【技术实现步骤摘要】
本专利技术涉及计算机,尤其涉及一种异常登录预警方法、装置、设备及存储介质。
技术介绍
1、随着互联网产业的发展,越来越多的实际业务从线下转移到了线上。例如,固定资产管理平台,考勤处理平台等企业常用业务,均实现了网络化处理。节约资源,减少人力投入的同时也带来的许多的安全风险。
2、传统的异常登录检测,往往基于一定的规则对登录行为进行定义,通过匹配提前指定的规则对异常登录行为进行判定。在一些简单的场景中可以使用类似规则预定义的方法识别异常登录,但随着数据量的增加以及业务场景的拓展,规则的定义与选择也会越来越复杂,对相关异常检测人员的技术要求也越来越高。甚至由于不同场景的登录模式之间存在差异,每更换一个业务场景,开发人员就需要设计新的规则,因此大大增加了开发的难度以及工作量,且开发效率低下。
3、因此,现有技术还有待改进和发展。
技术实现思路
1、本专利技术提供了一种异常登录预警方法、装置、设备及存储介质,用于采用实时接收数据和基于isolation forest的异常登录检测模型预测的方式,能够快速响应异常登录行为,及时发出预警。
2、本专利技术第一方面提供了一种异常登录预警方法,所述异常登录预警方法包括:构建基于isolation forest的异常登录检测模型;实时接收登录请求数据,并提取所述登录请求数据的特征数据;将所述特征数据输入异常登录检测模型,获取所述异常登录检测模型的输出结果;根据所述输出结果判断登录请求是否存在异常,若存在异常,则调用
3、可选的,在本专利技术第一方面的第一种实现方式中,所述构建基于isolationforest的异常登录检测模型,包括:收集历史账号的登录日志数据;对所述历史账号的登录日志数据进行预处理,生成登录日志数据集;将所述登录日志数据集输入基于isolationforest模型进行训练,得到异常登录检测模型。
4、可选的,在本专利技术第一方面的第二种实现方式中,所述将所述登录日志数据集输入基于isolation forest模型进行训练,得到异常登录检测模型,包括:划分所述登录日志数据集为第一训练集和第二训练集,所述第一训练集含有正常登录样本和异常登录样本,所述第二训练集只含有异常登录样本;将所述第一训练集输入isolation forest模型进行训练,得到初始训练模型;将所述第二训练集输入所述初始训练模型进行训练,得到异常登录检测模型。
5、可选的,在本专利技术第一方面的第三种实现方式中,所述实时接收登录请求数据,并提取所述登录请求数据的特征数据,包括:使用apache spark结合kafka建立流处理框架以实时接收登录请求数据;对所述登录请求数据进行解析,并划分为多个字段;从所述多个字段中提取登录请求数据的特征数据,所述特征数据包括时间特征、地理位置特征、设备信息特征和登录行为特征。
6、可选的,在本专利技术第一方面的第四种实现方式中,所述将所述特征数据输入异常登录检测模型,获取所述异常登录检测模型的输出结果,包括:获取每个所述特征数据对应的特征向量;将每个所述特征数据对应的特征向量输入所述异常登录检测模型;获取所述异常登录检测模型输出的与每个特征数据对应的特征向量的平均叶子节点高度。
7、可选的,在本专利技术第一方面的第五种实现方式中,所述根据所述输出结果判断登录请求是否存在异常,若存在异常,则调用预警策略进行处理,包括:将每个所述特征数据对应的特征向量的平均叶子节点高度与预设异常阈值进行比较,若每个所述特征数据对应的特征向量的平均叶子节点高度大于预设异常阈值,则判定登录请求异常;当判定为登录请求异常时,计算每个所述特征数据对应的特征向量的平均叶子节点高度与预设异常阈值的差值,并根据所述差值划分为不同的异常级别;根据划分的异常级别调用对应级别的预警策略进行处理。
8、可选的,在本专利技术第一方面的第六种实现方式中,所述定期收集异常修正反馈数据,并根据所述异常修正反馈数据优化异常登录检测模型,包括;定期收集异常修正反馈数据;对所述异常修正反馈数据进行分析,得到分析结果,所述分析结果包括误报率和漏报率;根据所述分析结果对所述异常登录检测模型的参数进行优化,使用经过优化的参数重新训练所述异常登录检测模型。
9、本专利技术第二方面提供了一种异常登录预警装置,包括:模型构建模块,用于构建基于isolation forest的异常登录检测模型;提取模块,用于实时接收登录请求数据,并提取所述登录请求数据的特征数据;异常检测模块,用于将所述特征数据输入异常登录检测模型,获取所述异常登录检测模型的输出结果;预警模块,用于根据所述输出结果判断登录请求是否存在异常,若存在异常,则调用预警策略进行处理;模型优化模块,用于定期收集异常修正反馈数据,并根据所述异常修正反馈数据优化异常登录检测模型。
10、可选的,在本专利技术第二方面的第一种实现方式中,所述模型构建模块包括:第一收集单元,用于收集历史账号的登录日志数据;预处理单元,用于对所述历史账号的登录日志数据进行预处理,生成登录日志数据集;训练单元,用于将所述登录日志数据集输入基于isolation forest模型进行训练,得到异常登录检测模型。
11、可选的,在本专利技术第二方面的第二种实现方式中,所述提取模块包括:实时接收单元,用于使用apache spark结合kafka建立流处理框架以实时接收登录请求数据;解析单元,用于对所述登录请求数据进行解析,并划分为多个字段;提取单元,用于从所述多个字段中提取登录请求数据的特征数据,所述特征数据包括时间特征、地理位置特征、设备信息特征和登录行为特征。
12、可选的,在本专利技术第二方面的第三种实现方式中,所述异常检测模块包括:第一获取单元,用于获取每个所述特征数据对应的特征向量;异常检测单元,用于将每个所述特征数据对应的特征向量输入所述异常登录检测模型;第二获取单元,用于获取所述异常登录检测模型输出的与每个特征数据对应的特征向量的平均叶子节点高度。
13、可选的,在本专利技术第二方面的第四种实现方式中,所述预警模块包括:比较单元,用于将每个所述特征数据对应的特征向量的平均叶子节点高度与预设异常阈值进行比较,若每个所述特征数据对应的特征向量的平均叶子节点高度大于预设异常阈值,则判定登录请求异常;划分单元,用于当判定为登录请求异常时,计算每个所述特征数据对应的特征向量的平均叶子节点高度与预设异常阈值的差值,并根据所述差值划分为不同的异常级别;预警单元,用于根据划分的异常级别调用对应级别的预警策略进行处理。
14、可选的,在本专利技术第二方面的第五种实现方式中,所述模型优化模块包括:第一收集单元,用于定期收集异常修正反馈数据;分析单元,用于对所述异常修正反馈数据进行分析,得到分析结果,所述分析结果包括误报率和漏报率;优化单元,用于根据所述分析结果对所述异常登录检测模型的参数进行优化,使用经本文档来自技高网...
【技术保护点】
1.一种异常登录预警方法,其特征在于,所述异常登录预警方法包括:
2.根据权利要求1所述的异常登录预警方法,其特征在于,所述构建基于IsolationForest的异常登录检测模型,包括:
3.根据权利要求2所述的异常登录预警方法,其特征在于,所述将所述登录日志数据集输入基于Isolation Forest模型进行训练,得到异常登录检测模型,包括:
4.根据权利要求1所述的异常登录预警方法,其特征在于,所述实时接收登录请求数据,并提取所述登录请求数据的特征数据,包括:
5.根据权利要求1所述的异常登录预警方法,其特征在于,所述将所述特征数据输入异常登录检测模型,获取所述异常登录检测模型的输出结果,包括:
6.根据权利要求5所述的异常登录预警方法,其特征在于,所述根据所述输出结果判断登录请求是否存在异常,若存在异常,则调用预警策略进行处理,包括:
7.根据权利要求1所述的异常登录预警方法,其特征在于,所述定期收集异常修正反馈数据,并根据所述异常修正反馈数据优化异常登录检测模型,包括;
8.一种异常登
9.一种异常登录预警设备,其特征在于,包括存储器和至少一个处理器,所述存储器中存储有计算机可读指令;
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读指令,其特征在于,所述计算机可读指令被处理器执行时实现如权利要求1-7中任一项所述异常登录预警方法的各个步骤。
...【技术特征摘要】
1.一种异常登录预警方法,其特征在于,所述异常登录预警方法包括:
2.根据权利要求1所述的异常登录预警方法,其特征在于,所述构建基于isolationforest的异常登录检测模型,包括:
3.根据权利要求2所述的异常登录预警方法,其特征在于,所述将所述登录日志数据集输入基于isolation forest模型进行训练,得到异常登录检测模型,包括:
4.根据权利要求1所述的异常登录预警方法,其特征在于,所述实时接收登录请求数据,并提取所述登录请求数据的特征数据,包括:
5.根据权利要求1所述的异常登录预警方法,其特征在于,所述将所述特征数据输入异常登录检测模型,获取所述异常登录检测模型的输出结果,包括:
...【专利技术属性】
技术研发人员:钱忠杰,姚广,赵严,
申请(专利权)人:上海东普信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。