The invention discloses a web service method for anomaly detection, including multiple feature extraction HTTP access behavior in the log value of feature vectors; according to the model of outlier detection algorithm is established beforehand, the abnormal index calculation the feature vector; judging whether the abnormal index exceeds the preset threshold range; if so, determine the access behavior corresponding to the feature vector of the anomaly. This application through the extraction and analysis of characteristic value of the HTTP log in access to records, without relying on the rule base can detect abnormal behavior, so as to improve the detection ability of unknown type of abnormal behavior. This application also discloses a web service anomaly detection device, which also has the above beneficial effect.
【技术实现步骤摘要】
一种web业务异常检测方法及装置
本申请涉及信息安全领域,特别涉及一种web业务异常检测方法及装置。
技术介绍
随着信息技术的不断发展,在现代工作和生活中,web访问在各行各业的应用中都起到了重要的作用。然而,网络中的不安全因素会导致正常的业务系统出现各种各样的异常行为,例如被网络蠕虫恶意扫描本地重要文件信息、被恶意程序攻击即爆破,又或者是被一些绕过安全控制的程序访问即后门,以及出现安全漏洞等,这些很可能会给业务系统带来更大的故障和难题,造成严重影响和损失。因此,异常检测对于web业务非常重要。现有技术中对web访问中的异常行为的检测,主要是基于对安全专家提取的规则进行匹配检测。安全专家根据目前所已知的各种存在安全问题的web访问行为提取出规则,然后使用该规则对访问web服务器的流量包或者访问日志进行匹配检测:如果某些访问行为与该规则相匹配,则说明该访问行为存在着安全问题,属于异常行为。但是,由于现有技术中的异常检测方案只能依据已知的异常行为提取规则,因此,该检测方案只能检测出已知的异常行为,而对于一些不在规则库中的安全问题则无法检测。由此可见,现有技术中的web业务异常检测方法的检测能力有待提高。
技术实现思路
本申请的目的在于提供一种web业务异常检测方法及装置,以便可以有效地提高对web访问中的未知类型的异常行为的检测能力。为解决上述技术问题,本申请提供一种web业务异常检测方法,包括:提取HTTP日志中访问行为的多个特征值,生成特征向量;根据预先建立的异常检测算法模型,计算所述特征向量的异常指数;判断所述异常指数是否超出预设阈值范围;若是,则判定所述特 ...
【技术保护点】
一种web业务异常检测方法,其特征在于,包括:提取HTTP日志中访问行为的多个特征值,生成特征向量;根据预先建立的异常检测算法模型,计算所述特征向量的异常指数;判断所述异常指数是否超出预设阈值范围;若是,则判定所述特征向量所对应的访问行为异常。
【技术特征摘要】
1.一种web业务异常检测方法,其特征在于,包括:提取HTTP日志中访问行为的多个特征值,生成特征向量;根据预先建立的异常检测算法模型,计算所述特征向量的异常指数;判断所述异常指数是否超出预设阈值范围;若是,则判定所述特征向量所对应的访问行为异常。2.根据权利要求1所述web业务异常检测方法,其特征在于,所述特征值包括以下任意一类或任意组合:访问时间分布特征值、请求次数计量特征值、服务器响应字节流特征值、转移概率特征值。3.根据权利要求1所述web业务异常检测方法,其特征在于,所述提取HTTP日志中访问行为的多个特征值,生成特征向量包括:获取HTTP日志;将所述HTTP日志按照源IP进行归档;对归档后的HTTP日志按照预设时长进行切片处理;计算并提取每个时间分片内访问行为的多个特征值,生成时间分片内的访问行为对应的特征向量。4.根据权利要求3所述web业务异常检测方法,其特征在于,在所述获取HTTP日志之后,所述将所述HTTP日志按照源IP进行归档之前还包括:滤除原始HTTP日志中与访问行为无关或者干扰异常检测的日志记录。5.根据权利要求1至4任一项所述web业务异常检测方法,其特征在于,所述根据预先建立的异常检测算法模型,计算所述特征向量的异常指数包括:根据预先建立的多元高斯分布异常检测算法模型或者IsolationForest异常检测算法模型,计算所述特征向量的异常指数。6.根据权利...
【专利技术属性】
技术研发人员:卢艺,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。