WO2022021897A1

WO2022021897A1 - 一种报文检测方法、设备及可读存储介质

Info

Publication number: WO2022021897A1
Application number: PCT/CN2021/081440
Authority: WO
Inventors: 杨荣海; 徐铭桂
Original assignee: 深信服科技股份有限公司
Priority date: 2020-07-27
Filing date: 2021-03-18
Publication date: 2022-02-03
Also published as: CN114070899B; CN114070899A

Abstract

一种报文检测方法、设备及可读存储介质，该方法包括以下步骤：获取目标报文，并解析目标报文，得到目标报文包含的目标键值对（S100）；检测目标键值对中的目标参数是否被存储命中（S200）；如果未被存储命中，则将目标键值对发送至可疑检测模块，得到可疑检测模块的检测结果，检测结果用于指示目标键值对是否可疑（S300）；若检测结果指示目标键值对可疑，则获取包含目标参数的各个样本报文以训练学习模型，并将训练后的学习模型以及该学习模型对应的目标参数进行预先存储，以便基于训练后的学习模型对后续获取的报文中的目标键值对进行异常检测（S400）。本方法仅针对部分参数进行学习，本方法具有学习的参数数量下降，训练学习成本降低的技术效果。

Description

一种报文检测方法、设备及可读存储介质

本申请要求于2020年7月27日提交至中国专利局、申请号为202010732006.3、发明名称为“一种报文检测方法、设备及可读存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种报文检测方法、设备及可读存储介质。

背景技术

随着互联网的高速发展，网络安全攻防不断升级，对报文检测的准确性要求也越来越高。

相关技术中，采用自学习机制来提高报文检测的准确率。此种方案首先学习报文中每个参数的格式。在检测阶段，如果发现参数的实际值与学习到的模式不一致，则认为该异常参数存在攻击。这种方法极大地提高了攻击的检出率，但是需要对报文中的每个参数进行学习，显然目前的自学习机制的学习成本较高。

发明内容

本发明的目的是提供一种报文检测方法、设备及可读存储介质，可以在一定程度上降低目前自学习机制的学习成本。

为解决上述技术问题，本发明提供如下技术方案：

一种报文检测方法，包括：

获取目标报文，并解析所述目标报文，得到所述目标报文包含的目标键值对；

检测所述目标键值对中的目标参数是否被存储命中；

如果未被存储命中，则将所述目标键值对发送至可疑检测模块，得到所述可疑检测模块的检测结果，所述检测结果用于指示所述目标键值对是否可疑；

若所述检测结果指示所述目标键值对可疑，则获取包含所述目标参数的各个样本报文以训练学习模型，并将训练后的所述学习模型以及该学习模型对应的目标参数进行预先存储，以便基于训练后的所述学习模型对后续获取的报文中的目标键值对进行异常检测。

优选地，若所述检测结果指示所述目标键值对可疑，所述报文检测方法还包括：

利用当前的未训练完成的所述学习模型对所述目标报文中的目标键值对进行异常检测，得到异常检测结果。

优选地，在所述将所述目标键值对发送至可疑检测模块，得到所述可疑检测模块的检测结果的步骤之后，还包括：

若所述检测结果指示所述目标键值对不可疑，则将所述目标键值对中的目标键值对应的数据进行泛化，得到所述目标键值对的泛化表示，并将该泛化表示以及对应的目标参数进行预先存储，以便基于预先存储的该泛化表示对后续获取的报文中的目标键值对进行异常检测。

在得到用于识别所述目标参数的训练后的学习模型后，设置并存储所述目标参数的状态为第一状态；

若所述检测结果指示所述目标键值对不可疑，所述报文检测方法还包括：

设置并存储所述目标参数的状态为第二状态。

相应地，在所述检测所述目标键值对中的目标参数是否被存储命中的步骤之后，还包括：

如果被存储命中，则确定所述目标键值对中目标参数的状态是所述第一状态还是所述第二状态；

若为所述第一状态，则基于所述目标键值对中目标参数对应的训练后的学习模型识别所述目标键值对是否异常；

若为所述第二状态，则将所述目标键值对与事先存储的泛化表示进行比对，确定所述目标键值对是否符合所述泛化表示；

若符合所述泛化表示，则确定所述目标报文中的目标键值对正常。

优选地，在所述将所述目标键值对与事先存储的泛化表示进行比对，确定所述目标键值对是否符合所述泛化表示的步骤之后，还包括：

若不符合所述泛化表示，则返回执行所述将所述目标键值对发送至可疑检测模块，得到所述可疑检测模块的检测结果的步骤以及后续步骤。

优选地，在所述基于所述目标键值对中目标参数对应的训练后的学习模型识别所述目标键值对是否异常的步骤之后，还包括：

若基于训练后的学习模型确定所述目标键值对异常后，将所述目标键值对输入至威胁检测模块进行威胁检测，得到威胁检测结果，其中，所述威胁检测结果用于指示所述目标键值对是否构成威胁数据。

优选地，在所述得到威胁检测结果之后，所述报文检测方法还包括；

对于所述目标键值对中的目标参数，统计训练后的学习模型的检测结果指示为异常，但所述威胁检测结果指示所述目标键值对不构成威胁数据的次数，以便在所述次数超过预设次数时，对该目标参数对应的学习模型进行重新训练。

优选地，在所述获取目标报文之后，还包括：

基于预设规则识别所述目标报文，所述预设规则包括第一类规则和第二类规则；

若所述目标报文与所述预设规则中的第一类规则匹配，则直接对所述目标报文进行拦截；

若所述目标报文与所述预设规则中的第二类规则匹配，则执行所述解析所述目标报文，得到所述目标报文包含的目标键值对的步骤以及后续步骤。

一种报文检测设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现上述报文检测方法的步骤。

一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述报文检测方法的步骤。

应用本发明实施例所提供的方法，获取目标报文，并解析目标报文，得到目标报文包含的目标键值对；检测目标键值对中的目标参数是否被存储命中；如果未被存储命中，则将目标键值对发送至可疑检测模块，得到可疑检测模块的检测结果，检测结果用于指示目标键值对是否可疑；若检测结果指示目标键值对可疑，则获取包含目标参数的各个样本报文以训练学习模型，并将训练后的学习模型以及该学习模型对应的目标参数进行预先存储，以便基于训练后的学习模型对后续获取的报文中的目标键值对进行异常检测。

在本方法中，在获取到目标报文之后，首先对目标报文进行解析，得到目标报文所包含的目标键值对；然后，检测该目标键值对中的目标参数是否被存储命中，如果被存储命中，则可将目标键值对发射至可疑检测模块进行可疑检测，得到用于指示目标键值对是否可疑的检测结果(在本申请实施例中，“可疑”即是指该目标键值具备包含异常信息的可能性，具体在实际中，若可疑检测模块是通过“设定阈值”的方法来判断是否可疑时，可以将所使用的阈值设置的比较低，从而避免漏检，尽可能地将可能包含异常信息的键值对都检测出来；具体可疑检测模块的实现过程，可以采用现有技术，比如语义分析或者程序分析等，本申请对可疑检测模块的实现方式不作限定)。若检测结果指示目标键值对可疑，则获取包含该目标参数的各个样本报文以训练学习模型。如此，便可使得训练后的学习模型对后续获取的报文中的目标键值对进行异常检测。可见，在整个检测过程中，在进行学习时，不是学习每个的参数，而是学习可疑参数，具体是否为可疑参数，根据可疑检测模块来确定。相较于现有技术中对每个参数都进行学习，本方法仅针对部分参数进行学习，本方法具有学习的参数数量下降，训练学习成本降低的技术效果。

相应地，本发明实施例还提供了与上述报文检测方法相对应的报文检测设备和可读存储介质，具有上述技术效果，在此不再赘述。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中一种报文检测方法的实施流程图；

图2为本发明实施例中一种报文检测装置的结构示意图；

图3为本发明实施例中一种报文检测设备的结构示意图；

图4为本发明实施例中一种报文检测设备的具体结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例所提供的报文检测方法可应用于运载应用层防火墙(如WAF)和安全态势感知等产品的计算机设备中。

其中，WAF，Web Application Firewall：Web应用防火墙。Web应用防火墙是通过执行针对HTTP/HTTPS等协议的若干安全策略来专门为Web应用提供保护的一款产品。

其中，Web攻击：攻击者通过攻击Web应用服务对网站进行篡改数据、敏感信息获取、非法操作等行为，WEB类的攻击不限于：SQL注入、XSS跨站脚本、CSRF跨站请求伪造、文件上传、文件包含、框架安全、PHP常见漏洞、代码审计等。

请参考图1，图1为本发明实施例中一种报文检测方法的流程图，该方法包括以下步骤：

S100、获取目标报文，并解析目标报文，得到目标报文包含的目标键值对。

其中，目标键值对，可具体为键值对(key：value)的表达形式，其中，键(key)可具体为参数名称，值(value)即为参数值。举例说明：可将URL中的参数解析成：(product:computer)及(tid:1000)这种键值对的表示形式。

该目标报文可以为传输协议对应的具体报文。举例说明，目标报文可以为HTTP报文，HTTP(HyperText Transfer Protocol)，即超文本传输协议。

可通过防火墙等方式对流量进行拦截的方式获得目标报文。

得到目标报文之后，可借助传输协议对目标报文进行解析。举例说明，对HTTP报文，可以依据RFC标准及服务器的处理方式，将目标报文解析成不同部分，如请求方法、URI，cookie，User-Agent，body等。然后，对每个部分进行解码操作，如base64，unicode等，以还原出HTTP报文的真实内容。对于每个部分，进行解析，得到目标键值对。

S200、检测目标键值对中的目标参数是否被存储命中。

在本实施例中，可预先在缓存中或其他存储介质中存储参数信息，在本申请中，“被存储命中”具体指：存储有目标参数(参数名称)以及该目标参数具体采用哪种方法来处理(比如，采用哪种方法来检测是否异常，或者，是否直接认为是正常)。

其中，具体用哪种方法来检测异常可以用“参数状态”来指示，比如，若有两种方法来检测是否异常，则可以有两种参数状态，即第一状态和第二状态，比如，tid--第二状态，或者URL--第一状态，即是对于参数tid采用第二状态对应的异常检测方法(比如，与泛化表示进行比对)来检测是否异常，对于参数URL采用第一状态对应的异常检测方法(比如，训练后学习模型)来检测是否异常。

具体的，在本申请实施例中，还可存储参数的参考泛化表示。其中，参考泛化表示可具体为将对应参数名称的值的表现形式进行泛化。例如将参数值为字母的，将参数值对应泛化为A；参数值为数字的，将参数值对应泛化为N；参数值对应特殊字符的，将参数值对应泛化为S。需要说明的是，泛化方式有多种方式，并不仅限于所列举的这一种泛化方式。泛化表示后，可降低内存消耗，无需存储大量的参考数据。对于每个键值对，如果值为字母的话，则都映射成A(Alphabet)；如果值为数字的话，则映射成N(Number)；特殊字符映射成S(Special Character)。举例说明：泛化表示前dev＝abc&uid＝123&random＝abc.123；泛化表示之后为dev＝A&uid＝N&random＝ASN；可见，即便存在用户id(uid)及设备id(dev)不一致，但泛化后其表示相同。

参数状态可以根据参数可能携带异常信息的可能性来确定，具体在本申请中，可根据可疑检测模块确定参数状态。例如，若可疑检测模块确定目标键值对可疑，使得对该目标键值对所对应的目标参数进行学习时，该目标参数的参数状态可设置为第一状态；若可疑检测模块确定目标键值对不可疑，则可设置参数状态为第二状态(意味着该参数携带异常信息的可能性较小，可无需采用学习模块来识别是否异常，可采用其他方法，比如是否为泛化表示来确定是否异常)。

当然，在本申请实施例中，各个参数的参数状态，还可根据本领域技术人员的技术积累进行人工设置。可通过检索的方式确定出存储中是否存在与目标键值对中目标键值对应的信息。若未命中存储，可视为无法对该目标键值对是否异常进行识别。

在全自动无需人工设置参数状态时，可视为执行本申请报文检测方法的终端设备从未接触过该目标键值对；若命中存储，则表明并非首次接触该目标键值对，可进行异常检测。

其中，步骤S200所述的“存储”可以具体为缓存也可以为磁盘、硬盘等可读存储介质。

S300、如果未被存储命中，则将目标键值对发送至可疑检测模块，得到可疑检测模块的检测结果，检测结果用于指示目标键值对是否可疑。

也就是说，将目标键值对发送至可疑检测模块之后，可疑检测模块能够对目标键值对进行可疑检测，得到用于指示目标键值对是否可疑的检测结果。

具体可疑检测模块的实现过程，可以采用现有技术，比如语义分析或者程序分析等，还为能够使用HMM(Hidden Markov Model，隐马尔科夫模型)或者是深度学习。即，在本实施例中并不限定可疑检测模块的具体检测方法以及其结构。

其中，HMM：隐马尔可夫模型是马尔可夫链的一种，它的状态不能直接观察到，但能通过观测向量序列观察到，每个观测向量都是通过某些概率密度分布表现为各种状态，每一个观测向量是由一个具有相应概率密度分布的状态序列产生。

具体的，可将目标键值对作为可疑检测模块的输入，然后可疑检测模块对目标键值对进行可疑检测，最终得到可疑检测模块的输出。该输出可具体为目标键值对是否可疑的检测结果。

得到检测结果之后，便可基于检测结果的具体情况，执行相应步骤。具体的，若检测结果指示目标键值对可疑，则可确定目标报文可能会存在问题，且可执行步骤S400的操作；若检测结果指示目标键值对不可疑，则可结束针对目标报文的检测，确定目标报文安全可靠，可直接放行(本领域技术人员应理解，在报文中的所有目标键值对都不可疑时，才确定安全可靠，直接放行)。

S400、若检测结果指示目标键值对可疑，则获取包含目标参数的各个样本报文以训练学习模型，并将训练后的所述学习模型以及该学习模型对应的目标参数进行预先存储，以便基于训练后的学习模型对后续获取的报文中的目标键值对进行异常检测。

如果检测结果指示目标键值对可疑，则可获取包含了目标参数的各个样本报文来训练学习模型。如此，便可基于训练后的学习模型对后续获取的包含有目标键值对的报文进行异常检测。

具体地，训练学习模型主要包含三个阶段：1)收集数据：可以预设一批可信IP地址，只使用可信IP地址发起的报文进行训练，该目的是为了防止攻击者的报文污染训练用的样本报文，此外，还可以限定只使用每个IP地址的部分报文进行学习，这样也可以在一定程度上避免攻击者攻陷某一IP地址后，造成大量污染样本报文；2)模型训练：当收集到的样本报文达到预设阈值后，开始训练异常检测模型。本发明不限定具体的异常检测模型，可以使用HMM模型或者是深度学习模型。3)当完成模型训练后，采用训练后的学习模型对后续报文中的目标键值对是否异常进行检测。

具体地，将学习模型及其对应的参数进行存储，在后续执行报文检测方法中，会判断出该参数被存储命中，从而在存储命中时，可以采用对应的学习模型进行异常检测。

在本方法中，在获取到目标报文之后，首先对目标报文进行解析，得到目标报文所包含的目标键值对；然后，检测该目标键值对中的目标参数是否被存储命中，如果被存储命中，则可将目标键值对发射至可疑检测模块进行可疑检测，得到用于指示目标键值对是否可以的检测结果。若检测结果指示目标键值对可疑，则获取包含该目标参数的各个样本报文以训练学习模型。如此，便可使得训练后的学习模型对后续获取的报文中的目标键值对进行异常检测。可见，在整个检测过程中，在进行学习时，不是学习每个的参数，而是学习可疑参数，具体是否为可疑参数，根据可疑检测模块来确定。相较于，现有技术中对每个参数都进行学习，本方法仅针对部分参数进行学习，本方法具有学习的参数数量下降，训练学习成本降低的技术效果。

需要说明的是，基于上述实施例，本发明实施例还提供了相应的改进方案。在优选/改进实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考，相应的有益效果也可相互参照，在本文的优选/改进实施例中不再一一赘述。

优选地，在实际应用中，还可一边训练学习模型，一边利用该学习模型对目标键值对进行异常检测。如此，基于学习模型的学习训练机制，便可实现快速发现新的异常，并检出。具体的，即在执行完上述步骤S300之后，若检测结果指示目标键值对可疑，报文检测方法还包括：利用当前的未训练完成的学习模型对目标报文中的目标键值对进行异常检测，得到异常检测结果。该异常检测结果即指示目标键值对是否异常；若异常检测结果表明目标键值对异常，此时可进行异常处理，如告警和/或对目标报文进行拦截等操作；若异常检测结果表明目标键值对正常，此时可确定目标报文正常，执行预设正常处理操作，如放行(本领域技术人员应该理解，可在所有目标键值对均正常时，才执行正常处理操作，如放行)。

此外，在本申请实施例中，根据训练中的学习模型进行异常检测会存在误差，因为还可以直接发出提示信息，让技术人员来进行判断是否存在异常等。

优选地，为了提高报文检测效率，还可结合强规则和弱规则来对报文检测进行有效的筛查。具体的，即在获取目标报文之后，还包括执行以下步骤：

基于预设规则识别目标报文，预设规则包括第一类规则和第二类规则；

若目标报文与预设规则中的第一类规则匹配，则直接对目标报文进行拦截；

若目标报文与预设规则中的第二类规则匹配，则执行解析目标报文，得到目标报文包含的目标键值对的步骤以及后续步骤。

为便于描述，下面将上述三个步骤结合起来进行说明。

其中，第一类规则对应强规则，第二类规则对应弱规则。在本实施例中，可预先设置规则，并将规则分为强规则和弱规则。

具体的，对于强规则命中的流量，认为其为恶意的可能性高，可直接判黑。对于弱规则命中的流量，则认为其有可能是恶意流量，进入后续处理；否则，则认为该流量不可能是攻击数据，直接放行。受益于规则的高效，可以快速地过滤掉大量正常流量。

优选地，为了使得存储能够命中更多的键值对，能够对新且正常的键值对进行有效记录，还可将其泛化并进行存储。如此，再次遇见该键值对时，则可快速确定其安全，省去后续的可疑检测步骤。具体实现过程，包括：在将目标键值对发送至可疑检测模块，得到可疑检测模块的检测结果的步骤之后，还包括：

若检测结果指示目标键值对不可疑，则将目标键值对中的目标键值对应的数据进行泛化，得到目标键值对的泛化表示，并将该泛化表示以及对应的目标参数进行预先存储，以便基于预先存储的该泛化表示对后续获取的报文中的目标键值对进行异常检测。

优选地，为便于管理，该可针对存储中的参数信息的状态进行有效标注。具体的，若检测结果指示目标键值对可疑，报文检测方法还包括：

在得到用于识别目标参数的训练后的学习模型后，设置并存储目标参数的状态为第一状态；

若检测结果指示目标键值对不可疑，报文检测方法还包括：

设置并存储目标参数的状态为第二状态。

其中，第一状态可以对应采用学习模型预测状态，第二状态可以对应无需学习状态。即，在学习模型能够对目标参数进行识别之后，该目标参数的状态确定为预测状态，即可对其采用学习模型进行预测是否异常的状态。而若检测结果指示目标键值对不可疑，此时可确定目标参数的状态为第二状态，即虽然未知但因其威胁不大，可无需进行学习。

当然，在实际应用中，对于参数的状态设置可以多种多样，且针对不同状态的参数设置不同的处理方式。

为了快速检测，还可集合泛化表示确定目标键值对进行检测。具体的，在检测目标键值对中的目标参数是否被存储命中的步骤之后，还包括：

如果被存储命中，则确定目标键值对中目标参数的状态是第一状态还是第二状态；

若为第一状态，则基于目标键值对中目标参数对应的训练后的学习模型识别目标键值对是否异常；

若为第二状态，则将目标键值对与事先存储的泛化表示进行比对，确定目标键值对是否符合泛化表示；

若符合泛化表示，则确定目标报文中的目标键值对正常。

优选地，在将目标键值对与事先存储的泛化表示进行比对，确定目标键值对是否符合泛化表示的步骤之后，还包括：若不符合泛化表示，则返回执行将目标键值对发送至可疑检测模块，得到可疑检测模块的检测结果的步骤以及后续步骤，此时，若可疑检测模型确定不可疑，需要进行泛化存储时，可以在之前的已经存储的泛化表示上进行追加，也可以直接进行替换，具体本领域技术人员可以根据实际情况进行设定。

优选地，为了有效明确目标报文是否存在真的存在威胁，即是避免误检还可利用威胁检测模块进行威胁检测。在基于目标键值对中目标参数对应的训练后的学习模型识别目标键值对是否异常的步骤之后，还包括：若基于训练后的学习模型确定目标键值对异常后，将目标键值对输入至威胁检测模块进行威胁检测，得到威胁检测结果，其中，威胁检测结果用于指示目标键值对是否构成威胁数据。本发明不限定具体的威胁检测模块的实现方式，可以为现有技术，包括但不限于语义分析、机器学习、程序分析或者是虚拟执行(如沙箱)等。具体在实际中，若威胁检测模块是通过“设定阈值”的方法来判断是否具备威胁时，可以将所使用的阈值设置的比较高，从而避免误检。

优选地，为了有效检测出新发现的威胁，在得到威胁检测结果之后，报文检测方法还包括；对于目标键值对中的目标参数，统计训练后的学习模型的检测结果指示为异常，但威胁检测结果指示目标键值对不构成威胁数据的次数，以便在次数超过预设次数时，对该目标参数对应的学习模型进行重新训练。也即是对于某些目标参数，可能其参数形式或类型会随着时间而发生改变，此时，可能会存在异常检测模块确定异常，但威胁检测模块却认为不存在威胁的情况，说明此时需要对学习模型进行重新训练。

在本申请实施例中，可疑检测模块和威胁检测模块可以继承到一个模块中，本申请对此不做限定。

上述若干改进内容，在实际应用中可结合起来进行应用，为便于理解，下面结合具体情况对如何结合进行详细说明。

可利用可疑检测模块确定参数状态，参数状态具体为：无需学习、学习、预测或更新；其中，参数状态为学习，即对应的参数有可能存在威胁，需要通过学习获得该参数的异常鉴别能力；参数状态为无需学习，即对应的参数不可能存在威胁，不需要通过学习获得该参数的异常鉴别能力；参数状态为预设，即为已经学习得到了该参数的异常鉴别能力；参数状态为更新，即当前需要更新缓存的参考泛化表示，或者需要通过学习重新获得该参数的异常鉴别能力。

考虑到，随着应用更新，一些参数值也会发生变化。比如有些参数，原本只能接收数字参数，现在还可以接收字母参数。为此，有必要相应地更新其泛化表示或者对应的学习模型需要重新学习。具体的，若检测出异常次数且对应的威胁检测结果均为非攻击超过预设阈值的特殊参数，则确定特殊参数的参数状态为更新。即当发现某参数异常次数超过预设阈值，且这些异常参数都不是攻击的时候，就进入参数更新阶段，相应地更新缓存状态，并可以进入学习阶段，重新收集数据，训练或者重新构建学习模型。

考虑到参数种类可能会出现新增，也会出现原本无威胁的参数被攻击者利用成为有威胁的参数。因此，在本实施例中，还可基于威胁检测结果(或可疑检测模块的检测结果)对参数状态进行确认。具体的，在得到威胁检测结果(或可疑检测模块的检测结果)之后，还可利用威胁检测结果(或可疑检测模块的检测结果)，确定目标参数的参数状态为学习或无需学习；在参数状态发生变化后更新缓存。

为了便于理解，下面针对每一种参数状态对报文检测方法进行详细说明。

情况一：对于参数状态为无需学习的参数，则其对应的异常检测过程包括：

步骤1.1、若参数状态为无需学习，则判断目标键值对的目标泛化表示与参考泛化表示是否一致；

步骤1.2、如果是，则确定目标键值对无异常；

步骤1.3、如果否，则确定目标键值对异常。

无需学习：表明该目标参数通常不具备威胁性。此时，异常检测流程具体包括：检索缓存中目标参数的参考泛化表示，并与目标泛化表示对比。如果两者一致，则认为是白流量，即目标键值对无异常。如果不一致，则认为该目标参数发生了变化，后续还可以进一步送入威胁检测模块(或可疑检测模块)判断当前参数是否有威胁(或可疑)，同时也可再次确认该参数是否需要学习(比如，当威胁检测模块确定有威胁时，可以对该参数进行学习，即训练相应的学习模型)。当然，如果后续确定参数状态改变，则相应地更新缓存中的状态。这样可以防止原本看似无恶意性的数据，被注入恶意的攻击代码。

以http://www.example.com？dev＝abc&uid＝123&random＝abc.123例进行介绍。假如服务器后台根据其中参数uid进行数据库检索，并返回该用户的信息。后台可能执行的代码为：select user_info from users where uid＝123；此时，uid的泛化表示为N，威胁检测模型认为不会造成危害，无需学习。然而，攻击者可以利用uid，注入恶意的SQL代码uid＝123 union select password from users where uid＝234--。上述代码可以导致服务器返回另外一个用户(用户id＝234)的密码。当发生此种攻击时，攻击的泛化表示发生了较大变化(即从N变为NASNS)，这时就很有可能是攻击，因此有必要送入威胁检测模块(或异常检测模块)，以判断是否威胁(或可疑)，并且确定是否有必要重新学习该参数。因为泛化表示发生变化的概率较小，因此大部分参数无需使用威胁检测模型判断。

情况二：对于参数状态为学习的参数，则其对应的报文检测方法包括：

若参数状态为学习，则学习目标参数；

其中，学习过程包括：

阶段一：收集与目标参数对应的训练样本数据；

阶段二：利用训练样本数据对学习模型进行训练；

阶段三：在训练完成之后，更新缓存中的目标参数的参数状态为预测。

学习：即可疑检测模块认为目标参数可能造成危害，则对该参数进行学习(可学习参数的正常泛化表示)。学习过程可包括三个阶段：

收集数据，优选地，为防止攻击者的数据污染学习模型，可以限定每个IP(或者每个用户)只采集一定数量的请求报文进行学习。进一步地，还可以预设一批可信IP地址，只使用可信IP地址发起的请求中解析得到的键值对进行训练。

模型训练，可在收集的训练数据达到预设阈值后，开始训练学习模型。在本实施例中不限定训练的具体过程。

当完成模型训练后，更新缓存中的参数状态为预测。

情况三：若参数状态为预测，则其对应的报文检测方法包括：若参数状态为预测，则将基于学习模型进行异常检测。

即，已经完成训练，具备了对目标参数的鉴别能力。此时，可将目标键值对输入至学习模型中(可以进行泛化表示后，将对应的泛化后的参数表示作为学习模型的输入)，看其输出是否为异常。如果是的话，再送入威胁检测模块。否则，则直接判白，即可直接确定目标键值对无威胁。

情况四：若参数状态为更新，则其对应的报文检测方法包括：

步骤4.1、若参数状态为更新，则可以重新学习目标参数；或者，更新缓存中的泛化表示。

当参数状态为更新，即重新训练学习模型，以避免出现误判。举例说明，若参数uid原参数值表现形状为纯数字，则其对应的参考泛化表示为N，而在进行应用升级或更新之后，uid参数值的表现形式可以为数字加字母，则其泛化表示为NA，将原本的参考泛化表示替换为NA；若两种表现方式可以并存应用，则在缓存中添加uid的泛化表示NA。

根据参数所处的状态(如学习状态还是预测状态)，可以使用不同的检测模式。若可疑检测模块处于学习状态时，威胁检测模型可以只记录，而不拦截。当可疑检测模块处于预测状态时，即进入到威胁检测模型的数据都是异常数据，此时可开始拦截攻击。

相应于上面的方法实施例，本发明实施例还提供了一种报文检测装置，下文描述的一种报文检测装置与上文描述的一种报文检测方法可相互对应参照。

请参考图3，该报文检测装置，包括：

键值对获取单元101，用于获取目标报文，并解析目标报文，得到目标报文包含的目标键值对；

存储命中检测单元102，用于检测目标键值对中的目标参数是否被存储命中；

可疑检测单元103，用于如果未被存储命中，则将目标键值对发送至可疑检测模块，得到可疑检测模块的检测结果，检测结果用于指示目标键值对是否可疑；

参数学习单元104，用于若检测结果指示目标键值对可疑，则获取包含目标参数的各个样本报文以训练学习模型，并将训练后的学习模型以及该学习模型对应的目标参数进行预先存储，以便基于训练后的学习模型对后续获取的报文中的目标键值对进行异常检测。

应用本发明实施例所提供的装置，在获取到目标报文之后，首先对目标报文进行解析，得到目标报文所包含的目标键值对；然后，检测该目标键值对中的目标参数是否被存储命中，如果被存储命中，则可将目标键值对发射至可疑检测模块进行可疑检测，得到用于指示目标键值对是否可以的检测结果。若检测结果指示目标键值对可疑，则获取包含该目标参数的各个样本报文以训练学习模型。如此，便可使得训练后的学习模型对后续获取的报文中的目标键值对进行异常检测。可见，在整个检测过程中，在进行学习时，不是学习每个的参数，而是学习可疑参数，具体是否为可疑参数，根据可疑检测模块来确定。相较于，现有技术中对每个参数都进行学习，本装置仅针对部分参数进行学习，本装置具有学习的参数数量下降，训练学习成本降低的技术效果。

在本发明的一种具体实施方式中，若检测结果指示目标键值对可疑，报文检测装置还包括：

异常检测单元，用于利用当前的未训练完成的学习模型对目标报文中的目标键值对进行异常检测，得到异常检测结果。

在本发明的一种具体实施方式中，该报文检测装置，还包括：

泛化单元，用于在将目标键值对发送至可疑检测模块，得到可疑检测模块的检测结果的步骤之后，若检测结果指示目标键值对不可疑，则将目标键值对中的目标键值对应的数据进行泛化，得到目标键值对的泛化表示，并将该泛化表示以及对应的目标参数进行预先存储，以便基于预先存储的该泛化表示对后续获取的报文中的目标键值对进行异常检测。

第一状态设置单元，用于在得到用于识别目标参数的训练后的学习模型后，设置并存储目标参数的状态为第一状态；

若检测结果指示目标键值对不可疑，报文检测装置还包括：

第二状态设置单元，用于设置并存储目标参数的状态为第二状态；

相应地，该报文检测装置，还包括：

基于状态的检测单元，用于在检测目标键值对中的目标参数是否被存储命中的步骤之后，如果被存储命中，则确定目标键值对中目标参数的状态是第一状态还是第二状态；若为第一状态，则基于目标键值对中目标参数对应的训练后的学习模型识别目标键值对是否异常；若为第二状态，则将目标键值对与事先存储的泛化表示进行比对，确定目标键值对是否符合泛化表示；若符合泛化表示，则确定目标报文中的目标键值对正常。

可疑检测触发单元，用于在将目标键值对与事先存储的泛化表示进行比对，确定目标键值对是否符合泛化表示的步骤之后，若不符合泛化表示，则返回执行将目标键值对发送至可疑检测模块，以触发可疑检测单元103。

威胁检测单元，用于在基于目标键值对中目标参数对应的训练后的学习模型识别目标键值对是否异常的步骤之后，若基于训练后的学习模型确定目标键值对异常后，将目标键值对输入至威胁检测模块进行威胁检测，得到威胁检测结果，其中，威胁检测结果用于指示目标键值对是否构成威胁数据。

参数学习触发单元，用于在得到威胁检测结果之后，对于目标键值对中的目标参数，统计训练后的学习模型的检测结果指示为异常，但威胁检测结果指示目标键值对不构成威胁数据的次数，以便在次数超过预设次数时，对该目标参数对应的学习模型进行重新训练。

报文处理单元，用于在获取目标报文之后，基于预设规则识别目标报文，预设规则包括第一类规则和第二类规则；若目标报文与预设规则中的第一类规则匹配，则直接对目标报文进行拦截；若目标报文与预设规则中的第二类规则匹配，则触发键值对获取单元101。

相应于上面的方法实施例，本发明实施例还提供了一种报文检测设备，下文描述的一种报文检测设备与上文描述的一种报文检测方法可相互对应参照。

参见图3所示，该报文检测设备包括：

存储器332，用于存储计算机程序；

处理器322，用于执行计算机程序时实现上述方法实施例的报文检测方法的步骤。

具体的，请参考图4，图4为本实施例提供的一种报文检测设备的具体结构示意图，该报文检测设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，CPU)322(例如，一个或一个以上处理器)和存储器332，存储器332中存储了一个或一个以上存储计算机程序342(至少包括一个执行时可实现上述报文检测方法的计算机程序)或数据344。其中，存储器332可以是短暂存储或持久存储。存储在存储器332中的计算机程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储器332通信，在报文检测设备301上执行存储器332中的一系列指令操作。

报文检测设备301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。例如，Windows ServerTM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM等。

上文所描述的报文检测方法中的步骤可以由报文检测设备的结构实现。

相应于上面的方法实施例，本发明实施例还提供了一种可读存储介质，下文描述的一种可读存储介质与上文描述的一种报文检测方法可相互对应参照。

一种可读存储介质，可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例的报文检测方法的步骤。

该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。

本领域技术人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

Claims

一种报文检测方法，其特征在于，包括：

获取目标报文，并解析所述目标报文，得到所述目标报文包含的目标键值对；

检测所述目标键值对中的目标参数是否被存储命中；

如果未被存储命中，则将所述目标键值对发送至可疑检测模块，得到所述可疑检测模块的检测结果，所述检测结果用于指示所述目标键值对是否可疑；

若所述检测结果指示所述目标键值对可疑，则获取包含所述目标参数的各个样本报文以训练学习模型，并将训练后的所述学习模型以及该学习模型对应的目标参数进行预先存储，以便基于训练后的所述学习模型对后续获取的报文中的目标键值对进行异常检测。
如权利要求1所述的报文检测方法，其特征在于，若所述检测结果指示所述目标键值对可疑，所述报文检测方法还包括：

利用当前的未训练完成的所述学习模型对所述目标报文中的目标键值对进行异常检测，得到异常检测结果。
如权利要求1所述的报文检测方法，其特征在于，在所述将所述目标键值对发送至可疑检测模块，得到所述可疑检测模块的检测结果的步骤之后，还包括：

若所述检测结果指示所述目标键值对不可疑，则将所述目标键值对中的目标键值对应的数据进行泛化，得到所述目标键值对的泛化表示，并将该泛化表示以及对应的目标参数进行预先存储，以便基于预先存储的该泛化表示对后续获取的报文中的目标键值对进行异常检测。
如权利要求3所述的报文检测方法，其特征在于，若所述检测结果指示所述目标键值对可疑，所述报文检测方法还包括：

在得到用于识别所述目标参数的训练后的学习模型后，设置并存储所述目标参数的状态为第一状态；

若所述检测结果指示所述目标键值对不可疑，所述报文检测方法还包括：

设置并存储所述目标参数的状态为第二状态；

相应地，在所述检测所述目标键值对中的目标参数是否被存储命中的步骤之后，还包括：

如果被存储命中，则确定所述目标键值对中目标参数的状态是所述第一状态还是所述第二状态；

若为所述第一状态，则基于所述目标键值对中目标参数对应的训练后的学习模型识别所述目标键值对是否异常；

若为所述第二状态，则将所述目标键值对与事先存储的泛化表示进行比对，确定所述目标键值对是否符合所述泛化表示；

若符合所述泛化表示，则确定所述目标报文中的目标键值对正常。
如权利要求4所述的报文检测方法，其特征在于，在所述将所述目标键值对与事先存储的泛化表示进行比对，确定所述目标键值对是否符合所述泛化表示的步骤之后，还包括：

若不符合所述泛化表示，则返回执行所述将所述目标键值对发送至可疑检测模块，得到所述可疑检测模块的检测结果的步骤以及后续步骤。
如权利要4所述的报文检测方法，其特征在于，在所述基于所述目标键值对中目标参数对应的训练后的学习模型识别所述目标键值对是否异常的步骤之后，还包括：

若基于训练后的学习模型确定所述目标键值对异常后，将所述目标键值对输入至威胁检测模块进行威胁检测，得到威胁检测结果，其中，所述威胁检测结果用于指示所述目标键值对是否构成威胁数据。
如权利要求6所述的报文检测方法，其特征在于，在所述得到威胁检测结果之后，所述报文检测方法还包括；

对于所述目标键值对中的目标参数，统计训练后的学习模型的检测结果指示为异常，但所述威胁检测结果指示所述目标键值对不构成威胁数据的次数，以便在所述次数超过预设次数时，对该目标参数对应的学习模型进行重新训练。
如权利要求1至7中任一项所述的报文检测方法，其特征在于，在所述获取目标报文之后，还包括：

基于预设规则识别所述目标报文，所述预设规则包括第一类规则和第二类规则；

若所述目标报文与所述预设规则中的第一类规则匹配，则直接对所述目标报文进行拦截；

若所述目标报文与所述预设规则中的第二类规则匹配，则执行所述解析所述目标报文，得到所述目标报文包含的目标键值对的步骤以及后续步骤。
一种报文检测设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至8任一项所述报文检测方法的步骤。
一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至8任一项所述攻击检测方法的步骤。