一种基于Web用户行为的漏洞研判方法和装置与流程

一种基于web用户行为的漏洞研判方法和装置
技术领域
1.本技术的实施例涉及网络安全领域，并且更具体地，涉及一种基于web用户行为的漏洞研判方法和装置。


背景技术：

2.web应用防护系统能够对用户的攻击行为进行监测，在检查到具有攻击特征的请求数据时，能够对该请求数据进行拦截，以阻止攻击行为为服务器造成是危害。
3.但是目前的web应用防护系统对用户的请求数据进行检测时，只要检测到攻击特征就会对请求数据进行拦截，并且生成记录日志，并不考虑具有攻击行为的请求数据是否会对服务器造成实质性危害，这就导致大量的攻击行为记录日志是无效的，不便于定位服务器的真实漏洞。


技术实现要素：

4.根据本技术的实施例，提供了一种基于web用户行为的漏洞研判方案。
5.在本技术的第一方面，提供了一种基于web用户行为的漏洞研判方法。该方法包括：接收用户请求数据，获取用户请求数据的数据请求格式，并判断所述数据请求格式与预设数据库中的攻击数据格式是否匹配；若是，则跟踪所述用户请求数据，并获取服务器基于所述用户请求数据生成的响应数据的响应数据格式，判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配；若是，则阻断所述响应数据。
6.通过采用上述技术方案，若用户请求数据的数据请求格式与预设数据库中的攻击数据格式匹配成功，则认为用户请求数据存在攻击行为，便对用户请求数据持续跟踪，直至服务器根据用户请求数据返回响应数据，再判断响应数据，若响应数据的响应数据格式与预设数据库中的攻击成功格式匹配成功，则代表用户请求数据的攻击行为攻击成功，服务器存在真实漏洞，需对响应数据进行阻断，本技术提供的方法提高了攻击行为判断的有效性，有利于快速定位服务器操作系统的漏洞，方便运维人员进行后期风险处理。
7.可选的，所述跟踪所述用户请求数据包括：基于http协议，建立所述用户请求数据和响应数据之间的匹配关系，跟踪所述用户请求数据以确定服务器基于所述用户请求数据生成的响应数据。
8.可选的，还包括：若是，则生成记录日志，所述记录日志包括针对所述服务器的攻击成功格式和与所述攻击成功格式对应的攻击数据格式；根据所述攻击数据格式，以及攻击成功后的响应数据的攻击成功格式构成攻击行为判断模型，所述攻击行为判断模型用于判断所述用户请求数据针对服务器操作系统的攻
击行为的有效性。
9.可选的，在构成所述攻击行为判断模型之后，还包括：在获取到用户请求数据的数据请求格式以及与所述用户请求数据对应的响应数据的响应数据格式后，根据所述数据请求格式、所述响应数据格式以及所述攻击行为判断模型，确定是否阻断所述响应数据；所述攻击行为判断模型表征为：一攻击数据格式对应一个或多个攻击成功格式，在获取到相对应的攻击数据格式和攻击成功格式时，输出阻断信号，用于阻断所述响应数据。
10.在本技术的第二方面，提供了一种基于web用户行为的漏洞研判装置，该装置包括：第一处理模块，用于接收用户请求数据，获取用户请求数据的数据请求格式，并判断所述数据请求格式与预设数据库中的攻击数据格式是否匹配；第二处理模块，用于在判断所述数据请求格式与预设数据库中的攻击数据格式是否匹配的结果为是时，跟踪所述用户请求数据，并获取服务器基于所述用户请求数据生成的响应数据的响应数据格式，判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配；阻断模块，用于在判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配的结果为是时，阻断所述响应数据。
11.可选的，所述第二处理模块还用于：基于http协议，建立所述用户请求数据和响应数据之间的匹配关系，跟踪所述用户请求数据以确定服务器基于所述用户请求数据生成的响应数据。
12.可选的，还包括：记录模块，用于在判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配的结果为是时，生成记录日志，所述记录日志包括针对所述服务器的攻击成功格式和与所述攻击成功格式对应的攻击数据格式；模型生成模块，用于根据所述攻击数据格式，以及攻击成功后的响应数据的攻击成功格式构成攻击行为判断模型，所述攻击行为判断模型用于判断所述用户请求数据针对服务器操作系统的攻击行为的有效性。
13.可选的，还包括：判断模块，用于在获取到用户请求数据的数据请求格式以及与所述用户请求数据对应的响应数据的响应数据格式后，根据所述数据请求格式、所述响应数据格式以及所述攻击行为判断模型，确定是否阻断所述响应数据；所述攻击行为判断模型表征为：一攻击数据格式对应一个或多个攻击成功格式，在获取到相对应的攻击数据格式和攻击成功格式时，输出阻断信号，用于阻断所述响应数据。
14.在本技术的第三方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。
15.在本技术的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如根据本技术的第一方面的方法。
16.本技术公开的一种一种基于web用户行为的漏洞研判方法和装置，通过对用户请求数据进行检测，若用户请求数据的数据请求格式与预设数据库中的攻击数据格式匹配成功，则认为用户请求数据存在攻击行为，便对用户请求数据持续跟踪，直至服务器根据用户请求数据返回响应数据，再判断响应数据，若响应数据的响应数据格式与预设数据库中的攻击成功格式匹配成功，则代表用户请求数据的攻击行为攻击成功，服务器存在真实漏洞，需对响应数据进行阻断。本技术提供的方法，只有在用户请求数据的攻击行为对服务器生效时，才对响应数据进行拦截，提高了攻击行为判断的有效性，有利于快速定位服务器操作系统的漏洞，方便运维人员进行后期风险处理。
17.应当理解，发明内容部分中所描述的内容并非旨在限定本技术的实施例的关键或重要特征，亦非用于限制本技术的范围。本技术的其它特征将通过以下的描述变得容易理解。
附图说明
18.结合附图并参考以下详细说明，本技术各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标记表示相同或相似的元素，其中：图1示出了本技术实施例的一种基于web用户行为的漏洞研判方法的应用场景示意图。
19.图2示出了根据本技术的实施例一种基于web用户行为的漏洞研判方法的流程图；图3示出了根据本技术的实施例的一种基于web用户行为的漏洞研判装置的方框图；图4示出了适于用来实现本技术实施例的终端设备或服务器的结构示意图。
具体实施方式
20.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本技术保护的范围。
21.本技术中，通过对用户请求数据进行检测，获取用户请求数据的数据请求格式，并判断所述数据请求格式与预设数据库中的攻击数据格式是否匹配，在匹配成功时，持续跟踪该用户请求数据，并获取服务器基于所述用户请求数据生成的响应数据的响应数据格式，判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配，如果匹配成功，则表示用户请求数据的攻击行为有效，服务器操作系统存在真实漏洞，便阻断响应数据，使得响应数据无法返回发出用户请求数据的客户端，本技术有利于确定用户攻击行为的有效性，并且只有在用户攻击行为有效时才拦截响应数据，与传统的只有用户请求数据存在攻击行为便对用户请求数据进行拦截，生成记录日志相较，减少了记录日志的数量，降低了资源占用。
22.图1示出了本技术实施例的一种基于web用户行为的漏洞研判方法的应用场景示意图。
23.在图1所示的场景中，示例性的示出用户客户端通过web请求方式向服务器发送用
户请求数据，服务器在接收用户请求数据后，基于用户请求数据生成响应数据，并返回至客户端。本方法的程序能够集成于电子设备，在客户端发出用户请求数据时，获取用户请求数据并对其进行检测，在服务器返回响应数据时，获取响应数据并进行检测，以下对本技术实施例提供的一种基于web用户行为的漏洞研判方法详细阐述。
24.图2示出了根据本技术实施例的一种基于web用户行为的漏洞研判方法的流程图。
25.步骤s100、接收用户请求数据，获取用户请求数据的数据请求格式，并判断所述数据请求格式与预设数据库中的攻击数据格式是否匹配。
26.其中，判断所述数据请求格式与预设数据库中的攻击数据格式是否匹配，可以是在用户向服务器发出用户请求数据时，对用户请求数据进行检测，提取用户请求数据的数据请求格式，并与预设数据库中的攻击数据格式匹配。
27.常见的对攻击手段包括xxs攻击、sql注入、命令执行等，每种攻击是手段均具有特定的数据请求格式。例如，xss攻击的请求数据格式为a=《/script》alert(2)《script》，其中《/script》alert(2)《script》数据就是xss攻击特征；sql注入的请求数据格式为：a=and 0《》(select @@version)，其中and 0《》(select @@version)数据就是sql注入特征；命令执行的请求数据格式为：a=whoami，其中whoami数据就是命令执行的攻击特征。
28.在将数据请求格式与攻击数据格式匹配后，若匹配失败，则用户请求数据不存在攻击特征，对用户请求数据放行，服务器在接收到用户请求数据后，生成响应数据返回至发出用户请求数据的客户端。
29.若匹配成功，则执行步骤s200。
30.步骤s200、跟踪所述用户请求数据，并获取服务器基于所述用户请求数据生成的响应数据的响应数据格式，判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配；其中，用户请求数据可以是基于http协议的web请求方式，基于http协议，建立用户请求数据和响应数据之间的匹配关系，跟踪用户请求数据以确定服务器基于用户请求数据生成的响应数据。
31.在本技术实施例中，判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配的方式可以是，根据用户请求数据的请求数据格式在预设数据库中匹配与之对应的攻击成功格式，然后获取响应数据的响应数据格式，将响应数据格式与攻击成功格式匹配，以判断响应数据是否存在被攻击成功的特征，若否，则放行响应数据，若是，则执行步骤s300。
32.在一个具体的示例中，服务器在接收到xss攻击时，xss攻击的请求数据格式为a=《/script》alert(2)《script》，目的是让计算机弹出一个小窗，窗口显示数据为2），预设数据库中存储有与《/script》alert(2)《script》对应的攻击成功格式，攻击成功格式同样为《script》alert(2)《/script》，因此，当服务器返回给用户的响应数据中包含了同样的《script》alert(2)《/script》对应数据，则认为攻击成功，反之则认为攻击失败。
33.在一些实施例中，若sql注入的请求数据格式为a=and 0《》(select @@version)，与之对应的攻击成功格式为5.5.53或者5.5.52，因此，在服务器的响应数据为5.5.53或者5.5.52格式时，则认为响应数据存在攻击成功特征，用户请求数据攻击成功；若命令执行的请求数据格式为a=whoami，与之对应的攻击成功格式为administrator或者system，在服务器的响应数据为administrator或者system时，则认为响应数据存在攻击成功特征。
34.步骤s300、阻断所述响应数据。
35.在阻断响应数据之后，可以生成记录日志，记录日志包括针对上述服务器的攻击成功格式和与该攻击成功格式对应的攻击数据格式，以便于运维人员定位服务器操作系统存在的漏洞，针对该漏洞的用户请求数据的攻击数据格式，以及攻击成功后的响应数据的攻击成功格式构成攻击行为判断模型。
36.攻击行为判断模型表征为：一攻击数据格式对应一个或多个攻击成功格式，在获取到相对应的攻击数据格式和攻击成功格式时，输出阻断信号，用于阻断响应数据。
37.在本技术实施例中，在获取到用户请求数据的数据请求格式以及与用户请求数据对应的响应数据的响应数据格式后，可以将数据请求格式和响应数据格式输入至攻击行为判断模型内，根据攻击行为判断模型的处理结果，确定用户请求数据是否对服务器存在有效攻击行为，在存在有效攻击行为时，服务器返回的响应数据，达到修复服务器操作系统漏洞的目的。
38.本技术公开的一种基于web用户行为的漏洞研判方法，接收用户请求数据，判断用户请求数据的数据请求格式与预设数据库中的攻击数据格式是否匹配，在匹配成功时，持续跟踪用户请求数据，判断响应数据的响应数据格式与预设数据库中的攻击成功格式是否匹配，若匹配，则阻断响应数据，并生成记录日志。即只有在用户请求数据的攻击行为有效时，才对服务器的响应数据进行拦截，并生成记录日志，提高了攻击行为判断的有效性，有利于快速定位服务器操作系统的漏洞，方便运维人员进行后期风险处理，如打冷补丁修改源代码，或通过对服务器返回的响应数据进行阻断达到漏洞修复效果，无需客户进行补丁安装、漏洞修复等操作，降低了漏洞修复时间成本，提高了漏洞修复效率。
39.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本技术所必须的。
40.以上是关于方法实施例的介绍，以下通过装置实施例，对本技术所述方案进行进一步说明。
41.图3示出了根据本技术的实施例的一种基于web用户行为的漏洞研判装置的方框图。该装置包括：第一处理模块201，用于接收用户请求数据，获取用户请求数据的数据请求格式，并判断所述数据请求格式与预设数据库中的攻击数据格式是否匹配；第二处理模块202，用于在判断所述数据请求格式与预设数据库中的攻击数据格式是否匹配的结果为是时，跟踪所述用户请求数据，并获取服务器基于所述用户请求数据生成的响应数据的响应数据格式，判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配；阻断模块203，用于在判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配的结果为是时，阻断所述响应数据。
42.在一种可能实现的方式中，所述第二处理模块202还用于：基于http协议，建立所述用户请求数据和响应数据之间的匹配关系，跟踪所述用
户请求数据以确定服务器基于所述用户请求数据生成的响应数据。
43.在一种可能实现的方式中，还包括：记录模块，用于在判断所述响应数据格式与预设数据库中的攻击成功格式是否匹配的结果为是时，生成记录日志，所述记录日志包括针对所述服务器的攻击成功格式和与所述攻击成功格式对应的攻击数据格式；模型生成模块，用于根据所述攻击数据格式，以及攻击成功后的响应数据的攻击成功格式构成攻击行为判断模型，所述攻击行为判断模型用于判断所述用户请求数据针对服务器操作系统的攻击行为的有效性。
44.在一种可能实现的方式中，还包括：判断模块，用于在获取到用户请求数据的数据请求格式以及与所述用户请求数据对应的响应数据的响应数据格式后，根据所述数据请求格式、所述响应数据格式以及所述攻击行为判断模型，确定是否阻断所述响应数据；所述攻击行为判断模型表征为：一攻击数据格式对应一个或多个攻击成功格式，在获取到相对应的攻击数据格式和攻击成功格式时，输出阻断信号，用于阻断所述响应数据。
45.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
46.图4示出了适于用来实现本技术实施例的电子设备的结构示意图。
47.如图4所示，电子设备包括中央处理单元(cpu)401，其可以根据存储在只读存储器(rom)402中的程序或者从存储部分408加载到随机访问存储器(ram)404中的程序而执行各种适当的动作和处理。在ram 403中，还存储有系统400操作所需的各种程序和数据。cpu 401、rom 402以及ram 403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
48.以下部件连接至i/o接口405：包括键盘、鼠标等的输入部分406；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分407；包括硬盘等的存储部分408；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至i/o接口405。可拆卸介质411，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器410上，以便于从其上读出的计算机程序根据需要被安装入存储部分408。
49.特别地，根据本技术的实施例，上文参考流程图图1描述的过程可以被实现为计算机软件程序。例如，本技术的实施例包括一种计算机程序产品，其包括承载在机器可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分409从网络上被下载和安装，和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(cpu)401执行时，执行本技术的系统中限定的上述功能。
50.需要说明的是，本技术所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便
携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
51.附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，前述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
52.描述于本技术实施例中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，例如，可以描述为：一种处理器包括第一处理模块、第二处理模块和阻断模块。其中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定，例如，第一处理模块还可以被描述为“用于接收用户请求数据，并判断用户请求数据是否存在攻击特征”。
53.作为另一方面，本技术还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中的。上述计算机可读存储介质存储有一个或者多个程序，当上述前述程序被一个或者一个以上的处理器用来执行描述于本技术的一种基于web用户行为的漏洞研判方法。
54.以上描述仅为本技术的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本技术中所涉及的申请范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离前述申请构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本技术中申请的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。