预览加载中,请您耐心等待几秒...
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共15页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113949527A(43)申请公布日2022.01.18(21)申请号202111045826.6(22)申请日2021.09.07(71)申请人中云网安科技有限公司地址100022北京市朝阳区建国门外大街甲6号1幢6层D座7层705(内1)(72)发明人王秀贤(74)专利代理机构北京中强智尚知识产权代理有限公司11448代理人吕梦雪(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书10页附图2页(54)发明名称异常访问的检测方法、装置、电子设备及可读存储介质(57)摘要本申请公开了一种异常访问的检测方法、装置、电子设备及可读存储介质,其方法包括:获取目标应用的训练用数据流量;对所述训练用数据流量进行特征提取,得到流量数据特征;基于监督学习与无监督学习的结合,对所述流量数据特征进行特征转换,以学习所述目标应用的底层逻辑、访问逻辑和业务逻辑,得到所述目标应用的安全防护模型;基于所述安全防护模型,对目标应用的异常访问进行识别。本申请基于人工智能方法,能够高效、准确的对攻击行为进行智能识别,尤其是对0‑day漏洞的攻击行为;显著提高了互联网应用系统的安全性,适用性广,准确度高。CN113949527ACN113949527A权利要求书1/2页1.一种异常访问的检测方法,其特征在于,由安全服务器执行,所述方法包括:获取目标应用的训练用数据流量;对所述训练用数据流量进行特征提取,得到流量数据特征;基于监督学习与无监督学习的结合,对所述流量数据特征进行特征转换,以学习所述目标应用的底层逻辑、访问逻辑和业务逻辑,得到所述目标应用的安全防护模型;基于所述安全防护模型,对目标应用的异常访问进行检测。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:对识别出的异常访问,按照源、目的、攻击类型、概念验证内容进行分类和汇总,形成攻击情报文件。3.根据权利要求1所述的方法,其特征在于,所述获取目标应用的训练用数据流量包括:在用户终端提供安全应用程序;将基于目标协议的,对目标应用的访问流量引入所述安全应用程序;通过所述安全应用程序获取对目标应用的访问流量;对所述访问流量进行参数化处理及分析,以得到对目标应用的正常访问流量和风险访问流量;将所述正常访问流量和风险访问流量作为所述训练用数据流量。4.根据权利要求1所述的方法,其特征在于,所述训练用数据流量为基于http或https协议的应用请求和应用响应;所述对所述训练用数据流量进行特征提取,得到流量数据特征包括:分别获取所述应用请求和所述应用响应的包头参数和参数值、时间、事件分类、上下文信息、源以及目的,作为所述流量数据特征。5.根据权利要求1所述的方法,其特征在于,所述基于监督学习与无监督学习的结合,对所述流量数据特征进行特征转换,以学习所述目标应用的底层逻辑、访问逻辑和业务逻辑,得到所述目标应用的安全防护模型包括:基于无监督学习方法,对所述流量数据特征进行升维,对升维后的数据建立关联,得到表征目标应用的底层逻辑、访问逻辑和业务逻辑的第一高维度数据,将所述第一高维度数据投影为第一低维度数据,以建立安全防护初级模型;基于监督学习方法,对所述训练用数据流量进行分类学习,将表征所述训练用数据流量的流量数据特征的第二高维度数据,投影为第二低维度数据,根据所述第二低维度数据对所述安全防护初级模型的参数进行优化,得到安全防护模型。6.根据权利要求5所述的方法,其特征在于,所述对升维后的数据建立关联,得到表征目标应用的底层逻辑、访问逻辑和业务逻辑的第一高维度数据包括:使用矩阵表示所述升维后的数据在不同维度的关联性,得到目标应用的底层逻辑,所述底层逻辑包括目标应用的基本架构、目录结构和资源;确定所述训练用数据流量与所述目录结构的关联性,得到目标应用的业务逻辑;确定不同来源的训练用数据流量基于所述业务逻辑的关联性,得到目标应用的访问逻辑;将表征目标应用的底层逻辑、访问逻辑和业务逻辑的数据作为第一高维度数据。2CN113949527A权利要求书2/2页7.根据权利要求1所述的方法,其特征在于,所述基于所述安全防护模型,对目标应用的异常访问进行检测包括:将对目标应用的访问输入所述安全防护模型,以使所述安全防护模型对目所述访问的底层逻辑、访问逻辑和业务逻辑进行识别,从而实现对异常访问的检测。8.一种异常访问的检测装置,应用于安全服务器,其特征在于,所述装置包括:获取单元,用于获取目标应用的训练用数据流量;特征提取单元,用于对所述训练用数据流量进行特征提取,得到流量数据特征;模型训练单元,用于基于监督学习与无监督学习的结合,对所述流量数据特征进行特征转换,以学习所述目标应用的底层逻辑、访问逻辑和业务逻辑,得到所述目标应