【技术实现步骤摘要】
基于改进孤立森林算法的web流量异常检测方法及装置
[0001]本公开涉及网络安全
,具体涉及一种基于改进孤立森林算法的web流量异常检测方法、一种基于改进孤立森林算法的web流量异常检测装置、一种存储介质以及一种终端设备。
技术介绍
[0002]Web防火墙是信息安全的第一道防线。随着网络技术的快速更新,新的黑客技术也层出不穷,为传统规则防火墙带来了挑战。传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面,硬规则在灵活的黑客面前,很容易被绕过,且基于以往知识的规则集难以应对0day攻击;另一方面,攻防对抗水涨船高,防守方规则的构造和维护门槛高、资源消耗成本大。然而,传统的孤立森林异常检测算法异常分数计算存在局限性,不擅长处理含有大量局部相对稀疏点的web流量数据,且对于多数特征不明显的web流量数据,平均计算搜索深度的计算方式容易导致低相关度特征影响最终异常判断。
[0003]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有
【技术保护点】
【技术特征摘要】
1.一种基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述方法包括:采集web防火墙历史日志数据,以及web防火墙待测日志数据;对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型;将所述web防火墙待测日志数据输入所述基于孤立森林模型的异常检测模型,以获取异常检测结果。2.根据权利要求1所述的基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型,包括:对web防火墙历史日志数据进行解析,以获取多个维度的特征数据,并将所述特征数据作为训练样本;基于所述特征数据构建孤立树集合;计算根据异常样本到正常样本中心的距离、正常样本到正常样本中心的距离计算第一权值w1;利用不合度量计算孤立树之间的多样性确定对称矩阵,并利用对称矩阵计算第二权值系数w2;结合所述第一权值w1、第二权值w2进行异常分数计算。3.根据权利要求2所述的基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述对web防火墙历史日志数据进行解析,以获取多个维度的特征数据,包括:对web防火墙历史日志数据中的HTTP请求进行泛化处理,并基于预设的特征字段提取多个维度的特征数据。4.根据权利要求2或3所述的基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述方法还包括:在各维度的特征数据中添加预设比例的已知异常样本,以构建训练样本。5.根据权利要求2所述的基于改进孤立森林算法的web流...
【专利技术属性】
技术研发人员:钟良志,白冰,董康辉,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。