(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111554213.5 (22)申请日 2021.12.17 (71)申请人 中国平安财产保险股份有限公司 地址 518000 广东省深圳市福田区益田路 5033号平安金融中心12、 13、 38、 39、 40 层 (72)发明人 罗振珊　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 代理人 刘燕 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/16(2022.01) H04L 41/14(2022.01) H04L 41/142(2022.01) (54)发明名称 异常攻击 检测方法、 装置、 设备及存 储介质 (57)摘要 本申请实施例提供了一种异常攻击检测方 法、 装置、 设备及存储介质， 涉及人工智能技术领 域， 包括： 调用异常检测模型对目标标识信息进 行异常检测， 得到第一异常检测结果； 对预设检 测时间窗内的车险日志信息进行统计 分析， 确定 第二异常检测结果， 基于第一异常检测结果以及 第二异常检测结果确定目标异常检测结果。 可以 基于目标标识信息确定第一异常检测结果， 以及 基于车险日志信息确定第二异常检测结果， 使 得 基于第一异常检测结果和第二异常检测结果确 定的目标异常检测结果更准确， 可以精准识别车 险业务中的爬虫攻击行为。 本申请可以涉及区块 链技术， 如可将目标异常检测结果写入区块链 中。 权利要求书2页 说明书12页 附图3页 CN 114244611 A 2022.03.25 CN 114244611 A 1.一种异常攻击检测方法， 其特 征在于， 包括： 获取目标账号对应的目标标识信 息， 并调用异常检测模型对所述目标标识信 息进行异 常检测， 得到第一异常检测结果； 获取所述目标账号在预设检测时间窗内的车险日志信 息， 对所述预设检测时间窗内的 车险日志信息进行统计分析， 得到所述预设检测时间窗内的统计信息； 根据所述预设检测时间窗内的统计信息与参 考阈值确定第二异常检测结果； 基于所述第一异常检测结果以及所述第二异常检测结果确定目标异常检测结果。 2.如权利要求1所述的方法， 其特征在于， 所述调用异常检测模型对所述目标标识信 息 进行异常检测， 得到第一异常检测结果， 包括： 获取所述目标 标识信息对应的向量表达式； 调用所述异常检测模型对所述目标标识信 息对应的向量表达 式进行分类处理， 确定所 述向量表达式所属的目标 标识子集； 将所述目标 标识子集指示的异常类型作为所述第一异常检测结果。 3.如权利要求2所述的方法， 其特征在于， 所述目标标识子集对应多个样本标识子集， 确定多个样本标识子集， 包括： 获取样本标识集， 并对所述样本标识集中的各样本标识信息进行向量转换， 确定所述 样本标识集中每 个样本标识信息对应的样本向量； 根据所述每个样本标识信 息对应的样本向量对所述样本标识集进行分类， 得到不同类 别下的样本标识子集， 其中， 一个类别下 的样本标识子集中的样本标识信息对应的样本 向 量与一个待选择异常类型相对应。 4.如权利要求1所述的方法， 其特征在于， 所述目标标识信 息包括目标登录账号和目标 设备标识， 所述调用异常检测模型对所述 目标标识信息进行异常检测， 得到第一异常检测 结果， 包括： 获取名单列表， 在所述名单列表中查找所述目标登录账号对应的参 考异常类型； 从所述目标设备标识指示的目标设备中获取所述目标账号的历史行为数据， 并调用所 述异常检测模型对所述历史行为数据进行 标签识别处 理， 确定参 考异常标签； 基于所述 参考异常类型以及所述 参考异常标签确定所述第一异常检测结果。 5.如权利要求4所述的方法， 其特征在于， 所述异常检测模型中包括至少两个二分类任 务， 每个所述二分类任务对应一个候选异常标签， 所述调用所述异常检测模型对所述历史 行为数据进行 标签识别处 理， 确定参 考异常标签， 包括： 对所述历史行为数据进行 特征提取得到特征向量； 分别调用所述异常检测模型中的各个所述二分类任务对所述特征向量进行标签识别 处理， 从所述 候选异常标签中确定所述 参考异常标签。 6.如权利要求1 ‑5任一项所述的方法， 其特征在于， 所述对所述预设检测时间窗内的车 险日志信息进行统计分析， 得到所述预设检测时间窗内的统计信息， 包括： 从所述车险日志信息中获取用于查询车险资源的车辆标识信息； 统计所述预设检测时间窗内的车辆标识信 息的数量， 并将所述车辆标识信 息的数量作 为所述统计信息 。 7.如权利要求1 ‑5任一项所述的方法， 其特征在于， 所述基于所述第 一异常检测结果以权　利　要　求　书 1/2 页 2 CN 114244611 A 2及所述第二异常检测结果确定目标异常检测结果， 包括： 获取所述第一异常检测结果的注意力权 重以及所述第二异常检测结果的注意力权 重； 基于所述第 一异常检测结果的注意力 权重以及所述第 二异常检测结果的注意力 权重， 对所述第一异常检测结果以及所述第二异常检测结果执行注意力处理， 确定所述目标异常 检测结果。 8.一种异常攻击检测装置， 其特 征在于， 包括： 异常检测单元， 用于获取目标账号对应的目标标识信息， 并调用异常检测模型对所述 目标标识信息进行异常检测， 得到第一异常检测结果； 统计分析单元， 用于获取所述目标账号在预设检测时间窗内的车险日志信息， 对所述 预设检测 时间窗内的车险日志信息进行统计分析， 得到所述预设检测 时间窗内的统计信 息； 确定单元， 用于根据 所述预设检测时间窗内的统计信 息与参考阈值确定第 二异常检测 结果； 所述确定单元还用于基于所述第一异常检测结果以及所述第二异常检测结果确定目 标异常检测结果。 9.一种异常攻击检测设备， 包括输入接口、 输出接口， 其特 征在于， 还 包括： 处理器， 适于实现一条或多条指令； 以及， 计算机存储介质， 所述计算机存储介质存储有一条或多条指令， 所述一条或多条指令 适于由所述处 理器加载以执 行如权利要求1 ‑7任一项所述的异常攻击检测方法。 10.一种计算机存储介质， 其特征在于， 所述计算机存储介质存储有一条或多条指令， 所述一条或多 条指令适于由处理器加载并执行如权利要求 1‑7任意一项 所述的异常攻击检 测方法。权　利　要　求　书 2/2 页 3 CN 114244611 A 3