[发明专利]入侵检测方法、电子设备和计算机存储介质

权利要求书

1.一种入侵检测方法，其特征在于，所述方法包括：

获取待检测日志；

通过预先训练的入侵检测模型，对所述待检测日志进行入侵检测；

所述入侵检测模型是根据日志样本的整体特征和所述日志样本的个体特征得到的。

2.根据权利要求1所述的方法，其特征在于，所述通过预先训练的入侵检测模型，对所述待检测日志进行入侵检测之前，还包括：

获取日志样本；

将同一用户的日志样本分为同一类；

获取所述日志样本的整体特征；

针对每类日志样本，获取其个体特征；

对所述整体特征和各类的个体特征进行训练，得到入侵检测模型。

3.根据权利要求2所述的方法，其特征在于，所述整体特征包括：所有已知页面、最多来访用户数、平均来访用户数、访问量最大值和访问量平均值；

所述获取所述日志样本的整体特征，包括：

获取所述日志样本的所有已知页面；

按预设第一时间长度将所述日志样本进行第一分片，根据各第一分片中的日志样本，获取各第一分片的最多来访用户数和平均来访用户数；

按所述预设第一时间长度将每类中的日志样本进行第二分片，根据每类各第二分片中的日志样本，获取各第二分片的访问量最大值和访问量平均值。

4.根据权利要求3所述的方法，其特征在于，所述日志样本包括$http_cookie字段和$remote_user字段；

所述将同一用户的日志样本分为同一类之前，还包括：

按预设第一时间长度将所述日志样本进行第一分片，对各第一分片中各日志样本的$http_cookie字段进行切割；

若切割后的字符串中包含apache，或者，若切割后的字符串中包含nginxsec_id且所述nginxsec_id正常，则用所述$http_cookie字段的值作为用户标识；

否则，用$remote_user字段的值作为用户标识；

所述将同一用户的日志样本分为同一类，包括：

将相同用户标识的日志样本分为一类。

5.根据权利要求4所述的方法，其特征在于，所述个体特征，包括：

总用户数，动态URI平均访问量，访问历史页面数，访问量最大用户访问页面总数，访问量少于30条的用户数，访问量少于30条的用户总访问量，去除访问量少于30条的用户后的平均访问量，会话ID，来访IP，命中异常特征数，UA命中爬虫特征数，出现404页面数量，出现500页面数量，访问URI数量，URI平均访问量，URI平均访问量与总会话偏差，访问量最多URI访问量，访问量最多URI与历史最多差值，访问量最多URI占比，访问量第二URI访问量，访问量第二多URI与历史访问量差值，访问量第二URI占比，访问量最多URI与第二URI偏差，访问量最多URI与第二URI偏差与总访问量比，平均页面访问数与总会话偏差，HEAD_请求次数，GET_请求次数，POST_请求次数，DELETE_请求次数，PUT_请求次数，非GET且非POST请求占比，UA数量，UA异常数量，访问静态页面数量，访问动态页面数量，动态页面占比，动态页面占比与总会话访问比偏差，访问动态URI数量，访问新URI数量，访问新URI页面访问数量占比，访问新URI占比与总会话新页面访问比偏差，访问页面总量占总会话访问量比，访问量与去除访问量少于10条的用户后的平均访问量差，第二session_id是否异常，URI命中扫描特征，cookies命中扫描特征。

6.根据权利要求5所述方法，其特征在于，所述所述命中异常特征数为包含nginxsec_id异常对应的日志样本的第二分片的数量；

所述日志样本还包括IP字段和UA字段；

所述第二session_id为日志样本中的IP字段的值+UA字段的值。

7.根据权利要求4或6所述方法，其特征在于，若预设第二时间长度内分片中nginxsec_id的不同值数量不小于预设值，则确定nginxsec_id异常。