[发明专利]基于网站应用系统访问的恶意流量识别方法及系统

说明书

本申请提供一种基于网站应用系统访问的恶意流量识别方法及系统，其中，所述方法包括：获取网站访问流量中的指定数据，所述指定数据包括GET数据和/或POST数据；对获取到的所述指定数据进行模式适配分析，以识别所述指定数据中的元素；基于识别出的所述元素，计算所述指定数据对应的模式权值；其中，各阶段的权值基于标准集库内数据之间的距离确定；根据计算的模式权值，设置阈值区间，所述阈值区间包括恶意阈值区间、待测阈值区间以及正常阈值区间；动态学习标准集和对应的阈值区间，以对所述标准集和阈值区间进行校正，并通过校正后的结果识别恶意流量。本申请提供的技术方案，能够提高恶意流量识别的正确率。

技术领域

本发明涉及互联网技术领域，特别涉及一种基于网站应用系统访问的恶意流量识别方法及系统。

背景技术

随着网络技术的快速发展以及网络规模的急剧膨胀，网络中的安全漏洞被攻击者越来越多的利用以攻击网络中的主机。网络攻击中常见的是一种基于页面的分布式拒绝服务攻击(Distributed Denial of Service，DDoS)。攻击者通常可以不断向目标服务器发送消耗目标服务器性能的请求报文，导致目标服务器不断执行大量的计算或操作，耗费大量资源。当目标服务器执行的计算或操作达到自身CPU的处理极限时，将导致正常的访问被终止处理，甚至宕机。

针对上述情况，现有的识别恶意流量的方式可以通过跳转检测来实现。在该方法中，一般会在目标服务器之前添加一个跳转检测设备以检测发送至所述目标服务器的报文。该跳转检测设备可以在目标服务器接收到请求报文之前，代替目标服务器向请求端发送一个验证报文。攻击请求端往往不会对返回的验证报文做出响应，而是继续向目标服务器发起新的访问请求。检测设备接收不到攻击请求端发来的确认信息，则不会放行攻击请求端对目标服务器的访问请求。然而，攻击者可以通过肉鸡或者代理服务器向目标服务器发起攻击。肉鸡或者代理服务器可以对跳转检测设备返回的验证报文进行响应，比如再次向目标服务器发送携带只有跳转检测设备知晓的密钥的确认信息，这样便可以穿透上述现有技术的识别恶意流量的方式。

发明内容

本申请的目的在于提供一种基于网站应用系统访问的恶意流量识别方法及系统，能够提高恶意流量识别的正确率。

本申请提供一种基于网站应用系统访问的恶意流量识别方法，所述方法包括：获取网站访问流量中的指定数据，所述指定数据包括GET数据和/或POST数据；对获取到的所述指定数据进行模式适配分析，以识别所述指定数据中的元素；基于识别出的所述元素，计算所述指定数据对应的模式权值；其中，各阶段的权值基于标准集库内数据之间的距离确定；根据计算的模式权值，设置阈值区间，所述阈值区间包括恶意阈值区间、待测阈值区间以及正常阈值区间；动态学习标准集和对应的阈值区间，以对所述标准集和阈值区间进行校正，并通过校正后的结果识别恶意流量。

进一步地，对获取到的所述指定数据进行模式适配分析包括：对所述指定数据进行段式分割，得到多个段式数据；在同一个段式数据内进行样式分割，得到所述段式数据对应的样式数据；在样式数据中进行元素识别，得到所述指定数据中的元素。

进一步地，计算所述指定数据对应的模式权值包括：确定所述指定数据中各个元素与标准元素之间的距离，并计算确定出的距离的均值；根据计算的所述均值确定所述指定数据的模式权值，其中，所述均值与所述模式权值成反比。

进一步地，动态学习标准集和对应的阈值区间包括：确定所述标准集的真实区间，并将所述标准集中的数据输入深度学习网络，得到所述标准集对应的判别区间；计算所述真实区间与所述判别区间之间的差异值，并根据所述差异值对所述标准集中的数据进行调整，以使得将调整后的标准集中的数据输入所述深度学习网络后，再次得到的判别区间与所述真实区间一致；根据调整后的标准集重新确定阈值区间。