[发明专利]基于行为特征匹配和分析的web应用层攻击检测与防御方法

权利要求书

1.一种基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，包括：

(1)预设一个防御规则库，所述防御规则库包括多种防御规则，对预设的防御规则进行分类存储，根据威胁大小将每类的防御规则划分为不同等级；

(2)获取web应用防护系统中的访问请求数据与防御规则库匹配的记录，将记录内容作为样本数据；

(3)对样本数据进行学习，建立分析模型；

(4)建立用户信誉数据库，记录触发预设的防御规则的用户IP地址，在所述用户信誉数据库中设置一黑名单模块；

(5)通过分析模型对用户的访问行为进行学习，并更新和修正防御规则库中的防御规则；

(6)建立例外防御规则库，对检测到的可疑行为进行分析后确定为非恶意行为，则对每个用户生成例外防御规则库进行特征例外；

(7)设定防御方法，根据设定的防御方法对用户的访问行为进行拦截。

2.根据权利要求1所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，在所述步骤(7)中，所述防御方法包括：

若用户的访问行为与预设的防御规则相匹配，则将此次用户的访问行为分类到对应的防御规则中存储；根据防御规则的等级判断此次用户的访问行为是否构成威胁，若是，则进行拦截，若不是，则不进行拦截。

3.根据权利要求1所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，在所述步骤(7)中，所述防御方法包括：

若判断用户的访问行为是可疑行为且与预设的防御规则都不匹配，则对此次用户的访问行为不进行拦截，记录此次用户的访问行为；

收集此次用户的历史访问行为数据，通过分析模型对用户的历史访问行为数据进行学习，判断此次用户的访问行为是否为恶意访问行为，若是，则根据此次用户的访问行为设定一防御规则并更新到防御规则库中，并设定此防御规则的等级；若不是，则根据此次用户的访问行为设定一例外防御规则，并更新到例外防御规则库中；

对与例外防御规则相匹配的用户的访问行为不进行拦截。

4.根据权利要求1所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，在所述步骤(7)中，设定一数量阀值，若一定时间内连续触发防御规则的数量达到设定的数量阀值，则确认该行为是扫描器攻击，记录该用户的IP地址，并将该用户的IP地址提交到黑名单模块。

5.根据权利要求1所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，在所述步骤(7)中，所述防御方法包括：

在所述用户信誉数据库中，对每个用户建立一积分模块，对用户每次触发防御规则的行为进行积分，设定一积分阀值，若用户的积分达到积分阀值，则将用户的IP地址提交到黑名单模块。

6.根据权利要求4或5所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，对在黑名单模块中的用户的所有访问行为进行拦截。

7.根据权利要求1所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，在所述步骤(1)中，所述防御规则包括但不限于常规防御规则、恶意扫描规则、恶意爬虫规则、漏洞规则、虚拟补丁规则。

8.根据权利要求1所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，在所述步骤(2)中，所述访问请求数据与防御规则库匹配的记录为用户在访问过程中触发预设的防御规则库中的防御规则的记录，所述web应用防护系统实时记录用户在访问过程中触发预设的防御规则库中的防御规则的行为。

9.根据权利要求1所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，在所述步骤(5)中，通过分析模型对用户的访问行为进行学习，对防御规则库中错误的防御规则进行修正。