网络异常访问的检测方法、装置、电子设备及存储介质制造方法及图纸

本申请实施例提供了一种网络异常访问的检测方法、装置、电子设备及存储介质，涉及但不仅限于互联网络技术。该方法包括：对目标网络系统的第一访问数据进行数据一致性处理，得到第二访问数据；从第二访问数据中提取出访问特征向量；获取第一异常访问规则特征以及第一异常访问规则特征的访问权重；计算访问权重和访问特征向量的乘积，得到访问权重乘积；计算第一异常访问规则特征和访问权重乘积之间的余弦相似度，得到相似度值；根据相似度值，确定第一访问数据的访问状态；其中，访问状态用于表征第一访问数据为正常访问行为或者异常访问行为。装置、电子设备及存储介质应用上述方法，本申请实施例能提升对异常访问行为的识别精度。度。度。

【技术实现步骤摘要】
网络异常访问的检测方法、装置、电子设备及存储介质


[0001]本申请涉及互联网络技术，尤其涉及一种网络异常访问的检测方法、装置、电子设备及存储介质。

技术介绍

[0002]随着计算机技术的发展，应用程序与各中间件的种类愈发多样化，因此，用户希望对服务的访问进行监控，从而了解服务网络层访问具体情况。目前，服务的第一访问数据可以采用如nginx,apisix,lvs等代理程序以通过访问日志采集分析获取服务访问的具体情况或者是通过nginx,apisix,lvs,dns export获取相关访问的具体情况，又或者是用户自己在程序服务中进行监控埋点，获取相关信息进行分析统计以确定是否为异常访问行为，但是无论上述的那种方式，确定该产生的访问数据为异常行为访问还是正常行为访问，均是依赖于后续对访问数据是否为异常访问行为的识别精度，因此，继续一种网络异常访问的检测方法能提升异常访问行为的识别精度。

技术实现思路

[0003]本申请实施例的主要目的在于提出一种网络异常访问的检测方法、装置、电子设备及存储介质，提升对异常访问行为的识别精度。
[0004]为实现上述目的，本申请实施例的第一方面提出了一种网络异常访问的检测方法，所述方法包括：
[0005]采集目标网络系统的第一访问数据；
[0006]对所述第一访问数据进行数据一致性处理，得到第二访问数据；
[0007]从所述第二访问数据中提取出访问特征向量；
[0008]获取第一异常访问规则特征以及所述第一异常访问规则特征的访问权重；
[0009]计算所述访问权重和所述访问特征向量的乘积，得到访问权重乘积；计算所述第一异常访问规则特征和所述访问权重乘积之间的余弦相似度，得到相似度值；
[0010]根据所述相似度值，确定所述第一访问数据的访问状态；其中，所述访问状态用于表征所述第一访问数据为正常访问行为或者异常访问行为。
[0011]为实现上述目的，本申请实施例的第二方面提出了一种网络异常访问的检测装置，所述网络异常访问的检测装置包括：
[0012]采集模块，所述采集模块用于采集目标网络系统的第一访问数据；
[0013]预处理模块，所述预处理模块用于对所述第一访问数据进行数据一致性处理，得到第二访问数据；
[0014]获取模块，所述获取模块用于从所述第二访问数据中提取出访问特征向量并获取第一异常访问规则特征以及所述第一异常访问规则特征的访问权重；
[0015]计算模块，所述计算模块用于计算所述访问权重和所述访问特征向量的乘积，得到访问权重乘积；并计算所述第一异常访问规则特征和所述访问权重乘积之间的余弦相似
度，得到相似度值；
[0016]异常判断模块，所述异常判断模块用于根据所述相似度值，确定所述第一访问数据的访问状态；其中，所述访问状态用于表征所述第一访问数据为正常访问行为或者异常访问行为。
[0017]为实现上述目的，本申请实施例的第三方面提出了一种电子设备，所述电子设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述第一方面所述的网络异常访问的检测方法。
[0018]为实现上述目的，本申请实施例的第四方面提出了一种存储介质，所述存储介质为计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面所述的方法。
[0019]本申请提出的网络异常访问的检测方法、装置、电子设备及存储介质,通过将第一访问数据进行数据一致性处理，得到第二访问数据，并对第二访问数据的访问特征向量进行余弦相似度计算，从而根据相似度值确定出第一访问数据是正常访问行为还是异常访问行为。同时，余弦相似度计算中，采用了访问特征向量和第一异常访问规则特征的权重的乘积作为其中一个向量，可以进一步提升检测的精度。和相关技术相比，本申请实施例能提升对异常访问行为的识别精度。
附图说明
[0020]图1是本申请实施例提供的网络异常访问的检测方法的流程示意图；
[0021]图2是本申请实施例提供的网络异常访问的检测方法应用的系统示意图；
[0022]图3是本申请实施例提供的网络异常访问的检测方法中第一访问数据的获取的流程示意图；
[0023]图4是本申请实施例提供的网络异常访问的检测方法中第二访问数据的获取流程示意图；
[0024]图5是本申请实施例提供的网络异常访问的检测装置的模块示意图；
[0025]图6是本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
[0026]为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。
[0027]需要说明的是，虽然在装置示意图中进行了功能模块划分，在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于装置中的模块划分，或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
[0028]除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的
的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的，不是旨在限制本申请。
[0029]随着计算机技术的发展，应用程序与各中间件的种类愈发多样化，因此，用户希望
对服务的访问进行监控，从而了解服务网络层访问具体情况。目前，服务的第一访问数据可以采用如nginx,apisix,lvs等代理程序以通过访问日志采集分析获取服务访问的具体情况或者是通过nginx,apisix,lvs,dns export获取相关访问的具体情况，又或者是用户自己在程序服务中进行监控埋点，获取相关信息进行分析统计以确定是否为异常访问行为，但是无论上述的那种方式，确定产生的访问数据为异常行为访问还是正常行为访问，均是依赖于后续对访问数据是否为异常访问行为的识别精度，因此，继续一种网络异常访问的检测方法能提升异常访问行为的识别精度。因此，亟需一种方式能提升异常访问行为的识别精度。
[0030]本申请实施例提供的网络异常访问的检测方法、装置、电子设备及存储介质，具体通过如下实施例进行说明，首先描述本申请实施例中的网络异常访问的检测方法。
[0031]本申请可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络异常访问的检测方法，其特征在于，所述方法包括：采集目标网络系统的第一访问数据；对所述第一访问数据进行数据一致性处理，得到第二访问数据；从所述第二访问数据中提取出访问特征向量；获取第一异常访问规则特征以及所述第一异常访问规则特征的访问权重；计算所述访问权重和所述访问特征向量的乘积，得到访问权重乘积；计算所述第一异常访问规则特征和所述访问权重乘积之间的余弦相似度，得到相似度值；根据所述相似度值，确定所述第一访问数据的访问状态；其中，所述访问状态用于表征所述第一访问数据为正常访问行为或者异常访问行为。2.根据权利要求1所述的网络异常访问的检测方法，其特征在于，所述根据所述相似度值，确定所述第一访问数据的访问状态，包括：当所述相似度值在第一阈值范围内，获取用户定义的业务配置规则特征；判断所述访问特征向量与所述业务配置规则特征是否匹配；当所述访问特征向量与所述业务配置规则特征不匹配，确定所述第一访问数据为异常访问行为；当所述访问特征向量与所述业务配置规则特征匹配，确定所述第一访问数据为正常访问行为。3.根据权利要求1所述的网络异常访问的检测方法，其特征在于，在得到相似度值之后，所述方法还包括：当所述相似度值在第二阈值范围内，将所述第二访问数据存入预设的未识别数据库；其中，所述第二阈值范围表征所述第二访问数据的访问状态为未识别访问行为；对所述未识别数据库内的第二访问数据进行有监督训练，得到第二异常访问规则特征，以通过所述第一异常访问规则和所述第二异常访问规则计算下一次采集的第一访问数据的余弦相似度。4.根据权利要求1所述的网络异常访问的检测方法，其特征在于，在采集目标网络系统的第一访问数据之前，所述方法还包括：通过扩展的伯克利数据包过滤器采集引擎读取所述目标网络系统的内核态中的网络访问信息，并将所述网络访问信息作为一条缓存记录存储入环行缓存区；对应的，所述采集目标网络系统的第一访问数据，包括：在所述目标网络系统的用户态下依次读取所述环行缓存区内的缓存记录；将所述缓存记录进行范式化处理，得到第三访问数据；将所述第三访问数据输出到预设的第一缓存窗口；获取根据第一分类规则生成的分类数据结构；根据所述分类数据结构，对所述第一缓存窗口内的第三访问数据进行分类聚合，得到所述第一访问数据。5.根据权利要求4所述的网络异常访问的检测方法，其特征在于，所述第一访问数据包括：源地址、目标访问地址以及目标访问端口；所述对所述第一访问数据进行数据一致性处理，得到第二访问数据，包括：
从所述第一访问数据中解析出源地址和目标访问地址；根据所述源地址和所述目标访问地址，建立地址采集任务；其中，所述地址采集任务用于对具有相同的源地址和/或目标访问地址的第一访问数据进行聚合；为所述地址解析任务建立连接任务，并将所述连接任务挂接于所述地址采集任务下；为所述连...

【专利技术属性】
技术研发人员：孟军伟，吴昊，朱健，林涛，
申请(专利权)人：广东润联信息技术有限公司，
类型：发明
国别省市：