【技术实现步骤摘要】
异常设备的识别方法及装置
本专利技术涉及网络安全技术,特别涉及异常设备的识别方法及装置。
技术介绍
互联网上的网站,是商户用来向普通用户提供信息展示或者交换的地方,用户正常访问网络链接的时候会获取到服务提供商展示的网页。但是每一次访问就会需要占用服务器的带宽和计算资源。所以就产生了一个黑色产业,通过向某一个服务提供端发送足够多的请求去消耗服务提供端的资源。当请求达到一定量时,服务端的带宽和计算资源就会被占满,从而使得服务端无法再给正常用户提供服务。通常情况下,攻击者或黑客会借助代理服务器或者远程控制其他普通用户设备生成指向受害主机的合法请求,实现分布式阻断服务(DDOS)攻击。比如黑客用"灰鸽子"等诱导客户点击或者用户设备被黑客攻破或用户设备有漏洞被种植了木马等等,在这些情况下黑客可以随意操纵这些用户设备并利用这些用户设备做任何事情。其中,被黑客远程控制的设备就被称为异常设备,也可称为“肉鸡”或“傀儡机”。因此,如何从众多的访问者中识别出异常设备,是网络安全需要解决的重要问题之一。
技术实现思路
本专利技术提供了一种异常设备识别方法,可以识别出异常设备及疑似异常设备。该方法包括:记录用户设备在预设的观察时间内的访问数据;根据各个用户设备的访问数据从中筛选出异常设备;根据筛选出的异常设备的访问数据,列出所有异常设备访问过的页面,生成异常设备访问页面集合;根据各个用户设备在所述观察时间内访问过的页面,为每个用户设备生成该用户设备的特征向量;其中,用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应;通过聚类算法对所有用户设备的特征向量进行分类;以及将与 ...
【技术保护点】
一种异常设备识别方法,其特征在于,包括:记录用户设备在预设的观察时间内的访问数据;根据各个用户设备的访问数据,从中筛选出异常设备;根据筛选出的异常设备的访问数据,列出所有异常设备访问过的页面,生成异常设备访问页面集合;根据各个用户设备在所述观察时间内访问过的页面为每个用户设备生成该用户设备的特征向量;其中,用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应;通过聚类算法对所有用户设备的特征向量进行分类;以及将与异常设备的分为一类的用户设备确定为疑似异常设备。
【技术特征摘要】
1.一种异常设备识别方法,其特征在于,包括:记录用户设备在预设的观察时间内的访问数据;根据各个用户设备的访问数据,从中筛选出异常设备;根据筛选出的异常设备的访问数据,列出所有异常设备访问过的页面,生成异常设备访问页面集合;根据各个用户设备在所述观察时间内访问过的页面为每个用户设备生成该用户设备的特征向量;其中,用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应;通过聚类算法对所有用户设备的特征向量进行分类;以及将与异常设备的分为一类的用户设备确定为疑似异常设备。2.根据权利要求1所述的方法,其特征在于,所述访问数据包括用户设备访问的页面。3.根据权利要求1所述的方法,其特征在于,所述观察时间的大小根据计算机病毒的潜伏时间设置。4.根据权利要求1所述的方法,其特征在于,所述筛选出异常设备包括:预先存储一张黑名单,其中列举已被确知为是异常设备的互联网协议IP地址;以及若发送访问请求的用户设备的IP地址在此黑名单中,则认定所述用户设备为异常设备。5.根据权利要求1所述的方法,其特征在于,所述筛选出异常设备包括:判断所接收的访问请求是否满足预设的规则,如果是,则认定发送所述访问请求的用户设备是异常设备。6.根据权利要求1所述的方法,其特征在于,所述筛选出异常设备包括:分析用户设备的历史访问轨迹,将行为异常的用户设备认定为异常设备。7.根据权利要求4、5或6所述的方法,其特征在于,进一步包括:对认定的异常设备进行反向验证,如果反向验证没有通过,则确认所述用户设备为异常设备;如果反向验证通过,则重新认定所述用户设备为正常用户设备。8.根据权利要求1所述的方法,其特征在于,所述用户设备的特征向量中的每个特征值表征所述用户设备在预设的观察时间内是否访问过所述特征值所对应的页面。9.根据权利要求1所述的方法,其特征在于,所述用户设备的特征向量中的每个特征值为所述用户设备在预设的观察时间内访问过这个特征值所对应的页面的次数与所有用户设备访问该页面次数的比值。10.根据权利要求1所述的方法,其特征在于,所述聚类算法为K-Medoids或高斯混合模型算法。11.根据权利要求1所述的方法,其特征在于,所述聚类算法为K-Means算法。12.根据权利要求11所述的方法,其特征在于,所述对所有用户设备的特征向量进行分类包括:A、针对设置的目标类别数K,从所有用户设备的特征向量中任意选择K个特征向量作为K个簇的中心;B、计算每个特征向量到上述K个簇的中心的距离;C、根据每个特征向量到上述K个簇的中心的距离,分别将每个特征向量分别划分到距离自身最近的簇中,得到K个簇,并分别计算上述K个簇中所有特征向量的均值,得到每个簇的中心;D、判断当前K个簇包含的特征向量和之前生成的K个簇包含的特征向量是否相同,如果不同,则返回B,重新划分K个簇;如果相同,则结束。13.根据权利要求1所述的方法,其特征在于,进一步包括:对于来自疑似异常设备的访问请求,进行反向验证,如果所述疑似异常设备可以通过反向验证,则重新认定所述疑似异常设备为正常用户;如果所述疑似异常设备无法通过反向验证,则确认所述疑似异常设备为异常设备。14.根据权利要求1所述的方法,其特征在于,进一步包括:监测网站的访问量,当网站的访问量大于预先设置的阈值时,执行根据各个用户设备的访问数据,从中筛选出异常设备及后续过程。15.一种服务器,其特征在于,包括:访问数据收集模块,用于记录用户设备在预设观察时间内的访问数据;异常设备识别模块,用于根据各个用户设备的访问数据从中筛选出异常设备;访问特征确定模块,用于根据筛选出的异常设备的访问数据,列出所有异常设备访问过的页面集合,生成异常设备访问页面集合;特征向量生成模块,用于根据各个用户设备在所述观察时间内访问过的页面,为每...
【专利技术属性】
技术研发人员:彭丹丹,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。