[发明专利]一种异常访问检测方法及设备

权利要求书

1.一种异常访问检测方法，其中，所述方法包括：

获取待检测访问数据；

分别比较所述待检测数据与预先设置的正样品集合和负样本集合的相似度，得到正样本相似度和负样本相似度，其中，正样本集合是样本访问数据中正常访问的访问数据集合，负样本集合样本访问数据中异常访问的访问数据的集合；

基于得到的正样本相似度和负样本相似度，确定该访问数据为异常访问数据还是正常访问数据；

其中，所述方法还包括：获取样本访问数据，以根据所述样本访问数据得到正样本集合和负样本集合；

其中，根据所述样本访问数据得到正样本集合和负样本集合，包括：

将每一个样本访问数据都自成一个簇后，重复选择当前相似度最大的两个簇进行合并得到合并簇，直至成员个数最多的合并簇中的成员个数大于预预设成员个数阈值；

将成员个数最多的合并簇作为所述正样本集合，将所述成员个数最多的合并簇之外的簇作为所述负样本集合。

2.根据权利要求1所述的方法，其中，根据所述样本访问数据得到正样本集合和负样本集合，包括：

通过聚类方式，将相似度高于第一预设值的样本访问数据归入正样本集合，将相似度低于第二预设值的样本访问数据归入负样本集合。

3.根据权利要求1所述的方法，其中，所述样本访问数据为同一URL下的访问参数字符串中的参数对的值。

4.根据权利要求3所述的方法，其中，同一URL下的访问参数字符串中的参数对的值之间的相似度，根据所述参数对的值的长度差异、字符集差异和字符2gram差异中的一种或任意组合确定。

5.根据权利要求1所述的方法，其中，选择当前相似度最大的两个簇进行合并，包括：

计算每两个簇之间的相似度，并将每两个簇与对应的这两个簇之间的相似度作为一个元素存储入一优先队列，其中，所述优先队列的队头元素始终保持是相似度最大的两个簇；

每次从优先队列中取出队头元素，将该队头元素的两个簇进行合并。

6.根据权利要求1所述的方法，其中，将每一个样本访问数据都自成一个簇后，重复选择当前相似度最大的两个簇进行合并得到合并簇，直至成员个数最多的合并簇中的成员个数大于预预设成员个数阈值，包括：

将每一个样本访问数据都自成一个簇，将所有簇作为初始的类簇，计算所述类簇中每两个样本访问数据之间的相似度并存储入一相似度矩阵，并创建一个初始空的栈后，重复如下步骤，直至成员个数最多的合并簇中的成员个数大于预预设成员个数阈值：

当所述栈为空时，从所述类簇中随机挑选一个簇放入所述栈中；

根据所述相似度矩阵，从所述类簇中查找与所述栈中的栈顶元素相似度最高的簇；

若查找到的与所述栈中的栈顶元素相似度最高的簇不在所述栈中，将与所述栈中的栈顶元素相似度最高的簇入栈；

否则，将所述栈中的栈顶元素及与其相似度最高的簇出栈并合并得到合并簇，将所述合并簇放入所述类簇，并从所述类簇中删除所述栈中的栈顶元素及与其相似度最高的簇；

更新所述相似度矩阵。

7.根据权利要求1所述的方法，其中，根据所述样本访问数据得到正样本集合和负样本集合之后，还包括：

从所述负样本集合中筛选样本访问数据加入正样本集合，并将加入正样本集合的样本访问数据从所述负样本集合中删除，得到最终的正样本集合和负样本集合。

8.根据权利要求7所述的方法，其中，从所述负样本集合中筛选样本访问数据加入正样本集合，并将加入正样本集合的样本访问数据从所述负样本集合中删除，得到最终的正样本集合和负样本集合，包括：

重复本步骤直至负样本集合为空：每次从上一次的负样本集合中选择与所述上一次正样本集合相似度最大的一个样本访问数据，将所述相似度最大的一个样本访问数据加入正样本集合，并将所述相似度最大的一个样本访问数据从所述负样本集合中删除，并记录每一次的正样本集合和负样本集合；

筛选出记录的其中一次的正样本集合和负样本集合，作为最终的正样本集合和负样本集合。