CN112000559A - 异常设备检测方法和装置 - Google Patents
异常设备检测方法和装置 Download PDFInfo
- Publication number
- CN112000559A CN112000559A CN202010754009.7A CN202010754009A CN112000559A CN 112000559 A CN112000559 A CN 112000559A CN 202010754009 A CN202010754009 A CN 202010754009A CN 112000559 A CN112000559 A CN 112000559A
- Authority
- CN
- China
- Prior art keywords
- event information
- track
- extracting
- terminal device
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 45
- 238000001514 detection method Methods 0.000 title claims abstract description 15
- 238000000034 method Methods 0.000 claims abstract description 35
- 230000006870 function Effects 0.000 claims abstract description 28
- 238000013507 mapping Methods 0.000 claims abstract description 12
- 230000008447 perception Effects 0.000 claims abstract description 9
- 238000000605 extraction Methods 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 14
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 12
- 230000003287 optical effect Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000004140 cleaning Methods 0.000 description 2
- 239000003086 colorant Substances 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000007794 visualization technique Methods 0.000 description 1
- 210000002268 wool Anatomy 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种异常设备检测方法和装置,其中方法包括:威胁感知平台获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息;从所述用户操作事件信息中提取操作特征轨迹;分别将各终端设备对应的操作特征轨迹映射至二维图像上,得到各终端设备对应的轨迹图像,基于轨迹图像之间的相似度,对各终端设备对应的轨迹图像进行聚类,得到一个以上的簇,确定包含设备数量大于或等于预设第一数量阈值的簇所包含的终端设备为异常设备。本申请能够对利用群控技术批量操控大量终端进行自动化攻击或线上欺诈的设备进行有效检测。
Description
【技术领域】
本申请涉及计算机安全技术领域,特别涉及一种异常设备检测方法和装置。
【背景技术】
本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就被认为是现有技术。
随着利用自动化技术谋取非法收入的黑产规模化发展,已经出现了群控技术能够批量操控大量电脑或手机进行自动化攻击或线上欺诈。例如,攻击者在一个房间内布设大量的电脑或手机,然后群控这些电脑对目标网站发起攻击,或者进行“薅羊毛”等线上欺诈。
【发明内容】
有鉴于此,本申请提供了一种异常设备检测方法和装置,以便于对利用群控技术批量操控大量终端进行自动化攻击或线上欺诈的设备进行有效检测。
具体技术方案如下:
第一方面,本申请提供了一种异常设备检测方法,该方法包括:
威胁感知平台获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息;
从所述用户操作事件信息中提取操作特征轨迹;
分别将各终端设备对应的操作特征轨迹映射至二维图像上,得到各终端设备对应的轨迹图像;
基于轨迹图像之间的相似度,对各终端设备对应的轨迹图像进行聚类,得到一个以上的簇;
确定包含设备数量大于或等于预设第一数量阈值的簇所包含的终端设备为异常设备。
根据本申请一优选实施方式,所述前端代码包括:web页面中嵌入的脚本JS代码、移动应用中嵌入的代码或者桌面客户端中嵌入的代码。
根据本申请一优选实施方式,所述操作事件信息包括:鼠标事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述鼠标事件信息中提取各时间点鼠标的坐标数据,得到鼠标的坐标轨迹。
根据本申请一优选实施方式,所述操作事件信息包括:键盘事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述键盘事件信息中提取依次按下各键之间的时间间隔或者各键被按下与弹起之间的时间间隔,得到键盘敲击间隔的轨迹。
根据本申请一优选实施方式,所述操作事件信息包括:触屏事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述触屏事件信息中提取各时间点触屏位置的坐标数据,得到触屏的坐标轨迹。
根据本申请一优选实施方式,所述操作事件信息包括:运动传感器事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述运动传感器事件信息中提取各时间点对应的传感器数据;
依据所述各时间点对应的传感器数据,得到运动状态轨迹。
根据本申请一优选实施方式,该方法还包括:
所述威胁感知平台获取所述前端代码采集所述终端设备的网络环境信息;
对同一时长内各终端设备的网络环境信息进行聚类,得到一个以上的簇;
确定包含设备数量大于预设第二数量阈值的簇所包含的终端设备为异常设备。
根据本申请一优选实施方式,所述网络环境信息包括以下至少一种:
所在内网中各终端设备的网络地址信息、所连接接入设备的网络地址信息、所接入基站的标识信息。
第二方面,本申请提供了一种异常设备检测装置,该装置包括:
信息获取单元,用于获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息;
轨迹提取单元,用于从所述用户操作事件信息中提取操作特征轨迹;
图像映射单元,用于分别将各终端设备对应的操作特征轨迹映射至二维图像上,得到各终端设备对应的轨迹图像;
聚类处理单元,用于基于轨迹图像之间的相似度,对各终端设备对应的轨迹图像进行聚类,得到一个以上的簇;
异常确定单元,用于确定包含设备数量大于或等于预设第一数量阈值的簇所包含的终端设备为异常设备。
根据本申请一优选实施方式,所述前端代码包括:web页面中嵌入的脚本JS代码、移动应用中嵌入的代码或者桌面客户端中嵌入的代码。
根据本申请一优选实施方式,所述操作事件信息包括:鼠标事件信息,所述轨迹提取单元具体用于从所述鼠标事件信息中提取各时间点鼠标的坐标数据,得到鼠标的坐标轨迹;和/或,
所述操作事件信息包括:键盘事件信息,所述轨迹提取单元具体用于从所述键盘事件信息中提取依次按下各键之间的时间间隔或者各键被按下与弹起之间的时间间隔,得到键盘敲击间隔的轨迹;和/或,
所述操作事件信息包括:触屏事件信息,所述轨迹提取单元具体用于从所述触屏事件信息中提取各时间点触屏位置的坐标数据,得到触屏的坐标轨迹;和/或,
所述操作事件信息包括:运动传感器事件信息,所述轨迹提取单元具体用于从所述运动传感器事件信息中提取各时间点对应的传感器数据,依据所述各时间点对应的传感器数据,得到运动状态轨迹。
根据本申请一优选实施方式,所述信息获取单元,还用于获取所述前端代码采集所述终端设备的网络环境信息;
所述聚类处理单元,还用于对同一时长内各终端设备的网络环境信息进行聚类,得到一个以上的簇;
所述异常确定单元,还用于确定包含设备数量大于预设第二数量阈值的簇所包含的终端设备为异常设备。
根据本申请一优选实施方式,所述网络环境信息包括以下至少一种:
所在内网中各终端设备的网络地址信息、所连接接入设备的网络地址信息、所接入基站的标识信息。
第三方面,本申请提供了一种设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
第四方面,本申请提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如上所述的方法。
由以上技术方案可以看出,本申请通过获取前端代码采集的实现web页面上预设功能所发生的用户操作事件信息,并从中提取出操作特征轨迹以得到终端设备对应的轨迹图像,基于轨迹图像所体现出的一致性来识别终端设备是否为异常设备,即如果大量终端设备在实现预设功能时体现出高一致性的操作,则这些终端设备可能为被批量操控进行自动化攻击或线上欺诈的终端设备。
【附图说明】
图1示出了可以应用本发明实施例的异常设备检测方法或装置的示例性系统架构;
图2为为本申请实施例二提供的异常设备检测方法流程图;
图3为本申请实施例三提供的异常设备检测方法流程图;
图4为本申请实施例四提供的装置结构图;
图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器的框图。
【具体实施方式】
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本申请进行详细描述。
实施例一、
图1示出了可以应用本发明实施例的异常设备检测方法或装置的示例性系统架构。
如图1所示,该系统架构可以包括终端设备101、网络102和服务器103。网络102用以在终端设备101和服务器103之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101通过网络102与服务器103交互。终端设备101上可以安装有各种应用,例如语音交互应用、网页浏览器应用、通信类应用等。
终端设备101可以是任意的终端设备,包括但不限于智能手机、智能平板、笔记本电脑、PC、智能可穿戴式设备等等。终端设备101中可以通过浏览器、移动应用(指的是移动设备中安装的应用)、桌面客户端(指的是PC或笔记本电脑中安装的客户端)进行web页面的浏览和操作。本申请中可以在web页面、移动应用或桌面客户端中嵌入代码,称为前端代码,负责对web页面上发生的用户操作事件信息、终端设备的网络环境信息进行采集,并上传给威胁感知平台。
威胁感知平台可以设置并运行于上述服务器103中。其可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块,在此不做具体限定。服务器103可以是单一服务器,也可以是多个服务器构成的服务器群组。威胁感知平台利用运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息,检测异常设备,具体检测方式将在实施例二中详细描述。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
实施例二
图2为本申请实施例二提供的异常设备检测方法流程图,该方法由威胁感知平台执行。如图2中所示,该方法可以包括以下步骤:
在201中,威胁感知平台获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息。
本申请中进行异常行为识别所针对的是web页面,基于web页面具有极强的交互性这一特点,本申请中可以在web页面中嵌入JS代码(该JS代码在web页面加载后运行),在移动应用中嵌入代码或者在桌面客户端中嵌入代码,利用这些代码对web页面上发生的用户操作事件信息进行采集。由于本申请的核心思想是判断是否存在大量终端设备在实现相同功能时所体现出高一致性的操作来检测异常设备的,因此,前端代码可以对实现web页面上预设功能所发生的用户操作事件信息进行采集。例如,对实现web页面上登录功能所发生的用户操作事件信息进行采集;再例如,对web页面上购买某特定商品所发生的用户操作事件信息进行采集,等等。
采集的操作事件信息可以包括桌面客户端的web页面上发生的鼠标事件信息、键盘事件信息,移动应用的web页面上发生的触屏事件信息和运动传感器事件信息等。
前端代码可以将采集到的在web页面上实现预设功能所发生的用户操作事件信息通过流式或周期式的方式上传至威胁感知平台,以便威胁感知平台进行存储。威胁感知平台能够获知具体web页面上发生的用户操作事件信息,并通过会话信息获知该用户操作事件信息所来源的设备信息,包括但不限于用户ID(标识)、应用ID或设备ID。其中应用ID可以是桌面客户端的ID,也可以是移动应用的ID。若用户在浏览web页面的过程中处于匿名、游客等状态,则通常在会话信息中不会携带用户ID,但可能会携带应用ID或设备ID。若用户在浏览web页面的过程中处于登录状态,则通常在会话信息中会携带用户ID。但通常情况下都会携带设备ID。
在202中,威胁感知平台对采集的用户操作事件信息进行数据清洗和归一化处理。
其中对用户操作事件信息进行数据清洗可以包括但不限于诸如,将数据格式不正确或存在数据缺失的用户操作事件信息过滤掉,对某些用户操作事件信息进行补足处理等。
在203中,威胁感知平台从用户操作事件信息中提取操作特征轨迹。
根据用户操作事件信息的不同,提取的操作特征轨迹也不同。对于鼠标事件信息而言,主要是各时间点的鼠标坐标数据,也就是说,每一个数据点包括三维特征:x轴坐标,y轴坐标和时间。那么依据时间的顺序,得到的是鼠标的坐标轨迹。
对于键盘事件信息而言,能够体现出人为特征还是机器特征的通常在键盘的敲击间隔上,包括按下各键之间的时间间隔或者各键被按下与弹起之间的时间间隔。因此,可以从所述键盘事件信息中提取实现预设功能过程中依次按下各键之间的时间间隔或者各键被按下与弹起之间的时间间隔,得到键盘敲击间隔的轨迹。
对于触屏事件信息而言,与鼠标事件信息类似,主要是各时间点的触屏位置数据,也就是说,每一个数据点包括三维特征:x轴坐标,y轴坐标和时间。那么依据时间的顺序,得到的是触屏的坐标轨迹。
对于运动传感器事件信息,可以从运动传感器数据信息中提取各时间点对应的传感器数据,依据各时间点对应的传感器数据,得到运动状态轨迹。其中运动传感器可以是诸如陀螺仪、加速度传感器、速度传感器等。各时间点的传感器数据可以体现出终端设备在各时间点的运动状态,例如是静止状态、手持状态、平放状态、竖直状态等等。以陀螺仪为例,每一个数据点包括四维特征:相对于X、Y、Z轴的角速度以及时间。那么依据时间的顺序,得到的是各时间点的角速度信息,其反应的是终端设备的姿态。
在204中,分别将各终端设备对应的操作特征轨迹映射至二维图像上,得到各终端设备对应的轨迹图像。
各终端设备对应的操作特征轨迹基本上都是多维特征数据,在此将这些多维特征数据采用可视化方法用二维图像来进行表示。
对于诸如鼠标的坐标轨迹、触屏的坐标轨迹等三维特征数据而言,可以采用诸如散点图、气泡图等方式来进行表示,即映射为二维的柱状图、饼图、散点图、气泡图等。
以鼠标的坐标轨迹为例,可以将其映射为散点图,散点图中横轴对应鼠标数据点的x轴坐标,散点图中的纵轴对应鼠标数据点的y轴坐标,散点图中以散点的位置对应鼠标数据点的坐标位置,散点以不同颜色或者数据标号来代表各时间点。
对于诸如键盘敲击时间间隔的轨迹这种二维特征数据而言,可以采用诸如折线图、柱状图、饼图、等方式来进行表示,即映射为二维的折线图。例如,折线图的横轴对应时间点,纵轴对应时间间隔值,以折线图上的点来对应键盘数据点,然后将各点连成线。
对于诸如运动状态轨迹等四位以上的特征数据而言,可以采用诸如雷达图等方式来表示,即映射为二维的雷达图等。以陀螺仪产生的运动状态轨迹为例,雷达图中以三角形三个点分别对应陀螺仪数据中相对于X、Y、Z轴的角速度,三个点距离雷达图中心点的距离对应相对于X、Y、Z轴的角速度值,三角形的不同颜色或数字标号对应不同时间点。
在205中,基于轨迹图像之间的相似度,对各终端设备对应的轨迹图像进行聚类,得到一个以上的簇。
经过上述处理后,对应于web页面上的同一功能实现存在各终端设备对应的轨迹图像。将这些轨迹图像基于相似度进行聚类后,每一个簇中包含的是轨迹图像高度相似的终端设备。在此,本申请实施例对聚类方法不加以限制,聚类时采用的相似度阈值可以根据经验值或实验值进行设置。
在206中,确定包含设备数量大于或等于预设第一数量阈值的簇所包含的终端设备为异常设备。
对于鼠标的坐标轨迹而言,在操作鼠标实现某一功能时,通常鼠标位置在不同用户之间是存在差别的,如果存在大量终端设备鼠标轨迹是高度一致的,即某一个簇中包含的终端设备的数量大于或等于预设第一数量阈值,则说明不是人为操作,而是采用自动化方法批量操控终端设备所致,将该簇中包含的终端设备标记为异常设备。
对于键盘敲击间隔的轨迹而言,在敲击键盘输入信息而实现某一功能时,通常键与键之间的时间间隔或者各键被按下与弹起之间的时间间隔在不同用户之间也是存在差别的,如果存在大量终端设备敲击键盘的间隔是高度一致的,即键盘敲击间隔轨迹形成的二维图像在聚类后某个簇包含的终端设备的数量大于或等于预设第一数量阈值,则说明不是人为操作,而是采用自动化方法批量操控终端设备所致,将该簇中包含的终端设备标记为异常设备。
关于触屏的坐标轨迹与鼠标的坐标轨迹的原理类似。
对于运动状态轨迹而言,通常比较适用于移动终端设备,用户在使用移动终端设备实现某一功能时移动终端设备不可避免地会存在一些晃动、抖动、移动等等,而这些“运动”状态在不同用户之间是不同的。如果存在大量移动终端设备在实现一个功能时运动状态是高度一致的,即运动状态轨迹形成的二维图像在聚类后某个簇包含的终端设备的数量大于或等于预设第一数量阈值,那么说明不是人为操作,而是采用自动化方法批量操控终端设备所致。
在实际情况中,用户完成web页面上的预设功能可能并不是单纯一种类型的操作,可能是多种类型操作的结合。例如对于实现登录操作而言,可能包含鼠标操作和键盘输入操作。这种情况下,可以分别针对鼠标事件信息和键盘事件信息执行上述轨迹提取、映射、聚类等处理,如果通过鼠标事件信息识别出终端设备为异常终端设备,且通过键盘事件信息也识别出该终端设备为异常终端设备,则最终确定该终端设备为异常终端设备。或者,通过鼠标事件信息识别出终端设备为异常终端设备,或者通过键盘事件信息识别出该终端设备为异常终端设备,则就可以确定该终端设备为异常终端设备。
对于确定出的异常终端设备信息可以通过威胁感知平台提供的界面显示给管理人员,也可以通过系统消息、短信、邮件等其他方式提供给管理人员。除此之外,同时显示给管理人员的还可以包括异常的终端设备标识、识别出异常的终端设备对应的用户操作事件信息、web页面上的功能等。这样管理人员就能够依据这些信息进行分析并进一步封停对应的账户或将特定用户或设备加入黑名单等。
实施例三
图3为本申请实施例三提供的异常设备检测方法流程图,该方法由威胁感知平台执行。如图3中所示,该方法可以包括以下步骤:
在301中,威胁感知平台获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息以及该终端设备的网络环境信息。
其中,前端代码采集的终端设备的网络环境信息包括终端设备所在内网中各终端设备的网络地址信息、所连接接入设备的网络地址信息、所接入基站的标识信息等。
步骤302同实施例二中步骤202,不做赘述。
在303中,威胁感知平台对同一时长内各终端设备的网络环境信息进行聚类,得到一个以上的簇。
对于前端代码采集的终端设备的网络环境信息可能是多个信息,对这些信息进行量化和映射,可以得到一个多维的网络环境特征向量。基于各终端设备的网络环境特征向量之间的相似度进行聚类,聚类得到的各簇是所处网络环境高度相似的终端设备的集合。
在304中,确定包含设备数量大于或等于预设第二数量阈值的簇所包含的终端设备为异常设备。
通常情况下,在同一个网络环境下,例如一个家庭、一个房间等不会有数量太多的终端设备。如果数量很大的终端设备均在一个房间内,则很可能这些终端设备被批量操控,属于异常设备。
但也存在一些特殊情况,例如一个公司、一个办公楼可能会有数量较大的终端设备,那么可以对这些类型的网络环境进行过滤。
在此需要说明的是,本申请中涉及的“第一数量阈值”、“第二数量阈值”中的“第一”和“第二”仅仅是在名称上区分两种数量阈值,并不存在顺序、数量和优先级上的含义限定。
步骤305~308同实施例二中步骤203~206,在此不做赘述。
本实施例与实施例二的区别在于,增加了基于网络环境信息的异常检测方式。在实施例三中是先执行基于网络环境信息的异常检测,再执行基于用户操作事件信息的异常检测,但本申请并不限于该种执行顺序,两种异常检测方式可以按照任意的顺序先后执行,也可以同时执行。
以上是对本申请所提供的方法进行的详细描述,下面结合实施例对本申请提供的装置进行详细描述。
实施例四
图4为本申请实施例四提供的装置结构图,该装置设置于服务器端,用以实现上述威胁感知平台的功能。如图4中所示,该装置可以包括:信息获取单元01、轨迹提取单元02、图像映射单元03、聚类处理单元04和异常确定单元05。其中各单元的主要功能包括:
信息获取单元01,用于获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息。
其中,前端代码包括:web页面中嵌入的脚本JS代码、移动应用中嵌入的代码或者桌面客户端中嵌入的代码等。
轨迹提取单元02,用于从用户操作事件信息中提取操作特征轨迹。
其中,操作事件信息可以包括:鼠标事件信息、键盘事件信息、触屏事件信息和运动传感器事件信息中的至少一种。
当操作事件信息包括鼠标事件信息时,轨迹提取单元02具体用于从鼠标事件信息中提取各时间点鼠标的坐标数据,得到鼠标的坐标轨迹。
当操作事件信息包括键盘事件信息时,轨迹提取单元02具体用于从键盘事件信息中提取依次按下各键之间的时间间隔或者各键被按下与弹起之间的时间间隔,得到键盘敲击间隔的轨迹。
当操作事件信息包括触屏事件信息时,轨迹提取单元02具体用于从触屏事件信息中提取各时间点触屏位置的坐标数据,得到触屏的坐标轨迹。
当操作事件信息包括运动传感器事件信息时,轨迹提取单元02具体用于从运动传感器事件信息中提取各时间点对应的传感器数据,依据各时间点对应的传感器数据,得到运动状态轨迹。
图像映射单元03,用于分别将各终端设备对应的操作特征轨迹映射至二维图像上,得到各终端设备对应的轨迹图像。具体映射方式可以参见实施例二中的相关描述。
聚类处理单元04,用于基于轨迹图像之间的相似度,对各终端设备对应的轨迹图像进行聚类,得到一个以上的簇。
异常确定单元05,用于确定包含设备数量大于或等于预设第一数量阈值的簇所包含的终端设备为异常设备。
更进一步地,信息获取单元01,还用于获取前端代码采集终端设备的网络环境信息。
其中,网络环境信息可以包括以下至少一种:所在内网中各终端设备的网络地址信息、所连接接入设备的网络地址信息、所接入基站的标识信息。
聚类处理单元04,还用于对同一时长内各终端设备的网络环境信息进行聚类,得到一个以上的簇。
异常确定单元05,还用于确定包含设备数量大于预设第二数量阈值的簇所包含的终端设备为异常设备。
图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器012的框图。图5显示的计算机系统/服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统/服务器012以通用计算设备的形式表现。计算机系统/服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元016,系统存储器028,连接不同系统组件(包括系统存储器028和处理单元016)的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器028可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。计算机系统/服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统034可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,计算机系统/服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该计算机系统/服务器012交互的设备通信,和/或与使得该计算机系统/服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,计算机系统/服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器020通过总线018与计算机系统/服务器012的其它模块通信。应当明白,尽管图5中未示出,可以结合计算机系统/服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元016通过运行存储在系统存储器028中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的方法流程。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行本发明实施例所提供的方法流程。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (15)
1.一种异常设备检测方法,其特征在于,该方法包括:
威胁感知平台获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息;
从所述用户操作事件信息中提取操作特征轨迹;
分别将各终端设备对应的操作特征轨迹映射至二维图像上,得到各终端设备对应的轨迹图像;
基于轨迹图像之间的相似度,对各终端设备对应的轨迹图像进行聚类,得到一个以上的簇;
确定包含设备数量大于或等于预设第一数量阈值的簇所包含的终端设备为异常设备。
2.根据权利要求1所述的方法,其特征在于,所述前端代码包括:web页面中嵌入的脚本JS代码、移动应用中嵌入的代码或者桌面客户端中嵌入的代码。
3.根据权利要求1所述的方法,其特征在于,所述操作事件信息包括:鼠标事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述鼠标事件信息中提取各时间点鼠标的坐标数据,得到鼠标的坐标轨迹。
4.根据权利要求1所述的方法,其特征在于,所述操作事件信息包括:键盘事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述键盘事件信息中提取依次按下各键之间的时间间隔或者各键被按下与弹起之间的时间间隔,得到键盘敲击间隔的轨迹。
5.根据权利要求1所述的方法,其特征在于,所述操作事件信息包括:触屏事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述触屏事件信息中提取各时间点触屏位置的坐标数据,得到触屏的坐标轨迹。
6.根据权利要求1所述的方法,其特征在于,所述操作事件信息包括:运动传感器事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述运动传感器事件信息中提取各时间点对应的传感器数据;
依据所述各时间点对应的传感器数据,得到运动状态轨迹。
7.根据权利要求1至6中任一项所述的方法,其特征在于,该方法还包括:
所述威胁感知平台获取所述前端代码采集所述终端设备的网络环境信息;
对同一时长内各终端设备的网络环境信息进行聚类,得到一个以上的簇;
确定包含设备数量大于预设第二数量阈值的簇所包含的终端设备为异常设备。
8.根据权利要求7所述的方法,其特征在于,所述网络环境信息包括以下至少一种:
所在内网中各终端设备的网络地址信息、所连接接入设备的网络地址信息、所接入基站的标识信息。
9.一种异常设备检测装置,其特征在于,该装置包括:
信息获取单元,用于获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息;
轨迹提取单元,用于从所述用户操作事件信息中提取操作特征轨迹;
图像映射单元,用于分别将各终端设备对应的操作特征轨迹映射至二维图像上,得到各终端设备对应的轨迹图像;
聚类处理单元,用于基于轨迹图像之间的相似度,对各终端设备对应的轨迹图像进行聚类,得到一个以上的簇;
异常确定单元,用于确定包含设备数量大于或等于预设第一数量阈值的簇所包含的终端设备为异常设备。
10.根据权利要求9所述的装置,其特征在于,所述前端代码包括:web页面中嵌入的脚本JS代码、移动应用中嵌入的代码或者桌面客户端中嵌入的代码。
11.根据权利要求9所述的装置,其特征在于,所述操作事件信息包括:鼠标事件信息,所述轨迹提取单元具体用于从所述鼠标事件信息中提取各时间点鼠标的坐标数据,得到鼠标的坐标轨迹;和/或,
所述操作事件信息包括:键盘事件信息,所述轨迹提取单元具体用于从所述键盘事件信息中提取依次按下各键之间的时间间隔或者各键被按下与弹起之间的时间间隔,得到键盘敲击间隔的轨迹;和/或,
所述操作事件信息包括:触屏事件信息,所述轨迹提取单元具体用于从所述触屏事件信息中提取各时间点触屏位置的坐标数据,得到触屏的坐标轨迹;和/或,
所述操作事件信息包括:运动传感器事件信息,所述轨迹提取单元具体用于从所述运动传感器事件信息中提取各时间点对应的传感器数据,依据所述各时间点对应的传感器数据,得到运动状态轨迹。
12.根据权利要求9至11中任一项所述的装置,其特征在于,所述信息获取单元,还用于获取所述前端代码采集所述终端设备的网络环境信息;
所述聚类处理单元,还用于对同一时长内各终端设备的网络环境信息进行聚类,得到一个以上的簇;
所述异常确定单元,还用于确定包含设备数量大于预设第二数量阈值的簇所包含的终端设备为异常设备。
13.根据权利要求12所述的装置,其特征在于,所述网络环境信息包括以下至少一种:
所在内网中各终端设备的网络地址信息、所连接接入设备的网络地址信息、所接入基站的标识信息。
14.一种设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-9中任一所述的方法。
15.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-9中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010754009.7A CN112000559A (zh) | 2020-07-30 | 2020-07-30 | 异常设备检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010754009.7A CN112000559A (zh) | 2020-07-30 | 2020-07-30 | 异常设备检测方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112000559A true CN112000559A (zh) | 2020-11-27 |
Family
ID=73462539
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010754009.7A Pending CN112000559A (zh) | 2020-07-30 | 2020-07-30 | 异常设备检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112000559A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113568828A (zh) * | 2021-06-30 | 2021-10-29 | 北京达佳互联信息技术有限公司 | 异常终端设备识别方法、装置、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110213227A (zh) * | 2019-04-24 | 2019-09-06 | 华为技术有限公司 | 一种网络数据流检测方法及装置 |
CN110363540A (zh) * | 2019-06-27 | 2019-10-22 | 上海淇馥信息技术有限公司 | 一种基于用户行为检测的羊毛党识别方法、装置和电子设备 |
CN110958208A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 一种攻击来源的检测方法、装置、设备和计算机存储介质 |
-
2020
- 2020-07-30 CN CN202010754009.7A patent/CN112000559A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110958208A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 一种攻击来源的检测方法、装置、设备和计算机存储介质 |
CN110213227A (zh) * | 2019-04-24 | 2019-09-06 | 华为技术有限公司 | 一种网络数据流检测方法及装置 |
CN110363540A (zh) * | 2019-06-27 | 2019-10-22 | 上海淇馥信息技术有限公司 | 一种基于用户行为检测的羊毛党识别方法、装置和电子设备 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113568828A (zh) * | 2021-06-30 | 2021-10-29 | 北京达佳互联信息技术有限公司 | 异常终端设备识别方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110933103B (zh) | 反爬虫方法、装置、设备和介质 | |
US20140089824A1 (en) | Systems And Methods For Dynamically Altering A User Interface Based On User Interface Actions | |
CN108829371B (zh) | 界面控制方法、装置、存储介质及电子设备 | |
CN111753701B (zh) | 应用程序的违规检测方法、装置、设备和可读存储介质 | |
CN113765873A (zh) | 用于检测异常访问流量的方法和装置 | |
CN112003834A (zh) | 异常行为检测方法和装置 | |
CN112843681B (zh) | 虚拟场景控制方法、装置、电子设备及存储介质 | |
CN112487871B (zh) | 笔迹数据处理方法、装置及电子设备 | |
CN112000559A (zh) | 异常设备检测方法和装置 | |
CN111368128B (zh) | 目标图片的识别方法、装置和计算机可读存储介质 | |
CN113076358A (zh) | 一种报表生成方法、装置、设备及存储介质 | |
CN104158696A (zh) | 一种测量操作延时的确定方法、装置及终端 | |
CN105227528A (zh) | 对Web服务器群的攻击的检测方法和装置 | |
CN108874141B (zh) | 一种体感浏览方法和装置 | |
CN107862010B (zh) | 一种获取物联网应用系统信息的方法、装置及移动终端 | |
CN115760494A (zh) | 基于数据处理的针对房地产营销的服务优化方法及装置 | |
CN115934179A (zh) | 业务功能控制方法及设备 | |
CN113225325B (zh) | 一种ip黑名单确定方法、装置、设备及存储介质 | |
CN112003833A (zh) | 异常行为检测方法和装置 | |
CN110262856B (zh) | 一种应用程序数据采集方法、装置、终端及存储介质 | |
CN108170593A (zh) | 应用程序运行的方法及装置 | |
CN111741046B (zh) | 数据上报方法、获取方法、装置、设备及介质 | |
CN112925942A (zh) | 一种数据搜索方法、装置、设备及存储介质 | |
CN113742501A (zh) | 一种信息提取方法、装置、设备、及介质 | |
CN111859235A (zh) | 一种网页数据采集方法、装置、设备和计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |