[发明专利]web恶意用户的检测方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，特别是涉及一种web恶意用户的检测方法及装置。

背景技术

现在的web防护中，web系统的安全问题绝大部分都是因为系统对用户的输入处理不严谨引起的。而攻击者注册账号获取输入权限后，就获取后攻击系统的最佳路径。企业为了防止这类攻击，现有的方法大部分都是用WEB防火墙，web防火墙发现当前连接有攻击时，就阻断当前连接。

然而，由于现有的web防火墙不能识别攻击者账号，导致这个攻击者依旧可利用这个账号，进一步攻击，而企业却不能对当前攻击账号作进一步防御。因此，传统技术中web防火墙的安全防护的安全性不足。

发明内容

基于此，有必要提供一种能够提高安全性的web恶意用户的检测方法。

一种web恶意用户的检测方法，包括：

接收web访问请求；

判断其是否为登录请求，若是，则获取相应的用户帐户及对应的登录信息并缓存；

在所述web访问请求不为登录请求时，在缓存中查找与所述web访问请求对应的登录信息，获取相应的用户帐户；

判断其是否为web攻击请求，若是，则添加与所述用户帐户对应的攻击记录；

根据所述攻击记录判断所述用户帐户是否为恶意用户帐户。

在其中一个实施例中，所述判断其是否为登录请求的步骤为：

获取所述web访问请求的url，判断其是否为预设的登录路径，若是，则所述web访问请求为登录请求。

在其中一个实施例中，所述判断其是否为登录请求的步骤为：

解析所述web访问请求，判断其中是否包含预设的关键字符串，若是，则所述web访问请求为登录请求。

在其中一个实施例中，所述根据所述攻击记录判断所述用户帐户是否为恶意用户帐户的步骤为：

判断所述攻击记录的数量经加权后是否大于或等于阈值，若是，则判定所述用户帐户为恶意用户帐户。

在其中一个实施例中，所述在缓存中查找与所述web访问请求对应的登录信息，获取相应的用户帐户的步骤为：

获取所述web访问请求对应的网络地址，在缓存中查找与所述网络地址对应的登录信息，获取所述登录信息对应的用户帐户。

此外，还有必要提供一种能够提高安全性的web恶意用户的检测装置。

一种web恶意用户的检测装置，包括：

请求接收模块，用于接收web访问请求；

登录检测模块，用于判断其是否为登录请求，若是，则获取相应的用户帐户及对应的登录信息并缓存；

帐户查找模块，用于在所述web访问请求不为登录请求时，在缓存中查找与所述web访问请求对应的登录信息，获取相应的用户帐户；

攻击判定模块，用于判断其是否为web攻击请求，若是，则添加与所述用户帐户对应的攻击记录；

恶意用户判定模块，用于根据所述攻击记录判断所述用户帐户是否为恶意用户帐户。

在其中一个实施例中，所述登录检测模块还用于获取所述web访问请求的url，判断其是否为预设的登录路径，若是，则所述web访问请求为登录请求。

在其中一个实施例中，所述登录检测模块还用于解析所述web访问请求，判断其中是否包含预设的关键字符串，若是，则所述web访问请求为登录请求。

在其中一个实施例中，所述恶意用户判定模块还用于判断所述攻击记录的数量经加权后是否大于或等于阈值，若是，则判定所述用户帐户为恶意用户帐户。

在其中一个实施例中，所述帐户查找模块还用于获取所述web访问请求对应的网络地址，在缓存中查找与所述网络地址对应的登录信息，获取所述登录信息对应的用户帐户。

上述web恶意用户的检测方法及装置中，由于在web防火墙或起到web防火墙作用的网关设备中，先将同一个登录用户的web访问请求划归到该用户帐户的类型下，然后对该用户帐户类型下的所有web访问请求进行安全检测得到攻击记录，并根据攻击记录判定恶意用户，使得管理员可对恶意用户发起的所有web访问请求进行屏蔽，使其发出的试探性的攻击请求也能被web防火墙所拦截，从而提高了web防护的安全性。

附图说明

图1为一个实施例中一种web恶意用户的检测方法的流程图；

图2为一个实施例中一种web恶意用户的检测装置的结构示意图。

具体实施方式