[发明专利]一种基于行为模式的攻击URL检测方法、装置及系统

说明书

本发明公开了一种基于行为模式的攻击URL检测方法、装置和系统，涉及Web安全中攻击URL检测方法研究，是一种基于网络攻击前期探测阶段的行为特征进行自动检测并提取的方法，利用黑客攻击前期普遍存在的“踩点”行为，即“探测‑失败”，作为攻击URL的识别特征，适用于对未知攻击行为的早期发现和检测。由于设置的判断条件非常明确和简单，因此误报率和漏报率都较低，特别是不需要基于任何先验攻击知识，对未知攻击可以起到提前预防的作用。

技术领域

本发明属于网络安全领域，更具体地，涉及一种基于行为模式的攻击URL检测方法、装置及系统。

背景技术

近年来，网络安全问题给社会各界带来的影响越来越严重，特别是随着基于源代码分析技术的供应链攻击导致各种0day漏洞层出不穷，而此类漏洞也是最难防护的。公开号为CN 111259279 A的中国发明专利公开了一种基于动态特征提取的攻击URL检测方法，该方法使用深度学习中的循环神经网络对攻击URL进行特征提取，从而学习攻击URL共用的特征，手工编写匹配规则进行匹配。公开号为CN 108965336 A的中国发明专利公开了一种攻击检测方法及装置，该方法及装置预先配置攻击特征决策树，该决策树由顺序连接的若干层组成，且每层由顺序连接的若干节点组成，通过遍历所述决策树中的各节点，查找网络报文中是否包括各节点存储的攻击。

以上两种方法都需要同一个预先条件，即需要掌握大量已知攻击，从中总结发现攻击特征量后，再由此发现其他已知或未知的攻击，因而存在对某些全新的0day攻击URL无法发现的问题，且由于web网站的多样性还可能出现误报的问题。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于行为模式的攻击URL检测方法、装置及系统，不需要对任何已知攻击知识的掌握，通过对黑客攻击前期普遍存在的“探测-失败”的行为特征进行统计分析，并由此判断出攻击URL，误报率和漏报率低。

为实现上述目的，按照本发明的第一方面，提供了一种基于行为模式的攻击URL检测方法，包括：

S1，实时采集并保存各网站的访问日志；

S2，提取所述各网站的非正常响应特征；其中，所述非正常响应特征为所述各网站对于非正常访问的响应数据的特征；

S3，按预设周期从所述访问日志中提取探测访问；其中，所述探测访问为同一源IP对至少两个不同网站的相同URL的访问；

S4，判断所述探测访问的响应内容中是否存在非正常访问的响应码或是否存在所述非正常响应特征，若是，则所述探测访问的URL为攻击URL。

按照本发明的第二方面，提供了一种基于行为模式的攻击URL检测装置，包括：

日志采集模块，用于实时采集并保存各网站的访问日志；

非正常响应特征提取模块，用于提取所述各网站的非正常响应特征；其中，所述非正常响应特征为所述各网站对于非正常访问的响应数据的特征；

统计分析模块，用于按预设周期从所述访问日志中提取探测访问；其中，所述探测访问为同一源IP对至少两个不同网站的相同URL的访问；

攻击判断模块，用于判断所述探测访问的响应内容中是否存在所述非正常响应特征，若是，则所述探测访问的URL为攻击URL；若否，则所述探测访问的URL为非攻击URL。

按照本发明的第三方面，提供了一种基于行为模式的攻击URL检测系统，包括：计算机可读存储介质和处理器；

所述计算机可读存储介质用于存储可执行指令；

所述处理器用于读取所述计算机可读存储介质中存储的可执行指令，执行如第一方面所述的方法。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：