[发明专利]终端群控行为的检测方法及装置、存储介质及电子设备

说明书

本公开提供了一种终端群控行为的检测方法及装置、存储介质及电子设备，涉及网络安全技术领域。获取各终端设备的运行环境数据和终端设备信息数据；对各终端设备的运行环境数据和终端设备信息数据进行数据组合处理，获得各终端设备的信息多元组；根据各终端的信息多元组确定各终端设备的终端间相似度；基于终端间相似度对各终端设备进行设备聚类，获得多类别的聚类设备；将各类别的聚类设备中终端设备数量超过预设阈值的终端设备确定为疑似存在群控行为的终端设备；对疑似存在群控行为的终端设备采集终端操作数据；以及根据终端操作数据确定疑似存在群控行为的终端设备为存在群控行为的终端设备。准确且高效地实现对终端设备的群控行为的检测。

技术领域

本公开涉及网络安全技术领域，尤其涉及一种终端群控行为的检测方法及装置、存储介质及电子设备。

背景技术

不法分子为了谋求非法利益，通过手机设备墙和大量模拟器对网页服务或APP服务进行的一系列自动化的恶意行为。如批量的注册、批量群发广告、批量薅羊毛等，这些恶意攻击行为给服务提供商带来了巨大的经济损失，甚至还可能会导致目标服务器拒绝服务攻击。

目前的防范方法主要包括：对访问端IP(Internet Protocol，网络之间互连的协议)地址的识别，通过判断该请求IP是否在黑名单中，或者通过判断大量访问设备是否均来源于同一IP来判断疑似行为。但上述方案仍然存在以下问题：黑名单需要维护；采用同一IP来源进行判断容易造成误判；且访问端若采用代理IP则很难被发现。

因此，一种能够准确判断终端设备的群控恶意行为，并且能够准确溯源产生恶意行为终端的技术手段越来越被需要。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开的目的在于提供一种终端群控行为的检测方法及装置、存储介质及电子设备，至少在一定程度上克服由于相关技术的终端设备的群控恶意行为检测不准确的问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一个方面，提供一种终端群控行为的检测方法，包括：

获取各终端设备的运行环境数据和终端设备信息数据；

对所述各终端设备的运行环境数据和所述终端设备信息数据进行数据组合处理，获得各终端设备的信息多元组；

根据所述各终端的信息多元组确定各终端设备的终端间相似度；

基于所述终端间相似度对各终端设备进行设备聚类，获得多类别的聚类设备；

将各类别的聚类设备中终端设备数量超过预设阈值的终端设备确定为疑似存在群控行为的终端设备；

对所述疑似存在群控行为的终端设备采集终端操作数据；以及

根据所述终端操作数据确定所述疑似存在群控行为的终端设备为存在群控行为的终端设备。

在本公开一个实施例中，所述运行环境数据包括：网关地址、热点信息、路由表；

所述终端设备信息数据包括：终端品牌、终端型号、系统版本、主机名称以及内网地址。

在本公开一个实施例中，根据所述各终端的信息多元组确定各终端设备的终端间相似度，包括：

为信息多元组中所列信息依次赋予预设权重；

将各终端设备进行两两组合，根据信息多元组中的信息和信息对应的预设权重，确定各组合中两个终端设备之间的终端间相似度。

在本公开一个实施例中，所述终端操作数据包括：触控范围、操作频率、移动速度、移动线条平滑度以及传感器数据；