一种提高Web应用层攻击检测准确率的方法及装置制造方法及图纸

本发明专利技术提供了一种提高Web应用层攻击检测准确率的方法及装置，涉及网络安全的技术领域，该方法包括：获取用户发送的目标请求信息，其中，目标请求信息为请求访问网络服务器的请求信息；检测网络服务器基于目标请求信息触发的执行命令，执行命令为用于执行目标操作的命令，目标操作为基于目标请求信息生成响应消息的操作；根据执行命令，确定目标请求信息是否存在攻击行为，其中，攻击行为为对Web应用层进行的攻击行为。本发明专利技术缓解了传统的应用层攻击检测方法存在较高误报率的技术问题。

A method and device for improving the accuracy of Web application layer attack detection

The present invention provides a method and a device for detecting the improvement of accuracy of Web application layer attacks, and relates to the technical field of network security, the method includes: obtaining the target request information sent by the user request information, target request information access network server for the requested web server based on target detection; request information trigger execute command execute the command to perform the target operation command, the target operating target request information generating response message based operation; according to execute the command, determine the target request information for the existence of attacks, the attacks for attacks on the Web application layer. The invention alleviates the technical problem of high false alarm rate in the traditional application layer attack detection method.

【技术实现步骤摘要】
一种提高Web应用层攻击检测准确率的方法及装置
本专利技术涉及网络安全
，尤其是涉及一种提高Web应用层攻击检测准确率的方法及装置。
技术介绍
目前，对应用层攻击的检测是采用WAF(Web应用防火墙)。WAF是架设在网站服务器的前端，无法了解Web服务器运行的具体业务，仅能获取HTTP请求报文，然后基于特征匹配进行应用层攻击检测。具体地，将获取到的HTTP请求内容和规则特征库中的特征进行对比，分析HTTP请求内容是否符合特征定义，符合则确定HTTP请求内容是对应用层的攻击。首先，这种传统的检测方式对特征库具有较强的依赖性，若特征库中的特征定义的太严格，容易将非应用层攻击确定为应用层攻击而发生误报；若特征库的特征定义的不严格，应用层攻击的检测率又降低，容易发生漏报。其次，WAF无法了解Web服务器运行的具体业务，因而无法判断HTTP请求报文是否在Web业务系统中产生了真实的攻击行为。因而，传统的应用层攻击检测方法存在较高的误报率。针对传统的应用层攻击检测方法存在较高误报率的技术问题，目前缺乏有效的解决方案。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种提高Web应用层攻击检测准确率的方法及装置，以缓解传统的应用层攻击检测方法存在较高误报率的技术问题。第一方面，本专利技术实施例提供了一种提高Web应用层攻击检测准确率的方法，包括：获取用户发送的目标请求信息，其中，所述目标请求信息为请求访问网络服务器的请求信息；检测所述网络服务器基于所述目标请求信息触发的执行命令，所述执行命令为用于执行目标操作的命令，所述目标操作为基于所述目标请求信息生成响应消息的操作；根据所述执行命令，确定所述目标请求信息是否存在攻击行为，其中，所述攻击行为为对Web应用层进行的攻击行为。结合第一方面，本专利技术实施例提供了第一方面的第一种可能的实施方式，其中，根据所述执行命令，确定所述目标请求信息是否存在攻击行为，包括：获取参照命令，其中，所述参照命令为预先存储在所述网络服务器中的执行命令；将所述执行命令和所述参照命令进行对比，得到对比结果，其中，所述对比结果用于表示所述参照命令和所述执行命令的相似程度；根据所述对比结果确定所述目标请求信息是否存在所述攻击行为。结合第一方面，本专利技术实施例提供了第一方面的第二种可能的实施方式，其中，在确定所述目标请求信息是否存在攻击行为之后，所述方法还包括：在确定出所述目标请求信息存在攻击行为的情况下，使所述网络服务器向所述用户推送所述目标请求信息的响应信息；在确定出所述目标请求信息不存在攻击行为的情况下，使所述网络服务器停止对所述目标请求信息的响应。结合第一方面，本专利技术实施例提供了第一方面的第三种可能的实施方式，其中，获取用户发送的目标请求信息，包括：在所述网络服务器接收的全部信息中识别所述目标请求信息，并将所述目标请求信息进行截取；其中，所述网络服务器中存储有所述用户预先发送的所述目标请求信息。结合第一方面的第三种可能的实施方式，本专利技术实施例提供了第一方面的第四种可能的实施方式，其中，在所述网络服务器接收的全部信息中识别所述目标请求信息之前，所述方法还包括：获取第一子脚本，其中，所述第一子脚本为用于识别所述目标请求信息的传输协议特征的脚本；将所述第一子脚本嵌入在预设脚本中，以使所述预设脚本在所述网络服务器接收的全部信息中识别所述目标请求信息。结合第一方面的第四种可能的实施方式，本专利技术实施例提供了第一方面的第五种可能的实施方式，其中，检测所述网络服务器基于所述目标请求信息触发的执行命令，包括：获取第二子脚本，其中，所述第二子脚本为用于识别所述目标请求信息触发的执行行为特征的脚本；将所述第二子脚本嵌入在所述预设脚本中，以通过嵌入在所述预设脚本中的所述第二子脚本截取所述网络服务器在所述目标请求信息触发下的执行语句；从截取到的所述执行语句中提取所述执行命令。第二方面，本专利技术实施例还提供一种提高Web应用层攻击检测准确率的装置，包括：获取模块，用于获取用户发送的目标请求信息，其中，所述目标请求信息为请求访问网络服务器的请求信息；检测模块，用于检测所述网络服务器基于所述目标请求信息触发的执行命令，所述执行命令为用于执行目标操作的命令，所述目标操作为基于所述目标请求信息生成响应消息的操作；确定模块，用于根据所述执行命令，确定所述目标请求信息是否存在攻击行为，其中，所述攻击行为为对Web应用层进行的攻击行为。本专利技术实施例带来了以下有益效果：获取用户发送的目标请求信息，其中，目标请求信息为请求访问网络服务器的请求信息；检测网络服务器基于目标请求信息触发的执行命令，执行命令为用于执行目标操作的命令，目标操作为基于目标请求信息生成响应消息的操作；根据执行命令，确定目标请求信息是否存在攻击行为，其中，攻击行为为对Web应用层进行的攻击行为。与传统的只分析目标请求信息确定攻击行为相比较，本专利技术通过关联分析目标请求信息触发的执行命令实现对目标请求信息是否存在攻击行为进行确定，即，通过了解网络服务器基于目标请求信息运行的具体业务来判断目标请求信息是否在网络服务器的业务系统中产生了真实的攻击行为，从而缓解了传统的应用层攻击检测方法存在较高误报率的技术问题。本专利技术的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例一提供的一种提高Web应用层攻击检测准确率的方法的流程图；图2为本专利技术实施例一提供的一种SQL注入的检测方法流程图；图3为本专利技术实施例一提供的一种命令注入的检测方法流程图；图4为本专利技术实施例二提供的一种提高Web应用层攻击检测准确率的装置的结构框图。图标：100-获取模块；200-检测模块；300-确定模块。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。目前，对应用层攻击的检测是采用WAF，这种传统的应用层攻击检测方法存在较高的误报率。基于此，本专利技术实施例提供的提高Web应用层攻击检测准确率的方法及装置，可以缓解传统的应用层攻击检测方法存在较高误报率的技术问题。实施例一本专利技术实施例提供的一种提高Web应用层攻击检测准确率的方法，如图1所示，包括：步骤S102，获取用户发送的目标请求信息，其中，目标请求信息为请求访问网络服务器的请求信息。具体地，在目标请求信息为以HTTP协议规定的请求信息时，目标请求信息即HTTP请求报文。需要强调的是，目标请求信息的协议可以采用H本文档来自技高网...

【技术保护点】
一种提高Web应用层攻击检测准确率的方法，其特征在于，包括：获取用户发送的目标请求信息，其中，所述目标请求信息为请求访问网络服务器的请求信息；检测所述网络服务器基于所述目标请求信息触发的执行命令，所述执行命令为用于执行目标操作的命令，所述目标操作为基于所述目标请求信息生成响应消息的操作；根据所述执行命令，确定所述目标请求信息是否存在攻击行为，其中，所述攻击行为为对Web应用层进行的攻击行为。

【技术特征摘要】
1.一种提高Web应用层攻击检测准确率的方法，其特征在于，包括：获取用户发送的目标请求信息，其中，所述目标请求信息为请求访问网络服务器的请求信息；检测所述网络服务器基于所述目标请求信息触发的执行命令，所述执行命令为用于执行目标操作的命令，所述目标操作为基于所述目标请求信息生成响应消息的操作；根据所述执行命令，确定所述目标请求信息是否存在攻击行为，其中，所述攻击行为为对Web应用层进行的攻击行为。2.根据权利要求1所述的方法，其特征在于，根据所述执行命令，确定所述目标请求信息是否存在攻击行为，包括：获取参照命令，其中，所述参照命令为预先存储在所述网络服务器中的执行命令；将所述执行命令和所述参照命令进行对比，得到对比结果，其中，所述对比结果用于表示所述参照命令和所述执行命令的相似程度；根据所述对比结果确定所述目标请求信息是否存在所述攻击行为。3.根据权利要求1所述的方法，其特征在于，在确定所述目标请求信息是否存在攻击行为之后，所述方法还包括：在确定出所述目标请求信息存在攻击行为的情况下，使所述网络服务器向所述用户推送所述目标请求信息的响应信息；在确定出所述目标请求信息不存在攻击行为的情况下，使所述网络服务器停止对所述目标请求信息的响应。4.根据权利要求1所述的方法，其特征在于，获取用户发送的目标请求信息，包括：在所述网络服务器接收的全部信息中识别所述目标请求信息，并将所述目标请求信息进行截取；其中，所述网络服务器中存储有所述用户预先发送的所述目标请求信息。5.根据权利要求4所述的方法，其特征在于，在所述网络服务器接收的全部信息中识别所述目标请求信息之前，所述方法还包括：获取第一子脚本，其中，所述第一子脚本为用于识别所述目标请求信息的传输协议特征的脚本；将所述第一子脚本嵌入在预设脚本中，以使所述预设脚本在所述网络服务器接收的全部信息中识别所述目标请求信息。6.根据权利要求5所述的方法，...

【专利技术属性】
技术研发人员：寇石垒，范渊，莫金友，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33