CN107483510A - 一种提高Web应用层攻击检测准确率的方法及装置 - Google Patents
一种提高Web应用层攻击检测准确率的方法及装置 Download PDFInfo
- Publication number
- CN107483510A CN107483510A CN201710931986.8A CN201710931986A CN107483510A CN 107483510 A CN107483510 A CN 107483510A CN 201710931986 A CN201710931986 A CN 201710931986A CN 107483510 A CN107483510 A CN 107483510A
- Authority
- CN
- China
- Prior art keywords
- request information
- destination request
- attack
- order
- webserver
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种提高Web应用层攻击检测准确率的方法及装置,涉及网络安全的技术领域,该方法包括:获取用户发送的目标请求信息,其中,目标请求信息为请求访问网络服务器的请求信息;检测网络服务器基于目标请求信息触发的执行命令,执行命令为用于执行目标操作的命令,目标操作为基于目标请求信息生成响应消息的操作;根据执行命令,确定目标请求信息是否存在攻击行为,其中,攻击行为为对Web应用层进行的攻击行为。本发明缓解了传统的应用层攻击检测方法存在较高误报率的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种提高Web应用层攻击检测准确率的方法及装置。
背景技术
目前,对应用层攻击的检测是采用WAF(Web应用防火墙)。WAF是架设在网站服务器的前端,无法了解Web服务器运行的具体业务,仅能获取HTTP请求报文,然后基于特征匹配进行应用层攻击检测。具体地,将获取到的HTTP请求内容和规则特征库中的特征进行对比,分析HTTP请求内容是否符合特征定义,符合则确定HTTP请求内容是对应用层的攻击。
首先,这种传统的检测方式对特征库具有较强的依赖性,若特征库中的特征定义的太严格,容易将非应用层攻击确定为应用层攻击而发生误报;若特征库的特征定义的不严格,应用层攻击的检测率又降低,容易发生漏报。其次,WAF无法了解Web服务器运行的具体业务,因而无法判断HTTP请求报文是否在Web业务系统中产生了真实的攻击行为。因而,传统的应用层攻击检测方法存在较高的误报率。
针对传统的应用层攻击检测方法存在较高误报率的技术问题,目前缺乏有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种提高Web应用层攻击检测准确率的方法及装置,以缓解传统的应用层攻击检测方法存在较高误报率的技术问题。
第一方面,本发明实施例提供了一种提高Web应用层攻击检测准确率的方法,包括:
获取用户发送的目标请求信息,其中,所述目标请求信息为请求访问网络服务器的请求信息;
检测所述网络服务器基于所述目标请求信息触发的执行命令,所述执行命令为用于执行目标操作的命令,所述目标操作为基于所述目标请求信息生成响应消息的操作;
根据所述执行命令,确定所述目标请求信息是否存在攻击行为,其中,所述攻击行为为对Web应用层进行的攻击行为。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,根据所述执行命令,确定所述目标请求信息是否存在攻击行为,包括:
获取参照命令,其中,所述参照命令为预先存储在所述网络服务器中的执行命令;
将所述执行命令和所述参照命令进行对比,得到对比结果,其中,所述对比结果用于表示所述参照命令和所述执行命令的相似程度;
根据所述对比结果确定所述目标请求信息是否存在所述攻击行为。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,在确定所述目标请求信息是否存在攻击行为之后,所述方法还包括:
在确定出所述目标请求信息存在攻击行为的情况下,使所述网络服务器向所述用户推送所述目标请求信息的响应信息;
在确定出所述目标请求信息不存在攻击行为的情况下,使所述网络服务器停止对所述目标请求信息的响应。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,获取用户发送的目标请求信息,包括:
在所述网络服务器接收的全部信息中识别所述目标请求信息,并将所述目标请求信息进行截取;
其中,所述网络服务器中存储有所述用户预先发送的所述目标请求信息。
结合第一方面的第三种可能的实施方式,本发明实施例提供了第一方面的第四种可能的实施方式,其中,在所述网络服务器接收的全部信息中识别所述目标请求信息之前,所述方法还包括:
获取第一子脚本,其中,所述第一子脚本为用于识别所述目标请求信息的传输协议特征的脚本;
将所述第一子脚本嵌入在预设脚本中,以使所述预设脚本在所述网络服务器接收的全部信息中识别所述目标请求信息。
结合第一方面的第四种可能的实施方式,本发明实施例提供了第一方面的第五种可能的实施方式,其中,检测所述网络服务器基于所述目标请求信息触发的执行命令,包括:
获取第二子脚本,其中,所述第二子脚本为用于识别所述目标请求信息触发的执行行为特征的脚本;
将所述第二子脚本嵌入在所述预设脚本中,以通过嵌入在所述预设脚本中的所述第二子脚本截取所述网络服务器在所述目标请求信息触发下的执行语句;
从截取到的所述执行语句中提取所述执行命令。
第二方面,本发明实施例还提供一种提高Web应用层攻击检测准确率的装置,包括:
获取模块,用于获取用户发送的目标请求信息,其中,所述目标请求信息为请求访问网络服务器的请求信息;
检测模块,用于检测所述网络服务器基于所述目标请求信息触发的执行命令,所述执行命令为用于执行目标操作的命令,所述目标操作为基于所述目标请求信息生成响应消息的操作;
确定模块,用于根据所述执行命令,确定所述目标请求信息是否存在攻击行为,其中,所述攻击行为为对Web应用层进行的攻击行为。
本发明实施例带来了以下有益效果:获取用户发送的目标请求信息,其中,目标请求信息为请求访问网络服务器的请求信息;检测网络服务器基于目标请求信息触发的执行命令,执行命令为用于执行目标操作的命令,目标操作为基于目标请求信息生成响应消息的操作;根据执行命令,确定目标请求信息是否存在攻击行为,其中,攻击行为为对Web应用层进行的攻击行为。
与传统的只分析目标请求信息确定攻击行为相比较,本发明通过关联分析目标请求信息触发的执行命令实现对目标请求信息是否存在攻击行为进行确定,即,通过了解网络服务器基于目标请求信息运行的具体业务来判断目标请求信息是否在网络服务器的业务系统中产生了真实的攻击行为,从而缓解了传统的应用层攻击检测方法存在较高误报率的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种提高Web应用层攻击检测准确率的方法的流程图;
图2为本发明实施例一提供的一种SQL注入的检测方法流程图;
图3为本发明实施例一提供的一种命令注入的检测方法流程图;
图4为本发明实施例二提供的一种提高Web应用层攻击检测准确率的装置的结构框图。
图标:100-获取模块;200-检测模块;300-确定模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,对应用层攻击的检测是采用WAF,这种传统的应用层攻击检测方法存在较高的误报率。基于此,本发明实施例提供的提高Web应用层攻击检测准确率的方法及装置,可以缓解传统的应用层攻击检测方法存在较高误报率的技术问题。
实施例一
本发明实施例提供的一种提高Web应用层攻击检测准确率的方法,如图1所示,包括:
步骤S102,获取用户发送的目标请求信息,其中,目标请求信息为请求访问网络服务器的请求信息。
具体地,在目标请求信息为以HTTP协议规定的请求信息时,目标请求信息即HTTP请求报文。需要强调的是,目标请求信息的协议可以采用HTTP协议,但不限于HTTP协议。
步骤S104,检测网络服务器基于目标请求信息触发的执行命令,执行命令为用于执行目标操作的命令,目标操作为基于目标请求信息生成响应消息的操作。
具体地,网络服务器基于目标请求信息触发的执行命令,包括但不限于:操作系统函数调用,SQL数据库语句调用,语言函数对象调用。
步骤S106,根据执行命令,确定目标请求信息是否存在攻击行为,其中,攻击行为为对Web应用层进行的攻击行为。
具体地,攻击行为包括但不限于:CSRF,SSRF,XSS,任意文件读取、下载,任意文件删除,脚本文件上传,命令注入,struts2代码执行,反序列化攻击行为。
与传统的只分析目标请求信息确定攻击行为相比较,本发明通过关联分析目标请求信息触发的执行命令实现对目标请求信息是否存在攻击行为进行确定,即,通过了解网络服务器基于目标请求信息运行的具体业务来判断目标请求信息是否在网络服务器的业务系统中产生了真实的攻击行为,从而缓解了传统的应用层攻击检测方法存在较高误报率的技术问题。
下面对提高Web应用层攻击检测准确率的方法,进行具体介绍:
步骤S102,获取用户发送的目标请求信息,包括:
在网络服务器接收的全部信息中识别目标请求信息,并将目标请求信息进行截取;其中,网络服务器中存储有用户预先发送的目标请求信息。从而,网络服务器识别出目标请求信息后,中止对目标请求信息的响应,先对目标请求信息是否存在攻击行为进行确定,有利于网络服务器的安全。
具体地,在确定目标请求信息是否存在攻击行为之后,如果确定出目标请求信息存在攻击行为,使网络服务器向用户推送目标请求信息的响应信息;如果确定出目标请求信息不存在攻击行为,使网络服务器停止对目标请求信息的响应。
此外,在网络服务器接收的全部信息中识别目标请求信息之前,提高Web应用层攻击检测准确率的方法还包括:
获取第一子脚本,其中,第一子脚本为用于识别目标请求信息的传输协议特征的脚本;
将第一子脚本嵌入在预设脚本中,以使预设脚本在网络服务器接收的全部信息中识别目标请求信息。
本发明实施例中,通过第一子脚本识别目标请求信息的传输协议特征,使得第一子脚本在网络服务器接收的全部信息中识别目标请求信息,并将目标请求信息进行截取。
在此情况下,步骤S104,检测网络服务器基于目标请求信息触发的执行命令,包括:
获取第二子脚本,其中,第二子脚本为用于识别目标请求信息触发的执行行为特征的脚本;
将第二子脚本嵌入在预设脚本中,以通过嵌入在预设脚本中的第二子脚本截取网络服务器在目标请求信息触发下的执行语句;
从截取到的执行语句中提取执行命令。
本发明实施例中,通过在网络服务器添加预设脚本,实现步骤S102中的获取用户发送的目标请求信息和步骤S104中的检测网络服务器基于目标请求信息触发的执行命令的目的。
步骤S106,根据执行命令,确定目标请求信息是否存在攻击行为,包括:
获取参照命令,其中,参照命令为预先存储在网络服务器中的执行命令;
将执行命令和参照命令进行对比,得到对比结果,其中,对比结果用于表示参照命令和执行命令的相似程度;
根据对比结果确定目标请求信息是否存在攻击行为。
具体地,网络服务器的Web应用层功能是预先设定的,网络服务器通过其中预先存储的执行命令来实现网络服务器的Web应用层功能,即,网络服务器通过参照命令来实现预先设定的Web应用层功能。在Web应用层被攻击后,网络服务器执行的命令被篡改,这种篡改至少体现在以下一种方式中:参照命令的语法被篡改使得参照命令的执行结果被篡改,网络服务器执行的命令中加入了参照命令之外的命令。
接下来,分别以SQL注入和命令注入这两种命令篡改为例,对提高Web应用层攻击检测准确率的方法进行说明,其中,网络服务器采用Tomcat服务器,JVMTI(Java VirtualMachine Tool Interface的简称)是由java虚拟机提供的本地编程接口集合,Instrumentation是Java提供的可以注入拦截Java执行函数的类。
例一、SQL注入
首先,利用JVMTI技术中的Instrumentation原理,开发出检测攻击功能的命名为websec.jar的jar包,websec.jar中包括预设脚本,其中,预设脚本包括第一子脚本和第二子脚本,第一子脚本根据HTTP协议特征,通过拦截HttpServletRequest类的方法实现获取HTTP请求参数,第二子脚本根据识别目标请求信息触发的执行行为特征,通过拦截StatementImpl类的方法实现获取SQL执行语句。
然后,编辑Tomcat启动脚本javaagent:websec.jar,用参数将websec.jar添加到Tomcat服务器中。
Tomcat服务器启动后,用户通过浏览器访问test.jsp测试页面,Tomcat服务器接收到目标请求信息:http://ip:port/test.jsp?name=abc‘or‘1’=’1,Tomcat服务器利用websec.jar检查Web应用层是否被攻击的过程,参照图2,包括:
步骤S201,获取到HTTP请求参数为:abc‘or‘1’=’1,需要说明的是,这个HTTP请求参数是Tomcat服务器的参照命令中设定的正常HTTP请求参数;
步骤S202,获取到SQL执行语句为:select user from manage where name=’abc’or‘1’=’1’(即,执行命令为:select user from manage where name=’abc’or‘1’=’1’);
步骤S203,去掉HTTP请求参数后的SQL执行语句为:select user from managewhere name=”,格式化词法结构后的SQL执行语句为:select user from manage wherename=”or‘’=’,发现Web应用层所执行的SQL语句词法结构与HTTP请求参数的词法结构相比发生了改变,增加了词法结构or‘’=”,确定发生了SQL注入攻击。
例二、命令注入
首先,利用JVMTI技术中的Instrumentation原理,开发出检测攻击功能的命名为websec.jar的jar包,websec.jar中包括预设脚本,其中,预设脚本包括第一子脚本和第二子脚本,第一子脚本根据HTTP协议特征,通过拦截HttpServletRequest类的方法实现获取HTTP请求参数,第二子脚本根据识别目标请求信息触发的执行行为特征,通过拦截ProcessBuilder类的方法实现获取执行命令。
然后,编辑Tomcat启动脚本javaagent:websec.jar,用参数将websec.jar添加到Tomcat服务器中。
Tomcat服务器启动后,用户通过浏览器访问cmd.jsp测试页面,Tomcat服务器接收到目标请求信息:http://ip:port/cmd.jsp?cmd=dir,Tomcat服务器利用websec.jar检查Web应用层是否被攻击的过程,参照图3,包括:
步骤S301,获取到HTTP请求参数为:dir;
步骤S302,获取到执行命令为:dir;
步骤S303,将执行命令dir和参照命令对比,得出执行命令dir非参照命令中的命令,确定为发生了命令注入攻击。
需要说明的是,虽然上述两个例子中,以对Tomcat服务器的Web应用层攻击的检测原理进行描述,但本发明实施例中的网络服务器不限于Tomcat服务器,且检测原理都是采用服务器钩子函数(Hook函数)技术获取请求参数和执行命令。钩子函数是消息处理机制的一部分,通过设置“钩子”,应用程序可以在系统级对所有消息、事件进行访问。
实施例二
本发明实施例提供的一种提高Web应用层攻击检测准确率的装置,如图4所示,包括:
获取模块100,用于获取用户发送的目标请求信息,其中,目标请求信息为请求访问网络服务器的请求信息;
检测模块200,用于检测网络服务器基于目标请求信息触发的执行命令,执行命令为用于执行目标操作的命令,目标操作为基于目标请求信息生成响应消息的操作;
确定模块300,用于根据执行命令,确定目标请求信息是否存在攻击行为,其中,攻击行为为对Web应用层进行的攻击行为。
在本发明实施例中,检测模块200检测网络服务器基于获取模块100获取到的目标请求信息触发的执行命令,确定模块300通过关联分析目标请求信息触发的执行命令实现对目标请求信息是否存在攻击行为进行确定,即,本发明通过了解网络服务器基于目标请求信息运行的具体业务来判断目标请求信息是否在网络服务器的业务系统中产生了真实的攻击行为,从而缓解了传统的应用层攻击检测方法存在较高误报率的技术问题。
本发明实施例的一个可选实施方式中,确定模块,包括:
获取单元,用于获取参照命令,其中,参照命令为预先存储在网络服务器中的执行命令;
对比单元,用于将执行命令和参照命令进行对比,得到对比结果,其中,对比结果用于表示参照命令和执行命令的相似程度;
确定单元,用于根据对比结果确定目标请求信息是否存在攻击行为。
本发明实施例的另一个可选实施方式中,提高Web应用层攻击检测准确率的装置,还包括:
推送模块,用于在确定出目标请求信息存在攻击行为的情况下,使网络服务器向用户推送目标请求信息的响应信息;
停止模块,用于在确定出目标请求信息不存在攻击行为的情况下,使网络服务器停止对目标请求信息的响应。
本发明实施例的另一个可选实施方式中,获取模块用于:
在网络服务器接收的全部信息中识别目标请求信息,并将目标请求信息进行截取;
其中,网络服务器中存储有用户预先发送的目标请求信息。
本发明实施例的另一个可选实施方式中,获取模块还用于:在网络服务器接收的全部信息中识别目标请求信息之前,
获取第一子脚本,其中,第一子脚本为用于识别目标请求信息的传输协议特征的脚本;
将第一子脚本嵌入在预设脚本中,以使预设脚本在网络服务器接收的全部信息中识别目标请求信息。
本发明实施例的另一个可选实施方式中,检测模块用于:
获取第二子脚本,其中,第二子脚本为用于识别目标请求信息触发的执行行为特征的脚本;
将第二子脚本嵌入在预设脚本中,以通过嵌入在预设脚本中的第二子脚本截取网络服务器在目标请求信息触发下的执行语句;
从截取到的执行语句中提取执行命令。
本发明实施例所提供的提高Web应用层攻击检测准确率的方法及装置,包括存储了程序代码的计算机可读存储介质,程序代码包括的指令可用于执行前面方法实施例中的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种提高Web应用层攻击检测准确率的方法,其特征在于,包括:
获取用户发送的目标请求信息,其中,所述目标请求信息为请求访问网络服务器的请求信息;
检测所述网络服务器基于所述目标请求信息触发的执行命令,所述执行命令为用于执行目标操作的命令,所述目标操作为基于所述目标请求信息生成响应消息的操作;
根据所述执行命令,确定所述目标请求信息是否存在攻击行为,其中,所述攻击行为为对Web应用层进行的攻击行为。
2.根据权利要求1所述的方法,其特征在于,根据所述执行命令,确定所述目标请求信息是否存在攻击行为,包括:
获取参照命令,其中,所述参照命令为预先存储在所述网络服务器中的执行命令;
将所述执行命令和所述参照命令进行对比,得到对比结果,其中,所述对比结果用于表示所述参照命令和所述执行命令的相似程度;
根据所述对比结果确定所述目标请求信息是否存在所述攻击行为。
3.根据权利要求1所述的方法,其特征在于,在确定所述目标请求信息是否存在攻击行为之后,所述方法还包括:
在确定出所述目标请求信息存在攻击行为的情况下,使所述网络服务器向所述用户推送所述目标请求信息的响应信息;
在确定出所述目标请求信息不存在攻击行为的情况下,使所述网络服务器停止对所述目标请求信息的响应。
4.根据权利要求1所述的方法,其特征在于,获取用户发送的目标请求信息,包括:
在所述网络服务器接收的全部信息中识别所述目标请求信息,并将所述目标请求信息进行截取;
其中,所述网络服务器中存储有所述用户预先发送的所述目标请求信息。
5.根据权利要求4所述的方法,其特征在于,在所述网络服务器接收的全部信息中识别所述目标请求信息之前,所述方法还包括:
获取第一子脚本,其中,所述第一子脚本为用于识别所述目标请求信息的传输协议特征的脚本;
将所述第一子脚本嵌入在预设脚本中,以使所述预设脚本在所述网络服务器接收的全部信息中识别所述目标请求信息。
6.根据权利要求5所述的方法,其特征在于,检测所述网络服务器基于所述目标请求信息触发的执行命令,包括:
获取第二子脚本,其中,所述第二子脚本为用于识别所述目标请求信息触发的执行行为特征的脚本;
将所述第二子脚本嵌入在所述预设脚本中,以通过嵌入在所述预设脚本中的所述第二子脚本截取所述网络服务器在所述目标请求信息触发下的执行语句;
从截取到的所述执行语句中提取所述执行命令。
7.一种提高Web应用层攻击检测准确率的装置,其特征在于,包括:
获取模块,用于获取用户发送的目标请求信息,其中,所述目标请求信息为请求访问网络服务器的请求信息;
检测模块,用于检测所述网络服务器基于所述目标请求信息触发的执行命令,所述执行命令为用于执行目标操作的命令,所述目标操作为基于所述目标请求信息生成响应消息的操作;
确定模块,用于根据所述执行命令,确定所述目标请求信息是否存在攻击行为,其中,所述攻击行为为对Web应用层进行的攻击行为。
8.根据权利要求7所述的装置,其特征在于,所述确定模块,包括:
获取单元,用于获取参照命令,其中,所述参照命令为预先存储在所述网络服务器中的执行命令;
对比单元,用于将所述执行命令和所述参照命令进行对比,得到对比结果,其中,所述对比结果用于表示所述参照命令和所述执行命令的相似程度;
确定单元,用于根据所述对比结果确定所述目标请求信息是否存在所述攻击行为。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
推送模块,用于在所述目标请求信息存在攻击行为的情况下,使所述网络服务器向所述用户推送所述目标请求信息的响应信息;
停止模块,用于在所述目标请求信息不存在攻击行为的情况下,使所述网络服务器停止对所述目标请求信息的响应。
10.根据权利要求7所述的装置,其特征在于,所述获取模块用于:
在所述网络服务器接收的全部信息中识别所述目标请求信息,并将所述目标请求信息进行截取;
其中,所述网络服务器中存储有所述用户预先发送的所述目标请求信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710931986.8A CN107483510B (zh) | 2017-10-09 | 2017-10-09 | 一种提高Web应用层攻击检测准确率的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710931986.8A CN107483510B (zh) | 2017-10-09 | 2017-10-09 | 一种提高Web应用层攻击检测准确率的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107483510A true CN107483510A (zh) | 2017-12-15 |
| CN107483510B CN107483510B (zh) | 2020-11-24 |
Family
ID=60606209
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710931986.8A Active CN107483510B (zh) | 2017-10-09 | 2017-10-09 | 一种提高Web应用层攻击检测准确率的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107483510B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274675A (zh) * | 2018-09-30 | 2019-01-25 | 上海视岳计算机科技有限公司 | 一种基于云平台的大规模Web攻击检测方法和系统 |
| CN111901318A (zh) * | 2020-07-15 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 一种命令注入攻击检测的方法、系统及设备 |
| CN112395597A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 网站应用漏洞攻击的检测方法及装置、存储介质 |
| CN112601227A (zh) * | 2020-12-29 | 2021-04-02 | 湖北快付宝信息科技有限公司 | 一种移动终端的应用安全防护方法 |
| CN112769729A (zh) * | 2019-10-21 | 2021-05-07 | 广州汽车集团股份有限公司 | 一种服务器入侵告警方法及其系统 |
| CN113190836A (zh) * | 2021-03-29 | 2021-07-30 | 贵州电网有限责任公司 | 一种基于本地命令执行的web攻击行为检测方法及系统 |
| CN113765859A (zh) * | 2020-06-05 | 2021-12-07 | 北京神州泰岳软件股份有限公司 | 网络安全过滤方法及装置 |
| CN114640507A (zh) * | 2022-02-28 | 2022-06-17 | 天翼安全科技有限公司 | 一种WebShell的检测方法、装置及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267357A (zh) * | 2007-03-13 | 2008-09-17 | 北京启明星辰信息技术有限公司 | 一种sql注入攻击检测方法及系统 |
| CN102045319A (zh) * | 2009-10-21 | 2011-05-04 | 中国移动通信集团山东有限公司 | Sql注入攻击检测方法及其装置 |
| CN103338208A (zh) * | 2013-07-16 | 2013-10-02 | 五八同城信息技术有限公司 | 一种sql注入防御的方法和系统 |
| US20140090067A1 (en) * | 2012-09-27 | 2014-03-27 | International Business Machines Corporation | Customizing a security report using static analysis |
| CN103744802A (zh) * | 2013-12-20 | 2014-04-23 | 北京奇虎科技有限公司 | Sql注入攻击的识别方法及装置 |
| CN105653930A (zh) * | 2014-10-21 | 2016-06-08 | 广西大学 | 数据库粗粒度安全审计方法 |
| CN106991322A (zh) * | 2016-01-21 | 2017-07-28 | 北京启明星辰信息安全技术有限公司 | 一种结构化查询语言sql注入攻击的检测方法和装置 |
| CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
| CN107122657A (zh) * | 2017-05-02 | 2017-09-01 | 上海红神信息技术有限公司 | 一种防御sql注入攻击的数据库代理装置 |
| CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
-
2017
- 2017-10-09 CN CN201710931986.8A patent/CN107483510B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267357A (zh) * | 2007-03-13 | 2008-09-17 | 北京启明星辰信息技术有限公司 | 一种sql注入攻击检测方法及系统 |
| CN102045319A (zh) * | 2009-10-21 | 2011-05-04 | 中国移动通信集团山东有限公司 | Sql注入攻击检测方法及其装置 |
| US20140090067A1 (en) * | 2012-09-27 | 2014-03-27 | International Business Machines Corporation | Customizing a security report using static analysis |
| CN103338208A (zh) * | 2013-07-16 | 2013-10-02 | 五八同城信息技术有限公司 | 一种sql注入防御的方法和系统 |
| CN103744802A (zh) * | 2013-12-20 | 2014-04-23 | 北京奇虎科技有限公司 | Sql注入攻击的识别方法及装置 |
| CN105653930A (zh) * | 2014-10-21 | 2016-06-08 | 广西大学 | 数据库粗粒度安全审计方法 |
| CN106991322A (zh) * | 2016-01-21 | 2017-07-28 | 北京启明星辰信息安全技术有限公司 | 一种结构化查询语言sql注入攻击的检测方法和装置 |
| CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
| CN107122657A (zh) * | 2017-05-02 | 2017-09-01 | 上海红神信息技术有限公司 | 一种防御sql注入攻击的数据库代理装置 |
| CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274675A (zh) * | 2018-09-30 | 2019-01-25 | 上海视岳计算机科技有限公司 | 一种基于云平台的大规模Web攻击检测方法和系统 |
| CN112395597A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 网站应用漏洞攻击的检测方法及装置、存储介质 |
| CN112769729A (zh) * | 2019-10-21 | 2021-05-07 | 广州汽车集团股份有限公司 | 一种服务器入侵告警方法及其系统 |
| CN112769729B (zh) * | 2019-10-21 | 2023-03-03 | 广州汽车集团股份有限公司 | 一种服务器入侵告警方法及其系统 |
| CN113765859A (zh) * | 2020-06-05 | 2021-12-07 | 北京神州泰岳软件股份有限公司 | 网络安全过滤方法及装置 |
| CN111901318A (zh) * | 2020-07-15 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 一种命令注入攻击检测的方法、系统及设备 |
| CN112601227A (zh) * | 2020-12-29 | 2021-04-02 | 湖北快付宝信息科技有限公司 | 一种移动终端的应用安全防护方法 |
| CN113190836A (zh) * | 2021-03-29 | 2021-07-30 | 贵州电网有限责任公司 | 一种基于本地命令执行的web攻击行为检测方法及系统 |
| CN114640507A (zh) * | 2022-02-28 | 2022-06-17 | 天翼安全科技有限公司 | 一种WebShell的检测方法、装置及存储介质 |
| CN114640507B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 一种WebShell的检测方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107483510B (zh) | 2020-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483510A (zh) | 一种提高Web应用层攻击检测准确率的方法及装置 | |
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| CN110472414A (zh) | 系统漏洞的检测方法、装置、终端设备及介质 | |
| CN104685510B (zh) | 识别应用程序是否是恶意程序的方法、系统及存储介质 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| WO2016148865A1 (en) | Methods and systems for improving analytics in distributed networks | |
| CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
| TW201633747A (zh) | 利用運行期代理器及網路探查器判定漏洞之技術 | |
| CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| WO2017071148A1 (zh) | 基于云计算平台的智能防御系统 | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
| CN111783096A (zh) | 检测安全漏洞的方法和装置 | |
| CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
| CN103780450A (zh) | 浏览器访问网址的检测方法和系统 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| CN110851838A (zh) | 一种基于互联网的云测试系统及安全测试方法 | |
| CN107135199B (zh) | 网页后门的检测方法和装置 | |
| KR101468798B1 (ko) | 파밍 탐지 및 차단 장치, 이를 이용한 방법 | |
| CN106911635A (zh) | 一种检测网站是否存在后门程序的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 188 Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang Province Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Applicant before: DBAPPSECURITY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |