Nothing Special   »   [go: up one dir, main page]

CN112765502A - 恶意访问检测方法、装置、电子设备和存储介质 - Google Patents

恶意访问检测方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN112765502A
CN112765502A CN202110042224.9A CN202110042224A CN112765502A CN 112765502 A CN112765502 A CN 112765502A CN 202110042224 A CN202110042224 A CN 202110042224A CN 112765502 A CN112765502 A CN 112765502A
Authority
CN
China
Prior art keywords
access
malicious
similarity
range
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110042224.9A
Other languages
English (en)
Other versions
CN112765502B (zh
Inventor
徐莉莎
张毅骏
谭翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Para Software Co ltd
Original Assignee
Shanghai Para Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Para Software Co ltd filed Critical Shanghai Para Software Co ltd
Priority to CN202110042224.9A priority Critical patent/CN112765502B/zh
Publication of CN112765502A publication Critical patent/CN112765502A/zh
Application granted granted Critical
Publication of CN112765502B publication Critical patent/CN112765502B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种恶意访问检测方法、装置、电子设备和存储介质。其中,方法包括:将获取到的新访问地址按照属性和特征表示为访问特征矩阵;确定所述访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度;根据所述相似度与预设恶意访问范围确定所述新访问地址的类型,其中,所述预设恶意访问范围根据预设时间段内的最近访问地址集确定。本发明实施例通过特征矩阵之间的相似度判别新访问地址的类型,基于预设时间段内的最近访问地址集动态调整恶意访问范围,实现恶意访问识别规则的动态调整,提高了恶意访问检测的准确性,可提高本地系统安全性。

Description

恶意访问检测方法、装置、电子设备和存储介质
技术领域
本发明实施例涉及信息安全技术领域,尤其涉及一种恶意访问检测方法、装置、电子设备和存储介质。
背景技术
互联网中每个信息资源都存在网络中唯一的地址,该地址被称为统一资源定位符(Uniform Resource Locators,URL)。互联网中不同设备通过彼此的URL实现信息交换。URL设计的目的是为了让用户可以便捷快速的获取到指定的资源信息,然而由于URL便捷性的存在,导致容易被不法分子处于其他目的进行滥用的风险,例如,广告商滥用URL发送广告影响用户主机,甚至控制用户主机进行广播的恶意散播。更危险的是,网络攻击者有可能散播恶意的URL来获取访问用户的信息,从而实施犯罪。
针对上述问题,往往要求用户主机识别出恶意访问攻击的URL,传统的方式是通过历史访问中恶意访问的URL制定识别规则,禁止恶意URL的访问。然而上述方法中恶意范围规则的制定存在以下问题:1)规则的制定需要海量恶意访问数据的要求;2)恶意访问URL具有隐蔽特点,例如,钓鱼网站的URL与真实网站URL的非常相似,无法制定准确的规则加以区分,存在误判的风险;3)规则制定后无法根据恶意URL的变化趋势而变化,动态性较差;4)规则制定存在滞后性,恶意URL生成规则变得较快时,制定的规则无法使用。现在亟需一种具有提高恶意URL识别准确率,可自动校正识别规则的恶意访问的URL的检测方法。
发明内容
本发明提供一种恶意访问检测方法、装置、电子设备和存储介质,以实现恶意访问URL的准确识别,动态调整检测规则,提高恶意访问检测的鲁棒性,降低恶意URL的误判率。
第一方面,本发明实施例提供了一种恶意访问检测方法,该方法包括:
将获取到的新访问地址按照属性和特征表示为访问特征矩阵;
确定所述访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度;
根据所述相似度与预设恶意访问范围确定所述新访问地址的类型,其中,所述预设恶意访问范围根据预设时间段内的最近访问地址集确定。
第二方面,本发明实施例还提供了一种恶意访问检测装置,该装置包括:
特征矩阵模块,用于将获取到的新访问地址按照属性和特征表示为访问特征矩阵;
相似度模块,用于确定所述访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度;
类型确定模块,用于根据所述相似度与预设恶意访问范围确定所述新访问地址的类型,其中,所述预设恶意访问范围根据预设时间段内的最近访问地址集确定。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
一个或获得处理器;
存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明实施例中任一所述的恶意访问检测方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如本发明实施例中任一所述的恶意访问检测方法。
本发明实施例,通过获取新访问地址,按照该新访问地址的属性和特征表示为访问特征矩阵,获取访问特征矩阵分别与历史访问地址集中历史访问特征矩阵的相似度,根据相似度与预设恶意访问范围的比较确定出新访问地址的类型,其中,预设恶意访问范围与预设时间段内的最近访问地址集确定,实现恶意访问识别规则的动态调整,校正恶意访问识别的范围,提高恶意访问地址检测的准确性。
附图说明
图1是本发明实施例一提供的一种恶意访问检测方法的流程图;
图2是本发明实施例二提供的一种恶意访问检测方法的流程图;
图3是本发明实施例二提供的一种恶意访问检测的示例图;
图4是本发明实施例三提供的一种恶意访问检测装置的结构示意图;
图5是本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构,此外,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施例一
图1是本发明实施例一提供的一种恶意访问检测方法的流程图,本实施例可适用于检测恶意访问地址的情况,该方法可以由恶意访问检测装置来执行,该装置可以采用硬件和/或软件的方式来实现,参见图1,本发明实施例提供的方法具体包括如下步骤:
步骤110、将获取到的新访问地址按照属性和特征表示为访问特征矩阵。
其中,新访问地址可以是需要进行恶意访问检测的地址,属性可以是反映新访问地址的业务属性的信息,属性的内容可以包括新闻、视频、社交和下载链接等,特征可以是反映新访问地址的构成字符的特点信息,可以包括构成新访问地址的特殊字符的数量、位置和种类等。访问特征矩阵可以存储有新访问地址的属性和特征的矩阵,可以代表新访问地址。
具体的,可以采集系统中进行访问的URL链接作为新访问地址,可以按照属性和特征两个维度提取到URL的业务属性信息和构成字符特点信息,可以提取到的信息存储为访问特征矩阵,例如,可以将访问特征矩阵中的参数分别作为一个业务属性信息或者构成字符特点信息,若新访问地址存在对应的信息内容,则将该访问特征矩阵中对应参数置为1,否则置为0,访问特征矩阵中的各参数的取值仅包括0或1。
步骤120、确定访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度。
其中,历史访问地址集可以是已经访问过本地的URL组成的集合,每当一个URL访问本地后,可以将该URL存储到历史访问地址集。历史访问特征矩阵可以是历史访问地址集中各URL对应的特征矩阵,每个历史访问特征矩阵中可以存储对应URL的属性和特征。相似度可以是衡量两个矩阵相似程度的数值,可以包括两个矩阵之间的闵可夫斯基距离、欧式距离或者夹角余弦等。
具体的,在获取访问特征矩阵与历史访问特征矩阵的相似度时,可以提取存储的历史访问地址集中各URL,并生成对应URL的历史访问特征矩阵,进一步的,可以将历史访问地址集对应的历史访问特征矩阵进行预先存储,在确定相似度时,可以直接获取历史访问地址集对应的历史访问特征矩阵。可以将访问特征矩阵分别与各历史访问特征矩阵进行计算确定出对应的相似度,确定相似度的方式可以包括确定两个矩阵的闵可夫斯基距离、欧式距离或者夹角余弦等,还可以通过使用贝叶斯公式确定出相似距离,可以将该相似距离作为相似度。
步骤130、根据相似度与预设恶意访问范围确定新访问地址的类型,其中,预设恶意访问范围根据预设时间段内的最近访问地址集确定。
其中,预设恶意访问范围可以是判断访问地址为恶意访问地址的相似度范围,当相似度的取值在预设恶意访问范围内时,可以确定与该相似度对应的新访问地址为恶意访问地址。预设恶意访问范围的取值可以与最近访问地址集相关联,该最近访问地址集可以包括一段时间内的访问地址,例如,访问地址可以是十五分钟内的访问地址的集合,该预设时间段的取值长度可以由用户或者管理员根据自身需要进行设置,预设恶意访问范围的最小值和最大值可以是最近访问地址集中访问地址与历史访问特征矩阵的相似度中的最小值和最大值。
在本发明实施例中,预设恶意访问范围可以预先确定,例如,可以每隔一个时间段确定出最近访问地址集中与历史访问地址集中访问地址的相似度,可以这些相似度中的最小值和最大值确定出一个预设恶意访问范围,该预设恶意访问范围的取值可以随着时间和最近访问地址集的变化而变化。具体的,可以将新范围地址的相似度与恶意访问范围的取值进行比较,确定是否属于恶意访问范围,若属于则确定新访问地址的类型为恶意访问地址,否则确定新访问地址的类型为非恶意访问地址,进一步的,确定新访问地址的类型为恶意访问地址时,可以对该新访问地址进行标记,进行其访问本地系统。
本发明实施例,通过根据新访问地址的属性和特征构建访问特征矩阵,确定访问特征矩阵与历史方位地址集对应的历史访问特征矩阵的相似度,按照相似度和预设恶意访问范围确定新访问地址的类型,其中,恶意访问范围通过预设时间段内的最近访问地址集相关联,实现恶意访问识别规则的动态调整,校正恶意访问识别的范围,提高恶意访问地址检测的准确性。
实施例二
图2是本发明实施例二提供的一种恶意访问检测方法的流程图,本发明实施例是在上述发明实施例基础上的具体化,参见图2,本发明实施例提供的方法具体包括如下步骤:
步骤210、按照预设时间段提取最近访问地址集,获取最近访问地址集内最近地址对应的最近访问特征矩阵。
在本发明实施例中,可以提取预设时间段内访问本地系统的访问地址,可以将这些访问地址组成访问地址集,针对访问地址集中的各访问地址,提取访问地址对应的业务属性信息和构成字符信息构建最近访问特征矩阵,最近方位特征矩阵中的参数的取值可以为0或1,当取值为1时,可以表示访问地址存在对应的业务属性信息或者构成字符信息,当取值为0时,可以表示访问地址不存在对应的业务属性信息或者构成字符信息。
进一步的,在上述发明实施例的基础上,还包括:根据所述预设时间段更新最近访问地址集内的最近访问地址。
其中,最近访问地址可以是在预设时间段内访问本地系统的访问地址。
具体的,每间隔预设时间段可以更新最近访问地址集内的最近访问地址,例如,每隔15分钟,将这15分钟内访问本地系统的访问地址替换最近访问地址集内的最近访问地址。
步骤220、确定各所述最近访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度。
在本发明实施例中,可以将最近访问特征矩阵与历史访问地址集中历史方位特征矩阵确定相似度,其中,确定相似度的方式可以包括闵可夫斯基距离、欧式距离或者夹角余弦等,还可以通过使用贝叶斯公式确定出相似距离作为相似度等。
步骤230、按照历史访问特征矩阵对应的类型标签将各相似度区分为恶意相似度和非恶意相似度。
其中,类型标签可以区分访问地址类型的标签,可以包括恶意访问地址和非恶意访问地址,类型标签可以通过人工标定或者自动化标定生成。恶意相似度可以是恶意访问地址对应相似度,非恶意相似度可以是非恶意访问地址对应的相似度。
在本发明实施例中,历史访问特征矩阵可以存在各自对应的访问地址,该访问地址可以具有各自的类型标签,访问地址可以包括恶意访问地址和非恶意访问地址,可以按照不同的类型标签将历史访问特征矩阵的相似度进行分类,分类结果可以包括恶意相似度和非恶意相似度。
步骤240、统计恶意相似度和非恶意相似度以生成预设恶意访问范围。
具体的,可以对获取到的恶意相似度和非恶意相似度进行统计,确定出恶意相似度的取值范围以及非恶意相似度的取值范围,可以根据非恶意相似度的取值范围对恶意相似度的取值范围进行修正,例如,将恶意相似度的取值范围中上述两个范围的交集去除,可以将恶意相似度取值范围去除交集后的范围作为预设恶意访问范围。
步骤250、按照预设属性和预设特征构建特征矩阵,其中,特征矩阵中各元素均为0。
其中,特征矩阵可以是按照预设属性和预设特征构建的矩阵模板,该矩阵模板中每一个参数可以对应一个属性信息或者特征信息。预设属性可以是URL业务属性信息,可以包括新闻,视频,社交,下载链接等,预设特征可以是URL的构成特点信息,可以包括特殊字符类型、特殊字符数量和特殊字符位置等,预设属性和预设特征可以有用户或者配置文件确定。
在本发明实施例中,可以对特征矩阵进行初始化,特征均值的维度可以与预设属性和预设特征的个数对应,特征矩阵中每个参数可以对应与一个预设属性和预设特征,可以在特征矩阵初始化的过程中将各参数的取值置为0。
步骤260、在特征矩阵中按照新访问地址的属性和特征将对应位置的元素置为1,以实现访问特征矩阵。
具体的,可以提取新访问地址中的属性和特征,可以按照属性和特征将特征矩阵中对应位置的元素的取值置为1,使得特征矩阵表示新访问地址的属性和特征,可以将置位完成后的特征矩阵作为新访问地址的访问特征矩阵。
步骤270、提取历史访问地址集中各历史访问特征矩阵。
在本发明实施例中,历史访问地址集中可以存储历史访问特征矩阵,该历史访问特征矩阵可以表示对应访问地址的属性和特征,在需要确定出新访问地址与历史访问地址集中访问地址的相似度时,可以直接提取历史访问地址集中存储的历史访问特征矩阵,降低恶意访问地址识别过程的等待时间。
步骤280、确定访问特征矩阵分别与历史访问特征矩阵按照预设贝叶斯公式确定相似度,其中,预设贝叶斯公式通过迭代访问特征矩阵的参数生成。
其中,预设贝叶斯公式可以是确定两个矩阵之间相似度的公式,该公式可以Beta分布和伯努利分布为基础构建,由于bete分布是伯努利分布的共轭分布,对于访问特征矩阵中相同的参数u,他们的期望与方差相同,且p的估计值在u=1的频率,那么可以通过下式:
Figure BDA0002896355770000091
Figure BDA0002896355770000092
可分别估计出α,β。确定相似度的贝叶斯公式可以表示为:
Figure BDA0002896355770000093
其中,N是集合Q的元素个数,
Figure BDA0002896355770000094
在本发明实施例中,将访问特征矩阵与历史访问特征矩阵基于预设贝叶斯公式确定出两者之间的相似度,由于历史访问特征矩阵为多个,可以确定出访问特征矩阵与每个历史访问特征矩阵的相似度,可以理解的是,对于新访问地址的相似度可以为多个。
步骤290、根据相似度与预设恶意访问范围确定新访问地址的类型。
在本发明实施例中,在对应新访问地址的相似度为多个时,可以确定各相似度的平均值或者中位数,可以判断该平均值或者中位数是否在预设恶意范围内,若是,则将新访问地址的类型标记为恶意访问地址,若否,则将新访问地址的类型标记为非恶意访问地址。
本发明实施例,按照预设时间段获取最近访问地址集,确定最近访问地址集对应的最近访问特征矩阵,分别计算最近访问特征矩阵与历史访问特征矩阵的相似度,对相似度按照类型标签划分为恶意相似度和非恶意相似度,根据恶意相似度和非恶意相似的统计结果确定预设恶意访问范围,根据预设属性和预设特征初始化特征矩阵,根据新访问地址的属性和特征将特征矩阵对应位置的元素进行置位以生成访问特征矩阵,提取历史访问特征集中的历史访问特征矩阵,使用预设贝叶斯公式分别确定出访问特征矩阵与各历史访问特征矩阵的相似度,判断相似度与预设恶意访问范围的从属关系以确定新访问地址的类型,实现了恶意访问识别规则的动态调整,校正恶意访问识别的范围,提高恶意访问地址检测的准确性。
进一步的,在上述发明实施例的基础上,所述统计所述恶意相似度和所述非恶意相似度以生成预设恶意访问范围,包括:统计各所述恶意相似度中的最大恶意相似度和最小恶意相似度,并将所述最大恶意相似度和所述最小恶意相似度组为恶意访问范围;统计各所述恶意相似度中的最大善意相似度和最小善意相似度,并将所述最大善意相似度和所述最小善意相似度组为善意访问范围;将所述恶意访问范围与所述善意访问范围的交叉区域作为人工检验范围,将除所述人工检验范围之外的范围作为预设恶意范围。
在本发明实施例中,可以分别确定出恶意相似度中的最大值和最小值以及非恶意相似度中的最大值和最小值,通过上述的两种最大值和最小值构建恶意访问范围和非恶意访问范围,若恶意访问范围与非恶意访问范围存在交叉区域,可以将恶意访问范围除交叉区域以外的范围作为预设恶意访问范围,用于自动化识别恶意访问地址,而对于交叉区域为了进一步降低访问地址的误判率,可以采用人工检测的方式判别访问地址的类型。
进一步的,在上述发明实施例的基础上,所述根据所述相似度与预设恶意访问范围确定所述新访问地址的类型,包括:获取对应各所述历史访问特征矩阵的所述相似度;若各所述相似度对应的平均值在所述预设恶意访问范围内,则确定所述新访问地址为恶意访问;若各所述相似度对应的平均值在所述人工检验范围内,则根据人工检验结果确定所述新访问地址的类型。
在本发明实施例中,可以计算多个相似度的平均值,并将平均值与预设恶意访问范围进行对比,通过确定平均值与预设恶意访问范围的包含关系确定出新访问地址是否为恶意访问地址,若该平均值落在恶意访问范围与非恶意访问范围的交叉区域内,也即人工检验范围,则采用人工检验的方式对新访问地址的类型进行判断,确定是否属于恶意访问地址。
在一个示例性的实施方式中,图3是本发明实施例二提供的一种恶意访问检测的示例图,参见图3,根据URL对应的a种业务属性(比如,新闻、视频、社交、下载链接等)与b种URL特征的组合作为URL的m个信息,其中,m=a+b。对于所有的全量访问的集合记为D,最近一段时间(15分钟内)的全量访问的集合记为Q,新访问地址记为z,x可以表示一个URL访问地址,可以属于D或Q,对于集合Q属于D,也即Q中所有的URL访问地址都是D中的元素。对于Q和D中任意一个x均可以使用m种信息进行表示,x映射为0或1表示的矩阵,Q和D可以分别对应多个矩阵,定义S(xi;Q)表示最近一段时间内访问地址的与全部访问地址的相似距离,表示Q与D的相关程度的大小:
Figure BDA0002896355770000121
其中,N是集合Q的元素个数,
Figure BDA0002896355770000122
Figure BDA0002896355770000123
可以根据之前的人工打的恶意访问标签对S(xi;Q)进行分类,分别为恶意相似度和非恶意相似度。基于以上相似的方式确定出z与D的相似度,若z与D的相似度的分布状况与恶意相似度的分布状况一致,例如,z与D的相似度落在恶意相似度中最小值和最大值的范围内,则确定z为恶意访问地址,否则,z为非恶意访问地址。
实施例三
图4是本发明实施例三提供的一种恶意访问检测装置的结构示意图,可执行本发明任意实施例提供的恶意访问检测方法,具备执行方法相应的功能模块和有益效果,该装置可以由软件和/或硬件实现,具体包括:特征矩阵模块301、相似度模块302和类型确定模块303.
特征矩阵模块301,用于将获取到的新访问地址按照属性和特征表示为访问特征矩阵。
相似度模块302,用于确定所述访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度。
类型确定模块303,用于根据所述相似度与预设恶意访问范围确定所述新访问地址的类型,其中,所述预设恶意访问范围根据预设时间段内的最近访问地址集确定。
本发明实施例,通过特征矩阵模块根据新访问地址的属性和特征构建访问特征矩阵,相似度模块确定访问特征矩阵与历史方位地址集对应的历史访问特征矩阵的相似度,类型确定模块按照相似度和预设恶意访问范围确定新访问地址的类型,其中,恶意访问范围通过预设时间段内的最近访问地址集相关联,实现恶意访问识别规则的动态调整,校正恶意访问识别的范围,提高恶意访问地址检测的准确性。
进一步的,在上述发明实施例的基础上,所述特征矩阵模块301包括:
初始单元,用于按照预设属性和预设特征构建特征矩阵,其中,所述特征矩阵中各元素均为0。
元素置位单元,用于在所述特征矩阵中按照所述新访问地址的属性和特征将对应位置的元素置为1,以实现访问特征矩阵。
进一步的,在上述发明实施例的基础上,所述相似度模块302包括:
矩阵提取单元,用于提取所述历史访问地址集中各所述历史访问特征矩阵;
公式运算单元,用于确定所述访问特征矩阵分别与所述历史访问特征矩阵按照预设贝叶斯公式确定相似度,其中,所述预设贝叶斯公式通过迭代所述访问特征矩阵的参数生成。
进一步的,在上述发明实施例的基础上,还包括:范围确定模块,用于:按照预设时间段提取最近访问地址集,获取所述最近访问地址集内最近地址对应的最近访问特征矩阵;确定各所述最近访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度;按照所述历史访问特征矩阵对应的类型标签将各所述相似度区分为恶意相似度和非恶意相似度;统计所述恶意相似度和所述非恶意相似度以生成预设恶意访问范围。
进一步的,在上述发明实施例的基础上,所述范围确定模块还具体用于:统计各所述恶意相似度中的最大恶意相似度和最小恶意相似度,并将所述最大恶意相似度和所述最小恶意相似度组为恶意访问范围;统计各所述恶意相似度中的最大善意相似度和最小善意相似度,并将所述最大善意相似度和所述最小善意相似度组为善意访问范围;将所述恶意访问范围与所述善意访问范围的交叉区域作为人工检验范围,将除所述人工检验范围之外的范围作为预设恶意范围。
进一步的,在上述发明实施例的基础上,所述类型确定模块303包括:
获取单元,用于获取对应各所述历史访问特征矩阵的所述相似度;
规则识别单元,用于若各所述相似度对应的平均值在所述预设恶意访问范围内,则确定所述新访问地址为恶意访问。
人工识别单元,用于若各所述相似度对应的平均值在所述人工检验范围内,则根据人工检验结果确定所述新访问地址的类型。
进一步的,在上述发明实施例的基础上,还包括:
地址更新模块,用于根据所述预设时间段更新最近访问地址集内的最近访问地址。
实施例四
图5是本发明实施例四提供的一种电子设备的结构示意图,如图5所示,该电子设备包括处理器40、存储器41、输入装置42和输出装置43;电子设备中处理器40的数量可以是一个或多个,图5中以一个处理器40为例;电子设备中的处理器40、存储器41、输入装置42和输出装置43可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器41作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的恶意访问检测方法对应的程序指令/模块(例如,恶意访问检测装置中的特征矩阵模块301、相似度模块302和类型确定模块303)。处理器40通过运行存储在存储器41中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述的恶意访问检测方法。
存储器41可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器41可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器41可进一步包括相对于处理器40远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置42可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置43可包括显示屏等显示设备。
实施例五
本发明实施例五还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种恶意访问检测方法,该方法包括:
将获取到的新访问地址按照属性和特征表示为访问特征矩阵;
确定所述访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度;
根据所述相似度与预设恶意访问范围确定所述新访问地址的类型,其中,所述预设恶意访问范围根据预设时间段内的最近访问地址集确定。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的恶意访问检测方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述恶意访问检测装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (10)

1.一种恶意访问检测方法,其特征在于,所述方法包括:
将获取到的新访问地址按照属性和特征表示为访问特征矩阵;
确定所述访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度;
根据所述相似度与预设恶意访问范围确定所述新访问地址的类型,其中,所述预设恶意访问范围根据预设时间段内的最近访问地址集确定。
2.根据权利要求1所述的方法,其特征在于,所述将获取到的新访问地址按照属性和特征表示为访问特征矩阵,包括:
按照预设属性和预设特征构建特征矩阵,其中,所述特征矩阵中各元素均为0;
在所述特征矩阵中按照所述新访问地址的属性和特征将对应位置的元素置为1,以实现访问特征矩阵。
3.根据权利要求1所述的方法,其特征在于,所述确定所述访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度,包括:
提取所述历史访问地址集中各所述历史访问特征矩阵;
确定所述访问特征矩阵分别与所述历史访问特征矩阵按照预设贝叶斯公式确定相似度,其中,所述预设贝叶斯公式通过迭代所述访问特征矩阵的参数生成。
4.根据权利要求1所述的方法,其特征在于,所述根据预设时间段内的最近访问地址集确定所述预设恶意访问范围的过程包括:
按照预设时间段提取最近访问地址集,获取所述最近访问地址集内最近地址对应的最近访问特征矩阵;
确定各所述最近访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度;
按照所述历史访问特征矩阵对应的类型标签将各所述相似度区分为恶意相似度和非恶意相似度;
统计所述恶意相似度和所述非恶意相似度以生成预设恶意访问范围。
5.根据权利要求4所述的方法,其特征在于,所述统计所述恶意相似度和所述非恶意相似度以生成预设恶意访问范围,包括:
统计各所述恶意相似度中的最大恶意相似度和最小恶意相似度,并将所述最大恶意相似度和所述最小恶意相似度组为恶意访问范围;
统计各所述恶意相似度中的最大善意相似度和最小善意相似度,并将所述最大善意相似度和所述最小善意相似度组为善意访问范围;
将所述恶意访问范围与所述善意访问范围的交叉区域作为人工检验范围,将除所述人工检验范围之外的范围作为预设恶意范围。
6.根据权利要求5所述的方法,其特征在于,所述根据所述相似度与预设恶意访问范围确定所述新访问地址的类型,包括:
获取对应各所述历史访问特征矩阵的所述相似度;
若各所述相似度对应的平均值在所述预设恶意访问范围内,则确定所述新访问地址为恶意访问;
若各所述相似度对应的平均值在所述人工检验范围内,则根据人工检验结果确定所述新访问地址的类型。
7.根据权利要求1-6中任一所述的方法,其特征在于,还包括:
根据所述预设时间段更新最近访问地址集内的最近访问地址。
8.一种恶意访问检测装置,其特征在于,所述装置包括:
特征矩阵模块,用于将获取到的新访问地址按照属性和特征表示为访问特征矩阵;
相似度模块,用于确定所述访问特征矩阵与历史访问地址集中历史访问特征矩阵对应的相似度;
类型确定模块,用于根据所述相似度与预设恶意访问范围确定所述新访问地址的类型,其中,所述预设恶意访问范围根据预设时间段内的最近访问地址集确定。
9.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的恶意访问检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的恶意方法检测方法。
CN202110042224.9A 2021-01-13 2021-01-13 恶意访问检测方法、装置、电子设备和存储介质 Active CN112765502B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110042224.9A CN112765502B (zh) 2021-01-13 2021-01-13 恶意访问检测方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110042224.9A CN112765502B (zh) 2021-01-13 2021-01-13 恶意访问检测方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN112765502A true CN112765502A (zh) 2021-05-07
CN112765502B CN112765502B (zh) 2024-03-19

Family

ID=75700065

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110042224.9A Active CN112765502B (zh) 2021-01-13 2021-01-13 恶意访问检测方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN112765502B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114221807A (zh) * 2021-12-14 2022-03-22 平安付科技服务有限公司 访问请求处理方法、装置、监控设备及存储介质
CN116756716A (zh) * 2023-06-20 2023-09-15 天津篱上青桑智能科技有限公司 基于大数据的安全验证方法、系统、设备和存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013092998A (ja) * 2011-10-27 2013-05-16 Mitsubishi Electric Corp アクセス判定装置およびアクセス判定方法およびプログラム
CN103634317A (zh) * 2013-11-28 2014-03-12 北京奇虎科技有限公司 基于云安全对恶意网址信息进行安全鉴定的方法及系统
HK1199528A1 (zh) * 2012-12-24 2015-07-03 網站信任度自動評級的方法、服務端及系統
CN104852883A (zh) * 2014-02-14 2015-08-19 腾讯科技(深圳)有限公司 保护账号信息安全的方法和系统
CN105897752A (zh) * 2016-06-03 2016-08-24 北京奇虎科技有限公司 未知域名的安全检测方法及装置
CN107341716A (zh) * 2017-07-11 2017-11-10 北京奇艺世纪科技有限公司 一种恶意订单识别的方法、装置及电子设备
CN107426199A (zh) * 2017-07-05 2017-12-01 浙江鹏信信息科技股份有限公司 一种网络异常行为检测与分析的方法及系统
CN108960645A (zh) * 2018-07-10 2018-12-07 阿里巴巴集团控股有限公司 一种风险防控方法、系统及终端设备
CN109313676A (zh) * 2016-09-23 2019-02-05 惠普发展公司,有限责任合伙企业 基于安全级别和访问历史的ip地址访问
CN112039874A (zh) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 一种恶意邮件的识别方法及装置

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013092998A (ja) * 2011-10-27 2013-05-16 Mitsubishi Electric Corp アクセス判定装置およびアクセス判定方法およびプログラム
HK1199528A1 (zh) * 2012-12-24 2015-07-03 網站信任度自動評級的方法、服務端及系統
US20150295951A1 (en) * 2012-12-24 2015-10-15 Tencent Technology (Shenzhen) Company Limited Method, server, and system for automatically rating reputation of a web site
CN103634317A (zh) * 2013-11-28 2014-03-12 北京奇虎科技有限公司 基于云安全对恶意网址信息进行安全鉴定的方法及系统
CN104852883A (zh) * 2014-02-14 2015-08-19 腾讯科技(深圳)有限公司 保护账号信息安全的方法和系统
CN105897752A (zh) * 2016-06-03 2016-08-24 北京奇虎科技有限公司 未知域名的安全检测方法及装置
CN109313676A (zh) * 2016-09-23 2019-02-05 惠普发展公司,有限责任合伙企业 基于安全级别和访问历史的ip地址访问
CN107426199A (zh) * 2017-07-05 2017-12-01 浙江鹏信信息科技股份有限公司 一种网络异常行为检测与分析的方法及系统
CN107341716A (zh) * 2017-07-11 2017-11-10 北京奇艺世纪科技有限公司 一种恶意订单识别的方法、装置及电子设备
CN108960645A (zh) * 2018-07-10 2018-12-07 阿里巴巴集团控股有限公司 一种风险防控方法、系统及终端设备
CN112039874A (zh) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 一种恶意邮件的识别方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李洁等: "大规模网络流量下的恶意地址检测技术研究", 《吉林电力》, vol. 44, no. 4, pages 1 - 4 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114221807A (zh) * 2021-12-14 2022-03-22 平安付科技服务有限公司 访问请求处理方法、装置、监控设备及存储介质
CN114221807B (zh) * 2021-12-14 2024-07-05 平安付科技服务有限公司 访问请求处理方法、装置、监控设备及存储介质
CN116756716A (zh) * 2023-06-20 2023-09-15 天津篱上青桑智能科技有限公司 基于大数据的安全验证方法、系统、设备和存储介质
CN116756716B (zh) * 2023-06-20 2024-03-22 广东笑翠鸟教育科技有限公司 基于大数据的安全验证方法、系统、设备和存储介质

Also Published As

Publication number Publication date
CN112765502B (zh) 2024-03-19

Similar Documents

Publication Publication Date Title
CN111401416B (zh) 异常网站的识别方法、装置和异常对抗行为的识别方法
CN110460587B (zh) 一种异常账号检测方法、装置及计算机存储介质
US20180248879A1 (en) Method and apparatus for setting access privilege, server and storage medium
CN113779481B (zh) 诈骗网站的识别方法、装置、设备及存储介质
CN110647896B (zh) 一种基于logo图像的钓鱼页面识别方法及相关设备
CN108650260A (zh) 一种恶意网站的识别方法和装置
CN110798488A (zh) Web应用攻击检测方法
CN112765502B (zh) 恶意访问检测方法、装置、电子设备和存储介质
CN110647895B (zh) 一种基于登录框图像的钓鱼页面识别方法及相关设备
CN110765374A (zh) 风险链接识别方法、装置及计算机设备
CN107231383B (zh) Cc攻击的检测方法及装置
CN108965318B (zh) 检测工业控制网络中未授权接入设备ip的方法及装置
CN114726608A (zh) 一种蜜罐引流方法、装置及其介质
CN112583827A (zh) 一种数据泄露检测方法及装置
CN110851828A (zh) 基于多维度特征的恶意url监测方法、装置和电子设备
CN112711696A (zh) 请求访问方法、装置、电子设备及存储介质
CN113098865A (zh) 一种浏览器指纹获取方法、装置、电子设备及存储介质
CN107332856B (zh) 地址信息的检测方法、装置、存储介质和电子装置
CN114640492B (zh) 一种url检测方法、系统、设备及计算机可读存储介质
CN114172707B (zh) Fast-Flux僵尸网络检测方法、装置、设备及存储介质
CN113361597B (zh) 一种url检测模型的训练方法、装置、电子设备和存储介质
CN115567316A (zh) 访问数据的异常检测方法及装置
CN113836371A (zh) 一种安全事件显示方法和装置
CN111368294B (zh) 病毒文件的识别方法和装置、存储介质、电子装置
CN114095936A (zh) 短信验证码请求方法、攻击防御方法、装置、介质及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant