WO2019148706A1

WO2019148706A1 - web入侵检测方法、装置、计算机设备和存储介质

Info

Publication number: WO2019148706A1
Application number: PCT/CN2018/088562
Authority: WO
Inventors: 谭杰
Original assignee: 平安科技（深圳）有限公司
Priority date: 2018-02-01
Filing date: 2018-05-27
Publication date: 2019-08-08
Also published as: CN108200087B; CN108200087A

Abstract

一种web入侵检测方法，包括：获取web访问请求；根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求；统计检测到的web入侵访问请求的数量；当所述检测到的web入侵访问请求的数量大于预设数量阈值时，根据所述检测到的web入侵访问请求重新训练web入侵检测模型；将所述预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型。

Description

web入侵检测方法、装置、计算机设备和存储介质

本申请要求于2018年2月1日提交中国专利局，申请号为2018101029787，申请名称为“web入侵检测方法、装置、计算机设备和存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及一种web入侵检测方法、装置、计算机设备和存储介质。

背景技术

随着网络技术的发展，各种网络安全方面的问题也不断的凸显出来。一些网站容易受到web入侵，web入侵很容易导致网络信息的泄露。尤其是对于一些比较重要网络信息，若受到web入侵导致网络信息的泄露，容易造成不可预估的损失。

然而，发明人意识到，目前的对于web入侵也有一些网络安全方面的检测，这些检测一般都是通过人工预设检测方式来检测web访问请求是否为web入侵。因为网络技术的发展，web入侵的方式也在不断的变化，通过人工预设检测方式来检测，若人工不及时更新检测方式，容易造成检测方式滞后，不能准确检测到新的web入侵方式，从而降低了web入侵的检测准确率较低。

发明内容

根据本申请公开的各种实施例，提供一种web入侵检测方法、装置、计算机设备和存储介质。

一种web入侵检测方法包括：

获取web访问请求；

根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求；

统计检测到的web入侵访问请求的数量；

当所述检测到的web入侵访问请求的数量大于预设数量阈值时，根据所述检测到的web入侵访问请求重新训练web入侵检测模型；

将所述预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型；及

根据所述重新训练的web入侵检测模型对再次获取到的web访问请求进行检测。

一种web入侵检测装置包括：

访问请求获取模块，用于获取web访问请求；

访问请求检测模块，用于根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求；

入侵请求统计模块，用于统计检测到的web入侵访问请求的数量；

模型重新训练模块，用于当所述检测到的web入侵访问请求的数量大于预设数量阈值时，根据所述检测到的web入侵访问请求重新训练web入侵检测模型；

检测模型替换模块，用于将所述预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型；及

所述访问请求检测模块还用于根据所述重新训练的web入侵检测模型对再次获取到的web访问请求进行检测。

一种计算机设备，包括存储器和一个或多个处理器，所述存储器中储存有计算机可读指令，所述计算机可读指令被所述一个或多个处理器执行时，使得所述一个或多个处理器实现本申请任意一个实施例中提供的web入侵检测方法的步骤。

一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器实现本申请任意一个实施例中提供的web入侵检测方法的步骤。

本申请的一个或多个实施例的细节在下面的附图和描述中提出。本申请的其它特征和优点将从说明书、附图以及权利要求书变得明显。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为根据一个或多个实施例中web入侵检测方法的应用场景图。

图2为根据一个或多个实施例中web入侵检测方法的流程示意图。

图3为根据一个或多个实施例中训练web入侵检测模型的步骤的流程示意图。

图4为根据一个或多个实施例中检测web访问请求的步骤的流程示意图。

图5为根据一个或多个实施例中采用重新训练的web入侵访问检测模型检测web访问请求的步骤的流程示意图。

图6为根据一个或多个实施例中根据访问路径进行检测的步骤的流程示意图。

图7为根据一个或多个实施例中web入侵检测装置的框图。

图8为另一个实施例中web入侵检测装置的框图。

图9为根据一个或多个实施例中访问请求检测模块的框图。

图10为根据一个或多个实施例中计算机设备的内部框图。

具体实施方式

为了使本申请的技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的web入侵检测方法，可以应用于如图1所示的应用环境中。终端102通过网络与服务器104通过网络进行通信。终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

在其中一个实施例中，如图2所示，提供了一种web入侵检测方法，以该方法应用于图1中的服务器为例进行说明，包括以下步骤：

S202，获取web访问请求。

具体地，终端获取用户输入的web访问信息，根据web访问信息生成web访问请求，将web访问请求发送至服务器。服务器接收终端发送的web访问请求。服务器可接收多个终端发送的web访问请求。

在其中一个实施例中，终端获取用户输入的web访问信息，根据web访问信息生成web路径查询请求，将web路径查询请求发送至服务器。服务器接收到web路径查询请求后，提取web路径查询请求中的web访问信息，根据web访问信息查询对应的web路径，将查询到的web路径返回至终端。终端根据服务器返回的web路径生成web访问请求。其中，web访问信息可以是网站名称。

S204，根据预先训练好的web入侵检测模型，检测web访问请求是否为web入侵访问请求。

具体地，服务器在接收到web访问请求后，将web访问请求输入预先训练好的web入侵检测模型，以通过预先训练好的web入侵检测模型对web访问请求进行检测，获取预先训练好的web入侵检测模型根据输出的检测结果。若检测结果为web入侵访问请求，则服务器拒绝该web访问请求；若检测结果为该web访问请求不是web入侵访问请求，则服务器允许该web访问请求进行访问。

在其中一个实施例中，服务器在web访问请求中提取预设特征字符，根据提取到的预设特征字符构建web访问请求对应的访问请求特征向量，将访问请求特征向量输入预先训练好的web入侵检测模型，获取预先训练好的web入侵检测模型输出的检测结果。

S206，统计检测到的web入侵访问请求的数量。

具体地，服务器对预先训练好的web入侵检测模型的检测结果进行统计，统计该预先训练好的web入侵检测模型检测到的web入侵访问请求的数量。

举例说明，服务器统计的预先训练好的web入侵检测模型当前检测到的web入侵访问请求数量为n，当预先训练好的web入侵检测模型再次检测到一个web访问请求为web入侵访问请求时，则服务器将n+1，则n+1为服务器统计到的预先训练好的web入侵检测模型检测到的web入侵访问请求数量。

S208，当检测到的web入侵访问请求的数量大于预设数量阈值时，根据检测到的web入侵访问请求重新训练web入侵检测模型。

具体地，服务器在统计预先训练好的web入侵检测模型所检测到的web入侵访问请求的数量后，将统计到的数据与预设数量阈值进行比较，若统计到的数量大于预设数量阈值时，则获取预先训练好的web入侵检测模型所检测到的web入侵访问请求，根据获取到的web入侵访问请求重新训练web入侵检测模型。

S210，将预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型。

具体地，服务器在重新训练web入侵检测模型后，将预先训练好的web入侵检测模型进行替换，替换为重新训练的web入侵检测模型，利用重新训练的web入侵检测模型对之后获取到的web访问请求进行检测。

S212，根据重新训练的web入侵检测模型对再次获取到的web访问请求进行检测。

具体地，服务器在将预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型后，服务器再次接收终端发送的web访问请求。服务器再次获取web访问请求后，对根据预设特征字符从再次获取到的web访问请求提取该web访问请求中包括的预设特征字符，根据提取到的预设特征字符构建该web访问请求对应的访问请求特征向量，将构建的访问请求特征向量输入到重新训练的web入侵检测模型中，利用重新训练的web入侵检测模型对构建的访问请求特征向量进行处理，得到重新训练的web入侵检测模型处理构建的访问请求特征向量输出的检测结果。

本实施例中，通过预先训练好的web入侵检测模型对web访问请求进行检测，当检测到web入侵访问请求的数量大于预设数量阈值时，根据检测到的web入侵访问请求重新训练web入侵检测模型，将预存训练好的web入侵检测模型替换为重新训练的web入侵检测模型，通过重新训练的web入侵检测模型对后续的web访问请求进行检测。无需人工设置检测方式的操作步骤，即可自动及时更新web入侵检测模型，提高了web入侵访问请求的检测速度，利用更新后的web入侵检测模型提高了检测web入侵访问请求的准确性。

在其中一个实施例中，如图3所示，S202之前具体还包括训练web入侵检测模型的步骤，该步骤具体包括以下内容：

S302，获取模型样本数据。

具体地，服务器获取模型样本数据，模型样本数据为用于训练web入侵检测模型的数据。模型样本数据可以是用户在终端中输入的。终端获取用户输入的模型样本数据，将获取到的模型样本数据发送至服务器。服务器接收终端发送的模型样本数据。模型样本数据包括多个web入侵访问请求。

在其中一个实施例中，S302具体还包括以下内容：获取模型训练指令；根据模型训练指令，调用web入侵访问请求生成程序批量生成web入侵访问请求；以批量生成的web 入侵访问请求作为模型样本数据。

具体地，终端获取用户通过输入设备在模型训练页面中触发的模型训练指令，将模型训练指令发送至服务器。服务器中安装有web入侵访问请求生成程序，web入侵访问请求生成程序为自动批量生成web入侵访问请求的程序。服务器在接收到模型训练指令时，调用web入侵访问请求生成程序，触发web入侵访问请求生成程序批量生成web入侵访问请求，获取批量生成的web入侵访问请求，以获取到的web入侵访问请求作为模型样本数据。

在其中一个实施例中，终端获取检测人员在web入侵访问请求生成程序的规则配置页面输入的web入侵访问请求生成规则信息，根据获取到的web入侵访问请求生成规则信息发送至服务器。服务器根据接收到的web入侵访问请求生成程序对web入侵访问请求生成程序进行配置。服务器在获取到模型训练指令时，根据模型训练指令触发web入侵访问请求生成程序的请求生成指令，使的web入侵访问请求生成程序根据web入侵访问请求生成规则信息批量生成web入侵访问请求。服务器以批量生成的web入侵访问请求作为模型样本数据。

S304，对于模型样本数据中的每个web入侵访问请求，提取web入侵访问请求中包括的预设特征字符。

具体地，服务器读取模型样本数据中的每个web入侵访问请求，识别读取到的web入侵访问请求中包括的预设特征字符，提取每个web入侵访问请求中识别到的预设特征字符。

S306，根据提取到的预设特征字符构建web入侵访问请求对应的访问请求特征向量。

具体地，服务器获取预设特征字符对应的预设特征向量，该预设特征向量中的数值分别与每个预设特征字符对应。服务器提取到的每个入侵访问请求对应的预设特征字符后，将预设特征向量中与提取到的预设特征字符对应的数值置为1，除提取到的预设特征字符对应的数值之外的数值置为0，得到每个入侵访问请求对应的访问请求特征向量。

举例说明，预设特征字符包括|、；、&、$、>、<、`(反引号)、\、！、’、#和/，访问请求特征向量中的每个数值位置与不同的预设特征字符对应，对于在入侵访问请求中包括的预设特征字符，将包括的预设特征在访问请求特征向量中对应的数值位置的数值置为1，将包括的预设特征在访问请求特征向量中不对应的数值位置的数值置为0。

(1)假设web入侵访问请求中包括了所有的预设特征字符，则该web入侵访问请求对应的访问请求特征向量为[1，1，1，1，1，1，1，1，1，1，1，1]；

(2)假设web入侵访问请求中包括了部分预设特征字符，则包括的特征字符为|、；和&，则该web入侵访问请求对应的访问请求特征向量为[1，1，1，0，0，0，0，0，0，0，0，0]；

(3)假设web入侵访问请求没有包括任何预设特征字符，则该web入侵访问请求对应的访问请求特征向量为[0，0，0，0，0，0，0，0，0，0，0，0]。

S308，根据每个web入侵访问请求对应的访问请求特征向量训练web入侵检测模型，得到预先训练的web入侵检测模型。

具体地，服务器以每个web入侵访问请求对应的访问请求特征向量作为输入，以判定为web入侵访问请求作为输出，训练web入侵检测模型，将经过训练得到的web入侵检测模型作为预先训练好的web入侵检测模型存储。

本实施例中，在获取到批量的web入侵访问请求后，根据预设特征字符构建每个web入侵访问请求对应的访问请求特征向量，根据访问请求特征向量训练web入侵检测模型，提高了web入侵检测模型的准确性。

在其中一个实施例中，如图4所示，S202具体包括检测web访问请求的步骤，该步骤具体包括以下内容：

S402，根据预设特征字符库，从web访问请求中提取包括的预设特征字符。

具体地，服务器中设置有预设特征字符库，预设特征字符库中存储着终端上传的预设特征字符。服务器对获取到的web访问请求进行解析，通过解析得到web访问数据，根据预设特征字符库中的预设特征字符，确定web访问数据中包括的预设特征字符，提取确定的预设特征字符。

S404，根据提取到的预设特征字符构建web访问请求对应的访问请求特征向量。

具体地，服务器获取预设特征字符库中的访问请求特征向量，根据提取到的预设特征字符将获取到的访问请求特征向量中的对应的数值置1，提取到的预设特征字符不对应的数值置为0，得到与获取到的web访问请求对应的访问请求特征向量。

S406，将构建的访问请求特征向量输入预先训练好的web入侵检测模型进行检测，得到检测结果。

具体地，服务器在构建获取到的web访问请求对应的访问请求特征向量时，将构建的访问请求特征向量输入预选训练好的web入侵检测模型，通过预先训练好的web入侵检测模型对构建的访问请求特征向量进行处理，获取预先训练好的web入侵检测模型处理构建的访问请求特征向量输出的检测结果。

S408，根据检测结果确定web访问请求是否为web入侵访问请求。

具体地，服务器在获取到检测结果后，若检测结果为1，则确定web访问请求为web入侵访问请求；若检测结果为0，则确定web访问请求不是web入侵访问请求。

本实施例中，通过预先训练好的web入侵检测模型，对web访问请求进行检测，无需人工预设检测方式，减少了人工干预程度，缩短了检测web入侵访问请求的检测时间，提高了检测web入侵访问请求的检测准确率。

在其中一个实施例中，如图5所示，S210之后具体还包括采用重新训练的web入侵访问检测模型检测web访问请求的步骤，该步骤具体包括以下内容：

S502，再次获取web访问请求。

具体地，服务器在将预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型后，服务器再次接收终端发送的web访问请求。

S504，根据重新训练的web入侵检测模型对再次获取的web访问请求进行检测。

具体地，服务器再次获取web访问请求后，对根据预设特征字符从再次获取到的web访问请求提取该web访问请求中包括的预设特征字符，根据提取到的预设特征字符构建该web访问请求对应的访问请求特征向量，将构建的访问请求特征向量输入到重新训练的web入侵检测模型中，利用重新训练的web入侵检测模型对构建的访问请求特征向量进行处理，得到重新训练的web入侵检测模型处理构建的访问请求特征向量输出的检测结果。

S506，当检测到再次获取的web访问请求为web入侵访问请求时，拒绝再次获取的web访问请求。

具体地，服务器根据检测结果确定再次获取的web访问请求为web入侵访问请求时，拒接再次获取的web访问请求的访问。同时，服务器提取该web访问请求中的终端地址，根据终端地址返回访问预警信息。

在其中一个实施例中，当检测到再次获取的web访问请求为web正常访问请求时，根据再次获取的web访问请求查询数据。

具体地，服务器检测到再次获取的web访问请求为web正常访问请求时，提取再次获取的web访问请求中的访问路径，根据访问路径先查询相应的数据，将查询到的数据返回至终端。

本实施例中，在替换web入侵检测模型后，利用重新训练的web入侵检测模型检测web访问请求，无需人工更新检测方式，直接采用重新训练的web入侵检测模型对web访问请求进行检测，保证及时更新web入侵检测模型，提高了检测web入侵访问请求准确性。

如图6所示，在其中一个实施例中，S504具体包括根据访问路径进行检测的步骤，该步骤具体包括以下内容：

S602，从再次获取的web访问请求中提取访问路径。

具体地，服务器在再次获取到web访问请求后，对再次获取到的web访问请求进行解析，通过解析提取该web访问请求中的访问路径。例如，提取到的访问路径为/etc/passwd。

S604，获取提取到的访问路径中包括的预设特征字符。

具体地，服务器读取预设特征字符库中的预设特征字符，用读取到的预设特征字符与提取到的访问路径中的字符进行匹配，匹配的预设特征字符即为提取到的访问路径中包括的预设特征字符，提取匹配到的预设特征字符。

在其中一个实施例中，S604具体还包括以下内容：对提取到的访问路径进行字符分割，得到分割字符；根据预设特征字符库中的预设特征字符识别分割字符中的预设特征字符；提取识别到的预设特征字符。

具体地，服务器对提取到的访问路径进行词法分析，经过词法分析对提取到的访问路径进行分割，得到分割字符，在分割字符中识别是否存在预设特征字符库中的预设特征字符，从分割字符中查询识别到的预设特征字符。

举例说明，提取到的访问路径为“/etc/passwd”，对提取到的访问路径进行分割得到“/，etc，/，passwd”，则“/，etc，/，passwd”为提取到的访问路径对应的分割字符。

S606，根据获取到的预设特征字符，生成再次获取的web访问请求对应的访问请求特征向量。

具体地，服务器将访问请求向量中的与获取到的预设字符对应的数值置为1，与获取到的预设特征字符不对应的数值置为0，生成再次获取的web访问请求对应的访问请求特征向量。

S608，将生成的访问请求特征向量输入重新训练的web入侵检测模型，获得检测结果。

具体地，服务器将生成的访问请求特征向量输入重新训练的web入侵检测模型，重新训练的web入侵检测模型对输入的访问请求特征向量进行计算，得到检测结果。若检测结果为1，表明提取到的访问路径异常，服务器判定再次获取到web访问请求为web入侵访问请求；若检测结果为0，表明提取到的访问路径正常，服务器判定再次获取到的web访问请求为正常访问请求。

本实施例中，从web访问请求中提取访问路径，提取访问路径中的预设特征字符，根据提取到的预设特征字符生成再次获取到的web访问请求对应的访问请求特征向量，根据重新训练的web入侵检测模型对访问请求特征向量处理，得到访问路径的检测结果，从而得到确定web访问请求是否为web入侵访问请求，从而提高了web入侵访问请求的检测效率。

应该理解的是，虽然图2-6的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-6中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在其中一个实施例中，如图7所示，提供了一种web入侵检测装置700，包括：访问请求获取模块702、访问请求检测模块704、入侵请求统计模块706、模型重新训练模块708和检测模型替换模块710。其中：

访问请求获取模块702，用于获取web访问请求。

访问请求检测模块704，用于根据预先训练好的web入侵检测模型，检测web访问请求是否为web入侵访问请求。

入侵请求统计模块706，用于统计检测到的web入侵访问请求的数量。

模型重新训练模块708，用于当检测到的web入侵访问请求的数量大于预设数量阈值时，根据检测到的web入侵访问请求重新训练web入侵检测模型。

检测模型替换模块710，用于将预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型；

访问请求检测模块704还用于根据重新训练的web入侵检测模型对再次获取到的web访问请求进行检测。

在其中一个实施例中，如图8所示，web入侵检测装置700具体还包括以下内容：样本数据获取模块712、特征字符提取模块714、特征向量构建模块716和检测模型训练模块718。

样本数据获取模块712，用于获取模型样本数据。

特征字符提取模块714，用于对于模型样本数据中的每个web入侵访问请求，提取web入侵访问请求中包括的预设特征字符。

特征向量构建模块716，用于根据提取到的预设特征字符构建web入侵访问请求对应的访问请求特征向量。

检测模型训练模块718，用于根据每个web入侵访问请求对应的访问请求特征向量训练web入侵检测模型，得到预先训练的web入侵检测模型。

在其中一个实施例中，样本数据获取模块712还用于获取模型训练指令；根据模型训练指令，调用web入侵访问请求生成程序批量生成web入侵访问请求；以批量生成的web入侵访问请求作为模型样本数据。

在其中一个实施例中，访问请求检测模块704还用于根据预设特征字符库，从web访问请求中提取包括的预设特征字符；根据提取到的预设特征字符构建web访问请求对应的访问请求特征向量；将构建的访问请求特征向量输入预先训练好的web入侵检测模型进行检测，得到检测结果；根据检测结果确定web访问请求是否为web入侵访问请求。

在其中一个实施例中，访问请求获取模块702还用于再次获取web访问请求。

访问请求检测模块704还用于根据重新训练的web入侵检测模型对再次获取的web访问请求进行检测；当检测到再次获取的web访问请求为web入侵访问请求时，拒绝再次获取的web访问请求；当检测到再次获取的web访问请求为web正常访问请求时，根据再次获取的web访问请求查询数据。

在其中一个实施例中，如图9所示，访问请求检测模块704包括以下内容：访问路径提取模块704a、特征字符获取模块704b、特征向量生成模块704c和检测结果获得模块704d。

访问路径提取模块704a，用于从再次获取的web访问请求中提取访问路径。

特征字符获取模块704b，用于获取提取到的访问路径中包括的预设特征字符。

特征向量生成模块704c，根据获取到的预设特征字符，生成再次获取的web访问请求对应的访问请求特征向量。

检测结果获得模块704d，将生成的访问请求特征向量输入重新训练的web入侵检测模型，获得检测结果。

特征字符获取模块704b还用于对提取到的访问路径进行字符分割，得到分割字符；根据预设特征字符库中的预设特征字符识别分割字符中的预设特征字符；提取识别到的预设特征字符。

关于web入侵检测装置的具体限定可以参见上文中对于web入侵检测方法的限定，在此不再赘述。上述web入侵检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在其中一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机可读指令和数据库。该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。该计算机设备的数据库用于存储预设特征字符。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种web入侵检测方法。

本领域技术人员可以理解，图10中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

一种计算机设备，包括存储器和一个或多个处理器，存储器中储存有计算机可读指令，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器实现本申请任意一个实施例中提供的web入侵检测方法的步骤。

一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器实现本申请任意一个实施例中提供的web入侵检测方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指令相关的硬件来完成，所述的计算机可读指令可存储于一非易失性计算机可读取存储介质中，该计算机可读指令在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

一种web入侵检测方法，包括：

获取web访问请求；

根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求；

统计检测到的web入侵访问请求的数量；

当所述检测到的web入侵访问请求的数量大于预设数量阈值时，根据所述检测到的web入侵访问请求重新训练web入侵检测模型；

将所述预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型；及

根据所述重新训练的web入侵检测模型对再次获取到的web访问请求进行检测。
根据权利要求1所述的方法，其特征在于，所述获取web访问请求之前，所述方法还包括：

获取模型样本数据；

对于所述模型样本数据中的每个web入侵访问请求，提取所述web入侵访问请求中包括的预设特征字符；

根据提取到的预设特征字符构建所述web入侵访问请求对应的访问请求特征向量；及

根据每个web入侵访问请求对应的访问请求特征向量训练web入侵检测模型，得到预先训练的web入侵检测模型。
根据权利要求2所述的方法，其特征在于，所述获取模型样本数据，包括：

获取模型训练指令；

根据所述模型训练指令，调用web入侵访问请求生成程序批量生成web入侵访问请求；及

以批量生成的web入侵访问请求作为模型样本数据。
根据权利要求1所述的方法，其特征在于，所述根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求，包括：

根据预设特征字符库，从所述web访问请求中提取包括的预设特征字符；

根据提取到的预设特征字符构建所述web访问请求对应的访问请求特征向量；

将构建的访问请求特征向量输入预先训练好的web入侵检测模型进行检测，得到检测结果；及

根据检测结果确定所述web访问请求是否为web入侵访问请求。
根据权利要求1所述的方法，其特征在于，所述根据所述重新训练的web入侵检测模型对再次获取到的web访问请求进行检测之后，所述方法还包括：

当检测到所述再次获取的web访问请求为web入侵访问请求时，拒绝所述再次获取的web访问请求；及

当检测到所述再次获取的web访问请求为web正常访问请求时，根据所述再次获取的web访问请求查询数据。
根据权利要求5所述的方法，其特征在于，所述根据所述重新训练的web入侵检测模型对再次获取的web访问请求进行检测，包括：

从再次获取的web访问请求中提取访问路径；

获取所述提取到的访问路径中包括的预设特征字符；

根据获取到的预设特征字符，生成所述再次获取的web访问请求对应的访问请求特征向量；及

将生成的访问请求特征向量输入所述重新训练的web入侵检测模型，获得检测结果。
根据权利要求6所述的方法，其特征在于，所述获取所述提取到的访问路径中包括的预设特征字符，包括：

对提取到的访问路径进行字符分割，得到分割字符；

根据预设特征字符库中的预设特征字符识别所述分割字符中的预设特征字符；及

提取识别到的预设特征字符。
一种web入侵检测装置，包括：

访问请求获取模块，用于获取web访问请求；

访问请求检测模块，用于根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求；

入侵请求统计模块，用于统计检测到的web入侵访问请求的数量；

模型重新训练模块，用于当所述检测到的web入侵访问请求的数量大于预设数量阈值时，根据所述检测到的web入侵访问请求重新训练web入侵检测模型；

检测模型替换模块，用于将所述预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型；及

所述访问请求检测模块还用于根据所述重新训练的web入侵检测模型对再次获取到的web访问请求进行检测。
一种计算机设备，包括存储器和一个或多个处理器，所述存储器中储存有计算机可读指令，所述计算机可读指令被所述一个或多个处理器执行时，使得所述一个或多个处理器执行以下步骤：

获取web访问请求；

根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求；

统计检测到的web入侵访问请求的数量；

当所述检测到的web入侵访问请求的数量大于预设数量阈值时，根据所述检测到的web入侵访问请求重新训练web入侵检测模型；

将所述预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型；及

根据所述重新训练的web入侵检测模型对再次获取到的web访问请求进行检测。
根据权利要求9所述的计算机设备，其特征在于，所述计算机可读指令被所述处理器执行时，使得所述处理器在执行所述获取web访问请求之前，还执行以下步骤：

获取模型样本数据；

对于所述模型样本数据中的每个web入侵访问请求，提取所述web入侵访问请求中包括的预设特征字符；

根据提取到的预设特征字符构建所述web入侵访问请求对应的访问请求特征向量；及

根据每个web入侵访问请求对应的访问请求特征向量训练web入侵检测模型，得到预先训练的web入侵检测模型。
根据权利要求10所述的计算机设备，其特征在于，所述获取模型样本数据，包括：

获取模型训练指令；

根据所述模型训练指令，调用web入侵访问请求生成程序批量生成web入侵访问请求；及

以批量生成的web入侵访问请求作为模型样本数据。
根据权利要求9所述的计算机设备，其特征在于，所述根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求，包括：

根据预设特征字符库，从所述web访问请求中提取包括的预设特征字符；

根据提取到的预设特征字符构建所述web访问请求对应的访问请求特征向量；

将构建的访问请求特征向量输入预先训练好的web入侵检测模型进行检测，得到检测结果；及

根据检测结果确定所述web访问请求是否为web入侵访问请求。
根据权利要求9所述的计算机设备，其特征在于，所述计算机可读指令被所述处理器执行时，使得所述处理器在执行所述根据所述重新训练的web入侵检测模型对再次获取到的web访问请求进行检测之后，还执行以下步骤：

当检测到所述再次获取的web访问请求为web入侵访问请求时，拒绝所述再次获取的web访问请求；及

当检测到所述再次获取的web访问请求为web正常访问请求时，根据所述再次获取的web访问请求查询数据。
根据权利要求13所述的计算机设备，其特征在于，所述根据所述重新训练的web入侵检测模型对再次获取的web访问请求进行检测，包括：

从再次获取的web访问请求中提取访问路径；

获取所述提取到的访问路径中包括的预设特征字符；

根据获取到的预设特征字符，生成所述再次获取的web访问请求对应的访问请求特征向量；及

将生成的访问请求特征向量输入所述重新训练的web入侵检测模型，获得检测结果。
一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行以下步骤：

获取web访问请求；

根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求；

统计检测到的web入侵访问请求的数量；

当所述检测到的web入侵访问请求的数量大于预设数量阈值时，根据所述检测到的web入侵访问请求重新训练web入侵检测模型；

将所述预先训练好的web入侵检测模型替换为重新训练的web入侵检测模型；及

根据所述重新训练的web入侵检测模型对再次获取到的web访问请求进行检测。
根据权利要求15所述的存储介质，其特征在于，所述计算机可读指令被所述处理器执行时，使得所述处理器在执行所述获取web访问请求之前，还执行以下步骤：

获取模型样本数据；

对于所述模型样本数据中的每个web入侵访问请求，提取所述web入侵访问请求中包括的预设特征字符；

根据提取到的预设特征字符构建所述web入侵访问请求对应的访问请求特征向量；及

根据每个web入侵访问请求对应的访问请求特征向量训练web入侵检测模型，得到预先训练的web入侵检测模型。
根据权利要求16所述的存储介质，其特征在于，所述获取模型样本数据，包括：

获取模型训练指令；

根据所述模型训练指令，调用web入侵访问请求生成程序批量生成web入侵访问请求；及

以批量生成的web入侵访问请求作为模型样本数据。
根据权利要求15所述的存储介质，其特征在于，所述根据预先训练好的web入侵检测模型，检测所述web访问请求是否为web入侵访问请求，包括：

根据预设特征字符库，从所述web访问请求中提取包括的预设特征字符；

根据提取到的预设特征字符构建所述web访问请求对应的访问请求特征向量；

将构建的访问请求特征向量输入预先训练好的web入侵检测模型进行检测，得到检测结果；及

根据检测结果确定所述web访问请求是否为web入侵访问请求。
根据权利要求15所述的存储介质，其特征在于，所述计算机可读指令被所述处理器执行时，使得所述处理器在执行所述根据所述重新训练的web入侵检测模型对再次获取到的web访问请求进行检测之后，还执行以下步骤：

当检测到所述再次获取的web访问请求为web入侵访问请求时，拒绝所述再次获取的web访问请求；及

当检测到所述再次获取的web访问请求为web正常访问请求时，根据所述再次获取的web访问请求查询数据。
根据权利要求19所述的存储介质，其特征在于，所述根据所述重新训练的web入侵检测模型对再次获取的web访问请求进行检测，包括：

从再次获取的web访问请求中提取访问路径；

获取所述提取到的访问路径中包括的预设特征字符；

根据获取到的预设特征字符，生成所述再次获取的web访问请求对应的访问请求特征向量；及

将生成的访问请求特征向量输入所述重新训练的web入侵检测模型，获得检测结果。