一种基于特殊业务场景的异常访问行为检测方法及装置与流程

本技术涉及数据安全，尤其涉及一种基于特殊业务场景的异常访问行为检测方法及装置。

背景技术：

1、在面向大量用户开放的工业品电商平台中，用户可以分为个人账户和企业账户；个人账户和企业账户对应的信息数据、消费内容通常存在较大差别，但现有电商平台对访问的异常用户的检测并未对其进行区分，而是以相同的检测标准识别登录的所有账户，这会非常容易出现错检、漏检，导致异常用户访问的识别不够精确。

技术实现思路

1、本技术提供了一种基于特殊业务场景的异常访问行为检测方法及装置，能够适用于有多种登录账户类型的特殊业务场景下，实现了对不同类型的访问用户的精准异常检测。

2、第一方面，本技术实施例提供了一种基于特殊业务场景的异常访问行为检测方法，包括：

3、获取访问用户的网络流量数据并执行第一检测流程，得到第一检测结果；

4、若第一检测结果无异常，则判断访问用户是否存在登录信息；

5、若存在，则确定登录信息的账户类型；

6、若账户类型为个人用户，则获取访问用户的用户身份信息、历史购物数据、银行交易信息和行为日志数据，并执行第二检测流程；

7、若账户类型为企业用户，则获取访问用户的银行交易信息、企业年报数据、法律风险信息和经营风险信息，并执行第三检测流程。

8、进一步的，上述获取访问用户的网络流量数据并执行第一检测流程，得到第一检测结果，包括：

9、将网络流量数据输入训练好的加密分析模型，得到加密检测结果；

10、提取网络流量数据的数据包特征；

11、将数据包特征输入训练好的流量分类模型，得到流量分类结果；

12、根据加密检测结果、流量分类结果和预设异常标准得到第一检测结果。

13、进一步的，加密分析模型包括决策树，决策树采用iscxvpn-nonvpn公开数据集训练。

14、进一步的，流量分类模型为k-最邻近分类模型，k-最邻近分类模型采用scx-ids-2012公开数据集和cic-ids-2017公开数据集训练。

15、进一步的，用户身份信息包括访问用户的手机号和ip地址。

16、进一步的，银行交易信息包括跨境汇兑交易、单笔交易金额、银行账户户籍、银行开卡时间、银行开卡地址、私人账户交易、中转交易信息和交易对象统计数据。

17、进一步的，上述获取访问用户的用户身份信息、历史购物数据、银行交易信息和行为日志数据，并执行第二检测流程，包括：

18、对历史购物数据进行大数据分析，得到访问用户的消费信用评分；

19、根据用户身份信息和银行交易信息得到金融风险评分；

20、根据行为日志数据得到访问用户的行为异常评分；

21、根据预设权重系数对消费信用评分、金融风险评分和行为异常评分进行加权计算，得到访问用户的异常访问评级。

22、进一步的，上述根据用户身份信息和银行交易信息得到访问用户的金融风险评分，包括：

23、将用户身份信息和银行交易信息输入训练好的孤立森林模型进行分析，得到访问用户的异常交易数据；根据异常交易数据和预设评分标准得到金融风险评分。

24、进一步的，上述根据行为日志数据得到访问用户的行为异常评分，包括：

25、计算行为日志数据对应各种预设业务场景的贝叶斯平均值；

26、将各贝叶斯平均值输入对应预设业务场景的孤立森林模型，得到访问用户在各预设业务场景下的异常检测结果；根据各异常检测结果和初始分值得到行为异常评分。

27、进一步的，企业年报数据包括访问用户的融资信息、投资信息和财务数据。

28、进一步的，法律风险信息包括失信信息、限制高消费记录、诉讼案件、裁判文书、立案信息、法院公告、破产记录、开庭信息和司法拍卖纪录。

29、进一步的，经营风险信息包括行政处罚记录、欠税记录、劳动仲裁记录和财产清算记录。

30、进一步的，上述获取访问用户的银行交易信息、企业年报数据、法律风险信息和经营风险信息，并执行第三检测流程，包括：

31、根据银行交易信息和企业年报数据得到资金异常评分；

32、根据法律风险信息和预设评分标准得到法律异常评分；

33、根据经营风险信息和预设评分标准得到经营异常评分；

34、根据预设权重系数对资金异常评分、法律异常评分和经营异常评分进行加权计算，得到访问用户的异常访问评级。

35、进一步的，上述根据银行交易信息和企业年报数据得到资金风险评分，包括：

36、将银行交易信息和企业年报数据输入训练好的孤立森林模型进行分析，得到访问用户的异常交易数据；根据异常交易数据和预设评分标准得到资金风险评分。

37、第二方面，本技术实施例提供了一种基于特殊业务场景的异常访问行为检测装置，包括：

38、获取模块，用于获取访问用户的网络流量数据并执行第一检测流程，得到第一检测结果；

39、判断模块，用于在第一检测结果无异常时，判断访问用户是否存在登录信息；

40、确定模块，用于确定登录信息的账户类型；

41、个人检测模块，用于在账户类型为个人用户时，获取访问用户的用户身份信息、历史购物数据、银行交易信息和行为日志数据，并执行第二检测流程；

42、企业检测模块，用于在账户类型为企业用户时，获取访问用户的银行交易信息、企业年报数据、法律风险信息和经营风险信息，并执行第三检测流程。

43、进一步的，上述获取模块包括：

44、加密检测单元，用于将网络流量数据输入训练好的加密分析模型，得到加密检测结果；

45、特征提取单元，用于提取网络流量数据的数据包特征；

46、分类单元，用于将数据包特征输入训练好的流量分类模型，得到流量分类结果；

47、结果获取单元，用于根据加密检测结果、流量分类结果和预设异常标准得到第一检测结果。

48、进一步的，上述个人检测模块包括：

49、消费单元，用于对历史购物数据进行大数据分析，得到访问用户的消费信用评分；

50、金融单元，用于根据用户身份信息和银行交易信息得到金融风险评分；

51、行为单元，用于根据行为日志数据得到访问用户的行为异常评分；

52、个人评级单元，用于根据预设权重系数对消费信用评分、金融风险评分和行为异常评分进行加权计算，得到访问用户的异常访问评级。

53、进一步的，上述企业检测模块包括：

54、资金单元，用于根据银行交易信息和企业年报数据得到资金异常评分；

55、法律单元，用于根据法律风险信息和预设评分标准得到法律异常评分；

56、经营单元，用于根据经营风险信息和预设评分标准得到经营异常评分；

57、企业评级单元，用于根据预设权重系数对资金异常评分、法律异常评分和经营异常评分进行加权计算，得到访问用户的异常访问评级。

58、第三方面，本技术实施例提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时执行如上述任一实施例的基于特殊业务场景的异常访问行为检测方法的步骤。

59、第四方面，本技术实施例提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被执行时实现如上述任一实施例的基于特殊业务场景的异常访问行为检测方法的步骤。

60、综上，与现有技术相比，本技术实施例提供的技术方案带来的有益效果至少包括：

61、本技术实施例提供的一种基于特殊业务场景的异常访问行为检测方法，首先获取访问用户的网络流量数据并执行第一检测流程，得到第一检测结果；这一步主要是针对网页中未登录的游客进行检测和识别，若第一检测结果无异常，则判断访问用户是否存在登录信息，并根据登录信息的账户类型获取该访问用户的不同信息进行不同方式的检测。上述方法适用于有多种登录账户类型的特殊业务场景下，实现了对不同类型的访问用户的精准异常检测。