CN112398794A - 网络异常行为的检测方法、装置、设备及存储介质 - Google Patents
网络异常行为的检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112398794A CN112398794A CN201910757317.2A CN201910757317A CN112398794A CN 112398794 A CN112398794 A CN 112398794A CN 201910757317 A CN201910757317 A CN 201910757317A CN 112398794 A CN112398794 A CN 112398794A
- Authority
- CN
- China
- Prior art keywords
- user
- mutual exclusion
- exclusion function
- determining
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 32
- 230000007717 exclusion Effects 0.000 claims abstract description 106
- 230000006399 behavior Effects 0.000 claims abstract description 37
- 230000002159 abnormal effect Effects 0.000 claims abstract description 21
- 230000006870 function Effects 0.000 claims description 128
- 238000000605 extraction Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000003909 pattern recognition Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明实施例提供了网络异常行为的检测方法、装置、设备及存储介质。该方法包括:实时获取用户请求的日志记录;提取日志记录中的当前关键字段,当前关键字段包括:用户标识ID、用户请求的请求资源所在的服务器、用户代理UA和网页的跳转来源;根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息;对比请求资源所在的服务器、UA和网页的跳转来源中至少一个与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异;若存在差异,则确定用户的网络行为异常。本发明实施例能够提高判断网络异常行为异常的准确率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种网络异常行为的检测方法、装置、设备及存储介质。
背景技术
异常行为是与正常行为模式存在较大差异的其他行为。用户在使用互联网功能的过程中,会逐渐形成固定的应用使用习惯,从长期的统计数据来看,具有相同功能的不同应用,用户在使用上是存在互斥关系的,将其称之为互斥功能。即在使用中,用户根据自身习惯或使用规定等外部因素,会逐渐形成固定的功能使用习惯,例如,用户常用的搜索引擎,电子邮箱,即时通讯工具,笔记软件等。
目前,检测用户网络行为是否异常的方法通常采用特征提取和模式识别,而上述两种方法的判定结果准确率低。
发明内容
本发明实施例提供了一种网络异常行为的检测方法、装置、设备及存储介质,能够提高判断网络异常行为异常的准确率。
第一方面,本发明实施例提供了一种网络异常行为的检测方法,该方法包括:
实时获取用户请求的日志记录;
提取日志记录中的当前关键字段,当前关键字段包括:用户标识ID、用户请求的请求资源所在的服务器、用户代理(User Agent,UA)和网页的跳转来源;
根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息;
对比请求资源所在的服务器、UA和网页的跳转来源中至少一个与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异;
若存在差异,则确定用户的网络行为异常。
第二方面,本发明实施例提供了一种网络异常行为的检测装置,该装置包括:
获取模块,用于实时获取用户请求的日志记录;
提取模块,用于提取日志记录中的当前关键字段,当前关键字段包括:用户标识ID、用户请求的请求资源所在的服务器、UA和网页的跳转来源;
信息确定模块,用于根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息;
对比模块,用于对比请求资源所在的服务器、UA和网页的跳转来源中至少一个与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异;
行为确定模块,用于若存在差异,则确定用户的网络行为异常。
第三方面,本发明实施例提供了一种计算设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
本发明实施例提供的网络异常行为的检测方法、装置、设备及存储介质,通过实时获取用户请求的日志记录;提取日志记录中的当前关键字段,当前关键字段包括:用户标识ID、用户请求的请求资源所在的服务器、UA和网页的跳转来源;根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息;对比请求资源所在的服务器、UA和网页的跳转来源中至少一个与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异;若存在差异,则确定用户的网络行为异常。本发明实施例能够提高判断网络异常行为异常的准确率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明一些实施例提供的一种网络异常行为的检测方法的流程图;
图2示出了根据本发明一些实施例提供的一种网络异常行为的检测装置的结构示意图;
图3示出了根据本发明一些实施例提供的一种计算设备的结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
异常行为是与正常行为模式存在较大差异的其他行为。异常行为检测技术基于用户正常行为模式相对稳定的假设,并认为有攻击或入侵活动发生时,相关的行为模式会与正常行为模式发生差异。通过比较待检测为与正常行为模式的差异程度,建立正常行为简档,当前主体的行为违反其统计规律时,认为是“异常”行为。
目前,用户在使用互联网功能的过程中,会逐渐形成固定的应用使用习惯,从长期的统计数据来看,具有相同功能的不同应用,用户在使用上是存在互斥关系的,将其称之为互斥功能。即在使用中,用户根据自身习惯或使用规定等外部因素,会逐渐形成的固定的互斥功能使用习惯。例如,用户常用的搜索引擎,电子邮箱,即时通讯工具,笔记软件等。检测网络行为是否异常的方法通常采用特征提取和模式识别,而上述两种方法的判定结果准确率低。
因此,本发明提供的网络异常行为的检测方法、装置、设备及存储介质,能够提高判断网络异常行为异常的准确率。
参见图1所示,本发明实施例提供了一种网络异常行为的检测方法,该方法包括:S101-S105。
S101:实时获取用户请求的日志记录。
在一个实施例中,日志记录保存在日志系统中,能够记录用户请求对应的字段,因此,需要从日志系统中,实时获取用户请求的日志记录,例如,超文本传输协议(HypertextTransfer Protocol,HTTP)请求。
S102:提取日志记录中的当前关键字段,当前关键字段包括:用户标识ID、用户请求的请求资源所在的服务器、UA和网页的跳转来源。
在一个实施例中,当前关键字段是指日志记录中的能够表示用户ID、用户请求的请求资源所在的服务器、UA、网页的跳转来源等信息,例如,“Mozilla/5.0(Windows NT10.0;Win64;x64;rv:67.0)Gecko/20100101 Firefox/67.0”表示UA为Firefox;“www.baidu.com”表示用户请求的请求资源所在的服务器为“百度”。在日志记录中提取出当前关键字段后,进而确定用户的ID、用户请求的请求资源所在的服务器、UA、网页的跳转来源等信息。
S103:根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息。
在一个实施例中,互斥功能信息表示用户正常网络行为的信息,例如,用户甲的互斥功能信息为:用户请求的请求资源所在的服务器为百度、谷歌。每个用户的互斥功能信息保存在预先建立的互斥功能数据库中,根据用户ID能够在互斥功能数据库中确定用户的互斥功能信息。
具体地,本发明实施例提供的网络异常行为的检测方法中,在根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息之前,建立互斥功能数据库,包括:
获取多个用户的历史日志记录,历史日志记录预设历史时间段内的日志记录。
从每个用户的历史日志记录中提取历史关键字段,历史关键字段包括域名字段、客户端字段。
根据历史关键字段和互斥功能提取规则生成每个用户的互斥功能信息。
根据每个用户的互斥功能信息建立互斥功能数据库。
在一个实施例中,从日志系统中获取多个用户的预设历史时间段内的历史日志记录,并提取每个用户的历史日志中的历史关键字段,如,域名字段、客户端字段,能够得到用户的历史请求的历史请求资源所在的服务器、UA、网页的跳转来源等信息,例如,从HTTP历史日志记录中提取历史关键字段的方式为获取HTTP请求的请求头Request Header。将提取的历史关键字段存储在数据库中,例如可以存储为{用户ID,域名字段、客户端字段},还可以包括历史请求的发起时间等信息,例如,提取HTTP GET数据对应的历史日志记录,存储为{USER1,update.client.163.com,MailMasterPC,Jun 23,2019 15:49:57.597121000中国标准时间},其中,USER1为用户ID,update.client.163.com为域名字段,MailMasterPC为UA,Jun 23,2019 15:49:57.597121000中国标准时间为发起历史请求的时间。
根据提取到的每一个用户的历史关键字段,通过互斥功能提取规则,在历史关键字段中提取出每一个用户的互斥功能信息,根据每一个用户的互斥功能信息建立互斥功能数据库。
例如,从日志系统中用户的HTTP历史日志记录中提取请求方法为GET的RequestHeader,并提取HOST,UA,Referer,Arrive Time四个字段的内容,存储到数据库中,存储形式为{用户ID,HOST,UA,Referer,Timestamp}。如,提取HTTP GET数据,提取后存储为{User1,update.client.163.com,MailMasterPC,Jun 23,2019 15:49:57.597121000中国标准时间}。提取字段后,统计用户常用的互斥功能,根据提取到的HTTP中的关键字段,基于互斥功能提取原则,建立用户常用的网络工具的名单,并统计用户使用搜索引擎、电子邮箱、浏览器等网络工具的使用记录,使用记录包括用户使用搜索引擎、电子邮箱、浏览器等网络工具的次数,搜索引擎、电子邮箱、浏览器等网络工具均可以作为互斥功能。提取字段后,是根据字段从数据库中确定字段对应的域名,进而得到互斥功能名称。根据收集到的互斥功能的使用记录,用户互斥功能使用名单,根据互斥功能使用名单,建立互斥功能数据库。
其中,互斥功能提取规则包括:根据域名字段,确定互斥功能名称和互斥功能类型。根据客户端字段,确定UA。根据用户ID和互斥功能名称,确定互斥功能名称的使用次数。提取每条历史日志记录的起始时间和截止时间。
在一个实施例中,提取历史关键字段中的域名字段,例如,可以提取HTTP请求中的三级域名,例如“youa.baidu.com”,将提取到的三级域名与数据库的域名进行对比,可以得到互斥功能名称,和互斥功能类型,其中,互斥功能名称可以为用户经常使用的搜索引擎的名称、使用邮箱的名称等等,例如,三级域名“youa.baidu.com”中“baidu”为互斥功能名称;而百度是一个搜索引擎,那么三级域名“youa.baidu.com”中的互斥功能类型为搜索引擎。
根据客户端字段,提取UA,进而确定用户发起历史请求使用的应用客户端,例如,“Mozilla/5.0(Windows NT 10.0;Win64;x64;rv:67.0)Gecko/20100101Firefox/67.0”字段对应的UA为Firefox。
根据用户的互斥功能名称和用户ID设置互斥功能名称的使用次数的查询条件,例如,{用户ID,互斥功能名称},统计互斥功能名称的使用次数,并提取历史日志记录的起始时间和截止时间,将互斥功能名称、互斥功能类型、UA、互斥功能名称的使用次数、历史日志记录的起始时间和截止时间进行记录,例如,信息提取完成后的记录为{UESR1,www.baidu.com,搜索引擎,Firefox,589,Jun 15 2019 14:25:57.596121546中国标准时间,Jun 23 2019 15:49:57.597121000中国标准时间},其中,UESR1为用户ID,“www.baidu.com”中“baidu”为互斥功能名称,搜索引擎为互斥功能类型,“Firefox”为UA,589为互斥功能名称“baidu”的使用次数,“Jun 15 2019 14:25:57.596121546中国标准时间”为起始时间,“Jun 23 2019 15:49:57.597121000中国标准时间”为截止时间。
S104:对比请求资源所在的服务器、UA和网页的跳转来源中至少一个与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异。
S105:若存在差异,则确定用户的网络行为异常。
在一个实施例中,对比提取到的当前关键字段:请求资源所在的服务器、UA和网页的跳转来源中至少一个与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异,若至少一个当前关键字段与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源存在差异,则用户的网络行为异常,例如,用户常用的UA为Firefox,也即互斥功能信息中该用户使用Firefox的次数较高,而谷歌浏览器的使用次数为零,而当前关键字段中UA为谷歌浏览器,则确定用户的网络行为异常。
在确定网络异常行为异常的情况下,可以生成提示信息,用于提示网络管理员用户的网络行为异常。
本发明实施例提供的网络异常行为的检测方法,通过从互斥功能数据库中确定用户的互斥功能信息,进而根据提取到的当前关键字段与互斥功能信息进行比对,当提取到的当前关键字段中至少一个当前关键字段与互斥功能信息有差异,则确定网络异常行为异常,能够提高判断网络异常行为异常的准确率。
另外,在建立互斥功能数据库的时候是通过用户使用互斥功能名称的次数来确定每个用户的互斥功能信息,建模精准,进而使得在判断网络异常行为异常的方法简单、提取内容少,计算资源消耗少。
参见图2所示,本发明实施例提供了一种网络异常行为的检测装置,该装置包括:
获取模块201,用于实时获取用户请求的日志记录;
提取模块202,用于提取日志记录中的当前关键字段,当前关键字段包括:用户标识ID、用户请求的请求资源所在的服务器、UA和网页的跳转来源;
信息确定模块203,用于根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息;
对比模块204,用于对比请求资源所在的服务器、UA和网页的跳转来源中至少一个与互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异;
行为确定模块205,用于若存在差异,则确定用户的网络行为异常。
可选的,本发明实施例提供的网络异常行为的检测装置还包括建立模块206,用于在根据用户ID从预先建立的互斥功能数据库中确定用户ID的互斥功能信息之前,通过下述步骤建立互斥功能数据库:
获取多个用户的历史日志记录,历史日志记录预设历史时间段内的日志记录;
从每个用户的历史日志记录中提取历史关键字段,历史关键字段包括域名字段、客户端字段;
根据历史关键字段和互斥功能提取规则生成每个用户的互斥功能信息;
根据每个用户的互斥功能信息建立互斥功能数据库。
可选的,互斥功能提取规则包括:
根据域名字段,确定互斥功能名称和互斥功能类型;
根据客户端字段,确定UA;
根据用户ID和互斥功能名称,确定互斥功能名称的使用次数;
提取每条历史日志记录的起始时间和截止时间。
可选的,根据历史关键字段和互斥功能提取规则生成每个用户的互斥功能信息,包括:
基于用户ID、互斥功能名称、互斥功能类型、UA和历史日志记录的起始时间和截止时间,生成互斥功能信息。
可选的,本发明实施例提供的网络异常行为的检测装置还包括信息生成模块207,用于生成提示信息,提示信息用于提示网络管理员用户的网络行为异常。
本发明实施例提供的网络异常行为的检测装置中的各个模块可以实现图1所示的网络异常行为的检测方法,并达到其技术效果,为简洁描述,再此不在赘述。
另外,结合图1描述的本发明实施例的网络异常行为的检测的方法可以由计算设备来实现。图3示出了本发明实施例提供的计算设备的硬件结构示意图。
计算设备可以包括处理器301以及存储有计算机程序指令的存储器302。
具体地,上述处理器301可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器302可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器302可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器302可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器302可在数据处理装置的内部或外部。在特定实施例中,存储器302是非易失性固态存储器。在特定实施例中,存储器302包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器301通过读取并执行存储器302中存储的计算机程序指令,以实现上述实施例中的任意一种网络异常行为的检测的方法。
在一个示例中,计算设备还可包括通信接口303和总线310。其中,如图3所示,处理器301、存储器302、通信接口303通过总线310连接并完成相互间的通信。
通信接口303,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线310包括硬件、软件或两者,将计算设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线410可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
另外,结合上述实施例中的网络异常行为的检测的方法,本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种网络异常行为的检测的方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (12)
1.一种网络异常行为的检测方法,其特征在于,所述方法包括:
实时获取用户请求的日志记录;
提取所述日志记录中的当前关键字段,所述当前关键字段包括:用户标识ID、所述用户请求的请求资源所在的服务器、用户代理UA和网页的跳转来源;
根据所述用户ID从预先建立的互斥功能数据库中确定所述用户ID的互斥功能信息;
对比所述请求资源所在的服务器、所述UA和所述网页的跳转来源中至少一个与所述互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异;
若存在差异,则确定所述用户的网络行为异常。
2.根据权利要求1所述的方法,其特征在于,在根据所述用户ID从预先建立的互斥功能数据库中确定所述用户ID的互斥功能信息之前,所述方法还包括通过下述步骤建立所述互斥功能数据库:
获取多个用户的历史日志记录,所述历史日志记录预设历史时间段内的日志记录;
从每个用户的所述历史日志记录中提取历史关键字段,所述历史关键字段包括域名字段、客户端字段;
根据历史关键字段和互斥功能提取规则生成每个用户的互斥功能信息;
根据每个用户的互斥功能信息建立所述互斥功能数据库。
3.根据权利要求2所述的方法,其特征在于,所述互斥功能提取规则包括:
根据所述域名字段,确定互斥功能名称和互斥功能类型;
根据所述客户端字段,确定UA;
根据所述用户ID和所述互斥功能名称,确定所述互斥功能名称的使用次数;
提取每条所述历史日志记录的起始时间和截止时间。
4.根据权利要求3所述的方法,其特征在于,所述根据历史关键字段和互斥功能提取规则生成每个用户的互斥功能信息,包括:
基于所述用户ID、所述互斥功能名称、所述互斥功能类型、所述客户端和所述历史日志记录的起始时间和截止时间,生成所述互斥功能信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:生成提示信息,所述提示信息用于提示网络管理员所述用户的网络行为异常。
6.一种网络异常行为的检测装置,其特征在于,所述装置包括:
获取模块,用于实时获取用户请求的日志记录;
提取模块,用于提取所述日志记录中的当前关键字段,所述当前关键字段包括:用户标识ID、所述用户请求的请求资源所在的服务器、UA和网页的跳转来源;
信息确定模块,用于根据所述用户ID从预先建立的互斥功能数据库中确定所述用户ID的互斥功能信息;
对比模块,用于对比所述请求资源所在的服务器、所述UA和所述网页的跳转来源中至少一个与所述互斥功能信息中的请求资源所在的服务器、UA和网页的跳转来源是否存在差异;
行为确定模块,用于若存在差异,则确定所述用户的网络行为异常。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括建立模块,用于在根据所述用户ID从预先建立的互斥功能数据库中确定所述用户ID的互斥功能信息之前,通过下述步骤建立所述互斥功能数据库:
获取多个用户的历史日志记录,所述历史日志记录预设历史时间段内的日志记录;
从每个用户的所述历史日志记录中提取历史关键字段,所述历史关键字段包括域名字段、客户端字段;
根据历史关键字段和互斥功能提取规则生成每个用户的互斥功能信息;
根据每个用户的互斥功能信息建立所述互斥功能数据库。
8.根据权利要求7所述的装置,其特征在于,所述互斥功能提取规则包括:
根据所述域名字段,确定互斥功能名称和互斥功能类型;
根据所述客户端字段,确定UA;
根据所述用户ID和所述互斥功能名称,确定所述互斥功能名称的使用次数;
提取每条所述历史日志记录的起始时间和截止时间。
9.根据权利要求8所述的装置,其特征在于,所述根据历史关键字段和互斥功能提取规则生成每个用户的互斥功能信息,包括:
基于所述用户ID、所述互斥功能名称、所述互斥功能类型、所述UA和所述历史日志记录的起始时间和截止时间,生成所述互斥功能信息。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括信息生成模块,用于生成提示信息,所述提示信息用于提示网络管理员所述用户的网络行为异常。
11.一种计算机设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-5任一项所述的方法。
12.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910757317.2A CN112398794B (zh) | 2019-08-16 | 2019-08-16 | 网络异常行为的检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910757317.2A CN112398794B (zh) | 2019-08-16 | 2019-08-16 | 网络异常行为的检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112398794A true CN112398794A (zh) | 2021-02-23 |
| CN112398794B CN112398794B (zh) | 2024-03-26 |
Family
ID=74602773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910757317.2A Active CN112398794B (zh) | 2019-08-16 | 2019-08-16 | 网络异常行为的检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112398794B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN106453266A (zh) * | 2016-09-20 | 2017-02-22 | 微梦创科网络科技(中国)有限公司 | 一种异常网络请求检测方法与装置 |
| US10129277B1 (en) * | 2015-05-05 | 2018-11-13 | F5 Networks, Inc. | Methods for detecting malicious network traffic and devices thereof |
| CN109246116A (zh) * | 2018-09-26 | 2019-01-18 | 北京云端智度科技有限公司 | 一种基于dns日志分析的网络异常检测系统 |
-
2019
- 2019-08-16 CN CN201910757317.2A patent/CN112398794B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| US10129277B1 (en) * | 2015-05-05 | 2018-11-13 | F5 Networks, Inc. | Methods for detecting malicious network traffic and devices thereof |
| CN106453266A (zh) * | 2016-09-20 | 2017-02-22 | 微梦创科网络科技(中国)有限公司 | 一种异常网络请求检测方法与装置 |
| CN109246116A (zh) * | 2018-09-26 | 2019-01-18 | 北京云端智度科技有限公司 | 一种基于dns日志分析的网络异常检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112398794B (zh) | 2024-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107229662B (zh) | 数据清洗方法和装置 | |
| US10679135B2 (en) | Periodicity analysis on heterogeneous logs | |
| CN108989150B (zh) | 一种登录异常检测方法及装置 | |
| RU2601190C2 (ru) | Система и способы обнаружения спама с помощью частотных спектров строк символов | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| CN108650260B (zh) | 一种恶意网站的识别方法和装置 | |
| CN110460587B (zh) | 一种异常账号检测方法、装置及计算机存储介质 | |
| CN108235303B (zh) | 识别共享流量用户的方法、装置、设备及介质 | |
| CN111314285B (zh) | 一种路由前缀攻击检测方法及装置 | |
| CN111339151B (zh) | 在线考试方法、装置、设备及计算机存储介质 | |
| CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
| CN111756745A (zh) | 告警方法、告警装置及终端设备 | |
| CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
| US11539730B2 (en) | Method, device, and computer program product for abnormality detection | |
| CN109309665A (zh) | 一种访问请求处理方法及装置、一种计算设备及存储介质 | |
| CN112398794B (zh) | 网络异常行为的检测方法、装置、设备及存储介质 | |
| CN109995886B (zh) | 域名识别方法、装置、设备及介质 | |
| CN113792291B (zh) | 一种受域生成算法恶意软件感染的主机识别方法及装置 | |
| CN111556042A (zh) | 恶意url的检测方法、装置、计算机设备和存储介质 | |
| JP7182470B2 (ja) | メッセージ処理装置およびメッセージ処理方法 | |
| CN110929049B (zh) | 一种用户账号识别方法及装置 | |
| CN113259193B (zh) | 一种目标网络的检测方法、装置、设备及存储介质 | |
| CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 | |
| CN115859279A (zh) | 一种主机行为的检测方法、装置、电子设备及存储介质 | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |