1.一种Web异常检测方法,其特征在于,所述方法包括:
对待检测的URL进行异常检测,得到符合预设异常条件的目标URL;
依据预先建立的分类检测模型,确定所述目标URL对应的异常类别;其中,所述分类检测模型为依据预设时间段内的历史URL训练得到。
2.根据权利要求1所述的方法,其特征在于,所述对待检测的URL进行异常检测,得到符合预设异常条件的目标URL的步骤,包括:
提取所述待检测的URL的路径字段和参数字段;
匹配所述路径字段和预置路径白名单中的正常路径字段,若匹配,则依据预先建立的参数检测模型对所述参数字段进行异常检测;其中,所述参数检测模型为依据预设时间段内历史URL中提取的历史路径字段和历史参数字段训练得到;
在所述参数检测模型检测得到所述参数字段为异常参数字段时,确定所述待检测的URL为符合预设异常条件的目标URL。
3.根据权利要求2所述的方法,其特征在于,所述依据预先建立的参数检测模型对所述参数字段进行异常检测的步骤包括:
将所述参数字段对应的参数值输入与所述路径字段和所述参数字段中参数名相对应的参数检测模型;
在所述参数检测模型输出的概率值小于预设阈值时,确定所述参数字段为异常参数字段。
4.根据权利要求2所述的方法,其特征在于,通过如下步骤建立所述参数检测模型:
收集预设时间段内正常的历史URL;
从所述正常的历史URL中提取路径字段、参数字段、以及所述参数字段中的参数名和参数值;
确定所述参数值对应的状态序列;
依据所述参数值和所述参数值对应的状态序列,训练得到与所述路径字段和所述参数名相对应的参数检测模型。
5.根据权利要求1所述的方法,其特征在于,所述分类检测模型包括至少一个子分类检测模型,且所述子分类检测模型与所述历史URL的异常类别以及所述历史URL的特征关键词集合相对应;其中,所述特征关键词集合中包括从所述历史URL中提取的至少一个特征关键词。
6.根据权利要求5所述的方法,其特征在于,所述依据预先建立的分类检测模型,确定所述目标URL对应的异常类别的步骤,包括:
提取所述目标URL对应的特征关键词集合;其中,所述特征关键词集合中包括至少一个特征关键词;
统计所述特征关键词在所述目标URL中出现的频次;
将所述特征关键词集合和所述频次输入与所述特征关键词集合相对应的子分类检测模型,得到所述目标URL对应所述子分类检测模型的异常类别的概率值,以及所述目标URL对应正常类别的概率值;
依据所述异常类别的概率值和所述正常类别的概率值确定所述目标URL对应的异常类别。
7.根据权利要求5所述的方法,其特征在于,通过如下步骤建立所述分类检测模型:
收集预设时间段内的历史URL,所述历史URL包括:正常URL和异常URL;
从所述历史URL中提取特征关键词集合;其中,所述特征关键词集合中包括至少一个特征关键词;
获取所述特征关键词分别在所述正常URL和所述异常URL中出现的频次;
依据决策树对所述特征关键词和所述频次进行训练,以得到分类检测模型;其中,所述分类检测模型中包括与已知异常类别数量相对应的子分类检测模型,且每个子分类检测模型对应不同的异常类别以及特征关键词集合。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在得到所述目标URL对应的异常类别之后,对所述异常类别进行标注;
依据标注后的目标URL对所述分类检测模型进行调整。
9.一种Web异常检测装置,其特征在于,所述装置包括:
异常检测模块,用于对待检测的URL进行异常检测,得到符合预设异常条件的目标URL;
分类检测模块,用于依据预先建立的分类检测模型,确定所述目标URL对应的异常类别;其中,所述分类检测模型为依据预设时间段内的历史URL训练得到。
10.根据权利要求9所述的装置,其特征在于,所述异常检测模块,包括:
字段提取子模块,用于提取所述待检测的URL的路径字段和参数字段;
字段匹配子模块,用于匹配所述路径字段和预置路径白名单中的正常路径字段,若匹配,则依据预先建立的参数检测模型对所述参数字段进行异常检测;其中,所述参数检测模型为依据预设时间段内历史URL中提取的历史路径字段和历史参数字段训练得到;
异常确定子模块,用于在所述参数检测模型检测得到所述参数字段为异常参数字段时,确定所述待检测的URL为符合预设异常条件的目标URL。