一种可疑宽带账号的识别方法及装置与流程

1.本技术涉及网络安全技术领域，尤其涉及一种可疑宽带账号的识别方法及装置。


背景技术：

2.目前运营商的宽带服务仍以网络地址转换(network address translation，nat)后的全球公网互联网协议(internet protocol，ip)地址作为用户的对外暴露地址，用户的对外暴露地址会随着用户的上下线的行为进行动态变化，且存在多个用户共用一个公网ip地址。
3.当前的互联网反欺诈、攻击溯源、安全防护的场景中发现，攻击者通过频繁上下线的行为来变更自身的公网ip地址，从而更改攻击者的网络痕迹，以实现逃避跟踪，因此亟需一种识别方法，以及时有效的掌握攻击者的网络痕迹，为后续的溯源和防护技术发展带来新的方向。


技术实现要素：

4.本技术实施例提供一种可疑宽带账号的识别方法及装置，用以解决由于攻击者通过频繁上下线行为造成无法进行溯源和跟踪的问题。
5.本技术实施例提供的具体技术方案如下：
6.第一方面，本技术实施例提供一种可疑宽带账号的识别方法，包括：
7.在接收到上网记录信息后，若确定所述上网记录信息包括的待识别账号未包含在危险账号清单和可疑账号清单中，则基于所述上网记录信息包括的上网状态信息，以及所述待识别账号的历史行为特征，对所述待识别账号的上下线行为进行分析，得到所述待识别账号的实时行为特征；
8.在确定所述实时行为特征与异常行为特征集合匹配后，将所述待识别账号发送至关联的业务服务器，其中，所述异常行为特征集合是基于决策树分析模型确定的，所述决策树分析模型是基于所述危险账号清单中各个危险账号的异常行为特征进行训练后得到的；
9.在基于所述业务服务器返回的识别结果确定所述待识别账号是危险账号后，对所述待识别账号进行监控，并持续将所述待识别账号的公网ip地址和端口分配信息同步至安全设备，以使所述安全设备对所述待识别账号进行溯源和/或跟踪。
10.上述方法，引入决策树分析模型分析挖掘全网宽带用户中各个危险账号的上下线数据的异常行为特征，构建丰富海量的异常行为特征集合，从而在确定接收到的上网记录信息包含的待识别账号未包含在危险账号清单和可疑账号清单中，可以通过匹配待识别账号的实时行为特征和异常行为特征集合，进一步确定待识别账号是否存在异常上网行为；并在确定待识别账号存在异常上网行为后，将待识别账号发送至关联的业务服务器，触发业务服务器对存在异常上网行为的待识别账号的联网后行为进行分析，从而可以及时、高效地对确定是危险账号的待识别账号进行监控，并准确向安全设备持续同步其踪迹，以使安全设备及时、有效地掌握存在潜在风险的用户的上网痕迹，顺利开展对存在潜在风险的
用户进行的溯源和/或跟踪工作。
11.在一些可能的实施例中，通过执行如下操作，确定所述上网记录信息包括的待识别账号是否包含在所述危险账号清单和所述可疑账号清单中：
12.采用分布式流数据流引擎flink集群，从所述危险账号清单中查找所述待识别账号；
13.在确定从所述危险账号清单中未查找到所述待识别账号时，采用所述flink集群，从所述可疑账号清单中查找所述待识别账号；
14.在确定从所述可疑账号清单中未查找到所述待识别账号时，确定所述上网记录信息包括的待识别账号未包含在所述危险账号清单和所述可疑账号清单中。
15.上述方法，结合分布式流数据流处理引擎框架flink，可以实时查找危险账号清单和危险账号清单，从而及时、高效地找到全网用户中存在潜在风险的用户，从而以便于后续对找到的潜在风险的用户进行跟踪和监控，进而准确的通报存在潜在风险的用户的踪迹。
16.在一些可能的实施例中，所述在接收到上网记录信息后，所述方法包括：
17.若确定所述上网记录信息包括的待识别账号包含在所述可疑账号清单中，则将所述待识别账号发送至关联的业务服务器；
18.在基于所述业务服务器返回的识别结果，确定所述待识别账号是危险账号后，对所述待识别账号进行监控，并持续将所述待识别账号的公网ip地址和端口分配信息同步至安全设备。
19.上述方法，结合分布式流数据流处理引擎框架flink，在确定待识别账号包含在可疑账号清单中后，即确定待识别账号是可疑账号后，将待识别账号发送至关联的业务服务器，触发业务服务器对存在异常上网行为的待识别账号的联网后行为进行分析，从而可以及时、高效地确定待识别账号是否是危险账号，进而对确定是危险账号的待识别账号进行监控，并准确向安全设备持续同步其踪迹，以使安全设备及时、有效地掌握存在潜在风险的用户的上网痕迹。
20.在一些可能的实施例中，所述决策树分析模型是通过如下方式训练得到的：
21.基于训练样本集合对待训练的决策树分析模型进行多轮迭代训练，直至满足预设的收敛条件为止，并将最后一轮输出的决策树分析模型作为训练完毕的决策树分析模型，其中，在一轮迭代训练过程中，执行以下操作：
22.将从所述训练样本集合中获取的各个危险账号的样本行为特征，分别输入待训练的决策树分析模型，得到对应所述各个危险账号的异常行为特征分析结果；
23.基于所述对应所述各个危险账号的异常行为特征分析结果，与各自对应的样本标签的比对结果，确定损失值；
24.基于所述损失值，对所述待训练的决策树分析模型的模型参数进行调整；其中，所述训练样本集合包括的每个危险账号的样本行为特征是分析对应危险账号的上网记录信息的上下线行为得到的。
25.上述方法，基于每个危险账号的样本行为特征对待训练的决策树分析模型进行训练，得到训练完毕的决策树分析模型，以构建丰富海量的异常行为特征集合，从而有效的筛查出全网用户中存在异常上网行为的宽带账户。
26.在一些可能的实施例中，在所述确定所述待识别账号是危险账号后，还包括：
27.将所述实时行为特征输入所述决策树分析模型，得到所述待识别账号的异常行为特征；
28.基于所述异常行为特征更新所述异常行为特征集合。
29.上述方法，基于实时确定的危险账号的实时行为特征，对预先训练完毕的决策树分析模型的模型参数进行优化调整，以更新异常行为特征集合，这样，可以使异常行为特征集合更具有普遍适用性和匹配准确性，从而更大程度地从全网用户的筛查出存在潜在风险的用户。
30.在一些可能的实施例中，若接收到的所述业务服务器返回的识别结果表征所述待识别账号是危险账号，则确定所述待识别账号是危险账号；或者，
31.若接收到的所述业务服务器返回的识别结果表征所述待识别账号是正常账号，则确定所述待识别账号不是危险账号。
32.上述方法，基于业务服务器返回的识别结果表征的不同的账号性质，对待识别账号采用不同的处理方式，以提高对全网用户的高效管理。
33.在一些可能的实施例中，在所述确定所述实时行为特征与异常行为特征集合匹配后，还包括：
34.将所述待识别账号添加到所述可疑账号清单中；
35.在所述确定所述待识别账号是危险账号后，还包括：
36.将所述待识别账号添加到所述危险账号清单中，以及从所述可疑账号清单中删除所述待识别账号；
37.在所述确定所述待识别账号不是危险账号后，还包括：
38.将所述待识别账号从所述可疑账号清单中删除。
39.上述方法，基于网络实时情况，更新危险账号清单、可疑账号清单，这样，可以高效地识别出全网用户中哪些宽带账号存在潜在风险，哪些宽带账号存在风险，从而高效地、准确地推送危险账号的上网踪迹，为后续攻击溯源和防护以有利指导，从而提高网络安全。
40.在一些可能的实施例中，所述在接收到上网记录信息后，所述方法包括：
41.若确定所述上网记录信息包括的待识别账号包含在所述危险账号清单中，则对所述待识别账号进行监控，并持续将所述待识别账号的公网ip地址和端口分配信息同步至所述安全设备。
42.上述方法，结合分布式流数据流处理引擎框架flink，在确定待识别账号包含在危险账号清单中后，即确定待识别账号是危险账号后，对待识别账号进行监控，并准确向安全设备持续同步其踪迹，以使安全设备及时、有效地掌握存在潜在风险的用户的上网痕迹。
43.第二方面，本技术实施例提供一种可疑宽带账号的识别装置，包括：
44.第一确定单元，用于在接收到上网记录信息后，若确定所述上网记录信息包括的待识别账号未包含在危险账号清单和可疑账号清单中，则基于所述上网记录信息包括的上网状态信息，以及所述待识别账号的历史行为特征，对所述待识别账号的上下线行为进行分析，得到所述待识别账号的实时行为特征；
45.第二确定单元，用于在确定所述实时行为特征与异常行为特征集合匹配后，将所述待识别账号发送至关联的业务服务器，其中，所述异常行为特征集合是基于决策树分析模型确定的，所述决策树分析模型是基于所述危险账号清单中各个危险账号的异常行为特
征进行训练后得到的；
46.监控单元，用于在基于所述业务服务器返回的识别结果确定所述待识别账号是危险账号后，对所述待识别账号进行监控，并持续将所述待识别账号的公网ip地址和端口分配信息同步至安全设备，以使所述安全设备对所述待识别账号进行溯源和/或跟踪。
47.在一些可能的实施例中，通过执行如下操作，确定所述上网记录信息包括的待识别账号是否包含在所述危险账号清单和所述可疑账号清单中：
48.采用分布式流数据流引擎flink集群，从所述危险账号清单中查找所述待识别账号；
49.在确定从所述危险账号清单中未查找到所述待识别账号时，采用所述flink集群，从所述可疑账号清单中查找所述待识别账号；
50.在确定从所述可疑账号清单中未查找到所述待识别账号时，确定所述上网记录信息包括的待识别账号未包含在所述危险账号清单和所述可疑账号清单中。
51.在一些可能的实施例中，所述在接收到上网记录信息后，所述第二确定单元用于：
52.若确定所述上网记录信息包括的待识别账号包含在所述可疑账号清单中，则将所述待识别账号发送至关联的业务服务器；
53.所述监控单元用于：
54.在基于所述业务服务器返回的识别结果，确定所述待识别账号是危险账号后，对所述待识别账号进行监控，并持续将所述待识别账号的公网ip地址和端口分配信息同步至安全设备。
55.在一些可能的实施例中，所述决策树分析模型是通过如下方式训练得到的：
56.基于训练样本集合对待训练的决策树分析模型进行多轮迭代训练，直至满足预设的收敛条件为止，并将最后一轮输出的决策树分析模型作为训练完毕的决策树分析模型，其中，在一轮迭代训练过程中，执行以下操作：
57.将从所述训练样本集合中获取的各个危险账号的样本行为特征，分别输入待训练的决策树分析模型，得到对应所述各个危险账号的异常行为特征分析结果；
58.基于所述对应所述各个危险账号的异常行为特征分析结果，与各自对应的样本标签的比对结果，确定损失值；
59.基于所述损失值，对所述待训练的决策树分析模型的模型参数进行调整；其中，所述训练样本集合包括的每个危险账号的样本行为特征是分析对应危险账号的上网记录信息的上下线行为得到的。
60.在一些可能的实施例中，在所述确定所述待识别账号是危险账号后，所述监控单元还用于：
61.将所述实时行为特征输入所述决策树分析模型，得到所述待识别账号的异常行为特征；
62.基于所述异常行为特征更新所述异常行为特征集合。
63.在一些可能的实施例中，若接收到的所述业务服务器返回的识别结果表征所述待识别账号是危险账号，则确定所述待识别账号是危险账号；或者，
64.若接收到的所述业务服务器返回的识别结果表征所述待识别账号是正常账号，则确定所述待识别账号不是危险账号。
65.在一些可能的实施例中，在所述确定所述实时行为特征与异常行为特征集合匹配后，所述第二确定单元还用于：
66.将所述待识别账号添加到所述可疑账号清单中；
67.在所述确定所述待识别账号是危险账号后，所述第二确定单元还用于：
68.将所述待识别账号添加到所述危险账号清单中，以及从所述可疑账号清单中删除所述待识别账号；
69.在所述确定所述待识别账号不是危险账号后，所述第二确定单元还用于：
70.将所述待识别账号从所述可疑账号清单中删除。
71.在一些可能的实施例中，所述在接收到上网记录信息后，所述监控单元用于：
72.若确定所述上网记录信息包括的待识别账号包含在所述危险账号清单中，则对所述待识别账号进行监控，并持续将所述待识别账号的公网ip地址和端口分配信息同步至所述安全设备。
73.第三方面，本技术实施例提供一种电子设备，所述电子设备包括处理器和存储器，
74.所述存储器，用于存储计算机程序或指令；
75.所述处理器，用于执行存储器中的计算机程序或指令，使得上述第一方面中任一项所述的方法被执行。
76.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时实现上述第一方面中任一项所述方法的步骤。
77.另外，第二方面至第四方面中任一一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果，此处不再赘述。
附图说明
78.图1为本技术实施例中一种应用场景的示意图；
79.图2为本技术实施例中一种可疑宽带账号识别系统的架构示意图；
80.图3为本技术实施例中另一种可疑宽带账号识别系统的架构示意图；
81.图4a为本技术实施例中第一种可疑宽带账号的识别方法的实现流程示意图；
82.图4b为本技术实施例中第二种可疑宽带账号的识别方法的实现流程示意图；
83.图4c为本技术实施例中第三种可疑宽带账号的识别方法的实现流程示意图；
84.图5为本技术实施例中一种更新异常行为特征集合的流程示意图；
85.图6为本技术实施例中一种可疑宽带账号的识别方法的交互流程示意图；
86.图7为本技术实施例中一种可疑宽带账号识别装置的逻辑架构示意图；
87.图8为本技术实施例中电子设备的实体架构示意图。
具体实施方式
88.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，并不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
89.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第
二”、“第三”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够在除了这里图示或描述的那些以外的顺序实施。
90.为了解决由于攻击者通过频繁上下线行为造成无法进行溯源和跟踪的问题，本技术实施例中，在接收到上网记录信息后，确定该上网记录信息包括的待识别账号是否包含在危险账号清单和可疑账号清单中，若确定该待识别账号未包含在上述危险账号清单和可疑账号清单中，则基于该上网记录信息包括的上网状态信息，以及待识别账号的历史行为特征，对待识别账号的上下线行为进行分析，得到待识别账号的实时行为特征，并在确定该实时行为特征与异常行为特征集合匹配后，将待识别账号发送至关联的业务服务器，并在基于该业务服务器返回的识别结果确定待识别账号是危险账号后，对该待识别账号进行监控，以及持续将待识别账号的公网ip地址和端口分配信息同步至安全设备，从而及时、有效找到潜在风险的用户，并准确向安全设备同步其踪迹，进而使该安全设备及时、有效地掌握存在潜在风险的用户的上网痕迹，顺利开展对存在潜在风险的用户进行的溯源和/或跟踪工作。
91.下面结合附图对本技术优选的实施方式做出进一步详细说明，应当理解，此处所描述的优选实施例仅用于说明和解释本技术，并不用于限定本技术，并且在不冲突的情况下，本技术实施例及实施例中的特征可以相互组合。
92.图1示出了本技术实施例的一种应用场景的示意图。参阅图1所示，本技术实施例中，上述应用场景中包括验证、授权和记账(authentication、authorization、accounting，aaa)服务器、深度数据包检测(deep packet inspection，dpi)-aaa服务器、可疑宽带账号识别系统、安全设备(如溯源系统)和业务服务器，其中，
93.aaa服务器，用于管理用户访问网络服务器，并对具有访问权的用户提供服务。本技术实施例中，在认证通过后，将该用户的上线/下线消息发送至关联的服务器；
94.dpi-aaa服务器，用于采用流量分光/复制技术，获取aaa服务器的出口网络流量(即上线/下线消息)，并采用dpi技术，对获取到的出口网络流量进行解析，得到具有预设格式的上网记录信息；还用于向可疑宽带账号识别系统发送得到的上网记录信息；
95.可疑宽带账号识别系统，用于接收dpi-aaa服务器发送的上网记录信息，确定上网记录信息包括的待识别账号是否包含在危险账号清单和可疑账号清单中；
96.还用于若确定待识别账号未包含在危险账号清单和可疑账号清单中，则基于上网记录信息包括的上网状态信息，以及待识别账号的历史行为特征，对待识别账号的上下线行为进行分析，得到待识别账号的实时行为特征；以及，在确定实时行为特征与异常行为特征集合匹配后，将待识别账号发送至关联的业务服务器；
97.还用于在基于业务服务器返回的识别结果确定待识别账号是危险账号后，对待识别账号进行监控，并持续将待识别账号的公网ip地址和端口分配信息同步至安全设备；
98.安全设备(如溯源系统)，用于持续接收可疑宽带账号识别系统同步的待识别账号的公网ip地址和端口分配信息，并基于持续接收到的公网ip地址和端口分配信息，对待识别账号进行溯源和/或跟踪等；
99.业务服务器，用于接收可疑宽带账号识别系统发送的待识别账号，并基于待识别账号的业务数据确定待识别账号的识别结果，以及将识别结果返回给可疑宽带账号识别系
统；其中，识别结果表征待识别账号是危险账号，或，是正常账号。
100.本技术实施例中，上述上网记录信息包含但不限于如下字段：
101.1、待识别账号(即，请求上网访问/下线的宽带账号)；
102.2、公网ip地址；
103.3、私网ip地址；
104.4、aaa服务器为待识别账号分配的端口分配信息；
105.5、上网状态信息等。
106.图2示出了本技术实施例中提供的一种可疑宽带账号识别系统的架构示意图。参阅图2所示，本技术实施例中，该可疑宽带账号识别系统包括数据处理服务器和应用服务器，其中，
107.数据处理服务器，用于在接收到该上网记录信息后，确定该待识别账号是否包含在危险账号清单和可疑账号清单中，若确定待识别账号未包含在危险账号清单和可疑账号清单中，则基于待识别账号的上网状态信息，以及待识别账号的历史行为特征，对待识别账号的上下线行为进行分析，得到实时行为特征；并在确定实时行为特征与异常行为特征集合匹配后，将待识别账号发送至应用服务器，以及在接收到应用服务器返回的该待识别账号是危险账号的消息后，对待识别账号进行监控，持续将待识别账号的公网ip地址和端口分配信息同步至应用服务器；
108.应用服务器，用于接收数据处理服务器发送的待识别账号，并将该待识别账号发送至关联的业务服务器；还用于基于接收到业务服务器返回的识别结果，向数据处理服务器返回相应的消息；若应用服务器基于识别结果确定待识别账号是危险账号，则向数据处理服务器发送待识别账号是危险账号的消息，以使数据处理服务器基于该待识别账号是危险账号的消息，对待识别账号进行监控，持续向应用服务器发送待识别账号的公网ip地址和端口分配信息。
109.实际应用中，为了保证数据处理服务器的可靠性、可扩展性等，通常将数据处理服务器的功能分类部署在不同的服务器中，即部署为分布式系统。参阅图3所示，本技术实施例中，该数据处理服务器包括数据处理平台、数据存储服务器和特征库服务器，其中，
110.数据处理平台，用于在接收到上网记录信息后，将该上网记录信息存储在数据存储服务器；还用于通过与特征库服务器拉取危险账号清单、可疑账号清单和异常行为特征集合，以及接收应用服务器返回的消息；
111.还用于基于危险账号清单、可疑账号清单、异常行为特征集合，确定该待识别账号是否是危险账号，以及与应用服务器进行交互，接收应用服务器返回的消息，并在确定该待识别账号是危险账号后，对待识别账号进行监控，持续将待识别账号的公网ip地址和端口分配信息同步至安全设备；
112.数据存储服务器，用于存储数据处理平台接收到的上网记录信息；
113.特征库服务器，用于存储危险账号清单、可疑账号清单和异常行为特征集合；还用于在接收到应用服务器返回的该待识别账号是危险账号时，从数据处理平台拉取待识别账号的上网记录信息和/或实时行为特征，对待识别账号的上下线行为进行深层特征挖掘，得到待识别账号的异常行为特征；以及基于异常行为特征更新存储的异常行为特征集合。
114.需要说明的是，本技术实施例中，数据处理服务器可以通过与特征库服务器之间
建立的微服务，拉取特征库服务器存储的危险账号清单、可疑账号清单和异常行为特征集合。
115.本技术实施例中，数据处理平台部署分布式流数据流引擎flink集群，通过该flink集群，实时确定每个接收到的上网记录信息是否包含在危险账号清单和可疑账号清单中，实时分析未包含在危险账号清单和可疑账号清单的上网记录信息包括的宽带账号的上下线行为的实时行为特征，并将该实时行为特征与异常行为特征集合进行匹配，以及在基于上网记录信息关联的业务服务器返回的识别结果确定该待识别账号是危险账号时，对待识别账号进行监控，持续将待识别账号的公网ip地址和端口分配信息同步至安全设备。
116.实际应用中，在实施识别之前，需先构建待训练的决策树分析模型，并对待训练的决策树分析模型进行训练，并基于训练完毕的决策树分析模型的输出结果，得到上述异常行为特征集合。
117.本技术实施例中，基于危险账号清单中每个危险账号的上网记录信息，采用决策树算法，对各个危险账号的上网记录信息的上下线行为进行深层行为特征挖掘，从而得到各个危险账号的异常行为特征。
118.首先，对决策树算法进行简单介绍：决策树算法是一个树结构(可以是二叉树或非二叉树)，其中，每个内部节点表示一个特征上的判断，每个分支代表这个特征属性的判断输出，每个叶节点代表一种类别。通常采用决策树进行决策的过程是从根节点开始的，通过判断其分类项中相应的特征属性，并按照其值选择输出分支，直到到达叶子节点，然后，将叶子节点存放的类别作为决策结果，即本技术实施例中的异常行为特征。决策树算法的核心思想是：在某个节点处按照某一特征属性的不同划分构造不同的分支，其目标是让各个分裂子集尽可能地“纯”，即尽量使一个分裂子集中待分类项均属于同一类别。
119.例如，以决策树算法中c4.5算法为例。
120.本技术实施例中，决策树分析模型的分析原理如下：
121.假设d为训练样本(如，上述各个危险账号的某个行为特征)的一组划分，通过如下公式计算d的信息熵：
122.又假设属性a为一个划分指标。
123.那么，通过如下公式计算以属性a对d进行划分后的期望信息熵：
[0124][0125]
然后，通过如下公式，计算划分前和划分后的d的信息熵的差值，即信息增益(ig)：
[0126]
gain(d，a)＝info(d)-infoa(d)
[0127]
基于决策树算法的算法原理：信息增益越大，意味着使用属性a进行划分所获得的纯度提升越大。
[0128]
进一步地，分裂信息(iv)可以通过如下公式来表示：
[0129]
属性a的固有值
[0130]
相应的，信息增益率(igr)：
[0131]
这样，通过上述决策树分析模型的分析原理，可以得到上述危险账号清单中每个危险账号的异常行为特征，从而得到异常行为特征集合。
[0132]
本技术实施例中，在得到危险账号清单中每个危险账号的异常行为特征后，基于上述各个异常行为特征和对每个危险账号的上网记录信息的上下线行为进行分析得到的其他行为特征，一并作为训练上述待训练的决策树分析模型的训练样本集合，其中，上述异常行为特征和其他行为特征通过样本标签来区分。
[0133]
那么，本技术实施例中，在得到训练样本集合后，通过执行如下操作，得到训练完毕的决策树分析模型：
[0134]
操作一，基于训练样本集合对待训练的决策树分析模型进行多轮迭代训练，直至满足预设的收敛条件为止，并将最后一轮输出的决策树分析模型作为训练完毕的决策树分析模型，其中，在一轮迭代训练过程中，执行以下操作：
[0135]
操作1，将从训练样本集合中获取的各个危险账号的样本行为特征，分别输入待训练的决策树分析模型，得到对应各个危险账号的异常行为特征分析结果；
[0136]
操作2，基于对应各个危险账号的异常行为特征分析结果，与各自对应的样本标签的比对结果，确定损失值；
[0137]
操作3，基于损失值，对待训练的决策树分析模型的模型参数进行调整；其中，训练样本集合包括的每个危险账号的样本行为特征是分析对应危险账号的上网记录信息的上下线行为得到的。
[0138]
操作二，确定满足预设的收敛条件时，得到训练完毕的决策树分析模型。
[0139]
参阅图4a所示，本技术实施例提供的一种可疑宽带账号的识别方法的实现流程示意图，该方法基于dpi-aaa数据实现，分为三种情况。
[0140]
参阅图4a所示，第一种情况下的识别方法实施流程如下：
[0141]
步骤400a：在接收到上网记录信息后，若确定上网记录信息包括的待识别账号包含在危险账号清单中，则对待识别账号进行监控，并持续将待识别账号的公网ip地址和端口分配信息同步至安全设备，以使安全设备对待识别账号进行溯源和/或跟踪。
[0142]
本技术实施例中，在接收到上网记录信息后，采用flink集群，从危险账号清单中查找待识别账号，若从危险账号清单中查找到待识别账号，则对待识别账号进行监控，持续得到待识别账号的公网ip地址和端口分配信息，并持续将得到的待识别账号的公网ip地址和端口分配信息同步至安全设备，以使安全设备对待识别账号进行溯源和/或跟踪。
[0143]
参阅图4b所示，第二种情况下的方法实现流程如下：
[0144]
步骤400b：在接收到上网记录信息后，若确定上网记录信息包括的待识别账号包含在可疑账号清单中，则将待识别账号发送至关联的业务服务器。
[0145]
本技术实施例中，在接收到上网记录信息后，采用flink集群，从危险账号清单中查找待识别账号，若从危险账号清单中未查找到待识别账号，则从可疑账号清单中查找待识别账号，若从可疑账号清单中查找到待识别账号，则将待识别账号发送至关联的业务服务器，实现对待识别账号的进一步识别。
[0146]
本技术实施例中，在确定实时行为特征与异常行为特征集合匹配后，还可以将待识别账号添加到可疑账号清单中，以便于后续对接收到的上网记录信息包括的待识别账号进行识别。
[0147]
需要说明的是，本技术实施例中，通过对待识别账号的上网记录信息的上下线行为进行分析，将分析得到的实时行为特征与异常行为特征集合进行匹配，仅能确定该待识别账号存在异常上网行为，但并不能精确地确定该待识别账号是危险账号；由于特殊业务会造成用户频繁上下线，因此，需进一步分析待识别账号的联网后的行为，然而，联网后的行为通常数据量巨大，且与业务是强相关，将发现存在异常上网行为的待识别账号发送至关联的业务服务器，触发业务服务器对存在异常上网行为的待识别账号的联网后行为进行分析，可以及时、高效地确定待识别账号是否是危险账号，从而对是危险账号的待识别账号进行监控，并准确向安全设备持续同步其踪迹，进而使该安全设备及时、有效地掌握存在潜在风险的用户的上网痕迹，顺利开展对存在潜在风险的用户进行的溯源和/或跟踪工作。
[0148]
步骤410b：在基于业务服务器返回的识别结果，确定待识别账号是危险账号后，对待识别账号进行监控，并持续将待识别账号的公网ip地址和端口分配信息同步至安全设备。
[0149]
本技术实施例中，基于业务服务器返回的识别结果，确定待识别账号是否是危险账号，包含但不限于如下两种情况：
[0150]
情况一，若接收到的业务服务器返回的识别结果表征待识别账号是危险账号，则确定待识别账号是危险账号。
[0151]
情况二，若接收到的业务服务器返回的识别结果表征待识别账号是正常账号，则确定待识别账号不是危险账号。
[0152]
本技术实施例中，在执行步骤410b时，在基于业务服务器返回的识别结果，确定待识别账号是危险账号后，采用flink集群，对待识别账号进行监控，持续得到待识别账号的公网ip地址和端口分配信息，并持续将得到的待识别账号的公网ip地址和端口分配信息同步至安全设备，以使安全设备对待识别账号进行溯源和/或跟踪。
[0153]
本技术实施例中，若基于业务服务器返回的识别结果确定待识别账号是危险账号后，则将待识别账号添加到危险账号清单中，以及从可疑账号清单中删除述待识别账号，以标记该待识别账号是危险账号，以便于后续识别使用；若基于业务服务器返回的识别结果确定待识别账号不是危险账号后，则将待识别账号从可疑账号清单中删除，并标记该待识别账号是正常账号，以便于后续识别使用。
[0154]
参阅图4c所示，第三种情况下的方法实现流程如下：
[0155]
步骤400c：在接收到上网记录信息后，若确定上网记录信息包括的待识别账号未包含在危险账号清单和可疑账号清单中，则基于上网记录信息包括的上网状态信息，以及待识别账号的历史行为特征，对待识别账号的上下线行为进行分析，得到待识别账号的实时行为特征。
[0156]
本技术实施例中，在执行步骤400c时，在接收到上网记录信息后，通过执行如下操作，确定上网记录信息包括的待识别账号是否包含在危险账号清单和可疑账号清单中：
[0157]
操作1：采用flink集群，从危险账号清单中查找待识别账号。
[0158]
操作2：在确定从危险账号清单中未查找到待识别账号时，采用flink集群，从可疑账号清单中查找待识别账号。
[0159]
操作3：在确定从可疑账号清单中未查找到待识别账号时，确定上网记录信息包括的待识别账号未包含在危险账号清单和可疑账号清单中。
[0160]
本技术实施例中，在执行步骤400c时，若确定上网记录信息包括的待识别账号未包含在危险账号清单和可疑账号清单中，则基于上网记录信息包括的上网状态信息，以及待识别账号的历史行为特征，采用flink集群，实时对待识别账号的上下线行为进行分析，从而得到待识别账号的实时行为特征，其中，上下线行为是用户通过待识别账号执行的联网操作和断网操作，以及联网操作和断网操作各自对应的时间段信息等。
[0161]
步骤410c：在确定实时行为特征与异常行为特征集合匹配后，将待识别账号发送至关联的业务服务器，其中，异常行为特征集合是基于决策树分析模型确定的，决策树分析模型是基于危险账号清单中各个危险账号的异常行为特征进行训练后得到的。
[0162]
本技术实施例中，在执行步骤410c之前，将待识别账号的实时行为特征与异常行为特征集合进行匹配，那么，在确定实时行为特征与异常行为特征集合匹配时，执行步骤410c，将待识别账号发送至关联的业务服务器，以实现对待识别账号的进一步识别。
[0163]
本技术实施例中，在确定实时行为特征与异常行为特征集合匹配后，还可以将待识别账号添加到可疑账号清单中，以便于后续对接收到的上网记录信息包括的待识别账号进行识别。
[0164]
可选的，本技术实施例中，在确定实时行为特征与异常行为特征集合不匹配后，将待识别账号作为正常账号放行。
[0165]
本技术实施例中，通过对待识别账号的上网记录信息的上下线行为进行分析，将分析得到的实时行为特征与异常行为特征集合进行匹配，仅能确定该待识别账号存在异常上网行为，但并不能精确地确定该待识别账号是危险账号；由于特殊业务会造成用户频繁上下线，因此，需进一步分析待识别账号的联网后的行为，然而，联网后的行为通常数据量巨大，且与业务是强相关，将发现存在异常上网行为的待识别账号发送至关联的业务服务器，触发业务服务器对存在异常上网行为的待识别账号的联网后行为进行分析，可以及时、高效地确定待识别账号是否是危险账号，从而对是危险账号的待识别账号进行监控，并准确向安全设备持续同步其踪迹，进而使该安全设备及时、有效地掌握存在潜在风险的用户的上网痕迹，顺利开展对存在潜在风险的用户进行的溯源和/或跟踪工作。
[0166]
步骤420c：在基于业务服务器返回的识别结果确定待识别账号是危险账号后，对待识别账号进行监控，并持续将待识别账号的公网ip地址和端口分配信息同步至安全设备，以使安全设备对待识别账号进行溯源和/或跟踪。
[0167]
本技术实施例中，在执行步骤420c时，在基于业务服务器返回的识别结果确定待识别账号是危险账号后，采用flink集群，对待识别账号进行监控，持续得到待识别账号的公网ip地址和端口分配信息，并持续将得到的待识别账号的公网ip地址和端口分配信息同步至安全设备，以使安全设备对待识别账号进行溯源和/或跟踪。
[0168]
本技术实施例中，基于业务服务器返回的识别结果，确定待识别账号是否是危险账号，包含但不限于如下两种情况：
[0169]
情况一，若接收到的业务服务器返回的识别结果表征待识别账号是危险账号，则确定待识别账号是危险账号。
[0170]
情况二，若接收到的业务服务器返回的识别结果表征待识别账号是正常账号，则确定待识别账号不是危险账号。
[0171]
那么，本技术实施例中，若基于业务服务器返回的识别结果确定待识别账号是危
险账号后，则将待识别账号添加到危险账号清单中，以及从可疑账号清单中删除述待识别账号，以标记该待识别账号是危险账号，以便于后续识别使用；若基于业务服务器返回的识别结果确定待识别账号不是危险账号后，则将待识别账号从可疑账号清单中删除，并标记该待识别账号是正常账号，以便于后续识别使用。
[0172]
本技术实施例中，参阅图5所示，在确定待识别账号是危险账号后，还执行如下步骤：
[0173]
步骤500：将实时行为特征输入决策树分析模型，得到待识别账号的异常行为特征。
[0174]
步骤510：基于异常行为特征更新异常行为特征集合。
[0175]
下面采用具体的举例对上述实施例作出进一步详细说明。
[0176]
例如，参阅图6所示，以待识别账号为基于业务服务器的识别结果确定的危险账号为例。
[0177]
假设该应用场景中包括aaa-服务器、dpi-aaa服务器、可疑宽带账号识别系统、溯源系统和业务服务器，其中，可疑宽带账号识别系统包括数据处理平台、数据存储数据库、特征库服务器、应用服务器。
[0178]
参阅图6所示，本技术实施例中，一种可疑宽带账号识别方法的各服务器间的交互流程如下：
[0179]
步骤600：aaa服务器将采用流量分光/复制技术得到的出口网络流量发送至dpi-aaa服务器。
[0180]
步骤601：dpi-aaa服务器对接收到的aaa服务器的出口网络流量进行解析，得到上网记录信息，其中，该上网记录信息包括待识别账号、公网ip地址、私网ip地址、端口分配信息和上网状态信息。
[0181]
本技术实施例中，在执行步骤601时，dpi-aaa服务器采用dpi技术，对接收到的出口网络流量进行解析，从而得到上述上网记录信息。
[0182]
步骤602：dpi-aaa服务器向数据处理平台发送上网记录信息。
[0183]
步骤603：数据处理平台将接收到的上网记录信息存储在数据存储服务器中。
[0184]
本技术实施例中，数据处理平台可以将上网记录信息存储在数据库clickhouse中。
[0185]
步骤604：数据处理平台从特征库服务器拉取危险账号清单、可疑账号清单和异常行为特征集合。
[0186]
步骤605：数据处理平台基于危险账号清单、可疑账号清单和异常行为特征集合，对接收到的上网记录信息进行识别，确定待识别账号是否是危险账号。
[0187]
步骤606-1：数据处理平台在确定待识别账号包含在危险账号清单中后，对待识别账号进行监控，并持续将待识别账号的公网ip地址和端口分配信息发送至溯源系统。
[0188]
本技术实施例中，数据处理平台采用flink集群，从危险账号清单中查找待识别账号，在确定查找到待识别账号后，对待识别账号进行监控，并通过kafka，持续将待识别账号的公网ip地址和端口分配信息发送至溯源系统。
[0189]
步骤606-2：数据处理平台在确定待识别账号包含在可疑账号清单中后，发送待识别账号至应用服务器，对待识别账号进行进一步识别。
[0190]
本技术实施例中，在数据处理平台确定待识别账号未包含在危险账号清单中后，数据处理平台采用flink集群，从可疑账号清单中查找待识别账号，在确定查找到待识别账号后，将待识别账号发送至应用服务器，以对待识别账号进行进一步识别。
[0191]
步骤606-3：数据处理平台对待识别账号的上下线行为进行分析，得到实时行为特征。
[0192]
本技术实施例中，在数据处理平台确定待识别账号未包含在危险账号清单和可疑账号清单中后，数据处理平台采用flink集群，基于该上网记录信息包含的上网状态信息，以及待识别账号的历史行为特征，实时分析待识别账号的上下线行为，得到实时行为特征。
[0193]
如，上述实时分析待识别账号的上下线行为可以是实时分析统计该待识别账号在1个小时内的上下线次数等。
[0194]
步骤606-4：数据处理平台在确定实时行为特征与异常行为特征集合匹配后，发送待识别账号至应用服务器，对待识别账号进行进一步识别。
[0195]
本技术实施例中，数据处理平台采用flink集群将实时行为特征与异常行为特征集合进行比对，在确定实时行为特征与异常行为特征集合匹配后，发送待识别账号至应用服务器进行进一步识别。
[0196]
可选的，本技术实施例中，数据处理平台在确定实时行为特征与异常行为特征集合不匹配后，将待识别账号作为正常账号放行。
[0197]
步骤607：应用服务器将待识别账号发送至关联的业务服务器。
[0198]
步骤608：业务服务器返回该识别结果给应用服务器。
[0199]
本技术实施例中，上述识别结果是业务服务器基于接收到的待识别账号，获取关联的业务数据，并基于业务数据进行识别后得到的。
[0200]
步骤609：应用服务器将待识别账号是否是危险账号发送至数据处理平台。
[0201]
本技术实施例中，若业务服务器返回的识别结果表征待识别账号是危险账号，则应用服务器将基于识别结果确定的待识别账号是危险账号的消息发送给数据处理平台；若业务服务器返回的识别结果表征待识别账号是正常账号，则应用服务器将基于识别结果确定的待识别账号不是危险账号的消息发送给数据处理平台。
[0202]
步骤610：若待识别账号是危险账号，则应用服务器发送待识别账号是危险账号的消息给特征库服务器。
[0203]
本技术实施例中，若业务服务器返回的识别结果表征待识别账号是危险账号，则应用服务器将基于识别结果确定的待识别账号是危险账号的消息同时发送给特征库服务器，以使特征库服务器基于该待识别账号的实时分析结果更新异常行为特征集合。
[0204]
步骤611：数据处理平台在确定待识别账号是危险账号后，对待识别账号进行监控，并持续发送待识别账号的公网ip地址和端口分配信息给溯源系统。
[0205]
本技术实施例中，数据处理平台采用flink集群，对待识别账号进行监控，并通过kafka，持续将待识别账号的公网ip地址和端口分配信息发送至溯源系统。
[0206]
步骤612：特征库服务器从数据处理平台拉取上网记录信息和/或实时行为特征。
[0207]
步骤613：特征库服务器基于实时行为特征，更新异常行为特征集合。
[0208]
本技术实施例中，将实时行为特征输入决策树分析模型，得到目标行为特征，并基于目标行为特征更新异常行为特征集合。
[0209]
本技术实施例中，采用上述可疑宽带账号识别方法，在互联网反欺诈方面,可以及时发现存在异常上网行为的宽带账号，从而在确定该存在异常上网行为的宽带账号是危险账号后，对该宽带账号进行监测，并将该宽带账号的上网踪迹持续通报给相关部门；在攻击溯源过程中，还可以根据攻击源的ip地址和端口分配信息追溯到攻击主体；进而，使安全防护变得方便，将监控得到的公网ip地址和端口分配信息持续提供给安全设备，以便于安全设备进行准确、高效的防护。
[0210]
基于同一发明构思，参阅图7所示，本技术实施例中提供一种可疑宽带账号的识别装置，包括：
[0211]
第一确定单元710，用于在接收到上网记录信息后，若确定所述上网记录信息包括的待识别账号未包含在危险账号清单和可疑账号清单中，则基于所述上网记录信息包括的上网状态信息，以及所述待识别账号的历史行为特征，对所述待识别账号的上下线行为进行分析，得到所述待识别账号的实时行为特征；
[0212]
第二确定单元720，用于在确定所述实时行为特征与异常行为特征集合匹配后，将所述待识别账号发送至关联的业务服务器，其中，所述异常行为特征集合是基于决策树分析模型确定的，所述决策树分析模型是基于所述危险账号清单中各个危险账号的异常行为特征进行训练后得到的；
[0213]
监控单元730，用于在基于所述业务服务器返回的识别结果确定所述待识别账号是危险账号后，对所述待识别账号进行监控，并持续将所述待识别账号的公网ip地址和端口分配信息同步至安全设备，以使所述安全设备对所述待识别账号进行溯源和/或跟踪。
[0214]
在一些可能的实施例中，通过执行如下操作，确定所述上网记录信息包括的待识别账号是否包含在所述危险账号清单和所述可疑账号清单中：
[0215]
采用分布式流数据流引擎flink集群，从所述危险账号清单中查找所述待识别账号；
[0216]
在确定从所述危险账号清单中未查找到所述待识别账号时，采用所述flink集群，从所述可疑账号清单中查找所述待识别账号；
[0217]
在确定从所述可疑账号清单中未查找到所述待识别账号时，确定所述上网记录信息包括的待识别账号未包含在所述危险账号清单和所述可疑账号清单中。
[0218]
在一些可能的实施例中，所述在接收到上网记录信息后，所述第二确定单元720用于：
[0219]
若确定所述上网记录信息包括的待识别账号包含在所述可疑账号清单中，则将所述待识别账号发送至关联的业务服务器；
[0220]
所述监控单元730用于：
[0221]
在基于所述业务服务器返回的识别结果，确定所述待识别账号是危险账号后，对所述待识别账号进行监控，并持续将所述待识别账号的公网ip地址和端口分配信息同步至安全设备。
[0222]
在一些可能的实施例中，所述决策树分析模型是通过如下方式训练得到的：
[0223]
基于训练样本集合对待训练的决策树分析模型进行多轮迭代训练，直至满足预设的收敛条件为止，并将最后一轮输出的决策树分析模型作为训练完毕的决策树分析模型，其中，在一轮迭代训练过程中，执行以下操作：
[0224]
将从所述训练样本集合中获取的各个危险账号的样本行为特征，分别输入待训练的决策树分析模型，得到对应所述各个危险账号的异常行为特征分析结果；
[0225]
基于所述对应所述各个危险账号的异常行为特征分析结果，与各自对应的样本标签的比对结果，确定损失值；
[0226]
基于所述损失值，对所述待训练的决策树分析模型的模型参数进行调整；其中，所述训练样本集合包括的每个危险账号的样本行为特征是分析对应危险账号的上网记录信息的上下线行为得到的。
[0227]
在一些可能的实施例中，在所述确定所述待识别账号是危险账号后，所述监控单元730还用于：
[0228]
将所述实时行为特征输入所述决策树分析模型，得到所述待识别账号的异常行为特征；
[0229]
基于所述异常行为特征更新所述异常行为特征集合。
[0230]
在一些可能的实施例中，若接收到的所述业务服务器返回的识别结果表征所述待识别账号是危险账号，则确定所述待识别账号是危险账号；或者，
[0231]
若接收到的所述业务服务器返回的识别结果表征所述待识别账号是正常账号，则确定所述待识别账号不是危险账号。
[0232]
在一些可能的实施例中，在所述确定所述实时行为特征与异常行为特征集合匹配后，所述第二确定单元720还用于：
[0233]
将所述待识别账号添加到所述可疑账号清单中；
[0234]
在所述确定所述待识别账号是危险账号后，所述第二确定单元720还用于：
[0235]
将所述待识别账号添加到所述危险账号清单中，以及从所述可疑账号清单中删除所述待识别账号；
[0236]
在所述确定所述待识别账号不是危险账号后，所述第二确定单元720还用于：
[0237]
将所述待识别账号从所述可疑账号清单中删除。
[0238]
在一些可能的实施例中，所述在接收到上网记录信息后，所述监控单元730用于：
[0239]
若确定所述上网记录信息包括的待识别账号包含在所述危险账号清单中，则对所述待识别账号进行监控，并持续将所述待识别账号的公网ip地址和端口分配信息同步至所述安全设备。
[0240]
参阅图8所示，本技术实施例中提供一种电子设备，包括：处理器801和存储器802；
[0241]
存储器802，用于存储处理器801执行的计算机程序。存储器802可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，ram)；存储器802也可以是非易失性存储器(non-volatile memory)，例如只读存储器，快闪存储器(flash memory)，硬盘(hard disk drive，hdd)或固态硬盘(solid-state drive，ssd)、或者存储器802是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器802可以是上述存储器的段合。
[0242]
处理器801，可以包括一个或多个中央处理单元(central processing unit，cpu)，图形处理单元(graphics processing unit，gpu)或者为数字处理单元等等。
[0243]
本技术实施例中不限定上述存储器802和处理器801之间的具体连接介质。本技术实施例在图8中以存储器802和处理器801之间通过总线803连接，总线803在图8中以粗线表
示，所述总线803可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
[0244]
其中，所述存储器存储有程序代码，当所述程序代码被所述处理器801执行时，使得所述处理器801执行如上述各个实施例中发动机冷却系统的控制装置执行的任意一种方法。
[0245]
由于该电子设备即是执行本技术实施例中的方法的电子设备，并且该电子设备解决问题的原理与该方法相似，因此该电子设备的实施可以参见方法的实施，重复之处不再赘述。
[0246]
基于同一发明构思，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时实现上述各个实施例中可疑宽带账号的识别装置执行的任意一种方法。
[0247]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0248]
本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图中的一个流程或多个流程和/或方框图中的一个方框或多个方框中指定的功能的装置。
[0249]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图中的一个流程或多个流程和/或方框图中的一个方框或多个方框中指定的功能。
[0250]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图中的一个流程或多个流程和/或方框图中的一个方框或多个方框中指定的功能的步骤。
[0251]
显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。