技术摘要:
本发明公开一种账号异常登录的识别方法与装置,采用时间序列和马尔柯夫过程等,对历史登录数据进行分析和机器学习,刻画和建立账户正常登录行为的模型,根据模型确定相关的异常登录识别因素,并构建各个因素的预测值,通过判断实时数据与预测值的偏离度,确定实时数据 全部
背景技术:
目前,数据与信息成爆炸式增长,各种社交媒体数据、系统数据、CRM数据以及大量 网络数据。但是,大多数情况下,这些数据只呈现了用户的常见行为模式,而数据的异常变 化可能是系统故障或用户流失的“症结”所在,如何识别数据海洋中的“暗礁”是用户行为异 常行为分析所要探讨的问题。购物、支付、游戏、社交软件等帐号被盗事件屡见不鲜,轻则造 成个人信息泄露,重则导致资金被盗取、重要资产被攻击,很多行业没有明确这种损失的认 定和追查方法,最大的受害者往往是用户本身。 现实中,同一系统下有成千上万的用户账号,用户每个人也都有很多类型的帐号, 由于帐号总体数目较多,如果部分帐号被盗后造成明显的损失时,很容易被发现,可以采取 补救措施;但是,如果没有立即造成明显的损失,则该被盗事件有可能很长时间都不会被发 现,一旦会被攻击者长期利用,将导致更大、更深远的危害。而且,由于不同帐号之间的权限 区别,难以简单地判断多大范围的活动程度被认为有违规行为,同时由于业务的复杂性,也 很难准确地判断帐号是处于正常状态还是异常状态。可见,对于账号异常登录的有效识别, 是阻止数据被盗和避免财产损失的关键所在。
技术实现要素:
本发明旨在提供一种账号异常登录的识别方法与装置,利用统计规律和机器学习 的原理,建立相应的数据模型,来分析评估帐号的异常情况,提高账号异常登录识别的准确 性。 一方面,提出一种账号异常登录的识别方法,包括: 获取历史登录数据:根据访问频率建立第一时间序列模型;根据在线时间段与在线时 长,建立第二时间序列模型;根据特定内容访问量,建立第三时间序列模型; 根据所述的第一、第二、第三时间序列模型,分别得到账户正常登录的访问频率特征、 活跃度特征与内容访问特征,将与所述正常登录特征相关的登录因素作为异常登录识别因 素; 根据最近一个特定周期的历史登录数据,构建各异常登录识别因素的预测值 ; 获取当前实时登录数据,计算实时登录数据与所述异常登录识别因素预测值的偏离 度,若所述偏离度大于预设的阈值,则判断当前登录为异常登录。 作为一种优选的实现方式,所述的与正常登录特征相关的登录因素,包括基本因 素:账号名称、登录IP、登录地点、登录所用浏览器或登录所用软件客户端;登录因素还包括 登陆时间与次数,在线时间段与在线时长,访问协议;进一步的,根据账户最近一个特定周 期的历史登录数据,更新账户的正常登录特征并确定所述预设的阈值。 4 CN 111552933 A 说 明 书 2/5 页 作为另一种优选的实施方式,还包括:对所有账号的登录因素进行相似度计算与 聚类分析,得到具有相似登录特征的账号簇;将异常登录数据与所述账号簇进行登录特征 匹配,判断异常登录属于个别账号行为或群体账号行为;若账号簇内中超过特定比例的账 号发生同类型的异常登录,则将该账号簇内的其他账号列为可疑账号。 另一方面,提出一种账号异常登录的识别装置,包括: 模型建立模块,用于获取历史登录数据,利用KNN或线性回归或岭回归或lasso回归模 型建立第一、第二、第三时间序列模型; 识别因素确定模块,根据所述时间序列模型,统计分析得到账户的正常登录特征,将与 所述正常登录特征相关的登录因素作为异常登录识别因素; 预测值构建模块,根据最近一个特定周期的历史登录数据,构建各异常登录识别因素 的预测值; 判断模块,若实时登录数据与所述异常登录识别因素预测值的偏离度大于预设的阈 值,则判断当前实时登录为异常登录。 上述的账号异常登录识别方法与装置的技术方案,具有以下有益效果:采用时间 序列和马尔柯夫过程等,对历史登录数据进行分析和机器学习,刻画和建立账户正常登录 行为的模型,根据模型确定相关的异常登录识别因素,并构建各个因素的预测值,通过判断 实时数据与预测值的偏离度,确定实时数据是否为异常登录,有效的识别出异常登录。同时 对账号进行相似度和聚类,将账号群体划分成不同的账号簇,更有利于综合得出个体与集 体的关系。 附图说明 图1为本发明的账号异常登录识别方法实施例,工作流程示意图; 图2为本发明的账号异常登录识别装置实施例,组成框图。
本发明公开一种账号异常登录的识别方法与装置,采用时间序列和马尔柯夫过程等,对历史登录数据进行分析和机器学习,刻画和建立账户正常登录行为的模型,根据模型确定相关的异常登录识别因素,并构建各个因素的预测值,通过判断实时数据与预测值的偏离度,确定实时数据 全部
背景技术:
目前,数据与信息成爆炸式增长,各种社交媒体数据、系统数据、CRM数据以及大量 网络数据。但是,大多数情况下,这些数据只呈现了用户的常见行为模式,而数据的异常变 化可能是系统故障或用户流失的“症结”所在,如何识别数据海洋中的“暗礁”是用户行为异 常行为分析所要探讨的问题。购物、支付、游戏、社交软件等帐号被盗事件屡见不鲜,轻则造 成个人信息泄露,重则导致资金被盗取、重要资产被攻击,很多行业没有明确这种损失的认 定和追查方法,最大的受害者往往是用户本身。 现实中,同一系统下有成千上万的用户账号,用户每个人也都有很多类型的帐号, 由于帐号总体数目较多,如果部分帐号被盗后造成明显的损失时,很容易被发现,可以采取 补救措施;但是,如果没有立即造成明显的损失,则该被盗事件有可能很长时间都不会被发 现,一旦会被攻击者长期利用,将导致更大、更深远的危害。而且,由于不同帐号之间的权限 区别,难以简单地判断多大范围的活动程度被认为有违规行为,同时由于业务的复杂性,也 很难准确地判断帐号是处于正常状态还是异常状态。可见,对于账号异常登录的有效识别, 是阻止数据被盗和避免财产损失的关键所在。
技术实现要素:
本发明旨在提供一种账号异常登录的识别方法与装置,利用统计规律和机器学习 的原理,建立相应的数据模型,来分析评估帐号的异常情况,提高账号异常登录识别的准确 性。 一方面,提出一种账号异常登录的识别方法,包括: 获取历史登录数据:根据访问频率建立第一时间序列模型;根据在线时间段与在线时 长,建立第二时间序列模型;根据特定内容访问量,建立第三时间序列模型; 根据所述的第一、第二、第三时间序列模型,分别得到账户正常登录的访问频率特征、 活跃度特征与内容访问特征,将与所述正常登录特征相关的登录因素作为异常登录识别因 素; 根据最近一个特定周期的历史登录数据,构建各异常登录识别因素的预测值 ; 获取当前实时登录数据,计算实时登录数据与所述异常登录识别因素预测值的偏离 度,若所述偏离度大于预设的阈值,则判断当前登录为异常登录。 作为一种优选的实现方式,所述的与正常登录特征相关的登录因素,包括基本因 素:账号名称、登录IP、登录地点、登录所用浏览器或登录所用软件客户端;登录因素还包括 登陆时间与次数,在线时间段与在线时长,访问协议;进一步的,根据账户最近一个特定周 期的历史登录数据,更新账户的正常登录特征并确定所述预设的阈值。 4 CN 111552933 A 说 明 书 2/5 页 作为另一种优选的实施方式,还包括:对所有账号的登录因素进行相似度计算与 聚类分析,得到具有相似登录特征的账号簇;将异常登录数据与所述账号簇进行登录特征 匹配,判断异常登录属于个别账号行为或群体账号行为;若账号簇内中超过特定比例的账 号发生同类型的异常登录,则将该账号簇内的其他账号列为可疑账号。 另一方面,提出一种账号异常登录的识别装置,包括: 模型建立模块,用于获取历史登录数据,利用KNN或线性回归或岭回归或lasso回归模 型建立第一、第二、第三时间序列模型; 识别因素确定模块,根据所述时间序列模型,统计分析得到账户的正常登录特征,将与 所述正常登录特征相关的登录因素作为异常登录识别因素; 预测值构建模块,根据最近一个特定周期的历史登录数据,构建各异常登录识别因素 的预测值; 判断模块,若实时登录数据与所述异常登录识别因素预测值的偏离度大于预设的阈 值,则判断当前实时登录为异常登录。 上述的账号异常登录识别方法与装置的技术方案,具有以下有益效果:采用时间 序列和马尔柯夫过程等,对历史登录数据进行分析和机器学习,刻画和建立账户正常登录 行为的模型,根据模型确定相关的异常登录识别因素,并构建各个因素的预测值,通过判断 实时数据与预测值的偏离度,确定实时数据是否为异常登录,有效的识别出异常登录。同时 对账号进行相似度和聚类,将账号群体划分成不同的账号簇,更有利于综合得出个体与集 体的关系。 附图说明 图1为本发明的账号异常登录识别方法实施例,工作流程示意图; 图2为本发明的账号异常登录识别装置实施例,组成框图。
