CN113965405A

CN113965405A - 一种web攻击的监测方法、装置、设备及可读存储介质

Info

Publication number: CN113965405A
Application number: CN202111299062.3A
Authority: CN
Inventors: 秦政; 范渊; 刘博�
Original assignee: DBAPPSecurity Co Ltd
Current assignee: DBAPPSecurity Co Ltd
Priority date: 2021-11-04
Filing date: 2021-11-04
Publication date: 2022-01-21

Abstract

本发明公开了一种web攻击的监测方法，该方法包括以下步骤：获取预生成的web日志；获取自定义的待监测攻击类型；从攻击类型行为记录表中查找待监测攻击类型对应的各攻击行为信息；从安全模型库中调取各攻击行为信息分别对应的安全模型；利用各安全模型对web日志进行web攻击监测，得到攻击监测结果。应用本发明所提供的web攻击的监测方法，实现了对攻击行为的精确区分，提升了对攻击识别的及时性，提升了网络资产的安全性。本发明还公开了一种web攻击的监测装置、设备及存储介质，具有相应技术效果。

Description

一种web攻击的监测方法、装置、设备及可读存储介质

技术领域

本发明涉及网络安全技术领域，特别是涉及一种web攻击的监测方法、装置、设备及计算机可读存储介质。

背景技术

现在大多数web攻击监测都是通过对原始日志的分析得出的，但原始日志量级很大，攻击方式又是多种多样的，并且会随着技术环境的更新，会产生许多新型的攻击类型。从而使得日志分析复杂，不能及时获取到攻击者的真实目的，对攻击识别不及时，给网络资产安全带来风险。

综上所述，如何有效地解决对攻击识别不及时，给网络资产安全带来风险等问题，是目前本领域技术人员急需解决的问题。

发明内容

本发明的目的是提供一种web攻击的监测方法，该方法实现了对攻击行为的精确区分，提升了对攻击识别的及时性，提升了网络资产的安全性；本发明的另一目的是提供一种web攻击的监测装置、设备及计算机可读存储介质。

为解决上述技术问题，本发明提供如下技术方案：

一种web攻击的监测方法，包括：

获取预生成的web日志；

获取自定义的待监测攻击类型；

从攻击类型行为记录表中查找所述待监测攻击类型对应的各攻击行为信息；

从安全模型库中调取各所述攻击行为信息分别对应的安全模型；

利用各所述安全模型对所述web日志进行web攻击监测，得到攻击监测结果。

在本发明的一种具体实施方式中，还包括：

接收根据所述攻击类型行为记录表中目标已存攻击类型对应的第一新增攻击行为信息生成的第一新增安全模型；

将所述第一新增安全模型添加至所述安全模型库中；

将所述第一新增攻击行为信息存储至所述攻击类型行为记录表中所述目标已存攻击类型对应的目标位置。

在本发明的一种具体实施方式中，还包括：

接收根据新增攻击类型对应的第二新增攻击行为信息生成的第二新增安全模型；

将所述第二新增安全模型添加至所述安全模型库中；

将所述第二新增攻击行为信息和所述新增攻击类型对应存储至所述攻击类型行为记录表中。

在本发明的一种具体实施方式中，在利用各所述安全模型对所述web日志进行web攻击监测，得到攻击监测结果之后，还包括：

判断所述攻击监测结果是否为存在所述待监测攻击类型对应的目标攻击；

若是，则生成并输出安全告警信息。

在本发明的一种具体实施方式中，当确定所述攻击监测结果为存在所述待监测攻击类型对应的目标攻击时，还包括：

调取所述目标攻击对应的目标防护策略；

利用所述目标防护策略进行网络防护操作。

在本发明的一种具体实施方式中，获取预生成的web日志，包括：

利用探针获取预生成的web日志。

一种web攻击的监测装置，包括：

日志获取模块，用于获取预生成的web日志；

攻击类型获取模块，用于获取自定义的待监测攻击类型；

攻击行为查找模块，用于从攻击类型行为记录表中查找所述待监测攻击类型对应的各攻击行为信息；

模型调取模块，用于从安全模型库中调取各所述攻击行为信息分别对应的安全模型；

监测结果获得模块，用于利用各所述安全模型对所述web日志进行web攻击监测，得到攻击监测结果。

在本发明的一种具体实施方式中，还包括：

第一模型接收模块，用于接收根据所述攻击类型行为记录表中目标已存攻击类型对应的第一新增攻击行为信息生成的第一新增安全模型；

第一模型添加模块，用于将所述第一新增安全模型添加至所述安全模型库中；

第一信息存储模块，用于将所述第一新增攻击行为信息存储至所述攻击类型行为记录表中所述目标已存攻击类型对应的目标位置。

一种web攻击的监测设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如前所述web攻击的监测方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如前所述web攻击的监测方法的步骤。

本发明所提供的web攻击的监测方法，获取预生成的web日志；获取自定义的待监测攻击类型；从攻击类型行为记录表中查找待监测攻击类型对应的各攻击行为信息；从安全模型库中调取各攻击行为信息分别对应的安全模型；利用各安全模型对web日志进行web攻击监测，得到攻击监测结果。

由上述技术方案可知，通过根据网络监测需要预先自定义待监测攻击类型，预先将各攻击类型分别对应的各攻击行为信息统计在攻击类型行为记录表中。当获取到待监测攻击类型之后，直接从攻击类型行为记录表中查找待监测攻击类型对应的各攻击行为信息。预先训练每个攻击行为信息分别对应的安全模型，当查找到待监测攻击类型对应的各攻击行为信息之后，直接从安全模型库中调取各攻击行为信息分别对应的安全模型，利用查找到的各安全模型协同对web日志进行web攻击监测，得到攻击监测结果。通过自定义待监测攻击类型，实现对web攻击的定向监测，通过对同一待监测攻击类型，利用多个攻击行为信息分别对应的安全模型协同对web日志进行web攻击监测，实现了对攻击行为的精确区分，提升了对攻击识别的及时性，提升了网络资产的安全性。

相应的，本发明还提供了与上述web攻击的监测方法相对应的web攻击的监测装置、设备和计算机可读存储介质，具有上述技术效果，在此不再赘述。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中web攻击的监测方法的一种实施流程图；

图2为本发明实施例中web攻击的监测方法的另一种实施流程图；

图3为本发明实施例中一种web攻击的监测装置的结构框图；

图4为本发明实施例中一种web攻击的监测设备的结构框图；

图5为本实施例提供的一种web攻击的监测设备的具体结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1，图1为本发明实施例中web攻击的监测方法的一种实施流程图，该方法可以包括以下步骤：

S101：获取预生成的web日志。

当检测到存在预先生成的web日志时，获取预生成的web日志。

S102：获取自定义的待监测攻击类型。

根据当前网络监测需要，预先定义待监测攻击类型。在获取到预生成的web日志之后，获取自定义的待监测攻击类型。

需要说明的是，待监测攻击类型可以根据实际情况进行设定和调整，本发明实施例对此不做限定，如可以设置为SQL攻击类型、挖矿攻击类型、域名攻击等。

S103：从攻击类型行为记录表中查找待监测攻击类型对应的各攻击行为信息。

预先设置攻击类型行为记录表，攻击类型行为记录表中存储有各待监测攻击类型分别对应的各攻击行为信息。在获取到自定义的待监测攻击类型之后，从攻击类型行为记录表中查找待监测攻击类型对应的各攻击行为信息。

需要说明的是，一种待监测攻击类型可以对应一种攻击行为信息，也可以对应多种攻击行为信息。如SQL攻击类型可以对应SQL注入攻击行为和SQL注入二分法攻击行为两种攻击行为，挖矿攻击类型可以对应挖矿主机处置响应攻击行为和挖矿尝试攻击行为两种攻击行为，域名攻击可以对应域名请求数据异常检测攻击行为一种攻击行为。

S104：从安全模型库中调取各攻击行为信息分别对应的安全模型。

预先训练每种攻击行为信息分别对应的安全模型，如预先设置SQL注入攻击行为对应的SQL注入安全模型，SQL注入二分法攻击行为对应的SQL注入二分法安全模型，挖矿主机处置响应攻击行为对应的挖矿主机处置响应安全模型，挖矿尝试攻击行为对应的挖矿尝试安全模型，域名请求数据异常检测安全模型。

在从攻击类型行为记录表中查找到待监测攻击类型对应的各攻击行为信息之后，从安全模型库中调取各攻击行为信息分别对应的安全模型。安全模型能够从异常记录中，发现重要的统计型特征，通过阀值过滤，找出异常指标，可以发现如频繁暴力破解尝试等恶意行为。例如，挖矿主机处置响应安全模型用于检测资产存在于矿池交互通信的行为。挖矿木马是指利用受害者主机的CPU、GPU帮攻击者进行复杂运算的恶意程序，受感染的主机会被消耗大量系统资源(CPU、内存等)用来为远程矿池提供算例。可以查阅目的IP(destAddress)、目的主机名(destHostName)或者dns请求域名(requestDomain)的威胁情报。SQL注入安全模型对原始日志进行分析，获取所携带的(payload)，对有效载荷中包含的信息进行匹配，如果符合模型设定规则，则将该请求定为模型设定的攻击类型。除此之外，SQL注入攻击类型还包括但不限于通过其他模型获取到的通过外部网络直连数据库等一些列敏感操作，从而达到访问用户资产数据的行为，都可以通过不同类型的模型定义。

S105：利用各安全模型对web日志进行web攻击监测，得到攻击监测结果。

在从安全模型库中调取各攻击行为信息分别对应的安全模型之后，利用各安全模型对web日志进行web攻击监测，得到攻击监测结果，即能够监测到web日志中是否携带有待监测攻击类型对应的攻击行为记录。通过自定义待监测攻击类型，实现对web攻击的定向监测，通过对同一待监测攻击类型，利用多个攻击行为信息分别对应的安全模型，对多个安全模型灵活组建协同对web日志进行web攻击监测，实现了通过将每个定位单个攻击类型的模型组合同时检测多种攻击行为，实现了对攻击行为的精确区分，避免了攻击者通过某种简单的攻击手段掩盖真实的攻击行为，从而更有效的获取攻击者的真实目的，提升了对攻击识别的及时性，提升了网络资产的安全性。

需要说明的是，基于上述实施例，本发明实施例还提供了相应的改进方案。在后续实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考，相应的有益效果也可相互参照，在下文的改进实施例中不再一一赘述。

参见图2，图2为本发明实施例中web攻击的监测方法的另一种实施流程图，该方法可以包括以下步骤：

S201：利用探针获取预生成的web日志。

预先设置进行日志获取的探针，如SOC(System On Chip，系统级芯片)、NTP/DPI(Deep Packet Inspection，深度报文检测)、AINTI等采集设备，利用探针对内部和外部原始数据进行收集和处理，生成固定格式的web日志(包含异常记录)。

web日志可以包含来源IP、目的IP、来源端口、目的端口、来源地理位置信息、目的地理位置信息、行为描述、域名、操作系统详情、触发时间等关键及相关信息。

S202：获取自定义的待监测攻击类型。

S203：从攻击类型行为记录表中查找待监测攻击类型对应的各攻击行为信息。

S204：从安全模型库中调取各攻击行为信息分别对应的安全模型。

S205：利用各安全模型对web日志进行web攻击监测，得到攻击监测结果。

S206：接收根据攻击类型行为记录表中目标已存攻击类型对应的第一新增攻击行为信息生成的第一新增安全模型。

预先设置对已经存在的攻击类型对应的安全模型集合按需扩增的机制。在根据监测到的目标已存攻击类型对应的第一新增攻击行为信息生成第一新增安全模型之后，将生成的第一新增安全模型发送给web攻击监测中心，web攻击监测中心接收根据攻击类型行为记录表中目标已存攻击类型对应的第一新增攻击行为信息生成的第一新增安全模型。

S207：将第一新增安全模型添加至安全模型库中。

在接收到根据攻击类型行为记录表中目标已存攻击类型对应的第一新增攻击行为信息生成的第一新增安全模型之后，将第一新增安全模型添加至安全模型库中，从而实现对安全模型库的自定义扩增。

S208：将第一新增攻击行为信息存储至攻击类型行为记录表中目标已存攻击类型对应的目标位置。

在监测到目标已存攻击类型对应的第一新增攻击行为信息之后，将第一新增攻击行为信息存储至攻击类型行为记录表中目标已存攻击类型对应的目标位置，从而实现对目标已存攻击类型对应的第一新增攻击行为信息的有效记录，方便后续新增攻击行为信息的对应定位查找。

S209：接收根据新增攻击类型对应的第二新增攻击行为信息生成的第二新增安全模型。

预先设置对新增攻击类型对应的安全模型集合按需扩增的机制。在根据监测到的新增攻击类型对应的第二新增攻击行为信息生成第二新增安全模型之后，将第二新增安全模型发送给web攻击监测中心，web攻击监测中心接收根据新增攻击类型对应的第二新增攻击行为信息生成的第二新增安全模型。

S210：将第二新增安全模型添加至安全模型库中。

在接收到根据新增攻击类型对应的第二新增攻击行为信息生成的第二新增安全模型之后，将第二新增安全模型添加至安全模型库中，从而实现对安全模型库的自定义扩增。

S211：将第二新增攻击行为信息和新增攻击类型对应存储至攻击类型行为记录表中。

在监测到新增攻击类型对应的第二新增攻击行为信息之后，将第二新增攻击行为信息和新增攻击类型对应存储至攻击类型行为记录表中，从而实现对新增攻击类型对应的第二新增攻击行为信息的有效记录，方便后续新增攻击行为信息的对应定位查找。

S212：判断攻击监测结果是否为存在待监测攻击类型对应的目标攻击，若是，则执行步骤S213，若否，则不做处理。

在利用各安全模型对web日志进行web攻击监测，得到攻击监测结果之后，判断攻击监测结果是否为存在待监测攻击类型对应的目标攻击，若是，则说明当前web网络资源面临待监测攻击类型的攻击，执行步骤S213，若否，则，说明当前web网络资源未面临待监测攻击类型的攻击，不做处理。

S213：生成并输出安全告警信息。

当确定攻击监测结果为存在待监测攻击类型对应的目标攻击时，说明当前web网络资源面临待监测攻击类型的攻击，生成并输出安全告警信息，如可以通过声音报警方式进行提示，也可以是通过灯光报警方式进行提示，等等。

S214：调取目标攻击对应的目标防护策略。

预先设置有各攻击类型分别对应的防护策略，在确定攻击监测结果为存在待监测攻击类型对应的目标攻击之后，调取目标攻击对应的目标防护策略。

S215：利用目标防护策略进行网络防护操作。

在调取到目标攻击对应的目标防护策略之后，利用目标防护策略进行网络防护操作。通过设置待监测攻击类型的目标攻击对应的目标防护策略，当监测到存在目标攻击时，直接调取目标防护策略进行web网络资源安全防护，较大地提升了web网络资源的安全性。

可以设置对同一日志进行过滤多种重点攻击类型，多个安全模型同时生效，从而高效的筛选出原始日志中资产或企业所关注的攻击行为，以此得出安全告警事件进行统计或针对攻击行为作出具体的防护或其他措施。

本实施例区别于独立权利要求1所要求保护的技术方案对应的实施例一，还增加了从属权利要求2至6对应要求保护的技术方案，当然，根据实际情况和要求的不同，可将各从属权利要求对应要求保护的技术方案在不影响方案完整性的基础上进行灵活组合，以更加符合不同使用场景的要求，本实施例只是给出了其中一种包含方案最多、效果最优的方案，因为情况复杂，无法对所有可能存在的方案一一列举，本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子，在不付出足够的创造性劳动下，应均在本申请的保护范围内。

相应于上面的方法实施例，本发明还提供了一种web攻击的监测装置，下文描述的web攻击的监测装置与上文描述的web攻击的监测方法可相互对应参照。

参见图3，图3为本发明实施例中一种web攻击的监测装置的结构框图，该装置可以包括：

日志获取模块31，用于获取预生成的web日志；

攻击类型获取模块32，用于获取自定义的待监测攻击类型；

攻击行为查找模块33，用于从攻击类型行为记录表中查找待监测攻击类型对应的各攻击行为信息；

模型调取模块34，用于从安全模型库中调取各攻击行为信息分别对应的安全模型；

监测结果获得模块35，用于利用各安全模型对web日志进行web攻击监测，得到攻击监测结果。

在本发明的一种具体实施方式中，该装置还可以包括：

第一模型接收模块，用于接收根据攻击类型行为记录表中目标已存攻击类型对应的第一新增攻击行为信息生成的第一新增安全模型；

第一模型添加模块，用于将第一新增安全模型添加至安全模型库中；

第一信息存储模块，用于将第一新增攻击行为信息存储至攻击类型行为记录表中目标已存攻击类型对应的目标位置。

在本发明的一种具体实施方式中，该装置还可以包括：

第二模型生成模块，用于接收根据新增攻击类型对应的第二新增攻击行为信息生成的第二新增安全模型；

第二型添加模块，用于将第二新增安全模型添加至安全模型库中；

第二信息存储模块，用于将第二新增攻击行为信息和新增攻击类型对应存储至攻击类型行为记录表中。

在本发明的一种具体实施方式中，该装置还可以包括：

判断模块，用于在利用各安全模型对web日志进行web攻击监测，得到攻击监测结果之后，判断攻击监测结果是否为存在待监测攻击类型对应的目标攻击；

告警信息生成模块，用于当确定攻击监测结果为存在待监测攻击类型对应的目标攻击时，生成并输出安全告警信息。

在本发明的一种具体实施方式中，该装置还可以包括：

防护策略调取模块，用于当确定攻击监测结果为存在待监测攻击类型对应的目标攻击时，调取目标攻击对应的目标防护策略；

网络防护模块，用于利用目标防护策略进行网络防护操作。

在本发明的一种具体实施方式中，日志获取模块具体为利用探针获取预生成的web日志的模块。

相应于上面的方法实施例，参见图4，图4为本发明所提供的web攻击的监测设备的示意图，该设备可以包括：

存储器332，用于存储计算机程序；

处理器322，用于执行计算机程序时实现上述方法实施例的web攻击的监测方法的步骤。

具体的，请参考图5，图5为本实施例提供的一种web攻击的监测设备的具体结构示意图，该web攻击的监测设备可因配置或性能不同而产生比较大的差异，可以包括处理器(central processing units，CPU)322(例如，一个或一个以上处理器)和存储器332，存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中，存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，处理器322可以设置为与存储器332通信，在web攻击的监测设备301上执行存储器332中的一系列指令操作。

web攻击的监测设备301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。

上文所描述的web攻击的监测方法中的步骤可以由web攻击的监测设备的结构实现。

相应于上面的方法实施例，本发明还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时可实现如下步骤：

获取预生成的web日志；获取自定义的待监测攻击类型；从攻击类型行为记录表中查找待监测攻击类型对应的各攻击行为信息；从安全模型库中调取各攻击行为信息分别对应的安全模型；利用各安全模型对web日志进行web攻击监测，得到攻击监测结果。

该计算机可读存储介质可以包括：U盘、移动硬盘、只读存储器(Read-OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例，本发明在此不做赘述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。

Claims

1.一种web攻击的监测方法，其特征在于，包括：

获取预生成的web日志；

获取自定义的待监测攻击类型；

2.根据权利要求1所述的web攻击的监测方法，其特征在于，还包括：

将所述第一新增安全模型添加至所述安全模型库中；

3.根据权利要求1所述的web攻击的监测方法，其特征在于，还包括：

将所述第二新增安全模型添加至所述安全模型库中；

4.根据权利要求1至3任一项所述的web攻击的监测方法，其特征在于，在利用各所述安全模型对所述web日志进行web攻击监测，得到攻击监测结果之后，还包括：

若是，则生成并输出安全告警信息。

5.根据权利要求4所述的web攻击的监测方法，其特征在于，当确定所述攻击监测结果为存在所述待监测攻击类型对应的目标攻击时，还包括：

调取所述目标攻击对应的目标防护策略；

利用所述目标防护策略进行网络防护操作。

6.根据权利要求1所述的web攻击的监测方法，其特征在于，获取预生成的web日志，包括：

利用探针获取预生成的web日志。

7.一种web攻击的监测装置，其特征在于，包括：

日志获取模块，用于获取预生成的web日志；

攻击类型获取模块，用于获取自定义的待监测攻击类型；

8.根据权利要求7所述的web攻击的监测装置，其特征在于，还包括：

9.一种web攻击的监测设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至6任一项所述web攻击的监测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述web攻击的监测方法的步骤。