CN112688939B - 非法组织信息的确定方法、装置、电子设备及存储介质 - Google Patents
非法组织信息的确定方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112688939B CN112688939B CN202011535425.4A CN202011535425A CN112688939B CN 112688939 B CN112688939 B CN 112688939B CN 202011535425 A CN202011535425 A CN 202011535425A CN 112688939 B CN112688939 B CN 112688939B
- Authority
- CN
- China
- Prior art keywords
- illegal
- illegal website
- access
- determining
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种非法组织信息的确定方法、装置、电子设备及存储介质,该方法包括:获取非法网站访问日志;分析非法网站访问日志,确定非法网站后台的访问地址;基于非法网站后台的访问地址对非法网站访问日志进行过滤,得到访问非法网站后台的非法网站访问日志;根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息。本发明能够提高确定非法组织信息的效率。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种非法组织信息的确定方法、装置、电子设备及存储介质。
背景技术
日益成熟的互联网技术和日益壮大的互联网规模为社会提供了“互联网+”新生活。互联网给我们生活的方方面面带来便利的同时,各种威胁也接踵而至。不法分子也与时俱进,诈骗花样层出不穷,呈现出“电话诈骗”到“电信诈骗”的发展趋势,例如,不法分子搭建金融、信贷、博彩类网站,配合以短信,电话的形式进行推广,诱导人们投钱,从而实施诈骗。
网络诈骗会扰乱人们正常的工作和生活秩序,严重影响人民的安全感,滋生各种社会不安定因素,因此需要及时确定出诈骗团伙进而制止其诈骗行为。目前,对于网络诈骗团伙的确定,主要通过人工分析实现,效率极低。
发明内容
有鉴于此,本发明的目的在于提供了一种非法组织信息的确定方法、装置、电子设备及存储介质,能够提高确定非法组织信息的效率。
为了达到上述目的,本发明提供了如下技术方案:
一种非法组织信息的确定方法,包括:
获取非法网站访问日志;
分析非法网站访问日志,确定非法网站后台的访问地址;
基于非法网站后台的访问地址对非法网站访问日志进行过滤,得到访问非法网站后台的非法网站访问日志;
根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息。
一种非法组织信息的确定装置,包括:
获取单元,用于获取非法网站访问日志;
分析单元,用于分析非法网站访问日志,确定非法网站后台的访问地址;
过滤单元,用于基于非法网站后台的访问地址对非法网站访问日志进行过滤,得到访问非法网站后台的非法网站访问日志;
确定单元,用于根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息。
一种电子设备,包括:处理器和存储器;
所述存储器,用于存储可被所述处理器执行的一个或多个计算机程序;所述处理器执行所述一个或多个计算机程序时实现如上述非法组织信息的确定方法中的步骤。
一种非瞬时计算机可读存储介质,所述非瞬时计算机可读存储介质存储指令,其特征在于,所述指令在由处理器执行时使得所述处理器执行如上述非法组织信息的确定方法中的步骤。
由上面的技术方案可知,本发明中,通过分析非法网站访问日志确定非法网站后台的访问地址,利用非法网站后台的访问地址对非法网站访问日志进行过滤得到访问非法网站后台的非法网站访问日志,进而根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息。本申请中,分析确定非法组织信息的过程不需要人工参与,效率较高。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一非法组织信息的确定方法流程图;
图2是本发明实施例二非法组织信息的确定方法流程图;
图3是本发明实施例非法组织信息的确定装置的结构示意图;
图4是本发明实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,图1是本发明实施例一非法组织信息的确定方法流程图,如图1所示,该方法主要包括以下步骤:
步骤101、获取非法网站访问日志;
步骤102、分析非法网站访问日志,确定非法网站后台的访问地址;
步骤103、基于非法网站后台的访问地址对非法网站访问日志进行过滤,得到访问非法网站后台的非法网站访问日志;
步骤104、根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息。
从图1所示方法可以看出,本实施例中,通过分析非法网站访问日志确定非法网站后台的访问地址,利用非法网站后台的访问地址对非法网站访问日志进行过滤得到访问非法网站后台的非法网站访问日志,进而根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息。由于分析确定非法组织信息的过程不需要人工参与,效率较高。
参见图2,图2是本发明实施例二非法组织信息的确定方法流程图,如图2所示,该方法主要包括以下步骤:
步骤201、获取非法网站访问日志;
本实施例中,非法网站访问日志中包括访问终端信息、访问终端所在基站位置信息、用户号码、所访问网站服务器地址等信息。其中,访问终端信息可以唯一表示一个移动终端,可以用IMEI-SV(表示SV是手机身份证“IMEI”的软件版本)表示;访问终端所在基站位置信息包括跟踪区域码(Tracking Area Code,TAC)和小区编号(cell_id);所访问网站服务器地址包括网站服务器的IP地址和端口。
另外,非法网站访问日志中还包括:所访问网页的主机名(host)、所访问网页的资源地址URI、扩展信息等。其中,所述扩展信息包括用户访问网页时提交的post表单信息。
在本发明的一个实施例中,非法网站访问日志包含的字段具体如表一所示:
表一
步骤202、分析非法网站访问日志,确定非法网站后台的访问地址;
本实施例中,至少可以三种方式确定非法网站后台的访问地址,以下进行详细介绍:
一、通过统计非法网站访问日志中包括的所访问网站服务器地址确定非法网站后台的访问地址。
在实际应用中,对于一个网站来说,用户的访问量要远远大于管理员的访问量。通常,网站服务器使用不同的端口提供不同的服务,用户和管理员使用不同的服务,其中管理员所使用的服务称为后台服务,后台服务对应有后台服务端口,管理员通过后台服务端口访问后台服务。
根据网站中用户的访问量远远大于管理员的访问量的特点,统计所访问网站服务器的IP地址相同的非法网站访问日志中被访问次数最少的端口,此端口有很大可能就是该网站服务器的用于提供后台服务的后台服务端口。另外,当整个网站服务器的访问量比较小时,用户的访问量也会比较小,这种情况下可能因各端口的访问量都比较小,容易造成误判,为此,还可以根据网站服务器的被访问过的端口数量和被访问过的次数来进行纠正,以减少误判。
因此,本发明实施例中,通过统计非法网站访问日志中包括的所访问网站服务器地址确定非法网站后台的访问地址,具体可采用以下方法:
将非法网站访问日志按照IP地址进行分组;
统计每一分组内的非法网站访问日志中各端口的被访问次数,根据该分组内各端口的被访问次数确定非法网站后台的访问地址。
其中,统计每一分组内的非法网站访问日志中各端口的被访问次数时,还可以进一步统计该分组内的非法网站访问日志中包含的端口总数以及该分组内的非法网站访问日志条数。
统计每一分组内的非法网站访问日志中各端口的被访问次数,根据该分组内各端口的被访问次数确定非法网站后台的访问地址,具体包括:
针对该分组内的非法网站访问日志中包含的每一端口,统计该分组内包括该端口的非法网站访问日志的条数,将该条数确定为该端口的被访问次数;
确定被访问次数最少的端口,如果该分组内的非法网站访问日志中包含的端口总数超过第一预设值(例如取值1),且该分组内的非法网站访问日志条数超过第二预设值(例如取值10),则将划分该分组所基于的IP地址和该被访问次数最少的端口确定为非法网站后台的访问地址。
二、通过统计非法网站访问日志中包括的所访问网页的URI确定非法网站后台的访问地址。
在实际应用中,对于一个网站来说,用户的访问量要远远大于管理员的访问量。通常,用户使用网站服务器提供的同一服务时,会因为提交的输入信息的不同而导致所访问网页的URI不完全相同,例如用户A使用网站服务器提供的某一服务时,因输入的数据是1,从而使得用户A对应的非法网站访问日志中包括的所访问网页的URI为:“http://8dxg1.ixwmu.cn?type=1”;用户B使用该服务时,因输入的数据是5,从而使得用户B对应的非法网站访问日志中包括的所访问网页的URI为:“http://8dxg1.ixwmu.cn?type=5”。可以看出,如果不做任何处理,则在通过统计非法网站访问日志中包括的URI确定非法网站后台的访问地址时,这两个日志将被统计为属于不同的服务,从而导致误判。
对于上述情况,可以通过将URI转换为正规化URI来避免误判。
本实施例中,通过统计非法网站访问日志中包括的URI确定非法网站后台的访问地址,具体可采用如下方法:
将非法网站访问日志包括的资源地址URI中属于用户提交信息的字符串进行屏蔽处理,得到正规化URI;
将非法网站访问日志按照host进行分组;
统计每一分组内的非法网站访问日志中各正规化URI的被访问次数,根据该分组内各正规化URI的被访问次数确定非法网站后台的访问地址。
上述将非法网站访问日志包括的资源地址URI中属于用户提交信息的字符串进行屏蔽处理,具体可以是将非法网站访问日志包括的资源地址URI中属于用户提交信息的字符串用预设符号(*)替代。以上述两个URI:“http://8dxg1.ixwmu.cn?type=1”和“http://8dxg1.ixwmu.cn?type=5”为例,转化为正规化URI后,均为“http://8dxg1.ixwmu.cn?type=*”。
本实施例中,在统计每一分组内的非法网站访问日志中各正规化URI的被访问次数时,还可以进一步统计该分组内的非法网站访问日志中包含的正规化URI总数以及该分组内的非法网站访问日志条数。
本实施例中,统计每一分组内的非法网站访问日志中各正规化URI的被访问次数,根据该分组内各正规化URI的被访问次数确定非法网站后台的访问地址,具体包括:
针对该分组内的非法网站访问日志中包含的每一正规化URI,统计该分组内包括该正规化URI的非法网站访问日志的条数,将该条数确定为该正规化URI的被访问次数;
确定被访问次数最少的正规化URI,如果该分组内的非法网站访问日志中包含的正规化URI总数超过第三预设值(例如1),且该分组内的非法网站访问日志条数超过第四预设值(例如10),则将划分该分组所基于的host和该被访问次数最少的正规化URI确定为非法网站后台的访问地址。
三、通过非法网站访问日志中包括的所访问网页的URI和扩展信息进行关键词过滤/匹配确定非法网站后台的访问地址。
在实际应用中,网站后台页面的URI中通常都会带有意义明确的关键字,
例如,网站管理员使用网站后台服务时,所访问网页(即网站后台页面)的URI包含用于指示管理员登录的关键词,如'admin'、'administrator'、'adminlogin'、'admin_login'、'system'、'manage'、'management'、'adm/'、'adm.'等关键词。
又如:临时搭建的网站的管理员登录时,用户名和密码通常都是默认值(即确认登录信息),因而管理员在登录网站后台页面时,提交的表单(属于URL中的扩展信息)中很有可能包含用于指示用户登录信息的关键词。所述用于指示用户登录信息的关键词包括用户名关键词和密码关键词,其中,所述用户名关键词包括:'username'、'user_name'、'nickname'、'name';所述密码关键词包括:'pwd'、'password'、'passwd'、'pass'。
本实施例中,通过非法网站访问日志中包括的所访问网页的URI和扩展信息进行关键词过滤/匹配确定非法网站后台的访问地址,具体可采用以下方法:
对非法网站访问日志包括的URI中属于用户提交信息的字符串进行屏蔽处理,得到正规化URI;
将非法网站访问日志中的正规化URI与预设的用于指示管理员登录的关键词进行第一匹配,对该非法网站访问日志中包括的扩展信息与预设的用于指示用户登录信息的关键词进行第二匹配,如果第一匹配结果和第二匹配结果均是匹配成功,则将该非法网站访问日志中的正规化URI确定为非法网站后台的访问地址。
这里需要说明的是,第一匹配结果是匹配成功,表明该正规化URI中包含预设的用于指示管理员登录的一个关键词,例如该正规化URI中包括关键词'admin'。第二匹配结果是匹配成功,表明该非法网站访问日志中包括的扩展信息包含预设的用于指示用户登录信息的关键词(即包含一个用户名关键词和一个密码关键词),例如扩展信息中包括关键词'username'和'pwd'。
本实施例中,可以采用以上确定非法网站后台的访问地址的三种方式中的一种或多种对非法网站访问日志进行分析,从而确定非法网站后台的访问地址。
步骤203、基于非法网站后台的访问地址对非法网站访问日志进行过滤,得到访问非法网站后台的非法网站访问日志。
本实施例中,在确定了非法网站后台的访问地址,可以过滤得到包含非法网站后台的访问地址的非法网站访问日志,过滤得到的非法网站访问日志即为访问非法网站后台的非法网站访问日志。
步骤2041、将访问非法网站后台的非法网站访问日志按照host分组;
本实施例中,将访问非法网站后台的非法网站访问日志中host相同的所有非法网站访问日志划分到同一分组中。
步骤2042、对于每一非法网站访问日志分组,执行以下操作步骤2043至步骤2045:
步骤2043、提取该分组内各非法网站访问日志包含的访问终端信息、基站位置信息、和用户号码;
本实施例中,由于非法网站访问日志中包括访问终端信息、基站位置信息、和用户号码等字段,因此,直接从该分组内各非法网站访问日志包含的访问终端信息、基站位置信息、和用户号码即可。
步骤2044、针对提取的每一访问终端信息,从即时通信系统获取该访问终端对应的即时通信账号信息;
在实际应用中,由于非法组织经常会使用即时通信工具实施非法行为,因此,还可以提取每一访问终端对应的即时通信账号信息。
用户在使用即时通信软件上网时,会产生即时通信上网日志。
本发明实施例中,即时通信上网日志包含的字段具体如表二所示:
表二
从上表可以看出,对于从该分组内的非法网站访问日志中提取的每一访问终端信息,可以在即时通信系统记录的即时通信上网日志中查找到包含该访问终端信息的即时通信上网日志,从而可以从该即时通信上网日志中提取出该访问终端对应的即时通信账号信息。
步骤2045、将划分该分组所基于的host、从该分组内的非法网站访问日志提取得到的访问终端信息列表、基站位置信息列表、用户号码列表、以及访问终端信息列表中各访问终端对应的即时通信账号信息列表确定为一个非法组织信息。
本实施例中,将划分该分组所基于的host、从该分组内的非法网站访问日志提取得到的访问终端信息列表、基站位置信息列表、用户号码列表、以及访问终端信息列表中各访问终端对应的即时通信账号信息列表确定为一个非法组织信息之后,还可以进一步包括:
针对所述用户号码列表中的每一用户号码,从移动通信网络系统获取以该用户号码为主叫号码的话单日志(话单日志中包括主叫号码、被叫号码等需修补),将话单日志中的被叫号码确定为该非法组织的疑似受害用户信息。
以上步骤2041至步骤2045是图1所示步骤104的具体细化。
通过以上步骤2041至步骤2045,可以得到完整的非法组织信息,非法组织信息中包括的字段具体如表三所示:
表三
从图2所示方法可以看出,本实施例中,通过联合分析统计非法网站访问日志中的所访问服务器地址、所访问网页的URI、和扩展信息,确定非法网站后台的访问地址,利用非法网站后台的访问地址对非法网站访问日志进行过滤得到访问非法网站后台的非法网站访问日志,进而根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息。由于分析确定非法组织信息的过程不需要人工参与,效率较高。
以上对本发明实施例非法组织信息的确定方法进行了详细说明,本发明实施例还提供了一种非法组织信息的确定装置,以下结合图3进行详细说明。
参见图3,图3是本发明实施例非法组织信息的确定装置的结构示意图,如图3所示,该装置包括:
获取单元301,用于获取非法网站访问日志;
分析单元302,用于分析非法网站访问日志,确定非法网站后台的访问地址;
过滤单元303,用于基于非法网站后台的访问地址对非法网站访问日志进行过滤,得到访问非法网站后台的非法网站访问日志;
确定单元304,用于根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息。
图3所示装置中,
所述非法网站访问日志还包括所访问网站服务器地址;所述网站服务器地址包括IP地址和端口;
分析单元302,分析非法网站访问日志,确定非法网站后台的访问地址,包括:
将非法网站访问日志按照IP地址进行分组;
统计每一分组内的非法网站访问日志中各端口的被访问次数,根据该分组内各端口的被访问次数确定非法网站后台的访问地址;
和/或,
所述非法网站访问日志还包括所访问网页的主机名host和所访问网页的资源地址URI;
分析单元302,分析非法网站访问日志,确定非法网站后台的访问地址,包括:
将非法网站访问日志包括的资源地址URI中属于用户提交信息的字符串进行屏蔽处理,得到正规化URI;
将非法网站访问日志按照host进行分组;
统计每一分组内的非法网站访问日志中各正规化URI的被访问次数,根据该分组内各正规化URI的被访问次数确定非法网站后台的访问地址;
和/或,
所述非法网站访问日志还包括所访问网页的URI和扩展信息;所述扩展信息包括用户访问网页时提交的post表单信息;
分析单元302,分析非法网站访问日志,确定非法网站后台的访问地址,包括:
对非法网站访问日志包括的URI中属于用户提交信息的字符串进行屏蔽处理,得到正规化URI;
将非法网站访问日志中的正规化URI与预设的用于指示管理员登录的关键词进行第一匹配,对该非法网站访问日志中包括的所访问URL中的扩展信息与预设的用于指示用户登录信息的关键词进行第二匹配,如果第一匹配结果和第二匹配结果均是匹配成功,则将该非法网站访问日志中的正规化URI确定为非法网站后台的访问地址。
图3所示装置中,
分析单元302,统计每一分组内的非法网站访问日志中各端口的被访问次数时,进一步统计该分组内的非法网站访问日志中包含的端口总数以及该分组内的非法网站访问日志条数;
分析单元302,统计每一分组内的非法网站访问日志中各端口的被访问次数,根据该分组内各端口的被访问次数确定非法网站后台的访问地址,包括:
针对该分组内的非法网站访问日志中包含的每一端口,统计该分组内包括该端口的非法网站访问日志的条数,将该条数确定为该端口的被访问次数;
确定被访问次数最少的端口,如果该分组内的非法网站访问日志中包含的端口总数超过第一预设值,且该分组内的非法网站访问日志条数超过第二预设值,则将划分该分组所基于的IP地址和该被访问次数最少的端口确定为非法网站后台的访问地址。
图3所示装置中,
分析单元302,统计每一分组内的非法网站访问日志中各正规化URI的被访问次数时,进一步统计该分组内的非法网站访问日志中包含的正规化URI总数以及该分组内的非法网站访问日志条数;
分析单元302,统计每一分组内的非法网站访问日志中各正规化URI的被访问次数,根据该分组内各正规化URI的被访问次数确定非法网站后台的访问地址,包括:
针对该分组内的非法网站访问日志中包含的每一正规化URI,统计该分组内包括该正规化URI的非法网站访问日志的条数,将该条数确定为该正规化URI的被访问次数;
确定被访问次数最少的正规化URI,如果该分组内的非法网站访问日志中包含的正规化URI总数超过第三预设值,且该分组内的非法网站访问日志条数超过第四预设值,则将划分该分组所基于的host和该被访问次数最少的正规化URI确定为非法网站后台的访问地址。
图3所示装置中,
所述用于指示管理员登录的关键词,包括:'admin'、'administrator'、'adminlogin'、'admin_login'、'system'、'manage'、'management'、'adm/'、'adm.';
所述用于指示用户登录信息的关键词包括用户名关键词和密码关键词;所述用户名关键词包括:'username'、'user_name'、'nickname'、'name';所述密码关键词包括:'pwd'、'password'、'passwd'、'pass'。
图3所示装置中,
所述非法网站访问日志包括所访问网页的主机名host、访问终端信息、访问终端所在基站位置信息、访问终端的用户号码;
所述确定单元304,根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息,包括:
将访问非法网站后台的非法网站访问日志按照host分组;
对于每一非法网站访问日志分组,执行以下操作:
提取该分组内各非法网站访问日志包含的访问终端信息、基站位置信息、和用户号码;
针对提取的每一访问终端信息,从即时通信系统获取该访问终端对应的即时通信账号信息;
将划分该分组所基于的host,从该分组内的非法网站访问日志提取得到的访问终端信息列表、基站位置信息列表、用户号码列表、以及访问终端信息列表中各访问终端对应的即时通信账号信息列表确定为一个非法组织信息。
图3所示装置中,
所述确定单元304,将划分该分组所基于的host、从该分组内的非法网站访问日志提取得到的访问终端信息列表、基站位置信息列表、用户号码列表、以及访问终端信息列表中各访问终端对应的即时通信账号信息列表确定为一个非法组织信息之后,进一步包括:
针对所述用户号码列表中的每一用户号码,从移动通信网络系统获取以该用户号码为主叫号码的话单日志,将话单日志中的被叫号码确定为该非法组织的潜在受害用户信息。
本发明实施例还提供了一种电子设备,如图4所示,该电子设备包括:处理器401和存储器402;
所述存储器402,用于存储可被所述处理器401执行的一个或多个计算机程序;所述处理器401执行所述一个或多个计算机程序时实现如图1或图2所示的非法组织信息的确定方法中的步骤。
本发明实施例还提供了一种非瞬时计算机可读存储介质,所述非瞬时计算机可读存储介质存储指令,所述指令在由处理器执行时使得所述处理器执行如图1或图2所示的非法组织信息的确定方法中的步骤。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种非法组织信息的确定方法,其特征在于,该方法包括:
获取非法网站访问日志;
分析非法网站访问日志,确定非法网站后台的访问地址;
基于非法网站后台的访问地址对非法网站访问日志进行过滤,得到访问非法网站后台的非法网站访问日志;
根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息;
其中,所述非法网站访问日志包括所访问网页的主机名host、访问终端信息、访问终端所在基站位置信息、访问终端的用户号码;
根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息,包括:
将访问非法网站后台的非法网站访问日志按照host分组;
对于每一非法网站访问日志分组,执行以下操作:
提取该分组内各非法网站访问日志包含的访问终端信息、基站位置信息、和用户号码;
针对提取的每一访问终端信息,从即时通信系统获取该访问终端对应的即时通信账号信息;
将划分该分组所基于的host,从该分组内的非法网站访问日志提取得到的访问终端信息列表、基站位置信息列表、用户号码列表、以及访问终端信息列表中各访问终端对应的即时通信账号信息列表确定为一个非法组织信息。
2.根据权利要求1所述的方法,其特征在于,
所述非法网站访问日志还包括所访问网站服务器地址;所述网站服务器地址包括IP地址和端口;
分析非法网站访问日志,确定非法网站后台的访问地址,包括:
将非法网站访问日志按照IP地址进行分组;
统计每一分组内的非法网站访问日志中各端口的被访问次数,根据该分组内各端口的被访问次数确定非法网站后台的访问地址;
和/或,
所述非法网站访问日志还包括所访问网页的主机名host和所访问网页的资源地址URI;
分析非法网站访问日志,确定非法网站后台的访问地址,包括:
将非法网站访问日志包括的资源地址URI中属于用户提交信息的字符串进行屏蔽处理,得到正规化URI;
将非法网站访问日志按照host进行分组;
统计每一分组内的非法网站访问日志中各正规化URI的被访问次数,根据该分组内各正规化URI的被访问次数确定非法网站后台的访问地址;
和/或,
所述非法网站访问日志还包括所访问网页的URI和扩展信息;所述扩展信息包括用户访问网页时提交的post表单信息;
分析非法网站访问日志,确定非法网站后台的访问地址,包括:
对非法网站访问日志包括的URI中属于用户提交信息的字符串进行屏蔽处理,得到正规化URI;
将非法网站访问日志中的正规化URI与预设的用于指示管理员登录的关键词进行第一匹配,对该非法网站访问日志中包括的所访问URL中的扩展信息与预设的用于指示用户登录信息的关键词进行第二匹配,如果第一匹配结果和第二匹配结果均是匹配成功,则将该非法网站访问日志中的正规化URI确定为非法网站后台的访问地址。
3.根据权利要求2所述的方法,其特征在于,
统计每一分组内的非法网站访问日志中各端口的被访问次数时,进一步统计该分组内的非法网站访问日志中包含的端口总数以及该分组内的非法网站访问日志条数;
统计每一分组内的非法网站访问日志中各端口的被访问次数,根据该分组内各端口的被访问次数确定非法网站后台的访问地址,包括:
针对该分组内的非法网站访问日志中包含的每一端口,统计该分组内包括该端口的非法网站访问日志的条数,将该条数确定为该端口的被访问次数;
确定被访问次数最少的端口,如果该分组内的非法网站访问日志中包含的端口总数超过第一预设值,且该分组内的非法网站访问日志条数超过第二预设值,则将划分该分组所基于的IP地址和该被访问次数最少的端口确定为非法网站后台的访问地址。
4.根据权利要求2所述的方法,其特征在于,
统计每一分组内的非法网站访问日志中各正规化URI的被访问次数时,进一步统计该分组内的非法网站访问日志中包含的正规化URI总数以及该分组内的非法网站访问日志条数;
统计每一分组内的非法网站访问日志中各正规化URI的被访问次数,根据该分组内各正规化URI的被访问次数确定非法网站后台的访问地址,包括:
针对该分组内的非法网站访问日志中包含的每一正规化URI,统计该分组内包括该正规化URI的非法网站访问日志的条数,将该条数确定为该正规化URI的被访问次数;
确定被访问次数最少的正规化URI,如果该分组内的非法网站访问日志中包含的正规化URI总数超过第三预设值,且该分组内的非法网站访问日志条数超过第四预设值,则将划分该分组所基于的host和该被访问次数最少的正规化URI确定为非法网站后台的访问地址。
5.根据权利要求2所述的方法,其特征在于,
所述用于指示管理员登录的关键词,包括:'admin'、'administrator'、'adminlogin'、'admin_login'、'system'、'manage'、'management'、'adm/'、'adm.';
所述用于指示用户登录信息的关键词包括用户名关键词和密码关键词;所述用户名关键词包括:'username'、'user_name'、'nickname'、'name';所述密码关键词包括:'pwd'、'password'、'passwd'、'pass'。
6.根据权利要求1所述的方法,其特征在于,
将划分该分组所基于的host、从该分组内的非法网站访问日志提取得到的访问终端信息列表、基站位置信息列表、用户号码列表、以及访问终端信息列表中各访问终端对应的即时通信账号信息列表确定为一个非法组织信息之后,进一步包括:
针对所述用户号码列表中的每一用户号码,从移动通信网络系统获取以该用户号码为主叫号码的话单日志,将话单日志中的被叫号码确定为该非法组织对应的疑似受害用户信息。
7.一种非法组织信息的确定装置,其特征在于,该装置包括:
获取单元,用于获取非法网站访问日志;
分析单元,用于分析非法网站访问日志,确定非法网站后台的访问地址;
过滤单元,用于基于非法网站后台的访问地址对非法网站访问日志进行过滤,得到访问非法网站后台的非法网站访问日志;
确定单元,用于根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息;
其中,所述非法网站访问日志包括所访问网页的主机名host、访问终端信息、访问终端所在基站位置信息、访问终端的用户号码;
所述确定单元,根据访问非法网站后台的非法网站访问日志,确定通过非法网站实施非法行为的非法组织信息,包括:
将访问非法网站后台的非法网站访问日志按照host分组;
对于每一非法网站访问日志分组,执行以下操作:
提取该分组内各非法网站访问日志包含的访问终端信息、基站位置信息、和用户号码;
针对提取的每一访问终端信息,从即时通信系统获取该访问终端对应的即时通信账号信息;
将划分该分组所基于的host,从该分组内的非法网站访问日志提取得到的访问终端信息列表、基站位置信息列表、用户号码列表、以及访问终端信息列表中各访问终端对应的即时通信账号信息列表确定为一个非法组织信息。
8.一种电子设备,其特征在于,该电子设备包括:处理器和存储器;
所述存储器,用于存储可被所述处理器执行的一个或多个计算机程序;所述处理器执行所述一个或多个计算机程序时实现如权利要求1至6中任一权项所述的非法组织信息的确定方法中的步骤。
9.一种非瞬时计算机可读存储介质,所述非瞬时计算机可读存储介质存储指令,其特征在于,所述指令在由处理器执行时使得所述处理器执行如权利要求1至6中任一权项所述的非法组织信息的确定方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011535425.4A CN112688939B (zh) | 2020-12-23 | 2020-12-23 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011535425.4A CN112688939B (zh) | 2020-12-23 | 2020-12-23 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112688939A CN112688939A (zh) | 2021-04-20 |
| CN112688939B true CN112688939B (zh) | 2023-04-11 |
Family
ID=75450930
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011535425.4A Active CN112688939B (zh) | 2020-12-23 | 2020-12-23 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112688939B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113839918A (zh) * | 2021-07-20 | 2021-12-24 | 广州数智网络科技有限公司 | 一种网络违法平台用户活动预警的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007156681A (ja) * | 2005-12-02 | 2007-06-21 | Shinji Kudo | インターネットの不正アクセス処理システム及び処理方法 |
| JP2009157552A (ja) * | 2007-12-26 | 2009-07-16 | Kansai Multimedia Service Co | アクセスログ解析方法とアクセスログ解析結果の利用方法 |
| JP2011150494A (ja) * | 2010-01-20 | 2011-08-04 | Katsuyoshi Nagashima | Ipアクセスログ解析装置およびその方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003032252A (ja) * | 2001-07-16 | 2003-01-31 | Ntt Comware Corp | 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 |
| JP2005202664A (ja) * | 2004-01-15 | 2005-07-28 | Mitsubishi Electric Corp | 不正アクセス統合対応システム |
| JP2006185279A (ja) * | 2004-12-28 | 2006-07-13 | Kan:Kk | アクセス元把握装置及びアクセス元把握方法 |
| CN101252592B (zh) * | 2008-04-14 | 2012-12-05 | 工业和信息化部电信传输研究所 | 一种ip网络的网络溯源方法和系统 |
| BR112016003033A2 (pt) * | 2013-08-14 | 2017-09-12 | Chien Daniel | avaliação de uma comunicação de rede questionável |
| CN104580436A (zh) * | 2014-12-29 | 2015-04-29 | 北京锐安科技有限公司 | 一种获取非法网站报表数据的方法和装置 |
| CN105357054B (zh) * | 2015-11-26 | 2019-01-29 | 上海晶赞科技发展有限公司 | 网站流量分析方法、装置和电子设备 |
| US10482437B2 (en) * | 2015-12-16 | 2019-11-19 | Mastercard International Incorporated | Systems and methods for identifying suspect illicit merchants |
| CN109688097B (zh) * | 2018-09-07 | 2023-03-24 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
| CN111292119A (zh) * | 2020-01-15 | 2020-06-16 | 杭州数澜科技有限公司 | 一种筛选疑似非法组织的方法和系统 |
-
2020
- 2020-12-23 CN CN202011535425.4A patent/CN112688939B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007156681A (ja) * | 2005-12-02 | 2007-06-21 | Shinji Kudo | インターネットの不正アクセス処理システム及び処理方法 |
| JP2009157552A (ja) * | 2007-12-26 | 2009-07-16 | Kansai Multimedia Service Co | アクセスログ解析方法とアクセスログ解析結果の利用方法 |
| JP2011150494A (ja) * | 2010-01-20 | 2011-08-04 | Katsuyoshi Nagashima | Ipアクセスログ解析装置およびその方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112688939A (zh) | 2021-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9569471B2 (en) | Asset model import connector | |
| CN110620753A (zh) | 反击对用户的计算设备的攻击的系统和方法 | |
| CN110113315B (zh) | 一种业务数据的处理方法及设备 | |
| Maggi | Are the con artists back? a preliminary analysis of modern phone frauds | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| CN106713579B (zh) | 一种电话号码识别方法及装置 | |
| CN105704685B (zh) | 一种短信安全处理方法及装置 | |
| CN103841123A (zh) | 号码信息获取方法和获取系统、云端号码信息系统 | |
| CN103581909B (zh) | 一种疑似手机恶意软件的定位方法及其装置 | |
| CN112416730A (zh) | 一种用户上网行为分析方法、装置、电子设备及存储介质 | |
| CN113938308A (zh) | 应用集群安全防护系统、方法、电子设备及存储介质 | |
| CN104135467A (zh) | 识别恶意网站的方法及装置 | |
| CN112688939B (zh) | 非法组织信息的确定方法、装置、电子设备及存储介质 | |
| CN107577550B (zh) | 一种确定访问请求的响应是否异常的方法及装置 | |
| CN108270754B (zh) | 一种钓鱼网站的检测方法及装置 | |
| CN115865525A (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN110740117A (zh) | 仿冒域名检测方法、装置、电子设备及存储介质 | |
| CN111935133A (zh) | 白名单生成方法及装置 | |
| CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 | |
| CN113051601A (zh) | 敏感数据识别方法、装置、设备和介质 | |
| CN113923011B (zh) | 一种网络诈骗的预警方法、装置、计算机设备及存储介质 | |
| CN108809909A (zh) | 数据处理方法及数据处理装置 | |
| CN113630399A (zh) | 基于网关实现的防钓鱼方法、设备及系统 | |
| CN105871937A (zh) | 数据处理的方法、装置及系统 | |
| CN114884671B (zh) | 服务器的入侵防御方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |