异常访问行为的检测方法、装置、存储介质以及电子设备制造方法及图纸

本申请公开了一种异常访问行为的检测方法、装置、存储介质以及电子设备。该方法包括：在网络服务器中获取多个访问日志，并获取每个访问日志中的访问路径和访问路径的路径引用来源；根据各个访问路径和路径引用来源生成网络服务器的访问路径的有向图；按照每个节点的节点连接数量从有向图中选取候选节点，得到多个候选节点，并根据各个候选节点的节点信息生成目标矩阵；通过目标矩阵从多个候选节点中确定异常节点，并将异常节点对应的访问路径确定为异常访问路径，将异常访问路径对应的访问行为确定为异常访问行为。通过本申请，解决了相关技术中通过代码文件的注释信息对访问行为进行检测的准确度低的问题。进行检测的准确度低的问题。进行检测的准确度低的问题。

【技术实现步骤摘要】
异常访问行为的检测方法、装置、存储介质以及电子设备


[0001]本申请涉及网络安全领域，具体而言，涉及一种异常访问行为的检测方法、装置、存储介质以及电子设备。

技术介绍

[0002]Webshell(网页脚本)是一种类似于shell(脚本)的接口，可以通过使用webshell远程访问web(网络)服务器，可以向web服务器发起网络攻击，从而控制web服务器。为了实现与web服务器的连接并进行攻击，攻击端可以使用web服务器支持的任何编程语言对webshell进行编程，然后控制端通过访问特定url地址获取web服务器的相关权限，最终达成攻击目的。
[0003]为了防止web服务器被webshell攻击，需要对webshell进行检测，从而在检测到webshell后及时的进行防御。对于webshell的检测通常有两个阶段，第一阶段是webshell后门代码上传阶段；第二阶段是webshell后门利用阶段。在两个不同的阶段中因为控制端的行为方式和行为目标的不同，导致对应的检测方法也存在不同。
[0004]在第二阶段的后门应用阶段中，通常使用的webshell访问的检测的技术方法为通过注释信息提取模块获取代码文件的注释信息，并将其与“注释信息特征库”进行匹配，获取权限值，通过判断权限值是否超过预设阈值，来判断某一访问是否为webshell访问。
[0005]但是，现有技术中在对访问是否为webshell访问进行检测的时候，依赖于代码的注释信息，比较容易绕过，并且容易对注释信息进行伪造，进一步的，仅通过将权限值直接阈值比较的方法容易产生检测误报，使得正常访问被误判为webshell访问，从而影响正常访问的操作。
[0006]针对相关技术中通过代码文件的注释信息对访问行为进行检测的准确度低的问题，目前尚未提出有效的解决方案。

技术实现思路

[0007]本申请提供一种异常访问行为的检测方法、装置、存储介质以及电子设备，以解决相关技术中通过代码文件的注释信息对访问行为进行检测的准确度低的问题。
[0008]根据本申请的一个方面，提供了一种异常访问行为的检测方法。该方法包括：在网络服务器中获取多个访问日志，并获取每个访问日志中的访问路径和访问路径的至少一个路径引用来源，其中，每个访问日志中至少包括以下之一：访问路径、路径引用来源以及访问者IP；根据各个访问路径和每个访问路径的路径引用来源生成网络服务器的访问路径的有向图，其中，有向图中包括多个节点，每个节点表征一个访问路径；按照每个节点的节点连接数量从有向图中选取候选节点，得到多个候选节点，并根据各个候选节点的节点信息生成目标矩阵，其中，节点信息包括：节点对应的访问路径、访问路径的访问者IP，以及每个访问者IP的访问次数；通过目标矩阵从多个候选节点中确定异常节点，并将异常节点对应的访问路径确定为异常访问路径，将异常访问路径对应的访问行为确定为异常访问行为。
[0009]可选地，根据各个访问路径和每个访问路径的路径引用来源生成网络服务器的访问路径的有向图包括：生成每个访问路径的节点，以及每个路径引用来源的节点，得到多个节点；将多个节点根据引用关系进行连接，得到访问路径的有向图，其中，引用关系为访问路径与路径引用来源之间的引用关系。
[0010]可选地，按照每个节点的节点连接数量从有向图中选取候选节点包括：判断节点是否为孤立节点，其中，孤立节点表征节点在有向图中无连接关系；在节点为孤立节点的情况下，将节点确定为候选节点；和/或确定节点的父节点的数量，并判断父节点的数量是否大于第一预设数量；在父节点的数量大于第一预设数量的情况下，将节点确定为候选节点。
[0011]可选地，节点信息还包括第一访问次数和第二访问次数，第一访问次数为候选节点的访问路径被查找访问的访问次数，第二访问次数为候选节点的访问路径被跳转访问的访问次数，在根据各个候选节点的节点信息生成目标矩阵之前，该方法还包括：判断每个候选节点对应的访问者IP的数量是否大于第二预设数量；在候选节点对应的访问者IP的数量大于第二预设数量的情况下，删除候选节点，得到更新后的多个候选节点，并通过更新后的多个候选节点执行根据各个候选节点的节点信息生成目标矩阵的步骤；和/或将候选节点的第一访问次数与第二访问次数相除，得到候选节点的初次访问率；判断初次访问率是否小于等于访问率阈值；在初次访问率小于等于访问率阈值的情况下，删除候选节点，得到更新后的多个候选节点，并通过更新后的多个候选节点执行根据各个候选节点的节点信息生成目标矩阵的步骤。
[0012]可选地，根据各个候选节点的节点信息生成目标矩阵包括：以访问路径为列，以访问者IP为行，构建访问路径和访问者IP的表格，并将每个访问者IP访问每个访问路径的访问次数添加至表格中，得到初始关系矩阵；获取初始关系矩阵的转置矩阵，得到初始转置矩阵；将初始转置矩阵和初始关系矩阵相乘，得到度量矩阵；将度量矩阵中的对角线元素进行归一化，得到目标矩阵。
[0013]可选地，通过目标矩阵从多个候选节点中确定异常节点包括：在目标矩阵中确定每个访问路径对应的行矩阵中的非零元素的数量，得到多个元素数量；分别判断每个元素数量是否小于第三预设数量；在元素数量小于第三预设数量的情况下，将元素数量对应的访问路径对应的节点确定为异常节点；和/或在目标矩阵中确定每个访问路径对应的行矩阵中非零元素占行矩阵中全部元素的占比，得到多个元素占比；分别判断每个元素占比是否小于预设比例；在元素占比小于预设比例的情况下，将元素占比对应的访问路径对应的节点确定为异常节点。
[0014]可选地，在通过目标矩阵从多个候选节点中确定异常节点之前，该方法还包括：判断目标矩阵中的多个访问者IP中是否存在同一属地的访问者IP；在存在同一属地的访问者IP的情况下，在目标矩阵中将多个同一属地的访问者IP对应的列矩阵相加，得到更新后的目标矩阵，并根据更新后的目标矩阵执行通过目标矩阵从多个候选节点中确定异常节点的步骤。
[0015]根据本申请的另一方面，提供了一种异常访问行为的检测装置。该装置包括：获取单元，用于在网络服务器中获取多个访问日志，并获取每个访问日志中的访问路径和访问路径的至少一个路径引用来源，其中，每个访问日志中至少包括以下之一：访问路径、路径引用来源以及访问者IP；第一生成单元，用于根据各个访问路径和每个访问路径的路径引
用来源生成网络服务器的访问路径的有向图，其中，有向图中包括多个节点，每个节点表征一个访问路径；第二生成单元，用于按照每个节点的节点连接数量从有向图中选取候选节点，得到多个候选节点，并根据各个候选节点的节点信息生成目标矩阵，其中，节点信息包括：节点对应的访问路径、访问路径的访问者IP，以及每个访问者IP的访问次数；确定单元，用于通过目标矩阵从多个候选节点中确定异常节点，并将异常节点对应的访问路径确定为异常访问路径，将异常访问路径对应的访问行为确定为异常访问行为。
[0016]根据本专利技术实施例的另一方面，还提供了一种计算机存储介质，计算机存储介质用于存储程本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常访问行为的检测方法，其特征在于，包括：在网络服务器中获取多个访问日志，并获取每个访问日志中的访问路径和所述访问路径的至少一个路径引用来源，其中，每个所述访问日志中至少包括以下之一：访问路径、路径引用来源以及访问者IP；根据各个访问路径和每个所述访问路径的路径引用来源生成所述网络服务器的访问路径的有向图，其中，所述有向图中包括多个节点，每个所述节点表征一个所述访问路径；按照每个节点的节点连接数量从所述有向图中选取候选节点，得到多个候选节点，并根据各个候选节点的节点信息生成目标矩阵，其中，所述节点信息包括：节点对应的访问路径、访问路径的访问者IP，以及每个访问者IP的访问次数；通过所述目标矩阵从多个候选节点中确定异常节点，并将所述异常节点对应的访问路径确定为异常访问路径，将所述异常访问路径对应的访问行为确定为异常访问行为。2.根据权利要求1所述的方法，其特征在于，根据各个访问路径和每个所述访问路径的路径引用来源生成所述网络服务器的访问路径的有向图包括：生成每个所述访问路径的节点，以及每个所述路径引用来源的节点，得到多个节点；将所述多个节点根据引用关系进行连接，得到所述访问路径的有向图，其中，所述引用关系为所述访问路径与所述路径引用来源之间的引用关系。3.根据权利要求1所述的方法，其特征在于，按照每个节点的节点连接数量从所述有向图中选取候选节点包括：判断所述节点是否为孤立节点，其中，所述孤立节点表征所述节点在所述有向图中无连接关系；在所述节点为所述孤立节点的情况下，将所述节点确定为所述候选节点；和/或确定所述节点的父节点的数量，并判断所述父节点的数量是否大于第一预设数量；在所述父节点的数量大于所述第一预设数量的情况下，将所述节点确定为所述候选节点。4.根据权利要求1所述的方法，其特征在于，所述节点信息还包括第一访问次数和第二访问次数，所述第一访问次数为所述候选节点的访问路径被查找访问的访问次数，所述第二访问次数为所述候选节点的访问路径被跳转访问的访问次数，在根据各个候选节点的节点信息生成目标矩阵之前，所述方法还包括：判断每个所述候选节点对应的访问者IP的数量是否大于第二预设数量；在所述候选节点对应的访问者IP的数量大于所述第二预设数量的情况下，删除所述候选节点，得到更新后的多个候选节点，并通过所述更新后的多个候选节点执行所述根据各个所述候选节点的节点信息生成目标矩阵的步骤；和/或将所述候选节点的所述第一访问次数与所述第二访问次数相除，得到所述候选节点的初次访问率；判断所述初次访问率是否小于等于访问率阈值；在所述初次访问率小于等于所述访问率阈值的情况下，删除所述候选节点，得到更新后的多个候选节点，并通过所述更新后的多个候选节点执行所述根据各个候选节点的节点信息生成目标矩阵的步骤。5.根据权利要求1所述的方法，其特征在于，根据各个候选节点的节点信息生成目标矩
阵包括：以所述访问路径为列，以所述访问者IP为行，构建所述访问路...

【专利技术属性】
技术研发人员：申勇，齐特，韦云川，万朝华，
申请(专利权)人：山石网科通信技术股份有限公司，
类型：发明
国别省市：