CN112001533A - 一种参数的检测方法、装置及计算机系统 - Google Patents

一种参数的检测方法、装置及计算机系统 Download PDF

Info

Publication number
CN112001533A
CN112001533A CN202010782918.1A CN202010782918A CN112001533A CN 112001533 A CN112001533 A CN 112001533A CN 202010782918 A CN202010782918 A CN 202010782918A CN 112001533 A CN112001533 A CN 112001533A
Authority
CN
China
Prior art keywords
parameter value
detected
preset model
abnormal
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010782918.1A
Other languages
English (en)
Inventor
李举锋
栾世鹏
田丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongan Information Technology Service Co Ltd
Original Assignee
Zhongan Information Technology Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongan Information Technology Service Co Ltd filed Critical Zhongan Information Technology Service Co Ltd
Priority to CN202010782918.1A priority Critical patent/CN112001533A/zh
Publication of CN112001533A publication Critical patent/CN112001533A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Economics (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Game Theory and Decision Science (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Development Economics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种参数的检测方法、装置及计算机系统,所述方法包括:获取待检测参数值;使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常的参数值训练获得;当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常,避免了人工提取特征带来的主观性,同时可对所有的参数值在确定参数值是否异常时时综合了两个模型的预测结果,保证了对具有威胁的异常参数值的识别准确率。

Description

一种参数的检测方法、装置及计算机系统
技术领域
本发明涉及计算机安全领域,尤其涉及一种参数的检测方法、装置及计算机系统。
背景技术
随着互联网逐渐渗透到人们各种社会活动中,针对互联网的攻击方式越来越多样化。根据OWASP的2019top10统计,注入漏洞和XSS漏洞分别位于风险榜的第1位和第3位。这两类攻击之所以能够给应用程序带来破坏,主要原因是应用程序缺少对web输入进行安全检测,或是应用的参数检测机制被恶意绕过。
为了防范这些攻击手段,常用的防御方法是部署WAF系统。但是常规的WAF系统具有明显的缺点:1、攻击特征需要人工提取,特征的生成比较主观而且容易造成误拦截;2、攻击者可以通过特殊手段绕过防御策略;3、对于假阴性样本(威胁样本误认为是正常样本)无识别能力;4、缺少动态更新策略的能力。
发明内容
为了解决现有技术的不足,本发明的主要目的在于提供一种参数的检测方法、装置及计算机系统,以保证异常参数值的识别准确率。
为了达到上述目的,第一方面本发明提供了一种参数的检测方法,其特征在于,所述方法包括:
获取待检测参数值;
使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常参数值训练获得;
当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常。
在一些实施例中,所述获取待检测参数值包括:
接收可联网设备发出的Web请求,所述Web请求包括所述待检测参数值;
从所述Web请求获取所述待检测参数值;
所述当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常包括:
当所述预测结果包括所述待检测参数值异常时,拦截所述可联网设备发送的Web请求。
在一些实施例中,所述当所述预测结果包括所述待检测参数值异常时,拦截所述可联网设备发送的Web请求包括:
获取所述可联网设备的IP地址和/或设备ID;
拦截所述IP地址和/或设备ID发送的Web请求。
在一些实施例中,所述接收可联网设备发出的Web请求包括:
将接收的可联网设备发出的Web请求存入日志数据;
从日志数据获取所述Web请求。
在一些实施例中,所述获取待检测参数值包括:
将所述待检测参数值内包含的数字转换为第一预设编码值、英文字母转换为第二预设编码值、中文字符转换为第三预设编码值;
将预设字符按照预设规则转换为对应的编码值;
将所述待检测参数值包含的除所述数字、所述英文字母、所述中文字符及所述预设字符外的每一字符转换为第四预设编码值。
在一些实施例中,所述方法包括:
当所述第一预设模型及所述第二预设模型的预测结果不同时,采用预设方法确定所述待检测参数值是否异常;
当确定所述待检测参数值非异常时,使用所述待检测参数值训练所述第一预设模型;
当确定所述待检测参数值异常时,使用所述待检测参数值训练所述第二预设模型。
在一些实施例中,所述第一预设模型及所述第二预设模型为经训练的隐马尔可夫模型。
第二方面,本申请提供了一种参数的检测装置,所述装置包括:
获取模块,用于获取待检测参数值;
预测模块,用于使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常参数值训练获得;
处理模块,用于当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常。
在一些实施例中,所述获取模块还可用于接收可联网设备发出的Web请求,所述Web请求包括所述待检测参数值;从所述Web请求获取所述待检测参数值;所述处理模块还可用于当所述预测结果包括所述待检测参数值异常时,拦截所述可联网设备发送的Web请求。
第三方面,本申请提供了一种计算机系统,所述系统包括:
一个或多个处理器;
以及与所述一个或多个处理器关联的存储器,所述存储器用于存储程序指令,所述程序指令在被所述一个或多个处理器读取执行时,执行如下操作:
获取待检测参数值;
使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常的参数值训练获得;
当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常。
本发明实现的有益效果为:
本发明提供了一种参数的检测方法,所述方法包括:获取待检测参数值;使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常的参数值训练获得;当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常,避免了人工提取特征带来的主观性,同时可对所有的参数值在确定参数值是否异常时综合了两个模型的预测结果,保证了对具有威胁的异常参数值的识别准确率;
进一步地,本申请提出了将接收的可联网设备发出的Web请求存入日志数据;从日志数据获取所述Web请求,保证了能够对所有的Web请求进行监控,避免了具有威胁的Web请求绕过防御策略;
本申请提出了当所述第一预设模型及所述第二预设模型的预测结果不同时,采用预设方法确定所述待检测参数值是否异常;当确定所述待检测参数值不异常时,使用所述待检测参数值训练所述第一预设模型;当确定所述待检测参数值异常时,使用所述待检测参数值训练所述第二预设模型,可根据检测的参数值重新训练对应的预设模型,实现了动态提升对具有威胁的异常参数值的识别准确率。
本发明所有产品并不需要具备上述所有效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的模型训练及参数值检测流程图;
图2是本申请实施例提供的方法流程图;
图3是本申请实施例提供的装置结构图;
图4是本申请实施例提供的计算机系统结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如背景技术所述,为解决上述问题,本申请提出了一种参数值的检测方法,如图1所示,所述方法具体包括:
步骤一、使用正常业务数据,训练正向模型;
正向模型是使用正常参数值训练过的模型,正常参数值是从正常业务数据中提取的、正常使用的用户通过可联网设备等向服务端发出的Web请求中包含的参数值,如用户注册接口接收的Name(姓名)参数中,包含的“Li liguo”“zhang jingjing”等正常参数值。
优选的,该正向模型可以是隐马尔科夫模型(HMM)。隐马尔科夫模型只需要正样本或负样本中的一种即可进行训练,节省了用于收集全量样本所需的时间及人力成本。
对获取的正常参数值,为了提高模型的泛化能力,需要进行数值编码,根据编码结果生成该参数值对应的向量。优选的,可将所有的英文字母字符的编码预设为0x41,所有数字字符的编码预设为0x31,所有的中文字符的编码预设为0x4e00。除中文字符、英文字母字符及数字字符以外的字符包括了敏感字符和非敏感字符。敏感字符是根据已有攻击样本分析确定的攻击样本中常用的字符,优选为符号,如<和>等;非敏感字符则是除中文字符、英文字符及数字字符以外的字符中除敏感字符以外剩余的字符,如空格符及/等符号。为了提高识别的准确率,敏感字符的编码为字符对应的Unicode编码,非敏感字符的编码预设为0x2d。
例如,“LI liguo”对应的编码向量为[0x41,0x41,0x20,0x41,0x41,0x41,0x41,0x41]。
根据所有正常参数值生成的向量,可生成对应的正样本空间。
使用连续型高斯-隐马尔可夫算法,使用正样本空间中的向量,训练正向模型。其中,设置正向模型的训练迭代次数为50,收敛阈值为0.01。
步骤二、使用异常数据,训练负向模型;
负向模型是使用异常的参数值训练获得的模型。异常的参数值包括可以造成利用注入漏洞和XSS漏洞造成攻击的参数值,如用户注册接口接收的Name(姓名)参数中,“or 1=1”,“guo<script”等异常的参数值,对处理Web请求的服务器具有威胁性。
优选的,可从扫描器数据中提取异常的参数值。
对获取的异常的参数值,为了提高模型的泛化能力,需要进行数值编码,根据编码结果生成该参数值对应的向量。优选的,可将所有的英文字母字符的编码预设为0x41,所有数字字符的编码预设为0x31,所有的中文字符的编码预设为0x4e00。除中文字符、英文字母字符及数字字符以外的字符包括了敏感字符和非敏感字符。敏感字符是根据已有攻击样本分析确定的攻击样本中常用的字符,优选为符号,如<和>等;非敏感字符则是除中文字符、英文字符及数字字符以外的字符中除敏感字符以外剩余的字符,如空格符及/等符号。为了提高识别的准确率,敏感字符的编码为字符对应的Unicode编码,非敏感字符的编码预设为0x2d。
根据所有异常的参数值生成的向量,可生成对应的负样本空间。
使用连续型高斯-隐马尔可夫算法,使用负样本空间中的向量,训练负向模型。其中,设置负向模型的训练迭代次数为50,收敛阈值为0.01。
步骤三、从日志数据收集Web请求,并从Web请求获取待检测参数值。
优选的,可对Web请求的每一参数都训练对应的正向模型及负向模型,以提高识别的准确率。
优选的,对获取的待检测参数值,根据上述数值编码规则转换为对应的编码。
步骤四、使用正向模型及负向模型,分别生成对待检测参数值是否异常的预测结果;
正向模型根据待检测参数值,生成预测的该待检测参数值为正常参数值的概率。当该概率满足对应的预设条件时,正向模型预测该待检测参数值为正常参数值;当不满足对应的预设条件时,正向模型预测该待检测参数值为异常的参数值。
负向模型根据待检测参数值,生成预测的该待检测参数值为异常的参数值的概率。当该概率满足对应的预设条件时,负向模型预测该待检测参数值为异常的参数值;当不满足对应的预设条件时,正向模型预测该待检测参数值为正常参数值。
根据实际的业务场景及对出现假阴性(将异常的参数值预测为正常参数值)、假阳性(将正常参数值预测为异常的参数值)等错误预测的容忍度,可以调整对应的预设条件,以提高识别的准确性,同时降低误报。
步骤五、当正向模型与负向模型的预测结果相同时,根据预测结果确定该待检测参数值是否异常;
具体的,当正向模型与负向模型预测待检测参数值为正常参数值时,确定该带检测参数值为正常参数值,并停止对该待检测参数值进行检测、开始检测下一参数值。
当正向模型与负向模型预测待检测参数值异常时,将该Web请求添加到恶意请求列表中,并获取发送该请求的可联网设备的IP地址及设备ID等信息,并添加至黑名单库中,对该IP地址和/或设备ID发送的Web请求进行拦截。
优选的,还可将黑名单库共享给其他系统或设备使用,以便其他系统或设备对黑名单库中的设备进行拦截。
当正向模型与负向模型的预测结果不相同时,采用预设方法确定该待检测参数值是否异常。
具体的,可将该待检测参数值传送至预设人员,由预设人员判断该待检测参数值是否异常。
当确定该待检测参数值异常时,将该待检测参数值添加至负样本空间,以便使用该待检测参数值重新训练负向模型。
当确定该待检测参数值为正常参数值时,将该待检测参数值添加至正样本空间,以便使用该待检测参数值重新训练正向模型。
实施例二
对应上述实施例,本申请提供了一种参数的检测方法,如图2所示,所述方法包括:
210、获取待检测参数值;
优选的,所述获取待检测参数值包括:
211、将所述待检测参数值内包含的数字转换为第一预设编码值、英文字母转换为第一预设编码值、中文字符转换为第三预设编码值;
212、将预设字符按照预设规则转换为对应的编码值;
213、将所述待检测参数值包含的除所述数字、所述英文字母、所述中文字符及所述预设字符外的每一字符转换为第四预设编码值。
220、使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常的参数值训练获得;
230、当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常。
优选的,所述获取待检测参数值包括:
231、接收可联网设备发出的Web请求,所述Web请求包括所述待检测参数值;
232、从所述Web请求获取所述待检测参数值;
当所述第一预设模型及所述第二预设模型的预测结果相同时,所述方法还包括:
234、当所述预测结果包括所述待检测参数值异常时,拦截所述可联网设备发送的Web请求。
优选的,所述当所述预测结果包括所述待检测参数值异常时,拦截所述可联网设备发送的Web请求包括:
235、获取所述可联网设备的IP地址和/或设备ID;
拦截所述IP地址和/或设备ID发送的Web请求。
优选的,所述接收可联网设备发出的Web请求包括:
236、将接收的可联网设备发出的Web请求存入日志数据;
从日志数据获取所述Web请求。
优选的,所述方法包括:
240、当所述第一预设模型及所述第二预设模型的预测结果不同时,采用预设方法确定所述待检测参数值是否异常;
241、当确定所述待检测参数值不异常时,使用所述待检测参数值训练所述第一预设模型;
242、当确定所述待检测参数值异常时,使用所述待检测参数值训练所述第二预设模型。
优选的,所述第一预设模型及所述第二预设模型为经训练的隐马尔可夫模型。
实施例三
对应上述方法实施例,如图3所示,本申请提供了一种参数的检测装置,所述装置包括:
获取模块310,用于获取待检测参数值;
预测模块320,用于使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常的参数值训练获得;
处理模块330,用于当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常。
优选的,所述获取模块310还可用于接收可联网设备发出的Web请求,所述Web请求包括所述待检测参数值;从所述Web请求获取所述待检测参数值;所述处理模块330还可用于当所述预测结果包括所述待检测参数值异常时,拦截所述可联网设备发送的Web请求。
优选的,所述当所述预测结果包括所述待检测参数值异常时,所述处理模块330还可用于获取所述可联网设备的IP地址和/或设备ID;拦截所述IP地址和/或设备ID发送的Web请求。
优选的,所述获取模块310还可用于将接收的可联网设备发出的Web请求存入日志数据;从日志数据获取所述Web请求。
优选的,所述获取模块310还可用于将所述待检测参数值内包含的数字转换为第一预设编码值、英文字母转换为第二预设编码值、中文字符转换为第三预设编码值;将预设字符按照预设规则转换为对应的编码值;将所述待检测参数值包含的除所述数字、所述英文字母、所述中文字符及所述预设字符外的每一字符转换为第四预设编码值。
优选的,所述处理模块330还可用于当所述第一预设模型及所述第二预设模型的预测结果不同时,采用预设方法确定所述待检测参数值是否异常;当确定所述待检测参数值不异常时,使用所述待检测参数值训练所述第一预设模型;当确定所述待检测参数值异常时,使用所述待检测参数值训练所述第二预设模型。
优选的,所述第一预设模型及所述第二预设模型为经训练的隐马尔可夫模型。
实施例四
对应上述方法、设备及系统,本申请实施例四提供一种计算机系统,包括:一个或多个处理器;以及与所述一个或多个处理器关联的存储器,所述存储器用于存储程序指令,所述程序指令在被所述一个或多个处理器读取执行时,执行如下操作:
获取待检测参数值;
使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常的参数值训练获得;
当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常。
其中,图4示例性的展示出了计算机系统的架构,具体可以包括处理器1510,视频显示适配器1511,磁盘驱动器1512,输入/输出接口1513,网络接口1514,以及存储器1520。上述处理器1510、视频显示适配器1511、磁盘驱动器1512、输入/输出接口1513、网络接口1514,与存储器1520之间可以通过通信总线1530进行通信连接。
其中,处理器1510可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请所提供的技术方案。
存储器1520可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1520可以存储用于控制计算机系统1500运行的操作系统1521,用于控制计算机系统1500的低级别操作的基本输入输出系统(BIOS)。另外,还可以存储网页浏览器1523,数据存储管理系统1524,以及图标字体处理系统1525等等。上述图标字体处理系统1525就可以是本申请实施例中具体实现前述各步骤操作的应用程序。总之,在通过软件或者固件来实现本申请所提供的技术方案时,相关的程序代码保存在存储器1520中,并由处理器1510来调用执行。输入/输出接口1513用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
网络接口1514用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1530包括一通路,在设备的各个组件(例如处理器1510、视频显示适配器1511、磁盘驱动器1512、输入/输出接口1513、网络接口1514,与存储器1520)之间传输信息。
另外,该计算机系统1500还可以从虚拟资源对象领取条件信息数据库1541中获得具体领取条件的信息,以用于进行条件判断,等等。
需要说明的是,尽管上述设备仅示出了处理器1510、视频显示适配器1511、磁盘驱动器1512、输入/输出接口1513、网络接口1514,存储器1520,总线1530等,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本申请方案所必需的组件,而不必包含图中所示的全部组件。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,云服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种参数的检测方法,其特征在于,所述方法包括:
获取待检测参数值;
使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常参数值训练获得;
当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常。
2.根据权利要求1所述的方法,其特征在于,所述获取待检测参数值包括:
接收可联网设备发出的Web请求,所述Web请求包括所述待检测参数值;
从所述Web请求获取所述待检测参数值;
当所述第一预设模型及所述第二预设模型的预测结果相同时,所述方法还包括:
当所述预测结果包括所述待检测参数值异常时,拦截所述可联网设备发送的Web请求。
3.根据权利要求2所述的方法,其特征在于,所述当所述预测结果包括所述待检测参数值异常时,拦截所述可联网设备发送的Web请求包括:
获取所述可联网设备的IP地址和/或设备ID;
拦截所述IP地址和/或设备ID发送的Web请求。
4.根据权利要求2所述的方法,其特征在于,所述接收可联网设备发出的Web请求包括:
将接收的可联网设备发出的Web请求存入日志数据;
从所述日志数据获取所述Web请求。
5.根据权利要求1-4任一所述的方法,其特征在于,所述获取待检测参数值包括:
将所述待检测参数值内包含的数字转换为第一预设编码值、英文字母转换为第二预设编码值、中文字符转换为第三预设编码值;
将预设字符按照预设规则转换为对应的编码值;
将所述待检测参数值包含的除所述数字、所述英文字母、所述中文字符及所述预设字符外的每一字符转换为第四预设编码值。
6.根据权利要求1-4任一所述的方法,其特征在于,所述方法包括:
当所述第一预设模型及所述第二预设模型的预测结果不同时,采用预设方法确定所述待检测参数值是否异常;
当确定所述待检测参数值非异常时,使用所述待检测参数值训练所述第一预设模型;
当确定所述待检测参数值异常时,使用所述待检测参数值训练所述第二预设模型。
7.根据权利要求1-4任一所述的方法,其特征在于,所述第一预设模型及所述第二预设模型为经训练的隐马尔可夫模型。
8.一种参数的检测装置,其特征在于,所述装置包括:
获取模块,用于获取待检测参数值;
预测模块,用于使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常参数值训练获得;
处理模块,用于当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常。
9.根据权利要求8所述的装置,其特征在于,所述获取模块还可用于接收可联网设备发出的Web请求,所述Web请求包括所述待检测参数值;从所述Web请求获取所述待检测参数值;所述处理模块还可用于当所述预测结果包括所述待检测参数值异常时,拦截所述可联网设备发送的Web请求。
10.一种计算机系统,其特征在于,所述系统包括:
一个或多个处理器;
以及与所述一个或多个处理器关联的存储器,所述存储器用于存储程序指令,所述程序指令在被所述一个或多个处理器读取执行时,执行如下操作:
获取待检测参数值;
使用第一预设模型及第二预设模型,分别生成对所述待检测参数值是否异常的预测结果,所述第一预设模型由正常参数值训练获得,所述第二预设模型由异常参数值训练获得;
当所述第一预设模型及所述第二预设模型的预测结果相同时,根据所述预测结果确定所述待检测参数值是否异常。
CN202010782918.1A 2020-08-06 2020-08-06 一种参数的检测方法、装置及计算机系统 Pending CN112001533A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010782918.1A CN112001533A (zh) 2020-08-06 2020-08-06 一种参数的检测方法、装置及计算机系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010782918.1A CN112001533A (zh) 2020-08-06 2020-08-06 一种参数的检测方法、装置及计算机系统

Publications (1)

Publication Number Publication Date
CN112001533A true CN112001533A (zh) 2020-11-27

Family

ID=73463463

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010782918.1A Pending CN112001533A (zh) 2020-08-06 2020-08-06 一种参数的检测方法、装置及计算机系统

Country Status (1)

Country Link
CN (1) CN112001533A (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105337985A (zh) * 2015-11-19 2016-02-17 北京师范大学 一种攻击检测方法及系统
CN106778259A (zh) * 2016-12-28 2017-05-31 北京明朝万达科技股份有限公司 一种基于大数据机器学习的异常行为发现方法及系统
CN107291911A (zh) * 2017-06-26 2017-10-24 北京奇艺世纪科技有限公司 一种异常检测方法和装置
CN107465651A (zh) * 2016-06-06 2017-12-12 腾讯科技(深圳)有限公司 网络攻击检测方法及装置
CN108449342A (zh) * 2018-03-20 2018-08-24 北京搜狐互联网信息服务有限公司 恶意请求检测方法及装置
CN109167754A (zh) * 2018-07-26 2019-01-08 北京计算机技术及应用研究所 一种网络应用层安全防护系统
CN109525567A (zh) * 2018-11-01 2019-03-26 郑州云海信息技术有限公司 一种针对网站实施参数注入攻击的检测方法与系统
CN109886290A (zh) * 2019-01-08 2019-06-14 平安科技(深圳)有限公司 用户请求的检测方法、装置、计算机设备及存储介质
CN110008079A (zh) * 2018-12-25 2019-07-12 阿里巴巴集团控股有限公司 监控指标异常检测方法、模型训练方法、装置及设备
CN110086811A (zh) * 2019-04-29 2019-08-02 深信服科技股份有限公司 一种恶意脚本检测方法及相关装置
CN111277603A (zh) * 2020-02-03 2020-06-12 杭州迪普科技股份有限公司 无监督异常检测系统和方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105337985A (zh) * 2015-11-19 2016-02-17 北京师范大学 一种攻击检测方法及系统
CN107465651A (zh) * 2016-06-06 2017-12-12 腾讯科技(深圳)有限公司 网络攻击检测方法及装置
CN106778259A (zh) * 2016-12-28 2017-05-31 北京明朝万达科技股份有限公司 一种基于大数据机器学习的异常行为发现方法及系统
CN107291911A (zh) * 2017-06-26 2017-10-24 北京奇艺世纪科技有限公司 一种异常检测方法和装置
CN108449342A (zh) * 2018-03-20 2018-08-24 北京搜狐互联网信息服务有限公司 恶意请求检测方法及装置
CN109167754A (zh) * 2018-07-26 2019-01-08 北京计算机技术及应用研究所 一种网络应用层安全防护系统
CN109525567A (zh) * 2018-11-01 2019-03-26 郑州云海信息技术有限公司 一种针对网站实施参数注入攻击的检测方法与系统
CN110008079A (zh) * 2018-12-25 2019-07-12 阿里巴巴集团控股有限公司 监控指标异常检测方法、模型训练方法、装置及设备
CN109886290A (zh) * 2019-01-08 2019-06-14 平安科技(深圳)有限公司 用户请求的检测方法、装置、计算机设备及存储介质
CN110086811A (zh) * 2019-04-29 2019-08-02 深信服科技股份有限公司 一种恶意脚本检测方法及相关装置
CN111277603A (zh) * 2020-02-03 2020-06-12 杭州迪普科技股份有限公司 无监督异常检测系统和方法

Similar Documents

Publication Publication Date Title
US7526806B2 (en) Method and system for addressing intrusion attacks on a computer system
CN107733834B (zh) 一种数据泄露防护方法及装置
US20230418943A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
CN107426136B (zh) 一种网络攻击的识别方法和装置
CN114866296B (zh) 入侵检测方法、装置、设备及可读存储介质
CN108804501B (zh) 一种检测有效信息的方法及装置
RU2666644C1 (ru) Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами
US11012450B2 (en) Detection device, detection method, detection system, and detection program
CN113378161A (zh) 一种安全检测方法、装置、设备及存储介质
CN117319001A (zh) 网络安全评估方法、装置、存储介质和计算机设备
CN111314326A (zh) Http漏洞扫描主机的确认方法、装置、设备及介质
CN108509796B (zh) 一种风险性的检测方法及服务器
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
CN112001533A (zh) 一种参数的检测方法、装置及计算机系统
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN113849813A (zh) 数据检测方法、装置、电子设备及存储介质
US20220237238A1 (en) Training device, determination device, training method, determination method, training method, and determination program
CN115296895B (zh) 请求响应方法、装置、存储介质及电子设备
AU2020262970A1 (en) Mitigation of phishing risk
CN109150871A (zh) 安全检测方法、装置、电子设备及计算机可读存储介质
CN111030834B (zh) 一种基于载荷传播行为的威胁预测方法、装置及存储设备
CN115102728B (zh) 一种用于信息安全的扫描器识别方法、装置、设备及介质
RU2777348C1 (ru) Вычислительное устройство и способ выявления скомпрометированных устройств на основе обнаружения DNS-туннелирования
CN114039745B (zh) 网站异常流量的识别方法、设备及介质
CN113014574B (zh) 一种域内探测操作检测方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination