web恶意用户的检测方法及装置

1.一种web恶意用户的检测方法，包括：
接收web访问请求；
判断所述web访问请求是否为登录请求，若是，则获取相应的用户帐户及对应的登录信息并缓存；
在所述web访问请求不为登录请求时，在缓存中查找与不为登录请求的web访问请求对应的登录信息，获取相应的用户帐户；
判断所述不为登录请求的web访问请求是否为web攻击请求，若是，则添加与所述用户帐户对应的攻击记录；
根据所述攻击记录的次数判断所述用户帐户是否为恶意用户帐户。
2.根据权利要求1所述的web恶意用户的检测方法，其特征在于，所述判断所述web访问请求是否为登录请求的步骤为：
获取所述web访问请求的url，判断其是否为预设的登录路径，若是，则所述web访问请求为登录请求。
3.根据权利要求1所述的web恶意用户的检测方法，其特征在于，所述判断所述web访问请求是否为登录请求的步骤为：
解析所述web访问请求，判断其中是否包含预设的关键字符串，若是，则所述web访问请求为登录请求。
4.根据权利要求1所述的web恶意用户的检测方法，其特征在于，所述根据所述攻击记录的次数判断所述用户帐户是否为恶意用户帐户的步骤为：
判断所述攻击记录的数量经加权后是否大于或等于阈值，若是，则判定所述用户帐户为恶意用户帐户。
5.根据权利要求1所述的web恶意用户的检测方法，其特征在于，所述在缓存中查找与不为登录请求的web访问请求对应的登录信息，获取相应的用户帐户的步骤为：
获取不为登录请求的web访问请求对应的网络地址，在缓存中查找与所述网络地址对应的登录信息，获取所述登录信息对应的用户帐户。
6.一种web恶意用户的检测装置，其特征在于，包括：
请求接收模块，用于接收web访问请求；
登录检测模块，用于判断所述web访问请求是否为登录请求，若是，则获取相应的用户帐户及对应的登录信息并缓存；
帐户查找模块，用于在所述web访问请求不为登录请求时，在缓存中查找与不为登录请求的web访问请求对应的登录信息，获取相应的用户帐户；
攻击判定模块，用于判断所述不为登录请求的web访问请求是否为web攻击请求，若是，则添加与所述用户帐户对应的攻击记录；
恶意用户判定模块，用于根据所述攻击记录的次数判断所述用户帐户是否为恶意用户帐户。
7.根据权利要求6所述的web恶意用户的检测装置，其特征在于，所述登录检测模块还用于获取所述web访问请求的url，判断所述web访问请求是否为预设的登录路径，若是，则所述web访问请求为登录请求。
8.根据权利要求6所述的web恶意用户的检测装置，其特征在于，所述登录检测模块还用于解析所述web访问请求，判断其中是否包含预设的关键字符串，若是，则所述web访问请求为登录请求。
9.根据权利要求6所述的web恶意用户的检测装置，其特征在于，所述恶意用户判定模块还用于判断所述攻击记录的数量经加权后是否大于或等于阈值，若是，则判定所述用户帐户为恶意用户帐户。
10.根据权利要求6所述的web恶意用户的检测装置，其特征在于，所述帐户查找模块还用于获取不为登录请求的web访问请求对应的网络地址，在缓存中查找与所述网络地址对应的登录信息，获取所述登录信息对应的用户帐户。

web恶意用户的检测方法及装置\n技术领域\n[0001] 本发明涉及网络安全技术领域，特别是涉及一种web恶意用户的检测方法及装置。\n背景技术\n[0002] 现在的web防护中，web系统的安全问题绝大部分都是因为系统对用户的输入处理不严谨引起的。而攻击者注册账号获取输入权限后，就获取后攻击系统的最佳路径。企业为了防止这类攻击，现有的方法大部分都是用WEB防火墙，web防火墙发现当前连接有攻击时，就阻断当前连接。\n[0003] 然而，由于现有的web防火墙不能识别攻击者账号，导致这个攻击者依旧可利用这个账号，进一步攻击，而企业却不能对当前攻击账号作进一步防御。因此，传统技术中web防火墙的安全防护的安全性不足。\n发明内容\n[0004] 基于此，有必要提供一种能够提高安全性的web恶意用户的检测方法。\n[0005] 一种web恶意用户的检测方法，包括：\n[0006] 接收web访问请求；\n[0007] 判断其是否为登录请求，若是，则获取相应的用户帐户及对应的登录信息并缓存；\n[0008] 在所述web访问请求不为登录请求时，在缓存中查找与所述web访问请求对应的登录信息，获取相应的用户帐户；\n[0009] 判断其是否为web攻击请求，若是，则添加与所述用户帐户对应的攻击记录；\n[0010] 根据所述攻击记录判断所述用户帐户是否为恶意用户帐户。\n[0011] 在其中一个实施例中，所述判断其是否为登录请求的步骤为：\n[0012] 获取所述web访问请求的url，判断其是否为预设的登录路径，若是，则所述web访问请求为登录请求。\n[0013] 在其中一个实施例中，所述判断其是否为登录请求的步骤为：\n[0014] 解析所述web访问请求，判断其中是否包含预设的关键字符串，若是，则所述web访问请求为登录请求。\n[0015] 在其中一个实施例中，所述根据所述攻击记录判断所述用户帐户是否为恶意用户帐户的步骤为：\n[0016] 判断所述攻击记录的数量经加权后是否大于或等于阈值，若是，则判定所述用户帐户为恶意用户帐户。\n[0017] 在其中一个实施例中，所述在缓存中查找与所述web访问请求对应的登录信息，获取相应的用户帐户的步骤为：\n[0018] 获取所述web访问请求对应的网络地址，在缓存中查找与所述网络地址对应的登录信息，获取所述登录信息对应的用户帐户。\n[0019] 此外，还有必要提供一种能够提高安全性的web恶意用户的检测装置。\n[0020] 一种web恶意用户的检测装置，包括：\n[0021] 请求接收模块，用于接收web访问请求；\n[0022] 登录检测模块，用于判断其是否为登录请求，若是，则获取相应的用户帐户及对应的登录信息并缓存；\n[0023] 帐户查找模块，用于在所述web访问请求不为登录请求时，在缓存中查找与所述web访问请求对应的登录信息，获取相应的用户帐户；\n[0024] 攻击判定模块，用于判断其是否为web攻击请求，若是，则添加与所述用户帐户对应的攻击记录；\n[0025] 恶意用户判定模块，用于根据所述攻击记录判断所述用户帐户是否为恶意用户帐户。\n[0026] 在其中一个实施例中，所述登录检测模块还用于获取所述web访问请求的url，判断其是否为预设的登录路径，若是，则所述web访问请求为登录请求。\n[0027] 在其中一个实施例中，所述登录检测模块还用于解析所述web访问请求，判断其中是否包含预设的关键字符串，若是，则所述web访问请求为登录请求。\n[0028] 在其中一个实施例中，所述恶意用户判定模块还用于判断所述攻击记录的数量经加权后是否大于或等于阈值，若是，则判定所述用户帐户为恶意用户帐户。\n[0029] 在其中一个实施例中，所述帐户查找模块还用于获取所述web访问请求对应的网络地址，在缓存中查找与所述网络地址对应的登录信息，获取所述登录信息对应的用户帐户。\n[0030] 上述web恶意用户的检测方法及装置中，由于在web防火墙或起到web防火墙作用的网关设备中，先将同一个登录用户的web访问请求划归到该用户帐户的类型下，然后对该用户帐户类型下的所有web访问请求进行安全检测得到攻击记录，并根据攻击记录判定恶意用户，使得管理员可对恶意用户发起的所有web访问请求进行屏蔽，使其发出的试探性的攻击请求也能被web防火墙所拦截，从而提高了web防护的安全性。\n附图说明\n[0031] 图1为一个实施例中一种web恶意用户的检测方法的流程图；\n[0032] 图2为一个实施例中一种web恶意用户的检测装置的结构示意图。\n具体实施方式\n[0033] 为解决上述安全性不足的问题，特提出了一种web恶意用户的检测方法。该方法完全依赖于计算机程序，该计算机程序可运行于基于冯洛伊曼体系的计算机系统上。该计算机系统可以是web防火墙设备、具有防火墙功能的网关设备或网络交换设备等。\n[0034] 在本实施例中，如图1所示，该方法包括：\n[0035] 步骤S102：接收web访问请求。\n[0036] 在本实施例中，web服务器通常放置于web服务器托管机房中且接入机房内网。内网与外部广域网之间设置有web防火墙或起到web防火墙作用的网关设备。终端向web服务器发起的web访问请求通过广域网进入web服务器所在的机房的内网时，由运行本方法的web防火墙或起到web防火墙作用的网关设备所拦截。\n[0037] 步骤S104：判断其是否为登录请求，若是，则执行步骤S106，否则，执行步骤S108。\n[0038] web访问请求可分为登录请求和非登陆请求。登录请求即为用户登录web服务器上运行的web应用系统发起的web访问请求。请求中通常包括用户帐户名，用户帐户密码，验证码等信息。\n[0039] 在本实施例中，可根据预设的登录路径进行判定。具体的，判断web访问请求是否为登录请求的步骤为：获取web访问请求的url，判断其是否为预设的登录路径，若是，则web访问请求为登录请求。\n[0040] 例如，可预先在配置文件中添加登录路径：\n[0041] “www.abc1.com/login”\n[0042] “www.abc2.com/admin/login”\n[0043] ……\n[0044] 若用户要在web系统www.abc1.com上登录，则需要通过浏览器向web服务器发起web访问请求，且该web访问请求的url为www.abc1.com/login。而该web访问请求中还包括用户名、密码、验证码等登录参数信息。\n[0045] web恶意用户检测系统在拦截到web访问请求后，判断若接收到的web访问请求的url包含“www.abc1.com/login”，则该web访问请求的url即为该web应用系统的登录路径，则可将该web访问请求判定为登录请求。\n[0046] 在另一个实施例中，判断其是否为登录请求的步骤可具体为：解析web访问请求，判断其中是否包含预设的关键字符串，若是，则web访问请求为登录请求。\n[0047] web访问请求均为http请求或https请求，可根据http协议对web访问请求进行解析，判断其中是否包含username、password或login等关键字符串，若是，则判定web访问请求为登录请求。需要说明的是，对于https请求可要求终端上传证书，从而完成解析。\n[0048] 步骤S106：获取相应的用户帐户及对应的登录信息并缓存。\n[0049] 若web访问请求为登录请求，则如前所述，可通过对http协议的解析，获取用户帐户的帐户名和登录信息。登录信息可包括发起该web访问请求的终端的源网络地址(ip地址、域名、端口等信息)。\n[0050] 步骤S108：在缓存中查找与web访问请求对应的登录信息，获取相应的用户帐户。\n[0051] 若web访问请求不为登录请求，则该web访问请求可能由已登录的用户发起，因此可在缓存中查找该用户是否已发起过登录请求，并已获取相应的登录信息存储在web恶意用户检测系统的缓存中。\n[0052] 在本实施例中，在缓存中查找与web访问请求对应的登录信息，获取相应的用户帐户的步骤为：\n[0053] 获取web访问请求对应的网络地址，在缓存中查找与网络地址对应的登录信息，获取登录信息对应的用户帐户。\n[0054] 例如，接收到的web访问请求中可提取出发起该请求的终端的源IP地址、发起该请求的终端的源端口，该请求目标抵达的服务器的目标IP地址，该请求目标抵达的服务器的目标端口。然后在缓存中查找是否有相应的登录信息纪录，且其包含的源IP地址、源端口、目标IP地址、目标端口与web访问请求中提取的网络地址是否完全匹配，若是，则该登录信息匹配，可进而获取该登录信息对应的用户帐户。\n[0055] 而若在缓存中没有找到与web访问请求对应的网络地址，则表示该web访问请求为未登录用户发出，则可对其进行安全检测后将其转发。\n[0056] 步骤S110：判断其是否为web攻击请求，若是，则执行步骤S112。\n[0057] 步骤S112：添加与用户帐户对应的攻击记录。\n[0058] 步骤S114：根据攻击记录判断用户帐户是否为恶意用户帐户。\n[0059] web攻击请求可分为两种：试探性攻击请求和直接攻击请求。进行一些安全漏洞的试探性测试的web访问请求，在传统的web防火墙中通常不能阻断，但可以将其试探操作的记录与用户帐户绑定的，所以每一次的安全漏洞试探性测试的web访问请求，均被记录为当前用户的危险行为，记录到该用户的攻击记录中。\n[0060] 直接攻击请求即为上传网页木马、尝试sql注入、上传webshell等类型的web访问请求。可使用现有的网络安全防护策略对其进行检测，对于直接攻击请求，也将被存储攻击记录中。\n[0061] 在本实施例中，可根据攻击记录的次数判定恶意用户，具体的：判断攻击记录的数量经加权后是否大于或等于阈值，若是，则判定用户帐户为恶意用户帐户。\n[0062] 可对攻击行为分类，并为每种攻击类型设置权重系数，并根据攻击记录进行评分，将评分大于阈值的用户帐户判定为恶意用户。\n[0063] 例如，前述的试探性攻击请求的权重可设置的明显小于直接攻击请求的权重，而直接攻击请求又分为上传网页木马、尝试sql注入、上传webshell等类型，可为每种类型设置权重系数，然后统计攻击记录中包含的每种攻击类型的攻击次数，并乘以相应的权重，最终即可得到该用户的评分。\n[0064] 优选的，还可根据该评分对用户进行筛选并展示。例如，web服务器托管机房的网管可通过访问web恶意用户检测系统的管理页面，并在该页面上查看按照评分由高到低的用户的列表，从而方便管理员对评分较高的用户进行屏蔽。\n[0065] 在一个实施例中，如图2所示，一种web恶意用户的检测装置，包括请求接收模块\n102、登录检测模块104、帐户查找模块106、攻击判定模块108以及恶意用户判定模块110，其中：\n[0066] 请求接收模块102，用于接收web访问请求。\n[0067] 登录检测模块104，用于判断其是否为登录请求，若是，则获取相应的用户帐户及对应的登录信息并缓存。\n[0068] 帐户查找模块106，用于在所述web访问请求不为登录请求时，在缓存中查找与所述web访问请求对应的登录信息，获取相应的用户帐户。\n[0069] 攻击判定模块108，用于判断其是否为web攻击请求，若是，则添加与所述用户帐户对应的攻击记录。\n[0070] 恶意用户判定模块110，用于根据所述攻击记录判断所述用户帐户是否为恶意用户帐户。\n[0071] 在本实施例中，登录检测模块104还用于获取所述web访问请求的url，判断其是否为预设的登录路径，若是，则所述web访问请求为登录请求。\n[0072] 在另一个实施例中，登录检测模块104还用于获取所述web访问请求的url，判断其中是否包含预设的关键字符串，若是，则所述web访问请求为登录请求。\n[0073] 在本实施例中，恶意用户判定模块110还用于判断所述攻击记录的数量是否大于或等于阈值，若是，则判定所述用户帐户为恶意用户帐户。\n[0074] 在本实施例中，帐户查找模块106还用于获取所述web访问请求对应的网络地址，在缓存中查找与所述网络地址对应的登录信息，获取所述登录信息对应的用户帐户。\n[0075] 上述web恶意用户的检测方法及装置中，由于在web防火墙或起到web防火墙作用的网关设备中，先将同一个登录用户的web访问请求划归到该用户帐户的类型下，然后对该用户帐户类型下的所有web访问请求进行安全检测得到攻击记录，并根据攻击记录判定恶意用户，使得管理员可对恶意用户发起的所有web访问请求进行屏蔽，使其发出的试探性的攻击请求也能被web恶意用户检测系统所拦截，从而提高了web防护的安全性。\n[0076] 以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。