CN109889485A - 一种用户异常操作行为检测方法、系统及存储介质 - Google Patents
一种用户异常操作行为检测方法、系统及存储介质 Download PDFInfo
- Publication number
- CN109889485A CN109889485A CN201811619388.8A CN201811619388A CN109889485A CN 109889485 A CN109889485 A CN 109889485A CN 201811619388 A CN201811619388 A CN 201811619388A CN 109889485 A CN109889485 A CN 109889485A
- Authority
- CN
- China
- Prior art keywords
- user
- abnormal
- free agent
- login
- behavioral value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用户异常操作行为检测方法,包括如下步骤:S1.构建免费代理IP数据库;S2.将账号的登录IP与所述免费代理IP数据库进行匹配,若匹配成功,则作为异常登录。本发明的有益效果:本发明所述的用户异常操作行为检测方法,针对正常用户不会使用免费代理IP进行登录的特点,对IP为免费代理IP的账号进行预警,由此,可以提高用户异常登录检测的精准度,降低误报率,提升恶意登录账号的检出率。对打击外部人员恶意登录客户账号并盗取敏感信息行为起到威慑作用。
Description
技术领域
本发明涉及信息安全技术领域,具体来说,涉及一种用户异常操作行为检测方法、系统及存储介质。
背景技术
在现有技术中,安全检测仅在应用层上检测攻击内容(如SQL注入、XSS攻击等),对许多企业而言,上述安全检测的项目仍然无法保证信息的安全。例如,在快递行业,数据交互过程中会产生大量的具有快递行业特性的用户隐私信息以及内部绝密商务信息。而大部分的信息会通过邮件渠道外发,通过事后审计或通过挂接设备检测是否含有敏感信息,若使用现有的安全检测设备或系统,难以针对企业和用户的特点合理地进行预警。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的上述技术问题,本发明提出一种用户异常操作行为检测方法,能够针对企业和用户的特点合理地判断异常,达到更加有效地进行预警的效果。另一方面,本发明还提出一种用户异常操作行为检测方法和存储介质。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种用户异常操作行为检测方法,包括如下步骤:S1.构建免费代理IP数据库;S2.将账号的登录IP与所述免费代理IP数据库进行匹配,若匹配成功,则作为异常登录。
优选地,所述免费代理IP数据库中的数据是通过爬虫抓取IP代理网站中的免费代理IP而得到的。
优选地,构建所述免费代理IP数据库包括如下步骤:S1.1调用request库请求IP代理网站;S1.2通过正则表达式抓取IP代理网站的免费代理IP及端口号;S1.3将抓取的免费代理IP及端口存入数据库。
优选地,还包括如下步骤:S3.对登录的账号进行区域分类,通过登录日志中的IP进行归属地查询,若归属地与区域分类结果不同,则作为异常登录
优选地,还包括如下步骤:S4.检测同一IP是否登录了多个账号,若是,则作为异常登录。
优选地,还包括如下步骤:S5.检测同一主机名是否登录了多个账号,若是,则作为异常登录。
优选地,还包括如下步骤:S6.检测同一MAC地址是否登录了多个账号,若是,则作为异常登录。
优选地,还包括如下步骤:S7.检测是否有多个IP登录了同一个账号,若是,则作为异常登录。
本发明的另一方面,涉及一种用户异常操作行为检测系统,包括:数据库单元,其存储有免费代理IP数据;登录IP获取单元,用于在账号登录时获取登录IP;匹配单元,用于将登录IP与免费代理IP数据库进行匹配,若匹配成功,则作为异常登录。
优选地,还包括数据库更新单元,用于获取免费代理IP数据,并将免费代理IP数据加入至所述数据库单元中。
本发明的又一方面,涉及一种计算机可读存储介质,存储有程序,所述程序被处理器执行,以实现上述的用户异常操作行为检测方法或者其改进方案。
本发明的有益效果:本发明所述的用户异常操作行为检测方法,针对正常用户不会使用免费代理IP进行登录的特点,对IP为免费代理IP的账号进行预警,由此,可以提高用户异常登录检测的精准度,降低误报率,提升恶意登录账号的检出率。对打击外部人员恶意登录客户账号并盗取敏感信息行为起到威慑作用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明所述的用户异常操作行为检测方法的流程图;
图2是构建免费代理IP数据库的流程图;
图3是用户异常操作行为检测系统的功能模块图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明所述的用户异常操作行为检测方法的流程图。
如图1所示,根据本发明实施例所述的一种用户异常操作行为检测方法,包括如下步骤:
S1.构建免费代理IP数据库;
S2.将账号的登录IP与所述免费代理IP数据库进行匹配,若匹配成功,则作为异常登录。
免费代理IP是指通过免费的IP代理网站/IP代理软件访问网络时,该免费的IP代理网站/IP代理软件的服务器的IP地址,可以用来隐藏用户真实的IP地址。免费代理IP数据库包含大量免费代理IP以及与免费代理IP相关的数据。一方面,正常客户不会使用代理访问系统,因为这样会给访问系统带来网络延迟并且稳定性也不好,另一方面,大部分黑产会扫描免费代理网站以获取免费代理IP来进行伪装登录系统以逃避系统检测及追踪溯源,同时也可以节省黑客攻击的成本。针对这一特点,尽可能地收集免费代理IP的相关数据,构建出免费代理IP数据库,当某个账号登录时,匹配登录IP与免费代理IP数据库,若存在匹配的条目,则说明该登录IP使用的是免费代理IP,很有可能存在安全隐患,需要将此次登录行为判断为异常登录。
免费代理IP数据库可以通过从互联网上收集免费代理IP的数据而构建起来,优选通过爬虫(爬虫又被称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者,是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本)抓取IP代理网站中的免费代理IP而得到需要的数据。免费代理IP如西刺免费代理IP、快代理免费代理、Proxy360代理、全网代理IP等。可以持续关注网上的各代理IP网站,有新的代理IP网站便会加入到爬取对象中,从而持续更新免费代理IP数据库。使用爬虫抓取的方式可以有效节省信息收集的人力。
图2是构建免费代理IP数据库的流程图。
如图2所示,构建免费代理IP数据库具体包括如下步骤,可基于python2.7实现:
S1.1调用request库请求IP代理网站;
S1.2通过正则表达式(正则表达式,又称规则表达式,Regular Expression,在代码中常简写为regex、regexp或RE,是计算机科学的一个概念,正则表达式通常被用来检索、替换那些符合某个模式(规则)的文本)抓取IP代理网站的免费代理IP及端口号;
S1.3将抓取的免费代理IP及端口存入数据库。
此外,如图1所示,用户异常操作行为检测方法还可以包括如下步骤:S3.对登录的账号进行区域分类,通过登录日志中的IP进行归属地查询,若归属地与区域分类结果不同,则作为异常登录。具体而言,某个用户在创建账号时,会根据用户所在的区域按照一定的规则生成账号,例如,某个用户创建账号时填写自己的地址为北京,而规则规定地址为北京的账号前2位是01。这样,当一个账号登录时,通过其账号名即可确定该账号的所属区域,同时,当一个账号登录时,通过登录日志中的IP进行归属地查询,可以查到当前登录区域,例如,某个所属区域为北京的账号,查询其登录区域为武汉,则说明账号很可能被他人盗取,很有可能存在安全隐患,需要将此次登录行为判断为异常登录。
此外,如图1所示,用户异常操作行为检测方法还可以包括如下步骤:S4.检测同一IP是否登录了多个账号,若是,则作为异常登录。具体而言,通常情况下,一个客户只会创建一个账号,因此不会出现同一IP登录多个账号的现象,如果同一IP登录多个账号,就很有可能存在安全隐患,需要将此次登录行为判断为异常登录。
此外,如图1所示,用户异常操作行为检测方法还可以包括如下步骤:S5.检测同一主机名是否登录了多个账号,若是,则作为异常登录。具体而言,通常情况下,同一台主机不会存在有操作多个账号的权限,因此不会出现同一主机名登录了多个账号的现象,如果同一台主机登录了多个账号,就很有可能存在安全隐患,需要将此次登录行为判断为异常登录。
此外,如图1所示,用户异常操作行为检测方法还可以包括如下步骤:S6.检测同一MAC地址是否登录了多个账号,若是,则作为异常登录。具体而言,通常情况下,同一台主机的MAC(Media Access Control,介质访问控制)一般不会存在操作多个账号的权限,因此不会出现同一MAC地址登录了多个账号的现象,如果同一MAC地址登录了多个账号,就很有可能存在安全隐患,需要将此次登录行为判断为异常登录。
此外,如图1所示,用户异常操作行为检测方法还可以包括如下步骤:S7.检测是否有多个IP登录了同一个账号,若是,则作为异常登录。具体而言,通常情况下,一个用户不会通过IP不同的多个设备登录同一个账号,因此不会出现多个IP登录同一个账号的现象,如果多个IP登录了同一个账号,就很有可能存在安全隐患,需要将此次登录行为判断为异常登录。
以上,分别根据正常客户不会使用代理访问系统、正常客户不会在异地登录、同一IP通常不会登录多个账号、同一主机名通常不会登录多个账号、同一MAC地址通常不会登录多个账号、通常不会有多个IP登录同一个账号的特点构建了相应的安全检测对策,由此,可以实施全面且精准的安全预警。
此外,还可以针对不同的异常情况进行分级,例如,登录时IP地址所属区域为非注册时的区域,这种异地登录的情况异常程度比较轻,作为一级预警,使用免费代理IP进行登录异常情况最重,作为三级预警,其它异常情况作为二级预警。此外,还可以针对不同的预警级别对该账户登录后的操作权限进行限制,例如,三级预警的情况下某些信息不能查看,这样可以有效保证信息安全。
图3是用户异常操作行为检测系统的功能模块图。
如图3所示,是本发明所述的一种用户异常操作行为检测系统,包括:
数据库单元,其存储有免费代理IP数据;
登录IP获取单元,用于在账号登录时获取登录IP;
匹配单元,用于将登录IP与免费代理IP数据库进行匹配,若匹配成功,则作为异常登录。
当用户登录某个系统、网站、APP时,登录IP获取单元从登录时产生的登录日志中拉取出登录IP,匹配单元将该登录IP与数据库单元中的免费代理IP数据进行匹配,若存在匹配的条目,则说明该登录IP使用的是免费代理IP,很有可能存在安全隐患,需要将此次登录行为判断为异常登录,匹配单元可以连接一个预警单元,当匹配单元判断某次登录操作未异常登录时,预警单元生成预警信息,例如生成文字提示、语音提示等。
作为硬件设备,可以包括存储器和处理器,数据库单元、登录IP获取单元和匹配单元存储在存储器上,其中登录IP获取单元和匹配单元作为功能单元(程序)。处理器从存储器上读取相应的程序以实现相应的步骤。
此外,如图3所示,本发明所述的用户异常操作行为检测系统还可以包括数据库更新单元,用于获取免费代理IP数据,并将免费代理IP数据加入至数据库单元中。免费代理IP数据例如通过爬虫的方式定期对网页进行爬取,每当数据库更新单元爬取到新的(即原数据库中未收录的)免费代理IP数据时,就将该新的免费代理IP数据加入到数据库单元中。
此外,本发明所述的用户异常操作行为检测系统还可以包括其它的功能单元,以实现上述S3~S7所述的方法。
本发明还提供一种计算机可读存储介质,存储有程序,所述程序被处理器执行,以实现上的述的用户异常操作行为检测方法或者其改进实施方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用户异常操作行为检测方法,其特征在于,包括如下步骤:
S1.构建免费代理IP数据库;
S2.将账号的登录IP与所述免费代理IP数据库进行匹配,若匹配成功,则作为异常登录。
2.根据权利要求1所述的用户异常操作行为检测方法,其特征在于,
构建所述免费代理IP数据库包括如下步骤:
S1.1调用request库请求IP代理网站;
S1.2通过正则表达式抓取IP代理网站的免费代理IP及端口号;
S1.3将抓取的免费代理IP及端口存入数据库。
3.根据权利要求1所述的用户异常操作行为检测方法,其特征在于,
还包括如下步骤:
S3.对登录的账号进行区域分类,通过登录日志中的IP进行归属地查询,若归属地与区域分类结果不同,则作为异常登录。
4.根据权利要求1所述的用户异常操作行为检测方法,其特征在于,
还包括如下步骤:
S4.检测同一IP是否登录了多个账号,若是,则作为异常登录。
5.根据权利要求1所述的用户异常操作行为检测方法,其特征在于,
还包括如下步骤:
S5.检测同一主机名是否登录了多个账号,若是,则作为异常登录。
6.根据权利要求1所述的用户异常操作行为检测方法,其特征在于,
还包括如下步骤:
S6.检测同一MAC地址是否登录了多个账号,若是,则作为异常登录。
7.根据权利要求1所述的用户异常操作行为检测方法,其特征在于,
还包括如下步骤:
S7.检测是否有多个IP登录了同一个账号,若是,则作为异常登录。
8.一种用户异常操作行为检测系统,其特征在于,包括:
数据库单元,其存储有免费代理IP数据;
登录IP获取单元,用于在账号登录时获取登录IP;
匹配单元,用于将登录IP与所述免费代理IP数据进行匹配,若匹配成功,则作为异常登录。
9.根据权利要求8所述的用户异常操作行为检测系统,其特征在于,
还包括数据库更新单元,用于获取免费代理IP数据,并将免费代理IP数据加入至所述数据库单元中。
10.一种计算机可读存储介质,其特征在于,存储有程序,所述程序被处理器执行,以实现如权利要求1~7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811619388.8A CN109889485A (zh) | 2018-12-28 | 2018-12-28 | 一种用户异常操作行为检测方法、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811619388.8A CN109889485A (zh) | 2018-12-28 | 2018-12-28 | 一种用户异常操作行为检测方法、系统及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109889485A true CN109889485A (zh) | 2019-06-14 |
Family
ID=66925291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811619388.8A Pending CN109889485A (zh) | 2018-12-28 | 2018-12-28 | 一种用户异常操作行为检测方法、系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109889485A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110430214A (zh) * | 2019-08-15 | 2019-11-08 | 上海寰创通信科技股份有限公司 | 一种代理上网的识别方法及系统 |
CN110912902A (zh) * | 2019-11-27 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种访问请求处理的方法、系统、设备及可读存储介质 |
CN111654475A (zh) * | 2020-05-20 | 2020-09-11 | 厦门区块链云科技有限公司 | 一种区块链数字网络管理平台 |
CN114285596A (zh) * | 2021-11-16 | 2022-04-05 | 国网浙江省电力有限公司杭州供电公司 | 基于机器学习的变电站终端账号异常检测方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102664877A (zh) * | 2012-03-30 | 2012-09-12 | 北京千橡网景科技发展有限公司 | 登录过程中的异常处理方法和设备 |
WO2013026337A1 (zh) * | 2011-08-22 | 2013-02-28 | 中兴通讯股份有限公司 | 移动终端访问业务的控制方法、系统及dra |
CN104852886A (zh) * | 2014-02-14 | 2015-08-19 | 腾讯科技(深圳)有限公司 | 用户帐号的保护方法及装置 |
CN106789413A (zh) * | 2016-12-10 | 2017-05-31 | 锐捷网络股份有限公司 | 一种检测代理上网的方法和装置 |
CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
CN107465642A (zh) * | 2016-06-02 | 2017-12-12 | 百度在线网络技术(北京)有限公司 | 一种判断账号异常登录的方法及装置 |
CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和系统 |
CN108768943A (zh) * | 2018-04-26 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 一种检测异常账号的方法、装置及服务器 |
-
2018
- 2018-12-28 CN CN201811619388.8A patent/CN109889485A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013026337A1 (zh) * | 2011-08-22 | 2013-02-28 | 中兴通讯股份有限公司 | 移动终端访问业务的控制方法、系统及dra |
CN102664877A (zh) * | 2012-03-30 | 2012-09-12 | 北京千橡网景科技发展有限公司 | 登录过程中的异常处理方法和设备 |
CN104852886A (zh) * | 2014-02-14 | 2015-08-19 | 腾讯科技(深圳)有限公司 | 用户帐号的保护方法及装置 |
CN107465642A (zh) * | 2016-06-02 | 2017-12-12 | 百度在线网络技术(北京)有限公司 | 一种判断账号异常登录的方法及装置 |
CN106789413A (zh) * | 2016-12-10 | 2017-05-31 | 锐捷网络股份有限公司 | 一种检测代理上网的方法和装置 |
CN107172104A (zh) * | 2017-07-17 | 2017-09-15 | 顺丰科技有限公司 | 一种登录异常检测方法、系统及设备 |
CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和系统 |
CN108768943A (zh) * | 2018-04-26 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 一种检测异常账号的方法、装置及服务器 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110430214A (zh) * | 2019-08-15 | 2019-11-08 | 上海寰创通信科技股份有限公司 | 一种代理上网的识别方法及系统 |
CN110912902A (zh) * | 2019-11-27 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种访问请求处理的方法、系统、设备及可读存储介质 |
CN110912902B (zh) * | 2019-11-27 | 2022-04-19 | 杭州安恒信息技术股份有限公司 | 一种访问请求处理的方法、系统、设备及可读存储介质 |
CN111654475A (zh) * | 2020-05-20 | 2020-09-11 | 厦门区块链云科技有限公司 | 一种区块链数字网络管理平台 |
CN114285596A (zh) * | 2021-11-16 | 2022-04-05 | 国网浙江省电力有限公司杭州供电公司 | 基于机器学习的变电站终端账号异常检测方法 |
CN114285596B (zh) * | 2021-11-16 | 2023-08-15 | 国网浙江省电力有限公司杭州供电公司 | 基于机器学习的变电站终端账号异常检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9462009B1 (en) | Detecting risky domains | |
US11223637B2 (en) | Detecting attacks on web applications using server logs | |
JP6863969B2 (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
US7743420B2 (en) | Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications | |
CN109889485A (zh) | 一种用户异常操作行为检测方法、系统及存储介质 | |
US8776224B2 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
US20160164893A1 (en) | Event management systems | |
CN102945340B (zh) | 信息对象检测方法及系统 | |
US11960604B2 (en) | Online assets continuous monitoring and protection | |
US9830453B1 (en) | Detection of code modification | |
CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、系统 | |
Malandrino et al. | Privacy leakage on the Web: Diffusion and countermeasures | |
US20170180402A1 (en) | Detection of Coordinated Cyber-Attacks | |
US11128649B1 (en) | Systems and methods for detecting and responding to anomalous messaging and compromised accounts | |
US11677763B2 (en) | Consumer threat intelligence service | |
CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
Iqbal et al. | Fcfraud: Fighting click-fraud from the user side | |
JP2016033690A (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
Massa et al. | A fraud detection system based on anomaly intrusion detection systems for e-commerce applications | |
CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
Roundy et al. | Smoke detector: cross-product intrusion detection with weak indicators | |
Kumar et al. | Detection and prevention of profile cloning in online social networks | |
Furnell et al. | A conceptual architecture for real‐time intrusion monitoring | |
CN113312519A (zh) | 一种基于时间图算法的企业网数据异常检测方法、系统计算机设备及存储介质 | |
CN112804192A (zh) | 暗网泄露监测方法、装置、电子设备、程序和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190614 |