[发明专利]基于HTTP请求有效负载的漏洞攻击流量检测方法和系统

说明书

本发明涉及一种基于HTTP请求有效负载的漏洞攻击流量检测方法和系统。该方法包括：从HTTP请求中提取有效负载；对提取的有效负载进行向量化处理；利用向量化处理后的有效负载训练深度学习分类器，所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类；利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量。本发明基于现有大量漏洞在HTTP流量上的表现形式，通过人工智能的方法提取出其中的共性，并形成对所有HTTP类型漏洞都可以检测发现的通用模型，在一定程度上解决了现在技术智能发现已知漏洞的局限性，能够发现未知漏洞。

技术领域

本发明属于网络技术领域，具体涉及一种基于HTTP请求有效负载的漏洞攻击流量检测方法和系统。

背景技术

HTTP协议是目前使用最为广泛的应用层协议之一，也是漏洞攻击行为中最主要的承载协议。在所有已知公开漏洞之中，针对web的漏洞数目是最多的，如Sql注入、XSS漏洞等数量最多的漏洞均是web类漏洞。除了web类漏洞以外，仍有大部分漏洞以HTTP协议发起，对攻击目标产生影响。

HTTP请求包括HTTP请求中的头部字段和负载。有效负载使攻击者可以随意发挥向协议中嵌入任何内容从而完成攻击目的，基于HTTP协议的漏洞攻击实现也几乎都基于此。

当前缺少对HTTP有效负载的漏洞利用检测研究：HTTP请求有效负载是漏洞攻击中最常出现的地方。为了能够在海量流量之中快速发现可能存在漏洞攻击的流量，对HTTP请求有效负载进行安全性检测是高效且准确的措施。基于HTTP请求字段的特性，其内容表现出特征多样性、对普通流量的模仿混淆、数据编码的复杂性等特点，对传统基于机理分析的签名和精准规则匹配算法提出了更高的挑战。因此，研究难点之一在于研究具有载荷的构成模式、数据等方面的特征，构建高准确率和扩展性强的基于深度学习算法的检测模型。

目前对于漏洞利用流量检测，目前比较常用的主要有三种：基于漏洞特征检测、基于Exploit特征检测、基于攻击特征检测。

1)基于漏洞特征检测：对漏洞攻击手段和技术细节比较了解后，研究其触发攻击的必要条件，可以分析出其对应的识别规则，例如缓存区溢出检测、目录遍历检测、远程命令注入检测、远程文件包含检测等；

2)基于Exploit特征检测：从漏洞利用程序中分析独特特征，作为识别规则，例如返回地址检测、ROP Chain检测等；

3)基于攻击特征检测：通过检测漏洞利用相关的相对独立的组件来发现攻击，例如shellcode代码检测、畸形参数攻击检测等等。

当前的方法当大部分都基于已知漏洞的特征实现检测，只能发现已知漏洞的重复利用的行为，没有办法发现未知漏洞和0day漏洞的攻击行为。

发明内容

本发明针对上述问题，提供一种基于HTTP请求有效负载的漏洞攻击流量检测方法和系统。

本发明采用的技术方案如下：

一种基于HTTP请求有效负载的漏洞攻击流量检测方法，包括以下步骤：

从HTTP请求中提取有效负载；

对提取的有效负载进行向量化处理；

利用向量化处理后的有效负载训练深度学习分类器，所述深度学习分类器对正常应用流量、可疑漏洞攻击流量进行分类；

利用训练完成的深度学习分类器检测HTTP流量中的可疑漏洞攻击流量。

进一步地，所述从HTTP请求中提取有效负载，包括：

对于URI_Path部分采用分隔符进行拆分，将目录和目录中的文件前缀后缀进行分割，根据URI_Query中的分隔符对URI_Query字段进行分割，经过分割过后的URL被拆分为一个由单词和短字符串组成的单词列表，其中短字符串统称为单词；