本發明公開了一種基于機器學習的智能防御系統及防御方法，該系統包含數據庫、線上單元及線下單元，線上單元由線上實時信息收集模塊、線上惡意請求處理模塊構成，線下單元由線下收集信息處理模塊、機器學習模塊構成；線上實時信息收集模塊可對收到的請求進行實時監聽；線下收集信息處理模塊對監聽到的請求分別進行處理，并將處理后的數據輸入到學習模型上；機器學習模塊可分別學習學習模型內的請求數據、建立正常請求特征庫、異常請求特征庫及異常響應庫；線上惡意請求處理模塊根據各庫內包含的請求信息對線上實時請求進行識別并攔截惡意請求。本發明的技術方案可解決傳統方式部署的入侵檢測系統的防護不及時及WAF系統防御規則不能全覆蓋的問題。

技術領域

本發明涉及計算機軟件信息技術領域，特別涉及一種基于機器學習的智能防御系統及防御方法。

背景技術

在網絡、計算機軟硬件技術逐漸成熟的當下，我們的生活、生產都在趨于網絡化、智能化，這是科技給我們的帶來的便捷之處，但也同時引發了一系列的安全問題，在一次次慘痛的安全事件的沖擊下，安全問題越來越來受到企業，國家的重視，隨之一系列的安全軟件也在不斷地誕生和趨于成熟，然而這些安全軟件都將依賴于強大的漏洞庫或防御規則，漏洞庫和防御規則都需要人工去添加和定制，在一階段產生的人力和時間的消耗無疑是巨大的。

而如今，越來越多的網絡攻擊者則是通過自動化技術發起網絡攻擊，但受到攻擊的企業或組織卻仍在使用人力來匯總內部安全問題，再結合外部威脅信息進行對比。這種傳統方式部署的入侵檢測系統往往需要花費數周，甚至幾個月的時間來修復，然而就在安全人員修復的這段時間內，攻擊者依然能夠利用漏洞侵入系統，肆意掠奪數據。

一些企業為了企業安全部署了相關的WAF防御系統，WAF防御系統一定程度上可以大幅度減低企業的安全風險，但WAF防御系統并不能預防未知風險，而且WAF防御規則如果不夠嚴密依然會被攻破，同時其基于以往知識的規則集合仍難以應對0day攻擊。

發明內容

本發明的目的是克服上述背景技術中不足，提供一種基于機器學習的智能防御系統及防御方法，來有效解決傳統方式部署的入侵檢測系統的防護不及時以及WAF系統防御規則不能全覆蓋或不嚴謹等問題。

為了達到上述的技術效果，本發明采取以下技術方案：

一種基于機器學習的智能防御系統，包含數據庫、線上單元及線下單元，所述線上單元由線上實時信息收集模塊、線上惡意請求處理模塊構成，線下單元由線下收集信息處理模塊、機器學習模塊構成；所述線上實時信息收集模塊可對收到的請求進行實時監聽，并將監聽到的請求實時保存至數據庫；所述線下收集信息處理模塊可對線上實時信息收集模塊監聽收集到的請求分別進行信息過濾、信息歸類、信息轉化處理，并將處理后的數據輸入到相應的用于機器學習模塊學習的學習模型上；所述學習模型包含白樣本學習模型、黑樣本學習模型、異常響應學習模型；所述機器學習模塊可分別學習白樣本學習模型、黑樣本學習模型、異常響應學習模型內的請求數據，再分別建立正常請求特征庫、異常請求特征庫及異常響應庫；所述線上惡意請求處理模塊可根據機器學習模塊建立的正常請求特征庫、異常請求特征庫及異常響應庫內包含的請求信息對線上實時請求進行識別并攔截、響應惡意請求；

本發明的智能防御系統中主要通過線上實時信息收集模塊進行信息收集，線下收集信息處理模塊對線上實時信息收集模塊收集的信息進行過濾、分類轉化等處理，再將處理后的數據傳輸至機器學習模塊以供機器學習模塊進行學習并分析入庫，最后再由線上惡意請求處理模塊對機器學習模塊的學習結果進行應用并最終達到防御的效果。

同時，本發明還公開了一種應用上述的基于機器學習的智能防御系統進行防御的方法，具體包含以下步驟：

S1.線上實時信息收集模塊對目標系統實施實時請求監聽，收集并保存監聽到的請求信息到數據庫中；