CN111431883A - 一种基于访问参数的web攻击检测方法及装置 - Google Patents

一种基于访问参数的web攻击检测方法及装置 Download PDF

Info

Publication number
CN111431883A
CN111431883A CN202010192599.9A CN202010192599A CN111431883A CN 111431883 A CN111431883 A CN 111431883A CN 202010192599 A CN202010192599 A CN 202010192599A CN 111431883 A CN111431883 A CN 111431883A
Authority
CN
China
Prior art keywords
access
web
access parameters
grouping
path length
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010192599.9A
Other languages
English (en)
Other versions
CN111431883B (zh
Inventor
辜乘风
徐�明
陈曦
陈一根
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202010192599.9A priority Critical patent/CN111431883B/zh
Publication of CN111431883A publication Critical patent/CN111431883A/zh
Application granted granted Critical
Publication of CN111431883B publication Critical patent/CN111431883B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

本发明实施例提供了一种基于访问参数的web攻击检测方法及装置,方法包括:解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合;web日志预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数;根据预先设定的特征对预处理后的web日志进行分组处理;针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数;根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。应用本发明实施例,技术方案更加简单。

Description

一种基于访问参数的web攻击检测方法及装置
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于访问参数的web攻击检测方法及装置。
背景技术
随着互联网产品的快速发展,基于Web环境的互联网应用不断出现,越拉越多的应用软件都架设在Web平台上,因此,如何实现web平台的安全防护是亟待解决的技术问题。
目前,申请号为201710420354.5的发明专利公开了一种基于Mshield机器学习多模式Web应用防护方法,经语义分析单元提取特征,传输至机器学习单元进行识别,运用随机森林算法、逻辑回归算法;对恶意攻击和正常访问请求作出有效区分,并及时对攻击进行拦截;Mshield云平台对设备每日上报的日志进行筛选后汇总放入数据仓库中,作为迭代和提高算法效果的数据集;根据过去的安全态势进行推演,预测出未来可能发生的攻击事件和容易遭受攻击的应用。通过采集百万级攻击载荷数据的特征,经机器学习模型的训练和泛化,使得Mshield相较于传统WAF,面对当下甚至是未来未知的Web攻击,具备更高效且更安全的防护能力。
但是,现有技术中使用的是文本提取算法提取web日志的网络特征、域名特征和文本特征,然后再使用机器学习模型进行识别,文本提取算法是一种很复杂的神经网络,需要预先训练,且对硬件要求较高,因此,现有技术存在技术复杂的问题。
发明内容
本发明所要解决的技术问题在于如何提供一种基于访问参数的web攻击检测方法及装置以简化技术方案。
本发明通过以下技术手段实现解决上述技术问题的:
本发明实施例提供了一种基于访问参数的web攻击检测方法,所述方法包括:
解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合;
web日志预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数;
根据预先设定的特征对预处理后的web日志进行分组处理,其中,所述预先设定的特征包括:域名、访问路径;
针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数;
根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。
可选的,所述根据预先设定的特征对预处理后的web日志进行分组处理,包括:
根据domain的差异进行首次分组,得到若干个domain分组;
针对每一组domain分组,再根据path的差异进行二次分组,得到若干个path分组。
可选的,所述利用孤立森林算法识别出对应的攻击行为,包括:
利用公式,
Figure BDA0002416452830000031
计算平均路径长度,其中,
c(n)为平均路径长度;n为数据集包含的样本数;H(n-1)为调和数。
利用公式,
Figure BDA0002416452830000032
计算每一个特征的异常得分,其中,
s(x,n)为特征的异常得分;E(h(x))为样本x在一批孤立树中的路径长度的期望;h(x)为样本x的路径长度。
本发明实施例提供了一种基于访问参数的web攻击检测装置,所述装置包括:
解析模块,用于解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合;
预处理模块,用于web日志预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数;
分组模块,用于根据预先设定的特征对预处理后的web日志进行分组处理,其中,所述预先设定的特征包括:域名、访问路径;
抽取模块,用于针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数;
识别模块,用于根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。
可选的,所述分组模块,用于:
根据domain的差异进行首次分组,得到若干个domain分组;
针对每一组domain分组,再根据path的差异进行二次分组,得到若干个path分组。
可选的,所述识别模块,用于:
利用公式,
Figure BDA0002416452830000041
计算平均路径长度,其中,
c(n)为平均路径长度;n为数据集包含的样本数;H(n-1)为调和数。
利用公式,
Figure BDA0002416452830000042
计算每一个特征的异常得分,其中,
s(x,n)为特征的异常得分;E(h(x))为样本x在一批孤立树中的路径长度的期望;h(x)为样本x的路径长度。
本发明的优点在于:
应用本发明实施例,以数据为媒介,构造出的具有区分能力的特征进行数学表达,然后通过无监督孤立森林模型进行日志的识别,在本发明实施例中,发明人构造的特征来源于统计结果,其运算过程较为简单,不需要进行针对性的特征提取模型的训练,因此,技术方案更加简单。
附图说明
图1为本发明实施例提供的一种基于访问参数的web攻击检测方法的流程示意图;
图2为本发明实施例提供中c(n)与E(h(x))之间的关系示意图;
图3为本发明实施例提供的一种基于访问参数的web攻击检测方法的模拟结果示意图;
图4为本发明实施例提供的一种基于访问参数的web攻击检测装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
图1为本发明实施例提供的一种基于访问参数的web攻击检测方法的流程示意图,如图1所示,所述方法包括:
S101(图中未示出):解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合。
示例性的,目前常见的web日志格式主要有两类,一类是Apache的NCSA(NationalComputer Security Association,国家计算机安全学会)日志格式,NCSA格式又分为NCSA普通日志格式和NCSA扩展日志格式两类。另一类是IIS的W3C(World Wide WebConsortium,网际网路联盟)日志格式。在得到web日志数据后,首先需明确其格式类型,然后从中解析出后续分析过程所需要的信息,解析出的信息包括但不仅限于:访问主机(remotehost)、标识符(Ident)、授权用户(authuser)、日期时间(date)、请求类型(METHOD)、请求资源(RESOURCE)、状态码(status)、传输字节数(bytes)、来源页面(referrer)、用户代理(agent)中的一种或组合。
S102(图中未示出):数据预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数。
为了分析访问记录在访问参数维度上是否存在异常,需要在数据预处理部分进行以下两步操作:
筛选所有访问状态码为200的访问,其中,200状态码:表示请求已成功,请求所希望的响应头或数据体将随此响应返回;
另外,筛选访问不为空的访问记录。
S103(图中未示出):根据预先设定的特征对预处理后的web日志进行分组处理,其中,所述预先设定的特征包括:域名、访问路径。
该步骤的分组操作主要分为两步:
第一步是按照domain来进行首次分组,将同一个domain下的数据划分为到同一个分组,不同domain下的数据属于不同的分组,比如,有两个domain,即两个域名,则将两个域名分别对应的web日志分为两组。
第二步:针对每一组domain分组,再在该domain分组中进行第二次分组操作,按照path来进行二次分组,使得每个domain分组中相同path的数据属于同一个分组,不同path的数据划为不同的分组,分组方法与domain分组方法类似,本发明实施例在此不再赘述。
对数据进行分组处理旨在将数据记录按照domain,即域名;和path,即访问路径来进行分类,使得相同domain下的相同path作为一个分组。
S104(图中未示出):针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数。
在S103步骤完成对原始数据进行分组操作之后,以相同domain下相同path为维度进行统计,进而完成数据特征的抽取,表1为本发明实施例中所抽取的主要特征,如表1所示:
表1
特征 解释 内容样例
参数个数 访问参数个数 4
参数值合计长度 访问参数个数 8
参数的平均长度 访问参数的平均长度 2
参数中数字个数 访问参数中数字的个数 2
参数中字母和汉字的个数 访问参数中字母和汉字的个数 5
参数中字符的个数 访问参数中字符的个数 1
响应时间 请求的响应时间 0.017
响应大小 请求的响应大小 179
S105(图中未示出):根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。
该方法中使用的模型算法为孤立森林算法,孤立森林是一种适用于连续数据的无监督异常检测方法,即不需要有标记的样本来训练,但特征需要是连续的。在孤立森林中,递归地随机分割数据集,直到所有的样本点都是孤立的。在这种随机分割的策略下,异常点通常具有较短的路径。图2为本发明实施例提供中c(n)与E(h(x))之间的关系示意图,如图2所示,在该算法中,给定一个包含n个分组的样本的数据集,树的平均路径长度为:
Figure BDA0002416452830000071
其中H(i)为调和数,该值可以被估计为ln(i)+0.5772156649。c(n)为给定样本数n时,路径长度的平均值,用来标准化样本x的路径长度h(x)。
样本x的异常得分定义为:
Figure BDA0002416452830000072
其中,E(h(x))为样本x在一批孤立树中的路径长度的期望。附图2给出了s和E(h(x))的关系。
在通过上述孤立森林模型计算之后,每个分组都能够返回一个异常得分。图3为本发明实施例提供的一种基于访问参数的web攻击检测方法的模拟结果示意图,如图3所示,三角形的点对应的web日志为攻击行为对应的日志,三角形越密集的地方其对应的日志较为相似,说明来源于同样一个攻击者;圆圈对应的web日志为正常日志,其分布较为均匀。
进一步的,可以通过将异常得分进行降序排列,然后将得分大于预设阈值的分组对应的序列作为异常操作记录序列,从而定位到哪些日志对应了web攻击。
用户在访问同一个接口时调用的参数相对固定;那么将这个接口的所有访问参数在访问参数(也称为query参数)的维度上作对比,来给每一条访问的参数异常程度打分;然后对异常分数最高的访问做分析,来确定是否存在参数异常。应用本发明实施例,以数据为媒介,构造出的具有区分能力的特征进行数学表达,然后通过无监督孤立森林模型进行日志的识别,在本发明实施例中,发明人构造的特征来源于统计结果,其运算过程较为简单,不需要进行针对性的特征提取模型的训练,因此,技术方案更加简单。
另外,本发明实施例模型简单,可以运行在配置更低的硬件上,降低了成本;在相同配置的硬件上,需要运算的过程更少,因此,效率更高。
目前,现有技术中对web攻击检测中还会使用WAF(Web Application Firewall,web应用防火墙)检测和异常检测的方法,其中,WAF检测指的是通过使用规则和黑白名单的方式来进行Web攻击检测的方法。但是,WAF检测方法虽然能够发现部分web攻击,但是由于其过分依赖安全人员的知识广度,针对未知攻击类型无可奈何;另一方面即使是已知的攻击类型,由于正则表达式天生的局限性,以及各种编程语言极其灵活的语法,理论上都是可以绕过的,因此误拦和漏拦是天生存在的;而提高正则准确性的代价就是添加更多精细化正则,由此陷入一个永无止境打补丁的漩涡,拖累了整体性能。
而现有技术中的异常检测方法则是一种基于模型的攻击检测方法,该方法首先为被检测对象建立正常行为模型,然后度量待检测对象当前行为与正常行为模型的偏差,如果明显偏离,则表示检测到异常行为,这种异常行为可能是一种攻击。但是,WAF检测无法识别新型攻击,因此容易被绕过,存在较高的漏报率。
本发明实施例中定义了根据web日志的分组的特征,并根据这些特征使用机器学习算法进行攻击检测,数值模拟结果表明本发明实施例可以更精准定位到web攻击的行为,有效弥补了传统的WAF检测方法中无法识别新型攻击和易被绕过的问题,同时也具备了较高的准确率,解决了传统异常检测方法误报率和漏报率较高的问题。
实施例2
与本发明图1所示实施例相对应,本发明实施例还提供了一种基于访问参数的web攻击检测装置。
图4为本发明实施例提供的一种基于访问参数的web攻击检测装置的结构示意图,如图4所示,所述装置包括:
解析模块401,用于解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合;
预处理模块402,用于web日志预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数;
分组模块403,用于根据预先设定的特征对预处理后的web日志进行分组处理,其中,所述预先设定的特征包括:域名、访问路径;
抽取模块404,用于针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数;
识别模块405,用于根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。
应用本发明实施例,以数据为媒介,构造出的具有区分能力的特征进行数学表达,然后通过无监督孤立森林模型进行日志的识别,在本发明实施例中,发明人构造的特征来源于统计结果,其运算过程较为简单,不需要进行针对性的特征提取模型的训练,因此,技术方案更加简单。
在本发明实施例的一种具体实施方式中,所述分组模块403,用于:
根据domain的差异进行首次分组,得到若干个domain分组;
针对每一组domain分组,再根据path的差异进行二次分组,得到若干个path分组。
在本发明实施例的一种具体实施方式中,所述识别模块405,用于:
利用公式,
Figure BDA0002416452830000101
计算平均路径长度,其中,
c(n)为平均路径长度;n为数据集包含的样本数;H(n-1)为调和数,该值可以被估计为ln(n-1)+0.5772156649。
利用公式,
Figure BDA0002416452830000111
计算每一个特征的异常得分,其中,
s(x,n)为特征的异常得分;E(h(x))为样本x在一批孤立树中的路径长度的期望;h(x)为样本x的路径长度。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种基于访问参数的web攻击检测方法,其特征在于,所述方法包括:
解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合;
web日志预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数;
根据预先设定的特征对预处理后的web日志进行分组处理,其中,所述预先设定的特征包括:域名、访问路径;
针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数;
根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。
2.根据权利要求1所述的一种基于访问参数的web攻击检测方法,其特征在于,所述根据预先设定的特征对预处理后的web日志进行分组处理,包括:
根据domain的差异进行首次分组,得到若干个domain分组;
针对每一组domain分组,再根据path的差异进行二次分组,得到若干个path分组。
3.根据权利要求1所述的一种基于访问参数的web攻击检测方法,其特征在于,所述利用孤立森林算法识别出对应的攻击行为,包括:
利用公式,
Figure FDA0002416452820000011
计算平均路径长度,其中,
c(n)为平均路径长度;n为数据集包含的样本数;H(n-1)为调和数,该值可以被估计为ln(n-1)+0.5772156649。
利用公式,
Figure FDA0002416452820000021
计算每一个特征的异常得分,其中,
s(x,n)为特征的异常得分;E(h(x))为样本x在一批孤立树中的路径长度的期望;h(x)为样本x的路径长度。
4.一种基于访问参数的web攻击检测装置,其特征在于,所述装置包括:
解析模块,用于解析出web日志中包含的访问信息,其中,所述访问信息包括:主机、标识符、授权用户、日期时间、请求类型中的一种或组合;
预处理模块,用于web日志预处理,其中,所述预处理包括:筛选预设状态码对应的访问参数、访问不为空的访问参数;
分组模块,用于根据预先设定的特征对预处理后的web日志进行分组处理,其中,所述预先设定的特征包括:域名、访问路径;
抽取模块,用于针对每一组中的web日志进行特征抽取处理,其中,抽取的特征包括:访问个数、访问值合计长度、访问参数的平均长度、访问参数中的数字个数;
识别模块,用于根据抽取的特征,利用孤立森林算法识别出属于攻击行为的web日志。
5.根据权利要求4所述的一种基于访问参数的web攻击检测装置,其特征在于,所述分组模块,用于:
根据domain的差异进行首次分组,得到若干个domain分组;
针对每一组domain分组,再根据path的差异进行二次分组,得到若干个path分组。
6.根据权利要求4所述的一种基于访问参数的web攻击检测装置,其特征在于,所述识别模块,用于:
利用公式,
Figure FDA0002416452820000031
计算平均路径长度,其中,
c(n)为平均路径长度;n为数据集包含的样本数;H(n-1)为调和数,该值可以被估计为ln(n-1)+0.5772156649。
利用公式,
Figure FDA0002416452820000032
计算每一个特征的异常得分,其中,
s(x,n)为特征的异常得分;E(h(x))为样本x在一批孤立树中的路径长度的期望;h(x)为样本x的路径长度。
CN202010192599.9A 2020-03-18 2020-03-18 一种基于访问参数的web攻击检测方法及装置 Active CN111431883B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010192599.9A CN111431883B (zh) 2020-03-18 2020-03-18 一种基于访问参数的web攻击检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010192599.9A CN111431883B (zh) 2020-03-18 2020-03-18 一种基于访问参数的web攻击检测方法及装置

Publications (2)

Publication Number Publication Date
CN111431883A true CN111431883A (zh) 2020-07-17
CN111431883B CN111431883B (zh) 2022-11-04

Family

ID=71546546

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010192599.9A Active CN111431883B (zh) 2020-03-18 2020-03-18 一种基于访问参数的web攻击检测方法及装置

Country Status (1)

Country Link
CN (1) CN111431883B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113765923A (zh) * 2021-09-08 2021-12-07 上海观安信息技术股份有限公司 一种web端参数检测方法、装置、系统及计算机存储介质
CN114338195A (zh) * 2021-12-30 2022-04-12 中国电信股份有限公司 基于改进孤立森林算法的web流量异常检测方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102999572A (zh) * 2012-11-09 2013-03-27 同济大学 用户行为模式挖掘系统及其方法
CN105337985A (zh) * 2015-11-19 2016-02-17 北京师范大学 一种攻击检测方法及系统
CN105915555A (zh) * 2016-06-29 2016-08-31 北京奇虎科技有限公司 网络异常行为的检测方法及系统
CN108154029A (zh) * 2017-10-25 2018-06-12 上海观安信息技术股份有限公司 入侵检测方法、电子设备和计算机存储介质
US20190394233A1 (en) * 2018-10-12 2019-12-26 Beijing Baidu Netcom Science And Technology Co., Ltd. Method and apparatus for analyzing cyberattack

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102999572A (zh) * 2012-11-09 2013-03-27 同济大学 用户行为模式挖掘系统及其方法
CN105337985A (zh) * 2015-11-19 2016-02-17 北京师范大学 一种攻击检测方法及系统
CN105915555A (zh) * 2016-06-29 2016-08-31 北京奇虎科技有限公司 网络异常行为的检测方法及系统
CN108154029A (zh) * 2017-10-25 2018-06-12 上海观安信息技术股份有限公司 入侵检测方法、电子设备和计算机存储介质
US20190394233A1 (en) * 2018-10-12 2019-12-26 Beijing Baidu Netcom Science And Technology Co., Ltd. Method and apparatus for analyzing cyberattack

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ITEYE: ""Cookie的Domain和Path"", 《HTTPS://WWW.ITEYE.COM/BLOG/AKYCZA-1452021》 *
陈宝国等: ""基于Web日志文件的孤立点检测算法"", 《计算机与数字工程》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113765923A (zh) * 2021-09-08 2021-12-07 上海观安信息技术股份有限公司 一种web端参数检测方法、装置、系统及计算机存储介质
CN114338195A (zh) * 2021-12-30 2022-04-12 中国电信股份有限公司 基于改进孤立森林算法的web流量异常检测方法及装置

Also Published As

Publication number Publication date
CN111431883B (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
CN109525595B (zh) 一种基于时间流特征的黑产账号识别方法及设备
CN104601556B (zh) 一种面向web的攻击检测方法及系统
CN103297435B (zh) 一种基于web日志的异常访问行为检测方法与系统
CN111798312B (zh) 一种基于孤立森林算法的金融交易系统异常识别方法
CN108200054A (zh) 一种基于dns解析的恶意域名检测方法及装置
US20150135262A1 (en) Detection and prevention for malicious threats
US20180309772A1 (en) Method and device for automatically verifying security event
CN107368856B (zh) 恶意软件的聚类方法及装置、计算机装置及可读存储介质
CN112468347B (zh) 一种云平台的安全管理方法、装置、电子设备及存储介质
CN112905421A (zh) 基于注意力机制的lstm网络的容器异常行为检测方法
CN109194677A (zh) 一种sql注入攻击检测方法、装置及设备
CN110650117B (zh) 跨站攻击防护方法、装置、设备及存储介质
CN111614690A (zh) 一种异常行为检测方法及装置
CN104348642B (zh) 一种垃圾信息过滤方法和装置
CN111431883B (zh) 一种基于访问参数的web攻击检测方法及装置
CN112989348B (zh) 攻击检测方法、模型训练方法、装置、服务器及存储介质
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
CN108718306A (zh) 一种异常流量行为判别方法和装置
CN109088903A (zh) 一种基于流式的网络异常流量检测方法
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN107209834A (zh) 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序
CN114338195A (zh) 基于改进孤立森林算法的web流量异常检测方法及装置
CN112257076A (zh) 一种基于随机探测算法和信息聚合的漏洞检测方法
CN112016317A (zh) 基于人工智能的敏感词识别方法、装置及计算机设备
CN117176441A (zh) 一种网络设备安全日志事件检测系统、方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant