【技术实现步骤摘要】
Web应用攻击分析方法和装置、计算机可读存储介质
[0001]本公开涉及网络安全领域,特别涉及一种Web应用攻击分析方法和装置、计算机可读存储介质。
技术介绍
[0002]近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大。
[0003]随着《网络安全法》颁布,各企业部署大量网络安全设备,日志量庞大且安全设备误报现象也频频出现。
技术实现思路
[0004]专利技术人通过研究发现:相关技术Web(World Wide Web,全球广域网)应用攻击检测技术可实现对Web服务入侵行为的识别,通过收集和分析Web访问日志、Web应用防火墙日志以及主机系统日志中异常的信息,检查网站或系统中是否存在被攻击利用的迹象。但是,相关技术应用攻击检测方法在误报率、来源单一等方面存在不足。
[0005]鉴于以上技术问题中的至少一项,本公开提供了一种Web应用攻击分析方法和装置、计算机可读存储介质,可以大大降低攻击检测的误报率。
[0006]根据本公开的一个方面,提供一...
【技术保护点】
【技术特征摘要】
1.一种Web应用攻击分析方法,其特征在于,包括:对采集的多源日志按预定规则进行字段提取转换;利用分布式流数据流引擎根据不同日志源的事件匹配规则,分析原始日志输出初步分析事件;提取初步分析事件的统一资源定位器字段,依据事件类型,设置自动化验证参数;调用验证性测试库探测脚本,对攻击点字段进行探测验证,依据验证结果输出最终分析结果。2.根据权利要求1所述的Web应用攻击分析方法,其特征在于,所述对采集的多源日志按预定规则进行字段提取转换包括:按照预定日志采集协议采集多源日志;依据正则表达式或者关键字-值方式提取多源日志的指定日志字段,以统一所有数据源的原始日志格式。3.根据权利要求1或2所述的Web应用攻击分析方法,其特征在于,所述利用分布式流数据流引擎根据不同日志源的事件匹配规则,分析原始日志输出初步分析事件包括:根据日志源和日志过滤条件构建事件匹配规则;利用分布式流数据流引擎,按构建的事件匹配规则分析原始日志输出初步分析事件。4.根据权利要求3所述的Web应用攻击分析方法,其特征在于,所述根据日志源和日志过滤条件构建事件匹配规则包括:将自定义的脚本攻击工具入侵判断流程图,转换成对应的事件匹配规则判断条件。5.根据权利要求1或2所述的Web应用攻击分析方法,其特征在于,所述调用验证性测试库探测脚本,对攻击点字段进行探测验证包括:依据预定验证算法,调用验证性测试库探测脚本,对攻击点字段进行检测,判断攻击点字段是否存在对应漏洞。6.根据权利要求5所述的Web应用攻击分析方法,其...
【专利技术属性】
技术研发人员:王玉琪,张鉴,薄明霞,刘文韬,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。