本发明专利技术实施例公开了一种对Web服务器群的攻击的检测方法和装置,用于应对快速变化的Web攻击。本发明专利技术实施例方法包括:获取潜在攻击集合,该潜在攻击集合是根据在预置时段内向Web服务器群发送的Web请求的请求字符串确定的;对请求字符串聚类分析,并根据聚类分析的结果将该请求字符串划分到潜在攻击聚类中;计算潜在每个潜在攻击聚类的过滤因子,该过滤因子为潜在攻击聚类中请求字符串的数量与请求字符串对应的Web服务器的数量的比值;根据过滤因子是否存在攻击。本发明专利技术实施例能够应对快速变化的Web攻击。
【技术实现步骤摘要】
本专利技术涉及互联网领域,尤其涉及一种对Web服务器群的攻击的检测方法和装置。
技术介绍
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上。Web业务的迅速发展也引起了攻击者更大的兴趣,并采用拉网式的Web漏洞扫描方式,来获取最大的攻击利益。当一种新的漏洞出现时,攻击者往往采用编写工具对互联网进行采点扫描,以最大化发现存在漏洞的Web服务器并对其进行攻击。然而,现有技术中常用的对Web攻击的防护方法一般是对某种特定类型的攻击的防护,例如针对结构化查询语言(Structured Query Language, SQL)注入的防护。这些防护方法都不能应对现在的快速变化的Web攻击。
技术实现思路
本专利技术实施例提供了一种对Web服务器群的攻击的检测方法和装置,用于应对现在的快速变化的Web攻击。本专利技术实施例第一方面提供一种对Web服务器群的攻击的检测方法,包括:获取潜在攻击集合,其中所述潜在攻击集合是根据在预置时间段内向所述Web服务器群发送的Web请求中的请求字符串确定的;对所述潜在攻击集合中的请求字符串进行聚类分析,获取聚类分析的结果,并根据所述聚类分析的结果将所述潜在攻击集合中的请求字符串划分到潜在攻击聚类中,其中同一个潜在攻击聚类中的任意两个请求字符串之间的相似距离小于或者等于预置距离,且任意一个潜在攻击聚类中的任意一个请求字符串与其他任意一个潜在攻击聚类中的任意一个请求字符串之间的相似距离大于所述预置距离;计算所述潜在攻击聚类的过滤因子,其中任意一个所述潜在攻击聚类的过滤因子为所述潜在攻击聚类中请求字符串的数量与所述潜在攻击集合中请求字符串所对应的Web服务器的数量的比值;根据所述过滤因子确定是否存在攻击。 结合本专利技术实施例的第一方面,本专利技术实施例的第一方面的第一种实现方式中,所述根据所述过滤因子确定是否存在攻击具体包括:当所述过滤因子小于或者等于预置数值时,确定存在攻击;所述确定存在攻击之后,还包括:将所述过滤因子对应的潜在攻击聚类确定为攻击聚类;将所述攻击聚类加入到攻击集合。结合本专利技术实施例的第一方面,本专利技术实施例的第一方面的第二种实现方式中,所述根据所述过滤因子确定是否存在攻击具体包括:当所述过滤因子与所述预置距离的乘积小于或者等于预置数值时,确定存在攻击;所述确定存在攻击之后,还包括:将所述过滤因子对应的潜在攻击聚类确定为攻击聚类;将所述攻击聚类加入到攻击集合。 结合本专利技术实施例的第一方面、或第一方面的第一种实现方式、或第一方面的第二种实现方式,本专利技术实施例的第一方面的第三种实现方式中,所述获取潜在攻击集合之前还包括:获取请求集合,所述请求集合包括在所述预置时间段内对所述Web服务器群发送的所有Web请求中的请求字符串;所述获取潜在攻击集合具体包括:对所述请求集合中的请求字符串与预置第一规则进行匹配,获得匹配结果;根据所述匹配结果,确定潜在攻击集合。结合本专利技术实施例的第一方面的第三种实现方式,本专利技术实施例的第一方面的第四种实现方式中,所述对所述请求集合中的请求字符串与预置第一规则进行匹配之前还包括:对所述请求集合中的请求字符串与预置黑名单规则进行匹配;若所述请求集合中的请求字符串符合所述预置黑名单规则,则加入所述攻击集合;所述对所述请求集合中的请求字符串与预置第一规则进行匹配具体包括:对所述请求集合中不符合所述预置黑名单规则的请求字符串与预置第一规则进行匹配。 结合本专利技术实施例的第一方面的第四种实现方式,本专利技术实施例的第一方面的第五种实现方式中,所述方法还包括:将所述攻击集合生成正则表达式规则;将所述正则表达式规则添加到所述预置黑名单规则中。本专利技术实施例第二方面提供一种对Web服务器群的攻击的检测装置,包括:第一获取模块,用于获取潜在攻击集合,其中所述潜在攻击集合是根据在预置时间段内对所述Web服务器群发送的Web请求中的请求字符串确定的;分析模块,用于对所述潜在攻击集合中的请求字符串进行聚类分析,获取聚类分析的结果,并根据所述聚类分析的结果将所述潜在攻击集合中的请求字符串划分到潜在攻击聚类中,其中同一个潜在攻击聚类中的任意两个请求字符串之间的相似距离小于或者等于预置距离,且任意一个潜在攻击聚类中的任意一个请求字符串与其他任意一个潜在攻击聚类中的任意一个请求字符串之间的相似距离大于预置距离;计算模块,用于计算所述潜在攻击聚类的过滤因子,其中任意一个所述潜在攻击聚类的过滤因子为所述潜在攻击聚类中请求字符串的数量与所述潜在攻击集合中请求字符串所对应的Web服务器的数量的比值;第一确定模块,用于根据所述过滤因子确定是否存在攻击。结合本专利技术实施例的第二方面,本专利技术实施例的第二方面的第一种实现方式中,所述第一确定模块具体用于当所述过滤因子小于或者等于预置数值时,确定存在攻击;所述对Web服务器群的攻击的检测装置还包括:第二确定模块,用于将所述小于或者等于预置数值的过滤因子对应的潜在攻击聚类确定为攻击聚类;添加模块,用于将所述攻击聚类加入到所述攻击集合。结合本专利技术实施例的第二方面,本专利技术实施例的第二方面的第二种实现方式中,所述第一确定模块具体用于当所述过滤因子与所述预置距离的乘积小于或者等于预置数值时,确定存在攻击;所述对Web服务器群的攻击的检测装置还包括:第三确定模块,用于将所述过滤因子对应的潜在攻击聚类确定为攻击聚类;添加模块,用于将所述攻击聚类加入到所述攻击集合。结合本专利技术实施例的第二方面、或第二方面的第一种实现方式、或第二方面的第二种实现方式,本专利技术实施例的第二方面的第三种实现方式中,所述对Web服务器群的攻击的检测装置还包括:第二获取模块,用于获取请求集合,所述请求集合包括在所述预置时间段内对所述Web服务器群发送的所有Web请求中的请求字符串;所述第一获取模块具体包括:匹配单元,用于对所述请求集合中的请求字符串与预置第一规则进行匹配,获得匹配结果;确定单元,用于根据所述匹配结果,确定潜在攻击集合。结合本专利技术实施例的第二方面的第三种实现方式,本专利技术实施例的第二方面的第四种实现方式中,所述对Web服务器群的攻击的检测装置还包括:匹配模块,用于在所述匹配单元对所述请求集合中的请求字符串与预置第一规则进行匹配之前对所述请求集合中的请求字符串与预置黑名单规则进行匹配;所述第一获取模块中的匹配单元具体用于对所述请求集合中不符合所述预置黑名单规则的请求字符串与预置第一规则进行匹配,获得匹配结果。结合本专利技术实施例的第二方面的第四种实现方式,本专利技术实施例的第二方面的第五种实现方式中,所述对Web服务器群的攻击的检测装置还包括:生成模块,用于将所述攻击集合生成正则表达式规则;添加模块,用于将所述正则表达式规则添加到所述预置黑名单规则中。从以上技术方案可以看出,本专利技术实施例具有以下优点:本专利技术实施例中,通过搜集在预置时间段内对Web服务器群发送的Web请求中的请求字符串来形成潜在攻击集合,并对该集合中的请求字符串进行聚类分析以形成不同的聚类,由于在使用工具对Web服务器群的大规模攻击中,攻击的请求密度一般会不加区分地分布到各Web服务器中,因此攻击聚类中请求字符串数量与Web服务器的数量的本文档来自技高网...
【技术保护点】
一种对Web服务器群的攻击的检测方法,其特征在于,包括:获取潜在攻击集合,其中,所述潜在攻击集合是根据在预置时间段内向所述Web服务器群发送的Web请求中的请求字符串确定的;对所述潜在攻击集合中的请求字符串进行聚类分析,获取聚类分析的结果,并根据所述聚类分析的结果将所述潜在攻击集合中的请求字符串划分到潜在攻击聚类中,其中,同一个潜在攻击聚类中的任意两个请求字符串之间的相似距离小于或者等于预置距离,且任意一个潜在攻击聚类中的任意一个请求字符串与其他任意一个潜在攻击聚类中的任意一个请求字符串之间的相似距离大于所述预置距离;计算所述潜在攻击聚类的过滤因子,其中任意一个所述潜在攻击聚类的过滤因子为所述潜在攻击聚类中请求字符串的数量与所述潜在攻击集合中请求字符串所对应的Web服务器的数量的比值;根据所述过滤因子确定是否存在攻击。
【技术特征摘要】
【专利技术属性】
技术研发人员:王东晖,邹福泰,
申请(专利权)人:华为技术有限公司,上海交通大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。