JP2017503293A - ユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体 - Google Patents

ユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体 Download PDF

Info

Publication number
JP2017503293A
JP2017503293A JP2016561070A JP2016561070A JP2017503293A JP 2017503293 A JP2017503293 A JP 2017503293A JP 2016561070 A JP2016561070 A JP 2016561070A JP 2016561070 A JP2016561070 A JP 2016561070A JP 2017503293 A JP2017503293 A JP 2017503293A
Authority
JP
Japan
Prior art keywords
access
time
sliding window
predetermined
action
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016561070A
Other languages
English (en)
Inventor
フア ジャン
フア ジャン
イー シャー
イー シャー
ディンクン ホン
ディンクン ホン
ハイジュウ ワン
ハイジュウ ワン
Original Assignee
シャオミ・インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シャオミ・インコーポレイテッド filed Critical シャオミ・インコーポレイテッド
Publication of JP2017503293A publication Critical patent/JP2017503293A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2133Verifying human interaction, e.g., Captcha
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本発明は、悪意のある行為をより効果的に且つより正確に識別するためのユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体に関する。前記方法は、所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得するステップと、前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、その評価結 果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップとを含む。【選択図】図1

Description

本発明は、通信及びコンピュータ処理の技術分野に関し、特に、ユーザ行為識別方法及びとユーザ行為識別装置に関する。
インターネットの発展に伴い、ネットワークを介する資源共有化が進みつつある。人々は、ネットワークを介して豊富な情報を素早く便利に取得することが可能になった。しかしながら、多くのウェブサイトは、人々が情報収集している間、悪意のある攻撃に晒されている。
本発明の発明者は、従来技術において、悪意のある攻撃は、比較的短い時間内に、ウェブサイトにデータパケットを頻繁に送信することを発見した。このような事象は、値引き商品を争って買うために短い時間内に頻繁にアクセスするウェブサイト中でよく起こる。このような高頻度のアクセス行為は、通常、商品を争って買うために開発されたソフトウェアにより実現され、人為的操作ではこのように高い頻度が得られない。従来技術において、当該悪意のある行為を阻止する手段がないのはないが、その阻止の効果が理想的ではない。従って、ユーザの悪意のある行為を、どのようにより効果的に識別するかは、早急に解決すべき問題である。
本発明は、従来技術に存在する上記のような問題を解決するために、ユーザ行為識別方法及びユーザ行為識別装置を提供する。
本発明の実施例の第1の局面によれば、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得するステップと、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップと
を含むユーザ行為識別方法を提供する。
本発明の実施例に係る技術案は、ユーザのアクセス行為を時間スライディングウィンドウを用いてモニタリングして、アクセス行為を評価することにより、ユーザのアクセス行為に悪意があるか否かを判断する、という有益な効果を奏する。
一実施例において、
前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得するステップと、
nとmとの比例が所定の第1の比例閾値を超えるのかを判断するステップと
を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む。
本発明の実施例に係る技術案は、各タイムスライス内のアクセス行為をモニタリングし、アクセス回数が持続して高い数値のままであるのかを検査することにより、アクセス行為に悪意があるか否かを判断するので、その評価結果がより正確になる、という有益な効果を奏する。
一実施例において、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
前記時間分散が所定の分散閾値を超えるのかを判断するステップと
を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む。
本発明の実施例に係る技術案は、時間間隔の分散計算を行うことにより、アクセス行為が固定頻度で発生するのかを判断し、アクセス行為が固定頻度で発生する場合、当該アクセス行為は、ユーザによる行為ではなく、ソフトウェアによる行為であると判断することができるので、悪意のある行為をより正確に識別することができる、という有益な効果を奏する。
一実施例において、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
前記時間分散と時間間隔の平均値との比率を計算するステップと、
前記比率が所定の第2の比例閾値より小さいかを判断するステップと
を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む。
本発明の実施例に係る技術案は、分散と時間間隔の平均値をさらに比較することにより、悪意のある行為をより正確に識別することができる、という有益な効果を奏する。
一実施例において、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ内のアクセス行為の総回数を取得するステップと、
前記総回数が所定の総回数閾値を超えるのかを判断するステップと、
その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、を含む。
本発明の実施例に係る技術案は、上記技術案を基に、アクセス行為の総回数を用いてアクセス行為をさらに評価することにより、悪意のある行為をより正確に識別することができる、という有益な効果を奏する。
本発明の実施例の第2の局面によれば、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得するための取得モジュールと、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するための評価モジュールと、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するための判断モジュールと
を含むユーザ行為識別装置を提供する。
一実施例において、
前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
前記評価モジュールは、
タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得するためのタイムスライスサブモジュールと、
nとmとの比例が所定の第1の比例閾値を超えるのかを判断するための第1比例サブモジュールと
を含み、
前記判断モジュールは、
nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、
前記評価モジュールは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するための間隔サブモジュールと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するための分散サブモジュールと、
前記時間分散が所定の分散閾値を超えるのかを判断するための第1の評価サブモジュールと
を含み、
前記判断モジュールは、
前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、
前記評価モジュールは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するための間隔サブモジュールと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するための分散サブモジュールと、
前記時間分散と時間間隔の平均値との比率を計算するための比率サブモジュールと、
前記比率が所定の第2の比例閾値より小さいかを判断するための第2の比例サブモジュールと
を含み、
前記判断モジュールは、
前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、
前記評価モジュールは、
前記時間スライディングウィンドウ内のアクセス行為の総回数を取得するための総回数サブモジュールと、
前記総回数が所定の総回数閾値を超えるのかを判断するための総回数判断サブモジュールと、
その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するための第2の評価サブモジュールと、を含む。
本発明の実施例の第3の局面によれば、
プロセッサと、
プロセッサにより実行可能なインストラクションを格納するためのメモリと
を含むユーザ行為識別装置を提供するが、
前記プロセッサは、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得し、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価し、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断する
ように構成される。
以上の一般的な説明と以下のような細部的な説明は、例示的なものであって、本発明に対する限定として理解してはいけない。
以下の図面は、明細書に盛り込まれて明細書の一部分を構成し、本発明の実施例に対する説明に用いられるとともに、本発明の原理を解釈するために用いられる。
本発明の例示的な一実施例に係るユーザ行為識別方法のフローチャートである。 本発明の例示的な一実施例に係るユーザ行為識別方法のフローチャートである。 本発明の例示的な一実施例に係るユーザ行為識別方法のフローチャートである。 本発明の例示的な一実施例に係るユーザ行為識別装置のブロック図である。 本発明の例示的な一実施例に係る評価モジュールのブロック図である。 本発明の例示的な一実施例に係る評価モジュールのブロック図である。 本発明の例示的な一実施例に係る評価モジュールのブロック図である。 本発明の例示的な一実施例に係る評価モジュールのブロック図である。 本発明の例示的な一実施例に係る装置のブロック図である。
以下、図面を参照して、例示的な実施例について詳細に説明する。以下の図面に関する説明において、別途の説明がない限り、異なる図面中の同一の符号は、同一又は類似する要素を示すこととする。以下の例示的実施例において説明する複数の実施形態は、本発明に係る全ての実施形態を代表するわけではない。逆に、それらは、添付の特許請求の範囲に記載される本発明の一部の態様を示す装置及び方法の例に過ぎない。
現在、ネットでのイベントが頻繁に行われ、ネット店舗は、期間限定の値引きイベントを頻繁に開催する。ユーザは、低価格商品を買うために、短い時間内に当該店舗のウェブサイトに頻繁にアクセスする。一部のユーザは、商品を争って買うために開発されたソフトウェアを利用して購入行為を行う。商品を争って買うために開発されたソフトウェアは、一般ユーザより高いアクセス頻度で店舗のウェブサイトをアクセスすることができる。しかし、商品を争って買うために開発されたソフトウェアによるアクセス行為は、一種の悪意のある行為に該当し、ウェブサイトが一時的に閲覧不能状態になりうる。一つの解決案として、所定時間内のアクセス回数が所定の閾値を超えるか否かを判断し、超える場合、悪意のあるアクセス行為が存在すると判断する。しかし、当該識別方法は、比較的単一であり、当該アクセス回数がユーザの行為によるものなのか、それとも商品を争って買うために開発されたソフトウェアによるものなのかを、正確に識別することができず、識別結果は正確でない。
本実施例では、当該問題を解決するために、端末によるアクセス行為を時間スライディングウィンドウにてモニタリングすることにより、端末によるアクセス行為に悪意があるか否かを正確に識別することができる。
本実施例における時間スライディングウィンドウは、動的な時間ウィンドウであり、長さが一定であり、例えば3600秒間である。当該時間スライディングウィンドウは、終了位置が常に現在時間であるため、時間の経過とともに移動する。
従来技術における所定時間長さに基づいてアクセス回数を検出する技術案として、例えば、所定時間長さが1000秒間であり、0〜1000秒の間に一回検出し、1001〜2000秒の間に一回検出し、以降はこれをもって類推する。しかしながら、500〜1500秒の間に発生するアクセス行為は検出することができない。一方、本実施例では、時間スライディングウィンドウの移動に伴いリアルタイムに検出を行うようにする。例えば、時間スライディングウィンドウは、所定時間長さが1000秒間であり、0〜1000秒の間に一回検出し、1〜1001秒の間に一回検出し、2〜1002秒の間に一回検出し、以降はこれをもって類推する。本実施例は、従来技術の技術案に比較し、検出結果がより正確で、悪意のある行為をより正確に識別することができる。
図1は、例示的な一実施例に係るユーザ行為識別方法のフローチャートである。当該方法は、サーバにより実現され、図1に示すように、以下のステップを含む。
ステップ101において、所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得する。
ステップ102において、前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
ステップ103において、評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断する。
本実施例では、端末によるアクセス行為を時間スライディングウィンドウ内でリアルタイムにモニタリングすることができ、一定時間内のアクセス行為をモニタリングしてアクセス行為に悪意があるかを評価することができるので、識別結果がより正確になる。本実施例では、単一端末の行為に対してモニタリング及び評価を行っているが、ユーザ名、IP(インターネットプロトコル)アドレス又はMAC(媒体アクセス制御)アドレスなどにより端末を特定することができる。
悪意のあるアクセスの存在が識別されると、例えば、検証コードの送信を端末に要求するか、または、当該ユーザ(又は当該端末)のアクセスを一時的に遮断するか、または、当該ユーザをブラックリストに加えることにより当該ユーザのアクセスを永久に拒否するか、または、警告メッセージをユーザに送信するなど、複数種類の手段を採用することができる。
一実施例において、ステップ102はステップAとして実現される。
ステップAにおいて、前記時間スライディングウィンドウ中の各タイムスライス内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
本実施例では、時間スライディングウィンドウをさらに同一長さ(等分)の複数のタイムスライスに細分する。例えば、時間スライディングウィンドウの所定時間長さが3600秒間であり、10個のタイムスライスを含む場合、各タイムスライスの時間長さは360秒間である。本実施例は、タイムスライスを単位にユーザのアクセス行為をモニタリングすることにより、モニタリングの粒度をさらに縮小することができ、悪意のある行為をより正確に識別することができる。しかも、本実施例では、各タイムスライス内のアクセス行為及び時間スライディングウィンドウ内の全体のアクセス行為に基づいて評価を行うため、その評価結果がより正確になる。
一実施例において、ステップAは、ステップA1とステップA2とを含む。
ステップA1において、タイムスライス毎に、タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるのかを判断することにより、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得する。
ステップA2において、nとタイムスライス総数mの比例が所定の第1の比例閾値を超えるのかを判断する。
ステップ103は、ステップA3として実現される。
ステップA3において、nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
即ち、アクセス回数が所定のスライス回数閾値を超えるタイムスライスを決定する。タイムスライス総数に占めるスライス回数閾値を超えるタイムスライスの数の比例が、所定の第1の比例閾値を超えるのかを判断する。その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
本実施例において、タイムスライス総数に占めるスライス回数閾値を超えるタイムスライスの数の比例が、所定の第1の比例閾値を超える場合、アクセス回数が高すぎて、悪意のあるアクセスが存在すると判断する。そうでない場合、悪意のあるアクセスが存在しないと判断する。
例えば、時間スライディングウィンドウTが3600秒間の長さを有し、10個のタイムスライスt1〜t10を含む場合、各タイムスライスの長さは360秒間である。10個のタイムスライスに対応するアクセス回数は、それぞれ、t1=50、t2=60、t3=52、t4=55、t5=48、t6=56、t7=58、t8=54、t9=56、t10=57である。スライス回数閾値が50であるとすれば、タイムスライスt5を除く他の9個のタイムスライスに対するアクセス回数は、いずれもスライス回数閾値を超えている。スライス回数閾値を超えるタイムスライスの数がタイムスライス総数に占める比例は、9/10=90%として算出される。第1の比例閾値が90%である場合、スライス回数閾値を超えるタイムスライスの数がタイムスライス総数に占める比例である90%と第1の比例閾値である90%を比較することにより、アクセス行為を評価して、当該時間スライディングウィンドウT内に悪意のあるアクセス行為が存在すると判断することができる。
一実施例において、ステップ102は、さらに、技術案Bにより実現される。
技術案Bのうち、
ステップB1において、前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
ステップB2において、取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
ステップB3において、前記時間分散に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。ここで、前記時間分散が所定の分散閾値を超えるのかを判断する。
ステップ103において、前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
本実施例では、時間分散を所定の分散閾値と比較し、所定の分散閾値より大きい場合、分散が比較的大きいこと、即ちアクセス行為の時間間隔の変動が比較的大きいことを示しているので、当該アクセス行為は、商品を争って買うために開発されたソフトウェアによる行為ではなく、ユーザによる行為であると判断し、さらに、悪意のある行為が存在しないと判断することができる。逆に、所定の分散閾値以下である場合、悪意のある行為が存在すると判断する。
例えば、前記時間スライディングウィンドウ中の互い隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔x1、x2、x3…xnを取得する。この場合、以下の式により分散を算出することができる。
ここで、
はx1〜xnの平均値であり、sは算出する分散である。
一実施例において、技術案Bは、ステップA1〜A3と組み合わせることができる。例えば、各タイムスライスに対応する分散を計算し、分散が分散閾値より大きいタイムスライスを特定して、分散が分散閾値より大きいタイムスライスの数とタイムスライス総数の比例を決定し、さらに、当該比例を第1の比例閾値と比較して、悪意のあるアセクスが存在するかを判断する。
一実施例において、技術案Bをさらに改良することができる。ステップB3は、ステップB31〜B32を含むことができる。
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
ステップB31において、前記時間分散と時間間隔の平均値との比率を計算する。
ステップB32において、前記比率が所定の第2の比例閾値より小さいか否かを判断する。その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
ステップ103は、ステップB33として実現される。
ステップB33において、前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
本実施例において、時間分散と時間間隔の平均値との比率が所定の第2の比例閾値を超えると、当該時間分散を持つ時間間隔は時間間隔の平均値とは非常に近い値であるので、当該アクセス行為が、商品を争って買うために開発されたソフトウェアによる行為であり、悪意のあるアクセスが存在すると判断することができる。そうでない場合、当該アクセス行為は、ユーザによる行為であり、悪意のあるアクセスが存在しないと判断することができる。
例えば、平均値xが1であり、時間分散が0.5である場合、時間分散と平均値との比例は50%であり、所定の第2の比例閾値100%より大きい。0.5である分散は、比較的小さいものの、平均値1からの外れ度合いが比較的大きい。
また、例えば、平均値xが10であり、時間分散が0.5である場合、時間分散と平均値との比例は5%であり、所定の第2の比例閾値10%より小さい。10である平均値が比較的大きいため、0.5である時間分散を持つ時間間隔は平均値に非常に近い。
本実施例では、分散と平均値との接近度合い(他の面から見ると、外れ度合いとも言える)を比較することにより、アクセス行為をより正確に評価することができる。
一実施例において、ステップ102は、技術案Cとして実現される。
技術案Cのうち、
ステップC1において、前記時間スライディングウィンドウ内のアクセス行為の総回数を取得する。
ステップC2において、前記総回数が所定の総回数閾値を超えるのかを判断する。
ステップC3において、その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
本実施例において、時間スライディングウィンドウ内のアクセス行為の総回数が総回数閾値を超えると、アクセス量が高すぎて、悪意のあるアクセスが存在すると判断する。そうでない場合、悪意のあるアクセスが存在しないと判断する。
一実施例において、技術案Cは、上記の技術案と組み合わせることができる。ステップA又は技術案Bの判断結果の基に、さらに、技術案Cの判断を行い、いずれも悪意のあるアクセスが存在すると判断される場合のみにおいて、悪意のあるアクセスが存在すると結論付けることができる。
以下、幾つかの実施例を通じて、ユーザ行為識別方法を紹介するようにする。
図2は、例示的な一実施例に係るユーザ行為識別方法のフローチャートである。当該方法は、サーバにより実現され、図2に示すように、以下のステップを含む。
ステップ201において、所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得する。
ステップ202において、時間スライディングウィンドウ中のタイムスライス毎に、タイムスライスに対応するアクセス回数を所定のスライス回数閾値と比較する。
ステップ203において、アクセス回数が所定のスライス回数閾値を超えるタイムスライスを決定する。
ステップ204において、スライス回数閾値を超えるタイムスライスの数がタイムスライス総数に占める比例を計算する。
ステップ205において、算出した比例が所定の第1の比例閾値を超えるのかを判断する。所定の第1の比例閾値を超える場合、ステップ206に移り、所定の第1の比例閾値を超えない場合、ステップ207に移る。
ステップ206において、悪意のあるアクセスが存在すると判断する。
ステップ207において、悪意のあるアクセスが存在しないと判断する。
本実施例では、タイムスライスを用いてアクセス行為をより細かくモニタリングすることができる。アクセス回数を小さい粒度にてモニタリングすることにより、悪意のあるアクセスが存在するかをより正確に識別することができる。
図3は、例示的な一実施例に係るユーザ行為識別方法のフローチャートである。当該方法は、サーバにより実現され、図3に示すように、以下のステップを含む。
ステップ301において、所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得する。
ステップ302において、前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
ステップ303において、取得した時間間隔に基づいて、時間間隔の平均値を計算する。
ステップ304において、取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
ステップ305において、前記時間分散と時間間隔の平均値との比率を計算する。
ステップ306において、前記比率が所定の第2の比例閾値より小さいかを判断する。所定の第2の比例閾値より小さい場合、ステップ307に移り、所定の第2の比例閾値以上である場合、ステップ308に移る。
ステップ307において、悪意のあるアクセスが存在すると判断する。
ステップ308において、悪意のあるアクセスが存在しないと判断する。
本実施例では、分散を用いて、取得したアクセス行為が均一な時間間隔で発生したのかを判断する。そうである場合、ユーザによるアクセス行為ではなく、ソフトウェアによるアクセス行為であると判断し、悪意のあるアクセスが存在すると判断する。そうではない場合、悪意のあるアクセスが存在しないと判断する。当該方法によれば、悪意のあるアクセス行為をより正確に識別することができる。
以上の説明により、サーバにより実現されるユーザ行為識別方法がより一層明確になった。装置の内部構造と機能について以下に記載する。
図4は、例示的な一実施例に係るユーザ行為識別装置の模式図である。図4を参照して、当該装置は、取得モジュール401と、評価モジュール402と、判断モジュール403とを含む。
取得モジュール401は、所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得する。
評価モジュール402は、前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
判断モジュール403は、その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断する。
一実施例において、前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含む。図5に示すように、前記評価モジュール402は、タイムスライスサブモジュール4021と、第1比例サブモジュール4028とを含む。
タイムスライスサブモジュール4021は、タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得する。
第1比例サブモジュール4028は、nとmとの比例が所定の第1の比例閾値を超えるのかを判断する。
前記判断モジュール403は、nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、前記評価モジュール402は、図6Aに示すように、間隔サブモジュール4022と、分散サブモジュール4023と、第1の評価サブモジュール4024とを含む。
間隔サブモジュール4022は、前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
分散サブモジュール4023は、取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
第1の評価サブモジュール4024は、前記時間分散が所定の分散閾値を超えるのかを判断する。
前記判断モジュール403は、前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、タイムスライスサブモジュール4021は、間隔サブモジュール4022と、分散サブモジュール4023と、第1の評価サブモジュール4024とを含んでもよい。
一実施例において、前記評価モジュール402は、図6Bに示すように、間隔サブモジュール4022と、分散サブモジュール4023と、比率サブモジュール4029と、第2の比例サブモジュール40210とを含む。
間隔サブモジュール4022は、前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
分散サブモジュール4023は、取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
比率サブモジュール4029は、前記時間分散と時間間隔の平均値との比率を計算する。
第2の比例サブモジュール40210は、前記比率が所定の第2の比例閾値より小さいかを判断する。
前記判断モジュール403は、前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、前記評価モジュール402は、図7に示すように、総回数サブモジュール4025と、総回数判断サブモジュール4026と、第2の評価サブモジュール4027とを含む。
総回数サブモジュール4025は、前記時間スライディングウィンドウ内のアクセス行為の総回数を取得する。
総回数判断サブモジュール4026は、前記総回数が所定の総回数閾値を超えるのかを判断する。
第2の評価サブモジュール4027は、その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
上記実施例に係る装置において、各モジュールによる操作の具体的な形態は、ユーザ行為識別方法に関する実施例において既に詳細に説明しているため、ここでは、その詳細な説明を省略するようにする。
図8は、例示的な一実施例に係るユーザ行為識別に用いられる装置800のブロック図である。例えば、装置800は、コンピュータとして提供されてもよい。図8を参照して、装置800は、1つ又は複数のプロセッサを含む処理アセンブリ822と、処理アセンブリ822により実行可能なインストラクション、例えばアプリケーションプログラムを格納するための、メモリ832をはじめとするメモリ資源を含む。メモリ832に格納されるアプリケーションプログラムは、それぞれ一組のインストラクションに対応する1つ又は複数のモジュールを含んでもよい。また、処理アセンブリ822は、インストラクションを実行することにより、上記のユーザ行為識別方法を実行するように配置される。
装置800は、装置800の電源管理を実行するように配置される電源アセンブリ826と、装置800をネットワークに接続するための1つの有線又は無線のネットワークインタフェース850と、1つの入出力(I/O)インタフェースス858とを含んでもよい。装置800は、例えばWindows ServerTM、Mac OS XTM、UnixTM、LinuxTM、FreeBSDTM又は類似するオペレーションシステムのような、メモリ832に格納されるオペレーションシステムを備えてもよい。
プロセッサと、プロセッサにより実行可能なインストラクションを格納するためのメモリとを含むユーザ行為識別装置において、
前記プロセッサは、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得し、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価し、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断する、ように構成される。
前記プロセッサは、さらに、
前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することは、
タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライス取得することと、
nとmとの比例が所定の第1の比例閾値を超えるのかを判断することを含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断することは、
nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断することを含む
ように構成されてもよい。
前記プロセッサは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得することと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算することと、
前記時間分散が所定の分散閾値を超えるのかを判断することと、を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断することは、
前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断することを含む
ように構成されてもよい。
前記プロセッサは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得することと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算することと、
前記時間分散と時間間隔の平均値との比率を計算することと、
前記比率が所定の第2の比例閾値より小さいか否かを判断することを含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断することは、
前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断することを含む
ように構成されてもよい。
前記プロセッサは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することは、
前記時間スライディングウィンドウ内のアクセス行為の総回数を取得することと、
前記総回数が所定の総回数閾値を超えるのかを判断することと、
その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することと、を含む
ように構成されてもよい。
コンピュータ読み取り可能な非揮発性の記録媒体において、前記記録媒体中のインストラクションが移動端末のプロセッサにより実行される場合、移動端末がユーザ行為識別方法を実行することができる。
前記ユーザ行為識別方法は、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得するステップと、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップと
を含む。
前記記録媒体中のインストラクションは、さらに、
前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得するステップと、
nとmとの比例が所定の第1の比例閾値を超えるのかを判断するステップとを含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む
ように構成されてもよい。
前記記録媒体中のインストラクションは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
前記時間分散が所定の分散閾値を超えるのかを判断するステップと、を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む
ように構成されてもよい。
前記記録媒体中のインストラクションは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
前記時間分散と時間間隔の平均値との比率を計算するステップと、
前記比率が所定の第2の比例閾値より小さいかを判断するステップと、を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む
ように構成されてもよい。
前記記録媒体中のインストラクションは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ内のアクセス行為の総回数を取得するステップと、
前記総回数が所定の総回数閾値を超えるのかを判断するステップと、
その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、を含む
ように構成されてもよい。
当業者は、明細書を理解し、且つここで開示した発明を実施することにより、本発明の他の実施例に容易に想到することができる。本願は、本発明のあらゆる変更、用途または適応を含むことをその趣旨とする。これらの変更、用途または適応は、本発明の一般的な原理に基づき、本願において開示されていない本技術分野の公知常識又は慣用技術手段を含む。明細書と実施例は、単に例示的なものに過ぎない。本発明の範囲と精神は、添付の特許請求の範囲により示される。
本発明は、以上の記載および図面により示される正確な構造に限られることはなく、その範囲を逸脱しない限り様々な修正や変更が可能であることと、理解すべきである。本発明の範囲は、添付する特許請求の範囲のみにより限定される。
本願は、出願番号がCN201410708281.6であって、出願日が2014年11月27日である中国特許出願に基づき優先権を主張し、当該中国特許出願のすべての内容は本願に援用される。
本発明は、通信及びコンピュータ処理の技術分野に関し、特に、ユーザ行為識別方法及びとユーザ行為識別装置、プログラム、及び記録媒体に関する。
インターネットの発展に伴い、ネットワークを介する資源共有化が進みつつある。人々は、ネットワークを介して豊富な情報を素早く便利に取得することが可能になった。しかしながら、多くのウェブサイトは、人々が情報収集している間、悪意のある攻撃に晒されている。
本発明の発明者は、従来技術において、悪意のある攻撃は、比較的短い時間内に、ウェブサイトにデータパケットを頻繁に送信することを発見した。このような事象は、値引き商品を争って買うために短い時間内に頻繁にアクセスするウェブサイト中でよく起こる。このような高頻度のアクセス行為は、通常、商品を争って買うために開発されたソフトウェアにより実現され、人為的操作ではこのように高い頻度が得られない。従来技術において、当該悪意のある行為を阻止する手段がないのはないが、その阻止の効果が理想的ではない。従って、ユーザの悪意のある行為を、どのようにより効果的に識別するかは、早急に解決すべき問題である。
本発明は、従来技術に存在する上記のような問題を解決するために、ユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体を提供する。
本発明の実施例の第1の局面によれば、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得するステップと、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップと
を含むユーザ行為識別方法を提供する。
本発明の実施例に係る技術案は、ユーザのアクセス行為を時間スライディングウィンドウを用いてモニタリングして、アクセス行為を評価することにより、ユーザのアクセス行為に悪意があるか否かを判断する、という有益な効果を奏する。
一実施例において、
前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得するステップと、
nとmとの比例が所定の第1の比例閾値を超えるのかを判断するステップと
を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む。
本発明の実施例に係る技術案は、各タイムスライス内のアクセス行為をモニタリングし、アクセス回数が持続して高い数値のままであるのかを検査することにより、アクセス行為に悪意があるか否かを判断するので、その評価結果がより正確になる、という有益な効果を奏する。
一実施例において、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
前記時間分散が所定の分散閾値を超えるのかを判断するステップと
を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む。
本発明の実施例に係る技術案は、時間間隔の分散計算を行うことにより、アクセス行為が固定頻度で発生するのかを判断し、アクセス行為が固定頻度で発生する場合、当該アクセス行為は、ユーザによる行為ではなく、ソフトウェアによる行為であると判断することができるので、悪意のある行為をより正確に識別することができる、という有益な効果を奏する。
一実施例において、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
前記時間分散と時間間隔の平均値との比率を計算するステップと、
前記比率が所定の第2の比例閾値より小さいかを判断するステップと
を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む。
本発明の実施例に係る技術案は、分散と時間間隔の平均値をさらに比較することにより、悪意のある行為をより正確に識別することができる、という有益な効果を奏する。
一実施例において、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ内のアクセス行為の総回数を取得するステップと、
前記総回数が所定の総回数閾値を超えるのかを判断するステップと、
その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、を含む。
本発明の実施例に係る技術案は、上記技術案を基に、アクセス行為の総回数を用いてアクセス行為をさらに評価することにより、悪意のある行為をより正確に識別することができる、という有益な効果を奏する。
本発明の実施例の第2の局面によれば、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得するための取得モジュールと、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するための評価モジュールと、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するための判断モジュールと
を含むユーザ行為識別装置を提供する。
一実施例において、
前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
前記評価モジュールは、
タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得するためのタイムスライスサブモジュールと、
nとmとの比例が所定の第1の比例閾値を超えるのかを判断するための第1比例サブモジュールと
を含み、
前記判断モジュールは、
nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、
前記評価モジュールは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するための間隔サブモジュールと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するための分散サブモジュールと、
前記時間分散が所定の分散閾値を超えるのかを判断するための第1の評価サブモジュールと
を含み、
前記判断モジュールは、
前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、
前記評価モジュールは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するための間隔サブモジュールと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するための分散サブモジュールと、
前記時間分散と時間間隔の平均値との比率を計算するための比率サブモジュールと、
前記比率が所定の第2の比例閾値より小さいかを判断するための第2の比例サブモジュールと
を含み、
前記判断モジュールは、
前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、
前記評価モジュールは、
前記時間スライディングウィンドウ内のアクセス行為の総回数を取得するための総回数サブモジュールと、
前記総回数が所定の総回数閾値を超えるのかを判断するための総回数判断サブモジュールと、
その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するための第2の評価サブモジュールと、を含む。
本発明の実施例の第3の局面によれば、
プロセッサと、
プロセッサにより実行可能なインストラクションを格納するためのメモリと
を含むユーザ行為識別装置を提供するが、
前記プロセッサは、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得し、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価し、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断する
ように構成される。
本発明の実施例の第4の局面によれば、
プロセッサにより実行されることにより、本発明の実施例の第1の態様によるユーザ行為識別方法を実現するためのプログラムを提供する。
本発明の実施例の第5の局面によれば、
本発明の実施例の第4の態様によるプログラムが記録された記録媒体を提供する。
以上の一般的な説明と以下のような細部的な説明は、例示的なものであって、本発明に対する限定として理解してはいけない。
以下の図面は、明細書に盛り込まれて明細書の一部分を構成し、本発明の実施例に対する説明に用いられるとともに、本発明の原理を解釈するために用いられる。
本発明の例示的な一実施例に係るユーザ行為識別方法のフローチャートである。 本発明の例示的な一実施例に係るユーザ行為識別方法のフローチャートである。 本発明の例示的な一実施例に係るユーザ行為識別方法のフローチャートである。 本発明の例示的な一実施例に係るユーザ行為識別装置のブロック図である。 本発明の例示的な一実施例に係る評価モジュールのブロック図である。 本発明の例示的な一実施例に係る評価モジュールのブロック図である。 本発明の例示的な一実施例に係る評価モジュールのブロック図である。 本発明の例示的な一実施例に係る評価モジュールのブロック図である。 本発明の例示的な一実施例に係る装置のブロック図である。
以下、図面を参照して、例示的な実施例について詳細に説明する。以下の図面に関する説明において、別途の説明がない限り、異なる図面中の同一の符号は、同一又は類似する要素を示すこととする。以下の例示的実施例において説明する複数の実施形態は、本発明に係る全ての実施形態を代表するわけではない。逆に、それらは、添付の特許請求の範囲に記載される本発明の一部の態様を示す装置及び方法の例に過ぎない。
現在、ネットでのイベントが頻繁に行われ、ネット店舗は、期間限定の値引きイベントを頻繁に開催する。ユーザは、低価格商品を買うために、短い時間内に当該店舗のウェブサイトに頻繁にアクセスする。一部のユーザは、商品を争って買うために開発されたソフトウェアを利用して購入行為を行う。商品を争って買うために開発されたソフトウェアは、一般ユーザより高いアクセス頻度で店舗のウェブサイトをアクセスすることができる。しかし、商品を争って買うために開発されたソフトウェアによるアクセス行為は、一種の悪意のある行為に該当し、ウェブサイトが一時的に閲覧不能状態になりうる。一つの解決案として、所定時間内のアクセス回数が所定の閾値を超えるか否かを判断し、超える場合、悪意のあるアクセス行為が存在すると判断する。しかし、当該識別方法は、比較的単一であり、当該アクセス回数がユーザの行為によるものなのか、それとも商品を争って買うために開発されたソフトウェアによるものなのかを、正確に識別することができず、識別結果は正確でない。
本実施例では、当該問題を解決するために、端末によるアクセス行為を時間スライディングウィンドウにてモニタリングすることにより、端末によるアクセス行為に悪意があるか否かを正確に識別することができる。
本実施例における時間スライディングウィンドウは、動的な時間ウィンドウであり、長さが一定であり、例えば3600秒間である。当該時間スライディングウィンドウは、終了位置が常に現在時間であるため、時間の経過とともに移動する。
従来技術における所定時間長さに基づいてアクセス回数を検出する技術案として、例えば、所定時間長さが1000秒間であり、0〜1000秒の間に一回検出し、1001〜2000秒の間に一回検出し、以降はこれをもって類推する。しかしながら、500〜1500秒の間に発生するアクセス行為は検出することができない。一方、本実施例では、時間スライディングウィンドウの移動に伴いリアルタイムに検出を行うようにする。例えば、時間スライディングウィンドウは、所定時間長さが1000秒間であり、0〜1000秒の間に一回検出し、1〜1001秒の間に一回検出し、2〜1002秒の間に一回検出し、以降はこれをもって類推する。本実施例は、従来技術の技術案に比較し、検出結果がより正確で、悪意のある行為をより正確に識別することができる。
図1は、例示的な一実施例に係るユーザ行為識別方法のフローチャートである。当該方法は、サーバにより実現され、図1に示すように、以下のステップを含む。
ステップ101において、所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得する。
ステップ102において、前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
ステップ103において、評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断する。
本実施例では、端末によるアクセス行為を時間スライディングウィンドウ内でリアルタイムにモニタリングすることができ、一定時間内のアクセス行為をモニタリングしてアクセス行為に悪意があるかを評価することができるので、識別結果がより正確になる。本実施例では、単一端末の行為に対してモニタリング及び評価を行っているが、ユーザ名、IP(インターネットプロトコル)アドレス又はMAC(媒体アクセス制御)アドレスなどにより端末を特定することができる。
悪意のあるアクセスの存在が識別されると、例えば、検証コードの送信を端末に要求するか、または、当該ユーザ(又は当該端末)のアクセスを一時的に遮断するか、または、当該ユーザをブラックリストに加えることにより当該ユーザのアクセスを永久に拒否するか、または、警告メッセージをユーザに送信するなど、複数種類の手段を採用することができる。
一実施例において、ステップ102はステップAとして実現される。
ステップAにおいて、前記時間スライディングウィンドウ中の各タイムスライス内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
本実施例では、時間スライディングウィンドウをさらに同一長さ(等分)の複数のタイムスライスに細分する。例えば、時間スライディングウィンドウの所定時間長さが3600秒間であり、10個のタイムスライスを含む場合、各タイムスライスの時間長さは360秒間である。本実施例は、タイムスライスを単位にユーザのアクセス行為をモニタリングすることにより、モニタリングの粒度をさらに縮小することができ、悪意のある行為をより正確に識別することができる。しかも、本実施例では、各タイムスライス内のアクセス行為及び時間スライディングウィンドウ内の全体のアクセス行為に基づいて評価を行うため、その評価結果がより正確になる。
一実施例において、ステップAは、ステップA1とステップA2とを含む。
ステップA1において、タイムスライス毎に、タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるのかを判断することにより、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得する。
ステップA2において、nとタイムスライス総数mの比例が所定の第1の比例閾値を超えるのかを判断する。
ステップ103は、ステップA3として実現される。
ステップA3において、nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
即ち、アクセス回数が所定のスライス回数閾値を超えるタイムスライスを決定する。タイムスライス総数に占めるスライス回数閾値を超えるタイムスライスの数の比例が、所定の第1の比例閾値を超えるのかを判断する。その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
本実施例において、タイムスライス総数に占めるスライス回数閾値を超えるタイムスライスの数の比例が、所定の第1の比例閾値を超える場合、アクセス回数が高すぎて、悪意のあるアクセスが存在すると判断する。そうでない場合、悪意のあるアクセスが存在しないと判断する。
例えば、時間スライディングウィンドウTが3600秒間の長さを有し、10個のタイムスライスt1〜t10を含む場合、各タイムスライスの長さは360秒間である。10個のタイムスライスに対応するアクセス回数は、それぞれ、t1=50、t2=60、t3=52、t4=55、t5=48、t6=56、t7=58、t8=54、t9=56、t10=57である。スライス回数閾値が50であるとすれば、タイムスライスt5を除く他の9個のタイムスライスに対するアクセス回数は、いずれもスライス回数閾値を超えている。スライス回数閾値を超えるタイムスライスの数がタイムスライス総数に占める比例は、9/10=90%として算出される。第1の比例閾値が90%である場合、スライス回数閾値を超えるタイムスライスの数がタイムスライス総数に占める比例である90%と第1の比例閾値である90%を比較することにより、アクセス行為を評価して、当該時間スライディングウィンドウT内に悪意のあるアクセス行為が存在すると判断することができる。
一実施例において、ステップ102は、さらに、技術案Bにより実現される。
技術案Bのうち、
ステップB1において、前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
ステップB2において、取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
ステップB3において、前記時間分散に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。ここで、前記時間分散が所定の分散閾値を超えるのかを判断する。
ステップ103において、前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
本実施例では、時間分散を所定の分散閾値と比較し、所定の分散閾値より大きい場合、分散が比較的大きいこと、即ちアクセス行為の時間間隔の変動が比較的大きいことを示しているので、当該アクセス行為は、商品を争って買うために開発されたソフトウェアによる行為ではなく、ユーザによる行為であると判断し、さらに、悪意のある行為が存在しないと判断することができる。逆に、所定の分散閾値以下である場合、悪意のある行為が存在すると判断する。
例えば、前記時間スライディングウィンドウ中の互い隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔x1、x2、x3…xnを取得する。この場合、以下の式により分散を算出することができる。
ここで、
はx1〜xnの平均値であり、sは算出する分散である。
一実施例において、技術案Bは、ステップA1〜A3と組み合わせることができる。例えば、各タイムスライスに対応する分散を計算し、分散が分散閾値より大きいタイムスライスを特定して、分散が分散閾値より大きいタイムスライスの数とタイムスライス総数の比例を決定し、さらに、当該比例を第1の比例閾値と比較して、悪意のあるアセクスが存在するかを判断する。
一実施例において、技術案Bをさらに改良することができる。ステップB3は、ステップB31〜B32を含むことができる。
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
ステップB31において、前記時間分散と時間間隔の平均値との比率を計算する。
ステップB32において、前記比率が所定の第2の比例閾値より小さいか否かを判断する。その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
ステップ103は、ステップB33として実現される。
ステップB33において、前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
本実施例において、時間分散と時間間隔の平均値との比率が所定の第2の比例閾値未満である場合、当該時間分散を持つ時間間隔は時間間隔の平均値とは非常に近い値であるので、当該アクセス行為が、商品を争って買うために開発されたソフトウェアによる行為であり、悪意のあるアクセスが存在すると判断することができる。そうでない場合、当該アクセス行為は、ユーザによる行為であり、悪意のあるアクセスが存在しないと判断することができる。
例えば、平均値xが1であり、時間分散が0.5である場合、時間分散と平均値との比例は50%であり、所定の第2の比例閾値10%より大きい。0.5である分散は、比較的小さいものの、平均値1からの外れ度合いが比較的大きい。
また、例えば、平均値xが10であり、時間分散が0.5である場合、時間分散と平均値との比例は5%であり、所定の第2の比例閾値10%より小さい。10である平均値が比較的大きいため、0.5である時間分散を持つ時間間隔は平均値に非常に近い。
本実施例では、分散と平均値との接近度合い(他の面から見ると、外れ度合いとも言える)を比較することにより、アクセス行為をより正確に評価することができる。
一実施例において、ステップ102は、技術案Cとして実現される。
技術案Cのうち、
ステップC1において、前記時間スライディングウィンドウ内のアクセス行為の総回数を取得する。
ステップC2において、前記総回数が所定の総回数閾値を超えるのかを判断する。
ステップC3において、その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
本実施例において、時間スライディングウィンドウ内のアクセス行為の総回数が総回数閾値を超えると、アクセス量が高すぎて、悪意のあるアクセスが存在すると判断する。そうでない場合、悪意のあるアクセスが存在しないと判断する。
一実施例において、技術案Cは、上記の技術案と組み合わせることができる。ステップA又は技術案Bの判断結果の基に、さらに、技術案Cの判断を行い、いずれも悪意のあるアクセスが存在すると判断される場合のみにおいて、悪意のあるアクセスが存在すると結論付けることができる。
以下、幾つかの実施例を通じて、ユーザ行為識別方法を紹介するようにする。
図2は、例示的な一実施例に係るユーザ行為識別方法のフローチャートである。当該方法は、サーバにより実現され、図2に示すように、以下のステップを含む。
ステップ201において、所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得する。
ステップ202において、時間スライディングウィンドウ中のタイムスライス毎に、タイムスライスに対応するアクセス回数を所定のスライス回数閾値と比較する。
ステップ203において、アクセス回数が所定のスライス回数閾値を超えるタイムスライスを決定する。
ステップ204において、スライス回数閾値を超えるタイムスライスの数がタイムスライス総数に占める比例を計算する。
ステップ205において、算出した比例が所定の第1の比例閾値を超えるのかを判断する。所定の第1の比例閾値を超える場合、ステップ206に移り、所定の第1の比例閾値を超えない場合、ステップ207に移る。
ステップ206において、悪意のあるアクセスが存在すると判断する。
ステップ207において、悪意のあるアクセスが存在しないと判断する。
本実施例では、タイムスライスを用いてアクセス行為をより細かくモニタリングすることができる。アクセス回数を小さい粒度にてモニタリングすることにより、悪意のあるアクセスが存在するかをより正確に識別することができる。
図3は、例示的な一実施例に係るユーザ行為識別方法のフローチャートである。当該方法は、サーバにより実現され、図3に示すように、以下のステップを含む。
ステップ301において、所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得する。
ステップ302において、前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
ステップ303において、取得した時間間隔に基づいて、時間間隔の平均値を計算する。
ステップ304において、取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
ステップ305において、前記時間分散と時間間隔の平均値との比率を計算する。
ステップ306において、前記比率が所定の第2の比例閾値より小さいかを判断する。所定の第2の比例閾値より小さい場合、ステップ307に移り、所定の第2の比例閾値以上である場合、ステップ308に移る。
ステップ307において、悪意のあるアクセスが存在すると判断する。
ステップ308において、悪意のあるアクセスが存在しないと判断する。
本実施例では、分散を用いて、取得したアクセス行為が均一な時間間隔で発生したのかを判断する。そうである場合、ユーザによるアクセス行為ではなく、ソフトウェアによるアクセス行為であると判断し、悪意のあるアクセスが存在すると判断する。そうではない場合、悪意のあるアクセスが存在しないと判断する。当該方法によれば、悪意のあるアクセス行為をより正確に識別することができる。
以上の説明により、サーバにより実現されるユーザ行為識別方法がより一層明確になった。装置の内部構造と機能について以下に記載する。
図4は、例示的な一実施例に係るユーザ行為識別装置の模式図である。図4を参照して、当該装置は、取得モジュール401と、評価モジュール402と、判断モジュール403とを含む。
取得モジュール401は、所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得する。
評価モジュール402は、前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
判断モジュール403は、その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断する。
一実施例において、前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含む。図5に示すように、前記評価モジュール402は、タイムスライスサブモジュール4021と、第1比例サブモジュール4028とを含む。
タイムスライスサブモジュール4021は、タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得する。
第1比例サブモジュール4028は、nとmとの比例が所定の第1の比例閾値を超えるのかを判断する。
前記判断モジュール403は、nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、前記評価モジュール402は、図6Aに示すように、間隔サブモジュール4022と、分散サブモジュール4023と、第1の評価サブモジュール4024とを含む。
間隔サブモジュール4022は、前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
分散サブモジュール4023は、取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
第1の評価サブモジュール4024は、前記時間分散が所定の分散閾値を超えるのかを判断する。
前記判断モジュール403は、前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、タイムスライスサブモジュール4021は、間隔サブモジュール4022と、分散サブモジュール4023と、第1の評価サブモジュール4024とを含んでもよい。
一実施例において、前記評価モジュール402は、図6Bに示すように、間隔サブモジュール4022と、分散サブモジュール4023と、比率サブモジュール4029と、第2の比例サブモジュール40210とを含む。
間隔サブモジュール4022は、前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得する。
分散サブモジュール4023は、取得した時間間隔に基づいて、アクセス行為の時間分散を計算する。
比率サブモジュール4029は、前記時間分散と時間間隔の平均値との比率を計算する。
第2の比例サブモジュール40210は、前記比率が所定の第2の比例閾値より小さいかを判断する。
前記判断モジュール403は、前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する。
一実施例において、前記評価モジュール402は、図7に示すように、総回数サブモジュール4025と、総回数判断サブモジュール4026と、第2の評価サブモジュール4027とを含む。
総回数サブモジュール4025は、前記時間スライディングウィンドウ内のアクセス行為の総回数を取得する。
総回数判断サブモジュール4026は、前記総回数が所定の総回数閾値を超えるのかを判断する。
第2の評価サブモジュール4027は、その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価する。
上記実施例に係る装置において、各モジュールによる操作の具体的な形態は、ユーザ行為識別方法に関する実施例において既に詳細に説明しているため、ここでは、その詳細な説明を省略するようにする。
図8は、例示的な一実施例に係るユーザ行為識別に用いられる装置800のブロック図である。例えば、装置800は、コンピュータとして提供されてもよい。図8を参照して、装置800は、1つ又は複数のプロセッサを含む処理アセンブリ822と、処理アセンブリ822により実行可能なインストラクション、例えばアプリケーションプログラムを格納するための、メモリ832をはじめとするメモリ資源を含む。メモリ832に格納されるアプリケーションプログラムは、それぞれ一組のインストラクションに対応する1つ又は複数のモジュールを含んでもよい。また、処理アセンブリ822は、インストラクションを実行することにより、上記のユーザ行為識別方法を実行するように配置される。
装置800は、装置800の電源管理を実行するように配置される電源アセンブリ826と、装置800をネットワークに接続するための1つの有線又は無線のネットワークインタフェース850と、1つの入出力(I/O)インタフェースス858とを含んでもよい。装置800は、例えばWindows ServerTM、Mac OS XTM、UnixTM、LinuxTM、FreeBSDTM又は類似するオペレーションシステムのような、メモリ832に格納されるオペレーションシステムを備えてもよい。
プロセッサと、プロセッサにより実行可能なインストラクションを格納するためのメモリとを含むユーザ行為識別装置において、
前記プロセッサは、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得し、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価し、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断する、ように構成される。
前記プロセッサは、さらに、
前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することは、
タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライス取得することと、
nとmとの比例が所定の第1の比例閾値を超えるのかを判断することを含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断することは、
nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断することを含む
ように構成されてもよい。
前記プロセッサは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得することと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算することと、
前記時間分散が所定の分散閾値を超えるのかを判断することと、を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断することは、
前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断することを含む
ように構成されてもよい。
前記プロセッサは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得することと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算することと、
前記時間分散と時間間隔の平均値との比率を計算することと、
前記比率が所定の第2の比例閾値より小さいか否かを判断することを含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断することは、
前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断することを含む
ように構成されてもよい。
前記プロセッサは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することは、
前記時間スライディングウィンドウ内のアクセス行為の総回数を取得することと、
前記総回数が所定の総回数閾値を超えるのかを判断することと、
その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価することと、を含む
ように構成されてもよい。
コンピュータ読み取り可能な非揮発性の記録媒体において、前記記録媒体中のインストラクションが移動端末のプロセッサにより実行される場合、移動端末がユーザ行為識別方法を実行することができる。
前記ユーザ行為識別方法は、
所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得するステップと、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップと
を含む。
前記記録媒体中のインストラクションは、さらに、
前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得するステップと、
nとmとの比例が所定の第1の比例閾値を超えるのかを判断するステップとを含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む
ように構成されてもよい。
前記記録媒体中のインストラクションは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
前記時間分散が所定の分散閾値を超えるのかを判断するステップと、を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む
ように構成されてもよい。
前記記録媒体中のインストラクションは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
前記時間分散と時間間隔の平均値との比率を計算するステップと、
前記比率が所定の第2の比例閾値より小さいかを判断するステップと、を含み、
その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む
ように構成されてもよい。
前記記録媒体中のインストラクションは、さらに、
前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
前記時間スライディングウィンドウ内のアクセス行為の総回数を取得するステップと、
前記総回数が所定の総回数閾値を超えるのかを判断するステップと、
その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、を含む
ように構成されてもよい。
当業者は、明細書を理解し、且つここで開示した発明を実施することにより、本発明の他の実施例に容易に想到することができる。本願は、本発明のあらゆる変更、用途または適応を含むことをその趣旨とする。これらの変更、用途または適応は、本発明の一般的な原理に基づき、本願において開示されていない本技術分野の公知常識又は慣用技術手段を含む。明細書と実施例は、単に例示的なものに過ぎない。本発明の範囲と精神は、添付の特許請求の範囲により示される。
本発明は、以上の記載および図面により示される正確な構造に限られることはなく、その範囲を逸脱しない限り様々な修正や変更が可能であることと、理解すべきである。本発明の範囲は、添付する特許請求の範囲のみにより限定される。
本願は、出願番号がCN201410708281.6であって、出願日が2014年11月27日である中国特許出願に基づき優先権を主張し、当該中国特許出願のすべての内容は本願に援用される。

Claims (11)

  1. 所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得するステップと、
    前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、
    その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップと
    を含むことを特徴とするユーザ行為識別方法。
  2. 前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
    前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
    タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得するステップと、
    nとmとの比例が所定の第1の比例閾値を超えるのかを判断するステップと
    を含み、
    その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
    nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む
    ことを特徴とする請求項1に記載のユーザ行為識別方法。
  3. 前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
    前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
    取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
    前記時間分散が所定の分散閾値を超えるのかを判断するステップと
    を含み、
    その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
    前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む
    ことを特徴とする請求項1に記載のユーザ行為識別方法。
  4. 前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
    前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するステップと、
    取得した時間間隔に基づいて、アクセス行為の時間分散を計算するステップと、
    前記時間分散と時間間隔の平均値との比率を計算するステップと、
    前記比率が所定の第2の比例閾値より小さいかを判断するステップと
    を含み、
    その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するステップは、
    前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断するステップを含む
    ことを特徴とする請求項1に記載のユーザ行為識別方法。
  5. 前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップは、
    前記時間スライディングウィンドウ内のアクセス行為の総回数を取得するステップと、
    前記総回数が所定の総回数閾値を超えるのかを判断するステップと、
    その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するステップと、を含む
    ことを特徴とする請求項1に記載のユーザ行為識別方法。
  6. 所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得するための取得モジュールと、
    前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するための評価モジュールと、
    その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断するための判断モジュールと
    を含むことを特徴とするユーザ行為識別装置。
  7. 前記時間スライディングウィンドウは、m個に等分されたタイムスライスを含み、
    前記評価モジュールは、
    タイムスライス内のアクセス回数が所定のスライス回数閾値を超えるかをタイムスライス毎に判断して、アクセス回数が所定のスライス回数閾値を超えるn個のタイムスライスを取得するためのタイムスライスサブモジュールと、
    nとmとの比例が所定の第1の比例閾値を超えるのかを判断するための第1比例サブモジュールと
    を含み、
    前記判断モジュールは、
    nとmとの比例が所定の第1の比例閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する
    ことを特徴とする請求項6に記載のユーザ行為識別装置。
  8. 前記評価モジュールは、
    前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するための間隔サブモジュールと、
    取得した時間間隔に基づいて、アクセス行為の時間分散を計算するための分散サブモジュールと、
    前記時間分散が所定の分散閾値を超えるのかを判断するための第1の評価サブモジュールと
    を含み、
    前記判断モジュールは、
    前記時間分散が所定の分散閾値を超える場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する
    ことを特徴とする請求項6に記載のユーザ行為識別装置。
  9. 前記評価モジュールは、
    前記時間スライディングウィンドウ中の互いに隣接する2つのアクセス行為毎に、互いに隣接する2つのアクセス行為の時間間隔を取得するための間隔サブモジュールと、
    取得した時間間隔に基づいて、アクセス行為の時間分散を計算するための分散サブモジュールと、
    前記時間分散と時間間隔の平均値との比率を計算するための比率サブモジュールと、
    前記比率が所定の第2の比例閾値より小さいかを判断するための第2の比例サブモジュールと
    を含み、
    前記判断モジュールは、
    前記比率が所定の第2の比例閾値より小さい場合、前記端末によるアクセス行為が悪意のあるアクセスであると判断する
    ことを特徴とする請求項6に記載のユーザ行為識別装置。
  10. 前記評価モジュールは、
    前記時間スライディングウィンドウ内のアクセス行為の総回数を取得するための総回数サブモジュールと、
    前記総回数が所定の総回数閾値を超えるのかを判断するための総回数判断サブモジュールと、
    その判断結果に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価するための第2の評価サブモジュールと、を含む
    ことを特徴とする請求項6に記載のユーザ行為識別装置。
  11. プロセッサと、
    プロセッサにより実行可能なインストラクションを格納するためのメモリと
    を含む、ユーザ行為識別装置において、
    前記プロセッサは、
    所定の時間スライディングウィンドウ内の端末によるアクセス行為を取得し、
    前記時間スライディングウィンドウ内のアクセス行為に基づいて、前記時間スライディングウィンドウ内のアクセス行為を評価し、
    その評価結果に基づいて、前記端末によるアクセス行為が悪意のあるアクセスであるのかを判断する、ように構成される
    ことを特徴とするユーザ行為識別装置。

JP2016561070A 2014-11-27 2015-04-30 ユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体 Pending JP2017503293A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410708281.6A CN104486298B (zh) 2014-11-27 2014-11-27 识别用户行为的方法及装置
CN201410708281.6 2014-11-27
PCT/CN2015/078019 WO2016082462A1 (zh) 2014-11-27 2015-04-30 识别用户行为的方法及装置

Publications (1)

Publication Number Publication Date
JP2017503293A true JP2017503293A (ja) 2017-01-26

Family

ID=52760802

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016561070A Pending JP2017503293A (ja) 2014-11-27 2015-04-30 ユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体

Country Status (9)

Country Link
US (1) US20160156653A1 (ja)
EP (1) EP3026864B1 (ja)
JP (1) JP2017503293A (ja)
KR (1) KR101677217B1 (ja)
CN (1) CN104486298B (ja)
BR (1) BR112015018912A2 (ja)
MX (1) MX350670B (ja)
RU (1) RU2628127C2 (ja)
WO (1) WO2016082462A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11240258B2 (en) 2015-11-19 2022-02-01 Alibaba Group Holding Limited Method and apparatus for identifying network attacks

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486298B (zh) * 2014-11-27 2018-03-09 小米科技有限责任公司 识别用户行为的方法及装置
CN104881479B (zh) * 2015-06-03 2018-07-13 北京京东尚科信息技术有限公司 一种限制用户最小操作间隔的方法及装置
CN106327230B (zh) * 2015-06-30 2019-12-24 阿里巴巴集团控股有限公司 一种异常用户检测方法及设备
CN104967629B (zh) * 2015-07-16 2018-11-27 网宿科技股份有限公司 网络攻击检测方法及装置
CN105282047B (zh) * 2015-09-25 2020-04-14 小米科技有限责任公司 访问请求处理方法及装置
CN111629010B (zh) * 2015-11-23 2023-03-10 创新先进技术有限公司 一种恶意用户识别方法及装置
EP4102437A1 (en) * 2016-03-04 2022-12-14 Axon Vibe AG Systems and methods for predicting user behavior based on location data
CN106506451B (zh) * 2016-09-30 2019-08-27 百度在线网络技术(北京)有限公司 恶意访问的处理方法及装置
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
CN106657410B (zh) * 2017-02-28 2018-04-03 国家电网公司 基于用户访问序列的异常行为检测方法
CN107046489B (zh) * 2017-04-07 2020-07-28 上海熙菱信息技术有限公司 一种频次类实时统计模型系统及方法
CN107481090A (zh) * 2017-07-06 2017-12-15 众安信息技术服务有限公司 一种用户异常行为检测方法、装置和系统
FR3094518B1 (fr) 2019-04-01 2021-02-26 Idemia Identity & Security France Procédé de détection de bots dans un réseau d’utilisateurs
KR102295463B1 (ko) * 2019-07-12 2021-08-27 경상국립대학교산학협력단 가속도 센서를 구비한 돼지이표
KR102034998B1 (ko) * 2019-07-12 2019-10-22 경상대학교산학협력단 돼지움직임 감지용 광이표
CN111224939B (zh) * 2019-11-15 2022-07-12 上海钧正网络科技有限公司 任务请求的拦截方法、装置、计算机设备和存储介质
CN110933115B (zh) * 2019-12-31 2022-04-29 上海观安信息技术股份有限公司 基于动态session的分析对象行为异常检测方法及装置
CN113114611B (zh) * 2020-01-13 2024-02-06 北京沃东天骏信息技术有限公司 黑名单管理的方法和装置
CN112784288B (zh) * 2021-01-22 2024-05-10 尚娱软件(深圳)有限公司 访问管理方法、终端及计算机可读存储介质
US11991196B2 (en) 2021-03-04 2024-05-21 Qatar Foundation For Education, Science And Community Development Anomalous user account detection systems and methods
CN113553528B (zh) * 2021-07-23 2024-12-13 咪咕文化科技有限公司 业务访问频率控制方法、装置、计算设备和存储介质
US12481758B2 (en) * 2022-09-29 2025-11-25 Mcafee, Llc Methods and apparatus to disable select processes for malware prevention

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2006279930A (ja) * 2005-03-01 2006-10-12 Nec Corp 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
US20080208866A1 (en) * 2007-02-23 2008-08-28 International Business Machines Corporation Identification, notification, and control of data access quantity and patterns
JP2009111448A (ja) * 2007-10-26 2009-05-21 Mitsubishi Electric Corp 不正アクセス検知装置及び不正アクセス検知方法及びプログラム
US20090144545A1 (en) * 2007-11-29 2009-06-04 International Business Machines Corporation Computer system security using file system access pattern heuristics
JP2009217555A (ja) * 2008-03-11 2009-09-24 Mitsubishi Electric Corp ネットワーク異常判定装置
US20100121916A1 (en) * 2008-11-12 2010-05-13 Lin Yeejang James Method for adaptively building a baseline behavior model
US20100122120A1 (en) * 2008-11-12 2010-05-13 Lin Yeejang James System And Method For Detecting Behavior Anomaly In Information Access
JP2010146160A (ja) * 2008-12-17 2010-07-01 Kureo:Kk 通信管理装置、通信管理方法、およびプログラム
US20100192201A1 (en) * 2009-01-29 2010-07-29 Breach Security, Inc. Method and Apparatus for Excessive Access Rate Detection
CN102769549A (zh) * 2011-05-05 2012-11-07 腾讯科技(深圳)有限公司 网络安全监控的方法和装置
JP2013522936A (ja) * 2010-01-21 2013-06-13 アリババ・グループ・ホールディング・リミテッド 悪意のあるアクセスの遮断
JP2013191133A (ja) * 2012-03-15 2013-09-26 Mitsubishi Electric Corp アドレス抽出装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100479328B1 (ko) * 2002-12-24 2005-03-31 한국전자통신연구원 슬라이딩 윈도우 캐쉬 구조
KR101074597B1 (ko) * 2004-09-17 2011-10-17 주식회사 케이티 가상 웹서버 기반의 침입 유도 시스템 및 그 방법
RU2460220C2 (ru) * 2007-01-16 2012-08-27 Абсолют Софтвеа Корпорейшн Модуль обеспечения безопасности, включающий вторичный агент, взаимодействующий с главным агентом
EP2009864A1 (en) * 2007-06-28 2008-12-31 Nibelung Security Systems GmbH Method and apparatus for attack prevention
CN101446956A (zh) * 2008-12-12 2009-06-03 北京理工大学 预测模型的在线增量式插入与删除方法
US9805271B2 (en) * 2009-08-18 2017-10-31 Omni Ai, Inc. Scene preset identification using quadtree decomposition analysis
US9571508B2 (en) * 2011-07-29 2017-02-14 Hewlett Packard Enterprise Development Lp Systems and methods for distributed rule-based correlation of events
US20130291107A1 (en) * 2012-04-27 2013-10-31 The Irc Company, Inc. System and Method for Mitigating Application Layer Distributed Denial of Service Attacks Using Human Behavior Analysis
US20140304833A1 (en) * 2013-04-04 2014-10-09 Xerox Corporation Method and system for providing access to crowdsourcing tasks
CN104113519B (zh) * 2013-04-16 2017-07-14 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети
CN104486298B (zh) * 2014-11-27 2018-03-09 小米科技有限责任公司 识别用户行为的方法及装置

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2006279930A (ja) * 2005-03-01 2006-10-12 Nec Corp 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
US20080208866A1 (en) * 2007-02-23 2008-08-28 International Business Machines Corporation Identification, notification, and control of data access quantity and patterns
JP2009111448A (ja) * 2007-10-26 2009-05-21 Mitsubishi Electric Corp 不正アクセス検知装置及び不正アクセス検知方法及びプログラム
US20090144545A1 (en) * 2007-11-29 2009-06-04 International Business Machines Corporation Computer system security using file system access pattern heuristics
JP2009217555A (ja) * 2008-03-11 2009-09-24 Mitsubishi Electric Corp ネットワーク異常判定装置
US20100121916A1 (en) * 2008-11-12 2010-05-13 Lin Yeejang James Method for adaptively building a baseline behavior model
US20100122120A1 (en) * 2008-11-12 2010-05-13 Lin Yeejang James System And Method For Detecting Behavior Anomaly In Information Access
JP2010146160A (ja) * 2008-12-17 2010-07-01 Kureo:Kk 通信管理装置、通信管理方法、およびプログラム
US20100192201A1 (en) * 2009-01-29 2010-07-29 Breach Security, Inc. Method and Apparatus for Excessive Access Rate Detection
JP2013522936A (ja) * 2010-01-21 2013-06-13 アリババ・グループ・ホールディング・リミテッド 悪意のあるアクセスの遮断
CN102769549A (zh) * 2011-05-05 2012-11-07 腾讯科技(深圳)有限公司 网络安全监控的方法和装置
JP2013191133A (ja) * 2012-03-15 2013-09-26 Mitsubishi Electric Corp アドレス抽出装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
北村 光芳, 電子情報通信学会2001年総合大会講演論文集 通信2, JPN6016049313, 7 March 2001 (2001-03-07), pages 345, ISSN: 0003467274 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11240258B2 (en) 2015-11-19 2022-02-01 Alibaba Group Holding Limited Method and apparatus for identifying network attacks

Also Published As

Publication number Publication date
MX2015009131A (es) 2016-08-01
KR101677217B1 (ko) 2016-11-17
BR112015018912A2 (pt) 2017-07-18
MX350670B (es) 2017-09-12
KR20160077009A (ko) 2016-07-01
WO2016082462A1 (zh) 2016-06-02
US20160156653A1 (en) 2016-06-02
CN104486298B (zh) 2018-03-09
RU2015128769A (ru) 2017-01-20
EP3026864A1 (en) 2016-06-01
RU2628127C2 (ru) 2017-08-15
CN104486298A (zh) 2015-04-01
EP3026864B1 (en) 2018-09-26

Similar Documents

Publication Publication Date Title
JP2017503293A (ja) ユーザ行為識別方法及びユーザ行為識別装置、プログラム、及び記録媒体
US11657299B1 (en) System and method for device identification and uniqueness
Kollnig et al. A fait accompli? an empirical study into the absence of consent to {Third-Party} tracking in android apps
US10459780B2 (en) Automatic application repair by network device agent
US10404743B2 (en) Method, device, server and storage medium of detecting DoS/DDoS attack
US10474820B2 (en) DNS based infection scores
CN105282047B (zh) 访问请求处理方法及装置
US9554292B2 (en) Methods and systems for performance monitoring for mobile applications
US8204928B2 (en) System and method for analyzing internet usage
US9641636B2 (en) Information pushing method and apparatus
CN106611120B (zh) 一种风险防控系统的评估方法及装置
US20170193382A1 (en) Systems and methods for determining real-time visitor segments
US20250023896A1 (en) Anomalous and suspicious role assignment determinations
US20160094392A1 (en) Evaluating Configuration Changes Based on Aggregate Activity Level
US9384356B2 (en) Obscuring internet tendencies
Heid et al. Haven't we met before?-Detecting Device Fingerprinting Activity on Android Apps
CN110083775B (zh) 一种推荐资源的配置方法及配置装置
US9135437B1 (en) Hypervisor enforcement of cryptographic policy
US20160142513A1 (en) Dependency information provision program, dependency information provision apparatus, and dependency information provision method
JP2019533255A (ja) ページリダイレクトループを検出する方法及び装置
CN119652587B (zh) 一种网络入侵检测方法、装置、设备及数据安全产品
CN115001759B (zh) 一种访问信息处理方法、装置、电子设备和可读存储介质
KR20150088047A (ko) 접속시간 기준 평판생성 방법, 그리고 이를 이용한 DDoS 방어 방법 및 시스템
Newmeyer Changing the future of cyber-situational awareness
US10701178B2 (en) Method and apparatus of web application server for blocking a client session based on a threshold number of service calls

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150625

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170330

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170905