【技术实现步骤摘要】
一种基于深度学习的异常流量检测方法及系统
本专利技术涉及网络信息安全
,具体的说,是一种基于深度学习的异常流量检测方法及系统。
技术介绍
随着智能设备的广泛应用,以及物联网的普及,只要攻克物联网中的一台设备,其他设备就可能瞬间被瓦解。随着互联网的不断发展,内网和外网的分界线逐渐模糊。Web应用防护系统(WAF)是信息安全的第一道防线。其中一个重要的特点通过执行针对HTTP/HTTPS的安全活动规则对HTTP的请求进行异常检测,拒绝不符合活动规则的请求。它可以增大攻击者的攻击难度和攻击成本。但是WAF不是万能的,一方面,硬规则在灵活的黑客面前,很容易通过SQL注入等手段被绕过,并且基于以往知识的规则集难以应对0day攻击(还没有补丁的漏洞)。另一方面,面对黑客试水新技术的工具,单靠安全团队要学习并检测出所有的威胁几乎不可能。这种情况下,防守方规则的构造和维护门开高成本大。
技术实现思路
本专利技术的目的在于提供一种基于深度学习的异常流量检测方法及系统,用于解决现有技术中传统WAF的安全活动规则存在异常流量漏检的问题。本专利技术通过下述技术方案解决上述问题:一种基于深度学习的异常流量检测方法,包括:步骤S100:设备源向目标服务器发起HTTP请求;步骤S200:Web应用防护系统通过执行针对HTTP/HTTPS的安全活动规则对HTTP的请求进行异常检测,拒绝不符合安全活动规则的请求并发送至安全团队;将符合安全活动规则的请求向下一级转发;步骤S300:AIW...
【技术保护点】
1.一种基于深度学习的异常流量检测方法,其特征在于,包括:/n步骤S100:设备源向目标服务器发起HTTP请求;/n步骤S200:Web应用防护系统通过执行针对HTTP/HTTPS的安全活动规则对HTTP的请求进行异常检测,拒绝不符合安全活动规则的请求并发送至安全团队;将符合安全活动规则的请求向下一级转发;/n步骤S300:AI WAF对通过WEB应用防护系统检测的请求再次检测,对其中的异常请求进行检测、标记并可视化传送至安全团队;/n所述步骤S300具体包括:/n步骤S310:对每条请求数据进行数据清洗、去重;/n步骤S320:用所有请求数据构建特征矩阵;/n步骤S330:将特征矩阵输入恶意流量检测模型,输出得到预测每条请求数据正常的概率、每条请求数据异常的概率以及词向量中每个元素异常的概率:/n如果预测一条请求数据是正常的概率比是异常的概率高,则判断为是正常请求数据,直接通过;/n如果预测一条请求数据是异常的概率比是正常的概率的高,则判断为是异常请求数据并拦截该条请求数据;/n根据词向量中每个元素异常的概率进行异常等级划分,用不同颜色对词汇进行标记并输出至安全团队。/n
【技术特征摘要】
1.一种基于深度学习的异常流量检测方法,其特征在于,包括:
步骤S100:设备源向目标服务器发起HTTP请求;
步骤S200:Web应用防护系统通过执行针对HTTP/HTTPS的安全活动规则对HTTP的请求进行异常检测,拒绝不符合安全活动规则的请求并发送至安全团队;将符合安全活动规则的请求向下一级转发;
步骤S300:AIWAF对通过WEB应用防护系统检测的请求再次检测,对其中的异常请求进行检测、标记并可视化传送至安全团队;
所述步骤S300具体包括:
步骤S310:对每条请求数据进行数据清洗、去重;
步骤S320:用所有请求数据构建特征矩阵;
步骤S330:将特征矩阵输入恶意流量检测模型,输出得到预测每条请求数据正常的概率、每条请求数据异常的概率以及词向量中每个元素异常的概率:
如果预测一条请求数据是正常的概率比是异常的概率高,则判断为是正常请求数据,直接通过;
如果预测一条请求数据是异常的概率比是正常的概率的高,则判断为是异常请求数据并拦截该条请求数据;
根据词向量中每个元素异常的概率进行异常等级划分,用不同颜色对词汇进行标记并输出至安全团队。
2.根据权利要求1所述的一种基于深度学习的异常流量检测方法,其特征在于,所述恶意流量检测模型的训练方法为:
步骤A:通过流量镜像获取通过Web应用防护系统的真实数据,由WAF强规则进行流量标记;
步骤B:对标记的数据进行数据清洗、去重;
步骤C:选取一部分数据作为训练数据集构建特征矩阵,其余数据作为测试数据集,用于检测和评价恶意流量检测模型;
步骤D:利用特征矩阵训练深度网络模型,训练得到恶意流量检测模型。
3.根据权利要求1或2所述的一种基于深度学习的异常流量检测方法,其特征在于,所述构建特征矩阵的方法包括构建字...
【专利技术属性】
技术研发人员:徐小雄,彭凝多,唐博,魏华强,
申请(专利权)人:四川虹微技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。