CN116846638A - 一种越权行为检测方法、装置、电子设备及存储介质 - Google Patents
一种越权行为检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116846638A CN116846638A CN202310822915.XA CN202310822915A CN116846638A CN 116846638 A CN116846638 A CN 116846638A CN 202310822915 A CN202310822915 A CN 202310822915A CN 116846638 A CN116846638 A CN 116846638A
- Authority
- CN
- China
- Prior art keywords
- source
- access
- url
- address
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 29
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 238000000034 method Methods 0.000 claims abstract description 56
- 230000006399 behavior Effects 0.000 claims description 147
- 238000004140 cleaning Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 29
- 230000002159 abnormal effect Effects 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 19
- 230000009471 action Effects 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 7
- 238000009826 distribution Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及网络技术安全领域,尤其涉及一种越权行为检测方法、装置、电子设备及存储介质。该方法中,获取预设时间段内的多个访问行为信息。根据多个访问行为信息,统计源IP地址访问URL的访问次数。根据访问次数,建立节点访问关系图。采用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区。根据源IP地址对应的URL,建立每个节点社区的URL集合。根据URL集合中源IP地址的被访问次数,确定越权URL集合。当接收到新的访问请求时,在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为。上述方案,基于越权URL集合,实现了自动化检测越权行为,提高了识别越权行为的准确率。
Description
技术领域
本申请涉及网络技术安全领域,尤其涉及一种越权行为检测方法、装置、电子设备及存储介质。
背景技术
越权访问是全球广域网(World Wide Web,Web)应用程序中一种常见的漏洞,该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者获取更高权限,以达到获取企业敏感信息的目的。
目前,可以通过设置业务逻辑和业务权限的规则实现防止用户越权。但是,设置业务逻辑和业务权限的规则,需要工作人员具备较强的先验知识,才能进行正确设置。同时还需要耗费大量人力检验其精确性。且通过人工设置WEB应用权限管理对业务复杂的系统难以适用。
如何能够实现自动化检测越权行为,且提高检测越权行为的准确率是一种值得商榷的问题。
发明内容
本申请实施例提供一种越权行为检测方法、装置、电子设备及存储介质,用于实现自动化检测越权行为,且提高检测越权行为的准确率。
第一方面,本申请实施例提供一种越权行为检测方法,包括:获取预设时间段内的多个访问行为信息。其中,每个访问行为信息包括源IP地址与URL的对应关系。根据多个访问行为信息,统计源IP地址访问URL的访问次数。根据访问次数,建立节点访问关系图。其中,源IP地址与节点一一对应。访问次数都大于等于第一阈值的不同节点之间存在连接边。节点访问关系图用于表示不同源IP地址之间的关联关系。采用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区。根据源IP地址对应的URL,建立每个节点社区的URL集合,URL集合包括多个属于同一节点社区的URL。根据URL集合中源IP地址的被访问次数,确定越权URL集合,越权URL集合中每个URL对应的源IP地址都存在越权行为。当接收到新的访问请求时,在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,访问请求包括第一源IP地址与第一源IP地址对应的第一URL。
上述方法中,通过建立URL集合的方式,确定了节点社区与源IP地址对应的URL之间的关联关系。便于基于节点社区与源IP地址对应的URL之间的关联关系,确定源IP地址的下一次访问请求是否存在越权行为。同时,本申请根据节点社区与源IP地址对应的URL之间的关联关系,确定了越权URL集合,在接收到新的访问请求时,可以根据越权URL集合,快速确定访问请求中的第一IP地址是否存在越权行为。相较于人工设置业务逻辑规则检验访问请求中的第一IP地址是否存在越权行为,实现了自动化检测越权行为,提高了检测越权行为的准确率,增强了企业应用系统权限管理、分配的适用性。
可选的,获取预设时间段内的多个访问行为信息之后,方法还包括:
按照设置的数据清洗规则,清洗访问行为信息,得到清洗数据。
上述方法中,通过按照设置的数据清洗规则,清洗访问行为信息,得到清洗数据的方式,可以排除干扰,后续可以更加准确地检测是否存在越权行为。
可选的,按照设置的数据清洗规则,清洗访问行为信息,得到清洗数据具体包括:
从数据库中获取预设的干扰类型文本;
在访问行为信息中存在干扰类型文本的情况下,删除干扰类型文本,得到第一信息;
将第一信息统一编码为预设的格式,得到清洗数据。
上述方法中,通过在访问行为信息中删除干扰类型文本,得到第一信息。将第一信息统一编码为预设的格式,得到清洗数据的方式,可以排除干扰类型文本的干扰,统一格式,便于后续可以更加准确地检测是否存在越权行为。
可选的,获取预设时间段内的多个访问行为信息,具体包括:
获取预设时间段内的系统访问日志,系统访问日志包括多个访问信行为信息。
上述方法中,可以获取预设时间段内的系统访问日志的方式,获取多个访问行为信息。由于预设时间是可以根据应用场景进行设置的,获取的多个访问行为信息也是具有时效性的,可以便于更加准确的检测是否存在越权行为。
可选的,获取预设时间段内的系统访问日志之后,方法还包括:
将系统访问日志与预设的异常字符作比较;
在系统访问日志存在异常字符的情况下,在系统访问日志中删除异常字符;
和/或,在系统访问日志存在访问失败日志的情况下,删除访问失败日志,访问失败日志是根据请求参数确定的。
上述方法中,通过删除系统访问日志中的异常字符,以及访问失败日志的方式,可以排除干扰信息,便于后续更加准确地检测是否存在越权行为。
可选的,根据URL集合中源IP地址的被访问次数,确定越权URL集合,具体包括:
当被访问次数小于第二阈值时,确定源IP地址不存在越权行为;
在URL集合中删除被访问次数小于第二阈值的源IP地址对应的URL,得到越权URL集合。
上述方法中,服务端可以通过采用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区,得到每个源IP所属的节点社区。确定了源IP与节点社区之间的对应关系。便于后续建立用户群组即节点社区和URL的对应关系。根据越权URL集合确定访问请求中的第一IP地址是否存在越权行为。
可选的,上述方法还包括:
当源IP地址在URL集合中任一URL的被访问次数大于等于第二阈值时,确定源IP地址存在越权行为。
上述方法中,通过将源IP地址在URL集合中任一URL的被访问次数与第二阈值进行比较的方式,可以确定存在越权行为的源IP地址。便于建立越权URL集合。便于后续根据越权URL集合确定访问请求中的第一IP地址是否存在越权行为。
可选的,当接收到新的访问请求时,在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,具体包括:
当接收到访问请求时,根据第一源IP地址,确定第一源IP地址所属的节点社区,访问请求包括第一源IP地址与第一源IP地址对应的第一URL;
根据第一源IP地址所属的节点社区,确定节点社区的越权URL集合;
在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为。
上述方法中,在接收到新的访问请求时,通过确定第一源IP地址所属的节点社区对应的越权URL集合,是否存在与第一URL的方式,检测访问请求中的第一源IP地址存在越权行为。相较于人工设置业务逻辑规则检验源IP地址是否存在越权行为,实现了自动化检测越权行为,提高了识别越权行为的准确率。增强了企业应用系统权限管理、分配的适用性。
第二方面,本申请实施例提供一种越权行为检测装置,包括:
收发模块,用于获取预设时间段内的多个访问行为信息,每个访问行为信息包括源IP地址与URL的对应关系;
处理模块,用于根据多个访问行为信息,统计源IP地址访问URL的访问次数;
处理模块,还用于根据访问次数,建立节点访问关系图,源IP地址与节点一一对应,访问次数都大于等于第一阈值的不同节点之间存在连接边,节点访问关系图用于表示不同源IP地址之间的关联关系;
处理模块,还用于采用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区;
处理模块,还用于根据源IP地址对应的URL,建立每个节点社区的URL集合,URL集合包括多个属于同一节点社区的URL;
处理模块,还用于根据URL集合中源IP地址的被访问次数,确定越权URL集合,越权URL集合中每个URL对应的源IP地址都存在越权行为;
检测模块,用于当接收到新的访问请求时,在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,访问请求包括第一源IP地址与第一源IP地址对应的第一URL。
第三方面,本申请实施例还提供了一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,当计算机程序被处理器执行时,使得处理器实现上述第一方面中的任一种越权行为检测方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时,实现第一方面的越权行为检测方法。
第五方面,本申请实施例还提供了一种计算机程序产品,包括计算机程序,计算机程序被处理器执行以实现如上述第一方面中任一项的越权行为检测方法。
第二方面至第五方面中任意一种实现方式所带来的技术效果可参见第一方面中对应的实现方式所带来的技术效果,此处不再赘述。
附图说明
图1为本申请实施例提供的一种越权行为检测方法的应用场景示意图;
图2为本申请实施例提供的一种越权行为检测方法流程图;
图3为本申请实施例提供的一种节点访问关系图的示意图;
图4为本申请实施例提供的一种示例性的越权行为检测方法流程图;
图5为本申请实施例提供的一种越权行为检测的装置示意图;
图6为本申请实施例提供的电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本申请实施例描述的应用场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
目前,越权访问是全球广域网(World Wide Web,Web)应用程序中一种常见的漏洞,该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者获取更高权限,以达到获取企业敏感信息的目的。
目前,可以通过设置业务逻辑和业务权限的规则实现防止用户越权。但是,需要工作人员具备较强的先验知识,才能进行正确设置业务逻辑和业务权限的规则。同时还需要耗费大量人力检验其精确性。且通过人工设置WEB应用权限管理对业务复杂的系统难以适用。
为了解决上述问题,本申请实施例提供一种越权行为检测方法、装置及电子设备。例如,获取预设时间段内的多个访问行为信息。其中,每个访问行为信息包括源IP地址与URL的对应关系。根据多个访问行为信息,统计源IP地址访问URL的访问次数。根据访问次数,建立节点访问关系图。其中,源IP地址与节点一一对应。访问次数都大于等于第一阈值的不同节点之间存在连接边。节点访问关系图用于表示不同源IP地址之间的关联关系。采用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区。根据源IP地址对应的URL,建立每个节点社区的URL集合,URL集合包括多个属于同一节点社区的URL。根据URL集合中源IP地址的被访问次数,确定越权URL集合,越权URL集合中每个URL对应的源IP地址都存在越权行为。当接收到新的访问请求时,在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,访问请求包括第一源IP地址与第一源IP地址对应的第一URL。
如图1所示,本申请实施例一种可选的越权行为检测方法的应用场景示意图,包括服务端103、终端101。服务端103与终端101之间可以通过网络102实现可通信的连接,以实现本申请的越权行为检测方法。
在一种可能的情况中,服务端103可以获取预设时间段内的多个访问行为信息。其中,每个访问行为信息包括源IP地址与URL的对应关系。根据多个访问行为信息,统计源IP地址访问URL的访问次数。根据访问次数,建立节点访问关系图。其中,源IP地址与节点一一对应。访问次数都大于等于第一阈值的不同节点之间存在连接边。节点访问关系图用于表示不同源IP地址之间的关联关系。采用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区。根据源IP地址对应的URL,建立每个节点社区的URL集合,URL集合包括多个属于同一节点社区的URL。根据URL集合中源IP地址的被访问次数,确定越权URL集合,越权URL集合中每个URL对应的源IP地址都存在越权行为。当接收到新的访问请求时,在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,访问请求包括第一源IP地址与第一源IP地址对应的第一URL。
如图2所示,本申请实施例提供的一种越权行为检测方法流程图,具体可以包括以下步骤。
S201、获取预设时间段内的多个访问行为信息。
其中,每个访问行为信息包括源网际互连协议(Internet Protoco,IP)地址与访问接口名称(Uniform Resource Locator,URL)的对应关系。
可选的,访问行为信息还可以包括访问行为信息对应的访问时间(timestamp)等其他信息,本申请对此不做具体限定。
可以理解的是,本申请实施例中预设时间段可以为本领域技术人员预先设置的,并且该预设时间段可以根据具体的应用场景进行合理设置。
例如,假设预设时间段为一天。则服务端可以获取一天内的系统访问日志。又例如,假设预设时间段为6小时。则服务端可以获取6小时内的系统访问日志。
可选的,为了排除干扰,后续可以更加准确地检测是否存在越权行为。在获取预设时间段内的多个访问行为信息之后,服务端可以按照设置的数据清洗规则,清洗访问行为信息,得到清洗数据。
在一种可选的实施例中,服务端可以从数据库中获取预设的干扰类型文本。在访问行为信息中存在干扰类型文本的情况下,删除干扰类型文本得到第一信息。再将第一信息统一编码为预设的格式,得到清洗数据。
可以理解的是,本申请实施例中干扰类型文本、统一后的文本编码格式可以为本领域技术人员预先设置的,并且该干扰类型文本、统一后的文本编码格式可以根据具体的应用场景进行合理设置。
例如,预设的干扰类型文本可以包括协议、IP地址、端口号等类型文本。统一后的文本编码格式可以包括小写字体(lowcase)。
可选的,本申请实施例还可以获取预设时间段内的系统访问日志。其中,系统访问日志包括多个访问信行为信息。例如,可以使用探针获取系统访问日志。
在一种可能的情况中,为了便于后续根据系统访问日志进行数据分析,服务端可以将上述系统访问日志存储在数据库中。
在获取预设时间段内的系统访问日志之后,为了排除干扰,后续更加准确地检测是否存在越权行为,服务端还可以在按照设置的数据清洗规则,清洗访问行为信息之前,将系统访问日志与预设的异常字符作比较。在系统访问日志存在异常字符的情况下,在系统访问日志中删除异常字符。
可以理解的是,本申请实施例中异常字符可以为本领域技术人员预先设置的,并且该异常字符可以根据具体的应用场景进行合理设置。
在一种可能的情况中,由于系统访问日志中可能包括访问失败日志,为了排除访问失败日志的干扰。服务端还可以根据请求参数确定系统访问日志中的访问失败日志,在系统访问日志存在访问失败日志的情况下,删除访问失败日志。
例如,访问成功的系统访问日志的请求参数为200。则在系统访问日志的请求参数不为200的情况下,服务端可以确定该系统访问日志访问失败。
S202、根据多个访问行为信息,统计源IP地址访问URL的访问次数。
在一种可选的实施例中,由于源IP地址与URL存在对应关系,且获取的是预设时间段内的多个访问行为信息。则服务端可以统计源IP地址访问URL的访问次数,确定在预设时间段内源IP地址访问URL的访问次数。
S203、根据访问次数,建立节点访问关系图。
其中,源IP地址与节点一一对应,访问次数都大于等于第一阈值的不同节点之间存在连接边,节点访问关系图用于表示不同源IP地址之间的关联关系。
在一种可选的实施例中,由于源IP地址与节点是一一对应的,则节点访问关系图中包括节点集合V={vi|i=1,2,…,n},其中,n为节点个数。vi为各个节点。
服务端可以统计源IP地址访问URL的访问次数。在不同的两个节点访问同一URL的访问次数都大于等于第一阈值的情况下,则服务端可以确定上述不同的两个节点之间存在关联关系,可以连接上述不同的两个节点。即访问次数都大于等于第一阈值的不同节点之间存在连接边。在服务端将所有源IP地址访问不同URL的访问次数都确定完毕,将具有关联关系的节点都连接之后,可以得到节点访问关系图。
例如,假设节点集合包括节点u与节点v。第一阈值为50。节点u访问URL1的访问次数为62次。节点v访问URL1的访问次数为78次。则节点u与节点v访问URL1的访问次数都大于第一阈值。服务端可以确定上述节点u与节点v之间存在关联关系。服务端可以连接节点u与节点v。记边(u,v)∈E,E为边集合。在服务端将系统访问日志中所有源IP地址访问不同URL的访问次数都确定完毕。连接所有边之后,得到节点访问关系图G={V,E}。
又例如,假设节点集合包括节点m与节点n。第一阈值为50。节点m访问URL2的访问次数为40次。节点v访问URL2的访问次数为60次。则节点m访问URL2的访问次数大于第一阈值。节点n访问URL2的访问次数小于第一阈值。服务端可以确定上述节点m与节点n之间不存在关联关系。即在节点访问关系图中节点m与节点n之间不存在连接边。
又例如,假设节点集合包括节点a与节点b。第一阈值为50。节点a访问URL3的访问次数为35次。节点b访问URL3的访问次数为26次。则节点a访问URL2的访问次数小于第一阈值。节点b访问URL2的访问次数小于第一阈值。服务端可以确定上述节点a与节点b之间不存在关联关系。即在节点访问关系图中节点a与节点b之间不存在连接边。
如图3所示,本申请提供一种节点访问关系图的示意图。图3中节点a与节点b之间存在连接边。节点b与节点c之间存在连接边。节点c与节点d之间存在连接边。节点d与节点e之间存在连接边。节点d与节点g之间存在连接边。节点h与节点i之间存在连接边。节点f与其他节点之间不存在连接边。
上述方法中,通过根据源IP地址访问URL的访问次数,建立节点访问关系图的方式,确定了不同源IP地址之间的关联关系。便于后续根据源IP地址访问URL的访问次数,建立用于表示节点社区与源IP地址对应的URL之间关联关系的URL集合。
S204、采用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区。
可以理解的是,本申请对社区发现算法不做具体限定。例如,可以采用标签传播算法(Label Propagation Algorithm,LPA)对节点访问关系图中的节点进行聚类,得到多个节点社区。又例如,可以采用社区发现算法(louvain)对节点访问关系图中的节点进行聚类,得到多个节点社区。
上述方法中,服务端可以通过用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区,得到每个源IP所属的节点社区。确定了源IP与节点社区之间的对应关系。便于后续建立用户群组即节点社区和URL的对应关系。根据URL集合确定源IP地址是否存在越权行为。
S205、根据源IP地址对应的URL,建立每个节点社区的URL集合。
其中,URL集合包括多个属于同一节点社区的URL。
在一种可选的实施例中,由于IP地址与URL存在对应关系。服务端可以根据每个源IP地址所属的节点社区,对于每一个节点社区,统计出属于该节点社区的URL集合。
例如,源IP地址1对应URL1。源IP地址2对应URL2。源IP地址3对应URL3。源IP地址4对应URL4。其中,源IP地址1、源IP地址2、源IP地址4都属于节点社区a。则节点社区a对应的URL集合中包括URL1、URL2、URL4。
上述方法中,通过对节点访问关系图中的节点进行聚类,得到多个节点社区的方式,建立了用户群组即节点社区和URL的对应关系。便于后续根据URL集合确定源IP地址是否存在越权行为。
S206、根据URL集合中源IP地址的被访问次数,确定越权URL集合。
其中,越权URL集合中每个URL对应的源IP地址都存在越权行为。
在一种可能的情况中,服务端可以确定节点社区对应的源IP地址在URL集合中每个URL的被访问次数。当源IP地址在URL集合中任一URL的被访问次数大于等于第二阈值时,确定源IP地址存在越权行为。
可以理解的是,本申请实施例第二阈值可以为本领域技术人员预先设置的,并且该第二阈值可以根据具体的应用场景进行合理设置。例如,第二阈值可以为40。又例如,第二阈值可以为50。
在另一种可能的情况中,在节点社区对应的源IP地址在URL集合中每个URL的被访问次数小于第二阈值的情况下,服务端可以确定源IP地址不存在越权行为。在URL集合中删除被访问次数小于第二阈值对应的URL,得到越权URL集合。其中,越权URL集合中每个URL对应的源IP地址都存在越权行为。
上述方法中,通过建立越权URL集合的方式,确定了节点社区,与存在越权行为的IP地址对应的URL之间的关联关系。便于后续直接根据越权URL集合,确定源IP地址的下一次访问行为是否越权。相较于人工设置业务逻辑规则检验源IP地址是否存在越权行为,实现了自动化检测越权行为,提高了识别越权行为的准确率。增强了企业应用系统权限管理、分配的适用性。
S207、当接收到新的访问请求时,在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为。
其中,访问请求包括第一源IP地址与第一源IP地址对应的第一URL。
在一种可选的实施例中,当接收到新的访问请求时,服务端可以按照数据清洗规则清洗访问请求中包括的访问行为信息,得到访问清洗数据。根据第一源IP地址,确定第一源IP地址所属的节点社区。其中,访问请求包括第一源IP地址与第一源IP地址对应的第一URL。服务端再根据第一源IP地址所属的节点社区,确定节点社区的越权URL集合。由于越权URL集合中每个URL对应的源IP地址都存在越权行为。在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为。
上述方法中,在接收到访问请求时,通过确定第一源IP地址所属的节点社区对应的越权URL集合,是否存在与第一URL的方式,检测访问请求中的第一源IP地址存在越权行为。相较于人工设置业务逻辑规则检验源IP地址是否存在越权行为,实现了自动化检测越权行为,提高了识别越权行为的准确率。增强了企业应用系统权限管理、分配的适用性。
下面对图2实施例进行举例说明:
假设预设时间段内10天。可以使用探针获取10天内企业系统访问日志。对日志数据进行清洗,将系统访问日志与预设的异常字符作比较。在系统访问日志存在异常字符的情况下,在系统访问日志中删除异常字符。再根据请求参数确定系统访问日志中的访问失败日志。在系统访问日志存在访问失败日志的情况下,删除访问失败日志。服务端还可以从数据库中获取协议、IP地址、端口号等类型文本。在访问行为信息中存在上述干扰类型文本的情况下,删除干扰类型文本得到第一信息。再将第一信息统一编码为预设的小写字体格式,得到清洗数据。
假设节点集合中包括节点u与节点v。第一阈值为50。节点u访问URL1的访问次数为62次。节点v访问URL1的访问次数为78次。则节点u与节点v访问URL1的访问次数都大于第一阈值。服务端可以确定上述节点u与节点v之间存在关联关系。服务端可以连接节点u与节点v。记边(u,v)∈E,E为边集合。在服务端将系统访问日志中所有源IP地址访问不同URL的访问次数都确定完毕。连接所有边之后,得到节点访问关系图G={V,E}。
服务端可以采用标签传播算法(Label Propagation Algorithm,LPA)对节点访问关系图中的节点进行聚类,得到多个节点社区。再根据源IP地址对应的URL,建立每个节点社区的URL集合。服务端可以确定节点社区对应的源IP地址在URL集合中每个URL的被访问次数。当源IP地址在URL集合中任一URL的被访问次数大于等于第二阈值时,确定源IP地址存在越权行为。在节点社区对应的源IP地址在URL集合中每个URL的被访问次数小于第二阈值的情况下,服务端可以确定源IP地址不存在越权行为。在URL集合中删除被访问次数小于第二阈值对应的URL,得到越权URL集合。其中,越权URL集合中每个URL对应的源IP地址都存在越权行为。当接收到新的访问请求时,服务端可以按照数据清洗规则清洗访问请求中包括的访问行为信息,得到访问清洗数据。根据第一源IP地址,确定第一源IP地址所属的节点社区。其中,访问请求包括第一源IP地址与第一源IP地址对应的第一URL。服务端再根据第一源IP地址所属的节点社区,确定节点社区的越权URL集合。由于越权URL集合中每个URL对应的源IP地址都存在越权行为。在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为。
可选的,在确定源IP地址存在越权行为之后,服务端还可以向用户发送告警信息。其中,告警信息包括存在越权行为的源IP地址,以及发现越权行为的时间等信息,本申请对此不作具体限定。本申请对告警信息的形式不做具体限定。例如,可以以短信的形式发送告警信息。又例如,可以以邮件的形式发送告警信息。
如图4所示,本申请提供一种示例性的越权行为检测流程图。包括以下步骤:
S401、获取预设时间段内的系统访问日志;
S402、将系统访问日志与预设的异常字符作比较;
S403、在系统访问日志存在异常字符的情况下,在系统访问日志中删除异常字符;
S404、在系统访问日志存在访问失败日志的情况下,删除访问失败日志;
S405、从数据库中获取预设的干扰类型文本;
S406、在访问行为信息中存在干扰类型文本的情况下,删除干扰类型文本,得到第一信息;
S407、将第一信息统一编码为预设的格式,得到清洗数据;
S408、根据多个访问行为信息,统计源IP地址访问URL的访问次数;
S409、根据访问次数,建立节点访问关系图;
S410、采用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区;
S411、根据源IP地址对应的URL,建立每个节点社区的URL集合,URL集合包括多个属于同一节点社区的URL;
S412、根据URL集合中源IP地址的被访问次数,确定越权URL集合;
S413、当接收到访问请求时,根据第一源IP地址,确定第一源IP地址所属的节点社区,其中,访问请求包括第一源IP地址与第一源IP地址对应的第一URL;
S414、根据第一源IP地址所属的节点社区,确定节点社区的越权URL集合;
S415、在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为。
图5为本申请实施例提供的一种越权行为检测装置的结构示意图,如图5所示,该装置包括:收发模块501、处理模块502、检测模块503。
收发模块501,用于获取预设时间段内的多个访问行为信息,每个访问行为信息包括源IP地址与URL的对应关系;
处理模块502,用于根据多个访问行为信息,统计源IP地址访问URL的访问次数;
处理模块502,还用于根据访问次数,建立节点访问关系图,源IP地址与节点一一对应,访问次数都大于等于第一阈值的不同节点之间存在连接边,节点访问关系图用于表示不同源IP地址之间的关联关系;
处理模块502,还用于采用社区发现算法对节点访问关系图中的节点进行聚类,得到多个节点社区;
处理模块502,还用于根据源IP地址对应的URL,建立每个节点社区的URL集合,URL集合包括多个属于同一节点社区的URL;
处理模块502,还用于根据URL集合中源IP地址的被访问次数,确定越权URL集合,越权URL集合中每个URL对应的源IP地址都存在越权行为;
检测模块503,还用于当接收到新的访问请求时,在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,访问请求包括第一源IP地址与第一源IP地址对应的第一URL。
可选的,取预设时间段内的多个访问行为信息之后,处理模块502还用于:
按照设置的数据清洗规则,清洗访问行为信息,得到清洗数据。
可选的,按照设置的数据清洗规则,清洗访问行为信息,得到清洗数据时,处理模块502具体用于:
从数据库中获取预设的干扰类型文本;
在访问行为信息中存在干扰类型文本的情况下,删除干扰类型文本,得到第一信息;
将第一信息统一编码为预设的格式,得到清洗数据。
可选的,获取预设时间段内的多个访问行为信息时,收发模块501具体用于:
获取预设时间段内的系统访问日志,系统访问日志包括多个访问信行为信息。
可选的,获取预设时间段内的系统访问日志之后,处理模块502还用于:
将系统访问日志与预设的异常字符作比较;
在系统访问日志存在异常字符的情况下,在系统访问日志中删除异常字符;
和/或,在系统访问日志存在访问失败日志的情况下,删除访问失败日志,访问失败日志是根据请求参数确定的。
可选的,根据URL集合中源IP地址的被访问次数,确定越权URL集合,处理模块502具体用于:
当被访问次数小于第二阈值时,确定源IP地址不存在越权行为;
在URL集合中删除被访问次数小于第二阈值的源IP地址对应的URL,得到越权URL集合,越权URL集合中每个URL对应的源IP地址都存在越权行为。
可选的,处理模块502还用于:
当源IP地址在URL集合中任一URL的被访问次数大于等于第二阈值时,确定源IP地址存在越权行为。
可选的,当接收到新的访问请求时,在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,处理模块502还用于:
当接收到访问请求时,根据第一源IP地址,确定第一源IP地址所属的节点社区,访问请求包括第一源IP地址与第一源IP地址对应的第一URL;
根据第一源IP地址所属的节点社区,确定节点社区的越权URL集合;
检测模块503还用于:
在越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为。
图6为本申请实施例提供的电子设备的结构示意图。
至少一个处理器601,以及与至少一个处理器601连接的存储器602,本申请实施例中不限定处理器601与存储器602之间的具体连接介质,图6中是以处理器601和存储器602之间通过总线600连接为例。总线600在图6中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线600可以分为地址总线、数据总线、控制总线等,为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器601也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器602存储有可被至少一个处理器601执行的指令,至少一个处理器601通过执行存储器602存储的指令,可以执行前文论述的越权行为检测方法。处理器601可以实现图6或图6所示的装置中各个模块的功能。
其中,处理器601是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器601可包括一个或多个处理单元,处理器601可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、驾驶人员界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。在一些实施例中,处理器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器601可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的越权行为检测方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器601进行设计编程,可以将前述实施例中介绍的越权行为检测方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图2所示的实施例的越权行为检测方法。如何对处理器601进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
在此需要说明的是,本申请实施例提供的上述通电子设备,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机可执行指令,计算机可执行指令用于使计算机执行上述实施例中的越权行为检测方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一条或多条其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一条机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一条流程或多条流程和/或方框图一条方框或多条方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一条流程或多条流程和/或方框图一条方框或多条方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一条流程或多条流程和/或方框图一条方框或多条方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (12)
1.一种越权行为检测方法,其特征在于,所述方法包括:
获取预设时间段内的多个访问行为信息,每个访问行为信息包括源IP地址与URL的对应关系;
根据所述多个访问行为信息,统计所述源IP地址访问所述URL的访问次数;
根据所述访问次数,建立节点访问关系图,所述源IP地址与节点一一对应,所述访问次数都大于等于第一阈值的不同节点之间存在连接边,所述节点访问关系图用于表示不同源IP地址之间的关联关系;
采用社区发现算法对所述节点访问关系图中的节点进行聚类,得到多个节点社区;
根据所述源IP地址对应的URL,建立每个节点社区的URL集合,所述URL集合包括多个属于同一节点社区的URL;
根据所述URL集合中源IP地址的被访问次数,确定越权URL集合,所述越权URL集合中每个URL对应的源IP地址都存在越权行为;
当接收到新的访问请求时,在所述越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,所述访问请求包括所述第一源IP地址与所述第一源IP地址对应的第一URL。
2.根据权利要求1所述的方法,其特征在于,所述获取预设时间段内的多个访问行为信息之后,所述方法还包括:
按照设置的数据清洗规则,清洗所述访问行为信息,得到清洗数据。
3.根据权利要求1所述的方法,其特征在于,所述按照设置的数据清洗规则,清洗所述访问行为信息,得到清洗数据具体包括:
从数据库中获取预设的干扰类型文本;
在所述访问行为信息中存在所述干扰类型文本的情况下,删除所述干扰类型文本,得到第一信息;
将所述第一信息统一编码为预设的格式,得到清洗数据。
4.根据权利要求1所述的方法,其特征在于,所述获取预设时间段内的多个访问行为信息,具体包括:
获取预设时间段内的系统访问日志,所述系统访问日志包括所述多个访问信行为信息。
5.根据权利要求4所述的方法,其特征在于,所述获取预设时间段内的系统访问日志之后,所述方法还包括:
将所述系统访问日志与预设的异常字符作比较;
在所述系统访问日志存在所述异常字符的情况下,在所述系统访问日志中删除所述异常字符;
和/或,在所述系统访问日志存在访问失败日志的情况下,删除所述访问失败日志,所述访问失败日志是根据请求参数确定的。
6.根据权利要求1所述的方法,其特征在于,所述根据所述URL集合中源IP地址的被访问次数,确定越权URL集合,具体包括:
当所述被访问次数小于所述第二阈值时,确定所述源IP地址不存在越权行为;
在所述URL集合中删除所述被访问次数小于所述第二阈值的源IP地址对应的URL,得到所述越权URL集合。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述源IP地址在所述URL集合中任一URL的被访问次数大于等于第二阈值时,确定所述源IP地址存在越权行为。
8.根据权利要求1所述的方法,其特征在于,当接收到新的访问请求时,在所述越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,具体包括:
当接收到访问请求时,根据第一源IP地址,确定所述第一源IP地址所属的节点社区,所述访问请求包括所述第一源IP地址与所述第一源IP地址对应的第一URL;
根据所述第一源IP地址所属的节点社区,确定所述节点社区的越权URL集合;
在所述越权URL集合中包括所述第一URL的情况下,确定所述第一源IP地址存在越权行为。
9.一种越权行为检测装置,其特征在于,包括:
收发模块,用于获取预设时间段内的多个访问行为信息,每个访问行为信息包括源IP地址与URL的对应关系;
处理模块,用于根据所述多个访问行为信息,统计所述源IP地址访问所述URL的访问次数;
所述处理模块,还用于根据所述访问次数,建立节点访问关系图,所述源IP地址与节点一一对应,所述访问次数都大于等于第一阈值的不同节点之间存在连接边,所述节点访问关系图用于表示不同源IP地址之间的关联关系;
所述处理模块,还用于采用社区发现算法对所述节点访问关系图中的节点进行聚类,得到多个节点社区;
所述处理模块,还用于根据所述源IP地址对应的URL,建立每个节点社区的URL集合,所述URL集合包括多个属于同一节点社区的URL;
所述处理模块,还用于根据所述URL集合中源IP地址的被访问次数,确定越权URL集合,所述越权URL集合中每个URL对应的源IP地址都存在越权行为;
所述检测模块,用于当接收到新的访问请求时,在所述越权URL集合中包括第一URL的情况下,确定第一源IP地址存在越权行为,所述访问请求包括所述第一源IP地址与所述第一源IP地址对应的第一URL。
10.一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1~8中任一所述方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1~8中任一所述方法的步骤。
12.一种计算机程序产品,其特征在于,所述计算机程序产品在被计算机调用时,使得所述计算机执行如权利要求1~8中任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310822915.XA CN116846638A (zh) | 2023-07-05 | 2023-07-05 | 一种越权行为检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310822915.XA CN116846638A (zh) | 2023-07-05 | 2023-07-05 | 一种越权行为检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116846638A true CN116846638A (zh) | 2023-10-03 |
Family
ID=88168564
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310822915.XA Pending CN116846638A (zh) | 2023-07-05 | 2023-07-05 | 一种越权行为检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116846638A (zh) |
-
2023
- 2023-07-05 CN CN202310822915.XA patent/CN116846638A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108881294B (zh) | 基于网络攻击行为的攻击源ip画像生成方法以及装置 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN108989150B (zh) | 一种登录异常检测方法及装置 | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN108038130B (zh) | 虚假用户的自动清理方法、装置、设备及存储介质 | |
CN110225031B (zh) | 动态权限漏洞检测方法、系统、装置及可读存储介质 | |
CN109495467B (zh) | 拦截规则的更新方法、设备及计算机可读存储介质 | |
CN111491002B (zh) | 设备巡检方法、装置、被巡检设备、巡检服务器及系统 | |
CN109213604B (zh) | 一种数据源的管理方法和装置 | |
CN112069425A (zh) | 日志管理方法、装置、电子设备及可读存储介质 | |
CN106301979B (zh) | 检测异常渠道的方法和系统 | |
CN111064719B (zh) | 文件异常下载行为的检测方法及装置 | |
CN111353138A (zh) | 一种异常用户识别的方法、装置、电子设备及存储介质 | |
CN110430070B (zh) | 一种服务状态分析方法、装置、服务器、数据分析设备及介质 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN107612946B (zh) | Ip地址的检测方法、检测装置和电子设备 | |
CN110768865B (zh) | 一种深度报文检测引擎激活方法、装置及电子设备 | |
CN110020166B (zh) | 一种数据分析方法及相关设备 | |
CN116846638A (zh) | 一种越权行为检测方法、装置、电子设备及存储介质 | |
CN115757107A (zh) | 埋点检测方法、装置、服务器及存储介质 | |
CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN115065558A (zh) | Apt攻击的攻击流程溯源方法及装置 | |
CN115119197A (zh) | 基于大数据的无线网络风险分析方法、装置、设备及介质 | |
CN114218577A (zh) | 一种api的风险确定方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |