请涉及网络安全
，尤其涉及一种盗窃账号事件的监控方法及装置。
技术介绍
随着互联网的迅速发展，经常会出现一些不法分子盗窃用户账号的事件，在这些盗号者操作盗取账号的过程中，现有的线上风险控制模型主要针对与用户的操作直接相关的信息构成的变量体系的变量进行分析，比如用户登录环境、登录设备、历史操作信息等信息，围绕着操作和账户的历史数据给出分析结果，而其他的与操作不直接相关的信息则并不进行考虑，使得一些盗窃账号事件无法被监控出来，不能及时报告风险，从而也无法采取相应的措施以避免用户的利益受损。
技术实现思路
本申请的目的是，提供一种盗窃账号事件的监控方法及装置，用以监控网络中的账号是否被盗，能及时报告风险，从而采取相应的措施，提高网络操作的安全性。本申请提供了一种盗窃账号事件的监控方法，所述方法包括：服务器接收用户提交的操作请求，所述操作请求中携带有所述操作请求的提交时间；所述服务器根据所述操作请求的提交时间，从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合，所述事件信息包括事件类型；所述服务器从所述第一事件集合中找出异常事件，得到异常事件集合，所述异常事件为事件类型与预定义的异常事件类型相同的事件；所述服务器根据所述异常事件对应的事件信息，判断所述操作请求是否存在盗窃账号事件。又一方面，本申请还提供了一种盗窃账号事件的监控装置，所述装置包括：接收单元，接收用户提交的操作请求，所述操作请求中携带有所述操作请求的提交时间；提取单元，根据所述接收单元接收的所述操作请求的提交时间，从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合，所述事件信息包括事件类型；检验单元，从所述提取单元得到的所述第一事件集合中找出异常事件，得到异常事件集合，所述异常事件为事件类型与预定义的异常事件类型相同的事件；判断单元，根据所述检验单元找出的所述异常事件对应的事件信息，判断所述操作请求是否存在盗窃账号事件。本申请实施例提供的盗窃账号事件的监控方法及装置，通过分析操作请求前的异常事件的群聚性来判断是否存在盗窃账号事件，可以监控网络中的账号是否被盗，能及时报告风险，从而采取相应的措施，提高网络操作的安全性。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本申请实施例提供的一种盗窃账号事件的监控方法流程图；图2为本申请实施例提供的一种盗窃账号事件的监控装置示意图；图3为本申请实施例提供的判断单元的装置示意图。具体实施方式为使得本申请的专利技术目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例仅仅是本申请一部分实施例，而非全部实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。本申请实施例提供的盗窃账号事件的监控方法及装置，适用于各类网站的账号安全管理，为网站的系统平台提供安全保障，用以对盗窃账号事件进行监控。在本申请实施例中以电子商务网站的交易付款支付系统为例进行说明，并不以此作为限制。在盗号者获取账户的过程中，往往会出现一系列相关联的事件，例如，登录失败、解换绑手机、修改密码等。这类异常事件群聚的发生是明显风险特征，这类异常事件同时伴随着其他异常事件的群聚发生也是明显风险特征。例如，盗号者在登录时发生异地登录、登录失败，登录后马上创建交易，创建交易虽然是很正常的事件，但如果创建交易和异常事件“群聚”，这也是高风险的特征，往往说明用户已经被盗了。本申请实施例提供的盗窃账号事件的监控方法及装置，正是考虑到这些交易操作之前异常事件的群聚发生的特点，通过分析和检验异常事件是否群聚发生，以判断是否发生了盗窃账号事件。图1是本申请实施例提供的盗窃账号事件的监控方法流程图，如图1所示，本申请实施例的盗窃账号事件的监控方法包括：S101、服务器接收用户提交的操作请求，所述操作请求中携带有所述操作请求的提交时间。用户在购物平台上购买商品进行交易操作时，系统服务器可以接收到用户提交的操作请求，所述操作请求为交易操作请求。可选地，当所述操作请求为交易操作请求时，系统服务器在接收到用户的进行交易的操作请求之后，可以启动进入到风险控制模式。其中，风险控制模式是指交易进入到付款阶段，由电子商务网站、银行网站或者第三方支付平台启动的风险控制模型，是系统为用户提供安全的支付环境所用的一种模式。S102、服务器根据所述操作请求的提交时间，从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合。所述数据库是指线上交易模型的数据库，用于风险控制模型中，以在进入风险控制模式时使用。数据库中包括线上风险控制模型的变量体系，主要由与用户操作、账户相关的变量，比如，用户(买卖家)登录环境、登录设备、用户的历史操作信息等直接与用户操作和账户相关的信息，以及，操作发生前的事件维度的信息，例如，用户信息等与用户操作不直接相关的信息。所述操作请求之前预设时间是该操作请求之前的一段时间，例如，前1天或前1周等，具体的时间长短可根据实际场景进行调整。当进入风险控制模式时，从数据库中提取所述操作请求之前预设时间内的事件及对应的事件信息，得到第一事件集合。所述事件信息包括以下所列中的一种或任意结合：事件名称、事件类型、用户信息、操作时间(即事件发生的时间点)、操作金额、操作环境。其中，用户信息包括用户账号、用户身份等。所述操作环境包括用户设备信息、IP地址信息、浏览器信息等。S103、服务器从所述第一事件集合中找出异常事件，得到异常事件集合。所述异常事件为事件类型与预定义的异常事件类型相同的事件。所述预先定义的异常事件类型包括：登录失败、修改密码、校验操作、解换绑手机或删除记录。所述异常事件包括以下所列中的一种或任意结合：会员登录失败、网站登录失败、请求修改密码、修改密码失败、短信校验操作、手机校验失败、安本文档来自技高网...

【技术保护点】
一种盗窃账号事件的监控方法，其特征在于，所述方法包括：服务器接收用户提交的操作请求，所述操作请求中携带有所述操作请求的提交时间；所述服务器根据所述操作请求的提交时间，从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合，所述事件信息包括事件类型；所述服务器从所述第一事件集合中找出异常事件，得到异常事件集合，所述异常事件为事件类型与预定义的异常事件类型相同的事件；所述服务器根据所述异常事件对应的事件信息，判断所述操作请求是否存在盗窃账号事件。

【技术特征摘要】
1.一种盗窃账号事件的监控方法，其特征在于，所述方法包括：
服务器接收用户提交的操作请求，所述操作请求中携带有所述操作请求
的提交时间；
所述服务器根据所述操作请求的提交时间，从数据库中提取所述操作请
求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合，
所述事件信息包括事件类型；
所述服务器从所述第一事件集合中找出异常事件，得到异常事件集合，
所述异常事件为事件类型与预定义的异常事件类型相同的事件；
所述服务器根据所述异常事件对应的事件信息，判断所述操作请求是否
存在盗窃账号事件。
2.根据权利要求1所述的方法，其特征在于，所述服务器根据所述异常
事件对应的事件信息，判断所述操作请求是否存在盗窃账号事件，具体包括：
所述服务器根据所述异常事件发生的时间点，设定多个时间窗口；
所述服务器根据所述异常事件的事件信息，分类汇总在各个所述时间窗
口内发生异常事件的次数，得到所述异常事件集合的群聚特征；
所述服务器利用所述异常事件集合的群聚特征，判断所述操作请求是否
存在盗窃账号事件。
3.根据权利要求2所述的方法，其特征在于，所述服务器根据所述异常
事件的事件信息，分类汇总在各个所述时间窗口内发生异常事件的次数，包
括以下所列中的一种或任意结合：
根据所述异常事件的用户信息，分别统计同一用户在各个所述时间窗口
内发生异常事件的次数；
根据所述异常事件的IP地址信息，统计相似用户在各个所述时间窗口内
发生异常事件的次数，所述相似用户为IP地址的前三段相同的用户；
根据所述异常事件的IP地址信息，统计所述相似用户在各个所述时间窗
口内发生异常事件的用户数量；
或者，根据所述异常事件的用户设备信息，统计同一设备在各个所述时
间窗口内发生异常事件的次数。
4.根据权利要求2所述的方法，其特征在于，所述服务器利用所述异常
事件集合的群聚特征，判断所述操作请求是否存在盗窃账号事件，具体包括：
所述服务器根据所述异常事件集合的群聚特征，计算所述异常事件群聚
的可能性得分；
所述服务器根据所述可能性得分，判断所述操作请求是否存在盗窃账号
事件，将所述可能性得分超过预设阈值的所述操作请求判断为存在盗窃账号
事件。
5.根据权利要求4所述的方法，其特征在于，所述服务器利用所述异常
事件集合的群聚特征，计算所述异常事件群聚的可能性得分，具体包括：
所述服务器从所述异常事件集合的群聚特征中，选取符合要求的群聚特
征，构造第一变量作为风险控制模型的输入变量；
所述服务器将所述第一变量及对应的变量值输入到所述风险控制模型
中，计算得到所述异常事件群聚的可能性得分。
6.根据权利要求1所述的方法，其特征在于，所述操作请求为交易操作
请求；
所述预先定义的异常事件类型包括：登录失败、修改密码、校验操作、
解换绑手机或删除记录；
所述异常事件包括以下所列中的一种或任意结合：会员登录失败、网站
登录失败、请求修改密码、修改密码失败、短信校验操作、手机校验失败、
安全支付授权事件、用户更换绑定手机、用户解除绑定手机、删除记录进回
收站事件、永久删除记录事件。
7.根据权利要求1所...

【专利技术属性】
技术研发人员：梅健，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY