CN109660502A - 异常行为的检测方法、装置、设备及存储介质 - Google Patents
异常行为的检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109660502A CN109660502A CN201811139232.XA CN201811139232A CN109660502A CN 109660502 A CN109660502 A CN 109660502A CN 201811139232 A CN201811139232 A CN 201811139232A CN 109660502 A CN109660502 A CN 109660502A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- target
- data
- flow data
- target terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种异常行为的检测方法、装置、设备及计算机可读存储介质,预先通过异常行为对应的异常流量数据对预设行为模型进行训练,在接收到目标终端发送的请求指令时,通过埋点获取所述目标终端对应的目标流量数据,然后通过预设行为模型判断所述目标流量数据是否存在异常,并在存在异常时,对所述目标应用进行告警,并统计所述告警次数。在所述告警次数超过预设阈值时,对该目标终端进行异常处理。本发明能对包含未知安全问题的流量数据进行判断,保证网络安全,对入侵的异常行为进行检测,减小黑客通过渗透测试的方式查找系统漏洞的风险,对异常行进行预警,提升系统内的信息安全。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种异常行为的检测方法、装置、设备及计算机可读存储介质。
背景技术
随着移动互联网的快速发展和智能手机生产成本的下降,很多PC功能也慢慢往手机端迁移,智能手机功能变得越来越强大,如移动办公、电子支付、车载导航等,智能移动终端软件的数量已远远超出传统PC上应用软件的数量。相对于PC来说,智能终端更贴近用户,渐渐成为人们工作、生活中不可或缺的一部分。智能终端中的应用程序(全称Application,APP)种类越来越多,APP的功能也越来越强大。人们可以通过APP处理各种事务流程,如贷款、转账、购物等,在方便用户的同时,也带来了各种安全问题,如爬虫、拖库等导致数据泄漏的攻击行为,或者是黑客通过异常数据库查询、XSS攻击脚本、越权访问、遍历等渗透性的探测行为进行网站漏洞查询等。目前常见的应用程序的防护软件主要是针对业务风险进行控制,如在检测到非法请求或者非法操作时采取阻断措施。但对于黑客渗透性的探测行为本身,如异常数据库查询、XSS攻击脚本、越权访问、遍历等行为,并未采取相应措施。因此,如何对渗透性的探测行为本身进行处理,成为了目前亟待解决的技术问题。
发明内容
本发明的主要目的在于提供一种异常行为的检测方法、装置、设备及计算机可读存储介质,旨在解决现有应用程序的防护软件未对渗透性的探测行为采取相应措施的技术问题。
为实现上述目的,本发明提供一种异常行为的检测方法,所述异常行为的检测方法包括以下步骤:
获取异常终端对应的异常流量数据,并根据所述异常流量数据训练预设行为模型;
在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常;
若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
可选地,所述在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常的步骤包括:
在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据;
将所述目标流量数据输入所述预设行为模型,判断所述目标流量数据中的单页面访问数据是否存在异常;
若判定所述单页面访问数据不存在异常,则判断所述目标流量数据中的关键业务访问数据是否存在异常;
若判定所述关键业务访问数据不存在异常,则判断所述目标流量数据中的总访问次数是否存在异常。
可选地,所述若判定所述关键业务访问数据不存在异常,则判断所述目标流量数据中的总访问次数是否存在异常的步骤之后,还包括:
若判定所述总访问次数不存在异常,则获取所述页面访问顺序,并根据预设访问顺序列表判断所述页面访问顺序是否存在异常;
若判定所述页面访问顺序存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
可选地,所述若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理的步骤包括:
若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并判断所述告警次数是否大于所述预设阈值;
在所述告警次数大于所述预设阈值时,根据预设等级阈值以及所述告警次数,确定所述目标流量数据的异常等级;
根据预设异常处理规则以及所述异常等级,对所述目标终端进行对应的异常处理。
可选地,所述在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常的步骤包括:
在接收到目标终端发送的请求指令时,获取所述目标终端的终端标识符,并根据预设黑名单,判定所述目标终端是否为异常终端;
在判定所述目标终端为异常终端时,断开与所述目标终端的连接通道;
在判定所述目标终端不是异常终端时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常。
可选地,所述若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理的步骤包括:
若判定所述目标流量数据存在异常,则根据预设白名单,判断所述目标流量数据是否为合法数据;
在判定所述目标流量数据为合法数据时,则根据所述目标流量数据生成操作错误的提醒消息,并将所述提醒消息推送至所述目标终端;
在判定所述目标流量数据不是合法数据时,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
可选地,所述异常流量数据包括reference字段不准确的流量数据和/或URL中含有随机数的格式的流量数据。
此外,为实现上述目的,本发明还提供一种异常行为的检测装置,所述异常行为的检测装置包括:
模型训练模块,用于获取异常终端对应的异常流量数据,并根据所述异常流量数据训练预设行为模型;
异常判断模块,用于在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常;
异常处理模块,用于若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
此外,为实现上述目的,本发明还提供一种异常行为的检测设备,所述异常行为的检测设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的异常行为的检测程序,其中所述异常行为的检测程序被所述处理器执行时,实现如上述的异常行为的检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有异常行为的检测程序,其中所述异常行为的检测程序被处理器执行时,实现如上述的异常行为的检测方法的步骤。
本发明提供一种异常行为的检测方法,预先获取异常终端对应的异常流量数据,并根据所述异常流量数据训练预设行为模型;在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常;若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。本发明能对包含未知安全问题的流量数据进行判断,从而对异常行为进行检测,减小黑客通过渗透测试的方式查找系统漏洞的风险,可对存在危险性的异常行为进行提前预警,由此提升系统安全性,解决了现有应用程序的防护软件未对渗透性的探测行为采取相应措施的技术问题。
附图说明
图1为本发明实施例方案中涉及的异常行为的检测设备的硬件结构示意图;
图2为本发明异常行为的检测方法第一实施例的流程示意图;
图3为本发明异常行为的检测方法第二实施例的流程示意图;
图4为本发明异常行为的检测方法第三实施例的流程示意图;
图5为本发明异常行为的检测装置第一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例涉及的异常行为的检测方法主要应用于异常行为的检测设备,该异常行为的检测设备可以是PC、便携计算机、移动终端等具有显示和处理功能的设备。
参照图1,图1为本发明实施例方案中涉及的异常行为的检测设备的硬件结构示意图。本发明实施例中,异常行为的检测设备可以包括处理器1001(例如CPU),通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信;用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard);网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口);存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器,存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的硬件结构并不构成对异常行为的检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
继续参照图1,图1中作为一种计算机可读存储介质的存储器1005可以包括操作系统、网络通信模块以及异常行为的检测程序。
在图1中,网络通信模块主要用于连接服务器,与服务器进行数据通信;而处理器1001可以调用存储器1005中存储的异常行为的检测程序,并执行本发明实施例提供的异常行为的检测方法。
本发明实施例提供了一种异常行为的检测方法。
参照图2,图2为本发明异常行为的检测方法第一实施例的流程示意图。
本实施例中,所述异常行为的检测方法包括以下步骤:
步骤S10,获取异常终端对应的异常流量数据,并根据所述异常流量数据训练预设行为模型;
目前,人们可以通过APP处理各种事务流程,如贷款、转账、购物等,在方便用户的同时,也带来了各种安全问题,如爬虫、拖库等导致数据泄漏的攻击行为,或者是黑客通过异常数据库查询、XSS攻击脚本、越权访问、遍历等渗透性的探测行为进行网站漏洞查询等。目前常见的应用程序的防护软件主要是针对业务风险进行控制,如在检测到非法请求或者非法操作时采取阻断措施。但对于黑客渗透性的探测行为本身,如异常数据库查询、XSS攻击脚本、越权访问、遍历等行为,并未采取相应措施。因此,如何对渗透性的探测行为本身进行处理,成为了目前亟待解决的技术问题。
本实施例中,预先获取已判定行为异常的异常应用对应的异常流量数据,并根据所述异常流量数据训练预设行为模型。其中,异常行为可以是重复在账号窗口输入不符合账号格式要求的信息,或者是输入多个账号信息与密码信息,或者是重复使用某个功能重复调用某个接口等,将所述异常行为对应的异常流量数据,输入所述预设行为模型,还可以获取所述异常行为对应请求指令的关键字,并将所述关键字输入所述预设行为模型,作为所述异常行为的标识。具体实施例中,所述异常流量数据还可以为reference字段不准确的流量数据和/或URL中含有随机数的格式的流量数据。具体地,根据现有业务行为数据建立指标基线,所述指标基线是从表征一个对象或者环境的安全运行参数或状态参数中选取的关键性的指标,并设定这些指标的基线。然后根据所述基线进行预设行为模型的训练。
步骤S20,在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常;
本实施例中,在接收到所述目标应用发送的请求指令时,获取所述目标应用对应的目标流量数据,当目标流量数据到达时,可以将目标流量数据对象汇入待处理序列;然后将待处理序列的流量数据依次输入所述预设行为模型中,所述预设行为模型可以将所述目标流量数据中包含的业务数据、发送所述目标流量数据的设备、发送所述目标流量数据的IP地址等与所述指标基线进行对比,确定目标流量数据是否属于指标基线白名单或指标基线黑名单。其中,所述目标流量数据经过与指标基线的比对,将属于指标基线黑名单的目标流量数据,确定为异常行为类型;将属于指标基线白名单的目标流量数据,确定待定行为类型;将既不属于指标基线白名单也不属于指标基线黑名单的目标流量数据,同样确定为待定行为类型。然后获取所述待定行为类型对应的目标流量数据,通过所述目标流量数据判断该目标应用的访问数据是否异常,即发送请求指令的客户端对应预设时间内的访问次数是否超过了固定阈值,或者判断该目标应用的单页面访问次数是否超过了固定阈值,或者判断目标应用的访问页面次序是否符合预设顺序,即根据业务逻辑,设定页面访问次序;如u1、u2……un,当监控某个session ID访问到un时,检查该页面的reference字段是否为un-1,依次追溯同一个session ID访问前序URL的请求,检查该页面的reference字段是否为再前序的UR等L。将符合上述行为的待定行为类型判定为异常行为类型,即判定所述目标流量数据存在异常。
进一步地,步骤S20之前,还包括:
在接收到目标终端发送的请求指令时,获取所述目标终端的终端标识符,并根据预设黑名单,判定所述目标终端是否为异常终端;
在判定所述目标终端为异常终端时,断开与所述目标终端的连接通道;
在判定所述目标终端不是异常终端时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常。
本实施例中,针对外部的攻击,可以通过收集威胁信息建立知识库的方式,确定指标基线黑名单;威胁信息一般包括信誉信息和攻击信息等;所述信誉信息包括:恶意的IP地址、URL、域名等,比如C2服务器相关信息;所述攻击信息包括:攻击源、攻击工具、利用的漏洞信息等;这里,可以将已知恶意的IP地址,URL、域名等确定为指标基线黑名单。
步骤S30,若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
本实施例中,对所述目标应用进行告警,如输出对应告警提示消息,“当前行为存在异常”,并统计所述目标应用对应的告警次数。若判定所述目标应用对应的告警次数超过了预设阈值,如3、4或5等,则判定该目标应用存在异常,即可能为黑客进行渗透式的探测行为,断开所述目标应用的连接通道,或者将所述目标应用加入黑名单等,从而对所述目标应用进行异常处理。具体实施例中,本发明提供的异常行为检测方法包括同步检测和异常检测,即本发明提供的异常行为检测装置可以设置于客户端与服务器之间,可以在接收到所述客户端发送的请求指令时,将所述请求指令发送至服务器进行数据请求,并同步判断获取所述客户端对应的目标流量数据,并对所述目标流量数据的行为进行异常判断,在判定所述客户端存在异常行为时,发送异常指令至所述服务器,以供所述服务器再次接收到所述客户端发送的其他指令时,对所述客户端进行异常处理。还可以是在接收到所述客户端发送的请求指令时,即可将对所述目标流量数据的行为进行异常判断,在判定所述客户端不存在异常行为时,再将所述请求指令发送至服务器。
进一步地,步骤S30包括:
若判定所述目标流量数据存在异常,则根据预设白名单,判断所述目标流量数据是否为合法数据;
在判定所述目标流量数据为合法数据时,则根据所述目标流量数据生成操作错误的提醒消息,并将所述提醒消息推送至所述目标终端;
在判定所述目标流量数据不是合法数据时,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
本实施例中,可以对所有流量业务设定一个总的指标基线,所述指标基线可以包括:指标基线白名单,指标基线黑名单;设定总的指标基线时,可以针对已知业务数据提炼,确定已知业务数据中属于可以信任的数据,所述业务数据包括:业务种类、敏感数据、关键业务流程等信息,并建立起业务之间可信任的指标基线白名单,如将已知的某个业务种类确定为指标基线白名单,或将某个业务流程确定为指标基线白名单;根据IT资源类型,如:安全设备、网络设备等,建立设备之间可信任的指标基线白名单,如将某一类设备的标识确定为指标基线白名单。
本实施例中提供一种异常行为的检测方法,预先获取异常终端对应的异常流量数据,并根据所述异常流量数据训练预设行为模型;在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常;若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。本发明能对包含未知安全问题的流量数据进行判断,从而对异常行为进行检测,减小黑客通过渗透测试的方式查找系统漏洞的风险,可对存在危险性的异常行为进行提前预警,由此提升系统安全性,解决了现有应用程序的防护软件未对渗透性的探测行为采取相应措施的技术问题。
参照图3,图3为本发明异常行为的检测方法第二实施例的流程示意图。
基于上述图2所示实施例,本实施例中,所述异常行为的检测方法还包括:
步骤21,在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据;
步骤S22,将所述目标流量数据输入所述预设行为模型,判断所述目标流量数据中的单页面访问数据是否存在异常;
步骤S23,若判定所述单页面访问数据不存在异常,则判断所述目标流量数据中的关键业务访问数据是否存在异常;
步骤S24,若判定所述关键业务访问数据不存在异常,则判断所述目标流量数据中的总访问次数是否存在异常。
本实施例中,获取所述待定行为类型对应的目标流量数据,通过所述目标流量数据判断该目标应用的访问数据是否异常,即发送请求指令的客户端对应预设时间内的访问次数是否超过了固定阈值,或者判断该目标应用的单页面访问次数是否超过了固定阈值。即若一个终端频繁访问一个页面或者某个业务流程对应的多个页面,即该终端可能在进行漏洞探测行为。检测终端是否多次发生关键访问数据填写异常,如输入的账号格式频繁发生错误,即数字格式的账号,终端频繁输入字母等。
其中,若判定所述总访问次数不存在异常,则获取所述页面访问顺序,并根据预设访问顺序列表判断所述页面访问顺序是否存在异常;若判定所述页面访问顺序存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
判断目标应用的访问页面次序是否符合预设顺序,即根据业务逻辑,设定页面访问次序;如u1、u2……un,当监控某个session ID访问到un时,检查该页面的reference字段是否为un-1,依次追溯同一个session ID访问前序URL的请求,检查该页面的reference字段是否为再前序的UR等L。将符合上述行为的待定行为类型判定为异常行为类型,即判定所述目标流量数据存在异常。对所述目标应用进行告警,如输出对应告警提示消息,“当前行为存在异常”,并统计所述目标应用对应的告警次数。若判定所述目标应用对应的告警次数超过了预设阈值,如3、4或5等,则判定该目标应用存在异常,即可能为黑客进行渗透式的探测行为,断开所述目标应用的连接通道,或者将所述目标应用加入黑名单等,从而对所述目标应用进行异常处理。
参照图4,图4为本发明异常行为的检测方法第三实施例的流程示意图。
基于上述图3所示实施例,本实施例中,所述步骤S30具体包括:
步骤S31,若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并判断所述告警次数是否大于所述预设阈值;
步骤S32,在所述告警次数大于所述预设阈值时,根据预设等级阈值以及所述告警次数,确定所述目标流量数据的异常等级;
步骤S33,根据预设异常处理规则以及所述异常等级,对所述目标终端进行对应的异常处理。
本实施例中将符合上述行为的待定行为类型判定为异常行为类型,即判定所述目标流量数据存在异常。对所述目标应用进行告警,如输出对应告警提示消息,“当前行为存在异常”,并统计所述目标应用对应的告警次数。若判定所述目标应用对应的告警次数超过了预设阈值,如3、4或5等,则判定该目标应用存在异常,即可能为黑客进行渗透式的探测行为,断开所述目标应用的连接通道,或者将所述目标应用加入黑名单等,从而对所述目标应用进行异常处理。进一步根据告警次数,判断所述目标终端的异常等级。如将告警次数超过10次的目标终端,标识为恶意终端,将告警次数超过5次的目标终端,标识为可疑终端等。并将断开与恶意终端的连接通道,不再响应所述恶意终端的指令消息。或者对可疑终端进行实时监测,以判断所述可疑终端是否为恶意终端。具体实施例中,可将所述恶意终端的终端标识符添加至预设黑名单中。
此外,本发明实施例还提供一种异常行为的检测装置。
参照图5,图5为本发明异常行为的检测装置第一实施例的功能模块示意图。
本实施例中,所述异常行为的检测装置包括:
模型训练模块10,用于获取异常终端对应的异常流量数据,并根据所述异常流量数据训练预设行为模型;
异常判断模块20,用于在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常;
异常处理模块30,用于若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
进一步地,所述异常行为的检测装置包括:
终端判断单元,用于在接收到目标终端发送的请求指令时,获取所述目标终端的终端标识符,并根据预设黑名单,判定所述目标终端是否为异常终端;
连接断开单元,用于在判定所述目标终端为异常终端时,断开与所述目标终端的连接通道;
流量判断单元,用于在判定所述目标终端不是异常终端时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常。
进一步地,所述异常判断模块20包括:
数据获取单元,用于在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据;
第一判断单元,用于将所述目标流量数据输入所述预设行为模型,判断所述目标流量数据中的单页面访问数据是否存在异常;
第二判断单元,用于若判定所述单页面访问数据不存在异常,则判断所述目标流量数据中的关键业务访问数据是否存在异常;
第三判断单元,用于若判定所述关键业务访问数据不存在异常,则判断所述目标流量数据中的总访问次数是否存在异常。
第四判断单元,用于若判定所述总访问次数不存在异常,则获取所述页面访问顺序,并根据预设访问顺序列表判断所述页面访问顺序是否存在异常;若判定所述页面访问顺序存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
进一步地,所述异常处理模块30包括:
第五判断单元,用于若判定所述目标流量数据存在异常,则根据预设白名单,判断所述目标流量数据是否为合法数据;
错误提醒单元,用于在判定所述目标流量数据为合法数据时,则根据所述目标流量数据生成操作错误的提醒消息,并将所述提醒消息推送至所述目标终端;
异常处理单元,用于在判定所述目标流量数据不是合法数据时,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
进一步地,所述异常处理模块30具体包括:
第六判断单元,用于若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并判断所述告警次数是否大于所述预设阈值;
等级确认单元,用于在所述告警次数大于所述预设阈值时,根据预设等级阈值以及所述告警次数,确定所述目标流量数据的异常等级;
等级异常处理单元,用于根据预设异常处理规则以及所述异常等级,对所述目标终端进行对应的异常处理。
其中,上述异常行为的检测装置中各个模块与上述异常行为的检测方法实施例中各步骤相对应,其功能和实现过程在此处不再一一赘述。
此外,本发明实施例还提供一种计算机可读存储介质。
本发明计算机可读存储介质上存储有异常行为的检测程序,其中所述异常行为的检测程序被处理器执行时,实现如上述的异常行为的检测方法的步骤。
其中,异常行为的检测程序被执行时所实现的方法可参照本发明异常行为的检测方法的各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种异常行为的检测方法,其特征在于,所述异常行为的检测方法包括以下步骤:
获取异常终端对应的异常流量数据,并根据所述异常流量数据训练预设行为模型;
在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常;
若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
2.如权利要求1所述的异常行为的检测方法,其特征在于,所述在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常的步骤包括:
在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据;
将所述目标流量数据输入所述预设行为模型,判断所述目标流量数据中的单页面访问数据是否存在异常;
若判定所述单页面访问数据不存在异常,则判断所述目标流量数据中的关键业务访问数据是否存在异常;
若判定所述关键业务访问数据不存在异常,则判断所述目标流量数据中的总访问次数是否存在异常。
3.如权利要求2所述的异常行为的检测方法,其特征在于,所述若判定所述关键业务访问数据不存在异常,则判断所述目标流量数据中的总访问次数是否存在异常的步骤之后,还包括:
若判定所述总访问次数不存在异常,则获取所述页面访问顺序,并根据预设访问顺序列表判断所述页面访问顺序是否存在异常;
若判定所述页面访问顺序存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
4.如权利要求1所述的异常行为的检测方法,其特征在于,所述若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理的步骤包括:
若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并判断所述告警次数是否大于所述预设阈值;
在所述告警次数大于所述预设阈值时,根据预设等级阈值以及所述告警次数,确定所述目标流量数据的异常等级;
根据预设异常处理规则以及所述异常等级,对所述目标终端进行对应的异常处理。
5.如权利要求1所述的异常行为的检测方法,其特征在于,所述在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常的步骤包括:
在接收到目标终端发送的请求指令时,获取所述目标终端的终端标识符,并根据预设黑名单,判定所述目标终端是否为异常终端;
在判定所述目标终端为异常终端时,断开与所述目标终端的连接通道;
在判定所述目标终端不是异常终端时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常。
6.如权利要求1所述的异常行为的检测方法,其特征在于,所述若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理的步骤包括:
若判定所述目标流量数据存在异常,则根据预设白名单,判断所述目标流量数据是否为合法数据;
在判定所述目标流量数据为合法数据时,则根据所述目标流量数据生成操作错误的提醒消息,并将所述提醒消息推送至所述目标终端;
在判定所述目标流量数据不是合法数据时,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
7.如权利要求1至6中任一项所述的异常行为的检测方法,其特征在于,所述异常流量数据包括reference字段不准确的流量数据和/或URL中含有随机数的格式的流量数据。
8.一种异常行为的检测装置,其特征在于,所述异常行为的检测装置包括:
模型训练模块,用于获取异常终端对应的异常流量数据,并根据所述异常流量数据训练预设行为模型;
异常判断模块,用于在接收到目标终端发送的请求指令时,通过数据埋点获取所述目标终端对应的目标流量数据,并根据所述预设行为模型,判断所述目标流量数据是否存在异常;
异常处理模块,用于若判定所述目标流量数据存在异常,则对所述目标终端进行告警,统计告警次数,并在所述告警次数大于预设阈值时,对所述目标终端进行异常处理。
9.一种异常行为的检测设备,其特征在于,所述异常行为的检测设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的异常行为的检测程序,其中所述异常行为的检测程序被所述处理器执行时,实现如权利要求1至7中任一项所述的异常行为的检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有异常行为的检测程序,其中所述异常行为的检测程序被处理器执行时,实现如权利要求1至7中任一项所述的异常行为的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811139232.XA CN109660502A (zh) | 2018-09-28 | 2018-09-28 | 异常行为的检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811139232.XA CN109660502A (zh) | 2018-09-28 | 2018-09-28 | 异常行为的检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109660502A true CN109660502A (zh) | 2019-04-19 |
Family
ID=66110685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811139232.XA Pending CN109660502A (zh) | 2018-09-28 | 2018-09-28 | 异常行为的检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109660502A (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213255A (zh) * | 2019-05-27 | 2019-09-06 | 北京奇艺世纪科技有限公司 | 一种对主机进行木马检测的方法、装置及电子设备 |
| CN110262939A (zh) * | 2019-05-14 | 2019-09-20 | 苏宁金融服务(上海)有限公司 | 算法模型运行监控方法、装置、计算机设备和存储介质 |
| CN110334517A (zh) * | 2019-07-05 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 可信策略的更新方法及装置、可信安全管理平台 |
| CN110401636A (zh) * | 2019-06-28 | 2019-11-01 | 苏州浪潮智能科技有限公司 | 一种监管异常访问的大数据风控方法和装置 |
| CN110427971A (zh) * | 2019-07-05 | 2019-11-08 | 五八有限公司 | 用户及ip的识别方法、装置、服务器和存储介质 |
| CN110650060A (zh) * | 2019-10-16 | 2020-01-03 | 中国联合网络通信集团有限公司 | 流量告警的处理方法、设备及存储介质 |
| CN111756745A (zh) * | 2020-06-24 | 2020-10-09 | Oppo(重庆)智能科技有限公司 | 告警方法、告警装置及终端设备 |
| CN112015618A (zh) * | 2020-08-17 | 2020-12-01 | 杭州指令集智能科技有限公司 | 异常告警方法及装置 |
| CN112231700A (zh) * | 2020-12-17 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 行为识别方法和装置、存储介质及电子设备 |
| WO2021012741A1 (zh) * | 2019-07-24 | 2021-01-28 | 深圳壹账通智能科技有限公司 | 基于经验库的异常前端操作提醒的方法及相关设备 |
| CN112398792A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 登录的防护方法、客户端、中控管理设备及存储介质 |
| CN112417449A (zh) * | 2020-11-12 | 2021-02-26 | 北京鸿腾智能科技有限公司 | 异常行为检测方法、设备、存储介质及装置 |
| CN112671724A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 一种终端安全检测分析方法、装置、设备及可读存储介质 |
| CN112769853A (zh) * | 2021-01-20 | 2021-05-07 | 付中野 | 一种互联网数据入侵检测方法及装置 |
| CN113269378A (zh) * | 2021-07-20 | 2021-08-17 | 武汉极意网络科技有限公司 | 一种网络流量处理方法、装置、电子设备和可读存储介质 |
| CN113422777A (zh) * | 2021-06-28 | 2021-09-21 | 安天科技集团股份有限公司 | 基于白名单的渗透测试方法、装置、计算设备及存储介质 |
| CN113515078A (zh) * | 2021-05-20 | 2021-10-19 | 湖南湘船重工有限公司 | 一种智能船舶信息监控及告警处理方法及系统 |
| CN113595784A (zh) * | 2021-07-26 | 2021-11-02 | 招商银行股份有限公司 | 网络流量检测方法、装置、设备、存储介质及程序产品 |
| CN113778868A (zh) * | 2021-09-03 | 2021-12-10 | 珠海格力电器股份有限公司 | 基于数据埋点进行数据检测的方法及装置 |
| CN113835988A (zh) * | 2021-11-29 | 2021-12-24 | 杭银消费金融股份有限公司 | 指标信息预测方法及系统 |
| CN114389858A (zh) * | 2021-12-24 | 2022-04-22 | 安天科技集团股份有限公司 | 流量处理方法及装置、电子设备和计算机可读存储介质 |
| CN114553885A (zh) * | 2022-03-02 | 2022-05-27 | 上海弘玑信息技术有限公司 | 基于dht网络的存储方法及装置、电子设备、存储介质 |
| CN114884801A (zh) * | 2022-06-09 | 2022-08-09 | 奇安信科技集团股份有限公司 | 告警方法、装置、电子设备及存储介质 |
| CN115022373A (zh) * | 2022-06-21 | 2022-09-06 | 浙江浩瀚能源科技有限公司 | 充电桩的数据安全检测方法、系统、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388768A (zh) * | 2008-10-21 | 2009-03-18 | 北京启明星辰信息技术股份有限公司 | 检测恶意http请求的方法及装置 |
| US20170061322A1 (en) * | 2015-08-31 | 2017-03-02 | International Business Machines Corporation | Automatic generation of training data for anomaly detection using other user's data samples |
| CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及系统 |
| CN107438079A (zh) * | 2017-08-18 | 2017-12-05 | 杭州安恒信息技术有限公司 | 一种网站未知异常行为的检测方法 |
| CN108572907A (zh) * | 2018-01-25 | 2018-09-25 | 北京金山云网络技术有限公司 | 一种告警方法、装置、电子设备及计算机可读存储介质 |
-
2018
- 2018-09-28 CN CN201811139232.XA patent/CN109660502A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388768A (zh) * | 2008-10-21 | 2009-03-18 | 北京启明星辰信息技术股份有限公司 | 检测恶意http请求的方法及装置 |
| US20170061322A1 (en) * | 2015-08-31 | 2017-03-02 | International Business Machines Corporation | Automatic generation of training data for anomaly detection using other user's data samples |
| CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及系统 |
| CN107438079A (zh) * | 2017-08-18 | 2017-12-05 | 杭州安恒信息技术有限公司 | 一种网站未知异常行为的检测方法 |
| CN108572907A (zh) * | 2018-01-25 | 2018-09-25 | 北京金山云网络技术有限公司 | 一种告警方法、装置、电子设备及计算机可读存储介质 |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110262939A (zh) * | 2019-05-14 | 2019-09-20 | 苏宁金融服务(上海)有限公司 | 算法模型运行监控方法、装置、计算机设备和存储介质 |
| CN110262939B (zh) * | 2019-05-14 | 2023-07-21 | 苏宁金融服务(上海)有限公司 | 算法模型运行监控方法、装置、计算机设备和存储介质 |
| CN110213255B (zh) * | 2019-05-27 | 2022-03-04 | 北京奇艺世纪科技有限公司 | 一种对主机进行木马检测的方法、装置及电子设备 |
| CN110213255A (zh) * | 2019-05-27 | 2019-09-06 | 北京奇艺世纪科技有限公司 | 一种对主机进行木马检测的方法、装置及电子设备 |
| CN110401636A (zh) * | 2019-06-28 | 2019-11-01 | 苏州浪潮智能科技有限公司 | 一种监管异常访问的大数据风控方法和装置 |
| CN110334517A (zh) * | 2019-07-05 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 可信策略的更新方法及装置、可信安全管理平台 |
| CN110427971A (zh) * | 2019-07-05 | 2019-11-08 | 五八有限公司 | 用户及ip的识别方法、装置、服务器和存储介质 |
| WO2021012741A1 (zh) * | 2019-07-24 | 2021-01-28 | 深圳壹账通智能科技有限公司 | 基于经验库的异常前端操作提醒的方法及相关设备 |
| CN112398792A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 登录的防护方法、客户端、中控管理设备及存储介质 |
| CN112398792B (zh) * | 2019-08-15 | 2022-07-05 | 奇安信安全技术(珠海)有限公司 | 登录的防护方法、客户端、中控管理设备及存储介质 |
| CN110650060A (zh) * | 2019-10-16 | 2020-01-03 | 中国联合网络通信集团有限公司 | 流量告警的处理方法、设备及存储介质 |
| CN111756745A (zh) * | 2020-06-24 | 2020-10-09 | Oppo(重庆)智能科技有限公司 | 告警方法、告警装置及终端设备 |
| CN112015618A (zh) * | 2020-08-17 | 2020-12-01 | 杭州指令集智能科技有限公司 | 异常告警方法及装置 |
| CN112417449A (zh) * | 2020-11-12 | 2021-02-26 | 北京鸿腾智能科技有限公司 | 异常行为检测方法、设备、存储介质及装置 |
| CN112671724A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 一种终端安全检测分析方法、装置、设备及可读存储介质 |
| CN112231700A (zh) * | 2020-12-17 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 行为识别方法和装置、存储介质及电子设备 |
| CN112769853A (zh) * | 2021-01-20 | 2021-05-07 | 付中野 | 一种互联网数据入侵检测方法及装置 |
| CN113515078A (zh) * | 2021-05-20 | 2021-10-19 | 湖南湘船重工有限公司 | 一种智能船舶信息监控及告警处理方法及系统 |
| CN113422777A (zh) * | 2021-06-28 | 2021-09-21 | 安天科技集团股份有限公司 | 基于白名单的渗透测试方法、装置、计算设备及存储介质 |
| CN113269378A (zh) * | 2021-07-20 | 2021-08-17 | 武汉极意网络科技有限公司 | 一种网络流量处理方法、装置、电子设备和可读存储介质 |
| CN113595784A (zh) * | 2021-07-26 | 2021-11-02 | 招商银行股份有限公司 | 网络流量检测方法、装置、设备、存储介质及程序产品 |
| CN113595784B (zh) * | 2021-07-26 | 2024-05-31 | 招商银行股份有限公司 | 网络流量检测方法、装置、设备、存储介质及程序产品 |
| CN113778868A (zh) * | 2021-09-03 | 2021-12-10 | 珠海格力电器股份有限公司 | 基于数据埋点进行数据检测的方法及装置 |
| CN113835988B (zh) * | 2021-11-29 | 2022-02-08 | 杭银消费金融股份有限公司 | 指标信息预测方法及系统 |
| CN113835988A (zh) * | 2021-11-29 | 2021-12-24 | 杭银消费金融股份有限公司 | 指标信息预测方法及系统 |
| CN114389858A (zh) * | 2021-12-24 | 2022-04-22 | 安天科技集团股份有限公司 | 流量处理方法及装置、电子设备和计算机可读存储介质 |
| CN114389858B (zh) * | 2021-12-24 | 2023-08-25 | 安天科技集团股份有限公司 | 流量处理方法及装置、电子设备和计算机可读存储介质 |
| CN114553885A (zh) * | 2022-03-02 | 2022-05-27 | 上海弘玑信息技术有限公司 | 基于dht网络的存储方法及装置、电子设备、存储介质 |
| CN114884801A (zh) * | 2022-06-09 | 2022-08-09 | 奇安信科技集团股份有限公司 | 告警方法、装置、电子设备及存储介质 |
| CN115022373A (zh) * | 2022-06-21 | 2022-09-06 | 浙江浩瀚能源科技有限公司 | 充电桩的数据安全检测方法、系统、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109660502A (zh) | 异常行为的检测方法、装置、设备及存储介质 | |
| JP7241791B2 (ja) | 攻撃を防御するための方法、装置、機器および記憶媒体 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN104620225B (zh) | 用于服务器安全验证的方法和系统 | |
| KR102355973B1 (ko) | 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법 | |
| CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| CN108696490A (zh) | 账号权限的识别方法及装置 | |
| CN103996007A (zh) | Android应用权限泄露漏洞的测试方法及系统 | |
| CN104462973B (zh) | 移动终端中应用程序的动态恶意行为检测系统及方法 | |
| CN113315767B (zh) | 一种电力物联网设备安全检测系统及方法 | |
| CN103780450B (zh) | 浏览器访问网址的检测方法和系统 | |
| KR20090038189A (ko) | 단말 사용자 관리 장치 및 방법 | |
| CN110516448A (zh) | 一种灰盒测试方法、装置、设备及可读存储介质 | |
| CN109933980A (zh) | 一种漏洞扫描方法、装置和电子设备 | |
| CN106559431A (zh) | 一种用于汽车安全检测的可视化分析方法和装置 | |
| WO2019144548A1 (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN106998335A (zh) | 一种漏洞检测方法、网关设备、浏览器及系统 | |
| CN104901962B (zh) | 一种网页攻击数据的检测方法及装置 | |
| CN108566643A (zh) | App访问控制方法、系统、终端设备及存储介质 | |
| CN112163198B (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
| CN108965251B (zh) | 一种云端结合的安全手机防护系统 | |
| CN110505116A (zh) | 用电信息采集系统及渗透测试方法、装置、可读存储介质 | |
| CN109120626A (zh) | 安全威胁处理方法、系统、安全感知服务器及存储介质 | |
| CN106325993A (zh) | 一种应用程序的冻结方法以及终端 | |
| CN107819758A (zh) | 一种网络摄像头漏洞远程检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190419 |
|
| RJ01 | Rejection of invention patent application after publication |