CN111131166B - 一种用户行为预判方法及相关设备 - Google Patents
一种用户行为预判方法及相关设备 Download PDFInfo
- Publication number
- CN111131166B CN111131166B CN201911195955.6A CN201911195955A CN111131166B CN 111131166 B CN111131166 B CN 111131166B CN 201911195955 A CN201911195955 A CN 201911195955A CN 111131166 B CN111131166 B CN 111131166B
- Authority
- CN
- China
- Prior art keywords
- risk
- user
- target
- information
- risk value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种用户行为预判方法及相关设备,所述方法应用于计算机技术领域,包括:服务器在检测到用户访问指定平台时,可以检测该用户在指定平台的操作行为,基于该操作行为确定用户的操作风险值,并根据操作风险值确定用户的目标风险值,基于目标风险值确定用户的风险等级,进而对该用户添加与风险等级匹配的风险标记。采用本发明实施例,可以高效地实现对用户行为的预判。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种用户行为预判方法及相关设备。
背景技术
在互联网的大背景下,对于Web应用的安全迎来了新的挑战,攻击方式层出不穷。一旦Web应用受到攻击,会给Web应用提供的服务或者Web应用对应的服务器造成影响,因此,针对Web应用的攻击检测具有重大意义。
目前,针对Web应用的攻击检测主要是在用户开始访问或开始攻击Web应用时,对用户行为进行检测,无法对用户行为进行预判,实现对应用预先性地、前瞻性地保护。因此,如何实现对用户行为的预判,成为一个亟待解决的问题。
发明内容
本发明实施例提供了一种用户行为预判方法及相关设备,可以高效地实现对用户行为的预判。
第一方面,本发明实施例提供了一种用户行为预判方法,该方法包括:
在检测到用户访问指定平台时,检测所述用户在所述指定平台的操作行为;
基于所述操作行为确定所述用户的操作风险值;
根据所述操作风险值确定所述用户的目标风险值,并基于所述目标风险值确定所述用户的风险等级;
对所述用户添加与所述风险等级匹配的风险标记。
在一个实施例中,所述基于所述操作行为确定所述用户的操作风险值的具体实施方式为:对所述操作行为进行解析,得到操作行为信息;根据所述操作行为信息确定与所述指定平台的类型对应的目标风险检测规则;判断所述操作行为信息中是否包含所述目标风险检测规则的预设关键信息,所述预设关键信息与目标应用关联;若包含,则将所述目标风险检测规则对应的风险值确定为所述用户的操作风险值。
在一个实施例中,所述根据所述操作风险值确定所述用户的目标风险值的具体实施方式为:检测数据库中是否存储有所述用户的历史风险值;若是,则将所述操作风险值与所述历史风险值的和确定为所述用户的目标风险值;若否,则将所述用户的操作风险值确定为所述用户的目标风险值。
在一个实施例中,所述对所述用户添加与所述风险等级匹配的风险标记之后,还可以获取所述用户的用户信息,并将所述用户信息、所述风险标记和所述目标风险值关联存储至数据库中。
在一个实施例中,所述将所述用户信息、所述风险标记和所述目标风险值关联存储至数据库中之后,还可以接收所述用户针对目标应用的访问请求,所述访问请求中包括所述用户的用户信息;从所述数据库中获取与所述用户信息匹配的风险标记;确定所述风险标记所指示的风险等级,针对所述用户执行与所述风险等级匹配的访问控制策略。
在一个实施例中,所述风险标记所指示的风险等级为第一风险等级,所述第一风险等级对应的风险值大于或者等于第一风险阈值,所述针对所述用户执行与所述风险等级匹配的访问控制策略的具体实施方式为:将所述访问请求接入与所述目标应用对应的蜜罐主机;在检测到接入所述蜜罐主机后,采集所述用户的攻击行为;基于所述攻击行为对所述目标应用进行修复。
在一个实施例中,所述风险标记所指示的风险等级为第二风险等级,所述第二风险等级对应的风险值大于或等于第二风险阈值,且小于第一风险阈值,所述针对所述用户执行与所述风险等级匹配的访问控制策略的具体实施方式为:将所述访问请求接入所述目标应用,并根据第一预设限制策略限制所述用户对所述目标应用的访问范围;在第一预设时长内检测所述用户在所述指定平台的操作行为;若在所述第一预设时长内检测到所述用户存在所述第二风险级别的操作行为,则将所述用户的风险等级从所述第二风险等级调整为第一风险等级。
第二方面,本发明实施例提供了一种用户行为预判装置,该用户行为预判装置包括用于执行上述第一方面的方法的模块。
第三方面,本发明实施例提供了一种服务器,该服务器包括处理器、通信接口和存储器,所述处理器、通信接口和存储器相互连接,其中,所述通信接口受所述处理器的控制用于收发消息,所述存储器用于存储支持服务器执行上述方法的计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行上述第一方面的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。
本发明实施例中,服务器在检测到用户访问指定平台时,可以检测该用户在指定平台的操作行为,基于该操作行为确定用户的操作风险值,并根据操作风险值确定用户的目标风险值,基于目标风险值确定用户的风险等级,进而对该用户添加与风险等级匹配的风险标记。采用这样的方式,可以高效地实现对用户行为的预判,并针对用户添加风险标记。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种用户行为预判***的架构示意图;
图2是本发明实施例提供的一种用户行为预判方法的流程示意图;
图3是本发明实施例提供的另一种用户行为预判方法的流程示意图;
图4是本发明实施例提供的一种用户行为预判装置的示意性框图;
图5是本发明实施例提供的一种服务器的示意性框图。
具体实施方式
本发明实施例提出了一种用户行为预判方法,该方法可以在用户未访问到目标应用前,基于用户在指定平台的操作行为确定用户的风险等级,实现对用户行为的预判,并对用户添加与该风险等级匹配的风险标记。进一步地,当后续该用户访问目标应用时,可以确定预先对该用户添加的风险标记所指示的风险等级,进而对该用户执行与风险等级匹配的访问控制策略。采用这样的方式,可以在用户接触目标应用之前,针对不同风险等级的用户执行不同的访问控制策略,提供不同的访问资源,可以预先性地、前瞻性地保护目标应用。其中,上述目标应用可以指Web应用,Web应用是一种可以通过Web访问的应用程序,Web应用最大的好处是用户很容易访问应用程序,用户只需要有浏览器即可,不需要再安装其他软件。
为了更好的理解本发明实施例公开的一种用户行为预判方法,下面首先对本发明实施例适用的用户行为预判***进行描述。
请参见图1,图1是本发明实施例公开的一种用户行为预判***的架构示意图。如图1所示,该用户行为预判***包括至少一个指定平台100,风险处理平台101和目标应用102,该风险处理平台101设置于目标应用102之前,用于对目标应用102进行风险过滤,保护目标应用102。其中,该指定平台100可以包括搜索引擎管理平台、域名***(Domain NameSystem,DNS)管理平台、域名及域名查询Whois管理平台、代码托管平台、超文本传输安全协议(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS)证书管理平台、设备信息管理平台、社交信息管理平台、历史存档信息管理平台、网际互连协议(InternetProtocol,IP)管理平台和端口管理平台中的一种或者多种,本发明实施例对此不作具体限定。
在一个实施例中,风险处理平台101在检测到用户访问任一个指定平台100时,可以检测该用户在该指定平台100的操作行为,并基于操作行为确定用户的操作风险值,根据操作风险值确定用户的目标风险值,基于目标风险值确定该用户的风险等级,进而对用户添加与风险等级匹配的风险标记。进一步地,当风险处理平台101接收到用户针对目标应用102的访问请求后,可以检测该用户是否预先添加有风险标记,若是,则基于预添加的风险标记的指示确定用户的风险等级,进而针对该用户执行与该风险等级匹配的访问控制策略。
可以理解的是,本发明实施例描述的用户行为预判***是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着***架构的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
参见图2,图2是本发明实施例提供的一种用户行为预判方法的流程示意图,本实施例可由服务器执行,该服务器例如可以为图1中风险处理平台101对应的服务器,如图所示,该用户行为预判方法可包括:
S201:在检测到用户访问指定平台时,检测该用户在指定平台的操作行为。
S202:基于该操作行为确定用户的操作风险值。
其中,上述指定平台为开发人员根据实验测算数据预先设置的,针对不同的类型的指定平台,可以设置不同的风险检测规则,对于每一种类型的指定平台而言,可以对应设置至少一个风险检测规则,每个风险检测规则对应一个风险值。在一个实施例中,当服务器检测到用户访问指定平台时,可以检测该用户在指定平台的操作行为,对该操作行为进行解析得到操作行为信息,并从该指定平台的类型对应的至少一个风险检测规则中确定出与该操作行为信息匹配的目标风险检测规则,进而将该目标风险检测规则对应的风险值确定为该用户的操作风险值。
S203:根据操作风险值确定用户的目标风险值,并基于目标风险值确定用户的风险等级。
在一个实施例中,服务器可以检测数据库中是否存储有用户的历史风险值,若是,则将操作风险值与历史风险值的和确定为用户的目标风险值,若否,则将该用户的操作风险值确定为用户的目标风险值。
在一个实施例中,服务器可以预先基于不同的风险值范围划分不同的风险等级,示例性地,如表1所示,表1中第一风险等级可以理解为高风险等级,其对应的风险值最高;第二风险等级可以理解为中风险等级,其对应的风险值次高;第三风险等级可以理解为低风险等级,其对应的风险值最低。这种情况下,服务器根据操作风险值确定出用户的目标风险值之后,可以确定该目标风险值所属的风险值范围,进而将该风险值范围对应的风险等级确定为该用户的风险等级。
表1
风险等级 | 风险值r |
第一风险等级 | r≥1 |
第二风险等级 | 0.4≤r<1 |
第三风险等级 | 0<r<0.4 |
S204:对该用户添加与风险等级匹配的风险标记。
在一个实施例中,针对不同的风险等级可以添加不同的风险标记,后续服务器可以通过解析风险标记确定出对应的风险等级。
在一个实施例中,服务器对用户添加与风险等级匹配的风险标记之后,还可以获取该用户的用户信息,并将用户信息、风险标记和目标风险值关联存储至数据库中。采用这样的方式,后续服务器可以基于该用户的用户信息从数据库中获取该用户的风险标记以及目标风险值,其中,该目标风险值可以作为下一次风险分析的历史风险值。
在一个实施例中,服务器将用户信息、风险标记和目标风险值关联存储至数据库之后,可以接收用户针对目标应用的访问请求,访问请求中包括该用户的用户信息。进一步地,服务器可以从数据库中获取与该用户信息匹配的风险标记,确定风险标记所指示的风险等级,并针对用户执行与风险等级匹配的访问控制策略。采用这样的方式,可以在用户接触目标应用之前,针对不同风险等级的用户执行不同的访问控制策略,提供不同的访问资源,可以预先性地、前瞻性地保护目标应用。
或者,在另一个实施例中,服务器接收到用户针对目标应用的访问请求之后,可以检测数据库中是否存在该用户的用户信息,若否,则将该用户确定为正常访问者,并将该访问请求接入目标应用,以使该用户正常访问目标应用。
在一个实施例中,假设风险标记所指示的风险等级为第一风险等级,该第一风险等级对应的风险值大于第一风险阈值(例如表1中的“1”),服务器针对用户执行与风险等级匹配的访问控制策略的具体实施方式包括:将该访问请求接入与目标应用对应的蜜罐主机,并在检测到接入蜜罐主机后,采集该用户的攻击行为,并基于该攻击行为对目标应用进行修复。其中,该蜜罐主机与目标应用的界面功能相同,只是没有真实的用户数据,该攻击行为可以包括攻击方式,攻击路径等。采用这样的方式,针对第一风险等级的用户,可以在其接触目标应用之前,阻止其访问真实的目标应用,提高目标应用的安全性。除此之外,还可以采集该用户针对蜜罐主机的攻击行为,并基于该攻击行为对目标应用进行修复,有利于进一步提高目标应用的安全性。
在一个实施例中,假设风险标记所指示的风险等级为第二风险等级,该第二风险等级对应的风险值大于或等于第二风险阈值(例如表1中的“0.4”),且小于第一风险阈值(例如表1中的“1”),服务器针对用户执行与风险等级匹配的访问控制策略的具体实施方式包括:将该访问请求接入目标应用,并根据第一预设限制策略限制用户对目标应用的访问范围,在第一预设时长内检测用户在该指定平台的操作行为,若在第一预设时长内检测到用户存在第二风险级别的操作行为,则将用户的风险等级从第二风险等级调整为第一风险等级,并在数据库中将用户的风险标记直接调整为与第一风险等级匹配的风险标记。
其中,在另一个实施例中,若服务器在第一预设时长内检测到用户存在第一风险级别的操作行为,则将用户的风险等级从第二风险等级直接调整为第一风险等级,并在数据库中将用户的风险标记直接调整为与第一风险等级匹配的风险标记。
或者,若在第一预设时长内检测到用户不存在任何风险级别的操作行为,则可以在数据库中删除与该用户的用户信息关联存储的风险标记,后续该用户可以作为正常访问者访问目标应用。
在一个实施例中,假设风险标记所指示的风险等级为第三风险等级,该第三风险等级对应的风险值小于第二风险阈值(例如表1中的“0.4”),且大于0,服务器针对用户执行与风险等级匹配的访问控制策略的具体实施方式包括:将该访问请求接入目标应用,并根据第二预设限制策略限制该用户对目标应用的访问范围。
其中,在一个实施例中,服务器将该访问请求接入目标应用之后,还可以在第二预设时长内检测用户在该指定平台的操作行为,若在第二预设时长内检测到用户存在第一风险等级的操作行为,则将用户的目标风险等级从第三风险等级调整为第一风险等级,并在数据库中将用户的风险标记直接调整为与第一风险等级匹配的风险标记。或者,若在第二预设时长内检测到用户存在第二风险等级的操作行为,则将用户的目标风险等级从第三风险等级调整为第二风险等级,并在数据库中将用户的风险标记调整为与第二风险等级匹配的风险标记。
或者,若服务器在第二预设时长内检测到用户不存在任何风险级别的操作行为,则可以在数据库中删除与该用户的用户信息关联存储的风险标记,后续该用户可以作为正常访问者访问目标应用。
在一个实施例中,服务器将用户的目标风险等级从第三风险等级调整为第二风险等级之后,后续可以对用户执行与第二风险等级匹配的访问控制策略。或者,服务器将用户的目标风险等级从第三风险等级调整为第一风险等级之后,后续可以对该用户执行与第一风险等级匹配的访问控制策略。
其中,上述第一风险阈值>第二风险阈值,第一风险阈值例如可以为1,第二风险阈值例如可以为0.4。上述第二风险等级可以理解为中风险等级,上述第三风险等级可以理解为低风险等级,第二风险等级对应的风险值大于第三风险等级对应的风险值,这种情况下,由于第二风险等级对应的风险值大于第三风险等级对应的风险值,因此,针对第二风险等级设置的第一预设时长大于上述针对第三风险等级设置的第二预设时长,例如第一预设时长为15天,第二预设时长为7天;针对第二风险等级设置的第一预设限制策略限制该用户对目标应用的访问范围小于针对第三风险等级设置的第二预设限制策略限制该用户对目标应用的访问范围。例如第一预设限制策略限制该用户对目标应用的访问范围为访问超文本标记语言(HyperText Markup Language,HTML)页面,除此之外的注册,登录等功能均不能操作;相应地,第二预设限制策略限制该用户对目标应用的访问范围可以为登录、注册、更改密码、访问目标应用各类功能等。
可以理解的是,上述针对第一风险阈值、第二风险阈值、第一预设时长、第二预设时长、第一预设限制策略和第二预设限制策略的设置仅为举例,不作为对本发明实施例的限定。
在一个实施例中,服务器执行步骤S202基于操作行为确定用户的操作风险值之前,可以检测数据库中是否存在该用户的目标风险标记(该目标风险标记指示的风险等级为第一风险等级),若是,则无需执行步骤S202,可以将该用户的历史风险值确定为该用户的目标风险值。
本发明实施例中,服务器在检测到用户访问指定平台时,可以检测该用户在指定平台的操作行为,基于该操作行为确定用户的操作风险值,并根据操作风险值确定用户的目标风险值,基于目标风险值确定用户的风险等级,进而对该用户添加与风险等级匹配的风险标记。采用这样的方式,可以高效地实现对用户行为的预判,并针对用户添加风险标记。
参见图3,图3是本发明实施例提供的另一种用户行为预判方法的流程示意图,本实施例可由服务器执行,该服务器例如可以为图1中的风险处理平台101对应的服务器,如图所示,该用户行为预判方法可包括:
S301:在检测到用户访问指定平台时,检测该用户在指定平台的操作行为。
S302:对操作行为进行解析,得到操作行为信息,根据该操作行为信息确定与指定平台的类型对应的目标风险检测规则。
在一个实施例中,指定平台可以包括至少一个,针对不同类型的指定平台,可以设置不同的风险检测规则,对于每一种类型的指定平台而言,可以对应设置至少一个风险检测规则,每个风险检测规则对应设置一个风险值。其中,上述指定平台可以包括搜索引擎管理平台、DNS管理平台、域名及Whois管理平台、代码托管平台、HTTPS证书管理平台、设备信息管理平台、社交信息管理平台、历史存档信息管理平台、IP管理平台和端口管理平台中的一种或者多种类型。
示例性地,针对搜索引擎管理平台,可以设置如表2所示的风险检测规则以及对应的风险值;针对DNS管理平台,可以设置如表3所示的风险检测规则以及对应的风险值;针对域名及Whois管理平台,可以设置如表4所示的风险检测规则以及对应的风险值;针对代码托管平台,可以设置如表5所示的风险检测规则以及对应的风险值;针对HTTPS证书管理平台,设置的风险检测规则5可以为:根据目标对象的https证书信息,查找相同证书的域名,该风险检测规则5对应的风险值可以设置为0.4。针对设备信息管理平台,设置的风险检测规则6可以为:收集目标对象的设备信息(例如设备类型、IP地址等等)查询目标对象的其他信息,该风险检测规则6对应的风险值可以设置为1;针对社交信息管理平台,设置的风险检测规则7可以为:通过目标对象通过社交发布的信息(即社交信息,例如可以为如目标对象的名称、邮箱、员工姓名等)生成社会工程学攻击所需要的密码,该风险检测规则7对应的风险值可以设置为0.2;针对端口管理平台,设置的风险检测规则8可以为:通过对目标对象的端口的TCP/UDP连接来探测主机或服务器端口,获取应用信息,该风险检测规则8对应的风险值可以设置为0.2;针对IP管理平台,设置的风险检测规则以及对应的风险值可以如表6所示。其中,上述目标对象可以指各个企业、机构等等。
表2
表3
表4
表5
表6
可以看出每一种风险检测规则对应一种操作行为,例如表2中的风险检测规则1.1对应的操作行为为查询目标对象的登录接口,风险检测规则1.2对应的操作行为为查询目标对象泄露的文件或文档。针对这种情况下,服务器根据该操作行为信息确定与指定平台的类型对应的目标风险检测规则的具体实施方式可以为:服务器根据该操作行为信息从指定平台的类型对应的至少一个风险检测规则中确定出目标风险检测规则。示例性地,假设步骤S301中指定平台的类型为搜索引擎管理平台,该搜索引擎管理平台对应的至少一个风险检测规则如表2所示。这种情况下,若服务器根据操作行为信息确定出用户在指定平台的操作行为查询目标对象的登录接口,则可以从搜索引擎管理平台对应的至少一个风险检测规则中将风险检测规则1.1确定为目标风险检测规则。
S303:判断该操作行为信息中是否包含目标风险检测规则的预设关键信息,该预设关键信息与目标应用关联。
S304:若包含,则将目标风险检测规则对应的风险值确定为用户的操作风险值。
其中,上述预设关键信息与目标应用关联,该关联可以理解为预设关键信息与目标应用对应同一个企业或者机构。示例性地,假设目标风险检测规则为表2中的风险检测规则1.1,该目标检测规则为查询目标对象的登录接口,该目标对象的登录接口可以为企业A的登录接口和企业B的登录接口,开发目标应用的公司为企业A。这种情况下,该预设关键信息可以指企业A的登录接口,该预设关键信息与目标应用对应同一个企业A,也即预设关键信息与目标应用关联。
示例性地,假设目标风险检测规则为表2中的风险检测规则1.1,预设关键信息为指企业A的登录接口,开发目标应用的公司为企业A。这种情况下,若服务器判断出上述操作行为信息中包含风险检测规则1.1的企业A的登录接口,则可以将风险检测规则1.1对应的1确定为用户的操作风险值。
在一个实施例中,若检测到该操作行为信息中不包含目标风险检测规则的预设关键信息,则可以将该用户的操作风险值确定为0。
S305:根据操作风险值确定用户的目标风险值,并基于目标风险值确定用户的风险等级,对该用户添加与风险等级匹配的风险标记。其中,步骤S305的具体实施方式可以参见上述实施例中步骤S203~步骤S204的相关描述,此处不再赘述。
本发明实施例中,服务器在检测到用户访问指定平台时,可以检测该用户在指定平台的操作行为,对操作行为进行解析,得到操作行为信息,根据该操作行为信息确定与指定平台的类型对应的目标风险检测规则,若判断出该操作行为信息中包含目标风险检测规则的预设关键信息,则将目标风险检测规则对应的风险值确定为用户的操作风险值。进一步地,可以根据操作风险值确定用户的目标风险值,基于目标风险值确定用户的风险等级,进而对该用户添加与风险等级匹配的风险标记。采用这样的方式,可以高效地实现对用户行为的预判,并针对用户添加风险标记。
本发明实施例还提供了一种计算机存储介质,该计算机存储介质中存储有程序指令,该程序指令被执行时,用于实现上述实施例中描述的相应方法。
本发明实施例还提供了一种用户行为预判装置,该装置包括用于执行前述图2或者图3所述的方法的模块,配置于服务器。具体地,参见图4,是本发明实施例提供的用户行为预判装置的示意框图。本实施例的用户行为预判装置包括:
检测模块40,用于在检测到用户访问指定平台时,检测所述用户在所述指定平台的操作行为;
处理模块41,用于基于所述操作行为确定所述用户的操作风险值;
所述处理模块41,还用于根据所述操作风险值确定所述用户的目标风险值,并基于所述目标风险值确定所述用户的风险等级;
标记模块42,用于对所述用户添加与所述风险等级匹配的风险标记。
在一个实施例中,所述处理模块41,具体用于对所述操作行为进行解析,得到操作行为信息;根据所述操作行为信息确定与所述指定平台的类型对应的目标风险检测规则;判断所述操作行为信息中是否包含所述目标风险检测规则的预设关键信息,所述预设关键信息与目标应用关联;若包含,则将所述目标风险检测规则对应的风险值确定为所述用户的操作风险值。
在一个实施例中,所述处理模块41,具体用于检测数据库中是否存储有所述用户的历史风险值;若是,则将所述操作风险值与所述历史风险值的和确定为所述用户的目标风险值;若否,则将所述用户的操作风险值确定为所述用户的目标风险值。
在一个实施例中,所述处理模块41,还用于获取所述用户的用户信息,并将所述用户信息、所述风险标记和所述目标风险值关联存储至数据库中。
在一个实施例中,所述装置还包括通信模块43,其中,所述通信模块43,用于接收所述用户针对目标应用的访问请求,所述访问请求中包括所述用户的用户信息;所述处理模块41,还用于从所述数据库中获取与所述用户信息匹配的风险标记,确定所述风险标记所指示的风险等级,针对所述用户执行与所述风险等级匹配的访问控制策略。
在一个实施例中,所述风险标记所指示的风险等级为第一风险等级,所述处理模块41,具体用于将所述访问请求接入与所述目标应用对应的蜜罐主机;在检测到接入所述蜜罐主机后,采集所述用户的攻击行为;基于所述攻击行为对所述目标应用进行修复。
在一个实施例中,所述风险标记所指示的风险等级为第二风险等级,所述第二风险等级对应的风险值大于或等于第二风险阈值,且小于第一风险阈值,所述处理模块41,具体用于将所述访问请求接入所述目标应用,并根据第一预设限制策略限制所述用户对所述目标应用的访问范围;在第一预设时长内检测所述用户在所述指定平台的操作行为;若在所述第一预设时长内检测到所述用户存在所述第二风险级别的操作行为,则将所述用户的风险等级从所述第二风险等级调整为第一风险等级。
需要说明的是,本发明实施例所描述的用户行为预判装置的各功能模块的功能可根据上述图2或者图3所述的所述的方法实施例中的方法具体实现,其具体实现过程可以参照图2或者图3的方法实施例的相关描述,此处不再赘述。
请参见图5,图5是本发明实施例提供的一种服务器的示意性框图,如图5所示,该服务器包括,处理器501、存储器502和通信接口503。上述处理器501、存储器502和通信接口503可通过总线或其他方式连接,在本发明实施例所示图5中以通过总线连接为例。其中,通信接口503受所述处理器的控制用于收发消息,存储器502用于存储计算机程序,所述计算机程序包括程序指令,处理器501用于执行存储器502存储的程序指令。其中,处理器501被配置用于调用所述程序指令执行:在检测到用户访问指定平台时,检测所述用户在所述指定平台的操作行为;基于所述操作行为确定所述用户的操作风险值;根据所述操作风险值确定所述用户的目标风险值,并基于所述目标风险值确定所述用户的风险等级;对所述用户添加与所述风险等级匹配的风险标记。
在一个实施例中,所述处理器501,具体用于对所述操作行为进行解析,得到操作行为信息;根据所述操作行为信息确定与所述指定平台的类型对应的目标风险检测规则;判断所述操作行为信息中是否包含所述目标风险检测规则的预设关键信息,所述预设关键信息与目标应用关联;若包含,则将所述目标风险检测规则对应的风险值确定为所述用户的操作风险值。
在一个实施例中,所述处理器501,具体用于检测数据库中是否存储有所述用户的历史风险值;若是,则将所述操作风险值与所述历史风险值的和确定为所述用户的目标风险值;若否,则将所述用户的操作风险值确定为所述用户的目标风险值。
在一个实施例中,所述处理器501,还用于获取所述用户的用户信息,并将所述用户信息、所述风险标记和所述目标风险值关联存储至数据库中。
在一个实施例中,所述处理器501,还用于通过通信接口503接收所述用户针对目标应用的访问请求,所述访问请求中包括所述用户的用户信息;从所述数据库中获取与所述用户信息匹配的风险标记,确定所述风险标记所指示的风险等级,针对所述用户执行与所述风险等级匹配的访问控制策略。
在一个实施例中,所述风险标记所指示的风险等级为第一风险等级,所述处理器501,具体用于将所述访问请求接入与所述目标应用对应的蜜罐主机;在检测到接入所述蜜罐主机后,采集所述用户的攻击行为;基于所述攻击行为对所述目标应用进行修复。
在一个实施例中,所述风险标记所指示的风险等级为第二风险等级,所述第二风险等级对应的风险值大于或等于第二风险阈值,且小于第一风险阈值,所述处理器501,具体用于将所述访问请求接入所述目标应用,并根据第一预设限制策略限制所述用户对所述目标应用的访问范围;在第一预设时长内检测所述用户在所述指定平台的操作行为;若在所述第一预设时长内检测到所述用户存在所述第二风险级别的操作行为,则将所述用户的风险等级从所述第二风险等级调整为第一风险等级。
应当理解,在本发明实施例中,所称处理器501可以是中央处理单元(CentralProcessing Unit,CPU),该处理器501还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器502可以包括只读存储器和随机存取存储器,并向处理器501提供指令和数据。存储器502的一部分还可以包括非易失性随机存取存储器。例如,存储器502还可以存储设备类型的信息。
具体实现中,本发明实施例中所描述的处理器501、存储器502和通信接口503可执行本发明实施例提供的图2或者图3所述的方法实施例所描述的实现方式,也可执行本发明实施例所描述的用户行为预判装置的实现方式,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明的部分实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于申请所涵盖的范围。
Claims (7)
1.一种用户行为预判方法,其特征在于,所述方法包括:
在检测到用户访问指定平台时,检测所述用户在所述指定平台的操作行为,所述指定平台包括搜索引擎管理平台、域名***管理平台、域名及域名查询Whois管理平台、代码托管平台、超文本传输安全协议证书管理平台、设备信息管理平台、社交信息管理平台、历史存档信息管理平台、网际互连协议管理平台和端口管理平台中的多种平台;
基于所述操作行为确定所述用户的操作风险值,包括:对所述操作行为进行解析,得到操作行为信息,根据所述操作行为信息确定与所述指定平台的类型对应的目标风险检测规则,判断所述操作行为信息中是否包含所述目标风险检测规则的预设关键信息,所述预设关键信息与目标应用关联,若包含,则将所述目标风险检测规则对应的风险值确定为所述用户的操作风险值;
根据所述操作风险值确定所述用户的目标风险值,并基于所述目标风险值确定所述用户的风险等级;
对所述用户添加与所述风险等级匹配的风险标记;
获取所述用户的用户信息,并将所述用户信息、所述风险标记和所述目标风险值关联存储至数据库中;
接收所述用户针对目标应用的访问请求,所述访问请求中包括所述用户的用户信息,所述目标应用为web应用;
从所述数据库中获取与所述用户信息匹配的风险标记;
确定所述风险标记所指示的风险等级,针对所述用户执行与所述风险等级匹配的访问控制策略。
2.根据权利要求1所述的方法,其特征在于,所述根据所述操作风险值确定所述用户的目标风险值,包括:
检测数据库中是否存储有所述用户的历史风险值;
若是,则将所述操作风险值与所述历史风险值的和确定为所述用户的目标风险值;
若否,则将所述用户的操作风险值确定为所述用户的目标风险值。
3.根据权利要求1所述的方法,其特征在于,所述风险标记所指示的风险等级为第一风险等级,所述第一风险等级对应的风险值大于或者等于第一风险阈值,所述针对所述用户执行与所述风险等级匹配的访问控制策略,包括:
将所述访问请求接入与所述目标应用对应的蜜罐主机;
在检测到接入所述蜜罐主机后,采集所述用户的攻击行为;
基于所述攻击行为对所述目标应用进行修复。
4.根据权利要求1所述的方法,其特征在于,所述风险标记所指示的风险等级为第二风险等级,所述第二风险等级对应的风险值大于或等于第二风险阈值,且小于第一风险阈值,所述针对所述用户执行与所述风险等级匹配的访问控制策略,包括:
将所述访问请求接入所述目标应用,并根据第一预设限制策略限制所述用户对所述目标应用的访问范围;
在第一预设时长内检测所述用户在所述指定平台的操作行为;
若在所述第一预设时长内检测到所述用户存在所述第二风险级别的操作行为,则将所述用户的风险等级从所述第二风险等级调整为第一风险等级。
5.一种用户行为预判装置,其特征在于,所述装置包括:
检测模块,用于在检测到用户访问指定平台时,检测所述用户在所述指定平台的操作行为,所述指定平台包括搜索引擎管理平台、域名***管理平台、域名及域名查询Whois管理平台、代码托管平台、超文本传输安全协议证书管理平台、设备信息管理平台、社交信息管理平台、历史存档信息管理平台、网际互连协议管理平台和端口管理平台中的多种平台;
处理模块,用于基于所述操作行为确定所述用户的操作风险值;
所述处理模块,具体用于对所述操作行为进行解析,得到操作行为信息,根据所述操作行为信息确定与所述指定平台的类型对应的目标风险检测规则,判断所述操作行为信息中是否包含所述目标风险检测规则的预设关键信息,所述预设关键信息与目标应用关联,若包含,则将所述目标风险检测规则对应的风险值确定为所述用户的操作风险值;
所述处理模块,还用于根据所述操作风险值确定所述用户的目标风险值,并基于所述目标风险值确定所述用户的风险等级;
标记模块,用于对所述用户添加与所述风险等级匹配的风险标记;
所述处理模块,还用于获取所述用户的用户信息,并将所述用户信息、所述风险标记和所述目标风险值关联存储至数据库中;
所述装置还包括通信模块,其中,所述通信模块,用于接收所述用户针对目标应用的访问请求,所述访问请求中包括所述用户的用户信息,所述目标应用为web应用;
所述处理模块,还用于从所述数据库中获取与所述用户信息匹配的风险标记,确定所述风险标记所指示的风险等级,针对所述用户执行与所述风险等级匹配的访问控制策略。
6.一种服务器,其特征在于,包括处理器和存储器,所述处理器和所述存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-4任一项所述的方法。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现权利要求1-4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911195955.6A CN111131166B (zh) | 2019-11-28 | 2019-11-28 | 一种用户行为预判方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911195955.6A CN111131166B (zh) | 2019-11-28 | 2019-11-28 | 一种用户行为预判方法及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111131166A CN111131166A (zh) | 2020-05-08 |
CN111131166B true CN111131166B (zh) | 2022-06-21 |
Family
ID=70497057
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911195955.6A Active CN111131166B (zh) | 2019-11-28 | 2019-11-28 | 一种用户行为预判方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111131166B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111625784B (zh) * | 2020-05-29 | 2023-09-12 | 重庆小雨点小额贷款有限公司 | 一种应用的反调试方法、相关装置及存储介质 |
CN111859374B (zh) * | 2020-07-20 | 2024-03-19 | 恒安嘉新(北京)科技股份公司 | 社会工程学攻击事件的检测方法、装置以及*** |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9659166B2 (en) * | 2015-01-30 | 2017-05-23 | International Business Machines Corporation | Risk-based credential management |
CN109978547B (zh) * | 2017-12-28 | 2021-08-03 | 北京京东尚科信息技术有限公司 | 风险行为控制方法及***、设备和存储介质 |
CN110020862B (zh) * | 2018-01-10 | 2021-10-29 | ***通信有限公司研究院 | 一种业务风险评估方法、装置和计算机可读存储介质 |
CN110033120A (zh) * | 2019-03-06 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 用于为商户提供风险预测赋能服务的方法及装置 |
CN110198313B (zh) * | 2019-05-23 | 2021-12-24 | 新华三信息安全技术有限公司 | 一种策略生成的方法及装置 |
CN110458401A (zh) * | 2019-07-05 | 2019-11-15 | 深圳壹账通智能科技有限公司 | 基于区块链的信息处理装置、方法及存储介质 |
-
2019
- 2019-11-28 CN CN201911195955.6A patent/CN111131166B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111131166A (zh) | 2020-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109688097B (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
US8813239B2 (en) | Online fraud detection dynamic scoring aggregation systems and methods | |
CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
KR101781450B1 (ko) | 사이버 공격에 대한 위험도 산출 방법 및 장치 | |
CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
US9147067B2 (en) | Security method and apparatus | |
CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
CN112291258B (zh) | 网关风险控制方法及装置 | |
CN108769070A (zh) | 一种越权漏洞检测方法及装置 | |
KR20080044145A (ko) | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 | |
US20160381056A1 (en) | Systems and methods for categorization of web assets | |
JP2006268544A (ja) | ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム | |
CN111131166B (zh) | 一种用户行为预判方法及相关设备 | |
CN109067794B (zh) | 一种网络行为的检测方法和装置 | |
CN111666573A (zh) | 网站***漏洞等级评估的方法、装置和计算机设备 | |
CN112016078A (zh) | 一种登录设备的封禁检测方法、装置、服务器和存储介质 | |
CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及*** | |
CN114866296B (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
KR100916324B1 (ko) | 방화벽을 이용한 악성 코드 유포 사이트 관리 방법, 장치및 시스템 | |
CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
CN109981533B (zh) | 一种DDoS攻击检测方法、装置、电子设备及存储介质 | |
CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及*** | |
CN113872959B (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
CN113014601B (zh) | 一种通信检测方法、装置、设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |