[发明专利]基于关键词自动识别和决策图模型的Web攻击检测方法

说明书

本发明提供一种基于关键词自动识别和决策图模型的Web攻击检测方法，包括以下步骤：构造Web攻击请求数据集的元素词典；对于Web攻击请求数据集的每个Web攻击请求数据进行样本编码，得到one‑hot编码；建立与Web攻击类型对应的关键元素词典和攻击类型检测模型；对Web请求数据是否为攻击请求进行检测。本发明具有以下优点：1、使用线性模型和决策图模型自动构造检测模型，有效降低了Web攻击识别的漏报率。2、本发明采用决策图遍历的方法进行Web攻击识别，能够实现大规模的检测模型内存加载，缩短了Web攻击识别的耗费时间，提升了Web攻击识别的效率。

技术领域

本发明属于Web攻击检测技术领域，具体涉及一种基于关键词自动识别和决策图模型的Web攻击检测方法。

背景技术

Web网站的普遍使用，在带来便利的同时，针对Web服务器发起的Web攻击也逐渐增多，从而使得信息面临着安全威胁。Web攻击成为信息安全领域的重点研究方向。

准确快速的识别各类Web攻击，是保证Web服务安全的主要手段。常见的Web攻击识别方法，是基于规则库进行识别。具体的，建立攻击请求规则库，攻击请求规则库中存储多种Web攻击请求规则，并且，攻击请求规则库需要持续的更新，从而保证攻击请求规则库的全面性。采用攻击请求规则库进行Web攻击识别的方式为：当监测到一个Web请求时，将该Web请求与攻击请求规则库中的各个规则进行逐个匹配判断，如果匹配成功，则判断该Web请求为Web攻击请求；否则，如果匹配失败，则判断该Web请求为正常请求。

基于攻击请求规则库对Web请求进行识别，主要存在以下缺点：

(1)存在一定的漏报率。

该方法过于依赖攻击请求规则库的完备性，但由于攻击请求规则库事实上无法涵盖所有类型的攻击请求，并且，新的攻击请求还会不停的被创造出来，所以导致攻击请求规则库很难完全涵盖已有的所有攻击请求，因此，对于某些Web攻击请求，难以准确识别，存在一定的漏报率。

(2)性能不高。

攻击请求规则库中，有部分规则是正则表达式形式，当与Web请求进行匹配判断时，需要耗费一定时间；特别是当攻击请求规则库积累的规则逐渐增多时，每个Web请求需要与攻击请求规则库中的每个规则进行逐个匹配判断，识别效率低，降低了识别性能。

由此可见，基于攻击请求规则库的Web攻击识别方法，存在因为规则库覆盖不完全而导致漏报的先天缺陷，又由于规则库的构造往往需要专家的介入，需要耗费大量人力。此外，攻击请求规则库对Web请求识别的效率较低。由此限制了此种Web请求识别方法的广泛推广使用。

发明内容

针对现有技术存在的缺陷，本发明提供一种基于关键词自动识别和决策图模型的Web攻击检测方法，可有效解决上述问题。

本发明采用的技术方案如下：

本发明提供一种基于关键词自动识别和决策图模型的Web攻击检测方法，包括以下步骤：

步骤1，构造Web攻击请求数据集的元素词典DICT，方法为：

步骤1.1，确定需要进行Web攻击检测的p种Web攻击类型；对于每种Web攻击类型AT_j，j＝1,2,...,p，均收集到多条与该Web攻击类型AT_j对应的Web攻击请求数据，因此，对于p种Web攻击类型，收集到的所有Web攻击请求数据形成Web攻击请求数据集；其中，Web攻击请求数据集一共包括q条Web攻击请求数据；

步骤1.2，对于Web攻击请求数据集中的每一条Web攻击请求数据，采用元素分离提取算法，对其进行元素分离提取处理，得到该条Web攻击请求数据对应的元素集合；