一种web异常检测方法和装置制造方法及图纸

本发明专利技术提供了一种web异常检测方法和装置，所述方法包括：根据从历史web访问记录中解析的多个web访问特征，创建基于所述web访问特征检测异常web访问的多个异常检测模型，采用各个异常检测模型，分别检测目标web访问是否为异常web访问，将检测结果为异常web访问的异常检测模型对应的web访问特征，标记为所述目标web访问的异常类型。本发明专利技术实施例的方法利用创建的多个异常检测模型实现对未知漏洞和新型攻击进行自动检测，无需重新收集数据和制定规则，保证了较高的检出率和准确率，降低了人工的工作量，节省了人力和检测时间。

【技术实现步骤摘要】

本专利技术涉及计算机
，特别是涉及一种web异常检测方法，以及，一种web异常检测装置。
技术介绍
随着web服务的不断流行，web网站遭受的攻击也越来越多。web攻击基本都是黑客通过修改url来完成攻击，包括获取网站数据库内容，获得服务器root权限，窃取用户数据等。常用的web攻击类型有很多，如目录遍历漏洞利用、SQL注入、跨站脚本攻击(XSS)、跨站请求伪造攻击(CSRF)等。对于web攻击，常用的检测方法包括依据安全人员制定的攻击检出规则找出攻击行为，或是凭借人工经验提取有意义的特征，使用有监督分类算法找出攻击行为。基于人工制定的检出规则的方法对已知漏洞或攻击行为的方式，需要大量的安全专家，会引入更多的主观成分，而且对于新型攻击，需要重新制定规则，不能保证检测的实时性和全面性。有监督分类算法也可以获得较高的准确率，而且对安全专家的依赖较低，但较高的准确率需要依据大量的且全面的训练数据，获取大量的且全面的训练数据往往很难。同时，对于新型攻击的检测，使用有监督分类算法也需要重新收集数据，训练模型，也不易保证检测的实时性和全面性。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的web异常检测方法和web异常检测方法装置。依据本专利技术的一个方面，提供了web异常检测方法，包括：根据从历史web访问记录中解析的多个web访问特征，创建基于所述web访问特征检测异常web访问的多个异常检测模型；采用各个异常检测模型，分别检测目标web访问是否为异常web访问；将检测结果为异常web访问的异常检测模型对应的web访问特征，标记为所述目标web访问的异常类型。可选地，所述根据从历史web访问记录中解析的多个web访问特征，创建基于所述web访问特征检测异常web访问的多个异常检测模型包括：统计历史web访问记录中所述web访问特征的取值范围，创建判断所述web访问特征是否符合所述取值范围的第一异常检测模型。可选地，所述采用各个异常检测模型，分别检测目标web访问是否为异常web访问包括：采用所述异常检测模型判断所述目标web访问的web访问特征是否符合所述取值范围，若不符合，则确定所述目标web访问为异常web访问。可选地，所述根据从历史web访问记录中解析的多个web访问特征，创建基于所述web访问特征检测异常web访问的多个异常检测模型包括：统计各个web访问特征出现的概率，并创建基于各个web访问特征预测所述web访问为异常web访问的概率的第二异常检测模型。可选地，所述采用各个异常检测模型，分别检测目标web访问是否为异常web访问包括：分别采用各个异常检测模型预测所述目标web访问为异常web访问的目标概率；在所述web访问记录中所有web访问对应的概率中，若所述目标概率的排序低于预设值，则确定所述目标web访问为异常web访问。可选地，所述web访问特征包括访问路径、访问参数和访问参数值中至少一种，所述统计各个web访问特征出现的概率，并创建基于各个web访问特征预测所述web访问为异常web访问的概率的第二异常检测模型包括：根据各个访问参数出现的次数统计各个访问路径出现的第一概率，并基于所述第一概率，创建基于所述访问路径预测所述web访问为异常web访问的概率的第三异常检测模型；和/或，针对同一访问路径，统计各个访问参数出现的第二概率，并基于所述第二概率，创建基于所述访问参数预测所述web访问为异常web访问的概率的第四异常检测模型；和/或，针对同一访问参数，统计各访问参数值出现的第三概率，并基于所述第三概率，创建基于所述访问参数值预测所述web访问为异常web访问的概率的第五异常检测模型。可选地，所述根据各个访问参数出现的次数统计各个访问路径出现的第一概率包括：针对各个访问路径，从第一哈希表读取所述访问路径包括的访问参数出现的第一次数，以及从第二哈希表读取所述访问路径包括的访问参数二元组出现的第二次数；根据所述第一次数和第二次数统计各个访问参数二元组出现的第五概率；根据各个访问参数二元组出现的第五概率，统计各个访问路径出现的第一概率。可选地，在所述采用各个异常检测模型，分别检测目标web访问是否为异常web访问之前，所述方法还包括：通过统计所述异常检测模型中至少一个web访问特征的个数符合第一预设范围，和/或，检测结果的检测方差符合第二预设范围，确定所述异常检测模型处于稳定状态。可选地，所述web访问特征包括访问源IP和访问时间，所述方法还包括：展示所述web访问的异常类型、访问源IP以及访问时间，可选地，所述web访问特征包括访问源IP和访问时间，所述方法还包括：若在第一时间段内检测到同一访问源IP的异常web访问超出预设个数，则确定发生所述访问源IP的web攻击事件，并通报所述web攻击事件。可选地，所述方法还包括：若在第二时间段内检测到预设个数的不同访问源IP的web攻击事件，则获取更新的历史web访问记录，并重新创建各个异常检测模型。本专利技术还提供了一种web异常检测装置，包括：异常检测模型创建模块，用于根据从历史web访问记录中解析的多个web访问特征，创建基于所述web访问特征检测异常web访问的多个异常检测模型；异常检测模块，用于采用各个异常检测模型，分别检测目标web访问是否为异常web访问；异常类型标记模块，用于将检测结果为异常web访问的异常检测模型对应的web访问特征，标记为所述目标web访问的异常类型。可选地，所述异常检测模型创建模块包括：第一异常检测模型创建子模块，用于统计历史web访问记录中所述web访问特征的取值范围，创建判断所述web访问特征是否符合所述取值范围的第一异常检测模型。可选地，所述异常检测模块，具体用于采用所述异常检测模型判断所述目标web访问的web访问特征是否符合所述取值范围，若不符合，则确定所述目标web访问为异常web访问。可选地，所述异常检测模型创建模块，具体用于统计各个web访问特征出现的概率，并创建基于各个web访问特征预测所述web访问为异常web访问的概率的第二异常检测模型。可选地，所述异常检测模块包括：目标概率预测子模块，用于分别采用各个异常检测模型预测所述目标web访本文档来自技高网...

【技术保护点】
一种web异常检测方法，其中，包括：根据从历史web访问记录中解析的多个web访问特征，创建基于所述web访问特征检测异常web访问的多个异常检测模型；采用各个异常检测模型，分别检测目标web访问是否为异常web访问；将检测结果为异常web访问的异常检测模型对应的web访问特征，标记为所述目标web访问的异常类型。

【技术特征摘要】
1.一种web异常检测方法，其中，包括：
根据从历史web访问记录中解析的多个web访问特征，创建基于所述
web访问特征检测异常web访问的多个异常检测模型；
采用各个异常检测模型，分别检测目标web访问是否为异常web访问；
将检测结果为异常web访问的异常检测模型对应的web访问特征，标
记为所述目标web访问的异常类型。
2.根据权利要求1所述的方法，其中，所述根据从历史web访问记录
中解析的多个web访问特征，创建基于所述web访问特征检测异常web访
问的多个异常检测模型包括：
统计历史web访问记录中所述web访问特征的取值范围，创建判断所
述web访问特征是否符合所述取值范围的第一异常检测模型。
3.根据权利要求2所述的方法，其中，所述采用各个异常检测模型，
分别检测目标web访问是否为异常web访问包括：
采用所述异常检测模型判断所述目标web访问的web访问特征是否符
合所述取值范围，若不符合，则确定所述目标web访问为异常web访问。
4.根据权利要求1所述的方法，其中，所述根据从历史web访问记录
中解析的多个web访问特征，创建基于所述web访问特征检测异常web访
问的多个异常检测模型包括：
统计各个web访问特征出现的概率，并创建基于各个web访问特征预
测所述web访问为异常web访问的概率的第二异常检测模型。
5.根据权利要求4所述的方法，其中，所述采用各个异常检测模型，
分别检测目标web访问是否为异常web访问包括：
分别采用各个异常检测模型预测所述目标web访问为异常web访问的
目标概率；
在所述web访问记录中所有web访问对应的概率中，若所述目标概率
的排序低于预设值，则确定所述目标web访问为异常web访问。
6.根据权利要求4所述的方法，其中，所述web访问特征包括访问路
径、访问参数和访问参数值中至少一种，所述统计各个web访问特征出现的

\t概率，并创建基于各个web访问特征预测所述web访问为异常web访问的
概率的第二异常检测模型包括：
根据各个访问参数出现的次数统计各个访问路径出现的第...

【专利技术属性】
技术研发人员：刘博，王占一，张卓，
申请(专利权)人：北京奇虎科技有限公司，北京奇安信科技有限公司，
类型：发明
国别省市：北京;11