[发明专利]一种检测web攻击的方法及系统

说明书

本发明提供一种检测web攻击的方法，包括：对pikachu靶场进行漏洞验证和漏洞利用，得到异常请求数据；对pikachu靶场进行正常访问，得到正常请求数据；通过TF‑IDF模型提取异常请求数据和正常请求数据的特征值；对异常请求数据和正常请求数据的特征值进行归一化处理据；将归一化异常请求特征数据和归一化正常请求特征数据输入到分类算法模型中进行训练，得到目标检测模型；通过目标检测模型判断网页请求是正常请求或者恶意请求。本发明还提供一种检测web攻击的系统。本发明可以对没有包含在训练样本中的未知攻击方式也有一定的识别能力，从而解决了传统规则库的缺陷。

技术领域

本发明涉及信息安全技术领域，具体涉及一种检测web攻击的方法及系统。

背景技术

通常检测web攻击的系统叫做WEB应用防火墙，简称WAF(web applicationfirewall)，可以防止WEB应用免受各种常见攻击，比如SQL注入，跨站脚本攻击(XSS)，命令注入(OS命令，webshell等)。Waf会在流量抵达应用服务器之前检测可疑访问，对非法请求予以实时阻断，同时也能防止从web应用获取未经授权的数据。在Verizon数据泄露调查报告中将Web应用攻击列为最常见的攻击之后，web应用安全变的越来越重要。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。

传统WAF对恶意流量的检测能力非常依赖规则库，规则越多识别率越高，并且这个识别率只是针对已知的攻击方式，对未知的攻击方式完全没有检测能力。通常传统的WAF想要提高检测能力，就得不断地添加新的规则到规则库，但随着规则库的不断庞大，检测性能会降低，因为每一条请求都需要跟规则库比对一遍。

发明内容

本发明的目的在于提供一种检测性能高的检测web攻击的方法及系统。

为解决上述技术问题，本发明提供一种检测web攻击的方法，包括以下步骤：

对pikachu靶场进行漏洞验证和漏洞利用，得到异常请求数据；

对pikachu靶场进行正常访问，得到正常请求数据；

通过TF-IDF模型提取异常请求数据和正常请求数据的特征值；

对异常请求数据和正常请求数据的特征值进行归一化处理，得到归一化异常请求特征数据和归一化正常请求特征数据；

将归一化异常请求特征数据和归一化正常请求特征数据输入到分类算法模型中进行训练，得到目标检测模型；

通过目标检测模型判断网页请求是正常请求或者恶意请求。

优选地，将归一化异常请求特征数据和归一化正常请求特征数据输入到分类算法模型中进行训练，得到目标检测模型，具体包括以下步骤：

将归一化异常请求特征数据和归一化正常请求特征数据输入到分类算法模型中进行训练；

在训练过程中，采用网格搜索方法选择合适的分类算法超参数，并通过十字交叉验证，得到目标检测模型。

优选地，所述分类算法模型为K近邻算法模型、逻辑回归算法模型、决策树算法模型、随机森林算法模型、支持向量机算法模型、xgboost算法模型或朴素贝叶斯算法模型。

优选地，所述分类算法模型为xgboost算法模型。

优选地，所述xgboost算法使用基于histogram的决策树算法，把连续的浮点特征值离散化成k个整数，同时构造一个宽度为k的直方图；在遍历数据的时候，根据离散化后的值作为索引在直方图中累积统计量，当遍历一次数据后，直方图累积了需要的统计量，然后根据直方图的离散值，遍历寻找最优的分割点。

优选地，对pikachu靶场进行漏洞验证和漏洞利用，得到异常请求数据；对pikachu靶场进行正常访问，得到正常请求数据；具体包括以下步骤：