[发明专利]一种基于机器学习的应用防火墙系统

权利要求书

1.一种基于机器学习的应用防火墙系统，其特征在于，包括：

至少一客户端，用于发送至少一超文本传输协议请求；

一攻击规则模块，分别连接各所述客户端，用于接收所述超文本传输协议请求并根据一内置攻击规则库对所述超文本传输协议请求进行变量拆分，得到多个变量并发送；

一调用模块，连接所述攻击规则模块，用于接收各所述变量并调用预先训练得到的机器学习模型对各所述变量进行处理，得到对应的所述超文本传输协议请求的威胁类型，并在所述威胁类型表示所述超文本传输协议请求为正常业务访问请求时放行所述超文本传输协议请求，以及在所述威胁类型表示所述超文本传输协议请求为异常业务请求时阻断所述超文本传输协议请求；

一样本数据库模块，分别连接所述攻击规则模块和所述调用模块，用于记录所述超文本传输协议请求对应的处理过程形成一超文本传输协议日志，并将各所述超文本传输协议请求按照所述威胁类型分别存储，以提供所述机器学习模型的学习样本。

2.根据权利要求1所述的基于机器学习的应用防火墙系统，其特征在于，还包括至少一应用服务器，连接所述调用模块，用于在所述调用模块放行所述超文本传输协议请求时，接收所述超文本传输协议请求。

3.根据权利要求1所述的基于机器学习的应用防火墙系统，其特征在于，还包括一数据库可视化模块，分别连接所述样本数据库模块和所述客户端，用于供所述客户端对所述样本数据库模块存储的所述学习样本和所述超文本传输协议日志进行可视化管理。

4.根据权利要求1所述的基于机器学习的应用防火墙系统，其特征在于，所述调用模块提供有一规则定义端口，以供用户配置对应于一新型网络攻击请求的一自定义规则并存储至所述内置攻击规则库，对所述内置攻击规则库进行更新。

5.根据权利要求4所述的基于机器学习的应用防火墙系统，其特征在于，所述异常业务请求包括已知网络攻击请求和新型网络攻击请求；

则所述样本数据库模块根据所述超文本传输协议请求进行变量拆分采用的规则类型将所述异常业务请求按照所述已知网络攻击请求和所述新型网络攻击请求分别存储。

6.根据权利要求5所述的基于机器学习的应用防火墙系统，其特征在于，所述样本数据库模块包括：

记录单元，用于记录所述超文本传输协议请求对应的处理过程形成所述超文本传输协议日志；

第一分类单元，连接所述记录单元，用于在所述超文本传输协议日志中记录的所述处理过程表示所述威胁类型为正常业务访问请求时将对应的所述超文本传输协议请求按照正常业务访问请求进行存储，在所述威胁类型为异常业务访问请求时由所述超文本传输协议日志中提取对应的变量拆分记录；

第二分类单元，连接所述第一分类单元，用于在所述变量拆分记录表示所述规则类型是采用所述自定义规则进行变量拆分时，将对应的超文本传输协议请求按照所述新型网络攻击请求进行存储，以及在所述变量拆分记录表示所述规则类型不是采用所述自定义规则进行变量拆分时，将对应的超文本传输协议请求按照所述已知网络攻击请求进行存储。

7.根据权利要求1所述的基于机器学习的应用防火墙系统，其特征在于，还包括一机器学习模块，连接所述样本数据库模块，用于根据所述学习样本对所述机器学习模型进行完善训练，以对所述机器学习模型进行更新。

8.根据权利要求1所述的基于机器学习的应用防火墙系统，其特征在于，所述机器学习模型以各所述变量为输入，以所述威胁类型为输出，且采用决策树和随机森林算法实现。

9.根据权利要求4所述的基于机器学习的应用防火墙系统，其特征在于，所述规则定义端口提供Lua C语言编写环境，以供用户采用Lua C语言配置所述自定义规则。