本发明专利技术提供了一种异常流量的检测方法和装置,其方法包括:获取网站的基准流量特征,所述基准流量特征包括由合法URL构建得到的URL特征;从接收到的待检测流量中提取待检测流量特征;匹配待检测流量特征和基准流量特征,以确定待检测流量特征中是否存在与基准流量特征不匹配的特征;当所述待检测流量特征中存在与所述基准流量特征不匹配的特征时,分析所述与基准流量特征不匹配的特征,以确定所述待检测流量是否为异常流量。本发明专利技术提供的方法能够很好地应对0day漏洞,有利于提高网络安全。本发明专利技术还提供了防御Web攻击的方法和装置。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种异常流量的检测方法及装置,以及基于该异常流量检测方法的防御Web攻击的方法和装置。
技术介绍
随着计算机技术的发展,当前计算机面临的是日益先进且多样的Web攻击。丰富的Java脚本和SQL (结构化查询语言,Structured Query Language)给黑客提供了 Web攻击的可乘之机。为了防御Web攻击,需要对输入到网站上的流量进行检测,以检测出对网站攻击的异常流量。目前大多采用特定代码来检测异常流量,进而抵御其对Web的攻击。然而,特定代码存在以下冋题:要么由于检测的范围过于宽泛而导致误报威胁,要么由于对句法限定过于精确而造成威胁漏报。并且,特定代码检测都是基于预先设置好的攻击特征进行检测,这些预先设置后的攻击特征也可以称之为黑名单。由于黑名单是根据已经发生的Web攻击设置的,因此,基于特定代码检测异常流量的方法具有防御滞后和“事后更新”的特点,如此导致特定代码检测的方法只能防御现有的已知的Web攻击,在应对Oday漏洞的防御时略显滞后,因此,现有的基于特定代码的异常流量检测方法不能对网络进行有效、及时地保护。
技术实现思路
有鉴于此,本专利技术的第一方面提供了一种异常流量的检测方法和装置。基于本专利技术的第一方面,本专利技术的第二方面提供了一种防御Web攻击的方法和装置。为了解决上述技术问题,本专利技术采用了如下技术方案:一种异常流量的检测方法,包括:获取网站的基准流量特征,所述基准流量特征包括由合法URL构建得到的URL特征;从接收到的待检测流量中提取待检测流量特征;匹配待检测流量特征和基准流量特征,以确定待检测流量特征中是否存在与基准流量特征不匹配的特征;当所述待检测流量特征中存在与所述基准流量特征不匹配的特征时,分析所述与基准流量特征不匹配的特征,以确定所述待检测流量是否为异常流量。可选地,所述获取基准流量特征具体包括:通过学习合法URL的特征获取基准流量特征,所述学习合法URL的特征获取基准流量特征包括第一次迭代学习过程,所述第一次迭代学习过程包括第一学习阶段和第二学习阶段;在第一学习阶段内,记录合法URL的特征以及输入该合法URL的第一用户,并累积输入该合法URL的第一用户量,直到输入该合法URL的第一用户量达到第一预设数量,当输入该合法URL的用户量达到第一预设数量后,切换到第二学习阶段;在第二学习阶段内,记录合法URL的特征以及输入该合法URL的第二用户,并累积合法URL的第二用户量,直到输入所述合法URL的第二用户量达到第二预设数量;所述第二用户与所述第一用户不同;比较第二学习阶段内记录的流量特征与第一学习阶段内记录的流量特征是否一致,如果是,将第一学习阶段内和第二学习阶段内记录的流量特征确定为基准流量特征。可选地,所述比较第二学习阶段内记录的流量特征是否与第一学习阶段内记录的流量特征是否一致,还包括:进行下一次迭代学习过程;其中,所述进行下一次迭代学习过程包括:记录合法URL的特征以及输入该合法URL的新用户并累积所述新用户的数量,直到所述新用户的数量达到第二预设数量;所述新用户为先前学习过程中没有记录的用户;比较最新一次记录的URL特征与先前已经记录的URL特征是否一致,如果是,确定最新一次和先前已经记录的URL特征为基准流量特征。可选地,所述基准流量特征和所述待检测流量特征包括Method信息、QueryString信息、Cookie信息和Referer信息中的至少一种,所述Query String包括至少一个key-value对;所述分析所述与基准流量特征不匹配的特征,以确定所述待检测流量是否为异常流量,具体包括:当所述与基准流量特征不匹配的特征为Referer信息时,判断所述Referer信息是否为预设域名,如果是,确定所述待检测流量不是异常流量;如果否,确定所述待检测流量为异常流量;当所述与基准流量特征不匹配的特征为传输协议的请求方法时,确定该待检测流量为异常流量;当所述与基准流量特征不匹配的特征为Query String的key信息时,确定该待检测流量为异常流量;和/ 或,当所述与基准流量特征不匹配的特征为Query String的Value信息时,判断Value信息是否具备攻击特征,如果是,确定该待检测流量为异常流量,如果否,确定该待检测流量不是异常流量。可选地,还包括:当所述待检测流量为异常流量时,阻止待检测流量。—种防御Web攻击的方法,包括:采用上述任一项所述的方法检测接收到的流量是否为异常流量;当接收到的流量为异常流量时,追踪产生异常流量的用户;根据所述用户在当前预设时间段内产生异常流量的程度确定该用户在该当前预设时间段内的信任度;判断所述用户在该预设时间段内的信任度是否大于预设信任度,如果是,不阻止该用户输入的异常流量,如果否,阻止该用户输入的异常流量。一种异常流量的检测装置,包括:获取单元,用户获取网站的基准流量特征,所述基准流量特征包括由合法URL构建得到的URL特征;提取单元,用于从接收到的待检测流量中提取待检测流量特征;匹配单元,用于匹配待检测流量特征和基准流量特征,以确定待检测流量特征中是否存在与基准流量特征不匹配的特征;分析确定单元,用于当所述待检测流量特征中存在与所述基准流量特征不匹配的特征时,分析所述与基准流量特征不匹配的特征,以确定所述待检测流量是否为异常流量。可选地,所述获取单元包括:第一学习单元,用于在第一学习阶段内,记录合法URL的特征以及输入该合法URL的第一用户并累积输入该合法URL的第一用户量,直到输入该合法URL的第一用户量达到第一预设数量,当输入该合法URL的用户量达到第一预设数量后,切换到第二学习阶段;第二学习单元,用于在第二学习阶段内,记录合法URL的特征以及输入该合法URL的第二用户并累积合法URL的第二用户量,直到输入该合法URL的第二用户量达到第二预设数量;所述第二用户与所述第一用户不同;比较单元,用于比较第二学习阶段内记录的流量特征是否与第一学习阶段内记录的流量特征是否一致,如果是,将第一学习阶段内和第二学习阶段内记录的流量特征确定为基准流量特征。可选地,所述装置还包括:阻止单元,用于当所述待检测流量为异常流量时,阻止待检测流量。—种防御Web攻击的装置,包括:检测单元,用于采用上述任一项所述的方法检测接收到的流量是否为异常流量;追踪单元,用于当接收到的流量为异常流量时,追踪产生异常流量的用户;确定信任度单元,用于根据所述用户在当前预设时间段内产生的异常流量的程度确定该用户在该当前预设时间段内的信任度;判断单元,用于判断所述用户在该预设时间段内的信任度是否大于预设信任度,如果是,不阻止该用户输入的异常流量,如果否,阻止该用户输入的异常流量。相较于现有技术,本专利技术具有以下有益效果:本专利技术提供的异常流量检测方法中,将合法URL构建的URL特征确定为基准流量特征,然后用待检测流量的流量特征与基准流量特征进行匹配,当待检测流量的流量特征中存在与基准流量特征不匹配的特征时,再对该与基准流量特征不匹配的特征进行进一步分析,以确定该待检测流量是否为异常流量。由于异常流量中必然存在与合法正常流量不匹配的特征,因此,通过将待检测流量的流量特征与基准流量特征进行匹配的方法,本文档来自技高网...
【技术保护点】
一种异常流量的检测方法,其特征在于,包括:获取网站的基准流量特征,所述基准流量特征包括由合法URL构建得到的URL特征;从接收到的待检测流量中提取待检测流量特征;匹配待检测流量特征和基准流量特征,以确定待检测流量特征中是否存在与基准流量特征不匹配的特征;当所述待检测流量特征中存在与所述基准流量特征不匹配的特征时,分析所述与基准流量特征不匹配的特征,以确定所述待检测流量是否为异常流量。
【技术特征摘要】
【专利技术属性】
技术研发人员:于杨,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。