[发明专利]建立识别异常访问者模型的方法、系统、设备及介质

说明书

本发明公开了一种建立识别异常访问者模型的方法、系统、设备及介质，方法包括建立通用识别模型的方法，建立通用识别模型的方法包括特征计算步骤，特征计算步骤包括以下获取特征值的方法中的至少一种：计算预设时间内预设日志中记载的全部IP地址中预设字段相同的IP地址的数量作为特征值、计算预设时间内预设日志中记载的来自同一个IP地址的两次请求之间的时间方差作为特征值、计算预设时间内预设日志中记载的用户的user‑agent的去重个数与该用户的全部页面浏览量的比值作为特征值，由于使用新的特征值建立识别异常访问者模型，提高了识别异常访问者模型的通用性和识别准确性，有效防止误判。

技术领域

本发明涉及互联网技术领域，尤其涉及一种建立识别异常访问者模型的方法、系统、设备及介质。

背景技术

随着网络应用的不断发展，互联网在人们的日常工作和生活中扮演着越来越重要的角色。互联网技术的不断发展，使得网络中的不安全因素也在不断增加，来自恶意IP地址的恶意访问容易造成网络服务器瘫痪，严重影响网络服务提供商的服务质量，进而影响用户使用。

为了阻止来自恶意IP地址的恶意访问，现有技术中采用网络异常访问者检测技术识别恶意IP地址。即，通过Web日志进行数据挖掘，使用用户历史访问的Web日志进行建模，构建用户的画像，运用机器学习算法，从Web日志中分析出异常用户行为，确定恶意IP地址。

在建立识别恶意IP地址模型的过程中，需要使用用户行为特征构建模型，现有的根据历史访问的Web日志，建立识别异常访问者模型的过程中用到的特征维度不够全面，造成建立的模型在识别用户使用多个IP进行恶意攻击行为、用户访问请求的时间规律、用户使用多个user-agent进行恶意访问等情况的准确率低，对多源低频的场景识别能力不足，进而导致识别异常IP的召回率不高，造成使用识别异常访问者模型对异常访问者进行识别过程中，存在一定的误判问题。

发明内容

为了解决上述技术问题，本发明提供了一种建立识别异常访问者模型的方法、系统、设备及介质。

本发明提供的建立识别异常访问者模型的方法，包括建立通用识别模型的方法，所述建立通用识别模型的方法包括特征计算步骤，所述特征计算步骤包括以下获取特征值的方法中的至少一种：

计算预设时间内预设日志中记载的全部IP地址中预设字段相同的IP地址的数量作为特征值、计算预设时间内预设日志中记载的来自同一个IP地址的两次请求之间的时间方差作为特征值、计算预设时间内预设日志中记载的用户的user-agent的去重个数与该用户的全部页面浏览量的比值作为特征值。

上述建立识别异常访问者模型的方法还具有以下特点：所述建立通用识别模型的方法还包括：

对所述特征值进行处理，依据用户行为特征构建特征向量；

对所述特征向量的数值特征进行0-1标准化数据处理，并传输给决策树分类器；

所述决策树分类器输出与所述特征值对应的判定值。

上述建立识别异常访问者模型的方法还具有以下特点：所述识别异常访问者模型包括以下识别方法中的至少一种：

方法一、预定时长内日志中记载的全部IP地址中预设字段相同的IP地址的数量大于或等于判定值，则具有相同的所述预设字段的IP地址为异常IP；

方法二、预定时长内日志中记载的来自同一个IP地址的两次请求之间的时间方差小于或等于判定值，则该IP地址为异常IP；

方法三、预定时长内日志中记载的用户的user-agent的去重个数与该用户的全部页面浏览量的比值大于或等于判定值，则该用户为异常用户。

上述建立识别异常访问者模型的方法还具有以下特点：所述建立识别异常访问者模型的方法还包括建立样本识别模型的方法，所述建立样本识别模型的方法包括标记样本的步骤，所述标记样本的步骤包括：