密码探测行为监控方法、装置、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种密码探测行为监控方法、装置、电子设备及存储介质。


背景技术：

2.目前，在电信行业用户不知情时，有些营业员为了提高业绩，违规探测用户密码，并越权获取用户信息、变更或订购套餐的情况时有发生。
3.针对营业员的违规操作，目前业务管理主要是不同的营业员设置不同的权限，且在监控违规行为时，设置相应的阈值，通过人工筛查，找出违规行为。
4.但是，当管理人员对营业员的操纵行为进行审计时，要面对大量的数据记录，无法精确的分析出哪些是违规操作，也无从应对大量的数据记录，故耗时耗力，准确性不高，容易产生遗漏。


技术实现要素：

5.本发明提供一种密码探测行为监控方法、装置、电子设备及存储介质，用以解决现有技术中对营业员的操纵行为的监控耗时耗力，准确性不高，容易产生遗漏的缺陷，提高了网络的安全性和可靠性。
6.本发明提供一种密码探测行为监控方法，包括：
7.获取营业员在预设时间段内的密码探测认证失败的数据记录；
8.采用bk树算法对所有的数据记录进行探测行为的数据提取，确定不同营业员的探测行为数据集；
9.对所述探测行为数据集中的数据进行聚类分析，确定不同营业员的探测行为探测规律。
10.根据本发明提供的一种密码探测行为监控方法，每一条数据记录均包括营业员标识、被探测手机号、探测失败密码和探测时间。
11.根据本发明提供的一种密码探测行为监控方法，采用bk树算法对所有的数据记录进行探测行为的数据提取，确定不同营业员的探测行为数据集，包括：
12.针对目标营业员，以被探测手机号作为根节点构造bk树；
13.计算探测密码与根节点的莱文斯坦距离；
14.筛选与根节点的莱文斯坦距离在阈值n内的数据记录；
15.与根节点的莱文斯坦距离在阈值n内的数据记录构建所述目标营业员的探测行为数据集。
16.根据本发明提供的一种密码探测行为监控方法，对所述探测行为数据集中的数据进行聚类分析，包括：
17.采用二分k-means算法对所述探测行为数据集中的数据进行聚类分析。
18.根据本发明提供的一种密码探测行为监控方法，所述探测行为探测规律为营业员
密码探测行为的探测频率。
19.根据本发明提供的一种密码探测行为监控方法，确定不同营业员的探测行为探测规律之后，还包括：
20.根据所述探测行为探测规律不同营业员的风险等级。
21.根据本发明提供的一种密码探测行为监控方法，根据所述探测行为探测规律不同营业员的风险等级之后，还包括：
22.对不同风险等级的营业员进行账号权限的设定。
23.本发明还提供一种密码探测行为监控装置，包括：
24.获取模块，用于获取营业员在预设时间段内的密码探测认证失败的数据记录；
25.第一确定模块，用于采用bk树算法对所有的数据记录进行探测行为的数据提取，确定不同营业员的探测行为数据集；
26.第二确定模块，用于对所述探测行为数据集中的数据进行聚类分析，确定不同营业员的探测行为探测规律。
27.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述密码探测行为监控方法的步骤。
28.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述密码探测行为监控方法的步骤。
29.本发明提供的密码探测行为监控方法、装置、电子设备及存储介质，通过利用bk-tree算法对营业员违规密码探测行为数据的提取，以及利用聚类算法得到探测行为的规律，可以对营业员的探测行为进行系统的分析，能有效地发现密码探测行为，提高了网络的可靠性，并且节省了人力，提升了效率。
附图说明
30.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
31.图1是本发明提供的密码探测行为监控方法的流程示意图；
32.图2是本发明提供的密码探测行为监控的逻辑流程图；
33.图3是本发明提供的基于bk-tree算法的密码探测行为的分析系统的示意图；
34.图4是bk-tree的构造原理示意图；
35.图5是本发明提供的不同营业员的探测行为数据集的构建过程示意图；
36.图6是本发明提供的bk-tree的构造过程示意图；
37.图7是本发明提供的密码探测行为监控装置的结构示意图；
38.图8是本发明提供的电子设备的结构示意图。
具体实施方式
39.目前，电信运营商业务支撑系统的主要模式用户自助服务式模式办理缴费、查询、
业务变更等操作，以及通过业务人员登录系统办理如上业务，特别是通过web层级页面进行用户信息查询、数据选择录入、页面级联、业务办理、资料落地等交互流程越发复杂，同时伴随着核心系统通过paas层能力开放、中心服务能力解耦、数据解耦给业务人员、用户自服务端到端权限认证访问提出新的安全挑战，特别是在电信行业用户不知情时，有些营业员为了提高业绩，违规探测用户密码，并越权获取用户信息、变更或订购套餐。
40.针对营业员的违规操作，目前业务管理主要是不同的营业员设置不同的权限，且在监控违规行为时，设置相应的阈值，通过人工筛查，找出违规行为。
41.针对营业员的密码探测行为，目前主要是通过人工筛查，或者设置简单的阈值，针对营业员的违规操作，特别是在检测营业员探测用户密码以及私下给用户开通套餐的行为时，缺乏有效分析手段，其主要体现在如下：
42.(1)当管理人员对营业员的操纵行为进行审计时，要面对大量的数据记录时，无法精确的分析出哪些是违规操作，也无从应对大量的数据记录，故耗时耗力，准确性不高，容易产生遗漏。
43.(2)审计效果难以保障，营业员的操作行为数据时间跨度比较大，数据记录比较多，单凭人工无法系统的分析营业员的探测行为的探测规律，故无法对营业员的违规行为进行精准的防控。
44.有鉴于此，有必要提出一种密码探测行为的分析方法和系统，以便有效的对营业员的违规操作进行高效的分析并进行精准的防控管理。
45.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
46.下面结合一些附图描述本发明的密码探测行为监控方法、装置、电子设备及存储介质。
47.图1是本发明提供的密码探测行为监控方法的流程示意图，如图1所示，本技术实施例提供一种密码探测行为监控方法。该方法包括：
48.步骤101、获取营业员在预设时间段内的密码探测认证失败的数据记录。
49.可选地，每一条数据记录均包括营业员标识、被探测手机号、探测失败密码和探测时间。
50.步骤102、采用bk-tree算法对所有的数据记录进行探测行为的数据提取，确定不同营业员的探测行为数据集。
51.可选地，采用bk-tree算法对所有的数据记录进行探测行为的数据提取，确定不同营业员的探测行为数据集，包括：
52.针对目标营业员，以被探测手机号作为根节点构造bk-tree；
53.计算探测密码与根节点的levenshtein距离；
54.筛选与根节点的levenshtein距离在阈值n内的数据记录；
55.与根节点的levenshtein距离在阈值n内的数据记录构建所述目标营业员的探测行为数据集。
56.步骤103、对所述探测行为数据集中的数据进行聚类分析，确定不同营业员的探测
行为探测规律。
57.可选地，对所述探测行为数据集中的数据进行聚类分析，包括：
58.采用二分k-means算法对所述探测行为数据集中的数据进行聚类分析。
59.可选地，所述探测行为探测规律为营业员密码探测行为的类型或探测频率。
60.可选地，确定不同营业员的探测行为探测规律之后，还包括：
61.根据所述探测行为探测规律不同营业员的风险等级。
62.可选地，根据所述探测行为探测规律不同营业员的风险等级之后，还包括：
63.对不同风险等级的营业员进行账号权限的设定。
64.具体来说，图2是本发明提供的密码探测行为监控的逻辑流程图，如图2所示，本发明提供的密码探测行为监控的逻辑流程如下：
65.s1：数据的获取及预处理，获取营业员在一定时间段t内的操作数据，筛选出认证失败的记录，提取出特定号码的操作记录，每一条数据包括营业员工号，被探测电话号码，认证结果、认证失败密码以及操作时间。
66.s2：bk树(bk-tree)算法建模，对营业员的操作数据进行处理，采用bk-tree算法对其操作数据进行探测行为的数据提取获得不同营业员的探测行为数据集s。
67.s3：获取探测规律。采用二分k-means算法对该探测数据集进行聚类分析，得到不同营业人员的探测行为的探测规律，如不同营业员密码探测行为的探测频率。
68.s4：风险等级确定，根据步骤s3的分析结果，确定不同营业员的风险等级；
69.s5：风险防控，根据步骤s4确定的风险等级，对不同风险等级的营业员进行账号权限的设定，减少违规操作风险。
70.图3是本发明提供的基于bk-tree算法的密码探测行为的分析系统的示意图，如图3所示，该系统包括：数据的获取及预处理单元、bk-tree算法建模单元、探测规律获取单元、风险等级确定单元以及风险防控单元。
71.其中，数据的获取及预处理单元用于获取营业员在一定时间段t内的操作数据，筛选出认证失败的记录，提取出特定号码的操作记录，每一条数据包括营业员工号，被探测电话号码，认证结果、认证失败密码以及操作时间。
72.bk-tree算法建模单元用于对营业员的操作数据进行处理，采用bk-tree算法对其操作数据进行探测行为的数据提取，并获得不同营业员的探测行为数据集s。
73.探测规律获取单元采用二分k-means算法对该探测数据集进行聚类分析，得到不同营业人员的探测行为探测频率等的探测规律。
74.风险等级确定单元，根据探测规律获取单元的分析结果，确定不同营业员的风险等级。
75.风险防控单元，根据风险等级确定单元确定的风险等级，对不同风险等级的营业员进行账号权限的设定，减少违规操作风险。
76.bk-tree或burkhard keller tree是一种数据结构，用于根据编辑距离(levenshtein距离)概念执行拼写检查，bk-tree也用于近似字符串匹配。基于该数据结构，可以实现许多软件中的各种自动校正特征。图4是bk-tree的构造原理示意图，如图4所示，bk-tree的构造过程如下：
77.1)确定根节点(比如game)；
78.2)在插入下一个单词时首先计算单词与根的levenshtein距离；
79.3)如果这个距离值是该节点处第一次出现，建立一个新的子节点；否则沿着对应的边递归下去。
80.例如，插入单词fame，它与game的距离为1，于是新建一个子节点，连一条标号为1的边；下一次插入gain，算得它与game的距离为2，于是放在编号为2的边下。再下次插入gate，它与game距离为1，于是沿着那条编号为1的边递归下去，递归地插入到fame所在子树；gate与fame的距离为2，于是把gate放在fame节点下，边的编号为2。
81.每个节点有任意个子节点，每条边有个值表示编辑距离。所有子节点到父节点的边上标注n表示编辑距离恰好为n。
82.莱文斯坦距离，又称levenshtein距离，是编辑距离的一种，指两个字串之间，由一个转成另一个所需的最少编辑操作次数。允许的编辑操作包括：
83.1、将一个字符替换成另一个字符。
84.2、插入一个字符。
85.3、删除一个字符。
86.每经过一种操作编辑距离+1，当然也能够根据实际需求设定不同的权值。例如，从cute到cat，需要将u替换为a，删除e，因此它的最短编辑距离为2。
87.可选地，本发明中获取营业员的操作数据，并对营业员的操作数据进行分析，具体分析过程如下：
88.s1:数据记录的获取及数据提取。
89.获取营业员在一定时间段t内的操作数据，筛选出认证失败的记录，数据如表1所示，提取出特定号码的操作记录，每一条数据包括营业员工号，被探测电话号码，认证结果、认证失败密码以及操作时间。本实施例中设置t为3个月。
90.表1筛选出的认证失败的数据记录
91.操作员电话号码错误原因错误密码操作时间000115536896724认证错误8967242020-6-17 9:50:00000115536896724认证错误6896722020-6-17 9:50:10000115536896724认证错误1553682020-6-17 9:51:20000115536896724认证错误5368962020-6-17 9:51:21000115536896724认证错误2553682020-6-17 9:51:50000115536896724认证错误5368972020-6-17 9:52:05000115536896724认证错误7967252020-6-17 9:52:15000115536896724认证错误7896732020-6-17 9:52:22000115536896724认证错误2553672020-6-17 9:52:25000115536896724认证错误1111112020-6-17 9:52:40000115536896724认证错误6543212020-6-17 9:52:42000115536896725认证错误8967252020-6-17 9:52:45000115536896725认证错误3689672020-6-17 9:53:00000115536896725认证错误5536892020-6-17 9:53:08000115536896725认证错误3689612020-6-17 9:53:16
000115536896725认证错误8967262020-6-17 9:53:24000115536896725认证错误5536872020-6-17 9:53:32000115536896725认证错误1553682020-6-17 9:53:40000115536896725认证错误5368962020-6-17 9:53:48000115536896725认证错误6896722020-6-17 9:53:56000115536896725认证错误6896712020-6-17 9:54:05000115536896725认证错误3689662020-6-17 9:54:11000115536896725认证错误3689672020-6-17 9:54:17000115536896725认证错误0000002020-6-17 9:54:23000115536896725认证错误1111112020-6-17 9:54:29000115536896725认证错误8888882020-6-17 9:54:35000115536896725认证错误1234562020-6-17 9:54:41000115536896725认证错误6543212020-6-17 9:54:47
92.s2：bk-tree算法建模，对营业员的操作数据进行处理。
93.采用bk-tree算法对其操作数据进行探测行为的数据提取，以获得不同营业员的探测行为数据集s。
94.图5是本发明提供的不同营业员的探测行为数据集的构建过程示意图，如图5所示，依据本发明的一个方面，所述采用bk-tree算法对其操作数据进行探测行为的数据提取获得不同营业员的探测行为数据集s，具体过程如下：
95.s2.1：简单规律的密码记录提取。
96.在获取到数据以后，提取出具有简单规律的密码记录放到集合s里，简单规律包括如具有简单顺序的密码(如123456)、简单重合的密码(如000000)等，该数据包括营业员工号、被探测手机号、探测失败密码以及探测时间。在本实施例中，对于电话号码15536896724，将(0001，15536896724，认证错误，111111，2020-6-17 9:52:40)以及(0001，15536896724，认证错误，654321，2020-6-17 9:52:42)放入集合s中。
97.s2.2：bk-tree根节点的确定。
98.图6是本发明提供的bk-tree的构造过程示意图，如图6所示，将具有简单规律的密码放到集合s里面以后，开始进行bk-tree的构造，将被探测的电话号码作为根节点。
99.在本实施例中将电话号码15536896724作为根节点。
100.s2.3：计算levenshtein距离以及子节点的确定。计算探测密码与根节点的levenshtein距离：如果这个距离值是该节点处第一次出现，建立一个新的子节点；否则沿着对应的边递归下去。在本实施例中，认证失败密码896724、689672、155368、536896、255368、536897、796725、789673、255367于电话号码的15536896724的levenshtein距离分别为：5、5、5、5、6、6、7、7、7。
101.关于营业员0001对于号码15536896724的操作行为数据构造的bk-tree如图6所示。
102.s2.4：筛选相似记录。筛选与根节点的levenshtein距离在阈值n内的记录，即查找d≤n范围内的子树，并将节点相关数据记录放到集合s里，集合s为每一个营业员建立的探测行为数据集。
103.在本实施例中设置n＝5，则对于号码15536896724来说，符合条件的相关数据记录如表2所示。
104.表2符合条件的相关数据记录
105.000115536896724认证错误8967242020-6-17 9:50:00000115536896724认证错误6896722020-6-17 9:50:10000115536896724认证错误1553682020-6-17 9:51:20000115536896724认证错误5368962020-6-17 9:51:21
106.将该4条记录放到对应营业员的操作集合s里。
107.s2.5：对该营业员的关于其他号码的探测行为数据进行如步骤s2.1-s2.4的处理。
108.s2.6：对所有需要监控的营业员的操作数据进行如步骤s2.1-s2.5的处理，得到不同的营业员的探测行为数据集s。
109.s3：获取探测规律。
110.采用二分k-means算法对该探测数据集进行聚类分析，得到不同营业人员的探测行为探测规律，如不同营业员密码探测行为的探测频率。
111.s4：风险等级确定。
112.根据步骤s3的分析结果，确定不同营业员的风险等级；风险等级包括：高、中高、中、中低、低五种。
113.例如，可以根据探测频率确定风险等级，探测频率越高风险等级越高，探测频率越低风险等级越低。
114.s5：风险防控。
115.根据步骤s4的风险等级，对不同风险等级的营业员进行账号权限的设定，不同风险等级的营业员设置不同的权限，必要时进行账号的锁定，减少违规操作风险。
116.本发明通过利用bk-tree算法对营业员违规密码探测行为数据的提取，以及利用二分k-means算法得到探测行为的规律，可以对营业员的探测行为进行系统的分析，能有效的发现密码探测行为，节省人力，提升效率。
117.本发明确定营业员的风险等级，并针对不同的风险等级确定营业员的权限，故本发明可以对营业员违规的密码探测行为进行精准的防控。
118.图7是本发明提供的密码探测行为监控装置的结构示意图，如图7所示，本技术实施例提供一种密码探测行为监控装置，具体包括获取模块701、第一确定模块702和第二确定模块703，其中：
119.获取模块701用于获取营业员在预设时间段内的密码探测认证失败的数据记录；第一确定模块702用于采用bk-tree算法对所有的数据记录进行探测行为的数据提取，确定不同营业员的探测行为数据集；第二确定模块703用于对所述探测行为数据集中的数据进行聚类分析，确定不同营业员的探测行为探测规律。
120.本技术实施例提供的密码探测行为监控装置，可以用于执行上述相应实施例中所述的方法，通过本实施例提供的装置执行上述相应实施例中所述方法的具体步骤与上述相应实施例相同，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
121.图8是本发明提供的电子设备的结构示意图，如图8所示，该电子设备可以包括：处
理器(processor)810、通信接口(communications interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行密码探测行为监控方法，该方法包括：获取营业员在预设时间段内的密码探测认证失败的数据记录；
122.采用bk-tree算法对所有的数据记录进行探测行为的数据提取，确定不同营业员的探测行为数据集；
123.对所述探测行为数据集中的数据进行聚类分析，确定不同营业员的探测行为探测规律。
124.此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
125.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的密码探测行为监控方法，该方法包括：获取营业员在预设时间段内的密码探测认证失败的数据记录；
126.采用bk-tree算法对所有的数据记录进行探测行为的数据提取，确定不同营业员的探测行为数据集；
127.对所述探测行为数据集中的数据进行聚类分析，确定不同营业员的探测行为探测规律。
128.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的密码探测行为监控方法，该方法包括：获取营业员在预设时间段内的密码探测认证失败的数据记录；
129.采用bk-tree算法对所有的数据记录进行探测行为的数据提取，确定不同营业员的探测行为数据集；
130.对所述探测行为数据集中的数据进行聚类分析，确定不同营业员的探测行为探测规律。
131.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
132.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该
计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
133.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。