一种帐号异常行为检测的方法及装置与流程

本技术涉及数据处理，特别涉及一种帐号异常行为检测的方法及装置。

背景技术：

1、账号作为信息系统的核心入口，往往遭受恶意攻击者围绕登录、改密等多环节实施的攻击。为了保护帐号安全，需要事先对账号的使用进行验证和防护，之后对账号使用中或使用后的行为进行检测，对疑似异常的行为进行告警触发再验证和告警处置。

2、现有技术中的账号行为异常检测方法，大多只关注帐号的异常登录，检测面较窄。且多为基于规则、单维度的检测方法，容易漏过不明显的异常行为，从而导致高级、隐蔽的账号异常行为仍容易绕过账号异常检测。因此，如何提高对帐号异常行为的检测能力，全面、准确地检测出高级和隐蔽的账号异常行为，成为了一个亟需解决的问题。

技术实现思路

1、基于上述问题，本技术提供了一种帐号异常行为检测的方法及装置，以提高对帐号异常行为的检测能力，全面、准确地检测出高级和隐蔽的账号异常行为。

2、本技术公开了一种帐号异常行为检测的方法，所述方法包括：

3、获取帐号的操作日志信息；

4、基于所述操作日志信息，获取目标特征和所述目标特征的值；

5、将所述目标特征的值根据所述目标特征的敏感度进行转换，并将转换结果拼接得到向量；

6、对所述向量进行聚类，得到聚类结果图，作为异常检测模型；

7、通过所述异常检测模型检测所述帐号是否存在异常行为。

8、可选的，所述操作日志信息包括城市信息、浏览器信息和操作事件信息，所述获取帐号的操作日志信息，包括：

9、获取第一预设时间段内所述帐号的操作日志；

10、基于所述操作日志中的源ip信息映射，得到所述城市信息；

11、基于所述操作日志中的浏览器标识映射，得到所述浏览器信息；

12、统计所述操作日志中的操作事件信息。

13、可选的，所述目标特征包括操作发起城市、操作发起浏览器、操作类别和每个所述操作类别的操作结果，所述目标特征的值包括操作发起城市的个数、操作发起浏览器的个数和获得操作结果的次数，所述基于所述操作日志信息，获取目标特征和所述目标特征的值，包括：

14、基于所述城市信息，获取所述操作发起城市和所述操作发起城市的个数；

15、基于所述浏览器信息，获取所述操作发起浏览器和所述操作发起浏览器的个数；

16、基于所述操作事件信息，获取所述操作类别和所述操作结果，以及所述获得操作结果的次数。

17、可选的，所述将所述目标特征的值根据所述目标特征的敏感度进行转换，并将转换结果拼接得到向量，包括：

18、根据所述目标特征的历史分布和所述目标特征的值，获取目标函数；所述目标函数为概率分布函数的逆函数；

19、设置所述目标特征的敏感度；

20、结合所述目标函数和所述敏感度，将所述目标特征的值转换，得到转换值；

21、将所述转换值拼接为向量。

22、可选的，所述根据所述目标特征的历史分布和所述目标特征的值，获取目标函数，包括：

23、根据第二预设时间段内的所述历史分布，获取所述目标特征发生的概率分布函数，和目标特征阈值；

24、基于所述概率分布函数，获取所述目标特征的值小于或的等于所述目标特征阈值时的概率；

25、获取所述概率与所述概率分布函数，得到所述概率分布函数的逆函数，作为所述目标函数。

26、可选的，述对所述向量进行聚类，得到聚类结果图，作为异常检测模型，包括：

27、对所述向量进行聚类训练，计算轮廓系数；

28、选择使所述轮廓系数最大化的圆半径参数和圆内最小样本参数，形成聚类结果图，作为异常检测模型。

29、可选的，所述通过所述异常检测模型检测所述帐号是否存在异常行为，包括：

30、将所述向量输入所述异常检测模型；

31、当所述操作类别为登录，且所述操作结果为操作失败，且所述获得操作结果的次数大于预设次数时，通过所述异常检测模型判断所述向量对应的帐号存在严重级别的异常行为；

32、去除所述严重级别的向量后，通过所述异常检测模型从剩余的向量中，检测所述帐号是否存在次严重级别、一般级别的异常行为。

33、基于上述一种帐号异常行为检测的方法，本技术还公开了一种帐号异常行为检测的装置，包括：操作日志信息获取单元、目标特征获取单元、转换单元、模型获取单元和异常行为检测单元；

34、所述操作日志信息获取单元，用于获取帐号的操作日志信息；

35、所述目标特征获取单元，用于基于所述操作日志信息，获取目标特征和所述目标特征的值；

36、所述转换单元，用于将所述目标特征的值根据所述目标特征的敏感度进行转换，并将转换结果拼接得到向量；

37、所述模型获取单元，用于对所述向量进行聚类，得到聚类结果图，作为异常检测模型；

38、所述异常行为检测单元，用于通过所述异常检测模型检测所述帐号是否存在异常行为。

39、可选的，所述操作日志信息包括城市信息、浏览器信息和操作事件信息，所述操作日志信息获取单元，包括：

40、操作日志获取子单元，用于获取第一预设时间段内所述帐号的操作日志；

41、城市信息获取子单元，用于基于所述操作日志中的源ip信息映射，得到所述城市信息；

42、浏览器信息获取子单元，用于基于所述操作日志中的浏览器标识映射，得到所述浏览器信息；

43、操作事件信息统计子单元，用于统计所述操作日志中的操作事件信息。

44、可选的，所述目标特征包括操作发起城市、操作发起浏览器、操作类别和每个所述操作类别的操作结果，所述目标特征的值包括操作发起城市的个数、操作发起浏览器的个数和获得操作结果的次数，所述目标特征获取单元，包括：

45、发起城市获取子单元，用于基于所述城市信息，获取所述操作发起城市和所述操作发起城市的个数；

46、发起浏览器获取子单元，用于基于所述浏览器信息，获取所述操作发起浏览器和所述操作发起浏览器的个数；

47、操作结果获取子单元，用于基于所述操作事件信息，获取所述操作类别和所述操作结果，以及所述获得操作结果的次数。

48、可选的，所述转换单元，包括：

49、目标函数获取子单元，用于根据所述目标特征的历史分布和所述目标特征的值，获取目标函数；所述目标函数为概率分布函数的逆函数；

50、敏感度设置子单元，用于设置所述目标特征的敏感度；

51、向量获取子单元，用于结合所述目标函数和所述敏感度，将所述目标特征的值转换，得到转换值；

52、拼接子单元，用于将所述转换值拼接为向量。

53、可选的，所述目标函数获取子单元，包括：

54、分布函数获取子单元，用于根据第二预设时间段内的所述历史分布，获取所述目标特征发生的概率分布函数，和目标特征阈值；

55、概率获取子单元，用于基于所述概率分布函数，获取所述目标特征的值小于或的等于所述目标特征阈值时的概率；

56、目标函数率获取子单元，用于获取所述概率与所述概率分布函数，得到所述概率分布函数的逆函数，作为所述目标函数。

57、可选的，所述模型获取单元，包括：

58、聚类训练子单元，用于对所述向量进行聚类训练，计算轮廓系数；

59、聚类结果图获取子单元，用于选择使所述轮廓系数最大化的圆半径参数和圆内最小样本参数，形成聚类结果图，作为异常检测模型。

60、可选的，所述异常行为检测单元，包括：

61、向量输入子单元，用于将所述向量输入所述异常检测模型；

62、严重异常判断子单元，用于当所述操作类别为登录，且所述操作结果为操作失败，且所述获得操作结果的次数大于预设次数时，通过所述异常检测模型判断所述向量对应的帐号存在严重级别的异常行为；

63、异常行为判断子单元，用于去除所述严重级别的向量后，通过所述异常检测模型从剩余的向量中，检测所述帐号是否存在次严重级别、一般级别的异常行为。

64、本技术公开了一种帐号异常行为检测的方法及装置。根据获取帐号的操作日志信息，基于操作日志信息，获取目标特征及其值。根据目标特征的敏感度，将目标特征的值转换拼接为向量。对向量进行聚类，得到聚类结果图，作为异常检测模型。通过异常检测模型检测帐号是否存在异常行为。针对不同目标特征，根据其敏感度，进行向量转换。通过对账号操作行为的分析和动态基线建模，得到异常检测模型，可发掘帐号偏离原有操作习惯模式的异常行为，提高检测能力。同时更合理地权衡各目标特征的表现，从而更全面、准确地检测出高级和隐蔽的账号异常行为。