本发明专利技术提供了一种基于机器学习的WAF正常流量建模方法以及装置,涉及流量检测技术领域,获取目标URL,并对所述目标URL中的字符进行分类,得到多个类别;基于所述目标URL中的字符,计算目标切换概率,其中,所述目标切换概率表示所述多个类别中的一个类别切换到另外一个类别的概率;结合所述目标URL中的字符和所述目标切换概率,通过机器学习算法建立WAF正常流量模型,其中,所述WAF正常流量为非网络入侵流量,解决了现有技术中存在的WAF识别异常流量方法的准确性较低的技术问题。
【技术实现步骤摘要】
基于机器学习的WAF正常流量建模方法以及装置
本专利技术涉及流量检测
,尤其是涉及一种基于机器学习的WAF正常流量建模方法以及装置。
技术介绍
目前,全球广域网或万维网(WorldWideWeb,简称WEB)应用越来越丰富,但由于WEB服务器的强大的计算能力、处理性能及蕴含的较高价值,使之逐渐成为主要的攻击目。例如,结构化查询语言(StructuredQueryLanguage,简称SQL)注入、网页篡改、网页挂马等安全事件频繁发生。对于现有的网站应用级入侵防御系统(WebApplicationFirewall,简称:WAF)识别异常流量的方法,通常采用与异常流量规则集相匹配的方式来识别异常流量。但是,通过该方法进行识别很容易导致异常流量的误报、漏报等情况,因此,现有的WAF识别异常流量方法的准确性较低。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种基于机器学习的WAF正常流量建模方法以及装置,以解决现有技术中存在的WAF识别异常流量方法的准确性较低的技术问题。第一方面,本专利技术实施例提供了一种基于机器学习的WAF正常流量建模方法,应用于服务器,包括:获取目标统一资源定位符(UniformResourceLocator,简称URL),并对所述目标URL中的字符进行分类,得到多个类别;基于所述目标URL中的字符,计算目标切换概率,其中,所述目标切换概率表示所述多个类别中的一个类别切换到另外一个类别的概率;结合所述目标URL中的字符和所述目标切换概率,通过机器学习算法建立WAF正常流量模型,其中,所述WAF正常流量为非网络入侵流量。结合第一方面,本专利技术实施例提供了第一方面的第一种可能的实施方式,其中,对所述目标URL中的字符进行分类,得到多个类别,包括:基于所述目标URL中字符的所属状态,对所述字符进行分类,得到多个类别,其中,所述所属状态包括以下至少之一:数字状态、文字状态、符号状态、结束状态、开始状态。结合第一方面,本专利技术实施例提供了第一方面的第二种可能的实施方式,其中,基于所述目标URL中的字符,计算目标切换概率,包括:根据预设格式条件与所述目标URL中的请求内容,确定所述目标URL的字符中多个类别之间的切换事件,其中,所述切换事件表示所述多个类别中的一个类别切换到另外一个类别的事件;计算每个所述切换事件的发生概率,并根据所述发生概率确定目标切换概率。结合第一方面,本专利技术实施例提供了第一方面的第三种可能的实施方式,其中,结合所述目标URL中的字符和所述目标切换概率,通过机器学习算法建立WAF正常流量模型,包括:根据所述目标URL中字符的顺序,计算多个所述目标切换概率的乘积,得到目标计算式,其中,所述目标计算式用于计算所述目标URL的总概率值;结合所述目标计算式和机器学习算法建立所述WAF正常流量模型。结合第一方面,本专利技术实施例提供了第一方面的第四种可能的实施方式,其中,所述方法还包括:通过所述WAF正常流量模型进行计算,得到待计算URL的总概率值;将预设阈值与所述待计算URL的总概率值进行对比;若所述待计算URL的总概率值大于所述预设阈值,则确定所述待计算URL的第一WAF流量检测结果为通过。结合第一方面,本专利技术实施例提供了第一方面的第五种可能的实施方式,其中,所述方法还包括:若所述待计算URL的总概率值小于或等于所述预设阈值,则确定所述待计算URL的第一WAF流量检测结果为不通过。结合第一方面,本专利技术实施例提供了第一方面的第六种可能的实施方式,其中,所述方法还包括:若所述待计算URL的第一WAF流量检测结果为通过,则根据预设异常流量集合对所述待计算URL进行异常流量检测,得到第二WAF流量检测结果,其中,所述预设异常流量集合包括至少一个网络入侵流量。第二方面,本专利技术实施例还提供一种基于机器学习的WAF正常流量建模装置,应用于服务器,包括:分类模块,用于获取目标URL,并对所述目标URL中的字符进行分类,得到多个类别;计算模块,用于基于所述目标URL中的字符,计算目标切换概率,其中,所述目标切换概率表示所述多个类别中的一个类别切换到另外一个类别的概率;建立模块,用于结合所述目标URL中的字符和所述目标切换概率,通过机器学习算法建立WAF正常流量模型,其中,所述WAF正常流量为非网络入侵流量。第三方面,本专利技术实施例还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述如第一方面所述的方法的步骤。第四方面,本专利技术实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行如第一方面所述的方法。本专利技术实施例提供的技术方案带来了以下有益效果:本专利技术实施例提供的基于机器学习的WAF正常流量建模方法以及装置。首先,获取目标URL,并对目标URL中的字符进行分类从而得到多个类别,然后,基于目标URL中的字符计算目标切换概率,其中,目标切换概率表示多个类别中的一个类别切换到另外一个类别的概率,之后,结合目标URL中的字符和目标切换概率,通过机器学习算法建立WAF正常流量模型,其中,WAF正常流量为非网络入侵流量,因此,通过计算目标URL的字符类别中的一个类别切换到另外一个类别的概率,再利用机器学习算法来建立WAF正常流量模型,使待检测的流量可以通过WAF正常流量模型来进行检测,识别出待检测流量是否符合WAF正常流量模型,与现有技术相比,能够从另一方面、角度来识别出待检测的流量是否为异常流量,从而减少异常流量的误报、漏报等情况,以提高异常流量识别的准确率,从而解决了现有技术中存在的WAF识别异常流量方法的准确性较低的技术问题。本专利技术的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出了本专利技术实施例一所提供的基于机器学习的WAF正常流量建模方法的流程图;图2示出了本专利技术实施例二所提供的基于机器学习的WAF正常流量建模方法的流程图;图3示出了本专利技术实施例二所提供的URL请求参数的示意图;图4示出了本专利技术实施例二所提供的各个状态之间进行切换的概率示意图;图5示出了本专利技术实施例三所提供的一种基于机器学习的WAF正常流量建模装置的结构示意图;图6示出了本专利技术实施例四所提供的一种电子设备的结构示意图。图标:3-基于机器学习的WAF正常流量建模装置;31-分类模块;32-计算模块;33-建立模块;4-电子设备;41-存储器;42-处理器;43-总线;44-通信接口。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例本文档来自技高网...
【技术保护点】
1.一种基于机器学习的WAF正常流量建模方法,应用于服务器,其特征在于,包括:获取目标统一资源定位符URL,并对所述目标URL中的字符进行分类,得到多个类别;基于所述目标URL中的字符,计算目标切换概率,其中,所述目标切换概率表示所述多个类别中的一个类别切换到另外一个类别的概率;结合所述目标URL中的字符和所述目标切换概率,通过机器学习算法建立WAF正常流量模型,其中,所述WAF正常流量为非网络入侵流量。
【技术特征摘要】
1.一种基于机器学习的WAF正常流量建模方法,应用于服务器,其特征在于,包括:获取目标统一资源定位符URL,并对所述目标URL中的字符进行分类,得到多个类别;基于所述目标URL中的字符,计算目标切换概率,其中,所述目标切换概率表示所述多个类别中的一个类别切换到另外一个类别的概率;结合所述目标URL中的字符和所述目标切换概率,通过机器学习算法建立WAF正常流量模型,其中,所述WAF正常流量为非网络入侵流量。2.根据权利要求1所述的方法,其特征在于,对所述目标URL中的字符进行分类,得到多个类别,包括:基于所述目标URL中字符的所属状态,对所述字符进行分类,得到多个类别,其中,所述所属状态包括以下至少之一:数字状态、文字状态、符号状态、结束状态、开始状态。3.根据权利要求1所述的方法,其特征在于,基于所述目标URL中的字符,计算目标切换概率,包括:根据预设格式条件与所述目标URL中的请求内容,确定所述目标URL的字符中多个类别之间的切换事件,其中,所述切换事件表示所述多个类别中的一个类别切换到另外一个类别的事件;计算每个所述切换事件的发生概率,并根据所述发生概率确定目标切换概率。4.根据权利要求1所述的方法,其特征在于,结合所述目标URL中的字符和所述目标切换概率,通过机器学习算法建立WAF正常流量模型,包括:根据所述目标URL中字符的顺序,计算多个所述目标切换概率的乘积,得到目标计算式,其中,所述目标计算式用于计算所述目标URL的总概率值;结合所述目标计算式和机器学习算法建立所述WAF正常流量模型。5.根据权利要求4所述的方法,其特征在于,所述方法还包括...
【专利技术属性】
技术研发人员:唐瑶,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。