[发明专利]报文流量检测方法、系统、装置及计算机可读存储介质

说明书

本申请公开了一种报文流量检测方法、系统、装置及计算机可读存储介质，包括：获取待检测请求报文；对待检测请求报文进行解析，获取待检测请求报文的维度信息；利用预设的特征提取模型，从维度信息中提取待检测请求报文的特征信息；利用预设的检测识别模型分析特征信息，判断待检测请求报文是否属于正常报文。本申请通过对请求报文线性进行解析，得到能够反映请求报文特征的位图信息，为后续特征提取过滤了无用数据加快了提取速度，再利用机器学习的特征提取模型和检测识别模型分别对请求报文的特征信息进行提取与分析，能够准确快速的判断出待检测请求报文是否为正常报文还是异常报文，提高了检测速度和精准度，提高了过滤性能和防护性能。

技术领域

本发明涉及云安全领域，特别涉及一种报文流量检测方法、系统、装置及计算机可读存储介质。

背景技术

随着生活的信息化，人们生活中越来越离不开互联网，互联网在带给人们便利的同时，也为不法分子提供了犯罪途径。网络攻击者可以利用网络特征，定制恶意请求报文进行网络攻击。

为了有效防止网络攻击，网络安全防护引擎需要对每条请求报文流量进行检测，但每天的正常请求报文较多，异常请求报文较少，如果对每条都进行检测的话，就会大大损耗防护引擎的检测性能。

目前常用的手段就是在检测之前添加规则过滤掉一些正常请求报文，但规则只能过滤特定报文，无法对一些语义相近相似的报文进行识别过滤。

为此，需要一种防护性能更好的报文流量检测方法。

发明内容

有鉴于此，本发明的目的在于提供一种报文流量检测方法、系统、装置及计算机可读存储介质，提高防护性能。其具体方案如下：

一种报文流量检测方法，包括：

获取待检测请求报文；

对所述待检测请求报文进行解析，获取所述待检测请求报文的维度信息；

利用预设的特征提取模型，从所述维度信息中提取所述待检测请求报文的特征信息；

利用预设的检测识别模型分析所述特征信息，判断所述待检测请求报文是否属于正常报文；

其中，所述特征提取模型为利用历史待检测请求报文的维度信息进行训练得到的，所述检测识别模型为利用历史待检测请求报文的特征信息进行训练得到的。

可选的，所述利用预设的特征提取模型，从所述维度信息中提取所述待检测请求报文的特征信息的过程，包括：

利用基于TFIDF算法或word2vec算法建立的特征提取模型，从所述维度信息中提取所述待检测请求报文的特征信息。

可选的，所述利用预设的检测识别模型分析所述特征信息，判断所述待检测请求报文是否属于正常报文的过程，包括：

利用基于二分类算法建立的检测识别模型分析所述特征信息，判断所述待检测请求报文是否属于正常报文。

可选的，所述对所述待检测请求报文进行解析，获取所述待检测请求报文的维度信息的过程，包括：

对所述待检测请求报文进行解析，获取所述待检测请求报文的请求报文头、请求URL和请求报文体。

本发明还公开了一种报文流量检测系统，包括：

报文获取模块，用于获取待检测请求报文；

报文解析模块，用于对所述待检测请求报文进行解析，获取所述待检测请求报文的维度信息；

特征提取模块，用于利用预设的特征提取模型，从所述维度信息中提取所述待检测请求报文的特征信息；

识别检测模块，用于利用预设的检测识别模型分析所述特征信息，判断所述待检测请求报文是否属于正常报文；