一种基于制造技术

本发明专利技术提供了一种基于

【技术实现步骤摘要】
一种基于Web中间件的恶意行为检测方法


[0001]本专利技术涉及行为检测领域，特别涉及一种基于
Web
中间件的恶意行为检测方法
。

技术介绍

[0002]目前，随着互联网行业的迅猛发展，各行各业都依托互联网进行工作，更多的机密资料被上传到网络，对于网络的攻击越来越频繁，信息安全就变得更加重要，因此，需要更及时
、
准确的对
Web
中间件等服务程序的恶意行为进行检测
。
[0003]然而，现有的恶意行为检测方法单一，同时也不能及时的进行检测，从而导致信息泄露
。
[0004]因此，本专利技术提供了一种基于
Web
中间件的恶意行为检测方法
。

技术实现思路

[0005]本专利技术提供了一种基于
Web
中间件的恶意行为检测方法，用以通过基于历史行为数据和可能出现恶意行为的行为数据建立模型并分别进行分析，可以使得对
Web
中间件的恶意行为检测更加精确，同时也能够更加及时的发现恶意行为
。
[0006]本专利技术提供了一种基于
Web
中间件的恶意行为检测方法，包括：步骤1：获取目标
Web
中间件的所有历史行为数据，基于数据特征进行关键数据提取，得到关键历史行为数据，并基于关键历史行为数据构建第一模型；步骤2：获取目标
Web
中间件中可能出现恶意行为的第二行为数据，基于第二行为数据且采用第二预设算法构建第二模型；步骤3：基于第一模型和第二模型对目标
Web
中间件的当下行为数据进行检测，基于检测结果判断目标
Web
中间件当下时刻是否存在恶意行为；步骤4：对存在恶意行为的目标
Web
中间件，判断恶意行为种类并进行预警
。
[0007]在一种可能实现的方式中，获取目标
Web
中间件的所有历史行为数据，基于数据特征进行关键数据提取，得到关键历史行为数据，包括：步骤
11
：获取目标
Web
中间件的所有历史行为数据，并按照历史行为数据的数据特征对历史行为数据进行分类；步骤
12
：判断历史行为数据中包含的每一数据特征对恶意行为检测能够成功检测的影响程度；步骤
13
：对每一历史行为子数据对应的数据特征的影响程度进行排序，并得到所有历史行为数据对应数据特征的排序结果；步骤
14
：基于排序结果确定历史行为数据中所有数据特征对恶意行为检测能够成功检测的综合影响程度；步骤
15
：剔除历史行为数据中综合影响程度低于预设值的行为数据，得到的历史行为数据中的剩余数据即为关键历史行为数据
。
[0008]在一种可能实现的方式中，基于关键历史行为数据构建第一模型，包括：
步骤
01
：基于关键历史行为数据及对应的数据特征在行为数据库中筛选同数据特征的第一预设算法；步骤
02
：基于第一预设算法得到第一初始模型，并将关键历史行为数据输入到第一初始模型中进行训练，得到第一模型
。
[0009]在一种可能实现的方式中，获取目标
Web
中间件中可能出现恶意行为的第二行为数据，基于第二行为数据且采用第二预设算法构建第二模型，包括：步骤
21
：根据目标
Web
中间件历史恶意行为的行为数据的数据特征及数据编码方式，获取目标
Web
中间件可能出现恶意行为的第二行为数据；步骤
22
：基于第二行为数据中的每一子行为数据的数据特征在行为数据库中筛选对应的第二预设算法，并基于第二预设算法得到第二模型
。
[0010]在一种可能实现的方式中，基于第一模型和第二模型对目标
Web
中间件的当下行为数据进行检测，基于检测结果判断目标
Web
中间件当下时刻是否存在恶意行为，包括：步骤
31
：将目标中间件的实时行为数据分别输入到第一模型与第二模型中，并得到第一模型输出结果与第二模型输出结果；步骤
32
：比较第一模型输出结果与第二模型输出结果，提取输出结果中相同的部分为第一检测结果；步骤
33
：基于第一检测结果判断目标
Web
中间件当下时刻是否存在恶意行为
。
[0011]在一种可能实现的方式中，对存在恶意行为的目标
Web
中间件，判断恶意行为种类并进行预警，包括：步骤
41
：获取存在恶意行为的目标
Web
中间件的实时行为数据，并得到对应的行为
ID
及行为
IP
；步骤
42
：基于实时行为数据判断对应的恶意行为类别，得到第一行为种类；步骤
43
：判断对应行为
ID
及行为
IP
是否属于白名单；若不属于白名单的范围，则判断当前恶意行为属于外部行为，结合第一行为种类，确定第一恶意行为种类；反之，则判断当前恶意行为属于内部行为，结合第一行为种类，确定第二恶意行为初始种类；基于存在第二恶意行为初始种类的
Web
中间件，获取恶意行为数据；获取恶意行为数据对应的数据特征在应用系统的上一行为周期的第一参考行为数据；判断所述第一参考行为数据与系统标准行为数据的第一差值符号，同时，确定恶意行为数据与系统标准行为数据的第二差值符号，若第一差值符号与第二差值符号一致，且第二差值符号的符号表示值大于第一差值符号表示值，则判定恶意行为数据的数据来源为应用系统；获取恶意行为数据对应的数据特征在系统软件的上一行为周期得到的第二参考行为数据；判断所述第二参考行为数据与软件标准行为数据的第三差值符号，同时，确定恶意行为数据与软件标准行为数据的第四差值符号，若第三差值符号与第四差值符号一致，且第四差值符号的符号表示值大于第三差值符号表示值，则判定恶意行为数据的数据来源
为应用软件；否则，判定恶意行为数据的数据来源为无；步骤
44
：根据恶意行为数据的数据来源，且结合恶意行为数据的行为种类，在智能终端进行显示预警
。
[0012]在一种可能实现的方式中，判断恶意行为种类并进行预警之后，还包括：对恶意行为造成的损失进行智能修复，具体包括：步骤
51
：通过恶意行为种类及恶意行为的恶意度，综合确定恶意行为是否能够智能修复；若能够进行智能修复，则基于恶意行为数据与标准行为数据的差值，获取对应修复方法，对目标
Web
中间件进行修复；反之，则需要申请外部介入
。
[0013]在一种可能实现的方式中，通过恶意行为种类及恶意行为的恶意度，综合确定恶意行为是否能够智能修复，包括：获取并判断恶意行为种类，若恶意行为本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于
Web
中间件的恶意行为检测方法，其特征在于，包括：步骤1：获取目标
Web
中间件的所有历史行为数据，基于数据特征进行关键数据提取，得到关键历史行为数据，并基于关键历史行为数据构建第一模型；步骤2：获取目标
Web
中间件中可能出现恶意行为的第二行为数据，基于第二行为数据且采用第二预设算法构建第二模型；步骤3：基于第一模型和第二模型对目标
Web
中间件的当下行为数据进行检测，基于检测结果判断目标
Web
中间件当下时刻是否存在恶意行为；步骤4：对存在恶意行为的目标
Web
中间件，判断恶意行为种类并进行预警
。2.
根据权利要求1所述的一种基于
Web
中间件的恶意行为检测方法，其特征在于，获取目标
Web
中间件的所有历史行为数据，基于数据特征进行关键数据提取，得到关键历史行为数据，包括：步骤
11
：获取目标
Web
中间件的所有历史行为数据，并按照历史行为数据的数据特征对历史行为数据进行分类；步骤
12
：判断历史行为数据中包含的每一数据特征对恶意行为检测能够成功检测的影响程度；步骤
13
：对每一历史行为子数据对应的数据特征的影响程度进行排序，并得到所有历史行为数据对应数据特征的排序结果；步骤
14
：基于排序结果确定历史行为数据中所有数据特征对恶意行为检测能够成功检测的综合影响程度；步骤
15
：剔除历史行为数据中综合影响程度低于预设值的行为数据，得到的历史行为数据中的剩余数据即为关键历史行为数据
。3.
根据权利要求1所述的一种基于
Web
中间件的恶意行为检测方法，其特征在于，基于关键历史行为数据构建第一模型，包括：步骤
01
：基于关键历史行为数据及对应的数据特征在行为数据库中筛选同数据特征的第一预设算法；步骤
02
：基于第一预设算法得到第一初始模型，并将关键历史行为数据输入到第一初始模型中进行训练，得到第一模型
。4.
根据权利要求3所述的一种基于
Web
中间件的恶意行为检测方法，其特征在于，获取目标
Web
中间件中可能出现恶意行为的第二行为数据，基于第二行为数据且采用第二预设算法构建第二模型，包括：步骤
21
：根据目标
Web
中间件历史恶意行为的行为数据的数据特征及数据编码方式，获取目标
Web
中间件可能出现恶意行为的第二行为数据；步骤
22
：基于第二行为数据中的每一子行为数据的数据特征在行为数据库中筛选对应的第二预设算法，并基于第二预设算法得到第二模型
。5.
根据权利要求4所述的一种基于
Web
中间件的恶意行为检测方法，其特征在于，基于第一模型和第二模型对目标
Web
中间件的当下行为数据进行检测，基于检测结果判断目标
Web
中间件当下时刻是否存在恶意行为，包括：步骤
31
：将目标中间件的实时行为数据分别输入到第一模型与第二模型中，并得到第一模型输出结果与第二模型输出结果；
步骤
32
：比较第一模型输出结果与第二模型输出结果，提取输出结果中相同的部分为第一检测结果；步骤
33
：基于第一检测结果判断目标

【专利技术属性】
技术研发人员：杨铭，刘晓雨，孙崇武，闫俊伊，刘森，牛昊康，韩硕，朱烨，郭壮，
申请(专利权)人：华能信息技术有限公司，
类型：发明
国别省市：