[发明专利]一种周期性Web访问行为的检测方法、系统及存储介质

说明书

本发明公开了一种周期性Web访问行为的检测方法、系统及存储介质，所述方法包括如下步骤：获取第一时间序列；对所述第一时间序列进行自相关函数的计算，获取第一候选周期值；对所述第一时间序列进行快速傅里叶计算，获取第二候选周期值；对所述第一候选周期值和第二候选周期值进行近似交集计算，获取周期值。本发明适合不同周期长度的，快速准确的周期检测功能。

技术领域

本发明属于网络安全领域，具体涉及到一种周期性Web访问行为的检测方法、系统及存储介质。

背景技术

Web也称为万维网，是建立在因特网上的一种基于HTML超文本和HTTP协议的网络服务系统。在经典Web访问行为模型中，Web使用统一资源地址定位符(URL)来表示网络资源的位置和访问方法，客户端通过URL发起HTTP请求，相应的Web服务器接收并解析处理HTTP请求，然后将HTTP响应结果返回给客户端。例如，浏览者通过在浏览器中输入URL来访问各种网页、客户端设备的Web应用程序通过URL调用服务器接口来获取各种资源。对用户和设备的Web访问行为构成的时间序列的周期性检测和分析是用户实体行为分析(UEBA)的重要特征之一，对网络监管、人机识别、异常检测和维护网络安全具有重要意义。

现有的检测周期方法主要有循环检测算法(Cycle Detection)，自相关方法(Autocorrelation)和快速傅里叶变换(FFT)方法。循环检测算法只适合精确匹配周期的情况，但是实际网络环境中的用户或设备实体的很多周期性Web访问行为在时间间隔和各时间点的访问次数上存在一定波动性，因此该方法无法准确地识别Web访问行为的周期性。自相关方法通过计算函数自身两个时间点之间的图形相似度来计算周期值，一般比较适合周期值较大的序列的检测，而且该方法很难找到一个精确的阈值来适应不同的访问行为序列，并且存在因假性波峰导致误报率较高的问题。傅里叶变换方法通过将访问行为序列的时域波形转换到频域来获得该行为的主要频率，从而获得相对应的周期值。傅里叶变换方法一般仅适用于短中期周期值的检测，并且因为原始行为序列的随机性导致的噪声问题产生较多误报。

发明内容

针对现有技术的不足，本发明的目的在于提供一种周期性Web访问行为的检测方法、系统及存储介质，以解决现有技术中存在的周期检测误报率较高的问题。

为解决上述技术问题，本发明所采用的技术方案是：

一种周期性Web访问行为的检测方法，所述方法包括如下步骤：

获取第一时间序列；

对所述第一时间序列进行自相关函数的计算，获取第一候选周期值；

对所述第一时间序列进行快速傅里叶计算，获取第二候选周期值；

对所述第一候选周期值和第二候选周期值进行近似交集计算，获取周期值。

进一步的，所述第一时间序列的获取方法包括：

获取原始网络流量；

根据所述原始网络流量获取HTTP流量数据；

根据所述HTTP流量数据获取请求和应答信息；

根据所述请求和应答信息构建Web访问行为；

根据所述Web访问行为获取第二时间序列；

对所述第二时间序列进行降噪处理，获取第一时间序列。

进一步的，所述请求和应答信息包括访问URL、服务器域名、目标IP和访问时间。

进一步的，所述Web访问行为的构建方法包括：

删除所述访问URL的字段内容中的请求参数；

以删除请求参数的访问URL中的字符作为有效访问URL；