本申请公开了一种行为检测方法和装置,所述方法包括步骤:接收应用程序对目标界面的访问请求;根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。本申请公开的实施例可以及时、准确地检测异常访问请求。
【技术实现步骤摘要】
本申请涉及互联网技术,尤其涉及一种行为检测方法和装置。
技术介绍
随着网络技术的日益发展,针对网站漏洞进行攻击的网络安全事件也日益频发。业界通常采用漏洞扫描工具对网站进行检测,发现并解决薄弱环节,防患于未然。然而漏洞扫描如同一把双刃剑,既可以让系统管理员发现网络中的安全漏洞,也可以成为攻击者实施漏洞攻击前获取网站信息的工具。现有技术中,通常在系统出口处部署防护设备,或是系统自带有扫描防护功能,在漏洞检测过程中通过识别疑似攻击的行为来判定扫描行为。例如防护设备发现某一个网络地址一段时间内发送大量包括一些敏感关键字(例如数据库语句、脚本语句,这些语句通常不会出现在正常的访问请求中)的请求,则可以认为是一个扫描行为。但检测到敏感语句时,其实检测已经是攻击者获取到网页的信息之后的动作,信息已经泄露;此外在漏洞扫描过程中还可以通过编码加壳等手段来伪装逃避关键字的检测,绕过防护手段,存在不能及时识别扫描行为的问题。
技术实现思路
为克服相关技术中的问题,本申请提供一种行为检测方法和装置。根据本申请实施例的第一方面,提供一种行为检测的方法,所述方法包括步骤:接收应用程序对目标界面的访问请求;根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。根据本申请实施例的第二方面,提供一种行为检测的装置,所述装置包括:接收模块,被配置为接收应用程序对目标界面的访问请求;判定模块,被配置为根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。本申请在保护目标上添加一个或多个对用户不可见但是可以被网站扫描器感知的链接,通过检测链接是否被访问及访问次数确定访问的源目标是否为扫描器,从而能够及时识别扫描行为。附图说明图1是本申请根据一示例性实施例示出的一种行为检测方法的部分流程图。图2a是网站漏洞扫描的结构示意图。图2b是相关技术中一种检测扫描的防护设备部署方式的结构示意图。图2c是相关技术中另一种检测扫描的防护设备部署方式的结构示意图。图2d是本申请根据一示例性实施例示出的一种检测扫描行为的结构示意图。图2e是本申请根据一示例性实施例示出的另一种检测扫描行为的结构示意图。图3是本申请根据一示例性实施例示出的一种行为检测装置的框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。通常,服务商提供给用户使用的产品,会希望用户将该产品用于预设的用途,而不是另作它用。例如提供网站供用户使用,服务商希望用户通过该网站接收到预设传播的信息或使用到预设提供的服务,而不希望用户通过收集网站的信息攻击网站(比如利用漏洞检测工具进行漏洞扫描时获取信息)。可见,提供一种可以应用在产品上检测产品用户行为类型的方案,保护产品中的信息不被非法获取用作它途,是非常有必要的。通常,用户访问一个应用程序的正常行为,是对一个应用程序的界面的可见、可操作元素(比如网站中的正常网页)进行的一些访问或操作,而非正常用户则会尝试获取一个目标所包括的可见、可操作元素以外的信息。基于这样的特性,本申请提出了一种通过在不希望被非正常用户获取信息的目标上设置不同类别的可访问元素来区分用户访问行为的方法。接下来对本申进行详细说明。如图1所示,图1是本申请根据一示例性实施例示出的一种行为检测方法的部分流程图,包括以下步骤S101至102:在步骤S101中,接收应用程序对目标界面的访问请求。在步骤S102中,根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。在本申请中,目标界面可以是网页,预定的页面元素可以是统一资源定位符URL,异常访问请求可以是网页扫描器获取网页中的URL,URL在所述界面中处于不可见状态可以是通过层叠样式将URL设置为在网页不显示。在本申请中,根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求,可以是通过检测访问请求访问预定的页面元素的次数确定,当该次数超过检测阈值时,则判定访问请求为异常访问请求。因为预定的页面元素被配置于目标页面的至少一个界面中且不可见,在正常的用户访问行为中,由于其对用户层面不可见,所以这些预定的页面元素不会被访问到。当检测到针对预定的页面元素的访问行为时,则证明为不正常用户。通过检测针对不可见预定页面元素的访问次数,可以解决某些访问主体通过特定手段将自己伪装成正常用户进行访问的问题,比如通过编码等手段绕过检测。接下来对本申请在网站漏洞扫描中的应用进行详细说明。如图2a所示,图2a是相关技术中一种网站漏洞扫描的结构示意图。一个正常的网站通常由许多不同的页面组成,通常有一个首页作为网站的入口,首页包含其他页面的链接,用户在浏览首页的时候,通过点击页面链接跳转到其他页面上,而其他页面上又有更多的链接,一个网站就是由许多页面组成的,而这些页面又是相互链接在一起的。从图2a中可知,正常页面0就是首页,首页包含其他页面(正常页面1、正常页面2……)的链接,网站扫描器在扫描一个网站时,首先会以首页作为入口,发送请求,并解析应答内容,将所有链接提取出来,再递归的请求下去,直到所有网站页面被全部抓取下来,这个步骤可以称之为页面爬取阶段。该阶段结束后,网站扫描器会根据网站页面结构一次性进行漏洞检测,这个阶段称之为漏洞检测阶段。搜索引擎使用网页扫描工具来爬取整个网站的结构和跳转链接,来构建搜索排名或网站快照。然而网页扫描可以用来发现网站漏洞进而修补;也可以成为网站攻击者获取发起攻击所需信息的手段。作为例子,网页扫描器可以是一种网页扫描工具,通过访问网站的首页,获取首页上的所有链接;通过访问这些链接进而获取到下一级页面上的所有链接,如此一层一层的获取整个网站所有的链接,存储到整个网站的结构。网站包括的内容中通常存在一些个人或组织不希望被外界获取到信息或思路,网站的结构设计也可能是一种创新性的设计,这些内容都不希望被外部程序自动获取到。所以需要一种本文档来自技高网...
【技术保护点】
一种行为检测方法,其特征在于,该方法包括步骤:接收应用程序对目标界面的访问请求;根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。
【技术特征摘要】
1.一种行为检测方法,其特征在于,该方法包括步骤:接收应用程序对目标界面的访问请求;根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求;所述预定的页面元素被配置于所述目标界面的至少一个界面中,且在所述界面中处于不可见状态。2.如权利要求1所述的方法,其特征在于,所述目标界面包括网页。3.如权利要求2所述的方法,其特征在于,所述预定的页面元素包括统一资源定位符URL。4.如权利要求3所述的方法,其特征在于,所述异常访问请求包括网页扫描器获取所述网页中的所述URL。5.如权利要求4所述的方法,其特征在于,所述URL在所述界面中处于不可见状态,包括:通过层叠样式表将所述URL设置为在所述网页中不显示。6.如权利要求1所述的方法,其特征在于,所述根据所述访问请求是否访问预定的页面元素,确定所述访问请求是否为异常访问请求,包括,当检测到所述访问请求访问预定的页面元素的次数超过检测阈值时,判定所述访问请求为异常访问请求。7.如权利要求1所述的方法,其特征在于,所述预定的页面元素被配置于所述目标界面的首个所...
【专利技术属性】
技术研发人员:李小龙,王树太,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。