一种恶意行为的阻断方法及装置的制造方法
【技术领域】
[0001] 本申请涉及计算机技术领域,尤其涉及一种恶意行为的阻断方法及装置。
【背景技术】
[0002] 随着计算机和网络技术的不断发展,用户已经可以通过在网站上注册账号来得到 网站所提供的各种服务。但随之而来的就是不法分子盗取并使用他人的账号进行恶意行 为。
[0003] 例如,用户在某电子商务网站上注册了账号,并为该账号的余额进行了充值,用以 使用该账号的余额购买商品,但如果不法分子盗取了该用户的账号,则可通过该用户的账 号中的余额非法牟取利益,也即,对于不法分子通过盗取的账号购买商品的行为而言,这个 行为就是恶意行为。
[0004] 尤其是目前很多用户在各个不同的网站上都使用相同的账号和密码,这样,一旦 其中一个网站的账号被盗,就相当于其他网站的账号均被盗,会造成巨大损失。
[0005] 在现有技术中,为了辨识出用户在网站上的行为是普通用户的合法行为还是不法 分子的恶意行为,一般需要预先对大量的历史数据进行分析,以提取出恶意行为的特征,再 针对待定行为,判断该待定行为的特征是否符合恶意行为的特征,若符合,则判定该待定行 为是恶意行为并阻止,否则允许该待定行为的进行。
[0006] 但是,由于历史数据是海量的,而且其中恶意行为所占的比重毕竟很小,分析这些 海量的历史数据不仅效率低下,会消耗服务器大量的计算资源,而且提取的恶意行为的特 征的准确性也很低,容易造成漏判和误判。
【发明内容】
[0007] 本申请实施例提供一种恶意行为的阻断方法及装置,用以解决现有技术中提取恶 意行为的特征的效率和准确性较低,不能有效阻断恶意行为的问题。
[0008] 本申请实施例提供的一种恶意行为的阻断方法,包括:
[0009] 监控方设备预先生成测试账号;并
[0010] 在所述监控方设备和服务提供方设备上注册所述测试账号;
[0011] 所述监控方设备在接收到通过所述测试账号发来的操作请求时,记录所述操作请 求的发送特征,作为恶意特征;以及
[0012] 针对待定行为,根据记录的恶意特征判断所述待定行为是否为恶意行为;
[0013] 若是,则阻断所述待定行为;
[0014] 否则,允许执行所述待定行为。
[0015] 本申请实施例提供的一种恶意行为的阻断装置,包括:
[0016] 生成模块,用于预先生成测试账号;
[0017] 注册模块,用于在所述装置和服务提供方设备上注册所述测试账号;
[0018] 监控模块,用于在接收到通过所述测试账号发来的操作请求时,记录所述操作请 求的发送特征,作为恶意特征;
[0019] 阻断模块,用于针对待定行为,根据记录的恶意特征判断所述待定行为是否为恶 意行为,若是,则阻断所述待定行为,否则,允许执行所述待定行为。
[0020] 本申请实施例提供一种恶意行为的阻断方法及装置,该方法监控方设备预先生成 测试账号,并注册在该监控方设备和服务提供方设备上,当监控方设备接收到通过该测试 账号发来的操作请求时,将本次的发送特征记录为恶意特征,针对待定行为,则根据记录的 恶意特征判断该待定行为是否为恶意行为,若是,则阻断该待定行为,否则放行该待定行 为。上述方法无需分析海量的历史数据即可得到恶意行为的特征,从而可有效提高获得恶 意行为的特征的效率,而且准确性也较高,可有效阻断恶意行为,避免出现漏判和误判。
【附图说明】
[0021] 此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申 请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0022] 图1为本申请实施例提供的恶意行为的阻断过程;
[0023] 图2为本申请实施例提供的恶意行为的阻断装置结构示意图。
【具体实施方式】
[0024] 由于现有技术中需要对海量的历史数据进行分析,以提取出恶意行为的特征,这 种方法过于被动,需要从大量正常行为中筛选出恶意行为并提取特征,因此不仅效率低下, 而且准确性也很低。而本申请实施例通过在服务提供方设备(例如,网站服务器、应用服务 器等)上注册无人使用的测试账号来对恶意行为进行监控,一旦发现有人通过该测试账号 发送了操作请求,即可确定该操作一定是恶意行为,从而直接将该操作请求的发送特征记 录为恶意特征,可有效提高获得恶意行为的特征的效率,而且准确性也较高,后续则可根据 记录的该恶意特征对待定行为进行判定,当将待定行为判定为恶意行为时,则阻断该待定 行为,也可有效阻断恶意行为,避免漏判和误判。
[0025] 为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及 相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一 部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0026] 图1为本申请实施例提供的恶意行为的阻断过程,具体包括以下步骤:
[0027] S101 :监控方设备预先生成测试账号。
[0028] 在本申请实施例中,所述的监控方设备既可以是某个服务提供方设备本身,也可 以是单独的一个设备,例如,可以将某个网站(如电子商务网站)或某个应用的服务器作为 监控方设备,也可以独立于任何网站和应用单独设立监控方设备。
[0029] 具体的,监控方设备可预先生成并没有实际用户使用的测试账号,生成的测试账 号也可称之为虚拟账号。
[0030] S102 :在监控方设备和服务提供方设备上注册该测试账号。
[0031] 生成了没有实际用户使用的测试账号后,监控方设备则可在服务提供方设备上注 册该测试账号。本申请实施例中所述的服务提供方设备可以是网站或应用的服务器。例如, 监控方设备可将该测试账号注册在该监控方设备自身上,并在已知的钓鱼网站上注册该测 试账号,还可在一些知名的网站上注册该测试账号,也可在一些应用上注册该测试账号。
[0032] 其中,注册在监控方设备自身以及其他服务提供方设备上的该测试账号对应的密 码可以相同,也可以不同。
[0033] S103 :监控方设备在接收到通过该测试账号发来的操作请求时,记录该操作请求 的发送特征,作为恶意特征。
[0034] 在本申请实施例中,由于监控方设备生成的测试账号是没有实际用户使用的账 号,因此,当监控方设备将该测试账号注册在该监控方设备自身和服务提供方设备上后,如 果后续接收到通过该测试账号发来的操作请求,则可确定通过该测试账号发来的操作请求 一定是恶意行为,因此记录该操作请求的发送特征,作为恶意特征。
[0035] 例如,假设将某电商网站的服务器A作为监控方设备,则服务器A生成测试账号1, 该测试账号1并没有用户使用,服务器A将该测试账号1注册在服务器A自身上,并将该测 试账号注册在钓鱼网站的服务器B、某知名网站的服务器C、以及某个应用的服务器D上。这 是为了模拟实际应用场景中很多用户在不同服务提供方设备上注册账号时均使用相同的 账号的场景。
[0036] 由于测试账号1是该服务器A生成的,实际上并没有任何用户去使用该测试账号 1,而不法分子在服务器B、服务器C、服务器D上盗取了测试账号1后,一般会逐个在其他网 站的服务器上试用该测试账号1进行登录并进行恶意操作,因此,服务器A将该测试账号1 注册在服务器B、服务器C和服务器D上后,如果接收到通过该测试账号1发来的登录请求 (该登录请求即为操作请求),则说明一定有不法分子在服务器A~D之一上盗取了该测试 账号1,并试图通过该测试账号1登录服务器A,由此可确定本次通过该测试账号1进行的 登录操作就是恶意操作,因此,可将本次接收到的该操作请求的发送特征记录为恶意特征。 [0037] 由于在实际应用场景中,不法分子在盗号并通过