CN117909976A - 面向网页防篡改的异常操作数据检测方法及系统 - Google Patents

面向网页防篡改的异常操作数据检测方法及系统 Download PDF

Info

Publication number
CN117909976A
CN117909976A CN202410101146.9A CN202410101146A CN117909976A CN 117909976 A CN117909976 A CN 117909976A CN 202410101146 A CN202410101146 A CN 202410101146A CN 117909976 A CN117909976 A CN 117909976A
Authority
CN
China
Prior art keywords
target
webpage
data
tamper
event log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410101146.9A
Other languages
English (en)
Other versions
CN117909976B (zh
Inventor
胡莹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yunjian Beijing Software Co ltd
Original Assignee
Yunjian Beijing Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yunjian Beijing Software Co ltd filed Critical Yunjian Beijing Software Co ltd
Priority to CN202410101146.9A priority Critical patent/CN117909976B/zh
Publication of CN117909976A publication Critical patent/CN117909976A/zh
Application granted granted Critical
Publication of CN117909976B publication Critical patent/CN117909976B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请提供一种面向网页防篡改的异常操作数据检测方法及系统,通过获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,并对所述网页操作事件日志进行时段拆分,生成多个操作时段所分别对应的时段操作事件日志;依据各所述时段操作事件日志,确定关联的所述操作时段所对应的操作类型,所述操作类型包括正常操作及异常操作;以各所述时段操作事件日志为模型学习数据,以关联的所述操作类型为模型学习知识,生成用于对网页篡改风险检测模型进行模型参数学习的模型学习数据序列,并依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习,能够准确检测网页是否遭受潜在篡改威胁行为,提高网页的安全性。

Description

面向网页防篡改的异常操作数据检测方法及系统
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种面向网页防篡改的异常操作数据检测方法及系统。
背景技术
随着互联网技术的不断发展和广泛应用,网页作为信息展示和交互的重要平台,其安全性问题日益突出。其中,网页篡改是一种常见的网络攻击手段,攻击者通过修改网页内容或结构,达到传播恶意信息、窃取用户数据或破坏网站正常运行等目的。为了有效应对网页篡改威胁,提升网页安全防护能力,相关技术不断涌现。
现有技术中,对于网页篡改的检测主要是通过人工的方式进行的,这种方式需要专业人员对网页进行仔细的检查和分析,耗时且效率低下。另外,也有一些基于机器学习的网页篡改检测方法,但这些方法主要是通过对网页的静态内容进行分析,无法有效地应对动态网页和恶意攻击等情况。因此,目前存在着对网页篡改检测的准确性和效率不高的问题。
发明内容
有鉴于此,本申请的目的在于提供一种面向网页防篡改的异常操作数据检测方法及系统,可以让更好地学习和识别潜在的篡改威胁行为,从而达到更准确的检测和更高效的保护。
依据本申请的第一方面,提供一种面向网页防篡改的异常操作数据检测方法,所述方法包括:
获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,并对所述网页操作事件日志进行时段拆分,生成多个操作时段所分别对应的时段操作事件日志;
依据各所述时段操作事件日志,确定关联的所述操作时段所对应的操作类型,所述操作类型包括正常操作及异常操作;
以各所述时段操作事件日志为模型学习数据,以关联的所述操作类型为模型学习知识,生成用于对网页篡改风险检测模型进行模型参数学习的模型学习数据序列,并依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习;
其中,所述网页篡改风险检测模型用于依据所述目标网页的网页操作事件日志,对所述目标网页所遭受的潜在篡改威胁行为进行检测。
在第一方面的一种可能的实施方式中,所述依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习,包括:
对于所述模型学习数据序列中的各所述时段操作事件日志,从多个不同的知识抽取字段,分别对所述时段操作事件日志进行知识抽取,生成各所述知识抽取字段分别对应的字段知识特征数据;
对各所述字段知识特征数据分别进行自注意力处理,生成各所述字段知识特征数据分别对应的字段自注意力矢量,并将各所述字段自注意力矢量进行交融,生成目标表征矢量数据;
通过所述网页篡改风险检测模型,依据所述目标表征矢量数据,对所述潜在篡改威胁行为进行风险检测,生成所述潜在篡改威胁行为的估计操作类型;
基于所述估计操作类型和关联的所述操作类型,对所述网页篡改风险检测模型进行模型参数学习。
在第一方面的一种可能的实施方式中,所述知识抽取字段包括操作顺序抽取字段、操作频率抽取字段和操作模式抽取字段,所述从多个不同的知识抽取字段,分别对所述时段操作事件日志进行知识抽取,生成各所述知识抽取字段分别对应的字段知识特征数据,包括:
从所述操作顺序抽取字段,对所述时段操作事件日志进行操作顺序知识抽取,生成所述操作顺序抽取字段对应的操作顺序字段知识特征数据;
从所述操作频率抽取字段,对所述时段操作事件日志进行操作频率知识抽取,生成所述操作频率抽取字段对应的操作频率字段知识特征数据;从所述操作模式抽取字段,对所述时段操作事件日志进行操作模式知识抽取,生成所述操作模式抽取字段对应的操作模式字段知识特征数据。
在第一方面的一种可能的实施方式中,所述将各所述字段自注意力矢量进行交融,生成目标表征矢量数据,包括:
获取各所述字段自注意力矢量分别对应的矢量属性,并将各所述矢量属性进行平均,生成平均矢量属性;
将各所述矢量属性分别与所述平均矢量属性进行比较,生成各所述矢量属性对应的属性比较信息;
在所述属性比较信息表征所述矢量属性与所述平均矢量属性相同时,将关联的所述字段自注意力矢量,输出为所述字段自注意力矢量对应的目标字段自注意力矢量;
在所述属性比较信息表征所述矢量属性与所述平均矢量属性不同时,对关联的所述字段自注意力矢量的矢量属性,更新为所述平均矢量属性,生成所述字段自注意力矢量对应的目标字段自注意力矢量;
将各所述目标字段自注意力矢量进行交融,生成所述目标表征矢量数据。
在第一方面的一种可能的实施方式中,所述获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,包括:
获取所述目标网页在遭受所述潜在篡改威胁行为期间,在各监控节点所分别对应的各个页面对象的操作频率和操作幅度;
对于各所述监控节点,将关联的所述操作频率的数值和所述操作幅度的数值进行平均,生成所述监控节点对应的节点操作事件日志;
基于所述监控节点的时序次序,对各所述节点操作事件日志进行排列,生成所述网页操作事件日志。
在第一方面的一种可能的实施方式中,所述时段操作事件日志包括所述目标网页在遭受潜在篡改威胁行为期间产生的的各监控节点分别对应的节点操作事件日志,所述依据各所述时段操作事件日志,确定关联的所述操作时段所对应的操作类型,包括:
针对各所述时段操作事件日志,对于任意一个时段操作事件日志对应的各所述监控节点,获取所述监控节点的一个或多个联动监控节点,并将所述监控节点对应的节点操作事件日志分别与各所述联动监控节点对应的节点操作事件日志进行比较,生成各所述联动监控节点分别对应的操作变化参数,当存在一个或多个所述操作变化参数不小于设定变化参数时,将所述监控节点的目标操作安全性输出为第一操作安全性,当不存在所述操作变化参数不小于所述设定变化参数时,将所述目标操作安全性输出为第二操作安全性,其中,所述第一操作安全性,表征所述目标网页在所述监控节点经过的操作为非安全操作,所述第二操作安全性,表征所述目标网页在所述监控节点经过的操作为安全操作;
当所述目标操作安全性反映所述目标网页在所述监控节点所遭受的所述潜在篡改威胁行为的操作为安全操作时,将所述目标操作安全性对应的监控节点,输出为目标监控节点;
依据所述目标监控节点的统计参数,确定关联的所述操作时段所对应的操作类型;
若所述目标监控节点的统计参数大于设定参数值,将所述操作类型输出为所述正常操作,以及若所述目标监控节点的统计参数不大于所述设定参数值,将所述操作类型输出为所述异常操作。
在第一方面的一种可能的实施方式中,所述依据所述目标监控节点的统计参数,确定关联的所述操作时段所对应的操作类型,包括:
将所述目标监控节点的统计参数除以所述监控节点的统计参数,生成所述潜在篡改威胁行为的安全评估指标;
在所述安全评估指标大于设定评估指标时,将所述操作类型输出为所述正常操作,以及,在所述安全评估指标不大于所述设定评估指标时,将所述操作类型输出为所述异常操作。
在第一方面的一种可能的实施方式中,所述依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习之后,所述方法还包括:
获取目标网页的访问路径数据,并从目标网络架构中检索所述访问路径数据对应的候选数据访问行为的篡改风险等级,生成检索结果;
在所述检索结果反映所述目标网络架构中未记载所述候选数据访问行为的篡改风险等级时,获取所述目标网页在响应所述候选数据访问行为的目标操作事件日志,对所述目标操作事件日志进行自注意力处理,生成目标响应向量序列;
基于所述网页篡改风险检测模型,依据所述目标响应向量序列,对所述候选数据访问行为进行风险检测,生成所述候选数据访问行为的估计篡改风险等级;
将所述候选数据访问行为的估计篡改风险等级,加载到所述目标网络架构中,生成迭代网络架构。
在第一方面的一种可能的实施方式中,所述方法还包括:
在所述检索结果反映所述目标网络架构中存在所述候选数据访问行为的篡改风险等级,且所述候选数据访问行为的篡改风险等级反映所述候选数据访问行为的操作为非安全操作时,输出第一安全窗口数据;
在所述检索结果反映所述目标网络架构中存在所述候选数据访问行为的篡改风险等级,且所述候选数据访问行为的篡改风险等级反映所述候选数据访问行为的操作为安全操作时,输出第二安全窗口数据;
其中,所述第一安全窗口数据,用于引导在所述目标网络架构上迁移所述访问路径数据,所述第二安全窗口数据,用于引导所述访问路径数据对应的候选数据访问行为可安全访问。
依据本申请的第二方面,提供一种网页防篡改系统,所述网页防篡改系统包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述处理器在执行所述机器可执行指令时,该网页防篡改系统实现前述的面向网页防篡改的异常操作数据检测方法。
依据本申请的第三方面,提供提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,当所述计算机可执行指令被执行时,实现前述的面向网页防篡改的异常操作数据检测方法。
依据上述任意一个方面,本申请的技术效果在于:
通过获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,并对所述网页操作事件日志进行时段拆分,生成多个操作时段所分别对应的时段操作事件日志;依据各所述时段操作事件日志,确定关联的所述操作时段所对应的操作类型,所述操作类型包括正常操作及异常操作;以各所述时段操作事件日志为模型学习数据,以关联的所述操作类型为模型学习知识,生成用于对网页篡改风险检测模型进行模型参数学习的模型学习数据序列,并依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习,能够准确检测网页是否遭受潜在篡改威胁行为,提高网页的安全性。
也即,通过获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,并对这些日志数据进行时段拆分,能够精细地捕捉到不同时间段内的网页操作细节,这种时段拆分的处理方式不仅提高了分析的精确度,还有助于揭示潜在篡改行为的时序特征。进一步地,依据各时段操作事件日志确定了关联的操作类型,包括正常操作和异常操作。这种分类使得系统能够准确区分网页的正常活动与潜在的篡改威胁行为,从而有效减少了误报和漏报的可能性。此外,利用时段操作事件日志作为模型学习数据,结合关联的操作类型进行模型参数学习。通过这种方式,网页篡改风险检测模型能够持续地从实际操作中学习并优化自身的检测能力。这不仅提高了模型的自适应性和准确性,还使得模型能够更有效地应对不断演变的网络威胁。最终,网页篡改风险检测模型能够依据目标网页的实时网页操作事件日志,对潜在的篡改威胁行为进行快速、准确的检测。这大大增强了网页的防御能力,降低了被恶意篡改的风险,从而保障了网站的安全稳定运行。同时,该模型还具有高度的灵活性和可扩展性,可以广泛应用于不同类型的网站和网页安全防护场景。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以依据这些附图获得其它相关的附图。
图1本申请实施例所提供的面向网页防篡改的异常操作数据检测方法的流程示意图;
图2示出了本申请实施例所提供的用于实现上述的面向网页防篡改的异常操作数据检测方法的网页防篡改系统的组件结构示意图。
具体实施方式
下面结合本申请中的附图描述本申请的实施例。应理解,下面结合附图所阐述的实施方式,是用于解释本申请实施例的技术方案的示例性描述,对本申请实施例的技术方案不构成限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请实施例所使用的术语“包括”以及“包含”是指相应特征可以实现为所呈现的特征、信息、数据、步骤、操作、元件和/或组件,但不排除实现为本技术领域所支持其它特征、信息、数据、步骤、操作、元件、组件和/或它们的组合等。应该理解,当称一个元件被“连接”或“耦接”到另一元件时,该一个元件可以直接连接或耦接到另一元件,也可以指该一个元件和另一元件通过中间元件建立连接关系。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的术语“和/或”指示该术语所限定的项目中的至少一个,例如“A和/或B”可以实现为“A”,或者实现为“B”,或者实现为“A和B”。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。下面通过对几个示例性实施方式的描述,对本申请实施例的技术方案以及本申请的技术方案产生的技术效果进行说明。需要指出的是,下述实施方式之间可以相互参考、借鉴或结合,对于不同实施方式中相同的术语、相似的特征以及相似的实施步骤等,不再重复描述。
图1示出了本申请实施例提供的面向网页防篡改的异常操作数据检测方法及系统的流程示意图,应当理解,在其它实施例中,本实施例的面向网页防篡改的异常操作数据检测方法其中部分步骤的顺序可以依据实际需要相互共享,或者其中的部分步骤也可以省略或维持。该面向网页防篡改的异常操作数据检测方法的详细步骤包括:
步骤S110,获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,并对所述网页操作事件日志进行时段拆分,生成多个操作时段所分别对应的时段操作事件日志。
例如,假设在一个银行网站,为了防止黑客篡改其网页,采用了网页防篡改系统,具体来说,可以记录所有的用户操作事件,如访问网页、点击按钮、填写表单等。这些操作事件会被实时地记录下来,形成操作事件日志。网页防篡改系统会对这些操作事件日志进行时段拆分,将一天的操作事件日志拆分成若干个操作时段,每个操作时段对应一定的时间范围,如每小时、每个半小时等。这样,就可以得到多个操作时段所分别对应的时段操作事件日志。例如,当一个在线购物网站的服务器记录了一天的网页操作事件日志后,网页防篡改系统会将这些日志拆分成若干个时间段,如每小时、每个半小时等。这样,网页防篡改系统就可以更好地分析每个时间段内的网页操作事件,找出潜在的篡改威胁行为。
也即,所述网页操作事件日志是一个记录网页操作的日志文件。当用户访问网页时,记录用户的操作,如访问网页、点击按钮、填写表单等。这些操作会被记录下来,形成一个日志文件。网页操作事件日志就是这个日志文件。例如,当一个用户访问一个在线购物网站时,服务器会记录下用户的操作,如浏览商品、添加商品到购物车、结算等。这些操作会被记录下来,形成一个日志文件,这个日志文件就是网页操作事件日志。
所述潜在篡改威胁行为可以是指黑客可能对网页进行的一些恶意操作,如篡改网页内容、窃取用户信息等。网页防篡改系统需要检测这些潜在的篡改威胁行为,并采取相应的措施来防止它们。例如,当一个黑客尝试通过恶意软件篡改一个在线购物网站的商品价格时,网页防篡改系统会检测到这个行为,并采取相应的措施来阻止它,如发送警报、锁定网站等。
所述时段操作事件日志可以是指每个时间段内的网页操作事件日志。通过将一天的网页操作事件日志拆分成若干个时间段,可以更好地分析每个时间段内的网页操作事件,找出潜在的篡改威胁行为。例如,当一个在线购物网站的服务器记录了一天的网页操作事件日志后,网页防篡改系统会将这些日志拆分成若干个时间段,如每小时、每个半小时等。每个时间段内的网页操作事件日志就是时段操作事件日志。通过分析这些时段操作事件日志,网页防篡改系统可以找出潜在的篡改威胁行为。
步骤S120,依据各所述时段操作事件日志,确定关联的所述操作时段所对应的操作类型,所述操作类型包括正常操作及异常操作。
具体来说,网页防篡改系统会分析每个时段操作事件日志,通过对操作事件进行分类,确定出每个操作时段内的操作类型。例如,如果一个操作时段内的所有操作都是正常的用户操作,如浏览网页、填写表单等,那么这个操作时段的操作类型就被确定为正常操作。如果一个操作时段内出现了异常操作,如短时间内大量的异常请求、敏感信息的泄露等,那么这个操作时段的操作类型就被确定为异常操作。
所述操作类型是指网页操作事件日志中的操作类型,包括正常操作和异常操作。正常操作是指用户在网页上进行的一般操作,如浏览网页、点击按钮等。异常操作是指可能对网页造成篡改或窃取用户信息等恶意操作。网页防篡改系统需要根据时段操作事件日志来确定每个操作时段所对应的操作类型。例如,在一个在线购物网站中,用户可以浏览商品、添加商品到购物车、结算等操作,这些操作都属于正常操作。而黑客可能会通过恶意软件篡改商品价格、窃取用户账号密码等操作,这些操作都属于异常操作。网页防篡改系统需要根据时段操作事件日志来确定每个操作时段所对应的操作类型,从而防止网页被篡改或泄露用户信息。
步骤S130,以各所述时段操作事件日志为模型学习数据,以关联的所述操作类型为模型学习知识,生成用于对网页篡改风险检测模型进行模型参数学习的模型学习数据序列,并依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习。
其中,所述网页篡改风险检测模型用于依据所述目标网页的网页操作事件日志,对所述目标网页所遭受的潜在篡改威胁行为进行检测。
具体来说,网页防篡改系统会以每个时段操作事件日志为模型学习数据,以对应的操作类型为模型学习知识,生成一个模型学习数据序列。这个模型学习数据序列包含了大量的正常操作和异常操作的样本数据。然后,网页防篡改系统会使用这个模型学习数据序列对网页篡改风险检测模型进行模型参数学习。通过不断的学习和训练,网页篡改风险检测模型能够准确地区分正常操作和异常操作,从而实现对目标网页所遭受的潜在篡改威胁行为的检测。
例如,如果网页篡改风险检测模型发现某个操作时段内的操作类型为异常操作,那么网页防篡改系统就会发出警报,提醒网站管理员对网站进行检查和修复,以防止黑客篡改网页。
也即,所述模型学习数据是指用于训练模型的数据集,包括输入数据和输出数据。在这个步骤中,将时段操作事件日志作为模型学习数据,用于训练网页篡改风险检测模型。例如,当一个在线购物网站的服务器记录了一天的网页操作事件日志后,网页防篡改系统会将这些日志拆分成若干个时间段,如每小时、每个半小时等。每个时间段内的网页操作事件日志就是时段操作事件日志,可以作为模型学习数据,用于训练网页篡改风险检测模型。
所述模型学习知识可以是指模型学习过程中需要掌握的知识,包括正常操作和异常操作的特征、规律等。在这个步骤中,将关联的操作类型作为模型学习知识,用于训练网页篡改风险检测模型。例如,在一个在线购物网站中,用户可以浏览商品、添加商品到购物车、结算等操作,这些操作都属于正常操作。而黑客可能会通过恶意软件篡改商品价格、窃取用户账号密码等操作,这些操作都属于异常操作。网页防篡改系统需要根据时段操作事件日志来确定每个操作时段所对应的操作类型,从而防止网页被篡改或泄露用户信息。
所述网页篡改风险检测模型是指一种用于检测网页篡改风险的模型,可以根据目标网页的网页操作事件日志,对目标网页所遭受的潜在篡改威胁行为进行检测。在这个步骤中,需要根据模型学习数据序列对网页篡改风险检测模型进行模型参数学习。例如,在一个在线购物网站中,用户可以浏览商品、添加商品到购物车、结算等操作,这些操作都属于正常操作。而黑客可能会通过恶意软件篡改商品价格、窃取用户账号密码等操作,这些操作都属于异常操作。网页防篡改系统需要根据时段操作事件日志和关联的操作类型生成模型学习数据序列,用于训练网页篡改风险检测模型。当模型训练完成后,网页防篡改系统可以使用该模型对目标网页的网页操作事件日志进行检测,发现潜在的篡改威胁行为。
基于以上步骤,通过获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,并对所述网页操作事件日志进行时段拆分,生成多个操作时段所分别对应的时段操作事件日志;依据各所述时段操作事件日志,确定关联的所述操作时段所对应的操作类型,所述操作类型包括正常操作及异常操作;以各所述时段操作事件日志为模型学习数据,以关联的所述操作类型为模型学习知识,生成用于对网页篡改风险检测模型进行模型参数学习的模型学习数据序列,并依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习,能够准确检测网页是否遭受潜在篡改威胁行为,提高网页的安全性。
也即,通过获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,并对这些日志数据进行时段拆分,能够精细地捕捉到不同时间段内的网页操作细节,这种时段拆分的处理方式不仅提高了分析的精确度,还有助于揭示潜在篡改行为的时序特征。进一步地,依据各时段操作事件日志确定了关联的操作类型,包括正常操作和异常操作。这种分类使得系统能够准确区分网页的正常活动与潜在的篡改威胁行为,从而有效减少了误报和漏报的可能性。此外,利用时段操作事件日志作为模型学习数据,结合关联的操作类型进行模型参数学习。通过这种方式,网页篡改风险检测模型能够持续地从实际操作中学习并优化自身的检测能力。这不仅提高了模型的自适应性和准确性,还使得模型能够更有效地应对不断演变的网络威胁。最终,网页篡改风险检测模型能够依据目标网页的实时网页操作事件日志,对潜在的篡改威胁行为进行快速、准确的检测。这大大增强了网页的防御能力,降低了被恶意篡改的风险,从而保障了网站的安全稳定运行。同时,该模型还具有高度的灵活性和可扩展性,可以广泛应用于不同类型的网站和网页安全防护场景。
在一种可能的实施方式中,步骤S130中,依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习,包括:
步骤S131,对于所述模型学习数据序列中的各所述时段操作事件日志,从多个不同的知识抽取字段,分别对所述时段操作事件日志进行知识抽取,生成各所述知识抽取字段分别对应的字段知识特征数据。
例如,当网页防篡改系统需要对网页篡改风险检测模型进行模型参数学习时,首先需要从模型学习数据序列中读取每个时段操作事件日志,对每个时段操作事件日志进行知识抽取。对于每个知识抽取字段,网页防篡改系统需要根据该字段的特征和规律,从时段操作事件日志中抽取相应的信息,生成该字段的知识特征数据。例如,对于用户IP地址字段,网页防篡改系统可以抽取时段操作事件日志中用户的IP地址信息,生成与该字段对应的IP地址知识特征数据;对于用户设备类型字段,网页防篡改系统可以抽取时段操作事件日志中用户使用的设备类型信息,生成与该字段对应的设备类型知识特征数据。
步骤S132,对各所述字段知识特征数据分别进行自注意力处理,生成各所述字段知识特征数据分别对应的字段自注意力矢量,并将各所述字段自注意力矢量进行交融,生成目标表征矢量数据。
例如,对于每个时段操作事件日志,网页防篡改系统需要将其对应的各字段知识特征数据进行自注意力处理,以生成每个字段对应的字段自注意力矢量。然后,网页防篡改系统需要将各字段自注意力矢量进行交融,以生成目标表征矢量数据。自注意力处理和交融的过程,可以使得网页防篡改系统更加关注那些与潜在篡改威胁行为相关的字段,从而提高对潜在篡改威胁行为的检测准确率。
示例性的,在这个步骤中,自注意力机制是一种神经网络技术,可以用于提取输入数据中的重要部分。它的工作原理是通过计算输入数据中每个元素的权重,从而确定哪些元素对于整个输入数据的表示最重要。在的场景中,可以将每个字段的知识特征数据作为输入数据,并使用自注意力机制来计算每个字段的权重。
一旦得到了每个字段的权重,可以将它们进行交融,以生成目标表征矢量数据。具体来说,可以将每个字段的权重作为一个矢量,并将这些矢量进行加权求和,从而得到一个表示整个输入数据的矢量。这个矢量就是目标表征矢量数据,它可以用于后续的分类或回归任务。
下面是一个具体的实现例子,以说明如何使用自注意力机制来提取每个字段的重要性,并将它们进行交融以生成目标表征矢量数据。
假设有一个包含三个字段(A、B、C)的输入数据,每个字段都有一个对应的知识特征数据。可以使用自注意力机制来计算每个字段的权重。具体来说,可以使用一个可学习的参数矩阵W,其中每一行对应一个字段的权重。可以使用softmax函数将每个字段的权重归一化,从而得到一个概率分布。
接下来,可以将每个字段的知识特征数据与其对应的权重进行加权求和,以生成目标表征矢量数据。具体来说,可以将每个字段的知识特征数据与其对应的权重相乘,然后将这些乘积相加,从而得到一个表示整个输入数据的矢量。
以下是一个Python代码示例,用于计算每个字段的权重,并将它们进行交融以生成目标表征矢量数据:
python
import torch
import torch.nn as nn
#输入数据
input_data=torch.tensor([[1.0,2.0,3.0],[4.0,5.0,6.0],[7.0,8.0,9.0]])
#可学习的参数矩阵
W=nn.Parameter(torch.randn(3,3))
#计算每个字段的权重
attention_scores=torch.matmul(input_data,W)
attention_probs=nn.Softmax(dim=-1)(attention_scores)
#将每个字段的知识特征数据与其对应的权重进行加权求和,以生成目标表征矢量数据
weighted_sum=torch.matmul(attention_probs.T,input_data)
target_representation=weighted_sum.squeeze()
print(target_representation)
在这个例子中,首先定义了一个包含三个字段的输入数据,每个字段都有一个对应的知识特征数据。然后,定义了一个可学习的参数矩阵W,并使用softmax函数将每个字段的权重归一化。最后,将每个字段的知识特征数据与其对应的权重进行加权求和,以生成目标表征矢量数据。
步骤S133,通过所述网页篡改风险检测模型,依据所述目标表征矢量数据,对所述潜在篡改威胁行为进行风险检测,生成所述潜在篡改威胁行为的估计操作类型。
例如,网页防篡改系统需要根据生成的目标表征矢量数据,使用网页篡改风险检测模型进行风险检测。模型会将目标表征矢量数据输入到一个经过训练的分类器中,通过该分类器对潜在篡改威胁行为进行分类,生成该潜在篡改威胁行为的估计操作类型。例如,该估计操作类型可能被分为“正常操作”或“恶意操作”,其中“恶意操作”可能包括篡改页面内容、窃取用户数据等。
步骤S134,基于所述估计操作类型和关联的所述操作类型,对所述网页篡改风险检测模型进行模型参数学习。
例如,网页防篡改系统需要根据估计操作类型和关联的操作类型,对网页篡改风险检测模型进行模型参数学习。在这个过程中,网页防篡改系统会对模型进行监督学习,根据估计操作类型和关联操作类型的差异,来调整模型的参数,以使得下一轮风险检测时模型的准确性更高。例如,如果估计操作类型与关联的操作类型不符合,说明模型可能存在误判,此时系统需要根据两者之间的差异来调整模型,以减少误判的可能性。
在一种可能的实施方式中,所述知识抽取字段包括操作顺序抽取字段、操作频率抽取字段和操作模式抽取字段,步骤S131可以包括:
步骤S1311,从所述操作顺序抽取字段,对所述时段操作事件日志进行操作顺序知识抽取,生成所述操作顺序抽取字段对应的操作顺序字段知识特征数据。
步骤S1312,从所述操作频率抽取字段,对所述时段操作事件日志进行操作频率知识抽取,生成所述操作频率抽取字段对应的操作频率字段知识特征数据。从所述操作模式抽取字段,对所述时段操作事件日志进行操作模式知识抽取,生成所述操作模式抽取字段对应的操作模式字段知识特征数据。
当网页防篡改系统需要对网页篡改风险检测模型进行模型参数学习时,需要对每个时段操作事件日志进行知识抽取,生成每个知识抽取字段分别对应的字段知识特征数据。其中,知识抽取字段包括操作顺序抽取字段、操作频率抽取字段和操作模式抽取字段。
对于操作顺序抽取字段,网页防篡改系统需要分析每个时段操作事件日志中各种操作的顺序,例如用户点击按钮的顺序、用户访问页面的顺序等。通过对操作顺序进行分析,网页防篡改系统可以生成操作顺序抽取字段对应的操作顺序字段知识特征数据。
对于操作频率抽取字段,网页防篡改系统需要计算每个时段操作事件日志中各种操作的频率,例如用户访问某个页面的次数、用户点击某个按钮的次数等。通过对操作频率进行分析,网页防篡改系统可以生成操作频率抽取字段对应的操作频率字段知识特征数据。
对于操作模式抽取字段,网页防篡改系统需要分析每个时段操作事件日志中各种操作的模式,例如用户访问页面的时间间隔、用户点击按钮的时间间隔等。通过对操作模式进行分析,网页防篡改系统可以生成操作模式抽取字段对应的操作模式字段知识特征数据。
例如,对于一个在线购物网站,网页防篡改系统可以通过操作顺序抽取字段、操作频率抽取字段和操作模式抽取字段来分析用户访问网页的行为,从而检测出潜在的篡改威胁行为。如果网页防篡改系统发现用户在短时间内频繁访问同一个页面,并且访问页面的顺序与正常用户的访问顺序非常不同,那么网页防篡改系统可能会认为这个页面存在被篡改的风险。
在一种可能的实施方式中,步骤S132可以包括:
步骤S1321,获取各所述字段自注意力矢量分别对应的矢量属性,并将各所述矢量属性进行平均,生成平均矢量属性。
步骤S1322,将各所述矢量属性分别与所述平均矢量属性进行比较,生成各所述矢量属性对应的属性比较信息。
步骤S1323,在所述属性比较信息表征所述矢量属性与所述平均矢量属性相同时,将关联的所述字段自注意力矢量,输出为所述字段自注意力矢量对应的目标字段自注意力矢量。
步骤S1324,在所述属性比较信息表征所述矢量属性与所述平均矢量属性不同时,对关联的所述字段自注意力矢量的矢量属性,更新为所述平均矢量属性,生成所述字段自注意力矢量对应的目标字段自注意力矢量。
步骤S1325,将各所述目标字段自注意力矢量进行交融,生成所述目标表征矢量数据。
例如,网页防篡改系统首先需要获取各个字段自注意力矢量分别对应的矢量属性,并将各个矢量属性进行平均,生成平均矢量属性。这个过程可以帮助网页防篡改系统去除异常值和噪声,从而更准确地分析用户行为。
然后,网页防篡改系统将各个矢量属性分别与平均矢量属性进行比较,生成各个矢量属性对应的属性比较信息。这个过程可以帮助网页防篡改系统更好地理解用户行为的时间顺序和关联性,从而更准确地检测异常行为。
对于属性比较信息表征所述矢量属性与平均矢量属性相同时,网页防篡改系统将关联的字段自注意力矢量输出为字段自注意力矢量对应的目标字段自注意力矢量。这个过程可以帮助网页防篡改系统更好地理解用户行为的时间顺序和关联性,从而更准确地检测异常行为。
对于属性比较信息表征所述矢量属性与平均矢量属性不同时,网页防篡改系统对关联的字段自注意力矢量的矢量属性进行更新,生成字段自注意力矢量对应的目标字段自注意力矢量。这个过程可以帮助网页防篡改系统更好地理解用户行为的时间顺序和关联性,从而更准确地检测异常行为。
最后,网页防篡改系统将各个目标字段自注意力矢量进行交融,生成目标表征矢量数据。这个过程可以帮助网页防篡改系统更好地理解用户行为的时间顺序和关联性,从而更准确地检测异常行为。
例如,在一个在线购物网站中,如果网页防篡改系统发现用户在短时间内频繁访问同一个页面,并且访问页面的顺序与正常用户的访问顺序非常不同,那么网页防篡改系统可能会认为这个页面存在被篡改的风险。通过分析网页操作事件日志,网页防篡改系统可以更好地理解用户行为的时间顺序和关联性,从而更准确地检测异常行为。
在一种可能的实施方式中,步骤S110可以包括:
步骤S111,获取所述目标网页在遭受所述潜在篡改威胁行为期间,在各监控节点所分别对应的各个页面对象的操作频率和操作幅度。
步骤S112,对于各所述监控节点,将关联的所述操作频率的数值和所述操作幅度的数值进行平均,生成所述监控节点对应的节点操作事件日志。
步骤S113,基于所述监控节点的时序次序,对各所述节点操作事件日志进行排列,生成所述网页操作事件日志。
例如,网页防篡改系统首先需要获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志。这些日志记录了用户在网站上的操作行为,包括访问页面、点击按钮、提交表单等。
然后,网页防篡改系统从各个监控节点收集操作频率和操作幅度数据。操作频率是指用户在网站上执行某种操作的次数,操作幅度是指用户在网站上执行某种操作的强度,例如点击按钮的速度、提交表单的频率等。
对于每个监控节点,网页防篡改系统将关联的操作频率和操作幅度数据进行平均,生成监控节点对应的节点操作事件日志。这个过程可以帮助网页防篡改系统去除异常值和噪声,从而更准确地分析用户行为。
接下来,网页防篡改系统根据监控节点的时序次序,对各个节点操作事件日志进行排列,生成完整的网页操作事件日志。这个过程可以帮助网页防篡改系统更好地理解用户行为的时间顺序和关联性,从而更准确地检测异常行为。
例如,在一个在线购物网站中,如果网页防篡改系统发现用户在短时间内频繁访问同一个页面,并且访问页面的顺序与正常用户的访问顺序非常不同,那么网页防篡改系统可能会认为这个页面存在被篡改的风险。通过分析网页操作事件日志,网页防篡改系统可以更好地理解用户行为的时间顺序和关联性,从而更准确地检测异常行为。
在一种可能的实施方式中,所述时段操作事件日志包括所述目标网页在遭受潜在篡改威胁行为期间产生的的各监控节点分别对应的节点操作事件日志,步骤S120可以包括:
步骤S121,针对各所述时段操作事件日志,对于任意一个时段操作事件日志对应的各所述监控节点,获取所述监控节点的一个或多个联动监控节点,并将所述监控节点对应的节点操作事件日志分别与各所述联动监控节点对应的节点操作事件日志进行比较,生成各所述联动监控节点分别对应的操作变化参数,当存在一个或多个所述操作变化参数不小于设定变化参数时,将所述监控节点的目标操作安全性输出为第一操作安全性,当不存在所述操作变化参数不小于所述设定变化参数时,将所述目标操作安全性输出为第二操作安全性,其中,所述第一操作安全性,表征所述目标网页在所述监控节点经过的操作为非安全操作,所述第二操作安全性,表征所述目标网页在所述监控节点经过的操作为安全操作。
步骤S122,当所述目标操作安全性反映所述目标网页在所述监控节点所遭受的所述潜在篡改威胁行为的操作为安全操作时,将所述目标操作安全性对应的监控节点,输出为目标监控节点。
步骤S123,依据所述目标监控节点的统计参数,确定关联的所述操作时段所对应的操作类型。
步骤S124,若所述目标监控节点的统计参数大于设定参数值,将所述操作类型输出为所述正常操作,以及若所述目标监控节点的统计参数不大于所述设定参数值,将所述操作类型输出为所述异常操作。
本实施例中,当网页防篡改系统接收到用户访问目标网页的请求时,会生成一个操作时段操作事件日志,这个日志包含了用户在这个时段内的所有操作信息,例如操作时间、操作类型、操作对象
具体来说,网页防篡改系统会针对每个监控节点,获取这个节点对应的一个或多个联动监控节点,例如与这个节点有直接交互的其他节点。然后,网页防篡改系统会将这个监控节点对应的节点操作事件日志分别与各联动监控节点对应的节点操作事件日志进行比较,从而计算出每个联动监控节点对应的操作变化参数。
如果某个联动监控节点对应的操作变化参数不小于设定变化参数,就说明这个节点在用户访问过程中发生了异常操作,例如短时间内访问的页面数量大幅增加、访问的页面顺序异常等。这种情况下,网页防篡改系统会将这个监控节点的目标操作安全性设置为第一操作安全性,表示这个节点存在被篡改的风险。否则,网页防篡改系统会将目标操作安全性设置为第二操作安全性,表示这个节点没有出现异常操作。
最后,网页防篡改系统会根据目标监控节点的统计参数来确定关联的操作时段所对应的操作类型。如果目标监控节点的统计参数大于设定参数值,就说明用户在访问过程中进行了正常的操作,例如正常浏览页面、点击按钮等。如果目标监控节点的统计参数不大于设定参数值,就说明用户在访问过程中出现了异常操作,例如频繁访问无效页面、尝试篡改网页内容等。根据操作类型的不同,网页防篡改系统可以采取相应的安全措施来防止网页被篡改,例如限制访问频率、拦截恶意请求等。
在一种可能的实施方式中,步骤S123可以包括:
步骤S1231,将所述目标监控节点的统计参数除以所述监控节点的统计参数,生成所述潜在篡改威胁行为的安全评估指标。
步骤S1232,在所述安全评估指标大于设定评估指标时,将所述操作类型输出为所述正常操作,以及,在所述安全评估指标不大于所述设定评估指标时,将所述操作类型输出为所述异常操作。
以下是网页防篡改系统如何根据目标监控节点的统计参数来确定关联的操作时段所对应的操作类型的详细场景举例说明:
1.用户访问网页,网页防篡改系统开始监控用户的操作行为。
2.网页防篡改系统根据用户的操作行为生成一个操作时段操作事件日志,包含操作时间、操作类型、操作对象等信息。
3.网页防篡改系统根据操作时段操作事件日志,计算出目标监控节点的统计参数,例如访问页面数量、访问页面顺序等。
4.网页防篡改系统根据目标监控节点的统计参数,确定关联的操作时段所对应的操作类型。例如,如果用户在访问过程中正常浏览页面、点击按钮等,网页防篡改系统会将操作类型输出为正常操作;如果用户在访问过程中出现异常操作,例如频繁访问无效页面、尝试篡改网页内容等,网页防篡改系统会将操作类型输出为异常操作。
5.网页防篡改系统根据操作类型,采取相应的安全措施来防止网页被篡改。例如,如果用户在访问过程中出现异常操作,网页防篡改系统可以限制访问频率、拦截恶意请求等。
在这个场景中,网页防篡改系统通过监控用户的操作行为,根据目标监控节点的统计参数来确定关联的操作时段所对应的操作类型,从而判断网页是否被篡改,并采取相应的安全措施来保护网页的安全性。
在一种可能的实施方式中,所述依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习之后,所述方法还包括:
步骤S140,获取目标网页的访问路径数据,并从目标网络架构中检索所述访问路径数据对应的候选数据访问行为的篡改风险等级,生成检索结果。
步骤S150,在所述检索结果反映所述目标网络架构中未记载所述候选数据访问行为的篡改风险等级时,获取所述目标网页在响应所述候选数据访问行为的目标操作事件日志,对所述目标操作事件日志进行自注意力处理,生成目标响应向量序列。
步骤S160,基于所述网页篡改风险检测模型,依据所述目标响应向量序列,对所述候选数据访问行为进行风险检测,生成所述候选数据访问行为的估计篡改风险等级。
步骤S170,将所述候选数据访问行为的估计篡改风险等级,加载到所述目标网络架构中,生成迭代网络架构。
本实施例中,当网页防篡改系统获取到目标网页的访问路径数据后,会从中提取出一些关键特征,例如访问路径、访问时间、访问设备等,然后将这些特征与目标网络架构中的数据进行匹配,以检索与该访问路径数据对应的候选数据访问行为的篡改风险等级。如果检索结果反映目标网络架构中未记载所述候选数据访问行为的篡改风险等级,说明这是一个新的访问行为,需要进一步进行风险检测。
接下来,网页防篡改系统会获取目标网页在响应所述候选数据访问行为的目标操作事件日志。这个日志包含了用户在访问过程中的一系列操作,例如点击按钮、浏览页面、输入信息等。系统会对这些操作事件日志进行自注意力处理,生成一个目标响应向量序列。自注意力处理是一种深度学习技术,可以帮助系统更好地理解用户体验和行为模式,从而更准确地评估风险。
基于网页篡改风险检测模型,可以根据目标响应向量序列进行风险检测,判断这个候选数据访问行为是否存在篡改风险。如果模型判断存在篡改风险,网页防篡改系统会将这个访问行为的估计篡改风险等级记录下来,并将其加载到目标网络架构中,形成一个迭代的网络架构。这个迭代的网络架构可以不断地更新和优化,以提高网页防篡改系统的准确性和效率。
在一种可能的实施方式中,在所述检索结果反映所述目标网络架构中存在所述候选数据访问行为的篡改风险等级,且所述候选数据访问行为的篡改风险等级反映所述候选数据访问行为的操作为非安全操作时,输出第一安全窗口数据。此外,在所述检索结果反映所述目标网络架构中存在所述候选数据访问行为的篡改风险等级,且所述候选数据访问行为的篡改风险等级反映所述候选数据访问行为的操作为安全操作时,输出第二安全窗口数据。
其中,所述第一安全窗口数据,用于引导在所述目标网络架构上迁移所述访问路径数据,所述第二安全窗口数据,用于引导所述访问路径数据对应的候选数据访问行为可安全访问。
以下是网页防篡改系统如何根据模型学习数据序列来对网页篡改风险检测模型进行模型参数学习,并生成候选数据访问行为的估计篡改风险等级的详细场景举例说明:
1.用户访问网页,网页防篡改系统开始监控用户的操作行为。
2.网页防篡改系统根据用户的操作行为生成一个操作时段操作事件日志,包含操作时间、操作类型、操作对象等信息。
3.网页防篡改系统根据操作时段操作事件日志,计算出目标监控节点的统计参数,例如访问页面数量、访问页面顺序等。
4.网页防篡改系统根据目标监控节点的统计参数,确定关联的操作时段所对应的操作类型。例如,如果用户在访问过程中正常浏览页面、点击按钮等,网页防篡改系统会将操作类型输出为正常操作;如果用户在访问过程中出现异常操作,例如频繁访问无效页面、尝试篡改网页内容等,网页防篡改系统会将操作类型输出为异常操作。
5.网页防篡改系统根据操作类型,采取相应的安全措施来防止网页被篡改。例如,如果用户在访问过程中出现异常操作,网页防篡改系统可以限制访问频率、拦截恶意请求等。
6.同时,网页防篡改系统还会根据目标网络架构中的数据,检索用户访问路径数据对应的候选数据访问行为的篡改风险等级。如果检索结果反映目标网络架构中存在所述候选数据访问行为的篡改风险等级,且所述候选数据访问行为的篡改风险等级反映所述候选数据访问行为的操作为非安全操作时,网页防篡改系统会输出第一安全窗口数据,引导用户在目标网络架构上迁移访问路径数据。如果检索结果反映目标网络架构中存在所述候选数据访问行为的篡改风险等级,且所述候选数据访问行为的篡改风险等级反映所述候选数据访问行为的操作为安全操作时,网页防篡改系统会输出第二安全窗口数据,引导用户可以安全访问这个访问路径数据。
由此,通过监控用户的操作行为,根据目标监控节点的统计参数来确定关联的操作时段所对应的操作类型,从而判断网页是否被篡改,并采取相应的安全措施来保护网页的安全性。同时,系统还会根据目标网络架构中的数据,检索用户访问路径数据对应的候选数据访问行为的篡改风险等级,并根据不同的风险等级输出不同的安全窗口数据,以引导用户的安全访问行为。
图2本申请实施例中提供了一种网页防篡改系统100,包括处理器1001和存储器1003及存储在存储器1003上的程序代码,该处理器1001执行上述程序代码以实现面向网页防篡改的异常操作数据检测方法的步骤。
图2所示的网页防篡改系统100包括:处理器1001和存储器1003。其中,处理器1001和存储器1003相连,如通过总线1002相连。可选地,网页防篡改系统100还可以包括收发器1004,收发器1004可以用于该网页防篡改系统与其它网页防篡改系统之间的数据交互,如数据的发送和/或数据的接收等。需要说明的是,实际调度中收发器1004不限于一个,该网页防篡改系统100的结构并不构成对本申请实施例的限定。
处理器1001可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(ApplicationSpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其它可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器1001也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线1002可包括一通路,在上述组件之间传送信息。总线1002可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线1002可以分为地址总线、数据总线、控制总线等。为便于表示,图2中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1003可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其它类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其它类型的动态存储设备,也可以是EEPROM(ElectricallyErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(CompactDiscRead Only Memory,只读光盘)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质、其它磁存储设备、或者能够用于具有或存储程序代码并能够由计算机读取的任何其它介质,在此不做限定。
存储器1003用于存储执行本申请实施例的程序代码,并由处理器1001来控制执行。处理器1001用于执行存储器1003中存储的程序代码,以实现前述方法实施例所示的步骤。
其中,网页防篡改系统包括但不限于:诸如移动电话、笔记本电脑、PAD等等移动终端以及诸如数字TV、台式计算机等等固定终端。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有程序代码,程序代码被处理器执行时可实现前述方法实施例的步骤及相应内容。
应该理解的是,虽然本申请实施例的流程图中通过箭头指示各个操作步骤,但是这些步骤的实施顺序并不受限于箭头所指示的顺序。除非本文中有明确的说明,否则在本申请实施例的一些实施场景中,各流程图中的实施步骤可以基于需求以其它的顺序执行。此外,各流程图中的部分或全部步骤依据实际的实施场景,可以包括多个子步骤或者多个阶段。这些子步骤或者阶段中的部分或全部可以在同一时刻被执行,这些子步骤或者阶段中的每个子步骤或者阶段也可以分别在不同的时刻被执行。在执行时刻不同的场景下,这些子步骤或者阶段的执行顺序可以基于需求灵活配置,本申请实施例对此不限制。
以上所述仅是本申请部分实施场景的可选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请的方案技术构思的前提下,采用依据本申请技术思想的其它类似实施手段,同样属于本申请实施例的保护范畴。

Claims (10)

1.一种面向网页防篡改的异常操作数据检测方法,其特征在于,所述方法包括:
获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,并对所述网页操作事件日志进行时段拆分,生成多个操作时段所分别对应的时段操作事件日志;
依据各所述时段操作事件日志,确定关联的所述操作时段所对应的操作类型,所述操作类型包括正常操作及异常操作;
以各所述时段操作事件日志为模型学习数据,以关联的所述操作类型为模型学习知识,生成用于对网页篡改风险检测模型进行模型参数学习的模型学习数据序列,并依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习;
其中,所述网页篡改风险检测模型用于依据所述目标网页的网页操作事件日志,对所述目标网页所遭受的潜在篡改威胁行为进行检测。
2.根据权利要求1所述的面向网页防篡改的异常操作数据检测方法,其特征在于,所述依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习,包括:
对于所述模型学习数据序列中的各所述时段操作事件日志,从多个不同的知识抽取字段,分别对所述时段操作事件日志进行知识抽取,生成各所述知识抽取字段分别对应的字段知识特征数据;
对各所述字段知识特征数据分别进行自注意力处理,生成各所述字段知识特征数据分别对应的字段自注意力矢量,并将各所述字段自注意力矢量进行交融,生成目标表征矢量数据;
通过所述网页篡改风险检测模型,依据所述目标表征矢量数据,对所述潜在篡改威胁行为进行风险检测,生成所述潜在篡改威胁行为的估计操作类型;
基于所述估计操作类型和关联的所述操作类型,对所述网页篡改风险检测模型进行模型参数学习。
3.根据权利要求2所述的面向网页防篡改的异常操作数据检测方法,其特征在于,所述知识抽取字段包括操作顺序抽取字段、操作频率抽取字段和操作模式抽取字段,所述从多个不同的知识抽取字段,分别对所述时段操作事件日志进行知识抽取,生成各所述知识抽取字段分别对应的字段知识特征数据,包括:
从所述操作顺序抽取字段,对所述时段操作事件日志进行操作顺序知识抽取,生成所述操作顺序抽取字段对应的操作顺序字段知识特征数据;
从所述操作频率抽取字段,对所述时段操作事件日志进行操作频率知识抽取,生成所述操作频率抽取字段对应的操作频率字段知识特征数据;从所述操作模式抽取字段,对所述时段操作事件日志进行操作模式知识抽取,生成所述操作模式抽取字段对应的操作模式字段知识特征数据。
4.根据权利要求2所述的面向网页防篡改的异常操作数据检测方法,其特征在于,所述将各所述字段自注意力矢量进行交融,生成目标表征矢量数据,包括:
获取各所述字段自注意力矢量分别对应的矢量属性,并将各所述矢量属性进行平均,生成平均矢量属性;
将各所述矢量属性分别与所述平均矢量属性进行比较,生成各所述矢量属性对应的属性比较信息;
在所述属性比较信息表征所述矢量属性与所述平均矢量属性相同时,将关联的所述字段自注意力矢量,输出为所述字段自注意力矢量对应的目标字段自注意力矢量;
在所述属性比较信息表征所述矢量属性与所述平均矢量属性不同时,对关联的所述字段自注意力矢量的矢量属性,更新为所述平均矢量属性,生成所述字段自注意力矢量对应的目标字段自注意力矢量;
将各所述目标字段自注意力矢量进行交融,生成所述目标表征矢量数据。
5.根据权利要求1所述的面向网页防篡改的异常操作数据检测方法,其特征在于,所述获取目标网页在遭受潜在篡改威胁行为期间产生的网页操作事件日志,包括:
获取所述目标网页在遭受所述潜在篡改威胁行为期间,在各监控节点所分别对应的各个页面对象的操作频率和操作幅度;
对于各所述监控节点,将关联的所述操作频率的数值和所述操作幅度的数值进行平均,生成所述监控节点对应的节点操作事件日志;
基于所述监控节点的时序次序,对各所述节点操作事件日志进行排列,生成所述网页操作事件日志。
6.根据权利要求1所述的面向网页防篡改的异常操作数据检测方法,其特征在于,所述时段操作事件日志包括所述目标网页在遭受潜在篡改威胁行为期间产生的的各监控节点分别对应的节点操作事件日志,所述依据各所述时段操作事件日志,确定关联的所述操作时段所对应的操作类型,包括:
针对各所述时段操作事件日志,对于任意一个时段操作事件日志对应的各所述监控节点,获取所述监控节点的一个或多个联动监控节点,并将所述监控节点对应的节点操作事件日志分别与各所述联动监控节点对应的节点操作事件日志进行比较,生成各所述联动监控节点分别对应的操作变化参数,当存在一个或多个所述操作变化参数不小于设定变化参数时,将所述监控节点的目标操作安全性输出为第一操作安全性,当不存在所述操作变化参数不小于所述设定变化参数时,将所述目标操作安全性输出为第二操作安全性,其中,所述第一操作安全性,表征所述目标网页在所述监控节点经过的操作为非安全操作,所述第二操作安全性,表征所述目标网页在所述监控节点经过的操作为安全操作;
当所述目标操作安全性反映所述目标网页在所述监控节点所遭受的所述潜在篡改威胁行为的操作为安全操作时,将所述目标操作安全性对应的监控节点,输出为目标监控节点;
依据所述目标监控节点的统计参数,确定关联的所述操作时段所对应的操作类型;
若所述目标监控节点的统计参数大于设定参数值,将所述操作类型输出为所述正常操作,以及若所述目标监控节点的统计参数不大于所述设定参数值,将所述操作类型输出为所述异常操作。
7.根据权利要求6所述的面向网页防篡改的异常操作数据检测方法,其特征在于,所述依据所述目标监控节点的统计参数,确定关联的所述操作时段所对应的操作类型,包括:
将所述目标监控节点的统计参数除以所述监控节点的统计参数,生成所述潜在篡改威胁行为的安全评估指标;
在所述安全评估指标大于设定评估指标时,将所述操作类型输出为所述正常操作,以及,在所述安全评估指标不大于所述设定评估指标时,将所述操作类型输出为所述异常操作。
8.根据权利要求1所述的面向网页防篡改的异常操作数据检测方法,其特征在于,所述依据所述模型学习数据序列,对所述网页篡改风险检测模型进行模型参数学习之后,所述方法还包括:
获取目标网页的访问路径数据,并从目标网络架构中检索所述访问路径数据对应的候选数据访问行为的篡改风险等级,生成检索结果;
在所述检索结果反映所述目标网络架构中未记载所述候选数据访问行为的篡改风险等级时,获取所述目标网页在响应所述候选数据访问行为的目标操作事件日志,对所述目标操作事件日志进行自注意力处理,生成目标响应向量序列;
基于所述网页篡改风险检测模型,依据所述目标响应向量序列,对所述候选数据访问行为进行风险检测,生成所述候选数据访问行为的估计篡改风险等级;
将所述候选数据访问行为的估计篡改风险等级,加载到所述目标网络架构中,生成迭代网络架构。
9.根据权利要求8所述的面向网页防篡改的异常操作数据检测方法,其特征在于,所述方法还包括:
在所述检索结果反映所述目标网络架构中存在所述候选数据访问行为的篡改风险等级,且所述候选数据访问行为的篡改风险等级反映所述候选数据访问行为的操作为非安全操作时,输出第一安全窗口数据;
在所述检索结果反映所述目标网络架构中存在所述候选数据访问行为的篡改风险等级,且所述候选数据访问行为的篡改风险等级反映所述候选数据访问行为的操作为安全操作时,输出第二安全窗口数据;
其中,所述第一安全窗口数据,用于引导在所述目标网络架构上迁移所述访问路径数据,所述第二安全窗口数据,用于引导所述访问路径数据对应的候选数据访问行为可安全访问。
10.一种网页防篡改系统,其特征在于,包括处理器以及计算机可读存储介质,所述计算机可读存储介质存储有机器可执行指令,所述机器可执行指令被处理器执行时实现权利要求1-9中任意一项所述的面向网页防篡改的异常操作数据检测方法。
CN202410101146.9A 2024-01-24 2024-01-24 面向网页防篡改的异常操作数据检测方法及系统 Active CN117909976B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410101146.9A CN117909976B (zh) 2024-01-24 2024-01-24 面向网页防篡改的异常操作数据检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410101146.9A CN117909976B (zh) 2024-01-24 2024-01-24 面向网页防篡改的异常操作数据检测方法及系统

Publications (2)

Publication Number Publication Date
CN117909976A true CN117909976A (zh) 2024-04-19
CN117909976B CN117909976B (zh) 2024-07-19

Family

ID=90681766

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410101146.9A Active CN117909976B (zh) 2024-01-24 2024-01-24 面向网页防篡改的异常操作数据检测方法及系统

Country Status (1)

Country Link
CN (1) CN117909976B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111488622A (zh) * 2019-01-25 2020-08-04 深信服科技股份有限公司 一种网页篡改行为的检测方法、装置及相关组件
CN112187787A (zh) * 2020-09-27 2021-01-05 广州瀚信通信科技股份有限公司 基于知识图谱的数字营销广告页防篡改方法、装置及设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111488622A (zh) * 2019-01-25 2020-08-04 深信服科技股份有限公司 一种网页篡改行为的检测方法、装置及相关组件
CN112187787A (zh) * 2020-09-27 2021-01-05 广州瀚信通信科技股份有限公司 基于知识图谱的数字营销广告页防篡改方法、装置及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘秀文;傅建明;黎琳;彭国军;黄凯;: "面向用户交互场景的信息欺骗分类及其威胁抑制机制", 武汉大学学报(理学版), no. 02, 11 March 2019 (2019-03-11) *

Also Published As

Publication number Publication date
CN117909976B (zh) 2024-07-19

Similar Documents

Publication Publication Date Title
Takeuchi et al. Detecting ransomware using support vector machines
Zhu et al. OFS-NN: an effective phishing websites detection model based on optimal feature selection and neural network
US10404729B2 (en) Device, method, and system of generating fraud-alerts for cyber-attacks
US9552470B2 (en) Method, device, and system of generating fraud-alerts for cyber-attacks
US10467687B2 (en) Method and system for performing fraud detection for users with infrequent activity
US20100192222A1 (en) Malware detection using multiple classifiers
Stolfo et al. Anomaly detection in computer security and an application to file system accesses
Turcotte et al. Poisson factorization for peer-based anomaly detection
CN111275416B (zh) 数字货币异常交易检测方法、装置、电子设备及介质
Yeboah-Ofori et al. Malware attack predictive analytics in a cyber supply chain context using machine learning
CN112784269B (zh) 恶意软件检测方法、装置和计算机存储介质
Bai et al. $\sf {DBank} $ DBank: Predictive Behavioral Analysis of Recent Android Banking Trojans
Obaid et al. An adaptive approach for internet phishing detection based on log data
Atawodi A machine learning approach to network intrusion detection system using K nearest neighbor and random forest
Goldberg et al. Explaining and aggregating anomalies to detect insider threats
Fowdur et al. A real-time machine learning application for browser extension security monitoring
Noh et al. Phishing Website Detection Using Random Forest and Support Vector Machine: A Comparison
CN111104670B (zh) 一种apt攻击的识别和防护方法
CN117909976B (zh) 面向网页防篡改的异常操作数据检测方法及系统
Khade et al. Mitigating Cross-Site Request Forgery Threats in the Web
Zhang et al. An anomaly detection model for network intrusions using one-class SVM and scaling strategy
Apoorva et al. Analysis of uniform resource locator using boosting algorithms for forensic purpose
Seraj et al. MadDroid: malicious adware detection in Android using deep learning
Doke et al. Phishing-inspector: detection & prevention of phishing websites
Gharibeh et al. Classification on Web Application Requests

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant