CN113923048B - 网络攻击行为识别方法、装置、设备及存储介质 - Google Patents
网络攻击行为识别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113923048B CN113923048B CN202111322748.XA CN202111322748A CN113923048B CN 113923048 B CN113923048 B CN 113923048B CN 202111322748 A CN202111322748 A CN 202111322748A CN 113923048 B CN113923048 B CN 113923048B
- Authority
- CN
- China
- Prior art keywords
- user
- login
- network attack
- behavior
- serial number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供网络攻击行为识别方法、装置、设备及存储介质。该方法包括获取用户登录目标应用程序时的至少一种用户登录认证信息,用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息;获取预先配置的至少一种网络攻击行为识别策略;确定与每种网络攻击行为识别策略匹配的用户登录认证信息;采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。由于对网络攻击行为识别策略中使用的用户登录认证信息的伪造难度大,并且可以采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,因此可以提高识别网络攻击行为的准确率。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种网络攻击行为识别方法、装置、设备及存储介质。
背景技术
在互联网开放的环境下,各电商平台经常遇到网络黑产攻击及网络刷单的困扰,对平台运营秩序、平台信誉都会产生较大影响。其中识别网络黑产攻击行为是各大电商平台重点识别的网络攻击行为。
目前对网络黑产攻击行为识别的方法在识别防御一般特征的黑产时会有一定效果,但由于常规防御手段只依赖禁止名单和简单人工规则,导致常规防御手段的灵活性不足,很难应对复杂情况,在遇到技术更新迭代更快的网络攻击行为时,往往出现漏杀、误杀现象,常规防御手段难以准确识别网络攻击行为。
因此,亟需提供一种网络攻击行为识别能力的方法,用以提升对网络攻击行为识别的准确率,增加对网络攻击行为的识别与防范。
发明内容
本申请提供一种网络攻击行为识别方法、装置、设备及存储介质,用以提升识别网络攻击行为的准确率。
第一方面,本申请提供一种网络攻击行为识别方法,包括:
获取用户登录目标应用程序时的至少一种用户登录认证信息,所述用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息;
获取预先配置的至少一种网络攻击行为识别策略;
确定与每种网络攻击行为识别策略匹配的用户登录认证信息;
采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。
第二方面,本申请提供一种网络攻击行为识别装置,包括:
第一获取模块,用于获取用户登录目标应用程序时的至少一种用户登录认证信息,所述用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息;
第二获取模块,用于获取预先配置的至少一种网络攻击行为识别策略;
确定模块,用于确定与每种网络攻击行为识别策略匹配的用户登录认证信息;
识别模块,用于采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。
第三方面,本申请提供一种网络攻击行为识别装置,包括:
处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现上述所述网络攻击行为识别方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现上述所述的网络攻击行为识别方法。
本申请提供的网络攻击行为识别方法、装置、设备及存储介质,通过获取用户登录目标应用程序时的至少一种用户登录认证信息,所述用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息;获取预先配置的至少一种网络攻击行为识别策略;确定与每种网络攻击行为识别策略匹配的用户登录认证信息;采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。由于对网络攻击行为识别策略中使用的用户登录认证信息的伪造难度大,因此可以更准确的识别用户是否存在网络攻击行为,从而提高识别网络攻击行为的准确率。并且可以采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,可以更全面的识别用户是否存在网络攻击行为,有效防止漏杀现象。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请提供的一种网络架构示意图;
图2为本申请实施例一提供的网络攻击行为识别方法流程图;
图3为本申请实施例二提供的网络攻击行为识别方法流程图;
图4为本申请实施例二提供的一种确定用户是否存在登录绕行行为的流程图;
图5为本申请实施例三提供的网络攻击行为识别方法流程图;
图6为本申请实施例四提供的网络攻击行为识别方法流程图;
图7为本申请实施例五提供的网络攻击行为识别方法流程图;
图8为本申请实施例六提供的网络攻击行为识别方法流程图;
图9为本申请实施例七提供的网络攻击行为识别装置的结构示意图;
图10为本申请实施例八提供的网络攻击行为识别装置的结构示意图;
图11为本申请实施例九提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。在以下各实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
首先对本发明所涉及的现有技术进行详细说明及分析。
在互联网开放的环境下,各电商平台经常遇到互联网黑产攻击的困扰,对平台运营秩序、平台信誉都会产生较大影响。其中识别网络黑产攻击行为是各大电商平台重点识别的网络攻击行为。
示例性地,网络黑产攻击行为可以通过刷榜刷单、商品评论广告导流、机器秒杀特价商品、虚假交易套利等方式危害电商平台。例如,电商平台定时举办活动,并通过秒杀方式向用户派发优惠券,吸引用户参与活动,增加用户对电商平台的粘性,但是,黑产团伙采取非正常手段定时抢先领取优惠券,侵害了正常用户的参与活动的权益,对电商平台举办的活动造成危害。
另外,网络黑产攻击行为可以通过虚假用户裂变、欺诈广告导流、渠道流量作弊、营销活动作弊等方式,危害社交、直播、视频平台;网络黑产攻击行为还可以通过恶意占票、机票信息盗爬、盗刷积分、渠道流量作弊等方式,危害航旅、出行平台;网络黑产攻击行为还可以通过渠道流量作弊、恶意退款、欺诈广告流量导航、游戏外挂等方式,危害游戏平台。
目前对网络黑产攻击行为识别的方法在识别防御一般特征的黑产时会有一定效果,但由于常规防御手段只依赖禁止名单和简单人工规则。
其中,禁止名单可以为记录有网络黑产攻击行为的用户禁止名单,或具有网络黑产攻击行为的用户使用过的IP的IP禁止名单。示例性地,可以禁止用户禁止名单上的用户登录平台,或禁止用户使用IP禁止名单上的IP登录平台。简单人工规则可以为:将在非活动时段尝试参与平台活动的用户,确认为具有网络黑产攻击行为的用户;将手机号码绑定的IP数量过多的用户,确认为具有网络黑产攻击行为的用户。
所以目前对网络黑产攻击行为识别的方法使用的常规防御手段的灵活性不足,很难应对复杂情况,在遇到技术更新迭代更快的黑产团伙时,往往出现漏杀、误杀现象。
因此,亟需一种提供网络攻击行为识别方法,用以提升识别网络攻击行为的准确率,增加对黑产的识别与防范。
所以面对现有技术的技术问题时,为了提升识别网络攻击行为的准确率,发明人通过研究后发现,为了能够进行网络黑产攻击行为,黑产团队一般对活动环节(如秒杀、来呢、做任务等)进行伪造。这些伪造难度较低。而在用户登录目标应用程序时所能获得的用户登录认证信息,如用户手机号、用户认证IP信息,国际移动设备识别码(简称:IMEI),GPS信息等,对于黑产团队来说伪造难度很大,一般黑产团队不会对这部分进行伪造。所以在对网络黑产攻击行为进行识别时,可以充分利用至少一种用户登录认证信息识别是否存在网络黑产攻击行为。那么在获取至少用户登录认证信息时,可采用埋点技术在用户登录目标应用程序时进行抓取。并且为了有效防止出现漏杀现象,可预先针对至少一种用户登录认证信息配置至少一种网络攻击行为识别策略。那么在获取到用户登录目标应用程序时的至少一种用户登录认证信息后,确定与每种网络攻击行为识别策略匹配的用户登录认证信息;采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。
图1为本申请的一种网络结构,如图1所示,网络攻击行为识别方法的网络架构中包括:用户终端、后台服务器、电子设备。用户终端上搭载有目标应用程序,目标应用程序上包括:认证登录页面、活动页面。活动页面可以包括:A活动页面(秒杀)、B活动页面(抽奖)、C活动页面(抽奖)。后台服务器可以提供认证后台服务、A活动后台服务、B活动后台服务、C活动后台服务。电子设备可以提供网络攻击行为识别服务。电子设备可以获取认证登录页面抓取的用户登录认证信息、还可以获取认证登录页面调用认证后台服务时前端登录请求中的信息、还可以获取活动页面调用活动后台服务、活动后台服务调用网络攻击识别服务时的信息。电子设备可以采用网络攻击行为识别策略及对应信息识别用户是否存在网络攻击行为,其中,网络攻击行为识别策略包括登录绕行行为识别策略、非本人登录行为识别策略、设备异常聚集识别策略、IP异常切换行为识别策略等。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
实施例一
图2为本申请实施例一提供的网络攻击行为识别方法流程图,本实施例中的方法应用于网络攻击行为识别装置,该网络攻击行为识别装置可以位于电子设备中。其中,电子设备可以为表示各种形式的数字计算机。诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置等。如图2所示,该方法具体步骤如下:
步骤S101、获取用户登录目标应用程序时的至少一种用户登录认证信息,用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息。
其中,目标应用程序为可能受到黑产网络攻击,需要识别黑产的网络攻击行为的应用程序,例如,电商平台,社交、直播、视频平台,航旅、出行平台,游戏平台等平台对应的应用程序。
目标应用程序可以包括可以登录对应平台的网页及小程序等。用户登录认证信息可以包括手机号码、埋点采集流水号、IMEI、用户认证IP信息(互联网协议地址)、GPS信息、登录时间、终端品牌、终端型号、终端存储、终端处理系统版本、终端屏幕分辨率等信息中的一种或多种信息。埋点采集流水号是采用埋点技术对用户登录行为生成的唯一标识码。用户认证IP信息是指采用埋点技术抓取的登录时用户的IP地址。
本申请实施例中,可以在目标应用程序的认证登录页面中通过埋点技术植入探针程序,利用探针程序将用户登录认证信息抓取到数据库中,电子设备获取数据库中的用户登录认证信息。
示例性地,用户登录认证信息可以通过消息队列(如kakfa消息形式)向电子设备传输,电子设备也可以每间隔一段时间调用用户登录认证信息,电子设备接收认证信息后将用户登录认证信息进行存储。
其中,电子设备对用户登录认证信息进行存储的存储介质可以为数据库,如列式储存数据库,存储形式可以为序列化存储。
可选地,本实施例中,可以以表格的形式存储用户登录认证信息,表格中存储一定时间内的登录认证信息,将超过一定时间的用户登录认证信息从表格中删除,可以减少数据量,提升识别网络攻击行为的效率。
本申请中,用户登录认证信息将作为识别异常用户的基础依据,结合预先配置的至少一种网络攻击行为识别策略共同识别网络攻击行为。
步骤S102、获取预先配置的至少一种网络攻击行为识别策略。
本实施例中,可针对至少一种用户登录认证信息及网络攻击行为的特点配置对应的网络攻击行为识别策略,从存储到电子设备本地的某一存储空间中。通过访问该存储空间,获取到预先配置的至少一种网络攻击行为识别策略。通过预先配置的至少一种网络攻击行为识别策略,识别网络攻击行为的特点,进一步识别用户是否存在网络攻击行为。
示例性地,网络攻击行为的特点可以包括绕行登录页面、使用他人账号登录、多账号在同一设备登录、秒切IP等。所以相应地,网络攻击行为识别策略可以包括登录绕行行为识别策略、非本人登录行为识别策略、设备异常聚集识别策略、IP异常切换行为识别策略等。
具体地,登录绕行行为识别策略是指通过用户登录认证信息中的埋点采集流水号和后端收到的前端认证流水号,识别用户是否绕行登录页面的识别策略。非本人登录行为识别策略是指通过用户登录认证信息中的手机号码、GPS信息、IMEI,识别用户是否使用他人账号登录的识别策略。设备异常聚集识别策略是指通过用户登录认证信息中的手机号码和设备属性信息,识别是否多账号在同一设备登录的识别策略。IP异常切换行为是指通过用户登录认证信息中的用户认证IP信息和用户打开目标应用程序功能页面时的活动IP,识别用户是否秒切IP的识别策略。
本申请实施例中,步骤S102可以在步骤S101之前进行,步骤S102也可以和步骤S101并行进行,本申请实施例此处不做具体限定。
步骤S103、确定与每种网络攻击行为识别策略匹配的用户登录认证信息。
示例性地,在预先配置至少一种网络攻击行为识别策略时,也可将与每种网络攻击行为识别策略匹配的用户登录认证信息进行配置。如将每种网络攻击行为识别策略与匹配的用户登录认证信息进行关联存储。所以可根据预先配置的网络攻击行为识别策略,确定匹配的用户登录认证信息,并从存储的用户登录认证信息中提取匹配的用户登录认证信息。
例如,若网络攻击行为识别策略为登录绕行行为识别策略,则匹配的用户登录认证信息为埋点采集流水号;若网络攻击行为识别策略为非本人登录行为识别策略,则匹配的用户登录认证信息为手机号码、GPS信息、IMEI;若网络攻击行为识别策略为设备异常聚集识别策略,则匹配的用户登录认证信息为手机号码和设备属性信息;若网络攻击行为识别策略为IP异常切换行为,则匹配的用户登录认证信息为用户认证IP信息。
步骤S104、采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。
可选地,可以采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。
示例性地,可以单独采用登录绕行行为识别策略及埋点采集流水号,或采用非本人登录行为识别策略及手机号码、GPS信息、IMEI,或采用设备异常聚集识别策略及手机号码、设备属性信息,或采用IP异常切换行为及用户认证IP信息,识别用户是否存在网络攻击行为。
可选地,可以采用多种网络攻击行为识别策略及匹配的用户登录认证信息,共同识别用户是否存在网络攻击行为。
示例性地,可以采用非本人登录行为识别策略和设备异常聚集识别策略,及手机号码、GPS信息、IMEI,共同识别用户是否存在网络攻击行为。
本申请实施例中,通过获取用户登录目标应用程序时的至少一种用户登录认证信息,用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息;获取预先配置的至少一种网络攻击行为识别策略;确定与每种网络攻击行为识别策略匹配的用户登录认证信息;采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。由于对网络攻击行为识别策略中使用的用户登录认证信息的伪造难度大,因此可以更准确的识别用户是否存在网络攻击行为,从而提高识别网络攻击行为的准确率。并且可以采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,可以更全面的识别用户是否存在网络攻击行为,有效防止漏杀现象。
实施例二
图3为本申请实施例二提供的网络攻击行为识别方法流程图,如图3所示,本实施例中,在实施例一的基础上,采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。并且本实施例中,用户登录认证信息包括:埋点采集流水号。相应地,网络攻击行为识别策略为登录绕行行为识别策略。则采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为包括以下步骤:
步骤S201、获取用户登录目标应用程序时产生的前端登录请求的流水号。
本申请实施例中,用户在认证登录页面登录目标应用程序时,搭载有目标应用程序的用户终端向认证后台服务器发送前端登录请求,后台服务器接收到前端登录请求后,向电子设备发送前端认证请求中包含的信息。
其中,前端登录请求中包含的信息至少包括:前端登录请求的流水号。还可以包括:手机号码、发送前端登录请求的时间。前端登录请求的流水号是指用户登录目标应用程序时产生的前端登录请求的流水号,在正常用户登录时前端登录请求的流水号与埋点采集流水号相同。示例性地,可以直接将埋点采集流水号作为前端登录请求的流水号,也可以根据前端登录请求生成前端登录请求的唯一标识码,将前端登录请求的唯一标识码作为前端登录请求的流水号。
可选地,前端请求信息的数据传输可以是异步解耦传输,不会影响用户登录行为。例如,电子设备与后台服务器之间通过kafka消息形式对接。
示例性地,用户在登录目标应用程序时,前端认证登录页面需要调用认证登录后台服务,向认证后台服务器器发送前端登录请求。认证后台服务器接收到前端认证请求后,从前端认证请求中读取前端请求中包含的信息,如前端登录请求的流水号、手机号码、发送前端登录请求的时间,认证后台服务器将前端认证请求中包含的信息写入消息队列,电子设备读取消息队列中的前端认证请求中包含的信息,从而获取前端登录请求的流水号、手机号码、发送前端登录请求的时间等信息。
网络黑产攻击行为的一个特点包括绕行登录页面,若用户绕行登录页面,电子设备也可以获取前端登录请求的流水号,但是由于网络黑产攻击行为未在前端认证登录页面进行登录,则电子设备中不具有与前端登录请求的流水号一致的埋点采集流水号所以本申请实施例通过对比埋点采集流水号和前端登录请求的流水号,可以确定存在登录绕行行为的用户。
步骤S202、采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号,并根据判断结果确定用户是否存在登录绕行行为。
具体地,获取到前端登录请求的流水号后,在存储的用户登录认证信息中查找埋点采集流水号,根据是否查找到与前端登录请求的流水号一致的埋点采集流水号来判断用户是否绕行登录页面。若查找不到与前端登录请求的流水号一致的埋点采集流水号,则认为用户绕行登录页面,若可以查找到与前端登录请求的流水号一致的埋点采集流水号,则认为用户未绕行登录页面。
可选地,一种执行本步骤的方式可以为:首次判断是否存在与前端登录请求的流水号一致的埋点采集流水号;若首次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则在第一预设时长后再次判断是否存在与前端登录请求的流水号一致的埋点采集流水号;若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则在预设时间点末次确定是否存在与前端登录请求的流水号一致的埋点采集流水号;若末次判断结果中不存在与前端登录请求的流水号一致的埋点采集流水号,则确定用户存在登录绕行行为;若在首次判断结果或再次判断结果或末次判断结果中存在与前端登录请求的流水号一致的埋点采集流水号,则确定用户不存在登录绕行行为。
其中,第一预设时长可以为2分钟、5分钟、1小时等,预设时间点可以为每日0点、每日8点、每两日0点等,本实施例此处不做具体限定。
本实施例中,仅判断一次是否存在与前端登录请求的流水号一致的埋点采集流水号,并根据一次判断结果确定用户是否存在登录绕行行为,可能会发生误杀现象,导致对网络攻击行为识别的准确率降低。例如,若用户不存在登录绕行行为,但由于信息传输过程中的问题,导致电子设备未获取与前端登录请求的流水号一致的埋点采集流水号,从而无法在存储的用户登录认证信息中查找到埋点采集流水号,那么采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号,判断结果中将确定不存在与前端登录请求的流水号一致的埋点采集流水号,并确定用户存在登录绕行行为。在不同时间点对同一用户进行多次判断,判断是否存在与前端登录请求的流水号一致的埋点采集流水号,仅将多次判断结果中均不存在与前端登录请求的流水号一致的埋点采集流水号的对应用户,确定为存在登录绕行行为的用户,可以提高对网络攻击行为识别的准确率。
可选地,可以根据判断结果对用户采取相应处置措施。例如,若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则限制用户参与目标应用程序对应的至少一类预设活动。其中,限制用户参与目标应用程序对应的至少一类预设活动的方式可以为增加用户在操作时的难度,例如在用户参与预设活动时,增加滑块验证或数字验证等。限制用户参与目标应用程序对应的至少一类预设活动的方式还可以为禁止用户参与目标应用程序对应的至少一类预设活动。
示例性地,若首次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则将用户加入到三级疑似绕行行为禁止用户名单中,并限制用户第一预设时长内参与目标应用程序对应的至少一类预设活动;若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则将用户加入到二级疑似绕行行为禁止用户名单中,并限制用户当日参与目标应用程序对应的至少一类预设活动;若末次判断结果中不存在与前端登录请求的流水号一致的埋点采集流水号,则将用户加入到一级疑似绕行行为禁止用户名单中,并限制用户预设周数内参与目标应用程序对应的至少一类预设活动。
三级疑似绕行行为禁止用户名单为首次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号的用户的名单,三级疑似绕行行为禁止用户名单中的用户存在登录绕行行为的可能性较低。二级疑似绕行行为禁止用户名单为首次判断结果及再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号的用户的名单,二级疑似绕行行为禁止用户名单中的用户为存在登录绕行行为的可能性比三级疑似绕行行为禁止用户名单中的用户为存在登录绕行行为的可能性高。一级疑似绕行行为禁止用户名单为首次判断结果及再次判断结果及末次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号的用户的名单,一级疑似绕行行为禁止用户名单中的用户为存在登录绕行行为的可能性最高。
本实施例中,根据多次判断结果对用户采取相应处置措施,可以对存在登录绕行行为的可能性不同的用户,在不同时长内限制参与目标应用程序对应的至少一类预设活动。可以防止对不存在登录绕行行为的用户限制参与目标应用程序对应的至少一类预设活动的时间过长,或长时间不限制存在登录绕行行为的用户参与目标应用程序对应的至少一类预设活动的。可以保证不存在登录绕行行为的用户在短时间后可以正常使用目标应用程序,并降低存在登录绕行行为的用户的危害。
示例性地,图4提供了一种确定用户是否存在登录绕行行为的流程图,如图4所示,识别存在登录绕行行为的用户,并对存在登录绕行行为的用户采取相应处置措施的一种具体实现方式可以包括以下步骤:
步骤1A、采用登录绕行行为识别策略,确定用户是否存在登录绕行行为。
步骤2A、获取到前端登录请求的流水号后,对用户进行首次判断。在存储的用户登录认证信息中查找埋点采集流水号,根据是否查找到与获取到的前端登录请求的流水号一致的埋点采集流水号,判断首次判断是否通过。若查找不到与前端登录请求的流水号一致的埋点采集流水号,则首次判断不通过,执行步骤3A;若可以查找到与前端登录请求的流水号一致的埋点采集流水号,则首次判断通过,认为用户不存在登录绕行行为,结束流程。
步骤3A、将首次判断不通过的用户加入到三级疑似绕行行为禁止用户名单中,并限制首次判断不通过的用户5分钟内参与目标应用程序对应的至少一类预设活动。
步骤4A、每5分钟对三级疑似绕行行为禁止用户名单中的用户进行再次判断。获取三级疑似绕行行为禁止用户名单中的用户最新的前端登录请求的流水号,并在存储的用户登录认证信息中查找埋点采集流水号,根据是否查找到与三级疑似绕行行为禁止用户名单中的用户最新的前端登录请求的流水号一致的埋点采集流水号,判断再次判断是否通过,并清空三级疑似绕行行为禁止用户名单。若查找不到与三级疑似绕行行为禁止用户名单中的用户最新的前端登录请求的流水号一致的埋点采集流水号,则再次判断不通过,执行步骤5A;若可以查找到与三级疑似绕行行为禁止用户名单中的用户最新的前端登录请求的流水号一致的埋点采集流水号,则再次判断通过,认为用户不存在登录绕行行为,结束流程。
其中,5分钟为第一预设时长。
步骤5A、将再次判断不通过的用户加入到二级疑似绕行行为禁止用户名单中,并限制再次判断不通过的用户当日参与目标应用程序对应的至少一类预设活动。
步骤6A、每日0点对二级疑似绕行行为禁止用户名单中的用户进行末次判断。
其中,每日0点为预设时间点。
获取二级疑似绕行行为禁止用户名单中的用户最新的前端登录请求的流水号,并在存储的用户登录认证信息中查找埋点采集流水号,根据是否查找到与二级疑似绕行行为禁止用户名单中的用户最新的前端登录请求的流水号一致的埋点采集流水号,判断末次判断是否通过,并清空二级疑似绕行行为禁止用户名单。若查找不到与二级疑似绕行行为禁止用户名单中的用户最新的前端登录请求的流水号一致的埋点采集流水号,则末次判断不通过,执行步骤7A;若可以查找到与二级疑似绕行行为禁止用户名单中的用户最新的前端登录请求的流水号一致的埋点采集流水号,则末次判断通过,认为用户不存在登录绕行行为,结束流程。
步骤7A、将末次判断不通过的用户加入到一级疑似绕行行为禁止用户名单中,并限制末次判断不通过的用户一周内参与目标应用程序对应的至少一类预设活动。
示例性地,若某平台定时举办秒杀活动,并且存在一批黑产用户,定时参与秒杀活动进行薅羊毛操作,这些黑产用户存在以下特点:采取的网络攻击行为为登录绕行行为,不存在埋点认证采集记录。通过登录绕行行为识别策略完成对黑产用户的识别及并对黑产用户采取相应处置措施,可以降低黑产对平台活动的危害。
本申请实施例中,采用登录绕行行为识别策略及埋点采集流水号识别用户是否存在网络攻击行为,包括:获取用户登录目标应用程序时产生的前端登录请求的流水号;采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号,并根据判断结果确定用户是否存在登录绕行行为。由于登录绕行行为未在前端认证登录页面进行登录,电子设备中不具有与前端登录请求的流水号一致的埋点采集流水号,且黑产团队难以伪造与埋点采集流水号一致的前端登录请求的流水号,因此采用登录绕行行为识别策略,对比埋点采集流水号和前端登录请求的流水号,能够更准确的识别用户是否存在登录绕行行为。
实施例三
图5为本申请实施例三提供的网络攻击行为识别方法流程图,如图5所示,本实施例中,在实施例一的基础上,采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。并且本实施例中,用户登录认证信息包括:手机号码、国际移动设备识别码IMEI及GPS信息,相应地,网络攻击行为识别策略为非本人登录行为识别策略。则采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为包括以下步骤:
步骤S301、确定用户在最近预设时间段内登录成功目标应用程序时的IMEI情况。
具体地,最近预设时间段内登录成功目标应用程序时的IMEI情况包括:用户登录成功的总次数、用户关联的IMEI数量、最近一次登录时的IMEI出现次数、切换IMEI次数。
其中,用户登录成功的总次数为用户在预设时间段内登录成功的总次数。用户关联的IMEI数量为用户对应的预设时间段内的用户登录认证信息中,出现的不同的IMEI的数量。最近一次登录时的IMEI出现次数可以通过识别用户最新登录成功使用的终端的IMEI,统计该IMEI在用户对应的预设时间段内的用户登录认证信息中的出现次数获得。切换IMEI次数可以通过两两对比用户对应的预设时间段内的用户登录认证信息中登录时间最接近的两条记录获得,若登录时间最接近的两条记录中的IMEI不一致,则确认用户切换了一次IEMI。
步骤S302、根据IMEI情况确定用户换机登录情况。
可选地,用户换机登录情况可以包括:未换机登录、两个设备间换机登录、多于两个设备间换机登录、非频繁切换登录、频繁切换登录。根据用户关联的IMEI数量,判断用户是否换机登录;根据用户关联的IMEI数量,判断换机用户是否为两个设备间换机登录;根据切换IMEI次数、用户登录成功的总次数及预先设置的换机频率阈值、登录次数阈值,判断用户是否为频繁切换登录。
示例性地,若用户关联的IMEI数量为1,则用户换机登录情况为未换机登录;若用户关联的IMEI数量大于1,则用户存在换机登录行为。
若用户关联的IMEI数量为2,则确定用户在两个设备间换机。若用户登录成功的总次数大于登录次数阈值,并且切换IEMI次数除以用户登录成功的总次数大于换机频率阈值,则确定用户换机登录情况为两个设备间换机且频繁切换登录;若用户登录成功的总次数小于等于登录次数阈值,或者切换IEMI次数除以用户登录成功的总次数小于等于换机频率阈值,则确定用户换机登录情况为两个设备间换机且非频繁切换登录。
若用户关联的IMEI数量大于2,则确定用户在多于两个设备间换机。若用户登录成功的总次数大于登录次数阈值,并且切换IEMI次数除以用户登录成功的总次数大于换机频率阈值,则确定用户换机登录情况为多于两个设备间换机且频繁切换登录;若用户登录成功的总次数小于等于登录次数阈值,或者切换IEMI次数除以用户登录成功的总次数小于等于换机频率阈值,则确定用户换机登录情况为多于两个设备间换机且非频繁切换登录。
步骤S303、根据用户的手机号码和GPS信息对用户进行位置核验。
具体地,通过对比用户登录认证信息中的GPS信息对应的登录位置和查询手机号码获得的终端位置,对用户进行位置核验。
可选地,可以仅对存在换机登录行为的用户进行位置核验。
其中,终端位置是指装备手机号码对应手机卡的终端的位置。终端位置可以将手机号码发送给基础运营商服务器,通过基础运营商服务器获得。手机在开机状态下都会和附近的基站进行通信鉴权,基础运营商服务器通过与手机进行通信鉴权的基站,可以测算出手机号码设备终端此时的具体位置。
可选地,可以根据登录位置与终端位置之间的位置差异和预设的距离阈值判断位置核验是否通过。其中,预设的距离阈值可以为3公里、10公里、100公里等。
示例性地,若登录位置与终端位置之间的位置差异大于距离阈值,则位置核验不通过;若登录位置与终端位置之间的位置差异小于或等于距离阈值,则位置核验通过;若无法获得登录位置、终端位置或其他必要信息,则无位置核验结果。
可选地,可以根据登录位置与终端位置之间的位置差异和预先对位置差异进行的等级划分返回位置核验结果等级,并根据预设的等级阈值和位置核验结果等级判断位置核验是否通过。
示例性地,若位置核验结果等级大于等级阈值,则确定位置核验不通过;若位置核验结果等级小于或等于等级阈值,则确定位置核验通过;若无法获得登录位置、终端位置或其他必要信息,则无位置核验结果。
例如,以位置差异的等级分为5级为例,位置差异的等级可以按如下方式进行划分:1级=位置差异小于等于第一距离;2级=位置差异大于第一距离且小于等于第二距离;3级=位置差异大于第二距离且小于等于第三距离;4级=位置差异大于第三距离且小于等于第四距离;5级=位置差异大于第四距离。其中,第一距离、第二距离、第三距离、第四距离依次增大。若登录位置与终端位置之间的位置差异小于第一距离,即对应位置差异的等级为1级,则位置核验结果等级为1级;若登录位置与终端位置之间的位置差异在第二距离和第三距离之间,即对应位置差异的等级为3级,则位置核验结果等级为3级。
步骤S304、根据用户换机登录情况及位置核验结果确定用户是否存在非本人登录行为。
一种可选地实施方式,根据表1进行具体说明:
表1
具体地,如表1中的第一行前两列,若确定用户换机登录情况为两个设备间换机且切换登录,并且位置核验通过,则确定用户不存在非本人登录行为,或者如表1中的第一行第三列,若确定用户换机登录情况为多于两个设备间换机且非频繁切换登录,并且位置核验通过,则确定用户不存在非本人登录行为;如表1中的第二行第一列,若确定用户换机登录情况为两个设备间换机且非频繁切换登录,并且无位置核验结果,则确定用户不存在非本人登录行为;如表1中的第一列后两行,若确定用户换机登录情况为多于两个设备间换机且频繁切换登录,并且无位置核验结果或位置核验未通过,则确定用户存在非本人登录行为;如表1中的第三行二、三列行,若确定用户换机登录情况为两个设备间换机且频繁切换登录或多于两个设备间换机且非频繁切换登录,并且无位置核验结果,则确定用户存在非本人登录行为。
本实施例中,根据用户换机登录情况及位置核验结果共同确定用户是否存在非本人登录行为,可以避免误杀现象。例如,若仅根据用户换机登录情况确定用户是否存在非本人登录行为,可能会错误将使用两个终端的用户确定为存在非本人登录行为的用户,若仅根据位置核验结果确定用户是否存在非本人登录行为,可能会错误将使用他人手机号码注册,并不存在网络攻击行为的用户确定为存在非本人登录行为的用户。
可选地,可以根据用户是否存在非本人登录行为,确定用户是否存在网络攻击行为。示例性地,若不存在用户非本人登录行为,则确定用户不存在网络攻击行为;若用户存在用户非本人登录行为,则确定用户存在网络攻击行为。
可选地,可以根据用户是否存在网络攻击行为,确定对用户的处置措施。例如,若用户不存在用户非本人登录行为,则用户可以正常参与活动;若用户存在用户非本人登录行为,则限制用户参与目标应用程序对应的至少一类预设活动。其中,限制用户参与目标应用程序对应的至少一类预设活动的方式可以为增加用户在操作时的难度,例如在用户参与预设活动时,增加滑块验证或数字验证等。限制用户参与目标应用程序对应的至少一类预设活动的方式还可以为禁止用户参与目标应用程序对应的至少一类预设活动。
本申请实施例中,采用非本人登录行为识别策略及手机号码、国际移动设备识别码IMEI及GPS信息识别用户是否存在网络攻击行为,包括:确定用户在最近预设时间段内登录成功目标应用程序时的IMEI情况;根据IMEI情况确定用户换机登录情况;根据用户的手机号码和GPS信息对用户进行位置核验;根据用户换机登录情况及位置核验结果确定用户是否存在非本人登录行为。由于位置核验结果通过对比登录位置和查询手机号码获得的终端位置获得,黑产团队难以伪造终端位置,且结合用户换机登录情况确定用户是否存在非本人登录行为,因此采用非本人登录行为识别策略及手机号码、国际移动设备识别码IMEI及GPS信息,能够更准确的识别用户是否存在非本人登录类型的网络攻击行为。
实施例四
图6为本申请实施例四提供的网络攻击行为识别方法流程图,如图6所示,本实施例中,在实施例一的基础上,采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。并且本实施例中,用户登录认证信息包括:设备属性信息及手机号码;相应地,网络攻击行为识别策略为设备异常聚集识别策略。则采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为包括以下步骤:
步骤S401、确定用户在单位时间内登录成功目标应用程序时的同一设备属性信息关联的手机号码数量。
具体地,从用户登录认证信息中获取用户在单位时间内的设备属性信息,根据单位时间内的用户登录认证信息确定同一设备属性信息关联的手机号码数量。例如,设备属性信息为IMEI,单位时间为5分钟,从用户登录认证信息中获取用户5分钟内的IMEI,确定5分钟内获取的同一IMEI关联的手机号码数量。
其中,设备属性信息包括以下信息的任意一种;国际移动设备识别码IMEI、设备型号、设备存储信息、设备屏幕分辨率。设备属性信息关联的手机号码是指与该设备属性信息记录在同一用户登录认证信息中的手机号码。
步骤S402、根据同一设备属性信息关联的手机号码数量及预设数量阈值确定用户是否存在设备异常聚集行为。
示例性地,若确定同一设备属性信息关联的手机号码数量大于或等于预设数量阈值,则将同一设备属性信息对应的设备加入到禁止设备名单中,并确定加入到禁止设备名单的设备对应的用户存在设备异常聚集行为;若确定同一设备属性信息关联的手机号码数量小于预设数量阈值,则确定同一设备属性信息对应的用户不存在设备异常聚集行为。
以设备属性信息为IMEI,单位时间为5分钟,预设数量阈值为5为例进行说明。若5分钟内获取的同一IMEI关联的手机号码数量大于或等于5,则将IMEI对应的设备加入到禁止设备名单中,并确定加入到禁止设备名单的设备对应的用户存在设备异常聚集行为。若5分钟内获取的同一IMEI关联的手机号码数量小于5,则IMEI对应的用户不存在设备异常聚集行为。
可选地,本实施例中,可以禁止用户在禁止设备名单中的设备上登录目标应用程序。
可选地,可以根据多个单位时间内同一设备属性信息关联的手机号码数量及对应的预设数量阈值确定用户是否存在设备异常聚集行为。示例性地,若在任一设置的单位时间内同一设备属性信息关联的手机号码数量,大于或等于单位时间对应的预设数量阈值,则将同一设备属性信息对应的设备加入到禁止设备名单中,并确定加入到禁止设备名单的设备对应的用户存在设备异常聚集行为。若在任一设置的单位时间内同一设备属性信息关联的手机号码数量,均小于单位时间对应的预设数量阈值,则同一设备属性信息对应的用户不存在设备异常聚集行为。
示例性地,以设备属性信息为IMEI为例进行说明,可以设置单位时间为5分钟,对应的预设数量阈值为5;单位时间为10分钟,对应的预设数量阈值为12;单位时间为30分钟,对应的预设数量阈值为35。若5分钟内获取的同一IMEI关联的手机号码数量大于或等于5,或10分钟内获取的同一IMEI关联的手机号码数量大于或等于12,或30分钟内获取的同一IMEI关联的手机号码数量大于或等于35,则将IMEI对应的设备加入到禁止设备名单中,并确定加入到禁止设备名单的设备对应的用户存在设备异常聚集行为。若5分钟内获取的同一IMEI关联的手机号码数量小于5,且10分钟内获取的同一IMEI关联的手机号码数量小于12,且30分钟内获取的同一IMEI关联的手机号码数量小于35,则IMEI对应的用户不存在设备异常聚集行为。
可选地,可以根据用户是否存在设备异常聚集行为,确定用户是否存在网络攻击行为。示例性地,若不存在设备异常聚集行为,则用户不存在网络攻击行为;若用户存在设备异常聚集行为,则用户存在网络攻击行为。
可选地,可以根据用户是否存在设备异常聚集行为,直接确定对用户的处置措施。例如,若不存在设备异常聚集行为,则用户可以正常参与活动;若用户存在设备异常聚集行为,则限制用户参与目标应用程序对应的至少一类预设活动。其中,限制用户参与目标应用程序对应的至少一类预设活动的方式可以为增加用户在操作时的难度,例如在用户参与预设活动时,增加滑块验证或数字验证等。限制用户参与目标应用程序对应的至少一类预设活动的方式还可以为禁止用户参与目标应用程序对应的至少一类预设活动。
本申请实施例中,采用设备异常聚集识别策略及设备属性信息、手机号码识别用户是否存在网络攻击行为,包括:确定用户在单位时间内登录成功目标应用程序时的同一设备属性信息关联的手机号码数量;根据同一设备属性信息关联的手机号码数量及预设数量阈值确定用户是否存在设备异常聚集行为。由于黑产团队对目标应用程序进行网络攻击时,通常在同一终端登录多账户登录,黑产团队难以在使用多账户登录目标应用程序时,伪造不同设备属性信息,因此,采用设备异常聚集识别策略及设备属性信息、手机号码,能够更准确的识别用户是否存在设备异常聚集行为。
实施例五
图7为本申请实施例五提供的网络攻击行为识别方法流程图,如图7所示,本实施例中,在实施例一的基础上,采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。并且本实施例中,用户登录认证信息包括:用户认证IP信息;相应地,网络攻击行为识别策略为IP异常切换行为识别策略。则采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为包括以下步骤:
步骤S501、获取用户参加目标应用程序预设活动的活动时间与用户登录目标应用程序的登录时间相差在第二预设时长内的活动IP信息及用户认证IP信息。
其中,活动IP信息是指用户参加目标应用程序预设活动时使用的IP信息。参加目标应用程序预设活动可以为用户在目标应用程序中进行的操作,如点击进入预设活动页面、点击签到等,预设活动页面可以为目标应用程序中的任一页面。
可选地,用户参加目标应用程序预设活动时,预设活动页面获取活动时间及活动IP,并发送给电子设备。电子设备接收到活动时间及活动IP后,读取中用户登录认证信息中用户最近一次的登录时间及用户认证IP信息,并计算登录时间与活动时间的时间差,若登录时间与活动时间相差在第二预设时长内,则记录活动IP信息、用户认证IP信息及时间。
其中,第二预设时长可以为5秒、10秒、30秒、1分钟、10分钟等,本实施例此处不做具体限定。
步骤S502、根据活动IP信息、用户认证IP信息及时间差确定用户是否存在IP异常切换行为。
可选地,若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第一预设时间区间内,且出现次数大于或等于预设次数,则确定用户存在IP异常切换行为;若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第二预设时间区间内,且出现次数小于预设次数,则确定用户不存在IP异常切换行为;第一预设时间区间小于第二预设时间区间。
示例性的,第一预设区间可以为小于30秒,第二预设时间区间可以为大于或等于30秒,预设次数可以为5次。或者,第一预设区间可以为小于60秒,第二预设时间区间可以为大于或等于60秒,预设次数可以为10次,本实施例对此不做具体限定。
本实施例中,用户在使用目标应用程序时,一般不会切换上网方式,如从使用流量上网切换至使用无线上网,因此,在一定时间内,用户的IP通常保持一致。若用户频繁出现活动IP信息与用户认证IP信息不一致的现象,则具有秒切IP的特征,可以确定用户存在IP异常切换行为。
可选地,也可以预设两个以上的时间区间,例如,可以设置第三预设时间区间、第四预设时间区间、第五预设时间区间、第六预设时间区间、第七预设时间区间。若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第三预设时间区间内,且出现次数大于或等于预设次数,则确定用户存在IP异常切换行为;若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第四预设时间区间、或第五预设时间区间、或第六预设时间区间、或第七预设时间区间内,且出现次数小于预设次数,则确定用户不存在IP异常切换行为。其中,第三预设时间区间、第四预设时间区间、第五预设时间区间、第六预设时间区间、第七预设时间区间依次增大。
示例性的,可以设置预设次数为5次,第三预设区间为小于30秒,第四预设时间区间可以为大于或等于30秒,且小于60秒,第五预设时间区间可以为大于或等于180秒,且小于300秒第六预设时间区间可以为大于或等于300秒,且小于600秒,第七预设时间区间可以为大于或等于1000秒。并设置在活动IP信息与对应的用户认证IP信息不一致且出现次数大于或等于预设次数的情况下,若时间差在第三预设时间区间,则确定用户存在IP异常切换行为;若时间差在第四预设时间区间、第五预设时间区间、第六预设时间区间、第七预设时间区间,则确定用户不存在IP异常切换行为。
可选地,可以根据用户是否存在IP异常切换行为,确定用户是否存在网络攻击行为。示例性地,若用户不存在IP异常切换行为,则确定用户不存在网络攻击行为;若用户存在IP异常切换行为行为,则确定用户存在网络攻击行为。
可选地,可以根据用户是否存在网络攻击行为,直接确定对用户的处置措施。例如,若用户不存在网络攻击行为,则用户可以正常参与活动;若用户存在网络攻击行为,则限制用户参与目标应用程序对应的至少一类预设活动。其中,限制用户参与目标应用程序对应的至少一类预设活动的方式可以为增加用户在操作时的难度,例如在用户参与预设活动时,增加滑块验证或数字验证等。限制用户参与目标应用程序对应的至少一类预设活动的方式还可以为禁止用户参与目标应用程序对应的至少一类预设活动。
本申请实施例中,采用IP异常切换行为识别策略及用户认证IP信息识别用户是否存在网络攻击行为,包括:获取用户参加目标应用程序预设活动的活动时间与用户登录目标应用程序的登录时间相差在第二预设时长内的活动IP信息及用户认证IP信息;根据活动IP信息、用户认证IP信息及时间差确定用户是否存在IP异常切换行为。由于黑产团队对目标应用程序进行网络攻击时,会产生秒切IP的行为,因此通过用户是否频繁出现活动IP信息与用户认证IP信息不一致的现象,能够更准确的识别用户是否存在IP异常切换行为。
实施例六
图8为本申请实施例六提供网络攻击行为识别方法流程图,在上述实施例一基础上,本实施例中,采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。具体地,多种网络攻击行为识别策略可以包括以下识别策略的多种:登录绕行行为识别策略、非本人登录行为识别策略、设备异常聚集识别策略、IP异常切换行为识别策略。则采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为包括以下步骤:
步骤S601、确定每种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为的分值及权重。
可选地,可以根据采取的多种网络攻击行为识别策略,分别确定每种网络攻击行为识别策略的权重。示例性地,若采取登录绕行行为识别策略、非本人登录行为识别策略、设备异常聚集识别策略及IP异常切换行为识别策略,则可以设置登录绕行行为识别策略的权重为第一权重,非本人登录行为识别策略的权重为第二权重,设备异常聚集识别策略的权重为第三权重,IP异常切换行为识别策略的权重为第四权重。
作为一种可选实施方式,本实施例中,步骤601中确定每种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为的分值,包括步骤S6011和步骤S6012。
步骤S6011、分别根据每种网络攻击行为识别策略及匹配的用户登录认证信息确定用户存在对应的网络攻击行为的风险等级。
本实施例中,可以采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。示例性地,可以采用登录绕行行为识别策略及非本人登录行为识别策略,或者采用登录绕行行为识别策略、设备异常聚集识别策略、IP异常切换行为识别策略,本实施例对采用的网络攻击行为识别策略的数量和类型不做具体限定。
可选地,根据每种网络攻击行为识别策略及匹配的用户登录认证信息确定用户存在对应的网络攻击行为的可能性越高,用户存在对应的网络攻击行为的风险等级越高。
可选地,若采用登录绕行行为识别策略,判断是否存在与前端登录请求的流水号一致的埋点采集流水号,可以根据判断结果确定用户存在登录绕行行为的风险等级。本实施例中,采用登录绕行行为识别策略,判断是否存在与前端登录请求的流水号一致的埋点采集流水号的实现方式与本发明实施例二中的步骤S201-步骤S202的实现方式类似,在此不再一一赘述。
示例性地,以判断三次是否存在与前端登录请求的流水号一致的埋点采集流水号,存在与前端登录请求的流水号一致的埋点采集流水号为判断通过为例,若首次判断通过,则用户存在登录绕行行为的风险等级为0;若首次判断不通过,且再次判断通过,则用户存在登录绕行行为的风险等级为1;若再次判断不通过,且末次判断通过,则用户存在登录绕行行为的风险等级为2;若末次判断不通过,则用户存在登录绕行行为的风险等级为3。
可选地,若采用非本人登录行为识别策略,可以根据位置核验结果单独确定用户存在非本人登录行为的风险等级。本实施例中,采用非本人登录行为识别策略,得到位置核验结果的实现方式与本发明实施例三中的步骤S303的实现方式类似,在此不再一一赘述。
示例性地,以位置差异的等级分为5级为例,若位置核验结果等级为1级,则确定用户存在非本人登录行为的风险等级为1;若位置核验结果等级为2级,则确定用户存在非本人登录行为的风险等级为2;若位置核验结果等级为3级,则确定用户存在非本人登录行为的风险等级为3;若位置核验结果等级为4级,则确定用户存在非本人登录行为的风险等级为4;若位置核验结果等级为5级,则确定用户存在非本人登录行为的风险等级为5。
可选地,若采用非本人登录行为识别策略,也可以根据用户换机登录情况及位置核验结果确定用户存在非本人登录行为的风险等级。本实施例中,采用非本人登录行为识别策略,根据用户换机登录情况及位置核验结果确定用户存在非本人登录行为的风险等级的实现方式与本发明实施例三中的步骤S301-步骤S304的实现方式类似,在此不再一一赘述。
示例性地,根据步骤S301-S304,若确定用户不存在非本人登录行为,则确定用户存在非本人登录行为的风险等级为0;若不确定用户是否存在非本人登录行为,则确定用户存在非本人登录行为的风险等级为1;若确定用户存在非本人登录行为,则确定用户存在非本人登录行为的风险等级为2。
可选地,若采用非本人登录行为识别策略,可以结合IMEI关联的手机号码数量确定用户存在非本人登录行为的风险等级。示例性地,若IMEI关联的手机号码数量相较于预设的手机号码数量阈值越大,则用户存在非本人登录行为的风险等级越大。
可选地,若采用设备异常聚集识别策略,也可以根据单位时间内同一设备属性信息关联的手机号码数量是否大于预设数量阈值,确定用户存在设备异常聚集行为的风险等级。本实施例中,采用设备异常聚集识别策略,确定用户存在设备异常聚集行为的风险等级的实现方式与本发明实施例四中的步骤S401-步骤S402的实现方式类似,在此不再一一赘述。
示例性地,以同时设置三个单位时间及对应的预设数量阈值为例,若在任一设置的单位时间内同一设备属性信息关联的手机号码数量,均小于对应的预设数量阈值,则确定用户存在设备异常聚集行为的风险等级为0;若在一个单位时间内同一设备属性信息关联的手机号码数量大于对应的预设数量阈值,则确定用户存在设备异常聚集行为的风险等级为1;若在两个单位时间内同一设备属性信息关联的手机号码数量大于对应的预设数量阈值,则确定用户存在设备异常聚集行为的风险等级为2;若在三个单位时间内同一设备属性信息关联的手机号码数量大于对应的预设数量阈值,则确定用户存在设备异常聚集行为的风险等级为3。
可选地,若采用IP异常切换行为识别策略,可以根据活动IP信息、用户认证IP信息及时间差确定用户存在IP异常切换行为的风险等级及分值。本实施例中,采用IP异常切换行为识别策略,确定用户存在IP异常切换行为的风险等级的实现方式与本发明实施例五中的步骤S501-步骤S502的实现方式类似,在此不再一一赘述。
示例性地,同时设置第三预设时间区间、第四预设时间区间、第五预设时间区间、第六预设时间区间、第七预设时间区间,且依次增大,若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第三预设时间区间内,且出现次数大于或等于预设次数,则确定用户存在IP异常切换行为的风险等级为5;若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第四预设时间区间内,且出现次数大于或等于预设次数,则确定用户存在IP异常切换行为的风险等级为4;若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第五预设时间区间内,且出现次数大于或等于预设次数,则确定用户存在IP异常切换行为的风险等级为3;若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第六预设时间区间内,且出现次数大于或等于预设次数,则确定用户存在IP异常切换行为的风险等级为2;若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第七预设时间区间内,且出现次数大于或等于预设次数,则确定用户存在IP异常切换行为的风险等级为1。
步骤S6012、根据风险等级确定用户存在对应的网络攻击行为的分值。
可选地,用户存在对应的网络攻击行为的风险等级越高,确定的用户存在对应的网络攻击行为的分值越高。
示例性地,若用户存在登录绕行行为的风险等级为0,则确定用户存在登录绕行行为的分值为第一分值;若用户存在登录绕行行为的风险等级为1,则确定用户存在登录绕行行为的分值为第二分值;若用户存在登录绕行行为的风险等级为2,则确定用户存在登录绕行行为的分值为第三分值;若用户存在登录绕行行为的风险等级为3,则确定用户存在登录绕行行为的分值为第四分值。其中,第一分值、第二分值、第三分值、第四分值依次增大。
可选地,本实施例中,若用户存在对应的网络攻击行为的风险等级为最高级,确定的用户存在对应的网络攻击行为的分值应易于确定用户存在网络攻击行为。例如,若用户存在登录绕行行为的风险等级为最高等级,其他存在对应的网络攻击行为的风险等级均为最低等级,根据对各分值及权重进行加权求和得到的用户是否存在网络攻击行为的总分值及预设分值阈值,仍能确定用户存在网络攻击行为。
步骤S602、对各分值及权重进行加权求和,以获得用户是否存在网络攻击行为的总分值。
可选地,分别根据采用的每种网络攻击行为识别策略的权重和对应的网络攻击行为的分值计算每种网络攻击行为的加权值,并将每种网络攻击行为的加权值相加获得否存在网络攻击行为的总分值。
示例性地,以采取登录绕行行为识别策略、非本人登录行为识别策略、设备异常聚集识别策略及IP异常切换行为识别策略,且登录绕行行为识别策略的权重为第一权重,非本人登录行为识别策略的权重为第二权重,设备异常聚集识别策略的权重为第三权重,IP异常切换行为识别策略的权重为第四权重为例,将第一权重乘以登录绕行行为的分值得到登录绕行行为的加权值,将第二权重乘以非本人登录行为的分值得到非本人登录行为的加权值,将第三权重乘以设备异常聚集行为的分值得到设备异常聚集行为的加权值,将第四权重乘以IP异常切换行为的分值得到IP异常切换行为的加权值;将登录绕行行为的加权值、非本人登录行为的加权值、设备异常聚集行为的加权值、IP异常切换行为的加权值相加,获得是否存在网络攻击行为的总分值。
步骤S603、根据总分值及预设分值阈值确定用户是否存在网络攻击行为。
示例性地,若确定是否存在网络攻击行为的总分值大于或等于预设分值阈值,则确定用户存在网络攻击行为;若确定是否存在网络攻击行为的总分值小于预设分值阈值,则确定用户不存在网络攻击行为。
可选地,可以根据用户是否存在网络攻击行为,确定对用户的处置措施。例如,若不存在网络攻击行为,则用户可以正常参与活动;若用户存在网络攻击行为,则限制用户参与目标应用程序对应的至少一类预设活动。
本申请实施例中,采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。具体地,多种网络攻击行为识别策略可以包括以下识别策略的多种:登录绕行行为识别策略、非本人登录行为识别策略、设备异常聚集识别策略、IP异常切换行为识别策略。由于,采用了多种网络攻击行为识别策略识别用户是否存在网络攻击行为,用户产生任一种网络攻击行为识别策略对应的网络攻击行为均会增加用户是否存在网络攻击行为的总分值,若总分值大于或等于预设分值阈值,则确定用户存在网络攻击行为,因此可以更全面的识别用户是否存在网络攻击行为,从而提高识别网络攻击行为的准确率。
实施例七
图9为本申请实施例七提供的网络攻击行为识别装置的结构示意图。本申请实施例提供网络攻击行为识别装置可以执行网络攻击行为识别方法实施例提供的处理流程。如图9所示,该网络攻击行为识别装置90包括:第一获取模块901,第二获取模块902、确定模块903和识别模块904。
具体地,第一获取模块901,用于获取用户登录目标应用程序时的至少一种用户登录认证信息,用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息。
第二获取模块902,用于获取预先配置的至少一种网络攻击行为识别策略。
确定模块903,用于确定与每种网络攻击行为识别策略匹配的用户登录认证信息。
识别模块904,用于采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。
本申请实施例提供的装置可以具体用于执行上述实施例一所提供的方法实施例,具体功能此处不再赘述。
本申请实施例中,通过获取用户登录目标应用程序时的至少一种用户登录认证信息,用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息;获取预先配置的至少一种网络攻击行为识别策略;确定与每种网络攻击行为识别策略匹配的用户登录认证信息;采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。由于对网络攻击行为识别策略中使用的用户登录认证信息的伪造难度大,因此可以更准确的识别用户是否存在网络攻击行为,从而提高识别网络攻击行为的准确率。并且可以采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,可以更全面的识别用户是否存在网络攻击行为,有效防止漏杀现象。
实施例八
图10为本申请实施例八提供的网络攻击行为识别装置的结构示意图。在上述实施例七的基础上,本实施例中,可选地,识别模块904,具体用于采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。
可选地,如图10所示,识别模块904包括登录绕行行为识别单元9041,用户登录认证信息包括:埋点采集流水号;网络攻击行为识别策略为登录绕行行为识别策略。
登录绕行行为识别单元9041用于:获取用户登录目标应用程序时产生的前端登录请求的流水号。采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号,并根据判断结果确定用户是否存在登录绕行行为。
可选地,登录绕行行为识别单元9041,在采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号,并根据判断结果确定用户是否存在登录绕行行为时,具体用于:
首次判断是否存在与前端登录请求的流水号一致的埋点采集流水号;若首次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则在第一预设时长后再次判断是否存在与前端登录请求的流水号一致的埋点采集流水号;若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则在预设时间点末次确定是否存在与前端登录请求的流水号一致的埋点采集流水号;若末次判断结果中不存在与前端登录请求的流水号一致的埋点采集流水号,则确定用户存在登录绕行行为;若在首次判断结果或再次判断结果或末次判断结果中存在与前端登录请求的流水号一致的埋点采集流水号,则确定用户不存在登录绕行行为。
可选地,登录绕行行为识别单元9041还用于:
将用户加入到三级疑似绕行行为禁止用户名单中,并限制用户第一预设时长内参与目标应用程序对应的至少一类预设活动;若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则还包括:将用户加入到二级疑似绕行行为禁止用户名单中,并限制用户当日参与目标应用程序对应的至少一类预设活动;若末次判断结果中不存在与前端登录请求的流水号一致的埋点采集流水号,则还包括:将用户加入到一级疑似绕行行为禁止用户名单中,并限制用户预设周数内参与目标应用程序对应的至少一类预设活动。
可选地,如图10所示,识别模块904还包括非本人登录行为识别单元9042,用户登录认证信息包括:手机号码,国际移动设备识别码IMEI及GPS信息;网络攻击行为识别策略为非本人登录行为识别策略。
非本人登录行为识别单元9042用于:
确定用户在最近预设时间段内登录成功目标应用程序时的IMEI情况及IMEI关联的手机号码数量;根据IMEI情况及IMEI关联的手机号码数量确定用户换机登录情况;根据用户的手机号码和GPS信息对用户进行位置核验;根据用户换机登录情况及位置核验结果确定用户是否存在非本人登录行为。
可选地,非本人登录行为识别单元9042,在根据用户换机登录情况及位置核验结果确定用户是否存在非本人登录行为时,具体用于:
若确定用户换机登录情况为两个设备间换机且切换登录,并且位置核验通过,则确定用户不存在非本人登录行为,或者若确定用户换机登录情况为多于两个设备间换机且非频繁切换登录,并且位置核验通过,则确定用户不存在非本人登录行为;若确定用户换机登录情况为两个设备间换机且非频繁切换登录,并且无位置核验结果,则确定用户不存在非本人登录行为;若确定用户换机登录情况为多于两个设备间换机且频繁切换登录,并且无位置核验结果或位置核验未通过,则确定用户存在非本人登录行为;若确定用户换机登录情况为两个设备间换机且频繁切换登录或多于两个设备间换机且非频繁切换登录,并且无位置核验结果,则确定用户存在非本人登录行为。
可选地,如图10所示,识别模块904还包括设备异常聚集识别单元9043,用户登录认证信息包括:设备属性信息及手机号码;网络攻击行为识别策略为设备异常聚集识别策略;设备属性信息包括以下信息的任意一种;国际移动设备识别码IMEI、设备型号、设备存储信息、设备屏幕分辨率。
设备异常聚集识别单元9043用于:
确定用户在单位时间内登录成功目标应用程序时的同一设备属性信息关联的手机号码数量;若确定同一设备属性信息关联的手机号码数量大于或等于预设数量阈值,则将同一设备属性信息对应的设备加入到禁止设备名单中,并确定加入到禁止设备名单的设备对应的用户存在设备异常聚集行为;若确定同一设备属性信息关联的手机号码数量小于预设数量阈值,则确定同一设备属性信息对应的用户不存在设备异常聚集行为。
可选地,如图10所示,识别模块904还包括IP异常切换行为识别单元9044,用户登录认证信息包括:用户认证IP信息;网络攻击行为识别策略为IP异常切换行为。
IP异常切换行为识别单元9044用于:
获取用户参加目标应用程序预设活动的活动时间与用户登录目标应用程序的登录时间相差在第二预设时长内的活动IP信息及用户认证IP信息;若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第一预设时间区间内,且出现次数大于或等于预设次数,则确定用户存在IP异常切换行为;若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第二预设时间区间内,且出现次数小于预设次数,则确定用户不存在IP异常切换行为;第一预设时间区间小于第二预设时间区间。
可选地,如图10所示,识别模块904,具体用于:
采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。
可选地,如图10所示,识别模块904还包括加权求和单元9045,加权求和单元9045用于:
确定每种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为的分值及权重;对各分值及权重进行加权求和,以获得用户是否存在网络攻击行为的总分值;根据总分值及预设分值阈值确定用户是否存在网络攻击行为。
可选地,加权求和单元9045,在确定每种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为的分值时,具体用于:
分别根据每种网络攻击行为识别策略及匹配的用户登录认证信息确定用户存在对应的网络攻击行为的风险等级;根据风险等级确定用户存在对应的网络攻击行为的分值。
本申请实施例提供的装置可以具体用于执行上述任一实施例所提供的方法实施例,具体功能此处不再赘述。
实施例九
图11为本申请实施例九提供的电子设备的结构示意图。如图11所示,电子设备110包括:处理器1101,存储器1102,以及存储在存储器1102上并可在处理器1101上运行的计算机执行指令。
其中,处理器1101运行计算机执行指令时实现上述任一方法实施例提供的网络攻击行为识别方法。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时实现上述任一方法实施例提供的方法。
本申请实施例还提供了一种计算机程序产品,程序产品包括:计算机执行指令,计算机执行指令存储在可读存储介质中,电子设备的至少一个处理器可以从可读存储介质读取计算机执行指令,至少一个处理器执行计算机执行指令使得电子设备执行上述任一方法实施例提供的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的确定,仅仅为一种逻辑功能确定,实际实现时可以有另外的确定方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的确定进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构确定成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (12)
1.一种网络攻击行为识别方法,其特征在于,包括:
获取用户登录目标应用程序时的至少一种用户登录认证信息,所述用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息;
获取预先配置的至少一种网络攻击行为识别策略;
确定与每种网络攻击行为识别策略匹配的用户登录认证信息;
采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为;
所述采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,包括:
采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为;
所述用户登录认证信息包括:埋点采集流水号;所述网络攻击行为识别策略为登录绕行行为识别策略;
所述采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,包括:
获取用户登录目标应用程序时产生的前端登录请求的流水号;
采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号,并根据判断结果确定用户是否存在登录绕行行为;
采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号,并根据判断结果确定用户是否存在登录绕行行为,包括:
首次判断是否存在与前端登录请求的流水号一致的埋点采集流水号;
若首次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则在第一预设时长后再次判断是否存在与前端登录请求的流水号一致的埋点采集流水号;
若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则在预设时间点末次确定是否存在与前端登录请求的流水号一致的埋点采集流水号;
若末次判断结果中不存在与前端登录请求的流水号一致的埋点采集流水号,则确定用户存在登录绕行行为;
若在首次判断结果或再次判断结果或末次判断结果中存在与前端登录请求的流水号一致的埋点采集流水号,则确定用户不存在登录绕行行为。
2.根据权利要求1所述的方法,其特征在于,若首次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则还包括:
将所述用户加入到三级疑似绕行行为禁止用户名单中,并限制所述用户第一预设时长内参与目标应用程序对应的至少一类预设活动;
若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则还包括:
将所述用户加入到二级疑似绕行行为禁止用户名单中,并限制所述用户当日参与目标应用程序对应的至少一类预设活动;
若末次判断结果中不存在与前端登录请求的流水号一致的埋点采集流水号,则还包括:
将所述用户加入到一级疑似绕行行为禁止用户名单中,并限制所述用户预设周数内参与目标应用程序对应的至少一类预设活动。
3.根据权利要求1所述的方法,其特征在于,所述用户登录认证信息包括:手机号码、国际移动设备识别码IMEI及GPS信息;所述网络攻击行为识别策略为非本人登录行为识别策略;
所述采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,包括:
确定用户在最近预设时间段内登录成功目标应用程序时的IMEI情况;
根据所述IMEI情况确定用户换机登录情况;
根据用户的手机号码和GPS信息对用户进行位置核验;
根据用户换机登录情况及位置核验结果确定用户是否存在非本人登录行为。
4.根据权利要求3所述的方法,其特征在于,所述根据用户换机登录情况及位置核验结果确定用户是否存在非本人登录行为,包括:
若确定用户换机登录情况为两个设备间换机且切换登录,并且位置核验通过,则确定用户不存在非本人登录行为,或者若确定用户换机登录情况为多于两个设备间换机且非频繁切换登录,并且位置核验通过,则确定用户不存在非本人登录行为;
若确定用户换机登录情况为两个设备间换机且非频繁切换登录,并且无位置核验结果,则确定用户不存在非本人登录行为;
若确定用户换机登录情况为多于两个设备间换机且频繁切换登录,并且无位置核验结果或位置核验未通过,则确定用户存在非本人登录行为;
若确定用户换机登录情况为两个设备间换机且频繁切换登录或多于两个设备间换机且非频繁切换登录,并且无位置核验结果,则确定用户存在非本人登录行为。
5.根据权利要求1所述的方法,其特征在于,所述用户登录认证信息包括:设备属性信息及手机号码;所述网络攻击行为识别策略为设备异常聚集识别策略;
所述设备属性信息包括以下信息的任意一种;国际移动设备识别码IMEI、设备型号、设备存储信息、设备屏幕分辨率;
所述采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,包括:
确定用户在单位时间内登录成功目标应用程序时的同一设备属性信息关联的手机号码数量;
若确定同一设备属性信息关联的手机号码数量大于或等于预设数量阈值,则将同一设备属性信息对应的设备加入到禁止设备名单中,并确定加入到禁止设备名单的设备对应的用户存在设备异常聚集行为;
若确定同一设备属性信息关联的手机号码数量小于预设数量阈值,则确定同一设备属性信息对应的用户不存在设备异常聚集行为。
6.根据权利要求1所述的方法,其特征在于,所述用户登录认证信息包括:用户认证IP信息;所述网络攻击行为识别策略为IP异常切换行为识别策略;
所述采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,包括:
获取用户参加目标应用程序预设活动的活动时间与用户登录目标应用程序的登录时间相差在第二预设时长内的活动IP信息及用户认证IP信息;
若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在2第一预设时间区间内,且出现次数大于或等于预设次数,则确定用户存在IP异常切换行为;
若确定活动IP信息与对应的用户认证IP信息不一致,且不一致的时间差在第二预设时间区间内,且出现次数小于预设次数,则确定用户不存在IP异常切换行为;所述第一预设时间区间小于第二预设时间区间。
7.根据权利要求1所述的方法,其特征在于,所述采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,包括:
采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。
8.根据权利要求7所述的方法,其特征在于,所述采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为,包括:
确定每种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为的分值及权重;
对各分值及权重进行加权求和,以获得用户是否存在网络攻击行为的总分值;
根据所述总分值及预设分值阈值确定用户是否存在网络攻击行为。
9.根据权利要求8所述的方法,其特征在于,所述确定每种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为的分值,包括:
分别根据每种网络攻击行为识别策略及匹配的用户登录认证信息确定用户存在对应的网络攻击行为的风险等级;
根据所述风险等级确定用户存在对应的网络攻击行为的分值。
10.一种网络攻击行为识别装置,其特征在于,包括:
第一获取模块,用于获取用户登录目标应用程序时的至少一种用户登录认证信息,所述用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息;
第二获取模块,用于获取预先配置的至少一种网络攻击行为识别策略;
确定模块,用于确定与每种网络攻击行为识别策略匹配的用户登录认证信息;
识别模块,用于采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为;
识别模块,具体用于采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为;
所述用户登录认证信息包括:埋点采集流水号;所述网络攻击行为识别策略为登录绕行行为识别策略;
识别模块包括登录绕行行为识别单元;登录绕行行为识别单元用于获取用户登录目标应用程序时产生的前端登录请求的流水号;
采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号,并根据判断结果确定用户是否存在登录绕行行为;
登录绕行行为识别单元具体用于首次判断是否存在与前端登录请求的流水号一致的埋点采集流水号;
若首次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则在第一预设时长后再次判断是否存在与前端登录请求的流水号一致的埋点采集流水号;
若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号,则在预设时间点末次确定是否存在与前端登录请求的流水号一致的埋点采集流水号;
若末次判断结果中不存在与前端登录请求的流水号一致的埋点采集流水号,则确定用户存在登录绕行行为;
若在首次判断结果或再次判断结果或末次判断结果中存在与前端登录请求的流水号一致的埋点采集流水号,则确定用户不存在登录绕行行为。
11.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-9中任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-9中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111322748.XA CN113923048B (zh) | 2021-11-09 | 2021-11-09 | 网络攻击行为识别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111322748.XA CN113923048B (zh) | 2021-11-09 | 2021-11-09 | 网络攻击行为识别方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113923048A CN113923048A (zh) | 2022-01-11 |
CN113923048B true CN113923048B (zh) | 2023-07-04 |
Family
ID=79245840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111322748.XA Active CN113923048B (zh) | 2021-11-09 | 2021-11-09 | 网络攻击行为识别方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113923048B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116028909B (zh) * | 2023-02-24 | 2023-12-19 | 深圳市赛柏特通信技术有限公司 | 一种安全办公控制方法、系统及介质 |
CN117896184B (zh) * | 2024-03-14 | 2024-05-28 | 山西金冠同力信息技术有限公司 | 一种基于大数据的网络安全监测方法、装置以及设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106991315A (zh) * | 2017-03-02 | 2017-07-28 | 袁精侠 | 手势验证的验证方法及系统 |
CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
CN109344611A (zh) * | 2018-09-06 | 2019-02-15 | 平安普惠企业管理有限公司 | 应用的访问控制方法、终端设备及介质 |
CN109417553A (zh) * | 2016-06-30 | 2019-03-01 | 微软技术许可有限责任公司 | 经由内部网络监视来检测使用泄漏证书的攻击 |
EP3503494A1 (en) * | 2017-12-22 | 2019-06-26 | Deutsche Telekom AG | Security system and security method for a data network and for terminal devices connected to the data network |
CN111970261A (zh) * | 2020-08-06 | 2020-11-20 | 完美世界(北京)软件科技发展有限公司 | 网络攻击的识别方法、装置及设备 |
CN112565300A (zh) * | 2020-12-25 | 2021-03-26 | 联通(广东)产业互联网有限公司 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3021546B1 (en) * | 2014-11-14 | 2020-04-01 | Institut Mines-Telecom / Telecom Sudparis | Selection of countermeasures against cyber attacks |
-
2021
- 2021-11-09 CN CN202111322748.XA patent/CN113923048B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109417553A (zh) * | 2016-06-30 | 2019-03-01 | 微软技术许可有限责任公司 | 经由内部网络监视来检测使用泄漏证书的攻击 |
CN106991315A (zh) * | 2017-03-02 | 2017-07-28 | 袁精侠 | 手势验证的验证方法及系统 |
EP3503494A1 (en) * | 2017-12-22 | 2019-06-26 | Deutsche Telekom AG | Security system and security method for a data network and for terminal devices connected to the data network |
CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
CN109344611A (zh) * | 2018-09-06 | 2019-02-15 | 平安普惠企业管理有限公司 | 应用的访问控制方法、终端设备及介质 |
CN111970261A (zh) * | 2020-08-06 | 2020-11-20 | 完美世界(北京)软件科技发展有限公司 | 网络攻击的识别方法、装置及设备 |
CN112565300A (zh) * | 2020-12-25 | 2021-03-26 | 联通(广东)产业互联网有限公司 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
Non-Patent Citations (1)
Title |
---|
计算机网络安全技术的影响因素与防范浅析;杨战武;;网络安全技术与应用(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113923048A (zh) | 2022-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113923048B (zh) | 网络攻击行为识别方法、装置、设备及存储介质 | |
Jiang et al. | Isolating and analyzing fraud activities in a large cellular network via voice call graph analysis | |
CN107483381B (zh) | 关联账户的监控方法及装置 | |
CN109214177A (zh) | 一种互联网金融反欺诈系统 | |
CN108471601B (zh) | 网间结算方法、装置、设备及存储介质 | |
KR20170006158A (ko) | 문자 메시지 부정 사용 탐지 방법 및 시스템 | |
CN113872928A (zh) | 通过网络安全防御获得收益的方法、客户端及系统 | |
CN111182018B (zh) | 一种用户识别方法、装置、设备及介质 | |
CN111105064A (zh) | 确定欺诈事件的嫌疑信息的方法及装置 | |
CN109547427A (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
CN109147276A (zh) | 监护方法及装置 | |
CN110943989B (zh) | 一种设备鉴别方法、装置、电子设备及可读存储介质 | |
AT&T | paper.dvi | |
CN107622065B (zh) | 一种数据处理方法及服务器 | |
CN110535859B (zh) | 网络安全应急能力确定方法、装置及电子设备 | |
CN114168423A (zh) | 异常号码的呼叫监控方法、装置、设备及存储介质 | |
CN111510415B (zh) | 黑名单号码共享及识别方法、装置、设备、存储介质 | |
CN111932290A (zh) | 请求处理方法、装置、设备和存储介质 | |
CN110417634A (zh) | 基于信息安全的防刷票作弊方法及相关设备 | |
CN110544104A (zh) | 帐号的确定方法、装置、存储介质及电子装置 | |
CN106161127A (zh) | 用户类别检测方法和装置 | |
CN113191800B (zh) | 一种统计app上广告点击量的方法和装置 | |
CN106993290B (zh) | 通信记录的检测方法及装置 | |
CN114338216B (zh) | 多维暴刷攻击防治方法、装置、设备及介质 | |
CN113422836B (zh) | 养卡用户识别方法、装置、设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |