[发明专利]一种恶意探测行为的检测方法和装置

说明书

本发明实施例公开一种恶意探测行为的检测方法和装置，可提高恶意探测行为的检测效果。在该方法中，获取客户端发送给网络服务器的探测行为集合；分别判断每个待检测URL是否与非恶意URL画像集合中的非恶意URL画像相同，若待检测URL与非恶意URL画像集合中的非恶意URL画像相同，确定待检测URL与非恶意URL画像集合不存在偏移，若待检测URL与非恶意URL画像集合中的所有非恶意URL画像都不相同，确定待检测URL与非恶意URL画像集合存在偏移；对与非恶意URL画像集合存在偏移的待检测URL的个数进行求和计算，得到客户端在检测时间段内的偏移总量；当偏移总量超过偏移阈值时，确定客户端在执行恶意探测行为。

技术领域

本发明涉及计算机技术领域，尤其涉及一种恶意探测行为的检测方法和装置。

背景技术

随着互联网技术的快速发展，用户在互联网上进行的操作会越来越频繁，与此同时，一些恶意分子开发自动访问程序在互联网上进行恶意行为，例如破解用户标识的密码，利用破解的用户标识发送垃圾消息和盗取财产等，因此需要对恶意行为进行有效检测。

目前，网络(web)扫描探测是黑客进入内网后进一步入侵渗透的常用手段，例如，通过爬虫获取统一资源定位符(Uniform Resource Locator，URL)资源树，或者探测网络服务器的管理后台都是黑客踩点的常用手段，当前业内检测恶意探测行为的方法具体可以为：某一用户通过URL访问网络中对应的网页内容时，统计目的URL在单位时间内被访问的总次数，当该总次数超过某个阈值时确定为恶意探测行为。其中恶意探测行为常用于各类欺诈、仿冒、钓鱼或挂马网页，当用户不慎访问此类网页时，就可能对用户造成如经济上的损失、个人隐私信息的泄露或是使当前电脑感染木马病毒等不利影响。

现有技术中，对恶意探测行为进行检测主要依赖于对目的URL的访问总次数的统计以及与阈值的判断，但是这种方案无法发现访问总数小于该阈值的恶意探测行为，且因用户正常的访问请求也会恶意探测行为夹杂在一起，从而会造成大量误报。假如阈值设置的过小，则会产生大量误报，若该阈值设置的过大，则会无法有效检测到恶意探测行为，因此现有技术提供的恶意探测行为的检测方案存在检测效果差的问题。

发明内容

本发明实施例提供了一种恶意探测行为的检测方法和装置，用于有效解决恶意探测行为的发现问题，提高恶意探测行为的检测效果。

为解决上述技术问题，本发明实施例提供以下技术方案：

第一方面，本发明实施例提供一种恶意探测行为的检测方法，包括：

获取客户端发送给网络服务器的探测行为集合，所述探测行为集合包括：在预置的检测时间段内收集到的至少一个探测行为，其中每个探测行为携带有一个待检测统一资源定位符URL；

分别判断每个待检测URL是否与非恶意URL画像集合中的非恶意URL画像相同，若所述待检测URL与所述非恶意URL画像集合中的非恶意URL画像相同，确定所述待检测URL与所述非恶意URL画像集合不存在偏移，若所述待检测URL与所述非恶意URL画像集合中的所有非恶意URL画像都不相同，确定所述待检测URL与所述非恶意URL画像集合存在偏移，所述非恶意URL画像通过对所述网络服务器记录的历史访问数据进行统计得到；

对与所述非恶意URL画像集合存在偏移的待检测URL的个数进行求和计算，得到所述客户端在所述检测时间段内的偏移总量，

当所述客户端在所述检测时间段内的偏移总量超过预置的偏移阈值时，确定所述客户端在执行恶意探测行为。

第二方面，本发明实施例还提供一种恶意探测行为的检测装置，包括：

探测行为获取模块，用于获取客户端发送给网络服务器的探测行为集合，所述探测行为集合包括：在预置的检测时间段内收集到的至少一个探测行为，其中每个探测行为携带有一个待检测统一资源定位符URL；