盗窃账号事件的监控方法及装置与流程

本申请涉及网络安全技术领域，尤其涉及一种盗窃账号事件的监控方法及装置。

背景技术：

随着互联网的迅速发展，经常会出现一些不法分子盗窃用户账号的事件，在这些盗号者操作盗取账号的过程中，现有的线上风险控制模型主要针对与用户的操作直接相关的信息构成的变量体系的变量进行分析，比如用户登录环境、登录设备、历史操作信息等信息，围绕着操作和账户的历史数据给出分析结果，而其他的与操作不直接相关的信息则并不进行考虑，使得一些盗窃账号事件无法被监控出来，不能及时报告风险，从而也无法采取相应的措施以避免用户的利益受损。

技术实现要素：

本申请的目的是，提供一种盗窃账号事件的监控方法及装置，用以监控网络中的账号是否被盗，能及时报告风险，从而采取相应的措施，提高网络操作的安全性。

本申请提供了一种盗窃账号事件的监控方法，所述方法包括：

服务器接收用户提交的操作请求，所述操作请求中携带有所述操作请求的提交时间；

所述服务器根据所述操作请求的提交时间，从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合，所述事件信息包括事件类型；

所述服务器从所述第一事件集合中找出异常事件，得到异常事件集合，所述异常事件为事件类型与预定义的异常事件类型相同的事件；

所述服务器根据所述异常事件对应的事件信息，判断所述操作请求是否存在盗窃账号事件。

又一方面，本申请还提供了一种盗窃账号事件的监控装置，所述装置包括：

接收单元，接收用户提交的操作请求，所述操作请求中携带有所述操作请求的提交时间；

提取单元，根据所述接收单元接收的所述操作请求的提交时间，从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合，所述事件信息包括事件类型；

检验单元，从所述提取单元得到的所述第一事件集合中找出异常事件，得到异常事件集合，所述异常事件为事件类型与预定义的异常事件类型相同的事件；

判断单元，根据所述检验单元找出的所述异常事件对应的事件信息，判断所述操作请求是否存在盗窃账号事件。

又一方面，本申请提供了一种盗窃账号事件的监控方法，所述方法包括：

根据用户提交的操作请求从数据库中提取预设时间内的事件及对应的事件信息；

根据所述事件及对应的事件信息判断所述操作请求是否存在盗窃账号事件。

又一方面，本申请还提供了一种盗窃账号事件的监控装置，所述装置包括：

提取单元，用于根据用户提交的操作请求从数据库中提取预设时间内的事件及对应的事件信息；

判断单元，用于根据所述事件及对应的事件信息判断所述操作请求是否存在盗窃账号事件。

又一方面，本申请提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述盗窃账号事件的监控方法。

又一方面，本申请提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行所述计算机程序时实现所述盗窃账号事件的监控方法。

本申请实施例提供的盗窃账号事件的监控方法及装置，通过分析操作请求前的异常事件的群聚性来判断是否存在盗窃账号事件，可以监控网络中的账号是否被盗，能及时报告风险，从而采取相应的措施，提高网络操作的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种盗窃账号事件的监控方法流程图；

图2为本申请实施例提供的一种盗窃账号事件的监控装置示意图；

图3为本申请实施例提供的判断单元的装置示意图。

具体实施方式

为使得本申请的发明目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例仅仅是本申请一部分实施例，而非全部实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供的盗窃账号事件的监控方法及装置，适用于各类网站的账号安全管理，为网站的系统平台提供安全保障，用以对盗窃账号事件进行监控。在本申请实施例中以电子商务网站的交易付款支付系统为例进行说明，并不以此作为限制。

在盗号者获取账户的过程中，往往会出现一系列相关联的事件，例如，登录失败、解换绑手机、修改密码等。这类异常事件群聚的发生是明显风险特征，这类异常事件同时伴随着其他异常事件的群聚发生也是明显风险特征。例如，盗号者在登录时发生异地登录、登录失败，登录后马上创建交易，创建交易虽然是很正常的事件，但如果创建交易和异常事件“群聚”，这也是高风险的特征，往往说明用户已经被盗了。本申请实施例提供的盗窃账号事件的监控方法及装置，正是考虑到这些交易操作之前异常事件的群聚发生的特点，通过分析和检验异常事件是否群聚发生，以判断是否发生了盗窃账号事件。

图1是本申请实施例提供的盗窃账号事件的监控方法流程图，如图1所示，本申请实施例的盗窃账号事件的监控方法包括：

s101、服务器接收用户提交的操作请求，所述操作请求中携带有所述操作请求的提交时间。

用户在购物平台上购买商品进行交易操作时，系统服务器可以接收到用户提交的操作请求，所述操作请求为交易操作请求。

可选地，当所述操作请求为交易操作请求时，系统服务器在接收到用户的进行交易的操作请求之后，可以启动进入到风险控制模式。

其中，风险控制模式是指交易进入到付款阶段，由电子商务网站、银行网站或者第三方支付平台启动的风险控制模型，是系统为用户提供安全的支付环境所用的一种模式。

s102、服务器根据所述操作请求的提交时间，从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合。

所述数据库是指线上交易模型的数据库，用于风险控制模型中，以在进入风险控制模式时使用。数据库中包括线上风险控制模型的变量体系，主要由与用户操作、账户相关的变量，比如，用户(买卖家)登录环境、登录设备、用户的历史操作信息等直接与用户操作和账户相关的信息，以及，操作发生前的事件维度的信息，例如，用户信息等与用户操作不直接相关的信息。

所述操作请求之前预设时间是该操作请求之前的一段时间，例如，前1天或前1周等，具体的时间长短可根据实际场景进行调整。当进入风险控制模式时，从数据库中提取所述操作请求之前预设时间内的事件及对应的事件信息，得到第一事件集合。

所述事件信息包括以下所列中的一种或任意结合：事件名称、事件类型、用户信息、操作时间(即事件发生的时间点)、操作金额、操作环境。

其中，用户信息包括用户账号、用户身份等。所述操作环境包括用户设备信息、ip地址信息、浏览器信息等。

s103、服务器从所述第一事件集合中找出异常事件，得到异常事件集合。

所述异常事件为事件类型与预定义的异常事件类型相同的事件。

所述预先定义的异常事件类型包括：登录失败、修改密码、校验操作、解换绑手机或删除记录。

所述异常事件包括以下所列中的一种或任意结合：会员登录失败、网站登录失败、请求修改密码、修改密码失败、短信校验操作、手机校验失败、安全支付授权事件、用户更换绑定手机、用户解除绑定手机、删除记录进回收站事件、永久删除记录事件。

检验所述第一事件集合中是否存在上述事件类型的事件，如是，则将该事件判断为异常事件，得到异常事件集合。

s104、服务器根据所述异常事件对应的事件信息，判断所述操作请求是否存在盗窃账号事件。

服务器先根据所述异常事件对应的事件信息，统计所述异常事件集合的群聚特征。具体包括：

s1041、服务器根据所述异常事件发生的时间点设定多个时间窗口。

时间窗口是指异常事件发生的时间点左右的一段时间内，例如可以包括：1min(分钟)、3min、5min、1h(小时)等。1min的时间窗口表示异常事件发生的时间点±1min内的这段时间，同理，3min的时间窗口表示异常事件发生的时间点±3min内的这段时间，1h的时间窗口表示异常事件发生的时间点±1h内的这段时间。

设定的时间窗口的数量可以根据实际情况进行增加或减少，例如，3个或5个等。

针对第一事件集合中的各个异常事件，分别执行s1041，即，分别设定多个时间窗口以便进行s1042的分类汇总。

s1042、服务器根据所述异常事件的事件信息，分类汇总在各个所述时间窗口内异常事件发生的次数，得到所述异常事件集合的群聚特征。

具体地，可以包括以下所列中的一种或任意结合：

(1)根据所述异常事件的用户信息，分别统计同一用户在各个所述时间窗口内发生异常事件的次数；

(2)根据所述异常事件的ip地址信息，统计相似用户在各个所述时间窗口内发生异常事件的次数，所述相似用户为ip地址的前三段相同的用户；

(3)根据所述异常事件的ip地址信息，统计所述相似用户在各个所述时间窗口内发生异常事件的用户数量；或者，

(4)根据所述异常事件的用户设备信息，统计同一设备在各个所述时间窗口内发生异常事件的次数。

这样，通过分类统计不同时间窗口中发生异常事件的次数，得到所述异常事件集合的群聚特征，即分类统计的结果。

s1043、服务器利用所述异常事件集合的群聚特征，判断所述操作请求是否存在盗窃账号事件。

服务器利用s1042得到的所述群聚特征，判断所述操作请求是否存在盗窃账号事件。具体地，可以包括以下步骤a和步骤b：

a、服务器根据所述异常事件集合的群聚特征，计算所述异常事件群聚的可能性得分。

利用s1042分类汇总统计得到的各个不同时间窗口中发生异常事件的次数，来计算异常事件群聚的可能性得分。

具体的，可以包括以下步骤：

a1、从所述异常事件集合的群聚特征中，选取符合要求的群聚特征，构造第一变量作为风险控制模型的输入变量。

所述符合要求的群聚特征可以是不同异常事件的同一时间窗口中数据量较多的前几个数据，或者是同一异常事件的不同时间窗口中次数相同时选取较短的时间窗口的数据。具体地，可以根据实际使用需求的不同进行选取。而后，利用选取的群聚特征，构造第一变量，转化为风险控制模型能够识别的输入变量。

统计得到的所述第一事件集合的群聚特征为：同一用户在异常事件发生的时间点1分钟以内发生异常事件的次数。则构造的所述第一变量为：(所述异常事件发生的时间点)1分钟以内用户发生异常事件的次数。

统计得到的所述第一事件集合的群聚特征为：相似用户在异常事件发生的时间点1分钟以内发生异常事件的次数。则构造的所述第一变量为：1分钟以内相似用户(ip地址的前三段相同的用户)发生异常事件的次数。

统计得到的所述第一事件集合的群聚特征为：相似用户在异常事件发生的时间点1分钟以内发生异常事件的用户数量。则构造的所述第一变量为：(所述异常事件发生的时间点)1分钟以内相似用户(ip地址的前三段相同的用户)发生异常事件的用户数量。

a2、将所述第一变量及对应的变量值输入到所述风险控制模型中，计算得到所述异常事件群聚的可能性得分。

风险控制模型是根据以往一段时间的用户操作的历史数据作为模型训练样本而建立的风险买模型。其中，模型训练样本包括黑样本(欺诈或盗用案件)和白样本(正常操作)，通过对样本的训练，学习黑样本和白样本的特征，构建风险控制模型。

当步骤a2中得到的第一变量输入到风险控制模型中时，风险控制模型可以根据输入的第一变量的特征，得到一个概率值，这个概率值即为述异常事件群聚的可能性得分。

b、服务器根据所述可能性得分，判断所述操作请求是否存在盗窃账号事件，将所述可能性得分超过预设阈值的所述操作请求判断为存在盗窃账号事件。

根据可能性得分的高低，判断是否存在盗窃账号事件，可能性得分越高，代表存在盗窃账号事件的可能性越大。所述预设阈值可以根据具体的风险控制模型进行设定，例如，可以是0.8或者是0.6等。当超过该预设阈值时，则判断为存在盗窃账号事件。

举个例子，当用户购买某个商品进行操作，进入到交易付款阶段时，向系统提交付款的操作请求。系统服务器接收到用户的付款操作请求，可以启动进入风险控制模式，系统服务器根据所述操作请求的提交时间，从数据库中提取该用户提交的操作请求的提交时间之前1天内的事件及对应的事件信息，得到第一事件集合。事件信息可以包括事件类型、事件名称、用户信息、操作时间以及操作环境等信息。

从该第一事件集合中找出异常事件，得到异常事件集合。根据异常事件对应得到事件信息，判断是否存在盗窃账号事件。

具体地，先根据事件信息中各个异常事件发生的时间点，设定多个时间窗口。如果找出10个异常事件，则利用这10个异常事件发生的时间点，针对每一时间点，分别设置1min(分钟)、3min、5min、1h(小时)、3h这5个时间窗口。

然后，分别统计在10个异常事件发生时间点的1min、3min、5min、1h、3h之内，同一用户发生异常事件的次数，同一ip的用户(ip地址前三段相同的相似用户)发生异常事件的次数，同一设备的用户发生异常事件的次数等，得到群聚特征。再利用这些群聚特征计算异常事件群聚的可能性得分。如果统计到第一个异常事件1min内同一用户发生异常事件的次数为3次，第一个异常事件3min内同一ip的用户发生异常事件的次数为5次，第一个异常事件5min内同一ip的用户发生异常事件的次数为5次，第一个异常事件1h内同一设备的用户发生异常事件的次数为10次等。

从这些统计得到的群聚特征中选取符合要求的群聚特征，构成第一变量输入到风险控制模型中，得到异常事件群聚的可能性得分。例如，第一变量可以包括：1min内用户发生异常事件的次数为3次，3min内同一ip的用户发生异常事件的次数为5次，1h内同一设备的用户发生异常事件的次数为10次等，将这些输入到风险控制模型中，可以得到异常事件群聚的可能性得分为0.75。如果预设阈值为0.6，那么该可能性得分超过了预设阈值，即判断为存在盗窃账号事件。如果预设阈值为0.8，那么该可能性得分还没有超过预设阈值，即判断为不存在盗窃账号事件。

可选的，在判断所述操作请求是否存在盗窃账号事件之后，还包括：

服务器对所述存在盗窃账号事件的所述操作请求的第一用户进行限权处理，并发送验证消息给所述第一用户。以及，服务器审理所述第一用户返回的验证信息，如符合，则对所述第一用户进行放行处理。

本申请实施例提供的盗窃账号事件的监控方法，通过分析用户提交的操作之前的异常事件的群聚性来判断是否存在盗窃账号事件，可以监控网络中的账号是否被盗，能及时报告风险，从而采取相应的措施，提高网络操作的安全性。

以上是对本申请实施例所提供的盗窃账号事件的监控方法进行的详细描述，下面对本申请提供的盗窃账号事件的监控装置进行详细描述。

与图1相对应地，本申请实施例还提供盗窃账号事件的监控装置，如图2所示，本申请的盗窃账号事件的监控装置包括：接收单元201、提取单元202、检验单元203和判断单元204。

接收单元201接收用户提交的操作请求，所述操作请求中携带有所述操作请求的提交时间。

提取单元202根据接收单元201接收的所述操作请求的提交时间，从数据库中提取所述操作请求的提交时间之前预设时间内的事件及对应的事件信息，得到第一事件集合。

检验单元203从提取单元202得到的所述第一事件集合中找出异常事件，得到异常事件集合，所述异常事件为事件类型与预定义的异常事件类型相同的事件。

判断单元204根据检验单元203找出的所述异常事件对应的事件信息，判断所述操作请求是否存在盗窃账号事件。

其中，如图3所示，判断单元204具体包括设定子单元2041、统计子单元2042和判断子单元2043。

设定子单元2041根据所述异常事件发生的时间点，设定多个时间窗口。

统计子单元2042根据所述异常事件的事件信息，分类汇总在各个所述时间窗口内发生异常事件的次数，得到所述异常事件集合的群聚特征。

统计子单元2042可以具体用于以下所列中的一种或任意结合：根据所述异常事件的用户信息，分别统计同一用户在各个所述时间窗口内发生异常事件的次数；根据所述异常事件的ip地址信息，统计相似用户在各个所述时间窗口内发生异常事件的次数，所述相似用户为ip地址的前三段相同的用户；根据所述异常事件的ip地址信息，统计所述相似用户在各个所述时间窗口内发生异常事件的用户数量；或者，根据所述异常事件的用户设备信息，统计同一设备在各个所述时间窗口内发生异常事件的次数。

判断子单元2043利用统计子单元2042得到的所述异常事件集合的群聚特征，判断所述操作请求是否存在盗窃账号事件。

具体地，判断子单元2043可以包括计算子单元和比较子单元。

所述计算子单元根据所述异常事件集合的群聚特征，计算所述异常事件群聚的可能性得分。

计算子单元具体包括：构造子单元和模型计算子单元。所述构造子单元从所述第一事件集合的群聚特征中，选取符合要求的群聚特征，构造第一变量作为风险控制模型的输入变量。所述模型计算子单元将所述第一变量及对应的变量值输入到所述风险控制模型中，计算得到所述异常事件群聚的可能性得分。

所述比较子单元根据所述计算子单元得到的所述可能性得分，判断所述操作请求是否存在盗窃账号事件，将所述可能性得分超过预设阈值的所述操作请求判断为存在盗窃账号事件。

可选的，本申请实施例的装置还可以包括：处理单元。所述处理单元对判断单元204判断到的所述存在盗窃账号事件的所述操作请求的第一用户进行限权处理，并发送验证消息给所述第一用户，以及，审理所述第一用户返回的验证信息，如符合，则对所述第一用户进行放行处理。

上述各单元的功能可对应于图1详细描述的上述监控方法的处理步骤，于此不再赘述。

本申请实施例提供的盗窃账号事件的监控方法及装置，通过分析用户操作之前的异常事件的群聚性来判断是否存在盗窃账号事件，可以监控网络中的账号是否被盗，能及时报告风险，从而采取相应的措施，提高网络操作的安全性。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。