本發(fā)明公開了一種Web異常流量檢測方法、裝置、設備及介質(zhì)。該方法的步驟包括：獲取特征模型；利用特征模型計算待測協(xié)議請求與Web正常流量的協(xié)議請求之間的特征偏差值；當特征偏差值大于預設閾值時，將待測協(xié)議請求對應的Web流量標記為Web異常流量。本方法能夠根據(jù)正常協(xié)議請求具有的特征對待測協(xié)議請求進行相似性的判定，以此判斷待測協(xié)議請求趨近于正常協(xié)議請求的程度，無需預先對異常協(xié)議請求的具體格式進行具體限定，因此能夠用于檢測未知的異常協(xié)議請求，相對提高了檢測異常協(xié)議請求的靈活性，進而確保證了檢測Web異常流量時的準確性。此外，本申請還提供一種Web異常流量檢測裝置、設備及介質(zhì)，有益效果同上所述。

技術(shù)領域

本申請涉及網(wǎng)絡安全領域，特別是涉及一種Web異常流量檢測方法、裝置、設備及介質(zhì)。

背景技術(shù)

Web異常流量是相對于Web正常流量而言的，Web正常流量是指用戶通過瀏覽器或其他Web客戶端根據(jù)正常訪問需求訪問Web服務器的過程所產(chǎn)生的流量；而Web異常流量是指對Web服務器進行非正常訪問的過程所產(chǎn)生的流量，且異常的流量往往是由于Web服務器接收到異常協(xié)議請求，并根據(jù)異常協(xié)議請求提供相應的響應數(shù)據(jù)而產(chǎn)生的。

協(xié)議請求存在異常可能是由于被頻繁的用于對某一域名的數(shù)據(jù)訪問，也可能是由于被預先注入異常參數(shù)代碼或參數(shù)內(nèi)容等原因，Web異常流量的產(chǎn)生通常意味著Web服務器正在受到異常的訪問，例如網(wǎng)站爬取、口令枚舉、漏洞利用、竊取信息等，可以造成網(wǎng)站服務器崩潰，數(shù)據(jù)庫數(shù)據(jù)泄露，用戶敏感信息泄露，甚至服務器被完全控制等結(jié)果。因此需要在Web流量中檢測出異常流量，以此避免異常流量對Web服務器的工作安全。

當前所采用的一種Web異常流量檢測方法，是根據(jù)正則表達式匹配Web流量所包含的協(xié)議請求的一系列特征，正則表達式表征異常協(xié)議請求所具有的相關特征，當協(xié)議請求與正則表達式相匹配，則說明該協(xié)議請求的Web流量異常。使用當前的方法，需要在每發(fā)現(xiàn)一種異常協(xié)議請求的特征型式時，編寫一條與該異常協(xié)議請求的格式相匹配的正則表達式，但是由于異常協(xié)議請求的格式多種多樣，且正則表達式僅能夠匹配已知的異常協(xié)議請求的格式，因此通過正則表達式的方式難以完整涵蓋全部的異常協(xié)議請求，進而難以保證檢測Web異常流量時的準確性。

由此可見，提供一種Web異常流量檢測方法，以相對提高檢測Web異常流量時的準確性，是本領域技術(shù)人員需要解決的問題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種Web異常流量檢測方法、裝置、設備及介質(zhì)，以相對提高檢測Web異常流量時的準確性。

為解決上述技術(shù)問題，本發(fā)明提供一種Web異常流量檢測方法，包括：

獲取特征模型；

利用特征模型計算待測協(xié)議請求與Web正常流量的協(xié)議請求之間的特征偏差值；

當特征偏差值大于預設閾值時，將待測協(xié)議請求對應的Web流量標記為Web異常流量。

優(yōu)選的，獲取特征模型包括：

獲取Web正常流量的協(xié)議請求樣本的樣本特征；

對樣本特征進行提取，生成特征模型。

優(yōu)選的，協(xié)議請求樣本的樣本特征至少包括協(xié)議請求樣本的參數(shù)值字符長度、協(xié)議請求樣本的參數(shù)值中各類字符出現(xiàn)頻率、協(xié)議請求樣本的參數(shù)完整性、協(xié)議請求樣本的各樣本參數(shù)間的相對位置關系以及協(xié)議請求樣本受單一IP地址發(fā)起的頻率中的至少一中類型的特征。

優(yōu)選的，當協(xié)議請求樣本的樣本特征包括協(xié)議請求樣本的參數(shù)值字符長度，和/或協(xié)議請求樣本的參數(shù)值中各類字符出現(xiàn)頻率，和/或協(xié)議請求樣本受單一IP地址發(fā)起的頻率時，對樣本特征進行提取，生成特征模型，包括：