本发明专利技术公开了一种漏洞攻击的检测方法和装置,涉及移动通信领域。其中的方法包括:利用K均值聚类算法对样本数据分簇;将实际访问数据在样本数据簇中进行归类;根据将实际访问数据在样本数据簇中的归类结果确定实际访问数据是否为漏洞攻击。从而能够检测到漏洞攻击样本特征库中不包含的攻击,并且提高了检测漏洞攻击的效率。
【技术实现步骤摘要】
漏洞攻击的检测方法和装置
本专利技术涉及移动通信领域,特别涉及一种漏洞攻击的检测方法和装置。
技术介绍
传统的漏洞攻击检测方法,通常是将访问数据包中的相关信息与漏洞攻击样本特征库中的关键字进行逐一匹配,然后根据匹配结果来判定当前访问请求是否包含漏洞攻击。若匹配成功,则判定当前访问请求为漏洞攻击;若匹配失败,则判定当前访问请求为安全访问请求。传统的漏洞攻击检测方法的缺点在于,极度依赖漏洞攻击样本特征库,只能判定样本特征库中已有的漏洞攻击,即与样本特征库中的特征完全匹配的漏洞攻击,并且将访问数据包中的相关信息与漏洞攻击样本特征库中的关键字进行逐一匹配会造成很大的时间开销。
技术实现思路
本专利技术要解决的一个技术问题是提供一种检测效率高、且能检测未知的变异漏洞攻击的漏洞攻击检测方法。根据本专利技术实施例的一个方面,提供了一种漏洞攻击的检测方法,包括:利用K均值聚类算法对样本数据分簇;将实际访问数据在样本数据簇中进行归类;根据将实际访问数据在样本数据簇中的归类结果确定实际访问数据是否为漏洞攻击。在一个实施例中,漏洞攻击为跨站脚本攻击。在一个实施例中,利用K均值聚类算法对样本数据分簇包括:利用静态分析技术检测存在的漏洞类型,确定样本数据簇的数量K,并根据K值对样本数据进行分簇。在一个实施例中,K=M+N,其中M表示静态分析检测得到的漏洞数目,N为正常访问数据簇的数目。在一个实施例中,利用K均值聚类算法对样本数据进行分簇还包括:提取样本数据的关键特征,并对样本数据的关键特征进行标准化处理后,再根据K值对标准化处理后的样本数据的关键特征进行分簇,从而完成对样本数据进行分簇。在一个实施例中,关键特征包括:cookie、URI、useragent、referer、method、post等数据中的一种或多种。在一个实施例中,利用K均值聚类算法对样本数据进行分簇还包括:根据样本数据的关键特征及漏洞攻击的特点,确定每个样本数据簇的初始质心。在一个实施例中,利用K均值聚类算法对样本数据进行分簇还包括:删除与所有样本数据簇距离大于预定阈值的异常样本数据。根据本专利技术实施例的一个方面,提供了一种漏洞攻击的检测装置,包括:样本数据分簇模块,用于利用K均值聚类算法对样本数据分簇;漏洞攻击检测模块,用于将实际访问数据在样本数据簇中进行归类,并根据将实际访问数据在样本数据簇中的归类结果确定实际访问数据是否为漏洞攻击。在一个实施例中,漏洞攻击的检测装置为跨站脚本漏洞攻击的检测装置。在一个实施例中,样本数据分簇模块包括:漏洞检测单元,用于利用静态分析技术检测存在的漏洞类型,确定样本数据簇的数量K;分簇执行单元,用于根据K值对样本数据进行分簇。在一个实施例中,样本数据分簇模块还包括:关键特征提取单元,用于提取样本数据的关键特征;标准化处理单元,用于对样本数据的关键特征进行标准化处理;分簇执行单元根据K值对标准化处理后的样本数据的关键特征进行分簇,从而完成对样本数据进行分簇。在一个实施例中,样本数据分簇模块还包括:初始质心确定单元,用于根据样本数据的关键特征及漏洞攻击的特点,确定每个簇的初始质心。在一个实施例中其特征在于,样本数据分簇模块还包括:异常样本数据删除单元,用于删除与所有样本数据簇距离大于预定阈值的异常样本数据。本专利技术至少具有以下优点:通过对实际网页访问数据的分簇,可以得知实际网页访问数据归类于哪一个样本数据簇,从而能够检测到漏洞攻击样本特征库中不包含的漏洞攻击,并且提高了检测漏洞攻击的效率。通过以下参照附图对本专利技术的示例性实施例的详细描述,本专利技术的其它特征及其优点将会变得清楚。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1示出本专利技术漏洞攻击的检测方法的一个实施例的流程示意图。图2示出本专利技术利用K均值聚类算法对样本数据分簇的一个实施例的流程示意图。图3示出本专利技术利用K均值聚类算法对样本数据进行分簇的另一个实施例的流程示意图。图4示出本专利技术漏洞攻击的检测装置的一个实施例的结构示意图。图5示出本专利技术样本数据分簇模块的一个实施例的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本专利技术及其应用或使用的任何限制。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。下面结合图1描述本专利技术一个实施例的漏洞攻击的检测方法。图1示出本专利技术漏洞攻击的检测方法的一个实施例的流程示意图。如图1所示,在本实施例中,以网页页面上检测XSS(CrossSiteScripting,跨站脚本攻击)漏洞为例。首先,利用工具对网页页面存在的XSS漏洞进行攻击,这些XSS漏洞包括页面输入、get请求参数、post请求参数、useragent以及referer等处。然后,将漏洞攻击获得的攻击数据和安全的页面访问数据结合,构成了样本数据。然后执行以下步骤:步骤S102,利用K均值聚类算法对样本数据分簇,使得样本数据被分成K个样本数据簇。步骤S104,将待检测的实际网页访问数据在K个样本数据簇中进行归类。步骤S106,根据将待检测的实际网页访问数据在K个样本数据簇中的归类结果,来确定实际的网页访问数据是否为XSS漏洞攻击。在上述方法中,待检测的实际网页访问数据可能并不存在于样本数据中,但是通过对实际网页访问数据的分簇,可以得知实际网页访问数据归类于哪一个样本数据簇,从而能够检测到漏洞攻击样本特征库中不包含的攻击,并且提高了检测漏洞攻击的效率。下面结合图2描述本专利技术一个实施例的利用K均值聚类算法对样本数据分簇方法。图2示出本专利技术利用K均值聚类算法对样本数据分簇的一个实施例的流程示意图。如图2所示,在上述实施例的基础上,本实施例方法中的步骤S102具体包括:步骤S1022,利用静态分析技术检测已存在的漏洞类型,并根据检测到的已存在漏洞类型数目来确定样本数据簇的数值K。例如,利用静态分析技术检测到已存在漏洞类型的数目为M,正常访问数据簇的数目N,那么可以得到K=M+N,即K值和静态分析得到的漏洞数目M呈线性关系。步骤S1026,根据K值对样本数据进行分簇。可选的,在步骤S1022执行完毕之后,可以执行以下步骤:步骤S1023,根据样本数据的关键特征及漏洞攻击的特点,确定每个样本数据簇的初始质心。对于K均值聚类算法而言,一个难点在于初始聚类中心的选择,并且需要反复试验才能的到较优的聚类数值K。本方法利用改进了K均值算法中的K值选取方法,更利于使用K均值算法对漏洞攻击进行检测,对于漏洞的攻击检测针对性更强。此外,在一个实施例中,利用K均值聚类算法对样本数据分簇方法还包括:步骤S1028,删除与所有样本数据簇距离大于预定阈值的异常样本数据。利用K均值算法对每个样本数据分簇时,都需要对有变化的样本数据簇重新计算本文档来自技高网...
【技术保护点】
一种漏洞攻击的检测方法,包括:利用K均值聚类算法对样本数据分簇;将实际访问数据在样本数据簇中进行归类;根据将所述实际访问数据在所述样本数据簇中的归类结果确定所述实际访问数据是否为漏洞攻击。
【技术特征摘要】
1.一种漏洞攻击的检测方法,包括:利用K均值聚类算法对样本数据分簇;将实际访问数据在样本数据簇中进行归类;根据将所述实际访问数据在所述样本数据簇中的归类结果确定所述实际访问数据是否为漏洞攻击。2.根据权利要求1所述的方法,其特征在于,所述漏洞攻击为跨站脚本攻击。3.根据权利要求1或2所述的方法,其特征在于,所述利用K均值聚类算法对样本数据分簇包括:利用静态分析技术检测存在的漏洞类型,确定所述样本数据簇的数量K,并根据K值对样本数据进行分簇。4.根据权利要求3所述的方法,其特征在于,K=M+N,其中M表示静态分析检测得到的漏洞数目,N为正常访问数据簇的数目。5.根据权利要求3所述的方法,其特征在于,所述利用K均值聚类算法对样本数据进行分簇还包括:提取所述样本数据的关键特征,并对所述样本数据的关键特征进行标准化处理后,再根据K值对标准化处理后的样本数据的关键特征进行分簇,从而完成对样本数据进行分簇。6.根据权利要求5所述的方法,其特征在于,所述关键特征包括:cookie、URI、useragent、referer、method、post等数据中的一种或多种。7.根据权利要求1或2所述的方法,其特征在于,所述利用K均值聚类算法对样本数据进行分簇还包括:根据所述样本数据的关键特征及漏洞攻击的特点,确定每个所述样本数据簇的初始质心。8.根据权利要求1或2所述的方法,其特征在于,所述利用K均值聚类算法对样...
【专利技术属性】
技术研发人员:赵爽,朱易翔,龙洋,王锦华,顾鑫,黄铖斌,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。