【技术实现步骤摘要】
本专利技术属于网络技术与安全领域,尤其涉及一种场景化自学习的恶意请求检测方法及系统。
技术介绍
1、随着全球计算机网络和网络应用的指数级增长以及智能化的推进,智能自动化网络攻击激增。网络攻击在基于ai的对抗学习、自动化工具的应用下找到了新的转型模式,依靠自动化形成更为拟人化和精密化的网络攻击趋势。这类机器人模拟真人的行为会更聪明,更大胆,也更难以追踪,更难以区别于真人的行为。频繁的数据外泄事件后,身份信息被暴露、贩卖。而网络罪犯可以结合自动化脚本或者工具,轻松利用这些被曝光的个人数据,在短时间内对数百个不同的网站不断进行登录验证,试图盗用账号,乃至发起进一步攻击并从中获利。随着自动化攻击与安全防护之间对抗的不断升级,提供各类对抗服务的黑灰产组织也越来越多,各类服务例如代理ip服务、图形验证码识别、短信验证码代收、群控设备池、账号提供商等等,可以轻易获取。大部分自动化攻击防护手段被轻松穿透,与此同时又催生了更具拟人特点的全新自动化攻击,这些恶意自动化攻击会通过使用模拟器、伪造浏览器环境、ua、分布式ip等手段给系统安全带来极大威胁。自动化攻击的免费、简单、高效的三大特性,更使自动化攻击呈现愈演愈烈的态势,不断让企业的传统网络安全防线频频失守。forrester报告显示,由于当前的waf方案无法处理更广泛的应用程序攻击,特别是由机器人驱动的自动化攻击,已经让企业用户苦不堪言。
2、如现有公开号为cn115525813a的专利技术专利公开了一种基于应用场景的网络爬虫检测系统,包括爬虫检测平台,爬虫检测平台包括用户分析单元、
3、如现有公开号cn106027564a的专利技术专利公开了一种检测反爬虫策略安全性的方法及装置,该方法通过在网站的第一前端页面中嵌入用于实现反爬虫策略的反爬虫代码;利用反爬虫代码检测访问所述第一前端页面的用户是否为爬虫,将被检测出是爬虫的用户记为目标对象;验证目标对象是否为爬虫,统计目标对象非爬虫的次数;根据次数计算所述反爬虫策略的误伤率,误伤率用于衡量反爬虫策略的安全性。
4、通过对上述现有技术分析发现,现有的大多数防御手段都是通过一个通用配置和多种防御技术的堆砌来限制请求,对于拟人化、精密化的bot请求不具备快速检测能力,对不同场景下的bot请求检测使用通用配置导致误报和漏报过高;为了解决这些问题,本专利技术提供了一种场景化自学习的恶意请求检测方法及系统。
技术实现思路
1、本专利技术所要解决的技术问题是针对现有技术的不足,提供了一种场景化自学习的恶意请求检测方法及系统,该方法通过使用分层检测策略和集成得分引擎相结合,降低了检测异常的漏报和误报率;此外流量自学习策略的使用,使得该方法具有了动态更新的能力,提高了该方法的适应性。
2、为实现上述目的,本专利技术提供如下技术方案:
3、一种场景化自学习的恶意请求检测方法,包括如下步骤:
4、s1:配置基本场景,并为基本场景配置用户统计粒度和检测策略;
5、s2:利用用户统计粒度和检测策略,获取配置场景中不同异常的得分;
6、s3:配置集成评分引擎,利用集成评分引擎,对获取的不同异常得分进行综合,获取综合异常得分,确定异常的严重程度;
7、s4:通过对获取的异常严重程度进行可视化展示;
8、s5:通过对潜在威胁进行流量数据分析,为检测策略配置增强建议反馈;
9、s6:设置灰度测试,并通过灰度测试对上述场景配置进行验证,获取并修复场景兼容性或错误配置问题,然后对场景进行下发部署。
10、具体地,s1中用户统计粒度的配置过程包括:
11、s2.1:客户通过选择ip、ip+ua、自定义令牌和网关特定cookie四个角度来配置所述用户统计粒度;
12、s2.2:对所述用户统计粒度由高到低依次设置以下优先级:自定义令牌、网关特定cookie、ip+ua、ip;
13、s2.3:当所述用户统计粒度在高一级的优先级缺失时,则使用低一级用户统计粒度作为用户唯一身份的定位标识。
14、具体地,检测策略包括前端对抗、访问限速、情报分析和智能分析,前端对抗、访问限速、情报分析和智能分析中都包括预设的检测阈值。
15、具体地,s2中获取不同异常得分的具体流程包括:
16、s4.1:根据客户配置的用户统计粒度,场景所在系统自动统计不同场景的所有访问请求的用户统计粒度数据;
17、s4.2:将收集到的优先级高的场景的用户统计粒度数据先输入到所述场景配置的并行检测策略层中进行分析计算,并根据检测策略的权重独立设置异常得分;然后再对次一级场景进行检测,以此类推获取不同场景的异常得分。
18、具体地,s3中综合得分包括单异常综合得分和多异常综合得分,其具体计算流程包括:
19、s5.1当综合得分为单异常综合得分时,则直接使用从单个所述检测策略中获得的异常得分,作为综合得分;
20、s5.2:当所述综合得分为多异常综合得分时,则将检测策略中异常得分最高的做为单次异常的最高分,而其余检测策略的得分则乘以所述检测策略对应的权重,并与单次异常最高分相加,得到综合得分,其公式如下:
21、m=m1+w2m2+w3m3+w4m4,
22、其中,m为综合多异常得分,m1为单次异常的最高分,m2,m3,m4依次为得分第二,三和四的异常得分,w2,w3,w4依次为m2,m3,m4对应检测策略的权重。
23、具体地,配置增强建议反馈,采用了一种流量自学习策略,具体过程包括:
24、s6.1:根据获取的潜在威胁,利用场景配置的统计粒度,收集威胁的流量数据,并进行预处理;
25、s6.2:从预处理的流量数据中提取与攻击相关的特定流量模式、异常的访问行为或其他可疑活动,作为攻击样本,并利用获取潜在威胁对应的检测策略的检测阈值作为初始的阈值;
26、s6.3:将上述攻击样本与初始的阈值输入到一个预训练的支持向量机中,获取威胁的攻击模式和趋势,并输出对应威胁的最佳阈值;
27、s6.4:利用获取的攻击模式和趋势调整所述前端对抗、访问限速、情报分析和智能分析的配置和权重,并利用获取的最佳阈值更新所述前端对抗、访问限速、情报分析和智能分析中预设的检测阈值。
28、一种场景化自学习的恶意请求检测系统,包括场景化基本配置模块、集成评分引擎模块、配置建议反馈模块、灰度测试模块;
29、场景化基本配置模块:用于给客户提供可选择的场景配置或自定义的场景配置,并对选择的场景配置检测粒度与检测策略;
30、集成评分引擎模块:用于对不本文档来自技高网...
【技术保护点】
1.一种场景化自学习的恶意请求检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种场景化自学习的恶意请求检测方法,其特征在于,所述S1中用户统计粒度的配置过程包括:
3.根据权利要求2所述的一种场景化自学习的恶意请求检测方法,其特征在于,所述检测策略包括前端对抗、访问限速、情报分析和智能分析,所述前端对抗、访问限速、情报分析和智能分析中都包括预设的检测阈值。
4.根据权利要求3所述的一种场景化自学习的恶意请求检测方法,其特征在于,所述S2中获取不同异常得分的具体流程包括:
5.根据权利要求4所述的一种场景化自学习的恶意请求检测方法,其特征在于,所述S3中综合得分包括单异常综合得分和多异常综合得分,其具体计算流程包括:
6.根据权利要求5所述的一种场景化自学习的恶意请求检测方法,其特征在于,所述配置增强建议反馈,采用了一种流量自学习策略,具体过程包括:
7.一种场景化自学习的恶意请求检测系统,其基于如权利要求1-6中任一项所述的一种场景化自学习的恶意请求检测方法实现,其特征在于,所述系统包括场景化
8.根据权利要求7所述的一种场景化自学习的恶意请求检测系统,其特征在于,所述场景化基本配置模块包括场景化基本设置单元、用户统计粒度单元和检测策略单元;
9.根据权利要求8所述的一种场景化自学习的恶意请求检测系统,其特征在于,所述检测策略单元包括前端对抗子单元、访问限速子单元、情报分析子单元和智能分析子单元;
10.根据权利要求9所述的一种场景化自学习的恶意请求检测系统,其特征在于,所述配置建议反馈模块包括结果展示子单元和流量自学习子单元;
...【技术特征摘要】
1.一种场景化自学习的恶意请求检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种场景化自学习的恶意请求检测方法,其特征在于,所述s1中用户统计粒度的配置过程包括:
3.根据权利要求2所述的一种场景化自学习的恶意请求检测方法,其特征在于,所述检测策略包括前端对抗、访问限速、情报分析和智能分析,所述前端对抗、访问限速、情报分析和智能分析中都包括预设的检测阈值。
4.根据权利要求3所述的一种场景化自学习的恶意请求检测方法,其特征在于,所述s2中获取不同异常得分的具体流程包括:
5.根据权利要求4所述的一种场景化自学习的恶意请求检测方法,其特征在于,所述s3中综合得分包括单异常综合得分和多异常综合得分,其具体计算流程包括:
6.根据权利要求5所述的一种场景化自学习的恶意请求检测方法,其特征在于...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。