本申請實施例公開了一種數據異常檢測方法、裝置及終端設備，所述方法包括：獲取用戶訪問目標服務器的目標數據，根據所述目標數據，確定所述用戶所訪問的第一資源序列信息，獲取所述第一資源序列信息中包含的第一點擊事件，并對每個所述第一點擊事件進行分類，得到每個所述第一點擊事件所屬的事件類型，根據得到的所述事件類型構建的馬爾科夫鏈和預先訓練的馬爾可夫轉移矩陣，確定所述馬爾科夫鏈中每相鄰兩個狀態之間的第一轉移概率，基于所述馬爾科夫鏈中每相鄰兩個狀態之間的第一轉移概率，確定對所述目標服務器的訪問是否出現異常。通過本方法，可以從全局和局部的角度進行異常檢測，提高檢測的準確性。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種數據異常檢測方法、裝置及終端設備。

背景技術

隨著互聯網技術和應用的飛速發展，Web應用已經成為人們生活工作所使用的主流應用。Web應用給人們帶來了較大的便利，但同時也成為黑客主要的攻擊目標。

常見的針對Web應用的異常檢測方法主要有兩種，都是對Web日志進行分析，從中獲取網站訪問用戶的訪問行為。其中，第一種是基于規則將用戶的訪問行為與典型攻擊訪問進行匹配和檢測，如基于SQL(StructuredQuery?Language，結構化查詢語言)注入、跨站腳本攻擊(XSS，CrossSiteScripting)、緩沖區溢出等進行匹配和檢測，第二種是針對存在異常訪問的用戶訪問行為與建立的正常行為模式進行匹配和檢測等。

但是，針對已知類型的攻擊檢測，僅能發現攻擊行為中包含的與已知類型的攻擊相匹配的部分攻擊行為，無法進行全局性的解析，同時，針對異常訪問行為的檢測方法無法對用戶訪問行為中單個URL的特征進行檢測，而且需建立正常行為的模式庫，成本較高，異常檢測的準確性較低。

發明內容

本申請實施例提供的一種數據異常檢測方法，所述方法包括：

獲取用戶訪問目標服務器的目標數據；

根據所述目標數據，確定所述用戶所訪問的第一資源序列信息；

獲取所述第一資源序列信息中包含的第一點擊事件，并對每個所述第一點擊事件進行分類，得到每個所述第一點擊事件所屬的事件類型；

根據得到的所述事件類型構建的馬爾科夫鏈和預先訓練的馬爾可夫轉移矩陣，確定所述馬爾科夫鏈中每相鄰兩個狀態之間的第一轉移概率；

基于所述馬爾科夫鏈中每相鄰兩個狀態之間的第一轉移概率，確定對所述目標服務器的訪問是否出現異常。

可選地，在所述獲取用戶訪問目標服務器的目標數據之前，所述方法還包括：

獲取用戶訪問所述目標服務器的樣本數據；

根據所述樣本數據，確定所述用戶所訪問的第二資源序列信息；

獲取所述第二資源序列信息中包含的第二點擊事件，并對每個所述第二點擊事件進行分類，得到每個所述第二點擊事件所屬的點擊事件類；

獲取所述點擊事件類之間的第二轉移概率；

由所述點擊事件類之間的第二轉移概率構建所述預先訓練的馬爾科夫轉移矩陣；

其中，所述點擊事件類的個數小于或等于所述第二資源序列信息的個數。

可選地，所述第二點擊事件包含一個或多個URI，所述對每個所述第二點擊事件進行分類，得到每個所述第二點擊事件所屬的點擊事件類，包括：

根據預設轉換規則，對每個所述第二點擊事件包含的URI進行轉換，得到轉換值；

基于所述轉換值，計算每兩個所述第二點擊事件之間的相似度；