[发明专利]一种用户越权行为的检测方法、装置及设备

权利要求书

1.一种用户越权行为的检测方法，包括：

基于用户标识对采集的访问业务系统的访问请求进行用户识别；

对用户识别的访问请求中的统一资源定位符URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合，所述URL序列包括不同业务对应的URL序列，所述访问用户集合包括不同业务对应的访问用户集合；

根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合，所述特征标识集合包括至少一个特征标识，所述特征标识包括所述URL序列中URL和对应的页面结构所具有的特征，以及与所述特征对应的用户标识；

基于所述特征标识集合对接收的目标访问请求进行越权行为检测；

所述对用户识别的访问请求中的URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合包括：

通过预设聚类算法将用户识别的访问请求中的URL聚类出所述URL序列和所述访问用户集合；

分别获取所述URL序列包括每个用户的访问请求；

按照所述每个用户的访问请求中URL的时间先后顺序对所述URL序列中的URL进行排序；

统计所排序后的所述URL序列中两两顺序URL之间的时间间隔的平均值；

当所述平均值大于第四预设值时，判定所述两两顺序URL为弱时序关系；

当所述平均值不大于所述第四预设值时，判定所述两两顺序URL为强时序关系。

2.根据权利要求1所述的方法，在所述基于用户标识对采集的访问业务系统的访问请求进行用户识别之前，所述方法还包括：

提取所述访问请求中出现的网络协议IP、用户代理user-agent和储存在用户本地终端上的数据Cookie域信息；

分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息；

将所述IP、所述user-agent和所述目标Cookie域信息确定为所述用户标识。

3.根据权利要求2所述的方法，所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括：

统计所述Cookie域信息中各Cookie属性名在所述访问请求中出现的出现频率；

当所述各Cookie属性名的出现频率中包括小于第一预设值的出现频率时，将除所述出现频率小于所述第一预设值的Cookie属性名之外剩余的Cookie域信息作为所述目标Cookie域信息。

4.根据权利要求3所述的方法，所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括：

统计所述访问请求中属于每个用户的用户访问集合，其中，所述IP和user-agent相同的访问请求属于同一用户；

统计每个所述用户访问集合中属于不同类型操作的操作请求集合；

统计每个所述操作请求集合中所述Cookie域信息中各Cookie属性名的属性值的第一变化频率；

当所有用户的操作请求集合中属于相同类型操作的操作请求集合中都存在所述第一变化频率小于第二预设值的属性值时，将除所述第一变化频率小于所述第二预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。

5.根据权利要求2-4任一项所述的方法，所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括：

从所有的访问请求中选取预设数目个属于不同用户的第一访问请求集合；

统计所述第一访问请求集合中所述Cookie域信息中各Cookie属性名的属性值的第二变化频率；

当所述各Cookie属性名的属性值的第二变化频率中包括小于第三预设值的第二变化频率时，将除所述第二变化频率小于所述第三预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。

6.根据权利要求1所述的方法，所述URL序列包括单一用户访问的所有URL序列、单一业务的URL序列、单一用户访问单一业务的URL序列；所述访问用户集合包括单一业务的所有访问用户集合。