[发明专利]一种Web攻击的检测方法及装置

权利要求书

1.一种Web攻击的检测方法，其特征在于，所述方法包括：

针对待检测的Web访问请求，确定所述Web访问请求所属的会话；

获取所述Web访问请求所属会话的会话日志；

基于所述会话日志，提取所述Web访问请求所属会话在若干维度下的会话特征；

将所述若干维度下的会话特征作为入参输入已训练的检测模型；

根据所述检测模型的输出结果判断所述Web访问请求是否为Web攻击。

2.根据权利要求1所述的方法，其特征在于，所述确定Web访问请求所属的会话，包括：

获取所述Web访问请求的访问日志；

基于所述访问日志，确定所述Web访问请求的会话标识；

所述获取所述Web访问请求所属会话的会话日志，包括：

获取与所述Web访问请求的会话标识相同的若干Web访问请求的访问日志；

将所述Web访问请求的访问日志，以及所述会话标识相同的若干Web访问请求的访问日志，作为所述会话日志。

3.根据权利要求2所述的方法，其特征在于，所述基于所述会话日志，提取所述Web访问请求所属会话在若干维度下的会话特征，包括：

根据所述Web访问请求的访问日志，以及所述会话标识相同的若干Web访问请求的访问日志，提取所述会话中各Web访问请求在若干维度下的请求特征；

根据所述各Web访问请求在若干维度下的请求特征，提取所述会话在若干维度下的会话特征。

4.根据权利要求3所述的方法，其特征在于，所述Web访问请求在若干维度下的请求特征，包括以下一种或多种：

所述Web访问请求的IP地址、端口号、会话ID、Cookie、发起时间、总字节数和请求行的内容；

对所述Web访问请求的响应时长和响应状态码。

5.根据权利要求1所述的方法，其特征在于，所述Web访问请求所属会话在若干维度下的会话特征，包括以下一种或多种：

所述Web访问请求所属会话中的访问请求总数量；

所述Web访问请求所属会话中两次相邻访问请求之间的最大时间间隔、最小时间间隔；

所述Web访问请求所属会话中访问请求响应时长的最大值、最小值；

所述Web访问请求所属会话中响应成功的访问请求数量占访问请求总数量的比率；

所述Web访问请求所属会话中Cookie与会话ID相匹配的访问请求数量占访问请求总数量的比率。

6.根据权利要求1所述的方法，其特征在于，所述检测模型的训练过程，包括：

针对标记有检测结果的Web访问请求样本，确定所述Web访问请求样本所属的会话；

获取所述Web访问请求样本所属会话的会话日志；

基于所述会话日志，提取所述Web访问请求样本所属会话在若干维度下的会话特征；

根据所述Web访问请求样本所属会话在若干维度下的会话特征，对原始检测模型进行训练，得到所述已训练的检测模型。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

在满足模型更新要求时，获取本次模型更新使用的标记有检测结果的Web访问请求样本；

根据所述本次模型更新使用的标记有检测结果的Web访问请求样本，对所述原始检测模型进行重新训练，以更新所述已训练的检测模型。

8.根据权利要求1所述的方法，其特征在于，所述检测模型为使用SVM算法的有监督模型。