本申請一種Web應用的異常檢測方法，包括：獲取Web應用的HTTP報文；解析所述HTTP報文，確定所述HTTP報文的鍵值對；利用預設業務檢測模型對所述鍵值對中的鍵值關系進行檢測，以判斷所述HTTP報文是否屬于正常業務；若否，生成所述Web應用的異常告警本申請接收到HTTP報文后，對HTTP報文進行解析，從而得到HTTP報文包含的全部鍵值對，利用預設業務檢測模型對鍵值對中的鍵值關系進行檢測，借助分析HTTP報文的上下文信息來判斷當前http報文是否為客戶的正常業務，從而降低誤報率。本申請還提供一種Web應用的異常檢測系統、計算機可讀存儲介質和終端，具有上述有益效果。

技術領域

本申請涉及網絡安全領域，特別涉及一種Web應用的異常檢測方法、系統、存儲介質和終端。

背景技術

因此目前在Web安全檢測、安全態勢感知等安全產品中，若要保持高檢出率則必然會帶來大量的誤報，對客戶業務帶來了嚴重的影響。

Web安全誤報中比較常見的為SQL注入、命令注入、XSS等攻擊，引擎和規則直接將其攔截，無法識別客戶業務模式，從而產生誤報。

一個SQL注入誤報示例：

例如客戶正常的業務數據為：

select cost from TABLE where user＝”amy”and 1＝1

上述SQL語句為客戶正常業務，若直接將這種語句直接送到現有的web應用防火墻當中，則會被引擎和規則給攔截，從而影響客戶正常的業務，帶來誤報。

因此，如何降低Web安全檢測的誤報率是本領域技術人員亟需解決的技術問題。

發明內容

本申請的目的是提供一種Web應用的異常檢測方法、Web應用的異常檢測系統、存儲介質和終端，通過檢測HTTP報文中鍵值對的鍵值關系，借助分析http報文的上下文信息來判斷當前http報文是否為客戶的正常業務，能夠Web安全檢測的誤報率。

為解決上述技術問題，本申請提供一種Web應用的異常檢測方法，具體技術方案如下：

獲取Web應用的HTTP報文；

解析所述HTTP報文，確定所述HTTP報文的鍵值對；

利用預設業務檢測模型對所述鍵值對中的鍵值關系進行檢測，以判斷所述HTTP報文是否屬于正常業務；

若否，生成所述Web應用的異常告警。

可選的，所述獲取Web應用的HTTP報文之前，還包括：

配置同一IP地址的最大HTTP報文數量；

相應的，所述獲取Web應用的HTTP報文時包括：

獲取同一IP地址不超過所述最大HTTP報文數量的HTTP報文。

可選的，獲取Web應用的HTTP報文時，還包括：

對所述鍵值對進行正則判斷；

若確認存在為黑數據的鍵值對，舍棄所述黑數據對應的HTTP報文。

可選的，利用預設業務檢測模型對所述鍵值對中的鍵值關系進行檢測，以判斷所述HTTP報文是否屬于正常業務包括：

利用預設業務檢測模型計算所述鍵值對中的鍵值關系的流量得分；

確定所述正常業務對應所述預設業務檢測模型的訓練得分；

若所述流量得分超過所述訓練得分的分數位閾值，確認所述HTTP報文屬于異常業務；

若所述流量得分未超過所述訓練得分的分數位閾值，確認HTTP報文是否屬于正常業務。