CN115865475A - 一种web应用异常情况的确定方法、装置及存储介质 - Google Patents
一种web应用异常情况的确定方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115865475A CN115865475A CN202211511950.1A CN202211511950A CN115865475A CN 115865475 A CN115865475 A CN 115865475A CN 202211511950 A CN202211511950 A CN 202211511950A CN 115865475 A CN115865475 A CN 115865475A
- Authority
- CN
- China
- Prior art keywords
- user
- audited
- abnormal
- audit
- web application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种web应用异常情况的确定方法、装置及存储介质,包括:针对待审计web应用的每个待审计项目对应的审计要素条目以及http请求结构,构建http请求全要素结构;从目标web服务器中获取待审计web应用的应用日志;根据http请求全要素结构,采样正则匹配的方式从应用日志中提取内容特征数据,并根据提取出的内容特征数据确定每个用户的审查日志;针对每个用户,根据该用户的审查日志和预先定义好的审查规则,确定该用户是否为异常用户以及异常用户对应的异常操作项。这样,基于http请求全要素结构提取得到的审查日志,可以确定出异常用户和异常用户的异常操作项,从而实现web应用的精细审计。
Description
技术领域
本申请涉及信息安全技术领域,尤其是涉及一种web应用异常情况的确定方法、装置及存储介质。
背景技术
伴随着互联网技术的发展,大量基于web的应用应运而生,这些基于web的应用方便了用户的衣食住行,适用于企业用户的web的应用也提高了企业的运转效率,降低了运营成本。
但是在web应用发展创造巨大价值的同时,也带来了一些安全方面的问题,例如个人隐私的泄露、企业用户的敏感数据被窃取等,而一但被非授权人员窃取,有可能造成不可估量的损失,因此,需要及时发现web应用中的非法访问。
现有web应用异常情况的确定主要依赖httq请求中url及参数进行分类,但只能发现新增异常的url调用,而无法发现其他部分的异常调用。
发明内容
有鉴于此,本申请的目的在于提供一种web应用异常情况的确定方法、装置及存储介质,基于http请求全要素结构提取得到的审查日志,可以确定出异常用户和异常用户的异常操作项,从而实现web应用的精细审计。
本申请实施例提供了一种web应用异常情况的确定方法,所述确定方法包括:
获取预先确定好的待审计web应用的至少一个待审计项目;
针对每个待审计项目,定义该审计项目对应的审计要素条目,并根据定义的每个审计项目对应的审计要素条目以及http请求结构,构建http请求全要素结构;
从所述待审计web应用对应的目标web服务器中获取所述待审计web应用的应用日志;
根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志;
针对每个用户,根据该用户的审查日志和预先定义好的审查规则,确定该用户是否为异常用户以及所述异常用户对应的异常操作项。
可选的,所述根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志,包括:
根据所述http请求全要素结构中的审计要素条目,从所述应用日志中提取每个审计要素条目对应的内容特征数据;
根据用户数据,将同属于同一用户的内容特征数据整合在一起,得到该用户的审查日志。
可选的,所述http请求全要素结构中的审计要素条目包括:请求方法、url、请求头、请求体、响应头、响应体、状态码、客户端ip、服务端ip、上行特征值数量、上行特征值上下文、下行特征值数量、下行特征值上下文、上行附件名、下行附件名。
可选的,所述待审计项目包括:下行敏感信息查询操作、上行敏感信息录入操作、工具交互操作、下行数据查询操作、新增请求操作、失败请求操作。
可选的,所述异常用户包括认证用户和/或匿名用户;其中,所述认证用户为使用账号及密码访问所述待审计web应用的用户,所述匿名用户为使用客户端IP访问所述待审计web应用的用户。
可选的,所述待审计web应用的应用日志中包括至少一个用户在同一时间段内访问所述待审计web应用的操作记录。
可选的,在确定出异常用户后,所述确定方法还包括:关闭所述异常用户的操作权限,以禁止所述异常用户访问所述待审计web应用。
本申请实施例还提供了一种web应用异常情况的确定装置,所述确定装置包括:
第一获取模块,用于获取预先确定好的待审计web应用的至少一个待审计项目;
构建模块,用于针对每个待审计项目,定义该审计项目对应的审计要素条目,并根据定义的每个审计项目对应的审计要素条目以及http请求结构,构建http请求全要素结构;
第二获取模块,用于从所述待审计web应用对应的目标web服务器中获取所述待审计web应用的应用日志;
提取模块,用于根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志;
确定模块,用于针对每个用户,根据该用户的审查日志和预先定义好的审查规则,确定该用户是否为异常用户以及所述异常用户对应的异常操作项。
可选的,所述提取模块在用于根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志时,所述提取模块用于:
根据所述http请求全要素结构中的审计要素条目,从所述应用日志中提取每个审计要素条目对应的内容特征数据;
根据用户数据,将同属于同一用户的内容特征数据整合在一起,得到该用户的审查日志。
可选的,所述http请求全要素结构中的审计要素条目包括:请求方法、url、请求头、请求体、响应头、响应体、状态码、客户端ip、服务端ip、上行特征值数量、上行特征值上下文、下行特征值数量、下行特征值上下文、上行附件名、下行附件名。
可选的,所述待审计项目包括:下行敏感信息查询操作、上行敏感信息录入操作、工具交互操作、下行数据查询操作、新增请求操作、失败请求操作。
可选的,所述异常用户包括认证用户和/或匿名用户;其中,所述认证用户为使用账号及密码访问所述待审计web应用的用户,所述匿名用户为使用客户端IP访问所述待审计web应用的用户。
可选的,所述待审计web应用的应用日志中包括至少一个用户在同一时间段内访问所述待审计web应用的操作记录。
可选的,所述确定装置还包括关闭模块,所述关闭模块用于:关闭所述异常用户的操作权限,以禁止所述异常用户访问所述待审计web应用。
本申请实施例还提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如上述的确定方法的步骤。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上述的确定方法的步骤。
本申请实施例提供的一种web应用异常情况的确定方法、装置及存储介质,所述确定方法包括:获取预先确定好的待审计web应用的至少一个待审计项目;针对每个待审计项目,定义该审计项目对应的审计要素条目,并根据定义的每个审计项目对应的审计要素条目以及http请求结构,构建http请求全要素结构;从所述待审计web应用对应的目标web服务器中获取所述待审计web应用的应用日志;根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志;针对每个用户,根据该用户的审查日志和预先定义好的审查规则,确定该用户是否为异常用户以及所述异常用户对应的异常操作项。
这样,通过本申请提供的技术方案,基于构建的http请求全要素结构以及基于http请求全要素结构得到的审查日志,可以锁定异常用户和异常用户的异常操作项目,从而实现web应用的精细审计,进而保证web应用的安全性。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例所提供的一种web应用异常情况的确定方法的流程图;
图2为本申请提供的待审计项目的结构示意图;
图3为本申请实施例所提供的一种web应用异常情况的确定装置的结构示意图之一;
图4为本申请实施例所提供的一种web应用异常情况的确定装置的结构示意图之二;
图5为本申请实施例所提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的每个其他实施例,都属于本申请保护的范围。
伴随着互联网技术的发展,大量基于web的应用应运而生,这些基于web的应用方便了用户的衣食住行,适用于企业用户的web的应用也提高了企业的运转效率,降低了运营成本。
但是在web应用发展创造巨大价值的同时,也带来了一些安全方面的问题,例如个人隐私的泄露、企业用户的敏感数据被窃取等,而一但被非授权人员窃取,有可能造成不可估量的损失,因此,需要及时发现web应用中的非法访问。
现有web应用异常情况的确定主要依赖httq请求中url及参数进行分类,但只能发现新增异常的url调用,而无法发现其他部分的异常调用。
基于此,本申请实施例提供了一种web应用异常情况的确定方法、装置及存储介质,基于http请求全要素结构提取得到的审查日志,可以确定出异常用户和异常用户的异常操作项,从而实现web应用的精细审计。
请参阅图1,图1为本申请实施例所提供的一种web应用异常情况的确定方法的流程图。如图1中所示,本申请实施例提供的确定方法,包括:
S101、获取预先确定好的待审计web应用的至少一个待审计项目。
这里,首先确定需要进行审计的web应用,然后确定该待审计web应用的待审计项目,可确定出至少一个。其中,待审计项目是根据待审计web应用进行自主设定的,不同web应用可对应不同的待审计项目。
需要说明的是,之所以进行web应用审计是因为,web应用审计安全事件发现和溯源的重要手段,通过应用审计可以发现敏感数据的读写情况,也可以发现异常url调用,从而进一步发现非法的扫描攻击行为。
在本申请提供的一种实施方式中,所述待审计项目包括:下行敏感信息查询操作、上行敏感信息录入操作、工具交互操作、下行数据查询操作、新增请求操作、失败请求操作。
这里,预先确定好敏感信息所包括的信息内容或信息类型,例如将用户身份信息设定为敏感信息。下行敏感信息是指服务器发送到客户端的信息,上行敏感信息是指客户端发送至服务器的信息。
所述工具交互操作是指通过其他软件或应用访问所述待审计web应用的操作,例如,使用爬虫工具访问所述待审计web应用的操作称为工具交互操作。
下行数据是指服务器发送到客户端的数据,这里既包括敏感数据也包括非敏感数据。
所述新增请求具体可以为新增url请求。
S102、针对每个待审计项目,定义该审计项目对应的审计要素条目,并根据定义的每个审计项目对应的审计要素条目以及http请求结构,构建http请求全要素结构。
这里,定义审计要素条目是为了具体的确定出后续的操作异常项目。所述http请求结构是指现有技术中存在的http请求结构,所述http请求结构存在多个已确定的审计要素条目,所述http请求全要素结构为将每个审计项目对应的审计要素条目添加至所述http请求结构后得到的结构。
这里,所述http请求全要素结构中的审计要素条目包括:请求方法、url、请求头、请求体、响应头、响应体、状态码、客户端ip、服务端ip、上行特征值数量、上行特征值上下文、下行特征值数量、下行特征值上下文、上行附件名、下行附件名。其中,审计项目对应的审计要素条目中的内容是根据待审计敏感信息确定的,待审计敏感信息可以为手机号或身份证号等信息。其中,为了更好的对审计要素条目的内容进行审计,可对由敏感信息构成的内容进行正则表达式进行定义,示例的,确定出手机号正则表达式和身份证号正则表达式。
这里,所述上行特征值数量、上行特征值上下文、下行特征值数量、下行特征值上下文、上行附件名、下行附件名为根据审计项目确定出的审计要素条目。
示例的,请参阅表1,表1为本申请所提供的构建http请求全要素结构数据表。
表1:
S103、从所述待审计web应用对应的目标web服务器中获取所述待审计web应用的应用日志。
这里,所述待审计web应用的应用日志中包括至少一个用户在同一时间段内访问所述待审计web应用的操作记录。
其中,从所述待审计web应用对应的目标web服务器中获取所述待审计web应用的应用日志的时机可以为实时获取。
S104、根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志。
在本申请提供的一种实施方式中,所述根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志,包括:根据所述http请求全要素结构中的审计要素条目,从所述应用日志中提取每个审计要素条目对应的内容特征数据;根据用户数据,将同属于同一用户的内容特征数据整合在一起,得到该用户的审查日志。
这里,预先利用正则表达式对待提取的内容特征进行定义,例如手机号正则表达式,身份证号正则表达式。这样,在根据http请求全要素结构进行内容特征数据提取时,可采用正则匹配的方式进行特征数据提取,得到每个用户的内容特征数据,将每个用户的内容特征数据整合,确定出每个用户的审查日志。
示例的,请继续参阅表1,表1中的“备注或样例数据”为根据http请求全要素结构,采用正则匹配提取出的审查日志中的内容特征数据。
S105、针对每个用户,根据该用户的审查日志和预先定义好的审查规则,确定该用户是否为异常用户以及所述异常用户对应的异常操作项。
这里,审查规则中预先规定了确定异常用户的方式和异常操作项对应的参数。
在本申请提供的一种实施方式中,所述异常用户包括认证用户和/或匿名用户;其中,所述认证用户为使用账号及密码访问所述待审计web应用的用户,所述匿名用户为使用客户端IP访问所述待审计web应用的用户。
示例的,请参阅图2,图2为本申请提供的待审计项目的结构示意图,如图2所示,当所述异常用户为认证用户时,该异常用户对应的异常操作项可能包括以下至少一项:下行敏感信息查询操作、上行敏感信息录入操作、工具交互操作、下行数据查询操作、新增请求操作。
当所述异常用户为匿名用户时,该异常用户对应的异常操作项可能包括以下至少一项:下行敏感信息查询操作、下行数据查询操作、失败请求操作。
示例的,在根据审查日志确定用户是认证用户或匿名用户时,可通过以下方式进行确定:根据全要素的正则表达式,匹配登录api或鉴权api,例如全要素【url】中含有login字样,或【request header请求头】含有user_token字样的内容;或利用正则表达式匹配的内容解析认证成功的用户名,定义鉴权字段(token,sessionid);或利用正则表达式匹配【request header请求头】中的X-Forwarded-For或x_real_ip定义客户端IP信息。根据成功登录api定义或鉴权api的信息,全要素中【response body响应体】中code=‘200’定义成功的登录或成功鉴权的api,从而识别出认证用户。而不符合上述的审查规则的用户则为匿名用户。
示例的,当审查日志中的下行特征值数量超过预设数量时,则确定异常操作项是下行敏感信息查询操作,其中,预设数量是根据用户均值数量确定的。当审查日志中的上行特征值数量超过预设数量时,则确定异常操作项是上行敏感信息查询操作。当某用户一段时间内的审查日志中的下行特征值数量超过设定阈值数量时,则确定异常操作项是下行数据查询操作。当某用户的单位时间内调用httpapi的数量超高分阈值数量时,则确定异常操作项是工具交互操作。当某用户的审查日志中存在非预定义的api时,则确定异常操作项是新增请求操作。当匿名用户的审查日志的失败请求数量超过预设请求数量阈值时,则确定异常操作项为识别请求操作。
在本申请提供的另一种实施方式中,在确定出异常用户后,所述确定方法还包括:关闭所述异常用户的操作权限,以禁止所述异常用户访问所述待审计web应用。
这里,关闭所述异常用户的操作权限,以禁止所述异常用户访问所述待审计web应用,具体包括:禁用系统用户或禁止特定客户端IP访问所述待审计web应用。
这样,通过精准的确定出异常用户以及异常用户的异常操作项后,对异常用户的操作权限进行关闭,可实现非法访问的精准打击,从而保证了待审计web应用的安全性。
本申请实施例提供的一种web应用异常情况的确定方法,所述确定方法包括:获取预先确定好的待审计web应用的至少一个待审计项目;针对每个待审计项目,定义该审计项目对应的审计要素条目,并根据定义的每个审计项目对应的审计要素条目以及http请求结构,构建http请求全要素结构;从所述待审计web应用对应的目标web服务器中获取所述待审计web应用的应用日志;根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志;针对每个用户,根据该用户的审查日志和预先定义好的审查规则,确定该用户是否为异常用户以及所述异常用户对应的异常操作项。
这样,通过本申请提供的技术方案,基于构建的http请求全要素结构以及基于http请求全要素结构得到的审查日志,可以锁定异常用户和异常用户的异常操作项目,从而实现web应用的精细审计,进而保证web应用的安全性。
请参阅图3、图4,图3为本申请实施例所提供的一种web应用异常情况的确定装置的结构示意图之一,图4为本申请实施例所提供的一种web应用异常情况的确定装置的结构示意图之二。如图3中所示,所述确定装置300包括:
第一获取模块310,用于获取预先确定好的待审计web应用的至少一个待审计项目;
构建模块320,用于针对每个待审计项目,定义该审计项目对应的审计要素条目,并根据定义的每个审计项目对应的审计要素条目以及http请求结构,构建http请求全要素结构;
第二获取模块330,用于从所述待审计web应用对应的目标web服务器中获取所述待审计web应用的应用日志;
提取模块340,用于根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志;
确定模块350,用于针对每个用户,根据该用户的审查日志和预先定义好的审查规则,确定该用户是否为异常用户以及所述异常用户对应的异常操作项。
可选的,所述提取模块340在用于根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志时,所述提取模块240用于:
根据所述http请求全要素结构中的审计要素条目,从所述应用日志中提取每个审计要素条目对应的内容特征数据;
根据用户数据,将同属于同一用户的内容特征数据整合在一起,得到该用户的审查日志。
可选的,所述http请求全要素结构中的审计要素条目包括:请求方法、url、请求头、请求体、响应头、响应体、状态码、客户端ip、服务端ip、上行特征值数量、上行特征值上下文、下行特征值数量、下行特征值上下文、上行附件名、下行附件名。
可选的,所述待审计项目包括:下行敏感信息查询操作、上行敏感信息录入操作、工具交互操作、下行数据查询操作、新增请求操作、失败请求操作。
可选的,所述异常用户包括认证用户和/或匿名用户;其中,所述认证用户为使用账号及密码访问所述待审计web应用的用户,所述匿名用户为使用客户端IP访问所述待审计web应用的用户。
可选的,所述待审计web应用的应用日志中包括至少一个用户在同一时间段内访问所述待审计web应用的操作记录。
可选的,如图4所示,所述确定装置300还包括关闭模块360,所述关闭模块360用于:关闭所述异常用户的操作权限,以禁止所述异常用户访问所述待审计web应用。
请参阅图5,图5为本申请实施例所提供的一种电子设备的结构示意图。如图5中所示,所述电子设备500包括处理器510、存储器520和总线530。
所述存储器520存储有所述处理器510可执行的机器可读指令,当电子设备500运行时,所述处理器510与所述存储器520之间通过总线530通信,所述机器可读指令被所述处理器510执行时,可以执行如上述图1所示方法实施例中的确定方法的步骤,具体实现方式可参见方法实施例,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时可以执行如上述图1所示方法实施例中的确定方法的步骤,具体实现方式可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种web应用异常情况的确定方法,其特征在于,所述确定方法包括:
获取预先确定好的待审计web应用的至少一个待审计项目;
针对每个待审计项目,定义该审计项目对应的审计要素条目,并根据定义的每个审计项目对应的审计要素条目以及http请求结构,构建http请求全要素结构;
从所述待审计web应用对应的目标web服务器中获取所述待审计web应用的应用日志;
根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志;
针对每个用户,根据该用户的审查日志和预先定义好的审查规则,确定该用户是否为异常用户以及所述异常用户对应的异常操作项。
2.根据权利要求1所述的确定方法,其特征在于,所述根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志,包括:
根据所述http请求全要素结构中的审计要素条目,从所述应用日志中提取每个审计要素条目对应的内容特征数据;
根据用户数据,将同属于同一用户的内容特征数据整合在一起,得到该用户的审查日志。
3.根据权利要求1所述的确定方法,其特征在于,所述http请求全要素结构中的审计要素条目包括:请求方法、url、请求头、请求体、响应头、响应体、状态码、客户端ip、服务端ip、上行特征值数量、上行特征值上下文、下行特征值数量、下行特征值上下文、上行附件名、下行附件名。
4.根据权利要求1所述的确定方法,其特征在于,所述待审计项目包括:下行敏感信息查询操作、上行敏感信息录入操作、工具交互操作、下行数据查询操作、新增请求操作、失败请求操作。
5.根据权利要求1所述的确定方法,其特征在于,所述异常用户包括认证用户和/或匿名用户;其中,所述认证用户为使用账号及密码访问所述待审计web应用的用户,所述匿名用户为使用客户端IP访问所述待审计web应用的用户。
6.根据权利要求1所述的确定方法,其特征在于,所述待审计web应用的应用日志中包括至少一个用户在同一时间段内访问所述待审计web应用的操作记录。
7.根据权利要求1所述的确定方法,其特征在于,在确定出异常用户后,所述确定方法还包括:关闭所述异常用户的操作权限,以禁止所述异常用户访问所述待审计web应用。
8.一种web应用异常情况的确定装置,其特征在于,所述确定装置包括:
第一获取模块,用于获取预先确定好的待审计web应用的至少一个待审计项目;
构建模块,用于针对每个待审计项目,定义该审计项目对应的审计要素条目,并根据定义的每个审计项目对应的审计要素条目以及http请求结构,构建http请求全要素结构;
第二获取模块,用于从所述待审计web应用对应的目标web服务器中获取所述待审计web应用的应用日志;
提取模块,用于根据所述http请求全要素结构,采样正则匹配的方式从所述应用日志中提取内容特征数据,并根据提取出的内容特征数据中的用户数据确定每个用户的审查日志;
确定模块,用于针对每个用户,根据该用户的审查日志和预先定义好的审查规则,确定该用户是否为异常用户以及所述异常用户对应的异常操作项。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过所述总线进行通信,所述机器可读指令被所述处理器运行时执行如权利要求1至7任一所述的确定方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至7任一所述的确定方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211511950.1A CN115865475A (zh) | 2022-11-29 | 2022-11-29 | 一种web应用异常情况的确定方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211511950.1A CN115865475A (zh) | 2022-11-29 | 2022-11-29 | 一种web应用异常情况的确定方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115865475A true CN115865475A (zh) | 2023-03-28 |
Family
ID=85667820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211511950.1A Pending CN115865475A (zh) | 2022-11-29 | 2022-11-29 | 一种web应用异常情况的确定方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115865475A (zh) |
-
2022
- 2022-11-29 CN CN202211511950.1A patent/CN115865475A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109743315B (zh) | 针对网站的行为识别方法、装置、设备及可读存储介质 | |
| US9183383B1 (en) | System and method of limiting the operation of trusted applications in presence of suspicious programs | |
| EP2278523A2 (en) | Network access protection | |
| US20110314558A1 (en) | Method and apparatus for context-aware authentication | |
| US10523699B1 (en) | Privilege escalation vulnerability detection using message digest differentiation | |
| CN110268406B (zh) | 密码安全性 | |
| CN111274046A (zh) | 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质 | |
| CN108154029A (zh) | 入侵检测方法、电子设备和计算机存储介质 | |
| CN110912855A (zh) | 一种基于渗透性测试用例集的区块链架构安全评估方法及系统 | |
| CN113315637B (zh) | 安全认证方法、装置及存储介质 | |
| CN111898124B (zh) | 进程访问控制方法和装置、存储介质及电子设备 | |
| CN111131221A (zh) | 接口校验的装置、方法及存储介质 | |
| Vieira et al. | Towards a security benchmark for database management systems | |
| Kaur et al. | Browser fingerprinting as user tracking technology | |
| US20200084632A1 (en) | System and method for determining dangerousness of devices for a banking service | |
| CN114297708A (zh) | 访问控制方法、装置、设备和存储介质 | |
| CN111611592A (zh) | 一种大数据平台安全评估方法及装置 | |
| CN111241546B (zh) | 一种恶意软件行为检测方法和装置 | |
| Andriamilanto et al. | A large-scale empirical analysis of browser fingerprints properties for web authentication | |
| RU2724713C1 (ru) | Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя | |
| CN107196925B (zh) | 访问时间自调节的隐私数据保护方法 | |
| CN110958236A (zh) | 基于风险因子洞察的运维审计系统动态授权方法 | |
| CN115865475A (zh) | 一种web应用异常情况的确定方法、装置及存储介质 | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| CN113496024A (zh) | 一种Web页面的登录方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |