WO2020007367A1

WO2020007367A1 - 一种检查异常web访问的方法、装置、介质及设备

Info

Publication number: WO2020007367A1
Application number: PCT/CN2019/094921
Authority: WO
Inventors: 陈哲; 丛磊
Original assignee: 北京白山耘科技有限公司
Priority date: 2018-07-06
Filing date: 2019-07-05
Publication date: 2020-01-09
Also published as: CN110516170A; CN110516170B

Abstract

一种检查异常web访问的方法、装置、介质及设备。该方法包括：对用户访问待检查的指定web站点的指定访问接口所对应的选定web地址集合、以及与选定web地址集合关联的关联web地址集合进行预处理，得到与选定web地址集合和关联web地址集合分别对应的经预处理的选定uri集合和关联uri集合（S102）；基于选定uri集合和关联uri集合、以及正常访问特征数据，确定用户访问指定访问接口的访问模式（S104）；确定指定时间段内用户访问指定访问接口的相同访问模式的总访问次数（S106）；基于总访问次数和正常访问特征数据，确定用户是否对指定web站点进行异常访问（S108）。该方法能够基于正常访问特征数据进行行为分析，从而检测出异常访问行为。

Description

一种检查异常web访问的方法、装置、介质及设备

本文要求在2018年7月6日提交中国专利局、申请号为201810737625.4,发明名称为“一种检查异常web访问的方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本文涉及计算机网络技术和用户网络行为检测领域，尤其涉及一种检查异常web访问的方法、装置、介质及设备。

背景技术

随着计算机网络技术的不断发展，越来越多的用户使用网络来进行办公、消费、娱乐、学习等各种活动。同时，也有许多非法用户通过网络进行非法活动，妨害了社会和他人的利益。例如，非法用户可以不通过官方网站页面、客户端等合法方式访问http接口(比如，利用特殊目的的脚本、非官方的客户端)并进行盗链、非法获取其他用户信息等非法的异常活动。

为了正确区分正常用户访问网络的正常行为和非法用户访问网络的异常行为，人们已经进行了许多研究。

例如，现有技术可以通过人工预设参数检测userAgent、referer字段是否正常，进而区分正常访问行为和异常访问行为。然而，userAgent、referer字段信息容易伪造，相对应的检测规则也容易被绕过，因此容易出现漏判的情况。

另外，现有技术还可以采用在业务代码中加入调用顺序检测逻辑的方法来区分正常访问行为和异常访问行为。然而，这种方法涉及增加额外的开发成本、且会使系统可维护性降低、容易导致系统出现各种问题。

为了解决上述问题，需要提出新的技术方案。

发明内容

根据本文实施例的一个方面，提供一种检查异常web访问的方法，包括：

对用户访问待检查的指定web站点的指定访问接口所对应的选定web地址集合、以及与所述选定web地址集合关联的关联web地址集合进行预处理，得到与所述选定web地址集合和所述关联web地址集合分别对应的经预处理的选定uri集合和关联uri集合；

基于所述选定uri集合和所述关联uri集合、以及正常访问特征数据，确定用户访问所述指定访问接口的访问模式；

确定指定时间段内用户访问所述指定访问接口的相同访问模式的总访问次数；

基于所述总访问次数和所述正常访问特征数据，确定用户是否对所述指定web站点进行异常访问，

其中，所述正常访问特征数据包括访问模式标识、与所述访问模式标识对应的选定uri集合和关联uri集合、与所述访问模式标识对应的选定uri集合与关联uri集合同时出现的概率。

上述检查异常web访问的方法还具有以下特点：

还包括：基于正常访问所述指定访问接口的不同用户在不同时间的相同访问模式的累积计数，分别计算与所述指定访问接口的不同访问模式所对应的选定uri集合同时出现在预设时间窗口内的关联uri集合、及选定uri集合与关联uri集合同时出现的概率，预先确定所述正常访问特征数据。

上述检查异常web访问的方法还具有以下特点：

通过以下步骤进行所述预处理：

web地址中包含查询字符串时，从所述web地址中删除所述查询字符串，删除所述查询字符串的web地址剩余部分中以目录分隔符分隔的目录参数中包括非常用目录参数时，将所述非常用目录参数替换为*号；

web地址中不包含查询字符串时，所述web地址中以目录分隔符分隔的目录参数中包括非常用目录参数时，将所述非常用目录参数替换为*号。

上述检查异常web访问的方法还具有以下特点：

所述对用户访问待检查的指定web站点的指定访问接口所对应的选定web地址集合、以及与所述选定web地址集合关联的关联web地址集合进行预处理，得到与所述选定web地址集合和所述关联web地址集合分别对应的经预处理的选定uri集合和关联uri集合的步骤包括：

在所述用户的访问日志序列中，寻找所述指定访问接口的第一访问日志；

获取在所述指定访问接口的所述第一访问日志前后预设时长内的第二访问日志，并将所述第二访问日志内的uri分类、去重，得到所述用户访问所述指定访问接口时同时访问的关联uri集合并进行预处理，

所述基于所述选定uri集合和所述关联uri集合、以及正常访问特征数据，确定用户访问所述指定访问接口的访问模式的步骤包括：

基于所述选定uri集合和所述关联uri集合在所述正常访问特征数据进行查找，得到对应的访问模式。

上述检查异常web访问的方法还具有以下特点：

所述确定指定时间段内用户访问所述指定访问接口的相同访问模式的总访问次数的步骤包括：

针对每一种访问模式单独统计用户在所述指定时间内进行访问的总访问次数。

上述检查异常web访问的方法还具有以下特点：

所述基于所述总访问次数和所述正常访问特征数据，确定用户是否对所述指定web站点进行异常访问的步骤包括：

通过以下步骤确定所述指定访问接口的访问模式相对于所述正常访问特征数据有缺失：

基于所述正常访问特征数据，确定所述选定uri集合与第i个关联uri集合单次同时出现的概率值p _i；

确定p _i大于概率阈值，确定所述第i个关联uri集合在所述指定时间段内没有出现在所述指定访问模式中的次数r；

确定所述指定访问接口与所述第i个关联uri集合连续r次不同时出现为正常的概率值np＝(1-p _i) ^r；

当np小于预设阈值，且r不小于所述总访问次数时，确定所述指定访问接口的访问模式相对于所述正常访问特征数据缺失了所述第i个关联uri集合；

当确定所述指定访问接口的访问模式相对于所述正常访问特征数据有缺失的百分比大于预定百分比值时，确定用户对所述指定web站点进行了异常访问；当确定所述百分比不大于所述预定百分比值时，确定用户对所述指定web站点进行了正常访问。

根据本文实施例的另一个方面，提供了一种检查异常web访问的装置，包括：

预处理模块，用于对用户访问待检查的指定web站点的指定访问接口所对应的选定web地址集合、以及与所述选定web地址集合关联的关联web地址集合进行预处理，得到与所述选定web地址集合和所述关联web地址集合分别对应的经预处理的选定uri集合和关联uri集合；

访问模式确定模块，用于基于所述选定uri集合和所述关联uri集合、以及正常访问特征数据，确定用户访问所述指定访问接口的访问模式；

总访问次数确定模块，用于确定指定时间段内用户访问所述指定访问接口的相同访问模式的总访问次数；

异常访问确定模块，用于基于所述总访问次数和所述正常访问特征数据，确定用户是否对所述指定web站点进行异常访问，

上述检查异常web访问的装置还具有以下特点：

还包括：

正常访问特征数据确定模块，用于基于正常访问所述指定访问接口的不同用户在不同时间的相同访问模式的累积计数，分别计算与所述指定访问接口的不同访问模式所对应的选定uri集合同时出现在预设时间窗口内的关联uri集合、及选定uri集合与关联uri集合同时出现的概率，预先确定所述正常访问特征数据。

上述检查异常web访问的装置还具有以下特点：

所述预处理模块通过以下步骤进行所述预处理：

上述检查异常web访问的装置还具有以下特点：

所述预处理模块还用于：

所述访问模式确定模块还用于：

上述检查异常web访问的装置还具有以下特点：

异常访问确定模块,还用于通过以下步骤确定所述指定访问接口的访问模式相对于所述正常访问特征数据有缺失：

根据本文实施例的另一个方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现上述方法的步骤。

根据本文实施例的另一个方面，提供了一种计算机设备，包括处理器、存储器和存储于所述存储器上的计算机程序，所述处理器执行所述计算机程序时实现上述方法的步骤。

根据本文的上述技术方案，能够基于正常访问特征数据进行行为分析，从而检测出异常访问行为。

附图说明

构成本申请的一部分的附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1示例性地示出了根据一实施例的检查异常web访问的方法的示意流程图；

图2示例性地示出了根据一实施例的检查异常web访问的装置的示意框图；

图3示例性地示出了根据一实施例的检查异常web访问的装置的框图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

图1示例性地示出了一实施例中检查异常web访问的方法的示意流程图。

如图1的实线框所示，根据本文的检查异常web访问的方法，包括：

步骤S102：对用户访问待检查的指定web站点的指定访问接口所对应的选定web地址集合、以及与选定web地址集合关联的关联web地址集合进行预处理，得到与选定web地址集合和关联web地址集合分别对应的经预处理的选定uri集合和关联uri集合；

步骤S104：基于选定uri集合和关联uri集合、以及正常访问特征数据，确定用户访问指定访问接口的访问模式；

步骤S106：确定指定时间段内用户访问指定访问接口的相同访问模式的总访问次数；

步骤S108：基于总访问次数和正常访问特征数据，确定用户是否对指定web站点进行异常访问，

其中，uri是指统一资源标识符。正常访问特征数据包括访问模式标识、与访问模式标识对应的选定uri集合和关联uri集合、与访问模式标识对应的选定uri集合与关联uri集合同时出现的概率。

步骤S102中指定web站点是指预设的web站点，指定访问接口是指所述预设的web站点中的所有访问接口中的预设的访问接口，例如，设置一列表，此列表中记录一web站点中可以于执行上述方法的预设的多个访问接口。

可选地，如图1的虚线框所示，根据本文的检查异常web访问的方法，还包括：

步骤S110：基于正常访问指定访问接口的大量不同用户在不同时间的相同访问模式的累积计数，分别计算与指定访问接口的不同访问模式所对应的选定uri集合同时出现在预设时间窗口内的关联uri集合、及选定uri集合与关联uri集合同时出现的概率，预先确定正常访问特征数据。

可选地，通过以下步骤在步骤S102中进行预处理：

其中，目录分隔符为/,非常用目录参数是指在web地址中不常用的目录参数。例如orgid、idtoken、nosignin、search等均为常用的目录参数。

为了简单起见，下面以每个web地址集合和每个uri集合各自包含一个元素为例进行说明，然而，根据本文的检查异常web访问的方法，同样适用于每个集合包含多个元素的情况。

例如，在上述步骤S102中，对应于访问模式1，与被检测用户所访问的接口(即，上述指定访问接口)“必应搜索服务”所对应的选定web地址集合A包含一个元素:

“cn.bing.com/search？q＝testword&qs＝n&form＝QBLH&sp＝-1&pq＝testword&sc＝0-8&sk＝&cvid＝D775C1E5249447A6A8E68226A8246C9E”；

与其关联的2个关联web地址集合——关联web地址集合B和C也各自包含一个元素:

“cn.bing.com/fd/ls/l？IG＝6B929991D4B9481DA283DF7F21C0F689&Type＝Event.CPT&DATA＝{％22pp％22:{％22S％22:％22L％22,％22FC％22:21,％22BC％22:398,％22SE％22:-1,％22TC％22:-1,％22H％22:469,％22BP％22:484,％22CT％22:485,％22IL％22:10},％22ad％22:[-1,-1,1233,175,1233,1931,0],％22net％22:％22undefined％22}&P＝SERP&DA＝HK2”

和

“cn.bing.com/orgid/idtoken/nosignin”。

经过上述的预处理步骤，得到与选定web地址集合A和关联web地址集合B和C分别对应的经预处理的选定uri集合A(例如，包含1个集合元素uri_a——“cn.bing.com/search”)和经处理的关联uri集合B(例如，包含1个集合元素uri_b——“cn.bing.com/fd/ls/*”)和C(例如，包含1个集合元素uri_c——“cn.bing.com/orgid/idtoken/nosignin”)。

例如，在步骤S110中，基于正常访问指定访问接口的大量不同用户(例如，4个用户，正常访问的用户数量越多，统计结果越准确)在不同时间(或时间段)的相同访问模式的以下累积计数：

第一个用户依次访问：/uri_a，/uri_b，/uri_c

第二个用户依次访问：/uri_c，/uri_b，/uri_a

第三个用户依次访问：/uri_a，/uri_c，/uri_b

第四个用户依次访问：/uri_a，/uri_b，/uri_d

计数结果：4次访问uri_a、4次访问uri_b、3次访问uri_c、1次访问uri_d。

因此，对应于访问模式1，预先确定的正常访问特征数据可以是以下形式，对于选定uri集合A(即，uri_a)而言，对其进行访问同时也访问(第一)关联uri集合B(即，uri_b)的概率是100％，对其进行访问同时也访问(第二)关联uri集合C(即，uri_c)的概率是75％，对其进行访问同时也访问(上文未示出)关联uri集合D(即，uri_d)的概率是25％。

可选地，步骤S102包括：

在用户的访问日志序列中，寻找指定访问接口的第一访问日志；

获取在指定访问接口的第一访问日志前后预设时长内的第二访问日志，并将第二访问日志内的uri分类、去重，得到用户访问指定访问接口时同时访问的关联uri集合并进行预处理，

步骤S104包括：

基于选定uri集合和关联uri集合在正常访问特征数据进行查找，得到对应的访问模式。

例如，上述第一访问日志前后预设时长内是上述第一访问日志前后各30秒的一段时间内。

可选地，步骤S106包括：

针对每一种访问模式单独统计用户在指定时间内进行访问的总访问次数。

可选地，步骤S108包括：

通过以下步骤确定指定访问接口的访问模式相对于正常访问特征数据有缺失：

基于正常访问特征数据，确定选定uri集合与第i个关联uri集合单次同时出现的概率值p _i；

确定p _i大于概率阈值，确定第i个关联uri集合在指定时间段内没有出现在指定访问模式中的次数r；

确定指定访问接口与第i个关联uri集合连续r次不同时出现为正常的概率值np＝(1-p _i) ^r；

当np小于预设阈值，且r不小于总访问次数时，确定指定访问接口的访问模式相对于正常访问特征数据缺失了第i个关联uri集合；

当确定指定访问接口的访问模式相对于正常访问特征数据有缺失的百分比大于预定百分比值时，确定用户对指定web站点进行了异常访问；当确定百分比不大于预定百分比值时，确定用户对指定web站点进行了正常访问。

例如，根据上文确定的正常用户使用访问模式1对选定uri集合A(即，uri_a)进行访问的同时也访问关联uri集合C(即，uri_c)的概率是75％(假定上述概率阈值为50％，即，此时满足选定uri集合与第二个关联uri集合单次同时出现的概率值p ₂>50％的条件)。

如果检测到被检测用户对选定uri集合A(即，uri_a)进行了5次访问，然而，这5次访问都没有访问关联uri集合C(即，uri_c)，这种情况下对应的概率为(1-0.25) ⁵＝0.0009765625，假定这时的预定百分比值为0.001，那么此时用户对选定uri集合A(即，uri_a)的访问就是异常的。

图2示例性地示出了一种实施例中检查异常web访问的装置200的示意框图。

如图2的实线框所示，根据本文的检查异常web访问的装置200包括：

预处理模块201，用于对用户访问待检查的指定web站点的指定访问接口所对应的选定web地址集合、以及与选定web地址集合关联的关联web地址集合进行预处理，得到与选定web地址集合和关联web地址集合分别对应的经预处理的选定uri集合和关联uri集合；

访问模式确定模块203，用于基于选定uri集合和关联uri集合、以及正常访问特征数据，确定用户访问指定访问接口的访问模式；

总访问次数确定模块205，用于确定指定时间段内用户访问指定访问接口的相同访问模式的总访问次数；

异常访问确定模块207，用于基于总访问次数和正常访问特征数据，确定用户是否对指定web站点进行异常访问，

其中，正常访问特征数据包括访问模式标识、与访问模式标识对应的选定uri集合和关联uri集合、与访问模式标识对应的选定uri集合与关联uri集合同时出现的概率。

可选地，如图2的虚线框所示，检查异常web访问的装置200还包括：

正常访问特征数据确定模块209，用于基于正常访问指定访问接口的不同用户在不同时间的相同访问模式的累积计数，分别计算与指定访问接口的不同访问模式所对应的选定uri集合同时出现在预设时间窗口内的关联uri集合、及选定uri集合与关联uri集合同时出现的概率，预先确定正常访问特征数据。

可选地，预处理模块201通过以下步骤进行预处理：

其中，非常用目录参数是指在web地址中不常用的目录参数。例如orgid、idtoken、nosignin、search等均为常用的目录参数。

可选地，预处理模块201还用于：

访问模式确定模块203还用于：

可选地，总访问次数确定模块205还用于：

可选地，异常访问确定模块207还用于：

根据本文的上述技术方案，结合脚本、非法客户端等都具有明确的目的，基于成本问题，很难完全模拟出官方访问渠道的完整行为的特点，能够自动提取用户访问行为中的正常访问特征数据，基于正常访问特征数据进行行为分析，从而检测出异常访问行为。

根据本文的上述技术方案，可以通过挖掘日志序列上的频繁模式规律(即，正常访问特征数据)，得到用户访问各接口的频繁项集合。最终判断用户调用目标接口时是否绕过了正常访问中的必要步骤，识别出通过非官方渠道调用接口的用户的异常访问行为。

根据本文的上述技术方案，无需预先了解具体业务的接口调用顺序和规则，自动学习用户访问模式。能够自动发现隐含的规律，不会被多人共享的出口ip影响，误判率低。具有通用性，不用修改业务代码，不用针对业务定制开发。不要求分布式系统日志的顺序性。减少了漏判率。无需增加额外的开发成本、且会使系统可维护性提高、不容易导致系统出现各种问题。

图3是根据一示例性实施例示出的一种用于检查异常web访问的装置的框图。例如，装置可以被提供为一服务器。参照图3，装置300包括处理器301，处理器的个数可以根据需要设置为一个或者多个。装置300还包括存储器302，用于存储可由处理器301的执行的指令，例如应用程序。存储器的个数可以根据需要设置一个或者多个。其存储的应用程序可以为一个或者多个。处理器301被配置为执行指令，以执行上述方法。

本领域技术人员应明白，本文的实施例可提供为方法、装置(设备)、或计算机程序产品。因此，本文可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本文可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

本文是参照根据本文实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。

尽管已描述了本文的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本文范围的所有变更和修改。

显然，本领域的技术人员可以对本文进行各种改动和变型而不脱离本文的精神和范围。这样，倘若本文的这些修改和变型属于本文权利要求及其等同技术的范围之内，则本文的意图也包含这些改动和变型在内。

工业实用性

根据本文的技术方案，能够基于正常访问特征数据进行行为分析，从而检测出异常访问行为。

Claims

一种检查异常web访问的方法，包括：

对用户访问待检查的指定web站点的指定访问接口所对应的选定web地址集合、以及与所述选定web地址集合关联的关联web地址集合进行预处理，得到与所述选定web地址集合和所述关联web地址集合分别对应的经预处理的选定uri集合和关联uri集合；

基于所述选定uri集合和所述关联uri集合、以及正常访问特征数据，确定用户访问所述指定访问接口的访问模式；

确定指定时间段内用户访问所述指定访问接口的相同访问模式的总访问次数；

基于所述总访问次数和所述正常访问特征数据，确定用户是否对所述指定web站点进行异常访问，

其中，所述正常访问特征数据包括访问模式标识、与所述访问模式标识对应的选定uri集合和关联uri集合、与所述访问模式标识对应的选定uri集合与关联uri集合同时出现的概率。
如权利要求1所述的检查异常web访问的方法，其中，还包括：

基于正常访问所述指定访问接口的不同用户在不同时间的相同访问模式的累积计数，分别计算与所述指定访问接口的不同访问模式所对应的选定uri集合同时出现在预设时间窗口内的关联uri集合、及选定uri集合与关联uri集合同时出现的概率，预先确定所述正常访问特征数据。
如权利要求1所述的检查异常web访问的方法，其中，通过以下步骤进行所述预处理：

web地址中包含查询字符串时，从所述web地址中删除所述查询字符串，删除所述查询字符串的web地址剩余部分中以目录分隔符分隔的目录参数中包括非常用目录参数时，将所述非常用目录参数替换为*号；

web地址中不包含查询字符串时，所述web地址中以目录分隔符分隔的目录参数中包括非常用目录参数时，将所述非常用目录参数替换为*号。
如权利要求1所述的检查异常web访问的方法，其中，所述对用户访问待检查的指定web站点的指定访问接口所对应的选定web地址集合、以及与所述选定web地址集合关联的关联web地址集合进行预处理，得到与所述选定web地址集合和所述关联web地址集合分别对应的经预处理的选定uri集合和关联uri集合的步骤包括：

在所述用户的访问日志序列中，寻找所述指定访问接口的第一访问日志；

获取在所述指定访问接口的所述第一访问日志前后预设时长内的第二访问日志，并将所述第二访问日志内的uri分类、去重，得到所述用户访问所述指定访问接口时同时访问的关联uri集合并进行预处理，

所述基于所述选定uri集合和所述关联uri集合、以及正常访问特征数据，确定用户访问所述指定访问接口的访问模式的步骤包括：

基于所述选定uri集合和所述关联uri集合在所述正常访问特征数据进行查找，得到对应的访问模式。
如权利要求1所述的检查异常web访问的方法，其中，所述确定指定时间段内用户访问所述指定访问接口的相同访问模式的总访问次数的步骤包括：

针对每一种访问模式单独统计用户在所述指定时间内进行访问的总访问次数。
如权利要求1所述的检查异常web访问的方法，其中，所述基于所述总访问次数和所述正常访问特征数据，确定用户是否对所述指定web站点进行异常访问的步骤包括：

通过以下步骤确定所述指定访问接口的访问模式相对于所述正常访问特征数据有缺失：

基于所述正常访问特征数据，确定所述选定uri集合与第i个关联uri集合单次同时出现的概率值p _i；

确定p _i大于概率阈值，确定所述第i个关联uri集合在所述指定时间段内没有出现在所述指定访问模式中的次数r；

确定所述指定访问接口与所述第i个关联uri集合连续r次不同时出现为正常的概率值np＝(1-p _i) ^r；

当np小于预设阈值，且r不小于所述总访问次数时，确定所述指定访问接口的访问模式相对于所述正常访问特征数据缺失了所述第i个关联uri集合；

当确定所述指定访问接口的访问模式相对于所述正常访问特征数据有缺失的百分比大于预定百分比值时，确定用户对所述指定web站点进行了异常访问；当确定所述百分比不大于所述预定百分比值时，确定用户对所述指定web站点进行了正常访问。
一种检查异常web访问的装置，包括：

预处理模块，用于对用户访问待检查的指定web站点的指定访问接口所对应的选定web地址集合、以及与所述选定web地址集合关联的关联web地址集合进行预处理，得到与所述选定web地址集合和所述关联web地址集合分别对应的经预处理的选定uri集合和关联uri集合；

访问模式确定模块，用于基于所述选定uri集合和所述关联uri集合、以及正常访问特征数据，确定用户访问所述指定访问接口的访问模式；

总访问次数确定模块，用于确定指定时间段内用户访问所述指定访问接口的相同访问模式的总访问次数；

异常访问确定模块，用于基于所述总访问次数和所述正常访问特征数据，确定用户是否对所述指定web站点进行异常访问，

其中，所述正常访问特征数据包括访问模式标识、与所述访问模式标识对应的选定uri集合和关联uri集合、与所述访问模式标识对应的选定uri集合与关联uri集合同时出现的概率。
如权利要求7所述的检查异常web访问的装置，其中，还包括：

正常访问特征数据确定模块，用于基于正常访问所述指定访问接口的不同用户在不同时间的相同访问模式的累积计数，分别计算与所述指定访问接口的不同访问模式所对应的选定uri集合同时出现在预设时间窗口内的关联uri集合、及选定uri集合与关联uri集合同时出现的概率，预先确定所述正常访问特征数据。
如权利要求7所述的检查异常web访问的装置，其中，所述预处理模块通过以下步骤进行所述预处理：

web地址中包含查询字符串时，从所述web地址中删除所述查询字符串，删除所述查询字符串的web地址剩余部分中以目录分隔符分隔的目录参数中包括非常用目录参数时，将所述非常用目录参数替换为*号；

web地址中不包含查询字符串时，所述web地址中以目录分隔符分隔的目录参数中包括非常用目录参数时，将所述非常用目录参数替换为*号。
如权利要求7所述的检查异常web访问的装置，其中，所述预处理模块还用于：

在所述用户的访问日志序列中，寻找所述指定访问接口的第一访问日志；

获取在所述指定访问接口的所述第一访问日志前后预设时长内的第二访问日志，并将所述第二访问日志内的uri分类、去重，得到所述用户访问所述指定访问接口时同时访问的关联uri集合并进行预处理，

所述访问模式确定模块还用于：

基于所述选定uri集合和所述关联uri集合在所述正常访问特征数据进行查找，得到对应的访问模式。
如权利要求7所述的检查异常web访问的装置，其中，

异常访问确定模块,还用于通过以下步骤确定所述指定访问接口的访问模式相对于所述正常访问特征数据有缺失：

基于所述正常访问特征数据，确定所述选定uri集合与第i个关联uri集合单次同时出现的概率值p _i；

确定p _i大于概率阈值，确定所述第i个关联uri集合在所述指定时间段内没有出现在所述指定访问模式中的次数r；

确定所述指定访问接口与所述第i个关联uri集合连续r次不同时出现为正常的概率值np＝(1-p _i) ^r；

当np小于预设阈值，且r不小于所述总访问次数时，确定所述指定访问接口的访问模式相对于所述正常访问特征数据缺失了所述第i个关联uri集合；

当确定所述指定访问接口的访问模式相对于所述正常访问特征数据有缺失的百分比大于预定百分比值时，确定用户对所述指定web站点进行了异常访问；当确定所述百分比不大于所述预定百分比值时，确定用户对所述指定web站点进行了正常访问。
一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现如权利要求1至6中任意一项所述方法的步骤。
一种计算机设备，包括处理器、存储器和存储于所述存储器上的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至6中任意一项所述方法的步骤。