CN106529286A - 一种行为检测方法和装置 - Google Patents
一种行为检测方法和装置 Download PDFInfo
- Publication number
- CN106529286A CN106529286A CN201610902069.2A CN201610902069A CN106529286A CN 106529286 A CN106529286 A CN 106529286A CN 201610902069 A CN201610902069 A CN 201610902069A CN 106529286 A CN106529286 A CN 106529286A
- Authority
- CN
- China
- Prior art keywords
- access request
- interface
- access
- predetermined page
- url
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Abstract
本申请公开了一种行为检测方法和装置,所述方法包括步骤:接收应用程序对目标界面的访问请求;根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。本申请公开的实施例可以及时、准确地检测异常访问请求。
Description
技术领域
本申请涉及互联网技术,尤其涉及一种行为检测方法和装置。
背景技术
随着网络技术的日益发展,针对网站漏洞进行攻击的网络安全事件也日益频发。业界通常采用漏洞扫描工具对网站进行检测,发现并解决薄弱环节,防患于未然。然而漏洞扫描如同一把双刃剑,既可以让系统管理员发现网络中的安全漏洞,也可以成为攻击者实施漏洞攻击前获取网站信息的工具。现有技术中,通常在系统出口处部署防护设备,或是系统自带有扫描防护功能,在漏洞检测过程中通过识别疑似攻击的行为来判定扫描行为。例如防护设备发现某一个网络地址一段时间内发送大量包括一些敏感关键字(例如数据库语句、脚本语句,这些语句通常不会出现在正常的访问请求中)的请求,则可以认为是一个扫描行为。但检测到敏感语句时,其实检测已经是攻击者获取到网页的信息之后的动作,信息已经泄露;此外在漏洞扫描过程中还可以通过编码加壳等手段来伪装逃避关键字的检测,绕过防护手段,存在不能及时识别扫描行为的问题。
发明内容
为克服相关技术中的问题,本申请提供一种行为检测方法和装置。
根据本申请实施例的第一方面,提供一种行为检测的方法,所述方法包括步骤:
接收应用程序对目标界面的访问请求;
根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。
根据本申请实施例的第二方面,提供一种行为检测的装置,所述装置包括:
接收模块,被配置为接收应用程序对目标界面的访问请求;
判定模块,被配置为根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。
本申请在保护目标上添加一个或多个对用户不可见但是可以被网站扫描器感知的链接,通过检测链接是否被访问及访问次数确定访问的源目标是否为扫描器,从而能够及时识别扫描行为。
附图说明
图1是本申请根据一示例性实施例示出的一种行为检测方法的部分流程图。
图2a是网站漏洞扫描的结构示意图。
图2b是相关技术中一种检测扫描的防护设备部署方式的结构示意图。
图2c是相关技术中另一种检测扫描的防护设备部署方式的结构示意图。
图2d是本申请根据一示例性实施例示出的一种检测扫描行为的结构示意图。
图2e是本申请根据一示例性实施例示出的另一种检测扫描行为的结构示意图。
图3是本申请根据一示例性实施例示出的一种行为检测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
通常,服务商提供给用户使用的产品,会希望用户将该产品用于预设的用途,而不是另作它用。例如提供网站供用户使用,服务商希望用户通过该网站接收到预设传播的信息或使用到预设提供的服务,而不希望用户通过收集网站的信息攻击网站(比如利用漏洞检测工具进行漏洞扫描时获取信息)。可见,提供一种可以应用在产品上检测产品用户行为类型的方案,保护产品中的信息不被非法获取用作它途,是非常有必要的。
通常,用户访问一个应用程序的正常行为,是对一个应用程序的界面的可见、可操作元素(比如网站中的正常网页)进行的一些访问或操作,而非正常用户则会尝试获取一个目标所包括的可见、可操作元素以外的信息。基于这样的特性,本申请提出了一种通过在不希望被非正常用户获取信息的目标上设置不同类别的可访问元素来区分用户访问行为的方法。接下来对本申进行详细说明。
如图1所示,图1是本申请根据一示例性实施例示出的一种行为检测方法的部分流程图,包括以下步骤S101至102:
在步骤S101中,接收应用程序对目标界面的访问请求。
在步骤S102中,根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。
在本申请中,目标界面可以是网页,预定的页面元素可以是统一资源定位符URL,异常访问请求可以是网页扫描器获取网页中的URL,URL在所述界面中处于不可见状态可以是通过层叠样式将URL设置为在网页不显示。
在本申请中,根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求,可以是通过检测访问请求访问预定的页面元素的次数确定,当该次数超过检测阈值时,则判定访问请求为异常访问请求。因为预定的页面元素被配置于目标页面的至少一个界面中且不可见,在正常的用户访问行为中,由于其对用户层面不可见,所以这些预定的页面元素不会被访问到。当检测到针对预定的页面元素的访问行为时,则证明为不正常用户。通过检测针对不可见预定页面元素的访问次数,可以解决某些访问主体通过特定手段将自己伪装成正常用户进行访问的问题,比如通过编码等手段绕过检测。接下来对本申请在网站漏洞扫描中的应用进行详细说明。
如图2a所示,图2a是相关技术中一种网站漏洞扫描的结构示意图。
一个正常的网站通常由许多不同的页面组成,通常有一个首页作为网站的入口,首页包含其他页面的链接,用户在浏览首页的时候,通过点击页面链接跳转到其他页面上,而其他页面上又有更多的链接,一个网站就是由许多页面组成的,而这些页面又是相互链接在一起的。
从图2a中可知,正常页面0就是首页,首页包含其他页面(正常页面1、正常页面2……)的链接,网站扫描器在扫描一个网站时,首先会以首页作为入口,发送请求,并解析应答内容,将所有链接提取出来,再递归的请求下去,直到所有网站页面被全部抓取下来,这个步骤可以称之为页面爬取阶段。该阶段结束后,网站扫描器会根据网站页面结构一次性进行漏洞检测,这个阶段称之为漏洞检测阶段。搜索引擎使用网页扫描工具来爬取整个网站的结构和跳转链接,来构建搜索排名或网站快照。然而网页扫描可以用来发现网站漏洞进而修补;也可以成为网站攻击者获取发起攻击所需信息的手段。
作为例子,网页扫描器可以是一种网页扫描工具,通过访问网站的首页,获取首页上的所有链接;通过访问这些链接进而获取到下一级页面上的所有链接,如此一层一层的获取整个网站所有的链接,存储到整个网站的结构。网站包括的内容中通常存在一些个人或组织不希望被外界获取到信息或思路,网站的结构设计也可能是一种创新性的设计,这些内容都不希望被外部程序自动获取到。所以需要一种行为检测的方法,来识别对页面的访问行为属于正常用户浏览网页行为还是网页扫描器的扫描行为。
为防止恶意扫描,相关技术在业务系统出口处部署防护设备(如图2b所示)或在业务系统中自带扫描防护功能(如图2c所示),通过识别疑似攻击的行为来识别扫描行为。例如防护设备(或防护模块)发现某一个网络地址在一段时间内有大量包含一些敏感关键字的请求(比如数据库语句、脚本语句,而这些语句通常不会出现在请求中),则认为该行为是一个扫描,进而采取相应措施。然而这种方法可以通过编码等逃逸手段绕过,而且检测切入点比较滞后,当发现扫描行为时很可能已经泄露了许多信息,扫描不及时。本申请通过在网站上添加一个或多个对用户不可见的链接(将此链接称为探针链接,对应的网页称为探针页面),根据扫描器对探针链接的访问判定是否为扫描行为。具体可参考图2d和图2e。
如图2d或2e的所示,是本申请根据一示例性实施例示出的扫描行为检测的结构示意图。其中图2d和图2e示出的只是防护设备的两种部署方式,其检测逻辑可以互为参考,区别是防护模块一个在网络侧,一个在网站业务侧。这里也只是举例这两种防护设备部署方式,在实际应用中还可以有其他的部署方式,本申请对此不作限定。
参考图2d或2e,本申请实施例包括探针链接、探针页面,探针页面感知模块、处理模块、配置模块等。其中探针链接部署在正常页面上,并且指向探针页面;探针页面感知模块可以检测到探针页面被访问的情况,由于探针链接具有用户不可见的特性,因此访问探针链接的必然不是正常用户,然后再根据探针链接被访问的情况分析,比如可以根据被访问次数来确定访问的源目标是否为一个扫描器。其中,
配置模块,可以预先配置针对网站扫描器的处理规则,比如警告或阻断。
探针链接被隐藏在正常页面中,正常用户无法感知,但是网站扫描器可以发现,并且会进一步的访问探针尝试获取更多的信息。
探针感知模块,可以监听到扫描器针对探针页面的访问行为,并对访问的源目标的地址进行统计。
处理模块,可以收集探针感知模块上报的信息,并进行分析,判断访问的源目标是否为一个网站扫描器。最后根据配置模块预先配置的处理规则处理扫描器,比如可以对扫描器的访问行为进行告警,或者是禁止扫描器访问正常页面等。
探针链接可以是页面上的一个链接标签,该标签可以通过CSS(层叠样式表)设置为不显示,链接标签指向的页面就是探针页面,这样用户通过浏览器访问页面的时候就无法发现该链接,但是扫描器在扫描的过程中,会解析整个页面,因此也会发现整个隐藏的链接,并访问探针页面,此时就会被探针感知模块识别。例如,在正常页面中插入一段html代码:
<a href="/detect_scanner.html"style="display:none"></a>
此链接指向的detect_scanner.html就是探针页面,正常用户只会点击肉眼可见的页面链接,而不会看到被隐藏的探针链接。但是由于扫描器是直接解析页面代码来获取链接的,因此扫描器依然能够发现探针页面。由此就达到了用户不可见,扫描器可见并且会尝试访问的目的。
对于处理模块如何分析探针的数据并判断扫描器,可以设定一个探针页面访问阈值,如果一个IP访问探针页面的次数超过阈值,则认为是一个Web扫描器,该阈值可以配置。该阈值的配置可以结合网站的实际情况,例如用于个人用途或小众的网站,本身不希望出现在搜索引擎的排名中或公众视野中,显然对于这样的网站,判断阈值可以设置为较小的数值,这样可以在检测预设行为时立即予以响应;又例如对于媒体网站或综合型的论坛、购物网站,则希望更多的为人所知,出现在搜索引擎搜索结果的前列,对于这样的网站则应根据实际统计到的对作为探测单元的链接的访问频度,设置一个适度的检测阈值,使网站既可以公开一些信息又不会轻易的被获取其他信息。
与上述行为检测方法的实施例相对应,本申请还提供了行为检测装置的实施例。
如图3所示,图3是根据本申请一示例性实施例示出的一种行为检测装置的框图,所述装置包括:
接收模块31,被配置为接收应用程序对目标界面的访问请求;
判定模块32,被配置为根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。
作为一个例子,目标界面可以是网页。
作为一个例子,预定的页面元素可以是统一资源定位符URL。
作为一个例子,异常访问请求可以是网页扫描器获取所述网页中的所述URL。
作为一个例子,URL在所述界面中处于不可见状态,可以是通过层叠样式表将所述URL设置为在所述网页不显示。
在本申请中,判断模块具体用于:当检测到所述访问请求访问预定的页面元素的次数超过检测阈值时,判定所述访问请求为异常访问请求。
作为一个例子,预定的页面元素可以被配置于所述目标界面的首个所述界面中。
以上仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包括在本申请保护的范围之内。
Claims (14)
1.一种行为检测方法,其特征在于,该方法包括步骤:
接收应用程序对目标界面的访问请求;
根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。
2.如权利要求1所述的方法,其特征在于,所述目标界面包括网页。
3.如权利要求2所述的方法,其特征在于,所述预定的页面元素包括统一资源定位符URL。
4.如权利要求3所述的方法,其特征在于,所述异常访问请求包括网页扫描器获取所述网页中的所述URL。
5.如权利要求4所述的方法,其特征在于,所述URL在所述界面中处于不可见状态,包括:
通过层叠样式表将所述URL设置为在所述网页中不显示。
6.如权利要求1所述的方法,其特征在于,所述根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求,包括,
当检测到所述访问请求访问预定的页面元素的次数超过检测阈值时,判定所述访问请求为异常访问请求。
7.如权利要求1所述的方法,其特征在于,所述预定的页面元素被配置于所述目标界面的首个所述界面中。
8.一种行为检测装置,其特征在于,所述装置包括:
接收模块,被配置为接收应用程序对目标界面的访问请求;
判定模块,被配置为根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。
9.如权利要求8所述的装置,其特征在于,所述目标界面包括网页。
10.如权利要求9所述的装置,其特征在于,所述预定的页面元素包括统一资源定位符URL。
11.如权利要求10所述的装置,其特征在于,所述异常访问请求包括网页扫描器获取所述网页中的所述URL。
12.如权利要求11所述的装置,其特征在于,所述URL在所述界面中处于不可见状态,包括:
通过层叠样式表将所述URL设置为在所述网页不显示。
13.如权利要求8所述的装置,其特征在于,所述判断模块具体用于:
当检测到所述访问请求访问预定的页面元素的次数超过检测阈值时,判定所述访问请求为异常访问请求。
14.如权利要求8所述的装置,其特征在于,所述预定的页面元素被配置于所述目标界面的首个所述界面中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610902069.2A CN106529286A (zh) | 2016-10-17 | 2016-10-17 | 一种行为检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610902069.2A CN106529286A (zh) | 2016-10-17 | 2016-10-17 | 一种行为检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106529286A true CN106529286A (zh) | 2017-03-22 |
Family
ID=58332527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610902069.2A Pending CN106529286A (zh) | 2016-10-17 | 2016-10-17 | 一种行为检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106529286A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108256322A (zh) * | 2018-01-26 | 2018-07-06 | 平安科技(深圳)有限公司 | 安全测试方法、装置、计算机设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916972A (zh) * | 2012-11-05 | 2013-02-06 | 杭州迪普科技有限公司 | 一种隐藏web服务器信息的方法及装置 |
| CN103605926A (zh) * | 2013-11-29 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网页篡改的检测方法及装置 |
| US20150356302A1 (en) * | 2013-02-25 | 2015-12-10 | Hewlett-Packard Development Company, L.P. | Presentation of user interface elements based on rules |
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN105975523A (zh) * | 2016-04-28 | 2016-09-28 | 浙江乾冠信息安全研究院有限公司 | 一种基于栈的暗链检测方法 |
-
2016
- 2016-10-17 CN CN201610902069.2A patent/CN106529286A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916972A (zh) * | 2012-11-05 | 2013-02-06 | 杭州迪普科技有限公司 | 一种隐藏web服务器信息的方法及装置 |
| US20150356302A1 (en) * | 2013-02-25 | 2015-12-10 | Hewlett-Packard Development Company, L.P. | Presentation of user interface elements based on rules |
| CN103605926A (zh) * | 2013-11-29 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网页篡改的检测方法及装置 |
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN105975523A (zh) * | 2016-04-28 | 2016-09-28 | 浙江乾冠信息安全研究院有限公司 | 一种基于栈的暗链检测方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108256322A (zh) * | 2018-01-26 | 2018-07-06 | 平安科技(深圳)有限公司 | 安全测试方法、装置、计算机设备和存储介质 |
| CN108256322B (zh) * | 2018-01-26 | 2020-10-27 | 平安科技(深圳)有限公司 | 安全测试方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Dunlop et al. | Goldphish: Using images for content-based phishing analysis | |
| Tan et al. | PhishWHO: Phishing webpage detection via identity keywords extraction and target domain name finder | |
| US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
| WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
| CN107135212A (zh) | 一种基于行为差异的Web环境下的人机识别装置及方法 | |
| WO2020110109A1 (en) | Phishing protection methods and systems | |
| Ramesh et al. | Identification of phishing webpages and its target domains by analyzing the feign relationship | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN107896225A (zh) | 钓鱼网站判定方法、服务器及存储介质 | |
| Ardi et al. | Auntietuna: Personalized content-based phishing detection | |
| Yang et al. | Scalable detection of promotional website defacements in black hat {SEO} campaigns | |
| SatheeshKumar et al. | A lightweight and proactive rule-based incremental construction approach to detect phishing scam | |
| JP6407184B2 (ja) | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム | |
| Fietkau et al. | The elephant in the background: A quantitative approachto empower users against web browser fingerprinting | |
| KR101372906B1 (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
| Shyni et al. | Phishing detection in websites using parse tree validation | |
| Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection | |
| EP3443476B1 (en) | Using web search engines to correct domain names used for social engineering | |
| KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 | |
| Orunsolu et al. | An Anti-Phishing Kit Scheme for Secure Web Transactions. | |
| CN106529286A (zh) | 一种行为检测方法和装置 | |
| KR20090017306A (ko) | 피싱 및 파밍 방지 방법 | |
| Camp et al. | Experimental evaluations of expert and non-expert computer users’ mental models of security risks | |
| JP2007133488A (ja) | 情報発信元検証方法および装置 | |
| Corbetta et al. | Eyes of a human, eyes of a program: Leveraging different views of the web for analysis and detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170322 |