[发明专利]基于设备指纹的银行业网络攻击预警方法、系统及相关产品

权利要求书

1.基于设备指纹的银行业网络攻击预警方法，其特征在于，所述预警方法包括：

通过数据埋点获得访问设备信息；

再通过聚类的方式来区分设备，发现可疑设备，包括：

首先，针对访问设备计算产生对应的设备指纹ID；

接着，在设备簇中对设备指纹ID进行精确匹配，若精确匹配失败，则度量设备向量簇间和簇内的距离；

最后，根据得到的簇间距和簇内距离进行设备聚类计算，以此判断可疑设备。

2.根据权利要求1所述的基于设备指纹的银行业网络攻击预警方法，其特征在于，所述获得的访问设备信息包括访问设备的原生数据。

3.根据权利要求1或2所述的基于设备指纹的银行业网络攻击预警方法，其特征在于，所述获得的访问设备信息包括设备图片渲染能力数据和/或计算能力数据。

4.根据权利要求1所述的基于设备指纹的银行业网络攻击预警方法，其特征在于，所述方法在度量设备向量簇间和簇内的距离时，首先使用词袋模型将设备信息数据转换为稠密向量；再采用权重杰卡德距离度量设备向量簇间和簇内的距离。

5.一种基于设备指纹的银行业网络攻击预警系统，其特征在于，所述银行业网络攻击预警系统包括设备数据获取模块、设备指纹ID生成模块、设备指纹ID匹配模块、设备距离度量模块、设备聚类计算模块，

所述设备数据获取模块通过数据埋点获得访问设备信息；

所述设备指纹ID生成模块针对访问设备计算产生对应的设备指纹ID；

所述设备指纹ID匹配模块与设备指纹ID生成模块进行数据交互，将生成的设备指纹ID在设备簇中进行精确匹配；

所述设备距离度量模块与所述设备指纹ID匹配模块数据交换，在匹配失败后，度量设备向量簇间和簇内的距离；

所述设备聚类计算模块与所述设备距离度量模块数据交互，根据得到的簇间距和簇内距离进行设备聚类计算，以此判断可疑设备。

6.根据权利要求5所述的基于设备指纹的银行业网络攻击预警系统，其特征在于，所述设备数据获取模块能够获取访问设备的原生数据。

7.根据权利要求5或6所述的基于设备指纹的银行业网络攻击预警系统，其特征在于，所述设备数据获取模块还能够获取访问设备的设备图片渲染能力数据和/或计算能力数据。

8.根据权利要求5所述的基于设备指纹的银行业网络攻击预警系统，其特征在于，所述设备距离度量模块使用词袋模型将设备信息数据转换为稠密向量，基于转换后的稠密向量采用权重杰卡德距离度量设备向量簇间和簇内的距离。

9.根据权利要求5所述的基于设备指纹的银行业网络攻击预警系统，其特征在于，所述设备聚类计算模块中采用的度量阈值为：

其中a(i)为内聚度即设备特征i向量和所有它属于的簇中其他点的平均距离，b(i)为分离度即设备特征i向量和非本身所在簇的点的平均距离。

10.一种计算机程序产品，其特征在于，当在数据处理设备上执行时，适于执行权利要求1-4中任一项所述的基于设备指纹的银行业网络攻击预警方法的步骤。

11.一种计算机可读存储介质，其上存储有程序，其特征在于，所述程序被处理器执行时实现权利要求1-4中任一项所述的基于设备指纹的银行业网络攻击预警方法的步骤。

12.一种终端设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，其特征在于，所述程序代码由所述处理器加载并执行以实现权利要求1-4中任一项所述的基于设备指纹的银行业网络攻击预警方法的步骤。