CN113572721B

CN113572721B - 一种异常访问检测方法、装置、电子设备及存储介质

Info

Publication number: CN113572721B
Application number: CN202010359242.5A
Authority: CN
Inventors: 尚保林; 李可; 位凯志
Original assignee: Sangfor Technologies Co Ltd
Current assignee: Sangfor Technologies Co Ltd
Priority date: 2020-04-29
Filing date: 2020-04-29
Publication date: 2023-03-21
Anticipated expiration: 2040-04-29
Also published as: CN113572721A

Abstract

本发明实施例适用于网络安全技术领域，提供了一种异常访问检测方法、装置、电子设备及存储介质，其中，异常访问检测方法包括：基于至少两个用户节点和至少两个业务系统节点构建二分图；所述二分图表征用户节点与业务系统节点之间的访问关系；确定所述二分图的图密度是否满足第一设定条件；所述图密度表征为所述二分图的实际边数与可能的最大边数的比值；所述第一设定条件表征所述二分图的图密度的Z分数小于第一设定值；在所述二分图的图密度满足第一设定条件的情况下，基于所述二分图，检测用户对业务系统的异常访问，得到检测结果。

Description

一种异常访问检测方法、装置、电子设备及存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种异常访问检测方法、装置、电子设备及存储介质。

背景技术

为了避免企业的业务系统数据泄露，相关技术中对业务系统进行人工标记，凡是用户组群访问该业务系统的行为均视为异常访问。该方法容易将正常的访问请求也检测为异常访问，因此检测的准确度不高。

发明内容

为了解决上述问题，本发明实施例提供了一种异常访问检测方法、装置、电子设备及存储介质，以至少解决相关技术异常访问检测的准确度不高的问题。

本发明的技术方案是这样实现的：

第一方面，本发明实施例提供了一种异常访问检测方法，该方法包括：

基于至少两个用户节点和至少两个业务系统节点构建二分图；所述二分图表征用户节点与业务系统节点之间的访问关系；

确定所述二分图的图密度是否满足第一设定条件；所述图密度表征为所述二分图的实际边数与可能的最大边数的比值；所述第一设定条件表征所述二分图的图密度的Z分数小于第一设定值；

在所述二分图的图密度满足第一设定条件的情况下，基于所述二分图，检测用户对业务系统的异常访问，得到检测结果。

上述方案中，所述基于所述二分图，检测用户对业务系统的异常访问，包括：

确定所述二分图中满足第二设定条件的第一业务系统节点；

确定连接所述第一业务系统节点的第一用户节点对应的访问概率；所述访问概率为第一次数与第二次数的比值；所述第一次数表征对应的用户节点访问对应的业务系统节点的次数；所述第二次数表征所述至少两个用户节点访问所述至少两个业务系统节点的总次数；

判断所述访问概率是否满足第三设定条件；所述第三设定条件表征所述访问概率小于业务系统节点对应的第一基线值；所述第一基线值表征为对应的业务系统节点被访问的概率；

在所述访问概率满足所述第三设定条件的情况下，确定所述第一用户节点对所述第一业务系统节点的访问为异常访问。

上述方案中，所述方法还包括：

统计不同时间点的检测结果中每个时间点的检测结果对应的第二基线值；所述第二基线值表征为对应的检测结果中检测出的异常访问的数量；

确定所述第二基线值是否满足第四设定条件；所述第四设定条件表征所述第二基线值的Z分数大于第二设定值；

在所述第二基线值满足第四设定条件的情况下，将检测结果中满足第五设定条件的异常访问删除；所述第五设定条件表征所述异常访问在所述不同时间点的检测结果中的出现次数大于第三设定值。

上述方案中，所述方法还包括：

将检测出的异常访问对应的访问信息添加到设定数据库；

在业务系统接收到新的访问请求时，将所述新的访问请求在所述设定数据库中进行匹配；

根据匹配结果返回所述新的访问请求的检测报告；所述检测报告表征所述新的访问请求是否为异常访问。

上述方案中，所述方法还包括：

在所述二分图的图密度不满足所述第一设定条件的情况下，将所述二分图中所有的业务系统节点确定为第二业务系统节点；

确定连接所述第二业务系统节点的第二用户节点对应的所述访问概率；

判断所述访问概率是否满足所述第三设定条件；

在所述访问概率满足所述第三设定条件的情况下，确定所述第二用户节点对所述第二业务系统节点的访问为异常访问。

上述方案中，所述确定所述二分图的图密度是否满足第一设定条件，包括：

分别计算所述二分图的图密度、给定最小图平均度时的图密度、设定的最大图密度和所述Z分数；

在满足以下所有条件的情况下，确定所述二分图的图密度满足第一设定条件：

所述二分图的图密度大于所述给定最小图平均度时的图密度；

所述二分图的图密度小于所述指定最大图密度；

所述Z分数小于第一设定值。

上述方案中，所述第二设定条件包括以下任意一项：

所述第一业务系统节点不满足所述二分图的最大匹配；

所述第一业务系统节点的度为1。

第二方面，本发明实施例提供了一种异常访问检测装置，该装置包括：

构建模块，用于基于至少两个用户节点和至少两个业务系统节点构建二分图；所述二分图表征用户节点与业务系统节点之间的访问关系；

确定模块，用于确定所述二分图的图密度是否满足第一设定条件；所述图密度表征为所述二分图的实际边数与可能的最大边数的比值；所述第一设定条件表征所述二分图的图密度的Z分数小于第一设定值；

检测模块，用于在所述二分图的图密度满足第一设定条件的情况下，基于所述二分图，检测用户对业务系统的异常访问，得到检测结果。

第三方面，本发明实施例提供了一种电子设备，包括处理器和存储器，所述处理器和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行本发明实施例第一方面提供的异常访问检测方法的步骤。

第四方面，本发明实施例提供了一种计算机可读存储介质，包括：所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本发明实施例第一方面提供的异常访问检测方法的步骤。

本发明实施例基于至少两个用户节点和至少两个业务系统节点构建二分图，在所述二分图的图密度满足第一设定条件的情况下，基于所述二分图，检测用户对业务系统的异常访问，得到检测结果。本发明实施例从二分图结构上检测用户对业务系统的访问，可以准确检测到用户对业务系统的异常访问。

附图说明

图1是本发明实施例提供的一种异常访问检测方法的实现流程示意图；

图2是本发明实施例提供的一种二分图的示意图；

图3是本发明实施例提供的另一种异常访问检测方法的实现流程示意图；

图4是本发明实施例提供的另一种异常访问检测方法的实现流程示意图；

图5是本发明实施例提供的另一种异常访问检测方法的实现流程示意图；

图6是本发明实施例提供的另一种异常访问检测方法的实现流程示意图；

图7是本发明实施例提供的另一种异常访问检测方法的实现流程示意图；

图8是本发明应用实施例提供的一种异常访问数据表的示意图；

图9是本发明应用实施例提供的一种异常访问检测方法的流程示意图；

图10是本发明应用实施例提供的一种异常访问检测方法的流程示意图；

图11是本发明应用实施例提供的一种异常访问检测方法的流程示意图；

图12是本发明实施例提供的一种异常访问检测装置的示意图；

图13是本发明一实施例提供的电子设备的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

需要说明的是，本发明实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

另外，在本发明实施例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

目前，相关技术存在两种异常访问检测技术，第一种是单一限制法，该方法对业务系统进行人工标记，凡是用户组群访问该业务系统的行为均视为异常访问。该方法需要遍历现有的所有业务系统以完成人工标记，且当企业添加新的业务系统时，也需要明确对新的业务系统是否要进行人工标记，整个过程需要耗费大量人力。而且该方法把所有对标记的业务系统的访问都视为异常访问，这样容易把正常的访问请求也检测为异常访问，因此该方法检测的准确度不高。第二种是相似用户检测法，该方法基于人工提取的用户行为特征序列来计算用户之间的相似度，相似度低于设定阈值的用户对业务系统的访问即为异常访问。该方法的检测效果依赖所设定的设定阈值，对设置设定阈值的技术开发人员要求较高，需要技术开发人员同时对算法及业务有较深刻的理解。

针对上述相关技术的缺点，本发明实施例提供了一种异常访问检测方法，能够检测出业务系统的异常访问。为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

图1是本发明实施例提供的一种异常访问检测方法的实现流程示意图，该方法执行主体为电子设备，所述电子设备包括：计算机、平板、服务器等。如图1所示，异常访问检测方法包括：

S101，基于至少两个用户节点和至少两个业务系统节点构建二分图；所述二分图表征用户节点与业务系统节点之间的访问关系。

二分图又称作二部图，是图论中的一种特殊模型。设G＝(V，E)是一个无向图，如果顶点V可分割为两个互不相交的子集(A，B)，并且图中的每条边(i，j)所关联的两个顶点i和j分别属于这两个不同的子集(i inA，j in B)，则称图G为一个二分图。图2是本发明实施例提供的一种二分图的示意图，如图2所示，图2中所有的顶点可以分成A，B两个集合，而每个集合内的点之间是没有连线的(A集合的点只与B集合的点相连)，则称这个图为一个二分图。在企业业务系统中，A集合中的节点可以为用户节点，B集合中的节点可以为业务系统节点。用户节点与业务系统节点之间的连线代表用户节点对业务系统节点的访问关系，节点与节点之间的连线叫做边。

在构建二分图之前，还需要对用户对业务系统的访问请求进行数据预处理，预处理包括：基于原始访问请求进行数据提取、清洗和过滤，去除脏数据，得到检测过程所需数据。脏数据是对实际业务毫无意义的数据，检测过程所需数据包括登录时间，登录源网际互连协议(IP，Internet Protocol)地址，登录目的IP地址，端口，访问域名，访问统一资源定位符(URL，Uniform Resource Locator)和访问路径等。

S102，确定所述二分图的图密度是否满足第一设定条件；所述图密度表征为所述二分图的实际边数与可能的最大边数的比值；所述第一设定条件表征所述二分图的图密度的Z分数小于第一设定值。

二分图的图密度为二分图的实际边数目与可能的最大边数目比值，这里的实际边数目和可能的最大边数目都是指用户节点和业务系统节点的连接边数目。

图密度表示图的紧密程度。二分图的图密度计算方式为：

其中，V_u，V_w分别为用户节点个数和业务系统节点个数，E为访问关系数目，一个访问关系代表对应的用户节点对对应的业务系统节点的访问，访问关系数目等于二分图的实际边数目。

Z分数(z-score)，也叫标准分数(standard score)是一个数与平均数的差再除以标准差的过程，z分数能够真实的反应一个数距离平均数的相对标准距离。

图密度的Z分数根据保存的多个历史时间段的图密度计算，图密度Z分数计算方式为：

其中，x为原始数据，u为图密度均值，

为标准差。

图密度的Z分数为本次计算出的图密度相比历史图密度平均值的偏离程度；Z分数越大偏离程度越远，二分图的图结构变化越大，二分图的图结构越不稳定；反之，Z分数越小偏离程度越小，二分图的图结构变化越小，二分图的图结构越稳定。图结构稳定表示二分图可以用来检测异常访问。在实际应用中，如果图密度的Z分数小于第一设定值，则认为满足第一设定条件；如果图密度的Z分数大于第一设定值，则认为不满足第一设定条件。

参考图3，其示出了本发明实施例提供的另一种异常访问检测方法的流程示意图，所述确定所述二分图的图密度是否满足第一设定条件时，异常访问检测方法包括：

S301，分别计算所述二分图的图密度、给定最小图平均度时的图密度、设定的最大图密度和所述Z分数。

一个节点的度是指与该节点相关联的边的条数，这里的图平均度的是指二分图所有顶点的度的平均值。

在实际应用中，图平均度为1时的最小图密度的计算方式为：

其中，V_u，V_w分别为用户节点个数和业务系统节点个数。

给定最小图平均度时的图密度的计算方式为：

d_average＝m＝m*d_average＝1。

其中，m为自定义图平均度。

设定的最大图密度的计算方式为：

d_max＝Const.threshold

其中，Const为自定义常数，Threshold用于设置阈值，Const.Threshold就是设定一个阈值，这个阈值是常数。

S302，在满足以下所有条件的情况下，确定所述二分图的图密度满足第一设定条件：

所述二分图的图密度小于所述指定最大图密度；

所述Z分数小于第一设定值。

在所述二分图的图密度大于所述给定最小图平均度时的图密度且小于所述指定最大图密度，并且所述Z分数小于第一设定值时，确定所述二分图的图密度满足第一设定条件。

S103，在所述二分图的图密度满足第一设定条件的情况下，基于所述二分图，检测用户对业务系统的异常访问，得到检测结果。

在二分图的图密度满足第一设定条件的情况下，说明二分图的图结构稳定，图结构稳定表示二分图可以用来检测异常访问。可以将二分图当做一个异常访问检测模型，可以基于二分图检测用户对业务系统的访问中的异常访问，得到检测结果，检测结果包括用户对业务系统的访问是否为异常访问。

具体的，在实际应用中，计算二分图的最大匹配。二分图的一个匹配就是一个边的集合，集合中任意两条边都没有公共顶点。一个二分图所有匹配中，所含匹配边数最多的匹配，称为这个图的最大匹配。将不满足二分图的最大匹配的业务节点作为可疑节点，连接该可疑节点的另一节点(用户节点)就对应异常用户。也就是说该异常用户对可疑节点对应的业务系统的访问是异常的。

在实际应用中，除了可以计算二分图的最大匹配外，还可以计算加权二分图最优匹配。一个图的某个匹配中，所有的顶点都是匹配点，且所有匹配边权重和最大，那么它就是一个最优匹配。

此外，还可以统计度为1的业务系统节点，将度为1的业务系统节点作为可疑节点，连接该可疑节点的另一节点(用户)就是异常用户。也就是说该异常用户对可疑节点对应的业务系统的访问是异常的。

本发明实施例从二分图结构上进行异常访问检测，对阈值设定不敏感，二分图算法适合于数据密集场景，当二分图结构可以充分表征用户与业务系统的访问关系时，二分图算法可以准确地捕捉到二分图结构中的异常访问关系边，从而准确检测到异常访问。

当数据不够充分时，就需要统计概率来辅助检测异常访问，其优势是计算速度快，内存占用少。但是，如任何依赖统计概率来检测异常的方案一样，需要凭人工经验设置一个异常概率阈值，由于数据情况复杂、业务系统多样、调参人员缺乏同时对业务系统及算法的深刻理解等，导致异常概率阈值往往难以确定，检测效果同样难以保证。本发明实施例通过统计历史上同一用户群组对企业所有业务系统的访问情况，一个稳定的用户群组，随着时间推移，其对业务系统的访问倾向会逐渐固化，趋于稳定，因此可以统计该用户群组的第一基线值，当出现新的访问时即可判定该访问属于本群组的概率，也就是判定该访问是否为异常访问。

具体的，参考图4，其示出了本发明实施例提供的另一种异常访问检测方法的流程示意图，所述基于所述二分图，检测用户对业务系统的异常访问，得到检测结果时，异常访问检测方法包括：

S401，确定所述二分图中满足第二设定条件的第一业务系统节点。

进一步的，所述第二设定条件包括以下任意一项：

所述第一业务系统节点不满足所述二分图的最大匹配；

所述第一业务系统节点的度为1。

一个图所有匹配中，所含匹配边数最多的匹配，称为这个图的最大匹配。确定二分图中满足第二设定条件的第一业务系统节点，也就是将不满足二分图的最大匹配的业务节点作为第一业务系统节点。

还可以统计二分图中度为1的业务系统节点，将度为1的业务系统节点作为第一业务系统节点。

S402，确定连接所述第一业务系统节点的第一用户节点对应的访问概率；所述访问概率为第一次数与第二次数的比值；所述第一次数表征对应的用户节点访问对应的业务系统节点的次数；所述第二次数表征所述至少两个用户节点访问所述至少两个业务系统节点的总次数。

在本发明一种实施例中，第一用户节点对应的访问概率＝第一用户节点访问所述第一业务系统节点的次数/所述至少两个用户节点访问所述至少两个业务系统节点的总次数。这里，第二次数就是所有用户访问所有业务系统的总次数。

S403，判断所述访问概率是否满足第三设定条件；所述第三设定条件表征所述访问概率小于业务系统节点对应的第一基线值；所述第一基线值表征为对应的业务系统节点被访问的概率。

基线的一般含义是：随时间变化的一系列采样值。本发明实施例中的基线值可以是一系列数值的平均数。第一基线值表征为对应的业务系统节点被访问的概率，第一基线值根据业务系统的历史访问数据计算得出，所述至少两个业务系统节点中的每个业务系统节点分别对应一个所述第一基线值。

在实际应用中，第一基线值的计算方式为：

其中，p_t为当前时刻的第一基线值，A_t为当前时刻的访问概率，Sum_t-1为上一个时刻计算出的第一基线值p_t-1。p_t为结合当前时刻的访问概率与历史统计概率算出的第一基线值，其中的每个元素(p_1t....p_vt)分别对应每个业务系统被访问的概率(每个业务系统被访问的次数/所有业务系统被访问的总次数)。访问概率计算方式不限制，例如访问概率＝访问本业务系统次数/访问所有系统的总次数。α为衰减因子，其决定了历史访问行为与本次访问的重要程度。一般来说，最近次数的访问行为具有更高的可信度，随着时间推移，用户群体行为可能会发生微小变化，因此需要衰减时间最远数据对基线值的影响。

在实际应用中，上述基线方程可以针对用户访问行为建立，可以针对被访问业务系统建立，也可以针对上述两个维度同时建立。

判断访问概率是否小于所述第一业务系统节点对应的第一基线值。

S404，在所述访问概率满足所述第三设定条件的情况下，确定所述第一用户节点对所述第一业务系统节点的访问为异常访问。

第一基线值表征第一业务系统被访问的概率，如果第一用户节点的访问概率小于第一基线值，确定所述第一用户节点对所述第一业务系统节点的访问为异常访问。

因为第一用户节点的访问概率小于第一基线值，说明第一用户节点访问第一业务系统节点的概率很小，大概率上第一用户节点是不会访问第一业务系统节点的。但是，第一用户节点访问第一业务系统节点的事实已经发生了，在小概率的基础上还是发生了访问，所以这次访问是不正常的，因此确定第一用户节点对第一业务系统节点的访问为异常访问。

在实际应用中，由于存在检测误差，可以根据第一基线值设置一个第一概率阈值和一个第二概率阈值。第一概率阈值和第二概率阈值都大于第一基线值，第一概率阈值大于第二概率阈值，第一概率阈值较为接近第一基线值。若访问概率大于第一概率阈值则本次访问正常；若访问概率小于第二概率阈值，则本次访问为可疑度较高的异常访问；若访问概率在第一阈值与第二阈值之间，则本次访问为可疑度较低的异常访问。可疑度越高，是异常访问的概率越大。

本发明实施例将二分图算法和统计概率进行结合，结合二分图算法对阈值设定不敏感和概率统计解释性强的优点，提高了异常访问检测的准确度。

参考图5，其示出了本发明实施例提供的另一种异常访问检测方法的流程示意图，所述异常访问检测方法还包括：

S501，在所述二分图的图密度不满足所述第一设定条件的情况下，将所述二分图中所有的业务系统节点确定为第二业务系统节点。

S502，确定连接所述第二业务系统节点的第二用户节点对应的所述访问概率。

S503，判断所述访问概率是否满足所述第三设定条件。

S504，在所述访问概率满足所述第三设定条件的情况下，确定所述第二用户节点对所述第二业务系统节点的访问为异常访问。

在二分图的图结构不稳定的情况下，就不使用二分图来检测异常访问，通过访问概率来确定用户对业务系统的访问是否为异常访问。

如图6所示，图6是本发明实施例提供的另一种异常访问检测方法的实现流程示意图，异常访问检测方法包括：

S601，统计不同时间点的检测结果中每个时间点的检测结果对应的第二基线值；所述第二基线值表征为对应的检测结果中检测出的异常访问的数量。

在本发明实施例中，检测结果就是异常访问的检测结果，检测结果中具体描述了哪个用户对哪个业务系统的访问是异常的、所有访问中异常访问的数量等。

在实际应用中，不同时间点的检测结果就是历史上多个时间点的的检测结果，第二基线值为检测结果中异常访问的数量。

S602，确定所述第二基线值是否满足第四设定条件；所述第四设定条件表征所述第二基线值的Z分数大于第二设定值。

根据不同时间点对应的第二基线值计算第二基线值的Z分数，Z分数的计算方式可以参考上述实施例的记载。

第二基线值的Z分数表征本次检测结果是否异常，如果第二基线值的Z分数大于第二设定值，说明本次检测结果异常，也就是说检测结果中异常访问的数量不对。如果第二基线值的Z分数小于第二设定值，说明本次检测结果正常。

S603，在所述第二基线值满足第四设定条件的情况下，将检测结果中满足第五设定条件的异常访问删除；所述第五设定条件表征所述异常访问在所述不同时间点的检测结果中的出现次数大于第三设定值。

异常访问在不同时间点的检测结果中的出现次数大于第三设定值，说明这个异常访问是不符合用户群体访问规律的。因为如果每个时刻都能检测到这个异常访问，从某种程度上讲这个访问就并不异常了，这个异常访问可能是误报。本发明实施例中的异常访问是指具有低频、偶发性的访问。

在实际应用中，每个异常访问都有具体的访问请求数据，其中包括IP地址等信息，可以根据异常访问中的IP地址来获取该异常访问在不同时间点的检测结果中的出现次数。如果出现次数大于大于第三设定值，就在本次检测结果中，将这个异常访问删除掉，去除误报，提升检测准确度。

如图7所示，图7是本发明实施例提供的另一种异常访问检测方法的实现流程示意图，异常访问检测方法包括：

S701，将检测出的异常访问对应的访问信息添加到设定数据库。

在确定了用户对业务数据的异常访问后，获取异常访问对应的访问信息，将检测出的异常访问对应的访问信息添加到设定数据库。访问信息包括域名和IP地址等信息。

图8是本发明应用实施例提供的一种异常访问数据表的示意图，如图8所示，数据表包括异常访问的域名和IP地址、异常访问的标签、访问人次和访问统计占比。在检测到异常访问后，将异常访问的访问信息写入数据表中。

S702，在业务系统接收到新的访问请求时，将将所述新的访问请求在所述设定数据库中进行匹配。

在业务系统接收到新的访问请求时，提取出新的访问请求中的访问信息，将访问信息在设定数据库中进行匹配。

S703，根据匹配结果返回所述新的访问请求的检测报告；所述检测报告表征所述新的访问请求是否为异常访问。

匹配结果包括访问信息在设定数据库中匹配成功和匹配失败，如果匹配成功，说明这个访问请求与历史上出现过的异常访问是一样的，说明该访问请求也是异常访问，向用户返回该访问请求的检测报告，检测报告中包括该访问请求是否为异常访问。

如果访问信息在设定数据库中匹配失败，说明这个访问请求是历史上没有出现过的访问请求，将这个访问请求通过二分图算法来检测。

本发明实施例在业务系统接收到新的访问请求时，将将所述新的访问请求在所述设定数据库中进行匹配，可以迅速判断出该访问请求是否为异常访问。如果是异常访问，就不用再进行后续的二分图检测和统计概率检测，提升了异常访问检测的效率。

本发明实施例能够在海量业务系统的访问数据中挖掘出异常访问，进而发现可疑用户，能够在数据泄露前期就检测出异常活动，使企业能够早发现、早决断、早处置，避免更大损失。

如图9所示，图9是本发明应用实施例提供的一种异常访问检测方法的实现流程示意图，异常访问检测流程包括：

S901，构建二分图。

S902，计算图密度、Z分数。

S903，判断图结构是稳定。

如果图结构稳定，则执行步骤S904；否则，将所有业务系统作为可疑节点，也就是说所有访问关系当做可疑的异常访问，执行步骤S907。

S904，计算二分图最大匹配。

S905，得到可疑的异常访问。

将不满足二分图的最大匹配的业务节点作为可疑节点，连接该可疑节点的另一节点(用户)就是异常用户。也就是说该异常用户对可疑节点对应的业务系统的访问是可疑的异常访问。

此外，还可以统计度为1的业务系统节点，将度为1的业务系统节点作为作为可疑节点，连接该可疑节点的另一节点(用户)就是异常用户。也就是说该异常用户对可疑节点对应的业务系统的访问是可疑的异常访问。

S906，计算第一基线值。

S907，计算可疑的异常访问对应的访问概率。

S908，输出异常访问。

确定所述二分图中满足第二设定条件的第一业务系统节点；所述第二设定条件表征所述第一业务系统节点不满足所述二分图的最大匹配。确定连接所述第一业务系统节点的第一用户节点对应的访问概率；所述访问概率为第一次数与第二次数的比值；所述第一次数表征所述第一用户节点访问所述第一业务系统节点的次数；所述第二次数表征所述第一用户节点访问所述至少两个业务系统节点的总次数。判断所述访问概率是否满足第三设定条件；所述第三设定条件表征所述访问概率小于所述第一业务系统节点对应的第一基线值；所述第一基线值表征为对应的业务系统节点被访问的概率；所述至少两个业务系统节点中的每个业务系统节点分别对应一个所述第一基线值。在所述访问概率满足所述第三设定条件的情况下，确定所述第一用户节点对所述第一业务系统节点的访问为异常访问。

如图10所示，图10是本发明应用实施例提供的另一种异常访问检测方法的实现流程示意图，异常访问检测流程包括：

S1001，获取异常访问结果。

S1002，计算第二基线值。

S1003，判断是否偏离。

判断第二基线值的Z分数是否大于第二设定值，如果大于，则执行步骤S1004；否则结束流程。

S1004，去除M次检测到的异常访问。

去除在不同时间点的检测结果中的出现次数大于M次的异常访问。

S1005，输出最终异常访问检测结果。

如图11所示，图11是本发明应用实施例提供的另一种异常访问检测方法的实现流程示意图，异常访问检测流程包括：

S1101，访问数据输入。

获取各个业务系统的访问数据。

S1102，数据预处理。

对访问数据进行预处理。

S1103，二分图算法检测。

首先使用二分图算法检测异常访问，将二分图检测结果输入到。

S1104，第一基线值检测。

确定所述二分图中满足第二设定条件的第一业务系统节点；所述第二设定条件表征所述第一业务系统节点不满足所述二分图的最大匹配；确定连接所述第一业务系统节点的第一用户节点对应的访问概率；所述访问概率为第一次数与第二次数的比值；所述第一次数表征所述第一用户节点访问所述第一业务系统节点的次数；所述第二次数表征所述第一用户节点访问所述至少两个业务系统节点的总次数；判断所述访问概率是否满足第三设定条件；所述第三设定条件表征所述访问概率小于所述第一业务系统节点对应的第一基线值；所述第一基线值表征为对应的业务系统节点被访问的概率；所述至少两个业务系统节点中的每个业务系统节点分别对应一个所述第一基线值；在所述访问概率满足所述第三设定条件的情况下，确定所述第一用户节点对所述第一业务系统节点的访问为异常访问。

S1105，第二基线值检测。

统计不同时间点的检测结果中每个时间点的检测结果对应的第二基线值；所述第二基线值表征为对应的检测结果中检测出的异常访问的数量；确定所述第二基线值是否满足第四设定条件；所述第四设定条件表征所述第二基线值的Z分数大于第二设定值；在所述第二基线值满足第四设定条件的情况下，将检测结果中满足第五设定条件的异常访问删除；所述第五设定条件表征所述异常访问在所述不同时间点的检测结果中的出现次数大于第三设定值。

S1106，数据库匹配。

将检测出的异常访问对应的访问信息添加到设定数据库；在业务系统接收到新的访问请求时，将将所述新的访问请求在所述设定数据库中进行匹配；根据匹配结果返回所述访问请求的检测报告；所述检测报告表征所述访问请求是否为异常访问。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

图13是本发明实施例提供的一种异常访问检测装置的示意图，如图13所示，该装置包括：构建模块、确定模块和检测模块。

构建模块，用于基于至少两个用户节点和至少两个业务系统节点构建二分图；所述二分图表征用户节点与业务系统节点之间的访问关系。

确定模块，用于确定所述二分图的图密度是否满足第一设定条件；所述图密度表征为所述二分图的实际边数与可能的最大边数的比值；所述第一设定条件表征所述二分图的图密度的Z分数小于第一设定值。

所述检测模块具体用于：

确定所述二分图中满足第二设定条件的第一业务系统节点；

所述装置还包括：删除模块，

删除模块具体用于：

所述装置还包括：

匹配模块，用于将检测出的异常访问对应的访问信息添加到设定数据库；

所述检测模块还用于：

判断所述访问概率是否满足所述第三设定条件；

所述确定模块还用于：

所述二分图的图密度小于所述指定最大图密度；

所述Z分数小于第一设定值。

所述第二设定条件包括以下任意一项：

所述第一业务系统节点不满足所述二分图的最大匹配；

所述第一业务系统节点的度为1。

需要说明的是：上述实施例提供的异常访问检测装置在进行异常访问检测时，仅以上述各模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的模块完成，即将装置的内部结构划分成不同的模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的异常访问检测装置与异常访问检测方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图13是本发明一实施例提供的电子设备的示意图。所述电子设备包括：手机、平板、服务器等。如图13所示，该实施例的电子设备包括：处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序。所述处理器执行所述计算机程序时实现上述各个方法实施例中的步骤，例如图1所示的步骤101至103。或者，所述处理器执行所述计算机程序时实现上述各装置实施例中各模块的功能，例如图12所示构建模块、确定模块和检测模块的功能。

示例性的，所述计算机程序可以被分割成一个或多个模块，所述一个或者多个模块被存储在所述存储器中，并由所述处理器执行，以完成本发明。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述电子设备中的执行过程。

所述电子设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，图13仅仅是电子设备的示例，并不构成对电子设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述电子设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器可以是中央处理模块(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器可以是所述电子设备的内部存储模块，例如电子设备的硬盘或内存。所述存储器也可以是所述电子设备的外部存储设备，例如所述电子设备上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器还可以既包括所述电子设备的内部存储模块也包括外部存储设备。所述存储器用于存储所述计算机程序以及所述电子设备所需的其他程序和数据。所述存储器还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能模块、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块、模块完成，即将所述装置的内部结构划分成不同的功能模块或模块，以完成以上描述的全部或者部分功能。实施例中的各功能模块、模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中，上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。另外，各功能模块、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中模块、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的实施例中，应该理解到，所揭露的装置/电子设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/电子设备实施例仅仅是示意性的，例如，所述模块或模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或模块的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的模块/模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-OnlyMemory，ROM)、随机存取存储器(RandomAccess Memory，RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。

Claims

1.一种异常访问检测方法，其特征在于，包括：

在所述二分图的图密度满足第一设定条件的情况下，基于所述二分图，检测用户对业务系统的异常访问，得到检测结果；

所述基于所述二分图，检测用户对业务系统的异常访问，包括：

确定所述二分图中满足第二设定条件的第一业务系统节点；所述第二设定条件包括以下任意一项：所述第一业务系统节点不满足所述二分图的最大匹配；所述第一业务系统节点的度为1；

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将检测出的异常访问对应的访问信息添加到设定数据库；

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

判断所述访问概率是否满足所述第三设定条件；

5.根据权利要求1所述的方法，其特征在于，所述确定所述二分图的图密度是否满足第一设定条件，包括：

所述二分图的图密度小于所述设定的最大图密度；

所述Z分数小于第一设定值。

6.一种异常访问检测装置，其特征在于，包括：

检测模块，用于在所述二分图的图密度满足第一设定条件的情况下，基于所述二分图，检测用户对业务系统的异常访问，得到检测结果；

所述检测模块用于：确定所述二分图中满足第二设定条件的第一业务系统节点；所述第二设定条件包括以下任意一项：所述第一业务系统节点不满足所述二分图的最大匹配；所述第一业务系统节点的度为1；

7.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述的异常访问检测方法。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1至5任一项所述的异常访问检测方法。