本申请提供一种数据检测方法、基线模型构建方法及电子设备。数据检测方法包括:获取待测HTTP数据;将待测HTTP数据的特征参数与预设的基线模型的特征参数进行比对,确定待测HTTP数据的可疑得分;输出异常数据;其中,异常数据为可疑得分大于预设阈值的待测HTTP数据。与现有技术中通过简单的字符串比对方式来进行数据检测相比,该方式可以提高检测的可靠性及异常数据的检出率,以及降低HTTP数据检测误报率。率。率。
【技术实现步骤摘要】
一种数据检测方法、基线模型构建方法及电子设备
[0001]本申请涉及数据监控
,具体而言,涉及一种数据检测方法、基线模型构建方法及电子设备。
技术介绍
[0002]HTTP(Hyper Text Transfer Protocol,超文本传输协议)是一个请求
‑
响应协议,它通常运行在TCP(Transmission Control Protocol,传输控制协议)之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。目前,对于HTTP数据的检测,采用的方式为简单的字符串进行比对,但是该方式过于绝对,误报率较高。
技术实现思路
[0003]本申请实施例的目的在于提供一种数据检测方法、基线模型构建方法及电子设备,以降低HTTP数据检测的误报率,提高异常数据的检出率。
[0004]本专利技术是这样实现的:
[0005]第一方面,本申请实施例提供一种数据检测方法,包括:获取待测HTTP数据;将所述待测HTTP数据的特征参数与预设的基线模型的特征参数进行比对,确定所述待测HTTP数据的可疑得分;输出异常数据;其中,所述异常数据为可疑得分大于预设阈值的待测HTTP数据。
[0006]在本申请实施例中,预先构建基线模型,然后将待测HTTP数据的特征参数与基线模型中的特征参数进行比对,进而确定出待测HTTP数据的可疑得分,最后基于可疑得分来判断该待测HTTP数据是否为异常数据。与现有技术中通过简单的字符串比对方式来进行数据检测相比,该方式可以提高检测的可靠性及异常数据的检出率,以及降低HTTP数据检测误报率。
[0007]结合上述第一方面提供的技术方案,在一些可能的实现方式中,通过如下步骤构建所述基线模型:采集预设时间段内的正常HTTP数据;对所述正常HTTP数据进行聚合;其中,具有相同URL参数的正常HTTP数据聚合为同一类;提取每一类的正常HTTP数据的特征参数,构建URL画像,以生成所述基线模型。
[0008]在本申请实施例中,通过采集预设时间段内的正常HTTP数据;然后对正常HTTP数据进行聚合,最后提取每一类的正常HTTP数据的特征参数,构建URL画像,进而得到基线模型。通过该方式所建立的基线模型能够将每一类正常HTTP数据的特征参数进行统计,以便于后续对待测HTTP数据进行特征参数比对。
[0009]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述将所述待测HTTP数据的特征参数与预设的基线模型的特征参数进行比对,确定所述待测HTTP数据的可疑得分,包括:确定所述待测HTTP数据在所述基线模型中的所属类别;将所述待测HTTP数据中的特征参数与该类别中的特征参数进行比对,确定所述待测HTTP数据的可疑得分。
[0010]在检查过程中,首先确定出待测HTTP数据的所属类别,然后,再将待测HTTP数据中
的特征参数与该类别中的特征参数进行比对,以便确定出待测HTTP数据是否为该类别中的正常数据。
[0011]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述将所述待测HTTP数据中的特征参数与该类别中的特征参数进行比对,确定所述待测HTTP数据的可疑得分,包括:获取初始可信度分值;将所述待测HTTP数据中的特征参数与该类别中的特征参数进行比对,以对所述初始可信度分值进行更新;其中,若所述待测HTTP数据中的特征参数在该类别的特征参数中,则将所述初始可信度分值加一,若所述待测HTTP数据中的特征参数不在该类别的特征参数中,则将所述初始可信度分值减一;基于更新后的初始可信度分值得到所述待测HTTP数据的可疑得分。
[0012]在特征参数的比对过程中,若待测HTTP数据中的特征参数在该类别的特征参数中,则将初始可信度分值加一,若待测HTTP数据中的特征参数不在该类别的特征参数中则将初始可信度分值减一,通过该方式,以便于准确地确定出待测HTTP数据的可信度,进而准确地确定出待测HTTP数据的可疑得分。
[0013]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述URL画像还包括每个参数名的出现次数;相应的,所述将所述待测HTTP数据中的特征参数与该类别中的特征参数进行比对,确定所述待测HTTP数据的可疑得分,包括:基于每个所述参数名的出现次数,确定每个所述参数名的出现概率;将所述待测HTTP数据与该类别中的特征参数进行比对,以基于每个所述参数名的出现概率,确定所述待测HTTP数据中的特征参数的可信度概率;基于所述待测HTTP数据中的特征参数的可信度概率确定所述待测HTTP数据的可疑得分。
[0014]在本申请实施例中,URL画像中统计了每个参数名的出现次数,进而在特征参数的比对过程中,电子设备基于每个参数名的出现次数,确定每个参数名的出现概率;然后将待测HTTP数据与该类别中的特征参数进行比对,以基于每个参数名的出现概率,确定待测HTTP数据中的特征参数的可信度概率。可信度概率能够准确的表示HTTP数据的可信度,进而可以准确地确定出待测HTTP数据的可疑得分。
[0015]结合上述第一方面提供的技术方案,在一些可能的实现方式中,当所述基线模型中不存在与所述待测HTTP数据对应的类别时,所述方法还包括:确定所述待测HTTP数据为所述异常数据,并将所述异常数据进行输出。
[0016]在本申请实施例中,当基线模型中不存在与待测HTTP数据对应的类别时,则直接确定该数据为异常数据并输出。通过该方式,提高了异常数据的检出率。
[0017]第二方面,本申请实施例提供一种基线模型构建方法,包括:采集预设时间段内的正常HTTP数据;对所述正常HTTP数据进行聚合;其中,具有相同URL参数的正常HTTP数据聚合为同一类;提取每一类的正常HTTP数据的特征参数,构建URL画像,以生成所述基线模型。
[0018]第三方面,本申请实施例提供一种数据检测装置,包括:获取模块,用于获取待测HTTP数据;处理模块,用于将所述待测HTTP数据的特征参数与预设的基线模型的特征参数进行比对,确定所述待测HTTP数据的可疑得分;输出模块,用于输出异常数据;其中,所述异常数据为可疑得分大于预设阈值的待测HTTP数据。
[0019]第四方面,本申请实施例提供一种基线模型构建装置,包括:采集模块,用于采集预设时间段内的正常HTTP数据;聚合模块,用于对所述正常HTTP数据进行聚合;其中,具有
相同相同URL参数的正常HTTP数据聚合为同一类;构建模块,用于提取每一类的正常HTTP数据的特征参数,构建URL画像,以生成所述基线模型。
[0020]第五方面,本申请实施例提供一种电子设备,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用存储在所述存储器中的程序,执行如上述第一方面实施例和/或第二方面实施例提供的方法。
[0021]第六方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器运行时本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据检测方法,其特征在于,包括:获取待测HTTP数据;将所述待测HTTP数据的特征参数与预设的基线模型的特征参数进行比对,确定所述待测HTTP数据的可疑得分;输出异常数据;其中,所述异常数据为可疑得分大于预设阈值的待测HTTP数据。2.根据权利要求1所述的方法,其特征在于,通过如下步骤构建所述基线模型:采集预设时间段内的正常HTTP数据;对所述正常HTTP数据进行聚合;其中,具有相同URL参数的正常HTTP数据聚合为同一类;提取每一类的正常HTTP数据的特征参数,构建URL画像,以生成所述基线模型。3.根据权利要求2所述的方法,其特征在于,所述将所述待测HTTP数据的特征参数与预设的基线模型的特征参数进行比对,确定所述待测HTTP数据的可疑得分,包括:确定所述待测HTTP数据在所述基线模型中的所属类别;将所述待测HTTP数据中的特征参数与该类别中的特征参数进行比对,确定所述待测HTTP数据的可疑得分。4.根据权利要求3所述的方法,其特征在于,所述将所述待测HTTP数据中的特征参数与该类别中的特征参数进行比对,确定所述待测HTTP数据的可疑得分,包括:获取初始可信度分值;将所述待测HTTP数据中的特征参数与该类别中的特征参数进行比对,以对所述初始可信度分值进行更新;其中,若所述待测HTTP数据中的特征参数在该类别的特征参数中,则将所述初始可信度分值加一,若所述待测HTTP数据中的特征参数不在该类别的特征参数中,则将所述初始可信度分值减一;基于更新后的初始可信度分值得到所述待测HTTP数据的可疑得分。5.根据权利要求3所述的方法,其特征在于,所述URL画像还包括每个参数名的出现次数;相应的,所述将所述待测HTTP数据中的特征参数与该类别中的特征参数进行比对,确定所述待测HTTP数据的可疑得分,包括:基于每个所...
【专利技术属性】
技术研发人员:徐钟豪,陈伟,谢忱,刘伟,
申请(专利权)人:上海斗象信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。