[发明专利]WEB后门攻击事件的检测方法、装置及电子设备

说明书

本发明提供了一种WEB后门攻击事件的检测方法、装置及电子设备，涉及机器学习的技术领域，该方法包括：获取WEB服务器产生的告警日志；将告警日志输入预先训练好的WEB后门攻击检测模型；其中，WEB后门攻击检测模型为基于标注好的告警日志样本训练得到的，告警日志样本包括标注有WEB后门攻击事件的告警日志正样本和标注有非WEB后门攻击事件的告警日志负样本；通过WEB后门攻击检测模型检测告警日志对应网址的网页内容，得到告警日志的检测结果；其中，检测结果包括告警日志为WEB后门攻击事件或告警日志不为WEB后门攻击事件。本发明提升了WEB后门攻击事件的检测准确率。

技术领域

本发明涉及机器学习技术领域，尤其是涉及一种WEB后门攻击事件的检测方法、装置及电子设备。

背景技术

在网络安全事件调查和网络攻击应急响应的事件中，网络安全设备中会产生大量的WEB后门攻击的告警，为了防止WEB后门攻击事件的误报与漏报，需要对WEB服务器产生的告警日志进行进一步排查。然而，现有的WEB后门攻击事件检测技术主要采用人为分析的方法，工作人员发现网络安全防护设备上出现WEB后门攻击告警后，人工登录该告警的告警日志对应的网页，并根据经验判断该网页是否为存在WEB后门攻击。由于网络安全防护设备上误报太多，导致安全人员需要花费较大的精力来排查误报，并且有可能忽略重要的线索。因此，目前的WEB后门攻击事件检测技术还存在检测准确率较低的问题。

发明内容

本发明实施例的目的在于提供一种WEB后门攻击事件的检测方法、装置及电子设备，提升了WEB后门攻击事件的检测准确率。

第一方面，本发明实施例提供了一种WEB后门攻击事件的检测方法，包括：获取WEB服务器产生的告警日志；将所述告警日志输入预先训练好的WEB后门攻击检测模型；其中，所述WEB后门攻击检测模型为基于标注好的告警日志样本训练得到的，所述告警日志样本包括标注有WEB后门攻击事件的告警日志正样本和标注有非WEB后门攻击事件的告警日志负样本；通过所述WEB后门攻击检测模型检测所述告警日志对应网址的网页内容，得到所述告警日志的检测结果；其中，所述检测结果包括所述告警日志为WEB后门攻击事件或所述告警日志不为WEB后门攻击事件。

在可选的实施方式中，所述通过所述WEB后门攻击检测模型检测所述告警日志对应网址的网页内容，得到所述告警日志的检测结果的步骤，包括：利用所述WEB后门攻击检测模型从所述告警日志中提取满足预设条件的目标网址；获取所述目标网址的网页内容，并从所述目标网址的网页内容中提取关键词信息；利用k-近邻算法对所述关键词信息进行分类，将得到的分类结果作为所述告警日志的检测结果。

在可选的实施方式中，所述利用所述WEB后门攻击检测模型从所述告警日志中提取满足预设条件的目标网址的步骤，包括：基于所述告警日志中的响应码信息，提取所述响应码信息为响应成功的网址作为目标网址。

在可选的实施方式中，所述获取所述目标网址的网页内容，并从所述网址的网页内容中提取关键词信息的步骤，包括：基于所述目标网址的网页内容获取所述目标网址的关键信息，并利用分词算法和词袋模型生成所述关键信息的数据集；基于关键词提取算法从所述数据集中提取关键词和所述关键词的词频。

在可选的实施方式中，所述基于所述目标网址的网页内容获取所述目标网址的关键信息，利用分词算法和词袋模型生成所述关键信息的数据集的步骤，包括：剔除所述目标网址的网页内容中的无用信息，获取所述目标网址的关键信息；其中，所述无用信息包括标点符号和数值；利用jieba分词算法对所述关键信息进行分词，获得所述关键信息包含的词语；利用词袋模型统计所述词语的出现次数，并根据所述词语和所述词语的出现次数生成所述关键信息的数据集。

在可选的实施方式中，所述关键词提取算法为TextRank关键词提取算法。