The embodiment of the invention provides a Web anomaly detection method and device. The method includes: extracting the detected Path field to be detected from URL; judging whether the detected whether the Path field meets the preset abnormal conditions; to be detected in the Path field accords with the preset abnormal conditions, to determine the detection URL abnormal access data. The embodiment of the invention can improve the applicability of the anomaly detection, and can improve the accuracy of identifying the abnormal access data.
【技术实现步骤摘要】
本专利技术涉及网络
,特别是涉及一种Web异常检测方法和装置。
技术介绍
随着网络技术的不断发展,Web(互联网)应用安全问题也日益得到重视。互联网的开放性以及丰富的脚本语言和SQL(结构化查询语言,Structured Query Language)语言,给黑客提供了Web攻击的可乘之机。URL(Uniform Resource Locator,统一资源定位符)是互联网中资源的地址,互联网上的每个资源大都具有一个唯一的URL。随着Web服务的不断流行,Web网站遭受的攻击也越来越多,并且大多数Web攻击都是黑客通过修改URL来实现的。目前常用的异常检测方法通过检测URL中是否出现异常来判断是否存在异常访问数据。例如基于规则的异常检测方法,对当前访问数据所对应URL中的query(查询)字段与预置规则进行匹配,以确定当前访问数据是否为异常访问数据,进而确定是否存在Web攻击;其中,所述query字段可用于给动态网页传递参数。然而,在实际应用中,query字段通常为URL中的可选字段。因此,在URL中不存在上述query字段时,上述现有的异常检测方法将不能适用,也即,现有的异常检测方法的适用性较差。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于Web异常检测方法和装置。依据本专利技术的一个方面,提供了一种Web异常检测方法,包括:从待检测的URL中提取待检测Path字段;判断所述待检测Path字段是否符合预设异常条件;在所述待检测Path字段符合预设异常条件时,确定所述待检测的URL为异常访问数 ...
【技术保护点】
一种Web异常检测方法,其特征在于,所述方法包括:从待检测的URL中提取待检测Path字段;判断所述待检测Path字段是否符合预设异常条件;在所述待检测Path字段符合预设异常条件时,确定所述待检测的URL为异常访问数据。
【技术特征摘要】
1.一种Web异常检测方法,其特征在于,所述方法包括:从待检测的URL中提取待检测Path字段;判断所述待检测Path字段是否符合预设异常条件;在所述待检测Path字段符合预设异常条件时,确定所述待检测的URL为异常访问数据。2.根据权利要求1所述的方法,其特征在于,所述判断待检测Path字段是否符合预设异常条件的步骤,包括:获取所述待检测Path字段对应的访问特征值;其中,所述访问特征值包括:所述待检测Path字段在预设时间段内的访问用户集合,所述访问用户集合对于所述待检测Path字段的访问能力值;在所述待检测Path字段对应的访问特征值符合预设阈值条件时,确定所述待检测Path字段符合预设异常条件。3.根据权利要求2所述的方法,其特征在于,通过如下步骤确定所述待检测Path字段对应的访问特征值符合预设阈值条件:在所述访问用户集合中的访问用户数目小于第一阈值,且所述访问能力值小于第二阈值时,确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件;其中,所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。4.根据权利要求1所述的方法,其特征在于,所述判断待检测Path字段是否符合预设异常条件的步骤,包括:将所述待检测Path字段和预先建立的Path黑名单进行匹配;在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时,判定所述待检测Path字段符合预设异常条件。5.根据权利要求2所述的方法,其特征在于,所述方法还包括:收集预设时间段内的历史URL记录;从所述历史URL记录中提取历史Path字段;获取所述历史Path字段对应的访问特征值;在所述历史Path字段对应的访问特征值符合预设阈值条件时,将所述历史Path字段加入已建立的Path黑名单;其中,所述Path黑名单中包括符合预设异常条件的异常Path字段。6.根据权利要求1所述的方法,其特征在于,所述判断...
【专利技术属性】
技术研发人员:王占一,李智星,彭思源,
申请(专利权)人:北京奇虎科技有限公司,北京奇安信科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。