CN117395071B - 一种异常检测方法、装置、设备及存储介质 - Google Patents
一种异常检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117395071B CN117395071B CN202311537767.3A CN202311537767A CN117395071B CN 117395071 B CN117395071 B CN 117395071B CN 202311537767 A CN202311537767 A CN 202311537767A CN 117395071 B CN117395071 B CN 117395071B
- Authority
- CN
- China
- Prior art keywords
- sequence
- mode
- call
- target
- calling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 120
- 230000005856 abnormality Effects 0.000 title claims abstract description 53
- 238000006243 chemical reaction Methods 0.000 claims abstract description 41
- 238000000034 method Methods 0.000 claims abstract description 31
- 230000002159 abnormal effect Effects 0.000 claims abstract description 9
- 238000004590 computer program Methods 0.000 claims description 16
- 238000004422 calculation algorithm Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 6
- 238000005065 mining Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种异常检测方法、装置、设备及存储介质,涉及网络安全技术领域。该方法包括:根据从Web服务器日志中提取的目标接口的初始请求日志,生成目标接口对应的至少一种调用序列数据;根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式;对初始调用序列模式进行格式转化,得到目标调用序列模式;根据目标调用序列模式,对目标接口的待检测请求日志进行异常检测,得到检测结果。上述技术方案,通过对初始调用序列模式进行格式转化,并利用转化后的目标调用序列模式进行异常检测,在实现待检测请求日志的自动化异常检测的同时,提高了异常检测的可靠性和准确性。
Description
技术领域
本申请实施例涉及计算机技术领域,尤其涉及网络安全技术领域,具体涉及一种异常检测方法、装置、设备及存储介质。
背景技术
Web(World Wide Web,万维网)应用防护系统是一种用于保护Web应用程序安全的安全技术。Web应用防护系统通常作为网络安全基础设施的一部分,用于检测和阻止针对Web应用程序的各种攻击。
现有的Web应用防护系统主要基于规则库或机器学习模型来检测已知攻击,对未知的异常行为识别能力较弱。而针对接口调用序列的异常行为监测这种复杂的业务场景,需要人工制定规则,工作量大且错误率高。
发明内容
本申请提供了一种异常检测方法、装置、设备及存储介质,以提高异常检测的可靠性和准确性。
根据本申请的一方面,提供了一种异常检测方法,该方法包括:
根据从Web服务器日志中提取的目标接口的初始请求日志,生成所述目标接口对应的至少一种调用序列数据;
根据所述至少一种调用序列数据,确定所述目标接口的至少一种初始调用序列模式;
对所述初始调用序列模式进行格式转化,得到目标调用序列模式;
根据所述目标调用序列模式,对所述目标接口的待检测请求日志进行异常检测,得到检测结果。
根据本申请的另一方面,提供了一种异常检测装置,该装置包括:
数据生成模块,用于根据从Web服务器日志中提取的目标接口的初始请求日志,生成所述目标接口对应的至少一种调用序列数据;
模式确定模块,用于根据所述至少一种调用序列数据,确定所述目标接口的至少一种初始调用序列模式;
模式转化模块,用于对所述初始调用序列模式进行格式转化,得到目标调用序列模式;
异常检测模块,用于根据所述目标调用序列模式,对所述目标接口的待检测请求日志进行异常检测,得到检测结果。
根据本申请的另一方面,提供了一种电子设备,所述电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本申请实施例所提供的任意一种异常检测方法。
根据本申请的另一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请实施例所提供的任意一种异常检测方法。
本申请通过根据从Web服务器日志中提取的目标接口的初始请求日志,生成目标接口对应的至少一种调用序列数据;根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式;对初始调用序列模式进行格式转化,得到目标调用序列模式;根据目标调用序列模式,对目标接口的待检测请求日志进行异常检测,得到检测结果。上述技术方案,通过对初始调用序列模式进行格式转化,并利用转化后的目标调用序列模式进行异常检测,在实现待检测请求日志的自动化异常检测的同时,提高了异常检测的可靠性和准确性。
附图说明
图1是根据本申请实施例一提供的一种异常检测方法的流程图;
图2是根据本申请实施例二提供的一种异常检测方法的流程图;
图3是根据本申请实施例三提供的一种异常检测装置的结构示意图;
图4是实现本申请实施例的异常检测方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
此外,还需要说明的是,本申请的技术方案中,所涉及的初始请求日志和调用序列数据等相关数据的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
实施例一
图1是根据本申请实施例一提供的一种异常检测方法的流程图,本实施例可适用于对Web服务器中的接口请求日志进行异常检测的情况,可以由异常检测装置来执行,该异常检测装置可以采用硬件和/或软件的形式实现,该异常检测装置可配置于计算机设备中,例如Web服务器中。如图1所示,该方法包括:
S110、根据从Web服务器日志中提取的目标接口的初始请求日志,生成目标接口对应的至少一种调用序列数据。
其中,Web服务器日志是指由Web服务器记录的与请求相关的信息文件。目标接口是指服务器中的应用程序编程接口(Application Programming Interface,API),用于不同软件系统之间相互通信,可以包括数据库接口、操作系统级接口和Web服务接口等中的至少一种。初始请求日志是指Web服务器日志中的API的请求日志,是记录API接口请求和响应信息的日志文件。调用序列数据是指按照特定顺序和条件调用API接口所形成的序列。
可选的,从Web服务器日志中提取API请求日志,并对API请求日志进行过滤、格式化和排序,生成至少一种API调用序列数据。API请求日志可以包括请求时间、统一资源定位符(Uniform Resource Locator,URL)、请求方法和请求参数等中的至少一种。
其中,请求时间是指客户端发起API请求的时间戳,用于记录请求的时间。URL是指请求的目标资源的地址,用于唯一标识网络中的资源,可以包括协议类型、主机号、端口号和资源路径等中的至少一种。请求方法是指客户端对资源发起的请求动作,可以包括获取资源、创建资源和更新资源等中的至少一种。请求参数是指客户端发送给Web服务器的相关参数,可以包括查询参数、表单数据和请求头部信息等中的至少一种。
S120、根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式。
其中,初始调用序列模式是指Web服务器中的API接口被按照特定的顺序和条件进行调用的模式,用于展现Web服务器在不同场景下的行为和交互方式,可以包括串行调用、并行调用、条件触发调用和循环调用等中的至少一种。
可选的,基于序列模式挖掘算法,根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式。
其中,序列模式挖掘算法是指在序列数据集中发现频繁出现的模式或规律的算法,用于分析和理解序列数据中的潜在规律,可以包括先验算法、广义序列模式算法和前缀投影序列模式挖掘算法等中的至少一种。
具体的,基于序列模式挖掘算法,对至少一种调用序列数据进行挖掘,将调用序列数据中重复出现的特定调用序列确定为初始调用序列模式。
S130、对初始调用序列模式进行格式转化,得到目标调用序列模式。
其中,目标调用序列模式是指以特定格式呈现的调用序列模式。
具体的,将初始调用序列模式的格式转化为特定格式,得到候选调用序列模式;对候选调用序列模式进行优化调整,得到目标调用序列模式。
S140、根据目标调用序列模式,对目标接口的待检测请求日志进行异常检测,得到检测结果。
其中,待检测请求日志是指Web服务器新接收到的API请求日志。
可选的,确定待检测请求日志的待检测调用序列;根据待检测调用序列和目标调用序列模式,对待检测请求日志进行异常检测,得到检测结果。
其中,待检测调用序列是指按照待检测请求日志中的顺序和条件调用API接口所形成的序列。
具体的,对待检测请求日志进行过滤、格式化和排序,得到待检测请求日志的待检测调用序列;将待检测调用序列和目标调用序列模式进行比较,以对待检测请求日志进行异常检测,得到检测结果。待检测请求日志可以包括请求时间、统一资源定位符(UniformResource Locator,URL)、请求方法和请求参数等中的至少一种
可选的,根据待检测调用序列和目标调用序列模式,对待检测请求日志进行异常检测,得到检测结果可以是,确定待检测调用序列和目标调用序列模式之间的相似度;根据相似度和相似度区间,生成待检测请求日志的检测结果。
其中,相似度用于表征待检测调用序列和目标调用序列模式的匹配程度,可以用编辑距离和虚线相似度等中的至少一种表示。相似度区间是根据实际情况或经验值人为设定的。
具体的,基于相似度计算方式,根据待检测调用序列和目标调用序列模式,确定待检测调用序列和目标调用序列模式之间的相似度;将该相似度与相似度区间进行比较,生成待检测请求日志的检测结果。
进一步的,若待检测调用序列和目标调用序列模式之间的相似度位于相似度区间之中,则表明待检测调用序列正常;若待检测调用序列和目标调用序列模式之间的相似度位于相似度区间之外,则表明待检测调用序列异常。
可以理解的是,通过相似度和相似度区间,来对待检测调用序列进行异常检测,有助于提高异常检测的准确度和效率。
可选的,在对目标接口的待检测请求日志进行异常检测,得到检测结果之后,若检测结果为异常,则进行预警;若检测结果为正常,则根据待检测调用序列,对目标调用序列模式进行更新。
本申请实施例通过根据从Web服务器日志中提取的目标接口的初始请求日志,生成目标接口对应的至少一种调用序列数据;根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式;对初始调用序列模式进行格式转化,得到目标调用序列模式;根据目标调用序列模式,对目标接口的待检测请求日志进行异常检测,得到检测结果。上述技术方案,通过对初始调用序列模式进行格式转化,并利用转化后的目标调用序列模式进行异常检测,在实现待检测请求日志的自动化异常检测的同时,提高了异常检测的可靠性和准确性。
实施例二
图2是根据本申请实施例二提供的一种异常检测方法的流程图,本实施例在上述各实施例的技术方案的基础上,将“对初始调用序列模式进行格式转化,得到目标调用序列模式”细化为“根据初始调用序列模式,确定初始调用序列模式的至少一个序列节点;根据至少一个序列节点,对初始调用序列模式进行格式转化,得到目标调用序列模式”。需要说明的是,在本申请实施例中未详述部分,可参见其他实施例的相关表述。如图2所示,该方法包括:
S210、根据从Web服务器日志中提取的目标接口的初始请求日志,生成目标接口对应的至少一种调用序列数据。
S220、根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式。
S230、根据初始调用序列模式,确定初始调用序列模式的至少一个序列节点。
其中,序列节点是指初始调用序列模式中的调用。
可选的,确定初始调用序列模式中的至少一个调用,并为初始调用序列模式的每一个调用对应创建一个节点;将与调用对应的节点确定为初始调用序列模式的序列节点。
其中,调用是指函数或方法的调用,它们按照一定的顺序组成了一个调用序列模式,用于表征对程序中不同功能模块的引用或执行。
需要说明的是,一个序列节点与函数或方法的调用是一对一的对应关系。
S240、根据至少一个序列节点,对初始调用序列模式进行格式转化,得到目标调用序列模式。
可选的,根据序列节点对应的操作流程,确定至少一个序列节点中不同序列节点之间的对应关系;根据不同序列节点之间的对应关系和至少一个序列节点,将初始调用序列模式进行图转换,得到目标调用序列模式。
其中,操作流程是指序列节点按顺序排列的步骤或操作。不同序列节点之间的对应关系是指序列节点之间存在的逻辑顺序或依赖关系。图转换是指初始调用序列模式的数据结构转换为图形结构的方法。
可选的,根据不同序列节点之间的对应关系和至少一个序列节点,将初始调用序列模式进行图转换,得到目标调用序列模式可以是,根据不同序列节点之间的对应关系,生成不同序列节点之间的有向边以及各有向边对应的权重;根据不同序列节点之间的有向边以及各有向边对应的权重,将初始调用序列模式转换为有向图形式,得到目标调用序列模式。
其中,有向边用于表征序列节点之间存在的逻辑顺序或依赖关系,例如,序列节点A在序列节点B之前出现,且执行完A后才执行B,则在序列节点A和序列节点B之间添加一条有向边。权重是指序列节点之间的重要性或相关性。
进一步的,在得到目标调用序列模式之后,将目标调用序列模式存储在图数据库中。
S250、根据目标调用序列模式,对目标接口的待检测请求日志进行异常检测,得到检测结果。
可选的,根据目标调用序列模式,对目标接口的待检测请求日志进行异常检测,得到检测结果之前,根据目标接口的待检测请求日志,在图数据库中查找与待检测请求日志相似的目标调用序列模式。
其中,与待检测请求日志相似的目标调用序列模式是指与待检测请求日志的待检测调用序列存在共同之处的目标调用序列模式。
进一步的,根据查找到的目标调用序列模式,对待检测请求日志进行异常检测,得到检测结果。
本申请实施例通过根据从Web服务器日志中提取的目标接口的初始请求日志,生成目标接口对应的至少一种调用序列数据;根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式;根据初始调用序列模式,确定初始调用序列的至少一个序列节点;根据至少一个序列节点,对初始调用序列模式进行格式转化,得到目标调用序列模式;根据目标调用序列模式,对目标接口的待检测请求日志进行异常检测,得到检测结果。上述技术方案,通过确定初始调用序列的序列节点,并根据节点,对初始调用序列模式进行格式转化,确保了转化过程中的数据一致性,并有助于提高数据转化的效率。
实施例三
图3是根据本申请实施例三提供的一种异常检测装置的结构示意图,可适用于对对Web服务器中的接口请求日志进行异常检测的情况,该异常检测装置可以采用硬件和/或软件的形式实现,该异常检测装置可配置于计算机设备中,例如Web服务器中。如图3所示,该装置包括:
数据生成模块310,用于根据从Web服务器日志中提取的目标接口的初始请求日志,生成目标接口对应的至少一种调用序列数据;
模式确定模块320,用于根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式;
模式转化模块330,用于对初始调用序列模式进行格式转化,得到目标调用序列模式;
异常检测模块340,用于根据目标调用序列模式,对目标接口的待检测请求日志进行异常检测,得到检测结果。
本申请实施例通过根据从Web服务器日志中提取的目标接口的初始请求日志,生成目标接口对应的至少一种调用序列数据;根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式;对初始调用序列模式进行格式转化,得到目标调用序列模式;根据目标调用序列模式,对目标接口的待检测请求日志进行异常检测,得到检测结果。上述技术方案,通过对初始调用序列模式进行格式转化,并利用转化后的目标调用序列模式进行异常检测,在实现待检测请求日志的自动化异常检测的同时,提高了异常检测的可靠性和准确性。
可选的,模式转化模块330包括:
节点确定单元,用于根据初始调用序列模式,确定初始调用序列模式的至少一个序列节点;
模式转化单元,用于根据至少一个序列节点,对初始调用序列模式进行格式转化,得到目标调用序列模式。
可选的,模式转化单元,具体用于:
根据序列节点对应的操作流程,确定至少一个序列节点中不同序列节点之间的对应关系;
根据不同序列节点之间的对应关系和至少一个序列节点,将初始调用序列模式进行图转换,得到目标调用序列模式。
可选的,模式确定模块320,具体用于:
基于序列模式挖掘算法,根据至少一种调用序列数据,确定目标接口的至少一种初始调用序列模式。
可选的,异常检测模块340包括:
序列确定单元,用于确定待检测请求日志的待检测调用序列;
异常检测单元,用于根据待检测调用序列和目标调用序列模式,对待检测请求日志进行异常检测,得到检测结果。
可选的,异常检测单元,具体用于:
确定待检测调用序列和目标调用序列模式之间的相似度;
根据相似度和相似度区间,生成待检测请求日志的检测结果。
可选的,该装置还包括:
结果分析模块,用于若检测结果为异常,则进行预警;若检测结果为正常,则根据待检测调用序列,对目标调用序列模式进行更新。
本申请实施例所提供的异常检测装置可执行本申请任意实施例所提供的异常检测方法,具备执行各异常检测方法相应的功能模块和有益效果。
实施例四
图4是实现本申请实施例的异常检测方法的电子设备410的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图4所示,电子设备410包括至少一个处理器411,以及与至少一个处理器411通信连接的存储器,如只读存储器(ROM)412、随机访问存储器(RAM)413等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器411可以根据存储在只读存储器(ROM)412中的计算机程序或者从存储单元418加载到随机访问存储器(RAM)413中的计算机程序,来执行各种适当的动作和处理。在RAM413中,还可存储电子设备410操作所需的各种程序和数据。处理器411、ROM412以及RAM413通过总线414彼此相连。输入/输出(I/O)接口415也连接至总线414。
电子设备410中的多个部件连接至I/O接口415,包括:输入单元416,例如键盘、鼠标等;输出单元417,例如各种类型的显示器、扬声器等;存储单元418,例如磁盘、光盘等;以及通信单元419,例如网卡、调制解调器、无线通信收发机等。通信单元419允许电子设备410通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器411可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器411的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器411执行上文所描述的各个方法和处理,例如异常检测方法。
在一些实施例中,异常检测方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元418。在一些实施例中,计算机程序的部分或者全部可以经由ROM412和/或通信单元419而被载入和/或安装到电子设备410上。当计算机程序加载到RAM413并由处理器411执行时,可以执行上文描述的异常检测方法的一个或多个步骤。备选地,在其他实施例中,处理器411可以通过其他任何适当的方式(例如,借助于固件)而被配置为异常检测方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本申请的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本申请的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (8)
1.一种异常检测方法,其特征在于,包括:
根据从Web服务器日志中提取的目标接口的初始请求日志,生成所述目标接口对应的至少一种调用序列数据;
根据所述至少一种调用序列数据,确定所述目标接口的至少一种初始调用序列模式;
确定所述初始调用序列模式的至少一个调用,并为所述初始调用序列模式的每一个调用对应创建一个节点;其中,所述调用是指函数或方法的调用,所述至少一个调用按照一定的顺序组成了一个调用序列模式;
将所述节点确定为所述初始调用序列模式的序列节点;
根据所述至少一个序列节点,对所述初始调用序列模式进行格式转化,得到目标调用序列模式;
根据所述目标调用序列模式,对所述目标接口的待检测请求日志进行异常检测,得到检测结果;
其中,所述根据所述至少一个序列节点,对所述初始调用序列模式进行格式转化,得到目标调用序列模式,包括:
根据所述序列节点对应的操作流程,确定至少一个序列节点中不同序列节点之间的对应关系;其中,所述操作流程是指所述序列节点按顺序排列的步骤或操作;所述不同序列节点之间的对应关系是指所述序列节点之间存在的逻辑顺序或依赖关系;
根据不同序列节点之间的对应关系和所述至少一个序列节点,将所述初始调用序列模式进行图转换,得到目标调用序列模式;其中,所述图转换是指将所述初始调用序列模式的数据结构转换为图形结构的方法。
2.根据权利要求1所述的方法,其特征在于,所述根据所述至少一种调用序列数据,确定所述目标接口的至少一种初始调用序列模式,包括:
基于序列模式挖掘算法,根据所述至少一种调用序列数据,确定所述目标接口的至少一种初始调用序列模式。
3.根据权利要求1所述的方法,其特征在于,所述根据所述目标调用序列模式,对所述目标接口的待检测请求日志进行异常检测,得到检测结果,包括:
确定待检测请求日志的待检测调用序列;
根据所述待检测调用序列和所述目标调用序列模式,对所述待检测请求日志进行异常检测,得到检测结果。
4.根据权利要求3所述的方法,其特征在于,所述根据所述待检测调用序列和所述目标调用序列模式,对所述待检测请求日志进行异常检测,得到检测结果,包括:
确定所述待检测调用序列和所述目标调用序列模式之间的相似度;
根据所述相似度和相似度区间,生成所述待检测请求日志的检测结果。
5.根据权利要求4所述的方法,其特征在于,在对所述目标接口的待检测请求日志进行异常检测,得到检测结果之后,还包括:
若所述检测结果为异常,则进行预警;
若所述检测结果为正常,则根据所述待检测调用序列,对所述目标调用序列模式进行更新。
6.一种异常检测装置,其特征在于,包括:
数据生成模块,用于根据从Web服务器日志中提取的目标接口的初始请求日志,生成所述目标接口对应的至少一种调用序列数据;
模式确定模块,用于根据所述至少一种调用序列数据,确定所述目标接口的至少一种初始调用序列模式;
模式转化模块,用于对所述初始调用序列模式进行格式转化,得到目标调用序列模式;
异常检测模块,用于根据所述目标调用序列模式,对所述目标接口的待检测请求日志进行异常检测,得到检测结果;
其中,所述模式转化模块包括:
节点确定单元,用于确定所述初始调用序列模式的至少一个调用,并为所述初始调用序列模式的每一个调用对应创建一个节点;将所述节点确定为所述初始调用序列模式的序列节点;其中,所述调用是指函数或方法的调用,所述至少一个调用按照一定的顺序组成了一个调用序列模式;
模式转化单元,用于根据所述至少一个序列节点,对所述初始调用序列模式进行格式转化,得到目标调用序列模式;
其中,所述模式转化单元,具体用于:
根据所述序列节点对应的操作流程,确定至少一个序列节点中不同序列节点之间的对应关系;其中,所述操作流程是指所述序列节点按顺序排列的步骤或操作;所述不同序列节点之间的对应关系是指所述序列节点之间存在的逻辑顺序或依赖关系;
根据不同序列节点之间的对应关系和所述至少一个序列节点,将所述初始调用序列模式进行图转换,得到目标调用序列模式;其中,所述图转换是指将所述初始调用序列模式的数据结构转换为图形结构的方法。
7.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5任一项所述的异常检测方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5任一项所述的异常检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311537767.3A CN117395071B (zh) | 2023-11-16 | 2023-11-16 | 一种异常检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311537767.3A CN117395071B (zh) | 2023-11-16 | 2023-11-16 | 一种异常检测方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117395071A CN117395071A (zh) | 2024-01-12 |
CN117395071B true CN117395071B (zh) | 2024-05-14 |
Family
ID=89468432
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311537767.3A Active CN117395071B (zh) | 2023-11-16 | 2023-11-16 | 一种异常检测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117395071B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008055156A2 (en) * | 2006-10-30 | 2008-05-08 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
CN110868405A (zh) * | 2019-11-05 | 2020-03-06 | 南方电网数字电网研究院有限公司 | 恶意代码检测方法、装置、计算机设备及存储介质 |
CN114065197A (zh) * | 2021-09-30 | 2022-02-18 | 奇安信科技集团股份有限公司 | 调用序列生成方法、装置、电子设备、存储介质及产品 |
CN114090406A (zh) * | 2021-11-29 | 2022-02-25 | 中国电力科学研究院有限公司 | 电力物联网设备行为安全检测方法、系统、设备及存储介质 |
CN115529595A (zh) * | 2022-09-30 | 2022-12-27 | 中国农业银行股份有限公司 | 一种日志数据的异常检测方法、装置、设备及介质 |
CN116366303A (zh) * | 2023-03-06 | 2023-06-30 | 四川大学 | 基于深度学习的网络异常检测方法、装置、设备及介质 |
CN116662275A (zh) * | 2023-03-22 | 2023-08-29 | 浙江远图技术股份有限公司 | 基于有向图卷积神经网络医院自助终端日志异常检测系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102317833B1 (ko) * | 2019-10-31 | 2021-10-25 | 삼성에스디에스 주식회사 | 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법 |
-
2023
- 2023-11-16 CN CN202311537767.3A patent/CN117395071B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008055156A2 (en) * | 2006-10-30 | 2008-05-08 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
CN110868405A (zh) * | 2019-11-05 | 2020-03-06 | 南方电网数字电网研究院有限公司 | 恶意代码检测方法、装置、计算机设备及存储介质 |
CN114065197A (zh) * | 2021-09-30 | 2022-02-18 | 奇安信科技集团股份有限公司 | 调用序列生成方法、装置、电子设备、存储介质及产品 |
CN114090406A (zh) * | 2021-11-29 | 2022-02-25 | 中国电力科学研究院有限公司 | 电力物联网设备行为安全检测方法、系统、设备及存储介质 |
CN115529595A (zh) * | 2022-09-30 | 2022-12-27 | 中国农业银行股份有限公司 | 一种日志数据的异常检测方法、装置、设备及介质 |
CN116366303A (zh) * | 2023-03-06 | 2023-06-30 | 四川大学 | 基于深度学习的网络异常检测方法、装置、设备及介质 |
CN116662275A (zh) * | 2023-03-22 | 2023-08-29 | 浙江远图技术股份有限公司 | 基于有向图卷积神经网络医院自助终端日志异常检测系统 |
Non-Patent Citations (3)
Title |
---|
基于序列模式的异常检测;钱昱, 郑诚;微机发展;20040910(09);第53-55页 * |
基于模型结构与日志行为的流程相似度计算;周长红;曾庆田;刘聪;段华;原桂远;;计算机集成制造系统;20180715(07);全文 * |
序列模式图及其构造算法;吕静, 王晓峰, Osei Adjei, Fiaz Hussain;计算机学报;20040612(06);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117395071A (zh) | 2024-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116049146B (zh) | 一种数据库故障处理方法、装置、设备及存储介质 | |
CN116010220A (zh) | 一种告警诊断方法、装置、设备及存储介质 | |
CN116107589B (zh) | 软件代码的自动编译方法、装置、设备及存储介质 | |
CN116225769B (zh) | 一种系统故障根因的确定方法、装置、设备及介质 | |
CN117499148A (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
CN115687406B (zh) | 一种调用链数据的采样方法、装置、设备及存储介质 | |
CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
CN117395071B (zh) | 一种异常检测方法、装置、设备及存储介质 | |
CN115883647B (zh) | 业务日志记录方法、系统、装置、终端、服务器及介质 | |
CN116668264A (zh) | 一种告警聚类的根因分析方法、装置、设备及存储介质 | |
CN113452700B (zh) | 处理安全信息的方法、装置、设备以及存储介质 | |
CN114546799A (zh) | 埋点日志校验方法、装置、电子设备、存储介质及产品 | |
CN116820826B (zh) | 一种基于调用链的根因定位方法、装置、设备及存储介质 | |
CN116974856B (zh) | 一种自动获取日志文件的方法、装置、设备及介质 | |
CN115422555B (zh) | 后门程序检测方法、装置、电子设备及存储介质 | |
CN114531287B (zh) | 虚拟资源获取行为的检测方法、装置、设备及介质 | |
CN117608896A (zh) | 交易数据处理方法、装置、电子设备及存储介质 | |
CN117194471A (zh) | 一种数据血缘分析方法、装置、介质、电子设备及产品 | |
CN117434403A (zh) | 电器的局部放电检测方法及装置 | |
CN115426143A (zh) | 识别异常身份标识的方法、装置、设备以及存储介质 | |
CN117729005A (zh) | 一种网络资产测绘方法 | |
CN114328224A (zh) | 异常请求的复现方法、装置、电子设备和存储介质 | |
CN117749614A (zh) | 一种协议规则确定方法、装置、电子设备及存储介质 | |
CN117811820A (zh) | 系统安全处理方法、装置、设备及介质 | |
CN115361308A (zh) | 一种工控网络数据风险确定方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |