一种通过机器学习保护网站的方法、装置和系统制造方法及图纸

本发明专利技术的一种通过机器学习保护网站的方法，通过机器学习搭建网站安全模型保护网站，包括：网站保护装置与网站建立反向代理连接，以接收对网站的访问请求，并所述访问请求发出告警信；判断所述告警信息对应的访问请求是否放行，如果是，则添加放行规则；根据放行规则建立特定网站的网站安全模型，网站保护装置根据网站安全模型拦截有威胁的访问。本发明专利技术技术方案可以安全保护基于Web的网站、教育、电商、银行等信息系统。可以有效防范未知攻击，减少维护人员和维护费用，为降低企业成本。

Method, device and system for protecting website by machine learning

The invention relates to a method of protection by machine learning website, build a website security model to protect the site, through machine learning include: the establishment of the reverse proxy connection site protection device and the web site to receive access to the site and request the access request issued a warning letter; determine the alarm information corresponding to the access request is released. If it is, then add the release rules; according to the website security model specific website release rules, site protection device according to the website security threat model intercept access. The technical scheme of the invention can safely protect the information system based on the Web website, education, electricity supplier, bank and so on. It can effectively prevent unknown attacks, reduce maintenance personnel and maintenance costs, in order to reduce the cost of enterprises.

【技术实现步骤摘要】
一种通过机器学习保护网站的方法、装置和系统
本专利技术属于网络安全领域，具体地说，涉及一种机器学习保护网站的方法。
技术介绍
随着互联网的迅速发展，网站安全问题突显，网站应用程序往往承载了主要业务功能，并且储存着大量有价值的数据。传统网站防火墙采用特征库的方式保护网站，无法防御未知威胁。而针对网站服务器的攻击和针对数据库的攻击日益渐多，例如针对数据库SQL注入漏洞的攻击，或是针对服务器端口的攻击。由于网站的多样性与复杂性，千差万别，人工的方式无法全面学到网站的内容。现有技术之一对网站的防护主要采用的是基于黑名单特征库的匹配，对于不符合黑名单中的访问请求都会予以放行通过，然而此种方法都有滞后性，往往是攻击发生后才对黑名单的特征库进行更新。由于未知攻击不符合特征库中的特征，往往会被放行，从而留下安全隐患。而且由于网站的内容元素多样，用户对于不同的内容元素的访问特征不同，而不同的内容元素有不同的安全隐患，导致每个网站的网站访问特征都不尽相同，而黑名单特征库的一刀切的防护方法，也不适用于不同网站的防护的特殊性。另外也有现有技术采取自学习和白名单技术，基于统计学方法的自学习技术，分析用户行为和指定URL的HTTP请求参数，协助管理员构建正常的业务模型，形成白名单规则。但是缺点是这种方法需要人工参与逐条进行判断核对，耗时费力，而且出错的几率非常大。如果网站有了新的业务，仍然需要人工参与分析，构建新的规则。这样导致效率低下，占用大量管理员的有效工作时间，并由于出错的几率很大，导致效率不高。
技术实现思路
本专利技术要解决的技术问题在于克服现有技术的不足，提供一种高效智能的保护网站避免未知攻击的方法，解决针对每个网站的不同特征，用户对于每个网站不同的访问习惯，通过机器学习的方法对每个网站的访问快速的建立新的网站访问模型，不需要额外的人工成本与维护时间，降低了安全防护的部署费用和节省了搭建时间。本专利技术另一个要解决的问题是，在网站业务升级或是内容元素扩张后，如何在在原有的网站访问模型的基础上建立新的网站访问模型。为解决上述技术问题，本专利技术采用技术方案的基本构思是：一种机器学习保护网站的方法，通过机器学习搭建网站访问模型保护网站，包括步骤：S1：与网站建立反向代理连接，以接收对网站的访问请求；S2：依据所述访问请求发出告警信息；S3：判断所述告警信息对应的访问请求是否放行，如果是，则添加放行规则；S4：重复S2、S3直至网站所有业务被访问，学习所述放行规则而建立网站安全模型。进一步的，还包括：S5：判断访问请求是否符合所述网站安全模型，如果是，则允许访问网站。进一步的，S4、网站安全模型建立完成后，服务器根据网站安全模型的放行规则对有威胁的访问进行拦截或放行。进一步的，当网站更新后，还包括：S6：重复S2、S3直至网站所有更新被访问，学习所述放行规则而更新网站安全模型。进一步的，判断访问请求是否符合所述网站安全模型，如果否，则拦截所述访问请求；进一步的，判断访问请求是否符合所述网站安全模型，如果否，则拦截所述访问请求并发出告警信息。进一步的，S3中所述的管理员判断所述告警信息对应的访问请求是否放行，进一步的，管理员为有管理权限的程序或人类，优选的，为有管理权限的人类。进一步的，所述步骤S1中与网站建立反向代理连接具体包括：读取网站首页；通过所述网站首页访问网站全部业务。进一步的，所述的网站全部业务至少包括超链接，文档，cookie，表单，图片，视频，登录请求。进一步的，其中所述访问请求被假定均为有威胁的访问请求。进一步的，所述的访问请求具体为除对网站主页和网页中链接的访问外的其他访问请求。进一步的，S3中所述的放行规则为管理员自定义的正确访问规则，优选的，为自动添加的正则表达式放行规则。进一步的，根据不同的被访问的网页内容，建立不同的访问规则，S4中所述的网站安全模型为针对特定网站的不同网站内容的放行规则所组成。进一步的，网站保护装置可设置为被动模式和主动模式，其中，被动模式中不拦截访问请求，只对有威胁的访问请求发出告警信息，并根据管理员针对告警信息做出的判断写入允许访问规则，主动模式既对有威胁的访问请求发出告警信息，又对不满足网站安全模型的访问请求拦截。进一步的，被动模式和主动模式可进行切换，进一步的，被动模式和主动模式可进行自动或手动切换，优选的，被动模式和主动模式为管理员进行切换。本专利技术的一种通过机器学习保护网站安全的网站保护装置，该网站保护装置包括接收访问请求模块，告警提示模块，判断模块，机器学习模块，其中：所述接收访问请求模块用于与网站建立反向代理连接，以接收对网站的访问请求；所述告警提示模块用于依据所述访问请求发出告警信息；所述判断模块用于判断所述告警信息对应的访问请求是否放行，如果是，则添加放行规则；告警提示模块和判断模块对网站所有业务建立放行规则后，所述机器学习模块用于学习所述放行规则而建立网站安全模型。进一步的，机器学习模块判断访问请求是否符合所述网站安全模型，如果是，则允许访问网站。进一步的，告警提示模块和判断模块对网站所有更新建立放行规则后，机器学习模块学习所述放行规则而更新网站安全模型。进一步的，所述接收访问请求模块与网站建立反向代理连接具体包括：读取网站首页；通过所述网站首页访问网站全部业务。进一步的，所述告警提示模块对所有假定为有威胁的访问请求发出告警信息。进一步的，所述告警提示模块对除对网站主页和网页中链接的访问外的其他访问请求发出告警信息。本专利技术的一种通过机器学习保护网站安全的系统，该系统包括访问请求端、网站保护装置、网站服务器端和管理员端，其中：网站保护装置与网站服务器端建立反向代理连接，以接收来自访问请求端对网站服务器端的访问请求；网站保护装置依据所述访问请求发出告警信息；管理员端判断所述告警信息对应的访问请求是否放行，如果是，则添加放行规则至网站保护装置；网站保护装置学习网站服务器端网站的所有业务并添加放行规则并学习所述放行规则而建立网站安全模型至网站保护装置；网站保护装置判断来自访问请求端对网站服务器端的访问请求是否符合所述网站安全模型，如果是，则允许访问网站服务器端。进一步的，网站更新后，网站保护装置依据所述来自访问请求端的对网站服务器端的访问请求发出告警信息；管理员端判断所述告警信息对应的访问请求是否放行，如果是，则添加放行规则至网站保护装置；直至网站所有更新被访问，网站保护装置学习所述放行规则而更新网站安全模型。进一步的，网站保护装置与网站服务器端建立反向代理连接具体包括：读取网站首页；通过所述网站首页访问网站全部业务。采用上述方法可以有效解决每个网站内容不同或用户访问习惯不同的问题，不同于防火墙的一刀切式的拦截策略和其出现的无法及时更新学习针对不同网站内容的问题，采取上面的技术方案能够使网站保护装置针对不同的网站内容和搭建结构快速的进行学习，构建该网站的内容分布和网站的结构特点，并通过用户大量的访问试错针对网站不同内容的访问习惯建立安全访问规则。在积累一定的安全访问规则后能针对性的对不同网站建立网站安全模型，从而根据网站安全模型对有威胁的访问进行拦截，大大提高了拦截的准确性和全面性。同时只有在网站保护模型初始搭建时需要人工的主动判断以帮助机器学习的进行，而一旦针对网站的安全本文档来自技高网...

【技术保护点】
一种通过机器学习保护网站安全的方法，其特征在于，S1、与网站建立反向代理连接，以接收对网站的访问请求；S2、依据所述访问请求发出告警信息；S3、判断所述告警信息对应的访问请求是否放行，如果是，则添加放行规则；S4、重复S2、S3直至网站所有业务被访问，学习所述放行规则而建立网站安全模型。

【技术特征摘要】
1.一种通过机器学习保护网站安全的方法，其特征在于，S1、与网站建立反向代理连接，以接收对网站的访问请求；S2、依据所述访问请求发出告警信息；S3、判断所述告警信息对应的访问请求是否放行，如果是，则添加放行规则；S4、重复S2、S3直至网站所有业务被访问，学习所述放行规则而建立网站安全模型。2.根据权利要求1所述一种通过机器学习保护网站安全的方法，其特征在于，还包括：S5、判断访问请求是否符合所述网站安全模型，如果是，则允许访问网站。3.根据权利要求1至2任一所述一种通过机器学习保护网站安全的方法，其特征在于，当网站更新后，还包括：S6、重复S2、S3直至网站所有更新被访问，学习所述放行规则而更新网站安全模型。4.根据权利要求1至3任一所述一种通过机器学习保护网站安全的方法，其特征在于判断访问请求是否符合所述网站安全模型，如果否，则拦截所述访问请求。5.根据权利要求1至4任一所述一种通过机器学习保护网站安全的方法，其特征在于判断访问请求是否符合所述网站安全模型，如果否，则拦截所述访问请求并发出告警信息。6.根据权利要求1所述的一种通过机器学习保护网站安全的方法，其特征在于，所述步骤S1中与网站建立反向代理连接具体包括：读取网站首页；通过所述网站首页访问网站全部业务。7.根据权利要求1至6中任一所述一种通过机器学习保护网站安全的方法，其特征在于，其中，所述访...

【专利技术属性】
技术研发人员：王茁，
申请(专利权)人：中云网安科技北京有限公司，
类型：发明
国别省市：北京,11