CN110958208A - 一种攻击来源的检测方法、装置、设备和计算机存储介质 - Google Patents
一种攻击来源的检测方法、装置、设备和计算机存储介质 Download PDFInfo
- Publication number
- CN110958208A CN110958208A CN201811125826.5A CN201811125826A CN110958208A CN 110958208 A CN110958208 A CN 110958208A CN 201811125826 A CN201811125826 A CN 201811125826A CN 110958208 A CN110958208 A CN 110958208A
- Authority
- CN
- China
- Prior art keywords
- data
- client
- clients
- motion sensor
- collected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本发明提供了一种攻击来源的检测方法、装置、设备和计算机存储介质,其中方法包括:获取客户端采集的数据,所述客户端采集的数据包括:客户端所在设备的运动传感器数据和/或网络接入数据;将在预设第一时长内客户端采集到数据进行归类,以使得具有相同运动传感器数据和/或网络接入数据的客户端归为一类;若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端或该客户端登陆的账户为攻击来源。
Description
【技术领域】
本发明涉及计算机网络安全技术领域,特别涉及一种攻击来源的检测方法、装置、设备和计算机存储介质。
【背景技术】
近年来随着移动互联网的兴起,各种传统的业务逐渐转至线上,互联网金融、电子商务迅速发展,商家针对营销及交易环节的推广活动经常以返利的形式进行。由于有利可图,因此迅速滋生了针对返利的系统性的优惠套利欺诈行为,俗称“薅羊毛”。攻击者往往会采用大量的真实移动设备放置在固定的机架或机房内,分别登陆不同账户后循环发送大量的业务请求来薅羊毛,这类新型的攻击称为“薅羊毛”攻击。然而,针对“薅羊毛”攻击来源目前尚没有很好的检测手段。
【发明内容】
有鉴于此,本发明提供了一种攻击检测方法、装置、设备和计算机存储介质,以便于实现对“薅羊毛”攻击来源的检测。
具体技术方案如下:
本发明提供了一种攻击来源的检测方法,该方法包括:
获取客户端采集的数据,所述客户端采集的数据包括:客户端所在设备的运动传感器数据和/或网络接入数据;
将在预设第一时长内客户端采集到数据进行归类,以使得具有相同运动传感器数据和/或网络接入数据的客户端归为一类;
若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端或该客户端登陆的账户为攻击来源。
根据本发明一具体实施方式,所述运动传感器数据包括以下至少一种:
陀螺仪数据、罗盘数据、加速计数据和重力加速计数据。
根据本发明一具体实施方式,所述陀螺仪数据包括:预设第二时长内陀螺仪采集的旋转角速度平均值或变化值;
所述罗盘数据包括:预设第二时长内罗盘采集的旋转向量平均值或变化值;
所述加速计数据包括:预设第二时长内加速计采集的加速度平均值或变化值;
所述重力加速计数据包括:预设第二时长内重力加速计采集的重力加速度平均值或变化值;
其中所述第一时长大于或等于所述第二时长。
根据本发明一具体实施方式,所述网络接入数据包括以下至少一种:
客户端所在设备所连接到的WIFI热点的地址信息;
客户端所在设备所连接到的基站信息。
根据本发明一具体实施方式,获取客户端采集的数据包括:
获取所述客户端周期性地采集并上报的数据;或者,
获取所述客户端在账户登陆后随机性地采集并上报的数据;或者
获取所述客户端在发送业务请求时采集并上报的数据。
根据本发明一具体实施方式,在所述将在设定时间段内客户端采集到数据进行归类之前,还包括:对客户端采集到的运动传感器数据进行预处理;
所述预处理包括:将同一类型的运动传感器数据保留相同精确度。
本发明还提供了一种攻击来源的检测装置,该装置包括:
获取单元,用于获取客户端采集的数据,所述客户端采集的数据包括:客户端所在设备的运动传感器数据和/或网络接入数据;
归类单元,用于将在预设第一时长内客户端采集到数据进行归类,以使得具有相同运动传感器数据和/或网络接入数据的客户端归为一类;
识别单元,用于若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端或该客户端登陆的账户为攻击来源。
根据本发明一具体实施方式,所述运动传感器数据包括以下至少一种:
陀螺仪数据、罗盘数据、加速计数据和重力加速计数据。
根据本发明一具体实施方式,所述陀螺仪数据包括:预设第二时长内陀螺仪采集的旋转角速度平均值或变化值;
所述罗盘数据包括:预设第二时长内罗盘采集的旋转向量平均值或变化值;
所述加速计数据包括:预设第二时长内加速计采集的加速度平均值或变化值;
所述重力加速计数据包括:预设第二时长内重力加速计采集的重力加速度平均值或变化值;
其中所述第一时长大于或等于所述第二时长。
根据本发明一具体实施方式,所述网络接入数据包括以下至少一种:
客户端所在设备所连接到的WIFI热点的地址信息;
客户端所在设备所连接到的基站信息。
根据本发明一具体实施方式,所述获取单元,具体执行:
获取客户端周期性地采集并上报的数据;或者,
获取所述客户端在账户登陆后随机性地采集并上报的数据;或者
获取所述客户端在发送业务请求时采集并上报的数据。
根据本发明一具体实施方式,该装置还包括:
预处理单元,用于对客户端采集到的运动传感器数据进行预处理后,提供给所述归类单元;其中所述预处理包括:将同一类型的运动传感器数据保留相同精确度。
本发明还提供了一种设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
本发明还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行上述的方法。
由以上技术方案可以看出,本发明通过对第一时长内客户端采集到的运动传感器数据和/或网络接入数据进行归类,并通过判断各类中包含的客户端数量来识别“薅羊毛”的攻击来源。
【附图说明】
图1为本发明实施例提供的系统架构图;
图2为本发明实施例提供的方法流程图;
图3为本发明实施例提供的攻击来源的检测装置结构图;
图4为适于用来实现本发明实施方式的示例性服务器的框图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
本发明采用客户端-服务器架构,如图1中所示,各客户端采集数据并上报给服务器端,由服务器端对客户端采集的数据进行分析以识别攻击来源。服务器端可以包括一台或多台服务器,客户端运行于用户终端设备,如个人计算机、笔记本电脑、无线电话、个人数字助理(PDA)、或其它计算机系统和通信系统。
图2为本发明实施例提供的方法流程图,该方法由服务器端执行,如图2所示,该方法可以包括以下步骤:
在201中,获取客户端采集的数据,客户端采集的数据包括:客户端所在设备的运动传感器数据和/或网络接入数据。
客户端可以通过终端设备或浏览器的API(Application ProgrammingInterface,应用程序编程接口)采集在一段时间内(本发明实施例中称为第二时长内)的运动传感器数据和网络接入数据中的至少一种。
其中运动传感器数据可以包括以下至少一种:
1)陀螺仪数据。可以为预设第二时长内陀螺仪采集的旋转角速度平均值或变化值。具体地,可以是x、y、z轴分别对应的旋转角速度的平均值或变化值。例如,确定第二时长内陀螺仪采集的x轴上的旋转角速度的平均值、y轴上的旋转角速度的平均值、z轴上的旋转角速度的平均值。
2)罗盘数据。可以为预设第二时长内罗盘采集的旋转向量平均值或变化值。具体地,可以是x、y、z轴分别对应的旋转向量的平均值或变化值。例如,确定第二时长内陀螺仪采集的x轴上的旋转向量的平均值、y轴上的旋转向量的平均值、z轴上的旋转向量的平均值。
3)加速计数据。可以为预设第二时长内加速计采集的加速度平均值或变化值。具体地,可以是x、y、z轴分别对应的加速度的平均值或变化值。例如,确定第二时长内加速计采集的x轴上的加速度的平均值、y轴上的加速度的平均值、z轴上的加速度的平均值。
4)重力加速计数据。可以为预设第二时长内加速计采集的重力加速度平均值或变化值。具体地,可以是x、y、z轴分别对应的重力加速度的平均值或变化值。例如,确定第二时长内加速计采集的x轴上的重力加速度的平均值、y轴上的重力加速度的平均值、z轴上的重力加速度的平均值。
网络接入数据可以包括以下至少一种:
1)客户端所在设备所连接到的WIFI热点的地址信息,例如MAC地址。
2)客户端所在设备所连接到的基站信息,例如小区标识(Cell ID)或LAC(location area code,位置区编码)。
上述第二时长通常是一个较短的时长,例如取1分钟。
客户端可以周期性地采集并上报数据,例如每隔10分钟采集1分钟的传感器数据和/网络接入数据并上报给服务器端。这种方式适用于账户登陆的情况,也可以适用于账户未登陆的情况。
客户端也可以在账户登陆后随机性地采集并上报数据。例如客户端随机地每隔几分钟就采集1分钟的传感器数据和/网络接入数据并上报给服务器端。
或者,客户端也可以在发送业务请求时采集1分钟的传感器数据并上报给服务器端。
在202中,对客户端采集到的运动传感器数据进行预处理。
本步骤中涉及的预处理可以包括将同一类型的运动传感器数据保留相同精确度。当然除了这种处理之外,还可以包括其他预处理。
由于运动传感器在进行数据采集时,不可避免地会伴随数据轻微的波动,对于相同运动状况的设备,采集到的数据也可能有微小的差别,例如加速度可能为0.021m/s2和0.023m/s2。因此为了解决这种情况,可以对运动传感器数据保留相同精确度,各类型运动传感器数据采用的精确度可以采用经验值。
可以采用函数round_value(value,n)表示对value进行保留精确度n的处理。实际上是在精确度n上进行四舍五入处理,假设四舍五入处理的函数为round,那么
举个例子,对于加速度而言,保留精确度0.01,那么对加速度0.021m/s2保留精确度为:
在203中,将在预设第一时长内客户端采集到的数据进行归类,以使得具有相同运动传感器数据和/或网络接入数据的客户端归为一类。
服务器端对于客户端上报的数据都会进行存储并记录采集时间。服务器端可以周期性地对第一时长内客户端采集到的数据进行归类,也可以基于特定事件的触发对第一时长内客户端采集到的数据进行归类。
本实施例中,第一时长大于或等于第二时长,但通常第一时长会远大于第二时长。例如,第二时长可以取分钟级别,而第一时长可以取小时级别。
例如,服务器端每隔半小时对该半小时内客户端上报的数据进行归类。
若客户端上报的运动传感器数据相同,则可以将上报相同运动传感器数据的客户端归为一类,若客户端上报的网络接入数据相同,则可以将上报相同网络接入数据的客户端归为一类。
优选地,若客户端上报的运动传感器数据相同,且上报的网络接入数据相同,则将上报相同运动传感器数据和网络接入数据的客户端归为一类。
在204中,若某类包含的客户端数量大于或等于预设数量阈值,则确定某类包含的客户端或该客户端登陆的账户为攻击来源。
对于得到的各个类,可以认为每个客户端所在设备的运动状态是相同的,和/或,接入网络的地点是相同的。如果某个类中客户端数量达到一定数量阈值,例如100,很大程度上说明,在某小区域范围内存在大量客户端的运动状态是相同的,这种情况下,很可能这些客户端就是“薅羊毛”攻击的来源。例如,这些客户端所在设备位于同一机架上,同一机架上的这些大量设备会登陆不同账户循环发送大量业务请求来薅羊毛。其中数量阈值可以根据经验值确定,也可以根据实际场景进行调整。
对于标识为攻击来源的客户端,若其处于账户登陆状态,则可以标识这些客户端登陆的账户,将这些账户标识为攻击来源账户。
对于标识为攻击来源的客户端或账户,可以采用但不限于以下措施:
1)拒绝攻击来源发送的业务请求。若标识为攻击来源的客户端或账户发送业务请求,则服务器端可以拒绝对该业务请求进行响应。
2)限制攻击来源的连接速度。服务器端在确定出攻击来源后,可以限制标识为攻击来源的客户端连接服务器的速度。
3)接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证手段,如果验证失败,则拒绝该业务请求。例如,可以进一步向标识为攻击来源的客户端发送验证码,如果验证失败,则拒绝对其发送的业务请求进行响应。
4)对攻击来源进行标识,以进一步对攻击来源进行分析。例如采用蜜罐技术对攻击来源进行进一步的行为捕获和分析。
以上是对本发明提供的方法进行的详述,下面结合实施例对本发明提供的装置进行详述。
图3为本发明实施例提供的攻击来源的检测装置结构图,如图3所示,该装置可以包括:获取单元01、归类单元02和识别单元03,还可以包括预处理单元04。其中各组成单元的主要功能如下:
获取单元01负责获取客户端采集的数据,客户端采集的数据包括:客户端所在设备的运动传感器数据和/或网络接入数据。
其中,运动传感器数据可以包括以下至少一种:陀螺仪数据、罗盘数据、加速计数据和重力加速计数据。
陀螺仪数据可以包括:预设第二时长内陀螺仪采集的旋转角速度平均值或变化值。罗盘数据可以包括:预设第二时长内罗盘采集的旋转向量平均值或变化值。加速计数据可以包括:预设第二时长内加速计采集的加速度平均值或变化值。重力加速计数据可以包括:预设第二时长内重力加速计采集的重力加速度平均值或变化值。其中第一时长大于或等于第二时长。
网络接入数据可以包括以下至少一种:客户端所在设备所连接到的WIFI热点的地址信息,例如MAC地址;客户端所在设备所连接到的基站信息,例如Cell ID或LAC。
客户端可以周期性地采集并上报数据,例如每隔10分钟采集1分钟的传感器数据和/网络接入数据并上报给服务器端。这种方式适用于账户登陆的情况,也可以适用于账户未登陆的情况。
客户端也可以在账户登陆后随机性地采集并上报数据。例如客户端随机地每隔几分钟就采集1分钟的传感器数据和/网络接入数据并上报给服务器端。
或者,客户端也可以在发送业务请求时采集1分钟的传感器数据并上报给服务器端。
预处理单元04,用于对客户端采集到的运动传感器数据进行预处理后,提供给归类单元02;其中预处理包括:将同一类型的运动传感器数据保留相同精确度。各类型运动传感器数据采用的精确度可以采用经验值。
归类单元02负责将在预设第一时长内客户端采集到数据进行归类,以使得具有相同运动传感器数据和/或网络接入数据的客户端归为一类。可以周期性地对第一时长内客户端采集到的数据进行归类,也可以基于特定事件的触发对第一时长内客户端采集到的数据进行归类。
若客户端上报的运动传感器数据相同,则可以将上报相同运动传感器数据的客户端归为一类,若客户端上报的网络接入数据相同,则可以将上报相同网络接入数据的客户端归为一类。
优选地,若客户端上报的运动传感器数据相同,且上报的网络接入数据相同,则将上报相同运动传感器数据和网络接入数据的客户端归为一类。
若某类包含的客户端数量大于或等于预设数量阈值,则识别单元03确定某类包含的客户端或该客户端登陆的账户为攻击来源。
在确定出攻击来源后,可以将攻击来源信息提供给安全处理单元(图中未示出)进行处理,例如:拒绝攻击来源发送的业务请求;或者限制攻击来源的连接速度;或者接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证手段,如果验证失败,则拒绝该业务请求;或者,对攻击来源进行标识,以进一步对攻击来源进行分析。
另外,需要说明的是,本发明实施例提供的方式除了能够对“薅羊毛”进行攻击来源的检测之外,还可以实现对“撞库”等自动化攻击来源的检测。“撞库”是攻击者通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此攻击者可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
图4示出了适于用来实现本发明实施方式的示例性服务器012的框图。图4显示的服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,服务器012以通用计算设备的形式表现。服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元016,系统存储器028,连接不同系统组件(包括系统存储器028和处理单元016)的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器028可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统034可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该服务器012交互的设备通信,和/或与使得该服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器020通过总线018与服务器012的其它模块通信。应当明白,尽管图4中未示出,可以结合服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元016通过运行存储在系统存储器028中的程序,从而执行各种功能应用以及数据处理,例如实现一种攻击来源的检测方法,可以包括:
获取客户端采集的数据,所述客户端采集的数据包括:客户端所在设备的运动传感器数据和/或网络接入数据;
将在预设第一时长内客户端采集到数据进行归类,以使得具有相同运动传感器数据和/或网络接入数据的客户端归为一类;
若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端或该客户端登陆的账户为攻击来源。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行的方法流程,可以包括:
获取客户端采集的数据,所述客户端采集的数据包括:客户端所在设备的运动传感器数据和/或网络接入数据;
将在预设第一时长内客户端采集到数据进行归类,以使得具有相同运动传感器数据和/或网络接入数据的客户端归为一类;
若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端或该客户端登陆的账户为攻击来源。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (14)
1.一种攻击来源的检测方法,其特征在于,该方法包括:
获取客户端采集的数据,所述客户端采集的数据包括:客户端所在设备的运动传感器数据和/或网络接入数据;
将在预设第一时长内客户端采集到数据进行归类,以使得具有相同运动传感器数据和/或网络接入数据的客户端归为一类;
若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端或该客户端登陆的账户为攻击来源。
2.根据权利要求1所述的方法,其特征在于,所述运动传感器数据包括以下至少一种:
陀螺仪数据、罗盘数据、加速计数据和重力加速计数据。
3.根据权利要求2所述的方法,其特征在于,所述陀螺仪数据包括:预设第二时长内陀螺仪采集的旋转角速度平均值或变化值;
所述罗盘数据包括:预设第二时长内罗盘采集的旋转向量平均值或变化值;
所述加速计数据包括:预设第二时长内加速计采集的加速度平均值或变化值;
所述重力加速计数据包括:预设第二时长内重力加速计采集的重力加速度平均值或变化值;
其中所述第一时长大于或等于所述第二时长。
4.根据权利要求1所述的方法,其特征在于,所述网络接入数据包括以下至少一种:
客户端所在设备所连接到的WIFI热点的地址信息;
客户端所在设备所连接到的基站信息。
5.根据权利要求1所述的方法,其特征在于,获取客户端采集的数据包括:
获取所述客户端周期性地采集并上报的数据;或者,
获取所述客户端在账户登陆后随机性地采集并上报的数据;或者
获取所述客户端在发送业务请求时采集并上报的数据。
6.根据权利要求1所述的方法,其特征在于,在所述将在设定时间段内客户端采集到数据进行归类之前,还包括:对客户端采集到的运动传感器数据进行预处理;
所述预处理包括:将同一类型的运动传感器数据保留相同精确度。
7.一种攻击来源的检测装置,其特征在于,该装置包括:
获取单元,用于获取客户端采集的数据,所述客户端采集的数据包括:客户端所在设备的运动传感器数据和/或网络接入数据;
归类单元,用于将在预设第一时长内客户端采集到数据进行归类,以使得具有相同运动传感器数据和/或网络接入数据的客户端归为一类;
识别单元,用于若某类包含的客户端数量大于或等于预设数量阈值,则确定所述某类包含的客户端或该客户端登陆的账户为攻击来源。
8.根据权利要求7所述的装置,其特征在于,所述运动传感器数据包括以下至少一种:
陀螺仪数据、罗盘数据、加速计数据和重力加速计数据。
9.根据权利要求8所述的装置,其特征在于,所述陀螺仪数据包括:预设第二时长内陀螺仪采集的旋转角速度平均值或变化值;
所述罗盘数据包括:预设第二时长内罗盘采集的旋转向量平均值或变化值;
所述加速计数据包括:预设第二时长内加速计采集的加速度平均值或变化值;
所述重力加速计数据包括:预设第二时长内重力加速计采集的重力加速度平均值或变化值;
其中所述第一时长大于或等于所述第二时长。
10.根据权利要求7所述的装置,其特征在于,所述网络接入数据包括以下至少一种:
客户端所在设备所连接到的WIFI热点的地址信息;
客户端所在设备所连接到的基站信息。
11.根据权利要求7所述的装置,其特征在于,所述获取单元,具体执行:
获取客户端周期性地采集并上报的数据;或者,
获取所述客户端在账户登陆后随机性地采集并上报的数据;或者
获取所述客户端在发送业务请求时采集并上报的数据。
12.根据权利要求7所述的装置,其特征在于,该装置还包括:
预处理单元,用于对客户端采集到的运动传感器数据进行预处理后,提供给所述归类单元;其中所述预处理包括:将同一类型的运动传感器数据保留相同精确度。
13.一种设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
14.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-6中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811125826.5A CN110958208B (zh) | 2018-09-26 | 2018-09-26 | 一种攻击来源的检测方法、装置、设备和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811125826.5A CN110958208B (zh) | 2018-09-26 | 2018-09-26 | 一种攻击来源的检测方法、装置、设备和计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110958208A true CN110958208A (zh) | 2020-04-03 |
| CN110958208B CN110958208B (zh) | 2020-11-20 |
Family
ID=69964676
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811125826.5A Active CN110958208B (zh) | 2018-09-26 | 2018-09-26 | 一种攻击来源的检测方法、装置、设备和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110958208B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112000559A (zh) * | 2020-07-30 | 2020-11-27 | 瑞数信息技术(上海)有限公司 | 异常设备检测方法和装置 |
| CN113254908A (zh) * | 2021-05-21 | 2021-08-13 | 中国科学技术大学 | 一种基于可穿戴手环的手势密码破解系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104541293A (zh) * | 2012-05-14 | 2015-04-22 | 高通股份有限公司 | 用于客户端-云行为分析器的架构 |
| US20150213376A1 (en) * | 2014-01-30 | 2015-07-30 | Shine Security Ltd. | Methods and systems for generating classifiers for software applications |
| CN105160268A (zh) * | 2015-08-06 | 2015-12-16 | 武汉亚星电子技术有限责任公司 | 数据跟踪及监控系统、智能路由器及其数据跟踪监控方法 |
| CN105391692A (zh) * | 2015-10-19 | 2016-03-09 | 广州车行易信息科技有限公司 | 对app和网关通信进行批量攻击的检测识别方法及装置 |
| CN106651580A (zh) * | 2016-12-15 | 2017-05-10 | 北京知道创宇信息技术有限公司 | 判断金融账户是否恶意的方法、设备及计算设备 |
| CN106803037A (zh) * | 2016-11-28 | 2017-06-06 | 全球能源互联网研究院 | 一种软件安全防护方法及装置 |
| CN107809526A (zh) * | 2017-09-28 | 2018-03-16 | 努比亚技术有限公司 | 终端应用程序分类方法、移动终端及计算机可读存储介质 |
-
2018
- 2018-09-26 CN CN201811125826.5A patent/CN110958208B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104541293A (zh) * | 2012-05-14 | 2015-04-22 | 高通股份有限公司 | 用于客户端-云行为分析器的架构 |
| US20150213376A1 (en) * | 2014-01-30 | 2015-07-30 | Shine Security Ltd. | Methods and systems for generating classifiers for software applications |
| CN105160268A (zh) * | 2015-08-06 | 2015-12-16 | 武汉亚星电子技术有限责任公司 | 数据跟踪及监控系统、智能路由器及其数据跟踪监控方法 |
| CN105391692A (zh) * | 2015-10-19 | 2016-03-09 | 广州车行易信息科技有限公司 | 对app和网关通信进行批量攻击的检测识别方法及装置 |
| CN106803037A (zh) * | 2016-11-28 | 2017-06-06 | 全球能源互联网研究院 | 一种软件安全防护方法及装置 |
| CN106651580A (zh) * | 2016-12-15 | 2017-05-10 | 北京知道创宇信息技术有限公司 | 判断金融账户是否恶意的方法、设备及计算设备 |
| CN107809526A (zh) * | 2017-09-28 | 2018-03-16 | 努比亚技术有限公司 | 终端应用程序分类方法、移动终端及计算机可读存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112000559A (zh) * | 2020-07-30 | 2020-11-27 | 瑞数信息技术(上海)有限公司 | 异常设备检测方法和装置 |
| CN113254908A (zh) * | 2021-05-21 | 2021-08-13 | 中国科学技术大学 | 一种基于可穿戴手环的手势密码破解系统 |
| CN113254908B (zh) * | 2021-05-21 | 2022-09-02 | 中国科学技术大学 | 一种基于可穿戴手环的手势密码破解系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110958208B (zh) | 2020-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107992596B (zh) | 一种文本聚类方法、装置、服务器和存储介质 | |
| CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
| JP5990284B2 (ja) | キャラクター・ヒストグラムを用いるスパム検出のシステムおよび方法 | |
| US10021123B2 (en) | Customized network traffic models to detect application anomalies | |
| KR20170120644A (ko) | 인간 또는 기계를 식별하기 위한 방법 및 시스템 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN111885007B (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN111711617A (zh) | 网络爬虫的检测方法、装置、电子设备及存储介质 | |
| CN110958208B (zh) | 一种攻击来源的检测方法、装置、设备和计算机存储介质 | |
| CN110826036A (zh) | 用户操作行为安全性的识别方法、装置和电子设备 | |
| CN111586695B (zh) | 短信识别方法及相关设备 | |
| US11876812B2 (en) | Identifying fraudulent requests for content | |
| CN106998336B (zh) | 渠道中的用户检测方法和装置 | |
| CN113139025A (zh) | 一种威胁情报的评价方法、装置、设备及存储介质 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN111598122B (zh) | 数据校验方法、装置、电子设备和存储介质 | |
| CN112214770A (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
| CN110958207B (zh) | 一种攻击检测方法、装置、设备和计算机存储介质 | |
| CN113596011B (zh) | 流量识别方法及装置,计算设备和介质 | |
| CN114595765A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN110533297B (zh) | 一种识别异常设备的方法及装置 | |
| CN113177609A (zh) | 数据类别不均衡的处理方法及设备、系统、存储介质 | |
| CN112003833A (zh) | 异常行为检测方法和装置 | |
| US20230047190A1 (en) | Detecting malicious activity associated with resetting authentication information | |
| CN117478434B (zh) | 边缘节点网络流量数据处理方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |