一种web异常检测方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别是涉及一种web异常检测方法,以及,一种web异常检测装置。
【背景技术】
[0002]随着web服务的不断流行,web网站遭受的攻击也越来越多。web攻击基本都是黑客通过修改ur I来完成攻击,包括获取网站数据库内容,获得服务器root权限,窃取用户数据等。常用的web攻击类型有很多,如目录遍历漏洞利用、SQL注入、跨站脚本攻击(XSS)、跨站请求伪造攻击(CSRF)等。
[0003]对于web攻击,常用的检测方法包括依据安全人员制定的攻击检出规则找出攻击行为,或是凭借人工经验提取有意义的特征,使用有监督分类算法找出攻击行为。
[0004]基于人工制定的检出规则的方法对已知漏洞或攻击行为的方式,需要大量的安全专家,会引入更多的主观成分,而且对于新型攻击,需要重新制定规则,不能保证检测的实时性和全面性。
[0005]有监督分类算法也可以获得较高的准确率,而且对安全专家的依赖较低,但较高的准确率需要依据大量的且全面的训练数据,获取大量的且全面的训练数据往往很难。同时,对于新型攻击的检测,使用有监督分类算法也需要重新收集数据,训练模型,也不易保证检测的实时性和全面性。
【发明内容】
[0006]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的web异常检测方法和web异常检测方法装置。
[0007]依据本发明的一个方面,提供了web异常检测方法,包括:
[0008]根据从历史web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型;
[0009]采用各个异常检测模型,分别检测目标web访问是否为异常web访问;
[0010]将检测结果为异常web访问的异常检测模型对应的web访问特征,标记为所述目标web访问的异常类型。
[0011 ] 可选地,所述根据从历史Web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型包括:
[0012]统计历史web访问记录中所述web访问特征的取值范围,创建判断所述web访问特征是否符合所述取值范围的第一异常检测模型。
[0013]可选地,所述采用各个异常检测模型,分别检测目标web访问是否为异常web访问包括:
[0014]采用所述异常检测模型判断所述目标web访问的web访问特征是否符合所述取值范围,若不符合,则确定所述目标web访问为异常web访问。[OO15]可选地,所述根据从历史web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型包括:
[00? 6] 统计各个web访问特征出现的概率,并创建基于各个web访问特征预测所述web访问为异常web访问的概率的第二异常检测模型。
[0017]可选地,所述采用各个异常检测模型,分别检测目标web访问是否为异常web访问包括:
[0018]分别采用各个异常检测模型预测所述目标web访问为异常Web访问的目标概率;
[0019]在所述web访问记录中所有web访问对应的概率中,若所述目标概率的排序低于预设值,则确定所述目标web访问为异常web访问。
[0020]可选地,所述web访问特征包括访问路径、访问参数和访问参数值中至少一种,所述统计各个web访问特征出现的概率,并创建基于各个web访问特征预测所述web访问为异常web访问的概率的第二异常检测模型包括:
[0021]根据各个访问参数出现的次数统计各个访问路径出现的第一概率,并基于所述第一概率,创建基于所述访问路径预测所述web访问为异常web访问的概率的第三异常检测模型;
[0022]和/或,针对同一访问路径,统计各个访问参数出现的第二概率,并基于所述第二概率,创建基于所述访问参数预测所述web访问为异常web访问的概率的第四异常检测模型;
[0023]和/或,针对同一访问参数,统计各访问参数值出现的第三概率,并基于所述第三概率,创建基于所述访问参数值预测所述web访问为异常web访问的概率的第五异常检测模型。
[0024]可选地,所述根据各个访问参数出现的次数统计各个访问路径出现的第一概率包括:
[0025]针对各个访问路径,从第一哈希表读取所述访问路径包括的访问参数出现的第一次数,以及从第二哈希表读取所述访问路径包括的访问参数二元组出现的第二次数;
[0026]根据所述第一次数和第二次数统计各个访问参数二元组出现的第五概率;
[0027]根据各个访问参数二元组出现的第五概率,统计各个访问路径出现的第一概率。
[0028]可选地,在所述采用各个异常检测模型,分别检测目标web访问是否为异常web访问之前,所述方法还包括:
[0029]通过统计所述异常检测模型中至少一个web访问特征的个数符合第一预设范围,和/或,检测结果的检测方差符合第二预设范围,确定所述异常检测模型处于稳定状态。
[0030]可选地,所述web访问特征包括访问源IP和访问时间,所述方法还包括:
[0031]展示所述web访问的异常类型、访问源IP以及访问时间,
[0032]可选地,所述web访问特征包括访问源IP和访问时间,所述方法还包括:
[0033]若在第一时间段内检测到同一访问源IP的异常web访问超出预设个数,则确定发生所述访问源IP的web攻击事件,并通报所述web攻击事件。
[0034]可选地,所述方法还包括:
[0035]若在第二时间段内检测到预设个数的不同访问源IP的web攻击事件,则获取更新的历史web访问记录,并重新创建各个异常检测模型。
[0036]本发明还提供了一种web异常检测装置,包括:
[OO3 7 ]异常检测模型创建模块,用于根据从历史w e b访问记录中解析的多个w e b访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型;
[0038]异常检测模块,用于采用各个异常检测模型,分别检测目标web访问是否为异常web访问;
[0039]异常类型标记模块,用于将检测结果为异常web访问的异常检测模型对应的web访问特征,标记为所述目标web访问的异常类型。
[0040]可选地,所述异常检测模型创建模块包括:
[0041 ]第一异常检测模型创建子模块,用于统计历史web访问记录中所述web访问特征的取值范围,创建判断所述web访问特征是否符合所述取值范围的第一异常检测模型。
[0042]可选地,所述异常检测模块,具体用于采用所述异常检测模型判断所述目标web访问的web访问特征是否符合所述取值范围,若不符合,则确定所述目标web访问为异常web访问。
[0043]可选地,所述异常检测模型创建模块,具体用于统计各个web访问特征出现的概率,并创建基于各个web访问特征预测所述web访问为异常web访问的概率的第二异常检测模型。
[0044]可选地,所述异常检测模块包括:
[0045]目标概率预测子模块,用于分别采用各个异常检测模型预测所述目标web访问为异常web访问的目标概率;
[0046]异常web访问确定子模块,用于在所述web访问记录中所有web访问对应的概率中,若所述目标概率的排序低于预设值,则确定所述目标web访问为异常web访问。
[0047]可选地,所述web访问特征包括访问路径、访问参数和访问参数值中至少一种,所述异常检测模型创建模块包括:
[0048]第三异常检测模型创建子模块,用于根据各个访问参数出现的次数统计各个访问路径出现的第一概率,并基于所述第一概率,创建基于所述访问路径预测所述web访问为异常web访问的概率的第三异常检测模型;
[0049]和/或,第四异常检测模型创建子模块,用于针对同一访问路径,统计各个访问参数出现的第二概率,并基于所述第二概率,创建基于所述访问参数预测所述web访问为异常web访问的概率的第四异常检测模型;
[0050]和/或,第五异常检测模型创建子模块,用于针对同一访问参数,统计各访问参数值出现的第三概率,并基于所述第三概率,创建基于所述访问参数值预测所述web访问为异常web访问的概率的第五异常检测模型。
[0051 ]可选地,所述第三异常检测模型创建子模块包括:
[0052]次数读取子单元,用于针对各个访问路径,从第一哈希表读取所述访问路径包括的访问参数出现的第一次数,以及从第二哈希表读取所述访问路径包括的访问参数二元组出现的第二次数;
[0053]第五概率统计子单元,用于根据所述第一次数和第二次数统计各个访问参数二元组出现的第五概率;
[0054]第一概率统计子单元,用于根据各个访问参数二元组出现的第五概率,统计各个访问路径出现的第一概率。
[0055]可选地,所述装置还包括:
[0056]稳定状态确定模块,用于在所述采用各个异常检测模型,分别检测目标web访问是否为异常web访问之前,通过统计所述异常检测模型中至少一个web访问特征的个数符合第一预设范围,和/或,检测结果的检测方差符合第二预设范围,确定所述异常检测模型处于稳定状态。
[0057]可选地,所述装置还包括:
[0058]信息展示模块,用于展示所述web访问的异常类型、访问源IP以及访问时间,所述web访问特征包括访问源IP和访问时间。
[0059]可选地,所述装置还包括:
[0000]web攻击事件确定模块,用于若在第一时间段内检测到同一访问源IP的异常web访问超出预设个数,则确定发生所述访问源IP的web攻击事件,并通报所述web攻击事件,所述web访问特征包括访问源IP和访问时间。
[0061 ] 可选地,所述装置还包括:
[0062]异常检测模型重新创建模块,用于若在第二时间段内检测到预设个数的不同访问源IP的web攻击事件,则获取更新的历史web访问记录,并重新创建各个异常检测模型。
[0063]依据本发明实施例,根据从历史web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型,利用创建的多个异常检测模型实现对未知漏洞和新型攻击进行自动检测,无需重新收集数据和制定规则,保证了较高的检出率和准确率,降低了人工的工作量,节省了人力和检测时间。进一步,因为使用web访问特征标记处于异常状态的目标web访问的异常类型,所以安全人员可以快速确定目标web访问中出现异常的web访问特征,及时对出现异常的web访问特征对应的异常检测模型进行模型修改或模型重建,保证了模型修改或模型重建的时效性。
[0064]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0065]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0066]图1示出了根据本发明实施例1的web异常检测方法的流程图;
[0067]图2示出了根据本发明实施例2的web异常检测方法的流程图;
[0068]图3示出了根据本发明实施例的一个示例的web异常检测方法的流程框图;
[0069]图4示出了根据本发明实施例1的web异常检测装置的结构框图;
[0070]图5示出了根据本发明实施例2的web异常检测装置的结构框图。
【具体