[发明专利]一种网络访问异常检测方法及装置

说明书

本发明实施例提供一种网络访问异常检测方法及装置。所述方法包括：获取被监测用户网络访问的第一源IP地址和第一获取时间；若判断获知第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同，且被监测用户没有利用VPN代理，则获取第一源IP地址对应的第一位置信息和第二源IP地址对应的第二位置信息；根据第一位置信息、第二位置信息、第一获取时间和第二获取时间计算获得到达速度；若到达速度大于预设阈值则被监测用户网络访问异常。所述装置用于执行所述方法。本发明实施例通过判断第一源IP地址和第二源IP地址不同，且没有利用了VPN代理，则计算得出到达速度，根据到达速度检测网络访问是否异常，提高了检测的准确度。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种网络访问异常检测方法及装置。

背景技术

随着网络技术的不断发展和完善，计算机网络被广泛应用到人类活动的各个领域，对社会经济和人们生活的影响越来越大，互联网已逐渐成为现代设备必不可少的组成部分。然而层出不穷的黑客攻击和网络入侵事件使网络安全问题凸现出来，这给网络本身和基于网络的信息系统带来了巨大的威胁。再加之入侵手段的增多、入侵危害的加深和网络传播速度的提升，网络安全面临着更大的挑战。

现有技术中对网络访问异常检测的方法有多种，例如：通过获取用户的日志文件，从日志文件中获得源IP地址，将获取到的源IP地址与上一次获取到的日志文件中的源IP地址进行比较，如果不相同，则获取两个源IP地址各自对应的实际物理位置，判断在两个日志文件获取的时间间隔内，是否能够从第一物理位置到达第二物理位置，如果不能到达，则说明用户访问异常。但是，随着VPN代理的出现，如果国内用户通过VPN代理也可以获取并使用国外的IP地址，因此，上述异常检测的方法会存在检测不准确的问题。

因此，如何提高对网络访问异常检测的准确性，是现如今亟待解决的课题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种网络访问异常检测方法及装置。

第一方面，本发明实施例提供一种网络访问异常检测方法，包括：

获取被监测用户网络访问的第一日志信息，所述第一日志信息包括第一源IP地址和第一获取时间；

若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同，且所述被监测用户没有利用虚拟专用网络(简称VPN)代理，则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息；

根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度；

若判断获知所述到达速度大于预设阈值，则所述被监测用户网络访问异常。

第二方面，本发明实施例提供一种网络访问异常检测装置，包括：

获取模块，用于获取被监测用户网络访问的第一日志信息，所述第一日志信息包括第一源IP地址和第一获取时间；

第一判断模块，用于若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同，且所述被监测用户没有利用VPN代理，则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息；

计算模块，用于根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度；

第一检测模块，用于若判断获知所述到达速度大于预设阈值，则所述被监测用户网络访问异常。

第三方面，本发明实施例提供一种电子设备，包括：处理器、存储器和总线，其中，

所述处理器和所述存储器通过所述总线完成相互间的通信；