CN105763548A - 基于行为模型对用户登录进行识别的方法、设备和系统 - Google Patents
基于行为模型对用户登录进行识别的方法、设备和系统 Download PDFInfo
- Publication number
- CN105763548A CN105763548A CN201610084028.7A CN201610084028A CN105763548A CN 105763548 A CN105763548 A CN 105763548A CN 201610084028 A CN201610084028 A CN 201610084028A CN 105763548 A CN105763548 A CN 105763548A
- Authority
- CN
- China
- Prior art keywords
- behavior
- user
- logging request
- request
- behavior characteristics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于行为模型对用户登录进行识别的方法和设备,包括:获取用户发送的登录请求,并分析所述登录请求的行为特征;将所述行为特征与预设的行为模型中包含的行为特征进行匹配,所述行为模型中包含不同用户行为对应的行为特征;根据匹配结果,对所述登录请求进行识别。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析用户的登录行为的行为特征实现对该登录行为的识别,加强了对未知网络攻击行为的防御能力,实现对入网用户的识别和分类,有效提升网络防护的能力,提高网络防护的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于行为模型对用户登录进行识别的方法、设备和系统。
背景技术
随着互联网技术的发展,互联网与人们的生产生活越来越紧密。为了保证用户在互联网平台上执行业务的安全性,目前业内一般都采取正向防护的方式,即对于构建的业务系统,采用各种安全防护策略,例如:防火墙ACL(访问控制列表;AccessControlList)准入控制;VPN(虚拟专用网络;VirtualPrivateNetwork)访问;IPSCVE检测;购买WAF防护的SQL注入等。
经研究发现,采用这种正向防护方式存在以下问题:
1、由于现有网络安全攻击大部分发生在应用层,采用正面防护的防护比例为50%,防护能力有限;
2、采用安全防护方式需要设置安全防护策略,而绝大多数的防护策略相对比较简单,无法满足各种各样的网络行为的需要,进而导致安全防护的效果比较差。
综上所述,亟需一种基于行为模型对用户登录进行识别的方法,解决现有技术中安全防护能力有限的问题。
发明内容
有鉴于此,本发明实施例提供了一种基于行为模型对用户登录进行识别的方法、设备和系统,用于解决现有技术中安全防护能力有限的问题。
一种基于行为模型对用户登录进行识别的方法,包括:
获取用户发送的登录请求,并分析所述登录请求的行为特征;
将所述行为特征与预设的行为模型中包含的行为特征进行匹配,其中,所述行为模型中包含不同用户行为对应的行为特征;
根据匹配结果,对所述登录请求进行识别。
一种基于行为模型对用户登录进行识别的设备,包括:
获取单元,用于获取用户发送的登录请求,并分析所述登录请求的行为特征;
匹配单元,用于将所述行为特征与预设的行为模型中包含的行为特征进行匹配,其中,所述行为模型中包含不同用户行为对应的行为特征;
识别单元,用于根据匹配结果,对所述登录请求进行识别。
本发明有益效果如下:
本发明实施例获取用户发送的登录请求,并分析所述登录请求的行为特征;将所述行为特征与预设的行为模型中包含的行为特征进行匹配,所述行为模型中包含不同用户行为对应的行为特征;根据匹配结果,对所述登录请求进行识别。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析用户的登录行为的行为特征实现对该登录行为的识别,加强了对未知网络攻击行为的防御能力,实现对入网用户的识别和分类,有效提升网络防护的能力,提高网络防护的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于行为模型对用户登录进行识别的方法的流程示意图;
图2为本发明实施例提供的一种基于行为模型对用户登录进行识别的设备的结构示意图;
图3为本发明实施例提供的一种基于行为模型对用户登录进行识别的系统的结构示意图。
具体实施方式
为了实现本发明的目的,本发明实施例提供了一种基于行为模型对用户登录进行识别的方法、设备和系统,获取用户发送的登录请求,并分析所述登录请求的行为特征;将所述行为特征与预设的行为模型中包含的行为特征进行匹配,所述行为模型中包含不同用户行为对应的行为特征;根据匹配结果,对所述登录请求进行识别。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析用户的登录行为的行为特征实现对该登录行为的识别,加强了对未知网络攻击行为的防御能力,实现对入网用户的识别和分类,有效提升网络防护的能力,提高网络防护的安全性。
下面结合说明书附图对本发明各个实施例作进一步地详细描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种基于行为模型对用户登录进行识别的方法的流程示意图。所述方法可以如下所示。
步骤101:获取用户发送的登录请求,并分析所述登录请求的行为特征。
在步骤101中,在网络系统中增加业务安全监控平台,该业务监控平台可以采用流量镜像的方式获取用户通过网关设备访问互联网的行为数据,这里的行为数据包含用户发送的登录请求。
在获取到用户发送的登录请求时,启动对该登录请求的行为特征分析。
在对该登录请求的行为特征进行分析时,至少可以分析得到以下一种行为特征:
第一种情形:
获取用户发送的至少一个登录请求,并通过HTTP解码分析,判断在设定时间长度内用户发送的所述至少一个登录请求中是否包含同一个账户信息且登录结果是否为失败;
若确定在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败时,将在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败确定为所述至少一个登录请求的行为特征。
第二种情形:
获取用户发送的包含不同账户信息的登录请求,并通过HTTP解码分析,判断所述登录请求重复发送的次数;
若所述登录请求重复发送的次数大于设定阈值时,将重复发送登录请求的次数大于设定阈值确定为包含不同账户信息的登录请求的行为特征。
第三种情形:
获取用户发送的登录请求,其中,所述登录请求用于请求获取用户信息;
接收服务器发送的针对所述登录请求的返回消息,并通过HTTP解码分析返回的所述返回消息中是否包含用户的账户信息;
若所述返回消息中包含用户的账户信息时,将请求获取用户的账户信息确定为所述登录请求的行为特征。
第四种情形:
获取用户发送的登录请求,其中,所述登录请求用于请求对站点进行扫描;
通过HTTP解码分析所述登录请求对站点的扫描行为以及服务器侧的响应内容;
若分析结果为响应内容属于错误内容时,确定所述登录请求对站点的扫描行为为恶意扫描行为,则将响应内容属于错误内容确定为所述登录请求的行为特征。
步骤102:将所述行为特征与预设的行为模型中包含的行为特征进行匹配。
其中,所述行为模型中包含不同用户行为对应的行为特征。
在步骤102中,将步骤101中分析得到的行为特征与预设的行为模型中包含的行为特征进行匹配,以确定获取到的用户的登录请求所对应的行为模型。
本发明实施例中所记载的预设的行为模型可以通过以下方式建立:
获取不同用户的历史用户行为数据,其中,所述历史用户行为数据中包含用户登录行为数据;
根据所述历史用户行为数据中包含用户登录行为数据,确定所述用户登录行为数据中包含的行为特征;
利用所述行为特征,建立行为模型,其中,不同的所述行为特征对应的所述行为模型不同。
这样得到的行为模型至少包含以下一种行为模型:
1、恶意撞库行为模型,其中,所述恶意撞库行为模型的行为特征为重复发送的次数大于设定阈值。
具体地,所谓库是黑客最常用的窃取个人信息的手法,黑客通过收集网络上已泄露的用户名及密码信息到其他网站尝试批量登录,得到一批可以登录的用户账号及密码,并由此盗取更多的个人信息,业务监控平台安通过HTTP解码和数据模型关联方式,对用户行为数据进行分析以确定是否属于恶意撞库。
2、连续恶意登录行为模型,其中,所述连续恶意登录行为模型的行为特征为在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败。
具体地,通过HTTP解码分析,定位同一账号是否发生连续登录失败的情形。
这里的设定时间长度可以根据实际需要确定,这里不做限定。
3、用户账户信息获取行为模型,其中,所述用户账户信息获取行为模型的行为特征为请求获取用户的账户信息。
这里的账户信息可以包含用户的电话号码信息、银行账户信息、不同登录网站的账户信息等,账户信息也可以理解为对用户来讲敏感性比较高的信息。
4、恶意扫描行为模型,其中,所述恶意扫描行为模型的行为特征为响应内容属于错误内容。
步骤103:根据匹配结果,对所述登录请求进行识别。
在步骤103中,若匹配结果为与预设的行为模型中包含的行为特征相同,则发送报警消息;
若匹配结果为与预设的行为模型中包含的行为特征不相同,则对所述登录请求进行处理。
在本发明的另一个实施例中,所述方法还包括:
获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
根据所述访问数据库行为特征,对访问数据库的行为进行识别。
具体地,分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对用户账户信息的访问;
若确定所述数据访问请求中包含对用户账户信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问用户账户信息。
具体地,分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对订单信息的访问;
若确定所述数据访问请求中包含对订单信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问订单信息。
通过本发明实施例所提供的技术方案,获取用户发送的登录请求,并分析所述登录请求的行为特征;将所述行为特征与预设的行为模型中包含的行为特征进行匹配,所述行为模型中包含不同用户行为对应的行为特征;根据匹配结果,对所述登录请求进行识别。在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析用户的登录行为的行为特征实现对该登录行为的识别,加强了对未知网络攻击行为的防御能力,实现对入网用户的识别和分类,有效提升网络防护的能力,提高网络防护的安全性。
图2为本发明实施例提供的一种基于行为模型对用户登录进行识别的设备的结构示意图。所述设备包括:获取单元21、匹配单元22和识别单元23,其中:
获取单元21,用于获取用户发送的登录请求,并分析所述登录请求的行为特征;
匹配单元22,用于将所述行为特征与预设的行为模型中包含的行为特征进行匹配,其中,所述行为模型中包含不同用户行为对应的行为特征;
识别单元23,用于根据匹配结果,对所述登录请求进行识别。
在本发明的另一实施例中,所述获取单元21获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的至少一个登录请求,并通过HTTP解码分析,判断在设定时间长度内用户发送的所述至少一个登录请求中是否包含同一个账户信息且登录结果是否为失败;
若确定在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败时,将在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败确定为所述至少一个登录请求的行为特征。
在本发明的另一实施例中,所述获取单元21获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的包含不同账户信息的登录请求,并通过HTTP解码分析,判断所述登录请求重复发送的次数;
若所述登录请求重复发送的次数大于设定阈值时,将重复发送登录请求的次数大于设定阈值确定为包含不同账户信息的登录请求的行为特征。
在本发明的另一实施例中,所述获取单元21获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的登录请求,其中,所述登录请求用于请求获取用户信息;
接收服务器发送的针对所述登录请求的返回消息,并通过HTTP解码分析返回的所述返回消息中是否包含用户的账户信息;
若所述返回消息中包含用户的账户信息时,将请求获取用户的账户信息确定为所述登录请求的行为特征。
在本发明的另一实施例中,所述获取单元21获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的登录请求,其中,所述登录请求用于请求对站点进行扫描;
通过HTTP解码分析所述登录请求对站点的扫描行为以及服务器侧的响应内容;
若分析结果为响应内容属于错误内容时,确定所述登录请求对站点的扫描行为为恶意扫描行为,则将响应内容属于错误内容确定为所述登录请求的行为特征。
在本发明的另一实施例中,所述设备包括:建立单元24,其中:
所述建立单元通过以下方式建立行为模型:
获取不同用户的历史用户行为数据,其中,所述历史用户行为数据中包含用户登录行为数据;
根据所述历史用户行为数据中包含用户登录行为数据,确定所述用户登录行为数据中包含的行为特征;
利用所述行为特征,建立行为模型,其中,不同的所述行为特征对应的所述行为模型不同。
在本发明的另一实施例中,所述行为模型至少包含以下一种行为模型:
恶意撞库行为模型,其中,所述恶意撞库行为模型的行为特征为重复发送的次数大于设定阈值;
连续恶意登录行为模型,其中,所述连续恶意登录行为模型的行为特征为在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败;
用户账户信息获取行为模型,其中,所述用户账户信息获取行为模型的行为特征为请求获取用户的账户信息;
恶意扫描行为模型,其中,所述恶意扫描行为模型的行为特征为响应内容属于错误内容。
在本发明的另一实施例中,所述识别单元23根据匹配结果,对所述登录请求进行识别,包括:
若匹配结果为与预设的行为模型中包含的行为特征相同,则发送报警消息;
若匹配结果为与预设的行为模型中包含的行为特征不相同,则对所述登录请求进行处理。
在本发明的另一实施例中,所述设备还包括:数据库行为分析单元25,其中:
所述数据库行为分析单元25,用于获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
根据所述访问数据库行为特征,对访问数据库的行为进行识别。
在本发明的另一实施例中,所述数据库行为分析单元25分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对用户账户信息的访问;
若确定所述数据访问请求中包含对用户账户信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问用户账户信息。
在本发明的另一实施例中,所述数据库行为分析单元25分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对订单信息的访问;
若确定所述数据访问请求中包含对订单信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问订单信息。
需要说明的是,本发明实施例提供的识别设备可以通过软件方式实现,也可以通过硬件方式实现,这里不做具体限定。本发明实施例提供的识别设备在现有正向防护的基础之上,提出基于行为模型的安全防护方法,通过分析用户的登录行为的行为特征实现对该登录行为的识别,加强了对未知网络攻击行为的防御能力,实现对入网用户的识别和分类,有效提升网络防护的能力,提高网络防护的安全性。
图3为本发明实施例中提供的一种基于行为模型对用户登录进行识别的系统的结构示意图。该系统包含业务监控平台。
该业务监控平台具备两个能力:
第一个能力:
获取用户发送的登录请求,并分析所述登录请求的行为特征;
将所述行为特征与预设的行为模型中包含的行为特征进行匹配,其中,所述行为模型中包含不同用户行为对应的行为特征;
根据匹配结果,对所述登录请求进行识别。
第二个能力:
获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
根据所述访问数据库行为特征,对访问数据库的行为进行识别。
本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种基于行为模型对用户登录进行识别的方法,其特征在于,包括:
获取用户发送的登录请求,并分析所述登录请求的行为特征;
将所述行为特征与预设的行为模型中包含的行为特征进行匹配,其中,所述行为模型中包含不同用户行为对应的行为特征;
根据匹配结果,对所述登录请求进行识别。
2.如权利要求1所述的方法,其特征在于,获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的至少一个登录请求,并通过HTTP解码分析,判断在设定时间长度内用户发送的所述至少一个登录请求中是否包含同一个账户信息且登录结果是否为失败;
若确定在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败时,将在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败确定为所述至少一个登录请求的行为特征。
3.如权利要求1所述的方法,其特征在于,获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的包含不同账户信息的登录请求,并通过HTTP解码分析,判断所述登录请求重复发送的次数;
若所述登录请求重复发送的次数大于设定阈值时,将重复发送登录请求的次数大于设定阈值确定为包含不同账户信息的登录请求的行为特征。
4.如权利要求1所述的方法,其特征在于,获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的登录请求,其中,所述登录请求用于请求获取用户信息;
接收服务器发送的针对所述登录请求的返回消息,并通过HTTP解码分析返回的所述返回消息中是否包含用户的账户信息;
若所述返回消息中包含用户的账户信息时,将请求获取用户的账户信息确定为所述登录请求的行为特征。
5.如权利要求1所述的方法,其特征在于,获取用户发送的登录请求,并分析所述登录请求的行为特征,包括:
获取用户发送的登录请求,其中,所述登录请求用于请求对站点进行扫描;
通过HTTP解码分析所述登录请求对站点的扫描行为以及服务器侧的响应内容;
若分析结果为响应内容属于错误内容时,确定所述登录请求对站点的扫描行为为恶意扫描行为,则将响应内容属于错误内容确定为所述登录请求的行为特征。
6.如权利要求1所述的方法,其特征在于,通过以下方式建立行为模型:
获取不同用户的历史用户行为数据,其中,所述历史用户行为数据中包含用户登录行为数据;
根据所述历史用户行为数据中包含用户登录行为数据,确定所述用户登录行为数据中包含的行为特征;
利用所述行为特征,建立行为模型,其中,不同的所述行为特征对应的所述行为模型不同。
7.如权利要求6所述的方法,其特征在于,所述行为模型至少包含以下一种行为模型:
恶意撞库行为模型,其中,所述恶意撞库行为模型的行为特征为重复发送的次数大于设定阈值;
连续恶意登录行为模型,其中,所述连续恶意登录行为模型的行为特征为在设定时间长度内用户发送的所述至少一个登录请求中是包含同一个账户信息且登录结果为失败;
用户账户信息获取行为模型,其中,所述用户账户信息获取行为模型的行为特征为请求获取用户的账户信息;
恶意扫描行为模型,其中,所述恶意扫描行为模型的行为特征为响应内容属于错误内容。
8.如权利要求1至7任一项所述的方法,其特征在于,根据匹配结果,对所述登录请求进行识别,包括:
若匹配结果为与预设的行为模型中包含的行为特征相同,则发送报警消息;
若匹配结果为与预设的行为模型中包含的行为特征不相同,则对所述登录请求进行处理。
9.如权利要求1所述的方法,其特征在于,所述方法还包括:
获取用户发送的数据库访问请求,并分析所述数据库访问请求的访问数据库行为特征;
将所述访问数据库行为特征与预设的访问数据库行为模型中包含的行为特征进行匹配,其中,所述访问数据库行为模型中包含不同用户访问数据库行为对应的行为特征;
根据所述访问数据库行为特征,对访问数据库的行为进行识别。
10.如权利要求9所述的方法,其特征在于,分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对用户账户信息的访问;
若确定所述数据访问请求中包含对用户账户信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问用户账户信息。
11.如权利要求9所述的方法,其特征在于,分析所述数据库访问请求的访问数据库行为特征,包括:
通过SQL解码分析,确定所述数据访问请求中是否包含对订单信息的访问;
若确定所述数据访问请求中包含对订单信息的访问时,则确定所述数据库访问请求的访问数据库行为特征为访问订单信息。
12.一种基于行为模型对用户登录进行识别的设备,其特征在于,包括:
获取单元,用于获取用户发送的登录请求,并分析所述登录请求的行为特征;
匹配单元,用于将所述行为特征与预设的行为模型中包含的行为特征进行匹配,其中,所述行为模型中包含不同用户行为对应的行为特征;
识别单元,用于根据匹配结果,对所述登录请求进行识别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610084028.7A CN105763548A (zh) | 2016-02-06 | 2016-02-06 | 基于行为模型对用户登录进行识别的方法、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610084028.7A CN105763548A (zh) | 2016-02-06 | 2016-02-06 | 基于行为模型对用户登录进行识别的方法、设备和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105763548A true CN105763548A (zh) | 2016-07-13 |
Family
ID=56330079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610084028.7A Pending CN105763548A (zh) | 2016-02-06 | 2016-02-06 | 基于行为模型对用户登录进行识别的方法、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105763548A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
| CN106779126A (zh) * | 2016-12-30 | 2017-05-31 | 中国民航信息网络股份有限公司 | 恶意占座订单的处理方法和系统 |
| CN106850632A (zh) * | 2017-02-10 | 2017-06-13 | 北京奇艺世纪科技有限公司 | 一种异常组合数据的检测方法及装置 |
| CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
| CN107563197A (zh) * | 2017-08-30 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种针对数据库层的拖库撞库攻击防御方法 |
| CN107786528A (zh) * | 2016-08-31 | 2018-03-09 | 阿里巴巴集团控股有限公司 | 应用的登录方法及装置、通信系统 |
| CN107871279A (zh) * | 2017-09-30 | 2018-04-03 | 上海壹账通金融科技有限公司 | 用户身份验证方法及应用服务器 |
| CN108512827A (zh) * | 2018-02-09 | 2018-09-07 | 世纪龙信息网络有限责任公司 | 异常登录的识别和监督学习模型的建立方法、装置 |
| CN113542227A (zh) * | 2021-06-18 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 账号安全防护方法、装置、电子装置和存储介质 |
| CN114640546A (zh) * | 2022-05-10 | 2022-06-17 | 北京微步在线科技有限公司 | 一种登录行为检测的方法、装置、存储设备及电子设备 |
| CN116582373A (zh) * | 2023-07-14 | 2023-08-11 | 北京辰尧科技有限公司 | 一种用户访问控制方法、系统及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312540B1 (en) * | 2008-06-13 | 2012-11-13 | Juniper Networks, Inc. | System for slowing password attacks |
| CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
| CN104361035A (zh) * | 2014-10-27 | 2015-02-18 | 深信服网络科技(深圳)有限公司 | 检测数据库篡改行为的方法及装置 |
| CN104378255A (zh) * | 2014-10-29 | 2015-02-25 | 深信服网络科技(深圳)有限公司 | web恶意用户的检测方法及装置 |
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN105262760A (zh) * | 2015-10-30 | 2016-01-20 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
-
2016
- 2016-02-06 CN CN201610084028.7A patent/CN105763548A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312540B1 (en) * | 2008-06-13 | 2012-11-13 | Juniper Networks, Inc. | System for slowing password attacks |
| CN103281341A (zh) * | 2013-06-27 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 网络事件处理方法及装置 |
| CN104361035A (zh) * | 2014-10-27 | 2015-02-18 | 深信服网络科技(深圳)有限公司 | 检测数据库篡改行为的方法及装置 |
| CN104378255A (zh) * | 2014-10-29 | 2015-02-25 | 深信服网络科技(深圳)有限公司 | web恶意用户的检测方法及装置 |
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN105262760A (zh) * | 2015-10-30 | 2016-01-20 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 杨坚争: "《电子商务基础与应用》", 28 February 2015 * |
| 贾铁军: "《高等院校规划教材 网络安全技术及应用 第2版》", 30 September 2014 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
| CN107786528A (zh) * | 2016-08-31 | 2018-03-09 | 阿里巴巴集团控股有限公司 | 应用的登录方法及装置、通信系统 |
| CN106779126A (zh) * | 2016-12-30 | 2017-05-31 | 中国民航信息网络股份有限公司 | 恶意占座订单的处理方法和系统 |
| CN106850632B (zh) * | 2017-02-10 | 2020-09-29 | 北京奇艺世纪科技有限公司 | 一种异常组合数据的检测方法及装置 |
| CN106850632A (zh) * | 2017-02-10 | 2017-06-13 | 北京奇艺世纪科技有限公司 | 一种异常组合数据的检测方法及装置 |
| CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
| CN107563197A (zh) * | 2017-08-30 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种针对数据库层的拖库撞库攻击防御方法 |
| CN107871279A (zh) * | 2017-09-30 | 2018-04-03 | 上海壹账通金融科技有限公司 | 用户身份验证方法及应用服务器 |
| CN108512827A (zh) * | 2018-02-09 | 2018-09-07 | 世纪龙信息网络有限责任公司 | 异常登录的识别和监督学习模型的建立方法、装置 |
| CN108512827B (zh) * | 2018-02-09 | 2021-09-21 | 世纪龙信息网络有限责任公司 | 异常登录的识别和监督学习模型的建立方法、装置,设备和存储介质 |
| CN113542227A (zh) * | 2021-06-18 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 账号安全防护方法、装置、电子装置和存储介质 |
| CN114640546A (zh) * | 2022-05-10 | 2022-06-17 | 北京微步在线科技有限公司 | 一种登录行为检测的方法、装置、存储设备及电子设备 |
| CN114640546B (zh) * | 2022-05-10 | 2022-10-11 | 北京微步在线科技有限公司 | 一种登录行为检测的方法、装置、存储设备及电子设备 |
| CN116582373A (zh) * | 2023-07-14 | 2023-08-11 | 北京辰尧科技有限公司 | 一种用户访问控制方法、系统及电子设备 |
| CN116582373B (zh) * | 2023-07-14 | 2023-09-22 | 北京辰尧科技有限公司 | 一种用户访问控制方法、系统及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105763548A (zh) | 基于行为模型对用户登录进行识别的方法、设备和系统 | |
| CN105516211A (zh) | 基于行为模型对访问数据库行为进行识别的方法、设备和系统 | |
| CN108282440B (zh) | 一种安全检测方法、安全检测装置及服务器 | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| JP6432210B2 (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
| CN103593609B (zh) | 一种可信行为识别的方法和装置 | |
| US9667613B1 (en) | Detecting mobile device emulation | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| US20210234877A1 (en) | Proactively protecting service endpoints based on deep learning of user location and access patterns | |
| CN103248472A (zh) | 一种处理操作请求的方法、系统以及攻击识别装置 | |
| CN105005720A (zh) | 计算机安全控制系统 | |
| CN110650142A (zh) | 访问请求处理方法、装置、系统、存储介质和计算机设备 | |
| US20210006592A1 (en) | Phishing Detection based on Interaction with End User | |
| CN109753796B (zh) | 一种大数据计算机网络安全防护装置及使用方法 | |
| CN107426196A (zh) | 一种识别web入侵的方法及系统 | |
| TW201928750A (zh) | 比對伺服器、比對方法及電腦程式 | |
| CN117150459A (zh) | 零信任用户身份安全检测方法和系统 | |
| CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN112272176A (zh) | 一种基于大数据平台的网络安全防护方法及系统 | |
| CN108282443B (zh) | 一种爬虫行为识别方法和装置 | |
| JP6506384B2 (ja) | サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム | |
| CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
| CN107888576B (zh) | 一种利用大数据与设备指纹的防撞库安全风险控制方法 | |
| CN111723364A (zh) | 撞库检测方法、装置、计算机设备和存储介质 | |
| CN112702349B (zh) | 一种网络攻击防御方法、装置及电子招标投标交易平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160713 |