【技术实现步骤摘要】
用户异常行为检测方法、装置、电子设备及存储介质
[0001]本公开涉及互联网
,尤其涉及一种用户异常行为检测方法、装置、电子设备及存储介质。
技术介绍
[0002]在互联网应用中,由于超文本传输协议HTTP的无状态性,服务器端无法直接判断用户的状态。如果遇到用户账户被盗、攻击前期试探、非法爬虫等异常的用户行为将对网络安全产生恶劣影响。如何判断用户的异常行为成为重要的议题。
[0003]目前对用户异常行为的检测一种是结合业务规律通过规则的方法挑选出可疑用户,然后依靠人工的方法去判断异常行为。这种方式只能事后追溯,自动化程度低,需要消耗大量人力物力;或者是采用复杂的模型,例如多阶的马尔科夫模型,模型复杂难以训练,检测时计算量很大,另外没有考虑状态的时长等因素的影响,导致误报率高。
[0004]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0005]本公开提供一种用户异常行为检测方法、装置...
【技术保护点】
【技术特征摘要】
1.一种用户异常行为检测方法,其特征在于,包括:获取目标用户的用户行为链数据,所述用户行为链数据包括多个按时序排列的所述目标用户的用户状态和每一用户状态的滞留时长;基于第一用户状态转移至第二用户状态的转移概率,得到转移指数,所述转移概率通过预训练的马尔科夫模型确定,所述第一用户状态和所述第二用户状态为所述用户行为链数据中前后相邻的两个用户状态;基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数,所述正常时长范围通过拉依达准则确定;将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数;将所述第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,所述历史用户状态包括所述用户行为链数据中所述第二用户状态之前的用户状态;基于所述用户行为异常指数,确定所述目标用户的用户行为是否存在异常。2.根据权利要求1所述的用户异常行为检测方法,其特征在于,在基于第一用户状态转移至第二用户状态的转移概率,得到转移指数之前,所述方法还包括:采集正常用户行为链数据,所述正常用户行为链数据包括多个按时序排列的用户状态;基于所述正常用户行为链数据中的用户状态训练马尔科夫模型;基于训练后的马尔科夫模型,得到所述目标用户的用户行为链数据中不同用户状态之间的转移概率。3.根据权利要求1所述的用户异常行为检测方法,其特征在于,在基于所述滞留时长与正常时长范围的关系,得到状态滞留指数之前,所述方法还包括:采集正常用户行为链数据,所述正常用户行为链数据包括多个用户状态的滞留时长;基于所述正常用户行为链数据中每个用户状态的滞留时长,利用拉依达准则确定每个用户状态的正常时长范围。4.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数,具体包括:基于预设的加法模型或乘法模型,将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数。5.根据权利要求4所述的用户异常行为检测方法,其特征在于,当基于预设的加法模型结合时,将所述转移指数和所述滞留指数相加,计算得到第二用户状态的异常指数;当基于预设的乘法模型结合时,将所述转移指数和所述滞留指数相乘,计算得到第二用户状态的异常指数。6.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述将所述第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,具体包括:设定第二用户状态的异常指数和历史用户状态的异常指数权重系数;将第二用户状态的异常指数和历史用户状态的异常指数按照设定的权重系数相加,得到用户行为异常指数。7.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述基于所述...
【专利技术属性】
技术研发人员:王有元,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。