CN106789868A - 一种网站用户行为识别与管控系统 - Google Patents
一种网站用户行为识别与管控系统 Download PDFInfo
- Publication number
- CN106789868A CN106789868A CN201610804505.2A CN201610804505A CN106789868A CN 106789868 A CN106789868 A CN 106789868A CN 201610804505 A CN201610804505 A CN 201610804505A CN 106789868 A CN106789868 A CN 106789868A
- Authority
- CN
- China
- Prior art keywords
- user
- black
- white lists
- website
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网站用户行为识别与管控系统,包括访问前端、数据收集模块以及策略执行模块,其中,访问前端用于接收用户发送的网站访问请求,生成访问日志,根据存储的黑白名单判断用户是否为风险用户,根据判断结果执行管控动作;数据收集模块收集访问日志,对用户的标志信息进行分类,并保存入数据分析集群供策略执行模块分析;策略执行模块根据数据收集模块所收集的标志信息,对黑白名单进行更新,并将更新后的黑白名单发送至访问前端替换现有的黑白名单。本系统可以根据网站业务及访客的特点进行制定,简单易行,实现用户了可以根据网站业务及访客的特点灵活定制管控策略。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种网站用户行为识别与管控系统。
背景技术
目前,网络已被普遍应用,网络上的各个网站为人们获取信息或进行联络提供了极大的方便。
但是各类网站始终面临风险客户的异常访问风险,包括目的为获取用户数据或主机控制权的黑客行为,目的为获取网站信息的非法爬虫行为等。这些异常访问为网站的稳定运行、网站数据的安全、用户隐私的保护带来了极大风险。
现有技术中的网站用户行为监控系统多为通用性系统,如各类WAF系统、各种云盾等,缺乏一种针对特定行业用户,能够根据其自身特点简易定制定监控策略的系统。
发明内容
本发明所要解决的技术问题是提供一种网站用户行为识别与监控系统,从而能够根据行业特点制定监控策略,实现网站安全监控。
为了解决上述问题,本发明公开了一种网站用户行为识别与管控系统,包括访问前端、数据收集模块以及策略执行模块,其中,访问前端用于接收用户发送的网站访问请求,生成访问日志,根据存储的黑白名单判断用户是否为风险用户,根据判断结果执行管控动作;数据收集模块收集访问日志,对用户的标志信息进行分类,并保存入数据分析集群供策略执行模块分析;策略执行模块根据数据收集模块所收集的标志信息,对黑白名单进行更新,并将更新后的黑白名单发送至访问前端替换现有的黑白名单。
进一步地,访问前端包括更新黑白名单的接口,通过调用黑白名单接口更新黑白名单。
进一步地,策略执行模块更新黑白名单的步骤包括:寻找特定时间内访问最多的预定个数的IP地址;统计每一个IP的值的请求数量和用户追踪码唯一计数的比值;如果比值大于阈值,则判断为风险用户,并将风险用户的标志信息加入黑白名单中。
进一步地,访问前端还用于将用户的请求镜像至软WAF进行攻击识别
与现有技术相比,由于本系统根据黑白名单进行用户行为管控,且黑白名单根据数据收集模块所收集的标志信息进行更新,从而可以根据网站业务和访客情况实时更新,从而使得管控系统可以根据网站业务及访客的特点进行制定,简单易行,实现用户了可以根据网站业务及访客的特点灵活定制管控策略。
附图说明
图1是根据本发明实施例的一种网站用户行为识别与管控系统;
图2是根据本发明实施例的一种网站用户行为识别与管控方法。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1示出了根据本发明实施例的一种网站用户行为识别与管控系统。如图1所示,本系统包括访问前端、数据收集模块以及策略执行模块。
其中,访问前端用于接收用户发送的网站访问请求,生成访问日志,根据存储的黑白名单判断用户是否为风险用户,根据判断结果执行管控动作。包括:当判断用户不是风险用户,对网站没有威胁时,允许访问网站;当判断用户为风险用户时,拒绝访问网站。
数据收集模块收集访问日志,对用户的标识地址,访问行为等标志信息进行分类,并保存入数据分析集群供策略执行模块分析;其中,访问记录包括请求路径、浏览器类型、用户追踪码、访问时间、响应时长,响应码、访问内容等信息。
策略执行模块根据数据收集模块所收集的用户访问地址等标志信息,对黑白名单进行更新,并将更新后的黑白名单发送至访问前端替换现有的黑白名单。
同时,访问前端提供更新黑白名单的接口,通过调用该接口更新访问前端的名单数据。该接口可以为restful接口。
由于本系统根据黑白名单进行用户行为管控,且黑白名单根据数据收集模块所收集的标志信息进行更新,从而可以根据网站业务和访客情况实时更新,从而使得管控系统可以根据网站业务及访客的特点进行制定,简单易行,实现用户了可以根据网站业务及访客的特点灵活定制管控策略。
本系统的具体实现流程如图2所示。
图2示出了本发明一种网站用户行为识别与监控系统执行流程。
步骤S11:访问前端接收用户发送的网站访问请求。
当用户通过HTTP、HTTPS及基于TCP的自定义协议访问网站时,访问前端获取用户的标识信息,如用户的IP地址、用户HTTP报文中的User-Agent头信息以及HTTP报文中的其他有效标识信息。
步骤S12:判断用户是否为风险用户。
访问前端调用最新的黑白名单,对接收到的访问请求用户标识信息进行验证,与存储黑白名单的数据进行比对分析,判断用户是否为风险用户,是否有权访问指定资源,黑白名单的数据包括用户的IP地址、用户HTTP报文中的User-Agent头信息以及HTTP报文中的其他信息。
当判断用户不是风险用户时,执行步骤S13;当判断用户为风险用户时,执行步骤S14。
步骤S13:当判断用户不是风险用户,对网站没有威胁时,允许访问网站。
若其标识信息未出现在黑白名单中,则判断该用户不是风险用户,对网站没有威胁,允许访问网站允许其访问网站。
步骤S14:当判断用户为风险用户时,拒绝访问网站。
若其标识信息出现在黑白名单中,则判断该用户为风险用户,拒绝其访问网站。
同时,访问前端将用户的请求镜像至软WAF(Web应用安全网关)进行攻击识别,软WAF将识别为攻击的用户标志信息提交给策略管理和执行模块,该功能可以由前方交换机将流量镜像至软WAF进行识别,也可以由访问前端复制报文主动向软WAF进行推送。与访问前端的黑白名单校验同步进行,用于进一步补充黑白名单,进一步提高网站的安全性。
其中,黑白名单数据根据访问前端生成的访问日志由策略执行模块实时更新。更新步骤包括:
策略执行模块用于既定分析策略的执行,一个分析策略包括多个子策略,每个子策略都可以归为在数据分析集群中通过多个维度进行的一次查询,策略执行模块通过一个策略中多个子策略的执行结果来生成所需的黑名单。具体实现方式包括:寻找某个固定时间段内(如1天内)访问最多的预定个数的IP地址(子策略1),该预定个数可以根据客户的需求选择,并对每一个IP地址统计其请求数量(子策略2)和用户追踪码唯一计数(子策略3)的比值,如果该值大于预设的阈值(子策略4),则判断为风险用户(最终策略)。被判为风险IP的地址将加入待更新黑名单中,通过调用访问前端所提供的名单更新接口来更新其黑白名单并使之生效。
即寻找特定时间内访问最多的预定个数的IP地址;统计每一个IP的值的请求数量和用户追踪码唯一计数的比值;如果该比值大于阈值,则判断为风险用户,并将风险用户的标志信息加入所述黑白名单中。
策略管理模块用于策略的生成和执行调度,每一个新策略都可进行实时测试以及回归测试以确保策略的有效性,同时该模块也负责策略的定时执行。
该系统可以根据网站业务及访客的特点进行制定,简单易行,从而实现用户了可以根据网站业务及访客的特点灵活定制管控策略。
以上对本发明所提供的一种网站用户行为识别与监控系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (4)
1.一种网站用户行为识别与管控系统,其特征在于,包括访问前端、数据收集模块以及策略执行模块,其中,
所述访问前端用于接收用户发送的网站访问请求,生成访问日志,根据存储的黑白名单判断用户是否为风险用户,根据判断结果执行管控动作;
所述数据收集模块收集访问日志,对用户的标志信息进行分类,并保存入数据分析集群供策略执行模块分析;
所述策略执行模块根据所述数据收集模块所收集的所述标志信息,对所述黑白名单进行更新,并将更新后的所述黑白名单发送至所述访问前端替换现有的所述黑白名单。
2.根据权利要求1所述的网站用户行为识别与管控系统,其特征在于,所述访问前端包括更新所述黑白名单的接口,通过调用所述黑白名单接口更新所述黑白名单。
3.根据权利要求1或2所述的网站用户行为识别与管控系统,其特征在于,所述策略执行模块更新所述黑白名单的步骤包括:
寻找特定时间内访问最多的预定个数的IP地址;
统计每一个IP的值的请求数量和用户追踪码唯一计数的比值;
如果所述比值大于阈值,则判断为风险用户,并将所述风险用户的标志信息加入所述黑白名单中。
4.根据权利要求1或2所述的网站用户行为识别与管控系统,其特征在于,所述访问前端还用于将用户的请求镜像至软WAF进行攻击识别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610804505.2A CN106789868A (zh) | 2016-09-05 | 2016-09-05 | 一种网站用户行为识别与管控系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610804505.2A CN106789868A (zh) | 2016-09-05 | 2016-09-05 | 一种网站用户行为识别与管控系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106789868A true CN106789868A (zh) | 2017-05-31 |
Family
ID=58972093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610804505.2A Pending CN106789868A (zh) | 2016-09-05 | 2016-09-05 | 一种网站用户行为识别与管控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789868A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107592305A (zh) * | 2017-08-30 | 2018-01-16 | 苏州朗动网络科技有限公司 | 一种基于elk和redis的防刷方法及系统 |
| CN107995289A (zh) * | 2017-12-01 | 2018-05-04 | 中国联合网络通信集团有限公司 | 一种网络用户的行为追踪方法及平台 |
| CN109190408A (zh) * | 2018-09-12 | 2019-01-11 | 江苏满运软件科技有限公司 | 一种数据信息的安全处理方法及系统 |
| CN109246064A (zh) * | 2017-07-11 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 安全访问控制、网络访问规则的生成方法、装置及设备 |
| CN109361716A (zh) * | 2018-12-19 | 2019-02-19 | 北京锐安科技有限公司 | 一种ip地址的获取方法、装置、终端设备和存储介质 |
| CN110233858A (zh) * | 2019-07-01 | 2019-09-13 | 四川长虹电器股份有限公司 | 基于云端信誉库的智能设备的风险评估方法及系统 |
| CN113630415A (zh) * | 2021-08-10 | 2021-11-09 | 工银科技有限公司 | 网络准入控制方法、装置、系统、设备、介质和产品 |
| CN117033742A (zh) * | 2023-08-18 | 2023-11-10 | 广东轻工职业技术学院 | 基于人工智能的数据安全获取方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
| CN102754488A (zh) * | 2011-04-18 | 2012-10-24 | 华为技术有限公司 | 用户访问的控制方法、装置及系统 |
| CN105100032A (zh) * | 2014-05-23 | 2015-11-25 | 腾讯科技(北京)有限公司 | 一种防止资源盗取的方法及装置 |
-
2016
- 2016-09-05 CN CN201610804505.2A patent/CN106789868A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102754488A (zh) * | 2011-04-18 | 2012-10-24 | 华为技术有限公司 | 用户访问的控制方法、装置及系统 |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
| CN105100032A (zh) * | 2014-05-23 | 2015-11-25 | 腾讯科技(北京)有限公司 | 一种防止资源盗取的方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109246064A (zh) * | 2017-07-11 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 安全访问控制、网络访问规则的生成方法、装置及设备 |
| CN107592305A (zh) * | 2017-08-30 | 2018-01-16 | 苏州朗动网络科技有限公司 | 一种基于elk和redis的防刷方法及系统 |
| CN107995289A (zh) * | 2017-12-01 | 2018-05-04 | 中国联合网络通信集团有限公司 | 一种网络用户的行为追踪方法及平台 |
| CN107995289B (zh) * | 2017-12-01 | 2019-08-06 | 中国联合网络通信集团有限公司 | 一种网络用户的行为追踪方法及平台 |
| CN109190408A (zh) * | 2018-09-12 | 2019-01-11 | 江苏满运软件科技有限公司 | 一种数据信息的安全处理方法及系统 |
| CN109361716A (zh) * | 2018-12-19 | 2019-02-19 | 北京锐安科技有限公司 | 一种ip地址的获取方法、装置、终端设备和存储介质 |
| CN110233858A (zh) * | 2019-07-01 | 2019-09-13 | 四川长虹电器股份有限公司 | 基于云端信誉库的智能设备的风险评估方法及系统 |
| CN113630415A (zh) * | 2021-08-10 | 2021-11-09 | 工银科技有限公司 | 网络准入控制方法、装置、系统、设备、介质和产品 |
| CN117033742A (zh) * | 2023-08-18 | 2023-11-10 | 广东轻工职业技术学院 | 基于人工智能的数据安全获取方法 |
| CN117033742B (zh) * | 2023-08-18 | 2024-02-20 | 广东轻工职业技术学院 | 基于人工智能的数据安全获取方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789868A (zh) | 一种网站用户行为识别与管控系统 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US7801985B1 (en) | Data transfer for network interaction fraudulence detection | |
| CN106656959B (zh) | 访问请求调控方法和装置 | |
| CN105100032B (zh) | 一种防止资源盗取的方法及装置 | |
| WO2018121331A1 (zh) | 攻击请求的确定方法、装置及服务器 | |
| KR101047997B1 (ko) | 네트워크 패킷을 이용한 공유 단말 구분 시스템 및 처리 방법 | |
| US10193908B2 (en) | Data transfer for network interaction fraudulence detection | |
| CN110213199B (zh) | 一种撞库攻击监控方法、装置、系统及计算机存储介质 | |
| US20150103688A1 (en) | Packet receiving method, deep packet inspection device and system | |
| CN102769549A (zh) | 网络安全监控的方法和装置 | |
| CN106888106A (zh) | 智能电网中的it资产大规模侦测系统 | |
| CN101711470A (zh) | 一种用于在对等网络上创建共享信息列表的系统和方法 | |
| JP2012507065A (ja) | 分散環境における要求処理 | |
| CN104333567A (zh) | 采用安全即服务的web缓存 | |
| CN111641658A (zh) | 一种请求拦截方法、装置、设备及可读存储介质 | |
| US9251367B2 (en) | Device, method and program for preventing information leakage | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN110247932A (zh) | 一种实现dns服务防御的检测系统和方法 | |
| CN106789486B (zh) | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 | |
| CN110955691A (zh) | 一种基于区块链技术的图书漂流方法及系统 | |
| CN113572746A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN108476199A (zh) | 一种基于令牌机制的检测和防御cc 攻击的系统和方法 | |
| EP3382981B1 (en) | A user equipment and method for protection of user privacy in communication networks | |
| KR20130065322A (ko) | 에스엔에스 트랩 수집 시스템 및 그에 의한 유알엘 수집 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |
|
| RJ01 | Rejection of invention patent application after publication |