具体实施方式

以下将参照附图，对本发明的优选实施例进行详细的描述。应当理解，优选实施例仅为了说明本发明，而不是为了限制本发明的保护范围。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非被特定定义，否则不会用理想化或过于正式的含义来解释。

目前，随着信息技术的发展，以数据库服务器为核心，面向互联网的业务系统得到了日益广泛的应用，由于数据库服务器中存储了业务系统的关键数据，又与整个业务流程密切相关，保障数据库服务器的信息安全尤为重要。一旦发现有违规的访问行为(例如未经认证的访问、越权访问)，需要对违规行为进行阻断。

目前的现有技术中，有的解决方案是根据安全配置规则对数据库访问记录进行分析，将数据库访问记录以报警/非报警分类。该方案能够对部分业务行为异常进行检测，但依靠管理人员制定一套完整的安全配置规则过于繁琐，一旦出现规则未包含的攻击行为，将会导致对该类攻击行为的漏报；某些攻击行为无法从一次或几次数据库访问行为记录中发现，因此，现有的根据安全配置规则对数据库访问记录进行分析，将数据库访问记录以报警/非报警分类的方法无法满足对违规业务行为的有效检测。

为解决上述问题，本发明实施例提供了一种基于中间件流量分析技术的web业务行为逻辑检测方法，所述的检测方法通过获取当前web应用生成的第一流量数据，将所述第一流量数据进行归一化处理，获得包含有用户身份信息的第一数据流；根据用户身份信息提取终端设备当前web应用的历史业务安全行为记录，建立用户访问web应用的正常行为模型；将含有用户身份信息的第一数据流输入所述的正常行为模型，确定当前用户访问web应用系统的行为与正常行为的行为偏离度，能够解决现有的根据安全配置规则对数据库访问记录进行分析，将数据库访问记录以报警/非报警分类的方法无法满足对违规业务行为的有效检测的问题。

需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。

请参阅图1，图1示出了可以应用本公开的基于中间件流量分析技术的web业务行为逻辑检测方法的实施例的示例性系统架构100。

如图1所示，系统架构100可以包括终端设备101，网络102和服务器103。网络 102可以是用以在终端设备101和服务器103之间提供通信链路的介质。网络102可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

终端设备101通过网络102与服务器103交互，以实现数据的传递。终端设备101 上可以安装有各种web应用。

终端设备101可以是硬件，也可以是软件。当终端设备101为硬件时，可以是具有通信功能的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器、MP4播放器、膝上型便携计算机和台式计算机等等。当终端设备101为软件时，可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。

服务器103可以是提供各种服务的服务器，例如对终端设备101上的web应用支持的后台服务器。服务器103可以接收终端设备101发送的访问请求。然后，服务器103 可以对访问请求数据进行处理，并建立正常行为模型。

需要说明的是，本公开实施例所提供的基于中间件流量分析技术的web业务行为逻辑检测方法一般由服务器103执行，相应地，基于中间件流量分析技术的web业务行为逻辑检测系统一般设置于服务器103中。

可选的，本公开实施例所提供的基于中间件流量分析技术的web业务行为逻辑检测方法也可以由终端设备101执行。

需要说明的是，服务器可以是硬件，也可以是软件。当服务器为硬件时，可以实现成多个服务器组成的分布式服务器集群，也可以实现成单个服务器。当服务器为软件时，可以实现成多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。

应该理解，图1中的终端设备101、网络102和服务器103的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备101、网络102和服务器103。

以下结合具体实施例对本发明实施例提供的基于中间件流量分析技术的web业务行为逻辑检测方法的具体实现进行详细描述。

实施例一：

图2示出了本发明实施例一提供的基于中间件流量分析技术的web业务行为逻辑检测方法的实现流程图，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本发明实施例是这样实现的，基于中间件流量分析技术的web业务行为逻辑检测方法，所述的检测方法200包括：

步骤S201：获取当前web应用生成的第一流量数据，将所述第一流量数据进行归一化处理，获得包含有用户身份信息的第一数据流；

具体的，在本发明实施例提供的步骤S201的具体实现中，在预设时间段内采集用户在当前web应用访问的第一流量数据，其中对用户在当前web应用访问的第一流量数据的采集通过代理和/或插桩的方式进行。而将所述第一流量数据进行归一化处理的步骤中，通过将所述第一流量数据按照vFlow格式进行存储，其中，所述vFlow格式包括头部数据和数据部数据；按照所述vFlow格式进行存储的第一流量数据包含用户身份信息。

步骤S202：根据用户身份信息提取终端设备当前web应用的历史业务安全行为记录，建立用户访问web应用的正常行为模型；

具体的，在本发明实施例提供的步骤S202的具体实现中，为根据用户身份信息提取终端设备当前web应用的历史业务安全行为记录，首先提取用户身份信息的唯一标识符；然后基于所述标识符在当前web应用的历史业务安全行为记录库中调取与所述用户身份信息对应的历史业务安全行为记录，其中，所述的历史业务安全行为记录为目标起止时间段内的行为记录数据。

进一步的，在本发明提供的优选实施方式中，在建立用户访问web应用的正常行为模型的步中，首先确定行为对象及其相应的行为对象类型；然后根据需要选择预设行为模型自学习阶段的起止时间；进而对设定的起止时间内的历史业务安全行为记录进行训练，根据行为对象以及行为对象类型对该行为对象的业务行为信息进行统计，建立正常行为模型。

进一步的，在本发明实施例中，请继续参阅图2，所述的检测方法还包括：

步骤S203：将含有用户身份信息的第一数据流输入所述的正常行为模型，确定当前用户访问web应用系统的行为与正常行为的行为偏离度。

请继续参阅图2，在本发明提供的一个优选实施方式中，所述确定当前用户访问web 应用系统的行为与正常行为的行为偏离度的步骤之前；

所述的检测方法还包括：

步骤S204：将所述第一流量数据进行标记处理和身份替换处理后得到第二流量数据；

步骤S205：利用所述第二流量数据进行终端设备的访问，获取所述访问过程中形成的第二数据流；

步骤S206：确定第一数据流和第二数据流之间的数据流匹配度。

进一步的，请继续参阅图2，在本发明提供的一个优选实施方式中，所述的检测方法还包括；

步骤S207：确定业务行为健康指数的步骤；

其中，在本发明提供的优选实施方式中，所述确定业务行为健康指数的步骤具体包括：

步骤S2071：根据行为偏离度和数据流匹配度，通过加权计算公式确定业务行为健康指数。

具体的，在本发明提供的一个优选实施方式中，所述加权计算公式为：

C＝a*M+(1-a)*D；

上述公式中：a为权重系数，a的取值范围为[0，1]，C为行为健康指数，M为匹配度，D为偏离度。

更进一步的，在本发明提供的一个优选实施方式中，在所述通过加权计算公式确定业务行为健康指数的步骤之后，所述的检测方法还包括：步骤S208：健康指数异常时向所述终端设备发送告警信息。

另外，在本发明提供的一个优选实施方式中，在所述向所述终端设备发送告警信息的步骤之后，所述检测方法还包括步骤S209，在步骤209中的具体实现中，所述终端设备基于所述告警信息进行异常控制。

实施例二：

图3为本发明实施例二提供的基于中间件流量分析技术的web业务行为逻辑检测方法的一个子流程图；

在本发明提供的一个优选实施方式中，所述获取当前web应用生成的第一流量数据的步骤具体包括：

步骤S2011：在预设时间段内采集用户在当前web应用访问的第一流量数据，其中对用户在当前web应用访问的第一流量数据的采集通过代理和/或插桩的方式进行。

在本发明提供的一个优选实施方式中，将所述第一流量数据进行归一化处理的步骤具体包括：

步骤S2012：将所述第一流量数据按照vFlow格式进行存储；按照所述vFlow格式进行存储的第一流量数据包含用户身份信息。

具体的，在本发明实施例中，采集流量数据后，本发明实施例采用归一化为统一的格式，这样一来，方便流量数据的后续存储与进一步的分析。

进一步的，在本发明的一个优选实施例中，将流量数据按照vFlow格式进行存储，vFlow格式包括头部数据和数据部数据，其中，头部数据包括版本、流记录个数、系统启动至今时间、系统时间、流序列号等；而数据部数据可以包括源IP地址、目的IP地址、路由器的IP地址、输入接口索引、输出接口索引等等。

实施例三：

图4为本发明实施例三提供的基于中间件流量分析技术的web业务行为逻辑检测方法的一个子流程图；

在本发明提供的一个优选实施方式中，所述根据用户身份信息提取终端设备当前web 应用的历史业务安全行为记录的步骤具体包括：

步骤S2021：提取用户身份信息的唯一标识符；

步骤S2022：基于所述标识符在当前web应用的历史业务安全行为记录库中调取与所述用户身份信息对应的历史业务安全行为记录，其中，所述的历史业务安全行为记录为目标起止时间段内的行为记录数据。

在本发明提供的一个优选实施方式中，所述建立用户访问web应用的正常行为模型的步骤具体包括：

步骤S2023：确定行为对象及其相应的行为对象类型；

步骤S2024：选择预设行为模型自学习阶段的起止时间；

步骤S2025：对设定的起止时间内的历史业务安全行为记录进行训练，根据行为对象以及行为对象类型对该行为对象的业务行为信息进行统计，建立正常行为模型。

综上所述，在本发明实施例提供的web业务行为逻辑检测方法中，通过获取当前web 应用生成的第一流量数据，将所述第一流量数据进行归一化处理，获得包含有用户身份信息的第一数据流；根据用户身份信息提取终端设备当前web应用的历史业务安全行为记录，建立用户访问web应用的正常行为模型；将含有用户身份信息的第一数据流输入所述的正常行为模型，确定当前用户访问web应用系统的行为与正常行为的行为偏离度。

因此，本发明实施例提供的检测方法能够解决现有的根据安全配置规则对数据库访问记录进行分析，将数据库访问记录以报警/非报警分类的方法无法满足对违规业务行为的有效检测的问题。

实施例四：

另外，图5为本发明实施例四提供的基于中间件流量分析技术的web业务行为逻辑检测系统的结构框图；

如图5所示，在本发明提供的优选实施例中，本发明实施例还提供了一种基于中间件流量分析技术的web业务行为逻辑检测系统；

具体的，在本实施例中，所述检测系统300包括：

数据信息获取单元301，用于获取当前web应用生成的第一流量数据，将所述第一流量数据进行归一化处理，获得包含有用户身份信息的第一数据流；

行为模型建立单元302，用于根据用户身份信息提取终端设备当前web应用的历史业务安全行为记录，建立用户访问web应用的正常行为模型；

业务行为分析单元303，用于将含有用户身份信息的第一数据流输入所述的正常行为模型，确定当前用户访问web应用系统的行为与正常行为的行为偏离度。

实施例五：

图6为本发明实施例五提供的计算机设备的结构示意图。本发明实施例提供的计算机设备400可以执行基于中间件流量分析技术的web业务行为逻辑检测方法实施例提供的处理流程，如图6所示，计算机设备400包括存储器401、处理器402、计算机程序；其中，计算机程序存储在存储器401中，并被配置为由处理器403执行基于中间件流量分析技术的web业务行为逻辑检测方法。

其中，在本发明提供的实施例中，并被配置为由处理器402执行的所述基于中间件流量分析技术的web业务行为逻辑检测方法包括以下步骤：

步骤S201：获取当前web应用生成的第一流量数据，将所述第一流量数据进行归一化处理，获得包含有用户身份信息的第一数据流；

步骤S202：根据用户身份信息提取终端设备当前web应用的历史业务安全行为记录，建立用户访问web应用的正常行为模型；

步骤S203：将含有用户身份信息的第一数据流输入所述的正常行为模型，确定当前用户访问web应用系统的行为与正常行为的行为偏离度。

此外，计算机设备400还可具有通讯接口403，用于接收控制指令。

图6示出了本实施例的计算机设备可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

另外，本实施例还提供一种计算机可读存储介质，计算机可读存储介质可以为非临时性计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现基于中间件流量分析技术的web业务行为逻辑检测方法。

其中，被处理器执行的所述基于中间件流量分析技术的web业务行为逻辑检测方法包括：

步骤S201：获取当前web应用生成的第一流量数据，将所述第一流量数据进行归一化处理，获得包含有用户身份信息的第一数据流；

步骤S202：根据用户身份信息提取终端设备当前web应用的历史业务安全行为记录，建立用户访问web应用的正常行为模型；

步骤S203：将含有用户身份信息的第一数据流输入所述的正常行为模型，确定当前用户访问web应用系统的行为与正常行为的行为偏离度。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

在本发明实施例的一个典型的配置中，终端、服务网络的设备和计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。

计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

本领域技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本公开的实施例旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求书指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。