CN108334758A - 一种用户越权行为的检测方法、装置及设备 - Google Patents

一种用户越权行为的检测方法、装置及设备 Download PDF

Info

Publication number
CN108334758A
CN108334758A CN201710045066.6A CN201710045066A CN108334758A CN 108334758 A CN108334758 A CN 108334758A CN 201710045066 A CN201710045066 A CN 201710045066A CN 108334758 A CN108334758 A CN 108334758A
Authority
CN
China
Prior art keywords
user
url
access
access request
cookie
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710045066.6A
Other languages
English (en)
Other versions
CN108334758B (zh
Inventor
常乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Shanxi Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Shanxi Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Shanxi Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201710045066.6A priority Critical patent/CN108334758B/zh
Publication of CN108334758A publication Critical patent/CN108334758A/zh
Application granted granted Critical
Publication of CN108334758B publication Critical patent/CN108334758B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种用户越权行为的检测方法、装置及设备,用于通信技术领域,能够解决现有的WEB应用权限管理系统对业务复杂的系统难以适用的问题。该方法包括:基于用户标识对采集的访问业务系统的访问请求进行用户识别;对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,所述URL序列包括不同业务对应的URL序列,所述访问用户集合包括不同业务对应的访问用户集合;根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合;基于所述特征标识集对接收的目标访问请求进行越权行为检测。

Description

一种用户越权行为的检测方法、装置及设备
技术领域
本发明涉及通信技术领域,尤其涉及一种用户越权行为的检测方法、装置及设备。
背景技术
目前,安全管理工作越来越受到人们的重视,通过WEB(World Wide Web,即全球广域网)应用系统权限管理机制,防止用户对WEB应用系统的越权使用,是一个单位安全管理工作的重要内容和关键环节,现有的权限管理的技术方案大都是基于权限管理的模型提出和实现的。对于现有的WEB应用权限管理系统可以通过设置业务逻辑和业务权限的规则实现防止用户越权,业务逻辑和业务权限的规则的设置需要工作人员具备较强的先验知识,才能进行正确设置,同时还需要耗费大量人力检验其精确性。但是,对于复杂的WEB业务系统,其流程复杂,数量巨大,这种WEB应用权限管理系统很难靠人工进行业务逻辑、业务权限设置,因此,现有的WEB应用权限管理系统对业务复杂的系统难以适用。
发明内容
本发明实施例提供了一种用户越权行为的检测方法、装置及设备,能够解决现有的WEB应用权限管理系统对业务复杂的系统难以适用的问题。
第一方面,本发明提供了一种用户越权行为的检测方法,包括:基于用户标识对采集的访问业务系统的访问请求进行用户识别;
对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,URL序列包括不同业务对应的URL序列,访问用户集合包括不同业务对应的访问用户集合;
根据URL序列和用户集合对应确定不同业务的特征标识集合,特征标识集合包括至少一个特征标识,特征标识包括URL序列中URL和对应的页面结构所具有的特征,以及与特征对应的用户标识;
基于特征标识集对接收的目标访问请求进行越权行为检测。
第二方面,本发明提供了一种用户越权行为的检测装置,包括:
识别单元,用于基于用户标识对采集的访问业务系统的访问请求进行用户识别;
聚类单元,用于对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,URL序列包括不同业务对应的URL序列,访问用户集合包括不同业务对应的访问用户集合;
确定单元,用于根据URL序列和用户集合对应确定不同业务的特征标识集合,特征标识集合包括至少一个特征标识,特征标识包括URL序列中URL和对应的页面结构所具有的特征,以及与特征对应的用户标识;
检测单元用于基于特征标识集对接收的目标访问请求进行越权行为检测。
第三方面,本发明提供了一种用户越权行为的检测服务器,包括:
存储器、处理器、通信接口和总线;
存储器、处理器和通信接口通过总线连接并完成相互间的通信;
存储器用于存储程序代码;
处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行一种用户越权行为的检测方法;其中,用户越权行为的检测包括:
基于用户标识对采集的访问业务系统的访问请求进行用户识别;
对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,URL序列包括不同业务对应的URL序列,访问用户集合包括不同业务对应的访问用户集合;
根据URL序列和用户集合对应确定不同业务的特征标识集合,特征标识集合包括至少一个特征标识,特征标识包括URL序列中URL和对应的页面结构所具有的特征,以及与特征对应的用户标识;
基于特征标识集对接收的目标访问请求进行越权行为检测。
本发明实施例提供了一种用户越权行为的检测方法、装置及设备,本发明中基于用户标识对采集的访问业务系统的访问请求进行用户识别;对用户识别的访问请求中的URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合;根据URL序列和用户集合对应确定不同业务的特征标识集合,特征标识集合包括至少一个特征标识,特征标识包括URL序列中URL、对应的页面结构所具有的特征、以及与特征对应的用户标识;基于特征标识集对接收的目标访问请求进行越权行为检测。本发明对采集的业务系统的访问请求进行分析,利用聚类分析技术,得出不同业务对应的URL序列和不同业务对应的访问用户集合,并根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合,建立了用户群和业务范围的映射关系,基于这种映射关系可以判断出用户的行为是否越权,不需要人工进行业务逻辑和业务权限的设置,实现了自动识别用户越权行为何未知攻击,提高了攻击识别的准确性,对业务复杂的系统也可以适用。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明一实施例提供的用户越权行为的检测方法的示意性流程图;
图2示出了根据本发明一实施例的用户越权行为的检测装置的示意性框图;
图3示出了根据本发明又一实施例的用户越权行为的检测装置的示意性框图;
图4是根据本发明一实施例的用户越权行为的检测设备的示意性框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了根据本发明一实施例的用户越权行为的检测方法的示意性流程图。如图1所示,该方法包括以下步骤:110,基于用户标识对采集的访问业务系统的访问请求进行用户识别;120,对用户识别的访问请求中的URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合;130,根据URL序列和用户集合对应确定不同业务的特征标识集合;140,基于特征标识集对接收的目标访问请求进行越权行为检测。
在步骤110中,访问业务系统的访问请求为预先采集,可以利用旁路分光或交换机镜像技术对不同用户访问业务系统的访问请求进行采集。访问请求可以包括HTTP请求。对采集的访问业务系统的访问请求进行用户识别是为了区分不同用户的访问请求。
在步骤120中,URL序列包括不同业务对应的URL序列,访问用户集合包括不同业务对应的访问用户集合。本步骤中将访问不同业务的URL识别出来组成不同业务的URL序列,以及将访问相同业务的用户识别出来组成不同的用户集合,以便于后续对用户访问不同业务的特征标识和访问相同业务的用户标识进行分析。
在步骤130中,特征标识集合包括至少一个特征标识,特征标识包括URL序列中URL和对应的页面结构所具有的特征,以及与特征对应的用户标识。特征标识集表示用户未越权访问时访问请求所具有的特征标识的集合,特征标识包括用户标识。特征标识集中各特征标识中的用户标识用户表示此用户具有与特征标识中的特征对应的访问权限,则用户在进行此种行为时不属于越权行为。
本发明实施例中基于用户标识对采集的访问业务系统的访问请求进行用户识别;对用户识别的访问请求中的URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合;根据URL序列和用户集合对应确定不同业务的特征标识集合,特征标识集合包括至少一个特征标识,特征标识包括URL序列中URL、对应的页面结构所具有的特征、以及与特征对应的用户标识;基于特征标识集对接收的目标访问请求进行越权行为检测。本发明对采集的业务系统的访问请求进行分析,利用聚类分析技术,得出不同业务对应的URL序列和不同业务对应的访问用户集合,并根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合,建立了用户群和业务范围的映射关系,基于这种映射关系可以判断出用户的行为是否越权,不需要人工进行业务逻辑和业务权限的设置,实现了自动识别用户越权行为何未知攻击,提高了攻击识别的准确性,对业务复杂的系统也可以适用。
可以理解的是,在本发明实施例的步骤110之前,还可以执行如下步骤:150,提取访问请求中出现的IP(Internet Protocol,网络协议)、用户代理user-agent和储存在用户本地终端上的数据Cookie域信息;160,分析Cookie域信息计算出用于区分用户的目标Cookie域信息;170,将IP、user-agent和目标Cookie域信息确定为用户标识。
为了更准确的对访问请求进行用户自动识别,本发明实施例通过利用访问请求中IP、user-agent和Cookie域信息来标识不同的用户。在通过Cookie域信息来标识不同的用户时,为了保证用户标识的准确,需要筛选出具有标识性的Cookie域信息,即用于区分用户的目标Cookie域信息。
具体的,以访问请求为HTTP(Hyper Text Transfer Protocol,超文本传输协议)请求为例说明,由于HTTP是面向非连接的协议,WEB业务系统往往利用会话过程的ID(Identity,标识)作为识别用户、跟踪用户状态的手段,该ID一般保存在Cookie中(某些业务系统可保存在URL中),通过从访问请求中提取该ID,则可实现在单次登录中精确定位用户。
对于HTTP请求Cookie域格式如下:
Cookie:Name=admin;Comment=;Domain=www.sample.com;Max-Age=41;Path=/。其中如Name、Comment、Domain、Max-Age、Path为Cookie属性名,admin、www.sample.com、41、/为对应属性名的属性值。
一般代表用户标识的属性具有如下特点:所有用户在访问WEB业务系统时,均会使用该项属性;单次会话(从用户登录到用户注销的过程)中,该项属性值很少变化;不同用户,该项属性值不同。根据上述特点,从HTTP请求头中提取用户标识。
基于上述原理,在步骤150中,从访问请求中提取IP、user-agent和Cookie域信息。通常为了体现访问请求的时序性还可以提取访问请求的请求时间。在提取出上述信息后,为了便于数据处理还可以将这写信息格式化。
具体的,提取每个访问请求的IP、user-agent、Cookie域信息和请求时间,然后进行格式化。一般来说,某个访问请求中Cookie包括多个属性名及属性名对应的属性值,则Cookie域信息可表示为Ci={(k1,v1),...(kn,vn)},其中,k1...kn表示属性名,例如,可以为{NAME,Comment,Domain,...}中的一个,v1...vn表示k1...kn的属性值,例如,{admin,www.sample.com,41,...},其中,n为属性名的个数。本发明实施例中将相同的IP、user-agent假定为同一用户Ui,访问请求中的URL通过T表示,访问请求的请求时间为t,则所有访问请求中第i个访问请求可转化为形似Ri={ti,Ui,Ti,Ci}的四元组,其中Ri为请求事件,Ci={(k1,v1),...(kn,vn)},则整个采集的访问请求表示为:S=∑Ri
在步骤160中,分析Cookie域信息计算出用于区分用户的目标Cookie域信息,即从步骤150提取的Cookie域信息中计算出用于区分用户的目标Cookie域信息,具体的计算方式不做限定。例如可以采用如下三种方式。
方式一:统计Cookie域信息中各Cookie属性名在访问请求中出现的出现频率;当各Cookie属性名的出现频率中包括小于第一预设值的出现频率时,将除出现频率小于第一预设值的Cookie属性名之外剩余的Cookie域信息作为目标Cookie域信息。
其中,提取的Cookie域信息中包括的Cookie属性名可能并不完全相同,但是,有一些Cookie属性名很少出现,这种Cookie属性名并不能用于区分用户,所以将这些Cookie属性名和其对应的属性值,从Cookie域信息中删除。
具体的,在采集的访问请求S中统计k1...kn分别出现的出现频率Pk1...Pkn;然后判断Pk1...Pkn分别与第一预设值的大小,当某项属性名ki对应的Pki小于第一预设值时,则判断该属性名ki为非用户信息属性,即不能用于区分用户,将(ki,vi)从Ci中删除,从而得出目标Cookie域信息为Ci中删除(ki,vi)后剩余的Cookie域信息。
方式二:统计访问请求中属于每个用户的用户访问集合,其中,IP和user-agent相同的访问请求属于同一用户;统计每个用户访问集合中属于不同类型操作的操作请求集合;统计每个操作请求集合中Cookie域信息中各Cookie属性名的属性值的第一变化频率;当所有用户的操作请求集合中属于相同类型操作的操作请求集合中都存在第一变化频率小于第二预设值的属性值时,将除第一变化频率小于第二预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为目标Cookie域信息。
其中,统计访问请求中属于每个用户的用户访问集合,以及统计每个用户访问集合中属于不同类型操作的操作请求集合,是为了将不同用户的属于不同类型操作的访问请求进行划分。本发明实施例中还可以只统计不同用户的某几个不同类型操作的操作请求集合,不同类型操作可以包括登陆、浏览等操作。
具体的,首先,从S中按照某一用户Ui,选择与其相关的不同类型操作的操作请求集合,针对该操作请求集合中每一个k1...kn对应的v1...vn的值进行统计,统计v1...vn的取值变化的第一变化频率Pi1...Pin;然后,针对S中所有的用户U1...Um重复上个步骤,即可得出所有用户对应的第一变化频率{(P11...P1n),...,(Pm1...Pmn)},其中m为用户数量;再判断{(P11...P1n),...,(Pm1...Pmn)}中某项ki对应的Pi1...Pin是否都小于第二预设值,当某项ki对应的Pi1...Pin都小于第二预设值时,判断该属性ki为非用户信息属性,即不能用于区分用户,将(ki,vi)从Ci中删除,从而得出目标Cookie域信息为Ci删除(ki,vi)后剩余的Cookie域信息。
方式三:从所有的访问请求中选取预设数目个属于不同用户的第一访问请求集合;统计第一访问请求集合中Cookie域信息中各Cookie属性名的属性值的第二变化频率;当各Cookie属性名的属性值的第二变化频率中包括小于第三预设值的第二变化频率时,将除第二变化频率小于第三预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为目标Cookie域信息。
其中,从所有的访问请求中选取预设数目个属于不同用户的第一访问请求集合的方式不做限定,例如,可以随机选取。
具体的,从S中随机选择x个不同U1...Ux对应的{R1...Rx},即第一访问请求集合,针对该第一访问请求集合中每一个k1...kn对应的v1...vn的取值变化进行统计,统计k1...kn取值变化的频率P′v1...P′vn;判断某项ki对应的P′vi是否小于第三预设值,当某项ki对应的P′vi小于第三预设值时,判断该属性ki非用户信息属性,即不能用于区分用户,将(ki,vi)从Ci中删除,从而得出目标Cookie域信息为Ci删除(ki,vi)后剩余的Cookie域信息。
需要说明的是,本发明实施例中可以对上述三种方式组合使用,组合的方式不做限定。在上述三种方式中,ki均可以均表示k1...kn中的任意一个,在三种方式中i也可以为不同的值。通过步骤160的计算得出包括IP、user-agent和目标Cookie域信息的用户标识。
经过上述步骤后,得到的目标Cookie域信息k1,...ka则为用户在单次登录访问WEB业务系统、办理业务过程中使用的会话ID字段。当用户访问WEB系统后,提取访问请求中的k1,...ka对应的v1,...va,作为区分用户的关键字,利用关键字匹配技术,将访问请求中提取的v1,...va与目标Cookie域信息k1,...ka中的v1,...va进行匹配,匹配成功则确定了该访问请求的用户标识,从而可以为每各访问请求标注用户标识,从而原有请求事件Ri可转变为:Ri={ti,Ui,Ti},其中Ui即为根据v1,...va,利用关键字匹配技术,为每个访问请求标注的用户标识。
可以理解的是,本发明实施例中,步骤120可以具体执行为:121,通过预设聚类算法将用户识别的访问请求中的URL聚类出URL序列和访问用户集合;122,分别获取URL序列包括每个用户的访问请求;123,按照每个用户的访问请求中URL的时间先后顺序对URL序列中的URL进行排序;124,统计所排序后的URL序列中两两顺序URL之间的时间间隔的平均值;125,当平均值大于第四预设值时,判定两两顺序URL为弱时序关系;126,当平均值大于第四预设值时,判定两两顺序URL为强时序关系。
在步骤121中通过预设的聚类算法可以对用户识别的访问请求中的URL进行多次聚类得出URL序列和访问用户集合。预设聚类算法可以为Canopy算法,下面以对用户识别的访问请求中的URL聚类出URL序列为例说明聚类的过程。
首先,构建采集的访问请求中URL序列特征。根据用户标识不同,按照各个用户的访问请求时间先后顺序,对每个用户的访问请求进行排序,形成用户的访问序列,围绕某个URL,在一定数量范围内构建请求序列。
具体的,查询属于某各用户的用户请求中的URL序列,提取该用户的URL序列中某个URL Ti的前后y(y值可根据效果进行调整)个URL构建出该用户的URL序列{Ti-y/2,...Ti,...Ti+y/2};重复上一个步骤,直到遍历完所有用户,形成以某个URL为核心的序列集:Q1={T11,...,T1p};......Qq={Tq1,...,Tqp},其中,每个Q对应一个用户,q为用户的数量,p为每个Q中T的个数;以所有用户URL序列集中所有的T为维度,根据SVM Support VectorMachine,支持向量机)向量空间模型,构建每个用户URL序列的特征向量,向量空间模型VSM以该序列集合中所有的URL为维度,对用户URL序列中各URL是否出现作为权值,构建业务URL集合特征向量,例如,Q1={T11,...,T1p}对应的特征向量为v={(T11,P11),...,(T1P,P1p)}。一般所有的URL数量一定,因此以所有用户URL序列集中所有的T为维度构建每个用户URL序列的特征向量时,可以按照全部URL的某个固定顺序(该顺序可以为非真实访问序列)保留权值信息,即形成特征项集合:Q′1={P11,...,P1p},......,Q′q={Pq1,...,Pqp},其中,Pqp代表访问请求的URL中Tqp是否出现,取值范围为0(未出现)或1(出现)。
其次,对上述步骤得出的特征项集合通过预设聚类算法进行聚类,得出各业务的对应的URL序列和访问用户集合。
在通过步骤121对用户识别的访问请求中的URL聚类出URL序列后,由于在将URL序列映射到SVM(向量空间时,只关注了URL集合,但丢弃了业务中很重要的时序性,因此,需要针对聚类结果的URL集合进行重新排序,即重建序列规则。对于URL请求序列来说,其时序性包括以下两类:强时序关系,即当请求某一URL时自动引发请求其他URL,例如,访问某一网页时自动访问图片、css(Cascading Style Sheets,层叠样式表)等URL;弱时序关系,即当请求某一URL时由用户触发请求其他URL,例如,用户登录系统时,输入用户名口令,然后点击登录按钮登录系统,弹出主页面,请求登录URL到请求主页面URL,其间隔时间在于用户操作间隔,其值不定。因此在进行序列规则重建时,需要根据初始访问请求中URL的间隔时间,确定URL序列的时序特点。
通过步骤122至步骤126对某一个URL序列的处理过程如下。
分别获取URL序列包括每个用户的访问请求;按照URL序列提取用户原始访问请求中一段访问请求序列;按照访问请求序列中URL的时间顺序,对URL序列进行重新排序,计算两两顺序URL之间时间间隔的平均值;当平均值大于第四预设值(可取3秒)时,判断该两个URL之间为弱时序关系,否则为强时序关系。
上述按照访问请求序列中URL的时间顺序,对URL序列进行重新排序的步骤可以验证URL序列的顺序确定性,对顺序不确定的部分URL可以进行标注,注明其顺序可变。
经过上述处理,可得到包含URL时序特性的某个用户行为,具体形式为:Ri={(Ti1,Ai1,τi1),...,(Tin,Ain,τin)},其中Ri为业务i的有序(Tin,Ain,τin)三元组集合,Tin为构成行为的某个URL,Ain为该URL顺序是否可变,τin为是否强时序关系。
需要说明的是,通过上述流程,可以得出具有时序关系的URL序列和访问用户集合,URL序列包括单一用户访问的所有URL序列、单一业务的URL序列、单一用户访问单一业务的URL序列;访问用户集合包括单一业务的所有访问用户集合。
需要说明的是,本发明实施例中,在执行步骤122之前,针对聚类后的每各URL序列,由于用户访问WEB业务系统时,可能交织有其他无关URL,这部分URL可能会对后续越权行为检测产生干扰效果,因此需要从聚类结果中过滤掉这部分URL,最后形成过滤后的不同业务的URL序列。对于某个聚类后的URL序列过滤的方法如下:
步骤1:统计该URL序列中某个URL在该类别中所有特征向量中出现的频率;
步骤2:当该出现的频率小于某个阀值时,过滤掉该URL;
步骤3:对该URL序列中所有URL执行步骤1、2,最后得到该业务过滤后的URL序列。
可以理解的是,本发明实施例中,步骤130可以具体执行为:确定URL序列中的各URL以及各URL对应返回的页面结构;从各URL以及各URL对应返回的页面结构中提取各URL的特征标识;将各URL的特征标识中特征相似程度达到预设标准的特征标识合并为一个特征标识集。
本步骤中,基于步骤120的分析结果,对用户操作行为进行记录,同时对用户URL进行特征聚类和集合提取,并结合返回页面结构,形成用户操作行为的特征标识。
特征标识中的特征包括两部分:URL和与URL对应的页面结构。URL例如为:如/npage/lonin_call/ajax_destroy.jsp,页面结构(HTML结构)为页面结构请求信息中包含特征的一些主要参数和内容,如host、cookie、sessionid等。
例如,对单一用户的操作的特征标识进行记录,记录格式为:(kid),(Bussystemid),(Loginid),(authority1,authority2,authority3...),...。其中,Kid表示用户标识,Bussystemid表示业务系统标识,loginid表示用户使用的登录账号,authority表示该用户的所有操作的特征。经过长时间的记录,对特征标识中特征相似的用户进行聚合形成一个用户组特征标识集,即预先设置相似度的预设标准,将特征相似度达到对特征标识相似的用户特征标识进行合并。合并后的用户组特征标识集可以表示为:(G1),{A1,A2,A3,A4,A5,A6,...,An},该用户组特征标识集合代表了该用户组内所有用户的操作的特征标识,格式为:(gid),(Bussystemid),(rolename),(authority1,authority2,authority3...),...。其中,gid为用户组标识,Bussystemid为业务系统标识,rolename为该用户组角色名称,authority为该用户组用户权限内操作的特征标识集,即用于判定用户是否越权的基线。
可以理解的是,本发明实施例中步骤140可以具体执行为:提取目标访问请求对应的目标特征标识;基于目标特征标识中的目标用户标识确定目标用户标识对应的目标特征标识集;当目标特征标识集中不存在目标特征标识时,判定目标访问请求对应用户的行为为越权行为。
其中,本发明实施例中,目标访问请求即为要检测的用户行为。当采集到目标用户的目标访问请求时,可以先提取目标访问请求对应的目标特征标识,此时需要获取目标用户请求的URL、与URL对应返回的页面结构以及目标用户标识,本发明实施例以URL和页面结构的host、cookie、sessionid参数值作为特征,则目标用户的特征标识包括目标用户请求的URL和与URL对应返回的页面结构中host、cookie、sessionid的参数值。在提取目标特征标识之后,通过目标特征标识中的目标用户标识可以从步骤103确定的特征标识集中查找出与目标用户标识对应的目标特征标识集,此时将目标特征标识中的特征与目标特征标识集中的特征进行比较,如果目标特征标识中的特征在目标特征标识集中不存在,则判定目标访问请求对应用户的行为为越权行为;如果目标特征标识中的特征在目标特征标识集中存在,则判定目标访问请求对应用户的行为不为越权行为。
需要说明的是,在目标访问请求数量较多时,步骤140中还可以首先对目标访问请求进行缓存,然后在分别进行判断。在本步骤中,当判定出目标用户的行为为越权行为时,还可以对目标用户的行为进行记录,以及进行报警。
下述为验证本发明实施的方法而得出的数据。为了验证本发明实施的方法效果,选取了一套多用户访问的业务系统进行测试,通过镜像方式旁路采集约1小时的用户访问请求(流量70Mbps左右),并对访问请求进行还原,过滤掉无意义的css、图片等请求后,针对涉及数据交互的HTML、XML样本进行分析和验证。
1)访问请求样本收集及用户识别。
利用步骤150-步骤170的用户标识的识别方式,基于本次测试,共识别出用户513个,同时对这些用户访问的共201932个URL样本进行收集,结果如表4所示。
表1
类别 样本总量 用户数
HTML 49302 125
XML 152630 388
2)计算不同业务的URL序列
本次测试共识别出201932访问请求及其返回页面结构,通过特征聚类和集合提取算法,对其他可能会对后续监测时产生干扰效果识别无关URL进行去除(如无意义的css、图片等请求),最终识别出有效的业务URL序列共8512个,结果如表2所示。
表2
类别 样本总量 URL序列
HTML 49302 3125
XML 152630 5387
对于聚类准确性的评价指标:由于聚类结果较多,难以进行全面评估,只能随机抽取部分样本构建子空间,进行评价,采用purity方法进行评价。purity是一种简单的聚类评价方法,只需计算正确聚类的文档数占总文档数的比例:
其中Ω={ω1,ω2,...ωk}是聚类的集合,ωk表示第k个聚类得出的URL序列。C={c1,c2,...cj}是业务页面结构集合,cj表示第j个页面。N表示页面总数。
分别针对HTML和XML,各随机选择10个类别,每个类别随机选择共约10个样本,得到总体平价指标。具体评价结果如下表3所示。
表3
对业务分类的精度的评价,其中XML相对精度较低,主要原因在于系统采用了统一的XML数据框架,数据传输均继承该框架,在对较短小的XML数据交互进行聚类时,其个体特征相对较少,导致利用XML节点标签及属性聚类效果不是太好,后续在对其聚类后,按照URL进行再次区分,即能达到较好的效果。
3)确定特征标识集合
根据聚类后形成的业务类别,对每个业务的输入数据变量、页面结构进行收集统计,识别出变量类型、取值类型、取值范围、页面结构特征等建立权限合规基线。同时去除了部分页面结构为空或不完整的样本,并对页面结构相同的样本进行合并得出有效特征。
通过步骤130中的方法,最终从本次测试数据中共合并出59个特征标识集合,结果如表4所示。
表4
为验证该结果的有效性,对这59个特征标识集合进行特征重合度验证:特征标识集合的特征重合度在12%~31%之间,对重合度较高的特征进行了分析,发现这类特征主要是一些登录、首页、认证、错误提示、退出登录等通用性较高的操作行为,剔出这部分特征后,特征标识集合中国特征的重合度下降到了2%~9%,达到了预期效果。
3)越权行为检测
我们从59个特征标识集合中随机抽取了10个用户进行测试,通过步骤140的越权行为检测流程,分别进行权限内及权限外的操作行为各10次,观察是否会产生相应告警,结果如表5所示。
表5
从测试结果来看,权限外操作告警均能100%发现,但权限内的操作行为也有一些告警产生(约占3%),分析误报的原因发现,部分误报的操作行为的特征和权限内对应特征在一些细节上有区别,被判定为了权限外的操作特征,这可能和浏览器不同或偶尔的丢包导致的结果偏差,整体误报率控制在5%以内,满足测试预期。
图2示出了根据本发明一实施例的用户越权行为的检测装置200的示意性框图。如图2所示,该装置200包括:
识别单元201,用于基于用户标识对采集的访问业务系统的访问请求进行用户识别;
聚类单元202,用于对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,URL序列包括不同业务对应的URL序列,访问用户集合包括不同业务对应的访问用户集合;
确定单元203,用于根据URL序列和用户集合对应确定不同业务的特征标识集合,特征标识集合包括至少一个特征标识,特征标识包括URL序列中URL和对应的页面结构所具有的特征,以及与特征对应的用户标识;
检测单元204,用于基于所述特征标识集对接收的目标访问请求进行越权行为检测。
本发明实施例中基于用户标识对采集的访问业务系统的访问请求进行用户识别;对用户识别的访问请求中的URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合;提取URL序列和用户集合对应的特征标识集,特征标识集表示用户未越权访问时访问请求所具有的特征标识的集合;基于特征标识集对接收的目标访问请求进行越权行为检测。本发明实施例对采集的业务系统的访问请求进行分析,利用聚类分析技术,得出不同业务对应的URL序列和不同业务对应的访问用户集合,并提取出特征标识集,建立了用户群和业务范围的映射关系,基于这种映射关系可以判断出用户的行为是否越权,不需要人工进行业务逻辑、业务权限设置,实现了自动识别未知攻击,提高了攻击识别的准确性,增强了WEB应用权限管理的适用性,对业务复杂的系统也可以适用。
图3示出了根据本发明又一实施例的用户越权行为的检测装置200的示意性框图。
可以理解的是,如图3所示,该装置200还可以包括:
提取单元205,用于提取所述访问请求中出现的网络协议IP、用户代理user-agent和储存在用户本地终端上的数据Cookie域信息;
计算单元206,用于分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息;
所述确定单元204还用于将所述IP、所述user-agent和所述目标Cookie域信息确定为所述用户标识。
可以理解的是,所述计算单元206还用于:
统计Cookie域信息中各Cookie属性名在访问请求中出现的出现频率;
当各Cookie属性名的出现频率中包括小于第一预设值的出现频率时,将除出现频率小于第一预设值的Cookie属性名之外剩余的Cookie域信息作为目标Cookie域信息。
可以理解的是,所述计算单元206还用于:
统计所述访问请求中属于每个用户的用户访问集合,其中,所述IP和user-agent相同的访问请求属于同一用户;
统计每个所述用户访问集合中属于不同类型操作的操作请求集合;
统计每个所述操作请求集合中所述Cookie域信息中各Cookie属性名的属性值的第一变化频率;
当所有用户的操作请求集合中属于相同类型操作的操作请求集合中都存在所述第一变化频率小于第二预设值的属性值时,将除所述第一变化频率小于所述第二预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。
可以理解的是,所述计算单元206还用于:
从所有的访问请求中选取预设数目个属于不同用户的第一访问请求集合;
统计所述第一访问请求集合中所述Cookie域信息中各Cookie属性名的属性值的第二变化频率;
当所述各Cookie属性名的属性值的第二变化频率中包括小于第三预设值的第二变化频率时,将除所述第二变化频率小于所述第三预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。
可以理解的是,所述聚类单元202还用于:
通过预设聚类算法将用户识别的访问请求中的URL聚类出所述URL序列和所述访问用户集合;
分别获取所述URL序列包括每个用户的访问请求;
按照所述每个用户的访问请求中URL的时间先后顺序对所述URL序列中的URL进行排序;
统计所排序后的所述URL序列中两两顺序URL之间的时间间隔的平均值;
当所述平均值大于第四预设值时,判定所述两两顺序URL为弱时序关系;
当所述平均值大于所述第四预设值时,判定所述两两顺序URL为强时序关系。
可以理解的是,所述URL序列包括单一用户访问的所有URL序列、单一业务的URL序列、单一用户访问单一业务的URL序列;所述访问用户集合包括单一业务的所有访问用户集合。
可以理解的是,所述确定单元203还用于:
确定所述URL序列中的各URL以及各URL对应返回的页面结构;
从所述各URL以及各URL对应返回的页面结构中提取所述各URL的特征标识;
将所述各URL的特征标识中特征相似程度达到预设标准的特征标识合并为一个所述特征标识集。
可以理解的是,所述检测单元204还用于:
提取所述目标访问请求对应的目标特征标识;
基于所述目标特征标识中的目标用户标识确定所述目标用户标识对应的目标特征标识集;
当所述目标特征标识集中不存在所述目标特征标识时,判定所述目标访问请求对应用户的行为为越权行为。
根据本发明实施例的用户越权行为的检测装置200可对应于根据本发明实施例的用户越权行为的检测方法中的执行主体,并且用户越权行为的检测装置200中的各个模块的上述和其它操作和/或功能分别为了实现图1中的各个方法的相应流程,为了简洁,在此不再赘述。
图4是根据本发明一实施例的用户越权行为的检测设备300的示意性框图。如图4所示,设备300包括处理器301、存储器302和通信接口303,存储器302用于存储可执行的程序代码,处理器301通过读取存储器302中存储的可执行程序代码来运行与可执行程序代码对应的程序,通信接口303用于与外部设备通信,设备300还可以包括总线304,总线304用于连接处理器301、存储器302和通信接口303,使处理器301、存储器302和通信接口303通过总线304进行相互通信。
具体地,处理器301还用于执行一种用户越权行为的检测方法;其中,用户越权行为的检测方法包括:
存储器、处理器、通信接口和总线;
所述存储器、所述处理器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器用于存储程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种用户越权行为的检测方法;其中,所述用户越权行为的检测包括:
基于用户标识对采集的访问业务系统的访问请求进行用户识别;
对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,所述URL序列包括不同业务对应的URL序列,所述访问用户集合包括不同业务对应的访问用户集合;
根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合,所述特征标识集合包括至少一个特征标识,所述特征标识包括所述URL序列中URL和对应的页面结构所具有的特征,以及与所述特征对应的用户标识;
基于所述特征标识集对接收的目标访问请求进行越权行为检测。
根据本发明实施例的用户越权行为的检测设备300可对应于根据本发明实施例的用户越权行为的检测方法中的执行主体,并且用户越权行为的检测设备300中的各个模块的上述和其它操作和/或功能分别为了实现图1中的各个方法的相应流程,为了简洁,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (19)

1.一种用户越权行为的检测方法,包括:
基于用户标识对采集的访问业务系统的访问请求进行用户识别;
对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,所述URL序列包括不同业务对应的URL序列,所述访问用户集合包括不同业务对应的访问用户集合;
根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合,所述特征标识集合包括至少一个特征标识,所述特征标识包括所述URL序列中URL和对应的页面结构所具有的特征,以及与所述特征对应的用户标识;
基于所述特征标识集对接收的目标访问请求进行越权行为检测。
2.根据权利要求1所述的方法,在所述基于用户标识对采集的访问业务系统的访问请求进行用户识别之前,所述方法还包括:
提取所述访问请求中出现的网络协议IP、用户代理user-agent和储存在用户本地终端上的数据Cookie域信息;
分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息;
将所述IP、所述user-agent和所述目标Cookie域信息确定为所述用户标识。
3.根据权利要求2所述的方法,所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括:
统计所述Cookie域信息中各Cookie属性名在所述访问请求中出现的出现频率;
当所述各Cookie属性名的出现频率中包括小于第一预设值的出现频率时,将除所述出现频率小于所述第一预设值的Cookie属性名之外剩余的Cookie域信息作为所述目标Cookie域信息。
4.根据权利要求2或3所述的方法,所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括:
统计所述访问请求中属于每个用户的用户访问集合,其中,所述IP和user-agent相同的访问请求属于同一用户;
统计每个所述用户访问集合中属于不同类型操作的操作请求集合;
统计每个所述操作请求集合中所述Cookie域信息中各Cookie属性名的属性值的第一变化频率;
当所有用户的操作请求集合中属于相同类型操作的操作请求集合中都存在所述第一变化频率小于第二预设值的属性值时,将除所述第一变化频率小于所述第二预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。
5.根据权利要求2-4任一项所述的方法,所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括:
从所有的访问请求中选取预设数目个属于不同用户的第一访问请求集合;
统计所述第一访问请求集合中所述Cookie域信息中各Cookie属性名的属性值的第二变化频率;
当所述各Cookie属性名的属性值的第二变化频率中包括小于第三预设值的第二变化频率时,将除所述第二变化频率小于所述第三预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。
6.根据权利要求1所述的方法,所述对用户识别的访问请求中的URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合包括:
通过预设聚类算法将用户识别的访问请求中的URL聚类出所述URL序列和所述访问用户集合;
分别获取所述URL序列包括每个用户的访问请求;
按照所述每个用户的访问请求中URL的时间先后顺序对所述URL序列中的URL进行排序;
统计所排序后的所述URL序列中两两顺序URL之间的时间间隔的平均值;
当所述平均值大于第四预设值时,判定所述两两顺序URL为弱时序关系;
当所述平均值大于所述第四预设值时,判定所述两两顺序URL为强时序关系。
7.根据权利要求1或6所述的方法,所述URL序列包括单一用户访问的所有URL序列、单一业务的URL序列、单一用户访问单一业务的URL序列;所述访问用户集合包括单一业务的所有访问用户集合。
8.根据权利要求1所述的方法,所述根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合包括:
确定所述URL序列中的各URL以及各URL对应返回的页面结构;
从所述各URL以及各URL对应返回的页面结构中提取所述各URL的特征标识;
将所述各URL的特征标识中特征相似程度达到预设标准的特征标识合并为一个所述特征标识集。
9.根据权利要求1所述的方法,所述基于所述特征标识集对接收的目标访问请求进行越权行为检测包括:
提取所述目标访问请求对应的目标特征标识;
基于所述目标特征标识中的目标用户标识确定所述目标用户标识对应的目标特征标识集;
当所述目标特征标识集中不存在所述目标特征标识时,判定所述目标访问请求对应用户的行为为越权行为。
10.一种用户越权行为的检测装置,包括:
识别单元,用于基于用户标识对采集的访问业务系统的访问请求进行用户识别;
聚类单元,用于对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,所述URL序列包括不同业务对应的URL序列,所述访问用户集合包括不同业务对应的访问用户集合;
确定单元,用于根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合,所述特征标识集合包括至少一个特征标识,所述特征标识包括所述URL序列中URL和对应的页面结构所具有的特征,以及与所述特征对应的用户标识;
检测单元用于基于所述特征标识集对接收的目标访问请求进行越权行为检测。
11.根据权利要求10所述的装置,还包括:
提取单元,用于提取所述访问请求中出现的网络协议IP、用户代理user-agent和储存在用户本地终端上的数据Cookie域信息;
计算单元,用于分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息;
所述确定单元还用于将所述IP、所述user-agent和所述目标Cookie域信息确定为所述用户标识。
12.根据权利要求11所述的装置,所述计算单元还用于:
统计所述Cookie域信息中各Cookie属性名在所述访问请求中出现的出现频率;
当所述各Cookie属性名的出现频率中包括小于第一预设值的出现频率时,将除所述出现频率小于所述第一预设值的Cookie属性名之外剩余的Cookie域信息作为所述目标Cookie域信息。
13.根据权利要求11或12所述的装置,所述计算单元还用于:
统计所述访问请求中属于每个用户的用户访问集合,其中,所述IP和user-agent相同的访问请求属于同一用户;
统计每个所述用户访问集合中属于不同类型操作的操作请求集合;
统计每个所述操作请求集合中所述Cookie域信息中各Cookie属性名的属性值的第一变化频率;
当所有用户的操作请求集合中属于相同类型操作的操作请求集合中都存在所述第一变化频率小于第二预设值的属性值时,将除所述第一变化频率小于所述第二预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。
14.根据权利要求11-13任一项所述的装置,所述计算单元还用于:
从所有的访问请求中选取预设数目个属于不同用户的第一访问请求集合;
统计所述第一访问请求集合中所述Cookie域信息中各Cookie属性名的属性值的第二变化频率;
当所述各Cookie属性名的属性值的第二变化频率中包括小于第三预设值的第二变化频率时,将除所述第二变化频率小于所述第三预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。
15.根据权利要求10所述的装置,所述聚类单元还用于:
通过预设聚类算法将用户识别的访问请求中的URL聚类出所述URL序列和所述访问用户集合;
分别获取所述URL序列包括每个用户的访问请求;
按照所述每个用户的访问请求中URL的时间先后顺序对所述URL序列中的URL进行排序;
统计所排序后的所述URL序列中两两顺序URL之间的时间间隔的平均值;
当所述平均值大于第四预设值时,判定所述两两顺序URL为弱时序关系;
当所述平均值大于所述第四预设值时,判定所述两两顺序URL为强时序关系。
16.根据权利要求10或15所述的装置,其中,所述URL序列包括单一用户访问的所有URL序列、单一业务的URL序列、单一用户访问单一业务的URL序列;所述访问用户集合包括单一业务的所有访问用户集合。
17.根据权利要求10所述的装置,其中,所述确定单元还用于:
确定所述URL序列中的各URL以及各URL对应返回的页面结构;
从所述各URL以及各URL对应返回的页面结构中提取所述各URL的特征标识;
将所述各URL的特征标识中特征相似程度达到预设标准的特征标识合并为一个所述特征标识集。
18.根据权利要求10所述的装置,其中,所述检测单元还用于:
提取所述目标访问请求对应的目标特征标识;
基于所述目标特征标识中的目标用户标识确定所述目标用户标识对应的目标特征标识集;
当所述目标特征标识集中不存在所述目标特征标识时,判定所述目标访问请求对应用户的行为为越权行为。
19.一种用户越权行为的检测设备,包括:
存储器、处理器、通信接口和总线;
所述存储器、所述处理器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器用于存储程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种用户越权行为的检测方法;其中,所述用户越权行为的检测包括:
基于用户标识对采集的访问业务系统的访问请求进行用户识别;
对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,所述URL序列包括不同业务对应的URL序列,所述访问用户集合包括不同业务对应的访问用户集合;
根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合,所述特征标识集合包括至少一个特征标识,所述特征标识包括所述URL序列中URL和对应的页面结构所具有的特征,以及与所述特征对应的用户标识;
基于所述特征标识集对接收的目标访问请求进行越权行为检测。
CN201710045066.6A 2017-01-20 2017-01-20 一种用户越权行为的检测方法、装置及设备 Active CN108334758B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710045066.6A CN108334758B (zh) 2017-01-20 2017-01-20 一种用户越权行为的检测方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710045066.6A CN108334758B (zh) 2017-01-20 2017-01-20 一种用户越权行为的检测方法、装置及设备

Publications (2)

Publication Number Publication Date
CN108334758A true CN108334758A (zh) 2018-07-27
CN108334758B CN108334758B (zh) 2020-08-18

Family

ID=62922048

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710045066.6A Active CN108334758B (zh) 2017-01-20 2017-01-20 一种用户越权行为的检测方法、装置及设备

Country Status (1)

Country Link
CN (1) CN108334758B (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109446054A (zh) * 2018-09-03 2019-03-08 中国平安人寿保险股份有限公司 基于大数据的越权操作请求的处理方法及终端设备
CN109977637A (zh) * 2019-01-17 2019-07-05 阿里巴巴集团控股有限公司 辅助确定垂直越权、确定垂直的方法、装置及电子设备
CN110287660A (zh) * 2019-05-21 2019-09-27 深圳壹账通智能科技有限公司 访问权限控制方法、装置、设备及存储介质
CN110362997A (zh) * 2019-06-04 2019-10-22 广东工业大学 一种基于生成对抗网络的恶意url过采样方法
CN110598418A (zh) * 2019-09-10 2019-12-20 深圳开源互联网安全技术有限公司 基于iast测试工具动态检测垂直越权的方法及系统
CN110705603A (zh) * 2019-09-10 2020-01-17 深圳开源互联网安全技术有限公司 动态判断用户请求数据相似度的方法及系统
CN111526143A (zh) * 2020-04-21 2020-08-11 北京思特奇信息技术股份有限公司 一种crm系统防越权的实现方法及其装置和存储介质
CN113177163A (zh) * 2021-04-28 2021-07-27 烟台中科网络技术研究所 用于社交动态信息情感分析的方法、系统和存储介质
CN115329316A (zh) * 2022-10-17 2022-11-11 闪捷信息科技有限公司 权限处理方法、装置、存储介质和电子设备
CN115348117A (zh) * 2022-10-20 2022-11-15 闪捷信息科技有限公司 用户水平越权行为判定方法和装置
CN115664743A (zh) * 2022-10-17 2023-01-31 浙江网商银行股份有限公司 行为检测方法以及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103501304A (zh) * 2013-10-12 2014-01-08 深信服网络科技(深圳)有限公司 控制web系统越权访问的方法及装置
CN105357195A (zh) * 2015-10-30 2016-02-24 深圳市深信服电子科技有限公司 web访问的越权漏洞检测方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103501304A (zh) * 2013-10-12 2014-01-08 深信服网络科技(深圳)有限公司 控制web系统越权访问的方法及装置
CN105357195A (zh) * 2015-10-30 2016-02-24 深圳市深信服电子科技有限公司 web访问的越权漏洞检测方法及装置

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109446054A (zh) * 2018-09-03 2019-03-08 中国平安人寿保险股份有限公司 基于大数据的越权操作请求的处理方法及终端设备
CN109446054B (zh) * 2018-09-03 2023-08-25 中国平安人寿保险股份有限公司 基于大数据的越权操作请求的处理方法及终端设备
CN109977637A (zh) * 2019-01-17 2019-07-05 阿里巴巴集团控股有限公司 辅助确定垂直越权、确定垂直的方法、装置及电子设备
CN110287660A (zh) * 2019-05-21 2019-09-27 深圳壹账通智能科技有限公司 访问权限控制方法、装置、设备及存储介质
CN110362997B (zh) * 2019-06-04 2023-01-17 广东工业大学 一种基于生成对抗网络的恶意url过采样方法
CN110362997A (zh) * 2019-06-04 2019-10-22 广东工业大学 一种基于生成对抗网络的恶意url过采样方法
CN110598418A (zh) * 2019-09-10 2019-12-20 深圳开源互联网安全技术有限公司 基于iast测试工具动态检测垂直越权的方法及系统
CN110705603A (zh) * 2019-09-10 2020-01-17 深圳开源互联网安全技术有限公司 动态判断用户请求数据相似度的方法及系统
CN110705603B (zh) * 2019-09-10 2020-11-06 深圳开源互联网安全技术有限公司 动态判断用户请求数据相似度的方法及系统
CN111526143A (zh) * 2020-04-21 2020-08-11 北京思特奇信息技术股份有限公司 一种crm系统防越权的实现方法及其装置和存储介质
CN113177163A (zh) * 2021-04-28 2021-07-27 烟台中科网络技术研究所 用于社交动态信息情感分析的方法、系统和存储介质
CN115329316A (zh) * 2022-10-17 2022-11-11 闪捷信息科技有限公司 权限处理方法、装置、存储介质和电子设备
CN115664743A (zh) * 2022-10-17 2023-01-31 浙江网商银行股份有限公司 行为检测方法以及装置
CN115329316B (zh) * 2022-10-17 2023-01-31 闪捷信息科技有限公司 权限处理方法、装置、存储介质和电子设备
CN115348117A (zh) * 2022-10-20 2022-11-15 闪捷信息科技有限公司 用户水平越权行为判定方法和装置

Also Published As

Publication number Publication date
CN108334758B (zh) 2020-08-18

Similar Documents

Publication Publication Date Title
CN108334758A (zh) 一种用户越权行为的检测方法、装置及设备
CN111092852B (zh) 基于大数据的网络安全监控方法、装置、设备及存储介质
CN107579956B (zh) 一种用户行为的检测方法和装置
CN105930727B (zh) 基于Web的爬虫识别方法
US9699042B2 (en) Systems and methods of classifying sessions
CN108156131A (zh) Webshell检测方法、电子设备和计算机存储介质
CN107465651A (zh) 网络攻击检测方法及装置
CN107786545A (zh) 一种网络攻击行为检测方法及终端设备
Truong-Huu et al. An empirical study on unsupervised network anomaly detection using generative adversarial networks
CN108712453A (zh) 基于逻辑回归算法的注入攻击检测方法、装置和服务器
CN107733902A (zh) 一种目标数据扩散过程的监控方法及装置
CN113949577A (zh) 一种应用于云服务的数据攻击分析方法及服务器
CN105812200A (zh) 异常行为检测方法及装置
CN107409134A (zh) 法证分析
CN107888602A (zh) 一种检测异常用户的方法及装置
CN114915479A (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
CN108337269A (zh) 一种WebShell检测方法
CN109547426A (zh) 业务响应方法及服务器
CN115150182B (zh) 基于流量分析的信息系统网络攻击检测方法
CN112839014A (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN114003903A (zh) 一种网络攻击追踪溯源方法及装置
CN107465691A (zh) 基于路由器日志分析的网络攻击检测系统及检测方法
CN104731937B (zh) 用户行为数据的处理方法及装置
CN110865866B (zh) 一种基于自省技术的虚拟机安全检测方法
RU2659482C1 (ru) Способ защиты веб-приложений при помощи интеллектуального сетевого экрана с использованием автоматического построения моделей приложений

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant