[发明专利]基于字符级神经网络的WEB应用入侵检测方法及系统

说明书

本申请公开了基于字符级神经网络的WEB应用入侵检测方法及系统，接收网络流量数据；对网络流量数据进行规格化处理；将规格化处理后的网络流量数据，进行黑名单前置检测；如果网络流量数据与黑名单中任一名单相匹配，则输出入侵警告；否则进入下一步；对通过黑名单检测的网络流量数据进行规则过滤检测；如果规则过滤检测通过，则进入下一步；否则，输出入侵警告；对经过规则过滤检测的网络流量数据，输入到训练后的基于字符级的循环神经网络中，神经网络输出入侵检测结果；将入侵检测结果记录到日志中，将检测结果为安全的网络流量数据转发给WEB服务器，将检测结果为不安全的网络流量数据进行拦截，并显示入侵警告。

技术领域

本申请涉及网络安全与机器学习技术领域，特别是涉及基于字符级神经网络的WEB应用入侵检测方法及系统。

背景技术

本部分的陈述仅仅是提到了与本申请相关的背景技术，并不必然构成现有技术。

随着互联网产业技术的发展，WEB应用已经成为互联网时代最具影响力的网络应用技术之一，传统的C/S架构正渐渐被一种全新的B/S架构模式取代，即浏览器和服务器架构模式，B/S架构下，用户的工作界面及少部分功能和业务逻辑统一由浏览器实现，主要的业务和事务逻辑交由服务器端实现。B/S架构的出现，统一了用户层面的客户端，客户端仅需要一个浏览器即可快捷地访问大量功能强大的WEB应用，B/S架构将应用的核心功能和计算所需的硬件资源集中在了服务器上，降低了系统维护、升级的成本和工作量，降低了用户的总体成本。如今，大量具有强大功能的WEB应用运行在互联网上。

随着WEB应用迅速发展。也出现了大量的针对WEB应用的攻击手段和入侵方法，OWASPTop10中，定义了10种针对WEB应用的攻击威胁，分别是：注入(Injection)、失效的身份验证(Broken Authentication)、敏感信息泄露(Sensitive Data Exposure)、XML外部实体(XML External Entities)、失效的访问控制(Broken Access Control)、安全配置错误(Broken Access Control)、跨站脚本(Cross-Site Scripting XSS)、不安全的反序列化(Insecure Deserialization)、使用含有已知漏洞的组件(Using Components with KnownVulnerabilities)、不足的日志记录和监控(Insufficient LoggingMonitoring)。

如今，针对WEB应用的攻击手段和攻击方法也迅速迭代，出现了大量的对抗传统WEB入侵检测系统的攻击手段和攻击方式。这些攻击方式能够通过修改攻击载荷，利用传统WEB入侵检测方法检测规则中的漏洞，通过特殊编码，注释符代替空格，大小写混合，畸形标签，双写，利用转义字符等方法，规避一部分WEB入侵检测系统，对WEB应用安全造成严重威胁。

而目前针对WEB应用级别的入侵检测的大量方法，仍然停留在基于本地策略和过滤规则的阶段。基于规则过滤的入侵检测方法虽然能够防御大多数的常见攻击方式，但是它们死板的规则过滤方式却很容易被攻击者使用各种方式绕过。因此WEB应用级别的入侵检测技术迫切地需要一种新的，能够适应当前快速变化的攻击方式和攻击手段的检测方法。

发明内容

为了解决现有技术的不足，本申请提供了基于字符级神经网络的WEB应用入侵检测方法及系统；能够实现检测并拦截针对WEB应用的攻击载荷，特别是对于文本类型的攻击载荷，诸如远程命令执行、注入、跨站脚本、反序列化等攻击形式具有较高的检测率。

第一方面，本申请提供了基于字符级神经网络的WEB应用入侵检测方法；

基于字符级神经网络的WEB应用入侵检测方法，包括：

接收网络流量数据；对网络流量数据进行规格化处理；

将规格化处理后的网络流量数据，进行黑名单前置检测；如果网络流量数据与黑名单中任一名单相匹配，则输出入侵警告；否则进入下一步；