一种网络访问异常检测方法及装置制造方法及图纸

本发明专利技术实施例提供一种网络访问异常检测方法及装置。所述方法包括：获取被监测用户网络访问的第一源IP地址和第一获取时间；若判断获知第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同，且被监测用户没有利用VPN代理，则获取第一源IP地址对应的第一位置信息和第二源IP地址对应的第二位置信息；根据第一位置信息、第二位置信息、第一获取时间和第二获取时间计算获得到达速度；若到达速度大于预设阈值则被监测用户网络访问异常。所述装置用于执行所述方法。本发明专利技术实施例通过判断第一源IP地址和第二源IP地址不同，且没有利用了VPN代理，则计算得出到达速度，根据到达速度检测网络访问是否异常，提高了检测的准确度。

Anomaly detection method and device for network access

The embodiment of the invention provides a network access abnormal detection method and device. The method comprises: acquiring the monitored network users to access the first source IP address and the first access time; if the judge informed the first source IP address and the last access to second log information in second different source IP address, and monitor the user without the use of VPN agent, second position information is obtained corresponding to the first position information the first and second source IP address source IP address corresponding to the first; according to the location information, location information, the first time to obtain second and second acquisition time calculated arrival speed; if the arrival rate is greater than the preset threshold by monitoring user network access exception. The device is used for performing the method. By judging the difference between the first source IP address and the second source IP address, and without using the VPN proxy, the invention calculates the arrival speed, detects whether the network access is abnormal according to the arrival speed, and improves the accuracy of the detection.

【技术实现步骤摘要】
一种网络访问异常检测方法及装置
本专利技术实施例涉及网络安全
，尤其涉及一种网络访问异常检测方法及装置。
技术介绍
随着网络技术的不断发展和完善，计算机网络被广泛应用到人类活动的各个领域，对社会经济和人们生活的影响越来越大，互联网已逐渐成为现代设备必不可少的组成部分。然而层出不穷的黑客攻击和网络入侵事件使网络安全问题凸现出来，这给网络本身和基于网络的信息系统带来了巨大的威胁。再加之入侵手段的增多、入侵危害的加深和网络传播速度的提升，网络安全面临着更大的挑战。现有技术中对网络访问异常检测的方法有多种，例如：通过获取用户的日志文件，从日志文件中获得源IP地址，将获取到的源IP地址与上一次获取到的日志文件中的源IP地址进行比较，如果不相同，则获取两个源IP地址各自对应的实际物理位置，判断在两个日志文件获取的时间间隔内，是否能够从第一物理位置到达第二物理位置，如果不能到达，则说明用户访问异常。但是，随着VPN代理的出现，如果国内用户通过VPN代理也可以获取并使用国外的IP地址，因此，上述异常检测的方法会存在检测不准确的问题。因此，如何提高对网络访问异常检测的准确性，是现如今亟待解决的课题。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种网络访问异常检测方法及装置。第一方面，本专利技术实施例提供一种网络访问异常检测方法，包括：获取被监测用户网络访问的第一日志信息，所述第一日志信息包括第一源IP地址和第一获取时间；若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同，且所述被监测用户没有利用虚拟专用网络(简称VPN)代理，则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息；根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度；若判断获知所述到达速度大于预设阈值，则所述被监测用户网络访问异常。第二方面，本专利技术实施例提供一种网络访问异常检测装置，包括：获取模块，用于获取被监测用户网络访问的第一日志信息，所述第一日志信息包括第一源IP地址和第一获取时间；第一判断模块，用于若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同，且所述被监测用户没有利用VPN代理，则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息；计算模块，用于根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度；第一检测模块，用于若判断获知所述到达速度大于预设阈值，则所述被监测用户网络访问异常。第三方面，本专利技术实施例提供一种电子设备，包括：处理器、存储器和总线，其中，所述处理器和所述存储器通过所述总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行第一方面的方法步骤。第四方面，本专利技术实施例提供一种非暂态计算机可读存储介质，包括：所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行第一方面的方法步骤。本专利技术实施例提供的一种网络访问异常检测方法及装置，通过若判断获知第一源IP地址与第二源IP地址不同，且被监测用户没有利用VPN代理，则根据第一源IP地址与第二源IP地址的物理距离和间隔时间计算获得到达速度，如果达到速度大于预设阈值，则说明被监测用户网络访问异常，在检测过程中防止了由于VPN代理的干扰，提高了异常检测的准确性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种网络访问异常检测方法流程示意图；图2为本专利技术另一实施例提供的一种网络访问异常检测方法流程示意图；图3为本专利技术实施例提供的一种网络访问异常检测装置结构示意图；图4为本专利技术实施例提供的电子设备实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术实施例提供的一种网络访问异常检测方法流程示意图，如图1所示，所述方法，包括：步骤101：获取被监测用户网络访问的第一日志信息，所述第一日志信息包括第一源IP地址和第一获取时间；具体的，异常检测装置实时获取被监测用户进行网络访问的第一日志信息，因此，该第一日志信息为当前的日志信息，其中，第一日志信息中包括第一源IP地址和第一获取时间，应当说明的是，第一获取时间为异常检测装置获取到第一日志信息的时间，或第一日志信息产生的时间，第一日志信息中还可以包括用户账号、用户ID等信息，本专利技术实施例对此不做具体限定。步骤102：若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同，且所述被监测用户没有利用虚拟专用网络(简称VPN)代理，则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息；具体的，当装置获取到第一日志信息后，从存放日志的数据库中获取装置在第一日志信息之前一次获取的第二日志信息，因为装置获取日志信息是一条一条获取的，同样的，第二日志信息中包括第二源IP地址和第二获取时间等信息。将第一源IP地址和第二源IP地址进行比较，如果二者相同，则说明第一日志信息是正常的，如果二者不同，且该被监测用户没有利用VPN代理，则从IP物理地址库中获取第一源IP地址对应的第一位置信息和第二源IP地址对应的第二位置信息。应当说明的是，第一位置信息和第二位置信息均可以为物理上的经纬度信息。IP物理地址库中预先存储了源IP地址与物理位置信息的对应关系。步骤103：根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度；具体的，根据第一位置信息和第二位置信息可以计算获得第一源IP地址对应的物理位置和第二源IP地址对应的物理位置之间实际的直线距离，再根据第一获取时间和第二获取时间可以计算得出装置在获取第二日志信息和第一日志信息之间的时间间隔，最后，根据直线距离和时间间隔计算获得要在时间间隔内，从第一位置信息到达第二位置信息所需的最小的到达速度。步骤104：若判断获知所述到达速度大于预设阈值，则所述被监测用户网络访问异常。具体的，如果计算得到的到达速度大于预设阈值，则说明被监测用户网络访问异常，其中预设阈值是预先设定的。例如，装置在10:00接收到了第一日志信息，根据第一日志信息中的第一源IP地址可以获知对应的第一位置信息为昆明，假如，装置在9:50接收到了第二日志信息，根据第二日志信息中的第二源IP地址可以获取对应的第二位置信息为北京，且判断获知该被监测用户没有使用VPN代理，假设预设阈值为正常实际出行所能达到的最大速度900km/h，昆明到北京本文档来自技高网...

【技术保护点】
一种网络访问异常检测方法，其特征在于，包括：获取被监测用户网络访问的第一日志信息，所述第一日志信息包括第一源IP地址和第一获取时间；若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同，且所述被监测用户没有利用虚拟专用网络(简称VPN)代理，则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息；根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度；若判断获知所述到达速度大于预设阈值，则所述被监测用户网络访问异常。

【技术特征摘要】
1.一种网络访问异常检测方法，其特征在于，包括：获取被监测用户网络访问的第一日志信息，所述第一日志信息包括第一源IP地址和第一获取时间；若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同，且所述被监测用户没有利用虚拟专用网络(简称VPN)代理，则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息；根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度；若判断获知所述到达速度大于预设阈值，则所述被监测用户网络访问异常。2.根据权利要求1所述的方法，其特征在于，所述根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度，包括：根据所述第一位置信息和所述第二位置信息计算获得物理距离；根据所述第一获取时间和所述第二获取时间计算获得时间差；根据所述物理距离和所述时间差计算获得到达速度。3.根据权利要求1所述的方法，其特征在于，所述第一日志信息还包括第一端口号和第一用户代理信息，所述第二日志信息包括第二用户代理信息，相应的，判断所述被监测用户没有利用VPN代理，包括：若所述第一源IP地址和所述第一端口号构成的对应关系没有在VPN代理库中，且所述第一用户代理信息与所述第二用户代理信息不同，则所述被监测用户没有利用VPN代理。4.根据权利要求1所述的方法，其特征在于，所述方法，还包括：若所述第一源IP地址与第二源IP地址不同，且所述被监测用户没有利用VPN代理，且所述第一源IP地址和所述第二源IP地址不都是公网IP，则判断所述第一源IP地址是否在所述被监测用户的常用IP列表中；若判断获知所述第一源IP地址没有在所述常用IP列表中，则所述被监测用户网络访问异常。5.根据权利要求1-4任一项所述的方法，其特征在于，所述方法，还包括：将所述被监测用户的异常信息进行告警。6.一种网络访问异常检测装置，其特征在于，包括：获取模块，用于获取被监测用户网络访问的第一日志信息，所述第一日志信息包括第一源IP地址和第一获取时间；第一判断模块，用于若判断获知所述...

【专利技术属性】
技术研发人员：白敏，高浩浩，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京,11