CN112600797A - 异常访问行为的检测方法、装置、电子设备及存储介质 - Google Patents
异常访问行为的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112600797A CN112600797A CN202011373715.3A CN202011373715A CN112600797A CN 112600797 A CN112600797 A CN 112600797A CN 202011373715 A CN202011373715 A CN 202011373715A CN 112600797 A CN112600797 A CN 112600797A
- Authority
- CN
- China
- Prior art keywords
- access
- page
- abnormal
- abnormal access
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 228
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000001514 detection method Methods 0.000 claims abstract description 51
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 12
- 230000006399 behavior Effects 0.000 claims description 91
- 238000012544 monitoring process Methods 0.000 claims description 22
- 238000012216 screening Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 230000015654 memory Effects 0.000 claims description 11
- 230000002547 anomalous effect Effects 0.000 claims 1
- 238000013515 script Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供的一种异常访问行为的检测方法、装置、电子设备及存储介质,应用于网络安全技术领域,所述方法包括:查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面;获取访问过所述异常访问页面的异常访问IP;在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。本方案通过首先将访问源数量较小的页面作为异常访问页面,然后将只访问过该异常访问页面的异常访问IP对于该异常访问页面的访问行为作为异常访问行为,依据攻击者只会访问Webshell页面的特征进行异常行为检测,无需提前获取Webshell页面,提高了对于Webshell页面的异常访问行为的检测的准确性。
Description
技术领域
本申请属于网络安全技术领域,特别是涉及一种异常访问行为的检测方法、装置、电子设备及存储介质。
背景技术
Webshell脚本是一种以动态服务器页面、超文本预处理器和Java服务器页面等网页文件形式存在的一种命令执行环境,也就是一种网页后门。黑客可以通过Webshell脚本入侵网站或非法上传木马等恶意代码到页面文件中,以达到控制网站服务器的目的。因此如何识别Webshell脚本是网络安全领域的重要研究方向。
现有对Webshell恶意脚本进行识别的方式通常对网页文件生成哈希签名,然后实时或定时对网页文件进行检测,一旦出现新增网页文件不再哈希签名列表中,便将该新增网页文件视为Webshell脚本上传的恶意文件。
这种方式对于网页文件的哈希签名的实时性要求较高,如果出现某些暂未生成哈希签名的文件就会发生误报的情况,降低了Webshell恶意脚本识别的准确性。
发明内容
有鉴于此,本申请实施例提出一种异常访问行为的检测方法、装置、电子设备及存储介质,用于解决现有Webshell恶意脚本检测方式对于网页文件的哈希签名的实时性要求较高,如果出现某些暂未生成哈希签名的文件就会发生误报的情况,降低了Webshell恶意脚本识别的准确性的问题。
本申请第一方面提供一种异常访问行为的检测方法,所述方法包括:
查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面;
获取访问过所述异常访问页面的异常访问IP;
在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。
可选地,所述查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面,包括:
查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的可疑访问页面;
可疑访问页面中的目标可疑访问页面作为异常访问页面,所述目标可疑访问页面是所述被访问记录未涉及除所述可疑访问页面以外的页面的可疑访问页面。
可选地,在所述可疑访问页面中的目标可疑访问页面作为异常访问页面之前,所述方法还包括:
获取所述可疑访问页面的访问请求的目标请求头字段;
在所述目标请求头字段不包含有除所述可疑访问页面以外的访问联时,将所述可疑访问页面作为目标可疑访问页面。
可选地,在所述在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为之后,所述方法还包括:
根据所述异常访问IP的访问记录对所述异常访问页面进行更新。
可选地,在所述查询各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面之前,还包括:
获取目标检测网络的镜像流量数据;
解析所述镜像流量数据,获取所述目标检测网络中各页面的访问记录。
可选地,在所述在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为之后,所述方法还包括:
根据所述异常访问行为生成报警提示信息;
按照预设方式展示所述报警提示信息。
可选地,在所述在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为之后,所述方法还包括:
根据所述异常访问IP更新监控IP集合,以及根据所述异常访问页面的页面地址更新监控页面集合;
获取页面访问请求,所述页面访问请求至少包括:源IP、访问页面地址;
在所述IP集合包含所述源IP或所述监控页面集合包含所述访问页面地址时,拦截所述页面访问请求。
依据本申请第二方面,提供一种异常访问行为的检测装置,包括:
网页筛选模块,被配置为查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面;
IP筛选模块,被配置为获取访问过所述异常访问页面的异常访问IP;
异常行为筛选模块,被配置为在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。
可选地,所述网页筛选模块,还被配置为:
查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的可疑访问页面;
可疑访问页面中的目标可疑访问页面作为异常访问页面,所述目标可疑访问页面是所述被访问记录未涉及除所述可疑访问页面以外的页面的可疑访问页面。
可选地,所述网页筛选模块,还被配置为:
获取所述可疑访问页面的访问请求的目标请求头字段;
在所述目标请求头字段不包含有除所述可疑访问页面以外的访问联时,将所述可疑访问页面作为目标可疑访问页面。
可选地,所述装置还包括:
更新模块,被配置为根据所述异常访问IP的访问记录对所述异常访问页面进行更新。
可选地,所述装置还包括:
获取模块,被配置为:
获取目标检测网络的镜像流量数据;
解析所述镜像流量数据,获取所述目标检测网络中各页面的访问记录。
可选地,所述装置还包括:报警模块,被配置为:
根据所述异常访问行为生成报警提示信息;
按照预设方式展示所述报警提示信息。
可选地,所述装置还包括:监控模块,被配置为:
根据所述异常访问IP更新监控IP集合,以及根据所述异常访问页面的页面地址更新监控页面集合;
获取页面访问请求,所述页面访问请求至少包括:源IP、访问页面地址;
在所述IP集合包含所述源IP或所述监控页面集合包含所述访问页面地址时,拦截所述页面访问请求。
依据本申请第三方面,提供包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现上述第一方面所述异常访问行为的检测方法。
依据本申请第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的异常访问行为的检测方法。
针对现有技术,本申请具备如下优点:
本申请提供的一种异常访问行为的检测方法、装置、电子设备及存储介质,本方案通过首先将访问源数量较小的页面作为异常访问页面,然后将只访问过该异常访问页面的异常访问IP对于该异常访问页面的访问行为作为异常访问行为,依据攻击者只会访问Webshell页面的特征进行异常行为检测,提高了对于Webshell页面的异常访问行为的检测的准确性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本申请实施例提供的一种异常访问行为的检测方法的步骤流程图;
图2是本申请实施例提供的另一种异常访问行为的检测方法的步骤流程图;
图3是本申请实施例提供的一种可疑访问网页的筛选方法的步骤流程图;
图4是本申请实施例提供的一种异常访问行为的检测装置的结构框图。
具体实施方式
下面将参照附图更详细地描述本申请的示例性实施例。虽然附图中显示了本申请的示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
实施例一
图1是本申请实施例提供的一种异常访问行为的检测方法的步骤示意图,所述方法包括:
步骤101,查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面。
在本申请实施例中,目标检测网络是指需要进行异常访问行为监控的系统网络,例如某个网站的所处网络,具体可以根据实际需求进行设置。访问源数量是指访问页面的访问请求的来源IP(Internet Protocol Address,互联网协议地址)的数量。
由于通常普通用户不知道Webshell页面的存在,只有攻击者或网页开发人员才知道Webshell页面的存在,因此对于Webshell页面的访问请求的来源的数量只局限在少数IP上,因此可以将5小时、10小时等一段时间中访问源数量小于例如5个、10个等访问源数量阈值的页面作为异常访问页面。该访问源数量阈值在实际使用时不宜设置过低,因此考虑到页面本身的原有访问源的个数,例如管理员存在2个,此时该访问源数量阈值需要大于2,从而可以兼顾除管理员以外的访问情况,具体可以根据实际需求确定,此处不做限定。
步骤102,获取访问过所述异常访问页面的异常访问IP。
在本申请实施例中,相应的,由于通常普通用户无法获取Webshell页面的存在,因此可以将访问该异常访问页面的IP作为异常访问IP。
步骤103,在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。
在本申请实施例中,对于攻击者而言,通常对于目标检测网络中的实际网页内容不敢兴趣,因此不会或者很少去访问出了Webshell页面以外的页面,因此此时可以将异常访问IP在一段时间中只访问过该异常访问页面的访问行为作为异常访问行为。可以理解,即使是网站管理员也会偶尔访问出了Webshell页面以外的页面,通过这种方式可以有效过滤掉对于Webshell页面的网站管理员的访问行为,从而筛选出攻击者对于Webshell页面的异常访问行为。
本申请实施例提供的一种异常访问行为的检测方法,通过首先将访问源数量较小的页面作为异常访问页面,然后将只访问过该异常访问页面的异常访问IP对于该异常访问页面的访问行为作为异常访问行为,依据攻击者只会访问Webshell页面的特征进行异常行为检测,无需提前获知Webshell页面,也能准确性地检测对于Webshell页面的异常访问行为,提高了对于Webshell页面的异常访问行为的检测的准确性。
实施例二
图2是本申请实施例提供的另一种异常访问行为的检测方法,所述方法包括:
步骤201,获取目标检测网络的镜像流量数据。
在本申请实施例中,针对目标检测网络的双向网络流量数据进行镜像处理,得到与该目标检测网络的网络流量数据相同的一份镜像流量数据,后续只要对该镜像流量数据进行分析即可,不会影响目标检测网络的正常运行。
步骤202,解析所述镜像流量数据,获取所述目标检测网络中各页面的访问记录。
在本申请实施例中,可以对该镜像流量数据进行网络协议的解析,从数据链路层一直解析到应用层,重点解析应用层的超文本传输协议,从而获取各页面的访问记录,例如访问源IP、时间、次数等。
本申请实施例通过对目标检测网络的镜像流量数据进行分析来获取各页面的访问记录,减少了异常行为检测对于目标检测网络的运行过程的影响。
步骤203,查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的可疑访问页面。
在本申请实施例中,由于部分页面是需要从其他页面跳转才能查看,过程比较复杂,因此访问源数量小于访问源数量阈值的可能不是Webshell页面,因此可将访问源数量小于访问源数量阈值的页面暂时作为可疑访问页面。
步骤204,可疑访问页面中的目标可疑访问页面作为异常访问页面,所述目标可疑访问页面是所述被访问记录未涉及除所述可疑访问页面以外的页面的可疑访问页面。
在本申请实施例中,虽然可疑访问页面可能是从其他页面跳转过来,但是跳转之前的页面的访问源数量会相对较高,因此将不包含于该可疑访问页面中,因此可以通过查询可疑访问页面的访问记录,如果跳转页面包含有可疑访问页面以外的其他页面,则说明该可疑访问页面不是异常访问页面,如果不包含访问页面以外的其他页面,则说明该可疑访问页面之前的跳转页面也是访问源数量较小的可以可疑访问页面,则可将该可疑访问页面作为异常访问页面,也就是Webshell页面。可以理解,攻击者由于对除Webshell页面以外的页面不感兴趣,因此在进行页面跳转时也是冲一个Webshell页面跳转到另一个Webshell页面。
本申请实施例通过筛选掉访问记录涉及到其他页面的可疑访问页面,提高了所确定异常访问页面的准确性。
步骤205,获取访问过所述异常访问页面的异常访问IP。
该步骤可参照步骤102的详细描述,此处不再赘述。
步骤206,在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。
该步骤可参照步骤103的详细描述,此处不再赘述。
步骤207,根据所述异常访问IP的访问记录对所述异常访问页面进行更新。
在本申请实施例中,对于已经确定的异常访问IP,其访问过的页面均可以作为异常访问页面进行监控,因此可将该异常访问IP访问过的页面补充到异常访问页面中,进一步对异常访问行为的结果进行更新。
步骤208,根据所述异常访问行为生成报警提示信息。
在本申请实施例中,报警提示信息是用于告知用户存在异常访问信息为提示信息,可以是音频形式、视频形式、音视频形式或者文字形式等,具体可以根据实际需求确定,此处不做限定。
步骤209,按照预设方式展示所述报警提示信息。
在本申请实施例中,预设方式是用于输出所述报警提示信息的方式,可以是信号灯闪烁、震动、音视频输出、短信、社交软件留言等提示信息的展示方式,具体可以根据实际需求确定,此处不做限定。
通过在检测到异常访问行为后,通过向用户展示报警提示信息,可以及时告知用户异常访问行为,从而使得用户可以及时对异常访问行为进行处理。
步骤210,根据所述异常访问IP更新监控IP集合,以及根据所述异常访问页面的页面地址更新监控页面集合。
步骤211,获取页面访问请求,所述页面访问请求至少包括:源IP、访问页面地址。
步骤212,在所述IP集合包含所述源IP或所述监控页面集合包含所述访问页面地址时,拦截所述页面访问请求。
在本申请实施例中,监控IP集合是禁止访问页面的IP集合,监控页面集合是禁止访问页面地址的集合。对于该异常访问IP可以确认是对于webshell页面的攻击者的IP,以及对于访问webshell页面的访问行为,也可以视为对于webshell页面的攻击行为,因此为了及时发现对于webshell页面的异常访问行为,可以将该异常IP所涉及的访问行为和该异常访问页面所涉及的访问行为均作为异常访问行为。进一步的,可以对页面访问请求进行监控,页面访问请求所包含的源IP包含与监控IP集合或所访问的页面地址包含与监控页面集合,可以对该页面访问请求进行拦截,从而有效防止对于webshell页面的异常访问行为出现。
本申请实施例通过拦截涉及异常IP或异常访问页面的访问请求,可以有效防止对于从而有效防止对于webshell页面的异常访问行为。
可选地,参照图3,所述步骤203,可以包括:
子步骤2031,获取所述可疑访问页面的访问请求的目标请求头字段。
子步骤2032,在所述目标请求头字段不包含有除所述可疑访问页面以外的访问联时,将所述可疑访问页面作为目标可疑访问页面。
在本申请实施例中,由于在访问目标检测网络的系统时,每个页面会根据各页面之间的访问关系,在其请求头的refer字段中生成一条访问联,因此可以通过查询可疑访问页面的请求头的refer字段的访问联来确定哪些页面通过跳转访问过该可疑访问页面。响应的,如果在可疑访问页面的请求头的refer字段中不包含任一个可疑访问页面的访问联时,可以确定该可疑访问页面为异常访问页面。
本申请实施例通过依据页面的请求头中refer中的访问联来获知哪些页面访问过可疑访问页面,从而可以高效地对可疑访问页面进行筛选。
示例性的,可通过以下方式来检测异常访问行为:
某IP地址a发出的访问请求,从某一时间点开始只访问目标检测网络中的中的个别页面B(通常5以下),B=(B1,B2…Bn),n<5。没有访问其他页面的访问记录;B页面只被少数几个IP地址C访问过或正在访问。C=(C1,C2…Cm),m<5,a是C中的一个;并且IP地址a的访问请求中的refer信息存在异常,即Refer为B集合中的一个页面或请求中没有refer信息时,即可将a作为上传Webshell攻击者的IP地址,C为上传的Webshell脚本对应的页面。
示例性的,还可通过以下方式来检测异常访问行为:
寻找当天被不足5个访问源IP访问过的页面集合M。
查找这些页面的请求头的refer字段,是否有不在M页面集合中的情况,把符合情况的页面集合记为N,不符合这一情况的页面记为Q。
访问Q集合各页面对应的源IP的集合为R。
查找R集合中的IP中是否有访问非Q页面集合的情况,将符合这一条件的源IP集合定义为S,将不符合这一条件的源IP集合定义为T。
从涉及页面集合Q的众多访问请求中,找到由源IP集合T发起的访问请求,这些访问请求涉及的页面集合为U。
获取源IP集合T和页面集合U,T为攻击者的源IP列表,U为可疑Webshell页面列表。
本申请实施例提供的另一种异常访问行为的检测方法,通过首先将访问源数量较小的页面作为异常访问页面,然后将只访问过该异常访问页面的异常访问IP对于该异常访问页面的访问行为作为异常访问行为,依据攻击者只会访问Webshell页面的特征进行异常行为检测,无需提前获知Webshell页面,也能准确性地检测对于Webshell页面的异常访问行为,提高了对于Webshell页面的异常访问行为的检测的准确性。并且还通过本申请实施例通过对目标检测网络的镜像流量数据进行分析来获取各页面的访问记录,减少了异常行为检测对于目标检测网络的运行过程的影响。并且还通过筛选掉访问记录涉及到其他页面的可疑访问页面,提高了所确定异常访问页面的准确性。
实施例三
参照图4,本申请实施例提供了一种异常访问行为的检测装置30的结构框图,该异常访问行为的检测装置包括:
网页筛选模块301,被配置为查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面;
IP筛选模块302,被配置为获取访问过所述异常访问页面的异常访问IP;
异常行为筛选模块303,被配置为在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。
可选地,所述网页筛选模块301,还被配置为:
查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的可疑访问页面;
可疑访问页面中的目标可疑访问页面作为异常访问页面,所述目标可疑访问页面是所述被访问记录未涉及除所述可疑访问页面以外的页面的可疑访问页面。
可选地,所述网页筛选模块301,还被配置为:
获取所述可疑访问页面的访问请求的目标请求头字段;
在所述目标请求头字段不包含有除所述可疑访问页面以外的访问联时,将所述可疑访问页面作为目标可疑访问页面。
可选地,所述装置还包括:
更新模块,被配置为根据所述异常访问IP的访问记录对所述异常访问页面进行更新。
可选地,所述装置还包括:
获取模块,被配置为:
获取目标检测网络的镜像流量数据;
解析所述镜像流量数据,获取所述目标检测网络中各页面的访问记录。
可选地,所述装置还包括:报警模块,被配置为:
根据所述异常访问行为生成报警提示信息;
按照预设方式展示所述报警提示信息。
可选地,所述装置还包括:监控模块,被配置为:
根据所述异常访问IP更新监控IP集合,以及根据所述异常访问页面的页面地址更新监控页面集合;
获取页面访问请求,所述页面访问请求至少包括:源IP、访问页面地址;在所述IP集合包含所述源IP或所述监控页面集合包含所述访问页面地址时,拦截所述页面访问请求。
本申请实施例提供的一种异常访问行为的检测装置,通过首先将访问源数量较小的页面作为异常访问页面,然后将只访问过该异常访问页面的异常访问IP对于该异常访问页面的访问行为作为异常访问行为,依据攻击者只会访问Webshell页面的特征进行异常行为检测,无需提前获知Webshell页面,也能准确性地检测对于Webshell页面的异常访问行为,提高了对于Webshell页面的异常访问行为的检测的准确性。
实施例四
本申请实施例提供了一种电子设备,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现上述任一所述的异常访问行为的检测方法。
本申请实施例提供的一种异常访问行为的检测装置,通过首先将访问源数量较小的页面作为异常访问页面,然后将只访问过该异常访问页面的异常访问IP对于该异常访问页面的访问行为作为异常访问行为,依据攻击者只会访问Webshell页面的特征进行异常行为检测,提高了对于Webshell页面的异常访问行为的检测的准确性。
实施例五
本申请实施例提供了一种计算机存储介质,其上存储有计算机程序,计算机程序被处理器执行时能实现上述的异常访问行为的检测方法。
本申请的实施例提供了一种计算机存储介质,通过首先将访问源数量较小的页面作为异常访问页面,然后将只访问过该异常访问页面的异常访问IP对于该异常访问页面的访问行为作为异常访问行为,依据攻击者只会访问Webshell页面的特征进行异常行为检测,提高了对于Webshell页面的异常访问行为的检测的准确性。
本技术领域技术人员可以理解,本申请包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)的存储介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,该计算机存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random Access Memory,随即存储器)、EPROM(Erasable ProgrammableRead-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically ErasableProgrammable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流程图中的每个框以及这些结构图和/或框图和/或流程图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其它可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本申请公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种异常访问行为的检测方法,其特征在于,所述方法包括:
查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面;
获取访问过所述异常访问页面的异常访问IP;
在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。
2.根据权利要求1所述的方法,其特征在于,所述查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面,包括:
查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的可疑访问页面;
可疑访问页面中的目标可疑访问页面作为异常访问页面,所述目标可疑访问页面是所述被访问记录未涉及除所述可疑访问页面以外的页面的可疑访问页面。
3.根据权利要求2所述的方法,其特征在于,在所述可疑访问页面中的目标可疑访问页面作为异常访问页面之前,所述方法还包括:
获取所述可疑访问页面的访问请求的目标请求头字段;
在所述目标请求头字段不包含有除所述可疑访问页面以外的访问联时,将所述可疑访问页面作为目标可疑访问页面。
4.根据权利要求1所述的方法,其特征在于,在所述在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为之后,所述方法还包括:
根据所述异常访问IP的访问记录对所述异常访问页面进行更新。
5.根据权利要求1所述的方法,其特征在于,在所述查询各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面之前,还包括:
获取目标检测网络的镜像流量数据;
解析所述镜像流量数据,获取所述目标检测网络中各页面的访问记录。
6.根据权利要求1所述的方法,其特征在于,在所述在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为之后,所述方法还包括:
根据所述异常访问行为生成报警提示信息;
按照预设方式展示所述报警提示信息。
7.根据权利要求1所述的方法,其特征在于,在所述在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为之后,所述方法还包括:
根据所述异常访问IP更新监控IP集合,以及根据所述异常访问页面的页面地址更新监控页面集合;
获取页面访问请求,所述页面访问请求至少包括:源IP、访问页面地址;
在所述IP集合包含所述源IP或所述监控页面集合包含所述访问页面地址时,拦截所述页面访问请求。
8.一种异常访问行为的检测装置,其特征在于,所述装置包括:
网页筛选模块,被配置为查询目标检测网络中各页面的访问记录,获取访问源数量小于访问源数量阈值的异常访问页面;
IP筛选模块,被配置为获取访问过所述异常访问页面的异常访问IP;
异常行为筛选模块,被配置为在所述异常访问IP只访问过所述异常访问页面时,将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。
9.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1至7中任一所述的异常访问行为的检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现权利要求1至7中任一所述的异常访问行为的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011373715.3A CN112600797A (zh) | 2020-11-30 | 2020-11-30 | 异常访问行为的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011373715.3A CN112600797A (zh) | 2020-11-30 | 2020-11-30 | 异常访问行为的检测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112600797A true CN112600797A (zh) | 2021-04-02 |
Family
ID=75187635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011373715.3A Pending CN112600797A (zh) | 2020-11-30 | 2020-11-30 | 异常访问行为的检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112600797A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112800427A (zh) * | 2021-04-08 | 2021-05-14 | 北京邮电大学 | webshell检测方法、装置、电子设备和存储介质 |
| CN113486060A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN114090346A (zh) * | 2021-10-26 | 2022-02-25 | 珠海大横琴科技发展有限公司 | 一种数据处理方法和装置 |
| CN114244618A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN114257427A (zh) * | 2021-12-09 | 2022-03-29 | 北京知道创宇信息技术股份有限公司 | 目标用户的识别方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106572072A (zh) * | 2015-12-30 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 一种对攻击者进行追踪定位的方法及系统 |
| CN107612925A (zh) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | 一种基于访问行为特征的WebShell挖掘方法 |
| CN108337218A (zh) * | 2017-07-20 | 2018-07-27 | 北京安天网络安全技术有限公司 | 一种基于页面访问量特征识别webshell的方法及系统 |
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| CN109831429A (zh) * | 2019-01-30 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种Webshell检测方法及装置 |
| CN110034921A (zh) * | 2019-04-18 | 2019-07-19 | 成都信息工程大学 | 基于带权模糊hash的webshell检测方法 |
| CN110135162A (zh) * | 2019-05-27 | 2019-08-16 | 深信服科技股份有限公司 | Webshell后门识别方法、装置、设备及存储介质 |
-
2020
- 2020-11-30 CN CN202011373715.3A patent/CN112600797A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106572072A (zh) * | 2015-12-30 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 一种对攻击者进行追踪定位的方法及系统 |
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| CN108337218A (zh) * | 2017-07-20 | 2018-07-27 | 北京安天网络安全技术有限公司 | 一种基于页面访问量特征识别webshell的方法及系统 |
| CN107612925A (zh) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | 一种基于访问行为特征的WebShell挖掘方法 |
| CN109831429A (zh) * | 2019-01-30 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种Webshell检测方法及装置 |
| CN110034921A (zh) * | 2019-04-18 | 2019-07-19 | 成都信息工程大学 | 基于带权模糊hash的webshell检测方法 |
| CN110135162A (zh) * | 2019-05-27 | 2019-08-16 | 深信服科技股份有限公司 | Webshell后门识别方法、装置、设备及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112800427A (zh) * | 2021-04-08 | 2021-05-14 | 北京邮电大学 | webshell检测方法、装置、电子设备和存储介质 |
| CN113486060A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN113486060B (zh) * | 2021-06-25 | 2023-06-16 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN114090346A (zh) * | 2021-10-26 | 2022-02-25 | 珠海大横琴科技发展有限公司 | 一种数据处理方法和装置 |
| CN114257427A (zh) * | 2021-12-09 | 2022-03-29 | 北京知道创宇信息技术股份有限公司 | 目标用户的识别方法、装置、电子设备及存储介质 |
| CN114257427B (zh) * | 2021-12-09 | 2023-12-01 | 北京知道创宇信息技术股份有限公司 | 目标用户的识别方法、装置、电子设备及存储介质 |
| CN114244618A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN114244618B (zh) * | 2021-12-22 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112600797A (zh) | 异常访问行为的检测方法、装置、电子设备及存储介质 | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| CN108268354B (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
| US10834051B2 (en) | Proxy server-based malware detection | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| US10135862B1 (en) | Testing security incident response through automated injection of known indicators of compromise | |
| US10599842B2 (en) | Deceiving attackers in endpoint systems | |
| US9147067B2 (en) | Security method and apparatus | |
| CN103617395A (zh) | 一种基于云安全拦截广告程序的方法、装置和系统 | |
| CN107426196B (zh) | 一种识别web入侵的方法及系统 | |
| CN107241296A (zh) | 一种Webshell的检测方法及装置 | |
| CN113711559B (zh) | 检测异常的系统和方法 | |
| CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN111079138A (zh) | 异常访问检测方法、装置、电子设备及可读存储介质 | |
| CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及系统 | |
| CN110674496A (zh) | 程序对入侵终端进行反制的方法、系统以及计算机设备 | |
| JP5791548B2 (ja) | アドレス抽出装置 | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| CN107103243B (zh) | 漏洞的检测方法及装置 | |
| CN114157568B (zh) | 一种浏览器安全访问方法、装置、设备及存储介质 | |
| JP2015132942A (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN114491533B (zh) | 数据处理方法、装置、服务器及存储介质 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 | |
| US12079335B2 (en) | System context database management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210402 |
|
| RJ01 | Rejection of invention patent application after publication |