[发明专利]一种基于回馈和监督学习的WAF检测方法及系统

权利要求书

1.一种基于回馈和监督学习的WAF检测方法，其步骤包括：

对欲访问HTTP/HTTPS服务器的请求进行检测，通过分类器对所述请求进行特征提取，并根据提取的特征对所述请求进行分类；

若所述请求为攻击请求，则对该攻击请求直接进行拦截操作；

若所述请求为非攻击请求，则对该非攻击请求直接进行放行操作；

若所述请求为不确定请求，则将该不确定请求输入匹配器进行规则匹配，以得到匹配结果，并根据该匹配结果对该不确定请求进行拦截或放行操作；

将所述特征、匹配结果以及攻击请求和非攻击请求的判定结果作为训练数据，使所述分类器进行周期性的监督学习并得到更新。

2.如权利要求1所述的方法，其特征在于，所述特征是指由所述请求的一种或多种属性组合成的向量。

3.如权利要求2所述的方法，其特征在于，所述属性包括客户端IP、UA、URL、Host、refer、头部字段数、头部总长度、头部md5值、协议版本、请求体长度、请求体md5值、请求体参数个数、请求方法。

4.如权利要求1所述的方法，其特征在于，所述规则匹配是指所述匹配器根据其内部的所有安全规则对不确定请求的内容进行匹配，如果该不确定请求的内容与至少一条安全规则匹配，则该不确定请求为攻击请求，否则为非攻击请求。

5.如权利要求1所述的方法，其特征在于，所述分类器将训练数据存放到一先进先出的队列中，且该队列只保存最后ΔT时间内的训练数据。

6.如权利要求5所述的方法，其特征在于，所述分类器每隔Δt时间从所述队列中选取最后ΔT时间内的训练数据重新进行监督学习，其中Δt<ΔT。

7.一种基于回馈和监督学习的WAF检测系统，包括：

一分类器，对欲访问HTTP/HTTPS服务器的请求进行特征提取，并根据提取的特征对所述请求进行分类，将属于攻击请求/非攻击请求的进行拦截/放行操作，并根据匹配结果以及攻击请求和非攻击请求的判定结果进行周期性的监督学习及更新；

一匹配器，对所述分类器判定的不确定请求进行规则匹配，并根据匹配结果对该不确定请求进行拦截或放行操作。