异常访问行为的检测方法、装置、电子设备和存储介质与流程

本发明涉及互联网技术领域，尤其涉及一种异常访问行为的检测方法、装置、电子设备和存储介质。

背景技术：

随着互联网电子商务的兴起，网购用户数据不断增加，各线上商家为争取用户流量、关注度，扩大自己店铺品牌影响力，常常会采取一些如促销、抢购、优惠券发放等手段。与之对应，线上投入的这些资源最终是希望落入到广大普通用户中去，带来好评与成交量。而不是被一些恶意用户所拦截，实施抢占优惠券与优惠商品名额、进行二次销售等一系列异常行为，影响活动传播，损害其他用户利益。

现有检测用户异常访问行为的方法主要分为针对单点的频率检验和多特征集合的分类处理。总体而言，这两大类方法都是根据历史用户的一些离散特征点作为数据训练集，得到模型后对当前用户的访问行为进行检验分类，判断当前用户的访问行为是否属于异常行为。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

通过分析历史用户离散特征点构建模型进行分类的方法依赖于特征集的选取及模型构建，模型不具有普遍的适用性；目前通过恶意手段进行刷券、抢购的方式灵活多变，利用训练模型进行分类的方式相对来讲有一定的滞后性。

技术实现要素：

有鉴于此，本发明实施例提供一种异常访问行为的检测方法、装置、电子设备和存储介质，能够通过用户的访问数据来识别出恶意用户的异常破坏行为，具备配置灵活、实时更新、识别结果透明可控的特性。

为实现上述目的，根据本发明实施例的一个方面，提供了一种异常访问行为的检测方法。

本发明实施例的一种异常访问行为的检测方法包括：根据历史用户访问数据构建总体网络结构，所述历史用户访问数据包括历史用户的pv(页面浏览，pageview)数据、点击数据和页面所含接口信息；获取当前用户访问数据，所述当前用户访问数据包括当前用户的pv数据、点击数据和调用接口信息；根据所述当前用户访问数据获取当前用户访问路径，然后根据所述当前用户访问路径提取所述总体网络结构中对应的跳转路径，获取所述跳转路径的各页面所含接口信息；检测当前用户pv数据和点击数据，判断当前用户是否存在点击行为异常，对比当前用户的调用接口信息与所述跳转路径的各页面所含接口信息，判断当前用户是否存在接口调用行为异常。

可选地，pv数据包括：浏览页面的时间、浏览页面标识、前置页面标识、用户openid；点击数据包括：点击页面的时间、点击区域坐标、点击页面标识、目标跳转页面标识、用户openid。

可选地，根据历史用户访问数据构建总体网络结构包括：以历史用户的pv数据涉及的各页面为顶点，以点击数据为弧，构建页面跳转网络结构；将页面所含接口信息整合到所述页面跳转结构的顶点中，得到总体网络结构。

可选地，判断当前用户是否存在接口调用行为异常包括：根据接口调用广度和/或接口调用深度识别是否存在调用性质和/或调用频率的异常。

可选地，所述检测方法还包括：定期根据历史用户访问数据更新所述总体网络结构。

可选地，所述检测方法还包括：在根据历史用户访问数据构建总体网络结构之前，对历史用户访问数据进行加密后保存。

为实现上述目的，根据本发明实施例的另一方面，提供了一种异常访问行为的检测装置。

本发明实施例的一种异常访问行为的检测装置包括：构建模块，用于根据历史用户访问数据构建总体网络结构，所述历史用户访问数据包括历史用户的pv数据、点击数据和页面所含接口信息；获取模块，用于获取当前用户访问数据，所述当前用户访问数据包括当前用户的pv数据、点击数据和调用接口信息；路径提取模块，用于根据所述当前用户访问数据获取当前用户访问路径，然后根据所述当前用户访问路径提取所述总体网络结构中对应的跳转路径，获取所述跳转路径的各页面所含接口信息；检测模块，用于检测当前用户pv数据和点击数据，判断当前用户是否存在点击行为异常，对比当前用户的调用接口信息与所述跳转路径的各页面所含接口信息，判断当前用户是否存在接口调用行为异常。

可选地，pv数据包括：浏览页面的时间、浏览页面标识、前置页面标识、用户openid；点击数据包括：点击页面的时间、点击区域坐标、点击页面标识、目标跳转页面标识、用户openid。

可选地，所述构建模块还用于：以历史用户的pv数据涉及的各页面为顶点，以点击数据为弧，构建页面跳转网络结构；将页面所含接口信息整合到所述页面跳转结构的顶点中，得到总体网络结构。

可选地，所述检测模块还用于：根据接口调用广度和/或接口调用深度识别是否存在调用性质和/或调用频率的异常。

可选地，所述构建模块还用于：定期根据历史用户访问数据更新所述总体网络结构。

可选地，所述构建模块还用于：在根据历史用户访问数据构建总体网络结构之前，对历史用户访问数据进行加密后保存。

为实现上述目的，根据本发明实施例的再一方面，提供了一种电子设备。

本发明实施例的一种电子设备包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明实施例的异常访问行为的检测方法。

为实现上述目的，根据本发明实施例的又一方面，提供了一种计算机可读存储介质。

本发明实施例的一种计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行本发明实施例的异常访问行为的检测方法。

上述发明中的一个实施例具有如下优点或有益效果：因为采用根据历史用户访问数据构建总体网络结构，并根据总体网络结构检验当前用户的访问数据是否异常的技术手段，所以克服了现有技术中利用模型的局限性和滞后性的技术问题，进而达到灵活配置异常识别、准确检测异常访问行为的技术效果；通过以海量历史用户的访问数据构建总体网络结构，从而能够获取准确的站点网络结构，为后续识别异常行为、对商家的促销推广等活动保驾护航提供充分依据；通过定期的根据最新获取的历史用户访问数据更新总体网络结构，从而可以使作为异常校验参照的总体网络结构的实时更新；通过根据接口调用广度和/或深度、点击行为校验等指标，从而可以灵活识别多种用户异常访问行为；通过在获取到历史用户访问数据之后，对历史用户访问数据进行加密后保存，从而可以保障建立的总体网络结构的准确性。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明实施例的异常访问行为的检测方法的主要步骤的示意图；

图2是根据本发明实施例的异常访问行为的检测方法的应用架构示意图；

图3是根据本发明实施例的异常访问行为的检测方法的总体网络结构的示意图；

图4是根据本发明实施例的异常访问行为的检测方法中存储页面有向图的邻接表的示意图；

图5是根据本发明实施例的异常访问行为的检测方法在对当前用户访问数据的检测流程示意图；

图6是根据本发明实施例的异常访问行为的检测装置的主要模块的示意图；

图7是实现本发明实施例的异常访问行为的检测方法的电子设备的硬件结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

本发明实施例的异常访问行为的检测方案立足于用户在网上商城等电商平台的访问页面与点击数据，构建整个平台的总体网络结构。然后通过利用总体网络结构分析当前用户在一个资产变更行为(如领券、下单等)过程中所经历的页面节点及特征信息，从而检测用户是否存在通过一些非正常手段来获取商家活动的有限资源的行为。

图1是根据本发明实施例的异常访问行为的检测方法的主要步骤的示意图。

如图1所示，本发明实施例的一种异常访问行为的检测方法主要包括如下步骤：

步骤s11：根据历史用户访问数据构建总体网络结构，所述历史用户访问数据包括历史用户的页面浏览(pv)数据、点击数据和页面所含接口信息。本步骤的目的在于根据获取的历史用户访问数据构建站点总体的网络结构，为后续校验当前用户的访问数据提供依据。

本发明实施例中，pv数据可以但不限于包括：浏览页面的时间、浏览页面标识、前置页面标识、用户openid；点击数据可以但不限于包括：点击页面的时间、点击区域坐标、点击页面标识、目标跳转页面标识、用户openid。

根据历史用户访问数据构建总体网络结构包括：以历史用户的pv数据涉及的各页面为顶点，以点击数据为弧，构建页面跳转网络结构；将页面所含接口信息整合到所述页面跳转结构的顶点中，得到总体网络结构。

在步骤s11构建总体网络结构之后，从步骤s12进行校验处理。

步骤s12：获取当前用户访问数据，所述当前用户访问数据包括当前用户的pv数据、点击数据和调用接口信息。当用户访问站点时，获取当前用户的pv数据和点击数据，同样需要获取到还有用户调用的http接口信息，用户调用的http接口信息数据可以通过nginx日志获取，然后按时间进行排序，具体获取过程将在后续异常访问行为的检测过程中进行详细描述。

步骤s13：根据所述当前用户访问数据获取当前用户访问路径，然后根据所述当前用户访问路径提取所述总体网络结构中对应的跳转路径，获取所述跳转路径的各页面所含接口信息。

步骤s14：检测当前用户pv数据和点击数据，判断当前用户是否存在点击行为异常，对比当前用户的调用接口信息与所述跳转路径的各页面所含接口信息，判断当前用户是否存在接口调用行为异常。

其中，判断当前用户是否存在接口调用行为异常包括：根据接口调用广度和/或接口调用深度识别是否存在调用性质和/或调用频率的异常。

需要说明的是，本发明实施例的异常访问行为的检测方法还可以包括：定期根据历史用户访问数据更新所述总体网络结构，从而可以使作为异常校验参照的总体网络结构的实时更新。

另外，本发明实施例的检测方法还可以包括：在获取里使用户访问数据之后，根据历史用户访问数据构建总体网络结构之前，对历史用户访问数据进行加密后保存。

图2是根据本发明实施例的异常访问行为的检测方法的应用架构示意图；图3是根据本发明实施例的异常访问行为的检测方法的总体网络结构的示意图；图4是根据本发明实施例的异常访问行为的检测方法中存储页面有向图的邻接表的示意图；图5是根据本发明实施例的异常访问行为的检测方法在对当前用户访问数据的检测流程示意图。以下结合图2、图3、图4以及图5对本发明实施例的异常访问行为的检测方法进行详细说明。

如图2所示，本发明实施例的异常访问行为的检测方法主要包括如下逻辑：

a)数据采集

通过在前端页面埋点的方式，当用户载入页面或点击某一跳转模块时，前端脚本自动上报用户相应的pv数据(pageview页面浏览量，此处pv数据是指用户浏览过的页面相关数据，可以但不限于包括：浏览页面的时间、浏览页面标识、前置页面标识、用户openid)和点击数据(可以但不限于包括：点击特性、点击页面标识、目标跳转页面标识、用户openid)。上报的数据可采用rsa加密方式作数字签名，防止被伪造。通过前后页面属性可标识出用户在整个流程中的访问路径、页面跳转之间的先后关系。

本发明实施例中，前述用户openid是指三方登录中用于标识一个用户身份的值。点击特性可以但不限于包括用户点击的时间(时间的精度可以根据具体业务需求而定，本发明实施例中精确到毫秒)、点击区域坐标，主要用于识别是否利用点击软件模拟的用户行为。软件模拟的点击操作具有时间间隔、空间位置完全一致的点击特性。

b)构建页面跳转网络结构

本发明实施例中，将前述上报的用户的pv数据和点击数据以用户为维度存入数据仓库。通过后台程序离线拉取数据仓库中的pv数据和点击数据，从而可以以pv数据中包含的各个页面为顶点，以点击数据为弧构建页面跳转网络结构。

c)获取页面所含接口信息

本发明实施例中，页面所含接口信息数据可以通过nginx日志获取，提取日志中记录的http请求中的referer(http表头的一个字段，记录了请求的来源地址)可判断请求接口所属页面信息。同时http请求中携带用户标识，方便获取用户在一个完整的访问过程中所调用的前端接口。本发明实施例中，页面所含接口分为两种类型：页面载入时调用的接口、用户交互过程中调用的接口。

d)总体网络结构

根据前述构建的页面跳转网络结构和页面所含接口信息，构建整个网络站点的总体网络结构(总体网络结构可参见图3)。其中，页面跳转网络结构的顶点中包含页面所含接口和内部非跳转类型点击(在此页面中的一些用户交互，比如领券中心的领券操作)数据；顶点之间弧的属性主要包括用户在页面停留时间、点击区域坐标等。以邻接表方式存储整个站点页面有向图(存储页面有向图的邻接表可参见图4)，使用hash_map(一种查询高效的数据结构)存储页面ptag(即pagetag，页面标识，本发明实施例中使用ptag标识用户点击的各个不同页面)与页面有向图中顶点位置的映射关系。当针对当前单个用户的访问数据进行检验时，直接通过其pv数据中的页面ptag获取站点页面有向图中顶点位置。进而可提取出用户在总体网络结构中对应的跳转路径。

构建的总体网络结构可以为后续针对单个用户的访问行为检测提供数据基础。需要说明的是，为了保证总体网络结构的准确性，在本发明实施例的异常检测过程中，可以设置线程定时地拉取上报的用户访问数据更新总体网络结构。，通常情况下，应设置较小的更新周期，例如可以但不限于是本发明实施例中的60秒。

e)检测单元

当用户访问站点时，获取其点击数据和pv数据，然后根据数据的上报时间拼接用户一次完整的访问过程的访问路径。拼接过程先可通过上报时间确定此用户的pv数据的大致顺序(因为上报数据很可能会因为一些原因导致时间先后的细微错乱)，然后结合pv数据中的url和referer字段来确定前后访问页面跳转的连接。

用户的一次完整的访问过程是指用户从进入所属域名页面开始(referer为其它域名下页面)，到下一次进入下一个所属域名页面()，这中间的访问节点都被视为一次完整的访问过程(用户通过输入网址直接进行页面间跳转可认为一次特殊的点击跳转行为)。

另外，还需获取用户的http接口调用信息(通过nginx日志获取，按时间排序)，然后结合站点的总体网络结构，分析当前用户的访问行为是否异常。

具体检测当前用户访问行为是否异常的流程如下述:

1)进行路径提取，根据当前用户的pv数据中的起始页面ptag获取在总体网络结构中对应的起始点，从用户上报的pv和点击数据集中进行提取当前用户的访问路径，将提取出的当前用户访问过的各页面及对应调用的接口信息，以队列形式存储。

2)对比当前用户此次访问行为所调用的http接口和总体网络结构中对应访问路径的各页面包含的http接口，判断接口调用广度(调用接口类型数)和深度(单接口调用次数)是否有偏差(即当前用户调用的接口与总体网络结构中各页面对应的接口不一致)，如果出现偏差，可根据调用性质(例如越权调用到其它页面接口)或调用频率(如高频率调用刷券，例如可以设置用户每秒钟调用量超过5次为异常状态)进行识别。

另外，针对非跳转类型的点击数据，可以比较接口调用次数是否大于其点击数。理论上用户点击一次才会发起一次http请求，如果出现接口调用次数大于对应点击数，可视为用户绕过前端直接调用接口。因此，可根据用户的操作频率来标识是否为异常行为。

3)前面是分析接口调用行为是否异常，除此之外，还可以针对用户点击行为进行分析是否异常。例如针对使用软件模拟用户点击的行为，通过计算上报pv数据中的页面跳转时间间隔(根据上报pv数据中的前后关系和时间差值得到)和和点击数据中的区域坐标数据进行分析。如果跳转时间间隔小于限定值(该限定值可以根据实际情况设定，例如可以但不限于采用50毫秒)或每次相同页面点击上报的偏移方差为0，则判定用户点击行为异常。上述检测流程可参见图5。

根据本发明实施例的异常访问行为的检测方法可以看出，因为采用根据历史用户访问数据构建总体网络结构，并根据总体网络结构检验当前用户的访问数据是否异常的技术手段，所以克服了现有技术中利用模型的局限性和滞后性的技术问题，进而达到灵活配置异常识别、准确检测异常访问行为的技术效果；通过以海量历史用户的访问数据构建总体网络结构，从而能够获取准确的站点网络结构，为后续识别异常行为、对商家的促销推广等活动保驾护航提供充分依据；通过定期的根据最新获取的历史用户访问数据更新总体网络结构，从而可以使作为异常校验参照的总体网络结构的实时更新，确保检测结果的有效性；通过根据接口调用广度和/或深度、点击行为校验等指标进行异常访问行为检测，从而可以灵活识别多种用户异常访问行为；通过在获取到历史用户访问数据之后，对历史用户访问数据进行加密后保存，从而可以保障建立的总体网络结构的准确性。

图6是根据本发明实施例的异常访问行为的检测装置的主要模块的示意图。

如图6所示，本发明实施例的一种异常访问行为的检测装置60主要包括：构建模块601、获取模块602、路径提取模块603以及检测模块604。其中，构建模块601用于根据历史用户访问数据构建总体网络结构，所述历史用户访问数据包括历史用户的pv数据、点击数据和页面所含接口信息；获取模块602用于获取当前用户访问数据，所述当前用户访问数据包括当前用户的pv数据、点击数据和调用接口信息；路径提取模块603用于根据所述当前用户访问数据获取当前用户访问路径，然后根据所述当前用户访问路径提取所述总体网络结构中对应的跳转路径，获取所述跳转路径的各页面所含接口信息；检测模块604用于检测当前用户pv数据和点击数据，判断当前用户是否存在点击行为异常，对比当前用户的调用接口信息与所述跳转路径的各页面所含接口信息，判断当前用户是否存在接口调用行为异常。

本发明实施例中，pv数据包括：浏览页面的时间、浏览页面标识、前置页面标识、用户openid；点击数据包括：点击页面的时间、点击区域坐标、点击页面标识、目标跳转页面标识、用户openid。

需要说明的是，构建模块601还可用于：以历史用户的pv数据涉及的各页面为顶点，以点击数据为弧，构建页面跳转网络结构；以及将页面所含接口信息整合到所述页面跳转结构的顶点中，得到总体网络结构。

检测模块604还可用于：根据接口调用广度和/或接口调用深度识别是否存在调用性质和/或调用频率的异常。

本发明实施例中，构建模块601还可用于：定期根据历史用户访问数据更新所述总体网络结构。

此外，构建模块601还可用于：在根据历史用户访问数据构建总体网络结构之前，对历史用户访问数据进行加密后保存。

从以上描述可以看出，因为采用根据历史用户访问数据构建总体网络结构，并根据总体网络结构检验当前用户的访问数据是否异常的技术手段，所以克服了现有技术中利用模型的局限性和滞后性的技术问题，进而达到灵活配置异常识别、准确检测异常访问行为的技术效果；通过以海量历史用户的访问数据构建总体网络结构，从而能够获取准确的站点网络结构，为后续识别异常行为、对商家的促销推广等活动保驾护航提供充分依据；通过定期的根据最新获取的历史用户访问数据更新总体网络结构，从而可以使作为异常校验参照的总体网络结构的实时更新，确保检测结果的有效性；通过根据接口调用广度和/或深度、点击行为校验等指标进行异常访问行为检测，从而可以灵活识别多种用户异常访问行为；通过在获取到历史用户访问数据之后，对历史用户访问数据进行加密后保存，从而可以保障建立的总体网络结构的准确性。

根据本发明的实施例，本发明还提供了一种电子设备和一种可读存储介质。

本发明的电子设备包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行本发明所提供的异常访问行为的检测方法。

本发明的计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行本发明所提供的异常访问行为的检测方法。

如图7所示，是用于实现本发明实施例的异常访问行为的检测方法的电子设备的硬件结构示意图。如图7，该电子设备包括：一个或多个处理器71以及存储器72，图7中以一个处理器71为例。其中，存储器72即为本发明所提供的计算机可读存储介质。

异常访问行为的检测方法的电子设备还可以包括：输入装置73和输出装置74。

处理器71、存储器72、输入装置73和输出装置74可以通过总线或者其他方式连接，图7中以通过总线连接为例。

存储器72作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的异常访问行为的检测方法对应的程序指令/模块(例如，附图6所示的构建模块601、获取模块602、路径提取模块603以及检测模块604)。处理器71通过运行存储在存储器72中的非暂态软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例中的异常访问行为的检测方法。

存储器72可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据异常访问行为的检测装置的使用所创建的数据等。此外，存储器72可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器72可选包括相对于处理器71远程设置的存储器，这些远程存储器可以通过网络连接至异常访问行为的检测装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置73可接收输入的数字或字符信息，以及产生与异常访问行为的检测装置的用户设置以及功能控制有关的键信号输入。输出装置74可包括显示屏等显示设备。

所述一个或者多个模块存储在所述存储器72中，当被所述一个或者多个处理器71执行时，执行上述任意方法实施例中的异常访问行为的检测方法。

上述产品可执行本发明实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明实施例所提供的方法。

根据本发明实施例的技术方案，因为采用根据历史用户访问数据构建总体网络结构，并根据总体网络结构检验当前用户的访问数据是否异常的技术手段，所以克服了现有技术中利用模型的局限性和滞后性的技术问题，进而达到灵活配置异常识别、准确检测异常访问行为的技术效果；通过以海量历史用户的访问数据构建总体网络结构，从而能够获取准确的站点网络结构，为后续识别异常行为、对商家的促销推广等活动保驾护航提供充分依据；通过定期的根据最新获取的历史用户访问数据更新总体网络结构，从而可以使作为异常校验参照的总体网络结构的实时更新，确保检测结果的有效性；通过根据接口调用广度和/或深度、点击行为校验等指标进行异常访问行为检测，从而可以灵活识别多种用户异常访问行为；通过在获取到历史用户访问数据之后，对历史用户访问数据进行加密后保存，从而可以保障建立的总体网络结构的准确性。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。