本发明涉及网络安全技术领域,尤其涉及一种异常设备识别方法、电子设备和介质。
背景技术:
设备农场是指多个移动终端固定在一个相同的地理位置区域,只安装单一类别的app,实现单一功能的设备,这些设备被称为异常设备。现有的异常设备识别技术中主要基于已有的异常设备相关数据来制定识别条件,然后基于所制定的识别条件识别异常设备,但是,现有的异常设备数据有限,仅基于单一的识别条件的识别异常设备的方法至少存在缺陷:存在错误识别、未识别的情况或者绕过规则的情况,特别是识别条件覆盖不到或者识别条件过于苛刻的情况,识别准确度低、识别率低;此外,现有的异常设备识别技术识别不够灵活,需要不断更新规则,工作量大,成本高。
技术实现要素:
本发明目的在于,提供一种异常设备识别方法、电子设备和介质,提高了识别异常设备的准确度和识别率。
根据本发明第一方面,提供了一种异常设备识别方法,包括:
每间隔预设的时间获取待识别设备的多个维度的数据信息;
根据所述待识别设备的多个维度的数据信息构建知识图谱;
基于所述知识图谱从所述待识别设备中识别异常设备。
根据本发明第二方面,提供一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行本发明第一方面所述的方法。
根据本发明第三方面,提供一种计算机可读存储介质,所述计算机指令用于执行本发明第一方面所述的方法。
本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明提供的一种异常设备识别方法、电子设备和介质可达到相当的技术进步性及实用性,并具有产业上的广泛利用价值,其至少具有下列优点:
本发明每间隔一段时间基于待识别设备的多个维度的数据信息构建知识图谱,能够主动地、全面地识别异常设备,提高了识别异常设备的准确度和识别率。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1为本发明实施例提供的异常设备识别流程图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种异常设备识别方法、电子设备和介质的具体实施方式及其功效,详细说明如后。
本发明实施例提供了一种异常设备识别方法,如图1所示,包括以下步骤:
步骤s1、每间隔预设的时间获取待识别设备的多个维度的数据信息;
其中,各个设备在不同的时间,对应的数据可能也会不同,因此可以每隔预设的时间来获取待识别设备的多个维度的数据信息来构建知识图谱。预设的时间可以根据识别需求以及设备的性能来具体设定。由于通过单个维度的数据很可能出现无法识别或者无法准确全面地识别的异常设备的情况,因此,可以通过多个维度的数据信息来识别,以提高异常设备识别的准确性,包括手机、平板电脑等终端。
步骤s2、根据所述待识别设备的多个维度的数据信息构建知识图谱;
步骤s3、基于所述知识图谱从所述待识别设备中识别异常设备。
本发明实施例所述方法每间隔一段时间基于待识别设备的多个维度的数据信息构建知识图谱,能够主动地、全面地识别异常设备,提高了识别异常设备的准确度。
作为一种示例,步骤s1中,所述多个维度的数据信息包括:设备信息、设备网络信息、设备位置信息和设备对应的应用程序(app)行为数据中的至少两种,其中,所述设备信息包括设备id。设备网络信息包括ip信息和wifi地址(wifimac)信息,当设备通过移动流量连接网络时,对应的设备网络信息是ip信息;当设备通过wifi连接网络时,对应的设备网络信息是wifimac信息。设备位置信息坐标信息和/或网格信息,网格信息优选为geohash。app行为数据包括app安装数据和app活跃数据。
作为一种示例,所述步骤s2具体包括:为每一待测设备构建一个中心节点,将每一维度的每一数据作为一个节点,将每一节点与所述中心节点之间的对应关系作为边,构建所述知识图谱。
知识图谱构建好以后,可以通过多种实施方式来识别异常设备,以下通过几个具体实施例来进一步说明:
实施例一、
由于在一些应用场景下,仅仅通过一类数据信息,设定一种识别条件来判断时,会出现识别准确度很低的现象,通过构建知识图谱,可以获取多个维度,多种识别条件下的数据来识别异常设备,步骤s3可包括:
步骤s31、遍历所述知识图谱;
步骤s32、从所述知识图谱获取待识别设备的中心节点对应的第一参数,基于所述第一参数判断所述中心节点对应的参数是否符合预设的第一判断条件,若符合,第一权重设置为a1,否则,设置为0;
步骤s33、从所述知识图谱获取待识别设备的中心节点对应的第二参数,基于所述第二参数判断所述中心节点对应的参数是否符合预设的第二判断条件,若符合,第二权重设置为a2,否则,设置为0;
…
步骤s3m、从所述知识图谱获取待识别设备的中心节点对应的第m参数,基于所述第m参数判断所述中心节点对应的参数是否符合预设的第m判断条件,若符合,第m权重设置为a1,否则,设置为0;
步骤s3m 1、将第一权重、第二权重…第m权重求和得到识别结果a;
步骤s3m 2、判断识别结果a是否高于预设的识别阈值,若是,则判断所述中心节点对应的待识别设备为异常设备。
作为一种示例,m等于4,
所述步骤s32包括:
获取第一预设时间段内所述待识别设备的中心节点关联的账户登录行为数量,若超过预设的第一阈值,则将第一权重设置为a1,否则设置为0;
所述步骤s33包括:
获取所述待识别设备的中心节点所连接的ip在第二预设时间段内所关联的账户数量,若超过预设的第二阈值,则将第二权重设置为a2,否则设置为0;
所述步骤s34包括:
获取所述待识别设备的中心节点所连接的wifimac在第三预设时间段内所关联的账户数量,若超过预设的第三阈值,则将其三权重设置为a3,否则设置为0;
所述步骤s35包括:
获取所述中心节点所连接的设备id在第四预设时间段内所关联的账户数量,若超过预设的第四阈值,则将第四权重设置为a4,否则设置为0;其中,所述第一预设时间段、第二预设时间段、第三预设时间段、第四预设时间段全部相同、部分相同或全部不同。
基于知识图谱,可以获取多维度的数据信息,从而可以设置多个是识别条件,并设定相应的权重,提高了异常设备的识别率和识别效率。
实施例二、
知识图谱建立好以后,可通过知识图谱获取大量的用于识别异常设备的参数,因此,可以通过知识图谱与机器学习相结合的方式来识别异常设备。
步骤s3中,所述基于所述知识图谱从所述待识别设备中识别异常设备,可包括:
步骤s311、遍历所述关联知识图,从所述关联知识图中提取预设的模型输入参数,所述模型输入参数包括:设备在预设时间段内关联账户的数量、与该设备位置所处预设位置范围内的设备数量、设备在同一ip关联用户的数量、设备所连接的同一设备id所关联的设备数量等,可以理解的是,上述模型输入参数信息仅为示例,其他可以识别异常设备的,可从知识图谱中获取的参数也适用于此。
步骤s312、为所提取的模型输入参数设置标签,进行有监督训练,所述标签包括异常设备和非异常设备,基于附带标签的模型输入参数进行分类-回归训练得到所述异常设备识别模型;
步骤s313、将待识别的设备对应的模型输入参数输入所述异常设备识别模型中识别异常设备。
通过步骤s311-步骤s313,可以基于多个维度的数据来获取模型输入参数,训练模型,提高异常设备识别的准确度和识别效率。
实施例三、
作为实施例二的一种变形,步骤s3中,所述基于所提取的模型输入参数训练得到异常设备识别模型,可包括:
步骤s321、遍历所述关联知识图,从所述关联知识图中提取预设的模型输入参数,所述模型输入参数包括:设备在预设时间段内关联账户的数量、与该设备位置所处预设位置范围内的设备数量、设备在同一ip关联用户的数量、设备所连接的同一设备id所关联的设备数量等,可以理解的是,上述模型输入参数信息仅为示例,其他可以识别异常设备的,可从知识图谱中获取的参数也适用于此。
步骤s322、将所提取的模型输入参数进行无监督的聚类训练,得到所述异常设备识别模型;
步骤s323、将待识别的设备对应的模型输入参数输入所述异常设备识别模型中识别异常设备。
通过步骤s321-步骤s323,可以基于多个维度的数据来获取模型输入参数,训练模型,提高异常设备识别的准确度和识别效率。
本发明实施例还提供一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行本发明实施例所述的异常设备识别方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机指令用于执行本发明实施例所述的异常设备识别方法。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
1.一种异常设备识别方法,其特征在于,包括:
步骤s1、每间隔预设的时间获取待识别设备的多个维度的数据信息;
步骤s2、根据所述待识别设备的多个维度的数据信息构建知识图谱;
步骤s3、基于所述知识图谱从所述待识别设备中识别异常设备。
2.根据权利要求1所述的方法,其特征在于,
所述多个维度的数据信息包括:设备信息、设备网络信息、设备位置信息和设备对应的app行为数据中的至少两种,其中,所述设备信息包括设备id,设备网络信息包括ip信息和wifimac信息,设备位置信息包括坐标信息和/或网格信息,app行为数据包括app安装数据和app活跃数据。
3.根据权利要求2所述的方法,其特征在于,
所述步骤s2包括:
为每一待测设备构建一个中心节点,将每一维度的每一数据作为一个节点,将每一节点与所述中心节点之间的对应关系作为边,构建所述知识图谱。
4.根据权利要求3所述的方法,其特征在于,
所述步骤s3包括:
步骤s31、遍历所述知识图谱;
步骤s32、从所述知识图谱获取待识别设备的中心节点对应的第一参数,基于所述第一参数判断所述中心节点对应的参数是否符合预设的第一判断条件,若符合,第一权重设置为a1,否则,设置为0;
步骤s33、从所述知识图谱获取待识别设备的中心节点对应的第二参数,基于所述第二参数判断所述中心节点对应的参数是否符合预设的第二判断条件,若符合,第二权重设置为a2,否则,设置为0;
…
步骤s3m、从所述知识图谱获取待识别设备的中心节点对应的第m参数,基于所述第m参数判断所述中心节点对应的参数是否符合预设的第m判断条件,若符合,第m权重设置为a1,否则,设置为0;
步骤s3m 1、将第一权重、第二权重…第m权重求和得到识别结果a;
步骤s3m 2、判断识别结果a是否高于预设的识别阈值,若是,则判断所述中心节点对应的待识别设备为异常设备。
5.根据权利要求4所述的方法,其特征在于,
m等于4,
所述步骤s32包括:
获取第一预设时间段内所述待识别设备的中心节点关联的账户登录行为数量,若超过预设的第一阈值,则将第一权重设置为a1,否则设置为0;
所述步骤s33包括:
获取所述待识别设备的中心节点所连接的ip在第二预设时间段内所关联的账户数量,若超过预设的第二阈值,则将第二权重设置为a2,否则设置为0;
所述步骤s34包括:
获取所述待识别设备的中心节点所连接的wifimac在第三预设时间段内所关联的账户数量,若超过预设的第三阈值,则将其三权重设置为a3,否则设置为0;
所述步骤s35包括:
获取所述中心节点所连接的设备id在第四预设时间段内所关联的账户数量,若超过预设的第四阈值,则将第四权重设置为a4,否则设置为0;
其中,所述第一预设时间段、第二预设时间段、第三预设时间段、第四预设时间段全部相同、部分相同或全部不同。
6.根据权利要求3所述的方法,其特征在于,
所述步骤s3包括:
步骤s311、遍历所述关联知识图,从所述关联知识图中提取预设的模型输入参数,所述模型输入参数包括:设备在预设时间段内关联账户的数量、与该设备位置所处预设位置范围内的设备数量、设备在同一ip关联用户的数量、设备所连接的同一设备id所关联的设备数量;
步骤s312、基于所提取的模型输入参数训练得到异常设备识别模型;
步骤s313、将待识别的设备对应的模型输入参数输入所述异常设备识别模型中识别异常设备。
7.根据权利要求6所述的方法,其特征在于,
所述步骤s312还包括:
为所提取的模型输入参数设置标签,所述标签包括异常设备和非异常设备,基于附带标签的模型输入参数进行分类-回归训练得到所述异常设备识别模型。
8.根据权利要求6所述的方法,其特征在于,
所述步骤s312还包括包括:
将所提取的模型输入参数进行聚类训练,得到所述异常设备识别模型。
9.一种电子设备,其特征在于,包括:
至少一个处理器;
以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行前述权利要求1-8任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行前述权利要求1-8中任一项所述的方法。
技术总结