CN109543404A - 一种访问行为的风险评估方法和装置 - Google Patents
一种访问行为的风险评估方法和装置 Download PDFInfo
- Publication number
- CN109543404A CN109543404A CN201811471392.4A CN201811471392A CN109543404A CN 109543404 A CN109543404 A CN 109543404A CN 201811471392 A CN201811471392 A CN 201811471392A CN 109543404 A CN109543404 A CN 109543404A
- Authority
- CN
- China
- Prior art keywords
- time window
- access
- time
- initial access
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Abstract
本发明提供了一种访问行为的风险评估方法和装置,涉及信息安全的技术领域,包括:利用反向代理技术获取用户在第一时间段对业务系统的初始访问记录,其中,第一时间段包括多个时间窗口,初始访问记录包括用户访问业务系统的访问时间;基于初始访问记录确定第一时间段内各个时间窗口的初始访问记录数量;基于各个时间窗口的初始访问记录数量,从多个时间窗口中确定活跃时间窗口,并根据活跃时间窗口确定用户的危险访问行为,解决了现有的访问行为的风险评估方法中,在获取访问时间时的步骤繁琐,导致对访问行为的风险评估效率较低问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其是涉及一种访问行为的风险评估方法和装置。
背景技术
现有的访问行为的风险评估方法中,为了将访问行为与用户的常用时间窗口相对应,需要将特定的时间划分为多个时间窗口,现有的时间窗口的设定方法包括以下两种:1,根据业务系统内的各个用户的访问行为时间规律为每个用户设定对应常用时间窗口;2,根据业务系统中所有用户的上班时间和下班时间,对用户进行分类,将具有相同上班时间和下班时间的用户划分为一类,为每一类用户设定对应的常用时间窗口,例如,三班倒的企业,按照3个8小时对时间进行划分,将处于同一个8小时内工作的用户划分为一类,并将工作时间的8小时作为该类用户的常用时间窗口,从而确定用户访问行为的风险。但是上述的两种常用时间窗口的认定太过刻板,导致对用户访问行为的风险进行认定时的误差较大。
另外,为了获取用户访问行为的访问时间通常采用业务系统主动上报访问时间的方式或由业务系统对每个访问行为的访问时间进行统计和存储的方式,但是上述两种获取访问行为的访问时间的方式的步骤繁琐,需要对前端设备或业务系统进行改造,进而导致对用户访问行为的风险进行认定时的认定效率较低。
针对上述问题,还未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种访问行为的风险评估方法和装置,以缓解了现有的访问行为的风险评估方法中,在获取访问时间时的步骤繁琐,导致对访问行为的风险评估效率较低问题。
第一方面,本发明实施例提供了一种访问行为的风险评估方法,该方法包括:利用反向代理技术获取用户在第一时间段对业务系统的初始访问记录,其中,所述第一时间段包括多个时间窗口,所述初始访问记录包括用户访问所述业务系统的访问时间;基于所述初始访问记录确定所述第一时间段内各个时间窗口的初始访问记录数量;基于所述各个时间窗口的初始访问记录数量,从所述多个时间窗口中确定活跃时间窗口,并根据所述活跃时间窗口确定所述用户的危险访问行为。
进一步地,所述第一时间段的数量为多个,且多个第一时间段之间包含相同类型的时间窗口;基于所述初始访问记录确定所述第一时间段内各个时间窗口的初始访问记录数量包括:基于第一时间段Ai所对应的初始访问记录,确定所述第一时间段Ai内各个时间窗口的初始访问记录数量,其中,i依次取1至I,I为所述第一时间段的数量。
进一步地,基于所述各个时间窗口的初始访问记录数量,从所述多个时间窗口中确定活跃时间窗口包括:计算各个第一时间段中相同类型的时间窗口的初始访问记录数量的总和,得到所述多个第一时间段中各个类型的时间窗口的初始访问记录数量;基于所述各个类型的时间窗口的初始访问记录数量,确定所述活跃时间窗口。
进一步地,基于所述各个类型的时间窗口的初始访问记录数量,确定所述活跃时间窗口包括:从所述各个类型的时间窗口中选择第一目标时间窗口,其中,所述第一目标时间窗口为所述各个类型的时间窗口中初始访问记录数量最大的时间窗口;从所述各个类型的时间窗口中选择第二目标时间窗口,其中,所述第二目标时间窗口的初始访问记录数量与所述第一目标时间窗口的初始访问记录数量之间的比值大于预设阈值;将所述第一目标时间窗口和/或所述第二目标时间窗口作为所述活跃时间窗口。
进一步地,所述初始访问记录中包括多条初始访问记录;利用反向代理技术获取用户在第一时间段对业务系统进行访问的每一条初始访问记录,具体包括:获取所述第一时间段内用户通过客户端发送的页面请求,并基于所述页面请求生成查询信息;将所述查询信息发送给所述业务系统的共享数据池,以使所述共享数据池基于所述查询信息向所述网关服务器发送反馈信息;将获取到所述反馈信息的网关服务器时间确定为一条初始访问记录中的访问时间,得到一条初始访问记录。
进一步地,根据所述活跃时间窗口确定所述用户的危险访问行为包括:利用反向代理技术获取第二时间段的目标访问记录,其中,所述第二时间段为所述第一时间段之后待进行危险访问行为分析的时间段,所述目标访问记录包括所述用户访问所述业务系统的访问时间;判断所述目标访问记录的访问时间是否处于所述活跃时间窗口内;若是,则确定所述目标访问记录对应的访问行为危险访问行为;若否,则确定所述目标访问记录为对应的访问行为安全访问行为。
进一步地,所述目标访问记录的数量为多条,所述方法还包括:在所述多个时间窗口中确定多条目标访问记录所对应的时间窗口;基于所述多个时间窗口和所述多条目标访问记录之间的对应关系,更新每个时间窗口内访问记录的数量。
第二方面,本发明实施例还提供了一种访问行为的风险评估方法,该装置包括:获取单元,第一确定单元和第二确定单元,其中,所述获取单元用于利用反向代理技术获取用户在第一时间段对业务系统的初始访问记录,其中,所述第一时间段包括多个时间窗口,所述初始访问记录包括用户访问所述业务系统的访问时间;所述第一确定单元用于基于所述初始访问记录确定所述第一时间段内各个时间窗口的初始访问记录数量;所述第二确定单元用于基于所述各个时间窗口的初始访问记录数量,从所述多个时间窗口中确定活跃时间窗口,并根据所述活跃时间窗口确定所述用户的危险访问行为。
进一步地,所述第一确定单元还用于:基于第一时间段Ai所对应的初始访问记录,确定所述第一时间段Ai内各个时间窗口的初始访问记录数量,其中,i依次取1至I,I为所述第一时间段的数量。
进一步地,所述第一确定单元还用于:计算各个第一时间段中相同类型的时间窗口的初始访问记录数量的总和,得到所述多个第一时间段中各个类型的时间窗口的初始访问记录数量;基于所述各个类型的时间窗口的初始访问记录数量,确定所述活跃时间窗口。
在本发明实施例中,首先,利用反向代理技术获取用户在第一时间段对业务系统的初始访问记录,初始访问记录包括用户访问业务系统的访问时间;然后,基于初始访问记录确定第一时间段内各个时间窗口的初始访问记录数量;最后,基于各个时间窗口的初始访问记录数量,从多个时间窗口中确定活跃时间窗口,并根据活跃时间窗口确定用户的危险访问行为。
在本发明中,通过反向代理技术能够高效的获取到访问行为的访问时间以及根据用户的历史访问行为确定用户的活跃时间窗口,从而提高了对用户访问行为风险评估的效率,解决了现有的访问行为的风险评估评估方法中,在获取访问行为的访问时间的步骤繁琐,导致对时间窗口的风险评估效率较低的技术问题,达到了提高对用户访问行为的访问风险评估的效率的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种访问行为的风向评估方法的流程图;
图2为本发明实施例提供的另一种访问行为的风向评估方法的流程图;
图3为本发明实施例提供的另一种访问行为的风向评估方法的流程图;
图4为本发明实施例提供的另一种访问行为的风向评估方法的流程图;
图5为本发明实施例提供的一种访问行为的风向评估装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
根据本发明实施例,提供了一种访问行为的风险评估方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种访问行为的风险评估方法,如图1所示,该方法应用于网关服务器,包括如下步骤:
步骤S102,利用反向代理技术获取用户在第一时间段对业务系统的初始访问记录,其中,所述第一时间段包括多个时间窗口,所述初始访问记录包括用户访问所述业务系统的访问时间;
步骤S104,基于所述初始访问记录确定所述第一时间段内各个时间窗口的初始访问记录数量;
步骤S106,基于所述各个时间窗口的初始访问记录数量,从所述多个时间窗口中确定活跃时间窗口,并根据所述活跃时间窗口确定所述用户的危险访问行为。
在本发明实施例中,通过反向代理技术能够高效的获取到访问行为的访问时间以及根据用户的历史访问行为确定用户的活跃时间窗口,从而提高了对用户访问行为风险评估的效率,解决了现有的访问行为的风险评估评估方法中,在获取访问行为的访问时间的步骤繁琐,导致对时间窗口的风险评估效率较低的技术问题,达到了提高对用户访问行为的访问风险评估的效率的技术效果。
需要说明的是,上述的第一时间段可以由工作人员根据实际情况自行设定,在本发明实施例中不做具体限定,一般第一时间段设定为一天;如果用户的访问行为的访问时间的时间周期为一周,那么第一时间段的数量为7个。
另外,需要说明的是,每个时间窗口的时间长度也可以由工作人员根据实际情况自行设定,在本发明实施例中不做具体限定,一般情况可以将一个第一时间段(即,24小时)划分为48个时间窗口,每个时间窗口的时间长度为30分钟,例如,9:00-9:30,为一个时间窗口,9:31-10:00为另一个时间窗口,以此类推。
在本发明实施例中,所述第一时间段的数量为多个,且多个第一时间段之间包含相同类型的时间窗口,如图2所示,步骤S104包括如下步骤:
步骤S1041,基于第一时间段Ai所对应的初始访问记录,确定所述第一时间段Ai内各个时间窗口的初始访问记录数量,其中,i依次取1至I,I为所述第一时间段的数量。
在本发明实施例中,根据每个第一时间段Ai对应的初始访问记录,确定出每个第一时间段Ai内各个时间窗口中的初始访问记录的数量。
需要说明的是,上述的i依次取1至I,I为第一时间段的数量,如果用户的访问行为的访问时间的时间周期为一周,那么I为7。
在本发明实施例中,如图3所示,步骤S106包括如下步骤:
步骤S1061,计算各个第一时间段中相同类型的时间窗口的初始访问记录数量的总和,得到所述多个第一时间段中各个类型的时间窗口的初始访问记录数量;
步骤S1062,基于所述各个类型的时间窗口的初始访问记录数量,确定所述活跃时间窗口。
在本发明实施例中,计算出每个第一时间段中相同类型的时间窗口中初始访问记录数量的总和,得到多个第一时间段中各个类型的时间窗口的初始访问记录数量。
需要说明的是,每个第一时间段都包含多个类型的时间窗口,各个第一时间段之间具有相同类型的时间窗口,例如,第一时间段A1的时间窗口9:00-9:30和第一时间段A2的时间窗口9:00-9:30为相同类型的时间窗口。
在本发明实施例中,如图4所示,步骤S1062还包括如下步骤:
步骤S11,从所述各个类型的时间窗口中选择第一目标时间窗口,其中,所述第一目标时间窗口为所述各个类型的时间窗口中初始访问记录数量最大的时间窗口;
步骤S12,从所述各个类型的时间窗口中选择第二目标时间窗口,其中,所述第二目标时间窗口的初始访问记录数量与所述第一目标时间窗口的初始访问记录数量之间的比值大于预设阈值;
步骤S13,将所述第一目标时间窗口和/或所述第二目标时间窗口作为所述活跃时间窗口。
在本发明实施例中,在确定活跃目标窗口时,可以将各个类型的时间窗口中初始访问记录数量最大的时间窗口(即,第一目标时间窗口)和/或初始访问记录数量与所述第一目标时间窗口的初始访问记录数量之间的比值大于预设阈值的时间窗口(即,第二目标时间窗口)确定为活跃时间窗口。
需要说明的是,上述的预设阈值可以由工作人员根据实际情况自行设定,在本发明实施例中不做具体限定。
下面将结合具体实例对上述的确定用户的活跃时间窗口的过程进行描述:
用户的访问行为的访问时间的时间周期为一周,第一时间段的数量为7,每个第一时间段内每个时间窗口包含的初始访问记录的数量如下表所示:
其中,每个第一时间段内包含48个时间窗口,每个时间窗口的时间长度为30分钟,下表中未描述的时间窗口包含的初始访问记录的数量均为0,预设阈值为0.5。
各个类型的时间窗在第一目标时间段内口的初始访问记录数量如下表所示:
| 9:01-9:30 | 9:31-10:00 | 10:01-10:30 | 10:31-11:00 | 11:01-11:30 | 11:31-12:00 |
| 56 | 46 | 28 | 49 | 3 | 0 |
基于统计表格可以得出,第一目标时间窗口为时间窗口9:01-9:30,第二目标时间窗口为时间窗口9:31-10:00,时间窗口10:01-10:30和时间窗口10:31-11:00。
如果,用户的活跃时间窗口为第一目标时间窗口和第二目标时间窗口,则时间窗口9:01-9:30,时间窗口9:31-10:00,时间窗口10:01-10:30和时间窗口10:31-11:00均为用户的活跃时间窗口。
在本发明实施例中,所述初始访问记录中包括多条初始访问记录;利用反向代理技术获取用户在第一时间段对业务系统进行访问的每一条初始访问记录,具体包括如下步骤:
步骤S21,获取所述第一时间段内用户通过客户端发送的页面请求,并基于所述页面请求生成查询信息;
步骤S22,将所述查询信息发送给所述业务系统的共享数据池,以使所述共享数据池基于所述查询信息向所述网关服务器发送反馈信息;
步骤S23,将获取到所述反馈信息的网关服务器时间确定为一条初始访问记录中的访问时间,得到一条初始访问记录。
在本发明实施例中,为了获取用户对业务系统进行访问的初始访问记录(重点为获取访问时间),可以通过以下方式获取每条初始访问记录:
首先,网管服务器获取在第一时间段内用户通过客户端发送的页面请求,并根据该页面请求生成查询信息;
然后,将该查询信息发送给业务系统的共享数据池,共享数据池将根据该查询信息向网管服务器发送反馈信息;
最后,网管服务器确定出获取到该反馈信息的网关服务器时间,兵基于该网关服务器时间确定为初始访问记录中包含的访问时间,得到一条初始访问记录。
通过上述的方法获取访问时间不需要对前端设备或业务系统进行改造,能够解决现有的获取访问时间的方法需要对业务系统自身进行改造的技术问题,从而便捷的获取到访问时间,进而提高对用户访问行为风险的评估的效率。
在本发明实施例中,根据所述活跃时间窗口确定所述用户的危险访问行为包括如下步骤:
步骤S31,利用反向代理技术获取第二时间段的目标访问记录,其中,所述第二时间段为多个所述第一时间段之后待进行危险访问行为分析的时间段,所述目标访问记录包括所述用户访问所述业务系统的访问时间;
步骤S32,判断所述目标访问记录的访问时间是否处于所述活跃时间窗口内;
步骤S33,若是,则确定所述目标访问记录对应的访问行为安全访问行为;
步骤S34,若否,则确定所述目标访问记录为对应的访问行为危险访问行为。
在本发明实施例中,为了确定出用户在多个第一时间段之后的访问行为的风险,可以通过以下方式确定出多个第一时间段之后的访问行为的风险:
首先,利用反向代理技术获取用户在多个第一时间段之后的访问记录(即,目标访问记录)。
然后,判断该目标访问记录中的访问时间是否处于活跃时间窗口内。
如果,该目标访问记录中的访问时间处于活跃时间窗口内,那么可以认定该目标访问记录对应的访问行为为安全访问行为。
如果,该目标访问记录中的访问时间不处于活跃时间窗口内,那么可以认定该目标访问记录对应的访问行为为危险访问行为。
由于当目标访问记录中的访问时间不处于活跃时间窗口时,说明该访问记录对应的访问行为不符合用户的日常行为习惯,导致出现该情况出现,可能是由于用户的账户信息被他人窃取,进而为了获取业务系统中的资料,利用用户的账户信息访问业务系统的产生访问行为。
通过,上述方法能够有效的认定出访问行为的风险,进而工作人员能够对危险访问行为制定对应的处理方案,从而能够保护业务系统中存储的资料的安全。
在本发明实施例中,所述方法还包括如下步骤:
步骤S41,在所述多个时间窗口中确定多条目标访问记录所对应的时间窗口;
步骤S42,基于所述多个时间窗口和所述多条目标访问记录之间的对应关系,更新每个时间窗口内访问记录的数量。
在本发明实施例中,当获取到目标访问记录后,确定出该目标访问记录中的访问时间所处的时间窗口。
然后,对该访问时间所处的时间窗口内访问记录的数量进行更新。
例如,如果网管服务器获取到2条目标访问记录,这2条目标访问记录中的访问时间均处于时间窗口9:00-9:30内,且经过步骤S1041后得到时间窗口9:00-9:30内包含的访问记录的数量为10。
那么,对时间窗口9:00-9:30包含的访问记录的数量值进行更新,得到新的访问记录数量为12。
随着时间窗口中访问记录的数量进行更新,用户的活跃时间窗口也将进行更新,从而根据不断更新活跃时间窗口对用户的访问行为的访问风险进行评估时,能够有效提高对用户访问行为的访问行为进行评估得到的评估结果的准确性。
实施例二:
本发明还提供了一种访问行为的风险评估装置,该装置设置与网关服务器内,用于执行本发明实施例上述内容所提供的访问行为的风险评估方法,以下是本发明实施例提供的访问行为的风险评估装置的具体介绍。
如图5所示,该访问行为的风险评估装置包括:获取单元10,第一确定单元20和第二确定单元30,其中,
所述获取单元10用于利用反向代理技术获取用户在第一时间段对业务系统的初始访问记录,其中,所述第一时间段包括多个时间窗口,所述初始访问记录包括用户访问所述业务系统的访问时间;
所述第一确定单元20用于基于所述初始访问记录确定所述第一时间段内各个时间窗口的初始访问记录数量;
所述第二确定单元30用于基于所述各个时间窗口的初始访问记录数量,从所述多个时间窗口中确定活跃时间窗口,并根据所述活跃时间窗口确定所述用户的危险访问行为。
在本发明实施例中,通过反向代理技术能够高效的获取到访问行为的访问时间以及根据用户的历史访问行为确定用户的活跃时间窗口,从而提高了对用户访问行为风险评估的效率,解决了现有的访问行为的风险评估评估方法中,在获取访问行为的访问时间的步骤繁琐,导致对时间窗口的风险评估效率较低的技术问题,达到了提高对用户访问行为的访问风险评估的效率的技术效果。
可选地,所述第一确定单元20还用于:基于第一时间段Ai所对应的初始访问记录,确定所述第一时间段Ai内各个时间窗口的初始访问记录数量,其中,i依次取1至I,I为所述第一时间段的数量。
可选地,所述第一确定单元20还用于:计算各个第一时间段中相同类型的时间窗口的初始访问记录数量的总和,得到所述多个第一时间段中各个类型的时间窗口的初始访问记录数量;基于所述各个类型的时间窗口的初始访问记录数量,确定所述活跃时间窗口。
可选地,第二确定单元30还用于:从所述各个类型的时间窗口中选择第一目标时间窗口,其中,所述第一目标时间窗口为所述各个类型的时间窗口中初始访问记录数量最大的时间窗口;从所述各个类型的时间窗口中选择第二目标时间窗口,其中,所述第二目标时间窗口的初始访问记录数量与所述第一目标时间窗口的初始访问记录数量之间的比值大于预设阈值;将所述第一目标时间窗口和/或所述第二目标时间窗口作为所述活跃时间窗口。
可选地,第二确定单元30还用于:获取所述第一时间段内用户通过客户端发送的页面请求,并基于所述页面请求生成查询信息;将所述查询信息发送给所述业务系统的共享数据池,以使所述共享数据池基于所述查询信息向所述网关服务器发送反馈信息;将获取到所述反馈信息的网关服务器时间确定为一条初始访问记录中的访问时间,得到一条初始访问记录。
可选地,第二确定单元30还用于:利用反向代理技术获取第二时间段的目标访问记录,其中,所述第二时间段为多个所述第一时间段之后待进行危险访问行为分析的时间段,所述目标访问记录包括所述用户访问所述业务系统的访问时间;判断所述目标访问记录的访问时间是否处于所述活跃时间窗口内;若是,则确定所述目标访问记录对应的访问行为安全访问行为;若否,则确定所述目标访问记录为对应的访问行为危险访问行为
可选地,所述装置还包括更新单元,用于在所述多个时间窗口中确定多条目标访问记录所对应的时间窗口;基于所述多个时间窗口和所述多条目标访问记录之间的对应关系,更新每个时间窗口内访问记录的数量。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种访问行为的风险评估方法,其特征在于,应用于网关服务器,包括:
利用反向代理技术获取用户在第一时间段对业务系统的初始访问记录,其中,所述第一时间段包括多个时间窗口,所述初始访问记录包括用户访问所述业务系统的访问时间;
基于所述初始访问记录确定所述第一时间段内各个时间窗口的初始访问记录数量;
基于所述各个时间窗口的初始访问记录数量,从所述多个时间窗口中确定活跃时间窗口,并根据所述活跃时间窗口确定所述用户的危险访问行为。
2.根据权利要求1所述的方法,其特征在于,所述第一时间段的数量为多个,且多个第一时间段之间包含相同类型的时间窗口;
基于所述初始访问记录确定所述第一时间段内各个时间窗口的初始访问记录数量包括:
基于第一时间段Ai所对应的初始访问记录,确定所述第一时间段Ai内各个时间窗口的初始访问记录数量,其中,i依次取1至I,I为所述第一时间段的数量。
3.根据权利要求2所述的方法,其特征在于,基于所述各个时间窗口的初始访问记录数量,从所述多个时间窗口中确定活跃时间窗口包括:
计算各个第一时间段中相同类型的时间窗口的初始访问记录数量的总和,得到所述多个第一时间段中各个类型的时间窗口的初始访问记录数量;
基于所述各个类型的时间窗口的初始访问记录数量,确定所述活跃时间窗口。
4.根据权利要求3所述的方法,其特征在于,基于所述各个类型的时间窗口的初始访问记录数量,确定所述活跃时间窗口包括:
从所述各个类型的时间窗口中选择第一目标时间窗口,其中,所述第一目标时间窗口为所述各个类型的时间窗口中初始访问记录数量最大的时间窗口;
从所述各个类型的时间窗口中选择第二目标时间窗口,其中,所述第二目标时间窗口的初始访问记录数量与所述第一目标时间窗口的初始访问记录数量之间的比值大于预设阈值;
将所述第一目标时间窗口和/或所述第二目标时间窗口作为所述活跃时间窗口。
5.根据权利要求1所述的方法,其特征在于,所述初始访问记录中包括多条初始访问记录;
利用反向代理技术获取用户在第一时间段对业务系统进行访问的每一条初始访问记录,具体包括:
获取所述第一时间段内用户通过客户端发送的页面请求,并基于所述页面请求生成查询信息;
将所述查询信息发送给所述业务系统的共享数据池,以使所述共享数据池基于所述查询信息向所述网关服务器发送反馈信息;
将获取到所述反馈信息的网关服务器时间确定为一条初始访问记录中的访问时间,得到一条初始访问记录。
6.根据权利要求1所述的方法,其特征在于,根据所述活跃时间窗口确定所述用户的危险访问行为包括:
利用反向代理技术获取第二时间段的目标访问记录,其中,所述第二时间段为多个所述第一时间段之后待进行危险访问行为分析的时间段,所述目标访问记录包括所述用户访问所述业务系统的访问时间;
判断所述目标访问记录的访问时间是否处于所述活跃时间窗口内;
若是,则确定所述目标访问记录对应的访问行为安全访问行为;
若否,则确定所述目标访问记录为对应的访问行为危险访问行为。
7.根据权利要求6所述的方法,其特征在于,所述目标访问记录的数量为多条,所述方法还包括:
在所述多个时间窗口中确定多条目标访问记录所对应的时间窗口;
基于所述多个时间窗口和所述多条目标访问记录之间的对应关系,更新每个时间窗口内访问记录的数量。
8.一种访问行为的风险评估装置,其特征在于,设置于网关服务器,包括:获取单元,第一确定单元和第二确定单元,其中,
所述获取单元用于利用反向代理技术获取用户在第一时间段对业务系统的初始访问记录,其中,所述第一时间段包括多个时间窗口,所述初始访问记录包括用户访问所述业务系统的访问时间;
所述第一确定单元用于基于所述初始访问记录确定所述第一时间段内各个时间窗口的初始访问记录数量;
所述第二确定单元用于基于所述各个时间窗口的初始访问记录数量,从所述多个时间窗口中确定活跃时间窗口,并根据所述活跃时间窗口确定所述用户的危险访问行为。
9.根据权利要求8所述的装置,其特征在于,所述第一确定单元还用于:
基于第一时间段Ai所对应的初始访问记录,确定所述第一时间段Ai内各个时间窗口的初始访问记录数量,其中,i依次取1至I,I为所述第一时间段的数量。
10.根据权利要求9所述的装置,其特征在于,所述第一确定单元还用于:
计算各个第一时间段中相同类型的时间窗口的初始访问记录数量的总和,得到所述多个第一时间段中各个类型的时间窗口的初始访问记录数量;
基于所述各个类型的时间窗口的初始访问记录数量,确定所述活跃时间窗口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811471392.4A CN109543404B (zh) | 2018-12-03 | 2018-12-03 | 一种访问行为的风险评估方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811471392.4A CN109543404B (zh) | 2018-12-03 | 2018-12-03 | 一种访问行为的风险评估方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109543404A true CN109543404A (zh) | 2019-03-29 |
| CN109543404B CN109543404B (zh) | 2019-10-25 |
Family
ID=65853630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811471392.4A Active CN109543404B (zh) | 2018-12-03 | 2018-12-03 | 一种访问行为的风险评估方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109543404B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114896615A (zh) * | 2022-05-19 | 2022-08-12 | 广西泛华于成信息科技有限公司 | 一种基于大数据的数据安全访问系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101404654A (zh) * | 2008-10-30 | 2009-04-08 | 中兴通讯股份有限公司 | 防止可疑用户频繁访问电子节目菜单服务器的装置及方法 |
| CN103179106A (zh) * | 2011-12-20 | 2013-06-26 | Sap股份公司 | 对未授权的访问请求使用假肯定响应的网络安全 |
| CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
| CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
| CN106982196A (zh) * | 2016-01-19 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 一种异常访问检测方法及设备 |
| CN108449308A (zh) * | 2018-01-18 | 2018-08-24 | 北京奇艺世纪科技有限公司 | 识别恶意资源访问的方法及装置 |
| CN108683685A (zh) * | 2018-06-19 | 2018-10-19 | 三江学院 | 一种针对xss攻击的云安全cdn系统及监测方法 |
| CN108924120A (zh) * | 2018-06-28 | 2018-11-30 | 电子科技大学 | 一种多维状态感知的动态访问控制方法 |
-
2018
- 2018-12-03 CN CN201811471392.4A patent/CN109543404B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101404654A (zh) * | 2008-10-30 | 2009-04-08 | 中兴通讯股份有限公司 | 防止可疑用户频繁访问电子节目菜单服务器的装置及方法 |
| CN103179106A (zh) * | 2011-12-20 | 2013-06-26 | Sap股份公司 | 对未授权的访问请求使用假肯定响应的网络安全 |
| CN106982196A (zh) * | 2016-01-19 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 一种异常访问检测方法及设备 |
| CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
| CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
| CN108449308A (zh) * | 2018-01-18 | 2018-08-24 | 北京奇艺世纪科技有限公司 | 识别恶意资源访问的方法及装置 |
| CN108683685A (zh) * | 2018-06-19 | 2018-10-19 | 三江学院 | 一种针对xss攻击的云安全cdn系统及监测方法 |
| CN108924120A (zh) * | 2018-06-28 | 2018-11-30 | 电子科技大学 | 一种多维状态感知的动态访问控制方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114896615A (zh) * | 2022-05-19 | 2022-08-12 | 广西泛华于成信息科技有限公司 | 一种基于大数据的数据安全访问系统 |
| CN114896615B (zh) * | 2022-05-19 | 2023-03-28 | 厦门智宇信息技术有限公司 | 一种基于大数据的数据安全访问系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109543404B (zh) | 2019-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323347B2 (en) | Systems and methods for social graph data analytics to determine connectivity within a community | |
| US10110634B2 (en) | Monitoring user authenticity in distributed system | |
| US9876825B2 (en) | Monitoring user authenticity | |
| JP5851648B2 (ja) | ネットワーク仮想ユーザリスク抑制方法およびシステム | |
| US9590966B2 (en) | Reducing authentication confidence over time based on user history | |
| US10127276B2 (en) | Method and system for dynamically optimizing client queries to read-mostly servers | |
| US20170230366A1 (en) | Method and device for verifying a trusted terminal | |
| WO2011047474A1 (en) | Systems and methods for social graph data analytics to determine connectivity within a community | |
| US9389909B1 (en) | Prioritized execution of plans for obtaining and/or processing data | |
| US20150006241A1 (en) | Analyzing participants of a social network | |
| US20100179927A1 (en) | Rating risk of proposed system changes | |
| CN109543404B (zh) | 一种访问行为的风险评估方法和装置 | |
| US20150142872A1 (en) | Method of operating a server apparatus for delivering website content, server apparatus and device in communication with server apparatus | |
| Yu et al. | Joint model of recurrent events and a terminal event with time‐varying coefficients | |
| US10565603B2 (en) | Segments of contacts | |
| Lee et al. | Semiparametric regression analysis for alternating recurrent event data | |
| WO2020188341A1 (en) | Adaptive clinical trials | |
| WO2023029256A1 (zh) | 一种运维平台的首页界面推荐方法、装置及设备 | |
| WO2016203752A1 (ja) | 情報処理装置、情報処理方法、及び、記憶媒体 | |
| CN110266825A (zh) | 一种虚拟号码生成方法及装置 | |
| JP5737435B2 (ja) | 生体認証装置、生体認証方法、および記憶媒体 | |
| EP3518242A1 (en) | Proactive resistance to re-identification of genomic data | |
| CN113971254A (zh) | 用户激活行为确定方法、装置、计算机设备和存储介质 | |
| WO2016122441A1 (en) | Authentication of a user | |
| US20190163918A1 (en) | Proactive resistance to re-identification of genomic data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |