CN107317790B - 网络行为的监控方法及装置 - Google Patents
网络行为的监控方法及装置 Download PDFInfo
- Publication number
- CN107317790B CN107317790B CN201610270893.0A CN201610270893A CN107317790B CN 107317790 B CN107317790 B CN 107317790B CN 201610270893 A CN201610270893 A CN 201610270893A CN 107317790 B CN107317790 B CN 107317790B
- Authority
- CN
- China
- Prior art keywords
- account
- specified
- behavior
- network
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络行为的监控方法及装置。其中,该方法包括:获取账户使用预设类型资源所执行的历史行为;判断所述历史行为是否属于指定类型的网络行为;在所述历史行为属于所述指定类型的网络行为时,将所述账户作为指定账户,并对该指定账户的当前网络行为进行监控。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种网络行为的监控方法及装置。
背景技术
在当前风险防控过程中,一般会从业务流量接口的点来进行防范,主要是基于风险IP、账号、服务接口等进行监控的异常,在命中检测规则时一般会进行风险控制,不让其恶意的行为实现,当出现较大规模的事件时还需要事后排查与分析,会耗费大量资源,效率较低。并且,业务入口流量接口的实时规则检测,只能基于当前已发现知识体系,对于黑产新的行为和方法,一般发现都比较晚,在较大的影响事件发现之后,才进行改进并防范,因此,对黑产活动中产生的新的网络行为的防范存在一定的延迟。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种网络行为的监控方法及装置,以至少解决现有的黑产措施存在效率低和对黑产活动的行为防范存在延迟的技术问题。
根据本申请实施例的一个方面,提供了一种网络行为的监控方法,包括:获取账户使用预设类型资源所执行的历史行为;判断所述历史行为是否属于指定类型的网络行为;在所述历史行为属于所述指定类型的网络行为时,将所述账户作为指定账户,并对该指定账户的当前网络行为进行监控。
根据本申请实施例的另一方面,还提供了一种网络行为的监控装置,包括:获取模块,用于获取账户使用预设类型资源所执行的历史行为;判断模块,用于判断所述历史行为是否属于指定类型的网络行为;监控模块,用于在所述判断模块输出的判断结果指示所述历史行为属于所述指定类型的网络行为时,将所述账户作为指定账户,并对该指定账户的当前网络行为进行监控。
在本申请实施例中,采用将使用预设类型资源所执行的历史行为信息属于指定类型的网络行为的账户作为指定账户,并对该指定账户的当前网络行为进行监控的方式,从而实现了以账户为单位,监控与该账户关联的一系列网络行为,进而解决了现有的黑产措施存在效率低和对黑产活动的行为防范存在延迟的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本申请实施例的一种网络行为的监控方法的计算机终端的硬件结构框图;
图2是本申请实施例的一种网络行为的监控方法的示意图;
图3为根据本申请实施例的一种可选的可疑账户的确定原理示意图;
图4为根据本申请实施例的一种可选的对可疑账户的监控原理示意图;
图5是本申请实施例的一种可选的网络行为的监控方法的流程示意图;
图6是本申请实施例的一种网络行为的监控装置的结构框图;
图7是根据本申请实施例的一种可选的计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为更好地理解本申请实施例,以下将本申请实施例中所涉及的术语解释如下:
黑产:又称为黑色产业,是一种非法网络活动,是利用病毒木马获取利益的行业,例如利用流氓软件进行Ddos攻击或者通过被入侵的电脑获取利益等。
云计算(cloud computing)资源:云计算资源是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源,有时可以成为云服务器(包括但不限于物理服务器和/或虚拟服务器)。云计算资源提供的服务又称为云计算服务,是指将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。用户通过网络以按需、易扩展的方式获得所需资源和服务。
网络行为,是指网络活动中涉及的行为,包括登录行为,访问网站、收发邮件、上传和下载、即时通信、聊天、论坛、网络游戏、流媒体视频和Telnet等。
历史行为:是指曾经执行过的行为,在本申请实施例中是指账户使用预设类型资源(例如云计算资源)执行过的网络行为。
登录日志:是指与登录有关的网络行为记录,包括但不限于:登录账户、登录时间、登出时间、账户登录成功或失败记录、所登录的云计算资源(或云服务器)的IP地址、用户登录后的请求对象等等。
网络流量请求:对网络流量进行请求的行为,其中,网络流量(Network traffic)是指网络上传输的数据量。
历史进程:是指曾经执行过的进程(process),进程是指计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。
云服务器请求的目标对象:即云服务器所请求的对象,包括但不限于:网络交易活动中的交易对象,例如商品名称等。
网络资源(Network resource):利用计算机系统通过通信设备传播和网络软件管理的信息资源。
实施例1
根据本申请实施例,还提供了一种网络行为的监控方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例1所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本申请实施例的一种网络行为的监控方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的网络行为的监控方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2所示的网络行为的监控方法。图2是本申请实施例的一种网络行为的监控方法的示意图。如图2所示,该方法包括步骤S202-S206,具体如下:
步骤S202,获取账户使用预设类型资源所执行的历史行为;需要说明的是,此处的账户可以为用于标识上述账户的标识,也可以为真实的账户。可选地,上述历史行为可以包括但不限于以下至少之一:登录日志、网络流量请求、上述预设类型资源所在云服务器上的历史进程、上述云服务器对目标对象的请求。其中,上述预设类型资源可以为服务器资源、网络资源或者云计算资源,但不限于此。
步骤S202中的上述历史行为可以从与指定IP地址关联的多个数据源中获取上述历史行为,其中,上述指定IP地址为与上述账户关联的IP地址。
需要说明的是,在预设类型资源为云计算资源时,步骤S202中“账户使用预设类型资源”可以理解为该指定账户所请求的云计算资源,可以为虚拟资源,也可以为实际的硬件实体(例如云服务器等)。并且,由于云计算资源一般是付费服务,因此此处的云计算资源可以表现为在指定账户付款后才能使用的云计算资源,即购买到的云计算资源。
在一个可选实施例中,上述指定类型的网络行为包括但不限于:与非法网络活动关联的网络行为,例如,与黑产活动关联的网络行为(例如,分布式拒绝服务DDoS攻击)等。需要说明的是,此处的“与非法网络活动关联的网络行为”的含义可以理解为与非法网络活动有联系的网络行为、或者,在进行非法网络活动中可能会执行的网络行为,或者,在进行非法网络活动中与所执行的网络行为存在联系的网络行为,但不限于此。
步骤S204,判断所述历史行为是否属于指定类型的网络行为。
由于步骤S202中的上述历史行为可以从与指定IP地址关联的多个数据源中获取上述历史行为,因此,可以依据上述IP地址确定上述指定账户,具体地,在所述历史行为属于所述指定类型的网络行为时,将与所述指定IP地址关联的账户作为所述指定账户。
可选地,对于上述指定类型的网络行为的确定方式可以有多种,例如,可以依据该账户的关联信息,判断该关联信息是否满足预设条件。在本申请的一个可选实施例中,可以通过以下之一方式判断:
1)从与指定IP地址关联的多个数据源中获取上述历史行为,其中,上述指定IP地址为与上述账户关联的IP地址,并判断上述历史行为是否属于指定类型的网络行为。
此时,可以依据以下处理过程确定上述指定账户:获取与指定IP地址相关联的账户,并将与上述指定IP地址相关联的账户作为上述指定账户,其中,上述指定IP地址为与上述云服务器的多个数据源相关联的IP地址,上述多个数据源中的每个数据源存储有上述云服务器的历史行为信息;其中,对于上述数据源表现为执行不同功能所获取的数据源,或者执行同一功能所获取的不同的数据信息。
可选地,如图3所示,对于该种方式可以通过账户的登录日志(包括但不限于账户的登录成功或失败记录)和网络流量等历史行为信息查找与该历史行为信息对应的IP地址,将查找到的IP地址进行聚类分析,得到与同一账户关联的IP地址,从而得到可疑账户(即指定账户),当然也可以对账户所请求云服务器的历史进程文件进行分析,并判断历史进程文件的文件名和MD5信息是否与黑产工具(即黑色产业链上的软件工具,例如流氓软件等)产生了关联,如果,产生了关联,则将上述账户作为可疑账户(即指定账户)。
其中,对于上述登录日志,可以包括但不限于账户登录成功或失败记录,并在记录登录成功或失败时记录业务账户此时的IP地址。
2)判断使用所述预设类型资源所执行的历史行为中是否包括请求指定对象的行为,其中,在所述历史行为中包括所述请求指定对象的行为时,确定所述历史行为属于指定类型的网络行为,此时可以从上述云服务器的历史行为中获取请求过指定对象的账户,将上述请求过指定对象的账户作为上述指定账户。可选地,如图3所示,该步骤中的指定对象可以通过以下方式获取,但不限于此:从云服务器的交易记录中获取交易的对象名(即商品名称),如果该对象名所对应的对象为黑产中所涉及的商品,例如小号、网络代理,则确定对象名所对应的对象为上述指定对象。其中,小号是一种比较不常用的、级别很低的号码(或账户),该名词通常应用于QQ聊天、网络游戏中,相当于论坛中的“马甲”。与之相反,常用的账号称为“大号”。
步骤S206,在上述历史行为属于上述指定类型的网络行为时,将上述账户作为指定账户,并对该指定账户的当前网络行为进行监控。
可选地,步骤S204中的当前网络行为可以表现为指定账户使用预设类型资源的行为,即步骤S204可以表现为以下处理过程,但不限于此:对上述指定账户当前使用预设类型资源所执行的网络行为进行监控。
其中,在对指定账户当前使用预设类型资源所执行的网络行为进行监控时,可以通过对上述指定账户当前使用预设类型资源所涉及的工具软件、关联账户和业务服务接口进行监控实现。如图4所示,可以通过对可疑账户对云服务器的购买记录进行监控实现对可疑账户的监控,具体地,包括以下处理过程:对于可疑账号,监控其频繁购买记录,发现其购买大批量按时付的云服务器时,对这些服务器行为进行记录,主要包括请求过的网站连接、运行过的工具软件,以及登录到业务系统所用到的账号,从而实现以机器的行为视角发现黑产事件以及其所用到的资源。其中,“当前使用预设类型资源所涉及的工具软件、关联账户和业务服务接口”中的“涉及”可以表现为在利用预设类型资源执行网络行为时所使用的工具软件、关联账户和业务服务接口等,例如云服务器所使用的工具软件、关联账户和业务服务接口。
为便于理解可疑账户的获取过程以及对可疑账户的监控过程,以下结合图5所示实施例详细说明。
步骤S502,获取可疑的IP地址集合和账号集合。
获取登录日志、网络流量请求、订单交易都来自于云服务器的IP地址。
获取对于黑产链上下游黑产资源如网络代理、各平台的小号等相关商品,有过购买记录的账号。
步骤S504,对上述IP地址集合中的IP地址和账户进行分析,得到可疑IP和账号。
将这些IP地址关联到购买的账号,得到可疑账号。
并且根据分析其购买的机器上进程文件名和文件MD5等与其它检测引擎和黑产分析的知识库进行规则检查,能够发现命中规则的黑产活动。
对账号和购买的云服务器进行关联分析,得到可疑账号,其中,“关联分析”可以表现为关联其购买云服务器以及其它资源的行为,如有批量购买短时间使用并释放的行为、购买过恶意域名等。
步骤S506,监控可疑账号其购买云服务器的行为,得到当前新购买的云服务器。
步骤S508,从批量新购买的云服务器的行为中得到工具、小号、服务接口等信息。
通过新购云服务器上的进程文件得到其使用的工具软件;
关联新购云服务器的IP与登录事件、交易事件中的IP,得到其使用的交易小号;
在网络流量中,能够得到所请求过的业务服务接口。
步骤S510,关联账号行为得到账号之间的关系。
根据上述的工具软件、小号、业务服务接口等属性,通过检测引擎扩展出来邮箱名、文件路径、域名、文件名、域名、文件编译时间等扩展属性,再从发生的时间、发生的频率、直接属性的一致性、扩展属性的相似性等多重维度,进行分类,能够得到多个账号的关联关系。
由于上述指定账户为满足一定条件(所述指定账户所请求云服务器的历史行为信息属于指定类型的网络行为)的账户,因此,可以通过对该指定账户的当前网络行为进行监控来实现对该指定账户关联的一系列网络行为进行监控,从而监视风险防范的复杂度,提高监控效率,并且,由于将监控重点由业务流量接口转移至了账户,因此,可以对该账户下的当前网络行为进行实时监控,避免了对新的非法网络行为的监控的延迟。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述网络行为的监控方法的装置,如图6所示,该装置包括获取模块60、判断模块62和监控模块64,其中:
获取模块60,用于获取账户使用预设类型资源所执行的历史行为;可选地,上述历史行为可以包括但不限于以下至少之一:登录日志、网络流量请求、上述预设类型资源所在云服务器上的历史进程、上述云服务器对目标对象的请求。
可选地,获取模块60,用于从与指定IP地址关联的多个数据源中获取所述历史行为,其中,所述指定IP地址为与所述账户关联的IP地址。
判断模块62,连接至获取模块60,用于判断上述历史行为是否属于指定类型的网络行为。此时可以按照以下之一方式确定上述指定账户:获取与指定IP地址相关联的账户,将与上述指定IP地址相关联的账户作为上述指定账户,其中,上述指定IP地址为与上述云服务器的多个数据源相关联的IP地址,上述多个数据源中的每个数据源存储有上述云服务器的历史行为信息;从上述云服务器的历史行为信息中获取请求过指定对象的账户,将上述请求过指定对象的账户作为上述指定账户。
可选地,判断模块62,还用于判断使用预设类型资源所执行的历史行为中是否包括请求指定对象的行为,其中,在上述历史行为中包括上述请求指定对象的行为时,确定上述历史行为属于指定类型的网络行为。
在一个可选实施例中,上述指定类型的网络行为包括但不限于:与非法网络活动关联的网络行为,例如,与黑产活动关联的网络行为(例如,分布式拒绝服务DDoS攻击)等。需要说明的是,此处的“与非法网络活动关联的网络行为”的含义可以理解为与非法网络活动有联系的网络行为、或者,在进行非法网络活动中可能会执行的网络行为,或者,在进行非法网络活动中所执行的网络行为存在联系的网络行为,但不限于此。
监控模块64,连接至判断模块62,用于在判断模块62输出的判断结果指示上述历史行为属于上述指定类型的网络行为时,将上述账户作为指定账户,并对该指定账户的当前网络行为进行监控。
可选地,监控模块64,还用于在上述历史行为属于上述指定类型的网络行为时,将与上述指定IP地址关联的账户作为上述指定账户。
可选地,监控模块64,还用于对上述指定账户当前使用预设类型资源所执行的网络行为进行监控。
需要说明的是,本实施例中所涉及的模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:获取模块60、判断模块62和监控模块64位于同一处理器中;或者,获取模块60、判断模块62和监控模块64分别位于第一处理器、第二处理器和第三处理器中;或者,获取模块60、判断模块62和监控模块64以任意组合的方式位于不同的处理器中。
需要说明的是,本实施例中的优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
实施例3
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行网络行为的监控方法中以下步骤的程序代码:获取账户使用预设类型资源所执行的历史行为;判断上述历史行为是否属于指定类型的网络行为;在上述历史行为属于上述指定类型的网络行为时,将上述账户作为指定账户,并对该指定账户的当前网络行为进行监控。
可选地,图7是根据本发明实施例的一种计算机终端的结构框图。如图7所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器71、存储器73、以及与网站服务器连接的传输装置75。
其中,存储器73可用于存储软件程序以及模块,如本发明实施例中的网络行为的监控方法和装置对应的程序指令/模块,处理器71通过运行存储在存储器73内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网络行为的监控方法。存储器73可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器73可进一步包括相对于处理器71远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置75用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置75包括一个网络适配器(NetworkInterface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置75为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器73用于存储预设动作条件和预设权限用户的信息、以及应用程序。
处理器71可以通过传输装置调用存储器73存储的信息及应用程序,以执行下述步骤:获取账户使用预设类型资源所执行的历史行为;判断所述历史行为是否属于指定类型的网络行为;在所述历史行为属于所述指定类型的网络行为时,将所述账户作为指定账户,并对该指定账户的当前网络行为进行监控。
可选的,上述处理器71还可以执行如下步骤的程序代码:从与指定IP地址关联的多个数据源中获取所述历史行为,其中,所述指定IP地址为与所述账户关联的IP地址;在所述历史行为属于所述指定类型的网络行为时,将与所述指定IP地址关联的账户作为所述指定账户。
可选的,上述处理器71还可以执行如下步骤的程序代码:判断使用所述预设类型资源所执行的历史行为中是否包括请求指定对象的行为,其中,在所述历史行为中包括所述请求指定对象的行为时,确定所述历史行为属于指定类型的网络行为。
可选的,上述处理器71还可以执行如下步骤的程序代码:对所述指定账户当前使用预设类型资源所执行的网络行为进行监控。
可选的,上述处理器71还可以执行如下步骤的程序代码:对所述指定账户当前使用预设类型资源所涉及的工具软件、关联账户和业务服务接口进行监控。
由于上述指定账户为满足一定条件(所述指定账户所请求云服务器的历史行为信息属于指定类型的网络行为)的账户,因此,可以通过对该指定账户的当前网络行为进行监控来实现对该指定账户关联的一系列网络行为进行监控,从而监视风险防范的复杂度,提高监控效率,并且,由于将监控重点由业务流量接口转移至了账户,因此,可以对该账户下的当前网络行为进行实时监控,避免了对新的非法网络行为的监控的延迟。
本领域普通技术人员可以理解,图7所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图7其并不对上述电子装置的结构造成限定。例如,计算机终端A还可包括比图7中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图7所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例1所提供的网络行为的监控方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取账户使用预设类型资源所执行的历史行为;判断所述历史行为是否属于指定类型的网络行为;在所述历史行为属于所述指定类型的网络行为时,将所述账户作为指定账户,并对该指定账户的当前网络行为进行监控。
此处需要说明的是,上述计算机终端群中的任意一个可以与网站服务器和扫描器建立通信关系,扫描器可以扫描计算机终端上php执行的web应用程序的值命令。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种网络行为的监控方法,其特征在于,包括:
获取账户使用预设类型资源的历史行为;
判断所述历史行为是否属于指定类型的网络行为;
在所述历史行为属于所述指定类型的网络行为时,将所述账户作为指定账户,并对该指定账户的当前网络行为进行监控;
其中,获取账户使用预设类型资源所执行的历史行为,包括:从与指定IP地址关联的多个数据源中获取所述历史行为,其中,所述指定IP地址为与所述账户关联的IP地址;
在所述历史行为属于所述指定类型的网络行为时,将所述账户作为指定账户包括:在所述历史行为属于所述指定类型的网络行为时,将与所述指定IP地址关联的账户作为所述指定账户。
2.根据权利要求1所述的方法,其特征在于,判断所述历史行为是否属于指定类型的网络行为,包括:
判断使用所述预设类型资源所执行的历史行为中是否包括请求指定对象的行为,其中,在所述历史行为中包括所述请求指定对象的行为时,确定所述历史行为属于指定类型的网络行为。
3.根据权利要求1所述的方法,其特征在于,对所述指定账户的当前网络行为进行监控,包括:
对所述指定账户当前使用预设类型资源所执行的网络行为进行监控。
4.根据权利要求3所述的方法,其特征在于,对所述指定账户当前使用预设类型资源所执行的网络行为进行监控,包括:
对所述指定账户当前使用预设类型资源所涉及的工具软件、关联账户和业务服务接口进行监控。
5.根据权利要求1至4中任一项所述的方法,其特征在于,
所述历史行为包括以下至少之一:登录日志、网络流量请求、所述预设类型资源所在云服务器的历史进程、所述云服务器对目标对象的请求;和/或
所述预设类型资源包括:云计算资源。
6.一种网络行为的监控装置,其特征在于,包括:
获取模块,用于获取账户使用预设类型资源所执行的历史行为,其中,从与指定IP地址关联的多个数据源中获取所述历史行为,其中,所述指定IP地址为与所述账户关联的IP地址;
判断模块,用于判断所述历史行为是否属于指定类型的网络行为;
监控模块,用于在所述判断模块输出的判断结果指示所述历史行为属于所述指定类型的网络行为时,将所述账户作为指定账户,并对该指定账户的当前网络行为进行监控,其中,在所述历史行为属于所述指定类型的网络行为时,将与所述指定IP地址关联的账户作为所述指定账户。
7.根据权利要求6所述的装置,其特征在于,所述判断模块,还用于判断使用所述预设类型资源所执行的历史行为中是否包括请求指定对象的行为,其中,在所述历史行为中包括所述请求指定对象的行为时,确定所述历史行为属于指定类型的网络行为。
8.根据权利要求6所述的装置,其特征在于,所述监控模块,用于对所述指定账户当前使用预设类型资源所执行的网络行为进行监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610270893.0A CN107317790B (zh) | 2016-04-27 | 2016-04-27 | 网络行为的监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610270893.0A CN107317790B (zh) | 2016-04-27 | 2016-04-27 | 网络行为的监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107317790A CN107317790A (zh) | 2017-11-03 |
| CN107317790B true CN107317790B (zh) | 2020-12-01 |
Family
ID=60184571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610270893.0A Active CN107317790B (zh) | 2016-04-27 | 2016-04-27 | 网络行为的监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107317790B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113129048A (zh) * | 2019-12-31 | 2021-07-16 | 阿里巴巴集团控股有限公司 | 资源供给方法、装置、电子设备及计算机可读存储介质 |
| CN113591464B (zh) * | 2021-07-28 | 2022-06-10 | 百度在线网络技术(北京)有限公司 | 变体文本检测方法、模型训练方法、装置及电子设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104951447A (zh) * | 2014-03-25 | 2015-09-30 | 上海市玻森数据科技有限公司 | 全网舆情监控系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101794481A (zh) * | 2009-02-04 | 2010-08-04 | 深圳市先进智能技术研究所 | Atm自助银行监控系统和方法 |
| CN101540773B (zh) * | 2009-04-22 | 2012-05-23 | 成都市华为赛门铁克科技有限公司 | 一种垃圾邮件检测方法及其装置 |
| US8769621B2 (en) * | 2011-01-18 | 2014-07-01 | At&T Intellectual Property I, L.P. | Method and system for providing permission-based access to sensitive information |
| EP2730058B1 (en) * | 2011-07-08 | 2015-04-08 | Telefonaktiebolaget LM Ericsson (PUBL) | Network traffic monitoring apparatus for monitoring network traffic on a network path and a method of monitoring network traffic on a network path |
| CN102254120B (zh) * | 2011-08-09 | 2014-05-21 | 华为数字技术(成都)有限公司 | 恶意代码的检测方法、系统及相关装置 |
| US9288219B2 (en) * | 2013-08-02 | 2016-03-15 | Globalfoundries Inc. | Data protection in a networked computing environment |
| CN104426844B (zh) * | 2013-08-21 | 2019-02-05 | 深圳市腾讯计算机系统有限公司 | 一种安全认证方法、服务器以及安全认证系统 |
| CN106534042A (zh) * | 2015-09-09 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 基于数据分析的服务器入侵识别方法、装置和云安全系统 |
-
2016
- 2016-04-27 CN CN201610270893.0A patent/CN107317790B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104951447A (zh) * | 2014-03-25 | 2015-09-30 | 上海市玻森数据科技有限公司 | 全网舆情监控系统 |
Non-Patent Citations (1)
| Title |
|---|
| 《网络安全监测与监控系统总体设计》;孙修善;《信息技术》;20031130;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107317790A (zh) | 2017-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323472B2 (en) | Identifying automated responses to security threats based on obtained communication interactions | |
| US20220014556A1 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
| US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain | |
| US8782796B2 (en) | Data exfiltration attack simulation technology | |
| US11451583B2 (en) | System and method to detect and block bot traffic | |
| CN107645478B (zh) | 网络攻击防御系统、方法及装置 | |
| AU2016336006A1 (en) | Systems and methods for security and risk assessment and testing of applications | |
| US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| US20200184847A1 (en) | A system and method for on-premise cyber training | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| CN109922073A (zh) | 网络安全监控装置、方法和系统 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN112532605B (zh) | 一种网络攻击溯源方法及系统、存储介质、电子设备 | |
| US11374946B2 (en) | Inline malware detection | |
| US11636208B2 (en) | Generating models for performing inline malware detection | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
| US10560473B2 (en) | Method of network monitoring and device | |
| CN107317790B (zh) | 网络行为的监控方法及装置 | |
| US20230306114A1 (en) | Method and system for automatically generating malware signature | |
| CN117527412A (zh) | 数据安全监测方法及装置 | |
| CN104219219B (zh) | 一种数据处理的方法、服务器及系统 | |
| CN110460593B (zh) | 一种移动流量网关的网络地址识别方法、装置及介质 | |
| Solanas et al. | Detecting fraudulent activity in a cloud using privacy-friendly data aggregates |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |