CN114338195A - 基于改进孤立森林算法的web流量异常检测方法及装置 - Google Patents
基于改进孤立森林算法的web流量异常检测方法及装置 Download PDFInfo
- Publication number
- CN114338195A CN114338195A CN202111658650.1A CN202111658650A CN114338195A CN 114338195 A CN114338195 A CN 114338195A CN 202111658650 A CN202111658650 A CN 202111658650A CN 114338195 A CN114338195 A CN 114338195A
- Authority
- CN
- China
- Prior art keywords
- web
- anomaly detection
- isolated
- log data
- isolated forest
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 86
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 46
- 238000000034 method Methods 0.000 claims abstract description 36
- 230000002159 abnormal effect Effects 0.000 claims abstract description 26
- 238000000605 extraction Methods 0.000 claims abstract description 18
- 239000011159 matrix material Substances 0.000 claims description 26
- 238000012549 training Methods 0.000 claims description 17
- 206010003591 Ataxia Diseases 0.000 claims description 8
- 206010010947 Coordination abnormal Diseases 0.000 claims description 8
- 208000016290 incoordination Diseases 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 2
- 230000005856 abnormality Effects 0.000 claims 1
- 238000004364 calculation method Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 9
- 230000007123 defense Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及网络安全技术领域,具体涉及基于改进孤立森林算法的web流量异常检测方法及装置、存储介质以及终端设备。所述方法包括:采集web防火墙历史日志数据,以及web防火墙待测日志数据;对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型;将所述web防火墙待测日志数据输入所述基于孤立森林模型的异常检测模型,以获取异常检测结果。本公开的方法在保障原有算法效率的情况下,提高了对异常流量的识别准确率,并降低误报。
Description
技术领域
本公开涉及网络安全技术领域,具体涉及一种基于改进孤立森林算法的web流量异常检测方法、一种基于改进孤立森林算法的web流量异常检测装置、一种存储介质以及一种终端设备。
背景技术
Web防火墙是信息安全的第一道防线。随着网络技术的快速更新,新的黑客技术也层出不穷,为传统规则防火墙带来了挑战。传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面,硬规则在灵活的黑客面前,很容易被绕过,且基于以往知识的规则集难以应对0day攻击;另一方面,攻防对抗水涨船高,防守方规则的构造和维护门槛高、资源消耗成本大。然而,传统的孤立森林异常检测算法异常分数计算存在局限性,不擅长处理含有大量局部相对稀疏点的web流量数据,且对于多数特征不明显的web流量数据,平均计算搜索深度的计算方式容易导致低相关度特征影响最终异常判断。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种基于改进孤立森林算法的web流量异常检测方法、一种基于改进孤立森林算法的web流量异常检测装置、一种存储介质以及一种终端设备,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的传统孤立森林算法在web流量异常检测领域应用受限。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的第一方面,提供一种基于改进孤立森林算法的web流量异常检测方法,所述方法包括:
采集web防火墙历史日志数据,以及web防火墙待测日志数据;
对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型;
将所述web防火墙待测日志数据输入所述基于孤立森林模型的异常检测模型,以获取异常检测结果。
在本公开的一种示例性实施例中,所述对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型,包括:
对web防火墙历史日志数据进行解析,以获取多个维度的特征数据,并将所述特征数据作为训练样本;
基于所述特征数据构建孤立树集合;
计算根据异常样本到正常样本中心的距离、正常样本到正常样本中心的距离计算第一权值w1;
利用不合度量计算孤立树之间的多样性确定对称矩阵,并利用对称矩阵计算第二权值系数w2;
结合所述第一权值w1、第二权值w2进行异常分数计算。
在本公开的一种示例性实施例中,所述对web防火墙历史日志数据进行解析,以获取多个维度的特征数据,包括:
对web防火墙历史日志数据中的HTTP请求进行泛化处理,并基于预设的特征字段提取多个维度的特征数据。
在本公开的一种示例性实施例中,所述方法还包括:
在各维度的特征数据中添加预设比例的已知异常样本,以构建训练样本。
在本公开的一种示例性实施例中,所述基于所述特征数据构建孤立树集合,包括:
基于各类型的特征数据分别构建对应的孤立树集合。
在本公开的一种示例性实施例中,所述第一权值w1为孤立树权值。
在本公开的一种示例性实施例中,所述第二权值系数w2为孤立树路径深度权值系数;
所述利用不合度量计算孤立树之间的多样性确定对称矩阵,并利用对称矩阵计算第二权值系数w2,包括:
利用不合度量计算孤立树之间的多样性确定对称矩阵;
岁所述对称矩阵按列计算均值,并将所述均值作为孤立树路径深度权值系数。
根据本公开的第二方面,提供一种基于改进孤立森林算法的web流量异常检测装置,所述装置包括:
数据采集模块,用于采集web防火墙历史日志数据,以及web防火墙待测日志数据;
模型训练模块,用于对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型;
检测结果输出模块,用于将所述web防火墙待测日志数据输入所述基于孤立森林模型的异常检测模型,以获取异常检测结果。
根据本公开的第三方面,提供一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的基于改进孤立森林算法的web流量异常检测方法。
根据本公开的第四方面,提供一种终端设备,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述的基于改进孤立森林算法的web流量异常检测方法。
本公开的一种实施例所提供的基于改进孤立森林算法的web流量异常检测方法中,通过采集的web防火墙历史日志数据进行特征提取,并基于特征提取结果来构建基于改进孤立森林模型的异常检测模型,从而可以利用该模型对web防火墙待测日志数据进行检测,并确定对应的检测结果。在保障原有算法效率的情况下,提高了对异常流量的识别准确率,并降低误报。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出本公开示例性实施例中一种基于改进孤立森林算法的web流量异常检测方法的示意图;
图2示意性示出本公开示例性实施例中一种构建基于孤立森林模型的异常检测模型方法的示意图;
图3示意性示出本公开示例性实施例中一种基于改进孤立森林算法的web流量异常检测装置的示意图;
图4示意性示出本公开示例性实施例中一种终端设备的组成示意图;
图5示意性示出本公开示例性实施例中一种存储介质的示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
在相关技术中,传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面,硬规则在灵活的黑客面前,很容易被绕过,且基于以往知识的规则集难以应对0day攻击;另一方面,攻防对抗水涨船高,防守方规则的构造和维护门槛高、资源消耗成本大。基于机器学习技术的新一代web流量异常检测技术有望弥补传统规则集方法的不足,为web对抗的防守端带来新的发展和突破。机器学习应用于web入侵检测也存在挑战,其中最大的困难就是标签数据的缺乏。因此,基于异常检测的web流量异常检测方法,可以针对大量正常日志建立模型,而与正常流量不相符的则被识别为异常,在对抗中以“不变应万变”。同时应用于防火墙系统中可以初步筛选出100%确定正常的样本,这部分样本在防火墙检测引擎中可以直接被放过,不需要再做检测,降低防火墙对大流量网站防护过程的资源消耗,同时提高防火墙检测效率和准确性。但是,传统的孤立森林异常检测算法异常分数计算存在局限性,不擅长处理含有大量局部相对稀疏点的web流量数据,且对于多数特征不明显的web流量数据,平均计算搜索深度的计算方式容易导致低相关度特征影响最终异常判断。
针对上述的现有技术的缺点和不足,本示例实施方式中提供了一种基于改进孤立森林算法的web流量异常检测方法。参考图1中所示,上述的基于改进孤立森林算法的web流量异常检测方法可以包括以下步骤:
步骤S11,采集web防火墙历史日志数据,以及web防火墙待测日志数据;
步骤S12,对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型;
步骤S13,将所述web防火墙待测日志数据输入所述基于孤立森林模型的异常检测模型,以获取异常检测结果。
本示例实施方式所提供的基于改进孤立森林算法的web流量异常检测方法中,通过采集的web防火墙历史日志数据进行特征提取,并基于特征提取结果来构建基于改进孤立森林模型的异常检测模型,从而可以利用该模型对web防火墙待测日志数据进行检测,并确定对应的检测结果。在保障原有算法效率的情况下,提高了对异常流量的识别准确率,并降低误报。通过结合异常流量数据特征,引入权值系数改进孤立深林算法,可以降低由低相关特征构建的孤立树对结果的影响,同时提高对包含局部相对稀疏特征流量数据的识别精度。
下面,将结合附图及实施例对本示例实施方式中的基于改进孤立森林算法的web流量异常检测方法的各个步骤进行更详细的说明。
在步骤S11中,采集web防火墙历史日志数据,以及web防火墙待测日志数据。
本示例实施方式中,上述的方法可以由服务器执行;或者,也可以由服务器和用户终端协作执行来实现。例如,用户可以在终端设备上向服务器端发送流量检测请求,该流量检测请求中可以包括实时采集的web防火墙待测日志数据。服务器端在接收到流量检测请求后,便可以创建流量检测任务。服务器端执行该流量检测任务,首先进行异常检测模型的训练,再利用训练完成的异常检测模型对实时采集的web防火墙待测日志数据进行实时的检测。或者,在一些示例性实施方式中,也可以是由具备一定计算能力的终端设备执行上述的基于改进孤立森林算法的web流量异常检测方法。
在步骤S12中,对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型。
本示例实施方式中,参考图2所示,上述的步骤S12具体可以包括:
步骤S21,对web防火墙历史日志数据进行解析,以获取多个维度的特征数据,并将所述特征数据作为训练样本;
步骤S22,基于所述特征数据构建孤立树集合;
步骤S23,计算根据异常样本到正常样本中心的距离、正常样本到正常样本中心的距离计算第一权值w1;
步骤S24,利用不合度量计算孤立树之间的多样性确定对称矩阵,并利用对称矩阵计算第二权值系数w2;
步骤S25,结合所述第一权值w1、第二权值w2进行异常分数计算。
具体而言,可以采集预设周期时长的历史日志数。以及,对web防火墙历史日志数据中的HTTP(Hyper Text Transfer Protocol,超文本传输协议)请求进行泛化处理,并基于预设的特征字段提取多个维度的特征数据。举例来说,维度具体可以是http请求的头部中包含的:cookie、url、用户代理、用户名、referer,等等。各类型特征的具体参数可以包括参数长度信息、参数个数字符分布信息、文本相似度信息。其中,文本相似度可以是当前样本与正常样本、异常样本之间的相似度;或者,也可以是不同的http请求对应的相似度计算结果。
本示例实施方式中,所述方法还包括:在各维度的特征数据中添加预设比例的已知异常样本,以构建训练样本。
举例来说,此外,在训练集中,还可以随机加入少量异常样本,设定参数训练孤立树。
在孤立树的训练过程中,可以分别计算异常样本、正常样本与正常样本中心的距离的方差,计算获得孤立树权值w1,公式可以包括:
其中,δn表示正常样本到正常样本中心的距离方差;δa表示异常样本到正常样本中心的距离方差。
具体的,可以将样本投射到欧式空间,在欧式空间中根据分布计算出正常样本中心,以及其他样本点到正常样本点中心的距离。
本示例实施方式中,所述基于所述特征数据构建孤立树集合,包括:基于各类型的特征数据分别构建对应的孤立树集合。例如,可以基于url、cookie分别创建对应的孤立树。
本示例实施方式中,所述利用不合度量计算孤立树之间的多样性确定对称矩阵,并利用对称矩阵计算第二权值系数w2,包括:
利用不合度量计算孤立树之间的多样性确定对称矩阵;
岁所述对称矩阵按列计算均值,并将所述均值作为孤立树路径深度权值系数。
举例而言,对于分类器hi和hj,两孤立树的预测结果可以包括:
基于预测结果可以计算对称矩阵,公式可以包括:
具体的,孤立树的差异性可以体现为:
其中,对矩阵按列计算均值,作为树路径深度的权值系数w2。计算公式可以包括:
本示例实施方式中,基于上述计算获得的权值系数改进传统孤立森林算法异常分数计算,公式可以包括:
其中,n表示孤立树的数量,h表示树的深度。
在步骤S13中,将所述web防火墙待测日志数据输入所述基于孤立森林模型的异常检测模型,以获取异常检测结果。
本示例实施方式中,异常检测模型根据输入的实时数据输出归一化异常分数,当异常分数大于异常阈值时,则该实时数据为异常数据。一般定义归一化异常分数大于0.6的数据为异常数据,且数据的异常度和归一化异常分数成正比。
本公开提供的基于改进孤立森林算法的web流量异常检测方法,利用web防火墙历史日志数据,首先以孤立森林算法随机抽取某个维度特征数据,构造一定规模的孤立树集合,在其子节点引入待测样本与正常和异常样本的相似度信息。并引入集成模型中不合度量计算方法计算设定孤立树集成权值系数,最终结合孤立树子节点相似性和多样性设定搜索深度权值系数改进孤立森林算法,实现对异常web流量的识别。针对大量正常日志建立模型(Profile),而与正常流量不符的则被识别为异常,在对抗中“以不变应万变”。接入web应用防火墙中,用于过滤流量,将识别出的正常日志直接予以放行,异常日志进入威胁检测引擎,有效提高防火墙工作效率,同时降低资源消耗。并且,本公开的方法充分考虑http请求数据特征,引入权值系数改进异常检测算法,改变原算法中孤立森林各孤立树平均贡献异常分数的方式,从而降低了由低相关特征引起的误差,同时提高对局部稀疏数据的检测敏感性。在保证原有算法效率的情况下,提高了对异常流量的识别准确率,且降低误报。此外,本公开的模型结合文本相似度,通过子节点距离判别训练生成的孤立树异常识别效果;改变孤立树深度的计算方式,结合孤立树子节点相似性和多样性进行搜索深度权值系数设定。
需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
进一步的,参考图3所示,本示例的实施方式中还提供了一种基于改进孤立森林算法的web流量异常检测装置30,包括:数据采集模块301、模型训练模块302、检测结果输出模块303。其中,
所述数据采集模块301可以用于采集web防火墙历史日志数据,以及web防火墙待测日志数据。
所述模型训练模块302可以用于对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型。
所述检测结果输出模块303可以用于将所述web防火墙待测日志数据输入所述基于孤立森林模型的异常检测模型,以获取异常检测结果。
在本示例性实施方式中,所述模型训练模块302可以用于包括:对web防火墙历史日志数据进行解析,以获取多个维度的特征数据,并将所述特征数据作为训练样本;基于所述特征数据构建孤立树集合;计算根据异常样本到正常样本中心的距离、正常样本到正常样本中心的距离计算第一权值w1;利用不合度量计算孤立树之间的多样性确定对称矩阵,并利用对称矩阵计算第二权值系数w2;结合所述第一权值w1、第二权值w2进行异常分数计算。
在本示例性实施方式中,所述对web防火墙历史日志数据进行解析,以获取多个维度的特征数据,包括:对web防火墙历史日志数据中的HTTP请求进行泛化处理,并基于预设的特征字段提取多个维度的特征数据。
在本示例性实施方式中,所述模型训练模块302可以包括:在各维度的特征数据中添加预设比例的已知异常样本,以构建训练样本。
在本示例性实施方式中,所述基于所述特征数据构建孤立树集合,包括:基于各类型的特征数据分别构建对应的孤立树集合。
在本示例性实施方式中,所述第一权值w1为孤立树权值。
在本示例性实施方式中,所述第二权值系数w2为孤立树路径深度权值系数;所述利用不合度量计算孤立树之间的多样性确定对称矩阵,并利用对称矩阵计算第二权值系数w2,包括:利用不合度量计算孤立树之间的多样性确定对称矩阵;岁所述对称矩阵按列计算均值,并将所述均值作为孤立树路径深度权值系数。
上述的基于改进孤立森林算法的web流量异常检测装置中各模块的具体细节已经在对应的基于改进孤立森林算法的web流量异常检测方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的计算机系统。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图4来描述根据本发明的这种实施方式的终端设备500。图4显示的终端设备500仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,终端设备500以通用计算设备的形式表现。计算机系统600的组件可以包括但不限于:上述至少一个处理单元610、上述至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
计算机系统600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该计算机系统600交互的设备通信,和/或与使得该计算机系统600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。还可以通过输入/输出(I/O)接口连接显示单元640。并且,计算机系统600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器660通过总线630与计算机系统600的其它模块通信。应当明白,尽管图中未示出,可以结合计算机系统600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
参考图5所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品100,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限。
Claims (10)
1.一种基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述方法包括:
采集web防火墙历史日志数据,以及web防火墙待测日志数据;
对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型;
将所述web防火墙待测日志数据输入所述基于孤立森林模型的异常检测模型,以获取异常检测结果。
2.根据权利要求1所述的基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型,包括:
对web防火墙历史日志数据进行解析,以获取多个维度的特征数据,并将所述特征数据作为训练样本;
基于所述特征数据构建孤立树集合;
计算根据异常样本到正常样本中心的距离、正常样本到正常样本中心的距离计算第一权值w1;
利用不合度量计算孤立树之间的多样性确定对称矩阵,并利用对称矩阵计算第二权值系数w2;
结合所述第一权值w1、第二权值w2进行异常分数计算。
3.根据权利要求2所述的基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述对web防火墙历史日志数据进行解析,以获取多个维度的特征数据,包括:
对web防火墙历史日志数据中的HTTP请求进行泛化处理,并基于预设的特征字段提取多个维度的特征数据。
4.根据权利要求2或3所述的基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述方法还包括:
在各维度的特征数据中添加预设比例的已知异常样本,以构建训练样本。
5.根据权利要求2所述的基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述基于所述特征数据构建孤立树集合,包括:
基于各类型的特征数据分别构建对应的孤立树集合。
6.根据权利要求2所述的基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述第一权值w1为孤立树权值。
7.根据权利要求2所述的基于改进孤立森林算法的web流量异常检测方法,其特征在于,所述第二权值系数w2为孤立树路径深度权值系数;
所述利用不合度量计算孤立树之间的多样性确定对称矩阵,并利用对称矩阵计算第二权值系数w2,包括:
利用不合度量计算孤立树之间的多样性确定对称矩阵;
岁所述对称矩阵按列计算均值,并将所述均值作为孤立树路径深度权值系数。
8.一种基于改进孤立森林算法的web流量异常检测装置,其特征在于,所述装置包括:
数据采集模块,用于采集web防火墙历史日志数据,以及web防火墙待测日志数据;
模型训练模块,用于对所述web防火墙历史日志数据进行特征提取,以基于特征提取结果构建基于孤立森林模型的异常检测模型;
检测结果输出模块,用于将所述web防火墙待测日志数据输入所述基于孤立森林模型的异常检测模型,以获取异常检测结果。
9.一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1至7中任一项所述的基于改进孤立森林算法的web流量异常检测方法。
10.一种终端设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至7中任一项所述的基于改进孤立森林算法的web流量异常检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111658650.1A CN114338195B (zh) | 2021-12-30 | 2021-12-30 | 基于改进孤立森林算法的web流量异常检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111658650.1A CN114338195B (zh) | 2021-12-30 | 2021-12-30 | 基于改进孤立森林算法的web流量异常检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338195A true CN114338195A (zh) | 2022-04-12 |
| CN114338195B CN114338195B (zh) | 2024-09-06 |
Family
ID=81019582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111658650.1A Active CN114338195B (zh) | 2021-12-30 | 2021-12-30 | 基于改进孤立森林算法的web流量异常检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338195B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117194920A (zh) * | 2023-09-06 | 2023-12-08 | 万仁企业管理技术(深圳)有限公司 | 一种基于大数据分析的数据系统处理平台及处理方法 |
| CN117241306A (zh) * | 2023-11-10 | 2023-12-15 | 深圳市银尔达电子有限公司 | 一种4g网络异常流量数据实时监测方法 |
| CN117978461A (zh) * | 2024-01-15 | 2024-05-03 | 兵器装备集团财务有限责任公司 | 基于孤立森林的异常登录检测方法及系统 |
| CN118054967A (zh) * | 2024-04-01 | 2024-05-17 | 雅安数字经济运营有限公司 | 一种基于网络安全的异常检测方法、介质及系统 |
| CN118118407A (zh) * | 2024-04-30 | 2024-05-31 | 国网浙江省电力有限公司信息通信分公司 | 基于指向性中间节点的光传送网业务路由规划方法及系统 |
| CN118568481A (zh) * | 2024-07-29 | 2024-08-30 | 中国移动通信集团四川有限公司 | 异常数据确定方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108777873A (zh) * | 2018-06-04 | 2018-11-09 | 江南大学 | 基于加权混合孤立森林的无线传感网络异常数据检测方法 |
| CN110958222A (zh) * | 2019-10-31 | 2020-04-03 | 苏州浪潮智能科技有限公司 | 基于孤立森林算法的服务器日志异常检测方法及系统 |
| CN111431883A (zh) * | 2020-03-18 | 2020-07-17 | 上海观安信息技术股份有限公司 | 一种基于访问参数的web攻击检测方法及装置 |
| US20210160266A1 (en) * | 2019-11-27 | 2021-05-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Computer-implemented method and arrangement for classifying anomalies |
| CN113051552A (zh) * | 2019-12-27 | 2021-06-29 | 北京国双科技有限公司 | 一种异常行为检测方法和装置 |
-
2021
- 2021-12-30 CN CN202111658650.1A patent/CN114338195B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108777873A (zh) * | 2018-06-04 | 2018-11-09 | 江南大学 | 基于加权混合孤立森林的无线传感网络异常数据检测方法 |
| CN110958222A (zh) * | 2019-10-31 | 2020-04-03 | 苏州浪潮智能科技有限公司 | 基于孤立森林算法的服务器日志异常检测方法及系统 |
| US20210160266A1 (en) * | 2019-11-27 | 2021-05-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Computer-implemented method and arrangement for classifying anomalies |
| CN113051552A (zh) * | 2019-12-27 | 2021-06-29 | 北京国双科技有限公司 | 一种异常行为检测方法和装置 |
| CN111431883A (zh) * | 2020-03-18 | 2020-07-17 | 上海观安信息技术股份有限公司 | 一种基于访问参数的web攻击检测方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117194920A (zh) * | 2023-09-06 | 2023-12-08 | 万仁企业管理技术(深圳)有限公司 | 一种基于大数据分析的数据系统处理平台及处理方法 |
| CN117194920B (zh) * | 2023-09-06 | 2024-05-28 | 北京酷炫网络技术股份有限公司 | 一种基于大数据分析的数据系统处理平台及处理方法 |
| CN117241306A (zh) * | 2023-11-10 | 2023-12-15 | 深圳市银尔达电子有限公司 | 一种4g网络异常流量数据实时监测方法 |
| CN117241306B (zh) * | 2023-11-10 | 2024-02-06 | 深圳市银尔达电子有限公司 | 一种4g网络异常流量数据实时监测方法 |
| CN117978461A (zh) * | 2024-01-15 | 2024-05-03 | 兵器装备集团财务有限责任公司 | 基于孤立森林的异常登录检测方法及系统 |
| CN118054967A (zh) * | 2024-04-01 | 2024-05-17 | 雅安数字经济运营有限公司 | 一种基于网络安全的异常检测方法、介质及系统 |
| CN118118407A (zh) * | 2024-04-30 | 2024-05-31 | 国网浙江省电力有限公司信息通信分公司 | 基于指向性中间节点的光传送网业务路由规划方法及系统 |
| CN118568481A (zh) * | 2024-07-29 | 2024-08-30 | 中国移动通信集团四川有限公司 | 异常数据确定方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338195B (zh) | 2024-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114338195B (zh) | 基于改进孤立森林算法的web流量异常检测方法及装置 | |
| EP4058916B1 (en) | Detecting unknown malicious content in computer systems | |
| CN108616498A (zh) | 一种web访问异常检测方法和装置 | |
| CN107451476A (zh) | 基于云平台的网页后门检测方法、系统、设备及存储介质 | |
| CN110765459A (zh) | 一种恶意脚本检测方法、装置和存储介质 | |
| US10826920B1 (en) | Signal distribution score for bot detection | |
| JP2018041442A (ja) | Webページの異常要素を検出するためのシステム及び方法 | |
| CN108600172A (zh) | 撞库攻击检测方法、装置、设备及计算机可读存储介质 | |
| CN116389235A (zh) | 一种应用于工业物联网的故障监测方法及系统 | |
| CN114070642A (zh) | 网络安全检测方法、系统、设备及存储介质 | |
| CN112565164A (zh) | 危险ip的识别方法、装置和计算机可读存储介质 | |
| CN117240632A (zh) | 一种基于知识图谱的攻击检测方法和系统 | |
| CN113918936A (zh) | Sql注入攻击检测的方法以及装置 | |
| CN110572402A (zh) | 基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质 | |
| CN115913710A (zh) | 异常检测方法、装置、设备及存储介质 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
| CN109918901A (zh) | 实时检测基于Cache攻击的方法 | |
| CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| EP4169223A1 (en) | Method and apparatus to detect scripted network traffic | |
| Setianto et al. | Gpt-2c: A gpt-2 parser for cowrie honeypot logs | |
| CN116318763A (zh) | 一种面向配电云主站的零信任动态访问控制方法 | |
| CN115333850B (zh) | 域名检测方法、系统及相关设备 | |
| CN116915459B (zh) | 一种基于大语言模型的网络威胁分析方法 | |
| Yang et al. | Mining Method of Code Vulnerability of Multi-Source Power IoT Terminal Based on Reinforcement Learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |