[发明专利]识别黑客行为的方法及系统

权利要求书

1.一种识别黑客行为的方法，其特征在于，所述方法包括：

建立集合有黑客测试所用有效载荷数据payload的规则库；

将每一个待识别的统一资源定位符URL与规则库中所有payload进行匹配，判定当前URL对应的用户是否存在疑似黑客行为，所述待识别的URL是从用户请求日志中提取的；

将存在疑似黑客行为的用户在规定时间段内对应的所有URL分别与规则库中所有payload进行匹配，判定该用户是否存在黑客行为。

2.根据权利要求1所述的识别黑客行为的方法，其特征在于，所述将每一个待识别的统一资源定位符URL与规则库中所有payload进行匹配之前，还包括：

收集站方推送的所有用户请求日志；

将所有用户请求日志中提取出的各URL按照预设筛选规则进行筛选；

将筛选后的各URL进行去重，得到待识别的URL。

3.根据权利要求2所述的识别黑客行为的方法，其特征在于，所述将每一个待识别的统一资源定位符URL与规则库中所有payload进行匹配，判定当前URL对应的用户是否存在疑似黑客行为，所述待识别的URL是从用户请求日志中提取的，具体包括：

将经过筛选和去重的每一个待识别的URL分别与规则库中所有payload进行匹配；

若当前URL包含有至少一个所述规则库中的payload，则判定当前URL对应的用户存在疑似黑客行为。

4.根据权利要求1至3任一项所述的识别黑客行为的方法，其特征在于，所述将存在疑似黑客行为的用户在规定时间段内对应的所有URL分别与规则库中所有payload进行匹配，判定该用户是否存在黑客行为，具体包括：

收集存在疑似黑客行为的用户在规定时间段内发起的用户请求日志中的所有URL；

将所述规定时间段内的所有URL分别与规则库中所有payload进行匹配；

若存在不少于设定条数的URL包含有至少一个所述规则库中的payload，则判定该用户存在黑客行为。

5.根据权利要求4中任一项所述的识别黑客行为的方法，其特征在于，所述判定该用户存在黑客行为，之后还包括：

将所述黑客行为根据对应的payload进行分类；

将已分类黑客行为存储至数据库；

人工确认存储的已分类黑客行为。

6.一种识别黑客行为的系统，其特征在于，所述系统包括：

规则库单元，用于建立集合有黑客测试所用有效载荷数据payload的规则库；

疑似判定单元，用于将每一个待识别的统一资源定位符URL与规则库中所有payload进行匹配，判定当前URL对应的用户是否存在疑似黑客行为，所述待识别的URL是从用户请求日志中提取的；

判定行为单元，用于将存在疑似黑客行为的用户在规定时间段内对应的所有URL分别与规则库中所有payload进行匹配，判定该用户是否存在黑客行为。

7.根据权利要求6所述的识别黑客行为的系统，其特征在于，所述系统还包括：

收集单元，用于收集站方推送的所有用户请求日志；

筛选单元，用于将所有用户请求日志中提取出的各URL按照预设筛选规则进行筛选；

去重单元，用于将筛选后的各URL进行去重，得到待识别的URL。

8.根据权利要求7所述的识别黑客行为的系统，其特征在于，所述疑似判定单元，包括：

第一匹配模块，用于将经过筛选和去重的每一个待识别的URL分别与规则库中所有payload进行匹配；

第一判定模块，用于若当前URL包含有至少一个所述规则库中的payload，则判定当前URL对应的用户存在疑似黑客行为。

9.根据权利要求6至8中任一项所述的识别黑客行为的系统，其特征在于，所述判定行为单元，包括：

收集模块，用于收集存在疑似黑客行为的用户在规定时间段内发起的用户请求日志中的所有URL；

第二匹配模块，用于将所述规定时间段内的所有URL分别与规则库中所有payload进行匹配；

第二判定模块，用于若存在不少于设定条数的URL包含有至少一个所述规则库中的payload，则判定该用户存在黑客行为。

10.根据权利要求9所述的识别黑客行为的系统，其特征在于，所述系统还包括：

分类单元，用于将所述黑客行为根据对应的payload进行分类；

存储单元，用于将已分类黑客行为存储至数据库；

复审单元，用于人工确认存储的已分类黑客行为。