[发明专利]基于行为特征匹配和分析的web应用层攻击检测与防御方法

说明书

技术领域

本发明涉及web安全防御领域，尤其涉及一种基于行为特征匹配和智能行为分析的web应用层攻击检测与防御的方法。

背景技术

随着web的普及，社交应用、电子商务、在线支付的大规模应用，各种0day漏洞被公开，sql注入、xss跨站、cookie篡改、恶意扫描探测、会话挟持、拒绝服务攻击、中间人代理攻击、远程命令执行、webshell提权等攻击日趋常态，各种信息泄露事件不断被暴光，web安全威胁形势异常严峻，新的攻击手法层出不穷，对web安全防护带来巨大挑战。web安全威胁严重影响到政治，经济，军事等信息系统的安全，甚至引起数据篡改，泄露等现象的发生。

web安全并非只是对已知漏洞、病毒、木马的清除与防护，而是越来越多的指向对未知安全威胁的防范，以达到防范于未然的效果。

机器学习是人工智能的一个分支，用于研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能。

人工神经网络学习是一种模仿生物神经网络的结构和功能的数学模型或计算模型，用于对函数进行估计或近似。神经网络由大量的人工神经元联结进行计算，大多数情况下人工神经网络能在外界信息的基础上改变内部结构，是一种自适应系统。

发明内容

本发明的目的是为了解决现有技术的不足，提供一种基于行为特征匹配和行为分析的web应用层攻击检测与防御的方法。

本发明的目的是通过以下技术方案实现的：

一种基于行为特征匹配和分析的web应用层攻击检测与防御方法，包括：

(1)预设一个防御规则库，所述防御规则库包括多种防御规则，对预设的防御规则进行分类存储，根据威胁大小将每类的防御规则划分为不同等级；

(2)获取web应用防护系统中的访问请求数据与防御规则库匹配的记录，将记录内容作为样本数据；

(3)对样本数据进行学习，建立分析模型；

(4)建立用户信誉数据库，记录触发预设的防御规则的用户IP地址，在所述用户信誉数据库中设置一黑名单模块；

(5)通过分析模型对用户的访问行为进行学习，并更新和修正防御规则库中的防御规则；

(6)建立例外防御规则库，对检测到的可疑行为进行分析后确定为非恶意行为，则对每个用户生成例外防御规则库进行特征例外；

(7)设定防御方法，根据设定的防御方法对用户的访问行为进行拦截。

上述的方法，其中，在所述步骤(7)中，所述防御方法包括：

若用户的访问行为与预设的防御规则相匹配，则将此次用户的访问行为分类到对应的防御规则中存储；根据防御规则的等级判断此次用户的访问行为是否构成威胁，若是，则进行拦截，若不是，则不进行拦截。

上述的方法，其中，在所述步骤(7)中，所述防御方法包括：

若判断用户的访问行为是可疑行为且与预设的防御规则都不匹配，则对此次用户的访问行为不进行拦截，记录此次用户的访问行为；

收集此次用户的历史访问行为数据，通过分析模型对用户的历史访问行为数据进行学习，判断此次用户的访问行为是否为恶意访问行为，若是，则根据此次用户的访问行为设定一防御规则并更新到防御规则库中，并设定此防御规则的等级；若不是，则根据此次用户的访问行为设定一例外防御规则，并更新到例外防御规则库中；

对与例外防御规则相匹配的用户的访问行为不进行拦截。

上述的方法，其中，在所述步骤(7)中，设定一数量阀值，若一定时间内连续触发防御规则的数量达到设定的数量阀值，则确认该行为是扫描器攻击，记录该用户的IP地址，并将该用户的IP地址提交到黑名单模块。

上述的方法，其中，在所述步骤(7)中，所述防御方法包括：

在所述用户信誉数据库中，对每个用户建立一积分模块，对用户每次触发防御规则的行为进行积分，设定一积分阀值，若用户的积分达到积分阀值，则将用户的IP地址提交到黑名单模块。

上述的方法，其中，对在黑名单模块中的用户的所有访问行为进行拦截。

上述的方法，其中，在所述步骤(1)中，所述防御规则包括但不限于常规防御规则、恶意扫描规则、恶意爬虫规则、漏洞规则、虚拟补丁规则。

上述的方法，其中，在所述步骤(2)中，所述访问请求数据与防御规则库匹配的记录为用户在访问过程中触发预设的防御规则库中的防御规则的记录，所述web应用防护系统实时记录用户在访问过程中触发预设的防御规则库中的防御规则的行为。