具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明的具体实施方式进行详细说明。
图1是本公开一种实施例提供的基于大数据的云安全账户管理***的交互示意图。基于大数据的云安全账户管理***可以包括计算机设备100以及与计算机设备100通信连接的区块链300和用户终端200。图1所示的基于大数据的云安全账户管理***仅为一种可行的示例,在其它可行的实施例中,该基于大数据的云安全账户管理***也可以仅包括图1所示组成部分的其中一部分或者还可以包括其它的组成部分。
本实施例中,基于大数据的云安全账户管理***中的计算机设备100、区块链300和用户终端200可以通过配合执行以下方法实施例所描述的基于大数据的云安全账户管理方法,具体计算机设备100、区块链300和用户终端200的执行步骤部分可以参照以下方法实施例的详细描述。
为了解决前述背景技术中的技术问题,图2为本公开实施例提供的基于大数据的云安全账户管理方法的流程示意图,本实施例提供的基于大数据的云安全账户管理方法可以由图1中所示的计算机设备100执行,下面对该基于大数据的云安全账户管理方法进行详细介绍。
步骤S201,获取待监控交易账户交易行为。
其中,待监控交易账户交易行为是指待监控是否为异常的交易账户交易行为。待监控交易账户交易行为可以是实时获取的交易账户交易行为,即实时交易流。交易账户交易行为用于在用户终端200和区块链300之间实现数字交易。交易账户交易行为具体可以包括区块链300服务地址、用户终端200地址、数字货币种类等信息。区块链300服务地址是指交易账户交易行为对应的接收方的地址,用户终端200地址是指交易账户交易行为对应的发送方的地址,数字货币种类是指具体的交易增持或者减持,例如用户终端200可以向区块链300发送请求购买数字货币的交易账户交易行为,区块链300可以向用户终端200返回当前交易网页对应的交易账户交易行为。交易账户交易行为的信息包括购买数字货币种类、购买时间、购买价格等中的至少一种。
具体地,终端和区块链300之间可以通过发送交易账户交易行为进行通信。在通信过程中,计算机设备100可以获取终端或区块链300发送的当前交易行为作为待监控交易账户交易行为。
在一个实施例中,用户终端200和区块链300之间可以借助交换机交易账户交易行为。计算机设备100可以采用旁路的方式从交换机中侦听交易账户交易行为。
步骤S202,根据待监控交易账户交易行为对应的目标交易操作对待监控交易账户交易行为提取特征,生成对应的目标交易行为向量集合;目标交易行为向量集合包括至少一个目标交易行为向量。
其中,目标交易操作是指待监控交易账户交易行为对应的交易操作。交易操作是指交易账户交易行为的交易操作。交易操作包括减持类交易操作和增持类交易操作中的至少一种。减持类交易操作是指交易账户交易行为对应的应用层交易操作,增持类交易操作是指交易账户交易行为对应的增持资产交易操作,具体可以包括交易账户交易行为对应的买入交易操作、划转交易操作、合并交易操作中的至少一种。例如,交易账户交易行为为买入某数字货币的交易账户交易行为,那么待监控交易账户交易行为对应的减持类交易操作可以为卖出某数字货币的交易账户交易行为。
目标交易行为向量是指待监控交易账户交易行为对应的交易行为向量。交易行为向量是根据交易操作从交易账户交易行为中提取对应的特征信息,根据提取到的特征信息生成的标识,用于标识交易账户交易行为。一个交易账户交易行为可以对应至少一个交易行为向量。一种交易操作可以生成至少一个交易行为向量,例如,交易账户交易行为对应的交易操作包括买入交易操作和划转交易操作,基于买入交易操作可以生成至少一个交易行为向量,基于划转交易操作可以生成至少一个交易行为向量。一个交易账户交易行为对应的不同交易行为向量可以从不同的维度表征交易账户交易行为的特征信息。不同的交易账户交易行为对应不同的交易行为向量集合,但是不同的交易行为向量集合可以包括至少一个不同的交易行为向量,例如,从同一用户终端200发送的交易账户交易行为A和交易账户交易行为B,由于交易账户交易行为A和交易账户交易行为B对应的发送方相同,交易账户交易行为A和交易账户交易行为B可以存在相同的交易行为向量,该相同的交易行为向量可以是根据特征信息中发送方的相关信息生成。
具体地,计算机设备100可以从待监控交易账户交易行为中获取待监控交易账户交易行为对应的目标交易操作,根据目标交易操作从待监控交易账户交易行为中提取特征信息,根据提取的特征信息生成对应的至少一个目标交易行为向量,各个目标交易行为向量组成目标交易行为向量集合。计算机设备100可以根据待监控交易账户交易行为对应的减持类交易操作对待监控交易账户交易行为提取特征生成对应的目标交易行为向量集合,也可以根据待监控交易账户交易行为对应的增持类交易操作对待监控交易账户交易行为提取特征生成对应的目标交易行为向量集合,还可以根据待监控交易账户交易行为对应的减持类交易操作和增持类交易操作对待监控交易账户交易行为提取特征生成对应的目标交易行为向量集合。
在一个实施例中,计算机设备100可以从待监控交易账户交易行为中获取待监控交易账户交易行为对应的减持类交易操作,在本地或从其他用户终端200、获取减持类交易操作对应的安全分类模型,基于安全分类模型从待监控交易账户交易行为中提取与该安全分类模型匹配的交易特征,根据提取到的交易特征得到由减持类交易操作对应的安全分类模型生成的目标交易行为向量。减持类交易操作对应的安全分类模型可以为至少一个。若减持类交易操作对应的安全分类模型为多个,可以生成减持类交易操作对应的多个目标交易行为向量。同理,计算机设备100可以从待监控交易账户交易行为中获取待监控交易账户交易行为对应的增持类交易操作,在本地或从其他用户终端200、获取增持类交易操作对应的安全分类模型,基于安全分类模型从待监控交易账户交易行为中提取与该安全分类模型匹配的交易特征,根据提取到的交易特征得到由增持类交易操作对应的安全分类模型生成的目标交易行为向量。增持类交易操作对应的安全分类模型可以为至少一个。当增持类交易操作对应的安全分类模型为多个时,可以生成增持类交易操作对应的多个目标交易行为向量。可以是减持类交易操作对应的各个目标交易行为向量组合得到目标交易行为向量集合,也可以是增持类交易操作对应的各个目标交易行为向量组合得到目标交易行为向量集合,还可以是减持类交易操作对应的各个目标交易行为向量和增持类交易操作对应的各个目标交易行为向量组合得到目标交易行为向量集合。
在一个实施例中,交易账户交易行为包括多个字段,不同的字段可以表征交易账户交易行为不同的特征信息。例如,交易账户交易行为的字段包括区块链300服务地址、用户终端200地址、交易操作、发送时间、包大小、数字货币种类等。根据提取到的交易特征生成交易行为向量具体可以是将交易特征按照安全分类模型规定的字段顺序进行排列组合得到目标特征信息,计算目标特征信息的哈希值得到交易行为向量。可以理解,不同交易操作对应的交易账户交易行为中相同类型字段的字段位置可以相同可以不同,目标特征信息还可以进一步包括各个交易特征在交易账户交易行为中的字段位置。
在一个实施例中,每一种协议可以分别对应多种安全分类模型,那么根据交易操作和安全分类模型可以对交易行为向量进行分类。网络协议包括买入交易操作、DHCP协议(Dynamic Host Configuration Protocol,动态主机配置协议)、合并交易操作(SecureShell,安全外壳协议)、SSL协议(Secure Sockets Layer,安全套接字协议)、TLS协议(Transport Layer Security,安全买入协议)、RDP协议(Remote Display Protocol,远程显示协议)、划转交易操作和UDP协议(User Datagram Protocol,用户数据报协议)。DHCP协议是基于UDP协议,合并交易操作是基于划转交易操作传输的,SSL协议/ TLS协议是基于划转交易操作传输的,RDP协议是基于划转交易操作传输的。买入交易操作对应的安全分类模型可以包括随机森林、决策树等。随机森林(Fingerprint All The Things)是一个基于pyshark的脚本,用于从pcap(PacketCapture Data)文件和交易账户交易行为中提取交易行为向量。决策树是mercury的python实现,mercury是一个Linux应用程序,用于从交易账户交易行为中提取交易行为向量。DHCP协议对应的安全分类模型可以包括决策树等。合并交易操作对应的安全分类模型可以包括HASSH-SSH_MSG_KEXINIT、决策树等。HASSH是一个开源的算法,SSH_MSG_KEXINIT是密钥交换数据包头,HASSH-SSH_MSG_KEXINIT是一种识别SSH客户端指纹的方法。SSL协议和TLS协议对应的安全分类模型可以包括JA3、决策树等。JA3是一种在线识别TLS客户端指纹的方法。RDP协议对应的安全分类模型可以包括随机森林等。划转交易操作和UDP协议对应的安全分类模型可以包括决策树等。一种协议对应的一种安全分类模型作为一个类别,这样分类使得在计算交易行为向量的时候,一个交易账户交易行为可以对应多个协议,也可以对应多重安全分类模型,在分类交易账户交易行为的时候,可以从不同维度进行分类,做出更加准确的判断。例如,对于买入交易操作,其本身是基于划转交易操作的,所以一个买入交易操作交易账户交易行为对应的交易行为向量可以包括由划转交易操作对应的安全分类模型决策树生成的交易行为向量、由买入交易操作对应的安全分类模型决策树生成的交易行为向量、由买入交易操作对应的安全分类模型随机森林生成的交易行为向量。不同的安全分类模型从交易账户交易行为中提取的交易特征可以相同可以不同。对于同一交易账户交易行为,通过不同协议对应的同一安全分类模型生成的交易行为向量是不同的,因为针对不同的协议,同一安全分类模型从交易账户交易行为中提取的交易特征不同。例如,对于买入交易操作和划转交易操作,安全分类模型决策树从交易账户交易行为中提取的交易特征不同。
步骤S203,将目标交易行为向量和对比交易行为向量库中的对比交易行为向量进行匹配。
其中,对比交易行为向量库包括多个对比交易行为向量。对比交易行为向量库是对多个参考交易行为对应的交易行为向量进行聚类分析后生成的。各个参考交易行为是指设定历史时间段内的交易账户交易行为,例如获取在当前时刻之前的5分钟内采集到的交易账户交易行为作为参考交易行为。其中,历史时间段的长短可以根据实际情况确定,本发明实施例对此不做限定。可以理解,非法人员的非法交易行为是一个持续性且有共性的非法交易行为,例如,非法人员主要从同一用户终端200发起攻击,非法人员主要从同一浏览器发起攻击,非法人员主要从同一账号发起攻击等,那么在进行聚类分析时,若同一交易行为向量的数量大于阈值时,可以认为该交易行为向量为异常的交易行为向量,将该交易行为向量作为对比交易行为向量加入对比交易行为向量库。
具体地,在计算得到待监控交易账户交易行为对应的目标交易行为向量后,计算机设备100可以将目标交易行为向量和对比交易行为向量库中的对比交易行为向量进行匹配,根据匹配结果进一步确定待监控交易账户交易行为的安全状态。当目标交易行为向量和对比交易行为向量相同,并且目标交易行为向量和对比交易行为向量对应的交易行为关联信息也相同时,可以确定该目标交易行为向量和对比交易行为向量匹配成功。交易行为关联信息包括交易行为向量对应的交易操作和安全分类模型中的至少一种。可以理解,一个待监控交易账户交易行为可以对应多个目标交易行为向量,各个目标交易行为向量可以分别与对比交易行为向量库中的各个对比交易行为向量进行匹配,各个目标交易行为向量可以均匹配成功,也可以均匹配失败,还可以是有至少一个匹配成功。
在一个实施例中,对比交易行为向量库可以是由计算机设备100生成的,也可以是由其他用户终端200或生成后发送至计算机设备100。
步骤S204,基于匹配成功的目标交易行为向量对应的安全交易参数,计算得到待监控交易账户交易行为对应的目标安全交易结果。
其中,安全交易参数是指用于计算交易账户交易行为对应的置信度的关联信息。交易行为向量的安全交易参数包括交易行为向量对应的交易操作的安全置信度、在该交易操作下交易行为向量对应的安全分类模型的算法置信度中的至少一种。例如,匹配成功的目标交易行为向量为由买入交易操作对应的安全分类模型1生成的交易行为向量,那么该目标交易行为向量对应的安全交易参数包括买入交易操作对应的安全置信度和在买入交易操作下安全分类模型1所对应的算法置信度。安全置信度和算法置信度可以是根据实际情况确定的,例如,根据安全经验人工设置的,根据自定义公式计算得到。不同协议下同一安全分类模型对应的算法置信度可以相同可以不同。目标安全交易结果是用于确定交易账户交易行为的异常程度,目标安全交易结果越大,交易账户交易行为的异常程度越大。
具体地,计算机设备100根据匹配结果可以筛选出匹配成功的目标交易行为向量,获取匹配成功的目标交易行为向量对应的安全交易参数,根据该安全交易参数计算得到待监控交易账户交易行为对应的目标安全交易结果。
在一个实施例中,计算机设备100可以将各个匹配成功的目标交易行为向量对应的安全置信度和算法置信度进行加权求和得到目标安全交易结果。计算机设备100也可以将各个安全置信度和各个算法置信度进行加权相乘得到目标安全交易结果。当匹配成功的目标交易行为向量包括不同交易操作对应的目标交易行为向量时,可以先分别计算各个交易操作对应的中间置信度,将各个中间置信度进行加权求和得到目标安全交易结果。在计算各个交易操作对应的中间置信度时,可以将同一交易操作对应的各个算法置信度进行加权求和得到算法置信度统计值,将算法置信度统计值和对应的安全置信度进行加权相乘得到对应的中间置信度。也可以将各个交易操作对应的中间置信度分别作为待监控交易账户交易行为对应的目标安全交易结果。
步骤S205,获取参考安全交易结果,基于参考安全交易结果和目标安全交易结果确定待监控交易账户交易行为的安全状态。
其中,参考安全交易结果可以是根据实际情况确定的,例如,根据安全经验人工设置的,根据自定义公式计算得到。
具体地,计算机设备100可以获取参考安全交易结果,将参考安全交易结果和目标安全交易结果进行比较,根据比较结果确定待监控交易账户交易行为的安全状态。安全状态包括交易异常和交易正常。当待监控交易账户交易行为的安全状态为交易异常时,计算机设备100可以向运维人员发送告警信息,以便运维人员及时进行安全维护。当待监控交易账户交易行为的安全状态为交易异常时,计算机设备100还可以直接阻断待监控交易账户交易行为,阻止非法操作。
在一个实施例中,可以是所有待监控交易账户交易行为都使用同一个参考安全交易结果,也就是,只有一个参考安全交易结果。也可以是一个交易操作对应一个参考安全交易结果,例如,匹配成功的目标交易行为向量对应的交易操作包括买入交易操作和划转交易操作,买入交易操作对应参考安全交易结果1,划转交易操作对应参考安全交易结果2,那么当基于买入交易操作对应的目标交易行为向量的安全交易参数计算得到的置信度统计值大于参考安全交易结果1,并且基于划转交易操作对应的目标交易行为向量的安全交易参数计算得到的置信度统计值大于参考安全交易结果2时,确定待监控交易账户交易行为的安全状态为交易异常。
上述方法中,通过获取待监控交易账户交易行为,根据待监控交易账户交易行为对应的目标交易操作对待监控交易账户交易行为提取特征,生成对应的目标交易行为向量集合,目标交易行为向量集合包括至少一个目标交易行为向量。这样,生成的目标交易行为向量可以表征待监控交易账户交易行为的特征信息,多个目标交易行为向量可以从不同维度表征待监控交易账户交易行为的特征信息,从而丰富了异常交易账户交易行为的检测维度,提高了异常交易账户交易行为的检测准确性。将目标交易行为向量和对比交易行为向量库中的对比交易行为向量进行匹配,基于匹配成功的目标交易行为向量对应的安全交易参数,计算得到待监控交易账户交易行为对应的目标安全交易结果,获取参考安全交易结果,基于参考安全交易结果和目标安全交易结果确定待监控交易账户交易行为的安全状态。这样,对比交易行为向量库集成了多个异常的对比交易行为向量,因此匹配成功的目标交易行为向量可以表征待监控交易账户交易行为异常的特征信息,基于匹配成功的目标交易行为向量对应的安全交易参数计算得到的目标安全交易结果可以表征待监控交易账户交易行为的异常程度,基于参考安全交易结果和目标安全交易结果可以快速确定待监控交易账户交易行为的安全状态,提高了异常交易账户交易行为的检测准确性和检测效率。
在一个实施例中,获取待监控交易账户交易行为之前,方法还包括:
步骤S301,获取参考交易行为集合;参考交易行为集合包括在同一检测周期内的多个参考交易行为。
步骤S302,根据参考交易行为对应的参考交易操作对参考交易行为提取特征,生成对应的参考交易行为向量集合,参考交易行为向量集合包括各个参考交易行为对应的参考交易行为向量。
具体地,计算机设备100可以在一个检测周期内获取多个参考交易行为,各个参考交易行为组成参考交易行为集合。计算机设备100可以根据参考交易行为对应的参考交易操作对参考交易行为提取特征,生成各个参考交易行为对应的至少一个参考交易行为向量,各个参考交易行为对应的参考交易行为向量组成参考交易行为向量集合。
在一个实施例中,计算机设备100可以从参考交易行为中获取参考交易行为对应的减持类交易操作,在本地或从其他用户终端200、获取减持类交易操作对应的安全分类模型,基于安全分类模型从参考交易行为中提取与该安全分类模型匹配的交易特征,根据提取到的交易特征得到由减持类交易操作对应的安全分类模型生成的参考交易行为向量。减持类交易操作对应的安全分类模型可以为至少一个。若减持类交易操作对应的安全分类模型为多个,可以生成减持类交易操作对应的多个参考交易行为向量。同理,计算机设备100可以从参考交易行为中获取参考交易行为对应的增持类交易操作,在本地或从其他用户终端200、获取增持类交易操作对应的安全分类模型,基于安全分类模型从参考交易行为中提取与该安全分类模型匹配的交易特征,根据提取到的交易特征得到由增持类交易操作对应的安全分类模型生成的参考交易行为向量。增持类交易操作对应的安全分类模型可以为至少一个。当增持类交易操作对应的安全分类模型为多个时,可以生成增持类交易操作对应的多个参考交易行为向量。可以是各个参考交易行为的减持类交易操作对应的各个参考交易行为向量组合得到参考交易行为向量集合,也可以是各个参考交易行为的增持类交易操作对应的各个参考交易行为向量组合得到参考交易行为向量集合,还可以是各个参考交易行为的减持类交易操作对应的各个参考交易行为向量和增持类交易操作对应的各个参考交易行为向量组合得到参考交易行为向量集合。
步骤S303,基于交易行为关联信息对参考交易行为向量集合中的参考交易行为向量进行聚类,得到聚类结果。
其中,交易行为关联信息是指交易行为向量的关联信息。交易行为向量的交易行为关联信息包括用于生成交易行为向量的交易操作和安全分类模型。
具体地,计算机设备100可以基于交易行为关联信息对参考交易行为向量集合中的参考交易行为向量进行聚类,具体可以将基于同一交易行为关联信息生成的相同参考交易行为向量聚类在一起,得到各个不同的聚类簇。
在一个实施例中,基于交易行为关联信息对参考交易行为向量集合中的参考交易行为向量进行聚类,得到聚类结果,包括:将基于同一交易操作对应的同一安全分类模型生成的相同参考交易行为向量进行聚类得到多个不同的聚类簇,统计同一聚类簇内的参考交易行为向量的数量,得到各个聚类簇对应的统计值。
具体地,计算机设备100可以将基于同一交易操作对应的同一安全分类模型生成的相同参考交易行为向量进行聚类,得到多个不同的聚类簇。一个聚类簇表示一种类别的参考交易行为向量。计算机设备100可以统计同一聚类簇内的参考交易行为向量的数量,得到各个聚类簇对应的统计值。也就是,计算机设备100可以在一个检测周期内,统计同交易操作、同安全分类模型下生成的相同参考交易行为向量的数量,得到多个统计值。例如,统计由买入交易操作对应的安全分类模型1生成的参考交易行为向量a的数量,统计由买入交易操作对应的安全分类模型2生成的参考交易行为向量b的数量,统计由合并交易操作对应的安全分类模型3生成的参考交易行为向量c的数量,统计由合并交易操作对应的安全分类模型1生成的参考交易行为向量d的数量。
步骤S304,根据聚类结果从参考交易行为向量集合中确定对比交易行为向量,各个对比交易行为向量组合得到对比交易行为向量库。
具体地,计算机设备100可以根据聚类结果从参考交易行为向量集合中确定对比交易行为向量,具体可以是当聚类簇对应的统计值大于统计阈值时,将该聚类簇对应的参考交易行为向量作为对比交易行为向量,各个对比交易行为向量组合得到对比交易行为向量库。对比交易行为向量库还可以包括各个对比交易行为向量对应的交易行为关联信息和统计值。
在一个实施例中,根据聚类结果从参考交易行为向量集合中确定对比交易行为向量,各个对比交易行为向量组合得到对比交易行为向量库,包括:将统计值大于统计阈值的聚类簇内的参考交易行为向量作为对比交易行为向量。
具体地,当聚类簇对应的统计值大于统计阈值时,表明该聚类簇内的参考交易行为向量在同一检测周期内频繁出现,极有可能是非法操作所导致的,因此计算机设备100可以将该聚类簇内的参考交易行为向量作为对比交易行为向量。其中,统计阈值可以根据检测周期的大小进行设置,检测周期越大,统计阈值越大。
在一个实施例中,检测周期可以是动态变化的,那么对比交易行为向量库也是动态更新的。例如,检测周期始终保持为当前时刻之前的5分钟,那么计算机设备100可以每隔5分钟对5分钟内获取到的各个参考交易行为所对应的参考交易行为向量进行聚类,根据聚类结果对对比交易行为向量库进行更新。
在一个实施例中,对比交易行为向量库中基于同一交易操作对应的同一安全分类模型生成的对比交易行为向量可以有多个。例如,对比交易行为向量库包括基于买入交易操作对应的安全分类模型随机森林生成的对比交易行为向量1、基于买入交易操作对应的安全分类模型随机森林生成的对比交易行为向量2和基于买入交易操作对应的安全分类模型随机森林生成的对比交易行为向量3。
本实施例中,通过获取同一检测周期内的多个参考交易行为,计算各个参考交易行为对应的参考交易行为向量,基于交易行为关联信息对参考交易行为向量进行聚类分析,得到各个聚类簇,计算各个聚类簇对应的统计值,将统计值大于统计阈值的聚类簇内的参考交易行为向量作为对比交易行为向量,各个对比交易行为向量组合得到对比交易行为向量库。这样,因为非法操作通常是一个持续性的攻击,所以对同一检测周期内的参考交易行为对应的参考交易行为向量进行聚类分析,通过将各个聚类簇对应的统计值和统计阈值进行比较可以快速建立交易行为向量非法操作检测库。
为了能够更加清楚地描述本发明实施例提供的方案,前述步骤S205可以通过以下具体的实施方式实现。
子步骤S205-1,获取待监控交易账户交易行为的参考安全交易结果和目标安全交易结果。
首先,可以确定待监控交易账户交易行为:该待监控交易账户交易行为可以是如前的增持行为,该待监控交易账户交易行为还可以是如前的坚持行为。
其中,可以将待监控交易账户交易行为的交易数据流称之为待监控交易账户交易行为的交易相关的通信交互信息,该交易相关的通信交互信息可以指在某个时间范围内,待监控交易账户交易行为所经过的通信交互的次数。例如该交易相关的通信交互信息可以指在15分钟内待监控交易账户交易行为所经过的通信交互的次数为50次。还可以将待监控交易账户交易行为交易数据流的待监控交易账户交易行为的安全状态称之为通信交互属性,该通信交互属性可以指交易相关的通信交互信息所包括的通信交互的终端信息属性、用户属性、通信信道属性等。
可以对上述所得到的多个标准交易流程进行组合,来得到待监控交易账户交易行为的参考安全交易结果:可以通过行为识别模型(预先训练得到),来对每个标准交易流程进行识别,来得到任意两个标准交易流程之间的适配度。例如,可以通过行为识别模型,提取每个标准交易流程的行为特征,每个标准交易流程的行为特征可以分别为一个参考流程知识图谱。可以通过任意两个标准交易流程的参考流程知识图谱之间的匹配结果,来得到该任意两个标准交易流程之间的适配度。
可以将标准交易流程适配度大于或者等于标准交易流程适配度阈值、并且标准交易流程差异小于或者等于标准交易流程差异阈值的多个标准交易流程进行组合,即可得到参考安全交易结果。一个参考安全交易结果中至少包括一个标准交易流程,一个参考安全交易结果中若包括多个标准交易流程,则该多个标准交易流程是属于相同交易场景,即该多个标准交易流程之间的标准交易流程适配度大于或者等于标准交易流程适配度阈值,该多个标准交易流程之间还是连续的,即该多个标准交易流程中相邻标准交易流程之间的标准交易流程差异小于或者等于标准交易流程差异阈值。
因此,通过上述过程,即可得到待监控交易账户交易行为的参考安全交易结果和目标安全交易结果。其中,可以是按照时间段来获取待监控交易账户交易行为的参考安全交易结果和目标安全交易结果的,例如每隔15分钟(也可以是其他时长)为一轮,获取待监控交易账户交易行为的参考安全交易结果和目标安全交易结果。可以按照15分钟的时长来获取待监控交易账户交易行为的交易相关的通信交互信息和通信交互属性。例如,获取11:00-到11:15分钟内待监控交易账户交易行为的交易相关的通信交互信息以及该交易相关的通信交互信息的通信交互属性。
子步骤S205-2,基于待监控交易账户交易行为的参考安全交易结果和目标安全交易结果之间的关联关系,对待监控交易账户交易行为的参考安全交易结果和目标安全交易结果进行适配,得到安全交易结果适配对;
具体的,可以将所获取到的待监控交易账户交易行为的目标安全交易结果称之为待处理安全交易结果,可以将获取到的待监控交易账户交易行为的参考安全交易结果称之为待参考安全交易结果。其中,待处理安全交易结果中的标准交易流程可以是从历史交易记录中分割出来的,即从历史交易记录中截获的。
还可以通过行为识别模型提取历史交易记录中的标准交易流程的参考流程知识图谱,还可以通过行为识别模型提取待参考安全交易结果中的标准交易流程的参考流程知识图谱。可以通过历史交易记录中的标准交易流程的参考流程知识图谱、与待参考安全交易结果中的标准交易流程的参考流程知识图谱之间的匹配结果,并根据该匹配结果得到历史交易记录中的标准交易流程与待参考安全交易结果中的标准交易流程之间的适配度。可以将该适配度,作为待参考安全交易结果与历史交易记录中的交易操作流程所在的待处理安全交易结果之间的关联关系。
当该关联关系大于或者等于关联性阈值(可以自行设置)时,就认为待参考安全交易结果与历史交易记录中的交易操作流程所在的待处理安全交易结果,是属于同一个用户的,因此就可以将待参考安全交易结果与历史交易记录中的标准交易流程所在的待处理安全交易结果进行适配,即可得到安全交易结果适配对。一个安全交易结果适配对中可以包括一个待处理安全交易结果和一个待参考安全交易结果,一个安全交易结果适配对中的待处理安全交易结果和待参考安全交易结果是属于相同用户的。
子步骤S205-3,将适配失败的目标安全交易结果确定为待确定安全交易结果,根据安全交易结果适配对中的目标安全交易结果与待确定安全交易结果之间的交易操作相似度,确定与待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态;
具体的,可以将未与待参考安全交易结果适配成功的待处理安全交易结果,称之为待确定安全交易结果。再例如,若不存在与某个目标安全交易结果之间的关联关系大于或等于上述关联性阈值的参考安全交易结果时,则该目标安全交易结果也不能成功与参考安全交易结果进行适配。
其中,由于可以待监控交易账户交易行为的目标安全交易结果来得到待监控交易账户交易行为的交易数据流,因此,通过将目标安全交易结果和参考安全交易结果进行适配,也是想要通过与目标安全交易结果进行适配的参考安全交易结果,来获取目标安全交易结果对应的待监控交易账户交易行为的安全状态,该待监控交易账户交易行为的安全状态即为上述交易数据流所属的待监控交易账户交易行为的安全状态。
因此,还可以获取待确定安全交易结果与上述安全交易结果适配对中的目标安全交易结果之间的交易操作相似度,进而,就可以通过待确定安全交易结果与安全交易结果适配对中的目标安全交易结果之间的交易操作相似度,来获取到与待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态。
换句话说,本发明不仅可以获取到与参考安全交易结果适配成功的目标安全交易结果对应的待监控交易账户交易行为的安全状态,还可以获取未与参考安全交易结果适配成功的目标安全交易结果对应的待监控交易账户交易行为的安全状态。获取与待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态的具体过程,请参见下述。
首先,具体描述如何获取待确定安全交易结果与安全交易结果适配对中的目标安全交易结果之间的交易操作相似度:可以将待确定安全交易结果中所包括的交易操作流程,称之为第一交易操作流程,待确定安全交易结果中可以包括多个第一交易操作流程。可以通过行为识别模型(预先训练得到),提取每个第一交易操作流程的行为特征,该行为特征可以为一个参考流程知识图谱。可以对每个第一交易操作流程分别对应的参考流程知识图谱求平均,得到全部第一交易操作流程对应的对比流程知识图谱,可以将第一交易操作流程对应的对比流程知识图谱,称之为第一对比流程知识图谱。该第一对比流程知识图谱也就是待确定安全交易结果的交易特征,因此,可以将第一对比流程知识图谱称之为待确定安全交易结果的第一交易行为知识图谱。
同理,可以将安全交易结果适配对中的目标安全交易结果所包含的交易操作流程称之为第二交易操作流程,安全交易结果适配对可以有多个。也可以获取到每个安全交易结果适配对的交易特征:假设该多个安全交易结果适配对包括目标安全交易结果适配对,因此,目标安全交易结果适配对可以指任意一个安全交易结果适配对。因此,此处以获取目标安全交易结果适配对的交易特征为例进行说明,可以理解的是,获取每个安全交易结果适配对的交易特征的原理,与获取目标安全交易结果适配对的交易特征的原理相同。
同理,可以通过行为识别模型,提取目标安全交易结果适配对所包含的每个第二交易操作流程的行为特征,该行为特征可以为一个参考流程知识图谱。可以对目标安全交易结果适配对中的每个第二交易操作流程分别对应的参考流程知识图谱求平均,得到目标安全交易结果适配对中的全部第二交易操作流程对应的对比流程知识图谱,可以将目标安全交易结果适配对中的第二交易操作流程对应的对比流程知识图谱,称之为第二对比流程知识图谱。该第二对比流程知识图谱也就是目标安全交易结果适配对的交易特征,可以将每个安全交易结果适配对中的目标安全交易结果的交易特征,称为第二交易行为知识图谱。因此,该第二对比流程知识图谱也就是目标安全交易结果适配对中的目标安全交易结果的第二交易行为知识图谱。
在得到待确定安全交易结果的第一交易行为知识图谱和每个安全交易结果适配对中的目标安全交易结果的第二交易行为知识图谱之后,可以获取第一交易行为知识图谱分别与每个第二交易行为知识图谱之间的匹配结果,通过每个安全交易结果适配对对应的匹配结果,即可得到待确定安全交易结果分别与每个安全交易结果适配对中的目标安全交易结果之间的交易操作相似度。匹配结果越大,交易操作相似度越小,匹配结果越小,交易操作相似度越大。因此,可以将每个安全交易结果适配对对应的匹配结果的倒数,作为待确定安全交易结果分别与每个安全交易结果适配对中的目标安全交易结果之间的交易操作相似度,当然交易操作相似度不仅可以是匹配结果的倒数。
需要知道的是,可以通过行为识别模型对安全交易结果适配对中的参考安全交易结果所包含的标准交易流程进行识别,以识别出标准交易流程中的待监控交易账户交易行为的安全状态(可以将该待监控交易账户交易行为的安全状态称之为对应的参考安全交易结果所包含的待监控交易账户交易行为的安全状态)。
其中,上述待确定安全交易结果也可以有多个。当上述目标安全交易结果适配对的数量小于或者等于第一数量阈值时,可以通过等比例扩展的方式,来得到与每个待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态。其中,目标安全交易结果适配对的数量小于或者等于第一数量阈值,就是指目标安全交易结果适配对的数量等于0,即一个目标安全交易结果适配对都没有。通过等比例扩展的方式,来得到与每个待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态的具体过程,请参见下述。
可以将与每个待确定安全交易结果之间的交易操作相似度最大的目标安全交易结果所在的安全交易结果适配对,分别称之为每个待确定安全交易结果对应的待定适配对。可以将每个待确定安全交易结果对应的待定适配对中的参考安全交易结果所包含的待监控交易账户交易行为的安全状态,分别称之为每个待确定安全交易结果对应的待定待监控交易账户交易行为的安全状态。其中,可以预先确定想要知道的待监控交易账户交易行为的安全状态(该待监控交易账户交易行为的安全状态也可以是开发人员预先录入的)。
可以根据所得到的针对待确定安全状态的第一出现比例,来得到每个待确定安全交易结果针对待确定安全状态的属性值,可以将每个待确定安全交易结果针对待确定安全状态的属性值,称之为每个待确定安全交易结果针对待确定安全状态的第一目标属性值。其中,可以按照第一出现比例,将所有待确定安全交易结果针对待确定安全状态的属性值之间的比例也等于第一出现比例。
其中,可以将具有每个待确定安全交易结果对应的第一目标属性值的待确定安全状态,作为与每个待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态。
更多的,当上述目标安全交易结果适配对的数量大于第二数量阈值时,则需要通过设定某些策略根据多个目标安全交易结果适配对,来得到与待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态。其中,目标安全交易结果适配对的数量大于第二数量阈值,即是指目标安全交易结果适配对的数量不止一个(至少两个),而是有多个。
为了能够更加清楚的描述本发明实施例提供的方案,本发明实施例提供一种待监控交易账户交易行为的安全状态获取方法的示例。该实施例描述了当目标安全交易结果适配对有多个时,如何获取与待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态。该方法可以包括:
(1),统计目标安全交易结果查询到的所有可能值;
具体的,可以统计目标安全交易结果查询到的所有可能值,该所有可能值即为上述通过目标安全交易结果适配对获取到的待确定安全状态的属性值。
(2),出现多个值;
具体的,判断上述根据目标安全交易结果适配对获取到的待确定安全状态的属性值是否有多个,若有多个,则执行下述(4),若没有多个而只有一个,则执行下述(10)。
(3),统计出现不同属性值的次数;
具体的,可以统计待确定安全状态的多个属性值中的每个属性值的出现次数。
(4),判断出现次数最多的属性值是否有多个;
具体的,可以判断具有最大的出现次数的属性值是否有多个,若有多个,则执行下述(5),若没有多个而只有一个,则执行下述(10)。
(5),统计出现次数最多的属性值的个数;
具体的,可以统计具有最大的出现次数的属性值的个数,并取出这些属性值。
(6),判断匹配分数最高的属性值是否有多个;
具体的,可以获取上述步骤(5)中取出的每个属性值对应的最大的交易操作相似度(即匹配分数),可以比较该每个属性值对应的属性值最大的交易操作相似度之间的大小,并继续判断该每个属性值对应的属性值最大的交易操作相似度中还最大的交易操作相似度,若该最大的交易操作相似度只有一个,则执行下述步骤(10),若该最大的交易操作相似度有多个,则可以再次取出该最大的交易操作相似度对应的属性值,并执行下述步骤(7)。
(7),属性值对应的匹配分数求和;
具体的,可以对上述(6)中取出的每个属性值对应的多个交易操作相似度分别进行求和,得到每个属性值分别对应的求和值。
(8),判断匹配分数之和最高的属性值是否有多个;
具体的,可以判断每个属性值分别对应的求和值中的最大值,若该最大值有多个,则执行下述(9)若该最大值只有一个,则执行下述(10)。
(9),随机选择;
具体的,可以在上述(8)中多个最大值对应的多个属性值中任意选择一个属性值,作为待确定安全交易结果的第二目标属性值。
(10),得到目标安全交易结果最终属性值;
具体的,若从上述(2)执行到(9),则可以将待确定安全状态唯一的属性值,作为待确定安全交易结果的第二目标属性值。若从上述(4)执行到(9),则可以将出现次数最多的那个属性值,作为待确定安全交易结果的第二目标属性值。若从上述(6)执行到(9),则可以将对应的交易操作相似度最大的那个属性值,作为待确定安全交易结果的第二目标属性值。若从上述(8)执行到(9),则可以将对应的和值最大的那个属性值,作为待确定安全交易结果的第二目标属性值。
对于适配成功的目标安全交易结果,即对于处于安全交易结果适配对中的目标安全交易结果,可以直接请求后台服务(用于存储参考安全交易结果以及提取和存储该参考安全交易结果所包含的待监控交易账户交易行为的安全状态的后台),获取到与该目标安全交易结果具有适配关系的参考安全交易结果以及该参考安全交易结果所包含的待监控交易账户交易行为的安全状态(该待监控交易账户交易行为的安全状态也为该目标安全交易结果对应的待监控交易账户交易行为的安全状态)。继而就可以缓存下获取到的目标安全交易结果对应的待监控交易账户交易行为的安全状态以及目标安全交易结果,以待后续用于计算待监控交易账户交易行为的交易数据流和待监控交易账户交易行为的安全状态。
还可以将适配成功的目标安全交易结果以及该目标安全交易结果对应的待监控交易账户交易行为的安全状态存储至第二存储空间,因此,对于适配失败的目标安全交易结果(即待确定安全交易结果),可以从第二存储空间中获取到适配成功的目标安全交易结果以及该目标安全交易结果对应的待监控交易账户交易行为的安全状态。进而可以通过适配成功的目标安全交易结果与待确定安全交易结果之间的交易操作相似度、投票策略、以及等比例扩展策略,来获取到与适配失败的目标安全交易结果相匹配的待监控交易账户交易行为的安全状态。
子步骤S205-4,对与待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态和待确定安全交易结果进行适配,得到属性适配对;
具体的,可以将与待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态和待确定安全交易结果进行适配,得到属性适配对。一个属性适配对中可以包括一个待确定安全交易结果以及与该待确定安全交易结果相匹配的待监控交易账户交易行为的安全状态。
可选的,当上述目标安全交易结果适配对只有1个时,也可以不将待确定安全交易结果与相匹配的待监控交易账户交易行为的安全状态进行适配,而是直接将待确定安全交易结果与目标安全交易结果适配对中的参考安全交易结果进行适配,以得到更多的安全交易结果适配对。
子步骤S205-5,根据属性适配对和安全交易结果适配对,确定待监控交易账户交易行为的交易数据流和交易数据流对应的待监控交易账户交易行为的安全状态;
具体的,通过上述过程即可获取到待监控交易账户交易行为的安全交易结果适配对以及属性适配对,可以将待监控交易账户交易行为的安全交易结果适配对和属性适配对,均称之为交易行为适配对。该交易行为适配对可以用于获取待监控交易账户交易行为的交易数据流(即交易相关的通信交互信息)、以及该交易数据流对应的待监控交易账户交易行为的安全状态(即通信交互属性),请参见下述。
其中,若某个目标安全交易结果与对应的待监控交易账户交易行为的安全状态或者参考安全交易结果适配成功,则可以称为该目标安全交易结果为成功适配的目标安全交易结果,实际上,通过本发明提供的方法,在待监控交易账户交易行为获取到的每个目标安全交易结果,均可以为其适配到对应的待监控交易账户交易行为k看的安全状态或者参考安全交易结果。
可以统计某段时间内(例如11:45-12:00之间的15分钟内),待监控交易账户交易行为成功适配的目标安全交易结果的数量,实际上,适配成功的目标安全交易结果的数量就等于所属的交易行为适配对的数量,因此,也可以直接统计该段时间内获取到的交易行为适配对的数量,可以将统计得到的交易行为适配对的数量,作为该段时间内待监控交易账户交易行为的交易数据流。
可以通过目标安全交易结果所在的交易行为适配对,获取目标安全交易结果对应的待监控交易账户交易行为的安全状态,由于是通过目标安全交易结果来获取的待监控交易账户交易行为的交易数据流,因此,目标安全交易结果对应的待监控交易账户交易行为的安全状态也就是待监控交易账户交易行为的交易数据流对应的待监控交易账户交易行为的安全状态。
其中,每个目标安全交易结果均对应有其对应的待监控交易账户交易行为的安全状态。一个目标安全交易结果对应的待监控交易账户交易行为的安全状态,即为该目标安全交易结果所在的交易行为适配对中与该目标安全交易结果相匹配的待监控交易账户交易行为的安全状态、或者为该目标安全交易结果所在的交易行为适配对中参考安全交易结果所包含的待监控交易账户交易行为的安全状态。
可以将参考安全交易结果中的标准交易流程所包含的待监控交易账户交易行为的安全状态,称之为参考安全交易结果所包含的待监控交易账户交易行为的安全状态。可以通过三层缓存机制来缓存交易行为适配对中的参考安全交易结果以及该参考安全交易结果所包含的待监控交易账户交易行为的安全状态,以减轻在获取参考安全交易结果所包含的待监控交易账户交易行为的安全状态时,针对数据库的数据请求压力。
本发明提出的方法可以获取待监控交易账户交易行为的参考安全交易结果和目标安全交易结果,通过该目标安全交易结果可以获取到待监控交易账户交易行为的交易数据流,通过该参考安全交易结果可以获取到待监控交易账户交易行为的待监控交易账户交易行为的安全状态,并且,对于适配失败的目标安全交易结果,也可以为其匹配到对应的待监控交易账户交易行为的安全状态,因此提高了所获取的待监控交易账户交易行为的交易数据流和待监控交易账户交易行为的安全状态的准确性。
在一个实施例中,将目标交易行为向量和对比交易行为向量库中的对比交易行为向量进行匹配,包括:将目标交易行为向量和当前对比交易行为向量进行比较,得到交易行为向量比较结果;将目标交易行为向量对应的交易行为关联信息和当前对比交易行为向量对应的交易行为关联信息进行比较,得到交易行为关联信息比较结果;当交易行为向量比较结果和交易行为关联信息比较结果均为一致时,确定目标交易行为向量和当前对比交易行为向量匹配成功。
具体地,在将目标交易行为向量和对比交易行为向量库中的对比交易行为向量进行匹配时,计算机设备100可以将目标交易行为向量和当前对比交易行为向量进行比较,得到交易行为向量比较结果,交易行为向量比较结果包括一致和不一致,将目标交易行为向量对应的交易行为关联信息和当前对比交易行为向量对应的交易行为关联信息进行比较,得到交易行为关联信息比较结果,交易行为关联信息比较结果包括一致和不一致。当交易行为向量比较结果和交易行为关联信息比较结果均为一致时,计算机设备100可以确定目标交易行为向量和当前对比交易行为向量匹配成功。
举例说明,当目标交易行为向量a和当前对比交易行为向量b一致,目标交易行为向量a对应的交易操作和当前对比交易行为向量b对应的交易操作均为买入交易操作,目标交易行为向量a对应的安全分类模型和当前对比交易行为向量b对应的安全分类模型均为决策树时,确定目标交易行为向量a和当前对比交易行为向量b匹配成功。可以理解,即使目标交易行为向量a对应的交易账户交易行为A和当前对比交易行为向量b对应的交易账户交易行为B不一样,但是当目标交易行为向量a和当前对比交易行为向量b一致,并且用于生成目标交易行为向量a和当前对比交易行为向量b的交易操作和安全分类模型也一致时,表明交易账户交易行为A和交易账户交易行为B包括相同的特征信息,极有可能是同一非法人员发送的两个交易账户交易行为。
本实施例中,通过交易行为向量比较结果和交易行为关联信息可以快速确定目标交易行为向量和对比交易行为向量的匹配结果,从而提高待监控交易账户交易行为的检测效率。
在一个实施例中,基于匹配成功的目标交易行为向量对应的安全交易参数计算得到待监控交易账户交易行为对应的目标安全交易结果,包括:
步骤S401,获取目标交易操作对应的目标安全置信度。
步骤S402,基于匹配成功的目标交易行为向量对应的安全分类模型获取对应的目标模型置信度。
步骤S403,基于目标安全置信度和目标模型置信度得到目标安全交易结果。
具体地,计算机设备100可以获取目标交易操作对应的目标安全置信度,获取各个匹配成功的目标交易行为向量对应的安全分类模型所对应的目标模型置信度,根据各个目标模型置信度得到算法置信度统计值。具体可以是将各个目标模型置信度相加得到算法置信度统计值,也可以是按照预设公式将各个目标模型置信度进行融合得到算法置信度统计值。计算机设备100可以根据目标安全置信度和目标模型置信度得到目标安全交易结果。具体可以是将目标安全置信度和目标模型置信度相乘得到目标安全交易结果。
本实施例中,通过获取目标交易操作对应的目标安全置信度,基于匹配成功的目标交易行为向量对应的安全分类模型获取对应的目标模型置信度,基于目标安全置信度和目标模型置信度得到目标安全交易结果。这样,目标安全交易结果的计算综合考虑了目标交易操作和匹配成功的目标交易行为向量对应的安全分类模型,计算得到的目标安全交易结果更准确、更可靠。
在一个实施例中,目标交易操作包括减持类交易操作和增持类交易操作,基于目标安全置信度和目标模型置信度得到目标安全交易结果,包括:
步骤S501,将同一类型交易操作对应的各个目标模型置信度从大到小进行排序,得到各个交易操作对应的排序结果。
步骤S502,根据同一类型交易操作对应的排序结果中排序第一和排序第二的目标模型置信度得到各个交易操作对应的第一置信度。
步骤S503,根据同一类型交易操作对应的排序结果中剩余的目标模型置信度和对应的第一置信度得到各个交易操作对应的第二置信度。
步骤S504,基于同一类型交易操作对应的目标安全置信度和第二置信度得到各个交易操作对应的中间置信度,根据各个中间置信度得到目标安全交易结果。
具体地,因为目标交易操作包括减持类交易操作和增持类交易操作,所以不同层的交易操作需要区分计算。计算机设备100可以将同一类型交易操作对应的各个目标模型置信度从大到小进行排序,得到各个交易操作对应的排序结果。获取同一类型交易操作对应的排序结果中排序第一和排序第二的目标模型置信度,将同一类型交易操作对应的排序第一和排序第二的目标模型置信度进行加权求和得到各个交易操作对应的第一置信度。同一类型交易操作对应的排序结果中剩余的目标模型置信度和对应的第一置信度从大到小进行排序,得到各个交易操作对应的更新排序结果,获取同一类型交易操作对应的更新排序结果中排序第一和排序第二的目标模型置信度,将同一类型交易操作对应的排序第一和排序第二的目标模型置信度进行加权求和得到各个交易操作对应的第一更新置信度,以此类推,直到同一类型交易操作对应的各个目标模型置信度都参与计算后,得到各个交易操作对应的第二置信度。将同一类型交易操作对应的目标安全置信度和第二置信度进行相乘得到各个交易操作对应的中间置信度。可以将各个中间置信度进行加权求和得到目标安全交易结果,也可以将各个中间置信度分别作为目标安全交易结果。
待监控交易账户交易行为的一个目标交易行为向量和对比交易行为向量库中基于买入交易操作对应的安全分类模型随机森林生成的某个对比交易行为向量匹配,以及另一个目标交易行为向量和对比交易行为向量库中基于买入交易操作对应的安全分类模型决策树生成的某个对比交易行为向量匹配。那么,待监控交易账户交易行为对应的目标安全交易结果score=0.9*[0.8+(1-0.8)*0.6]=0.828>0.7,因此确定待监控交易账户交易行为为异常交易账户交易行为。可以理解,由于待监控交易账户交易行为的目标交易行为向量和对比交易行为向量库中基于划转交易操作生成的对比交易行为向量不匹配,因此可以不需要计算划转交易操作对应的中间置信度,直接将买入交易操作对应的中间置信度作为待监控交易账户交易行为对应的目标安全交易结果。
在一个实施例中,基于参考安全交易结果和目标安全交易结果确定待监控交易账户交易行为的安全状态,包括:当目标安全交易结果大于参考安全交易结果时,确定安全状态为交易异常;当目标安全交易结果小于或等于参考安全交易结果时,确定安全状态为交易正常。
具体地,参考安全交易结果可以是一个综合的置信度阈值。也可以是一个交易操作对应一个置信度阈值,即存在多个参考安全交易结果。当目标安全交易结果大于参考安全交易结果时,确定安全状态为交易异常,当目标安全交易结果小于或等于参考安全交易结果时,确定安全状态为交易正常。不同的交易操作对应的置信度阈值可以相同可以不同。例如,买入交易操作对应的置信度阈值为0.7,划转交易操作对应的置信度阈值为0.65。
本实施例中,通过比较目标安全交易结果和参考安全交易结果,可以快速确定待监控交易账户交易行为的安全状态。
在一个实施例中,方法还包括:当安全状态为交易异常时,获取账户冻结指示;将账户冻结指示发送至待监控交易账户交易行为对应的接收方,以使接收方停止建立与待监控交易账户交易行为对应的发送方的通信连接。
具体地,当待监控交易账户交易行为的安全状态为交易异常时,计算机设备100可以获取账户冻结指示,将账户冻结指示发送至待监控交易账户交易行为对应的接收方。计算机设备100可以从待监控交易账户交易行为中获取发送方的相关信息,将发送方的相关信息携带至账户冻结指示中,那么当接受方接收到该账户冻结指示后,可以主动停止建立与该发送方的通信连接,以此来阻断待监控交易账户交易行为。
在一个实施例中,账户冻结指示可以是RST(Reset)包。RST包用于断开通信双方的通信连接。
本实施例中,当待监控交易账户交易行为的安全状态为交易异常时,将账户冻结指示发送至待监控交易账户交易行为对应的接收方,可以快速断开待监控交易账户交易行为对应的发送方和接受方的通信连接,有效阻止非法操作。
在一个实施例中,方法还包括:定时统计各个对比交易行为向量对应的合格率;将合格率小于预设阈值的对比交易行为向量从对比交易行为向量库中滤除。
具体地,为了提高对比交易行为向量库的空间利用率,可以定时对对比交易行为向量库中的对比交易行为向量进行过滤,滤除长期未匹配到的对比交易行为向量。可以理解,若对比交易行为向量长期未匹配成功,则可以认为该对比交易行为向量对应的非法操作已经停止。因为对比交易行为向量库是不断扩充的,所以可以将长期未匹配到的对比交易行为向量滤除,以此来提高对比交易行为向量库的空间利用率。计算机设备100可以定时统计对比交易行为向量库中各个对比交易行为向量对应的合格率,将合格率小于预设阈值的对比交易行为向量从对比交易行为向量库中滤除。计算机设备100具体可以根据对比交易行为向量的匹配成功次数和对比交易行为向量在对比交易行为向量库中存储时间得到对比交易行为向量对应的合格率。不同的存储时间对应不同的对比匹配次数,将匹配成功次数和对比匹配次数的比值作为合格率。其中,预设阈值可以根据实际需要进行设置。
本发明还提供一种应用场景,该应用场景应用上述的方法。具体地,该方法在该应用场景的应用如下:
该方法可以用于自动登陆型非法交易。自动登陆可以是利用家用宽带拨号上网的原理,每一次断线重连就会获取一个新的IP,实现按秒拨号的IP跳变。非法人员可以利用自动登陆技术攻击计算机设备100,以窃取用户数字资产。
正常用户和非法用户都可以通过用户终端200向区块链300发送交易账户交易行为。用户终端200可以利用交换机或者网络和区块链300进行通信。计算机设备100可以从交换机上通过旁路引流的方式或者联网实时监控的方式获取同一检测周期内的参考交易行为,生成各个参考交易行为对应的参考交易行为向量,根据参考交易行为向量建立非法操作检测库。计算机设备100可以从交换机上通过旁路引流的方式或者联网实时监控的方式获取目标交易账户交易行为(实时交易流),生成目标交易账户交易行为对应的目标交易行为向量,将目标交易行为向量和对比交易行为向量进行匹配,计算匹配成功的目标交易行为向量对应的目标安全交易结果,根据目标安全交易结果和置信度阈值的比较结果来识别非法IP。当目标安全交易结果大于置信度阈值时,确定目标交易账户交易行为为异常交易账户交易行为,确定匹配到非法IP攻击,进行告警。当目标安全交易结果小于或等于置信度阈值时,确定目标交易账户交易行为为正常交易账户交易行为。
计算机设备100识别异常交易账户交易行为的具体过程如下:
1、建立非法操作检测库。
1-1、从交换机中采集同一检测周期内的多个参考交易行为(即在检测周期内统计流量)。
1-2、生成各个参考交易行为对应的至少一个参考交易行为向量,各个参考交易行为向量组合得到参考交易行为向量集合。
具体地,获取参考交易行为对应的减持类交易操作和增持类交易操作,基于减持类交易操作对应的至少一个安全分类模型从参考交易行为中获取匹配的交易特征,根据交易特征生成对应的参考交易行为向量,基于增持类交易操作对应的至少一个安全分类模型从参考交易行为中获取匹配的交易特征,根据交易特征生成对应的参考交易行为向量,各个参考交易行为对应的多个参考交易行为向量组合得到参考交易行为向量集合。
举例说明,买入交易操作交易账户交易行为对应的减持类交易操作为买入交易操作,对应的增持类交易操作为划转交易操作,买入交易操作对应的安全分类模型包括随机森林和决策树,划转交易操作对应的安全分类模型包括决策树。基于买入交易操作对应的安全分类模型随机森林从参考交易行为中获取匹配的交易特征,根据交易特征生成对应的参考交易行为向量hash1。基于买入交易操作对应的安全分类模型决策树从参考交易行为中获取匹配的交易特征,根据交易特征生成对应的参考交易行为向量hash2。基于划转交易操作对应的安全分类模型决策树从参考交易行为中获取匹配的交易特征,根据交易特征生成对应的参考交易行为向量hash3。买入交易操作交易账户交易行为对应的参考交易行为向量包括参考交易行为向量hash1、参考交易行为向量hash2和参考交易行为向量hash3。
1-3、对参考交易行为向量进行聚类,根据聚类结果建立非法操作检测库。
具体地,基于同一交易操作对应的同一安全分类模型生成的相同参考交易行为向量进行聚类得到多个不同的聚类簇,统计同一聚类簇内的参考交易行为向量的数量,得到各个聚类簇对应的统计值。将统计值大于统计阈值的聚类簇内的参考交易行为向量作为对比交易行为向量,各个对比交易行为向量组合得到非法操作检测库(即对比交易行为向量库)。
举例说明,假设统计阈值为50。在参考交易行为向量库中,若基于买入交易操作对应的安全分类模型随机森林生成的参考交易行为向量hash1的总数为55>50,则可以将参考交易行为向量hash1作为对比交易行为向量加入非法操作检测库。非法操作检测库可以按照<买入交易操作,安全分类模型随机森林,hash1,55>这样的数组存储参考交易行为向量hash1。
2、从交换机中(或监听的网络中)采集实时交易流,基于非法操作检测库对实时交易流进行自动登陆型非法交易。
2-1、生成待监控交易账户交易行为(即实时交易流)对应的至少一个目标交易行为向量,各个目标交易行为向量组合得到目标交易行为向量集合。
具体地,获取待监控交易账户交易行为(即实时交易流)对应的减持类交易操作和增持类交易操作,基于减持类交易操作对应的至少一个安全分类模型从待监控交易账户交易行为中获取匹配的交易特征,根据交易特征生成对应的目标交易行为向量。基于增持类交易操作对应的至少一个安全分类模型从待监控交易账户交易行为中获取匹配的交易特征,根据交易特征生成对应的目标交易行为向量,各个目标交易行为向量组合得到待监控交易账户交易行为对应的目标交易行为向量集合。
2-2、目标交易行为向量和非法操作检测库中的对比交易行为向量进行匹配。
具体地,将目标交易行为向量和非法操作检测库中的对比交易行为向量进行匹配。当目标交易行为向量和对比交易行为向量一致,目标交易行为向量对应的交易操作和对比交易行为向量对应的交易操作一致,目标交易行为向量对应的安全分类模型和对比交易行为向量对应的安全分类模型一致时,确定该目标交易行为向量和该对比交易行为向量成功。
2-3、基于匹配成功的各个目标交易行为向量计算待监控交易账户交易行为对应的目标安全交易结果。
具体地,基于匹配成功的各个目标交易行为向量对应的安全分类模型获取对应的目标模型置信度,将同一类型交易操作对应的各个目标模型置信度从大到小进行排序,按照排序顺序,根据累加公式将同一类型交易操作对应的各个目标模型置信度累加得到各个交易操作对应的算法置信度统计值。将同一类型交易操作对应的目标安全置信度和算法置信度统计值进行相乘得到各个交易操作对应的中间置信度,将各个中间置信度进行相加得到目标安全交易结果。
2-4、获取参考安全交易结果,根据目标安全交易结果和参考安全交易结果的比较结果判断是否出现异常交易账户交易行为。
具体地,获取相应的参考安全交易结果(即置信度阈值),当目标安全交易结果大于参考安全交易结果时,确定待监控交易账户交易行为的安全状态为交易异常,当目标安全交易结果小于或等于参考安全交易结果时,确定待监控交易账户交易行为的安全状态为交易正常。当待监控交易账户交易行为的安全状态为交易异常时,则判断出现异常交易账户交易行为,计算机设备100可以向运维人员对应的用户终端200发送告警信息,或者直接阻断该待监控交易账户交易行为。
举例说明,scorepro(http)=0.9,scorealg(<http,随机森林>)=0.8,scorealg(<http,决策树>)=0.6,mb_THR(http)=0.7。scorepro(tcp)=0.7,scorealg(<tcp,决策树>)=0.7,mb_THR(tcp)=0.45。
待监控交易账户交易行为的一个目标交易行为向量和对比交易行为向量库中基于买入交易操作对应的安全分类模型随机森林生成的某个对比交易行为向量匹配,另一个目标交易行为向量和对比交易行为向量库中基于买入交易操作对应的安全分类模型决策树生成的某个对比交易行为向量匹配,另一个目标交易行为向量和对比交易行为向量库中基于买入交易操作对应的安全分类模型决策树生成的某个对比交易行为向量匹配。那么,score(http)=0.9*[0.8+(1-0.8)*0.6]=0.828>0.7,score(tcp)=0.7*0.7=0.49>0.45,因此确定待监控交易账户交易行为为异常交易账户交易行为。
上述方法,规避了传统检测手段对于IP的依赖,将关注重点放在了交易账户交易行为、客户端甚至攻击者本身,也就是交易账户交易行为的特征信息,从而可以降低异常交易账户交易行为的误判率,提高异常交易账户交易行为的检测准确性。此外,同一交易账户交易行为对应的交易行为向量集合包括多种交易操作、多种安全分类模型对应的交易行为向量,丰富了交易行为向量,可以覆盖更多的交易类型,可以进一步提高非法交易的检测准确性。
本发明实施例提供一种云安全平台110,请结合参考图3,云安全平台110包括:
获取模块1101,用于获取待监控交易账户交易行为;获取待监控交易账户交易行为对应的目标交易操作,根据目标交易操作对应的至少一个安全分类模型对待监控交易账户交易行为提取特征,生成对应的目标交易行为向量集合;目标交易行为向量集合包括至少一个目标交易行为向量。
计算模块1102,用于将目标交易行为向量和对比交易行为向量库中的对比交易行为向量进行匹配;对比交易行为向量库是对参考交易行为集合对应的参考交易行为向量集合进行聚类分析得到的;基于匹配成功的目标交易行为向量对应的安全交易参数,计算得到待监控交易账户交易行为对应的目标安全交易结果。
确定模块1103,用于获取参考安全交易结果,基于参考安全交易结果和目标安全交易结果确定待监控交易账户交易行为的安全状态。
需要说明的是,前述云安全平台110的实现原理可以参考前述基于大数据的云安全账户管理方法的实现原理,在此不再赘述。
本发明实施例提供一种计算机设备100,计算机设备100包括处理器及存储有计算机指令的非易失性存储器,计算机指令被处理器执行时,计算机设备100执行前述的基于大数据的云安全账户管理方法。如图4所示,图4为本发明实施例提供的计算机设备100的结构框图。计算机设备100包括云安全平台110、存储器111、处理器112及通信单元113。
本发明实施例提供一种可读存储介质,可读存储介质包括计算机程序,计算机程序运行时控制可读存储介质所在计算机设备100执行前述的基于大数据的云安全账户管理方法。