CN112242984B - 检测异常网络请求的方法、电子设备和计算机程序产品 - Google Patents
检测异常网络请求的方法、电子设备和计算机程序产品 Download PDFInfo
- Publication number
- CN112242984B CN112242984B CN201910656562.4A CN201910656562A CN112242984B CN 112242984 B CN112242984 B CN 112242984B CN 201910656562 A CN201910656562 A CN 201910656562A CN 112242984 B CN112242984 B CN 112242984B
- Authority
- CN
- China
- Prior art keywords
- network request
- network
- request
- symbol
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/547—Remote procedure calls [RPC]; Web services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Abstract
本公开的实施例涉及一种用于检测异常网络请求的方法、电子设备和相应的计算机程序产品。该方法可以包括:获取用于访问服务器的网络请求。该方法还可以包括:从网络请求中提取特征数据。这里,该特征数据表征网络请求对服务器的访问操作。该方法进一步包括:响应于特征数据处于由多个正常网络请求的特征数据限定的范围之外,将网络请求确定为异常网络请求。本公开的实施例能够通过检测网络请求中的内容是否异常来提高服务器安全性。
Description
技术领域
本公开总体上涉及计算机网络领域,更具体地,涉及检测异常网络请求的方法、电子设备和计算机程序产品。
背景技术
目前,网络安全变得越来越重要。例如,通常会在服务器侧检测接收到的网络请求是否是正常的网络请求。检测该网络请求是由用户发起的正常网络请求还是由黑客发起的异常网络请求是网络安全的主要工作。然而,这项工作并不容易。以http请求为例,黑客发起的http头、cookie、请求体很可能与真实用户极为相似。如果网络安全工程师花费时间检查客户端和服务器之间网络通信内容,会发现一些客户端并非真正的用户,但工程师手动检查的效率较低,并且反馈相当缓慢,不能挽回已经发生的损失。
发明内容
本公开的实施例提供了检测异常网络请求的方法、设备和相应的计算机程序产品。
在本公开的第一方面,提供了一种用于检测异常网络请求的方法。该方法可以包括:获取用于访问服务器的网络请求。该方法还可以包括:从网络请求中提取特征数据。这里,该特征数据表征网络请求对服务器的访问操作。该方法进一步包括:响应于特征数据处于由多个正常网络请求的特征数据限定的范围之外,将网络请求确定为异常网络请求。
在某些实施例中,从网络请求中提取特征数据包括:利用预定符号来处理网络请求;以及从经处理的网络请求来获得特征数据。
在某些实施例中,利用预定符号来处理网络请求包括:将网络请求中的字母替换为第一符号;以及将网络请求中的数字替换为第二符号。
在某些实施例中,利用预定符号来处理网络请求包括:将网络请求中的单独出现的字母替换为第三符号;将网络请求中的单独出现的数字替换为第四符号;将网络请求中的连续出现的字母替换为第五符号;以及将网络请求中的连续出现的数字替换为第六符号。
在某些实施例中,从网络请求中提取特征数据还包括:将特征数据向量化。
在某些实施例中,响应于特征数据处于范围之外将网络请求确定为异常网络请求包括:将网络请求的特征数据输入分类模型,分类模型是通过多个正常网络请求的特征数据训练得到的,用于确定多个正常网络请求的特征数据的边界;以及响应于网络请求的特征数据处于边界之外,将网络请求确定为异常网络请求。
在某些实施例中,获取用于访问服务器的网络请求包括:确定网络请求的互联网协议IP地址;以及从服务器中获取具有IP地址的关联网络请求。
在某些实施例中,从网络请求中提取特征数据包括:将网络请求的应用程序接口API信息转换为第一API符号;将关联网络请求的API信息转换为第二API符号;以及将第一API符号和第二API符号组合为特征数据的至少一部分。
在某些实施例中,响应于特征数据处于范围之外将网络请求确定为异常网络请求包括:确定多个正常网络请求与相应关联网络请求的API信息的多个组合;以及响应于特征数据的至少一部分不存在于多个组合中,将网络请求确定为异常网络请求。
在某些实施例中,该方法还包括:向独立于服务器的另一服务器发送异常网络请求,以使得另一服务器基于异常网络请求的访问操作的类型生成针对异常网络请求的响应。
在某些实施例中,访问操作包括以下各项中的至少一项:网络请求的应用程序接口API信息;API信息的参数;服务器的地址信息;网络请求的文本长度;以及网络请求的请求体。
在本公开的第二方面,提供了一种电子设备。该设备可以包括:至少一个处理单元;以及至少一个存储器,其耦合至至少一个处理单元并且存储有机器可执行指令,当指令由至少一个处理单元执行时,使得设备执行动作,该动作可以包括:获取用于访问服务器的网络请求;从网络请求中提取特征数据,特征数据表征网络请求对服务器的访问操作;以及响应于特征数据处于由多个正常网络请求的特征数据限定的范围之外,将网络请求确定为异常网络请求。
在本公开的第三方面,提供了一种计算机程序产品。该计算机程序产品被有形地存储在非瞬态计算机可读介质上并且包括机器可执行指令,机器可执行指令在被执行时使机器执行根据第一方面的方法的步骤。
提供发明内容部分是为了以简化的形式来介绍对概念的选择,它们在下文的具体实施方式中将被进一步描述。发明内容部分无意标识本公开的关键特征或主要特征,也无意限制本公开的范围。
附图说明
通过结合附图对本公开示例性实施例进行更详细的描述,本公开的上述以及其它目标、特征和优势将变得更加明显,其中,在本公开示例性实施例中,相同的参考标号通常代表相同部件。
图1示出了本公开的多个实施例能够在其中实现的示例环境的示意图;
图2示出了本公开的多个实施例能够在其中实现的详细示例环境的示意图;
图3示出了本公开的多个实施例能够在其中实现的另一详细示例环境的示意图;
图4示出了根据本公开的实施例的用于检测异常网络请求的过程的流程图;
图5示出了根据本公开的实施例的用于检测异常网络请求的过程的流程图;以及
图6示出了能够实施本公开的多个实施例的计算设备的框图。
具体实施方式
下面将参照附图更详细地描述本公开的优选实施例。虽然附图中显示了本公开的优选实施例,然而应该理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
在本文中使用的术语“包括”及其变形表示开放性包括,即“包括但不限于”。除非特别申明,术语“或”表示“和/或”。术语“基于”表示“至少部分地基于”。术语“一个示例实施例”和“一个实施例”表示“至少一个示例实施例”。术语“另一实施例”表示“至少一个另外的实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其它明确的和隐含的定义。
为了对服务器侧接收到的网络请求进行检测,通常会建立防火墙。然而,新开发的入侵技术已经遍布整个网络。传统的入侵检测技术可以阻止诸如XSS、SQL注入、参数操作、隐藏字段操作等攻击,但这些入侵检测技术的规则对于不同类型的攻击而言还不够灵活。因此,新开发的入侵技术可以很容易地绕过这些入侵检测技术的规则。此外,新开发的入侵技术也增加了规则的构建和维护成本。
为了至少部分地解决上述以及其他潜在的问题和缺陷,本公开的实施例提出了一种对网络请求进行检测的方案。在该方案中,可以通过多个正常网络请求作为训练数据集来训练一个分类模型,进而通过该分类模型来确定接下来输入的网络请求与正常网络请求是否类似。此外,本公开还提供了多种特征工程的方案来对网络请求的文本进行处理,从而使其更为容易地反映该网络请求的异常程度。另外,本公开还会收集异常网络请求,并利用专用服务器来对该异常进行收集。专用服务器通过发送假响应来诱骗异常攻击达到搜集异常网络请求的目的。因此,本方案能够准确且高效地检测到异常的网络访问操作,从而能够改善网络环境。以下首先结合图1讨论本公开的基本构思。
图1示出了本公开的多个实施例能够在其中实现的示例环境100的示意图。如图1所示,示例环境100中包含计算设备110、网络请求120和检测结果130。此外,计算设备110中还包含分类模型140。网络请求120可以是用户经由客户端发送的网络访问请求。备选地或附加地,网络请求120还可以是黑客发起的网络攻击。计算设备110可以接收网络请求120,并通过计算设备110中的分类模型140来确定检测结果130。检测结果130可以显示网络请求120是用户的正常网络请求还是黑客的异常网络请求。
在图1中,基于网络请求120生成检测结果130的关键在于两点。其一,计算设备110中的分类模型140是通过多个正常网络请求预先训练构建的,下文将通过图2对分类模型140的构建和使用进行描述。其二,根据检测结果130的不同,网络请求120去往的目的地是不同的。例如,当检测结果130显示网络请求120是正常网络请求时,网络请求120将被发送至用户原本计划访问的服务器,而当检测结果130显示网络请求120是异常网络请求时,网络请求120将被发送至另一服务器,该服务器用于收集异常网络请求。下文将参照图3来详细描述对异常网络请求的处理。
图2示出了本公开的多个实施例能够在其中实现的详细示例环境200的示意图。与图1类似地,示例环境200可以包含计算设备110、网络请求120和检测结果130。区别在于,示例环境200总体上可以包括模型训练系统260和模型应用系统270。作为示例,模型训练系统260和/或模型应用系统270可以由如图1或图2所示的计算设备110实现。应当理解,仅出于示例性的目的描述示例环境200的结构和功能并不旨在限制本文所描述主题的范围。本文所描述主题可以在不同的结构和/或功能中实施。
如前所述,根据本公开的用于检测异常网络请求的方案可以分为两个阶段:模型训练阶段和模型应用阶段。在模型训练阶段中,模型训练系统260可以利用多个正常网络请求250来训练用于检测异常网络请求的分类模型140。在模型应用阶段中,模型应用系统270可以接收经训练的分类模型140和网络请求120,从而生成检测结果130。在某些实施例中,正常网络请求250可以是海量用户的访问请求。
优选地,分类模型140可以是一类支持向量机(OCSVM)。通过训练过程,一类支持向量机的相应参数能够被确定。由于绝大部分的网络请求均是正常网络请求,故异常网络请求的样本是十分有限甚至是首次出现的。一类支持向量机可以通过多个正常网络请求来训练,以确定支持向量机的决策边界,因而在接收到异常网络请求时可以将该异常网络请求判定为位于边界之外。因此,一类支持向量机完全适用于本公开的异常网络请求的检测机制。
应理解,分类模型140还可以被构建为用于检测异常网络请求的学习网络。这样的学习网络也可以被称为学习模型,或者被简称为网络或模型。在一些实施例中,用于检测异常网络请求的学习网络可以包括多个网络,其中每个网络可以是一个多层神经网络,其可以由大量的神经元组成。通过训练过程,每个网络中的神经元的相应参数能够被确定。
在分类模型140是学习网络的实施例中,分类模型140的训练过程可以以迭代方式来被执行。具体地,模型训练系统260可以从多个正常网络请求250中获取至少一个正常网络请求的文本,并且利用该文本来进行训练过程的一次迭代,以更新分类模型140的相应参数。模型训练系统260可以基于多个正常网络请求250中的文本来重复执行上述过程,直至分类模型140的参数中的至少部分参数收敛,由此获得最终的模型参数。此外,标准的反向传播神经网络还可以一个样本迭代一次。此外,还有一种方法是在一次迭代中计算所有样本的总误差,再更新权值矩阵。
图3示出了本公开的多个实施例能够在其中实现的另一详细示例环境300的示意图。如图3所示,示例环境300可以包含服务器320、计算设备110以及独立于服务器320的另一服务器330。当服务器320接收到一个网络请求120时,服务器320直接将其发送至计算设备110进行检测。计算设备110对网络请求120进行诸如特征工程的处理,进而通过分类模型140进行分类。当分类模型140确定网络请求120是异常请求360时,计算设备110将异常请求360发送至另一服务器330,以使得另一服务器330基于异常请求360的访问操作的类型生成针对异常请求360的响应。
上文描述的技术方案仅用于示例,而非限制本发明。为了更清楚地解释上述方案的原理,下文将参考图4来更详细描述检测异常网络请求的过程。
图4示出了根据本公开的实施例的用于检测异常网络请求的过程或方法400的流程图。在某些实施例中,方法400可以在图6示出的设备中实现。作为示例,方法400可以在图1、图2或图3所示的计算设备110中实现。现参照图2和图3描述图4示出的根据本公开实施例的用于检测异常网络请求的过程或方法400。为了便于理解,在下文描述中提及的具体数据均是示例性的,并不用于限定本公开的保护范围。
在410,计算设备110获取用于访问服务器的网络请求120。作为示例,计算设备110可以按照与防火墙类似的方式设置在服务器前侧,以便在网络请求120到达服务器前获取网络请求120,进而对该网络请求120进行检测。备选地或附加地,如图3所示,计算设备110还可以设置在服务器侧或服务器内。服务器320在接收到网络请求120时,先不对其进行处理,而是将其转发至计算设备110。如果计算设备110确定网络请求120为正常网络请求,则再将网络请求120返回服务器320进行处理。
在某些实施例中,在获取用于访问服务器的网络请求120时,计算设备110可以确定网络请求120的IP(互联网协议)地址,并从服务器中获取具有该IP地址的关联网络请求。作为示例,当计算设备110接收到网络请求120时,可以先检查该网络请求120的IP地址以及该IP地址下的历史记录。如果该IP地址的历史记录为空,则该网络请求可能是异常网络请求(当然也可能是正常网络请求)。或者更确切地,如果该IP地址的历史记录中的关联网络请求与网络请求120构成的序列为异常(例如缺少“登录”的网络请求),则该网络请求可能是异常网络请求。应理解,查询历史记录是为了构造API上下文,用于实现特征工程。
在420,计算设备110可以从网络请求120中提取特征数据,该特征数据用于表征网络请求120对服务器的访问操作。应理解,网络请求120对服务器的访问操作是指网络请求120的文本中的剔除了冗余信息的核心内容,其可以包括网络请求120的API(应用程序接口)信息、API信息的参数、服务器的地址信息、网络请求120的文本长度和网络请求120的请求体中的至少一个。API信息包含网络请求120所调用的API及其http安全方法(httpmethod)。
在某些实施例中,计算设备110可以利用预定符号来处理网络请求120,并且可以从经处理的网络请求中获得特征数据。作为示例,由于网络请求120所调用的API及其http安全方法数量有限,故可以对其进行编号。因此,如果接收到的网络请求120中的API信息为/api/v2/assetRules(即API)和GET(即http安全方法),则可以基于预先确定的编号来代替网络请求120中的API信息,以便简化网络请求120。此外,还可以采用如下多种方式来利用预定符号处理网络请求120。
在某些实施例中,计算设备110还可以将网络请求120中的单独出现的字母替换为第三符号,将网络请求120中的单独出现的数字替换为第四符号,将网络请求120中的连续出现的字母替换为第五符号,以及将网络请求120中的连续出现的数字替换为第六符号。
作为示例,计算设备110还可以将网络请求120中的字母替换为第一符号,并且将网络请求120中的数字替换为第二符号。应理解上述所有替换方式均可以适用于网络请求120中的所有文本,或者适用于网络请求120中的主要文本,例如API信息的参数、服务器地址信息等。
作为示例,网络请求120包含API信息、API信息的参数xxx-xxx-xxx-xxx、服务器的地址信息10.62.231.143:443、网络请求120的文本长度2433和网络请求120的请求体{"name":"PLC-2","description":"PLC-2DESCR","assetType":"VMWARE_VIRTUAL”}。除了如上所述将API信息转换为预先确定的编号(例如“1”)之外,其他信息中单独出现的字母将被替换为“a”,单独出现的数字将被替换为“n”,连续出现的字母将被替换为“a+”,连续出现的数字将被替换为“n+”。因此,通过上述规则,网络请求120将被处理为1,a+-a+-a+-a+,n+.n+.n+.n+:n+,n+,{“a+”:“a+-n”,“a+”:“a+-na+”,“a+”:“a+_a+”}。应理解,由于文本长度用于指示请求的大小,故也可以直接将文本长度中的每个数字以“n”代替。
通过如上各种方式以及未提及的其他方式,本公开精简了网络请求120的结构和尺寸,从而能够简化后续的检测过程。此外,上述模型训练系统260也是同样以此方式来精简每个正常网络请求250的文本,从而能够更为快速精确地训练分类模型140。
在某些实施例中,还可以将网络请求120的特征数据向量化。作为示例,可以将以如上各种方式精简的网络请求120的特征数据向量化。备选地或附加地,还可以直接将网络请求120的文本作为特征数据进行向量化。此外,优选地采用词频-逆向文件频率(TF-IDF)方式来进行向量化。备选地,还可以利用诸如word2vec的浅层神经网络或其他方式来进行向量化。
在430,计算设备110可以检测网络请求120的特征数据是否处于由多个正常网络请求250的特征数据限定的范围之外。如果是,则进行至440。在440,计算设备110可以将网络请求120确定为异常网络请求。下文将参照图5详细描述检测的具体实施例。
图5示出了根据本公开的实施例的用于检测异常网络请求的过程或方法500的流程图。在某些实施例中,方法500可以在图6示出的设备中实现。作为示例,方法500可以在图1、图2或图3所示的计算设备110中实现。现参照图2和图3描述图5示出的根据本公开实施例的用于检测异常网络请求的过程或方法500。为了便于理解,在下文描述中提及的具体数据均是示例性的,并不用于限定本公开的保护范围。
在510,计算设备110可以将网络请求120的上述特征数据输入分类模型140。如上所述,分类模型140是通过多个正常网络请求250的特征数据训练得到的,用于确定该多个正常网络请求250的特征数据的边界。当分类模型140是一类支持向量机时,一类支持向量机可以将上述多个正常网络请求250作为样本来确定样本的决策边界或超平面,即上述边界。
在520,计算设备110可以将网络请求120的特征数据与上述边界进行比较。如果特征数据处于边界之外,则进入530。在530,计算设备110将网络请求120确定为异常网络请求。
在某些实施例中,当从网络请求120中提取特征数据时,计算设备110可以将网络请求120的API信息转换为第一API符号,并且将与网络请求120同一IP地址的上一个网络请求的API信息转换为第二API符号。之后,计算设备110可以将第一API符号和第二API符号组合为特征数据的一部分。作为示例,上一个网络请求的API信息和网络请求120的API信息可以表示为“3,1”。备选地或附加地,上两个网络请求的API信息、上一个网络请求的API信息和网络请求120的API信息可以表示为“6,3,1”。
在某些实施例中,在判定网络请求120的特征数据是否处于上述范围外时,计算设备110可以确定多个正常网络请求250与相应关联网络请求的API信息的多个组合。作为示例,三个正常网络请求与相应关联网络请求的API信息组合分别为“5,2,4”、“1,4,16”和“8,3,1”。由于网络请求120的特征数据的“6,3,1”不存在于上述组合中,故将网络请求120确定为异常网络请求。出现不存在的API组合,会直接导致特征工程处理之后的向量偏离支持向量机的边界,从而达到侦测异常的作用。以此方式,可以建立一些简单的检测算法,例如,当发现网络请求120以及关联网络请求均没有出现“登录”的API调用信息,则表示该网络请求120有可能是异常网络请求。由此,可以更为快速完成检测。
此外,如图3所示以及如上文所述,计算设备110可以将异常请求360发送至另一服务器330,以使得另一服务器330基于异常请求360的访问操作的类型生成针对异常请求360的响应。作为示例,可以预先对多个正常网络请求250的向量化特征数据进行聚类,并确定每类请求所对应的响应方式。一旦另一服务器330接收到异常请求360,就将异常请求360的向量化特征数据与上述多个聚类点进行距离(例如,欧式距离)计算。当找到距离异常请求360的向量化特征数据最近的聚类点时,就可以按照与该聚类点对应的响应方式来对发起异常请求360的黑客进行假响应。以此方式,可以吸引黑客继续对另一服务器330发起攻击。这样既可以有效保护服务器320,也可以通过收集足够多的异常请求360作为样本来进行进一步分析。
通过实施上述过程,可以基于网络请求的文本信息来检测网络请求是否异常。本公开不仅能够检测网络请求中的文本内容的有效性,还能够检测网络请求的API调用序列的有效性。此外,本公开利用多个正常网络请求的文本内容来训练诸如一类支持向量机的分类模型,并利用一类支持向量机的边界来识别异常网络请求。并且本公开还设计了一个隔离服务器,这不仅可以保证安全性,还可以收集更多的异常网络请求,以便丰富异常网络请求的样本资源。
图6示出了可以用来实施本公开内容的实施例的示例设备600的示意性框图。如图所示,设备600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的计算机程序指令或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序指令,来执行各种适当的动作和处理。在RAM 603中,还可存储设备600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
设备600中的多个部件连接至I/O接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
上文所描述的各个过程和处理,例如方法400和/或500,可由处理单元601执行。例如,在一些实施例中,方法400和/或500可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序被加载到RAM 603并由CPU 601执行时,可以执行上文描述的方法400和/或500的一个或多个动作。
本公开可以是方法、装置、系统和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是(但不限于)电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (17)
1.一种用于检测异常网络请求的方法,包括:
获取用于访问服务器的网络请求;
从所述网络请求中提取特征数据,所述特征数据表征所述网络请求对所述服务器的访问操作,其中从所述网络请求中提取所述特征数据包括:
将所述网络请求的应用程序接口API信息转换为第一API符号;
将所述关联网络请求的API信息转换为第二API符号,其中所述特征数据包括所述第一API符号和所述第二API符号;以及
响应于所述特征数据处于由多个正常网络请求的特征数据限定的范围之外,将所述网络请求确定为异常网络请求,其中将所述网络请求确定为所述异常网络请求包括:
确定所述多个正常网络请求与相应关联网络请求的API信息的多个组合;以及
响应于所述特征数据的至少一部分不存在于所述多个组合中,将所述网络请求确定为所述异常网络请求,
其中所述方法还包括:
预先对多个所述正常网络请求的向量化特征数据进行聚类以确定多个聚类点,并确定每类请求所对应的响应方式;
一旦独立于所述服务器的另一服务器接收到所述异常网络请求,就将所述异常网络请求的向量化特征数据与所述多个聚类点进行距离计算;以及
当找到距离所述异常请求的向量化特征数据最近的聚类点时,按照与该聚类点对应的响应方式来对发起所述异常网络请求的黑客进行假响应。
2.根据权利要求1所述的方法,其中从所述网络请求中提取所述特征数据包括:
利用预定符号来处理所述网络请求;以及
从经处理的所述网络请求来获得所述特征数据。
3.根据权利要求2所述的方法,其中利用预定符号来处理所述网络请求包括:
将所述网络请求中的字母替换为第一符号;以及
将所述网络请求中的数字替换为第二符号。
4.根据权利要求2所述的方法,其中利用预定符号来处理所述网络请求包括:
将所述网络请求中的单独出现的字母替换为第三符号;
将所述网络请求中的单独出现的数字替换为第四符号;
将所述网络请求中的连续出现的字母替换为第五符号;以及
将所述网络请求中的连续出现的数字替换为第六符号。
5.根据权利要求2所述的方法,其中从所述网络请求中提取所述特征数据还包括:
将所述特征数据向量化。
6.根据权利要求1所述的方法,其中将所述网络请求确定为所述异常网络请求还包括:
将所述网络请求的所述特征数据输入分类模型,所述分类模型是通过所述多个正常网络请求的特征数据训练得到的,用于确定所述多个正常网络请求的特征数据的边界;以及
响应于所述网络请求的所述特征数据处于所述边界之外,将所述网络请求确定为所述异常网络请求。
7.根据权利要求1所述的方法,其中获取用于访问所述服务器的所述网络请求包括:
确定所述网络请求的互联网协议IP地址;以及
从所述服务器中获取具有所述IP地址的关联网络请求。
8.根据权利要求1所述的方法,其中所述访问操作包括以下各项中的至少一项:
所述网络请求的应用程序接口API信息;
所述API信息的参数;
所述服务器的地址信息;
所述网络请求的文本长度;以及
所述网络请求的请求体。
9.一种电子设备,包括:
至少一个处理单元;以及
至少一个存储器,其耦合至所述至少一个处理单元并且存储有机器可执行指令,当所述指令由所述至少一个处理单元执行时,使得所述设备执行动作,所述动作包括:
获取用于访问服务器的网络请求;
从所述网络请求中提取特征数据,所述特征数据表征所述网络请求对所述服务器的访问操作,其中从所述网络请求中提取所述特征数据包括:
将所述网络请求的应用程序接口API信息转换为第一API符号;
将所述关联网络请求的API信息转换为第二API符号,其中所述特征数据包括所述第一API符号和所述第二API符号;以及
响应于所述特征数据处于由多个正常网络请求的特征数据限定的范围之外,将所述网络请求确定为异常网络请求,其中将所述网络请求确定为所述异常网络请求包括:
确定所述多个正常网络请求与相应关联网络请求的API信息的多个组合;以及
响应于所述特征数据的至少一部分不存在于所述多个组合中,将所述网络请求确定为所述异常网络请求,
其中所述动作还包括:
预先对多个所述正常网络请求的向量化特征数据进行聚类以确定多个聚类点,并确定每类请求所对应的响应方式;
一旦独立于所述服务器的另一服务器接收到所述异常网络请求,就将所述异常网络请求的向量化特征数据与所述多个聚类点进行距离计算;以及
当找到距离所述异常请求的向量化特征数据最近的聚类点时,按照与该聚类点对应的响应方式来对发起所述异常网络请求的黑客进行假响应。
10.根据权利要求9所述的设备,其中从所述网络请求中提取所述特征数据包括:
利用预定符号来处理所述网络请求;以及
从经处理的所述网络请求来获得所述特征数据。
11.根据权利要求10所述的设备,其中利用预定符号来处理所述网络请求包括:
将所述网络请求中的字母替换为第一符号;以及
将所述网络请求中的数字替换为第二符号。
12.根据权利要求10所述的设备,其中利用预定符号来处理所述网络请求包括:
将所述网络请求中的单独出现的字母替换为第三符号;
将所述网络请求中的单独出现的数字替换为第四符号;
将所述网络请求中的连续出现的字母替换为第五符号;以及
将所述网络请求中的连续出现的数字替换为第六符号。
13.根据权利要求10所述的设备,其中从所述网络请求中提取所述特征数据还包括:
将所述特征数据向量化。
14.根据权利要求9所述的设备,其中将所述网络请求确定为所述异常网络请求包括:
将所述网络请求的所述特征数据输入分类模型,所述分类模型是通过所述多个正常网络请求的特征数据训练得到的,用于确定所述多个正常网络请求的特征数据的边界;以及
响应于所述网络请求的所述特征数据处于所述边界之外,将所述网络请求确定为所述异常网络请求。
15.根据权利要求9所述的设备,其中获取用于访问所述服务器的所述网络请求包括:
确定所述网络请求的互联网协议IP地址;以及
从所述服务器中获取具有所述IP地址的关联网络请求。
16.根据权利要求9所述的设备,其中所述访问操作包括以下各项中的至少一项:
所述网络请求的应用程序接口API信息;
所述API信息的参数;
所述服务器的地址信息;
所述网络请求的文本长度;以及
所述网络请求的请求体。
17.一种计算机可读存储介质,其上存储有计算机可读程序指令,所述计算机可读程序指令用于执行根据权利要求1至8中任一项所述的方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910656562.4A CN112242984B (zh) | 2019-07-19 | 2019-07-19 | 检测异常网络请求的方法、电子设备和计算机程序产品 |
US16/794,505 US20210021624A1 (en) | 2019-07-19 | 2020-02-19 | Method, electronic device and computer program product for detecting abnormal network request |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910656562.4A CN112242984B (zh) | 2019-07-19 | 2019-07-19 | 检测异常网络请求的方法、电子设备和计算机程序产品 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112242984A CN112242984A (zh) | 2021-01-19 |
CN112242984B true CN112242984B (zh) | 2023-05-30 |
Family
ID=74168154
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910656562.4A Active CN112242984B (zh) | 2019-07-19 | 2019-07-19 | 检测异常网络请求的方法、电子设备和计算机程序产品 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20210021624A1 (zh) |
CN (1) | CN112242984B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11108621B1 (en) * | 2020-05-29 | 2021-08-31 | Accedian Networks Inc. | Network performance metrics anomaly detection |
CN112311626A (zh) * | 2020-10-29 | 2021-02-02 | 山东大学 | 一种计算机网络异常检测的方法 |
CN113905091B (zh) * | 2021-09-15 | 2023-09-01 | 盐城天眼察微科技有限公司 | 用于对访问请求进行处理的方法及装置 |
CN114024867B (zh) * | 2021-11-10 | 2023-04-28 | 中国建设银行股份有限公司 | 网络异常检测方法及装置 |
CN114125916B (zh) * | 2022-01-27 | 2022-06-10 | 荣耀终端有限公司 | 一种通信系统、方法以及相关设备 |
CN115225396B (zh) * | 2022-07-22 | 2024-03-08 | 中国工商银行股份有限公司 | 访问请求的审核方法、装置、存储介质以及电子设备 |
CN115987620B (zh) * | 2022-12-21 | 2023-11-07 | 北京天云海数技术有限公司 | 一种检测web攻击的方法及系统 |
CN116383083B (zh) * | 2023-04-23 | 2024-01-12 | 中航信移动科技有限公司 | 基于多接口连接的异常数据源确定方法及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10320841B1 (en) * | 2015-12-28 | 2019-06-11 | Amazon Technologies, Inc. | Fraud score heuristic for identifying fradulent requests or sets of requests |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1244264B1 (en) * | 2001-02-14 | 2006-06-28 | Mitsubishi Denki Kabushiki Kaisha | Illegal access data handling apparatus and method |
US7675435B2 (en) * | 2006-08-31 | 2010-03-09 | Microsoft Corporation | Smart filtering with multiple simultaneous keyboard inputs |
US9009829B2 (en) * | 2007-06-12 | 2015-04-14 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for baiting inside attackers |
US9684624B2 (en) * | 2014-01-14 | 2017-06-20 | Qualcomm Incorporated | Receive clock calibration for a serial bus |
US9715111B2 (en) * | 2015-03-27 | 2017-07-25 | Ca, Inc. | Secure user input mode for electronic devices using randomized locations of selection indicia |
US10868830B2 (en) * | 2015-05-27 | 2020-12-15 | Nec Corporation | Network security system, method, recording medium and program for preventing unauthorized attack using dummy response |
US9952790B2 (en) * | 2015-06-13 | 2018-04-24 | Avocado Systems Inc. | Application security policy actions based on security profile exchange |
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
US10142366B2 (en) * | 2016-03-15 | 2018-11-27 | Vade Secure, Inc. | Methods, systems and devices to mitigate the effects of side effect URLs in legitimate and phishing electronic messages |
CN106027577B (zh) * | 2016-08-04 | 2019-04-30 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
US10419931B1 (en) * | 2016-08-25 | 2019-09-17 | EMC IP Holding Company LLC | Security for network computing environment using centralized security system |
US20210319179A1 (en) * | 2017-08-14 | 2021-10-14 | Dathena Science Pte. Ltd. | Method, machine learning engines and file management platform systems for content and context aware data classification and security anomaly detection |
GB201714917D0 (en) * | 2017-09-15 | 2017-11-01 | Spherical Defence Labs Ltd | Detecting anomalous application messages in telecommunication networks |
US10699010B2 (en) * | 2017-10-13 | 2020-06-30 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
US10812509B2 (en) * | 2017-10-30 | 2020-10-20 | Micro Focus Llc | Detecting anomolous network activity based on scheduled dark network addresses |
CN107920062B (zh) * | 2017-11-03 | 2020-06-05 | 北京知道创宇信息技术股份有限公司 | 一种业务逻辑攻击检测模型的构建方法和计算设备 |
US10587652B2 (en) * | 2017-11-29 | 2020-03-10 | International Business Machines Corporation | Generating false data for suspicious users |
US11368476B2 (en) * | 2018-02-22 | 2022-06-21 | Helios Data Inc. | Data-defined architecture for network data management |
WO2020005263A1 (en) * | 2018-06-28 | 2020-01-02 | Visa International Service Association | Systems and methods to secure api platforms |
US10944773B2 (en) * | 2018-12-05 | 2021-03-09 | Blackberry Limited | Monitoring network activity |
US11038658B2 (en) * | 2019-05-22 | 2021-06-15 | Attivo Networks Inc. | Deceiving attackers in endpoint systems |
-
2019
- 2019-07-19 CN CN201910656562.4A patent/CN112242984B/zh active Active
-
2020
- 2020-02-19 US US16/794,505 patent/US20210021624A1/en not_active Abandoned
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10320841B1 (en) * | 2015-12-28 | 2019-06-11 | Amazon Technologies, Inc. | Fraud score heuristic for identifying fradulent requests or sets of requests |
Non-Patent Citations (1)
Title |
---|
王禹程 ; .抵抗Web攻击的异常入侵检测算法.电子设计工程.2018,(第24期),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN112242984A (zh) | 2021-01-19 |
US20210021624A1 (en) | 2021-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112242984B (zh) | 检测异常网络请求的方法、电子设备和计算机程序产品 | |
US11783033B2 (en) | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions | |
US11038917B2 (en) | System and methods for building statistical models of malicious elements of web pages | |
US11818170B2 (en) | Detection of phishing campaigns based on deep learning network detection of phishing exfiltration communications | |
US11568277B2 (en) | Method and apparatus for detecting anomalies in mission critical environments using word representation learning | |
US11546380B2 (en) | System and method for creation and implementation of data processing workflows using a distributed computational graph | |
US20230126692A1 (en) | System and method for blocking phishing attempts in computer networks | |
US11886818B2 (en) | Method and apparatus for detecting anomalies in mission critical environments | |
CN111526136A (zh) | 基于云waf的恶意攻击检测方法、系统、设备和介质 | |
RU2701040C1 (ru) | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах | |
US9886498B2 (en) | Title standardization | |
EP3306511B1 (en) | System and methods of detecting malicious elements of web pages | |
CN108768742B (zh) | 网络构建方法及装置、电子设备、存储介质 | |
US20200159998A1 (en) | Method and apparatus for detecting anomalies in mission critical environments using statistical language modeling | |
US20240037157A1 (en) | Increasing security of a computer program using unstructured text | |
US20230056625A1 (en) | Computing device and method of detecting compromised network devices | |
US20220407871A1 (en) | Massive vulnerable surface protection | |
CN116094772A (zh) | 接口攻击的检测方法、装置、电子设备及存储介质 | |
US20160196272A1 (en) | Automatic identification of modifier terms in a title string | |
CN117193994A (zh) | 用于合规检测的方法、装置、电子设备以及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |