CN113542252A - Web攻击的检测方法、检测模型和检测装置 - Google Patents
Web攻击的检测方法、检测模型和检测装置 Download PDFInfo
- Publication number
- CN113542252A CN113542252A CN202110781814.3A CN202110781814A CN113542252A CN 113542252 A CN113542252 A CN 113542252A CN 202110781814 A CN202110781814 A CN 202110781814A CN 113542252 A CN113542252 A CN 113542252A
- Authority
- CN
- China
- Prior art keywords
- detection
- information source
- detection mode
- attack
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 264
- 238000000034 method Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 13
- 239000000126 substance Substances 0.000 claims description 7
- 238000007689 inspection Methods 0.000 claims 2
- 230000006399 behavior Effects 0.000 description 48
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 3
- 206010001488 Aggression Diseases 0.000 description 2
- 230000016571 aggressive behavior Effects 0.000 description 2
- 208000012761 aggressive behavior Diseases 0.000 description 2
- 238000013145 classification model Methods 0.000 description 2
- 230000004069 differentiation Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明实施例提供一种Web攻击的检测方法、检测模型和检测装置,所述检测方法包括:获取信息源;对所述信息源进行处理,并将处理后的信息源输入预设的多维度检测模型,其中所述多维度检测模型包括多种检测方式;所述预设的多维度检测模型中的每种检测方式分别对所述处理后的信息源进行检测分析,得到对应的多种检测结果;以及根据多种检测结果,确定所述信息源是否存在Web攻击。通过本发明的多维度检测模型可以从多个维度进行对攻击进行检测和评价,以降低对Web攻击识别的误报率、漏报率,从而提升Web应用的安全性。
Description
技术领域
本发明实施例涉及Web应用防火墙的技术领域,具体涉及一种Web攻击的检测方法、检测模型和检测装置。
背景技术
当前web攻击的方式越发多样且难以防护时,攻击者通常会采用多种最新的技术手段来进行不同方式的攻击尝试,一旦攻击成功就会造成中断服务、数据失窃等问题。对于Web应用防火墙来说仅仅使用单一的检测方式或多种检测方式的堆叠的方式难以准确地发现攻击,导致检测不准确造成误报漏报。
发明内容
本发明实施例的目的在于提供一种Web攻击的检测方法,用以从多个维度进行对Web攻击进行检测和评价,以降低Web攻击识别的误报率、漏报率,从而提升Web应用的安全性。
第一方面,本发明提供了一种Web攻击的检测方法,包括:
获取信息源;
对所述信息源进行处理,并将处理后的信息源输入预设的多维度检测模型,其中所述多维度检测模型包括多种检测方式;
所述预设的多维度检测模型中的每种检测方式分别对所述处理后的信息源进行检测分析,得到对应的多种检测结果;以及
根据多种检测结果,确定所述信息源是否存在Web攻击。
本实施例通过多维度检测模型可以从多个维度进行对Web攻击进行检测和评价,以降低对Web攻击识别的误报率、漏报率,从而提升Web应用的安全性。
在一实施例中,所述信息源包括:用户通过浏览器产生的使用行为、用户通过浏览器访问服务器的请求和响应中的信息、恶意IP情报数据。
在一实施例中,所述多种检测方式包括:IP情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式;其中,
所述IP情报定级检测方式,用于对所述信息源中的访问IP进行威胁定级判断来确定所述信息源是否存在Web攻击;
所述规则匹配检测方式,用于对所述信息源匹配攻击特征库来确定所述信息源是否存在Web攻击;
所述语义分析检测方式,用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在Web攻击;
所述业务建模检测方式,用于根据所述信息源中的访问URL的请求,进行模型训练,得到访问该URL的请求特征模型,所述请求特征模型对该访问URL的请求进行偏差分析来确定所述信息源是否存在Web攻击;以及
所述行为分析检测方式,用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在Web攻击。
在一实施例中,每种检测方式的检测结果均对应设置有三个高中低等级,每种检测方式均对应设置有权重值,则所述根据多种检测结果,确定所述信息源是否存在Web攻击包括:
根据每种检测结果与其对应的权重值,确定所述信息源是否存在Web攻击。
在一实施例中,所述恶意IP情报数据包括:攻击行为、攻击时间、置信度、威胁等级;所述用户通过在浏览器产生的使用行为包括:点击事件停留的时间、访问页面的频次和集中度、请求方法、请求头、请求体、状态行为、响应头、响应体。
第二方面,本发明实施例还提供一种用于检测Web攻击的多维度检测模型,包括:多种检测方式,每种检测方式分别对经处理的信息源进行检测分析,得到对应的多种检测结果;
根据多种检测结果,确定所述信息源是否存在Web攻击。
在一实施例中,所述多种检测方式包括:IP情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式;其中,
所述IP情报定级检测方式,用于对所述信息源中的访问IP进行威胁定级判断来确定所述信息源是否存在Web攻击;
所述规则匹配检测方式,用于对所述信息源匹配攻击特征库来确定所述信息源是否存在Web攻击;
所述语义分析检测方式,用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在Web攻击;
所述业务建模检测方式,用于根据所述信息源中的访问URL的请求,进行模型训练,得到访问该URL的请求特征模型,所述请求特征模型对该访问URL的请求进行偏差分析来确定所述信息源是否存在Web攻击;以及
所述行为分析检测方式,用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在Web攻击。
在一实施例中,每种检测方式的检测结果均对应设置有三个高中低等级,每种检测方式均对应设置有权重值,则所述根据多种检测结果,确定所述信息源是否存在Web攻击包括:
根据每种检测结果与其对应的权重值,确定所述信息源是否存在Web攻击。
第三方面,本发明实施例还提供一种Web攻击的检测装置,包括:
获取模块,用于获取信息源;
处理模块,用于对所述信息源进行处理,并将处理后的信息源输入预设的多维度检测模型,其中所述多维度检测模型包括多种检测方式;
检测模块,用于每种检测方式分别对所述处理后的信息源进行检测分析,得到对应的多种检测结果;以及
确定模块,用于根据多种检测结果,确定所述信息源是否存在Web攻击。
在一实施例中,所述多种检测方式包括:IP情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式;其中,
所述IP情报定级检测方式,用于对所述信息源中的访问IP进行威胁定级判断来确定所述信息源是否存在Web攻击;
所述规则匹配检测方式,用于对所述信息源匹配攻击特征库来确定所述信息源是否存在Web攻击;
所述语义分析检测方式,用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在Web攻击;
所述业务建模检测方式,用于根据所述信息源中的访问URL的请求,进行模型训练,得到访问该URL的请求特征模型,所述请求特征模型对该访问URL的请求进行偏差分析来确定所述信息源是否存在Web攻击;以及
所述行为分析检测方式,用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在Web攻击。
附图说明
以示例的方式参考以下附图描述本发明的非限制性且非穷举性实施方案,其中:
图1示出了根据本发明一实施例的Web攻击的检测方法的流程图;
图2示出了根据本发明一实施例的用于检测Web攻击的多维度检测模型的结构示意图;
图3示出了根据本发明一实施例的Web攻击的检测装置的结构示意图。
具体实施方式
为了使本发明的上述以及其他特征和优点更加清楚,下面结合附图进一步描述本发明。应当理解,本文给出的具体实施方案是出于向本领域技术人员解释的目的,仅是示例性的,而非限制性的。
为了使本技术领域的人员更好地理解本发明的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1示出了根据本发明一实施例的Web攻击的检测方法的流程图。
在一实施例中,参照图1,所述检测方法包括:
步骤110,获取信息源。该信息源包括:用户通过浏览器产生的使用行为、用户通过浏览器访问服务器的请求和响应中的信息、恶意IP情报数据。具体地,该信息源包括:包含攻击行为、攻击时间、置信度、威胁等级等信息在内的恶意IP情报数据、用户通过浏览器产生的使用行为如点击事件停留时间、访问页面的频次和集中度、请求方法、请求头、请求体,状态行、响应头、响应体。以上信息涵盖了单次及多次访问的具体信息和结合历史检测情况产出的IP信誉。
步骤120,对所述信息源进行处理,并将处理后的信息源输入预设的多维度检测模型,其中所述多维度检测模型包括多种检测方式。
可以理解的是,所述多种检测方式包括:IP情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式;其中,所述IP情报定级检测方式,用于对所述信息源中的访问IP进行威胁定级判断来确定所述信息源是否存在Web攻击。例如:根据IP情报的攻击方式、最近发现时间、风险等级、置信度等信息对访问的IP进行威胁定级。若是威胁等级高,则表明存在攻击行为的概率高;若是威胁等级低,则表明存在攻击行为的概率低。
所述规则匹配检测方式,用于对所述信息源匹配攻击特征库来确定所述信息源是否存在Web攻击。例如:对请求和响应内容匹配攻击特征库,匹配方式可以是包含、等于、正则等。若是匹配等级高,则表明存在攻击行为的概率高;若是匹配等级低,则表明存在攻击行为的概率低。
所述语义分析检测方式,用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在Web攻击。例如:根据请求和响应内容进行词法、语法、语义分析,判断是否会产生实质性的威胁。若是语义分析等级高,则表明存在攻击行为的概率高;若是语义分析等级低,则表明存在攻击行为的概率低。
所述业务建模检测方式,用于根据所述信息源中的访问URL的请求,进行模型训练,得到访问该URL的请求特征模型,所述请求特征模型对该访问URL的请求进行偏差分析来确定所述信息源是否存在Web攻击。例如:根据访问URL的请求,进行HMM模型、数据分布模型、向量化与单分类模型的训练,得到访问该URL的请求特征模型。对请求进行偏差分析,若偏差等级高(即偏差较大),则存在攻击行为的概率高。若偏差等级低(即偏差较小),则存在攻击行为的概率低。
所述行为分析检测方式,用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在Web攻击。例如:根据用户的使用行为,以及访问频率、访问集中度等信息进行人机判断,进行高维攻击行为的判断。
步骤S130,所述预设的多维度检测模型中的每种检测方式分别对所述处理后的信息源进行检测分析,得到对应的多种检测结果。
可以理解的是,IP情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式这五种检测方式分别对信息源进行检测分析,假设该信息源是恶意IP情报数据,那么若是IP情报定级检测方式确定该恶意IP情报数据的威胁等级高,则表明存在攻击行为的概率高,即使其他的检测方式检测的风险等级较低,也认为该攻击行为的概率高。若是IP情报定级检测方式确定该恶意IP情报数据的威胁等级为中,则表明存在攻击行为的概率为中,此时需要参考其他的四种检测方式的检测结果,综合考虑该威胁等级。
步骤S140,根据多种检测结果,确定所述信息源是否存在Web攻击。具体地,每种检测方式的检测结果均对应设置有三个高中低等级,每种检测方式均对应设置有权重值;根据每种检测结果与其对应的权重值,确定所述信息源是否存在攻击。
举例说明,假设该信息源是恶意IP情报数据,针对该类型的信息源赋予IP情报定级检测方式的权重值较高,其他四种的检测方式的权重值相对较低。同样针对其他类型的信息源会自动相应地调整其相应的检测方式的权重值,例如:如信息源是用户在浏览器的使用行为,则行为分析检测方式的权重值较高。当IP情报定级检测方式确定该恶意IP情报数据的威胁等级为高,则表明存在攻击行为的概率高,即使其他的检测方式检测的风险等级较低,也认为该攻击行为的概率高。若是IP情报定级检测方式确定该恶意IP情报数据的威胁等级为中,此时需要参考其他的四种检测方式的检测结果,根据每个检测结果与其对应的权重值,综合确定该威胁等级,若是综合确定的该威胁等级为高,且则表明存在攻击行为的概率高。
当然,本文仅仅只是描述了等级,也可以采用阈值范围来区分,将的检测结果均对应设置为第一阈值范围(即,高危险)、第二阈值范围(即,中危险)和第三阈值范围(即,低危险)。当然还可以采用其他的危险等级划分,在此不再进行列举。
本发明通过将所有检测方式共性建立多维度检测模型,用该多维度检测模型进行不同的检测方式,综合考虑多个检测结果,从而降低对Web攻击识别的误报率、漏报率、更准确地识别出真实的恶意请求,提升Web应用的安全性。
图2示出了根据本发明一实施例的用于检测Web攻击的多维度检测模型的结构示意图。
参照图2,多维度检测模型200包括:多种检测方式,每种检测方式分别对经处理的信息源进行检测分析,得到对应的多种检测结果;以及根据多种检测结果,确定所述信息源是否存在Web应用攻击。
可以理解的是,所述多种检测方式包括:IP情报定级检测方式210、规则匹配检测方式220、语义分析检测方式230、业务建模检测方式240和行为分析检测方式250;其中,所述IP情报定级检测方式,用于对所述信息源中的访问IP进行威胁定级判断来确定所述信息源是否存在Web攻击。例如:根据IP情报的攻击方式、最近发现时间、风险等级、置信度等信息对访问的IP进行威胁定级。若是威胁等级高,则表明存在攻击行为的概率高;若是威胁等级低,则表明存在攻击行为的概率低。
所述规则匹配检测方式,用于对所述信息源匹配攻击特征库来确定所述信息源是否存在Web攻击。例如:对请求和响应内容匹配攻击特征库,匹配方式可以是包含、等于、正则等。若是匹配等级高,则表明存在攻击行为的概率高;若是匹配等级低,则表明存在攻击行为的概率低。
所述语义分析检测方式,用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在Web攻击。例如:根据请求和响应内容进行词法、语法、语义分析,判断是否会产生实质性的威胁。若是语义分析等级高,则表明存在攻击行为的概率高;若是语义分析等级低,则表明存在攻击行为的概率低。
所述业务建模检测方式,用于根据所述信息源中的访问URL的请求,进行模型训练,得到访问该URL的请求特征模型,所述请求特征模型对该访问URL的请求进行偏差分析来确定所述信息源是否存在Web攻击。例如:根据访问URL的请求,进行HMM模型、数据分布模型、向量化+单分类模型的训练,得到访问该URL的请求特征模型。对请求进行偏差分析,若偏差等级高(即偏差较大),则存在攻击行为的概率高。若偏差等级低(即偏差较小),则存在攻击行为的概率低。
所述行为分析检测方式,用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在Web攻击。例如:根据用户的使用行为,以及访问频率、访问集中度等信息进行人机判断,进行高维攻击行为的判断。
在一实施例中,每种检测方式的检测结果均对应设置有三个高中低等级,每种检测方式均对应设置有权重值,则所述根据多种检测结果,确定所述信息源是否存在Web攻击包括:
根据每种检测结果与其对应的权重值,确定所述信息源是否存在Web攻击。
图3示出了根据本发明一实施例的Web攻击的检测装置的结构示意图。
参照图3,所述检测装置300包括:
获取模块310,用于获取信息源;
处理模块320,用于对所述信息源进行处理,并将处理后的信息源输入预设的多维度检测模型,其中所述多维度检测模型包括多种检测方式;
检测模块330,用于每种检测方式分别对所述处理后的信息源进行检测分析,得到对应的多种检测结果;以及
确定模块340,用于根据多种检测结果,确定所述信息源是否存在Web攻击。
对于该检测装置300的详细描述可以参照上述关于检测方法100的描述,在此不再重复描述。
在一实施例中,所述多种检测方式包括:IP情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式;其中,
所述IP情报定级检测方式,用于对所述信息源中的访问IP进行威胁定级判断来确定所述信息源是否存在Web攻击;
所述规则匹配检测方式,用于对所述信息源匹配攻击特征库来确定所述信息源是否存在Web攻击;
所述语义分析检测方式,用于对所述所述信息源进行词法、语法、语义分析来确定所述信息源是否存在Web攻击;
所述业务建模检测方式,用于根据所述信息源中的访问URL的请求,进行模型训练,得到访问该URL的请求特征模型,所述请求特征模型对该访问URL的请求进行偏差分析来确定所述信息源是否存在Web攻击;以及
所述行为分析检测方式,用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在Web攻击。
以上实施方案的各个技术特征可以进行任意的组合,为使描述简洁,未对上述实施方案中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
尽管结合实施方案对本发明进行了描述,但本领域技术人员应理解,上文的描述和附图仅是示例性而非限制性的,本发明不限于所公开的实施方案。在不偏离本发明的精神的情况下,各种改型和变体是可能的。
Claims (10)
1.一种Web攻击的检测方法,其特征在于,所述方法包括:
获取信息源;
对所述信息源进行处理,并将处理后的信息源输入预设的多维度检测模型,其中,所述多维度检测模型包括多种检测方式;
所述预设的多维度检测模型中的每种检测方式分别对所述处理后的信息源进行检测分析,得到对应的多种检测结果;以及
根据多种检测结果,确定所述信息源是否存在Web攻击。
2.如权利要求1所述的检测方法,其特征在于,所述信息源包括:用户通过浏览器产生的使用行为、用户通过浏览器访问服务器的请求和响应中的信息、恶意IP情报数据。
3.如权利要求1或2所述的检测方法,其特征在于,所述多种检测方式包括:IP情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式;其中,
所述IP情报定级检测方式,用于对所述信息源中的访问IP进行威胁定级判断来确定所述信息源是否存在Web攻击;
所述规则匹配检测方式,用于对所述信息源匹配攻击特征库来确定所述信息源是否存在Web攻击;
所述语义分析检测方式,用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在Web攻击;
所述业务建模检测方式,用于根据所述信息源中的访问URL的请求,进行模型训练,得到访问该URL的请求特征模型,所述请求特征模型对该访问URL的请求进行偏差分析来确定所述信息源是否存在Web攻击;以及
所述行为分析检测方式,用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在Web攻击。
4.如权利要求3所述的检测方法,其特征在于,每种检测方式的检测结果均对应设置有三个高中低等级,每种检测方式均对应设置有权重值,所述根据多种检测结果,确定所述信息源是否存在Web攻击包括:
根据每种检测结果与其对应的权重值,确定所述信息源是否存在Web攻击。
5.如权利要求2所述的检测方法,其特征在于,所述恶意IP情报数据包括:攻击行为、攻击时间、置信度、威胁等级;所述用户通过浏览器产生的使用行为包括:点击事件停留的时间、访问页面的频次和集中度、请求方法、请求头、请求体、状态行为、响应头、响应体。
6.一种用于检测Web攻击的多维度检测模型,包括:多种检测方式,每种检测方式分别对经处理的信息源进行检测分析,得到对应的多种检测结果;以及根据多种检测结果,确定所述信息源是否存在Web攻击。
7.如权利要求6所述的多维度检测模型,其特征在于,所述多种检测方式包括:IP情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式;其中,
所述IP情报定级检测方式,用于对所述信息源中的访问IP进行威胁定级判断来确定所述信息源是否存在Web攻击;
所述规则匹配检测方式,用于对所述信息源匹配攻击特征库来确定所述信息源是否存在Web攻击;
所述语义分析检测方式,用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在Web攻击;
所述业务建模检测方式,用于根据所述信息源中的访问URL的请求,进行模型训练,得到访问该URL的请求特征模型,所述请求特征模型对该访问URL的请求进行偏差分析来确定所述信息源是否存在Web攻击;以及
所述行为分析检测方式,用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在Web攻击。
8.如权利要求7所述的多维度检测模型,其特征在于,每种检测方式的检测结果均对应设置有三个高中低等级,每种检测方式均对应设置有权重值,则所述根据多种检测结果,确定所述信息源是否存在Web攻击包括:
根据每种检测结果与其对应的权重值,确定所述信息源是否存在Web攻击。
9.一种Web攻击的检测装置,所述检测装置包括:
获取模块,用于获取信息源;
处理模块,用于对所述信息源进行处理,并将处理后的信息源输入预设的多维度检测模型,其中所述多维度检测模型包括多种检测方式;
检测模块,用于每种检测方式分别对所述处理后的信息源进行检测分析,得到对应的多种检测结果;以及
确定模块,用于根据多种检测结果,确定所述信息源是否存在Web攻击。
10.如权利要求9所述的检测装置,其特征在于,所述多种检测方式包括:IP情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式;其中,
所述IP情报定级检测方式,用于对所述信息源中的访问IP进行威胁定级判断来确定所述信息源是否存在Web攻击;
所述规则匹配检测方式,用于对所述信息源匹配攻击特征库来确定所述信息源是否存在Web攻击;
所述语义分析检测方式,用于对所述所述信息源进行词法、语法、语义分析来确定所述信息源是否存在Web攻击;
所述业务建模检测方式,用于根据所述信息源中的访问URL的请求,进行模型训练,得到访问该URL的请求特征模型,所述请求特征模型对该访问URL的请求进行偏差分析来确定所述信息源是否存在Web攻击;以及
所述行为分析检测方式,用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在Web攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110781814.3A CN113542252A (zh) | 2021-07-11 | 2021-07-11 | Web攻击的检测方法、检测模型和检测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110781814.3A CN113542252A (zh) | 2021-07-11 | 2021-07-11 | Web攻击的检测方法、检测模型和检测装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113542252A true CN113542252A (zh) | 2021-10-22 |
Family
ID=78127357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110781814.3A Pending CN113542252A (zh) | 2021-07-11 | 2021-07-11 | Web攻击的检测方法、检测模型和检测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113542252A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN115550062A (zh) * | 2022-11-23 | 2022-12-30 | 北京升鑫网络科技有限公司 | 一种恶意请求的检测方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| CN109951500A (zh) * | 2019-04-29 | 2019-06-28 | 宜人恒业科技发展(北京)有限公司 | 网络攻击检测方法及装置 |
| CN112491784A (zh) * | 2020-10-14 | 2021-03-12 | 新浪网技术(中国)有限公司 | Web网站的请求处理方法及装置、计算机可读存储介质 |
-
2021
- 2021-07-11 CN CN202110781814.3A patent/CN113542252A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180262521A1 (en) * | 2017-03-13 | 2018-09-13 | Molbase (Shanghai) Biotechnology Co., Ltd | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis |
| CN109951500A (zh) * | 2019-04-29 | 2019-06-28 | 宜人恒业科技发展(北京)有限公司 | 网络攻击检测方法及装置 |
| CN112491784A (zh) * | 2020-10-14 | 2021-03-12 | 新浪网技术(中国)有限公司 | Web网站的请求处理方法及装置、计算机可读存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN114710354B (zh) * | 2022-04-11 | 2023-09-08 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN115550062A (zh) * | 2022-11-23 | 2022-12-30 | 北京升鑫网络科技有限公司 | 一种恶意请求的检测方法、装置、电子设备及存储介质 |
| CN115550062B (zh) * | 2022-11-23 | 2023-03-07 | 北京升鑫网络科技有限公司 | 一种恶意请求的检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110958220B (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
| CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
| Shibahara et al. | Efficient dynamic malware analysis based on network behavior using deep learning | |
| CN107888571B (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| US9224067B1 (en) | System and methods for digital artifact genetic modeling and forensic analysis | |
| CN111600919B (zh) | 智能网络应用防护系统模型的构建方法和装置 | |
| Sudar et al. | Analysis of intruder detection in big data analytics | |
| Sonowal | Phishing email detection based on binary search feature selection | |
| CN108023868B (zh) | 恶意资源地址检测方法和装置 | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| CN105516128A (zh) | 一种Web攻击的检测方法及装置 | |
| Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
| CN113542252A (zh) | Web攻击的检测方法、检测模型和检测装置 | |
| CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN110149347B (zh) | 利用拐点半径实现动态自适应聚类的网络入侵检测方法 | |
| CN111787002B (zh) | 一种业务数据网络安全分析的方法及系统 | |
| Nalavade et al. | Mining association rules to evade network intrusion in network audit data | |
| CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
| Bista et al. | DDoS attack detection using heuristics clustering algorithm and naïve bayes classification | |
| CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
| CN113704772A (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| Singh et al. | A hybrid approach for intrusion detection based on machine learning | |
| CN112804247B (zh) | 基于三元概念分析的工业控制系统网络入侵检测方法及系统 | |
| CN111507368B (zh) | 一种校园网入侵检测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211022 |