问的概率的第三异常检测模型;
[0228]和/或,针对同一访问路径,统计各个访问参数出现的第二概率,并基于所述第二概率,创建基于所述访问参数预测所述web访问为异常web访问的概率的第四异常检测模型;
[0229]和/或,针对同一访问参数,统计各访问参数值出现的第三概率,并基于所述第三概率,创建基于所述访问参数值预测所述web访问为异常web访问的概率的第五异常检测模型。
[0230]A7、根据A6所述的方法,其中,所述根据各个访问参数出现的次数统计各个访问路径出现的第一概率包括:
[0231]针对各个访问路径,从第一哈希表读取所述访问路径包括的访问参数出现的第一次数,以及从第二哈希表读取所述访问路径包括的访问参数二元组出现的第二次数;
[0232]根据所述第一次数和第二次数统计各个访问参数二元组出现的第五概率;
[0233]根据各个访问参数二元组出现的第五概率,统计各个访问路径出现的第一概率。
[0234]AS、根据Al所述的方法,其中,在所述采用各个异常检测模型,分别检测目标web访问是否为异常web访问之前,所述方法还包括:
[0235]通过统计所述异常检测模型中至少一个web访问特征的个数符合第一预设范围,和/或,检测结果的检测方差符合第二预设范围,确定所述异常检测模型处于稳定状态。
[0236]A9、根据Al所述的方法,其中,所述web访问特征包括访问源IP和访问时间,所述方法还包括:
[0237]展示所述web访问的异常类型、访问源IP以及访问时间;
[0238]A10、根据Al所述的方法,其中,所述web访问特征包括访问源IP和访问时间,所述方法还包括:
[0239]若在第一时间段内检测到同一访问源IP的异常web访问超出预设个数,则确定发生所述访问源IP的web攻击事件,并通报所述web攻击事件。
[0240]All、根据AlO所述的方法,其中,所述方法还包括:
[0241]若在第二时间段内检测到预设个数的不同访问源IP的web攻击事件,则获取更新的历史web访问记录,并重新创建各个异常检测模型。
[0242]本发明还公开了B12、一种web异常检测装置,其中,包括:
[0243]异常检测模型创建模块,用于根据从历史web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型;
[0244]异常检测模块,用于采用各个异常检测模型,分别检测目标web访问是否为异常web访问;
[0245]异常类型标记模块,用于将检测结果为异常web访问的异常检测模型对应的web访问特征,标记为所述目标web访问的异常类型。
[0246]B13、根据B12所述的装置,其中,所述异常检测模型创建模块包括:
[°247 ]第一异常检测模型创建子模块,用于统计历史web访问记录中所述web访问特征的取值范围,创建判断所述web访问特征是否符合所述取值范围的第一异常检测模型。
[0248]B14、根据B13所述的装置,其中:
[0249]所述异常检测模块,具体用于采用所述异常检测模型判断所述目标web访问的web访问特征是否符合所述取值范围,若不符合,则确定所述目标web访问为异常web访问。
[0250]B15、根据B12所述的装置,其中,
[0251]所述异常检测模型创建模块,具体用于统计各个web访问特征出现的概率,并创建基于各个web访问特征预测所述web访问为异常web访问的概率的第二异常检测模型。
[0252]B16、根据B15所述的装置,其中,所述异常检测模块包括:
[0253]目标概率预测子模块,用于分别采用各个异常检测模型预测所述目标web访问为异常web访问的目标概率;
[0254]异常web访问确定子模块,用于在所述web访问记录中所有web访问对应的概率中,若所述目标概率的排序低于预设值,则确定所述目标web访问为异常web访问。
[0255]B17、根据B15所述的装置,其中,所述web访问特征包括访问路径、访问参数和访问参数值中至少一种,所述异常检测模型创建模块包括:
[0256]第三异常检测模型创建子模块,用于根据各个访问参数出现的次数统计各个访问路径出现的第一概率,并基于所述第一概率,创建基于所述访问路径预测所述web访问为异常web访问的概率的第三异常检测模型;
[0257]和/或,第四异常检测模型创建子模块,用于针对同一访问路径,统计各个访问参数出现的第二概率,并基于所述第二概率,创建基于所述访问参数预测所述web访问为异常web访问的概率的第四异常检测模型;
[0258]和/或,第五异常检测模型创建子模块,用于针对同一访问参数,统计各访问参数值出现的第三概率,并基于所述第三概率,创建基于所述访问参数值预测所述web访问为异常web访问的概率的第五异常检测模型。
[0259]B18、根据B17所述的装置,其中,所述第三异常检测模型创建子模块包括:
[0260]次数读取子单元,用于针对各个访问路径,从第一哈希表读取所述访问路径包括的访问参数出现的第一次数,以及从第二哈希表读取所述访问路径包括的访问参数二元组出现的第二次数;
[0261]第五概率统计子单元,用于根据所述第一次数和第二次数统计各个访问参数二元组出现的第五概率;
[0262]第一概率统计子单元,用于根据各个访问参数二元组出现的第五概率,统计各个访问路径出现的第一概率。
[0263]B19、根据B12所述的装置,其中,所述装置还包括:
[0264]稳定状态确定模块,用于在所述采用各个异常检测模型,分别检测目标web访问是否为异常web访问之前,通过统计所述异常检测模型中至少一个web访问特征的个数符合第一预设范围,和/或,检测结果的检测方差符合第二预设范围,确定所述异常检测模型处于稳定状态。
[0265 ] B20、根据B12所述的装置,其中,所述装置还包括:
[0266]信息展示模块,用于展示所述web访问的异常类型、访问源IP以及访问时间,所述web访问特征包括访问源IP和访问时间。
[0267]B21、根据B12所述的装置,其中,所述装置还包括:
[0268]web攻击事件确定模块,用于若在第一时间段内检测到同一访问源IP的异常web访问超出预设个数,则确定发生所述访问源IP的web攻击事件,并通报所述web攻击事件,所述web访问特征包括访问源IP和访问时间。
[0269]B22、根据B21所述的装置,其中,所述装置还包括:
[0270]异常检测模型重新创建模块,用于若在第二时间段内检测到预设个数的不同访问源IP的web攻击事件,则获取更新的历史web访问记录,并重新创建各个异常检测模型。
【主权项】
1.一种web异常检测方法,其中,包括: 根据从历史w e b访问记录中解析的多个w e b访问特征,仓Il建基于所述w e b访问特征检测异常web访问的多个异常检测模型; 采用各个异常检测模型,分别检测目标web访问是否为异常web访问; 将检测结果为异常web访问的异常检测模型对应的web访问特征,标记为所述目标web访问的异常类型。2.根据权利要求1所述的方法,其中,所述根据从历史web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型包括: 统计历史web访问记录中所述web访问特征的取值范围,创建判断所述web访问特征是否符合所述取值范围的第一异常检测模型。3.根据权利要求2所述的方法,其中,所述采用各个异常检测模型,分别检测目标web访问是否为异常web访问包括: 采用所述异常检测模型判断所述目标web访问的web访问特征是否符合所述取值范围,若不符合,则确定所述目标web访问为异常web访问。4.根据权利要求1所述的方法,其中,所述根据从历史web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型包括: 统计各个web访问特征出现的概率,并创建基于各个web访问特征预测所述web访问为异常web访问的概率的第二异常检测模型。5.根据权利要求4所述的方法,其中,所述采用各个异常检测模型,分别检测目标web访问是否为异常web访问包括: 分别采用各个异常检测模型预测所述目标web访问为异常web访问的目标概率; 在所述web访问记录中所有web访问对应的概率中,若所述目标概率的排序低于预设值,则确定所述目标web访问为异常web访问。6.根据权利要求4所述的方法,其中,所述web访问特征包括访问路径、访问参数和访问参数值中至少一种,所述统计各个web访问特征出现的概率,并创建基于各个web访问特征预测所述web访问为异常web访问的概率的第二异常检测模型包括: 根据各个访问参数出现的次数统计各个访问路径出现的第一概率,并基于所述第一概率,创建基于所述访问路径预测所述web访问为异常web访问的概率的第三异常检测模型;和/或,针对同一访问路径,统计各个访问参数出现的第二概率,并基于所述第二概率,创建基于所述访问参数预测所述web访问为异常web访问的概率的第四异常检测模型; 和/或,针对同一访问参数,统计各访问参数值出现的第三概率,并基于所述第三概率,创建基于所述访问参数值预测所述web访问为异常web访问的概率的第五异常检测模型。7.根据权利要求6所述的方法,其中,所述根据各个访问参数出现的次数统计各个访问路径出现的第一概率包括: 针对各个访问路径,从第一哈希表读取所述访问路径包括的访问参数出现的第一次数,以及从第二哈希表读取所述访问路径包括的访问参数二元组出现的第二次数; 根据所述第一次数和第二次数统计各个访问参数二元组出现的第五概率; 根据各个访问参数二元组出现的第五概率,统计各个访问路径出现的第一概率。8.根据权利要求1所述的方法,其中,在所述采用各个异常检测模型,分别检测目标web访问是否为异常web访问之前,所述方法还包括: 通过统计所述异常检测模型中至少一个web访问特征的个数符合第一预设范围,和/或,检测结果的检测方差符合第二预设范围,确定所述异常检测模型处于稳定状态。9.根据权利要求1所述的方法,其中,所述web访问特征包括访问源IP和访问时间,所述方法还包括: 展示所述web访问的异常类型、访问源IP以及访问时间,所述web访问特征包括访问源IP和访问时间。10.一种web异常检测装置,其中,包括: 异常检测模型创建模块,用于根据从历史web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型; 异常检测模块,用于采用各个异常检测模型,分别检测目标web访问是否为异常web访问; 异常类型标记模块,用于将检测结果为异常web访问的异常检测模型对应的web访问特征,标记为所述目标web访问的异常类型。
【专利摘要】本发明提供了一种web异常检测方法和装置,所述方法包括:根据从历史web访问记录中解析的多个web访问特征,创建基于所述web访问特征检测异常web访问的多个异常检测模型,采用各个异常检测模型,分别检测目标web访问是否为异常web访问,将检测结果为异常web访问的异常检测模型对应的web访问特征,标记为所述目标web访问的异常类型。本发明实施例的方法利用创建的多个异常检测模型实现对未知漏洞和新型攻击进行自动检测,无需重新收集数据和制定规则,保证了较高的检出率和准确率,降低了人工的工作量,节省了人力和检测时间。
【IPC分类】H04L29/06
【公开号】CN105554007
【申请号】CN201510998031
【发明人】刘博 , 王占一, 张卓
【申请人】北京奇虎科技有限公司, 北京奇安信科技有限公司
【公开日】2016年5月4日
【申请日】2015年12月25日