一种即时通信系统的在线用户行为分析系统

1.一种即时通信系统的在线用户行为分析系统，其特征在于，该系统包括：核心服务模块、用户行为分析模块、数据库模块，其中，
核心服务模块，用于将在线用户的用户行为数据实时发送给用户行为分析模块，根据用户行为分析模块反馈的分析结果对相应用户进行管控处理；
用户行为分析模块，用于根据数据库模块中保存的恶意行为判别策略对所接收的用户行为数据进行分析，如果确定为恶意行为，则将分析结果反馈给核心服务模块；
数据库模块，用于存储恶意行为判别策略；
所述数据库模块，具体用于存储包括不同的判别规则的恶意行为判别策略；其中，不同的判别规则对应不同的恶意等级；
所述数据库模块，还用于存储与不同的恶意等级对应的打击策略；
所述用户行为分析模块，具体用于在所接收的用户行为数据与某个判别规则匹配时，确定为恶意行为，并根据该判别规则对应的恶意等级确定打击策略，将所确定的打击策略同分析结果一起反馈给核心服务模块；
则所述核心服务模块，用于对相应用户按照所述确定的打击策略进行管控处理。
2.根据权利要求1所述的系统，其特征在于，所述用户行为分析模块包括：第一分析模块和第二分析模块；
第一分析模块包括转发子模块和分析子模块；转发子模块用于接收用户行为数据并同时转发一份给第二分析模块；分析子模块用于进行用户行为分析；
第二分析模块，用于进行IP地址和消息的聚合分析，其中IP地址和消息均为用户行为数据中所包含的内容。
3.根据权利要求2所述的系统，其特征在于，
所述分析子模块，用于根据用户的身份标识做聚合键值；
所述第二分析模块具体用于：根据IP地址和消息摘要做聚合键值。
4.根据权利要求1所述的系统，其特征在于，
所述用户行为分析模块，还用于在对用户行为数据进行分析，并确定为恶意行为后，将该用户行为数据保存到数据库模块中的分析日志中，供后续查询。
5.根据权利要求4所述的系统，其特征在于，该系统进一步包括：
前台展示模块，用于通过用户行为分析模块获取数据库模块中的分析日志内容并展现给管理员，以及接收管理员输入的恶意行为判别策略管理指令，通过用户行为分析模块对数据库模块中的恶意行为判别策略进行管理。
6.根据权利要求5所述的系统，其特征在于，
所述前台展示模块，进一步用于接收管理员输入的解除管控处理的指令，并发送给用户行为分析模块；
用户行为分析模块，进一步用于将所述解除管控处理的指令发送给核心服务模块；
核心服务模块，进一步用于在接收到所述解除管控处理的指令后，解除对相应用户的管控处理。
7.根据权利要求4所述的系统，其特征在于，
所述用户行为分析模块，还用于在根据数据库模块中保存的恶意行为判别策略对所接收的用户行为数据进行分析时，结合数据库模块中保存的该用户之前的用户行为数据，确定该用户对应的恶意等级。
8.根据权利要求1所述的系统，其特征在于，
所述用户行为分析模块，还用于对所接收的用户行为数据进行分析，并确定为恶意行为时，将消息内容指纹摘要反馈给核心服务模块；其中消息是指用户行为数据中所包含的用户所发送的消息；
所述核心服务模块，还用于根据消息内容指纹摘要对相应消息的发送进行管控处理。
9.根据权利要求1至8中任一项所述的系统，其特征在于，该系统还包括：加密文件系统模块，用于在核心服务模块与用户行为分析模块之间进行中转转发。

一种即时通信系统的在线用户行为分析系统\n技术领域\n[0001] 本发明涉及计算机网络技术领域，特别涉及一种即时通信系统的在线用户行为分析系统。\n背景技术\n[0002] 随着即时通信（IM）系统用户规模的不断壮大，利用即时通信平台进行诈骗、骚扰、做广告、盗号等恶意行为的人也越来越多，同时呈现如下几个特点：\n[0003] 1、规模化，集中在我国南部地区，每天有大量号码进行作案。\n[0004] 2、产业化，通过各种途径和渠道，获取大量手机号码并注册即时通信系统。\n[0005] 3、自动化，通过技术手段，已实现工具自动化作案，不需要大量人力参与，成本很低。\n[0006] 安全部门最初采取了一些敏感词匹配等消息拦截处理方式，但这些最初采取的处理方式具备如下特点或缺陷：\n[0007] 1、无法实时响应，从分析、发现、打击至少经过30分钟左右，然后对用户进行冻结、受控等操作。而在这之前，恶意分子已完成作案\n[0008] 2、需要人工参与进行分析及处理，对操作人要求比较高，需要有一定的经验及分析能力否则很容易导致误杀而遭到投诉。\n[0009] 3、诈骗分子有充分的时间进行作案，而帐号恢复正常也利用即时通信平台的便利性实现了自动化，时间及资源成本很低。\n[0010] 4、通过敏感词进行恶意消息拦截，最大缺点还是需要人工跟踪并提取敏感词，时效性太差无法自动完成。而敏感词一旦开始拦截，诈骗分子能很快感知并绕过拦截继续作案。\n[0011] 最初的处理和分析系统在刚上线的一段时间之内确实起到了很好的效果，但随着对方作案工具和技术手段的更新，已无法跟上对方的节奏，而只能疲于应付。\n[0012] 因此需要一种更加智能化和自动化的在IM系统的线用户行为分析处理方式。\n发明内容\n[0013] 有鉴于此，本发明提供了一种即时通信系统的在线用户行为分析系统，以解决对即时通信系统的在线用户行为分析需要大量人工参与、反应速度慢等问题。\n[0014] 为达到上述目的，本发明的技术方案是这样实现的：\n[0015] 本发明公开了一种即时通信系统的在线用户行为分析系统，该系统包括：核心服务模块、用户行为分析模块、数据库模块，其中，\n[0016] 核心服务模块，用于将在线用户的用户行为数据实时发送给用户行为分析模块，根据用户行为分析模块反馈的分析结果对相应用户进行管控处理；\n[0017] 用户行为分析模块，用于根据数据库模块中保存的恶意行为判别策略对所接收的用户行为数据进行分析，如果确定为恶意行为，则将分析结果反馈给核心服务模块；\n[0018] 数据库模块，用于存储恶意行为判别策略。\n[0019] 在上述系统中，\n[0020] 所述数据库模块，具体用于存储包括不同的判别规则的恶意行为判别策略；其中，不同的判别规则对应不同的恶意等级；\n[0021] 所述数据库模块，还用于存储与不同的恶意等级对应的打击策略；\n[0022] 所述用户行为分析模块，具体用于在所接收的用户行为数据与某个判别规则匹配时，确定为恶意行为，并根据该判别规则对应的恶意等级确定打击策略，将所确定的打击策略同分析结果一起反馈给核心服务模块；\n[0023] 则所述核心服务模块，对相应用户按照所述确定的打击策略进行管控处理。\n[0024] 在上述系统中，所述用户行为分析模块包括：第一分析模块和第二分析模块；第一分析模块包括转发子模块和分析子模块；转发子模块用于接收用户行为数据并同时转发一份给第二分析模块；分析子模块用于进行用户行为分析；\n[0025] 第二分析模块，用于进行IP地址和消息的聚合分析，其中IP地址和消息均为用户行为数据中所包含的内容。\n[0026] 在上述系统中，\n[0027] 所述分析子模块，用于根据用户的身份标识做聚合键值；\n[0028] 所述第二分析模块具体用于：根据IP地址和消息摘要做聚合键值。\n[0029] 在上述系统中，\n[0030] 所述用户行为分析模块，还用于在对用户行为数据进行分析，并确定为恶意行为后，将该用户行为数据保存到数据库模块中的分析日志中，供后续查询。\n[0031] 该系统进一步包括：\n[0032] 前台展示模块，用于通过用户行为分析模块获取数据库模块中的分析日志内容并展现给管理员，以及用于接收管理员输入的恶意行为判别策略管理指令，通过用户行为分析模块对数据库模块中的恶意行为判别策略进行管理。\n[0033] 在上述系统中，\n[0034] 所述前台展示模块，进一步用于接收管理员输入的解除管控处理的指令，并发送给用户行为分析模块；\n[0035] 用户行为分析模块，进一步用于将所述解除管控处理的指令发送给核心服务模块；\n[0036] 核心服务模块，进一步用于在接收到所述解除管控处理的指令后，解除对相应用户的管控处理。\n[0037] 在上述系统中，\n[0038] 所述用户行为分析模块，还用于在根据数据库模块中保存的恶意行为判别策略对所接收的用户行为数据进行分析时，结合数据库模块中保存的该用户之前的用户行为数据，确定该用户对应的恶意等级。\n[0039] 在上述系统中，\n[0040] 所述用户行为分析模块，还用于对所接收的用户行为数据进行分析，并确定为恶意行为时，将消息内容指纹摘要反馈给核心服务模块；其中消息是指用户行为数据中所包含的用户所发送的消息；\n[0041] 所述核心服务模块，还用于根据消息内容指纹摘要对相应消息的发送进行管控处理。\n[0042] 该系统还包括：加密文件系统模块，用于在核心服务模块与用户行为分析模块之间进行中转转发。\n[0043] 由上述可见，本发明这种即时通信系统的在线用户行为分析系统包括：核心服务模块、用户行为分析模块、数据库模块，其中，核心服务模块，用于将在线用户的用户行为数据实时发送给用户行为分析模块，根据用户行为分析模块反馈的分析结果对相应用户进行管控处理；用户行为分析模块，用于根据数据库模块中保存的恶意行为判别策略对所接收的用户行为数据进行分析，如果确定为恶意行为，则将分析结果反馈给核心服务模块的技术方案，可以实现自动对即时通信系统的在线用户行为进行实时分析，并且反应速度快。\n附图说明\n[0044] 图1是本发明中的一种即时通信系统的在线用户行为分析系统的组成结构框图。\n具体实施方式\n[0045] 为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。\n[0046] 图1是本发明中的一种即时通信系统的在线用户行为分析系统的组成结构框图。\n如图1所示，该系统包括：核心服务模块101、加密文件系统模块102、用户行为分析模块103、数据库模块104和前台展示模块105。其中：\n[0047] 核心服务模块101，用于将在线用户的用户行为数据实时发送给用户行为分析模块103，根据用户行为分析模块103反馈的分析结果对相应用户进行管控处理；\n[0048] 用户行为分析模块103，用于根据数据库模块104中保存的恶意行为判别策略对所接收的用户行为数据进行分析，如果确定为恶意行为，则将分析结果反馈给核心服务模块\n101；\n[0049] 数据库模块104，用于存储恶意行为判别策略。\n[0050] 核心服务模块101中可以包含多个消息服务，例如在本发明的一个实施例中，核心服务模块101中可以包含4个消息服务，这4个消息服务实现的功能可以不一样，比如有的是处理添加好友、有的是负责登录、有的负责消息会话等等。\n[0051] 在本实施例中，核心服务模块101通过加密文件系统（EFS，Encryping File System）模块102实时转发在线用户的用户行为数据给用户行为分析模块103，用户行为分析模块103也通过加密文件系统模块102发送信息给核心服务模块101。即加密文件系统模块102，用于在核心服务模块101与用户行为分析模块103之间进行中转转发。\n[0052] 在本发明的实施例中，用户行为分析模块103包括：第一分析模块1031和第二分析模块1032，包括转发子模块和分析子模块；转发子模块用于从核心服务模块103接收用户行为数据并同时转发一份给第二分析模块1032；分析子模块用于进行用户行为分析；第二分析模块1032，用于进行IP地址和消息的聚合分析，其中IP地址和消息均为用户行为数据中所包含的内容。\n[0053] 分析子模块，用于根据用户的身份标识（UserID）做聚合键值，即以UserID作为索引进行聚合分析。第二分析模块1031具体用于：根据IP地址和消息摘要做聚合键值。\n[0054] 在图1所示的系统中，数据库模块104，具体用于存储包括不同的判别规则的恶意行为判别策略；其中，不同的判别规则对应不同的恶意等级。该数据库模块104，还用于存储与不同的恶意等级对应的打击策略；\n[0055] 用户行为分析模块103，具体用于在所接收的用户行为数据与某个判别规则匹配时，确定为恶意行为，并根据该判别规则对应的恶意等级确定打击策略，将所确定的打击策略同分析结果一起反馈给核心服务模块101；\n[0056] 核心服务模块101，用于对相应用户按照打击策略进行管控处理。\n[0057] 在图1所示的系统中，用户行为分析模块103，还用于在对用户行为数据进行分析，确定为恶意行为后，将该用户行为数据保存到数据库模块104中的分析日志中，供后续查询，即作为下次分析的参考和依据，这样可以进一步缩短分析和响应时间。其中恶意用户主要是指其行为已经命中某个判别规则的用户，根据不同的判别规则进行恶意等级分类，这样可以在不同规则之间建立关联，使分析更加快速和准确。\n[0058] 图1所示的系统中，前台展示模块105，用于通过用户行为分析模块103获取数据库模块104中的分析日志内容并展现给管理员，以及接收管理员输入的恶意行为判别策略管理指令，通过用户行为分析模块103对数据库模块104中的恶意行为判别策略进行管理。判别策略管理指令包括：增加、删除判别规则，以及调整判别规则的参数。分析日志会详细记录判别规则的各种数据参数，为人工分析、打击策略提供改进依据。\n[0059] 在图1所示的系统中，前台展示模块105，进一步用于接收管理员输入的解除管控处理的指令，并发送给用户行为分析模块103；用户行为分析模块103，进一步用于将所述解除管控处理的指令发送给核心服务模块101；核心服务模块101，进一步用于在接收到所述解除管控处理的指令后，解除对相应用户的管控处理。这样做的好处是，如果系统出现误判（例如用户所发布的是团购消息），通过人工查询分析日志可以进行纠正。\n[0060] 在图1所示的系统中，用户行为分析模块103，还用于在根据数据库模块104中保存的恶意行为判别策略对所接收的用户行为数据进行分析时，结合数据库模块104中保存的该用户之前的用户行为数据，确定该用户对应的恶意等级。例如，某个用户已经匹配上大量增删好友的规则，那么会确定一个恶意等级。这样在发送消息时参数会动态调整，比如普通用户发送100条才会进行拦截，而该已经确定的恶意用户则发送10条就开始拦截，即其恶意等级会被确定为更高的等级。\n[0061] 用户行为分析模块以不同形式保存用户行为信息，当有新的用户行为增加进来的时候根据预先设置好的规则进行分析。具体分析时会结合新进来的行为与已发生的用户行为同时结合其他条件进行综合分析，将分析结果保存或在前台进行展现。\n[0062] 在图1所示的系统中，用户行为分析模块103，还用于对所接收的用户行为数据进行分析，并确定为恶意行为时，将消息内容指纹摘要反馈给核心服务模块101；其中消息是指用户行为数据中所包含的用户所发送的消息；核心服务模块101，还用于根据消息内容指纹摘要对相应消息的发送进行管控处理。采用消息内容指纹摘要的方法可以减少数据的传输。\n[0063] 由于消息内容长短不一，对于分析、比对、拦截都很不方便。因此可以采用消息文本指纹摘要算法（参见申请号为201010504001.1的发明专利），该算法整体思路如下：首先去掉无关的字符，例如各种控制字符、全角半角标点符号等等，然后利用汉语分词系统进行切分，并过滤切分后的字符串中不重要的字词，最后计算保留字串的MD5值。用户行为分析模块103根据消息MD5值进行分析，同时将分析得出垃圾消息的MD5值反馈给核心服务模块\n101进行实时拦截，从而实现整体构架的自动化打击。\n[0064] 下面对上述方案进行举例说明。\n[0065] 例如，本发明中的根据判别规则确定恶意用户行为的举例如下：\n[0066] 1、首先用户会进行登录。用户行为分析模块103会根据登录IP进行汇聚分析，如同一IP、昵称相同等条件，符合判别规则，则进行打击并在数据库模块中保存该用户行为数据。这是针对用同一个IP地址用不同的多个账户进行登录的恶意行为的判别规则。\n[0067] 2、修改昵称。根据登录IP和修改后的昵称做为分析数据，符合判别规则，则进行打击并在数据库模块中保存该用户行为数据。\n[0068] 3、增删好友。根据登录IP和增删好友数量进行分析，符合判别规则，则进行打击并在数据库模块中保存该用户行为数据。\n[0069] 4、发送恶意消息。进行分析时会参考是否已经命中判别规则，如果命中则属于高危用户，规则的参数会进行动态调整。这是针对群发诈骗消息的恶意行为，并且如果该用户有曾经增删过好友的记录，则其恶意等级会更高，打击力度也更大。\n[0070] 以上属于比较典型的有恶意倾向的行为规则，还有一些其他特定的分析规则，基本上原理都是通过分析作案用户行为轨迹，反复验证，形成自动运行的打击规则。这些都是通过统计分析大量恶意用户的行为，得到的其造成恶意影响前比较典型的伴随行为，因此一旦用户出现上述行为，就需要重点防范。\n[0071] 前面提到不同的判别规则对应不同的恶意等级，根据恶意等级对用户进行分级，不同的恶意等级的用户对应不同的打击策略。\n[0072] 对用户的恶意进行分级就是针对某种特定的用户行为规则为用户确定一个级别，例如，若用户行为出现批量修改昵称且IP相同，则将用户的恶意等级确定为三级；若用户行为出现大量增删好友（由于每个用户的好友数量有上限，因此恶意用户为了群发信息或短信需要大量更新好友实现非法目的，例如每天更新100个），则将用户的恶意等级确定为四级（恶意级别高于三级）；若使用同一IP登陆的用户昵称相同（例如同一IP地址登陆的大于等于5个用户昵称相同），则将用户的恶意等级确定为四级；打击策略可以根据用户恶意等级进行确定，如消息拦截规则：\n[0073] 对于四级用户，若一个用户发送5条消息即开始进行拦截，并对用户账号进行控制；对于三级用户，若两个用户发送30条消息即开始进行拦截，并对用户账号进行控制；对于二级用户，若两个用户发送50条消息即开始进行拦截，并对用户账号进行观察；对于一级用户，若十个用户发送400条消息即开始进行拦截。所有数值可随时进行配置调整。用户行为分析模块会把分析结果为恶意的消息内容指纹摘要实时同步给核心服务模块进行后续拦截，并将分析结果通过前台展现模块呈现给管理员，若管理员确定信息为恶意消息（垃圾信息、广告、诈骗、赌博等），则保持拦截，若管理员确定消息不是恶意消息（群或社团的活动公告等），则用户行为分析模块可以接收管理员的解除拦截指令并通知核心服务放行后续相同指纹摘要的消息。\n[0074] 由此，在恶意级别较高的用户发送消息的时候能够先进行拦截，及时阻止其作案，之后由管理员审核是否放行，因此能够及时发现和打击犯罪，而且通过不断的调整和优化判别规则和打击策略，能够不断的提高打击的准确率。\n[0075] 可见，本发明用户行为分析模块所使用的判别规则有良好的设计和灵活的配置，包括如下方面：判别规则分析的时间范围和各种数据参数的配置化；判别规则分析用户属性配置化，如登录地域（本地、异市、异省等）、登录客户端，如果不在配置范围则不启用；判别规则处理结果配置化，如是否对消息拦截、对用户如何处理（观察、受控、冻结等等）；判别规则是否启用配置化，可根据当时情况随时启用或关闭某条判别规则。\n[0076] 由于判别规则的灵活配置，与诈骗分子的周旋期间赢得了宝贵的时间，可以根据对方最新动向，及时调整参数予以反击。\n[0077] 由上述可见，本发明这种即时通信系统的在线用户行为分析系统包括：核心服务模块、用户行为分析模块、数据库模块，其中，核心服务模块，用于将在线用户的用户行为数据实时发送给用户行为分析模块，根据用户行为分析模块反馈的分析结果对相应用户进行管控处理；用户行为分析模块，用于根据数据库模块中保存的恶意行为判别规则对所接收的用户行为数据进行分析，如果确定为恶意行为，则将分析结果反馈给核心服务模块的技术方案，可以实现自动对即时通信系统的在线用户行为进行实时分析，并且反应速度快。\n[0078] 以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。