CN117294529B - 一种智慧医疗平台异常登录检测方法及*** - Google Patents

Abstract

本发明公开了一种智慧医疗平台异常登录检测方法及***，属于网络安全技术领域，具体包括：获取用户登录平台后的若干行为数据，将所述行为数据存入行为数据库中，根据所述行为数据库生成每名用户的行为矩阵，将所述行为矩阵归一化生成标准化矩阵，利用欧氏距离计算每名用户的行为评分；统计所有用户的行为评分以及注册时长，计算用户行为评分与注册时长的比值，将比值大于预设阈值的用户标记为待定用户；统计用户在注册时长内的访问总次数，将访问总次数大于预设阈值的待定用户标记为可疑用户；获取待定用户在注册时长内访问的医疗领域数量和对应的访问次数，判定是否为异常登录用户；本发明实现了对医疗平台异常登录访问的自动识别。

Description

一种智慧医疗平台异常登录检测方法及***

技术领域

本发明涉及网络安全技术领域，具体涉及一种智慧医疗平台异常登录检测方法及***。

背景技术

随着医疗领域高新技术的发展，医疗平台***逐渐为大众所广泛使用，由于移动互联应用的逐步深化，某些不法人员、渠道合作伙伴人员、外部恶意攻击者，受商业利益驱使，利用大量虚假账号访问医疗***，恶意访问浪费服务器算力，给平台造成了重大、直接的业务损失，典型问题包括：利用撞库机器行为进行暴力破解，盗取账号，进行恶意刷单、秒杀。利用***登录控制缺陷较内向越权非法登录，篡改、盗取用户敏感数据。严重影响医疗平台的正常运行秩序，造成了重大的经济和声誉损失，因此，识别出违法异常的登录账号是解决问题的关键。

常见的异常恶意登录包括凌晨登录、异地登录、大批量登录、多次频繁访问，对平台的服务器承受能力造成了很大的压力，目前对于异常恶意账号的登录检查，通常基于单维度等静态规则进行匹配，尚未考虑用户自身操作习惯以及用户所在群体的操作习惯，在实际的应用中产生大量的假报警和漏报。

发明内容

本发明的目的在于提供一种智慧医疗平台异常登录检测方法及***，解决以下技术问题：

常见的异常恶意登录包括凌晨登录、异地登录、大批量登录、多次频繁访问，对平台的服务器承受能力造成了很大的压力，目前对于异常恶意账号的登录检查，通常基于单维度等静态规则进行匹配，尚未考虑用户自身操作习惯以及用户所在群体的操作习惯，在实际的应用中产生大量的假报警和漏报。

本发明的目的可以通过以下技术方案实现：

一种智慧医疗平台异常登录检测方法，包括以下步骤：

获取用户登录平台后的若干行为数据，将所述行为数据存入行为数据库中，根据所述行为数据库生成每名用户的行为矩阵，将所述行为矩阵归一化生成标准化矩阵，利用欧氏距离计算每名用户的行为评分Fin；

统计所有用户的行为评分以及注册时长，计算用户行为评分与注册时长的比值，筛选出比值大于预设阈值的用户，标记为待定用户；

获取在注册时长内访问的医疗领域的数量和每个医疗领域的访问次数，获得访问总次数M，对于访问总次数大于预设阈值的待定用户，标记为可疑用户；

对于访问医疗领域数量小于预设阈值的可疑用户，计算访问总次数与注册时长的比值，若该比值小于预设阈值，则判定为异常登录用户；否则判定为正常登录用户；对于访问医疗领域数量大于预设阈值的可疑用户，生成该待定用户的访问偏差值，将偏差值小于预设阈值的可疑用户判定为异常登录用户；否则判定为正常用户。

作为本发明进一步的方案：所述访问偏差值的计算过程为：

将可疑用户访问的医疗领域的数量标记为L，不同医疗领域的访问次数依次标记为m1，m2，...，mL，获取访问总次数M，分别计算可疑用户访问次数m1，m2，...，mL与M/L的差值，生成差值序列，计算差值序列的方差，将方差与注册时长的乘积标记为偏差值。

作为本发明进一步的方案：所述行为数据包括登录总次数、在线总时长和每次登录平均在线时长。

作为本发明进一步的方案：所述注册时长为当前日期与注册日期的天数差值。

作为本发明进一步的方案：所述标准化矩阵的获取过程：

获取用户的总数量n，将第i名用户的第j个行为数据标记为x_ij，i和j均为正整数，且i≤n，j≤3；

将行为矩阵进行标准化处理生成标准化矩阵Z，其中标准化矩阵Z中的每一个标准化元素z_ij与行为数据一一对应，标准化元素z_ij与行为数据x_ij的对应关系为：

，

于是所述标准化矩阵Z为：

。

作为本发明进一步的方案：所述欧氏距离的计算过程为：

将所述标准化矩阵中的最大值集合定义为Z⁺=（Z⁺ ₁，Z⁺ ₂，Z⁺ ₃），Z⁺中每一个元素为标准化矩阵中该元素所在列的最大值，即Z⁺=(max{z₁₁，z₂₁，z_n1}，max{z₁₂，z₂₂，z_n2}，max{z₁₃，z₂₃，z_n3})；

将所述标准化矩阵中的最小值集合定义为Z^--=（Z^- ₁，Z^- ₂，Z^- ₃），Z^-中的每一个元素为标准化矩阵中该元素所在列的最小值，即Z^-=(min{z₁₁，z₂₁，z_n1}，min{z₁₂，z₂₂，z_n2}，min{z₁₃，z₂₃，z_n3})；

计算第i个用户的标准化元素与最大值Z⁺的欧氏距离D_i ⁺，以及到最小值Z^-的欧氏距离D_i ^-，并为不同的用户行为数据赋予对应的权重α_i，则欧式距离的计算公式为：

，/>。

作为本发明进一步的方案：所述用户行为评分的计算过程为：

第i名用户的初始行为评分，对初始行为评分进行归一化处理生成最终行为评分Fin，则第i名用户的最终行为评分/>。

一种智慧医疗平台异常登录检测***，包括：

数据获取模块，用于获取用户登录平台后的若干行为数据，将所述行为数据存入行为数据库中，根据所述行为数据库生成每名用户的行为矩阵，将所述行为矩阵归一化生成标准化矩阵，利用欧氏距离计算每名用户的行为评分Fin；

初步筛选模块，用于统计所有用户的行为评分以及注册时长，计算用户行为评分与注册时长的比值，筛选出比值大于预设阈值的用户，标记为待定用户；

二次筛选模块，用于获取在注册时长内访问的医疗领域的数量和每个医疗领域的访问次数，获得访问总次数M，对于访问总次数大于预设阈值的待定用户，标记为可疑用户；

结果输出模块，用于对于访问医疗领域数量小于预设阈值的可疑用户，计算访问总次数与注册时长的比值，若该比值小于预设阈值，则判定为异常登录用户；否则判定为正常登录用户；对于访问医疗领域大于预设阈值的可疑用户，生成该待定用户的访问偏差值，将偏差值小于预设阈值的可疑用户判定为异常登录用户；否则判定为正常用户。

本发明的有益效果：

本发明通过获取用户登录平台后的行为数据并存入数据库中，然后生成用户行为矩阵，建立用户行为模型，综合考虑用户的行为评分和注册时长，识别出可能的待定登录用户，然后进一步分析待定用户在注册时长内访问的医疗领域数量和访问次数，通过对访问数据进行分析，并计算访问偏差值，检测出对医疗平台访问行为存在异常的用户，提高了检测的精确性。

附图说明

下面结合附图对本发明作进一步的说明。

图1是本发明一种智慧医疗平台异常登录检测方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明为一种智慧医疗平台异常登录检测方法及***，包括以下步骤：

获取用户登录平台后的若干行为数据，将所述行为数据存入行为数据库中，根据所述行为数据库生成每名用户的行为矩阵，将所述行为矩阵归一化生成标准化矩阵，利用欧氏距离计算每名用户的行为评分Fin；

统计所有用户的行为评分以及注册时长，计算用户行为评分与注册时长的比值，筛选出比值大于预设阈值的用户，标记为待定用户；

获取在注册时长内访问的医疗领域的数量和每个医疗领域的访问次数，获得访问总次数M，对于访问总次数大于预设阈值的待定用户，标记为可疑用户；

对于访问医疗领域数量小于预设阈值的可疑用户，计算访问总次数与注册时长的比值，若该比值小于预设阈值，则判定为异常登录用户；否则判定为正常登录用户；对于访问医疗领域大于预设阈值的可疑用户，生成该待定用户的访问偏差值，将偏差值小于预设阈值的可疑用户判定为异常登录用户；否则判定为正常用户。

本发明首先根据用户的行为数据对用户进行评分，通过与注册时长进行比较，筛选出在较短时间内进行复杂登录行为的用户，以及访问次数较多的用户，由于这部分用户既包括正常频繁访问的用户，也包括短时间内进行大量恶意访问的用户，因此本发明将其分为两类，一种是对少数几个医疗领域进行访问的用户，另一种是对多个异常领域均进行大量访问的用户；对于注册时长较短但是进行大量访问的可疑用户，直接判定为异常登录用户；而对于访问医疗领域大于预设阈值的可疑用户，则通过统计其在每个医疗领域访问次数的差异，筛选出短时间内对所有医疗领域均进行大量访问的用户，即为异常登录用户，而在较长时间内对所有医疗领域累积进行大量访问的用户，则为正常用户行为。

在本发明的一种优选的实施例中，所述访问偏差值的计算过程为：

将可疑用户访问的医疗领域的数量标记为L，不同医疗领域的访问次数依次标记为m1，m2，...，mL，获取访问总次数M，分别计算可疑用户访问次数m1，m2，...，mL与M/L的差值，生成差值序列，计算差值序列的方差，将方差与注册时长的乘积标记为偏差值。

在本发明的另一种优选的实施例中，所述行为数据包括登录总次数、在线总时长和每次登录平均在线时长。

在本发明的另一种优选的实施例中，所述注册时长为当前日期与注册日期的天数差值。

在本发明的另一种优选的实施例中，所述标准化矩阵的获取过程：

获取用户的总数量n，将第i名用户的第j个行为数据标记为x_ij，i和j均为正整数，且i≤n，j≤3；

将行为矩阵进行标准化处理生成标准化矩阵Z，其中标准化矩阵Z中的每一个标准化元素z_ij与行为数据一一对应，标准化元素z_ij与行为数据x_ij的对应关系为：

，

于是所述标准化矩阵Z为：

。

在本实施例的一种优选的情况中，所述欧氏距离的计算过程为：

将所述标准化矩阵中的最大值集合定义为Z⁺=（Z⁺ ₁，Z⁺ ₂，Z⁺ ₃），Z⁺中每一个元素为标准化矩阵中该元素所在列的最大值，即Z⁺=(max{z₁₁，z₂₁，z_n1}，max{z₁₂，z₂₂，z_n2}，max{z₁₃，z₂₃，z_n3})；

将所述标准化矩阵中的最小值集合定义为Z^--=（Z^- ₁，Z^- ₂，Z^- ₃），Z^-中的每一个元素为标准化矩阵中该元素所在列的最小值，即Z^-=(min{z₁₁，z₂₁，z_n1}，min{z₁₂，z₂₂，z_n2}，min{z₁₃，z₂₃，z_n3})；

计算第i个用户的标准化元素与最大值Z⁺的欧氏距离D_i ⁺，以及到最小值Z^-的欧氏距离D_i ^-，并为不同的用户行为数据赋予对应的权重α_i，则欧式距离的计算公式为：

，/>。

在本实施例的另一种优选的情况中，所述用户行为评分的计算过程为：

第i名用户的初始行为评分，对初始行为评分进行归一化处理生成最终行为评分Fin，则第i名用户的最终行为评分/>。

一种智慧医疗平台异常登录检测***，包括：

数据获取模块，用于获取用户登录平台后的若干行为数据，将所述行为数据存入行为数据库中，根据所述行为数据库生成每名用户的行为矩阵，将所述行为矩阵归一化生成标准化矩阵，利用欧氏距离计算每名用户的行为评分Fin；

初步筛选模块，用于统计所有用户的行为评分以及注册时长，计算用户行为评分与注册时长的比值，筛选出比值大于预设阈值的用户，标记为待定用户；

二次筛选模块，用于获取在注册时长内访问的医疗领域的数量和每个医疗领域的访问次数，获得访问总次数M，对于访问总次数大于预设阈值的待定用户，标记为可疑用户；

结果输出模块，用于对于访问医疗领域数量小于预设阈值的可疑用户，计算访问总次数与注册时长的比值，若该比值小于预设阈值，则判定为异常登录用户；否则判定为正常登录用户；对于访问医疗领域大于预设阈值的可疑用户，生成该待定用户的访问偏差值，将偏差值小于预设阈值的可疑用户判定为异常登录用户；否则判定为正常用户。

以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。

Claims (4)

1.一种智慧医疗平台异常登录检测方法，其特征在于，包括以下步骤：

获取用户登录平台后的若干行为数据，将所述行为数据存入行为数据库中，根据所述行为数据库生成每名用户的行为矩阵，将所述行为矩阵归一化生成标准化矩阵，利用欧氏距离计算每名用户的行为评分Fin；

统计所有用户的行为评分以及注册时长，计算用户行为评分与注册时长的比值，筛选出比值大于预设阈值的用户，标记为待定用户；

获取在注册时长内访问的医疗领域的数量和每个医疗领域的访问次数，获得访问总次数M，对于访问总次数大于预设阈值的待定用户，标记为可疑用户；

对于访问医疗领域数量小于预设阈值的可疑用户，计算访问总次数与注册时长的比值，若该比值小于预设阈值，则判定为异常登录用户；否则判定为正常登录用户；对于访问医疗领域数量大于预设阈值的可疑用户，生成该待定用户的访问偏差值，将偏差值小于预设阈值的可疑用户判定为异常登录用户；否则判定为正常用户；

所述访问偏差值的计算过程为：

将可疑用户访问的医疗领域的数量标记为L，不同医疗领域的访问次数依次标记为m1，m2，...，mL，获取访问总次数M，分别计算可疑用户访问次数m1，m2，...，mL与M/L的差值，生成差值序列，计算差值序列的方差，将方差与注册时长的乘积标记为偏差值；

所述标准化矩阵的获取过程：

获取用户的总数量n，将第i名用户的第j个行为数据标记为x_ij，i和j均为正整数，且i≤n，j≤3；

将行为矩阵进行标准化处理生成标准化矩阵Z，其中标准化矩阵Z中的每一个标准化元素z_ij与行为数据一一对应，标准化元素z_ij与行为数据x_ij的对应关系为：

，

于是所述标准化矩阵Z为：

；

所述欧氏距离的计算过程为：

将所述标准化矩阵中的最大值集合定义为Z⁺=（Z⁺ ₁，Z⁺ ₂，Z⁺ ₃），Z⁺中每一个元素为标准化矩阵中该元素所在列的最大值，即Z⁺=(max{z₁₁，z₂₁，…，z_n1}，max{z₁₂，z₂₂，…，z_n2}，max{z₁₃，z₂₃，…，z_n3})；

将所述标准化矩阵中的最小值集合定义为Z^-=（Z^- ₁，Z^- ₂，Z^- ₃），Z^-中的每一个元素为标准化矩阵中该元素所在列的最小值，即Z^-=(min{z₁₁，z₂₁，…，z_n1}，min{z₁₂，z₂₂，…，z_n2}，min{z₁₃，z₂₃，…，z_n3})；

计算第i个用户的标准化元素与最大值Z⁺的欧氏距离D_i ⁺，以及到最小值Z^-的欧氏距离D_i ^-，并为不同的用户行为数据赋予对应的权重α_i，则欧式距离的计算公式为：

，/>；

所述用户行为评分的计算过程为：

第i名用户的初始行为评分，对初始行为评分进行归一化处理生成最终行为评分Fin，则第i名用户的最终行为评分/>。

2.根据权利要求1所述的一种智慧医疗平台异常登录检测方法，其特征在于，所述行为数据包括登录总次数、在线总时长和每次登录平均在线时长。

3.根据权利要求1所述的一种智慧医疗平台异常登录检测方法，其特征在于，所述注册时长为当前日期与注册日期的天数差值。

4.一种智慧医疗平台异常登录检测***，其特征在于，包括：

数据获取模块，用于获取用户登录平台后的若干行为数据，将所述行为数据存入行为数据库中，根据所述行为数据库生成每名用户的行为矩阵，将所述行为矩阵归一化生成标准化矩阵，利用欧氏距离计算每名用户的行为评分Fin；

初步筛选模块，用于统计所有用户的行为评分以及注册时长，计算用户行为评分与注册时长的比值，筛选出比值大于预设阈值的用户，标记为待定用户；

二次筛选模块，用于获取在注册时长内访问的医疗领域的数量和每个医疗领域的访问次数，获得访问总次数M，对于访问总次数大于预设阈值的待定用户，标记为可疑用户；

结果输出模块，用于对于访问医疗领域数量小于预设阈值的可疑用户，计算访问总次数与注册时长的比值，若该比值小于预设阈值，则判定为异常登录用户；否则判定为正常登录用户；对于访问医疗领域大于预设阈值的可疑用户，生成该待定用户的访问偏差值，将偏差值小于预设阈值的可疑用户判定为异常登录用户；否则判定为正常用户；

所述访问偏差值的计算过程为：

将可疑用户访问的医疗领域的数量标记为L，不同医疗领域的访问次数依次标记为m1，m2，...，mL，获取访问总次数M，分别计算可疑用户访问次数m1，m2，...，mL与M/L的差值，生成差值序列，计算差值序列的方差，将方差与注册时长的乘积标记为偏差值；

所述标准化矩阵的获取过程：

获取用户的总数量n，将第i名用户的第j个行为数据标记为x_ij，i和j均为正整数，且i≤n，j≤3；

将行为矩阵进行标准化处理生成标准化矩阵Z，其中标准化矩阵Z中的每一个标准化元素z_ij与行为数据一一对应，标准化元素z_ij与行为数据x_ij的对应关系为：

，

于是所述标准化矩阵Z为：

；

所述欧氏距离的计算过程为：

将所述标准化矩阵中的最大值集合定义为Z⁺=（Z⁺ ₁，Z⁺ ₂，Z⁺ ₃），Z⁺中每一个元素为标准化矩阵中该元素所在列的最大值，即Z⁺=(max{z₁₁，z₂₁，…，z_n1}，max{z₁₂，z₂₂，…，z_n2}，max{z₁₃，z₂₃，…，z_n3})；

将所述标准化矩阵中的最小值集合定义为Z^-=（Z^- ₁，Z^- ₂，Z^- ₃），Z^-中的每一个元素为标准化矩阵中该元素所在列的最小值，即Z^-=(min{z₁₁，z₂₁，…，z_n1}，min{z₁₂，z₂₂，…，z_n2}，min{z₁₃，z₂₃，…，z_n3})；

计算第i个用户的标准化元素与最大值Z⁺的欧氏距离D_i ⁺，以及到最小值Z^-的欧氏距离D_i ^-，并为不同的用户行为数据赋予对应的权重α_i，则欧式距离的计算公式为：

，/>；

所述用户行为评分的计算过程为：

第i名用户的初始行为评分，对初始行为评分进行归一化处理生成最终行为评分Fin，则第i名用户的最终行为评分/>。