CN107370719A - 异常登录识别方法、装置及系统 - Google Patents
异常登录识别方法、装置及系统 Download PDFInfo
- Publication number
- CN107370719A CN107370719A CN201610319872.3A CN201610319872A CN107370719A CN 107370719 A CN107370719 A CN 107370719A CN 201610319872 A CN201610319872 A CN 201610319872A CN 107370719 A CN107370719 A CN 107370719A
- Authority
- CN
- China
- Prior art keywords
- login
- page
- user
- source code
- input frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种异常登录识别方法、装置及系统,其中的方法包括:获取指定用户相关的网络层数据;从所述网络层数据中提取出页面源代码;基于页面源代码进行异常登录判定。本发明可覆盖所有业务系统;且由于部署在网络层,不需要切入业务系统,不涉及业务系统的改造,实施成本较低。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种动异常登录识别方法、装置及系统。
背景技术
目前,随着云计算的迅猛发展,公有云提供了众多基础服务器,比如:弹性计算、虚拟网络、键值(Key-Value,KV)数据存储服务、关系型数据库服务等,另外公有云还提供了通用的安全服务器,比如防御DDos(Distributed Denial of Service,分布式拒绝服务)攻击、CC(ChallengeCollapsar)攻击的安全产品。越来越多企业综合考虑后,将原本部署在企业内网的应用迁移到公有云。然而,公有云的网络是开放的,任何接入互联网的用户都能访问。公有云的业务系统面临很多黑客的攻击。黑客通过扫描器发现后台后,若再用密码暴力破解,进而进入内部系统,将内部系统中的数据导出,将给企业造成敏感信息泄漏,进而产生严重的安全影响。
对于后台系统的防护,目前采取的方法主要有两种:1、客户教育,迁移过程中提示客户增强后台管理员密码强度,使用双因素认证等;2、服务商对于特定应用系统进行检测,例如,对于常见的CMS(ContentManagement System,内容管理系统)上的后台应用,比如DedeCMS、WordPress上的后台应用,服务商针对CMS特点,识别后台管理页面的请求特征,从流量中识别后台系统及异常访问。
上述第一种方法,通过对客户进行安全意识培训来提高安全性,然而人的管理往往困难,具有不确定性。上述第二种方法,能够解决特定应用系统(如CMS)的后台检测,但是这种方法是针对特定网站的特定特征进行的识别,因此适用的场景有限,对于客户自主开发的系统,无法有效检测。
发明内容
本发明解决的技术问题之一是提供一种异常登录识别方法、装置及系统。
根据本发明一方面的一个实施例,提供了一种异常登录识别方法,包括:获取指定用户相关的网络层数据;从所述网络层数据中提取出页面源代码;基于所述页面源代码进行异常登录判定。
可选的,所述方法应用于云计算环境下web管理系统;其中,所述获取指定用户相关的网络层数据包括:在web管理系统的核心交换机中部署镜像设备;通过所述镜像设备,将核心交换机中的网络层数据进行复制,得到用户与各个网站服务器之间的网络层数据。
可选的,从所述网络层数据中提取出页面源代码,包括:从镜像的网络层数据中提取Http响应返回页面,从Http响应返回页面中提取出页面源代码。
可选的,在提取出页面源代码之后,还包括:对所述页面源代码进行密码特征匹配,确定登录页面并记录登录页面参数;对于登录页面,获取用户在所述登录页面的提交请求消息,从所述登录提交请求消息中提取出登录关键信息。
可选的,所述对所述页面源代码进行密码特征匹配,确定登录页面,包括:采用正则表达式,判断页面源代码中是否包含密码类型的输入框;若包含密码类型的输入框,则确定页面是登录页面。
可选的,所述登录页面参数包括:登录页面的域名、访问地址、用户名输入框名称、密码输入框名称;所述登录关键信息包括:KV格式数据、时间、域名、访问地址、用户名、跳转地址。
可选的,所述进行异常登录判定,包括:根据登录页面参数中的用户名输入框名称和密码输入框名称,遍历KV格式数据列表,若列表中包含用户名输入框名称和密码输入框名称,则记录为一次登录;根据登录关键信息中的时间、域名、访问地址、用户名和跳转地址进行多维度分组统计,统计单位时间内同一来源IP请求次数、同一来源IP但不同用户登录次数,和/或,同一用户相同跳转地址访问次数;基于统计结果,根据预先设定的登录异常阈值模版,判定是否为异常登录。
可选的,对于判定为异常登录行为,所述方法还包括:发出告警信息,和/或,阻断来源IP或用户的访问请求。
根据本发明另一方面的一个实施例,提供了一种异常登录识别装置,所述装置包括:网络层数据获取单元,用于获取指定用户相关的网络层数据;源代码提取单元,用于从所述网络层数据中提取出页面源代码;异常判定单元,用于基于页面源代码进行异常登录判定。
可选的,所述装置应用于云计算环境下web管理系统;其中,所述网络层数据获取单元具体用于,通过在web管理系统的核心交换机中部署的镜像设备,从而将核心交换机中的网络层数据进行复制,得到用户与各个网站服务器之间的网络层数据。
可选的,源代码提取单元具体用于,从镜像的网络层数据中提取Http响应返回页面,从Http响应返回页面中提取出页面源代码。
可选的,所述异常判定单元包括:密码特征匹配子单元,对所述页面源代码进行密码特征匹配,确定登录页面并记录登录页面参数;登录关键信息提取子单元,用于对于登录页面,获取用户在所述登录页面的提交请求消息,从所述登录提交请求消息中提取出登录关键信息;异常登录识别子单元,用于根据登录页面参数和登录关键信息进行异常登录识别。
可选的,所述密码特征匹配子单元具体用于,采用正则表达式,判断页面源代码中是否包含密码类型的输入框;若包含密码类型的输入框,则确定页面是登录页面。
可选的,所述登录页面参数包括:登录页面的域名、访问地址、用户名输入框名称、密码输入框名称;所述登录关键信息包括:KV格式数据、时间、域名、访问地址、用户名、跳转地址。
可选的,所述异常登录识别子单元具体用于,根据登录页面参数中的用户名输入框名称和密码输入框名称,遍历KV格式数据列表,若列表中包含用户名输入框名称和密码输入框名称,则记录为一次登录;根据登录关键信息中的时间、域名、访问地址、用户名和跳转地址进行多维度分组统计,统计单位时间内同一来源IP请求次数、同一来源IP但不同用户登录次数,和/或,同一用户相同跳转地址访问次数;以及,基于统计结果,根据预先设定的登录异常阈值模版,判定是否为异常登录。
可选的,还包括:异常登录处理单元,用于针对异常登录行为,发出告警信息,和/或,阻断来源IP或用户的访问请求。
根据本发明另一方面的一个实施例,提供了一种云计算环境下web管理系统,包括多个网站服务器、核心交换机、后台检测设备和数据存储分析设备,所述后台检测设备包括如上述任一项所述的异常登录识别装置。
可见,本发明从网络流量层入手,通过提取页面源代码实现异常登录识别。由于本发明方案部署在网络层,不需要切入业务系统,不涉及业务系统的改造,实施成本较低。可选的,通过提取登录行为的核心特征,进而识别后台登录页面并记录登录页面参数;然后对用户在登录页面的提交请求进行监测,解析提交请求消息得到登录关键信息,通过登录页面参数和登录关键信息过滤登录请求,结合大数据挖掘算法,识别异常登录。本发明实施例不需要人的参与,并且是一种通用检测方法,不需要提取特定应用的特征,而是覆盖所有业务系统。
本领域普通技术人员将了解,虽然下面的详细说明将参考图示实施例、附图进行,但本发明并不仅限于这些实施例。而是,本发明的范围是广泛的,且意在仅通过后附的权利要求限定本发明的范围。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1是根据本发明实施例的异常登录识别方法的流程图;
图2是根据本发明实施例的云计算环境下web管理系统示意图;
图3是根据本发明实施例的登录页面示意图;
图4是根据本发明实施例的登录页面识别流程图;
图5是根据本发明实施例的异常登录识别流程图;
图6为根据本发明实施例的异常登录装置结构示意图。
本领域普通技术人员将了解,虽然下面的详细说明将参考图示实施例、附图进行,但本发明并不仅限于这些实施例。而是,本发明的范围是广泛的,且意在仅通过后附的权利要求限定本发明的范围。
具体实施方式
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
所述计算机设备包括用户设备与网络设备。其中,所述用户设备包括但不限于电脑、智能手机、PDA等;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述计算机设备可单独运行来实现本发明,也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本发明。其中,所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
需要说明的是,所述用户设备、网络设备和网络等仅为举例,其他现有的或今后可能出现的计算机设备或网络如可适用于本发明,也应包含在本发明保护范围以内,并以引用方式包含于此。
后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。
这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本发明的示例性实施例的目的。但是本发明可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。
应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
应当理解的是,当一个单元被称为“连接”或“耦合”到另一单元时,其可以直接连接或耦合到所述另一单元,或者可以存在中间单元。与此相对,当一个单元被称为“直接连接”或“直接耦合”到另一单元时,则不存在中间单元。应当按照类似的方式来解释被用于描述单元之间的关系的其他词语(例如“处于...之间”相比于“直接处于...之间”,“与...邻近”相比于“与...直接邻近”等等)。
这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。
还应当提到的是,在一些替换实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。
首先对本发明实施例中的专业术语说明如下。
云计算(cloud computing),是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务)等。
web管理系统,可直接在web上更新网站内容的系统。
web应用程序(或称:web应用),是一种可以通过web访问的应用程序。一个web应用程序是由完成特定任务的各种web组件(webcomponents)构成的并通过web将服务展示给外界。在实际应用中,web应用程序是由多个Servlet、JSP页面、HTML文件以及图像文件等组成。所有这些组件相互协调为用户提供一组完整的服务。
镜像(Mirroring)是冗余的一种类型,一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像。镜像是一种文件存储形式,可以把许多文件做成一个镜像文件,常见的镜像文件格式有ISO、BIN、IMG、TAO、DAO、CIF、FCD。
页面源代码,构建当前页面的代码。
正则表达式(Regular Expression),使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。
URL(Uniform Resource Locator,统一资源定位符),是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示,是互联网上标准资源的地址;互联网上的每个文件都有一个唯一的URL,它包含的信息指出文件的位置以及浏览器应该怎么处理它。
键值(Key-Value,KV),是windows中注册表中的概念。键值位于注册表结构链末端,和文件系统的文件类似,包含当前计算机及应用程序执行时使用的实际配置信息和数据。键值包含几种数据类型,以适应不同环境的使用需求。注册表中,是通过键和子键来管理各种信息。同时,在注册表里面的所有信息是以各种形式的键值项数据保存下来。在注册表编辑器的右窗口中,保存的都是各种键值项数据。键值项由键值名、数据类型和键值三部分组成,其格式为:“键值名:数据类型:键值”。
下面结合附图对本发明的技术方案作进一步详细描述。
基于公有云环境部署的web管理系统中,业务场景多种多样,开发语言、交互流程各不相同,但共同面临日益严重的帐号安全问题,比如:弱密码暴力扫描,社工库刷库。一旦业务系统的后台管理员帐号被破解,将引起敏感数据泄漏、非授权功能操作等问题。
对此,本发明提供一种通用的异常登录识别方法,能够识别出大多数后台应用的登录页面,并对登录过程中的密码验证过程进行监控,识别出异常的帐号登录行为,对于非正常登录进行告警阻断等处理。
图1是根据本发明实施例的异常登录识别方法的流程图。本实施例的方法主要包括如下步骤:
S101:获取指定用户相关的网络层数据;
S102:从网络层数据中提取出页面源代码;
S103:基于页面源代码进行异常登录判定。
具体的,基于页面源代码进行异常登录判定包括两层含义,首先,通过页面源代码进行登录页面识别;其次,对登录页面上所提交的消息进行拦截,识别出异常登录行为。
可选的,本发明实施例用于对云环境下web管理系统的异常登录进行识别。在具体应用中,本发明实施例从网络层流量入手,提取登录行为的核心特征,进而识别当前页面是否为登录页面;其次,对于登录页面,进行提交请求消息拦截和解析,得到登录关键信息,并基于登录关键信息进行异常登录判定。
下面以云计算环境web管理系统为例对本发明实施例进行示例性说明。
参见图2,为云计算环境下web管理系统示意图。
“云”具有相当超大规模的特点,一个云计算环境下的web管理系统往往连接数百万网站服务器。
如图2中,示出了用户201、核心交换机202、网站A服务器2031、网站B服务器2032、网站C服务器2033…、后台检测设备204、数据存储分析设备205。
通常在核心交换机202上部署镜像设备。镜像(Mirroring)是冗余的一种类型,一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像。通过镜像,可将用户与网站之间的网络流量,复制一份到后台检测设备204上。
这种部署镜像设备的方式通常用于网络监控和网络安全防御,本发明实施例利用该镜像网络层数据进行异常登录识别。具体的,由于镜像网络层数据包含整个机房所有IN和OUT的数据,比如用户与网站之间的交互数据:Http Request和Http Response数据。流量镜像中的协议解析和网络组包,由于是镜像设备通用功能,不深入说明。后台检测模块204提取用户提交给服务器的Http流量数据,从而进行登录页面识别和异常登录识别。
参见图3,为登录页面示意图。用户在浏览器上输入业务系统登录地址,后台返回登录页面html源代码,浏览器显示登录界面。如图3所示的,登录页面必定有密码输入框,一般为了安全考虑,输入过程中浏览器对于密码输入框中输入的密码以“*”显示。用户登录系统或web应用一般包括四个步骤:1、访问登录页面;2、返回登录页面;3、用户输入用户名和密码;4、返回登录结果。
本发明实施例分为两个阶段,第一是进行登录页面识别,第二是对登录页面的异常登录行为进行识别。对于云计算环境的web管理系统,由于其部署了众多网站,因此需要满足通用性的要求,即,不能依赖特定网站的特定特征进行识别,而是采取一种通用的方式对所有网站(应用)进行识别。为了实现通用的登录页面识别,在研究过程中发现,不论何种网站或何种应用的登录页面,其页面的源代码中的密码输入框的类型都是固定的,即,密码输入框的源代码“<input type=’password’>”,因此,本发明实施例基于该源代码密码特征进行匹配,具有这个密码特征的html页面,判定当前页面是否为登录页面。在识别出登录页面之后,获取用户向后台提交的POST_DATA数据,解析POST_DATA数据得到登录关键信息,对登录关键信息进行统计、异常识别。
下面分别对登录页面识别和异常登录识别这两个阶段进行详细说明。
第一阶段:登录页面识别,主要是从镜像网络流量中识别所有登录页面,并提取相关参数,例如Host、URL、用户名输入框名称、密码输入框名称。
参见图4,为登录页面识别流程图,包括以下步骤:
S401:获取网络层数据。
如前描述的,通过镜像设备将核心交换机中的网络层数据镜像到后台检测模块中,因此可以通过获取镜像网络层数据的方式得到网络层数据。
S402:解析网络层数据,进行源代码密码特征匹配。
具体的,可以从镜像网络层数据中提取HOST、URL,Response_Centent等信息,其中,Response_Content是Http响应返回页面,包含显示给用户的页面HTML源代码。
关于如何查看、获取页面源代码,在实际操作中有很多种方式。例如,对于如何查看源代码,首先打开需要查看的网页,单击鼠标右键,找到查看源代码选项,然后就可以查看源代码。对于如何获取网页源代码,可通过排版助手等APP获取网页的源代码。例如:首先下载并安装好排版助手;然后打开“排版助手”,在导航栏上面“文件”下拉菜单下找到“打开网页”按钮,然后点击进去;最后在弹出的小框框中,选择“读取完整HTML”并在上面的方框中输入需要获取的网页地址,然后点击确定,就可获得该网页的全部源代码。
在得到页面源代码之后,使用正则表达式进行密码特征匹配,正则表达式(Regular Expression),是使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。例如采用如下的正则表达式:type[]*=[]*["']?password["']?,对HTML源代码进行检测,若匹配,则说明该页面包含密码输入框。
S403:提取登录页面信息并存入数据库。
具体的,可以利用HTML解析库,提取所有的form表单输入框:name和type,若type值为“password”,表示为密码输入框;其它字段作为用户信息输入框。当页面中包含两个或两个以上的密码输入框,则该页面视为密码修改页面。当页面中只有一个密码输入框时,视为登录页面。对于登录页面,记录页面相关信息到数据库中,例如,记录:域名(HOST)、访问地址(URL)、用户名输入框名称(User_Input_Name)、密码输入框名称(Password_Input_Name)等信息。host是客户端指定自己要访问的http服务器的域名/IP地址和端口号。URL(Uniform Resource Locator,统一资源定位符),是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示,是互联网上标准资源的地址;互联网上的每个文件都有一个唯一的URL,它包含的信息指出文件的位置以及浏览器应该怎么处理它。User_Input_Name是指用户名输入框名称;Password_Input_Name是指密码输入框名称。
第二阶段:检测各个网络节点,过滤所有网络流入数据,根据第一阶段的结果,匹配登录页面提交请求消息(Post_Data),提取Post_Data中的用户名和密码值,提交到数据分析系统,进行异常识别。
参见图5,为异常登录识别流程图。
S501:获取提交请求消息。
从网络流量镜像数据中,提取:Time(时间)、Src_IP(来源IP)、HOST(域名)、URL(访问地址)、Post_Data(提交请求消息),这里只提取请求类型是POST的IN方向数据。
S502:解析提交请求消息得到登录关键信息。
基于已经识别出的登录页面的参数记录:HOST、URL、Referer和User_Input_Name和Password_Input_Name参数记录,首先根据HOST进行匹配,若符合,则比对请求的URL和Referer是否是登录页面,若满足,则继续解析Post_Data数据,解析出登录关键信息:用户提交的参数名和参数值,KV格式如:
name1 value1
name2 value2
name3 value3
……
S503:根据登录页面参数和登录关键信息进行登录行为统计。
根据登录页面对应的User_Input_Name和Password_Input_Name,遍历上一步解析出的KV格式数据列表,若列表中包含Password_Input_Name,则视为一次登录请求。提取时间(Time)、域名(Host)、访问地址(URL)、用户名(User_Value)、跳转地址(Jump_location),进行多维度分组统计,计算单位时间内:
同一来源IP,请求次数:SRC_CNT;
同一来源IP,不同用户登录次数:SRC_USR_CNT;
同一用户,相同跳转地址访问次数:User_Location_CNT。
本实施例中,登录页面参数是指登录页面识别第一阶段解析并记录的页面域名(HOST)、访问地址(URL)、用户名输入框名称(User_Input_Name)、密码输入框名称(Password_Input_Name)等信息;登录关键信息是指在异常登录第二阶段,提交请求消息时从网络层数据或提交请求消息中得到的时间(Time)、域名(Host)、访问地址(URL)、用户名(User_Value)、跳转地址(Jump_location)、KV格式数据等信息。
S504:基于上一步的统计结果,根据业务系统类型配置的不同登录异常阈值模版,进行比较判定,若超过阈值,则视为异常。
例如,针对某个web应用,设定一天内同一来源IP登录次数阈值为5次,若超过5次则视为异常登录;还如,设定一天内同一来源IP的不同用户登录次数阈值为20次,若超过20次则视为异常登录;再如,设定一天内同一用户相同跳转地址访问次数阈值为3次,若超过3次则视为异常登录。具体的,可以单独使用一种判定方式,也可以结合使用多种判定方式。例如,如果超过任意一种设定阈值,则认为是异常登录,或者,只有在超过所有设定阈值时,才认为是异常登录。对此可灵活设置,不做具体限制。
S505:针对异常登录行为进行处理。
例如,可以给网站管理员发告警信息,或者通知网络设备,阻断来源IP的访问请求,等等。
可见,本发明从网络流量层入手,提取登录行为的核心特征,进而识别后台登录页面并记录登录页面参数;然后对用户在登录页面的提交请求进行监测,解析提交请求消息得到登录关键信息,通过登录页面参数和登录关键信息过滤登录请求,结合大数据挖掘算法,识别异常登录。本方法不需要人的参与,并且是一种通用检测方法,不需要提取特定应用的特征,而是覆盖所有业务系统;另外由于部署在网络层,不需要切入业务系统,不涉及业务系统的改造,实施成本较低。
本发明实施例提供一种与上述方法相对应的一种异常登录识别装置,用于对云计算环境下web管理系统的异常登录进行识别。参见图6,该装置包括:
网络层数据获取单元601,用于获取指定用户相关的网络层数据;
源代码提取单元602,用于从所述网络层数据中提取出页面源代码;
异常判定单元603,用于基于页面源代码进行异常登录判定。
可选的,所述装置应用于云计算环境下web管理系统;其中,所述网络层数据获取单元601具体用于,通过在web管理系统的核心交换机中部署的镜像设备,从而将核心交换机中的网络层数据进行复制,得到用户与各个网站服务器之间的网络层数据。
可选的,源代码提取单元602具体用于,从镜像的网络层数据中提取Http响应返回页面,从Http响应返回页面中提取出页面源代码。
可选的,该异常判定单元603进一步包括:
密码特征匹配单元6031,用于对所述页面源代码进行密码特征匹配,确定登录页面并记录登录页面参数;
登录关键信息提取单元6032,用于对于登录页面,获取用户在所述登录页面的提交请求消息,从所述登录提交请求消息中提取出登录关键信息;
异常登录识别子单元6033,用于根据登录页面参数和登录关键信息进行异常登录识别。
可选的,所述密码特征匹配子单元6031具体用于,采用正则表达式,判断页面源代码中是否包含密码类型的输入框;若包含密码类型的输入框,则确定页面是登录页面。
可选的,所述登录页面参数包括:登录页面的域名、访问地址、用户名输入框名称、密码输入框名称;所述登录关键信息包括:KV格式数据、时间、域名、访问地址、用户名、跳转地址。
可选的,所述异常登录识别子单元6033具体用于,根据登录页面参数中的用户名输入框名称和密码输入框名称,遍历KV格式数据列表,若列表中包含用户名输入框名称和密码输入框名称,则记录为一次登录;根据登录关键信息中的时间、域名、访问地址、用户名和跳转地址进行多维度分组统计,统计单位时间内同一来源IP请求次数、同一来源IP但不同用户登录次数,和/或,同一用户相同跳转地址访问次数;以及,基于统计结果,根据预先设定的登录异常阈值模版,判定是否为异常登录。
可选的,该装置还包括:
异常登录处理单元604,用于针对异常登录行为,发出告警信息,和/或,阻断来源IP或用户的访问请求。
另外,本发明还提供一种云计算环境下web管理系统,该系统结构示意图可参考图2所示。该系统包括多个网站服务器、核心交换机、后台检测设备和数据存储分析设备,特别的,后台检测设备包括如前述介绍的图6所示的异常登录识别装置。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (17)
1.一种异常登录识别方法,其特征在于,所述方法包括:
获取指定用户相关的网络层数据;
从所述网络层数据中提取出页面源代码;
基于所述页面源代码进行异常登录判定。
2.如权利要求1所述的方法,其特征在于,所述方法应用于云计算环境下web管理系统;其中,所述获取指定用户相关的网络层数据包括:
在web管理系统的核心交换机中部署镜像设备;
通过所述镜像设备,将核心交换机中的网络层数据进行复制,得到用户与各个网站服务器之间的网络层数据。
3.如权利要求2所述的方法,其特征在于,从所述网络层数据中提取出页面源代码,包括:
从镜像的网络层数据中提取Http响应返回页面,从Http响应返回页面中提取出页面源代码。
4.如权利要求1所述的方法,其特征在于,在提取出页面源代码之后,还包括:
对所述页面源代码进行密码特征匹配,确定登录页面并记录登录页面参数;
对于登录页面,获取用户在所述登录页面的提交请求消息,从所述登录提交请求消息中提取出登录关键信息。
5.如权利要求4所述的方法,其特征在于,所述对所述页面源代码进行密码特征匹配,确定登录页面,包括:
采用正则表达式,判断页面源代码中是否包含密码类型的输入框;
若包含密码类型的输入框,则确定页面是登录页面。
6.如权利要求4所述的方法,其特征在于,所述登录页面参数包括:登录页面的域名、访问地址、用户名输入框名称、密码输入框名称;所述登录关键信息包括:KV格式数据、时间、域名、访问地址、用户名、跳转地址。
7.如权利要求6所述的方法,其特征在于,所述进行异常登录判定,包括:
根据登录页面参数中的用户名输入框名称和密码输入框名称,遍历KV格式数据列表,若列表中包含用户名输入框名称和密码输入框名称,则记录为一次登录;
根据登录关键信息中的时间、域名、访问地址、用户名和跳转地址进行多维度分组统计,统计单位时间内同一来源IP请求次数、同一来源IP但不同用户登录次数,和/或,同一用户相同跳转地址访问次数;
基于统计结果,根据预先设定的登录异常阈值模版,判定是否为异常登录。
8.如权利要求1-7任一项所述的方法,其特征在于,对于判定为异常登录行为,所述方法还包括:
发出告警信息,和/或,阻断来源IP或用户的访问请求。
9.一种异常登录识别装置,其特征在于,所述装置包括:
网络层数据获取单元,用于获取指定用户相关的网络层数据;
源代码提取单元,用于从所述网络层数据中提取出页面源代码;
异常判定单元,用于基于页面源代码进行异常登录判定。
10.如权利要求9所述的装置,其特征在于,所述装置应用于云计算环境下web管理系统;其中,所述网络层数据获取单元具体用于,通过在web管理系统的核心交换机中部署的镜像设备,从而将核心交换机中的网络层数据进行复制,得到用户与各个网站服务器之间的网络层数据。
11.如权利要求10所述的装置,其特征在于,源代码提取单元具体用于,从镜像的网络层数据中提取Http响应返回页面,从Http响应返回页面中提取出页面源代码。
12.如权利要求9所述的装置,其特征在于,所述异常判定单元包括:
密码特征匹配子单元,对所述页面源代码进行密码特征匹配,确定登录页面并记录登录页面参数;
登录关键信息提取子单元,用于对于登录页面,获取用户在所述登录页面的提交请求消息,从所述登录提交请求消息中提取出登录关键信息;
异常登录识别子单元,用于根据登录页面参数和登录关键信息进行异常登录识别。
13.如权利要求12所述的装置,其特征在于,所述密码特征匹配子单元具体用于,采用正则表达式,判断页面源代码中是否包含密码类型的输入框;若包含密码类型的输入框,则确定页面是登录页面。
14.如权利要求12所述的装置,其特征在于,所述登录页面参数包括:登录页面的域名、访问地址、用户名输入框名称、密码输入框名称;所述登录关键信息包括:KV格式数据、时间、域名、访问地址、用户名、跳转地址。
15.如权利要求14所述的装置,其特征在于,所述异常登录识别子单元具体用于,根据登录页面参数中的用户名输入框名称和密码输入框名称,遍历KV格式数据列表,若列表中包含用户名输入框名称和密码输入框名称,则记录为一次登录;根据登录关键信息中的时间、域名、访问地址、用户名和跳转地址进行多维度分组统计,统计单位时间内同一来源IP请求次数、同一来源IP但不同用户登录次数,和/或,同一用户相同跳转地址访问次数;以及,基于统计结果,根据预先设定的登录异常阈值模版,判定是否为异常登录。
16.如权利要求9-15任一项所述的装置,其特征在于,还包括:
异常登录处理单元,用于针对异常登录行为,发出告警信息,和/或,阻断来源IP或用户的访问请求。
17.一种云计算环境下web管理系统,包括多个网站服务器、核心交换机、后台检测设备和数据存储分析设备,其特征在于,所述后台检测设备包括如权利要求9-15任一项所述的异常登录识别装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610319872.3A CN107370719B (zh) | 2016-05-13 | 2016-05-13 | 异常登录识别方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610319872.3A CN107370719B (zh) | 2016-05-13 | 2016-05-13 | 异常登录识别方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107370719A true CN107370719A (zh) | 2017-11-21 |
| CN107370719B CN107370719B (zh) | 2021-02-05 |
Family
ID=60304679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610319872.3A Active CN107370719B (zh) | 2016-05-13 | 2016-05-13 | 异常登录识别方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107370719B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110083575A (zh) * | 2019-04-11 | 2019-08-02 | 中国移动通信集团内蒙古有限公司 | 履职监控方法、装置、设备及计算机可读存储介质 |
| CN110401660A (zh) * | 2019-07-26 | 2019-11-01 | 秒针信息技术有限公司 | 虚假流量的识别方法、装置、处理设备及存储介质 |
| CN110650110A (zh) * | 2018-06-26 | 2020-01-03 | 深信服科技股份有限公司 | 一种登录页面识别方法及相关设备 |
| CN112165445A (zh) * | 2020-08-13 | 2021-01-01 | 杭州数梦工场科技有限公司 | 用于检测网络攻击的方法、装置、存储介质及计算机设备 |
| CN113472796A (zh) * | 2021-07-06 | 2021-10-01 | 山东电力工程咨询院有限公司 | 一种数据中心门户管理方法及系统 |
| CN113542227A (zh) * | 2021-06-18 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 账号安全防护方法、装置、电子装置和存储介质 |
| CN114205111A (zh) * | 2021-11-02 | 2022-03-18 | 恒安嘉新(北京)科技股份公司 | 涉诈网站自动处理的方法、装置、设备及介质 |
| CN115001826A (zh) * | 2022-06-02 | 2022-09-02 | 清华大学 | 一种入网控制方法、装置、网络设备和存储介质 |
| CN115664857A (zh) * | 2022-12-26 | 2023-01-31 | 安徽国审信息科技有限公司 | 一种网络信息安全的保护方法、系统、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227451A (zh) * | 2007-01-19 | 2008-07-23 | 阿里巴巴公司 | 通过Web表单获得用户交互数据的方法及系统 |
| CN102065147A (zh) * | 2011-01-07 | 2011-05-18 | 深圳市易聆科信息技术有限公司 | 一种基于企业应用系统获取用户登录信息的方法及装置 |
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN103679018A (zh) * | 2012-09-06 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 一种检测csrf漏洞的方法和装置 |
| CN104050257A (zh) * | 2014-06-13 | 2014-09-17 | 百度国际科技(深圳)有限公司 | 钓鱼网页的检测方法和装置 |
| CN104915455A (zh) * | 2015-07-02 | 2015-09-16 | 焦点科技股份有限公司 | 一种基于用户行为的网站异常访问识别方法及系统 |
-
2016
- 2016-05-13 CN CN201610319872.3A patent/CN107370719B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227451A (zh) * | 2007-01-19 | 2008-07-23 | 阿里巴巴公司 | 通过Web表单获得用户交互数据的方法及系统 |
| CN102065147A (zh) * | 2011-01-07 | 2011-05-18 | 深圳市易聆科信息技术有限公司 | 一种基于企业应用系统获取用户登录信息的方法及装置 |
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN103679018A (zh) * | 2012-09-06 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 一种检测csrf漏洞的方法和装置 |
| CN104050257A (zh) * | 2014-06-13 | 2014-09-17 | 百度国际科技(深圳)有限公司 | 钓鱼网页的检测方法和装置 |
| CN104915455A (zh) * | 2015-07-02 | 2015-09-16 | 焦点科技股份有限公司 | 一种基于用户行为的网站异常访问识别方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110650110A (zh) * | 2018-06-26 | 2020-01-03 | 深信服科技股份有限公司 | 一种登录页面识别方法及相关设备 |
| CN110083575A (zh) * | 2019-04-11 | 2019-08-02 | 中国移动通信集团内蒙古有限公司 | 履职监控方法、装置、设备及计算机可读存储介质 |
| CN110401660A (zh) * | 2019-07-26 | 2019-11-01 | 秒针信息技术有限公司 | 虚假流量的识别方法、装置、处理设备及存储介质 |
| CN112165445A (zh) * | 2020-08-13 | 2021-01-01 | 杭州数梦工场科技有限公司 | 用于检测网络攻击的方法、装置、存储介质及计算机设备 |
| CN112165445B (zh) * | 2020-08-13 | 2023-04-07 | 杭州数梦工场科技有限公司 | 用于检测网络攻击的方法、装置、存储介质及计算机设备 |
| CN113542227A (zh) * | 2021-06-18 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 账号安全防护方法、装置、电子装置和存储介质 |
| CN113472796A (zh) * | 2021-07-06 | 2021-10-01 | 山东电力工程咨询院有限公司 | 一种数据中心门户管理方法及系统 |
| CN114205111A (zh) * | 2021-11-02 | 2022-03-18 | 恒安嘉新(北京)科技股份公司 | 涉诈网站自动处理的方法、装置、设备及介质 |
| CN115001826A (zh) * | 2022-06-02 | 2022-09-02 | 清华大学 | 一种入网控制方法、装置、网络设备和存储介质 |
| CN115664857A (zh) * | 2022-12-26 | 2023-01-31 | 安徽国审信息科技有限公司 | 一种网络信息安全的保护方法、系统、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107370719B (zh) | 2021-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107370719A (zh) | 异常登录识别方法、装置及系统 | |
| Bujlow et al. | A survey on web tracking: Mechanisms, implications, and defenses | |
| US8577829B2 (en) | Extracting information from unstructured data and mapping the information to a structured schema using the naïve bayesian probability model | |
| CN103888490B (zh) | 一种全自动的web客户端人机识别的方法 | |
| Li et al. | Block: a black-box approach for detection of state violation attacks towards web applications | |
| JP2012527691A (ja) | アプリケーションレベルセキュリティのためのシステムおよび方法 | |
| US20120047581A1 (en) | Event-driven auto-restoration of websites | |
| CN103634317A (zh) | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 | |
| Bujlow et al. | Web tracking: Mechanisms, implications, and defenses | |
| Salama et al. | Web Server Logs Preprocessing for Web Intrusion Detection. | |
| Singh et al. | An approach to understand the end user behavior through log analysis | |
| CN102065147A (zh) | 一种基于企业应用系统获取用户登录信息的方法及装置 | |
| Vigna et al. | Reducing errors in the anomaly-based detection of web-based attacks through the combined analysis of web requests and SQL queries | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| Kaur et al. | Browser fingerprinting as user tracking technology | |
| CN107528812A (zh) | 一种攻击检测方法及装置 | |
| CN116324766A (zh) | 通过浏览简档优化抓取请求 | |
| Ben Jaballah et al. | A grey-box approach for detecting malicious user interactions in web applications | |
| Alidoosti et al. | Evaluating the web‐application resiliency to business‐layer DoS attacks | |
| Coppolino et al. | A framework for mastering heterogeneity in multi-layer security information and event correlation | |
| Tappenden et al. | Cookies: A deployment study and the testing implications | |
| CN108259416A (zh) | 检测恶意网页的方法及相关设备 | |
| Zafar et al. | Security quality model: an extension of Dromey’s model | |
| CN116074280A (zh) | 应用入侵防御系统识别方法、装置、设备和存储介质 | |
| CN113312519A (zh) | 一种基于时间图算法的企业网数据异常检测方法、系统计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |