CN103581180B - 根据攻击日志调整命中特征的方法和装置 - Google Patents
根据攻击日志调整命中特征的方法和装置 Download PDFInfo
- Publication number
- CN103581180B CN103581180B CN201310516168.3A CN201310516168A CN103581180B CN 103581180 B CN103581180 B CN 103581180B CN 201310516168 A CN201310516168 A CN 201310516168A CN 103581180 B CN103581180 B CN 103581180B
- Authority
- CN
- China
- Prior art keywords
- address
- target network
- network address
- attack
- attack logs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种根据攻击日志调整命中特征的方法和装置,终端攻击被保护的web服务器时,终端的IP地址会在一定时间范围内命中多条命中特征,且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址且与该命中特征匹配时,不进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则,在不降低防御效果的前提下减少误报。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种根据攻击日志调整命中特征的方法和装置。
背景技术
基于Web网站攻击的防御,可以采用web应用防火墙(WAF)进行防御。Web应用防火墙都内置了一个规则库,提取了各种攻击web网站常见的攻击特征,当报文通过web防火墙时,检测引擎通过和预先定义的特征做对比,检测提交到web服务器的报文是否存在攻击。内置规则库会根据规则的复杂、严重程度,每条规则设定一个缺省的动作。如果匹配某个规则,WAF防火墙会根据规则的缺省动作决定如何进一步处理报文。
由于网络报文的复杂性和多样性,用户网络实现环境各不相同,规则误报不可避免,不同的规则在不同的用户处使用,也会触发不同的效果,有的可能是真正攻击,有的可能就是误报。比如针对一个目录穿越攻击,某个规则是识别目录穿越攻击,规则是URL中存在“../”等关键字,一般情况下,如果URL中存在这类关键字,都是黑客尝试使用目录穿越攻击。但是在实际情况中,有的网站中在参数中包含“../”参数来实现不同路径间文件访问:在这种情况下,该规则针对该用户网站就会触发误报。
正因为用户web网站实现差异很大,规则的配置也很难有完全通用统一的标准,只能根据具体网站进行调整,常规的做法一般为将WAF设备放到实际环境中,测试一段时间如1到2周,然后人工分析攻击日志,找出哪些规则在用户网站环境下是误报,然后人工调整规则状态,避免影响用户的正常使用。
这种方法,缺点非常明显:人工分析日志,效率很低,一方面需要投入较多人力进行日志分析,另外一方面对日志分析人员也有一定技能要求,需要对攻击比较熟悉,才能给出正确分析结果,所以对人力和技能要求都比较高,整体投入较大。特征的调整无法做到精细化,如果出现误报,一般就是打开或者关闭该规则,某个规则可能只是针对某个URL和IP地址不适用,但是其它环境还是适用的,直接关闭某个规则可能会降低防御效果。
发明内容
本发明的主要目的是提供一种根据攻击日志调整命中特征的方法和装置,旨在不降低防御效果的前提下减少误报。
本发明提出一种根据攻击日志调整命中特征的方法,包括:
获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
若提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址,其中,在接收到的报文与命中特征匹配,且接收到的报文的IP地址以及对应的目标网址与匹配的命中特征中的排除IP地址以及目标网址不同时,生成攻击日志。
优选地,提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量的步骤之后,还包括:
若确定的攻击日志的数量小于第一预设阈值大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,在所述命中特征中同时排除所述IP地址以及对应的目标网址。
优选地,该方法还包括:
获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;
若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;
若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
优选地,所述确定获取到的攻击日志中不同IP地址的数量的步骤之后,该方法还包括:
若确定的不同IP地址的数量小于第三预设阈值大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。
优选地,所述确定获取到的攻击日志的数量的步骤之后该方法还包括:
若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,且所述IP地址为内网地址,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
本发明还提出一种根据攻击日志调整命中特征的装置,包括:
获取模块,用于获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
确定模块,若提取到的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
控制模块,若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址,其中,在接收到的报文与命中特征匹配,且接收到的报文的IP地址以及对应的目标网址与匹配的命中特征中的排除IP地址以及目标网址不同时,生成攻击日志。
优选地,所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
优选地,所述获取模块还用于获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;所述确定模块还用于若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;所述控制模块还用于若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
优选地,所述控制模块还用于若确定的不同IP地址的数量小于第三预设阈值且大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。
优选地,所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,且所述IP地址为内网地址,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
本发明提出的根据攻击日志调整命中特征的方法和装置,终端在攻击被保护的web服务器时,该终端的IP地址会在一定时间范围内命中多条命中特征,并且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址并且与该命中特征匹配时,不会进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则在不降低防御效果的前提下减少误报。
附图说明
图1为本发明根据攻击日志调整命中特征的方法第一实施例的流程示意图;
图2为本发明根据攻击日志调整命中特征的方法第二实施例的流程示意图;
图3为本发明根据攻击日志调整命中特征的方法第三实施例的流程示意图;
图4为本发明根据攻击日志调整命中特征的方法第四实施例的流程示意图;
图5为本发明根据攻击日志调整命中特征的方法第五实施例的流程示意图;
图6为本发明根据攻击日志调整命中特征的装置较佳实施例的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面结合附图及具体实施例就本发明的技术方案做进一步的说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明根据攻击日志调整命中特征的方法第一实施例的流程示意图。
本实施例提出一种根据攻击日志调整命中特征的方法,包括:
步骤S10,获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
攻击日志中包括IP地址、命中特征、目标网址、攻击时间以及攻击负载等信息,在本实施例中IP地址指源IP地址,可根据攻击日志中的攻击时间和IP地址获取第一时间间隔内同一IP地址的攻击日志,该第一时间间隔可由用户进行设置,如1天。在本实施例中,指web应用防火墙为识别各种攻击,设置一个规则库,保存了各种常见的攻击代码特征,该攻击代码特征即为命中特征,若web服务器接收到的报文中的代码与预存的攻击代码特征匹配,则认为该报文为攻击报文,根据预存的攻击代码特征与攻击报文处理方案的映射关系对攻击报文进行处理,如拦截。
步骤S20,若提取到的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
步骤S30,判断确定的攻击日志的数量是否大于或等于第一预设阈值;
步骤S40,若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
黑客在发起攻击时,都有一定的步骤,一般的步骤是收集信息,然后尝试各种不同的攻击方式如注入结构化查询语言以及或插入恶意html代码,则攻击终端的IP地址则可在一定的时间范围内与多个命中特征匹配,则在第一时间间隔内每个命中特征所对应的攻击日志较少。若第一时间间隔内获取到的同一IP地址的各个攻击日志中的目标网址相同且命中特征相同,并且同一IP地址的攻击日志的数量大于第一预设阈值,则认为该IP地址对应的攻击日志中的目标网址时发送的报文为误报,在命中特征中排除所述IP地址以及对应的目标网址,则在下一次web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,并判断该解析后的报文中的目标网址以及终端的IP地址是否与命中特征中排除的目标网址和IP地址相同,若相同则不产生攻击日志且根据解析后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且对该报文进行拦截或其它处理。
本实施例提出的根据攻击日志调整命中特征的方法,终端在攻击被保护的web服务器时,该终端的IP地址会在一定时间范围内命中多条命中特征,并且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址并且与该命中特征匹配时,不会进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则在不降低防御效果的前提下减少误报。
参照图2,图2为本发明根据攻击日志调整命中特征的方法第二实施例的流程示意图。
基于第一实施例提出本发明根据攻击日志调整命中特征的方法第二实施例,在本实施例中步骤S30之后还包括:
步骤S50,若确定的攻击日志的数量小于第一预设阈值,则判断确定的攻击日志的数量是否大于或等于第二预设阈值,其中所述第二预设阈值小于所述第一预设阀值;
步骤S60,若确定的攻击日志的数量大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍,在所述命中特征中同时排除所述IP地址以及对应的目标网址。
若确定的攻击日志的数量小于第一预设阈值则继续判断确定的攻击日志的数量是否大于或等于第二预设阈值,若确定的攻击日志的数量大于或等于第二预设阈值,则开始计时直至连续多个第一时间间隔内确定的攻击日志的数量均大于或等于第二预设阀值,其中持续时间超出第一时间间隔的预设整数倍,例如第一时间间隔为1天、第一预设阈值为10个预设整数倍为3倍即需要持续的时间为3天,则当持续3天每天同一IP地址所对应的各个攻击日志中目标网址相同且命中特征相同,且攻击日志的数量大于或等于10时,则认为该IP地址访问攻击日志中目标网址时所生成的攻击日志为误报,在命中特征中排除该IP地址以及对应的目标网址,即在下一次web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,则判断解析后的报文中的访问网址以及终端的IP地址是否与命中特征中排除的访问网址和IP地址相同,若相同则不产生攻击日志且根据该解析后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。若确定的攻击日志的数量小于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍,不做任何处理。
参照图3,图3为本发明根据攻击日志调整命中特征的方法第三实施例的流程示意图。
基于第一实施例或第二实施例提出本发明根据攻击日志调整命中特征的方法第三实施例,在本实施例中该方法还包括:
步骤S70,获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;
步骤S80,若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;
步骤S90,判断确定的不同IP地址的数量是否大于或等于第三预设阈值;
步骤S100,若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
web攻击和病毒不同,病毒可自行传播定时发作,而基于web网站的攻击更多是需要人为控制的攻击行为,一个web网站每天不会受到多个IP地址发起的攻击,所以真正的web攻击,攻击的IP地址成收敛状态。故,若同一命中特征所对应的攻击日志目标网址相同,则确定攻击日志中不同IP地址的数量,若该不同IP地址的数量大于第三预设阀值时,则在所述命中特征中排除获取到的攻击日志中的目标网址,即web服务器在接收到终端发送的报文时,对接收到的报文进行解码,将解码后的报文与预存的命中特征进行比对,若解码后的报文与命中特征匹配,则确定该命中特征中是否排除目标网址,若该命中特征中排除目标网址,则判断解码后的报文中的目标网址是否与命中特征中排除的网址相同,若相同根据该解码后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
参照图4,图4为本发明根据攻击日志调整命中特征的方法第四实施例的流程示意图。
基于第三实施例提出本发明根据攻击日志调整命中特征的方法第四实施例,在本实施例中步骤S90之后还包括:
步骤S110,若确定的不同IP地址的数量小于第三预设阈值,则判断确定的不同IP地址的数量是否大于或等于第四预设阈值,其中所述第四阈值小于第三阈值;
步骤S120,若确定的不同IP地址的数量大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。
若获取到的同一命中特征所对应的攻击日志中的目标网址相同,且多个攻击日志终端的不同IP地址的数量小于第三预设阈值,则继续判断多个攻击日志中的不同IP地址的数量是否大于或等于第四预设阈值,若确定的多个攻击日志中的不同IP地址的数量大于或等于第四预设阈值,则开始计时直至预设的持续时长确定的多个攻击日志中的不同IP地址的数量均大于或等于第四预设阀值,其中持续时长超出第二时间间隔的预设整数倍,例如第一时间间隔为1天、第四预设阈值为10个预设整数倍为3倍即需要持续的时间为3天,则当持续3天每天同一命中特征所对应的攻击日志中的目标网址相同,且多个攻击日志终端的不同IP地址的数量大于或等于10,则认为该攻击日志中针对该目标网址的访问所生成的攻击日志为误报,在命中特征中排除该目标网址,即web服务器在接收到终端发送的报文时,对接收到的报文进行解码,将解码后的报文与预存的命中特征进行比对,若解码后的报文与命中特征匹配,则确定该命中特征中是否排除目标网址,若该命中特征中排除目标网址,则判断解码后的报文中的目标网址是否与命中特征中排除的网址相同,若相同根据该报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。若确定的不同IP地址的数量小于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍,不做任何处理。
参照图5,图5为本发明根据攻击日志调整命中特征的方法第五实施例的流程示意图。
基于上述任一实施例提出本发明根据攻击日志调整命中特征的方法第五实施例,在本实施例中,步骤S30之后还包括:
步骤S130,若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,且所述IP地址为内网地址,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
基于Web网站的攻击具有方向性,一般均为外网向内网发起攻击,即使是内部终端攻击内部Web服务器,但内部网络很容易发现攻击源。故基于Web网站的攻击,攻击发起方一般为外网的终端。在针对同一IP地址的攻击日志中,若多个攻击日志中的目标网址相同且命中特征相同且确定的攻击日志的数量小于第一预设阈值,则继续判断确定的攻击日志的数量是否大于或等于第五预设阈值,在本实施例中,第五预设阀值可由用户根据网络状况以及运行环境等参数进行设置,该第五预设阀值可与第二实施例中的第二预设阀值相同也可不同,若确定的攻击日志的数量大于或等于第五预设阈值,则判断该IP地址是否为内网IP地址,在判断IP地址是否为内网地址时,可在web服务器中预存内网地址,将该IP地址与预存的内网地址进行匹配,若该IP地址与预存的内网地址匹配,则在命中特征中排除该IP地址以及对应的目标网址,即在web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,判断解析后的报文中的访问网址以及终端的IP地址是否与命中特征中排除的访问网址和IP地址相同,若相同则不产生攻击日志且根据该解码后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
参照图6,图6为本发明根据攻击日志调整命中特征的装置较佳实施例的结构示意图。
本实施例提出一种根据攻击日志调整命中特征的装置,包括:
获取模块10,用于获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
确定模块20,若提取到的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
控制模块30,若获取到的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
攻击日志中包括IP地址、命中特征、目标网址、攻击时间以及攻击负载等信息,在本实施例中IP地址指源IP地址,可根据攻击日志中的攻击时间和IP地址获取第一时间间隔内同一IP地址的攻击日志,该第一时间间隔可由用户进行设置,如1天。在本实施例中,指web应用防火墙为识别各种攻击,设置一个规则库,保存了各种常见的攻击代码特征,该攻击代码特征即为命中特征,若web服务器接收到的报文中的代码与预存的攻击代码特征匹配,则认为该报文为攻击报文,根据预存的攻击代码特征与攻击报文处理方案的映射关系对攻击报文进行处理,如拦截。
黑客在发起攻击时,都有一定的步骤,一般的步骤是收集信息,然后尝试各种不同的攻击方式如注入结构化查询语言以及或插入恶意html代码,则攻击终端的IP地址则可在一定的时间范围内与多个命中特征匹配,则在第一时间间隔内每个命中特征所对应的攻击日志较少。若第一时间间隔内获取到的同一IP地址的各个攻击日志中的目标网址相同且命中特征相同,并且同一IP地址的攻击日志的数量大于第一预设阈值,则认为该IP地址对应的攻击日志中的目标网址时发送的报文为误报,在命中特征中排除所述IP地址以及对应的目标网址,则在下一次web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,并判断该解析后的报文中的目标网址以及终端的IP地址是否与命中特征中排除的目标网址和IP地址相同,若相同则不产生攻击日志且根据解析后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且对该报文进行拦截或其它处理。
本实施例提出的根据攻击日志调整命中特征的装置,终端在攻击被保护的web服务器时,该终端的IP地址会在一定时间范围内命中多条命中特征,并且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址并且与该命中特征匹配时,不会进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则在不降低防御效果的前提下减少误报。
进一步地,所述控制模块30还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
若确定的攻击日志的数量小于第一预设阈值则继续判断确定的攻击日志的数量是否大于或等于第二预设阈值,若确定的攻击日志的数量大于或等于第二预设阈值,则开始计时直至连续多个第一时间间隔内确定的攻击日志的数量均大于或等于第二预设阀值,其中持续时间超出第一时间间隔的预设整数倍,例如第一时间间隔为1天、第一预设阈值为10个预设整数倍为3倍即需要持续的时间为3天,则当持续3天每天同一IP地址所对应的各个攻击日志中目标网址相同且命中特征相同,且攻击日志的数量大于或等于10时,则认为该IP地址访问攻击日志中目标网址时所生成的攻击日志为误报,在命中特征中排除该IP地址以及对应的目标网址,即在下一次web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,则判断解析后的报文中的访问网址以及终端的IP地址是否与命中特征中排除的访问网址和IP地址相同,若相同则不产生攻击日志且根据该解析后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
进一步地,所述获取模块10还用于获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;所述确定模块20还用于若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;所述控制模块30还用于若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
web攻击和病毒不同,病毒可自行传播定时发作,而基于web网站的攻击更多是需要人为控制的攻击行为,一个web网站每天不会受到多个IP地址发起的攻击,所以真正的web攻击,攻击的IP地址成收敛状态。故,若同一命中特征所对应的攻击日志目标网址相同,则确定攻击日志中不同IP地址的数量,若该不同IP地址的数量大于第三预设阀值时,则在所述命中特征中排除获取到的攻击日志中的目标网址,即web服务器在接收到终端发送的报文时,对接收到的报文进行解码,将解码后的报文与预存的命中特征进行比对,若解码后的报文与命中特征匹配,则确定该命中特征中是否排除目标网址,若该命中特征中排除目标网址,则判断解码后的报文中的目标网址是否与命中特征中排除的网址相同,若相同根据该解码后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
进一步地,所述控制模块30还用于若确定的不同IP地址的数量小于第三预设阈值且大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。
若获取到的同一命中特征所对应的攻击日志中的目标网址相同,且多个攻击日志终端的不同IP地址的数量小于第三预设阈值,则继续判断多个攻击日志中的不同IP地址的数量是否大于或等于第四预设阈值,若确定的多个攻击日志中的不同IP地址的数量大于或等于第四预设阈值,则开始计时直至预设的持续时长确定的多个攻击日志中的不同IP地址的数量均大于或等于第四预设阀值,其中持续时长超出第二时间间隔的预设整数倍,例如第一时间间隔为1天、第四预设阈值为10个预设整数倍为3倍即需要持续的时间为3天,则当持续3天每天同一命中特征所对应的攻击日志中的目标网址相同,且多个攻击日志终端的不同IP地址的数量大于或等于10,则认为该攻击日志中针对该目标网址的访问所生成的攻击日志为误报,在命中特征中排除该目标网址,即web服务器在接收到终端发送的报文时,对接收到的报文进行解码,将解码后的报文与预存的命中特征进行比对,若解码后的报文与命中特征匹配,则确定该命中特征中是否排除目标网址,若该命中特征中排除目标网址,则判断解码后的报文中的目标网址是否与命中特征中排除的网址相同,若相同根据该报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
进一步地,所述控制模块30还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
基于Web网站的攻击具有方向性,一般均为外网向内网发起攻击,即使是内部终端攻击内部Web服务器,但内部网络很容易发现攻击源。故基于Web网站的攻击,攻击发起方一般为外网的终端。在针对同一IP地址的攻击日志中,若多个攻击日志中的目标网址相同且命中特征相同且确定的攻击日志的数量小于第一预设阈值,则继续判断确定的攻击日志的数量是否大于或等于第五预设阈值,在本实施例中,第五预设阀值可由用户根据网络状况以及运行环境等参数进行设置,该第五预设阀值可与第二实施例中的第二预设阀值相同也可不同,若确定的攻击日志的数量是否大于或等于第五预设阈值,则判断该IP地址是否为内网IP地址,在判断IP地址是否为内网地址时,可在web服务器中预存内网地址,将该IP地址与预存的内网地址进行匹配,若该IP地址与预存的内网地址匹配,则在命中特征中排除该IP地址以及对应的目标网址,即在web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,判断解析后的报文中的访问网址以及终端的IP地址是否与命中特征中排除的访问网址和IP地址相同,若相同则不产生攻击日志且根据该解码后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种根据攻击日志调整命中特征的方法,其特征在于,包括:
获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
若提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址,其中,在接收到的报文与命中特征匹配,且接收到的报文的IP地址以及对应的目标网址与匹配的命中特征中的排除IP地址以及目标网址不同时,生成攻击日志。
2.根据权利要求1所述的方法,其特征在于,若提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量的步骤之后,还包括:
若确定的攻击日志的数量小于第一预设阈值大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,在所述命中特征中同时排除所述IP地址以及对应的目标网址。
3.根据权利要求1所述的方法,其特征在于,该方法还包括:
获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;
若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;
若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
4.根据权利要求3所述的方法,其特征在于,所述确定获取到的攻击日志中不同IP地址的数量的步骤之后,该方法还包括:
若确定的不同IP地址的数量小于第三预设阈值大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。
5.根据权利要求1所述的方法,其特征在于,所述确定获取到的攻击日志的数量的步骤之后该方法还包括:
若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,且所述IP地址为内网地址,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
6.一种根据攻击日志调整命中特征的装置,其特征在于,包括:
获取模块,用于获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
确定模块,若提取到的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
控制模块,若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址,其中,在接收到的报文与命中特征匹配,且接收到的报文的IP地址以及对应的目标网址与匹配的命中特征中的排除IP地址以及目标网址不同时,生成攻击日志。
7.根据权利要求6所述的装置,其特征在于,所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
8.根据权利要求6所述的装置,其特征在于,所述获取模块还用于获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;所述确定模块还用于若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;所述控制模块还用于若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
9.根据权利要求8所述的装置,其特征在于,所述控制模块还用于若确定的不同IP地址的数量小于第三预设阈值且大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。
10.根据权利要求6所述的装置,其特征在于,所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,且所述IP地址为内网地址,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310516168.3A CN103581180B (zh) | 2013-10-28 | 2013-10-28 | 根据攻击日志调整命中特征的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310516168.3A CN103581180B (zh) | 2013-10-28 | 2013-10-28 | 根据攻击日志调整命中特征的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103581180A CN103581180A (zh) | 2014-02-12 |
| CN103581180B true CN103581180B (zh) | 2017-01-11 |
Family
ID=50052110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310516168.3A Active CN103581180B (zh) | 2013-10-28 | 2013-10-28 | 根据攻击日志调整命中特征的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103581180B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3099024B1 (en) * | 2014-03-19 | 2019-01-02 | Nippon Telegraph and Telephone Corporation | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program |
| CN103916399B (zh) * | 2014-04-15 | 2018-09-25 | 浪潮电子信息产业股份有限公司 | 一种计算机信息安全防御系统 |
| CN104618328A (zh) * | 2014-12-29 | 2015-05-13 | 厦门欣欣信息有限公司 | 网络安全防护方法及装置 |
| CN107454052A (zh) * | 2016-05-31 | 2017-12-08 | 华为技术有限公司 | 网络攻击检测方法以及攻击检测装置 |
| CN108632205B (zh) * | 2017-03-17 | 2019-04-05 | 北京数安鑫云信息技术有限公司 | 一种针对多种攻击的智能拦截方法和系统 |
| CN107454096B (zh) * | 2017-08-24 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 一种基于日志回放的误报消除方法 |
| CN109413021B (zh) * | 2018-04-28 | 2021-04-09 | 武汉思普崚技术有限公司 | 一种ips误报的检测方法和装置 |
| CN110263070B (zh) * | 2019-05-30 | 2021-10-08 | 北京创鑫旅程网络技术有限公司 | 事件上报方法及装置 |
| CN113411288A (zh) * | 2020-03-17 | 2021-09-17 | 中国电信股份有限公司 | 设备安全的检测方法、装置和存储介质 |
| CN112003839B (zh) * | 2020-08-07 | 2022-08-23 | 杭州安恒信息安全技术有限公司 | 设备反身份识别方法、装置、电子装置和存储介质 |
| CN112202821B (zh) * | 2020-12-04 | 2021-03-30 | 北京优炫软件股份有限公司 | 一种cc攻击的识别防御系统及方法 |
| CN115225368A (zh) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| US7308714B2 (en) * | 2001-09-27 | 2007-12-11 | International Business Machines Corporation | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack |
| CN101399658A (zh) * | 2007-09-24 | 2009-04-01 | 北京启明星辰信息技术有限公司 | 一种安全日志分析方法及系统 |
-
2013
- 2013-10-28 CN CN201310516168.3A patent/CN103581180B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7308714B2 (en) * | 2001-09-27 | 2007-12-11 | International Business Machines Corporation | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack |
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN101399658A (zh) * | 2007-09-24 | 2009-04-01 | 北京启明星辰信息技术有限公司 | 一种安全日志分析方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103581180A (zh) | 2014-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103581180B (zh) | 根据攻击日志调整命中特征的方法和装置 | |
| US20130312081A1 (en) | Malicious code blocking system | |
| Wurzinger et al. | Automatically generating models for botnet detection | |
| Nikiforakis et al. | SessionShield: Lightweight protection against session hijacking | |
| CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
| CN103929440B (zh) | 基于web服务器缓存匹配的网页防篡改装置及其方法 | |
| CN103916389B (zh) | 防御HttpFlood攻击的方法及防火墙 | |
| CN107645478B (zh) | 网络攻击防御系统、方法及装置 | |
| CN103065089B (zh) | 网页木马的检测方法和装置 | |
| CN104994091B (zh) | 异常流量的检测方法及装置、防御Web攻击的方法和装置 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN106357696A (zh) | 一种sql注入攻击检测方法及系统 | |
| CN104378255B (zh) | web恶意用户的检测方法及装置 | |
| CN104301302A (zh) | 越权攻击检测方法及装置 | |
| CN104967628B (zh) | 一种保护web应用安全的诱骗方法 | |
| CN103401843B (zh) | 云安全模拟检测方法及系统 | |
| Ghafir et al. | DNS traffic analysis for malicious domains detection | |
| CN106713318B (zh) | 一种web站点安全防护方法及系统 | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| CN105491063A (zh) | 防御网络入侵的方法及装置 | |
| CN107733699A (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN103281300B (zh) | 远程文件包含漏洞的识别方法及装置 | |
| CN105072109B (zh) | 防止跨站脚本攻击的方法及系统 | |
| Oo et al. | Enhancement of preventing application layer based on DDoS attacks by using hidden semi-Markov model | |
| Gao et al. | A cyber deception defense method based on signal game to deal with network intrusion |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200616 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: 518000 Nanshan Science and Technology Pioneering service center, No. 1 Qilin Road, Guangdong, Shenzhen 418, 419, Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |
|
| TR01 | Transfer of patent right |