CN117156012B - 异常请求数据处理方法、装置、设备和计算机可读介质 - Google Patents
异常请求数据处理方法、装置、设备和计算机可读介质 Download PDFInfo
- Publication number
- CN117156012B CN117156012B CN202311395068.XA CN202311395068A CN117156012B CN 117156012 B CN117156012 B CN 117156012B CN 202311395068 A CN202311395068 A CN 202311395068A CN 117156012 B CN117156012 B CN 117156012B
- Authority
- CN
- China
- Prior art keywords
- information
- data
- abnormal
- request
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 16
- 230000002159 abnormal effect Effects 0.000 claims abstract description 217
- 230000004044 response Effects 0.000 claims abstract description 57
- 238000012545 processing Methods 0.000 claims abstract description 46
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000012795 verification Methods 0.000 claims abstract description 14
- 238000003066 decision tree Methods 0.000 claims abstract description 13
- 239000011159 matrix material Substances 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000001914 filtration Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000000586 desensitisation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/0636—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例公开了异常请求数据处理方法、装置、设备和计算机可读介质。该方法的一具体实施方式包括:响应于接收到网络服务请求数据,对网络服务请求数据进行解析处理,得到请求字段信息集;对各个请求字段信息进行校验处理,得到请求数据状态信息集;响应于确定请求数据状态信息集满足预设数据状态条件,将网络服务请求数据确定为异常请求数据;基于告警项对比信息和请求数据状态信息集,生成异常请求状态分值;将异常请求状态分值输入告警信息决策树,以生成告警信息;响应于确定告警信息满足第一预设告警条件,对异常请求数据进行更新处理,得到目标请求数据;将目标请求数据发送至目标终端以供响应。该实施方式可以减少存储资源的占用。
Description
技术领域
本公开的实施例涉及计算机技术领域,具体涉及异常请求数据处理方法、装置、设备和计算机可读介质。
背景技术
异常请求数据处理方法,是用于对异常网络服务请求进行数据处理以确保网络访问安全的一项技术。目前,在进行异常请求数据处理时,通常采用的方式为:首先,将安全规则通过硬编码的方式写入网络应用对应的过滤器中。然后,将异常请求直接发送至对应的网络应用,由与网络应用对应的过滤器对异常请求数据进行过滤处理,或者由网络应用防火墙对异常请求进行直接过滤处理。
然而,发明人发现,当采用上述方式进行异常请求数据处理时,经常会存在如下技术问题:
第一,若将各个请求发送至对应的网络应用后再进行异常过滤,则需要提前将安全规则分别写入每个网络应用对应的过滤器,产生大量重复代码,从而,导致占用较多存储资源;
第二,由于后台本身不能在前台进行编辑,使得硬编码方式不便于及时将安全规则写入每个过滤器,从而,导致安全规则配置耗时过长;
第三,由于网络应用防火墙在对异常请求数据进行处理时,容易忽略不同异常数据对网络访问安全的不同程度的影响,对异常请求数据造成风险误报(例如,将低风险异常请求数据误判为中风险),使得需要消耗较多算力对误报的异常请求数据进行处理,从而,导致额外占用较多计算资源。
该背景技术部分中所公开的以上信息仅用于增强对本发明构思的背景的理解,并因此,其可包含并不形成本国的本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的内容部分用于以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
本公开的一些实施例提出了异常请求数据处理方法、装置、设备和计算机可读介质,来解决以上背景技术部分提到的技术问题中的一项或多项。
第一方面,本公开的一些实施例提供了一种异常请求数据处理方法,该方法包括:响应于接收到网络服务请求数据,对上述网络服务请求数据进行解析处理,得到请求字段信息集;对上述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集;响应于确定上述请求数据状态信息集满足预设数据状态条件,将上述网络服务请求数据确定为异常请求数据;基于预设的告警项对比信息和上述请求数据状态信息集,生成异常请求状态分值;将上述异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息;响应于确定上述告警信息满足第一预设告警条件,对上述异常请求数据进行更新处理,得到目标请求数据;将上述目标请求数据发送至目标终端以供响应。
第二方面,本公开的一些实施例提供了一种异常请求数据处理装置,装置包括:解析处理单元,被配置成响应于接收到网络服务请求数据,对上述网络服务请求数据进行解析处理,得到请求字段信息集;校验处理单元,被配置成对上述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集;确定单元,被配置成响应于确定上述请求数据状态信息集满足预设数据状态条件,将上述网络服务请求数据确定为异常请求数据;生成单元,被配置成基于预设的告警项对比信息和上述请求数据状态信息集,生成异常请求状态分值;输入单元,被配置成将上述异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息;更新处理单元,被配置成响应于确定上述告警信息满足第一预设告警条件,对上述异常请求数据进行更新处理,得到目标请求数据;发送单元,被配置成将上述目标请求数据发送至目标终端以供响应。
第三方面,本公开的一些实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述第一方面任一实现方式所描述的方法。
第四方面,本公开的一些实施例提供了一种计算机可读介质,其上存储有计算机程序,其中,计算机程序被处理器执行时实现上述第一方面任一实现方式所描述的方法。
本公开的上述各个实施例具有如下有益效果:通过本公开的一些实施例的异常请求数据处理方法,可以减少存储资源的占用。具体来说,造成占用较多存储资源的原因在于:若将各个请求发送至对应的网络应用后再进行异常过滤,则需要提前将安全规则分别写入每个网络应用对应的过滤器,产生大量重复代码,从而,导致占用较多存储资源。基于此,本公开的一些实施例的异常请求数据处理方法,首先,响应于接收到网络服务请求数据,对上述网络服务请求数据进行解析处理,得到请求字段信息集。由此,可以得到上述网络请求数据中可能存在网络风险的请求字段。其次,对上述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集。由此,可以确定网络请求所对应的各种网络风险。然后,响应于确定上述请求数据状态信息集满足预设数据状态条件,将上述网络服务请求数据确定为异常请求数据。由此,当确定网络请求存在对应的网络风险时,将存在网络风险的网络请求确定为异常网络请求。之后,基于预设的告警项对比信息和上述请求数据状态信息集,生成异常请求状态分值。由此,可以确定异常网络请求对应的风险程度。接着,将上述异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息。由此,可以根据风险程度,确定异常网络请求对应的风险级别。再接着,响应于确定上述告警信息满足第一预设告警条件,对上述异常请求数据进行更新处理,得到目标请求数据。由此,可以根据风险级别,对异常网络请求进行过滤更新,得到风险程度较低的请求数据。最后,将上述目标请求数据发送至目标终端以供响应。因此,本公开的一些实施例的异常请求数据处理方法,可以在将各个网络请求发送至对应的网络应用之前,通过同一过滤机制,对异常请求进行过滤更新以得到风险较低的请求数据,并将风险较低的请求数据发送至对应的网络应用进行响应。由此,无需提前将安全规则分别写入每个网络应用对应的过滤器,造成产生大量重复代码。从而,可以减少存储资源的占用。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,元件和元素不一定按照比例绘制。
图1是根据本公开的异常请求数据处理方法的一些实施例的流程图;
图2是根据本公开的异常请求数据处理装置的一些实施例的结构示意图;
图3是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例。相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面将参考附图并结合实施例来详细说明本公开。
图1示出了根据本公开的异常请求数据处理方法的一些实施例的流程100。该异常请求数据处理方法,包括以下步骤:
步骤101,响应于接收到网络服务请求数据,对网络服务请求数据进行解析处理,得到请求字段信息集。
在一些实施例中,异常请求数据处理方法的执行主体(例如计算设备)可以响应于接收到网络服务请求数据,对上述网络服务请求数据进行解析处理,得到请求字段信息集。其中,上述网络服务请求数据可以是客户端发送的、网络服务请求中的数据。例如,上述网络服务请求数据可以包括但不限于以下至少一项:请求方式、请求目标地址、请求源地址。上述请求方式可以是但不限于以下中的一种:get请求方式和post请求方式。上述请求目标地址可以是接收并响应网络服务请求的URL(Uniform Resource Locator,统一资源定位器)地址。上述请求源地址可以是发起网络服务请求的IP(Internet Protocol,网际协议)地址。上述请求字段信息集中的请求字段信息可以包括字段标识和字段属性值。上述字段标识可以是字段的唯一标识。字段可以是但不限于以下中的一项:请求目标地址、请求源地址、访问来源信息、服务标识。上述访问来源信息可以是发起请求的URL地址。上述服务标识可以是微服务的唯一标识。可以通过预设的报文解析方法,对上述网络服务请求数据进行解析处理,得到请求字段信息集。例如,上述报文解析方法可以是HTTP协议报文解析方法。
步骤102,对请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集。
在一些实施例中,上述执行主体可以通过各种方式,对上述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集。其中,上述请求数据状态信息集中的请求数据状态信息与异常数据告警项一一对应。上述请求数据状态信息集中的请求数据状态信息可以表征请求数据是否存在与对应的异常数据告警项相关的网络风险。上述异常数据告警项可以表征请求数据存在的网络风险。例如,上述异常数据告警项可以包括但不限于以下中一项:请求体是否包含敏感数据、请求体是否包含敏感字符、访问来源信息是否指向本网站、请求源地址是否在预先设置的地址范围内。上述敏感数据可以包括但不限于以下至少一项:账号、密码。上述敏感字符可以包括但不限于以下至少一项:大于号、逗号。
在一些实施例的一些可选的实现方式中,上述执行主体可以通过以下步骤,对上述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集:
第一步,对于预设的数据告警项信息集中的每个数据告警项信息,执行以下步骤:
第一子步骤,从上述请求字段信息集中选出与上述数据告警项信息相匹配的请求字段信息作为目标请求字段信息,得到至少一个目标请求字段信息。其中,上述数据告警项信息集中的数据告警项信息可以包括数据告警项标识和关联字段标识组。上述数据告警项标识可以是异常数据告警项的唯一标识。上述关联字段标识组中的关联字段标识可以是与对应的异常数据告警项存在关联关系的字段的标识。例如,当异常数据告警项为“请求源地址是否在预先设置的地址范围内”时,与上述异常数据告警项存在关联关系的字段为表征请求源地址的字段。与上述数据告警项信息相匹配可以是请求字段信息对应的字段标识与上述数据告警项信息对应的任意关联字段标识相同。
第二子步骤,对上述至少一个目标请求字段信息中的各个目标请求字段信息进行校验处理,得到字段状态信息。其中,上述字段状态信息可以表征对应的各个字段的字段属性值是否存在网络风险。上述字段状态信息可以包括但不限于以下中的一项:字段状态标识、异常字符数据集。上述字段状态标识可以是字段状态的唯一标识。上述字段状态可以是以下中的一项:正常状态和异常状态。上述正常状态可以表征对应的各个字段的字段属性值不存在网络风险。上述异常状态可以表征对应的各个字段的字段属性值存在网络风险。上述异常字符数据集中的异常字符数据可以是存在网络风险的字段属性值中的字符或字符串。可以根据上述数据告警项信息,对上述至少一个目标请求字段信息中的各个目标请求字段信息进行校验处理,得到字段状态信息。
作为示例,当数据告警项信息表征“请求源地址是否在预先设置的地址范围内”时,对表征请求源地址的目标请求字段信息与预设地址信息组进行匹配校验处理。其中,上述预设地址信息组中的预设地址信息可以是预先设置的请求源地址的信息。若目标请求字段信息与任意预设地址信息相同,则将表征字段状态为正常状态的字段状态标识确定为字段状态信息。若目标请求字段信息与任意预设地址信息不相同,则将目标请求字段信息对应的字符串确定为异常字符数据集中的异常字符数据,以及将上述异常字符数据集和表征字段状态为异常状态的字段状态标识确定为字段状态信息。
第三子步骤,响应于确定上述字段状态信息满足预设状态条件,将上述数据告警项信息和预设状态正常标识确定为请求数据状态信息。上述预设状态条件可以是字段状态信息对应的字段状态标识表征字段状态为正常状态。上述预设状态正常标识可以表征请求数据不存在与对应的异常数据告警项相关的网络风险。
可选的,上述执行主体还可以响应于确定上述字段状态信息不满足上述预设状态条件,将上述数据告警项信息、上述字段状态信息和预设状态异常标识确定为请求数据状态信息。其中,上述预设状态异常标识可以表征请求数据存在与对应的异常数据告警项相关的网络风险。
步骤103,响应于确定请求数据状态信息集满足预设数据状态条件,将网络服务请求数据确定为异常请求数据。
在一些实施例中,上述执行主体可以响应于确定上述请求数据状态信息集满足预设数据状态条件,将上述网络服务请求数据确定为异常请求数据。其中,上述预设数据状态条件可以是请求数据状态信息集中、存在至少一个请求数据状态信息包括预设状态异常标识。上述异常请求数据可以是存在网络风险的网络服务请求数据。
步骤104,基于预设的告警项对比信息和请求数据状态信息集,生成异常请求状态分值。
在一些实施例中,上述执行主体可以通过各种方式,基于预设的告警项对比信息和上述请求数据状态信息集,生成异常请求状态分值。其中,上述告警项对比信息可以是各个异常数据告警项在用于识别异常请求时的、不同重要程度的信息。
在一些实施例的一些可选的实现方式中,上述告警项对比信息可以包括告警项标识组和重要度对比信息组。其中,每个告警项标识与异常数据告警项对应。上述告警项标识组中的告警项标识可以是异常数据告警项的唯一标识。上述重要度对比信息组中的重要度对比信息是每两个异常数据告警项对应的重要度对比信息。上述重要度对比信息组中的重要度对比信息可以包括第一告警项标识、第二告警项标识和重要度对比值。上述第一告警项标识可以表征第一告警项。上述第二告警项标识可以表征第二告警项。第一告警项和第二告警项可以是进行重要度对比的任意两个异常数据告警项。上述重要度可以是异常数据告警项在识别异常请求时所占的权重。上述重要度对比值可以是对应的两个异常数据告警项之间权重的比值。上述请求数据状态信息集中的每个请求数据状态信息可以包括异常字符数据集。上述执行主体可以通过以下步骤,基于预设的告警项对比信息和上述请求数据状态信息集,生成异常请求状态分值:
第一步,基于上述告警项对比信息包括的重要度对比信息组,构建重要度对比矩阵。其中,上述重要度对比矩阵可以是以异常数据告警项为行维度和列维度、以每两个异常数据告警项之间的重要度对比值为元素构建的矩阵。首先,将重要度对比信息组对应的各个第一告警项确定为与矩阵行维度对应的异常数据告警项组。然后,将重要度对比信息组对应的各个第二告警项确定为与矩阵列维度对应的异常数据告警项组。之后,根据与矩阵行维度对应的异常数据告警项组、和与矩阵列维度对应的异常数据告警项组,构建初始矩阵。其中,初始矩阵可以是元素值为0的矩阵。最后,根据上述重要度对比信息组,对初始矩阵中的各个元素进行更新,得到重要度对比矩阵。对于上述重要度对比信息组中的每个重要度对比信息,将初始矩阵中、与上述重要度对比信息对应的第一告警标识相匹配的行确定为更新行,将初始矩阵中、与上述重要度对比信息中的第二告警标识确定为更新列,以及将上述重要度对比信息中的重要度对比值确定为与上述更新行和更新列对应的元素值,以更新初始矩阵中的元素值。其中,与上述重要度对比信息对应的第一告警标识相匹配可以是行对应的异常数据告警项与上述重要度对比信息中的第一告警标识对应的异常数据告警项相同。与上述重要度对比信息对应的第二告警标识相匹配可以是列对应的异常数据告警项与上述重要度对比信息中的第二告警标识对应的异常数据告警项相同。
第二步,对上述重要度对比矩阵进行归一化处理,得到归一化重要度对比矩阵。其中,上述归一化重要度对比矩阵可以是每个列中的各个元素的和均为1的矩阵。首先,对于上述重要度对比矩阵中的每个元素值,将上述元素值与目标列元素和的比值确定为归一化元素值,以及将上述元素值更新为归一化元素值。其中,上述目标列元素和可以是元素值所在列中的各个元素值的和。然后,响应于确定上述重要度对比矩阵中不存在未更新的元素值,将更新完成的重要度对比矩阵确定为归一化重要度对比矩阵。
第三步,基于上述归一化重要度对比矩阵,确定上述告警项对比信息包括的、告警项标识组中的每个告警项标识对应的告警项权重信息,得到告警项权重信息组。其中,上述告警项权重信息组中的告警项权重信息可以是对应的异常数据告警项所占权重的信息。上述告警项权重信息组对应的各个权重的和可以为1。首先,将上述归一化重要度对比矩阵的列数确定为告警项数目。然后,对于告警项标识组中的每个告警项标识,将和上述告警项标识相匹配的、各个元素的加和值与上述异常数据告警项数目的比值确定为告警项权重值,以及将上述告警项标识和上述告警项权重值确定为告警项权重信息。其中,和上述告警项标识相匹配可以是元素对应的行维度上的异常数据告警项与上述告警项标识对应的异常数据告警项相同。
第四步,对于上述请求数据状态信息集中的每个请求数据状态信息,执行以下步骤:
第一子步骤,从上述告警项权重信息组中选出与上述请求数据状态信息相匹配的告警项权重信息,作为数据告警项权重信息。其中,与上述请求数据状态信息相匹配可以是告警项权重信息对应的告警项标识和上述请求数据状态信息对应的数据告警项标识相同。
第二子步骤,响应于确定上述请求数据状态信息包括的异常字符数据集为空,从预设的异常告警分值信息集中选出与上述数据告警项权重信息相匹配的异常告警分值信息。其中,上述异常告警分值信息集中的异常告警分值信息可以包括数据告警项标识、异常字符数据和异常数据分值。其中,异常数据分值可以表征异常字符数据的网络风险程度。与上述数据告警项权重信息相匹配可以是异常告警分值信息对应的数据告警项标识与上述数据告警项权重信息对应的告警项标识相同。
第三子步骤,基于上述数据告警项权重信息和所选出的异常告警分值信息,生成数据告警项分值。其中,上述数据告警项分值可以表征上述异常请求引发的、与对应的异常数据告警项相关的网络风险的风险程度。可以将上述数据告警项权重信息对应的、告警项权重值和所选出的异常告警分值信息对应的、异常数据分值的乘积确定为数据告警项分值。
第五步,将所得到的各个数据告警项分值的和确定为异常请求状态分值。
可选的,上述执行主体还可以执行以下步骤:
第一步,响应于确定上述请求数据状态信息包括的异常字符数据集不为空,对于上述异常字符数据集中的每个异常字符数据,从预设的异常字符数据分值信息集中,选出与上述异常字符数据相匹配的异常字符数据分值信息作为目标异常字符数据分值信息。其中,上述异常字符数据分值信息集中的每个异常字符数据分值信息可以包括异常字符数据和异常字符数据分值。上述异常字符数据分值可以是预先设置的异常字符数据对应的分值。与上述异常字符数据相匹配可以是异常字符数据分值信息对应的异常字符数据与上述异常字符数据相同。
第二步,基于所选出的各个目标异常字符数据分值信息和上述数据告警项权重信息,生成数据告警项分值。首先,将各个目标异常字符数据分值信息对应的各个异常字符数据分值的和确定为异常字符数据总分值。然后,将上述异常字符数据总分值与上述数据告警项权重信息对应的告警项权重值的乘积确定为数据告警项分值。
步骤105,将异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息。
在一些实施例中,上述执行主体可以将上述异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息。其中,上述告警信息决策树可以是用于根据异常请求状态分值输出告警信息的决策树。上述告警信息可以表征网络风险的风险级别。风险级别可以包括但不限于以下中的一项:高级、中级、低级。
上述告警信息生成步骤及其相关内容,作为本公开的实施例的一个发明点,解决了背景技术提及的技术问题三“占用较多计算资源”。导致占用较多计算资源的原因往往如下:由于网络应用防火墙在对异常请求数据进行处理时,容易忽略不同异常数据对网络访问安全的不同程度的影响,对异常请求数据造成风险误报(例如,将低风险异常请求数据误判为中风险),使得需要消耗较多算力对误报的异常请求数据进行处理。如果解决了上述问题,就能达到减少资源占用的效果。为了达到这一效果,首先,根据网络请求中的各个字段确定告警项、风险数据。然后,针对各个告警项和风险数据,确定网络请求对应的综合的风险程度。最后,根据网络请求综合的风险程度,确定较为准确的风险级别。从而,可以减少风险误报。又因为,较为准确的风险级别,可以使得后续无需消耗更多算力对误报的异常请求数据进行处理。从而,可以减少资源的占用。
步骤106,响应于确定告警信息满足第一预设告警条件,对异常请求数据进行更新处理,得到目标请求数据。
在一些实施例中,上述执行主体可以通过各种方式,响应于确定上述告警信息满足第一预设告警条件,对上述异常请求数据进行更新处理,得到目标请求数据。其中,上述第一预设告警条件可以是告警信息表征的风险级别为中级。上述目标请求数据可以是网络安全风险较低的网络请求数据。
在一些实施例的一些可选的实现方式中,上述执行主体可以通过以下步骤,对上述异常请求数据进行更新处理,得到目标请求数据:
第一步,从预先生成的请求数据编辑操作信息集中、选出与上述异常请求数据相匹配的请求数据编辑操作信息,作为目标请求数据编辑操作信息。其中,每个请求数据编辑操作信息可以包括编辑操作标识序列。上述编辑操作标识序列可以是对应同一告警信息的各个编辑操作标识的有序集合。编辑操作标识可以是编辑操作的唯一标识。编辑操作可以包括但不限于以下至少一项:数据脱敏、删除敏感字符。每个请求数据编辑操作信息还可以包括微服务标识和数据告警信息。上述微服务标识可以是微服务的标识。上述数据告警信息可以表征风险等级。与上述异常请求数据相匹配可以是:请求数据编辑操作信息对应的微服务标识与上述异常请求数据对应的服务标识相同、且请求数据编辑操作信息对应的数据告警信息与上述异常请求数据对应的告警信息相同。
第二步,对预设操作计数器进行初始化,得到操作计数值。其中,上述预设操作计数器可以是预先设置的、用于记录编辑操作数目的计数器。上述操作计数值可以是上述预设操作计数器的值。可以将上述操作计数值初始化为1。
第三步,基于操作计数值和异常请求数据,执行以下目标请求数据生成步骤:
第一子步骤,将上述目标请求数据编辑操作信息包括的编辑操作标识序列中、对应的序号与上述操作计数值相同的编辑操作标识确定为目标编辑操作标识。
第二子步骤,从预设的操作组件库中选出与上述目标编辑操作标识相匹配的操作组件,作为目标编辑操作组件。其中,上述操作组件库中的操作组件可以是用于执行编辑操作的组件。每个操作组件存在对应的编辑操作标识。与上述目标编辑操作标识相匹配可以是操作组件对应的编辑操作标识与上述目标编辑操作标识相同。
第三子步骤,调用上述目标编辑操作组件以对上述异常请求数据执行编辑操作,得到编辑后异常请求数据。其中,上述编辑后异常请求数据可以是对上述异常请求数据进行编辑操作后得到的数据。
第四子步骤,响应于确定操作计数值满足预设计数条件,将编辑后异常请求数据确定为目标请求数据。其中,上述预设计数条件可以是操作计数值与对应的编辑操作标识序列的长度值相等。
可选的,上述执行主体还可以响应于确定操作计数值不满足上述预设计数条件,对上述操作计数值进行更新处理,得到更新操作计数值,以及将上述更新操作计数值作为操作计数值,将上述编辑后异常请求数据作为异常请求数据,再次执行上述目标请求数据生成步骤。其中,可以将上述操作计数值与1的和确定为更新操作计数值。
可选的,上述请求数据编辑操作信息集中的请求数据编辑操作信息可以是通过以下步骤生成的:
第一步,响应于接收到告警解除操作配置请求,获取数据告警信息集、微服务标识集和编辑操作标识集。其中,上述告警解除操作配置请求可以是对解除告警风险的各个编辑操作进行配置的网络请求。上述数据告警信息集可以是各个数据告警信息的集合。上述微服务标识集可以是各个微服务标识的集合。上述编辑操作标识集可以是各个编辑操作标识的集合。可以从数据库中获取数据告警信息集、微服务标识集和编辑操作标识集。
第二步,将上述数据告警信息集显示在预设的告警项面板上,以及将上述微服务标识集显示在预设的微服务面板上。其中,上述告警项面板可以在预设的告警数据操作配置界面上。上述告警项面板可以是用于显示每个数据告警信息以供用户选择的面板控件。上述告警数据操作配置界面还可以包括上述微服务面板、数据操作项面板和配置结果面板。上述配置结果面板可以包括配置确认控件。上述微服务面板可以是用于显示每个微服务标识以供用户选择的面板控件。上述数据操作项面板可以是用于显示与所选择的数据告警信息相关联的、各个编辑操作标识的面板控件。上述配置结果面板可以是对用户所选中的各个编辑操作标识进行依次显示的面板控件。上述配置确认控件可以是用于对上述配置结果面板所显示的编辑操作标识序列进行用户确认的按钮控件。
第三步,响应于检测到针对上述数据告警信息集中的任意数据告警信息的选择操作,从上述编辑操作标识集中选出与所选择的任意数据告警信息相匹配的编辑操作标识,得到编辑操作标识组,以及将上述编辑操作标识组显示在上述数据操作项面板上。首先,从预设的告警项编辑操作信息集中选出与所选择的任意数据告警信息相匹配的告警项编辑操作信息,作为目标告警项编辑操作信息。其中,上述告警项编辑操作信息集中的告警项编辑操作信息可以包括数据告警信息和告警解除编辑操作标识组。告警解除编辑操作标识组中的告警解除编辑操作标识可以是用于解除告警风险的编辑操作标识。与所选择的任意数据告警信息相匹配可以是:告警项编辑操作信息对应的数据告警信息与所选择的任意数据告警信息相同。然后,从上述编辑操作标识集中选出与目标告警项编辑操作信息相匹配的编辑操作标识,得到编辑操作标识组,以及将上述编辑操作标识组显示在上述数据操作项面板上。与目标告警项编辑操作信息相匹配可以是编辑操作标识与目标告警项编辑操作信息对应的任意告警解除编辑操作标识相同。
第四步,响应于检测到针对上述编辑操作标识组中的各个编辑操作标识的选择操作,基于所选择的编辑操作标识对应的选择顺序,对所选择的各个编辑操作标识进行排序,得到编辑操作标识序列,以及将上述编辑操作标识序列显示在上述配置结果面板上。其中,上述编辑操作标识序列可以是按照时间先后顺序,对各个编辑操作标识进行排列的序列。
第五步,响应于检测到针对上述微服务标识集中的任意微服务标识的选择操作,将所选择的任意微服务标识确定为目标配置微服务标识。
第六步,响应于检测到针对上述配置确认控件的点击操作,将上述目标配置微服务标识、所选择的数据告警信息和上述编辑操作标识序列确定为请求数据编辑操作信息。
第七步,将上述请求数据编辑操作信息存储至数据库。
可选的,上述执行主体还可以响应于确定任意微服务标识未选中,将上述目标配置微服务标识和所选择的数据告警信息确定为请求数据编辑操作信息。需要说明的是,当任意微服务标识未选中时,请求数据编辑操作信息可以用于各个指向任意未绑定微服务的请求。上述未绑定微服务可以是未绑定数据告警信息和编辑操作标识序列的微服务。
上述请求数据编辑操作信息生成步骤及其相关内容,作为本公开的实施例的一个发明点,解决了背景技术提及的技术问题二“安全规则配置耗时过长”。导致安全规则配置耗时过长的原因往往如下:由于后台本身不能在前台进行编辑,使得硬编码方式不便于将安全规则写入每个过滤器。如果解决了上述问题,就能达到缩短安全规则配置耗时的效果。为了达到这一效果,首先,通过告警数据操作配置界面,显示待配置的数据告警信息、微服务标识。其次,根据用户所选中的数据告警信息,显示相关的、待配置的编辑操作标识序列。最后,将所选中的数据告警信息、编辑操作序列和用户选中的微服务进行确认绑定。由此,可以用于后续针对对应的微服务进行过滤更新。因此,通过可视化界面对安全规则进行配置,可以缩短安全规则配置耗时。
步骤107,将目标请求数据发送至目标终端以供响应。
在一些实施例中,上述执行主体可以将上述目标请求数据发送至目标终端以供响应。其中,上述目标终端可以是上述目标请求数据包括的请求目标地址对应的终端。上述目标终端接收到上述目标请求数据,对上述目标请求数据对应的请求进行响应。
可选的,上述执行主体还可以响应于确定上述告警信息满足第二预设告警条件,调用预设地址访问受限组件,以针对上述异常请求数据对应的请求源地址执行访问限制操作。其中,上述第二预设告警条件可以是上述告警信息表征高级别的网络风险。上述预设地址访问受限组件可以是用于对IP地址进行访问限制的组件。
可选的,上述执行主体还可以将上述告警信息发送至监控终端进行告警。其中,上述监控终端可以是对接收请求的目标终端进行网络安全监控的终端。
本公开的上述各个实施例具有如下有益效果:通过本公开的一些实施例的异常请求数据处理方法,可以减少存储资源的占用。具体来说,造成占用较多存储资源的原因在于:若将各个请求发送至对应的网络应用后再进行异常过滤,则需要提前将安全规则分别写入每个网络应用对应的过滤器,产生大量重复代码,从而,导致占用较多存储资源。基于此,本公开的一些实施例的异常请求数据处理方法,首先,响应于接收到网络服务请求数据,对上述网络服务请求数据进行解析处理,得到请求字段信息集。由此,可以得到上述网络请求数据中可能存在网络风险的请求字段。其次,对上述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集。由此,可以确定网络请求所对应的各种网络风险。然后,响应于确定上述请求数据状态信息集满足预设数据状态条件,将上述网络服务请求数据确定为异常请求数据。由此,当确定网络请求存在对应的网络风险时,将存在网络风险的网络请求确定为异常网络请求。之后,基于预设的告警项对比信息和上述请求数据状态信息集,生成异常请求状态分值。由此,可以确定异常网络请求对应的风险程度。接着,将上述异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息。由此,可以根据风险程度,确定异常网络请求对应的风险级别。再接着,响应于确定上述告警信息满足第一预设告警条件,对上述异常请求数据进行更新处理,得到目标请求数据。由此,可以根据风险级别,对异常网络请求进行过滤更新,得到风险程度较低的请求数据。最后,将上述目标请求数据发送至目标终端以供响应。因此,本公开的一些实施例的异常请求数据处理方法,可以在将各个网络请求发送至对应的网络应用之前,通过同一过滤机制,对异常请求进行过滤更新以得到风险较低的请求数据,并将风险较低的请求数据发送至对应的网络应用进行响应。由此,无需提前将安全规则分别写入每个网络应用对应的过滤器,造成产生大量重复代码。从而,可以减少存储资源的占用。
进一步参考图2,作为对上述各图所示方法的实现,本公开提供了一种异常请求数据处理装置的一些实施例,这些装置实施例与图1所示的那些方法实施例相对应,该异常请求数据处理装置200具体可以应用于各种电子设备中。
如图2所示,一些实施例的异常请求数据处理装置200包括:解析处理单元201、校验处理单元202、确定单元203、生成单元204、输入单元205、更新处理单元206和发送单元207。其中,解析处理单元201,被配置成响应于接收到网络服务请求数据,对上述网络服务请求数据进行解析处理,得到请求字段信息集;校验处理单元202,被配置成对上述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集;确定单元203,被配置成响应于确定上述请求数据状态信息集满足预设数据状态条件,将上述网络服务请求数据确定为异常请求数据;生成单元204,被配置成基于预设的告警项对比信息和上述请求数据状态信息集,生成异常请求状态分值;输入单元205,被配置成将上述异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息;更新处理单元206,被配置成响应于确定上述告警信息满足第一预设告警条件,对上述异常请求数据进行更新处理,得到目标请求数据;发送单元207,被配置成将上述目标请求数据发送至目标终端以供响应。
可以理解的是,该异常请求数据处理装置200中记载的诸单元与参考图1描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于异常请求数据处理装置200及其中包含的单元,在此不再赘述。
进一步参考图3,其示出了适于用来实现本公开的一些实施例的电子设备300的结构示意图。图3示出的电子设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图3所示,电子设备300可以包括处理装置(例如中央处理器、图形处理器等)301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储装置308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM 303中,还存储有电子设备300操作所需的各种程序和数据。处理装置301、ROM 302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
通常,以下装置可以连接至I/O接口305:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置306;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置307;包括例如磁带、硬盘等的存储装置308;以及通信装置309。通信装置309可以允许电子设备300与其他设备进行无线或有线通信以交换数据。虽然图3示出了具有各种装置的电子设备300,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图3中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的一些实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的一些实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中,该计算机程序可以通过通信装置309从网络上被下载和安装,或者从存储装置308被安装,或者从ROM 302被安装。在该计算机程序被处理装置301执行时,执行本公开的一些实施例的方法中限定的上述功能。
需要说明的是,本公开的一些实施例上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述装置中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:响应于接收到网络服务请求数据,对上述网络服务请求数据进行解析处理,得到请求字段信息集;对上述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集;响应于确定上述请求数据状态信息集满足预设数据状态条件,将上述网络服务请求数据确定为异常请求数据;基于预设的告警项对比信息和上述请求数据状态信息集,生成异常请求状态分值;将上述异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息;响应于确定上述告警信息满足第一预设告警条件,对上述异常请求数据进行更新处理,得到目标请求数据;将上述目标请求数据发送至目标终端以供响应。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的一些实施例中的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括解析处理单元201、校验处理单元202、确定单元203、生成单元204、输入单元205、更新处理单元206和发送单元207。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,解析处理单元还可以被描述为“对上述网络服务请求数据进行解析处理,得到请求字段信息集的单元”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种异常请求数据处理方法,包括:
响应于接收到网络服务请求数据,对所述网络服务请求数据进行解析处理,得到请求字段信息集;
对所述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集,其中,每个请求数据状态信息表征对应的请求数据是否存在与对应的异常数据告警项相关的网络风险;
响应于确定所述请求数据状态信息集满足预设数据状态条件,将所述网络服务请求数据确定为异常请求数据,其中,所述预设数据状态条件为至少一个请求数据状态信息表征对应的请求数据存在与对应的异常数据告警项相关的网络风险;
基于预设的告警项对比信息和所述请求数据状态信息集,生成异常请求状态分值,其中,所述异常请求状态分值表征网络风险的风险程度;
将所述异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息,其中,所述告警信息表征网络风险的风险级别;
响应于确定所述告警信息满足第一预设告警条件,对所述异常请求数据进行更新处理,得到目标请求数据,其中,所述第一预设告警条件是所述告警信息表征的风险级别为中级,所述目标请求数据为网络安全风险较低的网络请求数据;
将所述目标请求数据发送至目标终端以供响应;
其中,所述告警项对比信息包括告警项标识组和重要度对比信息组,所述请求数据状态信息集中的每个请求数据状态信息包括异常字符数据集;以及
所述基于预设的告警项对比信息和所述请求数据状态信息集,生成异常请求状态分值,包括:
基于所述告警项对比信息包括的重要度对比信息组,构建重要度对比矩阵,其中,每个重要度对比信息是对应的异常数据告警项间重要度的对比信息,重要度表征异常数据告警项在识别异常请求时所占的权重,所述重要度对比矩阵是以异常数据告警项为行维度和列维度、以每两个异常数据告警项之间的重要度对比值为元素构建的矩阵;
对所述重要度对比矩阵进行归一化处理,得到归一化重要度对比矩阵,其中,所述归一化重要度对比矩阵是每个列中的各个元素的和均为1的矩阵;
基于所述归一化重要度对比矩阵,确定所述告警项对比信息包括的告警项标识组中的每个告警项标识对应的告警项权重信息,得到告警项权重信息组;
对于所述请求数据状态信息集中的每个请求数据状态信息,执行以下步骤:
从所述告警项权重信息组中选出与所述请求数据状态信息相匹配的告警项权重信息,作为数据告警项权重信息;
响应于确定所述请求数据状态信息包括的异常字符数据集为空,从预设的异常告警分值信息集中选出与所述数据告警项权重信息相匹配的异常告警分值信息;
基于所述数据告警项权重信息和所选出的异常告警分值信息,生成数据告警项分值;
将所得到的各个数据告警项分值的和确定为异常请求状态分值;
其中,所述方法还包括:
响应于确定所述请求数据状态信息包括的异常字符数据集不为空,对于所述异常字符数据集中的每个异常字符数据,从预设的异常字符数据分值信息集中选出与所述异常字符数据相匹配的异常字符数据分值信息作为目标异常字符数据分值信息;
基于所选出的各个目标异常字符数据分值信息和所述数据告警项权重信息,生成数据告警项分值。
2.根据权利要求1所述的方法,其中,所述对所述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集,包括:
对于预设的数据告警项信息集中的每个数据告警项信息,执行以下步骤:
从所述请求字段信息集中选出与所述数据告警项信息相匹配的请求字段信息作为目标请求字段信息,得到至少一个目标请求字段信息;
对所述至少一个目标请求字段信息中的各个目标请求字段信息进行校验处理,得到字段状态信息;
响应于确定所述字段状态信息满足预设状态条件,将所述数据告警项信息和预设状态正常标识确定为请求数据状态信息。
3.根据权利要求2所述的方法,其中,所述方法还包括:
响应于确定所述字段状态信息不满足所述预设状态条件,将所述数据告警项信息、所述字段状态信息和预设状态异常标识确定为请求数据状态信息。
4.根据权利要求1所述的方法,其中,所述对所述异常请求数据进行更新处理,得到目标请求数据,包括:
从预先生成的请求数据编辑操作信息集中、选出与所述异常请求数据相匹配的请求数据编辑操作信息,作为目标请求数据编辑操作信息,其中,每个请求数据编辑操作信息包括编辑操作标识序列;
对预设操作计数器进行初始化,得到操作计数值;
基于操作计数值和异常请求数据,执行以下目标请求数据生成步骤:
将所述目标请求数据编辑操作信息包括的编辑操作标识序列中、对应的序号与所述操作计数值相同的编辑操作标识确定为目标编辑操作标识;
从预设的操作组件库中选出与所述目标编辑操作标识相匹配的操作组件,作为目标编辑操作组件;
调用所述目标编辑操作组件以对所述异常请求数据执行编辑操作,得到编辑后异常请求数据;
响应于确定操作计数值满足预设计数条件,将编辑后异常请求数据确定为目标请求数据。
5.根据权利要求4所述的方法,其中,所述方法还包括:
响应于确定操作计数值不满足所述预设计数条件,对所述操作计数值进行更新处理,得到更新操作计数值,以及将所述更新操作计数值作为操作计数值,将所述编辑后异常请求数据作为异常请求数据,再次执行所述目标请求数据生成步骤。
6.根据权利要求1所述的方法,其中,所述方法还包括:
响应于确定所述告警信息满足第二预设告警条件,调用预设地址访问受限组件,以针对所述异常请求数据对应的请求源地址执行访问限制操作。
7.根据权利要求1所述的方法,其中,所述方法还包括:
将所述告警信息发送至监控终端进行告警。
8.一种异常请求数据处理装置,包括:
解析处理单元,被配置成响应于接收到网络服务请求数据,对所述网络服务请求数据进行解析处理,得到请求字段信息集;
校验处理单元,被配置成对所述请求字段信息集中的各个请求字段信息进行校验处理,得到请求数据状态信息集,其中,每个请求数据状态信息表征对应的请求数据是否存在与对应的异常数据告警项相关的网络风险;
确定单元,被配置成响应于确定所述请求数据状态信息集满足预设数据状态条件,将所述网络服务请求数据确定为异常请求数据,其中,所述预设数据状态条件为至少一个请求数据状态信息表征对应的请求数据存在与对应的异常数据告警项相关的网络风险;
生成单元,被配置成基于预设的告警项对比信息和所述请求数据状态信息集,生成异常请求状态分值,其中,所述异常请求状态分值表征网络风险的风险程度;
输入单元,被配置成将所述异常请求状态分值输入预先构建的告警信息决策树,以生成告警信息,其中,所述告警信息表征网络风险的风险级别;
更新处理单元,被配置成响应于确定所述告警信息满足第一预设告警条件,对所述异常请求数据进行更新处理,得到目标请求数据,其中,所述第一预设告警条件是所述告警信息表征的风险级别为中级,所述目标请求数据为网络安全风险较低的网络请求数据;
发送单元,被配置成将所述目标请求数据发送至目标终端以供响应;
其中,所述告警项对比信息包括告警项标识组和重要度对比信息组,所述请求数据状态信息集中的每个请求数据状态信息包括异常字符数据集;以及
所述基于预设的告警项对比信息和所述请求数据状态信息集,生成异常请求状态分值,包括:
基于所述告警项对比信息包括的重要度对比信息组,构建重要度对比矩阵,其中,每个重要度对比信息是对应的异常数据告警项间重要度的对比信息,重要度表征异常数据告警项在识别异常请求时所占的权重,所述重要度对比矩阵是以异常数据告警项为行维度和列维度、以每两个异常数据告警项之间的重要度对比值为元素构建的矩阵;
对所述重要度对比矩阵进行归一化处理,得到归一化重要度对比矩阵,其中,所述归一化重要度对比矩阵是每个列中的各个元素的和均为1的矩阵;
基于所述归一化重要度对比矩阵,确定所述告警项对比信息包括的告警项标识组中的每个告警项标识对应的告警项权重信息,得到告警项权重信息组;
对于所述请求数据状态信息集中的每个请求数据状态信息,执行以下步骤:
从所述告警项权重信息组中选出与所述请求数据状态信息相匹配的告警项权重信息,作为数据告警项权重信息;
响应于确定所述请求数据状态信息包括的异常字符数据集为空,从预设的异常告警分值信息集中选出与所述数据告警项权重信息相匹配的异常告警分值信息;
基于所述数据告警项权重信息和所选出的异常告警分值信息,生成数据告警项分值;
将所得到的各个数据告警项分值的和确定为异常请求状态分值;
其中,所述异常请求数据处理装置还包括:
响应于确定所述请求数据状态信息包括的异常字符数据集不为空,对于所述异常字符数据集中的每个异常字符数据,从预设的异常字符数据分值信息集中选出与所述异常字符数据相匹配的异常字符数据分值信息作为目标异常字符数据分值信息;
基于所选出的各个目标异常字符数据分值信息和所述数据告警项权重信息,生成数据告警项分值。
9.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311395068.XA CN117156012B (zh) | 2023-10-26 | 2023-10-26 | 异常请求数据处理方法、装置、设备和计算机可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311395068.XA CN117156012B (zh) | 2023-10-26 | 2023-10-26 | 异常请求数据处理方法、装置、设备和计算机可读介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117156012A CN117156012A (zh) | 2023-12-01 |
CN117156012B true CN117156012B (zh) | 2024-02-02 |
Family
ID=88884578
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311395068.XA Active CN117156012B (zh) | 2023-10-26 | 2023-10-26 | 异常请求数据处理方法、装置、设备和计算机可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117156012B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117424764B (zh) * | 2023-12-19 | 2024-02-23 | 中关村科学城城市大脑股份有限公司 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
CN117632666B (zh) * | 2024-01-25 | 2024-05-07 | 杭州阿里云飞天信息技术有限公司 | 一种告警方法、设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109067782A (zh) * | 2018-09-18 | 2018-12-21 | 中国人民解放军战略支援部队信息工程大学 | Ims网络会话异常中断攻击检测装置及方法 |
CN112306700A (zh) * | 2019-07-23 | 2021-02-02 | 北京京东尚科信息技术有限公司 | 一种异常rpc请求的诊断方法和装置 |
CN116361121A (zh) * | 2023-02-17 | 2023-06-30 | 多点(深圳)数字科技有限公司 | 异常接口告警方法、装置、电子设备和计算机可读介质 |
CN116737598A (zh) * | 2023-08-14 | 2023-09-12 | 北京国电通网络技术有限公司 | 页面调试方法、装置、电子设备和计算机可读介质 |
CN116860553A (zh) * | 2023-07-05 | 2023-10-10 | 中国银行股份有限公司 | 数据状态的监控处理方法、装置及服务器 |
CN116881881A (zh) * | 2023-09-07 | 2023-10-13 | 国网思极网安科技(北京)有限公司 | 数据导出方法、装置、电子设备和计算机可读介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11494174B2 (en) * | 2020-10-14 | 2022-11-08 | International Business Machines Corporation | Remote system update and monitoring without inbound connection |
-
2023
- 2023-10-26 CN CN202311395068.XA patent/CN117156012B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109067782A (zh) * | 2018-09-18 | 2018-12-21 | 中国人民解放军战略支援部队信息工程大学 | Ims网络会话异常中断攻击检测装置及方法 |
CN112306700A (zh) * | 2019-07-23 | 2021-02-02 | 北京京东尚科信息技术有限公司 | 一种异常rpc请求的诊断方法和装置 |
CN116361121A (zh) * | 2023-02-17 | 2023-06-30 | 多点(深圳)数字科技有限公司 | 异常接口告警方法、装置、电子设备和计算机可读介质 |
CN116860553A (zh) * | 2023-07-05 | 2023-10-10 | 中国银行股份有限公司 | 数据状态的监控处理方法、装置及服务器 |
CN116737598A (zh) * | 2023-08-14 | 2023-09-12 | 北京国电通网络技术有限公司 | 页面调试方法、装置、电子设备和计算机可读介质 |
CN116881881A (zh) * | 2023-09-07 | 2023-10-13 | 国网思极网安科技(北京)有限公司 | 数据导出方法、装置、电子设备和计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117156012A (zh) | 2023-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN117156012B (zh) | 异常请求数据处理方法、装置、设备和计算机可读介质 | |
US11546380B2 (en) | System and method for creation and implementation of data processing workflows using a distributed computational graph | |
CN110908967B (zh) | 用于存储日志的方法、装置、设备和计算机可读介质 | |
CN110390493B (zh) | 任务管理方法、装置、存储介质及电子设备 | |
CN113268761B (zh) | 信息加密方法、装置、电子设备和计算机可读介质 | |
CN115357470B (zh) | 信息生成方法、装置、电子设备和计算机可读介质 | |
CN112684968A (zh) | 页面展示方法、装置、电子设备和计算机可读介质 | |
CN114780338A (zh) | 主机信息处理方法、装置、电子设备和计算机可读介质 | |
CN115169852B (zh) | 信息发送方法、装置、电子设备、介质和计算机程序产品 | |
CN110110032B (zh) | 用于更新索引文件的方法和装置 | |
CN113468342B (zh) | 基于知识图谱的数据模型构建方法、装置、设备和介质 | |
CN116361121A (zh) | 异常接口告警方法、装置、电子设备和计算机可读介质 | |
CN115361450A (zh) | 请求信息处理方法、装置、电子设备、介质和程序产品 | |
CN114428815A (zh) | 数据存储方法、装置、电子设备和计算机可读介质 | |
CN111460020B (zh) | 用于解析消息的方法、装置、电子设备和介质 | |
CN110554892A (zh) | 信息获取方法和装置 | |
CN111930704A (zh) | 业务报警设备控制方法、装置、设备和计算机可读介质 | |
CN114428823B (zh) | 基于多维变量表达式的数据联动方法、装置、设备和介质 | |
CN115309612B (zh) | 一种监控数据的方法和装置 | |
CN117290380B (zh) | 异常维度数据生成方法、装置、设备和计算机可读介质 | |
CN111371745B (zh) | 用于确定ssrf漏洞的方法和装置 | |
CN117235744B (zh) | 源文件上线方法、装置、电子设备和计算机可读介质 | |
CN112948341B (zh) | 用于识别异常的网络设备日志的方法和装置 | |
CN117892029A (zh) | 前端页面渲染方法、装置、电子设备、介质和程序产品 | |
CN117896143A (zh) | 一种安全联动编排实现方法、系统、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |