一種Web異常檢測方法和裝置與流程

2023-06-24 15:11:51 3

本發明涉及網絡
技術領域：
，特別是涉及一種Web異常檢測方法和裝置。
背景技術：
：隨著網絡技術的不斷發展，Web(網際網路)應用安全問題也日益得到重視。網際網路的開放性以及豐富的腳本語言和SQL(結構化查詢語言，StructuredQueryLanguage)語言，給黑客提供了Web攻擊的可乘之機。URL(UniformResourceLocator，統一資源定位符)是網際網路中資源的地址，網際網路上的每個資源大都具有一個唯一的URL。隨著Web服務的不斷流行，Web網站遭受的攻擊也越來越多，並且大多數Web攻擊都是黑客通過修改URL來實現的。目前常用的異常檢測方法通過檢測URL中是否出現異常來判斷是否存在異常訪問數據。例如基於規則的異常檢測方法，對當前訪問數據所對應URL中的query(查詢)欄位與預置規則進行匹配，以確定當前訪問數據是否為異常訪問數據，進而確定是否存在Web攻擊；其中，所述query欄位可用於給動態網頁傳遞參數。然而，在實際應用中，query欄位通常為URL中的可選欄位。因此，在URL中不存在上述query欄位時，上述現有的異常檢測方法將不能適用，也即，現有的異常檢測方法的適用性較差。技術實現要素：鑑於上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種基於Web異常檢測方法和裝置。依據本發明的一個方面，提供了一種Web異常檢測方法，包括：從待檢測的URL中提取待檢測Path欄位；判斷所述待檢測Path欄位是否符合預設異常條件；在所述待檢測Path欄位符合預設異常條件時，確定所述待檢測的URL為異常訪問數據。可選地，所述判斷待檢測Path欄位是否符合預設異常條件的步驟，包括：獲取所述待檢測Path欄位對應的訪問特徵值；其中，所述訪問特徵值包括：所述待檢測Path欄位在預設時間段內的訪問用戶集合，所述訪問用戶集合對於所述待檢測Path欄位的訪問能力值；在所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件時，確定所述待檢測Path欄位符合預設異常條件。可選地，通過如下步驟確定所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件：在所述訪問用戶集合中的訪問用戶數目小於第一閾值，且所述訪問能力值小於第二閾值時，確定所述訪問用戶集合中訪問用戶數目和所述訪問能力值符合預設閾值條件；其中，所述訪問能力值為所述訪問用戶在預設時間段內向所述待檢測Path欄位發起的總訪問次數的倒數。可選地，所述判斷待檢測Path欄位是否符合預設異常條件的步驟，包括：將所述待檢測Path欄位和預先建立的Path黑名單進行匹配；在所述待檢測Path欄位與所述Path黑名單中的異常Path欄位相匹配時，判定所述待檢測Path欄位符合預設異常條件。可選地，所述方法還包括：收集預設時間段內的歷史URL記錄；從所述歷史URL記錄中提取歷史Path欄位；獲取所述歷史Path欄位對應的訪問特徵值；在所述歷史Path欄位對應的訪問特徵值符合預設閾值條件時，將所述歷史Path欄位加入已建立的Path黑名單；其中，所述Path黑名單中包括符合預設異常條件的異常Path欄位。可選地，所述判斷待檢測Path欄位是否符合預設異常條件的步驟，包括：將所述待檢測Path欄位和預先建立的Path白名單進行匹配；其中，所述Path白名單中包括正常Path欄位；在所述待檢測Path欄位與所述Path白名單中的正常Path欄位相匹配時，判定所述URL不符合預設異常條件。可選地，所述Path黑名單包括目錄黑名單和文件黑名單，所述Path白名單包括目錄白名單和文件白名單；所述判斷待檢測Path欄位是否符合預設異常條件的步驟，包括：確定所述待檢測Path欄位的欄位類型；在所述欄位類型為目錄類型時，將所述待檢測Path欄位與所述目錄黑名單和/或目錄白名單進行匹配；或者在所述欄位類型為文件類型時，將所述待檢測Path欄位與所述文件黑名單和/或文件白名單進行匹配。根據本發明的另一方面，提供了一種Web異常檢測裝置，包括：提取模塊，用於從待檢測的URL中提取待檢測Path欄位；判斷模塊，用於判斷所述待檢測Path欄位是否符合預設異常條件；確定模塊，用於在所述待檢測Path欄位符合預設異常條件時，確定所述待檢測的URL為異常訪問數據。可選地，所述判斷模塊，包括：獲取子模塊，用於獲取所述待檢測Path欄位對應的訪問特徵值；其中，所述訪問特徵值包括：所述待檢測Path欄位在預設時間段內的訪問用戶集合，所述訪問用戶集合對於所述待檢測Path欄位的訪問能力值；確定子模塊，用於在所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件時，確定所述待檢測Path欄位符合預設異常條件。可選地，所述確定子模塊還用於在所述訪問用戶集合中的訪問用戶數目小於第一閾值，且所述訪問能力值小於第二閾值時，確定所述訪問用戶集合中訪問用戶數目和所述訪問能力值符合預設閾值條件；其中，所述訪問能力值為所述訪問用戶在預設時間段內向所述待檢測Path欄位發起的總訪問次數的倒數。可選地，所述判斷模塊，包括：黑名單匹配子模塊，用於將所述待檢測Path欄位和預先建立的Path黑名單進行匹配；確定子模塊，還用於在所述待檢測Path欄位與所述Path黑名單中的異常Path欄位相匹配時，判定所述待檢測Path欄位符合預設異常條件。可選地，所述裝置還包括：收集模塊，用於收集預設時間段內的歷史URL記錄；提取模塊，還用於從所述歷史URL記錄中提取歷史Path欄位；獲取模塊，用於獲取所述歷史Path欄位對應的訪問特徵值；加入模塊，用於在所述歷史Path欄位對應的訪問特徵值符合預設閾值條件時，將所述歷史Path欄位加入已建立的Path黑名單；其中，所述Path黑名單中包括符合預設異常條件的異常Path欄位。可選地，所述判斷模塊，包括：白名單匹配模塊，用於將所述待檢測Path欄位和預先建立的Path白名單進行匹配；其中，所述Path白名單中包括正常Path欄位；確定模塊，還用於在所述待檢測Path欄位與所述Path白名單中的正常Path欄位相匹配時，判定所述URL不符合預設異常條件。可選地，所述Path黑名單包括目錄黑名單和文件黑名單，所述Path白名單包括目錄白名單和文件白名單；所述判斷模塊，包括：類型確定子模塊，用於確定所述待檢測Path欄位的欄位類型；第一匹配子模塊，用於在所述欄位類型為目錄類型時，將所述待檢測Path欄位與所述目錄黑名單和/或目錄白名單進行匹配；第二匹配子模塊，用於在所述欄位類型為文件類型時，將所述待檢測Path欄位與所述文件黑名單和/或文件白名單進行匹配。根據本發明實施例提供的一種Web異常檢測方法和裝置，通過提取檢測的URL中的待檢測Path欄位，判斷所述待檢測Path欄位是否符合預設異常條件，若符合，則可以確定所述待檢測的URL為異常訪問數據。由此，本發明實施例通過對待檢測Path欄位進行異常檢測，可以檢測出在Path欄位出現異常的攻擊行為，相對於現有技術只能適用於存在query欄位的URL，本發明實施例對於不存在query欄位的URL也可以實現異常檢測，因此能夠提高異常檢測的適用性，且可以提高識別異常訪問數據的準確率。附圖說明通過閱讀下文可選實施方式的詳細描述，各種其他的優點和益處對於本領域普通技術人員將變得清楚明了。附圖僅用於示出可選實施方式的目的，而並不認為是對本發明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中：圖1示出了根據本發明一個實施例的一種Web異常檢測方法的步驟流程圖；圖2示出了根據本發明一個實施例的一種Web異常檢測方法的步驟流程圖；圖3示出了根據本發明一個實施例的一種Web異常檢測裝置的結構框圖。具體實施方式下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應當理解，可以以各種形式實現本公開而不應被這裡闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，並且能夠將本公開的範圍完整的傳達給本領域的技術人員。方法實施例一參照圖1，示出了本發明一個實施例的一種Web異常檢測方法的步驟流程圖，具體可以包括如下步驟：步驟101、從待檢測的URL中提取待檢測Path欄位；步驟102、判斷所述待檢測Path欄位是否符合預設異常條件；步驟103、在所述待檢測Path欄位符合預設異常條件時，確定所述待檢測的URL為異常訪問數據。本發明實施例可適用於對web數據流進行異常檢測，以確定當前Web數據流量中是否存在異常訪問數據，進而可以及時發現Web網絡中出現的攻擊行為，提高識別異常訪問數據的準確性和Web網絡的安全性。也即，本發明實施例中待檢測的URL可以來源於待檢測的web數據流，當然，本發明實施例對於待檢測的具體URL不加以限制。本專利發明人通過分析URL的結構得出，URL具體包括如下三個欄位：Host(主機域名)欄位、Path(資源路徑)欄位和Param(參數)欄位，其中Param欄位為可選欄位，Path欄位和Host欄位為必選欄位，Path欄位可用於表明資源在Host欄位所對應主機上存放的位置，根據Host欄位和Path欄位，可以實現通過URL在全網唯一標識資源。例如，如下URL：a.b.c/Path/to/resource.suffix？para1＝wal1&para2＝val2中，「a.b.c」為Host欄位，「Path/to/resource.suffix？」為Path欄位，「para1＝wal1&para2＝val2」為Param欄位，Host欄位和Path欄位可以標識資源在全網的唯一性。本發明實施例通過對待檢測的URL中的待檢測Path欄位進行異常檢測，可以檢測出在Path欄位出現異常的攻擊行為，對於不存在query欄位的URL也可以實現異常檢測，因此可以提高異常檢測的適用性，且能夠提高識別異常訪問數據的準確率。在本發明的一種可選實施例中，所述判斷待檢測Path欄位是否符合預設異常條件的步驟，具體可以包括：步驟S11、獲取所述待檢測Path欄位對應的訪問特徵值；其中，所述訪問特徵值包括：所述待檢測Path欄位在預設時間段內的訪問用戶集合，所述訪問用戶集合對於所述待檢測Path欄位的訪問能力值；步驟S12、在所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件時，確定所述待檢測Path欄位符合預設異常條件。在具體應用中，對於一個正常的Path欄位，在訪問量較大時，通常會對應有保護較多訪問用戶的用戶訪問量；而如果一個Path欄位在預設時間內(如一個月內)的用戶訪問量很大，但是對應的訪問用戶卻較少，則可以確定針對該Path欄位的訪問出現異常。因為一個正常用戶的訪問能力是有限的，例如，一個正常用戶沒有能力在1天之內發出上百次訪問請求，但是通過軟體或者機器可以模擬用戶進行大量的訪問請求操作。本發明實施例通過獲取待檢測Path欄位對應的兩個訪問特徵值來確定該待檢測Path欄位是否出現異常，這兩個訪問特徵值分別為所述待檢測Path欄位在預設時間段內的訪問用戶集合，以及所述訪問用戶集合對於所述待檢測Path欄位的訪問能力值。在所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件時，可以確定當前Path欄位對應的訪問行為出現異常，例如某一個訪問用戶在短時間內發出大量的訪問請求，則可以確定所述待檢測Path欄位符合預設異常條件。在本發明的另一種可選實施例中，具體可以通過如下步驟確定所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件：在所述訪問用戶集合中的訪問用戶數目小於第一閾值，且所述訪問能力值小於第二閾值時，確定所述訪問用戶集合中訪問用戶數目和所述訪問能力值符合預設閾值條件；其中，所述訪問能力值為所述訪問用戶在預設時間段內向所述待檢測Path欄位發起的總訪問次數的倒數。其中，所述訪問用戶數目具體可以通過統計訪問該Path欄位的SIP(源IP位址)的數目得到，所述訪問用戶數目可用於反映在預設時間段內有多少不同的用戶訪問過該Path欄位。可選地，所述訪問能力值具體可以通過計算SIP在預設時間內向該Path欄位發起的總訪問次數的倒數得到，所述訪問能力值可用於反映在預設時間內這些用戶訪問該Path欄位的訪問量。參照表1，示出了本發明實施例的一種預設時間段內訪問用戶對於某一待檢測Path欄位的總訪問次數的具體示意。其中，SIP為訪問用戶的源IP位址，總訪問次數表示地址為SIP的訪問用戶在一個月內對該Path欄位發起訪問的總次數。例如，地址為10.*.80.*的訪問用戶在一個月內對該Path欄位發起訪問的總次數為34次，而地址為10.*.83.*的訪問用戶在一個月內對該Path欄位發起訪問的總次數為3301次。表1SIP總訪問次數10.*.80.*3410.*.83.*330110.*.60.*134參照表2，示出了本發明實施例的一種待檢測Path欄位在預設時間內的訪問用戶集合的具體示意。如表2所示，其中待檢測Path欄位為「/novel/kttzdrw6lnw4pd.html」的訪問用戶集合為{10.*.26.*,10.*.83.*,10.*.83.*}，表示在最近一個月之內，訪問過待檢測Path欄位為「/novel/kttzdrw6lnw4pd.html」的URL的SIP包括「10.*.26.*」、「10.*.83.*」和「10.*.83.*」，則待檢測Path欄位「/novel/kttzdrw6lnw4pd.html」對應的訪問用戶數目為3。以及待檢測Path欄位「/list」對應的訪問用戶數目為8，待檢測Path欄位「/novel/tttt.html」對應的訪問用戶數目為1。表2在此提供一種獲取待檢測Path欄位的訪問用戶數目和訪問能力值的應用示例。假設上述預設時間段為最近一個月，也即上述預設時間段的結束時間為當前時間、長度為一個月，進一步假設從待檢測的URL中提取的待檢測Path欄位為：/x/y/，該待檢測Path欄位在一個月內對應的訪問用戶集合為：{10.10.10.10，20.20.20.20}，也即在一個月內，有SIP分別為10.10.10.10和20.20.20.20的兩個用戶訪問過該Path欄位。假設SIP為10.10.10.10的用戶在一個月內向該Path欄位發起的總訪問次數為100次，則10.10.10.10針對該SIP的訪問能力值可以為1/100＝0.01。又如SIP為20.20.20.20的用戶在一個月內向該Path欄位發起的總訪問次數為200次，則20.20.20.20針對該SIP的訪問能力值可以為2/100＝0.005。因此，可以確定訪問用戶集合{10.10.10.10，20.20.20.20}針對該SIP的訪問能力值為0.01+0.005＝0.015。本發明實施例在獲取待檢測Path欄位的兩個訪問特徵值之後，可以判斷所述訪問特徵值是否符合預設閾值條件，例如，如果所述訪問用戶集合中的訪問用戶數目小於第一閾值，且所述訪問能力值小於第二閾值，說明該待檢測Path欄位在預設時間內具有較大的訪問量，且這些訪問量來自極少的幾個訪問用戶，則可以確定該待檢測Path欄位符合預設異常條件，也即，可以認為該待檢測Path欄位存在異常的訪問行為，或者該待檢測Path欄位存在惡意的機器訪問行為。可以理解，上述預設閾值條件只是作為可選實施例，實際上，本領域技術人員可以根據實際應用需求，採用所需的其他預設閾值條件，例如所述訪問用戶集合中的訪問用戶數目小於第一閾值，且所述訪問能力平均值小於第三閾值等等，可以理解，本發明實施例對於具體的預設閾值條件不加以限制。參照表3，示出了本發明的一種獲取的待檢測Path欄位的兩個訪問特徵值的具體示意，表3的欄位具體可以包括待檢測的URL中提取的待檢測Path欄位、該待檢測Path欄位在一個月內對應的訪問用戶數目、以及訪問用戶集合對於該待檢測Path欄位的訪問能力值。表3如表3所示，其中的待檢測Path欄位都是在一個月內訪問用戶數目較少，並且訪問能力值較小的Path欄位，假設預先設置的第一閾值為5，第二閾值為0.02，由於表3中的三個待檢測Path欄位的訪問用戶數目均小於5，且訪問能力值均小於0.02，則可以確定表3中的三個待檢測Path欄位均符合預設異常條件，因此，可以確定這三個待檢測Path欄位對應的待檢測的URL均為異常訪問數據。綜上，本發明實施例通過提取檢測的URL中的待檢測Path欄位，判斷所述待檢測Path欄位是否符合預設異常條件，若符合，則可以確定所述待檢測的URL為異常訪問數據。由此，本發明實施例通過對待檢測Path欄位進行異常檢測，可以檢測出在Path欄位出現異常的攻擊行為，相對於現有技術只能檢測出query欄位出現異常的情況，本發明實施例對於不存在query欄位的URL也可以實現異常檢測，進而可以提高識別異常訪問數據的準確率。方法實施例二本實施例在上述方法實施例一的基礎上，還可以利用預先建立的Path黑名單對所述Path欄位進行異常檢測。參照圖2，示出了本發明一個實施例的一種Web異常檢測方法的步驟流程圖，具體可以包括如下步驟：步驟201、從待檢測的URL中提取待檢測Path欄位；步驟202、將所述待檢測Path欄位和預先建立的Path黑名單進行匹配；步驟203、在所述待檢測Path欄位與所述Path黑名單中的異常Path欄位相匹配時，判定所述待檢測Path欄位符合預設異常條件，以及所述待檢測的URL為異常訪問數據。為了進一步提高對URL異常檢測的效率，本發明實施例還可以收集預設時間段內的歷史URL記錄，通過對歷史URL記錄進行分析，建立Path黑名單，所述Path黑名單中包括符合預設異常條件的異常Path欄位。由此，在對待檢測的URL進行異常檢測時，可以從待檢測的URL中提取待檢測Path欄位，並且將所述待檢測Path欄位和預先建立的Path黑名單進行匹配，若匹配，則可以判定所述待檢測Path欄位符合預設異常條件，以及所述待檢測的URL為異常訪問數據，這相對於對待檢測的URL進行分析以判斷是否符合預設異常條件的手段，本發明實施例將待檢測Path欄位與Path黑名單進行匹配的方式，可以提高異常檢測效率。在本發明的一種可選實施例中，所述方法還可以包括如下步驟：步驟S21、收集預設時間段內的歷史URL記錄；步驟S22、從所述歷史URL記錄中提取歷史Path欄位；步驟S23、獲取所述歷史Path欄位對應的訪問特徵值；步驟S24、在所述歷史Path欄位對應的訪問特徵值符合預設閾值條件時，將所述歷史Path欄位加入已建立的Path黑名單；其中，所述Path黑名單中包括符合預設異常條件的異常Path欄位。通過上述步驟可以建立Path黑名單，該Path黑名單中可以存儲有符合預設異常條件的Path欄位。在具體應用中，所述歷史URL記錄具體可以從Web訪問日誌文件(以下簡稱為Flow文件)中獲取得到，例如可以從最近一個月內的Flow文件中獲取所述歷史URL記錄。在從所述歷史URL記錄中提取歷史Path欄位，並且獲取所述歷史Path欄位對應的訪問特徵值之後，可以判斷所述歷史Path欄位對應的訪問特徵值是否符合預設閾值條件，也即，判斷所述歷史Path欄位對應的訪問用戶集合中的訪問用戶數目是否小於第一閾值，以及所述訪問用戶集合對於所述歷史Path欄位的訪問能力值是否小於第二閾值，若均小於，則確定所述歷史Path欄位對應的訪問特徵值符合預設閾值條件，可以將所述歷史Path欄位加入已建立的Path黑名單。可選地，本發明實施例在建立Path黑名單的基礎上，還可以建立Path白名單；以在對待檢測的URL進行異常檢測時，可以判斷所述待檢測的URL是否為正常訪問數據。則所述判斷待檢測Path欄位是否符合預設異常條件的步驟，具體可以包括：步驟S31、將所述待檢測Path欄位和預先建立的Path白名單進行匹配；其中，所述Path白名單中可以包括正常Path欄位；步驟S32、在所述待檢測Path欄位與所述Path白名單中的正常Path欄位相匹配時，判定所述URL不符合預設異常條件。本發明實施例除了可以檢測出異常的URL，還可以判斷出正常的URL。在待檢測的URL為正常訪問數據時，可以允許對待檢測的URL的訪問行為。在具體應用中，在待檢測的URL的待檢測Path欄位與Path白名單中的正常Path欄位相匹配時，可以判定所述待檢測的URL不符合預設異常條件，進而可以確定所述待檢測的URL為正常訪問數據，則可以允許對所述待檢測的URL的訪問行為；在所述待檢測的URL的待檢測Path欄位與Path黑名單中的異常Path欄位相匹配時，可以確定所述待檢測的URL為異常訪問數據，則可以拒絕對所述待檢測的URL的訪問行為；在所述待檢測的URL的待檢測Path欄位與Path黑名單和Path白名單均不匹配時，可以認為所述待檢測的URL為未知數據，此時，也可以拒絕對所述待檢測的URL的訪問行為。可以理解，所述預先建立的Path白名單具體可以為通過現有的異常檢測方法檢測得到的正常Path欄位，或者已被標記的正常Path欄位等，本發明實施例對於所述Path白名單中的正常Path欄位的獲取方式不加以限制。在本發明實施例中，在使用本發明的Web異常檢測方法對待檢測的URL進行檢測時，如果所述待檢測的URL中的待檢測Path欄位對應的訪問特徵值符合預設閾值條件，可以認為所述待檢測Path欄位為異常Path欄位，同時，可以將該待檢測Path欄位加入已建立的Path黑名單，以對Path黑名單不斷進行更新。在具體應用中，URL中的Path欄位可以包括目錄或者文件兩種類型，具體地，若Path欄位以「/」結尾，如「/"http:/p6.yx-s.com/d/inn/dcb85c59/」，則說明該Path欄位為目錄類型，否則該Path欄位為文件類型，如「/"http:/p6.yx-s.com/d/inn/dcb85c59/1.png」。為了能夠進一步提高異常檢測的準確性，本發明實施例將上述Path黑名單進一步劃分為目錄黑名單和文件黑名單，以及將上述Path白名單進一步劃分為目錄白名單和目錄黑名單。在建立Path黑名單時，若當前Path欄位符合預設異常條件，且以「/」結尾，則將當前Path欄位加入到目錄黑名單，若當前Path欄位不以「/」結尾，則將該Path欄位加入到文件黑名單。同理，若當前Path欄位為通過異常檢測的正常Path欄位，且以「/」結尾，則將當前Path欄位加入到目錄白名單，若當前Path欄位不以「/」結尾，則將該Path欄位加入到文件白名單。在建立所述目錄黑/白名單以及文件黑/白名單之後，可以依據所述目錄黑/白名單以及文件黑/白名單對從待檢測的URL中提取的待檢測Path欄位進行異常檢測。所述判斷待檢測Path欄位是否符合預設異常條件的步驟，具體可以包括：步驟S41、確定所述待檢測Path欄位的欄位類型；步驟S42、在所述欄位類型為目錄類型時，將所述待檢測Path欄位與所述目錄黑名單和/或目錄白名單進行匹配；或者步驟S43、在所述欄位類型為文件類型時，將所述待檢測Path欄位與所述文件黑名單和/或文件白名單進行匹配。在本發明實施例中，在對待檢測的URL進行異常檢測的過程中，可以針對當前URL中提取的Path欄位，首先判斷該Path欄位是否以「/」結尾，如果該Path欄位是否以「/」結尾，說明該Path欄位的類型為目錄，則可以進行目錄異常檢測，也即對該Path欄位分別和已建立的目錄黑名單和/或目錄白名單進行匹配；否則進行文件異常檢測，也即對該Path欄位分別和已建立的文件黑名單和/或文件白名單進行匹配。可選地，如果該Path欄位與白名單匹配，則Path檢測模型輸出檢測結果為正常，可以確定所述URL為正常訪問數據。如果與黑名單匹配，則得到的檢測結果可以為異常，可以確定所述Path欄位符合預設異常條件，所述URL為異常訪問數據。綜上，本發明實施例從待檢測的URL中提取待檢測Path欄位，並且根據預先建立的Path黑名單對所述待檢測Path欄位進行異常檢測，以確定所述待檢測的URL是否為異常訪問數據。由於所述Path黑名單可以為根據收集的大量的歷史URL記錄所建立，因此，可以保證Path黑名單的準確性。此外，通過Path黑名單可以實現對異常訪問數據進行快速檢測，這相對於重新收集訪問特徵值以及對訪問特徵值進行分析的手段，可以降低人工的工作量，以及節省人力和異常檢測時間。需要說明的是，對於方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領域技術人員應該知悉，本申請實施例並不受所描述的動作順序的限制，因為依據本申請實施例，某些步驟可以採用其他順序或者同時進行。其次，本領域技術人員也應該知悉，說明書中所描述的實施例均屬於優選實施例，所涉及的動作並不一定是本申請實施例所必須的。參照圖3，示出了根據本發明一個實施例的一種Web異常檢測裝置的結構框圖，具體可以包括：提取模塊301，用於從待檢測的URL中提取待檢測Path欄位；判斷模塊302，用於判斷所述待檢測Path欄位是否符合預設異常條件；確定模塊303，用於在所述待檢測Path欄位符合預設異常條件時，確定所述待檢測的URL為異常訪問數據。在本發明的一種可選實施例中，所述判斷模塊302，具體可以包括：獲取子模塊，用於獲取所述待檢測Path欄位對應的訪問特徵值；其中，所述訪問特徵值包括：所述待檢測Path欄位在預設時間段內的訪問用戶集合，所述訪問用戶集合對於所述待檢測Path欄位的訪問能力值；確定子模塊，用於在所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件時，確定所述待檢測Path欄位符合預設異常條件。在本發明的另一種可選實施例中，所述確定子模塊還用於在所述訪問用戶集合中的訪問用戶數目小於第一閾值，且所述訪問能力值小於第二閾值時，確定所述訪問用戶集合中訪問用戶數目和所述訪問能力值符合預設閾值條件；其中，所述訪問能力值為所述訪問用戶在預設時間段內向所述待檢測Path欄位發起的總訪問次數的倒數。在本發明的又一種可選實施例中，所述判斷模塊302，具體可以包括：黑名單匹配子模塊，用於將所述待檢測Path欄位和預先建立的Path黑名單進行匹配；確定子模塊，還用於在所述待檢測Path欄位與所述Path黑名單中的異常Path欄位相匹配時，判定所述待檢測Path欄位符合預設異常條件。在本發明的再一種可選實施例中，所述裝置還可以包括：收集模塊，用於收集預設時間段內的歷史URL記錄；提取模塊，還用於從所述歷史URL記錄中提取歷史Path欄位；獲取模塊，用於獲取所述歷史Path欄位對應的訪問特徵值；加入模塊，用於在所述歷史Path欄位對應的訪問特徵值符合預設閾值條件時，將所述歷史Path欄位加入已建立的Path黑名單；其中，所述Path黑名單中包括符合預設異常條件的異常Path欄位。在本發明的再一種可選實施例中，所述判斷模塊302，具體可以包括：白名單匹配模塊，用於將所述待檢測Path欄位和預先建立的Path白名單進行匹配；其中，所述Path白名單中包括正常Path欄位；確定模塊，還用於在所述待檢測Path欄位與所述Path白名單中的正常Path欄位相匹配時，判定所述URL不符合預設異常條件。在本發明的再一種可選實施例中，所述Path黑名單可以包括目錄黑名單和文件黑名單，所述Path白名單可以包括目錄白名單和文件白名單；所述判斷模塊302，具體可以包括：類型確定子模塊，用於確定所述待檢測Path欄位的欄位類型；第一匹配子模塊，用於在所述欄位類型為目錄類型時，將所述待檢測Path欄位與所述目錄黑名單和/或目錄白名單進行匹配；第二匹配子模塊，用於在所述欄位類型為文件類型時，將所述待檢測Path欄位與所述文件黑名單和/或文件白名單進行匹配。對於裝置實施例而言，由於其與方法實施例基本相似，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基於在此的示教一起使用。根據上面的描述，構造這類系統所要求的結構是顯而易見的。此外，本發明也不針對任何特定程式語言。應當明白，可以利用各種程式語言實現在此描述的本發明的內容，並且上面對特定語言所做的描述是為了披露本發明的最佳實施方式。在此處所提供的說明書中，說明了大量具體細節。然而，能夠理解，本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中，並未詳細示出公知的方法、結構和技術，以便不模糊對本說明書的理解。類似地，應當理解，為了精簡本公開並幫助理解各個發明方面中的一個或多個，在上面對本發明的示例性實施例的描述中，本發明的各個特徵有時被一起分組到單個實施例、圖、或者對其的描述中。然而，並不應將該公開的方法解釋成反映如下意圖：即所要求保護的本發明要求比在每個權利要求中所明確記載的特徵更多的特徵。更確切地說，如下面的權利要求書所反映的那樣，發明方面在於少於前面公開的單個實施例的所有特徵。因此，遵循具體實施方式的權利要求書由此明確地併入該具體實施方式，其中每個權利要求本身都作為本發明的單獨實施例。本領域那些技術人員可以理解，可以對實施例中的設備中的模塊進行自適應性地改變並且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特徵和/或過程或者單元中的至少一些是相互排斥之外，可以採用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特徵以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特徵可以由提供相同、等同或相似目的的替代特徵來代替。此外，本領域的技術人員能夠理解，儘管在此所述的一些實施例包括其它實施例中所包括的某些特徵而不是其它特徵，但是不同實施例的特徵的組合意味著處於本發明的範圍之內並且形成不同的實施例。例如，在下面的權利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。本發明的各個部件實施例可以以硬體實現，或者以在一個或者多個處理器上運行的軟體模塊實現，或者以它們的組合實現。本領域的技術人員應當理解，可以在實踐中使用微處理器或者數位訊號處理器(DSP)來實現根據本發明實施例的Web異常檢測方法和裝置中的一些或者全部部件的一些或者全部功能。本發明還可以實現為用於執行這裡所描述的方法的一部分或者全部的設備或者裝置程序(例如，電腦程式和電腦程式產品)。這樣的實現本發明的程序可以存儲在計算機可讀介質上，或者可以具有一個或者多個信號的形式。這樣的信號可以從網際網路平臺上下載得到，或者在載體信號上提供，或者以任何其他形式提供。應該注意的是上述實施例對本發明進行說明而不是對本發明進行限制，並且本領域技術人員在不脫離所附權利要求的範圍的情況下可設計出替換實施例。在權利要求中，不應將位於括號之間的任何參考符號構造成對權利要求的限制。單詞「包括」不排除存在未列在權利要求中的元件或步驟。位於元件之前的單詞「一」或「一個」不排除存在多個這樣的元件。本發明可以藉助於包括有若干不同元件的硬體以及藉助於適當編程的計算機來實現。在列舉了若干裝置的單元權利要求中，這些裝置中的若干個可以是通過同一個硬體項來具體體現。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。本發明公開了A1、一種Web異常檢測方法，其特徵在於，所述方法包括：從待檢測的URL中提取待檢測Path欄位；判斷所述待檢測Path欄位是否符合預設異常條件；在所述待檢測Path欄位符合預設異常條件時，確定所述待檢測的URL為異常訪問數據。A2、根據權利要求A1所述的方法，其特徵在於，所述判斷待檢測Path欄位是否符合預設異常條件的步驟，包括：獲取所述待檢測Path欄位對應的訪問特徵值；其中，所述訪問特徵值包括：所述待檢測Path欄位在預設時間段內的訪問用戶集合，所述訪問用戶集合對於所述待檢測Path欄位的訪問能力值；在所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件時，確定所述待檢測Path欄位符合預設異常條件。A3、根據權利要求A2所述的方法，其特徵在於，通過如下步驟確定所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件：在所述訪問用戶集合中的訪問用戶數目小於第一閾值，且所述訪問能力值小於第二閾值時，確定所述訪問用戶集合中訪問用戶數目和所述訪問能力值符合預設閾值條件；其中，所述訪問能力值為所述訪問用戶在預設時間段內向所述待檢測Path欄位發起的總訪問次數的倒數。A4、根據權利要求A1所述的方法，其特徵在於，所述判斷待檢測Path欄位是否符合預設異常條件的步驟，包括：將所述待檢測Path欄位和預先建立的Path黑名單進行匹配；在所述待檢測Path欄位與所述Path黑名單中的異常Path欄位相匹配時，判定所述待檢測Path欄位符合預設異常條件。A5、根據權利要求A2所述的方法，其特徵在於，所述方法還包括：收集預設時間段內的歷史URL記錄；從所述歷史URL記錄中提取歷史Path欄位；獲取所述歷史Path欄位對應的訪問特徵值；在所述歷史Path欄位對應的訪問特徵值符合預設閾值條件時，將所述歷史Path欄位加入已建立的Path黑名單；其中，所述Path黑名單中包括符合預設異常條件的異常Path欄位。A6、根據權利要求A1所述的方法，其特徵在於，所述判斷待檢測Path欄位是否符合預設異常條件的步驟，包括：將所述待檢測Path欄位和預先建立的Path白名單進行匹配；其中，所述Path白名單中包括正常Path欄位；在所述待檢測Path欄位與所述Path白名單中的正常Path欄位相匹配時，判定所述URL不符合預設異常條件。A7、根據權利要求A5或A6所述的方法，其特徵在於，所述Path黑名單包括目錄黑名單和文件黑名單，所述Path白名單包括目錄白名單和文件白名單；所述判斷待檢測Path欄位是否符合預設異常條件的步驟，包括：確定所述待檢測Path欄位的欄位類型；在所述欄位類型為目錄類型時，將所述待檢測Path欄位與所述目錄黑名單和/或目錄白名單進行匹配；或者在所述欄位類型為文件類型時，將所述待檢測Path欄位與所述文件黑名單和/或文件白名單進行匹配。本發明公開了B8、一種Web異常檢測裝置，其特徵在於，所述裝置包括：提取模塊，用於從待檢測的URL中提取待檢測Path欄位；判斷模塊，用於判斷所述待檢測Path欄位是否符合預設異常條件；確定模塊，用於在所述待檢測Path欄位符合預設異常條件時，確定所述待檢測的URL為異常訪問數據。B9、根據權利要求B8所述的裝置，其特徵在於，所述判斷模塊，包括：獲取子模塊，用於獲取所述待檢測Path欄位對應的訪問特徵值；其中，所述訪問特徵值包括：所述待檢測Path欄位在預設時間段內的訪問用戶集合，所述訪問用戶集合對於所述待檢測Path欄位的訪問能力值；確定子模塊，用於在所述待檢測Path欄位對應的訪問特徵值符合預設閾值條件時，確定所述待檢測Path欄位符合預設異常條件。B10、根據權利要求B9所述的裝置，其特徵在於，所述確定子模塊還用於在所述訪問用戶集合中的訪問用戶數目小於第一閾值，且所述訪問能力值小於第二閾值時，確定所述訪問用戶集合中訪問用戶數目和所述訪問能力值符合預設閾值條件；其中，所述訪問能力值為所述訪問用戶在預設時間段內向所述待檢測Path欄位發起的總訪問次數的倒數。B11、根據權利要求B8所述的裝置，其特徵在於，所述判斷模塊，包括：黑名單匹配子模塊，用於將所述待檢測Path欄位和預先建立的Path黑名單進行匹配；確定子模塊，還用於在所述待檢測Path欄位與所述Path黑名單中的異常Path欄位相匹配時，判定所述待檢測Path欄位符合預設異常條件。B12、根據權利要求B9所述的裝置，其特徵在於，所述裝置還包括：收集模塊，用於收集預設時間段內的歷史URL記錄；提取模塊，還用於從所述歷史URL記錄中提取歷史Path欄位；獲取模塊，用於獲取所述歷史Path欄位對應的訪問特徵值；加入模塊，用於在所述歷史Path欄位對應的訪問特徵值符合預設閾值條件時，將所述歷史Path欄位加入已建立的Path黑名單；其中，所述Path黑名單中包括符合預設異常條件的異常Path欄位。B13、根據權利要B8所述的裝置，其特徵在於，所述判斷模塊，包括：白名單匹配模塊，用於將所述待檢測Path欄位和預先建立的Path白名單進行匹配；其中，所述Path白名單中包括正常Path欄位；確定模塊，還用於在所述待檢測Path欄位與所述Path白名單中的正常Path欄位相匹配時，判定所述URL不符合預設異常條件。B14、根據權利要求B12或B13所述的裝置，其特徵在於，所述Path黑名單包括目錄黑名單和文件黑名單，所述Path白名單包括目錄白名單和文件白名單；所述判斷模塊，包括：類型確定子模塊，用於確定所述待檢測Path欄位的欄位類型；第一匹配子模塊，用於在所述欄位類型為目錄類型時，將所述待檢測Path欄位與所述目錄黑名單和/或目錄白名單進行匹配；第二匹配子模塊，用於在所述欄位類型為文件類型時，將所述待檢測Path欄位與所述文件黑名單和/或文件白名單進行匹配。當前第1頁1&nbsp2&nbsp3&nbsp