Web攻击的检测方法、检测模型和检测装置与流程

web攻击的检测方法、检测模型和检测装置
技术领域
1.本发明实施例涉及web应用防火墙的技术领域，具体涉及一种web攻击的检测方法、检测模型和检测装置。


背景技术：

2.当前web攻击的方式越发多样且难以防护时，攻击者通常会采用多种最新的技术手段来进行不同方式的攻击尝试，一旦攻击成功就会造成中断服务、数据失窃等问题。对于web应用防火墙来说仅仅使用单一的检测方式或多种检测方式的堆叠的方式难以准确地发现攻击，导致检测不准确造成误报漏报。


技术实现要素：

3.本发明实施例的目的在于提供一种web攻击的检测方法，用以从多个维度进行对web攻击进行检测和评价，以降低web攻击识别的误报率、漏报率，从而提升web应用的安全性。
4.第一方面，本发明提供了一种web攻击的检测方法，包括：
5.获取信息源；
6.对所述信息源进行处理，并将处理后的信息源输入预设的多维度检测模型，其中所述多维度检测模型包括多种检测方式；
7.所述预设的多维度检测模型中的每种检测方式分别对所述处理后的信息源进行检测分析，得到对应的多种检测结果；以及
8.根据多种检测结果，确定所述信息源是否存在web攻击。
9.本实施例通过多维度检测模型可以从多个维度进行对web攻击进行检测和评价，以降低对web攻击识别的误报率、漏报率，从而提升web应用的安全性。
10.在一实施例中，所述信息源包括：用户通过浏览器产生的使用行为、用户通过浏览器访问服务器的请求和响应中的信息、恶意ip情报数据。
11.在一实施例中，所述多种检测方式包括：ip情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式；其中，
12.所述ip情报定级检测方式，用于对所述信息源中的访问ip进行威胁定级判断来确定所述信息源是否存在web攻击；
13.所述规则匹配检测方式，用于对所述信息源匹配攻击特征库来确定所述信息源是否存在web攻击；
14.所述语义分析检测方式，用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在web攻击；
15.所述业务建模检测方式，用于根据所述信息源中的访问url的请求，进行模型训练，得到访问该url的请求特征模型，所述请求特征模型对该访问url的请求进行偏差分析来确定所述信息源是否存在web攻击；以及
16.所述行为分析检测方式，用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在web攻击。
17.在一实施例中，每种检测方式的检测结果均对应设置有三个高中低等级，每种检测方式均对应设置有权重值，则所述根据多种检测结果，确定所述信息源是否存在web攻击包括：
18.根据每种检测结果与其对应的权重值，确定所述信息源是否存在web攻击。
19.在一实施例中，所述恶意ip情报数据包括：攻击行为、攻击时间、置信度、威胁等级；所述用户通过在浏览器产生的使用行为包括：点击事件停留的时间、访问页面的频次和集中度、请求方法、请求头、请求体、状态行为、响应头、响应体。
20.第二方面，本发明实施例还提供一种用于检测web攻击的多维度检测模型，包括：多种检测方式，每种检测方式分别对经处理的信息源进行检测分析，得到对应的多种检测结果；
21.根据多种检测结果，确定所述信息源是否存在web攻击。
22.在一实施例中，所述多种检测方式包括：ip情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式；其中，
23.所述ip情报定级检测方式，用于对所述信息源中的访问ip进行威胁定级判断来确定所述信息源是否存在web攻击；
24.所述规则匹配检测方式，用于对所述信息源匹配攻击特征库来确定所述信息源是否存在web攻击；
25.所述语义分析检测方式，用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在web攻击；
26.所述业务建模检测方式，用于根据所述信息源中的访问url的请求，进行模型训练，得到访问该url的请求特征模型，所述请求特征模型对该访问url的请求进行偏差分析来确定所述信息源是否存在web攻击；以及
27.所述行为分析检测方式，用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在web攻击。
28.在一实施例中，每种检测方式的检测结果均对应设置有三个高中低等级，每种检测方式均对应设置有权重值，则所述根据多种检测结果，确定所述信息源是否存在web攻击包括：
29.根据每种检测结果与其对应的权重值，确定所述信息源是否存在web攻击。
30.第三方面，本发明实施例还提供一种web攻击的检测装置，包括：
31.获取模块，用于获取信息源；
32.处理模块，用于对所述信息源进行处理，并将处理后的信息源输入预设的多维度检测模型，其中所述多维度检测模型包括多种检测方式；
33.检测模块，用于每种检测方式分别对所述处理后的信息源进行检测分析，得到对应的多种检测结果；以及
34.确定模块，用于根据多种检测结果，确定所述信息源是否存在web攻击。
35.在一实施例中，所述多种检测方式包括：ip情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式；其中，
36.所述ip情报定级检测方式，用于对所述信息源中的访问ip进行威胁定级判断来确定所述信息源是否存在web攻击；
37.所述规则匹配检测方式，用于对所述信息源匹配攻击特征库来确定所述信息源是否存在web攻击；
38.所述语义分析检测方式，用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在web攻击；
39.所述业务建模检测方式，用于根据所述信息源中的访问url的请求，进行模型训练，得到访问该url的请求特征模型，所述请求特征模型对该访问url的请求进行偏差分析来确定所述信息源是否存在web攻击；以及
40.所述行为分析检测方式，用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在web攻击。
附图说明
41.以示例的方式参考以下附图描述本发明的非限制性且非穷举性实施方案，其中：
42.图1示出了根据本发明一实施例的web攻击的检测方法的流程图；
43.图2示出了根据本发明一实施例的用于检测web攻击的多维度检测模型的结构示意图；
44.图3示出了根据本发明一实施例的web攻击的检测装置的结构示意图。
具体实施方式
45.为了使本发明的上述以及其他特征和优点更加清楚，下面结合附图进一步描述本发明。应当理解，本文给出的具体实施方案是出于向本领域技术人员解释的目的，仅是示例性的，而非限制性的。
46.为了使本技术领域的人员更好地理解本发明的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
47.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
48.图1示出了根据本发明一实施例的web攻击的检测方法的流程图。
49.在一实施例中，参照图1，所述检测方法包括：
50.步骤110，获取信息源。该信息源包括：用户通过浏览器产生的使用行为、用户通过浏览器访问服务器的请求和响应中的信息、恶意ip情报数据。具体地，该信息源包括：包含
攻击行为、攻击时间、置信度、威胁等级等信息在内的恶意ip情报数据、用户通过浏览器产生的使用行为如点击事件停留时间、访问页面的频次和集中度、请求方法、请求头、请求体，状态行、响应头、响应体。以上信息涵盖了单次及多次访问的具体信息和结合历史检测情况产出的ip信誉。
51.步骤120，对所述信息源进行处理，并将处理后的信息源输入预设的多维度检测模型，其中所述多维度检测模型包括多种检测方式。
52.可以理解的是，所述多种检测方式包括：ip情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式；其中，所述ip情报定级检测方式，用于对所述信息源中的访问ip进行威胁定级判断来确定所述信息源是否存在web攻击。例如：根据ip情报的攻击方式、最近发现时间、风险等级、置信度等信息对访问的ip进行威胁定级。若是威胁等级高，则表明存在攻击行为的概率高；若是威胁等级低，则表明存在攻击行为的概率低。
53.所述规则匹配检测方式，用于对所述信息源匹配攻击特征库来确定所述信息源是否存在web攻击。例如：对请求和响应内容匹配攻击特征库，匹配方式可以是包含、等于、正则等。若是匹配等级高，则表明存在攻击行为的概率高；若是匹配等级低，则表明存在攻击行为的概率低。
54.所述语义分析检测方式，用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在web攻击。例如：根据请求和响应内容进行词法、语法、语义分析，判断是否会产生实质性的威胁。若是语义分析等级高，则表明存在攻击行为的概率高；若是语义分析等级低，则表明存在攻击行为的概率低。
55.所述业务建模检测方式，用于根据所述信息源中的访问url的请求，进行模型训练，得到访问该url的请求特征模型，所述请求特征模型对该访问url的请求进行偏差分析来确定所述信息源是否存在web攻击。例如：根据访问url的请求，进行hmm模型、数据分布模型、向量化与单分类模型的训练，得到访问该url的请求特征模型。对请求进行偏差分析，若偏差等级高(即偏差较大)，则存在攻击行为的概率高。若偏差等级低(即偏差较小)，则存在攻击行为的概率低。
56.所述行为分析检测方式，用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在web攻击。例如：根据用户的使用行为，以及访问频率、访问集中度等信息进行人机判断，进行高维攻击行为的判断。
57.步骤s130，所述预设的多维度检测模型中的每种检测方式分别对所述处理后的信息源进行检测分析，得到对应的多种检测结果。
58.可以理解的是，ip情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式这五种检测方式分别对信息源进行检测分析，假设该信息源是恶意ip情报数据，那么若是ip情报定级检测方式确定该恶意ip情报数据的威胁等级高，则表明存在攻击行为的概率高，即使其他的检测方式检测的风险等级较低，也认为该攻击行为的概率高。若是ip情报定级检测方式确定该恶意ip情报数据的威胁等级为中，则表明存在攻击行为的概率为中，此时需要参考其他的四种检测方式的检测结果，综合考虑该威胁等级。
59.步骤s140，根据多种检测结果，确定所述信息源是否存在web攻击。具体地，每种检
测方式的检测结果均对应设置有三个高中低等级，每种检测方式均对应设置有权重值；根据每种检测结果与其对应的权重值，确定所述信息源是否存在攻击。
60.举例说明，假设该信息源是恶意ip情报数据，针对该类型的信息源赋予ip情报定级检测方式的权重值较高，其他四种的检测方式的权重值相对较低。同样针对其他类型的信息源会自动相应地调整其相应的检测方式的权重值，例如：如信息源是用户在浏览器的使用行为，则行为分析检测方式的权重值较高。当ip情报定级检测方式确定该恶意ip情报数据的威胁等级为高，则表明存在攻击行为的概率高，即使其他的检测方式检测的风险等级较低，也认为该攻击行为的概率高。若是ip情报定级检测方式确定该恶意ip情报数据的威胁等级为中，此时需要参考其他的四种检测方式的检测结果，根据每个检测结果与其对应的权重值，综合确定该威胁等级，若是综合确定的该威胁等级为高，且则表明存在攻击行为的概率高。
61.当然，本文仅仅只是描述了等级，也可以采用阈值范围来区分，将的检测结果均对应设置为第一阈值范围(即，高危险)、第二阈值范围(即，中危险)和第三阈值范围(即，低危险)。当然还可以采用其他的危险等级划分，在此不再进行列举。
62.本发明通过将所有检测方式共性建立多维度检测模型，用该多维度检测模型进行不同的检测方式，综合考虑多个检测结果，从而降低对web攻击识别的误报率、漏报率、更准确地识别出真实的恶意请求，提升web应用的安全性。
63.图2示出了根据本发明一实施例的用于检测web攻击的多维度检测模型的结构示意图。
64.参照图2，多维度检测模型200包括：多种检测方式，每种检测方式分别对经处理的信息源进行检测分析，得到对应的多种检测结果；以及根据多种检测结果，确定所述信息源是否存在web应用攻击。
65.可以理解的是，所述多种检测方式包括：ip情报定级检测方式210、规则匹配检测方式220、语义分析检测方式230、业务建模检测方式240和行为分析检测方式250；其中，所述ip情报定级检测方式，用于对所述信息源中的访问ip进行威胁定级判断来确定所述信息源是否存在web攻击。例如：根据ip情报的攻击方式、最近发现时间、风险等级、置信度等信息对访问的ip进行威胁定级。若是威胁等级高，则表明存在攻击行为的概率高；若是威胁等级低，则表明存在攻击行为的概率低。
66.所述规则匹配检测方式，用于对所述信息源匹配攻击特征库来确定所述信息源是否存在web攻击。例如：对请求和响应内容匹配攻击特征库，匹配方式可以是包含、等于、正则等。若是匹配等级高，则表明存在攻击行为的概率高；若是匹配等级低，则表明存在攻击行为的概率低。
67.所述语义分析检测方式，用于对所述信息源进行词法、语法、语义分析来确定所述信息源是否存在web攻击。例如：根据请求和响应内容进行词法、语法、语义分析，判断是否会产生实质性的威胁。若是语义分析等级高，则表明存在攻击行为的概率高；若是语义分析等级低，则表明存在攻击行为的概率低。
68.所述业务建模检测方式，用于根据所述信息源中的访问url的请求，进行模型训练，得到访问该url的请求特征模型，所述请求特征模型对该访问url的请求进行偏差分析来确定所述信息源是否存在web攻击。例如：根据访问url的请求，进行hmm模型、数据分布模
型、向量化 单分类模型的训练，得到访问该url的请求特征模型。对请求进行偏差分析，若偏差等级高(即偏差较大)，则存在攻击行为的概率高。若偏差等级低(即偏差较小)，则存在攻击行为的概率低。
69.所述行为分析检测方式，用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在web攻击。例如：根据用户的使用行为，以及访问频率、访问集中度等信息进行人机判断，进行高维攻击行为的判断。
70.在一实施例中，每种检测方式的检测结果均对应设置有三个高中低等级，每种检测方式均对应设置有权重值，则所述根据多种检测结果，确定所述信息源是否存在web攻击包括：
71.根据每种检测结果与其对应的权重值，确定所述信息源是否存在web攻击。
72.图3示出了根据本发明一实施例的web攻击的检测装置的结构示意图。
73.参照图3，所述检测装置300包括：
74.获取模块310，用于获取信息源；
75.处理模块320，用于对所述信息源进行处理，并将处理后的信息源输入预设的多维度检测模型，其中所述多维度检测模型包括多种检测方式；
76.检测模块330，用于每种检测方式分别对所述处理后的信息源进行检测分析，得到对应的多种检测结果；以及
77.确定模块340，用于根据多种检测结果，确定所述信息源是否存在web攻击。
78.对于该检测装置300的详细描述可以参照上述关于检测方法100的描述，在此不再重复描述。
79.在一实施例中，所述多种检测方式包括：ip情报定级检测方式、规则匹配检测方式、语义分析检测方式、业务建模检测方式和行为分析检测方式；其中，
80.所述ip情报定级检测方式，用于对所述信息源中的访问ip进行威胁定级判断来确定所述信息源是否存在web攻击；
81.所述规则匹配检测方式，用于对所述信息源匹配攻击特征库来确定所述信息源是否存在web攻击；
82.所述语义分析检测方式，用于对所述所述信息源进行词法、语法、语义分析来确定所述信息源是否存在web攻击；
83.所述业务建模检测方式，用于根据所述信息源中的访问url的请求，进行模型训练，得到访问该url的请求特征模型，所述请求特征模型对该访问url的请求进行偏差分析来确定所述信息源是否存在web攻击；以及
84.所述行为分析检测方式，用于根据所述信息源中的用户的使用行为进行人机判断来确定所述信息源是否存在web攻击。
85.以上实施方案的各个技术特征可以进行任意的组合，为使描述简洁，未对上述实施方案中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
86.尽管结合实施方案对本发明进行了描述，但本领域技术人员应理解，上文的描述和附图仅是示例性而非限制性的，本发明不限于所公开的实施方案。在不偏离本发明的精神的情况下，各种改型和变体是可能的。