一种Web异常检测方法和装置制造方法及图纸

本发明专利技术实施例提供了一种Web异常检测方法和装置，其中的方法包括：从待检测的URL中提取待检测Path字段；判断所述待检测Path字段是否符合预设异常条件；在所述待检测Path字段符合预设异常条件时，确定所述待检测的URL为异常访问数据。本发明专利技术实施例能够提高异常检测的适用性，且可以提高识别异常访问数据的准确率。

Web anomaly detection method and device

The embodiment of the invention provides a Web anomaly detection method and device. The method includes: extracting the detected Path field to be detected from URL; judging whether the detected whether the Path field meets the preset abnormal conditions; to be detected in the Path field accords with the preset abnormal conditions, to determine the detection URL abnormal access data. The embodiment of the invention can improve the applicability of the anomaly detection, and can improve the accuracy of identifying the abnormal access data.

【技术实现步骤摘要】

本专利技术涉及网络
，特别是涉及一种Web异常检测方法和装置。
技术介绍
随着网络技术的不断发展，Web(互联网)应用安全问题也日益得到重视。互联网的开放性以及丰富的脚本语言和SQL(结构化查询语言，Structured Query Language)语言，给黑客提供了Web攻击的可乘之机。URL(Uniform Resource Locator，统一资源定位符)是互联网中资源的地址，互联网上的每个资源大都具有一个唯一的URL。随着Web服务的不断流行，Web网站遭受的攻击也越来越多，并且大多数Web攻击都是黑客通过修改URL来实现的。目前常用的异常检测方法通过检测URL中是否出现异常来判断是否存在异常访问数据。例如基于规则的异常检测方法，对当前访问数据所对应URL中的query(查询)字段与预置规则进行匹配，以确定当前访问数据是否为异常访问数据，进而确定是否存在Web攻击；其中，所述query字段可用于给动态网页传递参数。然而，在实际应用中，query字段通常为URL中的可选字段。因此，在URL中不存在上述query字段时，上述现有的异常检测方法将不能适用，也即，现有的异常检测方法的适用性较差。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于Web异常检测方法和装置。依据本专利技术的一个方面，提供了一种Web异常检测方法，包括：从待检测的URL中提取待检测Path字段；判断所述待检测Path字段是否符合预设异常条件；在所述待检测Path字段符合预设异常条件时，确定所述待检测的URL为异常访问数据。可选地，所述判断待检测Path字段是否符合预设异常条件的步骤，包括：获取所述待检测Path字段对应的访问特征值；其中，所述访问特征值包括：所述待检测Path字段在预设时间段内的访问用户集合，所述访问用户集合对于所述待检测Path字段的访问能力值；在所述待检测Path字段对应的访问特征值符合预设阈值条件时，确定所述待检测Path字段符合预设异常条件。可选地，通过如下步骤确定所述待检测Path字段对应的访问特征值符合预设阈值条件：在所述访问用户集合中的访问用户数目小于第一阈值，且所述访问能力值小于第二阈值时，确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件；其中，所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。可选地，所述判断待检测Path字段是否符合预设异常条件的步骤，包括：将所述待检测Path字段和预先建立的Path黑名单进行匹配；在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时，判定所述待检测Path字段符合预设异常条件。可选地，所述方法还包括：收集预设时间段内的历史URL记录；从所述历史URL记录中提取历史Path字段；获取所述历史Path字段对应的访问特征值；在所述历史Path字段对应的访问特征值符合预设阈值条件时，将所述历史Path字段加入已建立的Path黑名单；其中，所述Path黑名单中包括符合预设异常条件的异常Path字段。可选地，所述判断待检测Path字段是否符合预设异常条件的步骤，包括：将所述待检测Path字段和预先建立的Path白名单进行匹配；其中，所述Path白名单中包括正常Path字段；在所述待检测Path字段与所述Path白名单中的正常Path字段相匹配时，判定所述URL不符合预设异常条件。可选地，所述Path黑名单包括目录黑名单和文件黑名单，所述Path白名单包括目录白名单和文件白名单；所述判断待检测Path字段是否符合预设异常条件的步骤，包括：确定所述待检测Path字段的字段类型；在所述字段类型为目录类型时，将所述待检测Path字段与所述目录黑名单和/或目录白名单进行匹配；或者在所述字段类型为文件类型时，将所述待检测Path字段与所述文件黑名单和/或文件白名单进行匹配。根据本专利技术的另一方面，提供了一种Web异常检测装置，包括：提取模块，用于从待检测的URL中提取待检测Path字段；判断模块，用于判断所述待检测Path字段是否符合预设异常条件；确定模块，用于在所述待检测Path字段符合预设异常条件时，确定所述待检测的URL为异常访问数据。可选地，所述判断模块，包括：获取子模块，用于获取所述待检测Path字段对应的访问特征值；其中，所述访问特征值包括：所述待检测Path字段在预设时间段内的访问用户集合，所述访问用户集合对于所述待检测Path字段的访问能力值；确定子模块，用于在所述待检测Path字段对应的访问特征值符合预设阈值条件时，确定所述待检测Path字段符合预设异常条件。可选地，所述确定子模块还用于在所述访问用户集合中的访问用户数目小于第一阈值，且所述访问能力值小于第二阈值时，确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件；其中，所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。可选地，所述判断模块，包括：黑名单匹配子模块，用于将所述待检测Path字段和预先建立的Path黑名单进行匹配；确定子模块，还用于在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时，判定所述待检测Path字段符合预设异常条件。可选地，所述装置还包括：收集模块，用于收集预设时间段内的历史URL记录；提取模块，还用于从所述历史URL记录中提取历史Path字段；获取模块，用于获取所述历史Path字段对应的访问特征值；加入模块，用于在所述历史Path字段对应的访问特征值符合预设阈值条件时，将所述历史Path字段加入已建立的Path黑名单；其中，所述Path黑名单中包括符合预设异常条件的异常Path字段。可选地，所述判断模块，包括：白名单匹配模块，用于将所述待检测Path字段和预先建立的Path白名单进行匹配；其中，所述Path白名单中包括正常Path字段；确定模块，还用于在所述待检测Path字段与所述Path白名单中的正常Path字段相匹配时，判定所述URL不符合预设异常条件。可选地，所述Path黑名单包括目录黑名单和文件黑名单，所述Path白名单包括目录白名单和文件白名单；所述判断模块，包括：类型确定子模块，用于确定所述待检测Path字段的字段类型；第一匹配子模块，用于在所述字段类型为目录类型时，将所述待检测Path字段与所述目录黑名单和/或目录白名单进行匹配；第二匹配子模块，用于在所述字段类型为文件类型时，将所述待检测Path字段与所述文件黑名单和/或文件白名单进行匹配。根据本专利技术实施例提供的一种Web异常检测方法和装置，通过提取检测的URL中的待检测Path字段，判断所述待检测Path字段是否符合预设异常条件，若符合，则可以确定所述待检测的URL为异常访问数据。由此，本专利技术实施例通过对待检测Path字段进行异常检测，可以检测出在Path字段出现异常的攻击行为，相对于现有技术只能适用于存在query字段的URL，本专利技术实施例对于不存在query字段的URL也可以实现异常检测，因此能够提高异常检测的适用性，且可以提高识别异常访问数据的准确率。附图说明通过阅读下文可选实施方式的详细本文档来自技高网...

【技术保护点】
一种Web异常检测方法，其特征在于，所述方法包括：从待检测的URL中提取待检测Path字段；判断所述待检测Path字段是否符合预设异常条件；在所述待检测Path字段符合预设异常条件时，确定所述待检测的URL为异常访问数据。

【技术特征摘要】
1.一种Web异常检测方法，其特征在于，所述方法包括：从待检测的URL中提取待检测Path字段；判断所述待检测Path字段是否符合预设异常条件；在所述待检测Path字段符合预设异常条件时，确定所述待检测的URL为异常访问数据。2.根据权利要求1所述的方法，其特征在于，所述判断待检测Path字段是否符合预设异常条件的步骤，包括：获取所述待检测Path字段对应的访问特征值；其中，所述访问特征值包括：所述待检测Path字段在预设时间段内的访问用户集合，所述访问用户集合对于所述待检测Path字段的访问能力值；在所述待检测Path字段对应的访问特征值符合预设阈值条件时，确定所述待检测Path字段符合预设异常条件。3.根据权利要求2所述的方法，其特征在于，通过如下步骤确定所述待检测Path字段对应的访问特征值符合预设阈值条件：在所述访问用户集合中的访问用户数目小于第一阈值，且所述访问能力值小于第二阈值时，确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件；其中，所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。4.根据权利要求1所述的方法，其特征在于，所述判断待检测Path字段是否符合预设异常条件的步骤，包括：将所述待检测Path字段和预先建立的Path黑名单进行匹配；在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时，判定所述待检测Path字段符合预设异常条件。5.根据权利要求2所述的方法，其特征在于，所述方法还包括：收集预设时间段内的历史URL记录；从所述历史URL记录中提取历史Path字段；获取所述历史Path字段对应的访问特征值；在所述历史Path字段对应的访问特征值符合预设阈值条件时，将所述历史Path字段加入已建立的Path黑名单；其中，所述Path黑名单中包括符合预设异常条件的异常Path字段。6.根据权利要求1所述的方法，其特征在于，所述判断...

【专利技术属性】
技术研发人员：王占一，李智星，彭思源，
申请(专利权)人：北京奇虎科技有限公司，北京奇安信科技有限公司，
类型：发明
国别省市：北京;11