本申请一种Web应用的异常检测方法,包括:获取Web应用的HTTP报文;解析所述HTTP报文,确定所述HTTP报文的键值对;利用预设业务检测模型对所述键值对中的键值关系进行检测,以判断所述HTTP报文是否属于正常业务;若否,生成所述Web应用的异常告警本申请接收到HTTP报文后,对HTTP报文进行解析,从而得到HTTP报文包含的全部键值对,利用预设业务检测模型对键值对中的键值关系进行检测,借助分析HTTP报文的上下文信息来判断当前http报文是否为客户的正常业务,从而降低误报率。本申请还提供一种Web应用的异常检测系统、计算机可读存储介质和终端,具有上述有益效果。具有上述有益效果。具有上述有益效果。
【技术实现步骤摘要】
一种Web应用的异常检测方法、系统、存储介质和终端
[0001]本申请涉及网络安全领域,特别涉及一种Web应用的异常检测方法、系统、存储介质和终端。
技术介绍
[0002]因此目前在Web安全检测、安全态势感知等安全产品中,若要保持高检出率则必然会带来大量的误报,对客户业务带来了严重的影响。
[0003]Web安全误报中比较常见的为SQL注入、命令注入、XSS等攻击,引擎和规则直接将其拦截,无法识别客户业务模式,从而产生误报。
[0004]一个SQL注入误报示例:
[0005]例如客户正常的业务数据为:
[0006]select cost from TABLE where user=”amy”and 1=1
[0007]上述SQL语句为客户正常业务,若直接将这种语句直接送到现有的web应用防火墙当中,则会被引擎和规则给拦截,从而影响客户正常的业务,带来误报。
[0008]因此,如何降低Web安全检测的误报率是本领域技术人员亟需解决的技术问题。
技术实现思路
[0009]本申请的目的是提供一种Web应用的异常检测方法、Web应用的异常检测系统、存储介质和终端,通过检测HTTP报文中键值对的键值关系,借助分析http报文的上下文信息来判断当前http报文是否为客户的正常业务,能够Web安全检测的误报率。
[0010]为解决上述技术问题,本申请提供一种Web应用的异常检测方法,具体技术方案如下:
[0011]获取Web应用的HTTP报文;/>[0012]解析所述HTTP报文,确定所述HTTP报文的键值对;
[0013]利用预设业务检测模型对所述键值对中的键值关系进行检测,以判断所述HTTP报文是否属于正常业务;
[0014]若否,生成所述Web应用的异常告警。
[0015]可选的,所述获取Web应用的HTTP报文之前,还包括:
[0016]配置同一IP地址的最大HTTP报文数量;
[0017]相应的,所述获取Web应用的HTTP报文时包括:
[0018]获取同一IP地址不超过所述最大HTTP报文数量的HTTP报文。
[0019]可选的,获取Web应用的HTTP报文时,还包括:
[0020]对所述键值对进行正则判断;
[0021]若确认存在为黑数据的键值对,舍弃所述黑数据对应的HTTP报文。
[0022]可选的,利用预设业务检测模型对所述键值对中的键值关系进行检测,以判断所述HTTP报文是否属于正常业务包括:
[0023]利用预设业务检测模型计算所述键值对中的键值关系的流量得分;
[0024]确定所述正常业务对应所述预设业务检测模型的训练得分;
[0025]若所述流量得分超过所述训练得分的分数位阈值,确认所述HTTP报文属于异常业务;
[0026]若所述流量得分未超过所述训练得分的分数位阈值,确认HTTP报文是否属于正常业务。
[0027]可选的,利用预设业务检测模型计算所述键值对中的键值关系的流量得分包括:
[0028]确定所述键值对中键值关系对应的键值对序列;
[0029]利用预设业务检测模型计算所述键值对序列的流量得分。
[0030]可选的,解析所述HTTP报文,确定所述HTTP报文的键值对之前,还包括:
[0031]判断所述预设业务检测模型是否处于模型生命周期内;
[0032]若否,在执行解析所述HTTP报文,确定所述HTTP报文的键值对的步骤之后,利用预设比例的所述HTTP报文生成所述预设业务检测模型。
[0033]可选的,若所述HTTP报文属于非正常业务,还包括:
[0034]利用所述HTTP报文中作为样本集更新所述预设业务检测模型。
[0035]本申请还提供一种Web应用的异常检测系统,包括:
[0036]获取模块,用于获取Web应用的HTTP报文;
[0037]解析模块,用于解析所述HTTP报文,确定所述HTTP报文的键值对;
[0038]业务检测模块,用于利用预设业务检测模型对所述键值对中的键值关系进行检测,以判断所述HTTP报文是否属于正常业务;
[0039]异常告警模块,用于所述业务检测模块的判断结果为否时,生成所述Web应用的异常告警。
[0040]本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的Web应用的异常检测方法的步骤。
[0041]本申请还提供一种终端,包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如上所述的Web应用的异常检测方法的步骤。
[0042]本申请一种Web应用的异常检测方法,包括:获取Web应用的HTTP报文;解析所述HTTP报文,确定所述HTTP报文的键值对;利用预设业务检测模型对所述键值对中的键值关系进行检测,以判断所述HTTP报文是否属于正常业务;若否,生成所述Web应用的异常告警
[0043]本申请接收到HTTP报文后,对HTTP报文进行解析,从而得到HTTP报文包含的全部键值对,利用预设业务检测模型对键值对中的键值关系进行检测,借助分析HTTP报文的上下文信息来判断当前http报文是否为客户的正常业务,从而降低误报率。
[0044]本申请还提供一种Web应用的异常检测系统、计算机可读存储介质和终端,具有上述有益效果,此处不再赘述。
附图说明
[0045]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0046]图1为本申请实施例所提供的一种Web应用的异常检测方法的流程图;
[0047]图2为本申请实施例所提供的一种HTTP报文解析示意图;
[0048]图3为本申请实施例所提供的一种Web应用的异常检测系统的结构示意图:
[0049]图4为本申请实施例所提供的一种终端的结构示意图。
具体实施方式
[0050]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0051]参见图1,图1为本申请实施例所提供的一种Web应用的异常检测方法的流程图,该方法包括:
[0052]S101:获取Web应用的HTTP报文;
[0053]本步骤旨在获取Web应用的HTTP报文,即客户Web应用的业务流量。在此对于获取的方式和获取周期本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种Web应用的异常检测方法,其特征在于,包括:获取所述Web应用的HTTP报文;解析所述HTTP报文,确定所述HTTP报文的键值对;利用预设业务检测模型对所述键值对中的键值关系进行检测,以判断所述HTTP报文是否属于正常业务;若否,生成所述Web应用的异常告警。2.根据权利要求1所述的异常检测方法,其特征在于,所述获取Web应用的HTTP报文之前,还包括:配置同一IP地址的最大HTTP报文数量;相应的,所述获取Web应用的HTTP报文时包括:获取同一IP地址不超过所述最大HTTP报文数量的HTTP报文。3.根据权利要求1所述的异常检测方法,其特征在于,获取Web应用的HTTP报文时,还包括:对所述键值对进行正则判断;若确认存在为黑数据的键值对,舍弃所述黑数据对应的HTTP报文。4.根据权利要求1所述的异常检测方法,其特征在于,利用预设业务检测模型对所述键值对中的键值关系进行检测,以判断所述HTTP报文是否属于正常业务包括:利用预设业务检测模型计算所述键值对中的键值关系的流量得分;确定所述正常业务对应所述预设业务检测模型的训练得分;若所述流量得分超过所述训练得分的分数位阈值,确认所述HTTP报文属于异常业务;若所述流量得分未超过所述训练得分的分数位阈值,确认HTTP报文是否属于正常业务。5.根据权利要求4所述的异常检测方法,其特征在于,利用预设业务检测模型计算所述键值对中的键值关系的流量得分包括:确定所述键值对中键值关系对应的键值对序列;利用...
【专利技术属性】
技术研发人员:胡晓晟,刘东,兰家旺,刘宇豪,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。