异常设备的识别方法及装置制造方法及图纸

本发明专利技术涉及异常设备的识别方法和装置。本发明专利技术中，记录用户设备在预设的观察时间内的访问数据；根据各个用户设备的访问数据，从中筛选出异常设备；根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面，生成异常设备访问页面集合；根据各个用户设备在所述观察时间内访问过的页面为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；通过聚类算法对所有用户设备的特征向量进行分类；及将与异常设备的分为一类的用户设备确定为疑似异常设备。通过本发明专利技术可以识别出异常设备和疑似异常设备，从而有效避免来自异常设备的网络攻击。

【技术实现步骤摘要】
异常设备的识别方法及装置
本专利技术涉及网络安全技术，特别涉及异常设备的识别方法及装置。
技术介绍
互联网上的网站，是商户用来向普通用户提供信息展示或者交换的地方，用户正常访问网络链接的时候会获取到服务提供商展示的网页。但是每一次访问就会需要占用服务器的带宽和计算资源。所以就产生了一个黑色产业，通过向某一个服务提供端发送足够多的请求去消耗服务提供端的资源。当请求达到一定量时，服务端的带宽和计算资源就会被占满，从而使得服务端无法再给正常用户提供服务。通常情况下，攻击者或黑客会借助代理服务器或者远程控制其他普通用户设备生成指向受害主机的合法请求，实现分布式阻断服务(DDOS)攻击。比如黑客用"灰鸽子"等诱导客户点击或者用户设备被黑客攻破或用户设备有漏洞被种植了木马等等，在这些情况下黑客可以随意操纵这些用户设备并利用这些用户设备做任何事情。其中，被黑客远程控制的设备就被称为异常设备，也可称为“肉鸡”或“傀儡机”。因此，如何从众多的访问者中识别出异常设备，是网络安全需要解决的重要问题之一。
技术实现思路
本专利技术提供了一种异常设备识别方法，可以识别出异常设备及疑似异常设备。该方法包括：记录用户设备在预设的观察时间内的访问数据；根据各个用户设备的访问数据从中筛选出异常设备；根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面，生成异常设备访问页面集合；根据各个用户设备在所述观察时间内访问过的页面，为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；通过聚类算法对所有用户设备的特征向量进行分类；以及将与异常设备的分为一类的用户设备确定为疑似异常设备。本专利技术还提供了一种服务器，包括：访问数据收集模块，用于记录用户设备在预设的观察时间内的访问数据；异常设备识别模块，用于根据各个用户设备的访问数据从中筛选出异常设备；访问特征确定模块，用于根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面集合，生成异常设备访问页面集合；特征向量生成模块，用于根据各个用户设备在所述观察时间内访问过的页面，为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；聚类模块，用于通过聚类算法对所有用户设备的特征向量进行分类，将与异常设备的分为一类的其他用户设备为疑似异常设备；以及响应模块，用于根据预先设定的响应策略选择是否响应来自异常设备或疑似异常设备的访问请求。本专利技术还提供了另一种服务器，包括：访问数据收集模块，用于记录用户设备在预设的观察时间内的访问数据；异常设备识别模块，用于根据各个用户设备的访问数据从中筛选出异常设备；访问特征确定模块，用于根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面集合，生成异常设备访问页面集合；特征向量生成模块，用于根据各个用户设备在所述观察时间内访问过的页面，为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；聚类模块，用于通过聚类算法对所有用户设备的特征向量进行分类，将与异常设备的分为一类的其他用户设备为疑似异常设备；以及重定向模块，用于根据预先设定的响应策略选择是否将来自疑似异常设备的访问请求重定向至相应的网站服务器。本专利技术还提供了一种服务器，包括：访问数据收集模块，用于记录用户设备在预设的观察时间内的访问数据；异常设备识别模块，用于根据各个用户设备的访问数据从中筛选出异常设备；访问特征确定模块，用于根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面集合，生成异常设备访问页面集合；特征向量生成模块，用于根据各个用户设备在所述观察时间内访问过的页面，为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；聚类模块，用于通过聚类算法对所有用户设备的特征向量进行分类，将与异常设备的分为一类的其他用户设备为疑似异常设备；以及黑名单生成模块，用于通过反向验证确定疑似异常设备是否为异常设备，并根据确定的异常设备生成黑名单提供给防火墙。本专利技术还提供了另一种服务器，包括：访问数据收集模块，用于记录用户设备在预设的观察时间内的访问数据；异常设备识别模块，用于根据各个用户设备的访问数据从中筛选出异常设备；访问特征确定模块，用于根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面集合，生成异常设备访问页面集合；特征向量生成模块，用于根据各个用户设备在所述观察时间内访问过的页面，为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；聚类模块，用于通过聚类算法对所有用户设备的特征向量进行分类，将与异常设备的分为一类的其他用户设备为疑似异常设备；以及黑名单生成模块，用于根据确定的异常设备和疑似异常设备生成黑名单提供给防火墙；其中，黑名单中标识出用户设备是异常设备还是疑似异常设备。通过本专利技术可以完成对异常设备以及疑似异常设备的识别，可以有效避免来自异常设备的网络攻击。附图说明图1显示了本专利技术实施例所述的异常设备识别方法的流程；图2显示了本专利技术实施例所述的通过K-Means算法对用户设备的特征向量进行分类的过程；图3显示了本专利技术实施例所提供的一种进行异常设备识别的系统架构；图4显示了本专利技术实施例所提供的另一种进行异常设备识别的系统架构；以及图5显示了本专利技术实施例所提供的又一种进行异常设备识别的系统架构。具体实施方式本专利技术的实施例提出了一种异常设备识别方法，可以根据确知的异常设备的访问数据找出疑似异常设备，进而可以更加快速和准确地识别出异常设备，实现快速并准确的网络攻击拦截。图1显示了本专利技术实施例所述的异常设备识别方法的流程。如图1所示，该方法主要包括：步骤101，记录用户设备在预设的观察时间内的访问数据。需要说明的是，在本专利技术实施例的各个步骤中，各个用户设备可由其IP(互联网协议)地址来标识。例如，在本步骤中，记录各个用户设备在预设的观察时间内的访问数据时，可以对应每个访问请求的源IP地址记录其在预设的观察时间内的访问数据。上述用户设备可以是用户的电脑、平板、手机或其他智能终端等等可以进行网页访问的设备。上述访问数据至少包括用户设备访问的页面，还可以包括用户设备进行访问的时间等其它数据。上述观察时间的大小可以根据需要设置也可以根据一般计算机病毒的潜伏时间来设置，例如，可以设置为1周或者1个月等等。步骤102，根据各个用户设备的访问数据从用户设备中筛选出异常设备。在本步骤中，根据各个用户设备的访问数据筛选出异常设备可以采用多种方法实现。筛选出的异常设备可以用其IP地址来标识。例如，可以采用黑名单的方式筛选出异常设备。具体而言，可以预先存储一张黑名单，其中列举已被确知为是异常设备的IP地址。如若发送访问请求的用户设备的IP地址在此黑名单中，则可认定该用户设备为异常设备。为了进一步保证识别的准确性，也可以对在黑名单中的IP进行反向验证，例如在收到来自黑名单中IP的访问请求后，向该IP返回图片格式的验证码，如果验证没有通过，则可确认该用户设备为异常设备；如果验证通过，则可以重新认定该用户设备仍为正常用户设备。又本文档来自技高网...

【技术保护点】
一种异常设备识别方法，其特征在于，包括：记录用户设备在预设的观察时间内的访问数据；根据各个用户设备的访问数据，从中筛选出异常设备；根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面，生成异常设备访问页面集合；根据各个用户设备在所述观察时间内访问过的页面为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；通过聚类算法对所有用户设备的特征向量进行分类；以及将与异常设备的分为一类的用户设备确定为疑似异常设备。

【技术特征摘要】
1.一种异常设备识别方法，其特征在于，包括：记录用户设备在预设的观察时间内的访问数据；根据各个用户设备的访问数据，从中筛选出异常设备；根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面，生成异常设备访问页面集合；根据各个用户设备在所述观察时间内访问过的页面为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；通过聚类算法对所有用户设备的特征向量进行分类；以及将与异常设备的分为一类的用户设备确定为疑似异常设备。2.根据权利要求1所述的方法，其特征在于，所述访问数据包括用户设备访问的页面。3.根据权利要求1所述的方法，其特征在于，所述观察时间的大小根据计算机病毒的潜伏时间设置。4.根据权利要求1所述的方法，其特征在于，所述筛选出异常设备包括：预先存储一张黑名单，其中列举已被确知为是异常设备的互联网协议IP地址；以及若发送访问请求的用户设备的IP地址在此黑名单中，则认定所述用户设备为异常设备。5.根据权利要求1所述的方法，其特征在于，所述筛选出异常设备包括：判断所接收的访问请求是否满足预设的规则，如果是，则认定发送所述访问请求的用户设备是异常设备。6.根据权利要求1所述的方法，其特征在于，所述筛选出异常设备包括：分析用户设备的历史访问轨迹，将行为异常的用户设备认定为异常设备。7.根据权利要求4、5或6所述的方法，其特征在于，进一步包括：对认定的异常设备进行反向验证，如果反向验证没有通过，则确认所述用户设备为异常设备；如果反向验证通过，则重新认定所述用户设备为正常用户设备。8.根据权利要求1所述的方法，其特征在于，所述用户设备的特征向量中的每个特征值表征所述用户设备在预设的观察时间内是否访问过所述特征值所对应的页面。9.根据权利要求1所述的方法，其特征在于，所述用户设备的特征向量中的每个特征值为所述用户设备在预设的观察时间内访问过这个特征值所对应的页面的次数与所有用户设备访问该页面次数的比值。10.根据权利要求1所述的方法，其特征在于，所述聚类算法为K-Medoids或高斯混合模型算法。11.根据权利要求1所述的方法，其特征在于，所述聚类算法为K-Means算法。12.根据权利要求11所述的方法，其特征在于，所述对所有用户设备的特征向量进行分类包括：A、针对设置的目标类别数K，从所有用户设备的特征向量中任意选择K个特征向量作为K个簇的中心；B、计算每个特征向量到上述K个簇的中心的距离；C、根据每个特征向量到上述K个簇的中心的距离，分别将每个特征向量分别划分到距离自身最近的簇中，得到K个簇，并分别计算上述K个簇中所有特征向量的均值，得到每个簇的中心；D、判断当前K个簇包含的特征向量和之前生成的K个簇包含的特征向量是否相同，如果不同，则返回B，重新划分K个簇；如果相同，则结束。13.根据权利要求1所述的方法，其特征在于，进一步包括：对于来自疑似异常设备的访问请求，进行反向验证，如果所述疑似异常设备可以通过反向验证，则重新认定所述疑似异常设备为正常用户；如果所述疑似异常设备无法通过反向验证，则确认所述疑似异常设备为异常设备。14.根据权利要求1所述的方法，其特征在于，进一步包括：监测网站的访问量，当网站的访问量大于预先设置的阈值时，执行根据各个用户设备的访问数据，从中筛选出异常设备及后续过程。15.一种服务器，其特征在于，包括：访问数据收集模块，用于记录用户设备在预设观察时间内的访问数据；异常设备识别模块，用于根据各个用户设备的访问数据从中筛选出异常设备；访问特征确定模块，用于根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面集合，生成异常设备访问页面集合；特征向量生成模块，用于根据各个用户设备在所述观察时间内访问过的页面，为每...

【专利技术属性】
技术研发人员：彭丹丹，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44