CN108270746A - 用户访问请求处理方法及装置 - Google Patents

用户访问请求处理方法及装置 Download PDF

Info

Publication number
CN108270746A
CN108270746A CN201611267490.7A CN201611267490A CN108270746A CN 108270746 A CN108270746 A CN 108270746A CN 201611267490 A CN201611267490 A CN 201611267490A CN 108270746 A CN108270746 A CN 108270746A
Authority
CN
China
Prior art keywords
user
risk assessment
assessment value
value
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611267490.7A
Other languages
English (en)
Other versions
CN108270746B (zh
Inventor
李秀清
王森
李荣果
张冀春
龙学义
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Hebei Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Hebei Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Hebei Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201611267490.7A priority Critical patent/CN108270746B/zh
Publication of CN108270746A publication Critical patent/CN108270746A/zh
Application granted granted Critical
Publication of CN108270746B publication Critical patent/CN108270746B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了用户访问请求处理方法及装置,该方法包括:接收用户访问请求,其中,所述访问请求用于访问预定内容;判断用户对所述预定内容的访问是否超出了所述用户的权限;在超出所述用户权限的情况下,根据所述用户的信息获取风险评估值,其中,所述用户的信息包括以下至少之一:所述用户的注册时间、所述用户的权限、所述用户的历史试错,所述历史试错为所述用户访问内容失败的信息;根据所述风险评估值确定是否对所述用户的访问进行限制。通过本发明实施例进而解决了检测黑客越权攻击的问题,能够更加的及时、准确、全面的检测。

Description

用户访问请求处理方法及装置
技术领域
本发明涉及计算机网络安全技术领域,具体而言,涉及用于处理用户访问请求的用户访问请求处理方法及装置。
背景技术
基于浏览器/服务器模式的互联网系统已经被广泛运用到生活和工作的各个领域,成为IT系统的一种主要架构形式。然而,来自浏览器的用户数据经常被恶意篡改,致使系统遭受越权访问。一些系统需要根据权限设置,限制用户可提交的数据范围,或者限制用户可访问的数据范围。但是,由于用户提交的数据分为离散数据和连续数据两种形式,程序设计时难以明确全部数据安全边界,穷举所有数据越权情况。因此,数据越权攻击行为给系统安全以及用户信息保护带来极大挑战。
现有技术主要是基于B/S架构的应用系统在防越权安全时的设计,其中存在如下缺陷:
1)权限管控需基于权限列表管控。在程序设计阶段就需要考虑好权限控制列表。
2)权限控制基于URL控制或基于请求数据的特征,当系统某功能向出现更新时,拥有此功能项权限的全量用户权限需相应改变;当新加入用户时,用户也需要赋予数量众多的功能项权限。虽然角色的应用可以一定程度上解决后者给权限管理工作带来的压力,但是需要不定期梳理权限来确保角色被赋予了合理的权限范围。权限梳理不及时,容易出现管控疏漏。疏漏可能被恶意利用,造成实质越权,或可因此影响用户使用。
3)上述管控方法仅判定了用户是否有权限访问,但黑客有其他的越权行为时,没有针对性的方法以应对。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了用户访问请求处理方法及装置,能够解决检测黑客越权攻击的问题。
根据本发明的一个方面,提供了一种用户访问请求处理方法,包括:接收用户访问请求,其中,所述访问请求用于访问预定内容;判断用户对所述预定内容的访问是否超出了所述用户的权限;在超出所述用户权限的情况下,根据所述用户的信息获取风险评估值,其中,所述用户的信息包括以下至少之一:所述用户的注册时间、所述用户的权限、所述用户的历史试错,所述历史试错为所述用户访问内容失败的信息;根据所述风险评估值确定是否对所述用户的访问进行限制。
进一步地,根据所述用户的信息获取所述风险评估值包括:根据所述用户的注册时间获取所述用户存在时间长短对应得到第一风险评估值;根据所述用户的权限的高低获取所述用户的权限对应的第二风险评估值;根据所述用户的历史试错获取所述用户的试错行为对应的第三风险评估值;根据所述第一风险评估值、所述第二风险评估值和所述第三风险评估值得到所述风险评估值。
进一步地,根据所述用户的注册时间获取所述用户存在时间长短对应得到第一风险评估值包括:按如下公式计算获得第一风险评估值,Plive=LIVElogaX;其中,Plive表示所述第一风险评估值;LIVE表示所述用户使用时长的初始风险值,a为变化系数,0<a<1,X为所述用户的注册时间。
进一步地,根据所述用户的权限的高低获取所述用户的权限对应的第二风险评估值包括:按如下公式计算获得第二风险评估值,Pvip=VIP(n/N);其中,Pvip表示所述第二风险评估值;VIP表示所述权限风险的加权值,该值为预设值;N表示系统中全部功能的权限数量,n表示所述用户具有的权限数量。
进一步地,根据所述用户的历史试错获取所述用户的试错行为对应的第三风险评估值包括:按如下公式计算获得第三风险评估值:Perror=ERROR*t;其中,Perror表示第三风险评估值;ERROR指所述用户的试错风险的加权值,该值为预设值;t表示所述用户尝试访问不存在的页面次数。
进一步地,根据所述第一风险评估值、所述第二风险评估值和所述第三风险评估值得到所述风险评估值包括:按如下公式计算获得所述风险评估值,Ptotal=(Plive+Pvip)*Perror;其中,Plive、Pvip、Perror分别表示所述第一风险评估值、所述第二风险评估值和所述第三风险评估值;Ptotal表示所述用户的风险评估值。
进一步地,根据所述风险评估值确定是否对所述用户的访问进行限制包括:当所述风险评估值达到预设阈值时,则判定所述用户正在尝试越权操作,此时对用户的访问进行锁定处理。
根据本发明实施例的另一个方面,还提供了一种用户访问请求处理装置,包括:接收单元,用于接收用户访问请求,其中,所述访问请求用于访问预定内容;判断单元,用于判断用户对所述预定内容的访问是否超出了所述用户的权限;获取单元,用于在超出所述用户权限的情况下,根据所述用户的信息获取风险评估值,其中,所述用户的信息包括以下至少之一:所述用户的注册时间、所述用户的权限、所述用户的历史试错,所述历史试错为所述用户访问内容失败的信息;限制单元,用于根据所述风险评估值确定是否对所述用户的访问进行限制。
进一步地,所述获取单元包括:第一获取模块,用于根据所述用户的注册时间获取所述用户存在时间长短对应得到第一风险评估值;第二获取模块,用于根据所述用户的权限的高低获取所述用户的权限对应的第二风险评估值;第三获取模块,用于根据所述用户的历史试错获取所述用户的试错行为对应的第三风险评估值;第四获取模块,用于根据所述第一风险评估值、所述第二风险评估值和所述第三风险评估值得到所述风险评估值。
进一步地,所述第一获取模块包括:第一计算模块,用于按如下公式计算获得第一风险评估值,Plive=LIVE logaX;其中,Plive表示所述第一风险评估值;LIVE表示所述用户使用时长的初始风险值,a为变化系数,0<a<1,X为所述用户的注册时间。
进一步地,所述第二获取模块包括:第二计算模块,用于按如下公式计算获得第二风险评估值,Pvip=VIP(n/N);其中,Pvip表示所述第二风险评估值;VIP表示所述权限风险的加权值,该值为预设值;N表示系统中全部功能的权限数量,n表示所述用户具有的权限数量。
进一步地,所述第三获取模块包括:第三计算模块,用于按如下公式计算获得第三风险评估值:Perror=ERROR×t;其中,Perror表示第三风险评估值;ERROR指所述用户的试错风险的加权值,该值为预设值;t表示所述用户尝试访问不存在的页面次数。
进一步地,所述第四获取模块包括:第四计算模块,用于按如下公式计算获得所述风险评估值,Ptotal=(Plive+Pvip)×Perror;其中,Plive、Pvip、Perror分别表示所述第一风险评估值、所述第二风险评估值和所述第三风险评估值;Ptotal表示所述用户的风险评估值。
进一步地,所述限制单元包括:锁定模块,用于当所述风险评估值达到预设阈值时,则判定所述用户正在尝试越权操作,此时对用户的访问进行锁定处理。
在本发明实施例中,接收用户访问请求,其中,所述访问请求用于访问预定内容;判断用户对所述预定内容的访问是否超出了所述用户的权限;在超出所述用户权限的情况下,根据所述用户的信息获取风险评估值,其中,所述用户的信息包括以下至少之一:所述用户的注册时间、所述用户的权限、所述用户的历史试错,所述历史试错为所述用户访问内容失败的信息;根据所述风险评估值确定是否对所述用户的访问进行限制。通过本发明实施例能够解决检测黑客越权攻击的问题,能够更加的及时、准确、全面的检测。
附图说明
通过阅读以下参照附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显,其中,相同或相似的附图标记表示相同或相似的特征。
图1是根据本发明实施例的用户访问请求处理方法的流程图;
图2是根据本发明实施例的用户访问请求处理方法的具体处理流程图;
图3是根据本发明实施例的用户访问请求处理装置的结构框图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例。在下面的详细描述中,提出了许多具体细节,以便提供对本发明的全面理解。但是,对于本领域技术人员来说很明显的是,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明的更好的理解。本发明决不限于下面所提出的任何具体配置和算法,而是在不脱离本发明的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中,没有示出公知的结构和技术,以便避免对本发明造成不必要的模糊。
在本实施例中提供了一种用户处理方法,图1是根据本发明实施例的用户访问请求处理方法的流程图,如图1所示,该流程包括如下步骤:
步骤S102,接收用户访问请求,其中,访问请求用于访问预定内容;
步骤S104,判断用户对预定内容的访问是否超出了用户的权限;
步骤S106,在超出用户权限的情况下,根据用户的信息获取风险评估值,其中,用户的信息包括以下至少之一:用户的注册时间、用户的权限、用户的历史试错,历史试错为用户访问内容失败的信息;
步骤S108,根据风险评估值确定是否对用户的访问进行限制。
上述步骤根据用户的信息去评估该用户是黑客的可能性大小,评价的标准是风险评估值,与现有技术相比,可以根据用户的注册时间从而针对新加入的用户进行重点评估,避免了疏漏,还可以对用户的访问权限进行评估,用户具有越小的访问权限时风险越高,用户的历史试错可以是指黑客通常在恶意注册后会不断试验进入错误的网址。通过上述步骤解决了检测黑客越权攻击的问题,能够更加的及时、准确检测到黑客的越权攻击。
在上述步骤S106中根据用户的信息获取风险评估值有多种方式,一个可选的实施方式中,具体可以包括:
根据用户的注册时间获取用户存在时间长短对应的第一风险评估值;
根据用户的权限的高低获取用户的权限对应的第二风险评估值;
根据用户的历史试错获取用户的试错行为对应的第三风险评估值;以及
根据第一风险评估值、第二风险评估值和第三风险评估值得到风险评估值。
通过上述步骤全面的检测到黑客的越权攻击,可以应对不同黑客越权行为。
在黑客做越权攻击时,通常会注册新账号,而不使用常用账号。也就是说新注册账号发生越权行为的概率远高于常用账号。账号随着使用时间的增加,越权风险会逐渐降低。根据用户的的注册时间可以判定出用户是否是新用户,在一个可选的实施方式中,根据用户的注册时间获取用户存在时间长短对应的第一风险评估值包括:
按如下公式计算获得第一风险评估值,
Plive=LIVElogaX;
其中,Plive表示第一风险评估值;LIVE表示用户使用时长的初始风险值,a为变化系数,0<a<1,X为用户的注册时间。
通过上述步骤,准确的评价了黑客的越权攻击时新注册账号为黑客的概率,也就是第一风险评估值。
越权行为目的是获得自己不存在的权限,以完成在未授权的情况下访问或操作权限外数据的目的。因此,可判定低权限用户越权获取高权限的可能性,远大于高权限用户向低权限用户越权的可能,在一个可选的实施方式中,根据用户的权限的高低获取用户的权限对应的第二风险评估值包括:
按如下公式计算获得第二风险评估值,
Pvip=VIP(n/N);
其中,Pvip表示第二风险评估值;VIP表示权限风险的加权值,该值为预设值;N表示系统中全部功能的权限数量,n表示用户具有的权限数量。
通过上述步骤,准确的评价了黑客的越权攻击时使用低权限的用户为黑客的概率,当该用户不是新注册用户时,可以准确及时的判断计算出该用户为黑客的概率,也就是第二风险评估值。
越权用户在越权成功之前,往往会经过反复多次尝试。而这些访问多数将以失败告终;但在操作的过程中,已经留下了越权行为的蛛丝马迹,可以根据该用户多次试验性操作来判定是否有越权风险。在一个可选的实施方式中,根据用户的历史试错获取用户的试错行为对应的第三风险评估值包括:
按如下公式计算获得第三风险评估值:
Perror=ERROR×t;
其中,Perror表示第三风险评估值;ERROR指用户的试错风险的加权值,该值为预设值;t表示用户尝试访问不存在的页面次数。
通过上述步骤,准确的评价了黑客的越权攻击时为黑客的概率,当该用户不是新注册用户时,也使用了很高权限时,可以准确及时的判断计算出该不断试验的用户为黑客的概率,也就是第三风险评估值。
上述第一风险评估值、第二风险评估值和第三风险评估值分别表示账号使用时长带来的越权风险评估值、用户权限高低带来的越权风险评估值、用户历史试错带来的越权风险评估值,基于以上第一风险评估值、第二风险评估值和第三风险评估值对用户进行风险的综合评价,在一个可选的实施方式中具体包括:
按如下公式计算获得风险评估值,
Ptotal=(Plive+Pvip)×Perror
其中,Plive、Pvip、Perror.分别表示第一风险评估值、第二风险评估值和第三风险评估值;Ptotal表示用户的风险评估值。
当计算完某个用户的风险评估值后需要对该评估值进行判定,在一个可选的实施方式中,根据风险评估值确定是否对用户的访问进行限制包括:
当风险评估值达到预设阈值时,则判定用户正在尝试越权操作,此时对用户的访问进行锁定处理。
通过该步骤及时快速的找到潜藏的风险越权黑客,降低了越权攻击的概率。
下面结合一个可选的实施例进行说明。
图2是根据本发明实施例的用户访问请求处理方法的具体处理流程图,如图2所示,该流程包括如下步骤:
步骤1,用户申请账户及权限;
步骤2,账号管理员为用户创建账号,账号获得使用时长越权风险评估值Plive
步骤3,账号管理员为用户赋权,账号获得权限带来的越权风险值Pvip
步骤4,用户访问某url,提交访问数据;
步骤5,判断用户访问的url是否存在并在用户的权限范围内。若url确实存在且权限正确,则转步骤6,否则转步骤7;
步骤6,用户正常访问url;
步骤7,记录用户的错误访问情况,重新计算用户历史试错带来的越权风险评估值Perror,Plive;根据Perror,Plive,Pvip计算用户越权操作的评估值Ptotal
步骤8,比较用户Ptotal与预设阈值LCK之间的关系;若Ptotal小于LCK,则认为用户的风险评估值还未达到黑客的风险,也就是说,此时认为步骤5中输入的url错误或者输入的url超出了用户的权限是由于用户的不小心所致,而不是用户的有意行为。这种情况下转步骤4,在一个实施例中,此时可以向用户提示所访问的url错误或者超出了用户的权限(依实际情况而定)并提示用户输入新的url;若Ptotal大于LCK,则认为用户的风险评估值已经达到黑客的风险,也就是说,此时认为步骤5中输入的url错误或者输入的url超出了用户的权限是由于用户的有意行为所致,即,判断用户是黑客,此时转步骤9;在一个实施例中,LCK是由账号管理员预设的。
步骤9,将用户做锁定处理,并根据用户账户及权限管理规定,执行进一步操作;
至此,基于统计数据的主动防越权方法流程结束。
通过上述实施例及可选的实施方式,取得如下技术效果:
基于风险评估值,简便、快速、准确、全面的对黑客越权进行检测,适应各种越权行为的情况。
在本实施例中,还提供了一种用户处理方法装置,图3是根据本发明实施例的一种用户访问请求处理方法装置的结构框图,如图3所示,该装置包括:
接收单元32,用于接收用户访问请求,其中,访问请求用于访问预定内容;
判断单元34,用于判断用户对预定内容的访问是否超出了用户的权限;
获取单元36,用于在超出用户权限的情况下,根据用户的信息获取风险评估值,其中,用户的信息包括以下至少之一:用户的注册时间、用户的权限、用户的历史试错,历史试错为用户访问内容失败的信息;
限制单元38,用于根据风险评估值确定是否对用户的访问进行限制。
在一个可选的实施方式中,获取单元包括:
第一获取模块,用于根据用户的注册时间获取用户存在时间长短对应的第一风险评估值;
第二获取模块,用于根据用户的权限的高低获取用户的权限对应的第二风险评估值;
第三获取模块,用于根据用户的历史试错获取用户的试错行为对应的第三风险评估值;
第四获取模块,用于根据第一风险评估值、第二风险评估值和第三风险评估值得到风险评估值。
在一个可选的实施方式中,第一获取模块包括:
第一计算模块,用于按如下公式计算获得第一风险评估值,
Plive=LIVE logaX;
其中,Plive表示第一风险评估值;LIVE表示用户使用时长的初始风险值,a为变化系数,0<a<1,X为用户的注册时间。
在一个可选的实施方式中,第二获取模块包括:
第二计算模块,用于按如下公式计算获得第二风险评估值,
Pvip=VIP(n/N);
其中,Pvip表示第二风险评估值;VIP表示权限风险的加权值,该值为预设值;N表示系统中全部功能的权限数量,n表示用户具有的权限数量。
在一个可选的实施方式中,第三获取模块包括:
第三计算模块,用于按如下公式计算获得第三风险评估值:
Perror=ERROR×t;
其中,Perror表示第三风险评估值;ERROR指用户的试错风险的加权值,该值为预设值;t表示用户尝试访问不存在的页面次数。
在一个可选的实施方式中,第四获取模块包括:
第四计算模块,用于按如下公式计算获得风险评估值,
Ptotal=(Plive+Pvip)×Perror
其中,Plive、Pvip、Perror分别表示第一风险评估值、第二风险评估值和第三风险评估值;Ptotal表示用户的风险评估值。
在一个可选的实施方式中,限制单元包括:
锁定模块,用于当风险评估值Ptotal达到预设阈值时,则判定用户正在尝试越权操作,此时对用户的访问进行锁定处理。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
本发明可以以其他的具体形式实现,而不脱离其精神和本质特征。例如,特定实施例中所描述的算法可以被修改,而系统体系结构并不脱离本发明的基本精神。因此,当前的实施例在所有方面都被看作是示例性的而非限定性的,本发明的范围由所附权利要求而非上述描述定义,并且,落入权利要求的含义和等同物的范围内的全部改变从而都被包括在本发明的范围之中。

Claims (10)

1.一种用户访问请求处理方法,其特征在于,包括:
接收用户访问请求,其中,所述访问请求用于访问预定内容;
判断用户对所述预定内容的访问是否超出了所述用户的权限;
在超出所述用户权限的情况下,根据所述用户的信息获取风险评估值,其中,所述用户的信息包括以下至少之一:所述用户的注册时间、所述用户的权限、所述用户的历史试错,所述历史试错为所述用户访问内容失败的信息;
根据所述风险评估值确定是否对所述用户的访问进行限制。
2.根据权利要求1所述的方法,其特征在于,根据所述用户的信息获取所述风险评估值包括:
根据所述用户的注册时间获取所述用户存在时间长短对应的第一风险评估值;
根据所述用户的权限的高低获取所述用户的权限对应的第二风险评估值;
根据所述用户的历史试错获取所述用户的试错行为对应的第三风险评估值;
根据所述第一风险评估值、所述第二风险评估值和所述第三风险评估值得到所述风险评估值。
3.根据权利要求2所述的方法,其特征在于,根据所述用户的注册时间获取所述用户存在时间长短对应的第一风险评估值包括:
按如下公式计算获得第一风险评估值,
Plive=LIVE logaX
其中,Plive表示所述第一风险评估值;LIVE表示所述用户使用时长的初始风险值,a为变化系数,0<a<1,X为所述用户的注册时间。
4.根据权利要求2所述的方法,其特征在于,根据所述用户的权限的高低获取所述用户的权限对应的第二风险评估值包括:
按如下公式计算获得第二风险评估值,
Pvip=VIP(n/N)
其中,Pvip表示所述第二风险评估值;VIP表示所述权限风险的加权值,该值为预设值;N表示系统中全部功能的权限数量,n表示所述用户具有的权限数量。
5.根据权利要求2所述的方法,其特征在于,根据所述用户的历史试错获取所述用户的试错行为对应的第三风险评估值包括:
按如下公式计算获得第三风险评估值:
Perror=ERROR×t
其中,Perror表示第三风险评估值;ERROR指所述用户的试错风险的加权值,该值为预设值;t表示所述用户尝试访问不存在的页面次数。
6.根据权利要求2所述的方法,其特征在于,根据所述第一风险评估值、所述第二风险评估值和所述第三风险评估值得到所述风险评估值包括:
按如下公式计算获得所述风险评估值,
Ptotal=(Plive+Pvip)×Perror
其中,Plive、Pvip、Perror分别表示所述第一风险评估值、所述第二风险评估值和所述第三风险评估值;Ptotal表示所述用户的风险评估值。
7.根据权利要求1所述的方法,其特征在于,根据所述风险评估值确定是否对所述用户的访问进行限制包括:
当所述风险评估值达到预设阈值时,则判定所述用户正在尝试越权操作,此时对用户的访问进行锁定处理。
8.一种用户访问请求处理装置,其特征在于,包括:
接收单元,用于接收用户访问请求,其中,所述访问请求用于访问预定内容;
判断单元,用于判断用户对所述预定内容的访问是否超出了所述用户的权限;
获取单元,用于在超出所述用户权限的情况下,根据所述用户的信息获取风险评估值,其中,所述用户的信息包括以下至少之一:所述用户的注册时间、所述用户的权限、所述用户的历史试错,所述历史试错为所述用户访问内容失败的信息;
限制单元,用于根据所述风险评估值确定是否对所述用户的访问进行限制。
9.根据权利要求8所述的装置,其特征在于,所述获取单元包括:
第一获取模块,用于根据所述用户的注册时间获取所述用户存在时间长短对应的第一风险评估值;
第二获取模块,用于根据所述用户的权限的高低获取所述用户的权限对应的第二风险评估值;
第三获取模块,用于根据所述用户的历史试错获取所述用户的试错行为对应的第三风险评估值;
第四获取模块,用于根据所述第一风险评估值、所述第二风险评估值和所述第三风险评估值得到所述风险评估值。
10.根据权利要求8所述的装置,其特征在于,所述限制单元包括:
锁定模块,用于当所述风险评估值达到预设阈值时,则判定所述用户正在尝试越权操作,此时对用户的访问进行锁定处理。
CN201611267490.7A 2016-12-31 2016-12-31 用户访问请求处理方法及装置 Active CN108270746B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611267490.7A CN108270746B (zh) 2016-12-31 2016-12-31 用户访问请求处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611267490.7A CN108270746B (zh) 2016-12-31 2016-12-31 用户访问请求处理方法及装置

Publications (2)

Publication Number Publication Date
CN108270746A true CN108270746A (zh) 2018-07-10
CN108270746B CN108270746B (zh) 2021-03-16

Family

ID=62771165

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611267490.7A Active CN108270746B (zh) 2016-12-31 2016-12-31 用户访问请求处理方法及装置

Country Status (1)

Country Link
CN (1) CN108270746B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111200574A (zh) * 2018-11-16 2020-05-26 北京嘀嘀无限科技发展有限公司 账号建立方法、装置、设备及计算机可读存储介质
CN117369850A (zh) * 2023-10-27 2024-01-09 全拓科技(杭州)股份有限公司 一种基于大数据的企业信息安全管理方法与系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102231693A (zh) * 2010-04-22 2011-11-02 北京握奇数据系统有限公司 访问权限的管理方法及装置
US8789194B2 (en) * 2012-11-07 2014-07-22 Fmr Llc Risk adjusted, multifactor authentication
CN104091131A (zh) * 2014-07-09 2014-10-08 北京智谷睿拓技术服务有限公司 应用程序与权限的关系确定方法及确定装置
US20160098572A1 (en) * 2014-10-01 2016-04-07 Viktor Povalyayev Providing Integrated Role-based Access Control
CN105930726A (zh) * 2016-04-20 2016-09-07 广东欧珀移动通信有限公司 一种恶意操作行为的处理方法及用户终端

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102231693A (zh) * 2010-04-22 2011-11-02 北京握奇数据系统有限公司 访问权限的管理方法及装置
US8789194B2 (en) * 2012-11-07 2014-07-22 Fmr Llc Risk adjusted, multifactor authentication
CN104091131A (zh) * 2014-07-09 2014-10-08 北京智谷睿拓技术服务有限公司 应用程序与权限的关系确定方法及确定装置
US20160098572A1 (en) * 2014-10-01 2016-04-07 Viktor Povalyayev Providing Integrated Role-based Access Control
CN105930726A (zh) * 2016-04-20 2016-09-07 广东欧珀移动通信有限公司 一种恶意操作行为的处理方法及用户终端

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111200574A (zh) * 2018-11-16 2020-05-26 北京嘀嘀无限科技发展有限公司 账号建立方法、装置、设备及计算机可读存储介质
CN111200574B (zh) * 2018-11-16 2022-09-06 北京嘀嘀无限科技发展有限公司 账号建立方法、装置、设备及计算机可读存储介质
CN117369850A (zh) * 2023-10-27 2024-01-09 全拓科技(杭州)股份有限公司 一种基于大数据的企业信息安全管理方法与系统

Also Published As

Publication number Publication date
CN108270746B (zh) 2021-03-16

Similar Documents

Publication Publication Date Title
CN104301302B (zh) 越权攻击检测方法及装置
US8272059B2 (en) System and method for identification and blocking of malicious code for web browser script engines
CN101356535B (zh) 一种检测和防止java脚本程序中不安全行为的方法和装置
EP3190765A1 (en) Sensitive information processing method, device, server and security determination system
CN109155774B (zh) 用于检测安全威胁的系统和方法
US20210014265A1 (en) Evaluating effectiveness of security controls in enterprise networks using graph values
US11882134B2 (en) Stateful rule generation for behavior based threat detection
CN104580133B (zh) 恶意程序防护方法与系统及其过滤表格更新方法
CN105765596A (zh) 集成端点和网络检测并消除攻击的技术
Robles-Durazno et al. PLC memory attack detection and response in a clean water supply system
US20170155683A1 (en) Remedial action for release of threat data
WO2013119353A1 (en) Data leakage prevention for cloud and enterprise networks
CN109313676A (zh) 基于安全级别和访问历史的ip地址访问
KR100989347B1 (ko) 보안규칙 기반의 웹공격 탐지 방법
CN107426243A (zh) 一种网络安全防护方法及装置
US11861018B2 (en) Method and system for dynamic testing with diagnostic assessment of software security vulnerability
CN106789837A (zh) 网络异常行为检测方法及检测装置
CN109376530B (zh) 基于标记的进程强制行为控制方法和系统
CN108270746A (zh) 用户访问请求处理方法及装置
US20240061933A1 (en) Systems and methods for causing nonpredictable environment states for exploit prevention and malicious code neutralization for javascript-enabled applications
Suthaharan et al. An approach for automatic selection of relevance features in intrusion detection systems
CN105740666A (zh) 识别线上操作风险的方法及装置
WO2014048751A1 (en) Method and apparatus for detecting a malicious website
Narang et al. Severity measure of issues creating vulnerabilities in websites using two way assessment technique
CN117579385B (zh) 一种快速筛查新型WebShell流量的方法、系统及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant