[发明专利]一种检测web攻击的方法及系统

权利要求书

1.一种检测web攻击的方法，其特征在于，包括以下步骤：

对pikachu靶场进行漏洞验证和漏洞利用，得到异常请求数据；

对pikachu靶场进行正常访问，得到正常请求数据；

通过TF-IDF模型提取异常请求数据和正常请求数据的特征值；

对异常请求数据和正常请求数据的特征值进行归一化处理，得到归一化异常请求特征数据和归一化正常请求特征数据；

将归一化异常请求特征数据和归一化正常请求特征数据输入到分类算法模型中进行训练，得到目标检测模型；

通过目标检测模型判断网页请求是正常请求或者恶意请求。

2.根据权利要求1所述的一种检测web攻击的方法，其特征在于，将归一化异常请求特征数据和归一化正常请求特征数据输入到分类算法模型中进行训练，得到目标检测模型，具体包括以下步骤：

将归一化异常请求特征数据和归一化正常请求特征数据输入到分类算法模型中进行训练；

在训练过程中，采用网格搜索方法选择合适的分类算法超参数，并通过十字交叉验证，得到目标检测模型。

3.根据权利要求2所述的一种检测web攻击的方法，其特征在于：

所述分类算法模型为K近邻算法模型、逻辑回归算法模型、决策树算法模型、随机森林算法模型、支持向量机算法模型、xgboost算法模型或朴素贝叶斯算法模型。

4.根据权利要求3所述的一种检测web攻击的方法，其特征在于：

所述分类算法模型为xgboost算法模型。

5.根据权利要求4所述的一种检测web攻击的方法，其特征在于：

所述xgboost算法使用基于histogram的决策树算法，把连续的浮点特征值离散化成k个整数，同时构造一个宽度为k的直方图；在遍历数据的时候，根据离散化后的值作为索引在直方图中累积统计量，当遍历一次数据后，直方图累积了需要的统计量，然后根据直方图的离散值，遍历寻找最优的分割点。

6.根据权利要求1所述的一种检测web攻击的方法，其特征在于，对pikachu靶场进行漏洞验证和漏洞利用，得到异常请求数据；对pikachu靶场进行正常访问，得到正常请求数据；具体包括以下步骤：

对pikachu靶场进行漏洞验证和漏洞利用，获取pikachu靶场的请求日志，作为异常请求数据；

对pikachu靶场进行正常访问，获取pikachu靶场的请求日志，作为正常请求数据。

7.根据权利要求1所述的一种检测web攻击的方法，其特征在于：

在TF-IDF模型中，IDF＝log(m*N/n+0.01)；

其中：IDF为逆文档频率；m为本类含特征词文档数；N为总文档数；n为所有含特征词文档数；各个特征词的逆文档频率作为异常请求数据和正常请求数据的特征值。

8.根据权利要求1所述的一种检测web攻击的方法，其特征在于，对pikachu靶场进行漏洞验证和漏洞利用，具体包括以下步骤：

使用sqlmap、xray、nuclei或metasploit对pikachu靶场进行漏洞验证和漏洞利用。

9.根据权利要求1所述的一种检测web攻击的方法，其特征在于，所述异常请求数据包括SQL注入、文件遍历、CRLF注入、XSS、SSI攻击样本数据。

10.一种实现权利要求1-9任一所述的检测web攻击的方法的一种检测web攻击的系统，其特征在于，包括：

漏洞验证模块，用于对pikachu靶场进行漏洞验证和漏洞利用，得到异常请求数据；

正常访问模块，用于对pikachu靶场进行正常访问，得到正常请求数据；

特征提取模块，用于通过TF-IDF模型提取异常请求数据和正常请求数据的特征值；

归一化处理模块，用于对异常请求数据和正常请求数据的特征值进行归一化处理，得到归一化异常请求特征数据和归一化正常请求特征数据；

模型训练模块，用于将归一化异常请求特征数据和归一化正常请求特征数据输入到分类算法模型中进行训练，得到目标检测模型；

检测模块，用于通过目标检测模型判断网页请求是正常请求或者恶意请求。