[发明专利]一种异常访问行为的识别方法及装置有效
| 申请号: | 201010534500.5 | 申请日: | 2010-11-08 |
| 公开(公告)号: | CN102469117A | 公开(公告)日: | 2012-05-23 |
| 发明(设计)人: | 吕汉鑫;庄仁峰;孔轶;黄伟湘;郑浩彬;谭俊 | 申请(专利权)人: | 中国移动通信集团广东有限公司 |
| 主分类号: | H04L29/08 | 分类号: | H04L29/08;H04L29/06;H04W12/00;H04W80/12 |
| 代理公司: | 北京银龙知识产权代理有限公司 11243 | 代理人: | 许静 |
| 地址: | 510100 广东省*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 异常 访问 行为 识别 方法 装置 | ||
1.一种异常访问行为的识别方法,其特征在于,包括:
采集WAP网关的HTTP数据包;
根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;
根据所述异常访问行为记录表对所述域名黑名单进行更新。
2.如权利要求1所述的识别方法,其特征在于,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
3.如权利要求1所述的识别方法,其特征在于,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
4.如权利要求2或3所述的识别方法,其特征在于:
对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
5.如权利要求1所述的识别方法,其特征在于,所述根据所述异常访问行为记录表对所述域名黑名单进行更新,具体包括:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
6.如权利要求1所述的识别方法,其特征在于,所述用户敏感信息包括IMSI和/或IMEI。
7.一种异常访问行为的识别装置,其特征在于,包括:
数据采集模块,用于采集WAP网关的HTTP数据包;
匹配模块,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;
黑名单更新模块,用于根据所述异常访问行为记录表对所述域名黑名单进行更新。
8.如权利要求7所述的识别装置,其特征在于,所述匹配模块进一步用于:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
9.如权利要求7所述的识别装置,其特征在于,所述匹配模块进一步用于:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
10.如权利要求8或9所述的识别装置,其特征在于,所述匹配模块对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
11.如权利要求7所述的识别装置,其特征在于,所述黑名单更新模块进一步用于:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
12.如权利要求7所述的识别装置,其特征在于,所述用户敏感信息包括IMSI和/或IMEI。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国移动通信集团广东有限公司,未经中国移动通信集团广东有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201010534500.5/1.html,转载请声明来源钻瓜专利网。
