CN117424764B - 系统资源访问请求信息处理方法、装置、电子设备和介质 - Google Patents
系统资源访问请求信息处理方法、装置、电子设备和介质 Download PDFInfo
- Publication number
- CN117424764B CN117424764B CN202311744064.8A CN202311744064A CN117424764B CN 117424764 B CN117424764 B CN 117424764B CN 202311744064 A CN202311744064 A CN 202311744064A CN 117424764 B CN117424764 B CN 117424764B
- Authority
- CN
- China
- Prior art keywords
- access request
- information
- target
- information set
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 21
- 238000003672 processing method Methods 0.000 title claims abstract description 15
- 230000002159 abnormal effect Effects 0.000 claims abstract description 163
- 238000000034 method Methods 0.000 claims abstract description 39
- 230000004044 response Effects 0.000 claims abstract description 39
- 230000008569 process Effects 0.000 claims abstract description 14
- 238000012549 training Methods 0.000 claims description 61
- 238000012545 processing Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012216 screening Methods 0.000 claims description 10
- 238000000605 extraction Methods 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- 230000002547 anomalous effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000007123 defense Effects 0.000 description 5
- 238000003066 decision tree Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000009411 base construction Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本公开的实施例公开了系统资源访问请求信息处理方法、装置、电子设备和介质。该方法的一具体实施方式包括:根据目标访问请求信息集合和请求特征类型信息集合,确定目标访问请求特征信息集合和异常资源访问请求特征信息集合;根据目标访问请求特征信息集合和异常资源访问请求特征信息集合,生成资源访问请求信息决策模型;响应于接收到系统资源访问请求信息,根据资源访问请求信息决策模型,确定系统资源访问请求信息是否满足预设访问条件;响应于确定系统资源访问请求信息满足预设访问条件,将对应系统资源访问请求信息的系统资源数据发送至请求端,以对系统资源访问请求信息进行处理。该实施方式提升了系统安全性。
Description
技术领域
本公开的实施例涉及计算机技术领域,具体涉及系统资源访问请求信息处理方法、装置、电子设备和介质。
背景技术
在基于WAF应用防火墙的应用中,大部分采用黑名单机制,根据事先制定的规则库,对外部访问链接进行验证。当外部访问链接满足规则库中的规则,则认定该外部访问链接属于异常攻击链接,并阻止该链接访问系统数据。
然而,发明人发现,当采用上述方式对系统资源访问链接进行处理时,经常会存在如下技术问题:
第一,规则库更新较慢,导致黑名单机制具有一定的局限性和滞后性,并且规则库中的规则大部分针对的是通用规则,而通常系统都会对应各种业务,不同的业务对应不同的访问请求形态(例如端口、协议),未考虑针对各个不同业务细粒度的制定规则库,导致针对不同业务的防护规则较少,从而导致系统的外部攻击防御能力较低,进而导致系统安全性较低。
第二,规则库中的规则大多属于人工编写,使得规则库构建的耗时较长、效率较低。且人工编写的规则库规则有限,使得系统防御能力较差,从而导致系统的安全性较低。
该背景技术部分中所公开的以上信息仅用于增强对本发明构思的背景的理解,并因此,其可包含并不形成本国的本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的内容部分用于以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
本公开的一些实施例提出了系统资源访问请求信息处理方法、装置、电子设备和计算机可读介质,来解决以上背景技术部分提到的技术问题中的一项或多项。
第一方面,本公开的一些实施例提供了一种系统资源访问请求信息处理方法,该方法包括:获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息,其中,上述目标业务信息集合中的目标业务信息对应上述目标访问请求信息集合中的目标访问请求信息,上述目标业务信息集合中的目标业务信息对应上述请求特征类型信息集合中的请求特征类型信息;根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合,其中,上述目标访问请求信息集合中的目标访问请求信息对应上述目标访问请求特征信息集合中的目标访问请求特征信息;根据上述目标访问请求信息集合,对上述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合;根据上述异常访问请求信息集合和上述请求特征类型信息集合,确定对应上述异常访问请求信息集合的异常资源访问请求特征信息集合,其中,上述异常访问请求信息集合中的异常访问请求信息对应上述异常资源访问请求特征信息集合中的异常资源访问请求特征信息;根据上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型;响应于接收到系统资源访问请求信息,根据上述资源访问请求信息决策模型,确定上述系统资源访问请求信息是否满足预设访问条件;响应于确定上述系统资源访问请求信息满足上述预设访问条件,将对应上述系统资源访问请求信息的系统资源数据发送至请求端,以对上述系统资源访问请求信息进行处理。
第二方面,本公开的一些实施例提供了一种系统资源访问请求信息处理装置,装置包括:获取单元,被配置成获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息,其中,上述目标业务信息集合中的目标业务信息对应上述目标访问请求信息集合中的目标访问请求信息,上述目标业务信息集合中的目标业务信息对应上述请求特征类型信息集合中的请求特征类型信息;第一确定单元,被配置成根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合,其中,上述目标访问请求信息集合中的目标访问请求信息对应上述目标访问请求特征信息集合中的目标访问请求特征信息;筛选单元,被配置成根据上述目标访问请求信息集合,对上述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合;第二确定单元,被配置成根据上述异常访问请求信息集合和上述请求特征类型信息集合,确定对应上述异常访问请求信息集合的异常资源访问请求特征信息集合,其中,上述异常访问请求信息集合中的异常访问请求信息对应上述异常资源访问请求特征信息集合中的异常资源访问请求特征信息;生成单元,被配置成根据上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型;第三确定单元,被配置成响应于接收到系统资源访问请求信息,根据上述资源访问请求信息决策模型,确定上述系统资源访问请求信息是否满足预设访问条件;处理单元,被配置成响应于确定上述系统资源访问请求信息满足上述预设访问条件,将对应上述系统资源访问请求信息的系统资源数据发送至请求端,以对上述系统资源访问请求信息进行处理。
第三方面,本公开的一些实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述第一方面任一实现方式所描述的方法。
第四方面,本公开的一些实施例提供了一种计算机可读介质,其上存储有计算机程序,其中,计算机程序被处理器执行时实现上述第一方面任一实现方式所描述的方法。
本公开的上述各个实施例具有如下有益效果:通过本公开的一些实施例的系统资源访问请求信息处理方法,提高了系统的安全性。具体来说,造成系统的安全性较低的原因在于:规则库更新较慢,导致黑名单机制具有一定的局限性和滞后性,并且规则库中的规则大部分针对的是通用规则,而通常系统都会对应各种业务,不同的业务对应不同的访问请求形态(例如端口、协议),未考虑针对各个不同业务细粒度的制定规则库,导致针对不同业务的防护规则较少,从而导致系统的外部攻击防御能力较低,进而导致系统安全性较低。基于此,本公开的一些实施例的系统资源访问请求信息处理方法,首先,获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息,其中,上述目标业务信息集合中的目标业务信息对应上述目标访问请求信息集合中的目标访问请求信息,上述目标业务信息集合中的目标业务信息对应上述请求特征类型信息集合中的请求特征类型信息。由此,可以得到系统的目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息。请求特征类型信息集合可以表征各个请求链接对应的各个请求字段。目标访问请求信息集合可以表征对应上述目标业务信息集合的各个合法请求链接。然后,根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合,其中,上述目标访问请求信息集合中的目标访问请求信息对应上述目标访问请求特征信息集合中的目标访问请求特征信息。由此,可以得到对应目标访问请求信息集合的目标访问请求特征信息集合。上述目标访问请求特征信息集合中的目标访问请求特征信息可以为从目标访问请求信息中提取出的各个请求字段和各个请求字段对应的各个请求字段值。其次,根据上述目标访问请求信息集合,对上述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合。由此,可以得到用户访问请求日志信息中包括的各个异常访问请求信息。之后,根据上述异常访问请求信息集合和上述请求特征类型信息集合,确定对应上述异常访问请求信息集合的异常资源访问请求特征信息集合,其中,上述异常访问请求信息集合中的异常访问请求信息对应上述异常资源访问请求特征信息集合中的异常资源访问请求特征信息。由此,可以得到异常访问请求信息集合中每个异常访问请求信息对应的异常资源访问请求特征信息。上述异常资源访问请求特征信息可以为从异常访问请求信息中提取出的各个请求字段和各个请求字段对应的各个请求字段内容。接着,根据上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型。由此,可以得到资源访问请求信息决策模型,可以用于对系统资源访问请求信息进行是否属于异常请求的决策。之后,响应于接收到系统资源访问请求信息,根据上述资源访问请求信息决策模型,确定上述系统资源访问请求信息是否满足预设访问条件。由此,可以确定访问请求信息是否满足预设访问条件,可以用于判断系统资源访问请求信息是否可以访问所请求的系统资源数据。最后,响应于确定上述系统资源访问请求信息满足上述预设访问条件,将对应上述系统资源访问请求信息的系统资源数据发送至请求端,以对上述系统资源访问请求信息进行处理。由此,可以在确定系统资源访问请求信息满足预设访问条件后,允许请求端访问所请求的系统资源数据。也因为所实现的系统资源访问请求信息处理方法,能够细粒度的根据针对各个业务情况的各个合法请求筛选出异常请求集合。并根据对应各个不同业务的合法请求集合和异常请求集合构建资源访问请求信息决策模型用于对每个系统资源访问请求进行是否属于异常请求的判定,从而能对每个系统资源访问请求进行细粒度的判定,从而扩大了系统防御异常攻击链接的范围,从而提升了系统的防御能力,进而提升了系统的安全性。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,元件和元素不一定按照比例绘制。
图1是根据本公开的系统资源访问请求信息处理方法的一些实施例的流程图;
图2是根据本公开的系统资源访问请求信息处理装置的一些实施例的结构示意图;
图3是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例。相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面将参考附图并结合实施例来详细说明本公开。
图1示出了根据本公开的系统资源访问请求信息处理方法的一些实施例的流程100。该系统资源访问请求信息处理方法,包括以下步骤:
步骤101,获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息。
在一些实施例中,系统资源访问请求信息处理方法的执行主体(例如计算设备)可以获取目标业务信息集合、目标访问请求信息集合和用户访问请求日志信息。其中,上述目标业务信息集合中的目标业务信息可以对应上述目标访问请求信息集合中的目标访问请求信息。上述目标业务信息集合中的目标业务信息可以对应上述请求特征类型信息集合中的请求特征类型信息。上述目标业务信息集合可以表征系统的各个业务相关数据。上述各个业务相关数据中的业务相关数据可以包括但不限于:允许访问时间、业务类型。例如,允许访问时间可以为每天的8:00-21:00;业务类型可以为但不限于:查询、修改。上述目标访问请求信息集合可以表征对应上述目标业务信息集合的各个合法请求链接。上述请求特征类型信息集合可以表征上述各个请求链接对应的各个请求字段。例如,各个请求字段中的请求字段可以为但不限于:协议、域名、端口、查找路径、请求参数。上述各个请求链接可以为对应上述目标业务信息集合的各个请求链接。上述各个请求链接可以包括各个合法请求链接和各个异常请求链接。上述用户访问请求日志信息可以为系统所有用户历史访问系统的各个历史访问请求记录文本。实践中,上述执行主体可以从相关联的服务器获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息。
步骤102,根据目标访问请求信息集合和请求特征类型信息集合,确定对应目标访问请求信息集合的目标访问请求特征信息集合。
在一些实施例中,上述执行主体可以根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合。其中,上述目标访问请求信息集合中的目标访问请求信息可以对应上述目标访问请求特征信息集合中的目标访问请求特征信息。上述目标访问请求特征信息集合中的目标访问请求特征信息可以为从目标访问请求信息中提取出的各个请求字段和各个请求字段对应的各个请求字段值。实践中,上述执行主体可以采用各种方式,根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合。
在一些实施例的一些可选的实现方式中,上述执行主体可以通过以下步骤,根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合:
第一步,对于上述目标访问请求信息集合中的每个目标访问请求信息,执行以下步骤:
第一子步骤,将上述目标访问请求信息输入至预先训练的特征提取模型,得到上述请求特征类型信息集合中对应上述目标访问请求信息的请求特征类型信息的各个特征值。其中,上述特征提取模型可以为以目标访问请求信息为输入,以各个特征值为输出训练完成的关键词抽取模型。例如,特征提取模型可以为TextRank模型。上述各个特征值可以为上述目标访问请求信息中包括的各个请求字段对应的各个请求字段内容。
第二子步骤,将对应上述目标访问请求信息的请求特征类型信息和上述各个特征值确定为目标访问请求特征信息。
第二步,将所确定的各个目标访问请求特征信息确定为目标访问请求特征信息集合。
步骤103,根据目标访问请求信息集合,对用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合。
在一些实施例中,上述执行主体可以根据上述目标访问请求信息集合,对上述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合。其中,上述目标访问请求信息集合中的目标访问请求信息可以对应上述目标访问请求特征信息集合中的目标访问请求特征信息。上述异常访问请求信息集合可以表征各个异常请求链接。实践中,上述执行主体可以通过各种方式,根据上述目标访问请求信息集合,对上述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合。
在一些实施例的一些可选的实现方式中,上述执行主体可以通过以下步骤,根据上述目标访问请求信息集合,对上述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合:
第一步,从上述用户访问请求日志信息中提取访问请求地址,得到访问请求地址集合。上述访问请求地址集合可以为对系统资源数据进行访问的历史访问请求链接。实践中,上述执行主体可以采用正则匹配方法,从上述用户访问请求日志信息中提取访问请求地址,得到访问请求地址集合。
第二步,对上述访问请求地址集合进行去重处理,得到第一目标访问请求地址集合。其中,上述第一目标访问请求地址集合可以为去重处理后的各个访问请求地址。上述第一目标访问请求地址集合包括的各个第一目标访问请求地址均不同。实践中,首先,对于上述访问请求地址集合中的每个访问请求地址,响应于确定上述访问请求地址与预设访问请求地址集合中的各个预设访问请求地址均不同,将上述访问请求地址添加至预设访问请求地址集合。然后,将所得到的预设访问请求地址集合确定为第一目标访问请求地址集合。上述预设访问请求地址集合可以表征各个不同的访问请求地址。上述预设访问请求地址集合的初始状态可以为空。
第三步,对上述第一目标访问请求地址集合进行降噪处理,得到第二目标访问请求地址集合。其中,上述第二目标访问请求地址集合可以为降噪处理后的各个访问请求地址。实践中,首先,上述执行主体可以采用支持向量机算法,对上述第一目标访问请求地址集合中的各个第一目标访问请求地址进行分类,得到正确访问请求地址集合和错误访问请求地址集合。然后,可以将上述正确访问请求地址集合确定为第二目标访问请求地址集合。上述正确访问请求地址集合可以表征格式正确的各个访问请求地址。上述错误访问请求地址集合可以表征格式错误的各个访问请求地址。
第四步,对于上述第二目标访问请求地址集合中的每个第二目标访问请求地址,响应于确定上述第二目标访问请求地址与上述目标访问请求信息集合中的各个目标访问请求信息相异,将上述第二目标访问请求地址确定为异常访问请求信息。
第五步,将所确定的各个异常访问请求信息确定为异常访问请求信息集合。
步骤104,根据异常访问请求信息集合和请求特征类型信息集合,确定对应异常访问请求信息集合的异常资源访问请求特征信息集合。
在一些实施例中,上述执行主体可以根据上述异常访问请求信息集合和上述请求特征类型信息集合,确定对应上述异常访问请求信息集合的异常资源访问请求特征信息集合。其中,上述异常访问请求信息集合中的异常访问请求信息可以对应上述异常资源访问请求特征信息集合中的异常资源访问请求特征信息。上述异常资源访问请求特征信息可以为从异常访问请求信息中提取出的各个请求字段和各个请求字段对应的各个请求字段内容。实践中,根据上述异常访问请求信息集合和上述请求特征类型信息集合,确定对应上述异常访问请求信息集合的异常资源访问请求特征信息集合的步骤可以参考步骤102中根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合的步骤,在此不再赘述。
步骤105,根据目标访问请求特征信息集合和异常资源访问请求特征信息集合,生成资源访问请求信息决策模型。
在一些实施例中,上述执行主体可以根据上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型。其中,上述资源访问请求信息决策模型可以表征资源访问请求信息和决策信息之间的对应关系。上述资源访问请求信息决策模型可以为决策树模型。例如,决策树模型可以为ID3决策树模型。上述资源访问请求信息决策模型可以包括各个决策路径。上述各个决策路径中的决策路径的末端节点可以为对应决策路径的决策信息。上述决策信息可以表征资源访问请求合法或资源访问请求异常。实践中,上述执行主体可以采用各种方式,根据上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型。
在一些实施例的一些可选的实现方式中,上述执行主体可以通过以下步骤,根据上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型:
第一步,将上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合进行组合处理,得到资源访问请求特征信息集合。其中,资源访问请求特征信息集合可以为组合后的各个访问请求特征信息。实践中,上述执行主体可以将上述目标访问请求特征信息集合中包括的各个目标访问请求特征信息和上述异常资源访问请求特征信息集合中包括的各个异常资源访问请求特征信息确定为资源访问请求特征信息集合。
第二步,对于上述资源访问请求特征信息集合中的每个资源访问请求特征信息,执行以下步骤:
第一子步骤,将上述资源访问请求特征信息确定为样本资源访问请求特征信息。其中,上述样本资源访问请求特征信息可以为训练资源访问请求信息决策模型的样本数据。上述样本资源访问请求特征信息可以包括各个请求字段和各个请求字段对应的各个请求字段值。
第二子步骤,响应于确定上述资源访问请求特征信息为目标访问请求特征信息,将表征正常请求的标签确定为决策信息。
第三子步骤,响应于确定上述资源访问请求特征信息为异常资源访问请求特征信息,将表征异常请求的标签确定为决策信息。
第四子步骤,将所确定的样本资源访问请求特征信息和决策信息确定为训练样本。
第三步,对所确定的各个训练样本进行随机排序处理,得到随机排序处理后的各个训练样本。实践中,上述执行主体可以采用随机排列算法,对所确定的各个训练样本进行随机排序处理,得到随机排序处理后的各个训练样本。例如,随机排列算法可以为洗牌算法。
第四步,将随机排序处理后的各个训练样本确定为训练样本集。
第五步,根据上述训练样本集和上述请求特征类型信息集合,生成资源访问请求信息决策模型。其中,上述请求特征类型信息集合中的请求特征类型信息可以包括各个访问请求特征类型。上述各个访问请求特征类型可以为各个请求字段。实践中,上述执行主体可以采用各种方式,根据上述训练样本集和上述请求特征类型信息集合,生成资源访问请求信息决策模型。
在一些实施例的一些可选的实现方式中,上述执行主体可以通过以下步骤,根据上述训练样本集和上述请求特征类型信息集合,生成资源访问请求信息决策模型:
第一步,将上述请求特征类型信息集合中各个请求特征类型信息包括的各个访问请求特征类型确定为特征类型集合。其中,上述特征类型集合可以表征各个请求字段。
第二步,创建初始资源访问请求信息决策模型的初始决策节点。其中,上述初始决策节点可以为初始资源访问请求信息决策模型的根节点。
第三步,基于初始决策节点、训练样本集和特征类型集合,递归执行以下训练步骤:
第一训练步骤,响应于确定上述特征类型集合为空,将上述训练样本集对应的决策信息作为叶决策节点与初始决策节点绑定,以及结束当前训练步骤。实践中,响应于确定上述特征类型集合为空,上述执行主体可以将对应上述叶决策节点的指针指向初始决策节点,以将叶决策节点与初始决策节点绑定。
第二训练步骤,对于上述特征类型集合中的每个特征类型,根据上述训练样本集,确定上述特征类型的决策得分,得到各个决策得分。其中,上述各个决策得分可以表征上述特征类型集合中各个特征类型的各个信息增益率。实践中,对于上述特征类型集合中的每个特征类型,上述执行主体可以将上述特征类型的信息增益与信息熵的比值确定为上述特征类型的决策得分。
第三训练步骤,从所得到的各个决策得分中选择满足预设得分条件的决策得分所对应的特征类型作为目标特征类型。其中,上述预设得分条件可以为决策得分最高。实践中,上述执行主体可以将上述各个决策得分中最高的决策得分对应的特征类型确定为目标特征类型。
第四训练步骤,将上述目标特征类型作为决策节点与初始决策节点进行绑定,以对初始资源访问请求信息决策模型进行更新。实践中,上述执行主体可以将对应上述决策节点的指针指向上述初始决策节点,以将上述目标特征类型作为决策节点与初始决策节点进行绑定。
第五训练步骤,根据上述目标特征类型,对训练样本集进行划分处理,得到各个子训练样本集。其中,子训练样本集中各个子训练样本的各个样本资源访问请求特征信息中上述目标特征类型对应的各个特征值相同。实践中,首先,上述执行主体可以将上述训练样本集中上述目标特征类型对应的各个特征值确定为各个目标特征值。然后,对于上述各个目标特征值中的每个目标特征值,将上述训练样本集中目标特征类型对应的特征值为上述目标特征值的各个训练样本确定为子训练样本集,得到各个子训练样本集。
第六训练步骤,对于上述各个子训练样本集中的每个子训练样本集,执行以下步骤:
第一子步骤,响应于确定上述子训练样本集为空,根据训练样本集,确定对应上述子训练样本集的决策信息,将对应上述子训练样本集的决策信息作为叶决策节点与上述决策节点进行绑定,以对初始资源访问请求信息决策模型进行更新,以及结束当前训练步骤。实践中,响应于确定上述子训练样本集为空,首先,上述执行主体可以将上述训练样本集中表征资源访问请求合法的决策信息的数量确定为合法请求数量。然后,可以将上述训练样本集中表征资源访问请求异常的决策信息的数量确定为异常请求数量。之后,响应于确定上述合法请求数量大于上述异常请求数量,将表征异常请求的标签确定为对应上述子训练样本集的决策信息。之后,响应于确定上述合法请求数量小于等于上述异常请求数量,将表征正常请求的标签确定为对应上述子训练样本集的决策信息。最后,将对应上述叶决策节点的指针指向上述决策节点,以将对应上述子训练样本集的决策信息作为叶决策节点与上述决策节点进行绑定。
第二子步骤,响应于确定上述子训练样本集中的各个子训练样本的各个决策信息均相同,将对应上述各个子训练样本的决策信息作为叶决策节点与上述决策节点进行绑定,以对初始资源访问请求信息决策模型进行更新,以及结束当前训练步骤。实践中,上述执行主体可以将对应上述叶决策节点的指针指向上述决策节点,以将对应上述各个子训练样本的决策信息作为叶决策节点与上述决策节点进行绑定。
可选地,响应于确定上述子训练样本集中的各个子训练样本的各个决策信息不同,上述执行主体还可以将上述子训练样本集作为训练样本集,将上述决策节点作为初始决策节点,以及将特征类型集合中与上述目标特征类型相异的各个特征类型作为特征类型集合,再次递归执行上述训练步骤。
可选地,响应于确定所有递归执行的训练步骤均结束,上述执行主体还可以将所得到的初始资源访问请求信息决策模型确定为训练完成的资源访问请求信息决策模型。
上述技术方案其相关内容作为本公开的实施例的一个发明点,解决了背景技术提及的技术问题二“规则库中的规则大多属于人工编写,使得规则库构建的耗时较长、效率较低。且人工编写的规则库规则有限,使得系统防御能力较差,从而导致系统的安全性较低”。导致系统的安全性较低的因素往往如下:规则库中的规则大多属于人工编写,使得规则库构建的耗时较长、效率较低。且人工编写的规则库规则有限,使得系统防御能力较差。如果解决了上述因素,就能达到提升系统的安全性的效果。为了达到这一效果,本公开引入了采用合法访问请求信息和异常资源访问请求信息生成决策树模型作为资源访问请求信息决策模型,减少了人工参与编写规则库的情况,且对决策结果的可解释性较高。且资源访问请求信息决策模型不依赖于规则库,从而扩大了系统防护外部攻击的保护范围,从而提升了对资源访问请求信息的决策效率和决策准确性,从而提升了系统的安全性。
步骤106,响应于接收到系统资源访问请求信息,根据资源访问请求信息决策模型,确定系统资源访问请求信息是否满足预设访问条件。
在一些实施例中,响应于接收到系统资源访问请求信息,上述执行主体可以根据上述资源访问请求信息决策模型,确定上述系统资源访问请求信息是否满足预设访问条件。其中,上述预设访问条件可以为上述系统资源访问请求信息为合法请求。上述系统资源访问请求信息可以为请求端发送的访问系统资源数据的访问链接。实践中,上述执行主体可以通过各种方式,根据上述资源访问请求信息决策模型,确定上述系统资源访问请求信息是否满足预设访问条件。
在一些实施例的一些可选的实现方式中,上述执行主体可以通过以下步骤,根据上述资源访问请求信息决策模型,确定上述系统资源访问请求信息是否满足预设访问条件:
第一步,确定上述系统资源访问请求信息对应的目标业务信息。其中,上述目标业务信息集合中的目标业务信息可以包括业务数据存储位置。上述业务数据存储位置可以为业务数据的磁盘存储路径。上述业务数据的数据类型可以为但不限于:文件类型、网页类型、图片类型、视频类型。实践中,上述执行主体可以将上述目标业务信息集合中业务数据存储位置为上述系统资源访问请求信息中的查找路径的目标业务信息确定为目标业务信息。
第二步,根据上述目标业务信息对应的请求特征类型信息,确定上述系统资源访问请求信息的访问请求特征信息。实践中,首先,上述执行主体将上述系统资源访问请求信息输入至上述特征提取模型,得到对应上述请求特征类型信息的各个特征值。然后,可以将上述请求特征类型信息和上述各个特征值确定为上述系统资源访问请求信息的访问请求特征信息。
第三步,将上述访问请求特征信息输入至上述资源访问请求信息决策模型,得到上述系统资源访问请求信息的决策信息。
第四步,响应于确定上述系统资源访问请求信息的决策信息表征上述系统资源访问请求信息为正常请求,确定上述系统资源访问请求信息满足上述预设访问条件。
步骤107,响应于确定系统资源访问请求信息满足预设访问条件,将对应系统资源访问请求信息的系统资源数据发送至请求端,以对系统资源访问请求信息进行处理。
在一些实施例中,响应于确定上述系统资源访问请求信息满足上述预设访问条件,上述执行主体可以将对应上述系统资源访问请求信息的系统资源数据发送至请求端,以对上述系统资源访问请求信息进行处理。其中,上述请求端可以为发送上述系统资源访问请求信息的客户端。上述系统资源数据可以为但不限于:文件资源、视频资源、图片资源、数据库资源。实践中,上述执行主体可以采用有线连接或者无线连接方式,将对应上述系统资源访问请求信息的系统资源数据发送至请求端。
需要指出的是,上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
可选地,响应于确定上述系统资源访问请求信息不满足上述预设访问条件,上述执行主体还可以将上述系统资源访问请求信息添加至异常访问请求信息集合。
可选地,上述执行主体还可以执行以下步骤:
第一步,获取满足预设时间间隔的用户访问请求日志信息作为目标用户访问请求日志信息。其中,上述预设时间间隔可以为当前时刻前一周的时间间隔。实践中,上述执行主体可以从相关联的存储装置中获取当前时刻前一周时间间隔内的户访问请求日志信息作为目标用户访问请求日志信息。
第二步,从上述目标用户访问请求日志信息中提取访问请求地址,得到访问请求地址集合作为目标访问请求地址集合。其中,上述目标访问请求地址集合可以为从上述目标用户访问请求日志信息中提取出的各个请求链接。实践中,上述执行主体可以采用正则匹配方法,从上述目标用户访问请求日志信息中提取访问请求地址,得到访问请求地址集合作为目标访问请求地址集合。
第三步,对上述目标访问请求地址集合进行聚类处理,得到各个第一访问请求地址集合。其中,上述各个第一访问请求地址集合中的第一访问请求地址集合包括的各个第一访问请求地址均相同。实践中,上述执行主体可以将上述访问请求地址集合中相同的访问请求地址组成第一访问请求地址集合,得到各个第一访问请求地址集合。
第四步,对于上述各个第一访问请求地址集合中的每个第一访问请求地址集合,执行以下步骤:
第一子步骤,响应于确定上述第一访问请求地址集合中的第一访问请求地址存在于异常访问请求信息集合中,且上述第一访问请求地址集合包括的各个第一访问请求地址的数量满足预设阈值条件,将上述第一访问请求地址集合中的第一访问请求地址确定为正常访问请求地址。其中,上述预设阈值条件可以为第一访问请求地址集合中第一访问请求地址的数量大于预设阈值。此处,对于上述预设阈值的具体设定,不做限定。
第二子步骤,将上述正常访问请求地址作为目标访问请求信息添加至目标访问请求信息集合中,以对目标访问请求信息集合进行更新。
第三子步骤,将上述正常访问请求地址从异常访问请求信息集合中删除,以对异常访问请求信息集合进行更新。
第五步,根据更新的目标访问请求信息集合和上述请求特征类型信息集合,确定对应更新的目标访问请求信息集合的更新目标访问请求特征信息集合。其中,上述更新目标访问请求特征信息集合可以为从更新的目标访问请求信息集合中提取出的各个请求字段和各个请求字段对应的各个请求字段值。此处,确定对应更新的目标访问请求信息集合的更新目标访问请求特征信息集合的步骤可以参考步骤104中确定对应上述异常访问请求信息集合的异常资源访问请求特征信息集合的步骤,在此不再赘述。
第六步,根据更新的异常访问请求信息集合和上述请求特征类型信息集合,确定对应更新的异常访问请求信息集合的更新异常资源访问请求特征信息集合。其中,上述更新异常资源访问请求特征信息集合可以为从更新的异常访问请求信息集合中提取出的各个请求字段和各个请求字段对应的各个请求字段值。此处,确定对应更新的异常访问请求信息集合的更新异常资源访问请求特征信息集合的步骤可以参考步骤104中确定对应上述目标访问请求信息集合的目标访问请求特征信息集合的步骤,在此不再赘述。
第七步,根据上述更新目标访问请求特征信息集合和上述更新异常资源访问请求特征信息集合,对资源访问请求信息决策模型进行更新。此处,对资源访问请求信息决策模型的更新可以参考步骤105中生成资源访问请求信息决策模型的步骤,在此不再赘述。
本公开的上述各个实施例具有如下有益效果:通过本公开的一些实施例的系统资源访问请求信息处理方法,提高了系统的安全性。具体来说,造成系统的安全性较低的原因在于:规则库更新较慢,导致黑名单机制具有一定的局限性和滞后性,并且规则库中的规则大部分针对的是通用规则,而通常系统都会对应各种业务,不同的业务对应不同的访问请求形态(例如端口、协议),未考虑针对各个不同业务细粒度的制定规则库,导致针对不同业务的防护规则较少,从而导致系统的外部攻击防御能力较低,进而导致系统安全性较低。基于此,本公开的一些实施例的系统资源访问请求信息处理方法,首先,获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息,其中,上述目标业务信息集合中的目标业务信息对应上述目标访问请求信息集合中的目标访问请求信息,上述目标业务信息集合中的目标业务信息对应上述请求特征类型信息集合中的请求特征类型信息。由此,可以得到系统的目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息。请求特征类型信息集合可以表征各个请求链接对应的各个请求字段。目标访问请求信息集合可以表征对应上述目标业务信息集合的各个合法请求链接。然后,根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合,其中,上述目标访问请求信息集合中的目标访问请求信息对应上述目标访问请求特征信息集合中的目标访问请求特征信息。由此,可以得到对应目标访问请求信息集合的目标访问请求特征信息集合。上述目标访问请求特征信息集合中的目标访问请求特征信息可以为从目标访问请求信息中提取出的各个请求字段和各个请求字段对应的各个请求字段值。其次,根据上述目标访问请求信息集合,对上述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合。由此,可以得到用户访问请求日志信息中包括的各个异常访问请求信息。之后,根据上述异常访问请求信息集合和上述请求特征类型信息集合,确定对应上述异常访问请求信息集合的异常资源访问请求特征信息集合,其中,上述异常访问请求信息集合中的异常访问请求信息对应上述异常资源访问请求特征信息集合中的异常资源访问请求特征信息。由此,可以得到异常访问请求信息集合中每个异常访问请求信息对应的异常资源访问请求特征信息。上述异常资源访问请求特征信息可以为从异常访问请求信息中提取出的各个请求字段和各个请求字段对应的各个请求字段内容。接着,根据上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型。由此,可以得到资源访问请求信息决策模型,可以用于对系统资源访问请求信息进行是否属于异常请求的决策。之后,响应于接收到系统资源访问请求信息,根据上述资源访问请求信息决策模型,确定上述系统资源访问请求信息是否满足预设访问条件。由此,可以确定访问请求信息是否满足预设访问条件,可以用于判断系统资源访问请求信息是否可以访问所请求的系统资源数据。最后,响应于确定上述系统资源访问请求信息满足上述预设访问条件,将对应上述系统资源访问请求信息的系统资源数据发送至请求端,以对上述系统资源访问请求信息进行处理。由此,可以在确定系统资源访问请求信息满足预设访问条件后,允许请求端访问所请求的系统资源数据。也因为所实现的系统资源访问请求信息处理方法,能够细粒度的根据针对各个业务情况的各个合法请求筛选出异常请求集合。并根据对应各个不同业务的合法请求集合和异常请求集合构建资源访问请求信息决策模型用于对每个系统资源访问请求进行是否属于异常请求的判定,从而能对每个系统资源访问请求进行细粒度的判定,从而扩大了系统防御异常攻击链接的范围,从而提升了系统的防御能力,进而提升了系统的安全性。
进一步参考图2,作为对上述各图所示方法的实现,本公开提供了一种系统资源访问请求信息处理装置的一些实施例,这些装置实施例与图1所示的那些方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图2所示,一些实施例的系统资源访问请求信息处理装置200包括:获取单元201、第一确定单元202、筛选单元203、第二确定单元204、生成单元205、第三确定单元206和处理单元207。其中,获取单元201被配置成获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息,其中,上述目标业务信息集合中的目标业务信息对应上述目标访问请求信息集合中的目标访问请求信息,上述目标业务信息集合中的目标业务信息对应上述请求特征类型信息集合中的请求特征类型信息;第一确定单元202被配置成根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合,其中,上述目标访问请求信息集合中的目标访问请求信息对应上述目标访问请求特征信息集合中的目标访问请求特征信息;筛选单元203被配置成根据上述目标访问请求信息集合,对上述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合;第二确定单元204被配置成根据上述异常访问请求信息集合和上述请求特征类型信息集合,确定对应上述异常访问请求信息集合的异常资源访问请求特征信息集合,其中,上述异常访问请求信息集合中的异常访问请求信息对应上述异常资源访问请求特征信息集合中的异常资源访问请求特征信息;生成单元205被配置成根据上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型;第三确定单元206被配置成响应于接收到系统资源访问请求信息,根据上述资源访问请求信息决策模型,确定上述系统资源访问请求信息是否满足预设访问条件;处理单元207被配置成响应于确定上述系统资源访问请求信息满足上述预设访问条件,将对应上述系统资源访问请求信息的系统资源数据发送至请求端,以对上述系统资源访问请求信息进行处理。
可以理解的是,系统资源访问请求信息处理装置200中记载的诸单元与参考图1描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于装置200及其中包含的单元,在此不再赘述。
下面参考图3,其示出了适于用来实现本公开的一些实施例的电子设备(例如计算设备)300的结构示意图。图3示出的电子设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图3所示,电子设备300可以包括处理装置(例如中央处理器、图形处理器等)301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储装置308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM 303中,还存储有电子设备300操作所需的各种程序和数据。处理装置301、ROM 302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
通常,以下装置可以连接至I/O接口305:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置306;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置307;包括例如磁带、硬盘等的存储装置308;以及通信装置309。通信装置309可以允许电子设备300与其他设备进行无线或有线通信以交换数据。虽然图3示出了具有各种装置的电子设备300,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图3中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的一些实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的一些实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中,该计算机程序可以通过通信装置309从网络上被下载和安装,或者从存储装置308被安装,或者从ROM 302被安装。在该计算机程序被处理装置301执行时,执行本公开的一些实施例的方法中限定的上述功能。
需要说明的是,本公开的一些实施例中记载的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息,其中,上述目标业务信息集合中的目标业务信息对应上述目标访问请求信息集合中的目标访问请求信息,上述目标业务信息集合中的目标业务信息对应上述请求特征类型信息集合中的请求特征类型信息;根据上述目标访问请求信息集合和上述请求特征类型信息集合,确定对应上述目标访问请求信息集合的目标访问请求特征信息集合,其中,上述目标访问请求信息集合中的目标访问请求信息对应上述目标访问请求特征信息集合中的目标访问请求特征信息;根据上述目标访问请求信息集合,对上述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合;根据上述异常访问请求信息集合和上述请求特征类型信息集合,确定对应上述异常访问请求信息集合的异常资源访问请求特征信息集合,其中,上述异常访问请求信息集合中的异常访问请求信息对应上述异常资源访问请求特征信息集合中的异常资源访问请求特征信息;根据上述目标访问请求特征信息集合和上述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型;响应于接收到系统资源访问请求信息,根据上述资源访问请求信息决策模型,确定上述系统资源访问请求信息是否满足预设访问条件;响应于确定上述系统资源访问请求信息满足上述预设访问条件,将对应上述系统资源访问请求信息的系统资源数据发送至请求端,以对上述系统资源访问请求信息进行处理。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的一些实施例中的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取单元、第一确定单元、筛选单元、第二确定单元、生成单元、第三确定单元和处理单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,获取单元还可以被描述为“获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息的单元”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种系统资源访问请求信息处理方法,包括:
获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息,其中,所述目标业务信息集合中的目标业务信息对应所述目标访问请求信息集合中的目标访问请求信息,所述目标业务信息集合中的目标业务信息对应所述请求特征类型信息集合中的请求特征类型信息;
根据所述目标访问请求信息集合和所述请求特征类型信息集合,确定对应所述目标访问请求信息集合的目标访问请求特征信息集合,其中,所述目标访问请求信息集合中的目标访问请求信息对应所述目标访问请求特征信息集合中的目标访问请求特征信息;
根据所述目标访问请求信息集合,对所述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合;
根据所述异常访问请求信息集合和所述请求特征类型信息集合,确定对应所述异常访问请求信息集合的异常资源访问请求特征信息集合,其中,所述异常访问请求信息集合中的异常访问请求信息对应所述异常资源访问请求特征信息集合中的异常资源访问请求特征信息;
根据所述目标访问请求特征信息集合和所述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型;
响应于接收到系统资源访问请求信息,根据所述资源访问请求信息决策模型,确定所述系统资源访问请求信息是否满足预设访问条件;
响应于确定所述系统资源访问请求信息满足所述预设访问条件,将对应所述系统资源访问请求信息的系统资源数据发送至请求端,以对所述系统资源访问请求信息进行处理。
2.根据权利要求1所述的方法,其中,所述根据所述目标访问请求信息集合和所述请求特征类型信息集合,确定对应所述目标访问请求信息集合的目标访问请求特征信息集合,包括:
对于所述目标访问请求信息集合中的每个目标访问请求信息,执行以下步骤:
将所述目标访问请求信息输入至预先训练的特征提取模型,得到所述请求特征类型信息集合中对应所述目标访问请求信息的请求特征类型信息的各个特征值;
将对应所述目标访问请求信息的请求特征类型信息和所述各个特征值确定为目标访问请求特征信息;
将所确定的各个目标访问请求特征信息确定为目标访问请求特征信息集合。
3.根据权利要求1所述的方法,其中,所述根据所述目标访问请求信息集合,对所述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合,包括:
从所述用户访问请求日志信息中提取访问请求地址,得到访问请求地址集合;
对所述访问请求地址集合进行去重处理,得到第一目标访问请求地址集合;
对所述第一目标访问请求地址集合进行降噪处理,得到第二目标访问请求地址集合;
对于所述第二目标访问请求地址集合中的每个第二目标访问请求地址,响应于确定所述第二目标访问请求地址与所述目标访问请求信息集合中的各个目标访问请求信息相异,将所述第二目标访问请求地址确定为异常访问请求信息;
将所确定的各个异常访问请求信息确定为异常访问请求信息集合。
4.根据权利要求3所述的方法,其中,所述根据所述目标访问请求特征信息集合和所述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型,包括:
将所述目标访问请求特征信息集合和所述异常资源访问请求特征信息集合进行组合处理,得到资源访问请求特征信息集合;
对于所述资源访问请求特征信息集合中的每个资源访问请求特征信息,执行以下步骤:
将所述资源访问请求特征信息确定为样本资源访问请求特征信息;
响应于确定所述资源访问请求特征信息为目标访问请求特征信息,将表征正常请求的标签确定为决策信息;
响应于确定所述资源访问请求特征信息为异常资源访问请求特征信息,将表征异常请求的标签确定为决策信息;
将所确定的样本资源访问请求特征信息和决策信息确定为训练样本;
对所确定的各个训练样本进行随机排序处理,得到随机排序处理后的各个训练样本;
将随机排序处理后的各个训练样本确定为训练样本集;
根据所述训练样本集和所述请求特征类型信息集合,生成资源访问请求信息决策模型。
5.根据权利要求4所述的方法,其中,所述响应于接收到系统资源访问请求信息,根据所述资源访问请求信息决策模型,确定所述系统资源访问请求信息是否满足预设访问条件,包括:
确定所述系统资源访问请求信息对应的目标业务信息;
根据所述目标业务信息对应的请求特征类型信息,确定所述系统资源访问请求信息的访问请求特征信息;
将所述访问请求特征信息输入至所述资源访问请求信息决策模型,得到所述系统资源访问请求信息的决策信息;
响应于确定所述系统资源访问请求信息的决策信息表征所述系统资源访问请求信息为正常请求,确定所述系统资源访问请求信息满足所述预设访问条件。
6.根据权利要求1所述的方法,其中,所述方法还包括:
响应于确定所述系统资源访问请求信息不满足所述预设访问条件,将所述系统资源访问请求信息添加至异常访问请求信息集合。
7.根据权利要求1-6之一所述的方法,其中,所述方法还包括:
获取满足预设时间间隔的用户访问请求日志信息作为目标用户访问请求日志信息;
从所述目标用户访问请求日志信息中提取访问请求地址,得到访问请求地址集合作为目标访问请求地址集合;
对所述目标访问请求地址集合进行聚类处理,得到各个第一访问请求地址集合;
对于所述各个第一访问请求地址集合中的每个第一访问请求地址集合,执行以下步骤:
响应于确定所述第一访问请求地址集合中的第一访问请求地址存在于异常访问请求信息集合中,且所述第一访问请求地址集合包括的各个第一访问请求地址的数量满足预设阈值条件,将所述第一访问请求地址集合中的第一访问请求地址确定为正常访问请求地址;
将所述正常访问请求地址作为目标访问请求信息添加至目标访问请求信息集合中,以对目标访问请求信息集合进行更新;
将所述正常访问请求地址从异常访问请求信息集合中删除,以对异常访问请求信息集合进行更新;
根据更新的目标访问请求信息集合和所述请求特征类型信息集合,确定对应更新的目标访问请求信息集合的更新目标访问请求特征信息集合;
根据更新的异常访问请求信息集合和所述请求特征类型信息集合,确定对应更新的异常访问请求信息集合的更新异常资源访问请求特征信息集合;
根据所述更新目标访问请求特征信息集合和所述更新异常资源访问请求特征信息集合,对资源访问请求信息决策模型进行更新。
8.一种系统资源访问请求信息处理装置,包括:
获取单元,被配置成获取目标业务信息集合、请求特征类型信息集合、目标访问请求信息集合和用户访问请求日志信息,其中,所述目标业务信息集合中的目标业务信息对应所述目标访问请求信息集合中的目标访问请求信息,所述目标业务信息集合中的目标业务信息对应所述请求特征类型信息集合中的请求特征类型信息;
第一确定单元,被配置成根据所述目标访问请求信息集合和所述请求特征类型信息集合,确定对应所述目标访问请求信息集合的目标访问请求特征信息集合,其中,所述目标访问请求信息集合中的目标访问请求信息对应所述目标访问请求特征信息集合中的目标访问请求特征信息;
筛选单元,被配置成根据所述目标访问请求信息集合,对所述用户访问请求日志信息进行筛选处理,得到异常访问请求信息集合;
第二确定单元,被配置成根据所述异常访问请求信息集合和所述请求特征类型信息集合,确定对应所述异常访问请求信息集合的异常资源访问请求特征信息集合,其中,所述异常访问请求信息集合中的异常访问请求信息对应所述异常资源访问请求特征信息集合中的异常资源访问请求特征信息;
生成单元,被配置成根据所述目标访问请求特征信息集合和所述异常资源访问请求特征信息集合,生成资源访问请求信息决策模型;
第三确定单元,被配置成响应于接收到系统资源访问请求信息,根据所述资源访问请求信息决策模型,确定所述系统资源访问请求信息是否满足预设访问条件;
处理单元,被配置成响应于确定所述系统资源访问请求信息满足所述预设访问条件,将对应所述系统资源访问请求信息的系统资源数据发送至请求端,以对所述系统资源访问请求信息进行处理。
9.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311744064.8A CN117424764B (zh) | 2023-12-19 | 2023-12-19 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311744064.8A CN117424764B (zh) | 2023-12-19 | 2023-12-19 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117424764A CN117424764A (zh) | 2024-01-19 |
CN117424764B true CN117424764B (zh) | 2024-02-23 |
Family
ID=89530659
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311744064.8A Active CN117424764B (zh) | 2023-12-19 | 2023-12-19 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117424764B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017124942A1 (zh) * | 2016-01-19 | 2017-07-27 | 阿里巴巴集团控股有限公司 | 一种异常访问检测方法及设备 |
CN109976914A (zh) * | 2019-04-01 | 2019-07-05 | 北京百度网讯科技有限公司 | 用于控制资源访问的方法和装置 |
CN112187799A (zh) * | 2020-09-28 | 2021-01-05 | 京东数字科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
CN117040779A (zh) * | 2023-06-21 | 2023-11-10 | 中国工商银行股份有限公司 | 一种网络异常访问信息获取方法及装置 |
CN117156012A (zh) * | 2023-10-26 | 2023-12-01 | 北京国电通网络技术有限公司 | 异常请求数据处理方法、装置、设备和计算机可读介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111522703B (zh) * | 2019-02-01 | 2023-08-11 | 伊姆西Ip控股有限责任公司 | 监控访问请求的方法、设备和计算机程序产品 |
-
2023
- 2023-12-19 CN CN202311744064.8A patent/CN117424764B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017124942A1 (zh) * | 2016-01-19 | 2017-07-27 | 阿里巴巴集团控股有限公司 | 一种异常访问检测方法及设备 |
CN109976914A (zh) * | 2019-04-01 | 2019-07-05 | 北京百度网讯科技有限公司 | 用于控制资源访问的方法和装置 |
CN112187799A (zh) * | 2020-09-28 | 2021-01-05 | 京东数字科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
CN117040779A (zh) * | 2023-06-21 | 2023-11-10 | 中国工商银行股份有限公司 | 一种网络异常访问信息获取方法及装置 |
CN117156012A (zh) * | 2023-10-26 | 2023-12-01 | 北京国电通网络技术有限公司 | 异常请求数据处理方法、装置、设备和计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117424764A (zh) | 2024-01-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10547618B2 (en) | Method and apparatus for setting access privilege, server and storage medium | |
CN110059747B (zh) | 一种网络流量分类方法 | |
CN112242984B (zh) | 检测异常网络请求的方法、电子设备和计算机程序产品 | |
CN109656923B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
US8407789B1 (en) | Method and system for dynamically optimizing multiple filter/stage security systems | |
US20120266186A1 (en) | Providing inter-platform application launch in context | |
CN111314063A (zh) | 一种基于物联网大数据信息管理方法、系统及装置 | |
CN115471307A (zh) | 基于知识图谱的审计评估信息生成方法、装置和电子设备 | |
WO2023160446A1 (zh) | 恶意网址识别方法、装置、存储介质及电子设备 | |
CN117424764B (zh) | 系统资源访问请求信息处理方法、装置、电子设备和介质 | |
CN114840634B (zh) | 信息存储方法、装置、电子设备和计算机可读介质 | |
CN114422277B (zh) | 防御网络攻击的方法、装置、电子设备和计算机可读介质 | |
CN111787041A (zh) | 用于处理数据的方法和装置 | |
CN114490718A (zh) | 数据输出方法、装置、电子设备和计算机可读介质 | |
CN114239963A (zh) | 有向图循环路径检测方法及装置 | |
CN114765634B (zh) | 网络协议识别方法、装置、电子设备及可读存储介质 | |
CN116881914B (zh) | 文件系统操作处理方法、系统、设备和计算机可读介质 | |
CN117473511B (zh) | 边缘节点漏洞数据处理方法、装置、设备及存储介质 | |
CN115297046B (zh) | 网关信息发送方法、装置、电子设备、介质和产品 | |
CN111582482B (zh) | 用于生成网络模型信息的方法、装置、设备和介质 | |
CN114826707B (zh) | 处理用户威胁的方法、装置、电子设备和计算机可读介质 | |
CN114039770B (zh) | 访问控制方法、装置、存储介质及电子设备 | |
CN115587593B (zh) | 信息抽取方法、装置、电子设备和计算机可读介质 | |
CN113128200B (zh) | 用于处理信息的方法和装置 | |
CN116743785A (zh) | 基于雾计算的云网数据存储方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |