CN106789837B - 网络异常行为检测方法及检测装置 - Google Patents
网络异常行为检测方法及检测装置 Download PDFInfo
- Publication number
- CN106789837B CN106789837B CN201510811887.7A CN201510811887A CN106789837B CN 106789837 B CN106789837 B CN 106789837B CN 201510811887 A CN201510811887 A CN 201510811887A CN 106789837 B CN106789837 B CN 106789837B
- Authority
- CN
- China
- Prior art keywords
- network operation
- operation behavior
- network
- behavior sequence
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种网络异常行为检测方法及检测装置,其包括获取客户端的网络操作行为,并将网络操作行为以及与网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合;根据网络操作行为序列数据库以及网络操作行为组合,获取与网络操作行为相关的网络操作行为序列;根据网络操作行为序列的执行数量的当前周期变化情况和网络操作行为序列的执行数量的预设周期变化情况,判断网络操作行为序列是否为异常网络操作行为序列;以及如网络操作行为序列为异常网络操作行为序列,则拒绝执行网络操作行为;如网络操作行为序列为正常网络操作行为序列,则执行网络操作行为。本发明的检测准确性高,且可较好的避免错检或漏检。
Description
技术领域
本发明涉及互联网领域,特别是涉及一种网络异常行为检测方法及检测装置。
背景技术
随着网络技术的发展,越来越多的用户通过互联网进行各种各样的社交活动,如网络聊天、网络游戏、广告发布以及互联网金融平台投资等。由于部分用户的进行上述网络社交活动使用的网络账号的密码可能比较简单,导致网络黑客会使用IP(InternetProtocol Address,网络协议地址)聚集,即某个或某段IP上有大量网络账号的行为等方式进行网络账号的密码检测,从而影响了用户的网络账号的安全性。或网络黑客直接使用盗取的网络账号进行网络消费,从而盗取用户的财产。
为了打击上述恶意行为,网络平台的维护人员也会采用IP聚集等方式进行恶意行为检测,如某个或某段IP上出现大量的恶意检测行为或恶意操作行为,则可禁止相应IP或IP段的网络账号进行登录操作。
但是如网络黑客采用网络代理IP,则有可能绕过上述恶意行为检测。同时对整段IP进行禁止登录操作,可能会影响正常用户的网络体验。故现有的网络异常行为检测方法的检测准确性较差。
发明内容
本发明实施例提供一种网络异常行为检测的准确性较高的网络异常行为检测方法及检测装置;以解决现有的网络异常行为检测方法及检测装置的网络异常行为检测的准确度较低的技术问题。
本发明实施例提供一种网络异常行为检测方法,其包括:
获取客户端的网络操作行为,并将所述网络操作行为以及与所述网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合;
根据网络操作行为序列数据库以及所述网络操作行为组合,获取与所述网络操作行为相关的网络操作行为序列;其中所述网络操作行为序列数据库包括用于进行网络异常行为检测的多个网络操作行为序列,所述网络操作行为序列包括多个依次执行的网络操作行为;
根据所述网络操作行为序列的执行数量的当前周期变化情况和所述网络操作行为序列的执行数量的预设周期变化情况,判断所述网络操作行为序列是否为异常网络操作行为序列;以及
如所述网络操作行为序列为所述异常网络操作行为序列,则拒绝执行所述网络操作行为;如所述网络操作行为序列为正常网络操作行为序列,则执行所述网络操作行为。
本发明实施例还提供一种网络异常行为检测装置,其包括:
网络操作行为组合形成模块,用于获取客户端的网络操作行为,并将所述网络操作行为以及与所述网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合;
网络操作行为序列获取模块,用于根据网络操作行为序列数据库以及所述网络操作行为组合,获取与所述网络操作行为相关的网络操作行为序列;其中所述网络操作行为序列数据库包括用于进行网络异常行为检测的多个网络操作行为序列,所述网络操作行为序列包括多个依次执行的网络操作行为;
判断模块,用于根据所述网络操作行为序列的执行数量的当前周期变化情况和所述网络操作行为序列的执行数量的预设周期变化情况,判断所述网络操作行为序列是否为异常网络操作行为序列;以及
第一执行模块,用于如所述网络操作行为序列为所述异常网络操作行为序列,则拒绝执行所述网络操作行为;如所述网络操作行为序列为正常网络操作行为序列,则执行所述网络操作行为。
相较于现有技术的网络异常行为检测方法及检测装置,本发明的网络异常行为检测方法及检测装置通过网络操作行为序列的执行数量的周期性变化对网络异常操作行为进行检测,检测的准确性高,且可较好的避免错检或漏检;解决了现有的网络异常行为检测方法及检测装置的网络异常行为检测的准确度较低的技术问题。
附图说明
图1为本发明的网络异常行为检测方法的第一优选实施例的流程图;
图2为本发明的网络异常行为检测方法的第二优选实施例的流程图;
图3为本发明的网络异常行为检测方法的第二优选实施例的步骤S207的流程图;
图4为本发明的网络异常行为检测装置的第一优选实施例的结构示意图;
图5为本发明的网络异常行为检测装置的第二优选实施例的结构示意图;
图6为本发明的网络异常行为检测装置的第二优选实施例的网络操作行为序列获取模块的结构示意图;
图7为本发明的网络异常行为检测装置的第二优选实施例的判断模块的结构示意图;
图8A至图8C为本发明的网络异常行为检测方法及网络异常行为检测装置的具体实施例的示意图;
图9为本发明的网络异常行为检测装置所在的电子设备的工作环境结构示意图。
具体实施方式
请参照图式,其中相同的组件符号代表相同的组件,本发明的原理是以实施在一适当的运算环境中来举例说明。以下的说明是基于所例示的本发明具体实施例,其不应被视为限制本发明未在此详述的其它具体实施例。
在以下的说明中,本发明的具体实施例将参考由一部或多部计算机所执行之作业的步骤及符号来说明,除非另有述明。因此,其将可了解到这些步骤及操作,其中有数次提到为由计算机执行,包括了由代表了以一结构化型式中的数据之电子信号的计算机处理单元所操纵。此操纵转换该数据或将其维持在该计算机之内存系统中的位置处,其可重新配置或另外以本领域技术人员所熟知的方式来改变该计算机之运作。该数据所维持的数据结构为该内存之实体位置,其具有由该数据格式所定义的特定特性。但是,本发明原理以上述文字来说明,其并不代表为一种限制,本领域技术人员将可了解到以下所述的多种步骤及操作亦可实施在硬件当中。
本发明的网络异常行为检测装置可使用各种电子设备进行实施,该电子设备包括但不限于个人计算机、服务器计算机、手持式或膝上型设备、移动设备(比如移动电话、个人数字助理(PDA)、媒体播放器等等)、多处理器系统、消费型电子设备、小型计算机、大型计算机、包括上述任意系统或设备的分布式计算环境,等等。但该电子设备优选为用于检测客户端的网络行为的网络行为检测服务器,以便提高网络行为检测服务器的网络异常行为检测的准确性。
请参照图1,图1为本发明的网络异常行为检测方法的第一优选实施例的流程图。本优选实施例的网络异常行为检测方法可使用上述的电子设备进行实施,该网络异常行为检测方法包括:
步骤S101,获取客户端的网络操作行为,并将网络操作行为以及网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合;
步骤S102,根据网络操作行为序列数据库以及网络操作行为组合,获取与网络操作行为相关的网络操作行为序列;
步骤S103,根据网络操作行为序列的执行数量的当前周期变化情况和网络操作行为序列的执行数量的预设周期变化情况,判断网络操作行为序列是否为异常网络操作行为序列;
步骤S104,如网络操作行为序列为异常网络操作行为序列,则拒绝执行网络操作行为;如网络操作行为序列为正常网络操作行为序列,则执行网络操作行为。
下面详细说明本优选实施例的网络异常行为检测方法的各步骤的具体流程。
在步骤S101中,网络异常行为检测装置获取客户端的网络操作行为,并将网络操作行为以及网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合。
这里的网络操作行为可为账号登录、网络消息发送、业务查询以及业务购买等网络平台上的操作行为。网络操作行为组合中的网络操作行为相关的前期网络操作行为为预先设定的执行该网络操作行为需要事先执行的网络操作行为,如用户要进行业务购买的网络操作行为,需要进行账号登录的前期网络操作行为。
由于对单一的网络操作行为是无法进行网络异常行为判断的,因为正常的用户也会进行各种的网络操作行为,因此这里需要将多个依次执行的网络操作行为进行组合,通过分析网络操作行为组合的不合理性,对异常的网络操作行为进行判断。这样将客户端的网络操作行为以及对应的前期操作行为进行组合或合并,形成网络操作行为组合。随后转到步骤S102。
在步骤S102中,网络异常行为检测装置根据预设的网络操作行为序列数据库以及步骤S101获取的网络操作行为组合,获取与网络操作行为相关的网络操作行为序列。其中网络操作行为序列数据库包括用于进行网络异常行为检测的多个网络操作行为序列,该网络操作行为序列包括多个依次执行的网络操作行为。
网络操作行为序列数据库中存储的是具有较为简洁的多个网络操作行为的网络操作行为序列。而步骤S101获取的网络操作行为组合中可能具有多余的网络操作行为。因此网络操作行为组合中只要包括网络操作行为序列中的多个网络操作行为即可,网络操作行为组合中的网络操作行为和前期网络操作行为,并非需要与网络操作行为序列中的多个网络操作行为完全相同。获取与网络操作行为相关的网络操作行为序列后转到步骤S103。
在步骤S103中,网络异常行为检测装置获取步骤S102获取的网络操作行为序列的执行数量的当前周期变化情况和网络操作行为序列的执行数量的预设周期变化情况。
这里的网络操作行为序列的执行数量的当前周期变化情况,是指该网络操作行为序列的执行数量,在当前设定周期的变化率或变化曲线。这里可以小时为单元,统计每天24小时中该网络操作行为序列的执行数量。这样网络操作行为序列的执行数量,在当前设定周期的变化率可为网络操作行为序列的执行数量,在今天每小时的变化率。
同样网络操作行为序列的执行数量的预设周期变化情况,是指该网络操作行为序列的执行数量,在历史设定周期的变化率或变化曲线。这里可以小时为单元,统计每天24小时中该网络操作行为序列的执行数量。这样网络操作行为序列的执行数量,在历史设定周期的变化率可为网络操作行为序列的执行数量,在昨天每小时的变化率,或网络操作行为序列的执行数量,在前几天每小时的变化率的平均数。
如当前周期变化情况与预设周期变化情况的差异较大,一般为当前网络操作行为序列的执行数量的变化率远大于或远小于对应的历史网络操作行为序列的执行数量的变化率,则意味着当前该网络操作行为序列正被恶意执行,这时网络异常行为检测装置确定该网络操作行为序列为异常网络操作行为序列。
如当前周期变化情况与预设周期变化情况相同或差异较小,一般为当前网络操作行为序列的执行数量的变化率大致等于对应的历史网络操作行为序列的执行数量的变化率,则意味着当前该网络操作行为序列为用户的正常网络操作,这时网络异常行为检测装置确定该网络操作行为序列为正常网络操作行为序列。随后转到步骤S104。
在步骤S104中,如步骤S103中判断网络操作行为序列为异常网络操作行为序列,则网络异常行为检测装置拒绝执行步骤S101获取的网络操作行为。如步骤S103中判断网络操作行为序列为正常网络操作行为序列,则网络异常行为检测装置执行步骤S101获取的网络操作行为。
这样即完成了本优选实施例的网络异常行为检测方法的网络操作行为的异常检测以及执行。
本优选实施例的网络异常行为检测方法通过网络操作行为序列的执行数量的周期性变化对网络异常操作行为进行检测,检测的准确性高,且可较好的避免错检或漏检。
请参照图2,图2为本发明的网络异常行为检测方法的第二优选实施例的流程图。本优选实施例的网络异常行为检测方法可使用上述的电子设备进行实施,该网络异常行为检测方法包括:
步骤S201,设定多个网络操作行为的网络操作参数;
步骤S202,按网络异常行为检测的预设条件,对多个网络操作行为中的至少两个进行组合,以形成多个网络操作行为序列;
步骤S203,对多个网络操作行为序列进行存储,以形成网络操作行为序列数据库;
步骤S204,获取客户端的网络操作行为,并将网络操作行为以及网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合;
步骤S205,根据网络操作行为序列数据库以及网络操作行为组合,获取与网络操作行为相关的网络操作行为序列;
步骤S206,根据网络操作行为序列的执行数量的当前周期变化情况和网络操作行为序列的执行数量的预设周期变化情况,判断网络操作行为序列是否为异常网络操作行为序列;
步骤S207,如网络操作行为序列为异常网络操作行为序列,则拒绝执行网络操作行为;如网络操作行为序列为正常网络操作行为序列,则执行网络操作行为。
下面详细说明本优选实施例的网络异常行为检测方法的各步骤的具体流程。
在步骤S201中,网络异常行为检测装置获取网络行为检测服务器的维护人员设定的多个网络操作行为的网络操作参数。这里的网络操作行为可为账号登录、业务查询以及业务购买等网络平台上的操作行为。
网络操作行为的网络操作参数包括网络操作行为的操作内容、网络操作行为的执行时间以及网络操作行为的执行区域等参数。同一账号在用户的常用区域登录和在用户不常用区域登录,是完全不同的网络操作行为,这时需要将其分为可作为网络异常行为检测的依据的两个网络操作行为。随后转到步骤S202。
在步骤S202中,网络异常行为检测装置按网络异常行为检测的预设条件,对步骤S201中获取的多个网络操作行为中的至少两个进行组合,以形成多个网络操作行为序列。
网络行为检测服务器的维护人员根据网络异常行为检测的预设条件,如平常的网络异常行为检测的经验,来设定网络操作行为序列。如某个账号在用户不常用区域登录后,立即为他人进行了大额度的业务购买操作,即由用户异地登录操作以及代替业务购买操作来组成网络操作行为序列。当然这里网络行为检测服务器的维护人员可以尽可能把经常遇到的可能会导致网络异常行为的设定到相应的网络操作行为序列中,以便后续进行网络异常行为的检测。随后转到步骤S203。
优选的,网络异常行为检测装置按恶意网络行为检测的预设条件,对步骤S201中获取的多个网络操作行为中的至少两个进行组合,以形成多个恶意网络操作行为序列。
网络行为检测服务器的维护人员根据恶意网络行为检测的预设条件,如平常的恶意网络行为检测的经验,来设定恶意网络操作行为序列。如针对某个账号,多次使用不同密码进行登录操作,即由多次登录操作来组成网络操作行为序列。当然这里网络行为检测服务器的维护人员可以尽可能把经常遇到的恶意网络行为到相应的网络操作行为序列中,以便进行恶意网络行为的检测。随后转到步骤S203。
在步骤S203中,网络异常行为检测装置对步骤S202获取的多个网络操作行为序列以及多个恶意网络操作行为序列进行存储,以形成相应的网络操作行为序列数据库。随后转到步骤S205。
在步骤S204中,网络异常行为检测装置获取客户端的网络操作行为,并将网络操作行为以及网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合。
首先网络异常行为检测装置获取客户端的网络操作行为,随后根据该网络操作行为的网络操作参数,获取与该网络操作行为相关、发生在网络操作行为之前的前期网络操作行为。网络操作行为组合中的网络操作行为相关的前期网络操作行为是预先设定的执行该网络操作行为需要事先执行的网络操作行为,如用户要进行业务购买的网络操作行为,需要进行账号登录的前期网络操作行为。
由于对单一的网络操作行为是无法进行网络异常行为判断的,因为正常的用户也会进行各种的网络操作行为,因此这里需要将多个依次执行的网络操作行为进行组合,通过分析网络操作行为组合的不合理性,对异常的网络操作行为进行判断。这样将客户端的网络操作行为以及对应的前期操作行为进行组合或合并,形成网络操作行为组合。随后转到步骤S205。
在步骤S205中,网络异常行为检测装置根据步骤S203形成的网络操作行为序列数据库以及步骤S204获取的网络操作行为组合,获取与网络操作行为相关的网络操作行为序列。其中网络操作行为序列数据库包括用于进行网络异常行为检测的多个网络操作行为序列,该网络操作行为序列包括多个依次执行的网络操作行为。
网络操作行为序列数据库中存储的是具有较为简洁的多个网络操作行为的网络操作行为序列。而步骤S204获取的网络操作行为组合中可能具有多余的网络操作行为。因此网络操作行为组合中只要包括网络操作行为序列中的多个网络操作行为即可,网络操作行为组合中的网络操作行为和前期网络操作行为,并非需要与网络操作行为序列中的多个网络操作行为完全相同。
具体的,如网络操作行为组合中的网络操作行为以及前期网络操作行为,包含了网络操作行为序列数据库中的一网络操作行为序列中的所有网络操作行为,则网络异常行为检测装置将网络操作行为序列数据库中的网络操作行为序列,作为与网络操作行为相关的网络操作行为序列。
如网络操作行为组合中的网络操作行为以及前期网络操作行为,未包含网络操作行为序列数据库中的任一网络操作行为序列中的所有网络操作行为,则该网络操作行为组合对应的一系列的网络操作行为均为正常网络操作行为,网络异常行为检测装置执行网络操作行为组合中的网络操作行为。
优选的,由于网络操作行为序列数据库中还包括恶意网路操作行为序列,因此如网络操作行为组合中的网络操作行为以及前期网络操作行为,包含网络操作行为序列数据库中的一恶意网络操作行为序列中的所有网络操作行为,则网络异常行为检测装置直接拒绝执行网络操作行为。随后转到步骤S206。
在步骤S206中,网络异常行为检测装置根据步骤S205中获取的网络操作行为序列的执行数量的当前周期变化情况和网络操作行为序列的执行数量的预设周期变化情况,判断网络操作行为序列是否为异常网络操作行为序列。
具体请参照图3,图3为本发明的网络异常行为检测方法的第二优选实施例的步骤S206的流程图。该步骤S206包括:
步骤S301,统计网络操作行为序列的执行数量在历史设定周期的变化率,以获取网络操作行为序列的执行数量的预设周期变化情况。
网络操作行为序列的执行数量的预设周期变化情况,是指该网络操作行为序列的执行数量,在历史设定周期的变化率或变化曲线。这里可以小时为单元,统计每天24小时中该网络操作行为序列的执行数量。这样网络操作行为序列的执行数量,在历史设定周期的变化率可为网络操作行为序列的执行数量,在昨天每小时的变化率,或网络操作行为序列的执行数量,在前几天每小时的变化率的平均数。
步骤S302,统计网络操作行为序列的执行数量在当前设定周期的变化率,以获取网络操作行为序列的执行数量的当前周期变化情况。
网络操作行为序列的执行数量的当前周期变化情况,是指该网络操作行为序列的执行数量,在当前设定周期的变化率或变化曲线。这里可以小时为单元,统计每天24小时中该网络操作行为序列的执行数量。这样网络操作行为序列的执行数量,在当前设定周期的变化率可为网络操作行为序列的执行数量,在今天每小时的变化率。
步骤S303,判断网络操作行为序列的执行数量在历史设定周期的变化率与网络操作行为序列的执行数量在历史设定周期的变化率的相似度是否大于等于设定值;该设定值可根据具体测试需要进行设定。
步骤S304,如网络操作行为序列的执行数量在历史设定周期的变化率与网络操作行为序列的执行数量在历史设定周期的变化率的相似度大于等于设定值,说明当前周期变化情况与预设周期变化情况相同或差异较小,一般为当前网络操作行为序列的执行数量的变化率大致等于对应的历史网络操作行为序列的执行数量的变化率,则意味着当前该网络操作行为序列为用户的正常网络操作,这时网络异常行为检测装置确定该网络操作行为序列为正常网络操作行为序列。
如网络操作行为序列的执行数量在历史设定周期的变化率与网络操作行为序列的执行数量在历史设定周期的变化率的相似度小于设定值,说明当前周期变化情况与预设周期变化情况的差异较大,一般为当前网络操作行为序列的执行数量的变化率远大于或远小于对应的历史网络操作行为序列的执行数量的变化率,则意味着当前该网络操作行为序列正被恶意执行,这时网络异常行为检测装置确定该网络操作行为序列为异常网络操作行为序列。随后转到步骤S207。
在步骤S207中,如步骤S206中判断网络操作行为序列为异常网络操作行为序列,则网络异常行为检测装置拒绝执行步骤S204获取的网络操作行为。如步骤S206中判断网络操作行为序列为正常网络操作行为序列,则网络异常行为检测装置执行步骤S204获取的网络操作行为。
这样即完成了本优选实施例的网络异常行为检测方法的网络操作行为的异常检测以及执行。
在第一优选实施例的基础上,本优选实施例的网络异常行为检测方法通过网络操作行为序列数据库的多样化设定,对部分网络操作行为进行了直接执行或拒绝执行的操作,在保证检测的高准确性的基础上,进一步提高了网络操作行为的执行效率。
本发明还提供一种网络异常行为检测装置,请参照图4,图4为本发明的网络异常行为检测装置的第一优选实施例的结构示意图。本优选实施例的网路异常行为检测装置40可使用上述的网络异常行为检测方法的第一优选实施例进行实施。该网络异常行为检测装置40包括网络操作行为组合形成模块41、网络操作行为序列获取模块42、判断模块43以及第一执行模块44。
网络操作行为组合形成模块41用于获取客户端的网络操作行为,并将网络操作行为以及与网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合。网络操作行为序列获取模块42用于根据网络操作行为序列数据库以及网络操作行为组合,获取与网络操作行为相关的网络操作行为序列。判断模块43用于根据网络操作行为序列的执行数量的当前周期变化情况和网络操作行为序列的执行数量的预设周期变化情况,判断网络操作行为序列是否为异常网络操作行为序列。第一执行模块44用于如网络操作行为序列为异常网络操作行为序列,则拒绝执行网络操作行为;如网络操作行为序列为正常网络操作行为序列,则执行网络操作行为。
本优选实施例的网络异常行为检测装置40使用时,首先网络操作行为组合形成模块41获取客户端的网络操作行为,并将网络操作行为以及网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合。
这里的网络操作行为可为账号登录、业务查询以及业务购买等网络平台上的操作行为。网络操作行为组合中的网络操作行为相关的前期网络操作行为为预先设定的执行该网络操作行为需要事先执行的网络操作行为,如用户要进行业务购买的网络操作行为,需要进行账号登录的前期网络操作行为。
由于对单一的网络操作行为是无法进行网络异常行为判断的,因为正常的用户也会进行各种的网络操作行为,因此这里需要将多个依次执行的网络操作行为进行组合,通过分析网络操作行为组合的不合理性,对异常的网络操作行为进行判断。这样将客户端的网络操作行为以及对应的前期操作行为进行组合或合并,形成网络操作行为组合。
随后网络操作行为序列获取模块42根据预设的网络操作行为序列数据库以及网络操作行为组合形成模块41获取的网络操作行为组合,获取与网络操作行为相关的网络操作行为序列。其中网络操作行为序列数据库包括用于进行网络异常行为检测的多个网络操作行为序列,该网络操作行为序列包括多个依次执行的网络操作行为。
网络操作行为序列数据库中存储的是具有较为简洁的多个网络操作行为的网络操作行为序列。而网络操作行为组合形成模块41获取的网络操作行为组合中可能具有多余的网络操作行为。因此网络操作行为组合中只要包括网络操作行为序列中的多个网络操作行为即可,网络操作行为组合中的网络操作行为和前期网络操作行为,并非需要与网络操作行为序列中的多个网络操作行为完全相同。
然后判断模块43获取网络操作行为序列获取模块42获取的网络操作行为序列的执行数量的当前周期变化情况和网络操作行为序列的执行数量的预设周期变化情况。
这里的网络操作行为序列的执行数量的当前周期变化情况,是指该网络操作行为序列的执行数量,在当前设定周期的变化率或变化曲线。这里可以小时为单元,统计每天24小时中该网络操作行为序列的执行数量。这样网络操作行为序列的执行数量,在当前设定周期的变化率可为网络操作行为序列的执行数量,在今天每小时的变化率。
同样网络操作行为序列的执行数量的预设周期变化情况,是指该网络操作行为序列的执行数量,在历史设定周期的变化率或变化曲线。这里可以小时为单元,统计每天24小时中该网络操作行为序列的执行数量。这样网络操作行为序列的执行数量,在历史设定周期的变化率可为网络操作行为序列的执行数量,在昨天每小时的变化率,或网络操作行为序列的执行数量,在前几天每小时的变化率的平均数。
如当前周期变化情况与预设周期变化情况的差异较大,一般为当前每小时网络操作行为序列的执行数量的变化率远大于或远小于对应的历史每小时网络操作行为序列的执行数量的变化率,则意味着当前该网络操作行为序列正被恶意执行,这时判断模块43确定该网络操作行为序列为异常网络操作行为序列。
如当前周期变化情况与预设周期变化情况相同或差异较小,一般为当前网络操作行为序列的执行数量的变化率大致等于对应的历史每小时网络操作行为序列的执行数量的变化率,则意味着当前该网络操作行为序列为用户的正常网络操作,这时判断模块43确定该网络操作行为序列为正常网络操作行为序列。
最后如判断模块43判断网络操作行为序列为异常网络操作行为序列,则第一执行模块44拒绝执行网络操作行为组合形成模块41获取的网络操作行为。如判断模块43判断网络操作行为序列为正常网络操作行为序列,则第一执行模块44执行网络操作行为组合形成模块41获取的网络操作行为。
这样即完成了本优选实施例的网络异常行为检测装置40的网络操作行为的异常检测以及执行。
本优选实施例的网络异常行为检测装置通过网络操作行为序列的执行数量的周期性变化对网络异常操作行为进行检测,检测的准确性高,且可较好的避免错检或漏检。
请参照图5,图5为本发明的网络异常行为检测装置的第二优选实施例的结构示意图。本优选实施例的网路异常行为检测装置可使用上述的网络异常行为检测方法的第二优选实施例进行实施。该网络异常行为检测装置50包括网络操作行为设定模块51、网络操作行为序列形成模块52、恶意网络操作行为序列形成模块53、网络操作行为序列数据库形成模块54、网络操作行为组合形成模块55、网络操作行为序列获取模块56、判断模块57、第一执行模块58以及第二执行模块59。
其中网络操作行为设定模块51用于设定多个网络操作行为的网络操作参数。网络操作行为序列形成模块52用于按网络异常行为检测的预设条件,对多个网络操作行为中的至少两个进行组合,以形成多个网络操作行为序列。恶意网络操作行为序列形成模块53用于按恶意网络行为检测的预设条件,对多个网络操作行为中的至少两个进行组合,以形成多个恶意网络操作行为序列。网络操作行为序列数据库形成模块54用于对多个网络操作行为序列以及恶意网络操作行为序列进行存储,以形成网络操作行为序列数据库。
网络操作行为组合形成模块55用于获取客户端的网络操作行为,并将网络操作行为以及与网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合。网络操作行为序列获取模块56用于根据网络操作行为序列数据库以及所述网络操作行为组合,获取与网络操作行为相关的网络操作行为序列。判断模块57用于根据网络操作行为序列的执行数量的当前周期变化情况和网络操作行为序列的执行数量的预设周期变化情况,判断网络操作行为序列是否为异常网络操作行为序列。第一执行模块58用于如网络操作行为序列为异常网络操作行为序列,则拒绝执行网络操作行为;如网络操作行为序列为正常网络操作行为序列,则执行网络操作行为。第二执行模块59用于如网络操作行为组合中的网络操作行为以及前期网络操作行为包含网络操作行为序列数据库中的一恶意网络操作行为序列中的所有网络操作行为,则拒绝执行网络操作行为。
请参照图6,图6为本发明的网络异常行为检测装置的第二优选实施例的网络操作行为序列获取模块的结构示意图。该网络操作行为序列获取模块56包括网络操作行为序列获取单元561以及网络操作行为执行单元562。
网络操作行为序列获取单元561用于如网络操作行为组合中的网络操作行为以及前期网络操作行为包含了网络操作行为序列数据库中的一网络操作行为序列中的所有网络操作行为,则将网络操作行为序列数据库中的网络操作行为序列作为与网络操作行为相关的网络操作行为序列。网络操作行为执行单元562用于如网络操作行为组合中的网络操作行为以及前期网络操作行为未包含网络操作行为序列数据库中的任一网络操作行为序列中的所有网络操作行为,则执行网络操作行为组合中的网络操作行为。
请参照图7,图7为本发明的网络异常行为检测装置的第二优选实施例的判断模块的结构示意图。该判断模块57包括历史执行数量变化率统计单元571、当前执行数量变化率统计单元572、判断单元573以及确定单元574。
历史执行数量变化率统计单元571用于统计网络操作行为序列的执行数量在历史设定周期的变化率,以获取网络操作行为序列的执行数量的预设周期变化情况。当前执行数量变化率统计单元572用于统计网络操作行为序列的执行数量在当前设定周期的变化率,以获取网络操作行为序列的执行数量的当前周期变化情况。判断单元573用于判断网络操作行为序列的历史执行数量变化率与网络操作行为序列的当前执行数量变化率的相似度是否大于等于设定值。确定单元574用于如大于等于设定值,则确定网络操作行为序列是正常网络操作行为序列;如小于设定值,则确定网络操作行为序列是异常网络操作行为序列。
本优选实施例的网络异常行为检测装置50使用时,首先网络操作行为设定模块51获取网络行为检测服务器的维护人员设定的多个网络操作行为的网络操作参数。这里的网络操作行为可为账号登录、业务查询以及业务购买等网络平台上的操作行为。
网络操作行为的网络操作参数包括网络操作行为的操作内容、网络操作行为的执行时间以及网络操作行为的执行区域等参数。同一账号在用户的常用区域登录和在用户不常用区域登录,是完全不同的网络操作行为,这时需要将其分为可作为网络异常行为检测的依据的两个网络操作行为。
随后网络操作行为序列形成模块52按网络异常行为检测的预设条件,对网络操作行为设定模块获取的多个网络操作行为中的至少两个进行组合,以形成多个网络操作行为序列。
网络行为检测服务器的维护人员根据网络异常行为检测的预设条件,如平常的网络异常行为检测的经验,来设定网络操作行为序列。如某个账号在用户不常用区域登录后,立即为他人进行了大额度的业务购买操作,即由用户异地登录操作以及代替业务购买操作来组成网络操作行为序列。当然这里网络行为检测服务器的维护人员可以尽可能把经常遇到的可能会导致网络异常行为的设定到相应的网络操作行为序列中,以便后续进行网络异常行为的检测。
然后恶意网络操作行为序列形成模块53按恶意网络行为检测的预设条件,对网络操作行为设定模块获取的多个网络操作行为中的至少两个进行组合,以形成多个恶意网络操作行为序列。
网络行为检测服务器的维护人员根据恶意网络行为检测的预设条件,如平常的恶意网络行为检测的经验,来设定恶意网络操作行为序列。如针对某个账号,多次使用不同密码进行登录操作,即由多次登录操作来组成网络操作行为序列。当然这里网络行为检测服务器的维护人员可以尽可能把经常遇到的恶意网络行为到相应的网络操作行为序列中,以便进行恶意网络行为的检测。
优选的,网络操作行为序列数据库形成模块54对网络操作行为序列形成模块52获取的多个网络操作行为序列以及恶意网络操作行为序列形成模块53获取的多个恶意网络操作行为序列进行存储,以形成相应的网络操作行为序列数据库。
然后网络操作行为组合形成模块55获取客户端的网络操作行为,并将网络操作行为以及网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合。
网络操作行为组合形成模块获取客户端的网络操作行为,随后根据该网络操作行为的网络操作参数,获取与该网络操作行为相关、发生在网络操作行为之前的前期网络操作行为。网络操作行为组合中的网络操作行为相关的前期网络操作行为是预先设定的执行该网络操作行为需要事先执行的网络操作行为,如用户要进行业务购买的网络操作行为,需要进行账号登录的前期网络操作行为。
由于对单一的网络操作行为是无法进行网络异常行为判断的,因为正常的用户也会进行各种的网络操作行为,因此这里需要将多个依次执行的网络操作行为进行组合,通过分析网络操作行为组合的不合理性,对异常的网络操作行为进行判断。这样将客户端的网络操作行为以及对应的前期操作行为进行组合或合并,形成网络操作行为组合。
随后网络操作行为序列获取模块56根据网络操作行为序列数据库形成模块54形成的网络操作行为序列数据库以及网络操作行为组合形成模块55获取的网络操作行为组合,获取与网络操作行为相关的网络操作行为序列。其中网络操作行为序列数据库包括用于进行网络异常行为检测的多个网络操作行为序列,该网络操作行为序列包括多个依次执行的网络操作行为。
网络操作行为序列数据库中存储的是具有较为简洁的多个网络操作行为的网络操作行为序列。而网络操作行为组合形成模块55获取的网络操作行为组合中可能具有多余的网络操作行为。因此网络操作行为组合中只要包括网络操作行为序列中的多个网络操作行为即可,网络操作行为组合中的网络操作行为和前期网络操作行为,并非需要与网络操作行为序列中的多个网络操作行为完全相同。
具体的,如网络操作行为组合中的网络操作行为以及前期网络操作行为,包含了网络操作行为序列数据库中的一网络操作行为序列中的所有网络操作行为,则网络操作行为序列获取模块56的网络操作行为序列获取单元将561网络操作行为序列数据库中的网络操作行为序列,作为与网络操作行为相关的网络操作行为序列。
如网络操作行为组合中的网络操作行为以及前期网络操作行为,未包含网络操作行为序列数据库中的任一网络操作行为序列中的所有网络操作行为,则该网络操作行为组合对应的一系列的网络操作行为均为正常网络操作行为,网络操作行为序列获取模块56的网络操作行为执行单元562执行网络操作行为组合中的网络操作行为。
优选的,由于网络操作行为序列数据库中还包括恶意网路操作行为序列,因此如网络操作行为组合中的网络操作行为以及前期网络操作行为,包含网络操作行为序列数据库中的一恶意网络操作行为序列中的所有网络操作行为,则第二执行模块59直接拒绝执行网络操作行为。
然后判断模块57根据网络操作行为序列获取模块56中获取的网络操作行为序列的执行数量的当前周期变化情况和网络操作行为序列的执行数量的预设周期变化情况,判断网络操作行为序列是否为异常网络操作行为序列。具体为:
判断模块57的历史执行数量变化率统计单元571统计网络操作行为序列的执行数量在历史设定周期的变化率,以获取网络操作行为序列的执行数量的预设周期变化情况。
网络操作行为序列的执行数量的预设周期变化情况,是指该网络操作行为序列的执行数量,在历史设定周期的变化率或变化曲线。这里可以小时为单元,统计每天24小时中该网络操作行为序列的执行数量。这样网络操作行为序列的执行数量,在历史设定周期的变化率可为网络操作行为序列的执行数量,在昨天每小时的变化率,或网络操作行为序列的执行数量,在前几天每小时的变化率的平均数。
判断模块57的当前执行数量变化率统计单元572统计网络操作行为序列的执行数量在当前设定周期的变化率,以获取网络操作行为序列的执行数量的当前周期变化情况。
网络操作行为序列的执行数量的当前周期变化情况,是指该网络操作行为序列的执行数量,在当前设定周期的变化率或变化曲线。这里可以小时为单元,统计每天24小时中该网络操作行为序列的执行数量。这样网络操作行为序列的执行数量,在当前设定周期的变化率可为网络操作行为序列的执行数量,在今天每小时的变化率。
判断模块57的判断单元573判断网络操作行为序列的执行数量在历史设定周期的变化率与网络操作行为序列的执行数量在历史设定周期的变化率的相似度是否大于等于设定值;该设定值可根据具体测试需要进行设定。
如网络操作行为序列的执行数量在历史设定周期的变化率与网络操作行为序列的执行数量在历史设定周期的变化率的相似度大于等于设定值,说明当前周期变化情况与预设周期变化情况相同或差异较小,一般为当前网络操作行为序列的执行数量的变化率大致等于对应的历史网络操作行为序列的执行数量的变化率,则意味着当前该网络操作行为序列为用户的正常网络操作,这时判断模块57的确定单元574确定该网络操作行为序列为正常网络操作行为序列。
如网络操作行为序列的执行数量在历史设定周期的变化率与网络操作行为序列的执行数量在历史设定周期的变化率的相似度小于设定值,说明当前周期变化情况与预设周期变化情况的差异较大,一般为当前网络操作行为序列的执行数量的变化率远大于或远小于对应的历史网络操作行为序列的执行数量的变化率,则意味着当前该网络操作行为序列正被恶意执行,这时判断模块57的确定单元574确定该网络操作行为序列为异常网络操作行为序列。
最后如判断模块57判断网络操作行为序列为异常网络操作行为序列,则第一执行模块58拒绝执行网络操作行为组合形成模块55获取的网络操作行为。如判断模块57判断网络操作行为序列为正常网络操作行为序列,则第一执行模块58执行网络操作行为组合形成模块55获取的网络操作行为。
这样即完成了本优选实施例的网络异常行为检测装置50的网络操作行为的异常检测以及执行。
在第一优选实施例的基础上,本优选实施例的网络异常行为检测装置通过网络操作行为序列数据库的多样化设定,对部分网络操作行为进行了直接执行或拒绝执行的操作,在保证检测的高准确性的基础上,进一步提高了网络操作行为的执行效率。
下面通过一具体实施例说明本发明的网络异常行为检测方法及网络异常行为检测装置的工作原理。请参照图8A至图8C,图8A至图8C为本发明的网络异常行为检测方法及网络异常行为检测装置的具体实施例的示意图。其中网络异常行为检测装置设置在网络行为检测服务器83,接入服务器82用于接收用户的执行网络操作行为的请求,并且将网络操作行为执行结果反馈给用户81。执行服务器84用于如该网络操作行为判断为正常网络操作行为,则执行该网络操作行为。该网络异常行为检测过程包括:
一、用户81向接入服务器82发出执行网络操作行为的请求,如登录请求、查询余额请求或消费请求等。
二、接入服务器82获取该网络操作行为的网络操作参数,如请求发出地址、请求发出时间以及请求发出地点等。并将该网络操作行为的相关信息发送至网络行为检测服务器83。
三、网络行为检测服务器83根据该网络操作行为,查找到相应的前期网络操作行为;并将网络操作行为和前期网络操作行为组成该网络操作行为对应的网络操作行为序列。如用户进行消费操作,则网络行为检测服务器83查找到相应的账号登录操作,然后将该消费操作和账号登录操作组成该消费操作对应的网络操作行为序列。
四、网络行为检测服务器83根据网络操作行为序列数据库85中存储的恶意网络操作行为序列来判断该网络操作行为序列是否为恶意网络操作行为序列。如该网络操作行为序列为恶意网络操作行为序列,如短时间内多次使用错误密码进行账号登录等。则直接给接入服务器82返回拒绝执行该网络操作行为的指令。
五、如该网络操作行为序列并非恶意网络操作行为序列,则网络行为检测服务器83将该网络操作行为序列的执行数量的当天周期变化曲线,与该网络操作行为序列的执行数量的预设每日周期变化曲线进行对比。如对比结果为当天周期变化曲线和预设每日周期变化曲线相似,则判断该网络操作行为为正常网络操作行为。具体如图8B所示。
如对比结果为当天周期变化曲线和预设每日周期变化曲线差异较大,则判断该网络操作行为为异常网络操作行为。具体如图8C所示。实际使用时,不需要获取完整的当前周期变化曲线进行异常网络操作行为分析,如图8C的7点时,网络行为检测服务器83发现该网络操作行为序列的执行数量急剧增加,当前周期变化曲线与预设每日周期变化曲线的斜率变化差异较大,则可直接判定该网络操作行为为异常网络操作行为。
六、如网络行为检测服务器83判断该网络操作行为为正常网络操作行为,则接入服务器82通过执行服务器84执行该网络操作行为,并将网络操作行为执行结果反馈给用户81;如网络行为检测服务器83判断该网络操作行为为异常网络操作行为,则接入服务器82返回拒绝执行该网络操作行为的指令。
这样即完成了本发明的网络异常行为检测方法及检测装置的网络操作行为的异常检测以及执行。
本发明的网络异常行为检测方法及检测装置通过网络操作行为序列的执行数量的周期性变化对网络异常操作行为进行检测,检测的准确性高,且可较好的避免错检或漏检;解决了现有的网络异常行为检测方法及检测装置的网络异常行为检测的准确度较低的技术问题。
如本申请所使用的术语“组件”、“模块”、“系统”、“接口”、“进程”等等一般地旨在指计算机相关实体:硬件、硬件和软件的组合、软件或执行中的软件。例如,组件可以是但不限于是运行在处理器上的进程、处理器、对象、可执行应用、执行的线程、程序和/或计算机。通过图示,运行在控制器上的应用和该控制器二者都可以是组件。一个或多个组件可以有在于执行的进程和/或线程内,并且组件可以位于一个计算机上和/或分布在两个或更多计算机之间。
而且,要求保护的主题可以被实现为使用标准编程和/或工程技术产生软件、固件、硬件或其任意组合以控制计算机实现所公开的主题的方法、装置或制造品。本文所使用的术语“制造品”旨在包含可从任意计算机可读设备、载体或介质访问的计算机程序。当然,本领域技术人员将认识到可以对该配置进行许多修改,而不脱离要求保护的主题的范围或精神。
图9和随后的讨论提供了对实现本发明所述的网络异常行为检测装置所在的电子设备的工作环境的简短、概括的描述。图9的工作环境仅仅是适当的工作环境的一个实例并且不旨在建议关于工作环境的用途或功能的范围的任何限制。实例电子设备912包括但不限于个人计算机、服务器计算机、手持式或膝上型设备、移动设备(比如移动电话、个人数字助理(PDA)、媒体播放器等等)、多处理器系统、消费型电子设备、小型计算机、大型计算机、包括上述任意系统或设备的分布式计算环境,等等。
尽管没有要求,但是在“计算机可读指令”被一个或多个电子设备执行的通用背景下描述实施例。计算机可读指令可以经由计算机可读介质来分布(下文讨论)。计算机可读指令可以实现为程序模块,比如执行特定任务或实现特定抽象数据类型的功能、对象、应用编程接口(API)、数据结构等等。典型地,该计算机可读指令的功能可以在各种环境中随意组合或分布。
图9图示了包括本发明的网络异常行为检测装置的一个或多个实施例的电子设备912的实例。在一种配置中,电子设备912包括至少一个处理单元916和存储器918。根据电子设备的确切配置和类型,存储器918可以是易失性的(比如RAM)、非易失性的(比如ROM、闪存等)或二者的某种组合。该配置在图9中由虚线914图示。
在其他实施例中,电子设备912可以包括附加特征和/或功能。例如,设备912还可以包括附加的存储装置(例如可移除和/或不可移除的),其包括但不限于磁存储装置、光存储装置等等。这种附加存储装置在图9中由存储装置920图示。在一个实施例中,用于实现本文所提供的一个或多个实施例的计算机可读指令可以在存储装置920中。存储装置920还可以存储用于实现操作系统、应用程序等的其他计算机可读指令。计算机可读指令可以载入存储器918中由例如处理单元916执行。
本文所使用的术语“计算机可读介质”包括计算机存储介质。计算机存储介质包括以用于存储诸如计算机可读指令或其他数据之类的信息的任何方法或技术实现的易失性和非易失性、可移除和不可移除介质。存储器918和存储装置920是计算机存储介质的实例。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光存储装置、盒式磁带、磁带、磁盘存储装置或其他磁存储设备、或可以用于存储期望信息并可以被电子设备912访问的任何其他介质。任意这样的计算机存储介质可以是电子设备912的一部分。
电子设备912还可以包括允许电子设备912与其他设备通信的通信连接926。通信连接926可以包括但不限于调制解调器、网络接口卡(NIC)、集成网络接口、射频发射器/接收器、红外端口、USB连接或用于将电子设备912连接到其他电子设备的其他接口。通信连接926可以包括有线连接或无线连接。通信连接926可以发射和/或接收通信媒体。
术语“计算机可读介质”可以包括通信介质。通信介质典型地包含计算机可读指令或诸如载波或其他传输机构之类的“己调制数据信号”中的其他数据,并且包括任何信息递送介质。术语“己调制数据信号”可以包括这样的信号:该信号特性中的一个或多个按照将信息编码到信号中的方式来设置或改变。
电子设备912可以包括输入设备924,比如键盘、鼠标、笔、语音输入设备、触摸输入设备、红外相机、视频输入设备和/或任何其他输入设备。设备912中也可以包括输出设备922,比如一个或多个显示器、扬声器、打印机和/或任意其他输出设备。输入设备924和输出设备922可以经由有线连接、无线连接或其任意组合连接到电子设备912。在一个实施例中,来自另一个电子设备的输入设备或输出设备可以被用作电子设备912的输入设备924或输出设备922。
电子设备912的组件可以通过各种互连(比如总线)连接。这样的互连可以包括外围组件互连(PCI)(比如快速PCI)、通用串行总线(USB)、火线(IEEE1394)、光学总线结构等等。在另一个实施例中,电子设备912的组件可以通过网络互连。例如,存储器918可以由位于不同物理位置中的、通过网络互连的多个物理存储器单元构成。
本领域技术人员将认识到,用于存储计算机可读指令的存储设备可以跨越网络分布。例如,可经由网络928访问的电子设备930可以存储用于实现本发明所提供的一个或多个实施例的计算机可读指令。电子设备912可以访问电子设备930并且下载计算机可读指令的一部分或所有以供执行。可替代地,电子设备912可以按需要下载多条计算机可读指令,或者一些指令可以在电子设备912处执行并且一些指令可以在电子设备930处执行。
本文提供了实施例的各种操作。在一个实施例中,所述的一个或多个操作可以构成一个或多个计算机可读介质上存储的计算机可读指令,其在被电子设备执行时将使得计算设备执行所述操作。描述一些或所有操作的顺序不应当被解释为暗示这些操作必需是顺序相关的。本领域技术人员将理解具有本说明书的益处的可替代的排序。而且,应当理解,不是所有操作必需在本文所提供的每个实施例中存在。
而且,本文所使用的词语“优选的”意指用作实例、示例或例证。奉文描述为“优选的”任意方面或设计不必被解释为比其他方面或设计更有利。相反,词语“优选的”的使用旨在以具体方式提出概念。如本申请中所使用的术语“或”旨在意指包含的“或”而非排除的“或”。即,除非另外指定或从上下文中清楚,“X使用A或B”意指自然包括排列的任意一个。即,如果X使用A;X使用B;或X使用A和B二者,则“X使用A或B”在前述任一示例中得到满足。
而且,尽管已经相对于一个或多个实现方式示出并描述了本公开,但是本领域技术人员基于对本说明书和附图的阅读和理解将会想到等价变型和修改。本公开包括所有这样的修改和变型,并且仅由所附权利要求的范围限制。特别地关于由上述组件(例如元件、资源等)执行的各种功能,用于描述这样的组件的术语旨在对应于执行所述组件的指定功能(例如其在功能上是等价的)的任意组件(除非另外指示),即使在结构上与执行本文所示的本公开的示范性实现方式中的功能的公开结构不等同。此外,尽管本公开的特定特征已经相对于若干实现方式中的仅一个被公开,但是这种特征可以与如可以对给定或特定应用而言是期望和有利的其他实现方式的一个或多个其他特征组合。而且,就术语“包括”、“具有”、“含有”或其变形被用在具体实施方式或权利要求中而言,这样的术语旨在以与术语“包含”相似的方式包括。
本发明实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。上述的各装置或系统,可以执行相应方法实施例中的方法。
综上所述,虽然本发明已以优选实施例揭露如上,但上述优选实施例并非用以限制本发明,本领域的普通技术人员,在不脱离本发明的精神和范围内,均可作各种更动与润饰,因此本发明的保护范围以权利要求界定的范围为准。
Claims (14)
1.一种网络异常行为检测方法,其特征在于,包括:
获取客户端的网络操作行为,并将所述网络操作行为以及与所述网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合;
根据网络操作行为序列数据库以及所述网络操作行为组合,获取与所述网络操作行为相关的网络操作行为序列;其中所述网络操作行为序列数据库包括用于进行网络异常行为检测的多个网络操作行为序列,所述网络操作行为序列包括多个依次执行的网络操作行为;
根据所述网络操作行为序列的执行数量的当前周期变化情况,和所述网络操作行为序列的执行数量的预设周期变化情况,判断所述网络操作行为序列是否为异常网络操作行为序列;以及
如所述网络操作行为序列为所述异常网络操作行为序列,则拒绝执行所述网络操作行为;如所述网络操作行为序列为正常网络操作行为序列,则执行所述网络操作行为。
2.根据权利要求1所述的网络异常行为检测方法,其特征在于,所述将所述网络操作行为以及与所述网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合的步骤包括:
根据所述网络操作行为的网络操作参数,获取与所述网络操作行为相关、发生在所述网络操作行为之前的所述前期网络操作行为。
3.根据权利要求2所述的网络异常行为检测方法,其特征在于,所述获取与所述网络操作行为相关的网络操作行为序列的步骤包括:
如所述网络操作行为组合中的所述网络操作行为以及所述前期网络操作行为,包含了所述网络操作行为序列数据库中的一网络操作行为序列中的所有网络操作行为,则将所述网络操作行为序列数据库中的所述网络操作行为序列,作为与所述网络操作行为相关的网络操作行为序列;以及
如所述网络操作行为组合中的所述网络操作行为以及所述前期网络操作行为,未包含所述网络操作行为序列数据库中的任一网络操作行为序列中的所有网络操作行为,则执行所述网络操作行为组合中的所述网络操作行为。
4.根据权利要求1所述的网络异常行为检测方法,其特征在于,所述根据所述网络操作行为序列的执行数量的当前周期变化情况和所述网络操作行为序列的执行数量的预设周期变化情况,判断所述网络操作行为序列是否为异常网络操作行为序列的步骤包括:
统计所述网络操作行为序列的执行数量在历史设定周期的变化率,以获取所述网络操作行为序列的执行数量的预设周期变化情况;
统计所述网络操作行为序列的执行数量在当前设定周期的变化率,以获取所述网络操作行为序列的执行数量的当前周期变化情况;
判断所述网络操作行为序列的执行数量在历史设定周期的变化率,与所述网络操作行为序列的执行数量在当前设定周期的变化率的相似度是否大于等于设定值;以及
如大于等于设定值,则确定所述网络操作行为序列是正常网络操作行为序列;如小于设定值,则确定所述网络操作行为序列是异常网络操作行为序列。
5.根据权利要求1所述的网络异常行为检测方法,其特征在于,所述网络操作行为序列数据库还包括恶意网络操作行为序列;
所述获取客户端的网络操作行为的步骤之后还包括:
如所述网络操作行为组合中的所述网络操作行为以及所述前期网络操作行为,包含所述网络操作行为序列数据库中的一恶意网络操作行为序列中的所有网络操作行为,则拒绝执行所述网络操作行为。
6.根据权利要求1所述的网络异常行为检测方法,其特征在于,所述网络异常行为检测方法还包括:
设定多个网络操作行为的网络操作参数;
按网络异常行为检测的预设条件,对多个所述网络操作行为中的至少两个进行组合,以形成多个所述网络操作行为序列;以及
对多个所述网络操作行为序列进行存储,以形成所述网络操作行为序列数据库。
7.根据权利要求6所述的网络异常行为检测方法,其特征在于,所述网络异常行为检测方法还包括:
设定多个网络操作行为的网络操作参数;
按恶意网络行为检测的预设条件,对多个所述网络操作行为中的至少两个进行组合,以形成多个所述恶意网络操作行为序列;以及
对多个所述恶意网络操作行为序列进行存储,以形成所述网络操作行为序列数据库。
8.一种网络异常行为检测装置,其特征在于,包括:
网络操作行为组合形成模块,用于获取客户端的网络操作行为,并将所述网络操作行为以及与所述网络操作行为相关的前期网络操作行为进行组合,以形成网络操作行为组合;
网络操作行为序列获取模块,用于根据网络操作行为序列数据库以及所述网络操作行为组合,获取与所述网络操作行为相关的网络操作行为序列;其中所述网络操作行为序列数据库包括用于进行网络异常行为检测的多个网络操作行为序列,所述网络操作行为序列包括多个依次执行的网络操作行为;
判断模块,用于根据所述网络操作行为序列的执行数量的当前周期变化情况和所述网络操作行为序列的执行数量的预设周期变化情况,判断所述网络操作行为序列是否为异常网络操作行为序列;以及
第一执行模块,用于如所述网络操作行为序列为所述异常网络操作行为序列,则拒绝执行所述网络操作行为;如所述网络操作行为序列为正常网络操作行为序列,则执行所述网络操作行为。
9.根据权利要求8所述的网络异常行为检测装置,其特征在于,所述网络操作行为组合形成模块具体用于根据所述网络操作行为的网络操作参数,获取与所述网络操作行为相关、发生在所述网络操作行为之前的所述前期网络操作行为。
10.根据权利要求9所述的网络异常行为检测装置,其特征在于,所述网络操作行为序列获取模块包括:
网络操作行为序列获取单元,用于如所述网络操作行为组合中的所述网络操作行为以及所述前期网络操作行为,包含了所述网络操作行为序列数据库中的一网络操作行为序列中的所有网络操作行为,则将所述网络操作行为序列数据库中的所述网络操作行为序列,作为与所述网络操作行为相关的网络操作行为序列;以及
网络操作行为执行单元,用于如所述网络操作行为组合中的所述网络操作行为以及所述前期网络操作行为,未包含所述网络操作行为序列数据库中的任一网络操作行为序列中的所有网络操作行为,则执行所述网络操作行为组合中的所述网络操作行为。
11.根据权利要求8所述的网络异常行为检测装置,其特征在于,所述判断模块包括:
历史执行数量变化率统计单元,用于统计所述网络操作行为序列的执行数量在历史设定周期的变化率,以获取所述网络操作行为序列的执行数量的预设周期变化情况;
当前执行数量变化率统计单元,用于统计所述网络操作行为序列的执行数量在当前设定周期的变化率,以获取所述网络操作行为序列的执行数量的当前周期变化情况;
判断单元,用于判断所述网络操作行为序列的历史执行数量变化率,与所述网络操作行为序列的当前执行数量变化率的相似度是否大于等于设定值;以及
确定单元,用于如大于等于设定值,则确定所述网络操作行为序列是正常网络操作行为序列;如小于设定值,则确定所述网络操作行为序列是异常网络操作行为序列。
12.根据权利要求8所述的网络异常行为检测装置,其特征在于,所述网络操作行为序列数据库还包括恶意网络操作行为序列;所述网络异常行为检测装置还包括:
第二执行模块,用于如所述网络操作行为组合中的所述网络操作行为以及所述前期网络操作行为,包含所述网络操作行为序列数据库中的一恶意网络操作行为序列中的所有网络操作行为,则拒绝执行所述网络操作行为。
13.根据权利要求8所述的网络异常行为检测装置,其特征在于,所述网络异常行为检测装置还包括:
网络操作行为设定模块,用于设定多个网络操作行为的网络操作参数;
网络操作行为序列形成模块,用于按网络异常行为检测的预设条件,对多个所述网络操作行为中的至少两个进行组合,以形成多个所述网络操作行为序列;以及
网络操作行为序列数据库形成模块,用于对多个所述网络操作行为序列进行存储,以形成所述网络操作行为序列数据库。
14.根据权利要求13所述的网络异常行为检测装置,其特征在于,所述网络异常行为检测装置还包括:
恶意网络操作行为序列形成模块,用于按恶意网络行为检测的预设条件,对多个所述网络操作行为中的至少两个进行组合,以形成多个所述恶意网络操作行为序列;
所述网络操作行为序列数据库形成模块还用于对多个所述恶意网络操作行为序列进行存储,以形成所述网络操作行为序列数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510811887.7A CN106789837B (zh) | 2015-11-20 | 2015-11-20 | 网络异常行为检测方法及检测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510811887.7A CN106789837B (zh) | 2015-11-20 | 2015-11-20 | 网络异常行为检测方法及检测装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106789837A CN106789837A (zh) | 2017-05-31 |
| CN106789837B true CN106789837B (zh) | 2019-11-15 |
Family
ID=58885377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510811887.7A Active CN106789837B (zh) | 2015-11-20 | 2015-11-20 | 网络异常行为检测方法及检测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789837B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109726550B (zh) * | 2017-10-27 | 2022-05-06 | 腾讯科技(深圳)有限公司 | 异常操作行为检测方法、装置及计算机可读存储介质 |
| CN108804703B (zh) * | 2018-06-19 | 2021-09-17 | 北京焦点新干线信息技术有限公司 | 一种数据异常检测方法及装置 |
| CN109151518B (zh) * | 2018-08-06 | 2021-02-02 | 武汉斗鱼网络科技有限公司 | 一种被盗账号的识别方法、装置及电子设备 |
| CN110430214A (zh) * | 2019-08-15 | 2019-11-08 | 上海寰创通信科技股份有限公司 | 一种代理上网的识别方法及系统 |
| US11496495B2 (en) | 2019-10-25 | 2022-11-08 | Cognizant Technology Solutions India Pvt. Ltd. | System and a method for detecting anomalous patterns in a network |
| CN113556338B (zh) * | 2021-07-20 | 2022-08-30 | 福建银数信息技术有限公司 | 一种计算机网络安全异常操作拦截方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051953A (zh) * | 2007-05-14 | 2007-10-10 | 中山大学 | 基于模糊神经网络的异常检测方法 |
| CN102137458A (zh) * | 2010-01-25 | 2011-07-27 | 腾讯科技(北京)有限公司 | 无线网络接入方法及装置 |
| CN102314561B (zh) * | 2010-07-01 | 2014-07-23 | 电子科技大学 | 基于api hook的恶意代码自动分析方法和系统 |
| US10042415B2 (en) * | 2013-03-21 | 2018-08-07 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Methods and apparatuses for computer power down |
-
2015
- 2015-11-20 CN CN201510811887.7A patent/CN106789837B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106789837A (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789837B (zh) | 网络异常行为检测方法及检测装置 | |
| CN104426885B (zh) | 异常账号提供方法及装置 | |
| US20220060511A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| TW201923685A (zh) | 風險識別模型構建和風險識別方法、裝置及設備 | |
| US20210021644A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| CN110442712B (zh) | 风险的确定方法、装置、服务器和文本审理系统 | |
| CN109376078B (zh) | 移动应用的测试方法、终端设备及介质 | |
| US20210092160A1 (en) | Data set creation with crowd-based reinforcement | |
| US10587650B2 (en) | Communications security | |
| CN110474900B (zh) | 一种游戏协议测试方法及装置 | |
| CN102722672B (zh) | 一种检测运行环境真实性的方法及装置 | |
| CN111414374B (zh) | 一种区块链交易并发处理方法、装置及设备 | |
| CN109344611A (zh) | 应用的访问控制方法、终端设备及介质 | |
| CN109543891A (zh) | 容量预测模型的建立方法、设备及计算机可读存储介质 | |
| CN112560114B (zh) | 调用智能合约的方法及装置 | |
| Gangwal et al. | Detecting covert cryptomining using hpc | |
| WO2021216163A2 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| CN111179066A (zh) | 业务数据的批量处理方法、装置、服务器和存储介质 | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| CN104980421A (zh) | 一种批量请求处理方法及系统 | |
| US20210012031A1 (en) | Systems and methods to maintain user privacy while providing recommendations | |
| JP2018196054A (ja) | 評価プログラム、評価方法および情報処理装置 | |
| CN110581835A (zh) | 一种漏洞检测方法、装置及终端设备 | |
| CN107404491B (zh) | 终端环境异常检测方法、检测装置及计算机可读存储介质 | |
| CN110766402B (zh) | 交易顺序依赖漏洞检测方法、系统、电子装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |