[发明专利]一种数据异常检测方法、装置及终端设备

说明书

本申请实施例公开了一种数据异常检测方法、装置及终端设备，所述方法包括：获取用户访问目标服务器的目标数据，根据所述目标数据，确定所述用户所访问的第一资源序列信息，获取所述第一资源序列信息中包含的第一点击事件，并对每个所述第一点击事件进行分类，得到每个所述第一点击事件所属的事件类型，根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵，确定所述马尔科夫链中每相邻两个状态之间的第一转移概率，基于所述马尔科夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常。通过本方法，可以从全局和局部的角度进行异常检测，提高检测的准确性。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种数据异常检测方法、装置及终端设备。

背景技术

随着互联网技术和应用的飞速发展，Web应用已经成为人们生活工作所使用的主流应用。Web应用给人们带来了较大的便利，但同时也成为黑客主要的攻击目标。

常见的针对Web应用的异常检测方法主要有两种，都是对Web日志进行分析，从中获取网站访问用户的访问行为。其中，第一种是基于规则将用户的访问行为与典型攻击访问进行匹配和检测，如基于SQL(StructuredQuery Language，结构化查询语言)注入、跨站脚本攻击(XSS，CrossSiteScripting)、缓冲区溢出等进行匹配和检测，第二种是针对存在异常访问的用户访问行为与建立的正常行为模式进行匹配和检测等。

但是，针对已知类型的攻击检测，仅能发现攻击行为中包含的与已知类型的攻击相匹配的部分攻击行为，无法进行全局性的解析，同时，针对异常访问行为的检测方法无法对用户访问行为中单个URL的特征进行检测，而且需建立正常行为的模式库，成本较高，异常检测的准确性较低。

发明内容

本申请实施例提供的一种数据异常检测方法，所述方法包括：

获取用户访问目标服务器的目标数据；

根据所述目标数据，确定所述用户所访问的第一资源序列信息；

获取所述第一资源序列信息中包含的第一点击事件，并对每个所述第一点击事件进行分类，得到每个所述第一点击事件所属的事件类型；

根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵，确定所述马尔科夫链中每相邻两个状态之间的第一转移概率；

基于所述马尔科夫链中每相邻两个状态之间的第一转移概率，确定对所述目标服务器的访问是否出现异常。

可选地，在所述获取用户访问目标服务器的目标数据之前，所述方法还包括：

获取用户访问所述目标服务器的样本数据；

根据所述样本数据，确定所述用户所访问的第二资源序列信息；

获取所述第二资源序列信息中包含的第二点击事件，并对每个所述第二点击事件进行分类，得到每个所述第二点击事件所属的点击事件类；

获取所述点击事件类之间的第二转移概率；

由所述点击事件类之间的第二转移概率构建所述预先训练的马尔科夫转移矩阵；

其中，所述点击事件类的个数小于或等于所述第二资源序列信息的个数。

可选地，所述第二点击事件包含一个或多个URI，所述对每个所述第二点击事件进行分类，得到每个所述第二点击事件所属的点击事件类，包括：

根据预设转换规则，对每个所述第二点击事件包含的URI进行转换，得到转换值；

基于所述转换值，计算每两个所述第二点击事件之间的相似度；