【技术实现步骤摘要】
web指纹匹配方法及装置
[0001]本专利技术涉及网络安全行业的威胁检测领域,尤其涉及一种web指纹匹配方法及装置。
技术介绍
[0002]现有的网络流量分析、威胁检测等系统采用正则特征匹配、机器学习、基于恶意攻击行为的威胁情报分析等方法从网络流量中识别威胁,重点关注威胁特征的相关信息,缺少对被攻击的受害资产详细属性分析识别。在告警分析研判过程中,无法直接查看受害资产的详细信息,需要到受害主机上定位分析。即使有资产信息,通常都是防守方对资产梳理后,在关联分析平台通过资产IP进行关联得到,缺乏实时性和准确性,比如资产IP变动或者资产上部署的Web服务变化等都可能导致信息不准确。再则,通过资产IP关联得到的信息无法在威胁检测过程中对告警结果进行修正。
[0003]另外,现有的指纹识别工具无法被威胁检测引擎直接调用。现有的指纹识别工具附带整理的指纹规则库无法被威胁检测引擎使用,比如WhatWeb工具的指纹规则库、Wappalyzer的指纹规则库都有其自身的语法格式,而且其指纹规则多是针对公网的Web站点识别,可能对处于内...
【技术保护点】
【技术特征摘要】
1.一种web指纹匹配方法,其特征在于,所述方法包括:响应于检测到攻击流量,通过威胁检测引擎确定所述攻击流量对应的规则ID;通过web指纹提取工具确定所述规则ID对应的web指纹规则;通过所述web指纹规则与所述攻击流量进行匹配,得到所述攻击流量的web指纹特征信息,所述web指纹特征信息表示对应所述攻击流量的web应用程序的信息。2.根据权利要求1所述的web指纹匹配方法,其特征在于,所述响应于检测到攻击流量之前,还包括:通过所述web指纹提取工具加载web指纹规则库至内存中,所述web指纹规则库包括至少一个web指纹规则,至少一个web指纹规则对应至少一个规则ID。3.根据权利要求1所述的web指纹匹配方法,其特征在于,所述通过威胁检测引擎确定所述攻击流量对应的规则ID,包括:通过所述威胁检测引擎确定所述攻击流量的攻击类型和所述攻击流量对应的web应用程序类型;根据所述攻击类型和所述web应用程序类型,确定所述规则ID。4.根据权利要求1所述的web指纹匹配方法,其特征在于,所述通过所述web指纹规则与所述攻击流量进行匹配,包括:根据所述web指纹规则的key字段的值,确定匹配方式;通过所述匹配方式与所述攻击流量进行匹配。5.根据权利要求4所述的web指纹匹配方法,其特征在于,所述key字段的值包括第一目标字段或第二目标字段;以及所述根据所述web指纹规则的key字段的值,确定匹配方式,包括:若所述web指纹规则的key字段的值为第一目标字段,则确定匹配方式为正则匹配;若所述web指纹规则的key字段的值为第二目标字段,则确定匹配方式为文本匹配;以及所述通过所述匹配方式与所述攻击流量进行匹配,包括:通过所述正则匹配的方式对所述攻击流量进行匹配;或通过所述文本匹配的方式对所述攻击流量进行匹配。6.根据权利要求5所述的web指纹匹配方法,其特征在于,所述通过所述正则匹配的方式对所述攻...
【专利技术属性】
技术研发人员:黄四安,孙兆兴,王金亭,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。