CN109040073A - 一种万维网异常行为访问的检测方法、装置、介质和设备 - Google Patents

一种万维网异常行为访问的检测方法、装置、介质和设备 Download PDF

Info

Publication number
CN109040073A
CN109040073A CN201810889834.0A CN201810889834A CN109040073A CN 109040073 A CN109040073 A CN 109040073A CN 201810889834 A CN201810889834 A CN 201810889834A CN 109040073 A CN109040073 A CN 109040073A
Authority
CN
China
Prior art keywords
access path
access
digraph
path
page
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810889834.0A
Other languages
English (en)
Other versions
CN109040073B (zh
Inventor
黑岩
李昀磊
陈方义
王奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201810889834.0A priority Critical patent/CN109040073B/zh
Publication of CN109040073A publication Critical patent/CN109040073A/zh
Application granted granted Critical
Publication of CN109040073B publication Critical patent/CN109040073B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及网络安全领域,尤其涉及一种万维网(WEB,World Wide Web)异常行为访问的检测方法、装置、介质和设备。根据实时接收到的访问日志确定临时业务有向图,与根据历史访问日志确定出的历史业务主干有向图进行比对,确定访问路径中是否存在异常行为访问路径。由于历史业务主干有向图中的访问路径,为将无业务意义冗余路径去除后得到的业务主干路径,从而可以在访问路径发生变化时,有效检测出访问网页后门、绕过验证、水平越权、垂直越权和路径穿越等异常行为访问,相对人工检测,提高WEB异常行为访问检测的速度。

Description

一种万维网异常行为访问的检测方法、装置、介质和设备
技术领域
本发明涉及网络安全领域,尤其涉及一种万维网(WEB,World Wide Web)异常行为访问的检测方法、装置、介质和设备。
背景技术
目前,一些WEB异常行为访问,包括:访问网页后门(Webshell)、绕过验证、水平越权、垂直越权和路径穿越等,这些异常行为访问都对网站业务安全造成了很大的影响,但是通用的Web扫描器很难检测出来,现有的方法主要是依靠人工分析Web访问日志发现异常行为,速度慢,且工作量巨大。
发明内容
本发明实施例提供一种万维网异常行为访问的检测方法、装置、介质和设备,用于提高WEB异常行为访问检测的速度。
一种web异常行为访问的检测方法,所述方法包括:
获取访问日志,确定临时业务有向图;
将所述临时业务有向图中,终点页面节点与历史业务主干有向图中一条访问路径的起点页面节点相同的访问路径,确定为正常访问路径;并,
判断所述临时业务有向图和所述历史业务主干有向图中,以相同节点为起点的访问路径是否相同,若不相同,则将该临时业务访问路径确定为异常行为访问路径,并对异常行为访问路径进行标记;其中,历史业务主干有向图访问路径中的访问路径,是经过滤掉无业务意义的冗余路径得到的业务主干路径。
一种web异常行为访问的检测装置,所述装置包括:
接收模块,用于获取访问日志,确定临时业务有向图;
检测模块,用于将所述临时业务有向图中,终点页面节点与历史业务主干有向图中一条访问路径的起点页面节点相同的访问路径,确定为正常访问路径;并,判断所述临时业务有向图和所述历史业务主干有向图中,以相同节点为起点的访问路径是否相同;
标记模块,用于若所述检测模块确定所述临时业务有向图和所述历史业务主干有向图中,以相同节点为起点的访问路径不相同,则将该临时访问路径确定为异常行为访问路径,并对异常行为访问路径进行标记;其中,历史业务主干有向图访问路径中的访问路径,是经过滤掉无业务意义的冗余路径得到的业务主干路径。
一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现如上所述方法的步骤。
一种web异常行为访问的检测设备,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器执行所述程序时实现如上所述方法的步骤。
本发明实施例中,根据实时接收到的访问日志确定临时业务有向图,与预先根据历史访问日志确定出的历史业务主干有向图进行比对,在将其中不涉及业务主干路径的访问路径确定为正常访问路径之后,确定临时访问路径有向图中涉及业务主干路径的访问路径是否存在异常行为访问,从而检测出WEB异常行为访问。由于历史业务主干有向图中的访问路径,为将无业务意义冗余路径去除后得到的业务主干路径,从而可以在业务主干路径发生变化时,有效检测出访问网页后门、绕过验证、水平越权、垂直越权和路径穿越等异常行为访问,无需人工检测,提高WEB异常行为访问检测的速度。
附图说明
图1为本发明实施例一提供的万维网异常行为访问的检测方法的步骤流程图;
图2为本发明实施例一提供的会话访问路径示意图;
图3为本发明实施例一提供的访问路径示意图;
图4为本发明实施例一提供的异常行为访问路径示意图;
图5为本发明实施例一提供的指定周期重叠示意图;
图6为本发明实施例二提供的万维网异常行为访问的检测方法的步骤流程图;
图7为本发明实施例三提供的万维网异常行为访问的检测装置的结构示意图;
图8为本发明实施例五提供的万维网异常行为访问的检测设备的结构示意图。
具体实施方式
本发明实施例通过访问日志确定每个会话周期对应的访问路径后,可以通过图比对的方式,将预先确定出的历史业务主干有向图中不存在的访问路径确定为异常行为访问路径。其中,历史业务主干有向图中的访问路径,为将无业务意义冗余路径去除后得到的业务主干路径,从而实现异常行为访问检测。具体的,通过访问日志确定每个会话周期对应的访问路径后,可以进一步通过访问次数和访问权重构建出加权有向图,并采用逆回溯方式,从一个会话周期对应的访问终点页面开始,根据访问次数、访问权重和页面入度中的至少一种自动梳理出访问路径,从而确定出历史业务主干有向图。
本发明各实施例中,需要基于各个页面建立图模型,所谓图(Graph)是一种较线性表和树更为复杂的数据结构。在线性表中,数据元素之间仅有线性关系,即每个数据元素只有一个直接前驱和一个直接后继。在树形结构中,数据元素之间有着明显的层次关系,虽然每一层上的数据元素可能和下一层中多个数据元素相关,但只能和上一层中一个数据元素相关。而在图形结构中,结点之间的关系可以是任意的,任意两个数据元素之间都可能相关。图形结构有许多种实现方式,例如,有向图。
所谓有向图,直观来说,若图中的每条边都是有方向的,则称为有向图。有向图中的边是由两个结点组成的有序对,有序对通常用尖括号表示,如<vi,vj>表示一条有向边,其中vi是有向边的始点结点,vj是有向边的终点结点。<vi,vj>和<vj,vi>代表两条不同的有向边。
本发明实施例中,还使用到了有向加权图。在有向图的基础上,结合访问次数和访问权重来定义一条有向边。
下面结合说明书附图对本发明实施例作进一步详细描述。
实施例一
如图1所示,为本发明实施例一提供的万维网异常行为访问的检测方法的步骤流程图,该方法包括以下步骤:
步骤101、接收访问日志。
在本步骤中,可以接收第一设定时长内,例如,一周的访问日志。访问日志中可以包括网站中各个页面的访问情况,如,访问互联网协议(IP)地址,访问统一资源定位符(URL)、访问跳转链接关系(referer)、访问用户代理(UA,User Agent)、访问时间,站点域名,请求方式等等。
步骤102、进行有向图比对。
在本步骤中,可以将临时业务有向图中,终点页面节点与历史业务主干有向图中一条访问路径的起点页面节点相同的访问路径,确定为正常访问路径;并,判断临时业务有向图和历史业务主干有向图,以相同节点为起点的路径访问路径是否相同,若不相同,则将该临时访问路径确定为异常行为访问路径。
其中,历史业务主干有向图中的访问路径,为将无业务意义冗余路径去除后得到的业务主干路径。
具体的,所述历史业务主干有向图中的访问路径(可以记为第一访问路径),从会话访问路径有向图(可以记为第一会话访问路径有向图)中一条会话访问路径的终点页面节点开始确定,若该页面节点的任意一个上一跳页面至少满足:访问次数小于第一门限,访问权重小于第二门限,或页面入度大于第三门限,则删除上一跳页面节点;所述会话访问路径根据每个会话周期对应的各页面的跳转链接关系referer确定;
临时业务有向图中的访问路径根据每个会话周期对应的各页面的跳转链接关系referer确定。
可以理解为,第二会话访问路径有向图中的会话访问路径的每条分支,为所述临时业务有向图中的访问路径(可以记为第二访问路径),所述第二会话访问路径根据每个会话周期对应的各页面的跳转链接关系确定,每个会话通过所述第一设定时长内的访问日志确定。
更具体的,所述历史业务主干有向图可以理解为通过以下方式确定:
确定第二设定时长内,例如,三个月的访问日志对应的会话;会话可以理解为一个终端用户与交互系统进行通讯的过程,比如从输入账户密码进入操作系统到退出操作系统就是一个会话。具体的,可以根据访问时间顺序,将同一个源互联网协议(IP)地址对应的访问日志,关联为一个会话。
考虑到多个用户共用一个出口IP的情况,将同一个源IP地址对应的访问日志,关联为一个会话,可能会存在多个用户对应一个会话的情况。
用户代理(UA,User Agent)是一个特殊字符串头,其使得能够识别客户使用的操作系统及版本、浏览器及版本等。因此更优的,在本实施例中,可以根据访问时间顺序,将同一个源IP地址,且同一个用户代理对应的访问日志,关联为一个会话,以更准确地区分不同用户对应的会话,进一步提高关联出的会话的准确性;
根据每个会话周期对应的各页面的跳转链接关系,确定第一会话访问路径,第一会话访问路径中的每个页面为第一会话访问路径有向图的结点,第一会话访问路径中从第一页面(可以理解为访问上一跳页面)访问第二页面的访问路径为第一会话访问路径有向图中的有向边,其中,所述第二页面是从所述第一页面直接跳转到的页面;当然,也可以将第一页面理解为本页面,将第二页面理解为访问下一跳页面。
针对每个所述第一会话访问路径,确定从第一页面访问第二页面的访问次数和访问权重,所述访问权重是指从所述第一页面访问所述第二页面的访问次数在所述第二页面的访问次数中所占的比重。并可以确定每个页面的入度,页面入度是指跳转到一个页面的页面数量。
根据所述第一会话访问路径有向图确定历史业务主干有向图,其中,从所述第一会话访问路径中的访问终点页面开始,若该页面节点的任意一个上一跳页面至少满足:访问次数小于第一门限,访问权重小于第二门限,或页面入度大于第三门限,则删除上一跳页面节点。即可以理解为保留一个页面节点的上一跳页面节点的条件为,一个上一跳页面节点至少满足:访问次数不小于第一门限,访问权重不小于第二门限,或页面入度不大于第三门限。
临时业务有向图可以理解为通过以下方式确定:
确定接收到的第一设定时长内的访问日志对应的会话;
根据每个会话周期对应的各页面的跳转链接关系,确定第二会话访问路径,第二会话访问路径中的每个页面为第二会话访问路径有向图的结点,第二会话访问路径中从第三页面(可以理解为访问上一跳页面)访问第四页面的访问路径为第二会话访问路径有向图中的有向边,其中,所述第四页面是从所述第三页面直接跳转到的页面;
第二会话访问路径有向图中的会话访问路径的每条分支,为所述临时业务有向图中的第二访问路径。
下面通过一个具体的例子对会话访问路径进行说明。
例如,确定出的一条会话访问路径(第一会话访问路径/第二会话访问路径)可以如图2所示,该会话访问路径中每个页面可以用URL表示:
从Index.aspx(第一页面)访问login.aspx(第二页面)的访问次数(Count)为15,访问权重(weight)为0.5;
从View_info.aspx访问login.aspx的访问次数为3,访问权重为0.1;
从login.aspx访问Forget_pass.aspx的访问次数为60,访问权重为1;
从Forget_pass.aspx访问Check_valid.aspx的访问次数为60,访问权重为1;
从Check_valid.aspx访问Reset_pass.aspx的访问次数为30,访问权重为0.6;
从admin.aspx访问Reset_pass.aspx的访问次数为10,访问权重为0.2。
且Index.aspx的页面入度为0,View_info.aspx的页面入度为0,login.aspx的页面入度为2,Forget_pass.aspx的页面入度为1,Check_valid.aspx的页面入度为1,admin.aspx的页面入度为0,Reset_pass.aspx的页面入度为1。
下面通过两个具体的例子对历史业务主干有向图中的访问路径进行说明。
以会话访问路径如图2所示为例,从Reset_pass.aspx页面开始,以访问次数为20和访问权重为0.5分别做为设定的门限,访问路径的确定过程如下:
从reset_pass.aspx页面开始,由于其作为第二页面被其对应的第一页面check_valid.aspx访问的访问次数为30(大于20),访问权重为0.6(大于0.5),则将check_valid.aspx页面保留作为访问路径中的一个页面;reset_pass.aspx页面被其对应的第一页面admin.aspx访问的访问次数为10(小于20),访问权重为0.2(小于0.5),则访问路径中不保留admin.aspx页面,该分支的回溯终止。
由于保留了check_valid.aspx页面,继续针对check_valid.aspx页面进行业务路径确定。
check_valid.aspx页面作为第二页面时,被其对应的第一页面Forget_pass.aspx访问的访问次数为60(大于20),访问权重为1(大于0.5),则将Forget_pass.aspx页面保留作为访问路径中的一个页面。
当Forget_pass.aspx页面作为第二页面时,被其对应的第一页面login.aspx访问的访问次数为60(大于20),访问权重为1(大于0.5),则将login.aspx页面保留作为访问路径中的一个页面。
当login.aspx页面作为第二页面时,被其对应的第一页面View_info.aspx访问的访问次数为3(小于20),访问权重为0.1(小于0.5),则访问路径中不保留View_info.aspx页面,该分支回溯终止。且login.aspx页面被其对应的第一页面Index.aspx访问的访问次数为15(小于20),访问权重为0.5(等于0.5),则由于访问次数为15(小于20),访问路径中也不保留Index.aspx页面,该分支回溯终止。
从如图2所示的会话访问路径中确定出的访问路径可以如图3所示:
从login.aspx页面开始,依次包括的页面如下:
login.aspx->forget_pass.apsx->check_valid.aspx->reset_pass.aspx。
仍以会话访问路径如图2所示为例,从Reset_pass.aspx页面开始,以访问次数为20、访问权重为0.5以及页面入度为5分别做为设定的门限,访问路径的确定过程如下:
从reset_pass.aspx页面开始,check_valid.aspx的访问次数为30(大于20),访问权重为0.6(大于0.5),且check_valid.aspx的页面入度为1(小于5),则将check_valid.aspx页面保留作为访问路径中的一个页面;admin.aspx的访问次数为10(小于20),访问权重为0.2(小于0.5),页面入度为0(小于5),由于访问次数和访问权重不满足对应的门限值,则访问路径中不保留admin.aspx页面,该分支的回溯终止。
由于保留了check_valid.aspx页面,继续针对check_valid.aspx页面进行业务路径确定。
check_valid.aspx页面作为第二页面时,Forget_pass.aspx的访问次数为60(大于20),访问权重为1(大于0.5),且页面入度为1(小于5),则将Forget_pass.aspx页面保留作为访问路径中的一个页面。
当Forget_pass.aspx页面作为第二页面时,login.aspx的访问次数为60(大于20),访问权重为1(大于0.5),且页面入度为2(小于5),则将login.aspx页面保留作为访问路径中的一个页面。
当login.aspx页面作为第二页面时,View_info.aspx的访问次数为3(小于20),访问权重为0.1(小于0.5),页面入度为0(小于5),由于访问次数和访问权重均不满足对应的权限,则访问路径中不保留View_info.aspx页面,该分支回溯终止。且login.aspx页面被其对应的第一页面Index.aspx访问的访问次数为15(小于20),访问权重为0.5(等于0.5),因此由于访问次数为15(小于20),访问路径中也不保留Index.aspx页面,该分支回溯终止。
此时从如图2所示的会话访问路径中确定出的访问路径仍为如图3所示:
从login.aspx页面开始,依次包括的页面如下:
login.aspx->forget_pass.apsx->check_valid.aspx->reset_pass.aspx。
如果按照会话访问路径顺序从正向根据Referer去关联这个路径,就会出现从index.aspx首页开始到login.aspx这种没有业务意义的冗余路径,所以本发明采用了逆向回溯主流路径的方式。这种方式需要判断回溯的终点,即正向路径的起点。经过对线上数据的分析,可以根据访问权重(weight)、访问次数(Count)和页面入度来梳理,如果到某个节点的路径占的访问权重、访问次数或页面入度达到指定的门限,就终止回溯。当然,特别的,如果某个节点没有访问上一跳节点,由于访问权重和/或访问次数限制,也会终止回溯。
下面通过一个具体的例子对临时业务有向图中的访问路径进行说明。
如图2所示会话访问路径中的每条分支,均作为临时业务有向图中的一条访问路径。
会话访问路径如图2所示时,访问路径可以包括以下三条:
Index.aspx->login.aspx->forget_pass.apsx->check_valid.aspx->reset_pass.aspx
View_info.aspx->login.aspx->forget_pass.apsx->check_valid.aspx->reset_pass.aspx
admin.aspx->reset_pass.aspx
具体的,临时业务有向图中的一条访问路径为正常访问路径,可以理解为包括以下三种情况:
第一种情况、临时业务有向图中的一条访问路径(可以记为路径A),其与历史业务主干有向图中的一条访问路径(可以记为路径B)完全相同。可以理解为,结点相同,有向边也相同。例如,路径A为:
login.aspx->forget_pass.apsx->check_valid.aspx->reset_pass.aspx
路径B为:
login.aspx->forget_pass.apsx->check_valid.aspx->reset_pass.aspx
第二种情况、临时业务有向图中的一条访问路径(可以记为路径C),包括历史业务主干有向图中的一条访问路径(可以记为路径D)。
例如,路径C为:
View_info.aspx->login.aspx->forget_pass.apsx->check_valid.aspx->reset_pass.aspx
路径D为:
login.aspx->forget_pass.apsx->check_valid.aspx->reset_pass.aspx
第二种情况可以理解为,临时业务有向图中的一条访问路径中,只要业务主干路径部分无异常,则该访问路径可以确定为正常访问路径。
第三种情况、临时业务有向图中的一条访问路径(可以记为路径E),其访问终点页面,为历史业务主干有向图中的一条访问路径(可以记为路径F)的访问起点页面。
例如,路径E为:
View_info.aspx->login.aspx
路径F为:
login.aspx->forget_pass.apsx->check_valid.aspx->reset_pass.aspx
即,在进行有向图比对过程中,如果临时业务有向图中的一条访问路径的访问终点页面,为历史业务主干有向图中的一条访问路径的访问起点页面,由于临时业务有向图中该访问路径不涉及业务主干路径,可以将该访问路径确定为正常访问路径。
进一步优选的,从确定出的异常行为访问路径的访问路径中,还可以将包括通用web框架下的随机连接,或包括漏洞测试构造的不可达链接的访问路径,确定为正常访问路径。当然,这部分访问路径即使被确定为异常行为访问路径,也可以通过后续人工判断进行复核。本优选步骤可以将这部分访问路径自动识别为正常访问路径。
步骤103、标记异常行为访问路径。
在本步骤中,可以对步骤102确定出的异常行为访问路径进行标记。
例如,如图4所示,从login.aspx页面开始,依次包括的页面如下:
login.aspx->forget_pass.apsx->reset_pass.aspx的访问路径被标记为异常行为访问路径。即,将跳过check_valid.aspx,直接从forget_pass.apsx访问reset_pass.aspx的访问路径标记为异常行为访问路径,从而将越过校验直接进行密码重置的异常行为访问有效检测出来。
步骤104、异常行为访问路径复核。
在本步骤中,可以输出标记为异常行为访问路径的访问路径,用于进行人工分析。并可以在确定该访问路径为正常访问路径时,即确认标记有误时,执行步骤106,将该访问路径加入所述历史业务主干有向图。以提高历史业务主干有向图的完整度,从而提高确定出的异常行为访问路径的准确性。
步骤105、确定误报率。
在本步骤中,可以根据人工复核的结果,确定误报率,所述误报率用于描述所述异常行为访问路径的误报信息。在误报率较高时,可以认为预先确定出的历史业务主干有向图的完整度较低,需要执行步骤106,以提高历史业务主干有向图的完整度,从而提高确定出的异常行为访问路径的准确性。
具体的,可以确定异常行为访问路径的误报率,并在所述误报率大于第一阈值时,执行步骤106,重新绘制所述历史业务主干有向图。
在本实施例中,误报率可以通过任意方式确定。具体的,可以根据设定周期内,标记出的异常行为访问路径为正常访问路径的次数,与标记出的异常行为访问路径次数的比值确定。较优的,为了提高确定出的误报率的准确性,误报率可以通过以下方式确定:
其中,0≤α≤1
其中:
K表示误报率;
表示n次单次误报率Fi的平均值,n为正整数;
其中,i为不大于n的正整数,Wi为第i个设定周期内标记出的异常行为访问路径为正常访问路径的次数,Si为第i个设定周期内标记出的异常行为访问路径次数;
Fδ表示n次单次误报率Fi的标准差。
更优的,n取值可以为5,以在保证误报率准确性的基础上,减少计算量。
较优的,在步骤102之前,还可以包括步骤102’。即在进行图比对,确定异常行为访问路径之前,可以通过波动率,所述波动率用于描述所述第一访问路径的更新信息,对预先确定出的历史业务主干有向图的准确性进行判断。
步骤102’、确定波动率。
在波动率较大时,可以认为预先确定出的历史业务主干有向图的完整度较低,需要更新,以提高历史业务主干有向图的完整度,进而提高确定出的异常行为访问路径的准确性。
具体的,可以确定历史业务主干有向图中,访问路径的波动率,所述波动率用于描述访问路径的更新信息,并在所述波动率大于第二阈值时,执行步骤106,重新绘制所述历史业务主干有向图。当然,如果所述波动率小于第二阈值时,可以继续执行步骤102。
在本实施例中,波动率可以通过任意方式确定。具体的,可以根据两个相邻指定周期内,不相同访问路径的条数,与两个相邻指定周期内访问路径条数之和的比值确定。较优的,为了提高确定出的波动率的准确性,波动率可以通过以下方式确定:
其中,0≤β≤1
其中:
L表示波动率;
表示m次单次波动率Pj的平均值,m为正整数;
其中,j为不大于m的正整数,Uj为第j个指定周期和第j+1个指定周期内的不相同访问路径的条数,Gj为第j个指定周期内访问路径条数,Gj+1为第j+1个指定周期内访问路径条数;
Pδ表示m次单次波动率Pj的标准差。
更优的,m取值可以为5,以在保证波动率准确性的基础上,减少计算量。
更优的,如图5所示,第j个指定周期(用Tj表示)和第j+1个指定周期(用Tj+1表示)可以有部分重叠,以防止由于业务访问的周期性,使得两个指定周期内,访问路径过于相似和集中。
当然,确定第j个指定周期内访问路径的方式,也可以是类似的,通过确定访问路径有向图的方式实现,在此不再赘述。
步骤106、更新历史业务主干有向图。
如果根据人工复核结果,确定标记为异常行为访问路径的访问路径为正常访问路径时,利用该访问路径更新所述历史业务主干有向图,可以理解为,将该访问路径,加入所述历史业务主干有向图。具体的,可以将标记有误的访问路径写入一张表中,并利用该表更新所述历史业务主干有向图。
在所述误报率大于第一阈值或波动率大于第二阈值时,也可以更新所述历史业务主干有向图。可以理解为,历史业务主干有向图的模式会被切换成学习模式,继续开始学习阶段,等到下一周期的学习模式完成以后,再进行一场判断。更新所述历史业务主干有向图,可以理解为首先更新所述第一会话访问路径有向图,然后根据更新后的所述第一会话访问路径有向图,重新绘制所述历史业务主干有向图。
例如,可以但不限于利用接收到的第一设定时长内的访问日志,更新所述历史业务主干有向图。利用接收到的第一设定时长内的访问日志,更新所述历史业务主干有向图,可以是根据第一设定时长内的访问日志所对应的第二会话访问路径,更新所述第一会话访问路径有向图中的结点、有向边、各页面入度、从第一页面访问第二页面的访问次数和访问权重,并根据更新后的所述第一会话访问路径有向图,重新确定所述历史业务主干有向图。
在本实施例中,为了更准确地将所有可能的异常行为访问都检测出来,在确定临时业务有向图时,将会话访问路径中的每条分支作为访问路径,只要是与历史业务主干有向图中,以相同节点为起点的路径不相同的访问路径均作为异常行为访问路径。
而进一步的,通过人工检测、误报率和波动率,建立一种反馈学习机制,不断更新历史业务主干有向图,确保历史业务主干有向图的完整度,从而进一步确保异常行为访问检测的准确性。更优的,在步骤101之后,步骤102之前,还可以对接收到的访问日志进行噪声过滤,以去除干扰数据,提高异常行为访问检测的速度。
步骤101’、进行噪声过滤。
由于接收到的访问日志中可能包括干扰数据,例如,扫描器的访问、扫描器扫描产生的漏洞特征攻击数据和一些浏览器加载的无分析价值的静态资源等,因此,可以通过噪声过滤步骤,把干扰数据过滤掉。
具体的,例如,可以从访问日志中分析出扫描器的IP地址,并去除此IP地址扫描产生的干扰数据。又如,可以去除各种静态页面图片等由浏览器静态访问造成的干扰数据。
下面通过一个具体的实例对本发明实施例一提供的方案进行说明。
实施例二
如图6所示,为本发明实施例二提供的万维网异常行为访问的检测方法的步骤流程图,该方法包括以下步骤:
步骤201、接收访问日志。
在本步骤中,可以以一天为单位接收访问日志。
步骤202、判断时间阈值是否达到。
判断接收到的访问日志的时间跨度是否确定达到时间阈值,例如,30天。如果是,则执行步骤204,否则,执行步骤203。
步骤203、确定或者更新历史业务主干有向图。
在本步骤中,可以根据接收到的访问日志,确定或者更新历史业务主干有向图。具体的,可以将历史业务主干有向图保存在数据库中。
步骤204、确定波动率。
在满足时间跨度达到时间阈值时,考虑将历史业务主干有向图从学习状态(更新状态)切换到判断状态。例如说一个网站接入以后,起码要达到学习了设定的时间阈值的连续访问日志,才认为可以利用确定出的历史业务主干有向图进行异常行为访问检测。
此时,较优的,在本实施例中,在确定时间跨度达到时间阈值时,继续进行波动率的判断,以提高历史业务主干有向图的准确性。
如果确定波动率不大于第二阈值时,可以继续执行步骤205,否则,执行步骤209。
步骤205、进行有向图比对。
在本步骤中,可以继续接收访问日志,将接收到的一天的访问日志对应的临时业务有向图,与接收到的设定的时间阈值(如30天)的连续访问日志对应的历史业务主干有向图进行比对,将所述临时业务有向图中,终点页面节点与历史业务主干有向图中一条访问路径的起点页面节点相同的访问路径,确定为正常访问路径;并,判断所述临时业务有向图和所述历史业务主干有向图,以相同节点为起点的路径访问路径是否相同。
针对临时业务有向图中的每条访问路径,如果确定存在访问路径,与所述历史业务主干有向图中以相同节点为起点的路径不相同,执行步骤206。当然,如果均相同,可以继续执行步骤205,接收访问日志,进行有向图比对。
步骤206、标记异常行为访问路径。
步骤207、异常行为访问路径复核。
在本步骤中,可以在确定标记有误时,将标记有误的访问路径写入一张表中,步骤205执行时,如果确定该表中有数据,则利用该表更新所述历史业务主干有向图。
当然,在复核期间,不影响步骤205的执行。
并可以在对设定时长,如,20天的访问日志进行比对的结果进行复核后,执行步骤208。
当然,在本步骤中,还可以理解为是在对设定时长,如,20天的访问日志循环执行了步骤205、步骤206之后,才执行步骤207,并在执行步骤207之后,继续执行步骤208。
即在本步骤中,可以理解为每天实时地对每天的访问日志进行图比对的结果进行复核,将标记有误的访问路径写入表中,用于更新所述历史业务主干有向图,并在对指定时长,如,20天的图比对的结果进行复核后,执行步骤208。
还可以理解为设定时长,如,10天后,对每天的访问日志进行图比对的结果(共10天)进行复核,将标记有误的访问路径写入表中,用于更新所述历史业务主干有向图,并在对指定时长,如,20天的图比对的结果进行复核后,执行步骤208。
步骤208、确定误报率。
较优的,在本实施例中,可以进一步确定误报率,以便及时更新历史业务主干有向图,进一步提高历史业务主干有向图的准确性。例如,在对20天的访问日志进行比对的结果进行复核之后,确定误报率是否大于第一阈值。
如果所述误报率大于第一阈值时,可以执行步骤209。
步骤209、更新历史业务主干有向图。
在本步骤中,可以继续接收访问日志,并利用接收到的访问日志,更新历史业务主干有向图,以提高历史业务主干有向图的完整度,进而提高异常行为访问检测的准确性。
在本实施例中,在满足时间跨度达到时间阈值时,进一步基于波动率确定历史业务主干有向图是否学习完毕,是否可以用于异常行为访问判断。并可以在利用历史业务主干有向图进行了一段时间的异常行为访问检测后,基于人工检测对历史业务主干有向图进行更新,还可以进一步基于误报率,确定历史业务主干有向图是否需要重新进行学习。从而保证历史业务主干有向图的完整度,进而提高异常行为访问检测的准确性。
根据本发明实施例提供的方案,使用访问日志来进行访问路径的建模和顺序梳理,建立有向图,进而识别Web业务中的非法行为,为业务安全上的异常检测提供了新的解决办法。在URL有向图建立中,采用了多个指标判断学习模式是否成熟,判断更为灵活有效。在业务主干梳理中,采用了逆向回溯的方式,有效地排除了无分析价值的冗余路径,建立了更加清晰有效的路径模型。
基于同一发明构思,本发明实施例中还提供了一种与万维网异常行为访问的检测方法对应的装置、介质和设备,由于该装置、介质和设备解决问题的原理与本发明实施例一、二提供的方法相似,因此该装置、介质和设备的实施可以参见方法的实施,重复之处不再赘述。
实施例三
如图7所示,为本发明实施例三提供的万维网异常行为访问的检测装置的结构示意图,该装置可以应用于服务器侧,该装置包括接收模块11、检测模块12和标记模块13,其中:
接收模块11用于获取访问日志,确定临时业务有向图;
检测模块12用于将所述临时业务有向图中,终点页面节点与历史业务主干有向图中一条访问路径的起点页面节点相同的访问路径,确定为正常访问路径;并,判断所述临时业务有向图和所述历史业务主干有向图中,以相同节点为起点的访问路径是否相同;
标记模块13用于若所述检测模块确定所述临时业务有向图和所述历史业务主干有向图中,以相同节点为起点的访问路径不相同,则将该临时访问路径确定为异常行为访问路径,并对异常行为访问路径进行标记;其中,历史业务主干有向图访问路径中的访问路径,是经过滤掉无业务意义的冗余路径得到的业务主干路径。
具体的,所述历史业务主干有向图访问路径中的访问路径,从一条会话访问路径的终点页面节点开始确定,若该页面节点的任意一个上一跳页面至少满足:访问次数小于第一门限,访问权重小于第二门限,或页面入度大于第三门限,则删除上一跳页面节点;所述会话访问路径根据每个会话周期对应的各页面的跳转链接关系referer确定;
临时业务有向图中的访问路径,根据每个会话周期对应的各页面的跳转链接关系referer确定。
所述标记模块13还用于将确定为异常行为访问路径的访问路径中,包括通用web框架下的随机连接,或包括漏洞测试构造的不可达链接的访问路径,确定为正常访问路径。
所述装置还包括输出模块14和反馈更新模块15,其中:
输出模块14用于输出标记为异常行为访问路径的访问路径;
反馈更新模块15用于在确定该访问路径为正常访问路径时,将该访问路径加入所述历史业务主干有向图。
所述反馈更新模块15还用于确定异常行为访问路径的误报率,所述误报率用于描述所述异常行为访问路径的误报信息;并在所述误报率大于第一阈值时,重新绘制所述历史业务主干有向图。
所述反馈更新模块15具体用于根据设定周期内,标记出的异常行为访问路径为正常访问路径的次数,与标记出的异常行为访问路径次数的比值确定所述误报率。
所述检测模块12确定异常行为访问路径之前,所述装置包括的反馈更新模块15还用于确定历史业务主干有向图中,访问路径的波动率,所述波动率用于描述访问路径的更新信息;并在所述波动率大于第二阈值时,重新绘制所述历史业务主干有向图。所述反馈更新模块15具体用于根据两个相邻指定周期内,不相同访问路径的条数,与两个相邻指定周期内访问路径条数之和的比值确定所述波动率。
所述装置还包括噪声去除模块16,用于对接收到的访问日志进行噪声过滤,去除干扰数据。
实施例四
本发明实施例四提供一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现本发明实施例一和实施例二所述方法的步骤。
实施例五
如图8所示,为本发明实施例五提供的万维网异常行为访问的检测设备的结构示意图,该设备包括存储器21、处理器22及存储在存储器上的计算机程序,所述处理器22执行所述程序时实现本发明实施例一和实施例二所述方法的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (20)

1.一种web异常行为访问的检测方法,其特征在于,所述方法包括:
获取访问日志,确定临时业务有向图;
将所述临时业务有向图中,终点页面节点与历史业务主干有向图中一条访问路径的起点页面节点相同的访问路径,确定为正常访问路径;并,
判断所述临时业务有向图和所述历史业务主干有向图中,以相同节点为起点的访问路径是否相同,若不相同,则将该临时业务访问路径确定为异常行为访问路径,并对异常行为访问路径进行标记;其中,历史业务主干有向图访问路径中的访问路径,是经过滤掉无业务意义的冗余路径得到的业务主干路径。
2.如权利要求1所述的方法,其特征在于,所述历史业务主干有向图中的访问路径,从一条会话访问路径的终点页面节点开始确定,若该页面节点的任意一个上一跳页面至少满足:访问次数小于第一门限,访问权重小于第二门限,或页面入度大于第三门限,则删除上一跳页面节点;所述会话访问路径根据每个会话周期对应的各页面的跳转链接关系referer确定;
临时业务有向图中的访问路径,根据每个会话周期对应的各页面的跳转链接关系referer确定。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
将确定为异常行为访问路径的访问路径中,包括通用web框架下的随机连接,或包括漏洞测试构造的不可达链接的访问路径,确定为正常访问路径。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
输出标记为异常行为访问路径的访问路径;
并在确定该访问路径为正常访问路径时,将该访问路径加入所述历史业务主干有向图。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
确定异常行为访问路径的误报率,所述误报率用于描述所述异常行为访问路径的误报信息;
并在所述误报率大于第一阈值时,重新绘制所述历史业务主干有向图。
6.如权利要求5所述的方法,其特征在于,其中,所述误报率根据设定周期内,标记出的异常行为访问路径为正常访问路径的次数,与标记出的异常行为访问路径次数的比值确定。
7.如权利要求2所述的方法,其特征在于,确定异常行为访问路径之前,所述方法还包括:
确定历史业务主干有向图中,访问路径的波动率,所述波动率用于描述访问路径的更新信息;
并在所述波动率大于第二阈值时,重新绘制所述历史业务主干有向图。
8.如权利要求7所述的方法,其特征在于,其中,所述波动率根据两个相邻指定周期内,不相同访问路径的条数,与两个相邻指定周期内访问路径条数之和的比值确定。
9.如权利要求1~8任一所述的方法,其特征在于,获取访问日志之后,确定临时业务有向图之前,所述方法还包括:
对接收到的访问日志进行噪声过滤,去除干扰数据。
10.一种web异常行为访问的检测装置,其特征在于,所述装置包括:
接收模块,用于获取访问日志,确定临时业务有向图;
检测模块,用于将所述临时业务有向图中,终点页面节点与历史业务主干有向图中一条访问路径的起点页面节点相同的访问路径,确定为正常访问路径;并,判断所述临时业务有向图和所述历史业务主干有向图中,以相同节点为起点的访问路径是否相同;
标记模块,用于若所述检测模块确定所述临时业务有向图和所述历史业务主干有向图中,以相同节点为起点的访问路径不相同,则将该临时业务访问路径确定为异常行为访问路径,并对异常行为访问路径进行标记;其中,历史业务主干有向图访问路径中的访问路径,是经过滤掉无业务意义的冗余路径得到的业务主干路径。
11.如权利要求10所述的装置,其特征在于,所述历史业务主干有向图中的访问路径,从一条会话访问路径的终点页面节点开始确定,若该页面节点的任意一个上一跳页面至少满足:访问次数小于第一门限,访问权重小于第二门限,或页面入度大于第三门限,则删除上一跳页面节点;所述会话访问路径根据每个会话周期对应的各页面的跳转链接关系referer确定;
临时业务有向图中的访问路径,根据每个会话周期对应的各页面的跳转链接关系referer确定。
12.如权利要求10所述的装置,其特征在于,所述标记模块,还用于将确定为异常行为访问路径的访问路径中,包括通用web框架下的随机连接,或包括漏洞测试构造的不可达链接的访问路径,确定为正常访问路径。
13.如权利要求10所述的装置,其特征在于,所述装置还包括:
输出模块,用于输出标记为异常行为访问路径的访问路径;
反馈更新模块,用于在确定该访问路径为正常访问路径时,将该访问路径加入所述历史业务主干有向图。
14.如权利要求13所述的装置,其特征在于,所述反馈更新模块,还用于确定异常行为访问路径的误报率,所述误报率用于描述所述异常行为访问路径的误报信息;并在所述误报率大于第一阈值时,重新绘制所述历史业务主干有向图。
15.如权利要求14所述的装置,其特征在于,所述反馈更新模块,具体用于根据设定周期内,标记出的异常行为访问路径为正常访问路径的次数,与标记出的异常行为访问路径次数的比值确定所述误报率。
16.如权利要求11所述的装置,其特征在于,所述检测模块确定异常行为访问路径之前,所述装置包括的反馈更新模块,还用于确定历史业务主干有向图中,访问路径的波动率,所述波动率用于描述访问路径的更新信息;并在所述波动率大于第二阈值时,重新绘制所述历史业务主干有向图。
17.如权利要求16所述的装置,其特征在于,所述反馈更新模块,具体用于根据两个相邻指定周期内,不相同访问路径的条数,与两个相邻指定周期内访问路径条数之和的比值确定所述波动率。
18.如权利要求10~17任一所述的装置,其特征在于,所述装置还包括:
噪声去除模块,用于对接收到的访问日志进行噪声过滤,去除干扰数据。
19.一种非易失性计算机存储介质,其特征在于,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现权利要求1~9任一所述方法的步骤。
20.一种web异常行为访问的检测设备,其特征在于,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器执行所述程序时实现权利要求1~9任一所述方法的步骤。
CN201810889834.0A 2018-08-07 2018-08-07 一种万维网异常行为访问的检测方法、装置、介质和设备 Active CN109040073B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810889834.0A CN109040073B (zh) 2018-08-07 2018-08-07 一种万维网异常行为访问的检测方法、装置、介质和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810889834.0A CN109040073B (zh) 2018-08-07 2018-08-07 一种万维网异常行为访问的检测方法、装置、介质和设备

Publications (2)

Publication Number Publication Date
CN109040073A true CN109040073A (zh) 2018-12-18
CN109040073B CN109040073B (zh) 2021-04-16

Family

ID=64649824

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810889834.0A Active CN109040073B (zh) 2018-08-07 2018-08-07 一种万维网异常行为访问的检测方法、装置、介质和设备

Country Status (1)

Country Link
CN (1) CN109040073B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110933081A (zh) * 2019-11-29 2020-03-27 交通银行股份有限公司 一种服务端对客户端请求合法性的判定实现方法
CN111079138A (zh) * 2019-12-19 2020-04-28 北京天融信网络安全技术有限公司 异常访问检测方法、装置、电子设备及可读存储介质
CN111898046A (zh) * 2020-07-16 2020-11-06 北京天空卫士网络安全技术有限公司 重定向管理的方法和装置
CN113364773A (zh) * 2021-06-04 2021-09-07 中国工商银行股份有限公司 安全性识别方法、装置和电子设备
CN113572721A (zh) * 2020-04-29 2021-10-29 深信服科技股份有限公司 一种异常访问检测方法、装置、电子设备及存储介质
CN113726786A (zh) * 2021-08-31 2021-11-30 上海观安信息技术股份有限公司 异常访问行为的检测方法、装置、存储介质及电子设备
CN113806742A (zh) * 2020-06-15 2021-12-17 中国电信股份有限公司 WebShell检测装置、WebShell检测方法及计算机可读存储介质
CN115269953A (zh) * 2022-08-01 2022-11-01 明阳产业技术研究院(沈阳)有限公司 IPv6网络下链接跳转的追踪方法及相关设备
CN116996392A (zh) * 2023-09-27 2023-11-03 山东省计算中心(国家超级计算济南中心) 一种基于加权有向图算法的流量路径重构方法及系统

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080263650A1 (en) * 2007-04-23 2008-10-23 Sap Ag Enhanced cross-site attack prevention
CN101388768B (zh) * 2008-10-21 2011-03-23 北京启明星辰信息技术股份有限公司 检测恶意http请求的方法及装置
CN103605924A (zh) * 2013-11-28 2014-02-26 北京奇虎科技有限公司 一种防止恶意程序攻击网络支付页面的方法及装置
WO2014176895A1 (en) * 2013-04-28 2014-11-06 Tencent Technology (Shenzhen) Company Limited Method, terminal, server and system for page jump
CN104301148A (zh) * 2014-10-27 2015-01-21 北京金和软件股份有限公司 一种基于网站访问的用户行为记录方法
CN103823883B (zh) * 2014-03-06 2015-06-10 焦点科技股份有限公司 一种网站用户访问路径的分析方法及系统
CN105072089A (zh) * 2015-07-10 2015-11-18 中国科学院信息工程研究所 一种web恶意扫描行为异常检测方法与系统
CN106844458A (zh) * 2016-12-20 2017-06-13 北京华宇信息技术有限公司 展示用户网上行为轨迹的方法、计算装置及存储介质
CN107241296A (zh) * 2016-03-28 2017-10-10 阿里巴巴集团控股有限公司 一种Webshell的检测方法及装置
CN108156131A (zh) * 2017-10-27 2018-06-12 上海观安信息技术股份有限公司 Webshell检测方法、电子设备和计算机存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080263650A1 (en) * 2007-04-23 2008-10-23 Sap Ag Enhanced cross-site attack prevention
CN101388768B (zh) * 2008-10-21 2011-03-23 北京启明星辰信息技术股份有限公司 检测恶意http请求的方法及装置
WO2014176895A1 (en) * 2013-04-28 2014-11-06 Tencent Technology (Shenzhen) Company Limited Method, terminal, server and system for page jump
CN103605924A (zh) * 2013-11-28 2014-02-26 北京奇虎科技有限公司 一种防止恶意程序攻击网络支付页面的方法及装置
CN103823883B (zh) * 2014-03-06 2015-06-10 焦点科技股份有限公司 一种网站用户访问路径的分析方法及系统
CN104301148A (zh) * 2014-10-27 2015-01-21 北京金和软件股份有限公司 一种基于网站访问的用户行为记录方法
CN105072089A (zh) * 2015-07-10 2015-11-18 中国科学院信息工程研究所 一种web恶意扫描行为异常检测方法与系统
CN107241296A (zh) * 2016-03-28 2017-10-10 阿里巴巴集团控股有限公司 一种Webshell的检测方法及装置
CN106844458A (zh) * 2016-12-20 2017-06-13 北京华宇信息技术有限公司 展示用户网上行为轨迹的方法、计算装置及存储介质
CN108156131A (zh) * 2017-10-27 2018-06-12 上海观安信息技术股份有限公司 Webshell检测方法、电子设备和计算机存储介质

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110933081A (zh) * 2019-11-29 2020-03-27 交通银行股份有限公司 一种服务端对客户端请求合法性的判定实现方法
CN111079138A (zh) * 2019-12-19 2020-04-28 北京天融信网络安全技术有限公司 异常访问检测方法、装置、电子设备及可读存储介质
CN113572721B (zh) * 2020-04-29 2023-03-21 深信服科技股份有限公司 一种异常访问检测方法、装置、电子设备及存储介质
CN113572721A (zh) * 2020-04-29 2021-10-29 深信服科技股份有限公司 一种异常访问检测方法、装置、电子设备及存储介质
CN113806742A (zh) * 2020-06-15 2021-12-17 中国电信股份有限公司 WebShell检测装置、WebShell检测方法及计算机可读存储介质
CN111898046A (zh) * 2020-07-16 2020-11-06 北京天空卫士网络安全技术有限公司 重定向管理的方法和装置
CN111898046B (zh) * 2020-07-16 2024-02-13 北京天空卫士网络安全技术有限公司 重定向管理的方法和装置
CN113364773A (zh) * 2021-06-04 2021-09-07 中国工商银行股份有限公司 安全性识别方法、装置和电子设备
CN113726786B (zh) * 2021-08-31 2023-05-05 上海观安信息技术股份有限公司 异常访问行为的检测方法、装置、存储介质及电子设备
CN113726786A (zh) * 2021-08-31 2021-11-30 上海观安信息技术股份有限公司 异常访问行为的检测方法、装置、存储介质及电子设备
CN115269953A (zh) * 2022-08-01 2022-11-01 明阳产业技术研究院(沈阳)有限公司 IPv6网络下链接跳转的追踪方法及相关设备
CN116996392A (zh) * 2023-09-27 2023-11-03 山东省计算中心(国家超级计算济南中心) 一种基于加权有向图算法的流量路径重构方法及系统
CN116996392B (zh) * 2023-09-27 2023-12-29 山东省计算中心(国家超级计算济南中心) 一种基于加权有向图算法的流量路径重构方法及系统

Also Published As

Publication number Publication date
CN109040073B (zh) 2021-04-16

Similar Documents

Publication Publication Date Title
CN109040073A (zh) 一种万维网异常行为访问的检测方法、装置、介质和设备
CN109687991A (zh) 用户行为识别方法、装置、设备及存储介质
CN112787992B (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
CN103368957B (zh) 对网页访问行为进行处理的方法及系统、客户端、服务器
CN102831218B (zh) 热力图中的数据确定方法及装置
CN108183916A (zh) 一种基于日志分析的网络攻击检测方法及装置
CN106326738A (zh) 计算机安全体系架构及相关的计算方法
CN107241296A (zh) 一种Webshell的检测方法及装置
CN106575327A (zh) 分析面部识别数据和社交网络数据以供用户鉴别
CN104423961B (zh) 一种生成测试脚本的方法及系统
WO2016022720A2 (en) Method and apparatus of identifying a transaction risk
CN106302534B (zh) 一种检测和处理非法用户的方法及系统
CN106209862A (zh) 一种盗号防御实现方法及装置
CN109274637A (zh) 确定分布式拒绝服务攻击的系统和方法
CN104935601B (zh) 基于云的网站日志安全分析方法、装置及系统
CN102682047A (zh) 一种混合的sql注入防护方法
CN106951784B (zh) 一种面向XSS漏洞检测的Web应用逆向分析方法
CN104202291A (zh) 基于多因素综合评定方法的反钓鱼方法
CN110336808A (zh) 一种面向电力工控网络的攻击溯源方法及系统
CN104615716B (zh) 基于优先序列的分布式社交网络信息采集方法及系统
CN106790088A (zh) 一种基于大数据平台的网络安全实施系统及方法
CN107403108A (zh) 一种数据处理的方法及系统
CN109729044A (zh) 一种通用的互联网数据采集反反爬系统及方法
CN107395608A (zh) 一种网络访问异常检测方法及装置
CN107577944A (zh) 基于代码语法分析器的网站恶意代码检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Patentee before: NSFOCUS TECHNOLOGIES Inc.

CP01 Change in the name or title of a patent holder