一种基于多重检测的应用攻击防御方法技术

本发明专利技术公开了一种基于多重检测的应用攻击防御方法，其中，包括：构建流索引表，将正常的应用访问流信息添加到流索引表中，并设置失效时间；建立行为特征库，行为特征库存储各访问类型所对应的访问属性；对接收的应用访问流量进行攻击特征库匹配；查看流索引表，是否存在流访问信息；提取流量中所对应的访问类型的访问属性，并通过行为特征库进行相似度计算；判断相似度计算结果是否达到安全阈值，如果未达到安全阈值，则认为是攻击流量；否则，判断为正常流量，并将此次访问类型的属性信息添加到行为特征库，并提高安全阈值，访问流信息添加到流索引表。本发明专利技术基于多重检测的应用攻击防御方法，采用静态匹配与动态分析结合的方式，有效提高了防御的水平。

An application attack defense method based on multiple detection

The invention discloses an application attack defense method based on multiple detection, which includes: building a flow index table, adding the normal application access flow information to the flow index table, setting the failure time, establishing the behavior feature library, the access attributes corresponding to the various access types of the behavior feature stock, and the reception should be taken. Use the access traffic to match the attack feature library, check the flow index table, whether there is flow access information, extract the access attribute of the access type corresponding to the traffic, and calculate the similarity through the behavior feature library, determine whether the similarity calculation results can reach the security threshold, if the security threshold is not reached, it is considered to be Attack traffic; otherwise, it is judged to be normal traffic and adds the attribute information of this type of access to the behavior feature library, and improves the security threshold, and the access flow information is added to the flow index table. The invention is based on multiple detection application attack defense method, and adopts the way of static matching and dynamic analysis, effectively improving the defense level.

【技术实现步骤摘要】
一种基于多重检测的应用攻击防御方法
本专利技术属于网络安全
，特别涉及基于多重检测的应用攻击防御方法。
技术介绍
随着网络技术的飞速发展，网络安全问题日益突出，越来越多的应用层攻击对网络造成了严重的破坏。这对网络安全产品的攻击防御能力提出了更高的要求。现有的攻击防御技术可以产生一些效果，但是随着攻击技术的不断发展，攻击行为越来越隐蔽，难以被识别。目前针对应用系统的攻击手段主要包括SQL注入、跨站脚本、XDOS等，这些攻击手段利用应用系统的漏洞实施入侵，通过采用变换攻击参数的方式可以衍生处多种攻击变种，增加了应用攻击防御的难度。
技术实现思路
本专利技术的目的在于提供一种基于多重检测的应用攻击防御方法，用于解决上述现有技术的问题。本专利技术的一种基于多重检测的应用攻击防御方法，其中，包括：构建流索引表，将正常的应用访问流信息添加到流索引表中，并设置失效时间，在失效时间内的应用访问流量认为是正常流量，到达失效时间后，流索引表中的流信息过期；建立行为特征库，行为特征库存储各访问类型所对应的访问属性；对接收的应用访问流量进行攻击特征库匹配，若匹配到攻击特征，视该访问为攻击访问，丢弃该流量；本文档来自技高网...

【技术保护点】
一种基于多重检测的应用攻击防御方法，其特征在于，包括：构建流索引表，将正常的应用访问流信息添加到流索引表中，并设置失效时间，在失效时间内的应用访问流量认为是正常流量，到达失效时间后，流索引表中的流信息过期；建立行为特征库，行为特征库存储各访问类型所对应的访问属性；对接收的应用访问流量进行攻击特征库匹配，若匹配到攻击特征，视该访问为攻击访问，丢弃该流量；如果没有匹配到攻击特征，则进行下一步；查看流索引表，是否存在流访问信息，存在流访问信息，则该访问为正常访问，否则，对访问流量进行行为分析；提取流量中所对应的访问类型的访问属性，并通过行为特征库进行相似度计算；判断相似度计算结果是否达到安全阈值，如...

【技术特征摘要】
1.一种基于多重检测的应用攻击防御方法，其特征在于，包括：构建流索引表，将正常的应用访问流信息添加到流索引表中，并设置失效时间，在失效时间内的应用访问流量认为是正常流量，到达失效时间后，流索引表中的流信息过期；建立行为特征库，行为特征库存储各访问类型所对应的访问属性；对接收的应用访问流量进行攻击特征库匹配，若匹配到攻击特征，视该访问为攻击访问，丢弃该流量；如果没有匹配到攻击特征，则进行下一步；查看流索引表，是否存在流访问信息，存在流访问信息，则该访问为正常访问，否则，对访问流量进行行为分析；提取流量中所对应的访问类型的访问属性，并通过行为特征库进行相似度计算；判断相似度计算结果是否达到安全阈值，如果未达到安全阈值，则认为是攻击流量；否则，判断为正常流量，并将此次访问类型的属性信息添加到行为特征库，并提高安全阈值，访问流信息添加到流索引表。2.如权利要求1所述的基于多重检测的应用攻击防...

【专利技术属性】
技术研发人员：单联强，刘丰，夏旸，王硕，张之武，张继业，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京,11