The present invention provides a method and a device for detecting the improvement of accuracy of Web application layer attacks, and relates to the technical field of network security, the method includes: obtaining the target request information sent by the user request information, target request information access network server for the requested web server based on target detection; request information trigger execute command execute the command to perform the target operation command, the target operating target request information generating response message based operation; according to execute the command, determine the target request information for the existence of attacks, the attacks for attacks on the Web application layer. The invention alleviates the technical problem of high false alarm rate in the traditional application layer attack detection method.
【技术实现步骤摘要】
一种提高Web应用层攻击检测准确率的方法及装置
本专利技术涉及网络安全
,尤其是涉及一种提高Web应用层攻击检测准确率的方法及装置。
技术介绍
目前,对应用层攻击的检测是采用WAF(Web应用防火墙)。WAF是架设在网站服务器的前端,无法了解Web服务器运行的具体业务,仅能获取HTTP请求报文,然后基于特征匹配进行应用层攻击检测。具体地,将获取到的HTTP请求内容和规则特征库中的特征进行对比,分析HTTP请求内容是否符合特征定义,符合则确定HTTP请求内容是对应用层的攻击。首先,这种传统的检测方式对特征库具有较强的依赖性,若特征库中的特征定义的太严格,容易将非应用层攻击确定为应用层攻击而发生误报;若特征库的特征定义的不严格,应用层攻击的检测率又降低,容易发生漏报。其次,WAF无法了解Web服务器运行的具体业务,因而无法判断HTTP请求报文是否在Web业务系统中产生了真实的攻击行为。因而,传统的应用层攻击检测方法存在较高的误报率。针对传统的应用层攻击检测方法存在较高误报率的技术问题,目前缺乏有效的解决方案。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种提高Web应用层攻击检测准确率的方法及装置,以缓解传统的应用层攻击检测方法存在较高误报率的技术问题。第一方面,本专利技术实施例提供了一种提高Web应用层攻击检测准确率的方法,包括:获取用户发送的目标请求信息,其中,所述目标请求信息为请求访问网络服务器的请求信息;检测所述网络服务器基于所述目标请求信息触发的执行命令,所述执行命令为用于执行目标操作的命令,所述目标操作为基于所述目标请求信息生成响应消息的操 ...
【技术保护点】
一种提高Web应用层攻击检测准确率的方法,其特征在于,包括:获取用户发送的目标请求信息,其中,所述目标请求信息为请求访问网络服务器的请求信息;检测所述网络服务器基于所述目标请求信息触发的执行命令,所述执行命令为用于执行目标操作的命令,所述目标操作为基于所述目标请求信息生成响应消息的操作;根据所述执行命令,确定所述目标请求信息是否存在攻击行为,其中,所述攻击行为为对Web应用层进行的攻击行为。
【技术特征摘要】
1.一种提高Web应用层攻击检测准确率的方法,其特征在于,包括:获取用户发送的目标请求信息,其中,所述目标请求信息为请求访问网络服务器的请求信息;检测所述网络服务器基于所述目标请求信息触发的执行命令,所述执行命令为用于执行目标操作的命令,所述目标操作为基于所述目标请求信息生成响应消息的操作;根据所述执行命令,确定所述目标请求信息是否存在攻击行为,其中,所述攻击行为为对Web应用层进行的攻击行为。2.根据权利要求1所述的方法,其特征在于,根据所述执行命令,确定所述目标请求信息是否存在攻击行为,包括:获取参照命令,其中,所述参照命令为预先存储在所述网络服务器中的执行命令;将所述执行命令和所述参照命令进行对比,得到对比结果,其中,所述对比结果用于表示所述参照命令和所述执行命令的相似程度;根据所述对比结果确定所述目标请求信息是否存在所述攻击行为。3.根据权利要求1所述的方法,其特征在于,在确定所述目标请求信息是否存在攻击行为之后,所述方法还包括:在确定出所述目标请求信息存在攻击行为的情况下,使所述网络服务器向所述用户推送所述目标请求信息的响应信息;在确定出所述目标请求信息不存在攻击行为的情况下,使所述网络服务器停止对所述目标请求信息的响应。4.根据权利要求1所述的方法,其特征在于,获取用户发送的目标请求信息,包括:在所述网络服务器接收的全部信息中识别所述目标请求信息,并将所述目标请求信息进行截取;其中,所述网络服务器中存储有所述用户预先发送的所述目标请求信息。5.根据权利要求4所述的方法,其特征在于,在所述网络服务器接收的全部信息中识别所述目标请求信息之前,所述方法还包括:获取第一子脚本,其中,所述第一子脚本为用于识别所述目标请求信息的传输协议特征的脚本;将所述第一子脚本嵌入在预设脚本中,以使所述预设脚本在所述网络服务器接收的全部信息中识别所述目标请求信息。6.根据权利要求5所述的方法,...
【专利技术属性】
技术研发人员:寇石垒,范渊,莫金友,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。