一种面向WAF日志的攻击行为模式挖掘方法及装置制造方法及图纸
An attack behavior pattern mining method and device for WAF log
The invention provides an attack behavior pattern mining method and device for WAF log, which involves the field of information security technology to reduce the difficulty of attack behavior pattern mining. An attack behavior pattern mining method for the WAF log, including: obtaining the WAF log, extracting at least one of the attack sequences from the WAF log, extracting at least one effective attack sequence from the at least one of the at least one pending attack sequence, clustering the at least one of the effective attack sequences, An effective attack sequence of at least one category is obtained; an attack sequence corresponding to the effective attack sequence of each category is obtained according to the effective attack sequence of the at least one category. The invention is mainly applied to attack behavior pattern mining technology.
【技术实现步骤摘要】
一种面向WAF日志的攻击行为模式挖掘方法及装置
本专利技术涉及信息安全
,尤其涉及一种面向WAF日志的攻击行为模式挖掘方法及装置。
技术介绍
WAF(WebApplicationFirewall,Web应用防护系统),是一类新产生的信息安全技术,它通过执行一系列针对HTTP/HTTPS的安全策略,为Web应用提供保护。与传统的防火墙不同,WAF工作在应用层,所以可以对Web应用程序的各类请求进行检测,确保其安全合法,并对于各种非法的请求进行及时的阻断。WAF的配置往往依赖于领域知识和专家配置,而未配置的攻击行为模式则很难被检测出。自动化WAF攻击行为模式的挖掘方法,由于能够减少WAF规则的配置难度,有效提高WAF的防护效果,对于Web应用防护具有很大的价值,因此一直是研究的热点问题。由于WAF日志记录了WAF处理各类请求的日志信息,基于WAF日志对攻击行为进行模式挖掘,是目前自动化WAF攻击行为模式挖掘的最主要途径。目前,现有技术中,基于WAF日志进行攻击行为模式挖掘的方法需要利用较多的领域知识进行参数的设置,较为复杂。
技术实现思路
有鉴于此,本专利技术提供一...
【技术保护点】
一种面向WAF日志的攻击行为模式挖掘方法,其特征在于,包括:获取WAF日志,并从所述WAF日志中提取至少一个待处理攻击序列;从所述至少一个待处理攻击序列中提取至少一个有效攻击序列;对所述至少一个有效攻击序列进行聚类,获得至少一个类别的有效攻击序列;根据所述至少一个类别的有效攻击序列,获取每个类别的有效攻击序列对应的攻击行为模式。
【技术特征摘要】
1.一种面向WAF日志的攻击行为模式挖掘方法,其特征在于,包括:获取WAF日志,并从所述WAF日志中提取至少一个待处理攻击序列;从所述至少一个待处理攻击序列中提取至少一个有效攻击序列;对所述至少一个有效攻击序列进行聚类,获得至少一个类别的有效攻击序列;根据所述至少一个类别的有效攻击序列,获取每个类别的有效攻击序列对应的攻击行为模式。2.根据权利要求1所述的方法,其特征在于,所述从所述WAF日志中提取至少一个待处理攻击序列的步骤,包括:以攻击者的IP地址和被攻击的Web应用的域名为键值,从所述WAF日志中提取至少一个待处理攻击序列。3.根据权利要求1所述的方法,其特征在于,所述从所述至少一个待处理攻击序列中提取至少一个有效攻击序列的步骤,包括:将所述至少一个待处理攻击序列中的每一待处理攻击序列,按照预定攻击序列间隔划分成一个或多个待处理攻击子序列;将所述待处理攻击子序列作为所述有效攻击序列。4.根据权利要求3所述的方法,其特征在于,所述从所述至少一个待处理攻击序列中提取至少一个有效攻击序列的步骤,还包括:对所述待处理攻击子序列进行以下任意一种或几种序列操作,获得序列操作后的待处理攻击子序列;所述序列操作包括:去重操作,合并操作,删除操作;所述将所述待处理攻击子序列作为所述有效攻击序列的步骤具体为:将所述序列操作后的待处理攻击子序列作为所述有效攻击序列。5.根据权利要求4所述的方法,其特征在于,所述去重操作包括:从所述待处理攻击子序列中,获取一个或多个待去重攻击子序列,从所述待去重攻击子序列中去除第一数量的待去重攻击子序列;所述合并操作包括:从所述待处理攻击子序列中,获取一个或多个待合并攻击子序列,将所述待合并攻击子序列进行合并;所述删除操作包括:从所述待处理攻击子序列中,删除一个或多个待处理无效攻击子序列。6.根据权利要求1所述的方法,其特征在于,所述对所述至少一个有效攻击序列进行聚类,获得至少一个类别的有效攻击序列的步骤,包括:将所述至少一个有效攻击序列中的每一有效攻击序列划分成多个序列段;对于所述至少一个有效攻击序列中的第一有效攻击序列和第二有效攻击序列,计算所述第一有效攻击序列中的任一序列段和所述第二有效攻击序列中的任一序列段之间的攻击距离;根据所述第一有效攻击序列中的各个序列段和所述第二有效攻击序列中的各个序列段之间的攻击距离,确定所述第一有效攻击序列和所述第二有效攻击序列之间的攻击距离;若所述第一有效攻击序列和所述第二有效攻击序列之间的攻击距离小于预设阈值,则将所述第一有效攻击序列和所述第二有效攻击序列聚类为相同类别的有效攻击序列。7.根据权利要求6所述的方法,其特征在于,按照下述公式计算所述第一有效攻击序列中的任一序列段和所述第二有效攻击序列中的任一序列段之间的攻击距离:θLD(x[1,i],y[1,j])=θ×min(r,s,t);其中,参数r,s,t的取值为:其中,θLD(x[1,i],y[1,j])表示序列段x[1,i]和序列段y[1,j]之间的攻击距离;θ>0,表示距离调节因子;min(r,s,t)表示参数r,s,t之间的最小值;i,j为自然数。8.根据权利要求1所述的方法,其特征在于,所述根据所述至少一个类别的有效攻击序列,获取每个类别的有效攻击序列对应的攻击行为模式的步骤,包括:分别对至少一个类别的有效攻击序列中的每一类有效攻击序列,计算最长公共子串,将所述最长公共子串作为所述每一类有效攻击序列对应的攻击行为模式。9.一种...
【专利技术属性】
技术研发人员:马冰珂,孙乾,杭小勇,程叶霞,王一村,
申请(专利权)人:中国移动通信有限公司研究院,中国移动通信集团公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。