[发明专利]基于网站应用系统访问的恶意流量识别方法及系统

权利要求书

1.基于网站应用系统访问的恶意流量识别方法，其特征在于，所述方法包括：

获取网站访问流量中的指定数据，所述指定数据包括GET数据和/或POST数据；

对获取到的所述指定数据进行模式适配分析，以识别所述指定数据中的元素；其中，所述对获取到的所述指定数据进行模式适配分析包括：对所述指定数据进行段式分割，得到多个段式数据；在同一个段式数据内进行样式分割，得到所述段式数据对应的样式数据；在样式数据中进行元素识别，得到所述指定数据中的元素；

基于识别出的所述元素，计算所述指定数据对应的模式权值；其中，所述计算所述指定数据对应的模式权值包括：确定所述指定数据中各个元素与标准元素之间的距离，并计算确定出的距离的均值；根据计算的所述均值确定所述指定数据的模式权值，其中，所述均值与所述模式权值成反比；

根据计算的模式权值，设置阈值区间，所述阈值区间包括恶意阈值区间、待测阈值区间以及正常阈值区间；

动态学习标准集和对应的阈值区间，以对所述标准集和阈值区间进行校正，并通过校正后的结果识别恶意流量；

其中，动态学习标准集和对应的阈值区间包括：

确定所述标准集的真实区间，并将所述标准集中的数据输入深度学习网络，得到所述标准集对应的判别区间；

计算所述真实区间与所述判别区间之间的差异值，并根据所述差异值对所述标准集中的数据进行调整，以使得将调整后的标准集中的数据输入所述深度学习网络后，再次得到的判别区间与所述真实区间一致；

根据调整后的标准集重新确定阈值区间。

2.根据权利要求1所述的方法，其特征在于，通过校正后的结果识别恶意流量包括：

获取待检测的目标数据，并对所述目标数据进行模式适配分析，以识别所述目标数据中的元素；

基于识别出的所述元素，计算所述目标数据对应的目标模式权值；

确定所述目标模式权值对应的目标阈值区间，当所述目标阈值区间包含于所述恶意阈值区间内时，判定所述目标数据为恶意流量数据。

3.基于网站应用系统访问的恶意流量识别系统，其特征在于，所述系统包括：

指定数据获取单元，用于获取网站访问流量中的指定数据，所述指定数据包括GET数据和/或POST数据；

适配分析单元，用于对获取到的所述指定数据进行模式适配分析，以识别所述指定数据中的元素；

模式权值计算单元，用于基于识别出的所述元素，计算所述指定数据对应的模式权值；

阈值区间设置单元，用于根据计算的模式权值，设置阈值区间，所述阈值区间包括恶意阈值区间、待测阈值区间以及正常阈值区间；

校正单元，用于动态学习标准集和对应的阈值区间，以对所述标准集和阈值区间进行校正，并通过校正后的结果识别恶意流量；

其中，所述适配分析单元包括：

段式分割模块，用于对所述指定数据进行段式分割，得到多个段式数据；

样式分割模块，用于在同一个段式数据内进行样式分割，得到所述段式数据对应的样式数据；

元素识别模块，用于在样式数据中进行元素识别，得到所述指定数据中的元素；

其中，所述模式权值计算单元包括：

距离确定模块，用于确定所述指定数据中各个元素与标准元素之间的距离，并计算确定出的距离的均值；

权值确定模块，用于根据计算的所述均值确定所述指定数据的模式权值，其中，所述均值与所述模式权值成反比；

其中，所述校正单元包括：

预测模块，用于确定所述标准集的真实区间，并将所述标准集中的数据输入深度学习网络，得到所述标准集对应的判别区间；

调整模块，用于计算所述真实区间与所述判别区间之间的差异值，并根据所述差异值对所述标准集中的数据进行调整，以使得将调整后的标准集中的数据输入所述深度学习网络后，再次得到的判别区间与所述真实区间一致；

区间重置模块，用于根据调整后的标准集重新确定阈值区间。

4.根据权利要求3所述的系统，其特征在于，所述校正单元包括：

目标数据获取模块，用于获取待检测的目标数据，并对所述目标数据进行模式适配分析，以识别所述目标数据中的元素；

目标权值计算模块，用于基于识别出的所述元素，计算所述目标数据对应的目标模式权值；

判定模块，用于确定所述目标模式权值对应的目标阈值区间，当所述目标阈值区间包含于所述恶意阈值区间内时，判定所述目标数据为恶意流量数据。