一种检测异常用户的方法及装置制造方法及图纸

本发明专利技术公开了一种检测异常用户的方法及装置，此方法包括：采集日志；对采集到的日志进行分类；根据各类别中的访问参数对各类别评分，选择评分排名前N个的类别，将此N个类别中的日志作为关键日志；根据特征提取算法对所述关键日志提取群体特征，根据特征提取算法对目标用户的日志提取个体特征，根据所述群体特征和所述个体特征的相似性判断所述目标用户是否为异常用户。本发明专利技术独立于实时策略系统，拥有更长的时间窗口，可以获得更为准确的用户的特征。

【技术实现步骤摘要】
一种检测异常用户的方法及装置
本专利技术涉及互联网
，尤其涉及一种检测异常用户的方法及装置。
技术介绍
现有网络安全类产品一般采用若干条规则或策略描述用户的行为界限，如果用户的某项特征突破了正常用户的阈值就会触发处理动作。基于规则的网络安全防护方案中，规则的阈值、算法等参数非常依赖规则制定者的经验，且相对固定，配置完成后不能随着业务的发展和网站结构功能等的变更做到自适应。现有技术中存在如下缺点：1.需要预先了解客户站点的架构和功能。2.要针对不同域名不同接口分别定制安全策略。3.客户站点的架构或功能发生变更，或者业务有增长时，策略的正确率和召回率会降低。4、网站访问用户特征变化后会导致策略有效性变差，甚至会出现错误阻拦的情况。5、定期人为修正相应参数大大提高防护保障成本。
技术实现思路
为了解决上述技术问题，本专利技术提供了一种计算访问参数的方法及装置。本专利技术提供的检测异常用户的方法，包括：采集日志；对采集到的日志进行分类；根据各类别中的访问参数对各类别评分，选择评分排名前N个的类别，将此N个类别中的日志作为关键日志；根据特征提取算法对关键日志提取群体特征，根据特征提取算法对目本文档来自技高网...

【技术保护点】
一种检测异常用户的方法，其特征在于，包括：采集日志；对采集到的日志进行分类；根据各类别中的访问参数对各类别评分，选择评分排名前N个的类别，将此N个类别中的日志作为关键日志；根据特征提取算法对所述关键日志提取群体特征，根据特征提取算法对目标用户的日志提取个体特征，根据所述群体特征和所述个体特征的相似性判断所述目标用户是否为异常用户。

【技术特征摘要】
1.一种检测异常用户的方法，其特征在于，包括：采集日志；对采集到的日志进行分类；根据各类别中的访问参数对各类别评分，选择评分排名前N个的类别，将此N个类别中的日志作为关键日志；根据特征提取算法对所述关键日志提取群体特征，根据特征提取算法对目标用户的日志提取个体特征，根据所述群体特征和所述个体特征的相似性判断所述目标用户是否为异常用户。2.如权利要求1所述检测异常用户的方法，其特征在于，所述对采集到的日志进行分类包括：使用URI分类模型对采集到的日志提取站点URI特征，将具有相同URI特征的日志划分为同一类别。3.如权利要求1所述检测异常用户的方法，其特征在于，所述特征提取算法包括：用于提取用户访问来源特征的算法，用于提取访问行为特征的算法，用于提取访问路径转换参数的算法。4.如权利要求3所述检测异常用户的方法，其特征在于，所述用户访问来源特征包括以下特征中的至少一种：用户的操作系统、浏览器类型、浏览器版本、设备类型；所述访问行为特征包括以下特征中的至少一种：访问路径的重要程度、访问路径过程中使用的访问参数、访问方法、接口路径，接口路径支持的参数属性、上传操作的数据属性、下载操作的数据属性；所述访问路径转换参数包括以下特征中的至少一种：得到用户在正常访问站点时的页面跳转顺序和跳转概率。5.如权利要求1所述检测异常用户的方法，其特征在于，所述特征提取算法的个数为多个时，所述根据所述群体特征和所述个体特征的相似性判断所述目标用户为异常用户的可能性包括：确定通过各个特征提取算法获得的群体特征和个体特征的相似性，使用各个相似性的平均值或通过归一化模型计算各个相似性的归一化相似值，根据此平均值或归一化相似值判断所述目标用户是否为异常用户。6.如权利要求1所述检测异常用户的方法，其特征在于，所述方法还包括：根据采集到的日志预测下一时段单用户单时段访问站点的访问量上限，在所述目标用户在下一时段对至少一站点的访问量大于所述访问量上限时，或者，在所述目标用户在下一时段对至少一站点的访问量大于所述访问量上限并且根据所述群体特征和所述个体特征的相似性判断所述目标用户为异常用户时，确定所述目标用户为异常用户。7.一种检测异常用户的装置，其特征在于，包括：采集模块，用...

【专利技术属性】
技术研发人员：陈哲，丛磊，
申请(专利权)人：北京白山耘科技有限公司，
类型：发明
国别省市：北京,11