本申請提供的一種異常訪問行為的檢測方法、裝置、電子設備及存儲介質，應用于網絡安全技術領域，所述方法包括:查詢目標檢測網絡中各頁面的訪問記錄，獲取訪問源數量小于訪問源數量閾值的異常訪問頁面；獲取訪問過所述異常訪問頁面的異常訪問IP；在所述異常訪問IP只訪問過所述異常訪問頁面時，將所述異常訪問IP對于所述異常訪問頁面的訪問行為作為異常訪問行為。本方案通過首先將訪問源數量較小的頁面作為異常訪問頁面，然后將只訪問過該異常訪問頁面的異常訪問IP對于該異常訪問頁面的訪問行為作為異常訪問行為，依據攻擊者只會訪問Webshell頁面的特征進行異常行為檢測，無需提前獲取Webshell頁面，提高了對于Webshell頁面的異常訪問行為的檢測的準確性。

技術領域

本申請屬于網絡安全技術領域，特別是涉及一種異常訪問行為的檢測方法、裝置、電子設備及存儲介質。

背景技術

Webshell腳本是一種以動態服務器頁面、超文本預處理器和Java服務器頁面等網頁文件形式存在的一種命令執行環境，也就是一種網頁后門。黑客可以通過Webshell腳本入侵網站或非法上傳木馬等惡意代碼到頁面文件中，以達到控制網站服務器的目的。因此如何識別Webshell腳本是網絡安全領域的重要研究方向。

現有對Webshell惡意腳本進行識別的方式通常對網頁文件生成哈希簽名，然后實時或定時對網頁文件進行檢測，一旦出現新增網頁文件不再哈希簽名列表中，便將該新增網頁文件視為Webshell腳本上傳的惡意文件。

這種方式對于網頁文件的哈希簽名的實時性要求較高，如果出現某些暫未生成哈希簽名的文件就會發生誤報的情況，降低了Webshell惡意腳本識別的準確性。

發明內容

有鑒于此，本申請實施例提出一種異常訪問行為的檢測方法、裝置、電子設備及存儲介質，用于解決現有Webshell惡意腳本檢測方式對于網頁文件的哈希簽名的實時性要求較高，如果出現某些暫未生成哈希簽名的文件就會發生誤報的情況，降低了Webshell惡意腳本識別的準確性的問題。

本申請第一方面提供一種異常訪問行為的檢測方法，所述方法包括：

查詢目標檢測網絡中各頁面的訪問記錄，獲取訪問源數量小于訪問源數量閾值的異常訪問頁面；

獲取訪問過所述異常訪問頁面的異常訪問IP；

在所述異常訪問IP只訪問過所述異常訪問頁面時，將所述異常訪問IP對于所述異常訪問頁面的訪問行為作為異常訪問行為。

可選地，所述查詢目標檢測網絡中各頁面的訪問記錄，獲取訪問源數量小于訪問源數量閾值的異常訪問頁面，包括：

查詢目標檢測網絡中各頁面的訪問記錄，獲取訪問源數量小于訪問源數量閾值的可疑訪問頁面；

可疑訪問頁面中的目標可疑訪問頁面作為異常訪問頁面，所述目標可疑訪問頁面是所述被訪問記錄未涉及除所述可疑訪問頁面以外的頁面的可疑訪問頁面。

可選地，在所述可疑訪問頁面中的目標可疑訪問頁面作為異常訪問頁面之前，所述方法還包括：

獲取所述可疑訪問頁面的訪問請求的目標請求頭字段；

在所述目標請求頭字段不包含有除所述可疑訪問頁面以外的訪問聯時，將所述可疑訪問頁面作為目標可疑訪問頁面。

可選地，在所述在所述異常訪問IP只訪問過所述異常訪問頁面時，將所述異常訪問IP對于所述異常訪問頁面的訪問行為作為異常訪問行為之后，所述方法還包括：

根據所述異常訪問IP的訪問記錄對所述異常訪問頁面進行更新。

可選地，在所述查詢各頁面的訪問記錄，獲取訪問源數量小于訪問源數量閾值的異常訪問頁面之前，還包括：

獲取目標檢測網絡的鏡像流量數據；