撞库行为检测方法、系统、设备及计算机程序产品与流程

1.本发明涉及互联网技术领域，尤其涉及撞库行为检测方法、系统、设备及计算机程序产品。


背景技术：

2.随着互联网技术的快速发展，用户账号密码信息泄露这一问题也逐渐成为当今互联网世界的一个焦点。黑客通过收集互联网已泄露的用户和密码信息，尝试批量登录其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码，因此黑客可以通过获取用户在a网站的账户从而尝试登录b网址，这就可以理解为撞库攻击。不法分子的撞库行为所造成的用户密码信息泄露往往会给服务商造成不可估量的经济及声誉损失，而现有的撞库行为检测的方式往往是采用人工选取特征进行甄别，显然，在数据量大的情况下，基于人工方式的撞库行为检测方式的效率并不高。


技术实现要素：

3.本发明的主要目的在于提出一种撞库行为检测方法、系统、设备及计算机程序产品，旨在解决现有的基于人工的撞库行为检测方式的效率不高的技术问题。
4.为实现上述目的，本发明提供一种撞库行为检测方法，所述撞库行为检测方法包括：
5.捕捉用户请求，并根据预设静态和/或动态识别方式从所述用户请求中筛选出涉密请求；
6.根据预设风险评估方式对所述涉密请求进行风险量化评估，得到评估结果；
7.根据所述评估结果确定所述涉密请求是否为撞库行为请求。
8.可选地，所述根据预设风险评估方式对所述涉密请求进行风险量化评估，得到评估结果的步骤包括：
9.调用指定信息库评估所述涉密请求的时间风险值、ip终端风险值和/或历史终端风险值，以将所述时间风险值、ip终端风险值和/或历史终端风险值作为所述评估结果。
10.可选地，所述根据所述评估结果确定所述涉密请求是否为撞库行为请求的步骤包括：
11.将所述时间风险值、ip终端风险值和/或历史终端风险值进行加权计算，得到综合风险值；
12.根据所述综合风险值确定所述涉密请求是否为撞库行为请求。
13.可选地，所述根据预设风险评估方式对所述涉密请求进行风险量化评估，得到评估结果的步骤之前，还包括：
14.调用预设交易失败特征库对所述涉密请求进行交易特征分析，得到所述涉密请求对应的交易失败率和失败次数；
15.所述将所述时间风险值、ip终端风险值和/或历史终端风险值进行加权计算，得到
综合风险值的步骤之前，还包括：
16.判断所述交易失败率和失败次数至少一项是否满足预设撞库首要条件；
17.若所述交易失败率和失败次数至少一项满足预设撞库首要条件，则执行将所述时间风险值、ip终端风险值和/或历史终端风险值进行加权计算，得到综合风险值的步骤。
18.可选地，所述判断所述交易失败率和失败次数至少一项是否满足预设撞库首要条件的步骤之后，还包括：
19.若所述交易失败率和失败次数均不满足预设撞库首要条件，则对所述涉密请求予以放行。
20.可选地，所述根据所述综合风险值确定所述涉密请求是否为撞库行为请求的步骤之后，还包括：
21.根据所述综合风险值确定所述涉密请求对应的撞库风险等级，以对所述涉密请求采取与所述撞库风险等级对应的处理方式。
22.可选地，所述根据预设静态和/或动态识别方式从所述用户请求中筛选出涉密请求的步骤包括：
23.判断所述用户请求是否通过基于预设名单库的名单识别；
24.若否，则对所述用户请求进行静态特征识别和/或动态样本分析；
25.根据静态特征识别的识别结果和/或动态样本分析的分析结果确定所述用户请求为所述涉密请求。
26.可选地，所述撞库行为检测系统包括：
27.涉密请求筛选模块，用于捕捉用户请求，并根据预设静态和/或动态识别方式从所述用户请求中筛选出涉密请求；
28.风险量化评估模块，用于根据预设风险评估方式对所述涉密请求进行风险量化评估，得到评估结果；
29.撞库行为确定模块，用于根据所述评估结果确定所述涉密请求是否为撞库行为请求。
30.此外，为实现上述目的，本发明还提供一种撞库行为检测系统，所述撞库行为检测系统包括：
31.涉密请求筛选模块，用于捕捉用户请求，并根据预设静态和/或动态识别方式从所述用户请求中筛选出涉密请求；
32.风险量化评估模块，用于根据预设风险评估方式对所述涉密请求进行风险量化评估，得到评估结果；
33.撞库行为确定模块，用于根据所述评估结果确定所述涉密请求是否为撞库行为请求。
34.此外，为实现上述目的，本发明还提供一种撞库行为检测设备，所述撞库行为检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的撞库行为检测程序，所述撞库行为检测程序被所述处理器执行时实现如上所述的撞库行为检测方法的步骤。
35.此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有撞库行为检测程序，所述撞库行为检测程序被处理器执行时实现如上所
述的撞库行为检测方法的步骤。
36.此外，为实现上述目的，本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述的撞库行为检测方法的步骤。
37.本发明通过捕捉用户请求，并采用静态或动态的识别方式从中筛选出涉密请求，使得及时识别出对可能存在撞库风险的用户请求；然后采用预设风险评估方式对涉密请求进行风险评估，使得对涉密请求所具有的风险进行量化，并得到量化后的评估结果；最后通过该评估结果判断该涉密请求所具有的风险量化结果是否达到撞库行为对应的风险程度，以确定该涉密请求是否为撞库行为请求，整个过程无需人工操作，系统捕捉到用户请求后就可自动按照上述流程进行判别，然后直接得到判别结果，从而降低了人工成本，具有更高的撞库行为检测效率，因此解决了现有的基于人工的撞库行为检测方式的效率不高的技术问题。同时，本发明所采取的方式较之现有的基于人工的方式还具有更高的准确性。
附图说明
38.图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图；
39.图2为本发明撞库行为检测方法第一实施例的流程示意图；
40.图3为本发明撞库行为检测方法第二实施例中一具体实施例的风险评估流程示意图；
41.图4为本发明撞库行为检测方法第二实施例中另一具体实施例的交易特征分析流程示意图；
42.图5为本发明撞库行为检测方法第三实施例中一具体实施例的流程示意图；
43.图6为本发明撞库行为检测方法第三实施例中另一具体实施例的整体系统架构图；
44.图7为本发明撞库行为检测系统的功能模块示意图。
45.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
46.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
47.随着互联网技术的快速发展，用户账号密码信息泄露这一问题也逐渐成为当今互联网世界的一个焦点。黑客通过收集互联网已泄露的用户和密码信息，尝试批量登录其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码，因此黑客可以通过获取用户在a网站的账户从而尝试登录b网址，这就可以理解为撞库攻击。不法分子的撞库行为所造成的用户密码信息泄露往往会给服务商造成不可估量的经济及声誉损失，而现有的撞库行为检测的方式往往是采用人工选取特征进行甄别，显然，在数据量大的情况下，基于人工方式的撞库行为检测方式的效率并不高。
48.为解决上述问题，本发明提供一种撞库行为检测方法，即通过捕捉用户请求，并采用静态或动态的识别方式从中筛选出涉密请求，使得及时识别出对可能存在撞库风险的用户请求；然后采用预设风险评估方式对涉密请求进行风险评估，使得对涉密请求所具有的风险进行量化，并得到量化后的评估结果；最后通过该评估结果判断该涉密请求所具有的风险量化结果是否达到撞库行为对应的风险程度，以确定该涉密请求是否为撞库行为请
求，整个过程无需人工操作，系统捕捉到用户请求后就可自动按照上述流程进行判别，然后直接得到判别结果，从而降低了人工成本，具有更高的撞库行为检测效率，因此解决了现有的基于人工的撞库行为检测方式的效率不高的技术问题。同时，本发明所采取的方式较之现有的基于人工的方式还具有更高的准确性。
49.如图1所示，图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
50.如图1所示，该撞库行为检测系统可以包括：处理器1001，例如cpu，用户接口1003，网络接口1004，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi
‑
fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non
‑
volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
51.本领域技术人员可以理解，图1中示出的设备结构并不构成对设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
52.如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及撞库行为检测程序。
53.在图1所示的设备中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(程序员端)，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的撞库行为检测程序，并执行下述撞库行为检测方法中的操作。
54.基于上述硬件结构，提出本发明撞库行为检测方法实施例。
55.参照图2，图2为本发明撞库行为检测方法第一实施例的流程示意图。所述撞库行为检测方法包括；
56.步骤s10，捕捉用户请求，并根据预设静态和/或动态识别方式从所述用户请求中筛选出涉密请求；
57.在本实施例中，本发明应用于撞库行为检测系统(以下简称系统)。用户请求指的是用户端发出的访问请求，具体可能是用户通过用户终端所发出的正当的访问请求，也可能是不正当的撞库行为请求。静态识别方式指的是针对用户请求的静态特征进行识别的方式，静态特征例如参数名、参数值、响应体等。动态识别方式指的是通过动态计算用户请求对应的特定参数的识别方式。涉密请求指的是请求中涉及用户账号密码相关信息的用户请求，既可能是用户发出的正当请求，也可能是不正当的撞库行为请求。系统可以仅选择静态识别方式对用户请求进行识别，也可以仅选择动态识别方式对用户请求进行识别，还可以通过静态和动态这两类识别方式来对用户请求进行识别。
58.具体地，系统以网络流量、用户日志为数据源，实时捕获用户请求。系统在获取到用户请求之后，通过静态识别方式和/或动态识别方式判断每一用户请求是否为涉密请求，以筛选出用户请求中的涉密请求。
59.步骤s20，根据预设风险评估方式对所述涉密请求进行风险量化评估，得到评估结果；
60.在本实施例中，预设风险评估方式既可以是对涉密请求中的某一风险项进行量化
评估，也可以是对涉密请求中的多维度风险项进行量化评估。评估结果指的是涉密请求对应的一个或多个风险项的量化结果，例如时间风险项、ip终端风险项、历史终端风险项等，量化结果通常以具体数值或是百分比来表示。
61.具体地，系统按照预设的风险评估方式对每一个筛选出的涉密请求在时间风险项、ip终端风险项和历史终端风险项进行风险量化评估，得到量化后的各项分别对应的评估结果。而对于各项如何量化评估出对应的评估结果，系统可通过指定的信息库中已标注对应风险程度的特征数据，来对应到实际的涉密请求在该项上的风险评估结果。
62.另外，系统在给筛选出的涉密请求进行风险量化评估之前，还可预先设置一先行的判断流程，判断该涉密请求是否具有进一步确定风险程度的需要，若该涉密请求的安全性较高，可无需进一步确认，直接予以放行，或是进入其他判断流程；若该涉密请求确实需要进一步判别，则再进入风险评估流程。
63.步骤s30，根据所述评估结果确定所述涉密请求是否为撞库行为请求。
64.在本实施例中，系统在得到涉密请求的评估结果后，可根据评估结果来进一步确定该涉密请求是否就是撞库行为请求。具体地，若评估结果为仅针对某一风险项的结果，则系统可直接根据这一结果判断是否满足预设条件，若满足系统则判定该涉密请求为撞库行为请求；或是还结合该涉密请求在其他方面的特征信息得到一个综合评分，判断该综合评分是否满足预设条件，若满足系统则判定该涉密请求为撞库行为请求。
65.若评估结果中包含多个不同维度的风险项的结果，则系统可将这些不同未维度的结果进行综合(可直接求和或是加权求和)，得到总风险值，然后直接判断该总风险值是否满足预设条件，若满足系统则判定该涉密请求为撞库行为请求；或是系统在得到总风险值之后，再将其与该涉密请求在其他方面的特征信息结合得到一个综合评分，判断该综合评分是否满足预设条件，若满足系统则判定该涉密请求为撞库行为请求。
66.本实施例提供一种撞库行为检测方法，通过捕捉用户请求，并采用静态或动态的识别方式从中筛选出涉密请求，使得及时识别出对可能存在撞库风险的用户请求；然后采用预设风险评估方式对涉密请求进行风险评估，使得对涉密请求所具有的风险进行量化，并得到量化后的评估结果；最后通过该评估结果判断该涉密请求所具有的风险量化结果是否达到撞库行为对应的风险程度，以确定该涉密请求是否为撞库行为请求，整个过程无需人工操作，系统捕捉到用户请求后就可自动按照上述流程进行判别，然后直接得到判别结果，从而降低了人工成本，具有更高的撞库行为检测效率，因此解决了现有的基于人工的撞库行为检测方式的效率不高的技术问题。同时，本发明所采取的方式较之现有的基于人工的方式还具有更高的准确性。
67.进一步地，基于上述图2所示的第一实施例，提出本发明撞库行为检测方法的第二实施例。在本实施例中，步骤s20包括：
68.步骤s21，调用指定信息库评估所述涉密请求的时间风险值、ip终端风险值和/或历史终端风险值，以将所述时间风险值、ip终端风险值和/或历史终端风险值作为所述评估结果。
69.在本实施例中，外部信息库具体可包括时间风险值特征库(对应时间风险值)、外部ip情报系统(对应ip终端风险值)以及高风险终端库(对应历史终端风险值)等。系统可通过调用上述对应的外部信息库，来获取到涉密请求对应的一项或多项风险值。
70.作为一具体实施例，如图3所示，关于时间风险值的获取方式。对于涉密请求根据时间风险值特征库计算时间风险值。其中时间风险特征库来源于对不同时间段交易风险的统计分析，主要用于根据交易时间设置不同的风险值，以下表为例：
71.时间段风险特征值00:00
‑
01:00、05:00
‑
06:00601:00
‑
02:00、04:00
‑
05:00802:00
‑
04:001006:00
‑
24:000
72.若该涉密请求的发出时间点落在凌晨十二点至凌晨一点(00：00
‑
01：00)，或是凌晨五点至凌晨六点(05：00
‑
06：00))，那么该涉密请求对应的时间风险值为6；若该涉密请求的发出时间点落在凌晨一点至凌晨两点(01：00
‑
02：00)，或是凌晨四点至凌晨五点(04：00
‑
05：00)，也即是高风险时间段，那么该涉密请求对应的时间风险值为8；若该涉密请求的发出时间点落在凌晨两点至凌晨四点(02：00
‑
04：00)，那么该涉密请求对应的时间风险值为8。在实际应用中可根据需求对每个时间段所对应的风险特征值进行灵活调整。
73.关于ip终端风险值，系统可通过获取该涉密请求中的ip终端信息，并引入外部ip情报系统中的数据，以得到该涉密请求对应的ip终端风险值，具体确定方式可为：外部ip情报系统中具有不同特征的多类外部ip对应不同的风险特征值，系统只需确定请求中的外部ip信息属于何种类别，即可对应到哪一风险特征值。
74.关于历史终端风险值，系统可通过获取该涉密请求中的历史终端信息，并引入高风险终端库，以得到该涉密请求对应的历史终端风险值。具体确定方式可为：高风险终端库中具有不同特征的多类终端，对应不同的风险特征值，系统只需确定请求中的历史终端信息属于何种类别，即可对应到哪一风险特征值。
75.进一步地，步骤s30包括：
76.步骤s31，将所述时间风险值、ip终端风险值和/或历史终端风险值进行加权计算，得到综合风险值；
77.步骤s32，根据所述综合风险值确定所述涉密请求是否为撞库行为请求。
78.在本实施例中，系统可对时间风险值、ip终端风险值以及历史终端风险值这三项中的一项或多项进行加权计算，得到的结果即可作为上述综合风险值。具体地，以上述三项风险值均存在的情况下，系统根据预设的权重分配规则分别为该涉密请求的时间风险值a、ip终端风险值b和历史终端风险值c分配权重a、b、c，那么综合风险值d＝a*a+b*b+c*c，其中，a、b、c的值可以相同也可以不同，可根据实际需求灵活设置。
79.系统根据当前计算出的综合风险值来确定该涉密请求是否为撞库行为请求。具体地，可利用预设的风险临界值来判断，判断该涉密请求的综合风险值是否超出该风险临界值；若超出，系统则判定该涉密请求为撞库行为请求；若未超出，系统则判定该涉密请求不为撞库行为请求。
80.进一步地，步骤s20之前，还包括：
81.步骤a1，调用预设交易失败特征库对所述涉密请求进行交易特征分析，得到所述涉密请求对应的交易失败率和失败次数；
82.系统在筛选出涉密请求之后，还可先对该涉密请求从交易失败率和失败次数等维
度对其进行交易特征分析。
83.作为一具体实施例，如图4所示。系统在此前已预定义交易失败特征库，具体的交易失败特征可为请求信息中响应体中的密码错、密码有误、无效密码、验证失败等关键字。系统根据交易失败特征库所记录的交易失败特征判断当前的涉密请求中是否包含库中的交易失败特征；若包含，系统则判定当前涉密请求的交易失败。系统在判定当前涉密请求的交易失败后，对该涉密请求进行标记，然后通过滑动窗口算法计算该涉密请求对应的动态失败率和失败次数。
84.步骤s31之前，还包括：
85.步骤b1，判断所述交易失败率和失败次数至少一项是否满足预设撞库首要条件；
86.步骤b2，若所述交易失败率和失败次数至少一项满足预设撞库首要条件，则执行将所述时间风险值、ip终端风险值和/或历史终端风险值进行加权计算，得到综合风险值的步骤。
87.在本实施例中，系统判断交易失败率和失败次数中是否至少有一项超出各自对应的预设阈值，则可确定该涉密请求满足预设撞库首要条件。具体地，无论是仅有交易失败率超出预设失败率阈值，或是仅有失败次数超出预设次数阈值，或是交易失败率超出预设失败率阈值且失败次数超出预设次数阈值，系统均可判定当前满足预设撞库首要条件。系统在判定该涉密请求的交易特征满足撞库首要条件后，再执行后续的加权计算流程。
88.进一步地，步骤b1之后，还包括：
89.步骤b3，若所述交易失败率和失败次数均不满足预设撞库首要条件，则对所述涉密请求予以放行。
90.在本实施例中，若系统判定交易率和失败次数均未超出各自对应的预设阈值，系统则判定该涉密请求不满足预设撞库首要条件，也即是该涉密请求较为安全，可直接予以放行。
91.进一步地，基于上述第二实施例，提出本发明撞库行为检测方法的第三实施例。在本实施例中，步骤s32之后，还包括：
92.步骤s33，根据所述综合风险值确定所述涉密请求对应的撞库风险等级，以对所述涉密请求采取与所述撞库风险等级对应的处理方式。
93.在本实施例中，系统根据计算得出的该涉密请求对应的综合风险值确定对应的撞库风险等级，具体地，系统可根据预设的风险值区间与等级的映射关系，确定该综合风险值落在哪一区间，即可确定对应的撞库风险等级，例如疑似撞库、撞库、严重撞库等，可根据实际需求灵活设置。
94.作为一具体实施例，如图5所示。系统对涉密请求数据进行交易特征分析，得到分析结果(交易失败率和失败次数)，然后根据预设的最小触发阈值配置来判断交易失败率和失败次数任一是否满足预设的撞库首要条件，若两项均不满足，则对该涉密请求予以放行；若两项中任一满足，则可进行后续步骤。系统对涉密请求的各类风险值进行加权计算，得到综合风险值。系统可结合综合风险值和交易失败率和/或失败次数极端出该涉密请求的撞库综合评分，最后根据预设的评分等级对应关系，确定出该涉密请求对应的撞库等级，然后系统可针对不同的撞库等级进行后续处理，例如，对撞库请求进行拦截、数据持久化等处理。
95.进一步地，步骤s10包括：
96.步骤s11，判断所述用户请求是否通过基于预设名单库的名单识别；
97.步骤s12，若否，则对所述用户请求进行静态特征识别和/或动态样本分析；
98.步骤s13，根据静态特征识别的识别结果和/或动态样本分析的分析结果确定所述用户请求为所述涉密请求。
99.在本实施例中，系统在获取到用户请求后，利用预设名单库对其进行识别，若利用名单库无法识别，则再利用静态特征识别和/或动态样本分析的方式进一步对其进行识别。系统通过静态特征识别和/或动态样本分析的方式对捕获到的用户请求进行筛选，以筛选出涉密请求。
100.特征识别检测方法是指根据请求的静态特征检测出疑似涉密请求，本发明选取的静态特征主要包括统一资源定位符(url，uniform resource locator)、参数名、参数值、响应体等。具体地，系统首先对url中关键字特征进行分析。涉密请求的url中可能会包含与登录操作相关的关键字。若url中包含这类特征的，将其判定为涉密请求。系统还可对请求体参数名特征进行分析。涉密请求的参数名可能会包含与用户名、密码相关的关键字。若请求参数名包含这类特征的，将其判定为涉密请求。系统还可对请求体参数值特征进行分析，密码参数值长度一般位于6
‑
32位，并且可能存在由数字或字母组成的弱密码。若请求参数值包含这类特征的，将其判定为涉密请求。系统还可对响应体特征进行分析，涉密请求的响应体中可能会包含“密码错”、“密码有误”等与登录响应相关的关键字。若响应体包含这类特征的，将其判定为涉密请求。
101.动态样本识别方式指的是系统预先通过获取外部开源密码数据库，对其中大量的公开测试密码数据进行统计实测，挖掘出多种密码学规律，然后在此统计分析结果的基础上，对用户请求采用欧式距离算法动态地计算真实请求样本的统计学分布数据相似度，若相似度达到一定阈值，说明当前的请求样本符合密码学规律，将其检测为涉密请求。密码学规律具体可包括密码长度分布规律：密码长度分布接近正态分布，主要集中在8(25.17％)、9(20.66％)、10(27.8％)；密码类型分布规律：有些系统仅对密码长度而未对密码的组成进行限制，这类系统密码的组成符合一定的统计特征，通过对测试密码库中密码的组成进行统计分析，这类系统密码组成主要为纯数字(16.8％)、纯字母(38.7％)、数字+字母(39.77％)这三类。
102.作为一具体实施例，如图6所示。系统监控网络流量和用户日志，将其作为数据源以捕捉用户请求。系统在获取到用户请求后，利用预设名单库对其进行识别，若利用名单库无法识别，则进行后续识别流程。
103.系统通过静态特征识别和/或动态样本分析的方式对捕获到的用户请求进行筛选，以筛选出涉密请求。系统在筛选出涉密请求后，对涉密请求的交易结果进行判断，若判断出交易失败，则获取该涉密请求对应的交易失败次数和交易失败率，然后再对该涉密请求进行风险值评估。系统评估该涉密请求的时间风险值、ip终端风险值以及历史终端风险值，根据这些风险值确定该涉密请求的撞库风险等级，最后根据实际的撞库风险等级进行数据持久化处理(更新持久化数据库、临时数据库、终端标签库等)。
104.如图7所示，本发明还提供一种撞库行为检测系统，所述撞库行为检测系统包括：
105.涉密请求筛选模块10，用于捕捉用户请求，并根据预设静态和/或动态识别方式从
所述用户请求中筛选出涉密请求；
106.风险量化评估模块20，用于根据预设风险评估方式对所述涉密请求进行风险量化评估，得到评估结果；
107.撞库行为确定模块30，用于根据所述评估结果确定所述涉密请求是否为撞库行为请求。
108.可选地，所述风险量化评估模块20包括：
109.风险评估量化单元，用于调用指定信息库评估所述涉密请求的时间风险值、ip终端风险值和/或历史终端风险值，以将所述时间风险值、ip终端风险值和/或历史终端风险值作为所述评估结果。
110.可选地，所述撞库行为确定模块30包括：
111.风险加权计算单元，用于将所述时间风险值、ip终端风险值和/或历史终端风险值进行加权计算，得到综合风险值；
112.撞库攻击确定单元，用于根据所述综合风险值确定所述涉密请求是否为撞库行为请求。
113.可选地，所述撞库行为检测系统还包括：
114.交易特征分析模块，用于调用预设交易失败特征库对所述涉密请求进行交易特征分析，得到所述涉密请求对应的交易失败率和失败次数；
115.所述撞库行为确定模块30还包括：
116.交易特征判断单元，用于判断所述交易失败率和失败次数至少一项是否满足预设撞库首要条件；
117.首要条件满足单元，用于若所述交易失败率和失败次数至少一项满足预设撞库首要条件，则执行将所述时间风险值、ip终端风险值和/或历史终端风险值进行加权计算，得到综合风险值的步骤。
118.可选地，所述撞库行为检测系统还包括：
119.涉密请求放行模块，用于若所述交易失败率和失败次数均不满足预设撞库首要条件，则对所述涉密请求予以放行。
120.可选地，所述撞库行为检测系统还包括：
121.风险等级确定模块，用于根据所述综合风险值确定所述涉密请求对应的撞库风险等级，以对所述涉密请求采取与所述撞库风险等级对应的处理方式。
122.可选地，所述涉密请求筛选模块10包括：
123.名单库识别单元，用于判断所述用户请求是否通过基于预设名单库的名单识别；
124.涉密请求识别单元，用于若否，则对所述用户请求进行静态特征识别和/或动态样本分析；
125.涉密请求确定单元，用于根据静态特征识别的识别结果和/或动态样本分析的分析结果确定所述用户请求为所述涉密请求。
126.本发明还提供一种撞库行为检测设备。
127.所述撞库行为检测设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的撞库行为检测程序，其中所述撞库行为检测程序被所述处理器执行时，实现如上所述的撞库行为检测方法的步骤。
128.其中，所述撞库行为检测程序被执行时所实现的方法可参照本发明撞库行为检测方法的各个实施例，此处不再赘述。
129.本发明还提供一种计算机可读存储介质。
130.本发明计算机可读存储介质上存储有撞库行为检测程序，所述撞库行为检测程序被处理器执行时实现如上所述的撞库行为检测方法的步骤。
131.其中，所述撞库行为检测程序被执行时所实现的方法可参照本发明撞库行为检测方法各个实施例，此处不再赘述。
132.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述的撞库行为检测方法的步骤。
133.其中，所述计算机程序被执行时所实现的方法可参照本发明撞库行为检测方法各个实施例，此处不再赘述。
134.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
135.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
136.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
137.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。