一种异常网页访问片段检测方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种异常网页访问片段检测方法，该方法包括以下步骤：获得待检测的目标访问日志片段，确定目标访问日志片段的第一访问特征，分别计算第一访问特征与预先获得的日志片段库中每个历史访问日志片段的第二访问特征的相似距离，根据计算得到的相似距离，确定目标访问日志片段的异常度，根据异常度的大小，确定目标访问日志片段是否为异常网页访问片段。应用本发明专利技术实施例所提供的技术方案，可以避免人为的规则定义，进一步提高对异常网页访问片段检测的准确性。本发明专利技术还公开了一种异常网页访问片段检测装置、一种异常网页访问片段检测设备及一种计算机可读存储介质，具有相应的技术效果。

An abnormal web page access fragment detection method, device, device and storage medium

【技术实现步骤摘要】
一种异常网页访问片段检测方法、装置、设备及存储介质
本专利技术涉及网络安全
，特别是涉及一种异常网页访问片段检测方法、装置、设备及存储介质。
技术介绍
在对网站的维护工作中，检测异常网页访问片段，可以加强网站的安全性。近年来，异常网页访问片段的检测往往基于预先制定的规则，或者，基于大量的统计数据而进行。常见的，如规定除特定IP用户外，不允许访问前缀为某一特定字符串的URL(UniformResourceLocator，统一资源定位器)，若非特定IP用户成功访问了该URL，则判定该用户的对应此次访问的访问日志片段为异常网页访问片段，或者，规定特定IP用户在特定时间间隔内，访问某一个URL的次数应小于特定阈值，若该特定IP用户访问次数超过特定阈值，则判定该用户对应此次访问的访问日志片段为异常网页访问片段。现有的异常网页访问片段的检测主要依赖安全专家的规则定义和阈值选择。在实际的应用中，可能需要针对不同的场景定义不同的规则和阈值，由于场景数量较多，可能会无法检测那些没有被定义的异常网页访问片段，检测准确性较低。
技术实现思路
本专利技术的目的是提供一种异常网页访问片段检测方法、装置、设备本文档来自技高网...

【技术保护点】
一种异常网页访问片段检测方法，其特征在于，包括：获得待检测的目标访问日志片段；确定所述目标访问日志片段的第一访问特征；分别计算所述第一访问特征与预先获得的日志片段库中每个历史访问日志片段的第二访问特征的相似距离；根据计算得到的相似距离，确定所述目标访问日志片段的异常度；根据所述异常度的大小，确定所述目标访问日志片段是否为异常网页访问片段。

【技术特征摘要】
1.一种异常网页访问片段检测方法，其特征在于，包括：获得待检测的目标访问日志片段；确定所述目标访问日志片段的第一访问特征；分别计算所述第一访问特征与预先获得的日志片段库中每个历史访问日志片段的第二访问特征的相似距离；根据计算得到的相似距离，确定所述目标访问日志片段的异常度；根据所述异常度的大小，确定所述目标访问日志片段是否为异常网页访问片段。2.根据权利要求1所述的异常网页访问片段检测方法，其特征在于，所述目标访问日志片段为对目标访问日志文件进行切片处理后得到的多个访问日志片段中的任意一个；针对每个访问日志片段，该访问日志片段包含的每条访问日志均对应于同一IP，该访问日志片段中相邻两条访问日志的访问时间间隔小于预设时长阈值，该访问日志片段对应的长度小于预设长度阈值。3.根据权利要求1所述的异常网页访问片段检测方法，其特征在于，所述确定所述目标访问日志片段的第一访问特征，包括：针对所述目标访问日志片段包含的每条访问日志，获得该访问日志对应的日志特征，所述日志特征包括以下至少一条信息：返回状态码、返回包的大小、URL类别、访问方法、与上一次访问的间隔时间、是否在设定时间间隔内访问同一URL；将所述目标访问日志片段包含的所有访问日志对应的日志特征构成的序列确定为所述目标访问日志片段的第一访问特征。4.根据权利要求3所述的异常网页访问片段检测方法，其特征在于，针对所述目标访问日志片段包含的每条访问日志，通过以下步骤确定该访问日志对应的URL类别：基于预先获得的URL分类树，确定该访问日志对应的URL类别；其中，通过以下步骤预先获得所述URL分类树：统计预先获得的历史访问日志文件中记录的URL访问信息，所述URL访问信息至少包括URL地址及每个URL地址对应的访问次数；根据所述URL访问信息，建立初始树形结构，所述初始树形结构的每个节点表示被设定符号分割开的URL类别及被访问次数；在所述初始树形结构的叶节点个数大于预设个数阈值时，根据叶节点对应的访问次数，进行叶节点与对应父节点的合并操作，直至叶节点个数小于或等于所述个数阈值，获得所述URL分类树。5.根据权利要求3所述的异常网页访问片段检测方法，其特征在于，所述分别计算所述第一访问特征与预先获得的日志片段库中每个历史访问日志片段的第二访问特征的相似距离，包括：根据所述第一访问特征，确定第一子串集合；针对预先获得的日志片段库中每个历史访问日志片段，根据该历史访问日志片段的第二访问特征，确定第二子串集合；根据所述第一子串集合与所述第二子串集合，确定子串总集合；根据所述子串总集合中每个子串出现的次数，计算所述第一访问特征与该历史访问日志片段的第二访问特征的相似距离。6.根据权利要求5所述的异常网页访问片段检测方法，其特征在于，所述根据所述子串总集合中每个子串出现的次数，计算所述第一访问特征与该历史访问日志片段的第二访问特征的相似距离，包括：针对所述子串总集合中每个子串，基于与该子串长度相同的第一子串在所述第一子串集合中出现的第一总次数，确定该子串在所述第一子串集合中出现的第一出现比例；基于与该子串长度相同的第二子串在所述第二子串集合中出现的第二总次数，确定该子串在所述第二子串集合中出现的第二出现比例；根据所述子串总集合中每个子串对应的第一出现比例和第二出现比例，计算子串距离；将所述子串距离确定为所述第一访问特征与该历史访问日志片段的第二访问特征的相似距离。7.根据权利要求1至6之中任一项所述的异常网页访问片段检测方法，其特征在于，所述根据计算得到的相似距离，确定所述目标访问日志片段的异常度，包括：将计算得到的相似距离进行大小排序；根据第K个相似距离，确定所述目标访问日志片段的异常度，所述K为预设值。8.一种异常网页访问片段检测装置，其特征在于，包括：目标访问日志片段获得模块，用于获得待检测的目标访问日志片段；第一访问特征确定模块，用于确定所述目标访问日志片...

【专利技术属性】
技术研发人员：章明星，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44