CN109981608A - 基于Web的网络安全入侵检测***和方法 - Google Patents

Abstract

本发明公开了基于Web的网络安全入侵检测***和方法，涉及网络安全技术领域。本发明包括特征检测单元和异常检测单元；特征检测单元包括审查日志数据库、检测控制台、特征检测器、防火墙；审查日志数据库分别通过信息数据传输模块与检测控制台和特征检测器相连，特征检测器与防火墙相连；特征检测器中设置有规则集；异常检测单元包括训练控制台、异常检测器、异常模板、请求历史数据库；训练控制台分别通过信息数据传输模块与异常检测器和异常模板相连，异常检测器连接请求历史数据库；异常检测器中设置有若干模型。本发明解决了Web入侵检测效率低、***漏报率高、误报率高的问题。

Description

基于Web的网络安全入侵检测***和方法

技术领域

本发明属于网络安全技术领域，特别是涉及基于Web的网络安全入侵检测***及基于Web的网络安全入侵检测方法。

背景技术

随着互联网的飞速发展，人们足不出户就可以享受各种服务，Web从出现之日起，就显现出惊人的发展速度，进入21世纪以后，Web应用呈现***式的增长，不仅大型组织、机构、企业等拥有自己的门户网站，就连个人也可以拥有自己的主页，依靠Web发布信息，浏览新闻、购物消费已经成为人们日常生活司空见惯的行为。虽然Web技术发展已经很成熟，但是依然存在不安全的一面，针对Web的攻击行为越来越多，人们的隐私、账户等信息随时可能遭受泄露和窃取的威胁。

现有的技术中采用单一的机遇特征的Web入侵检测技术或单一的机遇异常的Web入侵检测技术，但是两者都各自存在优势和不足；基于特征的Web入侵检测可以识别已知攻击，但是不能检测未知攻击，需要及时更新特征库，***漏报率高、误报率低；基于异常的Web入侵检测技术起步较晚，发展不成熟、存在漏报率低、误报率高的问题；因此针对以上问题提供一种基于Web的网络安全入侵检测***和方法具有重要意义。

发明内容

本发明的目的在于提供基于Web的网络安全入侵检测***和方法，通过提供相互交互的特征检测单元和异常检测单元，特征检测单元内设置有审计日志数据库、特征检测器、检测控制台；异常检测单元内设置有训练控制台、异常检测器、请求历史数据库、异常模板；特征检测器与Web服务器相连，特征检测单元判断Web请求特征与内部规则是否匹配，异常检测单元按照训练出的检测模板对Web请求进行异常检测，发现攻击行为后想特征检测单元发送一条指令，指令采取相应的动作并执行；检测控制台将接收检测日志并以图表的方式呈现给安全管理端的安全管理员进行分析和管理，解决了Web入侵检测效率低、***漏报率高、误报率高的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明的基于Web的网络安全入侵检测***，包括特征检测单元和异常检测单元；

所述特征检测单元包括审查日志数据库、检测控制台、特征检测器、防火墙；所述审查日志数据库分别通过信息数据传输模块与检测控制台和特征检测器相连，所述特征检测器与防火墙相连；所述特征检测器中设置有规则集；

所述异常检测单元包括训练控制台、异常检测器、异常模板、请求历史数据库；所述训练控制台分别通过信息数据传输模块与异常检测器和异常模板相连，所述异常检测器连接请求历史数据库；所述异常检测器中设置有若干模型；

所述特征检测单元中的防火墙与用户/攻击端网络连接，所述特征检测器与Web服务器交互连接，并向所述请求历史数据库发布Web请求；所述检测控制台与安全管理端相连。

进一步地，所述用户/攻击端为普通用户端或用于测试Web入侵检测***检测攻击能力的模拟攻击端，所述模拟攻击端采用Web渗透测试工具；

所述Web服务器用于部署各种Web应用，为被攻击对象；所述Web服务器采用Apache服务器；

所述特征检测单元用于检测各种已知和易于提取特征的攻击，并从已知攻击中提取特征，形成对应的匹配规则，所述特征检测单元为Apache的扩展单元集成于Web服务器上；

所述异常检测单元为基于学习的Web入侵检测子单元，所述异常检测单元从大量正常的Web访问数据中建立HTTP请求报文的正常访问模型，根据所建模型对新的Web访问判断是否含有攻击行为。

进一步地，所述特征检测单元中的特征检测器包括生成器、匹配器、动作器、规则集、翻译器、扩展接口、规则引擎；所述生成器中设置有变换函数和内容捕获；

所述审计日志数据库包括持久存储、日志、规则文件。

基于Web的网络安全入侵检测方法，包括如下步骤：

S01：所述用户/攻击端发往Web服务器的请求被特征检测单元拦截；

S02：所述特征检测单元将Web请求特征与其内部规则匹配；

S03：判断所述Web请求的特征与内部规则是否匹配；

若是，则认定该请求为一个攻击行为并执行该规则所对应的动作，包括阻断、丢弃、重定向、允许后结束；

若否，则进行下一步骤；

S04：将该请求发送至异常检测单元；

S05：所述异常检测单元按照训练出来的检测模型对Web请求进行异常检测，若发现攻击行为，则向特征检测单元发送一条指令，指令其采取相应的动作，特征检测单元接收到指令后执行该动作；

S06：所述控制台接收Web服务器以及各检测单元的日志，以图形化的方式呈现给安全管理端的安全管理员。

进一步地，所述步骤S03中特征检测单元判断Web请求特征与内部规则是否匹配的方法包括特征检测单元***初始化阶段的方法和请求处理阶段的方法；

所述***初始化阶段的方法包括以下步骤：

T01：加载模块，读取指令数组，建立指令哈希表；

T02：读取配置文件中的规则，建立配置树；

T03：通过Apache的钩子函数，家里规则引擎，生成翻译规则所需的元数据信息；

T04：遍历配置树，查询指令哈希表，使用规则引擎翻译规则，生成每个处理阶段的规则集；

所述请求处理阶段的方法包括以下步骤：

P01：所述生成器从Web请求汇总获取数据生成检测目标变量，如果需要还要对目标变量做某些变换，从中捕获信息以供后续步骤使用；

P02：所述匹配器将目标变量和预定义的模式进行匹配；

P03：如果匹配成功，所述动作器对Web请求执行预定义的动作，包括阻止、重定向、允许动作；

P04：在钩子函数执行过程中，向磁盘写入审计日志和调试日志，并利用持久存储机制保存跨请求的状态信息，实现有状态的请求处理。

本发明具有以下有益效果：

本发明通过提供相互交互的特征检测单元和异常检测单元，特征检测单元内设置有审计日志数据库、特征检测器、检测控制台；异常检测单元内设置有训练控制台、异常检测器、请求历史数据库、异常模板；特征检测器与Web服务器相连，特征检测单元判断Web请求特征与内部规则是否匹配，异常检测单元按照训练出的检测模板对Web请求进行异常检测，发现攻击行为后想特征检测单元发送一条指令，指令采取相应的动作并执行；检测控制台将接收检测日志并以图表的方式呈现给安全管理端的安全管理员进行分析和管理，具有Web入侵检测效率高、***漏报率低、误报率低的优点。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的基于Web的网络安全入侵检测***的结构示意图；

图2本发明的特征检测单元的结构示意图；

图3本发明的基于Web的网络安全入侵检测方法的步骤示意图；

图4本发明的特征检测单元的***化初始阶段的方法步骤示意图；

图5本发明的特征检测单元的请求处理阶段的方法步骤示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明的基于Web的网络安全入侵检测***，包括特征检测单元和异常检测单元；

特征检测单元包括审查日志数据库、检测控制台、特征检测器、防火墙；审查日志数据库分别通过信息数据传输模块与检测控制台和特征检测器相连，特征检测器与防火墙相连；特征检测器中设置有规则集；

异常检测单元包括训练控制台、异常检测器、异常模板、请求历史数据库；训练控制台分别通过信息数据传输模块与异常检测器和异常模板相连，异常检测器连接请求历史数据库；异常检测器中设置有若干模型；

特征检测单元中的防火墙与用户/攻击端网络连接，特征检测器与Web服务器交互连接，并向请求历史数据库发布Web请求；检测控制台与安全管理端相连。

其中，用户/攻击端为普通用户端或用于测试Web入侵检测***检测攻击能力的模拟攻击端，模拟攻击端采用Web渗透测试工具，包括Burp Suite和Metasploit；

Web服务器用于部署各种Web应用，为被攻击对象；Web服务器采用Apache服务器；

特征检测单元用于检测各种已知和易于提取特征的攻击，如XSS攻击和SQL注入，并从已知攻击中提取特征，形成对应的匹配规则，特征检测单元为Apache的扩展单元集成于Web服务器上，有效降低入侵检测对Web访问造成的延迟；

异常检测单元为基于学习的Web入侵检测子单元，异常检测单元从大量正常的Web访问数据中建立HTTP请求报文的正常访问模型，根据所建模型对新的Web访问判断是否含有攻击行为。

如图2所示，其中，特征检测单元中的特征检测器包括生成器、匹配器、动作器、规则集、翻译器、扩展接口、规则引擎；生成器中设置有变换函数和内容捕获；

审计日志数据库包括持久存储、日志、规则文件。

如图3所示，基于Web的网络安全入侵检测方法，包括如下步骤：

S01：用户/攻击端发往Web服务器的请求被特征检测单元拦截；

S02：特征检测单元将Web请求特征与其内部规则匹配；

S03：判断Web请求的特征与内部规则是否匹配；

若是，则认定该请求为一个攻击行为并执行该规则所对应的动作，包括阻断、丢弃、重定向、允许后结束；

若否，则进行下一步骤；

S04：将该请求发送至异常检测单元；

S05：异常检测单元按照训练出来的检测模型对Web请求进行异常检测，若发现攻击行为，则向特征检测单元发送一条指令，指令其采取相应的动作，特征检测单元接收到指令后执行该动作；

S06：控制台接收Web服务器以及各检测单元的日志，以图形化的方式呈现给安全管理端的安全管理员，方便进行管理和分析。

其中，步骤S03中特征检测单元判断Web请求特征与内部规则是否匹配的方法包括特征检测单元***初始化阶段的方法和请求处理阶段的方法；

如图4所示，***初始化阶段的方法包括以下步骤：

T01：加载模块，读取指令数组，建立指令哈希表；

T02：读取配置文件中的规则，建立配置树；

T03：通过Apache的钩子函数，家里规则引擎，生成翻译规则所需的元数据信息；

T04：遍历配置树，查询指令哈希表，使用规则引擎翻译规则，生成每个处理阶段的规则集；

如图5所示，请求处理阶段的方法包括以下步骤：

P01：生成器从Web请求汇总获取数据生成检测目标变量，如果需要还要对目标变量做某些变换，从中捕获信息以供后续步骤使用；

P02：匹配器将目标变量和预定义的模式进行匹配；

P03：如果匹配成功，动作器对Web请求执行预定义的动作，包括阻止、重定向、允许动作；

P04：在钩子函数执行过程中，向磁盘写入审计日志和调试日志，并利用持久存储机制保存跨请求的状态信息，实现有状态的请求处理。

有益效果：

本发明通过提供相互交互的特征检测单元和异常检测单元，特征检测单元内设置有审计日志数据库、特征检测器、检测控制台；异常检测单元内设置有训练控制台、异常检测器、请求历史数据库、异常模板；特征检测器与Web服务器相连，特征检测单元判断Web请求特征与内部规则是否匹配，异常检测单元按照训练出的检测模板对Web请求进行异常检测，发现攻击行为后想特征检测单元发送一条指令，指令采取相应的动作并执行；检测控制台将接收检测日志并以图表的方式呈现给安全管理端的安全管理员进行分析和管理，具有Web入侵检测效率高、***漏报率低、误报率低的优点。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (5)

1.基于Web的网络安全入侵检测***，其特征在于：

包括特征检测单元和异常检测单元；

所述特征检测单元包括审查日志数据库、检测控制台、特征检测器、防火墙；所述审查日志数据库分别通过信息数据传输模块与检测控制台和特征检测器相连，所述特征检测器与防火墙相连；所述特征检测器中设置有规则集；

所述异常检测单元包括训练控制台、异常检测器、异常模板、请求历史数据库；所述训练控制台分别通过信息数据传输模块与异常检测器和异常模板相连，所述异常检测器连接请求历史数据库；所述异常检测器中设置有若干模型；

所述特征检测单元中的防火墙与用户/攻击端网络连接，所述特征检测器与Web服务器交互连接，并向所述请求历史数据库发布Web请求；所述检测控制台与安全管理端相连。

2.根据权利要求1所述的基于Web的网络安全入侵检测***，其特征在于，所述用户/攻击端为普通用户端或用于测试Web入侵检测***检测攻击能力的模拟攻击端，所述模拟攻击端采用Web渗透测试工具；

所述Web服务器用于部署各种Web应用，为被攻击对象；所述Web服务器采用Apache服务器；

所述特征检测单元用于检测各种已知和易于提取特征的攻击，并从已知攻击中提取特征，形成对应的匹配规则，所述特征检测单元为Apache的扩展单元集成于Web服务器上；

所述异常检测单元为基于学习的Web入侵检测子单元，所述异常检测单元从大量正常的Web访问数据中建立HTTP请求报文的正常访问模型，根据所建模型对新的Web访问判断是否含有攻击行为。

3.根据权利要求1所述的基于Web的网络安全入侵检测***，其特征在于，所述特征检测单元中的特征检测器包括生成器、匹配器、动作器、规则集、翻译器、扩展接口、规则引擎；所述生成器中设置有变换函数和内容捕获；

所述审计日志数据库包括持久存储、日志、规则文件。

4.如权利要求1-3任一项所述的基于Web的网络安全入侵检测方法，其特征在于，包括如下步骤：

S01：所述用户/攻击端发往Web服务器的请求被特征检测单元拦截；

S02：所述特征检测单元将Web请求特征与其内部规则匹配；

S03：判断所述Web请求的特征与内部规则是否匹配；

若是，则认定该请求为一个攻击行为并执行该规则所对应的动作，包括阻断、丢弃、重定向、允许后结束；

若否，则进行下一步骤；

S04：将该请求发送至异常检测单元；

S05：所述异常检测单元按照训练出来的检测模型对Web请求进行异常检测，若发现攻击行为，则向特征检测单元发送一条指令，指令其采取相应的动作，特征检测单元接收到指令后执行该动作；

S06：所述控制台接收Web服务器以及各检测单元的日志，以图形化的方式呈现给安全管理端的安全管理员。

5.根据权利要求4所述的基于Web的网络安全入侵检测方法，其特征在于，所述步骤S03中特征检测单元判断Web请求特征与内部规则是否匹配的方法包括特征检测单元***初始化阶段的方法和请求处理阶段的方法；

所述***初始化阶段的方法包括以下步骤：

T01：加载模块，读取指令数组，建立指令哈希表；

T02：读取配置文件中的规则，建立配置树；

T03：通过Apache的钩子函数，家里规则引擎，生成翻译规则所需的元数据信息；

T04：遍历配置树，查询指令哈希表，使用规则引擎翻译规则，生成每个处理阶段的规则集；

所述请求处理阶段的方法包括以下步骤：

P01：所述生成器从Web请求汇总获取数据生成检测目标变量，如果需要还要对目标变量做某些变换，从中捕获信息以供后续步骤使用；

P02：所述匹配器将目标变量和预定义的模式进行匹配；

P03：如果匹配成功，所述动作器对Web请求执行预定义的动作，包括阻止、重定向、允许动作；

P04：在钩子函数执行过程中，向磁盘写入审计日志和调试日志，并利用持久存储机制保存跨请求的状态信息，实现有状态的请求处理。