违规用户的检测方法技术

本申请公开了一种违规用户的检测方法

【技术实现步骤摘要】
违规用户的检测方法、装置、设备及存储介质


[0001]本公开一般涉及计算机
，尤其涉及一种违规用户的检测方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]目前，
PCDN
违规用户的检测方式一般会基于互联网流量数据，根据设定的阈值条件将互联网流量数据中
IP
流量存在异常的用户判定为违规用户
。
[0003]但上述检测方法中的检测条件较为单一，在实际应用中容易导致违规用户的检测结果出现错判或遗漏
。
[0004]因此，
PCDN
违规用户的检测结果仍存在准确性不高的问题
。

技术实现思路

[0005]鉴于现有技术中的上述缺陷或不足，期望提供一种违规用户的检测方法
、
装置
、
设备及存储介质，能够避免由于单一的检测条件而产生的检测误差，提高违规用户的检测结果的准确性
。
[0006]第一方面，提供了一种违规用户的检测方法，该方法包括：
[0007]根据预设流量阈值对多个单向网络数据包进行筛选，获得流量大小超过预设流量阈值的违规数据包，根据违规数据包确定疑似违规用户；
[0008]获取疑似违规用户的上网数据，根据上网数据提取疑似违规用户的基础行为特征，根据多个基础行为特征中相关的特征确定疑似违规用户的衍生行为特征；
[0009]根据疑似违规用户的单向网络数据包确定疑似违规用户的传输行为特征；传输行为特征用于表征用户终端基于传输层网络协议的网络行为；
[0010]将疑似违规用户的基础行为特征
、
衍生行为特征以及传输行为特征输入违规用户检测模型，获得疑似违规用户的违规检测结果
。
[0011]第二方面，提供了一种违规用户的检测装置，该装置包括：
[0012]筛选单元，用于根据预设流量阈值对多个单向网络数据包进行筛选，获得流量大小超过预设流量阈值的违规数据包，根据违规数据包确定疑似违规用户；
[0013]第一确定单元，用于获取疑似违规用户的上网数据，根据上网数据提取疑似违规用户的基础行为特征，根据多个基础行为特征中相关的特征确定疑似违规用户的衍生行为特征；
[0014]第二确定单元，用于根据疑似违规用户的单向网络数据包确定疑似违规用户的传输行为特征；传输行为特征用于表征用户终端基于传输层网络协议的网络行为；
[0015]获取单元，用于将疑似违规用户的基础行为特征
、
衍生行为特征以及传输行为特征输入违规用户检测模型，获得疑似违规用户的违规检测结果
。
[0016]第三方面，提供了一种计算机设备，包括存储器
、
处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时，实现上述第一方面中任一项所述的方法
。
[0017]第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现上述第一方面中任一项所述的方法
。
[0018]第五方面，提供了一种计算机程序产品，计算机程序产品中包含指令，当指令被运行时，上述第一方面中任一项所述的方法被执行
。
[0019]本申请实施例提供的违规用户的检测方法
、
装置
、
设备及存储介质，先根据预设流量阈值对单向网络数据包进行筛选，以初步确定出单向网络数据包流量异常的疑似违规用户；再基于疑似违规用户的单向网络包数据与上网数据形成用户网络行为特征
(
例如，基础行为特征
、
衍生行为特征以及传输行为特征
)
；最后利用违规用户检测模型确定疑似违规用户的违规结果
。
[0020]相较于现有技术中仅根据
IP
流量判断用户是否违规的方式，本申请在考虑单向网络数据包流量的基础上，还结合了用户实际产生的上网数据，使检测违规用户时所使用的检测条件更加全面；其次，本申请所使用的用户网络行为特征能够从不同的维度对用户的上网数据进行分析，减少了检测过程中可能出现的数据误差，从而提高了违规用户检测的准确性；最后，本申请的用户网络行为特征是基于单向网络数据包
(Netflow
数据
)
产生的，这使得违规用户的检测过程不再依赖于互联网流量数据，拓宽了违规用户的检测方式的适用场景，提高了违规用户的检测效率
。
[0021]本专利技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术的实践了解到
。
附图说明
[0022]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征
、
目的和优点将会变得更明显：
[0023]图1为本申请实施例的系统架构；
[0024]图2为本申请实施例的一种违规用户的检测方法的流程示意图；
[0025]图3为本申请实施例的疑似违规用户的确定方法的流程示意图；
[0026]图4为本申请实施例的违规用户检测模型的构建装置的方框示意图；
[0027]图5为本申请实施例的另一种违规用户的检测方法的流程示意图；
[0028]图6为本申请实施例的疑似违规用户的网络行为特征的构成示意图；
[0029]图7为本申请实施例的违规用户的检测装置的方框示意图；
[0030]图8为本申请实施例的计算机设备的结构框图
。
具体实施方式
[0031]下面结合附图和实施例对本申请作进一步的详细说明
。
可以理解的是，此处所描述的具体实施例仅仅用于解释相关专利技术，而非对该专利技术的限定
。
另外还需要说明的是，为了便于描述，附图中仅示出了与专利技术相关的部分
。
[0032]需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合
。
下面将参考附图并结合实施例来详细说明本申请
。
[0033]首先对本申请涉及的术语进行解释说明，具体如下：
[0034](1)CDN(Content Delivery Network)
：内容分发网络，可以通过在现有网络中增
加一层新的网络架构的方式，将网站的内容发布至距离用户最近的网络边缘，从而使用户能够就近获取所需内容，提高了用户访问网站的响应速度；
[0035](2)PCDN(P2P Content Delivery Network)
：
P2P
内容分发网络，可以以
P2P
技术为基础，通过挖掘利用边缘网络的海量碎片化闲置资源，对低成本高品质的内容分发网络服务进行构建；
[0036](3)PCDN
违规业务：企业及个人用户租用大量宽带
(
含家本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种违规用户的检测方法，其特征在于，所述方法包括：根据预设流量阈值对多个单向网络数据包进行筛选，获得流量大小超过所述预设流量阈值的违规数据包，根据所述违规数据包确定疑似违规用户；获取所述疑似违规用户的上网数据，根据所述上网数据提取所述疑似违规用户的基础行为特征，根据多个所述基础行为特征中相关的特征确定所述疑似违规用户的衍生行为特征；根据所述疑似违规用户的单向网络数据包确定所述疑似违规用户的传输行为特征；所述传输行为特征用于表征用户终端基于传输层网络协议的网络行为；将所述疑似违规用户的基础行为特征
、
衍生行为特征以及传输行为特征输入违规用户检测模型，获得所述疑似违规用户的违规检测结果
。2.
根据权利要求1所述的方法，其特征在于，所述基础行为特征包括以下至少一项：上行带宽信息
、
下行宽带信息
、IP
地址转化信息
、
宽带数据包类型
、
宽带使用时间
、
宽带上行流量
、
宽带下行流量
。3.
根据权利要求1或2任一项所述的方法，其特征在于，所述根据多个所述基础行为特征中相关的特征确定所述疑似违规用户的衍生行为特征，包括：根据所述衍生行为特征的属性，对所述衍生行为特征对应的相关特征进行运算处理，获得所述衍生行为特征
。4.
根据权利要求1所述的方法，其特征在于，所述单向网络数据包中包括传输层网络协议地址；所述根据所述疑似违规用户的单向网络数据包确定所述疑似违规用户的传输行为特征，包括：按照不同的传输层网络协议地址对所述疑似违规用户的网络数据包流量进行聚合，获得所述疑似违规用户的溯源行为特征；基于孤立森林算法根据所述疑似违规用户的溯源行为特征确定所述单向网络数据包的异常概率特征；根据所述溯源行为特征和所述异常概率特征确定所述疑似违规用户的传输行为特征
。5.
根据权利要求4所述的方法，其特征在于，所述溯源行为特征包括：所述溯源行为特征用于表征传输层网络协议地址的访问次数
、
传输层网络协议地址的数据流量
、
传输层网络协议地址的传输速度
。6.
根据权利要求1所述的方法，其特征在于，所述违规用户检测模型的训练过程包括：将历史违规用户的特征数据分别输入多个初始模型，获得每一所述初始模型输出的预测结果；所述多个初始模型的预测算法不同，所述历...

【专利技术属性】
技术研发人员：李晓燕，胡元皓，朱斌，
申请(专利权)人：亚信科技成都有限公司，
类型：发明
国别省市：