CN112702349A - 一种网络攻击防御方法、装置及电子招标投标交易平台 - Google Patents
一种网络攻击防御方法、装置及电子招标投标交易平台 Download PDFInfo
- Publication number
- CN112702349A CN112702349A CN202011562535.XA CN202011562535A CN112702349A CN 112702349 A CN112702349 A CN 112702349A CN 202011562535 A CN202011562535 A CN 202011562535A CN 112702349 A CN112702349 A CN 112702349A
- Authority
- CN
- China
- Prior art keywords
- behavior
- behavior feature
- user
- probability
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种网络攻击防御方法、装置及电子招标投标交易平台,解决了现有的网络防火墙难以适应快速变化的突击渗透式攻击的问题。所述网络攻击防御方法包括:采集并分析网络访问日志;将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率;基于相同用户的所有所述第一行为特征概率得到该用户的第二行为特征概率;基于所述第二行为特征概率识别目标用户,禁止所述目标用户访问网络。
Description
技术领域
本发明涉及网络防御技术领域,具体涉及一种网络攻击防御方法、装置及电子招标投标交易平台。
背景技术
现有的网络防御方法大多是从信息表现形式中抽取特征规则,然后使用规则过滤请求进行防御,虽然可以起到一定的安全防护作用,但也仅仅是针对常规攻击手段进行防御,由于人工监督学习规则成本高、规则更新周期长等原因,难以适应快速变化的突击渗透式攻击。
发明内容
有鉴于此,本发明提供了一种网络攻击防御方法、装置及电子招标投标交易平台,解决了现有的网络防火墙难以适应快速变化的突击渗透式攻击的问题。
本发明一实施例提供的一种网络攻击防御方法包括:采集并分析网络访问日志;
将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率;
基于相同用户的所有所述第一行为特征概率得到该用户的第二行为特征概率;
基于所述第二行为特征概率识别目标用户,禁止所述目标用户访问网络。
在一种实施方式中,还包括:归纳总结所有所述目标用户的第一行为特征概率,基于所述第一行为特征概率得到行为评价模型。
在一种实施方式中,基于相同用户的所有所述第一行为特征概率得到该用户的第二行为特征概率包括:
使用朴素贝叶斯算法,并按照最大熵原理对该用户赋予行为特征先验概率;
基于该用户的所有所述第一行为特征概率和所述行为特征先验概率,得到该用户的所述第二行为特征概率。
在一种实施方式中,基于所述第二行为特征概率识别目标用户包括:判断所述第二行为特征概率是否达到预设阈值,若是,则该用户为目标用户。
在一种实施方式中,禁止所述目标用户访问网络包括:将所述目标用户列入黑名单。
在一种实施方式中,包括:周期性地采集和分析所述访问日志,将分析结果输入行为评价模型,基于所述分析结果得到每个用户的不同行为特征的第一行为特征概率,并将所述第一行为特征概率作为行为特征后验概率带入朴素贝叶斯算法中修正所述行为特征先验概率。
在一种实施方式中,行为特征包括:请求时点、请求频率、请求间隔、资源信息熵、资源类型信息熵、请求参数信息熵、资源黑名单、资源类型黑名单、动作序列、请求客户端、请求方法和响应情况中的至少一种。
本发明一实施例提供一种网络攻击防御装置,包括:
采集解析模块,作用为采集并分析网络访问日志;
行为判定模块,作用为将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率;基于相同用户的所有所述第一行为特征概率得到该用户的第二行为特征概率;基于所述第二行为特征概率识别目标用户;
防御模块,作用为禁止所述目标用户访问网络。
在一种实施方式中,所述行为判定模块进一步作用为:
使用朴素贝叶斯算法,并按照最大熵原理对该用户赋予行为特征先验概率;
基于该用户的所有所述第一行为特征概率和所述行为特征先验概率,得到该用户的所述第二行为特征概率。
本发明一实施例提供一种电子招标投标交易平台,所述电子招标投标交易平台采用上述上述任一所述的网络攻击防御方法对网络攻击进行防御。
在一种实施方式中,所述电子招标投标交易平台的出口上设置有反向代理服务器。
本发明一实施例提供一种电子设备,其特征在于,包括存储器和处理器,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现上述任一所述的网络攻击防御方法。
本发明一实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现上述任一所述的网络攻击防御方法。
本发明实施例提供的一种网络攻击防御方法、装置及电子招标投标交易平台,所述网络攻击防御方法包括:采集并分析网络访问日志;将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率;基于相同用户的所有所述第一行为特征概率得到该用户的第二行为特征概率;基于所述第二行为特征概率识别目标用户,禁止所述目标用户访问网络。本发明通过还原不同用户的行为模式对用户行为进行鉴别,实现了无人监督的自动防御,从而达到了提高网络防御已知和未知攻击能力的目的,降低了网络的安全风险。
附图说明
图1所示为本发明一实施例提供的一种网络攻击防御方法的流程示意图。
图2所示为本发明一实施例提供的一种网络攻击防御装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
通常情况下,网络平台会面对正常用户、攻击者和网络爬虫等三大类“访客”。研究行为特征识别的目的,就是从海量的访问请求中识别出哪些请求背后的访客是正常用户,哪些是攻击者,哪些是网络爬虫。虽然,攻击者或网络爬虫可能会刻意伪装成“正常用户”,但是由于目标不同,无论如何伪装,都不可能改变其行为特征的本质。因此,鉴于用户行为特征的稳定性,我们可以通过归纳法总结出不同用户群体的行为特征,然后根据行为特征对请求进行分类,并采取相应的措施。
每个用户的访问行为可以从时间、资源、动作序列、客户端、请求方法及响应中的至少一种方面进行描述,其中,每个行为又可以分成不同的维度,参考如下:
时间访问行为是用户访问网络平台的时间特征。时间访问行为可以体现在请求时点、请求频率和请求间隔中的至少一种上。其中,请求时点,是指用户请求资源的时间点。由正常用户发起的访问请求,通常与普通人的作息习惯强相关。比方说,正常的用户一般不会在凌晨两三点大量访问网络平台。请求频率,是指在一段时间内请求资源的次数。可以根据需要设定不同的考核时段。例如,每秒钟,每分钟,每小时或每天。正常用户对网络平台的访问频率虽然在不同时间会有所差异,但通常情况下会保持在一个合理的范围之内。比方说,某个用户在一秒钟之内请求了上百次,由于这个频率已经超出了人所能达到的极限,因此基本可以判定为攻击。请求间隔,是指一次会话中各次请求间隔的平均值或中位数。请求间隔与请求是攻击的概率成反比,即请求间隔越小,该请求是攻击的概率越高。所谓会话是指一组连续的访问交互。不同的网络平台可以根据自身特点来设置不同的会话判别规则。比方说,访问量比较大的标网络平台,可以将间隔超过10分钟作为切分会话的标准,即间隔小于10分钟的请求,会被认为是同一次会话中发起的连续请求;访问量比较小的网络平台可以将间隔超过一小时,作为切分会话的标准。为了提高判别的精度,同一个网络平台也可以在不同的时间段设置不同的判别标准。
资源访问行为能够反映出用户的意图。比方说,大量试图访问一些网络平台并不存在资源的行为,极有可能是攻击。基于规则的防御策略,往往是构建在固定的资源描述方式基础之上的。一旦资源的描述方式有所改变,策略就会失效。而建立在资源多样性之上的防御策略,无论资源描述方式如何变化,都可以持久有效地发挥作用。资源访问行为可以体现在资源信息熵、资源类型信息熵、请求参数信息熵、资源和资源类型黑名单中的至少一种上。其中,资源信息熵,是指所请求资源的多样性。请求资源是指不包含请参数的URI。同一个用户。每个用户所请求资源的信息熵都会有其特点。比方说,普通访客可能会访问网络平台上某种类型的招标公告,但是一般不会逐个浏览。授权用户访问业务功能的路径基本保持一致,所以资源信息熵应该会保持在一个相对稳定的区间。资源类型信息熵,是指所请求资源类型的多样性。资源类型是指URI中最细一级资源的文件扩展名。通常情况下,一个网络平台所提供的资源类型往往是有限的,所以资源类型信息上会保持在一个比较稳定的水平,然而攻击者极有可能会不断地尝试不同的资源类型,从而导致资源类型信息熵会超出正常水平。请求参数信息熵,是指请求资源时提供的参数的多样性。包括url中的querystring、params和fragment等。网络平台上线之后,除非大的改造升级,否则不同资源的请求参数多样性会保持在一个特定的水平。与该水平不一致的请求是攻击的可能性会比较大。与直接检查参数的名称及顺序相比,检查信息熵具有更强的适应性,不会因为小的优化升级导致防御策略失效。资源和资源类型黑名单,是指为典型的攻击请求建立黑名单机制。该机制采取一票否决制。即只要一请求黑名单中资源或资源类型,立刻就会触发防御机制。每个网络平台可以根据自身的特点动态维护和管理资源及资源类型黑名单。
动作序列访问行为是指用户与系统交互的操作过程,可以反映出用户的特点。为了实现业务目的,网络平台都会要求用户按照特定的路径来访问系统,否则网络平台无法保证业务功能的正确性,正因为如此,可以通过访问路径来判别一个请求,是来自于正常用户还是攻击者。
客户端访问行为是指用户访问系统时所使用的浏览器,即请求头中的user-agent参数。每一种正规的浏览器都有其特定的标识。在用户请求网络平台时,这个标识将通过user-agent参数提交到网络平台。通常情况下,正常访问用户的浏览器客户端是比较规范和稳定的,如果访问请求提交的客户端特征信息不规范或者过于多样,那么该请求来自于攻击者的概率会比较大。
请求访问行为是指用户向网络平台提交请求时使用的HTTP方法。一般的正常用户通常使用GET或POST,而攻击者则有可能尝试其他的方法。
响应访问行为是指用户请求网络平台后,服务器返回的信息,包括状态,资源大小和处理耗时等。
行为模式是指人们有规律的行事方式,是行为内容和方式的定型化表现形式,是内在特征的“外化”表现,可以体现出人们的行事逻辑和行为特点。从微观上讲,就像不存在两片相同的叶子一样,每个人都有其独特的行为模式;从宏观来看,一群人的行为模式又有相同或相似之处。
参见表一,正常用户访问网络是正常获取信息和进行操作,所以基本上会按照网络平台约定好的规则行事。所以,其行为模式与正常行为保持高度的相关性。可选地,正常用户的行为特征和行为特点参见表一所示。
表一:
攻击者请求网络平台的目的,是神不知鬼不觉地窃取数据。其行为最大的特点是“出其不意”“不断试探”和“不守规矩”;可选地,攻击者的行为特征和行为特点参见表二所示。
表二:
网络爬虫是指可以自动从网站上爬取信息的程序。网络爬虫给网站带来的危害主要体现在两个方面:一是被爬取的信息存在被误用或滥用的风险;二是毫无节制的爬取行为会给网站带来了沉重的负担。可选地,网络爬虫的行为特征和行为特点参见表三所示。
表三:
实施例一:
图1所示为本发明一实施例提供的一种网络攻击防御方法的流程示意图。
参考图1,本实施例提供了一种网络攻击的防御方法,所述网络攻击的防御方法包括:
步骤S01:采集并分析网络访问日志。采集网络的原始访问日志文本,并解析访问日志,解析后的访问日志具有按照用户IP分组的结构化数据。
步骤S02:将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率。其中,在将分析结果输入行为评价模型之前还要建立行为评价模型,可选地,建立行为评价模型的方法包括:归纳总结所有所述目标用户的第一行为特征概率,基于所述第一行为特征概率得到行为评价模型。
基于上述对目标用户的行为特征的分析,不难看出他们的行为特征存在较明显的差异。因此,可以从访问请求中还原“用户”的行为,然后与评价模型中的行为特征进行对比,从而区分出目标用户。可选地,目标用户包括正常用户、攻击者和网络爬虫中的至少一种,除此之外,目标用户还可以包括其他类型的用户,本发明对目标用户的具体类型不做限定。
可以理解,行为特征包括:请求时点、请求频率、请求间隔、资源信息熵、资源类型信息熵、请求参数信息熵、资源黑名单、资源类型黑名单、动作序列、请求客户端、请求方法和响应情况中的至少一种,除此之外,根据实际的需求还可以包括其它的行为特征等,本发明对行为特征的具体类型不做限定。
可选地,根据对数百万条访问日志的深入研究,归纳总结出正常用户、攻击者和爬虫的不同行为特征的第一行为特征概率,可供参考。详情见下表四:
表四:
步骤S03:基于相同用户的所有所述第一行为特征概率得到该用户的第二行为特征概率。其中,基于相同用户的所有所述第一行为特征概率得到该用户的第二行为特征概率包括:使用朴素贝叶斯算法,并按照最大熵原理对该用户赋予行为特征先验概率;基于该用户的所有所述第一行为特征概率和所述行为特征先验概率,得到该用户的所述第二行为特征概率。将访问日志的分析结果作为行为评价模型的输入,输出的是每一个用户的不同行为特征的第一行为特征概率,然后将同一个用户的所有行为特征的第一行为特征概率进行整合,使用朴素贝叶斯算法,并按照最大熵原理得到该用户的所述第二行为特征概率。将同一个用户的所有行为特征的第一行为特征概率按照最大熵原理赋予行为特征先验概率,然后使用朴素贝叶斯算法根据该用户的行为特征的特点对行为特征先验概率进行调整最终得到该用户的所述第二行为特征概率。
步骤S04:基于所述第二行为特征概率识别目标用户,禁止所述目标用户访问网络。
可选地,在预设时间间隔内,需重复执行上述步骤S01~S04,以便及时识别目标用户并禁止其访问网络,最大限度地减少目标用户的攻击。可以理解的是,预设时间间隔可以为1小时,1天或者2天等,预设时间间隔可以根据实际的情况进行设定,本发明对预设时间间隔的具体时长不做限定。
可选地,基于所述第二行为特征概率识别目标用户包括:判断所述第二行为特征概率是否达到预设阈值,若是,则该用户为目标用户。虽然每个网络平台所面对的情况有所不同,但是并不影响本方法的执行。在实际工作中,每个网络平台需要根据自身特点,总结不同用户在某种具体情况下的第二行为特征概率,并设定判定攻击概率或爬虫概率的预设阈值。比方说,可以将预设阈值设定为90%,即当第二行为特征概率超过90%时,将用户定性为目标用户(攻击者或网络爬虫)。
禁止所述目标用户访问网络包括将所述目标用户列入黑名单。当第二行为特征概率超过预设阈值,则判定该用户的请求为攻击,将该用户的IP地址列入黑名单,禁止来自该用户IP地址的后续请求。
除上述步骤之外,本发明所述的网络攻击防御方法还包括:周期性地采集和分析所述访问日志,将分析结果输入行为评价模型,基于所述分析结果得到每个用户的不同行为特征的第一行为特征概率,并将所述第一行为特征概率作为行为特征后验概率带入朴素贝叶斯算法中修正所述行为特征先验概率。采用上述方法步骤可以不断的完善目标用户的识别过程,提高用户身份识别的准确性。
本发明所述的方法通过行为评价模型得到每个用户的不同行为特征的第一行为特征概率,然后基于第一行为特征概率计算得到第二行为特征概率,且当第二行为特征概率超过预设阈值时,则判定该用户的请求为攻击,将该用户列入黑名单,禁止来自该用户的的后续请求。该方法与现有技术的最大区别在于,依托行为模式和信息本身,而非信息的外在表现形式,通过还原不同用户的行为模式对用户行为进行鉴别,实现了无人监督的自动防御,从而达到了提高网络防御已知和未知攻击能力的目的,降低了网络的安全风险。
实施例二:
图2所示为本发明一实施例提供的一种网络攻击防御装置的结构示意图。
参考图2,本发明一实施例中提供一种网络攻击防御装置100,所述网络攻击防御装置100包括:采集解析模块10、行为判定模块20和防御模块30。其中,采集解析模块10的作用为采集并分析网络访问日志;行为判定模块20的作用为将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率;基于相同用户的所有所述第一行为特征概率得到该用户的第二行为特征概率;基于所述第二行为特征概率识别目标用户;防御模块30的作用为禁止所述目标用户访问网络。
所述行为判定模块20的作用还包括:1、归纳总结所有所述目标用户的第一行为特征概率,基于所述第一行为特征概率得到行为评价模型。2、使用朴素贝叶斯算法,并按照最大熵原理对该用户赋予行为特征先验概率;基于该用户的所有所述第一行为特征概率和所述行为特征先验概率,得到该用户的所述第二行为特征概率。3、判断所述第二行为特征概率是否达到预设阈值,若是,则该用户为目标用户。4、周期性地采集和分析所述访问日志,将分析结果输入行为评价模型,基于所述分析结果得到每个用户的不同行为特征的第一行为特征概率,并将所述第一行为特征概率作为行为特征后验概率带入朴素贝叶斯算法中修正所述行为特征先验概率。
其中,采集解析模块10采集到网络访问日志后,对网络访问日志进行分析;行为判定模块20将分析结果输入行为评价模型,基于分析结果分别得到每个用户的不同行为特征的第一行为特征概率,然后使用朴素贝叶斯算法,按照最大熵原理对该用户赋予行为特征先验概率,最后基于该用户的所有所述第一行为特征概率和所述行为特征先验概率,得到该用户的所述第二行为特征概率,并判断第二行为特征概率是否达到预设阈值,若第二行为特征概率达到预设阈值,则判定该用户为目标用户;防御模块30将目标用户列入黑名单,禁止其访问该网络平台。
本发明中所述的网络攻击防御装置依托于行为模式和信息本身,而非信息的外在表现形式,通过还原不同用户的行为模式对用户行为进行鉴别,实现了无人监督的自动防御,从而达到了提高网络防御已知和未知攻击能力的目的,降低了网络的安全风险。
实施例三:
本实施例中提供一种电子招标投标交易平台,所述电子招标投标交易平台采用上述实施例一种所述的网络攻击防御方法对网络攻击进行防御。具体地,步骤如下:
步骤一:采集并分析所述电子招标投标交易平台访问日志;
步骤二:将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率;
步骤三:基于同一个用户的所有所述第一行为特征概率得到该用户的第二行为特征概率;
步骤四:基于所述第二行为特征概率识别目标用户,禁止所述目标用户访问电子招标投标交易平台。
其中,具体的方法方法在实施例一中有详细的说明,在此不在赘述。
该电子招标投标交易平台的出口上设置有反向代理服务器。可选地,反向代理服务器可以为nginx,其中,nginx为负责将互联网请求转发到内网服务器的反向代理服务器。使用Python语言开发了主动防御工具,并与nginx共同部署于平台的互联网出口。可选地,电子招标投标交易平台并不局限于必须在互联网出口上部署nginx,在能够记录访问日志的统一访问入口的前提下,本发明对是否在互联网出口上部署nginx不做限定。
本发明中所述的电子招标投标交易平台依托于行为模式和信息本身,而非信息的外在表现形式,通过还原不同用户的行为模式对用户行为进行鉴别,实现了无人监督的自动防御,从而达到了提高电子招标投标交易平台防御已知和未知攻击能力的目的,降低了电子招标投标交易平台的安全风险。
实施例四:
本实施例提供了一种电子设备,该电子设备可以包括存储器和处理器,所述存储器上存储有计算机程序,该计算机程序被处理器执行时实现如实施例一种所述的网络攻击防御方法。可以理解,电子设备还可以包括,输入/输出(I/O)接口,以及通信组件。
其中,处理器用于执行如实施例一中的网络攻击的防御方法。中的全部或部分步骤。存储器用于存储各种类型的数据,这些数据例如可以包括电子设备中的任何应用程序或方法的指令,以及应用程序相关的数据。
所述处理器可以是专用集成电路(Application Specific Integrated Cricuit,简称ASIC)、数字信号处理器(Digital Signal Processor,简称DSP)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable GateArray,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述实施例一中的网络攻击的防御方法。
所述存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memery,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
实施例五:
本实施例还提供一种计算机可读存储介质。在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
而前述的存储介质包括:闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、APP应用商城等等各种可以存储程序校验码的介质,其上存储有计算机程序,所述计算机程序被处理器执行时可以实现如下方法步骤:
步骤S01:采集并分析网络访问日志;
步骤S02:将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率;
步骤S03:基于同一个用户的所有所述第一行为特征概率得到该用户的第二行为特征概率;
步骤S04:基于所述第二行为特征概率识别目标用户,禁止所述目标用户访问网络。
具体的实施方式和产生的效果可以参考实施例一中所述,本发明在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上结合具体实施例描述了本申请的基本原理,但是,需要指出的是,在本申请中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本申请的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本申请为必须采用上述具体的细节来实现。
本申请中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。
还需要指出的是,在本申请的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此,本申请不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。本申请实施例中所有方向性指示(诸如上、下、左、右、前、后、顶、底……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
另外,在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换等,均应包含在本发明的保护范围之内。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换等,均应包含在本发明的保护范围之内。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种网络攻击防御方法,其特征在于,包括:
采集并分析网络访问日志;
将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率;
基于同一个用户的所有所述第一行为特征概率得到该用户的第二行为特征概率;
基于所述第二行为特征概率识别目标用户,禁止所述目标用户访问网络。
2.根据权利要求1所述的网络攻击防御方法,其特征在于,还包括:归纳总结所有所述目标用户的第一行为特征概率,基于所述第一行为特征概率得到行为评价模型。
3.根据权利要求1所述的网络攻击防御方法,其特征在于,基于同一个用户的所有所述第一行为特征概率得到该用户的第二行为特征概率包括:
使用朴素贝叶斯算法,并按照最大熵原理对该用户赋予行为特征先验概率;
基于该用户的所有所述第一行为特征概率和所述行为特征先验概率,得到该用户的所述第二行为特征概率。
4.根据权利要求1所述的网络攻击防御方法,其特征在于,基于所述第二行为特征概率识别目标用户包括:判断所述第二行为特征概率是否达到预设阈值,若是,则该用户为目标用户。
5.根据权利要求1所述的网络攻击防御方法,其特征在于,禁止所述目标用户访问网络包括:将所述目标用户列入黑名单。
6.根据权利要求3所述的网络攻击防御方法,其特征在于,包括:周期性地采集和分析所述访问日志,将分析结果输入行为评价模型,基于所述分析结果得到每个用户的不同行为特征的第一行为特征概率,并将所述第一行为特征概率作为行为特征后验概率带入朴素贝叶斯算法中修正所述行为特征先验概率。
7.根据权利要求1所述的网络攻击防御方法,其特征在于,行为特征包括:请求时点、请求频率、请求间隔、资源信息熵、资源类型信息熵、请求参数信息熵、资源黑名单、资源类型黑名单、动作序列、请求客户端、请求方法和响应情况中的至少一种。
8.一种网络攻击防御装置,其特征在于,包括:
采集解析模块,作用为采集并分析网络访问日志;
行为判定模块,作用为将分析结果输入行为评价模型,基于所述分析结果分别得到每个用户的不同行为特征的第一行为特征概率;基于相同用户的所有所述第一行为特征概率得到该用户的第二行为特征概率;基于所述第二行为特征概率识别目标用户;
防御模块,作用为禁止所述目标用户访问网络。
9.根据权利要求8所述的网络攻击防御装置,其特征在于,所述行为判定模块进一步作用为:
使用朴素贝叶斯算法,并按照最大熵原理对该用户赋予行为特征先验概率;
基于该用户的所有所述第一行为特征概率和所述行为特征先验概率,得到该用户的所述第二行为特征概率。
10.一种电子招标投标交易平台,其特征在于,所述电子招标投标交易平台采用上述权利要求1-7任一所述的网络攻击防御方法对网络攻击进行防御。
11.根据权利要求10所述的电子招标投标交易平台,其特征在于,所述电子招标投标交易平台的互联网出口设置有反向代理服务器。
12.一种电子设备,其特征在于,包括存储器和处理器,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求1-7任一所述的网络攻击防御方法。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如权利要求1-7任一所述的网络攻击防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011562535.XA CN112702349B (zh) | 2020-12-25 | 2020-12-25 | 一种网络攻击防御方法、装置及电子招标投标交易平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011562535.XA CN112702349B (zh) | 2020-12-25 | 2020-12-25 | 一种网络攻击防御方法、装置及电子招标投标交易平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112702349A true CN112702349A (zh) | 2021-04-23 |
| CN112702349B CN112702349B (zh) | 2023-06-23 |
Family
ID=75510610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011562535.XA Active CN112702349B (zh) | 2020-12-25 | 2020-12-25 | 一种网络攻击防御方法、装置及电子招标投标交易平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112702349B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116436698A (zh) * | 2023-06-08 | 2023-07-14 | 深圳宏途教育网络科技有限公司 | 一种智慧校园网络安全防护系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911675A (zh) * | 2017-02-09 | 2017-06-30 | 中国移动通信集团设计院有限公司 | 一种手机恶意软件预警方法和装置 |
| CN106911668A (zh) * | 2017-01-10 | 2017-06-30 | 同济大学 | 一种基于用户行为模型的身份认证方法及系统 |
| CN108234463A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于多维行为模型的用户风险评估与分析方法 |
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
-
2020
- 2020-12-25 CN CN202011562535.XA patent/CN112702349B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911668A (zh) * | 2017-01-10 | 2017-06-30 | 同济大学 | 一种基于用户行为模型的身份认证方法及系统 |
| CN106911675A (zh) * | 2017-02-09 | 2017-06-30 | 中国移动通信集团设计院有限公司 | 一种手机恶意软件预警方法和装置 |
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| CN108234463A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于多维行为模型的用户风险评估与分析方法 |
| CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116436698A (zh) * | 2023-06-08 | 2023-07-14 | 深圳宏途教育网络科技有限公司 | 一种智慧校园网络安全防护系统 |
| CN116436698B (zh) * | 2023-06-08 | 2023-09-05 | 深圳宏途教育网络科技有限公司 | 一种智慧校园网络安全防护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112702349B (zh) | 2023-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11743290B2 (en) | System and method for detecting cyberattacks impersonating legitimate sources | |
| US8438386B2 (en) | System and method for developing a risk profile for an internet service | |
| US10728279B2 (en) | Detection of remote fraudulent activity in a client-server-system | |
| US9576145B2 (en) | Alternate files returned for suspicious processes in a compromised computer network | |
| US8850567B1 (en) | Unauthorized URL requests detection | |
| US8806622B2 (en) | Fraudulent page detection | |
| CN108282440B (zh) | 一种安全检测方法、安全检测装置及服务器 | |
| US20230040895A1 (en) | System and method for developing a risk profile for an internet service | |
| US20080222299A1 (en) | Method for preventing session token theft | |
| CA2501266A1 (en) | Detecting and blocking spoofed web login pages | |
| Leukfeldt | Comparing victims of phishing and malware attacks: Unraveling risk factors and possibilities for situational crime prevention | |
| US20210099484A1 (en) | Phishing website detection | |
| US20070245343A1 (en) | System and Method of Blocking Keyloggers | |
| WO2018066000A1 (en) | System and method to detect and block bot traffic | |
| Kigerl | Routine activity theory and malware, fraud, and spam at the national level | |
| TW201928750A (zh) | 比對伺服器、比對方法及電腦程式 | |
| CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN107231383B (zh) | Cc攻击的检测方法及装置 | |
| Massa et al. | A fraud detection system based on anomaly intrusion detection systems for e-commerce applications | |
| CN108282443B (zh) | 一种爬虫行为识别方法和装置 | |
| CN112702349B (zh) | 一种网络攻击防御方法、装置及电子招标投标交易平台 | |
| KR101428725B1 (ko) | 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법 | |
| McKenna | Detection and classification of Web robots with honeypots | |
| CN113923039B (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
| Mezzour et al. | Global variation in attack encounters and hosting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |