本申请提供一种基于网站应用系统访问的恶意流量识别方法及系统,其中,所述方法包括:获取网站访问流量中的指定数据,所述指定数据包括GET数据和/或POST数据;对获取到的所述指定数据进行模式适配分析,以识别所述指定数据中的元素;基于识别出的所述元素,计算所述指定数据对应的模式权值;其中,各阶段的权值基于标准集库内数据之间的距离确定;根据计算的模式权值,设置阈值区间,所述阈值区间包括恶意阈值区间、待测阈值区间以及正常阈值区间;动态学习标准集和对应的阈值区间,以对所述标准集和阈值区间进行校正,并通过校正后的结果识别恶意流量。本申请提供的技术方案,能够提高恶意流量识别的正确率。
【技术实现步骤摘要】
基于网站应用系统访问的恶意流量识别方法及系统
本专利技术涉及互联网
,特别涉及一种基于网站应用系统访问的恶意流量识别方法及系统。
技术介绍
随着网络技术的快速发展以及网络规模的急剧膨胀,网络中的安全漏洞被攻击者越来越多的利用以攻击网络中的主机。网络攻击中常见的是一种基于页面的分布式拒绝服务攻击(DistributedDenialofService,DDoS)。攻击者通常可以不断向目标服务器发送消耗目标服务器性能的请求报文,导致目标服务器不断执行大量的计算或操作,耗费大量资源。当目标服务器执行的计算或操作达到自身CPU的处理极限时,将导致正常的访问被终止处理,甚至宕机。针对上述情况,现有的识别恶意流量的方式可以通过跳转检测来实现。在该方法中,一般会在目标服务器之前添加一个跳转检测设备以检测发送至所述目标服务器的报文。该跳转检测设备可以在目标服务器接收到请求报文之前,代替目标服务器向请求端发送一个验证报文。攻击请求端往往不会对返回的验证报文做出响应,而是继续向目标服务器发起新的访问请求。检测设备接收不到攻击请求端发来的确认信息,则不会放行攻击请求端对目标服务器的访问请求。然而,攻击者可以通过肉鸡或者代理服务器向目标服务器发起攻击。肉鸡或者代理服务器可以对跳转检测设备返回的验证报文进行响应,比如再次向目标服务器发送携带只有跳转检测设备知晓的密钥的确认信息,这样便可以穿透上述现有技术的识别恶意流量的方式。
技术实现思路
本申请的目的在于提供一种基于网站应用系统访问的恶意流量识别方法及系统,能够提高恶意流量识别的正确率。本申请提供一种基于网站应用系统访问的恶意流量识别方法,所述方法包括:获取网站访问流量中的指定数据,所述指定数据包括GET数据和/或POST数据;对获取到的所述指定数据进行模式适配分析,以识别所述指定数据中的元素;基于识别出的所述元素,计算所述指定数据对应的模式权值;其中,各阶段的权值基于标准集库内数据之间的距离确定;根据计算的模式权值,设置阈值区间,所述阈值区间包括恶意阈值区间、待测阈值区间以及正常阈值区间;动态学习标准集和对应的阈值区间,以对所述标准集和阈值区间进行校正,并通过校正后的结果识别恶意流量。进一步地,对获取到的所述指定数据进行模式适配分析包括:对所述指定数据进行段式分割,得到多个段式数据;在同一个段式数据内进行样式分割,得到所述段式数据对应的样式数据;在样式数据中进行元素识别,得到所述指定数据中的元素。进一步地,计算所述指定数据对应的模式权值包括:确定所述指定数据中各个元素与标准元素之间的距离,并计算确定出的距离的均值;根据计算的所述均值确定所述指定数据的模式权值,其中,所述均值与所述模式权值成反比。进一步地,动态学习标准集和对应的阈值区间包括:确定所述标准集的真实区间,并将所述标准集中的数据输入深度学习网络,得到所述标准集对应的判别区间;计算所述真实区间与所述判别区间之间的差异值,并根据所述差异值对所述标准集中的数据进行调整,以使得将调整后的标准集中的数据输入所述深度学习网络后,再次得到的判别区间与所述真实区间一致;根据调整后的标准集重新确定阈值区间。进一步地,通过校正后的结果识别恶意流量包括:获取待检测的目标数据,并对所述目标数据进行模式适配分析,以识别所述目标数据中的元素;基于识别出的所述元素,计算所述目标数据对应的目标模式权值;确定所述目标模式权值对应的目标阈值区间,当所述目标阈值区间包含于所述恶意阈值区间内时,判定所述目标数据为恶意流量数据。本申请还提供一种基于网站应用系统访问的恶意流量识别系统,所述系统包括:指定数据获取单元,用于获取网站访问流量中的指定数据,所述指定数据包括GET数据和/或POST数据;适配分析单元,用于对获取到的所述指定数据进行模式适配分析,以识别所述指定数据中的元素;模式权值计算单元,用于基于识别出的所述元素,计算所述指定数据对应的模式权值;其中,各阶段的权值基于标准集库内数据之间的距离确定;阈值区间设置单元,用于根据计算的模式权值,设置阈值区间,所述阈值区间包括恶意阈值区间、待测阈值区间以及正常阈值区间;校正单元,用于动态学习标准集和对应的阈值区间,以对所述标准集和阈值区间进行校正,并通过校正后的结果识别恶意流量。进一步地,所述适配分析单元包括:段式分割模块,用于对所述指定数据进行段式分割,得到多个段式数据;样式分割模块,用于在同一个段式数据内进行样式分割,得到所述段式数据对应的样式数据;元素识别模块,用于在样式数据中进行元素识别,得到所述指定数据中的元素。进一步地,所述模式权值计算单元包括:距离确定模块,用于确定所述指定数据中各个元素与标准元素之间的距离,并计算确定出的距离的均值;权值确定模块,用于根据计算的所述均值确定所述指定数据的模式权值,其中,所述均值与所述模式权值成反比。进一步地,所述校正单元包括:预测模块,用于确定所述标准集的真实区间,并将所述标准集中的数据输入深度学习网络,得到所述标准集对应的判别区间;调整模块,用于计算所述真实区间与所述判别区间之间的差异值,并根据所述差异值对所述标准集中的数据进行调整,以使得将调整后的标准集中的数据输入所述深度学习网络后,再次得到的判别区间与所述真实区间一致;区间重置模块,用于根据调整后的标准集重新确定阈值区间。进一步地,所述校正单元包括:目标数据获取模块,用于获取待检测的目标数据,并对所述目标数据进行模式适配分析,以识别所述目标数据中的元素;目标权值计算模块,用于基于识别出的所述元素,计算所述目标数据对应的目标模式权值;判定模块,用于确定所述目标模式权值对应的目标阈值区间,当所述目标阈值区间包含于所述恶意阈值区间内时,判定所述目标数据为恶意流量数据。由上可见,在本申请中,可以通过机器学习以及自动校正的方式,对服务器接收到的各种流量数据进行分类,从而可以精确地识别恶意流量数据。具体地,可以对获取到的数据进行模式适配分析,从而得到数据中包含的元素。通过这些元素,可以计算得到数据的模式权重,该模式权重可以基于不同流量的标准集中数据之间的距离来确定。计算出的模式权重可以与阈值区间相对应,其中,阈值区间可以划分为恶意阈值区间、待测阈值区间以及正常阈值区间,这些阈值区间从而可以用于判定待检测的流量是否属于恶意流量。此外,还可以动态地对划分得到的标准集以及对应的阈值区间进行校正,使得对恶意流量的检测效果更加精确。由上可见,本申请提供的技术方案,能够提高恶意流量识别的正确率。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通过附图和实施例,对本专利技术的技术方案做进一步的详细描述。附图说明附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术,并不构成对本专利技术的限制。在附图中:图1为本专利技术实施例中基于网站应用系统访问的恶意流量识别方法的流程图;图2为本专利技术实施例中基于网站应用系统访问的恶意流量识别系统构示意图。具体实施方式以下结合附图对本专利技术的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解本文档来自技高网...
【技术保护点】
1.基于网站应用系统访问的恶意流量识别方法,其特征在于,所述方法包括:获取网站访问流量中的指定数据,所述指定数据包括GET数据和/或POST数据;对获取到的所述指定数据进行模式适配分析,以识别所述指定数据中的元素;基于识别出的所述元素,计算所述指定数据对应的模式权值;其中,各阶段的权值基于标准集库内数据之间的距离确定;根据计算的模式权值,设置阈值区间,所述阈值区间包括恶意阈值区间、待测阈值区间以及正常阈值区间;动态学习标准集和对应的阈值区间,以对所述标准集和阈值区间进行校正,并通过校正后的结果识别恶意流量。
【技术特征摘要】
1.基于网站应用系统访问的恶意流量识别方法,其特征在于,所述方法包括:获取网站访问流量中的指定数据,所述指定数据包括GET数据和/或POST数据;对获取到的所述指定数据进行模式适配分析,以识别所述指定数据中的元素;基于识别出的所述元素,计算所述指定数据对应的模式权值;其中,各阶段的权值基于标准集库内数据之间的距离确定;根据计算的模式权值,设置阈值区间,所述阈值区间包括恶意阈值区间、待测阈值区间以及正常阈值区间;动态学习标准集和对应的阈值区间,以对所述标准集和阈值区间进行校正,并通过校正后的结果识别恶意流量。2.根据权利要求1所述的方法,其特征在于,对获取到的所述指定数据进行模式适配分析包括:对所述指定数据进行段式分割,得到多个段式数据;在同一个段式数据内进行样式分割,得到所述段式数据对应的样式数据;在样式数据中进行元素识别,得到所述指定数据中的元素。3.根据权利要求1所述的方法,其特征在于,计算所述指定数据对应的模式权值包括:确定所述指定数据中各个元素与标准元素之间的距离,并计算确定出的距离的均值;根据计算的所述均值确定所述指定数据的模式权值,其中,所述均值与所述模式权值成反比。4.根据权利要求1所述的方法,其特征在于,动态学习标准集和对应的阈值区间包括:确定所述标准集的真实区间,并将所述标准集中的数据输入深度学习网络,得到所述标准集对应的判别区间;计算所述真实区间与所述判别区间之间的差异值,并根据所述差异值对所述标准集中的数据进行调整,以使得将调整后的标准集中的数据输入所述深度学习网络后,再次得到的判别区间与所述真实区间一致;根据调整后的标准集重新确定阈值区间。5.根据权利要求1所述的方法,其特征在于,通过校正后的结果识别恶意流量包括:获取待检测的目标数据,并对所述目标数据进行模式适配分析,以识别所述目标数据中的元素;基于识别出的所述元素,计算所述目标数据对应的目标模式权值;确定所述目标模式权值对应的目标阈值区间,当所述目标阈值区间包含于所述恶意阈值区间内时,判定所述目标数据为恶意流量数据。6.基于网站应用系统访问的恶意流量识别系统,其特征在于,所述系统包括:指定数据获取单元,用于获取网站访问流量中的指...
【专利技术属性】
技术研发人员:龙春,万巍,申罕骥,赵静,杨帆,
申请(专利权)人:中国科学院计算机网络信息中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。