CN108449342A - 恶意请求检测方法及装置 - Google Patents
恶意请求检测方法及装置 Download PDFInfo
- Publication number
- CN108449342A CN108449342A CN201810228094.6A CN201810228094A CN108449342A CN 108449342 A CN108449342 A CN 108449342A CN 201810228094 A CN201810228094 A CN 201810228094A CN 108449342 A CN108449342 A CN 108449342A
- Authority
- CN
- China
- Prior art keywords
- behavior
- sample
- request
- detection model
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供的恶意请求检测方法及装置,获取目标日志数据,所述目标日志数据为任一请求行为产生的日志数据;利用预置的请求检测模型获取与所述目标日志数据相匹配的预测结果;其中,所述请求检测模型为,以标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;所述历史日志数据为历史请求行为产生的日志数据;根据所述预测结果确定所述任一请求行为是否为恶意请求行为,得到检测结果。本发明能够利用请求检测模型自动挖掘恶意请求行为中包含的数据特征,无需通过人工的方式开发和维护检测规则,降低了人工成本与工具接入难度,提高对潜在攻击行为的防御能力,解决了传统防护手段实施成本较高且有效性较差的问题。
Description
技术领域
本发明涉及信息检测与处理领域,更具体的说,涉及恶意请求检测方法及装置。
背景技术
目前大型WEB应用服务中,经常会遭遇到暴力攻击行为,例如比较常见的DoS(Denial of Service)攻击、DDoS(Distributed Denial of Service)攻击、恶意刷票、穷举密码破解等行为,不仅影响服务的正常运行和使用,降低可用性,而且还会使服务的安全性面临威胁。
WAF(Web Application Firewall)是比较常见的用于解决上述问题的工具,主要针对特定的入侵方式进行防护,防护手段一般通过配置名单或规则进行实现。例如,ModSecurity是一款比较常用的入侵检测防护引擎,对于恶意请求攻击,通过配置核心规则集(OWASP CRS)与第三方IP黑名单进行过滤和防护,可以作为WEB服务器的模块来运行。ModSecurity所采用的核心规则集OWASP CRS是一套由安全社区的志愿者进行开发和维护的规则,通过文本匹配的方式起到防止攻击的作用。但是,类似ModSecurity类型的工具,尽管可以通过规则匹配的方式对多种攻击方式进行防御,但是规则的开发和维护是由社区志愿者完成的,成本相对较高,这也造成了工具接入WEB服务时,开发人员需要支付一定的时间成本学习工具与规则集的使用方式,降低了系统的开发和维护的效率。随着技术的发展,新的攻击方式也在不断出现,规则集本身无法发现潜在的威胁,需要通过人工的方式进行扩充,当工具无法及时发现新的恶意攻击方式时,WEB服务的可用性就会收到影响。
所以,目前迫切需要一种更加切实有效的恶意请求检测方案,以进一步保证WEB应用服务的安全性与可用性。
发明内容
有鉴于此,本发明提供了一种恶意请求检测方法及装置,以解决现有的防护手段实施成本较高且有效性较差的技术问题。
为实现上述目的,本发明提供如下技术方案:
一种恶意请求检测方法,包括:
获取目标日志数据,所述目标日志数据为任一请求行为产生的日志数据;
利用预置的请求检测模型,获取与所述目标日志数据相匹配的预测结果;
其中,所述请求检测模型为,以标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;所述历史日志数据为历史请求行为产生的日志数据;
根据所述预测结果,确定所述任一请求行为是否为恶意请求行为,得到检测结果。
优选的,所述请求检测模型包括正常请求检测模型与恶意请求检测模型;
所述正常请求检测模型为,以根据第一标记规则标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;
所述恶意请求检测模型为,以根据第二标记规则标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;
其中,所述第一标记规则为:将IP白名单对应的历史请求行为产生的日志数据,标记为正样本;将非IP白名单对应的历史请求行为产生的日志数据,标记为负样本;
所述第二标记规则为:将IP黑名单对应的历史请求行为产生的日志数据,标记为正样本;将非IP黑名单对应的历史请求行为产生的日志数据标记为负样本。
优选的,所述利用预置的请求检测模型,获取与所述目标日志数据相匹配的预测结果包括:
利用所述正常请求检测模型,获取所述目标日志数据属于正常请求行为的第一概率值;
利用所述恶意请求检测模型,所述目标日志数据属于恶意请求行为的第二概率值;
根据所述第一概率值与所述第二概率值,获取所述目标日志数据属于恶意请求行为综合概率值,作为预测结果。
优选的,所述根据所述预测结果,确定所述任一请求行为是否为恶意请求行为,得到检测结果包括:
当所述综合概率值符合预设阈值条件时,确定所述任一请求行为为恶意请求行为。
优选的,所述方法还包括:
采用梯度提升决策树GBDT算法,训练请求检测模型。
优选的,所述采用梯度提升决策树GBDT算法,训练请求检测模型包括:
获取标记有样本类别的历史日志数据,作为训练样本;
根据各训练样本的样本类别,初始化各训练样本的估值函数;
以迭代的方式,采用logistic函数对所有训练样本的估值函数进行变换,获取各训练样本在不同样本类别上的预测概率以及所述预测概率的梯度;
在每一次迭代过程中,根据所述梯度构建分类树,根据所述分类树中各叶子节点包含的训练样本在不同样本类别上的预测概率的梯度,分别计算各叶子节点的预测概率增益值,利用各叶子节点的预测概率增益值,分别调整各叶子节点包含的训练样本的估值函数;
当迭代过程满足预设迭代终止条件时,获得训练好的请求检测模型。
优选的,所述根据各训练样本的样本类别,初始化各训练样本的估值函数包括:
将样本类别为正样本的训练样本的估值函数的值初始化为第一预设值;
将样本类别为负样本的训练样本的估值函数的值初始化为第二预设值。
优选的,所述根据所述梯度构建分类树包括:
针对正样本与负样本,沿着所述梯度的方向分别构建分类树;
其中,以递归的方式,利用最优特征在分类树的每一层上进行分裂,直至分裂过程达到分类树的预设深度,得到左子树与右子树。
优选的,所述方法还包括:
动态更新用于训练所述请求检测模型的训练样本;
根据更新后的训练样本,动态训练所述请求检测模型。
一种恶意请求检测装置,包括:
日志数据获取单元,用于获取目标日志数据,所述目标日志数据为任一请求行为产生的日志数据;
预测结果获取单元,用于利用预置的请求检测模型,获取与所述目标日志数据相匹配的预测结果;
其中,所述请求检测模型为,以标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;所述历史日志数据为历史请求行为产生的日志数据;
检测结果确定单元,用于根据所述预测结果,确定所述任一请求行为是否为恶意请求行为,得到检测结果。
从上述的技术方案可以看出,本发明提供的恶意请求检测方法及装置,获取请求行为产生的目标日志数据,并利用以标记有样本类别的历史日志数据作为训练样本训练得到的请求检测模型,获取与所述目标日志数据相匹配的预测结果,能够自动挖掘恶意请求行为中包含的数据特征,根据预测结果发现潜在的恶意请求行为,无需通过人工的方式开发和维护检测规则,降低了人工成本与工具接入难度,提高WEB服务对潜在攻击行为的防御能力,解决了传统防护手段实施成本较高且有效性较差的技术问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的恶意请求检测方法的一种流程图;
图2为本申请实施例提供的恶意请求检测方法的另一种流程图;
图3为本申请实施例提供的请求检测模型训练过程的流程图;
图4为本申请实施例提供的恶意请求检测装置的一种结构示意图;
图5为本申请实施例提供的恶意请求检测装置的另一种结构示意图;
图6为本申请实施例提供的恶意请求检测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1为本申请实施例提供的恶意请求检测方法的一种流程图。
如图1所示,所述方法包括:
S101:获取目标日志数据。
所述目标日志数据为任一请求行为产生的日志数据。在实际应用中,可采用流处理的方式,按照预设时间周期(例如,10秒、20秒或其他值),收集来自数据通道(kafka数据通道)中的日志内容,并作为一个数据批次,再对该数据批次中的日志内容进行解析,以获得相应的日志数据。
其中,Kafka是由Apache软件基金会开发的一个开源流处理平台,可以处理消费者规模的网站中的所有动作流数据。
在针对日志内容进行解析的过程中,可以先判断日志内容是否符合预设日志格式(例如,判断日志中的字段信息是否完整),若日志内容符合预设日志格式,则认为日志内容的格式正确,可用于进行后续的解析处理;否则,认为日志内容不正确,不可用于进行后续的解析处理,并直接做丢弃处理。
一示例中,预设日志格式可定义如下:
[$http_x_forwarded_for,$remote_addr]-[$time_local]-[$host]-[$request]-[$status]-[$body_bytes_sent]-[$request_time]-[$http_referer]-[$http_user_agent]。
对于符合预设日志格式的日志内容,可采用正则表达式对各个字段的内容进行验证,并对各个字段的内容进行正则化处理,得到相应的日志数据。日志数据可采用特征字段集合的形式进行表示,并存储到数据库或文件中。
实际上,日志数据就是针对日志内容进行解析后而得到的请求行为的特征数据,而正则化处理可以保证特征数据的一致性。例如,对于日志数据“Chrome”与“chrome”,若不将两者正则化处理为“chrome”,则会导致“Chrome”与“chrome”被当做不同的特征来对待,导致特征数据的一致性较差,进而影响请求行为的检测。
对于符合前述典型的日志格式的日志内容,可以提取的部分特征字段及其含义,具体如下表1所示:
表1日志数据示例
在实际应用中,可根据不同的自定义日志格式,在日志中加入地理位置信息、请求域名、请求接口、请求时间等其他特征字段。
在一示例中,当请求行为产生的日志内容不符合预设日志格式时,也可以直接将该请求行为判定为恶意请求行为,并对发起该请求行为的IP地址做出限制或封禁。
S102:利用预置的请求检测模型,获取与所述目标日志数据相匹配的预测结果。
所述请求检测模型为,以标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型。其中,样本类别主要包括正样本与负样本。
所述历史日志数据为历史请求行为产生的日志数据。根据历史请求行为是正常请求行为还是恶意请求行为,可以对历史请求行为产生的历史日志数据进行样本类别的标记。例如,将正常请求行为产生的日志数据标记为正样本,将恶意请求行为产生的日志数据标记为负样本。当然,也可以根据具体需求,采用其他标记规则对历史日志数据进行样本类别的标记。
以标记有样本类别的历史日志数据作为训练样本,训练得到的请求检测模型,能够根据目标日志数据来预测产生目标日志数据的请求行为与恶意请求行为之间的相关度,进而为恶意请求的检测提供依据。
在一示例中,利用预置的请求检测模型,可以获取与所述目标日志数据相匹配的预测概率;其中,所述预测概率为,产生所述目标日志数据的请求行为属于恶意请求行为的概率。
S103:根据所述预测结果,确定所述任一请求行为是否为恶意请求行为,得到检测结果。
所述任一请求行为就是指产生所述目标日志数据的请求行为。与所述目标日志数据相匹配的预测结果,表征了所述任一请求行为与恶意请求行为之间的相关度,由此便可以确定出所述任一请求行为是否为恶意请求行为,得到最终的检测结果。
本实施例提供的恶意请求检测方法,获取请求行为产生的目标日志数据,并利用以标记有样本类别的历史日志数据作为训练样本训练得到的请求检测模型,获取与所述目标日志数据相匹配的预测结果,能够自动挖掘恶意请求行为中包含的数据特征,根据预测结果发现潜在的恶意请求行为,无需通过人工的方式开发和维护检测规则,降低了人工成本与工具接入难度,提高WEB服务对潜在攻击行为的防御能力,解决了传统防护手段实施成本较高且有效性较差的技术问题。
请参阅图2,图2为本申请实施例提供的恶意请求检测方法的另一种流程图。
在本实施例中,请求检测模型可包括正常请求检测模型与恶意请求检测模型,即,本实施例的恶意请求检测方法可基于两个不同的请求检测模型来共同实现。如图2所示,所述方法包括:
S201:获取目标日志数据。
所述目标日志数据为任一请求行为产生的日志数据。
S202:利用所述正常请求检测模型,获取所述目标日志数据属于正常请求行为的第一概率值。
所述正常请求检测模型为,以根据第一标记规则标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型。
所述第一标记规则为:将IP白名单对应的历史请求行为产生的日志数据,标记为正样本;将非IP白名单对应的历史请求行为产生的日志数据,标记为负样本。
其中,IP白名单对应的历史请求行为,是指来自于IP白名单中任一IP地址的历史请求行为,也就是说,发起该历史请求行为的IP地址在IP白名单中;而非IP白名单对应的历史请求行为,是指来自于非IP白名单中任一IP地址的历史请求行为,也就是说,发起该历史请求行为的IP地址不在IP白名单中。
IP白名单中任一IP地址发起的请求行,必然视为正常请求行为;而非IP白名单中任一IP地址发起的请求行为,并不一定为正常请求行为。
一示例中,正常请求模型的训练样本可如下表2所示:
表2正常请求模型的训练样本示例
| Label | userAgent | agent | status | bodyBytesSent | RequestTime | uv |
| true | chrome | mobile | 1 | 3.840 | 1.621 | 1 |
| false | ie | pc | 2 | 0.021 | 1.012 | 0 |
表2中,Label为样本类别字段,true表示正样本,false表示负样本,其他字段含义可参考前述表1中的内容。
S203:利用所述恶意请求检测模型,所述目标日志数据属于恶意请求行为的第二概率值。
所述恶意请求检测模型为,以根据第二标记规则标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型。
所述第二标记规则为:将IP黑名单对应的历史请求行为产生的日志数据,标记为正样本;将非IP黑名单对应的历史请求行为产生的日志数据标记为负样本。
其中,IP黑名单对应的历史请求行为,是指来自于IP黑名单中任一IP地址的历史请求行为,也就是说,发起该历史请求行为的IP地址在IP黑名单中;而非IP黑名单对应的历史请求行为,是指来自于非IP黑名单中任一IP地址的历史请求行为,也就是说,发起该历史请求行为的IP地址不在IP黑名单中。
可选的,IP黑名单中包括访问发起频率超过预设访问频率阈值的IP地址。
IP黑名单中任一IP地址发起的请求行,必然视为恶意请求行为;而非IP黑名单中任一IP地址发起的请求行为,并不一定为恶意请求行为。
一示例中,恶意请求模型的训练样本可如下表3所示:
表3恶意请求模型的训练样本示例
| Label | userAgent | agent | status | bodyBytesSent | RequestTime | uv |
| true | chrome | mobile | 1 | 3.840 | 1.621 | 1 |
| false | ie | pc | 2 | 0.021 | 1.012 | 0 |
表3中,Label为样本类别字段,true表示正样本,false表示负样本,其他字段含义可参考前述表1中的内容。
一示例中,无论是正常请求模型的训练样本,还是恶意请求模型的训练样本,都要保证正样本与负样本的数量平衡,例如,正样本数量与负样本数量的比值预设为1:1。
S204:根据所述第一概率值与所述第二概率值,获取所述目标日志数据属于恶意请求行为综合概率值,作为预测结果。
一示例中,可采用以下公式来获取所述目标日志数据属于恶意请求行为综合概率值P:
P=P1k×(1-P2)(1-k);
其中,P1为第一概率值,P2为第二概率值,k为预设的影响因子,0≤k≤1。k值可根据恶意请求检测的严格程度来确定,例如,严格程度越高,预设的k值越小;严格程度越低,预设的k值越大。具体地,当恶意请求检测较严格时,可将k值具体设置为0.4。
S205:当所述综合概率值符合预设阈值条件时,确定所述任一请求行为为恶意请求行为。
当所述综合概率值符合预设阈值条件时,确定所述任一请求行为为恶意请求行为;相应的,当所述综合概率值不符合预设阈值条件时,确定所述任一请求行为为正常请求行为。
一示例中,当所述综合概率值符合预设阈值条件时,确定所述任一请求行为为恶意请求行为包括:
当所述综合概率值小于预设概率阈值时,确定所述任一请求行为为恶意请求行为;当所述综合概率值不小于预设概率阈值时,确定所述任一请求行为为正常请求行为;
或者,
当所述综合概率值不大于预设概率阈值时,确定所述任一请求行为为恶意请求行为;当所述综合概率值大于预设概率阈值时,确定所述任一请求行为为正常请求行为。
一示例中,当所述任一请求行为为恶意请求行为时,还可对发起所述任一请求行为的IP地址做出限制或封禁处理。
本实施例提供的恶意请求检测方法,获取请求行为产生的目标日志数据,并分别利用正常请求检测模型与恶意请求检测模型,分别获取与所述目标日志数据相匹配的第一预测概率与第二预测概率,能够有针对性地挖掘出正常请求行为与恶意请求行为中分别包含的数据特征,并结合两个模型给出的所述第一概率值与所述第二概率值,共同确定产生的目标日志数据的请求行为是否为恶意请求行为,提高了恶意请求检测的精准性,进一步提高了WEB服务对潜在攻击行为的防御能力。
本申请实施例提供的恶意请求检测方法中,还可以包括所述请求检测模型的训练过程,其中,可采用梯度提升决策树GBDT(Gradient Boosting Decison Tree)算法训练请求检测模型,当然,本发明也可采用其他机器学习算法训练请求检测模型,在此不做限制。
请参阅图3,图3为本申请实施例提供的请求检测模型训练过程的流程图。
本实施例以采用GBDT算法训练请求检测模型为例,来描述请求检测模型的训练过程。如图3所示,所述请求检测模型训练过程包括:
S301:获取标记有样本类别的历史日志数据,作为训练样本。
一示例中,可先获取历史日志数据,再对获取到的历史日志数据进行随机抽样以及样本类型标记,最后将标记有样本类别的历史日志数据,作为训练样本。
可选的,所述训练样本中正样本与负样本的数量平衡。
其中,获取历史日志数据的方法,可参考前述实施例中获取目标日志数据的技术内容;所述标记有样本类别的历史日志数据,可参考前述实施例中的表2、表3所示的训练样本示例。
S302:根据各训练样本的样本类别,初始化各训练样本的估值函数。
训练样本的估值函数用于反映训练样本的样本类别概率。
一示例中,将样本类别(Label)为正样本(ture)的训练样本的估值函数的值,初始化为第一预设值,例如“1”;将样本类别(Label)为负样本(false)的训练样本的估值函数的值,初始化为第二预设值,例如“0”。具体可如下所示:
其中,x为训练样本,C(x)为训练样本x的样本类别,true表示正样本,false表示负样本,F(x)为样本x的估值函数。
S303:以迭代的方式,采用logistic函数对所有训练样本的估值函数进行变换,获取各训练样本在不同样本类别上的预测概率以及所述预测概率的梯度,并根据所述梯度构建分类树。
其中,训练样本在不同样本类别上的预测概率的梯度为,所述训练样本在不同样本类别上的真实概率与预测概率的残差,而所述训练样本在不同样本类别上的真实概率,即为所述训练样本的估值函数的值。
在每一次迭代过程中,根据所述梯度构建分类树,根据所述分类树中各叶子节点包含的训练样本在不同样本类别上的预测概率的梯度,分别计算各叶子节点的预测概率增益值,利用各叶子节点的预测概率增益值,分别调整各叶子节点包含的训练样本的估值函数。
一示例中,根据所述梯度构建分类树包括:针对正样本与负样本,沿着所述梯度的方向分别构建分类树。其中,以递归的方式,利用最优特征在分类树的每一层上进行分裂,直至分裂过程达到分类树的预设深度(如最大深度),得到左子树与右子树。
所述最优特征为,使所述左子树中包含的训练样本的残差(预测概率的梯度)均方差,与,所述右子树中包含的训练样本的残差(预测概率的梯度)均方差之和最小的特征。其中,对于数值型特征,可以通过比较数值的大小来进行分裂;对于字符串型特征,可以通过比较是否为目标字符串来进行分裂。
一示例中,利用各叶子节点的预测概率增益值,分别调整各叶子节点包含的训练样本的估值函数包括:将各叶子节点的预测概率增益值分别叠加到各叶子节点包含的训练样本的估值函数上。
在具体实施过程中,每一轮迭代过程中都会针对不同样本类别的重新构建一颗分类树,使得最终得到的分类树的数量等于迭代次数与样本类别数量的乘积。
S304:当迭代过程满足预设迭代终止条件时,获得训练好的请求检测模型。
当迭代过程满足预设迭代终止条件时,获得训练好的请求检测模型;否则,重新执行步骤S303中的迭代过程。
一示例中,迭代过程满足预设迭代终止条件,可以包括:当前迭代次数达到预先设定的最大迭代次数。在其他示例中,也可以预设其他的迭代终止条件来终止上述迭代过程。
本实施提供的请求检测模型训练过程,采用梯度提升决策树GBDT算法来实现,相比于其他机器学习模型,例如相比回归模型,GBDT算法训练的请求检测模型,能够更准确地处理请见检测场景下的非线性特征,例如,用户代理类型、代理类型等等。其中,当请求检测模型包括正常请求检测模型与恶意请求检测模型时,采用梯度提升决策树GBDT算法分别训练正常请求检测模型与恶意请求检测模型,使正常请求检测模型与恶意请求检测模型的训练相互独立。
采用梯度提升决策树GBDT算法来训练请求检测模型,相比于其他机器学习算法,训练速度更快,可以做到模型训练流程与模型应用流程的并行处理。相应的,本申请实施例提供的恶意请求检测方法还可以包括:动态更新用于训练所述请求检测模型的训练样本;根据更新后的训练样本,动态训练所述请求检测模型。
一示例中,基于对IP白名单与IP黑名单动态调整,使得用于训练所述请求检测模型的训练样本可以随之动态变化,所以,可以根据更新后的训练样本,动态训练所述请求检测模型,从而使得请求检测模型能够适应恶意请求行为的变化。并且,采用动态调整的策略,在检测的同时实现请求行为特征的动态采集,可快速捕获和限制新型攻击方式。
本发明实施例还提供了恶意请求检测装置,所述恶意请求检测装置用于实现本发明实施例提供的恶意请求检测方法,下文描述的恶意请求检测装置内容,可与上文描述的恶意请求检测方法内容相互对应参照。
请参阅图4,图4为本申请实施例提供的恶意请求检测装置的一种结构示意图。
如图4所示,所述装置包括:
日志数据获取单元100,用于获取目标日志数据,所述目标日志数据为任一请求行为产生的日志数据;
预测结果获取单元200,用于利用预置的请求检测模型,获取与所述目标日志数据相匹配的预测结果;
其中,所述请求检测模型为,以标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;所述历史日志数据为历史请求行为产生的日志数据;
检测结果确定单元300,用于根据所述预测结果,确定所述任一请求行为是否为恶意请求行为,得到检测结果。
本实施例提供的恶意请求检测装置,获取请求行为产生的目标日志数据,并利用以标记有样本类别的历史日志数据作为训练样本训练得到的请求检测模型,获取与所述目标日志数据相匹配的预测结果,能够自动挖掘恶意请求行为中包含的数据特征,根据预测结果发现潜在的恶意请求行为,无需通过人工的方式开发和维护检测规则,降低了人工成本与工具接入难度,提高WEB服务对潜在攻击行为的防御能力,解决了传统防护手段实施成本较高且有效性较差的技术问题。
在另一实施例中,请求检测模型可包括正常请求检测模型与恶意请求检测模型,即,本实施例的恶意请求检测方法可基于两个不同的请求检测模型来共同实现。
在该实施例中,所述正常请求检测模型为,以根据第一标记规则标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;
所述恶意请求检测模型为,以根据第二标记规则标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;
其中,所述第一标记规则为:将IP白名单对应的历史请求行为产生的日志数据,标记为正样本;将非IP白名单对应的历史请求行为产生的日志数据,标记为负样本;
所述第二标记规则为:将IP黑名单对应的历史请求行为产生的日志数据,标记为正样本;将非IP黑名单对应的历史请求行为产生的日志数据标记为负样本。
相应的,所述预测结果获取单元200具体用于:
利用所述正常请求检测模型,获取所述目标日志数据属于正常请求行为的第一概率值;
利用所述恶意请求检测模型,所述目标日志数据属于恶意请求行为的第二概率值;
根据所述第一概率值与所述第二概率值,获取所述目标日志数据属于恶意请求行为综合概率值,作为预测结果。
一示例中,所述检测结果确定单元300具体用于:
当所述综合概率值符合预设阈值条件时,确定所述任一请求行为为恶意请求行为。
本实施例提供的恶意请求检测装置,获取请求行为产生的目标日志数据,并分别利用正常请求检测模型与恶意请求检测模型,分别获取与所述目标日志数据相匹配的第一预测概率与第二预测概率,能够有针对性地挖掘出正常请求行为与恶意请求行为中分别包含的数据特征,并结合两个模型给出的所述第一概率值与所述第二概率值,共同确定产生的目标日志数据的请求行为是否为恶意请求行为,提高了恶意请求检测的精准性,进一步提高了WEB服务对潜在攻击行为的防御能力。
请参阅图5,图5为本申请实施例提供的恶意请求检测装置的另一种结构示意图。
如图5所示,所述装置除了包括前述实施例中的日志数据获取单元100、预测结果获取单元200、检测结果确定单元300之外,还包括检测模型训练单元400。
所述检测模型训练单元400,用于采用梯度提升决策树GBDT算法,训练请求检测模型。
其中,所述检测模型训练单元400采用梯度提升决策树GBDT算法训练请求检测模型的具体过程,可参考前述方法实施例中的请求检测模型训练过程,在此不再赘述。
本实施提供的恶意请求检测装置,利用检测模型训练单元采用梯度提升决策树GBDT算法来训练请求检测模型,相比于其他机器学习模型,例如相比回归模型,GBDT算法训练的请求检测模型,能够更准确地处理请见检测场景下的非线性特征;并且,相比于其他机器学习算法,采用梯度提升决策树GBDT算法来训练请求检测模型,训练速度更快,可以做到模型训练流程与模型应用流程的并行处理。
请参阅图6,图6为本申请实施例提供的恶意请求检测系统的结构示意图。
如图6所示,所述系统在结构上包括4个模块,分别为日志采集模块10、特征抽取模块20、模型构建模块30与异常检查模块40。
日志采集模块10,用于采用流处理的方式,按照预设时间周期,收集来自数据通道中的日志内容,并对日志内容进行初步解析,判定日志内容是否符合预设日志格式。
特征抽取模块20,用于进一步解析日志内容,采用正则表达式对日志内容中各个字段的内容进行验证,并对各个字段的内容进行正则化处理,得到相应的日志数据,并将日志数据采用特征字段集合的形式进行表示,存储到数据库或文件中。
模型构建模块30,用于根据IP白名单和IP黑名单,将历史日志数据分别标记为正样本与负样本,作为模型的输入,通过梯度提升决策树GBDT算法训练得到请求检测模型,存储在数据库或文件中。
异常检查模块40,用于从数据库或文件中读取模型构建模块203构建得到的请求检测模型,根据请求检测模型分析日志数据中包含的请求行为特征,判定该日志数据是否为恶意请求行为产生的日志,当判定结果为“是”时,对该日志数据对应的IP地址发起的请求行为做出限制或封禁。
所述系统在运行过程中包括两个流程,分别为模型训练流程与模型应用流程。
在模型训练流程中,通过日志采集模块10与特征抽取模块20获取日志数据,并将获取到的日志数据交由模型构建模块30,通过模型构建模块30根据日志采集模块10获取到的日志数据,构建请求检测模型。
在模型应用流程中,日志采集模块10和特征抽取模20负责的任务与模型训练流程中相似,两者的区别在于,模型应用流程中通过日志采集模块10与特征抽取模块20获取到的日志数据,并不交由模型构建模块30进行模型构建,而是交由异常检查模块40,通过异常检查模块40利用模型构建模块30构建的请求检测模型,判定该日志数据是否为恶意请求行为产生的日志。
本申请实施例提供的恶意请求检测系统中,恶意请求的检测策略由机器自动学习得到,学习过程相比人工定义规则更为简单高效,能够有效降低策略的开发与维护成本;检测策略的使用相对简单,处理逻辑和规则由学习到的模型自动完成,无需开发人员学习相关内容,可以使开发人员可以更专注于业务逻辑的实现;检测模型与策略的生成可以做到自动化的动态调整,当攻击者调整攻击方式时,可以快速捕获新型攻击方式的特征,提高WEB服务对潜在攻击行为的防御能力。
最后,还需要说明的是,在本文中,诸如第一和第一等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式来实现。基于这样的理解,本申请的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种恶意请求检测方法,其特征在于,包括:
获取目标日志数据,所述目标日志数据为任一请求行为产生的日志数据;
利用预置的请求检测模型,获取与所述目标日志数据相匹配的预测结果;
其中,所述请求检测模型为,以标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;所述历史日志数据为历史请求行为产生的日志数据;
根据所述预测结果,确定所述任一请求行为是否为恶意请求行为,得到检测结果。
2.如权利要求1所述的方法,其特征在于,所述请求检测模型包括正常请求检测模型与恶意请求检测模型;
所述正常请求检测模型为,以根据第一标记规则标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;
所述恶意请求检测模型为,以根据第二标记规则标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;
其中,所述第一标记规则为:将IP白名单对应的历史请求行为产生的日志数据,标记为正样本;将非IP白名单对应的历史请求行为产生的日志数据,标记为负样本;
所述第二标记规则为:将IP黑名单对应的历史请求行为产生的日志数据,标记为正样本;将非IP黑名单对应的历史请求行为产生的日志数据标记为负样本。
3.如权利要求2所述的方法,其特征在于,所述利用预置的请求检测模型,获取与所述目标日志数据相匹配的预测结果包括:
利用所述正常请求检测模型,获取所述目标日志数据属于正常请求行为的第一概率值;
利用所述恶意请求检测模型,所述目标日志数据属于恶意请求行为的第二概率值;
根据所述第一概率值与所述第二概率值,获取所述目标日志数据属于恶意请求行为综合概率值,作为预测结果。
4.如权利要求3所述的方法,其特征在于,所述根据所述预测结果,确定所述任一请求行为是否为恶意请求行为,得到检测结果包括:
当所述综合概率值符合预设阈值条件时,确定所述任一请求行为为恶意请求行为。
5.如权利要求1-4任一项所述的方法,其特征在于,还包括:
采用梯度提升决策树GBDT算法,训练请求检测模型。
6.如权利要求5所述的方法,其特征在于,所述采用梯度提升决策树GBDT算法,训练请求检测模型包括:
获取标记有样本类别的历史日志数据,作为训练样本;
根据各训练样本的样本类别,初始化各训练样本的估值函数;
以迭代的方式,采用logistic函数对所有训练样本的估值函数进行变换,获取各训练样本在不同样本类别上的预测概率以及所述预测概率的梯度;
在每一次迭代过程中,根据所述梯度构建分类树,根据所述分类树中各叶子节点包含的训练样本在不同样本类别上的预测概率的梯度,分别计算各叶子节点的预测概率增益值,利用各叶子节点的预测概率增益值,分别调整各叶子节点包含的训练样本的估值函数;
当迭代过程满足预设迭代终止条件时,获得训练好的请求检测模型。
7.如权利要求6所述的方法,其特征在于,所述根据各训练样本的样本类别,初始化各训练样本的估值函数包括:
将样本类别为正样本的训练样本的估值函数的值初始化为第一预设值;
将样本类别为负样本的训练样本的估值函数的值初始化为第二预设值。
8.如权利要求6所述的方法,其特征在于,所述根据所述梯度构建分类树包括:
针对正样本与负样本,沿着所述梯度的方向分别构建分类树;
其中,以递归的方式,利用最优特征在分类树的每一层上进行分裂,直至分裂过程达到分类树的预设深度,得到左子树与右子树。
9.如权利要求1所述的方法,其特征在于,还包括:
动态更新用于训练所述请求检测模型的训练样本;
根据更新后的训练样本,动态训练所述请求检测模型。
10.一种恶意请求检测装置,其特征在于,包括:
日志数据获取单元,用于获取目标日志数据,所述目标日志数据为任一请求行为产生的日志数据;
预测结果获取单元,用于利用预置的请求检测模型,获取与所述目标日志数据相匹配的预测结果;
其中,所述请求检测模型为,以标记有样本类别的历史日志数据作为训练样本,训练得到的机器学习模型;所述历史日志数据为历史请求行为产生的日志数据;
检测结果确定单元,用于根据所述预测结果,确定所述任一请求行为是否为恶意请求行为,得到检测结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810228094.6A CN108449342B (zh) | 2018-03-20 | 2018-03-20 | 恶意请求检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810228094.6A CN108449342B (zh) | 2018-03-20 | 2018-03-20 | 恶意请求检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108449342A true CN108449342A (zh) | 2018-08-24 |
| CN108449342B CN108449342B (zh) | 2020-11-27 |
Family
ID=63195827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810228094.6A Active CN108449342B (zh) | 2018-03-20 | 2018-03-20 | 恶意请求检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108449342B (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965340A (zh) * | 2018-09-25 | 2018-12-07 | 网御安全技术(深圳)有限公司 | 一种工业控制系统入侵检测方法及系统 |
| CN109347827A (zh) * | 2018-10-22 | 2019-02-15 | 东软集团股份有限公司 | 网络攻击行为预测的方法、装置、设备及存储介质 |
| CN109450934A (zh) * | 2018-12-18 | 2019-03-08 | 国家电网有限公司 | 终端接入数据异常检测方法及系统 |
| CN109508542A (zh) * | 2018-10-26 | 2019-03-22 | 国家计算机网络与信息安全管理中心江苏分中心 | 大数据环境下web异常检测方法、系统及服务器 |
| CN109547466A (zh) * | 2018-12-17 | 2019-03-29 | 北京车和家信息技术有限公司 | 基于机器学习提高风险感知能力的方法及装置、计算机设备和存储介质 |
| CN110049039A (zh) * | 2019-04-15 | 2019-07-23 | 哈尔滨工程大学 | 一种基于gbdt的信息中心网络缓存污染检测方法 |
| CN110868382A (zh) * | 2018-12-21 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种基于决策树的网络威胁评估方法、装置及存储介质 |
| CN111131248A (zh) * | 2019-12-24 | 2020-05-08 | 广东电科院能源技术有限责任公司 | 一种网站应用安全缺陷检测模型建模方法及缺陷检测方法 |
| CN111163097A (zh) * | 2019-12-31 | 2020-05-15 | 新浪网技术(中国)有限公司 | 一种Web应用防火墙的实现系统及方法 |
| CN111178537A (zh) * | 2019-12-09 | 2020-05-19 | 华为技术有限公司 | 一种特征提取模型训练方法及设备 |
| CN111199417A (zh) * | 2019-11-29 | 2020-05-26 | 北京深演智能科技股份有限公司 | 虚假设备id的识别方法及装置 |
| CN111240928A (zh) * | 2020-01-06 | 2020-06-05 | 上海闻泰信息技术有限公司 | 设备驱动自动化检测方法、装置、设备及存储介质 |
| CN111371757A (zh) * | 2020-02-25 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 恶意通信检测方法、装置、计算机设备和存储介质 |
| CN111541647A (zh) * | 2020-03-25 | 2020-08-14 | 杭州数梦工场科技有限公司 | 安全检测方法、装置、存储介质及计算机设备 |
| CN111565190A (zh) * | 2020-05-06 | 2020-08-21 | 福建天晴数码有限公司 | 一种服务器过滤请求的方法及装置 |
| CN111756708A (zh) * | 2020-06-09 | 2020-10-09 | 北京天空卫士网络安全技术有限公司 | 一种定向威胁攻击的检测方法和装置 |
| CN111786937A (zh) * | 2020-01-16 | 2020-10-16 | 北京沃东天骏信息技术有限公司 | 用于识别恶意请求的方法和装置 |
| CN112001533A (zh) * | 2020-08-06 | 2020-11-27 | 众安信息技术服务有限公司 | 一种参数的检测方法、装置及计算机系统 |
| CN113190200A (zh) * | 2021-05-10 | 2021-07-30 | 郑州魔王大数据研究院有限公司 | 展会数据安全的防护方法及装置 |
| CN114663121A (zh) * | 2020-12-23 | 2022-06-24 | 华扬联众数字技术股份有限公司 | 用于广告异常流量检测的方法和装置 |
| CN115208938A (zh) * | 2022-07-06 | 2022-10-18 | 中移互联网有限公司 | 用户行为管控方法及装置、计算机可读存储介质 |
| US11997116B2 (en) | 2021-10-13 | 2024-05-28 | Industrial Technology Research Institute | Detection device and detection method for malicious HTTP request |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105373606A (zh) * | 2015-11-11 | 2016-03-02 | 重庆邮电大学 | 一种改进c4.5决策树算法下的不平衡数据抽样方法 |
| CN106203523A (zh) * | 2016-07-17 | 2016-12-07 | 西安电子科技大学 | 基于梯度提升决策树半监督算法融合的高光谱图像分类 |
| CN106357618A (zh) * | 2016-08-26 | 2017-01-25 | 北京奇虎科技有限公司 | 一种Web异常检测方法和装置 |
| CN106982196A (zh) * | 2016-01-19 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 一种异常访问检测方法及设备 |
-
2018
- 2018-03-20 CN CN201810228094.6A patent/CN108449342B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105373606A (zh) * | 2015-11-11 | 2016-03-02 | 重庆邮电大学 | 一种改进c4.5决策树算法下的不平衡数据抽样方法 |
| CN106982196A (zh) * | 2016-01-19 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 一种异常访问检测方法及设备 |
| CN106203523A (zh) * | 2016-07-17 | 2016-12-07 | 西安电子科技大学 | 基于梯度提升决策树半监督算法融合的高光谱图像分类 |
| CN106357618A (zh) * | 2016-08-26 | 2017-01-25 | 北京奇虎科技有限公司 | 一种Web异常检测方法和装置 |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965340A (zh) * | 2018-09-25 | 2018-12-07 | 网御安全技术(深圳)有限公司 | 一种工业控制系统入侵检测方法及系统 |
| CN108965340B (zh) * | 2018-09-25 | 2020-05-05 | 网御安全技术(深圳)有限公司 | 一种工业控制系统入侵检测方法及系统 |
| CN109347827A (zh) * | 2018-10-22 | 2019-02-15 | 东软集团股份有限公司 | 网络攻击行为预测的方法、装置、设备及存储介质 |
| CN109347827B (zh) * | 2018-10-22 | 2021-06-22 | 东软集团股份有限公司 | 网络攻击行为预测的方法、装置、设备及存储介质 |
| CN109508542B (zh) * | 2018-10-26 | 2019-11-22 | 国家计算机网络与信息安全管理中心江苏分中心 | 大数据环境下web异常检测方法、系统及服务器 |
| CN109508542A (zh) * | 2018-10-26 | 2019-03-22 | 国家计算机网络与信息安全管理中心江苏分中心 | 大数据环境下web异常检测方法、系统及服务器 |
| CN109547466A (zh) * | 2018-12-17 | 2019-03-29 | 北京车和家信息技术有限公司 | 基于机器学习提高风险感知能力的方法及装置、计算机设备和存储介质 |
| CN109547466B (zh) * | 2018-12-17 | 2021-11-02 | 北京车和家信息技术有限公司 | 基于机器学习提高风险感知能力的方法及装置、计算机设备和存储介质 |
| CN109450934A (zh) * | 2018-12-18 | 2019-03-08 | 国家电网有限公司 | 终端接入数据异常检测方法及系统 |
| CN110868382A (zh) * | 2018-12-21 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种基于决策树的网络威胁评估方法、装置及存储介质 |
| CN110049039A (zh) * | 2019-04-15 | 2019-07-23 | 哈尔滨工程大学 | 一种基于gbdt的信息中心网络缓存污染检测方法 |
| CN110049039B (zh) * | 2019-04-15 | 2021-09-10 | 哈尔滨工程大学 | 一种基于gbdt的信息中心网络缓存污染检测方法 |
| CN111199417A (zh) * | 2019-11-29 | 2020-05-26 | 北京深演智能科技股份有限公司 | 虚假设备id的识别方法及装置 |
| CN111178537B (zh) * | 2019-12-09 | 2023-11-17 | 华为云计算技术有限公司 | 一种特征提取模型训练方法及设备 |
| CN111178537A (zh) * | 2019-12-09 | 2020-05-19 | 华为技术有限公司 | 一种特征提取模型训练方法及设备 |
| CN111131248A (zh) * | 2019-12-24 | 2020-05-08 | 广东电科院能源技术有限责任公司 | 一种网站应用安全缺陷检测模型建模方法及缺陷检测方法 |
| CN111163097A (zh) * | 2019-12-31 | 2020-05-15 | 新浪网技术(中国)有限公司 | 一种Web应用防火墙的实现系统及方法 |
| CN111240928B (zh) * | 2020-01-06 | 2024-04-09 | 上海闻泰信息技术有限公司 | 设备驱动自动化检测方法、装置、设备及存储介质 |
| CN111240928A (zh) * | 2020-01-06 | 2020-06-05 | 上海闻泰信息技术有限公司 | 设备驱动自动化检测方法、装置、设备及存储介质 |
| CN111786937A (zh) * | 2020-01-16 | 2020-10-16 | 北京沃东天骏信息技术有限公司 | 用于识别恶意请求的方法和装置 |
| CN111371757A (zh) * | 2020-02-25 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 恶意通信检测方法、装置、计算机设备和存储介质 |
| CN111541647A (zh) * | 2020-03-25 | 2020-08-14 | 杭州数梦工场科技有限公司 | 安全检测方法、装置、存储介质及计算机设备 |
| CN111565190A (zh) * | 2020-05-06 | 2020-08-21 | 福建天晴数码有限公司 | 一种服务器过滤请求的方法及装置 |
| CN111756708A (zh) * | 2020-06-09 | 2020-10-09 | 北京天空卫士网络安全技术有限公司 | 一种定向威胁攻击的检测方法和装置 |
| CN111756708B (zh) * | 2020-06-09 | 2022-06-28 | 北京天空卫士网络安全技术有限公司 | 一种定向威胁攻击的检测方法和装置 |
| CN112001533A (zh) * | 2020-08-06 | 2020-11-27 | 众安信息技术服务有限公司 | 一种参数的检测方法、装置及计算机系统 |
| CN114663121A (zh) * | 2020-12-23 | 2022-06-24 | 华扬联众数字技术股份有限公司 | 用于广告异常流量检测的方法和装置 |
| CN113190200A (zh) * | 2021-05-10 | 2021-07-30 | 郑州魔王大数据研究院有限公司 | 展会数据安全的防护方法及装置 |
| US11997116B2 (en) | 2021-10-13 | 2024-05-28 | Industrial Technology Research Institute | Detection device and detection method for malicious HTTP request |
| CN115208938A (zh) * | 2022-07-06 | 2022-10-18 | 中移互联网有限公司 | 用户行为管控方法及装置、计算机可读存储介质 |
| CN115208938B (zh) * | 2022-07-06 | 2023-08-01 | 中移互联网有限公司 | 用户行为管控方法及装置、计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108449342B (zh) | 2020-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108449342A (zh) | 恶意请求检测方法及装置 | |
| CN111428231B (zh) | 基于用户行为的安全处理方法、装置及设备 | |
| CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN103530367B (zh) | 一种钓鱼网站鉴别系统和方法 | |
| Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
| CN109450842A (zh) | 一种基于神经网络的网络恶意行为识别方法 | |
| CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
| CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
| CN110830490B (zh) | 基于带对抗训练深度网络的恶意域名检测方法及系统 | |
| CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
| CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
| CN115270996A (zh) | 一种dga域名检测方法、检测装置及计算机存储介质 | |
| CN110855716B (zh) | 一种面向仿冒域名的自适应安全威胁分析方法及系统 | |
| CN116318924A (zh) | 一种小样本入侵检测方法、系统、介质、设备及终端 | |
| CN113965393B (zh) | 一种基于复杂网络和图神经网络的僵尸网络检测方法 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| He et al. | [Retracted] Research on DoS Traffic Detection Model Based on Random Forest and Multilayer Perceptron | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| CN117892102A (zh) | 基于主动学习的入侵行为检测方法、系统、设备及介质 | |
| CN116886400A (zh) | 一种恶意域名检测方法、系统及介质 | |
| Altuncu et al. | Deep learning based DNS tunneling detection and blocking system | |
| CN112468444B (zh) | 互联网域名滥用识别方法和装置,电子设备,存储介质 | |
| Wang | Botnet Detection via Machine Learning Techniques | |
| Huang | Application of computer data mining technology based on AKN algorithm in denial of service attack defense detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20191219 Address after: 100195 building 1-1 to 3 / F, yard 7, Sijiqing Road, Haidian District, Beijing Applicant after: Beijing yunzhan Technology Co., Ltd Address before: 100190 11, 1101, 3 building, 2 South Road, Haidian District Academy of Sciences, Beijing. Applicant before: Internet Information Service Co., Ltd of Beijing Sohu |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |