(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211065719.4 (22)申请日 2022.09.01 (71)申请人 山石网科通信技 术股份有限公司 地址 215163 江苏省苏州市高新区景润路 181号 (72)发明人 申勇　齐特　韦云川　万朝华　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 黄海英 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/955(2019.01) G06F 16/957(2019.01) (54)发明名称 异常访问行为的检测方法、 装置、 存储介质 以及电子设备 (57)摘要 本申请公开了一种异常访问行为的检测方 法、 装置、 存储介质以及电子设备。 该方法包括： 在网络服务器中获取多个访问日志， 并获取每个 访问日志中的访问路径和访问路径的路径引用 来源； 根据各个访问路径和路径引用来源生成网 络服务器的访问路径的有向图； 按照每个节点的 节点连接 数量从有向图中选取候选节 点， 得到多 个候选节 点， 并根据各个候选节 点的节点信息生 成目标矩阵； 通过目标矩阵从多个候选节点中确 定异常节 点， 并将异常节点对应的访问路径确定 为异常访问路径， 将异常访问路径对应的访问行 为确定为异常访问行为。 通过本申请， 解决了相 关技术中通过代码文件的注释信息对访问行为 进行检测的准确度低的问题。 权利要求书3页 说明书16页 附图3页 CN 115459981 A 2022.12.09 CN 115459981 A 1.一种异常访问行为的检测方法， 其特 征在于， 包括： 在网络服务器 中获取多个访问日志， 并获取每个访问日志中的访问路径和所述访问路 径的至少一个路径引用来源， 其中， 每个所述访问日志中至少包括以下之一： 访问路径、 路 径引用来源以及 访问者IP； 根据各个访问路径和每个所述访问路径的路径引用来源生成所述网络服务器的访问 路径的有向图， 其中， 所述有向图中包括多个节点， 每 个所述节点表征一个所述访问路径； 按照每个节点的节点连接数量从所述有向图中选取候选节点， 得到多个候选节点， 并 根据各个候选节点的节点信息生成目标矩阵， 其中， 所述节 点信息包括： 节点对应的访问路 径、 访问路径的访问者 IP， 以及每 个访问者 IP的访问次数； 通过所述目标矩阵从多个候选节点中确定异常节点， 并将所述异常节点对应的访问路 径确定为异常访问路径， 将所述异常访问路径对应的访问行为确定为异常访问行为。 2.根据权利要求1所述的方法， 其特征在于， 根据 各个访问路径和每个所述访问路径的 路径引用来源生成所述网络服 务器的访问路径的有向图包括： 生成每个所述访问路径的节点， 以及每 个所述路径引用来源的节点， 得到多个节点； 将所述多个节点根据引用关系 进行连接， 得到所述访问路径的有向图， 其中， 所述引用 关系为所述访问路径与所述路径引用来源之间的引用关系。 3.根据权利要求1所述的方法， 其特征在于， 按照每个节点的节点连接数量从所述有向 图中选取候选节点包括： 判断所述节点是否为孤立节点， 其中， 所述孤立节点表征所述节点在所述有向图中无 连接关系； 在所述节点 为所述孤立节点的情况 下， 将所述节点确定为所述 候选节点； 和/或 确定所述节点的父节点的数量， 并判断所述父节点的数量是否大于第一预设数量； 在所述父节点的数量大于所述第 一预设数量的情况下， 将所述节点确定为所述候选节 点。 4.根据权利要求1所述的方法， 其特征在于， 所述节点信 息还包括第 一访问次数和第 二 访问次数， 所述第一访问次数为所述候选节点的访问路径被查找访问的访问次数， 所述第 二访问次数为所述候选节点的访问路径被跳转访问的访问次数， 在根据各个候选节点的节 点信息生成目标矩阵之前， 所述方法还 包括： 判断每个所述候选节点对应的访问者 IP的数量是否大于第二预设数量； 在所述候选节点对应的访问者IP的数量大于所述第 二预设数量的情况下， 删除所述候 选节点， 得到更新后的多个候选节点， 并通过所述更新后的多个候选节点执行所述根据各 个所述候选节点的节点信息生成目标矩阵的步骤； 和/或 将所述候选节点的所述第 一访问次数与 所述第二访问次数相除， 得到所述候选节点的 初次访问率； 判断所述初次访问率是否小于等于访问率阈值； 在所述初次访 问率小于等于所述访 问率阈值的情况下， 删除所述候选节点， 得到更新 后的多个候选节点， 并通过所述更新后的多个候选节点执行所述根据各个候选节点的节点 信息生成目标矩阵的步骤。 5.根据权利要求1所述的方法， 其特征在于， 根据 各个候选节点的节点信 息生成目标矩权　利　要　求　书 1/3 页 2 CN 115459981 A 2阵包括： 以所述访问路径为列， 以所述访问者IP为行， 构建所述访问路径和所述访问者IP的表 格， 并将每个所述访问者IP访问每个所述访问路径的访问次数添加至所述表格中， 得到初 始关系矩阵； 获取所述初始关系矩阵的转置矩阵， 得到初始转置矩阵； 将所述初始转置矩阵和所述初始关系矩阵相乘， 得到度量矩阵； 将所述度量矩阵中的对角线元 素进行归一 化， 得到所述目标矩阵。 6.根据权利要求1所述的方法， 其特征在于， 通过所述目标矩阵从多个候选节点中确定 异常节点包括： 在所述目标矩阵中确定每个访问路径对应的行矩阵中的非零元素的数量， 得到多个元 素数量； 分别判断每 个元素数量是否小于第三预设数量； 在元素数量小于所述第 三预设数量的情况下， 将所述元素数量对应的所述访问路径对 应的节点确定为所述异常节点； 和/或 在所述目标矩阵中确定每个所述访问路径对应的行矩阵中非零元素占所述行矩阵中 全部元素的占比， 得到多个元 素占比； 分别判断每 个元素占比是否小于预设比例； 在元素占比小于所述预设比例的情况下， 将所述元素占比对应的所述访问路径对应的 节点确定为所述异常节点。 7.根据权利要求1所述的方法， 其特征在于， 在通过所述目标矩阵从多个候选节点中确 定异常节点之前， 所述方法还 包括： 判断所述目标矩阵中的多个所述访问者 IP中是否存在同一属地的访问者 IP； 在存在所述同一属地的访问者IP的情况下， 在所述目标矩阵中将多个所述同一属地的 访问者IP对应的列矩阵相加， 得到更新后的目标矩阵， 并根据所述更新后的目标矩阵执行 所述通过所述目标矩阵从多个候选节点中确定异常节点的步骤。 8.一种异常访问行为的检测装置， 其特 征在于， 包括： 获取单元， 用于在网络服务器中获取多个访 问日志， 并获取每个访 问日志中的访 问路 径和所述访问路径的至少一个路径引用来源， 其中， 每个所述访问日志中至少包括以下之 一： 访问路径、 路径引用来源以及 访问者IP； 第一生成单元， 用于根据各个访问路径和每个所述访问路径的路径引用来源生成所述 网络服务器的访问路径的有向图， 其中， 所述有向图中包括多个节点， 每个所述节点表征一 个所述访问路径； 第二生成单元， 用于按照每个节点的节点连接数量从所述有向图中选取候选节点， 得 到多个候选节点， 并根据各个候选节点的节点信息生成目标矩阵， 其中， 所述节点信息包 括： 节点对应的访问路径、 访问路径的访问者 IP， 以及每 个访问者 IP的访问次数； 确定单元， 用于通过所述目标矩阵从多个候选节点中确定异常节点， 并将所述异常节 点对应的访问路径确定为异常访问路径， 将所述异常访问路径对应的访问行为确定为异常 访问行为。 9.一种计算机存储介质， 其特征在于， 所述计算机存储介质用于存储程序， 其中， 所述权　利　要　求　书 2/3 页 3 CN 115459981 A 3