【技术实现步骤摘要】
本申请涉及信息安全领域,具体而言,涉及一种异常用户检测方法、装置、非易失性存储介质及电子设备。
技术介绍
1、相关技术中通常采用网络流量分析工具或者网站统计工具来观察和检测站点的流量访问情况,通过确认是否在同一时间有大量ip访问或者短时间内某个ip高频访问来确定异常用户。这种方式的问题在于对于少量ip间隔多段时间访问的异常访问行为无法有效识别并警示,导致无法准确识别全部的异常用户。
2、针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
1、本申请实施例提供了一种异常用户检测方法、装置、非易失性存储介质及电子设备,以至少解决由于相关技术中仅根据访问频率或访问量确定异常用户导致的无法识别全部类型的异常用户的技术问题。
2、根据本申请实施例的一个方面,提供了一种异常用户检测方法,包括:获取目标时间周期内各个时间段的访问记录数据,其中,访问记录数据中包括访问时间点和访问时间点对应的访问量;确定各个时间段的访问记录数据之间的相似度,并依据相似度确定目标时间段;依据目标时间段的访问记录数据生成第一访问记录图,其中,第一访问记录图中包括第一类节点,第二类节点以及第一类节点与第二类节点之间的边,第一类节点为与访问对象对应的节点,第二类节点为与访问时间点对应的节点,边用于表示第一类节点对应的访问对象是否在第二类节点对应的访问时间点进行访问;依据第一访问记录图在各个访问对象中确定异常访问对象。
3、可选地,确定各个时间段的访问记录数据之间的相似度,并依据相
4、可选地,依据第一访问记录图在各个访问对象中确定异常访问对象的步骤包括:依据第一访问记录图中的第一类节点的数量,第二类节点的数量和边的数量确定第一访问记录图的可疑度指标,其中,可疑度指标用于指示第一类节点对应的用户为异常用户的概率大小;依据可疑度指标和第一访问记录图,确定异常访问对象集合,以及至少一组可疑访问对象集合,其中,异常访问对象集合中的对象为异常访问对象,可疑访问对象集合中的对象为异常访问对象和非异常访问对象;依据异常访问对象集合,在可疑访问对象集合中确定异常访问对象。
5、可选地,依据异常访问对象集合,在可疑访问对象集合中确定异常访问对象的步骤包括:依据异常访问对象集合,确定关联数据类型集合,其中,关联数据类型集合中包括与访问对象为异常访问对象的概率关联的至少一个数据类型;依据关联数据类型集合在可疑访问对象集合中确定异常访问对象。
6、可选地,边包括第一类边和第二类边,第一类边指示关联的第一类节点对应的访问对象在第二类节点对应的访问时间点进行访问,第二类边指示关联的第一类节点对应的访问对象没有在第二类节点对应的访问时间点进行访问;依据第一访问记录图中的第一类节点的数量,第二类节点的数量和边的数量确定第一访问记录图的可疑度指标的步骤包括:确定第一访问记录图中的第一类边的数量;对第一访问记录图中的第一类边的数量、第一类节点的数量和第二类节点的数量进行求和,得到第一计算结果;对第一访问记录图中的第一类节点的数量和第二类节点的数量进行求和,得到第二计算结果;计算第一计算结果和第二计算结果的比值,并确定比值为第一访问记录图的可疑度指标。
7、可选地,依据可疑度指标和第一访问记录图,确定异常访问对象集合的步骤包括:在第一访问记录图中确定目标节点,并删除目标节点,其中,删除目标节点后第一访问记录图对应的可疑度指标增加;在不存在删除后使得第一访问记录图对应的可疑度指标增加的目标节点后,确定此时第一访问记录图中剩余的第一类节点对应的访问对象为异常访问对象,从而得到异常访问对象集合。
8、可选地,依据可疑度指标和第一访问记录图,确定异常访问对象集合的步骤包括:在第一访问记录图中删除异常访问对象集合对应的第一类节点,得到第二访问记录图,并计算第二访问记录图的可疑度指标;依据第二访问记录图的可疑度指标和第二访问记录图,确定可疑访问对象集合,其中,可疑访问对象集合对应的目标子访问记录图的可疑度指标大于第二访问记录图的可疑度指标,并且目标子访问记录图的可疑度指标为第二访问记录图的全部子访问记录图的可疑度指标中的最大值;重复上述删除第一类节点和确定可疑访问对象集合的步骤,直到确定的可疑访问对象集合的数量不小于预设数量阈值。
9、根据本申请实施例的另一方面,还提供了一种异常用户检测装置,包括:采集模块,用于获取目标时间周期内,各个时间段的访问记录数据,其中,访问记录数据中包括访问时间点和访问时间点对应的访问量;计算模块,用于确定各个时间段的访问记录数据之间的相似度,并依据相似度确定目标时间段;处理模块,用于依据目标时间段的访问记录数据生成第一访问记录图,其中,第一访问记录图中包括第一类节点,第二类节点以及第一类节点与第二类节点之间的边,第一类节点为与访问对象对应的节点,第二类节点为与访问时间点对应的节点,边用于表示第一类节点对应的访问对象是否在第二类节点对应的访问时间点进行访问;选择模块,用于依据第一访问记录图在各个访问对象中确定异常访问对象。
10、根据本申请实施例的另一方面,提供了一种非易失性存储介质,非易失性存储介质中存储有程序,其中,在程序运行时控制非易失性存储介质所在设备执行异常用户检测方法。
11、根据本申请实施例的另一方面,提供了一种电子设备,包括:存储器和处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行异常用户检测方法。
12、在本申请实施例中,采用获取目标时间周期内各个时间段的访问记录数据,其中,访问记录数据中包括访问时间点和访问时间点对应的访问量;确定各个时间段的访问记录数据之间的相似度,并依据相似度确定目标时间段;依据目标时间段的访问记录数据生成第一访问记录图,其中,第一访问记录图中包括第一类节点,第二类节点以及第一类节点与第二类节点之间的边,第一类节点为与访问对象对应的节点,第二类节点为与访问时间点对应的节点,边用于表示第一类节点对应的访问对象是否在第二类节点对应的访问时间点进行访问;依据第一访问记录图在各个访问对象中确定异常访问对象的方式,通过访问记录数据之间的相似度来确定目标时间段,并对目标时间段的各个访问对象在不同时间点的访问行为进行综合分析来确定异常用户,达到了对少量ip间隔多段时间访问的异常访问行为准确识别的目的,从而实现了对各类异常用户均可准确识别的技术效果,进而解决了由于相关技术中仅根据访问频率或访问量确定异常用户导致的无法识别全部类型的异常用户技术问题。
本文档来自技高网...【技术保护点】
1.一种异常用户检测方法,其特征在于,包括:
2.根据权利要求1所述的异常用户检测方法,其特征在于,所述确定各个时间段的访问记录数据之间的相似度,并依据所述相似度确定目标时间段的步骤包括:
3.根据权利要求1所述的异常用户检测方法,其特征在于,所述依据所述第一访问记录图在所述各个访问对象中确定异常访问对象的步骤包括:
4.根据权利要求3所述的异常用户检测方法,其特征在于,所述依据所述异常访问对象集合,在所述可疑访问对象集合中确定所述异常访问对象的步骤包括:
5.根据权利要求3所述的异常用户检测方法,其特征在于,所述边包括第一类边和第二类边,所述第一类边指示关联的所述第一类节点对应的所述访问对象在所述第二类节点对应的所述访问时间点进行访问,所述第二类边指示关联的所述第一类节点对应的所述访问对象没有在所述第二类节点对应的所述访问时间点进行访问;所述依据所述第一访问记录图中的所述第一类节点的数量,所述第二类节点的数量和所述边的数量确定所述第一访问记录图的可疑度指标的步骤包括:
6.根据权利要求3所述的异常用户检测方法,其特征在
7.根据权利要求6所述的异常用户检测方法,其特征在于,所述依据所述可疑度指标和所述第一访问记录图,确定异常访问对象集合的步骤包括:
8.一种异常用户检测装置,其特征在于,包括:
9.一种非易失性存储介质,其特征在于,所述非易失性存储介质中存储有程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述的异常用户检测方法。
10.一种电子设备,其特征在于,包括:存储器和处理器,所述处理器用于运行存储在所述存储器中的程序,其中,所述程序运行时执行权利要求1至7中任意一项所述的异常用户检测方法。
...【技术特征摘要】
1.一种异常用户检测方法,其特征在于,包括:
2.根据权利要求1所述的异常用户检测方法,其特征在于,所述确定各个时间段的访问记录数据之间的相似度,并依据所述相似度确定目标时间段的步骤包括:
3.根据权利要求1所述的异常用户检测方法,其特征在于,所述依据所述第一访问记录图在所述各个访问对象中确定异常访问对象的步骤包括:
4.根据权利要求3所述的异常用户检测方法,其特征在于,所述依据所述异常访问对象集合,在所述可疑访问对象集合中确定所述异常访问对象的步骤包括:
5.根据权利要求3所述的异常用户检测方法,其特征在于,所述边包括第一类边和第二类边,所述第一类边指示关联的所述第一类节点对应的所述访问对象在所述第二类节点对应的所述访问时间点进行访问,所述第二类边指示关联的所述第一类节点对应的所述访问对象没有在所述第二类节点对应的所述访问时间点进行访问;所述依据所述第一访问记录图中...
【专利技术属性】
技术研发人员:池学敏,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。