[发明专利]一种Web应用的异常检测方法、系统、存储介质和终端

说明书

本申请一种Web应用的异常检测方法，包括：获取Web应用的HTTP报文；解析所述HTTP报文，确定所述HTTP报文的键值对；利用预设业务检测模型对所述键值对中的键值关系进行检测，以判断所述HTTP报文是否属于正常业务；若否，生成所述Web应用的异常告警本申请接收到HTTP报文后，对HTTP报文进行解析，从而得到HTTP报文包含的全部键值对，利用预设业务检测模型对键值对中的键值关系进行检测，借助分析HTTP报文的上下文信息来判断当前http报文是否为客户的正常业务，从而降低误报率。本申请还提供一种Web应用的异常检测系统、计算机可读存储介质和终端，具有上述有益效果。

技术领域

本申请涉及网络安全领域，特别涉及一种Web应用的异常检测方法、系统、存储介质和终端。

背景技术

因此目前在Web安全检测、安全态势感知等安全产品中，若要保持高检出率则必然会带来大量的误报，对客户业务带来了严重的影响。

Web安全误报中比较常见的为SQL注入、命令注入、XSS等攻击，引擎和规则直接将其拦截，无法识别客户业务模式，从而产生误报。

一个SQL注入误报示例：

例如客户正常的业务数据为：

select cost from TABLE where user＝”amy”and 1＝1

上述SQL语句为客户正常业务，若直接将这种语句直接送到现有的web应用防火墙当中，则会被引擎和规则给拦截，从而影响客户正常的业务，带来误报。

因此，如何降低Web安全检测的误报率是本领域技术人员亟需解决的技术问题。

发明内容

本申请的目的是提供一种Web应用的异常检测方法、Web应用的异常检测系统、存储介质和终端，通过检测HTTP报文中键值对的键值关系，借助分析http报文的上下文信息来判断当前http报文是否为客户的正常业务，能够Web安全检测的误报率。

为解决上述技术问题，本申请提供一种Web应用的异常检测方法，具体技术方案如下：

获取Web应用的HTTP报文；

解析所述HTTP报文，确定所述HTTP报文的键值对；

利用预设业务检测模型对所述键值对中的键值关系进行检测，以判断所述HTTP报文是否属于正常业务；

若否，生成所述Web应用的异常告警。

可选的，所述获取Web应用的HTTP报文之前，还包括：

配置同一IP地址的最大HTTP报文数量；

相应的，所述获取Web应用的HTTP报文时包括：

获取同一IP地址不超过所述最大HTTP报文数量的HTTP报文。

可选的，获取Web应用的HTTP报文时，还包括：

对所述键值对进行正则判断；

若确认存在为黑数据的键值对，舍弃所述黑数据对应的HTTP报文。

可选的，利用预设业务检测模型对所述键值对中的键值关系进行检测，以判断所述HTTP报文是否属于正常业务包括：

利用预设业务检测模型计算所述键值对中的键值关系的流量得分；

确定所述正常业务对应所述预设业务检测模型的训练得分；

若所述流量得分超过所述训练得分的分数位阈值，确认所述HTTP报文属于异常业务；

若所述流量得分未超过所述训练得分的分数位阈值，确认HTTP报文是否属于正常业务。