国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種Web攻擊的檢測方法及裝置的制造方法

      文檔序號:9754589閱讀:798來源:國知局
      一種Web攻擊的檢測方法及裝置的制造方法
      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及一種網(wǎng)絡(luò)安全領(lǐng)域,具體涉及一種Web攻擊的檢測方法及裝置。
      【背景技術(shù)】
      [0002]當(dāng)前,80%的常見應(yīng)用都是Web應(yīng)用,包括對安全性要求較高的金融類應(yīng)用。Web已經(jīng)成為標(biāo)準(zhǔn)的應(yīng)用交互接口。Web應(yīng)用在給人們帶來方便的同時,也成為了黑客最為關(guān)注的對象。常見的針對Web應(yīng)用的攻擊包括SQL(Structured Query Language,結(jié)構(gòu)化查詢語言)注入攻擊、XSS(Cross Site Scripting,跨站腳本攻擊)、CSRF(Cross_site requestforgery,跨站請求偽造)以及各種可能導(dǎo)致Web服務(wù)器拒絕服務(wù)的Web攻擊方式。
      [0003]為了防御各種Web攻擊,相關(guān)技術(shù)中的處理方式通常是在Web應(yīng)用前面部署Web應(yīng)用防火墻,它可在將Web業(yè)務(wù)訪問請求提交到后臺Web服務(wù)器之前對其進(jìn)行安全檢查,如果發(fā)現(xiàn)含有Web攻擊企圖,則阻斷本次Web業(yè)務(wù)訪問請求。但當(dāng)前的Web應(yīng)用防火墻多采用誤用檢測方式來檢測各種Web攻擊,誤用檢測方式是指通過與攻擊特征庫進(jìn)行特征匹配,以確定攻擊事件,其優(yōu)點(diǎn)是誤報率低,缺點(diǎn)是各種Web攻擊特征容易被變形,從而可能躲避檢測,造成漏報;此外,誤用檢測無法檢測未知Web攻擊。
      [0004]異常檢測方法則是一種不同于誤用檢測的攻擊檢測方法。它首先為被檢測對象建立正常行為模型,然后,度量待檢測對象當(dāng)前行為與正常行為模型的偏差,如果明顯偏離,則表示檢測到異常行為,這種異常行為可能是一種攻擊。異常檢測方法優(yōu)點(diǎn)是可能檢測到各種未知攻擊,但是,其缺點(diǎn)也很明顯,就是誤報率高,很多時候無法對報警結(jié)果進(jìn)行合理解釋。
      [0005]Web應(yīng)用防火墻只能檢測到Web攻擊企圖,對于那些躲避了Web應(yīng)用防火墻檢測的Web攻擊,則可能通過對Web日志進(jìn)行安全分析檢測出來。但當(dāng)前基于Web日志分析的Web攻擊檢測方法多數(shù)仍然是采用基于已知攻擊特征的誤用檢測方法,漏報率高。

      【發(fā)明內(nèi)容】

      [0006]本發(fā)明要解決的技術(shù)問題是如何克服誤用檢測和異常檢測的缺點(diǎn),能夠?qū)eb應(yīng)用防火墻無法發(fā)現(xiàn)的Web攻擊進(jìn)行事后的攻擊檢測和取證。
      [0007]為了解決上述問題,采用如下技術(shù)方案。
      [0008]一種Web攻擊檢測方法,包括:
      [0009]SI 10、對于待處理的多條Web日志,按照所述Web日志中的統(tǒng)一資源定位符URL進(jìn)行劃分,得到不同URL對應(yīng)的Web日志子集;
      [0010]SI 20、對于每個URL所對應(yīng)的Web日志子集分別進(jìn)行以下處理:選取所述Web日志子集中部分Web日志,所選取的Web日志在所述Web日志子集中所占的比例小于或等于預(yù)定的比例上限;根據(jù)所選取的Web日志構(gòu)建該URL對應(yīng)的正常行為模型;
      [0011]S130、對于每個URL所對應(yīng)的Web日志子集,分別基于該URL對應(yīng)的正常行為模型,對該URL所對應(yīng)Web日志子集中未被選取的Web日志進(jìn)行異常檢測。
      [0012]可選地,所述根據(jù)所選取的Web日志構(gòu)建該URL對應(yīng)的正常行為模型包括:
      [0013]基于選取的Web日志中該URL相關(guān)的一個或多個用戶輸入?yún)?shù)的用戶輸入值,分別構(gòu)建該URL相關(guān)的用戶輸入?yún)?shù)的正常數(shù)據(jù)格式,URL對應(yīng)的正常行為模型為該URL相關(guān)的用戶輸入?yún)?shù)的正常數(shù)據(jù)格式的集合;
      [0014]所述基于該URL對應(yīng)的正常行為模型,對該URL所對應(yīng)Web日志子集中未被選取的Web日志進(jìn)行異常檢測包括:
      [0015]對于每條未被選取的Web日志,提取該URL相關(guān)的一個或多個用戶輸入?yún)?shù)所對應(yīng)的用戶輸入值,分別檢查每個用戶輸入值是否符合該URL對應(yīng)的正常行為模型中該用戶輸入值對應(yīng)的用戶輸入?yún)?shù)的正常數(shù)據(jù)格式,如果不符合,則判定該用戶輸入值為異常;當(dāng)一條Web日志中,判定為異常的用戶輸入值的個數(shù)或比例大于或等于預(yù)定門限時,將該條Web日志確定為異常的Web日志。
      [0016]可選地,所述URL相關(guān)的一個或多個用戶輸入?yún)?shù)包括以下任一項或任幾項:該URL相關(guān)的一個或多個Cookie,以及附加在該URL后面的一個或多個用戶輸入?yún)?shù)。
      [0017]可選地,所述判定用戶輸入值異常后還包括:
      [0018]對判定為異常的用戶輸入值,將該用戶輸入值與Web攻擊特征庫進(jìn)行匹配,識別出已知的Web攻擊。
      [0019]可選地,所述根據(jù)所選取的Web日志構(gòu)建該URL對應(yīng)的正常行為模型包括:
      [0020]對所選取的Web日志進(jìn)行基于Web攻擊特征庫的誤用檢測,將包含Web攻擊特征的Web日志篩除,基于剩下的Web日志構(gòu)建該URL對應(yīng)的正常行為模型。
      [0021 ] 一種Web攻擊檢測裝置,包括:
      [0022]日志分類模塊,用于對于待處理的多條Web日志,按照所述Web日志中的統(tǒng)一資源定位符URL進(jìn)行劃分,得到不同URL對應(yīng)的Web日志子集;
      [0023]正常行為模型學(xué)習(xí)模塊,用于對于每個URL所對應(yīng)的Web日志子集分別進(jìn)行以下處理:選取所述Web日志子集中部分Web日志,所選取的Web日志在所述Web日志子集中所占的比例小于或等于預(yù)定的比例上限;根據(jù)所選取的Web日志構(gòu)建該URL對應(yīng)的正常行為模型;
      [0024]異常檢測模塊,用于對于每個URL所對應(yīng)的Web日志子集,分別基于該URL對應(yīng)的正常行為模型,對該URL所對應(yīng)Web日志子集中未被選取的Web日志進(jìn)行異常檢測。
      [0025]可選地,所述正常行為模型學(xué)習(xí)模塊根據(jù)所選取的Web日志構(gòu)建該URL對應(yīng)的正常行為模型包括:
      [0026]所述正常行為模型學(xué)習(xí)模塊基于選取的Web日志中該URL相關(guān)的一個或多個用戶輸入?yún)?shù)的用戶輸入值,分別構(gòu)建該URL相關(guān)的用戶輸入?yún)?shù)的正常數(shù)據(jù)格式,URL對應(yīng)的正常行為模型為該URL相關(guān)的用戶輸入?yún)?shù)的正常數(shù)據(jù)格式的集合;
      [0027]所述異常檢測模塊基于該URL對應(yīng)的正常行為模型,對該URL所對應(yīng)Web日志子集中未被選取的Web日志進(jìn)行異常檢測包括:
      [0028]所述異常檢測模塊對于每條未被選取的Web日志,提取該URL相關(guān)的一個或多個用戶輸入?yún)?shù)所對應(yīng)的用戶輸入值,分別檢查每個用戶輸入值是否符合該URL對應(yīng)的正常行為模型中該用戶輸入值對應(yīng)的用戶輸入?yún)?shù)的正常數(shù)據(jù)格式,如果不符合,則判定該用戶輸入值為異常;當(dāng)一條Web日志中,判定為異常的用戶輸入值的個數(shù)或比例大于或等于預(yù)定門限時,將該條Web日志確定為異常的Web日志。
      [0029]可選地,所述URL相關(guān)的一個或多個用戶輸入?yún)?shù)包括以下任一項或任幾項:該URL相關(guān)的一個或多個Cookie,以及附加在該URL后面的一個或多個用戶輸入?yún)?shù)。
      [0030]可選地,所述的裝置還包括:
      [0031]誤用檢測模塊,用于對判定為異常的用戶輸入值,將該用戶輸入值與Web攻擊特征庫進(jìn)行匹配,識別出已知的Web攻擊。
      [0032]可選地,所述正常行為模型學(xué)習(xí)模塊根據(jù)所選取的Web日志構(gòu)建該URL對應(yīng)的正常行為模型包括:
      [0033]所述正常行為模型學(xué)習(xí)模塊指示所述誤用檢測模塊對所選取的Web日志進(jìn)行基于Web攻擊特征庫的誤用檢測,將包含Web攻擊特征的Web日志篩除,基于剩下的Web日志構(gòu)建該URL對應(yīng)的正常行為模型。
      [0034]本發(fā)明的技術(shù)方案的優(yōu)勢是:充分結(jié)合了誤用檢測和異常檢測方法的優(yōu)點(diǎn),能夠檢測到各種已知和未知的Web攻擊,可以在信息安全風(fēng)險評估等事后分析Web應(yīng)用系統(tǒng)安全的時候,對前端Web應(yīng)用防火墻無法檢測到的Web攻擊進(jìn)行事后的攻擊檢測和取證,并可能發(fā)現(xiàn)各種未知Web攻擊,從而能夠作為Web應(yīng)用防火墻的一種有利補(bǔ)充,保障Web應(yīng)用的安全。
      [0035]本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在說明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。
      【附圖說明】
      [0036]附圖用來提供對本發(fā)明技術(shù)方案的進(jìn)一步理解,并且構(gòu)成說明書的一部分,與本申請的實(shí)施例一起用于解釋本發(fā)明的技術(shù)方案,并不構(gòu)成對本發(fā)明技術(shù)方案的限制。
      [0037]圖1為本發(fā)明實(shí)施例一的Web攻擊的檢測方法的流程示意圖;
      [0038]圖2為本發(fā)明實(shí)施例一的Web攻擊的檢測裝置的示意圖。
      【具體實(shí)施方式】
      [0039]下面將結(jié)合附圖及實(shí)施例對本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說明。
      [0040]需要說明的是,如果不沖突,本發(fā)明實(shí)施例以及實(shí)施例中的各個特征可以相互結(jié)合,均在本發(fā)明的保護(hù)范圍之內(nèi)。另外,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
      [0041 ] 實(shí)施例一、一種Web攻擊檢測方法,如圖1所示,包括步驟SI 10?S130:
      [0042]SI 10、對于待處理的多條Web日志,按照所述Web日志中的URL (Uni form ResourceLocator,統(tǒng)一資源定位符)進(jìn)行劃分,得到不同URL對應(yīng)的Web日志子集。
      [0043]本步驟可以包括:對于待處理的多條Web日志,首先分別提取每條Web日志中的URL,然后按照URL對所述待處理的多條Web日志進(jìn)行劃
      當(dāng)前第1頁1 2 3 4 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1