[发明专利]异常设备的识别方法及装置

说明书

本发明涉及异常设备的识别方法和装置。本发明中，记录用户设备在预设的观察时间内的访问数据；根据各个用户设备的访问数据，从中筛选出异常设备；根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面，生成异常设备访问页面集合；根据各个用户设备在所述观察时间内访问过的页面为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；通过聚类算法对所有用户设备的特征向量进行分类；及将与异常设备的分为一类的用户设备确定为疑似异常设备。通过本发明可以识别出异常设备和疑似异常设备，从而有效避免来自异常设备的网络攻击。

技术领域

本发明涉及网络安全技术，特别涉及异常设备的识别方法及装置。

背景技术

互联网上的网站，是商户用来向普通用户提供信息展示或者交换的地方，用户正常访问网络链接的时候会获取到服务提供商展示的网页。但是每一次访问就会需要占用服务器的带宽和计算资源。所以就产生了一个黑色产业，通过向某一个服务提供端发送足够多的请求去消耗服务提供端的资源。当请求达到一定量时，服务端的带宽和计算资源就会被占满，从而使得服务端无法再给正常用户提供服务。通常情况下，攻击者或黑客会借助代理服务器或者远程控制其他普通用户设备生成指向受害主机的合法请求，实现分布式阻断服务(DDOS)攻击。比如黑客用灰鸽子等诱导客户点击或者用户设备被黑客攻破或用户设备有漏洞被种植了木马等等，在这些情况下黑客可以随意操纵这些用户设备并利用这些用户设备做任何事情。其中，被黑客远程控制的设备就被称为异常设备，也可称为“肉鸡”或“傀儡机”。因此，如何从众多的访问者中识别出异常设备，是网络安全需要解决的重要问题之一。

发明内容

本发明提供了一种异常设备识别方法，可以识别出异常设备及疑似异常设备。该方法包括：

记录用户设备在预设的观察时间内的访问数据；

根据各个用户设备的访问数据从中筛选出异常设备；

根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面，生成异常设备访问页面集合；

根据各个用户设备在所述观察时间内访问过的页面，为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；

通过聚类算法对所有用户设备的特征向量进行分类；以及

将与异常设备的分为一类的用户设备确定为疑似异常设备。

本发明还提供了一种服务器，包括：

访问数据收集模块，用于记录用户设备在预设的观察时间内的访问数据；

异常设备识别模块，用于根据各个用户设备的访问数据从中筛选出异常设备；

访问特征确定模块，用于根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面集合，生成异常设备访问页面集合；

特征向量生成模块，用于根据各个用户设备在所述观察时间内访问过的页面，为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；

聚类模块，用于通过聚类算法对所有用户设备的特征向量进行分类，将与异常设备的分为一类的其他用户设备为疑似异常设备；以及

响应模块，用于根据预先设定的响应策略选择是否响应来自异常设备或疑似异常设备的访问请求。

本发明还提供了另一种服务器，包括：

访问数据收集模块，用于记录用户设备在预设的观察时间内的访问数据；

异常设备识别模块，用于根据各个用户设备的访问数据从中筛选出异常设备；