-
公开(公告)号:CN105072089B
公开(公告)日:2018-09-25
申请号:CN201510404406.0
申请日:2015-07-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种WEB恶意扫描行为异常检测方法与系统。本方法为:1)从访问历史记录中提取访问用户的关键词特征与统计特征,构建用户的关键词向量和统计特征向量;2)遍历用户的关键词向量,统计每一关键词对应的用户数量,构建全局关键词表;3)根据全局关键词表计算每个关键词的生僻度,根据生僻度计算访问用户的原始异常分值,然后根据该访问用户的统计特征向量,修正原始异常分值,得到该用户的最终异常分值;4)对所有访问用户的最终异常分值序列的突变点,将其对应的最终异常分值作为阈值;5)将访问用户的最终异常分值与该阈值进行比较,如果大于该阈值,则为恶意扫描用户。本发明能发现未知的攻击行为,且不依赖于正常历史数据。
-
公开(公告)号:CN105072089A
公开(公告)日:2015-11-18
申请号:CN201510404406.0
申请日:2015-07-10
Applicant: 中国科学院信息工程研究所
CPC classification number: H04L63/1425 , H04L67/02
Abstract: 本发明公开了一种WEB恶意扫描行为异常检测方法与系统。本方法为:1)从访问历史记录中提取访问用户的关键词特征与统计特征,构建用户的关键词向量和统计特征向量;2)遍历用户的关键词向量,统计每一关键词对应的用户数量,构建全局关键词表;3)根据全局关键词表计算每个关键词的生僻度,根据生僻度计算访问用户的原始异常分值,然后根据该访问用户的统计特征向量,修正原始异常分值,得到该用户的最终异常分值;4)对所有访问用户的最终异常分值序列的突变点,将其对应的最终异常分值作为阈值;5)将访问用户的最终异常分值与该阈值进行比较,如果大于该阈值,则为恶意扫描用户。本发明能发现未知的攻击行为,且不依赖于正常历史数据。
-
Search Results
2
records
(took 0.032 seconds)
