本发明专利技术一种基于行为基线的未知Web攻击检测方法,解决现有Web应用程序攻击检测方法均存在不足的问题。方法包括对用户正常行为数据进行采集;根据正常行为数据建立行为基线模型;根据行为基线模型进行异常行为检测,形成未知攻击检测器;将用户实际行为通过未知攻击检测器进行异常行为检测。本发明专利技术采用行为基线的方法来检测Web攻击,相较于传统的基于规则或统计的方法,可以更准确地检测出未知攻击。本发明专利技术结合了多种异常检测算法和技术,能够有效地检测出异常行为和入侵行为。效地检测出异常行为和入侵行为。效地检测出异常行为和入侵行为。
【技术实现步骤摘要】
一种基于行为基线的未知Web攻击检测方法
[0001]本专利技术涉及网络安全
,尤其是涉及一种基于行为基线的未知Web攻击检测方法。
技术介绍
[0002]Web应用程序已经成为我们日常生活中必不可少的一部分,然而随着Web应用程序的不断增加和普及,Web应用程序安全问题也日益突出。攻击者可以通过各种手段绕过现有的安全防御机制,对Web应用程序进行攻击和破坏,从而造成重大的经济和社会损失。因此,如何对Web应用程序进行安全防护成为了一个亟待解决的问题。
[0003]在技术背景方面,Web应用程序安全技术已经有了很长的发展历程,目前主要包括三类:基于规则的、基于统计的和基于机器学习的Web应用程序攻击检测方法。
[0004]基于规则的Web应用程序攻击检测方法是一种传统的方法,其主要思想是根据已知的攻击模式和特征,通过事先编写规则的方式来检测和拦截攻击。但是这种方法存在规则编写困难、无法应对未知攻击等问题,已经不能满足Web应用程序安全防护的需要。
[0005]基于统计的Web应用程序攻击检测方法则是基于一些统计学方法,例如异常检测、异常变化检测等。这种方法的优点是可以检测一些新型的攻击,但也存在误报率高的问题,因为某些正常的操作也可能被误认为是攻击行为。
[0006]基于机器学习的Web应用程序攻击检测方法则是近年来较为流行的一种安全防御方法,其主要思想是通过训练机器学习模型,学习正常和异常的Web应用程序行为特征,从而实现对Web应用程序攻击的检测和防御。这种方法可以通过学习到的行为特征来判断一个请求是否为异常请求,因此可以很好地应对未知攻击。但是该方法缺点是需要大量的数据进行训练,而且需要针对不同的Web应用程序进行调整和优化。
技术实现思路
[0007]本专利技术主要是解决现有Web应用程序攻击检测方法均存在不足的问题,提供了一种基于行为基线的未知Web攻击检测方法。
[0008]本专利技术的上述技术问题主要是通过下述技术方案得以解决的:一种基于行为基线的未知Web攻击检测方法,包括以下步骤:
[0009]步骤一:对用户正常行为数据进行采集;
[0010]步骤二:根据正常行为数据建立行为基线模型;
[0011]步骤三:根据行为基线模型进行异常行为检测,形成未知攻击检测器;
[0012]步骤四:将用户实际行为通过未知攻击检测器进行异常行为检测。
[0013]本专利技术采用行为基线的方法来检测Web攻击,相较于传统的基于规则或统计的方法,可以更准确地检测出未知攻击。由于传统的方法很难涵盖所有的攻击行为,而基于行为基线的方法则能够反映正常用户和攻击者的不同行为模式,从而更准确地检测攻击行为。本专利技术结合了多种异常检测算法和技术,能够有效地检测出异常行为和入侵行为。行为基
线模型被视为Web应用程序的一个参考模型,用来描述正常的行为模式,结合异常检测算法,能够监测未知的网络流量,识别出其中的异常行为。
[0014]作为一种优选方案,所述用户正常行为数据包括用户的行为特征以及行为对应的流量。
[0015]作为一种优选方案,步骤一中用户行为数据的生成为采用自动化测试工具模拟用户在网站上的正常行为,产生正常的流量。
[0016]采用自动化测试工具模拟用户在网站上的正常行为,正常行为包括访问页面、点击链接、提交表单等行为。对采集到的网络流量数据进行处理,进行数据清洗和特征提取,将网络流量数据转换为可以被机器学习算法处理的形式,同时排除不必要的数据干扰。
[0017]作为一种优选方案,所述步骤三中根据行为基线模型进行异常行为检测,具体包括:
[0018]接收行为信息,对行为进行行为特征分析,并与行为基线模型进行比较,结合多种异常检测算法进行异常行为检测。本方案结合了多种异常检测算法和技术,能够有效地检测出异常行为和入侵行为。
[0019]作为一种优选方案,所述的结合多种异常检测算法进行异常行为检测,具体包括:
[0020]设定异常分数阈值,以分数制来设定每种异常检测算法的结果;
[0021]采用多种异常检测算法分别对输入行为与行为基线模型进行检测;
[0022]检测后获得各异常检测算法的分值,将所有分值相加后与异常分数阈值相比较,若总分小于异常分数阈值,则判定当前行为为正常行为,若总分不小于异常分数阈值,则判定当前行为为异常行为。采用多种异常检测算法协同工作,能够识别出真正的异常行为并减少误报,降低了误报率,减少了误报带来的不必要的干扰。
[0023]作为一种优选方案,多种异常检测算法包括协同过滤算法、离群点检测算法、异常分析算法和聚类分析算法。本方案的异常检测算法主要为基于统计学的异常检测算法和基于机器学习的异常检测算法。
[0024]作为一种优选方案,采集用户正常和异常行为数据制作成训练样本和测试样本;
[0025]用训练样本对未知攻击检测器进行训练,训练后采用测试样本对检测器进行测试,根据测试结果进行参数调整,直至测试结果满足设定精度要求,获得最终未知攻击检测器。
[0026]本方案中对位置攻击检测器进行训练,根据测试结果进行参数调整,最终获得精度较高的未知攻击检测器。未知攻击检测器能够监测未知行为,识别出其中的异常行为。在构建未知攻击检测器时,考虑到不同用户的行为习惯和行为特征可能存在差异,需要收集多个用户的数据,并对这些数据进行统计和分析,以准确反映正常用户的行为模式。同时,还需要注意不将攻击者的行为误认为是正常行为。
[0027]作为一种优选方案,定期采集用户正常行为数据,更新和调整正常基线模型。本方案使得行为基线模型随着时间和数据的变化而自动更新和调整,从而保持适应性。
[0028]因此,本专利技术的优点是:采用行为基线的方法来检测Web攻击,相较于传统的基于规则或统计的方法,可以更准确地检测出未知攻击。由于传统的方法很难涵盖所有的攻击行为,而基于行为基线的方法则能够反映正常用户和攻击者的不同行为模式,从而更准确地检测攻击行为。结合了多种异常检测算法和技术,能够有效地检测出异常行为和入侵行
为。
附图说明
[0029]图1是本专利技术的一种流程示意图。
具体实施方式
[0030]下面通过实施例,并结合附图,对本专利技术的技术方案作进一步具体的说明。
[0031]实施例:
[0032]本实施例一种基于行为基线的未知Web攻击检测方法,如图1所示,包括以下步骤:
[0033]步骤一:对用户正常行为数据进行采集;
[0034]正常行为数据包括用户的行为特征以及行为对应的流量。采用自动化测试工具模拟用户在网站上的正常行为,产生正常的流量。
[0035]对采集到的网络流量数据进行预处理,进行数据清洗和特征提取,将网络流量数据转换为可以被机器学习算法处理的形式,同时排除不必要的数据干扰。
[0036]步骤二:根据正常行为数据建立行为基线模型;该行为基线模型为数据集。其中定期采本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于行为基线的未知Web攻击检测方法,其特征在于:包括以下步骤:步骤一:对用户正常行为数据进行采集;步骤二:根据正常行为数据建立行为基线模型;步骤三:根据行为基线模型进行异常行为检测,形成未知攻击检测器;步骤四:将用户实际行为通过未知攻击检测器进行异常行为检测。2.根据权利要求1所述的一种基于行为基线的未知Web攻击检测方法,其特征是所述用户正常行为数据包括用户的行为特征以及行为对应的流量。3.根据权利要求2所述的一种基于行为基线的未知Web攻击检测方法,其特征是步骤一中用户行为数据的生成为采用自动化测试工具模拟用户在网站上的正常行为,产生正常的流量。4.根据权利要求1所述的一种基于行为基线的未知Web攻击检测方法,其特征是所述步骤三中根据行为基线模型进行异常行为检测,具体包括:接收行为信息,对行为进行行为特征分析,并与行为基线模型进行比较,结合多种异常检测算法进行异常行为检测。5.根据权利要求4所述的一种基于行为基线的未知Web攻击检测方法,其特征是所述的结合多种异常检...
【专利技术属性】
技术研发人员:吴新龙,何枭男,杨帆,白静文,
申请(专利权)人:华信咨询设计研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。