一种Web攻击的检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及一种网络安全领域,具体涉及一种Web攻击的检测方法及装置。
【背景技术】
[0002]当前,80%的常见应用都是Web应用,包括对安全性要求较高的金融类应用。Web已经成为标准的应用交互接口。Web应用在给人们带来方便的同时,也成为了黑客最为关注的对象。常见的针对Web应用的攻击包括SQL(Structured Query Language,结构化查询语言)注入攻击、XSS(Cross Site Scripting,跨站脚本攻击)、CSRF(Cross_site requestforgery,跨站请求伪造)以及各种可能导致Web服务器拒绝服务的Web攻击方式。
[0003]为了防御各种Web攻击,相关技术中的处理方式通常是在Web应用前面部署Web应用防火墙,它可在将Web业务访问请求提交到后台Web服务器之前对其进行安全检查,如果发现含有Web攻击企图,则阻断本次Web业务访问请求。但当前的Web应用防火墙多采用误用检测方式来检测各种Web攻击,误用检测方式是指通过与攻击特征库进行特征匹配,以确定攻击事件,其优点是误报率低,缺点是各种Web攻击特征容易被变形,从而可能躲避检测,造成漏报;此外,误用检测无法检测未知Web攻击。
[0004]异常检测方法则是一种不同于误用检测的攻击检测方法。它首先为被检测对象建立正常行为模型,然后,度量待检测对象当前行为与正常行为模型的偏差,如果明显偏离,则表示检测到异常行为,这种异常行为可能是一种攻击。异常检测方法优点是可能检测到各种未知攻击,但是,其缺点也很明显,就是误报率高,很多时候无法对报警结果进行合理解释。
[0005]Web应用防火墙只能检测到Web攻击企图,对于那些躲避了Web应用防火墙检测的Web攻击,则可能通过对Web日志进行安全分析检测出来。但当前基于Web日志分析的Web攻击检测方法多数仍然是采用基于已知攻击特征的误用检测方法,漏报率高。
【发明内容】
[0006]本发明要解决的技术问题是如何克服误用检测和异常检测的缺点,能够对Web应用防火墙无法发现的Web攻击进行事后的攻击检测和取证。
[0007]为了解决上述问题,采用如下技术方案。
[0008]一种Web攻击检测方法,包括:
[0009]SI 10、对于待处理的多条Web日志,按照所述Web日志中的统一资源定位符URL进行划分,得到不同URL对应的Web日志子集;
[0010]SI 20、对于每个URL所对应的Web日志子集分别进行以下处理:选取所述Web日志子集中部分Web日志,所选取的Web日志在所述Web日志子集中所占的比例小于或等于预定的比例上限;根据所选取的Web日志构建该URL对应的正常行为模型;
[0011]S130、对于每个URL所对应的Web日志子集,分别基于该URL对应的正常行为模型,对该URL所对应Web日志子集中未被选取的Web日志进行异常检测。
[0012]可选地,所述根据所选取的Web日志构建该URL对应的正常行为模型包括:
[0013]基于选取的Web日志中该URL相关的一个或多个用户输入参数的用户输入值,分别构建该URL相关的用户输入参数的正常数据格式,URL对应的正常行为模型为该URL相关的用户输入参数的正常数据格式的集合;
[0014]所述基于该URL对应的正常行为模型,对该URL所对应Web日志子集中未被选取的Web日志进行异常检测包括:
[0015]对于每条未被选取的Web日志,提取该URL相关的一个或多个用户输入参数所对应的用户输入值,分别检查每个用户输入值是否符合该URL对应的正常行为模型中该用户输入值对应的用户输入参数的正常数据格式,如果不符合,则判定该用户输入值为异常;当一条Web日志中,判定为异常的用户输入值的个数或比例大于或等于预定门限时,将该条Web日志确定为异常的Web日志。
[0016]可选地,所述URL相关的一个或多个用户输入参数包括以下任一项或任几项:该URL相关的一个或多个Cookie,以及附加在该URL后面的一个或多个用户输入参数。
[0017]可选地,所述判定用户输入值异常后还包括:
[0018]对判定为异常的用户输入值,将该用户输入值与Web攻击特征库进行匹配,识别出已知的Web攻击。
[0019]可选地,所述根据所选取的Web日志构建该URL对应的正常行为模型包括:
[0020]对所选取的Web日志进行基于Web攻击特征库的误用检测,将包含Web攻击特征的Web日志筛除,基于剩下的Web日志构建该URL对应的正常行为模型。
[0021 ] 一种Web攻击检测装置,包括:
[0022]日志分类模块,用于对于待处理的多条Web日志,按照所述Web日志中的统一资源定位符URL进行划分,得到不同URL对应的Web日志子集;
[0023]正常行为模型学习模块,用于对于每个URL所对应的Web日志子集分别进行以下处理:选取所述Web日志子集中部分Web日志,所选取的Web日志在所述Web日志子集中所占的比例小于或等于预定的比例上限;根据所选取的Web日志构建该URL对应的正常行为模型;
[0024]异常检测模块,用于对于每个URL所对应的Web日志子集,分别基于该URL对应的正常行为模型,对该URL所对应Web日志子集中未被选取的Web日志进行异常检测。
[0025]可选地,所述正常行为模型学习模块根据所选取的Web日志构建该URL对应的正常行为模型包括:
[0026]所述正常行为模型学习模块基于选取的Web日志中该URL相关的一个或多个用户输入参数的用户输入值,分别构建该URL相关的用户输入参数的正常数据格式,URL对应的正常行为模型为该URL相关的用户输入参数的正常数据格式的集合;
[0027]所述异常检测模块基于该URL对应的正常行为模型,对该URL所对应Web日志子集中未被选取的Web日志进行异常检测包括:
[0028]所述异常检测模块对于每条未被选取的Web日志,提取该URL相关的一个或多个用户输入参数所对应的用户输入值,分别检查每个用户输入值是否符合该URL对应的正常行为模型中该用户输入值对应的用户输入参数的正常数据格式,如果不符合,则判定该用户输入值为异常;当一条Web日志中,判定为异常的用户输入值的个数或比例大于或等于预定门限时,将该条Web日志确定为异常的Web日志。
[0029]可选地,所述URL相关的一个或多个用户输入参数包括以下任一项或任几项:该URL相关的一个或多个Cookie,以及附加在该URL后面的一个或多个用户输入参数。
[0030]可选地,所述的装置还包括:
[0031]误用检测模块,用于对判定为异常的用户输入值,将该用户输入值与Web攻击特征库进行匹配,识别出已知的Web攻击。
[0032]可选地,所述正常行为模型学习模块根据所选取的Web日志构建该URL对应的正常行为模型包括:
[0033]所述正常行为模型学习模块指示所述误用检测模块对所选取的Web日志进行基于Web攻击特征库的误用检测,将包含Web攻击特征的Web日志筛除,基于剩下的Web日志构建该URL对应的正常行为模型。
[0034]本发明的技术方案的优势是:充分结合了误用检测和异常检测方法的优点,能够检测到各种已知和未知的Web攻击,可以在信息安全风险评估等事后分析Web应用系统安全的时候,对前端Web应用防火墙无法检测到的Web攻击进行事后的攻击检测和取证,并可能发现各种未知Web攻击,从而能够作为Web应用防火墙的一种有利补充,保障Web应用的安全。
[0035]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
【附图说明】
[0036]附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
[0037]图1为本发明实施例一的Web攻击的检测方法的流程示意图;
[0038]图2为本发明实施例一的Web攻击的检测装置的示意图。
【具体实施方式】
[0039]下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
[0040]需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0041 ] 实施例一、一种Web攻击检测方法,如图1所示,包括步骤SI 10?S130:
[0042]SI 10、对于待处理的多条Web日志,按照所述Web日志中的URL (Uni form ResourceLocator,统一资源定位符)进行划分,得到不同URL对应的Web日志子集。
[0043]本步骤可以包括:对于待处理的多条Web日志,首先分别提取每条Web日志中的URL,然后按照URL对所述待处理的多条Web日志进行划