技术特征:
1.一种异常访问行为的检测方法,其特征在于,包括:在网络服务器中获取多个访问日志,并获取每个访问日志中的访问路径和所述访问路径的至少一个路径引用来源,其中,每个所述访问日志中至少包括以下之一:访问路径、路径引用来源以及访问者ip;根据各个访问路径和每个所述访问路径的路径引用来源生成所述网络服务器的访问路径的有向图,其中,所述有向图中包括多个节点,每个所述节点表征一个所述访问路径;按照每个节点的节点连接数量从所述有向图中选取候选节点,得到多个候选节点,并根据各个候选节点的节点信息生成目标矩阵,其中,所述节点信息包括:节点对应的访问路径、访问路径的访问者ip,以及每个访问者ip的访问次数;通过所述目标矩阵从多个候选节点中确定异常节点,并将所述异常节点对应的访问路径确定为异常访问路径,将所述异常访问路径对应的访问行为确定为异常访问行为。2.根据权利要求1所述的方法,其特征在于,根据各个访问路径和每个所述访问路径的路径引用来源生成所述网络服务器的访问路径的有向图包括:生成每个所述访问路径的节点,以及每个所述路径引用来源的节点,得到多个节点;将所述多个节点根据引用关系进行连接,得到所述访问路径的有向图,其中,所述引用关系为所述访问路径与所述路径引用来源之间的引用关系。3.根据权利要求1所述的方法,其特征在于,按照每个节点的节点连接数量从所述有向图中选取候选节点包括:判断所述节点是否为孤立节点,其中,所述孤立节点表征所述节点在所述有向图中无连接关系;在所述节点为所述孤立节点的情况下,将所述节点确定为所述候选节点;和/或确定所述节点的父节点的数量,并判断所述父节点的数量是否大于第一预设数量;在所述父节点的数量大于所述第一预设数量的情况下,将所述节点确定为所述候选节点。4.根据权利要求1所述的方法,其特征在于,所述节点信息还包括第一访问次数和第二访问次数,所述第一访问次数为所述候选节点的访问路径被查找访问的访问次数,所述第二访问次数为所述候选节点的访问路径被跳转访问的访问次数,在根据各个候选节点的节点信息生成目标矩阵之前,所述方法还包括:判断每个所述候选节点对应的访问者ip的数量是否大于第二预设数量;在所述候选节点对应的访问者ip的数量大于所述第二预设数量的情况下,删除所述候选节点,得到更新后的多个候选节点,并通过所述更新后的多个候选节点执行所述根据各个所述候选节点的节点信息生成目标矩阵的步骤;和/或将所述候选节点的所述第一访问次数与所述第二访问次数相除,得到所述候选节点的初次访问率;判断所述初次访问率是否小于等于访问率阈值;在所述初次访问率小于等于所述访问率阈值的情况下,删除所述候选节点,得到更新后的多个候选节点,并通过所述更新后的多个候选节点执行所述根据各个候选节点的节点信息生成目标矩阵的步骤。5.根据权利要求1所述的方法,其特征在于,根据各个候选节点的节点信息生成目标矩
阵包括:以所述访问路径为列,以所述访问者ip为行,构建所述访问路径和所述访问者ip的表格,并将每个所述访问者ip访问每个所述访问路径的访问次数添加至所述表格中,得到初始关系矩阵;获取所述初始关系矩阵的转置矩阵,得到初始转置矩阵;将所述初始转置矩阵和所述初始关系矩阵相乘,得到度量矩阵;将所述度量矩阵中的对角线元素进行归一化,得到所述目标矩阵。6.根据权利要求1所述的方法,其特征在于,通过所述目标矩阵从多个候选节点中确定异常节点包括:在所述目标矩阵中确定每个访问路径对应的行矩阵中的非零元素的数量,得到多个元素数量;分别判断每个元素数量是否小于第三预设数量;在元素数量小于所述第三预设数量的情况下,将所述元素数量对应的所述访问路径对应的节点确定为所述异常节点;和/或在所述目标矩阵中确定每个所述访问路径对应的行矩阵中非零元素占所述行矩阵中全部元素的占比,得到多个元素占比;分别判断每个元素占比是否小于预设比例;在元素占比小于所述预设比例的情况下,将所述元素占比对应的所述访问路径对应的节点确定为所述异常节点。7.根据权利要求1所述的方法,其特征在于,在通过所述目标矩阵从多个候选节点中确定异常节点之前,所述方法还包括:判断所述目标矩阵中的多个所述访问者ip中是否存在同一属地的访问者ip;在存在所述同一属地的访问者ip的情况下,在所述目标矩阵中将多个所述同一属地的访问者ip对应的列矩阵相加,得到更新后的目标矩阵,并根据所述更新后的目标矩阵执行所述通过所述目标矩阵从多个候选节点中确定异常节点的步骤。8.一种异常访问行为的检测装置,其特征在于,包括:获取单元,用于在网络服务器中获取多个访问日志,并获取每个访问日志中的访问路径和所述访问路径的至少一个路径引用来源,其中,每个所述访问日志中至少包括以下之一:访问路径、路径引用来源以及访问者ip;第一生成单元,用于根据各个访问路径和每个所述访问路径的路径引用来源生成所述网络服务器的访问路径的有向图,其中,所述有向图中包括多个节点,每个所述节点表征一个所述访问路径;第二生成单元,用于按照每个节点的节点连接数量从所述有向图中选取候选节点,得到多个候选节点,并根据各个候选节点的节点信息生成目标矩阵,其中,所述节点信息包括:节点对应的访问路径、访问路径的访问者ip,以及每个访问者ip的访问次数;确定单元,用于通过所述目标矩阵从多个候选节点中确定异常节点,并将所述异常节点对应的访问路径确定为异常访问路径,将所述异常访问路径对应的访问行为确定为异常访问行为。9.一种计算机存储介质,其特征在于,所述计算机存储介质用于存储程序,其中,所述
程序运行时控制所述计算机存储介质所在的设备执行权利要求1至7中任意一项所述的异常访问行为的检测方法。10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的异常访问行为的检测方法。
技术总结
本申请公开了一种异常访问行为的检测方法、装置、存储介质以及电子设备。该方法包括:在网络服务器中获取多个访问日志,并获取每个访问日志中的访问路径和访问路径的路径引用来源;根据各个访问路径和路径引用来源生成网络服务器的访问路径的有向图;按照每个节点的节点连接数量从有向图中选取候选节点,得到多个候选节点,并根据各个候选节点的节点信息生成目标矩阵;通过目标矩阵从多个候选节点中确定异常节点,并将异常节点对应的访问路径确定为异常访问路径,将异常访问路径对应的访问行为确定为异常访问行为。通过本申请,解决了相关技术中通过代码文件的注释信息对访问行为进行检测的准确度低的问题。进行检测的准确度低的问题。进行检测的准确度低的问题。
技术研发人员:申勇 齐特 韦云川 万朝华
受保护的技术使用者:山石网科通信技术股份有限公司
技术研发日:2022.09.01
技术公布日:2022/12/9