(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113923048A(43)申请公布日2022.01.11(21)申请号202111322748.X(22)申请日2021.11.09(71)申请人中国联合网络通信集团有限公司地址100033北京市西城区金融大街21号(72)发明人李峰梁婧(74)专利代理机构北京同立钧成知识产权代理有限公司11205代理人吴会英臧建明(51)Int.Cl.H04L9/40(2022.01)权利要求书3页说明书22页附图5页(54)发明名称网络攻击行为识别方法、装置、设备及存储介质(57)摘要本申请提供网络攻击行为识别方法、装置、设备及存储介质。该方法包括获取用户登录目标应用程序时的至少一种用户登录认证信息，用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息；获取预先配置的至少一种网络攻击行为识别策略；确定与每种网络攻击行为识别策略匹配的用户登录认证信息；采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。由于对网络攻击行为识别策略中使用的用户登录认证信息的伪造难度大，并且可以采用多种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为，因此可以提高识别网络攻击行为的准确率。CN113923048ACN113923048A权利要求书1/3页1.一种网络攻击行为识别方法，其特征在于，包括：获取用户登录目标应用程序时的至少一种用户登录认证信息，所述用户登录认证信息是用户登录目标应用程序时采用埋点技术所抓取的认证相关信息；获取预先配置的至少一种网络攻击行为识别策略；确定与每种网络攻击行为识别策略匹配的用户登录认证信息；采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。2.根据权利要求1所述的方法，其特征在于，所述采用至少一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为，包括：采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为。3.根据权利要求2所述的方法，其特征在于，所述用户登录认证信息包括：埋点采集流水号；所述网络攻击行为识别策略为登录绕行行为识别策略；所述采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为，包括：获取用户登录目标应用程序时产生的前端登录请求的流水号；采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号，并根据判断结果确定用户是否存在登录绕行行为。4.根据权利要求3所述的方法，其特征在于，所述采用登录绕行行为识别策略判断是否存在与前端登录请求的流水号一致的埋点采集流水号，并根据判断结果确定用户是否存在登录绕行行为，包括：首次判断是否存在与前端登录请求的流水号一致的埋点采集流水号；若首次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号，则在第一预设时长后再次判断是否存在与前端登录请求的流水号一致的埋点采集流水号；若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号，则在预设时间点末次确定是否存在与前端登录请求的流水号一致的埋点采集流水号；若末次判断结果中不存在与前端登录请求的流水号一致的埋点采集流水号，则确定用户存在登录绕行行为；若在首次判断结果或再次判断结果或末次判断结果中存在与前端登录请求的流水号一致的埋点采集流水号，则确定用户不存在登录绕行行为。5.根据权利要求4所述的方法，其特征在于，若首次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号，则还包括：将所述用户加入到三级疑似绕行行为禁止用户名单中，并限制所述用户第一预设时长内参与目标应用程序对应的至少一类预设活动；若再次判断结果中确定不存在与前端登录请求的流水号一致的埋点采集流水号，则还包括：将所述用户加入到二级疑似绕行行为禁止用户名单中，并限制所述用户当日参与目标应用程序对应的至少一类预设活动；若末次判断结果中不存在与前端登录请求的流水号一致的埋点采集流水号，则还包2CN113923048A权利要求书2/3页括：将所述用户加入到一级疑似绕行行为禁止用户名单中，并限制所述用户预设周数内参与目标应用程序对应的至少一类预设活动。6.根据权利要求2所述的方法，其特征在于，所述用户登录认证信息包括：手机号码、国际移动设备识别码IMEI及GPS信息；所述网络攻击行为识别策略为非本人登录行为识别策略；所述采用一种网络攻击行为识别策略及匹配的用户登录认证信息识别用户是否存在网络攻击行为，包括：确定用户在最近预设时间段内登录成功目标应用程序时的IMEI情况；根据所述IMEI情况确定用户换机登录情况；根据用户的手机号码和GPS信息对用户进行位置核验；根据