异常行为判定模型的建立方法、系统、服务器及存储介质技术方案

本发明专利技术公开了一种异常行为判定模型的建立方法、系统、服务器及存储介质；本发明专利技术通过获取用户终端设备的多个历史行为数据；从所述历史行为数据中提取历史标识特征，并对所述历史标识特征进行遍历；在遍历到的当前历史标识特征异常时，获取所述当前历史标识特征对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征；在所述历史标识特征遍历完成后，将所述历史全局特征进行聚类，获得异常特征；根据所述异常特征建立异常行为判定模型，实现了通过用户行为轨迹建立模型，提高了异常行为判定准确率。

【技术实现步骤摘要】
异常行为判定模型的建立方法、系统、服务器及存储介质
本专利技术涉及网络安全领域，尤其涉及一种异常行为判定模型的建立方法、系统、服务器及存储介质。
技术介绍
随着互联网的发展，验证码渗透到人们数字化生活的各个角落，越来越多的网站使用验证码技术对人类行为与机器行为进行区分，以识别恶意破解密码、刷票、论坛灌水、刷页等行为。目前的验证码多采用在图片中添加问题的形式，当能回答出问题时，则判定是人类行为，否则判定为机器。虽然是出于安全的考虑，但是越来越多的用户开始诟病这一反人类的设计专利技术，每天都要花部分时间浪费在回答无趣的问题上，大大降低了交互体验。同时，随着计算机自动识别技术的发展，简单的验证码数字图形也不再安全，很容易被黑客攻破，网站很难识别验证行为是由人类还是机器作出，即无法对机器的异常验证行为进行准确判定。上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种异常行为判定模型的建立方法、系统、服务器及存储介质，旨在解决现有技术中无法准确识别机器异常行为的技术问题。为实现上述目的，本专利技术提供一种异常行为判定模型的建立方法，所述方法包括以下步骤：获取用户终端设备的多个历史行为数据；从所述历史行为数据中提取历史标识特征，并对所述历史标识特征进行遍历；在遍历到的当前历史标识特征异常时，获取所述当前历史标识特征对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征；在所述历史标识特征遍历完成后，将所述历史全局特征进行聚类，获得异常特征；根据所述异常特征建立异常行为判定模型。所述根据所述异常特征建立异常行为判定模型，具体包括：将所述异常特征作为负样本数据；将所述历史全局特征中除所述异常特征的其他特征作为正样本数据；将所述负样本数据及所述正样本数据代入高斯径向基函数进行模型训练，获得异常行为判定模型。优选地，所述在所述历史标识特征遍历完成后，将所述历史全局特征进行聚类，获得异常特征，具体包括：在所述历史标识特征遍历完成后，通过K均值聚类算法，以误差平方和准则函数对所述历史全局特征进行聚类分析，获得异常特征。优选地，所述历史标识特征为用户IP；相应地，所述在遍历到的当前历史标识特征异常时，获取所述当前历史标识特征对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征，具体包括：在遍历到的当前用户IP异常时，获取所述当前用户IP对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征。优选地，所述服务器获取用户终端设备的多个历史行为数据，具体包括：获取用户终端设备发送的安全日志数据；从所述安全日志数据中提取多个历史行为数据。优选地，所述根据所述异常特征建立异常行为判定模型之后，所述方法还包括：采集用户终端设备发送的当前行为数据；从所述当前行为数据中提取当前全局特征；将所述当前全局特征代入所述异常行为判定模型，以实现对所述当前行为数据进行异常判定。优选地，所述将所述当前全局特征代入所述异常行为判定模型，以实现对所述当前行为数据进行异常判定之后，所述方法还包括：在判定结果为异常时，向所述当前行为数据对应的用户终端设备输出验证码。此外，为实现上述目的，本专利技术还提供一种异常行为判定模型的建立系统，所述异常行为判定模型的建立系统包括：数据获取模块，用于获取用户终端设备的多个历史行为数据；标识遍历模块，用于从所述历史行为数据中提取历史标识特征，并对所述历史标识特征进行遍历；特征提取模块，用于在遍历到的当前历史标识特征异常时，获取所述当前历史标识特征对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征；特征聚类模块，用于在所述历史标识特征遍历完成后，将所述历史全局特征进行聚类，获得异常特征；模型建立模块，用于根据所述异常特征建立异常行为判定模型。此外，为实现上述目的，本专利技术还提供一种服务器，所述服务器包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常行为判定模型的建立程序，所述异常行为判定模型的建立程序配置为实现所述的异常行为判定模型的建立方法的步骤。此外，为实现上述目的，本专利技术还提供一种存储介质，其特征在于，所述存储介质上存储有异常行为判定模型的建立程序，所述异常行为判定模型的建立程序被处理器执行时实现所述的异常行为判定模型的建立方法的步骤。本专利技术通过获取用户终端设备的多个历史行为数据；从所述历史行为数据中提取历史标识特征，并对所述历史标识特征进行遍历；在遍历到的当前历史标识特征异常时，获取所述当前历史标识特征对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征；在所述历史标识特征遍历完成后，将所述历史全局特征进行聚类，获得异常特征；根据所述异常特征建立异常行为判定模型，实现了通过用户行为轨迹建立模型，提高了异常行为判定准确率。附图说明图1是本专利技术实施例方案涉及的硬件运行环境的服务器结构示意图；图2为本专利技术一种异常行为判定模型的建立方法第一实施例的流程示意图；图3为本专利技术第一实施例中异常行为数据与人类正常行为数据的可视化效果区分图；图4为本专利技术一种异常行为判定模型的建立方法第二实施例的流程示意图；图5为本专利技术一种异常行为判定模型的建立系统第一实施例的功能模块图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。参照图1，图1为本专利技术实施例方案涉及的硬件运行环境的服务器结构示意图。如图1所示，该服务器可以包括：处理器1001，例如CPU，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。本领域技术人员可以理解，图1中示出的结构并不构成对服务器的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及异常行为判定模型的建立程序。在图1所示的服务器中，网络接口1004主要用于与外部网络进行数据通信；用户接口1003主要用于接收用户的输入指令；所述服务器通过处理器1001调用存储器1005中存储的异常行为判定模型的建立程序，并执行以下操作：获取用户终端设备的多个历史行为数据；从所述历史行为数据中提取历史标识特征，并对所述历史标识特征进行遍历；在遍历到的当前历史标识特征异常时，获取所述当前历史标识特征对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征；在所述历史标识特征遍历完成后，将所述历史全局特征进行聚类，获得异常特征；根据所述异常特征建立异常行为判定模型。进一步地，处理器1001可以调用存储器10本文档来自技高网...

【技术保护点】
1.一种异常行为判定模型的建立方法，其特征在于，所述异常行为判定模型的建立方法包括以下步骤：服务器获取用户终端设备的多个历史行为数据；从所述历史行为数据中提取历史标识特征，并对所述历史标识特征进行遍历；在遍历到的当前历史标识特征异常时，获取所述当前历史标识特征对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征；在所述历史标识特征遍历完成后，将所述历史全局特征进行聚类，获得异常特征；根据所述异常特征建立异常行为判定模型。

【技术特征摘要】
1.一种异常行为判定模型的建立方法，其特征在于，所述异常行为判定模型的建立方法包括以下步骤：服务器获取用户终端设备的多个历史行为数据；从所述历史行为数据中提取历史标识特征，并对所述历史标识特征进行遍历；在遍历到的当前历史标识特征异常时，获取所述当前历史标识特征对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征；在所述历史标识特征遍历完成后，将所述历史全局特征进行聚类，获得异常特征；根据所述异常特征建立异常行为判定模型。2.如权利要求1所述的异常行为判定模型的建立方法，其特征在于，所述根据所述异常特征建立异常行为判定模型，具体包括：将所述异常特征作为负样本数据；将所述历史全局特征中除所述异常特征的其他特征作为正样本数据；将所述负样本数据及所述正样本数据代入高斯径向基函数进行模型训练，获得异常行为判定模型。3.如权利要求2所述的异常行为判定模型的建立方法，其特征在于，所述在所述历史标识特征遍历完成后，将所述历史全局特征进行聚类，获得异常特征，具体包括：在所述历史标识特征遍历完成后，通过K均值聚类算法，以误差平方和准则函数对所述历史全局特征进行聚类分析，获得异常特征。4.如权利要求3所述的异常行为判定模型的建立方法，其特征在于，所述历史标识特征为用户IP；相应地，所述在遍历到的当前历史标识特征异常时，获取所述当前历史标识特征对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征，具体包括：在遍历到的当前用户IP异常时，获取所述当前用户IP对应的当前历史行为数据，并从所述当前历史行为数据中提取历史全局特征。5.如权利要求1～4中任一项所述的异常行为判定模型的建立方法，其特征在于，所述服务器获取用户终端设备的多个历史行为数据，具体包括：获取用户终端设备发送的安全日志数据；...

【专利技术属性】
技术研发人员：吴渊，汪智勇，
申请(专利权)人：武汉极意网络科技有限公司，
类型：发明
国别省市：湖北,42