本發明提供了一種基于機器學習的WAF正常流量建模方法以及裝置，涉及流量檢測技術領域，獲取目標URL，并對所述目標URL中的字符進行分類，得到多個類別；基于所述目標URL中的字符，計算目標切換概率，其中，所述目標切換概率表示所述多個類別中的一個類別切換到另外一個類別的概率；結合所述目標URL中的字符和所述目標切換概率，通過機器學習算法建立WAF正常流量模型，其中，所述WAF正常流量為非網絡入侵流量，解決了現有技術中存在的WAF識別異常流量方法的準確性較低的技術問題。

技術領域

本發明涉及流量檢測技術領域，尤其是涉及一種基于機器學習的WAF正常流量建模方法以及裝置。

背景技術

目前，全球廣域網或萬維網(World Wide Web，簡稱WEB)應用越來越豐富，但由于WEB服務器的強大的計算能力、處理性能及蘊含的較高價值，使之逐漸成為主要的攻擊目。例如，結構化查詢語言(Structured Query Language，簡稱SQL)注入、網頁篡改、網頁掛馬等安全事件頻繁發生。

對于現有的網站應用級入侵防御系統(Web Application Firewall，簡稱：WAF)識別異常流量的方法，通常采用與異常流量規則集相匹配的方式來識別異常流量。但是，通過該方法進行識別很容易導致異常流量的誤報、漏報等情況，因此，現有的WAF識別異常流量方法的準確性較低。

發明內容

有鑒于此，本發明的目的在于提供一種基于機器學習的WAF正常流量建模方法以及裝置，以解決現有技術中存在的WAF識別異常流量方法的準確性較低的技術問題。

第一方面，本發明實施例提供了一種基于機器學習的WAF正常流量建模方法，應用于服務器，包括：

獲取目標統一資源定位符(Uniform Resource Locator，簡稱URL)，并對所述目標URL中的字符進行分類，得到多個類別；

基于所述目標URL中的字符，計算目標切換概率，其中，所述目標切換概率表示所述多個類別中的一個類別切換到另外一個類別的概率；

結合所述目標URL中的字符和所述目標切換概率，通過機器學習算法建立WAF正常流量模型，其中，所述WAF正常流量為非網絡入侵流量。

結合第一方面，本發明實施例提供了第一方面的第一種可能的實施方式，其中，對所述目標URL中的字符進行分類，得到多個類別，包括：

基于所述目標URL中字符的所屬狀態，對所述字符進行分類，得到多個類別，其中，所述所屬狀態包括以下至少之一：數字狀態、文字狀態、符號狀態、結束狀態、開始狀態。

結合第一方面，本發明實施例提供了第一方面的第二種可能的實施方式，其中，基于所述目標URL中的字符，計算目標切換概率，包括：

根據預設格式條件與所述目標URL中的請求內容，確定所述目標URL的字符中多個類別之間的切換事件，其中，所述切換事件表示所述多個類別中的一個類別切換到另外一個類別的事件；

計算每個所述切換事件的發生概率，并根據所述發生概率確定目標切換概率。

結合第一方面，本發明實施例提供了第一方面的第三種可能的實施方式，其中，結合所述目標URL中的字符和所述目標切換概率，通過機器學習算法建立WAF正常流量模型，包括：

根據所述目標URL中字符的順序，計算多個所述目標切換概率的乘積，得到目標計算式，其中，所述目標計算式用于計算所述目標URL的總概率值；

結合所述目標計算式和機器學習算法建立所述WAF正常流量模型。

結合第一方面，本發明實施例提供了第一方面的第四種可能的實施方式，其中，所述方法還包括：