一种检测恶意行为的方法及装置制造方法及图纸

本发明专利技术公开了一种检测恶意行为的方法及装置，属于互联网领域。该方法包括：接收终端待执行的操作的操作请求消息，该操作请求消息中携带用户的用户标识和待执行的操作的操作标识；根据用户标识，从已存储的用户标识与操作路径的对应关系中获取对应的操作路径，操作路径是由终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的；在获取的操作路径包括的最后一个操作标识之后串联待执行的操作的操作标识，构成待执行的操作当前所在的操作路径；根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路径，判断待执行的操作是否为恶意行为。本发明专利技术不管恶意分子如何改变操作请求消息中的源地址，服务器都可以检测出恶意行为。

【技术实现步骤摘要】
一种检测恶意行为的方法及装置
本专利技术涉及互联网领域，特别涉及一种检测恶意行为的方法及装置。
技术介绍
随着互联网技术的快速发展，用户在互联网上进行的操作会越来越频繁，与此同 时，一些恶意分子开发自动访问程序来自动地在互联网上进行恶意扫号、暴力破解用户标 识的密码，以及利用破解的用户标识发送垃圾消息和盗取财产等自动化恶意行为，所以检 测恶意行为的方法受到了广泛地关注。 目前，检测恶意行为的方法具体可以为：终端向服务器发送操作请求消息，该操作 请求消息中携带源地址和目的地址，服务器接收该操作请求消息，将该操作请求消息中携 带的源地址确定为该终端的IP(InternetProtocol，互联网网络协议）地址；服务器判断 已存储的恶意IP地址中是否存在该终端的IP地址，如果存在，则确定该终端待执行的操作 为恶意行为，否则，确定该终端待执行的操作不为恶意行为；当确定该终端待执行的操作为 恶意行为时，服务器可以直接拦截该终端待执行的操作，也可以向该终端发送一个验证码， 对该终端的身份进一步进行验证。 在实现本专利技术的过程中，专利技术人发现现有技术至少存在以下问题： 由于恶意分子向服务器发送操作请求消息时可能会通过代理服务器转发，代理服 务器将该操作请求消息中的源地址改变为自身的IP地址，此时服务器接收的操作请求消 息中携带的IP地址为代理服务器的IP地址，而不是恶意分子对应的终端的IP地址，并且 当恶意分子通过不同的代理服务器发送操作请求消息时，服务器接收的操作请求消息中携 带的IP地址也会不同，如此，服务器侧可能就不会检测到恶意分子的行为；此外，由于手机 终端的IP地址不稳定，当用户使用手机终端且该手机终端的IP地址为恶意IP地址时，会 将用户执行的操作判定为恶意行为。
技术实现思路
为了解决现有技术的问题，本专利技术实施例提供了一种检测恶意行为的方法及装 置。所述技术方案如下： -方面，提供了一种检测恶意行为的方法，所述方法包括： 接收终端待执行的操作的操作请求消息，所述操作请求消息中携带用户的用户标 识和待执行的操作的操作标识； 根据所述用户标识，从已存储的用户标识与操作路径的对应关系中获取对应的操 作路径，所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的 操作标识构成的； 在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标 识，构成所述待执行的操作当前所在的操作路径； 根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径，判断 所述待执行的操作是否为恶意行为。 另一方面，提供了一种检测恶意行为的装置，所述装置包括： 接收模块，用于接收终端待执行的操作的操作请求消息，所述操作请求消息中携 带用户的用户标识和待执行的操作的操作标识； 获取模块，用于根据所述用户标识，从已存储的用户标识与操作路径的对应关系 中获取对应的操作路径，所述操作路径是由所述终端在离当前时间最近的预设时间段之内 已执行的操作的操作标识构成的； 串联模块，用于在所述操作路径包括的最后一个操作标识之后串联所述待执行的 操作的操作标识，构成所述待执行的操作当前所在的操作路径； 第一判断模块，用于根据已存储的恶意操作路径集合和所述待执行的操作当前所 在的操作路径，判断所述待执行的操作是否为恶意行为。 在本专利技术实施例中，由于恶意分子开发自动机时，会在自动机中设置固定的操作 路径，当恶意分子改变自动机中的操作路径时成本较高且花费的时间较长；所以本专利技术实 施例中，服务器不会直接根据终端的IP地址判断待执行的操作是否为恶意行为，而是根据 待执行的操作的操作请求消息中携带的用户标识和待执行的操作的操作标识，获取待执行 的操作当前所在的操作路径，根据待执行的操作当前所在的操作路径判断待执行的操作是 否为恶意行为。如此，不管恶意分子如何改变操作请求消息中的源地址，服务器都可以检测 出恶意行为，并且服务器不会将使用手机终端等IP地址不稳定的用户执行的操作判定为 恶意彳丁为。 【附图说明】 为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使 用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于 本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他 的附图。 图1是本专利技术实施例一提供的一种检测恶意行为的方法流程图； 图2是本专利技术实施例二提供的一种检测恶意行为的系统架构图； 图3是本专利技术实施例二提供的一种检测恶意行为的方法流程图； 图4是本专利技术实施例三提供的一种检测恶意行为的装置结构示意图。 【具体实施方式】 为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术实施方 式作进一步地详细描述。 实施例一 本专利技术实施例提供了一种检测恶意行为的方法，参见图1，该方法包括： 步骤101 :接收终端待执行的操作的操作请求消息，该操作请求消息中携带用户 的用户标识和待执行的操作的操作标识； 步骤102 :根据该用户标识，从已存储的用户标识与操作路径的对应关系中获取 对应的操作路径，该操作路径是由该终端在离当前时间最近的预设时间段之内已执行的操 作的操作标识构成的； 步骤103:在获取的操作路径包括的最后一个操作标识之后串联待执行的操作的 操作标识，构成待执行的操作当前所在的操作路径； 步骤104:根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路 径，判断待执行的操作是否为恶意行为。 其中，根据已存储的恶意操作路径集合和待执行的操作当前所在的操作路径，判 断待执行的操作是否为恶意行为，包括： 如果已存储的恶意操作路径集合中存在待执行的操作当前所在的操作路径，则确 定待执行的操作为恶意行为。 进一步地，该方法还包括： 如果已存储的恶意操作路径集合中不存在待执行的操作当前所在的操作路径，则 根据该用户标识和待执行的操作当前所在的操作路径，查找已存储的用户标识、操作路径 和操作次数的对应关系； 如果查找到对应的操作次数，则根据查找到的操作次数和待执行的操作当前所在 的操作路径，判断待执行的操作是否为恶意行为。 其中，根据查找到的操作次数和待执行的操作当前所在的操作路径，判断待执行 的操作是否为恶意行为，包括： 如果查找到的操作次数达到第一预设阈值，则根据待执行的操作当前所在的操作 路径，从该用户标识、操作路径和操作次数的对应关系中获取对应的用户标识； 根据获取的用户标识，从已存储的用户标识与常用IP地址的对应关系中获取对 应的常用IP地址； 确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标 识； 计算确定出的用户标识的个数与获取的用户标识的个数之间的比值； 如果该比值大于第二预设阈值，则确定该待执行的操作为恶意行为。 进一步地，如果该比值大于第二预设阈值，则确定待执行的操作为恶意行为之后， 还包括： 将待执行的操作当前所在的操作路径确定为恶意操作路径，并存储在该恶意操作 路径集合中。 进一步地，该方法还包括： 如本文档来自技高网...

【技术保护点】
一种检测恶意行为的方法，其特征在于，所述方法包括：接收终端待执行的操作的操作请求消息，所述操作请求消息中携带用户的用户标识和所述待执行的操作的操作标识；根据所述用户标识，从已存储的用户标识与操作路径的对应关系中获取对应的操作路径，所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的操作标识构成的；在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标识，构成所述待执行的操作当前所在的操作路径；根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径，判断所述待执行的操作是否为恶意行为。

【技术特征摘要】
1. 一种检测恶意行为的方法，其特征在于，所述方法包括： 接收终端待执行的操作的操作请求消息，所述操作请求消息中携带用户的用户标识和 所述待执行的操作的操作标识； 根据所述用户标识，从已存储的用户标识与操作路径的对应关系中获取对应的操作路 径，所述操作路径是由所述终端在离当前时间最近的预设时间段之内已执行的操作的操作 标识构成的； 在所述操作路径包括的最后一个操作标识之后串联所述待执行的操作的操作标识，构 成所述待执行的操作当前所在的操作路径； 根据已存储的恶意操作路径集合和所述待执行的操作当前所在的操作路径，判断所述 待执行的操作是否为恶意行为。2. 如权利要求1所述的方法，其特征在于，所述根据已存储的恶意操作路径集合和所 述待执行的操作当前所在的操作路径，判断所述待执行的操作是否为恶意行为，包括： 如果已存储的恶意操作路径集合中存在所述待执行的操作当前所在的操作路径，则确 定所述待执行的操作为恶意行为。3. 如权利要求2所述的方法，其特征在于，所述方法还包括： 如果已存储的恶意操作路径集合中不存在所述待执行的操作当前所在的操作路径，则 根据所述用户标识和所述待执行的操作当前所在的操作路径，查找已存储的用户标识、操 作路径和操作次数的对应关系； 如果查找到对应的操作次数，则根据查找到的操作次数和所述待执行的操作当前所在 的操作路径，判断所述待执行的操作是否为恶意行为。4. 如权利要求3所述的方法，其特征在于，所述根据查找到的操作次数和所述待执行 的操作当前所在的操作路径，判断所述待执行的操作是否为恶意行为，包括： 如果查找到的操作次数达到第一预设阈值，则根据所述待执行的操作当前所在的操作 路径，从所述用户标识、操作路径和操作次数的对应关系中获取对应的用户标识； 根据获取的用户标识，从已存储的用户标识与常用IP地址的对应关系中获取对应的 常用IP地址； 确定获取的用户标识对应的终端的IP地址与其对应的常用IP地址不同的用户标识； 计算确定出的用户标识的个数与获取的用户标识的个数之间的比值； 如果所述比值大于第二预设阈值，则确定所述待执行的操作为恶意行为。5. 如权利要求4所述的方法，其特征在于，所述如果所述比值大于第二预设阈值，则确 定所述待执行的操作为恶意行为之后，还包括： 将所述待执行的操作当前所在的操作路径确定为恶意操作路径，并存储在所述恶意操 作路径集合中。6. 如权利要求3所述的方法，其特征在于，所述方法还包括： 如果没有查找到对应的操作次数，则为所述用户标识和所述待执行的操作当前所在的 操作路径设置对应的操作次数，并将所述用户标识、所述待执行的操作当前所在的操作路 径和设置的操作次数存储在所述用户标识、操作路径和操作次数的对应关系中。7. 如权利要求1所述的方法，其特征在于，所述方法还包括： 接收管理员输入的恶意操作路径，将接收的恶意操作路径存储在所述恶意操作路径集 合中。8. -种检...

【专利技术属性】
技术研发人员：林宇东，涂杰，张东蕊，
申请(专利权)人：深圳市腾讯计算机系统有限公司，
类型：发明
国别省市：广东;44