一种针对XSS攻击的APT预警方法技术

本发明专利技术涉及一种针对XSS攻击的APT预警方法，首先接收来自WEB应用防火墙的WEB攻击检测结果，并针对XSS攻击检测结果，模拟黑客绕过WEB应用防火墙拦截规则的行为，产生新的攻击规则，丰富XSS攻击规则库；然后结合APT攻击知识库，对XSS攻击检测结果进行标识，产生APT攻击标识结果；并将没有标识的XSS攻击添加到未知APT攻击集中；接着对未知APT攻击集合中进行预处理，得到未知APT攻击预处理结果集；利用基于MapReduce的分布式Aprior算法对未知APT攻击预处理结果集进行关联分析，产生APT关联规则，得到与XSS攻击对应的APT分析情报，作为APT威胁情报输出。本发明专利技术实现了对目前XSS攻击种类多样并主动防御的机制。

【技术实现步骤摘要】
一种针对XSS攻击的APT预警方法
本专利技术涉及网络安全领域，特别是一种针对XSS攻击的APT预警方法。
技术介绍
随着互联网规模的不断增长以及计算机网络的广泛应用，网络在带给人们极大便利的同时，也带来了各种各样的安全问题，网络攻击和入侵等问题与日剧增。跨站脚本(XSS攻击)攻击一直在威胁网络安全的各种攻击之中名列前茅，是一种恶意攻击者通过利用漏洞编写专门的恶意代码注入到被入侵系统中，通过执行注入的恶意代码，从而窃取用户的隐私信息或敏感数据，从而达到更进一步的入侵的攻击手段。高级持续性威胁(APT攻击)作为一种以高水平专业知识和丰富资源为基础通过不同攻击过程的隐蔽网络攻击，同样是目前网络安全领域面临的一个重要的挑战和发展方向。由于高级持续性威胁(APT攻击)极强的针对性、伪装性和长期的潜伏性非常适合利用XSS攻击实施入侵，所以攻击者经常将XSS攻击频繁用于APT入侵领域。通常当APT攻击者完成了侦查准备确定入侵点后，需要通过XSS攻击传入恶意代码，为初次入侵的实施提供基础；并在入侵目标网络之后，攻击者通过各种方式直接或间接的执行恶意代码，达到破坏关键信息基础设施或阻碍重要任务实施的本文档来自技高网...

【技术保护点】
1.一种针对XSS攻击的APT预警方法，其特征在于：包括以下步骤：步骤S1：接收来自WEB应用防火墙的WEB攻击检测结果；步骤S2：根据步骤S1的WEB攻击检测结果，针对其中的XSS攻击检测结果，模拟黑客绕过WEB应用防火墙拦截规则的行为，产生新的攻击规则，丰富XSS攻击规则库，提升WEB应用防火墙的XSS攻击防护能力；步骤S3：结合APT攻击知识库，对步骤S2所得到的XSS攻击检测结果进行标识，产生APT攻击标识结果；并将没有标识的XSS攻击添加到未知APT攻击集中；步骤S4：对步骤S3得到的未知APT攻击集进行预处理，得到未知APT攻击预处理结果集；步骤S5：利用基于MapReduce的分...

【技术特征摘要】
1.一种针对XSS攻击的APT预警方法，其特征在于：包括以下步骤：步骤S1：接收来自WEB应用防火墙的WEB攻击检测结果；步骤S2：根据步骤S1的WEB攻击检测结果，针对其中的XSS攻击检测结果，模拟黑客绕过WEB应用防火墙拦截规则的行为，产生新的攻击规则，丰富XSS攻击规则库，提升WEB应用防火墙的XSS攻击防护能力；步骤S3：结合APT攻击知识库，对步骤S2所得到的XSS攻击检测结果进行标识，产生APT攻击标识结果；并将没有标识的XSS攻击添加到未知APT攻击集中；步骤S4：对步骤S3得到的未知APT攻击集进行预处理，得到未知APT攻击预处理结果集；步骤S5：利用基于MapReduce的分布式Aprior算法对步骤S4得到的未知APT攻击预处理结果集进行关联分析，产生APT关联规则，得到与XSS攻击对应的APT分析情报，作为APT威胁情报输出。2.根据权利要求1所述的一种针对XSS攻击的APT预警方法，其特征在于：步骤S2具体包括以下步骤：步骤S21：根据步骤S1的WEB攻击检测结果，通过WEB攻击检测结果对应记录中的攻击类型名称字段(type_name)，筛选出XSS攻击检测结果，并将记录中的攻击信息字段(msg_context)作为该次XSS攻击的攻击特征S；步骤S22：根据攻击特征转换表T，从中随机选择一种转换操作，对XSS攻击检测结果对应记录中的攻击信息字段(msg_context)进行转换修改，产生新的攻击特征S’；其中，攻击特征转换表T用于模拟攻击者尝试的各种免杀方法，定义如下：T＝{'charTo16','charTo10','charTo10Zero','addEnter','charToChar16','charToChar10'}；其中，转换操作就是模拟攻击者为绕过WEB防火墙攻击检测而对XSS攻击的恶意代码所可能采取的包括转化、修改在内的动作；步骤S23：根据产生的新的攻击特征S’，判定是否为XSS攻击，若未判定为XSS攻击，则执行步骤S24；若仍判定为XSS攻击，则进一步判定尝试的转换操作次数是否超过设定的最大尝试次数，若超过，结束尝试，转到步骤S3，反之返回步骤S22；步骤S24：若XSS攻击规则库中不包含攻击特征S’，则将攻击特征S’添加到XSS攻击规则库中。3.根据权利要求1所述的一种针对XSS攻击的APT预警方法，其特征在于：步骤S3具体包括以下步骤：步骤S31：根据XSS攻击检测结果，将其攻击特征S与APT攻击知识库中的APT攻击特征进行匹配，若匹配成功，则对XSS攻击检测结果进行APT攻击标识，即将XSS攻击检测结果对应记录中的pattern_id修改为对应APT攻击的pattern_id，并进入步骤S3；若匹配失败，则进入步骤S32；其中，攻击特征S与APT攻击知识库中的APT攻击特征进行匹配的方法是利用KMP算法，将攻击特征S与APT知识库中的前件特征X和后件特征Y进行匹配；步骤S32：将未标识APT攻击类型的XSS攻击添加到未知APT攻击集合中。4.根据权利要求1所述的一种针对XSS攻击的APT预警方法，其特征在于：步骤S4具体包括以下步骤：步骤S41：对未知APT攻击集合中的每项未知APT攻击记录中的字符特征转换为标量特征；步骤S42：利用信息增益算法，计算APT攻击记录所包含的每个特征的信息增益，保留信息增益高于指定阈值的特征，所保留的特征构成用于后续关联分析的特征子集FT；步骤S43：未知APT攻击集合中的每项未知APT攻击记录，仅保留与特征子集FT中的特征对应的字段，得到未知APT攻击预处理结果集。5.根据权利要求4所述的一种针对XSS攻击的APT预警方法，其特征在于：步骤S41中，将APT攻击记录中的字符特征转换为标量特征F，采用以下公式：式中，Ai为字符特征对应的字符串中的第i个字符的ASCII码值，odd为设定的一个大奇数。6.根据权利要求1所述的一种针对XSS攻击的APT预警方法，其特征在于：步骤S5具体包括以下步骤：步骤S51：将未知APT攻击预处理结果集分割为大小相同的的M个数据子集，分发到M个Map节点上；步骤S52：对每个Map节点上...

【专利技术属性】
技术研发人员：陈羽中，张毓东，张衍坤，郭昆，
申请(专利权)人：福州大学，
类型：发明
国别省市：福建,35