CN113420779A - 一种web请求异常检测的方法、装置、设备及可读介质 - Google Patents
一种web请求异常检测的方法、装置、设备及可读介质 Download PDFInfo
- Publication number
- CN113420779A CN113420779A CN202110561690.8A CN202110561690A CN113420779A CN 113420779 A CN113420779 A CN 113420779A CN 202110561690 A CN202110561690 A CN 202110561690A CN 113420779 A CN113420779 A CN 113420779A
- Authority
- CN
- China
- Prior art keywords
- neural network
- web
- request
- data
- network model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000001514 detection method Methods 0.000 title claims abstract description 28
- 238000013528 artificial neural network Methods 0.000 claims abstract description 63
- 239000013598 vector Substances 0.000 claims abstract description 48
- 238000003062 neural network model Methods 0.000 claims abstract description 37
- 238000012549 training Methods 0.000 claims abstract description 33
- 230000002547 anomalous effect Effects 0.000 claims abstract description 11
- 230000006870 function Effects 0.000 claims description 26
- 230000002159 abnormal effect Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 10
- 230000004913 activation Effects 0.000 claims description 6
- 238000011478 gradient descent method Methods 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24133—Distances to prototypes
- G06F18/24137—Distances to cluster centroïds
- G06F18/2414—Smoothing the distance, e.g. radial basis function networks [RBFN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种web请求异常检测的方法、装置、设备及可读介质,该方法包括:收集若干条web请求,并提取所有web请求中的预设属性;将提取出的预设属性转换为数据向量;配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型;使用训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求。通过使用本发明的方案,能够对web异常行为检测和管理,有效解决了web请求多样性问题,提高了异常行为检测率,加强了web应用服务的防护,能够无需修改web配置,不影响web服务质量,并保障web系统稳定性。
Description
技术领域
本领域涉及计算机领域,并且更具体地涉及一种web请求异常检测的方法、装置、设备及可读介质。
背景技术
现今,互联网己经从根本上改变了人们之间的交互、彼此分享信息的方式。几乎所有的公司、部门和许多个人都在使用web服务,从网上商店到网络银行,从网上政务到网络贸易,互联网已经成为社会的一部分。现在的互联网主要是以web应用程序作为服务器端,使用HTTP作为通信协议,给客户提供各种便利以及信息。随着web服务的流行使用,越来越多的不法分子瞄准了Web应用程序的各种漏洞进行攻击,黑客利用网站操作系统和Web服务器的漏洞,获取Web服务器的操作权限,轻则篡改网页内容,重则窃取重要内部数据、渗透内网,给个人和企业造成损失。据报道2020上半年,web应用攻击数量同比激增超800%,且手段更加自动化,攻击持续加剧,各行各业深受其害。面对异常严峻的web应用攻击形势,加大安全防护力度迫在眉睫。当前,web安全机制包括防火墙、入侵检测系统、安全HTTP协议、访问控制机制、用户认证技术等等。尽管这些技术使web服务器更安全,但是web服务器上攻击的频率和严重程度却日趋增长。
神经网络的全称是人工神经网络,简称ANN,它采用计算机来模拟生物体中神经网络的某些结构和功能,并用于工程领域。神经网络类似于人类大脑重复学习的方法,先给出一系列的样本,进行学习和训练,从而产生区别各种样品之间的不同特征和模式。样本集应该尽量体现代表性,为了精确地拟合各种样本数据,通过上百次,甚至上千次的训练和学习,系统最后得出潜在的模式。当它遇到新的样品数据时,系统就会根据训练结果自动进行预测和分类。BP神经网络是D.Rumelhart和J.McCelland提出的一种基于误差反向传播算法训练的多层前向人工神经网络。BP神经网络除了含有输入层和输出层之外,还具有一个或多个隐含层。每层的处理单元只接收来自上一层处理单元输出的信号,并将接收到的信号进行处理之后,输入至下一层,最终模型结构是一个各层处理单元之间全连接,同层处理单元之间无连接的前向无环网络拓扑结构。BP神经网络的学习过程由信号的正向传播与误差的反向传播构成。在输入信号的正向传播阶段,信号由输入层进入网络,经过隐含层的逐层处理之后,最终传递至输出层,得到网络的预测值。若此预测值与期望值不符,网络将转入误差的反向传播阶段。在误差的反向传播过程中,将期望值与预测值之间的误差经隐含层逐层向输入层传递,由此得到各层各单元的误差信号,然后依此误差信号实现对网络连接权值的更新。在训练过程中,反复执行信号的正向传播与误差的反向传播,直到网络输出的误差小于预先设定的阈值,或进行到预先设定的学习次数为止。BP神经网络具有较好的模式识别与分类能力,正好适应web异常检测的要求。
发明内容
有鉴于此,本发明实施例的目的在于提出一种web请求异常检测的方法、装置、设备及可读介质,通过使用本发明的技术方案,能够对web异常行为检测和管理,有效解决了web请求多样性问题,提高了异常行为检测率,加强了web应用服务的防护,能够无需修改web配置,不影响web服务质量,并保障web系统稳定性。
基于上述目的,本发明的实施例的一个方面提供了一种web请求异常检测的方法,包括以下步骤:
收集若干条web请求,并提取所有web请求中的预设属性;
将提取出的预设属性转换为数据向量;
配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型;
使用训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求。
根据本发明的一个实施例,预设属性包括请求耗时、请求方法、数据包数目、请求方法危险标记、参数个数、内容长度、状态码、请求类别和请求频度。
根据本发明的一个实施例,将提取出的预设属性转换为数据向量包括:
对预设属性中的耗时、数据包数目、参数个数、内容长度和请求频度采用max-min方法进行标准化;
将请求方法危险标记和请求类别采用0或1表示;
将请求方法和状态码的所有状态进行编码,然后对编码采用max-min方法进行标准化;
将预设属性中的各项分别用变量x1至x9表示,数据向量X=(x1,x2,x3,x4,x5,x6,x7,x8,x9)。
根据本发明的一个实施例,神经网络为使用matlab神经网络工具构建的BP神经网络。
根据本发明的一个实施例,配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型包括:
将隐含层与输出层的激活函数分别设为tansig函数与purelin函数,训练方法采用自适应梯度下降法;
输入层节点数设为9,输出层节点数设为1,动量系数设定为0.4,学习率设定为0.001,每次训练5000次,隐含层节点数设定为8;
将数据向量输入到神经网络中进行训练后得到训练后的神经网络模型。
根据本发明的一个实施例,使用神经网络模型对再次接受到的web请求进行分类以检测异常的web请求包括:
提取再次接受到的web请求中的预设属性,并将提取到的预设属性转换为数据向量;
将转换的数据向量输入到神经网络模型中进行分类以判断再次接受到的web请求是否为异常请求;
响应于是异常请求,发出警告。
根据本发明的一个实施例,响应于是异常请求,发出警告包括:
将警告信息通过网络发送到管理员的移动设备和电子邮箱中,并在web界面中显示警告信息。
本发明的实施例的另一个方面,还提供了一种web请求异常检测的装置,装置包括:
提取模块,提取模块配置为收集若干条web请求,并提取所有web请求中的预设属性;
转换模块,转换模块配置为将提取出的预设属性转换为数据向量;
配置模块,配置模块配置为配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型;
检测模块,检测模块配置为使用训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求。
本发明的实施例的另一个方面,还提供了一种计算机设备,该计算机设备包括:
至少一个处理器;以及
存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行时实现上述任意一项方法的步骤。
本发明的实施例的另一个方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述任意一项方法的步骤。
本发明具有以下有益技术效果:本发明实施例提供的web请求异常检测的方法,通过收集若干条web请求,并提取所有web请求中的预设属性;将提取出的预设属性转换为数据向量;配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型;使用训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求的技术方案,能够对web异常行为检测和管理,有效解决了web请求多样性问题,提高了异常行为检测率,加强了web应用服务的防护,能够无需修改web配置,不影响web服务质量,并保障web系统稳定性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为根据本发明一个实施例的web请求异常检测的方法的示意性流程图;
图2为根据本发明一个实施例的web请求异常检测的装置的示意图;
图3为根据本发明一个实施例的计算机设备的示意图;
图4为根据本发明一个实施例的计算机可读存储介质的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
基于上述目的,本发明的实施例的第一个方面,提出了一种web请求异常检测的方法的一个实施例。图1示出的是该方法的示意性流程图。
如图1中所示,该方法可以包括以下步骤:
S1收集若干条web请求,并提取所有web请求中的预设属性。
如今绝大多数web应用程序使用HTTP协议作为基础通信协议,一个HTTP请求是发送到web服务器由回车符分割的文本行的集合,其中包括请求行,请求头和请求原文。对于一个网络请求,可以从很多不同的属性角度描述,比如请求的客户端服务端、请求发生的时间、持续的时间、请求的类型等。本发明的技术方案选取以下属性:耗时、请求方法、数据包数目、请求方法危险标记(如DELETE)、参数个数、内容长度(Content-Length)、状态码、请求类别(0表示普通请求,1表示高耗请求)、请求频度这9个参数作为描述一次请求行为的特征量。
S2将提取出的预设属性转换为数据向量。
对选取的特征量数据进行标准化,对耗时、数据包数目、参数个数、内容长度、请求频度采用max-min方法进行标准化;请求方法危险标记和请求类别数据是二值数据,直接采用0或1表示;请求方法、状态码表示属性的类别,需要先对其所有状态进行编码,然后再采用max-min方法进行标准化,然后将这些属性项分别用变量x1、x2、x3、x4、x5、x6、x7、x8、x9表示,完成数据标准化之后,数据向量表示为X=(x1,x2,x3,x4,x5,x6,x7,x8,x9)。
S3配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型。
本发明技术方案采用matlab神经网络工具构建并训练BP神经网络,所选BP网络模型为3层网络拓扑结构,隐含层与输出层的激活函数分别为tansig函数与purelin函数,训练方法采用自适应梯度下降法,输入层节点数为9,输出层节点数为1,动量系数设定为0.4,学习率设定为0.001,每次训练5000次,其他参数采用系统默认值。隐含层节点数的确定:由经验公式m=√(n+l)+a,a为0-10之间的整数,采用试凑法确定隐含层节点数,最终选取隐含层节点数8。然后将数据向量输入到神经网络中进行训练后得到神经网络模型,也可以采用其他参数的神经网络,神经网络的参数可以根据需求进行修改。
S4使用训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求。
将训练好的网络转换成动态链接库文件,然后在异常检测模块中调用动态链接库中的神经网络函数对web请求进行分类,将分离开正常请求和异常请求分别录入数据库,系统管理员可以通过界面查看特定时间段内捕获的异常请求,也可以设置异常告警规则,系统会向管理员发送邮件或短信通知,方便管理员对系统异常请求追踪和管理。同时异常管理模块会在特定时间(管理员配置)将最新记录请求输入异常检测模块训练更新BP网络,提高异常检测能力。
通过本发明的技术方案,能够对web异常行为检测和管理,有效解决了web请求多样性问题,提高了异常行为检测率,加强了web应用服务的防护,能够无需修改web配置,不影响web服务质量,并保障web系统稳定性。
在本发明的一个优选实施例中,预设属性包括请求耗时、请求方法、数据包数目、请求方法危险标记、参数个数、内容长度、状态码、请求类别和请求频度。
在本发明的一个优选实施例中,将提取出的预设属性转换为数据向量包括:
对预设属性中的耗时、数据包数目、参数个数、内容长度和请求频度采用max-min方法进行标准化;
将请求方法危险标记和请求类别采用0或1表示;
将请求方法和状态码的所有状态进行编码,然后对编码采用max-min方法进行标准化;
将预设属性中的各项分别用变量x1至x9表示,数据向量X=(x1,x2,x3,x4,x5,x6,x7,x8,x9)。
在本发明的一个优选实施例中,神经网络为使用matlab神经网络工具构建的BP神经网络。
在本发明的一个优选实施例中,配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型包括:
将隐含层与输出层的激活函数分别设为tansig函数与purelin函数,训练方法采用自适应梯度下降法;
输入层节点数设为9,输出层节点数设为1,动量系数设定为0.4,学习率设定为0.001,每次训练5000次,隐含层节点数设定为8,其他参数采用系统默认值;
将数据向量输入到神经网络中进行训练后得到训练后的神经网络模型。也可以采用其他参数的神经网络,神经网络的参数可以根据需求进行修改。
在本发明的一个优选实施例中,使用神经网络模型对再次接受到的web请求进行分类以检测异常的web请求包括:
提取再次接受到的web请求中的预设属性,并将提取到的预设属性转换为数据向量;
将转换的数据向量输入到神经网络模型中进行分类以判断再次接受到的web请求是否为异常请求;
响应于是异常请求,发出警告。
在本发明的一个优选实施例中,响应于是异常请求,发出警告包括:
将警告信息通过网络发送到管理员的移动设备和电子邮箱中,并在web界面中显示警告信息。
通过本发明的技术方案,能够对web异常行为检测和管理,有效解决了web请求多样性问题,提高了异常行为检测率,加强了web应用服务的防护,能够无需修改web配置,不影响web服务质量,并保障web系统稳定性。
需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,上述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中存储介质可为磁碟、光盘、只读存储器(Read-Only Memory,ROM)或随机存取存储器(Random AccessMemory,RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。
基于上述目的,本发明的实施例的第二个方面,提出了一种web请求异常检测的装置,如图2所示,装置200包括:
提取模块,提取模块配置为收集若干条web请求,并提取所有web请求中的预设属性;
转换模块,转换模块配置为将提取出的预设属性转换为数据向量;
配置模块,配置模块配置为配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型;
检测模块,检测模块配置为使用训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求。
在本发明的一个优选实施例中,预设属性包括请求耗时、请求方法、数据包数目、请求方法危险标记、参数个数、内容长度、状态码、请求类别和请求频度。
在本发明的一个优选实施例中,转换模块还配置为:
对预设属性中的耗时、数据包数目、参数个数、内容长度和请求频度采用max-min方法进行标准化;
将请求方法危险标记和请求类别采用0或1表示;
将请求方法和状态码的所有状态进行编码,然后对编码采用max-min方法进行标准化;
将预设属性中的各项分别用变量x1至x9表示,数据向量X=(x1,x2,x3,x4,x5,x6,x7,x8,x9)。
在本发明的一个优选实施例中,神经网络为使用matlab神经网络工具构建的BP神经网络。
在本发明的一个优选实施例中,配置模块还配置为:
将隐含层与输出层的激活函数分别设为tansig函数与purelin函数,训练方法采用自适应梯度下降法;
输入层节点数设为9,输出层节点数设为1,动量系数设定为0.4,学习率设定为0.001,每次训练5000次,隐含层节点数设定为8,其他参数采用系统默认值;
将数据向量输入到神经网络中进行训练后得到训练后的神经网络模型。
在本发明的一个优选实施例中,检测模块还配置为:
提取再次接受到的web请求中的预设属性,并将提取到的预设属性转换为数据向量;
将转换的数据向量输入到神经网络模型中进行分类以判断再次接受到的web请求是否为异常请求;
响应于是异常请求,发出警告。
在本发明的一个优选实施例中,响应于是异常请求,检测模块还配置为:
将警告信息通过网络发送到管理员的移动设备和电子邮箱中,并在web界面中显示警告信息。
基于上述目的,本发明实施例的第三个方面,提出了一种计算机设备。图3示出的是本发明提供的计算机设备的实施例的示意图。如图3所示,本发明实施例包括如下装置:至少一个处理器S21;以及存储器S22,存储器S22存储有可在处理器上运行的计算机指令S23,指令由处理器执行时实现以下方法:
收集若干条web请求,并提取所有web请求中的预设属性;
将提取出的预设属性转换为数据向量;
配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型;
使用训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求。
在本发明的一个优选实施例中,预设属性包括请求耗时、请求方法、数据包数目、请求方法危险标记、参数个数、内容长度、状态码、请求类别和请求频度。
在本发明的一个优选实施例中,将提取出的预设属性转换为数据向量包括:
对预设属性中的耗时、数据包数目、参数个数、内容长度和请求频度采用max-min方法进行标准化;
将请求方法危险标记和请求类别采用0或1表示;
将请求方法和状态码的所有状态进行编码,然后对编码采用max-min方法进行标准化;
将预设属性中的各项分别用变量x1至x9表示,数据向量X=(x1,x2,x3,x4,x5,x6,x7,x8,x9)。
在本发明的一个优选实施例中,神经网络为使用matlab神经网络工具构建的BP神经网络。
在本发明的一个优选实施例中,配置构建神经网络的参数,并将数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型包括:
将隐含层与输出层的激活函数分别设为tansig函数与purelin函数,训练方法采用自适应梯度下降法;
输入层节点数设为9,输出层节点数设为1,动量系数设定为0.4,学习率设定为0.001,每次训练5000次,隐含层节点数设定为8,其他参数采用系统默认值;
将数据向量输入到神经网络中进行训练后得到训练后的神经网络模型。
在本发明的一个优选实施例中,使用神经网络模型对再次接受到的web请求进行分类以检测异常的web请求包括:
提取再次接受到的web请求中的预设属性,并将提取到的预设属性转换为数据向量;
将转换的数据向量输入到神经网络模型中进行分类以判断再次接受到的web请求是否为异常请求;
响应于是异常请求,发出警告。
在本发明的一个优选实施例中,响应于是异常请求,发出警告包括:
将警告信息通过网络发送到管理员的移动设备和电子邮箱中,并在web界面中显示警告信息。
基于上述目的,本发明实施例的第四个方面,提出了一种计算机可读存储介质。图4示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图4所示,计算机可读存储介质存储S31有被处理器执行时执行如上方法的计算机程序S32。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种web请求异常检测的方法,其特征在于,包括以下步骤:
收集若干条web请求,并提取所有web请求中的预设属性;
将提取出的预设属性转换为数据向量;
配置构建神经网络的参数,并将所述数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型;
使用所述训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求。
2.根据权利要求1所述的方法,其特征在于,所述预设属性包括请求耗时、请求方法、数据包数目、请求方法危险标记、参数个数、内容长度、状态码、请求类别和请求频度。
3.根据权利要求2所述的方法,其特征在于,将提取出的预设属性转换为数据向量包括:
对所述预设属性中的耗时、数据包数目、参数个数、内容长度和请求频度采用max-min方法进行标准化;
将请求方法危险标记和请求类别采用0或1表示;
将请求方法和状态码的所有状态进行编码,然后对编码采用max-min方法进行标准化;
将预设属性中的各项分别用变量x1至x9表示,数据向量X=(x1,x2,x3,x4,x5,x6,x7,x8,x9)。
4.根据权利要求3所述的方法,其特征在于,所述神经网络为使用matlab神经网络工具构建的BP神经网络。
5.根据权利要求4所述的方法,其特征在于,配置构建神经网络的参数,并将所述数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型包括:
将隐含层与输出层的激活函数分别设为tansig函数与purelin函数,训练方法采用自适应梯度下降法;
输入层节点数设为9,输出层节点数设为1,动量系数设定为0.4,学习率设定为0.001,每次训练5000次,隐含层节点数设定为8;
将所述数据向量输入到神经网络中进行训练后得到训练后的神经网络模型。
6.根据权利要求1所述的方法,其特征在于,使用所述训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求包括:
提取再次接受到的web请求中的预设属性,并将提取到的预设属性转换为数据向量;
将转换的数据向量输入到所述神经网络模型中进行分类以判断再次接受到的web请求是否为异常请求;
响应于是异常请求,发出警告。
7.根据权利要求6所述的方法,其特征在于,响应于是异常请求,发出警告包括:
将警告信息通过网络发送到管理员的移动设备和电子邮箱中,并在web界面中显示警告信息。
8.一种web请求异常检测的装置,其特征在于,所述装置包括:
提取模块,所述提取模块配置为收集若干条web请求,并提取所有web请求中的预设属性;
转换模块,所述转换模块配置为将提取出的预设属性转换为数据向量;
配置模块,所述配置模块配置为配置构建神经网络的参数,并将所述数据向量作为数据样本输入到神经网络中进行训练以得到训练后的神经网络模型;
检测模块,所述检测模块配置为使用所述训练后的神经网络模型对再次接受到的web请求进行分类以检测异常的web请求。
9.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-7任意一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110561690.8A CN113420779A (zh) | 2021-05-23 | 2021-05-23 | 一种web请求异常检测的方法、装置、设备及可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110561690.8A CN113420779A (zh) | 2021-05-23 | 2021-05-23 | 一种web请求异常检测的方法、装置、设备及可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113420779A true CN113420779A (zh) | 2021-09-21 |
Family
ID=77712788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110561690.8A Pending CN113420779A (zh) | 2021-05-23 | 2021-05-23 | 一种web请求异常检测的方法、装置、设备及可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113420779A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130226466A1 (en) * | 2010-02-26 | 2013-08-29 | Sang-soo Kim | Query sequence genotype or subtype classification method |
| CN109088785A (zh) * | 2018-06-14 | 2018-12-25 | 苏州新研联信息科技有限公司 | 一种idc数据中心设备管理系统 |
| CN109871488A (zh) * | 2019-02-22 | 2019-06-11 | 新疆大学 | 一种融合可用度和用户偏好的Web服务构建方法及Web服务 |
| CN111371806A (zh) * | 2020-03-18 | 2020-07-03 | 北京邮电大学 | 一种Web攻击检测方法及装置 |
| CN111367773A (zh) * | 2020-02-29 | 2020-07-03 | 苏州浪潮智能科技有限公司 | 一种检测服务器网卡的方法、系统、设备及介质 |
-
2021
- 2021-05-23 CN CN202110561690.8A patent/CN113420779A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130226466A1 (en) * | 2010-02-26 | 2013-08-29 | Sang-soo Kim | Query sequence genotype or subtype classification method |
| CN109088785A (zh) * | 2018-06-14 | 2018-12-25 | 苏州新研联信息科技有限公司 | 一种idc数据中心设备管理系统 |
| CN109871488A (zh) * | 2019-02-22 | 2019-06-11 | 新疆大学 | 一种融合可用度和用户偏好的Web服务构建方法及Web服务 |
| CN111367773A (zh) * | 2020-02-29 | 2020-07-03 | 苏州浪潮智能科技有限公司 | 一种检测服务器网卡的方法、系统、设备及介质 |
| CN111371806A (zh) * | 2020-03-18 | 2020-07-03 | 北京邮电大学 | 一种Web攻击检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10491630B2 (en) | System and method for providing data-driven user authentication misuse detection | |
| JP5038888B2 (ja) | ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム | |
| US11496495B2 (en) | System and a method for detecting anomalous patterns in a network | |
| CN113676464A (zh) | 一种基于大数据分析技术的网络安全日志告警处理方法 | |
| CN108471429A (zh) | 一种网络攻击告警方法及系统 | |
| CN111885060B (zh) | 面向车联网的无损式信息安全漏洞检测系统和方法 | |
| CN108183888A (zh) | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 | |
| CN108881263A (zh) | 一种网络攻击结果检测方法及系统 | |
| JP2004537916A (ja) | 網の活動を検出する方法及び装置 | |
| CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
| CN108011925A (zh) | 一种业务审计系统及方法 | |
| CN109325232A (zh) | 一种基于lda的用户行为异常分析方法、系统及存储介质 | |
| Feng et al. | Towards learning-based, content-agnostic detection of social bot traffic | |
| CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
| Jabeur Ben Chikha et al. | Behavior-based approach to detect spam over IP telephony attacks | |
| CN113112038A (zh) | 智能监测与诊断分析系统、装置、电子设备及存储介质 | |
| CN115883213A (zh) | 基于连续时间动态异质图神经网络的apt检测方法及系统 | |
| Abinaya et al. | Spam detection on social media platforms | |
| CN117118761A (zh) | 一种贯穿智能汽车信息安全的纵深防御系统和方法 | |
| Bilakanti et al. | Anomaly detection in IoT environment using machine learning | |
| CN113360752A (zh) | 一种消息推送的方法、装置、设备及可读介质 | |
| CN113420779A (zh) | 一种web请求异常检测的方法、装置、设备及可读介质 | |
| WO2019245573A1 (en) | Community watch with bot-based unified social network groups | |
| Sujendran et al. | Hybrid fuzzy adaptive Wiener filtering with optimization for intrusion detection | |
| CN115174240A (zh) | 一种铁路加密流量监测系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210921 |