CN114928462A - 一种基于用户行为识别的Web安全防护方法 - Google Patents
一种基于用户行为识别的Web安全防护方法 Download PDFInfo
- Publication number
- CN114928462A CN114928462A CN202210224400.5A CN202210224400A CN114928462A CN 114928462 A CN114928462 A CN 114928462A CN 202210224400 A CN202210224400 A CN 202210224400A CN 114928462 A CN114928462 A CN 114928462A
- Authority
- CN
- China
- Prior art keywords
- user
- web
- user behavior
- behavior recognition
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000006399 behavior Effects 0.000 claims abstract description 48
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 21
- 238000004088 simulation Methods 0.000 claims abstract description 12
- 238000011835 investigation Methods 0.000 claims abstract description 8
- 238000012795 verification Methods 0.000 claims description 20
- 230000007123 defense Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 6
- 230000003213 activating effect Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 claims description 3
- 230000003111 delayed effect Effects 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 230000009545 invasion Effects 0.000 claims description 2
- 230000000694 effects Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明属于网络安全防护技术领域,具体为一种基于用户行为识别的Web安全防护方法,包括:获取Web安全防护案例信息,提取入侵特征,生成特征数据库;建立用户行为识别模型,获取当前Web页面用户行为信息;通过异常行为识别模块对大量数据的学习和分析找出当前浏览异常行为用户。本发明通过生成特征数据库,建立用户行为识别模型,使异常行为识别模块对大量数据的学习和分析找出当前浏览异常行为用户,锁定IP后进行启动深度调查模块进行筛选,进行特征提取,将特征规范化,根据用户特征和特征数据库的匹配率确认用户的威胁概率,排列出嫌疑主体列表,启用风险模拟模块进行行为模拟,实际分辨出入侵者,实现了保证良好使用体验的同时分辨出风险。
Description
技术领域
本发明涉及网络安全防护技术领域,具体为一种基于用户行为识别的Web 安全防护方法。
背景技术
随着我国国民经济和社会信息化进程的全面加快,互联网已经成为人们工作和生活不可或缺的部分。越来越多的政府机关、银行、企事业等单位为了适应社会的发展,树立自身良好的形象,扩大社会影响,提升工作效率,均建立起自己的门户网站。然而,由于网站是处于互联网这样一个相对开放的环境中,各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷,病毒木马和恶意代码网上肆虐,黑客入侵和篡改网站的安全事件时有发生,严重危及国家安全和人民利益。
目前网站安全形势与其重要性不相匹配,其安全性问题当前非常突出,比如跨站脚本、注入攻击、越权操作、文件上传和第三方应用程序等,而面对该类入侵的防护方法一般是采用防火墙进行阻断,但这仅能对已造成危害的手段进行阻拦,对于一些隐蔽的入侵手段来说,往往只能全部阻挡,会带来不良的使用体验,仍缺少一种对用户行为进行监测,进而提前做出防御手段的方法,以此达到保证良好使用体验的同时分辨出风险。
发明内容
本发明旨在解决现有技术或相关技术中存在的技术问题之一。
为此,本发明所采用的技术方案为:
一种基于用户行为识别的Web安全防护方,包括:
获取Web安全防护案例信息,提取入侵特征,生成特征数据库;
建立用户行为识别模型,获取当前Web页面用户行为信息;
通过异常行为识别模块对大量数据的学习和分析找出当前浏览异常行为用户,锁定IP后进行启动深度调查模块进行筛选,进行特征提取,将特征规范化,导入特征数据库;
根据用户特征和特征数据库的匹配率确认用户的威胁概率,排列出嫌疑主体列表,主动激活并引导防御系统;
在防御系统下启用风险模拟模块,对嫌疑主体的行为信息进行风险验证,运行异常行为信息,未出现警报则排除该用户,使其在在Web页面正常运行,出现警报后对该用户进行阻断,在Web页面显示设定的无法运行信息;
生成安全报告,记录该IP及其威胁方式。
通过采用上述技术方案,可以生成特征数据库,建立用户行为识别模型,使异常行为识别模块对大量数据的学习和分析找出当前浏览异常行为用户,锁定IP后进行启动深度调查模块进行筛选,进行特征提取,将特征规范化,根据用户特征和特征数据库的匹配率确认用户的威胁概率,排列出嫌疑主体列表,启用风险模拟模块进行行为模拟,实际分辨出入侵者,实现了保证良好使用体验的同时分辨出风险,便于推广使用。
本发明在一较佳示例中可以进一步配置为:所述特征数据库根据Web页面实时更新获取到的用户特征,匹配后剔除无效特征。
通过采用上述技术方案,以此可以做到特征数据库的迭代,提高防护效果。
本发明在一较佳示例中可以进一步配置为:所述防御系统包括防火墙、 IPS/IDS、终端管控和身份认证。
通过采用上述技术方案,可以多方面验证用户信息,减少失误。
本发明在一较佳示例中可以进一步配置为:所述风险验证期间Web页面显示为网络等待、验证码验证、安全警告、跳转页、重新行为确认和延时操作步骤中的一种或几种组合而成。
通过采用上述技术方案,在此时间可以后台运行行为指令,判断是否有风险,即便有风险断开后也不影响服务器的正常运行,较为安全,同时提高了防护的准确性,提高使用感。
本发明在一较佳示例中可以进一步配置为:所述Web服务器上安装有网页防篡改子系统,采用对象相关(Object-Specific)保护方式来保护网页不被篡改。
通过采用上述技术方案,即网站管理员可以自行选择需要保护的网页文件设定为受控对象,对于每一-个受保护的对象,管理员为其设定一个对象相关授权码,进行实时安全防护。
本发明在一较佳示例中可以进一步配置为:所述防御系统利用信任链机制,对系统中所有装载的可执行文件代码进行控制,所有可执行文件代码在加载运行之间都需要先经过检验,只有通过验证的代码才可以加载,从而有效地阻止恶意代码的运行。
通过采用上述技术方案,使所有可执行文件代码在加载运行之间都需要先经过检验,只有通过验证的代码才可以加载,从而有效地阻止恶意代码的运行。
本发明在一较佳示例中可以进一步配置为:所述威胁概率为用户行为特征与特征数据库内特征内容的重复程度,并根据实时更新进行筛选。
通过采用上述技术方案,保证入侵信息的更新,提高防护能力。
本发明在一较佳示例中可以进一步配置为:所述风险验证位于Web子服务器内,且Web服务器采用单独加密网络。
通过采用上述技术方案,可以进行隔离,防止对服务器造成影响。
本发明在一较佳示例中可以进一步配置为:还包括有一种用户行为识别装置,所述用户行为识别装置上存储有计算机程序,当所述计算机程序被处理器执行时,实现如上述的基于用户行为识别的Web安全防护方法。
通过采用上述技术方案,可以驱动用户行为识别模型进行实时监控。
本发明的上述技术方案具有如下有益的技术效果:
本发明中,通过生成特征数据库,建立用户行为识别模型,使异常行为识别模块对大量数据的学习和分析找出当前浏览异常行为用户,锁定IP后进行启动深度调查模块进行筛选,进行特征提取,将特征规范化,根据用户特征和特征数据库的匹配率确认用户的威胁概率,排列出嫌疑主体列表,启用风险模拟模块进行行为模拟,实际分辨出入侵者,实现了保证良好使用体验的同时分辨出风险,便于推广使用。
附图说明
图1为本发明的Web安全防护系统示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式和附图,对本发明进一步详细说明。需要说明的是,在不冲突的情况下,本发明的实施例及实施例中的特征可以相互组合。
该理解,这些描述只是示例性的,而并非要限制本发明的范围。
下面描述本发明的一些实施例提供的一种基于用户行为识别的Web安全防护方法。
结合图1所示,本发明提供的一种基于用户行为识别的Web安全防护方法,包括:获取Web安全防护案例信息,提取入侵特征,生成特征数据库;建立用户行为识别模型,获取当前Web页面用户行为信息;通过异常行为识别模块对大量数据的学习和分析找出当前浏览异常行为用户,锁定IP后进行启动深度调查模块进行筛选,进行特征提取,将特征规范化,导入特征数据库;根据用户特征和特征数据库的匹配率确认用户的威胁概率,排列出嫌疑主体列表,主动激活并引导防御系统;在防御系统下启用风险模拟模块,对嫌疑主体的行为信息进行风险验证,运行异常行为信息,未出现警报则排除该用户,使其在在Web页面正常运行,出现警报后对该用户进行阻断,在Web 页面显示设定的无法运行信息;生成安全报告,记录该IP及其威胁方式。
进一步的,特征数据库根据Web页面实时更新获取到的用户特征,匹配后剔除无效特征,以此可以做到特征数据库的迭代,提高防护效果。
另一方面,防御系统包括防火墙、IPS/IDS、终端管控和身份认证,可以多方面验证用户信息,减少失误。
具体的,风险验证期间Web页面显示为网络等待、验证码验证、安全警告、跳转页、重新行为确认和延时操作步骤中的一种或几种组合而成,在此时间可以后台运行行为指令,判断是否有风险,即便有风险断开后也不影响服务器的正常运行,较为安全,同时提高了防护的准确性,提高使用感。
在上述实施例中,Web服务器上安装有网页防篡改子系统,采用对象相关(Object-Specific)保护方式来保护网页不被篡改,即网站管理员可以自行选择需要保护的网页文件设定为受控对象,对于每一-个受保护的对象,管理员为其设定一个对象相关授权码,进行实时安全防护。
具体的,防御系统利用信任链机制,对系统中所有装载的可执行文件代码进行控制,所有可执行文件代码在加载运行之间都需要先经过检验,只有通过验证的代码才可以加载,从而有效地阻止恶意代码的运行。
进一步的,威胁概率为用户行为特征与特征数据库内特征内容的重复程度,并根据实时更新进行筛选,保证入侵信息的更新。
在该实施例中,风险验证位于Web子服务器内,且Web服务器采用单独加密网络,可以进行隔离,防止对服务器造成影响。
信息安全具有动态性,安全的风险不断在变化,也就是说没有100%的安全,如何去根据业务需求去保护我们的WEB安全,在基础安全建设同时,我们更要重视对可能发生的事件要具有相应的应急相应计划。从另一个角度提高网站的安全性,并确保能够及时发现并处理安全事件,不断地降低网站安全风险。
一种用户行为识别装置,用户行为识别装置上存储有计算机程序,当计算机程序被处理器执行时,实现上述的基于用户行为识别的Web安全防护方法。
通过生成特征数据库,建立用户行为识别模型,使异常行为识别模块对大量数据的学习和分析找出当前浏览异常行为用户,锁定IP后进行启动深度调查模块进行筛选,进行特征提取,将特征规范化,根据用户特征和特征数据库的匹配率确认用户的威胁概率,排列出嫌疑主体列表,启用风险模拟模块进行行为模拟,实际分辨出入侵者,实现了保证良好使用体验的同时分辨出风险,便于推广使用。
本发明的工作原理及使用流程:首先获取Web安全防护案例信息,提取入侵特征,生成特征数据库;建立用户行为识别模型,获取当前Web页面用户行为信息;通过异常行为识别模块对大量数据的学习和分析找出当前浏览异常行为用户,锁定IP后进行启动深度调查模块进行筛选,进行特征提取,将特征规范化,导入特征数据库;根据用户特征和特征数据库的匹配率确认用户的威胁概率,排列出嫌疑主体列表,主动激活并引导防御系统;在防御系统下启用风险模拟模块,对嫌疑主体的行为信息进行风险验证,运行异常行为信息,未出现警报则排除该用户,使其在在Web页面正常运行,出现警报后对该用户进行阻断,在Web页面显示设定的无法运行信息;生成安全报告,记录该IP及其威胁方式,供人工查阅即可。
在本说明书的描述中,术语“一个实施例”、“一些实施例”、“具体实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或实例。而且,描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解,在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
Claims (9)
1.一种基于用户行为识别的Web安全防护方法,其特征在于,包括:
获取Web安全防护案例信息,提取入侵特征,生成特征数据库;
建立用户行为识别模型,获取当前Web页面用户行为信息;
通过异常行为识别模块对大量数据的学习和分析找出当前浏览异常行为用户,锁定IP后进行启动深度调查模块进行筛选,进行特征提取,将特征规范化,导入特征数据库;
根据用户特征和特征数据库的匹配率确认用户的威胁概率,排列出嫌疑主体列表,主动激活并引导防御系统;
在防御系统下启用风险模拟模块,对嫌疑主体的行为信息进行风险验证,运行异常行为信息,未出现警报则排除该用户,使其在在Web页面正常运行,出现警报后对该用户进行阻断,在Web页面显示设定的无法运行信息;
生成安全报告,记录该IP及其威胁方式。
2.根据权利要求1所述的一种基于用户行为识别的Web安全防护方法,其特征在于,所述特征数据库根据Web页面实时更新获取到的用户特征,匹配后剔除无效特征。
3.根据权利要求1所述的一种基于用户行为识别的Web安全防护方法,其特征在于,所述防御系统包括防火墙、IPS/IDS、终端管控和身份认证。
4.根据权利要求1所述的一种基于用户行为识别的Web安全防护方法,其特征在于,所述风险验证期间Web页面显示为网络等待、验证码验证、安全警告、跳转页、重新行为确认和延时操作步骤中的一种或几种组合而成。
5.根据权利要求1所述的一种基于用户行为识别的Web安全防护方法,其特征在于,所述Web服务器上安装有网页防篡改子系统,采用对象相关(Object-Specific)保护方式来保护网页不被篡改。
6.根据权利要求1所述的一种基于用户行为识别的Web安全防护方法,其特征在于,所述防御系统利用信任链机制,对系统中所有装载的可执行文件代码进行控制,所有可执行文件代码在加载运行之间都需要先经过检验,只有通过验证的代码才可以加载。
7.根据权利要求1所述的一种基于用户行为识别的Web安全防护方法,其特征在于,所述威胁概率为用户行为特征与特征数据库内特征内容的重复程度,并根据实时更新进行筛选。
8.根据权利要求1所述的一种基于用户行为识别的Web安全防护方法,其特征在于,所述风险验证位于Web子服务器内,且Web服务器采用单独加密网络。
9.一种用户行为识别装置,其特征在于,所述用户行为识别装置上存储有计算机程序,当所述计算机程序被处理器执行时,实现如权利要求1-7任一项所述的基于用户行为识别的Web安全防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210224400.5A CN114928462A (zh) | 2022-03-09 | 2022-03-09 | 一种基于用户行为识别的Web安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210224400.5A CN114928462A (zh) | 2022-03-09 | 2022-03-09 | 一种基于用户行为识别的Web安全防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114928462A true CN114928462A (zh) | 2022-08-19 |
Family
ID=82804960
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210224400.5A Pending CN114928462A (zh) | 2022-03-09 | 2022-03-09 | 一种基于用户行为识别的Web安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114928462A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115496169A (zh) * | 2022-11-17 | 2022-12-20 | 西安科技大学 | 基于5g和人工智能的不安全行为识别系统 |
CN115577701A (zh) * | 2022-09-23 | 2023-01-06 | 刘娇平 | 针对大数据安全的风险行为识别方法、装置、设备及介质 |
-
2022
- 2022-03-09 CN CN202210224400.5A patent/CN114928462A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115577701A (zh) * | 2022-09-23 | 2023-01-06 | 刘娇平 | 针对大数据安全的风险行为识别方法、装置、设备及介质 |
CN115577701B (zh) * | 2022-09-23 | 2023-09-19 | 刘娇平 | 针对大数据安全的风险行为识别方法、装置、设备及介质 |
CN115496169A (zh) * | 2022-11-17 | 2022-12-20 | 西安科技大学 | 基于5g和人工智能的不安全行为识别系统 |
CN115496169B (zh) * | 2022-11-17 | 2023-04-07 | 西安科技大学 | 基于5g和人工智能的不安全行为识别系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Rodríguez et al. | Cross-site scripting (XSS) attacks and mitigation: A survey | |
Salem et al. | A survey of insider attack detection research | |
CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
CN101816148A (zh) | 用于验证、数据传送和防御网络钓鱼的系统和方法 | |
CN114928462A (zh) | 一种基于用户行为识别的Web安全防护方法 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
Yermalovich | Ontology-based model for security assessment: Predicting cyberattacks through threat activity analysis | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
Zakaria et al. | Feature extraction and selection method of cyber-attack and threat profiling in cybersecurity audit | |
Sharma et al. | Categorizing threat types and cyber-assaults over Internet of Things-equipped gadgets | |
Geramiparvar et al. | Security as a Serious Challenge for E-Banking: a Review of Emmental Malware | |
Lawal et al. | Have you been framed and can you prove it? | |
Hahn et al. | Process control systems in the chemical industry: Safety vs. security | |
Yasmeen et al. | The critical analysis of E-Commerce web application vulnerabilities | |
Rawal et al. | Hacking for Dummies | |
Al-Saraireh | Enhancing the Penetration Testing Approach and Detecting Advanced Persistent Threat Using Machine Learning | |
CN115460023B (zh) | 一种用于网络安全整体保障的方法及系统 | |
Nie et al. | On the Information Security Issue in the Information Construction process of colleges and universities | |
Singh et al. | Managing Cyber Security | |
CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 | |
Adu-Manu et al. | Phishing Attacks in Social Engineering: A Review. | |
Marulli et al. | Let’s gossip: Exploring malware zero-day time windows by social network analysis | |
Kissoon et al. | An Analysis of Key Tools for Detecting Cross-Site Scripting Attacks on Web-Based Systems | |
Wibowo et al. | Apache web server security with security hardening | |
Patel12 et al. | Chapter-9 A Study of Cyber Security Threats in the Era of Covid-19 Pandemic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |