一种挖掘安全信息修改日志中异常流程的方法及装置与流程

本发明涉及数据挖掘技术领域，尤其涉及一种挖掘安全信息修改日志中异常流程的方法及装置。

背景技术：

安全信息修改日志：在大型的网站中，用户账号被盗，找回自己的账号有比较多的路径，如短信验证的路径，身份证验证路径，头像验证路径等。在一条路径中可能需要很多的步骤，用户按照顺序完成步骤即可重置自己的密码，重新获得对账号的控制权。安全信息修改日志以时间顺序存储了每个用户在每一步骤的详细信息。每一条日志的信息包括：时间，步骤名称，用户唯一身份id(uid)，步骤内具体信息，成功与否等信息。

异常流程：不法分子利用找回账号的多路径及多步骤的特性，利用黑客技术将不同路径中的步骤进行非法拼接得到的异常账号找回流程。不法分子可以用此特性绕过不同路径中的关键步骤从而达到控制目标账号的目的。异常流程会在安全信息修改日志里体现。但是由于日志只记录每个特定步骤的信息，并且不法分子同时对数十个账号进行不法操作，加上日志量非常大，所有uid的日志全部混杂在一起，所以挖掘异常流程是需要技巧的。现在我们需要从之前的安全信息修改日志里挖掘出受此漏洞影响的账号。

下面假设账号找回路径一共三条：路径一的步骤一共五步，以abcde来代替，同理路径二是hijklmn，路径三opqr。

在用户找回账号的过程中，在相同时间下同一找回路径内只能有一个当前步骤。即该用户的安全信息修改日志的可能的顺序：abc(当前步骤为c),abhioc(当前步骤为c/i/o),hijklabcde(当前步骤为l/e)等都是可能的顺序，不可能的顺序如acb，hijalmn，aophijcde等。

在某一路径中，因用户退出或时间超时而导致此路径失效，要找回账号必须重新选择路径并按步骤一步一步来。这个失效操作也会在日志中记录，路径一失效用u表示，同理路径二失效用v、路径三用w表示。以下是同一用户可能的一种日志顺序：

abhijuopkwlabocupvqr

此用户先在路径一走了ab两步，又再路径二走了hij三部，此时路径一终止(u)，又在路径三走了op两步，又在路径二走了一步k，接下来路径三终止(w)，又在路径二走了l，此时又重新走了路径一的ab两步，重新走路径三的o步骤，走路径一的c步骤，此时路径一终止(u)，在路径三走了p步骤，路径二失效(v)，最后在路径三走两步qr，完成路径三并找回自己的账号。

在安全信息修改日志中，同一用户的日志顺序可能如上所述，而安全信息修改日志记录了所有用户的步骤信息。现有技术一忽略了在信息顺序中包含的信息，仅对一段时间内某用户对总步骤次数做统计，并认为总步骤数量大于一定数额时此账号的状况是危险的。

现有技术对于安全信息修改日志，逐行扫描。对扫描到的日志，提取出用户唯一身份id(uid)，并为每个uid设置计数器，每个步骤使对应的uid计数器加一。当日志扫描完毕之后，得到所有uid及其对应步骤数量。然后人为的定一个阈值，步骤数量高于阈值的uid被判断为有风险。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：异常流程一般步骤较长，现有技术是能够找出一些有风险的账号的，但是技术一没有利用到日志的顺序这一重要信息，因此是无法察觉日志里的流程是异常流程，因而这样的判断是不准确的。并且此方案还依赖于人为设定的阈值，响应不够快且自动化程度不够高。

技术实现要素：

本发明实施例提供一种挖掘安全信息修改日志中异常流程的方法及装置，从而不需人为设定阈值，自动化程度较高，且大大的提高了识别准确率。

一方面，本发明实施例提供了一种挖掘安全信息修改日志中异常流程的方法流程图，所述方法包括：

遍历安全信息修改日志，针对每一条安全信息修改日志，执行如下操作：

解析该条安全信息修改日志中的用户标识uid和以步骤排序的账号找回路径中的当前账号找回步骤；

根据所述uid，获取所述uid对应的相应账号找回路径的暂存器中存储的暂存账号找回步骤；

将所述当前账号找回步骤和暂存账号找回步骤进行一致性比对；

若比对失败，则判定所述当前账号找回步骤为异常流程，所述uid存在被盗风险，将所述uid加入有被盗风险的uid列表。

另一方面，本发明实施例提供了一种挖掘安全信息修改日志中异常流程的装置，所述装置包括：

遍历单元，用于遍历安全信息修改日志，针对每一条安全信息修改日志，解析该条安全信息修改日志中的用户标识uid和以步骤排序的账号找回路径中的当前账号找回步骤；

获取单元，用于根据所述uid，获取所述uid对应的相应账号找回路径的暂存器中存储的暂存账号找回步骤；

比对单元，用于将所述当前账号找回步骤和暂存账号找回步骤进行一致性比对；

挖掘单元，用于若比对失败，则判定所述当前账号找回步骤为异常流程，所述uid存在被盗风险，将所述uid加入有被盗风险的uid列表。

上述技术方案具有如下有益效果：利用上了日志顺序这一关键信息，且不需人为设定阈值，自动化程度较高，且大大的提高了识别准确率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一种挖掘安全信息修改日志中异常流程的方法流程图；

图2为本发明实施例一种挖掘安全信息修改日志中异常流程的装置结构示意图；

图3为本发明实施例另一种挖掘安全信息修改日志中异常流程的装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，为本发明实施例一种挖掘安全信息修改日志中异常流程的方法流程图，所述方法包括：

101、遍历安全信息修改日志，针对每一条安全信息修改日志，解析该条安全信息修改日志中的用户标识uid和以步骤排序的账号找回路径中的当前账号找回步骤；

102、根据所述uid，获取所述uid对应的相应账号找回路径的暂存器中存储的暂存账号找回步骤；

103、将所述当前账号找回步骤和暂存账号找回步骤进行一致性比对；

104、若比对失败，则判定所述当前账号找回步骤为异常流程，所述uid存在被盗风险，将所述uid加入有被盗风险的uid列表。

优选地，所述方法还包括：

若所述uid对应的相应账号找回路径的暂存器为空，则在暂存器中存储所述当前账号找回步骤；

若不存在所述uid对应的相应账号找回路径的暂存器，则新建相应账号找回路径的暂存器，并在新建的暂存器中存储所述当前账号找回步骤。

优选地，所述方法还包括：若比对成功，更新所述uid对应的相应账号找回路径的暂存器，具体包括：将所述当前账号找回步骤写入所述暂存器中的暂存账号找回步骤之后。

优选地，所述将当前账号找回步骤和暂存账号找回步骤进行一致性比对，具体包括：比对所述当前账号找回步骤是否为所述暂存账号找回步骤的正确后继步骤，若不是，则比对失败，若是，则比对成功。

优选地，所述方法还包括：若所述当前账号找回步骤是终止信号，或所述当前账号找回步骤是相应账号找回路径中的最后一步骤，则清空所述uid对应的相应账号找回路径的暂存器。

举例说明，假设相应账号找回路径为账号找回路径i，当前账号找回步骤为步骤a，暂存账号找回步骤为步骤a’，所述挖掘安全信息修改日志中异常流程的方法包括如下步骤：

步骤1、从头开始遍历安全信息修改日志，对每一条日志，解析日志中的用户标识uid和账号找回路径i中的步骤a；

步骤2、根据所述uid，获取所述uid对应的第i个暂存器中存储的账号找回路径i中的步骤a’；其中，所述第i个暂存器对应所述uid的账号找回路径i，i为自然数；

步骤3、将所述步骤a和所述步骤a’进行一致性比对；

步骤4、若比对失败，则认为所述步骤a为异常流程，所述uid存在被盗风险，将所述uid加入有被盗风险的uid列表。

优选地，若所述uid对应的第i个暂存器中为空，则存储所述账号找回路径i中的步骤a；若没有所述uid对应的第i个暂存器，则新建第i个暂存器，并存储所述账号找回路径i中的步骤a。

优选地，所述将所述步骤a和所述步骤a’进行一致性比对，包括：若所述步骤a是所述步骤a’的正确后继步骤，则比对成功，更新所述uid对应的第i个暂存器：把所述步骤a写入所述第i个暂存器中的所述步骤a’之后，然后继续遍历日志。

优选地，所述将所述步骤a和所述步骤a’进行比对，包括：若所述步骤a不是所述步骤a’的正确后继步骤，则比对失败。

优选地，所述方法还包括：若所述步骤a是终止信号或所述账号找回路径i中的最后一步骤，则清空所述uid对应的第i个暂存器。

对应于上述方法实施例，如图2所示，为本发明实施例一种挖掘安全信息修改日志中异常流程的装置结构示意图，所述装置包括：

遍历单元21，用于解析该条安全信息修改日志中的用户标识uid和以步骤排序的账号找回路径中的当前账号找回步骤；

获取单元22，用于根据所述uid，获取所述uid对应的相应账号找回路径的暂存器中存储的暂存账号找回步骤；

比对单元23，用于将所述当前账号找回步骤和暂存账号找回步骤进行一致性比对；

挖掘单元24，用于若比对失败，则判定所述当前账号找回步骤为异常流程，所述uid存在被盗风险，将所述uid加入有被盗风险的uid列表。

优选地，如图3所示，为本发明实施例另一种挖掘安全信息修改日志中异常流程的装置结构示意图，所述装置不但包括：遍历单元21、遍历单元21、比对单元23、挖掘单元24，还包括：

存储单元25，用于若所述uid对应的相应账号找回路径的暂存器为空，则在暂存器中存储所述当前账号找回步骤；

新建单元26，用于若不存在所述uid对应的相应账号找回路径的暂存器，则新建相应账号找回路径的暂存器，并在新建的暂存器中存储所述当前账号找回步骤。

优选地，还包括更新单元27，用于若比对成功，更新所述uid对应的相应账号找回路径的暂存器，具体用于将所述当前账号找回步骤写入所述暂存器中的暂存账号找回步骤之后。

优选地，所述比对单元23，具体用于比对所述当前账号找回步骤是否为所述暂存账号找回步骤的正确后继步骤，若不是，则比对失败，若是，则比对成功。

优选地，所述装置还包括：清空单元28，用于若所述当前账号找回步骤是终止信号，或所述当前账号找回步骤是相应账号找回路径中的最后一步骤，则清空所述uid对应的相应账号找回路径的暂存器。

上述技术方案具有如下有益效果：利用上了日志顺序这一关键信息，且不需人为设定阈值，自动化程度较高，且大大的提高了识别准确率。

以下通过应用实例对本发明实施例进行详细说明：

安全信息修改日志里的信息顺序是重要的信息。直接分析信息顺序会让判断结果更准确。并且要提高自动化的程度，不要人为设定阈值。

本发明应用实例对每个用户建立n个暂存器，n为路径条数。从头开始遍历安全信息修改日志，对每一条日志，解析日志中的uid和步骤。若该步骤a属于第i条路径，则在该用户的第i个暂存器中，若暂存器中为空则存储该步骤的代号a(若没有暂存器则新建)。若在接下来的过程中又碰到这个用户的第i条路径的步骤b，即该用户的第i个暂存器非空，则把该步骤b和暂存器的步骤a进行一致性比对。若在第i条路径中，新来的步骤b是暂存器中步骤a的正确后继步骤，则把b写入暂存器中，继续遍历日志。若在第i条路径中，新来的步骤b不是暂存器中步骤a的正确后继步骤。则在列表里记录下此uid，并认为此uid有被盗风险。若步骤b是终止信号(即技术一中的u、v或w)或路径中最后一步(如e、n、r)则清空该用户的第i个暂存器。当遍历完成时，便拿到了有被盗风险的uid列表。

假设日志的顺序为：

a1b1c1o2p2d1h2i2j2k2a2m2r2u1

与现有技术的表示法类似，账号找回路径一共三条：路径一的步骤一共五步，以abcde来代替，同理路径二是hijklmn，路径三opqr。步骤后面的数字是uid，a1代表第1个用户的a步骤，r2代表第2个用户的r步骤。

顺序遍历日志，来到a1，此时为1号用户建立三个暂存器(以下用1-1,1-2,1-3代表)，又因为a属于路径一，因此在1号用户的第一个暂存器里存a，接下来是b1，找到1号用户的第一个暂存器，发现里面非空，则把b与暂存器里的步骤a比对，发现b是路径一里的正确后继。于是在第1个用户的第一个暂存器里存b。同理c1，在该寄存器里存c。之后o2，p2两步是在新建的2号用户的第三个寄存器中存p(以下以2-3->p的格式代表)。

接下来d1:1-1->d，h2:2-2->h,i2:2-2->i,j2:2-2->j,k2:2-2->k,a2:2-1->a,然后在m2的时候对2-2判断，因为在路径二中m并非2-2中存储的步骤k的正确后继，因而在风险列表中记录用户2，接下来和用户2有关的步骤均不做处理。最后u1步骤1-1->置空。

遍历日志完成之后，在列表里的uid均为有被盗风险的用户。

本发明应用实例技术方案带来的有益效果：利用上了日志顺序这一关键信息，且不需人为设定阈值，自动化程度较高，且大大的提高了识别准确率。

应该明白，公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好，应该理解，过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素，并且不是要限于所述的特定顺序或层次。

在上述的详细描述中，各种特征一起组合在单个的实施方案中，以简化本公开。不应该将这种公开方法解释为反映了这样的意图，即，所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反，如所附的权利要求书所反映的那样，本发明处于比所公开的单个实施方案的全部特征少的状态。因此，所附的权利要求书特此清楚地被并入详细描述中，其中每项权利要求独自作为本发明单独的优选实施方案。

为使本领域内的任何技术人员能够实现或者使用本发明，上面对所公开实施例进行了描述。对于本领域技术人员来说；这些实施例的各种修改方式都是显而易见的，并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此，本公开并不限于本文给出的实施例，而是与本申请公开的原理和新颖性特征的最广范围相一致。

上文的描述包括一个或多个实施例的举例。当然，为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的，但是本领域普通技术人员应该认识到，各个实施例可以做进一步的组合和排列。因此，本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外，就说明书或权利要求书中使用的术语“包含”，该词的涵盖方式类似于术语“包括”，就如同“包括，”在权利要求中用作衔接词所解释的那样。此外，使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。

本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrativelogicalblock)，单元，和步骤可以通过电子硬件、电脑软件，或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability)，上述的各种说明性部件(illustrativecomponents)，单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本发明实施例保护的范围。

本发明实施例中所描述的各种说明性的逻辑块，或单元都可以通过通用处理器，数字信号处理器，专用集成电路(asic)，现场可编程门阵列或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动磁盘、cd-rom或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于asic中，asic可以设置于用户终端中。可选地，处理器和存储媒介也可以设置于用户终端中的不同的部件中。

在一个或多个示例性的设计中，本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现，这些功能可以存储与电脑可读的媒介上，或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如，这样的电脑可读媒体可以包括但不限于ram、rom、eeprom、cd-rom或其它光盘存储、磁盘存储或其它磁性存储装置，或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外，任何连接都可以被适当地定义为电脑可读媒介，例如，如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(dsl)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、dvd、软盘和蓝光光盘，磁盘通常以磁性复制数据，而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。