[发明专利]一种WEB攻击检测方法、装置及可读存储介质

说明书

本申请提供了一种WEB攻击检测方法、装置及可读存储介质。所述方法包括：获取待检测流量数据；对待检测数据进行聚类检测，获得正常流量数据和未知流量数据；将未知流量数据集输入至已训练分类模型，获得已训练分类模型输出的分类结果，未知流量数据集包括至少一个未知流量数据；根据分类结果，确定未知流量数据集对应的行为是否为WEB攻击行为。本申请在聚类分析的结果的基础上进行分类检测，减少了检测对象的数量，提高了检测效率和降低对资源的需求。

技术领域

本申请属于计算机技术领域，尤其涉及一种WEB攻击检测方法、装置及可读存储介质。

背景技术

WEB攻击(WebAttack，针对用户上网行为或网站服务器等设备进行攻击的行为)检测方法为包括基于代码内容和结构的静态分析和基于执行结果的动态分析。静态分析和动态分析方法需要较多的资源和执行时间。

发明内容

本申请实施例提供了一种WEB攻击检测方法、装置、系统、电子设备、可读存储介质及计算机程序产品，可以解决WEB攻击检测方法需要较多的资源和执行时间的问题。

第一方面，本申请实施例提供了一种WEB攻击检测方法，包括：

获取待检测流量数据；

对待检测数据进行聚类检测，获得正常流量数据和未知流量数据；

将未知流量数据集输入至已训练分类模型，获得所述已训练分类模型输出的分类结果，所述未知流量数据集包括至少一个所述未知流量数据；

根据所述分类结果，确定所述未知流量数据集对应的行为是否为WEB攻击行为。

在一个实施例中，所述将未知流量数据集输入至已训练分类模型之前，还包括：

利用正常类数据训练第一自编码模型，获取第一模型参数，所述正常类数据包括所述正常流量数据和训练数据；

计算在所述第一自编码模型下所述正常类数据的整体重建误差和各流量数据的个体重建误差，所述正常类数据包括多个流量数据，所述流量数据为所述正常流量数据或所述训练数据；

筛选目标流量数据，并构建新数据集，所述新数据集包括所述目标流量数据，所述目标流量数据为所述个体重建误差小于所述整体重建误差的流量数据；

利用所述新数据集训练第二自编码模型，获得第二模型参数；

根据所述第一模型参数和所述第二模型参数，训练第三自编码模型，获得所述已训练分类模型。

在一个实施例中，所述将未知流量数据集输入至已训练分类模型，获得所述已训练分类模型输出的分类结果，包括：

将目标未知流量数据输入至所述已训练分类模型，获得所述已训练分类模型输出的所述目标未知流量数据的所述分类结果，所述目标未知流量数据为在所述未知流量数据中选取的部分数据；

对应的，所述根据所述分类结果，确定所述未知流量数据集对应的行为是否为WEB攻击行为，包括：

根据所述目标未知流量数据的所述分类结果，确定所述未知流量数据集对应的行为是否为WEB攻击行为。

在一个实施例中，所述对待检测数据进行聚类检测，获得正常流量数据和未知流量数据，包括：

基于所述训练数据，对所述待检测数据进行聚类检测，获得所述正常流量数据和所述未知流量数据，所述正常流量数据与所述训练数据属于同一类数据。

在一个实施例中，所述根据所述分类结果，确定所述未知流量数据集对应的行为是否为WEB攻击行为之后，还包括：

对检测资源进行加密处理，获得资源密文，所述检测资源包括所述已训练分类模型、所述新数据集或所述正常类数据；