发明内容
但是,发明人发现:传统方案针对单点行为进行一些防护和监控,但是无法以较高的视角观察全局,发现批量性异动攻击的问题。因此,传统的防护和监控方式的识别准确率和覆盖率不可兼得,精准识别会带来大量漏检,而广覆盖识别会造成识别不够精确。
针对上述问题的至少之一,本说明书实施例提供一种异动攻击的检测方法及装置、安全防护设备;期待既能够对批量操作进行准确的识别,又能够覆盖较多的风险。
根据本说明书实施例的第一个方面,提供一种异动攻击的检测方法,包括:
基于攻击维度和时间周期确定进行批量操作的操作群体;其中所述攻击维度包括属性值相同的一个或多个属性;
针对所述操作群体计算在每个所述时间周期内的攻击指标;
基于多个时间周期对所述操作群体的所述攻击指标进行统计;以及
基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。
根据本说明书实施例的第二个方面,提供一种异动攻击的检测装置,包括:
群体确定单元,其基于攻击维度和时间周期确定进行批量操作的操作群体;其中所述攻击维度包括属性值相同的一个或多个属性;
指标计算单元,其针对所述操作群体计算在每个所述时间周期内的攻击指标;
指标统计单元,其基于多个时间周期对所述操作群体的所述攻击指标进行统计;以及
攻击确定单元,其基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。
根据本说明书实施例的第三个方面,提供一种安全防护设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序以实现如上第一方面所述的异动攻击的检测方法。
根据本说明书实施例的第四个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器执行时实现如上第一方面所述的异动攻击的检测方法。
本说明书实施例的有益效果在于:基于攻击维度和时间周期确定进行批量操作的操作群体;针对所述操作群体计算在每个所述时间周期内的攻击指标;基于多个时间周期对所述操作群体的所述攻击指标进行统计;以及基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。由此,能够将群体行为作为识别对象,既能够对批量操作进行准确的识别,又能够覆盖较多的风险。
参照后文的说明和附图,详细公开了本说明书的特定实施方式,指明了本说明书的原理可以被采用的方式。应该理解,本说明书的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内,本说明书的实施方式包括许多改变、修改和等同。
针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用,与其它实施方式中的特征相组合,或替代其它实施方式中的特征。
应该强调,术语“包括/包含”在本文使用时指特征、整件、步骤或组件的存在,但并不排除一个或更多个其它特征、整件、步骤或组件的存在或附加。
具体实施方式
参照附图,通过下面的说明书,本说明书的前述以及其它特征将变得明显。在说明书和附图中,具体公开了本说明书的特定实施方式,其表明了其中可以采用本说明书的原则的部分实施方式,应了解的是,本说明书不限于所描述的实施方式,相反,本说明书包括落入所附权利要求的范围内的全部修改、变型以及等同物。
在本说明书实施例中,术语“第一”、“第二”等用于对不同元素从称谓上进行区分,但并不表示这些元素的空间排列或时间顺序等,这些元素不应被这些术语所限制。术语“和/或”包括相关联列出的术语的一种或多个中的任何一个和所有组合。术语“包含”、“包括”、“具有”等是指所陈述的特征、元素、元件或组件的存在,但并不排除存在或添加一个或多个其他特征、元素、元件或组件。
在本说明书实施例中,单数形式“一”、“该”等包括复数形式,应广义地理解为“一种”或“一类”而并不是限定为“一个”的含义;此外术语“所述”应理解为既包括单数形式也包括复数形式,除非上下文另外明确指出。此外术语“根据”应理解为“至少部分根据……”,术语“基于”应理解为“至少部分基于……”,除非上下文另外明确指出。
在本说明书实施例中,术语“终端设备”(TE,Terminal Equipment)或客户端例如是指通过网络设备接入通信网络并接收网络服务的设备。终端设备可以是固定的或移动的,并且也可以称为终端、用户端、接入终端、站,等等。
其中,终端设备可以包括但不限于如下设备:个人计算机、工作站、蜂窝电话(Cellular Phone)、个人数字助理(PDA,Personal Digital Assistant)、无线调制解调器、无线通信设备、手持设备、机器型通信设备、膝上型计算机、无绳电话、智能手机、智能手表、数字相机,等等。
在本说明书实施例中,术语“安全防护设备”可以为网关或者防火墙设备,也可以为其他设备。安全防护设备可以位于终端设备和服务器之间,对终端设备和服务器之间的通信进行安全防护。安全防护设备可以是独立于服务器的网络设备,也可以是与服务器集成在一起的网络安全应用,本说明书并不对安全防护设备和终端设备的具体形态进行限制。
以下通过示例对本说明书实施例的场景进行说明,但本说明书不限于此。
图1是本说明书实施例的安全防护系统的一示意图,示意性说明了终端设备、安全防护设备和服务器的情况,如图1所示,安全防护系统100可以包括终端设备101、安全防护设备102和服务器103。为简单起见,图1仅以一个终端设备、一个安全防护设备和一个服务器为例进行说明,但本说明书实施例不限于此。
如图1所示,安全防护设备102分别与终端设备101和服务器103通信连接。例如,安全防护设备102的公网IP地址和服务器103的公网IP地址可以相同,同时,安全防护设备102的内网IP地址和服务器103的内网IP地址不同;但本说明书不限于此。例如,由于安全防护设备102的公网IP地址和服务器103的公网IP地址相同,因此终端设备101发送到服务器103的消息就会被安全防护设备102截获,且终端设备101无法得知所述安全防护设备102的存在。
以上仅示例性对本说明书的场景进行了说明,但本说明书不限于此,还可以根据实际情况适用于其他的场景。以下对本说明书实施例进行进一步说明。
实施例1
本说明书实施例提供一种异动攻击的检测方法,该检测方法可以应用于安全防护设备102中,或者应用于由安全防护设备102和服务器103构成的系统中,本说明书不限于此。
图2是本说明书实施例的异动攻击的检测方法的一示意图,如图2所示,所述方法包括:
步骤202,基于攻击维度和时间周期确定进行批量操作的操作群体;其中所述攻击维度包括属性值相同的一个或多个属性;
步骤204,针对所述操作群体计算在每个所述时间周期内的攻击指标;
步骤206,基于多个时间周期对所述操作群体的所述攻击指标进行统计;以及
步骤208,基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。
在本实施例中,所述批量操作可以包括批量账号注册和/或批量优惠购买,但本说明书不限于此,以下将以批量注册操作为例进行说明。
例如,批量注册本质上可能是由一个团伙操控的,因此在发起攻击的位置、手法、设备、软件(例如应用APP)版本上都会有大量的聚集性。以群体为识别对象的异动攻击的监控方法体系,能够识别批量性的主动性风险行为;因此更贴近黑色产业攻击的本质,而不拘泥于单点行为的识别,能够有效地提升识别的准确性和覆盖率。以此为基础,能够对风险行为进行整体的监控,必要时可以进行线下定位打击。
值得注意的是,以上图2仅对本说明书实施例进行了示意性说明,但本说明书不限于此。例如可以适当地调整各个步骤之间的执行顺序,此外还可以增加其他的一些步骤或者减少其中的某些步骤。本领域的技术人员可以根据上述内容进行适当地变型,而不仅限于上述附图2的记载。
在本实施例中,所述攻击维度包括属性值相同的一个或多个属性;所述属性可以包括如下至少之一:解析地址(例如IP解析的国家、省份、市、县等)、操作设备的操作系统(例如IOS、Android、Windows)、注册渠道(例如是淘宝注册、支付宝APP注册还是H5页面注册等)、软件版本(例如APP版本号等);但本说明书不限于此。
例如,对于一个团伙操作的批量注册行为,可能会选用统一版本的APP,安装在类似甚至相同型号的手机,通过一个网络进行工作。因此这些注册的基本属性都是相同的。因此,本说明书实施例可以把这种或者这些属性称作为“攻击维度”,例如包括注册攻击使用的基本属性,它们的特点是在一次攻击行为中一般来说是相同的。
图3是本说明书实施例的异动攻击的识别框架的一示例图,如图3所示,攻击维度可以包括多个属性,可以在多个时间周期内基于攻击维度确定操作群体,并进而计算出攻击指标。
例如,在一个时间周期下,攻击维度的组合能够圈定一部分注册行为,这些行为的集合被称作“注册群体”;一个时间周期例如可以是某一天的固定时间。例如,在每天早上的8点到9点,浙江省通过IOS设备在H5页面上注册的账户,可以被认为是具有相同攻击维度的注册群体。
在本实施例中,所述攻击指标可以包括如下至少之一:注册量、事后认证率、事后交易率、事后登录率、操作设备与注册量的比率;但本说明书不限于此。
例如,在圈定上述注册群体后,一次批量注册攻击必然落在一个注册群体中,大量注册必然对这个群体的各项指标造成影响,使得偏离正常业务指标的波动范围。本说明书实施例将这些会被攻击影响到的指标称作“攻击指标”。
在注册场景中,攻击指标例如可以包含:注册量、事后认证率、事后交易率、事后登陆率、设备与注册量之比率。例如,大量攻击会造成注册量的大幅上涨,大量的垃圾账号会拉低事后认证率,等等,这些指标能够体现被攻击的事实。
此外,需要注意的是,仅计算这些攻击指标可能并不能识别或确定出异常攻击。例如,不同省份的注册量天然具有差别,并不能认为超过一个阈值即为异常攻击;再例如,不同注册渠道的认证率也有天然的差别。
在本实施例中,所述统计包括可以如下至少之一:计算所述攻击指标在所述多个周期内的环比增幅、计算所述攻击指标在所述多个周期内的同比增幅、计算所述攻击指标在所述多个周期内的平均增幅,但本说明书不限于此。
例如,某个周期内一个注册群体的注册量如果较上一周期上涨超过10%,则有异常攻击的可能性;进一步地,如果在同一周期下,其他注册群体的注册量没有明显的涨幅,则可以明确认为该注册群体为异动攻击。
在本实施例中,还可以通过无监督算法或规则等方式确定被攻击的注册群体;这可以通过Isolation Forest或者手工规则等方式实现,但本说明书不限于此,关于这部分内容可以参考相关技术。
由上述实施例可知,基于攻击维度和时间周期确定进行批量操作的操作群体;针对所述操作群体计算在每个所述时间周期内的攻击指标;基于多个时间周期对所述操作群体的所述攻击指标进行统计;以及基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。由此,能够将群体行为作为识别对象,既能够对批量操作进行准确的识别,又能够覆盖较多的风险。
实施例2
本说明书实施例提供一种异动攻击的检测装置。该装置例如可以是安全防护设备,也可以是配置于安全防护设备的某个或某些部件或者组件。本实施例2与实施例1相同的内容不再赘述。
图4是本说明书实施例的异动攻击的检测装置的一示意图,如图4所示,异动攻击的检测装置400包括:
群体确定单元401,其基于攻击维度和时间周期确定进行批量操作的操作群体;其中所述攻击维度包括属性值相同的一个或多个属性;
指标计算单元402,其针对所述操作群体计算在每个所述时间周期内的攻击指标;
指标统计单元403,其基于多个时间周期对所述操作群体的所述攻击指标进行统计;以及
攻击确定单元404,其基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。
在一个实施方式中,所述批量操作包括批量账号注册和/或批量优惠购买。
在一个实施方式中,所述属性包括如下至少之一:解析地址、操作设备的操作系统、注册渠道、软件版本。
在一个实施方式中,所述攻击指标包括如下至少之一:注册量、事后认证率、事后交易率、事后登录率、操作设备与注册量的比率。
在一个实施方式中,所述统计包括如下至少之一:计算所述攻击指标在所述多个周期内的环比增幅、计算所述攻击指标在所述多个周期内的同比增幅、计算所述攻击指标在所述多个周期内的平均增幅。
值得注意的是,以上仅对与本说明书相关的各部件或模块进行了说明,但本说明书不限于此。异动攻击的检测装置400还可以包括其他部件或者模块,关于这些部件或者模块的具体内容,可以参考相关技术。
由上述实施例可知,基于攻击维度和时间周期确定进行批量操作的操作群体;针对所述操作群体计算在每个所述时间周期内的攻击指标;基于多个时间周期对所述操作群体的所述攻击指标进行统计;以及基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。由此,能够将群体行为作为识别对象,既能够对批量操作进行准确的识别,又能够覆盖较多的风险。
实施例3
本说明书实施例还提供一种安全防护设备,本实施例3与实施例1相同的内容不再赘述。
图5是本说明书实施例的安全防护设备的构成示意图。如图5所示,安全防护设备500可以包括:处理器510(例如中央处理器CPU)和存储器520;存储器520耦合到处理器510。其中该存储器520可存储各种数据;此外还存储信息处理的程序530,并且在处理器510的控制下执行该程序530。
例如,处理器510可以被配置为执行程序530而实现如实施例1所述的异常攻击的检测方法。例如处理器510可以被配置为进行如下的控制:基于攻击维度和时间周期确定进行批量操作的操作群体;其中所述攻击维度包括属性值相同的一个或多个属性;针对所述操作群体计算在每个所述时间周期内的攻击指标;基于多个时间周期对所述操作群体的所述攻击指标进行统计;以及基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。
此外,如图5所示,安全防护设备500还可以包括:输入输出(I/O)部件540等;其中,上述部件的功能与现有技术类似,此处不再赘述。值得注意的是,安全防护设备500也并不是必须要包括图5中所示的所有部件;此外,安全防护设备500还可以包括图5中没有示出的部件或模块,可以参考现有技术。
本说明书实施例还提供一种计算机可读程序,其中当在安全防护设备中执行所述程序时,所述程序使得所述安全防护设备执行实施例1所述的异常攻击的检测方法。
本说明书实施例还提供一种存储有计算机可读程序的存储介质,其中所述计算机可读程序使得安全防护设备执行实施例1所述的异常攻击的检测方法。
本说明书以上的装置和方法可以由硬件实现,也可以由硬件结合软件实现。本说明书涉及这样的计算机可读程序,当该程序被逻辑部件所执行时,能够使该逻辑部件实现上文所述的装置或构成部件,或使该逻辑部件实现上文所述的各种方法或步骤。本说明书还涉及用于存储以上程序的存储介质,如硬盘、磁盘、光盘、DVD、flash存储器等。
结合本说明书实施例描述的方法/装置可直接体现为硬件、由处理器执行的软件模块或二者组合。例如,图中所示的功能框图中的一个或多个和/或功能框图的一个或多个组合,既可以对应于计算机程序流程的各个软件模块,亦可以对应于各个硬件模块。这些软件模块,可以分别对应于图中所示的各个步骤。这些硬件模块例如可利用现场可编程门阵列(FPGA)将这些软件模块固化而实现。
软件模块可以位于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动磁盘、CD-ROM或者本领域已知的任何其它形式的存储介质。可以将一种存储介质耦接至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息;或者该存储介质可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。该软件模块可以存储在移动终端的存储器中,也可以存储在可插入移动终端的存储卡中。例如,若设备(如移动终端)采用的是较大容量的MEGA-SIM卡或者大容量的闪存装置,则该软件模块可存储在该MEGA-SIM卡或者大容量的闪存装置中。
针对附图中描述的功能方框中的一个或多个和/或功能方框的一个或多个组合,可以实现为用于执行本说明书所描述功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。针对附图描述的功能方框中的一个或多个和/或功能方框的一个或多个组合,还可以实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、与DSP通信结合的一个或多个微处理器或者任何其它这种配置。
以上结合具体的实施方式对本说明书进行了描述,但本领域技术人员应该清楚,这些描述都是示例性的,并不是对本说明书保护范围的限制。本领域技术人员可以根据本说明书的精神和原理对本说明书做出各种变型和修改,这些变型和修改也在本说明书的范围内。