[发明专利]异常用户识别方法、装置、电子设备及存储介质

说明书

本发明实施例提供一种异常用户识别方法、装置、电子设备及存储介质；方法包括：初始分组步骤，根据目标用户之间的相似度从目标用户中确定中心用户，并根据中心用户与目标用户中除中心用户之外的用户之间的相似度对目标用户进行初始分组；分组调整步骤，根据初始分组内的用户之间的相似度，重新确定中心用户，并根据重新确定的中心用户与目标用户中除重新确定的中心用户之外的用户之间的相似度对目标用户进行再次分组；确定分组步骤，重复执行分组调整步骤直至各组所包含的用户不再变化；异常用户识别步骤，根据各组包含的已知异常用户的数量确定异常分组，并将异常分组内的用户确定为异常用户。

技术领域

本发明涉及网络安全领域，尤其涉及一种异常用户识别方法、装置、电子设备及存储介质。

背景技术

异常登录是指与用户日常习惯存在明显不同的登录行为。由于异常登录是网络入侵行为的一种常见现象，具有异常登录行为的用户很有可能是网络入侵行为的实施者，因此对异常登录用户的识别在网络安全领域具有重要的意义。

在现有技术中，通常是根据用户的登录次数、登录时使用的IP地址以及登录时使用的设备来发现异常登录用户。但当网络攻击者使用分散的IP或模拟设备来实施登录行为时，现有技术中的异常登录用户识别方法将难以发现异常用户。

综上所述，现有技术中的异常登录用户识别方法很难发现隐藏的异常用户，发现异常用户的效率较低。

发明内容

本发明实施例提供一种异常用户识别方法、装置、电子设备及存储介质，用以解决现有技术中的异常登录用户识别方法很难发现隐藏的异常用户，发现异常用户的效率较低的缺陷。

本发明第一方面实施例提供一种异常用户识别方法，包括：

初始分组步骤，根据目标用户之间的相似度从所述目标用户中确定中心用户，并根据所述中心用户与所述目标用户中除所述中心用户之外的用户之间的相似度对所述目标用户进行初始分组；

分组调整步骤，根据所述初始分组内的用户之间的相似度，重新确定所述中心用户，并根据重新确定的所述中心用户与所述目标用户中除重新确定的所述中心用户之外的用户之间的相似度对所述目标用户进行再次分组；

确定分组步骤，重复执行所述分组调整步骤直至各组所包含的用户不再变化；

异常用户识别步骤，根据各组包含的已知异常用户的数量确定异常分组，并将异常分组内的用户确定为异常用户。

上述技术方案中，所述目标用户之间的相似度为所述目标用户中的任一用户与所述目标用户中除所述任一用户之外的所有用户之间的相似度之和。

上述技术方案中，在所述初始分组步骤之前还包括：

计算所述目标用户中的任一用户与所述目标用户中除所述任一用户之外的一个用户之间的相似度，所述相似度包括以下相似度中的一种或多种：在时间维度上的相似度、在用户登录平台上的相似度和在用户登录设备上的相似度；

为所述目标用户中的任一用户与所述目标用户中除所述任一用户之外的所有用户之间的相似度求和，得到所述目标用户中的任一用户与所述目标用户中除所述任一用户之外的所有用户之间的相似度之和。

上述技术方案中，所述根据目标用户之间的相似度从所述目标用户中确定中心用户包括：

根据所述目标用户之间的相似度最大值，确定第一用户；

将所述第一用户确定为中心用户；

根据所述目标用户中的非中心用户与所述中心用户之间的相似度最小值以及预设的第一阈值确定第二用户；