[发明专利]一种基于回馈和监督学习的WAF检测方法及系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种基于回馈和监督学习的WAF检测方法及系统。

背景技术

WAF(Web Application Firewall)是指Web应用防火墙，也被称为Web应用防护系统或网站应用级入侵防御系统。利用国际上公认的一种说法，Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

HTTP(Hyper Text Transfer Protocol，超文本传输协议)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个协议标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。1960年，美国人Ted Nelson构思了一种通过计算机处理文本信息的方法，并称之为超文本(hypertext)，这成为了HTTP超文本传输协议标准架构的发展根基。Ted Nelson组织协调万维网协会(World Wide Web Consortium)和互联网工程工作小组(Internet Engineering Task Force)共同合作研究，最终发布了一系列的RFC，其中著名的RFC 2616定义了HTTP 1.1。

监督学习是指利用一组已知类别的样本调整分类器的参数，使其达到所要求性能的过程。即监督学习是从标记的训练数据来推断一个功能的机器学习任务。所述训练数据包括一套训练示例。在监督学习中，每个实例都是由一个输入对象(通常为向量)和一个期望的输出值(也称为监督信号)组成。监督学习算法是分析该训练数据并产生一个推断的功能，其可以用于映射出新的实例。一个最佳的方案将允许该算法来正确地决定那些看不见的实例的类标签。

随着信息技术的发展，互联网走进了千家万户。作为最主要的互联网服务之一的HTTP/HTTPS技术也成为日常生活不可或缺的部分。HTTP/HTTPS技术使用浏览器/服务器的服务模式，即浏览器将访问者的请求格式化后通过TCP连接传输到服务器端，服务器端通过访问本地资源并进行一定处理后回传给浏览器，之后由浏览器展示给访问者。

浏览器/服务器的服务模式的一大弊端就是服务器的性能和稳定性成为整个系统的瓶颈，一旦服务器遭到攻击，所有的访问者都受到影响，甚至使服务中断，造成巨大的损失。针对这种情况，网络防护机制应运而生，WAF就是其中一种。WAF主要针对HTTP/HTTPS层的攻击，通过检查客户端发送的访问内容，判断和拦截攻击请求，以保证服务器提供安全的服务。

现有的WAF机制主要通过扫描每一条请求的请求头和请求体，将其与安全规则进行逐条匹配。通常有安全专家根据已知安全漏洞和可能存在的安全漏洞配置安全规则，这些安全规则通常是正则表达式。通过将每一条请求的请求数据(即请求头和请求体)与这些安全规则进行逐一匹配。如果某一条请求的请求数据匹配成功，则按照攻击请求进行拦截。如果所有安全规则都不能匹配，则此次请求为正常请求，予以放行，由服务器继续进行处理。这种方式可以保证较高检出率，但是会消耗大量的WAF系统资源(内存和CPU)。而且已经出现一些专门针对WAF系统的攻击，通过快速连续发送大量超大的请求导致WAF系统在检查过程中耗尽系统资源，出现拒绝服务的现象。

由上可知，现有的WAF机制的缺点主要体现在：

1、在日常情况中，正常请求占访问量的90％以上，而每个正常请求都要与所有的安全规则进行规则匹配，以致浪费大量WAF系统资源；

2、当攻击者快速连续发送大量超大的请求时，对这些请求的检查会导致WAF系统资源耗尽无法进行服务。然而，由于这些请求是通过程序批量发送，请求内容通常是相似或相同的，事实上并不需要完整的检查。

发明内容

针对上述不足，本发明的目的是提供一种基于回馈和监督学习的WAF检测方法系统，能够有效减少WAF系统的资源消耗，以保证WAF系统能够有效检测攻击者发送的攻击请求；同时，该方法减少了人工干预，提高了WAF系统对于新的攻击的响应速度。

为达上述目的，本发明所采用的技术方案为：

一种基于回馈和监督学习的WAF检测方法，其步骤包括：

对欲访问HTTP/HTTPS服务器的请求进行检测，通过分类器对所述请求进行特征提取，并根据提取的特征对所述请求进行分类；

若所述请求为攻击请求，则对该攻击请求直接进行拦截操作；

若所述请求为非攻击请求，则对该非攻击请求直接进行放行操作；