[发明专利]异常行为检测方法和装置

说明书

本发明提供了一种异常行为检测方法和装置，其中，方法包括：威胁感知平台获取前端代码采集的web页面上发生的用户操作事件信息；基于预先训练得到的异常检测模型，对各web页面上发生的用户操作事件信息进行异常检测，以确定web页面上是否存在异常操作行为；其中所述异常检测模型基于深度对抗神经网络预先训练得到。通过本申请能够识别出web页面上是否存在异常操作行为，从而提高反爬虫技术的准确性。

【技术领域】

本申请涉及计算机安全技术领域，特别涉及一种异常行为检测方法和装置。

【背景技术】

本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就被认为是现有技术。

爬虫是使用任何技术手段批量获取网站信息的一种方式。一方面，大量的爬虫会严重占用服务器性能和带宽，影响正常用户访问，严重时会造成DDoS攻击。另一方面，网站的重要资料、信息财产等是不能够随便泄露的，如果被轻易窃取，则会造成严重的损失。因此出现了相应的反爬虫机制。但随着在线业务安全的攻防对抗演变，自动化爬虫逐渐发展为模拟正常用户操作以期绕过反爬虫机制，因此就需要对正常用户的行为和异常行为进行检测，从而检测出模拟用户的异常行为。

【发明内容】

本发明提供了一种异常行为检测方法和装置，以便于识别出模拟用户的异常行为，提高反爬虫技术的准确性。

具体技术方案如下：

第一方面，本申请提供了一种异常行为检测方法，该方法包括：

威胁感知平台获取前端代码采集的web页面上发生的用户操作事件信息；

基于预先训练得到的异常检测模型，对各web页面上发生的用户操作事件信息进行异常检测，以确定web页面上是否存在异常操作行为；

其中所述异常检测模型基于深度对抗神经网络预先训练得到。

根据本申请一优选实施方式，所述前端代码包括：web页面中嵌入的脚本JS代码、移动应用中嵌入的代码或者桌面客户端中嵌入的代码；

所述操作事件信息包括：鼠标键盘事件信息、触屏事件信息或运动传感器事件信息。

根据本申请一优选实施方式，所述基于预先训练得到的异常检测模型，对各web页面上发生的用户操作事件信息进行异常检测包括：

获取所述web页面上发生的用户操作事件信息的向量表示；

利用所述异常检测模型中的编码器对所述向量表示进行编码，得到隐向量；

将所述向量表示和所述隐向量输入所述异常检测模型中的判别网络，利用所述判别网络对所述向量表示进行是否为正常操作行为的判别，确定所述web页面上是否存在异常操作行为。

根据本申请一优选实施方式，所述异常检测模型通过如下方式预先训练得到：

获取web页面上发生的正常的用户操作事件信息作为训练数据；

获取所述训练数据的向量表示；

将所述训练数据的向量表示输入编码器进行编码，得到隐向量；

深度对抗神经网络中的生成网络基于随机向量生成重构的向量表示；

将所述训练数据的向量表示和所述隐向量输入所述深度对抗神经网络中的判别网络，以及将所述重构的向量表示和所述随机向量输入所述深度对抗神经网络中的判别网络，分别得到所述训练数据的向量表示属于正常操作行为的第一概率和所述重构的向量表示属于正常操作行为的第二概率；

训练目标为：最小化所述训练数据的向量表示与所述重构的向量表示之间的距离，以及最大化所述第一概率和第二概率的差值；