本发明涉及智能称重领域,具体涉及一种用于检测web攻击的检测模型的实现方法、系统、装置及介质。
背景技术:
1、目前互联网基于web攻击方式检测通过web应用防火墙制定web规则库方式实现,其原理通过利用各种攻击web攻击的特征形成正则表达式构造攻击检测进行实时规则和匹配各种web攻击比如sql注入、xss、目录扫描等,这种方式检测效率较高,如果规则能覆盖各种攻击特征,准确率较高,但也存在具体取消,一旦攻击特征稍微变异,攻击规则无法匹配,检测准确率就会降低,会产生很大误报和漏报。本专利针对传统web规则库检测web攻击不能实时满足web攻击覆盖所有的攻击特征,提出了一种通过人工智能模型检测方式实现web攻击检测的方案,该方案与传统方案相比,通过人工智能攻击模型检测能提高web攻击检测的准确率,降低其误报率。
2、因此,需要提供一种可以自动准确识别攻击类型的用于检测web攻击的检测模型的实现方法、系统及介质。
技术实现思路
1、本发明的目的在于提供一种用于检测web攻击的检测模型的实现方法、系统及介质。以期实现采用人工智能检测技术,构造各种攻击检测模型,提高web攻击的检测的准确率,降低误报率问题。
2、为了实现前述目的,本发明采用以下技术方案:
3、一种用于检测web攻击的检测模型的实现方法,获取初始检测模型;获取用于训练所述初始检测模型的训练数据;基于所述训练数据对所述初始检测模型进行训练,直至所述初始检测模型满足预设评估标准;获取训练好的所述初始检测模型作为用于检测web攻击的检测模型。
4、在一些实施例中,所述训练数据基于对训练源数据的处理获取,所述训练数据包括多组带标签的训练样本;所述多组带标签的训练样本中的每一组训练样本包括具有至少一种攻击特征的攻击数据;所述训练样本的标签为所述攻击数据对应的攻击类型。
5、在一些实施例中,所述训练样本还包括正常的流量样本数据,所述正常的流量样本数据对应的训练样本的标签为正常数据。
6、在一些实施例中,所述训练数据的获取方式包括:
7、对所述训练源数据进行数据预处理及特征提取处理中至少一种,得到所述训练数据。
8、在一些实施例中,所述数据预处理包括:
9、将所述训练源数据中每一条样本数据都转为小写字符;
10、解析所述样本数据的url编码并对所述样本数据的html转义字符进行处理;
11、将所述样本数据中出现的数字统一替换为0;
12、处理所述url编码中的无效信息;
13、基于数字标签表示所述样本数据的攻击类型。
14、在一些实施例中,所述特征提取处理包括:
15、将所述样本数据以预设粒度进行分词处理;
16、将分词处理后的所述样本数据进行n-gram处理;
17、基于tfidf转换将所述样本数据中非结结构化的数据转换成结构化的数值矩阵,并对所述n-gram处理后的所述样本数据进行去重处理,得到词向量空间,每个词向量空间对应为一条训练数据。
18、在一些实施例中,所述初始检测模型基于至少一棵决策树实现,其中,每棵决策树是基于gain_gini的方式生成的二叉树
19、所述对所述初始检测模型进行训练包括:
20、采用随机森林分类算法,将所述训练样本输入初始检测模型,所述初始检测模型的所述每棵决策树生成时对所述训练数据进行随机的采样,最后以投票的方式综合每棵决策树的决策结果确定所述初始检测模型的输出;
21、基于所述初始检测模型的输出与所述训练样本对应的标签确定损失函数;基于损失函数迭代更新所述初始检测模型直至满足预设评估标准。
22、在一些实施例中,所述预设评估标准包括所述初始检测模型的输出的查准率、准确率、召回率中至少一种满足预设条件。
23、同时,本发明还公开了一种用于检测web攻击的检测模型的实现装置,所述装置包括至少一个处理器以及至少一个存储器;所述至少一个存储器用于存储计算机指令;所述至少一个处理器用于执行所述计算机指令中的至少部分指令以实现前述的用于检测web攻击的检测模型的实现方法。
24、同时,本发明还公开了一种计算机可读存储介质,所述存储介质存储计算机指令,当计算机读取所述计算机指令时,所述计算机执行前述的所述的用于检测web攻击的检测模型的实现方法。
25、有益效果
26、本发明与现有技术相比,其显著优点是:
27、本发明的技术方案采用人工智能检测技术,构造各种攻击检测模型,提高web攻击的检测的准确率,降低误报率问题。
1.一种用于检测web攻击的检测模型的实现方法,其特征在于,
2.根据权利要求1所述的方法,其特征在于,
3.根据权利要求2所述的方法,其特征在于,所述训练样本还包括正常的流量样本数据,所述正常的流量样本数据对应的训练样本的标签为正常数据。
4.根据权利要求2所述的方法,其特征在于,所述训练数据的获取方式包括:
5.根据权利要求4所述的方法,其特征在于,所述数据预处理包括:
6.根据权利要求5所述的方法,其特征在于,所述特征提取处理包括:
7.根据权利要求2所述的方法,其特征在于,所述初始检测模型基于至少一棵决策树实现,其中,每棵决策树是基于gain_gini的方式生成的二叉树
8.根据权利要求7所述的方法,其特征在于,所述预设评估标准包括所述初始检测模型的输出的查准率、准确率、召回率中至少一种满足预设条件。
9.一种用于检测web攻击的检测模型的实现系统,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述存储介质存储计算机指令,当计算机读取所述计算机指令时,所述计算机执行如权利要求1-8中任一所述的用于检测web攻击的检测模型的实现方法。