[发明专利]网络攻击的检测方法和装置

权利要求书

1.一种网络攻击的检测方法，包括：

对网络的前端输入数据进行聚类处理；

根据聚类处理结果，确定所述前端输入数据的关键特征；

利用机器学习模型处理所述关键特征，识别出网络攻击的漏洞。

2.根据权利要求1所述的检测方法，其中，所述对网络的前端输入数据进行聚类处理包括：

将前端输入数据中彼此距离最远的两个数据中的一个，确定为初始聚类中心；

根据所述初始聚类中心，生成多个扩展聚类中心，所述初始聚类中心和所述多个扩展聚类中心组成第一聚类中心集合；

根据所述第一聚类中心集合，对所述前端输入数据进行聚类处理。

3.根据权利要求2所述的检测方法，其中，所述根据所述初始聚类中心，生成多个扩展聚类中心包括：

以所述两个数据的中点为旋转中心，以所述两个数据的距离的一半为旋转半径，以所述初始聚类中心为初始旋转起点，连续进行多次旋转，以生成所述多个扩展聚类中心。

4.根据权利要求3所述的检测方法，其中，每次旋转的起点为上一次旋转的终点，每次旋转的角度为预设角度。

5.根据权利要求2所述的检测方法，其中，所述对网络的前端输入数据进行聚类处理包括：

利用k-means++处理所述前端输入数据，得到第二聚类中心集合；

根据所述第一聚类中心集合和所述第二聚类中心集合，对所述前端输入数据进行聚类处理。

6.根据权利要求1所述的检测方法，其中，所述对网络的前端输入数据进行聚类处理包括：

计算各前端输入数据与其他前端输入数据之间距离的和；

将距离的和最大的前端输入数据确定为孤立点，并进行剔除处理；

对剔除处理后剩余的前端输入数据进行聚类处理。

7.根据权利要求1所述的检测方法，其中，所述根据聚类处理结果，确定所述前端输入数据的关键特征包括：

根据所述聚类处理的聚类中心，确定所述前端输入数据的关键特征。

8.根据权利要求1所述的检测方法，还包括：

在跨站脚本攻击xss请求开始处、xss生成后以及xss语句执行中或执行后，利用插桩技术，获取所述前端输入数据。

9.根据权利要求8所述的检测方法，其中，所述获取所述前端输入数据包括：

在xss请求开始处，获取请求信息特征；

在xss生成后，获取xss静态特征；

在xss语句执行后，获取xss动态特征。

10.根据权利要求1-9任一项所述的检测方法，其中，所述前端输入数据包括文本数据、用户请求信息中的至少一项。

11.一种网络攻击的检测装置，包括：

聚类单元，用于对网络的前端输入数据进行聚类处理；

确定单元，用于根据聚类处理结果，确定所述前端输入数据的关键特征；

识别单元，用于利用机器学习模型处理所述关键特征，识别出网络攻击的漏洞。

12.根据权利要求11所述的检测装置，还包括：

获取单元，用于在跨站脚本攻击xss请求开始处、xss生成后以及xss语句执行中或执行后，利用插桩技术，获取所述前端输入数据。

13.一种网络攻击的检测装置，包括：

存储器；和

耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行权利要求1-10任一项所述的网络攻击的检测方法。

14.一种非易失性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现权利要求1-10任一项所述的网络攻击的检测方法。