CN110955890A - 恶意批量访问行为的检测方法、装置和计算机存储介质 - Google Patents
恶意批量访问行为的检测方法、装置和计算机存储介质 Download PDFInfo
- Publication number
- CN110955890A CN110955890A CN201811124610.7A CN201811124610A CN110955890A CN 110955890 A CN110955890 A CN 110955890A CN 201811124610 A CN201811124610 A CN 201811124610A CN 110955890 A CN110955890 A CN 110955890A
- Authority
- CN
- China
- Prior art keywords
- clients
- network environment
- client
- environment data
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种恶意批量访问行为的检测方法、装置和计算机存储介质,其中方法包括:获取客户端采集的网络环境数据;依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类;依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击。本发明能够实现对恶意批量访问行为的有效检测。
Description
【技术领域】
本发明涉及计算机网络安全技术领域,特别涉及一种恶意批量访问行为的检测方法、装置和计算机存储介质。
【背景技术】
近年来随着移动互联网的兴起,各种传统的业务逐渐转至线上,互联网金融、电子商务迅速发展,商家针对营销及交易环节的推广活动经常以返利的形式进行。由于有利可图,因此迅速滋生了恶意批量访问行为,例如针对返利的系统性的优惠套利欺诈行为,俗称“薅羊毛”。攻击者往往会采用大量的真实移动设备放置在固定的机架或机房内,分别登陆不同账户后循环发送大量的业务请求来薅羊毛,这类新型的攻击称为“薅羊毛”攻击。现有技术中,对此类恶意访问的检测通常采用检测是否为相同来源IP地址的方式,然而,这种方式具有较大的局限性,对于使用代理服务器更换来源IP地址的批量恶意访问则无法有效检测。
【发明内容】
有鉴于此,本发明提供了一种恶意批量访问行为的检测方法、装置和计算机存储介质,以便于实现对恶意批量访问行为的有效检测。
具体技术方案如下:
本发明提供了一种恶意批量访问行为的检测方法,该方法包括:
获取客户端采集的网络环境数据;
依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类;
依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击。
根据本发明一具体实施方式,所述获取客户端采集的网络环境数据包括:
获取客户端每隔第二时长采集并上报的网络环境数据,所述第一时长大于或等于所述第二时长。
根据本发明一具体实施方式,所述网络环境数据包括以下至少一种:
客户端所在局域网中运行同类客户端的联网设备信息、客户端所在设备使用的路由网关信息以及客户端所在局域网中存在的应用服务信息。
根据本发明一具体实施方式,依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类包括:
将预设第一时长内客户端采集到的网络环境数据分别进行数值化处理,得到网络环境向量;
依据客户端的网络环境向量之间的相似度,对客户端进行聚类。
根据本发明一具体实施方式,依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击包括:
若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端为攻击来源。
根据本发明一具体实施方式,在所述获取客户端采集的网络环境数据时,进一步获取所述客户端的来源IP地址;
依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击包括:
若某类包含的客户端数量大于或等于预设数量阈值且客户端的来源IP地址呈现非一致性分布,则确定所述某类包含的客户端为攻击来源。
根据本发明一具体实施方式,该方法进一步包括:对确定出的攻击来源采用以下措施:
拒绝攻击来源发送的业务请求;或者,
限制攻击来源的连接速度;或者,
接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求;或者,
对攻击来源进行标识,以进一步对攻击来源进行分析。
本发明还提供了一种恶意批量访问行为的检测装置,该装置包括:
采集单元,用于获取客户端采集的网络环境数据;
归类单元,用于依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类;
检测单元,用于依据所述归类单元得到的各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击。
根据本发明一具体实施方式,所述采集单元具体执行:
获取客户端每隔第二时长采集并上报的网络环境数据,所述第一时长大于或等于所述第二时长。
根据本发明一具体实施方式,所述网络环境数据包括以下至少一种:
客户端所在局域网中运行同类客户端的联网设备信息、客户端所在设备使用的路由网关信息以及客户端所在局域网中存在的应用服务信息。
根据本发明一具体实施方式,所述归类单元具体执行:
将预设第一时长内客户端采集到的网络环境数据分别进行数值化处理,得到网络环境向量;
依据客户端的网络环境向量之间的相似度,对客户端进行聚类。
根据本发明一具体实施方式,所述检测单元具体执行:
若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端为攻击来源。
根据本发明一具体实施方式,所述采集单元在所述获取客户端采集的网络环境数据时,进一步获取所述客户端的来源IP地址;
所述检测单元具体执行:
依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击包括:
若某类包含的客户端数量大于或等于预设数量阈值且客户端的来源IP地址呈现非一致性分布,则确定所述某类包含的客户端为攻击来源。
根据本发明一具体实施方式,该装置还包括:
安全处理单元,用于对所述检测单元确定出的攻击来源采用以下措施:
拒绝攻击来源发送的业务请求;或者,
限制攻击来源的连接速度;或者,
接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求;或者,
对攻击来源进行标识,以进一步对攻击来源进行分析。
本发明还提供了一种设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
本发明还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如上所述的方法。
由以上技术方案可以看出,本发明依据客户端采集的网络环境数据对客户端进行归类,并依据具有相似网络环境数据的客户端数量来实现恶意批量访问行为的有效检测。
【附图说明】
图1为本发明实施例提供的系统架构图;
图2为本发明实施例提供的方法流程图;
图3为本发明实施例提供的装置结构图;
图4为适于用来实现本发明实施方式的示例性服务器的框图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
本发明采用客户端-服务器架构,如图1中所示,各客户端采集数据并上报给服务器端,由服务器端对客户端采集的数据进行分析以检测攻击来源。服务器端可以包括一台或多台服务器,客户端运行于用户终端设备,如个人计算机、笔记本电脑、无线电话、个人数字助理(PDA)、或其它计算机系统和通信系统。
图2为本发明实施例提供的方法流程图,该方法由服务器端执行,如图2所示,该方法可以包括以下步骤:
在201中,获取客户端采集的网络环境数据。
客户端可以通过终端设备或浏览器的API(Application ProgrammingInterface,应用程序编程接口)采集网络环境数据。
其中,网络环境数据可以包括但不限于以下三种:
第一种:客户端所在局域网中运行同类客户端的联网设备信息。
其中,联网设备信息可以包括但不限于以下至少一种:
设备类型、操作系统版本、所安装的软件信息、IP地址、可访问端口信息、系统设置信息、调试模式信息以及管理模式信息(例如USB远程管理模式)。
对于此类客户端,可以预先配置特定端口,一方面客户端尝试扫描所在局域网中运行同类客户端的联网设备,并尝试连接对方的特定端口;另一方面,监听所在设备的特定端口是否有其他联网设备的连接请求。一旦与其他联网设备通过特定端口建立连接,就可以互相交换上述设备信息。
第二种:客户端所在设备使用的路由网关信息。
其中,路由网关信息可以包括但不限于以下至少一种:
路由网关的IP地址、MAC地址、SSID(Service Set Identifier,服务集标识)以及traceroute(路由跟踪)信息。其中traceroute信息指的是从主机到目的设备所经过的路由网关信息,在本发明实施例中目的设备指的是执行本方法的服务器。
第三种:客户端所在局域网中存在的应用服务信息。
其中,应用服务信息可以包括但不限于以下至少一种:
应用服务的IP地址、开放端口信息、服务软件名称及版本信息。在本发明实施例中,应用服务可以包括提供HTTP(HyperText Transfer Protocol,超文本传输协议)、FTP(File Transfer Protocol,文件传输协议)、SSH(Secure Shell,安全外壳)等常见服务。
其中,客户端可以每隔一段时间(称为第二时长)采集一次网络环境数据。上述第二时长通常是一个较短的时长,例如取10分钟。
客户端可以周期性地采集并上报网络环境数据,例如每隔10分钟采集1分钟的网络环境数据并上报给服务器端。
当然,除了周期性地采集并上报的方式之外,客户端也可以采用其他方式采集并上报数据,例如客户端可以在账户登陆后随机性地采集并上报数据。例如客户端随机地每隔几分钟就采集1分钟的网络环境数据并上报给服务器端。或者,客户端也可以在发送业务请求时采集1分钟的网络环境数据并上报给服务器端。
在202中,依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类。
服务器端对于客户端上报的数据都会进行存储并记录采集时间。服务器端可以周期性地对第一时长内客户端采集到的数据进行归类,也可以基于特定事件的触发对第一时长内客户端采集到的数据进行归类。
本实施例中,第一时长大于或等于第二时长。例如,第二时长可以取分钟级别,而第一时长可以取小时级别。
例如,服务器端每隔半小时依据该半小时内客户端上报的网络环境数据对客户端进行归类。
在进行归类时,可以将第一时长内客户端采集到的网络环境数据分别进行数值化处理,得到网络环境向量;然后依据客户端的网络环境向量之间的相似度,对客户端进行聚类,即将具有相似网络环境向量的客户端归为一类。
对于客户端采集到的网络环境数据,可以分别进行数值化处理以映射到向量空间。得到的网络环境向量中每一位对应一种类型的网络环境数据,各位的取值反映对应类型的网络环境数据的取值。例如,若某客户端采集的网络环境数据分别为:
设备类型:Android;
操作系统版本:6.0;
软件版本:2.0;
…
那么进行数值化处理后,得到的网络环境向量可以表示为:[1,6,2,…],其中,该网络环境向量的第1位表示设备类型,其取值1表示Android;第2位表示操作系统版本,其取值6表示6.0;第3位表示软件版本,其取值2表示2.0;……
在计算网络环境向量之间的相似度时,可以采用诸如余弦相似度等相似度计算方法。另外,在依据网络环境向量之间的相似度对客户端进行聚类时,采用的聚类方法本发明并不加以限制,例如k-means聚类方法、层次聚类方法等等,目的是将具有相似网络环境向量的客户端聚为一类。
在203中,依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击。
根据安全行业对黑色产业链的分析,通常恶意批量访问行为由攻击者使用大量设备进行批量攻击产生,因此可以依据每一类包含的客户端数量来检测是否存在恶意批量访问行为的攻击。例如,若某类包含的客户端数量超过预设数量阈值,诸如100,就可以确定该类包含的客户端为攻击来源。
另外,如果某类包含的客户端数量超过预设数量阈值,且客户端的来源IP地址呈现非一致性分布,则可以确定该类包含的客户端为恶意批量攻击且使用代理服务器更换来源IP地址的攻击来源。其中非一致性分布可以是IP地址并非全部相同,或者并非一定程度的相同。
可以对确定出的攻击来源采用但不限于以下措施:
1)拒绝攻击来源发送的业务请求。若标识为攻击来源的客户端发送业务请求,则服务器端可以拒绝对该业务请求进行响应。
2)限制攻击来源的连接速度。服务器端在确定出攻击来源后,可以限制标识为攻击来源的客户端连接服务器的速度。
3)接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求。例如,可以进一步向标识为攻击来源的客户端发送验证码,如果验证失败,则拒绝对其发送的业务请求进行响应。
4)对攻击来源进行标识,以进一步对攻击来源进行分析。例如采用蜜罐技术对攻击来源进行进一步的行为捕获和分析。
以上是对本发明提供的方法进行的详述,下面结合实施例对本发明提供的装置进行详述。
图3为本发明实施例提供的攻击来源的检测装置结构图,如图3所示,该装置可以包括:采集单元01、归类单元02和检测单元03,还可以进一步包括安全处理单元04。其中各组成单元的主要功能如下:
采集单元01负责获取客户端采集的网络环境数据。
其中,网络环境数据可以包括但不限于以下三种:
第一种:客户端所在局域网中运行同类客户端的联网设备信息。
其中,联网设备信息可以包括但不限于以下至少一种:
设备类型、操作系统版本、所安装的软件信息、IP地址、可访问端口信息、系统设置信息、调试模式信息以及管理模式信息(例如USB远程管理模式)。
对于此类客户端,可以预先配置特定端口,一方面客户端尝试扫描所在局域网中运行同类客户端的联网设备,并尝试连接对方的特定端口;另一方面,监听所在设备的特定端口是否有其他联网设备的连接请求。一旦与其他联网设备通过特定端口建立连接,就可以互相交换上述设备信息。
第二种:客户端所在设备使用的路由网关信息。
其中,路由网关信息可以包括但不限于以下至少一种:
路由网关的IP地址、MAC地址、SSID(Service Set Identifier,服务集标识)以及traceroute(路由跟踪)信息。其中traceroute信息指的是从主机到目的设备所经过的路由网关信息,在本发明实施例中目的设备指的是执行本方法的服务器。
第三种:客户端所在局域网中存在的应用服务信息。
其中,应用服务信息可以包括但不限于以下至少一种:
应用服务的IP地址、开放端口信息、服务软件名称及版本信息。在本发明实施例中,应用服务可以包括提供HTTP(HyperText Transfer Protocol,超文本传输协议)、FTP(File Transfer Protocol,文件传输协议)、SSH(Secure Shell,安全外壳)等常见服务。
其中,客户端可以每隔一段时间(称为第二时长)采集一次网络环境数据。上述第二时长通常是一个较短的时长,例如取10分钟。
客户端可以周期性地采集并上报网络环境数据,例如每隔10分钟采集1分钟的网络环境数据并上报给服务器端。
当然,除了周期性地采集并上报的方式之外,客户端也可以采用其他方式采集并上报数据,例如客户端可以在账户登陆后随机性地采集并上报数据。例如客户端随机地每隔几分钟就采集1分钟的网络环境数据并上报给服务器端。或者,客户端也可以在发送业务请求时采集1分钟的网络环境数据并上报给服务器端。
归类单元02,用于依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类。本实施例中,第一时长大于或等于第二时长。例如,第二时长可以取分钟级别,而第一时长可以取小时级别。
在进行归类时,可以将第一时长内客户端采集到的网络环境数据分别进行数值化处理,得到网络环境向量;然后依据客户端的网络环境向量之间的相似度,对客户端进行聚类,即将具有相似网络环境向量的客户端归为一类。
在计算网络环境向量之间的相似度时,可以采用诸如余弦相似度等相似度计算方法。另外,在依据网络环境向量之间的相似度对客户端进行聚类时,采用的聚类方法本发明并不加以限制,例如k-means聚类方法、层次聚类方法等等,目的是将具有相似网络环境向量的客户端聚为一类。
检测单元03负责依据归类单元得到的各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击。
具体地,若某类包含的客户端数量大于或等于预设数量阈值,则确定某类包含的客户端为攻击来源。
另外,采集单元01在获取客户端采集的网络环境数据时,可以进一步获取客户端的来源IP地址;检测单元03在依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击时,若某类包含的客户端数量大于或等于预设数量阈值且客户端的来源IP地址呈现非一致性分布,则确定某类包含的客户端为攻击来源。其中非一致性分布可以是IP地址并非全部相同,或者并非一定程度的相同。
安全处理单元04负责对检测单元03确定出的攻击来源采用以下措施:
1)拒绝攻击来源发送的业务请求。若标识为攻击来源的客户端发送业务请求,则服务器端可以拒绝对该业务请求进行响应。
2)限制攻击来源的连接速度。服务器端在确定出攻击来源后,可以限制标识为攻击来源的客户端连接服务器的速度。
3)接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求。例如,可以进一步向标识为攻击来源的客户端发送验证码,如果验证失败,则拒绝对其发送的业务请求进行响应。
4)对攻击来源进行标识,以进一步对攻击来源进行分析。例如采用蜜罐技术对攻击来源进行进一步的行为捕获和分析。
另外,需要说明的是,本发明实施例提供的方式除了能够对“薅羊毛”进行检测之外,还可以实现对“撞库”等恶意批量访问行为进行检测。“撞库”是攻击者通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此攻击者可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
图4示出了适于用来实现本发明实施方式的示例性服务器012的框图。图4显示的服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,服务器012以通用计算设备的形式表现。服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元016,系统存储器028,连接不同系统组件(包括系统存储器028和处理单元016)的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器028可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统034可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该服务器012交互的设备通信,和/或与使得该服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器020通过总线018与服务器012的其它模块通信。应当明白,尽管图4中未示出,可以结合服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元016通过运行存储在系统存储器028中的程序,从而执行各种功能应用以及数据处理,例如实现一种恶意批量访问行为的检测方法,可以包括:
获取客户端采集的网络环境数据;
依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类;
依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行的方法流程,可以包括:
获取客户端采集的网络环境数据;
依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类;
依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (16)
1.一种恶意批量访问行为的检测方法,其特征在于,该方法包括:
获取客户端采集的网络环境数据;
依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类;
依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击。
2.根据权利要求1所述的方法,其特征在于,所述获取客户端采集的网络环境数据包括:
获取客户端每隔第二时长采集并上报的网络环境数据,所述第一时长大于或等于所述第二时长。
3.根据权利要求1所述的方法,其特征在于,所述网络环境数据包括以下至少一种:
客户端所在局域网中运行同类客户端的联网设备信息、客户端所在设备使用的路由网关信息以及客户端所在局域网中存在的应用服务信息。
4.根据权利要求1所述的方法,其特征在于,依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类包括:
将预设第一时长内客户端采集到的网络环境数据分别进行数值化处理,得到网络环境向量;
依据客户端的网络环境向量之间的相似度,对客户端进行聚类。
5.根据权利要求1所述的方法,其特征在于,依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击包括:
若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端为攻击来源。
6.根据权利要求1所述的方法,其特征在于,在所述获取客户端采集的网络环境数据时,进一步获取所述客户端的来源IP地址;
依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击包括:
若某类包含的客户端数量大于或等于预设数量阈值且客户端的来源IP地址呈现非一致性分布,则确定所述某类包含的客户端为攻击来源。
7.根据权利要求5或6所述的方法,其特征在于,该方法进一步包括:对确定出的攻击来源采用以下措施:
拒绝攻击来源发送的业务请求;或者,
限制攻击来源的连接速度;或者,
接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求;或者,
对攻击来源进行标识,以进一步对攻击来源进行分析。
8.一种恶意批量访问行为的检测装置,其特征在于,该装置包括:
采集单元,用于获取客户端采集的网络环境数据;
归类单元,用于依据预设第一时长内客户端采集到的网络环境数据对客户端进行归类,以使得具有相似网络环境数据的客户端归为一类;
检测单元,用于依据所述归类单元得到的各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击。
9.根据权利要求8所述的装置,其特征在于,所述采集单元具体执行:
获取客户端每隔第二时长采集并上报的网络环境数据,所述第一时长大于或等于所述第二时长。
10.根据权利要求8所述的装置,其特征在于,所述网络环境数据包括以下至少一种:
客户端所在局域网中运行同类客户端的联网设备信息、客户端所在设备使用的路由网关信息以及客户端所在局域网中存在的应用服务信息。
11.根据权利要求8所述的装置,其特征在于,所述归类单元具体执行:
将预设第一时长内客户端采集到的网络环境数据分别进行数值化处理,得到网络环境向量;
依据客户端的网络环境向量之间的相似度,对客户端进行聚类。
12.根据权利要求8所述的装置,其特征在于,所述检测单元具体执行:
若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端为攻击来源。
13.根据权利要求8所述的装置,其特征在于,所述采集单元在所述获取客户端采集的网络环境数据时,进一步获取所述客户端的来源IP地址;
所述检测单元具体执行:
依据各类包含的客户端数量,检测是否存在恶意批量访问行为的攻击包括:
若某类包含的客户端数量大于或等于预设数量阈值且客户端的来源IP地址呈现非一致性分布,则确定所述某类包含的客户端为攻击来源。
14.根据权利要求12或13所述的装置,其特征在于,该装置还包括:
安全处理单元,用于对所述检测单元确定出的攻击来源采用以下措施:
拒绝攻击来源发送的业务请求;或者,
限制攻击来源的连接速度;或者,
接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求;或者,
对攻击来源进行标识,以进一步对攻击来源进行分析。
15.一种设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
16.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-6中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811124610.7A CN110955890B (zh) | 2018-09-26 | 2018-09-26 | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811124610.7A CN110955890B (zh) | 2018-09-26 | 2018-09-26 | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110955890A true CN110955890A (zh) | 2020-04-03 |
| CN110955890B CN110955890B (zh) | 2021-08-17 |
Family
ID=69964729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811124610.7A Active CN110955890B (zh) | 2018-09-26 | 2018-09-26 | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110955890B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111507734A (zh) * | 2020-04-15 | 2020-08-07 | 北京字节跳动网络技术有限公司 | 作弊请求识别方法、装置、电子设备及计算机存储介质 |
| CN114491533A (zh) * | 2022-01-24 | 2022-05-13 | 烽台科技(北京)有限公司 | 数据处理方法、装置、服务器及存储介质 |
| CN116975934A (zh) * | 2023-09-20 | 2023-10-31 | 北京安天网络安全技术有限公司 | 一种文件安全性检测方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457909A (zh) * | 2012-05-29 | 2013-12-18 | 中国移动通信集团湖南有限公司 | 一种僵尸网络检测方法及装置 |
| CN104519031A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于恶意网络行为检测的方法和装置 |
| CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
| CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106709777A (zh) * | 2015-11-18 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 一种订单聚类方法及装置,以及反恶意信息的方法及装置 |
| CN107341716A (zh) * | 2017-07-11 | 2017-11-10 | 北京奇艺世纪科技有限公司 | 一种恶意订单识别的方法、装置及电子设备 |
| CN107492021A (zh) * | 2017-08-28 | 2017-12-19 | 武汉奇米网络科技有限公司 | 订单来源分析方法及装置 |
| US9923757B1 (en) * | 2017-10-03 | 2018-03-20 | Akamai Technologies, Inc. | Reducing data sets related to network security events |
-
2018
- 2018-09-26 CN CN201811124610.7A patent/CN110955890B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457909A (zh) * | 2012-05-29 | 2013-12-18 | 中国移动通信集团湖南有限公司 | 一种僵尸网络检测方法及装置 |
| CN104519031A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于恶意网络行为检测的方法和装置 |
| CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
| CN106709777A (zh) * | 2015-11-18 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 一种订单聚类方法及装置,以及反恶意信息的方法及装置 |
| CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN107341716A (zh) * | 2017-07-11 | 2017-11-10 | 北京奇艺世纪科技有限公司 | 一种恶意订单识别的方法、装置及电子设备 |
| CN107492021A (zh) * | 2017-08-28 | 2017-12-19 | 武汉奇米网络科技有限公司 | 订单来源分析方法及装置 |
| US9923757B1 (en) * | 2017-10-03 | 2018-03-20 | Akamai Technologies, Inc. | Reducing data sets related to network security events |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111507734A (zh) * | 2020-04-15 | 2020-08-07 | 北京字节跳动网络技术有限公司 | 作弊请求识别方法、装置、电子设备及计算机存储介质 |
| CN114491533A (zh) * | 2022-01-24 | 2022-05-13 | 烽台科技(北京)有限公司 | 数据处理方法、装置、服务器及存储介质 |
| CN116975934A (zh) * | 2023-09-20 | 2023-10-31 | 北京安天网络安全技术有限公司 | 一种文件安全性检测方法及系统 |
| CN116975934B (zh) * | 2023-09-20 | 2023-12-15 | 北京安天网络安全技术有限公司 | 一种文件安全性检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110955890B (zh) | 2021-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107547555B (zh) | 一种网站安全监测方法及装置 | |
| CN108092975B (zh) | 异常登录的识别方法、系统、存储介质和电子设备 | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| Cao et al. | Machine learning to detect anomalies in web log analysis | |
| US9083729B1 (en) | Systems and methods for determining that uniform resource locators are malicious | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US9900335B2 (en) | Systems and methods for prioritizing indicators of compromise | |
| US10135830B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| CN111586005B (zh) | 扫描器扫描行为识别方法及装置 | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN111400357A (zh) | 一种识别异常登录的方法和装置 | |
| WO2020016906A1 (en) | Method and system for intrusion detection in an enterprise | |
| CN111885007A (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN114760106A (zh) | 网络攻击的确定方法、系统、电子设备及存储介质 | |
| CN113704328A (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| US20190190933A1 (en) | Behavioral and account fingerprinting | |
| CN108156127B (zh) | 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 | |
| CN110958208B (zh) | 一种攻击来源的检测方法、装置、设备和计算机存储介质 | |
| CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 | |
| CN110650126A (zh) | 一种防网站流量攻击方法、装置以及智能终端、存储介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN112733104B (zh) | 账号注册请求处理方法及装置 | |
| CN115051867A (zh) | 一种非法外联行为的检测方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |