异常攻击检测方法、装置、设备及存储介质与流程

1.本技术涉及数据处理技术领域，尤其涉及一种异常攻击检测方法、装置、设备及存储介质。


背景技术：

2.随着互联网技术的发展，车险行业内的同业竞争也日益激烈。通过爬虫攻击获取其他商家的报价数据为同业竞争的主要手段。为了保障车险业务数据的安全，如何精准识别车险业务中的爬虫攻击行为，以便进行反爬虫处理是一个亟需解决的问题。


技术实现要素：

3.本技术实施例提供了一种异常攻击检测方法、装置、设备及存储介质。可以基于目标标识信息确定第一异常检测结果，以及基于车险日志信息确定第二异常检测结果，使得基于第一异常检测结果和第二异常检测结果确定的目标异常检测结果更准确，可以精准识别车险业务中的异常攻击行为(即爬虫攻击行为)。
4.第一方面，本技术实施例提供了一种异常攻击检测方法，该异常攻击检测方法包括：
5.获取目标账号对应的目标标识信息，并调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果；
6.获取目标账号在预设检测时间窗内的车险日志信息，对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息；
7.根据预设检测时间窗内的统计信息与参考阈值确定第二异常检测结果；
8.基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果。
9.第二方面，本技术实施例提供了一种异常攻击检测装置，该异常攻击检测装置包括：
10.异常检测单元，用于获取目标账号对应的目标标识信息，并调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果；
11.统计分析单元，用于获取目标账号在预设检测时间窗内的车险日志信息，对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息；
12.确定单元，用于根据预设检测时间窗内的统计信息与参考阈值确定第二异常检测结果；
13.确定单元还用于基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果。
14.第三方面，本技术实施例还提供了一种异常攻击检测设备，包括输入接口、输出接口，该异常攻击检测设备还包括：
15.处理器，适于实现一条或多条指令；以及，
16.计算机存储介质，该计算机存储介质存储有一条或多条指令，该一条或多条指令
适于由处理器加载并执行第一方面所述的方法。
17.第四方面，本技术实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序指令，计算机程序指令被处理器执行时，用于执行第一方面所述的方法。
18.在本技术实施例中，异常攻击检测设备可以基于异常检测模型对目标标识信息进行异常检测得到第一异常检测结果，以及对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息，并根据预设检测时间窗内的统计信息与参考阈值确定第二异常检测结果。异常攻击检测设备在识别车险业务数据的爬虫攻击行为时，同时考虑了目标标识信息对应的异常以及车险日志信息对应的异常，使得基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果更准确，即目标异常检测结果所指示的爬虫攻击行为更准确，从而使得基于该目标异常检测结果执行的反爬虫策略也准确。可以精准识别车险业务中的爬虫攻击行为，以便进行反爬虫处理。
附图说明
19.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1是本技术实施例提供的一种车险业务系统的架构示意图；
21.图2是本技术实施例提供的一种异常攻击检测方法的流程示意图；
22.图3是本技术实施例提供的一种预处理的流程示意图；
23.图4是本技术实施例提供的另一种异常攻击检测方法的流程示意图；
24.图5是本技术实施例提供的一种异常攻击检测装置的结构示意图；
25.图6是本技术实施例提供的一种异常攻击检测设备的结构示意图。
具体实施方式
26.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
27.在当今的大数据时代，数据已经成为企业的核心资产之一。随着各类企业网络数据需求的不断增长，恶意的爬虫攻击也在快速增长。其中，爬虫攻击是基于爬虫技术非法爬取未授权平台数据，大量的爬虫攻击不仅会影响正常用户的访问，还会给企业带来极大的威胁。针对车险行业来说，车险业务数据也会被恶意窃取。为了保障车险业务数据的安全，如何精准识别车险业务中的爬虫攻击行为，以便进行反爬虫处理是一个亟需解决的问题。
28.基于此，本技术实施例提供了一种异常攻击检测方法，异常攻击检测设备可以获取目标账号对应的目标标识信息，并调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果，获取目标账号在预设检测时间窗内的车险日志信息，对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息；根据预设检测
时间窗内的统计信息与参考阈值确定第二异常检测结果；基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果。可以基于目标标识信息确定第一异常检测结果，以及基于车险日志信息确定第二异常检测结果，使得基于第一异常检测结果和第二异常检测结果确定的目标异常检测结果更准确，可以精准识别车险业务中的异常攻击行为(即爬虫攻击行为)。
29.需要说明，其中，本技术所提及的异常检测模型可以是基于人工智能(artificial intelligence，ai)技术中的机器学习算法构建的。其中，人工智能是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
30.在一个实施例中，本技术所提及的异常攻击检测方法可以应用于车险业务系统中。如图1所示，该车险业务系统可至少包括异常攻击检测设备11以及数据存储设备12。其中，异常攻击检测设备11可以是具有数据处理能力的设备，可以执行本技术实施例所提及的异常攻击检测方法。如图1所示，异常攻击检测设备可以是终端设备，该终端设备可以包括但不限于：智能手机、平板电脑、膝上计算机、可穿戴设备、台式计算机，等等。需要说明的是，该异常攻击检测设备还可以是服务器，该服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、内容分发网络(content delivery network，cdn)、中间件服务、域名服务、安全服务以及大数据和人工智能平台等基础云计算服务的云服务器，等等。其中，数据存储设备12可以是具有数据存储功能的任意设备，可以用于存储车险业务数据。如图1所示，该数据存储设备12可以为服务器，在其他实施例中，该数据存储设备12也可以为其他设备，例如磁盘。
31.基于上述描述，下面详细阐述本技术实施例的异常攻击检测方法。参见图2所示，图2示出了一种异常攻击检测方法的流程示意图。如图2所示，该异常攻击检测方法包括s201-s204：
32.s201：获取目标账号对应的目标标识信息，并调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果。
33.其中，标识信息可以用于标识目标账号，该标识信息可以包括但不限于登录账号和/或设备标识。其中，登录账号可以为目标账号在车险业务系统内的登录账号，该登录账号可以包括但不限于用户id号、手机号码、身份证号、邮箱地址中的一项或多项。其中，设备标识可以为目标账号登录车险业务系统使用设备对应的设备标识，该设备标识可以包括但不限于ip地址、mac地址以及根据ip地址和/或mac地址生成的设备指纹中的一项或多项。
34.可选的，异常攻击检测设备可以从数据存储设备的数据库中获取目标账号对应的目标标识信息。该数据库可以存储有车险业务系统内的标识信息，例如，该数据存储设备部署有kafka平台，该kafka平台内的数据库可以存储车险业务系统内的标识信息。具体的，可以在车险业务系统内集成数据收集组件(如瑞数sdk)，当用户通过账号登录车险业务系统时，可以调用数据收集组件收集对应的标识信息，并将标识信息存储至数据库。
35.在一个实施例中，该异常检测模型中可以包括分类任务，调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果，包括：获取目标标识信息对应的向量表达式，调用异常检测模型对目标标识信息对应的向量表达式进行分类处理，确定向量表达式所属的目标标识子集，将目标标识子集指示的异常类型作为第一异常检测结果。
36.其中，异常类型可以有多种形式。例如，异常类型包括：有异常攻击和无异常攻击。又例如，异常类型包括：高危异常攻击、一般异常攻击和无异常攻击，等等。本技术对此不做限定。需要说明的是，本技术所提及的异常类型可以对应爬虫攻击行为，例如，有异常攻击可以是指具有爬虫攻击行为，无异常攻击可以是指不具有爬虫攻击行为。又例如，高危异常攻击可以是指具有严重的爬虫攻击行为，一般异常攻击可以是指具有可疑的爬虫攻击行为，无异常攻击可以是指不存在爬虫攻击行为等等。
37.可选的，异常攻击检测设备可以采用编码方法分别对目标标识信息包括的目标登录账号以及目标设备标识进行编码处理，构造目标登录账号对应的第一子向量以及目标设备标识对应的第二字向量。然后对第一子向量以及第二字向量进行特征提取得到目标标识信息对应的向量表达式。
38.其中，本技术对编码方法不做限定，该编码方法可以为独热编码(one-hot编码)、嵌入编码、硬编码(label encoding)和目标变量编码(target encoding)等等。
39.其中，可以通过特征提取层对第一子向量以及第二字向量进行特征处理得到目标标识信息对应的向量表达式。该特征提取层可以包括级联单元以及交叉单元。该级联单元用于将第一子向量以及第二子向量进行拼接得到拼接向量。该交叉单元用于基于交叉特征算法(例如fm算法)对拼接向量进行处理得到交叉向量，可以将该交叉向量作为目标标识信息对应的向量表达式。该特征提取层包括级联单元和交叉单元，通过特征提取层使得目标标识信息对应的向量表达式更准确，更全面。
40.一个实施例中，在调用异常检测模型对目标标识信息对应的向量表达式进行分类处理，确定向量表达式对应的目标标识子集之前，还需要确定目标标识子集对应的多个样本标识子集。包括：获取样本标识集，并对样本标识集中的各样本标识信息进行向量转换，确定样本标识集中每个样本标识信息对应的样本向量；根据每个样本标识信息对应的样本向量对样本标识信息集进行分类，得到不同类别下的样本标识子集，其中，一个类别下的样本标识子集中的样本标识信息对应的样本向量与一个待选择异常类型相对应。
41.需要说明的是，对样本标识集中的各样本标识信息进行向量转换的具体实现方式可以参见前文对目标标识信息进行向量转换的相关实施例，此处不做赘述。
42.其中，异常检测模型中的分类任务可以是基于人工智能的机器学习算法训练得到的，该机器学习算法可以包括但不限于决策树(decision tree，dt)算法、rocchio算法、极端梯度提升(xtreme gradient boosting，xgbooste)算法、朴素贝叶斯(naive bayes，nb)算法、线性判别分析(linear discriminant analysis，lda)、支持向量机(support vector machine，svm)算法、随机森林(random forest，rf)算法、以及逻辑回归(logistic regression，lr)算法中的一种或多种。
43.s202：获取目标账号在预设检测时间窗内的车险日志信息，对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息。
44.可选的，获取目标账号在预设检测时间窗内的车险日志信息具体包括：获取目标
账号在预设检测时间窗内的初始日志信息，对目标账号在预设检测时间窗内的初始日志信息进行预处理，得到目标账号在预设检测时间窗内的车险日志信息。如图3所示，图3示出了一种预处理的流程示意图，具体的，异常攻击检测设备可以对目标账号在预设检测时间窗内的初始日志信息进行数据筛选，并进行数据清洗，得到目标账号在预设检测时间窗内的车险日志信息。
45.数据筛选：本技术实施例所获取的车险日志信息，是有助于获取统计信息的日志信息，即本技术实施例所获取的车险日志信息是车险业务系统相关的车险日志信息，是特定类型的。然而，异常攻击检测设备获得的初始日志信息可能会包括不属于上述特定类型的日志信息。例如，开机日志等。异常攻击检测设备需要从初始日志信息中筛选出车险日志信息。
46.数据清洗：针对车险日志信息，数据清洗主要用于清除无用信息。例如，异常攻击检测设备可以清除特殊符号(如'#'，'《'，'》'，'&'，'@'，'！'，'('，')'，'*'，'_'等)，又例如，异常攻击检测设备可以清除格式信息(例如数字格式、英文格式等)。
47.可选的，可以通过flink平台实现上述的数据筛选和数据清洗过程。该flink平台是由apache软件基金会开发的开源流处理框架，可以利用java和scala编写的分布式数据流引擎，以数据并行和流水线方式执行数据流程序，该flink平台可以流水线执行批处理和数据流处理程序以对实时的初始日志信息进行筛选和清洗。
48.可选的，异常攻击检测设备可以从数据库中获取目标账号在预设时间窗内的初始日志信息。例如，kafka平台内的数据库可以存储初始日志信息。具体的，各个业务系统可以通过syslog服务将日志信息以连续流的方式发送给kafka平台，可以通过kafka平台在预设检测时间窗内获取目标账号对应的初始日志信息，由于kafka平台的高性能，可以非常轻量高效的实现当前需求。通过kafka平台存储日志信息，该日志信息可以被复用，可以应用于其他分析场景中，可以节省存储资源。
49.可选的，车险日志信息的格式可以包括但不限于csv、log或txt等格式。该车险日志信息可以包括每次查询车险资源的查询时间和车辆标识信息。其中，车辆标识信息可用于查询车险资源，该车辆标识信息包括但不限于车牌号、车架号和发动机号中的一种或多种。
50.一个实施例中，对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息包括：从车险日志信息中获取用于查询车险资源的车辆标识信息，统计预设检测时间窗内的车辆标识信息的数量，并将车辆标识信息的数量作为所述统计信息。
51.本技术实施例中，车险日志信息属于检测时间窗。任一个检测时间窗中的车险日志信息为查询车险资源的查询时间属于任一个检测时间窗的车险日志信息。其中，检测时间窗具有固定的窗口宽度。可选的，预设检测时间窗可以为包括在执行s202之前最新产生的车险日志信息的检测时间窗，即最新的检测时间窗。
52.举例来说，每个检测时间窗的窗口宽度为4分钟。异常攻击检测设备提取了7个车险日志信息，分别为日志信息1～日志信息7。车险日志信息1中查询车险资源的查询时间为时间1(为9:01:00)。车险日志信息2中查询车险资源的查询时间为时间2(为9:03:00)。车险日志信息3中查询车险资源的查询时间为时间3(为9:05:00)。车险日志信息4中查询车险资
源的查询时间为时间4(为9:06:00)。车险日志信息5中查询车险资源的查询时间为时间5(为9:08:00)。车险日志信息6中查询车险资源的查询时间为时间6(为9:09:00)。车险日志信息7中查询车险资源的查询时间为时间7(为9:10:00)。检测时间窗1对应9:01:00～9:04:00，检测时间窗2对应9:04:01～9:08:00，检测时间窗3对应9:08:01～9:12:00。由于，车险日志信息1～车险日志信息3中的查询时间1～查询时间3均属于检测时间窗1，车险日志信息4～车险日志信息5中的查询时间4～查询时间5均属于检测时间窗2，车险日志信息6～车险日志信息7中的查询时间6～查询时间7均属于检测时间窗3。因此，检测时间窗1中包括车险日志信息1～车险日志信息3，检测时间窗2中包括车险日志信息4～车险日志信息5，检测时间窗3包括车险日志信息5～车险日志信息7。
53.本技术实施例中，预设检测时间窗对应的统计信息可以包括预设检测时间窗中的车辆标识信息的数量。例如，在预设检测时间窗内查询车险资源时使用了多少个不同的车牌号，又例如，在预设检测时间窗内查询车险资源时使用了多少个不同的车架号，再例如，在预设检测时间窗内查询车险资源时使用了多少个不同的车发动机号。等等。
54.s203：根据预设检测时间窗内的统计信息与参考阈值确定第二异常检测结果。
55.一个实施例中，异常攻击检测设备可以将预设检测时间窗内的统计信息与参考阈值做比较，当预设检测时间窗内的统计信息大于参考阈值时，确定第二异常检测结果为第一类型。当预设检测时间窗对应的统计信息小于或等于参考阈值时，确定第二异常检测结果为第二类型。需要说明的是，第一类型和第二类型可以根据经验和业务需求进行设置，例如，可以将第一类型设置为有异常攻击，第二类型设置为无异常攻击。又例如，可以将第一类型设置为高危异常，第二类型设置为无异常攻击等等。
56.其中，参考阈值可以是根据群体特征确定的。可选的，可以基于jstorm确定参考阈值。其中，jstorm是一个类似hadoop mapreduce的系统。从应用的角度，jstorm应用是一种遵守某种编程规范的分布式应用。从系统角度，jstorm一套类似mapreduce的调度系统。从数据的角度，是一套基于流水线的消息处理机制。使用jstorm进行对车险业务系统内的所有用户账号的车险日志信息进行分析，能够达到实时高效的效果。jstorm可以确定预设检测时间窗内的群体特征。例如，群体在预设检测时间窗中的车辆标识信息的数量。例如，群体中的百分之八十在预设检测时间窗内查询车险资源时使用车辆标识信息的数量小于或等于5，那么可以将5作为参考阈值，基于群体数据确定的参考阈值更具代表性，从而基于参考阈值确定的第二异常检测结果的准确性更高。
57.s204：基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果。
58.一个实施例中，可以获取第一异常检测结果的注意力权重以及第二异常检测结果的注意力权重，基于第一异常检测结果的注意力权重以及第二异常检测结果的注意力权重对第一异常检测结果以及第二异常检测结果执行注意力处理，确定目标异常检测结果。
59.其中，注意力处理是指基于注意力权重集中在更重要的特征上，当第一异常检测结果较重要时，可以设置第一异常检测结果的注意力权重大于第二异常检测结果的注意力权重。当第二异常检测结果较重要时，可以设置第二异常检测结果的注意力权重大于第一异常检测结果的注意力权重。
60.另一个实施例中，可以对第一异常检测结果和第二异常检测结果执行或运算，得到目标异常检测结果。例如，当第一异常检测结果或者第二异常检测结果指示有异常攻击
时，目标异常检测结果为有异常攻击。
61.进一步的，还可以给目标异常检测结果划分更多等级。可以对第一异常检测结果和第二异常检测结果执行与运算，得到目标异常检测结果。例如，当第一异常检测结果包括两种类型(有异常攻击和无异常攻击)，第二异常检测结果包括两种类型(有异常攻击和无异常攻击)时，可以将目标异常检测结果划分为三种类型(高危异常攻击、一般异常攻击和无异常攻击)，当第一异常检测结果和第二异常检测结果均为有异常攻击时，可以确定目标异常检测结果为高危异常，当第一异常检测结果和第二异常检测结果中存在一个异常检测结果为有异常攻击时，可以确定目标异常检测结果为一般异常攻击，当第一异常检测结果和第二异常检测结果均为无异常攻击时，可以确定目标异常检测结果为无异常攻击。
62.一个实施例中，当确定了目标异常检测结果之后，异常攻击检测设备可以基于目标异常检测结果执行反爬虫策略。其中，反爬虫策略包括但不限于拉黑目标账号，或者限制目标账号的目标访问行为等等。不同的异常检测结果可以对应不同的反爬虫策略，例如，当目标账号的目标异常检测结果为高危异常攻击时，可以直接拉黑目标账号。当目标账号的目标异常检测结果为一般异常攻击时，可以限制目标账号查询车险资源的行为。
63.进一步，还可以存储目标账号对应的目标异常检测结果，作为证据，便于后续数据分析。例如，异常攻击检测设备可以将目标账号对应的目标异常检测结果上传至区块链网络。具体的，异常攻击检测设备可以将目标账号对应的目标异常检测结果上传至区块链网络中的共识节点，该共识节点对目标账号对应的目标异常检测结果进行共识验证，若共识验证通过，则将目标账号对应的目标异常检测结果封装成区块，并传入区块链网络。
64.其中，区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证数据不可篡改和不可伪造的分布式账本。多个独立的分布式节点保存相同的记录。区块链技术实现了去中心化，成为了可信的数字资产存储、转移和交易的基石。
65.在本技术实施例中，异常攻击检测设备可以基于异常检测模型对目标标识信息进行异常检测得到第一异常检测结果，以及对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息，并根据预设检测时间窗内的统计信息与参考阈值确定第二异常检测结果。异常攻击检测设备在识别车险业务数据的爬虫攻击行为时，同时考虑了目标标识信息对应的异常以及车险日志信息对应的异常，使得基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果更准确，即目标异常检测结果所指示的爬虫攻击行为更准确，从而使得基于该目标异常检测结果执行的反爬虫策略也准确。可以精准识别车险业务中的爬虫攻击行为，以便进行反爬虫处理。
66.参见上述图2所示方法实施例的相关描述可知，异常检测模型中包括分类任务，可以调用异常检测模型对目标标识信息对应的向量表达式进行分类处理，得到第一异常检测结果。参见图4，图4示出了另一种异常攻击检测方法的流程示意图。如图4所示，该异常攻击检测方法可以包括s401-s403：
67.s401：获取名单列表，在名单列表中查找目标登录账号对应的参考异常类型。
68.其中，名单列表用于指示登录账号与异常类型的关联关系。可选的，当异常类型包括：有异常攻击和无异常攻击时，名单列表可以为黑名单列表，该黑名单列表包括异常类型为有异常攻击的多个登录账号。根据名单列表以及目标登录账号确定参考异常类型，包括：
将目标登录账号与黑名单列表中各个登录账号进行匹配，当匹配成功时，确定参考异常类型为有异常攻击，当匹配失败时，确定参考异常类型为无异常攻击。
69.同理，名单列表可以为白名单列表，该白名单列表包括异常类型为无异常攻击的多个登录账号。根据名单列表以及目标登录账号确定参考异常类型，包括：将目标登录账号与白名单列表中各个登录账号进行匹配，当匹配成功时，确定参考异常类型为无异常攻击，当匹配失败时，确定参考异常类型为有异常攻击。
70.可选的，该名单列表中还可以直接指示登录账号与异常类型的关系。例如，该名单列表中可以包括登录账号列表项以及异常类型列表项，登录账号列表项用于存储登录账号，异常类型列表项用于存储异常类型，登录账号存储在登录账号列表项的第一位置处，对应的，异常类型存储在异常类型列表项中与第一位置对应的位置处。根据名单列表以及目标登录账号确定参考异常类型，包括：在名单列表的登录账号列表项中查找目标登录账号，确定目标登录账号在登录账号列表项的目标位置，将异常类型列表项中与目标位置对应位置处存储的异常类型确定为参考异常类型。
71.s402：从目标设备标识指示的目标设备中获取目标账号的历史行为数据，并调用异常检测模型对历史行为数据进行标签识别处理，确定参考异常标签。
72.其中，目标设备标识指示的目标设备可以是指目标用户登录目标账号的设备。可以根据目标设备标识确定目标设备，并从目标设备中获取目标账号的历史行为数据。其中，该历史行为数据可以包括但不限于目标设备的上传数据/下载数据、目标设备的系统更新数据以及目标设备的电池数据中的一项或多项。
73.其中，该异常检测模型中包括标签识别任务，可以通过标签识别任务对历史行为数据进行标签识别处理，确定参考异常标签。具体的，可以对历史行为数据进行特征提取，得到特征向量，调用异常检测模型对特征向量进行标签识别处理，从候选异常标签中确定参考异常标签。
74.可选的，由于需要针对每个标签进行判断，该异常检测模型中包括的标签识别任务可以为至少两个二分类任务，每个二分类任务对应一个候选异常标签。需要分别调用风险异常检测模型中的各个二分类任务对特征向量进行标签识别处理，从候选异常标签中确定参考风险异常标签。即每个候选异常标签对应的二分类任务用于判断目标设备是否包括这个候选异常标签。若包括，则将该候选异常标签确定为参考异常标签。
75.s403：基于参考异常类型以及参考异常标签确定所述第一异常检测结果。
76.一个实施例中，可以基于注意力机制对参考异常类型以及参考异常标签进行处理，确定第一异常检测结果。其中，注意力机制是指基于注意力权重将注意力集中在更重要的特征上。
77.在本技术实施例中，异常攻击检测设备在确定第一异常检测结果时，同时考虑了目标标识信息中目标登录账号指示的参考异常类型以及目标设备内的历史行为数据指示的参考异常标签，使得基于参考异常类型以及参考异常标签确定的第一异常检测结果更准确。
78.请参见图5，图5为本技术实施例提供的一种异常攻击检测装置的结构示意图，该异常攻击检测装置可以为前述方法实施例所提及的异常攻击检测设备，该异常攻击检测装置可以包括异常检测单元501、统计分析单元502以及确定单元503。
79.异常检测单元501，用于获取目标账号对应的目标标识信息，并调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果；
80.统计分析单元502，用于获取目标账号在预设检测时间窗内的车险日志信息，对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息；
81.确定单元503，用于根据预设检测时间窗内的统计信息与参考阈值确定第二异常检测结果；
82.确定单元503还用于基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果。
83.在一个实施例中，异常检测单元501用于调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果，包括：
84.获取目标标识信息对应的向量表达式；
85.调用异常检测模型对目标标识信息对应的向量表达式进行分类处理，确定向量表达式所属的目标标识子集；
86.将目标标识子集指示的异常类型作为第一异常检测结果。
87.在一个实施例中，所述目标标识子集对应多个样本标识子集，异常检测单元501还用于确定多个样本标识子集：
88.获取样本标识集，并对样本标识集中的各样本标识信息进行向量转换，确定样本标识集中每个样本标识信息对应的样本向量；
89.根据每个样本标识信息对应的样本向量对样本标识集进行分类，得到不同类别下的样本标识子集，其中，一个类别下的样本标识子集中的样本标识信息对应的样本向量与一个待选择异常类型相对应。
90.在一个实施例中，目标标识信息包括目标登录账号和目标设备标识，异常检测单元501用于调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果，包括：
91.获取名单列表，在名单列表中查找目标登录账号对应的参考异常类型；
92.从目标设备标识指示的目标设备中获取目标账号的历史行为数据，并调用异常检测模型对历史行为数据进行标签识别处理，确定参考异常标签；
93.基于参考异常类型以及参考异常标签确定第一异常检测结果。
94.在一个实施例中，异常检测模型中包括至少两个二分类任务，每个二分类任务对应一个候选异常标签，异常检测单元501用于调用异常检测模型对历史行为数据进行标签识别处理，确定参考异常标签，包括：
95.对历史行为数据进行特征提取得到特征向量；
96.分别调用异常检测模型中的各个二分类任务对特征向量进行标签识别处理，从候选标签中确定参考异常标签。
97.在一个实施例中，统计分析单元502用于对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息，包括：
98.从车险日志信息中获取用于查询车险资源的车辆标识信息；统计预设检测时间窗内的车辆标识信息的数量，并将车辆标识信息的数量作为统计信息。
99.在一个实施例中，确定单元503用于基于第一异常检测结果以及第二异常检测结
果确定目标异常检测结果，包括：
100.获取第一异常检测结果的注意力权重以及第二异常检测结果的注意力权重；
101.基于第一异常检测结果的注意力权重以及第二异常检测结果的注意力权重，对第一异常检测结果以及第二异常检测结果执行注意力处理，确定目标异常检测结果。
102.根据本技术的另一个实施例，图5所示的异常攻击检测装置中的各个单元可以分别或者全部合并为一个或若干个另外的单元来构成，或者其中的某个(些)单元还可以再拆分为功能上更小的多个单元来构成，这可以实现同样的操作，而不影响本技术实施例的技术效果的实现。上述单元是基于逻辑功能划分的，在实际应用中，一个单元的功能也可以是由多个单元来实现，或者多个单元的功能由一个单元实现。在本技术的其他实施例中，异常攻击检测装置也可以包括其他单元，在实际应用中，这些功能也可以由其他单元协助实现，并且可以由多个单元协作实现。
103.根据本技术的另一个实施例，可以通过包括中央处理单元(central processing unit，cpu)，随机存取存储介质(ram)、只读存储介质(rom)等处理元件和存储元件。例如计算机的通用计算设备上运行能够执行如图2或图4中所示的相应方法所涉及的各步骤的计算机程序(包括程序代码)，来构造如图5所示的异常攻击检测装置，以及来实现本技术实施例的异常攻击检测方法。该计算机程序可以记载于例如计算机可读记录介质上，并通过计算机可读记录介质装载于上述异常攻击检测设备中，并在其中运行。
104.在本技术实施例中，异常攻击检测装置可以基于异常检测模型对目标标识信息进行异常检测得到第一异常检测结果，以及对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息，并根据预设检测时间窗内的统计信息与参考阈值确定第二异常检测结果。异常攻击检测装置在识别车险业务数据的爬虫攻击行为时，同时考虑了目标标识信息对应的异常以及车险日志信息对应的异常，使得基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果更准确，即目标异常检测结果所指示的爬虫攻击行为更准确，从而使得基于该目标异常检测结果执行的反爬虫策略也准确。可以精准识别车险业务中的爬虫攻击行为，以便进行反爬虫处理。
105.请参阅图6，图6为本技术实施例提供的一种异常攻击检测设备的结构示意图。该异常攻击检测设备可以包括：一个或多个处理器601；一个或多个输入接口602，一个或多个输出接口603和计算机存储介质604。上述处理器601、输入接口602、输出接口603以及计算机存储介质604通过总线或其他方式连接。计算机存储介质604是异常攻击检测设备中的记忆设备，用于存放程序和数据。可以理解的是，此处的计算机存储介质604既可以包括异常攻击检测设备的内置存储介质，当然也可以包括异常攻击检测设备支持的扩展存储介质。计算机存储介质604提供存储空间，该存储空间存储了异常攻击检测设备的操作系统。并且，在该存储空间中还存放了适于被处理器601加载并执行的一条或多条指令，这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是，此处的计算机存储介质可以是高速ram存储器；可选的，还可以是至少一个远离前述处理器的计算机存储介质、该处理器可以称为中央处理单元(central processing unit，cpu)，是异常攻击检测设备的核心以及控制中心，适于被实现一条或多条指令，具体加载并执行一条或多条指令从而实现相应的方法流程或功能。
106.在一个实施例中，可由处理器601加载并执行计算机存储介质604中存放的一条或
多条指令，以实现执行如图2或图4中所示的相应方法所涉及的各步骤，具体实现中，计算机存储介质604中的一条或多条指令由处理器601加载并执行以下步骤：
107.获取目标账号对应的目标标识信息，并调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果；
108.获取目标账号在预设检测时间窗内的车险日志信息，对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息；
109.根据预设检测时间窗内的统计信息与参考阈值确定第二异常检测结果；
110.基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果。
111.在一个实施例中，处理器601用于调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果，包括：
112.获取目标标识信息对应的向量表达式；
113.调用异常检测模型对目标标识信息对应的向量表达式进行分类处理，确定向量表达式所属的目标标识子集；
114.将目标标识子集指示的异常类型作为第一异常检测结果。
115.在一个实施例中，所述目标标识子集对应多个样本标识子集，处理器601还用于确定多个样本标识子集：
116.获取样本标识集，并对样本标识集中的各样本标识信息进行向量转换，确定样本标识集中每个样本标识信息对应的样本向量；
117.根据每个样本标识信息对应的样本向量对样本标识集进行分类，得到不同类别下的样本标识子集，其中，一个类别下的样本标识子集中的样本标识信息对应的样本向量与一个待选择异常类型相对应。
118.在一个实施例中，目标标识信息包括目标登录账号和目标设备标识，处理器601用于调用异常检测模型对目标标识信息进行异常检测，得到第一异常检测结果，包括：
119.获取名单列表，在名单列表中查找目标登录账号对应的参考异常类型；
120.从目标设备标识指示的目标设备中获取目标账号的历史行为数据，并调用异常检测模型对历史行为数据进行标签识别处理，确定参考异常标签；
121.基于参考异常类型以及参考异常标签确定第一异常检测结果。
122.在一个实施例中，异常检测模型中包括至少两个二分类任务，每个二分类任务对应一个候选异常标签，处理器601用于调用异常检测模型对历史行为数据进行标签识别处理，确定参考异常标签，包括：
123.对历史行为数据进行特征提取得到特征向量；
124.分别调用异常检测模型中的各个二分类任务对特征向量进行标签识别处理，从候选标签中确定参考异常标签。
125.在一个实施例中，处理器601用于对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息，包括：
126.从车险日志信息中获取用于查询车险资源的车辆标识信息；
127.统计预设检测时间窗内的车辆标识信息的数量，并将车辆标识信息的数量作为统计信息。
128.在一个实施例中，处理器601用于基于第一异常检测结果以及第二异常检测结果
确定目标异常检测结果，包括：
129.获取第一异常检测结果的注意力权重以及第二异常检测结果的注意力权重；
130.基于第一异常检测结果的注意力权重以及第二异常检测结果的注意力权重，对第一异常检测结果以及第二异常检测结果执行注意力处理，确定目标异常检测结果。
131.在本技术实施例中，异常攻击检测设备可以基于异常检测模型对目标标识信息进行异常检测得到第一异常检测结果，以及对预设检测时间窗内的车险日志信息进行统计分析，得到预设检测时间窗内的统计信息，并根据预设检测时间窗内的统计信息与参考阈值确定第二异常检测结果。异常攻击检测设备在识别车险业务数据的爬虫攻击行为时，同时考虑了目标标识信息对应的异常以及车险日志信息对应的异常，使得基于第一异常检测结果以及第二异常检测结果确定目标异常检测结果更准确，即目标异常检测结果所指示的爬虫攻击行为更准确，从而使得基于该目标异常检测结果执行的反爬虫策略也准确。可以精准识别车险业务中的爬虫攻击行为，以便进行反爬虫处理。
132.本技术实施例中还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序指令。计算机程序指令被处理器执行时，可执行上述异常攻击检测方法实施例中所执行的步骤。
133.本技术实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行上述异常攻击检测方法实施例中所执行的步骤。
134.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。所述的计算机可读存储介质可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据区块链节点的使用所创建的数据等。
135.以上所揭露的仅为本技术一种较佳实施例而已，当然不能以此来限定本技术之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本技术权利要求所作的等同变化，仍属于发明所涵盖的范围。