随着互联网技术的飞速发展,互联网服务逐渐由传统客户机/服务器（C/S）架构转向浏览器/服务器（B/S）架构,Web应用服务数量呈现指数级增长,相应的Web应用安全漏洞也暴露出来,网络安全事件频发,给Web应用服务开发者带来了巨大的经济损失,同时也产生了Web应用服务使用者的隐私泄露问题。作为Web应用服务的防御机制,Web应用防火墙的发展被提上日程,各大厂商联合各高校实验室积极研究高效的攻击检测算法,以此保护Web应用服务。同时,目前市场上的Web应用防火墙大部分没有提供一个可视化的攻击数据展示功能,不能给Web应用开发者一个直观的效果展示。本文将Web攻击识别问题转化为文本分类问题,攻击检测基于Bert模型,在其基础上结合Web应用攻击检测现状进行微调,结合其他开源防火墙组件,进一步降低了Web应用防火墙的漏报率和误报率。本文采用B/S架构设计,使用调优的Bert模型完成攻击检测,结合Mod Security为用户提供多种检测方案,使用Spark Streaming结合Flume完成攻击检测数据实时流计算,最终设计了一个具有应用接入、攻击检测、攻击数据展示等多个功能模块的Web应用防火墙系统。基于概要设计和微调的Bert模型,详细设计实现包括用户管理、攻击检测、应用管理和数据分析四大功能。本系统经过测试,对Web攻击请求有较高的识别率,且能够处理大量的防火墙日志,提供攻击数据可视化功能,系统整体运行流畅,稳定性较高,可用性较强。本文创新点主要有以下三个方面:一、攻击检测模块算法设计与优化。本文将攻击检测问题转化为了文本分类问题,选取近年来应用广泛、精度较高的Bert模型作为基准模型,将Web请求中出现的高频词汇加入词库,使用Bert中文模型作为预训练模型,针对现有攻击检测数据集较小的现状进行微调,根据训练效果及时调整学习率,在多轮训练没有提升分类效果时提前终止训练任务,使用均值最大池化和权重衰减方案防止模型过大而数据集过小产生的过拟合问题。二、Web应用防火墙微服务化。本文设计实现的Web应用防火墙系统采用微服务的实现,将Web应用防火墙作为服务提供给开发者,开发者可以根据自己的需要单独对应用进行接入和配置,一定程度上解决了现有Web应用防火墙部署复杂和配置修改对系统整体影响较大的痛点,适合需求较多且迭代较快的团队使用。三、Web应用防火墙数据可视化。本文使用Spark Streaming结合Flume完成攻击检测数据实时流计算,将Web防火墙的防御情况实时计算后通过图表方式展示给开发者,保证开发者可以及时对应用的安全情况进行了解,一定程度上解决了传统Web用用防火墙的效果数据黑盒问题,数据计算较为及时,图表数据清晰,满足了开发者的实际需要。本文设计的Web应用防火墙系统在攻击检测方面使用了Bert模型并对其进行效果调优,降低了Web攻击的漏报率和误报率,在实用性方面提供了服务式的应用管理和数据分析等功能。在实际应用中,本系统支持选择不同的安全策略,满足用户的个性化需要。该系统很大程度上解决了Web应用防火墙精度不足、部署和配置复杂、防御结果分析不足的问题,具有较高的应用价值。