恶意用户行为检测方法、装置及电子设备与流程

1.本公开涉及安全检测技术领域，尤其涉及一种恶意用户行为检测方法、装置及电子设备。


背景技术：

2.随着互联网在各行各业的广泛应用，企业面向的互联网用户数量在不断增长，用户类型也日益多样，尤其是电商、金融等拥有海量用户的大规模应用互联网的企业，日活跃用户数量可达上千万，其中，以灰产、黑产为代表的恶意访问的占比居高不下。但目前以发现潜在问题或检测出恶意用户、恶意行为的用户行为异常检测方法比较片面。
3.传统的恶意用户行为检测方法通常是基于对象行为特征进行检测，例如，通过检测http请求的user-agent、每分钟登录请求是否超过预设阈值等手段，判断是否存在自动化脚本模拟真人行为。
4.现有的基于对象行为特征进行恶意用户行为检测的方法存在如下缺陷：
5.1、恶意用户可以绕过常规公开的特征检测规则，从而进行恶意访问；
6.2、恶意用户或者自动化脚本可以模拟真人行为进行随机访问，现有的恶意用户行为检测方法无法识别访问行为是否是机器行为；
7.3、基于对象行为特征只关注短暂时间段内用户的行为特征，缺少对用户历史行为的综合判断，难以建立长期行为检测机制；
8.4、基于对象行为特征的检测规则独立于其他系统，没有第三方数据能够参考，检测效率和准确率低下。
9.公开于本技术背景技术部分的信息仅仅旨在加深对本技术的一般背景技术的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。


技术实现要素：

10.本公开实施例提供一种恶意用户行为检测方法、装置及电子设备，能够解决现有技术的上述问题。
11.本公开实施例的第一方面，提供一种恶意用户行为检测方法，包括：
12.基于在多个业务场景中预设的流量镜像工具，获取用户访问业务场景的访问流量信息；
13.提取所述访问流量信息中的行为特征信息；
14.根据所述行为特征信息，基于预设的第三方数据库和/或预设的行为检测模型，确定用户访问业务场景的行为是否异常。
15.在一种可选的实施方式中，
16.所述业务场景包括用户注册场景、用户登录场景和免注册登录场景中任意一种；
17.所述获取用户访问业务场景的访问流量信息之前，所述方法还包括：
18.确定用户访问的当前业务场景；
19.若当前业务场景为用户注册场景，则为所述用户适配注册所需的第一验证策略，并输出第一提示信息；
20.若当前业务场景为用户登录场景，则为所述用户适配登录所需的第二验证策略，并输出第二提示信息；
21.若当前业务场景为免注册登录场景，则为所述用户适配免注册登录所需的第三验证策略，并输出第三提示信息。
22.在一种可选的实施方式中，
23.所述流量镜像工具包括获取工具和镜像工具，所述流量工具预先安装于业务系统的前端负载侧，
24.所述基于在多个业务场景中预设的流量镜像工具，获取用户访问业务场景的访问流量信息的方法包括：
25.所述获取工具获取业务系统的第一接口中所有的原始访问流量信息；
26.所述镜像工具将所述原始访问流量信息通过分析系统的第二接口复制到所述分析系统中，用以获取并分析访问流量信息。
27.在一种可选的实施方式中，
28.所述行为特征信息包括用户身份信息以及行为信息，每个用户身份信息对应多个行为信息；
29.所述提取所述访问流量信息中的行为特征信息的方法包括：
30.提取所述行为特征信息中的用户身份信息，并提取所述用户身份信息对应的多个行为信息，其中，
31.所述行为信息包括当前行为信息与多个历史行为信息，所述历史行为信息与所述当前行为信息相距预设时间长度。
32.在一种可选的实施方式中，
33.所述根据所述行为特征信息，基于预设的第三方数据库，确定用户访问业务场景的行为是否异常的方法包括：
34.根据所述行为特征信息中的行为信息，基于所述第三方数据库，匹配所述第三方数据库中与所述行为信息相同类别的预设行为信息，
35.若相匹配，则确定用户访问业务场景的行为异常。
36.在一种可选的实施方式中，
37.所述根据所述行为特征信息，基于预设的行为检测模型，确定用户访问业务场景的行为是否异常的方法包括：
38.提取所述行为特征信息中用户身份信息对应的多个行为信息，将其输入所述行为检测模型，获取每个行为信息对应的行为检测值；
39.获取所述行为检测值与所述行为检测模型中预设的行为标准值的差值范围；
40.若所述差值范围超出预设行为基准范围，则确定用户访问业务场景的行为异常。
41.在一种可选的实施方式中，
42.在基于预设的行为检测模型，确定用户访问业务场景的行为是否异常之前，所述方法还包括：
43.基于预先构建的分布式计算框架训练所述行为检测模型，直至所述行为检测模型的检测结果满足预设阈值条件。
44.在一种可选的实施方式中，
45.在确定用户访问业务场景的行为异常之后，所述方法还包括：
46.对行为异常的用户进行二次认证，和/或
47.重置行为异常的用户的登录令牌，和/或
48.启动针对行为异常的用户的人脸识别，和/或
49.对行为异常的用户进行阻断响应。
50.本公开实施例的第二方面，提供一种恶意用户行为检测装置，包括：
51.第一单元，用于基于在多个业务场景中预设的流量镜像工具，获取用户访问业务场景的访问流量信息；
52.第二单元，用于提取所述访问流量信息中的行为特征信息；
53.第三单元，用于根据所述行为特征信息，基于预设的第三方数据库和/或预设的行为检测模型，确定用户访问业务场景的行为是否异常。
54.在一种可选的实施方式中，
55.所述业务场景包括用户注册场景、用户登录场景和免注册登录场景中任意一种；
56.所述装置还包括第四单元，所述第四单元用于：
57.确定用户访问的当前业务场景；
58.若当前业务场景为用户注册场景，则为所述用户适配注册所需的第一验证策略，并输出第一提示信息；
59.若当前业务场景为用户登录场景，则为所述用户适配登录所需的第二验证策略，并输出第二提示信息；
60.若当前业务场景为免注册登录场景，则为所述用户适配免注册登录所需的第三验证策略，并输出第三提示信息。
61.在一种可选的实施方式中，
62.所述流量镜像工具包括获取工具和镜像工具，所述流量工具预先安装于业务系统的前端负载侧，
63.所述第一单元还用于：
64.所述获取工具获取业务系统的第一接口中所有的原始访问流量信息；
65.所述镜像工具将所述原始访问流量信息通过分析系统的第二接口复制到所述分析系统中，用以获取并分析访问流量信息。
66.在一种可选的实施方式中，
67.所述行为特征信息包括用户身份信息以及行为信息，每个用户身份信息对应多个行为信息；
68.所述第二单元还用于：
69.提取所述行为特征信息中的用户身份信息，并提取所述用户身份信息对应的多个行为信息，其中，
70.所述行为信息包括当前行为信息与多个历史行为信息，所述历史行为信息与所述当前行为信息相距预设时间长度。
71.在一种可选的实施方式中，
72.所述第三单元还用于：
73.根据所述行为特征信息中的行为信息，基于所述第三方数据库，匹配所述第三方数据库中与所述行为信息相同类别的预设行为信息，
74.若相匹配，则确定用户访问业务场景的行为异常。
75.在一种可选的实施方式中，
76.所述第三单元还用于：
77.提取所述行为特征信息中用户身份信息对应的多个行为信息，将其输入所述行为检测模型，获取每个行为信息对应的行为检测值；
78.获取所述行为检测值与所述行为检测模型中预设的行为标准值的差值范围；
79.若所述差值范围超出预设行为基准范围，则确定用户访问业务场景的行为异常。
80.在一种可选的实施方式中，
81.所述装置还包括第五单元，所述第五单元用于：
82.基于预先构建的分布式计算框架训练所述行为检测模型，直至所述行为检测模型的检测结果满足预设阈值条件。
83.在一种可选的实施方式中，
84.所述装置还包括第六单元，所述第六单元用于：
85.对行为异常的用户进行二次认证，和/或
86.重置行为异常的用户的登录令牌，和/或
87.启动针对行为异常的用户的人脸识别，和/或
88.对行为异常的用户进行阻断响应。
89.本公开实施例的第三方面，提供一种电子设备，包括：
90.处理器；
91.用于存储处理器可执行指令的存储器；
92.其中，所述处理器被配置为调用所述存储器存储的指令，以执行前述中任意一项所述的方法。
93.本公开提供一种恶意用户行为检测方法，包括：
94.基于在多个业务场景中预设的流量镜像工具，获取用户访问业务场景的访问流量信息；
95.通过流量镜像工具，不仅能够获取用户当前访问业务场景的访问流量信息，还能够获取同一用户身份的历史访问流量信息，引入用户的历史行为，并对用户建立长期行为监控；
96.提取所述访问流量信息中的行为特征信息；
97.本公开的行为特征信息包括用户身份信息以及行为信息，每个用户身份信息对应多个行为信息，根据行为特征信息检测用户访问业务场景的行为是否异常；
98.根据所述行为特征信息，基于预设的第三方数据库和/或预设的行为检测模型，确定用户访问业务场景的行为是否异常；
99.通过第三方数据库，将行为特征信息中的行为信息与第三方数据库中与行为信息相同类别的预设行为信息进行匹配，借助外部信息，提升检测准确性和检测效率；
100.通过行为检测模型，能够识别行为特征信息是否为机器行为，可以加强传统的基于规则的异常行为检测机制，在降低异常检测误报率的同时，提升异常判定的准确性。
附图说明
101.图1为本公开实施例的一种恶意用户行为检测方法的流程示意图；
102.图2为本公开实施例的一种恶意用户行为检测方法的逻辑示意图；
103.图3为本公开实施例的一种恶意用户行为检测装置的结构示意图。
具体实施方式
104.为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
105.本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
106.应当理解，在本公开的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本公开实施例的实施过程构成任何限定。
107.应当理解，在本公开中，“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
108.应当理解，在本公开中，“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含a、b和c”、“包含a、b、c”是指a、b、c三者都包含，“包含a、b或c”是指包含a、b、c三者之一，“包含a、b和/或c”是指包含a、b、c三者中任1个或任2个或3个。
109.应当理解，在本公开中，“与a对应的b”、“与a相对应的b”、“a与b相对应”或者“b与a相对应”，表示b与a相关联，根据a可以确定b。根据a确定b并不意味着仅仅根据a确定b，还可以根据a和/或其他信息确定b。a与b的匹配，是a与b的相似度大于或等于预设的阈值。
110.取决于语境，如在此所使用的“若”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”或“响应于检测”。
111.下面以具体地实施例对本公开的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
112.图1为本公开实施例的一种恶意用户行为检测方法的流程示意图，图2为本公开实施例的一种恶意用户行为检测方法的逻辑示意图，如图1和图2所示，所述方法包括：
113.s101、基于在多个业务场景中预设的流量镜像工具，获取用户访问业务场景的访
问流量信息；
114.随着互联网在各行各业的广泛应用，企业面向的互联网用户数量在不断增长，用户类型也日益多样，尤其是电商、金融等拥有海量用户的大规模应用互联网的企业，日活跃用户数量可达上千万，其中，以灰产、黑产为代表的恶意访问的占比居高不下。但目前以发现潜在问题或检测出恶意用户、恶意行为的用户行为异常检测方法比较片面，无法基于部分数据信息获取更加综合的用户行为评价。
115.本公开实施例可以在多个业务场景中预设流量镜像工具，根据流量镜像工具获取用户访问业务场景的访问流量信息。
116.示例性地，本公开实施例的访问流量信息可以包括用户信息、设备账号id、ip地址、url(uniform resource locator,统一资源定位器)以及地理位置等能够表征用户访问业务系统的信息。
117.可选地，流量镜像工具可以包括获取工具和镜像工具，所述流量工具预先安装于业务系统的前端负载侧，其中，获取工具用于获取访问流量信息，镜像工具用于将获取工具所获取的访问流量信息复制到分析系统中。
118.在一种可选的实施方式中，
119.所述流量镜像工具包括获取工具和镜像工具，所述流量工具预先安装于业务系统的前端负载侧，
120.所述基于在多个业务场景中预设的流量镜像工具，获取用户访问业务场景的访问流量信息的方法包括：
121.所述获取工具获取业务系统的第一接口中所有的原始访问流量信息；
122.所述镜像工具将所述原始访问流量信息通过分析系统的第二接口复制到所述分析系统中，用以获取并分析访问流量信息。
123.示例性地，本公开实施例的流量工具可以预先安装在业务系统的前端负载侧，后台接口并发量大，一般后台接口会有多个，需要前端去判定到底去请求哪个负载均衡器，但是实际过程，往往没有这样的条件，通过将流量工具预先安装在业务系统的前端负载侧，便于业务监测和故障定位，网络管理员时常要获取设备上的业务报文进行分析。
124.以业务场景为登录场景和注册场景为例，可以将所有的登录场景和注册场景中访问流量信息和关键业务流量进行旁路采集。
125.本公开的获取工具可以通过第一接口获取业务系统的所有原始访问流量信息，并且通过第二接口复制到分析系统中，将流量进行转发，能够降低业务系统的处理压力，通过分析系统专门分析流量信息，不仅针对性强而且效率更高。
126.在一种可选的实施方式中，
127.所述业务场景包括用户注册场景、用户登录场景和免注册登录场景中任意一种；
128.所述获取用户访问业务场景的访问流量信息之前，所述方法还包括：
129.确定用户访问的当前业务场景；
130.若当前业务场景为用户注册场景，则为所述用户适配注册所需的第一验证策略，并输出第一提示信息；
131.若当前业务场景为用户登录场景，则为所述用户适配登录所需的第二验证策略，并输出第二提示信息；
132.若当前业务场景为免注册登录场景，则为所述用户适配免注册登录所需的第三验证策略，并输出第三提示信息。
133.需要说明的是，本公开实施例中业务场景包括用户注册场景、用户登录场景以及免注册登录场景只是示例性说明，本公开实施例对业务场景的具体类型并不进行限定。
134.以当前业务场景为用户注册场景为例，可以为用户适配注册所需的第一验证策略，并输出第一提示信息，其中，
135.第一验证策略可以包括用户注册后，根据注册信息开启多重安全验证，若多重安全验证通过后，则输出第一提示信息；
136.其中，用户已经注册，为了避免信息泄露，可以直接根据注册信息开启短信验证，若业务场景的安全性较低，例如为非金融领域的场景，则可以提示信息“您已注册”，若是金融领域，则继续进行安全验证；
137.若短信验证通过，则可以调用第三方接口，例如执法部门的接口进行人脸识别验证；
138.若多重验证均无问题，则可以输出第一提示信息。
139.可选地，第一提示信息可以为“您已注册，可直接登录”或者“同一用户，只能注册一个账号”；多重安全验证可以包括短信验证、人脸识别验证、邮箱验证中任意一种。
140.以当前业务场景为用户登录场景为例，可以为用户适配登录所需的第二验证策略，并输出第二提示信息，其中，
141.第二验证策略可以包括用户未注册进行登录，则开启短信验证；短信验证通过后，
142.如果安全性较低，则提示客户未注册，并且进行注册界面；
143.如果安全性较高，则进行人脸识别验证，后台系统可以记录每张人脸绑定唯一的账号，避免同一用户进行多账户注册。
144.可选地，第二提示信息包括为“您未注册，请先注册”或者“同一用户，只能登录一个账号”。
145.以当前业务场景为免注册登录场景为例，可以为用户适配免注册登录所需的第三验证策略，并输出第三提示信息，其中，
146.第三验证策略可以包括在用户免注册登录场景下，引入第三方验证，由第三方进行用户身份验证，当第三方验证通过后，输出第三提示信息，其中，
147.第三提示信息可以包括“您通过第三方验证”。
148.本公开实施例针对不同的业务场景，采用对应的验证策略，能够有效避免用户访问业务场景时用户信息泄露。
149.s102、提取所述访问流量信息中的行为特征信息；
150.示例性地，本公开实施例的行为特征信息可以包括用户身份信息以及行为信息，每个用户身份信息对应多个行为信息；
151.其中，用户身份信息可以包括用户id、用户访问地理位置信息、用户访问设备信息，行为信息可以包括用户访问时间、用户访问动作、用户访问频率以及用户访问对象。
152.需要说明的是，本公开实施例对用户身份信息和行为信息的类别只是示例性地说明，本公开实施例对用户身份信息和行为信息并不进行具体限定。
153.在一种可选的实施方式中，
154.所述提取所述访问流量信息中的行为特征信息的方法包括：
155.提取所述行为特征信息中的用户身份信息，并提取所述用户身份信息对应的多个行为信息，其中，
156.所述行为信息包括当前行为信息与多个历史行为信息，所述历史行为信息与所述当前行为信息相距预设时间长度。
157.示例性地，可以获取用户当前行为信息，并且关联该用户与当前行为信息相距预设时间长度的多个历史信息，以预设时间长度为1个月为例，可以获取该用户前一个月的历史访问流量信息。
158.本公开的行为特征信息包括用户身份信息以及行为信息，每个用户身份信息对应多个行为信息，根据行为特征信息检测用户访问业务场景的行为是否异常。
159.s103、根据所述行为特征信息，基于预设的第三方数据库和/或预设的行为检测模型，确定用户访问业务场景的行为是否异常。
160.示例性地，本公开的第三方数据库可以包括黑灰产数据库，黑灰产数据库可以预先录入用户异常行为信息，和异常用户信息；
161.本公开的行为检测模型，能够根据所输入的行为特征信息，输入每个行为特征信息对应的行为检测值，根据行为检测值判断用户行为是否异常。
162.在一种可选的实施方式中，
163.所述根据所述行为特征信息，基于预设的第三方数据库，确定用户访问业务场景的行为是否异常的方法包括：
164.根据所述行为特征信息中的行为信息，基于所述第三方数据库，匹配所述第三方数据库中与所述行为信息相同类别的预设行为信息，
165.若相匹配，则确定用户访问业务场景的行为异常。
166.示例性地，第三方数据库可以预先存储有多种异常访问行为，可以获取行为特征信息中的行为信息，将其与第三方数据库中与行为信息相同类别的预设行为信息进行匹配，其中，
167.匹配方法可以包括计算行为特征信息中的行为信息与预设行为信息的关联度；若关联度大于预设关联度阈值，则可以认定该用户访问业务场景的行为异常。
168.需要说明的是，本公开实施例的预设关联度阈值可以根据数据库以及用户的实际需要进行设定，本公开实施例对预设关联度阈值的具体值并不进行限定。本公开实施例关联度的计算方法可以参考现有的关联度计算方法，本公开实施例对此不进行展开。
169.在一种可选的实施方式中，
170.所述根据所述行为特征信息，基于预设的行为检测模型，确定用户访问业务场景的行为是否异常的方法包括：
171.提取所述行为特征信息中用户身份信息对应的多个行为信息，将其输入所述行为检测模型，获取每个行为信息对应的行为检测值；
172.获取所述行为检测值与所述行为检测模型中预设的行为标准值的差值范围；
173.若所述差值范围超出预设行为基准范围，则确定用户访问业务场景的行为异常。
174.示例性地，本公开的行为检测模型用于指示输入模型的行为信息的行为检测值，本公开实施例以孤立森林模型为例，需要说明的是，孤立森林模型只是示例性的说明，本公
开实施例对于行为检测模型的具体类型并不进行限定。为了说明的方便，本公开实施例后续以孤立森林模型指代行为检测模型进行说明。
175.孤立森林模型是一种适用于连续数据(continuous numerical data)的无监督异常检测方法，即不需要有标记的样本来训练。在孤立森林模型中，递归地随机分割数据集，直到所有的样本点都是孤立的。在这种随机分割的策略下，异常点通常具有较短的路径。直观上来讲，那些密度很高的簇是需要被切很多次才能被孤立，但是那些密度很低的点很容易就可以被孤立。
176.假设t是孤立森林树的一个节点，它要么是没有子节点的叶子节点，要么是只有两个子节点(t
l
,tr)的内部节点。每一步分割，都包含特征q和分割值p，将q《p的数据分到t
l
，将q≥p的数据分到tr。
177.给定n个样本数据x＝{x1,
…
xn},其中，本公开实施例的样本数据可以包括用户身份信息对应的多个行为信息，特征的维度为d。
178.为了构建一棵孤立树，需要随机选择一个特征q及其分割值p，递归地分割数据集x，直到满足以下任意一个条件：
179.(1)孤立树达到了限制的高度；
180.(2)节点上只有一个样本；
181.(3)节点上的样本所有特征都相同。
182.异常检测的任务是给出一个反应异常程度的排序，常用的排序方法是根据样本点的路径长度或异常得分来排序，异常点就是排在最前面的那些点。
183.其中，可以定义样本点x的路径长度h(x)为从itree的根节点到叶子节点所经过的边的数量；
184.给定一个包含n个样本的数据集，树的平均路径长度为:
[0185][0186]
其中，h()为调和数，c(n)为给定样本数n时，路径长度的平均值，用来标准化样本点x的路径长度。
[0187]
样本点x的行为检测值定义为：
[0188][0189]
其中，e(h(x))为样本x在一批孤立树中的路径长度的期望。
[0190]
当e(h(x))
→
c(n)时，s
→
0.5，即样本点的路径平均长度与树的平均路径长度相似，不能区分为是否异常；
[0191]
当e(h(x))
→
0时，s
→
1，即样本点的异常分数接近1时，则可以判定为异常；
[0192]
当e(h(x))
→
n-1时，s
→
0，则可以判定为正常。
[0193]
在一种可选的实施方式中，
[0194]
在基于预设的行为检测模型，确定用户访问业务场景的行为是否异常之前，所述方法还包括：
[0195]
基于预先构建的分布式计算框架训练所述行为检测模型，直至所述行为检测模型的检测结果满足预设阈值条件。
[0196]
在训练阶段，孤立树的建立是通过对训练集的递归分隔来建立的，直到所有的样本被孤立，或者树达到了指定的高度。孤立树的高度限制l与子样本数量的关系为:
[0197][0198]
它近似等于树的平均高度。树只生长到平均高度，而不继续生长的原因是，我们只关心路径长度较小的那些点，它们更有可能是异常点，而并不关系路径很长的正常点。
[0199]
示例性地，本公开实施例的分布式计算框架可以包括flink开源流处理框架，用以加强模型构建速度和流量检测效率。
[0200]
在一种可选的实施方式中，
[0201]
在确定用户访问业务场景的行为异常之后，所述方法还包括：
[0202]
对行为异常的用户进行二次认证，和/或
[0203]
重置行为异常的用户的登录令牌，和/或
[0204]
启动针对行为异常的用户的人脸识别，和/或
[0205]
对行为异常的用户进行阻断响应。
[0206]
在确定用户访问业务场景的行为异常后，可以进行如下操作：
[0207]
对于高危对象，可以对用户进行阻断响应，例如锁定用户、封锁ip等；
[0208]
对行为异常的用户可以进行至少两次短信验证，以防止短信拦截；
[0209]
对行为异常的用户还可以重置其登录令牌，强制行为异常的用户重新登录；
[0210]
对行为异常的用户启动人脸识别，在特定场景下，可以调用执法部门的人脸识别系统。
[0211]
本公开提供一种恶意用户行为检测方法，包括：
[0212]
基于在多个业务场景中预设的流量镜像工具，获取用户访问业务场景的访问流量信息；
[0213]
通过流量镜像工具，不仅能够获取用户当前访问业务场景的访问流量信息，还能够获取同一用户身份的历史访问流量信息，引入用户的历史行为，并对用户建立长期行为监控；
[0214]
提取所述访问流量信息中的行为特征信息；
[0215]
本公开的行为特征信息包括用户身份信息以及行为信息，每个用户身份信息对应多个行为信息，根据行为特征信息检测用户访问业务场景的行为是否异常；
[0216]
根据所述行为特征信息，基于预设的第三方数据库和/或预设的行为检测模型，确定用户访问业务场景的行为是否异常；
[0217]
通过第三方数据库，将行为特征信息中的行为信息与第三方数据库中与行为信息相同类别的预设行为信息进行匹配，借助外部信息，提升检测准确性和检测效率；
[0218]
通过行为检测模型，能够识别行为特征信息是否为机器行为，可以加强传统的基于规则的异常行为检测机制，在降低异常检测误报率的同时，提升异常判定的准确性。
[0219]
图3为本公开实施例的一种恶意用户行为检测装置的结构示意图，如图3所示，所述装置包括：
[0220]
第一单元31，用于基于在多个业务场景中预设的流量镜像工具，获取用户访问业务场景的访问流量信息；
[0221]
第二单元32，用于提取所述访问流量信息中的行为特征信息；
[0222]
第三单元33，用于根据所述行为特征信息，基于预设的第三方数据库和/或预设的行为检测模型，确定用户访问业务场景的行为是否异常。
[0223]
在一种可选的实施方式中，
[0224]
所述业务场景包括用户注册场景、用户登录场景和免注册登录场景中任意一种；
[0225]
所述装置还包括第四单元34，所述第四单元34用于：
[0226]
确定用户访问的当前业务场景；
[0227]
若当前业务场景为用户注册场景，则为所述用户适配注册所需的第一验证策略，并输出第一提示信息；
[0228]
若当前业务场景为用户登录场景，则为所述用户适配登录所需的第二验证策略，并输出第二提示信息；
[0229]
若当前业务场景为免注册登录场景，则为所述用户适配免注册登录所需的第三验证策略，并输出第三提示信息。
[0230]
在一种可选的实施方式中，
[0231]
所述流量镜像工具包括获取工具和镜像工具，所述流量工具预先安装于业务系统的前端负载侧，
[0232]
所述第一单元31还用于：
[0233]
所述获取工具获取业务系统的第一接口中所有的原始访问流量信息；
[0234]
所述镜像工具将所述原始访问流量信息通过分析系统的第二接口复制到所述分析系统中，用以获取并分析访问流量信息。
[0235]
在一种可选的实施方式中，
[0236]
所述行为特征信息包括用户身份信息以及行为信息，每个用户身份信息对应多个行为信息；
[0237]
所述第二单元32还用于：
[0238]
提取所述行为特征信息中的用户身份信息，并提取所述用户身份信息对应的多个行为信息，其中，
[0239]
所述行为信息包括当前行为信息与多个历史行为信息，所述历史行为信息与所述当前行为信息相距预设时间长度。
[0240]
在一种可选的实施方式中，
[0241]
所述第三单元33还用于：
[0242]
根据所述行为特征信息中的行为信息，基于所述第三方数据库，匹配所述第三方数据库中与所述行为信息相同类别的预设行为信息，
[0243]
若相匹配，则确定用户访问业务场景的行为异常。
[0244]
在一种可选的实施方式中，
[0245]
所述第三单元33还用于：
[0246]
提取所述行为特征信息中用户身份信息对应的多个行为信息，将其输入所述行为检测模型，获取每个行为信息对应的行为检测值；
[0247]
获取所述行为检测值与所述行为检测模型中预设的行为标准值的差值范围；
[0248]
若所述差值范围超出预设行为基准范围，则确定用户访问业务场景的行为异常。
[0249]
在一种可选的实施方式中，
[0250]
所述装置还包括第五单元35，所述第五单元35用于：
[0251]
基于预先构建的分布式计算框架训练所述行为检测模型，直至所述行为检测模型的检测结果满足预设阈值条件。
[0252]
在一种可选的实施方式中，
[0253]
所述装置还包括第六单元36，所述第六单元36用于：
[0254]
对行为异常的用户进行二次认证，和/或
[0255]
重置行为异常的用户的登录令牌，和/或
[0256]
启动针对行为异常的用户的人脸识别，和/或
[0257]
对行为异常的用户进行阻断响应。
[0258]
需要说明的是，本公开的装置实施例的有益效果可以参考前述方法实施例的有益效果，本公开实施例对此不再赘述。
[0259]
本公开实施例的第三方面，提供一种电子设备，包括：
[0260]
处理器；
[0261]
用于存储处理器可执行指令的存储器；
[0262]
其中，所述处理器被配置为调用所述存储器存储的指令，以执行前述中任意一项所述的方法。
[0263]
本公开还提供一种程序产品，该程序产品包括执行指令，该执行指令存储在可读存储介质中。设备的至少一个处理器可以从可读存储介质读取该执行指令，至少一个处理器执行该执行指令使得设备实施上述的各种实施方式提供的方法。
[0264]
其中，可读存储介质可以是计算机存储介质，也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如，可读存储介质耦合至处理器，从而使处理器能够从该可读存储介质读取信息，且可向该可读存储介质写入信息。当然，可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(application specific integrated circuits，简称：asic)中。另外，该asic可以位于用户设备中。当然，处理器和可读存储介质也可以作为分立组件存在于通信设备中。可读存储介质可以是只读存储器(rom)、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
[0265]
在上述终端或者服务器的实施例中，应理解，处理器可以是中央处理单元(英文：central processing unit，简称：cpu)，还可以是其他通用处理器、数字信号处理器(英文：digital signal processor，简称：dsp)、专用集成电路(英文：application specific integrated circuit，简称：asic)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
[0266]
最后应说明的是：以上各实施例仅用以说明本公开的技术方案，而非对其限制；尽管参照前述各实施例对本公开进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。