CN113591110A - 涉密请求甄别方法、系统、设备及计算机程序产品 - Google Patents
涉密请求甄别方法、系统、设备及计算机程序产品 Download PDFInfo
- Publication number
- CN113591110A CN113591110A CN202110848863.4A CN202110848863A CN113591110A CN 113591110 A CN113591110 A CN 113591110A CN 202110848863 A CN202110848863 A CN 202110848863A CN 113591110 A CN113591110 A CN 113591110A
- Authority
- CN
- China
- Prior art keywords
- request
- user request
- analysis result
- preset
- similarity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种涉密请求甄别方法、系统、设备及计算机程序产品,通过捕捉用户请求,并可从静态特征分析和密码规律相似度分析这两种方式中任选一种,或将两者进行结合,来对用户请求进行分析,得到对应分析结果,最后基于对应的分析结果来确定该用户请求是否为涉密请求,整个涉密请求的确定过程无需人为操作,系统捕捉到用户请求后就可自动按照上述流程进行甄别,然后直接得到甄别结果,从而降低了人工成本,具有更高的涉密请求甄别效率。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及涉密请求甄别方法、系统、设备及计算机程序产品。
背景技术
随着互联网技术的快速发展,用户账号密码信息泄露这一问题也逐渐成为当今互联网世界的一个焦点。黑客通过收集互联网已泄露的用户和密码信息,尝试批量登录其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。不法分子的撞库行为所造成的用户密码信息泄露往往会给服务商造成不可估量的经济及声誉损失。
在现有方式中,通常都是通过人工甄别的方式从用户请求中进行甄别,甄别出涉密请求,以便进一步确定出涉密请求是否对应撞库攻击行为,显然,在请求数目多的情况下,基于人工的涉密请求甄别效率并不高。
发明内容
本发明的主要目的在于提出一种涉密请求甄别方法、系统、设备及计算机程序产品,旨在解决现有的基于人工的涉密请求甄别方式的效率不高的技术问题。
为实现上述目的,本发明提供一种涉密请求甄别方法,所述涉密请求甄别方法包括:
捕捉用户请求;
选取所述用户请求中的静态特征进行分析,得到特征分析结果;和/或,分析所述用户请求对应在预设的密码学规律上的分布相似度;
基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求。
可选地,所述选取所述用户请求中的静态特征进行分析,得到特征分析结果的步骤包括:
从所述用户请求中选取统一资源定位符URL、请求体和/或响应体,作为所述静态特征;
分析所述URL中是否包含预设第一关键字、所述请求体是否满足预设参数条件,和/或所述响应体中是否包含预设第二关键字;
若所述URL中包含预设第一关键字、所述请求体满足预设参数条件和/或所述响应体中包含预设第二关键字,则对应生成第一分析结果以作为所述特征分析结果;
若所述URL中不包含预设第一关键字、所述请求体中不包含满足预设字符特征的字符,且所述响应体中不包含预设第二关键字,则对应生成第二分析结果以作为特征分析结果。
可选地,基于所述特征分析结果,所述基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求的步骤包括:
在所述特征分析结果为所述第一分析结果时,确定所述用户请求为涉密请求;
在所述特征分析结果为所述第二分析结果时,确定所述用户请求不为涉密请求,并对所述用户请求予以放行。
可选地,所述密码学规律包括长度分布规律和类型分布规律,
所述分析所述用户请求对应在预设的密码学规律上的分布相似度的步骤包括:
采用欧式距离算法确定所述用户请求分别在长度分布规律和类型分布规律上的第一相似度和第二相似度;
结合所述第一相似度和第二相似度得到所述分布相似度。
可选地,基于所述分布相似度,所述基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求的步骤包括:
判断所述分布相似度是否超出预设相似度阈值;
若是,则确定所述用户请求为涉密请求;
若否,则确定所述用户请求不为涉密请求。
可选地,所述基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求的步骤之后,还包括:
根据预设风险评估方式对所述涉密请求进行风险量化评估,得到评估结果;
根据所述评估结果确定所述涉密请求是否为撞库行为请求。
可选地,所述捕捉用户请求的步骤之后,还包括:
判断所述用户请求是否通过基于预设名单库的名单识别;
若否,则执行选取所述用户请求中的静态特征进行分析,得到特征分析结果的步骤。
此外,为实现上述目的,本发明还提供一种涉密请求甄别系统,所述涉密请求甄别系统包括:
用户请求获取模块,用于捕捉用户请求;
静态特征分析模块,用于选取所述用户请求中的静态特征进行分析,得到特征分析结果;和/或,
分布相似确定模块,用于分析所述用户请求对应在预设的密码学规律上的分布相似度;
涉密请求确定模块,用于基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求。
此外,为实现上述目的,本发明还提供一种涉密请求甄别设备,所述涉密请求甄别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的涉密请求甄别程序,所述涉密请求甄别程序被所述处理器执行时实现如上所述的涉密请求甄别方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有涉密请求甄别程序,所述涉密请求甄别程序被处理器执行时实现如上所述的涉密请求甄别方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述的涉密请求甄别方法的步骤。
本发明通过捕捉用户请求,并可从静态特征分析和密码规律相似度分析这两种方式中任选一种,或将两者进行结合,来对用户请求进行分析,得到对应分析结果,最后基于对应的分析结果来确定该用户请求是否为涉密请求,整个涉密请求的确定过程无需人为操作,系统捕捉到用户请求后就可自动按照上述流程进行甄别,然后直接得到甄别结果,从而降低了人工成本,具有更高的涉密请求甄别效率,因此解决了现有的基于人工的涉密请求甄别方式的效率不高的技术问题。同时,本发明所采取的方式较之现有的基于人工涉密请求甄别方式还具有更高的准确性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明涉密请求甄别方法第一实施例的流程示意图;
图3为本发明涉密请求甄别方法第二实施例中一具体实施例的特征识别流程示意图;
图4为本发明涉密请求甄别方法第二实施例中另一具体实施例的密码长度分布统计结果示意图;
图5为本发明涉密请求甄别方法第二实施例中另一具体实施例的密码类型分布统计结果示意图;
图6为本发明涉密请求甄别方法第二实施例中又一具体实施例的样本分析流程示意图;
图7为本发明涉密请求甄别系统的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
随着互联网技术的快速发展,用户账号密码信息泄露这一问题也逐渐成为当今互联网世界的一个焦点。黑客通过收集互联网已泄露的用户和密码信息,尝试批量登录其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。不法分子的撞库行为所造成的用户密码信息泄露往往会给服务商造成不可估量的经济及声誉损失。在现有方式中,通常都是通过人工甄别的方式从用户请求中进行甄别,甄别出涉密请求,以便进一步确定出涉密请求是否对应撞库攻击行为,显然,在请求数目多的情况下,基于人工的涉密请求甄别效率并不高。
为解决上述问题,本发明提供一种涉密请求甄别方法,即通过捕捉用户请求,并可从静态特征分析和密码规律相似度分析这两种方式中任选一种,或将两者进行结合,来对用户请求进行分析,得到对应分析结果,最后基于对应的分析结果来确定该用户请求是否为涉密请求,整个涉密请求的确定过程无需人为操作,系统捕捉到用户请求后就可自动按照上述流程进行甄别,然后直接得到甄别结果,从而降低了人工成本,具有更高的涉密请求甄别效率,因此解决了现有的基于人工的涉密请求甄别方式的效率不高的技术问题。同时,本发明所采取的方式较之现有的基于人工涉密请求甄别方式还具有更高的准确性。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
如图1所示,该涉密请求甄别系统可以包括:处理器1001,例如CPU,用户接口1003,网络接口1004,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的设备结构并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及涉密请求甄别程序。
在图1所示的设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(程序员端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的涉密请求甄别程序,并执行下述涉密请求甄别方法中的操作。
基于上述硬件结构,提出本发明涉密请求甄别方法实施例。
参照图2,图2为本发明涉密请求甄别方法第一实施例的流程示意图。所述涉密请求甄别方法包括;
步骤S10,捕捉用户请求;
步骤S20,选取所述用户请求中的静态特征进行分析,得到特征分析结果;和/或,
步骤S30,分析所述用户请求对应在预设的密码学规律上的分布相似度;
在本实施例中,本发明应用于涉密请求甄别系统(以下简称系统)。
用户请求指的是用户端发出的访问请求,具体可能是用户通过用户终端所发出的无关用户账号密码的常规访问请求,也可能是与用户账号密码相关的涉密请求。
静态特征具体可包括:参数名、参数值、响应体等。静态特征的分析方式可以是分析用户请求中的内容是否包含某些关键字,或是是否符合某些参数规律等。
密码学规律可以是关于密码的长度规律、组成类型规律等,分布相似度指的是用户请求中的参数信息与密码学规律之间的符合程度。
需要说明的是,虽然密码与个人的特性息息相关,单个样本具有很大的随机性,但是整体特征上存在一定的密码学规律。因此可预先通过获取外部开源密码数据库,对其中的近亿条公开测试密码数据进行统计实测,挖掘出多种密码学规律。
系统可以对同一用户请求同时或分别采用上述的静态特征识别和规律分布相似判定这两种方式,也可仅采用其中一种方式来确定其是否为涉密请求。
作为一具体实施例,系统以网络流量、用户日志为数据源,实时捕获用户请求。系统在获取到用户请求之后,从静态特征识别方式和密码规律相似度判别方式中选择其中一种,或是两种都采用,得到特征分析结果和/或特征相似度。
步骤S40,基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求。
在本实施例中,系统可通过三种方式来确定用户请求是否为涉密请求。
第一种,系统只需通过静态特征分析所得到的特征分析结果来进行判别,若特征分析结果满足涉密请求的相关要求,则确定该用户请求为涉密请求;若特征分析结果不满足涉密请求的相关要求,则确定该用户请求不为涉密请求,并可予以放行。
第二种,系统只需通过基于密码学规律的分布相似度来进行判别,若分布相似度满足涉密请求的相关要求,则确定该用户请求为涉密请求;若分布相似度不满足涉密请求的相关要求,则确定该用户请求不为涉密请求,并可予以放行。
第三种,系统需要结合静态特征分析和分布相似性这两种手段来进行联合判断。
作为一具体实施方式,系统分别获取到同一用户请求的特征分析结果和分布相似度,然后判断这两项是否至少有一项满足涉密请求的相关要求,若至少有一项满足,系统则确定该用户请求为涉密请求;若两项均不满足,系统则确定该用户请求不为涉密请求,并可予以放行。
作为另一具体实施方式,由于静态特征可能包含多项,因此系统可先通过静态特征分析的方式判断用户请求的特征分析结果是否满足涉密请求的相关条件,若多项静态特征中仅有部分满足条件,则将此用户请求作为待定请求,并继续通过相似度判别方式对待定请求进一步进行判别。
本实施例提供一种涉密请求甄别方法,通过捕捉用户请求,并可从静态特征分析和密码规律相似度分析这两种方式中任选一种,或将两者进行结合,来对用户请求进行分析,得到对应分析结果,最后基于对应的分析结果来确定该用户请求是否为涉密请求,整个涉密请求的确定过程无需人为操作,系统捕捉到用户请求后就可自动按照上述流程进行甄别,然后直接得到甄别结果,从而降低了人工成本,具有更高的涉密请求甄别效率,因此解决了现有的基于人工的涉密请求甄别方式的效率不高的技术问题。同时,本发明所采取的方式较之现有的基于人工涉密请求甄别方式还具有更高的准确性。
进一步地,基于上述图2所示的第一实施例,提出本发明涉密请求甄别方法的第二实施例。在本实施例中,步骤S20包括:
步骤S21,从所述用户请求中选取统一资源定位符URL、请求体和/或响应体,作为所述静态特征;
步骤S22,分析所述URL中是否包含预设第一关键字、所述请求体是否满足预设参数条件,和/或所述响应体中是否包含预设第二关键字;
步骤S23,若所述URL中包含预设第一关键字、所述请求体满足预设参数条件和/或所述响应体中包含预设第二关键字,则对应生成第一分析结果以作为所述特征分析结果;
步骤S24,若所述URL中不包含预设第一关键字、所述请求体中不包含满足预设字符特征的字符,且所述响应体中不包含预设第二关键字,则对应生成第二分析结果以作为特征分析结果。
在本实施例中,静态特征可为用户请求中的URL、请求体和响应体这三项中的任意一项或多项。预设第一关键字指的是用于判别用户请求中的URL的关键字,具体可为与登录操作相关的关键字。预设第二关键字指的是用于判别用户请求中的响应体的关键字,具体可包括“密码错”、“密码有误”等与登录响应相关的关键字。预设参数条件指的是用于判别用户请求中的请求体的参数条件。
系统既可仅对用户请求中的URL、用户请求中的请求体或用户请求中的响应体进行判别,也可对上述的任意两项或是三项进行判别。
具体地,如图3所示,系统可对上述三项均进行判别。对于URL,由于涉密请求中的URL中可能会包含与登录操作相关的关键字,因此可以判断用户请求中的URL中是否包含与登录操作相关的关键字;
对于请求体,由于涉密请求中请求体的参数名中可能会包含与用户名、密码相关的关键字,涉密请求中请求体的密码参数值长度一般位于6-32位,并且可能存在由数字或字母组成的弱密码,因此可根据与用户名、密码相关的关键字来对用户请求中请求体的参数名进行判别,和/或判别用户请求中请求体的参数值是否符合上述密码参数的特征。;
对于响应体,由于涉密请求的响应体中可能会包含“密码错”、“密码有误”等与登录响应有关的关键字,因此可根据这些关键字来对用户请求的响应体进行判别。
在得到三项分别的结果后,系统基于此判断用户请求是否为涉密请求,若是则采取后续处理方式,若否则予以放行。
第一分析结果即指的是至少满足一项条件的结果,第二分析结果即为所有条件都不满足的结果。
进一步地,基于所述特征分析结果,步骤S40包括:
步骤S411,在所述特征分析结果为所述第一分析结果时,确定所述用户请求为涉密请求;
步骤S412,在所述特征分析结果为所述第二分析结果时,确定所述用户请求不为涉密请求,并对所述用户请求予以放行。
在本实施例中,系统在判定特征分析结果为第一分析结果时,可确定当前的用户请求为涉密请求;系统在判定特征分析结果为第二分析结果时,可确定当前的用户请求不为涉密请求,因此不存在撞库攻击的安全威胁,对其予以放行。
作为另一具体实施方式,系统也可在检测倒特征分析结果为第一分析结果时,进一步对第一分析结果进行判别,若第一分析结果为URL、请求体和响应体这三项中仅有一项满足要求,则将当前的用户请求作为待定请求,需要借助其他方式对其进行涉密请求甄别(例如采用步骤S30中的方式继续判别);若第一分析结果为URL、请求体和响应体这三项中至少有两项满足要求,则直接将其确定为涉密请求。
进一步地,所述密码学规律包括长度分布规律和类型分布规律,步骤S30包括:
步骤S31,采用欧式距离算法确定所述用户请求分别在长度分布规律和类型分布规律上的第一相似度和第二相似度;
步骤S32,结合所述第一相似度和第二相似度得到所述分布相似度。
在本实施例中,长度分布规律指的是密码长度分布接近正态分布,具体地,如图4所示可认为主要集中在8(25.17%)、9(20.66%)、10(27.8%)。
类型分布规律指的是有些系统仅对密码长度而未对密码的组成进行限制,这类系统密码的组成符合一定的统计特征,具体地,如图5所示通过对测试密码库中密码的组成进行统计分析,这类系统密码组成主要为纯数字(16.8%)、纯字母(38.7%)、数字+字母(39.77%)这三类。
第一相似度指的是用户请求与长度分布规律之间的相似度,例如参数长度是否为8位、9位或10位,不同位数对应不同相似度;第二相似度指的是用户请求与类型分布规律之间的相似度,例如参数是否为纯数字,是否为纯字母、是否为数字字母组合,不同的组成类型也对应不同的相似度。
如图6所示,系统采用欧式距离算法计算当前的用户请求符合长度分布规律的程度作为第一相似度,并计算该用户请求符合类型分布规律的程度作为第二相似度,然后可直接将第一相似度和第二相似度相加作为分布相似度,也可将其加权求和得到的结果作为分布相似度,权重分配方式可根据实际需求灵活设置。系统根据分布相似度判断用户请求是否为涉密请求,若是则采取后续处理方式,若否则予以放行。
进一步地,基于所述分布相似度,步骤S40包括:
步骤S421,判断所述分布相似度是否超出预设相似度阈值;
步骤S422,若是,则确定所述用户请求为涉密请求;
步骤S423,若否,则确定所述用户请求不为涉密请求。
在本实施例中,预设相似度阈值可根据实际需求灵活设置。系统在得到分布相似度后,将其与预设相似度阈值进行比较,若系统判定分布相似度超出该阈值,则说明用户请求中的参数信息与用户账号密码的相似度较高,可将此用户请求认定为涉密请求;若系统判定分布相似度未超出该阈值,则说明用户请求中的参数信息与用户账号密码的相似度还比较低,可将此用户请求认定为非涉密请求,并即可予以放行。
进一步地,基于上述第一实施例,提出本发明涉密请求甄别方法的第三实施例。在本实施例中,步骤S40之后,还包括:
步骤S50,根据预设风险评估方式对所述涉密请求进行风险量化评估,得到评估结果;
步骤S60,根据所述评估结果确定所述涉密请求是否为撞库行为请求。
在本实施例中,预设风险评估方式既可以是对涉密请求中的某一风险项进行量化评估,也可以是对涉密请求中的多维度风险项进行量化评估。评估结果指的是涉密请求对应的一个或多个风险项的量化结果,例如时间风险项、IP终端风险项、历史终端风险项等,量化结果通常以具体数值或是百分比来表示。
具体地,系统按照预设的风险评估方式对每一个筛选出的涉密请求在时间风险项、IP终端风险项和历史终端风险项进行风险量化评估,得到量化后的各项分别对应的评估结果。而对于各项如何量化评估出对应的评估结果,系统可通过指定的信息库中已标注对应风险程度的特征数据,来对应到实际的涉密请求在该项上的风险评估结果。
系统在得到涉密请求的评估结果后,可根据评估结果来进一步确定该涉密请求是否就是撞库行为请求。具体地,若评估结果为仅针对某一风险项的结果,则系统可直接根据这一结果判断是否满足预设条件,若满足系统则判定该涉密请求为撞库行为请求;或是还结合该涉密请求在其他方面的特征信息得到一个综合评分,判断该综合评分是否满足预设条件,若满足系统则判定该涉密请求为撞库行为请求。
若评估结果中包含多个不同维度的风险项的结果,则系统可将这些不同未维度的结果进行综合(可直接求和或是加权求和),得到总风险值,然后直接判断该总风险值是否满足预设条件,若满足系统则判定该涉密请求为撞库行为请求;或是系统在得到总风险值之后,再将其与该涉密请求在其他方面的特征信息结合得到一个综合评分,判断该综合评分是否满足预设条件,若满足系统则判定该涉密请求为撞库行为请求。
本实施例通过采用预设风险评估方式对涉密请求进行风险评估,使得对涉密请求所具有的风险进行量化,并得到量化后的评估结果;最后通过该评估结果判断该涉密请求所具有的风险量化结果是否达到撞库行为对应的风险程度,以确定该涉密请求是否为撞库行为请求,整个过程无需人工操作,系统捕捉到用户请求后就可自动按照上述流程进行判别,然后直接得到判别结果,从而降低了人工成本,具有更高的撞库行为检测效率以及准确性。
进一步地,步骤S10之后,还包括:
步骤A1,判断所述用户请求是否通过基于预设名单库的名单识别;
步骤A2,若否,则执行选取所述用户请求中的静态特征进行分析,得到特征分析结果的步骤。
在本实施例中,系统在获取到用户请求后,可先利用预设的涉密相关的URL名单库对其用户请求中的URL进行识别,若系统利用名单库无法识别,再进入后续的判别流程;若利用名单库能够识别,则可直接将该用户请求认定为涉密请求。
如图7所示,本发明还提供一种涉密请求甄别系统,所述涉密请求甄别系统包括:
用户请求获取模块10,用于捕捉用户请求;
静态特征分析模块20,用于选取所述用户请求中的静态特征进行分析,得到特征分析结果;和/或,
分布相似确定模块30,用于分析所述用户请求对应在预设的密码学规律上的分布相似度;
涉密请求确定模块40,用于基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求。
可选地,所述静态特征分析模块20包括:
静态特征选取单元,用于从所述用户请求中选取统一资源定位符URL、请求体和/或响应体,作为所述静态特征;
静态特征分析单元,用于分析所述URL中是否包含预设第一关键字、所述请求体是否满足预设参数条件,和/或所述响应体中是否包含预设第二关键字;
第一结果生成单元,用于若所述URL中包含预设第一关键字、所述请求体满足预设参数条件和/或所述响应体中包含预设第二关键字,则对应生成第一分析结果以作为所述特征分析结果;
第二结果生成单元,用于若所述URL中不包含预设第一关键字、所述请求体中不包含满足预设字符特征的字符,且所述响应体中不包含预设第二关键字,则对应生成第二分析结果以作为特征分析结果。
可选地,所述基于所述特征分析结果,所述涉密请求确定模块40包括:
第一结果确定单元,用于在所述特征分析结果为所述第一分析结果时,确定所述用户请求为涉密请求;
第二结果确定单元,用于在所述特征分析结果为所述第二分析结果时,确定所述用户请求不为涉密请求,并对所述用户请求予以放行。
可选地,所述密码学规律包括长度分布规律和类型分布规律,所述分布相似确定模块30包括:
相似程度获取单元,用于采用欧式距离算法确定所述用户请求分别在长度分布规律和类型分布规律上的第一相似度和第二相似度;
相似程度结合单元,用于结合所述第一相似度和第二相似度得到所述分布相似度。
可选地,基于所述分布相似度,所述涉密请求确定模块40包括:
分布相似判断单元,用于判断所述分布相似度是否超出预设相似度阈值;
第一相似判定单元,用于若是,则确定所述用户请求为涉密请求;
第二相似判定单元,用于若否,则确定所述用户请求不为涉密请求。
可选地,所述涉密请求甄别系统还包括:
风险量化评估模块,用于根据预设风险评估方式对所述涉密请求进行风险量化评估,得到评估结果;
撞库行为确定模块,用于根据所述评估结果确定所述涉密请求是否为撞库行为请求。
可选地,所述涉密请求甄别系统还包括:
名单识别判断模块,用于判断所述用户请求是否通过基于预设名单库的名单识别;
后续流程进入模块,若否,则执行选取所述用户请求中的静态特征进行分析,得到特征分析结果的步骤。
本发明还提供一种涉密请求甄别设备。
所述涉密请求甄别设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的涉密请求甄别程序,其中所述涉密请求甄别程序被所述处理器执行时,实现如上所述的涉密请求甄别方法的步骤。
其中,所述涉密请求甄别程序被执行时所实现的方法可参照本发明涉密请求甄别方法的各个实施例,此处不再赘述。
本发明还提供一种计算机可读存储介质。
本发明计算机可读存储介质上存储有涉密请求甄别程序,所述涉密请求甄别程序被处理器执行时实现如上所述的涉密请求甄别方法的步骤。
其中,所述涉密请求甄别程序被执行时所实现的方法可参照本发明涉密请求甄别方法各个实施例,此处不再赘述。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述的涉密请求甄别方法的步骤。
其中,所述计算机程序被执行时所实现的方法可参照本发明涉密请求甄别方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种涉密请求甄别方法,其特征在于,所述涉密请求甄别方法包括:
捕捉用户请求;
选取所述用户请求中的静态特征进行分析,得到特征分析结果;和/或,
分析所述用户请求对应在预设的密码学规律上的分布相似度;
基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求。
2.如权利要求1所述的涉密请求甄别方法,其特征在于,所述选取所述用户请求中的静态特征进行分析,得到特征分析结果的步骤包括:
从所述用户请求中选取统一资源定位符URL、请求体和/或响应体,作为所述静态特征;
分析所述URL中是否包含预设第一关键字、所述请求体是否满足预设参数条件,和/或所述响应体中是否包含预设第二关键字;
若所述URL中包含预设第一关键字、所述请求体满足预设参数条件和/或所述响应体中包含预设第二关键字,则对应生成第一分析结果以作为所述特征分析结果;
若所述URL中不包含预设第一关键字、所述请求体中不包含满足预设字符特征的字符,且所述响应体中不包含预设第二关键字,则对应生成第二分析结果以作为特征分析结果。
3.如权利要求2所述的涉密请求甄别方法,其特征在于,基于所述特征分析结果,所述基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求的步骤包括:
在所述特征分析结果为所述第一分析结果时,确定所述用户请求为涉密请求;
在所述特征分析结果为所述第二分析结果时,确定所述用户请求不为涉密请求,并对所述用户请求予以放行。
4.如权利要求1所述的涉密请求甄别方法,其特征在于,所述密码学规律包括长度分布规律和类型分布规律,
所述分析所述用户请求对应在预设的密码学规律上的分布相似度的步骤包括:
采用欧式距离算法确定所述用户请求分别在长度分布规律和类型分布规律上的第一相似度和第二相似度;
结合所述第一相似度和第二相似度得到所述分布相似度。
5.如权利要求1所述的涉密请求甄别方法,其特征在于,基于所述分布相似度,所述基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求的步骤包括:
判断所述分布相似度是否超出预设相似度阈值;
若是,则确定所述用户请求为涉密请求;
若否,则确定所述用户请求不为涉密请求。
6.如权利要求1所述的涉密请求甄别方法,其特征在于,所述基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求的步骤之后,还包括:
根据预设风险评估方式对所述涉密请求进行风险量化评估,得到评估结果;
根据所述评估结果确定所述涉密请求是否为撞库行为请求。
7.如权利要求1-6任一项所述的涉密请求甄别方法,其特征在于,所述捕捉用户请求的步骤之后,还包括:
判断所述用户请求是否通过基于预设名单库的名单识别;
若否,则执行选取所述用户请求中的静态特征进行分析,得到特征分析结果的步骤。
8.一种涉密请求甄别系统,其特征在于,所述涉密请求甄别系统包括:
用户请求获取模块,用于捕捉用户请求;
静态特征分析模块,用于选取所述用户请求中的静态特征进行分析,得到特征分析结果;和/或,
分布相似确定模块,用于分析所述用户请求对应在预设的密码学规律上的分布相似度;
涉密请求确定模块,用于基于所述特征分析结果和/或所述分布相似度确定所述用户请求是否为涉密请求。
9.一种涉密请求甄别设备,其特征在于,所述涉密请求甄别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的涉密请求甄别程序,所述涉密请求甄别程序被所述处理器执行时实现如权利要求1至7中任一项所述的涉密请求甄别方法的步骤。
10.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的涉密请求甄别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110848863.4A CN113591110A (zh) | 2021-07-26 | 2021-07-26 | 涉密请求甄别方法、系统、设备及计算机程序产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110848863.4A CN113591110A (zh) | 2021-07-26 | 2021-07-26 | 涉密请求甄别方法、系统、设备及计算机程序产品 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113591110A true CN113591110A (zh) | 2021-11-02 |
Family
ID=78250411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110848863.4A Pending CN113591110A (zh) | 2021-07-26 | 2021-07-26 | 涉密请求甄别方法、系统、设备及计算机程序产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113591110A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065147A (zh) * | 2011-01-07 | 2011-05-18 | 深圳市易聆科信息技术有限公司 | 一种基于企业应用系统获取用户登录信息的方法及装置 |
| CN107347052A (zh) * | 2016-05-05 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 检测撞库攻击的方法及装置 |
| CN108092975A (zh) * | 2017-12-07 | 2018-05-29 | 上海携程商务有限公司 | 异常登录的识别方法、系统、存储介质和电子设备 |
| CN108090332A (zh) * | 2017-12-06 | 2018-05-29 | 国云科技股份有限公司 | 一种基于用户登录行为分析的风控方法 |
| CN110602030A (zh) * | 2019-05-16 | 2019-12-20 | 上海云盾信息技术有限公司 | 网络入侵阻断方法、服务器及计算机可读介质 |
| CN112153052A (zh) * | 2020-09-25 | 2020-12-29 | 北京微步在线科技有限公司 | 一种撞库攻击监测方法及系统 |
-
2021
- 2021-07-26 CN CN202110848863.4A patent/CN113591110A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065147A (zh) * | 2011-01-07 | 2011-05-18 | 深圳市易聆科信息技术有限公司 | 一种基于企业应用系统获取用户登录信息的方法及装置 |
| CN107347052A (zh) * | 2016-05-05 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 检测撞库攻击的方法及装置 |
| CN108090332A (zh) * | 2017-12-06 | 2018-05-29 | 国云科技股份有限公司 | 一种基于用户登录行为分析的风控方法 |
| CN108092975A (zh) * | 2017-12-07 | 2018-05-29 | 上海携程商务有限公司 | 异常登录的识别方法、系统、存储介质和电子设备 |
| CN110602030A (zh) * | 2019-05-16 | 2019-12-20 | 上海云盾信息技术有限公司 | 网络入侵阻断方法、服务器及计算机可读介质 |
| CN112153052A (zh) * | 2020-09-25 | 2020-12-29 | 北京微步在线科技有限公司 | 一种撞库攻击监测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108200054B (zh) | 一种基于dns解析的恶意域名检测方法及装置 | |
| CN106209488B (zh) | 用于检测网站攻击的方法和设备 | |
| CN107749859B (zh) | 一种面向网络加密流量的恶意移动应用检测方法 | |
| US9864855B2 (en) | Verification data processing method and device and storage medium | |
| KR20190019067A (ko) | 정보 유출 검출 방법 및 장치, 서버 및 컴퓨터 판독가능 저장 매체 | |
| CN110704816B (zh) | 接口破解的识别方法、装置、设备及存储介质 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN111191201A (zh) | 基于数据埋点的用户识别方法、装置、设备及存储介质 | |
| CN110955395A (zh) | 打印系统的风险评估方法、装置及存储介质 | |
| CN113704772B (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| CN112732693B (zh) | 智能化物联网数据采集方法、装置、设备及存储介质 | |
| CN118353690A (zh) | 基于多模态融合特征的异常网络流量检测系统及方法 | |
| CN110691090B (zh) | 网站检测方法、装置、设备及存储介质 | |
| CN105553982B (zh) | 路由器的安全检测方法、系统及路由器 | |
| CN111314326A (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
| CN113591110A (zh) | 涉密请求甄别方法、系统、设备及计算机程序产品 | |
| CN115987687A (zh) | 网络攻击取证方法、装置、设备及存储介质 | |
| CN111224890A (zh) | 一种云平台的流量分类方法、系统及相关设备 | |
| CN115664728A (zh) | 增强密码管理应用安全性的方法、装置、设备及存储介质 | |
| CN113591076A (zh) | 撞库行为检测方法、系统、设备及计算机程序产品 | |
| CN109636575B (zh) | 终端风险检测方法、装置、设备及可读存储介质 | |
| CN114499911A (zh) | 基于测试机的攻击用户识别方法、设备、存储介质及装置 | |
| Kozina et al. | A method for identifying Web applications | |
| KR101911517B1 (ko) | 개인정보 차단 관리 시스템 및 이의 동작 방법 | |
| CN116305130B (zh) | 基于系统环境识别的双系统智能切换方法、系统及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |