一种基于智能AI检测引擎的web应用防护系统的制作方法

一种基于智能ai检测引擎的web应用防护系统
技术领域
1.本发明涉及web应用防护技术领域，具体为一种基于智能ai检测引擎的web应用防护系统。


背景技术：

2.由于极其容易出现漏洞、并引发安全事故，因此数据隐私的保护是目前绝大多数企业不可绕过的运维环节，不过，许多中小型企业往往会错误地认为只有大型企业才会成为黑客的目标，而实际统计数字却截然不同：有43％的网络犯罪恰恰是针对小型企业的，而且，无论是系统陈旧且未给漏洞打上安全补丁，还是各种恶意软件，甚至是一些人为的错误，都可以成为系统的受攻击面，90％的web应用都可能成为攻击者的潜在目标，因此，为了让应用程序和数据资产免受威胁，各大在线社区(例如owasp和nist)努力制定了各种安全标准和优秀实践，并以免费的文档、方法、工具等形式，协助企业通过对照实施，来增强其it环境的安全态势。
4.可见，针对上述威胁，我们应采取主动的web安全策略，以及严格的措施，来确保敏感的数据信息、web应用、以及信息系统等资产，免受攻击与侵害，针对目前入侵检测防护系统的缺陷与不足，因此本技术提出一种基于智能ai检测引擎的web应用防护系统，将人工智能应用干入侵检测分析引擎的研究与开发，用以解决上述问题。


技术实现要素：

5.针对现有技术的不足，本发明提供了一种基于智能ai检测引擎的web应用防护系统，具备防护性好等优点，解决了入侵检测防护系统的缺陷与不足较高的问题。
6.为实现上述目的，本发明提供如下技术方案：一种基于智能ai检测引擎的web应用防护系统，包括：预处理单元、分析单元、检测单元和后处理单元；
7.其中，预处理单元，用于：防护系统数据信息的收集以及预处理；
8.其中，分析单元，用于：防护系统环境与安全状况分析；
9.所述检测单元包括实时检测模块和间隔式检测模块；
10.其中，实时检测模块，用于：基于网络对web应用系统入侵概率较大时进行实时误用检测；
11.所述间隔式检测模块，用于：基于时间间隔来对web应用系统主机进行检测；
12.所述后处理单元包括：web应用漏洞扫描和测试模块、web应用攻击防御模块、页面防篡改模块。
13.进一步，所述系统中采用nginx的web服务器负载均衡，具体步骤如下：
14.s1首先收集负载的信息，主要是收集硬件的相关负载信息；
15.s2其次计算应分配的权值，如何分配权值才能使得负载均衡；
16.s3最后对权值使用计算的权值进行修改。
17.进一步，所述s1中，对于收集到的cpu信息，通过统计的方式，建立起cpu的性能表，
将不同型号的主流cpu归类，并统计其性能值，有利于为不同型号的cpu分配不同的权值，达到精准的负载分配，从而使得cpu的剩余性能能够充分被利用。
18.进一步，所述s2中，首先计算初始的权值，将每个参与评估的硬件设施的剩余性能进行加和生成该硬件条件的总的剩余性能，如在不同节点的cpu的剩余性能用lcpui表示，其中i代表第i个节点，相关计算公式如下所示：
[0019][0020]
进一步，所述在入侵检测防护系统中需要定义入侵特征和用户正常行为轮廓的参数集，为了实现测度参数集合的最优化，可以引入遗传算法搜索整个度量空问，利用学习分类器产生遗传交叉算子和基因突变算子，以规则评价的方式逐步优化初始度量参数子集，从而得到针对特定检测环境的最优度量集合。
[0021]
进一步，所述遗传算法实现过程如下：
[0022]
1)测度参数对象编码，将测度参数子空问编码成为合适的处理对象；
[0023]
2)适应度函数，模拟自然选择过程，通过评估函数和适应度函数评价一个测度参数子集的优劣；
[0024]
3)遗传算子设定，类似于物体遗传、变异与选择的机制；
[0025]
4)算法运行参数设定。
[0026]
进一步，所述web应用漏洞扫描模块：用于对已知或未知的web应用漏洞进行扫描，系统自带web应用漏洞的规则库，并可以通过更新规则库的方式支持对新型web应用漏洞的检测，web应用漏洞扫描系统可以采用软件或软硬集成的方式实现，能根据扫描结果提供详细的分析报告，为开发和维护人员提供安全加固所需的分析数据。
[0027]
进一步，所述web应用漏洞测试模块：可以使用一台设备模拟windows+apache/tomcat平台，使用另一台设备模拟linux+apache/tomcat平台，在测试环境上模拟发布测试的同时，可以利用web应用漏洞扫描系统对其进行全面的安全评估，及时对存在安全漏洞的页面进行安全加固。
[0028]
进一步，所述web应用攻击防御模块主要有两种实现方式：软件方式和硬件方式；
[0029]
硬件方式：即硬件应用防火墙，一般通过反向代理技术实现；
[0030]
软件方式：即软件应用防火墙，用web服务器核心内嵌技术实现。
[0031]
进一步，所述页面防篡改模块包括集中管理和监控模块、统一页面发布模块和应用防护/防篡改检测模块和同步模块；
[0032]
集中管理和监控模块：部署管理和监控服务器，负责管理和监测页面统一发布服务器运行状态、管理和监测防篡改模块/同步模块的运行状态、页面被篡改后的自动恢复控制、记录和展现各类告警和日志；
[0033]
统一页面发布模块：部署防篡改系统发布服务器，发布服务器上具有与受保护web服务器上的网页文件完全相同的目录结构，发布服务器上的任何文件/目录的变化都会自动和立即反映到受保护web服务器的相应位置上
[0034]
应用防护/防篡改检测模块和同步模块：支持所有主流的操作系统；支持常用的web服务器软件；兼容所有常用的数据库系统：兼容所有常用的安全防护软件。
[0035]
与现有技术相比，本技术的技术方案具备以下有益效果：
[0036]
该基于智能ai检测引擎的web应用防护系统，将人工智能应用干入侵检测分析引擎的研究与开发，利用遗传算法的优良机理设计了一类测度参数优化算法，并在此基础上提出了一类混合入侵检测分析引擎，方案较好地避免了现有入侵检测引擎的缺陷与安全漏洞，增强lds的实时性、健壮性、高效性、并行性和可适应性，其次，先收集负载的信息，主要是收集硬件的相关负载信息；其次计算应分配的权值，如何分配权值才能使得负载均衡；最后对权值使用计算的权值进行修改，达到负载均衡目的，从而使得硬件能够充分发挥出性能，保证有足够的运算资源对网络安全以及web防护系统作出贡献，网站应用层安全防护体系包括事前web应用漏洞扫描和测试、事中web应用攻击主动防护、事后页面篡改检测及恢复三个层面的安全防护手段，解决了传统的网络防火墙、ids/ips等安全产品对应用层攻击无法防御的问题，实现了网站的应用层安全，在实际应用中，通过与其他网络层安全技术手段及管理手段相结合，将全面降低系统安全风险，提高安全防护能力，确保网站系统的安全运行。
附图说明
[0037]
图1为本发明系统流程结构示意图；
[0038]
图2为本发明web服务器负载均衡结构示意图；
[0039]
图3为本发明遗传算法实现过程结构示意图。
具体实施方式
[0040]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0041]
请参阅图1-3，本实施例中的一种基于智能ai检测引擎的web应用防护系统，包括：预处理单元、分析单元、检测单元和后处理单元；
[0042]
其中，预处理单元，用于：防护系统数据信息的收集以及预处理；
[0043]
其中，分析单元，用于：防护系统环境与安全状况分析；
[0044]
检测单元包括实时检测模块和间隔式检测模块；
[0045]
其中，实时检测模块，用于：基于网络对web应用系统入侵概率较大时进行实时误用检测；
[0046]
间隔式检测模块，用于：基于时间间隔来对web应用系统主机进行检测；
[0047]
后处理单元包括：web应用漏洞扫描和测试模块、web应用攻击防御模块、页面防篡改模块。
[0048]
需要说明的是，在入侵检测系统中需要定义入侵特征和用户正常行为轮廓的参数集，为了实现测度参数集合的最优化，可以引入遗传算法搜索整个度量空问，利用学习分类器产生遗传交叉算子和基因突变算子，以规则评价的方式逐步优化初始度量参数子集，从而得到针对特定检测环境的最优度量集合。
[0049]
其中，系统中采用nginx的web服务器负载均衡，具体步骤如下：
[0050]
s1首先收集负载的信息，主要是收集硬件的相关负载信息；
[0051]
s2其次计算应分配的权值，如何分配权值才能使得负载均衡；
[0052]
s3最后对权值使用计算的权值进行修改。
[0053]
其中，s1中，对于收集到的cpu信息，通过统计的方式，建立起cpu的性能表，将不同型号的主流cpu归类，并统计其性能值，有利于为不同型号的cpu分配不同的权值，达到精准的负载分配，从而使得cpu的剩余性能能够充分被利用。
[0054]
通过/proc/stat/能够准确计算cpu的使用率，从而得到剩余性能。
[0055]
其公式为：
[0056]
cpu利用率＝100％*(总时间-空隙时间)/总时间，
[0057]
cpu剩余性能＝(1-cpu利用率)*平均cpu得分，
[0058]
对于内存的使用率采用/proc/meminfo进行收集，需要收集的内容有物理内存、缓存大小、高速缓冲存储器的相关状态以及运行记录，但是，进行实际的负载评估时，并不会用到太多的关于内存的参数，只是简单将剩余内存作为相关指标，因为内存指标足以反映当前的内存的运行状态，使用如下公式对其进行评估：
[0059]
内存使用率＝(总内存-(未使用的物理内存+缓存))/总内存。
[0060]
其中，s2中，首先计算初始的权值，将每个参与评估的硬件设施的剩余性能进行加和生成该硬件条件的总的剩余性能，如在不同节点的cpu的剩余性能用lcpui表示，其中i代表第i个节点，相关计算公式如下所示：
[0061][0062]
需要说明的是，通过相对应的初始权值，就能算出不均衡的分配情况，对于分配不均衡的节点，需要进行动态的权值分配，达到负载均衡，主要的调节方式还是用硬件进行调节
[0063]
其中，在入侵检测防护系统中需要定义入侵特征和用户正常行为轮廓的参数集，为了实现测度参数集合的最优化，可以引入遗传算法搜索整个度量空问，利用学习分类器产生遗传交叉算子和基因突变算子，以规则评价的方式逐步优化初始度量参数子集，从而得到针对特定检测环境的最优度量集合。
[0064]
其中，遗传算法实现过程如下：
[0065]
1)测度参数对象编码，将测度参数子空问编码成为合适的处理对象；
[0066]
2)适应度函数，模拟自然选择过程，通过评估函数和适应度函数评价一个测度参数子集的优劣；
[0067]
3)遗传算子设定，类似于物体遗传、变异与选择的机制；
[0068]
4)算法运行参数设定。
[0069]
其中，web应用漏洞扫描模块：用于对已知或未知的web应用漏洞进行扫描，系统自带web应用漏洞的规则库，并可以通过更新规则库的方式支持对新型web应用漏洞的检测，web应用漏洞扫描系统可以采用软件或软硬集成的方式实现，能根据扫描结果提供详细的分析报告，为开发和维护人员提供安全加固所需的分析数据。
[0070]
其中，web应用漏洞测试模块：可以使用一台设备模拟windows+apache/tomcat平
台，使用另一台设备模拟linux+apache/tomcat平台，在测试环境上模拟发布测试的同时，可以利用web应用漏洞扫描系统对其进行全面的安全评估，及时对存在安全漏洞的页面进行安全加固。
[0071]
其中，web应用攻击防御模块主要有两种实现方式：软件方式和硬件方式；
[0072]
硬件方式：即硬件应用防火墙，一般通过反向代理技术实现；
[0073]
软件方式：即软件应用防火墙，用web服务器核心内嵌技术实现。
[0074]
其中，页面防篡改模块包括集中管理和监控模块、统一页面发布模块和应用防护/防篡改检测模块和同步模块；
[0075]
集中管理和监控模块：部署管理和监控服务器，负责管理和监测页面统一发布服务器运行状态、管理和监测防篡改模块/同步模块的运行状态、页面被篡改后的自动恢复控制、记录和展现各类告警和日志；
[0076]
统一页面发布模块：部署防篡改系统发布服务器，发布服务器上具有与受保护web服务器上的网页文件完全相同的目录结构，发布服务器上的任何文件/目录的变化都会自动和立即反映到受保护web服务器的相应位置上。
[0077]
应用防护/防篡改检测模块和同步模块：支持所有主流的操作系统；支持常用的web服务器软件；兼容所有常用的数据库系统：兼容所有常用的安全防护软件。
[0078]
其中，页面防篡改防护主要采用软件方式来实现，主要有三种实现方式：
[0079]
(1)外挂轮询；外挂轮询技术是利用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对被篡改的网页进行告警和恢复。
[0080]
(2)事件触发；事件触发技术是利用操作系统的文件系统接口，在网页文件被修改时进行合法性检查，对非法操作进行告警和恢复。
[0081]
(3)核心内嵌；核心内嵌技术是将篡改检测模块内嵌在web服务器软件中，它在每一个网页流出时都进行完整性检查，对被篡改的网页进行实时阻断，并予以告警和恢复。
[0082]
需要说明的是，应用防护模块：可以对外部访问行为进行安全性检查。如果正常则发送给web服务器软件；如果发现有攻击特征码，即刻中止此次请求并进行告警。
[0083]
防篡改检测模块：利用数字水印对每个发送的网页进行即时的完整性检查，如果网页正常则对外发送，如果发现被篡改则阻断对外发送，并依照一定策略进行告警和恢复。
[0084]
同步模块：负责接收发布服务器发布的网页，在接收到网页和水印后，将网页存放在文件系统中，将水印存放在安全数据库里。
[0085]
上述实施例的有益效果为：将人工智能应用干入侵检测分析引擎的研究与开发，利用遗传算法的优良机理设计了一类测度参数优化算法，并在此基础上提出了一类混合入侵检测分析引擎，方案较好地避免了现有入侵检测引擎的缺陷与安全漏洞，增强lds的实时性、健壮性、高效性、并行性和可适应性，其次，先收集负载的信息，主要是收集硬件的相关负载信息；其次计算应分配的权值，如何分配权值才能使得负载均衡；最后对权值使用计算的权值进行修改，达到负载均衡目的，从而使得硬件能够充分发挥出性能，保证有足够的运算资源对网络安全以及web防护系统作出贡献，网站应用层安全防护体系包括事前web应用漏洞扫描和测试、事中web应用攻击主动防护、事后页面篡改检测及恢复三个层面的安全防护手段，解决了传统的网络防火墙、ids/ips等安全产品对应用层攻击无法防御的问题，实
现了网站的应用层安全，在实际应用中，通过与其他网络层安全技术手段及管理手段相结合，将全面降低系统安全风险，提高安全防护能力，确保网站系统的安全运行。
[0086]
需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0087]
尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

技术特征：
1.一种基于智能ai检测引擎的web应用防护系统，其特征在于，包括：预处理单元、分析单元、检测单元和后处理单元；其中，预处理单元，用于：防护系统数据信息的收集以及预处理；其中，分析单元，用于：防护系统环境与安全状况分析；所述检测单元包括实时检测模块和间隔式检测模块；其中，实时检测模块，用于：基于网络对web应用系统入侵概率较大时进行实时误用检测；所述间隔式检测模块，用于：基于时间间隔来对web应用系统主机进行检测；所述后处理单元包括：web应用漏洞扫描和测试模块、web应用攻击防御模块、页面防篡改模块。2.根据权利要求1所述的一种基于智能ai检测引擎的web应用防护系统，其特征在于：所述系统中采用nginx的web服务器负载均衡，具体步骤如下：s1首先收集负载的信息，主要是收集硬件的相关负载信息；s2其次计算应分配的权值，如何分配权值才能使得负载均衡；s3最后对权值使用计算的权值进行修改。3.根据权利要求2所述的一种基于智能ai检测引擎的web应用防护系统，其特征在于：所述s1中，对于收集到的cpu信息，通过统计的方式，建立起cpu的性能表，将不同型号的主流cpu归类，并统计其性能值，有利于为不同型号的cpu分配不同的权值，达到精准的负载分配，从而使得cpu的剩余性能能够充分被利用。4.根据权利要求2所述的一种基于智能ai检测引擎的web应用防护系统，其特征在于：所述s2中，首先计算初始的权值，将每个参与评估的硬件设施的剩余性能进行加和生成该硬件条件的总的剩余性能，如在不同节点的cpu的剩余性能用lcpui表示，其中i代表第i个节点，相关计算公式如下所示：5.根据权利要求1所述的一种基于智能ai检测引擎的web应用防护系统，其特征在于：所述在入侵检测防护系统中需要定义入侵特征和用户正常行为轮廓的参数集，为了实现测度参数集合的最优化，可以引入遗传算法搜索整个度量空问，利用学习分类器产生遗传交叉算子和基因突变算子，以规则评价的方式逐步优化初始度量参数子集，从而得到针对特定检测环境的最优度量集合。6.根据权利要求5所述的一种基于智能ai检测引擎的web应用防护系统，其特征在于：所述遗传算法实现过程如下：1)测度参数对象编码，将测度参数子空问编码成为合适的处理对象；2)适应度函数，模拟自然选择过程，通过评估函数和适应度函数评价一个测度参数子集的优劣；3)遗传算子设定，类似于物体遗传、变异与选择的机制；4)算法运行参数设定。
7.根据权利要求1所述的一种基于智能ai检测引擎的web应用防护系统，其特征在于：所述web应用漏洞扫描模块：用于对已知或未知的web应用漏洞进行扫描，系统自带web应用漏洞的规则库，并可以通过更新规则库的方式支持对新型web应用漏洞的检测，web应用漏洞扫描系统可以采用软件或软硬集成的方式实现，能根据扫描结果提供详细的分析报告，为开发和维护人员提供安全加固所需的分析数据。8.根据权利要求1所述的一种基于智能ai检测引擎的web应用防护系统，其特征在于：所述web应用漏洞测试模块：可以使用一台设备模拟windows+apache/tomcat平台，使用另一台设备模拟linux+apache/tomcat平台，在测试环境上模拟发布测试的同时，可以利用web应用漏洞扫描系统对其进行全面的安全评估，及时对存在安全漏洞的页面进行安全加固。9.根据权利要求1所述的一种基于智能ai检测引擎的web应用防护系统，其特征在于：所述web应用攻击防御模块主要有两种实现方式：软件方式和硬件方式；硬件方式：即硬件应用防火墙，一般通过反向代理技术实现；软件方式：即软件应用防火墙，用web服务器核心内嵌技术实现。10.根据权利要求1所述的一种基于智能ai检测引擎的web应用防护系统，其特征在于：所述页面防篡改模块包括集中管理和监控模块、统一页面发布模块和应用防护/防篡改检测模块和同步模块；集中管理和监控模块：部署管理和监控服务器，负责管理和监测页面统一发布服务器运行状态、管理和监测防篡改模块/同步模块的运行状态、页面被篡改后的自动恢复控制、记录和展现各类告警和日志；统一页面发布模块：部署防篡改系统发布服务器，发布服务器上具有与受保护web服务器上的网页文件完全相同的目录结构，发布服务器上的任何文件/目录的变化都会自动和立即反映到受保护web服务器的相应位置上应用防护/防篡改检测模块和同步模块：支持所有主流的操作系统；支持常用的web服务器软件；兼容所有常用的数据库系统：兼容所有常用的安全防护软件。

技术总结
本发明涉及一种基于智能AI检测引擎的web应用防护系统，包括：预处理单元、分析单元、检测单元和后处理单元；其中，预处理单元，用于：防护系统数据信息的收集以及预处理；其中，分析单元，用于：防护系统环境与安全状况分析；所述检测单元包括实时检测模块和间隔式检测模块；其中，实时检测模块，用于：基于网络对web应用系统入侵概率较大时进行实时误用检测。该基于智能AI检测引擎的web应用防护系统，将人工智能应用干入侵检测分析引擎的研究与开发，利用遗传算法的优良机理设计了一类测度参数优化算法，并在此基础上提出了一类混合入侵检测分析引擎，避免了现有入侵检测引擎的缺陷与安全漏洞，增强lDS的实时性、健壮性、高效性、并行性和可适应性。性和可适应性。性和可适应性。


技术研发人员：蔡国星 马泽俊 马泽宇
受保护的技术使用者：深圳市锐速云计算有限公司
技术研发日：2023.07.23
技术公布日：2023/9/26