【技术实现步骤摘要】
本申请涉及通信,尤其涉及一种异常检测方法、模型训练方法及相关设备。
技术介绍
1、随着互联网服务的快速发展和广泛使用,互联网应用程序也呈多样化发展,针对全球广域网(world wide web,web)应用的攻击形式也是多种多样。侦查跟踪作为攻击链的第一阶段,是渗透测试和黑客攻击的最重要的环节之一。扫描是侦察跟踪阶段常用手段之一,常见的扫描行为有端口扫描、web漏洞扫描、路径与敏感信息扫描。黑客通常通过扫描来获取攻击目标的相关信息,如敏感信息、安全漏洞、可能的注入点等,进而根据这些信息进行渗透,从而获取目标系统权限。
2、如果在侦查阶段能够及时检测并阻断到扫描网际互连协议(internet protocol,ip)地址,阻止进一步攻击,就能够有效遏制风险,保护关键资产安全。
3、因此,如何检测扫描ip地址是亟待解决的技术问题。
技术实现思路
1、本申请提供了一种异常检测方法,可以通过多个请求日志判断访问源ip地址是否异常,增加检测异常ip地址的准确度。
...
【技术保护点】
1.一种异常检测方法,其特征在于,所述方法应用于第一设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述多个日志集合获取多个第一会话,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述基于所述多个日志集合获取多个第一会话,包括:
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述基于第一模型与第一阈值确定所述多个第一会话中的异常会话,包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述...
【技术特征摘要】
1.一种异常检测方法,其特征在于,所述方法应用于第一设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述多个日志集合获取多个第一会话,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述基于所述多个日志集合获取多个第一会话,包括:
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述基于第一模型与第一阈值确定所述多个第一会话中的异常会话,包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述多个请求日志不是预设白名单ip地址的请求日志。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述第一模型为自编码器ae模型。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述多个请求日志中的每个请求日志包括以下一项或多项:响应码、源ip地址、访问频率、统一资源定位符url、域名、访问客户端以及请求来源。
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述第一模型是根据多个第二会话训练得到的,所述多个第二会话为正常请求日志产生的会话。
10.一种模型训练方法,其特征在于,所述方法包括:
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
12.根据权利要求10或11所述的方法,其特征在于,所述方法还包括:
13.一种第一设备,其特征在于,所述第一设备包括:
14.根据权利要求13所述的第一设备,其特征在于,所述获取单元,具体用于基于所述每个日志集合中各请求日志的时间戳对所述多个日志集合进行划分以得到所述多个第一会话。
15.根据权利要求13或14所述的第一设备,其特征在于,所述获取单元,具体用于基于映射规约算法对所述多个日志集合进行划分以得到所述多个第一会话。
16.根据权利要求13至15中任一项所述的第一设备,其特征在于,所述确定单元,具体用于将所述多个第一会话分别输入所述第一模型以得到多个第一重构会话;
17....
【专利技术属性】
技术研发人员:石晓辉,蒋振超,吴迪,李长轩,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。