[发明专利]一种业务行为安全控制方法、系统与设备

说明书

本发明公开了一种业务行为安全控制方法、系统与设备，本发明首先获取请求用户信息，转换成哈希编码，并判断是否在已有惩罚数据集中，若存在则拒绝用户此次请求；对于用户信息合法校验成功的请求，根据配置的限频策略以及用户ID计算出的唯一标识生成一个令牌桶；在用户请求被处理前，先从令牌桶中获取一个令牌，若获得令牌则处理用户请求；当桶里没有令牌可取时，则驳回用户请求，并记录请求用户信息。本发明根据配置的策略及用户信息动态管理令牌桶，通过控制桶的容量、发放令牌的速率，来达到对请求的限制。基于本发明的方案，所有策略配置及数据可随时在可视化操作系统平台上进行配置，可及时上线、下线和修改策略，方便快捷、效率高。

技术领域

本发明涉及一种业务行为安全控制方法、系统与设备，属于互联网信息安全、反作弊领域。

背景技术

现阶段互联网用户产品越来越多，绝大多数产品都面临着用户批量提交操作的现象，原因有两种，一是因为用户不按照产品的规则操作，二是恶意攻击。不管是上述哪种原因，都将会对产品造成严重的安全问题。如何正确引导用户的操作行为，及防范恶意大批量行为攻击对产品来说十分重要。目前市面上大部分产品的用户提交限制规则都是写在代码里面，维度单一，不能及时得到限制数据，也无法及时进行策略修改优化，更无法个性化配置处置策略。

发明内容

发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种业务行为安全控制方法、系统与设备，针对大量不同业务，提高安全策略配置的灵活性，以及用户提交行为的个性化处置能力。

技术方案：为实现上述发明目的，本发明提供的一种业务行为安全控制方法，包括如下步骤：

获取请求用户信息，包括用户请求中携带的特征值数据，或特征值数据及请求类型，转换成哈希编码，并判断是否存在于已有惩罚数据集中，若存在则拒绝用户此次请求操作，结束；所述特征值数据包括用户ID、用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种；

根据配置的限频策略以及用户ID计算出的唯一标识生成一个令牌桶，所述限频策略包括活动名称、召回对象、策略场景、相同特征和行为条件；所述活动名称为业务系统中涉及的用户提交行为；所述召回对象为命中策略之后惩罚的对象，包括用户ID、用户手机号、用户微信号、用户设备号中的一种或多种；所述策略场景为活动发生端，包括IOS、Android、H5、小程序中的一种或多种；所述相同特征配置为用户ID、用户手机号、用户微信号、用户设备号、用户IP地址中的一种或多种；所述行为条件为配置的行为频次，所述令牌桶容量及发放令牌的速率根据行为条件配置；

在用户请求被处理前，先从令牌桶中获取一个令牌，若获得令牌则处理用户请求；当桶里没有令牌可取时，则驳回用户请求，并记录请求用户信息。

作为优选，所述判断请求用户信息是否存在于已有惩罚数据集中的方法是，将请求用户信息分别通过不同的哈希函数映射到一个位数组中，若不同哈希函数映射的哈希值对应位数组上的位置标记都为1，则认为请求用户信息存在于已有惩罚数据集中；若至少存在一个哈希函数映射的哈希值对应位数组上的位置标记不为1，则认为请求用户信息不存在于已有惩罚数据集中。

作为优选，所述活动名称包括注册、点赞、关注、发布内容、评论中的一种或多种。

作为优选，所述限频策略在管理后台可视化配置，在配置策略的同时支持配置处置策略、处罚时长、生效时间中一种或多种。

作为优选，所述限频策略设有优先级，在判断用户请求是否触犯限频策略时优先判断优先级高的限频策略。

作为优选，在驳回用户请求记录请求用户信息的同时，将请求用户信息发送至人工审核，根据人工审核结果确定是否加入惩罚数据集中。

基于相同的发明构思，本发明提供的一种业务行为安全控制系统，包括：