【技术实现步骤摘要】
本专利技术涉及计算机
,特别是涉及一种web异常检测方法,以及,一种web异常检测装置。
技术介绍
随着web服务的不断流行,web网站遭受的攻击也越来越多。web攻击基本都是黑客通过修改url来完成攻击,包括获取网站数据库内容,获得服务器root权限,窃取用户数据等。常用的web攻击类型有很多,如目录遍历漏洞利用、SQL注入、跨站脚本攻击(XSS)、跨站请求伪造攻击(CSRF)等。对于web攻击,常用的检测方法包括依据安全人员制定的攻击检出规则找出攻击行为,或是凭借人工经验提取有意义的特征,使用有监督分类算法找出攻击行为。基于人工制定的检出规则的方法对已知漏洞或攻击行为的方式,需要大量的安全专家,会引入更多的主观成分,而且对于新型攻击,需要重新制定规则,不能保证检测的实时性和全面性。有监督分类算法也可以获得较高的准确率,而且对安全专家的依赖较低,但较高的准确率需要依据大量的且全面的训练数据,获取大量的且全面的训练数据往往很难。同时,对于新型攻击的检测,使用有监督分类算法也需要重新收集数据,训练模型,也不易保证检测的实时性和全面性。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的web异常检测方法和web异常检测方法装置。依据本专利技术的一个方面,提供了web异常检测方法,包括:根据从历史web访问记录中解析的多个web访问特征, ...
【技术保护点】
一种web异常检测方法,其中,包括:根据从历史web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型;采用各个异常检测模型,分别检测目标web访问是否为异常web访问;将检测结果为异常web访问的异常检测模型对应的web访问特征,标记为所述目标web访问的异常类型。
【技术特征摘要】
1.一种web异常检测方法,其中,包括:
根据从历史web访问记录中解析的多个web访问特征,创建基于所述
web访问特征检测异常web访问的多个异常检测模型;
采用各个异常检测模型,分别检测目标web访问是否为异常web访问;
将检测结果为异常web访问的异常检测模型对应的web访问特征,标
记为所述目标web访问的异常类型。
2.根据权利要求1所述的方法,其中,所述根据从历史web访问记录
中解析的多个web访问特征,创建基于所述web访问特征检测异常web访
问的多个异常检测模型包括:
统计历史web访问记录中所述web访问特征的取值范围,创建判断所
述web访问特征是否符合所述取值范围的第一异常检测模型。
3.根据权利要求2所述的方法,其中,所述采用各个异常检测模型,
分别检测目标web访问是否为异常web访问包括:
采用所述异常检测模型判断所述目标web访问的web访问特征是否符
合所述取值范围,若不符合,则确定所述目标web访问为异常web访问。
4.根据权利要求1所述的方法,其中,所述根据从历史web访问记录
中解析的多个web访问特征,创建基于所述web访问特征检测异常web访
问的多个异常检测模型包括:
统计各个web访问特征出现的概率,并创建基于各个web访问特征预
测所述web访问为异常web访问的概率的第二异常检测模型。
5.根据权利要求4所述的方法,其中,所述采用各个异常检测模型,
分别检测目标web访问是否为异常web访问包括:
分别采用各个异常检测模型预测所述目标web访问为异常web访问的
目标概率;
在所述web访问记录中所有web访问对应的概率中,若所述目标概率
的排序低于预设值,则确定所述目标web访问为异常web访问。
6.根据权利要求4所述的方法,其中,所述web访问特征包括访问路
径、访问参数和访问参数值中至少一种,所述统计各个web访问特征出现的
\t概率,并创建基于各个web访问特征预测所述web访问为异常web访问的
概率的第二异常检测模型包括:
根据各个访问参数出现的次数统计各个访问路径出现的第...
【专利技术属性】
技术研发人员:刘博,王占一,张卓,
申请(专利权)人:北京奇虎科技有限公司,北京奇安信科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。