一种web业务异常检测方法及装置制造方法及图纸

本申请公开了一种web业务异常检测方法，包括提取HTTP日志中访问行为的多个特征值，生成特征向量；根据预先建立的异常检测算法模型，计算所述特征向量的异常指数；判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。本申请通过对HTTP日志中的访问记录进行特征值的提取和分析，无需依赖规则库即可检测出异常行为，因此可以有效提高对未知类型异常行为的检测能力。本申请还公开了一种web业务异常检测装置，同样具有上述有益效果。

An anomaly detection method and device for Web Service

The invention discloses a web service method for anomaly detection, including multiple feature extraction HTTP access behavior in the log value of feature vectors; according to the model of outlier detection algorithm is established beforehand, the abnormal index calculation the feature vector; judging whether the abnormal index exceeds the preset threshold range; if so, determine the access behavior corresponding to the feature vector of the anomaly. This application through the extraction and analysis of characteristic value of the HTTP log in access to records, without relying on the rule base can detect abnormal behavior, so as to improve the detection ability of unknown type of abnormal behavior. This application also discloses a web service anomaly detection device, which also has the above beneficial effect.

【技术实现步骤摘要】
一种web业务异常检测方法及装置
本申请涉及信息安全领域，特别涉及一种web业务异常检测方法及装置。
技术介绍
随着信息技术的不断发展，在现代工作和生活中，web访问在各行各业的应用中都起到了重要的作用。然而，网络中的不安全因素会导致正常的业务系统出现各种各样的异常行为，例如被网络蠕虫恶意扫描本地重要文件信息、被恶意程序攻击即爆破，又或者是被一些绕过安全控制的程序访问即后门，以及出现安全漏洞等，这些很可能会给业务系统带来更大的故障和难题，造成严重影响和损失。因此，异常检测对于web业务非常重要。现有技术中对web访问中的异常行为的检测，主要是基于对安全专家提取的规则进行匹配检测。安全专家根据目前所已知的各种存在安全问题的web访问行为提取出规则，然后使用该规则对访问web服务器的流量包或者访问日志进行匹配检测：如果某些访问行为与该规则相匹配，则说明该访问行为存在着安全问题，属于异常行为。但是，由于现有技术中的异常检测方案只能依据已知的异常行为提取规则，因此，该检测方案只能检测出已知的异常行为，而对于一些不在规则库中的安全问题则无法检测。由此可见，现有技术中的web业务异常检测方法的检测能力有待提高。
技术实现思路
本申请的目的在于提供一种web业务异常检测方法及装置，以便可以有效地提高对web访问中的未知类型的异常行为的检测能力。为解决上述技术问题，本申请提供一种web业务异常检测方法，包括：提取HTTP日志中访问行为的多个特征值，生成特征向量；根据预先建立的异常检测算法模型，计算所述特征向量的异常指数；判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。可选地，所述特征值包括以下任意一类或任意组合：访问时间分布特征值、请求次数计量特征值、服务器响应字节流特征值、转移概率特征值。可选地，所述提取HTTP日志中访问行为的多个特征值，生成特征向量包括：获取HTTP日志；将所述HTTP日志按照源IP进行归档；对归档后的HTTP日志按照预设时长进行切片处理；计算并提取每个时间分片内访问行为的多个特征值，生成时间分片内的访问行为对应的特征向量。可选地，在所述获取HTTP日志之后、所述将所述HTTP日志按照源IP进行归档之前还包括：滤除原始HTTP日志中与访问行为无关或者干扰异常检测的日志记录。可选地，所述根据预先建立的异常检测算法模型，计算所述特征向量的异常指数包括：根据预先建立的多元高斯分布异常检测算法模型或者IsolationForest异常检测算法模型，计算所述特征向量的异常指数。可选地，在所述判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常之后还包括：依据预设的各类异常行为的各个特征值的范围，判断所述特征向量所对应的访问行为的异常类型。本申请还提供了一种web业务异常检测装置，包括：提取模块：用于提取HTTP日志中访问行为的多个特征值，生成特征向量；检测模块：用于根据预先建立的异常检测算法模型，计算所述特征向量的异常指数；判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。可选地，所述提取模块具体用于：获取HTTP日志；将所述HTTP日志按照源IP进行归档；对归档后的HTTP日志按照预设时长进行切片处理；计算并提取每个时间分片内访问行为的多个特征值，生成时间分片内的访问行为对应的特征向量。可选地，所述提取模块还用于：在所述获取HTTP日志之后、所述将所述HTTP日志按照源IP进行归档之前，滤除原始HTTP日志中与访问行为无关或者干扰异常检测的日志记录。可选地，所述检测模块还用于：若所述特征向量所对应的访问行为异常，则依据预设的各类异常行为的各个特征值范围，判断所述特征向量所对应的访问行为的异常类型。本申请所提供的web业务异常检测方法中，提取HTTP日志中访问行为的多个特征值，生成特征向量；根据预先建立的异常检测算法模型，计算所述特征向量的异常指数；判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。可见，相比于现有技术，本申请所提供的web业务异常检测方法中，通过对访问行为的特征值进行分析，并计算出异常指数进行判断，可以检测出异常行为。由此可见，本申请所提供的web业务异常检测方法是基于特征分析而非规则匹配，因而无需依赖于已知的规则库，从而可以全面地检测各类安全问题，提高检测能力。本申请所提供的web业务异常检测装置可以实现上述web业务异常检测方法，同样具有上述有益效果。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对本申请实施例描述中需要使用的附图作简要的介绍。当然，下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图，所获得的其他附图也属于本申请的保护范围。图1为本申请实施例所提供的一种web业务异常检测方法的流程图；图2为本申请实施例所提供的又一种web业务异常检测方法的流程图；图3为本申请实施例所提供的一种web业务异常检测装置的结构框图；图4为本申请实施例所提供的一种web业务异常检测装置的应用架构图。具体实施方式为了对本申请实施例中的技术方案进行更加清楚、完整地描述，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行介绍。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例也都属于本申请保护的范围。请参考图1，图1为本申请实施例所提供的一种web业务异常检测方法的流程图，主要包括以下步骤：步骤101：提取HTTP日志中访问行为的多个特征值，生成特征向量。本申请所提供的web业务异常检测方法，主要是基于对HTTP(HypertextTransferProtocol)日志中所记录的访问数据的分析而展开的。HTTP，即超文本传输协议，是互联网上应用最为广泛的一种网络协议，所有的web文件都遵守这个协议标准。而HTTP日志中，则记录了各个IP用户每次访问服务器的会话信息，包括每次会话的源IP和源端口、目的IP和目的端口、会话时间戳、会话时长、请求包长、请求方法、响应包长、返回状态码等。通过分析和统计HTTP日志中每次会话的相关会话信息，可以从中提取并计算web用户访问行为的特征值，进而生成特征向量，用以表示该访问行为的访问特征。这里所说的特征值，可以包括以下任意一类特征值或者任意组合：访问时间分布特征值、请求次数计量特征值、服务器响应字节特征值、转移概率特征值；而特征向量则是由以上所说的特征值生成的向量，该特征向量中的每一个数值都表示用户访问行为的一项特征。具体地，访问时间分布特征值反映的是用户访问HTTP的频率和间隔的特征；请求次数计量特征值所描述的是用户请求HTTP的数量特征；服务器响应字节流特征值描述的是用户请求的业务变化的特征；转移概率特征值描述的是页面跳转、请求方法变换以及响应状态码变换的概率特征。对于具体采用哪些特征值，本领域技术人员都可以根据实际使用情况自行选择并设置，本申请实施例对此并不进行限定。需要说明的是，由于访问行为本文档来自技高网...

【技术保护点】
一种web业务异常检测方法，其特征在于，包括：提取HTTP日志中访问行为的多个特征值，生成特征向量；根据预先建立的异常检测算法模型，计算所述特征向量的异常指数；判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。

【技术特征摘要】
1.一种web业务异常检测方法，其特征在于，包括：提取HTTP日志中访问行为的多个特征值，生成特征向量；根据预先建立的异常检测算法模型，计算所述特征向量的异常指数；判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。2.根据权利要求1所述web业务异常检测方法，其特征在于，所述特征值包括以下任意一类或任意组合：访问时间分布特征值、请求次数计量特征值、服务器响应字节流特征值、转移概率特征值。3.根据权利要求1所述web业务异常检测方法，其特征在于，所述提取HTTP日志中访问行为的多个特征值，生成特征向量包括：获取HTTP日志；将所述HTTP日志按照源IP进行归档；对归档后的HTTP日志按照预设时长进行切片处理；计算并提取每个时间分片内访问行为的多个特征值，生成时间分片内的访问行为对应的特征向量。4.根据权利要求3所述web业务异常检测方法，其特征在于，在所述获取HTTP日志之后，所述将所述HTTP日志按照源IP进行归档之前还包括：滤除原始HTTP日志中与访问行为无关或者干扰异常检测的日志记录。5.根据权利要求1至4任一项所述web业务异常检测方法，其特征在于，所述根据预先建立的异常检测算法模型，计算所述特征向量的异常指数包括：根据预先建立的多元高斯分布异常检测算法模型或者IsolationForest异常检测算法模型，计算所述特征向量的异常指数。6.根据权利...

【专利技术属性】
技术研发人员：卢艺，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44