本申請?zhí)峁┑囊环N異常訪問行為的檢測方法、裝置、電子設備及存儲介質(zhì)，應用于網(wǎng)絡安全技術(shù)領域，所述方法包括:查詢目標檢測網(wǎng)絡中各頁面的訪問記錄，獲取訪問源數(shù)量小于訪問源數(shù)量閾值的異常訪問頁面；獲取訪問過所述異常訪問頁面的異常訪問IP；在所述異常訪問IP只訪問過所述異常訪問頁面時，將所述異常訪問IP對于所述異常訪問頁面的訪問行為作為異常訪問行為。本方案通過首先將訪問源數(shù)量較小的頁面作為異常訪問頁面，然后將只訪問過該異常訪問頁面的異常訪問IP對于該異常訪問頁面的訪問行為作為異常訪問行為，依據(jù)攻擊者只會訪問Webshell頁面的特征進行異常行為檢測，無需提前獲取Webshell頁面，提高了對于Webshell頁面的異常訪問行為的檢測的準確性。

技術(shù)領域

本申請屬于網(wǎng)絡安全技術(shù)領域，特別是涉及一種異常訪問行為的檢測方法、裝置、電子設備及存儲介質(zhì)。

背景技術(shù)

Webshell腳本是一種以動態(tài)服務器頁面、超文本預處理器和Java服務器頁面等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也就是一種網(wǎng)頁后門。黑客可以通過Webshell腳本入侵網(wǎng)站或非法上傳木馬等惡意代碼到頁面文件中，以達到控制網(wǎng)站服務器的目的。因此如何識別Webshell腳本是網(wǎng)絡安全領域的重要研究方向。

現(xiàn)有對Webshell惡意腳本進行識別的方式通常對網(wǎng)頁文件生成哈希簽名，然后實時或定時對網(wǎng)頁文件進行檢測，一旦出現(xiàn)新增網(wǎng)頁文件不再哈希簽名列表中，便將該新增網(wǎng)頁文件視為Webshell腳本上傳的惡意文件。

這種方式對于網(wǎng)頁文件的哈希簽名的實時性要求較高，如果出現(xiàn)某些暫未生成哈希簽名的文件就會發(fā)生誤報的情況，降低了Webshell惡意腳本識別的準確性。

發(fā)明內(nèi)容

有鑒于此，本申請實施例提出一種異常訪問行為的檢測方法、裝置、電子設備及存儲介質(zhì)，用于解決現(xiàn)有Webshell惡意腳本檢測方式對于網(wǎng)頁文件的哈希簽名的實時性要求較高，如果出現(xiàn)某些暫未生成哈希簽名的文件就會發(fā)生誤報的情況，降低了Webshell惡意腳本識別的準確性的問題。

本申請第一方面提供一種異常訪問行為的檢測方法，所述方法包括：

查詢目標檢測網(wǎng)絡中各頁面的訪問記錄，獲取訪問源數(shù)量小于訪問源數(shù)量閾值的異常訪問頁面；

獲取訪問過所述異常訪問頁面的異常訪問IP；

在所述異常訪問IP只訪問過所述異常訪問頁面時，將所述異常訪問IP對于所述異常訪問頁面的訪問行為作為異常訪問行為。

可選地，所述查詢目標檢測網(wǎng)絡中各頁面的訪問記錄，獲取訪問源數(shù)量小于訪問源數(shù)量閾值的異常訪問頁面，包括：

查詢目標檢測網(wǎng)絡中各頁面的訪問記錄，獲取訪問源數(shù)量小于訪問源數(shù)量閾值的可疑訪問頁面；

可疑訪問頁面中的目標可疑訪問頁面作為異常訪問頁面，所述目標可疑訪問頁面是所述被訪問記錄未涉及除所述可疑訪問頁面以外的頁面的可疑訪問頁面。

可選地，在所述可疑訪問頁面中的目標可疑訪問頁面作為異常訪問頁面之前，所述方法還包括：

獲取所述可疑訪問頁面的訪問請求的目標請求頭字段；

在所述目標請求頭字段不包含有除所述可疑訪問頁面以外的訪問聯(lián)時，將所述可疑訪問頁面作為目標可疑訪問頁面。

可選地，在所述在所述異常訪問IP只訪問過所述異常訪問頁面時，將所述異常訪問IP對于所述異常訪問頁面的訪問行為作為異常訪問行為之后，所述方法還包括：

根據(jù)所述異常訪問IP的訪問記錄對所述異常訪問頁面進行更新。

可選地，在所述查詢各頁面的訪問記錄，獲取訪問源數(shù)量小于訪問源數(shù)量閾值的異常訪問頁面之前，還包括：

獲取目標檢測網(wǎng)絡的鏡像流量數(shù)據(jù)；