[发明专利]异动攻击的检测方法及装置、安全防护设备

说明书

本说明书实施例提供一种异动攻击的检测方法及装置、安全防护设备。所述方法包括：基于攻击维度和时间周期确定进行批量操作的操作群体；针对所述操作群体计算在每个所述时间周期内的攻击指标；基于多个时间周期对所述操作群体的所述攻击指标进行统计；以及基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。

技术领域

本说明书实施例涉及信息安全技术领域，特别涉及一种异动攻击的检测方法及装置、安全防护设备。

背景技术

在风险防控中，主动性风险对抗的往往是黑色产业团伙的批量攻击。例如批量注册是以获取利益为目标的利用虚假信息进行账号注册的行为，新账号往往伴随较好的新用户优惠活动，因此注册大量账号可以获取高额的利益；又例如批量优惠购买是利用大量已有的账号进行营销活动的套利行为，例如支付宝、淘宝等支付厂商或者电商网站有不定期的优惠活动，也会引起黑色产业的集中攻击。

目前业界没有为异动攻击的监控定制识别框架，对批量攻击的监控依赖于单点行为识别的统计。即传统的防护和监控方式一般着眼于单点行为，例如一个注册事件、一次优惠购买行为。

例如，批量注册的单点识别方法可以包括：

注册设备聚集，即用一个设备注册多个账号，基于设备标示能找出这些批量注册的账号进行管控；

行为聚集，由于批量注册是由同一个黑色产业的团伙操控，因此其后续行为具有批量性，可以通过行为序列的挖掘进行序列分析，并识别匹配序列的账号；

网络分析，注册者之间通过设备、环境可以进行关联，如果一个连通子图中有大量新注册账号，则意味着是一个批量注册的团伙。

上述识别防范可以提取出批量注册的“风险特征”，使用这些风险特征可以在单个注册时刻分析风险并加以拦截；这些传统的防护和监控方式的优点在于能够细致地识别风险。

应该注意，上面对技术背景的介绍只是为了方便对本说明书的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本说明书的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

发明内容

但是，发明人发现：传统方案针对单点行为进行一些防护和监控，但是无法以较高的视角观察全局，发现批量性异动攻击的问题。因此，传统的防护和监控方式的识别准确率和覆盖率不可兼得，精准识别会带来大量漏检，而广覆盖识别会造成识别不够精确。

针对上述问题的至少之一，本说明书实施例提供一种异动攻击的检测方法及装置、安全防护设备；期待既能够对批量操作进行准确的识别，又能够覆盖较多的风险。

根据本说明书实施例的第一个方面，提供一种异动攻击的检测方法，包括：

基于攻击维度和时间周期确定进行批量操作的操作群体；其中所述攻击维度包括属性值相同的一个或多个属性；

针对所述操作群体计算在每个所述时间周期内的攻击指标；

基于多个时间周期对所述操作群体的所述攻击指标进行统计；以及

基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。

根据本说明书实施例的第二个方面，提供一种异动攻击的检测装置，包括：

群体确定单元，其基于攻击维度和时间周期确定进行批量操作的操作群体；其中所述攻击维度包括属性值相同的一个或多个属性；

指标计算单元，其针对所述操作群体计算在每个所述时间周期内的攻击指标；

指标统计单元，其基于多个时间周期对所述操作群体的所述攻击指标进行统计；以及

攻击确定单元，其基于统计结果确定所述操作群体是否属于进行异动攻击的操作群体。