當(dāng)前時(shí)間段內(nèi)的信任度大于預(yù)設(shè)信任度時(shí),認(rèn)為該用戶為合法用戶��,當(dāng)用戶當(dāng)前時(shí)間段的信任度不大于預(yù)設(shè)信任度時(shí)��,認(rèn)為該用戶為非法用戶即黑客。針對(duì)合法用戶和黑客輸入的異常流量�����,Web防御系統(tǒng)會(huì)采取不同的措施�。
[0147]S405、不阻止該用戶的異常流量����。
[0148]S406、阻止該用戶的異常流量�。
[0149]通過以上實(shí)施例提供的防御Web攻擊的方法,不會(huì)阻止合法用戶無意中輸入的異常流量����,降低了防御系統(tǒng)誤報(bào)威脅的幾率,提高了防御系統(tǒng)查殺異常流量的準(zhǔn)確性�����。
[0150]基于上述實(shí)施例所述的防御Web攻擊的方法����,本發(fā)明實(shí)施例還提供了一種防御Web攻擊的裝置。圖5是本發(fā)明實(shí)施例提供的防御Web攻擊的裝置結(jié)構(gòu)示意圖。如圖5所示�,該裝置包括以下單元:
[0151]檢測(cè)單元51,用于采用實(shí)施例一所述的步驟SlOl至步驟S104所述的方法檢測(cè)接收到的流量是否為異常流量�����;
[0152]追蹤單元52��,用于當(dāng)接收到的流量為異常流量時(shí)���,追蹤產(chǎn)生異常流量的用戶;
[0153]確定信任度單元53����,用于根據(jù)所述用戶在當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)產(chǎn)生的異常流量的程度確定該用戶在該當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)的信任度;
[0154]判斷單元54����,用于判斷所述用戶在該預(yù)設(shè)時(shí)間段內(nèi)的信任度是否大于預(yù)設(shè)信任度,如果是��,不阻止該用戶輸入的異常流量�����,如果否,阻止該用戶輸入的異常流量���。
[0155]通過以上實(shí)施例提供的防御Web攻擊的裝置��,不會(huì)阻止合法用戶無意中輸入的異常流量���,降低了防御系統(tǒng)誤報(bào)威脅的幾率,提高了防御系統(tǒng)查殺異常流量的準(zhǔn)確性�����。
[0156]以上所述僅是本發(fā)明的較佳實(shí)施例而已���,并非對(duì)本發(fā)明作任何形式上的限制��。雖然本發(fā)明以較佳實(shí)施例揭露如上��,然而并非用以限定本發(fā)明����。任何熟悉本領(lǐng)域的技術(shù)人員���,在不脫離本發(fā)明技術(shù)方案范圍情況下����,都可利用上述揭示的方法和技術(shù)內(nèi)容對(duì)本發(fā)明技術(shù)方案做出許多可能的變動(dòng)和修飾,或修改為等同變化的等效實(shí)施例��。因此�����,凡是未脫離本發(fā)明技術(shù)方案的內(nèi)容�,依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對(duì)以上實(shí)施例所做的任何簡單修改、等同變化及修飾�,均仍屬于本發(fā)明技術(shù)方案保護(hù)的范圍內(nèi)。
【主權(quán)項(xiàng)】
1.一種異常流量的檢測(cè)方法�����,其特征在于��,包括: 獲取網(wǎng)站的基準(zhǔn)流量特征�,所述基準(zhǔn)流量特征包括由合法URL構(gòu)建得到的URL特征���; 從接收到的待檢測(cè)流量中提取待檢測(cè)流量特征��; 匹配待檢測(cè)流量特征和基準(zhǔn)流量特征��,以確定待檢測(cè)流量特征中是否存在與基準(zhǔn)流量特征不匹配的特征�����; 當(dāng)所述待檢測(cè)流量特征中存在與所述基準(zhǔn)流量特征不匹配的特征時(shí)���,分析所述與基準(zhǔn)流量特征不匹配的特征��,以確定所述待檢測(cè)流量是否為異常流量����。2.根據(jù)權(quán)利要求1所述的方法���,其特征在于�,所述獲取基準(zhǔn)流量特征具體包括:通過學(xué)習(xí)合法URL的特征獲取基準(zhǔn)流量特征����,所述學(xué)習(xí)合法URL的特征獲取基準(zhǔn)流量特征包括第一次迭代學(xué)習(xí)過程,所述第一次迭代學(xué)習(xí)過程包括第一學(xué)習(xí)階段和第二學(xué)習(xí)階段�; 在第一學(xué)習(xí)階段內(nèi),記錄合法URL的特征以及輸入該合法URL的第一用戶�,并累積輸入該合法URL的第一用戶量,直到輸入該合法URL的第一用戶量達(dá)到第一預(yù)設(shè)數(shù)量����,當(dāng)輸入該合法URL的用戶量達(dá)到第一預(yù)設(shè)數(shù)量后���,切換到第二學(xué)習(xí)階段; 在第二學(xué)習(xí)階段內(nèi)�����,記錄合法URL的特征以及輸入該合法URL的第二用戶���,并累積合法URL的第二用戶量�,直到輸入所述合法URL的第二用戶量達(dá)到第二預(yù)設(shè)數(shù)量��;所述第二用戶與所述第一用戶不同���; 比較第二學(xué)習(xí)階段內(nèi)記錄的流量特征與第一學(xué)習(xí)階段內(nèi)記錄的流量特征是否一致�,如果是�����,將第一學(xué)習(xí)階段內(nèi)和第二學(xué)習(xí)階段內(nèi)記錄的流量特征確定為基準(zhǔn)流量特征����。3.根據(jù)權(quán)利要求2所述的方法,其特征在于��,所述比較第二學(xué)習(xí)階段內(nèi)記錄的流量特征是否與第一學(xué)習(xí)階段內(nèi)記錄的流量特征是否一致�����,還包括:進(jìn)行下一次迭代學(xué)習(xí)過程��;其中�,所述進(jìn)行下一次迭代學(xué)習(xí)過程包括: 記錄合法URL的特征以及輸入該合法URL的新用戶并累積所述新用戶的數(shù)量,直到所述新用戶的數(shù)量達(dá)到第二預(yù)設(shè)數(shù)量����;所述新用戶為先前學(xué)習(xí)過程中沒有記錄的用戶; 比較最新一次記錄的URL特征與先前已經(jīng)記錄的URL特征是否一致�,如果是,確定最新一次和先前已經(jīng)記錄的URL特征為基準(zhǔn)流量特征���。4.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述基準(zhǔn)流量特征和所述待檢測(cè)流量特征包括Method信息、Query String信息�����、Cookie信息和Referer信息中的至少一種,所述Query String包括至少一個(gè)key-value對(duì)���;所述分析所述與基準(zhǔn)流量特征不匹配的特征����,以確定所述待檢測(cè)流量是否為異常流量�����,具體包括: 當(dāng)所述與基準(zhǔn)流量特征不匹配的特征為Referer信息時(shí)����,判斷所述Referer信息是否為預(yù)設(shè)域名,如果是�,確定所述待檢測(cè)流量不是異常流量;如果否�����,確定所述待檢測(cè)流量為異常流量���; 當(dāng)所述與基準(zhǔn)流量特征不匹配的特征為傳輸協(xié)議的請(qǐng)求方法時(shí)����,確定該待檢測(cè)流量為異常流量�; 當(dāng)所述與基準(zhǔn)流量特征不匹配的特征為Query String的key信息時(shí),確定該待檢測(cè)流量為異常流量����; 和/或, 當(dāng)所述與基準(zhǔn)流量特征不匹配的特征為Query String的Value信息時(shí)��,判斷Value信息是否具備攻擊特征����,如果是,確定該待檢測(cè)流量為異常流量��,如果否�,確定該待檢測(cè)流量不是異常流量。5.根據(jù)權(quán)利要求1-4任一項(xiàng)所述的方法�����,其特征在于��,還包括:當(dāng)所述待檢測(cè)流量為異常流量時(shí)�����,阻止待檢測(cè)流量。6.一種防御Web攻擊的方法����,其特征在于,包括: 采用權(quán)利要求1-4任一項(xiàng)所述的方法檢測(cè)接收到的流量是否為異常流量����; 當(dāng)接收到的流量為異常流量時(shí),追蹤產(chǎn)生異常流量的用戶�; 根據(jù)所述用戶在當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)產(chǎn)生異常流量的程度確定該用戶在該當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)的?目任度; 判斷所述用戶在該預(yù)設(shè)時(shí)間段內(nèi)的信任度是否大于預(yù)設(shè)信任度����,如果是,不阻止該用戶輸入的異常流量�����,如果否���,阻止該用戶輸入的異常流量�����。7.一種異常流量的檢測(cè)裝置�,其特征在于�,包括: 獲取單元,用戶獲取網(wǎng)站的基準(zhǔn)流量特征��,所述基準(zhǔn)流量特征包括由合法URL構(gòu)建得到的URL特征�; 提取單元,用于從接收到的待檢測(cè)流量中提取待檢測(cè)流量特征����; 匹配單元,用于匹配待檢測(cè)流量特征和基準(zhǔn)流量特征��,以確定待檢測(cè)流量特征中是否存在與基準(zhǔn)流量特征不匹配的特征����; 分析確定單元,用于當(dāng)所述待檢測(cè)流量特征中存在與所述基準(zhǔn)流量特征不匹配的特征時(shí)����,分析所述與基準(zhǔn)流量特征不匹配的特征,以確定所述待檢測(cè)流量是否為異常流量��。8.根據(jù)權(quán)利要求7所述的裝置,其特征在于���,所述獲取單元包括: 第一學(xué)習(xí)單元�,用于在第一學(xué)習(xí)階段內(nèi)���,記錄合法URL的特征以及輸入該合法URL的第一用戶并累積輸入該合法URL的第一用戶量����,直到輸入該合法URL的第一用戶量達(dá)到第一預(yù)設(shè)數(shù)量�����,當(dāng)輸入該合法URL的用戶量達(dá)到第一預(yù)設(shè)數(shù)量后�����,切換到第二學(xué)習(xí)階段�����; 第二學(xué)習(xí)單元��,用于在第二學(xué)習(xí)階段內(nèi)��,記錄合法URL的特征以及輸入該合法URL的第二用戶并累積合法URL的第二用戶量,直到輸入該合法URL的第二用戶量達(dá)到第二預(yù)設(shè)數(shù)量����;所述第二用戶與所述第一用戶不同; 比較單元�,用于比較第二學(xué)習(xí)階段內(nèi)記錄的流量特征是否與第一學(xué)習(xí)階段內(nèi)記錄的流量特征是否一致,如果是�����,將第一學(xué)習(xí)階段內(nèi)和第二學(xué)習(xí)階段內(nèi)記錄的流量特征確定為基準(zhǔn)流量特征�����。9.根據(jù)權(quán)利要求7或8所述的裝置��,其特征在于����,所述裝置還包括: 阻止單元�,用于當(dāng)所述待檢測(cè)流量為異常流量時(shí),阻止待檢測(cè)流量���。10.一種防御Web攻擊的裝置���,其特征在于�,包括: 檢測(cè)單元�,用于采用權(quán)利要求1-4任一項(xiàng)所述的方法檢測(cè)接收到的流量是否為異常流量; 追蹤單元,用于當(dāng)接收到的流量為異常流量時(shí)��,追蹤產(chǎn)生異常流量的用戶�����; 確定信任度單元���,用于根據(jù)所述用戶在當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)產(chǎn)生的異常流量的程度確定該用戶在該當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)的信任度�����; 判斷單元�,用于判斷所述用戶在該預(yù)設(shè)時(shí)間段內(nèi)的信任度是否大于預(yù)設(shè)信任度���,如果是�,不阻止該用戶輸入的異常流量��,如果否����,阻止該用戶輸入的異常流量��。
【專利摘要】本發(fā)明提供了一種異常流量的檢測(cè)方法和裝置���,其方法包括:獲取網(wǎng)站的基準(zhǔn)流量特征,所述基準(zhǔn)流量特征包括由合法URL構(gòu)建得到的URL特征�;從接收到的待檢測(cè)流量中提取待檢測(cè)流量特征;匹配待檢測(cè)流量特征和基準(zhǔn)流量特征�����,以確定待檢測(cè)流量特征中是否存在與基準(zhǔn)流量特征不匹配的特征����;當(dāng)所述待檢測(cè)流量特征中存在與所述基準(zhǔn)流量特征不匹配的特征時(shí)�,分析所述與基準(zhǔn)流量特征不匹配的特征,以確定所述待檢測(cè)流量是否為異常流量����。本發(fā)明提供的方法能夠很好地應(yīng)對(duì)0day漏洞,有利于提高網(wǎng)絡(luò)安全�����。本發(fā)明還提供了防御Web攻擊的方法和裝置。
【IPC分類】H04L29/06
【公開號(hào)】CN104994091
【申請(qǐng)?zhí)枴緾N201510375117
【發(fā)明人】于楊
【申請(qǐng)人】東軟集團(tuán)股份有限公司
【公開日】2015年10月21日
【申請(qǐng)日】2015年6月30日