识别用户行为的方法及装置制造方法

识别用户行为的方法及装置制造方法
【专利摘要】本公开是关于一种识别用户行为的方法及装置，用于更有效、更准确的识别恶意行为。所述方法包括：获取在预设的时间滑动窗口内的终端的访问行为；根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估；根据评估结果确定所述终端的访问行为是否为恶意访问。
【专利说明】识别用户行为的方法及装置

【技术领域】
[0001] 本公开设及通信及计算机处理领域，尤其设及识别用户行为的方法及装置。

【背景技术】
[0002] 随着互联网的发展，通过网络实现了资源共享。人们可W通过网络方便快捷的获 取丰富的信息。在人们获取信息的同时，不少网站面临着各种恶意攻击。
[0003] 本公开的发明人发现，相关技术中，一种恶意攻击方式是在较短的时间内频繁的 向网站发送数据包。该种情况经常发生在抢购商品的时候，在短时间内频繁的访问网站，W 抢购降价商品。该种高频次的访问行为一般是通过抢购软件来实现，人为操作无法得到该 频次。相关技术中有些手段可W阻止该恶意行为，但是阻止的效果不理想。因此，如何更有 效的识别用户的恶意行为，是亟待解决的问题。


【发明内容】

[0004] 为克服相关技术中存在的问题，本公开提供一种识别用户行为的方法及装置。
[0005] 根据本公开实施例的第一方面，提供一种识别用户行为的方法，包括：
[0006] 获取在预设的时间滑动窗口内的终端的访问行为；
[0007] 根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评 估；
[000引根据评估结果确定所述终端的访问行为是否为恶意访问。
[0009] 本公开的实施例提供的技术方案可W包括W下有益效果；本实施例通过时间滑动 窗口实时监控用户的访问行为，并对访问行为进行评估，据此来判断用户的访问行为是否 存在恶意。
[0010] 在一个实施例中，所述时间滑动窗口包括m个等分的时间片；
[0011] 所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进 行评估，包括：
[0012] 针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阔值，得 到n个访问次数超过预设的分片次数阔值的时间片；
[0013] 判断n与m的的比例是否超过预设的第一比例阔值；
[0014] 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：
[0015] 在n与m的的比例超过预设的第一比例阔值时，确定所述终端的访问行为为恶意 访问。
[0016] 本公开的实施例提供的技术方案可W包括W下有益效果；本实施例通过对每个时 间片内的访问行为监控，检查访问次数是否持续位于比较高的值，据此来评估访问行为是 否存在恶意，评估结果更准确。
[0017] 在一个实施例中，所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗 口内的访问行为进行评估，包括：
[0018] 针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间 间隔；
[0019] 根据获得的时间间隔，计算访问行为的时间方差；
[0020] 判断所述时间方差是否大于预设的方差阔值；
[0021] 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：
[0022] 在所述时间方差大于预设的方差阔值时，确定所述终端的访问行为为恶意访问。
[0023] 本公开的实施例提供的技术方案可W包括W下有益效果；本实施例通过对时间间 隔进行方差计算，来判断访问行为是否是W-个固定的频率发生，如果是，则可确定该访问 行为是由软件触发，而不是用户。据此可更准确的识别出恶意行为。
[0024] 在一个实施例中，所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗 口内的访问行为进行评估，包括：
[0025] 针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间 间隔；
[0026] 根据获得的时间间隔，计算访问行为的时间方差；
[0027] 计算所述时间方差与时间间隔的平均值的比值；
[002引判断所述比值是否小于预设的第二比例阔值；
[0029] 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：
[0030] 在所述比值小于预设的第二比例阔值时，确定所述终端的访问行为为恶意访问。
[0031] 本公开的实施例提供的技术方案可W包括W下有益效果；本实施例可W将方差与 时间间隔的平均值做进一步比较，可更准确的识别出恶意行为。
[0032] 在一个实施例中，所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗 口内的访问行为进行评估，包括：
[0033] 获得所述时间滑动窗口内的访问行为的总数；
[0034] 判断所述总数是否超过预设的总数阔值；
[0035] 根据判断结果，对所述时间滑动窗口内的访问行为进行评估。
[0036] 本公开的实施例提供的技术方案可W包括W下有益效果；本实施例在上述方案的 基础上，利用访问行为的总数进一步对访问行为进行评估，可更准确的识别出恶意行为。
[0037] 根据本公开实施例的第二方面，提供一种识别用户行为的装置，包括：
[003引获取模块，用于获取在预设的时间滑动窗口内的终端的访问行为；
[0039] 评估模块，用于根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的 访问行为进行评估；
[0040] 确定模块，用于根据评估结果确定所述终端的访问行为是否为恶意访问。
[0041] 在一个实施例中，所述时间滑动窗口包括m个等分的时间片；
[0042] 所述评估模块包括：
[0043] 时间片子模块，用于针对每个时间片，判断在时间片内的访问次数是否超过预设 的分片次数阔值，得到n个访问次数超过预设的分片次数阔值的时间片；
[0044] 第一比例子模块，用于判断n与m的的比例是否超过预设的第一比例阔值；
[0045] 所述确定模块在n与m的的比例超过预设的第一比例阔值时，确定所述终端的访 问行为为恶意访问。
[0046] 在一个实施例中，所述评估模块包括：
[0047] 间隔子模块，用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两 个访问行为的时间间隔；
[0048] 方差子模块，用于根据获得的时间间隔，计算访问行为的时间方差；
[0049] 第一评估子模块，用于判断所述时间方差是否大于预设的方差阔值；
[0050] 所述确定模块在所述时间方差大于预设的方差阔值时，确定所述终端的访问行为 为恶意访问。
[0化1] 在一个实施例中，所述第一评估模块包括：
[0化2] 间隔子模块，用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两 个访问行为的时间间隔；
[0053] 方差子模块，用于根据获得的时间间隔，计算访问行为的时间方差；
[0054] 比值子模块，用于计算所述时间方差与时间间隔的平均值的比值；
[0化5] 第二比例子模块，用于判断所述比值是否小于预设的第二比例阔值；
[0056] 所述确定模块在所述比值小于预设的第二比例阔值时，确定所述终端的访问行为 为恶意访问。
[0化7] 在一个实施例中，所述评估模块包括；
[005引总数子模块，用于获得所述时间滑动窗口内的访问行为的总数；
[0059] 总数判断子模块，用于判断所述总数是否超过预设的总数阔值；
[0060] 第二评估子模块，用于根据判断结果，对所述时间滑动窗口内的访问行为进行评 估。
[0061] 根据本公开实施例的第S方面，提供一种识别用户行为的装置，包括：
[0062] 处理器；
[0063] 用于存储处理器可执行指令的存储器；
[0064] 其中，所述处理器被配置为：
[0065] 获取在预设的时间滑动窗口内的终端的访问行为；
[0066] 根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评 估；
[0067] 根据评估结果确定所述终端的访问行为是否为恶意访问。
[0068] 应当理解的是，W上的一般描述和后文的细节描述仅是示例性和解释性的，并不 能限制本公开。

【专利附图】

【附图说明】
[0069] 此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施 例，并与说明书一起用于解释本公开的原理。
[0070] 图1是根据一示例性实施例示出的一种识别用户行为的方法的流程图。
[0071] 图2是根据一示例性实施例示出的一种识别用户行为的方法的流程图。
[0072] 图3是根据一示例性实施例示出的一种识别用户行为的方法的流程图。
[0073] 图4是根据一示例性实施例示出的一种识别用户行为的装置的框图。
[0074] 图5是根据一示例性实施例示出的一种评估模块的框图。
[0075] 图6A是根据一示例性实施例示出的一种评估模块的框图。
[0076] 图6B是根据一示例性实施例示出的一种评估模块的框图。
[0077] 图7是根据一示例性实施例示出的一种评估模块的框图。
[007引图8是根据一示例性实施例示出的一种装置的框图。

【具体实施方式】
[0079] 该里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述设及 附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。W下示例性实施例 中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附 权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
[0080] 相关技术中，网络活动日益频繁，网络商户经常推出降价秒杀的活动。用户为了抢 到价格低廉的商品，会在短时间内频繁访问该商户的网站。有些用户则会通过一些抢购软 件来实现。抢购软件会W高于普通用户的访问频次访问商户的网站。而抢购软件所触发的 访问行为就是一种恶意行为，可能导致网站擁痕。一种可能的解决方案是，判断预设的时长 内访问次数是否超过预设的阔值，如果超过，则确定存在恶意访问行为。但是该识别方式 比较单一，无法较准确的识别出该访问次数是用户的行为导致的还是抢购软件触发所导致 的，识别结果不够准确。
[0081] 为解决该问题，本实施例通过时间滑动窗口对终端的访问行为进行监控，可较准 确的识别出终端的访问行为是否存在恶意。
[0082] 本实施例中的时间滑动窗口是一个动态的时间窗口，该时间滑动窗口的长度固 定，如长度为3600秒。该时间滑动窗口的结束位置始终是当前时间，因此时间滑动窗口随 着时间的变化而移动。
[0083] 相关技术中根据预设时长检测访问次数的方案是，例如，预设时长为1000秒，贝U 0?1000秒检测一次，1001?2000秒检测一次，W此类推。但是500?1500秒发生的访问 行为则无法检测。而本实施例随着时间滑动窗口的移动进行实时检测，例如时间滑动窗口 的长度为1000秒，则0?1000秒检测一次，1?1001秒检测一次，2?1002秒检测一次， W此类推。可见，相比于相关技术的方案，检测更准确，可更准确的识别出恶意行为。
[0084] 图1是根据一示例性实施例示出的一种识别用户行为的方法的流程图，如图1所 示，该方法可W由服务器实现，包括W下步骤：
[0085] 在步骤101中，获取在预设的时间滑动窗口内的终端的访问行为。
[0086] 在步骤102中，根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的 访问行为进行评估。
[0087] 在步骤103中，根据评估结果确定所述终端的访问行为是否为恶意访问。
[008引本实施例通过时间滑动窗口可W实时监控终端的访问行为，并且同时实现监控一 段时间内的访问行为，评估访问行为是否存在恶意，识别结果更准确。本实施例是针对单一 终端的行为监控和评估，可通过用户名、IP(互联网协议）地址或MC(媒体访问控制）地 址等手段来确定终端。
[0089] 如果识别出存在恶意访问，则可W采用多种手段。如，要求终端发送验证码；或者， 临时屏蔽该用户（或该终端）的访问；或者，将该用户加入到黑名单，永久性拒绝该用户的 访问；还可w向用户发送警告消息等。
[0090] 在一个实施例中，步骤102可实现为步骤A。
[0091] 在步骤A中，根据所述时间滑动窗口中每个时间片内的访问行为，对所述时间滑 动窗口内的访问行为进行评估。
[0092] 本实施例将时间滑动窗口进一步细化为多个时间片，每个时间片的长度相同（等 分的）。例如，时间滑动窗口的长度为3600秒，包含10个时间片，则每个时间片的长度为 360秒。本实施例W时间片为单位对用户的访问行为进行监控，监控粒度进一步缩小，有助 于更准确的识别恶意行为。并且，本实施例根据每个时间片内的访问行为W及时间滑动窗 口内整体的访问行为进行评估，评估结果更准确。
[0093] 在一个实施例中，步骤A可W包括步骤A1-步骤A2。
[0094] 在步骤A1中，针对每个时间片，判断在时间片内的访问次数是否超过预设的分片 次数阔值，得到n个访问次数超过预设的分片次数阔值的时间片；
[0095] 在步骤A2中，判断n与m的的比例是否超过预设的第一比例阔值；
[0096] 步骤103可实现为步骤A3。
[0097] 在步骤A3中，在n与m的的比例超过预设的第一比例阔值时，确定所述终端的访 问行为为恶意访问。
[009引即，确定访问次数超过预设的分片次数阔值的时间片。判断超过分片次数阔值的 时间片的数量占时间片总数的比例是否超过预设的第一比例阔值。根据判断结果对所述时 间滑动窗口内的访问行为进行评估。
[0099] 本实施例中，如果超过分片次数阔值的时间片的数量占时间片总数的比例超过预 设的第一比例阔值，则确定访问次数过高，存在恶意访问；否则确定不存在恶意访问。
[0100] 例如，时间滑动窗口 T的长度为3600秒，包含10个时间片tl-tio,则每个时间片 的长度为360秒。10个时间片对应的访问次数分别为tl = 50, t2 = 60, t3 = 52, t4 = 55,巧=48, t6 = 56, t7 = 58,巧=54, t9 = 56, tlO = 57。分片次数阔值为 50,则除了 时间片巧W外，其它9个时间片对应的访问次数均超过分片次数阔值。计算超过分片次数 阔值的时间片的数量占时间片总数的比例9/10 = 90%。假如第一比例阔值为90%，通过 将超过分片次数阔值的时间片的数量占时间片总数的比例90%与第一比例阔值为90%进 行比较，对访问行为进行评估，则可确定该时间滑动窗口 T内存在恶意访问行为。
[0101] 在一个实施例中，步骤102还可W由方案B实现。
[0102] 方案 B;
[010引在步骤B1中，针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访 问行为的时间间隔。
[0104] 在步骤B2中，根据获得的时间间隔，计算访问行为的时间方差。
[0105] 在步骤B3中，根据所述时间方差，对所述时间滑动窗口内的访问行为进行评估。 判断所述时间方差是否大于预设的方差阔值。
[0106] 在步骤103中，在所述时间方差大于预设的方差阔值时，确定所述终端的访问行 为为恶意访问。
[0107] 本实施例可W将时间方差与预设的方差阔值进行比较，如果大于预设的方差阔 值，则说明方差比较大，也就是访问行为的时间间隔的波动比较大，则可确定该访问行为出 自于用户，而不是抢购软件，进而可确定不存在恶意行为。反之，如果不大于预设的方差阔 值，则确定存在恶意行为。
[0108] 例如，针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为 的时间间隔xl, x2, x3,…，xn，X为xl?xn的平均值。方差公式如；
[0109] 谷2 二一[(xl _ 巧2 + (x2 - x)j + …（xn _ x)2] 化
[0110] 其中S表示计算得到的方差。
[0111] 在一个实施例中，方案B还可W与步骤A1-步骤A3结合。例如，计算每个时间片 对应的方差，确定方差大于方差阔值的时间片，并确定方差大于方差阔值的时间片的数量 与时间片总数的比例，进而将该比例与第一比例阔值进行比较，确定是否存在恶意访问。
[0112] 在一个实施例中，可W对方案B做进一步改进。则步骤B3可W包括步骤B31-步 骤 B32。
[0113] 针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间 间隔；
[0114] 根据获得的时间间隔，计算访问行为的时间方差；
[0115] 在步骤B31中，计算所述时间方差与时间间隔的平均值的比值。
[0116] 在步骤B32中，判断所述比值是否小于预设的第二比例阔值。根据判断结果对所 述时间滑动窗口内的访问行为进行评估。
[0117] 步骤103可实现为步骤B33。
[0118] 在步骤B33中，在所述比值小于预设的第二比例阔值时，确定所述终端的访问行 为为恶意访问。
[0119] 本实施例中，如果时间方差与时间间隔的平均值的比值超过预设的第二比例阔 值，则说明时间方差与时间间隔的平均值非常接近，可确定该访问行为是由抢购软件触发 所产生，存在恶意访问。反之，则可确定该访问行为是由用户触发所产生，不存在恶意访问。
[0120] 例如，平均值X为1，时间方差为0. 5。时间方差与平均值的比例为50%，大于预设 的第二比例阔值100%。虽然0. 5的方差比较小，但是相对于平均值1来说偏离比较大。
[0121] 又如，平均值X为10,时间方差为0.5。时间方差与平均值的比例为5%，小于预设 的第二比例阔值10%。由于平均值10比较大，所W时间方差0. 5非常接近平均值。
[0122] 本实施例通过比较方差与平均值的接近程度（从另一个角度可称之为偏离程 度），可更准确的评估访问行为。
[0123] 在一个实施例中，步骤102可实现为方案C。
[0124] 方案 C;
[0125] 在步骤C1中，获得所述时间滑动窗口内的访问行为的总数。
[0126] 在步骤C2中，判断所述总数是否超过预设的总数阔值。
[0127] 在步骤C3中，根据判断结果，对所述时间滑动窗口内的访问行为进行评估。
[0128] 本实施例中，如果时间滑动窗口内的访问行为的总数超过总数阔值，则可确定访 问量过高，存在恶意访问。反之，确定不存在恶意访问。
[0129] 在一个实施例中，方案C可W与上述方案结合。在步骤A或方案B的判断结果基础 上，进一步执行方案C的判断，在均判断为存在恶意访问时，才做出存在恶意访问的结论。
[0130] 下面通过几个实施例来详细介绍识别用户行为的实现过程。
[0131] 图2是根据一示例性实施例示出的一种识别用户行为的方法的流程图，如图2所 示，该方法可W由服务器实现，包括W下步骤：
[0132] 在步骤201中，获取在预设的时间滑动窗口内的终端的访问行为。
[0133] 在步骤202中，针对时间滑动窗口中的每个时间片，将时间片对应的访问次数与 预设的分片次数阔值进行比较。
[0134] 在步骤203中，确定访问次数超过预设的分片次数阔值的时间片。
[0135] 在步骤204中，计算超过分片次数阔值的时间片的数量占时间片总数的比例。
[0136] 在步骤205中，判断计算得到的比例是否超过预设的第一比例阔值。在超过预设 的第一比例阔值时，继续步骤206 ;在不超过预设的第一比例阔值时，继续步骤207。
[0137] 在步骤206中，确定存在恶意访问行为。
[0138] 在步骤207中，确定不存在恶意访问行为。
[0139] 本实施例通过时间片可进行更细致的访问行为监控。通过较小粒度的访问次数的 监控，可更准确的识别出是否存在恶意访问。
[0140] 图3是根据一示例性实施例示出的一种识别用户行为的方法的流程图，如图3所 示，该方法可W由服务器实现，包括W下步骤：
[0141] 在步骤301中，获取在预设的时间滑动窗口内的终端的访问行为。
[0142] 在步骤302中，针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个 访问行为的时间间隔。
[0143] 在步骤303中，根据获得的时间间隔，计算时间间隔的平均值。
[0144] 在步骤304中，根据获得的时间间隔，计算访问行为的时间方差。
[0145] 在步骤305中，计算所述时间方差与时间间隔的平均值的比值。
[0146] 在步骤306中，判断所述比值是否小于预设的第二比例阔值。在小于预设的第二 比例阔值时，继续步骤307 ;在不小于预设的第二比例阔值时，继续步骤308。
[0147] 在步骤307中，确定存在恶意访问行为。
[0148] 在步骤308中，确定不存在恶意访问行为。
[0149] 本实施例通过方差来确定在时间上是否均匀获得访问行为，如果是，则确定是由 软件产生的访问行为，而不是用户触发，因此确定存在恶意访问；反之，则确定不存在恶意 访问。该方式可更准确的识别出恶意访问行为。
[0150] 通过W上介绍了解了识别用户行为的实现过程，该过程由服务器实现，下面针对 设备的内部结构和功能进行介绍。
[0151] 图4是根据一示例性实施例示出的一种识别用户行为的装置示意图。参照图4,该 装置包括：获取模块401、评估模块402和确定模块403。
[0152] 获取模块401，用于获取在预设的时间滑动窗口内的终端的访问行为。
[0153] 评估模块402,用于根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内 的访问行为进行评估。
[0154] 确定模块403,用于根据评估结果确定所述终端的访问行为是否为恶意访问。
[0155] 在一个实施例中，所述时间滑动窗口包括m个等分的时间片；如图5所示，所述评 估模块402包括；时间片子模块4021和第一比例子模块4028。
[0156] 时间片子模块4021，用于针对每个时间片，判断在时间片内的访问次数是否超过 预设的分片次数阔值，得到n个访问次数超过预设的分片次数阔值的时间片。
[0157] 第一比例子模块4028,用于判断n与m的的比例是否超过预设的第一比例阔值。
[0158] 所述确定模块403在n与m的的比例超过预设的第一比例阔值时，确定所述终端 的访问行为为恶意访问。
[0159] 在一个实施例中，如图6A所示，所述评估模块402包括；间隔子模块4022、方差子 模块4023和第一评估子模块4024。
[0160] 间隔子模块4022,用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相 邻两个访问行为的时间间隔。
[0161] 方差子模块4023，用于根据获得的时间间隔，计算访问行为的时间方差。
[0162] 第一评估子模块4024,用于判断所述时间方差是否大于预设的方差阔值。
[0163] 所述确定模块403在所述时间方差大于预设的方差阔值时，确定所述终端的访问 行为为恶意访问。
[0164] 在一个实施例中，时间片子模块4021也可W包括间隔子模块4022、方差子模块 4023和第一评估子模块4024。
[01化]在一个实施例中，如图6B所示，所述评估模块402包括；间隔子模块4022、方差子 模块4023、比值子模块4029和第二比例子模块40210。
[0166] 间隔子模块4022,用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相 邻两个访问行为的时间间隔。
[0167] 方差子模块4023，用于根据获得的时间间隔，计算访问行为的时间方差。
[0168] 比值子模块4029,用于计算所述时间方差与时间间隔的平均值的比值。
[0169] 第二比例子模块40210,用于判断所述比值是否小于预设的第二比例阔值。
[0170] 所述确定模块403在所述比值小于预设的第二比例阔值时，确定所述终端的访问 行为为恶意访问。
[0171] 在一个实施例中，如图7所示，所述评估模块402包括；总数子模块4025、总数判 断子模块4026和第二评估子模块4027。
[0172] 总数子模块4025,用于获得所述时间滑动窗口内的访问行为的总数。
[0173] 总数判断子模块4026,用于判断所述总数是否超过预设的总数阔值。
[0174] 第二评估子模块4027,用于根据判断结果，对所述时间滑动窗口内的访问行为进 行评估。
[01巧]关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法 的实施例中进行了详细描述，此处将不做详细阐述说明。
[0176] 图8是根据一示例性实施例示出的一种用于识别用户行为的装置800的框图。例 如，装置800可W被提供为一计算机。参照图8,装置800包括处理组件822,其进一步包括 一个或多个处理器，W及由存储器832所代表的存储器资源，用于存储可由处理部件822的 执行的指令，例如应用程序。存储器832中存储的应用程序可W包括一个或一个W上的每 一个对应于一组指令的模块。此外，处理组件822被配置为执行指令，W执行上述方法识别 用户行为。
[0177] 装置800还可W包括一个电源组件826被配置为执行装置800的电源管理，一个 有线或无线网络接口 850被配置为将装置800连接到网络，和一个输入输出（I/O)接口 858。装置800可W操作基于存储在存储器832的操作系统，例如Windows ServerTM，Mac OS XTM，UnixTM, LinuxTM，FreeBSDTM 或类似。
[017引一种识别用户行为的装置，包括：
[0179] 处理器；
[0180] 用于存储处理器可执行指令的存储器；
[0181] 其中，所述处理器被配置为：
[0182] 获取在预设的时间滑动窗口内的终端的访问行为；
[0183] 根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评 估；
[0184] 根据评估结果确定所述终端的访问行为是否为恶意访问。
[0化5] 所述处理器还可W被配置为：
[0186] 所述时间滑动窗口包括m个等分的时间片；
[0187] 所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进 行评估，包括：
[0188] 针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阔值，得 到n个访问次数超过预设的分片次数阔值的时间片；
[0189] 判断n与m的的比例是否超过预设的第一比例阔值；
[0190] 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：
[0191] 在n与m的的比例超过预设的第一比例阔值时，确定所述终端的访问行为为恶意 访问。
[0192] 所述处理器还可W被配置为：
[0193] 所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进 行评估，包括：
[0194] 针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间 间隔；
[0195] 根据获得的时间间隔，计算访问行为的时间方差；
[0196] 判断所述时间方差是否大于预设的方差阔值；
[0197] 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：
[0198] 在所述时间方差大于预设的方差阔值时，确定所述终端的访问行为为恶意访问。
[0199] 所述处理器还可W被配置为：
[0200] 所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进 行评估，包括：
[0201] 针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间 间隔；
[0202] 根据获得的时间间隔，计算访问行为的时间方差；
[0203] 计算所述时间方差与时间间隔的平均值的比值；
[0204] 判断所述比值是否小于预设的第二比例阔值；
[02化]所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：
[0206] 在所述比值小于预设的第二比例阔值时，确定所述终端的访问行为为恶意访问。
[0207] 所述处理器还可W被配置为：
[020引所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进 行评估，包括：
[0209] 获得所述时间滑动窗口内的访问行为的总数；
[0210] 判断所述总数是否超过预设的总数阔值；
[0211] 根据判断结果，对所述时间滑动窗口内的访问行为进行评估。
[0212] 一种非临时性计算机可读存储介质，当所述存储介质中的指令由移动终端的处理 器执行时，使得移动终端能够执行一种识别用户行为的方法，所述方法包括：
[0213] 获取在预设的时间滑动窗口内的终端的访问行为；
[0214] 根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评 估；
[0215] 根据评估结果确定所述终端的访问行为是否为恶意访问。
[0216] 所述存储介质中的指令还可W包括：
[0217] 所述时间滑动窗口包括m个等分的时间片；
[021引所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进 行评估，包括：
[0219] 针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阔值，得 到n个访问次数超过预设的分片次数阔值的时间片；
[0220] 判断n与m的的比例是否超过预设的第一比例阔值；
[0221] 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：
[0222] 在n与m的的比例超过预设的第一比例阔值时，确定所述终端的访问行为为恶意 访问。
[0223] 所述存储介质中的指令还可W包括：
[0224] 所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进 行评估，包括：
[02巧]针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间 间隔；
[0226] 根据获得的时间间隔，计算访问行为的时间方差；
[0227] 判断所述时间方差是否大于预设的方差阔值；
[0228] 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：
[0229] 在所述时间方差大于预设的方差阔值时，确定所述终端的访问行为为恶意访问。
[0230] 所述存储介质中的指令还可W包括：
[0231] 所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进 行评估，包括：
[0232] 针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间 间隔；
[0233] 根据获得的时间间隔，计算访问行为的时间方差；
[0234] 计算所述时间方差与时间间隔的平均值的比值；
[0235] 判断所述比值是否小于预设的第二比例阔值；
[0236] 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括：
[0237] 在所述比值小于预设的第二比例阔值时，确定所述终端的访问行为为恶意访问。
[0238] 所述存储介质中的指令还可W包括：
[0239] 所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进 行评估，包括：
[0240] 获得所述时间滑动窗口内的访问行为的总数；
[0241] 判断所述总数是否超过预设的总数阔值；
[0242] 根据判断结果，对所述时间滑动窗口内的访问行为进行评估。
[0243] 本领域技术人员在考虑说明书及实践该里公开的发明后，将容易想到本公开的其 它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，该些变型、用途或 者适应性变化遵循本公开的一般性原理并包括本公开未公开的本【技术领域】中的公知常识 或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的 权利要求指出。
[0244] 应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并 且可W在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
【权利要求】
1. 一种识别用户行为的方法，其特征在于，包括： 获取在预设的时间滑动窗口内的终端的访问行为； 根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估； 根据评估结果确定所述终端的访问行为是否为恶意访问。
2. 根据权利要求1所述的识别用户行为的方法，其特征在于，所述时间滑动窗口包括m 个等分的时间片； 所述根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评 估，包括： 针对每个时间片，判断在时间片内的访问次数是否超过预设的分片次数阈值，得到n 个访问次数超过预设的分片次数阈值的时间片； 判断n与m的的比例是否超过预设的第一比例阈值； 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括： 在n与m的的比例超过预设的第一比例阈值时，确定所述终端的访问行为为恶意访问。
3. 根据权利要求1所述的识别用户行为的方法，其特征在于，所述根据所述时间滑动 窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估，包括： 针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间 隔； 根据获得的时间间隔，计算访问行为的时间方差； 判断所述时间方差是否大于预设的方差阈值； 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括： 在所述时间方差大于预设的方差阈值时，确定所述终端的访问行为为恶意访问。
4. 根据权利要求1所述的识别用户行为的方法，其特征在于，所述根据所述时间滑动 窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估，包括： 针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访问行为的时间间 隔； 根据获得的时间间隔，计算访问行为的时间方差； 计算所述时间方差与时间间隔的平均值的比值； 判断所述比值是否小于预设的第二比例阈值； 所述根据评估结果确定所述终端的访问行为是否为恶意访问，包括： 在所述比值小于预设的第二比例阈值时，确定所述终端的访问行为为恶意访问。
5. 根据权利要求1中任一项所述的识别用户行为的方法，其特征在于，所述根据所述 时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估，包括： 获得所述时间滑动窗口内的访问行为的总数； 判断所述总数是否超过预设的总数阈值； 根据判断结果，对所述时间滑动窗口内的访问行为进行评估。
6. -种识别用户行为的装置，其特征在于，包括： 获取模块，用于获取在预设的时间滑动窗口内的终端的访问行为； 评估模块，用于根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问 行为进行评估； 确定模块，用于根据评估结果确定所述终端的访问行为是否为恶意访问。
7. 根据权利要求6所述的识别用户行为的装置，其特征在于，所述时间滑动窗口包括m 个等分的时间片； 所述评估t吴块包括： 时间片子模块，用于针对每个时间片，判断在时间片内的访问次数是否超过预设的分 片次数阈值，得到n个访问次数超过预设的分片次数阈值的时间片； 第一比例子模块，用于判断n与m的的比例是否超过预设的第一比例阈值； 所述确定模块在n与m的的比例超过预设的第一比例阈值时，确定所述终端的访问行 为为恶意访问。
8. 根据权利要求6所述的识别用户行为的装置，其特征在于，所述评估模块包括： 间隔子模块，用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访 问行为的时间间隔； 方差子模块，用于根据获得的时间间隔，计算访问行为的时间方差； 第一评估子模块，用于判断所述时间方差是否大于预设的方差阈值； 所述确定模块在所述时间方差大于预设的方差阈值时，确定所述终端的访问行为为恶 意访问。
9. 根据权利要求6所述的识别用户行为的装置，其特征在于，所述评估模块包括： 间隔子模块，用于针对所述时间滑动窗口内的每相邻两个访问行为，获得相邻两个访 问行为的时间间隔； 方差子模块，用于根据获得的时间间隔，计算访问行为的时间方差； 比值子模块，用于计算所述时间方差与时间间隔的平均值的比值； 第二比例子模块，用于判断所述比值是否小于预设的第二比例阈值； 所述确定模块在所述比值小于预设的第二比例阈值时，确定所述终端的访问行为为恶 意访问。
10. 根据权利要求6中任一项所述的识别用户行为的装置，其特征在于，所述评估模块 包括： 总数子模块，用于获得所述时间滑动窗口内的访问行为的总数； 总数判断子模块，用于判断所述总数是否超过预设的总数阈值； 第二评估子模块，用于根据判断结果，对所述时间滑动窗口内的访问行为进行评估。
11. 一种识别用户行为的装置，其特征在于，包括： 处理器； 用于存储处理器可执行指令的存储器； 其中，所述处理器被配置为： 获取在预设的时间滑动窗口内的终端的访问行为； 根据所述时间滑动窗口内的访问行为，对所述时间滑动窗口内的访问行为进行评估； 根据评估结果确定所述终端的访问行为是否为恶意访问。
【文档编号】G06F21/56GK104486298SQ201410708281
【公开日】2015年4月1日 申请日期:2014年11月27日 优先权日:2014年11月27日
【发明者】张华 , 夏翼, 洪定坤, 王海洲 申请人:小米科技有限责任公司