基于机器学习的WAF正常流量建模方法以及装置.docx

(19)中华人民共和国国家知识产权局 (10 )申请公布号 CN 109325193 A( 43 )申请公布日 (10 )申请公布号 CN 109325193 A ( 43 )申请公布日 2019.02.12 ( 21 )申请号 201811206594 .6 ( 22)申请日 2018 .10 .16 (71 )申请人 杭州安恒信息技术股份有限公司 地址 310000 浙江省杭州市滨江区通和路 68号浙江中财大厦15层 (72)发明人 唐瑶 范渊 (74 )专利代理机构 北京超凡志成知识产权代理 事务所( 普通合伙) 11371 代理人 王文红 ( 51 )Int .Cl . G06F 16/955( 2019 .01 ) G06K 9/62( 2006 .01 ) G06N 99/00( 2019 .01 ) 权利要求书2页 说明书8页 附图4页 权利要求书2页 说明书8页 附图4页 ( 54 )发明名称 基于机器学习的WAF正常流量建模方法以及 装置 ( 57 )摘要 CN 109325193 A本发明提供了一种基于机器学习的WAF正常流量建模方法以及装置，涉及流量检测技术领域，获取目标URL，并对所述目标URL中的字符进行分类，得到多个类别；基于所述目标URL中的字符，计算目标切换概率，其中，所述目标切换概率表示所述多个类别中的一个类别切换到另外一个类别的概率；结合所述目标URL中的字符和所述目标切换概率，通过机器学习算法建立WAF正常流量模型，其中，所述WAF正常流量为非网络入侵流量，解决了现有技术中存在的WAF识别异常流量方法的准确性较低的技术问题。 CN 109325193 A 2 PAGE 10 2 PAGE 10 CN 109325193 A权 利 要 求 书 1/2 页 CN 109325193 A 1 .一种基于机器学习的WAF正常流量建模方法，应用于服务器，其特征在于，包括： 获取目标统一资源定位符URL，并对所述目标URL中的字符进行分类，得到多个类别； 基于所述目标URL中的字符，计算目标切换概率，其中，所述目标切换概率表示所述多个类别中的一个类别切换到另外一个类别的概率； 结合所述目标URL中的字符和所述目标切换概率，通过机器学习算法建立WAF正常流量模型，其中，所述WAF正常流量为非网络入侵流量。 2 .根据权利要求1所述的方法，其特征在于，对所述目标URL中的字符进行分类，得到多个类别，包括： 基于所述目标URL中字符的所属状态，对所述字符进行分类，得到多个类别，其中，所述所属状态包括以下至少之一：数字状态、文字状态、符号状态、结束状态、开始状态。 3 .根据权利要求1所述的方法，其特征在于，基于所述目标URL中的字符，计算目标切换概率，包括： 根据预设格式条件与所述目标URL中的请求内容，确定所述目标URL的字符中多个类别之间的切换事件，其中，所述切换事件表示所述多个类别中的一个类别切换到另外一个类别的事件； 计算每个所述切换事件的发生概率，并根据所述发生概率确定目标切换概率。 4 .根据权利要求1所述的方法，其特征在于，结合所述目标URL中的字符和所述目标切换概率，通过机器学习算法建立WAF正常流量模型，包括： 根据所述目标URL中字符的顺序，计算多个所述目标切换概率的乘积，得到目标计算式，其中，所述目标计算式用于计算所述目标URL的总概率值； 结合所述目标计算式和机器学习算法建立所述WAF正常流量模型。 5 .根据权利要求4所述的方法，其特征在于，所述方法还包括： 通过所述WAF正常流量模型进行计算，得到待计算URL的总概率值； 将预设阈值与所述待计算URL的总概率值进行对比； 若所述待计算URL的总概率值大于所述预设阈值，则确定所述待计算URL的第一WAF流量检测结果为通过。 6 .根据权利要求5所述的方法，其特征在于，所述方法还包括： 若所述待计算URL的总概率值小于或等于所述预设阈值，则确定所述待计算URL的第一 WAF流量检测结果为不通过。 7 .根据权利要求6所述的方法，其特征在于，所述方法还包括： 若所述待计算URL的第一WAF流量检测结果为通过，则根据预设异常流量集合对所述待计算URL进行异常流量检测，得到第二WAF流量检测结果，其中，所述预设异常流量集合包括至少一个网络入侵流量。 8 .一种基于机器学习的WAF正常流量建模装置，应用于服务器，其特征在于，包括： 分类模块，用于获取目标URL，并对所述目标URL中的字符进行分类，得到多个类别； 计算模块，用于基于所述目标URL中的字符，计算目标切换概率，其中，所述目标切换概率表示所述多个类别中的一个类别切换到另外一个类别的概率； 建立模块，用于结合所述目标URL中的字符和所述目标切换概率，通过机器学习算法建立WAF正常流