一种网站用户行为识别与管控系统的制作方法

本发明涉及网络安全领域，特别是涉及一种网站用户行为识别与管控系统。

背景技术：

目前，网络已被普遍应用，网络上的各个网站为人们获取信息或进行联络提供了极大的方便。

但是各类网站始终面临风险客户的异常访问风险，包括目的为获取用户数据或主机控制权的黑客行为，目的为获取网站信息的非法爬虫行为等。这些异常访问为网站的稳定运行、网站数据的安全、用户隐私的保护带来了极大风险。

现有技术中的网站用户行为监控系统多为通用性系统，如各类WAF系统、各种云盾等，缺乏一种针对特定行业用户，能够根据其自身特点简易定制定监控策略的系统。

技术实现要素：

本发明所要解决的技术问题是提供一种网站用户行为识别与监控系统，从而能够根据行业特点制定监控策略，实现网站安全监控。

为了解决上述问题，本发明公开了一种网站用户行为识别与管控系统，包括访问前端、数据收集模块以及策略执行模块，其中，访问前端用于接收用户发送的网站访问请求，生成访问日志，根据存储的黑白名单判断用户是否为风险用户，根据判断结果执行管控动作；数据收集模块收集访问日志，对用户的标志信息进行分类，并保存入数据分析集群供策略执行模块分析；策略执行模块根据数据收集模块所收集的标志信息，对黑白名单进行更新，并将更新后的黑白名单发送至访问前端替换现有的黑白名单。

进一步地，访问前端包括更新黑白名单的接口，通过调用黑白名单接口更新黑白名单。

进一步地，策略执行模块更新黑白名单的步骤包括：寻找特定时间内访问最多的预定个数的IP地址；统计每一个IP的值的请求数量和用户追踪码唯一计数的比值；如果比值大于阈值，则判断为风险用户，并将风险用户的标志信息加入黑白名单中。

进一步地，访问前端还用于将用户的请求镜像至软WAF进行攻击识别

与现有技术相比，由于本系统根据黑白名单进行用户行为管控，且黑白名单根据数据收集模块所收集的标志信息进行更新，从而可以根据网站业务和访客情况实时更新，从而使得管控系统可以根据网站业务及访客的特点进行制定，简单易行，实现用户了可以根据网站业务及访客的特点灵活定制管控策略。

附图说明

图1是根据本发明实施例的一种网站用户行为识别与管控系统；

图2是根据本发明实施例的一种网站用户行为识别与管控方法。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1示出了根据本发明实施例的一种网站用户行为识别与管控系统。如图1所示，本系统包括访问前端、数据收集模块以及策略执行模块。

其中，访问前端用于接收用户发送的网站访问请求，生成访问日志，根据存储的黑白名单判断用户是否为风险用户，根据判断结果执行管控动作。包括：当判断用户不是风险用户，对网站没有威胁时，允许访问网站；当判断用户为风险用户时，拒绝访问网站。

数据收集模块收集访问日志，对用户的标识地址，访问行为等标志信息进行分类，并保存入数据分析集群供策略执行模块分析；其中，访问记录包括请求路径、浏览器类型、用户追踪码、访问时间、响应时长，响应码、访问内容等信息。

策略执行模块根据数据收集模块所收集的用户访问地址等标志信息，对黑白名单进行更新，并将更新后的黑白名单发送至访问前端替换现有的黑白名单。

同时，访问前端提供更新黑白名单的接口，通过调用该接口更新访问前端的名单数据。该接口可以为restful接口。

由于本系统根据黑白名单进行用户行为管控，且黑白名单根据数据收集模块所收集的标志信息进行更新，从而可以根据网站业务和访客情况实时更新，从而使得管控系统可以根据网站业务及访客的特点进行制定，简单易行，实现用户了可以根据网站业务及访客的特点灵活定制管控策略。

本系统的具体实现流程如图2所示。

图2示出了本发明一种网站用户行为识别与监控系统执行流程。

步骤S11：访问前端接收用户发送的网站访问请求。

当用户通过HTTP、HTTPS及基于TCP的自定义协议访问网站时，访问前端获取用户的标识信息，如用户的IP地址、用户HTTP报文中的User-Agent头信息以及HTTP报文中的其他有效标识信息。

步骤S12：判断用户是否为风险用户。

访问前端调用最新的黑白名单，对接收到的访问请求用户标识信息进行验证，与存储黑白名单的数据进行比对分析，判断用户是否为风险用户，是否有权访问指定资源，黑白名单的数据包括用户的IP地址、用户HTTP报文中的User-Agent头信息以及HTTP报文中的其他信息。

当判断用户不是风险用户时，执行步骤S13；当判断用户为风险用户时，执行步骤S14。

步骤S13：当判断用户不是风险用户，对网站没有威胁时，允许访问网站。

若其标识信息未出现在黑白名单中，则判断该用户不是风险用户，对网站没有威胁，允许访问网站允许其访问网站。

步骤S14：当判断用户为风险用户时，拒绝访问网站。

若其标识信息出现在黑白名单中，则判断该用户为风险用户，拒绝其访问网站。

同时，访问前端将用户的请求镜像至软WAF(Web应用安全网关)进行攻击识别，软WAF将识别为攻击的用户标志信息提交给策略管理和执行模块，该功能可以由前方交换机将流量镜像至软WAF进行识别，也可以由访问前端复制报文主动向软WAF进行推送。与访问前端的黑白名单校验同步进行，用于进一步补充黑白名单，进一步提高网站的安全性。

其中，黑白名单数据根据访问前端生成的访问日志由策略执行模块实时更新。更新步骤包括：

策略执行模块用于既定分析策略的执行，一个分析策略包括多个子策略，每个子策略都可以归为在数据分析集群中通过多个维度进行的一次查询，策略执行模块通过一个策略中多个子策略的执行结果来生成所需的黑名单。具体实现方式包括：寻找某个固定时间段内(如1天内)访问最多的预定个数的IP地址(子策略1)，该预定个数可以根据客户的需求选择，并对每一个IP地址统计其请求数量(子策略2)和用户追踪码唯一计数(子策略3)的比值，如果该值大于预设的阈值(子策略4)，则判断为风险用户(最终策略)。被判为风险IP的地址将加入待更新黑名单中，通过调用访问前端所提供的名单更新接口来更新其黑白名单并使之生效。

即寻找特定时间内访问最多的预定个数的IP地址；统计每一个IP的值的请求数量和用户追踪码唯一计数的比值；如果该比值大于阈值，则判断为风险用户，并将风险用户的标志信息加入所述黑白名单中。

策略管理模块用于策略的生成和执行调度，每一个新策略都可进行实时测试以及回归测试以确保策略的有效性，同时该模块也负责策略的定时执行。

该系统可以根据网站业务及访客的特点进行制定，简单易行，从而实现用户了可以根据网站业务及访客的特点灵活定制管控策略。

以上对本发明所提供的一种网站用户行为识别与监控系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。