网站防御方法、装置、设备及存储介质与流程

本发明涉及互联网业务安全技术领域，尤其涉及一种网站防御方法、装置、设备及存储介质。

背景技术：

互联网企业最核心的资产及资源均为服务于网站的注册及访问用户，因此黑灰产会利用大量的恶意账户有目的的窃取网站的资源及资产，常见的表现有：刷取有价值的数据资源、冒领正常推广及投放的奖励以及有目的的刷赞点评等。

目前中大型互联网公司会利用账户标识匹配、频率限制、特征聚类等，对网站的注册用户进行大致的识别，然后在业务环节进行一定的限制或者封禁处理，但是一般使用恶意账户攻击业务网站的均为较为专业的黑产工作室，黑产人员往往拥有专业的工具、资源以及技能，同时善于利用业务的漏洞。现有的常见对抗黑产使用恶意账户攻击业务资源的方法，均未更有效地考虑对黑产恶意账户的定位及识别。

技术实现要素：

本发明的主要目的在于提出一种网站防御方法、装置、设备及存储介质，旨在解决如何更有效地实现对黑产恶意账户的定位及识别的技术问题。

为实现上述目的，本发明提供一种网站防御方法，所述网站防御方法包括以下步骤：

获取待防御网站的使用数据；

提取所述使用数据中的预设特征信息；

对所述预设特征信息进行综合分析，得到参考异常账户信息；

查找所述参考异常账户信息的业务交互信息以及属性特征信息；

对所述业务交互信息以及属性特征信息进行关联分析，得到所述参考异常账户信息中的目标异常账户信息；

对所述目标异常账户信息对应账号的使用数据进行聚集，得到目标异常使用数据；

从所述目标使用数据中确定所述待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御。

优选地，所述预设特征信息包括业务信息、设备特征信息、软件环境信息、网络特征信息以及用户交互特征信息中至少一项。

优选地，所述对所述预设特征信息进行综合分析，得到参考异常账户信息，包括：

提取所述预设特征信息中的用户行为信息，以及所述用户行为信息对应的待防御网站的网页加载信息；

在所述用户行为信息未匹配所述网页加载信息时，得到所述用户行为信息对应的参考异常账户信息。

优选地，所述对所述业务交互信息以及属性特征信息进行关联分析，得到所述参考异常账户信息中的目标异常账户信息，包括：

提取所述业务交互信息中多个业务点的操作信息；

在所述操作信息的操作属性不一致时，得到所述参考异常账户信息中的第一异常账户信息；

监控处于同一业务流程中的属性特征信息是否满足预设条件；

根据未满足预设条件的属性特征信息得到所述参考异常账户信息中的第二异常账户信息；

根据所述第一异常账户信息和第二异常账户信息得到目标异常账户信息。

优选地，所述对所述目标异常账户信息对应账号的使用数据进行聚集，得到目标使用数据，包括：

将所述目标异常账户信息对应账号的使用数据与参考异常数据信息进行比较，根据比较结果得到所述使用数据中的目标异常数据；

对所述目标异常数据进行聚集，得到目标使用数据。

优选地，所述从所述目标使用数据中确定所述待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御，包括：

对所述目标使用数据进行分析，得到所述目标使用数据对应的账号的相似度；

将相似度满足预设阈值的账号分为预设组别；

查找处于同一预设组别的账号中的使用数据的业务交叉信息，将所述业务交叉信息作为待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御。

优选地，所述对所述目标使用数据进行分析，得到所述目标使用数据对应的账号的相似度，包括：

提取所述目标使用数据的账户标识信息、破解信息以及访问业务数据信息；

根据所述账户标识信息、破解信息以及访问业务数据信息得到所述目标使用数据对应的账号的相似度。

此外，为实现上述目的，本发明还提出一种网站防御装置，所述网站防御装置包括：

获取模块，用于获取待防御网站的使用数据；

提取模块，用于提取所述使用数据中的预设特征信息；

分析模块，用于对所述预设特征信息进行综合分析，得到参考异常账户信息；

查找模块，用于查找所述参考异常账户信息的业务交互信息以及属性特征信息；

所述分析模块，还用于对所述业务交互信息以及属性特征信息进行关联分析，得到所述参考异常账户信息中的目标异常账户信息；

聚集模块，用于对所述目标异常账户信息对应账号的使用数据进行聚集，得到目标异常使用数据；

防御模块，用于从所述目标使用数据中确定所述待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御。

此外，为实现上述目的，本发明还提出一种网站防御设备，所述网站防御设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网站防御程序，所述网站防御程序配置为实现如上所述的网站防御方法的步骤。

此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有网站防御程序，所述网站防御程序被处理器执行时实现如上文所述的网站防御方法的步骤。

本发明提出的网站防御方法，通过获取待防御网站的使用数据；提取所述使用数据中的预设特征信息；对所述预设特征信息进行综合分析，得到参考异常账户信息；查找所述参考异常账户信息的业务交互信息以及属性特征信息；对所述业务交互信息以及属性特征信息进行关联分析，得到所述参考异常账户信息中的目标异常账户信息；对所述目标异常账户信息对应账号的使用数据进行聚集，得到目标异常使用数据；从所述目标使用数据中确定所述待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御。通过对所述预设特征信息进行综合分析、使用账户的业务交互信息、属性特征信息以及对账号的使用数据进行聚集，对账户的使用数据进行层层分析，更有效地实现对黑产恶意账户的定位及识别，达到对网站的有效防御，从而保护网站的使用安全。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图；

图2为本发明网站防御方法第一实施例的流程示意图；

图3为本发明网站防御方法第二实施例的流程示意图；

图4为本发明网站防御方法第三实施例的流程示意图；

图5为本发明网站防御装置第一实施例的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的设备结构示意图。

如图1所示，该设备可以包括：处理器1001，例如中央处理器(centralprocessingunit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如按键，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速随机存取存储器(randomaccessmemory，ram)，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的设备结构并不构成对设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网站防御程序。

在图1所示的设备中，网络接口1004主要用于连接外网，与其他网络设备进行数据通信；用户接口1003主要用于连接用户设备，与设备进行数据通信；本发明设备通过处理器1001调用存储器1005中存储的网站防御程序，并执行本发明实施例提供的网站防御的实施方法。

基于上述硬件结构，提出本发明网站防御方法实施例。

参照图2，图2为本发明网站防御方法第一实施例的流程示意图。

在第一实施例中，所述网站防御方法包括以下步骤：

步骤s10，获取待防御网站的使用数据。

需要说明的是，本实施例的执行主体为网站防御设备，还可为其他可实现相同或相似功能的设备，本实施例对此不作限制，在本实施例中，以网站防御设备为例进行说明。

可以理解的是，所述使用数据为在被保护网站多个业务关键点部署采集器采集的，且多个采集器采集的数据需要通过账户或者其他关联性标识进行关联，例如使用账户与该账户的设备标识信息以及其他相关信息进行关联，从而更全面的得到使用账号信息，实现对账户的有效分析。

步骤s20，提取所述使用数据中的预设特征信息。

需要说明的是，所述预设特征信息包括业务信息、设备特征信息、软件环境信息、网络特征信息以及用户交互特征信息中至少一项。

在本实施例中，针对一次业务交互，系统可以将结合业务数据、设备特征、软件环境、网络特征、用户交互特征，综合性对实时的业务发生数据进行风险识别。

其中，业务信息为包含用户注册的用户昵称、密码、填写的内容等，对业务数据是否符合机器的规律性进行有效判别。设备特征信息为对当前设备的合法性进行判别，有效的识别使用虚假、篡改设备进行业务操作，例如是否是模拟器、是否对标识进行篡改、分辨率等是否符合当前设备真实值等。软件环境信息为对当前设备运行的软件环境进行风险识别，有效识别对当前软件运行环境进行入侵、篡改、截取等操作。网络特征信息为对当前业务操作的网络环境安全性进行识别，例如网络被代理、修改等。用户交互特征信息为对用户操作的行为进行有效识别，判别其是否符合机器的操作行为，可以使用用户交互的鼠标指针轨迹、点触轨迹、屏幕按压力度、陀螺仪等数据。

步骤s30，对所述预设特征信息进行综合分析，得到参考异常账户信息。

其中，所述对所述预设特征信息进行综合分析，得到参考异常账户信息，包括：

提取所述预设特征信息中的用户行为信息，以及所述用户行为信息对应的待防御网站的网页加载信息；在所述用户行为信息未匹配所述网页加载信息时，得到所述用户行为信息对应的参考异常账户信息。

需要说明的是，通过对以上维度的数据进行联合判断，例如将轨迹与页面加载的元素位置进行综合评价，识别轨迹信息是否匹配当前的页面加载环境，从而更近一步识别有风险的业务操作行为。

在本实施例中，使用多维度的数据，可以灵活针对不同类型攻击者注册的账户进行有效识别，提高整体识别系统的被绕过门槛。

步骤s40，查找所述参考异常账户信息的业务交互信息以及属性特征信息。

需要说明的是，所述业务交互信息包括账号访问的资源信息以及对应资源的响应信息，所述属性特征信息包括使用账号对应的设备的型号、分辨率设备的电量、陀螺仪等传感器等设备属性特征信息，还可包括其他相关的特征信息，本实施例对此不作限制。

步骤s50，对所述业务交互信息以及属性特征信息进行关联分析，得到所述参考异常账户信息中的目标异常账户信息。

在本实施例中，通过对单个账户在多个业务点多次的交互数据进行关联分析，更近一步对单业务点漏判的数据进行分析，可以实现更大的风险识别覆盖率，同时提升对于账户风险定位的精准性

步骤s60，对所述目标异常账户信息对应账号的使用数据进行聚集，得到目标异常使用数据。

可以理解的是，基于实时的风险识别、账户分析，可以对不同异常表现的数据进行合理的聚集，寻找出不同团伙操作的账户资源，同时可以定位不同团伙所活跃的业务交互点，帮助网站风控系统找出不同攻击者的攻击目标，做到有目的防御。

步骤s70，从所述目标使用数据中确定所述待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御。

本实施例通过上述方案，通过获取待防御网站的使用数据；提取所述使用数据中的预设特征信息；对所述预设特征信息进行综合分析，得到参考异常账户信息；查找所述参考异常账户信息的业务交互信息以及属性特征信息；对所述业务交互信息以及属性特征信息进行关联分析，得到所述参考异常账户信息中的目标异常账户信息；对所述目标异常账户信息对应账号的使用数据进行聚集，得到目标异常使用数据；从所述目标使用数据中确定所述待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御。通过对所述预设特征信息进行综合分析、使用账户的业务交互信息、属性特征信息以及对账号的使用数据进行聚集，对账户的使用数据进行层层分析，更有效地实现对黑产恶意账户的定位及识别，达到对网站的有效防御，从而保护网站的使用安全。

进一步地，如图3所示，基于第一实施例提出本发明网站防御方法第二实施例，在本实施例中，所述步骤s50，包括：

步骤s501，提取所述业务交互信息中多个业务点的操作信息。

需要说明的是，所述操作信息可为采集的用户行为轨迹信息，包括操作频率等。

步骤s502，在所述操作信息的操作属性不一致时，得到所述参考异常账户信息中的第一异常账户信息。

在本实施例中，通过借助单个账户在多业务点交互的数据的一致性进行风险识别，例如单个用户轨迹从点触事件迁移为指针事件、多个业务点之间操作的频率非常固定等，均是机器操作账户的表现。

步骤s503，监控处于同一业务流程中的属性特征信息是否满足预设条件。

可以理解的是，所述预设条件为一致性和合理性条件，通过对处于同一业务流程中的属性特征信息一致性和合理性进行判断，从而更精确的识别出异常账户信息。

步骤s504，根据未满足预设条件的属性特征信息得到所述参考异常账户信息中的第二异常账户信息。

在本实施例中，对单个用户交互的其他特征进行一致性或者合理性鉴别，其中，一致性鉴别为在一次完整的业务流程中，其设备的型号、分辨率等应该保持稳定，其标识特征，其中会话标识cookie、国际移动设备识别码(internationalmobileequipmentidentity，imei)、广告标识符(identifierforidentifier，idfa)等应该保持稳定，其互联网协议地址(internetprotocoladdress，ip)、包头headerorder等网络特征应该在一段时间内保持稳定。

合理性鉴别为一次完整的业务流程中，其应该发生变化的特征应该有合理性的变化。例如设备的电量非充电状态下应该有持续衰减、其网络信号应该有合理的波动、其陀螺仪等传感器性应该有合理变化，从而实现对使用账号更细化的分析。

步骤s505，根据所述第一异常账户信息和第二异常账户信息得到目标异常账户信息。

进一步，步骤s60，包括：

将所述目标异常账户信息对应账号的使用数据与参考异常数据信息进行比较，根据比较结果得到所述使用数据中的目标异常数据；对所述目标异常数据进行聚集，得到目标使用数据。

在本实施例中，基于实时的风险识别、账户分析，可以对不同异常表现的数据进行合理的聚集，寻找出不同团伙操作的账户资源，同时可以定位不同团伙所活跃的业务交互点，帮助网站风控系统找出不同攻击者的攻击目标，做到有目的防御

本实施例提供的方案，区别于传统方案的不同业务点，只关注当前业务点的数据，通过持续的跟踪账户，提升账户识别的精准性与覆盖率。

进一步地，如图4所示，基于第一实施例或第二实施例提出本发明网站防御方法第三实施例，在本实施例中，基于第一实施例进行说明，所述步骤s70，包括：

步骤s701，对所述目标使用数据进行分析，得到所述目标使用数据对应的账号的相似度。

步骤s702，将相似度满足预设阈值的账号分为预设组别。

需要说明的是，所述预设阈值可为70％，还可为其他参数信息，本实施例对此不作限制。将相似度满足预设阈值的账号分为预设组别，即为同一共计团伙。

步骤s703，查找处于同一预设组别的账号中的使用数据的业务交叉信息，将所述业务交叉信息作为待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御。

进一步地，所述步骤s701，包括：

提取所述目标使用数据的账户标识信息、破解信息以及访问业务数据信息；根据所述账户标识信息、破解信息以及访问业务数据信息得到所述目标使用数据对应的账号的相似度。

在本实施例中，对不同异常数据的账户相关标识，例如公用的ip、设备等进行聚集分析，存在交叉使用相同攻击资源的账户可以归集为同一个攻击团伙；对于不同的破解手法进行聚集分析，例如不同账户使用同一种模拟器版本且其所篡改的标识、操作的频次等具有相似性，可以归集为一个攻击团伙；对不同团伙活跃的业务数据进行统计，分析出不同团伙高活跃的业务场景，从而实现异常团伙的识别。

本实施例提供的方案，由于对于大型互联网公司来说，其可被攻击的资源较多，因此不同的黑产团伙攻击的目标是不尽相同的，而本实施例可针对不同攻击工作室或者个体，做到有目的标识，对账户进行合理的攻击刻画，并标记处不同黑产团伙各自攻击的目标，辅助业务更加有目的保护资源。

本发明进一步提供一种网站防御装置。

参照图5，图5为本发明网站防御装置第一实施例的功能模块示意图。

本发明网站防御装置第一实施例中，该网站防御装置包括：

获取模块10，用于获取待防御网站的使用数据。

需要说明的是，本实施例的执行主体为网站防御设备，还可为其他可实现相同或相似功能的设备，本实施例对此不作限制，在本实施例中，以网站防御设备为例进行说明。

可以理解的是，所述使用数据为在被保护网站多个业务关键点部署采集器采集的，且多个采集器采集的数据需要通过账户或者其他关联性标识进行关联，例如使用账户与该账户的设备标识信息以及其他相关信息进行关联，从而更全面的得到使用账号信息，实现对账户的有效分析。

提取模块20，用于提取所述使用数据中的预设特征信息。

需要说明的是，所述预设特征信息包括业务信息、设备特征信息、软件环境信息、网络特征信息以及用户交互特征信息中至少一项。

在本实施例中，针对一次业务交互，系统可以将结合业务数据、设备特征、软件环境、网络特征、用户交互特征，综合性对实时的业务发生数据进行风险识别。

其中，业务信息为包含用户注册的用户昵称、密码、填写的内容等，对业务数据是否符合机器的规律性进行有效判别。设备特征信息为对当前设备的合法性进行判别，有效的识别使用虚假、篡改设备进行业务操作，例如是否是模拟器、是否对标识进行篡改、分辨率等是否符合当前设备真实值等。软件环境信息为对当前设备运行的软件环境进行风险识别，有效识别对当前软件运行环境进行入侵、篡改、截取等操作。网络特征信息为对当前业务操作的网络环境安全性进行识别，例如网络被代理、修改等。用户交互特征信息为对用户操作的行为进行有效识别，判别其是否符合机器的操作行为，可以使用用户交互的鼠标指针轨迹、点触轨迹、屏幕按压力度、陀螺仪等数据。

分析模块30，用于对所述预设特征信息进行综合分析，得到参考异常账户信息。

其中，所述对所述预设特征信息进行综合分析，得到参考异常账户信息，包括：

提取所述预设特征信息中的用户行为信息，以及所述用户行为信息对应的待防御网站的网页加载信息；在所述用户行为信息未匹配所述网页加载信息时，得到所述用户行为信息对应的参考异常账户信息。

需要说明的是，通过对以上维度的数据进行联合判断，例如将轨迹与页面加载的元素位置进行综合评价，识别轨迹信息是否匹配当前的页面加载环境，从而更近一步识别有风险的业务操作行为。

在本实施例中，使用多维度的数据，可以灵活针对不同类型攻击者注册的账户进行有效识别，提高整体识别系统的被绕过门槛。

查找模块40，用于查找所述参考异常账户信息的业务交互信息以及属性特征信息。

需要说明的是，所述业务交互信息包括账号访问的资源信息以及对应资源的响应信息，所述属性特征信息包括使用账号对应的设备的型号、分辨率设备的电量、陀螺仪等传感器等设备属性特征信息，还可包括其他相关的特征信息，本实施例对此不作限制。

所述分析模块30，还用于对所述业务交互信息以及属性特征信息进行关联分析，得到所述参考异常账户信息中的目标异常账户信息。

在本实施例中，通过对单个账户在多个业务点多次的交互数据进行关联分析，更近一步对单业务点漏判的数据进行分析，可以实现更大的风险识别覆盖率，同时提升对于账户风险定位的精准性

聚集模块50，用于对所述目标异常账户信息对应账号的使用数据进行聚集，得到目标异常使用数据。

可以理解的是，基于实时的风险识别、账户分析，可以对不同异常表现的数据进行合理的聚集，寻找出不同团伙操作的账户资源，同时可以定位不同团伙所活跃的业务交互点，帮助网站风控系统找出不同攻击者的攻击目标，做到有目的防御。

防御模块60，用于从所述目标使用数据中确定所述待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御。

本实施例通过上述方案，通过获取待防御网站的使用数据；提取所述使用数据中的预设特征信息；对所述预设特征信息进行综合分析，得到参考异常账户信息；查找所述参考异常账户信息的业务交互信息以及属性特征信息；对所述业务交互信息以及属性特征信息进行关联分析，得到所述参考异常账户信息中的目标异常账户信息；对所述目标异常账户信息对应账号的使用数据进行聚集，得到目标异常使用数据；从所述目标使用数据中确定所述待防御网站的待防御业务点信息，并对所述待防御业务点信息进行防御。通过对所述预设特征信息进行综合分析、使用账户的业务交互信息、属性特征信息以及对账号的使用数据进行聚集，对账户的使用数据进行层层分析，更有效地实现对黑产恶意账户的定位及识别，达到对网站的有效防御，从而保护网站的使用安全。

由于本网站防御装置采用了上述所有实施例的全部技术方案，因此至少具有上述实施例的技术方案所带来的所有有益效果，在此不再一一赘述。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有网站防御程序，所述网站防御程序被处理器执行如上文所述的网站防御方法的步骤。

由于本存储介质采用了上述所有实施例的全部技术方案，因此至少具有上述实施例的技术方案所带来的所有有益效果，在此不再一一赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个计算机可读存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台智能终端设备(可以是手机，计算机，终端设备，空调器，或者网络终端设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。