WEB后门攻击事件的检测方法、装置及电子设备制造方法及图纸

技术编号:23472984 阅读:20 留言:0更新日期:2020-03-06 14:12
本发明专利技术提供了一种WEB后门攻击事件的检测方法、装置及电子设备,涉及机器学习的技术领域,该方法包括:获取WEB服务器产生的告警日志;将告警日志输入预先训练好的WEB后门攻击检测模型;其中,WEB后门攻击检测模型为基于标注好的告警日志样本训练得到的,告警日志样本包括标注有WEB后门攻击事件的告警日志正样本和标注有非WEB后门攻击事件的告警日志负样本;通过WEB后门攻击检测模型检测告警日志对应网址的网页内容,得到告警日志的检测结果;其中,检测结果包括告警日志为WEB后门攻击事件或告警日志不为WEB后门攻击事件。本发明专利技术提升了WEB后门攻击事件的检测准确率。

Detection method, device and electronic equipment of Web backdoor attack event

【技术实现步骤摘要】
WEB后门攻击事件的检测方法、装置及电子设备
本专利技术涉及机器学习
,尤其是涉及一种WEB后门攻击事件的检测方法、装置及电子设备。
技术介绍
在网络安全事件调查和网络攻击应急响应的事件中,网络安全设备中会产生大量的WEB后门攻击的告警,为了防止WEB后门攻击事件的误报与漏报,需要对WEB服务器产生的告警日志进行进一步排查。然而,现有的WEB后门攻击事件检测技术主要采用人为分析的方法,工作人员发现网络安全防护设备上出现WEB后门攻击告警后,人工登录该告警的告警日志对应的网页,并根据经验判断该网页是否为存在WEB后门攻击。由于网络安全防护设备上误报太多,导致安全人员需要花费较大的精力来排查误报,并且有可能忽略重要的线索。因此,目前的WEB后门攻击事件检测技术还存在检测准确率较低的问题。
技术实现思路
本专利技术实施例的目的在于提供一种WEB后门攻击事件的检测方法、装置及电子设备,提升了WEB后门攻击事件的检测准确率。第一方面,本专利技术实施例提供了一种WEB后门攻击事件的检测方法,包括:获取WEB服务器产生的告警日志;将所述告警日志输入预先训练好的WEB后门攻击检测模型;其中,所述WEB后门攻击检测模型为基于标注好的告警日志样本训练得到的,所述告警日志样本包括标注有WEB后门攻击事件的告警日志正样本和标注有非WEB后门攻击事件的告警日志负样本;通过所述WEB后门攻击检测模型检测所述告警日志对应网址的网页内容,得到所述告警日志的检测结果;其中,所述检测结果包括所述告警日志为WEB后门攻击事件或所述告警日志不为WEB后门攻击事件。在可选的实施方式中,所述通过所述WEB后门攻击检测模型检测所述告警日志对应网址的网页内容,得到所述告警日志的检测结果的步骤,包括:利用所述WEB后门攻击检测模型从所述告警日志中提取满足预设条件的目标网址;获取所述目标网址的网页内容,并从所述目标网址的网页内容中提取关键词信息;利用k-近邻算法对所述关键词信息进行分类,将得到的分类结果作为所述告警日志的检测结果。在可选的实施方式中,所述利用所述WEB后门攻击检测模型从所述告警日志中提取满足预设条件的目标网址的步骤,包括:基于所述告警日志中的响应码信息,提取所述响应码信息为响应成功的网址作为目标网址。在可选的实施方式中,所述获取所述目标网址的网页内容,并从所述网址的网页内容中提取关键词信息的步骤,包括:基于所述目标网址的网页内容获取所述目标网址的关键信息,并利用分词算法和词袋模型生成所述关键信息的数据集;基于关键词提取算法从所述数据集中提取关键词和所述关键词的词频。在可选的实施方式中,所述基于所述目标网址的网页内容获取所述目标网址的关键信息,利用分词算法和词袋模型生成所述关键信息的数据集的步骤,包括:剔除所述目标网址的网页内容中的无用信息,获取所述目标网址的关键信息;其中,所述无用信息包括标点符号和数值;利用jieba分词算法对所述关键信息进行分词,获得所述关键信息包含的词语;利用词袋模型统计所述词语的出现次数,并根据所述词语和所述词语的出现次数生成所述关键信息的数据集。在可选的实施方式中,所述关键词提取算法为TextRank关键词提取算法。第二方面,本专利技术实施例提供了一种WEB后门攻击事件的检测装置,包括:日志获取模块,用于获取WEB服务器产生的告警日志;日志输入模块,用于将所述告警日志输入预先训练好的WEB后门攻击检测模型;其中,所述WEB后门攻击检测模型为基于标注好的告警日志样本训练得到的,所述告警日志样本包括标注有WEB后门攻击事件的告警日志正样本和标注有非WEB后门攻击事件的告警日志负样本;日志检测模块,用于通过所述WEB后门攻击检测模型检测所述告警日志对应网址的网页内容,得到所述告警日志的检测结果;其中,所述检测结果包括所述告警日志为WEB后门攻击事件或所述告警日志不为WEB后门攻击事件。第三方面,本专利技术实施例提供了一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如第一方面所述的方法的步骤。第四方面,本专利技术实施例提供了一种计算机可读介质,其中,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现如第一方面所述的方法。本专利技术实施例提供了一种WEB后门攻击事件的检测方法、装置及电子设备,首先获取WEB服务器产生的告警日志;然后将告警日志输入预先训练好的WEB后门攻击检测模型(基于标注好的告警日志样本训练得到的,告警日志样本包括标注有WEB后门攻击事件的告警日志正样本和标注有非WEB后门攻击事件的告警日志负样本);最后通过所述WEB后门攻击检测模型检测告警日志对应网址的网页内容,得到告警日志的检测结果(告警日志为WEB后门攻击事件或告警日志不为WEB后门攻击事件)。在该方法中,基于预先训练好的WEB后门攻击检测模型对告警日志对应网址的网页内容进行检测,可以实现对告警日志的自动检测,且WEB后门攻击检测模型在检测告警日志对应网址的网页内容时不会忽略告警日志中的任何细节,从而提升了WEB后门攻击事件的检测准确率。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种WEB后门攻击事件的检测方法流程图;图2为本专利技术实施例提供的一种WEB后门攻击事件检测流程图;图3为本专利技术实施例提供的一种WEB后门攻击事件的检测装置结构示意图;图4为本专利技术实施例提供的一种电子设备结构示意图。具体实施方式下面将结合实施例对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。考虑到目前的WEB后门攻击事件检测技术还存在检测准确率较低的问题,本专利技术实施例提供了一种WEB后门攻击事件的检测方法、装置及电子设备,可以应用于提升WEB后门攻击事件的检测准确率。为便于对本实施例进行理解,首先对本专利技术实施例所公开的一种WEB后门攻击事件的检测方法、装置及电子设备进行详细介绍。本专利技术实施例提供了一种WEB后门攻击事件的检测方法,参见如图1所示的WEB后门攻击事件的检测方法流程图,该方法可以由与WEB服务器通信连接的网络安全设备执行,该方法包括以下步骤S102~步骤S106:步骤S102:获取WEB服务器产生的告警日志。WEB服务器与网络安全设备通信连接,从而使网络安全设备可以获取到WEB服务器产生的告警信息。在对WEB服务器进行WEB后门攻击检测时,可以获取W本文档来自技高网...

【技术保护点】
1.一种WEB后门攻击事件的检测方法,其特征在于,包括:/n获取WEB服务器产生的告警日志;/n将所述告警日志输入预先训练好的WEB后门攻击检测模型;其中,所述WEB后门攻击检测模型为基于标注好的告警日志样本训练得到的,所述告警日志样本包括标注有WEB后门攻击事件的告警日志正样本和标注有非WEB后门攻击事件的告警日志负样本;/n通过所述WEB后门攻击检测模型检测所述告警日志对应网址的网页内容,得到所述告警日志的检测结果;其中,所述检测结果包括所述告警日志为WEB后门攻击事件或所述告警日志不为WEB后门攻击事件。/n

【技术特征摘要】
1.一种WEB后门攻击事件的检测方法,其特征在于,包括:
获取WEB服务器产生的告警日志;
将所述告警日志输入预先训练好的WEB后门攻击检测模型;其中,所述WEB后门攻击检测模型为基于标注好的告警日志样本训练得到的,所述告警日志样本包括标注有WEB后门攻击事件的告警日志正样本和标注有非WEB后门攻击事件的告警日志负样本;
通过所述WEB后门攻击检测模型检测所述告警日志对应网址的网页内容,得到所述告警日志的检测结果;其中,所述检测结果包括所述告警日志为WEB后门攻击事件或所述告警日志不为WEB后门攻击事件。


2.根据权利要求1所述的方法,其特征在于,所述通过所述WEB后门攻击检测模型检测所述告警日志对应网址的网页内容,得到所述告警日志的检测结果的步骤,包括:
利用所述WEB后门攻击检测模型从所述告警日志中提取满足预设条件的目标网址;
获取所述目标网址的网页内容,并从所述目标网址的网页内容中提取关键词信息;
利用k-近邻算法对所述关键词信息进行分类,将得到的分类结果作为所述告警日志的检测结果。


3.根据权利要求2所述的方法,其特征在于,所述利用所述WEB后门攻击检测模型从所述告警日志中提取满足预设条件的目标网址的步骤,包括:
基于所述告警日志中的响应码信息,提取所述响应码信息为响应成功的网址作为目标网址。


4.根据权利要求2或3所述的方法,其特征在于,所述获取所述目标网址的网页内容,并从所述网址的网页内容中提取关键词信息的步骤,包括:
基于所述目标网址的网页内容获取所述目标网址的关键信息,并利用分词算法和词袋模型生成所述关键信息的数据集;
基于关键词提取算法从所述数据集中提取关键词和所述关键词的词频。


5.根据权利要求4所述的方法,其特征在于,所述基于所述目标网址的网页内容获取所述目标网址的关键信息,利用分词算法和词袋模型生成所述关键信息的数据集的步骤,包括:
剔除所述目标...

【专利技术属性】
技术研发人员:周忠锦范渊黄进
申请(专利权)人:杭州安恒信息技术股份有限公司
类型:发明
国别省市:浙江;33

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1