一种用户越权行为的检测方法、装置及设备制造方法及图纸

本发明专利技术公开了一种用户越权行为的检测方法、装置及设备，用于通信技术领域，能够解决现有的WEB应用权限管理系统对业务复杂的系统难以适用的问题。该方法包括：基于用户标识对采集的访问业务系统的访问请求进行用户识别；对用户识别的访问请求中的统一资源定位符URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合，所述URL序列包括不同业务对应的URL序列，所述访问用户集合包括不同业务对应的访问用户集合；根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合；基于所述特征标识集对接收的目标访问请求进行越权行为检测。

【技术实现步骤摘要】
一种用户越权行为的检测方法、装置及设备
本专利技术涉及通信
，尤其涉及一种用户越权行为的检测方法、装置及设备。
技术介绍
目前，安全管理工作越来越受到人们的重视，通过WEB(WorldWideWeb，即全球广域网)应用系统权限管理机制，防止用户对WEB应用系统的越权使用，是一个单位安全管理工作的重要内容和关键环节，现有的权限管理的技术方案大都是基于权限管理的模型提出和实现的。对于现有的WEB应用权限管理系统可以通过设置业务逻辑和业务权限的规则实现防止用户越权，业务逻辑和业务权限的规则的设置需要工作人员具备较强的先验知识，才能进行正确设置，同时还需要耗费大量人力检验其精确性。但是，对于复杂的WEB业务系统，其流程复杂，数量巨大，这种WEB应用权限管理系统很难靠人工进行业务逻辑、业务权限设置，因此，现有的WEB应用权限管理系统对业务复杂的系统难以适用。
技术实现思路
本专利技术实施例提供了一种用户越权行为的检测方法、装置及设备，能够解决现有的WEB应用权限管理系统对业务复杂的系统难以适用的问题。第一方面，本专利技术提供了一种用户越权行为的检测方法，包括：基于用户标识对采集的访问业务系统的访问请求进行用户识别；对用户识别的访问请求中的统一资源定位符URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合，URL序列包括不同业务对应的URL序列，访问用户集合包括不同业务对应的访问用户集合；根据URL序列和用户集合对应确定不同业务的特征标识集合，特征标识集合包括至少一个特征标识，特征标识包括URL序列中URL和对应的页面结构所具有的特征，以及与特征对应的用户标识；基于特征标识集对接收的目标访问请求进行越权行为检测。第二方面，本专利技术提供了一种用户越权行为的检测装置，包括：识别单元，用于基于用户标识对采集的访问业务系统的访问请求进行用户识别；聚类单元，用于对用户识别的访问请求中的统一资源定位符URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合，URL序列包括不同业务对应的URL序列，访问用户集合包括不同业务对应的访问用户集合；确定单元，用于根据URL序列和用户集合对应确定不同业务的特征标识集合，特征标识集合包括至少一个特征标识，特征标识包括URL序列中URL和对应的页面结构所具有的特征，以及与特征对应的用户标识；检测单元用于基于特征标识集对接收的目标访问请求进行越权行为检测。第三方面，本专利技术提供了一种用户越权行为的检测服务器，包括：存储器、处理器、通信接口和总线；存储器、处理器和通信接口通过总线连接并完成相互间的通信；存储器用于存储程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，以用于执行一种用户越权行为的检测方法；其中，用户越权行为的检测包括：基于用户标识对采集的访问业务系统的访问请求进行用户识别；对用户识别的访问请求中的统一资源定位符URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合，URL序列包括不同业务对应的URL序列，访问用户集合包括不同业务对应的访问用户集合；根据URL序列和用户集合对应确定不同业务的特征标识集合，特征标识集合包括至少一个特征标识，特征标识包括URL序列中URL和对应的页面结构所具有的特征，以及与特征对应的用户标识；基于特征标识集对接收的目标访问请求进行越权行为检测。本专利技术实施例提供了一种用户越权行为的检测方法、装置及设备，本专利技术中基于用户标识对采集的访问业务系统的访问请求进行用户识别；对用户识别的访问请求中的URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合；根据URL序列和用户集合对应确定不同业务的特征标识集合，特征标识集合包括至少一个特征标识，特征标识包括URL序列中URL、对应的页面结构所具有的特征、以及与特征对应的用户标识；基于特征标识集对接收的目标访问请求进行越权行为检测。本专利技术对采集的业务系统的访问请求进行分析，利用聚类分析技术，得出不同业务对应的URL序列和不同业务对应的访问用户集合，并根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合，建立了用户群和业务范围的映射关系，基于这种映射关系可以判断出用户的行为是否越权，不需要人工进行业务逻辑和业务权限的设置，实现了自动识别用户越权行为何未知攻击，提高了攻击识别的准确性，对业务复杂的系统也可以适用。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对本专利技术实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是根据本专利技术一实施例提供的用户越权行为的检测方法的示意性流程图；图2示出了根据本专利技术一实施例的用户越权行为的检测装置的示意性框图；图3示出了根据本专利技术又一实施例的用户越权行为的检测装置的示意性框图；图4是根据本专利技术一实施例的用户越权行为的检测设备的示意性框图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。图1示出了根据本专利技术一实施例的用户越权行为的检测方法的示意性流程图。如图1所示，该方法包括以下步骤：110，基于用户标识对采集的访问业务系统的访问请求进行用户识别；120，对用户识别的访问请求中的URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合；130，根据URL序列和用户集合对应确定不同业务的特征标识集合；140，基于特征标识集对接收的目标访问请求进行越权行为检测。在步骤110中，访问业务系统的访问请求为预先采集，可以利用旁路分光或交换机镜像技术对不同用户访问业务系统的访问请求进行采集。访问请求可以包括HTTP请求。对采集的访问业务系统的访问请求进行用户识别是为了区分不同用户的访问请求。在步骤120中，URL序列包括不同业务对应的URL序列，访问用户集合包括不同业务对应的访问用户集合。本步骤中将访问不同业务的URL识别出来组成不同业务的URL序列，以及将访问相同业务的用户识别出来组成不同的用户集合，以便于后续对用户访问不同业务的特征标识和访问相同业务的用户标识进行分析。在步骤130中，特征标识集合包括至少一个特征标识，特征标识包括URL序列中URL和对应的页面结构所具有的特征，以及与特征对应的用户标识。特征标识集表示用户未越权访问时访问请求所具有的特征标识的集合，特征标识包括用户标识。特征标识集中各特征标识中的用户标识用户表示此用户具有与特征标识中的特征对应的访问权限，则用户在进行此种行为时不属于越权行为。本专利技术实施例中基于用户标识对采集的访问业务系统的访问请求进行用户识别；对用户识别的访问请求中的URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合；根据URL序列和用户集合对应确定不本文档来自技高网...

【技术保护点】
1.一种用户越权行为的检测方法，包括：基于用户标识对采集的访问业务系统的访问请求进行用户识别；对用户识别的访问请求中的统一资源定位符URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合，所述URL序列包括不同业务对应的URL序列，所述访问用户集合包括不同业务对应的访问用户集合；根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合，所述特征标识集合包括至少一个特征标识，所述特征标识包括所述URL序列中URL和对应的页面结构所具有的特征，以及与所述特征对应的用户标识；基于所述特征标识集对接收的目标访问请求进行越权行为检测。

【技术特征摘要】
1.一种用户越权行为的检测方法，包括：基于用户标识对采集的访问业务系统的访问请求进行用户识别；对用户识别的访问请求中的统一资源定位符URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合，所述URL序列包括不同业务对应的URL序列，所述访问用户集合包括不同业务对应的访问用户集合；根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合，所述特征标识集合包括至少一个特征标识，所述特征标识包括所述URL序列中URL和对应的页面结构所具有的特征，以及与所述特征对应的用户标识；基于所述特征标识集对接收的目标访问请求进行越权行为检测。2.根据权利要求1所述的方法，在所述基于用户标识对采集的访问业务系统的访问请求进行用户识别之前，所述方法还包括：提取所述访问请求中出现的网络协议IP、用户代理user-agent和储存在用户本地终端上的数据Cookie域信息；分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息；将所述IP、所述user-agent和所述目标Cookie域信息确定为所述用户标识。3.根据权利要求2所述的方法，所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括：统计所述Cookie域信息中各Cookie属性名在所述访问请求中出现的出现频率；当所述各Cookie属性名的出现频率中包括小于第一预设值的出现频率时，将除所述出现频率小于所述第一预设值的Cookie属性名之外剩余的Cookie域信息作为所述目标Cookie域信息。4.根据权利要求2或3所述的方法，所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括：统计所述访问请求中属于每个用户的用户访问集合，其中，所述IP和user-agent相同的访问请求属于同一用户；统计每个所述用户访问集合中属于不同类型操作的操作请求集合；统计每个所述操作请求集合中所述Cookie域信息中各Cookie属性名的属性值的第一变化频率；当所有用户的操作请求集合中属于相同类型操作的操作请求集合中都存在所述第一变化频率小于第二预设值的属性值时，将除所述第一变化频率小于所述第二预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。5.根据权利要求2-4任一项所述的方法，所述分析所述Cookie域信息计算出用于区分用户的目标Cookie域信息步骤包括：从所有的访问请求中选取预设数目个属于不同用户的第一访问请求集合；统计所述第一访问请求集合中所述Cookie域信息中各Cookie属性名的属性值的第二变化频率；当所述各Cookie属性名的属性值的第二变化频率中包括小于第三预设值的第二变化频率时，将除所述第二变化频率小于所述第三预设值的属性值所属的Cookie域信息之外剩余的Cookie域信息作为所述目标Cookie域信息。6.根据权利要求1所述的方法，所述对用户识别的访问请求中的URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合包括：通过预设聚类算法将用户识别的访问请求中的URL聚类出所述URL序列和所述访问用户集合；分别获取所述URL序列包括每个用户的访问请求；按照所述每个用户的访问请求中URL的时间先后顺序对所述URL序列中的URL进行排序；统计所排序后的所述URL序列中两两顺序URL之间的时间间隔的平均值；当所述平均值大于第四预设值时，判定所述两两顺序URL为弱时序关系；当所述平均值大于所述第四预设值时，判定所述两两顺序URL为强时序关系。7.根据权利要求1或6所述的方法，所述URL序列包括单一用户访问的所有URL序列、单一业务的URL序列、单一用户访问单一业务的URL序列；所述访问用户集合包括单一业务的所有访问用户集合。8.根据权利要求1所述的方法，所述根据所述URL序列和所述用户集合对应确定不同业务的特征标识集合包括：确定所述URL序列中的各URL以及各URL对应返回的页面结构；从所述各URL以及各URL对应返回的页面结构中提取所述各URL的特征标识；将所述各URL的特征标识中特征相似程度达到预设标准的特征标识合并为一个所述特征标识集。9.根据权利要求1所述的方法，所述基于所述特征标识集对接收的目标访问请求进行越权行为检测包括：提取所述目标访问请求对应的目标特征标识；基于所述目标特征标识中的目标用户标识确定所述目标用户标识对应的目标特征标识集；当所述目标特征标识集中不存在所述目标特征标识时，判定所述目标访问请求对应用户的行为为越权行为。10.一种用户越权行为的检测装置，包括：识别单元，用于基于用户标识对采集的访问业务系统的访问请求进行用户识别；聚类单元，用于对用户识别的访问请求中的统一资源定位符URL进行聚类分析，得出具有时序关系的URL序列和访问用户集合，所述URL序列包括不同业务对应的URL序列，所述访问用户...

【专利技术属性】
技术研发人员：常乐，
申请(专利权)人：中国移动通信集团山西有限公司，中国移动通信集团公司，
类型：发明
国别省市：山西,14