The embodiment of the invention provides a network access abnormal detection method and device. The method comprises: acquiring the monitored network users to access the first source IP address and the first access time; if the judge informed the first source IP address and the last access to second log information in second different source IP address, and monitor the user without the use of VPN agent, second position information is obtained corresponding to the first position information the first and second source IP address source IP address corresponding to the first; according to the location information, location information, the first time to obtain second and second acquisition time calculated arrival speed; if the arrival rate is greater than the preset threshold by monitoring user network access exception. The device is used for performing the method. By judging the difference between the first source IP address and the second source IP address, and without using the VPN proxy, the invention calculates the arrival speed, detects whether the network access is abnormal according to the arrival speed, and improves the accuracy of the detection.
【技术实现步骤摘要】
一种网络访问异常检测方法及装置
本专利技术实施例涉及网络安全
,尤其涉及一种网络访问异常检测方法及装置。
技术介绍
随着网络技术的不断发展和完善,计算机网络被广泛应用到人类活动的各个领域,对社会经济和人们生活的影响越来越大,互联网已逐渐成为现代设备必不可少的组成部分。然而层出不穷的黑客攻击和网络入侵事件使网络安全问题凸现出来,这给网络本身和基于网络的信息系统带来了巨大的威胁。再加之入侵手段的增多、入侵危害的加深和网络传播速度的提升,网络安全面临着更大的挑战。现有技术中对网络访问异常检测的方法有多种,例如:通过获取用户的日志文件,从日志文件中获得源IP地址,将获取到的源IP地址与上一次获取到的日志文件中的源IP地址进行比较,如果不相同,则获取两个源IP地址各自对应的实际物理位置,判断在两个日志文件获取的时间间隔内,是否能够从第一物理位置到达第二物理位置,如果不能到达,则说明用户访问异常。但是,随着VPN代理的出现,如果国内用户通过VPN代理也可以获取并使用国外的IP地址,因此,上述异常检测的方法会存在检测不准确的问题。因此,如何提高对网络访问异常检测的准确性,是现如今亟待解决的课题。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种网络访问异常检测方法及装置。第一方面,本专利技术实施例提供一种网络访问异常检测方法,包括:获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用虚拟专用网络(简称VPN)代理,则 ...
【技术保护点】
一种网络访问异常检测方法,其特征在于,包括:获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用虚拟专用网络(简称VPN)代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。
【技术特征摘要】
1.一种网络访问异常检测方法,其特征在于,包括:获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;若判断获知所述第一源IP地址与上一次获取到的第二日志信息中的第二源IP地址不同,且所述被监测用户没有利用虚拟专用网络(简称VPN)代理,则获取所述第一源IP地址对应的第一位置信息和所述第二源IP地址对应的第二位置信息;根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度;若判断获知所述到达速度大于预设阈值,则所述被监测用户网络访问异常。2.根据权利要求1所述的方法,其特征在于,所述根据所述第一位置信息、所述第二位置信息、所述第一获取时间和所述第二源IP地址对应的第二获取时间计算获得到达速度,包括:根据所述第一位置信息和所述第二位置信息计算获得物理距离;根据所述第一获取时间和所述第二获取时间计算获得时间差;根据所述物理距离和所述时间差计算获得到达速度。3.根据权利要求1所述的方法,其特征在于,所述第一日志信息还包括第一端口号和第一用户代理信息,所述第二日志信息包括第二用户代理信息,相应的,判断所述被监测用户没有利用VPN代理,包括:若所述第一源IP地址和所述第一端口号构成的对应关系没有在VPN代理库中,且所述第一用户代理信息与所述第二用户代理信息不同,则所述被监测用户没有利用VPN代理。4.根据权利要求1所述的方法,其特征在于,所述方法,还包括:若所述第一源IP地址与第二源IP地址不同,且所述被监测用户没有利用VPN代理,且所述第一源IP地址和所述第二源IP地址不都是公网IP,则判断所述第一源IP地址是否在所述被监测用户的常用IP列表中;若判断获知所述第一源IP地址没有在所述常用IP列表中,则所述被监测用户网络访问异常。5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法,还包括:将所述被监测用户的异常信息进行告警。6.一种网络访问异常检测装置,其特征在于,包括:获取模块,用于获取被监测用户网络访问的第一日志信息,所述第一日志信息包括第一源IP地址和第一获取时间;第一判断模块,用于若判断获知所述...
【专利技术属性】
技术研发人员:白敏,高浩浩,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。