CN107395608B - 一种网络访问异常检测方法及装置 - Google Patents
一种网络访问异常检测方法及装置 Download PDFInfo
- Publication number
- CN107395608B CN107395608B CN201710656409.2A CN201710656409A CN107395608B CN 107395608 B CN107395608 B CN 107395608B CN 201710656409 A CN201710656409 A CN 201710656409A CN 107395608 B CN107395608 B CN 107395608B
- Authority
- CN
- China
- Prior art keywords
- address
- source
- information
- time
- monitored user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 claims abstract description 43
- 230000002159 abnormal effect Effects 0.000 claims abstract description 37
- 230000005856 abnormality Effects 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种网络访问异常检测方法及装置。所述方法包括:获取被监测用户网络访问的第一源IP地址和第一获取时间;若判断获知第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且被监测用户没有利用VPN代理,则获取第一源IP地址对应的第一位置信息和第二源IP地址对应的第二位置信息;根据第一位置信息、第二位置信息、第一获取时间和第二获取时间计算获得到达速度;若到达速度大于预设阈值则被监测用户网络访问异常。所述装置用于执行所述方法。本发明实施例通过判断第一源IP地址和第二源IP地址不同,且没有利用了VPN代理,则计算得出到达速度,根据到达速度检测网络访问是否异常,提高了检测的准确度。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种网络访问异常检测方法及装置。
背景技术
随着网络技术的不断发展和完善,计算机网络被广泛应用到人类活动的各个领域,对社会经济和人们生活的影响越来越大,互联网已逐渐成为现代设备必不可少的组成部分。然而层出不穷的黑客攻击和网络入侵事件使网络安全问题凸现出来,这给网络本身和基于网络的信息系统带来了巨大的威胁。再加之入侵手段的增多、入侵危害的加深和网络传播速度的提升,网络安全面临着更大的挑战。
现有技术中对网络访问异常检测的方法有多种,例如:通过获取用户的日志文件,从日志文件中获得源IP地址,将获取到的源IP地址与上一次获取到的日志文件中的源IP地址进行比较,如果不相同,则获取两个源IP地址各自对应的实际物理位置,判断在两个日志文件获取的时间间隔内,是否能够从第一物理位置到达第二物理位置,如果不能到达,则说明用户访问异常。但是,随着VPN代理的出现,如果国内用户通过VPN代理也可以获取并使用国外的IP地址,因此,上述异常检测的方法会存在检测不准确的问题。
因此,如何提高对网络访问异常检测的准确性,是现如今亟待解决的课题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种网络访问异常检测方法及装置。
第一方面,本发明实施例提供一种网络访问异常检测方法,包括:
获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;
若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用虚拟专用网络(简称VPN)代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;
根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;
若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
第二方面,本发明实施例提供一种网络访问异常检测装置,包括:
获取模块,用于获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;
第一判断模块,用于若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用VPN代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;
计算模块,用于根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;
第一检测模块,用于若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法步骤。
本发明实施例提供的一种网络访问异常检测方法及装置,通过若判断获知第一源IP地址与第二源IP地址不同,且被监测用户没有利用VPN代理,则根据第一源IP地址与第二源IP地址的物理距离和间隔时间计算获得到达速度,如果达到速度大于预设阈值,则说明被监测用户网络访问异常,在检测过程中防止了由于VPN代理的干扰,提高了异常检测的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络访问异常检测方法流程示意图;
图2为本发明另一实施例提供的一种网络访问异常检测方法流程示意图;
图3为本发明实施例提供的一种网络访问异常检测装置结构示意图;
图4为本发明实施例提供的电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种网络访问异常检测方法流程示意图,如图1所示,所述方法,包括:
步骤101:获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;
具体的,异常检测装置实时获取被监测用户进行网络访问的第一日志信息,因此,该第一日志信息为当前的日志信息,其中,第一日志信息中包括第一源IP地址和第一获取时间,应当说明的是,第一获取时间为异常检测装置获取到第一日志信息的时间,或第一日志信息产生的时间,第一日志信息中还可以包括用户账号、用户ID等信息,本发明实施例对此不做具体限定。
步骤102:若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用虚拟专用网络(简称VPN)代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;
具体的,当装置获取到第一日志信息后,从存放日志的数据库中获取装置在第一日志信息之前一次获取的第二日志信息,因为装置获取日志信息是一条一条获取的,同样的,第二日志信息中包括第二源IP地址和第二获取时间等信息。将第一源IP地址和第二源IP地址进行比较,如果二者相同,则说明第一日志信息是正常的,如果二者不同,且该被监测用户没有利用VPN代理,则从IP物理地址库中获取第一源IP地址对应的第一位置信息和第二源IP地址对应的第二位置信息。应当说明的是,第一位置信息和第二位置信息均可以为物理上的经纬度信息。IP物理地址库中预先存储了源IP地址与物理位置信息的对应关系。
步骤103:根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;
具体的,根据第一位置信息和第二位置信息可以计算获得第一源IP地址对应的物理位置和第二源IP地址对应的物理位置之间实际的直线距离,再根据第一获取时间和第二获取时间可以计算得出装置在获取第二日志信息和第一日志信息之间的时间间隔,最后,根据直线距离和时间间隔计算获得要在时间间隔内,从第一位置信息到达第二位置信息所需的最小的到达速度。
步骤104:若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
具体的,如果计算得到的到达速度大于预设阈值,则说明被监测用户网络访问异常,其中预设阈值是预先设定的。例如,装置在10:00接收到了第一日志信息,根据第一日志信息中的第一源IP地址可以获知对应的第一位置信息为昆明,假如,装置在9:50接收到了第二日志信息,根据第二日志信息中的第二源IP地址可以获取对应的第二位置信息为北京,且判断获知该被监测用户没有使用VPN代理,假设预设阈值为正常实际出行所能达到的最大速度900km/h,昆明到北京的直线距离大约为2900km,由此可知,在10分钟内,被监测用户是不可能从北京到达昆明的,因此,被监测用户网络访问是异常的。
本发明实施例通过若判断获知第一源IP地址与第二源IP地址不同,且被监测用户没有利用VPN代理,则根据第一源IP地址与第二源IP地址的物理距离和间隔时间计算获得到达速度,如果达到速度大于预设阈值,则说明被监测用户网络访问异常,在检测过程中防止了由于VPN代理的干扰,提高了异常检测的准确性。
在上述实施例的基础上,所述根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度,包括:
根据所述第一位置信息和所述第二位置信息计算获得物理距离;
根据所述第一获取时间和所述第二获取时间计算获得时间差;
根据所述物理距离和所述时间差计算获得到达速度。
具体的,第一位置信息和第二位置信息可以是经纬度,因此,根据第一源IP地址对应的第一位置信息和第二源IP地址对应的第二位置信息可以计算得出物理距离,其中,该物理距离为直线距离。根据装置获取第一日志信息的第一获取时间和第二日志信息的第二获取时间可以计算得出时间差,即第一获取时间减去第二获取时间得到时间差。物理距离除以时间差得到到达速度,应当说明的是达到速度是在时间差之内能够从第一位置信息到达第二位置信息所需的最小的速度。因此,达到速度=物理距离/时间差。
本发明实施例通过第一位置信息、第二位置信息、第一获取时间和第二获取时间计算获得到达速度,根据到达速度判断被监测用户的网络访问是否异常。
在上述实施例的基础上,所述第一日志信息还包括第一端口号和第一用户代理信息,所述第二日志信息包括第二用户代理信息,相应的,判断所述被监测用户没有利用VPN代理,包括:
若所述第一源IP地址和所述第一端口号构成的对应关系没有在VPN代理库中,且所述第一用户代理信息与所述第二用户代理信息不同,则所述被监测用户没有利用VPN代理。
具体的,第一日志信息中还包括了第一端口号和第一用户代理信息,第二日志信息中包括第二用户代理信息,也可以包括第二端口号等。判断被监测用户没有利用VPN代理的具体方式为:将第一源IP地址和第一端口号构成对应关系,从VPN代理库中查找是否包含有该对应关系,如果VPN代理库中包含该对应关系,则说明被监测用户利用了VPN代理;如果VPN代理库中没有包含该对应关系,则判断第一用户代理信息和第二用户代理信息是否相同,其中,第一用户代理信息和第二用户代理信息包括操作系统版本、浏览器版本和主机硬件等信息,如果第一用户代理信息和第二用户代理信息相同,则说明被监测用户使用了VPN代理,这种情况可能是由于VPN代理库中的信息不全导致的。
本发明实施例通过根据VPN代理库中是否有第一源IP地址和第一端口号构成的对应关系,以及通过第一用户代理信息与第二用户代理信息的比较判断被监测用户是否利用VPN代理,再判断被监测用户的网络访问是否异常,从而排除了VPN代理的干扰,从而提高了检测的准确性。
在上述实施例的基础上,所述方法,还包括:
若所述第一源IP地址与第二源IP地址不同,且所述被监测用户没有利用VPN代理,且所述第一源IP地址和所述第二源IP地址不都是公网IP,则判断所述第一源IP地址是否在所述被监测用户的常用IP列表中;
若判断获知所述第一源IP地址没有在所述常用IP列表中,则所述被监测用户网络访问异常。
具体的,如果装置判断获知第一源IP地址与第二源IP地址不同,并且该被监测用户也没有利用VPN代理,则需要获取第一源IP地址对应的第一位置信息和第二源IP地址的第二位置信息,但是,在获取第一位置信息和第二位置信息之前,需要判断第一源IP地址和第二源IP地址是不是公网IP,因为只有公网IP才能够获取到相应的位置信息,如果第一源IP地址和第二源IP地址都是公网IP,那么可以根据获取到的第一位置信息和第二位置信息以及第一获取时间、第二获取时间计算获得到达速度,从而判断被监测用户的网络访问是否异常。
如果第一源IP地址和第二源IP地址不都是公网IP,则不能通过上述方法来判断,此时可以通过判断第一源IP地址是否在被监测用户的常用IP列表中,其中,常用IP列表可以通过用户之前访问的IP学习得到也可以预先设定好的,如果第一源IP地址没有在常用IP列表中,则说明被监测用户网络访问异常,否则,该被监测用户网络访问正常。
本发明实施例通过判断获知第一源IP地址和第二源IP地址不全是公网IP,则通过判断第一源IP地址是否在被监测用户的常用IP列表中来确定该被监测用户网络访问是否异常,在防止VPN代理干扰的基础上,还考虑了内网IP的物理位置信息获取不到的情况,进一步提高了对网络访问检测的准确性。
在上述各实施例的基础上,所述方法,还包括:
将所述被监测用户的异常信息进行告警。
具体的,如果装置判断获知被监测用户的网络访问行为是异常的,则将异常信息进行告警,可以是以发邮件的形式发送给相关的负责人员,使得相关负责人员能够及时对告警进行处理,也可以通过其他方式,本发明实施例对此不做具体限定。
本发明实施例通过若判断获知第一源IP地址与第二源IP地址不同,且被监测用户没有利用VPN代理,则根据第一源IP地址与第二源IP地址的物理距离和间隔时间计算获得到达速度,如果达到速度大于预设阈值,则说明被监测用户网络访问异常,在检测过程中防止了由于VPN代理的干扰,提高了异常检测的准确性。
图2为本发明另一实施例提供的一种网络访问异常检测方法流程示意图,如图2所示,具体流程为:
步骤201:获取日志信息;装置实时获取被监测用户的第一日志信息,第一日志信息中包括第一源IP地址和第一获取时间;
步骤202:源IP地址是否相等;在获取到第一源IP地址后,判断第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址是否相同,如果相同,执行步骤209;否则,执行步骤203;
步骤203:是否利用VPN代理;第一日志信息中还包括第一端口号和第一用户代理信息,第二日志信息中包括第二用户代理信息;首先,从VPN代理库中查找是否存在第一源IP地址和第一端口号的对应关系,如果存在则说明被监测用户利用了VPN代理,此时,执行步骤209;如果VPN代理库中没有该对应关系,则比较第一用户代理信息和第二用户代理信息,如果二者相同,则说明被监测用户利用了VPN代理,此时,执行步骤209;如果不同,则说明被监测用户没有利用VPN代理,此时,执行步骤204;
步骤204:是否都是公网IP;判断第一源IP地址和第二源IP地址是不是全都是公网IP,如果不全都是公网IP,则执行步骤207,如果都是公网IP,则执行步骤205;
步骤205:计算到达速度;从IP物理地址库中获取第一源IP地址对应的第一位置信息和第二源IP地址对应的第二位置信息,根据第一位置信息和第二位置信息可以计算得出两点的物理距离,根据第一获取时间和第二日志信息对应的第二获取时间计算得出时间差,物理距离除以时间差得出到达速度;
步骤206:是否大于预设阈值;判断到达速度是否大于预设阈值,如果大于,执行步骤208;否则,执行步骤209;
步骤207:是否在常用IP列表中;判断第一源IP地址是否在该被监测用户的常用IP列表中,如果在,则执行步骤209;否则执行步骤208;
步骤208:异常告警;检测出被监测用户的网络访问行为为异常行为,发出告警,可以是以邮件的形式向相关负责人告警;
步骤209:正常;被监测用户的网络访问行为正常。
本发明实施例通过若判断获知第一源IP地址与第二源IP地址不同,且被监测用户没有利用VPN代理,则根据第一源IP地址与第二源IP地址的物理距离和间隔时间计算获得到达速度,如果达到速度大于预设阈值,则说明被监测用户网络访问异常,在检测过程中防止了由于VPN代理的干扰,提高了异常检测的准确性。
图3为本发明实施例提供的一种网络访问异常检测装置结构示意图,如图3所示,所述装置,包括:获取模块301、第一判断模块302、计算模块303和第一检测模块304,其中:
获取模块301用于获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;第一判断模块302用于若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用VPN代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;计算模块303用于根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;第一检测模块304用于若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
具体的,获取模块301实时获取被监测用户进行网络访问的第一日志信息,因此,该第一日志信息为当前的日志信息,其中,第一日志信息中包括第一源IP地址和第一获取时间,应当说明的是,第一获取时间为异常检测装置获取到第一日志信息的时间。当获取模块301获取到第一日志信息后,第一判断模块302从存放日志的数据库中获取在第一日志信息之前一次获取的第二日志信息,因为获取模块301获取日志信息是一条一条获取的,同样的,第二日志信息中包括第二源IP地址和第二获取时间等信息。将第一源IP地址和第二源IP地址进行比较,如果二者相同,则说明第一日志信息是正常的,如果二者不同,且该被监测用户没有利用VPN代理,则从IP物理地址库中获取第一源IP地址对应的第一位置信息和第二源IP地址对应的第二位置信息。应当说明的是,第一位置信息和第二位置信息均可以为物理上的经纬度信息。IP物理地址库中预先存储了源IP地址与物理位置信息的对应关系。计算模块303根据第一位置信息和第二位置信息可以计算获得第一源IP地址对应的物理位置和第二源IP地址对应的物理位置之间实际的直线距离,再根据第一获取时间和第二获取时间可以计算得出装置在获取第二日志信息和第一日志信息之间的时间间隔,最后,根据直线距离和时间间隔计算获得要在时间间隔内,从第一位置信息到达第二位置信息所需的最小的到达速度。如果第一检测模块304计算得到的到达速度大于预设阈值,则说明被监测用户网络访问异常,其中预设阈值是预先设定的。
本发明提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
本发明实施例通过若判断获知第一源IP地址与第二源IP地址不同,且被监测用户没有利用VPN代理,则根据第一源IP地址与第二源IP地址的物理距离和间隔时间计算获得到达速度,如果达到速度大于预设阈值,则说明被监测用户网络访问异常,在检测过程中防止了由于VPN代理的干扰,提高了异常检测的准确性。
在上述实施例的基础上,所述判断模块,具体用于:
根据所述第一位置信息和所述第二位置信息计算获得物理距离;
根据所述第一获取时间和所述第二获取时间计算获得时间差;
根据所述物理距离和所述时间差计算获得到达速度。
具体的,第一位置信息和第二位置信息可以是经纬度,因此,判断模块根据第一源IP地址对应的第一位置信息和第二源IP地址对应的第二位置信息可以计算得出物理距离,其中,该物理距离为直线距离。根据装置获取第一日志信息的第一获取时间和第二日志信息的第二获取时间可以计算得出时间差,即第一获取时间减去第二获取时间得到时间差。物理距离除以时间差得到到达速度,应当说明的是达到速度是在时间差之内能够从第一位置信息到达第二位置信息所需的最小的速度。因此,达到速度=物理距离/时间差。
本发明实施例通过第一位置信息、第二位置信息、第一获取时间和第二获取时间计算获得到达速度,根据到达速度判断被监测用户的网络访问是否异常。
在上述实施例的基础上,所述第一日志信息还包括第一端口号和第一用户代理信息,所述第二日志信息包括第二用户代理信息,相应的,所述判断模块,具体用于:
若所述第一源IP地址和所述第一端口号构成的对应关系没有在VPN代理库中,且所述第一用户代理信息与所述第二用户代理信息不同,则所述被监测用户没有利用VPN代理。
具体的,第一日志信息中还包括了第一端口号和第一用户代理信息,第二日志信息中包括第二用户代理信息,也可以包括第二端口号等。判断被监测用户没有利用VPN代理的具体方式为:判断模块将第一源IP地址和第一端口号构成对应关系,从VPN代理库中查找是否包含有该对应关系,如果VPN代理库中包含该对应关系,则说明被监测用户利用了VPN代理;如果VPN代理库中没有包含该对应关系,则判断第一用户代理信息和第二用户代理信息是否相同,其中,第一用户代理信息和第二用户代理信息包括操作系统版本、浏览器版本和主机硬件等信息,如果第一用户代理信息和第二用户代理信息相同,则说明被监测用户使用了VPN代理,这种情况可能是由于VPN代理库中的信息不全导致的。
本发明实施例通过根据VPN代理库中是否有第一源IP地址和第一端口号构成的对应关系,以及通过第一用户代理信息与第二用户代理信息的比较判断被监测用户是否利用VPN代理,再判断被监测用户的网络访问是否异常,从而排除了VPN代理的干扰,从而提高了检测的准确性。
在上述实施例的基础上,所述装置,还包括:
第二判断模块,用于若所述第一源IP地址与第二源IP地址不同,且所述被监测用户没有利用VPN代理,且所述第二源IP地址和所述第一源IP地址不都是公网IP,则判断所述第一源IP地址是否在所述被监测用户的常用IP列表中;
第二检测模块,用于若判断获知所述第一源IP地址没有在所述常用IP列表中,则所述被监测用户网络访问异常。
具体的,如果装置判断获知第一源IP地址与第二源IP地址不同,并且该被监测用户也没有利用VPN代理,且第一源IP地址和第一源IP地址不都是公网IP,则判断所述第一源IP地址是否在所述被监测用户的常用IP列表中;如果第一源IP地址没有在常用IP列表中,则说明被监测用户网络访问异常,否则,该被监测用户网络访问正常。
本发明实施例通过判断获知第一源IP地址和第二源IP地址不全是公网IP,则通过判断第一源IP地址是否在被监测用户的常用IP列表中来确定该被监测用户网络访问是否异常,在防止VPN代理干扰的基础上,还考虑了内网IP的物理位置信息获取不到的情况,进一步提高了对网络访问检测的准确性。
在上述各实施例的基础上,所述装置,还包括:
告警模块,用于将所述被监测用户的异常信息进行告警。
具体的,如果告警模块判断获知被监测用户的网络访问行为是异常的,则将异常信息进行告警,可以是以发邮件的形式发送给相关的负责人员,使得相关负责人员能够及时对告警进行处理,也可以通过其他方式,本发明实施例对此不做具体限定。
本发明提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
本发明实施例通过若判断获知第一源IP地址与第二源IP地址不同,且被监测用户没有利用VPN代理,则根据第一源IP地址与第二源IP地址的物理距离和间隔时间计算获得到达速度,如果达到速度大于预设阈值,则说明被监测用户网络访问异常,在检测过程中防止了由于VPN代理的干扰,提高了异常检测的准确性。
图4为本发明实施例提供的电子设备实体结构示意图,如图4所示,所述电子设备,包括:处理器(processor)401、存储器(memory)402和总线403;其中,
所述处理器401和存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用VPN代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用VPN代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用VPN代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种网络访问异常检测方法,其特征在于,包括:
获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;所述第一获取时间为获取到所述第一日志信息的时间,或所述第一日志信息产生的时间;
若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用虚拟专用网络(简称VPN)代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;
根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;所述第二获取时间为获取到所述第二日志信息的时间,或所述第二日志信息产生的时间;
若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度,包括:
根据所述第一位置信息和所述第二位置信息计算获得物理距离;
根据所述第一获取时间和所述第二获取时间计算获得时间差;
根据所述物理距离和所述时间差计算获得到达速度。
3.根据权利要求1所述的方法,其特征在于,所述第一日志信息还包括第一端口号和第一用户代理信息,所述第二日志信息包括第二用户代理信息,相应的,判断所述被监测用户没有利用VPN代理,包括:
若所述第一源IP地址和所述第一端口号构成的对应关系没有在VPN代理库中,且所述第一用户代理信息与所述第二用户代理信息不同,则所述被监测用户没有利用VPN代理。
4.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
若所述第一源IP地址与第二源IP地址不同,且所述被监测用户没有利用VPN代理,且所述第一源IP地址和所述第二源IP地址不都是公网IP,则判断所述第一源IP地址是否在所述被监测用户的常用IP列表中;
若判断获知所述第一源IP地址没有在所述常用IP列表中,则所述被监测用户网络访问异常。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法,还包括:
将所述被监测用户的异常信息进行告警。
6.一种网络访问异常检测装置,其特征在于,包括:
获取模块,用于获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;所述第一获取时间为获取到所述第一日志信息的时间,或所述第一日志信息产生的时间;
第一判断模块,用于若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用VPN代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;
计算模块,用于根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;所述第二获取时间为获取到所述第二日志信息的时间,或所述第二日志信息产生的时间;
第一检测模块,用于若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
7.根据权利要求6所述的装置,其特征在于,所述判断模块,具体用于:
根据所述第一位置信息和所述第二位置信息计算获得物理距离;
根据所述第一获取时间和所述第二获取时间计算获得时间差;
根据所述物理距离和所述时间差计算获得到达速度。
8.根据权利要求6所述的装置,其特征在于,所述第一日志信息还包括第一端口号和第一用户代理信息,所述第二日志信息包括第二用户代理信息,相应的,所述判断模块,具体用于:
若所述第一源IP地址和所述第一端口号构成的对应关系没有在VPN代理库中,且所述第一用户代理信息与所述第二用户代理信息不同,则所述被监测用户没有利用VPN代理。
9.根据权利要求6所述的装置,其特征在于,所述装置,还包括:
第二判断模块,用于若所述第一源IP地址与第二源IP地址不同,且所述被监测用户没有利用VPN代理,且所述第一源IP地址和所述第二源IP地址不都是公网IP,则判断所述第一源IP地址是否在所述被监测用户的常用IP列表中;
第二检测模块,用于若判断获知所述第一源IP地址没有在所述常用IP列表中,则所述被监测用户网络访问异常。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述装置,还包括:
告警模块,用于将所述被监测用户的异常信息进行告警。
11.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-5任一项所述的方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710656409.2A CN107395608B (zh) | 2017-08-03 | 2017-08-03 | 一种网络访问异常检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710656409.2A CN107395608B (zh) | 2017-08-03 | 2017-08-03 | 一种网络访问异常检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107395608A CN107395608A (zh) | 2017-11-24 |
| CN107395608B true CN107395608B (zh) | 2020-09-11 |
Family
ID=60344803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710656409.2A Active CN107395608B (zh) | 2017-08-03 | 2017-08-03 | 一种网络访问异常检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107395608B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109409902A (zh) * | 2018-09-04 | 2019-03-01 | 平安普惠企业管理有限公司 | 风险用户识别方法、装置、计算机设备及存储介质 |
| CN111722894B (zh) * | 2019-03-21 | 2023-04-18 | 成都鼎桥通信技术有限公司 | 应用处理方法、装置及电子设备 |
| CN110417634A (zh) * | 2019-06-20 | 2019-11-05 | 平安普惠企业管理有限公司 | 基于信息安全的防刷票作弊方法及相关设备 |
| CN110300123A (zh) * | 2019-07-26 | 2019-10-01 | 秒针信息技术有限公司 | 异常流量识别方法、装置、电子设备及存储介质 |
| CN111199417A (zh) * | 2019-11-29 | 2020-05-26 | 北京深演智能科技股份有限公司 | 虚假设备id的识别方法及装置 |
| CN115563609B (zh) * | 2022-10-10 | 2023-11-14 | 深圳掌酷软件有限公司 | 用户类型的判定方法、装置、设备及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001826B (zh) * | 2012-11-29 | 2015-09-30 | 北京奇虎科技有限公司 | 用于监测用户登录的设备和方法 |
| US9271135B2 (en) * | 2013-03-15 | 2016-02-23 | T-Mobile Usa, Inc. | Local network alert system for mobile devices using an IMS session and Wi-Fi access point |
| CN103475637B (zh) * | 2013-04-24 | 2018-03-27 | 携程计算机技术(上海)有限公司 | 基于ip访问行为的网络访问控制方法及系统 |
| CN106572057A (zh) * | 2015-10-10 | 2017-04-19 | 百度在线网络技术(北京)有限公司 | 检测用户登录异常信息的方法和装置 |
| CN106506451B (zh) * | 2016-09-30 | 2019-08-27 | 百度在线网络技术(北京)有限公司 | 恶意访问的处理方法及装置 |
-
2017
- 2017-08-03 CN CN201710656409.2A patent/CN107395608B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107395608A (zh) | 2017-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107395608B (zh) | 一种网络访问异常检测方法及装置 | |
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| CN110677380B (zh) | 用于网络威胁指示符提取和响应的方法和相关设备 | |
| CN108696473B (zh) | 攻击路径还原方法及装置 | |
| US9462009B1 (en) | Detecting risky domains | |
| CN107154950B (zh) | 一种日志流异常检测的方法及系统 | |
| TWI595375B (zh) | 使用適應性行爲輪廓之異常檢測技術 | |
| EP3506141A1 (en) | System for query injection detection using abstract syntax trees | |
| CN106657057B (zh) | 反爬虫系统及方法 | |
| US20180234445A1 (en) | Characterizing Behavior Anomaly Analysis Performance Based On Threat Intelligence | |
| US9195842B2 (en) | Information processing method, apparatus, and system | |
| CN106790041B (zh) | 一种网际协议ip信誉库生成方法及装置 | |
| CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| CN110889597A (zh) | 业务时序指标异常检测方法及装置 | |
| CN115426154A (zh) | 一种挖矿行为监测方法、装置、设备及存储介质 | |
| CN106506449B (zh) | 一种未知异常的检测方法、装置及检测设备 | |
| CN111756745A (zh) | 告警方法、告警装置及终端设备 | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| CN114866296A (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
| CN114157480A (zh) | 网络攻击方案的确定方法、装置、设备和存储介质 | |
| CN114461864A (zh) | 一种告警溯源方法和装置 | |
| CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| CN110830518B (zh) | 溯源分析方法、装置、电子设备及存储介质 | |
| US11677582B2 (en) | Detecting anomalies on a controller area network bus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190402 Address after: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Applicant after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Applicant after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: QAX Technology Group Inc. Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: QAX Technology Group Inc. Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CP01 | Change in the name or title of a patent holder |