一种移动设备人机操作检测方法和系统

技术领域

本申请涉及网络安全技术领域，尤其涉及一种移动设备人机操作检测方法和系统。

背景技术

随着科技的发展，移动应用已经渗透到人们生活的各个层面，人们可以利用各种移动设备进行工作、娱乐和日常生活等。然而移动应用在给生活带来极大便利的同时，其造成的应用安全隐患也随之而来。近年来，在利益的驱使下，不法分子通过群控设备、猫池、机器脚本等操作，模拟人类操作行为，通过不当方式获取营销利益或者通过机器频繁登陆以获取用户的账户信息，或单纯操作机器进行流量攻击，这些都给移动应用的运营安全造成了重大的安全隐患。

为了保证用户信息的安全，需要对用户操作行为进行检测，以分辨出是真实用户的操作还是虚拟机器的操作。现有的检测方法一般为设置设备指纹，通过设备信息生成的唯一标识，用来判断设备潜在风险，例如是否被root，是否有恶意程序运行等。或者通过设置验证码的方式，用户选择指定特征的图片或文字来通过人机验证。

然而本申请的发明人发现，设备指纹技术局限于对设备风险的检测，缺少对操作行为的直接监控，对正常设备挂载脚本软件如按键精灵等，或物理外挂如连点器这种黑产操作方式缺乏有力的防控。验证码技术的安全防护效果差，容易被攻击者破解。因此，现有技术在检测人机操作时存在准确性较低的缺点。

发明内容

本申请提供了一种移动设备人机操作检测方法和系统，以解决现有技术检测人机操作时准确性低的问题。

为了解决上述技术问题，本申请实施例公开了如下技术方案：

第一方面，本申请提供了一种移动设备人机操作检测方法，该方法包括：

获取待检测操作数据以及用户使用移动设备的历史操作数据；

对所述待检测操作数据进行预处理，得到待检测操作样本；对所述历史操作数据进行预处理，得到若干个训练样本，若干个训练样本组成训练样本集；

当所述训练样本集中的训练样本的数量达到预设的训练阈值时，基于所述训练样本集构建核函数模型；

对所述核函数模型进行动态调参，得到人机操作检测模型；

基于所述人机操作检测模型对待检测操作样本进行检测；若检测结果为正常，则待检测操作数据为用户正常操作；若检测结果为异常，则待检测操作数据为机器风险操作。

可选的，所述用户使用移动设备的历史操作数据包括：移动设备传感器信息、移动设备固件信息和用户操作行为信息。

可选的，所述对所述历史操作数据进行预处理，包括：数据格式转换、方差计算和归一化处理。

可选的，所述动态调参包括：网格搜索和交叉验证。

可选的，对所述核函数模型进行动态调参，调参参数包括负样本比例和核函数gamma值。

可选的，还包括：

当检测到待检测操作样本为机器风险操作时，执行预设的风控处理操作。

可选的，还包括：

当检测到待检测操作样本为用户正常操作时，将所述待检测操作样本进行存储，得到缓存样本；

当所述缓存样本的数量达到预设的缓存阈值时，将所述缓存样本批量写入所述训练样本集中，并替换掉相同数量的训练样本，形成新的训练样本集，替换原则为基于训练样本的时间从前到后的顺序依次进行替换；

基于新的训练样本集更新人机操作检测模型。

第二方面，本申请提供了一种移动设备人机操作检测系统，包括：

获取模块，被配置为获取待检测操作数据以及用户使用移动设备的历史操作数据；

预处理模块，被配置为对所述待检测操作数据进行预处理，得到待检测操作样本；以及对所述历史操作数据进行预处理，得到若干个训练样本，若干个训练样本组成训练样本集；

核函数模型构建模块，被配置为当所述训练样本集中的训练样本的数量达到预设的训练阈值时，基于所述训练样本集构建核函数模型；

人机操作检测模型构建模块，被配置为对所述核函数模型进行动态调参，得到人机操作检测模型；

检测模块，被配置为基于所述人机操作检测模型对待检测操作样本进行检测；若检测结果为正常，则待检测操作数据为用户正常操作；若检测结果为异常，则待检测操作数据为机器风险操作。

可选的，还包括：

风险处理模块，被配置为当检测到待检测操作样本为机器风险操作时，执行预设的风控处理操作。

可选的，还包括：

模型更新模块，被配置为当检测到待检测操作样本为用户正常操作时，将所述待检测操作样本进行存储，得到缓存样本；

当所述缓存样本的数量达到预设的缓存阈值时，将所述缓存样本批量写入所述训练样本集中，并替换掉相同数量的训练样本，形成新的训练样本集，替换原则为基于训练样本的时间从前到后的顺序依次进行替换；

基于新的训练样本集更新人机操作检测模型。

与现有技术相比，本申请的有益效果为：

本申请提供了一种移动设备人机操作检测方法和系统，包括：获取待检测操作数据以及用户使用移动设备的历史操作数据；对待检测操作数据进行预处理，得到待检测操作样本；对历史操作数据进行预处理，得到若干个训练样本，若干个训练样本组成训练样本集；当训练样本集中的训练样本的数量达到预设的训练阈值时，基于训练样本集构建核函数模型；对核函数模型进行动态调参，得到人机操作检测模型；基于人机操作检测模型对待检测操作样本进行检测；若检测结果为正常，则待检测操作数据为用户正常操作；若检测结果为异常，则待检测操作数据为机器风险操作。本申请利用用户日常使用移动设备的操作进行验证，不需要用户额外进行操作，使得用户体验好。同时针对多维度操作行为和设备信息构建了基于核函数的人机操作检测模型，准确率高，且可以识别正常设备挂载机器脚本或物理外挂等高级黑产操作行为。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的移动设备人机操作检测方法的整体流程图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

参见图1，为本申请实施例提供的移动设备人机操作检测方法的整体流程图。如图1所示，该方法包括以下步骤：

S1、获取待检测操作数据以及用户使用移动设备的历史操作数据；

S2、对所述待检测操作数据进行预处理，得到待检测操作样本；对所述历史操作数据进行预处理，得到若干个训练样本，若干个训练样本组成训练样本集；

S3、当所述训练样本集中的训练样本的数量达到预设的训练阈值时，基于所述训练样本集构建核函数模型；

S4、对所述核函数模型进行动态调参，得到人机操作检测模型；

S5、基于所述人机操作检测模型对待检测操作样本进行检测；若检测结果为正常，则待检测操作数据为用户正常操作；若检测结果为异常，则待检测操作数据为机器风险操作。

下面对各个步骤进行详细描述：

在步骤S1中，获取待检测操作数据以及用户使用移动设备的历史操作数据。

具体的，用户使用移动设备的历史操作数据包括：移动设备传感器信息、移动设备固件信息和用户操作行为信息。

在步骤S2，对所述待检测操作数据进行预处理，得到待检测操作样本；对所述历史操作数据进行预处理，得到若干个训练样本，若干个训练样本组成训练样本集。

具体的，预处理方法包括：数据格式转换、方差计算和归一化处理。

本申请实施例通过对待检测操作数据预处理，得到待检测操作样本，以便对待检测的操作数据进行人机分辨。对历史操作数据进行预处理，得到训练样本集，以便后续的模型构建。

在步骤S3中，当所述训练样本集中的训练样本的数量达到预设的训练阈值时，基于所述训练样本集构建核函数模型。

具体的，当训练样本数量足够时(即达到用户预设的训练阈值)，利用训练样本集构建核函数模型。

核函数模型为现有技术。核函数具体指：将原始空间中的向量作为输入向量，并返回特征空间(转换后的数据空间，可能是高维)中向量的点积的函数称为核函数。使用内核，不需要显式地将数据嵌入到空间中，因为许多算法只需要图像向量之间的内积(内积是标量)；在特征空间不需要数据的坐标。

本申请实施例中采用的核函数模型可以为One-Class SVM，其核心原理是寻找一个超平面将样本中的正例圈出来，预测就是用这个超平面做决策，在圈内的样本就认为是正样本。常用于异常值检测领域，通过判断新的样本集是否与训练集有显著区别(被超平面分割)来实现异常值的检测。

在步骤S4中，对所述核函数模型进行动态调参，得到人机操作检测模型。

具体的，动态调参方法包括：网格搜索和交叉验证。

网格搜索为现有技术，是一项模型超参数优化技术，常用于优化三个或者更少数量的超参数，本质是一种穷举法。对于每个超参数，使用者选择一个较小的有限集去探索。然后，这些超参数笛卡尔乘积得到若干组超参数。网格搜索使用每组超参数训练模型，挑选验证集误差最小的超参数作为最好的超参数。

交叉验证亦称循环估计，是用来验证分类器的性能的一种统计分析方法。它用于分析机器学习算法的泛化能力(generalization)，其基本思想是将原始数据(data set)进行分组，一部分作为训练集(training set)，一部分作为测试集(testing set)。首先利用训练集对分类器进行训练，再利用测试集来测试得到的模型(model)，以此来作为评价分类性能的指标。

需要说明的是，在对核函数模型进行动态调参时，具体的调参参数包括负样本比例和核函数gamma值。

具体的，负样本比例是人为制定的异常样本比例估计值，用来指导模型区分正常样本和异常样本。在大多数场景下，异常样本的准确比例并不能预先获得，所以需要给出一个取值范围，例如1％-5％，通过网格搜索的方式找到最符合当前样本的异常值比例参数。

gamma值是高斯分布的自带参数，决定了核函数将数据映射到新的特征空间后的分布，gamma越大，高斯分布曲线越窄，反之越宽。gamma值主要定义了单个样本对整个分类超平面的影响，当gamma比较小时，单个样本对整个分类超平面的影响比较小，不容易被选择为支持向量，反之，比较大时，单个样本对整个分类超平面的影响比较大，更容易被选择为支持向量。

一般来说，gamma值越大，模型拟合能力越强，可以在训练集上获得更高的准确率，gamma值越小，模型泛化能力越强，可以在未知数据集上获得更高的准确率。对gamma值进行调参就是寻找模型拟合能力和泛化能力的最佳平衡点，最终目标是在避免过拟合的前提下尽可能提升模型准确率。

在步骤S5中，基于所述人机操作检测模型对待检测操作样本进行检测；若检测结果为正常，则待检测操作数据为用户正常操作；若检测结果为异常，则待检测操作数据为机器风险操作。

通过人机操作检测模型可以检测出待检测操作数据是正常用户的行为操作还是攻击者的虚拟机器行为操作，进而对待检测操作数据进行后续处理。

本申请实施例还包括：

S6、当检测到待检测操作样本为机器风险操作时，执行预设的风控处理操作。

具体的，风控处理操作可由用户自行设定，例如对机器风险操作进行拦截。

本申请实施例还包括：

S701、当检测到待检测操作样本为机器风险操作时，执行预设的风控处理操作。

具体的风控处理操作可由用户自行设置，例如：将机器风险操作存储至风险行为信息库中，并提醒用户。

S702、当检测到待检测操作样本为用户正常操作时，将所述待检测操作样本进行存储，得到缓存样本。

当所述缓存样本的数量达到预设的缓存阈值时，将所述缓存样本批量写入所述训练样本集中，并替换掉相同数量的训练样本，形成新的训练样本集，替换原则为基于训练样本的时间从前到后的顺序依次进行替换，即旧数据优先被替换。

基于新的训练样本集更新人机操作检测模型。具体的，利用新的训练样本集构建新的核函数模型，并在此进行动态调参，以得到人机操作检测模型，并用于后续待检测操作样本的检测。从而在时间维度上实现不断对人机操作检测模型进行更新，以检测新的待检测操作样本。

本申请实施例可以不断对人机操作检测模型进行更新，以提高检测的准确性。

本申请实施例还提供了一种移动设备人机操作检测系统，该系统包括：

获取模块，被配置为获取待检测操作数据以及用户使用移动设备的历史操作数据；

预处理模块，被配置为对所述待检测操作数据进行预处理，得到待检测操作样本；以及对所述历史操作数据进行预处理，得到若干个训练样本，若干个训练样本组成训练样本集；

核函数模型构建模块，被配置为当所述训练样本集中的训练样本的数量达到预设的训练阈值时，基于所述训练样本集构建核函数模型；

人机操作检测模型构建模块，被配置为对所述核函数模型进行动态调参，得到人机操作检测模型；

检测模块，被配置为基于所述人机操作检测模型对待检测操作样本进行检测；若检测结果为正常，则待检测操作数据为用户正常操作；若检测结果为异常，则待检测操作数据为机器风险操作。

本申请实施例提供的检测系统还包括：

风险处理模块，被配置为当检测到待检测操作样本为机器风险操作时，执行预设的风控处理操作。

模型更新模块，被配置为当检测到待检测操作样本为用户正常操作时，将所述待检测操作样本进行存储，得到缓存样本；

当所述缓存样本的数量达到预设的缓存阈值时，将所述缓存样本批量写入所述训练样本集中，并替换掉相同数量的训练样本，形成新的训练样本集，替换原则为基于训练样本的时间从前到后的顺序一次进行替换；

基于新的训练样本集更新人机操作检测模型。

本申请实施例通过对设备传感信息、用户操作信息的采集对用户操作行为进行全面监控，直接从操作层面判断当前行为风险。

本申请采用核函数模型对采集信息进行实时建模分析，大幅度提高分析准确率。同时核函数模型为One-Class SVM，不需要样本标签即可实现训练，同时可根据采集到的数据实时对模型参数进行调优。调参方式采用了网格搜索和交叉验证相结合的方式，在保障模型准确率的前提下大幅提升调参效率。

综上所述，与现有技术相比，具备以下有益效果：

本申请实施例提供了一种移动设备人机操作检测方法和系统，包括：获取待检测操作数据以及用户使用移动设备的历史操作数据；对待检测操作数据进行预处理，得到待检测操作样本；对历史操作数据进行预处理，得到若干个训练样本，若干个训练样本组成训练样本集；当训练样本集中的训练样本的数量达到预设的训练阈值时，基于训练样本集构建核函数模型；对核函数模型进行动态调参，得到人机操作检测模型；基于人机操作检测模型对待检测操作样本进行检测；若检测结果为正常，则待检测操作数据为用户正常操作；若检测结果为异常，则待检测操作数据为机器风险操作。本申请利用用户日常使用移动设备的操作进行验证，不需要用户额外进行操作，使得用户体验好。同时针对多维度操作行为和设备信息构建了基于核函数的人机操作检测模型，准确率高，且可以识别正常设备挂载机器脚本或物理外挂等高级黑产操作行为。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

由于以上实施方式均是在其他方式之上引用结合进行说明，不同实施例之间均具有相同的部分，本说明书中各个实施例之间相同、相似的部分互相参见即可。在此不再详细阐述。

本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

需要说明的是，在本说明书中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或暗示这些实体或操作之间存在任何这种实际的关系或顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的电路结构、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种电路结构、物品或者设备所固有的要素。在没有更多限制的情况下，有语句“包括一个......”限定的要素，并不排除在包括所述要素的电路结构、物品或者设备中还存在另外的相同要素。

本领域技术人员在考虑说明书及实践这里发明的公开后，将容易想到本申请的其他实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由权利要求的内容指出。以上所述的本申请实施方式并不构成对本申请保护范围的限定。