CN110266727A - 模拟浏览器行为的识别方法、服务器及客户端 - Google Patents
模拟浏览器行为的识别方法、服务器及客户端 Download PDFInfo
- Publication number
- CN110266727A CN110266727A CN201910614019.8A CN201910614019A CN110266727A CN 110266727 A CN110266727 A CN 110266727A CN 201910614019 A CN201910614019 A CN 201910614019A CN 110266727 A CN110266727 A CN 110266727A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- simulation browser
- browser behavior
- recognition methods
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本申请实施例提供模拟浏览器行为的识别方法、服务器及客户端,其中的一种方法包括:接收当前用户针对目标网页的行为数据,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据;获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。本申请能够自动对模拟浏览器行为进行快速且准确的识别,进而能够有效提高对应网页的访问安全性。
Description
技术领域
本申请涉及数据安全技术领域,具体涉及一种模拟浏览器行为的识别方法、服务器及客户端。
背景技术
从1991年第一个web页面在Internet上首次登场,Web应用在几十年间蓬勃发展,大多数企业应用都会选择通过Web网站向用户提供服务,同时模仿浏览器的攻击行为正日益增多,给企业造成不可挽回的利益损失。模仿浏览器的攻击行为通常有两种方式,一种是不法分子直接采用非浏览器客户端发起的攻击行为,比如使用java客户端、Node.js客户端等。第二种是不法分子依然使用浏览器发起攻击行为,但是页面中的数据不是客户正常输入,而且通过脚本注入等方式。因为这类模仿浏览器的攻击请求,其数据包与正常请求数据包完全相同,因此,企业后台很难鉴别出是否是来自浏览器的合法请求,以至造成此类攻击行为屡屡得逞。
目前的模仿浏览器行为攻击的防御方法主要有两种,一是页面中含有短信或图片验证码等需要人为输入的要素。二是通过对请求进行建模分析来发现异常请求,并通过IP黑名单的方式拦截。
然而,上述第一种方式会影响用户体验,第二种方式需要建模以及大数据量,不适合大规模推广。
发明内容
针对现有技术中的问题,本申请提供一种模拟浏览器行为的识别方法、服务器及客户端,能够自动对模拟浏览器行为进行快速且准确的识别,进而能够有效提高对应网页的访问安全性。
为解决上述技术问题,本申请提供以下技术方案:
第一方面,本申请提供一种模拟浏览器行为的识别方法,包括:
接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;
在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据;
获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
进一步地,所述接收当前用户针对目标网页的行为数据,包括:
接收客户端发送的加密报文;
对所述加密报文进行解密处理,得到对应的当前用户针对目标网页的行为数据。
进一步地,所述接收客户端发送的加密报文,包括:
接收客户端发送的所述目标网页的表单;
自所述表单的隐藏域中获取所述加密报文。
进一步地,在所述接收客户端发送的加密报文之前,还包括:
接收所述客户端发送的密钥获取请求;
根据所述密钥获取请求向所述客户端发送对应的加密密钥,以使该客户端应用所述加密密钥对所述报文进行加密处理;
相对应的,所述对所述加密报文进行解密处理,包括:
应用与所述加密密钥对应的解密密钥对所述加密报文进行解密处理。
进一步地,所述在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,包括:
将各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据均存储至预设的校验池中;
自所述校验池中随机且动态选取其中的多项数据作为目标识别数据。
进一步地,还包括:
周期性更新各项所述指标参数的值;
相对应的,所述获取所述目标识别数据中的各项数据分别对应的指标参数,包括:
获取所述目标识别数据中的各项数据分别对应的距离当前时刻最近一次更新后的指标参数。
进一步地,还包括:
针对发生所述模拟浏览器行为的当前用户进行安全预警监测,若该用户发生的所述模拟浏览器行为满足告警条件,则发出针对该用户的攻击报警。
进一步地,所述发出针对该用户的攻击报警,包括:
向授权人员的客户端发送用于表明发生所述模拟浏览器行为的用户的报警信息。
进一步地,还包括:
将每一次得到的所述校验结果均存储至对应的日志中;
相对应的,所述针对发生所述模拟浏览器行为的当前用户进行安全预警监测,包括:
根据所述日志中的多次所述校验结果,针对发生所述模拟浏览器行为的当前用户进行安全预警监测。
进一步地,所述页面特征数据包括:目标网页的目标脚本语言的执行环境状态数据、目标计算机语言的渲染可行性数据、页面的宽度和高度数据中的至少两项。
进一步地,所述用户操作行为数据包括:用户点击鼠标的次数、点击键盘的次数、在目标输入域的键盘使用情况数据以及在目标选择域的鼠标使用情况数据中的至少两项。
进一步地,所述时间数据包括:用户从打开所述目标网页的页面到用户提交请求之间的时间、在输入域操作的时间和在选择域操作的时间中的至少两项。
第二方面,本申请提供一种模拟浏览器行为的识别方法,包括:
采集当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;
将当前用户针对目标网页的行为数据发送至服务器,以使该服务器在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,并应用获取的指标参数对该目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
进一步地,所述将当前用户针对目标网页的行为数据发送至服务器,包括:
生成包含有所述当前用户针对目标网页的行为数据的报文;
对所述报文进行加密处理,得到对应的加密报文;
将所述加密报文发送至所述服务器。
进一步地,所述对所述报文进行加密处理,包括:
向服务器发送密钥获取请求;
接收所述服务器根据所述密钥获取请求发回的对应的加密密钥;
应用所述加密密钥对所述报文进行加密处理。
进一步地,所述将所述加密报文发送至所述服务器,包括:
将所述加密报文添加至所述目标网页的表单的隐藏域中,并将该表单发送至所述服务器。
进一步地,在所述采集当前用户针对目标网页的行为数据之前,还包括:
对用户针对目标网页的行为数据进行初始化处理。
第三方面,本申请提供一种服务器,包括分析模块,且该分析模块包括:
数据接收单元,用于接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;
数据动态选取单元,用于在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据;
数据动态校验单元,用于获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
第四方面,本申请提供一种客户端,包括:
数据采集模块,用于采集当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;
传输模块,用于将当前用户针对目标网页的行为数据发送至服务器,以使该服务器在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,并应用获取的指标参数对该目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
第五方面,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述第一方面所述的模拟浏览器行为的识别方法的步骤,或者,实现前述第二方面所述的模拟浏览器行为的识别方法的步骤。
第六方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现前述第一方面所述的模拟浏览器行为的识别方法的步骤,或者,实现前述第二方面所述的模拟浏览器行为的识别方法的步骤。
第七方面,本申请提供一种模拟浏览器行为的识别系统,包括:所述的服务器,以及,至少一个所述的客户端;
所述服务器与所述客户端之间通信连接。
由上述技术方案可知,本申请提供模拟浏览器行为的识别方法、服务器及客户端,其中的一种方法包括:接收当前用户针对目标网页的行为数据,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据;获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请的模拟浏览器行为的识别系统的结构示意图。
图2为本申请实施例中的执行主体为服务器的模拟浏览器行为的识别方法的流程示意图。
图3为本申请实施例中的执行主体为服务器的模拟浏览器行为的识别方法中步骤11的流程示意图。
图4为本申请实施例中的执行主体为服务器的模拟浏览器行为的识别方法中步骤0001和步骤0002的流程示意图。
图5为本申请实施例中的执行主体为服务器的模拟浏览器行为的识别方法中步骤12的流程示意图。
图6为本申请实施例中的包含有步骤14的执行主体为服务器的模拟浏览器行为的识别方法的流程示意图。
图7为本申请实施例中的执行主体为客户端的模拟浏览器行为的识别方法的流程示意图。
图8为本申请实施例中的执行主体为客户端的模拟浏览器行为的识别方法中步骤22的流程示意图。
图9为本申请实施例中的包含有步骤20的执行主体为客户端的模拟浏览器行为的识别方法的流程示意图。
图10是本申请应用实例的模拟浏览器行为的识别系统的结构示意图。
图11是本申请应用实例的数据采集模块的结构示意图。
图12是本申请应用实例的传输模块的结构示意图。
图13是本申请应用实例的分析模块的结构示意图。
图14是本申请应用实例的监控模块的结构示意图。
图15是本申请应用实例的参数配置模块的结构示意图。
图16是本申请应用实例的模拟浏览器行为的识别系统的工作流程图。
图17为本申请实施例中的第一电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
考虑到现有的模仿浏览器行为攻击的防御方法存在的影响用户体验,且需要建模以及大数据量,不适合大规模推广的问题。本申请提供一种模拟浏览器行为的识别方法、服务器、客户端、电子设备、计算机可读存储介质和模拟浏览器行为的识别系统,接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据;获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
基于上述内容,本申请提供一种模拟浏览器行为的识别系统,该模拟浏览器行为的识别系统种可以包含有模拟浏览器行为的识别装置,该模拟浏览器行为的识别装置具体可以为一种服务器001,参见图1,所述服务器001分别与至少一个客户端002通信连接,所述服务器001还可以与相关数据库通信连接。所述服务器001可以在线从客户端002接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据;获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。而后服务器001可以在线向客户端002发送用于表明发生所述模拟浏览器行为的用户的报警信息。
其中的客户端002即为客户端设备。可以理解的是,所述客户端设备可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、台式电脑、个人数字助理(PDA)、车载设备、智能穿戴设备等。其中,所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
在实际应用中,确定模拟浏览器行为的识别的部分可以在如上述内容所述的服务器侧执行,也可以所有的操作都在所述客户端设备中完成。具体可以根据所述客户端设备的处理能力,以及用户使用场景的限制等进行选择。本申请对此不作限定。若所有的操作都在所述客户端设备中完成,所述客户端设备还可以包括处理器。
上述的客户端设备可以具有通信模块(即通信单元),可以与远程的服务器进行通信连接,实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器,其他的实施场景中也可以包括中间平台的服务器,例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备,也可以包括多个服务器组成的服务器集群,或者分布式装置的服务器结构。
所述服务器与所述客户端设备之间可以使用任何合适的网络协议进行通信,包括在本申请提交日尚未开发出的网络协议。所述网络协议例如可以包括TCP/IP协议、UDP/IP协议、HTTP协议、HTTPS协议等。当然,所述网络协议例如还可以包括在上述协议之上使用的RPC协议(Remote Procedure Call Protocol,远程过程调用协议)、REST协议(Representational State Transfer,表述性状态转移协议)等。
为了能够自动对模拟浏览器行为进行快速且准确的识别,进而能够有效提高对应网页的访问安全性,在本申请的执行主体可以为前述的服务器的一种模拟浏览器行为的识别方法的实施例中,参见图2,所述模拟浏览器行为的识别方法具体包含有如下内容:
步骤11:接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据。
可以理解的是,所述服务器可以接收客户端发送的加密报文;然后对所述加密报文进行解密处理,得到对应的当前用户针对目标网页的行为数据。
其中,所述页面特征数据具体包含有:目标网页的目标脚本语言的执行环境状态数据、目标计算机语言的渲染可行性数据、页面的宽度和高度数据中的至少两项。
所述用户操作行为数据具体包含有:用户点击鼠标的次数、点击键盘的次数、在目标输入域的键盘使用情况数据以及在目标选择域的鼠标使用情况数据中的至少两项。
所述时间数据具体包含有:用户从打开所述目标网页的页面到用户提交请求之间的时间、在输入域操作的时间和在选择域操作的时间中的至少两项。
步骤12:在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据。
可以理解的是,所述服务器可以将各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据均存储至预设的校验池中;自所述校验池中随机且动态选取其中的多项数据作为目标识别数据。
其中,校验池(Pool)是一个数据保存容器。从结构上看,校验池具有容器对象和具体的元素对象。从使用方法上看,可以直接取得校验池中的元素来用,也可以将要做的任务分配给它处理。校验池通常可以应用Thread Pool(线程池)和Resource Pool(资源池)。
验证池机制是区块链共识机制的四大类之一,它是基于传统的分布式一致性技术。
步骤13:获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
为了提高接收行为数据的可靠性和安全性,以进一步提高行为模拟浏览器的效率和准确性,在本申请的执行主体为服务器的模拟浏览器行为的识别方法的一个实施例中,参见图3,所述模拟浏览器行为的识别方法中的步骤11具体包含有如下内容:
步骤1101:接收客户端发送的加密报文。
具体来说,为了进一步提高用户体验,避免用户获知模拟浏览器行为的识别过程,所述步骤1101具体可以通过所述服务器接收客户端发送的所述目标网页的表单,以及服务器自所述表单的隐藏域中获取所述加密报文的过程来实现。
步骤1102:对所述加密报文进行解密处理,得到对应的当前用户针对目标网页的行为数据。
为了进一步提高接收行为数据的可靠性和安全性,以进一步提高行为模拟浏览器的效率和准确性,在本申请的执行主体为服务器的模拟浏览器行为的识别方法的一个实施例中,参见图4,在所述模拟浏览器行为的识别方法中的步骤1101之前还具体包含有如下内容:
步骤0001:接收所述客户端发送的密钥获取请求。
步骤0002:根据所述密钥获取请求向所述客户端发送对应的加密密钥,以使该客户端应用所述加密密钥对所述报文进行加密处理。
相对应的,所述步骤1102具体为:应用与所述加密密钥对应的解密密钥对所述加密报文进行解密处理,得到对应的当前用户针对目标网页的行为数据。
为了提高获取目标识别数据的可靠性,以进一步提高行为模拟浏览器的效率和准确性,在本申请的执行主体为服务器的模拟浏览器行为的识别方法的一个实施例中,参见图5,所述模拟浏览器行为的识别方法中的步骤12具体包含有如下内容:
步骤1201:将各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据均存储至预设的校验池中。
步骤1202:自所述校验池中随机且动态选取其中的多项数据作为目标识别数据。
为了进一步提高行为模拟浏览器的效率和准确性,在本申请的执行主体为服务器的模拟浏览器行为的识别方法的一个实施例中,所述模拟浏览器行为的识别方法中的步骤13之前还具体包含有如下内容:
步骤1001:周期性更新各项所述指标参数的值。
相对应的,步骤13具体为:获取所述目标识别数据中的各项数据分别对应的距离当前时刻最近一次更新后的指标参数。
为了能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全,以进一步提高行为模拟浏览器的效率和准确性,在本申请的执行主体为服务器的模拟浏览器行为的识别方法的一个实施例中,参见图6,所述模拟浏览器行为的识别方法中的步骤13之后还具体包含有如下内容:
步骤14:针对发生所述模拟浏览器行为的当前用户进行安全预警监测,若该用户发生的所述模拟浏览器行为满足告警条件,则发出针对该用户的攻击报警。
其中,所述发出针对该用户的攻击报警的具体方式可以为:向授权人员的客户端发送用于表明发生所述模拟浏览器行为的用户的报警信息。
为了进一步提高行为模拟浏览器的效率和准确性,在本申请的执行主体为服务器的模拟浏览器行为的识别方法的一个实施例中,所述模拟浏览器行为的识别方法中还具体包含有如下内容:
步骤1204:将每一次得到的所述校验结果均存储至对应的日志中。
相对应的,所述步骤14可以具体为:根据所述日志中的多次所述校验结果,针对发生所述模拟浏览器行为的当前用户进行安全预警监测。
从上述描述可知,本申请实施例提供的服务器执行的模拟浏览器行为的识别方法,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
为了能够自动对模拟浏览器行为进行快速且准确的识别,进而能够有效提高对应网页的访问安全性,在本申请的执行主体可以为前述的客户端的一种模拟浏览器行为的识别方法的实施例中,参见图7,所述模拟浏览器行为的识别方法具体包含有如下内容:
步骤21:采集当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据。
步骤22:将当前用户针对目标网页的行为数据发送至服务器,以使该服务器在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,并应用获取的指标参数对该目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
为了提高行为数据获取的安全性,以进一步提高行为模拟浏览器的效率和准确性,在本申请的执行主体为客户端的模拟浏览器行为的识别方法的一个实施例中,参见图8,所述模拟浏览器行为的识别方法中的步骤22中具体包含有如下内容:
步骤2201:生成包含有所述当前用户针对目标网页的行为数据的报文。
步骤2202:对所述报文进行加密处理,得到对应的加密报文。
其中,为了进一步提高用户体验,避免用户获知模拟浏览器行为的识别过程,所述步骤2202具体为:向服务器发送密钥获取请求;接收所述服务器根据所述密钥获取请求发回的对应的加密密钥;应用所述加密密钥对所述报文进行加密处理。
步骤2203:将所述加密报文发送至所述服务器。
在步骤2203中,所述客户端可以将所述加密报文添加至所述目标网页的表单的隐藏域中,并将该表单发送至所述服务器。
进一步提高行为模拟浏览器的效率和准确性,在本申请的执行主体为客户端的模拟浏览器行为的识别方法的一个实施例中,参见图9,所述模拟浏览器行为的识别方法中的步骤21之前还具体包含有如下内容:
步骤20:对用户针对目标网页的行为数据进行初始化处理。
从上述描述可知,本申请实施例提供的客户端执行的模拟浏览器行为的识别方法,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
为了能够自动对模拟浏览器行为进行快速且准确的识别,进而能够有效提高对应网页的访问安全性,在本申请的用于实现模拟浏览器行为的识别方法中全部或部分内容的服务器的实施例中,所述服务器具体包含有如下内容:
分析模块,该分析模块包含有数据接收单元、数据动态选取单元、数据动态校验单元这三部分。
所述数据接收单元,用于接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据。
所述数据动态选取单元,用于在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据。
所述数据动态校验单元,用于获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
本申请提供的服务器的实施例具体可以用于执行上述实施例中的执行主体为服务器的模拟浏览器行为的识别方法的实施例的处理流程,其功能在此不再赘述,可以参照上述执行主体为服务器的模拟浏览器行为的识别方法实施例的详细描述。
从上述描述可知,本申请实施例提供的服务器,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
为了能够自动对模拟浏览器行为进行快速且准确的识别,进而能够有效提高对应网页的访问安全性,在本申请的用于实现模拟浏览器行为的识别方法中全部或部分内容的客户端的实施例中,所述客户端具体包含有如下内容:
数据采集模块,用于采集当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据。
传输模块,用于将当前用户针对目标网页的行为数据发送至服务器,以使该服务器在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,并应用获取的指标参数对该目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
本申请提供的客户端的实施例具体可以用于执行上述实施例中的执行主体为客户端的模拟浏览器行为的识别方法的实施例的处理流程,其功能在此不再赘述,可以参照上述执行主体为客户端的模拟浏览器行为的识别方法实施例的详细描述。
从上述描述可知,本申请实施例提供的客户端,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
为进一步说明本方案,本申请还提供一种模拟浏览器行为的识别方法的具体应用实例,具体包含有如下内容:
1)设置在客户端的数据采集模块采集特征数据,包括三类数据:页面特征数据、客户操作行为数据和时间数据,可以从三个维度较全面的描述浏览器。
2)设置在客户端的传输模块先向后台请求一次一密的加密密钥,加密特征数据,并将加密报文以hidden隐藏域方式放入待提交form表单中,随form请求提交到后台。
3)后台服务器中分析模块接收客户端form请求,解密报文,并与后台预先设置的指标值进行比对,将比对结果记录到日志中。本应用实例中将可能动态变化的指标值抽取为参数,可根据攻击行为去动态调整数值。同时,本应用实例中后台使用了动态的校验算法,总体思路为将各项待校验项放到一个校验池中,每次后台校验的时候,动态选取其中几项来校验,从而增加校验的不可预测性,真正起到动态调整安全防护策略的目的。
4)后台监控模块实时分析日志,用于数据分析和安全报警。
图10是本应用实例的一种模拟浏览器行为的识别系统的结构图,包括初始化模块1、数据采集模块2、传输模块3、分析模块4、实时监控模块5、参数配置模块6。初始化模块1负责数据初始化,具体包括客户端时间、鼠标点击次数、键盘点击次数;数据采集模块2负责采集客户端特征数据,具体包括页面特征数据、客户操作行为数据和时间数据三类维度数据;传输模块3负责与后台服务器交互获取加密密钥,然后加密页面特征数据、客户操作行为数据和时间数据,并将加密报文以隐藏域方式随正常form表单请求到后台,在form表单中,隐藏域是type属性为hidden值的input,其特点为在页面中不显示,因此用户无感知;分析模块4接收正常交易提交上来的请求,从上送请求数据中获取到加密报文并解密,并与参数配置模块6中设置的指标值来识别客户端是否为真实浏览器,校验结果记录到日志中;监控模块5负责实时分析日志,用于数据分析和安全报警。
下面将详细介绍客户端和服务端中各个模块的组织结构,通过这些模块的协同合作,实现了模拟浏览器行为的识别系统的正常运转。
1、初始化模块1
所述初始化模块1,部署在客户端中,交易页面以js文件方式引入。负责初始化处理系统的计数值,以便于数据采集模块2采集数据时的正确性。目前,初始化模块1中具体包含了两类数据的初始化,一是初始定义了用户打开页面的时间,用于后面计算客户在页面操作以及停留的时间;二是将鼠标点击和键盘点击页面的次数初始为0,用于后续计算客户端在页面操作过程中鼠标和键盘的点击次数。
2、数据采集模块2
图11是所述数据采集模块2的结构图,包括页面特征数据采集单元200、客户操作行为数据采集单元201、时间数据采集单元202。数据采集模块2部署在客户端中,以js文件方式引入。当客户打开一个页面后,数据采集模块2即开始工作,具体完成三种数据的采集,三种数据分别由页面特征数据采集单元200、客户操作行为数据采集单元201和时间数据采集单元202分别负责采集,下面详细介绍。
页面特征数据采集单元200负责采集浏览器页面特征数据,具体包括页面的宽和高、js执行环境是否正常、css是否可以渲染等数据,这些数据通过js方法与浏览器交互获得,可以识别用户是否在正常的浏览器中操作。
客户操作行为数据采集单元201负责记录用户在页面操作过程中的行为数据,从用户打开页面就开始记录用户的操作行为,具体包括用户点击鼠标次数、用户点击键盘次数、用户在input、textarea输入域是否使用键盘输入,以及在select、radio、checkbox等选择域是否使用鼠标点击等操作数据,这些数据从某些方面可以标识用户是否在页面中正常操作,而不是通过脚本等方式操作。
时间数据采集单元202负责采集时间类数据,包括从用户打开页面到用户提交请求之间的时间、用户在输入域、选择域操作的时间等。根据对页面复杂程度的评估,可以大概估算出用户所需的正常时间,如果和采集的时间数据不符合,则证明请求很可能是脚本操作发出。
3、传输模块3
图12是所述传输模块3的结构图,包括加密单元300和上送报文单元301。
传输模块3部署在客户端中,以js文件方式引入。在用户页面输入完成,点击form表单提交后,触发传输模块开始工作。所述传输模块3完成特征数据的加密以及随页面正常交易请求将加密报文传输到后台,分别由加密单元300和上送报文单元301负责。
加密单元300负责对上送页面特征数据进行编码加密,因为前端js代码存在被攻击者破解的可能性,因此在每次加密前,都先与后台交互获得一个加密密钥,通过一次一密来保证数据的机密性。
上送报文单元301负责将加密后报文传输到后台。为了实现对开发者代码的低侵入性,上送报文单元会将加密报文以隐藏域方式插入到用户请求的form表单中,随用户提交的正常交易请求一块提交到后台,对开发者透明。
4、分析模块4
图13是所述分析模块4的结构图,包括解密单元400、校验比对单元401、结果输出单元402三部分。分析模块4部署在服务端中,以jar包方式引入。用户交易请求到达后台后,后台filter会拦截请求并触发分析模块4开始工作。所述分析模块4完成上送加密报文的解密、与参数配置模块中配置的指标值进行校验比对,并将请求数据和校验结果记录到日志中。
解密单元400负责对上送页面特征加密报文进行解密,首先获取后台存放的用于一次一密的加密密钥,然后将加密报文还原为源报文。
校验比对单元401负责源报文的校验,上送报文中包括页面特征数据、客户操作行为数据和时间数据三部分,校验比对单元也针对上述三部分数据分别进行校验,校验的指标数据来自于参数配置模块。此处,本应用实例也引入了动态校验算法,将页面特征数据、客户操作行为数据和时间数据三大类中包括的每个校验小项都放在一个校验池中,待真正校验比对时,校验算法会从池中动态选取出几项校验项来比对,根据校验比对结果,决定是放行/拒绝用户请求。对于指标数据的详细说明,请参照参数配置模块6中说明。
结果输出单元402负责将请求上送数据以及校验结果记录到日志中,以便于后续监控分析。请求上送数据不仅包括交易请求数据,还包括随交易请求上送的客户端IP等数据。
5、实时监控模块5
图14是监控模块5的结构图,包括数据分析单元500和数据展现单元501。监控模块5部署在服务端,是一个独立部署的系统。校验比对单元4将请求数据和校验结果记录到日志后,所述监控模块5负责从日志中分析出已发生的或潜在的攻击行为,并以数据报表方式显示,以及给开发运维开发人员报警等。
数据分析单元500负责从日志中分析已发生的或潜在的可疑攻击行为,比如某个时间段内某一个ip持续地发送非浏览器请求,上送页面特征数据显示窗口宽高都为0,上送客户操作行为数据中鼠标点击次数为0等可疑攻击行为,将分析结果记录到数据库中保存。
数据展现单元501根据数据分析单元500产生的结果,生成分析报表。同时,如果可疑攻击行为持续出现,比如超过预警数量3次,可以给运维开发人员发送报警短信等。
6、参数配置模块6
图15是参数配置模块6的结构图,包括参数初始化单元600和参数刷新单元601。参数配置模块6部署在服务端,以jar包方式导入。参数目前放置在一个property文件中,参数模块6负责读取property文件中参数到缓存中,并在参数值改变后,可以将参数值动态更新到缓存。
参数初始化单元600负责将参数从配置文件读取到缓存中,并提供获取参数值的接口。在分析模块4中提到校验比对单元401会将上送的页面特征、客户操作行为和时间三类数据与参数指标值进行比对。针对每一类上送特征数据,都有参数与之对应。对于页面特征数据,目前页面宽和高的指标值都设置为200,js执行环境是否正常和css是否渲染的指标值设置为true;对于客户操作行为数据,用户点击鼠标次数和用户点击键盘次数,根据页面要素复杂程度不同,可以设置不同的指标值,用户在input、textarea输入域是否使用键盘输入的指标值设置为true,用户在select、radio、checkbox等选择域是否使用鼠标点击的指标值设置为true;对于时间数据,用户打开页面到用户提交之间时间,根据页面要素负责程度不同,可以设置不同的指标值,用户输入域和选择域操作时间的指标值设置为200ms。
参数刷新单元601负责监听property文件,并在文件中参数值更新后,实时更新缓存中的参数值,以能动态的调整安全防护策略,更好的识别模拟浏览器攻击行为。
以上是本应用实例一种模拟浏览器行为的识别系统的六个重要模块。通过这些模块的协同合作,完成了识别非浏览器模拟行为的处理。
图16为一种模拟浏览器行为的识别系统的工作流程图:
步骤100:初始化模块0初始计数值:初始化数值包括用户打开页面的起始时间、鼠标和键盘点击次数,以确保后续采集数据的正确性。
步骤101:数据采集模块2采集数据:目前一共包括三类数据,一是页面特征数据,包含页面的宽和高、js执行环境是否正常、css是否可以渲染等数据;二是客户操作行为数据,用户点击鼠标次数、用户点击键盘次数、用户在input、textarea输入域是否使用键盘输入,以及在select、radio、checkbox等选择域是否使用鼠标点击等;三是时间数据,包含用户从打开页面到用户提交请求之间的时间、用户在输入域、选择域操作的时间等。
步骤102:传输模块3加密数据:传输模块3先与后台交互,获取一次一密的加密密钥,再对采集数据进行加密。
步骤103:传输模块3上送加密报文:将加密报文以hidden域方式添加到form表单中,随用户页面请求上送到后台。
步骤104:分析模块4接收并获取加密报文:接收到请求上送的报文,并进行解密操作。
步骤105:分析模块4进行校验比对:分别对页面特征数据、客户操作行为数据和时间数据进行校验比对。
步骤106:分析模块4将结果记录到日志:根据校验比对结果,决定放行或拒绝用户请求,并将请求数据和校验结果记录到日志中,以用于后续监控分析。
步骤107:参数配置模块6设置指标值:允许业务和开发人员根据页面html元素数量、输入域数量、输入文字长短等情况,设置页面特征数据、客户操作行为数据和时间数据的指标值,比如浏览器正常页面大小至少在200×200以上,客户正常操作页面期间,鼠标和键盘点击次数在5次以上等。
步骤108:参数配置模块6读取参数到缓存:将业务和开发人员设置的参数读取到缓存中,并提供接口可以快速从缓存中获取数据。
步骤109:参数配置模块6动态调整指标值:允许业务和开发人员根据运行中的监控情况,调整不太合适的指标值,以能更好识别出非法浏览器模拟请求。
步骤110:实时监控模块5分析日志:读取安全日志并分析,将分析结果记录到数据库中。
步骤111:实时监控模块5进行数据展现:根据分析结果,依照问题的严重程度,可发送报警短信给运维和开发人员,并提供报表详细展示监控情况。
经过以上步骤的处理,即可实现模拟浏览器行为的识别系统从开始初始化计数值,到前台采集、加密和上送报文,再到后台解密报文,并校验、监控处理,完成了一套完整的识别非浏览器模拟行为的运行过程。
以下两个实例为本系统的运用场景,涉及正常运行和指标值动态调整运行的全流程。
1、系统正常运行全流程:
(1)执行步骤107,开发和业务人员通过参数配置模块6将指标值配置到property文件中。
(2)执行步骤108,在后台系统启动时,参数配置模块6将文件中指标值读取到缓存中。
(3)执行步骤100,初始化模块1初始化定义用户打开页面的起始时间,以及将鼠标和键盘点击次数初始化为0。
(4)执行步骤101,数据采集模块2采集页面特征、客户操作行为和时间三类数据。
(5)执行步骤102,传输模块3与后台交互获取加密密钥,然后加密采集数据。
(6)执行步骤103,传输模块3将加密报文以隐藏域方式添加到用户请求form表单中,随用户正常交易请求上送到后台。
(7)执行步骤104,分析模块4后台获取到加密报文并解密。
(8)执行步骤105,分析模块4将动态校验算法选取的页面特征数据、客户操作行为数据和时间数据分别与指标值进行校验比对。
(9)执行步骤106,分析模块4根据校验比对结果,决定是否放行/拒绝请求,并将请求数据和校验结果记录到日志中。
(10)执行步骤110,实时监控模块5读取并分析日志,将分析结果记录到数据库中。
(11)执行步骤111,实时监控模块5读取分析结果,以报表方式显示以及实施报警等处理。
2、指标值动态调整运行全流程:
(1)执行步骤111,开发和业务人员查看实时分析报表,根据监控情况,调整不合适的指标值,比如在上送报文中,发现每个输入域的输入时间都为10ms,那么很有可能是脚本方式注入的。
(2)执行步骤107,开发和业务人员通过参数配置模块6将新调整的指标值配置到property文件中。
(3)执行步骤109,参数配置模块6监听到property文件有变化,读取新的指标值到缓存中。
(4)执行步骤100,初始化模块1初始化定义用户打开页面的起始时间,以及将鼠标和键盘点击次数初始化为0。
(5)执行步骤101,数据采集模块2采集页面特征、客户操作行为和时间三类数据。
(6)执行步骤102,传输模块3与后台交互获取加密密钥,然后加密采集数据。
(7)执行步骤103,传输模块3将加密报文以隐藏域方式添加到用户请求form表单中,随用户正常交易请求上送到后台。
(8)执行步骤104,分析模块4后台获取到加密报文并解密。
(9)执行步骤105,分析模块4将动态校验算法选取的页面特征数据、客户操作行为数据和时间数据分别与指标值进行校验比对。
(10)执行步骤106,分析模块4根据校验比对结果,决定是否放行/拒绝请求,并将请求数据和校验结果记录到日志中。
(11)执行步骤110,实时监控模块5读取并分析日志,将分析结果记录到数据库中。
(12)执行步骤111,实时监控模块5读取分析结果,以报表方式显示以及实施报警等处理。
从上述描述可知,本应用实例实现了一种非浏览器模拟行为的识别系统及方法,通过采集浏览器三类特征数据,并通过与后台设置的指标值比对,来识别出非浏览器模拟行为。本应用实例具有以下效果和优点:
1、识别性好:本应用实例中采集的浏览器特征数据,具体包括三类数据:页面特征数据、客户操作行为数据和时间数据,分别从三个维度、较全面的描述了浏览器,因此识别性好。据实践结果来看,非浏览器模拟行为的拦截成功率较好,以低成本获得了不错的效果。
2、安全可靠:数据在网络上的传输安全是非常重要的,如果不能保证传输的安全,那么即便收集的数据再全面准确,也存在被攻击者恶意篡改的可能性。在本应用实例中,采取了一次一密的方式,能很好的防范密钥被破解的可能性。同时,动态校验算法的引入,可大大增加攻击的不可预测性,提升攻击成本。
3、参数配置化:本应用实例中,将可能动态变化的数据值抽取为参数,而且允许动态更新,不但方便配置维护,而且可根据攻击行为动态去调整安全防护策略,更好起到保护作用。
4、易用性:本应用实例,因为参数的可配置化,可支持不同的交易类型。而且提供的组件本身具有很好的封装性,前端页面中只需引入一个js文件,后台只需引入一个jar包并配置即可,对开发者透明。
从硬件层面来说,本申请的实施例还提供能够实现上述实施例中的执行主体为服务器的模拟浏览器行为的识别方法中全部步骤的一种第一电子设备的具体实施方式,参见图17,所述第一电子设备具体包括如下内容:
处理器(processor)2601、存储器(memory)2602、通信接口(CommunicationsInterface)2 603和总线2604;
其中,所述处理器2601、存储器2602、通信接口2603通过所述总线2604完成相互间的通信;所述通信接口2603用于实现服务器、客户终端以及其他参与机构之间的信息传输;
所述处理器2601用于调用所述存储器2602中的计算机程序,所述处理器执行所述计算机程序时实现上述实施例中的模拟浏览器行为的识别方法中的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤11:接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据。
步骤12:在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据。
步骤13:获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
从上述描述可知,本申请实施例提供的第一电子设备,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
从硬件层面来说,本申请的实施例还提供能够实现上述实施例中的执行主体为客户端的模拟浏览器行为的识别方法中全部步骤的一种第二电子设备的具体实施方式,所述第二电子设备具体包括如下内容:
处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线;
其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述通信接口用于实现服务器、客户终端以及其他参与机构之间的信息传输;
所述处理器用于调用所述存储器中的计算机程序,所述处理器执行所述计算机程序时实现上述实施例中的模拟浏览器行为的识别方法中的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤21:采集当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据。
步骤22:将当前用户针对目标网页的行为数据发送至服务器,以使该服务器在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,并应用获取的指标参数对该目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
从上述描述可知,本申请实施例提供的第二电子设备,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
本申请的实施例还提供能够实现上述实施例中的执行主体为服务器的模拟浏览器行为的识别方法中全部步骤的一种第一计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器的模拟浏览器行为的识别方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤11:接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据。
步骤12:在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据。
步骤13:获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
从上述描述可知,本申请实施例提供的第一计算机可读存储介质,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
本申请的实施例还提供能够实现上述实施例中的执行主体为客户端的模拟浏览器行为的识别方法中全部步骤的一种第二计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的执行主体为客户端的模拟浏览器行为的识别方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤21:采集当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据。
步骤22:将当前用户针对目标网页的行为数据发送至服务器,以使该服务器在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,并应用获取的指标参数对该目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
从上述描述可知,本申请实施例提供的第二计算机可读存储介质,通过行为数据的选取以及动态检验方式的选取,能够实现对模拟浏览器行为的自动化识别,无需用户参与,进而能够在提高识别模拟浏览器行为的效率的同时,增强客户体验;且能够有效提高对模拟浏览器行为进行识别的过程的效率和准确性,即仅应用较少的数量,即能够有效提高对模拟浏览器行为的识别准确性,避免进行数据建模所需的庞大数据量的使用。能够将伪装成浏览器行为的非法请求进行拦截并拒绝服务,进而有效保护网页对应的企业的资源安全。在安全环境日益严峻的当下,更适用于目前的企业需求。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (22)
1.一种模拟浏览器行为的识别方法,其特征在于,包括:
接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;
在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据;
获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
2.根据权利要求1所述的模拟浏览器行为的识别方法,其特征在于,所述接收当前用户针对目标网页的行为数据,包括:
接收客户端发送的加密报文;
对所述加密报文进行解密处理,得到对应的当前用户针对目标网页的行为数据。
3.根据权利要求2所述的模拟浏览器行为的识别方法,其特征在于,所述接收客户端发送的加密报文,包括:
接收客户端发送的所述目标网页的表单;
自所述表单的隐藏域中获取所述加密报文。
4.根据权利要求2所述的模拟浏览器行为的识别方法,其特征在于,在所述接收客户端发送的加密报文之前,还包括:
接收所述客户端发送的密钥获取请求;
根据所述密钥获取请求向所述客户端发送对应的加密密钥,以使该客户端应用所述加密密钥对所述报文进行加密处理;
相对应的,所述对所述加密报文进行解密处理,包括:
应用与所述加密密钥对应的解密密钥对所述加密报文进行解密处理。
5.根据权利要求1所述的模拟浏览器行为的识别方法,其特征在于,所述在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,包括:
将各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据均存储至预设的校验池中;
自所述校验池中随机且动态选取其中的多项数据作为目标识别数据。
6.根据权利要求1所述的模拟浏览器行为的识别方法,其特征在于,还包括:
周期性更新各项所述指标参数的值;
相对应的,所述获取所述目标识别数据中的各项数据分别对应的指标参数,包括:
获取所述目标识别数据中的各项数据分别对应的距离当前时刻最近一次更新后的指标参数。
7.根据权利要求1所述的模拟浏览器行为的识别方法,其特征在于,还包括:
针对发生所述模拟浏览器行为的当前用户进行安全预警监测,若该用户发生的所述模拟浏览器行为满足告警条件,则发出针对该用户的攻击报警。
8.根据权利要求7所述的模拟浏览器行为的识别方法,其特征在于,所述发出针对该用户的攻击报警,包括:
向授权人员的客户端发送用于表明发生所述模拟浏览器行为的用户的报警信息。
9.根据权利要求7所述的模拟浏览器行为的识别方法,其特征在于,还包括:
将每一次得到的所述校验结果均存储至对应的日志中;
相对应的,所述针对发生所述模拟浏览器行为的当前用户进行安全预警监测,包括:
根据所述日志中的多次所述校验结果,针对发生所述模拟浏览器行为的当前用户进行安全预警监测。
10.根据权利要求1至9任一项所述的模拟浏览器行为的识别方法,其特征在于,所述页面特征数据包括:目标网页的目标脚本语言的执行环境状态数据、目标计算机语言的渲染可行性数据、页面的宽度和高度数据中的至少两项。
11.根据权利要求1至9任一项所述的模拟浏览器行为的识别方法,其特征在于,所述用户操作行为数据包括:用户点击鼠标的次数、点击键盘的次数、在目标输入域的键盘使用情况数据以及在目标选择域的鼠标使用情况数据中的至少两项。
12.根据权利要求1至9任一项所述的模拟浏览器行为的识别方法,其特征在于,所述时间数据包括:用户从打开所述目标网页的页面到用户提交请求之间的时间、在输入域操作的时间和在选择域操作的时间中的至少两项。
13.一种模拟浏览器行为的识别方法,其特征在于,包括:
采集当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;
将当前用户针对目标网页的行为数据发送至服务器,以使该服务器在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,并应用获取的指标参数对该目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
14.根据权利要求13所述的模拟浏览器行为的识别方法,其特征在于,所述将当前用户针对目标网页的行为数据发送至服务器,包括:
生成包含有所述当前用户针对目标网页的行为数据的报文;
对所述报文进行加密处理,得到对应的加密报文;
将所述加密报文发送至所述服务器。
15.根据权利要求14所述的模拟浏览器行为的识别方法,其特征在于,所述对所述报文进行加密处理,包括:
向服务器发送密钥获取请求;
接收所述服务器根据所述密钥获取请求发回的对应的加密密钥;
应用所述加密密钥对所述报文进行加密处理。
16.根据权利要求14所述的模拟浏览器行为的识别方法,其特征在于,所述将所述加密报文发送至所述服务器,包括:
将所述加密报文添加至所述目标网页的表单的隐藏域中,并将该表单发送至所述服务器。
17.根据权利要求14所述的模拟浏览器行为的识别方法,其特征在于,在所述采集当前用户针对目标网页的行为数据之前,还包括:
对用户针对目标网页的行为数据进行初始化处理。
18.一种服务器,其特征在于,包括分析模块,且该分析模块包括:
数据接收单元,用于接收当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;
数据动态选取单元,用于在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据;
数据动态校验单元,用于获取所述目标识别数据中的各项数据分别对应的指标参数,并应用该指标参数对所述目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
19.一种客户端,其特征在于,包括:
数据采集模块,用于采集当前用户针对目标网页的行为数据,其中,所述行为数据包括多项页面特征数据、多项用户操作行为数据和多项时间数据;
传输模块,用于将当前用户针对目标网页的行为数据发送至服务器,以使该服务器在各项所述页面特征数据、各项所述用户操作行为数据和各项所述时间数据中,随机且动态选取其中的多项数据作为目标识别数据,并应用获取的指标参数对该目标识别数据中各项数据分别进行校验,若对应的校验结果显示存在未通过校验的数据,则将当前用户针对目标网页的行为识别为模拟浏览器行为。
20.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至12任一项所述的模拟浏览器行为的识别方法的步骤,或者,实现权利要求13至17任一项所述的模拟浏览器行为的识别方法的步骤。
21.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至12任一项所述的模拟浏览器行为的识别方法的步骤,或者,实现权利要求13至17任一项所述的模拟浏览器行为的识别方法的步骤。
22.一种模拟浏览器行为的识别系统,其特征在于,包括:如权利要求18所述的服务器,以及,至少一个如权利要求19所述的客户端;
所述服务器与所述客户端之间通信连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910614019.8A CN110266727A (zh) | 2019-07-09 | 2019-07-09 | 模拟浏览器行为的识别方法、服务器及客户端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910614019.8A CN110266727A (zh) | 2019-07-09 | 2019-07-09 | 模拟浏览器行为的识别方法、服务器及客户端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110266727A true CN110266727A (zh) | 2019-09-20 |
Family
ID=67925141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910614019.8A Pending CN110266727A (zh) | 2019-07-09 | 2019-07-09 | 模拟浏览器行为的识别方法、服务器及客户端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110266727A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111209601A (zh) * | 2020-01-06 | 2020-05-29 | 南京安璟信息科技有限公司 | 一种用于反欺诈的人机识别系统 |
| CN111314298A (zh) * | 2020-01-16 | 2020-06-19 | 北京金堤科技有限公司 | 验证识别方法和装置、电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102737019A (zh) * | 2011-03-31 | 2012-10-17 | 阿里巴巴集团控股有限公司 | 机器行为确定方法、网页浏览器及网页服务器 |
| CN104994092A (zh) * | 2015-06-30 | 2015-10-21 | 百度在线网络技术(北京)有限公司 | 业务请求处理方法、终端浏览器及防攻击服务器 |
| CN107622072A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 一种针对网页操作行为的识别方法及服务器、终端 |
| EP3410328A1 (en) * | 2017-05-31 | 2018-12-05 | Deutsche Telekom AG | Method and system to distinguish between a human and a robot as a user of a mobile smart device |
| CN109145544A (zh) * | 2018-09-05 | 2019-01-04 | 郑州云海信息技术有限公司 | 一种人机行为检测系统及方法 |
| CN109522692A (zh) * | 2018-11-19 | 2019-03-26 | 第四范式(北京)技术有限公司 | 网页机器行为检测方法及系统 |
-
2019
- 2019-07-09 CN CN201910614019.8A patent/CN110266727A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102737019A (zh) * | 2011-03-31 | 2012-10-17 | 阿里巴巴集团控股有限公司 | 机器行为确定方法、网页浏览器及网页服务器 |
| CN104994092A (zh) * | 2015-06-30 | 2015-10-21 | 百度在线网络技术(北京)有限公司 | 业务请求处理方法、终端浏览器及防攻击服务器 |
| CN107622072A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 一种针对网页操作行为的识别方法及服务器、终端 |
| EP3410328A1 (en) * | 2017-05-31 | 2018-12-05 | Deutsche Telekom AG | Method and system to distinguish between a human and a robot as a user of a mobile smart device |
| CN109145544A (zh) * | 2018-09-05 | 2019-01-04 | 郑州云海信息技术有限公司 | 一种人机行为检测系统及方法 |
| CN109522692A (zh) * | 2018-11-19 | 2019-03-26 | 第四范式(北京)技术有限公司 | 网页机器行为检测方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111209601A (zh) * | 2020-01-06 | 2020-05-29 | 南京安璟信息科技有限公司 | 一种用于反欺诈的人机识别系统 |
| CN111314298A (zh) * | 2020-01-16 | 2020-06-19 | 北京金堤科技有限公司 | 验证识别方法和装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11798028B2 (en) | Systems and methods for monitoring malicious software engaging in online advertising fraud or other form of deceit | |
| US10749884B2 (en) | Systems and methods for detecting and preventing spoofing | |
| US11722520B2 (en) | System and method for detecting phishing events | |
| US11818169B2 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
| JP6527590B2 (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
| Kumar et al. | Practical machine learning for cloud intrusion detection: Challenges and the way forward | |
| CN108780485A (zh) | 基于模式匹配的数据集提取 | |
| CN107003976A (zh) | 基于可准许活动规则确定可准许活动 | |
| Jacob et al. | Anomalous distributed traffic: Detecting cyber security attacks amongst microservices using graph convolutional networks | |
| CN110266727A (zh) | 模拟浏览器行为的识别方法、服务器及客户端 | |
| CN112989338A (zh) | 异常应用数据检测方法、装置、电子设备及存储介质 | |
| US9723017B1 (en) | Method, apparatus and computer program product for detecting risky communications | |
| Darmawan et al. | Json web token penetration testing on cookie storage with csrf techniques | |
| Sheikhi et al. | Cyber threat hunting using unsupervised federated learning and adversary emulation | |
| Su et al. | AndroGenerator: An automated and configurable android app network traffic generation system | |
| Lv et al. | Security analysis of online digital goods business based on stochastic game net model | |
| Folarin | Improved ssl/tls man-in-the-middle attack detection technique using timing analysis and other behavioral anomalies | |
| Uchibori et al. | Honeypot Method to Lure Attackers without Holding Crypto-Assets | |
| Wang et al. | Evaluation of Application Layer DDoS Attack Effect in Cloud Native Applications | |
| Korac et al. | Computer and Information Sciences | |
| Joslin | Mitigation of JavaScript-Based Fingerprinting Attacks Reliant on Client Data Generation | |
| Fitzpatrick | Mobile Handset Anomaly Detection | |
| Zhang et al. | An Empirical Study of Insecure Communication in Android Apps | |
| Beltrano et al. | Deep Learning-Based Detection of CSRF Vulnerabilities in Web Applications | |
| CN117640164A (zh) | 一种后门行为检测方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190920 |
|
| RJ01 | Rejection of invention patent application after publication |