CN111428231A - 基于用户行为的安全处理方法、装置及设备 - Google Patents
基于用户行为的安全处理方法、装置及设备 Download PDFInfo
- Publication number
- CN111428231A CN111428231A CN202010536797.2A CN202010536797A CN111428231A CN 111428231 A CN111428231 A CN 111428231A CN 202010536797 A CN202010536797 A CN 202010536797A CN 111428231 A CN111428231 A CN 111428231A
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- behavior data
- attacker
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2133—Verifying human interaction, e.g., Captcha
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- User Interface Of Digital Computer (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种基于用户行为的安全处理方法、装置及设备,涉及数据安全技术领域。其中方法包括:根据用户对验证码操作前的页面浏览行为数据,以及对所述验证码的操作行为数据,判断所述用户是否为攻击者;若判定所述用户的所述操作行为数据为真实用户的行为数据,则基于所述用户的所述操作行为数据,利用伪造行为之间的相似度进行聚类分析,若所述用户被设置为可疑的次数大于预设次数阈值,则增加验证难度以及增加模型分类为攻击者的概率,对该用户重新采集行为数据利用模型进行再分类;最终通过融合分类结果,确定该用户是否为攻击者。本申请可基于操作验证码的用户行为数据,实现更加严格的黑产攻击防御,保证了网站安全性。
Description
技术领域
本申请涉及数据安全技术领域,尤其是涉及到一种基于用户行为的安全处理方法、装置及设备。
背景技术
验证码作为用户认证的一种有效手段,已经被业界广泛采用,来抵御互联网黑产的攻击。其主要原理在于,黑产通常需要通过大量重复性的访问来获取利益,而验证码可以有效的增加每次访问的成本。
目前,随着近年来深度学习的崛起,利用计算机自动识别网站验证码变得越来越容易。不论滑块验证码,图片选择验证码,文字点选验证码,甚至是需要语义理解的问答题,都可以有相应成熟的深度模型解决方案,这大大降低了黑产破解图片或文字验证码的难度,使得黑产攻击防御失败,从而降低了网站安全性。
发明内容
有鉴于此,本申请提供了一种基于用户行为的安全处理方法、装置及设备,主要目的在于改善目前现有技术中会容易使得黑产攻击防御失败,从而降低网站安全性的技术问题。
依据本申请的一个方面,提供了一种基于用户行为的安全处理方法,该方法包括:
获取用户对验证码操作前的页面浏览行为数据,以及对所述验证码的操作行为数据;
根据所述页面浏览行为数据,利用神经网络模型对所述用户进行分类,所述神经网络模型是基于正常用户和攻击者的验证码操作前的页面浏览行为数据训练得到的;及,
根据所述用户的所述操作行为数据,利用单分类模型对所述用户进行分类,所述单分类模型是基于正常用户的验证码操作行为数据训练得到的;
根据所述用户的所述操作行为数据,利用伪造行为之间的相似度进行聚类分析;
若根据聚类分析结果判定所述用户被设置为可疑的次数大于预设次数阈值,则将所述验证码替换为增加用户操作难度的新验证码,重新获取所述用户对所述新验证码操作前的页面浏览行为数据以及对所述新验证码的操作行为数据,并利用所述神经网络模型和所述单分类模型对所述用户进行再分类,其中,在所述神经网络模型和所述单分类模型进行再分类时,调低模型分类阈值以增加所述用户被分类为攻击者的概率;
通过融合上述分类结果,确定所述用户是否为攻击者。
依据本申请的另一方面,提供了一种基于用户行为的安全处理装置,该装置包括:
获取模块,用于获取用户对验证码操作前的页面浏览行为数据,以及对所述验证码的操作行为数据;
分类模块,用于根据所述页面浏览行为数据,利用神经网络模型对所述用户进行分类,所述神经网络模型是基于正常用户和攻击者的验证码操作前的页面浏览行为数据训练得到的;及,
所述分类模块,还用于根据所述用户的所述操作行为数据,利用单分类模型对所述用户进行分类,所述单分类模型是基于正常用户的验证码操作行为数据训练得到的;
分析模块,用于根据所述用户的所述操作行为数据,利用伪造行为之间的相似度进行聚类分析;
所述分类模块,还用于若根据聚类分析结果判定所述用户被设置为可疑的次数大于预设次数阈值,则将所述验证码替换为增加用户操作难度的新验证码,重新获取所述用户对所述新验证码操作前的页面浏览行为数据以及对所述新验证码的操作行为数据,并利用所述神经网络模型和所述单分类模型对所述用户进行再分类,其中,在所述神经网络模型和所述单分类模型进行再分类时,调低模型分类阈值以增加所述用户被分类为攻击者的概率;
确定模块,用于通过融合上述分类结果,确定所述用户是否为攻击者。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述基于用户行为的安全处理方法。
依据本申请再一个方面,提供了一种基于用户行为的安全处理设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述基于用户行为的安全处理方法。
借由上述技术方案,本申请提供的一种基于用户行为的安全处理方法、装置及设备,本申请不仅参考了用户对验证码的操作行为数据,还参考该用户对验证码操作前的页面浏览行为数据,作为进一步人机认证的依据,进而可准确判断用户是否为攻击者。即便攻击者通过伪造行为数据来模拟真实用户操作完成验证,本申请还可利用伪造行为之间的相似度进行聚类分析,进而在判定该用户被设置为可疑的次数大于预设次数阈值时,将验证码替换为增加用户操作难度的新验证码,同时通过调低模型分类阈值增加用户被分类为攻击者的概率,重新采集相应的用户行为数据进行再分类,从而通过增加验证难度和提高攻击者分类标准的方式,可更大几率的识别出是否为真实用户完成的验证过程。与目前攻击者容易通过计算机自动识别网站验证码的方式相比,本申请可基于操作验证码的用户行为数据,实现更加严格的黑产攻击防御,保证了网站安全性,降低了网站被黑产攻击的风险。此外,本申请还可根据训练好的单分类模型中从每天记录的验证行为数据日志中识别出正确的攻击者行为数据,避免训练集扩充过程中错误数据输入造成的训练集污染,进而导致模型训练失败。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种基于用户行为的安全处理方法的流程示意图;
图2示出了本申请实施例提供的另一种基于用户行为的安全处理方法的流程示意图;
图3示出了本申请实施例提供的简单模式下实例的方法流程示意图;
图4示出了本申请实施例提供的完整模式下实例的方法流程示意图;
图5示出了本申请实施例提供的完整模型训练的流程示意图;
图6示出了本申请实施例提供的一种基于用户行为的安全处理装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
针对改善目前攻击者通过计算机自动识别网站验证码,容易使得黑产攻击防御失败,从而降低网站安全性的技术问题。本实施例提供了一种基于用户行为的安全处理方法,如图1所示,该方法包括:
101、获取用户对验证码操作前的页面浏览行为数据,以及对验证码的操作行为数据。
其中,对验证码操作前的页面浏览行为数据可包括:用户对验证码操作前各个时间点的鼠标操作序列、键盘输入序列,对于移动端还可以包括陀螺仪变化序列等。而用户对验证码的操作行为数据可包括:从用户开始验证的时间点为时间起点、到完成验证的时间段内各个时间点的鼠标操作序列等。
对于本实施例的执行主体可为基于用户行为的安全防御处理的装置或设备,可配置在网站方侧。可用于为网站提供黑产攻击防御的有效手段,降低网站被黑产攻击的风险。
本实施例采集用户对验证码操作前的页面浏览行为数据,以及对验证码的操作行为数据,作为进一步人机认证的依据。具体可执行步骤102至104所示的三个判断分析过程,需要说明的是,这三个判断分析过程可并列同时执行,或者按照一定的递进关系执行等,具体可根据实际安全检测的时效性和资源耗费的需求进行确定。
102、根据用户对验证码操作前的页面浏览行为数据,利用神经网络模型对该用户进行分类,以及根据用户对验证码的操作行为数据,利用单分类模型对该用户进行分类。
本实施例中需要正负样本集训练得到神经网络模型,该神经网络模型可以是基于正常用户和攻击者的验证码操作前的页面浏览行为数据训练得到的。该神经网络模型不限于深度神经网络(Deep Neural Networks,DNN),卷积神经网络(Convolutional NeuralNetworks,CNN),循环神经网络(Recurrent Neural Network,RNN)等结构。
例如,针对同一验证码类型(如滑块验证码,图片选择验证码,文字点选验证码、需要语义理解的问答题验证码等类型),基于目标用户对验证码操作前的页面浏览行为数据,利用神经网络模型分析该目标用户与正常用户之间的页面浏览行为相似性,以及分析该目标用户与攻击者之间的页面浏览行为相似性,即分析该目标用户的页面浏览行为更偏向于真实用户的浏览行为,还是更偏向于非真实用户(机器)的浏览行为。如果更偏向于非真实用户(机器)的浏览行为,则可判定该目标用户为攻击者。
与神经网络模型不同的是,本实施例中的单分类模型可只需要一种样本集训练得到,该单分类模型可以是基于正常用户的验证码操作行为数据训练得到的。
由于验证开始阶段之前的行为数据具有很大的随机性,而验证时的动作,如拖动滑块,点击文字等,具有很明确的范式结构,比较适用于进行相似性的判断,因此本实施例可使用正常用户的验证码操作行为数据作为参考,分析该用户在验证码操作时是否更偏向与真实用户的验证码操作,如果否,那么可判定该用户为攻击者。通过这种类似于单分类的判别方式,可避免收集攻击者数据的困难。能够从每日记录的验证行为数据日志中识别出正确的攻击者数据,从而扩充训练集中攻击者数据。
本实施例所使用的神经网络模型可以是二分类模型,需要正负样本集对神经网络模型进行训练,而单分类模型只需要一种样本训练集即可。目前利用白名单等方式可更容易选取得到正常用户的样本集,而黑名单攻击者的样本数据相对较难获取、且容易出错,这会造成神经网络模型不容易训练。因此,可利用定期更新训练后的单分类模型识别出最新的黑名单攻击者,进而挖掘出最新的黑名单攻击者的样本数据,来更新神经网络模型所需的正负样本训练集,进而可实现定期自动更新准确的正负样本训练集,保证神经网络模型的准确更新。也减少了人工手动提取样本特征的情况,整个更新训练过程可自动化实现,可提高模型更新的效率。
103、根据用户对验证码的操作行为数据,利用伪造行为之间的相似度进行聚类分析。
104、若根据聚类分析结果判定该用户被设置为可疑的次数大于预设次数阈值,则将验证码替换为增加用户操作难度的新验证码,重新获取该用户对新验证码操作前的页面浏览行为数据以及对新验证码的操作行为数据,并利用神经网络模型和单分类模型对该用户进行再分类。
其中,在神经网络模型和单分类模型进行再分类时,调低模型分类阈值以增加该用户被分类为攻击者的概率。
由于处于页面前端的js代码非常容易破解,这导致验证码的攻击者不光可以通过自动化测试工具selenium等来模拟用户操作,更可以通过脚本直接发送伪造的请求,并在请求中附带真实的用户操作。该真实用户操作可以来自于攻击者自己本人的操作,也可以通过采集其他用户的真实操作来获得。因此,为了避免攻击者借此成功绕过人机行为验证,本实施例可基于该用户对验证码的操作行为数据,利用伪造行为之间的相似度进行聚类分析,虽然攻击者可以使用成千上万个IP进行访问,使网站方无法定位其存在,但是可以通过构造行为的相似性,将这些IP进行捆绑判定。这样虽然攻击者使用的是真实的用户行为,但是通过相似性聚类依然可以发现他们的存在。
例如,通过伪造行为之间相似度的聚类分析,统计目标用户每次发送请求时相应被设置为可疑的累计次数。当目标用户被设置为多次可疑,并且次数达到一定阈值时,可将验证码替换为增加用户操作难度的验证码(如原来是点击图片中常规字体的数字,变更为点击图片中已变形的字符(需要用户仔细辨别)等)进行测试。具体的测试过程可包括:重新采集用户行为数据,具体包括验证前的页面浏览行为以及验证码操作操作行为;然后基于重新采集到的页面浏览行为和验证码操作操作行为,利用步骤102中的神经网络模型和单分类模型进行再分类,并且再分类时调低这两个模型中的分类阈值,以增加该用户被分类为攻击者的概率。如在进行神经网络模型和单分类模型分类时,将最终的判定阈值调低,且不改变神经网络模型和单分类模型的参数(即不影响模型本身)。两个模型输出值可为攻击者的概率[0-1],利用判定阈值判断该用户是否为攻击者,在没有调低判定阈值之前,若模型输出概率≥0.5就可判定该用户为攻击者;而在调低判定阈值之后,若模型输出概率≥0.2就可判定该用户为攻击者。
105、通过融合上述分类结果,确定用户是否为攻击者。
例如,在经过上述两个模型的分类和再分类的过程之后,如果其中至少一个分类结果判定该用户为攻击者,即可根据该用户进行安全防御处理,如限制该用户访问该网站、将其列为黑名单用户等。
本实施例提供的一种基于用户行为的安全处理方法,由于真实用户在操作验证码的过程中会存在大量的鼠标、键盘等操作行为,因此本实施例不仅参考了用户对验证码的操作行为数据,还参考该用户对验证码操作前的页面浏览行为数据,作为进一步人机认证的依据,即判别验证码验证过程是由计算机自动识别该验证码完成验证的,还是由真实用户操作完成的验证过程。具体可结合正常用户和攻击者的验证码操作前的页面浏览行为数据作为正负样本训练集训练得到的神经网络模型进行分类,以及结合正常用户的验证码操作行为数据作为只存在一种样本的训练集训练得到的单分类模型进行分类,识别验证过程是否是由真实用户完成的,进而可准确判断用户是否为攻击者。
即便攻击者通过伪造行为数据来模拟真实用户操作完成验证,本实施例还可利用伪造行为之间的相似度进行聚类分析,进而在判定该用户被设置为可疑的次数大于预设次数阈值时,将验证码替换为增加用户操作难度的新验证码,同时通过调低模型分类阈值增加用户被分类为攻击者的概率,重新采集相应的用户行为数据进行再分类,从而通过增加验证难度和提高攻击者分类标准的方式,可更大几率的识别出是否为真实用户完成的验证过程。与目前攻击者容易通过计算机自动识别网站验证码的方式相比,本实施例可基于操作验证码的用户行为数据,实现更加严格的黑产攻击防御,保证了网站安全性,降低了网站被黑产攻击的风险。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的实施方式,本实施例还提供了另一种基于用户行为的安全处理方法,如图2所示,该方法包括:
201、获取用户在打开验证码所在页面到完成验证码验证的时间段内的用户行为数据。
例如,通过预先编辑的脚本(如采集模块等),采集用户在打开页面到完成验证码验证的时间段内所有的操作,操作类型包括鼠标的移动、点击、移出边界、移入边界、页面滚动、键盘的输入等,移动端还可以包含陀螺仪的变化等。这些记录的操作都应同时包含操作发生时刻的时间戳。其中为了增加前端破解的难度,在采集模块上可增加复杂的前端代码混淆。
202、以用户开始验证码验证操作的时间点为切割点,对用户的用户行为数据进行切割,得到用户对验证码操作前的页面浏览行为数据,以及对验证码的操作行为数据。
采集信息同时包括用户开始验证的时间点,采集模块根据该时间对行为序列进行切割,分为两个部分,其一为页面浏览行为,其二为验证码操作行为。这一步截取主要是因为,验证开始阶段之前的行为数据具有很大的随机性,不容易影响相似性的判断,用作单分类模型数据时效果不佳。而验证时的动作,如拖动滑块,点击文字等,具有很明确的范式结构,比较适用于进行相似性的判断。
203a、根据用户对验证码操作前的页面浏览行为数据,利用神经网络模型对用户进行分类。
可选的,步骤203a具体可包括:首先从该用户的页面浏览行为数据中,获取第一鼠标行为序列和/或键盘输入行为序列;然后按照鼠标操作类型(如鼠标操作类型至少包括:点击、按下、抬起、移动、移出边界、移入边界、滚动中的一个或多个)、鼠标所在坐标和事件发生时间,对第一鼠标行为序列进行鼠标操作特征提取,以根据该鼠标操作特征,并结合正常用户和攻击者的验证码操作前的历史鼠标操作特征,确定该用户为攻击者的第一概率值;和/或,按照键盘输入的字符(如字母或符号等)对应的ASCII码、键盘输入对应的时间,对键盘输入行为序列进行键盘输入特征提取,以根据该键盘输入特征、并结合正常用户和攻击者的验证码操作前的历史键盘输入特征,确定该用户为攻击者的第二概率值;最后根据上述得到的第一概率值和/或第二概率值,确定该神经网络模型的分类结果。
具体可根据实际操作情况(如只有鼠标操作行为或者键盘输入行为,或二者兼有)获取鼠标行为序列和/或键盘输入行为序列。通过这种可选方式可基于用户对验证码操作前在页面中鼠标浏览操作和键盘输入操作,准确判别出该用户是否为真实用户的操作行为,如果不是真实用户的操作行为,即可判别出该用户为攻击者。
为了准确采集鼠标行为序列和键盘输入行为序列,示例性的,从该用户的页面浏览行为数据中,获取第一鼠标行为序列和/或键盘输入行为序列,具体包括:按照固定采样间隔采集连续的鼠标操作记录,得到第一鼠标行为序列;和/或,截取键盘连续输入最长的键盘输入记录,并按照预设最大输入长度,获取键盘输入行为序列。优选的,该固定采样间隔可为100ms,而预设最大输入长度为64。例如,将页面浏览行为采样,其中连续的鼠标移动,连续的滚动按固定时间间隔100ms进行采样。键盘输入选取其中连续输入最长的一段作为代表,如果超过最大长度64,则随机截取其中连续的一段长度为64的输入序列。
然后鼠标轨迹和键盘的序列数据(即第一鼠标行为序列和键盘输入行为序列)会被分别输入两个不同的深度模型,进行自动化地特征提取。优选的,可采用卷积网络来处理这些序列数据。通过这种方式自动化的特征提取方式,与传统的人工特征提取方式(如基于人工特征提取的方式,提取不同序列区域的最大值、最小值、均值、中位数、方差,一阶差分、二阶差分等特征)相比,本实施例可基于深度模型对行为数据特征进行自动提取,可很好地解决传统人工特征提取所带来的问题(如该方式具有很大局限性,首先针对序列的分段均值方差中位数等指标,只能一定程度上反应整体和局部的特性,无法反应出序列前后的关联。另一方面,这种手工提取特征的方式,只能对鼠标位置轨迹数据进行提取,如果遇到其他操作类型,比如鼠标滚轮,键盘输入等,就无能为力了)。可以提高特征提取的效率和准确度,进而可提高后续识别用户是否为攻击者的精准度。
进一步可选的,可利用长短期记忆网络(Long Short-Term Memory,LSTM)模型作为特征提取模型,而选择逻辑回归(Logistic Regression,LR)模型作为分类模型。相应的,按照鼠标操作类型、鼠标所在坐标和事件发生时间,对第一鼠标行为序列进行鼠标操作特征提取,具体可包括:利用LSTM模型,对第一鼠标行为序列进行鼠标操作特征提取,使得第一鼠标行为序列的每一帧被表示为第一特征向量,其中第一特征向量的第一位为鼠标操作类型,第二位和第三位分别为鼠标所在的x、y坐标,第四位为事件发生时间。
例如,鼠标行为序列的每一帧被表示为一个特征向量,向量的组成方式包括:第一位表示操作类型,分别为点击按下、抬起、移动、移出边界、移入边界、滚动等;第二、第三位分别为鼠标所在的x,y坐标;第四位为事件发生的时间(如每个坐标值对应的时间)。
相应的,根据鼠标操作特征,并结合正常用户和攻击者的验证码操作前的历史鼠标操作特征,确定该用户为攻击者的第一概率值,具体可包括:将鼠标操作特征输入到LR模型中,参照正常用户和攻击者的验证码操作前的历史鼠标操作特征进行分类,以获取第一概率值。例如,找到与该用户鼠标操作特征对应最相似的样本特征所对应的分类标签(如正常用户标签和攻击者标签),并根据其相似度判定具体为所对应分类标签的概率值。
同样可选的,在对键盘输入行为序列进行特征提取和分类时,也可利用LSTM模型作为特征提取模型,而选择LR模型作为分类模型。相应的,按照键盘输入的字符对应的ASCII码、键盘输入对应的时间,对键盘输入行为序列进行键盘输入特征提取,具体可包括:利用LSTM模型,对键盘输入行为序列进行键盘输入特征提取,使得键盘输入行为序列的每一帧被表示为第二特征向量,其中该第二特征向量的第一位为键盘输入的字符对应的ASCII码,第二位为键盘输入对应的时间。
例如,键盘输入行为序列的每一帧被表示为一个特征向量,向量的组成方式包括:第一位表示键盘输入的字母或符号对应的ASCII码;第二位表示键盘输入对应的时间。
相应的,根据键盘输入特征、并结合正常用户和攻击者的验证码操作前的历史键盘输入特征,确定该用户为攻击者的第二概率值,具体可包括:将键盘输入特征输入到LR模型中,参照正常用户和攻击者的验证码操作前的历史键盘输入特征进行分类,以获取第二概率值。例如,找到与该用户键盘操作特征对应最相似的样本特征所对应的分类标签(如正常用户标签和攻击者标签),并根据其相似度判定具体为所对应分类标签的概率值。
由于实际当中会存在多个类型的验证码(如如滑块验证码,图片选择验证码,文字点选验证码、需要语义理解的问答题验证码等类型),如果使用统一的模型进行特征提取和分类,必然会影响计算准确性,因此优选的,上述LSTM模型和LR模型可以是根据验证码的类型预先训练得到的,其中,针对不同的验证码类型,分别预先训练有不同的LSTM模型和LR模型。例如,需要调优的超参数包括但不限于,LSTM的细胞状态大小、输出长度、L1及L2正则化系数、优化算法、学习率等。通过这种使用针对性的模型进行特征提取和分类,可提高分析计算的准确性,从而可精确判别用户是否为攻击者。
示例性的,根据第一概率值和第二概率值,确定神经网络模型的分类结果,具体可包括:将第一概率值和第二概率值进行加权求和;若加权求和得到的概率值大于预设概率阈值,则判定该用户为攻击者。优选的,预设概率阈值为0.5。例如,两个LR模型(分别对应鼠标行为和键盘输入行为)的结果将进行加权求和来得到操作可能来自攻击者的概率,如1代表攻击者,0代表正常用户,将概率大于0.5的分类确定为攻击者,概率小于0.5的分类确定为正常用户。
与步骤203a并列的步骤203b、根据用户对验证码的操作行为数据,利用单分类模型对用户进行分类。
可选的,步骤203b具体可包括:首先从用户的验证码操作行为数据中,获取第二鼠标行为序列;再从第二鼠标行为序列中,提取包含鼠标坐标时间对的向量;然后对包含鼠标坐标时间对的向量使用自编码器进行编码,得到预定编码长度的行为编码;最后根据预定编码长度的行为编码,使用单分类模型进行分类,得到该用户为攻击者的评分,其中单分类模型是预先根据正常用户的验证码操作行为数据训练得到的;若得到的评分大于预设评分阈值,则判定该用户为攻击者。优选的,预定编码长度为64,而单分类模型可为SVDD(Support Vector Domain Description)模型,预设评分阈值可为1。
例如,去除上述截取行为序列中非鼠标操作类型,去除操作类型字段,只保留鼠标坐标及时间字段。将上述序列按均匀时间间隔采样至100个坐标时间对,也就是一个长度为300的向量。对上述向量使用一个4层的自编码器进行编码,其中包含的三个隐层大小分别为128,64,128。其中64为最终编码的表示长度。此处自编码器的深度,和隐层的大小可为需要调优的超参数。对于该长度为64的编码,可使用SVDD模型进行单分类,其中正常用户行的分类标签为0,对应模型的唯一分类。可选取分值阈值为1,所有分值大于1的都不属于正常用户行为,即判定为攻击者伪造数据,而分值小于1的则为正常用户数据。
对于本实施例中的SVDD模型,训练数据可全部来自于正常用户数据,该正常用户数据易于获得,数据标签准确度高,可以直接进行线上的数据集扩充和模型迭代。例如,正常用户数据可以来源于内网IP段所产生的数据、IP白名单及用户白名单所产生的数据,也可以通过分析网站每日流量的规律,找到流量正常的自然日,并把所有数据作为正常用户数据等。前述流量正常是指没有突发的流量高峰,流量符合长期的规律性,如早上和傍晚出现峰值,半夜出现低谷等。该SVDD模型所需要的训练超参数包括但不限于:核函数的选择,软间隔系数等。该核函数还包含二级超参数,如系数、指数等。
进一步的,在利用单分类模型进行分类之前,还可利用更为简单快速的方式进行判别,示例性的,在步骤203b之前,还可包括:根据用户的验证码操作行为数据,判断验证码对应滑块的拖动轨迹是否与该滑块放置位置相关;和/或,判断验证码对应文字点击的位置是否与该文字在图片中的相对位置相匹配;若判定滑块的拖动轨迹与该滑块放置位置无关,或文字点击的位置与该文字在图片中的相对位置不匹配,则判定用户为攻击者。通过这种可选方式,可简单快速地判别出用户是否为攻击者,可提高一定的判别效率。
例如,首先对验证码操作行为数据进行简单的规则验证,如滑块的拖动轨迹应当与滑块放置位置有关,文字点击的位置应当与文字在图片中的相对位置相匹配等。如果规则验证失败,则直接判定为攻击者行为。其中,在该规则验证中需要加入一定的误差容忍阈值,以便应对实际生产环境中可能出现的数据采集误差。
基于步骤203a和203b中的内容,如图3所示,可在获取用户行为数据之后,将用户行为数据切分为页面浏览行为和验证码操作行为,后续可分别使用LSTM+LR模型分类页面浏览行为,得到分类结果,以及使用自编码器+SVDD单分类模型处理处理验证码操作行为,得到分类结果。最后根据两个分类结果的结果融合,得到最终判断,即分类该用户是否为攻击者。这样即使攻击者通过某些手段破解了验证码,但是由于行为和正常用户差别较大,依然会被有效地检测出来。
204、根据用户对验证码的操作行为数据,利用伪造行为之间的相似度进行聚类分析。
假设攻击者可以任意伪造请求数据,以及使用真实用户行为来实施攻击。目前现有的行为验证模型在面对这类攻击时非常脆弱,因为这些行为源自用户本身,自然会被模型分类为人类而非机器,攻击者便可以借此成功绕过行为验证。更严重的在于,很多行为验证的***采用了在线更新的模式,那么一旦这些攻击被自动或人工方式发现,那么这些前述真实用户数据将流入机器标签数据,造成训练数据集的污染,直接导致正常用户的验证变得困难,行为拦截的误判率显著上升。
为了解决上述问题,本实施例可利用伪造行为之间的相似度进行聚类分析的方式来判断。由于攻击者在使用真实的用户数据进行攻击时,往往这一类数据获取渠道有限,不会非常多,不像软件生成的随机轨迹那样无穷无尽。攻击者往往基于一个或一组真人操作数据,进行一些微小的修改,作为新的伪造行为。然而这种方式产生新行为往往存在机器学习模型可以发现的相似之处,从而可以将他们有效的归为一类。
为了说明具体的实现方式,可选的,步骤204具体可包括:首先对预定编码长度的行为编码进行收集;再根据收集到的行为编码进行聚类;然后获取聚类之后接收到的第一验证请求,计算第一验证请求对应的行为编码与各个聚类中心的距离;若存在距离小于预设距离阈值的目标聚类中心,则将发送第一验证请求的用户IP地址与该目标聚类中心对应聚类簇包含的用户IP地址进行绑定,其中,绑定后的用户IP地址将合并计算其合并访问频率;若合并访问频率大于预设频率阈值,则将发送第一验证请求的用户IP地址设置为可疑;若同一个用户IP地址被设置为可疑的次数大于预设次数阈值,则将其加入黑名单;最后若黑名单中存在该用户的IP地址,则判定该用户被设置为可疑的次数大于预设次数阈值。
通过上述这种可选方式,可在攻击者模拟真实用户数据的情况下,也能被准确地识别出是攻击者,避免了攻击者在破解了前端代码后,直接使用真实用户行为进行虚假验证,可更全面的做到黑产攻击防御。
示例性的,根据收集到的行为编码进行聚类,具体可包括:使用Mean-Shift算法对收集到的行为编码进行聚类,得到n个聚类中心,其中,n由Mean-Shift算法的窗口大小确定,该窗口大小是根据验证码的数据特征和配置的安全防御级别进行调整得到的。
例如,对上述64位的行为编码进行收集,首先收集约10分钟的用户数据(64位的行为编码),然后使用Mean-Shift算法对数据进行聚类,得到n个聚类中心,其中n取决于Mean-Shift算法的窗口大小,窗口大小需要根据具体验证码的数据特点和想要达到的监控效果进行调整。对之后进入的用户请求,计算其请求的行为编码距离前述各个聚类中心的距离,找出最近聚类中心。如果行为编码距离该聚类中心的距离小于设定的阈值,则认为该行为属于该聚类中心所代表的聚类簇。那么该行为所对应的用户IP地址将和该聚类簇内其他行为对应的用户IP进行绑定,绑定后的IP将合并计算其访问频率。如果合并频率超过某一阈值,则将最新访问的IP设为可疑,如果同一个IP多次被设为可疑,则将其加入IP黑名单。
205、若根据聚类分析结果判定该用户被设置为可疑的次数大于预设次数阈值,则将验证码替换为增加用户操作难度的新验证码,重新获取该用户对新验证码操作前的页面浏览行为数据以及对新验证码的操作行为数据,并利用神经网络模型和单分类模型对用户进行再分类。
其中,在神经网络模型和单分类模型进行再分类时,调低模型分类阈值以增加该用户被分类为攻击者的概率。
例如,如果黑名单中存在该用户的IP地址,则将验证码替换为增加用户操作难度的验证码(如原来是点击图片中常规字体的数字,变更为点击图片中已变形的字符(需要用户仔细辨别)等)进行测试,并调低上述模型中的预设概率阈值和预设评分阈值;最后可根据测试得到的分类结果,确定用户是否为攻击者。
本实施例中的测试过程可包括:在将验证码替换为增加用户操作难度的验证码以后,重新采集用户行为数据,具体包括验证前的页面浏览行为以及验证码操作操作行为。然后利用重新采集到的页面浏览行为和验证码操作操作行为,按照步骤203a和203b中的分类过程,分别使用LSTM+LR模型(分类过程中参考的预设概率阈值已调低)分类页面浏览行为,得到分类结果,以及使用自编码器+SVDD单分类模型(分类过程中参考的预设评分阈值已调低)处理处理验证码操作行为,得到分类结果。最后根据融合分类结果,确定该用户是否为攻击者。如果该用户为非真实用户,会更容易在这种情况下被分类为攻击者。例如,对于加入黑名单的用户IP地址,将替换一些非用户友好的验证码后进行测试,并调低行为分类模型的分数阈值,也就使得该用户行为有更大的概率被分类为攻击者,如果后续被分类成为攻击者,则确定该用户为攻击者。
进一步可选的,为了加快验证用户IP是否被加入黑名单,在对预定编码长度的行为编码进行收集之前,本实施例方法还可包括:计算上述第二鼠标行为序列的MD5值;若MD5值与在先接收到的第二验证请求对应的验证码操作行为序列的MD5值相同,则将该用户的IP地址加入黑名单中。例如,计算步骤203b中验证码操作行为序列的MD5值并进行缓存,如果相同的MD5值已经出现则将请求对应的用户IP直接加入黑名单。这一步确保攻击者无法使用简单的,完全相同的行为来进行重复验证。
基于步骤203a、203b中的分类过程以及步骤204至205中的聚类分析的内容,如图4所示,可在获取用户行为数据之后,将用户行为数据切分为页面浏览行为和验证码操作行为。针对用户页面浏览行为进行鼠标、滚轮等行为的固定时间间隔采样,并对键盘数据截取最大固定长度作为提取特征,后续可使用LSTM+LR模型进行分类得到分类结果。而针对用户验证码操作行为,可使用自编码器进行编码,得到行为编码作为提取特征,后续可使用SVDD单分类模型进行分类得到分类结果。并且可对行为编码使用Mean-Shift算法进行聚类,根据聚类结果对相关的IP进行绑定。然后可对绑定IP的访问频率进行联合计数,如果联合访问频率超过指定阈值,则将最新访问的IP标记为可疑,如果该IP多次被标记为可疑,则加入黑名单。最后对于黑名单IP,将反馈给前端增加其验证难度,同时反馈给分类模型,增加其被分类为正常用户的难度。
206、通过融合上述分类结果,确定用户是否为攻击者。
可选的,步骤206具体可包括:将神经网络模型和单分类模型的分类结果进行加权求和计算,确定用户是否为攻击者。例如,根据这两个模型的验证准确率,配置各自对应的权重,准确率越高其对应权重越高,准确率越低其对应权重越低。通过这种可选方式,最终确定用户的分类结果,可同时考虑每种分类方式的测试准确性,可得到更为准确的分类结果。
在确定用户为攻击者之后,可选的,根据用户进行安全防御处理,具体包括:限制处理该用户发送的验证码验证请求;或,更改为要求该用户进行手机验证、或回答密保问题验证。例如,根据一些特定的页面,改为要求用户进行手机验证,或是要求用户回答密保问题等,这会极大的增加黑产用户的暴力访问的成本。
神经网络模型是二分类模型,需要正负样本集对神经网络模型进行训练,以保证模型训练的准确率。以正样本是正常用户数据,负样本是攻击者数据为例。现有方案无法获取有效的攻击者标签,在于黑产对抗的过程当中,普通用户的行为数据是非常容易获得的,比如选取公司内网网段的数据作为正常用户数据,或者对部分用户或部分设备设为白名单,将其产生的数据作为正常用户数据,因此正样本数据是容易获取的。但是攻击者就非常难以获得,往往需要大量人工的介入进行辅助判断。有一些方案在完成初始模型的训练后,会使用模型在线上判断为“攻击者”的新数据加入“攻击者数据集”进行训练。这样如果模型判断错误,那么错误的数据就会进入数据集,使用含有错误数据的数据集训练又会使错误率提升。如此循环往模型会在错误的道路上越走越远,则负样本攻击者数据来源不好获取。
为了解决上述问题,并且为了满足本实施例中模型的自动化更新需求,可选的,本实施例方法还可包括:将不同用户的分类结果以及各自对应的用户行为数据保存在用户行为日志中;定时从用户行为日志中,基于内网IP段、和/或IP白名单、和/或用户白名单过滤得到正常用户的行为数据,其中用户行为日志中保存有不同时间段内记录的不同用户行为数据;然后根据定时得的正常用户的行为数据,更新单分类模型对应训练所需的原有用户数据集(如包含有正常用户的行为数据),以便利用更新后的用户数据集训练单分类模型;然后再利用测试达标的单分类模型进行模型更新;使用更新后的所述单分类模型对当前时间段内的用户行为数据进行检测,提取出被分类为攻击者的行为数据,并加入到原有攻击者数据集进行更新;最后利用更新后的用户数据集和更新后的攻击者数据集,同时训练LSTM模型和LR模型;使用测试达标的LSTM模型和LR模型进行模型更新。
例如,预先编辑训练模块脚本,该训练模块用于每日更新线上模型(如LSTM模型和LR模型,以及SVDD单分类模型),用于应对攻击者新产生的伪造行为。训练基于每天记录的验证行为数据日志,首先基于内网IP段,以及用户白名单,IP白名单等过滤出肯定为用户行为的数据。使用上述过滤出的用户行为数据,更新原有用户数据集,并用更新后的数据集训练SVDD单分类模型。使用预先分割的测试数据集进行验证,此验证数据集中同时包含用户标签数据和攻击者标签数据,验证得到模型的召回率和准确率,如果达标则更新线上模型。使用SVDD模型对当日所有行为数据进行检测,提取出所有被分类为攻击者数据的行为数据,加入攻击者数据集进行更新。使用更新后的用户数据集和攻击者数据集同时训练LSTM+LR模型,并使用预先分割的测试集进行验证,验证得到模型的召回率和准确率,如果达标则更新线上模型。
本实施例中模型训练方法的改进主要是模型训练集的自动化扩充/收集,如每小时、每日更新等。其中LSTM+LR模型是二分类模型,需要正负样本集。而SVDD模型是单分类模型,只需要一种样本集,目前可根据白名单获取正常用户的样本数据,但黑名单攻击者数据较难获取,且容易出错,这就造成LSTM+LR二分类模型不容易训练。因此,采用训练好的SVDD单分类模型识别出黑名单攻击者数据,虽然数据少(相对比正常用户数据),但保证准确,能够供给LSTM+LR二分类模型进行训练。
但在正负样本数量差异较大的情况下还存在训练样本不均衡的情况,因此,训练方法进一步优化上,可对正负样本采用不同采样率进行训练,相应的,上述利用更新后的用户数据集和更新后的攻击者数据集,训练神经网络模型,具体可包括:若更新后的用户数据集与更新后的攻击者数据集的正负样本数量不均衡,则对正负样本采用不同的采样率进行样本采集,得到符合预设正负样本均衡条件(如正负样本数量相同,或正负样本数量差值小于一定阈值等)的训练集;利用符合预设正负样本均衡条件的训练集,训练神经网络模型。
例如,正样本数量较多,而负样本数量较少时,可将正样本降低采样,如降低正样本采样数约随机选取5%进行采样或提高负样本采样数、或提高负样本采样次数增大10倍等,以减小训练集正负样本不均衡,进而减少对模型训练产生的影响。
完整的训练流程可如图5所示,首先可搜集当日用户行为日志,按照内网IP段、IP白名单及用户白名单等,过滤出确定为用户行为的数据,以便扩充用户数据集;再使用扩充后的用户数据集训练SVDD单分类模型;使用测试集验证SVDD单分类模型的准确度,如果达标则使用训练后达标的SVDD单分类模型分析当日用户行为,找到非用户数据的“攻击者数据”;然后使用过滤得到的攻击者数据,扩充攻击者数据集;最后使用更新后的用户数据集,以及更新后打的攻击者数据集训练LSTM+LR模型,并在使用测试集验证LSTM+LR模型准确度后,利用测试达标的LSTM+LR模型进行线上模型更新。
本实施例提出了一种基于深度循环网络的自动特征提取方案,避免了手动提取特征的局限性。本实施例还提出收集用户行为不限于验证过程,并将用户行为划分为页面浏览行为,验证码操作行为两个特征差别较大的序列,并针对两种序列使用不同的模型进行分类。本实施例提出使用单分类模型对用户数据进行分类,避免了收集攻击者数据的困难。本实施例还提出使用聚类模型对攻击者伪造行为进行相似性分析,避免了攻击者在破解了前端代码后,直接使用真实用户行为进行虚假验证。
进一步的,作为图1和图2所示方法的具体实现,本实施例提供了一种基于用户行为的安全处理装置,如图6所示,该装置包括:获取模块31、分类模块32、分析模块33、确定模块34。
获取模块31,可用于获取用户对验证码操作前的页面浏览行为数据,以及对所述验证码的操作行为数据;
分类模块32,可用于根据所述页面浏览行为数据,利用神经网络模型对所述用户进行分类,所述神经网络模型是基于正常用户和攻击者的验证码操作前的页面浏览行为数据训练得到的;及,
所述分类模块32,还可用于根据所述用户的所述操作行为数据,利用单分类模型对所述用户进行分类,所述单分类模型是基于正常用户的验证码操作行为数据训练得到的;
分析模块33,可用于根据所述用户的所述操作行为数据,利用伪造行为之间的相似度进行聚类分析;
所述分类模块32,还可用于若根据聚类分析结果判定所述用户被设置为可疑的次数大于预设次数阈值,则将所述验证码替换为增加用户操作难度的新验证码,重新获取所述用户对所述新验证码操作前的页面浏览行为数据以及对所述新验证码的操作行为数据,并利用所述神经网络模型和所述单分类模型对所述用户进行再分类,其中,在所述神经网络模型和所述单分类模型进行再分类时,调低模型分类阈值以增加所述用户被分类为攻击者的概率;
确定模块34,可用于通过融合上述分类结果,确定所述用户是否为攻击者。
在具体的应用场景中,所述分类模块32,具体可用于从所述用户的所述页面浏览行为数据中,获取第一鼠标行为序列和/或键盘输入行为序列;按照鼠标操作类型、鼠标所在坐标和事件发生时间,对所述第一鼠标行为序列进行鼠标操作特征提取,以根据所述鼠标操作特征,并结合正常用户和攻击者的验证码操作前的历史鼠标操作特征,确定所述用户为攻击者的第一概率值,其中所述鼠标操作类型至少包括:点击、按下、抬起、移动、移出边界、移入边界、滚动中的一个或多个;和/或,按照键盘输入的字符对应的ASCII码、键盘输入对应的时间,对所述键盘输入行为序列进行键盘输入特征提取,以根据所述键盘输入特征、并结合正常用户和攻击者的验证码操作前的历史键盘输入特征,确定所述用户为攻击者的第二概率值;根据所述第一概率值和/或所述第二概率值,确定所述神经网络模型的分类结果。
在具体的应用场景中,所述分类模块32,具体还可用于按照固定采样间隔采集连续的鼠标操作记录,得到所述第一鼠标行为序列;和/或,截取键盘连续输入最长的键盘输入记录,并按照预设最大输入长度,获取所述键盘输入行为序列。
在具体的应用场景中,优选的,所述固定采样间隔为100ms,所述预设最大输入长度为64。
在具体的应用场景中,所述分类模块32,具体还可用于利用长短期记忆网络LSTM模型,对所述第一鼠标行为序列进行鼠标操作特征提取,使得第一鼠标行为序列的每一帧被表示为第一特征向量,所述第一特征向量的第一位为鼠标操作类型,第二位和第三位分别为鼠标所在的x、y坐标,第四位为事件发生时间;所述分类模块32,具体还可用于将所述鼠标操作特征输入到逻辑回归LR模型中,参照正常用户和攻击者的验证码操作前的历史鼠标操作特征进行分类,以获取所述第一概率值。
在具体的应用场景中,所述分类模块32,具体还可用于利用LSTM模型,对所述键盘输入行为序列进行键盘输入特征提取,使得键盘输入行为序列的每一帧被表示为第二特征向量,所述第二特征向量的第一位为键盘输入的字符对应的ASCII码,第二位为键盘输入对应的时间;所述分类模块32,具体还可用于将所述键盘输入特征输入到LR模型中,参照正常用户和攻击者的验证码操作前的历史键盘输入特征进行分类,以获取所述第二概率值。
在具体的应用场景中,优选的,LSTM模型和LR模型是根据所述验证码的类型预先训练得到的,其中,针对不同的验证码类型,分别预先训练有不同的LSTM模型和LR模型。
在具体的应用场景中,所述分类模块32,具体还可用于将所述第一概率值和第二概率值进行加权求和;若加权求和得到的概率值大于预设概率阈值,则判定所述用户为攻击者。
在具体的应用场景中,优选的,所述预设概率阈值为0.5。
在具体的应用场景中,所述分类模块32,具体还可用于从所述用户的所述操作行为数据中,获取第二鼠标行为序列;从所述第二鼠标行为序列中,提取包含鼠标坐标时间对的向量;对所述包含鼠标坐标时间对的向量使用自编码器进行编码,得到预定编码长度的行为编码;根据所述预定编码长度的行为编码,使用单分类模型进行分类,得到所述用户为攻击者的评分,所述单分类模型是预先根据正常用户的验证码操作行为数据训练得到的;若所述评分大于预设评分阈值,则判定所述用户为攻击者。
在具体的应用场景中,优选的,所述预定编码长度为64,所述单分类模型为SVDD模型,所述预设评分阈值为1。
在具体的应用场景中,所述分类模块32,还可用于根据所述用户的所述操作行为数据,判断所述验证码对应滑块的拖动轨迹是否与所述滑块放置位置相关;和/或,判断所述验证码对应文字点击的位置是否与所述文字在图片中的相对位置相匹配;若判定所述滑块的拖动轨迹与所述滑块放置位置无关,或所述文字点击的位置与所述文字在图片中的相对位置不匹配,则判定所述用户为攻击者。
在具体的应用场景中,所述分析模块33,具体可用于对所述预定编码长度的行为编码进行收集;根据收集到的行为编码进行聚类;获取聚类之后接收到的第一验证请求,计算所述第一验证请求对应的行为编码与各个聚类中心的距离;若存在所述距离小于预设距离阈值的目标聚类中心,则将发送所述第一验证请求的用户IP地址与所述目标聚类中心对应聚类簇包含的用户IP地址进行绑定,其中,绑定后的用户IP地址将合并计算其合并访问频率;若合并访问频率大于预设频率阈值,则将发送所述第一验证请求的用户IP地址设置为可疑;若同一个用户IP地址被设置为可疑的次数大于预设次数阈值,则将其加入黑名单;若所述黑名单中存在所述用户的IP地址,则判定所述用户被设置为可疑的次数大于预设次数阈值。
在具体的应用场景中,所述分析模块33,具体还可用于使用Mean-Shift算法对收集到的行为编码进行聚类,得到n个聚类中心,其中,n由Mean-Shift算法的窗口大小确定,所述窗口大小是根据所述验证码的数据特征和配置的安全防御级别进行调整得到的。
在具体的应用场景中,所述分析模块32,具体还可用于在所述对所述预定编码长度的行为编码进行收集之前,计算所述第二鼠标行为序列的MD5值;若所述MD5值与在先接收到的第二验证请求对应的验证码操作行为序列的MD5值相同,则将所述用户的IP地址加入所述黑名单中。
在具体的应用场景中,所述获取模块31,具体可用于获取所述用户在打开验证码所在页面到完成验证码验证的时间段内的用户行为数据;以所述用户开始验证码验证操作的时间点为切割点,对所述用户的用户行为数据进行切割,得到所述用户的所述操作行为数据和所述页面浏览行为数据。
在具体的应用场景中,本装置还包括:保存模块和更新模块;
保存模块,可用于将不同用户的分类结果以及各自对应的用户行为数据保存在用户行为日志中;
所述获取模块31,还可用于定时从用户行为日志中,基于内网IP段、和/或IP白名单、和/或用户白名单过滤得到正常用户的行为数据,其中所述用户行为日志中保存有不同时间段内记录的不同用户行为数据;
所述更新模块,可用于根据定时得到的正常用户的行为数据,更新所述单分类模型对应训练所需的原有用户数据集,以便利用更新后的用户数据集训练所述单分类模型;
所述更新模块,还可用于利用测试达标的所述单分类模型进行模型更新;
所述分类模块32,还可用于使用更新后的所述单分类模型对当前时间段内的用户行为数据进行分类,提取出被分类为攻击者的行为数据,并加入到原有攻击者数据集中进行更新;
所述更新模块,还可用于利用更新后的用户数据集和更新后的攻击者数据集,训练所述神经网络模型;使用测试达标的所述神经网络模型进行模型更新。
在具体的应用场景中,所述更新模块,具体可用于若所述更新后的用户数据集与所述更新后的攻击者数据集的正负样本数量不均衡,则对正负样本采用不同的采样率进行样本采集,得到符合预设正负样本均衡条件的训练集;利用所述符合预设正负样本均衡条件的训练集,训练所述神经网络模型。
在具体的应用场景中,所述确定模块33,具体可用于将所述神经网络模型和所述单分类模型的分类结果进行加权求和计算,确定所述用户是否为攻击者。
在具体的应用场景中,本装置还可包括:防御模块;
所述防御模块,可用于限制处理所述用户发送的验证码验证请求;或,更改为要求所述用户进行手机验证、或回答密保问题验证。
需要说明的是,本实施例提供的一种基于用户行为的安全处理装置所涉及各功能单元的其它相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的基于用户行为的安全处理方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景的方法。
基于上述如图1和图2所示的方法,以及图6所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种基于用户行为的安全处理设备,具体可以为个人计算机、服务器、平板电脑、智能手机、或其他网络设备等,该设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的基于用户行为的安全处理方法。
可选的,上述实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的上述实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作***、网络通信模块。操作***是管理上述实体设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本实施例的方案,对于用户或攻击者提交的验证行为数据,基于深度模型对行为数据特征进行自动提取。在用户开始验证之前就对用户行为数据进行收集,对用户行为数据划分为页面行为和验证码行为两个维度进行不同方式的检测。并且对用户验证码行为使用异常检测模型进行分类,异常检测模型为单分类模型,因此只需要一类数据进行训练即可。因为正常用户数据非常容易获得,而攻击者的数据难以标记,所以使用该模型分类不存在数据收集上的难题。假设攻击者可以任意伪造请求数据,以及使用真实用户行为来实施攻击。本实施例方案利用了伪造行为之间的相似度进行聚类分析。虽然攻击者可以使用成千上万个IP进行访问,使网站方无法定位其存在,但是我们可以通过构造行为的相似性,将这些IP进行捆绑判定。这样虽然攻击者使用的是真实的用户行为(比如自己或其他用户的操作),分类模型无法将其拦截,但是通过相似性聚类依然可以发现他们的存在。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (21)
1.一种基于用户行为的安全处理方法,其特征在于,包括:
获取用户对验证码操作前的页面浏览行为数据,以及对所述验证码的操作行为数据;
根据所述页面浏览行为数据,利用神经网络模型对所述用户进行分类,所述神经网络模型是基于正常用户和攻击者的验证码操作前的页面浏览行为数据训练得到的;及,
根据所述用户的所述操作行为数据,利用单分类模型对所述用户进行分类,所述单分类模型是基于正常用户的验证码操作行为数据训练得到的;
根据所述用户的所述操作行为数据,利用伪造行为之间的相似度进行聚类分析;
若根据聚类分析结果判定所述用户被设置为可疑的次数大于预设次数阈值,则将所述验证码替换为增加用户操作难度的新验证码,重新获取所述用户对所述新验证码操作前的页面浏览行为数据以及对所述新验证码的操作行为数据,并利用所述神经网络模型和所述单分类模型对所述用户进行再分类,其中,在所述神经网络模型和所述单分类模型进行再分类时,调低模型分类阈值以增加所述用户被分类为攻击者的概率;
通过融合上述分类结果,确定所述用户是否为攻击者。
2.根据权利要求1所述的方法,其特征在于,所述获取用户对验证码的操作行为数据,以及对所述验证码操作前的页面浏览行为数据,具体包括:
获取所述用户在打开验证码所在页面到完成验证码验证的时间段内的用户行为数据;
以所述用户开始验证码验证操作的时间点为切割点,对所述用户的用户行为数据进行切割,得到所述用户的所述操作行为数据和所述页面浏览行为数据。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
将不同用户的分类结果以及各自对应的用户行为数据保存在用户行为日志中;
定时从用户行为日志中,基于内网IP段、和/或IP白名单、和/或用户白名单过滤得到正常用户的行为数据;
根据定时得到的正常用户的行为数据,更新所述单分类模型对应训练所需的原有用户数据集,以便利用更新后的用户数据集训练所述单分类模型;
利用测试达标的所述单分类模型进行模型更新;
使用更新后的所述单分类模型对当前时间段内的用户行为数据进行分类,提取出被分类为攻击者的行为数据,并加入到原有攻击者数据集中进行更新;
利用更新后的用户数据集和更新后的攻击者数据集,训练所述神经网络模型;
使用测试达标的所述神经网络模型进行模型更新。
4.根据权利要求3所述的方法,其特征在于,所述利用更新后的用户数据集和更新后的攻击者数据集,训练所述神经网络模型,具体包括:
若所述更新后的用户数据集与所述更新后的攻击者数据集的正负样本数量不均衡,则对正负样本采用不同的采样率进行样本采集,得到符合预设正负样本均衡条件的训练集;
利用所述符合预设正负样本均衡条件的训练集,训练所述神经网络模型。
5.根据权利要求1所述的方法,其特征在于,所述根据所述页面浏览行为数据,利用神经网络模型对所述用户进行分类,具体包括:
从所述用户的所述页面浏览行为数据中,获取第一鼠标行为序列和/或键盘输入行为序列;
按照鼠标操作类型、鼠标所在坐标和事件发生时间,对所述第一鼠标行为序列进行鼠标操作特征提取,以根据所述鼠标操作特征,并结合正常用户和攻击者的验证码操作前的历史鼠标操作特征,确定所述用户为攻击者的第一概率值,其中所述鼠标操作类型至少包括:点击、按下、抬起、移动、移出边界、移入边界、滚动中的一个或多个;和/或,
按照键盘输入的字符对应的ASCII码、键盘输入对应的时间,对所述键盘输入行为序列进行键盘输入特征提取,以根据所述键盘输入特征、并结合正常用户和攻击者的验证码操作前的历史键盘输入特征,确定所述用户为攻击者的第二概率值;
根据所述第一概率值和/或所述第二概率值,确定所述神经网络模型的分类结果。
6.根据权利要求5所述的方法,其特征在于,所述从所述用户的所述页面浏览行为数据中,获取第一鼠标行为序列和/或键盘输入行为序列,具体包括:
按照固定采样间隔采集连续的鼠标操作记录,得到所述第一鼠标行为序列;和/或,
截取键盘连续输入最长的键盘输入记录,并按照预设最大输入长度,获取所述键盘输入行为序列。
7.根据权利要求6所述的方法,其特征在于,所述固定采样间隔为100ms,所述预设最大输入长度为64。
8.根据权利要求5所述的方法,其特征在于,所述按照鼠标操作类型、鼠标所在坐标和事件发生时间,对所述第一鼠标行为序列进行鼠标操作特征提取,具体包括:
利用长短期记忆网络LSTM模型,对所述第一鼠标行为序列进行鼠标操作特征提取,使得第一鼠标行为序列的每一帧被表示为第一特征向量,所述第一特征向量的第一位为鼠标操作类型,第二位和第三位分别为鼠标所在的x、y坐标,第四位为事件发生时间;
所述根据所述鼠标操作特征,并结合正常用户和攻击者的验证码操作前的历史鼠标操作特征,确定所述用户为攻击者的第一概率值,具体包括:
将所述鼠标操作特征输入到逻辑回归LR模型中,参照正常用户和攻击者的验证码操作前的历史鼠标操作特征进行分类,以获取所述第一概率值。
9.根据权利要求5所述的方法,其特征在于,所述按照键盘输入的字符对应的ASCII码、键盘输入对应的时间,对所述键盘输入行为序列进行键盘输入特征提取,具体包括:
利用LSTM模型,对所述键盘输入行为序列进行键盘输入特征提取,使得键盘输入行为序列的每一帧被表示为第二特征向量,所述第二特征向量的第一位为键盘输入的字符对应的ASCII码,第二位为键盘输入对应的时间;
所述根据所述键盘输入特征、并结合正常用户和攻击者的验证码操作前的历史键盘输入特征,确定所述用户为攻击者的第二概率值,具体包括:
将所述键盘输入特征输入到LR模型中,参照正常用户和攻击者的验证码操作前的历史键盘输入特征进行分类,以获取所述第二概率值。
10.根据权利要求8或9所述的方法,其特征在于,LSTM模型和LR模型是根据所述验证码的类型预先训练得到的,其中,针对不同的验证码类型,分别预先训练有不同的LSTM模型和LR模型。
11.根据权利要求5所述的方法,其特征在于,所述根据所述第一概率值和/或所述第二概率值,确定所述神经网络模型的分类结果,具体包括:
将所述第一概率值和第二概率值进行加权求和;
若加权求和得到的概率值大于预设概率阈值,则判定所述用户为攻击者。
12.根据权利要求11所述的方法,其特征在于,所述预设概率阈值为0.5。
13.根据权利要求1所述的方法,其特征在于,所述根据所述用户的所述操作行为数据,利用单分类模型对所述用户进行分类,具体包括:
从所述用户的所述操作行为数据中,获取第二鼠标行为序列;
从所述第二鼠标行为序列中,提取包含鼠标坐标时间对的向量;
对所述包含鼠标坐标时间对的向量使用自编码器进行编码,得到预定编码长度的行为编码;
根据所述预定编码长度的行为编码,使用所述单分类模型进行分类,得到所述用户为攻击者的评分;
若所述评分大于预设评分阈值,则判定所述用户为攻击者。
14.根据权利要求13所述的方法,其特征在于,所述预定编码长度为64,所述单分类模型为SVDD模型,所述预设评分阈值为1。
15.根据权利要求13所述的方法,其特征在于,所述根据所述用户的所述操作行为数据,利用伪造行为之间的相似度进行聚类分析,具体包括:
对预定编码长度的行为编码进行收集;
根据收集到的行为编码进行聚类;
获取聚类之后接收到的第一验证请求,计算所述第一验证请求对应的行为编码与各个聚类中心的距离;
若存在所述距离小于预设距离阈值的目标聚类中心,则将发送所述第一验证请求的用户IP地址与所述目标聚类中心对应聚类簇包含的用户IP地址进行绑定,其中,绑定后的用户IP地址将合并计算其合并访问频率;
若合并访问频率大于预设频率阈值,则将发送所述第一验证请求的用户IP地址设置为可疑;
若同一个用户IP地址被设置为可疑的次数大于预设次数阈值,则将其加入黑名单;
若所述黑名单中存在所述用户的IP地址,则判定所述用户被设置为可疑的次数大于预设次数阈值。
16.根据权利要求15所述的方法,其特征在于,所述根据收集到的行为编码进行聚类,具体包括:
使用Mean-Shift算法对收集到的行为编码进行聚类,得到n个聚类中心,其中,n由Mean-Shift算法的窗口大小确定,所述窗口大小是根据所述验证码的数据特征和配置的安全防御级别进行调整得到的。
17.根据权利要求15所述的方法,其特征在于,在所述对所述预定编码长度的行为编码进行收集之前,所述方法还包括:
计算所述第二鼠标行为序列的MD5值;
若所述MD5值与在先接收到的第二验证请求对应的验证码操作行为序列的MD5值相同,则将所述用户的IP地址加入所述黑名单中。
18.一种基于用户行为的安全处理装置,其特征在于,包括:
获取模块,用于获取用户对验证码操作前的页面浏览行为数据,以及对所述验证码的操作行为数据;
分类模块,用于根据所述页面浏览行为数据,利用神经网络模型对所述用户进行分类,所述神经网络模型是基于正常用户和攻击者的验证码操作前的页面浏览行为数据训练得到的;及,
所述分类模块,还用于根据所述用户的所述操作行为数据,利用单分类模型对所述用户进行分类,所述单分类模型是基于正常用户的验证码操作行为数据训练得到的;
分析模块,用于根据所述用户的所述操作行为数据,利用伪造行为之间的相似度进行聚类分析;
所述分类模块,还用于若根据聚类分析结果判定所述用户被设置为可疑的次数大于预设次数阈值,则将所述验证码替换为增加用户操作难度的新验证码,重新获取所述用户对所述新验证码操作前的页面浏览行为数据以及对所述新验证码的操作行为数据,并利用所述神经网络模型和所述单分类模型对所述用户进行再分类,其中,在所述神经网络模型和所述单分类模型进行再分类时,调低模型分类阈值以增加所述用户被分类为攻击者的概率;
确定模块,用于通过融合上述分类结果,确定所述用户是否为攻击者。
19.根据权利要求18所述的装置,其特征在于,所述装置还包括:保存模块、更新模块;
所述保存模块,用于将不同用户的分类结果以及各自对应的用户行为数据保存在用户行为日志中;
所述获取模块,还用于定时从用户行为日志中,基于内网IP段、和/或IP白名单、和/或用户白名单过滤得到正常用户的行为数据;
所述更新模块,用于根据定时得到的正常用户的行为数据,更新所述单分类模型对应训练所需的原有用户数据集,以便利用更新后的用户数据集训练所述单分类模型;
所述更新模块,还用于利用测试达标的所述单分类模型进行模型更新;
所述分类模块,还用于使用更新后的所述单分类模型对当前时间段内的用户行为数据进行分类,提取出被分类为攻击者的行为数据,并加入到原有攻击者数据集中进行更新;
所述更新模块,还用于利用更新后的用户数据集和更新后的攻击者数据集,训练所述神经网络模型;使用测试达标的所述神经网络模型进行模型更新。
20.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至17中任一项所述的方法。
21.一种基于用户行为的安全处理设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至17中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010536797.2A CN111428231B (zh) | 2020-06-12 | 2020-06-12 | 基于用户行为的安全处理方法、装置及设备 |
| CN202010800733.9A CN112069485B (zh) | 2020-06-12 | 2020-06-12 | 基于用户行为的安全处理方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010536797.2A CN111428231B (zh) | 2020-06-12 | 2020-06-12 | 基于用户行为的安全处理方法、装置及设备 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010800733.9A Division CN112069485B (zh) | 2020-06-12 | 2020-06-12 | 基于用户行为的安全处理方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111428231A true CN111428231A (zh) | 2020-07-17 |
| CN111428231B CN111428231B (zh) | 2020-09-08 |
Family
ID=71551351
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010800733.9A Active CN112069485B (zh) | 2020-06-12 | 2020-06-12 | 基于用户行为的安全处理方法、装置及设备 |
| CN202010536797.2A Active CN111428231B (zh) | 2020-06-12 | 2020-06-12 | 基于用户行为的安全处理方法、装置及设备 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010800733.9A Active CN112069485B (zh) | 2020-06-12 | 2020-06-12 | 基于用户行为的安全处理方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN112069485B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
| CN112487376A (zh) * | 2020-12-07 | 2021-03-12 | 北京明略昭辉科技有限公司 | 一种人机验证方法及装置 |
| CN112804374A (zh) * | 2021-01-06 | 2021-05-14 | 光通天下网络科技股份有限公司 | Ip识别方法、装置、设备及介质 |
| CN113014598A (zh) * | 2021-03-20 | 2021-06-22 | 北京长亭未来科技有限公司 | 对机器人恶意攻击的防护方法、防火墙、电子设备和存储介质 |
| CN113158183A (zh) * | 2021-01-13 | 2021-07-23 | 青岛大学 | 移动终端恶意行为检测方法、***、介质、设备及应用 |
| CN114254242A (zh) * | 2022-03-01 | 2022-03-29 | 互联网域名***北京市工程研究中心有限公司 | 基于递归解析日志的用户画像方法及装置 |
| CN114462589A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 正常行为神经网络模型训练方法、***、装置及存储介质 |
| CN114462588A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 检测网络入侵用神经网络模型的训练方法、***及设备 |
| CN114564114A (zh) * | 2022-02-18 | 2022-05-31 | 北京圣博润高新技术股份有限公司 | 堡垒机键盘审计方法、装置、设备及存储介质 |
| CN117176478A (zh) * | 2023-11-02 | 2023-12-05 | 南京怡晟安全技术研究院有限公司 | 基于用户操作行为的网络安全实训平台构建方法及*** |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818868B (zh) * | 2021-02-03 | 2024-05-28 | 招联消费金融股份有限公司 | 基于行为序列特征数据的违规用户识别方法和装置 |
| CN113298115A (zh) * | 2021-04-19 | 2021-08-24 | 百果园技术(新加坡)有限公司 | 基于聚类的用户分组方法、装置、设备和存储介质 |
| CN113554515A (zh) * | 2021-06-26 | 2021-10-26 | 陈思佳 | 互联网金融控制方法、***、设备及介质 |
| CN113536302A (zh) * | 2021-07-26 | 2021-10-22 | 北京计算机技术及应用研究所 | 一种基于深度学习的接口调用者安全评级方法 |
| CN114978969B (zh) * | 2022-05-20 | 2023-03-24 | 北京数美时代科技有限公司 | 一种基于用户行为的自适应监控调整方法和*** |
| CN115277068B (zh) * | 2022-06-15 | 2024-02-23 | 广州理工学院 | 一种基于欺骗防御的新型蜜罐***及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107622072A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 一种针对网页操作行为的识别方法及服务器、终端 |
| CN108259503A (zh) * | 2018-01-30 | 2018-07-06 | 成都睿码科技有限责任公司 | 一种为网站和应用区分机器和人类访问的***和方法 |
| CN109241709A (zh) * | 2018-08-03 | 2019-01-18 | 平安科技(深圳)有限公司 | 基于滑块验证码验证的用户行为识别方法及装置 |
| CN109271762A (zh) * | 2018-08-03 | 2019-01-25 | 平安科技(深圳)有限公司 | 基于滑块验证码的用户认证方法及装置 |
| US20190377853A1 (en) * | 2018-06-07 | 2019-12-12 | T-Mobile Usa, Inc. | User-behavior-based adaptive authentication |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109446789A (zh) * | 2018-10-22 | 2019-03-08 | 武汉极意网络科技有限公司 | 基于人工智能的防撞库方法、设备、存储介质及装置 |
| CN110619528A (zh) * | 2019-09-29 | 2019-12-27 | 武汉极意网络科技有限公司 | 行为验证数据处理方法、装置、设备及存储介质 |
-
2020
- 2020-06-12 CN CN202010800733.9A patent/CN112069485B/zh active Active
- 2020-06-12 CN CN202010536797.2A patent/CN111428231B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107622072A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 一种针对网页操作行为的识别方法及服务器、终端 |
| CN108259503A (zh) * | 2018-01-30 | 2018-07-06 | 成都睿码科技有限责任公司 | 一种为网站和应用区分机器和人类访问的***和方法 |
| US20190377853A1 (en) * | 2018-06-07 | 2019-12-12 | T-Mobile Usa, Inc. | User-behavior-based adaptive authentication |
| CN109241709A (zh) * | 2018-08-03 | 2019-01-18 | 平安科技(深圳)有限公司 | 基于滑块验证码验证的用户行为识别方法及装置 |
| CN109271762A (zh) * | 2018-08-03 | 2019-01-25 | 平安科技(深圳)有限公司 | 基于滑块验证码的用户认证方法及装置 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
| CN112487376A (zh) * | 2020-12-07 | 2021-03-12 | 北京明略昭辉科技有限公司 | 一种人机验证方法及装置 |
| CN112804374A (zh) * | 2021-01-06 | 2021-05-14 | 光通天下网络科技股份有限公司 | Ip识别方法、装置、设备及介质 |
| CN112804374B (zh) * | 2021-01-06 | 2023-11-03 | 光通天下网络科技股份有限公司 | 威胁ip识别方法、装置、设备及介质 |
| CN113158183A (zh) * | 2021-01-13 | 2021-07-23 | 青岛大学 | 移动终端恶意行为检测方法、***、介质、设备及应用 |
| CN113014598A (zh) * | 2021-03-20 | 2021-06-22 | 北京长亭未来科技有限公司 | 对机器人恶意攻击的防护方法、防火墙、电子设备和存储介质 |
| CN114462589A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 正常行为神经网络模型训练方法、***、装置及存储介质 |
| CN114462588A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 检测网络入侵用神经网络模型的训练方法、***及设备 |
| CN114462589B (zh) * | 2021-09-28 | 2022-11-04 | 北京卫达信息技术有限公司 | 正常行为神经网络模型训练方法、***、装置及存储介质 |
| CN114462588B (zh) * | 2021-09-28 | 2022-11-08 | 北京卫达信息技术有限公司 | 检测网络入侵用神经网络模型的训练方法、***及设备 |
| CN114564114A (zh) * | 2022-02-18 | 2022-05-31 | 北京圣博润高新技术股份有限公司 | 堡垒机键盘审计方法、装置、设备及存储介质 |
| CN114564114B (zh) * | 2022-02-18 | 2024-02-27 | 北京圣博润高新技术股份有限公司 | 堡垒机键盘审计方法、装置、设备及存储介质 |
| CN114254242A (zh) * | 2022-03-01 | 2022-03-29 | 互联网域名***北京市工程研究中心有限公司 | 基于递归解析日志的用户画像方法及装置 |
| CN114254242B (zh) * | 2022-03-01 | 2022-05-03 | 互联网域名***北京市工程研究中心有限公司 | 基于递归解析日志的用户画像方法及装置 |
| CN117176478A (zh) * | 2023-11-02 | 2023-12-05 | 南京怡晟安全技术研究院有限公司 | 基于用户操作行为的网络安全实训平台构建方法及*** |
| CN117176478B (zh) * | 2023-11-02 | 2024-02-02 | 南京怡晟安全技术研究院有限公司 | 基于用户操作行为的网络安全实训平台构建方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112069485B (zh) | 2024-05-14 |
| CN112069485A (zh) | 2020-12-11 |
| CN111428231B (zh) | 2020-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111428231B (zh) | 基于用户行为的安全处理方法、装置及设备 | |
| CN109522716B (zh) | 一种基于时序神经网络的网络入侵检测方法及装置 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| CN109413023B (zh) | 机器识别模型的训练及机器识别方法、装置、电子设备 | |
| Kim et al. | Fusions of GA and SVM for anomaly detection in intrusion detection system | |
| CN109922065B (zh) | 恶意网站快速识别方法 | |
| CN111259219B (zh) | 恶意网页识别模型建立方法、识别方法及*** | |
| CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
| CN112565301B (zh) | 基于小样本学习的服务器运行网络流量异常数据检测方法 | |
| CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
| CN110879881A (zh) | 基于特征组分层和半监督随机森林的鼠标轨迹识别方法 | |
| CN113205134A (zh) | 一种网络安全态势预测方法及*** | |
| CN114841705B (zh) | 一种基于场景识别的反欺诈监测方法 | |
| CN115438102A (zh) | 时空数据异常识别方法、装置和电子设备 | |
| CN109413047A (zh) | 行为模拟的判定方法、***、服务器及存储介质 | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| WO2021248707A1 (zh) | 一种操作的验证方法和装置 | |
| CN112287345B (zh) | 基于智能风险检测的可信边缘计算*** | |
| CN112052453A (zh) | 基于Relief算法的webshell检测方法及装置 | |
| CN116319065A (zh) | 一种应用于商业运维的威胁态势分析方法和*** | |
| CN110808947A (zh) | 一种自动化的脆弱性量化评估方法及*** | |
| CN116405306A (zh) | 一种基于异常流量识别的信息拦截方法及*** | |
| CN112073362B (zh) | 一种基于流量特征的apt组织流量识别方法 | |
| CN115964478A (zh) | 网络攻击检测方法、模型训练方法及装置、设备及介质 | |
| CN114218569A (zh) | 数据分析方法、装置、设备、介质和产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |