网络应用漏洞异常检测方法、系统、电子设备和存储介质与流程

本公开涉及网络应用漏洞检测领域，尤其涉及一种网络应用漏洞异常检测方法、系统、电子设备和存储介质。

背景技术：

1、在数字化转型的浪潮中，web应用已成为企业与用户交互的主要渠道，承载着关键的业务逻辑和敏感数据。然而，web应用的广泛使用也使其成为网络攻击的主要目标。sql注入、跨站脚本（xss）、跨站请求伪造（csrf）等漏洞层出不穷，给企业和用户带来了巨大的安全风险。传统的安全防护措施，如防火墙、入侵检测系统（ids）和入侵防御系统（ips），虽然在一定程度上能够抵御外部攻击，但对于web应用内部的漏洞却显得力不从心。随着人工智能（ai）和机器学习（ml）技术的快速发展，它们在网络安全领域的应用逐渐成为研究的热点。ai和ml能够处理和分析大量数据，识别模式和异常，从而在web应用漏洞检测中展现出巨大的潜力。然而，将这些先进技术有效集成到web应用安全领域，仍面临着数据质量、模型泛化、实时性要求等多方面的挑战。

2、在web应用漏洞检测领域，已有的技术方案主要包括以下几种：静态应用安全测试（sast）、动态应用安全测试（dast）、交互式应用安全测试（iast）和基于机器学习的漏洞检测。然而，这些系统在实际应用中仍存在以下问题：代码覆盖率不足，误报率高；无法提供漏洞具体位置，测试过程耗时；数据集获取困难，模型泛化能力有限等问题，因此，需要提供一种高效、全面且自动化的解决方案，以保护web应用免受安全威胁。

技术实现思路

1、本公开提出了一种网络应用漏洞异常检测方法，以解决以下问题：传统的web应用漏洞检测方法在实际应用中代码覆盖率不足、误报率高，无法提供漏洞具体位置，测试过程耗时较长，数据集获取困难，模型泛化能力有限等问题。

2、根据本公开的一方面，提供了一种网络应用漏洞异常检测方法，包括：

3、s10、实时监测网络流量，捕获进出网络应用的数据包，解析所述数据包并转化为结构化数据；

4、s20、对所述结构化数据进行网址扫描，识别潜在的攻击向量和异常访问模式；

5、s30、将潜在的攻击向量和异常访问模式输入机器学习模型进行异常检测和漏洞识别，并输出检测结果；

6、s40、根据所述检测结果中的登录请求判断是否触发告警；

7、s50、将所述检测结果存储，并定期进行分析，以优化所述机器学习模型。

8、优选地，所述实时监测网络流量，捕获进出网络应用的数据包，具体为：从流量平台获取的网络流量作为输入，使用嗅探工具实时监控指定网络接口的网络流量，使用scapy库实现数据包捕获。

9、优选地，解析所述数据包并转化为结构化数据，具体为：

10、通过回调函数对捕获到的每个数据包进行分析；其中，在回调函数中，判断数据包是否包含ip头部信息；

11、如果包含ip头部信息，则提取出源ip、目标ip、协议类型、源端口号和目标端口号，并将这些信息转换为json格式的数据并输出为结构化数据。

12、优选地，步骤s10还包括：

13、通过对结构化数据进行采集、去脏、打标，得到页面样本数据，引入信息熵去除页面样本数据中的干扰因素后，使用word2vec技术对页面样本数据进行预处理，得到训练数据集和测试数据集，使用训练数据集对选定的机器学习模型进行训练，并在训练过程中利用已知的流量类型调整机器学习模型参数，使用测试数据集对训练好的机器学习模型进行评估，训练完成后，将机器学习模型部署到网络应用入口，用于异常检测和漏洞识别。

14、优选地，对所述结构化数据进行网址扫描，识别潜在的攻击向量和异常访问模式，具体为：采用网址扫描算法，对所述结构化数据进行网址扫描，从超文本传输协议请求中提取网址并进行归一化处理，删除网址中的冗余后得到归一化网址，对归一化网址进行特征提取得到网址特征，使用训练好的机器学习模型对所述网址特征进行分类，判断是否为恶意网址以识别出潜在的攻击向量和异常访问模式。

15、优选地，将潜在的攻击向量和异常访问模式输入机器学习模型进行异常检测和漏洞识别，并输出检测结果，具体为：

16、通过训练好的机器学习模型从页面中检测出管理后台，对检测出的管理后台进行二次验证，通过二次验证检测偏离正常模式的行为，识别出异常或漏洞，并确认识别结果，根据所述识别结果输出检测结果。

17、优选地，根据所述检测结果中的登录请求判断是否触发告警，具体包括：

18、分析所述登录请求中的用户名和密码信息，设定密码字典和常见弱口令列表，对于密码出现在其中的情况进行告警；检查是否存在登录接口的弱口令，当发现管理后台存在弱口令后，根据历史数据确定异常检测的敏感性阈值，并进行实时监测，一旦检测到异常行为或满足预定义的规则条件，立即生成告警信息。

19、根据本公开的一方面，提供一种网络应用漏洞异常检测系统，包括：

20、数据包解析转化模块，实时监测网络流量，捕获进出网络应用的数据包，解析所述数据包并转化为结构化数据；

21、网址扫描模块，对所述结构化数据进行网址扫描，识别潜在的攻击向量和异常访问模式；

22、异常检测和漏洞识别模块，将潜在的攻击向量和异常访问模式输入机器学习模型进行异常检测和漏洞识别，并输出检测结果；

23、告警触发模块，根据所述检测结果中的登录请求判断是否触发告警；

24、机器学习模型优化模块，将所述检测结果存储，并定期进行分析，以优化所述机器学习模型。

25、根据本公开的一方面，提供了一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：执行上述网络应用漏洞异常检测方法。

26、根据本公开的一方面，提供了一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述网络应用漏洞异常检测方法。

27、相对于现有技术，本公开的有益效果为：

28、1）本公开通过集成动态行为分析引擎和智能异常检测算法两者相结合，使得系统能够在不影响web应用正常运行的情况下，不仅提高了漏洞检测的效率，还大幅提升了检测的准确性，从而有效保护了web应用免受攻击。

29、2）本公开通过精确的漏洞定位与报告机制，漏洞定位算法能够精确地将异常行为映射到具体的代码位置，智能报告系统则能够自动生成详细的修复建议，这两者的结合不仅减轻了开发人员的工作负担，还加快了web应用的安全更新速度，增强了系统的整体安全性。

30、3）本公开通过融合ai技术和机器学习，构建了一个高度智能化的web应用漏洞检测系统，不仅能够实时监控web应用的动态行为，还能够通过学习历史数据和模式，自动识别和预测潜在的安全威胁。使得系统能够在攻击发生之前就进行预警，从而大大提高了web应用的安全防护水平。

31、4）本公开构建一个实时监控与响应系统，在检测到异常行为或潜在威胁时，能够根据预定义的响应策略自动执行一系列响应动作，大大提高了响应效率，减少了人为错误，确保了安全事件能够得到及时且正确的处理。

32、5）本公开通过构建多样化的数据集和应用数据增强技术，能够训练出更加鲁棒和泛化的模型，这些模型不仅能够识别已知的攻击模式，还能够有效识别未知的攻击手段。此外，模型泛化性能评估框架的设计，确保了系统能够定期评估和优化模型的性能，保证了系统始终处于最佳的工作状态。

33、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本公开。

34、根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。