网络攻击检测方法及装置制造方法及图纸

本发明专利技术提供了一种网络攻击检测方法和装置，该方法包括：获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求；确定检测特征项，并根据多个目标访问请求确定检测特征项的访问特征值；获得与检测特征项对应的目标检测规则；使用目标检测规则对访问特征值进行判断，获得第一攻击检测结果；第一攻击检测结果用于表示是否存在对同一会话的网络攻击行为。本发明专利技术通过对将同一会话的多个目标访问请求作为一组进行检测提取访问特征值，提取到的访问特征值所携带的信息更加全面，从而攻击检测准确度更高。

【技术实现步骤摘要】
网络攻击检测方法及装置
本专利技术涉及网络安全
，更具体地，是网络攻击检测方法及装置。
技术介绍
在互联网中，终端与服务器进行交互的过程，可能遭受黑客等恶意程序的网络攻击。为了保证网络访问的安全性，通常在终端与服务器的访问路径上部署应用防火墙，基于应用防火墙的防护规则，对访问过程进行攻击检测及攻击处理。目前，应用防火墙主要有两种形式：一种是以硬件服务器作为防火墙的主体，以独立设备的形态接入到网络拓扑结构中；另一种是使用云端应用防火墙，修改访问请求的DNS解析方式将云端应用防火墙入到网络拓扑结构中。终端的访问请求由以上某种形式的应用防火墙进行攻击检测，但上述应用防火墙的攻击检测准确度较低。
技术实现思路
有鉴于此，本专利技术提供了一种网络攻击检测方法和装置，用以提高网络攻击检测准确度。为实现所述目的，本专利技术提供的技术方案如下：第一方面，本专利技术提供了一种网络攻击检测方法，包括：获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求；确定检测特征项，并根据多个目标访问请求确定检测特征项的访问特征值；获得与检测特征项对应的目标检测规则；使用目标检测规则对访问特征值进行判断，获得第一攻击检测结果；第一攻击检测结果用于表示是否存在对同一会话的网络攻击行为。第二方面，本专利技术提供了一种网络攻击检测装置，包括：访问请求获取模块，用于获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求；特征项确定模块，用于确定检测特征项，并根据所述多个目标访问请求确定所述检测特征项的访问特征值；规则获取模块，用于获得与所述检测特征项对应的目标检测规则；第一攻击检测结果获取模块，用于使用所述目标检测规则对所述访问特征值进行判断，获得第一攻击检测结果；所述第一攻击检测结果用于表示是否存在对所述同一会话的网络攻击行为。由以上可知，本专利技术提供了一种网络攻击检测方法和装置，该方法包括：获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求；确定检测特征项，并根据多个目标访问请求确定检测特征项的访问特征值；获得与检测特征项对应的目标检测规则；使用目标检测规则对访问特征值进行判断，获得第一攻击检测结果；第一攻击检测结果用于表示是否存在对同一会话的网络攻击行为。现有技术仅对单次访问请求流量进行检测，然而本专利技术通过对将同一会话的多个目标访问请求作为一组进行检测提取访问特征值，提取到的访问特征值所携带的信息更加全面，从而攻击检测准确度更高。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本专利技术提供的防火墙系统的一种框架结构图；图2为本专利技术提供的网络攻击检测方法的一种流程示意图；图3为本专利技术提供的网络攻击检测方法的另一种流程示意图；图4为本专利技术提供的网络攻击检测装置的一种结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。为了便于理解本专利技术的技术方案，首先对以下概念进行介绍。Web应用防火墙(WebApplicationFirewall，简称WAF)：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的系统，用来控制对Web应用的访问，用来截获所有HTTP数据或者仅仅满足某些规则的请求。FLINK：一种流计算处理框架，主要应用于流数据的分布式处理引擎。LUA:一种轻量小巧的脚本语言，用标准C语言编写并以源代码形式开放，可以嵌入应用程序中，从而为应用程序提供灵活的扩展和定制功能。本专利技术中，可以将lua脚本嵌入到nginx模块中，作为单次事件安全检测的工具。以下具体对本专利技术的技术方案进行说明。终端可以通过网络对服务器进行访问，为防止黑客或其他恶意程序对访问过程进行攻击，预先将防火墙系统设置于服务器与终端的访问路径中，防火墙系统会对终端发送的访问请求进行攻击行为检测，对存在攻击行为检测的访问请求进行处理，以保护访问过程中的数据安全。参见图1，本专利技术实施例提供了一种防火墙系统，该系统包括：WAF基本功能模块、数据总线(消息队列)、WAF扩展功能模块、以及WAF状态系统。该防火墙系统采用的是Nginx(一种高性能的HTTP和反向代理web服务器)和openresty(一种基于Nginx与Lua的高性能Web平台)的实现方式，其中Nginx存在于服务的体系之内，自带的http协议解析能力帮防火墙系统节省了相当多的工作量，Nginx同时又具备脚本扩展能力，在Nginx中嵌入报文检测lua脚本，以实现各个模块系统之间的相互合作。其中报文检测lua脚本有请求报文检测lua脚本和应答报文检测lua脚本，前者是用于判定http的请求报文是否带有威胁，检测手段包括黑白名单过滤、正则规则过滤；而后者是用于判定http的响应报文是否带有不应包含的用户敏感数据。其中，WAF基本功能模块是由Nginx作为访问请求获取工具，该工具中集成有lua脚本，对访问请求进行首次的攻击检测，并将检测通过的访问请求调度至数据总线(消息队列)中。WAF扩展功能模块是由Flink流处理框架搭建的模块，该模块负责从数据总线中获取消息队列，对消息队列中的多个访问请求进行攻击行为检测，将检测结果输出。WAF状态系统，是WAF基本功能模块和WAF扩展功能模块交互的媒介，具体为，将WAF扩展功能模块所输出的攻击行为检测结果发送至WAF基本功能模块，由该模块对具有攻击行为的访问请求再次进行拦截，如IP信誉度的查询接口，WAF基本功能模块通过IP信誉度的查询接口可查询到当前访问请求所对应的目标终端的IP的信誉度，从而判断出该目标终端是否为恶意IP，将属于恶意IP的访问请求拦截或转发，并将剩余访问请求发送至目标服务器。本专利技术实施例提供了一种网络攻击检测方法，应用于防火墙系统，具体地是防火墙系统中的WAF扩展功能模块，参见图2，该网络攻击检测方法可以具体包括步骤S201-S204。S201：获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求。具体地，终端对服务器的访问可以通过会话的方式，本专利技术实施例获取检测对象即目标终端与目标服务器之间的会话数据，具体是获得属于同一会话的多个访问请求。为了便于描述，将获取到的访问请求称为目标访问请求。在一个示例中，本步骤获取的目标访问请求可以是，目标终端与目标服务器之间属于同一会话的所有访问请求。在另一示例中，本步骤获得的目标访问请求可以是，目标终端与目标服务器之间同一会话的访问请求中属于同一时间段内的访问请求。该方式可以具体通过以下步骤实现：获得目标终端向目标服务器发送的属于同一会话的访问请求；从获得的访问请求中，提取属于同一时间段的多个访问请求作为目标访问请求。其中，访问请求是否属于同一时间段可以通过标识SID判定。具体地，目标终端向目标服务器发送的访问请求会通过防火本文档来自技高网...

【技术保护点】
1.一种网络攻击检测方法，其特征在于，包括：获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求；确定检测特征项，并根据所述多个目标访问请求确定所述检测特征项的访问特征值；获得与所述检测特征项对应的目标检测规则；使用所述目标检测规则对所述访问特征值进行判断，获得第一攻击检测结果；所述第一攻击检测结果用于表示是否存在对所述同一会话的网络攻击行为。

【技术特征摘要】
1.一种网络攻击检测方法，其特征在于，包括：获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求；确定检测特征项，并根据所述多个目标访问请求确定所述检测特征项的访问特征值；获得与所述检测特征项对应的目标检测规则；使用所述目标检测规则对所述访问特征值进行判断，获得第一攻击检测结果；所述第一攻击检测结果用于表示是否存在对所述同一会话的网络攻击行为。2.根据权利要求1所述的网络攻击检测方法，其特征在于，所述获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求，包括：获得目标终端向目标服务器发送的属于同一会话的访问请求；从获得的访问请求中，提取属于同一时间段的多个访问请求作为目标访问请求。3.根据权利要求1所述的网络攻击检测方法，其特征在于，所述确定检测特征项，并根据所述多个目标访问请求确定所述检测特征项的访问特征值，包括：确定检测特征项为针对同一对象的访问频次；其中所述同一对象包括：同一所述目标服务器，同一所述目标服务器的同一网址，以及同一所述会话关联的同一网址中的任意一项或多项；确定与所述同一对象对应的目标访问请求，并统计与所述同一对象对应的目标访问请求的个数；将统计的个数作为所述检测特征项的访问特征值。4.根据权利要求1所述的网络攻击检测方法，其特征在于，所述确定检测特征项，并根据所述多个目标访问请求确定所述检测特征项的访问特征值，包括：确定检测特征项为会话关联的网址；分别确定每个所述目标访问请求对应的网址；按照所述目标访问请求的时间先后顺序，为目标访问请求对应的不同的网址分配不同的网址标识，以得到网址标识序列；其中所述网址标识序列作为访问特征值。5.根据权利要求4所述的网络攻击检测方法，其特征在于，所述获得与所述检测特征项对应的目标检测规则，包括：将预先训练的隐马尔可夫模型，确定为与所述检测特征项对应的目标检测规则；所述隐马尔可夫模型用于计算访问请求对应的会话存在网络攻击行为的概率值；所述使用所述目标检测规则对所述访问特征值进行判断，获得第一攻击检测结果，包括：将网址标识序列输入至所述隐马尔可夫模型中，得到多个所述目标访问请求对应的会话存在网络攻击行为的概率值；若所述概率值满足预设的概率阈值，则确定第一攻击检测结果为存在对所述同一会话的网络攻击行为；若所述概率值不满足预设的概率阈值，则确定第一攻击检测结果为不存在对所述同一会话的网络攻击行为。6.根据权利要求1所述的网络攻击检测方法，其特征在于，还包括：获得会话黑名单；其中所述会话黑名单中记录的是第一攻击检测结果为存在网络攻击行为的会话；判断所述同一会话是否包含在所述会话黑名单中，获得第二攻击检测结果；对第一攻击检测结果与第二攻击检测结果进行综合判断，得到目标攻击检测结果。7.根据权利要求1所述的网络攻击检测方法，其特征在于，所述获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求，包括：从消息队列中，获取目标终端向目标服务器发送的属于同一会话的多个目标访问请求；其中消息队列中记录的是，终端向服务器发送的属于同一会话的经过预设检测规则检验为不存在网络攻击行为的访问请求。8.根据权利要求7所述的网络攻击检测方法，其特征在于，所述消息队列中访问请求的记录步骤包括：获得终端向服务器发送的属于同一会话的访问请求；获得预设检测规则；其中所述预设检测规则是针对单个访问请求的字段的检测规则；从访问请求中获取所述预设检测规则所检测字段的字段值；若所述字段值不满足所述预设检测规则，则将所述...

【专利技术属性】
技术研发人员：刘铁铮，
申请(专利权)人：宜人恒业科技发展北京有限公司，普信恒业科技发展北京有限公司，
类型：发明
国别省市：北京,11