本申请涉及互联网安全领域,特别是涉及一种检测web攻击的方法、装置、电子装置和存储介质。
背景技术:
基于流量的web攻击检测,传统的流量检测设备都是基于有限的样本库进行特征匹配,不是在某个局域网核心交换机或网络边界出口主干上,监测的主要目的是针对网络中利用虚拟机沙箱、特征库匹配、行为分析等技术的apt攻击,并联动终端edr和防火墙设备对被感染的主机或终端进行阻断,其中的特征匹配技术本质上跟本发明相近,但是在解决问题本质和系统使用群体上有着很大的不同。
对于基于http请求数据的攻击发现,现有主流技术是基于特征库匹配的方式,这种方式需要不断完善特征库,这将导致特征库将随着时间的推移越来越大,导致监测效率低下。针对系统的流量监测数据指通过将流量中的http数据进行协议还原和对应的编码解码,然而在面对http的加密通信时将面临无法解析的困境。
目前针对相关技术中,如何增强web攻击的检测效率,尚未提出有效的解决方案。
技术实现要素:
本申请实施例提供了一种检测web攻击的方法、装置、电子装置和存储介质,以至少解决相关技术中如何增强web攻击的检测效率的问题。
第一方面,本申请实施例提供了一种检测web攻击的方法,包括:
获取http请求数据,并对所述http请求数据进行解析;
基于攻击特征库和异常行为分析模型,对解析完成的所述http请求数据进行检测;
在检测结果显示所述http请求数据为所述web攻击的情况下,针对所述http请求数据进行溯源查询;
根据查询结果,生成所述web攻击溯源报告。
在其中一些实施例中,所述http请求数据包括:
源ip、源端口号、时间、目的ip、目的端口号、以及目的url。
在其中一些实施例中,所述基于攻击特征库和异常行为分析模型,对解析完成的所述http请求数据进行检测,包括:
将解析完成的所述http请求数据与所述攻击特征库中的特征进行一次匹配;
若一次匹配成功,则检测结果显示所述http请求数据为所述web攻击;
若一次匹配失败,则将所述http请求数据写入所述异常行为分析模型进行二次匹配;
若二次匹配成功,则检测结果显示所述http请求数据为所述web攻击,并将所述http请求数据记载至所述攻击特征库中。
在其中一些实施例中,所述根据查询结果,生成所述web攻击溯源报告,包括:
将所述http请求数据、产生所述http请求数据的时间、所述http请求数据的攻击者的详细信息以及所述http请求数据的攻击行为,统一进行记载,生成所述web攻击溯源报告。
在其中一些实施例中,在所述针对所述http请求数据进行溯源查询之后,所述方法还包括:
根据预设的三权分立的审计模型,对所述http请求数据中的每一条操作都进行审计,并产生审计记录。
在其中一些实施例中,在所述三权分立的审计模型中,分析人员具备攻击数据的溯源查询权限,审计人员具备数据以及溯源查询审计权限,管理人员具备数据以及溯源管理权限。
在其中一些实施例中,在所述根据提供的三权分立的审计模型,对所述http请求数据中的每一条操作都进行审计,并产生审计记录之后,所述方法还包括:
将所述审计记录发送至运营商宽带认证服务器,所述运营商宽带认证服务器基于时间和地址查询认证信息的数据访问系统接口。
第二方面,本申请实施例提供了一种检测web攻击的装置,包括:获取模块、判断模块、查询模块以及报告模块;
所述获取模块,用于获取http请求数据,并对所述http请求数据进行解析
所述判断模块,用于基于攻击特征库和异常行为分析模型,对解析完成的所述http请求数据进行检测;
所述查询模块,用于在检测结果显示所述http请求数据为所述web攻击的情况下,针对所述http请求数据进行溯源查询;
所述报告模块,用于根据查询结果,生成所述web攻击溯源报告。
第三方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的一种检测web攻击的方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的一种检测web攻击的方法。
相比于相关技术,本申请实施例提供的一种检测web攻击的方法、装置、电子装置和存储介质,通过获取http请求数据,并对所述http请求数据进行解析;基于攻击特征库和异常行为分析模型,对解析完成的所述http请求数据进行检测;在检测结果显示所述http请求数据为所述web攻击的情况下,针对所述http请求数据进行溯源查询;根据查询结果,生成所述web攻击溯源报告,解决了如何增强web攻击的检测效率的问题,提升了检测web攻击的效率和准确度。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种检测web攻击的方法的终端的硬件结构框图;
图2是根据本申请实施例的一种检测web攻击的方法的流程图;
图3是根据本申请实施例的另一种检测web攻击的方法的流程图;
图4是根据本申请实施例的一种检测web攻击的装置的结构框图;
图5是根据本申请实施例的一种计算机设备的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“a和/或b”可以表示:单独存在a,同时存在a和b,单独存在b这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图1是本发明实施例的一种检测web攻击的方法的终端的硬件结构框图。如图1所示,该终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)和用于存储数据的存储器104,可选地,上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种检测web攻击的方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(networkinterfacecontroller,简称为nic),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(radiofrequency,简称为rf)模块,其用于通过无线方式与互联网进行通讯。
本实施例提供了一种检测web攻击的方法,图2是根据本申请实施例的一种检测web攻击的方法的流程图,如图2所示,该流程包括如下步骤:
步骤s201,获取http请求数据,并对该http请求数据进行解析。
其中,http请求指基于tcp的http协议通信的完整过程中,web浏览器与web服务器之间将完成建立tcp连接、web浏览器向web服务器发送请求命令、web服务器应答、web服务器关闭tcp连接、浏览器接受到服务器响应的数据,其中http请求使用了多种请求方法。例如,浏览器通过http头、url、cookie和正文添加参数等方法向web服务器发起内容丰富的各种请求以满足各类http的交互要求。
具体地,可以将基于http协议的数据推送至网络安全流量审计系统,该网络安全流量审计系统的http流量数据解析模块负责将网络流量的原始数据进行时间戳标记,在保留一份原始副本的前提下对进行http协议还原并提取各类请求数据用于攻击行为分析。上述步骤s201,通过在http请求数据中完成了信息提取,字段匹配,为攻击行为的分析做出了必要的准备。其中,在步骤s201中,http请求数据具体包括:源ip、源端口号、时间、目的ip、目的端口号、以及目的url等字段信息。
步骤s202,基于攻击特征库和异常行为分析模型,对解析完成的该http请求数据进行检测。
其中,攻击特征库是结合经验及知识库开发积累的包含攻击特征的数据库;异常行为分析模型也称攻击数据分析引擎,是通过输入海量实践样本数据进行训练后得到的检测模型。
总体上,将上述解析后的http请求数据结合攻击特征库和异常行为分析模型,然后对解析的http请求数据进行攻击行为分析。
具体地,将解析后的http请求数据中的特征与攻击特征库中的特征进行匹配。若匹配成功,证明该http请求数据为攻击行为。若匹配失败,则将该http请求数据输入异常分析模型,进行检测。如果检测到该http请求数据为恶意攻击,证明匹配成功,能够确定该http请求数据为web攻击。如果未检测到该http请求数据为恶意攻击,则证明匹配失败,结束匹配行为。其中,匹配的方式可以基于白名单和黑名单两种模式进行。
进一步,若在攻击特征库中未匹配到攻击行为,而在异常行为分析模型中匹配到攻击行为,则将该http请求数据的攻击特征自动更新至攻击特征库,实现了定期对攻击特征库中数据的维护和管理。
更进一步说明,通过不断引入优化攻击特征库和异常行为分析模型的匹配算法和智能分析技术,可以有效提升检测web攻击的检测效率和准确度。
步骤s203,在检测结果显示该http请求数据为该web攻击的情况下,针对该http请求数据进行溯源查询。
具体地,在将该http请求数据经过攻击特征库和异常行为分析模型判断后,若发现该http请求数据为web攻击,则通过将http请求数据中的源端口号、时间、目标ip、目标端口号、目标url等信息同攻击数据建立关联并呈现给攻击分析人员,攻击分析人员可以通过运营商宽带认证查询接口对web攻击的信息进行查询。
步骤s204,根据查询结果,生成该web攻击溯源报告。
具体的,攻击分析人员将攻击数据内分析出的攻击行为数据以及发生的时间,攻击者溯源的详细信息、被攻击系统信息和获取的原始http请求数据等信息进行点选,通过攻击溯源分析报告生成系统,生成溯源报告。其中该溯源报告用于通报或作为对攻击者进行打击的依据。
通过上述步骤,获取到的网络流量数据,针对网络流量数据中的http请求数据进行解析,利用http协议的还原,得到该攻击行为发起的源ip地址、端口、时间戳、tcp窗口信息等作为攻击数据的源信息标识符的特征,然后基于攻击特征库和异常行为分析模型,对http请求数据攻击行为特征匹配,发现异常的http请求数据的源ip信息,有效溯源攻击发起者的人员及位置信息,解决了如何增强web攻击的检测效率的问题,提升了检测web攻击的效率和准确度。
本实施例还提供了一种检测web攻击的方法。图3是根据本申请实施例的另一种检测web攻击的方法的流程图,如图3所示,该流程包括如下步骤:
步骤s301,获取http请求数据,并对该http请求数据进行解析。
其中,http请求指基于tcp的http协议通信的完整过程中,web浏览器与web服务器之间将完成建立tcp连接、web浏览器向web服务器发送请求命令、web服务器应答、web服务器关闭tcp连接、浏览器接受到服务器响应的数据,其中http请求使用了多种请求方法。例如,浏览器通过http头、url、cookie和正文添加参数等方法向web服务器发起内容丰富的各种请求以满足各类http的交互要求。
具体地,将基于http协议的数据推送至网络安全流量审计系统,该网络安全流量审计系统的http流量数据解析模块负责将网络流量的原始数据进行时间戳标记,在保留一份原始副本的前提下对进行http协议还原并提取各类请求数据用于攻击行为分析。上述步骤s201,通过在http请求数据中完成了信息提取,字段匹配,为攻击行为的分析做出了必要的准备。其中,在步骤s301中,http请求数据具体包括:源ip、源端口号、时间、目的ip、目的端口号、以及目的url等字段信息。
步骤s302,将解析完成的该http请求数据与该攻击特征库中的特征进行一次匹配;若一次匹配成功,则检测结果显示该http请求数据为该web攻击。
其中,攻击特征库是结合经验及知识库开发积累的包含攻击特征的数据库。
步骤s303,若一次匹配失败,则将该http请求数据写入该异常行为分析模型进行二次匹配;若二次匹配成功,则检测结果显示该http请求数据为该web攻击,并将该http请求数据记载至该攻击特征库中。
其中,该异常行为分析模型也称攻击数据分析引擎,是通过输入海量实践样本数据进行训练后得到的检测模型。在二次匹配成功后,会在请求数据中取一些数据,例如目的端口号,记载至该攻击特征库中。
需要说明的是,通过不断引入优化攻击特征库和异常行为分析模型的匹配算法和智能分析技术,可以有效提升检测web攻击的检测效率和准确度。
步骤s304,在检测结果显示该http请求数据为该web攻击的情况下,针对该http请求数据进行溯源查询。
具体地,在将该http请求数据经过攻击特征库和异常行为分析模型判断后,若发现该http请求数据为web攻击,则通过将http请求数据中的源端口号、时间、目标ip、目标端口号、目标url等信息同攻击数据建立关联并呈现给攻击分析人员,攻击分析人员会通过运营商宽带认证查询接口对web攻击的信息进行查询。
步骤s305,根据查询结果,生成该web攻击溯源报告。
具体地,攻击分析人员将攻击数据内分析出的攻击行为数据以及发生的时间,攻击者溯源的详细信息、被攻击系统信息和获取的原始http请求数据等信息进行点选,通过攻击溯源分析报告生成系统,生成溯源报告。其中该溯源报告用于通报或作为对攻击者进行打击的依据。
传统的流量检测设备都是基于有限的样本库进行特征匹配,不是在某个局域网核心交换机或网络边界出口主干上,监测的主要目的是针对网络中利用虚拟机沙箱、特征库匹配、行为分析等技术的apt攻击,并联动终端edr和防火墙设备对被感染的主机或终端进行阻断,而本发明但是在解决问题本质和系统使用群体上有着很大的不同。通过上述步骤,获取到的网络流量数据,针对网络流量数据中的http请求数据进行解析,利用http协议的还原,得到该攻击行为发起的源ip地址、端口、时间戳、tcp窗口信息等作为攻击数据的源信息标识符的特征,然后基于攻击特征库和异常行为分析模型,将解析完成的该http请求数据与该攻击特征库中的特征进行一次匹配;若一次匹配成功,则检测结果显示该http请求数据为该web攻击,若第一次匹配失败,则将该http请求数据写入该异常行为分析模型进行第二次匹配;若第二次匹配成功,则确定为攻击行为,通过不断引入优化攻击特征库和异常行为分析模型的匹配算法和智能分析技术,可以有效提升检测web攻击的检测效率和准确度,然后针对定性的攻击源进行查询,发现异常的http请求数据的攻击源,有效溯源攻击发起者的人员及位置信息,在发现异常后基于攻击源可向其尝试攻击的目标web服务器拥有者发出威胁情报。解决了如何增强web攻击的检测效率的问题,提升了检测web攻击的效率和准确度。
在其中一些实施例中,根据查询结果,生成该web攻击溯源报告,包括:将该http请求数据、产生该http请求数据的时间、该http请求数据的攻击者的详细信息以及该http请求数据的攻击行为,统一进行记载,生成该web攻击溯源报告。
其中,通过生成web攻击的溯源报告,能够作为查询到攻击源,也可以依据溯源报告中的异常,基于攻击源向尝试攻击的目标web服务器拥有者发出威胁情报。
在其中一些实施例中,在该针对该http请求数据进行溯源查询之后,该方法还包括:
根据预设的三权分立的审计模型,对该http请求数据中的每一条操作都进行审计,并产生审计记录。
具体地,在发起查询操作的同时,系统会对攻击分析人员的每个查询操作进行审计,同时审计系统采用三权分立逻辑架构配合严格的系统使用和审查制度,保证攻击分析人员只能针对攻击数据进行查询。查询包括对查询数据、查询人员进行关联,审计人员是否具备查询数据的权限,即分析人员具备攻击数据的溯源查询权限,审计人员具备数据以及溯源查询审计权限,管理人员具备数据以及溯源管理权限。
在其中一些实施例中,在根据提供的三权分立的审计模型,对该http请求数据中的每一条操作都进行审计,并产生审计记录之后,该方法还包括:将该审计记录发送至运营商宽带认证服务器,该运营商宽带认证服务器基于时间和地址查询认证信息的数据访问系统接口。
其中,通过协调运营商数据接口可以实现对区域内从事web漏洞挖掘和渗透攻击人员的溯源定位和整体情况掌控。
本实施例还提供了一种检测web攻击的装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的一种检测web攻击的装置的结构框图,如图4所示,该装置包括:获取模块41、判断模块42、查询模块43以及报告模块44;
该获取模块41,用于取http请求数据,并对该http请求数据进行解析;
该判断模块42,用于基于攻击特征库和异常行为分析模型,对解析完成的该http请求数据进行检测;
该查询模块43,用于在检测结果显示该http请求数据为该web攻击的情况下,针对该http请求数据进行溯源查询;
该报告模块44,用于根据查询结果,生成该web攻击溯源报告。
在其中一些实施例中,该基于攻击特征库和异常行为分析模型,对解析完成的该http请求数据进行检测,包括:
将解析完成的该http请求数据与该攻击特征库中的特征进行一次匹配;
若一次匹配成功,则检测结果显示该http请求数据为该web攻击;
若一次匹配失败,则将该http请求数据写入该异常行为分析模型进行二次匹配;
若二次匹配成功,则检测结果显示该http请求数据为该web攻击,并将该http请求数据记载至该攻击特征库中。
在其中一些实施例中,该根据查询结果,生成该web攻击溯源报告,包括:
将该http请求数据、产生该http请求数据的时间、该http请求数据的攻击者的详细信息以及该http请求数据的攻击行为,统一进行记载,生成该web攻击溯源报告。
在其中一些实施例中,在该针对该http请求数据进行溯源查询之后,该方法还包括:
根据预设的三权分立的审计模型,对该http请求数据中的每一条操作都进行审计,并产生审计记录。
在其中一些实施例中,在该三权分立的审计模型中,分析人员具备攻击数据的溯源查询权限,审计人员具备数据以及溯源查询审计权限,管理人员具备数据以及溯源管理权限。
在其中一些实施例中,在该根据提供的三权分立的审计模型,对该http请求数据中的每一条操作都进行审计,并产生审计记录之后,该方法还包括:
将该审计记录发送至运营商宽带认证服务器,该运营商宽带认证服务器基于时间和地址查询认证信息的数据访问系统接口。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
步骤s1,获取http请求数据,并对该http请求数据进行解析;
步骤s2,基于攻击特征库和异常行为分析模型,对解析完成的该http请求数据进行检测;
步骤s3,在检测结果显示该http请求数据为该web攻击的情况下,针对该http请求数据进行溯源查询;
步骤s4,根据查询结果,生成该web攻击溯源报告。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,图5是根据本申请实施例的一种计算机设备的结构框图,如图5所示,其上存储有计算机程序,计算机程序被处理器执行时实现上述各实施例提供的一种检测web攻击的方法中的步骤,步骤如下:
步骤s1,获取http请求数据,并对该http请求数据进行解析;
步骤s2,基于攻击特征库和异常行为分析模型,对解析完成的该http请求数据进行检测;
步骤s3,在检测结果显示该http请求数据为该web攻击的情况下,针对该http请求数据进行溯源查询;
步骤s4,根据查询结果,生成该web攻击溯源报告。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机可读存储介质的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限,ram以多种形式可得,诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上该的实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
1.一种检测web攻击的方法,其特征在于,包括:
获取http请求数据,并对所述http请求数据进行解析;
基于攻击特征库和异常行为分析模型,对解析完成的所述http请求数据进行检测;
在检测结果显示所述http请求数据为所述web攻击的情况下,针对所述http请求数据进行溯源查询;
根据查询结果,生成所述web攻击溯源报告。
2.根据权利要求1所述的方法,其特征在于,所述http请求数据包括:
源ip、源端口号、时间、目的ip、目的端口号、以及目的url。
3.根据权利要求1所述的方法,其特征在于,所述基于攻击特征库和异常行为分析模型,对解析完成的所述http请求数据进行检测,包括:
将解析完成的所述http请求数据与所述攻击特征库中的特征进行一次匹配;
若一次匹配成功,则检测结果显示所述http请求数据为所述web攻击;
若一次匹配失败,则将所述http请求数据写入所述异常行为分析模型进行二次匹配;
若二次匹配成功,则检测结果显示所述http请求数据为所述web攻击,并将所述http请求数据记载至所述攻击特征库中。
4.根据权利要求1所述的方法,其特征在于,所述根据查询结果,生成所述web攻击溯源报告,包括:
将所述http请求数据、产生所述http请求数据的时间、所述http请求数据的攻击者的详细信息以及所述http请求数据的攻击行为,统一进行记载,生成所述web攻击溯源报告。
5.根据权利要求1所述的方法,其特征在于,在所述针对所述http请求数据进行溯源查询之后,所述方法还包括:
根据预设的三权分立的审计模型,对所述http请求数据中的每一条操作都进行审计,并产生审计记录。
6.根据权利要求5所述的方法,其特征在于,在所述三权分立的审计模型中,分析人员具备攻击数据的溯源查询权限,审计人员具备数据以及溯源查询审计权限,管理人员具备数据以及溯源管理权限。
7.根据权利要求5或6所述的方法,其特征在于,在所述根据提供的三权分立的审计模型,对所述http请求数据中的每一条操作都进行审计,并产生审计记录之后,所述方法还包括:
将所述审计记录发送至运营商宽带认证服务器,所述运营商宽带认证服务器基于时间和地址查询认证信息的数据访问系统接口。
8.一种检测web攻击的装置,其特征在于,包括:获取模块、判断模块、查询模块以及报告模块;
所述获取模块,用于获取http请求数据,并对所述http请求数据进行解析;
所述判断模块,用于基于攻击特征库和异常行为分析模型,对解析完成的所述http请求数据进行检测;
所述查询模块,用于在检测结果显示所述http请求数据为所述web攻击的情况下,针对所述http请求数据进行溯源查询;
所述报告模块,用于根据查询结果,生成所述web攻击溯源报告。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的一种检测web攻击的方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7中任一项所述的一种检测web攻击的方法。
技术总结