本發明提供了一種WEB后門攻擊事件的檢測方法、裝置及電子設備，涉及機器學習的技術領域，該方法包括：獲取WEB服務器產生的告警日志；將告警日志輸入預先訓練好的WEB后門攻擊檢測模型；其中，WEB后門攻擊檢測模型為基于標注好的告警日志樣本訓練得到的，告警日志樣本包括標注有WEB后門攻擊事件的告警日志正樣本和標注有非WEB后門攻擊事件的告警日志負樣本；通過WEB后門攻擊檢測模型檢測告警日志對應網址的網頁內容，得到告警日志的檢測結果；其中，檢測結果包括告警日志為WEB后門攻擊事件或告警日志不為WEB后門攻擊事件。本發明提升了WEB后門攻擊事件的檢測準確率。

技術領域

本發明涉及機器學習技術領域，尤其是涉及一種WEB后門攻擊事件的檢測方法、裝置及電子設備。

背景技術

在網絡安全事件調查和網絡攻擊應急響應的事件中，網絡安全設備中會產生大量的WEB后門攻擊的告警，為了防止WEB后門攻擊事件的誤報與漏報，需要對WEB服務器產生的告警日志進行進一步排查。然而，現有的WEB后門攻擊事件檢測技術主要采用人為分析的方法，工作人員發現網絡安全防護設備上出現WEB后門攻擊告警后，人工登錄該告警的告警日志對應的網頁，并根據經驗判斷該網頁是否為存在WEB后門攻擊。由于網絡安全防護設備上誤報太多，導致安全人員需要花費較大的精力來排查誤報，并且有可能忽略重要的線索。因此，目前的WEB后門攻擊事件檢測技術還存在檢測準確率較低的問題。

發明內容

本發明實施例的目的在于提供一種WEB后門攻擊事件的檢測方法、裝置及電子設備，提升了WEB后門攻擊事件的檢測準確率。

第一方面，本發明實施例提供了一種WEB后門攻擊事件的檢測方法，包括：獲取WEB服務器產生的告警日志；將所述告警日志輸入預先訓練好的WEB后門攻擊檢測模型；其中，所述WEB后門攻擊檢測模型為基于標注好的告警日志樣本訓練得到的，所述告警日志樣本包括標注有WEB后門攻擊事件的告警日志正樣本和標注有非WEB后門攻擊事件的告警日志負樣本；通過所述WEB后門攻擊檢測模型檢測所述告警日志對應網址的網頁內容，得到所述告警日志的檢測結果；其中，所述檢測結果包括所述告警日志為WEB后門攻擊事件或所述告警日志不為WEB后門攻擊事件。

在可選的實施方式中，所述通過所述WEB后門攻擊檢測模型檢測所述告警日志對應網址的網頁內容，得到所述告警日志的檢測結果的步驟，包括：利用所述WEB后門攻擊檢測模型從所述告警日志中提取滿足預設條件的目標網址；獲取所述目標網址的網頁內容，并從所述目標網址的網頁內容中提取關鍵詞信息；利用k-近鄰算法對所述關鍵詞信息進行分類，將得到的分類結果作為所述告警日志的檢測結果。

在可選的實施方式中，所述利用所述WEB后門攻擊檢測模型從所述告警日志中提取滿足預設條件的目標網址的步驟，包括：基于所述告警日志中的響應碼信息，提取所述響應碼信息為響應成功的網址作為目標網址。

在可選的實施方式中，所述獲取所述目標網址的網頁內容，并從所述網址的網頁內容中提取關鍵詞信息的步驟，包括：基于所述目標網址的網頁內容獲取所述目標網址的關鍵信息，并利用分詞算法和詞袋模型生成所述關鍵信息的數據集；基于關鍵詞提取算法從所述數據集中提取關鍵詞和所述關鍵詞的詞頻。

在可選的實施方式中，所述基于所述目標網址的網頁內容獲取所述目標網址的關鍵信息，利用分詞算法和詞袋模型生成所述關鍵信息的數據集的步驟，包括：剔除所述目標網址的網頁內容中的無用信息，獲取所述目標網址的關鍵信息；其中，所述無用信息包括標點符號和數值；利用jieba分詞算法對所述關鍵信息進行分詞，獲得所述關鍵信息包含的詞語；利用詞袋模型統計所述詞語的出現次數，并根據所述詞語和所述詞語的出現次數生成所述關鍵信息的數據集。

在可選的實施方式中，所述關鍵詞提取算法為TextRank關鍵詞提取算法。