[发明专利]一种准确识别网站访问的恶意用户的方法及系统在审
| 申请号: | 201810684242.5 | 申请日: | 2018-06-28 |
| 公开(公告)号: | CN108989294A | 公开(公告)日: | 2018-12-11 |
| 发明(设计)人: | 王辉;范渊;黄进 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 恶意用户 可疑用户 网站访问 服务器 非正常响应 访问请求 用户访问行为 访问行为 网络安全 有效减少 攻击 实时性 返回 误判 日志 记录 网站 捕获 页面 释放 | ||
1.一种准确识别网站访问的恶意用户的方法,其特征在于,具体包括下述步骤:
步骤(1):对网站的用户访问行为进行记录,统计用户在每个周期内的访问请求次数和服务器返回非正常响应码情况;
服务器返回非正常响应码情况是指服务器返回非正常响应码编号和服务器返回非正常响应码次数;
步骤(2):计算用户在第一个周期内,服务器返回非正常响应码次数和访问请求次数的比率,即服务器返回非正常响应码次数/用户访问请求次数的值,设该比率值为M;
如果该比率值M满足:a<M<1,且a的取值范围为0.5<a<1,则判定该用户为恶意用户;
如果该比率值M满足:b<M<a,且b的取值范围为0<b<0.3,则判断该用户为可疑用户,记录该用户的行为和状态并存储到数据库;
步骤(3):对于步骤(2)中判断的可疑用户,如果在第二个周期内:
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:b<M<1,则将该用户由可疑用户状态转为恶意用户;
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:M<b,则将该用户由可疑用户状态释放为正常用户,并将该释放为正常用户状态的用户访问行为进行释放删除;
步骤(4):将所有恶意用户的访问行为记录为渗透攻击日志,并保留所有渗透攻击日志;
步骤(5):利用步骤(4)记录的渗透攻击日志,对渗透攻击行为进行关联分析,确定攻击者路径和最终对服务器产生的影响,捕获服务器被黑页面和攻击者的信息。
2.一种准确识别网站访问的恶意用户的系统,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:
步骤(1):对网站的用户访问行为进行记录,统计用户在每个周期内的访问请求次数和服务器返回非正常响应码情况;
服务器返回非正常响应码情况是指服务器返回非正常响应码编号和服务器返回非正常响应码次数;
步骤(2):计算用户在第一个周期内,服务器返回非正常响应码次数和访问请求次数的比率,即服务器返回非正常响应码次数/用户访问请求次数的值,设该比率值为M;
如果该比率值M满足:a<M<1,且a的取值范围为0.5<a<1,则判定该用户为恶意用户;
如果该比率值M满足:b<M<a,且b的取值范围为0<b<0.3,则判断该用户为可疑用户,记录该用户的行为和状态并存储到数据库;
步骤(3):对于步骤(2)中判断的可疑用户,如果在第二个周期内:
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:b<M<1,则将该用户由可疑用户状态转为恶意用户;
服务器返回非正常响应码次数和访问请求次数的比率值M,满足:M<b,则将该用户由可疑用户状态释放为正常用户,并将该释放为正常用户状态的用户访问行为进行释放删除;
步骤(4):将所有恶意用户的访问行为记录为渗透攻击日志,并保留所有渗透攻击日志;
步骤(5):利用步骤(4)记录的渗透攻击日志,对渗透攻击行为进行关联分析,确定攻击者路径和最终对服务器产生的影响,捕获服务器被黑页面和攻击者的信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810684242.5/1.html,转载请声明来源钻瓜专利网。
