異常流量的檢測(cè)方法及裝置����、防御Web攻擊的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種異常流量的檢測(cè)方法及裝置��,以及基于該異常流量檢測(cè)方法的防御Web攻擊的方法和裝置��。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)技術(shù)的發(fā)展��,當(dāng)前計(jì)算機(jī)面臨的是日益先進(jìn)且多樣的Web攻擊�����。豐富的Java腳本和SQL (結(jié)構(gòu)化查詢語(yǔ)言���,Structured Query Language)給黑客提供了 Web攻擊的可乘之機(jī)��。為了防御Web攻擊�����,需要對(duì)輸入到網(wǎng)站上的流量進(jìn)行檢測(cè)����,以檢測(cè)出對(duì)網(wǎng)站攻擊的異常流量。
[0003]目前大多采用特定代碼來(lái)檢測(cè)異常流量�����,進(jìn)而抵御其對(duì)Web的攻擊�。然而,特定代碼存在以下冋題:
[0004]要么由于檢測(cè)的范圍過(guò)于寬泛而導(dǎo)致誤報(bào)威脅�,要么由于對(duì)句法限定過(guò)于精確而造成威脅漏報(bào)。并且�,特定代碼檢測(cè)都是基于預(yù)先設(shè)置好的攻擊特征進(jìn)行檢測(cè),這些預(yù)先設(shè)置后的攻擊特征也可以稱之為黑名單���。由于黑名單是根據(jù)已經(jīng)發(fā)生的Web攻擊設(shè)置的���,因此���,基于特定代碼檢測(cè)異常流量的方法具有防御滯后和“事后更新”的特點(diǎn)����,如此導(dǎo)致特定代碼檢測(cè)的方法只能防御現(xiàn)有的已知的Web攻擊���,在應(yīng)對(duì)Oday漏洞的防御時(shí)略顯滯后����,因此,現(xiàn)有的基于特定代碼的異常流量檢測(cè)方法不能對(duì)網(wǎng)絡(luò)進(jìn)行有效�、及時(shí)地保護(hù)。
【發(fā)明內(nèi)容】
[0005]有鑒于此���,本發(fā)明的第一方面提供了一種異常流量的檢測(cè)方法和裝置���。
[0006]基于本發(fā)明的第一方面,本發(fā)明的第二方面提供了一種防御Web攻擊的方法和裝置��。
[0007]為了解決上述技術(shù)問(wèn)題���,本發(fā)明采用了如下技術(shù)方案:
[0008]一種異常流量的檢測(cè)方法��,包括:
[0009]獲取網(wǎng)站的基準(zhǔn)流量特征���,所述基準(zhǔn)流量特征包括由合法URL構(gòu)建得到的URL特征;
[0010]從接收到的待檢測(cè)流量中提取待檢測(cè)流量特征�����;
[0011]匹配待檢測(cè)流量特征和基準(zhǔn)流量特征,以確定待檢測(cè)流量特征中是否存在與基準(zhǔn)流量特征不匹配的特征�����;
[0012]當(dāng)所述待檢測(cè)流量特征中存在與所述基準(zhǔn)流量特征不匹配的特征時(shí)�����,分析所述與基準(zhǔn)流量特征不匹配的特征�����,以確定所述待檢測(cè)流量是否為異常流量����。
[0013]可選地,所述獲取基準(zhǔn)流量特征具體包括:通過(guò)學(xué)習(xí)合法URL的特征獲取基準(zhǔn)流量特征�,所述學(xué)習(xí)合法URL的特征獲取基準(zhǔn)流量特征包括第一次迭代學(xué)習(xí)過(guò)程,所述第一次迭代學(xué)習(xí)過(guò)程包括第一學(xué)習(xí)階段和第二學(xué)習(xí)階段��;
[0014]在第一學(xué)習(xí)階段內(nèi)���,記錄合法URL的特征以及輸入該合法URL的第一用戶,并累積輸入該合法URL的第一用戶量�,直到輸入該合法URL的第一用戶量達(dá)到第一預(yù)設(shè)數(shù)量����,當(dāng)輸入該合法URL的用戶量達(dá)到第一預(yù)設(shè)數(shù)量后����,切換到第二學(xué)習(xí)階段;
[0015]在第二學(xué)習(xí)階段內(nèi)��,記錄合法URL的特征以及輸入該合法URL的第二用戶��,并累積合法URL的第二用戶量���,直到輸入所述合法URL的第二用戶量達(dá)到第二預(yù)設(shè)數(shù)量��;所述第二用戶與所述第一用戶不同�����;
[0016]比較第二學(xué)習(xí)階段內(nèi)記錄的流量特征與第一學(xué)習(xí)階段內(nèi)記錄的流量特征是否一致�,如果是���,將第一學(xué)習(xí)階段內(nèi)和第二學(xué)習(xí)階段內(nèi)記錄的流量特征確定為基準(zhǔn)流量特征���。
[0017]可選地�,所述比較第二學(xué)習(xí)階段內(nèi)記錄的流量特征是否與第一學(xué)習(xí)階段內(nèi)記錄的流量特征是否一致��,還包括:進(jìn)行下一次迭代學(xué)習(xí)過(guò)程���;其中�,所述進(jìn)行下一次迭代學(xué)習(xí)過(guò)程包括:
[0018]記錄合法URL的特征以及輸入該合法URL的新用戶并累積所述新用戶的數(shù)量��,直到所述新用戶的數(shù)量達(dá)到第二預(yù)設(shè)數(shù)量�����;所述新用戶為先前學(xué)習(xí)過(guò)程中沒(méi)有記錄的用戶��;
[0019]比較最新一次記錄的URL特征與先前已經(jīng)記錄的URL特征是否一致�,如果是,確定最新一次和先前已經(jīng)記錄的URL特征為基準(zhǔn)流量特征�����。
[0020]可選地��,所述基準(zhǔn)流量特征和所述待檢測(cè)流量特征包括Method信息��、QueryString信息、Cookie信息和Referer信息中的至少一種��,所述Query String包括至少一個(gè)key-value對(duì)�;所述分析所述與基準(zhǔn)流量特征不匹配的特征��,以確定所述待檢測(cè)流量是否為異常流量���,具體包括:
[0021]當(dāng)所述與基準(zhǔn)流量特征不匹配的特征為Referer信息時(shí)���,判斷所述Referer信息是否為預(yù)設(shè)域名,如果是��,確定所述待檢測(cè)流量不是異常流量�����;如果否��,確定所述待檢測(cè)流量為異常流量��;
[0022]當(dāng)所述與基準(zhǔn)流量特征不匹配的特征為傳輸協(xié)議的請(qǐng)求方法時(shí)�����,確定該待檢測(cè)流量為異常流量;
[0023]當(dāng)所述與基準(zhǔn)流量特征不匹配的特征為Query String的key信息時(shí)��,確定該待檢測(cè)流量為異常流量����;
[0024]和/ 或,
[0025]當(dāng)所述與基準(zhǔn)流量特征不匹配的特征為Query String的Value信息時(shí)����,判斷Value信息是否具備攻擊特征,如果是��,確定該待檢測(cè)流量為異常流量��,如果否�,確定該待檢測(cè)流量不是異常流量。
[0026]可選地����,還包括:當(dāng)所述待檢測(cè)流量為異常流量時(shí),阻止待檢測(cè)流量�。
[0027]—種防御Web攻擊的方法,包括:
[0028]采用上述任一項(xiàng)所述的方法檢測(cè)接收到的流量是否為異常流量�;
[0029]當(dāng)接收到的流量為異常流量時(shí),追蹤產(chǎn)生異常流量的用戶���;
[0030]根據(jù)所述用戶在當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)產(chǎn)生異常流量的程度確定該用戶在該當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)的信任度�;
[0031]判斷所述用戶在該預(yù)設(shè)時(shí)間段內(nèi)的信任度是否大于預(yù)設(shè)信任度,如果是����,不阻止該用戶輸入的異常流量����,如果否,阻止該用戶輸入的異常流量��。
[0032]一種異常流量的檢測(cè)裝置���,包括:
[0033]獲取單元��,用戶獲取網(wǎng)站的基準(zhǔn)流量特征����,所述基準(zhǔn)流量特征包括由合法URL構(gòu)建得到的URL特征�����;
[0034]提取單元�,用于從接收到的待檢測(cè)流量中提取待檢測(cè)流量特征����;
[0035]匹配單元��,用于匹配待檢測(cè)流量特征和基準(zhǔn)流量特征����,以確定待檢測(cè)流量特征中是否存在與基準(zhǔn)流量特征不匹配的特征;
[0036]分析確定單元�����,用于當(dāng)所述待檢測(cè)流量特征中存在與所述基準(zhǔn)流量特征不匹配的特征時(shí)���,分析所述與基準(zhǔn)流量特征不匹配的特征�����,以確定所述待檢測(cè)流量是否為異常流量��。
[0037]可選地�����,所述獲取單元包括:
[0038]第一學(xué)習(xí)單元��,用于在第一學(xué)習(xí)階段內(nèi)����,記錄合法URL的特征以及輸入該合法URL的第一用戶并累積輸入該合法URL的第一用戶量,直到輸入該合法URL的第一用戶量達(dá)到第一預(yù)設(shè)數(shù)量�����,當(dāng)輸入該合法URL的用戶量達(dá)到第一預(yù)設(shè)數(shù)量后����,切換到第二學(xué)習(xí)階段����;
[0039]第二學(xué)習(xí)單元,用于在第二學(xué)習(xí)階段內(nèi)��,記錄合法URL的特征以及輸入該合法URL的第二用戶并累積合法URL的第二用戶量��,直到輸入該合法URL的第二用戶量達(dá)到第二預(yù)設(shè)數(shù)量�;所述第二用戶與所述第一用戶不同;
[0040]比較單元����,用于比較第二學(xué)習(xí)階段內(nèi)記錄的流量特征是否與第一學(xué)習(xí)階段內(nèi)記錄的流量特征是否一致����,如果是�����,將第一學(xué)習(xí)階段內(nèi)和第二學(xué)習(xí)階段內(nèi)記錄的流量特征確定為基準(zhǔn)流量特征���。
[0041]可選地����,所述裝置還包括:
[0042]阻止單元���,用于當(dāng)所述待檢測(cè)流量為異常流量時(shí)��,阻止待檢測(cè)流量���。
[0043]—種防御Web攻擊的裝置,包括:
[0044]檢測(cè)單元�,用于采用上述任一項(xiàng)所述的方法檢測(cè)接收到的流量是否為異常流量;
[0045]追蹤單元��,用于當(dāng)接收到的流量為異常流量時(shí),追蹤產(chǎn)生異常流量的用戶�����;
[0046]確定信任度單元��,用于根據(jù)所述用戶在當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)產(chǎn)生的異常流量的程度確定該用戶在該當(dāng)前預(yù)設(shè)時(shí)間段內(nèi)的信任度��;
[0047]判斷單元����,用于判斷所述用戶在該預(yù)設(shè)時(shí)間段內(nèi)的信任度是否大于預(yù)設(shè)信任度,如果是��,不阻止該用戶輸入的異常流量����,如果否���,阻止該用戶輸入的異常流量�。
[0048]相較于現(xiàn)有技術(shù)����,本發(fā)明具有以下有益效果:
[0049]本發(fā)明提供的異常流量檢測(cè)方法中,將合法URL構(gòu)建的URL特征確定為基準(zhǔn)流量特征,然后用待檢測(cè)流量的流量特征與基準(zhǔn)流量特征進(jìn)行匹配����,當(dāng)待檢測(cè)流量的流量特征中存在與基準(zhǔn)流量特征不匹配的特征時(shí),再對(duì)該與基準(zhǔn)流量特征不匹配的特征進(jìn)行進(jìn)一步分析����,以確定該待檢測(cè)流量是否為異常流量。由于異常流量中必然存在與合法正常流量不匹配的特征�,因此,通過(guò)將待檢測(cè)流量的流量特征與基準(zhǔn)流量特征進(jìn)行匹配的方法���,能夠?qū)⑺锌赡艿漠惓A髁烤鶛z測(cè)出來(lái)��。因此��,通過(guò)本發(fā)明提供的異常流量檢測(cè)方法不會(huì)出現(xiàn)對(duì)異常流量漏檢的情況��。
[0050]另外�����,在本發(fā)明中����,基準(zhǔn)流量特征是根據(jù)合法的URL構(gòu)建的URL特征確定的,其與異常流量的攻擊特征無(wú)關(guān)��。因此��,不管攻擊Web的