[发明专利]一种WEB攻击检测方法、装置及可读存储介质

权利要求书

1.一种WEB攻击检测方法，其特征在于，包括：

获取待检测流量数据；

对待检测数据进行聚类检测，获得正常流量数据和未知流量数据；

将未知流量数据集输入至已训练分类模型，获得所述已训练分类模型输出的分类结果，所述未知流量数据集包括至少一个所述未知流量数据；

根据所述分类结果，确定所述未知流量数据集对应的行为是否为WEB攻击行为。

2.根据权利要求1所述的方法，其特征在于，所述将未知流量数据集输入至已训练分类模型之前，还包括：

利用正常类数据训练第一自编码模型，获取第一模型参数，所述正常类数据包括所述正常流量数据和训练数据；

计算在所述第一自编码模型下所述正常类数据的整体重建误差和各流量数据的个体重建误差，所述正常类数据包括多个流量数据，所述流量数据为所述正常流量数据或所述训练数据；

筛选目标流量数据，并构建新数据集，所述新数据集包括所述目标流量数据，所述目标流量数据为所述个体重建误差小于所述整体重建误差的流量数据；

利用所述新数据集训练第二自编码模型，获得第二模型参数；

根据所述第一模型参数和所述第二模型参数，训练第三自编码模型，获得所述已训练分类模型。

3.根据权利要求1或2所述的方法，其特征在于，所述将未知流量数据集输入至已训练分类模型，获得所述已训练分类模型输出的分类结果，包括：

将目标未知流量数据输入至所述已训练分类模型，获得所述已训练分类模型输出的所述目标未知流量数据的所述分类结果，所述目标未知流量数据为在所述未知流量数据中选取的部分数据；

对应的，所述根据所述分类结果，确定所述未知流量数据集对应的行为是否为WEB攻击行为，包括：

根据所述目标未知流量数据的所述分类结果，确定所述未知流量数据集对应的行为是否为WEB攻击行为。

4.根据权利要求2所述的方法，其特征在于，所述对待检测数据进行聚类检测，获得正常流量数据和未知流量数据，包括：

基于所述训练数据，对所述待检测数据进行聚类检测，获得所述正常流量数据和所述未知流量数据，所述正常流量数据与所述训练数据属于同一类数据。

5.根据权利要求2或4所述的方法，其特征在于，所述根据所述分类结果，确定所述未知流量数据集对应的行为是否为WEB攻击行为之后，还包括：

对检测资源进行加密处理，获得资源密文，所述检测资源包括所述已训练分类模型、所述新数据集或所述正常类数据；

向云数据中心发送所述资源密文，并生成交易合约；

向区块链发送所述交易合约，所述交易合约用于指示所述区块链对所述交易合约验证通过后存储。

6.根据权利要求5所述的方法，其特征在于，还包括：

对第一请求信息进行签名，获得第一签名，所述第一请求信息包括目标资源信息；

向第一系统发送第一资源请求，所述第一资源请求包括第一密钥和所述第一签名；

接收来自云数据中心的对应所述目标资源信息的目标资源密文后，对所述目标资源密文进行解密，获得目标检测资源，所述目标资源密文是在所述第一系统利用第一密钥对所述第一签名验证通过后，由所述云数据中心发送的；

基于所述目标检测资源，确定所述未知流量数据集对应的行为是否为WEB攻击行为。

7.根据权利要求5所述的方法，其特征在于，还包括：

接收来自第一系统的第二资源请求，所述第二资源请求包括第二密钥和第二签名，所述第二签名为所述第一系统对第二请求信息签名获得的，所述第二请求信息包括目标资源信息；

利用所述第二密钥，对所述第二签名进行验签；

当所述第二签名验证通过后，根据所述第二请求信息确定所述目标资源信息；

通过云数据中心向所述第一系统发送对应所述目标资源信息的目标资源密文。