CN117421729A - 一种自动化程序攻击检测方法、装置、系统及介质 - Google Patents

一种自动化程序攻击检测方法、装置、系统及介质 Download PDF

Info

Publication number
CN117421729A
CN117421729A CN202311734901.9A CN202311734901A CN117421729A CN 117421729 A CN117421729 A CN 117421729A CN 202311734901 A CN202311734901 A CN 202311734901A CN 117421729 A CN117421729 A CN 117421729A
Authority
CN
China
Prior art keywords
access
data
preset
abnormal
time period
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311734901.9A
Other languages
English (en)
Other versions
CN117421729B (zh
Inventor
付山阳
唐少林
王亮
陈涛
蒋贤烨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Senying Technology Co ltd
Original Assignee
Hunan Senying Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Senying Technology Co ltd filed Critical Hunan Senying Technology Co ltd
Priority to CN202311734901.9A priority Critical patent/CN117421729B/zh
Publication of CN117421729A publication Critical patent/CN117421729A/zh
Application granted granted Critical
Publication of CN117421729B publication Critical patent/CN117421729B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Automation & Control Theory (AREA)
  • Bioethics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种自动化程序攻击检测方法、装置、系统及介质,方法包括:当用户访问指定网页时采集预设时间段内若干个维度的访问行为数据;对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征;对每个维度的访问特征进行异常访问识别,获取每个维度的异常访问指数;按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果;当所述加权计算结果大于预设异常阈值时,确定所述用户访问为自动化程序的异常访问。通过采集用户多个维度的访问行为数据并进行特征提取,基于多个维度的访问特征进行异常访问识别与加权处理后实现对自动化程序访问的检测,有效提高对自动化程序攻击的检测准确性,确保网页访问的安全性。

Description

一种自动化程序攻击检测方法、装置、系统及介质
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种自动化程序攻击检测方法、装置、系统及介质。
背景技术
随着互联网技术的发展,网络安全问题也越来越收到关注。例如网络平台在发展过程中为了提高流量,经常需要通过引流页面发放奖励来吸引用户,而投机者通过业务作弊进行薅羊毛的现象也越来越多。业务作弊是指通过自动化程序来模仿用户针对特定网站或网页进行持续大量的访问,不但对服务器带来很大的负载压力,还会影响到真实用户的正常访问,且若不对自动化程序的攻击进行检测,还可能发生篡改网页内容、窃取用户数据等网络安全问题。
目前对自动化程序的攻击检测通常是通过验证码等验证技术,通过用户输入的数据来验证用户的真实性,避免系统被攻击或者发生误认,然而这种验证方式很容易被破解,导致攻击检测的准确性下降,从而引发安全性问题。
发明内容
鉴于上述现有技术的不足,本发明的目的在于提供一种自动化程序攻击检测方法、装置、系统及介质,旨在提高对自动化程序攻击的检测准确性,确保网页访问的安全性。
本发明的技术方案如下:
一种自动化程序攻击检测方法,包括:
当用户访问指定网页时采集预设时间段内若干个维度的访问行为数据;
对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征;
对每个维度的访问特征进行异常访问识别,获取每个维度的异常访问指数;
按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果;
当所述加权计算结果大于预设异常阈值时,确定所述用户访问为自动化程序的异常访问。
在一个实施例中,所述若干个维度的访问行为数据包括停顿时间数据、错误输入数据、鼠标操作数据、页面滚动缩放数据、多任务处理数据、访问时间数据、访问路径数据、访问设备数据中的至少两项。
在一个实施例中,当访问行为数据为鼠标操作数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述鼠标操作数据进行轨迹分析与点击分析,确认鼠标移动的轨迹是否为直线以及鼠标点击是否触发新操作;
对分析结果进行统计,得到所述预设时间段内所述轨迹为直线的比率,以及所述鼠标点击触发新操作的比率,作为所述鼠标操作数据的访问特征。
在一个实施例中,当访问行为数据为多任务处理数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述多任务处理数据进行任务状态分析,确认用户是否处于多任务处理状态以及多任务持续时长;
对分析结果进行统计,得到所述预设时间段内用户处于多任务处理状态且持续时长大于预设时长的比率,作为所述多任务处理数据的访问特征。
在一个实施例中,当访问行为数据为访问时间数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述访问时间数据进行时间分布分析,确认是否存在规律性访问;
对分析结果进行统计,得到所述预设时间段内规律性访问的比率,作为所述访问时间数据的访问特征。
在一个实施例中,当访问行为数据为访问路径数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述访问路径数据进行多样性分析,确认是否存在固定访问路径;
对分析结果进行统计,得到所述预设时间段内固定访问路径的比率,作为所述访问路径数据的访问特征。
在一个实施例中,所述按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果之前,方法还包括:
根据当前检测场景从预设策略库中获取对应的目标权重策略,所述预设策略库中存储有不同检测场景下对应的权重策略。
一种自动化程序攻击检测装置,包括:
采集模块,用于当用户访问指定网页时采集预设时间段内若干个维度的访问行为数据;
特征提取模块,用于对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征;
识别模块,用于对每个维度的访问特征进行异常访问识别,获取每个维度的异常访问指数;
加权模块,用于按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果;
异常检测模块,用于当所述加权计算结果大于预设异常阈值时,确定所述用户访问为自动化程序的异常访问。
一种自动化程序攻击检测系统,所述系统包括至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述自动化程序攻击检测方法。
一种非易失性计算机可读存储介质,所述非易失性计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行时,可使得所述一个或多个处理器执行上述的自动化程序攻击检测方法。
有益效果:本发明公开了一种自动化程序攻击检测方法、装置、系统及介质,相比于现有技术,本发明实施例通过采集用户多个维度的访问行为数据并进行特征提取,基于多个维度的访问特征进行异常访问识别与加权处理后实现对自动化程序访问的检测,有效提高对自动化程序攻击的检测准确性,确保网页访问的安全性。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1为本发明实施例提供的自动化程序攻击检测方法的一个流程图;
图2为本发明实施例提供的自动化程序攻击检测方法中步骤S200的一个流程图;
图3为本发明实施例提供的自动化程序攻击检测方法中步骤S200的另一个流程图;
图4为本发明实施例提供的自动化程序攻击检测方法中步骤S200的另一个流程图;
图5为本发明实施例提供的自动化程序攻击检测方法中步骤S200的另一个流程图;
图6为本发明实施例提供的自动化程序攻击检测装置的一个功能模块示意图;
图7为本发明实施例提供的自动化程序攻击检测系统的硬件结构示意图。
具体实施方式
为使本发明的目的、技术方案及效果更加清楚、明确,以下对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。以下结合附图对本发明实施例进行介绍。
随着互联网技术的发展,网络安全问题也越来越收到关注。例如网络平台在发展过程中为了提高流量,经常需要通过引流页面发放奖励来吸引用户,而投机者通过业务作弊进行薅羊毛的现象也越来越多。业务作弊是指通过自动化程序来模仿用户针对特定网站或网页进行持续大量的访问,不但对服务器带来很大的负载压力,还会影响到真实用户的正常访问,且若不对自动化程序的攻击进行检测,还可能发生篡改网页内容、窃取用户数据等网络安全问题。
目前对自动化程序的攻击检测通常是通过验证码等验证技术,通过用户输入的数据来验证用户的真实性,避免系统被攻击或者发生误认,然而这种验证方式很容易被破解,导致攻击检测的准确性下降,从而引发安全性问题。
为了解决上述问题,本发明提出一种自动化程序攻击检测方法,该自动化程序攻击检测方法应用于包括终端设备、网络和服务器构成的系统,其中网络为用于在终端设备和服务器之间提供通信链路的介质,其可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等;终端设备上的操作系统可以包括手持设备操作系统(iPhone operatingsystem,iOS系统)、安卓系统或其他操作系统,终端设备通过网络连接到服务器以实现交互,从而进行接收或发送数据等操作,具体可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、便携式计算机和台式服务器等等。
请参阅图1,图1为本发明提供的自动化程序攻击检测方法一个实施例的流程图,该方法具体包括如下步骤:
S100、当用户访问指定网页时采集预设时间段内若干个维度的访问行为数据。
本实施例中,在指定网页埋设信息采集脚本,指定网页可以是例如登录页面、业务活动页面等交互页面,当用户通过终端设备上的客户端或浏览器等方式访问指定网页时,则自动采集预设时间段内多个维度的访问行为数据,该预设时间段可以根据需求灵活设定,例如可以采集用户过去一天内若干个维度的访问行为数据,当然也可以是用户当天内若干个维度的访问行为数据等,本实施例对此不作限定。
具体的,若干个维度的访问行为数据包括停顿时间数据、错误输入数据、鼠标操作数据、页面滚动缩放数据、多任务处理数据、访问时间数据、访问路径数据、访问设备数据中的至少两项。
其中,停顿时间数据可以是在登录等交互页面埋设信息采集脚本,采集交互框的信息输入开始时间和信息输入结束时间,根据采集的信息时间,计算出所有的交互框信息输入所花时间作为停顿时间数据;
错误输入数据可以是在登录等交互页面埋设信息采集脚本,采集交互框内的删除操作、回退操作等错误操作,作为错误输入数据;
鼠标操作数据可以是在登录等交互页面埋设信息采集脚本,采集例如鼠标的位置坐标、鼠标移动速度、鼠标移动路径、鼠标点击操作等等作为鼠标操作数据;
页面滚动缩放数据可以是在登录等交互页面埋设信息采集脚本,采集页面滚动以及页面缩放的操作信息作为页面滚动缩放数据;
多任务处理数据可以是在登录等交互页面埋设信息采集脚本,采集当前访问发起设备的任务切换操作信息作为多任务处理数据;
访问时间数据可以是在登录等交互页面埋设信息采集脚本,采集当前访问发起时间、访问持续时间等作为访问时间数据;
访问路径数据可以是在登录等交互页面埋设信息采集脚本,采集访问发起来源、访问后网页跳转信息等作为访问路径数据;
访问设备数据可以是在登录等交互页面埋设信息采集脚本,采集当前访问所使用的浏览器和设备信息等作为访问设备数据。
通过在用户访问指定网页时自动采集多个维度的访问行为数据,以便对用户的访问行为进行综合的特征分析与异常检测,从而准确区分真实用户的访问与自动化程序的访问。
S200、对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征。
本实施例中,基于采集到的多个维度的访问行为数据分别进行特征提取,得到相应的访问特征,从杂乱的原始访问行为数据中提取当前用户多维度的访问特点,以便能高效准确的对当前的访问进行异常攻击识别。
在一个实施例中,对停顿时间数据进行特征提取时,可对预设时间段内的停顿时间数据进行时长分析,即分析用户在操作过程中的停顿时间。由于正常用户在操作过程中可能会有停顿,而自动化程序通常具有较快的操作速度。例如正常用户在登录场景中,输入用户名、密码和图形验证码等验证项需要花费数秒以上,而机器人可能在100毫秒内完成所有操作,因此可分析预设时间段内是否存在停顿时间数据小于预设下限时长的异常停顿,对分析结果进行统计,得到预设时间段内异常停顿的比率作为停顿时间数据的访问特征。
在一个实施例中,对错误输入数据进行特征提取时,可对预设时间段内的错误输入比率进行统计,由于正常用户在输入过程中可能会有错误输入,而自动化程序通常具有较高的输入准确性。例如,正常用户在输入用户名和密码时,可能会发生输入错误进而被采集到删除操作、回退操作等,而自动化程序通常能够一次性输入正确的用户名和密码,因此可以对预设时间段内采集到的错误操作次数进行统计,并计算错误输入比率作为错误输入数据的访问特征。
在一个实施例中,对页面滚动缩放数据进行特征提取时,可对预设时间段内的页面滚动和缩放行为的比率进行统计,由于正常用户在浏览网页时可能会进行页面滚动和缩放操作,而自动化程序通常不会进行这些操作。例如,正常用户在阅读长篇文章时大概率会进行页面滚动,而自动化程序可能直接获取页面内容。因此可以对预设时间段内采集到的页面滚动和缩放行为的次数进行统计,并计算页面滚动和缩放行为的比率,作为页面滚动缩放数据的访问特征。
在一个实施例中,对访问设备数据进行特征提取时,可对预设时间段内的访问设备数据进行设备多样化分析,即分析用户使用的浏览器和设备的切换情况,正常用户的浏览器和设备信息可能多样化,例如正常用户可能在不同的时间使用手机、平板、电脑等不同终端上的一种或多种浏览器进行网页访问,而自动化程序可能使用特定的浏览器和设备信息进行访问,而自动化程序可能使用特定的浏览器和设备进行访问,因此可分析预设时间段内是否存在固定访问设备,对分析结果进行统计,得到预设时间段内通过固定访问设备发起网页访问的比率,作为访问设备数据的访问特征。
在一个实施例中,如图2所示,当访问行为数据为鼠标操作数据时,步骤S200包括:
S211、对预设时间段内的所述鼠标操作数据进行轨迹分析与点击分析,确认鼠标移动的轨迹是否为直线以及鼠标点击是否触发新操作;
S212、对分析结果进行统计,得到所述预设时间段内所述轨迹为直线的比率,以及所述鼠标点击触发新操作的比率,作为所述鼠标操作数据的访问特征。
本实施例中,对鼠标操作数据进行特征提取时,则对预设时间段内的鼠标操作数据进行轨迹分析与点击分析,即分析用户在鼠标操作过程中的鼠标移动和点击行为,正常用户在操作过程中可能会有不规则的鼠标移动和无目的的无效点击行为,而自动化程序通常具有规律性的鼠标移动且均为触发后续操作的有效点击行为。例如,正常用户在浏览网页时,鼠标移动和点击行为可能较为随机,鼠标的移动基本不是直线,鼠标的点击目的性也不强,可能在页面空白处进行点击;而自动化程序的鼠标移动基本是直线,且鼠标点击后即触发新操作例如页面跳转等。因此对采集到的鼠标操作数据进行轨迹分析与点击分析,确认鼠标移动的轨迹是否为直线以及鼠标点击是否触发新操作,对分析结果进行统计,得到预设时间段内轨迹为直线的比率,以及鼠标点击触发新操作的比率,作为鼠标操作数据的访问特征。
在一个实施例中,如图3所示,当访问行为数据为多任务处理数据时,步骤S200包括:
S221、对预设时间段内的所述多任务处理数据进行任务状态分析,确认用户是否处于多任务处理状态以及多任务持续时长;
S222、对分析结果进行统计,得到所述预设时间段内用户处于多任务处理状态且持续时长大于预设时长的比率,作为所述多任务处理数据的访问特征。
本实施例中,对多任务处理数据进行特征提取时,则对预设时间段内的多任务处理数据进行任务状态分析,即分析用户在访问操作过程中是否存在任务切换的多任务处理情况,由于正常用户在操作过程中可能会同时进行多个任务,而自动化程序通常只关注单一任务。例如,正常用户可能在浏览网页的同时,进行聊天、听音乐等操作,而自动化程序通常只关注当前任务。因此对采集到多任务处理数据进行任务状态分析,确认用户是否处于多任务处理状态以及多任务持续时长,对分析结果进行统计,得到用户处于多任务处理状态且持续时长大于预设时长的比率。本实施例中为避免多任务的识别误差,将多任务持续时长大于预设时长则认为是有效的多任务处理状态,进而将有效的多任务处理状态的比率作为多任务处理数据的访问特征。
在一个实施例中,如图4所示,当访问行为数据为访问时间数据时,步骤S200包括:
S231、对预设时间段内的所述访问时间数据进行时间分布分析,确认是否存在规律性访问;
S232、对分析结果进行统计,得到所述预设时间段内规律性访问的比率,作为所述访问时间数据的访问特征。
本实施例中,对访问时间数据进行特征提取时,则对预设时间段内的访问时间数据进行时间分布分析,即分析用户访问网站的时间分布情况,正常用户的访问时间分布可能较为随机,而自动化程序的访问时间可能具有规律性。例如,正常用户可能在任何时间段访问网站,而自动化程序可能在特定时间段进行规律性访问,如固定在某个时间进行访问,或者每隔一定时间进行访问等。因此对采集到的访问时间数据进行时间分布分析,确认是否存在规律性访问,对分析结果进行统计,得到预设时间段内规律性访问的比率,作为访问时间数据的访问特征。
在一个实施例中,如图5所示,当访问行为数据为访问路径数据时,步骤S200包括:
S241、对预设时间段内的所述访问路径数据进行多样性分析,确认是否存在固定访问路径;
S242、对分析结果进行统计,得到所述预设时间段内固定访问路径的比率,作为所述访问路径数据的访问特征。
本实施例中,对访问路径数据进行特征提取时,则对预设时间段内的访问路径数据进行多样性分析,即分析用户访问网站的路径情况,正常用户的访问路径可能较为复杂,而自动化程序的访问路径可能较为简单。例如,正常用户可能通过搜索引擎、社交媒体等途径访问网站,而自动化程序可能直接访问指定页面。因此对采集到的访问路径数据包括访问发起来源、访问后网页跳转信息等进行多样性分析,确认是否存在固定访问路径,对分析结果进行统计,得到预设时间段内固定访问路径的比率,作为访问路径数据的访问特征。
S300、对每个维度的访问特征进行异常访问识别,获取每个维度的异常访问指数。
本实施例中,基于对每个维度的访问行为数据提取到的访问特征,可以通过异常检测算法例如孤立森林(Isolation Forest)、局部异常因子(Local Outlier Factor)、随机森林、支持向量机等方式,对提取到的各个维度访问特征进行异常访问识别,得到每个维度下的异常访问指数,例如对于每个维度提取到的访问特征,异常停顿的比率越大则异常访问指数越高;错误输入比率越低则异常访问指数越高;页面滚动和缩放行为的比率越低则异常访问指数越高;通过固定访问设备发起网页访问的比率越高则异常访问指数越高;轨迹为直线的比率以及鼠标点击触发新操作的比率越高则异常访问指数越高;有效的多任务处理状态的比率越高则异常访问指数越高;规律性访问的比率越高则异常访问指数越高;固定访问路径的比率越高则异常访问指数越高。通过对用户的多维度访问行为数据均检测给出一个量化的异常访问指数,为自动化程序攻击检测提供全面且精准的检测依据,使得在检测自动化程序攻击访问时可以同时考虑多种因素的影响,提高检测的准确性和可靠性。
S400、按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果;
S500、当所述加权计算结果大于预设异常阈值时,确定所述用户访问为自动化程序的异常访问。
本实施例中,根据各维度的特征提取与异常检测结果,按目标权重策略为每个维度的异常访问指数赋予权重值,以体现不同维度对自动化程序攻击检测的重要程度,基于目标权重策略中各个维度的权重值对所有的异常访问指数进行加权处理,得到加权计算结果,当加权计算结果大于预设异常阈值时,则确定该用户访问为自动化程序的异常访问。例如通过目标权重策略对各个维度的异常访问指数进行加权平均计算,得到加权平均值,当加权平均值超过一定的异常阈值,表明不同维度的访问行为疑似是自动化程序的程度较高,此时判断为自动化程序攻击,从而有效检测出与正常行为模式不符的自动化程序攻击行为,确保网页访问的安全性。
具体的,该预设异常阈值可以是提前设定的固定阈值,也可以是按周期进行更新的动态阈值,例如每隔预设时间根据历史时间段内自动化程序攻击检测的准确率来动态调整该预设异常阈值,使得预设异常阈值更贴合真实用户的访问习惯,进一步提高检测准确性。
在一个实施例中,步骤S400之前,方法还包括:
根据当前检测场景从预设策略库中获取对应的目标权重策略,所述预设策略库中存储有不同检测场景下对应的权重策略。
本实施例中,预先基于不同的检测场景配置了对应的权重策略即各个维度的权重值,并存储在预设策略库中,以便在异常检测时可以根据不同的检测采集灵活获取目标权重策略。例如可以预先采集不同时间段的真实活跃用户的行为特点,基于不同时间段内行为特点的不同配置相应的权重策略,例如某个时段真实活跃用户的多任务切换操作较少,则可调低该维度的异常访问指数的权重,或者某个时段真实活跃用户的固定访问路径比率较高,则可调低该维度的异常访问指数的权重等等,在检测时则基于检测时间所处的时间段从预设策略库中调用目标权重策略,从而实现权重策略的自适应更新,避免固定权重对检测准确性的影响,进一步提高自动化程序攻击检测的准确性。
本发明另一实施例提供一种自动化程序攻击检测装置,如图6所示,装置1包括:
采集模块11,用于当用户访问指定网页时采集预设时间段内若干个维度的访问行为数据;
特征提取模块12,用于对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征;
识别模块13,用于对每个维度的访问特征进行异常访问识别,获取每个维度的异常访问指数;
加权模块14,用于按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果;
异常检测模块15,用于当所述加权计算结果大于预设异常阈值时,确定所述用户访问为自动化程序的异常访问。
本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段,比程序更适合于描述自动化程序攻击检测的执行过程,各模块的具体实施方式请参考上述对应的方法实施例,此处不再赘述。
在一个实施例中,所述若干个维度的访问行为数据包括停顿时间数据、错误输入数据、鼠标操作数据、页面滚动缩放数据、多任务处理数据、访问时间数据、访问路径数据、访问设备数据中的至少两项。
在一个实施例中,当访问行为数据为鼠标操作数据时,所述特征提取模块12,包括:
第一特征分析单元,用于对预设时间段内的所述鼠标操作数据进行轨迹分析与点击分析,确认鼠标移动的轨迹是否为直线以及鼠标点击是否触发新操作;
第一统计提取单元,用于对分析结果进行统计,得到所述预设时间段内所述轨迹为直线的比率,以及所述鼠标点击触发新操作的比率,作为所述鼠标操作数据的访问特征。
在一个实施例中,所述当访问行为数据为多任务处理数据时,所述特征提取模块12,包括:
第二特征分析单元,用于对预设时间段内的所述多任务处理数据进行任务状态分析,确认用户是否处于多任务处理状态以及多任务持续时长;
第二统计提取单元,用于对分析结果进行统计,得到所述预设时间段内用户处于多任务处理状态且持续时长大于预设时长的比率,作为所述多任务处理数据的访问特征。
在一个实施例中,当访问行为数据为访问时间数据时,所述特征提取模块12,包括:
第三特征分析单元,用于对预设时间段内的所述访问时间数据进行时间分布分析,确认是否存在规律性访问;
第三统计提取单元,用于对分析结果进行统计,得到所述预设时间段内规律性访问的比率,作为所述访问时间数据的访问特征。
在一个实施例中,当访问行为数据为访问路径数据时,所述特征提取模块12,包括:
第四特征分析单元,用于对预设时间段内的所述访问路径数据进行多样性分析,确认是否存在固定访问路径;
第四统计提取单元,用于对分析结果进行统计,得到所述预设时间段内固定访问路径的比率,作为所述访问路径数据的访问特征。
在一个实施例中,所述装置1,还包括:
权重模块,用于根据当前检测场景从预设策略库中获取对应的目标权重策略,所述预设策略库中存储有不同检测场景下对应的权重策略。
本发明另一实施例提供一种自动化程序攻击检测系统,如图7所示,系统10包括:
一个或多个处理器110以及存储器120,图7中以一个处理器110为例进行介绍,处理器110和存储器120可以通过总线或者其他方式连接,图7中以通过总线连接为例。
处理器110用于完成系统10的各种控制逻辑,其可以为通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、单片机、ARM(Acorn RISCMachine)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。还有,处理器110还可以是任何传统处理器、微处理器或状态机。处理器110也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
存储器120作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本发明实施例中的自动化程序攻击检测方法对应的程序指令。处理器110通过运行存储在存储器120中的非易失性软件程序、指令以及单元,从而执行系统10的各种功能应用以及数据处理,即实现上述方法实施例中的自动化程序攻击检测方法。
存储器120可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据系统10使用所创建的数据等。此外,存储器120可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器120可选包括相对于处理器110远程设置的存储器,这些远程存储器可以通过网络连接至系统10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个单元存储在存储器120中,当被一个或者多个处理器110执行时,实现以下步骤:
当用户访问指定网页时采集预设时间段内若干个维度的访问行为数据;
对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征;
对每个维度的访问特征进行异常访问识别,获取每个维度的异常访问指数;
按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果;
当所述加权计算结果大于预设异常阈值时,确定所述用户访问为自动化程序的异常访问。
在一个实施例中,所述若干个维度的访问行为数据包括停顿时间数据、错误输入数据、鼠标操作数据、页面滚动缩放数据、多任务处理数据、访问时间数据、访问路径数据、访问设备数据中的至少两项。
在一个实施例中,当访问行为数据为鼠标操作数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述鼠标操作数据进行轨迹分析与点击分析,确认鼠标移动的轨迹是否为直线以及鼠标点击是否触发新操作;
对分析结果进行统计,得到所述预设时间段内所述轨迹为直线的比率,以及所述鼠标点击触发新操作的比率,作为所述鼠标操作数据的访问特征。
在一个实施例中,所述当访问行为数据为多任务处理数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述多任务处理数据进行任务状态分析,确认用户是否处于多任务处理状态以及多任务持续时长;
对分析结果进行统计,得到所述预设时间段内用户处于多任务处理状态且持续时长大于预设时长的比率,作为所述多任务处理数据的访问特征。
在一个实施例中,当访问行为数据为访问时间数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述访问时间数据进行时间分布分析,确认是否存在规律性访问;
对分析结果进行统计,得到所述预设时间段内规律性访问的比率,作为所述访问时间数据的访问特征。
在一个实施例中,当访问行为数据为访问路径数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述访问路径数据进行多样性分析,确认是否存在固定访问路径;
对分析结果进行统计,得到所述预设时间段内固定访问路径的比率,作为所述访问路径数据的访问特征。
在一个实施例中,所述按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果之前,方法还包括:
根据当前检测场景从预设策略库中获取对应的目标权重策略,所述预设策略库中存储有不同检测场景下对应的权重策略。
本发明实施例提供了一种非易失性计算机可读存储介质,计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行,例如,执行以上描述的图1中的方法步骤S100至步骤S500。
作为示例,非易失性存储介质能够包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦ROM(EEPROM)或闪速存储器。易失性存储器能够包括作为外部高速缓存存储器的随机存取存储器(RAM)。通过说明而非限制,RAM可以以诸如同步RAM(SRAM)、动态RAM、(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、Synchlink DRAM(SLDRAM)以及直接Rambus(兰巴斯)RAM(DRRAM)之类的许多形式得到。本文中所描述的操作环境的所公开的存储器组件或存储器旨在包括这些和/或任何其他适合类型的存储器中的一个或多个。
综上,本发明公开的一种自动化程序攻击检测方法、装置、系统及介质中,方法通过当用户访问指定网页时采集预设时间段内若干个维度的访问行为数据;对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征;对每个维度的访问特征进行异常访问识别,获取每个维度的异常访问指数;按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果;当所述加权计算结果大于预设异常阈值时,确定所述用户访问为自动化程序的异常访问。通过采集用户多个维度的访问行为数据并进行特征提取,基于多个维度的访问特征进行异常访问识别与加权处理后实现对自动化程序访问的检测,有效提高对自动化程序攻击的检测准确性,确保网页访问的安全性。
当然,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关硬件(如处理器,控制器等)来完成,所述的计算机程序可存储于一非易失性计算机可读取的存储介质中,该计算机程序在执行时可包括如上述各方法实施例的流程。其中所述的存储介质可为存储器、磁碟、软盘、闪存、光存储器等。
应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (9)

1.一种自动化程序攻击检测方法,其特征在于,包括:
当用户访问指定网页时采集预设时间段内若干个维度的访问行为数据;
对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征;
对每个维度的访问特征进行异常访问识别,获取每个维度的异常访问指数;
按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果;
当所述加权计算结果大于预设异常阈值时,确定所述用户访问为自动化程序的异常访问;
所述按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果之前,方法还包括:
根据当前检测场景从预设策略库中获取对应的目标权重策略,所述预设策略库中存储有不同检测场景下对应的权重策略;
具体的,预先采集不同时间段的真实活跃用户的行为特点,基于不同时间段内的行为特点配置相应的权重策略,在检测时则基于检测时间所处的时间段从预设策略库中调用目标权重策略。
2.根据权利要求1所述的自动化程序攻击检测方法,其特征在于,所述若干个维度的访问行为数据包括停顿时间数据、错误输入数据、鼠标操作数据、页面滚动缩放数据、多任务处理数据、访问时间数据、访问路径数据、访问设备数据中的至少两项。
3.根据权利要求2所述的自动化程序攻击检测方法,其特征在于,当访问行为数据为鼠标操作数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述鼠标操作数据进行轨迹分析与点击分析,确认鼠标移动的轨迹是否为直线以及鼠标点击是否触发新操作;
对分析结果进行统计,得到所述预设时间段内所述轨迹为直线的比率,以及所述鼠标点击触发新操作的比率,作为所述鼠标操作数据的访问特征。
4.根据权利要求2所述的自动化程序攻击检测方法,其特征在于,当访问行为数据为多任务处理数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述多任务处理数据进行任务状态分析,确认用户是否处于多任务处理状态以及多任务持续时长;
对分析结果进行统计,得到所述预设时间段内用户处于多任务处理状态且持续时长大于预设时长的比率,作为所述多任务处理数据的访问特征。
5.根据权利要求2所述的自动化程序攻击检测方法,其特征在于,当访问行为数据为访问时间数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述访问时间数据进行时间分布分析,确认是否存在规律性访问;
对分析结果进行统计,得到所述预设时间段内规律性访问的比率,作为所述访问时间数据的访问特征。
6.根据权利要求5所述的自动化程序攻击检测方法,其特征在于,当访问行为数据为访问路径数据时,所述对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征,包括:
对预设时间段内的所述访问路径数据进行多样性分析,确认是否存在固定访问路径;
对分析结果进行统计,得到所述预设时间段内固定访问路径的比率,作为所述访问路径数据的访问特征。
7.一种自动化程序攻击检测装置,其特征在于,包括:
采集模块,用于当用户访问指定网页时采集预设时间段内若干个维度的访问行为数据;
特征提取模块,用于对每个维度的所述访问行为数据进行特征提取,得到相应的访问特征;
识别模块,用于对每个维度的访问特征进行异常访问识别,获取每个维度的异常访问指数;
加权模块,用于按目标权重策略对所有的异常访问指数进行加权处理,得到加权计算结果;
异常检测模块,用于当所述加权计算结果大于预设异常阈值时,确定所述用户访问为自动化程序的异常访问;
权重模块,用于根据当前检测场景从预设策略库中获取对应的目标权重策略,所述预设策略库中存储有不同检测场景下对应的权重策略;
具体用于预先采集不同时间段的真实活跃用户的行为特点,基于不同时间段内的行为特点配置相应的权重策略,在检测时则基于检测时间所处的时间段从预设策略库中调用目标权重策略。
8.一种自动化程序攻击检测系统,其特征在于,所述系统包括至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-6任一项所述的自动化程序攻击检测方法。
9.一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行时,可使得所述一个或多个处理器执行权利要求1-6任一项所述的自动化程序攻击检测方法。
CN202311734901.9A 2023-12-18 2023-12-18 一种自动化程序攻击检测方法、装置、系统及介质 Active CN117421729B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311734901.9A CN117421729B (zh) 2023-12-18 2023-12-18 一种自动化程序攻击检测方法、装置、系统及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311734901.9A CN117421729B (zh) 2023-12-18 2023-12-18 一种自动化程序攻击检测方法、装置、系统及介质

Publications (2)

Publication Number Publication Date
CN117421729A true CN117421729A (zh) 2024-01-19
CN117421729B CN117421729B (zh) 2024-04-26

Family

ID=89532780

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311734901.9A Active CN117421729B (zh) 2023-12-18 2023-12-18 一种自动化程序攻击检测方法、装置、系统及介质

Country Status (1)

Country Link
CN (1) CN117421729B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102262664A (zh) * 2011-07-26 2011-11-30 北京百度网讯科技有限公司 一种质量评价的方法和装置
CN107943677A (zh) * 2017-10-13 2018-04-20 东软集团股份有限公司 应用性能监控方法、装置、可读存储介质及电子设备
CN108282440A (zh) * 2017-01-05 2018-07-13 阿里巴巴集团控股有限公司 一种安全检测方法、安全检测装置及服务器
CN109446768A (zh) * 2018-10-09 2019-03-08 北京北信源软件股份有限公司 应用访问行为异常检测方法及系统
CN110443137A (zh) * 2019-07-03 2019-11-12 平安科技(深圳)有限公司 多维度身份信息识别方法、装置、计算机设备及存储介质
CN110675228A (zh) * 2019-09-27 2020-01-10 支付宝(杭州)信息技术有限公司 用户购票行为检测方法以及装置
WO2020113571A1 (zh) * 2018-12-07 2020-06-11 深圳市欢太科技有限公司 人脸识别数据处理方法、装置、移动设备和计算机可读存储介质
WO2022042194A1 (zh) * 2020-08-26 2022-03-03 百果园技术(新加坡)有限公司 登录设备的封禁检测方法、装置、服务器和存储介质
WO2022057719A1 (zh) * 2020-09-17 2022-03-24 中国银联股份有限公司 识别对象确定方法、装置、设备及存储介质
US20220224706A1 (en) * 2020-03-30 2022-07-14 Tencent Technology (Shenzhen) Company Limited Artificial intelligence-based network security protection method and apparatus, and electronic device
CN115146160A (zh) * 2022-06-30 2022-10-04 广州华多网络科技有限公司 机器行为检测方法及其装置、设备、介质

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102262664A (zh) * 2011-07-26 2011-11-30 北京百度网讯科技有限公司 一种质量评价的方法和装置
CN108282440A (zh) * 2017-01-05 2018-07-13 阿里巴巴集团控股有限公司 一种安全检测方法、安全检测装置及服务器
CN107943677A (zh) * 2017-10-13 2018-04-20 东软集团股份有限公司 应用性能监控方法、装置、可读存储介质及电子设备
CN109446768A (zh) * 2018-10-09 2019-03-08 北京北信源软件股份有限公司 应用访问行为异常检测方法及系统
WO2020113571A1 (zh) * 2018-12-07 2020-06-11 深圳市欢太科技有限公司 人脸识别数据处理方法、装置、移动设备和计算机可读存储介质
CN110443137A (zh) * 2019-07-03 2019-11-12 平安科技(深圳)有限公司 多维度身份信息识别方法、装置、计算机设备及存储介质
CN110675228A (zh) * 2019-09-27 2020-01-10 支付宝(杭州)信息技术有限公司 用户购票行为检测方法以及装置
US20220224706A1 (en) * 2020-03-30 2022-07-14 Tencent Technology (Shenzhen) Company Limited Artificial intelligence-based network security protection method and apparatus, and electronic device
WO2022042194A1 (zh) * 2020-08-26 2022-03-03 百果园技术(新加坡)有限公司 登录设备的封禁检测方法、装置、服务器和存储介质
WO2022057719A1 (zh) * 2020-09-17 2022-03-24 中国银联股份有限公司 识别对象确定方法、装置、设备及存储介质
CN115146160A (zh) * 2022-06-30 2022-10-04 广州华多网络科技有限公司 机器行为检测方法及其装置、设备、介质

Also Published As

Publication number Publication date
CN117421729B (zh) 2024-04-26

Similar Documents

Publication Publication Date Title
CN109409043B (zh) 应用系统的登录方法、终端设备及介质
CN110442712B (zh) 风险的确定方法、装置、服务器和文本审理系统
US9762597B2 (en) Method and system to detect and interrupt a robot data aggregator ability to access a website
CN107241296B (zh) 一种Webshell的检测方法及装置
CN102831218B (zh) 热力图中的数据确定方法及装置
CN109450879A (zh) 用户访问行为监控方法、电子装置和计算机可读存储介质
CN111641588A (zh) 网页模拟输入检测方法、装置、计算机设备及存储介质
CN109547426B (zh) 业务响应方法及服务器
CN113806653B (zh) 页面预加载方法、装置、计算机设备及存储介质
CN112330355B (zh) 消费券交易数据处理方法、装置、设备及存储介质
CN110659435A (zh) 页面数据采集处理方法、装置、计算机设备和存储介质
CN105678127A (zh) 一种身份信息的验证方法和装置
CN115378713B (zh) 区块链应用预警防御方法、存储介质和电子设备
CN118585980A (zh) 验证方法、装置、设备和存储介质
CN114157568B (zh) 一种浏览器安全访问方法、装置、设备及存储介质
RU2649793C2 (ru) Способ и система выявления удаленного подключения при работе на страницах веб-ресурса
WO2013143407A1 (en) Data processing, data collection
CN117421729B (zh) 一种自动化程序攻击检测方法、装置、系统及介质
CN113688022A (zh) 浏览器性能监控方法、装置、设备和介质
CN117474694A (zh) 基于网络爬虫技术的云端财务数据获取方法
CN106326419B (zh) 网络自动机处理方法及装置
CN114710318A (zh) 一种限制爬虫高频访问的方法、装置、设备及介质
CN114282940A (zh) 用于意图识别的方法及装置、存储介质及电子设备
CN113839944A (zh) 应对网络攻击的方法、装置、电子设备和介质
CN107644028B (zh) 网页数据的收集方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant