本发明专利技术提供一种机器请求行为识别方法、装置、电子设备和存储介质,通过绝对高频阈值和相对高频阈值,确定待检测IP地址的待检测时间区间,缩小了机器请求行为的判断范围,继而基于待检测IP地址在各个待检测时间区间的请求量、请求的时间间隔和接口数量,确定待检测IP地址在相应待检测时间区间的频次风险值、稳定性风险值和差异性风险值,从而基于上述频次风险值、稳定性风险值和差异性风险值,确定存在机器请求行为的时间区间,实现了请求行为的多维度分析,提升了机器请求行为的识别精度。提升了机器请求行为的识别精度。提升了机器请求行为的识别精度。
【技术实现步骤摘要】
机器请求行为识别方法、装置、电子设备和存储介质
[0001]本专利技术涉及数据处理
,尤其涉及一种机器请求行为识别方法、装置、电子设备和存储介质。
技术介绍
[0002]机器请求行为是指由机器通过程序对系统自动发出连续请求的行为,典型的业务实例包括恶意攻击(如:分布式拒绝服务(Distributed Denial of Service,DDoS)攻击、挑战黑洞(Challenge CoHapsar,CC)攻击、漏洞攻击等)、爬虫机器人、接口烂刷(如:自动脚本抢票、机器批量注册)等。机器请求行为的发生往往伴随着一定的风险,意味着系统正在接收非正常请求,从API(Application Programming Interface,应用程序编程接口)的请求日志中识别出机器请求行为对于维护系统安全显得至关重要。因此,在API审计中,针对 API 的请求日志进行多维度分析,综合判断,尽可能精准地捕捉到机器请求行为,以保证应用运行的安全性是目前亟待解决的技术问题。
技术实现思路
[0003]本专利技术提供一种机器请求行为识别方法、装置、电子设备和存储介质,用以解决现有技术中如何精准捕捉机器请求行为,以保证应用运行的安全性的问题。
[0004]本专利技术提供一种机器请求行为识别方法,包括:基于待检测IP地址在工作时间段内每个单位时间的请求量,确定相对高频阈值;基于绝对高频阈值和所述相对高频阈值,确定区间筛选阈值,并基于所述区间筛选阈值和所述待检测IP地址在每个单位时间的请求量,确定所述待检测IP地址的若干个待检测时间区间;基于所述待检测IP地址在各个待检测时间区间的请求量,确定所述待检测IP地址在相应待检测时间区间的频次风险值;基于所述待检测IP地址在各个待检测时间区间内相邻两次请求的时间间隔,确定所述待检测IP地址在相应待检测时间区间的稳定性风险值;基于所述待检测IP地址在各个待检测时间区间内访问的接口数量,确定所述待检测IP地址在相应待检测时间区间的差异性风险值;基于所述待检测IP地址在各个待检测时间区间的频次风险值、稳定性风险值和差异性风险值,确定存在机器请求行为的时间区间。
[0005]根据本专利技术提供的一种机器请求行为识别方法,所述基于所述待检测IP地址在各个待检测时间区间内相邻两次请求的时间间隔,确定所述待检测IP地址在相应待检测时间区间的稳定性风险值,具体包括:获取所述待检测IP地址在任一待检测时间区间内每两次相邻请求的时间间隔,并基于固定宽度对所述每两次相邻请求的时间间隔进行分箱,得到所述待检测IP地址在所述任一待检测时间区间内每两次相邻请求的时间间隔编码;其中,任意两次相邻请求的时间
间隔编码为基于所述固定宽度对所述任意两次相邻请求的时间间隔进行分箱后得到的箱号;基于所述待检测IP地址在所述任一待检测时间区间内每两次相邻请求的时间间隔编码进行信息熵计算,得到所述待检测IP地址在所述任一待检测时间区间的归一化信息熵;基于数值1与所述待检测IP地址在所述任一待检测时间区间的归一化信息熵之间的差值,确定所述待检测IP地址在所述任一待检测时间区间的稳定性风险值。
[0006]根据本专利技术提供的一种机器请求行为识别方法,所述基于所述待检测IP地址在各个待检测时间区间内访问的接口数量,确定所述待检测IP地址在相应待检测时间区间的差异性风险值,具体包括:确定所述待检测IP地址在任一待检测时间区间内访问的不同接口的接口数量;确定所述待检测IP地址在所述任一待检测时间区间内访问的不同接口的接口数量的倒数,作为所述待检测IP地址在相应待检测时间区间的差异性风险值。
[0007]根据本专利技术提供的一种机器请求行为识别方法,所述基于所述待检测IP地址在各个待检测时间区间的请求量,确定所述待检测IP地址在相应待检测时间区间的频次风险值,具体包括:基于如下公式确定所述待检测IP地址在任一待检测时间区间的频次风险值:其中,ad_tanh为所述待检测IP地址在所述任一待检测时间区间的频次风险值,x为所述待检测IP地址在所述任一待检测时间区间的请求量,α为预设的收缩系数。
[0008]根据本专利技术提供的一种机器请求行为识别方法,所述基于待检测IP地址在工作时间段内每个单位时间的请求量,确定相对高频阈值,具体包括:基于所述待检测IP地址在工作时间段内每个单位时间的请求量,生成请求频次列表;其中,所述请求频次列表中各个位置处的数值与所述待检测IP地址在工作时间段内各个单位时间的请求量一一对应;确定所述请求频次列表中数值的中位数;若所述中位数为0,则基于3西格玛原则对所述请求频次列表中的数值进行异常值分析,确定所述相对高频阈值;若所述中位数不为0,则确定所述请求频次列表中数值的上四分位数和下四分位数,并基于所述请求频次列表中数值的上四分位数和下四分位数确定所述相对高频阈值。
[0009]根据本专利技术提供的一种机器请求行为识别方法,所述基于所述请求频次列表中数值的上四分位数和下四分位数确定所述相对高频阈值,具体包括:确定所述请求频次列表中数值的上四分位数和下四分位数的差值与预设调整系数间的乘积;确定所述请求频次列表中数值的上四分位数和下四分位数的差值与预设调整系数间的乘积跟所述请求频次列表中数值的上四分位数之间的总和,作为所述相对高频阈值。
[0010]根据本专利技术提供的一种机器请求行为识别方法,所述基于所述待检测IP地址在各
个待检测时间区间的频次风险值、稳定性风险值和差异性风险值,确定存在机器请求行为的时间区间,具体包括:基于所述待检测IP地址在各个待检测时间区间的频次风险值及其权重、稳定性风险值及其权重和差异性风险值及其权重进行加权求和,得到所述待检测IP地址在相应待检测时间区间的机器请求风险值;基于所述待检测IP地址在各个待检测时间区间的机器请求风险值以及预设风险阈值,确定存在机器请求行为的时间区间。
[0011]本专利技术还提供一种机器请求行为识别装置,包括:相对阈值确定单元,用于基于待检测IP地址在工作时间段内每个单位时间的请求量,确定相对高频阈值;待检测区间确定单元,用于基于绝对高频阈值和所述相对高频阈值,确定区间筛选阈值,并基于所述区间筛选阈值和所述待检测IP地址在每个单位时间的请求量,确定所述待检测IP地址的若干个待检测时间区间;频次风险计算单元,用于基于所述待检测IP地址在各个待检测时间区间的请求量,确定所述待检测IP地址在相应待检测时间区间的频次风险值;稳定性风险计算单元,用于基于所述待检测IP地址在各个待检测时间区间内相邻两次请求的时间间隔,确定所述待检测IP地址在相应待检测时间区间的稳定性风险值;差异性风险计算单元,用于基于所述待检测IP地址在各个待检测时间区间内访问的接口数量,确定所述待检测IP地址在相应待检测时间区间的差异性风险值;机器请求定位单元,用于基于所述待检测IP地址在各个待检测时间区间的频次风险值、稳定性风险值和差异性风险值,确定存在机器请求行为的时间区间。
[0012]本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种机器请求行为识别方法,其特征在于,包括:基于待检测IP地址在工作时间段内每个单位时间的请求量,确定相对高频阈值;基于绝对高频阈值和所述相对高频阈值,确定区间筛选阈值,并基于所述区间筛选阈值和所述待检测IP地址在每个单位时间的请求量,确定所述待检测IP地址的若干个待检测时间区间;基于所述待检测IP地址在各个待检测时间区间的请求量,确定所述待检测IP地址在相应待检测时间区间的频次风险值;基于所述待检测IP地址在各个待检测时间区间内相邻两次请求的时间间隔,确定所述待检测IP地址在相应待检测时间区间的稳定性风险值;基于所述待检测IP地址在各个待检测时间区间内访问的接口数量,确定所述待检测IP地址在相应待检测时间区间的差异性风险值;基于所述待检测IP地址在各个待检测时间区间的频次风险值、稳定性风险值和差异性风险值,确定存在机器请求行为的时间区间。2.根据权利要求1所述的机器请求行为识别方法,其特征在于,所述基于所述待检测IP地址在各个待检测时间区间内相邻两次请求的时间间隔,确定所述待检测IP地址在相应待检测时间区间的稳定性风险值,具体包括:获取所述待检测IP地址在任一待检测时间区间内每两次相邻请求的时间间隔,并基于固定宽度对所述每两次相邻请求的时间间隔进行分箱,得到所述待检测IP地址在所述任一待检测时间区间内每两次相邻请求的时间间隔编码;其中,任意两次相邻请求的时间间隔编码为基于所述固定宽度对所述任意两次相邻请求的时间间隔进行分箱后得到的箱号;基于所述待检测IP地址在所述任一待检测时间区间内每两次相邻请求的时间间隔编码进行信息熵计算,得到所述待检测IP地址在所述任一待检测时间区间的归一化信息熵;基于数值1与所述待检测IP地址在所述任一待检测时间区间的归一化信息熵之间的差值,确定所述待检测IP地址在所述任一待检测时间区间的稳定性风险值。3.根据权利要求1所述的机器请求行为识别方法,其特征在于,所述基于所述待检测IP地址在各个待检测时间区间内访问的接口数量,确定所述待检测IP地址在相应待检测时间区间的差异性风险值,具体包括:确定所述待检测IP地址在任一待检测时间区间内访问的不同接口的接口数量;确定所述待检测IP地址在所述任一待检测时间区间内访问的不同接口的接口数量的倒数,作为所述待检测IP地址在相应待检测时间区间的差异性风险值。4.根据权利要求1所述的机器请求行为识别方法,其特征在于,所述基于所述待检测IP地址在各个待检测时间区间的请求量,确定所述待检测IP地址在相应待检测时间区间的频次风险值,具体包括:基于如下公式确定所述待检测IP地址在任一待检测时间区间的频次风险值:其中,ad_tanh为所述待检测IP地址在所述任一待检测时间区间的频次风险值,x为所述待检测IP地址在所述任一待检测时间区间的请求量,α为预设的收缩系数。5.根据权利要求1至4任一项所述的机器请求行为识别方法,其特征在于,所述基于待
检测IP地址在工作时间段内每个单位时间的请求量,确定相对高频阈值,具体包括:基于所述待检测IP地址...
【专利技术属性】
技术研发人员:张黎,
申请(专利权)人:闪捷信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。