[发明专利]异常访问行为检测方法、装置及电子设备

说明书

本申请公开了一种异常访问行为检测方法、装置及电子设备，其中，该方法包括：从获取的历史访问请求中提取时间标识和属性信息，并基于时间标识和属性信息，构建能够唯一标识访问行为的访问信息；基于时间标识对访问信息进行排序，以形成第一序列；通过滑动时间窗口从第一序列中截取包含多个访问信息的第一片段；对第一片段中多个访问信息的属性信息进行分析，以识别多个访问信息所标识的访问行为中的同类访问行为，并确定同类访问行为的数量；在同类访问行为的数量大于第一阈值的情况下，确定同类访问行为为异常访问行为。该方法能够准确检测一定时间范围内反复出现的异常访问行为。

技术领域

本申请涉及安全防护技术领域，特别涉及一种异常访问行为检测方法、装置及电子设备。

背景技术

服务器或分布式集群系统通常配备有安全防护系统，以对异常访问行为进行实时检测和实施防护，虽然安全防护系统能够对一些异常访问行为进行有效识别，但由于安全防护系统的实时检测通常对时效性要求较高，难以对大量访问数据进行关联性分析，仍然会存在漏检的异常访问行为。因此，通过对历史访问数据进行分析，以识别异常访问行为，为后续的安全防护提供依据显得十分必要。

发明内容

有鉴于现有技术中存在的上述问题，本申请提供了一种异常访问行为检测方法、装置及电子设备，本申请实施例采用的技术方案如下：

一种异常访问行为检测方法，包括：

从获取的历史访问请求中提取时间标识和属性信息，并基于所述时间标识和所述属性信息，构建能够唯一标识所述历史访问请求所对应的访问行为的访问信息；

基于所述时间标识对所述访问信息进行排序，以形成第一序列；

通过滑动时间窗口从所述第一序列中截取包含多个访问信息的第一片段；

对所述第一片段中多个所述访问信息的属性信息进行分析，以识别多个所述访问信息所标识的访问行为中的同类访问行为，并确定同类访问行为的数量；

在所述同类访问行为的数量大于第一阈值的情况下，确定所述同类访问行为为异常访问行为。

在一些实施例中，所述属性信息至少包括源IP地址；所述对所述第一片段中多个所述访问信息的属性信息进行分析，以识别多个所述访问信息所标识的访问行为中的同类访问行为，包括：

对所述第一片段中多个所述访问信息的属性信息进行分析，以识别所述源IP地址相同的同类访问行为，并确定所述同类访问行为的数量。

在一些实施例中，所述对所述第一片段中多个所述访问信息的属性信息进行分析，以识别所述源IP地址相同的同类访问行为，包括：

识别源IP地址相同且所述属性信息包含用户名和密码的访问信息，并将该类访问信息所标识的访问行为确定为同类访问行为。

在一些实施例中，所述对所述第一片段中多个所述访问信息的属性信息进行分析，以识别多个所述访问信息所标识的访问行为中的同类访问行为，并确定同类访问行为的数量，包括：

对所述第一片段中的多个所述访问信息进行聚类分析，以获取至少一个聚类簇；

将位于同一所述聚类簇中所述访问信息所标识的访问行为，确定为同类访问行为，并确定所述聚类簇中所述访问信息的数量。

在一些实施例中，所述通过滑动时间窗口从所述第一序列中截取包含多个访问信息的第一片段，包括：

通过所述滑动时间窗口按照预设的滑动步长从所述第一序列中循环截取所述第一片段；其中，所述滑动步长小于所述滑动时间窗口的窗口时长。

在一些实施例中，所述方法还包括：

获取用于标识所述异常访问行为的所述访问信息作为情报信息。