【技术实现步骤摘要】
本申请涉及数据处理,特别涉及一种帐号异常行为检测的方法及装置。
技术介绍
1、账号作为信息系统的核心入口,往往遭受恶意攻击者围绕登录、改密等多环节实施的攻击。为了保护帐号安全,需要事先对账号的使用进行验证和防护,之后对账号使用中或使用后的行为进行检测,对疑似异常的行为进行告警触发再验证和告警处置。
2、现有技术中的账号行为异常检测方法,大多只关注帐号的异常登录,检测面较窄。且多为基于规则、单维度的检测方法,容易漏过不明显的异常行为,从而导致高级、隐蔽的账号异常行为仍容易绕过账号异常检测。因此,如何提高对帐号异常行为的检测能力,全面、准确地检测出高级和隐蔽的账号异常行为,成为了一个亟需解决的问题。
技术实现思路
1、基于上述问题,本申请提供了一种帐号异常行为检测的方法及装置,以提高对帐号异常行为的检测能力,全面、准确地检测出高级和隐蔽的账号异常行为。
2、本申请公开了一种帐号异常行为检测的方法,所述方法包括:
3、获取帐号的操作日志信息;
4、基于所述操作日志信息,获取目标特征和所述目标特征的值;
5、将所述目标特征的值根据所述目标特征的敏感度进行转换,并将转换结果拼接得到向量;
6、对所述向量进行聚类,得到聚类结果图,作为异常检测模型;
7、通过所述异常检测模型检测所述帐号是否存在异常行为。
8、可选的,所述操作日志信息包括城市信息、浏览器信息和操作事件信息,所述获取帐号的操作日志信息,
9、获取第一预设时间段内所述帐号的操作日志;
10、基于所述操作日志中的源ip信息映射,得到所述城市信息;
11、基于所述操作日志中的浏览器标识映射,得到所述浏览器信息;
12、统计所述操作日志中的操作事件信息。
13、可选的,所述目标特征包括操作发起城市、操作发起浏览器、操作类别和每个所述操作类别的操作结果,所述目标特征的值包括操作发起城市的个数、操作发起浏览器的个数和获得操作结果的次数,所述基于所述操作日志信息,获取目标特征和所述目标特征的值,包括:
14、基于所述城市信息,获取所述操作发起城市和所述操作发起城市的个数;
15、基于所述浏览器信息,获取所述操作发起浏览器和所述操作发起浏览器的个数;
16、基于所述操作事件信息,获取所述操作类别和所述操作结果,以及所述获得操作结果的次数。
17、可选的,所述将所述目标特征的值根据所述目标特征的敏感度进行转换,并将转换结果拼接得到向量,包括:
18、根据所述目标特征的历史分布和所述目标特征的值,获取目标函数;所述目标函数为概率分布函数的逆函数;
19、设置所述目标特征的敏感度;
20、结合所述目标函数和所述敏感度,将所述目标特征的值转换,得到转换值;
21、将所述转换值拼接为向量。
22、可选的,所述根据所述目标特征的历史分布和所述目标特征的值,获取目标函数,包括:
23、根据第二预设时间段内的所述历史分布,获取所述目标特征发生的概率分布函数,和目标特征阈值;
24、基于所述概率分布函数,获取所述目标特征的值小于或的等于所述目标特征阈值时的概率;
25、获取所述概率与所述概率分布函数,得到所述概率分布函数的逆函数,作为所述目标函数。
26、可选的,述对所述向量进行聚类,得到聚类结果图,作为异常检测模型,包括:
27、对所述向量进行聚类训练,计算轮廓系数;
28、选择使所述轮廓系数最大化的圆半径参数和圆内最小样本参数,形成聚类结果图,作为异常检测模型。
29、可选的,所述通过所述异常检测模型检测所述帐号是否存在异常行为,包括:
30、将所述向量输入所述异常检测模型;
31、当所述操作类别为登录,且所述操作结果为操作失败,且所述获得操作结果的次数大于预设次数时,通过所述异常检测模型判断所述向量对应的帐号存在严重级别的异常行为;
32、去除所述严重级别的向量后,通过所述异常检测模型从剩余的向量中,检测所述帐号是否存在次严重级别、一般级别的异常行为。
33、基于上述一种帐号异常行为检测的方法,本申请还公开了一种帐号异常行为检测的装置,包括:操作日志信息获取单元、目标特征获取单元、转换单元、模型获取单元和异常行为检测单元;
34、所述操作日志信息获取单元,用于获取帐号的操作日志信息;
35、所述目标特征获取单元,用于基于所述操作日志信息,获取目标特征和所述目标特征的值;
36、所述转换单元,用于将所述目标特征的值根据所述目标特征的敏感度进行转换,并将转换结果拼接得到向量;
37、所述模型获取单元,用于对所述向量进行聚类,得到聚类结果图,作为异常检测模型;
38、所述异常行为检测单元,用于通过所述异常检测模型检测所述帐号是否存在异常行为。
39、可选的,所述操作日志信息包括城市信息、浏览器信息和操作事件信息,所述操作日志信息获取单元,包括:
40、操作日志获取子单元,用于获取第一预设时间段内所述帐号的操作日志;
41、城市信息获取子单元,用于基于所述操作日志中的源ip信息映射,得到所述城市信息;
42、浏览器信息获取子单元,用于基于所述操作日志中的浏览器标识映射,得到所述浏览器信息;
43、操作事件信息统计子单元,用于统计所述操作日志中的操作事件信息。
44、可选的,所述目标特征包括操作发起城市、操作发起浏览器、操作类别和每个所述操作类别的操作结果,所述目标特征的值包括操作发起城市的个数、操作发起浏览器的个数和获得操作结果的次数,所述目标特征获取单元,包括:
45、发起城市获取子单元,用于基于所述城市信息,获取所述操作发起城市和所述操作发起城市的个数;
46、发起浏览器获取子单元,用于基于所述浏览器信息,获取所述操作发起浏览器和所述操作发起浏览器的个数;
47、操作结果获取子单元,用于基于所述操作事件信息,获取所述操作类别和所述操作结果,以及所述获得操作结果的次数。
48、可选的,所述转换单元,包括:
49、目标函数获取子单元,用于根据所述目标特征的历史分布和所述目标特征的值,获取目标函数;所述目标函数为概率分布函数的逆函数;
50、敏感度设置子单元,用于设置所述目标特征的敏感度;
51、向量获取子单元,用于结合所述目标函数和所述敏感度,将所述目标特征的值转换,得到转换值;
52、拼接子单元,用于将所述转换值拼接为向量。
53、可选的,所述目标函数获取子单元,包括:
54、分布函数获取子单元,用于根据第二预设时间段内的所述历史分布,获取所述目标特本文档来自技高网...
【技术保护点】
1.一种帐号异常行为检测的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述操作日志信息包括城市信息、浏览器信息和操作事件信息,所述获取帐号的操作日志信息,包括:
3.根据权利要求2所述的方法,其特征在于,所述目标特征包括操作发起城市、操作发起浏览器、操作类别和每个所述操作类别的操作结果,所述目标特征的值包括操作发起城市的个数、操作发起浏览器的个数和获得操作结果的次数,所述基于所述操作日志信息,获取目标特征和所述目标特征的值,包括:
4.根据权利要求3所述的方法,其特征在于,所述将所述目标特征的值根据所述目标特征的敏感度进行转换,并将转换结果拼接得到向量,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标特征的历史分布和所述目标特征的值,获取目标函数,包括:
6.根据权利要求1所述的方法,其特征在于,所述对所述向量进行聚类,得到聚类结果图,作为异常检测模型,包括:
7.根据权利要求3所述的方法,其特征在于,所述通过所述异常检测模型检测所述帐号是否存在异常行为,包括:>
8.一种帐号异常行为检测的装置,其特征在于,包括:操作日志信息获取单元、目标特征获取单元、转换单元、模型获取单元和异常行为检测单元;
9.根据权利要求8所述的装置,其特征在于,所述操作日志信息包括城市信息、浏览器信息和操作事件信息,所述操作日志信息获取单元,包括:
10.根据权利要求9所述的装置,其特征在于,所述目标特征包括操作发起城市、操作发起浏览器、操作类别和每个所述操作类别的操作结果,所述目标特征的值包括操作发起城市的个数、操作发起浏览器的个数和获得操作结果的次数,所述目标特征获取单元,包括:
...【技术特征摘要】
1.一种帐号异常行为检测的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述操作日志信息包括城市信息、浏览器信息和操作事件信息,所述获取帐号的操作日志信息,包括:
3.根据权利要求2所述的方法,其特征在于,所述目标特征包括操作发起城市、操作发起浏览器、操作类别和每个所述操作类别的操作结果,所述目标特征的值包括操作发起城市的个数、操作发起浏览器的个数和获得操作结果的次数,所述基于所述操作日志信息,获取目标特征和所述目标特征的值,包括:
4.根据权利要求3所述的方法,其特征在于,所述将所述目标特征的值根据所述目标特征的敏感度进行转换,并将转换结果拼接得到向量,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标特征的历史分布和所述目标特征的值,获取目标函数,包括:
...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。