CN115567316A - 访问数据的异常检测方法及装置 - Google Patents

访问数据的异常检测方法及装置 Download PDF

Info

Publication number
CN115567316A
CN115567316A CN202211349067.7A CN202211349067A CN115567316A CN 115567316 A CN115567316 A CN 115567316A CN 202211349067 A CN202211349067 A CN 202211349067A CN 115567316 A CN115567316 A CN 115567316A
Authority
CN
China
Prior art keywords
service
target
parameter
determining
access data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211349067.7A
Other languages
English (en)
Inventor
周娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202211349067.7A priority Critical patent/CN115567316A/zh
Publication of CN115567316A publication Critical patent/CN115567316A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种访问数据的异常检测方法及装置。其中,该方法包括:确定目标业务的业务访问数据对应的业务参数树状图;对业务参数树状图中的目标分支中的多个维度特征进行赋值,得到目标业务参数矩阵模型;提取当前时刻的业务访问数据的多个特征值,将多个特征值与多个目标特征值进行适配,生成适配结果;当适配结果与目标结果不一致时,确定业务访问数据存在异常访问。本申请解决了由于与被检测的业务访问数据进行比较的特征维度过少造成的业务访问数据检测的误报率较高的技术问题。

Description

访问数据的异常检测方法及装置
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种访问数据的异常检测方法及装置。
背景技术
近年来,各行业数据泄露事件频发不断,大有愈演愈烈的趋势,给企业带来了巨大的经济损失,严重影响了公众的正常生活,将数据安全推向了“重灾区”,数据安全问题已成为社会、企业、用户最为关注的热点。
现有隐私风险监测方法包括:提取应用请求链接的统一资源定位符(UniformResource,Locator,URL)中的目标域名信息;基于预先设置的包含有域名信息与对象信息对应关系的域名知识图谱,根据目标域名信息,确定目标域名信息对应的对象信息;将从发起请求链接的统一资源定位符的应用的签名信息中获得的对象信息与目标域名信息对应的对象信息进行对比,并根据第一对比结果监测是否存在隐私泄露风险。现有方法仅采用域名信息与对象信息进行比对,特征维度太少,误报率较高,且缺少其他佐证是否存在误报的手段。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种访问数据的异常检测方法及装置,以至少解决由于与被检测的业务访问数据进行比较的特征维度过少造成的业务访问数据检测的误报率较高的技术问题。
根据本申请实施例的一个方面,提供了一种访问数据的异常检测方法,包括:确定目标业务的业务访问数据对应的业务参数树状图,其中,业务参数树状图包括多个分支,每个分支中的节点包括业务访问数据的各业务参数或业务访问数据的多个维度特征;对业务参数树状图中的目标分支中的多个维度特征进行赋值,得到目标业务参数矩阵模型,其中,目标分支为业务访问数据的缓存日志量为预设目标值的分支,目标业务参数矩阵模型包括与多个维度特征对应的多个目标特征值;提取当前时刻的业务访问数据的多个特征值,将多个特征值与多个目标特征值进行适配,生成适配结果;当适配结果与目标结果不一致时,确定业务访问数据存在异常访问。
可选地,确定目标业务的业务访问数据对应的业务参数树状图,包括:根据业务访问数据中多个业务参数确定业务访问数据的多个维度特征,其中,多个维度特征包括:业务识别特征、参数坐标特征、参数类型特征、参数范围特征和参数行为特征;根据多个维度特征确定业务参数矩阵模型;根据业务参数矩阵模型确定业务参数树状图。
可选地,根据业务访问数据中多个业务参数确定业务访问数据的多个维度特征,包括:将业务参数与预设业务标签库中的业务类型进行适配,确定业务访问数据的业务识别特征,其中,业务识别特征包括:查询类、办理类和充值类;根据业务参数在超文本传输协议中的位置,确定业务访问数据的参数坐标特征,其中,参数坐标特征包括:统一资源定位符、存储在本地终端上的数据和命令;根据预设类型值库,确定业务访问数据的参数类型特征,其中,参数类型特征包括:整型、浮点型和字符串型;根据业务参数的字符长度,确定业务访问数据的参数范围特征,其中,参数范围特征包括:电话号码、邮箱和姓名;根据预设的计算方式对业务参数进行计算,确定业务访问数据的参数行为特征,其中,预设的计算方式包括:统计、分组和内置字典,参数行为特征包括:业务参数的互联网协议地址的数量、业务参数被多个互联网协议地址提交的次数。
可选地,对业务参数树状图中的目标分支中的多个维度特征进行赋值,得到目标业务参数矩阵模型,包括:根据预设业务标签库中各业务的数值,对目标分支中的业务识别特征进行赋值,确定第一目标特征值,其中,第一目标特征值为业务识别特征的特征值;根据业务参数在超文本传输协议中位置的坐标参数,对目标分支中的参数坐标特征进行赋值,确定第二目标特征值,其中,第二目标特征值为参数坐标特征的特征值;根据业务参数的字符,对目标分支中的参数类型特征进行赋值,确定第三目标特征值,其中,第三目标特征值为参数类型特征的特征值;根据密度聚类算法,对目标分支中的参数范围特征进行赋值,确定第四目标特征值,其中,第四目标特征值为参数范围特征的特征值;根据目标分支中的业务访问数据量和访问源数量,对目标分支中的参数行为特征进行赋值,确定第五目标特征值,其中,第五目标特征值为参数行为特征的特征值;根据第一目标特征值、第二目标特征值、第三目标特征值、第四目标特征值和第五目标特征值,确定目标业务参数矩阵模型。
可选地,根据密度聚类算法,对目标分支中的参数范围特征进行赋值,确定第四目标特征值,包括:步骤S1,将目标分支的多个业务参数转化为多个数值,并根据多个数值确定数值组,其中,数值的长度与业务参数的字符长度相同;步骤S2,对数值组中的第一数值进行标签化处理,生成目标数值,其中,第一数值为没有标签的数值;步骤S3,根据目标数值和预设目标半径确定目标范围,并确定第一数量,其中,第一数量为目标范围内数值组中数值的数量;步骤S4,当第一数量大于或等于预设目标数量时,将目标范围内的数值进行聚类,生成第一聚类结果;步骤S5,重复执行步骤S2至步骤S4,生成多个聚类结果,直至数值组中不存第一数值;步骤S6:根据多个聚类结果,确定第四目标特征值。
可选地,根据业务参数的字符,对目标分支中的参数类型特征进行处理,确定第三目标特征值,包括:遍历业务参数的所有字符,对字符的类型进行判断;若字符为整型,确定字符为第一数值;若字符为浮点型,确定字符为第二数值;若字符为字符型,确定字符为第三数值;根据第一数值、第二数值以及第三数值确定第三目标特征值。
可选地,根据业务参数矩阵模型确定业务参数树状图,包括:将业务参数矩阵模型的业务识别特征确定为业务参数树状图的一级节点;将与业务识别特征对应的业务参数确定为业务参数树状图的二级节点;将业务参数矩阵模型的参数坐标特征、参数类型特征、参数范围特征和参数行为特征确定为业务参数树状图的三级节点,其中,一级节点与多个二级节点连接,二级节点与多个三级节点连接。
可选地,异常访问包括以下至少之一:越权访问、暴力破解、违规充缴、跨站攻击。
根据本申请实施例的再一方面,还提供了一种非易失性存储介质,存储介质包括存储的程序,其中,程序运行时控制存储介质所在的设备执行以上的访问数据的异常检测方法。
根据本申请实施例的再一方面,还提供了一种处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的访问数据的异常检测方法。
在本申请实施例中,采用确定目标业务的业务访问数据对应的业务参数树状图,其中,业务参数树状图包括多个分支,每个分支中的节点包括业务访问数据的各业务参数或业务访问数据的多个维度特征;对业务参数树状图中的目标分支中的多个维度特征进行赋值,得到目标业务参数矩阵模型,其中,目标分支为业务访问数据的缓存日志量为预设目标值的分支,目标业务参数矩阵模型包括与多个维度特征对应的多个目标特征值;提取当前时刻的业务访问数据的多个特征值,将多个特征值与多个目标特征值进行适配,生成适配结果;当适配结果与目标结果不一致时,确定业务访问数据存在异常访问的方式,通过确定多特征维度的业务参数树状图和多特征维度的业务参数矩阵模型,达到了多个特征维度与被检测的业务访问数据进行适配的目的,从而实现了提升检测业务访问数据的准确率的技术效果,进而解决了由于与被检测的业务访问数据进行比较的特征维度过少造成的业务访问数据检测的误报率较高技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种访问数据的异常检测方法的流程图;
图2是根据本申请实施例的另一种访问数据的异常检测方法的流程图;
图3是根据本申请实施例的一种业务参数树状图示意图;
图4是根据本申请实施例的一种访问数据的异常检测装置的结构图;
图5是根据本申请实施例提供的一种访问数据的异常检测方法的计算机终端(或电子设备)的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请实施例,提供了一种访问数据的异常检测方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本申请实施例的一种访问数据的异常检测方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,确定目标业务的业务访问数据对应的业务参数树状图,其中,业务参数树状图包括多个分支,每个分支中的节点包括业务访问数据的各业务参数或业务访问数据的多个维度特征。
根据本申请的一个可选的实施例,业务访问数据中包含多个业务参数,例如用户在完成话费充值业务后形成的业务访问数据包括但不限于以下业务参数:充值金额、充值电话号码、充值电话号码的国际移动设备识别码、充值电话号码的国际移动用户识别码、充值终端设备的互联网协议地址。根据多个业务参数,本申请提取了五个特征维度用于表征上述业务访问数据,其中,五个特征维度分别为业务识别特征维度、参数坐标特征维度、参数类型特征维度、参数范围特征维度和参数行为特征维度。业务参数树状图的每个分支包括业务访问数据的多个业务参数以及上述五个特征维度中的任意多个。
图3是根据本申请实施例的一种业务参数树状图示意图,在图3中,业务访问数据中共有n个业务参数,则该业务参数树状图共n个分支。例如,业务参数1对应的分支为第一分支,第一分支中包括充值请求参数1和业务参数的识别维度(业务识别特征),业务参数的坐标维度(参数坐标特征),业务参数的类型维度(参数类型特征),业务参数的范围维度(参数范围特征),业务参数的行为维度(参数行为特征)。在业务参数树状图的每个分支中,在当前节点对应的数据为业务参数的情况下,该当前节点的下一级节点对应所述业务参数的多维度特征,其中,所述下一级节点中包括多个节点,且每个节点对应一个维度特征。
步骤S104,对业务参数树状图中的目标分支中的多个维度特征进行赋值,得到目标业务参数矩阵模型,其中,目标分支为业务访问数据的缓存日志量为预设目标值的分支,目标业务参数矩阵模型包括与多个维度特征对应的多个目标特征值。
根据本申请的另一个可选的实施例,当业务参数树状图中某分支的业务访问数据量达到特定阈值时,对该分支的多个特征进行复赋值操作,可以得到业务识别特征的特征值、参数坐标特征的特征值、参数类型特征的特征值、参数范围特征的特征值和参数行为特征的特征值,根据上述多个特征值可以确定参数矩阵,即目标业务参数矩阵模型,该矩阵模型如下所示:
Figure BDA0003919167560000051
Figure BDA0003919167560000061
步骤S106,提取当前时刻的业务访问数据的多个特征值,将多个特征值与多个目标特征值进行适配,生成适配结果。
在本申请的一些可选的实施例,将当前时刻的业务访问数据,即最新的业务访问数据的多个特征值,将当前时刻的业务访问数据的各个特征值与目标业务参数矩阵模型中的各个目标特征值进行适配,生成适配结果,该适配结果如下所示:
Figure BDA0003919167560000062
在一个可选的实施例中,提取当前时刻的业务访问数据的多个特征值包括以下步骤:
1.从业务访问数据中解析业务访问日志,根据业务访问日志识别业务名称、业务类型。
2.提取业务访问数据中的业务访问参数,包括:访问命令、参数名(Key)、参数值(Value)、参数坐标(命令参数、存储在本地终端上的数据参数、统一资源定位符参数、请求体参数)。
3.识别参数类型,如:整形、字符型等;识别参数长度;识别参数特征。
4.业务参数行为分析,如:统计同一业务参数的源网络协议地址的数量、统计同一源网络协议地址在短时间范围内提交不同业务参数的数量等。
在另一个可选的实施例中,将多个特征值与多个目标特征值进行适配,生成适配结果的具体过程如下:
1.进行访问命令、业务参数名、业务参数值、业务参数坐标、业务参数长度、业务参数类型等维度适配,发现超出基线范围的异常访问行为。
2.进行业务参数行为适配,如:同一业务参数被多个源网络协议地址提交(越权访问)、同一源网络协议地址提交不同的业务参数(暴力破解、违规充缴),发现异常访问行为。
3.进行参数特征词组适配,如:SQL注入、跨站攻击等,发现异常访问行为。
步骤S108,当适配结果与目标结果不一致时,确定业务访问数据存在异常访问。
作为本申请的一个可选的实施例,当适配结果与目标结果不一致,生成告警提醒信息,通过人工审计判断所述适配结果是否准确,当适配结果准确时,通过上述目标业务参数矩阵模型继续与当前时刻的下一相邻时刻的业务访问数据的特征值进行适配。
根据上述步骤,通过确定多特征维度的业务参数树状图和多特征维度的业务参数矩阵模型,达到了多个特征维度与被检测的业务访问数据进行适配的目的,从而实现了提升检测业务访问数据的准确率的技术效果,进而解决了由于与被检测的业务访问数据进行比较的特征维度过少造成的业务访问数据检测的误报率较高技术问题。
根据本申请的一个可选的实施例,确定目标业务的业务访问数据对应的业务参数树状图,包括以下步骤:根据业务访问数据中多个业务参数确定业务访问数据的多个维度特征,其中,多个维度特征包括:业务识别特征、参数坐标特征、参数类型特征、参数范围特征和参数行为特征;根据多个维度特征确定业务参数矩阵模型;根据业务参数矩阵模型确定业务参数树状图。
根据本申请的另一个可选的实施例,根据业务识别特征、参数坐标特征、参数类型特征、参数范围特征和参数行为特征确定业务参数矩阵模型,该业务参数矩阵模型如下所示:
Figure BDA0003919167560000071
Figure BDA0003919167560000081
将业务识别特征(业务识别维度指标)确定为业务参数树状图的一级节点,将与业务识别特征对应的业务参数确定为业务参数树状图的二级节点,将业务参数矩阵模型的参数坐标特征(参数坐标维度指标)、参数类型特征(参数类型维度指标)、参数范围特征(参数范围维度指标)和参数行为特征(参数行为维度指标)确定为业务参数树状图的三级节点,其中,一级节点与多个二级节点连接,二级节点与多个三级节点连接,图3是根据本申请实施例的一种业务参数树状图示意图,根据业务参数矩阵模型确定的业务参数树状图如图3所示。
在本申请的一些可选的实施例,根据业务访问数据中多个业务参数确定业务访问数据的多个维度特征,可以通过以下方法实现:将业务参数与预设业务标签库中的业务类型进行适配,确定业务访问数据的业务识别特征,其中,业务识别特征包括:查询类、办理类和充值类;根据业务参数在超文本传输协议中的位置,确定业务访问数据的参数坐标特征,其中,参数坐标特征包括:统一资源定位符、存储在本地终端上的数据和命令;根据预设类型值库,确定业务访问数据的参数类型特征,其中,参数类型特征包括:整型、浮点型和字符串型;根据业务参数的字符长度,确定业务访问数据的参数范围特征,其中,参数范围特征包括:电话号码、邮箱和姓名;根据预设的计算方式对业务参数进行计算,确定业务访问数据的参数行为特征,其中,预设的计算方式包括:统计、分组和内置字典,参数行为特征包括:业务参数的互联网协议地址的数量、业务参数被多个互联网协议地址提交的次数。
在本申请的一些可选的实施例中,对业务参数树状图中的目标分支中的多个维度特征进行赋值,得到目标业务参数矩阵模型,通过以下方法实现:根据预设业务标签库中各业务的数值,对目标分支中的业务识别特征进行赋值,确定第一目标特征值,其中,第一目标特征值为业务识别特征的特征值;根据业务参数在超文本传输协议中位置的坐标参数,对目标分支中的参数坐标特征进行赋值,确定第二目标特征值,其中,第二目标特征值为参数坐标特征的特征值;根据业务参数的字符,对目标分支中的参数类型特征进行赋值,确定第三目标特征值,其中,第三目标特征值为参数类型特征的特征值;根据密度聚类算法,对目标分支中的参数范围特征进行赋值,确定第四目标特征值,其中,第四目标特征值为参数范围特征的特征值;根据目标分支中的业务访问数据量和访问源数量,对目标分支中的参数行为特征进行赋值,确定第五目标特征值,其中,第五目标特征值为参数行为特征的特征值;根据第一目标特征值、第二目标特征值、第三目标特征值、第四目标特征值和第五目标特征值,确定目标业务参数矩阵模型。
在一个可选的实施例中,根据密度聚类算法,对目标分支中的参数范围特征进行赋值,确定第四目标特征值,包括以下步骤:步骤S1,将目标分支的多个业务参数转化为多个数值,并根据多个数值确定数值组,其中,数值的长度与业务参数的字符长度相同;步骤S2,对数值组中的第一数值进行标签化处理,生成目标数值,其中,第一数值为没有标签的数值;步骤S3,根据目标数值和预设目标半径确定目标范围,并确定第一数量,其中,第一数量为目标范围内数值组中数值的数量;步骤S4,当第一数量大于或等于预设目标数量时,将目标范围内的数值进行聚类,生成第一聚类结果;步骤S5,重复执行步骤S2至步骤S4,生成多个聚类结果,直至数值组中不存第一数值;步骤S6:根据多个聚类结果,确定第四目标特征值。
根据本申请的一个可选的实施例,采用DBSCAN基于密度的聚类学习算法进行分析,具体执行步骤如下:
步骤1.参数数值化。获取目标分支中的业务参数,根据业务参数值字符长度将所述业务参数进行数值化,并将所有业务参数数值化的结果存入数组arri中。
步骤2.输入。输入数组参数arri、eps(邻域半径)、minPts(密度),初始化输出对象outset(范围分类结果)。
步骤3.核心点。随机从数组集arri中选取一个未打标的参数对象,该对象表示为cpi,将cpi设置为疑似核心节点,并从arri中将cpi打标。
步骤4.遍历。采用通用的曼哈顿距离公式从arri中逐一找到满足cpi最小的eps对象坐标点。遍历完成后统计当前cpi和eps范围内的参数对象的数量,如果参数对象的总数量达到minPts时,则对当前范围内的所有参数对象进行分类,存入gi
步骤5.迭代。如果arri中所有对象都已打标则进入步骤6,否则继续进入步骤3。
步骤6.收集。循环arri里的所有参数对象,获取所有已经分类的参数对象,根据参数对象中的下限数值及上线数值进行取值,并存入输出对象outset中。输出结果表示为:
outset=[gi,……,gn]
上述输出结果中,gi为某一分类,n为类别数量。如果outset为空,则算法结束,否则进入步骤7;
步骤7.输出。返回输出结果outset,将输出结果outset确定为第四目标特征值。
根据本申请的另一个可选的实施例,根据业务参数的字符,对目标分支中的参数类型特征进行处理,确定第三目标特征值,可以通过以下方法实现:遍历业务参数的所有字符,对字符的类型进行判断;若字符为整型,确定字符为第一数值;若字符为浮点型,确定字符为第二数值;若字符为字符型,确定字符为第三数值;根据第一数值、第二数值以及第三数值确定第三目标特征值。
在本申请的一些可选的实施例,通过遍历参数值的所有字符进行判定,具体步骤如下:
1.输入。初始化字符串输入参数pvalue,初始化输出参数outtype。
2.疑似整型。遍历字符串参数pvalue中的每一个字符,if pvalue[i]>=’0’||pvalue[i]<=’9’则赋值outtype=1,继续进入步骤2,if pvalue[i]=’.’进入步骤3,反之进入步骤4,遍历结束进入步骤5。
3.疑似浮点型。赋值outtype=2,继续遍历下个字符,if pvalue[i]>=’0’||pvalue[i]<=’9’则继续进入步骤3,反之进入步骤4,遍历结束进入步骤5。
4.疑似字符型。赋值outtype=3,进入步骤5。
5.类型维度指标确定。返回outtype参数(1整型、2浮点型、3字符型)。
作为本申请的一个可选的实施例,据业务参数矩阵模型确定业务参数树状图,通过以下方法实现:将业务参数矩阵模型的业务识别特征确定为业务参数树状图的一级节点;将与业务识别特征对应的业务参数确定为业务参数树状图的二级节点;将业务参数矩阵模型的参数坐标特征、参数类型特征、参数范围特征和参数行为特征确定为业务参数树状图的三级节点,其中,一级节点与多个二级节点连接,二级节点与多个三级节点连接。
在本申请的一些可选的实施例中,将业务识别特征(业务识别维度指标)确定为业务参数树状图的一级节点,将与业务识别特征对应的业务参数确定为业务参数树状图的二级节点,将业务参数矩阵模型的参数坐标特征(参数坐标维度指标)、参数类型特征(参数类型维度指标)、参数范围特征(参数范围维度指标)和参数行为特征(参数行为维度指标)确定为业务参数树状图的三级节点,其中,一级节点与多个二级节点连接,二级节点与多个三级节点连接,业务参数树状图如图3所示,在图3中,共有n个业务参数,则该业务参数树状图共n个分支。基于参数坐标特征、参数类型特征、参数范围特征和参数行为特征,能够发现重要业务异常办理类风险;基于参数范围特征和参数类型特征,能够发现跨站攻击和SQL注入类风险;基于参数类型特征和参数行为特征,能够发现存储在本地终端上的数据被盗用等风险。
作为本申请的另一个可选的实施例,异常访问包括以下至少之一:越权访问、暴力破解、违规充缴、跨站攻击。
图2是根据本申请实施例的另一种访问数据的异常检测方法的流程图,如图2所示,该方法包括:
步骤S202,获取原始日志,判断原始日志是否为基于超文本传输协议(Hyper TextTransfer Protocol,HTTP)的日志,若所述原始日志为基于超文本传输协议的日志,进入步骤S204。
步骤S204,将基于超文本传输协议日志的业务访问数据中的各业务参数与业务标签库中的全部业务进行匹配,判断所述业务访问数据是否为已知业务的访问数据。若所述业务访问数据为已知业务的访问数据,进入步骤S208;若所述业务访问数据不是已知业务的访问数据,进入步骤S206。
步骤S206,对不在业务标签库中的业务进行标记和聚类,生成聚类结果,将该聚类结果输入至上述业务标签库,以扩大业务标签库包含业务的范围。
步骤S208,对多个业务参数进行学习,即对多个业务参数对应的特征维度进行赋值,得到多个特征值。
步骤S210,根据步骤S208得到的特征值,确定业务参数基线模型(目标业务参数矩阵模型)。
步骤S212,将获取到的最新的业务访问数据的特征值与上述目标业务参数矩阵模型的特征值进行适配,生成适配结果,实现对业务访问数据中的业务参数进行检测的功能,其中,业务访问数据存在的异常行为包括但不限于:越权访问、暴力破解、话费违规充缴、跨站攻击。
图4是根据本申请实施例的一种访问数据的异常检测装置的结构图,如图4所示,该装置包括:
第一确定模块40,用于确定目标业务的业务访问数据对应的业务参数树状图,其中,业务参数树状图包括多个分支,每个分支中的节点包括业务访问数据的各业务参数或业务访问数据的多个维度特征;
赋值模块42,用于对业务参数树状图中的目标分支中的多个维度特征进行赋值,得到目标业务参数矩阵模型,其中,目标分支为业务访问数据的缓存日志量为预设目标值的分支,目标业务参数矩阵模型包括与多个维度特征对应的多个目标特征值;
适配模块44,用于提取当前时刻的业务访问数据的多个特征值,将多个特征值与多个目标特征值进行适配,生成适配结果;
第二确定模块46,用于当适配结果与目标结果不一致时,确定业务访问数据存在异常访问。
需要说明的是,上述图4中的各个模块可以是程序模块(例如是实现某种特定功能的程序指令集合),也可以是硬件模块,对于后者,其可以表现为以下形式,但不限于此:上述各个模块的表现形式均为一个处理器,或者,上述各个模块的功能通过一个处理器实现。
图5示出了一种用于实现访问数据的异常检测方法的计算机终端(或移动设备)的硬件结构框图。如图5所示,计算机终端50(或移动设备50)可以包括一个或多个(图中采用502a、502b,……,502n来示出)处理器502(处理器502可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器504、以及用于通信功能的传输模块506。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图5所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端50还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。
应当注意到的是上述一个或多个处理器502和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端50(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器504可用于存储应用软件的软件程序以及模块,如本申请实施例中的访问数据的异常检测方法对应的程序指令/数据存储装置,处理器502通过运行存储在存储器504内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的访问数据的异常检测方法。存储器504可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器504可进一步包括相对于处理器502远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端50。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输模块506用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端50的通信供应商提供的无线网络。在一个实例中,传输模块506包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输模块506可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端50(或移动设备)的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图5所示的计算机设备(或电子设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图5仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机设备(或电子设备)中的部件的类型。
需要说明的是,图5所示的电子设备用于执行图1所示的访问数据的异常检测方法,因此上述命令的执行方法中的相关解释说明也适用于该电子设备,此处不再赘述。
本申请实施例还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,程序运行时控制存储介质所在的设备执行以上的访问数据的异常检测方法。
非易失性存储介质执行以下功能的程序:确定目标业务的业务访问数据对应的业务参数树状图,其中,业务参数树状图包括多个分支,每个分支中的节点包括业务访问数据的各业务参数或业务访问数据的多个维度特征;对业务参数树状图中的目标分支中的多个维度特征进行赋值,得到目标业务参数矩阵模型,其中,目标分支为业务访问数据的缓存日志量为预设目标值的分支,目标业务参数矩阵模型包括与多个维度特征对应的多个目标特征值;提取当前时刻的业务访问数据的多个特征值,将多个特征值与多个目标特征值进行适配,生成适配结果;当适配结果与目标结果不一致时,确定业务访问数据存在异常访问。
本申请实施例还提供了一种电子设备,包括:存储器和处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的访问数据的异常检测方法。
处理器用于运行执行以下功能的程序:确定目标业务的业务访问数据对应的业务参数树状图,其中,业务参数树状图包括多个分支,每个分支中的节点包括业务访问数据的各业务参数或业务访问数据的多个维度特征;对业务参数树状图中的目标分支中的多个维度特征进行赋值,得到目标业务参数矩阵模型,其中,目标分支为业务访问数据的缓存日志量为预设目标值的分支,目标业务参数矩阵模型包括与多个维度特征对应的多个目标特征值;提取当前时刻的业务访问数据的多个特征值,将多个特征值与多个目标特征值进行适配,生成适配结果;当适配结果与目标结果不一致时,确定业务访问数据存在异常访问。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (11)

1.一种访问数据的异常检测方法,其特征在于,包括:
确定目标业务的业务访问数据对应的业务参数树状图,其中,所述业务参数树状图包括多个分支,每个分支中的节点包括所述业务访问数据的各业务参数或所述业务访问数据的多个维度特征;
对所述业务参数树状图中的目标分支中的所述多个维度特征进行赋值,得到目标业务参数矩阵模型,其中,所述目标分支为所述业务访问数据的缓存日志量为预设目标值的分支,所述目标业务参数矩阵模型包括与所述多个维度特征对应的多个目标特征值;
提取当前时刻的所述业务访问数据的多个特征值,将所述多个特征值与所述多个目标特征值进行适配,生成适配结果;
当所述适配结果与目标结果不一致时,确定所述业务访问数据存在异常访问。
2.根据权利要求1所述的方法,其特征在于,确定目标业务的业务访问数据对应的业务参数树状图,包括:
根据所述业务访问数据中多个所述业务参数确定所述业务访问数据的所述多个维度特征,其中,所述多个维度特征包括:业务识别特征、参数坐标特征、参数类型特征、参数范围特征和参数行为特征;
根据所述多个维度特征确定业务参数矩阵模型;
根据所述业务参数矩阵模型确定所述业务参数树状图。
3.根据权利要求2所述的方法,其特征在于,根据所述业务访问数据中多个所述业务参数确定所述业务访问数据的所述多个维度特征,包括:
将所述业务参数与预设业务标签库中的业务类型进行适配,确定所述业务访问数据的所述业务识别特征,其中,所述业务识别特征包括:查询类、办理类和充值类;
根据所述业务参数在超文本传输协议中的位置,确定所述业务访问数据的所述参数坐标特征,其中,所述参数坐标特征包括:统一资源定位符、存储在本地终端上的数据和命令;
根据预设类型值库,确定所述业务访问数据的所述参数类型特征,其中,所述参数类型特征包括:整型、浮点型和字符串型;
根据所述业务参数的字符长度,确定所述业务访问数据的所述参数范围特征,其中,所述参数范围特征包括:电话号码、邮箱和姓名;
根据预设的计算方式对所述业务参数进行计算,确定所述业务访问数据的所述参数行为特征,其中,所述预设的计算方式包括:统计、分组和内置字典,所述参数行为特征包括:所述业务参数的互联网协议地址的数量、所述业务参数被多个所述互联网协议地址提交的次数。
4.根据权利要求3所述的方法,其特征在于,对所述业务参数树状图中的目标分支中的所述多个维度特征进行赋值,得到目标业务参数矩阵模型,包括:
根据预设业务标签库中各业务的数值,对所述目标分支中的所述业务识别特征进行赋值,确定第一目标特征值,其中,所述第一目标特征值为所述业务识别特征的特征值;
根据所述业务参数在超文本传输协议中位置的坐标参数,对所述目标分支中的所述参数坐标特征进行赋值,确定第二目标特征值,其中,所述第二目标特征值为所述参数坐标特征的特征值;
根据所述业务参数的字符,对所述目标分支中的所述参数类型特征进行赋值,确定第三目标特征值,其中,所述第三目标特征值为所述参数类型特征的特征值;
根据密度聚类算法,对所述目标分支中的所述参数范围特征进行赋值,确定第四目标特征值,其中,所述第四目标特征值为所述参数范围特征的特征值;
根据所述目标分支中的业务访问数据量和访问源数量,对所述目标分支中的所述参数行为特征进行赋值,确定第五目标特征值,其中,所述第五目标特征值为所述参数行为特征的特征值;
根据所述第一目标特征值、所述第二目标特征值、所述第三目标特征值、所述第四目标特征值和所述第五目标特征值,确定所述目标业务参数矩阵模型。
5.根据权利要求4所述的方法,其特征在于,根据密度聚类算法,对所述目标分支中的参数范围特征进行赋值,确定第四目标特征值,包括:
步骤S1,将所述目标分支的多个所述业务参数转化为多个数值,并根据多个所述数值确定数值组,其中,所述数值的长度与所述业务参数的字符长度相同;
步骤S2,对所述数值组中的第一数值进行标签化处理,生成目标数值,其中,所述第一数值为没有标签的数值;
步骤S3,根据所述目标数值和预设目标半径确定目标范围,并确定第一数量,其中,所述第一数量为所述目标范围内所述数值组中所述数值的数量;
步骤S4,当所述第一数量大于或等于预设目标数量时,将所述目标范围内的所述数值进行聚类,生成第一聚类结果;
步骤S5,重复执行步骤S2至步骤S4,生成多个聚类结果,直至所述数值组中不存所述第一数值;
步骤S6:根据所述多个聚类结果,确定所述第四目标特征值。
6.根据权利要求4所述的方法,其特征在于,根据所述业务参数的字符,对所述目标分支中的参数类型特征进行处理,确定第三目标特征值,包括:
遍历所述业务参数的所有字符,对所述字符的类型进行判断;
若所述字符为整型,确定所述字符为第一数值;
若所述字符为浮点型,确定所述字符为第二数值;
若所述字符为字符型,确定所述字符为第三数值;
根据所述第一数值、所述第二数值以及所述第三数值确定所述第三目标特征值。
7.根据权利要求2所述的方法,其特征在于,根据所述业务参数矩阵模型确定所述业务参数树状图,包括:
将所述业务参数矩阵模型的所述业务识别特征确定为所述业务参数树状图的一级节点;
将与所述业务识别特征对应的所述业务参数确定为所述业务参数树状图的二级节点;
将所述业务参数矩阵模型的所述参数坐标特征、所述参数类型特征、所述参数范围特征和所述参数行为特征确定为所述业务参数树状图的三级节点,其中,所述一级节点与多个所述二级节点连接,所述二级节点与多个所述三级节点连接。
8.根据权利要求1所述的方法,其特征在于,所述异常访问包括以下至少之一:越权访问、暴力破解、违规充缴、跨站攻击。
9.一种访问数据的异常检测装置,其特征在于,包括:
第一确定模块,用于确定目标业务的业务访问数据对应的业务参数树状图,其中,所述业务参数树状图包括多个分支,每个分支中的节点包括所述业务访问数据的各业务参数或所述业务访问数据的多个维度特征;
赋值模块,用于对所述业务参数树状图中的目标分支中的所述多个维度特征进行赋值,得到目标业务参数矩阵模型,其中,所述目标分支为所述业务访问数据的缓存日志量为预设目标值的分支,所述目标业务参数矩阵模型包括与所述多个维度特征对应的多个目标特征值;
适配模块,用于提取当前时刻的所述业务访问数据的多个特征值,将所述多个特征值与所述多个目标特征值进行适配,生成适配结果;
第二确定模块,用于当所述适配结果与目标结果不一致时,确定所述业务访问数据存在异常访问。
10.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至8中任意一项所述的访问数据的异常检测方法。
11.一种电子设备,其特征在于,包括:存储器和处理器,所述处理器用于运行存储在所述存储器中的程序,其中,所述程序运行时执行权利要求1至8中任意一项所述的访问数据的异常检测方法。
CN202211349067.7A 2022-10-31 2022-10-31 访问数据的异常检测方法及装置 Pending CN115567316A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211349067.7A CN115567316A (zh) 2022-10-31 2022-10-31 访问数据的异常检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211349067.7A CN115567316A (zh) 2022-10-31 2022-10-31 访问数据的异常检测方法及装置

Publications (1)

Publication Number Publication Date
CN115567316A true CN115567316A (zh) 2023-01-03

Family

ID=84769027

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211349067.7A Pending CN115567316A (zh) 2022-10-31 2022-10-31 访问数据的异常检测方法及装置

Country Status (1)

Country Link
CN (1) CN115567316A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116628775A (zh) * 2023-07-20 2023-08-22 江苏华存电子科技有限公司 一种云端存储数据的异常访问识别方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116628775A (zh) * 2023-07-20 2023-08-22 江苏华存电子科技有限公司 一种云端存储数据的异常访问识别方法及系统
CN116628775B (zh) * 2023-07-20 2023-11-14 江苏华存电子科技有限公司 一种云端存储数据的异常访问识别方法及系统

Similar Documents

Publication Publication Date Title
CN105590055B (zh) 用于在网络交互系统中识别用户可信行为的方法及装置
CN108881294A (zh) 基于网络攻击行为的攻击源ip画像生成方法以及装置
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN107786545A (zh) 一种网络攻击行为检测方法及终端设备
TW201428528A (zh) 識別網站用戶的方法和裝置
CN110830445B (zh) 一种异常访问对象的识别方法及设备
CN108712453A (zh) 基于逻辑回归算法的注入攻击检测方法、装置和服务器
CN107888606B (zh) 一种域名信誉度评估方法及系统
CN108491720B (zh) 一种应用识别方法、系统以及相关设备
CN113098887A (zh) 一种基于网站联合特征的钓鱼网站检测方法
CN105389341A (zh) 一种客服电话重复来电工单的文本聚类与分析方法
CN113706100B (zh) 配电网物联终端设备实时探测识别方法与系统
CN113242236A (zh) 一种网络实体威胁图谱构建方法
CN116305168A (zh) 一种多维度信息安全风险评估方法、系统及存储介质
CN115567316A (zh) 访问数据的异常检测方法及装置
CN115514558A (zh) 一种入侵检测方法、装置、设备及介质
CN116015842A (zh) 一种基于用户访问行为的网络攻击检测方法
CN114915468A (zh) 基于知识图谱的网络犯罪智能分析检测方法
Li et al. A lightweight intrusion detection model based on feature selection and maximum entropy model
CN112765502B (zh) 恶意访问检测方法、装置、电子设备和存储介质
CN109889471B (zh) 结构化查询语句sql注入检测方法和系统
CN113542252A (zh) Web攻击的检测方法、检测模型和检测装置
CN111083705A (zh) 群发诈骗短信检测方法、装置、服务器及存储介质
CN116781330A (zh) 一种改进型贝叶斯理论的sql注入检测方法和电子设备
CN107332856B (zh) 地址信息的检测方法、装置、存储介质和电子装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination