一种用户异常操作行为检测方法、系统及存储介质与流程

本发明涉及信息安全技术领域，具体来说，涉及一种用户异常操作行为检测方法、系统及存储介质。

背景技术：

在现有技术中，安全检测仅在应用层上检测攻击内容(如sql注入、xss攻击等)，对许多企业而言，上述安全检测的项目仍然无法保证信息的安全。例如，在快递行业，数据交互过程中会产生大量的具有快递行业特性的用户隐私信息以及内部绝密商务信息。而大部分的信息会通过邮件渠道外发，通过事后审计或通过挂接设备检测是否含有敏感信息，若使用现有的安全检测设备或系统，难以针对企业和用户的特点合理地进行预警。

针对相关技术中的问题，目前尚未提出有效的解决方案。

技术实现要素：

针对相关技术中的上述技术问题，本发明提出一种用户异常操作行为检测方法，能够针对企业和用户的特点合理地判断异常，达到更加有效地进行预警的效果。另一方面，本发明还提出一种用户异常操作行为检测方法和存储介质。

为实现上述技术目的，本发明的技术方案是这样实现的：

一种用户异常操作行为检测方法，包括如下步骤：s1.构建免费代理ip数据库；s2.将账号的登录ip与所述免费代理ip数据库进行匹配，若匹配成功，则作为异常登录。

优选地，所述免费代理ip数据库中的数据是通过爬虫抓取ip代理网站中的免费代理ip而得到的。

优选地，构建所述免费代理ip数据库包括如下步骤：s1.1调用request库请求ip代理网站；s1.2通过正则表达式抓取ip代理网站的免费代理ip及端口号；s1.3将抓取的免费代理ip及端口存入数据库。

优选地，还包括如下步骤：s3.对登录的账号进行区域分类，通过登录日志中的ip进行归属地查询，若归属地与区域分类结果不同，则作为异常登录

优选地，还包括如下步骤：s4.检测同一ip是否登录了多个账号，若是，则作为异常登录。

优选地，还包括如下步骤：s5.检测同一主机名是否登录了多个账号，若是，则作为异常登录。

优选地，还包括如下步骤：s6.检测同一mac地址是否登录了多个账号，若是，则作为异常登录。

优选地，还包括如下步骤：s7.检测是否有多个ip登录了同一个账号，若是，则作为异常登录。

本发明的另一方面，涉及一种用户异常操作行为检测系统，包括：数据库单元，其存储有免费代理ip数据；登录ip获取单元，用于在账号登录时获取登录ip；匹配单元，用于将登录ip与免费代理ip数据库进行匹配，若匹配成功，则作为异常登录。

优选地，还包括数据库更新单元，用于获取免费代理ip数据，并将免费代理ip数据加入至所述数据库单元中。

本发明的又一方面，涉及一种计算机可读存储介质，存储有程序，所述程序被处理器执行，以实现上述的用户异常操作行为检测方法或者其改进方案。

本发明的有益效果：本发明所述的用户异常操作行为检测方法，针对正常用户不会使用免费代理ip进行登录的特点，对ip为免费代理ip的账号进行预警，由此，可以提高用户异常登录检测的精准度，降低误报率，提升恶意登录账号的检出率。对打击外部人员恶意登录客户账号并盗取敏感信息行为起到威慑作用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明所述的用户异常操作行为检测方法的流程图；

图2是构建免费代理ip数据库的流程图；

图3是用户异常操作行为检测系统的功能模块图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本发明保护的范围。

图1是本发明所述的用户异常操作行为检测方法的流程图。

如图1所示，根据本发明实施例所述的一种用户异常操作行为检测方法，包括如下步骤：

s1.构建免费代理ip数据库；

s2.将账号的登录ip与所述免费代理ip数据库进行匹配，若匹配成功，则作为异常登录。

免费代理ip是指通过免费的ip代理网站/ip代理软件访问网络时，该免费的ip代理网站/ip代理软件的服务器的ip地址，可以用来隐藏用户真实的ip地址。免费代理ip数据库包含大量免费代理ip以及与免费代理ip相关的数据。一方面，正常客户不会使用代理访问系统，因为这样会给访问系统带来网络延迟并且稳定性也不好，另一方面，大部分黑产会扫描免费代理网站以获取免费代理ip来进行伪装登录系统以逃避系统检测及追踪溯源，同时也可以节省黑客攻击的成本。针对这一特点，尽可能地收集免费代理ip的相关数据，构建出免费代理ip数据库，当某个账号登录时，匹配登录ip与免费代理ip数据库，若存在匹配的条目，则说明该登录ip使用的是免费代理ip，很有可能存在安全隐患，需要将此次登录行为判断为异常登录。

免费代理ip数据库可以通过从互联网上收集免费代理ip的数据而构建起来，优选通过爬虫(爬虫又被称为网页蜘蛛，网络机器人，在foaf社区中间，更经常的称为网页追逐者，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本)抓取ip代理网站中的免费代理ip而得到需要的数据。免费代理ip如西刺免费代理ip、快代理免费代理、proxy360代理、全网代理ip等。可以持续关注网上的各代理ip网站，有新的代理ip网站便会加入到爬取对象中，从而持续更新免费代理ip数据库。使用爬虫抓取的方式可以有效节省信息收集的人力。

图2是构建免费代理ip数据库的流程图。

如图2所示，构建免费代理ip数据库具体包括如下步骤，可基于python2.7实现：

s1.1调用request库请求ip代理网站；

s1.2通过正则表达式(正则表达式，又称规则表达式，regularexpression，在代码中常简写为regex、regexp或re，是计算机科学的一个概念，正则表达式通常被用来检索、替换那些符合某个模式(规则)的文本)抓取ip代理网站的免费代理ip及端口号；

s1.3将抓取的免费代理ip及端口存入数据库。

此外，如图1所示，用户异常操作行为检测方法还可以包括如下步骤：s3.对登录的账号进行区域分类，通过登录日志中的ip进行归属地查询，若归属地与区域分类结果不同，则作为异常登录。具体而言，某个用户在创建账号时，会根据用户所在的区域按照一定的规则生成账号，例如，某个用户创建账号时填写自己的地址为北京，而规则规定地址为北京的账号前2位是01。这样，当一个账号登录时，通过其账号名即可确定该账号的所属区域，同时，当一个账号登录时，通过登录日志中的ip进行归属地查询，可以查到当前登录区域，例如，某个所属区域为北京的账号，查询其登录区域为武汉，则说明账号很可能被他人盗取，很有可能存在安全隐患，需要将此次登录行为判断为异常登录。

此外，如图1所示，用户异常操作行为检测方法还可以包括如下步骤：s4.检测同一ip是否登录了多个账号，若是，则作为异常登录。具体而言，通常情况下，一个客户只会创建一个账号，因此不会出现同一ip登录多个账号的现象，如果同一ip登录多个账号，就很有可能存在安全隐患，需要将此次登录行为判断为异常登录。

此外，如图1所示，用户异常操作行为检测方法还可以包括如下步骤：s5.检测同一主机名是否登录了多个账号，若是，则作为异常登录。具体而言，通常情况下，同一台主机不会存在有操作多个账号的权限，因此不会出现同一主机名登录了多个账号的现象，如果同一台主机登录了多个账号，就很有可能存在安全隐患，需要将此次登录行为判断为异常登录。

此外，如图1所示，用户异常操作行为检测方法还可以包括如下步骤：s6.检测同一mac地址是否登录了多个账号，若是，则作为异常登录。具体而言，通常情况下，同一台主机的mac(mediaaccesscontrol，介质访问控制)一般不会存在操作多个账号的权限，因此不会出现同一mac地址登录了多个账号的现象，如果同一mac地址登录了多个账号，就很有可能存在安全隐患，需要将此次登录行为判断为异常登录。

此外，如图1所示，用户异常操作行为检测方法还可以包括如下步骤：s7.检测是否有多个ip登录了同一个账号，若是，则作为异常登录。具体而言，通常情况下，一个用户不会通过ip不同的多个设备登录同一个账号，因此不会出现多个ip登录同一个账号的现象，如果多个ip登录了同一个账号，就很有可能存在安全隐患，需要将此次登录行为判断为异常登录。

以上，分别根据正常客户不会使用代理访问系统、正常客户不会在异地登录、同一ip通常不会登录多个账号、同一主机名通常不会登录多个账号、同一mac地址通常不会登录多个账号、通常不会有多个ip登录同一个账号的特点构建了相应的安全检测对策，由此，可以实施全面且精准的安全预警。

此外，还可以针对不同的异常情况进行分级，例如，登录时ip地址所属区域为非注册时的区域，这种异地登录的情况异常程度比较轻，作为一级预警，使用免费代理ip进行登录异常情况最重，作为三级预警，其它异常情况作为二级预警。此外，还可以针对不同的预警级别对该账户登录后的操作权限进行限制，例如，三级预警的情况下某些信息不能查看，这样可以有效保证信息安全。

图3是用户异常操作行为检测系统的功能模块图。

如图3所示，是本发明所述的一种用户异常操作行为检测系统，包括：

数据库单元，其存储有免费代理ip数据；

登录ip获取单元，用于在账号登录时获取登录ip；

匹配单元，用于将登录ip与免费代理ip数据库进行匹配，若匹配成功，则作为异常登录。

当用户登录某个系统、网站、app时，登录ip获取单元从登录时产生的登录日志中拉取出登录ip，匹配单元将该登录ip与数据库单元中的免费代理ip数据进行匹配，若存在匹配的条目，则说明该登录ip使用的是免费代理ip，很有可能存在安全隐患，需要将此次登录行为判断为异常登录，匹配单元可以连接一个预警单元，当匹配单元判断某次登录操作未异常登录时，预警单元生成预警信息，例如生成文字提示、语音提示等。

作为硬件设备，可以包括存储器和处理器，数据库单元、登录ip获取单元和匹配单元存储在存储器上，其中登录ip获取单元和匹配单元作为功能单元(程序)。处理器从存储器上读取相应的程序以实现相应的步骤。

此外，如图3所示，本发明所述的用户异常操作行为检测系统还可以包括数据库更新单元，用于获取免费代理ip数据，并将免费代理ip数据加入至数据库单元中。免费代理ip数据例如通过爬虫的方式定期对网页进行爬取，每当数据库更新单元爬取到新的(即原数据库中未收录的)免费代理ip数据时，就将该新的免费代理ip数据加入到数据库单元中。

此外，本发明所述的用户异常操作行为检测系统还可以包括其它的功能单元，以实现上述s3～s7所述的方法。

本发明还提供一种计算机可读存储介质，存储有程序，所述程序被处理器执行，以实现上的述的用户异常操作行为检测方法或者其改进实施方式。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。