【技术实现步骤摘要】
异常设备检测方法和装置
本申请涉及计算机安全
,特别涉及一种异常设备检测方法和装置。
技术介绍
本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就被认为是现有技术。随着利用自动化技术谋取非法收入的黑产规模化发展,已经出现了群控技术能够批量操控大量电脑或手机进行自动化攻击或线上欺诈。例如,攻击者在一个房间内布设大量的电脑或手机,然后群控这些电脑对目标网站发起攻击,或者进行“薅羊毛”等线上欺诈。
技术实现思路
有鉴于此,本申请提供了一种异常设备检测方法和装置,以便于对利用群控技术批量操控大量终端进行自动化攻击或线上欺诈的设备进行有效检测。具体技术方案如下:第一方面,本申请提供了一种异常设备检测方法,该方法包括:威胁感知平台获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息;从所述用户操作事件信息中提取操作特征轨迹;分别将各终端设备对应的操作特征轨迹映射至二维图像上,得...
【技术保护点】
1.一种异常设备检测方法,其特征在于,该方法包括:/n威胁感知平台获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息;/n从所述用户操作事件信息中提取操作特征轨迹;/n分别将各终端设备对应的操作特征轨迹映射至二维图像上,得到各终端设备对应的轨迹图像;/n基于轨迹图像之间的相似度,对各终端设备对应的轨迹图像进行聚类,得到一个以上的簇;/n确定包含设备数量大于或等于预设第一数量阈值的簇所包含的终端设备为异常设备。/n
【技术特征摘要】
1.一种异常设备检测方法,其特征在于,该方法包括:
威胁感知平台获取运行于终端设备的前端代码采集的实现web页面上预设功能所发生的用户操作事件信息;
从所述用户操作事件信息中提取操作特征轨迹;
分别将各终端设备对应的操作特征轨迹映射至二维图像上,得到各终端设备对应的轨迹图像;
基于轨迹图像之间的相似度,对各终端设备对应的轨迹图像进行聚类,得到一个以上的簇;
确定包含设备数量大于或等于预设第一数量阈值的簇所包含的终端设备为异常设备。
2.根据权利要求1所述的方法,其特征在于,所述前端代码包括:web页面中嵌入的脚本JS代码、移动应用中嵌入的代码或者桌面客户端中嵌入的代码。
3.根据权利要求1所述的方法,其特征在于,所述操作事件信息包括:鼠标事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述鼠标事件信息中提取各时间点鼠标的坐标数据,得到鼠标的坐标轨迹。
4.根据权利要求1所述的方法,其特征在于,所述操作事件信息包括:键盘事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述键盘事件信息中提取依次按下各键之间的时间间隔或者各键被按下与弹起之间的时间间隔,得到键盘敲击间隔的轨迹。
5.根据权利要求1所述的方法,其特征在于,所述操作事件信息包括:触屏事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述触屏事件信息中提取各时间点触屏位置的坐标数据,得到触屏的坐标轨迹。
6.根据权利要求1所述的方法,其特征在于,所述操作事件信息包括:运动传感器事件信息;
从所述用户操作事件信息中提取操作特征轨迹包括:
从所述运动传感器事件信息中提取各时间点对应的传感器数据;
依据所述各时间点对应的传感器数据,得到运动状态轨迹。
7.根据权利要求1至6中任一项所述的方法,其特征在于,该方法还包括:
所述威胁感知平台获取所述前端代码采集所述终端设备的网络环境信息;
对同一时长内各终端设备的网络环境信息进行聚类,得到一个以上的簇;
确定包含设备数量大于预设第二数量阈值的簇所包含的终端设备为异常设备。
8.根据权利要求7所述的方法,其特征在于,所述网络环境信息包括以下至少一种:
所在内网中各终端设备的网络地址信息、所连接接入设备的网络地址信息、所接入基站的标识信息。
9.一种异常设备检测装置,其特征在于,该装置包括:
信息获取单元,用于获取运行于终端设备的...
【专利技术属性】
技术研发人员:郑霖,
申请(专利权)人:瑞数信息技术上海有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。