一种检测恶意行为的方法及装置制造方法

一种检测恶意行为的方法及装置制造方法
【专利摘要】本发明公开了一种检测恶意行为的方法及装置，属于互联网领域。该方法包括：接收终端待执行的操作的操作请求消息，该操作请求消息中携带用户的用户标识和待执行的操作的操作标识；根据用户标识，从已存储的用户标识与操作路径的对应关系中获取对应的操作路径，操作路径是由终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的；在获取的操作路径包括的最后一个操作标识之后串联待执行的操作的操作标识，构成待执行的操作当前所在的操作路径；根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路径，判断待执行的操作是否为恶意行为。本发明不管恶意分子如何改变操作请求消息中的源地址，服务器都可以检测出恶意行为。
【专利说明】一种检测恶意行为的方法及装置

【技术领域】
[0001] 本发明涉及互联网领域，特别涉及一种检测恶意行为的方法及装置。

【背景技术】
[0002] 随着互联网技术的快速发展，用户在互联网上进行的操作会越来越频繁，与此同 时，一些恶意分子开发自动访问程序来自动地在互联网上进行恶意扫号、暴力破解用户标 识的密码，以及利用破解的用户标识发送垃圾消息和盗取财产等自动化恶意行为，所以检 测恶意行为的方法受到了广泛地关注。
[0003] 目前，检测恶意行为的方法具体可以为：终端向服务器发送操作请求消息，该操作 请求消息中携带源地址和目的地址，服务器接收该操作请求消息，将该操作请求消息中携 带的源地址确定为该终端的IP(InternetProtocol，互联网网络协议）地址；服务器判断 已存储的恶意IP地址中是否存在该终端的IP地址，如果存在，则确定该终端待执行的操作 为恶意行为，否则，确定该终端待执行的操作不为恶意行为；当确定该终端待执行的操作为 恶意行为时，服务器可以直接拦截该终端待执行的操作，也可以向该终端发送一个验证码， 对该终端的身份进一步进行验证。
[0004] 在实现本发明的过程中，发明人发现现有技术至少存在以下问题：
[0005] 由于恶意分子向服务器发送操作请求消息时可能会通过代理服务器转发，代理服 务器将该操作请求消息中的源地址改变为自身的IP地址，此时服务器接收的操作请求消 息中携带的IP地址为代理服务器的IP地址，而不是恶意分子对应的终端的IP地址，并且 当恶意分子通过不同的代理服务器发送操作请求消息时，服务器接收的操作请求消息中携 带的IP地址也会不同，如此，服务器侧可能就不会检测到恶意分子的行为；此外，由于手机 终端的IP地址不稳定，当用户使用手机终端且该手机终端的IP地址为恶意IP地址时，会 将用户执行的操作判定为恶意行为。


【发明内容】

[0006] 为了解决现有技术的问题，本发明实施例提供了一种检测恶意行为的方法及装 置。所述技术方案如下：
[0007] -方面，提供了一种检测恶意行为的方法，所述方法包括：
[0008] 接收终端待执行的操作的操作请求消息，所述操作请求消息中携带用户的用户标 识和待执行的操作的操作标识；
[0009] 根据所述用户标识，从已存储的用户标识与操作路径的对应关系中获取对应的操 作路径，所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的 操作标识构成的；
[0010] 在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标 识，构成所述待执行的操作当前所在的操作路径；
[0011] 根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径，判断 所述待执行的操作是否为恶意行为。
[0012] 另一方面，提供了一种检测恶意行为的装置，所述装置包括：
[0013] 接收模块，用于接收终端待执行的操作的操作请求消息，所述操作请求消息中携 带用户的用户标识和待执行的操作的操作标识；
[0014] 获取模块，用于根据所述用户标识，从已存储的用户标识与操作路径的对应关系 中获取对应的操作路径，所述操作路径是由所述终端在离当前时间最近的预设时间段之内 已执行的操作的操作标识构成的；
[0015] 串联模块，用于在所述操作路径包括的最后一个操作标识之后串联所述待执行的 操作的操作标识，构成所述待执行的操作当前所在的操作路径；
[0016] 第一判断模块，用于根据已存储的恶意操作路径集合和所述待执行的操作当前所 在的操作路径，判断所述待执行的操作是否为恶意行为。
[0017] 在本发明实施例中，由于恶意分子开发自动机时，会在自动机中设置固定的操作 路径，当恶意分子改变自动机中的操作路径时成本较高且花费的时间较长；所以本发明实 施例中，服务器不会直接根据终端的IP地址判断待执行的操作是否为恶意行为，而是根据 待执行的操作的操作请求消息中携带的用户标识和待执行的操作的操作标识，获取待执行 的操作当前所在的操作路径，根据待执行的操作当前所在的操作路径判断待执行的操作是 否为恶意行为。如此，不管恶意分子如何改变操作请求消息中的源地址，服务器都可以检测 出恶意行为，并且服务器不会将使用手机终端等IP地址不稳定的用户执行的操作判定为 恶意彳丁为。

【专利附图】

【附图说明】
[0018] 为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使 用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于 本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他 的附图。
[0019] 图1是本发明实施例一提供的一种检测恶意行为的方法流程图；
[0020] 图2是本发明实施例二提供的一种检测恶意行为的系统架构图；
[0021] 图3是本发明实施例二提供的一种检测恶意行为的方法流程图；
[0022] 图4是本发明实施例三提供的一种检测恶意行为的装置结构示意图。

【具体实施方式】
[0023] 为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方 式作进一步地详细描述。
[0024] 实施例一
[0025] 本发明实施例提供了一种检测恶意行为的方法，参见图1，该方法包括：
[0026] 步骤101 :接收终端待执行的操作的操作请求消息，该操作请求消息中携带用户 的用户标识和待执行的操作的操作标识；
[0027] 步骤102 :根据该用户标识，从已存储的用户标识与操作路径的对应关系中获取 对应的操作路径，该操作路径是由该终端在离当前时间最近的预设时间段之内已执行的操 作的操作标识构成的；
[0028] 步骤103:在获取的操作路径包括的最后一个操作标识之后串联待执行的操作的 操作标识，构成待执行的操作当前所在的操作路径；
[0029] 步骤104:根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路 径，判断待执行的操作是否为恶意行为。
[0030] 其中，根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路径，判 断待执行的操作是否为恶意行为，包括：
[0031] 如果已存储的恶意操作路径集合中存在待执行的操作当前所在的操作路径，则确 定待执行的操作为恶意行为。
[0032] 进一步地，该方法还包括：
[0033] 如果已存储的恶意操作路径集合中不存在待执行的操作当前所在的操作路径，则 根据该用户标识和待执行的操作当前所在的操作路径，查找已存储的用户标识、操作路径 和操作次数的对应关系；
[0034] 如果查找到对应的操作次数，则根据查找到的操作次数和待执行的操作当前所在 的操作路径，判断待执行的操作是否为恶意行为。
[0035] 其中，根据查找到的操作次数和待执行的操作当前所在的操作路径，判断待执行 的操作是否为恶意行为，包括：
[0036] 如果查找到的操作次数达到第一预设阈值，则根据待执行的操作当前所在的操作 路径，从该用户标识、操作路径和操作次数的对应关系中获取对应的用户标识；
[0037] 根据获取的用户标识，从已存储的用户标识与常用IP地址的对应关系中获取对 应的常用IP地址；
[0038] 确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标 识；
[0039] 计算确定出的用户标识的个数与获取的用户标识的个数之间的比值；
[0040] 如果该比值大于第二预设阈值，则确定该待执行的操作为恶意行为。
[0041] 进一步地，如果该比值大于第二预设阈值，则确定待执行的操作为恶意行为之后， 还包括：
[0042] 将待执行的操作当前所在的操作路径确定为恶意操作路径，并存储在该恶意操作 路径集合中。
[0043] 进一步地，该方法还包括：
[0044] 如果没有查找到对应的操作次数，则为该用户标识和待执行的操作当前所在的操 作路径设置对应的操作次数，并将该用户标识、待执行的操作当前所在的操作路径和设置 的操作次数存储在该用户标识、操作路径和操作次数的对应关系中。
[0045] 可选地，该方法还包括：
[0046] 接收管理员输入的恶意操作路径，将接收的恶意操作路径存储在该恶意操作路径 集合中。
[0047] 在本发明实施例中，由于恶意分子开发自动机时，会在自动机中设置固定的操作 路径，当恶意分子改变自动机中的操作路径时成本较高且花费的时间较长；所以本发明实 施例中，服务器不会直接根据终端的IP地址判断待执行的操作是否为恶意行为，而是根据 待执行的操作的操作请求消息中携带的用户标识和待执行的操作的操作标识，获取待执行 的操作当前所在的操作路径，根据待执行的操作当前所在的操作路径判断待执行的操作是 否为恶意行为。如此，不管恶意分子如何改变操作请求消息中的源地址，服务器都可以检测 出恶意行为，并且服务器不会将使用手机终端等IP地址不稳定的用户执行的操作判定为 恶意彳丁为。
[0048] 实施例二
[0049] 本发明实施例提供了一种检测恶意行为的方法。其中，在如图2所示的系统架构 图中包括用户侧和网络侧，网络侧包括接入服务器、策略服务器、路径计算服务器和一个或 多个业务服务器，且接入服务器、策略服务器、路径计算服务器和一个或多个业务服务器可 以是单独的服务器，也可以是同一服务器上不同的功能模块。参见图3,该方法包括：
[0050] 步骤201 :终端向接入服务器发送待执行的操作的操作请求消息，该操作请求消 息中携带用户的用户标识和待执行的操作的操作标识；
[0051] 其中，该操作请求消息是终端用于请求待执行的操作的操作标识对应的操作。例 如，终端待执行的操作为访问QQ邮箱，则待执行的操作的操作标识为QQ邮箱的标识，该操 作请求消息为访问QQ邮箱的请求消息。
[0052] 其中，本发明实施例中的终端可以为用户对应的终端，也可以为恶意分子开发的 自动机，该自动机执行操作的操作路径是固定的。
[0053] 步骤202 :接入服务器接收该操作请求消息，并将该用户标识和待执行的操作的 操作标识发送给策略服务器；
[0054] 步骤203 :策略服务器接收该用户标识和待执行的操作的操作标识，根据该用户 标识，从已存储的用户标识与操作路径的对应关系中获取对应的操作路径，该操作路径是 由终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的；
[0055] 其中，由于自动机执行一条操作路径的速度较快，所以可以根据自动机执行一条 操作路径的时间设置一个预设时间段，自动机可以在该预设时间段之内执行一条操作路 径。由于每个自动机中的操作路径是预先设置的固定操作路径，并且每条操作路径中都包 括一个起始操作，当策略服务器接收到待执行的操作的操作标识时，判断该待执行的操作 的操作标识是否为起始操作的操作标识，如果是，则开始对预设时间段进行计时，将该自动 机在该预设时间段之内已执行的操作构成一条操作路径。例如，自动机通过已经破解的用 户的用户帐号进行恶意行为，则自动机中设置的操作路径包括的起始操作为登录该用户的 用户帐号，当策略服务器接收到登录该用户的用户帐号的操作标识时，开始对预设时间段 进行计时，将该预设时间段之内执行的操作的操作标识构成一条操作路径。
[0056] 其中，在本发明实施例中，可以在策略服务器中设置一个时间间隔，策略服务器可 以统计终端在该时间间隔中执行同一操作的次数，根据该终端在该时间间隔中执行同一操 作的次数确定该终端执行一条操作路径的起始操作。例如，终端执行一条操作路径的起始 操作为登录用户帐号，当终端的IP地址变化时，终端可能需要多次输入验证码才能成功登 录该用户帐号，所以策略服务器可以根据终端登录该用户帐号的次数确定终端执行一条操 作路径的起始操作。当策略服务器接收到起始操作的操作标识时，策略服务器重新开始 计时，并且从计时时间开始一个预设时间段中将已执行的操作的操作标识构成一条操作路 径，根据该操作路径判断待执行的操作是否为恶意行为。假如人为执行一条恶意操作路径 时，策略服务器可以在确定起始操作之后开始对预设时间段进行计时，将该预设时间段之 内已执行的操作的操作标识构成一条操作路径，当再次接收到该起始操作的操作标识时重 新开始对预设时间段进行计时。
[0057] 其中，策略服务器中事先存储用户标识与操作路径的对应关系，且存储的操作路 径是该用户标识对应的终端在离当前时间最近的预设时间段之内已执行的操作所在的操 作路径，已执行的操作所在的操作路径是根据已执行的操作的操作时间，将已执行的操作 的操作标识进行串联得到的。
[0058] 例如，该终端在离当前时间最近的预设时间段之内已执行的操作为先登录QQ、成 功登录QQ后从QQ主界面访问QQ空间以及从QQ空间进入拍拍网，假如，该终端对应的用户 的用户标识为Userl,登录QQ的操作标识为Namel,访问QQ空间的操作标识为Name2,进入 拍拍网的操作标识为Name3，则根据已执行的操作的操作时间，将已执行的操作的操作标识 进行串联，得到已执行的操作所在的操作路径为Namel-Name2-Name3,将用户标识Userl和 操作路径Name1-Name2-Name3存储在用户标识与操作路径的对应关系中。
[0059] 其中，一个终端在一个预设时间段对应一个操作路径，当该时间段结束时，策略服 务器可以清除该终端在该预设时间段内的操作路径。
[0060] 例如，该用户标识为Userl，根据该用户标识Userl，从如下表1所示的用户标识与 操作路径的对应关系中获取对应的操作路径为Name1-Name2-Name3。
[0061]表1
[0062]

【权利要求】
1. 一种检测恶意行为的方法，其特征在于，所述方法包括： 接收终端待执行的操作的操作请求消息，所述操作请求消息中携带用户的用户标识和 所述待执行的操作的操作标识； 根据所述用户标识，从已存储的用户标识与操作路径的对应关系中获取对应的操作路 径，所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的操作 标识构成的； 在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标识，构 成所述待执行的操作当前所在的操作路径； 根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径，判断所述 待执行的操作是否为恶意行为。
2. 如权利要求1所述的方法，其特征在于，所述根据已存储的恶意操作路径集合和所 述待执行的操作当前所在的操作路径，判断所述待执行的操作是否为恶意行为，包括： 如果已存储的恶意操作路径集合中存在所述待执行的操作当前所在的操作路径，则确 定所述待执行的操作为恶意行为。
3. 如权利要求2所述的方法，其特征在于，所述方法还包括： 如果已存储的恶意操作路径集合中不存在所述待执行的操作当前所在的操作路径，则 根据所述用户标识和所述待执行的操作当前所在的操作路径，查找已存储的用户标识、操 作路径和操作次数的对应关系； 如果查找到对应的操作次数，则根据查找到的操作次数和所述待执行的操作当前所在 的操作路径，判断所述待执行的操作是否为恶意行为。
4. 如权利要求3所述的方法，其特征在于，所述根据查找到的操作次数和所述待执行 的操作当前所在的操作路径，判断所述待执行的操作是否为恶意行为，包括： 如果查找到的操作次数达到第一预设阈值，则根据所述待执行的操作当前所在的操作 路径，从所述用户标识、操作路径和操作次数的对应关系中获取对应的用户标识； 根据获取的用户标识，从已存储的用户标识与常用IP地址的对应关系中获取对应的 常用IP地址； 确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标识； 计算确定出的用户标识的个数与获取的用户标识的个数之间的比值； 如果所述比值大于第二预设阈值，则确定所述待执行的操作为恶意行为。
5. 如权利要求4所述的方法，其特征在于，所述如果所述比值大于第二预设阈值，则确 定所述待执行的操作为恶意行为之后，还包括： 将所述待执行的操作当前所在的操作路径确定为恶意操作路径，并存储在所述恶意操 作路径集合中。
6. 如权利要求3所述的方法，其特征在于，所述方法还包括： 如果没有查找到对应的操作次数，则为所述用户标识和所述待执行的操作当前所在的 操作路径设置对应的操作次数，并将所述用户标识、所述待执行的操作当前所在的操作路 径和设置的操作次数存储在所述用户标识、操作路径和操作次数的对应关系中。
7. 如权利要求1所述的方法，其特征在于，所述方法还包括： 接收管理员输入的恶意操作路径，将接收的恶意操作路径存储在所述恶意操作路径集 合中。
8. -种检测恶意行为的装置，其特征在于，所述装置包括： 接收模块，用于接收终端待执行的操作的操作请求消息，所述操作请求消息中携带用 户的用户标识和待执行的操作的操作标识； 获取模块，用于根据所述用户标识，从已存储的用户标识与操作路径的对应关系中获 取对应的操作路径，所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执 行的操作的操作标识构成的； 串联模块，用于在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作 的操作标识，构成所述待执行的操作当前所在的操作路径； 第一判断模块，用于根据已存储的恶意操作路径集合和所述待执行的操作当前所在的 操作路径，判断所述待执行的操作是否为恶意行为。
9. 如权利要求8所述的装置，其特征在于，所述第一判断模块包括： 第一确定单元，用于如果已存储的恶意操作路径集合中存在所述待执行的操作当前所 在的操作路径，则确定所述待执行的操作为恶意行为。
10. 如权利要求9所述的装置，其特征在于，所述装置还包括： 查找模块，用于如果已存储的恶意操作路径集合中不存在所述待执行的操作当前所在 的操作路径，则根据所述用户标识和所述待执行的操作当前所在的操作路径，查找已存储 的用户标识、操作路径和操作次数的对应关系； 第二判断模块，用于如果查找到对应的操作次数，则根据查找到的操作次数和所述待 执行的操作当前所在的操作路径，判断所述待执行的操作是否为恶意行为。
11. 如权利要求10所述的装置，其特征在于，所述第二判断模块包括： 第一获取单元，用于如果查找到的操作次数达到第一预设阈值，则根据所述待执行的 操作当前所在的操作路径，从所述用户标识、操作路径和操作次数的对应关系中获取对应 的用户标识； 第二获取单元，用于根据获取的用户标识，从已存储的用户标识与常用IP地址的对应 关系中获取对应的常用IP地址； 第二确定单元，用于确定获取的用户标识对应的终端的IP地址与其对应的常用IP地 址不同的用户标识； 计算单元，用于计算确定出的用户标识的个数与获取的用户标识的个数之间的比值； 第三确定单元，用于如果所述比值大于第二预设阈值，则确定所述待执行的操作为恶 意行为。
12. 如权利要求11所述的装置，其特征在于，所述第二判断模块还包括： 存储单元，用于将所述待执行的操作当前所在的操作路径确定为恶意操作路径，并存 储在所述恶意操作路径集合中。
13. 如权利要求10所述的装置，其特征在于，所述装置还包括： 第一存储模块，用于如果没有查找到对应的操作次数，则为所述用户标识和所述待执 行的操作当前所在的操作路径设置对应的操作次数，并将所述用户标识、所述待执行的操 作当前所在的操作路径和设置的操作次数存储在所述用户标识、操作路径和操作次数的对 应关系中。
14.如权利要求8所述的装置，其特征在于，所述装置还包括： 第二存储模块，用于接收管理员输入的恶意操作路径，将接收的恶意操作路径存储在 所述恶意操作路径集合中。
【文档编号】H04L29/06GK104426881SQ201310394868
【公开日】2015年3月18日 申请日期:2013年9月3日 优先权日:2013年9月3日
【发明者】林宇东, 涂杰, 张东蕊 申请人:深圳市腾讯计算机系统有限公司