本說明書實施例提供一種異動攻擊的檢測方法及裝置、安全防護設備。所述方法包括：基于攻擊維度和時間周期確定進行批量操作的操作群體；針對所述操作群體計算在每個所述時間周期內的攻擊指標；基于多個時間周期對所述操作群體的所述攻擊指標進行統計；以及基于統計結果確定所述操作群體是否屬于進行異動攻擊的操作群體。

技術領域

本說明書實施例涉及信息安全技術領域，特別涉及一種異動攻擊的檢測方法及裝置、安全防護設備。

背景技術

在風險防控中，主動性風險對抗的往往是黑色產業團伙的批量攻擊。例如批量注冊是以獲取利益為目標的利用虛假信息進行賬號注冊的行為，新賬號往往伴隨較好的新用戶優惠活動，因此注冊大量賬號可以獲取高額的利益；又例如批量優惠購買是利用大量已有的賬號進行營銷活動的套利行為，例如支付寶、淘寶等支付廠商或者電商網站有不定期的優惠活動，也會引起黑色產業的集中攻擊。

目前業界沒有為異動攻擊的監控定制識別框架，對批量攻擊的監控依賴于單點行為識別的統計。即傳統的防護和監控方式一般著眼于單點行為，例如一個注冊事件、一次優惠購買行為。

例如，批量注冊的單點識別方法可以包括：

注冊設備聚集，即用一個設備注冊多個賬號，基于設備標示能找出這些批量注冊的賬號進行管控；

行為聚集，由于批量注冊是由同一個黑色產業的團伙操控，因此其后續行為具有批量性，可以通過行為序列的挖掘進行序列分析，并識別匹配序列的賬號；

網絡分析，注冊者之間通過設備、環境可以進行關聯，如果一個連通子圖中有大量新注冊賬號，則意味著是一個批量注冊的團伙。

上述識別防范可以提取出批量注冊的“風險特征”，使用這些風險特征可以在單個注冊時刻分析風險并加以攔截；這些傳統的防護和監控方式的優點在于能夠細致地識別風險。

應該注意，上面對技術背景的介紹只是為了方便對本說明書的技術方案進行清楚、完整的說明，并方便本領域技術人員的理解而闡述的。不能僅僅因為這些方案在本說明書的背景技術部分進行了闡述而認為上述技術方案為本領域技術人員所公知。

發明內容

但是，發明人發現：傳統方案針對單點行為進行一些防護和監控，但是無法以較高的視角觀察全局，發現批量性異動攻擊的問題。因此，傳統的防護和監控方式的識別準確率和覆蓋率不可兼得，精準識別會帶來大量漏檢，而廣覆蓋識別會造成識別不夠精確。

針對上述問題的至少之一，本說明書實施例提供一種異動攻擊的檢測方法及裝置、安全防護設備；期待既能夠對批量操作進行準確的識別，又能夠覆蓋較多的風險。

根據本說明書實施例的第一個方面，提供一種異動攻擊的檢測方法，包括：

基于攻擊維度和時間周期確定進行批量操作的操作群體；其中所述攻擊維度包括屬性值相同的一個或多個屬性；

針對所述操作群體計算在每個所述時間周期內的攻擊指標；

基于多個時間周期對所述操作群體的所述攻擊指標進行統計；以及

基于統計結果確定所述操作群體是否屬于進行異動攻擊的操作群體。

根據本說明書實施例的第二個方面，提供一種異動攻擊的檢測裝置，包括：

群體確定單元，其基于攻擊維度和時間周期確定進行批量操作的操作群體；其中所述攻擊維度包括屬性值相同的一個或多個屬性；

指標計算單元，其針對所述操作群體計算在每個所述時間周期內的攻擊指標；

指標統計單元，其基于多個時間周期對所述操作群體的所述攻擊指標進行統計；以及

攻擊確定單元，其基于統計結果確定所述操作群體是否屬于進行異動攻擊的操作群體。