一种Web站点安全防护方法及装置制造方法及图纸

本申请提供一种Web站点安全防护方法及装置。该方法包括，基于用户针对目标Web站点的会话数据构建会话特征；其中，上述会话数据包括用户访问上述目标Web站点所发起的访问请求数据；上述会话特征包括从上述访问请求数据中提取出的若干访问行为特征。将上述会话特征输入异常检测模型进行计算，并基于计算结果确定上述用户针对上述目标Web站点的用户访问行为是否异常；其中，上述异常检测模型为，基于若干被标注了用于指示用户的访问行为是否异常的样本标签的会话特征样本训练出的机器学习模型。如果确定上述用户的用户访问行为异常，则对用户针对目标Web站点的访问会话进行安全防护。

A method and device of Web site security protection

【技术实现步骤摘要】
一种Web站点安全防护方法及装置
本申请涉及通信领域，尤其涉及一种Web站点安全防护方法及装置。
技术介绍
随着互联网的发展，传统的C/S设计模式逐渐被新型的B/S设计模式代替。越来越多的企业和软件制造商选用更便捷、更轻量级的Web应用为客户提供服务，因此，Web站点的安全问题成为了关注的重点。可见，如何进行Web站点安全防护是亟待解决的问题。
技术实现思路
本申请提出一种Web站点安全防护方法，应用于网络安全设备，该方法包括：基于用户针对目标Web站点的会话数据构建会话特征；其中，上述会话数据包括用户访问上述目标Web站点所发起的访问请求数据；上述会话特征包括从上述访问请求数据中提取出的若干访问行为特征；将上述会话特征输入异常检测模型进行计算，并基于计算结果确定上述用户针对上述目标Web站点的用户访问行为是否异常；其中，上述异常检测模型为，基于若干被标注了用于指示用户的访问行为是否异常的样本标签的会话特征样本训练出的机器学习模型；如果确定上述用户的用户访问行为异常，则对用户针对目标Web站点的访问会话进行安全防护。在示出的一实施例中，上述网络安全设备中维护了与用户对应的特征集；其中，上述特征集用于记录用户的访问行为特征；上述基于用户针对目标Web站点的会话数据构建会话特征，包括：响应于用户发起的针对目标Web站点的访问请求，从上述访问请求对应的访问日志中，获取上述访问请求对应的访问请求数据；从上述访问请求数据中提取上述用户的访问行为特征；将提取的上述用户的访问行为特征加入与上述用户对应的特征集，以构建上述用户对应的会话特征。在示出的一实施例中，上述访问行为特征包括以下示出的特征中的一个或多个的组合：访问Web站点的访问时间间隔、访问的Web站点的URL地址、会话中包含的访问请求的请求类型、Web站点响应访问请求后与用户之间的连接状态、Web站点对用户的访问请求的响应时长、Web站点响应访问请求后返回的状态码、Web站点是否存储了访问请求中携带的SessionID、Web站点存储的SessionID与访问请求中携带的cookie值是否相等。在示出的一实施例中，上述方法还包括从上述目标Web站点的历史访问日志中筛选出具有相同SessionID的若干访问日志；从筛选出的上述具有相同SessionID的若干访问日志中提取会话特征，基于提取出的上述会话特征构建会话特征样本，并基于构建的会话特征样本生成会话特征样本集；将上述会话特征样本集中的会话特征样本作为训练样本进行机器学习训练，得到上述异常检测模型。在示出的一实施例中，上述异常检测模型为基于深度学习网络的分类模型。在示出的一实施例中，上述深度学习网络为基于LSTM模型构建的分类器模型；上述会话特征包括从上述访问请求数据中提取出的按照访问行为的发生时刻排序的若干访问行为特征。在示出的一实施例中，上述基于LSTM模型构建的分类器模型，包括：输入层、至少一LSTM层、至少一RNN层和输出层；其中，上述LSTM层的输出为上述RNN层的输入。在示出的一实施例中，上述方法还包括基于针对上述用户的用户访问行为是否异常的判断结果，为上述用户对应的会话特征进行打标；将打标后的上述会话特征加入会话特征样本集中，作为训练样本。本申请提出一种Web站点安全防护装置，应用于网络安全设备；该装置包括：构建模块，基于用户针对目标Web站点的会话数据构建会话特征；其中，上述会话数据包括用户访问上述目标Web站点所发起的访问请求数据；上述会话特征包括从上述访问请求数据中提取出的若干访问行为特征；检测模块，将上述会话特征输入异常检测模型进行计算，并基于计算结果确定上述用户针对上述目标Web站点的用户访问行为是否异常；其中，上述异常检测模型为，基于若干被标注了用于指示用户的访问行为是否异常的样本标签的会话特征样本训练出的机器学习模型；防护模块，如果确定上述用户的用户访问行为异常，则对用户针对目标Web站点的访问会话进行安全防护。在示出的一实施例中，上述网络安全设备中维护了与用户对应的特征集；其中，上述特征集用于记录用户的访问行为特征；上述构建模块，包括：获取模块，响应于用户发起的针对目标Web站点的访问请求，从上述访问请求对应的访问日志中，获取上述访问请求对应的访问请求数据；提取模块，从上述访问请求数据中提取上述用户的访问行为特征；加入模块，将提取的上述用户的访问行为特征加入与上述用户对应的特征集，以构建上述用户对应的会话特征。在示出的一实施例中，上述访问行为特征包括以下示出的特征中的一个或多个的组合：访问Web站点的访问时间间隔、访问的Web站点的URL地址、会话中包含的访问请求的请求类型、Web站点响应访问请求后与用户之间的连接状态、Web站点对用户的访问请求的响应时长、Web站点响应访问请求后返回的状态码、Web站点是否存储了访问请求中携带的SessionID、Web站点存储的SessionID与访问请求中携带的cookie值是否相等。在示出的一实施例中，上述装置还包括训练模块，从上述目标Web站点的历史访问日志中筛选出具有相同SessionID的若干访问日志；从筛选出的上述具有相同SessionID的若干访问日志中提取会话特征，基于提取出的上述会话特征构建会话特征样本，并基于构建的会话特征样本生成会话特征样本集；将上述会话特征样本集中的会话特征样本作为训练样本进行机器学习训练，得到上述异常检测模型。在示出的一实施例中，上述异常检测模型为基于深度学习网络的分类模型。在示出的一实施例中，上述深度学习网络为基于LSTM模型构建的分类器模型；上述会话特征包括从上述访问请求数据中提取出的按照访问行为的发生时刻排序的若干访问行为特征。在示出的一实施例中，上述基于LSTM模型构建的分类器模型，包括：输入层、至少一LSTM层、至少一RNN层和输出层；其中，上述LSTM层的输出为上述RNN层的输入。在示出的一实施例中，上述装置还包括基于针对上述用户的用户访问行为是否异常的判断结果，为上述用户对应的会话特征进行打标；将打标后的上述会话特征加入会话特征样本集中，作为训练样本。在以上技术方案中，一方面，提出的防护规则是将基于用户针对目标Web站点的会话数据构建的会话特征输入异常检测模型中进行计算，并基于计算结果确定上述用户的访问行为是否异常；如果确定上述用户的用户访问行为异常，则对用户针对目标Web站点的访问会话进行安全防护；而由于上述防护规则可以重复使用，并且很少被重新制定，因此，本申请可以减少开发人员更新安全防护策略的工作量，从而降低Web站点安全防护的成本和难度；另一方面，在对用户针对目标Web站点的访问行为进行异常检测时，是将该用户访问该目标Web站点所发起的多个访问请求行为结合起来本文档来自技高网...

【技术保护点】
1.一种Web站点安全防护方法，应用于网络安全设备；所述方法包括：/n基于用户针对目标Web站点的会话数据构建会话特征；其中，所述会话数据包括用户访问所述目标Web站点所发起的访问请求数据；所述会话特征包括从所述访问请求数据中提取出的若干访问行为特征；/n将所述会话特征输入异常检测模型进行计算，并基于计算结果确定所述用户针对所述目标Web站点的用户访问行为是否异常；其中，所述异常检测模型为，基于若干被标注了用于指示用户的访问行为是否异常的样本标签的会话特征样本训练出的机器学习模型；/n如果确定所述用户的用户访问行为异常，则对用户针对目标Web站点的访问会话进行安全防护。/n

【技术特征摘要】
1.一种Web站点安全防护方法，应用于网络安全设备；所述方法包括：
基于用户针对目标Web站点的会话数据构建会话特征；其中，所述会话数据包括用户访问所述目标Web站点所发起的访问请求数据；所述会话特征包括从所述访问请求数据中提取出的若干访问行为特征；
将所述会话特征输入异常检测模型进行计算，并基于计算结果确定所述用户针对所述目标Web站点的用户访问行为是否异常；其中，所述异常检测模型为，基于若干被标注了用于指示用户的访问行为是否异常的样本标签的会话特征样本训练出的机器学习模型；
如果确定所述用户的用户访问行为异常，则对用户针对目标Web站点的访问会话进行安全防护。


2.根据权利要求1所述的方法，所述网络安全设备中维护了与用户对应的特征集；其中，所述特征集用于记录用户的访问行为特征；
所述基于用户针对目标Web站点的会话数据构建会话特征，包括：
响应于用户发起的针对目标Web站点的访问请求，从所述访问请求对应的访问日志中，获取所述访问请求对应的访问请求数据；
从所述访问请求数据中提取所述用户的访问行为特征；
将提取的所述用户的访问行为特征加入与所述用户对应的特征集，以构建所述用户对应的会话特征。


3.根据权利要求2所述的方法，所述访问行为特征包括以下示出的特征中的一个或多个的组合：
访问Web站点的访问时间间隔、访问的Web站点的URL地址、会话中包含的访问请求的请求类型、Web站点响应访问请求后与用户之间的连接状态、Web站点对用户的访问请求的响应时长、Web站点响应访问请求后返回的状态码、Web站点是否存储了访问请求中携带的SessionID、Web站点存储的SessionID与访问请求中携带的cookie值是否相等。


4.根据权利要求2所述的方法，还包括：
从所述目标Web站点的历史访问日志中筛选出具有相同SessionID的若干访问日志；
从筛选出的所述具有相同SessionID的若干访问日志中提取会话特征，基于提取出的所述会话特征构建会话特征样本，并基于构建的会话特征样本生成会话特征样本集；
将所述会话特征样本集中的会话特征样本作为训练样本进行机器学习训练，得到所述异常检测模型。


5.根据权利要求4所述的方法，所述异常检测模型为基于深度学习网络的分类模型。


6.根据权利要求5所述的方法，所述深度学习网络为基于LSTM模型构建的分类器模型；
所述会话特征包括从所述访问请求数据中提取出的按照访问行为的发生时刻排序的若干访问行为特征。


7.根据权利要求6所述的方法，所述基于LSTM模型构建的分类器模型，包括：
输入层、至少一LSTM层、至少一RNN层和输出层；其中，所述LSTM层的输出为所述RNN层的输入。


8.根据权利要求1所述的方法，还包括：
基于针对所述用户的用户访问行为是否异常的判断结果，为所述用户对应的会话特征进行打标；
将打标后的所述会话特征加入会话特征样本集中，作为训练样本。


9.一种Web...

【专利技术属性】
技术研发人员：单敬义，谭天，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江;33