(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113949527A(43)申请公布日2022.01.18(21)申请号202111045826.6(22)申请日2021.09.07(71)申请人中云网安科技有限公司地址100022北京市朝阳区建国门外大街甲6号1幢6层D座7层705(内1)(72)发明人王秀贤(74)专利代理机构北京中强智尚知识产权代理有限公司11448代理人吕梦雪(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书10页附图2页(54)发明名称异常访问的检测方法、装置、电子设备及可读存储介质(57)摘要本申请公开了一种异常访问的检测方法、装置、电子设备及可读存储介质，其方法包括：获取目标应用的训练用数据流量；对所述训练用数据流量进行特征提取，得到流量数据特征；基于监督学习与无监督学习的结合，对所述流量数据特征进行特征转换，以学习所述目标应用的底层逻辑、访问逻辑和业务逻辑，得到所述目标应用的安全防护模型；基于所述安全防护模型，对目标应用的异常访问进行识别。本申请基于人工智能方法，能够高效、准确的对攻击行为进行智能识别，尤其是对0‑day漏洞的攻击行为；显著提高了互联网应用系统的安全性，适用性广，准确度高。CN113949527ACN113949527A权利要求书1/2页1.一种异常访问的检测方法，其特征在于，由安全服务器执行，所述方法包括：获取目标应用的训练用数据流量；对所述训练用数据流量进行特征提取，得到流量数据特征；基于监督学习与无监督学习的结合，对所述流量数据特征进行特征转换，以学习所述目标应用的底层逻辑、访问逻辑和业务逻辑，得到所述目标应用的安全防护模型；基于所述安全防护模型，对目标应用的异常访问进行检测。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：对识别出的异常访问，按照源、目的、攻击类型、概念验证内容进行分类和汇总，形成攻击情报文件。3.根据权利要求1所述的方法，其特征在于，所述获取目标应用的训练用数据流量包括：在用户终端提供安全应用程序；将基于目标协议的，对目标应用的访问流量引入所述安全应用程序；通过所述安全应用程序获取对目标应用的访问流量；对所述访问流量进行参数化处理及分析，以得到对目标应用的正常访问流量和风险访问流量；将所述正常访问流量和风险访问流量作为所述训练用数据流量。4.根据权利要求1所述的方法，其特征在于，所述训练用数据流量为基于http或https协议的应用请求和应用响应；所述对所述训练用数据流量进行特征提取，得到流量数据特征包括：分别获取所述应用请求和所述应用响应的包头参数和参数值、时间、事件分类、上下文信息、源以及目的，作为所述流量数据特征。5.根据权利要求1所述的方法，其特征在于，所述基于监督学习与无监督学习的结合，对所述流量数据特征进行特征转换，以学习所述目标应用的底层逻辑、访问逻辑和业务逻辑，得到所述目标应用的安全防护模型包括：基于无监督学习方法，对所述流量数据特征进行升维，对升维后的数据建立关联，得到表征目标应用的底层逻辑、访问逻辑和业务逻辑的第一高维度数据，将所述第一高维度数据投影为第一低维度数据，以建立安全防护初级模型；基于监督学习方法，对所述训练用数据流量进行分类学习，将表征所述训练用数据流量的流量数据特征的第二高维度数据，投影为第二低维度数据，根据所述第二低维度数据对所述安全防护初级模型的参数进行优化，得到安全防护模型。6.根据权利要求5所述的方法，其特征在于，所述对升维后的数据建立关联，得到表征目标应用的底层逻辑、访问逻辑和业务逻辑的第一高维度数据包括：使用矩阵表示所述升维后的数据在不同维度的关联性，得到目标应用的底层逻辑，所述底层逻辑包括目标应用的基本架构、目录结构和资源；确定所述训练用数据流量与所述目录结构的关联性，得到目标应用的业务逻辑；确定不同来源的训练用数据流量基于所述业务逻辑的关联性，得到目标应用的访问逻辑；将表征目标应用的底层逻辑、访问逻辑和业务逻辑的数据作为第一高维度数据。2CN113949527A权利要求书2/2页7.根据权利要求1所述的方法，其特征在于，所述基于所述安全防护模型，对目标应用的异常访问进行检测包括：将对目标应用的访问输入所述安全防护模型，以使所述安全防护模型对目所述访问的底层逻辑、访问逻辑和业务逻辑进行识别，从而实现对异常访问的检测。8.一种异常访问的检测装置，应用于安全服务器，其特征在于，所述装置包括：获取单元，用于获取目标应用的训练用数据流量；特征提取单元，用于对所述训练用数据流量进行特征提取，得到流量数据特征；模型训练单元，用于基于监督学习与无监督学习的结合，对所述流量数据特征进行特征转换，以学习所述目标应用的底层逻辑、访问逻辑和业务逻辑，得到所述目标应