CN104426881A - 一种检测恶意行为的方法及装置 - Google Patents
一种检测恶意行为的方法及装置 Download PDFInfo
- Publication number
- CN104426881A CN104426881A CN201310394868.XA CN201310394868A CN104426881A CN 104426881 A CN104426881 A CN 104426881A CN 201310394868 A CN201310394868 A CN 201310394868A CN 104426881 A CN104426881 A CN 104426881A
- Authority
- CN
- China
- Prior art keywords
- unit
- courses
- action
- user
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种检测恶意行为的方法及装置,属于互联网领域。该方法包括:接收终端待执行的操作的操作请求消息,该操作请求消息中携带用户的用户标识和待执行的操作的操作标识;根据用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径,操作路径是由终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的;在获取的操作路径包括的最后一个操作标识之后串联待执行的操作的操作标识,构成待执行的操作当前所在的操作路径;根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路径,判断待执行的操作是否为恶意行为。本发明不管恶意分子如何改变操作请求消息中的源地址,服务器都可以检测出恶意行为。
Description
技术领域
本发明涉及互联网领域,特别涉及一种检测恶意行为的方法及装置。
背景技术
随着互联网技术的快速发展,用户在互联网上进行的操作会越来越频繁,与此同时,一些恶意分子开发自动访问程序来自动地在互联网上进行恶意扫号、暴力破解用户标识的密码,以及利用破解的用户标识发送垃圾消息和盗取财产等自动化恶意行为,所以检测恶意行为的方法受到了广泛地关注。
目前,检测恶意行为的方法具体可以为:终端向服务器发送操作请求消息,该操作请求消息中携带源地址和目的地址,服务器接收该操作请求消息,将该操作请求消息中携带的源地址确定为该终端的IP(Internet Protocol,互联网网络协议)地址;服务器判断已存储的恶意IP地址中是否存在该终端的IP地址,如果存在,则确定该终端待执行的操作为恶意行为,否则,确定该终端待执行的操作不为恶意行为;当确定该终端待执行的操作为恶意行为时,服务器可以直接拦截该终端待执行的操作,也可以向该终端发送一个验证码,对该终端的身份进一步进行验证。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
由于恶意分子向服务器发送操作请求消息时可能会通过代理服务器转发,代理服务器将该操作请求消息中的源地址改变为自身的IP地址,此时服务器接收的操作请求消息中携带的IP地址为代理服务器的IP地址,而不是恶意分子对应的终端的IP地址,并且当恶意分子通过不同的代理服务器发送操作请求消息时,服务器接收的操作请求消息中携带的IP地址也会不同,如此,服务器侧可能就不会检测到恶意分子的行为;此外,由于手机终端的IP地址不稳定,当用户使用手机终端且该手机终端的IP地址为恶意IP地址时,会将用户执行的操作判定为恶意行为。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种检测恶意行为的方法及装置。所述技术方案如下:
一方面,提供了一种检测恶意行为的方法,所述方法包括:
接收终端待执行的操作的操作请求消息,所述操作请求消息中携带用户的用户标识和待执行的操作的操作标识;
根据所述用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径,所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的;
在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标识,构成所述待执行的操作当前所在的操作路径;
根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为。
另一方面,提供了一种检测恶意行为的装置,所述装置包括:
接收模块,用于接收终端待执行的操作的操作请求消息,所述操作请求消息中携带用户的用户标识和待执行的操作的操作标识;
获取模块,用于根据所述用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径,所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的;
串联模块,用于在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标识,构成所述待执行的操作当前所在的操作路径;
第一判断模块,用于根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为。
在本发明实施例中,由于恶意分子开发自动机时,会在自动机中设置固定的操作路径,当恶意分子改变自动机中的操作路径时成本较高且花费的时间较长;所以本发明实施例中,服务器不会直接根据终端的IP地址判断待执行的操作是否为恶意行为,而是根据待执行的操作的操作请求消息中携带的用户标识和待执行的操作的操作标识,获取待执行的操作当前所在的操作路径,根据待执行的操作当前所在的操作路径判断待执行的操作是否为恶意行为。如此,不管恶意分子如何改变操作请求消息中的源地址,服务器都可以检测出恶意行为,并且服务器不会将使用手机终端等IP地址不稳定的用户执行的操作判定为恶意行为。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种检测恶意行为的方法流程图;
图2是本发明实施例二提供的一种检测恶意行为的系统架构图;
图3是本发明实施例二提供的一种检测恶意行为的方法流程图;
图4是本发明实施例三提供的一种检测恶意行为的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明实施例提供了一种检测恶意行为的方法,参见图1,该方法包括:
步骤101:接收终端待执行的操作的操作请求消息,该操作请求消息中携带用户的用户标识和待执行的操作的操作标识;
步骤102:根据该用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径,该操作路径是由该终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的;
步骤103:在获取的操作路径包括的最后一个操作标识之后串联待执行的操作的操作标识,构成待执行的操作当前所在的操作路径;
步骤104:根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路径,判断待执行的操作是否为恶意行为。
其中,根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路径,判断待执行的操作是否为恶意行为,包括:
如果已存储的恶意操作路径集合中存在待执行的操作当前所在的操作路径,则确定待执行的操作为恶意行为。
进一步地,该方法还包括:
如果已存储的恶意操作路径集合中不存在待执行的操作当前所在的操作路径,则根据该用户标识和待执行的操作当前所在的操作路径,查找已存储的用户标识、操作路径和操作次数的对应关系;
如果查找到对应的操作次数,则根据查找到的操作次数和待执行的操作当前所在的操作路径,判断待执行的操作是否为恶意行为。
其中,根据查找到的操作次数和待执行的操作当前所在的操作路径,判断待执行的操作是否为恶意行为,包括:
如果查找到的操作次数达到第一预设阈值,则根据待执行的操作当前所在的操作路径,从该用户标识、操作路径和操作次数的对应关系中获取对应的用户标识;
根据获取的用户标识,从已存储的用户标识与常用IP地址的对应关系中获取对应的常用IP地址;
确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标识;
计算确定出的用户标识的个数与获取的用户标识的个数之间的比值;
如果该比值大于第二预设阈值,则确定该待执行的操作为恶意行为。
进一步地,如果该比值大于第二预设阈值,则确定待执行的操作为恶意行为之后,还包括:
将待执行的操作当前所在的操作路径确定为恶意操作路径,并存储在该恶意操作路径集合中。
进一步地,该方法还包括:
如果没有查找到对应的操作次数,则为该用户标识和待执行的操作当前所在的操作路径设置对应的操作次数,并将该用户标识、待执行的操作当前所在的操作路径和设置的操作次数存储在该用户标识、操作路径和操作次数的对应关系中。
可选地,该方法还包括:
接收管理员输入的恶意操作路径,将接收的恶意操作路径存储在该恶意操作路径集合中。
在本发明实施例中,由于恶意分子开发自动机时,会在自动机中设置固定的操作路径,当恶意分子改变自动机中的操作路径时成本较高且花费的时间较长;所以本发明实施例中,服务器不会直接根据终端的IP地址判断待执行的操作是否为恶意行为,而是根据待执行的操作的操作请求消息中携带的用户标识和待执行的操作的操作标识,获取待执行的操作当前所在的操作路径,根据待执行的操作当前所在的操作路径判断待执行的操作是否为恶意行为。如此,不管恶意分子如何改变操作请求消息中的源地址,服务器都可以检测出恶意行为,并且服务器不会将使用手机终端等IP地址不稳定的用户执行的操作判定为恶意行为。
实施例二
本发明实施例提供了一种检测恶意行为的方法。其中,在如图2所示的系统架构图中包括用户侧和网络侧,网络侧包括接入服务器、策略服务器、路径计算服务器和一个或多个业务服务器,且接入服务器、策略服务器、路径计算服务器和一个或多个业务服务器可以是单独的服务器,也可以是同一服务器上不同的功能模块。参见图3,该方法包括:
步骤201:终端向接入服务器发送待执行的操作的操作请求消息,该操作请求消息中携带用户的用户标识和待执行的操作的操作标识;
其中,该操作请求消息是终端用于请求待执行的操作的操作标识对应的操作。例如,终端待执行的操作为访问QQ邮箱,则待执行的操作的操作标识为QQ邮箱的标识,该操作请求消息为访问QQ邮箱的请求消息。
其中,本发明实施例中的终端可以为用户对应的终端,也可以为恶意分子开发的自动机,该自动机执行操作的操作路径是固定的。
步骤202:接入服务器接收该操作请求消息,并将该用户标识和待执行的操作的操作标识发送给策略服务器;
步骤203:策略服务器接收该用户标识和待执行的操作的操作标识,根据该用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径,该操作路径是由终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的;
其中,由于自动机执行一条操作路径的速度较快,所以可以根据自动机执行一条操作路径的时间设置一个预设时间段,自动机可以在该预设时间段之内执行一条操作路径。由于每个自动机中的操作路径是预先设置的固定操作路径,并且每条操作路径中都包括一个起始操作,当策略服务器接收到待执行的操作的操作标识时,判断该待执行的操作的操作标识是否为起始操作的操作标识,如果是,则开始对预设时间段进行计时,将该自动机在该预设时间段之内已执行的操作构成一条操作路径。例如,自动机通过已经破解的用户的用户帐号进行恶意行为,则自动机中设置的操作路径包括的起始操作为登录该用户的用户帐号,当策略服务器接收到登录该用户的用户帐号的操作标识时,开始对预设时间段进行计时,将该预设时间段之内执行的操作的操作标识构成一条操作路径。
其中,在本发明实施例中,可以在策略服务器中设置一个时间间隔,策略服务器可以统计终端在该时间间隔中执行同一操作的次数,根据该终端在该时间间隔中执行同一操作的次数确定该终端执行一条操作路径的起始操作。例如,终端执行一条操作路径的起始操作为登录用户帐号,当终端的IP地址变化时,终端可能需要多次输入验证码才能成功登录该用户帐号,所以策略服务器可以根据终端登录该用户帐号的次数确定终端执行一条操作路径的起始操作。当策略服务器接收到起始操作的操作标识时,策略服务器重新开始计时,并且从计时时间开始一个预设时间段中将已执行的操作的操作标识构成一条操作路径,根据该操作路径判断待执行的操作是否为恶意行为。假如人为执行一条恶意操作路径时,策略服务器可以在确定起始操作之后开始对预设时间段进行计时,将该预设时间段之内已执行的操作的操作标识构成一条操作路径,当再次接收到该起始操作的操作标识时重新开始对预设时间段进行计时。
其中,策略服务器中事先存储用户标识与操作路径的对应关系,且存储的操作路径是该用户标识对应的终端在离当前时间最近的预设时间段之内已执行的操作所在的操作路径,已执行的操作所在的操作路径是根据已执行的操作的操作时间,将已执行的操作的操作标识进行串联得到的。
例如,该终端在离当前时间最近的预设时间段之内已执行的操作为先登录QQ、成功登录QQ后从QQ主界面访问QQ空间以及从QQ空间进入拍拍网,假如,该终端对应的用户的用户标识为User1,登录QQ的操作标识为Name1,访问QQ空间的操作标识为Name2,进入拍拍网的操作标识为Name3,则根据已执行的操作的操作时间,将已执行的操作的操作标识进行串联,得到已执行的操作所在的操作路径为Name1-Name2-Name3,将用户标识User1和操作路径Name1-Name2-Name3存储在用户标识与操作路径的对应关系中。
其中,一个终端在一个预设时间段对应一个操作路径,当该时间段结束时,策略服务器可以清除该终端在该预设时间段内的操作路径。
例如,该用户标识为User1,根据该用户标识User1,从如下表1所示的用户标识与操作路径的对应关系中获取对应的操作路径为Name1-Name2-Name3。
表1
| 用户标识 | 操作路径 |
| User1 | Name1-Name2-Name3 |
| User2 | Name3-Name4-Name5 |
| User3 | Name2-Name3-Name4 |
步骤204:策略服务器在获取的操作路径包括的最后一个操作标识之后串联待执行的操作的操作标识,构成待执行的操作当前所在的操作路径;
具体地,策略服务器从获取的操作路径中选择离当前时间最近的一个操作标识,即获取的操作路径包括的最后一个操作标识,在选择的操作标识之后串联待执行的操作的操作标识,构成待执行的操作当前所在的操作路径。
例如,待执行的操作为访问QQ邮箱,访问QQ邮箱的操作标识为Name4,获取的操作路径Name1-Name2-Name3中离当前时间最近的一个操作标识为Name3,则在操作标识Name3之后串联待执行的操作的操作标识Name4,构成待执行的操作当前所在的操作路径为Name1-Name2-Name3-Name4。
可选地,待执行的操作当前所在的操作路径还可以根据用户标识、待执行的操作的操作标识和操作入口标识确定,操作入口标识是该终端在离当前时间最近的预设时间段内在执行待执行的操作之前最近一次执行的操作的操作标识,此时终端向接入服务器发送的待执行的操作的操作请求消息中不仅携带用户标识和待执行的操作的操作标识,而且还携带操作入口标识。
其中,根据用户标识、待执行的操作的操作标识和操作入口标识确定待执行的操作当前所在的操作路径具体为:策略服务器根据该用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径;从获取的操作路径中,选择操作路径包括的最后一个操作标识与操作入口标识相同的操作路径;在选择的操作路径的最后一个操作标识之后串联待执行的操作的操作标识,构成待执行的操作当前所在的操作路径。
其中,策略服务器中存储预设时间段内的用户标识与操作路径的对应关系,且每个用户标识对应一个或多个操作路径。
其中,操作路径中包括的最后一个操作标识为离当前时间最近一次终端执行的操作的操作标识。
其中,策略服务器中已存储的用户标识与操作路径的对应关系中包括的操作路径是该终端在离当前时间最近的预设时间段之内已执行的操作所在的操作路径;由于自动机中设定的操作路径是固定的,并且自动机在执行一条操作路径的速度特别快,而用户执行相同的一条操作路径花费的时间较长,速度较慢,所以在预设时间段之内自动机可以执行一条操作路径,而用户可能只会执行相同的一条操作路径中的一少部分。假如策略服务器根据用户标识从已存储的用户标识与操作路径的对应关系中,选择操作路径包括的最后一个操作标识与操作入口标识相同的操作路径为多条时,此时将待执行的操作的操作标识串联在选择的多条操作路径包括的最后一个操作标识之后,构成的待执行的操作当前所在的操作路径与自动机中设定的操作路径相同的概率特别小,所以将用户执行的操作判断为恶意行为的概率特别小。
例如,策略服务器接收的用户标识为User1,待执行的操作的操作标识为Name4,操作入口标识为Name3,根据该用户标识User1,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径为Name2-Name4-Name3和Name3-Name4-Name5;将操作路径Name2-Name4-Name3和Name3-Name4-Name5中的最后一个操作路径Name3和Name5分别与操作入口标识Name3进行比较,确定操作路径Name2-Name4-Name3中包括的最后一个操作路径Name3与操作入口标识Name3相同,则选择操作路径Name2-Name4-Name3,并将待执行的操作的操作标识Name4串联在选择的操作路径Name2-Name4-Name3的最后一个操作标识Name3之后,构成待执行的操作当前所在的操作路径为Name2-Name4-Name3-Name4。
步骤205:策略服务器将该用户标识和待执行的操作当前所在的操作路径发送给路径计算服务器;
步骤206:路径计算服务器接收该用户标识和待执行的操作当前所在的操作路径,如果已存储的恶意操作路径集合中存在待执行的操作当前所在的操作路径,则确定待执行的操作为恶意行为,结束操作;
具体地,路径计算服务器接收该用户标识和待执行的操作当前所在的操作路径,将待执行的操作当前所在的操作路径与已存储的恶意操作路径集合中包括的操作路径进行比较,如果已存储的恶意操作路径集合中存在待执行的操作当前所在的操作路径,则确定待执行的操作为恶意行为,结束操作。
进一步地,本发明实施例中的恶意操作路径是实时更新的,当管理员发现某个恶意操作路径时,该管理员可以向路径计算服务器输入该恶意操作路径;路径计算服务器接收管理员输入的恶意操作路径,将接收的恶意操作路径存储在路径计算服务器中的恶意操作路径集合中。
进一步地,路径计算服务器确定该终端待执行的操作为恶意行为之后,路径计算服务器向策略服务器发送恶意通知消息,策略服务器接收该恶意通知消息,从已存储的验证码数据库中随机选择一个验证码,将选择的验证码发送给接入服务器,使接入服务器将接收的验证码发送给该终端,对该终端的身份进行进一步验证。
其中,当判断出该终端待执行的操作为恶意行为之后,则可以初步判断出该终端为恶意分子开发的自动机。由于自动机识别验证码的概率特别小,而用户识别验证码的概率特别大,所以策略服务器通过接入服务器向该终端发送验证码,当该终端提交的验证码验证不通过时,则确定该终端为自动机,使接入服务器拦截该终端待执行的操作。
可选地,当策略服务器接收到该恶意通知消息后,策略服务器可以将该恶意通知消息转发给接入服务器,使接入服务器直接拦截该终端待执行的操作。
其中,同一个自动机执行操作的操作路径是相同的,而用户执行的操作具有随机性,所以用户对应的终端执行完全相同的操作路径的可能性较小,所以本发明通过操作路径可以区分用户对应的终端与自动机,进而达到检测恶意行为的目的。
步骤207:如果已存储的恶意操作路径集合中不存在待执行的操作当前所在的操作路径,则根据该用户标识和待执行的操作当前所在的操作路径,查找已存储的用户标识、操作路径和操作次数的对应关系;
具体地,如果已存储的恶意操作路径集合中不存在待执行的操作当前所在的操作路径,则根据该用户标识和待执行的操作当前所在的操作路径,查找已存储的用户标识、操作路径和操作次数的对应关系,如果已存储的用户标识、操作路径和操作次数的对应关系中存在该用户标识和待执行的操作当前所在的操作路径对应的记录,则可以查找到该用户标识和待执行的操作当前所在的操作路径对应的操作次数;如果已存储的用户标识、操作路径和操作次数的对应关系中不存在该用户标识和待执行的操作当前所在的操作路径对应的记录,则不能查找到该用户标识和待执行的操作当前所在的操作路径对应的操作次数。
例如,如果已存储的恶意操作路径集合中不存在待执行的操作当前所在的操作路径Name1-Name2-Name3-Name4,则根据该用户标识User1和待执行的操作当前所在的操作路径Name1-Name2-Name3-Name4,从如下表2所示的用户标识、操作路径和操作次数的对应关系中查找对应的操作次数为100。
表2
步骤208:如果查找到对应的操作次数,则根据查找到的操作次数和待执行的操作当前所在的操作路径,判断待执行的操作是否为恶意行为;
具体地,本步骤可以分为如下(1)-(5)的步骤,包括:
(1)、如果查找到对应的操作次数且查找到的操作次数达到第一预设阈值,则根据待执行的操作当前所在的操作路径,从用户标识、操作路径和操作次数的对应关系中获取对应的用户标识;
具体地,如果查找到对应的操作次数,则将查找的操作次数与第一预设阈值进行比较,如果查找到的操作次数达到第一预设阈值,则根据待执行的操作当前所在的操作路径,从用户标识、操作路径和操作次数的对应关系中获取对应的用户标识。
进一步地,如果没有查找到对应的操作次数,则确定待执行的操作不为恶意行为。
例如,第一预设阈值为100,由于查找到的操作次数100达到第一预设阈值100,则根据待执行的操作当前所在的操作路径Name1-Name2-Name3-Name4,从如上表2所示的用户标识、操作路径和操作次数的对应关系中获取的用户标识为User1、User2、User3、User4、User5和User6。
(2)、根据获取的用户标识,从已存储的用户标识与常用IP地址的对应关系中获取对应的常用IP地址;
例如,根据获取的用户标识User1,从如下表3所示的用户标识与常用IP地址的对应关系中获取对应的常用IP地址为IP1,根据获取的用户标识User2,从如下表3所示的用户标识与常用IP地址的对应关系中获取对应的常用IP地址为IP2,根据获取的用户标识User3,从如下表3所示的用户标识与常用IP地址的对应关系中获取对应的常用IP地址为IP3,根据获取的用户标识User4,从如下表3所示的用户标识与常用IP地址的对应关系中获取对应的常用IP地址为IP4,根据获取的用户标识User5,从如下表3所示的用户标识与常用IP地址的对应关系中获取对应的常用IP地址为IP5,根据获取的用户标识User6,从如下表3所示的用户标识与常用IP地址的对应关系中获取对应的常用IP地址为IP6。
表3
| 用户标识 | 常用IP地址 |
| User1 | IP1 |
| User2 | IP2 |
| User3 | IP3 |
| User4 | IP4 |
| User5 | IP5 |
| User6 | IP6 |
(3)、确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标识;
具体地,分别将获取的用户标识对应的终端的IP地址与其对应的常用IP地址进行比较,确定获取的用户标识中其对应的终端的IP地址与其对应的常用IP地址不同的用户标识。
例如,用户标识User1对应的终端的IP地址与其对应的常用IP地址IP1不同,用户标识User2对应的终端的IP地址与其对应的常用IP地址IP2不同,用户标识User3对应的终端的IP地址与其对应的常用IP地址IP3不同,用户标识User4对应的终端的IP地址与其对应的常用IP地址IP4不同,用户标识User5对应的终端的IP地址与其对应的常用IP地址IP5相同,用户标识User6对应的终端的IP地址与其对应的常用IP地址IP6不同,则确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标识为User1、User2、User3、User4和User6。
(4)、计算确定出的用户标识的个数与获取的用户标识的个数之间的比值;
具体地,统计确定出的用户标识的个数,以及通过获取的用户标识的个数,将确定出的用户标识的个数除以获取的用户标识的个数,得到确定出的用户标识的个数与获取的用户标识的个数之间的比值。
(5)、如果该比值大于第二预设阈值,则确定待执行的操作为恶意行为。
进一步地,如果该比值小于或等于第二预设阈值,则确定待执行的操作不为恶意行为。
其中,如果该比值大于第二预设阈值,则确定执行待执行的操作当前所在的操作路径的用户不在常用IP地址的较多,如果该比值小于或等于第二预设阈值,则确定执行待执行的操作当前所在的操作路径的用户不在常用IP地址的较少。
例如,确定出的用户标识的个数为5,获取的用户标识的个数为6,计算的确定出的用户标识的个数与获取的用户标识的个数之间的比值为83.3%,假如,第二预设阈值为80%,由于该比值83.3%大于第二预设阈值80%,则确定待执行的操作为恶意行为。
步骤209:如果待执行的操作为恶意行为,则将待执行的操作当前所在的操作路径确定为恶意操作路径,并存储在恶意操作路径集合中。
进一步地,如果该终端待执行的操作不为恶意行为,则路径计算服务器向策略服务器发送正常通知消息,使策略服务器将该正常通知消息发送给接入服务器;接入服务器接收该正常通知消息,并向业务服务器发送待执行的操作的操作请求消息;业务服务器接收该操作请求消息,并通过接入服务器向该终端发送操作响应消息。
其中,当业务服务器通过接入服务器向该终端发送操作响应消息之后,业务服务器将该用户标识和待执行的操作当前所在的操作路径发送给路径计算服务器。路径计算服务器接收该用户标识和待执行的操作当前所在的操作路径,根据接收的用户标识和待执行的操作当前所在的操作路径,查找已存储的用户标识、操作路径与操作次数的对应关系;如果查找到对应的操作次数,则增加查找到的操作次数;如果没有查找到对应的操作次数,则为该用户标识和待执行的操作当前所在的操作路径设置对应的操作次数,并将该用户标识、待执行的操作当前所在的操作路径和设置的操作次数存储在用户标识、操作路径和操作次数的对应关系中。
其中,增加查找到的操作次数的具体操作为:将查找到的操作次数增加1。
其中,为该用户标识和待执行的操作当前所在的操作路径设置对应的操作次数的具体操作可以为:将该用户标识和待执行的操作当前所在的操作路径设置对应的操作次数设置为1。
在本发明实施例中,由于恶意分子开发自动机时,会在自动机中设置固定的操作路径,当恶意分子改变自动机中的操作路径时成本较高且花费的时间较长;所以本发明实施例中,服务器不会直接根据终端的IP地址判断待执行的操作是否为恶意行为,而是根据待执行的操作的操作请求消息中携带的用户标识和待执行的操作的操作标识,获取待执行的操作当前所在的操作路径,根据待执行的操作当前所在的操作路径判断待执行的操作是否为恶意行为。如此,不管恶意分子如何改变操作请求消息中的源地址,服务器都可以检测出恶意行为,并且服务器不会将使用手机终端等IP地址不稳定的用户执行的操作判定为恶意行为。
实施例三
参见图4,本发明实施例提供了一种检测恶意行为的装置,该装置包括:
接收模块301,用于接收终端待执行的操作的操作请求消息,该操作请求消息中携带用户的用户标识和待执行的操作的操作标识;
获取模块302,用于根据该用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径,所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的;
串联模块303,用于在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标识,构成待执行的操作当前所在的操作路径;
第一判断模块304,用于根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路径,判断待执行的操作是否为恶意行为。
其中,第一判断模块304包括:
第一确定单元,用于如果已存储的恶意操作路径集合中存在待执行的操作当前所在的操作路径,则确定待执行的操作为恶意行为。
进一步地,该装置还包括:
查找模块,用于如果已存储的恶意操作路径集合中不存在待执行的操作当前所在的操作路径,则根据该用户标识和待执行的操作当前所在的操作路径,查找已存储的用户标识、操作路径和操作次数的对应关系;
第二判断模块,用于如果查找到对应的操作次数,则根据查找到的操作次数和待执行的操作当前所在的操作路径,判断待执行的操作是否为恶意行为。
其中,第二判断模块包括:
第一获取单元,用于如果查找到的操作次数达到第一预设阈值,则根据待执行的操作当前所在的操作路径,从该用户标识、操作路径和操作次数的对应关系中获取对应的用户标识;
第二获取单元,用于根据获取的用户标识,从已存储的用户标识与常用IP地址的对应关系中获取对应的常用IP地址;
第二确定单元,用于确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标识;
计算单元,用于计算确定出的用户标识的个数与获取的用户标识的个数之间的比值;
第三确定单元,用于如果该比值大于第二预设阈值,则确定待执行的操作为恶意行为。
进一步地,第二判断模块还包括:
存储单元,用于将待执行的操作当前所在的操作路径确定为恶意操作路径,并存储在该恶意操作路径集合中。
进一步地,该装置还包括:
第一存储模块,用于如果没有查找到对应的操作次数,则为该用户标识和待执行的操作当前所在的操作路径设置对应的操作次数,并将该用户标识、待执行的操作当前所在的操作路径和设置的操作次数存储在该用户标识、操作路径和操作次数的对应关系中。
可选地,该装置还包括:
第二存储模块,用于接收管理员输入的恶意操作路径,将接收的恶意操作路径存储在该恶意操作路径集合中。
在本发明实施例中,由于恶意分子开发自动机时,会在自动机中设置固定的操作路径,当恶意分子改变自动机中的操作路径时成本较高且花费的时间较长;所以本发明实施例中,服务器不会直接根据终端的IP地址判断待执行的操作是否为恶意行为,而是根据待执行的操作的操作请求消息中携带的用户标识和待执行的操作的操作标识,获取待执行的操作当前所在的操作路径,根据待执行的操作当前所在的操作路径判断待执行的操作是否为恶意行为。如此,不管恶意分子如何改变操作请求消息中的源地址,服务器都可以检测出恶意行为,并且服务器不会将使用手机终端等IP地址不稳定的用户执行的操作判定为恶意行为。
需要说明的是:上述实施例提供的检测恶意行为的装置在检测恶意行为时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的检测恶意行为的装置与检测恶意行为的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种检测恶意行为的方法,其特征在于,所述方法包括:
接收终端待执行的操作的操作请求消息,所述操作请求消息中携带用户的用户标识和所述待执行的操作的操作标识;
根据所述用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径,所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的;
在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标识,构成所述待执行的操作当前所在的操作路径;
根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为。
2.如权利要求1所述的方法,其特征在于,所述根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为,包括:
如果已存储的恶意操作路径集合中存在所述待执行的操作当前所在的操作路径,则确定所述待执行的操作为恶意行为。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
如果已存储的恶意操作路径集合中不存在所述待执行的操作当前所在的操作路径,则根据所述用户标识和所述待执行的操作当前所在的操作路径,查找已存储的用户标识、操作路径和操作次数的对应关系;
如果查找到对应的操作次数,则根据查找到的操作次数和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为。
4.如权利要求3所述的方法,其特征在于,所述根据查找到的操作次数和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为,包括:
如果查找到的操作次数达到第一预设阈值,则根据所述待执行的操作当前所在的操作路径,从所述用户标识、操作路径和操作次数的对应关系中获取对应的用户标识;
根据获取的用户标识,从已存储的用户标识与常用IP地址的对应关系中获取对应的常用IP地址;
确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标识;
计算确定出的用户标识的个数与获取的用户标识的个数之间的比值;
如果所述比值大于第二预设阈值,则确定所述待执行的操作为恶意行为。
5.如权利要求4所述的方法,其特征在于,所述如果所述比值大于第二预设阈值,则确定所述待执行的操作为恶意行为之后,还包括:
将所述待执行的操作当前所在的操作路径确定为恶意操作路径,并存储在所述恶意操作路径集合中。
6.如权利要求3所述的方法,其特征在于,所述方法还包括:
如果没有查找到对应的操作次数,则为所述用户标识和所述待执行的操作当前所在的操作路径设置对应的操作次数,并将所述用户标识、所述待执行的操作当前所在的操作路径和设置的操作次数存储在所述用户标识、操作路径和操作次数的对应关系中。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收管理员输入的恶意操作路径,将接收的恶意操作路径存储在所述恶意操作路径集合中。
8.一种检测恶意行为的装置,其特征在于,所述装置包括:
接收模块,用于接收终端待执行的操作的操作请求消息,所述操作请求消息中携带用户的用户标识和待执行的操作的操作标识;
获取模块,用于根据所述用户标识,从已存储的用户标识与操作路径的对应关系中获取对应的操作路径,所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的;
串联模块,用于在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标识,构成所述待执行的操作当前所在的操作路径;
第一判断模块,用于根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为。
9.如权利要求8所述的装置,其特征在于,所述第一判断模块包括:
第一确定单元,用于如果已存储的恶意操作路径集合中存在所述待执行的操作当前所在的操作路径,则确定所述待执行的操作为恶意行为。
10.如权利要求9所述的装置,其特征在于,所述装置还包括:
查找模块,用于如果已存储的恶意操作路径集合中不存在所述待执行的操作当前所在的操作路径,则根据所述用户标识和所述待执行的操作当前所在的操作路径,查找已存储的用户标识、操作路径和操作次数的对应关系;
第二判断模块,用于如果查找到对应的操作次数,则根据查找到的操作次数和所述待执行的操作当前所在的操作路径,判断所述待执行的操作是否为恶意行为。
11.如权利要求10所述的装置,其特征在于,所述第二判断模块包括:
第一获取单元,用于如果查找到的操作次数达到第一预设阈值,则根据所述待执行的操作当前所在的操作路径,从所述用户标识、操作路径和操作次数的对应关系中获取对应的用户标识;
第二获取单元,用于根据获取的用户标识,从已存储的用户标识与常用IP地址的对应关系中获取对应的常用IP地址;
第二确定单元,用于确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标识;
计算单元,用于计算确定出的用户标识的个数与获取的用户标识的个数之间的比值;
第三确定单元,用于如果所述比值大于第二预设阈值,则确定所述待执行的操作为恶意行为。
12.如权利要求11所述的装置,其特征在于,所述第二判断模块还包括:
存储单元,用于将所述待执行的操作当前所在的操作路径确定为恶意操作路径,并存储在所述恶意操作路径集合中。
13.如权利要求10所述的装置,其特征在于,所述装置还包括:
第一存储模块,用于如果没有查找到对应的操作次数,则为所述用户标识和所述待执行的操作当前所在的操作路径设置对应的操作次数,并将所述用户标识、所述待执行的操作当前所在的操作路径和设置的操作次数存储在所述用户标识、操作路径和操作次数的对应关系中。
14.如权利要求8所述的装置,其特征在于,所述装置还包括:
第二存储模块,用于接收管理员输入的恶意操作路径,将接收的恶意操作路径存储在所述恶意操作路径集合中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310394868.XA CN104426881B (zh) | 2013-09-03 | 2013-09-03 | 一种检测恶意行为的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310394868.XA CN104426881B (zh) | 2013-09-03 | 2013-09-03 | 一种检测恶意行为的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104426881A true CN104426881A (zh) | 2015-03-18 |
| CN104426881B CN104426881B (zh) | 2019-06-11 |
Family
ID=52974830
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310394868.XA Active CN104426881B (zh) | 2013-09-03 | 2013-09-03 | 一种检测恶意行为的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104426881B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106156194A (zh) * | 2015-04-21 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种形成用户操作路径的方法及装置 |
| CN106330864A (zh) * | 2016-08-11 | 2017-01-11 | 北京小米移动软件有限公司 | 验证信息的处理方法、装置及系统 |
| CN106991315A (zh) * | 2017-03-02 | 2017-07-28 | 袁精侠 | 手势验证的验证方法及系统 |
| CN107305610A (zh) * | 2016-04-22 | 2017-10-31 | 腾讯科技(深圳)有限公司 | 访问路径处理的方法和装置、自动机识别的方法、装置和系统 |
| CN107608979A (zh) * | 2016-07-08 | 2018-01-19 | 阿里巴巴集团控股有限公司 | 识别用户潜在求助的知识点的方法及装置 |
| CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
| CN112380540A (zh) * | 2020-11-13 | 2021-02-19 | 武汉虹旭信息技术有限责任公司 | Android应用安全检测方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924660A (zh) * | 2009-06-09 | 2010-12-22 | 阿尔卡特朗讯公司 | 检测网络恶意行为的方法和装置 |
| CN102542186A (zh) * | 2010-12-15 | 2012-07-04 | 财团法人资讯工业策进会 | 恶意程序检测装置以及恶意程序检测方法 |
-
2013
- 2013-09-03 CN CN201310394868.XA patent/CN104426881B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924660A (zh) * | 2009-06-09 | 2010-12-22 | 阿尔卡特朗讯公司 | 检测网络恶意行为的方法和装置 |
| CN102542186A (zh) * | 2010-12-15 | 2012-07-04 | 财团法人资讯工业策进会 | 恶意程序检测装置以及恶意程序检测方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106156194A (zh) * | 2015-04-21 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种形成用户操作路径的方法及装置 |
| CN106156194B (zh) * | 2015-04-21 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 一种形成用户操作路径的方法及装置 |
| CN107305610A (zh) * | 2016-04-22 | 2017-10-31 | 腾讯科技(深圳)有限公司 | 访问路径处理的方法和装置、自动机识别的方法、装置和系统 |
| CN107305610B (zh) * | 2016-04-22 | 2020-06-23 | 腾讯科技(深圳)有限公司 | 访问路径处理的方法和装置、自动机识别的方法、装置和系统 |
| CN107608979A (zh) * | 2016-07-08 | 2018-01-19 | 阿里巴巴集团控股有限公司 | 识别用户潜在求助的知识点的方法及装置 |
| CN107608979B (zh) * | 2016-07-08 | 2020-09-22 | 阿里巴巴集团控股有限公司 | 识别用户潜在求助的知识点的方法及装置 |
| CN106330864A (zh) * | 2016-08-11 | 2017-01-11 | 北京小米移动软件有限公司 | 验证信息的处理方法、装置及系统 |
| CN106330864B (zh) * | 2016-08-11 | 2019-11-29 | 北京小米支付技术有限公司 | 验证信息的处理方法、装置及系统 |
| CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
| CN108234400B (zh) * | 2016-12-15 | 2021-01-22 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
| CN106991315A (zh) * | 2017-03-02 | 2017-07-28 | 袁精侠 | 手势验证的验证方法及系统 |
| CN112380540A (zh) * | 2020-11-13 | 2021-02-19 | 武汉虹旭信息技术有限责任公司 | Android应用安全检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104426881B (zh) | 2019-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104426881A (zh) | 一种检测恶意行为的方法及装置 | |
| CN106302434B (zh) | 服务器适配方法、装置和系统 | |
| CN107395683B (zh) | 一种回源路径的选择方法及服务器 | |
| CN109302346B (zh) | 一种传输数据流量的方法和装置 | |
| CN107360184B (zh) | 终端设备认证方法和装置 | |
| US11818228B2 (en) | Establishing user's presence on internal on-premises network over time using network signals | |
| WO2018152919A1 (zh) | 一种路径选取方法及系统、网络加速节点及网络加速系统 | |
| CN102884764B (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN103685583A (zh) | 一种域名解析的方法和系统 | |
| CN101771604B (zh) | 路由探测方法、系统以及中间路由装置 | |
| CN106911681A (zh) | 上网认证方法及装置 | |
| CN113271299B (zh) | 一种登录方法和服务器 | |
| CN115190062A (zh) | 业务处理方法及装置、电子设备和计算机可读存储介质 | |
| CN101599857A (zh) | 检测共享接入主机数目的方法、装置及网络检测系统 | |
| CN112954716A (zh) | 网状网络的入网方法、装置、计算机设备以及存储介质 | |
| RU2008121872A (ru) | Ближайший узел для соединений распределенных служб | |
| CN110380981B (zh) | 一种流量分发方法及设备 | |
| CN111600769A (zh) | 站点检测方法和装置及存储介质 | |
| CN103685318A (zh) | 用于网络安全防护的数据处理方法和装置 | |
| CN111064729A (zh) | 报文的处理方法及装置、存储介质和电子装置 | |
| CN106412144A (zh) | 一种网络访问方法及装置 | |
| CN111385324A (zh) | 一种数据通信方法、装置、设备和存储介质 | |
| CN105163335B (zh) | 一种网络接入管理方法、服务器、移动终端以及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |