[发明专利]一种web业务异常检测方法及装置

说明书

本申请公开了一种web业务异常检测方法，包括提取HTTP日志中访问行为的多个特征值，生成特征向量；根据预先建立的异常检测算法模型，计算所述特征向量的异常指数；判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。本申请通过对HTTP日志中的访问记录进行特征值的提取和分析，无需依赖规则库即可检测出异常行为，因此可以有效提高对未知类型异常行为的检测能力。本申请还公开了一种web业务异常检测装置，同样具有上述有益效果。

技术领域

本申请涉及信息安全领域，特别涉及一种web业务异常检测方法及装置。

背景技术

随着信息技术的不断发展，在现代工作和生活中，web访问在各行各业的应用中都起到了重要的作用。

然而，网络中的不安全因素会导致正常的业务系统出现各种各样的异常行为，例如被网络蠕虫恶意扫描本地重要文件信息、被恶意程序攻击即爆破，又或者是被一些绕过安全控制的程序访问即后门，以及出现安全漏洞等，这些很可能会给业务系统带来更大的故障和难题，造成严重影响和损失。因此，异常检测对于web业务非常重要。

现有技术中对web访问中的异常行为的检测，主要是基于对安全专家提取的规则进行匹配检测。安全专家根据目前所已知的各种存在安全问题的web访问行为提取出规则，然后使用该规则对访问web服务器的流量包或者访问日志进行匹配检测：如果某些访问行为与该规则相匹配，则说明该访问行为存在着安全问题，属于异常行为。

但是，由于现有技术中的异常检测方案只能依据已知的异常行为提取规则，因此，该检测方案只能检测出已知的异常行为，而对于一些不在规则库中的安全问题则无法检测。由此可见，现有技术中的web业务异常检测方法的检测能力有待提高。

发明内容

本申请的目的在于提供一种web业务异常检测方法及装置，以便可以有效地提高对web访问中的未知类型的异常行为的检测能力。

为解决上述技术问题，本申请提供一种web业务异常检测方法，包括：

提取HTTP日志中访问行为的多个特征值，生成特征向量；

根据预先建立的异常检测算法模型，计算所述特征向量的异常指数；

判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常。

可选地，所述特征值包括以下任意一类或任意组合：

访问时间分布特征值、请求次数计量特征值、服务器响应字节流特征值、转移概率特征值。

可选地，所述提取HTTP日志中访问行为的多个特征值，生成特征向量包括：

获取HTTP日志；

将所述HTTP日志按照源IP进行归档；

对归档后的HTTP日志按照预设时长进行切片处理；

计算并提取每个时间分片内访问行为的多个特征值，生成时间分片内的访问行为对应的特征向量。

可选地，在所述获取HTTP日志之后、所述将所述HTTP日志按照源IP进行归档之前还包括：

滤除原始HTTP日志中与访问行为无关或者干扰异常检测的日志记录。

可选地，所述根据预先建立的异常检测算法模型，计算所述特征向量的异常指数包括：

根据预先建立的多元高斯分布异常检测算法模型或者IsolationForest异常检测算法模型，计算所述特征向量的异常指数。

可选地，在所述判断所述异常指数是否超出预设阈值范围；若是，则判定所述特征向量所对应的访问行为异常之后还包括：