HTTP请求数据的异常检测方法、装置、服务器及存储介质与流程

技术特征：

1.一种超文本传输协议http请求数据的异常检测方法，其特征在于，包括：

接收http请求数据；

确定所述http请求数据对应的特征向量矩阵，所述特征向量矩阵基于所述http请求数据的文本信息确定；

将所述特征向量矩阵输入至少两个设定的异常检测模型，得到所述至少两个设定的异常检测模型中的每个异常检测模型对应的第一检测结果；

根据所述至少两个设定的异常检测模型中所有异常检测模型对应的第一检测结果确定第二检测结果，所述第二检测结果表征所述http请求数据是否异常。

2.根据权利要求1所述的异常检测方法，其特征在于，所述根据所述至少两个设定的异常检测模型中所有异常检测模型对应的第一检测结果确定第二检测结果，包括：

将所述至少两个设定的异常检测模型中所有异常检测模型对应的第一检测结果进行加权计算，得到第二检测结果；其中，

在所述第二检测结果小于设定阈值的情况下，表征所述http请求数据异常。

3.根据权利要求1所述的异常检测方法，其特征在于，所述确定所述http请求数据对应的特征向量矩阵，包括：

基于所述http请求数据的数据内容构建长文本；

根据所述长文本确定所述http请求数据对应的特征向量矩阵。

4.一种模型的训练方法，其特征在于，用于训练权利要求1至3任一项所述的异常检测模型，所述模型训练方法包括：

将http请求数据样本按照设定划分规则划分为第一数据和第二数据；

分别确定所述第一数据和第二数据对应的特征向量矩阵；

将所述第二数据对应的特征向量矩阵输入第一模型，得到第一模型对应输出的检测结果；所述第一模型基于所述第一数据对应的特征向量矩阵训练得到；

基于设定的第二数据的检测结果，对第一模型对应输出的检测结果进行评估，得到评估结果；所述评估结果表征第一模型对应输出的检测结果的精确度；

在所述评估结果不满足设定条件时，根据所述评估结果调整所述第一模型的模型参数，直至所述评估结果满足设定条件，将所述评估结果满足设定条件时的第一模型确定为所述异常检测模型；所述设定条件表征第一模型对应输出的检测结果的精确度大于设定阈值。

5.如权利要求4所述的训练方法，其特征在于，所述分别确定所述第一数据和第二数据对应的特征向量矩阵，包括：

分别确定所述第一数据对应的长文本和所述第二数据对应的长文本；

根据所述第一数据对应的长文本确定所述第一数据的特征向量空间；

根据所述特征向量空间确定所述第一数据对应的特征向量矩阵；以及

在所述特征向量空间中，根据所述第二数据对应的长文本确定所述第二数据对应的特征向量矩阵。

6.如权利要求4所述的训练方法，其特征在于，所述将http请求数据样本按照设定划分规则划分为第一数据和第二数据，包括：

将所述http请求数据样本进行预处理；

将预处理后的http请求数据样本按照设定划分规则划分为第一数据和第二数据；其中，

所述预处理包括以下至少一项：

去除所述http请求数据样本中的重复数据；

填补所述http请求数据样本中的缺失字段；

删除所述http请求数据样本中满足设定条件的字段；所述设定条件表征对应的字段不需要进行异常检测。

7.一种http请求数据的异常检测装置，其特征在于，包括：

接收模块，用于接收http请求数据；

第一确定模块，用于确定所述http请求数据对应的特征向量矩阵，所述特征向量矩阵基于所述http请求数据的文本信息确定；

第一检测模块，用于将所述特征向量矩阵输入至少两个设定的异常检测模型，得到所述至少两个设定的异常检测模型中的每个异常检测模型对应的第一检测结果；

第二检测模块，用于根据所述至少两个设定的异常检测模型中所有异常检测模型对应的第一检测结果确定第二检测结果，所述第二检测结果表征所述http请求数据是否异常。

8.一种模型的训练装置，其特征在于，包括：

划分模块，用于将http请求数据样本按照设定划分规则划分为第一数据和第二数据；

第二确定模块，用于分别确定所述第一数据和第二数据对应的特征向量矩阵；

第三检测模块，用于将所述第二数据对应的特征向量矩阵输入第一模型，得到第一模型对应输出的检测结果；所述第一模型基于所述第一数据对应的特征向量矩阵训练得到；

评估模块，用于基于设定的第二数据的检测结果，对第一模型对应输出的检测结果进行评估，得到评估结果；所述评估结果表征第一模型对应输出的检测结果的精确度；

调整模块，用于在所述评估结果不满足设定条件时，根据所述评估结果调整所述第一模型的模型参数，直至所述评估结果满足设定条件，将所述评估结果满足设定条件时的第一模型确定为所述异常检测模型；所述设定条件表征第一模型对应输出的检测结果的精确度大于设定阈值。

9.一种服务器，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至3任一项所述的http请求数据的异常检测方法，或者实现如权利要求4至6任一项所述的模型的训练方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1至3任一项所述的http请求数据的异常检测方法，或者执行如权利要求4至6任一项所述的模型的训练方法。

技术总结
本发明实施例适用于网络安全技术领域，提供了一种HTTP请求数据的异常检测方法、装置、服务器及存储介质，其中，HTTP请求数据的异常检测包括：接收HTTP请求数据；确定所述HTTP请求数据对应的特征向量矩阵，所述特征向量矩阵基于所述HTTP请求数据的文本信息确定；将所述特征向量矩阵输入至少两个设定的异常检测模型，得到所述至少两个设定的异常检测模型中的每个异常检测模型对应的第一检测结果；根据所述至少两个设定的异常检测模型中所有异常检测模型对应的第一检测结果确定第二检测结果，所述第二检测结果表征所述HTTP请求数据是否异常。

技术研发人员：吴步丹;林荣恒;胡强
受保护的技术使用者：北京邮电大学
技术研发日：2020.02.28
技术公布日：2020.07.03