CN107172033B - 一种waf误判识别方法以及装置 - Google Patents
一种waf误判识别方法以及装置 Download PDFInfo
- Publication number
- CN107172033B CN107172033B CN201710325990.XA CN201710325990A CN107172033B CN 107172033 B CN107172033 B CN 107172033B CN 201710325990 A CN201710325990 A CN 201710325990A CN 107172033 B CN107172033 B CN 107172033B
- Authority
- CN
- China
- Prior art keywords
- trusted
- website
- user
- determining
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种WAF误判识别方法以及装置,用于解决攻击误判需要手动识别的工作量大的问题。本发明实施例方法包括:当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计;若数量满足预设条件,则确定误判产生第一类型攻击。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种WAF误判识别方法以及装置。
背景技术
攻击误判是Web应用防护系统WAF安全产品遇到的常见问题。在实际应用中,由于网站开发人员的编码习惯、安全设备自身特征库场景适应性等因素,容易导致正常用户的网站访问被识别为黑客发动的网站攻击。
当前WAF识别网站攻击的方式,主要是基于黑名单机制-匹配特征库,这种基于正则非黑即白的方式,在不同的场景下,匹配结果和预期会有差别。例如:网站A识别来自客户端的请求字符串selectxxx and 1=1为SQL注入攻击;网站B网站可能因为前端开发人员编码风格原因,将SQL查询语句写在js内容中,导致用户请求中带有selectxxx and 1=1这类攻击串,这种预期正常的访问就会识别为攻击;另外,由于基于规则匹配自身的局限性,一些特征较弱规则也同样存在上述问题。
然而,攻击误判造成的影响是非常严重的,例如,导致正常网站访问业务被中断。目前,解决攻击误判技术比较常用的方法,主要是通过安全运维人员手动分析日志,发现误判后手动排除,但这种方法工作量大非常大。
发明内容
本发明实施例提供了一种WAF误判识别方法以及装置,用于解决攻击误判需要手动识别的工作量大的问题。
有鉴于此,本发明第一方面提供一种WAF误判识别方法,可包括:
当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计;
若数量满足预设条件,则确定误判产生第一类型攻击。
进一步的,在当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计之前,该方法还包括:
确定可信用户;
确定可信用户包括:
确定第一网站在第一地域内的第一访问用户;
统计第一访问用户在第一时间内的网站访问行为;
按照预设方法对网站访问行为进行评分,得到评分结果;
若评分结果高于预设可信阈值,则确定第一访问用户为可信用户。
进一步的,按照预设方法对网站访问行为进行评分包括:
确定网站访问行为的行为维度;
按照预设维度权重对行为维度进行加权计算,得到评分结果。
进一步的,行为维度包括请求内容和请求频率。
进一步的,第一地域为可信地域,第一时间为可信时间。
进一步的,在确定第一网站在第一地域内的第一访问用户之前,该方法还包括:
确定可信地域;
确定可信地域包括:
获取第一网站的第二访问用户的源IP;
对源IP进行地域分类,得到多个源地域;
将多个源地域的第一访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第一预设数量的源地域为可信地域。
进一步的,在统计第一访问用户在第一时间内的网站访问行为之前,该方法还包括:
确定可信时间;
确定可信时间包括:
按照第一预设时间段统计第一网站的第三访问用户的第二访问量;
将第一预设时间段的第二访问量按照由高到低的原则排序,并从第一预设时间段中确定排序在前的第二预设数量的时间段为可信时间。
进一步的,在当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计之前,该方法还包括:
获取第一网站的第一正常用户的源IP;
对源IP进行地域分类,得到多个源地域;
将多个源地域的第三访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第三预设数量的源地域为可信地域;
从第一正常用户中确定可信地域内的正常用户为可信用户。
进一步的,在当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计之前,该方法还包括:
按照第二预设时间段统计第一网站的第二正常用户的第四访问量;
将第二预设时间段的第四访问量按照由高到低的原则排序,并从第二预设时间段中确定排序在前的第四预设数量的时间段为可信时间;
从第二正常用户中确定可信时间内的正常用户为可信用户。
进一步的,当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计包括:
当在可信时间内可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计。
本发明第二方面提供一种WAF误判识别装置,可包括:
统计单元,用于当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计;
第一确定单元,用于当数量满足预设条件时,则确定误判产生第一类型攻击。
进一步的,装置还包括:
第二确定单元,用于确定可信用户;
第二确定单元,具体用于:
确定第一网站在第一地域内的第一访问用户;
统计第一访问用户在第一时间内的网站访问行为;
按照预设方法对网站访问行为进行评分,得到评分结果;
当评分结果高于预设可信阈值时,则确定第一访问用户为可信用户。
进一步的,第二确定单元,具体用于:
确定网站访问行为的行为维度;
按照预设维度权重对行为维度进行加权计算,得到评分结果。
进一步的,行为维度包括请求内容和请求频率。
进一步的,第一地域为可信地域,第一时间为可信时间。
进一步的,装置还包括:
第三确定单元,用于确定可信地域;
第三确定单元,具体用于:
获取第一网站的第二访问用户的源IP;
对源IP进行地域分类,得到多个源地域;
将多个源地域的第一访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第一预设数量的源地域为可信地域。
进一步的,装置还包括:
第四确定单元,用于确定可信时间;
第四确定单元,具体用于:
按照第一预设时间段统计第一网站的第三访问用户的第二访问量;
将第一预设时间段的第二访问量按照由高到低的原则排序,并从第一预设时间段中确定排序在前的第二预设数量的时间段为可信时间。
进一步的,装置还包括:
第二确定单元,用于确定可信用户;
第二确定单元,具体用于:
获取第一网站的第一正常用户的源IP;
对源IP进行地域分类,得到多个源地域;
将多个源地域的第三访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第三预设数量的源地域为可信地域;
从第一正常用户中确定可信地域内的正常用户为可信用户。
进一步的,装置还包括:
第二确定单元,用于确定可信用户;
第二确定单元,具体用于:
按照第二预设时间段统计第一网站的第二正常用户的第四访问量;
将第二预设时间段的第四访问量按照由高到低的原则排序,并从第二预设时间段中确定排序在前的第四预设数量的时间段为可信时间;
从第二正常用户中确定可信时间内的正常用户为可信用户。
进一步的,统计单元,具体用于:
当在可信时间内可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明提供了一种WAF误判识别方法,通过对可信用户访问第一网站的第一URL的访问结果进行统计,可以在访问第一URL并产生第一类型攻击的可信用户的数量满足预设条件时,确定第一URL误判第一类型攻击,从而可以有效地解决WAF的攻击误判问题,减少了安全运维人员的手动分析日志以识别误判的工作量,有利于提高工作效率,进而也有利于避免因WAF误判拦截导致业务中断的现象的发生。
附图说明
图1为本发明实施例中WAF误判识别方法一个实施例示意图;
图2为本发明实施例中WAF误判识别方法另一实施例示意图;
图3为本发明实施例中WAF误判识别方法另一实施例示意图;
图4为本发明实施例中WAF误判识别方法另一实施例示意图;
图5为本发明实施例中WAF误判识别方法另一实施例示意图;
图6为本发明实施例中WAF误判识别装置一个实施例示意图;
图7为本发明实施例中WAF误判识别装置另一实施例示意图;
图8为本发明实施例中WAF误判识别装置另一实施例示意图;
图9为本发明实施例中WAF误判识别装置另一实施例示意图。
具体实施方式
本发明实施例提供了一种WAF误判识别方法以及装置,用于解决攻击误判需要手动识别的工作量大的问题。
为了使本技术领域的人员更好地理解本发明方案,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对文本中出现的术语进行说明:
可信因子,理解为一种可以评估访问网站的用户是否可信的因素;
可信地域,理解为一种可信因子,是网站日常访问用户的主要来源地,默认选择来源排名相对靠前的地域;
可信时间,理解为一种可信因子,是经过持续对用户访问网站行为进行分析后,统计出大部分用户的主要访问时间段;
可信阈值,理解为可信用户的评分阈值,当评分高于该阈值时可认为该用户可信;
可信用户,理解为经过多种可信因子的综合评分,可信评分度高于可信阈值的用户;
攻击误判,理解为正常的网站访问行为,被识别成网站攻击。
为便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图1,本发明实施例中WAF误判识别方法一个实施例包括:
101、当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计;
本实施例中,为了有效识别访问第一网站的第一统一资源定位符URL时是否产生攻击误判,当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,可以对可信用户的数量进行统计。其中,可信用户可以为根据可信因子进行识别得到。
具体的,由于可信用户为根据可信因子进行识别得到,那么可信用户对第一网站的访问行为具有较高的可信度,可以默认为正常用户的网站访问,而非黑客发动的网站攻击。因此,当检测到用户访问第一网站的第一URL并产生第一类型攻击时,可以对访问第一网站的第一URL的用户进行统计,并可以确定该用户中访问第一URL时产生第一类型攻击的可信用户的数量。
例如,假设在黑名单机制-匹配特征库中识别来自客户端的请求字符串selectxxx and 1=1为SQL注入攻击,但第一网站由于前端开发人员编码风格原因,将SQL查询语句写在js内容中,导致用户请求中带有select xxx and 1=1这类攻击串,那么当用户访问第一网站的第一URL时,由于用户请求中带有select xxx and 1=1这类攻击串,这类预期正常的访问将会被识别为产生第一类型攻击,然而,这种产生第一类型攻击的识别实际为误判行为。因此,当识别产生第一类型攻击时,为了检测该识别是否为误判,可以基于可信用户的设置标准,对在访问第一URL导致产生第一类型攻击的可信用户的数量进行统计。
可以理解的是,本实施例中,一个源IP地址对应一个访问第一网站的用户(该用户包括可信用户),以避免由于重复访问导致的重复统计,进而影响识别误判的准确度。
102、若数量满足预设条件,则确定误判产生第一类型攻击。
本实施例中,当统计的可信用户的数量满足预设条件时,可以确定误判产生第一类型攻击。
具体的,尽管可信用户的网站访问行为具有较高的可信度,但为了提高识别误判的准确率,可以设置预设条件,以作为对访问第一网站的第一URL时产生第一类型攻击的可信用户的数量的判断标准。在实际应用中,由于可能存在部分可信用户访问第一网站的第一URL时不会识别为产生第一类型攻击的情况,则除了对导致产生第一类型攻击的可信用户的数量进行统计之外,还可以对访问第一URL且第一次识别到产生第一类型攻击时,对第一网站进行访问的所有可信用户的数量进行统计。例如,假设所有可信用户的数量为A,访问第一网站的第一URL时产生第一类型攻击的可信用户的数量为B,那么可以以B在A中的比例超过第一阈值为预设条件,从而在访问第一网站的第一URL并导致产生第一类型攻击的可信用户的数量满足该预设条件时,可以确定并未产生第一类型攻击,之前对产生第一类型攻击的识别为误判。
可以理解的是,本实施例中除了上述内容说明的预设条件,在实际应用中,还可以采用其它,例如,由于访问第一网站的用户有可信用户与非可信用户之分,则在第一次识别到产生第一类型攻击时,也可以对第一网站进行访问的所有用户的数量进行统计,如为C,那么可以以B在C中的比例超过第二阈值为预设条件,从而在在访问第一网站的第一URL并导致产生第一类型攻击的可信用户的数量满足该预设条件时,可以确定并未产生第一类型攻击,之前对产生第一类型攻击的识别为误判,具体此处不做限定。
本实施例中,通过对可信用户访问第一网站的第一URL的访问结果进行统计,可以在访问第一URL并产生第一类型攻击的可信用户的数量满足预设条件时,确定误判产生第一类型攻击,从而可以有效地解决WAF的攻击误判问题,减少了安全运维人员的手动分析日志以识别误判的工作量,有利于提高工作效率,进而也有利于避免因WAF误判拦截导致业务中断的现象的发生。
可以理解的是,由于可信用户的确定方式不同,且当第一次识别到访问第一URL导致产生第一类型攻击时,由于不明确该识别是否为误判,那么一方面,为了避免误判导致第一网站的业务暂时中断,可以不启动防御策略,另一方面,为了安全起见,也可以暂时启动防御策略,则下面从安全角度出发,可以根据可信用户的确定方式进行分别进行具体说明:
请参阅图2,本发明实施例中WAF误判识别方法另一实施例包括:
201、确定第一网站在第一地域内的第一访问用户;
本实施例中,为了识别对第一网站的第一URL进行访问的可信用户,可以持续一段时间对第一网站的网站访问进行统计,通过预先确定第一网站在第一地域内的第一访问用户,可以确定可供参考的可信用户。
具体的,本实施例中的第一地域可以为任一个以或以上的地域,以不对第一网站在某一特定的地域内的网站访问用户进行限定,即可信用户的确定可以不基于可信地域这一可信因子,从而可以提供更多的可信用户的确定方式。
优选的,本实施例中,为了提高可信用户的准确确定率,第一地域可以为可信地域,即可以确定第一网站在可信地域内的第一访问用户。
例如,假设可信地域为长沙、株洲、益阳,那么可以在第一预设时长内访问第一网站的用户中,确定源IP的地址属于长沙、株洲、益阳的用户为第一访问用户。
为了预先确定可信地域内的第一访问用户,可以先行确定可信地域,以对具体地域范围内访问第一网站的用户进行统计。本实施例中,确定可信地域的具体方式可以为:
获取第一网站的第二访问用户的源IP;
对源IP进行地域分类,得到多个源地域;
将多个源地域的第一访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第一预设数量的源地域为可信地域。
具体的,在第二预设时长内,如10天,可以获取在近30天内访问第一网站的第二访问用户的源IP,并可以对第二访问用户的源IP进行地域分类,得到多个源地域,例如,假设以市为地域分类标准,其中,第二访问用户的源IP分别来自长沙、岳阳、湘潭、益阳、常德,那么可以得到长沙、岳阳、湘潭、益阳、常德这五个源地域,统计这5个源地域在过去30天内的第一访问量,可以对这5个源地域的第一访问量按照诸如由高到底的顺序进行排序,即第一访问量越高的排序越靠前,若第一访问量由高到底的排列顺序为长沙、株洲、益阳、湘潭、岳阳,且第一预设数量为3,那么在这5个源地域中可以确定长沙、株洲、益阳为可信地域。需要说明的是,本实施例中还可以以其它地域标准对源IP进行地域分类,如根据省份,第二预设时长、第一预设数量也可以为其它数值,本实施例仅为举例说明。
可以理解的是,本实施例中确定可信地域的方式除了上述说明的内容,在实际应用中,还可以采用其它方式,例如,可以预先设置第一访问量阈值,在得到的多个源地域中,可以以第一访问量超过第一访问量阈值的源地域为可信地域,具体此处不做限定。
进一步的,本实施例中,第一预设时长和第二预设时长可以为不同的时间段,第二预设时长早于第一预设时长。例如,假设均为10天,那么第二预设时长可以为诸如2017年的4月1日至4月10日,第一预设时长则可以为诸如2017年的4月11日至4月20日。在实际应用中,第一预设时长和第二预设时长也可以为相同的时间段,例如,均为2017年的4月1日至4月10日,但需要对这个时间段内的所有网站访问用户的相关信息进行记录,以在确定可信地域后,确定可信地域内的第一访问用户,具体此处不做限定。
202、统计第一访问用户在第一时间内的网站访问行为;
本实施例中,确定可信地域内的第一访问用户后,可以统计第一网站访问行为在第一时间内的网站访问行为。
具体的,本实施例中的第一时间可以为任一个以或以上的时间段,以不对第一网站在某一特定的时间段内的网站访问用户进行限定,即可信用户的确定可以不基于可信时间这一可信因子,从而可以提供更多的可信用户的确定方式。
优选的,本实施例中,为了提高可信用户的准确确定率,第一时间可以为可信时间,即可以统计第一访问用户在可信时间内的网站访问行为。
可以理解的是,在第一地域限定为可信地域的情况下,第一时间可以限定为可信时间,也可以不限定为可信时间,同样的,第一地域不限定为可信地域的情况也一致,即可信用户的确定可以基于可信地域和/或可信时间,具体此处不做限定。
以第一地域为可信地域,第一时间为可信时间为例进行说明,沿用上述确定的长沙、株洲、益阳这三个可信地域,假设可信时间为8:00至21:00这个时间段,那么可以统计长沙、株洲、益阳这三个可信地域的第一访问用户在第三预设时长内的网站访问行为。
为了统计第一访问用户在可信时间内的网站访问行为,可以先行确定可信时间。本实施例中,确定可信时间的具体方式可以为:
按照第一预设时间段统计第一网站的第三访问用户的第二访问量;
将第一预设时间段的第二访问量按照由高到低的原则排序,并从第一预设时间段中确定排序在前的第二预设数量的时间段为可信时间。
具体的,在第三预设时长内,如10天,可以按照第一预设时间段统计第一网站的第三访问用户的第二访问量,即可以将每一天分成多个时间段,如以4小时为一个时间段,则可以在10内统计每4个小时内第一网站的第三访问用户的第二访问量,并可以将6个第一预设时间段在10天内的第二访问量按照诸如由高到低的顺序进行排序,即第二访问量越高的排序越靠前,若第二访问量由高到底的排列顺序为6:00至10:00、14:00至18:00、18:00至22:00、10:00至14:00、22:00至2:00,2:00至6:00、且第二预设数量为4,那么在这6个第一预设时间段中可以确定6:00至10:00、14:00至18:00、18:00至22:00、10:00至14:00为可信时间,即6:00至22:00。需要说明的是,本实施例中还可以以其它时长设置第一预设时间段,如每2小时,第三预设时长、第二预设数量也可以为其它数值,本实施例仅为举例说明。
可以理解的是,本实施例中确定可信时间的方式除了上述说明的内容,在实际应用中,还可以采用其它方式,例如,可以预先设置第二访问量阈值,在多个第一预设时间段中,可以以第二访问量超过第二访问量阈值的第一预设时间段为可信时间,具体此处不做限定。
进一步的,本实施例中,第一预设时长和第三预设时长可以为不同的时间段,第三预设时长早于第一预设时长。例如,假设均为10天,那么第二预设时长可以为诸如2017年的4月1日至4月10日,第一预设时长则可以为诸如2017年的4月11日至4月20日。在实际应用中,第一预设时长和第二预设时长也可以为相同的时间段,例如,均为2017年的4月1日至4月10日,但需要对这个时间段内的所有网站访问用户的相关信息进行记录,以在确定可信时间后,可以统计可信地域内的第一访问用户在可信时间内的网站访问行为,具体此处不做限定。
更进一步的,本实施例中,第二预设时长和第三预设时长可以为相同的时间段,也可以为不同的时间段,为不同的时间段时,没有先后的顺序之分,只要在确定第一访问用户之前即可,具体此处不做限定,
203、按照预设方法对网站访问行为进行评分,得到评分结果;
本实施例中,统计第一访问用户在可信时间内的网站访问行为后,可以按照预设方法对该网站访问行为进行评分,得到评分结果。
本实施例中,按照预设方法对网站访问行为进行评分的具体方式可以为:
确定网站访问行为的行为维度;
按照预设维度权重对行为维度进行加权计算,得到评分结果。
具体的,本实施例中的行为维度可以包括请求内容和请求频率,并可以预先设置请求内容和请求频率对应的预设维度权重,如请求内容为40%的权重,请求频率为60%的权重。在统计第一访问用户在可信时间内的网站访问行为后,可以在该网站访问行为中确定第一访问用户对第一网站的请求内容和请求频率,并可以按照预设维度权重对请求内容和请求频率进行加权计算,得到评分结果。
例如,在请求内容中的正常请求地址为12位,若12位为100分,13位到20位为95分,20位到30位为80分,30位至50位为60分,50位到100位为30分,100位以上为10分,而正常的请求频率为每秒10个请求,若每秒10个或10个请求以下为100分,每秒11个请求至15个请求为95分,每秒16个请求至25个请求为70分,每秒26个请求至40个请求为50分,每秒41个请求至80个请求为30分,每秒81个请求以上为50分,那么当第一访问用户的请求内容中的请求地址为15位,请求频率为每秒10个请求时,则可以确定该第一访问用户的网站访问行为的评分结果为98分。
可以理解的是,本实施例中的行为维度除了上述说明的内容,在实际应用中,还可以包括其它内容,只要能够用来评估第一访问用户的网站访问行为是否有违相关操作或标准即可,具体此处不做限定。
204、若评分结果高于预设可信阈值,则确定第一访问用户为可信用户;
本实施例中,按照预设方法对网站访问行为进行评分,得到评分结果后,若该评分结果高于预设可信阈值,则可以确定第一访问用户为可信用户。
具体的,可以预先设置预设可信阈值,以用于综合评估第一访问用户的网站访问行为,并提供可信用户的判断标准。例如,以百分制,假设预设可信阈值为90分,那么若第一访问用户的网站访问行为的评分结果高于90分,则可以确定该第一访问用户为可信用户,反之,则可以确定该第一访问用户为非可信用户。
本实施例中的步骤205至步骤206与图1所示实施例中的步骤101至步骤102相同,此处不再赘述。
进一步的,在步骤205中,当检测到访问第一网站的第一URL产生第一类型攻击时,可以启动防御策略,以避免访问第一网站的第一URL再次产生第一类型攻击,以保障第一网站的安全。在实际应用中,优选的,该防御策略的启动可以在第一次检测到产生第一类型攻击时,以快速反应该第一类型攻击并作出防御。
207、解除防御策略。
本实施例中,确定误判产生第一类型攻击,可以解除该防御策略。
具体的,在检测到产生第一类型攻击并启动防御策略后,可以对产生第一类型攻击是否为误判进行识别,若确定产生第一类型攻击为误判,那么意味着之前防御策略的启动可能导致第一网站的正常网站访问业务被中断,影响了用户对第一网站的正常访问,则可以自动解除该防御策略,使得用户可以正常访问第一网站,从而不需要第一网站的安全运维人员对产生第一类型攻击的误判进行手动排除,减少了安全运维人员的工作量。
需要说明的是,基于图2所示实施例的说明,在实际应用中,当检测到产生第一类型攻击,却没有启动防御策略时,在识别产生第一类型攻击为误判时,可以发出指令,该指令可以用于指示该第一类型攻击为非恶意攻击,并可以在此后的检测中默认该第一类型攻击为正常的网站访问行为,从而可以避免对可能重复产生的第一类型攻击进行重复误判识别,有利于减少工作量。
请参阅图3,本发明实施例中WAF误判识别方法另一实施例包括:
301、获取第一网站的第一正常用户的源IP;
本实施例中,为了识别对第一网站的第一URL进行访问的可信用户,可以持续一段时间对第一网站的网站访问进行统计,如在第四预设时长内通过获取第一网站的第一正常用户的源IP,以确定可供参考的可信用户。
其中,第一正常用户指的是不会对第一网站发起攻击的非黑客用户,具有正常的网站访问行为。
302、对源IP进行地域分类,得到多个源地域;
本实施例中,获取第一网站的第一正常用户的源IP后,可以对源IP进行地域分类,得到多个源地域。
例如,假设第一正常用户为10个,其源IP依次为长沙、岳阳、湘潭、益阳、常德、岳阳、湘潭、益阳、长沙,那么以市进行地域分类,可以得到长沙、岳阳、湘潭、益阳、常德这五个源地域。
303、将多个源地域的第三访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第三预设数量的源地域为可信地域;
本实施例中,对源IP进行地域分类,得到多个源地域后,可以将多个源地域的第三访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第三预设数量的源地域为可信地域。
具体的,在确定多个源地域后,可以对这多个源地域在第五预设时长内对第一网站的第三访问量进行统计,并可以按照诸如由高到底的原则排序,即第三访问量越高的排序越靠前,以从多个源地域中确定排序在前的第三预设数量的源地域为可信地域。
例如,沿用步骤302说明的可信地域,假设可信地域的第三访问量按照由高到底的排列顺序为长沙、株洲、益阳、湘潭、岳阳,且第三预设数量为3,那么在这5个源地域中可以确定长沙、株洲、益阳为可信地域。需要说明的是,本实施例中还可以以其它地域标准对源IP进行地域分类,如根据省份,第五预设时长、第三预设数量也可以为其它数值,本实施例仅为举例说明。
可以理解的是,本实施例中确定可信地域的方式除了上述说明的内容,在实际应用中,还可以采用其它方式,例如,可以预先设置第三访问量阈值,在得到的多个源地域中,可以以第三访问量超过第三访问量阈值的源地域为可信地域,具体此处不做限定。
需要说明的是,本实施例中的第四预设时长、第五预设时长的关系可以参照图2所示实施例中步骤201中说明的第一预设时长与第二预设时长的关系,此处不再赘述。
304、从第一正常用户中确定可信地域内的正常用户为可信用户;
本实施例中,确定可信地域后,可以从第一正常用户中确定可信地域内的正常用户为可信用户。
本实施例中的步骤305至步骤307与图2所示实施例中的步骤205至207相同,此处不再赘述。
请参阅图4,本发明实施例中WAF误判识别方法另一实施例包括:
401、按照第二预设时间段统计第一网站的第二正常用户的第四访问量;
本实施例中,为了识别对第一网站的第一URL进行访问的可信用户,可以在第二预设时间段内统计第一网站的第二正常用户的第四访问量,以确定可供参考的可信用户。
其中,第二正常用户指的是不会对第一网站发起攻击的非黑客用户,具有正常的网站访问行为。
具体的,在第六预设时长内,如10天,可以按照第二预设时间段统计第一网站的第二正常用户的第四访问量,即可以将每一天分成多个时间段,如以6小时为一个时间段,则可以在10内统计每6个小时内第一网站的第二正常用户的第四访问量,如6:00至12:00、12:00至18:00、18:00至00:00、00:00至6:00。
402、将第二预设时间段的第四访问量按照由高到低的原则排序,并从第二预设时间段中确定排序在前的第四预设数量的时间段为可信时间;
本实施例中,按照第二预设时间段统计第一网站的第二正常用户的第四访问量后,可以将第二预设时间段的第四访问量按照由高到低的原则排序,即第四访问量越高的排序越靠前,并从第二预设时间段中确定排序在前的第四预设数量的时间段为可信时间。
例如,沿用步骤401说明的第二预设时间段,假设将4个第二预设时间段在10天内的第四访问量按照诸如由高到低的顺序进行排序后,其排列顺序为6:00至12:00、12:00至18:00、18:00至00:00、且第四预设数量为3,那么在这4个第二预设时间段中可以确定6:00至12:00、12:00至18:00、18:00至00:00为可信时间,即6:00至00:00。需要说明的是,本实施例中还可以以其它时长设置第二预设时间段,如每8小时,第六预设时长、第四预设数量也可以为其它数值,本实施例仅为举例说明。
可以理解的是,本实施例中确定可信时间的方式除了上述说明的内容,在实际应用中,还可以采用其它方式,例如,可以预先设置第四访问量阈值,在多个第二预设时间段中,可以以第四访问量超过第四访问量阈值的第二预设时间段为可信时间,具体此处不做限定。
403、从第二正常用户中确定可信时间内的正常用户为可信用户;
本实施例中,确定可信时间后,可以从第二正常用户中确定可信时间内的正常用户为可信用户。
本实施例中的步骤405至步骤406与图2所示实施例中的步骤205至207相同,此处不再赘述。
可以理解的是,由于不同时间段的第一网站的访问量不同,而可信时间内第一网站的可信用户的访问量高,且可信用户的识别基于可信时间这一可信因子,那么为了提高识别误判产生第一类型攻击的正确率,可以在特定时间段内对产生第一类型攻击是否为误判进行识别,下面以图2中可信用户的确定方式为例进行具体说明:
请参参阅图5,本发明实施例中WAF误判识别方法另一实施例包括:
本实施例中的步骤501至步骤504与图2所示实施例中的步骤201至步骤204相同,此处不再赘述。
505、当在可信时间内访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计;
与图1或图2所示实施例中在检测到产生第一类型攻击时的任意时刻起,对访问第一网站的第一URL产生第一类型攻击的可信用户的数量进行统计不同,本实施例中,是在可信时间内对访问第一网站的第一URL产生第一类型攻击的可信用户的数量进行统计。除统计时间段不同之外,本实施例中的内容与图2所示实施例中的步骤205相同,此处不再赘述。
本实施例中的步骤506至步骤507与图2所示实施例中的步骤206至步骤207相同,此处不再赘述。
上面对本发明实施例中的WAF误判识别方法进行了描述,下面对本发明实施例中的WAF误判识别装置进行描述,请参阅图6,本发明实施例中WAF误判识别装置一个实施例包括:
统计单元601,用于当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计;
第一确定单元602,用于当数量满足预设条件时,则确定误判第一类型攻击。
本实施例中,统计单元601通过对可信用户访问第一网站的第一URL的访问结果进行统计,第一确定单元602可以在访问第一URL产生第一类型攻击的可信用户的数量满足预设条件时,确定误判产生第一类型攻击,从而可以有效地解决WAF的攻击误判问题,减少了安全运维人员的手动分析日志以识别误判的工作量,有利于提高工作效率,进而也有利于避免因WAF误判拦截导致业务中断的现象的发生。
请参阅图7,本发明实施例中WAF误判识别装置另一实施例包括:
第二确定单元701,用于确定可信用户;
本实施例中的模块702与图6所示实施例中的模块601相同,模块703与图6所示实施例中的模块602相同,此处不再赘述。
启动单元704,用于当检测到产生第一类型攻击时,启动防御策略;
解除单元705,用于解除防御策略。
可选的,在本发明的一实施例中,第二确定单元701,可以进一步具体用于:
获取第一网站的第一正常用户的源IP;
对源IP进行地域分类,得到多个源地域;
将多个源地域的第三访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第三预设数量的源地域为可信地域;
从第一正常用户中确定可信地域内的正常用户为可信用户。
可选的,在本发明的一实施例中,第二确定单元701,可以进一步具体用于:
按照第二预设时间段统计第一网站的第二正常用户的第四访问量;
将第二预设时间段的第四访问量按照由高到低的原则排序,并从第二预设时间段中确定排序在前的第四预设数量的时间段为可信时间;
从第二正常用户中确定可信时间内的正常用户为可信用户。
可选的,在本发明的一实施例中,第二确定单元701,可以进一步具体用于:
确定第一网站在第一地域内的第一访问用户;
统计第一访问用户在第一时间内的网站访问行为;
按照预设方法对网站访问行为进行评分,得到评分结果;
若评分结果高于预设可信阈值时,则确定第一访问用户为可信用户。
可选的,在本发明的一实施例中,第二确定单元701,可以进一步具体用于:
确定网站访问行为的行为维度;
按照预设维度权重对行为维度进行加权计算,得到评分结果。
可选的,在本发明的一实施例中,当第一地域为可信地域时,如图8所示,本装置还可以进一步包括第三确定单元706,第三确定单元706,用于:
获取第一网站的第二访问用户的源IP;
对源IP进行地域分类,得到多个源地域;
将多个源地域的第一访问量按照由高到低的原则排序,并从多个源地域中确定排序在前的第一预设数量的源地域为可信地域。
可选的,在本发明的一实施例中,当第一时间为可信时间时,基于图8,如图9所示,本装置还可以进一步包括第四确定单元707,第四确定单元707,用于:
按照第一预设时间段统计第一网站的第三访问用户的第二访问量;
将第一预设时间段的第二访问量按照由高到低的原则排序,并从第一预设时间段中确定排序在前的第二预设数量的时间段为可信时间。
可选的,在本发明的一实施例中,统计单元702,可以进一步具体用于:
当在可信时间内可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对可信用户的数量进行统计。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (14)
1.一种WAF误判识别方法,其特征在于,包括:
确定可信用户;
所述确定可信用户包括:确定第一网站在第一地域内的第一访问用户;统计所述第一访问用户在第一时间内的网站访问行为;按照预设方法对所述网站访问行为进行评分,得到评分结果;若所述评分结果高于预设可信阈值,则确定所述第一访问用户为可信用户;
或者,所述确定可信用户包括:获取第一网站的第一正常用户的源IP;对所述源IP进行地域分类,得到多个源地域;将多个所述源地域的第三访问量按照由高到低的原则排序,并从多个所述源地域中确定排序在前的第三预设数量的源地域为可信地域;从所述第一正常用户中确定所述可信地域内的正常用户为可信用户;
或者,所述确定可信用户包括:按照第二预设时间段统计第一网站的第二正常用户的第四访问量;将所述第二预设时间段的第四访问量按照由高到低的原则排序,并从所述第二预设时间段中确定排序在前的第四预设数量的时间段为可信时间;从所述第二正常用户中确定所述可信时间内的正常用户为可信用户;
当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对所述可信用户的数量进行统计;
若所述数量满足预设条件,则确定误判产生所述第一类型攻击。
2.根据权利要求1所述的WAF误判识别方法,其特征在于,所述按照预设方法对所述网站访问行为进行评分包括:
确定所述网站访问行为的行为维度;
按照预设维度权重对所述行为维度进行加权计算,得到评分结果。
3.根据权利要求2所述的WAF误判识别方法,其特征在于,所述行为维度包括请求内容和请求频率。
4.根据权利要求1至3中任一项所述的WAF误判识别方法,其特征在于,所述第一地域为可信地域,所述第一时间为可信时间。
5.根据权利要求4所述的WAF误判识别方法,其特征在于,在所述确定所述第一网站在第一地域内的第一访问用户之前,所述方法还包括:
确定所述可信地域;
所述确定所述可信地域包括:
获取所述第一网站的第二访问用户的源IP;
对所述源IP进行地域分类,得到多个源地域;
将多个所述源地域的第一访问量按照由高到低的原则排序,并从多个所述源地域中确定排序在前的第一预设数量的源地域为所述可信地域。
6.根据权利要求4所述的WAF误判识别方法,其特征在于,在所述统计所述第一访问用户在第一时间内的网站访问行为之前,所述方法还包括:
确定所述可信时间;
所述确定所述可信时间包括:
按照第一预设时间段统计所述第一网站的第三访问用户的第二访问量;
将所述第一预设时间段的第二访问量按照由高到低的原则排序,并从所述第一预设时间段中确定排序在前的第二预设数量的时间段为所述可信时间。
7.根据权利要求4所述的WAF误判识别方法,其特征在于,所述当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对所述可信用户的数量进行统计包括:
当在所述可信时间内可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对所述可信用户的数量进行统计。
8.一种WAF误判识别装置,其特征在于,包括:
统计单元,用于当可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对所述可信用户的数量进行统计;
第一确定单元,用于当所述数量满足预设条件时,则确定误判所述第一类型攻击;
所述装置还包括:
第二确定单元,用于确定所述可信用户;
所述第二确定单元,具体用于:
确定所述第一网站在第一地域内的第一访问用户;
统计所述第一访问用户在第一时间内的网站访问行为;
按照预设方法对所述网站访问行为进行评分,得到评分结果;
若所述评分结果高于预设可信阈值时,则确定所述第一访问用户为可信用户;
或者,所述第二确定单元,具体用于:获取所述第一网站的第一正常用户的源IP;对所述源IP进行地域分类,得到多个源地域;将多个所述源地域的第三访问量按照由高到低的原则排序,并从多个所述源地域中确定排序在前的第三预设数量的源地域为可信地域;从所述第一正常用户中确定所述可信地域内的正常用户为所述可信用户;
或者,所述第二确定单元,具体用于:按照第二预设时间段统计所述第一网站的第二正常用户的第四访问量;将所述第二预设时间段的第四访问量按照由高到低的原则排序,并从所述第二预设时间段中确定排序在前的第四预设数量的时间段为可信时间;从所述第二正常用户中确定所述可信时间内的正常用户为所述可信用户。
9.根据权利要求8所述的WAF误判识别装置,其特征在于,所述第二确定单元,具体用于:
确定所述网站访问行为的行为维度;
按照预设维度权重对所述行为维度进行加权计算,得到评分结果。
10.根据权利要求9所述的WAF误判识别装置,其特征在于,所述行为维度包括请求内容和请求频率。
11.根据权利要求8至10中任一项所述的WAF误判识别装置,其特征在于,所述第一地域为可信地域,所述第一时间为可信时间。
12.根据权利要求11所述的WAF误判识别装置,其特征在于,所述装置还包括:
第三确定单元,用于确定所述可信地域;
所述第三确定单元,具体用于:
获取所述第一网站的第二访问用户的源IP;
对所述源IP进行地域分类,得到多个源地域;
将多个所述源地域的第一访问量按照由高到低的原则排序,并从多个所述源地域中确定排序在前的第一预设数量的源地域为所述可信地域。
13.根据权利要求11所述的WAF误判识别装置,其特征在于,所述装置还包括:
第四确定单元,用于确定所述可信时间;
所述第四确定单元,具体用于:
按照第一预设时间段统计所述第一网站的第三访问用户的第二访问量;
将所述第一预设时间段的第二访问量按照由高到低的原则排序,并从所述第一预设时间段中确定排序在前的第二预设数量的时间段为所述可信时间。
14.根据权利要求11所述的WAF误判识别装置,其特征在于,所述统计单元,具体用于:
当在所述可信时间内可信用户访问第一网站的第一统一资源定位符URL产生第一类型攻击时,对所述可信用户的数量进行统计。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710325990.XA CN107172033B (zh) | 2017-05-10 | 2017-05-10 | 一种waf误判识别方法以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710325990.XA CN107172033B (zh) | 2017-05-10 | 2017-05-10 | 一种waf误判识别方法以及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107172033A CN107172033A (zh) | 2017-09-15 |
| CN107172033B true CN107172033B (zh) | 2020-11-13 |
Family
ID=59813661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710325990.XA Active CN107172033B (zh) | 2017-05-10 | 2017-05-10 | 一种waf误判识别方法以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107172033B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107528861B (zh) * | 2017-10-12 | 2019-11-12 | 浪潮云信息技术有限公司 | 一种确定ip用户访问权限的方法及装置 |
| CN109413022B (zh) * | 2018-04-28 | 2021-07-13 | 武汉思普崚技术有限公司 | 一种基于用户行为检测http flood攻击的方法和装置 |
| CN112165466B (zh) * | 2020-09-16 | 2022-06-17 | 杭州安恒信息技术股份有限公司 | 一种误报识别的方法、装置、电子装置和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| CN104486353A (zh) * | 2014-12-26 | 2015-04-01 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于流量的安全事件检测方法及装置 |
| CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
| CN105357179A (zh) * | 2015-09-29 | 2016-02-24 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
| WO2017056121A1 (en) * | 2015-09-28 | 2017-04-06 | Minded Security S.R.L. | Method for the identification and prevention of client-side web attacks |
-
2017
- 2017-05-10 CN CN201710325990.XA patent/CN107172033B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| CN104486353A (zh) * | 2014-12-26 | 2015-04-01 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于流量的安全事件检测方法及装置 |
| CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
| WO2017056121A1 (en) * | 2015-09-28 | 2017-04-06 | Minded Security S.R.L. | Method for the identification and prevention of client-side web attacks |
| CN105357179A (zh) * | 2015-09-29 | 2016-02-24 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107172033A (zh) | 2017-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hao et al. | PREDATOR: proactive recognition and elimination of domain abuse at time-of-registration | |
| Cresci et al. | Cashtag piggybacking: Uncovering spam and bot activity in stock microblogs on Twitter | |
| US10817603B2 (en) | Computer security system with malicious script document identification | |
| CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| US20180309772A1 (en) | Method and device for automatically verifying security event | |
| CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
| US20130104230A1 (en) | System and Method for Detection of Denial of Service Attacks | |
| US10425436B2 (en) | Identifying bulletproof autonomous systems | |
| CN104391979A (zh) | 网络恶意爬虫识别方法及装置 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| CN107368856B (zh) | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 | |
| CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
| CN107172033B (zh) | 一种waf误判识别方法以及装置 | |
| Zafarani et al. | 10 bits of surprise: Detecting malicious users with minimum information | |
| CN107016298B (zh) | 一种网页篡改监测方法及装置 | |
| CN108023868B (zh) | 恶意资源地址检测方法和装置 | |
| CN108809928B (zh) | 一种网络资产风险画像方法及装置 | |
| CN112131507A (zh) | 网站内容处理方法、装置、服务器和计算机可读存储介质 | |
| CN106301979B (zh) | 检测异常渠道的方法和系统 | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| CN106790025B (zh) | 一种对链接进行恶意性检测的方法及装置 | |
| Sarabi et al. | Prioritizing Security Spending: A Quantitative Analysis of Risk Distributions for Different Business Profiles. | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |