CN103297435B - 一种基于web日志的异常访问行为检测方法与系统 - Google Patents
一种基于web日志的异常访问行为检测方法与系统 Download PDFInfo
- Publication number
- CN103297435B CN103297435B CN201310222685.XA CN201310222685A CN103297435B CN 103297435 B CN103297435 B CN 103297435B CN 201310222685 A CN201310222685 A CN 201310222685A CN 103297435 B CN103297435 B CN 103297435B
- Authority
- CN
- China
- Prior art keywords
- access
- url
- abnormal
- query string
- string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明涉及一种基于WEB日志的异常访问行为检测方法,步骤包括:1)解析WEB原始日志去除干扰信息后进行IP访问统计和URL访问统计,得到IP访问统计列表和URL访问统计列表;2)根据IP访问统计列表,进行爬虫行为特征识别、错误响应码统计以及访问频率偏差度检测,同时更新IP异常特征表;根据URL访问统计列表,进行偏僻URL访问检测与异常查询串检测,同时更新IP异常特征表;3)根据设定的优先级顺序对IP异常特征表中的异常特征进行排序,输出排序后的IP异常特征表得到异常访问结果。本发明的方法不依赖于历史访问数据构筑访问模型,横向对比发现异常,通过选举参照查询串进行异常参数检测。
Description
技术领域
本发明涉及一种基于WEB日志的异常访问行为检测方法与系统,属于WEB安全领域。
背景技术
随着互联网技术与应用的不断发展,WEB应用已经逐渐成为了现代人们生产生活不可缺失的一个方面,同时它也成为了互联网上的主要攻击目标。
WEB日志是WEB服务器记录下来的关于WEB访问行为的审计信息。从WEB日志中,可以了解网站访问用户的访问行为。传统的WEB日志检测主要关注的是全局的网站流量检测、访问者信息统计、访问内容信息统计等,其目的主要是检测网站的访问性能、客户群、热点内容,挖掘客户感兴趣的内容,提升网站的服务质量。目前,主流的日志检测工具包括AWStats、Webalizer等。然而,以上信息统计主要面向正常的用户访问行为,对于恶意用户的访问,以上的检测技术是无法发现的。因此,网站管理员或者安全管理员只能通过人工检测的方法,从WEB日志中检查有无可疑的攻击行为。
一般,对于WEB日志的安全检测分为两方面,一方面是通过对日志中单个请求URL进行攻击特征规则匹配,识别典型攻击访问,如SQL注入、跨站脚本、缓冲区溢出等,这种检测比较容易实现,但是仅能发现已知类型的攻击,且无法对攻击者的攻击行为进行全局性解析。另一方面是针对存在异常访问轨迹的行为检测,包括恶意爬取网站信息、恶意扫描网站漏洞、应用层DDoS攻击等,这些行为无法通过单个URL的特征检测进行检测。目前针对这类型的异常行为检测还没有成熟的方案,一般的解决思路是通过数据挖掘建立用户访问正常模型,但这需要提供正常访问的历史数据,同时一旦当前网站的访问受到某些特殊情况的影响,如某一特殊事件发生导致网站访问量骤增,就会使得从历史数据中获得的访问模型不适用于当前访问,从而出现大量误报或漏报。
发明内容
本发明提出了一种新型的基于WEB日志的异常访问行为检测方法及系统,用于识别具有异常访问特征的访问者。
本发明所述方法的技术方案是通过对WEB访问日志进行面向IP与面向URL的双重访问统计,并根据统计结果进行基于访问次数、访问类型、响应码以及查询参数的异常检测,检测特征包括是否具有爬虫行为特征、错误响应码比例、访问频率偏差度、偏僻URL访问次数、异常查询串访问次数,最终根据特征优先级进行多重排序,得到访问IP的异常排序列表,排序越靠前异常度越大,从而识别异常访问IP。
一种基于WEB日志的异常访问行为检测方法,其方法步骤包括:
1)解析WEB原始日志进行IP访问统计和URL访问统计,得到IP访问统计列表和URL访问统计列表同时保存原始日志;
2)根据所述IP访问统计列表和所述URL访问统计列表中的异常特征建立IP异常特征表;
3)当开始检测时,按照如下方法更新所述IP异常特征表:
根据所述IP访问统计列表,进行爬虫行为特征识别、错误响应码统计以及访问频率偏差度检测;
根据所述URL访问统计列表,进行偏僻URL访问检测与异常查询串检测;
4)根据设定的优先级顺序对所述IP异常特征表中的异常特征进行排序,输出排序后的IP异常特征表;
5)根据更新后的IP异常特征表的排序结果,检测出具有异常访问行为的IP。
更进一步,所述去除干扰信息步骤包括以下方法的一种或多种:
若当前请求HOST不是目标WEB站点,则跳过,继续检测下一条日志;
若当前请求URL为favicon.ico,则跳过,继续检测下一条日志;
若当前源IP在IP白名单中,则跳过,继续检测下一条日志;
若当前访问是已知爬虫访问,则跳过,继续检测下一条日志。
更进一步,所述原始日志中的每一条日志经过解析后,至少应包括内容有:时间、源IP、请求HOST、请求URL、请求查询串、HTTP访问方法、HTTP响应码、请求用户代理信息USER-AGENT,其中请求URL不包含请求HOST以及请求查询串。
更进一步,所述URL访问统计方法如下:
1)当前日志的请求查询串不为空时,从URL访问统计列表中获取当前请求URL的访问统计信息,包括访问者信息字典表与查询串字典表;
2)更新所述访问者信息字典表,统计每个IP对该URL的访问次数,同时更新所述查询串字典表,统计每个查询串的访问次数;
3)若查询串只被一个IP或一种User-Agent访问,则记录具体的IP及User-Agent信息。
更进一步,所述偏僻URL访问检测步骤包括:
1)遍历URL访问统计列表,查找访问IP数最多的URL及其总访问IP数,得到URL最大访问IP数;
2)根据偏僻度系数,计算偏僻URL访问IP门限=偏僻度系数*URL最大访问IP数;
3)遍历URL访问统计列表,查找访问IP数低于偏僻URL访问IP门限的URL,输出该URL及该URL的访问IP。
更进一步,所述异常查询串检测步骤包括:
1)遍历URL访问统计列表,获取每个URL的查询串字典表和访问者信息字典表;
2)如果URL的访问者信息字典表长度为1则跳过;
3)根据最典型查询串算法从查询串列表中选择最典型查询串,作为后续异常查询串检测的参照值;
4)遍历查询串列表,根据异常查询串比较算法,判断当前查询串是否异常,如果异常,输出该查询串及该查询串的访问IP;
5)更新该查询串的每一个访问IP的异常特征表,将异常查询串访问次数加1。
更进一步,所述最典型查询串算法步骤包括:
1)遍历查询串字典表,寻找参数个数最多的查询串与访问量最大的查询串,其中查询串至少要被两个及以上不同IP与不同User-Agent访问,如果不满足则无法选择典型查询串,退出;
2)对上述两个查询串进行URL解码,并分解为参数值对;
3)合并二者的参数值对,去掉重复的参数值对,形成参照查询串参数值对。
更进一步,所述异常查询串比较算法步骤包括:
1)对参照查询串参数值对中的每个参数值对进行解析,确定每个参数的参数值允许字符集;
2)对待检测查询串进行URL解码,分解为参数值对;
3)对每一对待检测参数值对,根据参照查询串参数值对确定参数的参数值允许字符集,如果参照查询串参数值对中没有对应参数,则使用默认参数允许字符集;
4)遍历待检测参数值的每一个字符,判断该字符是否为可见字符以及是否在允许字符集内,如果该字符是可打印字符且不在允许字符集内,标识该查询字符串为异常。
更进一步,所述IP访问统计的方法如下:
1)根据当前日志的源IP,获取所述IP的上次会话信息,并判断当前日志记录是否属于该IP的上次会话;如果是,则更新该IP的上次会话信息;如果不是,则将该会话信息加入全局访问会话表,并从上次会话信息表中删除,新建会话信息,将该会话信息加入上次会话信息表;
2)如果所有日志解析结束,遍历上次会话信息表,将所有会话信息加入全局访问会话表;
3)遍历所述全局访问会话表,统计每个IP的访问信息,包括总的会话数、持续时间、访问次数、非页面访问比例、错误响应码访问比例、下载访问比例、更新IP访问统计列表。
更进一步,所述爬虫行为特征识别步骤包括:
1)遍历IP访问统计列表,若某IP的下载访问比例超过下载访问比例上限值,或者非页面访问比例低于非页面访问比例下限值或者非页面访问比例为1,则标识该IP为具有爬虫行为特征倾向;
2)更新IP异常特征表中的每个IP的是否具有爬虫行为特征列。
更进一步,所述访问频率偏差度检测步骤包括:
1)分别对IP访问统计列表的总会话数、持续时间、访问次数三列计算每个IP在每项指标上的偏移度;
2)比较每个IP的三个偏移度的大小,取最大值作为该IP的访问频率偏差度值;
3)更新IP异常特征表中的每个IP的访问频率偏差度;
4)更新每一个该URL的访问IP的异常特征表中的偏僻URL访问次数加1。
更进一步,所述错误响应码统计采用IP访问统计列表中每个IP的错误响应码访问比例,更新对应IP的异常特征表中的错误响应码比例值。
更进一步,所述IP异常特征表的异常特征排序优先级顺序为异常查询串访问次数、偏僻URL访问次数、错误响应码比例、是否具有爬虫行为特征、访问频率偏差度。
一种基于WEB日志的异常访问行为检测系统,包括配置读取更新模块、原始日志统计模块,异常检测模块以及异常结果展现模块;
所述配置读取更新模块负责读取配置文件中的配置参数信息,同时根据实际检测结果调整配置文件中的配置参数;
所述原始日志统计模块负责读取原始日志文本文件,进行日志解析以及IP和URL统计后,将原始日志写入访问日志数据库,将统计结果写入统计结果数据库;
所述异常检测模块负责根据统计结果进行异常检测,并将经过多重排序后的IP异常特征表以及URL异常检测结果写入异常结果数据库;
所述异常结果展现模块负责读取异常结果,同时查询每个IP与URL的访问信息统计结果以及原始的访问日志。
本发明的有益效果:
本发明的方法不依赖于历史访问数据构筑访问模型,而是对同一时间段各IP访问统计结果进行特征检测,横向对比发现异常。同时,该方法也不依赖于参数特征匹配规则库,而是基于正常访问大于异常访问这一基本假设,通过选举参照查询串进行异常参数检测。
附图说明
图1是本发明一种基于WEB日志的异常访问行为检测方法的一实施例中流程示意图。
图2是本发明一种基于WEB日志的异常访问行为检测系统的一实施例中组成示意图。
图3是本发明一种基于WEB日志的异常访问行为检测系统的一实施例中原始日志统计模块的处理流程示意图。
图4是本发明所述一种基于WEB日志的异常访问行为检测系统的一实施例中异常检测模块的处理流程示意图。
具体实施方式
下面通过附图并结合具体的实例来详述本发明的技术方案实施过程。
如图1所示是本发明一种基于WEB日志的异常访问行为检测方法的一实施例中流程示意图,其具体步骤包括:
1.对WEB原始日志进行解析,去除干扰信息;
2.IP访问行为统计,得到IP访问统计列表,包括每个IP的总的会话数、持续时间、访问次数、非页面访问比例、错误响应码比例、下载访问比例;
3.URL访问统计,得到URL访问统计列表,包括每个URL的访问者信息字典表与查询串字典表;
4.根据IP访问统计列表,进行爬虫行为特征识别、错误响应码统计以及访问频率偏差度检测,更新IP异常特征表;
5.根据URL访问统计列表,进行偏僻URL访问检测与异常查询串检测,更新IP异常特征表;
6.根据爬虫行为特征识别、错误响应码统计、访问频率偏差度检测、偏僻URL访问检测、异常查询串检测得到IP异常特征表,按照异常查询串访问次数、偏僻URL访问次数、错误响应码比例、是否具有爬虫行为特征、访问频率偏差度的优先级顺序进行多重排序,若异常相同则继续检测,输出排序后的IP异常特征表。其中排序越靠前的IP具有异常行为的可能性越大。
其中原始日志中的每一条日志经过解析后,至少应包括内容有:时间、源IP、请求HOST、请求URL、请求查询串、HTTP访问方法、HTTP响应码、请求用户代理信息USER-AGENT,其中请求URL不包含请求HOST以及请求查询串。
其中IP异常特征表的内容包括:IP、异常查询串访问次数、偏僻URL访问次数、错误响应码比例、是否具有爬虫行为特征、访问频率偏差度。
其中去除干扰信息步骤包括:
如果当前请求HOST不是目标WEB站点,则跳过,继续检测下一条日志;
1.如果当前请求URL为“favicon.ico”,则跳过,继续检测下一条日志;
2.如果当前源IP在IP白名单中,则跳过,继续检测下一条日志;
3.如果当前访问是已知爬虫访问,则跳过,继续检测下一条日志。
其中已知爬虫的判定根据日志记录中的请求用户代理信息(User-Agent)是否包含爬虫User-Agent标识字符串来识别,爬虫User-Agent标识字符串通过配置文件读取。
其中IP白名单通过配置文件读取。
本发明所述的技术方案通过基于WEB日志的异常访问行为检测系统来实现,如图2所示是本发明一种基于WEB日志的异常访问行为检测系统的一实施例中组成示意图,该系统组成包括配置读取更新模块、原始日志统计模块,异常检测模块以及异常结果展现模块。该系统的运行过程包括启动阶段、统计阶段、检测阶段以及反馈阶段。
其中配置读取更新模块负责读取配置文件中的配置参数信息,同时使用者可根据实际检测结果调整配置文件中的配置参数。
其中原始日志统计模块负责读取原始日志文本文件,进行日志解析以及IP和URL统计后,将原始日志写入访问日志数据库,将统计结果写入统计结果数据库。
其中异常检测模块负责根据统计结果进行异常检测,并将经过多重排序后的IP异常特征表以及URL异常检测结果写入异常结果数据库。
其中异常结果展现模块负责读取异常结果进行展示,同时可查询每个IP与URL的访问信息统计结果以及原始的访问日志。
其中IP访问统计步骤包括:
根据当前日志的源IP,从中获取该IP的上次会话信息。如果没有,新建会话信息,将该会话信息加入上次会话信息表;如果有,判断当前日志记录是否属于该IP的上次会话,如果是,更新该IP的上次会话信息;如果不是,将该会话信息加入全局访问会话表,并从上次会话信息表中删除,新建会话信息,将该会话信息加入上次会话信息表;
1.如果所有日志解析结束,遍历上次会话信息表,将所有会话信息加入全局访问会话表;
2.遍历全局访问会话表,统计每个IP的访问信息,包括总的会话数、持续时间、访问次数、非页面访问比例、错误响应码访问比例、下载访问比例、更新IP访问统计列表;
其中上次会话信息表是以IP为索引的字典表,记录了每个IP的最近一次会话信息。
其中全局访问会话是记录所有会话信息的列表。
其中会话信息内容包括会话起始时间、结束时间、持续时间、会话内总访问数、会话内错误响应码访问数、会话内非页面请求访问数、会话内下载型访问数。
其中错误响应码访问数指响应码大于等于400且小于等于600的访问次数。
其中非页面请求根据请求URL的结尾文件类型来判断,类型定义通过配置文件读取。
其中下载型请求根据请求URL的结尾文件类型来判断,类型定义通过配置文件读取。
其中URL访问统计步骤包括:
1.如果当前日志的请求查询串为空,则跳过,继续检测下一条日志;
2.从URL访问统计列表中,获取当前请求URL的访问统计信息,包括访问者信息字典表与查询串字典表;
3.更新访问者信息字典表,统计每个IP对该URL的访问次数;
4.更新查询串字典表,统计每个查询串的访问次数,如果一个查询串只被一个IP或一种User-Agent访问,则记录具体的IP及User-Agent信息。
其中爬虫行为特征识别步骤包括:
1.遍历IP访问统计列表,如果某IP的下载访问比例超过下载访问比例上限值,或者非页面访问比例低于非页面访问比例下限值或者非页面访问比例为1,则标识该IP为具有爬虫行为特征倾向;
2.更新IP异常特征表中的每个IP的是否具有爬虫行为特征列。
其中下载访问比例上限值和非页面访问比例下限值通过配置文件读取。
其中错误响应码统计直接采用IP访问统计列表中每个IP的错误响应码访问比例,更新对应IP的异常特征表中的错误响应码比例值。
其中访问频率偏差度检测步骤包括:
1.分别对IP访问统计列表的总的会话数、持续时间、访问次数三列计算每个IP在每项指标上的偏移度;
2.比较每个IP的三个偏移度的大小,取最大值作为该IP的访问频率偏差度值;
3.更新IP异常特征表中的每个IP的访问频率偏差度。
其中偏移度=(样本值-样本众数)^2/样本方差。
其中,偏僻URL访问检测步骤包括:
1.遍历URL访问统计列表,查找访问IP数最多的URL及其总访问IP数,即为URL最大访问IP数;
2.根据偏僻度系数,计算偏僻URL访问IP门限=偏僻度系数*URL最大访问IP数;
3.遍历URL访问统计列表,查找访问IP数低于偏僻URL访问IP门限的URL,输出该URL及该URL的访问IP;
4.更新每一个该URL的访问IP的异常特征表中的偏僻URL访问次数加1。
其中偏僻度系数从配置文件读取。
其中异常查询串检测步骤包括:
1.遍历URL访问统计列表,获取每个URL的查询串字典表和访问者信息字典表;
2.如果URL的访问者信息字典表长度为1,表明该URL只有一个IP访问,其参数没有比较性,跳过;
3.根据最典型查询串算法从查询串列表中选择最典型查询串,作为后续异常查询串检测的参照值;
4.遍历查询串列表,根据异常查询串比较算法,判断当前查询串是否异常,如果异常,输出该查询串及该查询串的访问IP;
5.更新该查询串的每一个访问IP的异常特征表,将异常查询串访问次数加1。
其中最典型查询串选择算法步骤包括:
1.遍历查询串字典表,寻找参数个数最多的查询串与访问量最大的查询串,其中查询串至少要被两个及以上不同IP与不同User-Agent访问,如果不满足则无法选择典型查询串,退出;
2.对上述两个查询串进行URL解码,并分解为参数值对;
3.合并二者的参数值对,去掉重复的参数值对,形成参照查询串参数值对。
其中异常查询串比较算法步骤包括:
1.对参照查询串参数值对中的每个参数值对进行解析,确定每个参数的参数值允许字符集;
2.对待检测查询串进行URL解码,分解为参数值对;
3.对每一对待检测参数值对,根据参照查询串参数值对确定参数的参数值允许字符集,如果参照查询串参数值对中没有对应参数,则使用默认参数允许字符集;
4.遍历待检测参数值的每一个字符,判断该字符是否为可见字符以及是否在允许字符集内,如果该字符是可打印字符且不在允许字符集内,标识该查询字符串为异常。
具体说明如下:
(1)启动阶段,配置读取更新模块从启动参数中获取原始日志文件位置、目标WEB站点HOST信息,然后读取配置文件中的配置参数信息,包括日志解析格式、IP白名单、爬虫User-Agent标识字符串、非页面请求文件类型、下载型请求文件类型、下载访问比例上限值、非页面访问比例下限值以及URL访问偏僻度系数。
(2)统计阶段,原始日志统计模块逐条读取原始日志文件中的日志记录,根据日志解析格式定义对日志进行解析,去除干扰信息后进行IP统计与URL统计,形成IP访问信息表以及URL访问信息表,将原始日志写入访问日志数据库,将IP访问信息表以及URL访问信息表写入统计结果数据库。如图3所示是本发明一种基于WEB日志的异常访问行为检测系统的一实施例中原始日志统计模块的处理流程示意图,具体过程包括:
(2-1)从原始日志文件中读取新一条日志,如果没有新日志,则进入(2-7),否则进入(2-2);
(2-2)判断当前记录是否为干扰信息,如果是,则回到步骤(2-1),如果不是,则继续步骤(2-3);
(2-3)进行IP访问统计;
(2-4)判断当前记录的请求查询串是否为空,如果是,进入步骤(2-6),如果否,进入步骤(2-5);
(2-5)进行URL访问统计;
(2-6)日志记录写入访问日志数据库,返回(2-1);
(2-7)对IP访问统计结果进行处理,将IP访问信息表以及URL访问信息表写入统计结果数据库。
其中步骤(2-1)中,日志解析后,至少应包括内容有:时间、源IP、请求HOST、请求URL、请求查询串、HTTP访问方法、HTTP响应码、请求USER-AGENT,其中请求URL不包含请求HOST以及请求查询串。如,一条访问日志记录为:
1366015392.709192.168.1.10--[15/Apr/2013:16:43:12+0800]"GEThttp://www.test.com:8080/test/ShowViewDetailAction.do?paperId=15737HTTP/1.1"304"Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
经过日志解析后,该日志记录的时间为“1366015392.709”,源IP为“192.168.1.10”,请求HOST为“www.test.com:8080”,请求URL为“/test/ShowViewDetailAction.do”,请求查询串为“paperId=15737”,请求访问方法为“GET”,HTTP响应码为“304”,请求USER-AGENT为“Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)”。
其中步骤(2-2)中,判断是否为干扰信息的过程如下:
(2-2-1)如果当前日志记录的请求HOST不是目标WEB站点,返回是;
(2-2-2)如果当前日志记录的请求URL为“favicon.ico”,返回是;
(2-2-3)如果当前日志的源IP在IP白名单中,返回是;
(2-2-4)如果当前日志记录的请求USER-AGENT中含有爬虫标识字符串,返回是;
(2-2-5)返回否
其中步骤(2-3)中,IP访问统计的过程如下:
(2-3-1)根据当前日志的源IP,从中获取该IP的上次会话信息。如果没有,进入(2-3-3),如果有进入(2-3-2);
(2-3-2)判断当前日志记录是否属于该IP的上次会话,如果是,更新该IP的上次会话信息,返回;如果不是,将该会话信息加入全局访问会话表,并从上次会话信息表中删除,进入(2-3-3);
(2-3-3)根据当前日志记录,新建会话信息,将该会话信息加入源IP的上次会话信息表,返回;
其中上次会话信息表是以IP为索引的字典表,记录了每个IP的最近一次会话信息。
其中全局访问会话是记录所有会话信息的列表。
其中会话信息内容包括会话起始时间、结束时间、持续时间、会话内总访问数、会话内错误响应码访问数、会话内非页面请求访问数、会话内下载型访问数。
其中步骤(2-5)中,URL访问统计的过程如下:
(2-5-1)从URL访问统计列表中,获取当前请求URL的访问统计信息,包括访问者信息字典表与查询串字典表;
(2-5-2)更新访问者信息字典表,判断当前日志的源IP是否在该URL的访问者信息字典表中出现,如果没有,则将当前源IP加入访问者信息字典表,其中索引为该IP,值为1,如果有,值加1;
(2-5-3)更新查询串字典表,判断当前日志的请求查询串是否在该URL的查询串字典表中出现,如果没有,将当前的请求查询串加入查询串字典表,其中索引为查询串,值为“源IP;请求USER-AGENT”;如果有,判断当前值信息是否为数字,如果是数字,则数字加1,如果不是数字,判断当前日志的源IP与请求USER-AGENT是否在该查询串的值信息中重复出现,如果有,将未重复的源IP或请求USER-AGENT附加到值信息中,更新字典表,如果未出现,则更新值信息为2
其中步骤(2-7)中,对IP访问统计结果进行处理的过程如下:
(2-7-1)遍历上次会话信息表,将所有会话信息加入全局访问会话表;
(2-7-2)遍历全局访问会话表,统计每个IP的访问信息,包括总的会话数、持续时间、访问次数、非页面访问比例、错误响应码访问比例、下载访问比例,更新IP访问统计列表;
(3)检测阶段,异常检测模块从统计结果数据库中读取IP访问统计列表和URL访问统计列表,进行异常检测,将URL异常检测结果与经过多重排序后的IP异常特征表写入异常结果数据库。
如图4所示是本发明所述一种基于WEB日志的异常访问行为检测系统的一实施例中异常检测模块的处理流程示意图,包括:
(3-1)从统计结果数据库中读取IP访问统计列表和URL访问统计列表;
(3-2)进行爬虫行为特征识别,更新IP异常特征表;
(3-3)从IP访问统计列表中,读取每个IP的错误响应码访问比例,更新IP异常特征表;
(3-4)进行访问频率偏差度检测,更新IP异常特征表;
(3-5)进行偏僻URL访问检测,更新IP异常特征表,将偏僻URL访问检测结果写入数据库;
(3-6)进行异常查询串检测,更新IP异常特征表,将异常查询串检测结果写入数据库;
(3-7)根据IP异常特征表,按照异常查询串访问次数、偏僻URL访问次数、错误响应码比例、是否爬虫行为特征、访问频率偏差度的优先级顺序进行多重排序,将排序后的IP异常特征表写入异常结果数据库。
其中IP异常特征表的列组成包括:IP、异常查询串访问次数、偏僻URL访问次数、错误响应码比例、是否爬虫行为特征、访问频率偏差度。
其中步骤(3-2)中,爬虫行为特征识别步骤包括:
(3-2-1)遍历IP访问统计列表,如果某IP的下载访问比例超过下载访问比例上限值,或者非页面访问比例低于非页面访问比例下限值或者非页面访问比例为1,则标识该IP为具有爬虫行为特征倾向
(3-2-2)更新IP异常特征表中的每个IP的是否具有爬虫行为特征列
其中步骤(3-4)中,访问频率偏差度检测步骤包括:
(3-4-1)将IP访问统计列表的总的会话数、持续时间、访问次数三列作为三个样本集合,分别计算每个集合的众数与方差,然后计算每个IP在每项指标上的偏移度,偏移度=(样本值-样本众数)^2/样本方差;
(3-4-2)比较每个IP的三个偏移度的大小,取最大值作为该IP的访问频率偏差值;
(3-4-3)更新IP异常特征表中的每个IP的访问频率偏差度列。
其中步骤(3-5)中,偏僻URL访问检测步骤包括:
(3-5-1)遍历URL访问统计列表,根据每个URL的访问者信息字典表,查找访问IP数最多的URL及其总访问IP数,即为URL最大访问IP数;
(3-5-2)根据偏僻度系数,计算偏僻URL访问IP门限=偏僻度系数*URL最大访问IP数;
(3-5-3)遍历URL访问统计列表,根据每个URL的访问者信息字典表,查找访问IP数低于偏僻URL访问IP门限的URL,输出该URL及该URL的访问IP;
(3-5-4)更新每一个该URL的访问IP的异常特征表中的偏僻URL访问次数加1。
其中步骤(3-6)中,异常查询串检测步骤包括:
(3-6-1)遍历URL访问统计列表,获取每个URL的查询串字典表和访问者信息字典表;
(3-6-2)如果URL的访问者信息字典表长度为1,表明该URL只有一个IP访问,其参数没有比较性,跳过;
(3-6-3)根据最典型查询串算法从查询串列表中选择最典型查询串作为后续异常查询串检测的参照值;
(3-6-4)遍历查询串列表,根据异常查询串比较算法,判断当前查询串是否异常,如果异常,输出该查询串及该查询串的访问IP;
(3-6-5)更新每一个该查询串的访问IP的异常特征表中的异常查询串访问次数加1其中步骤(3-6-3)中,最典型查询串选择算法步骤包括:
(3-6-3-1)遍历查询串字典表,寻找参数个数最多的查询串与访问量最大的查询串,如果查询串字典表中的所有参数对应的值都为非数字,则无法选择典型查询串,退出;
(3-6-3-2)对上述两个查询串进行URL解码,并分解为参数值对;
(3-6-3-3)合并二者的参数值对,去掉重复的参数值对,形成参照查询串参数值对其中步骤(3-6-4)中,异常查询串比较算法步骤包括:
(3-6-4-1)对参照查询串参数值对中的每个参数值对进行解析,确定每个参数的参数值允许字符集,如对于查询串“paperId=15737”,则参数“papered”的允许字符集为数字,表示为“^[0-9]$”;
(3-6-4-1)对待检测查询串进行URL解码,分解为参数值对;
(3-6-4-1)对每一对待检测参数值对,检查参照参数值对中有没有对应参数的参数值允许字符集。如果有,则指定参照参数允许字符集为待检测参数的参数值允许字符集。如果没有,则指定默认参数允许字符集为待检测参数的参数值允许字符集,其中默认参数允许字符集包括数字、字母以及“-”、“_”,表示为“^[0-9|a-z|A-Z|_|-]$”;
(3-6-4-1)遍历待检测参数值的每一个字符,如果上一个字符是可见字符,且当前字符也是可见字符,则检测当前字符是否在参数值允许字符集中,如果不在,标识该查询字符串为异常,返回。否则继续检测下一个字符。
(4)反馈阶段,异常结果展现模块读取异常结果数据库中经过多重排序后的IP异常特征表进行展示,其中排序越靠前的IP具有异常行为的可能性越大。同时,使用者可查询每个IP与URL的访问信息统计结果以及原始的访问日志。如果检测结果产生的误报率过大,可通过配置更新模块对IP白名单、爬虫User-Agent标识字符串、非页面请求文件类型、下载型请求文件类型、下载访问比例上限值、非页面访问比例下限值以及URL访问偏僻度系数进行调整。
Claims (8)
1.一种基于WEB日志的异常访问行为检测方法,其方法步骤包括:
1)解析WEB原始日志进行IP访问统计和URL访问统计,得到IP访问统计列表和URL访问统计列表同时保存原始日志;
2)根据所述IP访问统计列表和所述URL访问统计列表中的异常特征建立IP异常特征表;
3)当开始检测时,按照如下方法更新所述IP异常特征表:
根据所述IP访问统计列表,进行爬虫行为特征识别、错误响应码统计以及访问频率偏差度检测;
根据所述URL访问统计列表,进行偏僻URL访问检测与异常查询串检测;
其中,所述爬虫行为特征识别包括:
3-1-1)遍历IP访问统计列表,如果某IP的下载访问比例超过下载访问比例上限值,或者非页面访问比例低于非页面访问比例下限值或者非页面访问比例为1,则标识该IP为具有爬虫行为特征倾向;
3-1-2)更新IP异常特征表中的每个IP的是否具有爬虫行为特征列;
所述错误响应码统计包括采用IP访问统计列表中每个IP的错误响应码访问比例,更新对应IP的异常特征表中的错误响应码比例值;
所述访问频率偏差度检测包括:
3-2-1)分别对IP访问统计列表的总的会话数、持续时间、访问次数三列计算每个IP在每项指标上的偏移度;
3-2-2)比较每个IP的三个偏移度的大小,取最大值作为该IP的访问频率偏差度值;
3-2-3)更新IP异常特征表中的每个IP的访问频率偏差度;
所述偏僻URL访问检测包括:
3-3-1)遍历URL访问统计列表,查找访问IP数最多的URL及其总访问IP数,作为URL最大访问IP数;
3-3-2)根据偏僻度系数,计算偏僻URL访问IP门限=偏僻度系数*URL最大访问IP数;
3-3-3)遍历URL访问统计列表,查找访问IP数低于偏僻URL访问IP门限的URL,输出该URL及该URL的访问IP;
3-3-4)更新每一个该URL的访问IP的异常特征表中的偏僻URL访问次数加1;
所述异常查询串检测包括:
3-4-1)遍历URL访问统计列表,获取每个URL的查询串字典表和访问者信息字典表;
3-4-2)如果URL的访问者信息字典表长度为1则跳过;
3-4-3)根据最典型查询串算法从查询串字典表中选择最典型查询串,作为后续异常查询串检测的参照值;
3-4-4)遍历查询串字典表,根据异常查询串比较算法,判断当前查询串是否异常,如果异常,输出该查询串及该查询串的访问IP;
3-4-5)更新该查询串的每一个访问IP的异常特征表,将异常查询串访问次数加1;
4)根据设定的优先级顺序对所述IP异常特征表中的异常特征进行排序,输出排序后的IP异常特征表;
5)根据更新后的IP异常特征表的排序结果,检测出具有异常访问行为的IP。
2.如权利要求1所述的基于WEB日志的异常访问行为检测方法,其特征在于,解析WEB原始日志前去除干扰信息包括以下方法的一种或多种:
若当前请求HOST不是目标WEB站点,则跳过,继续检测下一条日志;
若当前请求URL为favicon.ico,则跳过,继续检测下一条日志;
若当前源IP在IP白名单中,则跳过,继续检测下一条日志;
若当前访问是已知爬虫访问,则跳过,继续检测下一条日志。
3.如权利要求1所述的基于WEB日志的异常访问行为检测方法,其特征在于,所述原始日志中的每一条日志经过解析后,至少包括:时间、源IP、请求HOST、请求URL、请求查询串、HTTP访问方法、HTTP响应码、请求用户代理信息User-Agent,其中请求URL不包含请求HOST以及请求查询串。
4.如权利要求1所述的基于WEB日志的异常访问行为检测方法,其特征在于,所述URL访问统计方法如下:
1)当前日志的请求查询串不为空时,从URL访问统计列表中获取当前请求URL的访问统计信息,包括访问者信息字典表与查询串字典表;
2)更新所述访问者信息字典表,统计每个IP对该URL的访问次数,同时更新所述查询串字典表,统计每个查询串的访问次数;
3)若查询串只被一个IP或一种User-Agent访问,则记录具体的IP及User-Agent信息。
5.如权利要求1所述的基于WEB日志的异常访问行为检测方法,其特征在于,所述最典型查询串算法步骤包括:
1)遍历查询串字典表,分别寻找参数个数最多的查询串与访问量最大的查询串,其中每个查询串至少要被两个不同IP与不同User-Agent访问,如果不满足则无法选择典型查询串,退出;
2)对上述两个查询串进行URL解码,并分解为参数值对;
3)合并二者的参数值对,去掉重复的参数值对,形成参照查询串参数值对。
6.如权利要求1所述的基于WEB日志的异常访问行为检测方法,其特征在于,所述异常查询串比较算法步骤包括:
1)对参照查询串参数值对中的每个参数值对进行解析,确定每个参数的参数值允许字符集;
2)对待检测查询串进行URL解码,分解为参数值对;
3)对每一对待检测参数值对,根据参照查询串参数值对确定参数的参数值允许字符集,如果参照查询串参数值对中没有对应参数,则使用默认参数允许字符集;
4)遍历待检测参数值的每一个字符,判断该字符是否为可见字符以及是否在允许字符集内,如果该字符是可打印字符且不在允许字符集内,标识该查询字符串为异常。
7.如权利要求1所述的基于WEB日志的异常访问行为检测方法,其特征在于,所述IP访问统计的方法如下:
1)根据当前日志的源IP,获取所述IP的上次会话信息,并判断当前日志记录是否属于该IP的上次会话;如果是,则更新该IP的上次会话信息;如果不是,则将该会话信息加入全局访问会话表,并从上次会话信息表中删除,新建会话信息,将该会话信息加入上次会话信息表;
2)如果所有日志解析结束,遍历上次会话信息表,将所有会话信息加入全局访问会话表;
3)遍历所述全局访问会话表,统计每个IP的访问信息,包括总的会话数、持续时间、访问次数、非页面访问比例、错误响应码访问比例、下载访问比例这全部六个内容,更新IP访问统计列表。
8.如权利要求1所述的基于WEB日志的异常访问行为检测方法,其特征在于,所述优先级顺序为异常查询串访问次数、偏僻URL访问次数、错误响应码比例、是否具有爬虫行为特征、访问频率偏差度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310222685.XA CN103297435B (zh) | 2013-06-06 | 2013-06-06 | 一种基于web日志的异常访问行为检测方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310222685.XA CN103297435B (zh) | 2013-06-06 | 2013-06-06 | 一种基于web日志的异常访问行为检测方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103297435A CN103297435A (zh) | 2013-09-11 |
| CN103297435B true CN103297435B (zh) | 2016-12-28 |
Family
ID=49097755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310222685.XA Active CN103297435B (zh) | 2013-06-06 | 2013-06-06 | 一种基于web日志的异常访问行为检测方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103297435B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2724713C1 (ru) * | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя |
Families Citing this family (58)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532944B (zh) * | 2013-10-08 | 2016-09-07 | 百度在线网络技术(北京)有限公司 | 一种捕获未知攻击的方法和装置 |
| CN103577283A (zh) * | 2013-10-21 | 2014-02-12 | 华为技术有限公司 | 一种日志备份方法及装置 |
| CN103685294B (zh) * | 2013-12-20 | 2017-02-22 | 北京奇安信科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| US9628487B2 (en) | 2014-03-24 | 2017-04-18 | Futurewei Technologies, Inc. | System and method for partial URL signing with applications to dynamic adaptive streaming |
| US9591021B2 (en) * | 2014-08-20 | 2017-03-07 | Mcafee, Inc. | Zero day threat detection using host application/program to user agent mapping |
| CN104301182B (zh) * | 2014-10-22 | 2018-09-11 | 赛尔网络有限公司 | 一种慢速网站访问异常信息的查询方法及装置 |
| CN104601556B (zh) * | 2014-12-30 | 2017-12-26 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
| CN105989134A (zh) * | 2015-02-26 | 2016-10-05 | 小米科技有限责任公司 | 网页收录方法和装置 |
| CN106302350B (zh) * | 2015-06-01 | 2019-09-03 | 阿里巴巴集团控股有限公司 | Url监测方法、装置及设备 |
| US10425427B2 (en) | 2015-06-19 | 2019-09-24 | Futurewei Technologies, Inc. | Template uniform resource locator signing |
| CN105005600B (zh) * | 2015-07-02 | 2017-05-24 | 焦点科技股份有限公司 | 一种访问日志中url的预处理方法 |
| CN104915455B (zh) * | 2015-07-02 | 2017-03-15 | 焦点科技股份有限公司 | 一种基于用户行为的网站异常访问识别方法及系统 |
| CN105072089B (zh) * | 2015-07-10 | 2018-09-25 | 中国科学院信息工程研究所 | 一种web恶意扫描行为异常检测方法与系统 |
| CN105262720A (zh) * | 2015-09-07 | 2016-01-20 | 深信服网络科技(深圳)有限公司 | web机器人流量识别方法及装置 |
| CN106611023B (zh) * | 2015-10-27 | 2020-11-24 | 北京国双科技有限公司 | 网站访问异常的检测方法及装置 |
| CN106911635B (zh) * | 2015-12-22 | 2020-07-28 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN106911636B (zh) * | 2015-12-22 | 2020-09-04 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN105554007B (zh) * | 2015-12-25 | 2019-01-04 | 北京奇虎科技有限公司 | 一种web异常检测方法和装置 |
| CN105550348A (zh) * | 2015-12-25 | 2016-05-04 | 时趣互动(北京)科技有限公司 | 基于用户在线行为数据的作弊用户判定方法及装置 |
| CN105677869A (zh) * | 2016-01-06 | 2016-06-15 | 广州神马移动信息科技有限公司 | 多维度搜索日志反作弊方法、系统及计算设备 |
| CN105653724B (zh) * | 2016-01-20 | 2019-07-02 | 北京京东尚科信息技术有限公司 | 一种页面曝光量的监控方法和装置 |
| CN105844176B (zh) * | 2016-03-23 | 2019-05-14 | 上海上讯信息技术股份有限公司 | 安全策略生成方法及设备 |
| CN107451149B (zh) * | 2016-05-31 | 2020-11-24 | 北京京东尚科信息技术有限公司 | 流量数据查询任务的监控方法及其装置 |
| CN107526748B (zh) * | 2016-06-22 | 2021-08-03 | 华为技术有限公司 | 一种识别用户点击行为的方法和设备 |
| CN105915555B (zh) * | 2016-06-29 | 2020-02-18 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
| CN107769940A (zh) * | 2016-08-17 | 2018-03-06 | 深圳市优朋普乐传媒发展有限公司 | 一种确定故障web服务器的方法及装置 |
| CN106341407A (zh) * | 2016-09-19 | 2017-01-18 | 成都知道创宇信息技术有限公司 | 基于网站画像的异常访问日志挖掘方法及装置 |
| CN106453266A (zh) * | 2016-09-20 | 2017-02-22 | 微梦创科网络科技(中国)有限公司 | 一种异常网络请求检测方法与装置 |
| CN106452876A (zh) * | 2016-10-19 | 2017-02-22 | 郑州云海信息技术有限公司 | 一种日志采集系统及方法 |
| CN106453357A (zh) * | 2016-11-01 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种网络购票异常行为的识别方法、系统及设备 |
| CN106657057B (zh) * | 2016-12-20 | 2020-09-29 | 北京金堤科技有限公司 | 反爬虫系统及方法 |
| CN108255868B (zh) * | 2016-12-29 | 2020-11-24 | 北京国双科技有限公司 | 检查网站中链接的方法和装置 |
| CN107508789B (zh) * | 2017-06-29 | 2020-04-07 | 北京北信源软件股份有限公司 | 一种异常数据的识别方法和装置 |
| CN107196968B (zh) * | 2017-07-12 | 2020-10-20 | 深圳市活力天汇科技股份有限公司 | 一种爬虫识别方法 |
| CN109145179B (zh) * | 2017-07-26 | 2019-04-19 | 北京数安鑫云信息技术有限公司 | 一种爬虫行为检测方法及装置 |
| CN107612882B (zh) * | 2017-08-03 | 2020-09-29 | 奇安信科技集团股份有限公司 | 一种基于中间日志的用户行为识别方法及装置 |
| CN108154427B (zh) * | 2017-12-01 | 2022-01-28 | 上海子午线新荣科技有限公司 | 一种数据检测方法、装置及电子设备 |
| CN108259473B (zh) * | 2017-12-29 | 2022-08-16 | 西安交大捷普网络科技有限公司 | Web服务器扫描防护方法 |
| CN109962905A (zh) * | 2018-11-02 | 2019-07-02 | 证通股份有限公司 | 保护当前系统免受网络攻击的方法 |
| CN109299135A (zh) * | 2018-11-26 | 2019-02-01 | 平安科技(深圳)有限公司 | 基于识别模型的异常查询识别方法、识别设备及介质 |
| WO2020210976A1 (en) * | 2019-04-16 | 2020-10-22 | Beijing Didi Infinity Technology And Development Co., Ltd. | System and method for detecting anomaly |
| CN110071941B (zh) * | 2019-05-08 | 2021-10-29 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| CN111831709A (zh) * | 2019-07-01 | 2020-10-27 | 烟台中科网络技术研究所 | 一种app域名核验方法 |
| CN110298178B (zh) * | 2019-07-05 | 2021-07-27 | 北京可信华泰信息技术有限公司 | 可信策略学习方法及装置、可信安全管理平台 |
| CN110321711B (zh) * | 2019-07-05 | 2021-01-29 | 杭州安恒信息技术股份有限公司 | 检测应用服务器sql注入点的方法及系统 |
| CN110427971A (zh) * | 2019-07-05 | 2019-11-08 | 五八有限公司 | 用户及ip的识别方法、装置、服务器和存储介质 |
| CN112565164B (zh) * | 2019-09-26 | 2023-07-25 | 中国电信股份有限公司 | 危险ip的识别方法、装置和计算机可读存储介质 |
| CN110708339B (zh) * | 2019-11-06 | 2021-06-22 | 四川长虹电器股份有限公司 | 一种基于web日志的关联分析方法 |
| CN110933080B (zh) * | 2019-11-29 | 2021-10-26 | 上海观安信息技术股份有限公司 | 一种用户登录异常的ip群体识别方法及装置 |
| CN110955544A (zh) * | 2019-12-18 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种web系统的可用性检测方法、装置及系统 |
| CN111147944B (zh) * | 2019-12-26 | 2021-11-09 | 广州易方信息科技股份有限公司 | 一种基于大数据日志分析的点播侵权风险发现方法 |
| CN112165466B (zh) * | 2020-09-16 | 2022-06-17 | 杭州安恒信息技术股份有限公司 | 一种误报识别的方法、装置、电子装置和存储介质 |
| CN112188291B (zh) * | 2020-09-24 | 2022-11-29 | 北京明略昭辉科技有限公司 | 广告位异常的识别方法和装置 |
| CN114666391B (zh) * | 2020-12-03 | 2023-09-19 | 中国移动通信集团广东有限公司 | 访问轨迹确定方法、装置、设备及存储介质 |
| CN113507455B (zh) * | 2021-06-25 | 2022-06-24 | 湖州瑞云信息科技有限公司 | 基于大数据的网络安全检测方法及系统 |
| CN113923019B (zh) * | 2021-10-09 | 2023-07-21 | 天翼物联科技有限公司 | 物联网系统安全防护方法、装置、设备及介质 |
| CN114285639B (zh) * | 2021-12-24 | 2023-11-24 | 云盾智慧安全科技有限公司 | 一种网站安全防护方法及装置 |
| CN116633594B (zh) * | 2023-04-18 | 2024-02-27 | 上海亿阁科技有限公司 | Flamingo网关安全系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN103138986A (zh) * | 2013-01-09 | 2013-06-05 | 天津大学 | 一种基于可视分析的网站异常访问行为的检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209030A1 (en) * | 2007-02-28 | 2008-08-28 | Microsoft Corporation | Mining Web Logs to Debug Wide-Area Connectivity Problems |
-
2013
- 2013-06-06 CN CN201310222685.XA patent/CN103297435B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN103138986A (zh) * | 2013-01-09 | 2013-06-05 | 天津大学 | 一种基于可视分析的网站异常访问行为的检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 《基于数据挖掘的Web服务器攻击检测》;吴淼;《信息安全与通信保密》;20091231(第12期);全文 * |
| 《基于统计异常的Web应用入侵检测模型研究》;周勇禄;《计算机安全》;20120531(第5期);全文 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2724713C1 (ru) * | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103297435A (zh) | 2013-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103297435B (zh) | 一种基于web日志的异常访问行为检测方法与系统 | |
| US11848760B2 (en) | Malware data clustering | |
| CN105072089B (zh) | 一种web恶意扫描行为异常检测方法与系统 | |
| CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
| CN101971591B (zh) | 分析网址的系统及方法 | |
| US10404731B2 (en) | Method and device for detecting website attack | |
| CN103546326B (zh) | 一种网站流量统计的方法 | |
| CN110708339B (zh) | 一种基于web日志的关联分析方法 | |
| CN110855648B (zh) | 一种网络攻击的预警控制方法及装置 | |
| CN107437026B (zh) | 一种基于广告网络拓扑的恶意网页广告检测方法 | |
| CN108829715A (zh) | 用于检测异常数据的方法、设备和计算机可读存储介质 | |
| CN103218431A (zh) | 一种能识别网页信息自动采集的系统与方法 | |
| CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
| CN112989348B (zh) | 攻击检测方法、模型训练方法、装置、服务器及存储介质 | |
| US10467255B2 (en) | Methods and systems for analyzing reading logs and documents thereof | |
| CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
| RU2659482C1 (ru) | Способ защиты веб-приложений при помощи интеллектуального сетевого экрана с использованием автоматического построения моделей приложений | |
| Li et al. | Application of hidden Markov model in SQL injection detection | |
| CN106528805A (zh) | 基于用户的移动互联网恶意程序url智能分析挖掘方法 | |
| CN116159310A (zh) | 数据处理方法、装置、电子设备以及存储介质 | |
| CN111431883A (zh) | 一种基于访问参数的web攻击检测方法及装置 | |
| KR20120090131A (ko) | 검색결과 제공 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
| CN111581533B (zh) | 目标对象的状态识别方法、装置、电子设备和存储介质 | |
| CN108664489B (zh) | 网站内容监控方法和装置 | |
| CN113612765B (zh) | 一种网站检测方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |