CN108989294A - 一种准确识别网站访问的恶意用户的方法及系统 - Google Patents
一种准确识别网站访问的恶意用户的方法及系统 Download PDFInfo
- Publication number
- CN108989294A CN108989294A CN201810684242.5A CN201810684242A CN108989294A CN 108989294 A CN108989294 A CN 108989294A CN 201810684242 A CN201810684242 A CN 201810684242A CN 108989294 A CN108989294 A CN 108989294A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- abnormal responses
- access request
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络安全,旨在提供一种准确识别网站访问的恶意用户的方法及系统。该种准确识别网站访问的恶意用户的方法包括步骤:对网站的用户访问行为进行记录;计算用户在第一个周期内,服务器返回非正常响应码次数和访问请求次数的比率,并判断恶意用户和可疑用户;对于可疑用户,计算第二个周期内的服务器返回非正常响应码次数和访问请求次数的比率,并判断可疑用户是转成恶意用户还是释放成可疑用户;将所有恶意用户的访问行为记录为渗透攻击日志;并用于捕获服务器被黑页面和攻击者的信息。本发明能自动、快速、准确地完成网站访问的恶意用户的识别,有效减少了手工操作的繁琐和可能的误判,同时实时性也更高。
Description
技术领域
本发明是关于网络安全领域,特别涉及一种准确识别网站访问的恶意用户的方法及系统。
背景技术
网站的访问用户一般分为两类:正常的访问用户和恶意的访问用户。
正常的访问用户会根据网址进行页面浏览行为,但是也会存在网址错误,权限不对等异常访问的情况。
恶意用户是指借助非法技术手段访问网站,以非法获取或者篡改后台数据为目的的用户。恶意用户除了模拟正常用户的行为外,还会进行比较多的渗透攻击。
渗透攻击:采用构造非法URL(URL是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL)的方式,对网站进行尝试访问,进而根据网站的返回码分析出网站的漏洞和内部构造。渗透攻击的一般步骤如下:
1)通过在请求URL中构造各种参数,这些参数通常都是类似sql语句、代码等,通过这些输入的参数来探测服务器存在的漏洞;
2)根据输入的参数,对服务器返回数据进行分析,判断服务器存在漏洞情况;
3)如果服务器返回了结果,且返回内容中包含了指定的参数,说明服务器存在漏洞,在发现漏洞之后会进一步的上传或者修改页面等操作。
但是,在探测漏洞的过程中往往需要大量尝试性的探测,这些探测URL大多数都是服务器不存在的,因此服务器在不存在漏洞的情况下大多数的响应码都不是200,即非正常响应。
由此可见,在恶意用户造成危害之前,会有很多的渗透攻击活动,如果能够准确实时的识别出来,采取措施,比如把恶意用户加入黑名单或者进行合理的预防处理就显得十分重要了。即,在网络攻防事件中,准确识别恶意用户和正常用户是快速确认攻击源头,抓获非法黑客的重要环节。
现有的方案有下述思路:
方案1:利用防火墙技术屏蔽非法IP对网站的访问;
方案2:手工分析web主机日志,对攻击行为进行识别和分析。
方案3:通过对攻击特征包进行拦截,阻断攻击行为。
但是,方案1依赖对已知的恶意用户的掌握情况;方案2需要手工分析日志、工作量大且容易出错,实时性差;方案3误报较高,且很多时候特征更新不及时,无法防护零日漏洞(零日漏洞:zero-day,又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞)利用攻击。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种能自动、快速、准确地识别网站访问的恶意用户的方法及系统。为解决上述技术问题,本发明的解决方案是:
提供一种准确识别网站访问的恶意用户的方法,具体包括下述步骤:
步骤(1):对网站的用户访问行为进行记录,统计用户在每个周期(以1个小时作为一个周期)内的访问请求次数和服务器返回非正常响应码情况;
服务器返回非正常响应码情况是指服务器返回非正常响应码编号和服务器返回非正常响应码次数;
步骤(2):计算用户在第一个周期内,服务器返回非正常响应码次数和访问请求次数的比率,即服务器返回非正常响应码次数/用户访问请求次数的值,设该比率值为M;
如果该比率值M满足:a<M<1,且a的取值范围为0.5<a<1(该阈值a可根据用户场景配置),则判定该用户为恶意用户;
如果该比率值M满足:b<M<a,且b的取值范围为0<b<0.3(该阈值b可根据用户场景配置),则判断该用户为可疑用户,记录该用户的行为和状态并存储到数据库;
步骤(3):对于步骤(2)中判断的可疑用户,如果在第二个周期内:
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:b<M<1,则将该用户由可疑用户状态转为恶意用户;
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:M<b,则将该用户由可疑用户状态释放为正常用户,并将该释放为正常用户状态的用户访问行为进行释放删除;
步骤(4):将所有恶意用户(即步骤2判定的恶意用户和步骤3判定的恶意用户)的访问行为记录为渗透攻击日志,并保留所有渗透攻击日志;
步骤(5):利用步骤(4)记录的渗透攻击日志,对渗透攻击行为进行关联分析,确定攻击者路径和最终对服务器产生的影响,捕获服务器被黑页面和攻击者的信息。
提供一种准确识别网站访问的恶意用户的系统,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:
步骤(1):对网站的用户访问行为进行记录,统计用户在每个周期(以1个小时作为一个周期)内的访问请求次数和服务器返回非正常响应码情况;
服务器返回非正常响应码情况是指服务器返回非正常响应码编号和服务器返回非正常响应码次数;
步骤(2):计算用户在第一个周期内,服务器返回非正常响应码次数和访问请求次数的比率,即服务器返回非正常响应码次数/用户访问请求次数的值,设该比率值为M;
如果该比率值M满足:a<M<1,且a的取值范围为0.5<a<1(该阈值a可根据用户场景配置),则判定该用户为恶意用户;
如果该比率值M满足:b<M<a,且b的取值范围为0<b<0.3(该阈值b可根据用户场景配置),则判断该用户为可疑用户,记录该用户的行为和状态并存储到数据库;
步骤(3):对于步骤(2)中判断的可疑用户,如果在第二个周期内:
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:b<M<1,则将该用户由可疑用户状态转为恶意用户;
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:M<b,则将该用户由可疑用户状态释放为正常用户,并将该释放为正常用户状态的用户访问行为进行释放删除;
步骤(4):将所有恶意用户(即步骤2判定的恶意用户和步骤3判定的恶意用户)的访问行为记录为渗透攻击日志,并保留所有渗透攻击日志;
步骤(5):利用步骤(4)记录的渗透攻击日志,对渗透攻击行为进行关联分析,确定攻击者路径和最终对服务器产生的影响,捕获服务器被黑页面和攻击者的信息。
本发明的工作原理:借助对用户访问网站行为的检测和处理,进而自动、准确地识别正常用户和恶意用户。本发明利用用户标识的方法,涉及到正常用户到可疑用户的识别方法、可疑用户恢复到正常用户的方法、可疑用户标识为到恶意用户的方法、恶意用户恢复到正常用户的方法。
与现有技术相比,本发明的有益效果是:
本发明能自动、快速、准确地完成网站访问的恶意用户的识别,有效减少了手工操作的繁琐和可能的误判,同时实时性也更高。
附图说明
图1为本发明中用户标识的示意框图。
图2为本发明的工作流程图。
具体实施方式
下面结合附图与具体实施方式对本发明作进一步详细描述:
如图2所示的一种准确识别网站访问的恶意用户的方法,具体包括下述步骤:
步骤(1):对网站的用户访问行为进行记录,以1个小时为作为一个周期,统计用户在每个周期内的访问请求次数和服务器返回非正常响应码情况,包含响应码编号和次数。
步骤(2):计算用户在第一个周期内,服务器返回非正常响应码次数和访问请求次数的比率,即服务器返回非正常响应码次数/用户访问请求次数的值。
如果该比率值M满足:a<M<1,且a的取值范围为0.5<a<1,则判定该用户为恶意用户;
如果该比率值M满足:b<M<a,且b的取值范围为0<b<0.3,则判断该用户为可疑用户,记录该用户的行为和状态并存储到数据库。
步骤(3):如图1所示,对于步骤(2)中判断的可疑用户,如果在第二个周期内:
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:b<M<1,则将该用户由可疑用户状态转为恶意用户;
服务器返回非正常响应码次数和访问请求次数的比率值M低于数值b,则将该用户由可疑用户状态释放为正常用户;在2个小时后,将该释放为正常用户状态的用户访问行为进行释放删除。
步骤(4):将步骤2判定的恶意用户和步骤3判定的恶意用户的访问行为,记录为渗透攻击日志,并保留所有渗透攻击日志。
步骤(5):进一步对渗透攻击行为进行关联分析,确定攻击者路径和最终对服务器产生的影响,捕获服务器被黑页面和攻击者的信息。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (2)
1.一种准确识别网站访问的恶意用户的方法,其特征在于,具体包括下述步骤:
步骤(1):对网站的用户访问行为进行记录,统计用户在每个周期内的访问请求次数和服务器返回非正常响应码情况;
服务器返回非正常响应码情况是指服务器返回非正常响应码编号和服务器返回非正常响应码次数;
步骤(2):计算用户在第一个周期内,服务器返回非正常响应码次数和访问请求次数的比率,即服务器返回非正常响应码次数/用户访问请求次数的值,设该比率值为M;
如果该比率值M满足:a<M<1,且a的取值范围为0.5<a<1,则判定该用户为恶意用户;
如果该比率值M满足:b<M<a,且b的取值范围为0<b<0.3,则判断该用户为可疑用户,记录该用户的行为和状态并存储到数据库;
步骤(3):对于步骤(2)中判断的可疑用户,如果在第二个周期内:
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:b<M<1,则将该用户由可疑用户状态转为恶意用户;
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:M<b,则将该用户由可疑用户状态释放为正常用户,并将该释放为正常用户状态的用户访问行为进行释放删除;
步骤(4):将所有恶意用户的访问行为记录为渗透攻击日志,并保留所有渗透攻击日志;
步骤(5):利用步骤(4)记录的渗透攻击日志,对渗透攻击行为进行关联分析,确定攻击者路径和最终对服务器产生的影响,捕获服务器被黑页面和攻击者的信息。
2.一种准确识别网站访问的恶意用户的系统,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:
步骤(1):对网站的用户访问行为进行记录,统计用户在每个周期内的访问请求次数和服务器返回非正常响应码情况;
服务器返回非正常响应码情况是指服务器返回非正常响应码编号和服务器返回非正常响应码次数;
步骤(2):计算用户在第一个周期内,服务器返回非正常响应码次数和访问请求次数的比率,即服务器返回非正常响应码次数/用户访问请求次数的值,设该比率值为M;
如果该比率值M满足:a<M<1,且a的取值范围为0.5<a<1,则判定该用户为恶意用户;
如果该比率值M满足:b<M<a,且b的取值范围为0<b<0.3,则判断该用户为可疑用户,记录该用户的行为和状态并存储到数据库;
步骤(3):对于步骤(2)中判断的可疑用户,如果在第二个周期内:
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:b<M<1,则将该用户由可疑用户状态转为恶意用户;
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:M<b,则将该用户由可疑用户状态释放为正常用户,并将该释放为正常用户状态的用户访问行为进行释放删除;
步骤(4):将所有恶意用户的访问行为记录为渗透攻击日志,并保留所有渗透攻击日志;
步骤(5):利用步骤(4)记录的渗透攻击日志,对渗透攻击行为进行关联分析,确定攻击者路径和最终对服务器产生的影响,捕获服务器被黑页面和攻击者的信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810684242.5A CN108989294A (zh) | 2018-06-28 | 2018-06-28 | 一种准确识别网站访问的恶意用户的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810684242.5A CN108989294A (zh) | 2018-06-28 | 2018-06-28 | 一种准确识别网站访问的恶意用户的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108989294A true CN108989294A (zh) | 2018-12-11 |
Family
ID=64539167
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810684242.5A Pending CN108989294A (zh) | 2018-06-28 | 2018-06-28 | 一种准确识别网站访问的恶意用户的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108989294A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110138789A (zh) * | 2019-05-20 | 2019-08-16 | 杭州安恒信息技术股份有限公司 | 一种基于哈希算法的防扫描方法及装置 |
| CN110166486A (zh) * | 2019-06-14 | 2019-08-23 | 李啟锋 | 网站防护方法、装置及计算机可读存储介质 |
| CN110708306A (zh) * | 2019-09-29 | 2020-01-17 | 贝壳技术有限公司 | 一种数据处理方法、装置和存储介质 |
| CN111200607A (zh) * | 2019-12-31 | 2020-05-26 | 浙江工业大学 | 一种基于多层lstm的线上用户行为分析方法 |
| CN114841247A (zh) * | 2022-03-31 | 2022-08-02 | 前锦网络信息技术(上海)有限公司 | 一种恶意用户识别方法和系统 |
| CN115333873A (zh) * | 2022-10-17 | 2022-11-11 | 华中科技大学 | 一种基于行为模式的攻击url检测方法、装置及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140041022A1 (en) * | 2012-07-31 | 2014-02-06 | David B. Small | Method and apparatus for providing notification of detected error conditions in a network |
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN105187396A (zh) * | 2015-08-11 | 2015-12-23 | 小米科技有限责任公司 | 识别网络爬虫的方法及装置 |
| CN105930727A (zh) * | 2016-04-25 | 2016-09-07 | 无锡中科富农物联科技有限公司 | 基于Web的爬虫识别算法 |
| CN106027559A (zh) * | 2016-07-05 | 2016-10-12 | 国家计算机网络与信息安全管理中心 | 基于网络会话统计特征的大规模网络扫描检测方法 |
| CN106506451A (zh) * | 2016-09-30 | 2017-03-15 | 百度在线网络技术(北京)有限公司 | 恶意访问的处理方法及装置 |
-
2018
- 2018-06-28 CN CN201810684242.5A patent/CN108989294A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140041022A1 (en) * | 2012-07-31 | 2014-02-06 | David B. Small | Method and apparatus for providing notification of detected error conditions in a network |
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN105187396A (zh) * | 2015-08-11 | 2015-12-23 | 小米科技有限责任公司 | 识别网络爬虫的方法及装置 |
| CN105930727A (zh) * | 2016-04-25 | 2016-09-07 | 无锡中科富农物联科技有限公司 | 基于Web的爬虫识别算法 |
| CN106027559A (zh) * | 2016-07-05 | 2016-10-12 | 国家计算机网络与信息安全管理中心 | 基于网络会话统计特征的大规模网络扫描检测方法 |
| CN106506451A (zh) * | 2016-09-30 | 2017-03-15 | 百度在线网络技术(北京)有限公司 | 恶意访问的处理方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110138789A (zh) * | 2019-05-20 | 2019-08-16 | 杭州安恒信息技术股份有限公司 | 一种基于哈希算法的防扫描方法及装置 |
| CN110166486A (zh) * | 2019-06-14 | 2019-08-23 | 李啟锋 | 网站防护方法、装置及计算机可读存储介质 |
| CN110708306A (zh) * | 2019-09-29 | 2020-01-17 | 贝壳技术有限公司 | 一种数据处理方法、装置和存储介质 |
| CN110708306B (zh) * | 2019-09-29 | 2022-07-12 | 贝壳找房(北京)科技有限公司 | 一种数据处理方法、装置和存储介质 |
| CN111200607A (zh) * | 2019-12-31 | 2020-05-26 | 浙江工业大学 | 一种基于多层lstm的线上用户行为分析方法 |
| CN111200607B (zh) * | 2019-12-31 | 2022-04-19 | 浙江工业大学 | 一种基于多层lstm的线上用户行为分析方法 |
| CN114841247A (zh) * | 2022-03-31 | 2022-08-02 | 前锦网络信息技术(上海)有限公司 | 一种恶意用户识别方法和系统 |
| CN115333873A (zh) * | 2022-10-17 | 2022-11-11 | 华中科技大学 | 一种基于行为模式的攻击url检测方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108989294A (zh) | 一种准确识别网站访问的恶意用户的方法及系统 | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN106790023A (zh) | 网络安全联合防御方法和装置 | |
| CN103701793B (zh) | 服务器肉鸡的识别方法和装置 | |
| CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN110602032A (zh) | 攻击识别方法及设备 | |
| CN107579997A (zh) | 无线网络入侵检测系统 | |
| CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
| US10412101B2 (en) | Detection device, detection method, and detection program | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| CN107566401A (zh) | 虚拟化环境的防护方法及装置 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN107733699A (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN116340943A (zh) | 应用程序保护方法、装置、设备、存储介质和程序产品 | |
| CN107509200A (zh) | 基于无线网络入侵的设备定位方法及装置 | |
| CN116708033B (zh) | 终端安全检测方法、装置、电子设备及存储介质 | |
| CN117336098A (zh) | 一种网络空间数据安全性监测分析方法 | |
| CN107517226A (zh) | 基于无线网络入侵的报警方法及装置 | |
| TW202239178A (zh) | 偵測駭客攻擊的方法及電腦程式產品 | |
| KR101754964B1 (ko) | 악성 행위 탐지 방법 및 시스템 | |
| KR101942442B1 (ko) | 악성코드 검증을 위한 자동화 시스템 및 방법 | |
| CN117439757A (zh) | 终端风险程序的数据处理方法、装置和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181211 |