CN111030992A - 检测方法、服务器及计算机可读存储介质 - Google Patents
检测方法、服务器及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111030992A CN111030992A CN201911086500.0A CN201911086500A CN111030992A CN 111030992 A CN111030992 A CN 111030992A CN 201911086500 A CN201911086500 A CN 201911086500A CN 111030992 A CN111030992 A CN 111030992A
- Authority
- CN
- China
- Prior art keywords
- access behavior
- website
- vector
- access
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及通信领域,公开了一种检测方法、服务器及计算机可读存储介质。本申请的部分实施例中,该检测方法包括:根据访问行为涉及的网站的标识信息,以及预先训练的向量模型的参数矩阵,确定访问行为的特征向量;其中,向量模型基于网站的初始向量训练得到;根据访问行为的特征向量,以及预训练的自编码器,确定访问行为是否为异常访问行为。该实施例中的检测方法能够检测出异常访问行为,保障网络安全。
Description
技术领域
本发明实施例涉及通信领域,特别涉及一种检测方法、服务器及计算机可读存储介质。
背景技术
互联网中存在一些异常用户,他们与大多数正常用户的行为有所不同,他们可能会通过一些违规甚至违法的手段为自己牟取利益。比如,将自己申请的宽带分享给其他人使用,并收取一定的报酬;攻击网络中的其他用户,通过一些手段获取用户的登陆权限、银行账户密码或私密资料。如果能够通过用户的上网行为,分析出存在异常行为的用户,就能采取对应的措施,减少因为这些违规行为对大众造成的损失。
然而,发明人发现现有技术中至少存在如下问题:目前无法判断某一用户是否是异常用户。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本发明实施方式的目的在于提供一种检测方法、服务器及计算机可读存储介质,使得能够检测出异常访问行为,保障网络安全。
为解决上述技术问题,本发明的实施方式提供了一种检测方法,包括以下步骤:根据访问行为涉及的网站的标识信息,以及预先训练的向量模型的参数矩阵,确定访问行为的特征向量;其中,向量模型基于网站的初始向量训练得到;根据访问行为的特征向量,以及预训练的自编码器,确定访问行为是否为异常访问行为。
本发明的实施方式还提供了一种服务器,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述实施方式提及的检测方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现上述实施方式提及的检测方法。
本发明实施方式相对于现有技术而言,向量模型是基于访问行为涉及的网站的初始向量得到的,故向量模型的参数矩阵可以体现网站或访问行为的特征。基于向量模型的参数矩阵和访问行为涉及的网站,提取访问行为的特征向量,并结合自编码器识别异常访问行为,保障了网络安全。除此之外,识别过程中,使用基于深度学习的无监督的向量模型和自编码器,无需对数据进行人工标注,减少了人工成本。
另外,向量模型的样本数据包括网站的初始向量,监督信息根据预先获取的网站访问记录中网站的上下文网站的初始向量确定,参数矩阵为向量模型的输入层到隐藏层的参数矩阵,指示网站的特征向量;根据访问行为涉及的网站的标识信息,以及向量模型的参数矩阵,确定访问行为的特征向量,具体包括:根据网站的标识信息,以及预先训练的向量模型的参数矩阵,确定网站的特征向量;根据网站的特征向量,确定访问行为的特征向量。该实现中,提高了服务器检测异常访问行为的召回率。
另外,根据网站的特征向量,确定访问行为的特征向量,具体包括:将访问行为涉及的每个网站的特征向量相加,得到访问行为的特征向量。该实现中,使得简化了计算量。
另外,向量模型的样本数据包括访问行为的初始向量,访问行为的监督信息根据网站的初始向量确定,参数矩阵为向量模型的输入层到隐藏层的参数矩阵,指示访问行为的特征向量。
另外,访问行为涉及的网站的初始向量根据访问行为涉及的网站的独热编码确定。
另外,根据访问行为的特征向量,以及预训练的自编码器,确定访问行为是否为异常访问行为,具体包括:将访问行为的特征向量作为自编码器的输入;根据自编码器的输入和自编码器的输出,确定访问行为的异常得分;根据访问行为的异常得分,以及预定义的判断标准,判断访问行为是否为异常访问行为。
另外,自编码器的损失函数为均方误差MSE函数;根据自编码器的输入和自编码器的输出,确定访问行为的异常得分,具体包括:计算自编码器的输出与自编码器的输入的均方误差;将均方误差作为访问行为的异常得分。
另外,判断标准为:若访问行为的异常得分大于阈值,则判定访问行为为异常访问行为;若访问行为的异常得分不大于阈值,则判定访问行为为正常访问行为;或者,判断标准为:按照异常得分的大小对访问行为进行排序,确定异常得分最大的M个访问行为;若访问行为是异常得分最大的M个访问行为中的访问行为,则判定访问行为为异常访问行为,M为正整数。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是本发明的第一实施方式的检测方法的流程图;
图2是本发明的第二实施方式的检测方法的流程图;
图3是本发明的第三实施方式的检测装置的结构示意图;
图4是本发明的第四实施方式的服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本发明的第一实施方式涉及一种检测方法,应用于服务器。如图1所示,检测方法包括以下步骤:
步骤101:根据访问行为涉及的网站的标识信息,以及预先训练的向量模型的参数矩阵,确定访问行为的特征向量。
具体地说,访问行为包括一个用户的多个连续访问请求,访问行为涉及的网站是指多个连续访问请求所访问的网站。各个访问请求可以由用户触发,也可以由机器触发。向量模型基于网站的初始向量训练得到。该向量模型用于确定网站的特征向量,或者,访问行为的特征向量。
在一个实施例中,向量模型可以是基于无监督的深度学习网络模型,例如,可以是item2vec模型。服务器利用访问行为涉及的网站的标识信息,以及使用item2vec模型训练,得到访问行为的特征向量。
需要说明的是,本领域技术人员可以理解,标识信息可以是IP地址或域名等,本实施方式不作限制。
以下对向量模型的样本数据和训练过程进行举例说明。
情况1:向量模型的样本数据包括网站的初始向量,监督信息根据预先获取的网站访问记录中网站的上下文网站的初始向量确定,参数矩阵为向量模型的输入层到隐藏层的参数矩阵,指示网站的特征向量。其中,上下文网站是指某一个用户的访问行为记录中,某个被访问网站前面的N个网站和该被访问网站后面的N个网站,其中,N为正整数,具体取值可以根据需要设置。
在一个实施例中,访问行为涉及的网站的初始向量根据访问行为涉及的网站的独热编码确定。即通过独热编码的方式,使各网站分别对应一个初始向量。确定网站的初始向量后,记录网站的标识信息和网站的初始向量的对应关系。例如,将网站的独热编码中的每一位数字作为初始向量的一个维度。如,对多个网站进行独热编码,某网站的独热编码为00000010,则网站的初始向量为(0,0,0,0,0,0,1,0)。
以待编码的网站有10个为例。对待编码的网站进行排序,则这10个网站的初始向量依次为(0,0,0,0,0,0,0,0,0,1)、(0,0,0,0,0,0,0,0,1,0)、(0,0,0,0,0,0,0,1,0,0)、(0,0,0,0,0,0,1,0,0,0)、(0,0,0,0,0,1,0,0,0,0)、(0,0,0,0,1,0,0,0,0,0)、(0,0,0,1,0,0,0,0,0,0)、(0,0,1,0,0,0,0,0,0,0)、(0,1,0,0,0,0,0,0,0,0)和(1,0,0,0,0,0,0,0,0,0)。排序过程中,服务器可以按照网站的总点击量的大小对网站进行排序,也可以是按照网站注册的先后对网站进行顺序,还可以采用其他规则,此处不一一列举。
需要说明的是,本领域技术人员可以理解,实际应用中,也可以通过其他编码方式,确定各网站的初始向量。
在一个例子中,向量模型可以是一个三层全连接神经网络模型。三层神经网络分别为输入层、隐层和输出层。输入层接收网站的独热编码表示作为输入。输入层的神经元个数和网站的独热编码表示的初始向量的长度相等。隐藏层的神经元个数可以由开发者自己定义,一般的取值是100~300。隐藏层的神经元个数与最终得到的网站的特征向量长度相等。输出层的神经元个数=网站的独热编码表示的长度*上下文网站的个数。例如,若N等于2,则向量网站的个数为4。该向量模型的训练过程可以使用神经网络的标准训练过程,包括以下步骤:
步骤1011:准备训练数据。训练数据包含两部分:样本数据和监督信息(标签)。每个样本数据为某个网站的独热编码确定的初始向量,对应的监督信息根据这个网站的上下文网站的独热编码确定的初始向量确定。例如,监督信息可以是网站的上下文网站的初始向量的拼接得到的向量。如,若这个网站的上下文网站的初始向量为A、B、C和D,则监督信息为(A,B,C,D)。样本数据可以从各个访问行为的网站访问记录中获得。例如,在访问行为授权后,获取访问行为的网站访问记录。针对该基于该网站访问记录中的各个网站,将各网站的初始向量作为样本数据,对应的监督信息为该网站访问记录中该网站的上下文网站的初始向量。样本的数量一般可以是十万~百万量级。样本数量越大,所得到的结果越准确。
在一个实施例中,由于被编码的网站的数量越多,各网站的初始向量的所占字节越多,可以从已注册的网站中,选择一部分网站,作为检测异常访问行为过程中考虑的网站,进行独热编码。例如,对总点击量最大的T个网站进行独热编码。T为正整数。该情况下,若某一网站A的前N个网站中的网站B,存在不属于已编码的T个网站,则可以将网站A的前N+1个网站中,除网站B以外的网站,作为上下文网站。以此类推,若网站A的第前N+1个网站也不属于,则将网站A的前N+2个网站中,除网站B和第前N+1个网站以外的网站,作为上下文网站。
在一个实施例中,服务器确定访问行为在某段时间内访问的网站后,对比已编码的网站,对获取到的网站进行过滤,去除获取到的网站中未被编码的网站。服务器基于过滤后的网站,执行后续操作。
步骤1012:将准备好的样本数据送入向量模型进行训练。训练完成后,输入层到隐藏层参数矩阵表征每个网站的特征向量。参数矩阵的每一行对应一个网站的特征向量。
在一个例子中,当向量模型通过上述方法训练得到时,服务器确定访问行为的特征向量的过程如下:服务器根据网站的标识信息,以及预先训练的向量模型的参数矩阵,确定网站的特征向量。服务器根据网站的特征向量,确定访问行为的特征向量。具体地说,服务器根据网站的标识信息,确定该网站的初始向量,基于向量模型的参数矩阵,确定该网站的特征向量。
在一个实施例中,可以在向量模型训练完成后,根据向量模型的参数矩阵,记录网站的初始向量和网站的特征向量的对应关系。服务器根据网站的标识信息,以及网站的标识信息和初始向量的对应关系,确定网站的初始向量。服务器根据网站的初始向量,以及网站的初始向量和网站的特征向量的对应关系,确定网站的特征向量。
在另一个实施例中,服务器可以在向量模型训练完成后,根据向量模型的参数矩阵,记录网站的初始向量和网站的特征向量的对应关系。基于网站的初始向量和网站的特征向量的对应关系和网站的标识信息和网站的初始向量的对应关系,确定网站的标识信息和网站的特征向量的对应关系。
值得一提的是,服务器先基于网站与访问的网站的上下文网站之间的关联性,确定网站的特征向量,再确定访问行为的特征向量,考虑了访问行为涉及的网站的更多特征,提高了检测出异常访问行为的召回率。
在一个实施例中,服务器将访问行为涉及的每个网站的特征向量相加,得到访问行为的特征向量。
需要说明的是,本领域技术人员可以理解,实际应用中,还可以通过其他方式来计算访问行为的特征向量,本实施方式不限制服务器根据网站的特征向量确定访问行为的特征向量的具体方法。
值得一提的是,通过相加的方式计算访问行为的特征向量,降低了计算难度。
在一个实施例中,若访问行为涉及的某个网站不是向量模型训练过程中的样本数据,则在确定访问行为的特征向量时,可以忽略该网站,基于其他作为样本数据的网站的特征向量,确定访问行为的特征向量。
情况2:向量模型的样本数据包括访问行为的初始向量,访问行为的监督信息根据网站的初始向量确定,参数矩阵为向量模型的输入层到隐藏层的参数矩阵,指示访问行为的特征向量。
在一个实施例中,访问行为涉及的网站的初始向量根据访问行为涉及的网站的独热编码确定,访问行为的初始向量根据访问行为的独热编码确定。
在一个例子中,向量模型可以是一个三层全连接神经网络模型。三层神经网络分别为输入层、隐层和输出层。该情况下,向量模型的训练过程如下:在各个访问行为授权后,对授权的访问行为进行独热编码,基于各个访问行为的独热编码,确定访问行为的初始向量。例如,若访问行为的独热编码为000100,则访问行为的初始向量为(0,0,0,1,0,0)。获取各个访问行为的网站访问记录,根据该网站访问记录中各网站的初始向量,确定访问行为的初始向量对应的监督信息。例如,可以获取访问行为某段时间内访问的所有网站的标识信息。该时间段可以根据需要设置,如,获取访问行为每天上午8点到10点内访问的网站的标识信息。针对各个访问行为某时间段访问的网站的标识信息进行独热编码,进而确定各个网站的初始向量,确定网站的标识信息和初始向量的对应关系。针对各个访问行为,根据访问行为在该段时间内访问的各网站的标识信息,确定该时间段内访问的各网站的初始向量。将各网站的初始向量拼接得到该访问行为的初始向量的监督信息。将各个访问行为的初始向量和监督信息输入向量模型进行训练。训练完成后,输入层到隐藏层参数矩阵表征每个访问行为的特征向量。参数矩阵的每一行对应一个访问行为的特征向量。
需要说明的是,本领域技术人员可以理解,特征向量的维度可以在向量模型训练时指定,例如,可指定为100。
步骤102:根据访问行为的特征向量,以及预训练的自编码器,确定访问行为是否为异常访问行为。
具体地说,自编码器(Auto Encoder)是一种用于特征提取和数据压缩的神经网络,其结构的主要特点是隐藏层的神经元个数小于输入和输出层的神经元个数,而输入层和输出层的神经元个数通常相等。本实施方式中的自编码器可以基于大量的正常访问行为的特征向量训练得到。该情况下,将正常访问行为的特征向量输入自编码器时,自编码器的输出与输入的正常访问行为的特征向量差异较小。将异常访问行为的特征向量输入自编码器时,自编码器的输出与输入的异常访问行为的特征向量差异较大。因此,服务器可以根据自编码器的输入和自编码器的输出的差异,判断访问行为是否为异常访问行为。
需要说明的是,以上仅为举例说明,并不对本发明的技术方案构成限定。
与现有技术相比,本实施方式中提供的检测方法,向量模型是基于访问行为涉及的网站的初始向量得到的,故向量模型的参数矩阵可以体现网站或访问行为的特征。基于向量模型的参数矩阵和访问行为涉及的网站,提取访问行为的特征向量,并结合自编码器识别异常访问行为,保障了网络安全。除此之外,识别过程中,使用基于深度学习的无监督的向量模型和自编码器,无需对数据进行人工标注,减少了人工成本。
本发明的第二实施方式涉及一种检测方法。本实施方式是对第一实施方式的步骤102的举例说明。
具体的说,如图2所示,在本实施方式中,步骤102包含步骤201至步骤203,具体如下:
步骤201:将访问行为的特征向量作为自编码器的输入。
具体地说,本实施方式中,为阐述清楚,以包括5层神经网络的自编码器为例,自编码器的结构如下:自编码器的神经网络包括输入层、第一隐藏层、第二隐藏层、第三隐藏层和输出层,各层均为全连接网络,自编码器的激活函数为线性整流Relu函数,损失函数为均方误差MSE函数。需要说明的是,本领域技术人员可以理解,实际应用中,可以根据需要构建自编码器的神经网络,本实施方式仅为举例说明,不限制自编码器的具体结构。
假设,访问行为的特征向量的维度为100,则可以搭建如下结构的自编码器:自编码器的输入层的神经元个数为100,第一隐藏层的神经元个数为60,第二隐藏层的神经元个数为30,第三隐藏层的神经元个数为60,输出层的神经元个数为100。各层均使用全连接网络,激活函数通常选择Relu函数。在训练自编码器的神经网络的过程中,使用的损失函数是MSE,即网络的输出和原始样本的均方误差。在此损失函数的监督下训练自编码器,直至收敛。
步骤202:根据自编码器的输入和自编码器的输出,确定访问行为的异常得分。
在一个实施例中,自编码器的损失函数为均方误差MSE函数时,服务器计算自编码器的输出与自编码器的输入的均方误差;将均方误差作为访问行为的异常得分。具体地说,服务器将访问行为的特征向量输入训练完成的自编码器,得到对应的输出;计算其输出与输入的均方误差值,作为访问行为的异常得分。访问行为的异常得分可以用来度量访问行为的异常程度。
需要说明的是,本领域技术人员可以理解,实际应用中,可以选择其他函数作为损失函数,并相应的调整异常得分的计算方法,本实施方式仅为举例说明,不限制训练过程中使用的损失函数,以及异常得分的计算方法。
步骤203:根据访问行为的异常得分,以及预定义的判断标准,判断访问行为是否为异常访问行为。
值得一提的是,通过比较自编码器的输入和输出来确定访问行为的异常得分,无需对数据进行人工标注,减少了人工成本。
在一个实施例中,判断标准为:若访问行为的异常得分大于阈值,则判定访问行为为异常访问行为;若访问行为的异常得分不大于阈值,则判定访问行为为正常访问行为。
在另一个实施例中,判断标准为:按照异常得分的大小对访问行为进行排序,确定异常得分最大的M个访问行为;若访问行为是异常得分最大的M个访问行为中的访问行为,则判定访问行为为异常访问行为,M为正整数。具体地说,服务器从访问行为涉及日志文件中提取某段时间内多个访问行为各自访问的网站的标识信息,并确定各访问行为的异常得分。通过比较各个访问行为的异常得分,筛选异常访问行为。
需要说明的是,本领域技术人员可以理解,实际应用中,对于不同的访问行为,服务器可以获取各访问行为在同一时间段内访问的网站的标识信息,也可以获取各访问行为在不同时间段内访问的网站的标识信息,本实施方式不作限制。
可选择的,在服务器获取的各访问行为涉及的网站的标识信息所对应的时间段的时间长度不同时,为保证各访问行为的特征向量之间存在可比性,服务器对各访问行为的特征向量进行归一化处理,基于归一化处理后的访问行为的特性向量,确定访问行为的异常得分。
需要说明的是,实际应用中,还可以基于访问行为的异常得分,通过其他方式筛选异常访问行为,本实施方式不限制服务器基于访问行为的异常得分,筛选异常访问行为的具体方式。
需要说明的是,本领域技术人员可以理解,实际应用中,在检测出异常访问行为后,可以对异常访问行为进行封号、限流、报警等操作,本实施方式不作限制。
需要说明的是,以上仅为举例说明,并不对本发明的技术方案构成限定。
与现有技术相比,本实施方式中提供的检测方法,向量模型是基于访问行为涉及的网站的初始向量得到的,故向量模型的参数矩阵可以体现网站或访问行为的特征。基于向量模型的参数矩阵和访问行为涉及的网站,提取访问行为的特征向量,并结合自编码器识别异常访问行为,保障了网络安全。通过比较自编码器的输入和输出来确定访问行为的异常得分,无需对数据进行人工标注,减少了人工成本。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明的第三实施方式涉及一种检测装置,如图3所示,包括:第一确定模块301和第二确定模块302。第一确定模块301用于根据访问行为涉及的网站的标识信息,以及预先训练的向量模型的参数矩阵,确定访问行为的特征向量;其中,向量模型基于网站的初始向量训练得到。第二确定模块302用于根据访问行为的特征向量,以及预训练的自编码器,确定访问行为是否为异常访问行为。
不难发现,本实施方式为与第一实施方式相对应的系统实施例,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明的第四实施方式涉及一种服务器,如图4所示,包括:至少一个处理器401;以及,与至少一个处理器401通信连接的存储器402;其中,存储器402存储有可被至少一个处理器401执行的指令,指令被至少一个处理器401执行,以使至少一个处理器401能够执行上述实施方式提及的检测方法。
该服务器包括:一个或多个处理器401以及存储器402,图4中以一个处理器401为例。处理器401、存储器402可以通过总线或者其他方式连接,图4中以通过总线连接为例。存储器402作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施方式中训练后的自编码器的相关程序就存储于存储器402中。处理器401通过运行存储在存储器402中的非易失性软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述检测方法。
存储器402可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储选项列表等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施方式中,存储器402可选包括相对于处理器401远程设置的存储器,这些远程存储器可以通过网络连接至外接设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器402中,当被一个或者多个处理器401执行时,执行上述任意方法实施方式中的检测方法。
上述产品可执行本申请实施方式所提供的方法,具备执行方法相应的功能模块和有益效果,未在本实施方式中详尽描述的技术细节,可参见本申请实施方式所提供的方法。
本发明的第五实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (10)
1.一种检测方法,其特征在于,包括:
根据访问行为涉及的网站的标识信息,以及预先训练的向量模型的参数矩阵,确定所述访问行为的特征向量;其中,所述向量模型基于所述网站的初始向量训练得到;
根据所述访问行为的特征向量,以及预训练的自编码器,确定所述访问行为是否为异常访问行为。
2.根据权利要求1所述的检测方法,其特征在于,所述向量模型的样本数据包括所述网站的初始向量,监督信息根据预先获取的网站访问记录中所述网站的上下文网站的初始向量确定,所述参数矩阵为所述向量模型的输入层到隐藏层的参数矩阵,指示所述网站的特征向量;
所述根据访问行为涉及的网站的标识信息,以及向量模型的参数矩阵,确定所述访问行为的特征向量,具体包括:
根据所述网站的标识信息,以及所述预先训练的向量模型的参数矩阵,确定所述网站的特征向量;
根据所述网站的特征向量,确定所述访问行为的特征向量。
3.根据权利要求2所述的检测方法,其特征在于,所述根据所述网站的特征向量,确定所述访问行为的特征向量,具体包括:
将所述访问行为涉及的每个网站的特征向量相加,得到所述访问行为的特征向量。
4.根据权利要求1所述的检测方法,其特征在于,所述向量模型的样本数据包括所述访问行为的初始向量,所述访问行为的监督信息根据所述网站的初始向量确定,所述参数矩阵为所述向量模型的输入层到隐藏层的参数矩阵,指示所述访问行为的特征向量。
5.根据权利要求2至4中任一项所述的检测方法,其特征在于,所述访问行为涉及的网站的初始向量根据所述访问行为涉及的网站的独热编码确定。
6.根据权利要求1所述的检测方法,其特征在于,所述根据所述访问行为的特征向量,以及预训练的自编码器,确定所述访问行为是否为异常访问行为,具体包括:
将所述访问行为的特征向量作为所述自编码器的输入;
根据所述自编码器的输入和所述自编码器的输出,确定所述访问行为的异常得分;
根据所述访问行为的异常得分,以及预定义的判断标准,判断所述访问行为是否为异常访问行为。
7.根据权利要求6所述的检测方法,其特征在于,所述自编码器的损失函数为均方误差MSE函数;
所述根据所述自编码器的输入和所述自编码器的输出,确定所述访问行为的异常得分,具体包括:
计算所述自编码器的输出与所述自编码器的输入的均方误差;
将所述均方误差作为所述访问行为的异常得分。
8.根据权利要求6所述的检测方法,其特征在于,判断标准为:若所述访问行为的异常得分大于阈值,则判定所述访问行为为异常访问行为;若所述访问行为的异常得分不大于阈值,则判定所述访问行为为正常访问行为;或者,
判断标准为:按照异常得分的大小对访问行为进行排序,确定异常得分最大的M个访问行为;若所述访问行为是异常得分最大的M个访问行为中的访问行为,则判定所述访问行为为异常访问行为,M为正整数。
9.一种服务器,其特征在于,包括:至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至8中任一项所述的检测方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911086500.0A CN111030992B (zh) | 2019-11-08 | 2019-11-08 | 检测方法、服务器及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911086500.0A CN111030992B (zh) | 2019-11-08 | 2019-11-08 | 检测方法、服务器及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111030992A true CN111030992A (zh) | 2020-04-17 |
CN111030992B CN111030992B (zh) | 2022-04-15 |
Family
ID=70201028
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911086500.0A Active CN111030992B (zh) | 2019-11-08 | 2019-11-08 | 检测方法、服务器及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111030992B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111949428A (zh) * | 2020-08-07 | 2020-11-17 | 平安科技(深圳)有限公司 | 提高小程序服务可用性的方法、装置、设备和存储介质 |
CN113221104A (zh) * | 2021-05-12 | 2021-08-06 | 北京百度网讯科技有限公司 | 用户异常行为的检测方法及用户行为重构模型的训练方法 |
CN113239075A (zh) * | 2021-05-13 | 2021-08-10 | 中国公路工程咨询集团有限公司 | 一种施工数据自检方法及系统 |
CN113342612A (zh) * | 2021-06-25 | 2021-09-03 | 长江存储科技有限责任公司 | 异常访问行为检测方法、装置、设备及可读存储介质 |
CN113709089A (zh) * | 2020-09-03 | 2021-11-26 | 南宁玄鸟网络科技有限公司 | 一种物联网过滤非法数据系统及方法 |
CN114363212A (zh) * | 2021-12-27 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种设备检测方法、装置、设备和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100235909A1 (en) * | 2009-03-13 | 2010-09-16 | Silver Tail Systems | System and Method for Detection of a Change in Behavior in the Use of a Website Through Vector Velocity Analysis |
CN108737406A (zh) * | 2018-05-10 | 2018-11-02 | 北京邮电大学 | 一种异常流量数据的检测方法及系统 |
CN109274639A (zh) * | 2018-07-03 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 开放平台异常数据访问的识别方法和装置 |
CN109919180A (zh) * | 2019-01-23 | 2019-06-21 | 平安科技(深圳)有限公司 | 电子装置、用户操作记录数据的处理方法和存储介质 |
CN109922052A (zh) * | 2019-02-22 | 2019-06-21 | 中南大学 | 一种结合多重特征的恶意url检测方法 |
CN110351299A (zh) * | 2019-07-25 | 2019-10-18 | 新华三信息安全技术有限公司 | 一种网络连接检测方法和装置 |
-
2019
- 2019-11-08 CN CN201911086500.0A patent/CN111030992B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100235909A1 (en) * | 2009-03-13 | 2010-09-16 | Silver Tail Systems | System and Method for Detection of a Change in Behavior in the Use of a Website Through Vector Velocity Analysis |
CN108737406A (zh) * | 2018-05-10 | 2018-11-02 | 北京邮电大学 | 一种异常流量数据的检测方法及系统 |
CN109274639A (zh) * | 2018-07-03 | 2019-01-25 | 阿里巴巴集团控股有限公司 | 开放平台异常数据访问的识别方法和装置 |
CN109919180A (zh) * | 2019-01-23 | 2019-06-21 | 平安科技(深圳)有限公司 | 电子装置、用户操作记录数据的处理方法和存储介质 |
CN109922052A (zh) * | 2019-02-22 | 2019-06-21 | 中南大学 | 一种结合多重特征的恶意url检测方法 |
CN110351299A (zh) * | 2019-07-25 | 2019-10-18 | 新华三信息安全技术有限公司 | 一种网络连接检测方法和装置 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111949428A (zh) * | 2020-08-07 | 2020-11-17 | 平安科技(深圳)有限公司 | 提高小程序服务可用性的方法、装置、设备和存储介质 |
CN113709089A (zh) * | 2020-09-03 | 2021-11-26 | 南宁玄鸟网络科技有限公司 | 一种物联网过滤非法数据系统及方法 |
CN113221104A (zh) * | 2021-05-12 | 2021-08-06 | 北京百度网讯科技有限公司 | 用户异常行为的检测方法及用户行为重构模型的训练方法 |
CN113221104B (zh) * | 2021-05-12 | 2023-07-28 | 北京百度网讯科技有限公司 | 用户异常行为的检测方法及用户行为重构模型的训练方法 |
CN113239075A (zh) * | 2021-05-13 | 2021-08-10 | 中国公路工程咨询集团有限公司 | 一种施工数据自检方法及系统 |
CN113342612A (zh) * | 2021-06-25 | 2021-09-03 | 长江存储科技有限责任公司 | 异常访问行为检测方法、装置、设备及可读存储介质 |
CN114363212A (zh) * | 2021-12-27 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种设备检测方法、装置、设备和存储介质 |
CN114363212B (zh) * | 2021-12-27 | 2023-12-26 | 绿盟科技集团股份有限公司 | 一种设备检测方法、装置、设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111030992B (zh) | 2022-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111030992B (zh) | 检测方法、服务器及计算机可读存储介质 | |
CN108737406B (zh) | 一种异常流量数据的检测方法及系统 | |
CN109818942B (zh) | 一种基于时序特征的用户帐号异常检测方法及装置 | |
CN105072089B (zh) | 一种web恶意扫描行为异常检测方法与系统 | |
CN107070852B (zh) | 网络攻击检测方法和装置 | |
CN111600919B (zh) | 智能网络应用防护系统模型的构建方法和装置 | |
CN107888554B (zh) | 服务器攻击的检测方法和装置 | |
CN111783442A (zh) | 入侵检测方法、设备和服务器、存储介质 | |
CN104836781A (zh) | 区分访问用户身份的方法及装置 | |
CN112839014B (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
CN107341399A (zh) | 评估代码文件安全性的方法及装置 | |
CN111740977B (zh) | 投票检测方法及装置、电子设备、计算机可读存储介质 | |
CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
CN109391620B (zh) | 异常行为判定模型的建立方法、系统、服务器及存储介质 | |
CN111740946A (zh) | Webshell报文的检测方法及装置 | |
CN113610156A (zh) | 用于大数据分析的人工智能模型机器学习方法及服务器 | |
CN115034286A (zh) | 一种基于自适应损失函数的异常用户识别方法和装置 | |
CN114329455B (zh) | 基于异构图嵌入的用户异常行为检测方法及装置 | |
CN115100739A (zh) | 人机行为检测方法、系统、终端设备及存储介质 | |
CN113408722B (zh) | 基于逐层损失补偿深度自编码器的态势评估要素提取方法 | |
CN110290101B (zh) | 智能电网环境中基于深度信任网络的关联攻击行为识别方法 | |
CN111783063A (zh) | 一种操作的验证方法和装置 | |
CN114841705B (zh) | 一种基于场景识别的反欺诈监测方法 | |
CN115622793A (zh) | 一种攻击类型识别方法、装置、电子设备及存储介质 | |
CN112468444B (zh) | 互联网域名滥用识别方法和装置,电子设备,存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |