CN113904829B - 一种基于机器学习的应用防火墙*** - Google Patents

一种基于机器学习的应用防火墙*** Download PDF

Info

Publication number
CN113904829B
CN113904829B CN202111152366.7A CN202111152366A CN113904829B CN 113904829 B CN113904829 B CN 113904829B CN 202111152366 A CN202111152366 A CN 202111152366A CN 113904829 B CN113904829 B CN 113904829B
Authority
CN
China
Prior art keywords
request
transfer protocol
hypertext transfer
machine learning
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111152366.7A
Other languages
English (en)
Other versions
CN113904829A (zh
Inventor
程栋
朱德辰
沈凯辰
夏诗博
王君
陆梦灵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Big Data Co ltd
Original Assignee
Shanghai Big Data Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Big Data Co ltd filed Critical Shanghai Big Data Co ltd
Priority to CN202111152366.7A priority Critical patent/CN113904829B/zh
Publication of CN113904829A publication Critical patent/CN113904829A/zh
Application granted granted Critical
Publication of CN113904829B publication Critical patent/CN113904829B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于机器学习的应用防火墙***,包括:至少一客户端,用于发送超文本传输协议请求;攻击规则模块,用于接收超文本传输协议请求并根据内置攻击规则库进行变量拆分,得到多个变量并发送;调用模块,用于接收各变量并调用机器学习模型进行处理得到威胁类型,并在威胁类型表示为正常业务访问请求时放行,在威胁类型表示为异常业务请求时阻断;样本数据库模块,用于记录超文本传输协议请求的处理过程形成日志,并按照威胁类型分别存储作为学习样本。有益效果是本***能够降低误报率,放行正常业务访问请求,限制异常业务访问请求,通过编写自定义规则对新型网络攻击请求进行检测,并以此作为学习样本进行机器学习,减少人工维护成本。

Description

一种基于机器学习的应用防火墙***
技术领域
本发明涉及应用防火墙技术领域,尤其涉及一种基于机器学习的应用防火墙***。
背景技术
应用防火墙是一种用于防止和缓解常见网络攻击的安全技术,通常部署于需要保护的网络应用程序之前,过滤网络请求中的非法语句,保护网络应用程序。
传统的应用防火墙大多基于攻击特征进行分析,无法检测出新型网络攻击,其较高的误报率也极易阻挡正常的业务访问流量,由于采用传统的规则匹配模式进行网络请求过滤,正常的业务访问请求也存在匹配攻击规则后被阻断的可能性,且当新型网络攻击的请求和命令无法在现有的攻击规则库中进行匹配时,应用防火墙会默认其为安全请求从而放行。
发明内容
针对现有技术中存在的问题,本发明提供一种基于机器学习的应用防火墙***,包括:
至少一客户端,用于发送至少一超文本传输协议请求;
一攻击规则模块,分别连接各所述客户端,用于接收所述超文本传输协议请求并根据一内置攻击规则库对所述超文本传输协议请求进行变量拆分,得到多个变量并发送;
一调用模块,连接所述攻击规则模块,用于接收各所述变量并调用预先训练得到的机器学习模型对各所述变量进行处理,得到对应的所述超文本传输协议请求的威胁类型,并在所述威胁类型表示所述超文本传输协议请求为正常业务访问请求时放行所述超文本传输协议请求,以及在所述威胁类型表示所述超文本传输协议请求为异常业务请求时阻断所述超文本传输协议请求;
一样本数据库模块,分别连接所述攻击规则模块和所述调用模块,用于记录所述超文本传输协议请求对应的处理过程形成一超文本传输协议日志,并将各所述超文本传输协议请求按照所述威胁类型分别存储,以提供所述机器学习模型的学习样本。优选的,还包括至少一应用服务器,分别连接LuaAPI模块,用于在LuaAPI模块放行HTTP请求时,接收HTTP请求。
优选的,还包括至少一应用服务器,连接所述调用模块,用于在所述调用模块放行所述超文本传输协议请求时,接收所述超文本传输协议请求。
优选的,还包括一数据库可视化模块,分别连接所述样本数据库模块和所述客户端,用于供所述客户端对所述样本数据库模块存储的所述学习样本和所述超文本传输协议日志进行可视化管理。
优选的,所述调用模块提供有一规则定义端口,以供用户配置对应于一新型网络攻击请求的一自定义规则并存储至所述内置攻击规则库,对所述内置攻击规则库进行更新。
优选的,所述异常业务请求包括已知网络攻击请求和新型网络攻击请求;
则所述样本数据库模块根据所述超文本传输协议请求进行变量拆分采用的规则类型将所述异常业务请求按照所述已知网络攻击请求和所述新型网络攻击请求分别存储。
优选的,所述样本数据库模块包括:
记录单元,用于记录所述超文本传输协议请求对应的处理过程形成所述超文本传输协议日志;
第一分类单元,连接所述记录单元,用于在所述超文本传输协议日志中记录的所述处理过程表示所述威胁类型为正常业务访问请求时将对应的所述超文本传输协议请求按照正常业务访问请求进行存储,在所述威胁类型为异常业务访问请求时由所述超文本传输协议日志中提取对应的变量拆分记录;
第二分类单元,连接所述第一分类单元,用于在所述变量拆分记录表示所述规则类型是采用所述自定义规则进行变量拆分时,将对应的超文本传输协议请求按照所述新型网络攻击请求进行存储,以及在所述变量拆分记录表示所述规则类型不是采用所述自定义规则进行变量拆分时,将对应的超文本传输协议请求按照所述已知网络攻击请求进行存储。
优选的,还包括一机器学习模块,连接所述样本数据库模块,用于根据所述学习样本对所述机器学习模型进行完善训练,以对所述机器学习模型进行更新。
优选的,所述机器学习模型以各所述变量为输入,以所述威胁类型为输出,且采用决策树和随机森林算法实现。
优选的,所述规则定义端口提供Lua C语言编写环境,以供用户采用Lua C语言配置所述自定义规则。
上述技术方案具有如下优点或有益效果:本***能够降低误报率,充分放行正常业务访问请求,最大程度限制异常业务访问请求,通过编写自定义规则对新型网络攻击请求进行检测,并以此作为学习样本进行机器学习,减少人工维护成本。
附图说明
图1为本发明的较佳的实施例中,本***的结构原理图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本发明并不限定于该实施方式,只要符合本发明的主旨,则其他实施方式也可以属于本发明的范畴。
本发明的较佳的实施例中,基于现有技术中存在的上述问题,现提供一种基于机器学习的应用防火墙***,如图1所示,包括:
至少一客户端1,用于发送至少一超文本传输协议请求;
一攻击规则模块2,分别连接各客户端1,用于接收超文本传输协议请求并根据一内置攻击规则库21对超文本传输协议请求进行变量拆分,得到多个变量并发送;
一调用模块3,连接攻击规则模块2,用于接收各变量并调用预先训练得到的机器学习模型对各变量进行处理,得到对应的超文本传输协议请求的威胁类型,并在威胁类型表示超文本传输协议请求为正常业务访问请求时放行超文本传输协议请求,以及在威胁类型表示超文本传输协议请求为异常业务请求时阻断超文本传输协议请求;
一样本数据库模块4,分别连接攻击规则模块2和调用模块3,用于记录超文本传输协议请求对应的处理过程形成一超文本传输协议日志,并将各超文本传输协议请求按照威胁类型分别存储,以提供机器学习模型的学习样本。
具体地,本实施例中,传统的应用防火墙在分析网络请求时大多基于攻击特征,对网络请求中的大范围攻击请求进行过滤,导致产生较高的误报率,也极易阻挡正常的业务访问请求,且传统的应用防火墙智能识别出普通的攻击请求,无法识别出新型网络攻击请求,虽然能够过滤网络请求中的部分攻击请求,但是存在较大的安全隐患,因此,本***通过采用ModSecurity引擎进行实现,超文本传输协议请求即为HTTP请求,为网络应用提供了强大的保护,并对HTTP请求的流量进行监测和实时分析,当客户端1发出HTTP请求时,ModSecurity检查HTTP请求的所有部分,如果请求是带有攻击性的,它会被阻止并记录,并且加入机器学习模型,以大幅降低应用防火墙的误报率,在保证应用程序安全性的同时提高了业务连续性,降低了处理不必要误报信息的人工成本。
具体地,本实施例中,内置攻击规则库21对HTTP请求进行变量拆分,分成请求头、URL、版本号和请求方法,调用模块3调用机器学习模型分别对请求头、URL、版本号和请求方法进行规则匹配,匹配第一规则且请求方法表示为GET时,放行HTTP请求,不匹配第一规则但匹配第二规则且请求方法表示为GET时,阻断HTTP请求。
本发明的较佳的实施例中,还包括至少一应用服务器5,连接调用模块3,用于在调用模块3放行超文本传输协议请求时,接收超文本传输协议请求。
本发明的较佳的实施例中,还包括一数据库可视化模块6,分别连接样本数据库模块4和客户端1,用于供客户端对样本数据库模块4存储的学习样本和超文本传输协议日志进行可视化管理。
具体地,本实施例中,用户可以通过数据库可视化模块6随时查看HTTP请求日志,以便核对HTTP请求的威胁类型,提高检测的正确率。
本发明的较佳的实施例中,调用模块3提供有一规则定义端口31,以供用户配置对应于一新型网络攻击请求的一自定义规则并存储至内置攻击规则库21,对内置攻击规则库21进行更新。
具体地,本实施例中,考虑到传统的应用防火墙无法检测新型网络攻击,因此在调用模块3中设置规则定义端口31,可根据实际编写自定义规则,利用自定义规则检测新型网络攻击请求。
本发明的较佳的实施例中,异常业务请求包括已知网络攻击请求和新型网络攻击请求;
则样本数据库模块4根据超文本传输协议请求进行变量拆分采用的规则类型将异常业务请求按照已知网络攻击请求和新型网络攻击请求分别存储。
本发明的较佳的实施例中,样本数据库模块4包括:
记录单元41,用于记录超文本传输协议请求对应的处理过程形成超文本传输协议日志;
第一分类单元42,连接记录单元41,用于在超文本传输协议日志中记录的处理过程表示威胁类型为正常业务访问请求时将对应的超文本传输协议请求按照正常业务访问请求进行存储,在威胁类型为异常业务访问请求时由超文本传输协议日志中提取对应的变量拆分记录;
第二分类单元43,连接第一分类单元42,用于在变量拆分记录表示规则类型是采用自定义规则进行变量拆分时,将对应的超文本传输协议请求按照新型网络攻击请求进行存储,以及在变量拆分记录表示规则类型不是采用自定义规则进行变量拆分时,将对应的超文本传输协议请求按照已知网络攻击请求进行存储。
具体地,本实施例中,考虑到HTTP请求分为正常业务访问请求、已知网络攻击请求和新型网络攻击请求,因此设置第一分类单元42来存储正常业务访问请求,设置第二分类单元43来分别存储已知网络攻击请求和新型网络攻击请求,且已知网络攻击请求和新型网络攻击请求的分类依据为是否采用自定义规则进行变量拆分。
本发明的较佳的实施例中,还包括一机器学习模块7,连接样本数据库模块4,用于根据学习样本对机器学习模型进行完善训练,以对机器学习模型进行更新。
本发明的较佳的实施例中,机器学习模型以各变量为输入,以威胁类型为输出,且采用决策树和随机森林算法实现。
具体地,本实施例中,通过决策树和随机森林的算法以及大量可构造的不同类型的HTTP请求,使得机器学习模型能够更精准的识别正常业务访问请求和已知网络攻击请求,并且随着学习样本和学习时间的增加,准确率逐步提升,机器学习模型的不断完善,使误报率逐步降低,并通过变更防护模式、临时放宽策略等操作大幅降低放行正常业务访问请求所需要的人工维护成本。
本发明的较佳的实施例中,规则定义端口31提供Lua C语言编写环境,以供用户采用Lua C语言配置所述自定义规则。
具体地,本实施例中,正常业务访问请求的流程为:
步骤A1,客户端1向应用服务器5发送HTTP请求,攻击规则模块2接收对应的请求包并利用内置攻击规则库21对请求包进行变量拆分并输出;
步骤A2,调用模块3调用机器学习模型对已拆分的变量进行初步匹配,并将初步匹配结果应用到随机森林算法的计算节点中;
步骤A3,机器学习模型进行决策分析并输出包含威胁类型的响应结果,该威胁类型表示为正常业务访问请求,调用模块3根据响应结果进行放行,应用服务器5顺利接收到该HTTP请求;
步骤A4,样本数据库模块4全程对HTTP请求的处理过程进行实时记录,并将其归类为正常业务访问请求进行存储。
具体地,本实施例中,已知网络攻击请求的流程为:
步骤B1,客户端1向应用服务器5发送HTTP请求,攻击规则模块2接收对应的请求包并利用内置攻击规则库21对请求包进行变量拆分并输出;
步骤B2,调用模块3调用机器学习模型对已拆分的变量进行初步匹配,并将初步匹配结果应用到随机森林算法的计算节点中;
步骤B3,机器学习模型进行决策分析并输出包含威胁类型的响应结果,该威胁类型表示为已知网络攻击请求,调用模块根据响应结果进行阻断,应用服务器5无法接受到该HTTP请求;
步骤B4,样本数据库模块4全程对HTTP请求的处理过程进行实时记录,并将其归类为已知网络攻击请求进行存储。
具体地,本实施例中,新型网络攻击请求的流程为:
步骤C1,客户端1向应用服务器5发送HTTP请求,攻击规则模块2接收对应的请求包并利用内置攻击规则库21内已编写好的自定义规则对请求包进行变量拆分并输出;
步骤C2,调用模块3调用机器学习模型对已拆分的变量进行初步匹配,并将初步匹配结果应用到随机森林算法的计算节点中;
步骤C3,机器学习模型进行决策分析并输出包含威胁类型的响应结果,该威胁类型表示为新型网络攻击请求,调用模块根据响应结果进行阻断,应用服务器5无法接受到该HTTP请求;
步骤C4,样本数据库模块4全程对HTTP请求的处理过程进行实时记录,并将其归类为新型网络攻击请求进行存储。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。

Claims (9)

1.一种基于机器学习的应用防火墙***,其特征在于,包括:
至少一客户端,用于发送至少一超文本传输协议请求;
一攻击规则模块,分别连接各所述客户端,用于接收所述超文本传输协议请求并根据一内置攻击规则库对所述超文本传输协议请求进行变量拆分,得到多个变量并发送;
所述变量包括请求头、URL、版本号和请求方法;
一调用模块,连接所述攻击规则模块,用于接收各所述变量并调用预先训练得到的机器学习模型对各所述变量进行处理,得到对应的所述超文本传输协议请求的威胁类型,并在所述威胁类型表示所述超文本传输协议请求为正常业务访问请求时放行所述超文本传输协议请求,以及在所述威胁类型表示所述超文本传输协议请求为异常业务请求时阻断所述超文本传输协议请求;
一样本数据库模块,分别连接所述攻击规则模块和所述调用模块,用于记录所述超文本传输协议请求对应的处理过程形成一超文本传输协议日志,并将各所述超文本传输协议请求按照所述威胁类型分别存储,以提供所述机器学习模型的学习样本。
2.根据权利要求1所述的基于机器学习的应用防火墙***,其特征在于,还包括至少一应用服务器,连接所述调用模块,用于在所述调用模块放行所述超文本传输协议请求时,接收所述超文本传输协议请求。
3.根据权利要求1所述的基于机器学习的应用防火墙***,其特征在于,还包括一数据库可视化模块,分别连接所述样本数据库模块和所述客户端,用于供所述客户端对所述样本数据库模块存储的所述学习样本和所述超文本传输协议日志进行可视化管理。
4.根据权利要求1所述的基于机器学习的应用防火墙***,其特征在于,所述调用模块提供有一规则定义端口,以供用户配置对应于一新型网络攻击请求的一自定义规则并存储至所述内置攻击规则库,对所述内置攻击规则库进行更新。
5.根据权利要求4所述的基于机器学习的应用防火墙***,其特征在于,所述异常业务请求包括已知网络攻击请求和新型网络攻击请求;
则所述样本数据库模块根据所述超文本传输协议请求进行变量拆分采用的规则类型将所述异常业务请求按照所述已知网络攻击请求和所述新型网络攻击请求分别存储。
6.根据权利要求5所述的基于机器学习的应用防火墙***,其特征在于,所述样本数据库模块包括:
记录单元,用于记录所述超文本传输协议请求对应的处理过程形成所述超文本传输协议日志;
第一分类单元,连接所述记录单元,用于在所述超文本传输协议日志中记录的所述处理过程表示所述威胁类型为正常业务访问请求时将对应的所述超文本传输协议请求按照正常业务访问请求进行存储,在所述威胁类型为异常业务访问请求时由所述超文本传输协议日志中提取对应的变量拆分记录;
第二分类单元,连接所述第一分类单元,用于在所述变量拆分记录表示所述规则类型是采用所述自定义规则进行变量拆分时,将对应的超文本传输协议请求按照所述新型网络攻击请求进行存储,以及在所述变量拆分记录表示所述规则类型不是采用所述自定义规则进行变量拆分时,将对应的超文本传输协议请求按照所述已知网络攻击请求进行存储。
7.根据权利要求1所述的基于机器学习的应用防火墙***,其特征在于,还包括一机器学习模块,连接所述样本数据库模块,用于根据所述学习样本对所述机器学习模型进行完善训练,以对所述机器学习模型进行更新。
8.根据权利要求1所述的基于机器学习的应用防火墙***,其特征在于,所述机器学习模型以各所述变量为输入,以所述威胁类型为输出,且采用决策树和随机森林算法实现。
9.根据权利要求4所述的基于机器学习的应用防火墙***,其特征在于,所述规则定义端口提供Lua C语言编写环境,以供用户采用Lua C语言配置所述自定义规则。
CN202111152366.7A 2021-09-29 2021-09-29 一种基于机器学习的应用防火墙*** Active CN113904829B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111152366.7A CN113904829B (zh) 2021-09-29 2021-09-29 一种基于机器学习的应用防火墙***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111152366.7A CN113904829B (zh) 2021-09-29 2021-09-29 一种基于机器学习的应用防火墙***

Publications (2)

Publication Number Publication Date
CN113904829A CN113904829A (zh) 2022-01-07
CN113904829B true CN113904829B (zh) 2024-01-23

Family

ID=79189208

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111152366.7A Active CN113904829B (zh) 2021-09-29 2021-09-29 一种基于机器学习的应用防火墙***

Country Status (1)

Country Link
CN (1) CN113904829B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114710354B (zh) * 2022-04-11 2023-09-08 中国电信股份有限公司 异常事件检测方法及装置、存储介质及电子设备
CN117494185B (zh) * 2023-10-07 2024-05-14 联通(广东)产业互联网有限公司 数据库访问控制方法及装置、***、设备、存储介质

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100989347B1 (ko) * 2009-08-21 2010-10-25 펜타시큐리티시스템 주식회사 보안규칙 기반의 웹공격 탐지 방법
CN107404473A (zh) * 2017-06-06 2017-11-28 西安电子科技大学 基于Mshield机器学习多模式Web应用防护方法
CN107426199A (zh) * 2017-07-05 2017-12-01 浙江鹏信信息科技股份有限公司 一种网络异常行为检测与分析的方法及***
CN107483488A (zh) * 2017-09-18 2017-12-15 济南互信软件有限公司 一种恶意Http检测方法及***
CN107948127A (zh) * 2017-09-27 2018-04-20 北京知道未来信息技术有限公司 一种基于回馈和监督学习的waf检测方法及***
CN108616498A (zh) * 2018-02-24 2018-10-02 国家计算机网络与信息安全管理中心 一种web访问异常检测方法和装置
CN109960729A (zh) * 2019-03-28 2019-07-02 国家计算机网络与信息安全管理中心 Http恶意流量的检测方法及***
CN110061960A (zh) * 2019-03-01 2019-07-26 西安交大捷普网络科技有限公司 Waf规则自学习***
CN110943961A (zh) * 2018-09-21 2020-03-31 阿里巴巴集团控股有限公司 数据处理方法、设备以及存储介质
CN111371776A (zh) * 2020-02-28 2020-07-03 北京邮电大学 Http请求数据的异常检测方法、装置、服务器及存储介质
CN111404909A (zh) * 2020-03-10 2020-07-10 上海豌豆信息技术有限公司 一种基于日志分析的安全检测***及方法
CN112543168A (zh) * 2019-09-20 2021-03-23 中移(苏州)软件技术有限公司 网络攻击的检测方法、装置、服务器及存储介质

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100989347B1 (ko) * 2009-08-21 2010-10-25 펜타시큐리티시스템 주식회사 보안규칙 기반의 웹공격 탐지 방법
CN107404473A (zh) * 2017-06-06 2017-11-28 西安电子科技大学 基于Mshield机器学习多模式Web应用防护方法
CN107426199A (zh) * 2017-07-05 2017-12-01 浙江鹏信信息科技股份有限公司 一种网络异常行为检测与分析的方法及***
CN107483488A (zh) * 2017-09-18 2017-12-15 济南互信软件有限公司 一种恶意Http检测方法及***
CN107948127A (zh) * 2017-09-27 2018-04-20 北京知道未来信息技术有限公司 一种基于回馈和监督学习的waf检测方法及***
CN108616498A (zh) * 2018-02-24 2018-10-02 国家计算机网络与信息安全管理中心 一种web访问异常检测方法和装置
CN110943961A (zh) * 2018-09-21 2020-03-31 阿里巴巴集团控股有限公司 数据处理方法、设备以及存储介质
CN110061960A (zh) * 2019-03-01 2019-07-26 西安交大捷普网络科技有限公司 Waf规则自学习***
CN109960729A (zh) * 2019-03-28 2019-07-02 国家计算机网络与信息安全管理中心 Http恶意流量的检测方法及***
CN112543168A (zh) * 2019-09-20 2021-03-23 中移(苏州)软件技术有限公司 网络攻击的检测方法、装置、服务器及存储介质
CN111371776A (zh) * 2020-02-28 2020-07-03 北京邮电大学 Http请求数据的异常检测方法、装置、服务器及存储介质
CN111404909A (zh) * 2020-03-10 2020-07-10 上海豌豆信息技术有限公司 一种基于日志分析的安全检测***及方法

Also Published As

Publication number Publication date
CN113904829A (zh) 2022-01-07

Similar Documents

Publication Publication Date Title
CN110149350B (zh) 一种告警日志关联的网络攻击事件分析方法及装置
CN113904829B (zh) 一种基于机器学习的应用防火墙***
NL2002694C2 (en) Method and system for alert classification in a computer network.
US9961047B2 (en) Network security management
CN107295021A (zh) 一种基于集中管理的主机的安全检测方法及***
CN110210213B (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
CN110266670A (zh) 一种终端网络外联行为的处理方法及装置
CN108512841A (zh) 一种基于机器学习的智能防御***及防御方法
CN110198303A (zh) 威胁情报的生成方法及装置、存储介质、电子装置
CN104794399A (zh) 一种基于海量程序行为数据的终端防护***及方法
WO2019084072A1 (en) GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM
CN109992484A (zh) 一种网络告警相关性分析方法、装置和介质
CN107332863A (zh) 一种基于集中管理的主机的安全检测方法及***
CN113992386A (zh) 一种防御能力的评估方法、装置、存储介质及电子设备
CN113938401A (zh) 一种舰艇网络安全可视化***
CN113886814A (zh) 一种攻击检测方法及相关装置
CN111464510A (zh) 一种基于快速梯度提升树模型的网络实时入侵检测方法
CN113709176A (zh) 基于安全云平台的威胁检测与响应方法及***
CN113114691A (zh) 一种网络入侵检测方法、***、设备和可读存储介质
KR102177998B1 (ko) 기계 학습 모델에 기반하여 SYN Flood 공격을 탐지하기 위한 학습 방법, 전처리 방법 및 이를 이용한 학습 장치, 전처리 장치
CN117220957A (zh) 一种基于威胁情报的攻击行为响应方法及***
KR101384618B1 (ko) 노드 분석 기법을 이용한 위험요소 추출 시스템
KR102404279B1 (ko) 사이버공격 시각화 방법 및 그 장치
CN114710306A (zh) 基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型
CN113923021A (zh) 基于沙箱的加密流量处理方法、***、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant