[发明专利]一种基于行为模式的攻击URL检测方法、装置及系统

权利要求书

1.一种基于行为模式的攻击URL检测方法，其特征在于，包括：

S1，实时采集并保存各网站的访问日志；

S2，提取所述各网站的非正常响应特征；其中，所述非正常响应特征为所述各网站对于非正常访问的响应数据的特征；

S3，按预设周期从所述访问日志中提取探测访问；其中，所述探测访问为同一源IP对至少两个不同网站的相同URL的访问；

S4，判断所述探测访问的响应内容中是否存在非正常访问的响应码或是否存在所述非正常响应特征，若是，则所述探测访问的URL为攻击URL；

所述预设周期以分钟为单位；

所述访问日志包括日期时间、源IP地址、目的IP地址、目的端口、应用协议、http请求头host部分、完整URL、http响应码；

所述URL不包含http请求头。

2.如权利要求1所述的方法，其特征在于，所述非正常响应特征包括所述各网站对于非正常访问的响应数据中的字节数范围和字节内容。

3.如权利要求2所述的方法，其特征在于，若所述探测访问的响应数据中的字节数范围在所述非正常响应特征的字节数范围内、且字节内容的相似度大于预设阈值，则认为所述探测访问的响应数据中存在所述非正常响应特征。

4.如权利要求1-3任一项所述的方法，其特征在于，在判断所述探测访问的响应数据中是否存在所述非正常响应特征之前，还包括：若所述探测访问的URL包含在所述探测访问的响应内容中，则将所述响应内容的字节数减去所述URL的字节数，并从所述响应内容中过滤掉URL部分。

5.如权利要求1或2所述的方法，其特征在于，基于fuzz测试方法提取所述各网站的非正常响应特征。

6.如权利要求5所述的方法，其特征在于，基于fuzz测试方法随机生成URL对所述各网站进行访问测试，从所述各网站对于非正常访问的响应数据中提取所述非正常响应特征。

7.一种基于行为模式的攻击URL检测装置，其特征在于，包括：

日志采集模块，用于实时采集并保存各网站的访问日志；

非正常响应特征提取模块，用于提取所述各网站的非正常响应特征；其中，所述非正常响应特征为所述各网站对于非正常访问的响应数据的特征；

统计分析模块，用于按预设周期从所述访问日志中提取探测访问；其中，所述探测访问为同一源IP对至少两个不同网站的相同URL的访问；

攻击判断模块，用于判断所述探测访问的响应内容中是否存在所述非正常响应特征，若是，则所述探测访问的URL为攻击URL；若否，则所述探测访问的URL为非攻击URL；

所述预设周期以分钟为单位；

所述访问日志包括日期时间、源IP地址、目的IP地址、目的端口、应用协议、http请求头host部分、完整URL、http响应码；

所述URL不包含http请求头。

8.一种基于行为模式的攻击URL检测系统，其特征在于，包括：计算机可读存储介质和处理器；

所述计算机可读存储介质用于存储可执行指令；

所述处理器用于读取所述计算机可读存储介质中存储的可执行指令，执行如权利要求1-6任一项所述的方法。