[发明专利]异常访问行为的检测方法、装置、存储介质以及电子设备

说明书

本申请公开了一种异常访问行为的检测方法、装置、存储介质以及电子设备。该方法包括：在网络服务器中获取多个访问日志，并获取每个访问日志中的访问路径和访问路径的路径引用来源；根据各个访问路径和路径引用来源生成网络服务器的访问路径的有向图；按照每个节点的节点连接数量从有向图中选取候选节点，得到多个候选节点，并根据各个候选节点的节点信息生成目标矩阵；通过目标矩阵从多个候选节点中确定异常节点，并将异常节点对应的访问路径确定为异常访问路径，将异常访问路径对应的访问行为确定为异常访问行为。通过本申请，解决了相关技术中通过代码文件的注释信息对访问行为进行检测的准确度低的问题。

技术领域

本申请涉及网络安全领域，具体而言，涉及一种异常访问行为的检测方法、装置、存储介质以及电子设备。

背景技术

Webshell(网页脚本)是一种类似于shell(脚本)的接口，可以通过使用webshell远程访问web(网络)服务器，可以向web服务器发起网络攻击，从而控制web服务器。为了实现与web服务器的连接并进行攻击，攻击端可以使用web服务器支持的任何编程语言对webshell进行编程，然后控制端通过访问特定url地址获取web服务器的相关权限，最终达成攻击目的。

为了防止web服务器被webshell攻击，需要对webshell进行检测，从而在检测到webshell后及时的进行防御。对于webshell的检测通常有两个阶段，第一阶段是webshell后门代码上传阶段；第二阶段是webshell后门利用阶段。在两个不同的阶段中因为控制端的行为方式和行为目标的不同，导致对应的检测方法也存在不同。

在第二阶段的后门应用阶段中，通常使用的webshell访问的检测的技术方法为通过注释信息提取模块获取代码文件的注释信息，并将其与“注释信息特征库”进行匹配，获取权限值，通过判断权限值是否超过预设阈值，来判断某一访问是否为webshell访问。

但是，现有技术中在对访问是否为webshell访问进行检测的时候，依赖于代码的注释信息，比较容易绕过，并且容易对注释信息进行伪造，进一步的，仅通过将权限值直接阈值比较的方法容易产生检测误报，使得正常访问被误判为webshell访问，从而影响正常访问的操作。

针对相关技术中通过代码文件的注释信息对访问行为进行检测的准确度低的问题，目前尚未提出有效的解决方案。

发明内容

本申请提供一种异常访问行为的检测方法、装置、存储介质以及电子设备，以解决相关技术中通过代码文件的注释信息对访问行为进行检测的准确度低的问题。

根据本申请的一个方面，提供了一种异常访问行为的检测方法。该方法包括：在网络服务器中获取多个访问日志，并获取每个访问日志中的访问路径和访问路径的至少一个路径引用来源，其中，每个访问日志中至少包括以下之一：访问路径、路径引用来源以及访问者IP；根据各个访问路径和每个访问路径的路径引用来源生成网络服务器的访问路径的有向图，其中，有向图中包括多个节点，每个节点表征一个访问路径；按照每个节点的节点连接数量从有向图中选取候选节点，得到多个候选节点，并根据各个候选节点的节点信息生成目标矩阵，其中，节点信息包括：节点对应的访问路径、访问路径的访问者IP，以及每个访问者IP的访问次数；通过目标矩阵从多个候选节点中确定异常节点，并将异常节点对应的访问路径确定为异常访问路径，将异常访问路径对应的访问行为确定为异常访问行为。

可选地，根据各个访问路径和每个访问路径的路径引用来源生成网络服务器的访问路径的有向图包括：生成每个访问路径的节点，以及每个路径引用来源的节点，得到多个节点；将多个节点根据引用关系进行连接，得到访问路径的有向图，其中，引用关系为访问路径与路径引用来源之间的引用关系。