[发明专利]一种基于云平台的大规模Web攻击检测方法和系统

说明书

本发明公开了一种基于云平台的大规模Web攻击检测方法和系统，涉及计算机网络安全领域。所述方法包括以下步骤：步骤1、针对Web请求流量，执行请求审计算法，收集得到潜在攻击集；步骤2、针对所述潜在攻击集执行协同分析算法，进行聚类分析，形成m个潜在攻击聚类；步骤3、针对所述m个潜在攻击聚类执行攻击规则生成算法，得到最终的攻击规则集。所述系统包括云平台、审计模块、协同分析模块和规则生成模块；审计模块执行请求审计算法；协同分析模块执行协同分析算法，规则生成模块执行攻击规则生成算法，得到最终的攻击规则集。本发明能够检测出使用工具的大规模web漏洞攻击，发现潜在的0‑day攻击，并且能够产生攻击规则集。

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于云平台的大规模Web攻击检测方法和系统。

背景技术

目前很多业务都依赖于互联网，例如网上银行、网络购物、网游等，很多恶意攻击者出于不良目的对Web服务器进行攻击，想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样，Web业务平台最容易遭受攻击。Web攻击是指针对Web应用服务的一种攻击手段，常见的有SQL注入、缓冲区溢出、XSS、CSRF等，针对Web服务器的漏洞进行攻击。

随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起攻击者更大的兴趣，并采用拉网式的Web漏洞扫描方式，来获取最大的攻击利益。当一种新的漏洞，即0day漏洞出现时，攻击者往往采用编写工具对Internet进行采点扫描，以最大化发现存在漏洞的Web服务器，实现攻击。因此，当前Web的攻击正呈现工具化、规模化的趋势。

目前国内外关于防范Web攻击的相关专利如下：

(1)SQL注入WEB攻击的实时入侵检测系统(CN200810002168.0)

(2)一种Web网站安全防御系统(CN201010110771.8)

(3)一种应用于应用层的Web入侵防御方法及系统(CN201110117191.6)

(4)Intrusion detection strategies for hypertext transport protocol(EP1774707 A2)

(5)Web server intrusion detection method and apparatus(US 20020143963A1)

(6)System for real-time intrusion detection of SQL injection Webattacks(US20090049547 A1)

这些专利的技术方案都或多或少存在一些不足，专利(1)、(6)主要是针对SQL注入，属于防护特定型的攻击。而专利(2)、(3)、(4)、(5)的缺点在于只能基于现有的规则或list匹配，不能够应对现在快速变化的Web攻击。

因此，本领域的技术人员致力于开发一种基于云平台的大规模Web攻击检测方法和系统，以便能够检测出使用工具的大规模web漏洞攻击，发现潜在的0-day攻击，并生成攻击规则集。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是如何基于云平台进行协同分析以及时发现新型0day的大规模web攻击，如何面向可扩展的web服务器群提供web攻击防护。

为实现上述目的，本发明提供了一种基于云平台的大规模Web攻击检测方法，包括以下步骤：

步骤1、针对Web请求流量，执行请求审计算法，收集得到潜在攻击集；