一种可信行为识别的方法和装置制造方法及图纸

本申请提供了一种可信行为识别的方法和装置，其中所述方法包括：预置可信行为数据集合以及不可信行为数据集合；获取特定行为的目标页面焦点行为数据；判断所述目标页面焦点行为数据归属于可信行为数据集合或不可信行为数据集合；若归属于可信行为数据集合，则允许所述特定行为的执行；若归属于不可信行为数据集合，则中止所述特定行为的执行。本申请的一种可信行为识别的方法和装置，用以准确检测出网上的不可信行为，提高对可信行为识别的准确性，尤其是可信支付行为的准确性，从而提高用户网上操作的安全性。

【技术实现步骤摘要】
一种可信行为识别的方法和装置
本申请涉及可信计算的
，特别是涉及一种可信行为识别的方法和一种可信行为识别的装置。
技术介绍
随着网络技术和应用的飞速发展，互联网日益呈现出复杂、异构等特点，当前的网络体系已经暴露出严重的不足，网络正面临着严峻的安全和服务质量保证问题等重大挑战。例如，在网络支付中，用户账户存在大量风险。如：账户盗用、账户欺诈。账户欺诈又包含很多种形式，如用户被网络钓鱼、客户端中木马、被虚假客服欺诈等等。这些威胁严重影响了用户账户的资金安全、信息安全。目前，网络可信问题已得到全世界的重视，保障网络的可信成为网络进一步发展的迫切需求。可信计算是研究网络可信的关键，尽管目前尚没有一个明确的定义，但人们对可信计算的目的都有统一的认识：提高网络和服务的安全性。在可信计算中，可信信息的来源包括直接经验、推荐信息和用户的历史行为数据。其中，用户的历史行为数据是一个最客观的重要信息来源，其真实地反映了用户的行为变化，但要从庞杂的用户历史行为数据中提取出有用的信息是非常困难的。以网络支付中的可信行为识别为例，现有技术中，用户的行为风险分析是根据用户的业务行为进行判断的，如针对用户支付过程中，每个业务操作的行为：用户登录-》用户浏览商品页面-》用户下单购买-》用户确认支付进行如下分析：1)用户在以上整个支付环节中操作环境的可信度(如是否为异地登陆)；2)黑白名单可信度判断(如：付款IP地址是否在黑名单内)；3)创建交易的IP地址是否频率很快等。这种现有技术往往会出现以下问题：a)批量CC(ChallengeCollapsar)攻击引起的异常支付行为，特别是一些速率较慢的攻击方式，如：批量创建交易、炒作信用的行为，这些异常交易由于完全在攻击者控制之下进行，攻击者即是账户的所有者，基于用户支付行为的可信分析方法无法检测出异常；b)在正常用户电脑中木马，木马在用户电脑上自动创建交易、自动付款。比如：用户在中木马时，木马会在用户电脑上自动创建付款交易，如果用户没有使用安全认证产品、仅仅使用了数字证书，或者使用U盾且U盾正好插在电脑上的时候，就会被木马远程自动创建交易，造成用户资金损失。c)基于黑白名单、异地登陆等技术判断支付过程是否可信，往往会造成较大误杀。d)第三方支付平台还会遇到批量盗用的事件。黑客利用各种方式获取用户认证信息，并且，使用机器爬虫进行批量登录，批量付款，批量销赃，造成支付平台用户大量资金损失和信息泄露。以上只是列举了一些场景，在这些场景中，由于在用户登录-》用户浏览商品页面-》用户确认购买-》用户确认支付的过程中，用户业务行为都是正常的，无法检测出不可信的支付行为。即采用现有技术很难对可信行为进行准确识别，尤其是很难对可信支付行为进行准确识别。因此，目前需要本领域技术人员迫切解决的一个技术问题就是：提出一种可信行为识别的机制，用以准确检测出网上的不可信行为，提高对可信行为识别的准确性，尤其是可信支付行为的准确性，从而提高用户网上操作的安全性。
技术实现思路
本申请的目的是提供一种可信行为识别的方法和装置，用以准确检测出网上的不可信行为，提高对可信行为识别的准确性，尤其是可信支付行为的准确性，从而提高用户网上操作的安全性。为了解决上述问题，本申请公开了一种可信行为识别的方法，包括：预置可信行为数据集合以及不可信行为数据集合；获取特定行为的目标页面焦点行为数据；判断所述目标页面焦点行为数据归属于可信行为数据集合或不可信行为数据集合；若归属于可信行为数据集合，则允许所述特定行为的执行；若归属于不可信行为数据集合，则中止所述特定行为的执行。优选地，所述预置可信行为数据集合以及不可信行为数据集合的步骤包括：采集历史的页面焦点行为数据；将所述历史的页面焦点行为数据按指定格式转换为样本数据；对所述样本数据进行聚类，形成多个相似样本数据的集合；分别确定所述多个相似样本数据的集合的类别，所述类别为可信行为类别或不可信行为类别；将可信行为类别的相似样本数据集合组织为可信行为数据集合，将不可信行为类别的相似样本数据集合组织为不可信行为数据集合。优选地，所述页面焦点行为数据包括：在web页面上的焦点行为对象；失去/获得焦点行为对象的动作；失去/获得焦点行为对象的时间；焦点行为对象的特征信息，其中，所述特征信息包括：焦点行为对象在web页面上的位置；焦点行为对象的src属性以及herf属性；焦点行为对象的宽和高。优选地，所述预置可信行为数据集合以及不可信行为数据集合的步骤还包括；将所采集的历史页面焦点行为数据中的无效数据进行删除；从删除过无效数据的历史页面焦点行为数据中抽样出预设数量的历史页面焦点行为数据。优选地，所述每条样本数据包括如下数据内容：焦点移动最小距离a1：是指两两焦点行为对象操作移动距离的最小值；焦点移动最大距离a2：是指两两焦点行为对象操作移动距离的最大值；焦点移动平均距离a3：是指两两焦点行为对象操作移动距离的平均值；焦点移动最小速度a4：是指两两焦点行为对象操作移动速度的最小值；焦点移动最大速度a5：是指两两焦点行为对象操作移动速度的最大值；焦点移动平均速度a6：是指两两焦点行为对象操作移动速度的平均值；焦点移动总距离a7：是指所有两两焦点行为对象操作移动距离的总和。优选地，所述对样本数据进行聚类，形成多个相似样本数据的集合的步骤进一步包括：若样本数据的集合为D＝{X1，X2，…，Xn}，样本数据的容量为n，Xi为某一样本数据，i∈[1,n]，X＝{a1，a2，…，a7).使用聚类算法对所述样本数据的集合进行聚类，假设k表示聚类的样本数据的数目，Cj，j∈[1，k]表示第j个相似样本数据集合，则聚类后的类别相似样本数据集合为：H＝{C1，C2，...，Ck}；其中，所述聚类算法为：假设mj为聚类Cj，j∈[1，k]的聚类中心，Similar(Xi，mj)为Xi和mj的相似度，即某条样本数据Xi和某个相似样本数据集合Cj的相似度；定义Similarmin为类别最小相似度，Similar(Xi，mj)≥Similarmin，且Similar(Xi，mj)是Xi和所有类别聚类中心的最大相似度，为Xi属于某个相似样本数据集合Cj的充分必要条件，其中，所述相似度采用欧式距离取倒数的计算方法。优选地，所述分别确定多个相似样本数据的集合的类别的步骤进一步包括：获取所述相似样本数据集合中样本数据的IP地址；统计所述相似样本数据集合中各IP地址所占百分比的均值，若高于第一预设阈值，则判定当前相似样本数据集合的类别为不可信行为类别；若低于第一预设阈值，则判定当前相似样本数据集合的类别为可信行为类别。优选地，所述分别确定多个相似样本数据的集合的类别的步骤进一步包括：获取所述相似样本数据集合中样本数据的IP地址和/或MAC地址；统计所述相似样本数据集合中IP地址和/或MAC地址出现在黑名单中的比率和出现在白名单中的比率；若出现在黑名单中的比率高于第二预设阈值，且出现在白名单中的比率低于第三预设阈值，则判定当前相似样本数据集合的类别为不可信行为类别；若出现在白名单中的比率高于第三预设阈值，且出现在黑名单中的比率低于第二预设阈值，则判定当前相似样本数据集合的类别为可信行为类别；若出现在白名单中的比率低于第三预设阈本文档来自技高网...

【技术保护点】
一种可信行为识别的方法，其特征在于，包括：预置可信行为数据集合以及不可信行为数据集合；获取特定行为的目标页面焦点行为数据；判断所述目标页面焦点行为数据归属于可信行为数据集合或不可信行为数据集合；若归属于可信行为数据集合，则允许所述特定行为的执行；若归属于不可信行为数据集合，则中止所述特定行为的执行。

【技术特征摘要】
1.一种可信行为识别的方法，其特征在于，包括：预置可信行为数据集合以及不可信行为数据集合；获取特定行为的目标页面焦点行为数据；判断所述目标页面焦点行为数据归属于可信行为数据集合或不可信行为数据集合；若归属于可信行为数据集合，则允许所述特定行为的执行；若归属于不可信行为数据集合，则中止所述特定行为的执行；其中，所述页面焦点行为数据包括：在web页面上的焦点行为对象；失去/获得焦点行为对象的动作；失去/获得焦点行为对象的时间；焦点行为对象的特征信息，其中，所述特征信息包括：焦点行为对象在web页面上的位置；焦点行为对象的src属性以及herf属性；焦点行为对象的宽和高。2.根据权利要求1所述的方法，其特征在于，所述预置可信行为数据集合以及不可信行为数据集合的步骤包括：采集历史的页面焦点行为数据；将所述历史的页面焦点行为数据按指定格式转换为样本数据；对所述样本数据进行聚类，形成多个相似样本数据的集合；分别确定所述多个相似样本数据的集合的类别，所述类别为可信行为类别或不可信行为类别；将可信行为类别的相似样本数据集合组织为可信行为数据集合，将不可信行为类别的相似样本数据集合组织为不可信行为数据集合。3.根据权利要求1所述的方法，其特征在于，所述预置可信行为数据集合以及不可信行为数据集合的步骤还包括：将所采集的历史页面焦点行为数据中的无效数据进行删除；从删除过无效数据的历史页面焦点行为数据中抽样出预设数量的历史页面焦点行为数据。4.根据权利要求2所述的方法，其特征在于，每条样本数据包括如下数据内容：焦点移动最小距离a1：是指两两焦点行为对象操作移动距离的最小值；焦点移动最大距离a2：是指两两焦点行为对象操作移动距离的最大值；焦点移动平均距离a3：是指两两焦点行为对象操作移动距离的平均值；焦点移动最小速度a4：是指两两焦点行为对象操作移动速度的最小值；焦点移动最大速度a5：是指两两焦点行为对象操作移动速度的最大值；焦点移动平均速度a6：是指两两焦点行为对象操作移动速度的平均值；焦点移动总距离a7：是指所有两两焦点行为对象操作移动距离的总和。5.根据权利要求4所述的方法，其特征在于，对样本数据进行聚类，形成多个相似样本数据的集合的步骤进一步包括：若样本数据的集合为D＝{X1，X2，...，Xn}，样本数据的容量为n，Xi为某一样本数据，i∈[1,n]，X＝{a1，a2，...，aT}；使用聚类算法对所述样本数据的集合进行聚类，假设k表示聚类的样本数据的数目，Cj，j∈[1，k]表示第j个相似样本数据集合，则聚类后的类别相似样本数据集合为：H＝{C1，C2，...，Ck}；其中，所述聚类算法为：假设mj为聚类Cj，j∈[1，k]的聚类中心，Similar(Xi，mj)为xi和mj的相似度，即某条样本数据xi和某个相似样本数据集合cj的相似度；定义Similarmin为类别最小相似度，Similar(Xi，mj)≥Similarmin，且Similar(Xi，mj)是Xi和所有类别聚类中心的最大相似度，为Xi属于某个相似样本数据集合Cj的充分必要条件，其中，所述相似度采用欧式距离取倒数的计算方法。6.根据权利要求5所述的方法，其特征在于，分别确定多个相似样本数据的集合的类别的步骤进一步包括：获取所述相似样本数据集合中样本数据的IP地址；统计所述相似样本数据集合中各IP地址所占百分比的均值，若高于第一预设阈值，则判定当前相似样本数据集合的类别为不可信行为类别；若低于第一预设阈值，则判定当前相似样本数据集合的类别为可信行为类别。7.根据权利要求5所述的方法，其特征在于，分别确定多个相似样本数据的集合的类别的步骤进一步包括：获取所述相似样本数据集合中样本数据的IP地址和/或MAC地址；统计所述相似样本数据集合中IP地址和/或MAC地址出现在黑名单中的比率和出现在白名单中的比率；若出现在黑名单中的比率高于第二预设阈值，且出现在白名单中的比率低于第三预设阈值，则判定当前相似样本数据集合的类别为不可信行为类别；若出现在白名单中的比率高于第三预设阈值，且出现在黑名单中的比率低于第二预设阈值，则判定当前相似样本数据集合的类别为可信行为类别；若出现在白名单中的比率低于第三预设阈值，且出现在黑名单中的比率低于第二预设阈值，或者，若出现在白名单中的比率高于第三预设阈值，且出现在黑名单中的比率高于第二预设阈值，则统计所述相似样本数据集合中各IP地址所占百分比的均值，若高于第一预设阈值，则判定当前相似样本数据集合的类别为不可信行为类别；若低于第一预设阈值，则判定当前相似样本数据集合的类别为可信行为类别。8.根据权利要求1或2或4或5或6或7所述的方法，其特征在于，还包括：定期更新所述可信行为数据集合以及不可信行为数据集合。9.根据权利要求5或6或7所述的方法，其特征在于，所述判断目标页面焦点行为数据归属于可信行为数据集合或不可信行为数据集合的步骤包括：将所述目标页面焦点行为数据中的无效数据进行删除；将删除过无效数据的...

【专利技术属性】
技术研发人员：李剑，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：