CN113765873B - 用于检测异常访问流量的方法和装置 - Google Patents
用于检测异常访问流量的方法和装置 Download PDFInfo
- Publication number
- CN113765873B CN113765873B CN202011202716.1A CN202011202716A CN113765873B CN 113765873 B CN113765873 B CN 113765873B CN 202011202716 A CN202011202716 A CN 202011202716A CN 113765873 B CN113765873 B CN 113765873B
- Authority
- CN
- China
- Prior art keywords
- detected
- access
- preset page
- time period
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 150
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000012512 characterization method Methods 0.000 claims abstract description 106
- 238000001514 detection method Methods 0.000 claims abstract description 61
- 230000004044 response Effects 0.000 claims description 35
- 230000015654 memory Effects 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000000638 solvent extraction Methods 0.000 claims description 3
- 238000012549 training Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了用于检测异常访问流量的方法和装置,涉及检测技术领域。该方法包括:响应于检测到对预设页面的异常访问流量的检测指令,获取待检测时间段内访问预设页面的到访记录,其中,到访记录包括:原始访问终端的表征信息和对预设页面的访问次数;根据各个原始访问终端的表征信息,从原始访问终端中,确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;基于不同目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定待检测时间段内,是否存在针对预设页面的异常访问流量。采用本方法可以提高检测异常访问流量的准确性。
Description
技术领域
本公开涉及计算机技术领域,具体涉及检测技术领域,尤其涉及用于检测异常访问流量的方法和装置。
背景技术
随着互联网技术的发展,网站页面或者应用程序的访问流量越来越多。在这些访问流量中存在一些异常访问流量。目前,检测异常访问流量的方法是基于设备的网络地址来判断设备是否为存在异常访问行为。
然而,目前的检测异常访问流量的方法存在检测不准确的问题。
发明内容
本公开提供了一种用于检测异常访问流量的方法、装置、电子设备以及计算机可读存储介质。
根据本公开的第一方面,提供了一种用于检测异常访问流量的方法,包括:响应于检测到对预设页面的异常访问流量的检测指令,获取待检测时间段内访问预设页面的到访记录,其中,到访记录包括:原始访问终端的表征信息和对预设页面的访问次数;根据各个原始访问终端的表征信息,从原始访问终端中,确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;基于不同目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,根据各个原始访问终端的表征信息,从原始访问终端中确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端,包括:针对各个原始访问终端中的每两个原始访问终端,采用该两个原始访问终端的表征信息中相对应的表征参数的数值,计算该两个原始访问终端的相似度;其中,原始访问终端的表征信息为多个,每个表征信息包括至少一种采用数值表示的表征参数;响应于检测到该两个原始访问终端的相似度符合相似度阈值,确定该两个原始访问终端为待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端。
在一些实施例中,获取待检测时间段内访问预设页面的到访记录,包括:将待检测时间段划分为多个时间片段,针对多个时间片段中的每一个时间片段,获取该时间片段内访问预设页面的到访记录;根据各个原始访问终端的表征信息,从原始访问终端中,确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端,包括:根据该时间片段内的各个原始访问终端的表征信息,从该时间片段内的各个原始访问终端中,确定出该时间片段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;基于不同目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:基于不同目标访问终端在多个时间片段内对预设页面的访问次数之间的差异程度的均值是否符合均值阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,基于不同目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:根据不同目标访问终端在待检测时间段内对预设页面的分别访问次数和总访问次数,确定待检测时间段内各个目标访问终端对预设页面的访问概率;基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:响应于确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度小于预设幅度阈值,确定待检测时间段内,不存在针对预设页面的异常访问流量。
在一些实施例中,基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:响应于确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度大于或等于预设幅度阈值,确定待检测时间段内,存在针对预设页面的异常访问流量。
在一些实施例中,基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:采用待检测时间段内各个目标访问终端对预设页面的访问概率,计算到访信息熵,其中,到访信息熵用于表征各个目标访问终端访问预设页面的不确定度;根据到访信息熵是否符合预设信息熵阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,根据到访信息熵是否符合预设信息熵阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:响应于确定多个时间片段的到访信息熵的均值大于或等于预设信息熵均值,确定待检测时间段内,不存在针对预设页面的异常访问流量;或者,响应于确定多个时间片段的到访信息熵的均值小于预设信息熵均值,确定待检测时间段内,存在针对预设页面的异常访问流量。
在一些实施例中,将待检测时间段划分为多个时间片段,包括:利用预设时间长度的窗口以预设时间步长在待检测时间段上滑动,获得多个时间片段,其中,预设时间步长小于预设时间长度的窗口。
根据本公开的第二方面,提供了一种用于检测异常访问流量的装置,包括:获取单元,被配置为响应于检测到对预设页面的异常访问流量的检测指令,获取待检测时间段内访问预设页面的到访记录,其中,到访记录包括:原始访问终端的表征信息和对预设页面的访问次数;确定单元,被配置为根据各个原始访问终端的表征信息,从原始访问终端中,确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;检测单元,被配置为基于不同目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,确定单元,包括:计算模块,被配置为针对各个原始访问终端中的每两个原始访问终端,采用该两个原始访问终端的表征信息中相对应的表征参数的数值,计算该两个原始访问终端的相似度;其中,原始访问终端的表征信息为多个,每个表征信息包括至少一种采用数值表示的表征参数;第一确定模块,被配置为响应于检测到该两个原始访问终端的相似度符合相似度阈值,确定该两个原始访问终端为待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端。
在一些实施例中,获取单元,包括:划分模块,被配置为将待检测时间段划分为多个时间片段,针对多个时间片段中的每一个时间片段,获取该时间片段内访问预设页面的到访记录;确定单元,包括:第二确定模块,被配置为根据该时间片段内的各个原始访问终端的表征信息,从该时间片段内的各个原始访问终端中,确定出该时间片段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;检测单元,包括:第一检测模块,被配置为基于不同目标访问终端在多个时间片段内对预设页面的访问次数之间的差异程度的均值是否符合均值阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,检测单元,包括:概率计算模块,被配置为根据不同目标访问终端在待检测时间段内对预设页面的分别访问次数和总访问次数,确定待检测时间段内各个目标访问终端对预设页面的访问概率;波动检测模块,被配置为:基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,波动检测模块,包括:第一判断模块,被配置为响应于确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度小于预设幅度阈值,确定待检测时间段内,不存在针对预设页面的异常访问流量。
在一些实施例中,波动检测模块,包括:第二判断模块,被配置为响应于确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度大于或等于预设幅度阈值,确定待检测时间段内,存在针对预设页面的异常访问流量。
在一些实施例中,波动检测模块,包括:信息熵计算模块,被配置为采用待检测时间段内各个目标访问终端对预设页面的访问概率,计算到访信息熵,其中,到访信息熵用于表征各个目标访问终端访问预设页面的不确定度;波动检测子模块,被配置为根据到访信息熵是否符合预设信息熵阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,波动检测子模块,包括:第一判断子模块,被配置为响应于确定多个时间片段的到访信息熵的均值大于或等于预设信息熵均值,确定待检测时间段内,不存在针对预设页面的异常访问流量;或者,第二判断子模块,被配置为响应于确定多个时间片段的到访信息熵的均值小于预设信息熵均值,确定待检测时间段内,存在针对预设页面的异常访问流量。
在一些实施例中,划分模块,包括:划分子模块,被配置为利用预设时间长度的窗口以预设时间步长在待检测时间段上滑动,获得多个时间片段,其中,预设时间步长小于预设时间长度的窗口。
根据本公开的第三方面,本公开的实施例提供了一种电子设备,包括:一个或多个处理器:存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面提供的用于检测异常访问流量的方法。
根据本公开的第四方面,本公开的实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其中,程序被处理器执行时实现第一方面提供的用于检测异常访问流量的方法。
本公开提供的用于检测异常访问流量的方法、装置,当接收到对预设页面的异常访问流量的检测指令时,获取待检测时间段内访问预设页面的到访记录,根据各个原始访问终端的表征信息,从原始访问终端中,确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端,之后基于不同目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,可以提高检测预设页面是否存在异常访问流量的准确性。
根据本申请的技术解决了检测异常访问流量不准确的问题。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是本申请的实施例可以应用于其中的示例性***架构图;
图2是根据本申请的用于检测异常访问流量的方法的一个实施例的流程图;
图3是根据本申请的用于检测异常访问流量的方法的另一个实施例的流程示意图;
图4是根据本申请的用于检测异常访问流量的方法的又一个实施例的流程示意图;
图5是根据本申请的用于检测异常访问流量的装置的一个实施例的结构示意图;
图6是用来实现本申请实施例的用于检测异常访问流量的方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1示出了可以应用本申请的用于检测异常访问流量的方法或用于检测异常访问流量的装置的实施例的示例性***架构100。
如图1所示,***架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种客户端应用,例如聊天类应用、购物类应用、金融类应用、图像类应用、视频类应用、浏览器类应用等。
终端设备101、102、103可以是具有显示屏并且支持接收服务器消息的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving PictureExperts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(MovingPicture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的多个软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
当服务器105接收到对预设页面的异常访问流量的检测指令时,可以通过网络104获取检测时间窗口内终端设备101、102、103对预设页面的到访记录,该到访记录包括终端设备101、102、103的表征信息以及各个终端设备对预设页面的访问次数。之后,服务器105可以根据终端设备101、102、103的表征信息,确定终端设备101、102、103之间的相似度,并将相似度大于相似度阈值的终端设备确定为具有相同身份的目标访问终端。然后,服务器105可以基于具有不同身份的不同目标访问终端在检测时间窗口内对预设页面的访问次数之间的差异程度,确定该检测时间窗口内是否存在针对预设页面的异常访问流量。
需要说明的是,本公开的实施例所提供的用于检测异常访问流量的方法一般由服务器105执行,相应地,用于检测异常访问流量的装置一般设置于服务器105中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本公开的用于检测异常访问流量的方法的一个实施例的流程200,包括以下步骤:
步骤201,响应于检测到对预设页面的异常访问流量的检测指令,获取待检测时间段内访问预设页面的到访记录,其中,到访记录包括:原始访问终端的表征信息和对预设页面的访问次数。
在本实施例中,当用于检测异常访问流量的方法的执行主体(例如图1所示的服务器105)接收到对预设页面的异常访问流量的检测指令时,可以通过有线或者无线的方式获取待检测时间段内终端访问预设页面的到访记录。其中,到访记录包括访问该预设页面的原始访问终端的表征信息、以及各个原始访问终端访问该预设页面的访问次数。表征信息是指原始访问终端的特征信息(例如,终端标识、终端型号等),或者表征使用该原始访问终端的用户的使用习惯信息(例如,在终端中设置的终端显示语言、终端显示页面的颜色、终端显示页面的字体大小、终端设备中使用的程序/插件信息、终端设备的历史浏览/历史搜索关键字等)。
在本实施例中,对预设页面的异常访问流量的检测指令可以是用户触发的指令,例如某网站的管理员发现该网站发生网络堵塞时,触发的针对该网站的进行异常访问流量的检测指令;对预设页面的异常访问流量的检测指令也可以是预先设定的针对某个应用程序的登录页面的检测指令,例如可以预先设定检测时间窗口,当时间符合该检测时间窗口时,服务器可以生成检测针对该登录页面的异常访问流量的检测指令。
步骤202,根据各个原始访问终端的表征信息,从原始访问终端中,确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端。
在本实施例中,可以根据各个原始访问终端的表征信息,确定出在待检测时间段内,表征信息相似度大于相似度阈值的访问终端,并将表征信息相似度大于相似度阈值的访问终端确定为具有相同身份的目标访问终端。可以理解,原始访问终端是指访问预设页面的各个终端;目标访问终端是将原始访问终端根据相似度进行划分后,将相似的原始访问终端归为具有相同身份的这一访问终端。
具体地,可以根据至少两个原始访问终端设备号的相似度确定该至少两个原始访问终端是否为具有相同身份的目标访问终端。
步骤203,基于不同目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在本实施例中,可以根据具有不同身份的各个目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定出在待检测时间段内是否存在针对预设页面的异常访问流量。具体地,当各个目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度较大时,确定存在针对预设页面的异常访问流量;当各个目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度较小(即,各个目标访问终端在待检测时间段内对预设页面的访问次数较为均衡)时,确定不存在针对预设页面的异常访问流量。
在本实施例中,目标访问终端在待检测时间段内针对预设页面的访问次数是:归为该目标访问终端的各个原始访问终端在待检测时间段内针对预设页面的访问次数的和。
在本实施例中,各个目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,可以根据各个目标访问终端在待检测时间段内对预设页面的访问次数之间的差的大小确定;也可以根据各个目标访问终端在待检测时间段内对预设页面的访问次数与预设数值的差确定;还可以根据各个目标访问终端在待检测时间段内对预设页面的访问次数与预设页面被访问的总访问次数的比值(各个目标访问终端在待检测时间段内对预设页面的访问概率)确定。
本实施例提供的用于检测异常访问流量的方法,当接收到对预设页面的异常访问流量的检测指令时,获取待检测时间段内访问预设页面的到访记录,根据各个原始访问终端的表征信息,从原始访问终端中,确定出待检测时间段内访问相似度表征信息相似度大于相似度阈值的具有相同身份的目标访问终端,之后基于不同目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,可以提高检测预设页面是否存在异常访问流量的准确性。
进一步参考图3,示出了根据本公开的用于检测异常访问流量的方法的另一个实施例的流程300,包括以下步骤:
步骤301,响应于检测到对预设页面的异常访问流量的检测指令,将待检测时间段划分为多个时间片段,针对多个时间片段中的每一个时间片段,获取该时间片段内访问预设页面的到访记录,其中,到访记录包括:原始访问终端的表征信息和对预设页面的访问次数。
在本实施例中,当用于检测异常访问流量的方法的执行主体(例如图1所示的服务器105)接收到对预设页面的异常访问流量的检测指令时,可以将待检测时间段划分为多个时间片段,针对多个时间片段中的每一个时间片段,获取该时间片段内访问预设页面的到访记录。具体地,可以将待检测时间段均分为片段长度相等的多个时间片段,也可以基于经验划分时间片段,使访问高峰期具有片段长度更短的时间片段,非访问高峰期具有片段长度更长的时间片段,以在确保检测准确性的同时提高检测效率。
步骤302,根据该时间片段内的各个原始访问终端的表征信息,从该时间片段内的各个原始访问终端中,确定出该时间片段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端。
在本实施例中,针对多个时间片段中的每一个时间片段,根据该时间片段内访问预设页面的各个原始访问终端的表征信息,确定出该时间片段内,访问预设页面的原始访问终端中的表征信息相似度大于相似度阈值的原始访问终端,并将表征信息相似度大于相似度阈值的原始访问终端确定为该时间片段内的具有相同身份的目标访问终端。
步骤303,基于不同目标访问终端在多个时间片段内对预设页面的访问次数之间的差异程度的均值是否符合均值阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在本实施例中,可以根据各个时间片段内的、具有不同身份的各个目标访问终端,在对应的各个时间片段内对预设页面的访问次数之间的差异程度的均值,确定出在待检测时间段内是否存在针对预设页面的异常访问流量。
本实施例中,将待检测时间段划分为多个时间片段,并分别确定出各时间片段内的、具有相同身份的目标访问终端;之后根据各时间片段内的目标访问终端对预设页面的访问次数,确定出各时间片段内的访问次数差异程度;然后基于多个时间片段内的访问次数差异程度的均值,确定在待检测时间段内是否存在针对预设页面的异常访问流量,可以提高检测异常访问流量的准确性。
进一步参考图4,示出了根据本公开的用于检测异常访问流量的方法的又一个实施例的流程400,包括以下步骤:
步骤401,响应于检测到对预设页面的异常访问流量的检测指令,获取待检测时间段内访问预设页面的到访记录,其中,到访记录包括:原始访问终端的表征信息和对预设页面的访问次数。
步骤402,根据各个原始访问终端的表征信息,从原始访问终端中,确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端。
本实施例中对步骤401、步骤402的描述与步骤201、步骤202的描述一致,此处不再赘述。
步骤403,根据不同目标访问终端在待检测时间段内对预设页面的分别访问次数和总访问次数,确定待检测时间段内各个目标访问终端对预设页面的访问概率。
在本实施例中,可以获取所有目标访问终端针对预设页面进行访问的总访问次数,之后,针对不同目标访问终端中的每一个目标访问终端,根据该目标访问终端在待检测时间段内对预设页面的访问次数与总访问次数的比值,确定出在待检测时间段内,该目标访问终端对预设页面的访问概率。
步骤404,基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在本实施例中,可以基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定出在待检测时间段内,是否存在针对预设页面的异常访问流量。可以理解,当各个目标访问终端对预设页面的访问概率分布较为平均时(即,各个目标访问终端对预设页面的访问次数相近),则确定不存在针对预设页面的异常访问流量;当某个目标访问终端对预设页面的访问概率明显高于其他目标访问终端对该预设页面的访问概率时,该目标访问终端可能为异常访问流量(例如,该目标终端多次登录预设页面进行信息盗取、或者频繁刷新页面以造成网络拥堵致使其他用户无法登陆),即,预设页面存在异常访问流量。
本实施例基于各个目标终端对预设页面的访问概率的波动幅度,确定是否存在针对预设页面的异常访问流量,可以提高检测预设页面的异常访问流量的准确度以及便捷度。另外,由于异常访问流量会导致各个目标访问终端对预设页面的访问概率分布不平均,可以在确定存在异常访问流量后确定出导致访问概率分布不平均的目标访问终端,进而确定该目标访问终端为非法终端/异常终端,通过限制其权限可以提高网站/程序的安全性。
可选地,可以将待检测时间段划分为多个时间片段,针对多个时间片段中的每一个时间片段,获取该时间片段内访问预设页面的到访记录;根据该时间片段内的各个原始访问终端的表征信息,从该时间片段内的各个原始访问终端中,确定出该时间片段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;基于不同目标访问终端在多个时间片段内对预设页面的访问概率的波动幅度的均值是否符合均值阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在本实施例中,当将待检测时间段划分为多个时间片段时,可以根据各个时间片段内的、具有不同身份的各个目标访问终端,在对应的各个时间片段内对预设页面的访问概率的波动幅度的均值,确定出在待检测时间段内是否存在针对预设页面的异常访问流量。
本实施例将待检测时间段划分为多个时间片段,并根据基于多个时间片段得到的访问概率波动幅度的均值,确定在待检测时间段内是否存在针对预设页面的异常访问流量,可以提高检测预设页面的异常访问流量的准确度。
可选地,基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:响应于确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度小于预设幅度阈值,确定待检测时间段内,不存在针对预设页面的异常访问流量。
在本实施例中,当确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度小于预设幅度阈值时,确定在待检测时间段内,不存在针对预设页面的异常访问流量。
可选地,基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:响应于确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度大于或等于预设幅度阈值,确定待检测时间段内,存在针对预设页面的异常访问流量。
在本实施例中,当确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度大于或等于预设幅度阈值时,确定待检测时间段内,存在针对预设页面的异常访问流量。
可选地,基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:采用待检测时间段内各个目标访问终端对预设页面的访问概率,计算到访信息熵,其中,到访信息熵用于表征各个目标访问终端访问预设页面的不确定度;根据到访信息熵是否符合预设信息熵阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在本实施例中,可以采用待检测时间段内各个目标访问终端对预设页面的访问概率,利用如下公式,计算到访信息熵:
其中,H代表到访信息熵,pi代表目标访问终端i针对预设页面的访问概率。该到访信息熵用于表征各个目标到访终端访在待检测时间段内,对该预设页面进行访问的不确定度。
在本实施例中,可以根据到访信息熵是否符合预设信息熵阈值,确定在待检测时间段内,是否存在针对预设页面的异常访问流量。可以理解,如果某个时间段里数据是较为随机的,那么包含的信息非常大,对应的信息熵值也较大;相反,如果数据较为固定,能获取的信息量就较小,那么对应的信息熵非常小,也即:如果待检测时间段内,各个目标访问终端对预设页面的访问概率的分布是比较均匀的,到访信息熵较大;如果某个目标访问终端具有远高于平均的访问次数,那么来该目标访问终端的访问概率较大,导致目标访问终端的整体访问概率分布不均匀,进而导致信息熵的值较小。基于到访信息熵确定对预设页面的异常访问流量,可以准确、高效的检测出待检测时间段内的访问流量分布情况,提高判断是否存在异常访问流量的准确性以及效率。
可选地,根据到访信息熵是否符合预设信息熵阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量,包括:响应于确定多个时间片段的到访信息熵的均值大于或等于预设信息熵均值,确定待检测时间段内,不存在针对预设页面的异常访问流量;或者,响应于确定多个时间片段的到访信息熵的均值小于预设信息熵均值,确定待检测时间段内,存在针对预设页面的异常访问流量。
在本实施例中,可以将待检测时间段划分为多个时间片段,针对多个时间片段中的每一个时间片段,获取该时间片段内访问预设页面的到访记录;根据该时间片段内的各个原始访问终端的表征信息,从该时间片段内的各个原始访问终端中,确定出该时间片段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;采用该时间片段内各个目标访问终端对预设页面的访问概率,计算该时间片段的到访信息熵。
若确定多个时间片段的到访信息熵的均值大于或等于预设信息熵均值,确定待检测时间段内,不存在针对预设页面的异常访问流量;或者,若确定多个时间片段的到访信息熵的均值小于预设信息熵均值,确定待检测时间段内,存在针对预设页面的异常访问流量。
本实施例基于多个时间片段内的到访信息熵的均值,确定在待检测时间段内是否存在针对预设页面的异常访问流量,可以提高检测异常访问流量的准确性。
在上述结合图2和图3描述的实施例的一些可选的实现方式中,根据各个原始访问终端的表征信息,从原始访问终端中确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端,包括:针对各个原始访问终端中的每两个原始访问终端,采用该两个原始访问终端的表征信息中相对应的表征参数的数值,计算该两个原始访问终端的相似度;其中,原始访问终端的表征信息为多个,每个表征信息包括至少一种采用数值表示的表征参数;响应于检测到该两个原始访问终端的相似度符合相似度阈值,确定该两个原始访问终端为待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端。
在本实施例中,原始访问终端可以具有多个表征信息,并且每个表征信息中包括至少一种表征参数,每个表征参数采用数值进行表示。例如,原始访问终端可以具有页面显示背景颜色、页面显示语言这两种表征信息。其中,页面显示背景颜色这一表征信息中包括:绿色、蓝色、白色这三种表征参数,并且绿色用数值1表示、蓝色用数值2表示、白色用数值3表示;页面显示语言这一表征信息中包括:英语、中文这两种表征参数,并且英语用数值11表示、中文用数值12表示。
在本实施例中,可以针对各个原始访问中的每两个原始访问终端,采用这两个原始访问终端的表征信息中相对应的表征参数的数值,基于如减法等基本运算方法,计算这两个原始访问终端的相似度。
例如,原始访问终端A的页面显示背景颜色为绿色(表示为数值1)、页面显示语言为中文(表示为数值12),原始访问终端B的页面显示颜色为蓝色(表示为数值2)、页面显示语言为中文(表示为数值12)。原始访问终端A与原始访问终端的B的相似度可以是:页面显示语言对应的表征参数数值的差值、与页面显示语言对应的表征参数数值差值的和:(2-1)+(12-11)=2。
在本实施例中,也可以针对各个原始访问中的每两个原始访问终端,采用这两个原始访问终端的表征信息中相对应的表征参数的数值,基于如下公式计算方式,计算这两个原始访问终端的相似度:
其中,X代表原始访问终端X,Y代表原始访问终端Y,d(X,Y)代表原始访问终端X与原始访问终端Y之间的相似度,xi代表原始访问终端X的表征参数i的数值,yi代表原始访问终端Y的表征参数i的数值。
例如,原始访问终端X的页面显示背景颜色为绿色(表示为数值1)、页面显示语言为中文(表示为数值12),原始访问终端Y的页面显示颜色为蓝色(表示为数值2)、页面显示语言为中文(表示为数值12)。基于上述公式(1),原始访问终端X与原始访问终端的Y的相似度可以是:
本实施例采用数值表示原始访问终端的表征信息的各个表征参数,并基于对各个原始访问终端的表征信息中的表征参数对应的数值进行运算,得到各个原始访问终端之间的相似度,可以提高确定原始访问终端之间的相似度的准确性以及便捷度。
在上述结合图2和图3描述的实施例的一些可选的实现方式中,将待检测时间段划分为多个时间片段,包括:利用预设时间长度的窗口以预设时间步长在待检测时间段上滑动,获得多个时间片段,其中,预设时间步长小于预设时间长度的窗口。
在本实施例中,可以利用预设时间长度的窗口以预设时间步长在待检测时间段上滑动,获得多个时间片段,其中,预设时间步长小于预设时间长度的窗口。
例如,待检测时间段的长度为T,可以预设时间长度窗口为T/2、预设时间步长为T/4,然后利用T/2的截取窗口在待检测时间段T上以T/4为每次移动截取窗口的步长,进行时间片段的截取。可以理解,此时,可以截取到的时间片段为:[t0,t0+T/2]、[t0+T/4、t0+3T/4]、[t0+T/2、t0+T],其中t0为待检测时间段的起始时间点。
本实施例通过预设时间步长以及时间长度窗口获取时间存在重叠的多个时间片段,并利用基于多个时间片段获得的数据确定是否存在针对预设页面的异常访问流量,可以避免原始访问终端的表征信息在待检测时间段内发生过更改而导致的漏检/误检的情况,以提高检测预设页面的异常访问流量的准确性。
进一步参考图5,作为对上述各图所示方法的实现,本公开提供了一种用于提取视频片段的装置的一个实施例,该装置实施例与图2或图3所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例的用于提取视频片段的装置500包括:获取单元501、确定单元502、检测单元503。其中,获取单元501,被配置为响应于检测到对预设页面的异常访问流量的检测指令,获取待检测时间段内访问预设页面的到访记录,其中,到访记录包括:原始访问终端的表征信息和对预设页面的访问次数;确定单元502,被配置为根据各个原始访问终端的表征信息,从原始访问终端中,确定出待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;检测单元503,被配置为基于不同目标访问终端在待检测时间段内对预设页面的访问次数之间的差异程度,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,确定单元,包括:计算模块,被配置为针对各个原始访问终端中的每两个原始访问终端,采用该两个原始访问终端的表征信息中相对应的表征参数的数值,计算该两个原始访问终端的相似度;其中,原始访问终端的表征信息为多个,每个表征信息包括至少一种采用数值表示的表征参数;第一确定模块,被配置为响应于检测到该两个原始访问终端的相似度符合相似度阈值,确定该两个原始访问终端为待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端。
在一些实施例中,获取单元,包括:划分模块,被配置为将待检测时间段划分为多个时间片段,针对多个时间片段中的每一个时间片段,获取该时间片段内访问预设页面的到访记录;确定单元,包括:第二确定模块,被配置为根据该时间片段内的各个原始访问终端的表征信息,从该时间片段内的各个原始访问终端中,确定出该时间片段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;检测单元,包括:第一检测模块,被配置为基于不同目标访问终端在多个时间片段内对预设页面的访问次数之间的差异程度的均值是否符合均值阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,检测单元,包括:概率计算模块,被配置为根据不同目标访问终端在待检测时间段内对预设页面的分别访问次数和总访问次数,确定待检测时间段内各个目标访问终端对预设页面的访问概率;波动检测模块,被配置为:基于各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,波动检测模块,包括:第一判断模块,被配置为响应于确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度小于预设幅度阈值,确定待检测时间段内,不存在针对预设页面的异常访问流量。
在一些实施例中,波动检测模块,包括:第二判断模块,被配置为响应于确定各个目标访问终端在待检测时间段内对预设页面的访问概率的波动幅度大于或等于预设幅度阈值,确定待检测时间段内,存在针对预设页面的异常访问流量。
在一些实施例中,波动检测模块,包括:信息熵计算模块,被配置为采用待检测时间段内各个目标访问终端对预设页面的访问概率,计算到访信息熵,其中,到访信息熵用于表征各个目标访问终端访问预设页面的不确定度;波动检测子模块,被配置为根据到访信息熵是否符合预设信息熵阈值,确定待检测时间段内,是否存在针对预设页面的异常访问流量。
在一些实施例中,波动检测子模块,包括:第一判断子模块,被配置为响应于确定多个时间片段的到访信息熵的均值大于或等于预设信息熵均值,确定待检测时间段内,不存在针对预设页面的异常访问流量;或者,第二判断子模块,被配置为响应于确定多个时间片段的到访信息熵的均值小于预设信息熵均值,确定待检测时间段内,存在针对预设页面的异常访问流量。
在一些实施例中,划分模块,包括:划分子模块,被配置为利用预设时间长度的窗口以预设时间步长在待检测时间段上滑动,获得多个时间片段,其中,预设时间步长小于预设时间长度的窗口。
上述装置500的各单元与参考图2或图3描述的方法中的步骤相对应。由此上文针对用于提取视频片段的方法描述的操作、特征及所能达到的技术效果同样适用于装置500中包含的单元,在此不再赘述。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图6所示,是根据本申请实施例的用于训练图像识别模型的方法的电子设备600的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图6所示,该电子设备包括:一个或多个处理器601、存储器602,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器***)。图6中以一个处理器601为例。
存储器602即为本申请所提供的非瞬时计算机可读存储介质。其中,该存储器存储有可由至少一个处理器执行的指令,以使该至少一个处理器执行本申请所提供的用于训练图像识别模型的方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的用于训练图像识别模型的方法。
存储器602作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的用于训练图像识别模型的方法对应的程序指令/模块(例如,附图5所示的获取单元501、确定单元502、检测单元503)。处理器601通过运行存储在存储器602中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的用于训练图像识别模型的方法。
存储器602可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储根据用于训练图像识别模型的电子设备的使用所创建的数据等。此外,存储器602可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器602可选包括相对于处理器601远程设置的存储器,这些远程存储器可以通过网络连接至用于训练图像识别模型的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
用于训练图像识别模型的方法的电子设备还可以包括:输入装置603、输出装置604以及总线605。处理器601、存储器602、输入装置603和输出装置604可以通过总线605或者其他方式连接,图6中以通过总线605连接为例。
输入装置603可接收输入的数字或字符信息,以及产生与用于训练图像识别模型的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置604可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的***和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (20)
1.一种用于检测异常访问流量的方法,包括:
响应于检测到对预设页面的异常访问流量的检测指令,获取待检测时间段内访问所述预设页面的到访记录,其中,所述到访记录包括:原始访问终端的表征信息和对所述预设页面的访问次数;
根据各个所述原始访问终端的表征信息,从所述原始访问终端中,确定出所述待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;
基于不同目标访问终端在所述待检测时间段内对所述预设页面的访问次数之间的差异程度,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量。
2.根据权利要求1所述的方法,其中,所述根据各个所述原始访问终端的表征信息,从所述原始访问终端中确定出所述待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端,包括:
针对各个所述原始访问终端中的每两个所述原始访问终端,采用该两个原始访问终端的表征信息中相对应的表征参数的数值,计算该两个原始访问终端的相似度;其中,所述原始访问终端的表征信息为多个,每个表征信息包括至少一种采用数值表示的表征参数;
响应于检测到该两个原始访问终端的相似度大于相似度阈值,确定该两个原始访问终端为所述待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端。
3.根据权利要求1所述的方法,其中,所述获取待检测时间段内访问所述预设页面的到访记录,包括:将所述待检测时间段划分为多个时间片段,针对所述多个时间片段中的每一个时间片段,获取该时间片段内访问所述预设页面的到访记录;
所述根据各个所述原始访问终端的表征信息,从所述原始访问终端中,确定出所述待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端,包括:根据该时间片段内的各个所述原始访问终端的表征信息,从该时间片段内的各个所述原始访问终端中,确定出该时间片段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;
所述基于不同目标访问终端在所述待检测时间段内对所述预设页面的访问次数之间的差异程度,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量,包括:基于不同目标访问终端在所述多个时间片段内对所述预设页面的访问次数之间的差异程度的均值与均值阈值之间的比较结果,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量。
4.根据权利要求3所述的方法,其中,所述基于不同目标访问终端在所述待检测时间段内对所述预设页面的访问次数之间的差异程度,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量,包括:
根据不同目标访问终端在所述待检测时间段内对所述预设页面的分别访问次数和总访问次数,确定所述待检测时间段内各个目标访问终端对所述预设页面的访问概率;
基于所述各个目标访问终端在所述待检测时间段内对所述预设页面的访问概率的波动幅度,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量。
5.根据权利要求4所述的方法,其中,所述基于所述各个目标访问终端在所述待检测时间段内对所述预设页面的访问概率的波动幅度,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量,包括:
响应于确定所述各个目标访问终端在所述待检测时间段内对所述预设页面的访问概率的波动幅度小于预设幅度阈值,确定所述待检测时间段内,不存在针对所述预设页面的异常访问流量。
6.根据权利要求4所述的方法,其中,所述基于所述各个目标访问终端在所述待检测时间段内对所述预设页面的访问概率的波动幅度,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量,包括:
响应于确定所述各个目标访问终端在所述待检测时间段内对所述预设页面的访问概率的波动幅度大于或等于预设幅度阈值,确定所述待检测时间段内,存在针对所述预设页面的异常访问流量。
7.根据权利要求4所述的方法,其中,所述基于所述各个目标访问终端在所述待检测时间段内对所述预设页面的访问概率的波动幅度,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量,包括:
采用所述待检测时间段内各个目标访问终端对所述预设页面的访问概率,计算到访信息熵,其中,所述到访信息熵用于表征各个目标访问终端访问所述预设页面的不确定度;
根据所述到访信息熵与预设信息熵阈值之间的比较结果,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量。
8.根据权利要求7所述的方法,其中,所述根据所述到访信息熵与预设信息熵阈值之间的比较结果,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量,包括:
响应于确定所述多个时间片段的到访信息熵的均值大于或等于所述预设信息熵阈值,确定所述待检测时间段内,不存在针对所述预设页面的异常访问流量;或者
响应于确定所述多个时间片段的到访信息熵的均值小于所述预设信息熵阈值,确定所述待检测时间段内,存在针对所述预设页面的异常访问流量。
9.根据权利要求3所述的方法,其中,所述将所述待检测时间段划分为多个时间片段,包括:
利用预设时间长度的窗口以预设时间步长在所述待检测时间段上滑动,获得所述多个时间片段,其中,所述预设时间步长小于所述预设时间长度的窗口。
10.一种用于检测异常访问流量的装置,包括:
获取单元,被配置为响应于检测到对预设页面的异常访问流量的检测指令,获取待检测时间段内访问所述预设页面的到访记录,其中,所述到访记录包括:原始访问终端的表征信息和对所述预设页面的访问次数;
确定单元,被配置为根据各个所述原始访问终端的表征信息,从所述原始访问终端中,确定出所述待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;
检测单元,被配置为基于不同目标访问终端在所述待检测时间段内对所述预设页面的访问次数之间的差异程度,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量。
11.根据权利要求10所述的装置,其中,所述确定单元,包括:
计算模块,被配置为针对各个所述原始访问终端中的每两个所述原始访问终端,采用该两个原始访问终端的表征信息中相对应的表征参数的数值,计算该两个原始访问终端的相似度;其中,所述原始访问终端的表征信息为多个,每个表征信息包括至少一种采用数值表示的表征参数;
第一确定模块,被配置为响应于检测到该两个原始访问终端的相似度大于相似度阈值,确定该两个原始访问终端为所述待检测时间段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端。
12.根据权利要求10所述的装置,其中,所述获取单元,包括:划分模块,被配置为将所述待检测时间段划分为多个时间片段,针对所述多个时间片段中的每一个时间片段,获取该时间片段内访问所述预设页面的到访记录;
所述确定单元,包括:第二确定模块,被配置为根据该时间片段内的各个所述原始访问终端的表征信息,从该时间片段内的各个所述原始访问终端中,确定出该时间片段内表征信息相似度大于相似度阈值的具有相同身份的目标访问终端;
所述检测单元,包括:第一检测模块,被配置为基于不同目标访问终端在所述多个时间片段内对所述预设页面的访问次数之间的差异程度的均值与均值阈值之间的比较结果,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量。
13.根据权利要求12所述的装置,其中,所述检测单元,包括:
概率计算模块,被配置为根据不同目标访问终端在所述待检测时间段内对所述预设页面的分别访问次数和总访问次数,确定所述待检测时间段内各个目标访问终端对所述预设页面的访问概率;
波动检测模块,被配置为:基于所述各个目标访问终端在所述待检测时间段内对所述预设页面的访问概率的波动幅度,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量。
14.根据权利要求13所述的装置,其中,所述波动检测模块,包括:
第一判断模块,被配置为响应于确定所述各个目标访问终端在所述待检测时间段内对所述预设页面的访问概率的波动幅度小于预设幅度阈值,确定所述待检测时间段内,不存在针对所述预设页面的异常访问流量。
15.根据权利要求13所述的装置,其中,所述波动检测模块,包括:
第二判断模块,被配置为响应于确定所述各个目标访问终端在所述待检测时间段内对所述预设页面的访问概率的波动幅度大于或等于预设幅度阈值,确定所述待检测时间段内,存在针对所述预设页面的异常访问流量。
16.根据权利要求13所述的装置,其中,所述波动检测模块,包括:
信息熵计算模块,被配置为采用所述待检测时间段内各个目标访问终端对所述预设页面的访问概率,计算到访信息熵,其中,所述到访信息熵用于表征各个目标访问终端访问所述预设页面的不确定度;
波动检测子模块,被配置为根据所述到访信息熵与预设信息熵阈值之间的比较结果,确定所述待检测时间段内,是否存在针对所述预设页面的异常访问流量。
17.根据权利要求16所述的装置,其中,所述波动检测子模块,包括:
第一判断子模块,被配置为响应于确定所述多个时间片段的到访信息熵的均值大于或等于所述预设信息熵阈值,确定所述待检测时间段内,不存在针对所述预设页面的异常访问流量;或者
第二判断子模块,被配置为响应于确定所述多个时间片段的到访信息熵的均值小于所述预设信息熵阈值,确定所述待检测时间段内,存在针对所述预设页面的异常访问流量。
18.根据权利要求12所述的装置,其中,所述划分模块,包括:
划分子模块,被配置为利用预设时间长度的窗口以预设时间步长在所述待检测时间段上滑动,获得所述多个时间片段,其中,所述预设时间步长小于所述预设时间长度的窗口。
19.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-9中任一项所述的方法。
20.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行权利要求1-9中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011202716.1A CN113765873B (zh) | 2020-11-02 | 2020-11-02 | 用于检测异常访问流量的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011202716.1A CN113765873B (zh) | 2020-11-02 | 2020-11-02 | 用于检测异常访问流量的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113765873A CN113765873A (zh) | 2021-12-07 |
CN113765873B true CN113765873B (zh) | 2023-08-08 |
Family
ID=78785946
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011202716.1A Active CN113765873B (zh) | 2020-11-02 | 2020-11-02 | 用于检测异常访问流量的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113765873B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114257427B (zh) * | 2021-12-09 | 2023-12-01 | 北京知道创宇信息技术股份有限公司 | 目标用户的识别方法、装置、电子设备及存储介质 |
CN115150159B (zh) * | 2022-06-30 | 2023-11-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
CN116723138B (zh) * | 2023-08-10 | 2023-10-20 | 杭银消费金融股份有限公司 | 一种基于流量探针染色的异常流量监控方法及*** |
CN117195273B (zh) * | 2023-11-07 | 2024-02-06 | 闪捷信息科技有限公司 | 基于时序数据异常检测的数据泄露检测方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109831429A (zh) * | 2019-01-30 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种Webshell检测方法及装置 |
CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
WO2020210976A1 (en) * | 2019-04-16 | 2020-10-22 | Beijing Didi Infinity Technology And Development Co., Ltd. | System and method for detecting anomaly |
-
2020
- 2020-11-02 CN CN202011202716.1A patent/CN113765873B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109831429A (zh) * | 2019-01-30 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种Webshell检测方法及装置 |
WO2020210976A1 (en) * | 2019-04-16 | 2020-10-22 | Beijing Didi Infinity Technology And Development Co., Ltd. | System and method for detecting anomaly |
CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
Non-Patent Citations (1)
Title |
---|
基于URL的恶意访问检测方法;李梦玉等;《通信学报》;20180930;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113765873A (zh) | 2021-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113765873B (zh) | 用于检测异常访问流量的方法和装置 | |
US11134101B2 (en) | Techniques for detecting malicious behavior using an accomplice model | |
US10599867B2 (en) | User experience using privatized crowdsourced data | |
CN111708964B (zh) | 多媒体资源的推荐方法、装置、电子设备和存储介质 | |
US10547618B2 (en) | Method and apparatus for setting access privilege, server and storage medium | |
CN107408115B (zh) | web站点过滤器、控制对内容的访问的方法和介质 | |
CN107390983B (zh) | 业务指令执行方法、客户端和存储介质 | |
US11122142B2 (en) | User behavior data processing method and device, and computer-readable storage medium | |
KR20210132578A (ko) | 지식 그래프를 구축하는 방법, 장치, 기기 및 저장 매체 | |
US11822608B2 (en) | Learning affinities through design variations | |
US11516308B1 (en) | Adaptive telemetry sampling | |
CN110427436B (zh) | 实体相似度计算的方法及装置 | |
CN111756832B (zh) | 推送信息的方法、装置、电子设备及计算机可读存储介质 | |
WO2024098699A1 (zh) | 实体对象的威胁检测方法、装置、设备及存储介质 | |
CN111241396B (zh) | 信息推送的方法和装置、电子设备、存储介质 | |
CN111177513B (zh) | 异常访问地址的确定方法、装置、电子设备及存储介质 | |
JP2014215685A (ja) | レコメンドサーバおよびレコメンドコンテンツ決定方法 | |
US11182454B2 (en) | Optimizing web pages by minimizing the amount of redundant information | |
CN112966756A (zh) | 一种可视化的准入规则的生成方法、装置、机器可读介质及设备 | |
CN114402280A (zh) | 一种屏幕参数调整方法、装置及终端设备 | |
CN111611476B (zh) | 专题页面的显示方法和装置 | |
CN111611503B (zh) | 页面的处理方法、装置、电子设备及存储介质 | |
CN110971501B (zh) | 广告消息的确定方法、***、设备和存储介质 | |
CN116959055A (zh) | 一种人脸识别方法、装置以及存储介质 | |
CN114758277A (zh) | 异常行为分类模型的训练方法、异常行为分类方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |