本发明涉及网络安全领域,具体涉及一种基于账号体系的智能跟踪安全检测方法及系统。
背景技术:
互联网和物联网快速发展过程中,业务越来越多,越来越复杂,用户的权益和信息价值越来越高,业务安全的挑战也就越来越大。
随着攻击者手段加深,除了传统的漏洞攻击,出现了羊毛党、盗号党,他们暴力破解、批量注册以及盗取账号后进行非法刷积分、恶意下单等相关操作,来达到非法获利的目的。
而传统的安全防御手段,只能对访问链接中的攻击特征进行识别,无法识别这些看似正常的操作行为。
技术实现要素:
本发明的目的是提供一种基于账号体系的智能跟踪安全检测方法及系统,实现了对看似正常的操作行为的识别,提高了账户的安全性。
本发明采取如下技术方案实现上述目的,基于账号体系的智能跟踪安全检测方法,包括:
步骤(1)、对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
步骤(2)、建模完成之后,随机生成跟踪检测标签并与唯一标识进行对应绑定;
步骤(3)、跟踪检测标签对账号的登录信息以及操作行为进行全程跟踪检测和记录;
步骤(4)、将当前记录的信息与历史记录的信息进行对比分析,别出不符合规则及非法行为。
进一步的是,在步骤(1)中,所述对账号进行建模的具体方法包括:
步骤101、从账号注册或者登录开始,建立对应的账号模型,所述账号模型包含账号的标识、属性以及与账号相关的所有操作行为;
步骤102、根据注册或者生成账号的地址以及设备环境对模型进行初始化;
步骤103、根据相应业务逻辑,将所有的操作进行分类以及编号,并根据操作的不同重要性进行赋值,对每一个操作都设置对应的操作代码,每当进行一个操作时就与账号进行关联,通过与账号关联的操作信息完善账号模型。
进一步的是,在步骤(3)中,所述登录信息包括常用登陆地点及常用登陆设备,所述操作行为包括键盘敲击习惯以及鼠标轨迹。
进一步的是,在步骤(4)中,所述识别出不符合规则的行为的具体方法包括:根据业务的具体逻辑以及每个接口不同参数再结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为。
进一步的是,在步骤(4)中,所述识别出非法行为的具体方法包括:使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
进一步的是,所述偏离值的计算公式为,
基于账号体系的智能跟踪安全检测系统,包括账号建模模块、跟踪检测模块以及智能分析模块;
所述账号建模模块用于对账号进行建模,所述账号模型包含唯一标识;
所述跟踪检测模块用于在建模完成之后随机生成跟踪检测标签与唯一标识进行绑定,并对账号的登录信息以及操作行为进行全程跟踪检测和记录;
所述智能分析模块用于将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
进一步的是,所述智能分析模块包括规则引擎单元与ai引擎单元;
所述规则引擎单元用于根据业务的具体逻辑以及每个接口不同参数结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为;
所述ai引擎单元用于使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
所述账号建模模块在建模完成之后发送心跳消息通知智能跟踪检测模块。
本发明对账号进行建模管理,通过账号模型方便了对账号的管理,通过跟踪检测标签对账号的登录环境、登录行为以及操作行为进行全程跟踪检测和记录,每一次重新登录的时候,对应的跟踪检测标签会及时记录该账号关联的登录及操作信息,并将当前记录信息与过往记录的信息进行对比分析,识别出不符合规则及非法行为,实现了对看似正常的操作行为的识别,提高了账户的安全性。
附图说明
图1是本发明基于账号体系的智能跟踪安全检测方法的方法流程图。
具体实施方式
本发明基于账号体系的智能跟踪安全检测方法,包括:
步骤(1)、对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
步骤(2)、建模完成之后,随机生成跟踪检测标签并与唯一标识进行对应绑定;
步骤(3)、跟踪检测标签对账号的登录信息以及操作行为进行全程跟踪检测和记录;
步骤(4)、将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
进一步的是,在步骤(1)中,所述对账号进行建模的具体方法包括:
步骤101、从账号注册或者登录开始,建立对应的账号模型,所述账号模型包含账号的标识、属性以及与账号相关的所有操作行为;
步骤102、根据注册或者生成账号的地址以及设备环境对模型进行初始化;
步骤103、根据相应业务逻辑,将所有的操作进行分类以及编号,并根据操作的不同重要性进行赋值,对每一个操作都设置对应的操作代码,每当进行一个操作时就与账号进行关联,通过与账号关联的操作信息完善账号模型。
步骤(3)中,登录信息包括设备指纹信息:通过采集cpu类(cpuclass),平台(platform),canvas指纹(canvas),webgl指纹(webgl),浏览器的插件信息(plugins)等信息生成终端唯一id;
ip信息:设备的ip信息用于地理位置标识和常用地判断;
账号名:采集业务系统该用户用户名信息;
鼠标移动轨迹:每个一段时间采集鼠标位置形成移动轨迹,用于人机识别判断和账户盗用判断;
键盘输入间隔:监控键盘按下和弹起时间,键盘输入之间的间隔行为该用户在该业务系统的输入习惯,用于账户盗用识别;
间隔时间计算:d(t)=r(t)-p(t)。
步骤(4)中,所述识别出不符合规则的行为的具体方法包括:根据业务的具体逻辑以及每个接口不同参数再结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为。
步骤(4)中,所述识别出非法行为的具体方法包括:使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
其中偏离值的计算公式为,
基于账号体系的智能跟踪安全检测系统,包括账号建模模块、跟踪检测模块以及智能分析模块;
所述账号建模模块用于对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
所述跟踪检测模块用于在建模完成之后随机生成跟踪检测标签与唯一标识进行绑定,并对账号的登录信息以及操作行为进行全程跟踪检测和记录;
所述智能分析模块用于将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
智能分析模块包括规则引擎单元与ai引擎单元;
规则引擎单元用于根据业务的具体逻辑以及每个接口不同参数结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为;
ai引擎单元用于使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
账号建模模块在建模完成之后发送心跳消息通知智能跟踪检测模块。
在进行智能跟踪检测与分析时,当相同账号再次登录时,智能跟踪标签立即采集登录时的硬件、软件信息,此时将采集到的信息传入智能分析模块;
智能分析模块将采集到的信息与账号模型中信息进行比对分析,首先智能分析模块中的规则引擎单元对登录的ip地址、操作系统版本、浏览器版本等信息进行比对;若信息一致,ai引擎单元再对键盘、鼠标的使用行为进行智能分析,若不一致,则进行告警;
当智能分析模块对登录环节的所有信息判定都为一致时,登录成功,此时智能跟踪检测标签仍然是活跃状态,它会对该用户在模块中所有的行为都进行记录分析,将操作的时间、频率、数量、金额等信息进行记录,并传入智能分析模块,智能分析模块将采集到的信息与账号模型所记录的信息进行规则比对和智能分析:
规则引擎单元将采集到的信息与已设置好的规则库进行比对,如果不一致,则发出告警;ai引擎单元将采集的密码敲击习惯、鼠标点击习惯等信息进行智能分析,建立用户智能画像,对鼠标点击频率、键盘敲击间隔进行记录分析,设定行为偏离值,当偏离值大于70%,则认为不一致,发出告警;如果偏离值小于30%,则认为一致,用户操作成功;
偏离值计算方式:
本发明基于账号体系的智能跟踪安全检测方法的方法流程图,如图1,包括:
s1、对注册账号或者登陆账号进行建模,得到账号模型;
s2、随机生成跟踪检测标签并与账号模型的唯一标识进行对应绑定;
s3、跟踪检测标签对账号的登录环境、登录行为以及操作行为进行全程跟踪检测和记录;
s4、将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
综上所述,本发明实现了对看似正常的操作行为的识别,提高了账户的安全性。
1.基于账号体系的智能跟踪安全检测方法,其特征在于,包括:
步骤(1)、对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
步骤(2)、建模完成之后,随机生成跟踪检测标签并与唯一标识进行对应绑定;
步骤(3)、跟踪检测标签对账号的登录信息以及操作行为进行全程跟踪检测和记录;
步骤(4)、将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
2.根据权利要求1所述的基于账号体系的智能跟踪安全检测方法,其特征在于,在步骤(1)中,所述对账号进行建模的具体方法包括:
步骤101、从账号注册或者登录开始,建立对应的账号模型,所述账号模型包含账号的标识、属性以及与账号关联的所有操作行为;
步骤102、根据注册或者生成账号的地址以及设备环境对模型进行初始化;
步骤103、根据相应业务逻辑,将所有的操作进行分类以及编号,并根据操作的不同重要性进行赋值,对每一个操作都设置对应的操作代码,每当进行一个操作时就与账号进行关联,通过与账号关联的操作信息完善账号模型。
3.根据权利要求1所述的基于账号体系的智能跟踪安全检测方法,其特征在于,在步骤(3)中,所述登录信息包括常用登陆地点及常用登陆设备,所述操作行为包括键盘敲击习惯以及鼠标轨迹。
4.根据权利要求1-3任意一项所述的基于账号体系的智能跟踪安全检测方法,其特征在于,在步骤(4)中,所述识别出不符合规则的行为的具体方法包括:根据业务的具体逻辑以及每个接口不同参数再结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为。
5.根据权利要求1-3任意一项所述的基于账号体系的智能跟踪安全检测方法,其特征在于,在步骤(4)中,所述识别出非法行为的具体方法包括:使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
6.根据权利要求5任意一项所述的基于账号体系的智能跟踪安全检测方法,其特征在于,所述偏离值的计算公式为,
7.基于账号体系的智能跟踪安全检测系统,其特征在于,包括账号建模模块、跟踪检测模块以及智能分析模块;
所述账号建模模块用于对账号进行建模,得到账号模型,所述账号模型包含唯一标识;
所述跟踪检测模块用于在建模完成之后随机生成跟踪检测标签与唯一标识进行绑定,并对账号的登录信息以及操作行为进行全程跟踪检测和记录;
所述智能分析模块用于将当前记录的信息与历史记录的信息进行对比分析,识别出不符合规则及非法行为。
8.根据权利要求7所述的基于账号体系的智能跟踪安全检测系统,其特征在于,所述智能分析模块包括规则引擎单元与ai引擎单元;
所述规则引擎单元用于根据业务的具体逻辑以及每个接口不同参数结合不同的应用场景进行规则定制化,通过与规则进行正则匹配的方式来识别不符合规则的行为;
所述ai引擎单元用于使用随机森林算法结合机器学习,对账号当前操作行为与该账号历史操作行为进行对比,设定行为偏离值,根据偏离值识别出非法行为。
9.根据权利要求7所述的基于账号体系的智能跟踪安全检测系统,其特征在于,所述账号建模模块在建模完成之后发送心跳消息通知智能跟踪检测模块。
技术总结