本申請涉及一種異常流量檢測的方法、裝置、電子設備及可讀存儲介質，涉及網絡安全技術領域。該方法包括：獲取基于Web日志構建的知識圖譜，基于知識圖譜獲取實體和實體之間的關系以及各個實體分別對應的屬性信息，實體和實體之間的關系包括：IP實體和URI實體之間的關系，各個實體分別對應的屬性信息包括：IP實體的屬性信息和URI實體的屬性信息，基于實體和實體之間的關系以及各個實體分別對應的屬性信息確定Web日志數據特征集合，對Web日志數據特征集合進行異常流量檢測。本申請提供的異常流量檢測的方法、裝置、電子設備及可讀存儲介質可以通過多方面的數據特征進行異常檢測，進而降低發現異常行為的難度。

技術領域

本申請涉及網絡安全技術領域，尤其是涉及一種異常流量檢測的方法、裝置、電子設備及可讀存儲介質。

背景技術

目前隨著互聯網技術的快速發展，Web應用在信息化服務中的基礎性作用日益增強，針對Web應用的網絡安全攻擊是攻擊團伙常用且主要的威脅手段，惡意的網頁訪問請求將與正常用戶的訪問流量共同被記錄在Web日志中，因此針對Web日志的異常流量檢測方法，是保障企業信息安全的重要手段，成為維護企業安全的重要組成部分，在實際的異常流量檢測中，通過將Web日志的字段解析為表格型數據，該數據包括Web日志的字段內容，基于Web日志字段的內容獲取數據特征，對數據特征進行異常流量檢測。

發明人在研究過程中發現：僅對Web日志字段的內容進行解析，從而導致用于異常檢測的數據特征不全面，進而導致難以發現Web日志的異常。

發明內容

本申請目的是提供一種異常流量檢測的方法、裝置、電子設備及可讀存儲介質，用于解決以上至少一項技術問題。

本申請的上述發明目的是通過以下技術方案得以實現的：

第一方面，提供了一種異常流量檢測的方法，該方法包括：

獲取基于Web日志構建的知識圖譜；

基于所述知識圖譜獲取實體和實體之間的關系以及各個實體分別對應的屬性信息，所述實體和實體之間的關系包括：IP實體和URI實體之間的關系，所述各個實體分別對應的屬性信息包括：IP實體的屬性信息和URI實體的屬性信息；

基于所述實體和實體之間的關系以及所述各個實體分別對應的屬性信息確定Web日志數據特征集合；

對所述Web日志數據特征集合進行異常流量檢測。

在一種可能的實現方式中，所述各個實體分別對應的屬性信息還包括：URI抽象實體的屬性信息、服務實體的屬性信息以及服務器實體的屬性信息；

所述基于所述實體和實體之間的關系以及所述各個實體分別對應的屬性信息確定Web日志數據特征集合，包括：

基于所述IP實體的屬性信息、所述URI實體的屬性信息、所述URI抽象實體的屬性信息、所述服務實體的屬性信息、所述服務器實體的屬性信息以及所述各實體與實體之間的關系，計算節點中心度特征以及URI網頁排名特征，所述節點中心度特征包括：IP節點的度中心性、URI抽象節點的度中心性、服務節點的度中心性以及服務器節點的緊密中心性中的至少一項，所述URI網頁排名特征用于表征各個URI網頁被訪問的次數；

基于所述IP實體的屬性信息、所述URI實體的屬性信息、所述URI抽象實體的屬性信息以及所述各實體與實體之間的關系進行向量化處理，得到向量化處理后的信息；

基于所述節點中心度特征、所述URI網頁排名特征以及所述向量化處理后的信息，確定所述Web日志數據特征集合。

在另一種可能的實現方式中，所述向量化處理后的信息包括：URI類型特征、IP特征、狀態碼特征、請求類型特征、協議特征、每個IP單位時間HTTP請求數特征、每個IP單位時間請求類型特征、每個IP單位時間請求的URI類型特征和URI抽象特征中的至少一項；