一种数据异常检测方法、装置及终端设备制造方法及图纸

本申请实施例公开了一种数据异常检测方法、装置及终端设备，所述方法包括：获取用户访问目标服务器的目标数据，根据所述目标数据，确定所述用户所访问的第一资源序列信息，获取所述第一资源序列信息中包含的第一点击事件，并对每个所述第一点击事件进行分类，得到每个所述第一点击事件所属的事件类型，根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵，确定所述马尔科夫链中每相邻两个状态之间的第一转移概率，基于所述马尔科夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常。通过本方法，可以从全局和局部的角度进行异常检测，提高检测的准确性。

A data anomaly detection method, device and terminal equipment

【技术实现步骤摘要】
一种数据异常检测方法、装置及终端设备
本申请涉及网络安全
，尤其涉及一种数据异常检测方法、装置及终端设备。
技术介绍
随着互联网技术和应用的飞速发展，Web应用已经成为人们生活工作所使用的主流应用。Web应用给人们带来了较大的便利，但同时也成为黑客主要的攻击目标。常见的针对Web应用的异常检测方法主要有两种，都是对Web日志进行分析，从中获取网站访问用户的访问行为。其中，第一种是基于规则将用户的访问行为与典型攻击访问进行匹配和检测，如基于SQL(StructuredQueryLanguage，结构化查询语言)注入、跨站脚本攻击(XSS，CrossSiteScripting)、缓冲区溢出等进行匹配和检测，第二种是针对存在异常访问的用户访问行为与建立的正常行为模式进行匹配和检测等。但是，针对已知类型的攻击检测，仅能发现攻击行为中包含的与已知类型的攻击相匹配的部分攻击行为，无法进行全局性的解析，同时，针对异常访问行为的检测方法无法对用户访问行为中单个URL的特征进行检测，而且需建立正常行为的模式库，成本较高，异常检测的准确性较低本文档来自技高网...

【技术保护点】
1.一种数据异常检测方法，其特征在于，所述方法包括：/n获取用户访问目标服务器的目标数据；/n根据所述目标数据，确定所述用户所访问的第一资源序列信息；/n获取所述第一资源序列信息中包含的第一点击事件，并对每个所述第一点击事件进行分类，得到每个所述第一点击事件所属的事件类型；/n根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵，确定所述马尔科夫链中每相邻两个状态之间的第一转移概率；/n基于所述马尔科夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常。/n

【技术特征摘要】
1.一种数据异常检测方法，其特征在于，所述方法包括：
获取用户访问目标服务器的目标数据；
根据所述目标数据，确定所述用户所访问的第一资源序列信息；
获取所述第一资源序列信息中包含的第一点击事件，并对每个所述第一点击事件进行分类，得到每个所述第一点击事件所属的事件类型；
根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵，确定所述马尔科夫链中每相邻两个状态之间的第一转移概率；
基于所述马尔科夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常。


2.根据权利要求1所述的方法，其特征在于，在所述获取用户访问目标服务器的目标数据之前，所述方法还包括：
获取用户访问所述目标服务器的样本数据；
根据所述样本数据，确定所述用户所访问的第二资源序列信息；
获取所述第二资源序列信息中包含的第二点击事件，并对每个所述第二点击事件进行分类，得到每个所述第二点击事件所属的点击事件类；
获取所述点击事件类之间的第二转移概率；
由所述点击事件类之间的第二转移概率构建所述预先训练的马尔科夫转移矩阵。


3.根据权利要求2所述的方法，其特征在于，所述第二点击事件包含一个或多个URI，所述对每个所述第二点击事件进行分类，得到每个所述第二点击事件所属的点击事件类，包括：
根据预设转换规则，对每个所述第二点击事件包含的URI进行转换，得到转换值；
基于所述转换值，计算每两个所述第二点击事件之间的相似度；
如果所述相似度大于预设分类阈值，则将所述相似度对应的两个第二点击事件划分为一个点击事件类，以确定每个所述第二点击事件所属的点击事件类。


4.根据权利要求2所述的方法，其特征在于，所述对每个所述第一点击事件进行分类，得到每个所述第一点击事件所属的事件类型，包括：
分别计算所述第一点击事件与所述点击事件类的相似度，将相似度最高的点击事件类确定为所述第一点击事件所属的事件类型。


5.根据权利要求2所述的方法，其特征在于，所述分别计算所述第一点击事件与所述点击事件类的相似度，包括：
确定每个所述点击事件类中的代表点击事件；
分别计算所述第一点击事件与每个所述点击事件类中的代表点击事件之间的相似度。


6.根据权利要求1所述的方法，其特征在于，所述基于所述马尔科夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常，包括：
如果所述第一转移概率中包含小于预设概率阈值的目标转移概率，且所述目标转移概率的数量大于第一预设阈值，则所述目标服务器的访问出现异常。


7.根据权利要求1所述的方法，其特征在于，所述基于所述马尔科夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常，包括：
将所述马尔科夫链中概率值非零的所述第一转移概率相乘，得到相应的乘积，并获取所述乘积的预定次数方根；
如果所述预定次数方根小于第二预设阈值，则所述目标服务器的访问出现异常。


8.根据权利要求2所述的方法，其特征在于，所述方法还包括：
对所述目标数据和所述样本数据进行预处理，其中，所述预处理包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测。


9.一种数据异常检测装置，其特征在于，所述装置包括：
第一获取模块，用于获取用户访问目标服务器的目标数据；
第一确定模块，用于根据所述目标数据，确定所述用户所访问的第一...

【专利技术属性】
技术研发人员：翟欣虎，王艺霖，田甜，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东;44