基于网站行为事件响应的网络身份识别方法及装置与流程

1.本发明涉及互联网技术领域，更具体地说，涉及基于网站行为事件响应的网络身份识别方法及装置。


背景技术：

2.随着互联网的高速发展，网络安全也越来越被企业重视。一些恶意请求会伪装成正常用户，来不断的获取网站资源或对网站进行高频访问等恶意操作。而目前流行的用户识别的方式，大多是采用生物识别技术，例如：面部、虹膜、指纹、声音、脉搏等生物特征采样来识别；还有一些基于口令等验证方式的，例如：密码验证、usbkey等强口令验证。还有一类是基于权威第3方的认知机构，例如微信登录、短信或邮箱验证码的方式来确认用户信息。这一类强校验机制，如果关关设卡、频繁验证会导致用户体验不佳，也有些会因为采集信息过于私密而用户拒绝配合。


技术实现要素：

3.本发明要解决的技术问题在于，提供一种基于网站行为事件响应的网络身份识别方法及装置。
4.本发明解决其技术问题所采用的技术方案是：构造一种基于网站行为事件响应的网络身份识别方法，包括步骤：
5.s1、在用户的网页操作过程中，获取所述用户在当前网页操作的当前操作节点；
6.s2、获取所述用户在所述当前操作节点的操作数据和所述当前操作节点的第一预设数据范围，判断所述操作数据是否满足所述第一预设数据范围，若是执行步骤s3，否则执行步骤s5，其中，所述第一预设数据范围根据所述当前操作节点的属性进行预先设置；
7.s3、获取所述当前操作节点对应的当前操作事件，并获取所述当前操作事件对应的第二预设数据范围和所述用户在所述当前网页操作之前的第一预设时长内与所述当前操作事件对应的第一事件数据，判断所述第一事件数据是否满足所述第二预设数据范围，若是，执行步骤s4，否则执行步骤s5，其中，所述第二预设数据范围根据第二预设时长内、所有用户的与所述当前操作事件对应的历史事件数据获得；
8.s4、获取所述用户对所述网页的历史操作行为，根据所述历史操作行为获取所述用户与所述网页对应的所有历史操作事件，并根据所述所有历史操作事件获取所述用户的与所述网页对应的第三预设数据范围，判断所述当前操作事件对应的第二事件数据是否满足所述第三预设数据范围，若是，执行步骤s1，否则执行步骤s5；
9.s5、生成验证信息，以提示用户进行操作，并获取所述用户基于所述验证信息的响应信息，根据所述响应消息判断所述用户是否验证通过，并在所述验证不通过时识别所述用户为伪用户。
10.优选地，在本发明的一种基于网站行为事件响应的网络身份识别方法中，在所述步骤s2中，所述操作数据为操作时间，所述第一预设数据范围为第三预设时长。
11.优选地，在本发明的一种基于网站行为事件响应的网络身份识别方法中，在所述步骤s3中，所述第一事件数据包括事件发生持续时长、事件发生间隔时长和事件发生频率，所述第二预设数据范围包括预设事件发生持续时长、预设事件发生间隔时长和预设事件发生频率。
12.优选地，在本发明的一种基于网站行为事件响应的网络身份识别方法中，还包括：
13.s41、预设获取若干等级及其对应的第三预设数据范围；
14.s42、根据所述历史操作事件获取所述用户对应的历史等级；
15.s43、根据所述当前操作事件对应的第二事件数据判断所述用户的当前等级，判断所述当前等级相对于所述历史等级是否发生跳变，若是，则执行步骤s5，否则执行步骤s1。
16.优选地，在本发明的一种基于网站行为事件响应的网络身份识别方法中，所述若干等级包括等级依次增加的初级用户、中级用户、高级用户、忠实用户和骨灰级用户；和/或
17.所述第二事件数据包括事件发生频率、事件发生对象和事件发生方式。
18.优选地，在本发明的一种基于网站行为事件响应的网络身份识别方法中，还包括：
19.获取所述用户对应的当前事件发生位置，判断所述当前事件发生位置是否超过预设数量，若是，则执行步骤s5，否则执行步骤s1。
20.优选地，在本发明的一种基于网站行为事件响应的网络身份识别方法中，还包括：
21.获取最近一次的历史验证信息生成时间，以获取距离该历史验证信息生成时间的间隔时长；
22.在所述间隔时长大于一预设值时，在所述步骤s5中，所述生成验证信息包括：生成第一预设验证信息；
23.在所述间隔时长小于或等于所述预设值时，在所述步骤s5中，所述生成验证信息包括：获取历史验证信息，以生成与所述历史验证信息不同的第二预设验证信息。
24.优选地，在本发明的一种基于网站行为事件响应的网络身份识别方法中，还包括：
25.按照安全等级从低到高设置若干预设验证信息，所述第一预设验证信息为最低安全等级，所述第二预设验证信息的安全等级高于所述历史验证信息的安全等级。
26.优选地，在本发明的一种基于网站行为事件响应的网络身份识别方法中，所述按照安全等级从低到高设置若干预设验证信息包括：按照从低到高的顺序依次为图片验证信息、短信验证信息、注册邮箱验证信息。
27.优选地，在本发明的一种基于网站行为事件响应的网络身份识别方法中，还包括，在所述间隔时长小于或等于所述预设值时，且所述历史验证信息为最高安全等级的预设验证信息时禁用所述用户。
28.本发明还构造一种基于网站行为事件响应的网络身份识别装置，包括：
29.第一获取单元，用于在用户的网页操作过程中，获取所述用户在当前网页操作的当前操作节点；
30.第二获取单元，用于获取所述用户在所述当前操作节点的操作数据和所述当前操作节点的第一预设数据范围，其中，所述第一预设数据范围根据所述当前操作节点的属性进行预先设置；
31.第一判断单元，用于判断所述操作数据是否满足所述第一预设数据范围，若是，则输出肯定结果，否则，输出否定结果；
32.第三获取单元，用于获取所述当前操作节点对应的当前操作事件，并获取所述当前操作事件对应的第二预设数据范围和所述用户在所述当前网页操作之前的第一预设时长内与所述当前操作事件对应的第一事件数据，其中，所述第二预设数据范围根据第二预设时长内、所有用户的与所述当前操作事件对应的历史事件数据获得；
33.第二判断单元，用于判断所述第一事件数据是否满足所述第二预设数据范围，若是则输出肯定结果，否则输出否定结果；
34.第四获取单元，用于获取所述用户对所述网页的历史操作行为，根据所述历史操作行为获取所述用户与所述网页对应的所有历史操作事件，并根据所述所有历史操作事件获取所述用户的与所述网页对应的第三预设数据范围；
35.第三判断单元，用于判断所述当前操作事件对应的第二事件数据是否满足所述第三预设数据范围，若是则输出肯定结果，否则输出否定结果；
36.验证单元，用于生成验证信息，以提示用户进行操作，并获取所述用户基于所述验证信息的响应信息，根据所述响应消息识别所述用户是否为伪用户。
37.实施本发明的一种基于网站行为事件响应的网络身份识别方法及装置，具有以下有益效果：能够实现基于行为响应快速识别伪用户行为。
附图说明
38.下面将结合附图及实施例对本发明作进一步说明，附图中：
39.图1是本发明一种基于网站行为事件响应的网络身份识别方法一实施例的程序流程图；
40.图2是本发明一种基于网站行为事件响应的网络身份识别方法另一实施例的程序流程图；
41.图3是本发明一种基于网站行为事件响应的网络身份识别装置一实施例的逻辑框图。
具体实施方式
42.为了对本发明的技术特征.目的和效果有更加清楚的理解，现对照附图详细说明本发明的具体实施方式。
43.如图1所示，在本发明的基于网站行为事件响应的网络身份识别方法第一实施例中，包括步骤：s1、在用户的网页操作过程中，获取用户在当前网页操作的当前操作节点；具体的，在用户对网页操作过程中，基于用户的操作网页会对应的进行响应，定义用户操作行为为事件，并将网页对应的响应定义为基于该事件生成的对应的事件响应。网站对用户身份的识别过程是实时的进行，其在用户在网页操作过程中，实时的监测用户的操作行为所对应的操作节点。其中网页的操作节点为根据网站特性进行事先建立。例如，用户进行网站登录时，即对应一网页操作的操作节点。用户进行网站附件下载时，其对应另一网页操作的操作节点。对用户当前进行的动作，网页根据用户操作得到其当前操作节点。
44.s2、获取用户在当前操作节点的操作数据和当前操作节点的第一预设数据范围，判断操作数据是否满足第一预设数据范围，若是执行步骤s3，否则执行步骤s5，其中，第一预设数据范围根据当前操作节点的属性进行预先设置；具体的，对用户的当前动作获取其
在当前操作节点对应的操作数据。基于该单个操作动作的操作数据判断当前的用户操作是否正常，其在对当前用户操作不正常时或者理解当前操作数据不正常时，则可以对当前用户的身份产生怀疑，直接进行后面的验证动作，对用户的身份进行判定。若该用户在该单个操作节点的操作正常，则可以继续执行后面的确认动作。其中超出第一预设数据范围可以理解为高于门限最大值，或低于门限最少值。
45.在一实施例中，在步骤s2中，操作数据为操作时间，第一预设数据范围为第三预设时长。即，当前用户在当前操作节点的操作数据包括时间数据即操作时间。同时，可以根据该网页特性设置该当前操作节点对应的门限值即第三预设时长。在当前用户在当前操作节点的操作时间超出该第三预设时长范围时，对当前用户的身份产生怀疑。例如，一个基于表单提交的页面，页面从访问到页面元素加载完成2秒，表单各项数据填充5秒，那么提交此类表单的最短时长7秒。如果系统检测到同一个用户，提交此类表单的时间间隔小于7秒，即，其在表格操作节点的操作时间明显的小于该操作节点正常的操作时间，则将该用户对表格操作数据列为可疑数据。通过该动作可以识别伪用户通过表单提交等方式来攻击服务器，其最常见的有高频提交无效数据实现论坛帖子攻击。其也可以识别出一些恶意用户采用类似于数据提前准备好，高频调用提交的接口来达到攻击的目的的行为。此策略为客观事件响应时长，形成一类审核标准。通过上述过程可以实现建立页面事件时长响应机制，并对网站页面预埋点页面元素展示、提交及事件响应时长记录，为大数据分析做数据收集，以响应时间为分析维度进行用户行为分析。
46.s3、获取当前操作节点对应的当前操作事件，并获取当前操作事件对应的第二预设数据范围和用户在当前网页操作之前的第一预设时长内与当前操作事件对应的第一事件数据，判断第一事件数据是否满足第二预设数据范围，若是，执行步骤s4，否则执行步骤s5，其中，第二预设数据范围根据第二预设时长内、所有用户的与当前操作事件对应的历史事件数据获得；具体的，在对操作过程进行分析后，基于该操作过程声测操作事件进行分析。即用户的每个操作过程其目的均为完成一事件，该事件可以基于网页的执行目的进行划分。例如，基于表格填写操作的目的为完成与表格对应的文档下载。例如其下载某一器件的规格书，其基于表格(可以为虚拟的表格，即在网页内部程序中为数据表格形式)关键词填写的目的是完成器件的规格书下载这一操作事件。基于该操作事件的事件数据和事先设置的门限值来判断该操作事件是否异常，当判断该事件发生异常时，则可以对当前用户的身份产生怀疑，直接进行后面的验证动作，对用户的身份进行判定。若该用户当前操作的事件判定为正常时，则可以继续执行后面的确认动作。其中，其中超出第二预设数据范围可以理解为高于门限最大值，或低于门限最少值。其中，门限值是根据所有用户在一段时间内对应的事件发生的事件数据设置的。即将通用的事件发生数据作为评判单个用户的事件发生数据是否异常的评判标准。
47.在一实施例中，在步骤s3中，第一事件数据包括事件发生持续时长、事件发生间隔时长和事件发生频率，第二预设数据范围包括预设事件发生持续时长、预设事件发生间隔时长和预设事件发生频率。具体的，上述对当前操作事件判断的过程可以基于当前发生事件的持续时长，事件发生的间隔时长和事件发生的频率分别建立门限值进行判断。其门限值的建立是以收集到的、正常用户对应的该事件发生的持续时长、发生间隔时长和发生频率。其可以理解为，该过程为基于网站用户的实际数据，对各个页面事件数据进行采样收
集。例如每个用户的页面请求加载时长、访问间隔时间、平均持续时间、不同页面跳转切换的频率、常规session会话有效时间等。采样大数据聚类算法对样本数据进行分析，识别通用用户的数据范围，并周期性的制订出正常用户各个页面各事件响应的平均时长标准。利用全局的这个标准，实时监控在线用户的行为数据，若超出此标准范围，可列为可疑数据。例如：一个基于文档下载的网站，平均一个在线用户在一天下载文档在3-5篇，最多在1个小时同时下载3篇，若系统监控到某一个在线用户，远远超过这个阈值，则认为可疑数据即该是事件的发生可疑。通过该过程可以理解为基于通常用户人的行为事件标准来区分特殊个例。
48.s4、获取用户对网页的历史操作行为，根据历史操作行为获取用户与网页对应的所有历史操作事件，并根据所有历史操作事件获取用户的与网页对应的第三预设数据范围，判断当前操作事件对应的第二事件数据是否满足第三预设数据范围，若是，执行步骤s1，否则执行步骤s5；具体的，在基于用户操作事件与通用用户操作事件的差异进行分析后，其还可以基于用户自己的操作行为进行分析，即可以对每个注册用户进行用户画像，记录该用户的历史行为数据。基于长期的数据收集，定义用户的行为习惯。基于全局网站的用户行为数据，按页面功能划分用户业务数据交互的范围，按不同的范围，将用户进行分组管理。一旦某个用户，在某一个特定的使用场景交互频率、方式与该范围不匹配时，则列为可疑数据。其中超出第三预设数据范围可以理解为高于门限最大值，或低于门限最少值。
49.可选的，如图2所示，本发明的基于网站行为事件响应的网络身份识别方法中，还包括：s41、预设获取若干等级及其对应的第三预设数据范围；s42、根据历史操作事件获取用户对应的历史等级；s43、根据当前操作事件对应的第二事件数据判断用户的当前等级，判断当前等级相对于历史等级是否发生跳变，若是，则执行步骤s5，否则执行步骤s1。具体的，在基于用户的历史行为操作行为对其当前操作行为进行判断的过程中，其可以先基于网站特性对用户行为进行等级划分并对每一等级分别设置对应的门限值即第三预设数据范围。基于用户的历史操作事件对该用户进行等级确认，得到用户的等级，根据用户的当前操作事件对应的事件数据确认用户的当前等级，判断其当前等级相对于历史等级是否发生跳变。该跳变可以理解为当前等级与历史等级之间的差异相差至少一个中间等级。一旦发生跳变，则可以判断对当前用户身份产生怀疑，其可以对用户进行身份验证。
50.在一实施例中，若干等级包括等级依次增加的初级用户、中级用户、高级用户、忠实用户和骨灰级用户；其基于判断的数据信息即第二事件数据包括事件发生频率、事件发生对象和事件发生方式。例如，在某个视频播放网站，可以按用户登录的频次及播放时长将用户划分初级用户、中级用户、高级用户、忠实用户、骨灰级用户等。如果一个初级用户在短期某一天或某几天活跃交互在骨灰级用户范畴，则系统判为可疑数据，可能密码泄露或恶意攻击，占用网站流量。通过该过程可以实现将物以类聚，人以群分的策略，划定人的行为习惯，和网站交互的时间、时长等范围，来达到识别用户。
51.可选的，本发明的基于网站行为事件响应的网络身份识别方法中，还包括：获取用户对应的当前事件发生位置，判断当前事件发生位置是否超过预设数量，若是，则执行步骤s5，否则执行步骤s1。即对用户的操作行为发生的位置进行判定，基于网络，其该位置可以理解为网络ip和网络终端，在发生位置的数量多余预设数量，即多个终端或多个ip同时进行操作时，其对终端或ip的数量进行判断，确实是否为异常操作，以确认是否对用户身份产
生怀疑。
52.s5、生成验证信息，以提示用户进行操作，并获取用户基于验证信息的响应信息，根据响应消息判断用户是否验证通过，并在验证不通过时识别用户为伪用户。具体的，在基于上面的过程中，在对用户的身份产生怀疑时生成验证信息，提示用户进行验证操作，获取用户基于该验证信息的响应信息，根据响应信息判断用户是否验证通过，在判断用户验证不通过时，判定该用户为伪用户。可以理解，基于响应信息判断用户是否验证通过的过程可以通过判断获取的响应信息是否为预设响应信息或者是否满足预设的条件。若在网站采用的识别策略后认为是恶意攻击，则可以开启自我保护策略，通过限流、延缓提交、甚至直接禁言用户或者ip等。
53.可选的，本发明的基于网站行为事件响应的网络身份识别方法中，还包括：获取最近一次的历史验证信息生成时间，以获取距离该历史验证信息生成时间的间隔时长；在间隔时长大于一预设值时，在步骤s5中，生成验证信息包括：生成第一预设验证信息；在间隔时长小于或等于预设值时，在步骤s5中，生成验证信息包括：获取历史验证信息，获取历史验证信息，以生成与历史验证信息不同的第二预设验证信息。具体的，在生成验证消息之前，还对最近一次的历史验证信息生成时间进行判断。当历史验证信息生成的时间距离当前的时间间隔很长，即大于预设值，则可以判定该用户没有出现异常，对当前的异常行为可以基于一般的验证过程，即生成第一预设验证信息，并基于该验证信息执行步骤s5，进行用户验证。当历史验证信息生成的时间距离当前的时间间隔较短，即小于或等于预设值，则认为该用户身份异常较为频繁，验证过程频繁，此时可以生成不同的验证信息例如高一层级的验证信息，即生成与历史验证信息其不同的第二预设验证信息。
54.可选的，本发明的基于网站行为事件响应的网络身份识别方法中，还包括：按照安全等级从低到高设置若干预设验证信息，第一预设验证信息为最低安全等级，第二预设验证信息的安全等级高于历史验证信息的安全等级。具体的，预先网站所采用的验证信息为多个，其中可以按照验证信息和验证过程的安全等级对多个验证信息进行排序。其在通常情况下采用安全等级最低的验证信息对用户进行验证。一旦验证过程较为频繁时，则采用安全等级较高的验证信息对用户进行验证识别。
55.在一实施例中，按照安全等级从低到高设置若干预设验证信息包括：按照从低到高的顺序依次为图片验证信息、短信验证信息、注册邮箱验证信息；具体的，针对可疑数据，网站逐步用不同方式来验证用户的可信度，识别是否为伪用户。例如：一旦出现可疑数据时，系统出现图片验证码等简易识别是人还是机器，短信验证码，注册邮箱验证等逐步加大识别用户的能力。验证方式可以多种，但都是基于用户交互层面的。
56.可选的，本发明的基于网站行为事件响应的网络身份识别方法中，还包括：在间隔时长小于或等于预设值时，且历史验证信息为最高安全等级的预设验证信息时禁用用户。具体的，一旦在发生用户频繁验证，且用户的验证信息已经进行过最高级别的验证，此时可以判定该用户为恶意用户，可以直接暂时禁用该用户。
57.通过本发明描述的上述过程，其不需要采用生物采样和验证口令等强制手段，而是基于行为事件响应等一系列策略来识别身份。同时系统会根据用户实时行为进行分析，动态监控，动态识别，动态验证。实现从浅入深的验证方式，在保障用户体验的基础上，达到识别网络身份的目的。其能够在保证网站安全使用的情况使得用户使用体验度更高。
58.如图3所示，本发明的一种基于网站行为事件响应的网络身份识别装置，包括：
59.第一获取单元111，用于在用户的网页操作过程中，获取用户在当前网页操作的当前操作节点；
60.第二获取单元112，用于获取用户在当前操作节点的操作数据和当前操作节点的第一预设数据范围，其中，第一预设数据范围根据当前操作节点的属性进行预先设置；
61.第一判断单元121，用于判断操作数据是否满足第一预设数据范围，若是，则输出肯定结果，否则，输出否定结果；
62.第三获取单元113，用于获取当前操作节点对应的当前操作事件，并获取当前操作事件对应的第二预设数据范围和用户在当前网页操作之前的第一预设时长内与当前操作事件对应的第一事件数据，其中，第二预设数据范围根据第二预设时长内、所有用户的与当前操作事件对应的历史事件数据获得；
63.第二判断单元122，用于判断第一事件数据是否满足第二预设数据范围，若是则输出肯定结果，否则输出否定结果；
64.第四获取单元114，用于获取用户对网页的历史操作行为，根据历史操作行为获取用户与网页对应的所有历史操作事件，并根据所有历史操作事件获取用户的与网页对应的第三预设数据范围；
65.第三判断单元123，用于判断当前操作事件对应的第二事件数据是否满足第三预设数据范围，若是则输出肯定结果，否则输出否定结果；
66.验证单元130，用于生成验证信息，以提示用户进行操作，并获取用户基于验证信息的响应信息，根据响应消息识别用户是否为伪用户。
67.具体的，这里的基于网站行为事件响应的网络身份识别装置各单元之间具体的配合操作过程具体可以参照上述基于网站行为事件响应的网络身份识别方法，这里不再赘述。
68.可以理解的，以上实施例仅表达了本发明的优选实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制；应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，可以对上述技术特点进行自由组合，还可以做出若干变形和改进，这些都属于本发明的保护范围；因此，凡跟本发明权利要求范围所做的等同变换与修饰，均应属于本发明权利要求的涵盖范围。