CN108055227B - 基于站点自学习的waf未知攻击防御方法 - Google Patents

基于站点自学习的waf未知攻击防御方法 Download PDF

Info

Publication number
CN108055227B
CN108055227B CN201710670569.2A CN201710670569A CN108055227B CN 108055227 B CN108055227 B CN 108055227B CN 201710670569 A CN201710670569 A CN 201710670569A CN 108055227 B CN108055227 B CN 108055227B
Authority
CN
China
Prior art keywords
url
parameter
post
parameters
urls
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710670569.2A
Other languages
English (en)
Other versions
CN108055227A (zh
Inventor
焦小涛
康星
何建锋
陈宏伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Jiaotong University Jump Network Technology Co ltd
Original Assignee
Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Jiaotong University Jump Network Technology Co ltd filed Critical Xi'an Jiaotong University Jump Network Technology Co ltd
Priority to CN201710670569.2A priority Critical patent/CN108055227B/zh
Publication of CN108055227A publication Critical patent/CN108055227A/zh
Application granted granted Critical
Publication of CN108055227B publication Critical patent/CN108055227B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于站点自学习的WAF未知攻击防御方法,将采集能够正常访问的URL生成POST类信息日志和GET类信息日志;对于待检测的URL,判断该URL的请求方式,当该URL的请求方式为GET且该URL的URL头是不存在于GET类信息日志中时,确定该URL为攻击源;当该URL的请求方式为POST且该URL的URL头是不存在于POST类信息日志中时,确定该URL为攻击源。本发明通过学习积累的方式,防御了未知的攻击,弥补了传统防御方法的不足。

Description

基于站点自学习的WAF未知攻击防御方法
技术领域
本发明属于HTTP请求URL分析技术领域,具体涉及一种基于站点自学习的WAF未知攻击防御方法。
背景技术
常见的WAF防御攻击的方法是把已知网络攻击的一些关键特征存库,当请求来时与库中已存的攻击关键词比较从而判断出是否为WEB攻击,这种传统的防御方式极大的依赖已经发现的攻击特征,对于那些未知的攻击没有任何办法。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于站点自学习的WAF未知攻击防御方法。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供一种基于站点自学习的WAF未知攻击防御方法,该方法为:将采集能够正常访问的URL生成POST类信息日志和GET类信息日志;对于待检测的URL,判断该URL的请求方式,当该URL的请求方式为GET且该URL的 URL头是不存在于GET类信息日志中时,确定该URL为攻击源;当该URL的请求方式为POST且该URL的 URL头是不存在于POST类信息日志中时,确定该URL为攻击源。
上述方案中,所述将采集能够正常访问的URL生成POST类信息日志和GET类信息日志,具体为:第一终端连续对第二终端发来的HTTP请求的URL进行收集并且判断其合法性,之后存储到数据库;从所述数据库中提取能够正常访问的URL,将请求方式为POST的URL分为POST类,将请求方式为GET的URL分为GET类,再分别对POST类和GET类所包含的URL进行解析统计,生成POST类信息日志和GET类信息日志。
上述方案中,对于所述POST类或者GET类中的每个URL确定不带参数时,记录URL头。
上述方案中,对于所述POST类或者GET类中的每个URL确定带参数时,将URL头相同的URL归为一类,再判断多个URL分类中是否包含变量名相同的参数。
上述方案中,若多个URL分类中包含变量名相同的参数,则将该参数标记为必要参数;进一步判断该必要参数的参数类型,若该参数对应的参数类型为数字,则统计所有URL中该参数对应的所有数据组成的数字范围,将该数字范围作为标准范围;若该变量对应的参数类型为字符串,则统计所有URL中该参数对应的所有字符串中最长字符串的长度,将该最长的字符串长度作为标准长度,其中对于其余参数,统计其参数名、参数类型、参数个数,且当参数类型为数字时统计参数范围。
上述方案中,若多个URL分类中不包含变量名相同的参数,对每个URL分类统计其参数名、参数类型、参数个数;当所述参数类型为数字时统计参数范围,当所述参数类型为字符串时统计字符串长度。
上述方案中,所述当该URL的请求方式为POST且该URL的 URL头是不存在于POST类信息日志中时,确定该URL为攻击源,具体为:对于每个未知的URL,判断该URL的请求方式,根据确定的请求方式判断该URL的 URL头存在于对应分类的信息日志,在判断肯定的情况下依次进行如下判断,判断该URL对应的参数的变量名是否属于信息日志中,如果属于且参数是数字,判断这些参数的范围是否属于信息日志中的参数范围;若参数是字符串,判断该字符串的长度是否属于信息日志中最长字符串;若以上判断均满足,则认为该URL是安全的,否则认为是攻击源。
上述方案中,如果信息日志中该URL对应的参数中还包括必要参数,则判断该URL对应的参数中是否含有必要参数。
与现有技术相比,本发明的有益效果:
本发明通过学习积累的方式,防御了未知的攻击,弥补了传统防御方法的不足。
附图说明
图1为本发明实施例1提供一种基于站点自学习的WAF未知攻击防御方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种基于站点自学习的WAF未知攻击防御方法,该方法为:
将采集能够正常访问的URL生成POST类信息日志和GET类信息日志;对于待检测的URL,判断该URL的请求方式,当该URL的请求方式为GET且该URL的 URL头是不存在于GET类信息日志中时,确定该URL为攻击源;当该URL的请求方式为POST且该URL的 URL头是不存在于POST类信息日志中时,确定该URL为攻击源。
所述将采集能够正常访问的URL生成POST类信息日志和GET类信息日志,具体为:第一终端连续对第二终端发来的HTTP请求的URL进行收集并且判断其合法性,之后存储到数据库;从所述数据库中提取能够正常访问的URL,将请求方式为POST的URL分为POST类,将请求方式为GET的URL分为GET类,再分别对POST类和GET类所包含的URL进行解析统计,生成POST类信息日志和GET类信息日志。
对于所述POST类或者GET类中的每个URL确定不带参数时,记录URL头。
对于所述POST类或者GET类中的每个URL确定带参数时,将URL头相同的URL归为一类,再判断多个URL分类中是否包含变量名相同的参数。
若多个URL分类中包含变量名相同的参数,则将该参数标记为必要参数;进一步判断该必要参数的参数类型,若该参数对应的参数类型为数字,则统计所有URL中该参数对应的所有数据组成的数字范围,将该数字范围作为标准范围;若该变量对应的参数类型为字符串,则统计所有URL中该参数对应的所有字符串中最长字符串的长度,将该最长的字符串长度作为标准长度,其中对于其余参数,统计其参数名、参数类型、参数个数,且当参数类型为数字时统计参数范围。
若多个URL分类中不包含变量名相同的参数,对每个URL分类统计其参数名、参数类型、参数个数;当所述参数类型为数字时统计参数范围,当所述参数类型为字符串时统计字符串长度。
若URL头对应一个URL,则其参数名、参数类型、参数个数,且当参数类型为数字时统计参数范围,当参数类型为字符串时统计字符串长度;
所述当该URL的请求方式为POST且该URL的 URL头是不存在于POST类信息日志中时,确定该URL为攻击源,具体为:对于每个未知的URL,判断该URL的请求方式,根据确定的请求方式判断该URL的 URL头存在于对应分类的信息日志,在判断肯定的情况下依次进行如下判断,判断该URL对应的参数的变量名是否属于信息日志中,如果属于且参数是数字,判断这些参数的范围是否属于信息日志中的参数范围;若参数是字符串,判断该字符串的长度是否属于信息日志中最长字符串;若以上判断均满足,则认为该URL是安全的,否则认为是攻击源。
如果信息日志中该URL对应的参数中还包括必要参数,则判断该URL对应的参数中是否含有必要参数。
实施例1:
本发明实施例提供一种基于站点自学习的WAF未知攻击防御方法,如图1所示,该方法通过以下步骤实现:
(1)收集URL:假设收集了其中相同URL的三条信息如下:
10.0.1.1/main.php
Figure DEST_PATH_IMAGE001
a=1&b=0
10.0.1.1/main.php
Figure 250561DEST_PATH_IMAGE001
a=3&b=4
10.0.1.1/main.php
Figure 105384DEST_PATH_IMAGE001
a=9&c=7
(2)分类、整理:
URL head:10.0.1.1/main.php
请求方法:GET
参数个数:2(a,(b|c))
参数类型:NUMBER
参数范围: a=1-9;
a=0-4;
c=7;
对于参数个数,不仅对参数的个数进行了总结,还对参数变量名进行总结,如例中这条URL后有两个参数,第一个一定是a,第二个可以是b也可以是c;
(3)生成规则:
10.0.1.1/main.php
Figure 885122DEST_PATH_IMAGE001
a=[1-9]&(b=[0-4]|c=[7])
(4)防御未知攻击:
GET 10.0.1.1/main.php
Figure 218014DEST_PATH_IMAGE001
a=1&b=2&c=3 参数个数不符 DROP
GET 10.0.1.1/main.php
Figure 32386DEST_PATH_IMAGE001
a=1&d=9 参数变量名不符 DROP
GET 10.0.1.1/main.php
Figure 792532DEST_PATH_IMAGE001
a=1&b=“dhsh” 参数类型不符 DROP
GET 10.0.1.1/main.php
Figure 997248DEST_PATH_IMAGE001
a=1&b=20000 参数范围不符 DROP
以上几条URL请求时,先与规则进行匹配,发现不相符,就会被阻挡,预防了未知攻击。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (8)

1.一种基于站点自学习的WAF未知攻击防御方法,其特征在于,该方法为:
将采集能够正常访问的URL生成POST类信息日志和GET类信息日志;对于待检测的URL,判断该URL的请求方式,当该URL的请求方式为GET且该URL的 URL头是不存在于GET类信息日志中时,确定该URL为攻击源;当该URL的请求方式为POST且该URL的 URL头是不存在于POST类信息日志中时,确定该URL为攻击源。
2.根据权利要求1所述的基于站点自学习的WAF未知攻击防御方法,其特征在于,所述将采集能够正常访问的URL生成POST类信息日志和GET类信息日志,具体为:第一终端连续对第二终端发来的HTTP请求的URL进行收集并且判断其合法性,之后存储到数据库;从所述数据库中提取能够正常访问的URL,将请求方式为POST的URL分为POST类,将请求方式为GET的URL分为GET类,再分别对POST类和GET类所包含的URL进行解析统计,生成POST类信息日志和GET类信息日志。
3.根据权利要求2所述的基于站点自学习的WAF未知攻击防御方法,其特征在于,对于所述POST类或者GET类中的每个URL确定不带参数时,记录URL头。
4.根据权利要求2所述的基于站点自学习的WAF未知攻击防御方法,其特征在于,对于所述POST类或者GET类中的每个URL确定带参数时,将URL头相同的URL归为一类,再判断多个URL分类中是否包含变量名相同的参数。
5.根据权利要求4所述的基于站点自学习的WAF未知攻击防御方法,其特征在于,若多个URL分类中包含变量名相同的参数,则将该参数标记为必要参数;进一步判断该必要参数的参数类型,若该参数对应的参数类型为数字,则统计所有URL中该参数对应的所有数据组成的数字范围,将该数字范围作为标准范围;若该变量对应的参数类型为字符串,则统计所有URL中该参数对应的所有字符串中最长字符串的长度,将该最长的字符串长度作为标准长度,其中对于其余参数,统计其参数名、参数类型、参数个数,且当参数类型为数字时统计参数范围。
6.根据权利要求5所述的基于站点自学习的WAF未知攻击防御方法,其特征在于,若多个URL分类中不包含变量名相同的参数,对每个URL分类统计其参数名、参数类型、参数个数;当所述参数类型为数字时统计参数范围,当所述参数类型为字符串时统计字符串长度。
7.根据权利要求1所述的基于站点自学习的WAF未知攻击防御方法,其特征在于,所述当该URL的请求方式为POST且该URL的 URL头是不存在于POST类信息日志中时,确定该URL为攻击源,具体为:对于每个未知的URL,判断该URL的请求方式,根据确定的请求方式判断该URL的 URL头存在于对应分类的信息日志,在判断肯定的情况下依次进行如下判断,判断该URL对应的参数的变量名是否属于信息日志中,如果属于且参数是数字,判断这些参数的范围是否属于信息日志中的参数范围;若参数是字符串,判断该字符串的长度是否属于信息日志中最长字符串;若以上判断均满足,则认为该URL是安全的,否则认为是攻击源。
8.根据权利要求7所述的基于站点自学习的WAF未知攻击防御方法,其特征在于,如果信息日志中该URL对应的参数中还包括必要参数,则判断该URL对应的参数中是否含有必要参数。
CN201710670569.2A 2017-08-08 2017-08-08 基于站点自学习的waf未知攻击防御方法 Active CN108055227B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710670569.2A CN108055227B (zh) 2017-08-08 2017-08-08 基于站点自学习的waf未知攻击防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710670569.2A CN108055227B (zh) 2017-08-08 2017-08-08 基于站点自学习的waf未知攻击防御方法

Publications (2)

Publication Number Publication Date
CN108055227A CN108055227A (zh) 2018-05-18
CN108055227B true CN108055227B (zh) 2020-10-20

Family

ID=62118574

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710670569.2A Active CN108055227B (zh) 2017-08-08 2017-08-08 基于站点自学习的waf未知攻击防御方法

Country Status (1)

Country Link
CN (1) CN108055227B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109684299A (zh) * 2018-11-20 2019-04-26 远江盛邦(北京)网络安全科技股份有限公司 基于自学习建模的web防护方法
CN110012010B (zh) * 2019-04-03 2021-09-17 杭州汉领信息科技有限公司 一种基于目标站点自学习建模的waf防御方法
CN111835737B (zh) * 2020-06-29 2024-04-02 中国平安财产保险股份有限公司 基于自动学习的web攻击防护方法、及其相关设备
CN112235248B (zh) * 2020-09-17 2023-04-21 杭州安恒信息技术股份有限公司 一种Web应用防火墙防护站点收集方法、装置和电子装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571786A (zh) * 2011-12-30 2012-07-11 深信服网络科技(深圳)有限公司 防火墙中多个安全模块之间联动防御的方法及防火墙
CN106230863A (zh) * 2016-09-19 2016-12-14 成都知道创宇信息技术有限公司 一种基于WAF的ReDoS攻击检测方法
CN106790292A (zh) * 2017-03-13 2017-05-31 摩贝(上海)生物科技有限公司 基于行为特征匹配和分析的web应用层攻击检测与防御方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7877784B2 (en) * 2007-06-07 2011-01-25 Alcatel Lucent Verifying authenticity of webpages

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571786A (zh) * 2011-12-30 2012-07-11 深信服网络科技(深圳)有限公司 防火墙中多个安全模块之间联动防御的方法及防火墙
CN106230863A (zh) * 2016-09-19 2016-12-14 成都知道创宇信息技术有限公司 一种基于WAF的ReDoS攻击检测方法
CN106790292A (zh) * 2017-03-13 2017-05-31 摩贝(上海)生物科技有限公司 基于行为特征匹配和分析的web应用层攻击检测与防御方法

Also Published As

Publication number Publication date
CN108055227A (zh) 2018-05-18

Similar Documents

Publication Publication Date Title
Fontugne et al. Mawilab: combining diverse anomaly detectors for automated anomaly labeling and performance benchmarking
CN108055227B (zh) 基于站点自学习的waf未知攻击防御方法
CN108768883B (zh) 一种网络流量识别方法及装置
CN106357618B (zh) 一种Web异常检测方法和装置
CN111988285A (zh) 一种基于行为画像的网络攻击溯源方法
CN107395590A (zh) 一种基于pca和随机森林分类的入侵检测方法
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
CN108595655B (zh) 一种基于会话特征相似性模糊聚类的异常用户检测方法
US10187412B2 (en) Robust representation of network traffic for detecting malware variations
CN108833139B (zh) 一种基于类别属性划分的ossec报警数据聚合方法
CN102420723A (zh) 一种面向多类入侵的异常检测方法
CN107370752B (zh) 一种高效的远控木马检测方法
CN105577679A (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
Zhang et al. Proword: An unsupervised approach to protocol feature word extraction
CN105809190A (zh) 一种基于特征选取的svm级联分类器方法
CN107145779B (zh) 一种离线恶意软件日志的识别方法和装置
CN108023868B (zh) 恶意资源地址检测方法和装置
Cresci et al. A Fake Follower Story: improving fake accounts detection on Twitter
CN113645182B (zh) 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法
CN107209834A (zh) 恶意通信模式提取装置、恶意通信模式提取***、恶意通信模式提取方法及恶意通信模式提取程序
CN117081858B (zh) 一种基于多决策树入侵行为检测方法、***、设备及介质
CN110020161B (zh) 数据处理方法、日志处理方法和终端
CN106603538A (zh) 一种入侵检测方法及***
CN109728977B (zh) Jap匿名流量检测方法及***
CN107493275A (zh) 异构网络安全日志信息的自适应提取和分析方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Defense method of WAF unknown attack based on site self-learning

Effective date of registration: 20211129

Granted publication date: 20201020

Pledgee: Xi'an investment and financing Company limited by guarantee

Pledgor: XI'AN JIAOTONG UNIVERSITY JUMP NETWORK TECHNOLOGY Co.,Ltd.

Registration number: Y2021610000368

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20231225

Granted publication date: 20201020

Pledgee: Xi'an investment and financing Company limited by guarantee

Pledgor: XI'AN JIAOTONG UNIVERSITY JUMP NETWORK TECHNOLOGY Co.,Ltd.

Registration number: Y2021610000368

PC01 Cancellation of the registration of the contract for pledge of patent right