CN110392046B - 网络访问的异常检测方法和装置 - Google Patents
网络访问的异常检测方法和装置 Download PDFInfo
- Publication number
- CN110392046B CN110392046B CN201910580036.4A CN201910580036A CN110392046B CN 110392046 B CN110392046 B CN 110392046B CN 201910580036 A CN201910580036 A CN 201910580036A CN 110392046 B CN110392046 B CN 110392046B
- Authority
- CN
- China
- Prior art keywords
- network access
- feature set
- candidate
- access request
- frequent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明为安全检测技术领域,本发明提供一种网络访问的异常检测方法和装置,所述方法包括接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集;根据所述候选特征集,分别得到各个候选特征集中特征同时出现频率的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集;根据所述频繁特征集的置信度,得到对应的反置信度;当所述频繁特征集的反向置信度大于异常阈值时,判定对应的网络访问为异常访问。该方法有利于提高对终端设备当前网络访问的异常检测能力。
Description
技术领域
本发明涉及安全检测技术领域,具体而言,本发明涉及一种网络访问的异常检测方法和装置。
背景技术
随着网络的广泛使用,为了保证正常用户在对应网站的上网体验,除了网站设计外,网站的安全维护也是受到了大家的关注。目前,威胁网站安全的主要手段之一是通过网络爬虫访问网站,导致网站不能做出正确的判断,从而容易造成反应错误。针对该问题,目前的方法是通过采集用户验证过程中的点击时间、鼠标拖动轨迹等数据,针对此行为数据判别用户种类,此类方法错误率较高,容易将真实用户判别为异常用户,准确性低。
发明内容
为克服以上技术问题,特别是现有技术中通过终端设备登录网络时用户的使用痕迹数据容易将真实用户判别为异常用户的问题,特提出以下技术方案:
第一方面,本发明提供一种网络访问的异常检测方法,其包括以下步骤:
接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集;
根据所述候选特征集,分别得到各个候选特征集中特征同时出现频率的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集;
根据所述频繁特征集的置信度,得到对应的反置信度;
当所述频繁特征集的反向置信度大于异常阈值时,判定对应的网络访问为异常访问。
在其中一个实施例中,在所述接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集的步骤之前,还包括:
对于接收终端设备发送的网络访问请求所能获取的特性形成对应的特征列表。
在其中一个实施例中,所述特征列表的特征类型包括所述终端设备发起网络访问请求所产生的必要信息类型。
在其中一个实施例中,所述接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集的步骤,包括:
接收终端设备发送的每一次网络访问请求,根据对应的所述获取的多个非线性的特征;
对应所述特征列表,将所有获取的非线性的特征提取部分或全部特征,形成多个候选特征集。
在其中一个实施例中,在所述根据所述候选特征集,分别得到各个候选特征集中特征同时出现频率的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集的步骤之前,还包括:
判断获取的所述终端设备的操作系统特征与所述终端设备的最多支持的可触控点数是否对应。
在其中一个实施例中,所述根据所述频繁特征集的置信度,得到对应的反置信度的步骤,包括:
根据各个频繁特征集的置信度进行对比,在对比的结果中的置信度最高的频繁特征集作为最佳频繁特征集;
所述最佳频繁特征集的反置信度作为异常阈值。
在其中一个实施例中,所述最小支持度为设定时间段内形成的所有的候选特征集的上四分位数。
第二方面,本发明还提供一种网络访问的异常检测装置,其包括:
形成模块,用于接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集;
设定模块,用于根据所述候选特征集,分别得到各个候选特征集中特征同时出现频率的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集;
获取模块,用于根据所述频繁特征集的置信度,得到对应的反置信度;
判定模块,用于当所述频繁特征集的反向置信度大于异常阈值时,判定对应的网络访问为异常访问。
第三方面,本发明还提供一种服务器,其包括:
一个或多个处理器;
存储器;
一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个计算机程序配置用于执行第一方面实施例所述的网络访问的异常检测方法。
第四方面,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现第一方面实施例所述的网络访问的异常检测方法。
本发明提供的一种网络访问的异常检测方法和装置,根据所述网络请求得到的由若干个特征形成的候选特征集,并以此得到所述候选特征集的支持度和置信度作为判定所述网络访问是否为异常访问的依据,最终得到对应的网络访问请求是否为异常的判定结果。
本发明所提供的技术方案通过网络访问请求中所获取的特征形成多个候选特征集,利用支持度和置信度的值进行对比,避免了对相应的特征进行识别再处理,通过检测对象的转化,简化了检测数据的处理过程,提高了检测效率,最终提升了对终端设备异常访问的检测能力。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明中的实施例执行所述网络访问的异常检测方案的应用环境图;
图2是本发明中的一个实施例的网络访问的异常检测方法的流程图;
图3为本发明中的一个实施例的网络访问的异常检测装置的示意图;
图4为本发明中的一个实施例的服务器的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通讯链路上,执行双向通讯的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通讯设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通讯设备;PCS(Personal Communications Service,个人通讯系统),其可以组合语音、数据处理、传真和/或数据通讯能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通讯终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
本技术领域技术人员可以理解,这里所使用的远端网络设备,其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。本发明的实施例中,远端网络设备、终端设备与WNS服务器之间可通过任何通讯方式实现通讯,包括但不限于,基于3GPP、LTE、WIMAX的移动通讯、基于TCP/IP、UDP协议的计算机网络通讯以及基于蓝牙、红外传输标准的近距无线传输方式。
参考图1所示,图1是本发明实施例方案的应用环境图;该实施例中,本发明技术方案可以基于服务器上实现,如图1中,终端设备110和120可以通过internet网络访问服务器130,终端设备110和/或120向服务器130发出的网络请求,服务器130根据网络请求进行数据交互。在进行数据交互时,服务器130根据终端设备110和/或120的请求信息获取终端设备110和/或120的访问数据和属性数据,并根据该数据对该终端设备进行异常检测。
S210、接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集。
服务器与终端设备进行数据交互的时候,根据终端设备发出的网络请求,获取该终端设备的相关参数。关于所述特征的获取,可以根据处理需要,提取相关信息,并对相关信息进行解析,得到对应的特征,根据上述方式得到的多个非线性特征。
在该步骤中,用户通过发送注册、验证请求,前端利用JavaScript脚本获取终端设备的相关的特征,包括设备类型(IPone、Mac、Andriod)、系统信息(OS类型、版本、分辨率)、设备的触屏事件中最多支持的可触控点数、IP等的多个特征,所述特征之间相互为非线性关系。可以根据需要提取或者随机抽取若干个特征,形成多个候选特征集,以对所述终端设备所发送的网络访问请求进行异常检测。
S220、根据所述候选特征集,分别得到各个候选特征集中特征同时出现频率的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集。
根据上述步骤S210所得到的所有候选特征集,根据各个候选特征集的特征布局情况,分别计算得到各个候选特征集的支持度,对各个候选特征集中特征同时出现的频率。
在本实施例中,所述特征可包括为所述终端设备的某个系统版本信息、所述终端设备支持触控。其中,所述终端设备的某个系统版本信息的特征可以通过JS获取设备的user_agent,并通过对user_agent解析得到。所述终端设备支持触控的特征可通过JS直接获得。
将所有候选特征集的支持度与最小支持度进行比较,大于等于最小支持度的候选特征集设定为频繁特征集。
在本实施例中,为了减少支持度比较的运算量,按照各个所述候选特征集的特征数从小到多的顺序进行层级比较,具体层级比较的方法如下:
为了方便说明,将所述特征以数字序号1、2、3、4、5进行说明:
假如有特征集合I={1,2,3,4,5},有特征集T:
1,2,3
1,2,4
1,3,4
1,2,3,5
1,3,5
2,4,5
1,2,3,4
设定最小支持度为3/7。
首先,生成只包含一个特征的候选特征集:
{1},{2},{3},{4},{5}
生成包含两个特征的候选特征集:
根据上述生成只包含一个特征的候选特征集生成所有的包含两个特征的候选特征集:所以生成的候选特征集如下:
{1,2},{1,3},{1,4},{1,5}
{2,3},{2,4},{2,5}
{3,4},{3,5}
{4,5}
计算它们的支持度,发现只有{1,2},{1,3},{1,4},{2,3},{2,4},{2,5}的支持度满足要求,因此求得包含两个特征的候选特征集:
{1,2},{1,3},{1,4},{2,3},{2,4}
生成包含三个特征的候选特征集:
根据对包含两个特征的候选特征集进行并集得到{1,2,3},{1,2,4},{1,3,4}。
但是由于{1,3,4}的子集{3,4}不在2-频繁特征集中,所以需要把{1,3,4}剔除掉
然后再来计算{1,2,3}和{1,2,4}的支持度,发现{1,2,3}的支持度为3/7,{1,2,4}的支持度为2/7,所以需要把{1,2,4}剔除。
因此得到三个特征的候选特征集只有:{1,2,3}。
即在层级比较的过程中,当出现所述候选特征集的支持度等于或者大于最小支持度时,频繁特征集生成过程结束。
这样,免得需要对所有的候选特征集均进行遍历,与所述最小支持度进行对比。
S230、根据所述频繁特征集的置信度,得到对应的反置信度。
从上述步骤S220所得到频繁特征集,并计算每个频繁特征集的置信度。根据所述置信度,得到对应频繁特征集的反置信度。
S240、当待检样本的反向置信度大于异常阈值时,判定对应的网络访问为异常访问。
在该步骤中,所述待检样本为根据上述步骤S210-S230得到的所述终端设备所发起的某次网络访问请求的对应频繁特征集。当所述待检样本的反向置信度大于异常阈值时,判定对应的网络访问为异常访问。所述异常阈值可以是针对所述终端设备所发送的网络访问请求,设定该异常阈值,所述设定的异常阈值可以是70%。所述异常阈值也可以依据所述得到的频繁特征集得到。
本发明所提供的一种网络访问的异常检测方法,根据网络访问请求得到的多个非线性特征,并通过若干个特征组合成多个候选特征集,根据对应的支持度与最小支持度比较,得到对应的频繁特征集,最后根据上述频繁特征集的置信度,得到与异常阈值进行对比是否所述网络访问请求为异常的检测结果。本发明的技术方案利用由所述终端设备发起的网络访问请求得到的特征所形成的候选特征集的支持度和置信度计算,,生成具有区分性的特征集合,速度更快,以此作为是否响应请求的依据。与现有技术中只能通过用户的发起网络访问请求时的使用轨迹的表面现象进行异常访问的判定方法相比,在本发明中利用特征工程和机器学习算法,自主学习用户数据中的区分规则,可解释性强,能够识别多样性的异常场景,并且随着样本量增长,可以覆盖更多、更复杂的情况。
在步骤S210之前,还包括:
对于接收终端设备发送的网络访问请求所能获取的特性形成对应的特征列表。
在本实施例中,可以根据预设的特征项从所述终端设备所发起的网络访问请求中获取对应的特征,而所述预设的特征的项汇总后形成特征列表。所述特征列表中的特征项可以是关于某类类中的某个具体的信息,例如,关于所述终端设备的操作系统,可以具体为IOS系统、windows系统;关于所述终端设备型号可以具体为mac电脑、windows电脑;关于终端设备的触屏事件,可以根据目前主要终端设备和/或操作系统的最多支持的可触控的具体点数设定不同的特征。这样,以便不同的特征组合后,更能精准地从特征之间的对应情况发现异常情况。
在此基础上,所述特征列表的特征类型包括所述终端设备发起网络访问请求所产生的必要信息类型。
所述必要信息类型为所述终端设备发起网络访问请求的过程中必定产生的特征所属的类型,无需经过二次运算或统计便可获取。如关于所述终端设备的型号、操作系统版本号信息、IP信息或触屏事件。
这样,能直接对异常访问所产生的根本特征信息进行处理并对数据处理的结果进行判定,这样能以尽量少的数据处理,并且容易得到准确率得到提高。
对于步骤S210,包括:
A1、接收终端设备发送的每一次网络访问请求,根据对应的网络访问请求获取的多个非线性的特征;
A2、对应所述特征列表,将所有获取的非线性的特征提取部分或全部特征,形成多个候选特征集。
在本实施例中,所从终端设备得到的特征是针对其所发起的每一次网络访问请求多获取的。所获取的特征可以对应所述特征列表中的特征的项进行对应获取并收集。根据网络访问的异常检测的需要,从所收集的特征的项中提取部分或全部的特征的项,对应形成多个候选特征集,以备所述终端设备的网络访问异常检测提供相应的数据。
在本实施例中,在步骤S220之前,还可包括:
判断获取的所述终端设备的操作系统特征与所述终端设备的最多支持的可触控点数是否对应。
例如,通过JS获取运行windows系统的电脑的触屏事件中最多支持的可触控点数为255。但是,一般情况下,运行mac或windows操作系统的电脑一般不支持可触控,如果通过JS获取的触屏事件信息为支持可触控,则很有可能为异常用户。
相反地,对于运行安卓的移动终端设备一般支持可触控,如果JS获取的触屏事件信息为不支持可触控,则很有可能为异常用户。
根据上述不对应的情况,启动对应的服务器运行步骤S220的操作,对各个候选特征集的支持度进行运算。尤其是包括了所述终端设备的操作系统特征与所述终端设备的最多支持的可触控点数的特征。为了进一步增加检测的准确性,可以在候选特征集中,增加所述终端设备的设备型号特征。
对于步骤S230中的所述根据所述频繁特征集的置信度,得到对应的反置信度的步骤,包括:
B1、根据各个频繁特征集的置信度进行对比,在对比的结果中的置信度最高的频繁特征集作为最佳频繁特征集;
B2、所述最佳频繁特征集的反置信度作为异常阈值。
从步骤S220得到的频繁特征集,并对每个频繁特征集进行置信度,并对各个频繁特征集的置信度进行对比。根据对比的结果,得到置信度最高的频繁特征集作为最佳频繁特征集。对所述最高的置信度进行反置信度计算,即将最佳频繁特征集的反置信度作为异常阈值。
根据所述异常阈值,对对应的网络访问请求进行异常检测。
如果所述终端设备的网络访问请求增加了新的特征集,则对所述支持度和置信度进行更新,得到此时对应的最佳频繁特征集,并根据该最佳频繁特征集的反置信度作为异常检测的判定依据。
这样,可以根据所得到的关于终端设备的特征的数据变化,随时更新和调节对应的参数,以便根据数据的变化,调整判定的标准。
对于所述终端设备当前发起的网络请求被判定为异常访问请求,服务器直接拒绝请求或重新要求所述终端设备进行访问验证;若所述终端设备当前发起的网络请求被判定为正常访问请求,则直接响应请求。
另外,对于步骤S220所提到的最小支持度,可以是设定得到的。
在本实施例中,所述最小支持度为设定时间段内形成的所有的候选特征集的上四分位数。
这样,可以根据所获取的特征及所述特征所组成的候选特征集的变化而调整所述最小支持度,确保所述频繁特征集的获取更为准确,以保证异常检测结果的准确性和灵活性。
基于与上述网络访问的异常检测方法相同的发明构思,本发明实施例还提供了一种网络访问的异常检测装置,如图3所示,包括:
形成模块310,用于接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集;
设定模块320,用于根据所述候选特征集,分别得到各个候选特征集中特征同时出现频率的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集;
获取模块330,用于根据所述频繁特征集的置信度,得到对应的反置信度;
判定模块340,用于当所述频繁特征集的反向置信度大于异常阈值时,判定对应的网络访问为异常访问。
请参考图4,图4为一个实施例中服务器的内部结构示意图。如图4所示,该服务器包括通过系统总线连接的处理器410、存储介质420、存储器430和网络接口440。其中,该服务器的存储介质420存储有操作系统、数据库和计算机可读指令,数据库中可存储有控件信息序列,该计算机可读指令被处理器410执行时,可使得处理器410实现一种网络访问的异常检测方法,处理器410能实现图3所示实施例中的一种网络访问的异常检测装置中的特征形成模块310、设定模块320、获取模块330和判定模块340的功能。该服务器的处理器410用于提供计算和控制能力,支撑整个服务器的运行。该服务器的存储器430中可存储有计算机可读指令,该计算机可读指令被处理器410执行时,可使得处理器410执行一种网络访问的异常检测方法。该服务器的网络接口440用于与终端连接通信。本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的服务器的限定,具体的服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本发明还提出了一种存储有计算机可读指令的存储介质,该计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行以下步骤:接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集;根据所述候选特征集,分别得到各个候选特征集中特征同时出现频率的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集;根据所述频繁特征集的置信度,得到对应的反置信度;当所述频繁特征集的反向置信度大于异常阈值时,判定对应的网络访问为异常访问。
综合上述实施例可知,本发明最大的有益效果在于:
本发明提供的一种网络访问的异常检测方法和装置,根据所述网络请求得到的由若干个特征形成的候选特征集,并以此得到所述候选特征集的支持度和置信度作为判定所述网络访问是否为异常访问的依据,最终得到对应的网络访问请求是否为异常的判定结果。
本发明所提供的技术方案通过网络访问请求中所获取的特征形成多个候选特征集,利用支持度和置信度的值进行对比,避免了对相应的特征进行识别再处理,通过检测对象的转化,简化了检测数据的处理过程,提高了检测效率,最终提升了对终端设备异常访问的检测能力。
综上,本发明通过网络访问的异常检测方法和装置,通过利用体现验证正常网络访问的特征的组合形成的候选特征集,并根据其支持度和置信度的对比结果为依据,得到判定所述网络访问是否为异常访问的结果。本发明提供的技术方案能将特征信息转化便于对比的参数信息,降低了所述终端设备所获取信息的难度,与现有技术中只能通过用户的发起网络访问请求时的使用轨迹的表面现象进行异常访问的判定的方式对比,也提高了检测的准确度。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种网络访问的异常检测方法,其特征在于,包括以下步骤:
接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集;
根据所述候选特征集,分别得到各个候选特征集中特征同时出现频率的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集;
根据各个频繁特征集的置信度进行对比,在对比的结果中的置信度最高的频繁特征集作为最佳频繁特征集,将所述最佳频繁特征集的反置信度作为异常阈值;
当所述频繁特征集的反置信度大于异常阈值时,判定对应的网络访问为异常访问。
2.根据权利要求1所述的方法,其特征在于,
在所述接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集的步骤之前,还包括:
对于接收终端设备发送的网络访问请求所能获取的特性形成对应的特征列表。
3.根据权利要求2所述的方法,其特征在于,
所述特征列表的特征类型包括所述终端设备发起网络访问请求所产生的必要信息类型。
4.根据权利要求2或3其中一项所述的方法,其特征在于,
所述接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备相关参数的多个非线性的特征,并形成多个候选特征集的步骤,包括:
接收终端设备发送的每一次网络访问请求,根据对应的所述获取的多个非线性的特征;
对应所述特征列表,将所有获取的非线性的特征提取部分或全部特征,形成多个候选特征集。
5.根据权利要求4所述的方法,其特征在于,
在所述根据所述候选特征集,分别得到各个候选特征集中特征同时出现频率的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集的步骤之前,还包括:
判断获取的所述终端设备的操作系统特征与所述终端设备的最多支持的可触控点数是否对应。
6.根据权利要求1所述的方法,其特征在于,
所述最小支持度为设定时间段内形成的所有的候选特征集的上四分位数。
7.一种网络访问的异常检测装置,其特征在于,包括:
形成模块,用于接收终端设备发送的网络访问请求,根据所述网络访问请求获取所述终端设备的多个非线性的特征,并形成多个候选特征集;
设定模块,用于根据所述候选特征集,分别得到各个候选特征集的支持度,并将大于等于最小支持度的候选特征集设定为频繁特征集;
获取模块,用于根据各个频繁特征集的置信度进行对比,在对比的结果中的置信度最高的频繁特征集作为最佳频繁特征集,将所述最佳频繁特征集的反置信度作为异常阈值;
判定模块,用于当所述频繁特征集的反置信度大于异常阈值时,判定对应的网络访问为异常访问。
8.一种服务器,其特征在于,包括:
一个或多个处理器;
存储器;
一个或多个计算机程序,其中所述一个或多个计算机程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个计算机程序配置用于执行根据权利要求1至6任一项所述的网络访问的异常检测方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现权利要求1至6任一项所述的网络访问的异常检测方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910580036.4A CN110392046B (zh) | 2019-06-28 | 2019-06-28 | 网络访问的异常检测方法和装置 |
| PCT/CN2019/118437 WO2020258672A1 (zh) | 2019-06-28 | 2019-11-14 | 网络访问的异常检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910580036.4A CN110392046B (zh) | 2019-06-28 | 2019-06-28 | 网络访问的异常检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110392046A CN110392046A (zh) | 2019-10-29 |
| CN110392046B true CN110392046B (zh) | 2021-12-24 |
Family
ID=68286022
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910580036.4A Active CN110392046B (zh) | 2019-06-28 | 2019-06-28 | 网络访问的异常检测方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110392046B (zh) |
| WO (1) | WO2020258672A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110392046B (zh) * | 2019-06-28 | 2021-12-24 | 平安科技(深圳)有限公司 | 网络访问的异常检测方法和装置 |
| CN114666391B (zh) * | 2020-12-03 | 2023-09-19 | 中国移动通信集团广东有限公司 | 访问轨迹确定方法、装置、设备及存储介质 |
| CN113806733A (zh) * | 2021-02-03 | 2021-12-17 | 北京沃东天骏信息技术有限公司 | 异常流量检测方法、装置及可读存储介质和电子设备 |
| CN113726814B (zh) * | 2021-09-09 | 2022-09-02 | 中国电信股份有限公司 | 用户异常行为识别方法、装置、设备及存储介质 |
| CN113850499B (zh) * | 2021-09-23 | 2024-04-09 | 平安银行股份有限公司 | 一种数据处理方法、装置、电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107704764A (zh) * | 2017-10-18 | 2018-02-16 | 广州华多网络科技有限公司 | 构建训练集的方法、装置、设备及人机识别的方法 |
| CN108255996A (zh) * | 2017-12-29 | 2018-07-06 | 西安交大捷普网络科技有限公司 | 基于Apriori算法的安全日志分析方法 |
| CN109120634A (zh) * | 2018-09-05 | 2019-01-01 | 广州视源电子科技股份有限公司 | 一种端口扫描检测的方法、装置、计算机设备和存储介质 |
| CN109408556A (zh) * | 2018-09-28 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 基于大数据的异常用户识别方法及装置、电子设备、介质 |
| US10326789B1 (en) * | 2015-09-25 | 2019-06-18 | Amazon Technologies, Inc. | Web Bot detection and human differentiation |
| CN109936561A (zh) * | 2019-01-08 | 2019-06-25 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7475405B2 (en) * | 2000-09-06 | 2009-01-06 | International Business Machines Corporation | Method and system for detecting unusual events and application thereof in computer intrusion detection |
| CN104539484B (zh) * | 2014-12-31 | 2018-01-26 | 深圳先进技术研究院 | 一种动态评估网络连接可信度的方法及系统 |
| CN105512210A (zh) * | 2015-11-27 | 2016-04-20 | 网神信息技术(北京)股份有限公司 | 关联事件类型的检测方法及装置 |
| CN105681312B (zh) * | 2016-01-28 | 2019-03-05 | 李青山 | 一种基于频繁项集挖掘的移动互联网异常用户检测方法 |
| CA3011936A1 (en) * | 2017-08-03 | 2019-02-03 | Interset Software, Inc. | Systems and methods for discriminating between human and non-human interactions with computing devices on a computer network |
| CN108595667B (zh) * | 2018-04-28 | 2020-06-09 | 广东电网有限责任公司 | 一种网络异常数据的关联性分析方法 |
| CN110392046B (zh) * | 2019-06-28 | 2021-12-24 | 平安科技(深圳)有限公司 | 网络访问的异常检测方法和装置 |
-
2019
- 2019-06-28 CN CN201910580036.4A patent/CN110392046B/zh active Active
- 2019-11-14 WO PCT/CN2019/118437 patent/WO2020258672A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10326789B1 (en) * | 2015-09-25 | 2019-06-18 | Amazon Technologies, Inc. | Web Bot detection and human differentiation |
| CN107704764A (zh) * | 2017-10-18 | 2018-02-16 | 广州华多网络科技有限公司 | 构建训练集的方法、装置、设备及人机识别的方法 |
| CN108255996A (zh) * | 2017-12-29 | 2018-07-06 | 西安交大捷普网络科技有限公司 | 基于Apriori算法的安全日志分析方法 |
| CN109120634A (zh) * | 2018-09-05 | 2019-01-01 | 广州视源电子科技股份有限公司 | 一种端口扫描检测的方法、装置、计算机设备和存储介质 |
| CN109408556A (zh) * | 2018-09-28 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 基于大数据的异常用户识别方法及装置、电子设备、介质 |
| CN109936561A (zh) * | 2019-01-08 | 2019-06-25 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110392046A (zh) | 2019-10-29 |
| WO2020258672A1 (zh) | 2020-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110392046B (zh) | 网络访问的异常检测方法和装置 | |
| US11522873B2 (en) | Detecting network attacks | |
| CN106992994B (zh) | 一种云服务的自动化监控方法和系统 | |
| US10922206B2 (en) | Systems and methods for determining performance metrics of remote relational databases | |
| CN110138745B (zh) | 基于数据流序列的异常主机检测方法、装置、设备及介质 | |
| CN107305611B (zh) | 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置 | |
| CN109495513B (zh) | 无监督的加密恶意流量检测方法、装置、设备及介质 | |
| CN105516196A (zh) | 基于http报文数据的并行化网络异常检测方法与系统 | |
| CN109756368B (zh) | 设备异常变更的检测方法、装置、计算机可读存储介质及终端 | |
| CN110889096B (zh) | 登录方法、装置、计算机设备及存储介质 | |
| CN110737891A (zh) | 一种主机入侵检测方法和装置 | |
| CN113746780B (zh) | 基于主机画像的异常主机检测方法、装置、介质和设备 | |
| CN114598539A (zh) | 根因定位方法、装置、存储介质及电子设备 | |
| CN117240632B (zh) | 一种基于知识图谱的攻击检测方法和系统 | |
| US10491592B2 (en) | Cross device user identification | |
| CN116707859A (zh) | 特征规则提取方法和装置、网络入侵检测方法和装置 | |
| CN103034866B (zh) | 一种目标识别方法、装置及系统 | |
| WO2020258509A1 (zh) | 终端设备异常访问的隔离方法和装置 | |
| CN112929369B (zh) | 一种分布式实时DDoS攻击检测方法 | |
| US20230409422A1 (en) | Systems and Methods for Anomaly Detection in Multi-Modal Data Streams | |
| CN110401639B (zh) | 网络访问的异常判定方法、装置、服务器及其存储介质 | |
| CN110417744B (zh) | 网络访问的安全判定方法和装置 | |
| CN110311909B (zh) | 终端设备网络访问的异常判定方法和装置 | |
| CN114726876B (zh) | 一种数据检测方法、装置、设备和存储介质 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |