CN110943961A - 数据处理方法、设备以及存储介质 - Google Patents
数据处理方法、设备以及存储介质 Download PDFInfo
- Publication number
- CN110943961A CN110943961A CN201811108788.2A CN201811108788A CN110943961A CN 110943961 A CN110943961 A CN 110943961A CN 201811108788 A CN201811108788 A CN 201811108788A CN 110943961 A CN110943961 A CN 110943961A
- Authority
- CN
- China
- Prior art keywords
- access request
- processed
- access
- abnormal
- baseline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003860 storage Methods 0.000 title claims abstract description 18
- 238000003672 processing method Methods 0.000 title claims abstract description 11
- 230000002159 abnormal effect Effects 0.000 claims abstract description 135
- 238000012545 processing Methods 0.000 claims abstract description 67
- 238000010801 machine learning Methods 0.000 claims abstract description 36
- 230000004044 response Effects 0.000 claims description 92
- 230000014509 gene expression Effects 0.000 claims description 56
- 238000004891 communication Methods 0.000 claims description 45
- 238000000034 method Methods 0.000 claims description 36
- 230000015654 memory Effects 0.000 claims description 32
- 238000004590 computer program Methods 0.000 claims description 17
- 230000005856 abnormality Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Medical Informatics (AREA)
- Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种数据处理方法、设备以及存储介质。在本申请实施例中,先对待处理访问请求进行类型识别,当识别出待处理请求为第一类访问请求时,再利用机器学习模型对待处理请求进行异常识别,不仅能够较为准确地识别出异常访问请求,而且有效减少了机器学习模型需要识别的访问请求的数量,节省了设备的计算资源,提高了设备的运行性能。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种数据处理方法、设备以及存储介质。
背景技术
随着互联网的发展,用户可以通过网络从网站或服务器上获取大量的信息,例如商品信息、服务信息、购买信息等。在实际应用中,经常有非法用户对网站或服务器进行非法攻击,例如通过发送大量请求导致网站或服务器瘫痪,或者通过植入脚本或木马程序等方式对网站或服务器进行非法控制。
为了保证网站或服务器的安全,有必要针对网站或服务器的访问请求进行识别,以识别出非法访问请求并阻断,保证网站或服务器的安全。但是,对于每日海量流量的网络或服务器来说,非法请求识别会消耗大量的计算资源。
发明内容
本申请的多个方面提供一种数据处理方法、服务器以及存储介质,用以在节省计算资源的同时,较为准确地识别异常访问请求。
本申请实施例提供一种数据处理方法,包括:获取待处理访问请求;根据所述待处理访问请求携带的信息,生成所述待处理访问请求的通信流量特征和内容结构特征;根据所述通信流量特征和所述内容结构特征对所述待处理访问请求进行类型识别;当识别出所述待处理访问请求为第一类访问请求时,利用机器学习模型对所述待处理访问请求进行异常识别。
本申请实施例还提供一种数据处理设备,包括存储器以及处理器;所述存储器,用于存储计算机程序;所述处理器,用于执行所述计算机程序,以用于:获取待处理访问请求;根据所述待处理访问请求携带的信息,生成所述待处理访问请求的通信流量特征和内容结构特征;根据所述通信流量特征和所述内容结构特征对所述待处理访问请求进行类型识别;当识别出所述待处理访问请求为第一类访问请求时,利用机器学习模型对所述待处理访问请求进行异常识别。
本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,其特征在于,计算机程序被一个或多个处理器执行时,致使所述一个或多个处理器实现数据处理方法中的步骤。
在本申请实施例中,对待处理访问请求进行类型识别,当识别出待处理请求为第一类访问请求时,再利用机器学习模型对待处理请求进行异常识别,不仅能够较为准确地识别出异常访问请求,而且有效减少了机器学习模型需要识别的访问请求的数量,节省了设备的计算资源,提高了设备的运行性能。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一示例性数据处理系统的结构示意图;
图2为本申请另一示例性实施例的数据处理方法的流程示意图;
图3为本申请另一示例性实施例提供的确定待处理访问请求为第一类访问请求的流程示意图;
图4为本申请又一示例性实施例提供的又一种确定待处理访问请求为第一类访问请求的流程示意图;
图5为本申请又一示例性实施例提供的数据处理装置的结构框架示意图;
图6为本申请又一示例性实施例提供的类型识别模块的结构框架示意图;
图7为本申请又一示例性实施例提供的数据处理设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
webshell通信是一种黑客对被控网站发送指令所形成的通信流量。在云服务器上发现HTTP访问请求中的webshell通信的过程中,由于云服务器规模庞大,云服务器上网站众多,导致HTTP访问请求的数量巨大。对于云服务器而言,一小段时间内其访问请求总量能够达到十亿条以上的规模,如果全部进行数据处理的话,会消耗大量的计算资源。
针对上述技术问题,在本申请一些实施例中,先对待处理访问请求进行类型识别,当识别出待处理请求为第一类访问请求时,再利用机器学习模型对待处理请求进行异常识别,不仅能够较为准确地识别出异常访问请求,而且有效减少了机器学习模型需要识别的访问请求的数量,节省了设备的计算资源,提高了设备的运行性能。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请一示例性实施例提供的一种数据处理系统的结构示意图。如图1所示,该处理系统100包括:终端101、数据处理设备102以及数据响应设备103。
其中,终端101是用户使用的终端设备,可以是任何具有一定计算能力的设备,例如可以是智能手机、平板电脑、个人电脑等等。终端101的基本结构包括:至少一个处理单元和至少一个存储器。处理单元和存储器的数量取决于终端101的配置和类型。存储器可以包括易失性的存储器,例如RAM,也可以包括非易失性的存储器,例如只读存储器(Read-OnlyMemory,ROM)、闪存等,或者也可以同时包括两种类型。存储器内通常存储有操作系统(Operating System,OS)、一个或多个应用程序,也可以存储有程序数据等。除了处理单元和存储器之外,终端101还包括一些基本配置,例如网卡芯片、IO总线、音视频组件等。可选地,终端101还可以包括一些外围设备,例如键盘、鼠标、输入笔等。其它外围设备在本领域中是众所周知的,在此不做赘述。
在本实施例中,终端101可响应用户的操作,向数据响应设备103发送访问请求,该访问请求可以是查看文档的HTTP请求、修改内容的HTTP请求、保存视频的HTTP请求等,该终端101可以通过安装的程序与数据响应设备103进行交互,该程序可以为视频访问PC客户端、云数据访问APP等。
数据响应设备103是指可以在网络环境中提供信息或数据交互服务的服务器。在物理实现上,数据响应设备103可以是任何能够提供计算服务,响应服务请求,并进行处理的设备,例如可以是常规服务器、云服务器、云主机、虚拟中心等,可以优先选择云服务器。服务器的构成主要包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似。
用户通过其终端101向数据响应设备103发送访问请求,还可以通过网络从数据响应设备103中获取相应的响应数据,这里的响应数据可以是查看的文件,请求播放的视频,修改后的内容,等等。
数据处理设备102是指可以在网络环境中面向数据响应设备103提供对访问请求进行异常识别服务的服务器。在物理实现上,数据处理设备102可以是任何能够提供计算服务,处理服务请求的设备,例如可以是常规服务器、云服务器、云主机、虚拟中心等,可以优先选择云服务器。服务器的构成主要包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似。
其中,在用户通过其终端101向数据响应设备103发送访问请求以请求访问数据响应设备103的过程中,数据处理设备102可以对该访问请求进行异常识别并向数据响应设备103提供异常识别结果,以供数据响应设备103能够在识别到异常访问请求的情况下拒绝该访问请求或拒绝与该访问请求来源相同的后续访问请求,从而保证数据响应设备103的安全。这里的来源相同可以是来自同一设备,也可以是来自同一IP地址,也可以是来自同一业务系统,还可以是来自同一集群、同一机房或同一物理区域等。
根据应用场景和需求的不同,数据处理设备102与数据响应设备103可以采用但不限于以下两种可选实施方式协同工作。
可选实施方式1,当用户通过其终端101向数据响应设备103发送的访问请求进入数据响应设备103所在的网络时,可以对该访问请求进行复制并分流,一份送入数据响应设备103并由数据响应设备对该访问请求进行访问处理,一份送入数据处理设备102进行异常识别,该实施方式1的数据流向如图1中的实线条所示。可选的,可由分流设备对该访问请求进行复制并分流。该访问请求可能是异常请求也可能是正常请求,采用复制的方式分两路对该访问请求进行处理,这样在该访问请求是正常请求的情况下有利于保证对该访问请求进行响应的及时性。当然,如果数据处理设备102识别出该访问请求是异常请求,则数据处理设备102可以及时通知数据响应设备103拒绝与该访问请求来源相同的后续访问请求,保证数据响应设备103的安全。可选地,通知方式可以有多种,例如可以向数据响应设备103发送通知消息,或者也可以将发送该访问请求的设备标识添加到异常设备库中,以供数据响应设备103通过查看异常设备库从而拒绝与该访问请求来源相同的后续访问请求。或者,
可选实施方式2,当用户通过其终端101向数据响应设备103发送的访问请求进入数据响应设备103所在的网络时,可以先由数据处理设备102对该访问请求进行拦截并进行异常识别处理,将正常访问请求继续发送至数据响应设备103,将异常访问请求进行阻断处理,该实施方式2的数据流向如图1中的虚线条所示。对数据响应设备103而言,还可以从数据处理设备102处获取到经过处理的正常访问请求,并对该正常访问请求进行访问处理。
无论是哪种实施方式均不对访问请求进行限定,例如,访问请求可以用来查看文件(或信息、数据、内容等)、删除文件(或信息、数据、内容等)、保存文件(或信息、数据、内容等)等。同理,异常请求可根据应用需求灵活定义。例如,在一些应用场景中,可以将发送频率大于设定要求的访问请求定义为异常请求;在另一些应用场景中,可以将来自特定IP地址的访问请求定义为异常请求;在又一些应用场景中,可以将来自特定设备的访问请求定义为异常请求;在又一些应用场景中,还可以将符合设定特征的访问请求定义为异常请求,等等。
另外,无论是上述哪种可选实施方式,当数据响应设备103在对访问请求进行访问处理后,可以将相应响应数据直接发送至终端101,无需经过数据处理设备102转发。当然,数据响应设备103发送给终端101的响应数据也可以经过数据处理设备102进行转发。
在本实施例中,终端101可以与数据处理设备102以及数据响应设备103进行网络连接。该网络连接可以是无线或有线网络连接。若终端101、数据处理设备102以及数据响应设备103通信连接,该移动网络的网络制式可以为2G(GSM)、2.5G(GPRS)、3G(WCDMA、TD-SCDMA、CDMA2000、UTMS)、4G(LTE)、4G+(LTE+)、WiMax等中的任意一种。
值得说明的是,数据处理设备102对访问请求进行异常识别的方式可以有多种,在本申请实施例中数据处理设备102采用预先训练出的机器学习模型对访问请求进行异常识别。进一步,考虑到访问请求的数量可能较多,利用机器学习模型对全量访问请求进行异常识别,计算资源消耗较多,容易降低数据处理设备102的运行性能。为此,在本申请实施例中,数据处理设备102先对访问请求进行类型识别,并对特定类型的访问请求进一步利用机器学习模型进行异常识别,而非特定类型的访问请求则无需利用机器学习模型进行异常识别,这样可以减少需要机器学习模型进行异常识别的访问请求的数量,有利于节约计算资源,提高数据处理设备102的运行性能。
下面结合方法实施例,针对数据处理设备102对访问请求进行异常识别的过程进行详细说明。
图2为本申请另一示例性实施例的数据处理方法的流程示意图。本申请实施例提供的该方法200由数据处理设备执行,该方法200包括以下步骤:
201:获取待处理访问请求。
202:根据待处理访问请求携带的信息,生成待处理访问请求的通信流量特征和内容结构特征。
203:根据通信流量特征和内容结构特征对待处理访问请求进行类型识别。
204:当识别出待处理访问请求为第一类访问请求时,利用机器学习模型对待处理访问请求进行异常识别。
可选地,待处理访问请求可以是HTTP类型的访问请求,可以是播放视频的HTTP请求、删除文档的HTTP请求、保存音乐或数据的HTTP请求等。当然,待处理访问请求不限于HTTP类型的访问请求。
应理解,播放视频的HTTP请求是用于请求数据响应设备发送的指定视频的视频流。删除文档的HTTP请求是用于请求数据响应设备删除存储在数据响应设备区域中的指定文档。保存音乐或数据的HTTP请求是用于请求数据响应设备将终端上传的音乐流或数据保存在数据响应设备的存储区域中。
可选地,若待处理访问请求是HTTP请求,则获取待处理访问请求的过程包括:根据访问请求的端口标识,如端口号或端口类型,从接收到的访问请求中过滤出HTTP类型的访问请求作为待处理访问请求。
需要说明的是,待处理访问请求可以是实时访问请求,也可以是非实时访问请求。可选地,若待访问请求是实时访问请求,则可以及时对访问请求进行异常识别,有利于提高时间效率性。
另外,对待处理访问请求而言,除了需要对其进行异常识别之外,还需要对其进行访问处理。这两个操作可以并行执行,也可以顺序执行。其中,顺序执行是指先对待处理访问请求进行异常识别,当识别出待处理访问请求是正常请求时继续对待处理访问请求进行访问处理。并行执行是指将待处理访问请求分为两路,一路对待处理访问请求进行异常识别,另一路对待处理访问请求进行访问处理,两路并行执行。值得说明的是,在并行执行的场景中,对待处理访问请求进行异常识别的结果可用于指导数据响应设备对后续来源相同的访问请求进行访问指导。
例如,根据前文所述,在过滤出HTTP类型的访问请求后,可以对该HTTP类型的访问请求进行复制,一份送入数据处理设备进行异常识别,另一份送入数据响应设备进行访问处理,这样不会耽误访问请求的正常访问,可保证该访问请求的时效性,同时还可以对该访问请求进行异常识别。
待处理访问请求的数量可以是多个,也可以是一个。待处理访问请求携带的信息包含有视频ID、音乐流信息、访问路径、访问文件标识等与待访问数据相关的信息,还可以包含发送设备的标识、IP地址、端口号、MAC地址等可表征该访问请求来源的信息。
在获取到待处理访问请求之后,可以根据待处理访问请求携带的信息,对待处理访问请求进行类型识别。
其中,携带的信息是指终端发送的完整的数据信息,其长短很不一致,长度不限且可变。可以根据应用场景和需求的不同,可灵活定义访问请求的类型。在本实施例中,将访问请求划分为两类,即第一类访问请求和第二类访问请求。其中,第一类访问请求是指具有异常风险,或者异常风险相对较高的访问请求,而第二类访问请求是指没有异常风险,或异常风险相对较低的访问请求。例如,第一类访问请求可以包含但不限于:疑似webshell访问请求或webshell访问请求。其中,webshell是非法入侵者,例如黑客,入侵数据响应设备后,在数据响应设备上留下的用于后续控制的后门文件;黑客通过对webshell后门文件发送指令,从而控制服务器进行增删文件、新建用户等的行为。当识别出待处理访问请求为第一类访问请求时,说明待处理访问请求具有异常风险,或者异常风险相对较高,则进一步利用机器学习模型对待处理访问请求进行异常识别。
其中,通信流量特征是指待处理访问请求携带的信息的基础特征信息,也可以是待处理访问请求所产生的流量中的基础特征信息,如,发送设备标识(如,发送该访问请求的主机标识,如主机IP)、访问路径(如,URL)、访问文件标识以及关键字(如,访问请求中的key-value中的key的描述信息,如key=name)。
内容结构特征是指待处理访问请求携带的信息的内容结构,内容结构特征可以唯一标识待处理访问请求,且一个待处理访问请求仅对应一个内容结构特征,内容结构特征可以是一串字符串。
其中,机器学习模型是指可以对访问请求进行异常识别的模型,可以预先训练得到。例如,机器学习模型可以为但不限于:参数服务器(Parameter Server)模型。
需要说明的是,参数服务器模型包括计算节点和参数服务节点两种。其中,计算节点负责对分配到自己本地的训练数据(块)进行本地模型训练,并更新对应的参数;参数服务节点采用分布式存储的方式,分别存储全局参数的一部分,并作为接受计算节点的参数查询和更新请求。计算节点还可以通过已训练好的本地模型,对分配到自己本地的待处理数据进行处理,如,通过本地模型进行异常识别。
可选地,对待处理访问请求进行异常识别可以是判断待处理访问请求是否属于非法或恶意访问请求。例如,根据前文所述,当从多个HTTP类型的访问请求中识别出可能的webshell访问请求后,将可能的webshell访问请求输入至参数服务器模型进行二次识别,以确定该访问请求是否是webshell访问请求,实现更进一步的精准地webshell类型访问请求的识别。
需要说明的是,通过步骤202识别出可能的webshell访问请求可以高达99%的正确率,为了更加精准地识别webshell访问请求,通过机器学习模型再次对步骤202识别出的可能的webshell访问请求进行过滤,识别出最终的webshell访问请求,降低误判率。进一步,在识别出最终的webshell访问请求之后,还可以对最终识别的webshell访问请求进行特征提取,来完善当前webshell特征库。
在一些实例中,根据待处理访问请求携带的信息,生成待处理访问请求的通信流量特征和内容结构特征,包括:从待处理访问请求携带的信息中提取设备标识、访问路径、访问文件标识以及关键字形成待处理访问请求对应的基线特征,作为通信流量特征;根据待处理访问请求携带的信息与异常通信规则中各正则表达式的匹配结果以及待处理访问请求携带的信息中的关键字,生成待处理访问请求对应的签名,作为内容结构特征。
其中,基线特征是指待处理访问请求携带的信息的基础特征信息,例如,基线特征包括但不限于:发送设备标识(如,发送该访问请求的主机标识,如主机IP)、访问路径(如,URL)、访问文件标识以及关键字(如,访问请求中的key-value中的key的描述信息,如key=name)。基线特征的可选获取方式为解析待处理访问请求得到携带的信息,从解析到的该携带的信息中获取发送设备标识(如,发送该访问请求的主机标识,如主机IP)、访问路径(如,URL)、访问文件标识以及关键字,生成一个待处理访问请求对应的一个基线特征。应理解,基线特征是通信流量特征。
其中,签名可以唯一标识待处理访问请求,且一个待处理访问请求仅对应一个签名,签名可以是一串字符串。可选地,签名的生成方式包括但不限于:根据每个待处理访问请求携带的信息与各正则表达式的匹配结果以及该待处理访问请求携带的信息中的关键字,生成待处理访问请求对应的签名。应理解,签名是内容结构特征。
其中,异常通信规则是webshell规则,webshell规则包括多个正则表达式,该webshell规则中通过正则表达式规定了webshell访问请求会携带的字符或信息或内容。
可选地,可以将待处理访问请求携带的信息中的每个信息都分别与webshell规则中的所有的正则表达式进行匹配,也可以将选择待处理访问请求携带的信息中的部分信息分别与webshell规则中的所有正则表达式进行匹配,例如,可以选择访问路径、访问文件名称。
例如,根据前文所述,解析待处理访问请求得到携带的信息,将携带的信息中的各个key数据按照顺序依次排列,形成key组合(也可以不按照顺序进行排列),如携带的信息以报文的形式发送,根据报文中记载的顺序依次为key1key2key3,且key1=A,key2=B,key3=C,则key的顺序排列为key1key2key3=ABC;然后将携带的信息中的各个信息(即各个数据)与webshell规则中的所有正则表达式进行匹配,得到多个匹配结果,如,将URL“xxx”信息与所有正则表达式进行匹配,当URL“xxx”与webshell规则中的第一个正则表达式匹配时,则确定匹配结果为1,若URL“xxx”信息与第二个正则表达式“IP=yyy”不匹配,则确定匹配结果为0,以此类推,确定该URL“xxx”信息与所有正则表达式的匹配结果,如“000…111”,再去确定待处理访问请求携带的信息中下一个信息,如访问文件名称“yyy”与所有正则表达式的多个匹配结果,以此类推,直到遍历完该待处理访问请求携带的信息中的所有信息,并确定每个信息对应的多个匹配结果的组合,如,000…111…10100…10110”,最终确定该待处理访问请求的签名为“ABC000…111…10100…10110”。
在一些实例中,可以预先生成正常流量基线库和异常流量签名库,正常流量基线库中存储有正常访问请求对应的流量基线,简称为正常流量基线;异常流量签名库中存储有异常访问请求对应的流量签名,简称为异常流量签名。基于此,如图3所示,根据通信流量特征和内容结构特征对待处理访问请求进行类型识别,包括:步骤301:将待处理访问请求的基线特征和签名分别在正常流量基线库和异常流量签名库中进行匹配;步骤302:当待处理访问请求的基线特征未匹配中正常流量基线,且待处理访问请求的签名匹配中异常流量签名时,确定待处理访问请求为第一类访问请求。
可选地,异常流量签名库已经存储在数据处理设备中。
在步骤301中,将待处理访问请求的基线特征和签名分别在正常流量基线库和异常流量签名库中进行匹配。
其中,正常流量基线库中存储有正常访问请求对应的流量基线,即正常流量基线,基线特征库为已经存储在数据处理设备中,正常流量基线是指正常访问请求携带的信息所具有的基础特征信息,例如,正常流量基线包括但不限于:发送设备标识(如,发送该访问请求的主机标识,如主机IP)、访问路径(如,URL)、访问文件标识以及关键字(如,访问请求中的key-value中的key的描述信息,如key=name)。
应理解,正常流量基线与上述基线特征中包含的特征信息属性是一样的,特征信息属性是指“设备标识”,而不是设备标识对应的数值,如标识“001”。
其中,异常流量签名库中存储有异常访问请求对应的流量签名,即异常流量签名,异常流量签名是指可唯一标识异常访问请求中的信息;异常流量签名也是由异常访问请求中携带的信息中的关键字组合(即“key组合”)与多个匹配结果的组合(由“0”或“1”形成的)生成的,该多个匹配结果的组合是指,先将携带的信息中的每个信息(或数据)分别与webshell规则中的所有正则表达式进行匹配得到的匹配结果组合。
可选地,步骤301中的匹配操作可以采用执行方式1,即先将基线特征与正常流量基线库进行匹配,再将签名与异常流量签名库进行匹配。或者,步骤301中的匹配操作也可以采用执行方式2,即先将签名与异常流量签名库进行匹配,再将基线特征与正常流量基线库进行匹配。
步骤302:当待处理访问请求的基线特征未匹配中正常流量基线,且待处理访问请求的签名匹配中异常流量签名时,确定待处理访问请求为第一类访问请求。
其中,基线特征未匹配中正常流量基线是指基线特征中的任一个特征信息对应的数据未出现在正常流量基线对应的数据中。待处理访问请求的签名匹配中异常流量签名是指该签名出现在异常流量签名库中。
此外,当待处理访问请求的基线特征匹配中正常流量基线,且待处理访问请求的签名未匹配中异常流量签名时,则确定待处理访问请求为第二类访问请求。可选地,当数据处理设备拦截了待处理访问请求,则将确定为第二类访问请求的待处理访问请求发送至对应的数据响应设备,以使数据响应设备能够根据该第二类访问请求进行数据响应。当数据处理设备复制并分流了待处理访问请求,则数据处理设备不对该第二类访问请求做任何处理。
应理解,正常流量基线应该是每个特征信息属性包含有多个特征值,如主机IP“xxx”、“yyy”……“zzz”等。异常流量签名也是包含有多个签名。
在一些实例中,如图4所示,将待处理访问请求的基线特征和签名分别与正常流量基线和异常流量签名进行匹配,包括以下步骤:
步骤401:将待处理访问请求的基线特征在正常流量基线库中进行匹配。
其中,匹配方式可选为,将基线特征中的每个特征信息分别与正常流量基线库中的所有正常流量基线中的特征信息进行对比。
步骤402:当待处理访问请求的基线特征未匹配中正常流量基线时,将待处理访问请求的签名在异常流量签名库中进行匹配。
其中,当基线特征中的任一特征信息与正常流量基线库中的所有正常流量基线的特征信息都不同时,则视为基线特征未匹配中正常流量基线。此时,将待处理访问请求的签名在异常流量签名库中进行匹配。匹配方式可选为,将该待处理访问请求的唯一签名与异常流量签名库中的所有异常流量签名进行对比。
步骤403:当待处理访问请求的签名匹配中异常流量签名时,确定待处理访问请求为第一类访问请求。其中,若该签名与至少一个异常流量签名相同,则视为待处理访问请求的签名匹配中异常流量签名时,则该待处理访问请求为第一类访问请求。
在一些实例中,该方法200进一步包括:当待处理访问请求的基线特征未匹配中正常流量基线,且待处理访问请求的签名未匹配中异常流量签名时,确定待处理访问请求对应的访问地址,并在预置时间内统计访问地址的访问数量,在访问数量小于设定阈值时,确定待处理访问请求为第一类访问请求。
其中,统计访问地址的访问数量可以是从访问设备的维度进行统计的数量,即统计对该访问地址发起访问的设备的数量,可以是根据MAC地址或设备标识来识别对该访问地址发起访问的不同的设备。当然,在IP地址固定场景中,也可以根据IP地址来识别对该访问地址发起访问的不同的设备。
例如,根据前文所述,若基线特征未匹配中正常流量基线,且签名也没有匹配中异常流量签名时,则从该待处理访问请求携带的数据中确定访问路径URL如“aaa”,并且从此时起,在预置时间到达时,如1分钟,确定访问该URL“aaa”的访问主机的数量,当访问主机的数量小于阈值,如“50”,则确定该处理访问请求为第一类访问请求。
应理解,统计访问地址的访问数量还可以是从请求的维度进行统计的数量,即在预置时间内统计请求对访问地址进行访问的访问请求的数量,这里的访问请求既包含来自不同设备的访问请求,也包含来自同一设备的多个访问请求。
在一些实例中,该方法200进一步包括:当待处理访问请求的基线特征匹配中正常流量基线时,或者,当访问数量大于或等于设定阈值时,确定待处理访问请求为第二类访问请求。
例如,根据前文所述,若基线特征匹配中正常流量基线,则直接确定该待处理访问请求为第二类访问请求。或者,若当访问主机的数量大于阈值,如“50”,则直接确定该待处理访问请求为第二类访问请求。
在一些实例中,在将待处理访问请求的基线特征和签名分别在正常流量基线库和异常流量签名库中进行匹配之前,该方法200还包括:获取至少一个历史访问请求;根据异常通信规则从至少一个历史访问请求中识别出第一类历史访问请求和第二类历史访问请求;根据第一类历史访问请求中携带的信息生成异常流量签名库,并根据第二类历史访问请求中携带的信息生成正常流量基线库。
其中,历史访问请求是指在当前时刻之前的时间里,终端向数据响应设备发送的访问请求,历史访问请求中存在的正常访问请求可以是通过实验数据获得,如通过模拟终端访问数据响应设备发送的访问请求。而历史访问请求中存在的webshell访问请求可以从数据响应设备真实接收到的webshell访问请求中获取。将两种访问请求进行混合形成历史访问请求;该历史访问请求可选在当前时间的前一周内的历史访问请求。
其中,异常通信规则是webshell规则,该webshell规则包括多个正则表达式。该webshell规则是指通过正则表达式规定了webshell访问请求会携带的字符或信息或内容,如表示访问地址的正则表达式,表示访问文件名称的正则表达式等。正则表达式是指对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑,用于检索或查询数据、信息、内容等。
例如,根据前文所述,获取前一周内的多个历史访问请求,当一个历史访问请求与webshell规则匹配上时,则该历史访问请求为第一类访问请求,同时确定该第一类访问请求的异常流量签名,将该异常流量签名进行存储,最终形成包含有多个异常流量签名的异常流量签名库;当该历史访问请求与webshell规则未匹配上时,则确定该历史访问请求为第二类访问请求,同时,获取确定为第二类访问请求的历史访问请求的正常流量基线并进行存储,从而形成包含有多个正常流量基线的正常流量基线库。
在一些实例中,根据异常通信规则从至少一个历史访问请求中识别出第一类历史访问请求和第二类历史访问请求,包括:将每个历史访问请求中携带的信息以及每个历史访问请求对应的响应报文中携带的信息分别与多个正则表达式进行匹配;将自身携带的信息以及对应响应报文中携带的信息均匹配中至少一个正则表达式的历史访问请求作为第一类历史访问请求,将除第一类历史访问请求之外的其余历史访问请求作为第二类历史访问请求。
其中,响应报文是指网络中交换与传输的数据单元,响应报文数据包含了数据响应设备发送的完整的数据信息,其长短很不一致,长度不限且可变。例如,数据响应设备标识、响应状态标识以及响应正文信息等。
历史访问请求自身携带的信息匹配中至少一个正则表达式可选为:携带的信息中的访问路径对应的数据与webshell规则中的至少一个正则表达式中的数据相同。
历史访问请求自身携带的信息未匹配中任一个正则表达式可选为:携带的信息中的所有数据与webshell规则中的所有正则表达式中的数据都不相同。
响应报文中携带的信息匹配中至少一个正则表达式可选为:响应报文中携带的信息中的响应正文信息对应的数据与至少一个正则表达式中的数据相同。
响应报文中携带的信息未匹配中任一个正则表达式可选为:响应报文中携带的信息中的所有数据与webshell规则中的所有正则表达式中的数据都不相同。
例如,根据前文所述,若历史访问请求自身携带的信息中的至少一个信息与任一正则表达式匹配(如,该信息与该正则表达式完全相同或该信息包含该正则表达式),且响应报文中携带的信息中的至少一个信息与任一正则表达式匹配,那么该历史访问请求为第一类访问请求。当历史访问请求自身携带的信息或响应报文中携带的信息中的一个信息匹配上一个正则表达式后,就无需再匹配其他的正则表达式了,若该历史访问请求中的自身携带的信息中的所有信息都不满足webshell规则中的所有正则表达式或响应报文中携带的信息中的所有信息都不满足webshell规则中的所有正则表达式,则确定该历史访问请求为第二类访问请求。
当历史访问请求自身携带的信息匹配中至少一个正则表达式,但响应报文中携带的信息未匹配中任一个正则表达式,则该历史访问请求为第二类访问请求。
当历史访问请求对应的响应报文中携带的信息匹配中至少一个正则表达式,但历史访问请求自身携带的信息未匹配中任一个正则表达式,则该历史访问请求为第二类访问请求。
在一些实例中,根据第一类历史访问请求的特征数据生成异常流量签名库,包括:对第一类历史访问请求中每个历史访问请求,根据历史访问请求携带的信息与各正则表达式的匹配结果以及历史访问请求携带的信息中的关键字,生成历史访问请求对应的异常流量签名;其中,第一类历史访问请求中各历史访问请求对应的异常流量签名形成异常流量签名库。
由于异常流量签名的生成过程与前文所述的待处理访问请求的签名生成过程相同,此处就不再详细赘述。
在一些实例中,根据第二类历史访问请求的特征数据生成正常流量基线库,包括:针对第二类历史访问请求中每个历史访问请求,从历史访问请求携带的信息中提取设备标识、访问路径、访问文件标识以及关键字形成历史访问请求对应的正常流量基线;其中,第二类历史访问请求中各历史访问请求对应的正常流量基线形成正常流量基线库。由于正常流量基线的形成过程与前文所述的待处理访问请求的基线特征获取过程相同,此处就不再详细赘述。在一些实例中,该方法200进一步还包括:当识别出待处理访问请求为第二类访问请求时,允许待处理访问请求直接访问对应的数据响应设备。
例如,根据前文所述,当数据处理设备对过滤出的HTTP类型的访问请求进行拦截后,且识别出其中的第二类访问请求,则撤销对该第二类访问请求的拦截动作,使得该第二类访问请求继续访问对应的数据响应设备,以使数据响应设备响应该第二类访问请求返回响应数据至终端。
在一些实例中,在对待处理访问请求进行访问处理之前,先对待处理访问请求进行异常识别,则在该应用场景中,该方法200进一步还包括:当机器学习模型识别出待处理访问请求是异常访问请求时,禁止将待处理访问请求访问发送给对应的数据响应设备;或者,当机器学习模型识别出待处理访问请求是异常访问请求时,将待处理访问请求对应的设备标识添加至异常设备库中,以供对应数据响应设备拒绝来自设备标识的后续访问请求。
可选地,禁止待处理访问请求的方式:当数据处理设备对过滤出的HTTP类型访问请求进行拦截后,可以直接丢弃机器学习模型识别出的该webshell访问请求。
其中,异常设备库是指存储有多个发送异常访问请求的设备标识的数据库,可选地,异常访问请求为webshell访问请求。例如,可以将机器学习模型识别出的该webshell访问请求中的主机标识存储至对应的区域中,从而形成具有多个主机标识的异常设备库,以便后续其他数据响应设备读取该异常设备库中的主机标识,进而帮助其他数据响应设备识别出接收到的webshell访问请求。
在另一些实例中,对待处理访问请求进行复制与分流,一路对待处理访问请求进行访问处理,另一路对待处理访问请求进行异常识别,在该应用场景中,当机器学习模型识别出待处理访问请求是异常访问请求时,可以将待处理访问请求对应的设备标识添加至异常设备库中,以供对应数据响应设备拒绝来自该设备标识的后续访问请求;或者,可以根据webshell访问请求中的访问地址确定对应的数据响应设备,发送阻断通知至对应的数据响应设备,该阻断通知携带发送该webshell访问请求的设备标识,使得该对应的数据响应设备能够拒绝后续来自该设备标识的webshell访问请求的访问。
下面结合示例性应用场景对本申请技术方案进行详细说明:
场景1:在云服务器面向云客户端提供视频播放服务的应用场景中,用户的终端上安装云客户端,当用户需要播放云服务器提供的视频时,可以对其终端上的云客户端进行操作,向云服务器发送视频播放请求。在该应用场景中,云服务器上具有本申请前述实施例提供的异常请求识别功能,云服务器接收到云客户端发送视频播放请求后,先判断该视频播放请求是否是HTTP类型的访问请求;若判断结果为是,获取该视频播放请求的基线特征,并与正常流量基线库中的正常流量基线匹配,若该视频播放请求的基线特征未匹配中正常流量基线,可以确定该视频播放请求可能属于疑似webshell访问请求;进而获取该视频播放请求的签名,并与异常流量签名库中的签名进行匹配;若该视频播放请求的签名匹配中异常流量签名,确定该视频播放请求属于疑似webshell访问请求,将该视频播放请求送入机器学习模型进行异常识别,以通过机器模型最终确定该视频播放请求是否属于webshell访问请求。
场景2:在云服务器面向云客户端提供视频播放服务的应用场景中,用户的终端上安装云客户端,当用户需要播放云服务器提供的视频时,可以对其终端上的云客户端进行操作,向云服务器发送视频播放请求。在该应用场景中,还部署于由异常识别服务器,该异常识别服务器具有本申请前述实施例提供的异常请求识别功能。在本实施例中,可以将视频播放请求复制为两份,一份送给云服务器,一份送入异常识别服务器。
云服务器接收到视频播放请求后,获取相应视频内容并返回给云客户端进行播放,保证用户及时看到相关视频内容。
异常识别服务器接收到视频播放请求后,获取该视频播放请求的基线特征,并与正常流量基线库中的正常流量基线匹配,若该视频播放请求的基线特征未匹配中正常流量基线,确定该视频播放请求可能属于疑似webshell访问请求;进而获取该视频播放请求的签名,并与异常流量签名库中的签名进行匹配;若该视频播放请求的签名匹配中异常流量签名,确定该视频播放请求属于疑似webshell访问请求,将该视频播放请求送入机器学习模型进行异常识别,以通过机器模型最终确定该视频播放请求是否是webshell访问请求。
可选地,若在上述过程中视频播放请求的签名未匹配中异常流量签名,异常识别服务器可以获取该视频播放请求的访问地址,从此时起开始计算,在预置时间1分钟内对该访问地址发起访问的主机数量,当该数量大于阈值例如50时,则确定该视频播放请求为正常访问请求,当数量小于或等于阈值例如50时,则确定该视频播放请求为疑似webshell访问请求,并将将该视频播放请求送入参数服务器模型中进行二次识别,最终识别出该视频播放请求是否是webshell访问请求并输出识别结果。
当识别出该视频播放请求是webshell访问请求时,将该视频播放请求的相关信息,例如设备标识提供给云服务器,以供云服务器终止向云客户端提供相关视频内容,或者供云服务器拒绝来自该设备标识的后续视频播放请求,这样后续webshell访问请求将不能访问云服务器,从而保证云服务器的安全。
图5为本申请又一示例性实施例提供的数据处理装置的结构框架示意图。该装置500可以应用于数据处理设备中,该装置500包括获取模块501、生成模块502、类型识别模块503和异常识别模块504,以下针对各个模块的功能进行详细的阐述:
获取模块501,用于获取待处理访问请求。
生成模块502,用于根据待处理访问请求携带的信息,生成待处理访问请求的通信流量特征和内容结构特征;
类型识别模块503,用于根据通信流量特征和内容结构特征对待处理访问请求进行类型识别。
异常识别模块504,用于当识别出待处理访问请求为第一类访问请求时,利用机器学习模型对待处理访问请求进行异常识别。
在一些实例中,生成模块502包括:形成单元以及生成单元;形成单元,用于从待处理访问请求携带的信息中提取设备标识、访问路径、访问文件标识以及关键字形成理访问请求对应的基线特征,作为通信流量特征;生成单元,用于根据待处理访问请求携带的信息与异常通信规则中各正则表达式的匹配结果以及待处理访问请求携带的信息中的关键字,生成待处理访问请求对应的签名,作为内容结构特征。
在一些实例中,如图6所示,类型识别模块503,包括:匹配单元5031,用于将待处理访问请求的基线特征和签名分别在正常流量基线库和异常流量签名库中进行匹配;确定单元5032,用于当待处理访问请求的基线特征未匹配中正常流量基线,且待处理访问请求的签名匹配中异常流量签名时,确定待处理访问请求为第一类访问请求。
在一些实例中,匹配单元5031,具体用于:将待处理访问请求的基线特征在正常流量基线库中进行匹配;当待处理访问请求的基线特征未匹配中正常流量基线时,将待处理访问请求的签名在异常流量签库中名进行匹配;当待处理访问请求的签名匹配中异常流量签名时,确定待处理访问请求为第一类访问请求。
在一些实例中,该装置500进一步包括:第一确定模块,用于当待处理访问请求的基线特征未匹配中正常流量基线,且待处理访问请求的签名未匹配中异常流量签名时,确定待处理访问请求对应的访问地址,并在预置时间内统计访问地址的访问数量,在访问数量小于设定阈值时,确定待处理访问请求为第一类访问请求。
在一些实例中,该装置500进一步包括:第二确定模块,用于当待处理访问请求的基线特征匹配中正常流量基线时,或者,当访问数量大于或等于设定阈值时,确定待处理访问请求为第二类访问请求。
在一些实例中,所述装置500还包括:获得模块,获取至少一个历史访问请求;根据异常通信规则从至少一个历史访问请求中识别出第一类历史访问请求和第二类历史访问请求;根据第一类历史访问请求中携带的信息生成异常流量签名库,并根据第二类历史访问请求中携带的信息生成正常流量基线库。
在一些实例中,异常通信规则是webshell规则,webshell规则包括多个正则表达式。
在一些实例中,获得模块,具体用于:将每个历史访问请求中携带的信息以及每个历史访问请求对应的响应报文中携带的信息分别与多个正则表达式进行匹配;将自身携带的信息以及对应响应报文中携带的信息均匹配中至少一个正则表达式的历史访问请求作为第一类历史访问请求,将除第一类历史访问请求之外的其余历史访问请求作为第二类历史访问请求。
在一些实例中,获得模块,具体用于:对第一类历史访问请求中每个历史访问请求,根据历史访问请求携带的信息与各正则表达式的匹配结果以及历史访问请求携带的信息中的关键字,生成历史访问请求对应的异常流量签名;其中,第一类历史访问请求中各历史访问请求对应的异常流量签名形成异常流量签名库。
在一些实例中,获得模块,具体用于:针对第二类历史访问请求中每个历史访问请求,从历史访问请求携带的信息中提取设备标识、访问路径、访问文件标识以及关键字形成历史访问请求对应的正常流量基线;其中,第二类历史访问请求中各历史访问请求对应的正常流量基线形成正常流量基线库。
在一些实例中,该装置500进一步还包括:允许模块,用于当识别出待处理访问请求为第二类访问请求时,允许待处理访问请求直接访问对应的数据响应设备。
在一些实例中,该装置500进一步还包括:禁止模块,用于当机器学习模型识别出待处理访问请求是异常访问请求时,禁止将待处理访问请求访问发送给对应的数据响应设备;或者当机器学习模型识别出待处理访问请求是异常访问请求时,将待处理访问请求对应的设备标识添加至异常设备库中,以供对应数据响应设备拒绝来自设备标识的后续访问请求。
以上描述了图5所示的处理装置50的内部功能和结构,在一个可能的设计中,图5所示的处理装置500的结构可实现为数据处理服务器700,如图7所示,该数据处理服务器700可以包括:处理器701以及存储器702;
存储器702,用于存储计算机程序;
处理器701,用于执行计算机程序,以用于:
获取待处理访问请求;根据待处理访问请求携带的信息,生成待处理访问请求的通信流量特征和内容结构特征;根据通信流量特征和内容结构特征对待处理访问请求进行类型识别;当识别出待处理访问请求为第一类访问请求时,利用机器学习模型对待处理访问请求进行异常识别。
在一些实例中,处理器701,具体用于:从待处理访问请求携带的信息中提取设备标识、访问路径、访问文件标识以及关键字形成待处理访问请求对应的基线特征,作为通信流量特征;根据待处理访问请求携带的信息与异常通信规则中各正则表达式的匹配结果以及待处理访问请求携带的信息中的关键字,生成待处理访问请求对应的签名,作为内容结构特征。
在一些实例中,处理器701,具体用于:将待处理访问请求的基线特征和签名分别在正常流量基线库和异常流量签名库中进行匹配;当待处理访问请求的基线特征未匹配中正常流量基线,且待处理访问请求的签名匹配中异常流量签名时,确定待处理访问请求为第一类访问请求。
在一些实例中,处理器701,具体用于:将待处理访问请求的基线特征在正常流量基线库中进行匹配;当待处理访问请求的基线特征未匹配中正常流量基线时,将待处理访问请求的签名在异常流量签名库中进行匹配;当待处理访问请求的签名匹配中异常流量签名时,确定待处理访问请求为第一类访问请求。
在一些实例中,处理器701,还用于:当待处理访问请求的基线特征未匹配中正常流量基线,且待处理访问请求的签名未匹配中异常流量签名时,确定待处理访问请求对应的访问地址,并在预置时间内统计访问地址的访问数量,在访问数量小于设定阈值时,确定待处理访问请求为第一类访问请求。
在一些实例中,处理器701,还用于:当待处理访问请求的基线特征匹配中正常流量基线时,或者,当访问数量大于或等于设定阈值时,确定待处理访问请求为第二类访问请求。
在一些实例中,处理器701,还用于:获取至少一个历史访问请求;根据异常通信规则从至少一个历史访问请求中识别出第一类历史访问请求和第二类历史访问请求;根据第一类历史访问请求中携带的信息生成异常流量签名库,并根据第二类历史访问请求中携带的信息生成正常流量基线库。
在一些实例中,异常通信规则是webshell规则,webshell规则包括多个正则表达式。
在一些实例中,处理器701,具体用于:将每个历史访问请求中携带的信息以及每个历史访问请求对应的响应报文中携带的信息分别与多个正则表达式进行匹配;将自身携带的信息以及对应响应报文中携带的信息均匹配中至少一个正则表达式的历史访问请求作为第一类历史访问请求,将除第一类历史访问请求之外的其余历史访问请求作为第二类历史访问请求。
在一些实例中,处理器701,具体用于:对第一类历史访问请求中每个历史访问请求,根据历史访问请求携带的信息与各正则表达式的匹配结果以及历史访问请求携带的信息中的关键字,生成历史访问请求对应的异常流量签名;其中,第一类历史访问请求中各历史访问请求对应的异常流量签名形成异常流量签名库。
在一些实例中,处理器701,具体用于:针对第二类历史访问请求中每个历史访问请求,从历史访问请求携带的信息中提取设备标识、访问路径、访问文件标识以及关键字形成历史访问请求对应的正常流量基线;其中,第二类历史访问请求中各历史访问请求对应的正常流量基线形成正常流量基线库。
在一些实例中,该数据处理服务器700可以包括:通信组件703,处理器701,还用于:当识别出待处理访问请求为第二类访问请求时,通过通信组件703允许待处理访问请求直接访问对应的数据响应设备。
在一些实例中,处理器701,还用于:当机器学习模型识别出待处理访问请求是异常访问请求时,禁止将待处理访问请求访问发送给对应的数据响应设备;或者当机器学习模型识别出待处理访问请求是异常访问请求时,将待处理访问请求对应的设备标识添加至异常设备库中,以供对应数据响应设备拒绝来自设备标识的后续访问请求。
在本申请实施例中,数据处理设备通过对待处理访问请求进行类型识别,当识别出待处理请求为第一类访问请求时,利用机器学习模型对待处理请求进行异常识别,能够较为准确地识别出异常访问请求,同时,有效减少了机器学习模型进行需要识别的访问请求数量,节省了云服务器的计算资源,提高了云服务器的性能。
另外,本发明实施例提供了一种计算机存储介质,计算机程序被一个或多个处理器执行时,致使一个或多个处理器实现图2所示方法实施例中数据处理方法的步骤。
另外,在上述实施例及附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如201、202、203等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程多媒体数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程多媒体数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程多媒体数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程多媒体数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (17)
1.一种数据处理方法,其特征在于,包括:
获取待处理访问请求;
根据所述待处理访问请求携带的信息,生成所述待处理访问请求的通信流量特征和内容结构特征;
根据所述通信流量特征和所述内容结构特征对所述待处理访问请求进行类型识别;
当识别出所述待处理访问请求为第一类访问请求时,利用机器学习模型对所述待处理访问请求进行异常识别。
2.根据权利要求1所述的方法,其特征在于,根据所述待处理访问请求携带的信息,生成所述待处理访问请求的通信流量特征和内容结构特征,包括:
从所述待处理访问请求携带的信息中提取设备标识、访问路径、访问文件标识以及关键字形成所述待处理访问请求对应的基线特征,作为通信流量特征;
根据所述待处理访问请求携带的信息与异常通信规则中各正则表达式的匹配结果以及所述待处理访问请求携带的信息中的关键字,生成所述待处理访问请求对应的签名,作为内容结构特征。
3.根据权利要求2所述的方法,其特征在于,所述根据所述通信流量特征和内容结构特征对所述待处理访问请求进行类型识别,包括:
将所述待处理访问请求的基线特征和签名分别在正常流量基线库和异常流量签名库中进行匹配;
当所述待处理访问请求的基线特征未匹配中正常流量基线,且所述待处理访问请求的签名匹配中异常流量签名时,确定所述待处理访问请求为第一类访问请求。
4.根据权利要求3所述的方法,其特征在于,将所述待处理访问请求的基线特征和签名分别在正常流量基线库和异常流量签名库中进行匹配,包括:
将所述待处理访问请求的基线特征在正常流量基线库中进行匹配;
当所述待处理访问请求的基线特征未匹配中正常流量基线时,将所述待处理访问请求的签名在异常流量签名库中进行匹配;
当所述待处理访问请求的签名匹配中异常流量签名时,确定所述待处理访问请求为第一类访问请求。
5.根据权利要求3所述的方法,其特征在于,所述方法进一步包括:
当所述待处理访问请求的基线特征未匹配中正常流量基线,且所述待处理访问请求的签名未匹配中异常流量签名时,确定所述待处理访问请求对应的访问地址,并在预置时间内统计所述访问地址的访问数量,在所述访问数量小于设定阈值时,确定所述待处理访问请求为第一类访问请求。
6.根据权利要求5所述的方法,其特征在于,所述方法进一步包括:
当所述待处理访问请求的基线特征匹配中正常流量基线时,或者,当所述访问数量大于或等于设定阈值时,确定所述待处理访问请求为第二类访问请求。
7.根据权利要求3所述的方法,其特征在于,在将所述待处理访问请求的基线特征和签名分别在正常流量基线库和异常流量签名库中进行匹配之前,所述方法还包括:
获取至少一个历史访问请求;
根据异常通信规则从所述至少一个历史访问请求中识别出第一类历史访问请求和第二类历史访问请求;
根据所述第一类历史访问请求中携带的信息生成异常流量签名库,并根据所述第二类历史访问请求中携带的信息生成正常流量基线库。
8.根据权利要求7所述的方法,其特征在于,根据异常通信规则从所述至少一个历史访问请求中识别出第一类历史访问请求和第二类历史访问请求,包括:
将每个历史访问请求中携带的信息以及每个历史访问请求对应的响应报文中携带的信息分别与所述异常通信规则包含的多个正则表达式进行匹配;
将自身携带的信息以及对应响应报文中携带的信息均匹配中至少一个正则表达式的历史访问请求作为第一类历史访问请求,将除所述第一类历史访问请求之外的其余历史访问请求作为第二类历史访问请求。
9.根据权利要求7所述的方法,其特征在于,所述根据所述第一类历史访问请求的特征数据生成异常流量签名库,包括:
对所述第一类历史访问请求中每个历史访问请求,根据所述历史访问请求携带的信息与所述异常通信规则包含的各正则表达式的匹配结果以及所述历史访问请求携带的信息中的关键字,生成所述历史访问请求对应的异常流量签名;
其中,所述第一类历史访问请求中各历史访问请求对应的异常流量签名形成所述异常流量签名库。
10.根据权利要求7所述的方法,其特征在于,根据所述第二类历史访问请求的特征数据生成正常流量基线库,包括:
针对所述第二类历史访问请求中每个历史访问请求,从所述历史访问请求携带的信息中提取设备标识、访问路径、访问文件标识以及关键字形成所述历史访问请求对应的正常流量基线;
其中,所述第二类历史访问请求中各历史访问请求对应的正常流量基线形成所述正常流量基线库。
11.根据权利要求1-10任一项所述的方法,其特征在于,所述方法进一步还包括:
当识别出所述待处理访问请求为第二类访问请求时,允许所述待处理访问请求直接访问对应的数据响应设备。
12.根据权利要求1-10任一项所述的方法,其特征在于,所述方法进一步还包括:
当所述机器学习模型识别出所述待处理访问请求是异常访问请求时,禁止将所述待处理访问请求访问发送给对应的数据响应设备;或者
当所述机器学习模型识别出所述待处理访问请求是异常访问请求时,将所述待处理访问请求对应的设备标识添加至异常设备库中,以供对应数据响应设备拒绝来自所述设备标识的后续访问请求。
13.一种数据处理设备,其特征在于,包括存储器以及处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以用于:
获取待处理访问请求;
根据所述待处理访问请求携带的信息,生成所述待处理访问请求的通信流量特征和内容结构特征;
根据所述通信流量特征和所述内容结构特征对所述待处理访问请求进行类型识别;
当识别出所述待处理访问请求为第一类访问请求时,利用机器学习模型对所述待处理访问请求进行异常识别。
14.根据权利要求13所述的设备,其特征在于,所述处理器,具体用于:
从所述待处理访问请求携带的信息中提取设备标识、访问路径、访问文件标识以及关键字形成所述待处理访问请求对应的基线特征,作为通信流量特征;
根据所述待处理访问请求携带的信息与异常通信规则中各正则表达式的匹配结果以及所述待处理访问请求携带的信息中的关键字,生成所述待处理访问请求对应的签名,作为内容结构特征。
15.根据权利要求14所述的设备,其特征在于,所述处理器,具体用于:
将所述待处理访问请求的基线特征和签名分别在正常流量基线库和异常流量签名库中进行匹配;
当所述待处理访问请求的基线特征未匹配中正常流量基线,且所述待处理访问请求的签名匹配中异常流量签名时,确定所述待处理访问请求为第一类访问请求。
16.根据权利要求15所述的设备,其特征在于,所述处理器,还用于:当所述待处理访问请求的基线特征未匹配中正常流量基线,且所述待处理访问请求的签名未匹配中异常流量签名时,确定所述待处理访问请求对应的访问地址,并在预置时间内统计所述访问地址的访问数量,在所述访问数量小于设定阈值时,确定所述待处理访问请求为第一类访问请求。
17.一种存储有计算机程序的计算机可读存储介质,其特征在于,计算机程序被一个或多个处理器执行时,致使所述一个或多个处理器实现权利要求1-12任一项所述方法中的步骤。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811108788.2A CN110943961B (zh) | 2018-09-21 | 2018-09-21 | 数据处理方法、设备以及存储介质 |
TW108124233A TW202013234A (zh) | 2018-09-21 | 2019-07-10 | 資料處理方法、設備以及儲存媒介 |
US16/578,034 US11418525B2 (en) | 2018-09-21 | 2019-09-20 | Data processing method, device and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811108788.2A CN110943961B (zh) | 2018-09-21 | 2018-09-21 | 数据处理方法、设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110943961A true CN110943961A (zh) | 2020-03-31 |
CN110943961B CN110943961B (zh) | 2022-06-21 |
Family
ID=69885049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811108788.2A Active CN110943961B (zh) | 2018-09-21 | 2018-09-21 | 数据处理方法、设备以及存储介质 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11418525B2 (zh) |
CN (1) | CN110943961B (zh) |
TW (1) | TW202013234A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111756707A (zh) * | 2020-06-08 | 2020-10-09 | 中国电信集团工会上海市委员会 | 一种应用于全球广域网的后门安全防护装置和方法 |
CN113297241A (zh) * | 2021-06-11 | 2021-08-24 | 工银科技有限公司 | 网络流量的判断方法、装置、设备、介质和程序产品 |
CN113762306A (zh) * | 2021-01-13 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 模型训练方法、装置、电子设备和计算机可读介质 |
CN113904829A (zh) * | 2021-09-29 | 2022-01-07 | 上海市大数据股份有限公司 | 一种基于机器学习的应用防火墙系统 |
CN114268957A (zh) * | 2021-11-30 | 2022-04-01 | 中国联合网络通信集团有限公司 | 异常业务数据处理方法、装置、服务器及存储介质 |
CN115174131A (zh) * | 2022-07-13 | 2022-10-11 | 陈文浩 | 基于异常流量识别的信息拦截方法、系统及云平台 |
CN115603955A (zh) * | 2022-09-26 | 2023-01-13 | 北京百度网讯科技有限公司(Cn) | 异常访问对象识别方法、装置、设备和介质 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111897701B (zh) * | 2020-07-15 | 2023-08-11 | 中国工商银行股份有限公司 | 针对应用的告警处理方法、装置、计算机系统和介质 |
US11063881B1 (en) * | 2020-11-02 | 2021-07-13 | Swarmio Inc. | Methods and apparatus for network delay and distance estimation, computing resource selection, and related techniques |
CN112511384B (zh) * | 2020-11-26 | 2022-09-02 | 广州品唯软件有限公司 | 流量数据处理方法、装置、计算机设备和存储介质 |
CN112364348B (zh) * | 2020-11-30 | 2021-10-12 | 杭州美创科技有限公司 | 一种数据库安全异常识别方法及系统 |
CN112685736B (zh) * | 2021-03-18 | 2021-06-29 | 北京安博通科技股份有限公司 | 一种webshell识别方法、装置及计算机可读存储介质 |
CN115189901B (zh) * | 2021-04-07 | 2024-02-06 | 北京达佳互联信息技术有限公司 | 异常请求的识别方法、装置、服务器及存储介质 |
CN115221213A (zh) * | 2021-04-20 | 2022-10-21 | 北京字节跳动网络技术有限公司 | 一种请求识别方法、装置、设备及存储介质 |
EP4099621A3 (en) * | 2021-06-01 | 2023-03-22 | Cytwist Ltd. | Artificial intelligence cyber identity classification |
CN116185672B (zh) * | 2023-04-28 | 2023-08-22 | 北京亿赛通科技发展有限责任公司 | 一种数据监控方法、装置及存储介质 |
CN118337466A (zh) * | 2024-04-25 | 2024-07-12 | 江苏派智信息科技有限公司 | 一种基于大数据的信息安全保护方法及系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102567661A (zh) * | 2010-12-31 | 2012-07-11 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
CN105208037A (zh) * | 2015-10-10 | 2015-12-30 | 中国人民解放军信息工程大学 | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 |
US20160021122A1 (en) * | 2014-07-15 | 2016-01-21 | Cisco Technology, Inc. | Explaining causes of network anomalies |
US20160105462A1 (en) * | 2008-12-16 | 2016-04-14 | At&T Intellectual Property I, L.P. | Systems and Methods for Rule-Based Anomaly Detection on IP Network Flow |
CN106656932A (zh) * | 2015-11-02 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种业务处理方法及装置 |
CN106713371A (zh) * | 2016-12-08 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
CN107483451A (zh) * | 2017-08-25 | 2017-12-15 | 西安电子科技大学 | 基于串并行结构网络安全数据处理方法及系统、社交网络 |
CN107612948A (zh) * | 2017-11-08 | 2018-01-19 | 国网四川省电力公司信息通信公司 | 一种入侵防御系统及方法 |
CN107888571A (zh) * | 2017-10-26 | 2018-04-06 | 江苏省互联网行业管理服务中心 | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 |
CN108345795A (zh) * | 2017-01-23 | 2018-07-31 | 西普霍特公司 | 用于检测和分类恶意软件的系统和方法 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9628362B2 (en) | 2013-02-05 | 2017-04-18 | Cisco Technology, Inc. | Learning machine based detection of abnormal network performance |
US9083677B1 (en) * | 2013-12-19 | 2015-07-14 | Fortinet, Inc. | Human user verification of high-risk network access |
WO2016138067A1 (en) | 2015-02-24 | 2016-09-01 | Cloudlock, Inc. | System and method for securing an enterprise computing environment |
US9979606B2 (en) | 2015-03-04 | 2018-05-22 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
CN106998317B (zh) | 2016-01-22 | 2019-08-20 | 高德信息技术有限公司 | 异常访问请求识别方法及装置 |
KR101844136B1 (ko) | 2016-04-27 | 2018-05-14 | 한국과학기술원 | 분산 소프트웨어 정의 네트워킹 환경에서 네트워크 이상을 감지하는 방법, 장치 및 컴퓨터 프로그램 |
CN107360118B (zh) * | 2016-05-09 | 2021-02-26 | 中国移动通信集团四川有限公司 | 一种高级持续威胁攻击防护方法及装置 |
JP7088913B2 (ja) | 2016-09-16 | 2022-06-21 | オラクル・インターナショナル・コーポレイション | 脅威を検出するための動的ポリシーの導入およびアクセスの可視化 |
JP6919186B2 (ja) | 2016-12-14 | 2021-08-18 | オムロン株式会社 | 制御システム、制御プログラムおよび制御方法 |
JP6468313B2 (ja) | 2017-06-08 | 2019-02-13 | オムロン株式会社 | 制御装置、制御プログラムおよび制御方法 |
JP6903976B2 (ja) | 2017-03-22 | 2021-07-14 | オムロン株式会社 | 制御システム |
US10719780B2 (en) | 2017-03-31 | 2020-07-21 | Drvision Technologies Llc | Efficient machine learning method |
US10419468B2 (en) | 2017-07-11 | 2019-09-17 | The Boeing Company | Cyber security system with adaptive machine learning features |
US10949821B1 (en) * | 2017-09-26 | 2021-03-16 | Wells Fargo Bank, N.A. | Forensic assisting and tracing for automated teller machines |
US11221611B2 (en) | 2018-01-24 | 2022-01-11 | Milwaukee Electric Tool Corporation | Power tool including a machine learning block |
EP4312420A3 (en) | 2018-02-20 | 2024-04-03 | Darktrace Holdings Limited | A method for sharing cybersecurity threat analysis and defensive measures amongst a community |
US20190280942A1 (en) | 2018-03-09 | 2019-09-12 | Ciena Corporation | Machine learning systems and methods to predict abnormal behavior in networks and network data labeling |
-
2018
- 2018-09-21 CN CN201811108788.2A patent/CN110943961B/zh active Active
-
2019
- 2019-07-10 TW TW108124233A patent/TW202013234A/zh unknown
- 2019-09-20 US US16/578,034 patent/US11418525B2/en active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160105462A1 (en) * | 2008-12-16 | 2016-04-14 | At&T Intellectual Property I, L.P. | Systems and Methods for Rule-Based Anomaly Detection on IP Network Flow |
CN102567661A (zh) * | 2010-12-31 | 2012-07-11 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
US20160021122A1 (en) * | 2014-07-15 | 2016-01-21 | Cisco Technology, Inc. | Explaining causes of network anomalies |
CN105208037A (zh) * | 2015-10-10 | 2015-12-30 | 中国人民解放军信息工程大学 | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 |
CN106656932A (zh) * | 2015-11-02 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种业务处理方法及装置 |
CN106713371A (zh) * | 2016-12-08 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
CN108345795A (zh) * | 2017-01-23 | 2018-07-31 | 西普霍特公司 | 用于检测和分类恶意软件的系统和方法 |
CN107483451A (zh) * | 2017-08-25 | 2017-12-15 | 西安电子科技大学 | 基于串并行结构网络安全数据处理方法及系统、社交网络 |
CN107888571A (zh) * | 2017-10-26 | 2018-04-06 | 江苏省互联网行业管理服务中心 | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 |
CN107612948A (zh) * | 2017-11-08 | 2018-01-19 | 国网四川省电力公司信息通信公司 | 一种入侵防御系统及方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111756707A (zh) * | 2020-06-08 | 2020-10-09 | 中国电信集团工会上海市委员会 | 一种应用于全球广域网的后门安全防护装置和方法 |
CN113762306A (zh) * | 2021-01-13 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 模型训练方法、装置、电子设备和计算机可读介质 |
CN113297241A (zh) * | 2021-06-11 | 2021-08-24 | 工银科技有限公司 | 网络流量的判断方法、装置、设备、介质和程序产品 |
CN113904829A (zh) * | 2021-09-29 | 2022-01-07 | 上海市大数据股份有限公司 | 一种基于机器学习的应用防火墙系统 |
CN113904829B (zh) * | 2021-09-29 | 2024-01-23 | 上海市大数据股份有限公司 | 一种基于机器学习的应用防火墙系统 |
CN114268957A (zh) * | 2021-11-30 | 2022-04-01 | 中国联合网络通信集团有限公司 | 异常业务数据处理方法、装置、服务器及存储介质 |
CN114268957B (zh) * | 2021-11-30 | 2023-07-04 | 中国联合网络通信集团有限公司 | 异常业务数据处理方法、装置、服务器及存储介质 |
CN115174131A (zh) * | 2022-07-13 | 2022-10-11 | 陈文浩 | 基于异常流量识别的信息拦截方法、系统及云平台 |
CN115603955A (zh) * | 2022-09-26 | 2023-01-13 | 北京百度网讯科技有限公司(Cn) | 异常访问对象识别方法、装置、设备和介质 |
CN115603955B (zh) * | 2022-09-26 | 2023-11-07 | 北京百度网讯科技有限公司 | 异常访问对象识别方法、装置、设备和介质 |
Also Published As
Publication number | Publication date |
---|---|
TW202013234A (zh) | 2020-04-01 |
US11418525B2 (en) | 2022-08-16 |
US20200099710A1 (en) | 2020-03-26 |
CN110943961B (zh) | 2022-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110943961B (zh) | 数据处理方法、设备以及存储介质 | |
CN109246064B (zh) | 安全访问控制、网络访问规则的生成方法、装置及设备 | |
WO2017166644A1 (zh) | 一种数据采集方法和系统 | |
CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
JP6734946B2 (ja) | 情報を生成するための方法及び装置 | |
US20150143215A1 (en) | Method and system for accessing audio/video community virtual rooms | |
CN108469972B (zh) | 支持web页面中显示多窗口的方法和装置 | |
WO2017167208A1 (zh) | 识别恶意网站的方法、装置及计算机存储介质 | |
US11477179B2 (en) | Searching content associated with multiple applications | |
CN103036910B (zh) | 一种用户Web访问行为控制方法及装置 | |
CN112347501A (zh) | 数据处理方法、装置、设备及存储介质 | |
CN111163072A (zh) | 机器学习模型中特征值的确定方法、装置及电子设备 | |
WO2024027328A1 (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
CN112036125A (zh) | 一种文档管理方法、装置及计算机设备 | |
CN113282628A (zh) | 大数据平台访问方法、装置及大数据平台、电子设备 | |
CN105184559B (zh) | 一种支付系统及方法 | |
CN112214769A (zh) | 基于SGX架构的Windows系统的主动度量系统 | |
US11916875B2 (en) | System and method for multi-layered rule learning in URL filtering | |
US11936658B2 (en) | Intelligent assignment of a network resource | |
WO2015078124A1 (zh) | 一种网络数据处理方法及装置 | |
CN113486025A (zh) | 数据存储方法、数据查询方法及装置 | |
CN112748960A (zh) | 一种进程控制方法、装置、电子设备及存储介质 | |
CN113067842B (zh) | 数据处理方法、装置、设备及计算机存储介质 | |
CN115033187B (zh) | 一种基于大数据的分析管理方法 | |
CN112579830B (zh) | Id识别方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |