一種捕獲未知攻擊的方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種捕獲未知攻擊的方法和裝置,其中方法包括:當統(tǒng)一資源定位符(url)請求被識別為惡意url請求時,將所述惡意url請求與凈荷(payload)庫中的攻擊特征進行匹配,如果匹配失敗,則確定捕獲到未知的惡意url請求;從所述未知的惡意url請求的參數(shù)值中提取攻擊特征,將提取的攻擊特征存入所述payload庫。本發(fā)明利用存儲已知攻擊特征的payload能夠及時獲取未知的攻擊特征,以便于針對新出現(xiàn)的攻擊采取有效的分析和防御措施。
【專利說明】一種捕獲未知攻擊的方法和裝置
【【技術領域】】
[0001]本發(fā)明涉及計算機安全【技術領域】,特別涉及一種捕獲未知攻擊的方法和裝置?!尽颈尘凹夹g】】
[0002]隨著web (網絡)技術使用范圍的不斷擴展,web應用已經成為網絡攻擊的重要目標,當web應用遭受攻擊時,web系統(tǒng)會對系統(tǒng)訪問情況進行記錄,因此在開展事件的分析定位時,最直接有效的數(shù)據(jù)來源即為web日志。對web日志進行分析、去重和識別后,就能夠從url (統(tǒng)一資源定位符)請求中識別出惡意url請求。
[0003]然而,從web日志中識別出惡意url請求后,并不可獲知哪些是已經長期存在的惡意url請求,哪些是新出現(xiàn)的惡意url請求,即無法獲知未知的攻擊特征,也就很難針對新出現(xiàn)的攻擊采取有效的分析和防御措施。
【
【發(fā)明內容】
】
[0004]有鑒于此,本發(fā)明提供了一種捕獲未知攻擊的方法和裝置,能夠即時獲取未知的攻擊特征,以便于針對新出現(xiàn)的攻擊采取有效的分析和防御措施。
[0005]具體技術方案如下:
[0006]本發(fā)明提供了一種捕獲未知攻擊的方法,該方法包括:
[0007]當統(tǒng)一資源定位符url請求被識別為惡意url請求時,將所述惡意url請求與凈荷payload庫中的攻擊特征進行匹配,如果匹配失敗,則確定捕獲到未知的惡意url請求;
[0008]從所述未知的惡意url請求的參數(shù)值中提取攻擊特征,將提取的攻擊特征存入所述 payload 庫。
[0009]根據(jù)本發(fā)明一優(yōu)選實施方式,該方法還包括:
[0010]對web訪問日志中的urI請求進行去重和攻擊識別,從而識別出惡意url請求。
[0011]根據(jù)本發(fā)明一優(yōu)選實施方式,對web訪問日志中的url請求進行去重包括以下至少一種:
[0012]對于完全相同的url請求只保留其中一條,其余的去掉;
[0013]對于同一個產品線的url請求,對于不包含參數(shù)和參數(shù)值的url請求只保留其中一條,其余的去掉;
[0014]對于參數(shù)相同但參數(shù)值不同的url請求只保留其中一條,其余的去掉。
[0015]根據(jù)本發(fā)明一優(yōu)選實施方式,從所述未知的惡意url請求的參數(shù)值中提取攻擊特征包括:
[0016]確定惡意url請求中的攻擊參數(shù);
[0017]從所述攻擊參數(shù)的參數(shù)值中提取第一個非正常字符開始至最后一個字符構成的字符串作為攻擊特征,其中所述非正常字符為除了字母、數(shù)字和%符號之外的其他字符。
[0018]根據(jù)本發(fā)明一優(yōu)選實施方式,所述確定惡意url請求中的攻擊參數(shù)包括:
[0019]將攻擊識別時識別出該惡意url請求的攻擊規(guī)則所對應的攻擊匹配模式與所述惡意url請求進行匹配,確定匹配的位置,將惡意url請求中匹配位置對應的參數(shù)確定為攻擊參數(shù)。
[0020]根據(jù)本發(fā)明一優(yōu)選實施方式,該方法還包括:前端的接入平臺接收到由客戶端或瀏覽器發(fā)送給服務器的url請求后,將接收到的url請求與所述payload庫中的攻擊特征進行匹配,如果匹配成功,則禁止該url請求發(fā)送至服務器。
[0021]本發(fā)明還提供了一種捕獲未知攻擊的裝置,該裝置包括:
[0022]特征匹配單元,用于當url請求被識別為惡意url請求時,將所述惡意url請求與payload庫中的攻擊特征進行匹配,如果匹配失敗,則確定捕獲到未知的惡意url請求;
[0023]特征提取單元,用于從所述未知的惡意url請求的參數(shù)值中提取攻擊特征,將提取的攻擊特征存入所述payload庫。
[0024]根據(jù)本發(fā)明一優(yōu)選實 施方式,該裝置還包括:
[0025]去重單元,用于對web訪問日志中的url請求進行去重;
[0026]攻擊識別單元,用于對去重后得到的url請求進行攻擊識別,從而識別出惡意url請求提供給所述特征匹配單元。
[0027]根據(jù)本發(fā)明一優(yōu)選實施方式,所述去重單元對web訪問日志中的url請求執(zhí)行以下去重處理中的至少一種:
[0028]對于完全相同的url請求只保留其中一條,其余的去掉;
[0029]在同一個產品線的url請求中,對于不包含參數(shù)和參數(shù)值的url請求只保留其中一條,其余的去掉;
[0030]對于參數(shù)相同但參數(shù)值不同的url請求只保留其中一條,其余的去掉。
[0031]根據(jù)本發(fā)明一優(yōu)選實施方式,所述特征提取單元包括:
[0032]參數(shù)確定子單元,用于確定惡意url請求中的攻擊參數(shù);
[0033]特征提取子單元,用于從所述攻擊參數(shù)的參數(shù)值中提取第一個非正常字符開始至最后一個字符構成的字符串作為攻擊特征,其中所述非正常字符為除了字母、數(shù)字和%符號之外的其他字符。
[0034]根據(jù)本發(fā)明一優(yōu)選實施方式,所述參數(shù)確定子單元,具體用于將攻擊識別時識別出該惡意url請求的攻擊規(guī)則所對應的攻擊匹配模式與所述惡意url請求進行匹配,確定匹配的位置,將惡意url請求中匹配位置對應的參數(shù)確定為攻擊參數(shù)。
[0035]根據(jù)本發(fā)明一優(yōu)選實施方式,該裝置還包括:設置于前端的接入平臺的前端過濾單元;
[0036]所述前端過濾單元,用于在所述前端的接入平臺接收到由客戶端或瀏覽器發(fā)送給服務器的url請求后,將接收到的url請求與所述payload庫中的攻擊特征進行匹配,如果匹配成功,則禁止該url請求發(fā)送至服務器。
[0037]由以上技術方案可以看出,本發(fā)明利用存儲已知攻擊特征的payload能夠及時獲取未知的攻擊特征,以便于針對新出現(xiàn)的攻擊采取有效的分析和防御措施。
【【專利附圖】
【附圖說明】】
[0038]圖1為本發(fā)明實施例一提供的捕獲未知攻擊的方法流程圖;
[0039]圖2為本發(fā)明實施例一提供的前端接入平臺的位置示意圖;[0040]圖3為本發(fā)明實施例二提供的捕獲未知攻擊的裝置結構圖。
【【具體實施方式】】
[0041]為了使本發(fā)明的目的、技術方案和優(yōu)點更加清楚,下面結合附圖和具體實施例對本發(fā)明進行詳細描述。
[0042]本發(fā)明的核心思想在于,如果捕獲到未知的惡意url請求,則從該惡意url請求的參數(shù)值中提取攻擊特征,將攻擊特征存入payload (凈荷)庫;當有新的url請求被識別為惡意url請求時,將新識別出的惡意url請求與payload庫中的攻擊特征進行匹配,如果匹配成功,則確定為已知的惡意url請求,否則確定捕獲到未知的惡意url請求。下面通過實施例一對本發(fā)明提供的捕獲未知攻擊的方法進行詳細描述。
[0043]實施例一、
[0044]圖1為本發(fā)明實施例一提供的捕獲未知攻擊的方法流程圖,如圖1所示,該方法具體包括以下步驟:
[0045]步驟101:對web訪問日志中的url請求進行去重和攻擊識別,對于識別為惡意url請求的執(zhí)行以下步驟。
[0046]通常網站服務器被訪問時都會在web訪問日志中記錄所有外部客戶端對web服務器的訪問行為,記錄的內容包括客戶端IP、訪問日期、url請求、服務器返回的HTTP狀態(tài)碼等重要數(shù)據(jù)。在本步驟中首先從web訪問日志中抽取出所有url請求,由于這些url請求是非常大數(shù)量級的,通常是千萬以上級別,這就給攻擊識別帶來很大的障礙。鑒于web訪問日志中的url請求是存在很大程度上的重復的,或者在攻擊識別的意義上是重復的,因此,為了提高攻擊識別的效率,會對web訪問日志中的url請求進行去重。
[0047]在此進行的去重處理可以包括但不限于:
[0048]I)對于沒有區(qū)分特定產品線的,采用通用的去重方式,即對于完全相同的url請求只保留其中一條,其余的去掉。這種方式比較常見,不做詳細描述。
[0049]2)如果采用了特定產品線的,首先對url請求進行特定產品線的區(qū)分,特定產品線的區(qū)分通常根據(jù)子域名進行,例如tieba.baidu.com和map.baidu.com就分別對應百度貼吧和百度地圖兩個產品線的子域名tieba和map。對于同一個產品線的url請求,對于不包含key (參數(shù))和value (參數(shù)值)的情況,則只保留其中一條,其余的去掉。例如:zhida0.baidu.com/p/1234/a.html 和 zhida0.baidu.com/p/3434/b.html,這兩條 url 只有文件名不同,這個差別對于攻擊識別是可以忽略的,因此只保留其中一條即可。
[0050]3)對于url請求中包含key和value的情況,如果key是一樣的但value不同,也就是說,對于主機信息、目錄和參數(shù)都相同但參數(shù)值不同的url請求,只保留其中一條。這種方式可以采用對url中的主機信息、目錄和參數(shù)進行hash的方式,將已保留的url請求的hash結果保留在key hash表中,將待去重的url請求的主機信息、目錄和參數(shù)進行hash后,查找key hash表,如果命中key hash表,則刪除該url請求,如果沒有命中key hash表,則保留該url請求,并將該url請求的hash結果存入key hash表。例如:
[0051]zhida0.baidu.com/mo/xyz34567
[0052]/redirect?u=http%3A%2F%2Fimg.baidu.com%2Fimg%2Fiknow%2Fwenku%2FBaiduffenku_Android_2-6-2-0_yaowe1.apk[0053]zhida0.baidu.com/mo/abc45678
[0054]/redirect?u = http%3A%2F%2Fstatic.tieba.baidu.com%2Fclient%2Foperate%2Fan droid%2Ftieba_mini_normalweb_novel.apk&lp=novel_guide_download
[0055]這兩條url請求的主機信息、目錄和key都相同,只有value不同,因此只保留其中一條即可。
[0056]需要說明的是,上述三種去重處理可以選擇其中的一種,也可以選擇其中的任意組合。例如優(yōu)選地,以上三種去重處理都采用,執(zhí)行三遍去重處理,最終可以使得留下的url請求降至萬級別的數(shù)量。
[0057]然后對經過去重處理之后的url請求進行攻擊識別,本發(fā)明在此對攻擊識別的方式并不進行具體的限制,可以采用現(xiàn)有技術中任意一種對url請求進行攻擊識別的方式。通常情況下,攻擊識別是基于一系列具體的攻擊規(guī)則的,為了增強攻擊識別的魯棒性和可靠性,通常會根據(jù)實際的識別結果反過來再細化和完善每一條攻擊規(guī)則,例如對攻擊規(guī)則中的某個參數(shù)進行白名單處理,對于具體的攻擊規(guī)則以及后續(xù)的優(yōu)化策略,在此不做一一窮舉。
[0058]在進行攻擊識別時,可以根據(jù)url不同的文件后綴或者參數(shù)名采用不同的攻擊識別方式,例如對于文件后綴為.swf的url請求,可以對其開啟XSS漏洞的掃描,以進行攻擊識別;對于文件后綴為.do、.action或者.jsp的url請求,對其開啟struts漏洞掃描,已進行攻擊識別;對于參數(shù)名包含jump、to jump > url、j.php、link或redirect的url請求,可以對其開啟url跳轉掃描,以進行攻擊識別。
[0059]步驟102:查詢payload庫,將該惡意url請求與payload庫中的攻擊特征進行匹配,如果匹配成功,執(zhí)行步驟103 ;如果匹配失敗,則執(zhí)行步驟104。
[0060]在此進行匹配的方式可以是精確匹配,也可以是模糊匹配,優(yōu)選后一種匹配方式。payload庫中包含的是已知的攻擊特征,具體payload庫的形成將在后續(xù)步驟中描述。攻擊特征的形式是字符串,當采用模糊匹配的方式時,可以將其中的數(shù)字替換為通配符再進行匹配。
[0061]步驟103:確定該惡意url請求是已知攻擊,等待針對下一惡意url請求執(zhí)行步驟102。
[0062]步驟104:確定捕獲到未知攻擊,從該惡意url請求的攻擊參數(shù)值中提取攻擊特征。
[0063]在本步驟中提取攻擊特征時,主要包括以下兩個步驟:
[0064]第一步:確定惡意url請求中的攻擊參數(shù)。
[0065]在確定惡意url請求中的攻擊參數(shù)時,是將攻擊匹配模式與該惡意url請求進行匹配,確定匹配的位置,確定惡意url請求中該位置對應的參數(shù)為攻擊參數(shù)。在攻擊識別時,每一類攻擊的攻擊規(guī)則都對應有攻擊匹配模式,該攻擊匹配模式是一些特征的正則表達式,例如xss類的攻擊識別采用的攻擊匹配模式為該正則表達式:<script I onerror\= | onload\= (?! [\d] +) alert\ (| document\.(?!html |html)。將識別出該惡意url請求的攻擊規(guī)則所對應的攻擊匹配模式與惡意的url請求進行匹配,就能夠返回匹配的位置,該匹配的位置就是url請求中攻擊特征對應的位置,因此該匹配的位置對應的參數(shù)為攻擊參數(shù)。
[0066]第二步:從攻擊參數(shù)的參數(shù)值(即攻擊參數(shù)值)中提取第一個非正常字符開始至最后一個字符的字符串作為攻擊特征。這里所指的非正常字符可以是除了字母、數(shù)字和%符號之外的其他字符。這是因為攻擊特征為了進行閉合拼接等操作必須帶有特殊字符,而且攻擊特征大多拼接到正常字符之后進行惡意攻擊。
[0067]舉個例子,假設某惡意url請求為:
[0068]zhida0.baidu.com.cn/tv/11220.htm?frp=browse</script><script>alert(I);//&&&
[0069]假設利用攻擊匹配模式匹配得到的位置所對應的參數(shù)為frp,那么提取該frp參數(shù)的參數(shù)值:browse</script><script>alert (I) ;//
[0070]該參數(shù)值中第一個非正常字符為〈,因此提取的攻擊特征為〈/script><script>alert(I);//
[0071]步驟105:將提取的攻擊特征存入payload庫。
[0072]更進一步地,可以將該惡意url請求中提取的攻擊特征進行突出顯示,以便分析人員能夠很快找到攻擊特征從而進行有效地分析。所謂突出顯示可以是諸如飄紅處理、變換字體等。
[0073]通過上述的過程有一定時間的累積后,payload庫中的攻擊特征逐漸豐富。該payload庫除了用于進行未知攻擊的捕獲之外,還有另外一個重要的作用,即前端的接入平臺可以利用payload庫對由客戶端或瀏覽器發(fā)送給服務器的url請求進行識別,將接收到的url請求與payload庫中的攻擊特征進行匹配,如果匹配成功,則對該url請求進行封禁,即禁止該url請求發(fā)送至服務器。前端的接入平臺如圖2中所示,可以控制客戶端接入服務器,即控制是否將客戶端的url請求轉發(fā)給服務器。也就是說,來自客戶端的url請求首先進入前端的接入平臺,前端的接入平臺利用payload庫進行識別,如果接收到的url請求包含payload庫中的攻擊特征,貝U禁止該url請求發(fā)送至服務器,即在前端就能夠對惡意攻擊防患于未然。
[0074]假設此時前端的接入平臺接收到url請求:
[0075]zhida0.baidu.com.cn/tv/13258.htm?frp=aaa</script><script>alert (I);//
[0076]查詢payload庫后,由于該url請求的參數(shù)值中也包含〈/script><script>alert⑴;//,命中了 payload庫,也就是說,在該url請求未到達服務器時就能判別出其包含攻擊特征,從而阻止該 url請求進入服務器。
[0077]以上是對本發(fā)明所提供的方法進行的詳細描述,下面通過實施例二對本發(fā)明所提供的裝置進行詳細描述。
[0078]實施例二、
[0079]圖3為本發(fā)明實施例二提供的捕獲未知攻擊的裝置結構圖,如圖3所示,該裝置包括:特征匹配單元00和特征提取單元10。
[0080]當url請求被識別為惡意url請求時,由特征匹配單元00將惡意url請求與payload庫中的攻擊特征進行匹配,如果匹配失敗,則確定捕獲到未知的惡意url請求。特征提取單元10從未知的惡意url請求的參數(shù)值中提取攻擊特征,將提取的攻擊特征存入payload 庫。[0081]也就是說,payload庫中保存的是已知的攻擊特征,通過payload庫與惡意url請求的匹配就能夠捕獲未知攻擊。
[0082]上述對未知攻擊的捕獲可以來源于web訪問日志中的url請求,然而,web訪問日志中的url請求是非常大數(shù)量級的,通常是千萬以上級別,這就給攻擊識別帶來很大的障礙。鑒于web訪問日志中的url請求是存在很大程度上的重復的,或者在攻擊識別的意義上是重復的,因此,為了提高攻擊識別的效率,會對web訪問日志中的url請求進行去重。即該裝置還可以包括:去重單元20和攻擊識別單元30。
[0083]去重單元20首先對web訪問日志中的url請求進行去重,具體可以執(zhí)行以下去重處理中的至少一種:
[0084]I)對于完全相同的url請求只保留其中一條,其余的去掉。
[0085]2)在同一個產品線的url請求中,對于不包含參數(shù)和參數(shù)值的url請求只保留其中一條,其余的去掉。
[0086]3)對于參數(shù)相同但參數(shù)值不同的url請求只保留其中一條,其余的去掉。也就是說,對于主機信息、目錄和參數(shù)都相同但參數(shù)值不同的url請求,只保留其中一條。這種方式可以采用對url中的主機信息、目錄和參數(shù)進行hash的方式,將已保留的url請求的hash結果保留在key hash表中,將待去重的url請求的主機信息、目錄和參數(shù)進行hash后,查找key hash表,如果命中key hash表,則刪除該url請求,如果沒有命中key hash表,則保留該url請求,并將該url請求的hash結果存入key hash表。
[0087]之后由攻擊識別單元30對去重后得到的url請求進行攻擊識別,從而識別出惡意url請求提供給特征匹配單元00。在此對攻擊識別的方式并不進行具體的限制,可以采用現(xiàn)有技術中任意一種對url請求進行攻擊識別的方式。
[0088]具體地,特征提取單元10可以包括:參數(shù)確定子單元11、特征提取子單元12和特征存儲子單元13。
[0089]其中由參數(shù)確定子單元11確定惡意url請求中的攻擊參數(shù),具體地,可以將攻擊識別時識別出該惡意url請求的攻擊規(guī)則所對應的攻擊匹配模式與惡意url請求進行匹配,確定匹配的位置,將惡意url請求中匹配位置對應的參數(shù)確定為攻擊參數(shù)。
[0090]然后特征提取子單元12從攻擊參數(shù)的參數(shù)值中提取第一個非正常字符開始至最后一個字符構成的字符串作為攻擊特征,其中非正常字符為除了字母、數(shù)字和%符號之外的其他字符。
[0091]再由特征存儲子單元13將特征提取子單元12提取的攻擊特征存入payload庫。
[0092]隨著時間的累積,payload庫中的攻擊特征逐漸豐富,該payload庫除了用于進行未知攻擊的捕獲之外,還有另外一個重要的作用,即在前端進行訪問控制。此時,該裝置還包括前端過濾單元40。
[0093]該前端過濾單元40設置于前端的接入平臺,可以以諸如防火墻的形式存在,用于在前端的接入平臺接收到由客戶端或瀏覽器發(fā)送給服務器的url請求后,將接收到的url請求與payload庫中的攻擊特征進行匹配,如果匹配成功,則禁止該url請求發(fā)送至服務器。前端的接入平臺可以是諸如BFE (基本篩選引擎),用于提高系統(tǒng)安全性。
[0094]在本發(fā)明所提供的幾個實施例中,應該理解到,所揭露的裝置和方法,可以通過其它的方式實現(xiàn)。例如,以上所描述的裝置實施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現(xiàn)時可以有另外的劃分方式。
[0095]另外,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn),也可以采用硬件加軟件功能單元的形式實現(xiàn)。
[0096]上述以軟件功能單元的形式實現(xiàn)的集成的單元,可以存儲在一個計算機可讀取存儲介質中。上述軟件功能單元存儲在一個存儲介質中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網絡設備等)或處理器(processor)執(zhí)行本發(fā)明各個實施例所述方法的部分步驟。而前述的存儲介質包括:U盤、移動硬盤、只讀存儲器(Read-Only Memory, ROM)、隨機存取存儲器(Random Access Memory, RAM)、磁碟或者光盤等各種可以存儲程序代碼的介質。
[0097]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發(fā)明保護的范圍之內。
【權利要求】
1.一種捕獲未知攻擊的方法,其特征在于,該方法包括: 當統(tǒng)一資源定位符url請求被識別為惡意url請求時,將所述惡意url請求與凈荷payload庫中的攻擊特征進行匹配,如果匹配失敗,則確定捕獲到未知的惡意url請求; 從所述未知的惡意url請求的參數(shù)值中提取攻擊特征,將提取的攻擊特征存入所述payload 庫。
2.根據(jù)權利要求1所述的方法,其特征在于,該方法還包括: 對web訪問日志中的url請求進行去重和攻擊識別,從而識別出惡意url請求。
3.根據(jù)權利要求2所述的方法,其特征在于,對web訪問日志中的url請求進行去重包括以下至少一種: 對于完全相同的url請求只保留其中一條,其余的去掉; 對于同一個產品線的url請求,對于不包含參數(shù)和參數(shù)值的url請求只保留其中一條,其余的去掉; 對于參數(shù)相同但參數(shù)值不同的url請求只保留其中一條,其余的去掉。
4.根據(jù)權利要求1所述的方法,其特征在于,從所述未知的惡意url請求的參數(shù)值中提取攻擊特征包括: 確定惡意url請求中的攻擊 參數(shù); 從所述攻擊參數(shù)的參數(shù)值中提取第一個非正常字符開始至最后一個字符構成的字符串作為攻擊特征,其中所述非正常字符為除了字母、數(shù)字和%符號之外的其他字符。
5.根據(jù)權利要求4所述的方法,其特征在于,所述確定惡意url請求中的攻擊參數(shù)包括: 將攻擊識別時識別出該惡意url請求的攻擊規(guī)則所對應的攻擊匹配模式與所述惡意url請求進行匹配,確定匹配的位置,將惡意url請求中匹配位置對應的參數(shù)確定為攻擊參數(shù)。
6.根據(jù)權利要求1至5任一權項所述的方法,其特征在于,該方法還包括:前端的接入平臺接收到由客戶端或瀏覽器發(fā)送給服務器的url請求后,將接收到的url請求與所述payload庫中的攻擊特征進行匹配,如果匹配成功,則禁止該url請求發(fā)送至服務器。
7.一種捕獲未知攻擊的裝置,其特征在于,該裝置包括: 特征匹配單元,用于當url請求被識別為惡意url請求時,將所述惡意url請求與payload庫中的攻擊特征進行匹配,如果匹配失敗,則確定捕獲到未知的惡意url請求; 特征提取單元,用于從所述未知的惡意url請求的參數(shù)值中提取攻擊特征,將提取的攻擊特征存入所述payload庫。
8.根據(jù)權利要求7所述的裝置,其特征在于,該裝置還包括: 去重單元,用于對web訪問日志中的url請求進行去重; 攻擊識別單元,用于對去重后得到的url請求進行攻擊識別,從而識別出惡意url請求提供給所述特征匹配單元。
9.根據(jù)權利要求8所述的裝置,其特征在于,所述去重單元對web訪問日志中的url請求執(zhí)行以下去重處理中的至少一種: 對于完全相同的url請求只保留其中一條,其余的去掉; 在同一個產品線的url請求中,對于不包含參數(shù)和參數(shù)值的url請求只保留其中一條,其余的去掉; 對于參數(shù)相同但參數(shù)值不同的url請求只保留其中一條,其余的去掉。
10.根據(jù)權利要求7所述的裝置,其特征在于,所述特征提取單元包括: 參數(shù)確定子單元,用于確定惡意url請求中的攻擊參數(shù); 特征提取子單元,用于從所述攻擊參數(shù)的參數(shù)值中提取第一個非正常字符開始至最后一個字符構成的字符串作為攻擊特征,其中所述非正常字符為除了字母、數(shù)字和%符號之外的其他字符。
11.根據(jù)權利要求10所述的裝置,其特征在于,所述參數(shù)確定子單元,具體用于將攻擊識別時識別出該惡意url請求的攻擊規(guī)則所對應的攻擊匹配模式與所述惡意url請求進行匹配,確定匹配的位置,將惡意url請求中匹配位置對應的參數(shù)確定為攻擊參數(shù)。
12.根據(jù)權利要求7至11任一權項所述的裝置,其特征在于,該裝置還包括:設置于前端的接入平臺的前端過濾單元; 所述前端過濾單元,用于在所述前端的接入平臺接收到由客戶端或瀏覽器發(fā)送給服務器的url請求后,將接收到的url請求與所述payload庫中的攻擊特征進行匹配,如果匹配成功,則禁止該url請求發(fā)`送至服務器。
【文檔編號】H04L29/06GK103532944SQ201310464706
【公開日】2014年1月22日 申請日期:2013年10月8日 優(yōu)先權日:2013年10月8日
【發(fā)明者】周向榮, 崔啟龍, 黃佑榕, 李鳴雷 申請人:百度在線網絡技術(北京)有限公司