[发明专利]异常行为检测方法和装置

说明书

本申请公开了一种异常行为检测方法和装置，其中方法包括：威胁感知平台获取前端代码采集的web页面上发生的用户操作事件信息；对各web页面上发生的用户操作事件信息进行以下异常分析中的至少一种，以识别出web页面上是否存在异常操作行为：分析web页面上发生的用户操作事件是否存在缺失；分析web页面上发生的用户操作事件数量是否异常；分析web页面上发生的用户操作事件频率是否异常。本申请通过获取前端代码采集的web页面上发生的用户操作事件信息并进行分析，能够识别出web页面上是否存在异常操作行为，从而提高反爬虫技术的准确性。

【技术领域】

本申请涉及计算机安全技术领域，特别涉及一种异常行为检测方法和装置。

【背景技术】

本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就被认为是现有技术。

爬虫是使用任何技术手段批量获取网站信息的一种方式。一方面，大量的爬虫会严重占用服务器性能和带宽，影响正常用户访问，严重时会造成DDoS(Distributed denialof service attack，分布式拒绝服务攻击)。另一方面，网站的重要资料、信息财产等是不能够随便泄露的，如果被轻易窃取，则会造成严重的损失。因此出现了相应的反爬虫机制。但随着在线业务安全的攻防对抗演变，自动化爬虫逐渐发展为模拟正常用户操作以期绕过反爬虫机制，因此就需要对正常用户的行为和异常行为进行检测，从而检测出模拟用户的异常行为。

【发明内容】

有鉴于此，本申请提供了一种异常行为检测方法和装置，以便于识别出模拟用户的异常行为，提高反爬虫技术的准确性。

具体技术方案如下：

第一方面，本申请提供了一种异常行为检测方法，该方法包括：

威胁感知平台获取前端代码采集的web页面上发生的用户操作事件信息；

对各web页面上发生的用户操作事件信息进行以下异常分析中的至少一种，以识别出web页面上是否存在异常操作行为：

分析web页面上发生的用户操作事件是否存在缺失；

分析web页面上发生的用户操作事件数量是否异常；

分析web页面上发生的用户操作事件频率是否异常。

根据本申请一优选实施方式，所述前端代码包括：web页面中嵌入的脚本JS代码、移动应用中嵌入的代码或者桌面客户端中嵌入的代码；

所述操作事件信息包括：鼠标键盘事件信息、触屏事件信息或运动传感器事件信息。

根据本申请一优选实施方式，所述分析web页面上发生的用户操作事件是否存在缺失包括：

若web页面上触发网络请求时没有用户操作事件的发生，则识别出该web页面上存在异常操作行为；或者，

若web页面上触发网络请求时发生的用户操作事件与该网络请求对应的正确操作事件不符，则识别出该web页面上存在异常操作行为。

根据本申请一优选实施方式，所述分析web页面上发生的用户操作事件数量是否异常包括：

若web页面上发生的用户操作事件数量小于该web页面的正常操作事件数量，则识别出该web页面上存在异常操作行为。

根据本申请一优选实施方式，所述分析web页面上发生的用户操作事件频率是否异常包括：

若web页面上发生的用户操作事件频率高于预设的第一频率阈值，则识别出该web页面上存在异常操作行为；或者，