[发明专利]异常访问行为的检测方法、装置、电子设备及存储介质

说明书

本申请提供的一种异常访问行为的检测方法、装置、电子设备及存储介质，应用于网络安全技术领域，所述方法包括:查询目标检测网络中各页面的访问记录，获取访问源数量小于访问源数量阈值的异常访问页面；获取访问过所述异常访问页面的异常访问IP；在所述异常访问IP只访问过所述异常访问页面时，将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。本方案通过首先将访问源数量较小的页面作为异常访问页面，然后将只访问过该异常访问页面的异常访问IP对于该异常访问页面的访问行为作为异常访问行为，依据攻击者只会访问Webshell页面的特征进行异常行为检测，无需提前获取Webshell页面，提高了对于Webshell页面的异常访问行为的检测的准确性。

技术领域

本申请属于网络安全技术领域，特别是涉及一种异常访问行为的检测方法、装置、电子设备及存储介质。

背景技术

Webshell脚本是一种以动态服务器页面、超文本预处理器和Java服务器页面等网页文件形式存在的一种命令执行环境，也就是一种网页后门。黑客可以通过Webshell脚本入侵网站或非法上传木马等恶意代码到页面文件中，以达到控制网站服务器的目的。因此如何识别Webshell脚本是网络安全领域的重要研究方向。

现有对Webshell恶意脚本进行识别的方式通常对网页文件生成哈希签名，然后实时或定时对网页文件进行检测，一旦出现新增网页文件不再哈希签名列表中，便将该新增网页文件视为Webshell脚本上传的恶意文件。

这种方式对于网页文件的哈希签名的实时性要求较高，如果出现某些暂未生成哈希签名的文件就会发生误报的情况，降低了Webshell恶意脚本识别的准确性。

发明内容

有鉴于此，本申请实施例提出一种异常访问行为的检测方法、装置、电子设备及存储介质，用于解决现有Webshell恶意脚本检测方式对于网页文件的哈希签名的实时性要求较高，如果出现某些暂未生成哈希签名的文件就会发生误报的情况，降低了Webshell恶意脚本识别的准确性的问题。

本申请第一方面提供一种异常访问行为的检测方法，所述方法包括：

查询目标检测网络中各页面的访问记录，获取访问源数量小于访问源数量阈值的异常访问页面；

获取访问过所述异常访问页面的异常访问IP；

在所述异常访问IP只访问过所述异常访问页面时，将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为。

可选地，所述查询目标检测网络中各页面的访问记录，获取访问源数量小于访问源数量阈值的异常访问页面，包括：

查询目标检测网络中各页面的访问记录，获取访问源数量小于访问源数量阈值的可疑访问页面；

可疑访问页面中的目标可疑访问页面作为异常访问页面，所述目标可疑访问页面是所述被访问记录未涉及除所述可疑访问页面以外的页面的可疑访问页面。

可选地，在所述可疑访问页面中的目标可疑访问页面作为异常访问页面之前，所述方法还包括：

获取所述可疑访问页面的访问请求的目标请求头字段；

在所述目标请求头字段不包含有除所述可疑访问页面以外的访问联时，将所述可疑访问页面作为目标可疑访问页面。

可选地，在所述在所述异常访问IP只访问过所述异常访问页面时，将所述异常访问IP对于所述异常访问页面的访问行为作为异常访问行为之后，所述方法还包括：

根据所述异常访问IP的访问记录对所述异常访问页面进行更新。

可选地，在所述查询各页面的访问记录，获取访问源数量小于访问源数量阈值的异常访问页面之前，还包括：

获取目标检测网络的镜像流量数据；