本发明涉及网络
技术领域:
,特别是涉及一种Web异常检测方法和装置。
背景技术:
:随着网络技术的不断发展,Web(互联网)应用安全问题也日益得到重视。互联网的开放性以及丰富的脚本语言和SQL(结构化查询语言,StructuredQueryLanguage)语言,给黑客提供了Web攻击的可乘之机。URL(UniformResourceLocator,统一资源定位符)是互联网中资源的地址,互联网上的每个资源大都具有一个唯一的URL。随着Web服务的不断流行,Web网站遭受的攻击也越来越多,并且大多数Web攻击都是黑客通过修改URL来实现的。目前常用的异常检测方法通过检测URL中是否出现异常来判断是否存在异常访问数据。例如基于规则的异常检测方法,对当前访问数据所对应URL中的query(查询)字段与预置规则进行匹配,以确定当前访问数据是否为异常访问数据,进而确定是否存在Web攻击;其中,所述query字段可用于给动态网页传递参数。然而,在实际应用中,query字段通常为URL中的可选字段。因此,在URL中不存在上述query字段时,上述现有的异常检测方法将不能适用,也即,现有的异常检测方法的适用性较差。技术实现要素:鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于Web异常检测方法和装置。依据本发明的一个方面,提供了一种Web异常检测方法,包括:从待检测的URL中提取待检测Path字段;判断所述待检测Path字段是否符合预设异常条件;在所述待检测Path字段符合预设异常条件时,确定所述待检测的URL为异常访问数据。可选地,所述判断待检测Path字段是否符合预设异常条件的步骤,包括:获取所述待检测Path字段对应的访问特征值;其中,所述访问特征值包括:所述待检测Path字段在预设时间段内的访问用户集合,所述访问用户集合对于所述待检测Path字段的访问能力值;在所述待检测Path字段对应的访问特征值符合预设阈值条件时,确定所述待检测Path字段符合预设异常条件。可选地,通过如下步骤确定所述待检测Path字段对应的访问特征值符合预设阈值条件:在所述访问用户集合中的访问用户数目小于第一阈值,且所述访问能力值小于第二阈值时,确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件;其中,所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。可选地,所述判断待检测Path字段是否符合预设异常条件的步骤,包括:将所述待检测Path字段和预先建立的Path黑名单进行匹配;在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时,判定所述待检测Path字段符合预设异常条件。可选地,所述方法还包括:收集预设时间段内的历史URL记录;从所述历史URL记录中提取历史Path字段;获取所述历史Path字段对应的访问特征值;在所述历史Path字段对应的访问特征值符合预设阈值条件时,将所述历史Path字段加入已建立的Path黑名单;其中,所述Path黑名单中包括符合预设异常条件的异常Path字段。可选地,所述判断待检测Path字段是否符合预设异常条件的步骤,包括:将所述待检测Path字段和预先建立的Path白名单进行匹配;其中,所述Path白名单中包括正常Path字段;在所述待检测Path字段与所述Path白名单中的正常Path字段相匹配时,判定所述URL不符合预设异常条件。可选地,所述Path黑名单包括目录黑名单和文件黑名单,所述Path白名单包括目录白名单和文件白名单;所述判断待检测Path字段是否符合预设异常条件的步骤,包括:确定所述待检测Path字段的字段类型;在所述字段类型为目录类型时,将所述待检测Path字段与所述目录黑名单和/或目录白名单进行匹配;或者在所述字段类型为文件类型时,将所述待检测Path字段与所述文件黑名单和/或文件白名单进行匹配。根据本发明的另一方面,提供了一种Web异常检测装置,包括:提取模块,用于从待检测的URL中提取待检测Path字段;判断模块,用于判断所述待检测Path字段是否符合预设异常条件;确定模块,用于在所述待检测Path字段符合预设异常条件时,确定所述待检测的URL为异常访问数据。可选地,所述判断模块,包括:获取子模块,用于获取所述待检测Path字段对应的访问特征值;其中,所述访问特征值包括:所述待检测Path字段在预设时间段内的访问用户集合,所述访问用户集合对于所述待检测Path字段的访问能力值;确定子模块,用于在所述待检测Path字段对应的访问特征值符合预设阈值条件时,确定所述待检测Path字段符合预设异常条件。可选地,所述确定子模块还用于在所述访问用户集合中的访问用户数目小于第一阈值,且所述访问能力值小于第二阈值时,确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件;其中,所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。可选地,所述判断模块,包括:黑名单匹配子模块,用于将所述待检测Path字段和预先建立的Path黑名单进行匹配;确定子模块,还用于在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时,判定所述待检测Path字段符合预设异常条件。可选地,所述装置还包括:收集模块,用于收集预设时间段内的历史URL记录;提取模块,还用于从所述历史URL记录中提取历史Path字段;获取模块,用于获取所述历史Path字段对应的访问特征值;加入模块,用于在所述历史Path字段对应的访问特征值符合预设阈值条件时,将所述历史Path字段加入已建立的Path黑名单;其中,所述Path黑名单中包括符合预设异常条件的异常Path字段。可选地,所述判断模块,包括:白名单匹配模块,用于将所述待检测Path字段和预先建立的Path白名单进行匹配;其中,所述Path白名单中包括正常Path字段;确定模块,还用于在所述待检测Path字段与所述Path白名单中的正常Path字段相匹配时,判定所述URL不符合预设异常条件。可选地,所述Path黑名单包括目录黑名单和文件黑名单,所述Path白名单包括目录白名单和文件白名单;所述判断模块,包括:类型确定子模块,用于确定所述待检测Path字段的字段类型;第一匹配子模块,用于在所述字段类型为目录类型时,将所述待检测Path字段与所述目录黑名单和/或目录白名单进行匹配;第二匹配子模块,用于在所述字段类型为文件类型时,将所述待检测Path字段与所述文件黑名单和/或文件白名单进行匹配。根据本发明实施例提供的一种Web异常检测方法和装置,通过提取检测的URL中的待检测Path字段,判断所述待检测Path字段是否符合预设异常条件,若符合,则可以确定所述待检测的URL为异常访问数据。由此,本发明实施例通过对待检测Path字段进行异常检测,可以检测出在Path字段出现异常的攻击行为,相对于现有技术只能适用于存在query字段的URL,本发明实施例对于不存在query字段的URL也可以实现异常检测,因此能够提高异常检测的适用性,且可以提高识别异常访问数据的准确率。附图说明通过阅读下文可选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了根据本发明一个实施例的一种Web异常检测方法的步骤流程图;图2示出了根据本发明一个实施例的一种Web异常检测方法的步骤流程图;图3示出了根据本发明一个实施例的一种Web异常检测装置的结构框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。方法实施例一参照图1,示出了本发明一个实施例的一种Web异常检测方法的步骤流程图,具体可以包括如下步骤:步骤101、从待检测的URL中提取待检测Path字段;步骤102、判断所述待检测Path字段是否符合预设异常条件;步骤103、在所述待检测Path字段符合预设异常条件时,确定所述待检测的URL为异常访问数据。本发明实施例可适用于对web数据流进行异常检测,以确定当前Web数据流量中是否存在异常访问数据,进而可以及时发现Web网络中出现的攻击行为,提高识别异常访问数据的准确性和Web网络的安全性。也即,本发明实施例中待检测的URL可以来源于待检测的web数据流,当然,本发明实施例对于待检测的具体URL不加以限制。本专利发明人通过分析URL的结构得出,URL具体包括如下三个字段:Host(主机域名)字段、Path(资源路径)字段和Param(参数)字段,其中Param字段为可选字段,Path字段和Host字段为必选字段,Path字段可用于表明资源在Host字段所对应主机上存放的位置,根据Host字段和Path字段,可以实现通过URL在全网唯一标识资源。例如,如下URL:a.b.c/Path/to/resource.suffix?para1=wal1¶2=val2中,“a.b.c”为Host字段,“Path/to/resource.suffix?”为Path字段,“para1=wal1¶2=val2”为Param字段,Host字段和Path字段可以标识资源在全网的唯一性。本发明实施例通过对待检测的URL中的待检测Path字段进行异常检测,可以检测出在Path字段出现异常的攻击行为,对于不存在query字段的URL也可以实现异常检测,因此可以提高异常检测的适用性,且能够提高识别异常访问数据的准确率。在本发明的一种可选实施例中,所述判断待检测Path字段是否符合预设异常条件的步骤,具体可以包括:步骤S11、获取所述待检测Path字段对应的访问特征值;其中,所述访问特征值包括:所述待检测Path字段在预设时间段内的访问用户集合,所述访问用户集合对于所述待检测Path字段的访问能力值;步骤S12、在所述待检测Path字段对应的访问特征值符合预设阈值条件时,确定所述待检测Path字段符合预设异常条件。在具体应用中,对于一个正常的Path字段,在访问量较大时,通常会对应有保护较多访问用户的用户访问量;而如果一个Path字段在预设时间内(如一个月内)的用户访问量很大,但是对应的访问用户却较少,则可以确定针对该Path字段的访问出现异常。因为一个正常用户的访问能力是有限的,例如,一个正常用户没有能力在1天之内发出上百次访问请求,但是通过软件或者机器可以模拟用户进行大量的访问请求操作。本发明实施例通过获取待检测Path字段对应的两个访问特征值来确定该待检测Path字段是否出现异常,这两个访问特征值分别为所述待检测Path字段在预设时间段内的访问用户集合,以及所述访问用户集合对于所述待检测Path字段的访问能力值。在所述待检测Path字段对应的访问特征值符合预设阈值条件时,可以确定当前Path字段对应的访问行为出现异常,例如某一个访问用户在短时间内发出大量的访问请求,则可以确定所述待检测Path字段符合预设异常条件。在本发明的另一种可选实施例中,具体可以通过如下步骤确定所述待检测Path字段对应的访问特征值符合预设阈值条件:在所述访问用户集合中的访问用户数目小于第一阈值,且所述访问能力值小于第二阈值时,确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件;其中,所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。其中,所述访问用户数目具体可以通过统计访问该Path字段的SIP(源IP地址)的数目得到,所述访问用户数目可用于反映在预设时间段内有多少不同的用户访问过该Path字段。可选地,所述访问能力值具体可以通过计算SIP在预设时间内向该Path字段发起的总访问次数的倒数得到,所述访问能力值可用于反映在预设时间内这些用户访问该Path字段的访问量。参照表1,示出了本发明实施例的一种预设时间段内访问用户对于某一待检测Path字段的总访问次数的具体示意。其中,SIP为访问用户的源IP地址,总访问次数表示地址为SIP的访问用户在一个月内对该Path字段发起访问的总次数。例如,地址为10.*.80.*的访问用户在一个月内对该Path字段发起访问的总次数为34次,而地址为10.*.83.*的访问用户在一个月内对该Path字段发起访问的总次数为3301次。表1SIP总访问次数10.*.80.*3410.*.83.*330110.*.60.*134参照表2,示出了本发明实施例的一种待检测Path字段在预设时间内的访问用户集合的具体示意。如表2所示,其中待检测Path字段为“/novel/kttzdrw6lnw4pd.html”的访问用户集合为{10.*.26.*,10.*.83.*,10.*.83.*},表示在最近一个月之内,访问过待检测Path字段为“/novel/kttzdrw6lnw4pd.html”的URL的SIP包括“10.*.26.*”、“10.*.83.*”和“10.*.83.*”,则待检测Path字段“/novel/kttzdrw6lnw4pd.html”对应的访问用户数目为3。以及待检测Path字段“/list”对应的访问用户数目为8,待检测Path字段“/novel/tttt.html”对应的访问用户数目为1。表2在此提供一种获取待检测Path字段的访问用户数目和访问能力值的应用示例。假设上述预设时间段为最近一个月,也即上述预设时间段的结束时间为当前时间、长度为一个月,进一步假设从待检测的URL中提取的待检测Path字段为:/x/y/,该待检测Path字段在一个月内对应的访问用户集合为:{10.10.10.10,20.20.20.20},也即在一个月内,有SIP分别为10.10.10.10和20.20.20.20的两个用户访问过该Path字段。假设SIP为10.10.10.10的用户在一个月内向该Path字段发起的总访问次数为100次,则10.10.10.10针对该SIP的访问能力值可以为1/100=0.01。又如SIP为20.20.20.20的用户在一个月内向该Path字段发起的总访问次数为200次,则20.20.20.20针对该SIP的访问能力值可以为2/100=0.005。因此,可以确定访问用户集合{10.10.10.10,20.20.20.20}针对该SIP的访问能力值为0.01+0.005=0.015。本发明实施例在获取待检测Path字段的两个访问特征值之后,可以判断所述访问特征值是否符合预设阈值条件,例如,如果所述访问用户集合中的访问用户数目小于第一阈值,且所述访问能力值小于第二阈值,说明该待检测Path字段在预设时间内具有较大的访问量,且这些访问量来自极少的几个访问用户,则可以确定该待检测Path字段符合预设异常条件,也即,可以认为该待检测Path字段存在异常的访问行为,或者该待检测Path字段存在恶意的机器访问行为。可以理解,上述预设阈值条件只是作为可选实施例,实际上,本领域技术人员可以根据实际应用需求,采用所需的其他预设阈值条件,例如所述访问用户集合中的访问用户数目小于第一阈值,且所述访问能力平均值小于第三阈值等等,可以理解,本发明实施例对于具体的预设阈值条件不加以限制。参照表3,示出了本发明的一种获取的待检测Path字段的两个访问特征值的具体示意,表3的字段具体可以包括待检测的URL中提取的待检测Path字段、该待检测Path字段在一个月内对应的访问用户数目、以及访问用户集合对于该待检测Path字段的访问能力值。表3如表3所示,其中的待检测Path字段都是在一个月内访问用户数目较少,并且访问能力值较小的Path字段,假设预先设置的第一阈值为5,第二阈值为0.02,由于表3中的三个待检测Path字段的访问用户数目均小于5,且访问能力值均小于0.02,则可以确定表3中的三个待检测Path字段均符合预设异常条件,因此,可以确定这三个待检测Path字段对应的待检测的URL均为异常访问数据。综上,本发明实施例通过提取检测的URL中的待检测Path字段,判断所述待检测Path字段是否符合预设异常条件,若符合,则可以确定所述待检测的URL为异常访问数据。由此,本发明实施例通过对待检测Path字段进行异常检测,可以检测出在Path字段出现异常的攻击行为,相对于现有技术只能检测出query字段出现异常的情况,本发明实施例对于不存在query字段的URL也可以实现异常检测,进而可以提高识别异常访问数据的准确率。方法实施例二本实施例在上述方法实施例一的基础上,还可以利用预先建立的Path黑名单对所述Path字段进行异常检测。参照图2,示出了本发明一个实施例的一种Web异常检测方法的步骤流程图,具体可以包括如下步骤:步骤201、从待检测的URL中提取待检测Path字段;步骤202、将所述待检测Path字段和预先建立的Path黑名单进行匹配;步骤203、在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时,判定所述待检测Path字段符合预设异常条件,以及所述待检测的URL为异常访问数据。为了进一步提高对URL异常检测的效率,本发明实施例还可以收集预设时间段内的历史URL记录,通过对历史URL记录进行分析,建立Path黑名单,所述Path黑名单中包括符合预设异常条件的异常Path字段。由此,在对待检测的URL进行异常检测时,可以从待检测的URL中提取待检测Path字段,并且将所述待检测Path字段和预先建立的Path黑名单进行匹配,若匹配,则可以判定所述待检测Path字段符合预设异常条件,以及所述待检测的URL为异常访问数据,这相对于对待检测的URL进行分析以判断是否符合预设异常条件的手段,本发明实施例将待检测Path字段与Path黑名单进行匹配的方式,可以提高异常检测效率。在本发明的一种可选实施例中,所述方法还可以包括如下步骤:步骤S21、收集预设时间段内的历史URL记录;步骤S22、从所述历史URL记录中提取历史Path字段;步骤S23、获取所述历史Path字段对应的访问特征值;步骤S24、在所述历史Path字段对应的访问特征值符合预设阈值条件时,将所述历史Path字段加入已建立的Path黑名单;其中,所述Path黑名单中包括符合预设异常条件的异常Path字段。通过上述步骤可以建立Path黑名单,该Path黑名单中可以存储有符合预设异常条件的Path字段。在具体应用中,所述历史URL记录具体可以从Web访问日志文件(以下简称为Flow文件)中获取得到,例如可以从最近一个月内的Flow文件中获取所述历史URL记录。在从所述历史URL记录中提取历史Path字段,并且获取所述历史Path字段对应的访问特征值之后,可以判断所述历史Path字段对应的访问特征值是否符合预设阈值条件,也即,判断所述历史Path字段对应的访问用户集合中的访问用户数目是否小于第一阈值,以及所述访问用户集合对于所述历史Path字段的访问能力值是否小于第二阈值,若均小于,则确定所述历史Path字段对应的访问特征值符合预设阈值条件,可以将所述历史Path字段加入已建立的Path黑名单。可选地,本发明实施例在建立Path黑名单的基础上,还可以建立Path白名单;以在对待检测的URL进行异常检测时,可以判断所述待检测的URL是否为正常访问数据。则所述判断待检测Path字段是否符合预设异常条件的步骤,具体可以包括:步骤S31、将所述待检测Path字段和预先建立的Path白名单进行匹配;其中,所述Path白名单中可以包括正常Path字段;步骤S32、在所述待检测Path字段与所述Path白名单中的正常Path字段相匹配时,判定所述URL不符合预设异常条件。本发明实施例除了可以检测出异常的URL,还可以判断出正常的URL。在待检测的URL为正常访问数据时,可以允许对待检测的URL的访问行为。在具体应用中,在待检测的URL的待检测Path字段与Path白名单中的正常Path字段相匹配时,可以判定所述待检测的URL不符合预设异常条件,进而可以确定所述待检测的URL为正常访问数据,则可以允许对所述待检测的URL的访问行为;在所述待检测的URL的待检测Path字段与Path黑名单中的异常Path字段相匹配时,可以确定所述待检测的URL为异常访问数据,则可以拒绝对所述待检测的URL的访问行为;在所述待检测的URL的待检测Path字段与Path黑名单和Path白名单均不匹配时,可以认为所述待检测的URL为未知数据,此时,也可以拒绝对所述待检测的URL的访问行为。可以理解,所述预先建立的Path白名单具体可以为通过现有的异常检测方法检测得到的正常Path字段,或者已被标记的正常Path字段等,本发明实施例对于所述Path白名单中的正常Path字段的获取方式不加以限制。在本发明实施例中,在使用本发明的Web异常检测方法对待检测的URL进行检测时,如果所述待检测的URL中的待检测Path字段对应的访问特征值符合预设阈值条件,可以认为所述待检测Path字段为异常Path字段,同时,可以将该待检测Path字段加入已建立的Path黑名单,以对Path黑名单不断进行更新。在具体应用中,URL中的Path字段可以包括目录或者文件两种类型,具体地,若Path字段以“/”结尾,如“/"http:/p6.yx-s.com/d/inn/dcb85c59/”,则说明该Path字段为目录类型,否则该Path字段为文件类型,如“/"http:/p6.yx-s.com/d/inn/dcb85c59/1.png”。为了能够进一步提高异常检测的准确性,本发明实施例将上述Path黑名单进一步划分为目录黑名单和文件黑名单,以及将上述Path白名单进一步划分为目录白名单和目录黑名单。在建立Path黑名单时,若当前Path字段符合预设异常条件,且以“/”结尾,则将当前Path字段加入到目录黑名单,若当前Path字段不以“/”结尾,则将该Path字段加入到文件黑名单。同理,若当前Path字段为通过异常检测的正常Path字段,且以“/”结尾,则将当前Path字段加入到目录白名单,若当前Path字段不以“/”结尾,则将该Path字段加入到文件白名单。在建立所述目录黑/白名单以及文件黑/白名单之后,可以依据所述目录黑/白名单以及文件黑/白名单对从待检测的URL中提取的待检测Path字段进行异常检测。所述判断待检测Path字段是否符合预设异常条件的步骤,具体可以包括:步骤S41、确定所述待检测Path字段的字段类型;步骤S42、在所述字段类型为目录类型时,将所述待检测Path字段与所述目录黑名单和/或目录白名单进行匹配;或者步骤S43、在所述字段类型为文件类型时,将所述待检测Path字段与所述文件黑名单和/或文件白名单进行匹配。在本发明实施例中,在对待检测的URL进行异常检测的过程中,可以针对当前URL中提取的Path字段,首先判断该Path字段是否以“/”结尾,如果该Path字段是否以“/”结尾,说明该Path字段的类型为目录,则可以进行目录异常检测,也即对该Path字段分别和已建立的目录黑名单和/或目录白名单进行匹配;否则进行文件异常检测,也即对该Path字段分别和已建立的文件黑名单和/或文件白名单进行匹配。可选地,如果该Path字段与白名单匹配,则Path检测模型输出检测结果为正常,可以确定所述URL为正常访问数据。如果与黑名单匹配,则得到的检测结果可以为异常,可以确定所述Path字段符合预设异常条件,所述URL为异常访问数据。综上,本发明实施例从待检测的URL中提取待检测Path字段,并且根据预先建立的Path黑名单对所述待检测Path字段进行异常检测,以确定所述待检测的URL是否为异常访问数据。由于所述Path黑名单可以为根据收集的大量的历史URL记录所建立,因此,可以保证Path黑名单的准确性。此外,通过Path黑名单可以实现对异常访问数据进行快速检测,这相对于重新收集访问特征值以及对访问特征值进行分析的手段,可以降低人工的工作量,以及节省人力和异常检测时间。需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。参照图3,示出了根据本发明一个实施例的一种Web异常检测装置的结构框图,具体可以包括:提取模块301,用于从待检测的URL中提取待检测Path字段;判断模块302,用于判断所述待检测Path字段是否符合预设异常条件;确定模块303,用于在所述待检测Path字段符合预设异常条件时,确定所述待检测的URL为异常访问数据。在本发明的一种可选实施例中,所述判断模块302,具体可以包括:获取子模块,用于获取所述待检测Path字段对应的访问特征值;其中,所述访问特征值包括:所述待检测Path字段在预设时间段内的访问用户集合,所述访问用户集合对于所述待检测Path字段的访问能力值;确定子模块,用于在所述待检测Path字段对应的访问特征值符合预设阈值条件时,确定所述待检测Path字段符合预设异常条件。在本发明的另一种可选实施例中,所述确定子模块还用于在所述访问用户集合中的访问用户数目小于第一阈值,且所述访问能力值小于第二阈值时,确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件;其中,所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。在本发明的又一种可选实施例中,所述判断模块302,具体可以包括:黑名单匹配子模块,用于将所述待检测Path字段和预先建立的Path黑名单进行匹配;确定子模块,还用于在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时,判定所述待检测Path字段符合预设异常条件。在本发明的再一种可选实施例中,所述装置还可以包括:收集模块,用于收集预设时间段内的历史URL记录;提取模块,还用于从所述历史URL记录中提取历史Path字段;获取模块,用于获取所述历史Path字段对应的访问特征值;加入模块,用于在所述历史Path字段对应的访问特征值符合预设阈值条件时,将所述历史Path字段加入已建立的Path黑名单;其中,所述Path黑名单中包括符合预设异常条件的异常Path字段。在本发明的再一种可选实施例中,所述判断模块302,具体可以包括:白名单匹配模块,用于将所述待检测Path字段和预先建立的Path白名单进行匹配;其中,所述Path白名单中包括正常Path字段;确定模块,还用于在所述待检测Path字段与所述Path白名单中的正常Path字段相匹配时,判定所述URL不符合预设异常条件。在本发明的再一种可选实施例中,所述Path黑名单可以包括目录黑名单和文件黑名单,所述Path白名单可以包括目录白名单和文件白名单;所述判断模块302,具体可以包括:类型确定子模块,用于确定所述待检测Path字段的字段类型;第一匹配子模块,用于在所述字段类型为目录类型时,将所述待检测Path字段与所述目录黑名单和/或目录白名单进行匹配;第二匹配子模块,用于在所述字段类型为文件类型时,将所述待检测Path字段与所述文件黑名单和/或文件白名单进行匹配。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的Web异常检测方法和装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网平台上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。本发明公开了A1、一种Web异常检测方法,其特征在于,所述方法包括:从待检测的URL中提取待检测Path字段;判断所述待检测Path字段是否符合预设异常条件;在所述待检测Path字段符合预设异常条件时,确定所述待检测的URL为异常访问数据。A2、根据权利要求A1所述的方法,其特征在于,所述判断待检测Path字段是否符合预设异常条件的步骤,包括:获取所述待检测Path字段对应的访问特征值;其中,所述访问特征值包括:所述待检测Path字段在预设时间段内的访问用户集合,所述访问用户集合对于所述待检测Path字段的访问能力值;在所述待检测Path字段对应的访问特征值符合预设阈值条件时,确定所述待检测Path字段符合预设异常条件。A3、根据权利要求A2所述的方法,其特征在于,通过如下步骤确定所述待检测Path字段对应的访问特征值符合预设阈值条件:在所述访问用户集合中的访问用户数目小于第一阈值,且所述访问能力值小于第二阈值时,确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件;其中,所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。A4、根据权利要求A1所述的方法,其特征在于,所述判断待检测Path字段是否符合预设异常条件的步骤,包括:将所述待检测Path字段和预先建立的Path黑名单进行匹配;在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时,判定所述待检测Path字段符合预设异常条件。A5、根据权利要求A2所述的方法,其特征在于,所述方法还包括:收集预设时间段内的历史URL记录;从所述历史URL记录中提取历史Path字段;获取所述历史Path字段对应的访问特征值;在所述历史Path字段对应的访问特征值符合预设阈值条件时,将所述历史Path字段加入已建立的Path黑名单;其中,所述Path黑名单中包括符合预设异常条件的异常Path字段。A6、根据权利要求A1所述的方法,其特征在于,所述判断待检测Path字段是否符合预设异常条件的步骤,包括:将所述待检测Path字段和预先建立的Path白名单进行匹配;其中,所述Path白名单中包括正常Path字段;在所述待检测Path字段与所述Path白名单中的正常Path字段相匹配时,判定所述URL不符合预设异常条件。A7、根据权利要求A5或A6所述的方法,其特征在于,所述Path黑名单包括目录黑名单和文件黑名单,所述Path白名单包括目录白名单和文件白名单;所述判断待检测Path字段是否符合预设异常条件的步骤,包括:确定所述待检测Path字段的字段类型;在所述字段类型为目录类型时,将所述待检测Path字段与所述目录黑名单和/或目录白名单进行匹配;或者在所述字段类型为文件类型时,将所述待检测Path字段与所述文件黑名单和/或文件白名单进行匹配。本发明公开了B8、一种Web异常检测装置,其特征在于,所述装置包括:提取模块,用于从待检测的URL中提取待检测Path字段;判断模块,用于判断所述待检测Path字段是否符合预设异常条件;确定模块,用于在所述待检测Path字段符合预设异常条件时,确定所述待检测的URL为异常访问数据。B9、根据权利要求B8所述的装置,其特征在于,所述判断模块,包括:获取子模块,用于获取所述待检测Path字段对应的访问特征值;其中,所述访问特征值包括:所述待检测Path字段在预设时间段内的访问用户集合,所述访问用户集合对于所述待检测Path字段的访问能力值;确定子模块,用于在所述待检测Path字段对应的访问特征值符合预设阈值条件时,确定所述待检测Path字段符合预设异常条件。B10、根据权利要求B9所述的装置,其特征在于,所述确定子模块还用于在所述访问用户集合中的访问用户数目小于第一阈值,且所述访问能力值小于第二阈值时,确定所述访问用户集合中访问用户数目和所述访问能力值符合预设阈值条件;其中,所述访问能力值为所述访问用户在预设时间段内向所述待检测Path字段发起的总访问次数的倒数。B11、根据权利要求B8所述的装置,其特征在于,所述判断模块,包括:黑名单匹配子模块,用于将所述待检测Path字段和预先建立的Path黑名单进行匹配;确定子模块,还用于在所述待检测Path字段与所述Path黑名单中的异常Path字段相匹配时,判定所述待检测Path字段符合预设异常条件。B12、根据权利要求B9所述的装置,其特征在于,所述装置还包括:收集模块,用于收集预设时间段内的历史URL记录;提取模块,还用于从所述历史URL记录中提取历史Path字段;获取模块,用于获取所述历史Path字段对应的访问特征值;加入模块,用于在所述历史Path字段对应的访问特征值符合预设阈值条件时,将所述历史Path字段加入已建立的Path黑名单;其中,所述Path黑名单中包括符合预设异常条件的异常Path字段。B13、根据权利要B8所述的装置,其特征在于,所述判断模块,包括:白名单匹配模块,用于将所述待检测Path字段和预先建立的Path白名单进行匹配;其中,所述Path白名单中包括正常Path字段;确定模块,还用于在所述待检测Path字段与所述Path白名单中的正常Path字段相匹配时,判定所述URL不符合预设异常条件。B14、根据权利要求B12或B13所述的装置,其特征在于,所述Path黑名单包括目录黑名单和文件黑名单,所述Path白名单包括目录白名单和文件白名单;所述判断模块,包括:类型确定子模块,用于确定所述待检测Path字段的字段类型;第一匹配子模块,用于在所述字段类型为目录类型时,将所述待检测Path字段与所述目录黑名单和/或目录白名单进行匹配;第二匹配子模块,用于在所述字段类型为文件类型时,将所述待检测Path字段与所述文件黑名单和/或文件白名单进行匹配。当前第1页1 2 3