CN112565271A - Web攻击检测方法和装置 - Google Patents
Web攻击检测方法和装置 Download PDFInfo
- Publication number
- CN112565271A CN112565271A CN202011430618.3A CN202011430618A CN112565271A CN 112565271 A CN112565271 A CN 112565271A CN 202011430618 A CN202011430618 A CN 202011430618A CN 112565271 A CN112565271 A CN 112565271A
- Authority
- CN
- China
- Prior art keywords
- detection level
- detection
- message
- behavior
- abnormal input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种Web攻击检测方法和装置,其中方法包括:威胁感知平台接收来自终端设备的消息,并获取前端代码采集的用户在输入所述消息内容时的行为数据;对所述行为数据进行分析以确定检测等级;采用确定出的检测等级对所述消息进行攻击载荷的检测。本申请能够优化Web攻击检测的效果。
Description
【技术领域】
本申请涉及计算机应用技术领域,特别涉及Web攻击检测方法和装置。
【背景技术】
本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就被认为是现有技术。
Web攻击中,攻击者常常在发送的消息中携带攻击载荷以实现对服务器的攻击。传统的Web攻击检测方法通常设置好检测等级,固定采用该检测等级进行检测。这种检测方式非常死板,检测等级设置得过严容易产生误报,设置得过松容易产生漏报,因此检测效果尚待提高。
【发明内容】
有鉴于此,本申请提供了一种Web攻击检测的方法和装置,以便于优化Web攻击检测的效果。
具体技术方案如下:
第一方面,本申请提供了一种Web攻击检测方法,该方法包括:
威胁感知平台接收来自终端设备的消息,并获取前端代码采集的用户在输入所述消息内容时的行为数据;
对所述行为数据进行分析以确定检测等级;
采用确定出的检测等级对所述消息进行攻击载荷的检测。
根据本发明一实施例,对所述行为数据进行分析以确定检测等级包括:
判断所述行为数据是否包括异常输入行为,如果否,则采用第一检测等级对所述消息进行攻击载荷的检测或者不对所述消息进行攻击载荷的检测。
根据本发明一实施例,所述采用第一检测等级对所述消息进行攻击载荷的检测或者不对所述消息进行攻击载荷的检测包括:
判断所述行为数据是否满足进行攻击载荷检测的预设要求,如果是,则采用第一检测等级对所述消息进行攻击载荷的检测;否则,不对所述消息进行攻击载荷的检测。
根据本发明一实施例,对所述行为数据进行分析以确定检测等级还包括:
如果判断出所述行为数据包括异常输入行为,则依据异常输入行为的类型确定对应的检测等级。
根据本发明一实施例,所述依据异常输入行为的类型确定对应的检测等级包括:
若所述异常输入行为包括复制黏贴并修改,则采用第二检测等级;
若所述异常输入行为仅包括复制黏贴,则采用第三检测等级;
若所述异常输入行为包括输入字符长度与输入行为事件数不匹配,则采用第四检测等级;
若所述异常输入行为包括同一用户对不同字符的输入间隔呈规律分布或者同一用户输入相同字符串的时间间隔呈随机分布,则采用第五检测等级;
其中所述第二检测等级高于所述第三检测等级,所述第三检测等级高于所述第一检测等级;所述第四检测等级高于所述第五检测等级,所述第五检测等级高于所述第一检测等级。
根据本发明一实施例,该方法还包括:
若对所述消息进行攻击载荷的检测结果为检测通过,则将所述消息转发给对应的服务器端。
第二方面,本申请提供了一种Web攻击检测装置,设置于威胁感知平台,该装置包括:
接收单元,用于接收来自终端设备的消息,并获取前端代码采集的用户在输入所述消息内容时的行为数据;
分析单元,用于对所述行为数据进行分析以确定检测等级;
检测单元,用于采用所述分析单元确定出的检测等级对所述消息进行攻击载荷的检测。
根据本发明一实施例,所述分析单元包括:
判断子单元,用于判断所述行为数据是否包括异常输入行为;
确定子单元,用于若所述判断子单元判断出所述行为数据不包括异常输入行为,则确定采用第一检测等级或者确定不对所述消息进行攻击载荷的检测。
根据本发明一实施例,所述确定子单元,具体用于若所述判断子单元判断出所述行为数据不包括异常输入行为,则判断所述行为数据是否满足进行攻击载荷检测的预设要求,如果是,则确定采用第一检测等级;否则,确定不对所述消息进行攻击载荷的检测。
根据本发明一实施例,所述确定子单元,还用于若所述判断子单元判断出所述行为数据包括异常输入行为,则依据异常输入行为的类型确定对应的检测等级。
根据本发明一实施例,所述确定子单元在依据异常输入行为的类型确定对应的检测等级时,具体执行:
若所述异常输入行为包括复制黏贴并修改,则确定采用第二检测等级;
若所述异常输入行为仅包括复制黏贴,则确定采用第三检测等级;
若所述异常输入行为包括输入字符长度与输入行为事件数不匹配,则确定采用第四检测等级;
若所述异常输入行为包括同一用户对不同字符的输入间隔呈规律分布或者同一用户输入相同字符串的时间间隔呈随机分布,则确定采用第五检测等级;
其中所述第二检测等级高于所述第三检测等级,所述第三检测等级高于所述第一检测等级;所述第四检测等级高于所述第五检测等级,所述第五检测等级高于所述第一检测等级。
根据本发明一实施例,该装置还包括:
转发单元,用于若所述检测单元对所述消息进行攻击载荷的检测结果为检测通过,则将所述消息转发给对应的服务器端。
第四方面,本申请提供了一种电子设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
第五方面,本申请提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如上所述的方法。
由以上技术方案可以看出,本申请通过前端代码采集用户在输入消息内容时的行为数据,依据用户在输入数据时的行为数据确定与之相适应的检测等级,检测方式更加灵活,提高了检测效果。
【附图说明】
图1示出了可以应用本发明实施例的Web攻击检测方法或装置的示例性系统架构;
图2为本申请实施例提供的主要方法流程图;
图3为本申请实施例提供的一种优选的方法流程图;
图4为本申请实施例提供的Web攻击检测装置的结构示意图;
图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器的框图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
图1示出了可以应用本发明实施例的Web攻击检测方法或装置的示例性系统架构。
如图1所示,该系统架构可以包括终端设备101、网络102、威胁感知平台103、网络104和服务器105。网络102用以在终端设备101和威胁感知平台103之间提供通信链路的介质。网络103用以在威胁感知平台103和服务器105之间提供通信链路的介质。其中,网络102和网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101与服务器105进行交互,向服务器105发送消息并接收服务器105返回的消息。终端设备101上可以安装有各种应用,例如语音交互应用、网页浏览器应用、通信类应用等。
终端设备101可以是任意的终端设备,包括但不限于智能手机、智能平板、笔记本电脑、PC、智能可穿戴式设备等等。终端设备101中可以通过浏览器、移动应用(指的是移动设备中安装的应用)、桌面客户端(指的是PC或笔记本电脑中安装的客户端)进行web页面的浏览和操作。本申请中可以在web页面、移动应用或桌面客户端中嵌入代码,称为前端代码,负责对web页面上发生的用户行为数据进行采集并将用户行为数据连同包含用户输入数据的消息一起发送给威胁感知平台。
威胁感知平台103可以是运营商网络(即网络104)的边缘设备,处于网关位置。负责对来自终端设备101的消息进行攻击载荷的检测,通过检测的消息转发给服务器105,未通过检测的消息则可以进行丢弃处理。在本申请中,威胁感知平台103还进一步利用前端代码采集的用户在输入消息内容时的行为数据进行检测等级的确定。
其中威胁感知平台103可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块,在此不做具体限定。服务器105可以是单一服务器,也可以是多个服务器构成的服务器群组。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图2为本申请实施例提供的主要方法流程图,如图2中所示,该方法可以包括以下步骤:
在201中,威胁感知平台接收来自终端设备的消息,并获取前端代码采集的用户在输入该消息内容时的行为数据。
来自终端设备的消息通常可以体现为http请求,该消息中包含用户的输入数据(即用户输入的消息内容),可以包括但不限于输入的文本、语音、多媒体资源等等。其中用户的输入数据是作为消息载荷的,这部分内容作为本申请实施例要检测的目标。
本申请中可以在Web页面中嵌入前端代码,例如JS代码(该JS代码在web页面加载后运行),在移动应用中嵌入代码或者在桌面客户端中嵌入代码,利用这些代码对Web页面上发生的用户行为数据进行采集。
采集的用户行为数据主要体现为用户在Web页面上的操作事件,例如可以包括桌面客户端的Web页面上发生的鼠标键盘事件,例如鼠标事件类型及其发生的时间信息,键盘事件类型及其发生的时间信息等等。移动应用的Web页面上发生的触屏事件,例如触屏事件类型及其发生的时间信息等。除了上述操作事件之外,也可以体现为诸如运动传感器事件等其他类型的用户行为数据。
用户在Web页面上输入数据的同时,前端代码采集用户输入数据时产生的行为数据,终端设备在发送包含输入数据的消息时连同行为数据一起发送。
作为其中一种实现方式,行为数据可以携带在消息中作为消息的扩展位,即通过消息的扩展位携带用户输入数据时产生的行为数据。
在202中,威胁感知平台对行为数据进行分析以确定检测等级。
从背景技术中的描述可以看出,传统对载荷的检测是基于固定等级的。而本申请中则打破了这种传统的检测方式。通常对于Web攻击而言,其在行为上往往存在一些典型的特点。不同行为特点的Web攻击的攻击性也不尽相同,本申请正是利用了这一特性,依据用户在输入数据时的行为数据确定与之相适应的检测等级。
在203中,采用确定出的检测等级对该消息进行攻击载荷的检测。
在本申请实施例中,检测等级越高对应的检测方式越严格。不同检测等级对应的检测方式可以预先设置好,在确定出检测等级后直接采用与之相对应的检测方式进行攻击载荷的检测。
在进行攻击载荷的检测后,如果检测通过,则威胁感知平台可以将该消息转发给对应的服务器。如果检测失败,则说明该消息存在web攻击,可以直接丢弃该消息,或者进一步对web攻击的来源进行检测等等。
图3为本申请实施例提供的一种优选的方法流程图,如图3中所示,该方法可以具体包括以下步骤:
在301中,威胁感知平台接收来自终端设备的消息,并获取前端代码采集的用户在输入消息内容时的行为数据。
本步骤同图2所示实施例中步骤201,在此不做赘述。
在302中,判断上述行为数据是否包括异常输入行为,如果否,执行303;如果是,执行步骤306。
在本申请中对于异常输入行为的分析可以采用预先设置好的策略。判断行为数据中是否包含异常输入行为,可以单纯基于行为数据,也可以结合行为数据和输入数据一起进行判断。
例如,如果行为数据中包括复制黏贴行为则认为包含异常输入行为。
再例如,如果行为数据包括的输入行为事件数与用户输入字符长度不匹配,则认为包含异常输入行为。
再例如,若行为数据包含的同一用户对不同字符的输入间隔呈规律分布,则认为包含异常输入行为。
再例如,若行为数据包含的同一用户输入相同字符串的时间间隔呈随机分布,则认为包含异常输入行为。等等。
因为前端代码采集的用户行为数据体现为用户在Web页面上的操作事件,具体可以包括操作事件类型及其发生的时间信息,因此上述异常输入行为的分析可以基于操作事件类型及其发生的时间信息实现。关于上述异常输入行为将在后续步骤306中进行更详细的说明。
在303中,判断上述行为数据是否满足进行攻击载荷检测的预设要求,如果是,执行304;否则执行305;
如果用户的行为数据中不包含异常输入行为,即是正常的输入行为,则可以不对消息进行攻击载荷的检测,也可以采用较低检测等级对消息进行检测。作为其中一种优选的实施方式,对于正常的输入行为数据可以预先设置攻击载荷检测的要求。在满足攻击载荷检测的预设要求的情况下,采用较低检测等级对消息进行检测。
例如对于用户登录信息的输入页面上,用户在输入框输入的字符数通常不会大于10,因此可以设置键盘事件的数量如果超过10,则认为满足进行攻击载荷检测的预设要求。攻击载荷检测的预设要求可以根据实际需求进行设置,在此不对进行攻击载荷检测的预设要求进行一一举例。
在304中,采用第一检测等级对消息进行攻击载荷的检测后,执行步骤308。
本步骤中涉及的第一检测等级是一种较低检测等级,例如是多个检测等级中的最低检测等级。
在此需要说明的是,本申请实施例中涉及的“第一”、“第二”、“第三”、“第四”等限定并不具备数量、顺序、大小等含义,仅仅用以区分不同的名称,即用以区分不同的检测等级,而各检测等级的高低将额外进行限定。
在305中,不对消息进行攻击载荷的检测,直接执行步骤309。
在306中,依据异常输入行为的类型确定对应的检测等级,可以包括但不限于以下几种:
1)若异常输入行为包括复制黏贴并修改,则采用第二检测等级;
2)若异常输入行为仅包括复制黏贴,则采用第三检测等级。
其中第二检测等级高于第三检测等级,第三检测等级高于上述的第一检测等级
因为通常情况下,用户通过Web页面进行数据输入时是不会采用复制黏贴的方式的。而攻击者则常常将攻击载荷进行黏贴作为输入数据提交,因此对于包括复制黏贴操作事件的,需要增加检测严格度。若除了复制黏贴之外还包括修改操作事件,则很可能是攻击者在将攻击载荷进行黏贴后尝试优化调整攻击载荷,因此可以采取更加严格的检测。
3)若异常输入行为包括输入字符长度与输入行为事件数不匹配,则采用第四检测等级;
4)若所述异常输入行为包括同一用户对不同字符的输入间隔呈规律分布或者同一用户输入相同字符串的时间间隔呈随机分布,则采用第五检测等级。
其中第四检测等级高于第五检测等级,第五检测等级高于第一检测等级。
对于上述第3)种情况,如果用户在Web页面上发生的键盘事件数量有5次,而输入字符数量却有7个,则很可能通过浏览器插件的形式修改了攻击载荷,对于这种情况则需要采用非常严格的检测等级。如果用户在Web页面上发生的键盘事件数量有7个,输入字符数量却只有5个,则很可能攻击者采用了自动化的输入方式同时伪造了行为数据,这种情况需要采用非常严格的检测等级。
对于上述第4)种情况,用户在输入不同字符的时候,输入间隔往往是不一致的,呈现一定的随机性。而一些攻击者如果采用自动化工具完成输入,则即便在不同字符输入的时候也会呈现一定的规律,例如输入间隔都相同。对于这种情况则需要采用一定的检测等级,但该检测等级可以低于第3)种情况,即没有第3)种情况严格。
对于上述第4)种情况,用户在输入相同字符串时通常时间间隔是较为固定的。例如用户在输入“app”和“apple”时,对于相同字符串“app”的输入时间间隔是比较固定的。但一些自动化工具为了避免因输入间隔呈功率分布而被检测出来采用了随机输入间隔的方式,就使得对于相同字符串的输入间隔也呈现随机分布。例如同一用户在“app”和“apple”时,对于相同字符串“app”的输入时间间隔差异很大。对于这种情况也需要采用一定的检测等级,该检测等级可以低于第3)种情况,即没有第3)种情况严格。
上述几种情况仅仅是本申请实施例所列举的几种较为常见的情况,但并不限于上述几种情况。在此不做一一穷举。
在307中,采用对应的检测等级进行攻击载荷的检测后,执行步骤308。
在308中,判断检测是否通过,如果是,执行309;否则,执行310。
在309中,将该消息转发至服务器端,结束流程。
对于转发给服务器端的消息则可以不连同行为数据发送,即在此威胁感知平台可以剥离掉行为数据后,将消息转发至服务器端。
在310中,丢弃该消息。
以上是对本申请所提供的方法进行的详细描述,下面结合实施例对本申请提供的装置进行详细描述。
图4为本申请实施例提供的Web攻击检测装置的结构示意图,该装置设置于威胁感知平台,用以实现上述威胁感知平台的功能。威胁感知平台设置于运营商网络的边缘,作为边缘节点,处于网关的位置。如图4中所示,该装置可以包括:接收单元10、分析单元20和检测单元30,还可以进一步包括转发单元40。其中各组成单元的主要功能如下:
接收单元10,用于接收来自终端设备的消息,并获取前端代码采集的用户在输入消息内容时的行为数据。
采集的用户行为数据主要体现为用户在Web页面上的操作事件,例如可以包括桌面客户端的Web页面上发生的鼠标键盘事件,例如鼠标事件类型及其发生的时间信息,键盘事件类型及其发生的时间信息等等。移动应用的Web页面上发生的触屏事件,例如触屏事件类型及其发生的时间信息等。除了上述操作事件之外,也可以体现为诸如运动传感器事件等其他类型的用户行为数据。
用户在Web页面上输入数据的同时,前端代码采集用户输入数据时产生的行为数据,终端设备在发送包含输入数据的消息时连同行为数据一起发送。
作为其中一种实现方式,行为数据可以携带在消息中作为消息的扩展位,即通过消息的扩展位携带用户输入数据时产生的行为数据。
分析单元20,用于对行为数据进行分析以确定检测等级。
检测单元30,用于采用分析单元20确定出的检测等级对消息进行攻击载荷的检测。
其中,分析单元20可以具体包括:判断子单元21和确定子单元22。
判断子单元21,用于判断行为数据是否包括异常输入行为。
确定子单元22,用于若判断子单元21判断出行为数据不包括异常输入行为,则确定采用第一检测等级或者确定不对消息进行攻击载荷的检测。
作为一种优选的实施方式,若判断子单元21判断出行为数据不包括异常输入行为,则确定子单元22进一步判断行为数据是否满足进行攻击载荷检测的预设要求,如果是,则确定采用第一检测等级;否则,确定不对消息进行攻击载荷的检测。
更进一步地,确定子单元22,还用于若判断子单元判断出行为数据包括异常输入行为,则依据异常输入行为的类型确定对应的检测等级。
具体地,确定子单元22在依据异常输入行为的类型确定对应的检测等级时,可以采用但不限于以下方式:
若异常输入行为包括复制黏贴并修改,则确定采用第二检测等级;
若异常输入行为仅包括复制黏贴,则确定采用第三检测等级;
若异常输入行为包括输入字符长度与输入行为事件数不匹配,则确定采用第四检测等级;
若异常输入行为包括同一用户对不同字符的输入间隔呈规律分布或者同一用户输入相同字符串的时间间隔呈随机分布,则确定采用第五检测等级;
其中第二检测等级高于第三检测等级,第三检测等级高于第一检测等级;第四检测等级高于第五检测等级,第五检测等级高于第一检测等级。
转发单元40,用于若检测单元30对消息进行攻击载荷的检测结果为检测通过,则将消息转发给对应的服务器端。
或者,如果检测单元30确定不对消息进行攻击载荷的检测,则转发40直接转发消息给对应的服务器端。
图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器012的框图。图5显示的计算机系统/服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统/服务器012以通用计算设备的形式表现。计算机系统/服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元016,系统存储器028,连接不同系统组件(包括系统存储器028和处理单元016)的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器028可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。计算机系统/服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统034可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,计算机系统/服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该计算机系统/服务器012交互的设备通信,和/或与使得该计算机系统/服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,计算机系统/服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器020通过总线018与计算机系统/服务器012的其它模块通信。应当明白,尽管图5中未示出,可以结合计算机系统/服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元016通过运行存储在系统存储器028中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的方法流程。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行本发明实施例所提供的方法流程。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (14)
1.一种Web攻击检测方法,其特征在于,该方法包括:
威胁感知平台接收来自终端设备的消息,并获取前端代码采集的用户在输入所述消息内容时的行为数据;
对所述行为数据进行分析以确定检测等级;
采用确定出的检测等级对所述消息进行攻击载荷的检测。
2.根据权利要求1所述的方法,其特征在于,对所述行为数据进行分析以确定检测等级包括:
判断所述行为数据是否包括异常输入行为,如果否,则采用第一检测等级对所述消息进行攻击载荷的检测或者不对所述消息进行攻击载荷的检测。
3.根据权利要求2述的方法,其特征在于,所述采用第一检测等级对所述消息进行攻击载荷的检测或者不对所述消息进行攻击载荷的检测包括:
判断所述行为数据是否满足进行攻击载荷检测的预设要求,如果是,则采用第一检测等级对所述消息进行攻击载荷的检测;否则,不对所述消息进行攻击载荷的检测。
4.根据权利要求2所述的方法,其特征在于,对所述行为数据进行分析以确定检测等级还包括:
如果判断出所述行为数据包括异常输入行为,则依据异常输入行为的类型确定对应的检测等级。
5.根据权利要求4所述的方法,其特征在于,所述依据异常输入行为的类型确定对应的检测等级包括:
若所述异常输入行为包括复制黏贴并修改,则采用第二检测等级;
若所述异常输入行为仅包括复制黏贴,则采用第三检测等级;
若所述异常输入行为包括输入字符长度与输入行为事件数不匹配,则采用第四检测等级;
若所述异常输入行为包括同一用户对不同字符的输入间隔呈规律分布或者同一用户输入相同字符串的时间间隔呈随机分布,则采用第五检测等级;
其中所述第二检测等级高于所述第三检测等级,所述第三检测等级高于所述第一检测等级;所述第四检测等级高于所述第五检测等级,所述第五检测等级高于所述第一检测等级。
6.根据权利要求1至5中任一项所述的方法,其特征在于,该方法还包括:
若对所述消息进行攻击载荷的检测结果为检测通过,则将所述消息转发给对应的服务器端。
7.一种Web攻击检测装置,设置于威胁感知平台,其特征在于,该装置包括:
接收单元,用于接收来自终端设备的消息,并获取前端代码采集的用户在输入所述消息内容时的行为数据;
分析单元,用于对所述行为数据进行分析以确定检测等级;
检测单元,用于采用所述分析单元确定出的检测等级对所述消息进行攻击载荷的检测。
8.根据权利要求7所述的装置,其特征在于,所述分析单元包括:
判断子单元,用于判断所述行为数据是否包括异常输入行为;
确定子单元,用于若所述判断子单元判断出所述行为数据不包括异常输入行为,则确定采用第一检测等级或者确定不对所述消息进行攻击载荷的检测。
9.根据权利要求8所述的装置,其特征在于,所述确定子单元,具体用于若所述判断子单元判断出所述行为数据不包括异常输入行为,则判断所述行为数据是否满足进行攻击载荷检测的预设要求,如果是,则确定采用第一检测等级;否则,确定不对所述消息进行攻击载荷的检测。
10.根据权利要求8所述的装置,其特征在于,所述确定子单元,还用于若所述判断子单元判断出所述行为数据包括异常输入行为,则依据异常输入行为的类型确定对应的检测等级。
11.根据权利要求10所述的装置,其特征在于,所述确定子单元在依据异常输入行为的类型确定对应的检测等级时,具体执行:
若所述异常输入行为包括复制黏贴并修改,则确定采用第二检测等级;
若所述异常输入行为仅包括复制黏贴,则确定采用第三检测等级;
若所述异常输入行为包括输入字符长度与输入行为事件数不匹配,则确定采用第四检测等级;
若所述异常输入行为包括同一用户对不同字符的输入间隔呈规律分布或者同一用户输入相同字符串的时间间隔呈随机分布,则确定采用第五检测等级;
其中所述第二检测等级高于所述第三检测等级,所述第三检测等级高于所述第一检测等级;所述第四检测等级高于所述第五检测等级,所述第五检测等级高于所述第一检测等级。
12.根据权利要求7至11中任一项所述的装置,其特征在于,该装置还包括:
转发单元,用于若所述检测单元对所述消息进行攻击载荷的检测结果为检测通过,则将所述消息转发给对应的服务器端。
13.一种电子设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
14.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-6中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011430618.3A CN112565271B (zh) | 2020-12-07 | 2020-12-07 | Web攻击检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011430618.3A CN112565271B (zh) | 2020-12-07 | 2020-12-07 | Web攻击检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112565271A true CN112565271A (zh) | 2021-03-26 |
CN112565271B CN112565271B (zh) | 2022-09-02 |
Family
ID=75059985
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011430618.3A Active CN112565271B (zh) | 2020-12-07 | 2020-12-07 | Web攻击检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112565271B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902366A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
CN105119783A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
CN105959335A (zh) * | 2016-07-19 | 2016-09-21 | 腾讯科技(深圳)有限公司 | 一种网络攻击行为检测方法及相关装置 |
CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
CN108304723A (zh) * | 2018-01-17 | 2018-07-20 | 链家网(北京)科技有限公司 | 一种异常行为检测方法及装置 |
CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
US20200036745A1 (en) * | 2017-03-09 | 2020-01-30 | Nec Corporation | Abnormality detection device, abnormality detection method and abnormality detection program |
CN110995695A (zh) * | 2019-11-29 | 2020-04-10 | 字节跳动有限公司 | 异常账户检测方法及装置、电子设备及存储介质 |
CN111031073A (zh) * | 2020-01-03 | 2020-04-17 | 广东电网有限责任公司电力科学研究院 | 一种网络入侵检测系统及方法 |
CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
CN112003833A (zh) * | 2020-07-30 | 2020-11-27 | 瑞数信息技术(上海)有限公司 | 异常行为检测方法和装置 |
CN112003834A (zh) * | 2020-07-30 | 2020-11-27 | 瑞数信息技术(上海)有限公司 | 异常行为检测方法和装置 |
-
2020
- 2020-12-07 CN CN202011430618.3A patent/CN112565271B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902366A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
CN105119783A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
CN105959335A (zh) * | 2016-07-19 | 2016-09-21 | 腾讯科技(深圳)有限公司 | 一种网络攻击行为检测方法及相关装置 |
US20200036745A1 (en) * | 2017-03-09 | 2020-01-30 | Nec Corporation | Abnormality detection device, abnormality detection method and abnormality detection program |
CN108304723A (zh) * | 2018-01-17 | 2018-07-20 | 链家网(北京)科技有限公司 | 一种异常行为检测方法及装置 |
CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
CN110995695A (zh) * | 2019-11-29 | 2020-04-10 | 字节跳动有限公司 | 异常账户检测方法及装置、电子设备及存储介质 |
CN111031073A (zh) * | 2020-01-03 | 2020-04-17 | 广东电网有限责任公司电力科学研究院 | 一种网络入侵检测系统及方法 |
CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
CN112003833A (zh) * | 2020-07-30 | 2020-11-27 | 瑞数信息技术(上海)有限公司 | 异常行为检测方法和装置 |
CN112003834A (zh) * | 2020-07-30 | 2020-11-27 | 瑞数信息技术(上海)有限公司 | 异常行为检测方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112565271B (zh) | 2022-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10084637B2 (en) | Automatic task tracking | |
CN110287146B (zh) | 应用下载的方法、设备和计算机存储介质 | |
CN113568626B (zh) | 动态打包、应用程序包开启方法、装置和电子设备 | |
CN110929128A (zh) | 一种数据爬取方法、装置、设备和介质 | |
US20140195445A1 (en) | System and method for compliance risk mitigation | |
CN116015842A (zh) | 一种基于用户访问行为的网络攻击检测方法 | |
US10015181B2 (en) | Using natural language processing for detection of intended or unexpected application behavior | |
WO2013143407A1 (en) | Data processing, data collection | |
CN110888791A (zh) | 一种日志处理方法、装置、设备和存储介质 | |
CN112003834B (zh) | 异常行为检测方法和装置 | |
US10191844B2 (en) | Automatic garbage collection thrashing monitoring | |
CN107766224B (zh) | 测试方法和测试装置 | |
CN111538922A (zh) | 链接跳转方法、应用客户端、设备及存储介质 | |
CN112565271B (zh) | Web攻击检测方法和装置 | |
CN111611585A (zh) | 终端设备的监控方法、装置、电子设备和介质 | |
CN114553663B (zh) | 一种异常检测方法、装置、设备和存储介质 | |
CN115495740A (zh) | 一种病毒检测方法和装置 | |
CN111741046B (zh) | 数据上报方法、获取方法、装置、设备及介质 | |
CN114528509A (zh) | 一种页面显示处理方法、装置、电子设备及存储介质 | |
CN114205156A (zh) | 面向切面技术的报文检测方法、装置、电子设备及介质 | |
CN112003833A (zh) | 异常行为检测方法和装置 | |
CN110597724B (zh) | 应用安全测试组件的调用方法、装置、服务器及存储介质 | |
CN111859235A (zh) | 一种网页数据采集方法、装置、设备和计算机存储介质 | |
CN113765924A (zh) | 基于用户跨服务器访问的安全监测方法、终端及设备 | |
CN113378025A (zh) | 数据处理方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |