【技术实现步骤摘要】
一种用户越权行为的检测方法、装置及设备
本专利技术涉及通信
,尤其涉及一种用户越权行为的检测方法、装置及设备。
技术介绍
目前,安全管理工作越来越受到人们的重视,通过WEB(WorldWideWeb,即全球广域网)应用系统权限管理机制,防止用户对WEB应用系统的越权使用,是一个单位安全管理工作的重要内容和关键环节,现有的权限管理的技术方案大都是基于权限管理的模型提出和实现的。对于现有的WEB应用权限管理系统可以通过设置业务逻辑和业务权限的规则实现防止用户越权,业务逻辑和业务权限的规则的设置需要工作人员具备较强的先验知识,才能进行正确设置,同时还需要耗费大量人力检验其精确性。但是,对于复杂的WEB业务系统,其流程复杂,数量巨大,这种WEB应用权限管理系统很难靠人工进行业务逻辑、业务权限设置,因此,现有的WEB应用权限管理系统对业务复杂的系统难以适用。
技术实现思路
本专利技术实施例提供了一种用户越权行为的检测方法、装置及设备,能够解决现有的WEB应用权限管理系统对业务复杂的系统难以适用的问题。第一方面,本专利技术提供了一种用户越权行为的检测方法,包括:基于用户标识对采集的访问业务系统的访问请求进行用户识别;对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,URL序列包括不同业务对应的URL序列,访问用户集合包括不同业务对应的访问用户集合;根据URL序列和用户集合对应确定不同业务的特征标识集合,特征标识集合包括至少一个特征标识,特征标识包括URL序列中URL和对应的页面结构所具有的特征,以及与特征对应的用户 ...
【技术保护点】
1.一种用户越权行为的检测方法,包括:基于用户标识对采集的访问业务系统的访问请求进行用户识别;对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,所述URL序列包括不同业务对应的URL序列,所述访问用户集合包括不同业务对应的访问用户集合;根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合,所述特征标识集合包括至少一个特征标识,所述特征标识包括所述URL序列中URL和对应的页面结构所具有的特征,以及与所述特征对应的用户标识;基于所述特征标识集对接收的目标访问请求进行越权行为检测。
【技术特征摘要】
1.一种用户越权行为的检测方法,包括:基于用户标识对采集的访问业务系统的访问请求进行用户识别;对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,所述URL序列包括不同业务对应的URL序列,所述访问用户集合包括不同业务对应的访问用户集合;根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合,所述特征标识集合包括至少一个特征标识,所述特征标识包括所述URL序列中URL和对应的页面结构所具有的特征,以及与所述特征对应的用户标识;基于所述特征标识集对接收的目标访问请求进行越权行为检测。2.根据权利要求1所述的方法,在所述基于用户标识对采集的访问业务系统的访问请求进行用户识别之前,所述方法还包括:提取所述访问请求中出现的网络协议IP、用户代理user-agent和储存在用户本地终端上的数据Cookie域信息;分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息;将所述IP、所述user-agent和所述目标Cookie域信息确定为所述用户标识。3.根据权利要求2所述的方法,所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括:统计所述Cookie域信息中各Cookie属性名在所述访问请求中出现的出现频率;当所述各Cookie属性名的出现频率中包括小于第一预设值的出现频率时,将除所述出现频率小于所述第一预设值的Cookie属性名之外剩余的Cookie域信息作为所述目标Cookie域信息。4.根据权利要求2或3所述的方法,所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括:统计所述访问请求中属于每个用户的用户访问集合,其中,所述IP和user-agent相同的访问请求属于同一用户;统计每个所述用户访问集合中属于不同类型操作的操作请求集合;统计每个所述操作请求集合中所述Cookie域信息中各Cookie属性名的属性值的第一变化频率;当所有用户的操作请求集合中属于相同类型操作的操作请求集合中都存在所述第一变化频率小于第二预设值的属性值时,将除所述第一变化频率小于所述第二预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。5.根据权利要求2-4任一项所述的方法,所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括:从所有的访问请求中选取预设数目个属于不同用户的第一访问请求集合;统计所述第一访问请求集合中所述Cookie域信息中各Cookie属性名的属性值的第二变化频率;当所述各Cookie属性名的属性值的第二变化频率中包括小于第三预设值的第二变化频率时,将除所述第二变化频率小于所述第三预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。6.根据权利要求1所述的方法,所述对用户识别的访问请求中的URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合包括:通过预设聚类算法将用户识别的访问请求中的URL聚类出所述URL序列和所述访问用户集合;分别获取所述URL序列包括每个用户的访问请求;按照所述每个用户的访问请求中URL的时间先后顺序对所述URL序列中的URL进行排序;统计所排序后的所述URL序列中两两顺序URL之间的时间间隔的平均值;当所述平均值大于第四预设值时,判定所述两两顺序URL为弱时序关系;当所述平均值大于所述第四预设值时,判定所述两两顺序URL为强时序关系。7.根据权利要求1或6所述的方法,所述URL序列包括单一用户访问的所有URL序列、单一业务的URL序列、单一用户访问单一业务的URL序列;所述访问用户集合包括单一业务的所有访问用户集合。8.根据权利要求1所述的方法,所述根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合包括:确定所述URL序列中的各URL以及各URL对应返回的页面结构;从所述各URL以及各URL对应返回的页面结构中提取所述各URL的特征标识;将所述各URL的特征标识中特征相似程度达到预设标准的特征标识合并为一个所述特征标识集。9.根据权利要求1所述的方法,所述基于所述特征标识集对接收的目标访问请求进行越权行为检测包括:提取所述目标访问请求对应的目标特征标识;基于所述目标特征标识中的目标用户标识确定所述目标用户标识对应的目标特征标识集;当所述目标特征标识集中不存在所述目标特征标识时,判定所述目标访问请求对应用户的行为为越权行为。10.一种用户越权行为的检测装置,包括:识别单元,用于基于用户标识对采集的访问业务系统的访问请求进行用户识别;聚类单元,用于对用户识别的访问请求中的统一资源定位符URL进行聚类分析,得出具有时序关系的URL序列和访问用户集合,所述URL序列包括不同业务对应的URL序列,所述访问用户...
【专利技术属性】
技术研发人员:常乐,
申请(专利权)人:中国移动通信集团山西有限公司,中国移动通信集团公司,
类型:发明
国别省市:山西,14
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。