本公开提供一种基于主机的网页攻击检测方法、装置、设备及存储介质,所述方法包括获取当前运行的网站进程程序,并将所述网站进程程序注入到拟监控的网页服务后台程序中;根据所述网站进程程序获取网页的应用程序接口调用信息;对所述应用程序接口调用信息进行编码,根据编码结果通过预先构建网页攻击检测模型确定所述网站进程程序对应的访问可信度;若所述访问可信度超出预设阈值,则输出提示信息。本公开实施例的方法可以有效地对抗各类攻击变形手法、可以有效地对抗数据加密方式,具有较好的适应性。较好的适应性。较好的适应性。
【技术实现步骤摘要】
基于主机的网页攻击检测方法、装置、设备及存储介质
[0001]本公开涉及检测
,尤其涉及一种基于主机的网页攻击检测方法、装置、设备及存储介质。
技术介绍
[0002]一般而言,网站服务是被公开在互联网环境下,即其端口是被暴露在公网上,而组织的其它IT服务是不会这样做的,如远程SSH或远程桌面端口,或者数据库端口,因为会它们被防火墙所保护;因此,在信息安全领域中针对Web网站的攻击是极为常见的,常见的针对Web网站的攻击主要包括如SQL注入、系统命令注入、XSS注入、XSRF、XXE注入、Webshell等等,这些攻击手法一般会使用一些变形方法,以绕过各类防护设施,这些防护设施如防火墙、IPS或Web应用防火墙等。
[0003]虽然,各个组织出于安全考虑,会在网站前使用各类防护装置,如WAF(Web Application Firewall,即Web应用防火墙),但由于WAF一般是基于规则的,如对这些攻击进行防护则需要应用相关规则,但由于各类原因,会经常出现漏报或误报,从而导致防护效果差,甚至会影响正常使用,达不到用户期望,因为这类方式对使用比较高级的绕过手法的攻击存在较大缺陷,基本很难满足精准检测和阻断的要求。
[0004]近年来,针对各类Web攻击,除了使用基于特征的手段,还会综合应用机器学习的方法来检测这些攻击。机器学习的方法无非是抽取Web请求中的诸如URL长度、信息熵(计算熵的目的是为了对抗代码混淆,比如base64/32/16等)、请求头长度、编码方式、方法调用、请求参数数量及内容等综合学习被标记的数据集,这些数据集包含了正常的请求和攻击尝试请求,但存在如下不足:首先,很难获取比较多的恶意攻击样本,只能利用如Kali平台等线下模拟攻击,但这种使用工具的攻击方式与直接的人工渗透手法存在较大差距;导致无法获取大量的现场真实恶意攻击流量数据,故进行有监督的机器学习非常困难,结果不可靠;其次,获取的相关攻击特征一般是通过HTTP请求,请求中的相关信息比较有限,无非就是URL、请求方法(GET/POST等)、用户代理、请求参数等等,故这些数据不甚全面,对结果的准确性存在较大问题,不是特别稳定;再次,目前基于旁路抓包的方式获取HTTP数据已经比较有限,多数企业级的Web应用基本都使用了SSL/TLS进行了加密,故一般的数据获取方式已经基本无法满足现实的需要;最后,Web开发人员和网络运营商需要深入的Web安全领域知识来实施这些系统,这通常需要经验丰富的安全专家来确定哪些特征与从网络包、二进制文件或入侵检测系统的其他输入中提取相关数据。然而,由于Web开发需求量大且进入软件行业的门槛相对较低,许多研发人员缺乏最基本的安全编码知识和经验。
[0005]公开于本申请
技术介绍
部分的信息仅仅旨在加深对本申请的一般
技术介绍
的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有
技术。
技术实现思路
[0006]本公开实施例提供一种基于主机的网页攻击检测方法、装置、设备及存储介质,能够至少解决现有技术中的部分问题。
[0007]本公开实施例的第一方面,提供一种基于主机的网页攻击检测方法,包括:获取当前运行的网站进程程序,并将所述网站进程程序注入到拟监控的网页服务后台程序中;根据所述网站进程程序获取网页的应用程序接口调用信息;对所述应用程序接口调用信息进行编码,根据编码结果通过预先构建网页攻击检测模型确定所述网站进程程序对应的访问可信度;若所述访问可信度超出预设阈值,则输出提示信息。
[0008]在一种可选的实施方式中,所述网页攻击检测模型包括堆叠自编码器,所述堆叠自编码器包括输入层、输出层以及中间隐层,所述中间隐层至少包括三层,且每一层所包括的神经元个数均不相同,所述中间隐层为全连接结构。
[0009]在一种可选的实施方式中,在根据编码结果通过预先构建网页攻击检测模型确定所述网站进程程序对应的访问可信度之前,所述方法还包括:训练所述网页攻击检测模型,所述训练所述网页攻击检测模型的方法包括:基于预设训练次数迭代优化所述网页攻击检测模型的目标函数,其中,所述目标函数包括:其中,表示样本数量,表示正则化系数,表示输入,表示输出,表示所述网页攻击检测模型的相邻层的连接权重,表示所述网页攻击检测模型的各层神经元的偏置向量。
[0010]在一种可选的实施方式中,所述网页攻击检测模型的中间隐层的神经元的权重和偏置如下公式所示:所述网页攻击检测模型的中间隐层的神经元的权重和偏置如下公式所示:所述网页攻击检测模型的中间隐层的神经元的权重和偏置如下公式所示:所述网页攻击检测模型的中间隐层的神经元的权重和偏置如下公式所示:其中,、、、表示第一中间隐层的输出、第二中间隐层的输出和第三中间隐层以及所述网页攻击检测模型的输出,、、分别表示输入层与第一中间隐层的
连接权重,第一中间隐层与第二中间隐层的连接权重以及第二中间隐层与第三中间隐层的连接权重,、、、表示所述网页攻击检测模型的各层神经元的偏置向量,表示激活函数。
[0011]本公开实施例的第二方面,提供一种基于主机的网页攻击检测装置,包括:第一单元,用于获取当前运行的网站进程程序,并将所述网站进程程序注入到拟监控的网页服务后台程序中;第二单元,用于根据所述网站进程程序获取网页的应用程序接口调用信息;第三单元,用于对所述应用程序接口调用信息进行编码,根据编码结果通过预先构建网页攻击检测模型确定所述网站进程程序对应的访问可信度;第四单元,用于若所述访问可信度超出预设阈值,则输出提示信息。
[0012]在一种可选的实施方式中,所述网页攻击检测模型包括堆叠自编码器,所述堆叠自编码器包括输入层、输出层以及中间隐层,所述中间隐层至少包括三层,且每一层所包括的神经元个数均不相同,所述中间隐层为全连接结构。
[0013]在一种可选的实施方式中,所述装置还包括第五单元,所述第五单元用于:训练所述网页攻击检测模型,所述训练所述网页攻击检测模型的方法包括:基于预设训练次数迭代优化所述网页攻击检测模型的目标函数,其中,所述目标函数包括:其中,表示样本数量,表示正则化系数,表示输入,表示输出,表示所述网页攻击检测模型的相邻层的连接权重,表示所述网页攻击检测模型的各层神经元的偏置向量。
[0014]在一种可选的实施方式中,所述网页攻击检测模型的中间隐层的神经元的权重和偏置如下公式所示:所述网页攻击检测模型的中间隐层的神经元的权重和偏置如下公式所示:所述网页攻击检测模型的中间隐层的神经元的权重和偏置如下公式所示:所述网页攻击检测模型的中间隐层的神经元的权重和偏置如下公式所示:其中,、、、表示第一中间隐层的输出、第二中间隐层的输出和第三中间隐层以及所述网页攻击检测模型的输出,、、分别表示输入层与第一中间隐层的连接权重,第一中间隐层与第二中间隐层的连接权重以及第二中间隐层与第三中间隐层的连接权重,、、、表示所述网页攻击检测模型的各层神经元的偏置向量,表示激
活函数。
[0015]本公开实施例的第三方面,提本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于主机的网页攻击检测方法,其特征在于,包括:获取当前运行的网站进程程序,并将所述网站进程程序注入到拟监控的网页服务后台程序中;根据所述网站进程程序获取网页的应用程序接口调用信息;对所述应用程序接口调用信息进行编码,根据编码结果通过预先构建网页攻击检测模型确定所述网站进程程序对应的访问可信度;若所述访问可信度超出预设阈值,则输出提示信息。2.根据权利要求1所述的方法,其特征在于,所述网页攻击检测模型包括堆叠自编码器,所述堆叠自编码器包括输入层、输出层以及中间隐层,所述中间隐层至少包括三层,且每一层所包括的神经元个数均不相同,所述中间隐层为全连接结构。3.根据权利要求1所述的方法,其特征在于,在根据编码结果通过预先构建网页攻击检测模型确定所述网站进程程序对应的访问可信度之前,所述方法还包括:训练所述网页攻击检测模型,所述训练所述网页攻击检测模型的方法包括:基于预设训练次数迭代优化所述网页攻击检测模型的目标函数,其中,所述目标函数包括:其中,表示样本数量,表示正则化系数,表示输入,表示输出,表示所述网页攻击检测模型的相邻层的连接权重,表示所述网页攻击检测模型的各层神经元的偏置向量。4.根据权利要求1所述的方法,其特征在于,所述网页攻击检测模型的中间隐层的神经元的权重和偏置如下公式所示:重和偏置如下公式所示:重和偏置如下公式所示:重和偏置如下公式所示:其中,、、、分别表示第一中间隐层的输出、第二中间隐层的输出和第三中间隐层的输出以及所述网页攻击检测模型的输出,、、分别表示输入层与第一中间隐层的连接权重,第一中间隐层与第二中间隐层的连接权重以及第二中间隐层与第三中间隐层的连接权重,、、、表示所述网页攻击检测模型的各层神经元的偏置向量,表示激活函数。5.一种基于主机的网页攻击检测装置,其特征在于,包括:第一单元,用于获取当前运行的网站进程程序,并将所述网站进程程序注入到拟监控的网页服务后台程序中;第二单元,用...
【专利技术属性】
技术研发人员:ꢀ七四专利代理机构,
申请(专利权)人:南京聚铭网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。