【技术实现步骤摘要】
恶意超文本传输协议请求的侦测装置和侦测方法
[0001]本公开是有关于一种恶意超文本传输协议(hypertext transfer protocol,HTTP)请求的侦测装置和侦测方法。
技术介绍
[0002]恶意HTTP请求是一种常见的攻击方式。攻击者可通过在正常HTTP请求中注入恶意代码来攻击服务器,藉以从服务器窃取数据。随着机器学习技术的发展,越来越多人提出利用机器学习模型来侦测恶意HTTP请求的方法。然而,上述的方法存在诸多缺点。以监督式机器学习模型为例,监督式机器学习模型的训练需要取得大量包含正常HTTP请求和恶意HTTP请求的卷标数据,但恶意HTTP请求的卷标数据非常难取得。
[0003]此外,作为监督式机器学习模型之训练数据的特征数据需由专业人员选择。因此,不具相关背景知识的用户将难以实施所述训练。另一方面,非监督式机器学习模型的训练虽不需使用到大量的卷标数据,但非监督式机器学习模型具有较高的误报率(false alarm ratio,FAR)。
技术实现思路
[0004]本公开提供一种...
【技术保护点】
【技术特征摘要】
1.一种恶意超文本传输协议请求的侦测装置,包括:收发器;存储媒介,存储多个模块;以及处理器,耦接所述存储媒介以及所述收发器,并且访问和执行所述多个模块,其中所述多个模块包括:数据收集模块,通过所述收发器接收超文本传输协议请求,并且自所述超文本传输协议请求撷取参数;过滤模块,响应于所述参数与白名单不匹配而过滤所述超文本传输协议请求;编码模块,响应于所述超文本传输协议请求未被过滤而编码所述超文本传输协议请求的每一个字符以产生编码字符串;自编码器,根据所述编码字符串产生估计超文本传输协议请求;以及侦测模块,响应于所述超文本传输协议请求以及所述估计超文本传输协议请求之间的相似度小于相似度阈值而判断所述超文本传输协议请求为所述恶意超文本传输协议请求,并且通过所述收发器输出判断结果。2.根据权利要求1所述的侦测装置,其中:所述自编码器根据多笔验证数据产生多笔估计数据;所述侦测模块根据所述多笔验证数据以及所述多笔估计数据计算多个相似度,并且将所述多个相似度中的一个设为所述相似度阈值。3.根据权利要求2所述的侦测装置,其中,所述多笔验证数据包括多个正常超文本传输协议请求。4.根据权利要求2所述的侦测装置,其中,所述相似度阈值关联于所述参数的属性。5.根据权利要求4所述的侦测装置,其中:所述超文本传输协议请求包含统一资源定位符;所述属性包括下列中的至少一个:路径区段、请求方法以及查询字符串。6.根据权利要求1所述的侦测装置,其中:所述超文本传输协议请求包括会话标识符;所述侦测模块响应于判断所述超文本传输协议请求为所述恶意超文本传输协议请求而增加对应于所述会话标识符的计数值,并且响应于判断所述超文本传输协议请求非为所述恶意超文本传输协议请求而重设所述计数值。7.根据权利要求6所述的侦测装置,其中,所述侦测模块响应于所述计数值大于容忍值而通过所述收发器输出警示消息。8.根据权利要求1所述的侦测装置,其中:所述白名单包括位...
【专利技术属性】
技术研发人员:吕姵萱,王邦杰,
申请(专利权)人:财团法人工业技术研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。