一种基于用户端异常行为的网络威胁发现方法

摘要

本发明公开了一种基于用户端异常行为的威胁发现方法，包括步骤操作捕捉，参数传输和分析告警。其中，通过操作捕捉，在用户端设置捕捉载体，获取用户端的用户操作信息；再将所述用户操作信息转换为参数信息，通过网络将参数信息回传给服务器端；在服务器端对所述参数信息进行分析判断，当认为是属于异常行为时则发出威胁告警本发明提供的威胁发现方法基于监控数据采集和分析，通过对用户正常操作行为模型的建立，来对异常操作行为进行分析和预警，该方法是一种基于数据分析的威胁预警方法，有利于早期发现网络威胁，提高了网络威胁的态势感知能力和预警防控能力。

说明书

技术领域

本发明属于网络信息安全技术领域，特别是涉及一种基于用户端异常行为的网络威胁发现方法。

背景技术

常规用户在发起对Web网站的请求前，会有大量隐式用户操作，如鼠标移动、键盘输入等，其用户操作行为可以通过机器学习的方式进行建模。

但是如果是新型威胁产生的访问，如蠕虫病毒或新型攻击方式，则会发生低概率的异常的访问事件。并且新型威胁在初期并不会在网络上广泛流传，甚至未公开，如果通过这种方式对系统进行攻击，是无法依赖于常规模式进行查杀。

为此需要对异常的网络行为进行观察捕捉，并从用户操作信息中分析得到异常行为并及早预警。

发明内容

本发明主要解决的技术问题是提供一种基于用户端异常行为的网络威胁发现方法，解决现有技术中对新型网络攻击行为难以及早发现和提前预警的问题。

为解决上述技术问题，本发明采用的一个技术方案是：提供一种基于用户端异常行为的威胁发现方法，包括步骤：操作捕捉，在用户端设置捕捉载体，获取用户端的用户操作信息；参数传输，将所述用户操作信息转换为参数信息，通过网络将参数信息回传给服务器端；分析告警，在服务器端对所述参数信息进行分析判断，当认为是属于异常行为时则发出威胁告警。

在本发明基于用户端异常行为的威胁发现方法另一实施例中，所述用户端包括计算机网络中的计算机web端和/或通信网络中的智能通信终端。

在本发明基于用户端异常行为的威胁发现方法另一实施例中，当所述用户端为计算机web端时，所述捕捉载体是Javascript插桩。

在本发明基于用户端异常行为的威胁发现方法另一实施例中，在所述参数传输中，所述用户操作信息对应为截获表单的sunmit事件，在向服务器端传输参数信息时，当使用GET方法时，则保留最后10项用户操作信息所对应的参数信息，并通过http request发送到所述服务器端；当使用POST方法时，则把所有用户操作信息所对应的参数信息打包为压缩数据流，并通过http request发送到所述服务器端。

在本发明基于用户端异常行为的威胁发现方法另一实施例中，在所述分析告警中，将接收到的参数信息分为用户动作参数序列和用户请求参数序列，再采用n-gram算法对所述用户动作参数序列和用户请求参数序列进行概率计算，如果计算得到的概率值低于预设的阈值时则认为是异常行为并发出威胁告警。

本发明的有益效果是：本发明公开了一种基于用户端异常行为的威胁发现方法，包括步骤操作捕捉，参数传输和分析告警。其中，通过操作捕捉，在用户端设置捕捉载体，获取用户端的用户操作信息；再将所述用户操作信息转换为参数信息，通过网络将参数信息回传给服务器端；在服务器端对所述参数信息进行分析判断，当认为是属于异常行为时则发出威胁告警本发明提供的威胁发现方法基于监控数据采集和分析，通过对用户正常操作行为模型的建立，来对异常操作行为进行分析和预警，该方法是一种基于数据分析的威胁预警方法，有利于早期发现网络威胁，提高了网络威胁的态势感知能力和预警防控能力。

附图说明

图1是本发明基于用户端异常行为的网络威胁发现方法一实施例的流程图；

图2是本发明基于用户端异常行为的网络威胁发现方法另一实施例的流程图。

具体实施方式

为了便于理解本发明，下面结合附图和具体实施例，对本发明进行更详细的说明。附图中给出了本发明的较佳的实施例。但是，本发明可以以许多不同的形式来实现，并不限于本说明书所描述的实施例。相反地，提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。

需要说明的是，除非另有定义，本说明书所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是用于限制本发明。

图1公开了本发明的一种基于用户端异常行为的网络威胁发现方法的一实施例的流程图，该方法具体包括以下步骤：

步骤S101，操作捕捉，在用户端设置捕捉载体，获取用户端的用户操作信息；

步骤S102，参数传输，将所述用户操作信息转换为参数信息，通过网络将参数信息回传给服务器端；

步骤S103，分析告警，在服务器端对所述参数信息进行分析判断，当认为是属于异常行为时则发出威胁告警。

可以看出该实施例是通过在用户端设置捕捉载体的方式来监测用户端的操作使用情况，这里的捕捉载体是指驻留在用户端操作程序中的监控功能模块，能够对用户端的各种操作进行监控，这些操作既有来自用户通过人机接口的操作，也有来自网络的输入输出操作，而捕捉载体都能够对这些操作进行监控。

进一步的，捕捉载体还可以对用户操作按照操作类型、操作时间、操作时长、操作内容进行记录存储，从而获得与用户操作相关的各种信息。

优选的，所述用户端包括计算机网络中的计算机web端和/或通信网络中的智能通信终端。

优选的，当用户使用计算机Web端进行操作时，用户操作包括键盘输入操作、鼠标点击操作、数据上传网络操作、数据从网络下载操作、U盘数据读写操作、光驱数据读写操作、打印机打印操作、扫描仪扫描操作等。当用户使用智能通信终端进行操作时，用户操作就包括文字输入操作、终端信息上传操作、终端接收数据操作、手机短信息发送操作、手机短信息接收操作等。

我们可以把这些用户操作再和具体的应用程序或应用界面进行结合，例如在计算机Web端的一个Web网页上进行相关用户操作，那么就可以和该网页所对应的各个功能按钮或文字输入框进行对应，就可以获得这些用户操作的目的作用，由此推断出用户的操作行为或用户事件。例如，在某一个银行Web页面上，用户可以进行注册、登录、输入账号和密码、输入手机号、插入保密优盘、进行资金转账操作等多种操作，当把这些操作动作的先后顺序以及操作内容进行动作捕捉后就可以获得用户一般的电子银行操作模式。这种操作模式可以进一步通过建模实现一般的操作模式，这些是符合正常的操作使用的规律和集合的。而当通过捕捉监控，发现有不符合这些常规操作模式时，则很有可能是一种潜在的网络攻击行为，应该对这种操作行为的具体操作类型和组合关系进行捕捉和记录，然后做进一步分析和预警。又例如在一个通信终端的App应用界面上，用户操作可以包括注册、登录、输入账号和密码、接收短信息、指纹录入识别、拍照识别等多种操作，当把这些操作按照先后顺序进行排列，以及与该App使用特点结合时，就可以获得使用该App的一般的操作模式的集合，这些是符合正常的操作使用的规律和集合。但是当出现一些不在这些操作模式中的其他用户操作内容时，则可能存在潜在的异常行为。

因此，优选的，在建立用户操作模式集合时，主要包括根据应用模式，建立对应的操作类型及操作顺序，以及这些操作类型的各种组合，由此形成操作模式集合。

进一步优选的，在实际的应用中还有计算机web端与通信终端相结合的用户操作模式，例如在使用web端时会出现需要通信终端接收动态密码的方式先由通信终端接收实时动态密码，然后再向web端输入该动态密码。这种情况下，就需要对计算机web端与通信终端的操作行为同时进行捕捉监控，而通常情况下在计算机web端操作时通常是需要输入用户的通信终端所对应的号码，以及由计算机web端向该通信终端号码对应的信息中心发送验证操作，因此要多敏感的信息内容和对信息中心的通信操作进行信息捕捉和监控。

因此，对用户端的操作捕捉不仅是单一的用户端操作信息捕获，还需要对相关的不同类型的用户端的操作进行关联，这样才能获得多个信息来源的统一监控，否则对于后续分析用户异常行为而言将是不全面的。

优选的，当所述用户端为计算机web端时，所述捕捉载体是Javascript插桩，由此获得用户事件，也即是用户的应用事件。通过Javascript插桩可以获得对web网页的操作监控。

优选的，当所述用户端为通信终端时，所述捕捉载体是基于android系统的监控模块、基于ios系统的监控模块或者是基于WinCE系统的监控模块。通过这些监控模块可以实现基于不同操作系统的手机终端进行监控采集用户操作信息。

优选的，在步骤S102中，在所述参数传输中，可以将用户操作信息简化为操作代码，并且可以在操作代码后附带具体的操作内容。例如键盘输入操作可以通过简短的代码来表示，而键盘输入操作所对应的输入内容则附带在该操作代码之后。

优选的，在步骤S102中，对于计算机web端，在所述参数传输中，所述用户操作信息对应为截获表单的submit事件，在向服务器端传输参数信息时，当使用GET方法时，则保留最后10项用户操作信息所对应的参数信息，并通过http request发送到所述服务器端；当使用POST方法时，则把所有用户操作信息所对应的参数信息打包为压缩数据流，并通过http request发送到所述服务器端。

该步骤体现了在计算机网络中传输信息的方法，可以根据用户操作对应的参数信息内容的不同来选择不同类型的传输方式。一方面注意区分重点，保证信息的完整性，另一方面就是信息传输的可靠性。

优选的，在步骤S102中，对于计算机web端，在所述分析告警中，将接收到的参数信息分为用户动作参数序列和用户请求参数序列，再采用n-gram算法对所述用户动作参数序列和用户请求参数序列进行概率计算，如果计算得到的概率值低于预设的阈值时则认为是异常行为并发出威胁告警。这里的用户请求主要是指用户的具体应用请求，这样的应用请求通常是由多个用户动作来实现的。

图2显示了图1实施例在计算机网络web端中的具体应用的实施例，前述已具体说明，这里不再赘述。

综上可知，本发明公开了一种基于用户端异常行为的威胁发现方法，包括步骤操作捕捉，参数传输和分析告警。其中，通过操作捕捉，在用户端设置捕捉载体，获取用户端的用户操作信息；再将所述用户操作信息转换为参数信息，通过网络将参数信息回传给服务器端；在服务器端对所述参数信息进行分析判断，当认为是属于异常行为时则发出威胁告警本发明提供的威胁发现方法基于监控数据采集和分析，通过对用户正常操作行为模型的建立，来对异常操作行为进行分析和预警，该方法是一种基于数据分析的威胁预警方法，有利于早期发现网络威胁，提高了网络威胁的态势感知能力和预警防控能力。

以上该仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构变换，或直接或间接运用在其他相关的技术领域，均包括在本发明的专利保护范围内。