CN106027577A

CN106027577A - 一种异常访问行为检测方法及装置

Info

Publication number: CN106027577A
Application number: CN201610631276.9A
Authority: CN
Inventors: 黄勇; 邹晓波; 张瑞冬; 何鹏程; 王明俊
Original assignee: Sichuan Silent Information Technology Co Ltd
Current assignee: Sichuan Silent Information Technology Co Ltd
Priority date: 2016-08-04
Filing date: 2016-08-04
Publication date: 2016-10-12
Anticipated expiration: 2036-08-04
Also published as: CN106027577B

Abstract

本发明提供了一种异常访问行为检测方法及装置，属于网络安全领域。该异常访问行为检测方法包括：获取用户的访问请求，所述访问请求包括对应于所述用户的访问请求的访问行为的标记信息；将所述标记信息添加到所述用户的历史访问序列中获得当前访问序列；将所述当前访问序列与预设的异常访问序列表进行匹配，当匹配满足第一预设规则时，判定所述用户的当前访问行为为异常访问行为。本发明提供的异常访问行为检测方法及装置可以实时检测用户的异常访问行为，相比于传统的防护手段，有效地提高了检测结果的准确性和可靠性。

Description

一种异常访问行为检测方法及装置

技术领域

本发明属于网络安全领域，具体而言，涉及一种异常访问行为检测方法及装置。

背景技术

网站防护一直以来是信息安全界研究的重点课题之一，随着网络社会的不断发展以及互联网加的概念的提出，越来越多的信息和产品开始融入互联网，人们对网络的安全要求也越来越高，如何提升和维护互联网的安全成为了各界研究者们普遍关注的一个话题。

现有的对网站入侵的防护手段都是基于规则去进行匹配和检测的，它们的流程往往如下：防护软件会对网络日志或流量中的关键字进行特征匹配，一旦匹配到符合攻击样本关键字就认为用户对网站进行了一次入侵。这种检测方式会造成较高的误报率。并且随着攻击者攻击手段的不断提升，很多行为都可以绕过网站的WAF去进行入侵，这给网站安全造成了不小的冲击，也使得很多网站防护软件开始变得不可靠起来。

发明内容

鉴于此，本发明提供了一种异常访问行为检测方法及装置，能够有效地改善上述问题。

为了实现上述目的，本发明实施例提供的技术方案如下：

第一方面，本发明实施例提供了一种异常访问行为检测方法，所述方法包括：获取用户的访问请求，所述访问请求包括对应于所述用户的访问请求的访问行为的标记信息；将所述标记信息添加到所述用户的历史访问序列中获得当前访问序列；将所述当前访问序列与预设的异常访问序列表进行匹配，当匹配满足第一预设规则时，判定所述用户的当前访问行为为异常访问行为。

第二方面，本发明实施例还提供了一种异常访问行为检测装置。所述装置包括：第一获取单元、第二获取单元及匹配单元。第一获取单元用于获取用户的访问请求，所述访问请求包括对应于所述用户的访问请求的访问行为的标记信息；第二获取单元，用于将所述标记信息添加到所述用户的历史访问序列中获得当前访问序列；匹配单元，用于将所述当前访问序列与预设的异常访问序列表进行匹配，当匹配满足第一预设规则时，判定所述用户的当前访问行为为异常访问行为。

本发明实施例提供的异常访问行为检测方法及装置通过代理服务器获取用户的访问请求，且访问请求中包括了对应于该用户的访问请求的访问行为的标记信息。进一步，将当前访问请求所包括的标记信息添加到该用户的历史访问序列中以更新历史访问序列得到当前访问序列。将当前访问序列与预设的异常访问序列表进行匹配，当满足第一预设规则时，即可以实时检测出该用户的访问行为为异常访问行为。相比于传统的基于规则去进行匹配和检测的防护手段，本实施基于反向代理技术监测用户与web服务器之间的交互信息，以用户的访问行为作为数据源与预设的异常访问序列表进行匹配，以实时检测用户的异常访问行为，有效地提高了检测结果的准确性和可靠性。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明较佳实施例提供的用户终端、代理服务器与web服务器进行交互的示意图；

图2是本发明较佳实施例提供的代理服务器的结构框图；

图3是本发明较佳实施例提供的一种异常访问行为检测方法的流程图；

图4是本发明较佳实施例提供的另一种异常访问行为检测方法的流程图；

图5是本发明较佳实施例提供的另一种异常访问行为检测方法中步骤S470的流程图；

图6是本发明较佳实施例提供的一种异常访问行为检测装置的结构框图；

图7是本发明较佳实施例提供的另一种异常访问行为检测装置的结构框图；

图8是本发明较佳实施例提供的另一种异常访问行为检测装置的结构框图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

本发明下述各实施例如无特别说明均可应用于如图1所示的环境中，如图1所示，用户终端100、代理服务器200及web服务器300之间通过网络400进行数据交互。所述代理服务器200可以是网络服务器、数据库服务器等。其中，用户终端100可以包括：PC(personal computer)电脑、平板电脑、手机、笔记本电脑等终端设备。在用户终端100与web服务器300之间设置代理服务器200的目的在于有效地检测用户与web服务器300之间的交互信息，实时监测用户的访问流量。

用户终端100用于发送用户的访问请求。代理服务器200用于获取用户的访问请求，所述访问请求包括对应于所述用户的访问请求的访问行为的标记信息，将所述标记信息添加到所述用户的历史访问序列中获得当前访问序列，将所述当前访问序列与预设的异常访问序列表进行匹配，当匹配满足第一预设规则时，判定所述用户的当前访问行为为异常访问行为，当匹配不满足第一预设规则时，将访问请求发送给web服务器300。为了适用于对多个用户终端100发送的访问请求进行监测和转发，代理服务器200也可以有多个。

如图2所示，是所述代理服务器200的方框示意图。所述代理服务器200包括异常访问行为检测装置210、存储器220、存储控制器230、处理器240及外设接口250。

所述存储器220、存储控制器230、处理器240、外设接口250各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述异常访问行为检测装置210包括至少一个可以软件或固件(firmware)的形式存储于所述存储器220中或固化在所述代理服务器200的操作***(operating system，OS)中的软件功能模块。所述处理器240用于执行存储器220中存储的可执行模块，例如所述异常访问行为检测装置210包括的软件功能模块或计算机程序。

其中，存储器220可以是，但不限于，随机存取存储器(RandomAccess Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable ProgrammableRead-Only Memory，EEPROM)等。其中，存储器220用于存储程序，所述处理器240在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器240中，或者由处理器240实现。

处理器240可能是一种集成电路芯片，具有信号的处理能力。上述的处理器240可以是通用处理器，包括中央处理器(CentralProcessing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器240也可以是任何常规的处理器等。

所述外设接口250将各种输入/输出装置耦合至处理器240以及存储器220。在一些实施例中，外设接口250，处理器240以及存储控制器230可以在单个芯片中实现。在其他一些实例中，他们可以分别由独立的芯片实现。

图3示出了本发明实施例提供的一种异常访问行为检测方法的流程图。如图3所示，所述方法包括：

步骤S310，获取用户的访问请求，所述访问请求包括对应于用户的访问请求的访问行为的标记信息；

代理服务器200获取用户通过用户终端100发送的访问请求之前，web服务器300中的内容需要预先根据用户的访问行为被划分为多个模块，每一个模块均分别对应于一个标记信息。例如，某web服务器300被划分为用户注册模块、用户登录模块、新闻浏览模块及发表评论模块，用户注册模块对应的标记信息为1，用户登录模块对应的标记信息为2，新闻浏览模块对应的标记信息为3，发表评论模块对应的标记信息为4。当用户的访问行为发生在用户注册模块时，用户的访问请求中包括标记信息1，当用户的访问行为发生在用户登录模块时，用户的访问请求中包括标记信息2。

步骤S320，将所述标记信息添加到用户的历史访问序列中获得当前访问序列；

在代理服务器200获取到用户的当前访问请求之前，该用户在小于预设的时间间隔内可能对web服务器300进行了多次访问，即向web服务器300发出了多次访问请求。上述多次访问请求中分别包括的标记信息按照时间先后顺序构成该用户的历史访问序列。

当代理服务器200获取到用户的当前访问请求时，获取当前访问请求所包括的标记信息，将该标记信息添加到上述历史访问序列中，更新历史访问序列得到当前访问序列。例如，代理服务器200获取到用户的当前访问请求所包括的标记信息为3，此时，对应的历史访问序列为{1，2}，更新后的当前访问序列为{1，2，3}；代理服务器200在上述预设时间间隔内获取到的与当前访问请求相邻的下一个访问请求所包括的标记信息为4，此时，对应的历史访问序列为{1，2，3}，更新后的当前访问序列为{1，2，3，4}。可以理解的是，当代理服务器200获取到用户的当前访问请求之前，该用户在小于预设的时间间隔内没有访问记录，则对应的历史访问序列中没有标记信息，更新后的当前访问序列为{3}。

步骤S330，将当前访问序列与预设的异常访问序列表进行匹配，判断匹配是否满足第一预设规则？

其中，异常访问序列表可以预先设置在代理服务器200中，包括多个异常访问序列，每一个异常访问序列均对应于一种异常访问行为。例如，对应于上述步骤S310中的模块划分示例，异常访问序列表中可以包括序列{1，2，4，4，4，…，4}、{2，2，2，2，…，2}等异常范文序列。当代理服务器200获得当前访问序列后，将当前访问序列与异常访问序列进行匹配。当当前访问序列与异常访问序列表的匹配满足第一预设规则时，执行步骤S340。当当前访问序列与预设的异常访问序列表的匹配不满足第一预设规则时，执行步骤S350。具体的，第一预设规则可以为：异常访问序列表中存在与所述当前访问序列一致的序列。另外，需要说明的是，上述异常访问序列表除了储存在代理服务器200外，也可以存储在其他的存储设备中。

步骤S340，判定所述用户的当前访问行为为异常访问行为。

在本发明的一种实施例中，当判定用户的当前访问行为为异常访问行为时，代理服务器200可以拦截该用户的当前访问请求，并对该用户的身份信息进行标记，将标记后的用户的身份信息发送给web服务器300，以便于网站服务及进行处理。其中，所述身份信息可以为域名信息。

步骤S350，将访问请求发送到web服务器300。

经过上述步骤S320及步骤S330后，当当前访问序列与预设的异常访问序列表的匹配不满足上述第一预设规则时，可以判定该用户的当前访问行为为正常访问行为，此时，将该用户的访问请求发送到web服务器300。

基于上述异常访问行为检测方法，可以实现用户异常访问行为的实时检测。为了进一步提高检测的准确度，还需要对上述异常访问序列表进行更新，以适应于新兴的攻击行为。对于异常访问序列表的更新方案将在下述实施例中进行详细介绍。

图4示出了本发明实施例提供的另一种异常访问行为检测方法。如图4所示，所述方法包括：

步骤S410，获取用户的访问请求，所述访问请求包括对应于所述用户的访问请求的访问行为的标记信息；

步骤S420，将所述标记信息添加到所述用户的历史访问序列中获得当前访问序列；

步骤S430，将所述当前访问序列与预设的异常访问序列表进行匹配，判断匹配是否满足第一预设规则？

当当前访问序列与异常访问序列表的匹配满足第一预设规则时，执行步骤S440。当当前访问序列与预设的异常访问序列表的匹配不满足第一预设规则时，执行步骤S450。

步骤S440，判定所述用户的当前访问行为为异常访问行为。

步骤S450，将所述访问请求发送到web服务器300。

步骤S410至步骤S450的实施方式可以参考步骤S310至步骤S350，此处不再赘述。

步骤S460，根据所述访问请求获得访问数据并存储。

代理服务器200获取到用户的当前访问请求后，一方面执行上述步骤S420至步骤S450，根据该用户的当前访问请求检测该用户的访问行为是否为异常访问行为；另一方面根据用户的当前访问请求获得相应的访问数据，所述访问数据包括上述标记信息。

具体的，可以先对所述访问请求进行数据清洗得到具有预设格式的访问数据；再将所得到的访问数据存储到数据库中。数据清洗是对数据进行重新审查和校验的过程，目的在于删除重复信息、纠正存在的错误，保证数据一致性，有利于数据的长期存储和查询。例如，访问数据中可以包括域名信息、当前访问请求的发出时间、标记信息等。当然，数据清洗的过程可以发生在代理服务器200。或者，也可以是代理服务器200将当前访问请求转发给数据清洗服务器，数据清洗服务器对所述当前访问请求进行数据清洗后将得到的访问数据发送回代理服务器200，代理服务器200再对获得的访问数据进行存储。为了便于所获得的访问数据的管理，代理服务器200可以优选将得到的访问数据存储在数据库中。其中，数据库可以是设置在代理服务器200中，也可以设置在其他存储设备中。

步骤S470，按照第二预设规则对所存储的访问数据进行分析，生成多个异常访问序列。

代理服务器200将获取到的所有用户的访问请求对应的访问数据进行存储，优选存储在数据库中。当数据库存储的访问数据的数据量大于预设值时，可以按照第二预设规则对存储在所述数据库中的多个访问数据进行分析，生成多个异常访问序列，以用于动态更新上述异常访问序列表。其中，预设值可以根据经验设置。

如图5所示，步骤S470具体包括步骤S471至步骤S473。

步骤S471，根据用户在预设时间间隔内的多次访问请求对应的标记信息将存储在数据库中的多个访问数据划分为多个行为序列。

可以将小于预设时间间隔内某一用户对web服务器300发出的多次访问请求作为连续访问行为。因此，可以根据该用户在预设时间间隔内发出的多次访问请求对应的多个访问数据将存储在数据库中的多个访问数据划分为多个行为序列。每一个行为序列均由同一个用户在小于预设时间间隔内先后对web服务器300发出的多次访问请求对应的访问数据中的标记信息组成。需要说明的是，所述小于预设间隔为该用户对web服务器300发出的相邻两个访问请求的间隔时间小于预设时间间隔。其中，预设时间间隔根据经验设置。

例如，某一用户在小于预设时间间隔内对web服务器300的访问行为依次为：用户注册→用户登录→浏览新闻→发表评论，此时，数据库中对应划分的行为序列为{1，2，3，4}。又例如，某一用户在小于预设时间间隔内对web服务器300的访问行为依次为：用户注册→用户登录→浏览新闻→发表评论→……→发表评论，其中，省略号表示发表了N次评论，N为正整数，此时，数据库中对应划分的行为序列为{1，2，3，4，…，4}。

步骤S472，根据预设的聚类算法对多个行为序列进行分类训练得到多个行为序列类。

执行完步骤S471后，即可以将存储在数据库中的各个用户的访问数据划分为多个行为序列。以所述多个行为序列为分析对象，根据预设的聚类算法对多个行为序列进行聚类分析可以将其划分为多个行为序列类，其中，每一个行为序列类均对应一个输出概率。本实施例中，预设的聚类算法可以为隐马尔科夫模型(Hidden MarkovModel，HMM)，或者是其它以观测序列为分析对象的聚类分析模型。

以隐马尔科夫模型为例，具体的分析过程可以为包括初始分类步骤和迭代更新步骤。

初始划分步骤：

利用TPSDTW距离及预设的类别数K将多个行为序列划分为K个初始行为序列类。例如，多个行为序列包括D₁、D₂、D₃、…、D_n，根据多个行为序列可以构建行为序列集D＝{D₁，D₂，D₃，…，D_n}。根据预设的类别数K可以将多个行为序列划分为K个初始行为序列类，构建分类序列集C＝{C₁，C₂，…，C_K}(如：C₁＝{D₁，D₂，D₃，D₅，D₈})。

迭代更新步骤：

步骤1：对K个初始行为序列类进行训练，得到K个HMM模型参数λ₁，λ₂，…，λ_K，得到与各个初始行为序列类对应的HMM模型{HMM₁，HMM₂，…，HMM_K}。

步骤2：根据各个初始行为序列类对应的HMM模型计算目标函数的函数值。本实施例中，目标函数可以为联合似然函数，如下式所示：其中，L(D_i|λ_k)＝P(D_i|λ_k)，P表示输出概率函数。

步骤3：判断目标函数的函数值是否满足收敛条件。具体的，可以通过比较相邻两次迭代所得到的函数值是否小于预设阈值，所述预设阈值可以是根据经验预先设置的一个较小的值。

当当前函数值满足收敛条件时，输出当前的初始行为序列类作为最优分类结果，结束迭代，得到多个行为序列类。

当当前函数值不满足收敛条件时，对行为序列集中的任一序列D_i分配给输出概率最大的模型HMM_j对应的初始行为序列类，以对初始行为序列类进行更新，更新后的初始行为序列类可以表示为C′＝{C₁′，C₂′，…，C_K′}。对更新后的初始行为序列类重复步骤1至步骤3直至当前函数值满足收敛条件。

需要说明的是，根据初始划分步骤得到的初始行为序列类对应的HMM模型所计算得到目标函数的函数值即第一次迭代得到的函数值可以直接判定为不满足收敛条件，即迭代次数大于或等于2。

步骤S473，将每一个行为序列类的输出概率与预设的概率阈值进行对比，将输出概率小于概率阈值的行为序列类中的行为序列作为异常访问序列。

将上述步骤S472得到的多个行为序列类分为对应于正常访问行为的行为序列类和对应异常访问行为的行为序列类。能够理解到的是，大多数用户的访问行为均为正常访问行为，因此，可以根据所得到的每一个行为序列类的输出概率多个行为序列类进行划分。具体的，将输出概率小于预设的概率阈值的行为序列类均作为对应异常访问行为的行为序列类。将对应异常访问行为的行为序列类中的行为序列均作为异常访问序列，用于对预先设置的异常方位序列表进行更新。当然，输出概率大于或等于预设的概率阈值的行为序列类均作为对应正常访问行为的行为序列类。其中，概率阈值可以根据经验设置。

步骤S480，将所生成的多个异常访问序列添加到异常访问序列表中。

通过对存储的大量访问数据进行大数据分析生成的多个异常访问序列对预设的异常访问序列表进行动态更新，使得更新后的异常访问序列表能够适应新兴的异常访问行为，有利于提高本发明实施例提供的异常访问行为检测方法的准确度。

需要说明的是，步骤S460至步骤S480可以发生在步骤S420之前，也可以发生在步骤S420至步骤S450之间，或者是发生在步骤S440或步骤S450之后。

在本发明的一种实施例中，可以将异常访问序列表作为一个场景库。每一个异常访问序列均作为一种场景。其中，场景可以理解为一种行为规则，可以诠释一种访问模式。拿一个论坛网站来说，对普通用户而言，如果你想发帖留言，那么正常的访问轨迹是注册页面→发帖页面→发表帖子→浏览其他帖子；而对于攻击者而言，攻击者去注册用户往往只是为了寻找上传或者其他能触发跨站脚本的接口，那么他的访问轨迹很可能是注册页面→不停地修改论坛头像→不停地发帖。无论是攻击者还是普通用户，这两种行为在本质上都不会触发传统的Web应用防火墙(Web Application Firewall，WAF)的检测规则。然而，攻击者或许可以模拟正常用户的访问请求，但是模拟不了正常用户的访问行为，只要上述攻击者的访问行为被记录在代理服务器200的场景库中，即可以被本发明实施例提供的异常访问行为检测方法检测出来，从而有效地拦截攻击请求。

综上所述，本发明实施例基于反向代理的数据采集技术，在用户终端100与web服务器300之间设置了代理服务器200，以实时获取用户的访问请求。相比于传统的防护手段，本发明实施例提供的异常访问行为检测方法，以用户的访问行为作为数据源与预设的异常访问序列表进行匹配，以实时检测用户的异常访问行为，有效地提高了检测结果的准确性和可靠性。此外，通过存储并分析所获取到的用户的访问请求，生成多个异常访问序列，对预设的异常访问序列表进行更新，有利于进一步提高检测的准确性和可靠性。

如图6所示，本发明实施例还提供了一种异常访问行为检测装置210，运行于代理服务器200。该异常访问行为检测装置210包括：第一获取单元211、第二获取单元212及匹配单元213。

其中，第一获取单元211用于获取用户的访问请求，所述访问请求包括对应于所述用户的访问请求的访问行为的标记信息。

第二获取单元212用于将所述标记信息添加到所述用户的历史访问序列中获得当前访问序列。

匹配单元213用于将所述当前访问序列与预设的异常访问序列表进行匹配，当匹配满足第一预设规则时，判定所述用户的当前访问行为为异常访问行为。此外，匹配单元213还用于当匹配不满足第一预设规则时，将所述访问请求发送到web服务器300。

如图7所示，本发明实施例还提供了另一种异常访问行为检测装置210，运行于代理服务器200。所述异常访问行为检测装置210除了包括第一获取单元211、第二获取单元212及匹配单元213之外，还包括：存储单元214、异常访问序列生成单元215及更新单元216。

其中，存储单元214用于根据所述访问请求获得访问数据并存储，所述访问数据包括所述标记信息。

异常访问序列生成单元215用于按照第二预设规则对所存储的访问数据进行分析，生成多个异常访问序列。

更新单元216用于将所生成的所述多个异常访问序列添加到所述异常访问序列表中，以更新所述异常访问序列表。

具体的，如图8所示，存储单元214包括数据清洗子单元2141和访问数据存储子单元2142。

数据清洗子单元2141用于对所述访问请求进行数据清洗得到访问数据。

访问数据存储子单元2142用于将所述访问数据存储到数据库中。

此时，所述异常访问序列生成单元215具体用于当所述数据库存储的访问数据的数据量大于预设值时，按照第二预设规则对存储在所述数据库中的多个访问数据进行分析，生成多个异常访问序列。

具体的，所述异常访问序列生成单元215包括行为序列划分子单元2151、行为序列类划分子单元2152及异常访问序列获取子单元2153。

其中，行为序列划分子单元2151用于根据所述用户在预设时间间隔内的多次访问请求对应的标记信息将存储在所述数据库中的多个访问数据划分为多个行为序列。

行为序列类划分子单元2152用于根据预设的聚类算法对所述多个行为序列进行分类训练得到多个行为序列类，其中，每一个行为序列类均对应一个输出概率。

异常访问序列获取子单元2153用于将每一个所述行为序列类的输出概率与预设的概率阈值进行对比，将所述输出概率小于所述概率阈值的行为序列类中的行为序列作为异常访问序列。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种异常访问行为检测方法，其特征在于，所述方法包括：

获取用户的访问请求，所述访问请求包括对应于所述用户的访问请求的访问行为的标记信息；

将所述标记信息添加到所述用户的历史访问序列中获得当前访问序列；

将所述当前访问序列与预设的异常访问序列表进行匹配，当匹配满足第一预设规则时，判定所述用户的当前访问行为为异常访问行为。

2.根据权利要求1所述的方法，其特征在于，所述的获取用户的访问请求的步骤之后，还包括：

根据所述访问请求获得访问数据并存储，所述访问数据包括所述标记信息；

按照第二预设规则对所存储的访问数据进行分析，生成多个异常访问序列；

将所生成的所述多个异常访问序列添加到所述异常访问序列表中，以更新所述异常访问序列表。

3.根据权利要求2所述的方法，其特征在于，所述的根据所述访问请求获得访问数据并存储的步骤，包括：

对所述访问请求进行数据清洗得到访问数据；

将所述访问数据存储到数据库中；

所述按照第二预设规则对所存储的访问数据进行分析，生成多个异常访问序列，包括：

当所述数据库存储的访问数据的数据量大于预设值时，按照第二预设规则对存储在所述数据库中的多个访问数据进行分析，生成多个异常访问序列。

4.根据权利要求3所述的方法，其特征在于，所述的按照第二预设规则对存储在所述数据库中的多个访问数据进行分析，生成多个异常访问序列的步骤，包括：

根据所述用户在预设时间间隔内的多次访问请求对应的标记信息将存储在所述数据库中的多个访问数据划分为多个行为序列；

根据预设的聚类算法对所述多个行为序列进行分类训练得到多个行为序列类，其中，每一个行为序列类均对应一个输出概率；

将每一个所述行为序列类的输出概率与预设的概率阈值进行对比，将所述输出概率小于所述概率阈值的行为序列类中的行为序列作为异常访问序列。

5.根据权利要求1所述的方法，其特征在于，所述的将所述当前访问序列与预设的异常访问序列表进行匹配的步骤，还包括：当匹配不满足第一预设规则时，将所述访问请求发送到web服务器。

6.一种异常访问行为检测装置，其特征在于，所述装置包括：

第一获取单元，用于获取用户的访问请求，所述访问请求包括对应于所述用户的访问请求的访问行为的标记信息；

第二获取单元，用于将所述标记信息添加到所述用户的历史访问序列中获得当前访问序列；

匹配单元，用于将所述当前访问序列与预设的异常访问序列表进行匹配，当匹配满足第一预设规则时，判定所述用户的当前访问行为为异常访问行为。

7.根据权利要求6所述的装置，其特征在于，还包括：

存储单元，用于根据所述访问请求获得访问数据并存储，所述访问数据包括所述标记信息；

异常访问序列生成单元，用于按照第二预设规则对所存储的访问数据进行分析，生成多个异常访问序列；

更新单元，用于将所生成的所述多个异常访问序列添加到所述异常访问序列表中，以更新所述异常访问序列表。

8.根据权利要求7所述的装置，其特征在于，所述存储单元包括：

数据清洗子单元，用于对所述访问请求进行数据清洗得到访问数据；

访问数据存储子单元，用于将所述访问数据存储到数据库中；

所述异常访问序列生成单元具体用于当所述数据库存储的访问数据的数据量大于预设值时，按照第二预设规则对存储在所述数据库中的多个访问数据进行分析，生成多个异常访问序列。

9.根据权利要求8所述的装置，其特征在于，所述异常访问序列生成单元包括：

行为序列划分子单元，用于根据所述用户在预设时间间隔内的多次访问请求对应的标记信息将存储在所述数据库中的多个访问数据划分为多个行为序列；

行为序列类划分子单元，用于根据预设的聚类算法对所述多个行为序列进行分类训练得到多个行为序列类，其中，每一个行为序列类均对应一个输出概率；

异常访问序列获取子单元，用于将每一个所述行为序列类的输出概率与预设的概率阈值进行对比，将所述输出概率小于所述概率阈值的行为序列类中的行为序列作为异常访问序列。

10.根据权利要求6所述的装置，其特征在于，所述匹配单元还用于当匹配不满足第一预设规则时，将所述访问请求发送到web服务器。