一种基于加权平均实现风险操作识别的方法与流程

本发明属于风险防控，尤其涉及一种基于加权平均实现风险操作识别的方法。

背景技术：

1、互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说，凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。随着我国网络的飞速发展，在网络中不可避免的遭受到网络攻击、入侵等，包括主动攻击和被动攻击。主动攻击是包含攻击者访问所需要信息的故意行为；被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。

2、软件开发者为了保证应用安全，通常会采用二次认证、异地判定、要求提供验证码等方式对恶意行为进行拦截。一般来说这些方法可以有效的拦截大部分恶意行为。但是此类方法缺点在于风控模型容易被攻击者猜出来，为了不影响正常用户的使用，通常会对ip进行市县级定位，而不是对ip地址进行全匹配，由于用户是活动的，也无法进行完全精准匹配。因此攻击者只要购买一个被入侵用户的常用地代理ip就可以正常通过异地登录的风控。

3、传统的风控模型是准确的，且风控条件具有一票否决权，入侵者利用控制变量法、穷举法可以很容易的猜测风控模型，攻击者可以通过控制ip地址、浏览器指纹、user-agent、referer值来知道风控判定条件。在后端判定中，符合某项条件即为风险，如根据referer值判定行为是否合法，如果referer值异常则认定为风险行为，那么通过控制变量法，其他值不变，只修改referer值，即可绕过风控判定。同理，攻击者可以用穷举的方式来知道系统对风险行为的判定依据。

4、传统的单项判定结果权重过高，如果用户处于异地登录，那么百分百触发验证码，如果用户是正常流动发生异地，此时要求验证码验证属于错误拦截，因为用户只是异地登录，但是根据其他判定依据：是否为常用设备、是否为常用时间、是否一次登录成功等，可以得出该操作为正常操作，传统模型某些单项判定结果对总体结果的影响较大。

技术实现思路

1、鉴于上述问题，本发明的目的在于提供一种基于加权平均实现风险操作识别的方法，旨在解决现有风控模型易被猜测、易绕过，出现恶意用户入侵系统而无法及时拦截和报警的技术问题。

2、本发明采用如下技术方案：

3、所述基于加权平均实现风险操作识别的方法，包括下述步骤：

4、步骤s1、当服务器接收到客户端发出的登录请求时，对登录请求信息进行解析，依次对登录地址、登录设备、登录时间这三个条件进行加权求和判定；

5、步骤s2、对三个条件的加权求和结果取平均值，将平均值与设定的阈值进行比较；

6、步骤s3、如果平均值大于阈值，则认定客户端当前登录请求为风险行为，服务器进行登录拦截；

7、步骤s4、如果平均值小于或等于阈值，则认定客户端当前登录请求为合法行为，服务器放行本次登录请求，然后对登录请求进行正常的登录校验。

8、进一步的，所述对三个条件进行加权求和判定的具体过程如下：

9、s11、对登录地址是否为异地进行判定，并计算加权求和结果；

10、将用户在客户端最后十次登录地址进行统计，其中登录次数最多的两个地址为本地，登录次数排名第三但为最近一次登录的登录地址亦为本地，其他登录地址为异地；登录地址的基数为t1，权重为k1，若当前登录地址为本地，则k1＝k11，若当前登录地址为异地，则k1＝k12，加权求和结果为t1*k1；

11、s12、对登录设备是否为常用设备进行判定，并计算加权求和结果；

12、用户在客户端最后一次登录的设备为常用设备，其他登录设备为非常用设备，登录设备的基数为t2，权重为k2，若当前登录设备为常用设备，则k2＝k21，如果为非常用设备，则k2＝k22，加权求和结果为t2*k2；

13、s13、对登录时间是否为风险操作时间区间进行判定，并计算加权求和结果；

14、根据用户身份、历史操作时间综合判断设置风险操作时间区间，登录时间的基数为t3，权重为k3，加权求和结果为t3*k3；

15、s14、对三个条件的加权求和结果取平均值，记为d；

16、d＝(t1*k1+t2*k2+t3*k3)/3；

17、上述k11、k12、k21、k22、k31、k32均为设置的常数。

18、进一步的，登录地址的基数t1＝2，权重k11＝1，权重k12＝3；登录设备的基数t2＝2，权重k21＝1，权重k22＝5；登录时间的基数t3＝3，权重k31＝1，权重k22＝5，步骤s3中设置的阈值为5。

19、进一步的，步骤s22中，客户端最后一次登录的设备，以及倒数第二次登录且与最后一次登录处于同一登录地址，同时登录时间间隔小于设置值的设备，均为常用设备，其他登录设备为非常用设备。

20、本发明的有益效果是：本发明提供了一种基于加权平均的风险识别方法，使用这种方法可以将准确、可被猜测的风控模型转换成模糊的、猜测难度高的新风控模型。具体的，通过降低单一判定依据的权重，提高判定的复杂性，不再由单一的判定结果决定操作合法性，转为所有判定依据的加权平均值，根据加权后的平均值判定操作合法性，从而实现在不影响正常用户使用的前提下有效拦截恶意行为。使用本发明方法，降低了单个判定项对最终结果的影响，使得结果更趋近于准确，同时，提高了绕过风控措施的门槛，保证了安全性能。

技术特征：

1.一种基于加权平均实现风险操作识别的方法，其特征在于，所述方法包括下述步骤：

2.如权利要求1所述基于加权平均实现风险操作识别的方法，其特征在于，所述对三个条件进行加权求和判定的具体过程如下：

3.如权利要求2所述基于加权平均实现风险操作识别的方法，其特征在于，登录地址的基数t1＝2，权重k11＝1，权重k12＝3；登录设备的基数t2＝2，权重k21＝1，权重k22＝5；登录时间的基数t3＝3，权重k31＝1，权重k22＝5，步骤s3中设置的阈值为5。

4.如权利要求3所述基于加权平均实现风险操作识别的方法，其特征在于，步骤s12中，客户端最后一次登录的设备，以及倒数第二次登录且与最后一次登录处于同一登录地址，同时登录时间间隔小于设置值的设备，均为常用设备，其他登录设备为非常用设备。

技术总结本发明适用于风险防控技术领域，提供一种基于加权平均实现风险操作识别的方法，包括：对登录请求信息进行解析，依次对登录地址、登录设备、登录时间这三个条件进行加权求和判定；对三个条件的加权求和结果取平均值，将平均值与设定的阈值进行比较；如果平均值大于阈值，则认定客户端当前登录请求为风险行为，服务器进行登录拦截；否则认定客户端当前登录请求为合法行为，放行本次登录请求，然后对登录请求进行正常的登录校验。通过降低单一判定依据的权重，提高判定的复杂性，不再由单一的判定结果决定操作合法性，转为所有判定依据的加权平均值，根据加权后的平均值判定操作合法性，从而实现在不影响正常用户使用的前提下有效拦截恶意行为。技术研发人员：王朋,林喆,黄文聪,史康思受保护的技术使用者：武汉利楚商务服务有限公司技术研发日：技术公布日：2024/7/18