[发明专利]一种web业务异常检测方法及装置

权利要求书

1.一种web业务异常检测方法，其特征在于，包括：

对HTTP日志进行基于预设时长的切片处理得到多个时间分片，并提取各个所述时间分片对应的特征值，生成各个所述时间分片对应的各个特征向量；

根据预先建立的异常检测算法模型，分别计算各个所述特征向量的异常指数；

判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。

2.根据权利要求1所述web业务异常检测方法，其特征在于，所述特征值包括以下任意一类或任意组合：

访问时间分布特征值、请求次数计量特征值、服务器响应字节流特征值、转移概率特征值。

3.根据权利要求1所述web业务异常检测方法，其特征在于，所述对HTTP日志进行基于预设时长的切片处理得到多个时间分片，并提取各个所述时间分片对应的特征值，生成各个所述时间分片对应的各个特征向量包括：

获取HTTP日志；

将所述HTTP日志按照源IP进行归档；

对归档后的HTTP日志按照预设时长进行切片处理；

计算并提取每个时间分片内访问行为的多个特征值，生成时间分片内的访问行为对应的特征向量。

4.根据权利要求3所述web业务异常检测方法，其特征在于，在所述获取HTTP日志之后，所述将所述HTTP日志按照源IP进行归档之前还包括：

滤除原始HTTP日志中与访问行为无关或者干扰异常检测的日志记录。

5.根据权利要求1至4任一项所述web业务异常检测方法，其特征在于，所述根据预先建立的异常检测算法模型，计算所述特征向量的异常指数包括：

根据预先建立的多元高斯分布异常检测算法模型或者Isolation Forest异常检测算法模型，计算所述特征向量的异常指数。

6.根据权利要求5所述web业务异常检测方法，其特征在于，在所述判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常之后还包括：

依据预设的各类异常行为的各个特征值的范围，判断所述特征向量所对应的访问行为的异常类型。

7.一种web业务异常检测装置，其特征在于，包括：

提取模块：用于对HTTP日志进行基于预设时长的切片处理得到多个时间分片，并提取各个所述时间分片对应的特征值，生成各个所述时间分片对应的各个特征向量；

检测模块：用于根据预先建立的异常检测算法模型，分别计算各个所述特征向量的异常指数；判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。

8.根据权利要求7所述web业务异常检测装置，其特征在于，所述提取模块具体用于：

获取HTTP日志；将所述HTTP日志按照源IP进行归档；对归档后的HTTP日志按照预设时长进行切片处理；计算并提取每个时间分片内访问行为的多个特征值，生成时间分片内的访问行为对应的特征向量。

9.根据权利要求8所述web业务异常检测装置，其特征在于，所述提取模块还用于：

在所述获取HTTP日志之后、所述将所述HTTP日志按照源IP进行归档之前，滤除原始HTTP日志中与访问行为无关或者干扰异常检测的日志记录。

10.根据权利要求7至9任一项所述web业务异常检测装置，其特征在于，所述检测模块还用于：

若所述特征向量所对应的访问行为异常，则依据预设的各类异常行为的各个特征值范围，判断所述特征向量所对应的访问行为的异常类型。