CN110062380A

CN110062380A - 一种移动应用系统的连接访问请求安全检测方法

Info

Publication number: CN110062380A
Application number: CN201910350336.3A
Authority: CN
Inventors: 黄杰韬; 郑杰生; 吴广财; 林俊; 黄慧欣; 方宽
Original assignee: Guangdong Power Grid Co Ltd; Information Center of Guangdong Power Grid Co Ltd
Current assignee: Guangdong Power Grid Co Ltd; Information Center of Guangdong Power Grid Co Ltd
Priority date: 2019-04-28
Filing date: 2019-04-28
Publication date: 2019-07-26

Abstract

本发明公开了一种移动应用系统的连接访问请求安全检测方法，包括：接入客户端的连接请求；采集客户端的设备硬件信息和用户登录操作信息；将采集到的设备硬件信息与设备数据库作比较，判断该客户端是否符合设备数据库的要求；如否，则请求不安全；如是，则进行下一步；将采集到的用户登录操作信息与行为数据库作比较，判断该用户登录操作信息是否符合行为数据库的历史操作习惯；如否，则请求不安全；如是，则请求安全。通过采集设备硬件信息和用户登录操作信息，分别进行判断该客户端是否符合设备数据库的要求、用户登录操作信息是否符合行为数据库的历史操作习惯，只有当两个均符合要求，该连接访问请求才安全。

Description

一种移动应用系统的连接访问请求安全检测方法

技术领域

本发明属于网络安全检测技术领域，尤其涉及一种移动应用系统的连接访问请求安全检测方法。

背景技术

在当前网络安全领域，安全防御技术和攻击威胁技术以零和博弈为基本原则，通过快速且不断变化的高强度相互对抗，彼此促进了相关技术的高速发展。而与物理空间如军事斗争中的攻防不同，由于网络空间的虚拟化特征，攻击方在很多方面先天占有较大优势。另一方面，鉴于能源、基础设施、金融等领域的企业组织机构在国家社会经济等方面的重要作用，经常成为个人、组织甚至国家级网络攻击行为的高价值目标。从网络恶意行为出现以来，它们一直备受攻击方的关注。

随着移动通信技术的发展，电网公司及各分公司遵循统一规范，建设了各自的移动应用信息系统以及移动应用平台，为分公司在效率和工作流程等方面带来了很大改进，创造了价值。面向内部员工的移动现场作业类应用及移动办公类应用，使得员工在办公室之外能够利用手中的移动终端快速、便捷地处理工作事务，非常有效地提高了内部员工的工作效率。面向客户的掌上营业厅、微信公众账号等移动应用，让客户能够随时随地使用手机进行相关业务查询和办理，为客户节省大量等待时间，极大地改善了客户的用户体验。这些移动应用有效地支持了电力行业的发展，创造了巨大的价值。

然而随着移动业务的发展，移动应用由分公司各自独立开发与管理、缺少统一移动应用平台的弊端也正在逐渐凸显。一方面目前市面上的移动设备数不胜数、设备的操作系统安全性难以掌控，另一方面每个独立的移动业务应用自行开发，员工对每个业务应用的操作属性难以统一掌握分析；随着电力一体化业务系统的深化建设，移动办公应用成为电力发展的趋势，但是业务数据的安全性却存在潜在的人为风险。

在此背景基础下，需要一套完善的用于检测连接访问请求是否安全的方法来评估电力人员的安全意识、服务意识、管理意识，做到预测、预防、预警，从而规避风险，提升电力系统的安全性。

发明内容

本发明的目的在于提供一种移动应用系统的连接访问请求安全检测方法，以解决以上技术问题。

为达此目的，本发明采用以下技术方案：

一种移动应用系统的连接访问请求安全检测方法，包括：

接入客户端的连接请求；

采集客户端的设备硬件信息和用户登录操作信息；

将采集到的设备硬件信息与设备数据库作比较，判断该客户端是否符合设备数据库的要求；如否，则请求不安全；如是，则进行下一步；

将采集到的用户登录操作信息与行为数据库作比较，判断该用户登录操作信息是否符合行为数据库的历史操作习惯；如否，则请求不安全；如是，则请求安全。

可选的，所述采集客户端的设备硬件信息和用户登录操作信息，包括：

采集客户端的手机号、Mac地址、IMSI、ESN；

采集用户登录信息、用户操作信息、用户账号信息、网络传输数据量信息。

可选的，所述将采集到的设备硬件信息与设备数据库作比较，判断该客户端是否符合设备数据库的要求，包括：

在设备数据库中查找是否存在该设备硬件信息，以确定该客户端是否具有连接访问权限、或者是否处于受监控状态、或者是否符合电力设备标准。

可选的，所述将采集到的用户登录操作信息与行为数据库作比较，判断该用户登录操作信息是否符合行为数据库的历史操作习惯，包括：

根据用户登录操作信息，判断是否登录异常、是否用户账号异常、是否用户操作异常和是否网络传输异常。

利用行为模式挖掘方法获取用户的历史正常操作记录；

采用机器学习方法，将历史正常操作记录组成行为数据库；

将采集到的用户登录操作信息与行为数据库比较，判断是否符合历史操作习惯。

可选的，所述利用行为模式挖掘方法获取用户的历史正常操作记录，包括：

按照用户使用的不同IP，将所有历史正常操作分成多组，获取得到第一历史正常操作数据；

按照不同的网络协议，将所有历史正常操作分成多段，获取得到第二历史正常操作数据；

按照每天的不同时段，将所有历史正常操作分成多份，获取得到第三历史正常操作数据；

针对第一历史正常操作数据、第二历史正常操作数据、第三历史正常操作数据，分别单独进行模式挖掘，得到第一挖掘数据、第二挖掘数据和第三挖掘数据；

对第一挖掘数据、第二挖掘数据和第三挖掘数据求并集，得到历史正常操作记录。

可选的，所述采用机器学习方法，将历史正常操作记录组成行为数据库，包括：

采用关联规则对历史正常操作记录进行偏差分析和校正，再组成行为数据库。

采用序列规则对历史正常操作记录进行偏差分析和校正，再组成行为数据库。

采用聚类算法对历史正常操作记录进行偏差分析和校正，再组成行为数据库。

与现有技术相比，本发明实施例具有以下有益效果：

本发明实施例提供的一种移动应用系统的连接访问请求安全检测方法，通过采集设备硬件信息和用户登录操作信息，分别进行判断该客户端是否符合设备数据库的要求、用户登录操作信息是否符合行为数据库的历史操作习惯，只要有一个不符合要求，该连接访问请求即不安全，只有当两个均符合要求，该连接访问请求才安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的一种移动应用系统的连接访问请求安全检测方法的方法流程图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明实施例提供了一种移动应用系统的连接访问请求安全检测方法。

该安全检测方法用于检测连接访问请求是否安全，以评估电力人员的安全意识、服务意识、管理意识，做到预测、预防、预警，从而规避风险，提升电力系统的安全性。

具体的，该安全检测方法包括以下步骤：

步骤S1：接入客户端的连接请求；

步骤S2：采集客户端的设备硬件信息和用户登录操作信息；

步骤S3：将采集到的设备硬件信息与设备数据库作比较，判断该客户端是否符合设备数据库的要求；如否，则请求不安全；如是，则进行下一步；

步骤S4：将采集到的用户登录操作信息与行为数据库作比较，判断该用户登录操作信息是否符合行为数据库的历史操作习惯；如否，则请求不安全；如是，则请求安全。

需要说明的是，该移动应用系统由三大部分组成：客户端、移动管理平台和企业管理平台。

用户需要通过客户端上的APP程序，连接移动管理平台，才能进入企业管理平台进行业务操作。

为了保障企业管理平台的安全性，需要移动管理平台严格筛选来自客户端上的连接访问请求，即允许安全的连接访问请求连入企业管理平台，拒绝不安全的连接访问请求。

因此，在步骤S1～S4中，其执行主体均是移动管理平台。

需要说明的是，建立移动管理平台的方法具体为：电力系统的所有的移动应用都要求通过平台发布，并通过平台的统一授权签名校验和版本管理，具体流程如下：Android操作系统上的原生应用来源复杂，经常出现了篡改版本、非法版本等，用户在不知情的情况下会无意识的安装一些第三方修改过的应用。平台需为用户提供了统一的签名校验和版本维护，管理员可以查看发布在平台上的原生应用签名证书是否合法，这样可以有效的避免非法应用的发布来源。

进一步的，所述采集客户端的设备硬件信息和用户登录操作信息，包括：

采集客户端的手机号、Mac地址、IMSI(International Mobile SubscriberIdentification Number，国际移动用户识别码)、ESN(Electronic Serial Number，CDMA电子序列号)。利用这些信息，与设备数据库比较，可以判断客户端是否符合电力标准，是否处在监控状态，是否有接入权限。需要说明的是，在设备数据库中，需要预先将电力标准、有接入权限的客户端和处在监控状态的客户端录入，并存储在设备数据库中。

采集用户登录信息、用户操作信息、用户账号信息、网络传输数据量信息。利用上述信息，可以判断是否用户登录异常、是否用户操作异常、是否用户账号异常、是否网络传输异常。

在用户登录异常中，包括以下形式：频繁退出登录、密码频繁错误。

在用户账号异常中，包括以下形式：密码安全级别不够、过于简单；在系统出现未注册用户名。

用户操作异常中，包括以下形式：用户越权操作，普通用户使用SU命令切换到ROOT；一个平时不活跃的用户突然启动，且连续很长时间占用了大量系统资源；普通用户频繁使用某些系统监视命令，如对某些端口监听；某用户连续多次试探使用其权限外的命令等。用户是否对移动门户应用是否定期更新升级、是否安装非法违规软件、设备是否越狱、是够是否经常访问可靠性低的网站等。

网络传输异常中，包括以下形式：某网络通讯端口在某段时间内传输数据量突然增加；用户频繁启动邮件软件收发邮件等。

进一步的，所述将采集到的设备硬件信息与设备数据库作比较，判断该客户端是否符合设备数据库的要求，包括：在设备数据库中查找是否存在该设备硬件信息，以确定该客户端是否具有连接访问权限、或者是否处于受监控状态、或者是否符合电力设备标准。

进一步的，所述将采集到的用户登录操作信息与行为数据库作比较，判断该用户登录操作信息是否符合行为数据库的历史操作习惯，包括：根据用户登录操作信息，判断是否登录异常、是否用户账号异常、是否用户操作异常和是否网络传输异常。

进一步的，所述将采集到的用户登录操作信息与行为数据库作比较，判断该用户登录操作信息是否符合行为数据库的历史操作习惯，包括：利用行为模式挖掘方法获取用户的历史正常操作记录；采用机器学习方法，将历史正常操作记录组成行为数据库；将采集到的用户登录操作信息与行为数据库比较，判断是否符合历史操作习惯。

需要说明的是，用户行为主要特征是复杂多变，对于具体用户可体现个性化特征。一般来说，网络内部的用户行为总是会体现其个性化的特点，表现在用户有规律地使用程序、命令或者访问资源。这种在程序执行或者用户操作过程中体现出来的规律就是用户操作行为模式。两个不同用户的行为模式不会完全一致，这是通过匹配历史正常行为模式对用户当前操作进行异常判断的基础。利用数据挖掘的方法从操作记录中提取出用户惯用模式的过程称为行为模式挖掘。

用户行为异常检测方法，通过行为模式挖掘获取用户的历史正常行为规则，再从用户当前操作记录挖掘得到用户的测试行为模式，将这两种模式进行比较，根据两组模式的相似度来做出异常判断。因此，行为模式挖掘是用户行为异常检测的核心过程，而如何根据用户行为特征来反映和建立行为模式则是其中的关键问题。

用户行为异常检测的对象是网络内部的用户的操作行为，包括用户登录系统后操作的命令、运行的程序、访问的网络资源等，这些数据都是和用户的账号或者登录地址相联系的，一般通过主机日志以及一些网络协议记录来体现。

另外，按照传统的方法对用户的历史正常行为记录进行模式挖掘会遗漏一些隐藏的正常行为模式。例如，用户A一般从Addl和Add2两个不同的位置登录系统，且从Add2登录录的次数要远少于从Addl登录的次数，如果针对整个正常记录进行模式挖掘，由于从Add2登录的记录较少，可能会遗漏从Add2位置登录的正常模式，这样在对行为模式进行匹配时，如果A从Add2登录系统就会因为没有合适的规则而被误认为是异常行为。

为解决此问题采用对训练数据进行分类的方法，对正常历史行为记录按照用户使用的不同的IP和登录时间将记录分成多段，对使用不同的网络协议(Http，Ttp,SsH)的用户操作记录也按照不同的协议划分，然后对每一段记录单独进行模式挖掘，再取各段得到的规则的并集。相比于直接对行为记录数据进行挖掘，分类方法可以有效地发现一些传统方法无法获得的正常模式，减少在随后的规则匹配过程中发生误检的几率。

因此，所述利用行为模式挖掘方法获取用户的历史正常操作记录，包括：按照用户使用的不同IP，将所有历史正常操作分成多组，获取得到第一历史正常操作数据；按照不同的网络协议，将所有历史正常操作分成多段，获取得到第二历史正常操作数据；按照每天的不同时段，将所有历史正常操作分成多份，获取得到第三历史正常操作数据；针对第一历史正常操作数据、第二历史正常操作数据、第三历史正常操作数据，分别单独进行模式挖掘，得到第一挖掘数据、第二挖掘数据和第三挖掘数据；对第一挖掘数据、第二挖掘数据和第三挖掘数据求并集，得到历史正常操作记录。

进一步的，使用关联规则并不利于发现在时间序列上呈现规律的异常行为，当异常用户在正常操作模式(比如正常的登录时间、地点等)下进行恶意操作时，用关联规则挖掘就不能够很好地检测出来，这是因为关联规则主要说明用户某个操作行为本身各种属性之间的关系，对于不同操作行为之间联系则不适用，为此用户行为异常检测方法中增加了对序列模式的挖掘。序列模式挖掘用来寻找用户操作记录之间的内在联系，发现用户在时间序列上频繁出现的操作模式。如入侵者的操作序列和正常用户的频繁操作序列差别非常明显，这就为发现此次异常提供了解决的手段。

同样，序列模式不适用于发现那些在行为数据集中不同属性之间的联系。因此在用户行为异常检测中结合使用关联规则和序列模式两种数据挖掘技术来生成用户模式，两种挖掘方式互为补充，可以避免仅使用一种方法引起的行为模式的片面性，提高检测的准确性。

因此，所述采用机器学习方法，将历史正常操作记录组成行为数据库，包括：采用关联规则或序列规则或聚类算法，对历史正常操作记录进行偏差分析和校正，再组成行为数据库。

需要说明的是，本实施例提供了采用K-中心法作为聚类算法。

K-中心点聚类算法的基本策略是:通过首先任意为每个聚类找到一个代表对象，用于确定n个数据对象的k个聚类；其他对象则根据他们与这些聚类代表对象的距离分别将它们归属到各相应聚类中心(按照最小距离原则)；而如果替换一个聚类代表能够改善所获聚类质量的话，那么就可以用一个新代表对象替换老聚类代表对象。

具体的，K-中心点聚类算法包括以下步骤：

Step1:读取当前时间粒度内的行为信息，检查内存中有没有似异常行为，没有则直接进入Step3，否则将进入Step2；

Step2:将新的行为信息与似异常行为合为一个样本。

Step3:采用k划分法k-medoids聚类算法对样本进行聚类。

Step4:采用密度评估准则反选择分离出正常行为，剩下的为似异常行为，似异常行为被滞留的次数加1。

其中，似异常行为是指在当前块内不符合一般模式的行为。

Step5:似异常行为被滞留了阀值次？是，转向Step6；否，转向Step1。

Step6:似异常行为确定为异常行为,进行输出和预警。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种移动应用系统的连接访问请求安全检测方法，其特征在于，包括：

接入客户端的连接请求；

采集客户端的设备硬件信息和用户登录操作信息；

2.根据权利要求1所述的一种移动应用系统的连接访问请求安全检测方法，其特征在于，所述采集客户端的设备硬件信息和用户登录操作信息，包括：

采集客户端的手机号、Mac地址、IMSI、ESN；

3.根据权利要求1所述的一种移动应用系统的连接访问请求安全检测方法，其特征在于，所述将采集到的设备硬件信息与设备数据库作比较，判断该客户端是否符合设备数据库的要求，包括：

4.根据权利要求1所述的一种移动应用系统的连接访问请求安全检测方法，其特征在于，所述将采集到的用户登录操作信息与行为数据库作比较，判断该用户登录操作信息是否符合行为数据库的历史操作习惯，包括：

5.根据权利要求1所述的一种移动应用系统的连接访问请求安全检测方法，其特征在于，所述将采集到的用户登录操作信息与行为数据库作比较，判断该用户登录操作信息是否符合行为数据库的历史操作习惯，包括：

利用行为模式挖掘方法获取用户的历史正常操作记录；

采用机器学习方法，将历史正常操作记录组成行为数据库；

6.根据权利要求5所述的一种移动应用系统的连接访问请求安全检测方法，其特征在于，所述利用行为模式挖掘方法获取用户的历史正常操作记录，包括：

7.根据权利要求5所述的一种移动应用系统的连接访问请求安全检测方法，其特征在于，所述采用机器学习方法，将历史正常操作记录组成行为数据库，包括：

8.根据权利要求5所述的一种移动应用系统的连接访问请求安全检测方法，其特征在于，所述采用机器学习方法，将历史正常操作记录组成行为数据库，包括：

9.根据权利要求5所述的一种移动应用系统的连接访问请求安全检测方法，其特征在于，所述采用机器学习方法，将历史正常操作记录组成行为数据库，包括：