(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115129678A(43)申请公布日2022.09.30(21)申请号202110318801.2(22)申请日2021.03.25(71)申请人北京沃东天骏信息技术有限公司地址100176北京市北京经济技术开发区科创十一街18号院2号楼4层A402室(72)发明人张帅赫阳包勇军颜伟鹏(74)专利代理机构中原信达知识产权代理有限责任公司11219专利代理师杨倩张效荣(51)Int.Cl.G06F16/18(2019.01)G06F16/901(2019.01)G06Q30/02(2012.01)权利要求书3页说明书15页附图9页(54)发明名称一种异常访问检测方法和装置(57)摘要本发明公开了一种异常访问检测方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：获取设定周期内的日志数据，其中，日志数据包括：多个执行主体、多个推广信息以及执行主体与所述推广信息之间的访问关系；根据多个执行主体、多个推广信息以及执行主体与推广信息之间的访问关系，为日志数据构建关系图，其中，关系图包括：多个执行主体的可疑度以及多个推广信息的可疑度；根据关系图包括的多个执行主体的可疑度以及多个推广信息的可疑度，查找关系图包含的平均可疑度最大的子关系图；解析子关系图，并根据解析的结果，确定存在异常访问的推广信息以及异常访问的执行主体。该实施方式可以保证异常访问检测的真实性以及准确性。CN115129678ACN115129678A权利要求书1/3页1.一种异常访问检测方法，其特征在于，包括：获取设定周期内的日志数据，其中，所述日志数据包括：多个执行主体、多个推广信息以及所述执行主体与所述推广信息之间的访问关系；根据多个所述执行主体、多个所述推广信息以及所述执行主体与所述推广信息之间的访问关系，为所述日志数据构建关系图，其中，所述关系图包括：多个所述执行主体的可疑度以及多个所述推广信息的可疑度；根据所述关系图包括的多个所述执行主体的可疑度以及多个所述推广信息的可疑度，查找所述关系图包含的平均可疑度最大的子关系图；解析所述子关系图，并根据解析的结果，确定存在异常访问的推广信息以及异常访问的执行主体。2.根据权利要求1所述的异常访问检测方法，其特征在于，为所述日志数据构建关系图，包括：将多个所述执行主体以及多个所述推广信息转换为关系图中对应的主体节点和信息节点；根据所述执行主体与所述推广信息之间的访问关系，构建所述关系图中各个所述主体节点和所述信息节点之间的连接关系；根据各个所述主体节点和所述信息节点之间的连接关系，计算所述执行主体的可疑度和所述推广信息的可疑度。3.根据权利要求2所述的异常访问检测方法，其特征在于，构建所述关系图中各个所述主体节点和所述信息节点之间的连接关系，包括：构建所述关系图中各个所述主体节点和所述信息节点之间的连接边，并计算所述连接边的初始权重，其中，所述主体节点、所述信息节点、所述主体节点和所述信息节点之间的连接边和所述连接边的初始权重构成所述连接关系。4.根据权利要求3所述的异常访问检测方法，其特征在于，计算所述连接边的初始权重，包括：针对每一个所述推广信息对应的信息节点，执行：统计所述信息节点所连接的主体节点的数量；根据统计的结果，计算所述信息节点所对应的连接边的初始权重。5.根据权利要求3或4所述的异常访问检测方法，其特征在于，计算所述执行主体的可疑度和所述推广信息的可疑度，包括：根据所述主体节点连接的所有连接边的初始权重，计算所述主体节点对应的执行主体的可疑度；根据所述信息节点连接的所有连接边的初始权重，计算所述信息节点对应的推广信息的可疑度。6.根据权利要求1所述的异常访问检测方法，其特征在于，查找所述关系图包含的平均可疑度最大的子关系图，包括：循环执行下述步骤N1和N2，直至满足循环停止条件：N1：确定所述关系图的平均可疑度，并删除所述关系图中可疑度最小的节点，其中，可疑度最小的节点为信息节点或者主体节点；2CN115129678A权利要求书2/3页N2：重新计算删除可疑度最小的节点后的平均可疑度以及各个所述节点的可疑度，并将删除可疑度最小的节点后的子关系图作为关系图；从循环得到的各个所述子关系图的平均可疑度中，查找平均可疑度最大的子关系图。7.根据权利要求6所述的异常访问检测方法，其特征在于，确定所述关系图的平均可疑度，包括：根据所述关系图包括的各个节点的可疑度以及所述子关系图包括的节点个数，计算所述子关系图的平均可疑度。8.根据权利要求6所述的异常访问检测方法，其特征在于，重新计算删除可疑度最小的节点后的平均可疑度，包括：根据删除的可疑度最小的节点的可疑度、所述关系图的平均可疑度以及删除可疑度最小的节点后的子关系图包括的节点个数，计算所述子关系图的