CN110445753A - 终端设备异常访问的隔离方法和装置 - Google Patents
终端设备异常访问的隔离方法和装置 Download PDFInfo
- Publication number
- CN110445753A CN110445753A CN201910580052.3A CN201910580052A CN110445753A CN 110445753 A CN110445753 A CN 110445753A CN 201910580052 A CN201910580052 A CN 201910580052A CN 110445753 A CN110445753 A CN 110445753A
- Authority
- CN
- China
- Prior art keywords
- terminal device
- euclidean distance
- nonlinear combination
- combination feature
- feature set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明为安全检测技术领域,本发明提供一种终端设备异常访问的隔离方法和装置,所述方法包括根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集,并将所述第一非线性组合特征集划为正常状态簇和异常状态簇;通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集;分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;当所述第一欧式距离大于所述第二欧式距离,判定所述终端设备进行异常访问,并对对应的终端设备的异常访问进行隔离处理。该方法有利于提高对终端设备当前终端设备异常访问的隔离能力。
Description
技术领域
本发明涉及网络检测技术领域,具体而言,本发明涉及一种终端设备异常访问的隔离方法和装置。
背景技术
在终端设备网络访问时,提供网络连接的服务器可以获取终端设备发送的访问请求终端设备的点击和拖动轨迹的数据。目前,判断该终端设备是否为正常的终端设备,通常可通过终端设备的点击和拖动轨迹的数据检测该发起访问请求的终端设备属于正常的终端设备还是网络爬虫。但是,由于该检测方法不容易区分正常访问的终端设备和网络爬虫,导致检测的错误率较高,容易将正常访问的终端设备检测判定为异常访问,影响正常的用户访问,导致不容易对网络爬虫进行隔离处理。
发明内容
为克服以上技术问题,特别是现有技术中通过终端设备登录网络时,根据用户的使用痕迹数据容易将真实用户判别为异常用户的问题,特提出以下技术方案:
第一方面,本发明提供一种终端设备异常访问的隔离方法,包括以下步骤:
根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集,并将所述第一非线性组合特征集划为正常状态簇和异常状态簇;其中,所述第一非线性组合特征集为历史获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据;
通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集;其中,所述第二非线性组合特征集为当前获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据;
分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;
当所述第一欧式距离大于所述第二欧式距离,判定所述终端设备进行异常访问,并对对应的终端设备的异常访问进行隔离处理。
在其中一个实施例中,在所述分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离的步骤之前,还包括:
分别对所述第一非线性组合特征集的正常状态簇和异常状态簇预设初始质心。
在其中一个实施例中,所述分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离的步骤包括:
分别计算在设定时间段内每一次访问的所述第二非线性组合特征集与正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;
就同一终端设备在设定时间段内获取排序在前的设定个数所述第一欧式距离的集合和所述第二欧式距离的集合,并分别得到所述第一欧式距离的集合和所述第二欧式距离的集合的众数值;
并分别以所述第一欧式距离的集合和所述第二欧式距离的集合的众数值作为所述同一终端设备在设定时间段内所述第一欧式距离和所述第二欧式距离。
在其中一个实施例中,所述通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集的步骤包括:
通过终端设备上的脚本程序获取当前访问的第二设备参数,生成第二非线性组合特征集,并从所述第二非线性组合特征集中获取终端设备的用户代理;
通过对用户代理进行解析,获取所述终端设备的型号。
在其中一个实施例中,在所述通过对用户代理进行解析,获取所述终端设备的型号的步骤之后,还包括:
根据所述终端设备的型号,得到所述终端设备的第二非线性组合特征集的各个特征数值的正常范围;
将所述第二非线性组合特征集的特征数值与所述正常范围进行比较;
得到所述正常范围以外的特征数值对应终端设备的非线性组合特征集作为第二非线性组合特征集。
在其中一个实施例中,所述根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集的步骤包括:
获取历史采集的终端设备的第一设备参数,提取所述第一设备参数的特征信息,根据所述特征信息生成多个第一非线性组合特征集。
在其中一个实施例中,所述根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集的步骤之后,还包括:
根据历史的终端设备的访问量得到网络访问闲时段;
获取在同一所述网络访问闲时段内同一终端设备的闲时访问频率;
将所述闲时访问频率与预设值进行对比;
若所述闲时访问频率大于预设值,获取对应终端设备的第二非线性组合特征集。
第二方面,本发明还提供一种终端设备异常访问的隔离装置,其包括:
获取模块,用于根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集,并将所述第一非线性组合特征集划为正常状态簇和异常状态簇;
生成模块,用于通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集;
计算模块,用于分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;
隔离模块,用于当所述第一欧式距离大于所述第二欧式距离,判定所述终端设备进行异常访问,并对对应的终端设备的异常访问进行隔离处理。
第三方面,本发明还提供一种服务器,其包括:
一个或多个处理器;
存储器;
一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个计算机程序配置用于执行第一方面实施例所述的终端设备异常访问的隔离方法。
第四方面,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现第一方面实施例所述的终端设备异常访问的隔离方法。
本发明所提供的一种终端设备异常访问的隔离方法和装置,分别对所述历史采集的终端设备的网络访问和当前的网络访问分别生成多个第一非线性组合特征集和对应的第二非线性组合特征集,并将所述多个第一非线性组合特征集的数据点分为正常状态簇和异常状态簇,分别计算得到所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;根据所述第一欧式距离与所述第二欧式距离的比较结果,判定所述网络访问是否为异常访问,并对异常访问进行隔离处理。
本发明所提供的技术方案将所述终端设备在发起网络访问请求时所生成的特征信息转化为相应的数据点,并根据数据点相互之间的空间位置关系,并以此得到判定结果。这样,可以将终端设备终端网络访问得到的特性信息以通过相关间的距离参数的比较结果,直观地反映所述终端设备网络访问是否为异常访问,并对该异常访问进行隔离处理。该方法更容易对正常访问的终端设备和网络爬虫进行区分,降低网络爬虫访问入侵网站的概率,有效对网络爬虫进行隔离。
终端设备异常访问的隔离本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明中的实施例执行终端设备异常访问的隔离方案的应用环境图;
图2是本发明中的一个实施例的终端设备异常访问的隔离方法的流程图;
图3是本发明中的另一个实施例的终端设备异常访问的隔离方法的流程图
图4为本发明中的一个实施例的终端设备异常访问的隔离装置的示意图;
图5为本发明中的一个实施例的服务器的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通讯链路上,执行双向通讯的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通讯设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通讯设备;PCS(Personal Communications Service,个人通讯***),其可以组合语音、数据处理、传真和/或数据通讯能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位***)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通讯终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
本技术领域技术人员可以理解,这里所使用的远端网络设备,其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。本发明的实施例中,远端网络设备、终端设备与WNS服务器之间可通过任何通讯方式实现通讯,包括但不限于,基于3GPP、LTE、WIMAX的移动通讯、基于TCP/IP、UDP协议的计算机网络通讯以及基于蓝牙、红外传输标准的近距无线传输方式。
参考图1所示,图1是本发明实施例方案的应用环境图;该实施例中,本发明技术方案可以基于服务器上实现,如图1中,终端设备110和120可以通过internet网络访问服务器130,终端设备110和/或120向服务器130发出的网络请求,服务器130根据网络请求进行数据交互。在进行数据交互时,服务器130根据终端设备110和/或120的请求信息获取终端设备110和/或120的访问数据和属性数据,并根据该数据对该终端设备进行异常检测。
为了解决目前检测异常数据容易将真实用户判别为异常用户的问题,本发明提供了一种终端设备异常访问的隔离方法。可参考图2,图2是一个实施例的终端设备异常访问的隔离方法的流程图,该方法包括以下步骤:
S210、根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集,并将所述第一非线性组合特征集划为正常状态簇和异常状态簇。
服务器与终端设备进行数据交互的时候,根据终端设备发出的网络请求,获取该终端设备的相关参数。在该步骤中,服务器从历史的终端设备所发出的网络请求中得到第一设备参数,服务器对该第一设备参数进行解析,并根据解析的结果获取多个第一非线性组合特征集。
所述第一非线性组合特征集是与服务器进行过数据交互的终端设备一个访问记录生成的特征集,该第一非线性组合特征集为历史获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据。例如属性数据可包括终端设备的型号、终端设备的屏幕分辨率x*y或浏览器的可用屏幕分辨率X*Y,访问数据可包括终端设备向服务器发出请求的频率等。
所述第一非线性组合特征集对应的特征信息,在本实施例中,该特征信息具体为对应的特征值。设定对应的坐标,并在坐标上标注历史的终端设备每一次的访问记录生成的特征集或一个n维数据点。关于不同访问记录形成的特征集在坐标上形成对应的正常状态簇和异常状态簇。根据正常情况绝对大于异常情况的考虑,大簇是正常状态簇,小簇是异常状态簇。
进一步地,为了消除变量间的量纲关系,从而使数据具有可比性,在对特征值标注之前,对各个特征集中的特征信息值进行标准化。例如,在得到的每一次访问记录的特征集中可能包括百分制的变量与一个5分值的变量,只有将所有的数据标准化,才能够在同一标准中进行比较。
S220、通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集。
为了可实时检测所述终端设备的网络访问是否处理异常状态,根据检测需要,对所述终端设备当前每一次访问的状态进行检测。在本步骤中,所述服务器通过网络连接,向所述终端设备提供脚本程序,以获取所述终端设备当前每一次访问的第二设备参数。所述第二设备参数与所述第一设备参数的性质相同。所述第二非线性组合特征集为当前获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据。
服务器根据所述第二设备参数进行解析,提取得到所述第二设备参数的特征信息,根据所述特征信息生成关于当前向服务器发出网络请求的终端设备的第二非线性组合特征集。
所述第二非线性组合特征集所包括的特征信息至少与所述第一非线性组合特征集种的特征信息对应,以便后续进行对比。
S230、分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离。
在该步骤中,通过与历史的终端设备的网络访问的正常状态进行比较,得到当前访问服务器的终端设备的网络访问是否为异常状态。
在标注所述第一非线性组合特征集的特征信息的坐标上,标注从步骤S220生成的并经过标准化处理得到所述第二非线性组合特征集的特征信息,得到相应的数据点。
在利用所述坐标,分别计算所述第二非线性组合特征集得到的数据点至所述与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离,得到所述第二非线性组合特征集分别与正常状态簇和与异常状态簇的实际距离。
S240、当所述第一欧式距离大于所述第二欧式距离,判定所述终端设备进行异常访问,并对对应的终端设备的异常访问进行隔离处理。根据步骤S230得到的第一欧式距离和第二欧式距离,并进行比较。若比较的结果为所述第一欧式距离大于所述第二欧式距离,即表示当前终端设备向服务器发起网络访问请求更接近异常状态,这时,判定所述当前终端设备向服务器发起网络访问请求为异常访问状态。
对于终端设备当前发起的网络请求被判定为异常访问请求,服务器直接对该网络请求进行隔离处理,即拒绝响应该异常访问请求,并重新要求所述终端设备进行访问验证;若终端设备当前发起的网络请求被判定为正常访问请求,则直接响应请求。
在本发明中,所述第一非线性组合特征集和所述第二非线性组合特征集各自是由多个特征值集合而成的。每一次访问所形成的非线性组合特征集的多个特征值形成对应的维度向量。因此,在本申请中,每个访问所产生的所述第一非线性特征集和所述第一非线性特征集均以其维度向量进行衡量。而对于所述第一非线性特征集的正常状态簇和异常状态簇,是由对应的多个所述第一非线性特征集的维度向量所形成的状态簇。因此,在本发明的技术方案中的欧式距离的计算是对对应的非线性特征集的维度向量之间的空间距离的计算。
本发明提供的一种终端设备异常访问的隔离方法,通过历史的终端设备发起网络访问的第一非线性组合特征集的数据点划为正常状态簇和异常状态簇,并将当前终端设备向服务器发起网络访问请求得到的第二非线性组合特征集分别与正常状态簇和异常状态簇进行欧式距离计算,并根据距离间的对比,得到当前终端设备所发起的网络访问请求是否为异常状态。本发明将所述终端设备网络访问所产生数据形成第一、第二非线性组合特征集,并在坐标上标注将从第一、第二非线性组合特征集得到的数据点。本发明的技术方案将终端设备发起的网络访问请求所产生的数据进行处理后直接进行对比,避免现有技术中仅对用户使用终端设备的所产生的使用记录如用户验证过程中的点击时间和拖动轨迹等数据作为异常检测的依据所造成容易将真实用户判别为异常用户的问题,更为准确地反应当前终端设备向服务器发起的网络访问请求的状态,并以更为简单、直观的数据对比方式得到异常检测的结果,有利于对异常检测对应的异常访问进行隔离处理。在上述方案描述的基础上,步骤S230之前,即在分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离与异常状态簇的质心之间的第二欧式距离之前,还包括:
分别对所述第一非线性组合特征集的正常状态簇和异常状态簇预设初始质心。
在该步骤中,特别是对于从未与所述第二非线性组合特征集进行欧式距离的计算的情况下,分别根据正常状态簇和异常状态簇的维度向量求取对应质心的位置,得到对应的初始质心。所述质心是对应状态簇的质量中心,其会根据状态簇的维度向量的集中状态的变化而改变。
当初次计算所述第二非线性组合特征集与所述正常状态簇和异常状态簇的欧式距离时,只需计算所述第二非线性组合特征集与所述初始质心的距离便可。
若需继续计算后续终端设备发出网络请求所产生的所述第二非线性组合特征集与正常状态簇和异常状态簇的距离,只需根据之前新产生的所述第二非线性组合特征集的数据点的位置的值直接与所述初始质心的位置的值便可求得新的质心的位置的值,避免每次新增了历史的终端设备的网络请求后,需重新根据所有正常状态簇和异常状态簇的数据点计算质心。这样,有利于控制后续异常检测的运算量,以便保持终端设备异常访问的隔离效率。
根据一般的正常用户的登录网络的使用习惯,对于一个终端设备在短时间段内向服务器发出网络请求一般情况下会多于一次,因此,就同一终端设备可在短时间段内可能会向服务器发出多于一次的网络请求。
对此,对应的步骤S230可包括:
S231、分别计算在设定时间段内每一次访问的所述第二非线性组合特征集与正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;
S232、就同一终端设备在设定时间段内获取排序在前的设定个数所述第一欧式距离的集合和所述第二欧式距离的集合,并分别得到所述第一欧式距离的集合和所述第二欧式距离的集合的众数值;
S233、并分别以所述第一欧式距离的集合和所述第二欧式距离的集合的众数值作为所述同一终端设备在设定时间段内所述第一欧式距离和所述第二欧式距离。
具体地,同一终端设备每向服务器发出一次网络请求,就会形成一对对应的第一欧式距离和第二欧式距离。
在设定时间段内,获取同一终端设备每一次发出网络请求时的第二非线性组合特征集,并根据该第二非线性组合特征集中的多个特征值得到对应的维度向量。在本实施例中,根据第二非线性组合特征集的维度向量分别与所述正常状态簇的质心和所述异常状态簇的质心对应求取同一终端设备每一次网络请求的所述第一欧式距离和第二欧式距离。在设定时间段内,分别根据同一终端设备多次发出网络请求所得到的多个第一欧式距离和多个第二欧式距离中距离值的大小获取排序在前的设定个数的所述第一欧式距离的集合和所述第二欧式距离的集合,如分所述设定的个数为100,并分别就该100个所述第一欧式距离所组成的集合和所述第二欧式距离所组成的集合中得到各自的众数值,即在这设定个数中出现个数最多的距离值。并以该得到的所述第一欧式距离的集合和所述第二欧式距离的集合对应的众数值作为对应同一终端设备在设定时间段内的所述第一欧式距离和所述第二欧式距离。这样,可简化同一终端设备在短时间段内所产生的待处理数据,尽量排除因偶然因素所造成的异常数据影响相关欧式距离值的结果。
对于步骤S220,包括:
A1、通过终端设备上的脚本程序获取当前访问的第二设备参数,生成第二非线性组合特征集,并从所述第二非线性组合特征集中获取终端设备的用户代理;
A2、通过对用户代理进行解析,获取所述终端设备的型号。
在步骤A1-A2中,服务器通过终端设备的检测脚本获取当前的第二设备参数,得到关于发出网络请求的终端设备当前的第二非线性组合特征集,并从该第二非线性组合特征集中获取该终端设备的用户代理。通过对该用户代理进行解析,获得对应所述终端设备的型号。
在此基础上,通过在步骤S220之后,还可以包括:
A3、根据所述终端设备的型号,得到所述终端设备的第二非线性组合特征集的各个特征数值的正常范围;
A4、将所述第二非线性组合特征集的特征数值与所述正常范围进行比较;
A5、得到所述正常范围以外的特征数值对应非线性组合特征集作为第二非线性组合特征集。
根据上述步骤A2得到的终端设备的型号,对所述终端设备的第二非线性组合特征集的各个特征数值分别限定正常范围值。
将获取所述终端设备的第二非线性组合特征集的各个特征数值,与上述得到的对应型号的正常范围值进行对比,根据对比的结果预测对应地终端设备是否处于异常状态,以此作为对网络爬虫进行隔离的依据。
如果对应的终端设备的某一特征值不在其型号的正常范围值内,则所述终端设备可能处于异常状态,很可能被利用进行爬虫部署访问网络。
将该可能处于异常状态的终端设备的非线性组合特征集作为所述第二非线性组合特征集,以便通过对待比较的数据进行预先筛选,减少后期进行欧式距离的求取和数据对比等数据处理工作。
对于将获取所述终端设备的第二非线性组合特征集的各个特征数值,与上述得到的对应型号的正常范围值进行对比的过程,可以包括终端设备的像素比、关于分辨率的参数或者是验证时间和验证次数的综合情况。
具体地,可以参考以下例子:
(1)像素比与终端设备的***平台是否一致的组合特征:
windows***电脑的真实像素比一般为1左右,如果服务器所获取终端设备的windows***电脑的像素比大于等于2,那么有可能是电脑模拟手机的官方模拟器进行攻击验证码,很有可能是异常的终端设备;
苹果手机的真实像素比一般为2-3左右,如果服务器所获取的苹果手机的像素比为1,那么很有可能是爬虫或自动化设备或官方模拟器等攻击验证码,那么对应的终端设备很可能是异常的终端设备;
苹果mac电脑的像素比一般为1-2左右,如果服务器所获取的mac电脑的像素比为3,那么对应的终端设备很可能是异常的终端设备。
(2)生成基于分辨率的非线性组合特征与***平台是否一致的组合特征:
浏览器可用屏幕分辨率x,y乘积xy与终端设备屏幕分辨率x1,y1乘积x1y1的差值x1y1-xy与***平台是否一致的组合特征:
比如正常情况下通过前端获取的电脑端chrome浏览器的xy-x1y1不为0,也就是正常情况下电脑端chrome浏览器通过服务器所获取终端设备的屏幕分辨率和浏览器可用分辨率有一定的差值,而电脑模拟手机时通过服务器所获取终端设备的屏幕分辨率和浏览器可用分辨率完全相同或差异很大(比如x1y1-xy大于150000),那么对应的终端设备很可能是异常的终端设备。
(3)分辨率X*Y取值正常范围与***平台是否一致的组合特征;
尤其是分辨率过低时,对应低端设备用于爬虫部署)。
对于步骤S210,可具体为:
获取历史采集的终端设备的第一设备参数,提取所述第一设备参数的特征信息,根据所述特征信息生成多个第一非线性组合特征集。
针对历史采集的关于终端设备的第一设备参数,服务器针对所述第一设备参数提取相关的特征信息,如像素比、分辨率或验证时间和频率等特征信息,并针对每个特征信息生成各自的第一非线性组合特征集,并综合同一终端设备每一次的发起网络请求所生成的所有第一非线性组合特征集,可形成一个多维向量的数据点,并可在对应的坐标上进行标注,以便进行后续的数据分析和统计。
在步骤S210之后,还可以包括:
B1、根据历史的终端设备的访问量得到网络访问的闲时段;
B2、获取在同一所述网络访问闲时段内同一终端设备的闲时访问频率;
B3、将所述闲时访问频率与预设值进行对比;
B4、若所述闲时访问频率大于预设值,获取对应终端设备的第二非线性组合特征集。
依据上述步骤B1-B4,根据历史的终端设备的访问数量得到网络访问闲时段。并根据所述网络访问闲时段获取同一终端设备的闲时访问频率。将就同一终端设备的显示访问频率与预设值进行对比。在本实施例中,所述预设值可以通过获取历史的终端设备在所述网络访问闲时段的访问量统计得到。
如果所述终端设备的访问频率大于预设值,则将该终端设备设定为监控对象,并获取其第二非线性组合特征集。通过获得的第二非线性组合特征集提取其他特征信息,进行进一步的监控、对比分析,以便网络访问异常检测更具针对性,提高异常情况的捕获效率,提升对网络爬虫造成的异常访问进行隔离的效果。
基于与上述终端设备异常访问的隔离方法相同的发明构思,本发明实施例还提供了一种终端设备异常访问的隔离装置,如图4所示,包括:
获取模块410,用于根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集,并将所述第一非线性组合特征集划为正常状态簇和异常状态簇;其中,所述第一非线性组合特征集为历史获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据;
生成模块420,用于通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集;其中,所述第二非线性组合特征集为当前获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据;
计算模块430,用于分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;
隔离模块440,用于当所述第一欧式距离大于所述第二欧式距离,判定所述终端设备进行异常访问,并对对应的终端设备的异常访问进行隔离处理。
请参考图5,图5为一个实施例中服务器的内部结构示意图。如图4所示,该服务器包括通过***总线连接的处理器510、存储介质520、存储器530和网络接口540。其中,该服务器的存储介质520存储有操作***、数据库和计算机可读指令,数据库中可存储有控件信息序列,该计算机可读指令被处理器510执行时,可使得处理器510实现一种终端设备异常访问的隔离方法,处理器510能实现图4所示实施例中的一种终端设备异常访问的隔离装置中的获取模块410、生成模块420、计算模块430和隔离模型440的功能。该服务器的处理器510用于提供计算和控制能力,支撑整个服务器的运行。该服务器的存储器530中可存储有计算机可读指令,该计算机可读指令被处理器510执行时,可使得处理器510执行一种终端设备异常访问的隔离方法。该服务器的网络接口540用于与终端连接通信。本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的服务器的限定,具体的服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本发明还提出了一种存储有计算机可读指令的存储介质,该计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行以下步骤:根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集,并将所述第一非线性组合特征集划为正常状态簇和异常状态簇;其中,所述第一非线性组合特征集为历史获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据;通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集;其中,所述第二非线性组合特征集为当前获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据;分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;当所述第一欧式距离大于所述第二欧式距离,判定所述终端设备进行异常访问,并对对应的终端设备的异常访问进行隔离处理。
综合上述实施例可知,本发明最大的有益效果在于:
本发明所提供的一种终端设备异常访问的隔离方法和装置,分别对所述历史采集的终端设备的网络访问和当前的网络访问分别生成多个第一非线性组合特征集和对应的第二非线性组合特征集,并将所述多个第一非线性组合特征集的数据点分为正常状态簇和异常状态簇,分别计算得到所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;根据所述第一欧式距离与所述第二欧式距离的比较结果,判定所述网络访问是否为异常访问,并对异常访问对应的请求进行隔离处理。
本发明所提供的技术方案将所述终端设备在发起网络访问请求时所生成的特征信息转化为相应的数据点,并根据数据点相互之间的空间位置关系,并以此得到判定结果。这样,可以将终端设备终端网络访问得到的特性信息以通过相关间的距离参数的比较结果,直观地反映所述终端设备网络访问是否为异常访问,使得更容易判断所述终端设备是否通过网络爬虫访问入侵网站,提高对终端设备的异常访问的隔离效果。
综上,本发明通过终端设备异常访问的隔离方法和装置,通过将终端设备网络访问所生成的特征信息数据进行可视化的距离对比,并得到判定是否为异常访问的判定结果的技术方案,解决了现有技术中通过终端设备登录网络时用户的使用痕迹数据容易将真实用户判别为异常用户的问题,提高了对终端设备异常访问的检测能力。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种终端设备异常访问的隔离方法,其特征在于,包括以下步骤:
根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集,并将所述第一非线性组合特征集划为正常状态簇和异常状态簇;其中,所述第一非线性组合特征集为历史获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据;
通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集;其中,所述第二非线性组合特征集为当前获取的终端设备的非线性特征信息,该特征信息包括终端设备的属性数据和访问数据;
分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;
当所述第一欧式距离大于所述第二欧式距离,判定所述终端设备进行异常访问,并对对应的终端设备的异常访问进行隔离处理。
2.根据权利要求1所述的方法,其特征在于,
在所述分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离的步骤之前,还包括:
分别对所述第一非线性组合特征集的正常状态簇和异常状态簇预设初始质心。
3.根据权利要求1或2所述的方法,其特征在于,
所述分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离的步骤包括:
分别计算在设定时间段内每一次访问的所述第二非线性组合特征集与正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;
就同一终端设备在设定时间段内获取排序在前的设定个数所述第一欧式距离的集合和所述第二欧式距离的集合,并分别得到所述第一欧式距离的集合和所述第二欧式距离的集合的众数值;
并分别以所述第一欧式距离的集合和所述第二欧式距离的集合的众数值作为所述同一终端设备在设定时间段内所述第一欧式距离和所述第二欧式距离。
4.根据权利要求1所述的方法,其特征在于,
所述通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集的步骤包括:
通过终端设备上的脚本程序获取当前访问的第二设备参数,生成第二非线性组合特征集,并从所述第二非线性组合特征集中获取终端设备的用户代理;
通过对用户代理进行解析,获取所述终端设备的型号。
5.根据权利要求4所述的方法,其特征在于,
在所述通过对用户代理进行解析,获取所述终端设备的型号的步骤之后,还包括:
根据所述终端设备的型号,得到所述终端设备的第二非线性组合特征集的各个特征数值的正常范围;
将所述第二非线性组合特征集的特征数值与所述正常范围进行比较;
得到所述正常范围以外的特征数值对应终端设备的非线性组合特征集作为第二非线性组合特征集。
6.根据权利要求1所述的方法,其特征在于,
所述根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集的步骤包括:
获取历史采集的终端设备的第一设备参数,提取所述第一设备参数的特征信息,根据所述特征信息生成多个第一非线性组合特征集。
7.根据权利要求1所述的方法,其特征在于,
所述根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集的步骤之后,还包括:
根据历史的终端设备的访问量得到网络访问闲时段;
获取在同一所述网络访问闲时段内同一终端设备的闲时访问频率;
将所述闲时访问频率与预设值进行对比;
若所述闲时访问频率大于预设值,获取对应终端设备的第二非线性组合特征集。
8.一种终端设备异常访问的隔离装置,其特征在于,包括:
获取模块,用于根据历史的终端设备的第一设备参数获取多个第一非线性组合特征集,并将所述第一非线性组合特征集划为正常状态簇和异常状态簇;
生成模块,用于通过终端设备上的脚本程序获取所述终端设备当前访问的第二设备参数,生成第二非线性组合特征集;
计算模块,用于分别计算所述第二非线性组合特征集与所述正常状态簇的质心的第一欧式距离,以及与异常状态簇的质心之间的第二欧式距离;
隔离模块,用于当所述第一欧式距离大于所述第二欧式距离,判定所述终端设备进行异常访问,并对对应的终端设备的异常访问进行隔离处理。
9.一种服务器,其特征在于,包括:
一个或多个处理器;
存储器;
一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个计算机程序配置用于执行根据权利要求1至7任一项所述的终端设备异常访问的隔离方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现权利要求1至7任一项所述的终端设备异常访问的隔离方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910580052.3A CN110445753A (zh) | 2019-06-28 | 2019-06-28 | 终端设备异常访问的隔离方法和装置 |
| PCT/CN2019/103663 WO2020258509A1 (zh) | 2019-06-28 | 2019-08-30 | 终端设备异常访问的隔离方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910580052.3A CN110445753A (zh) | 2019-06-28 | 2019-06-28 | 终端设备异常访问的隔离方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110445753A true CN110445753A (zh) | 2019-11-12 |
Family
ID=68428743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910580052.3A Pending CN110445753A (zh) | 2019-06-28 | 2019-06-28 | 终端设备异常访问的隔离方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110445753A (zh) |
| WO (1) | WO2020258509A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600880A (zh) * | 2020-05-14 | 2020-08-28 | 深信服科技股份有限公司 | 异常访问行为的检测方法、***、存储介质和终端 |
| CN116150542A (zh) * | 2023-04-21 | 2023-05-23 | 河北网新数字技术股份有限公司 | 一种动态页面的生成方法和装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107465648A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 异常设备的识别方法及装置 |
| CN109446768A (zh) * | 2018-10-09 | 2019-03-08 | 北京北信源软件股份有限公司 | 应用访问行为异常检测方法及*** |
| CN109714311A (zh) * | 2018-11-15 | 2019-05-03 | 北京天地和兴科技有限公司 | 一种基于聚类算法的异常行为检测的方法 |
| CN109800130A (zh) * | 2019-01-31 | 2019-05-24 | 郑州云海信息技术有限公司 | 一种设备监控方法、装置、设备及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101219538B1 (ko) * | 2009-07-29 | 2013-01-08 | 한국전자통신연구원 | 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법 |
| CN107819631B (zh) * | 2017-11-23 | 2021-03-02 | 东软集团股份有限公司 | 一种设备异常检测方法、装置及设备 |
| CN109391620B (zh) * | 2018-10-22 | 2021-06-25 | 武汉极意网络科技有限公司 | 异常行为判定模型的建立方法、***、服务器及存储介质 |
| CN109886290B (zh) * | 2019-01-08 | 2024-05-28 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
-
2019
- 2019-06-28 CN CN201910580052.3A patent/CN110445753A/zh active Pending
- 2019-08-30 WO PCT/CN2019/103663 patent/WO2020258509A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107465648A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 异常设备的识别方法及装置 |
| CN109446768A (zh) * | 2018-10-09 | 2019-03-08 | 北京北信源软件股份有限公司 | 应用访问行为异常检测方法及*** |
| CN109714311A (zh) * | 2018-11-15 | 2019-05-03 | 北京天地和兴科技有限公司 | 一种基于聚类算法的异常行为检测的方法 |
| CN109800130A (zh) * | 2019-01-31 | 2019-05-24 | 郑州云海信息技术有限公司 | 一种设备监控方法、装置、设备及介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600880A (zh) * | 2020-05-14 | 2020-08-28 | 深信服科技股份有限公司 | 异常访问行为的检测方法、***、存储介质和终端 |
| CN116150542A (zh) * | 2023-04-21 | 2023-05-23 | 河北网新数字技术股份有限公司 | 一种动态页面的生成方法和装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020258509A1 (zh) | 2020-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Li et al. | IoT data feature extraction and intrusion detection system for smart cities based on deep migration learning | |
| US20210352090A1 (en) | Network security monitoring method, network security monitoring device, and system | |
| KR102076862B1 (ko) | 네트워크 성능지표를 시각화하는 방법 및 장치, 및 시스템 | |
| CN102651856B (zh) | 一种提高终端上网安全性的方法、***和装置 | |
| CN109886290B (zh) | 用户请求的检测方法、装置、计算机设备及存储介质 | |
| CN103905440B (zh) | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 | |
| CN107861713A (zh) | 数据调用方法、装置及计算机可读存储介质 | |
| CN102929613B (zh) | 操作***的调优装置和方法 | |
| CN107958456A (zh) | 点胶检测方法、装置及电子设备 | |
| CN107370806A (zh) | Http状态码监控方法、装置、存储介质和电子设备 | |
| Lv et al. | A deep convolution generative adversarial networks based fuzzing framework for industry control protocols | |
| CN110392046A (zh) | 网络访问的异常检测方法和装置 | |
| CN107203470B (zh) | 页面调试方法和装置 | |
| CN110445753A (zh) | 终端设备异常访问的隔离方法和装置 | |
| CN108809926A (zh) | 入侵检测规则优化方法、装置、电子设备及存储介质 | |
| EP4102772A1 (en) | Method and apparatus of processing security information, device and storage medium | |
| CN109117352B (zh) | 服务器性能预测方法和装置 | |
| CN113849363A (zh) | 一种业务监控方法及相关装置 | |
| CN106027284A (zh) | 网络的故障诊断方法及装置 | |
| CN112948224A (zh) | 一种数据处理方法、装置、终端及存储介质 | |
| CN109688099A (zh) | 服务器端撞库识别方法、装置、设备及可读存储介质 | |
| CN103024767A (zh) | 移动通信业务端到端性能评估方法及*** | |
| CN114726876B (zh) | 一种数据检测方法、装置、设备和存储介质 | |
| Sik et al. | Toward cognitive data analysis with big data environment | |
| CN110311909A (zh) | 终端设备网络访问的异常判定方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191112 |