【技术实现步骤摘要】
本申请涉及信息安全,特别是涉及一种误报识别方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
1、waf(web application firewall,网络应用程序防火墙)会根据设置的规则对接收到的各请求进行识别,并拦截到对应用程序产生危险的攻击请求。但是,由于应用程序中的bug或者规则设置的局限性,会导致waf拦截到大量正常请求,即waf误报。因此,需要识别waf的误报。
2、目前的误报识别方法,是由经验丰富的管理人员对waf拦截到的各告警请求进行识别,得到攻击请求和正常请求,以根据识别出来的正常请求调整规则,进而降低误报率。
3、然而,目前的误报识别方法,当存在大量的告警请求待识别时,采用人工识别误报会耗费大量的时间,识别误报的效率较低。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种误报识别方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
2、第一方面,本申请提供了一种误报识别方法,包括:
3、获取各预警请求;所述预警请求为网络应用程序防火墙拦截的请求;
4、针对每一所述预警请求,通过误报识别模型对所述预警请求进行识别处理,得到所述预警请求对应的识别结果;所述误报识别模型是基于包含正常请求特征的目标正样本和包含攻击请求特征的目标负样本训练得到的;
5、在所述预警请求对应的识别结果满足预设的误报条件的情况下,确定所述预警请求为误报请求,并将所述误报请求重新确定为正常请求
6、在其中一个实施例中,所述针对每一所述预警请求,通过误报识别模型对所述预警请求进行识别处理,得到所述预警请求对应的识别结果之前,所述方法还包括:
7、基于全量请求拦截规则集确定初始正样本,并基于攻击请求拦截规则集确定初始负样本;
8、根据所述初始正样本和所述初始负样本训练预设的神经网络模型,得到初始评分集,并根据预设的评分范围和所述初始评分集,更新所述初始正样本和所述初始负样本,得到初始目标正样本和初始目标负样本;
9、根据所述初始目标正样本和所述初始目标负样本训练所述神经网络模型,得到初始目标评分集,并根据所述评分范围和所述初始目标评分集在所述初始目标正样本和所述初始目标负样本中确定目标特征集;
10、基于所述目标特征集确定目标正样本和目标负样本,并基于所述目标正样本和所述目标负样本训练所述神经网络模型,得到误报识别模型。
11、在其中一个实施例中,所述基于全量请求拦截规则集确定初始正样本,并基于攻击请求拦截规则集确定初始负样本,包括:
12、根据全量请求拦截规则集,对接收到的全量请求进行拦截,得到第一初始请求集;所述全量请求拦截规则集中包含各全量请求拦截规则;所述第一初始请求集中包含各第一初始请求;
13、根据各所述第一初始请求中的主机名和各所述全量请求拦截规则中的标识,对所述第一初始请求集进行特征提取,得到初始正样本;
14、根据攻击请求拦截规则集,对所述全量请求进行拦截,得到第二初始请求集;所述规则集中包含各攻击请求拦截规则;所述第二初始请求集中包含各第二初始请求;
15、根据各所述第二初始请求中的主机名和各所述攻击请求拦截规则中的标识,对所述第二初始请求集进行特征提取,得到初始负样本。
16、在其中一个实施例中,所述根据预设的评分范围和所述初始评分集,更新所述初始正样本和所述初始负样本,得到初始目标正样本和初始目标负样本,包括:
17、根据预设的评分范围和所述初始评分集在所述初始正样本和所述初始负样本中确定初始目标特征集;所述初始目标特征集中包含各初始目标特征子集;
18、对各所述初始目标特征子集进行标注,并将携带误报标签的所述初始目标特征子集确定为第一初始目标特征子集;
19、将未携带所述误报标签的所述初始目标特征子集确定为第二初始目标特征子集;
20、根据各所述第一初始目标特征子集构建初始目标正样本,并根据各所述第二初始目标特征子集构建初始目标负样本。
21、在其中一个实施例中,所述初始目标评分集中包含各所述第一初始目标特征子集对应的初始目标评分和各所述第二初始目标特征子集对应的初始目标评分,所述根据所述评分范围和所述初始目标评分集在所述初始目标正样本和所述初始目标负样本中确定目标特征集,包括:
22、在各所述第一初始目标特征子集中确定所述初始目标评分在所述评分范围中的目标特征子集;
23、在各所述第二初始目标特征子集中确定所述初始目标评分在所述评分范围中的目标特征子集;
24、根据各所述目标特征子集构建目标特征集。
25、在其中一个实施例中,所述基于所述目标特征集确定目标正样本和目标负样本,并基于所述目标正样本和所述目标负样本训练所述神经网络模型,得到误报识别模型,包括:
26、将所述目标特征集中携带误报标签的目标特征子集确定为第一目标特征子集,并根据各所述第一目标特征子集构建目标正样本;
27、将所述目标特征集中未携带误报标签的目标特征子集确定为第二目标特征子集,并根据各所述第二目标特征子集构建目标负样本;
28、基于所述目标正样本和所述目标负样本训练所述神经网络模型,得到误报识别模型。
29、在其中一个实施例中,所述识别结果为所述预警请求的识别分数,所述在所述预警请求对应的识别结果满足预设的误报条件的情况下,确定所述预警请求为误报请求,并将所述误报请求重新确定为正常请求之前,所述方法还包括:
30、判断所述预警请求的识别分数是否在预设的正常请求的分数范围内;
31、若所述预警请求的识别分数在所述正常请求的分数范围内,确定所述预警请求的识别结果满足预设的误报条件;
32、若所述预警请求的识别分数未在所述正常请求的分数范围内,确定所述预警请求的识别结果不满足所述误报条件。
33、第二方面,本申请还提供了一种误报识别装置,包括:
34、获取模块,用于获取各预警请求;所述预警请求为网络应用程序防火墙拦截的请求;
35、识别模块,用于针对每一所述预警请求,通过误报识别模型对所述预警请求进行识别处理,得到所述预警请求对应的识别结果;所述误报识别模型是基于包含正常请求特征的目标正样本和包含攻击请求特征的目标负样本训练得到的;
36、确定模块,用于在所述预警请求对应的识别结果满足预设的误报条件的情况下,确定所述预警请求为误报请求,并将所述误报请求重新确定为正常请求。
37、第三方面,本申请还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
38、获取各预警请求;所述预警请求为网络应用程序防火墙拦截的请求;
39、针对每一所述预警请求,通过误报识别模型对所述预本文档来自技高网...
【技术保护点】
1.一种误报识别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述针对每一所述预警请求,通过误报识别模型对所述预警请求进行识别处理,得到所述预警请求对应的识别结果之前,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述基于全量请求拦截规则集确定初始正样本,并基于攻击请求拦截规则集确定初始负样本,包括:
4.根据权利要求2所述的方法,其特征在于,所述根据预设的评分范围和所述初始评分集,更新所述初始正样本和所述初始负样本,得到初始目标正样本和初始目标负样本,包括:
5.根据权利要求4所述的方法,其特征在于,所述初始目标评分集中包含各所述第一初始目标特征子集对应的初始目标评分和各所述第二初始目标特征子集对应的初始目标评分,所述根据所述评分范围和所述初始目标评分集在所述初始目标正样本和所述初始目标负样本中确定目标特征集,包括:
6.根据权利要求2所述的方法,其特征在于,所述基于所述目标特征集确定目标正样本和目标负样本,并基于所述目标正样本和所述目标负样本训练所述神经网络模型,得到误报识
7.根据权利要求1所述的方法,其特征在于,所述识别结果为所述预警请求的识别分数,所述在所述预警请求对应的识别结果满足预设的误报条件的情况下,确定所述预警请求为误报请求,并将所述误报请求重新确定为正常请求之前,所述方法还包括:
8.一种误报识别装置,其特征在于,所述装置包括:
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种误报识别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述针对每一所述预警请求,通过误报识别模型对所述预警请求进行识别处理,得到所述预警请求对应的识别结果之前,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述基于全量请求拦截规则集确定初始正样本,并基于攻击请求拦截规则集确定初始负样本,包括:
4.根据权利要求2所述的方法,其特征在于,所述根据预设的评分范围和所述初始评分集,更新所述初始正样本和所述初始负样本,得到初始目标正样本和初始目标负样本,包括:
5.根据权利要求4所述的方法,其特征在于,所述初始目标评分集中包含各所述第一初始目标特征子集对应的初始目标评分和各所述第二初始目标特征子集对应的初始目标评分,所述根据所述评分范围和所述初始目标评分集在所述初始目标正样本和所述初始目标负样本中确定目标特征集,...
【专利技术属性】
技术研发人员:刘剑浩,叶敏,
申请(专利权)人:杭州亿格云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。