收藏
下载资源 加入会员免费下载

根据攻击日志调整命中特征的方法和装置.pdf

上传人:1520****312 文档编号:6189715 上传时间:2019-05-18 格式:PDF 页数:17 大小:2.23MB
返回 下载 相关 举报
摘要
申请专利号:

CN201310516168.3

 申请日:

2013.10.28
公开号:

CN103581180A

 公开日:

2014.02.12
当前法律状态:

授权

 有效性:

有权
法律详情:

授权|||实质审查的生效IPC(主分类):H04L 29/06申请日:20131028|||公开
IPC分类号:

H04L29/06; G06F21/55(2013.01)I

 主分类号:

H04L29/06
申请人:

深信服网络科技(深圳)有限公司
发明人:

周欣
地址:

518000 广东省深圳市南山区麒麟路1号南山科技创业服务中心418、419
优先权:

专利代理机构:

深圳市世纪恒程知识产权代理事务所 44287

 代理人:

胡海国
PDF下载: PDF下载
内容摘要

本发明涉及一种根据攻击日志调整命中特征的方法和装置,终端攻击被保护的web服务器时,终端的IP地址会在一定时间范围内命中多条命中特征,且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址且与该命中特征匹配时,不进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则,在不降低防御效果的前提下减少误报。

权利要求书

权利要求书
1.  一种根据攻击日志调整命中特征的方法,其特征在于,包括:
获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
若提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。

2.  根据权利要求1所述的方法,其特征在于,若提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量的步骤之后,还包括:
若确定的攻击日志的数量小于第一预设阈值大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,在所述命中特征中同时排除所述IP地址以及对应的目标网址。

3.  根据权利要求1所述的方法,其特征在于,该方法还包括:
获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;
若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;
若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。

4.  根据权利要求3所述的方法,其特征在于,所述确定获取到的攻击日志中不同IP地址的数量的步骤之后,该方法还包括:
若确定的不同IP地址的数量小于第三预设阈值大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。

5.  根据权利要求1所述的方法,其特征在于,所述确定获取到的攻击日志的数量的步骤之后该方法还包括:
若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,且所述IP地址为内网地址,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。

6.  一种根据攻击日志调整命中特征的装置,其特征在于,包括:
获取模块,用于获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
确定模块,若提取到的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
控制模块,若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。

7.  根据权利要求6所述的装置,其特征在于,所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。

8.  根据权利要求6所述的装置,其特征在于,所述获取模块还用于获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;所述确定模块还用于若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;所述控制模块还用于若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。

9.  根据权利要求8所述的装置,其特征在于,所述控制模块还用于若确定的不同IP地址的数量小于第三预设阈值且大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取 到的攻击日志中的目标网址。

10.  根据权利要求6所述的装置,其特征在于,所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。

说明书

说明书根据攻击日志调整命中特征的方法和装置
技术领域
本发明涉及通信技术领域,尤其涉及一种根据攻击日志调整命中特征的方法和装置。
背景技术
基于Web网站攻击的防御,可以采用web应用防火墙(WAF)进行防御。Web应用防火墙都内置了一个规则库,提取了各种攻击web网站常见的攻击特征,当报文通过web防火墙时,检测引擎通过和预先定义的特征做对比,检测提交到web服务器的报文是否存在攻击。内置规则库会根据规则的复杂、严重程度,每条规则设定一个缺省的动作。如果匹配某个规则,WAF防火墙会根据规则的缺省动作决定如何进一步处理报文。
由于网络报文的复杂性和多样性,用户网络实现环境各不相同,规则误报不可避免,不同的规则在不同的用户处使用,也会触发不同的效果,有的可能是真正攻击,有的可能就是误报。比如针对一个目录穿越攻击,某个规则是识别目录穿越攻击,规则是URL中存在“../”等关键字,一般情况下,如果URL中存在这类关键字,都是黑客尝试使用目录穿越攻击。但是在实际情况中,有的网站中在参数中包含“../”参数来实现不同路径间文件访问:在这种情况下,该规则针对该用户网站就会触发误报。
正因为用户web网站实现差异很大,规则的配置也很难有完全通用统一的标准,只能根据具体网站进行调整,常规的做法一般为将WAF设备放到实际环境中,测试一段时间如1到2周,然后人工分析攻击日志,找出哪些规则在用户网站环境下是误报,然后人工调整规则状态,避免影响用户的正常使用。
这种方法,缺点非常明显:人工分析日志,效率很低,一方面需要投入较多人力进行日志分析,另外一方面对日志分析人员也有一定技能要求,需要对攻击比较熟悉,才能给出正确分析结果,所以对人力和技能要求都比较 高,整体投入较大。特征的调整无法做到精细化,如果出现误报,一般就是打开或者关闭该规则,某个规则可能只是针对某个URL和IP地址不适用,但是其它环境还是适用的,直接关闭某个规则可能会降低防御效果。
发明内容
本发明的主要目的是提供一种根据攻击日志调整命中特征的方法和装置,旨在不降低防御效果的前提下减少误报。
本发明提出一种根据攻击日志调整命中特征的方法,包括:
获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
若提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
优选地,提取到的攻击日志中的目标网址相同且命中特征相同,确定获取到的攻击日志的数量的步骤之后,还包括:
若确定的攻击日志的数量小于第一预设阈值大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,在所述命中特征中同时排除所述IP地址以及对应的目标网址。
优选地,该方法还包括:
获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;
若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;
若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
优选地,所述确定获取到的攻击日志中不同IP地址的数量的步骤之后,该方法还包括:
若确定的不同IP地址的数量小于第三预设阈值大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中 排除获取到的攻击日志中的目标网址。
优选地,所述确定获取到的攻击日志的数量的步骤之后该方法还包括:
若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,且所述IP地址为内网地址,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
本发明还提出一种根据攻击日志调整命中特征的装置,包括:
获取模块,用于获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
确定模块,若提取到的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
控制模块,若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
优选地,所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
优选地,所述获取模块还用于获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;所述确定模块还用于若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;所述控制模块还用于若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
优选地,所述控制模块还用于若确定的不同IP地址的数量小于第三预设阈值且大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。
优选地,所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
本发明提出的根据攻击日志调整命中特征的方法和装置,终端在攻击被保护的web服务器时,该终端的IP地址会在一定时间范围内命中多条命中特 征,并且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址并且与该命中特征匹配时,不会进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则在不降低防御效果的前提下减少误报。
附图说明
图1为本发明根据攻击日志调整命中特征的方法第一实施例的流程示意图;
图2为本发明根据攻击日志调整命中特征的方法第二实施例的流程示意图;
图3为本发明根据攻击日志调整命中特征的方法第三实施例的流程示意图;
图4为本发明根据攻击日志调整命中特征的方法第四实施例的流程示意图;
图5为本发明根据攻击日志调整命中特征的方法第五实施例的流程示意图;
图6为本发明根据攻击日志调整命中特征的装置较佳实施例的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面结合附图及具体实施例就本发明的技术方案做进一步的说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明根据攻击日志调整命中特征的方法第一实施例的流程示意图。
本实施例提出一种根据攻击日志调整命中特征的方法,包括:
步骤S10,获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
攻击日志中包括IP地址、命中特征、目标网址、攻击时间以及攻击负载等信息,在本实施例中IP地址指源IP地址,可根据攻击日志中的攻击时间和IP地址获取第一时间间隔内同一IP地址的攻击日志,该第一时间间隔可由用户进行设置,如1天。在本实施例中,指web应用防火墙为识别各种攻击,设置一个规则库,保存了各种常见的攻击代码特征,该攻击代码特征即为命中特征,若web服务器接收到的报文中的代码与预存的攻击代码特征匹配,则认为该报文为攻击报文,根据预存的攻击代码特征与攻击报文处理方案的映射关系对攻击报文进行处理,如拦截。
步骤S20,若提取到的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
步骤S30,判断确定的攻击日志的数量是否大于或等于第一预设阈值;
步骤S40,若确定的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
黑客在发起攻击时,都有一定的步骤,一般的步骤是收集信息,然后尝试各种不同的攻击方式如注入结构化查询语言以及或插入恶意html代码,则攻击终端的IP地址则可在一定的时间范围内与多个命中特征匹配,则在第一时间间隔内每个命中特征所对应的攻击日志较少。若第一时间间隔内获取到的同一IP地址的各个攻击日志中的目标网址相同且命中特征相同,并且同一IP地址的攻击日志的数量大于第一预设阈值,则认为该IP地址对应的攻击日志中的目标网址时发送的报文为误报,在命中特征中排除所述IP地址以及对应的目标网址,则在下一次web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,并判断该解析后的报文中的目标网址以及终端的IP地址是否与命中特征中排除的目标网址和IP地址相同,若相同则不产生攻击日志且根据解析后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且对该报文进行拦截或其它处理。
本实施例提出的根据攻击日志调整命中特征的方法,终端在攻击被保护的web服务器时,该终端的IP地址会在一定时间范围内命中多条命中特征, 并且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址并且与该命中特征匹配时,不会进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则在不降低防御效果的前提下减少误报。
参照图2,图2为本发明根据攻击日志调整命中特征的方法第二实施例的流程示意图。
基于第一实施例提出本发明根据攻击日志调整命中特征的方法第二实施例,在本实施例中步骤S30之后还包括:
步骤S50,若确定的攻击日志的数量小于第一预设阈值,则判断确定的攻击日志的数量是否大于或等于第二预设阈值,其中所述第二预设阈值小于所述第一预设阀值;
步骤S60,若确定的攻击日志的数量大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍,在所述命中特征中同时排除所述IP地址以及对应的目标网址。
若确定的攻击日志的数量小于第一预设阈值则继续判断确定的攻击日志的数量是否大于或等于第二预设阈值,若确定的攻击日志的数量大于或等于第二预设阈值,则开始计时直至连续多个第一时间间隔内确定的攻击日志的数量均大于或等于第二预设阀值,其中持续时间超出第一时间间隔的预设整数倍,例如第一时间间隔为1天、第一预设阈值为10个预设整数倍为3倍即需要持续的时间为3天,则当持续3天每天同一IP地址所对应的各个攻击日志中目标网址相同且命中特征相同,且攻击日志的数量大于或等于10时,则认为该IP地址访问攻击日志中目标网址时所生成的攻击日志为误报,在命中特征中排除该IP地址以及对应的目标网址,即在下一次web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,则判断解析后的报文中的访问网址以及终端的IP地址是否与命中特征中排除的访问网址和IP地址相同,若相同则不产生攻击日志且根据该解析后的报文进行 相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。若确定的攻击日志的数量小于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍,不做任何处理。
参照图3,图3为本发明根据攻击日志调整命中特征的方法第三实施例的流程示意图。
基于第一实施例或第二实施例提出本发明根据攻击日志调整命中特征的方法第三实施例,在本实施例中该方法还包括:
步骤S70,获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;
步骤S80,若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;
步骤S90,判断确定的不同IP地址的数量是否大于或等于第三预设阈值;
步骤S100,若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
web攻击和病毒不同,病毒可自行传播定时发作,而基于web网站的攻击更多是需要人为控制的攻击行为,一个web网站每天不会受到多个IP地址发起的攻击,所以真正的web攻击,攻击的IP地址成收敛状态。故,若同一命中特征所对应的攻击日志目标网址相同,则确定攻击日志中不同IP地址的数量,若该不同IP地址的数量大于第三预设阀值时,则在所述命中特征中排除获取到的攻击日志中的目标网址,即web服务器在接收到终端发送的报文时,对接收到的报文进行解码,将解码后的报文与预存的命中特征进行比对,若解码后的报文与命中特征匹配,则确定该命中特征中是否排除目标网址,若该命中特征中排除目标网址,则判断解码后的报文中的目标网址是否与命中特征中排除的网址相同,若相同根据该解码后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
参照图4,图4为本发明根据攻击日志调整命中特征的方法第四实施例的流程示意图。
基于第三实施例提出本发明根据攻击日志调整命中特征的方法第四实施例,在本实施例中步骤S90之后还包括:
步骤S110,若确定的不同IP地址的数量小于第三预设阈值,则判断确定的不同IP地址的数量是否大于或等于第四预设阈值,其中所述第四阈值小于第三阈值;
步骤S120,若确定的不同IP地址的数量大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。
若获取到的同一命中特征所对应的攻击日志中的目标网址相同,且多个攻击日志终端的不同IP地址的数量小于第三预设阈值,则继续判断多个攻击日志中的不同IP地址的数量是否大于或等于第四预设阈值,若确定的多个攻击日志中的不同IP地址的数量大于或等于第四预设阈值,则开始计时直至预设的持续时长确定的多个攻击日志中的不同IP地址的数量均大于或等于第四预设阀值,其中持续时长超出第二时间间隔的预设整数倍,例如第一时间间隔为1天、第四预设阈值为10个预设整数倍为3倍即需要持续的时间为3天,则当持续3天每天同一命中特征所对应的攻击日志中的目标网址相同,且多个攻击日志终端的不同IP地址的数量大于或等于10,则认为该攻击日志中针对该目标网址的访问所生成的攻击日志为误报,在命中特征中排除该目标网址,即web服务器在接收到终端发送的报文时,对接收到的报文进行解码,将解码后的报文与预存的命中特征进行比对,若解码后的报文与命中特征匹配,则确定该命中特征中是否排除目标网址,若该命中特征中排除目标网址,则判断解码后的报文中的目标网址是否与命中特征中排除的网址相同,若相同根据该报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。若确定的不同IP地址的数量小于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍,不做任何处理。
参照图5,图5为本发明根据攻击日志调整命中特征的方法第五实施例的流程示意图。
基于上述任一实施例提出本发明根据攻击日志调整命中特征的方法第五实施例,在本实施例中,步骤S30之后还包括:
步骤S130,若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,且所述IP地址为内网地址,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
基于Web网站的攻击具有方向性,一般均为外网向内网发起攻击,即使是内部终端攻击内部Web服务器,但内部网络很容易发现攻击源。故基于Web网站的攻击,攻击发起方一般为外网的终端。在针对同一IP地址的攻击日志中,若多个攻击日志中的目标网址相同且命中特征相同且确定的攻击日志的数量小于第一预设阈值,则继续判断确定的攻击日志的数量是否大于或等于第五预设阈值,在本实施例中,第五预设阀值可由用户根据网络状况以及运行环境等参数进行设置,该第五预设阀值可与第二实施例中的第二预设阀值相同也可不同,若确定的攻击日志的数量大于或等于第五预设阈值,则判断该IP地址是否为内网IP地址,在判断IP地址是否为内网地址时,可在web服务器中预存内网地址,将该IP地址与预存的内网地址进行匹配,若该IP地址与预存的内网地址匹配,则在命中特征中排除该IP地址以及对应的目标网址,即在web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,判断解析后的报文中的访问网址以及终端的IP地址是否与命中特征中排除的访问网址和IP地址相同,若相同则不产生攻击日志且根据该解码后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
参照图6,图6为本发明根据攻击日志调整命中特征的装置较佳实施例的结构示意图。
本实施例提出一种根据攻击日志调整命中特征的装置,包括:
获取模块10,用于获取预设的第一时间间隔内同一IP地址的攻击日志,并提取获取到的攻击日志中的命中特征和目标网址;
确定模块20,若提取到的目标网址相同且命中特征相同,确定获取到的攻击日志的数量;
控制模块30,若获取到的攻击日志的数量大于或等于第一预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
攻击日志中包括IP地址、命中特征、目标网址、攻击时间以及攻击负载 等信息,在本实施例中IP地址指源IP地址,可根据攻击日志中的攻击时间和IP地址获取第一时间间隔内同一IP地址的攻击日志,该第一时间间隔可由用户进行设置,如1天。在本实施例中,指web应用防火墙为识别各种攻击,设置一个规则库,保存了各种常见的攻击代码特征,该攻击代码特征即为命中特征,若web服务器接收到的报文中的代码与预存的攻击代码特征匹配,则认为该报文为攻击报文,根据预存的攻击代码特征与攻击报文处理方案的映射关系对攻击报文进行处理,如拦截。
黑客在发起攻击时,都有一定的步骤,一般的步骤是收集信息,然后尝试各种不同的攻击方式如注入结构化查询语言以及或插入恶意html代码,则攻击终端的IP地址则可在一定的时间范围内与多个命中特征匹配,则在第一时间间隔内每个命中特征所对应的攻击日志较少。若第一时间间隔内获取到的同一IP地址的各个攻击日志中的目标网址相同且命中特征相同,并且同一IP地址的攻击日志的数量大于第一预设阈值,则认为该IP地址对应的攻击日志中的目标网址时发送的报文为误报,在命中特征中排除所述IP地址以及对应的目标网址,则在下一次web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,并判断该解析后的报文中的目标网址以及终端的IP地址是否与命中特征中排除的目标网址和IP地址相同,若相同则不产生攻击日志且根据解析后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且对该报文进行拦截或其它处理。
本实施例提出的根据攻击日志调整命中特征的装置,终端在攻击被保护的web服务器时,该终端的IP地址会在一定时间范围内命中多条命中特征,并且每条命中特征所对应的日志数量较少;故在第一时间间隔内同一IP地址的各个攻击日志中的命中特征相同以及目标网址相同,且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时,认为该IP地址在浏览该目标网址时被误报,则在命中特征中同时避免该IP地址和目标网址,以使该IP地址的终端在浏览该目标网址并且与该命中特征匹配时,不会进行拦截,但其他IP地址的终端在浏览该目标网址时,若与该命中特征匹配,则会被拦截且生成攻击日志,不用直接关闭某条规则在不降低防御效果的前提下减少误报。
进一步地,所述控制模块30还用于若确定的攻击日志的数量小于第一预 设阈值且大于或等于第二预设阈值,且在持续时间超出第一时间间隔的预设整数倍时,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
若确定的攻击日志的数量小于第一预设阈值则继续判断确定的攻击日志的数量是否大于或等于第二预设阈值,若确定的攻击日志的数量大于或等于第二预设阈值,则开始计时直至连续多个第一时间间隔内确定的攻击日志的数量均大于或等于第二预设阀值,其中持续时间超出第一时间间隔的预设整数倍,例如第一时间间隔为1天、第一预设阈值为10个预设整数倍为3倍即需要持续的时间为3天,则当持续3天每天同一IP地址所对应的各个攻击日志中目标网址相同且命中特征相同,且攻击日志的数量大于或等于10时,则认为该IP地址访问攻击日志中目标网址时所生成的攻击日志为误报,在命中特征中排除该IP地址以及对应的目标网址,即在下一次web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,则判断解析后的报文中的访问网址以及终端的IP地址是否与命中特征中排除的访问网址和IP地址相同,若相同则不产生攻击日志且根据该解析后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
进一步地,所述获取模块10还用于获取预设的第二时间间隔内同一命中特征的攻击日志,并提取所述攻击日志中的IP地址和目标网址;所述确定模块20还用于若获取到的攻击日志的目标网址相同,则确定获取到的攻击日志中不同IP地址的数量;所述控制模块30还用于若确定的不同IP地址的数量大于或等于第三预设阈值,则在所述命中特征中排除获取到的攻击日志中的目标网址。
web攻击和病毒不同,病毒可自行传播定时发作,而基于web网站的攻击更多是需要人为控制的攻击行为,一个web网站每天不会受到多个IP地址发起的攻击,所以真正的web攻击,攻击的IP地址成收敛状态。故,若同一命中特征所对应的攻击日志目标网址相同,则确定攻击日志中不同IP地址的数量,若该不同IP地址的数量大于第三预设阀值时,则在所述命中特征中排除获取到的攻击日志中的目标网址,即web服务器在接收到终端发送的报文时,对接收到的报文进行解码,将解码后的报文与预存的命中特征进行比对, 若解码后的报文与命中特征匹配,则确定该命中特征中是否排除目标网址,若该命中特征中排除目标网址,则判断解码后的报文中的目标网址是否与命中特征中排除的网址相同,若相同根据该解码后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
进一步地,所述控制模块30还用于若确定的不同IP地址的数量小于第三预设阈值且大于或等于第四预设阈值,且在持续时间超出第二时间间隔的预设整数倍时,则在所述命中特征中排除获取到的攻击日志中的目标网址。
若获取到的同一命中特征所对应的攻击日志中的目标网址相同,且多个攻击日志终端的不同IP地址的数量小于第三预设阈值,则继续判断多个攻击日志中的不同IP地址的数量是否大于或等于第四预设阈值,若确定的多个攻击日志中的不同IP地址的数量大于或等于第四预设阈值,则开始计时直至预设的持续时长确定的多个攻击日志中的不同IP地址的数量均大于或等于第四预设阀值,其中持续时长超出第二时间间隔的预设整数倍,例如第一时间间隔为1天、第四预设阈值为10个预设整数倍为3倍即需要持续的时间为3天,则当持续3天每天同一命中特征所对应的攻击日志中的目标网址相同,且多个攻击日志终端的不同IP地址的数量大于或等于10,则认为该攻击日志中针对该目标网址的访问所生成的攻击日志为误报,在命中特征中排除该目标网址,即web服务器在接收到终端发送的报文时,对接收到的报文进行解码,将解码后的报文与预存的命中特征进行比对,若解码后的报文与命中特征匹配,则确定该命中特征中是否排除目标网址,若该命中特征中排除目标网址,则判断解码后的报文中的目标网址是否与命中特征中排除的网址相同,若相同根据该报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
进一步地,所述控制模块30还用于若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值,则在所述命中特征中同时排除所述IP地址以及对应的目标网址。
基于Web网站的攻击具有方向性,一般均为外网向内网发起攻击,即使 是内部终端攻击内部Web服务器,但内部网络很容易发现攻击源。故基于Web网站的攻击,攻击发起方一般为外网的终端。在针对同一IP地址的攻击日志中,若多个攻击日志中的目标网址相同且命中特征相同且确定的攻击日志的数量小于第一预设阈值,则继续判断确定的攻击日志的数量是否大于或等于第五预设阈值,在本实施例中,第五预设阀值可由用户根据网络状况以及运行环境等参数进行设置,该第五预设阀值可与第二实施例中的第二预设阀值相同也可不同,若确定的攻击日志的数量是否大于或等于第五预设阈值,则判断该IP地址是否为内网IP地址,在判断IP地址是否为内网地址时,可在web服务器中预存内网地址,将该IP地址与预存的内网地址进行匹配,若该IP地址与预存的内网地址匹配,则在命中特征中排除该IP地址以及对应的目标网址,即在web服务器接收到终端发送的报文时,解析该报文并将该解析后的报文与该命中特征匹配,判断解析后的报文中的访问网址以及终端的IP地址是否与命中特征中排除的访问网址和IP地址相同,若相同则不产生攻击日志且根据该解码后的报文进行相应的处理如发送网页界面至该终端,若不同则产生攻击日志且不响应该报文或进行其它处理。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

根据攻击日志调整命中特征的方法和装置.pdf_第1页
第1页 / 共17页
根据攻击日志调整命中特征的方法和装置.pdf_第2页
第2页 / 共17页
根据攻击日志调整命中特征的方法和装置.pdf_第3页
第3页 / 共17页
点击查看更多>>
资源描述

《根据攻击日志调整命中特征的方法和装置.pdf》由会员分享,可在线阅读,更多相关《根据攻击日志调整命中特征的方法和装置.pdf(17页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 103581180 A (43)申请公布日 2014.02.12 CN 103581180 A (21)申请号 201310516168.3 (22)申请日 2013.10.28 H04L 29/06(2006.01) G06F 21/55(2013.01) (71)申请人 深信服网络科技 (深圳) 有限公司 地址 518000 广东省深圳市南山区麒麟路 1 号南山科技创业服务中心 418、 419 (72)发明人 周欣 (74)专利代理机构 深圳市世纪恒程知识产权代 理事务所 44287 代理人 胡海国 (54) 发明名称 根据攻击日志调整命中特征的方法和装置 (5。

2、7) 摘要 本发明涉及一种根据攻击日志调整命中特征 的方法和装置, 终端攻击被保护的 web 服务器时, 终端的 IP 地址会在一定时间范围内命中多条命 中特征, 且每条命中特征所对应的日志数量较少 ; 故在第一时间间隔内同一 IP 地址的各个攻击日 志中的命中特征相同以及目标网址相同, 且在第 一时间间隔内攻击日志数量大于或等于第一预设 阀值时, 认为该 IP 地址在浏览该目标网址时被误 报, 则在命中特征中同时避免该 IP 地址和目标网 址, 以使该 IP 地址的终端在浏览该目标网址且与 该命中特征匹配时, 不进行拦截, 但其他 IP 地址 的终端在浏览该目标网址时, 若与该命中特征匹 配。

3、, 则会被拦截且生成攻击日志, 不用直接关闭某 条规则, 在不降低防御效果的前提下减少误报。 (51)Int.Cl. 权利要求书 2 页 说明书 9 页 附图 5 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书9页 附图5页 (10)申请公布号 CN 103581180 A CN 103581180 A 1/2 页 2 1. 一种根据攻击日志调整命中特征的方法, 其特征在于, 包括 : 获取预设的第一时间间隔内同一 IP 地址的攻击日志, 并提取获取到的攻击日志中的 命中特征和目标网址 ; 若提取到的攻击日志中的目标网址相同且命中特征相同, 确定获取到的。

4、攻击日志的数 量 ; 若确定的攻击日志的数量大于或等于第一预设阈值, 则在所述命中特征中同时排除所 述 IP 地址以及对应的目标网址。 2. 根据权利要求 1 所述的方法, 其特征在于, 若提取到的攻击日志中的目标网址相同 且命中特征相同, 确定获取到的攻击日志的数量的步骤之后, 还包括 : 若确定的攻击日志的数量小于第一预设阈值大于或等于第二预设阈值, 且在持续时间 超出第一时间间隔的预设整数倍时, 在所述命中特征中同时排除所述 IP 地址以及对应的 目标网址。 3. 根据权利要求 1 所述的方法, 其特征在于, 该方法还包括 : 获取预设的第二时间间隔内同一命中特征的攻击日志, 并提取所述。

5、攻击日志中的 IP 地址和目标网址 ; 若获取到的攻击日志的目标网址相同, 则确定获取到的攻击日志中不同 IP 地址的数 量 ; 若确定的不同 IP 地址的数量大于或等于第三预设阈值, 则在所述命中特征中排除获 取到的攻击日志中的目标网址。 4. 根据权利要求 3 所述的方法, 其特征在于, 所述确定获取到的攻击日志中不同 IP 地 址的数量的步骤之后, 该方法还包括 : 若确定的不同 IP 地址的数量小于第三预设阈值大于或等于第四预设阈值, 且在持续 时间超出第二时间间隔的预设整数倍时, 则在所述命中特征中排除获取到的攻击日志中的 目标网址。 5. 根据权利要求 1 所述的方法, 其特征在于。

6、, 所述确定获取到的攻击日志的数量的步 骤之后该方法还包括 : 若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值, 且所述 IP 地址为内网地址, 则在所述命中特征中同时排除所述 IP 地址以及对应的目标网址。 6. 一种根据攻击日志调整命中特征的装置, 其特征在于, 包括 : 获取模块, 用于获取预设的第一时间间隔内同一 IP 地址的攻击日志, 并提取获取到的 攻击日志中的命中特征和目标网址 ; 确定模块, 若提取到的目标网址相同且命中特征相同, 确定获取到的攻击日志的数 量 ; 控制模块, 若确定的攻击日志的数量大于或等于第一预设阈值, 则在所述命中特征中 同时排除所述 IP。

7、 地址以及对应的目标网址。 7. 根据权利要求 6 所述的装置, 其特征在于, 所述控制模块还用于若确定的攻击日志 的数量小于第一预设阈值且大于或等于第二预设阈值, 且在持续时间超出第一时间间隔的 预设整数倍时, 则在所述命中特征中同时排除所述 IP 地址以及对应的目标网址。 8. 根据权利要求 6 所述的装置, 其特征在于, 所述获取模块还用于获取预设的第二时 权 利 要 求 书 CN 103581180 A 2 2/2 页 3 间间隔内同一命中特征的攻击日志, 并提取所述攻击日志中的 IP 地址和目标网址 ; 所述确 定模块还用于若获取到的攻击日志的目标网址相同, 则确定获取到的攻击日志中。

8、不同 IP 地址的数量 ; 所述控制模块还用于若确定的不同 IP 地址的数量大于或等于第三预设阈值, 则在所述命中特征中排除获取到的攻击日志中的目标网址。 9. 根据权利要求 8 所述的装置, 其特征在于, 所述控制模块还用于若确定的不同 IP 地 址的数量小于第三预设阈值且大于或等于第四预设阈值, 且在持续时间超出第二时间间隔 的预设整数倍时, 则在所述命中特征中排除获取到的攻击日志中的目标网址。 10. 根据权利要求 6 所述的装置, 其特征在于, 所述控制模块还用于若确定的攻击日志 的数量小于第一预设阈值且大于或等于第五预设阈值, 则在所述命中特征中同时排除所述 IP 地址以及对应的目标。

9、网址。 权 利 要 求 书 CN 103581180 A 3 1/9 页 4 根据攻击日志调整命中特征的方法和装置 技术领域 0001 本发明涉及通信技术领域, 尤其涉及一种根据攻击日志调整命中特征的方法和装 置。 背景技术 0002 基于 Web 网站攻击的防御, 可以采用 web 应用防火墙 (WAF) 进行防御。Web 应用防 火墙都内置了一个规则库, 提取了各种攻击web网站常见的攻击特征, 当报文通过web防火 墙时, 检测引擎通过和预先定义的特征做对比, 检测提交到 web 服务器的报文是否存在攻 击。内置规则库会根据规则的复杂、 严重程度, 每条规则设定一个缺省的动作。如果匹配某。

10、 个规则, WAF 防火墙会根据规则的缺省动作决定如何进一步处理报文。 0003 由于网络报文的复杂性和多样性, 用户网络实现环境各不相同, 规则误报不可避 免, 不同的规则在不同的用户处使用, 也会触发不同的效果, 有的可能是真正攻击, 有的可 能就是误报。比如针对一个目录穿越攻击, 某个规则是识别目录穿越攻击, 规则是 URL 中存 在 “/” 等关键字, 一般情况下, 如果 URL 中存在这类关键字, 都是黑客尝试使用目录穿越 攻击。但是在实际情况中, 有的网站中在参数中包含 “/” 参数来实现不同路径间文件访 问 : 在这种情况下, 该规则针对该用户网站就会触发误报。 0004 正因为。

11、用户 web 网站实现差异很大, 规则的配置也很难有完全通用统一的标准, 只能根据具体网站进行调整, 常规的做法一般为将 WAF 设备放到实际环境中, 测试一段时 间如 1 到 2 周, 然后人工分析攻击日志, 找出哪些规则在用户网站环境下是误报, 然后人工 调整规则状态, 避免影响用户的正常使用。 0005 这种方法, 缺点非常明显 : 人工分析日志, 效率很低, 一方面需要投入较多人力进 行日志分析, 另外一方面对日志分析人员也有一定技能要求, 需要对攻击比较熟悉, 才能给 出正确分析结果, 所以对人力和技能要求都比较高, 整体投入较大。 特征的调整无法做到精 细化, 如果出现误报, 一般。

12、就是打开或者关闭该规则, 某个规则可能只是针对某个 URL 和 IP 地址不适用, 但是其它环境还是适用的, 直接关闭某个规则可能会降低防御效果。 发明内容 0006 本发明的主要目的是提供一种根据攻击日志调整命中特征的方法和装置, 旨在不 降低防御效果的前提下减少误报。 0007 本发明提出一种根据攻击日志调整命中特征的方法, 包括 : 0008 获取预设的第一时间间隔内同一 IP 地址的攻击日志, 并提取获取到的攻击日志 中的命中特征和目标网址 ; 0009 若提取到的攻击日志中的目标网址相同且命中特征相同, 确定获取到的攻击日志 的数量 ; 0010 若确定的攻击日志的数量大于或等于第一。

13、预设阈值, 则在所述命中特征中同时排 除所述 IP 地址以及对应的目标网址。 说 明 书 CN 103581180 A 4 2/9 页 5 0011 优选地, 提取到的攻击日志中的目标网址相同且命中特征相同, 确定获取到的攻 击日志的数量的步骤之后, 还包括 : 0012 若确定的攻击日志的数量小于第一预设阈值大于或等于第二预设阈值, 且在持续 时间超出第一时间间隔的预设整数倍时, 在所述命中特征中同时排除所述 IP 地址以及对 应的目标网址。 0013 优选地, 该方法还包括 : 0014 获取预设的第二时间间隔内同一命中特征的攻击日志, 并提取所述攻击日志中的 IP 地址和目标网址 ; 0。

14、015 若获取到的攻击日志的目标网址相同, 则确定获取到的攻击日志中不同 IP 地址 的数量 ; 0016 若确定的不同 IP 地址的数量大于或等于第三预设阈值, 则在所述命中特征中排 除获取到的攻击日志中的目标网址。 0017 优选地, 所述确定获取到的攻击日志中不同 IP 地址的数量的步骤之后, 该方法还 包括 : 0018 若确定的不同 IP 地址的数量小于第三预设阈值大于或等于第四预设阈值, 且在 持续时间超出第二时间间隔的预设整数倍时, 则在所述命中特征中排除获取到的攻击日志 中的目标网址。 0019 优选地, 所述确定获取到的攻击日志的数量的步骤之后该方法还包括 : 0020 若确。

15、定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈值, 且所述 IP 地址为内网地址, 则在所述命中特征中同时排除所述 IP 地址以及对应的目标网址。 0021 本发明还提出一种根据攻击日志调整命中特征的装置, 包括 : 0022 获取模块, 用于获取预设的第一时间间隔内同一 IP 地址的攻击日志, 并提取获取 到的攻击日志中的命中特征和目标网址 ; 0023 确定模块, 若提取到的目标网址相同且命中特征相同, 确定获取到的攻击日志的 数量 ; 0024 控制模块, 若确定的攻击日志的数量大于或等于第一预设阈值, 则在所述命中特 征中同时排除所述 IP 地址以及对应的目标网址。 0025。

16、 优选地, 所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于 或等于第二预设阈值, 且在持续时间超出第一时间间隔的预设整数倍时, 则在所述命中特 征中同时排除所述 IP 地址以及对应的目标网址。 0026 优选地, 所述获取模块还用于获取预设的第二时间间隔内同一命中特征的攻击日 志, 并提取所述攻击日志中的 IP 地址和目标网址 ; 所述确定模块还用于若获取到的攻击日 志的目标网址相同, 则确定获取到的攻击日志中不同 IP 地址的数量 ; 所述控制模块还用于 若确定的不同 IP 地址的数量大于或等于第三预设阈值, 则在所述命中特征中排除获取到 的攻击日志中的目标网址。 0027 。

17、优选地, 所述控制模块还用于若确定的不同 IP 地址的数量小于第三预设阈值且 大于或等于第四预设阈值, 且在持续时间超出第二时间间隔的预设整数倍时, 则在所述命 中特征中排除获取到的攻击日志中的目标网址。 0028 优选地, 所述控制模块还用于若确定的攻击日志的数量小于第一预设阈值且大于 说 明 书 CN 103581180 A 5 3/9 页 6 或等于第五预设阈值, 则在所述命中特征中同时排除所述 IP 地址以及对应的目标网址。 0029 本发明提出的根据攻击日志调整命中特征的方法和装置, 终端在攻击被保护的 web 服务器时, 该终端的 IP 地址会在一定时间范围内命中多条命中特征, 并。

18、且每条命中特 征所对应的日志数量较少 ; 故在第一时间间隔内同一 IP 地址的各个攻击日志中的命中特 征相同以及目标网址相同, 且在第一时间间隔内攻击日志数量大于或等于第一预设阀值 时, 认为该IP地址在浏览该目标网址时被误报, 则在命中特征中同时避免该IP地址和目标 网址, 以使该 IP 地址的终端在浏览该目标网址并且与该命中特征匹配时, 不会进行拦截, 但其他 IP 地址的终端在浏览该目标网址时, 若与该命中特征匹配, 则会被拦截且生成攻击 日志, 不用直接关闭某条规则在不降低防御效果的前提下减少误报。 附图说明 0030 图 1 为本发明根据攻击日志调整命中特征的方法第一实施例的流程示意。

19、图 ; 0031 图 2 为本发明根据攻击日志调整命中特征的方法第二实施例的流程示意图 ; 0032 图 3 为本发明根据攻击日志调整命中特征的方法第三实施例的流程示意图 ; 0033 图 4 为本发明根据攻击日志调整命中特征的方法第四实施例的流程示意图 ; 0034 图 5 为本发明根据攻击日志调整命中特征的方法第五实施例的流程示意图 ; 0035 图 6 为本发明根据攻击日志调整命中特征的装置较佳实施例的结构示意图。 0036 本发明目的的实现、 功能特点及优点将结合实施例, 参照附图做进一步说明。 具体实施方式 0037 下面结合附图及具体实施例就本发明的技术方案做进一步的说明。应当理解。

20、, 此 处所描述的具体实施例仅仅用以解释本发明, 并不用于限定本发明。 0038 参照图 1, 图 1 为本发明根据攻击日志调整命中特征的方法第一实施例的流程示 意图。 0039 本实施例提出一种根据攻击日志调整命中特征的方法, 包括 : 0040 步骤 S10, 获取预设的第一时间间隔内同一 IP 地址的攻击日志, 并提取获取到的 攻击日志中的命中特征和目标网址 ; 0041 攻击日志中包括 IP 地址、 命中特征、 目标网址、 攻击时间以及攻击负载等信息, 在 本实施例中 IP 地址指源 IP 地址, 可根据攻击日志中的攻击时间和 IP 地址获取第一时间间 隔内同一 IP 地址的攻击日志,。

21、 该第一时间间隔可由用户进行设置, 如 1 天。在本实施例中, 指 web 应用防火墙为识别各种攻击, 设置一个规则库, 保存了各种常见的攻击代码特征, 该 攻击代码特征即为命中特征, 若 web 服务器接收到的报文中的代码与预存的攻击代码特征 匹配, 则认为该报文为攻击报文, 根据预存的攻击代码特征与攻击报文处理方案的映射关 系对攻击报文进行处理, 如拦截。 0042 步骤 S20, 若提取到的目标网址相同且命中特征相同, 确定获取到的攻击日志的数 量 ; 0043 步骤 S30, 判断确定的攻击日志的数量是否大于或等于第一预设阈值 ; 0044 步骤 S40, 若确定的攻击日志的数量大于或。

22、等于第一预设阈值, 则在所述命中特征 中同时排除所述 IP 地址以及对应的目标网址。 说 明 书 CN 103581180 A 6 4/9 页 7 0045 黑客在发起攻击时, 都有一定的步骤, 一般的步骤是收集信息, 然后尝试各种不同 的攻击方式如注入结构化查询语言以及或插入恶意 html 代码, 则攻击终端的 IP 地址则可 在一定的时间范围内与多个命中特征匹配, 则在第一时间间隔内每个命中特征所对应的攻 击日志较少。若第一时间间隔内获取到的同一 IP 地址的各个攻击日志中的目标网址相同 且命中特征相同, 并且同一IP地址的攻击日志的数量大于第一预设阈值, 则认为该IP地址 对应的攻击日志。

23、中的目标网址时发送的报文为误报, 在命中特征中排除所述 IP 地址以及 对应的目标网址, 则在下一次 web 服务器接收到终端发送的报文时, 解析该报文并将该解 析后的报文与该命中特征匹配, 并判断该解析后的报文中的目标网址以及终端的 IP 地址 是否与命中特征中排除的目标网址和 IP 地址相同, 若相同则不产生攻击日志且根据解析 后的报文进行相应的处理如发送网页界面至该终端, 若不同则产生攻击日志且对该报文进 行拦截或其它处理。 0046 本实施例提出的根据攻击日志调整命中特征的方法, 终端在攻击被保护的 web 服 务器时, 该终端的 IP 地址会在一定时间范围内命中多条命中特征, 并且每。

24、条命中特征所对 应的日志数量较少 ; 故在第一时间间隔内同一 IP 地址的各个攻击日志中的命中特征相同 以及目标网址相同, 且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时, 认为 该IP地址在浏览该目标网址时被误报, 则在命中特征中同时避免该IP地址和目标网址, 以 使该 IP 地址的终端在浏览该目标网址并且与该命中特征匹配时, 不会进行拦截, 但其他 IP 地址的终端在浏览该目标网址时, 若与该命中特征匹配, 则会被拦截且生成攻击日志, 不用 直接关闭某条规则在不降低防御效果的前提下减少误报。 0047 参照图 2, 图 2 为本发明根据攻击日志调整命中特征的方法第二实施例的流程示 。

25、意图。 0048 基于第一实施例提出本发明根据攻击日志调整命中特征的方法第二实施例, 在本 实施例中步骤 S30 之后还包括 : 0049 步骤 S50, 若确定的攻击日志的数量小于第一预设阈值, 则判断确定的攻击日志的 数量是否大于或等于第二预设阈值, 其中所述第二预设阈值小于所述第一预设阀值 ; 0050 步骤 S60, 若确定的攻击日志的数量大于或等于第二预设阈值, 且在持续时间超出 第一时间间隔的预设整数倍, 在所述命中特征中同时排除所述 IP 地址以及对应的目标网 址。 0051 若确定的攻击日志的数量小于第一预设阈值则继续判断确定的攻击日志的数量 是否大于或等于第二预设阈值, 若确。

26、定的攻击日志的数量大于或等于第二预设阈值, 则开 始计时直至连续多个第一时间间隔内确定的攻击日志的数量均大于或等于第二预设阀值, 其中持续时间超出第一时间间隔的预设整数倍, 例如第一时间间隔为 1 天、 第一预设阈值 为 10 个预设整数倍为 3 倍即需要持续的时间为 3 天, 则当持续 3 天每天同一 IP 地址所对 应的各个攻击日志中目标网址相同且命中特征相同, 且攻击日志的数量大于或等于 10 时, 则认为该 IP 地址访问攻击日志中目标网址时所生成的攻击日志为误报, 在命中特征中排 除该 IP 地址以及对应的目标网址, 即在下一次 web 服务器接收到终端发送的报文时, 解析 该报文并。

27、将该解析后的报文与该命中特征匹配, 则判断解析后的报文中的访问网址以及终 端的 IP 地址是否与命中特征中排除的访问网址和 IP 地址相同, 若相同则不产生攻击日志 且根据该解析后的报文进行相应的处理如发送网页界面至该终端, 若不同则产生攻击日志 说 明 书 CN 103581180 A 7 5/9 页 8 且不响应该报文或进行其它处理。若确定的攻击日志的数量小于第二预设阈值, 且在持续 时间超出第一时间间隔的预设整数倍, 不做任何处理。 0052 参照图 3, 图 3 为本发明根据攻击日志调整命中特征的方法第三实施例的流程示 意图。 0053 基于第一实施例或第二实施例提出本发明根据攻击日志。

28、调整命中特征的方法第 三实施例, 在本实施例中该方法还包括 : 0054 步骤 S70, 获取预设的第二时间间隔内同一命中特征的攻击日志, 并提取所述攻击 日志中的 IP 地址和目标网址 ; 0055 步骤 S80, 若获取到的攻击日志的目标网址相同, 则确定获取到的攻击日志中不同 IP 地址的数量 ; 0056 步骤 S90, 判断确定的不同 IP 地址的数量是否大于或等于第三预设阈值 ; 0057 步骤 S100, 若确定的不同 IP 地址的数量大于或等于第三预设阈值, 则在所述命中 特征中排除获取到的攻击日志中的目标网址。 0058 web 攻击和病毒不同, 病毒可自行传播定时发作, 而。

29、基于 web 网站的攻击更多是需 要人为控制的攻击行为, 一个 web 网站每天不会受到多个 IP 地址发起的攻击, 所以真正的 web 攻击, 攻击的 IP 地址成收敛状态。故, 若同一命中特征所对应的攻击日志目标网址相 同, 则确定攻击日志中不同 IP 地址的数量, 若该不同 IP 地址的数量大于第三预设阀值时, 则在所述命中特征中排除获取到的攻击日志中的目标网址, 即 web 服务器在接收到终端发 送的报文时, 对接收到的报文进行解码, 将解码后的报文与预存的命中特征进行比对, 若解 码后的报文与命中特征匹配, 则确定该命中特征中是否排除目标网址, 若该命中特征中排 除目标网址, 则判断。

30、解码后的报文中的目标网址是否与命中特征中排除的网址相同, 若相 同根据该解码后的报文进行相应的处理如发送网页界面至该终端, 若不同则产生攻击日志 且不响应该报文或进行其它处理。 0059 参照图 4, 图 4 为本发明根据攻击日志调整命中特征的方法第四实施例的流程示 意图。 0060 基于第三实施例提出本发明根据攻击日志调整命中特征的方法第四实施例, 在本 实施例中步骤 S90 之后还包括 : 0061 步骤S110, 若确定的不同IP地址的数量小于第三预设阈值, 则判断确定的不同IP 地址的数量是否大于或等于第四预设阈值, 其中所述第四阈值小于第三阈值 ; 0062 步骤 S120, 若确定。

31、的不同 IP 地址的数量大于或等于第四预设阈值, 且在持续时间 超出第二时间间隔的预设整数倍时, 则在所述命中特征中排除获取到的攻击日志中的目标 网址。 0063 若获取到的同一命中特征所对应的攻击日志中的目标网址相同, 且多个攻击日志 终端的不同 IP 地址的数量小于第三预设阈值, 则继续判断多个攻击日志中的不同 IP 地址 的数量是否大于或等于第四预设阈值, 若确定的多个攻击日志中的不同 IP 地址的数量大 于或等于第四预设阈值, 则开始计时直至预设的持续时长确定的多个攻击日志中的不同 IP 地址的数量均大于或等于第四预设阀值, 其中持续时长超出第二时间间隔的预设整数倍, 例如第一时间间隔。

32、为 1 天、 第四预设阈值为 10 个预设整数倍为 3 倍即需要持续的时间为 3 天, 则当持续 3 天每天同一命中特征所对应的攻击日志中的目标网址相同, 且多个攻击日 说 明 书 CN 103581180 A 8 6/9 页 9 志终端的不同 IP 地址的数量大于或等于 10, 则认为该攻击日志中针对该目标网址的访问 所生成的攻击日志为误报, 在命中特征中排除该目标网址, 即 web 服务器在接收到终端发 送的报文时, 对接收到的报文进行解码, 将解码后的报文与预存的命中特征进行比对, 若解 码后的报文与命中特征匹配, 则确定该命中特征中是否排除目标网址, 若该命中特征中排 除目标网址, 则。

33、判断解码后的报文中的目标网址是否与命中特征中排除的网址相同, 若相 同根据该报文进行相应的处理如发送网页界面至该终端, 若不同则产生攻击日志且不响应 该报文或进行其它处理。若确定的不同 IP 地址的数量小于第四预设阈值, 且在持续时间超 出第二时间间隔的预设整数倍, 不做任何处理。 0064 参照图 5, 图 5 为本发明根据攻击日志调整命中特征的方法第五实施例的流程示 意图。 0065 基于上述任一实施例提出本发明根据攻击日志调整命中特征的方法第五实施例, 在本实施例中, 步骤 S30 之后还包括 : 0066 步骤 S130, 若确定的攻击日志的数量小于第一预设阈值且大于或等于第五预设阈 。

34、值, 且所述IP地址为内网地址, 则在所述命中特征中同时排除所述IP地址以及对应的目标 网址。 0067 基于 Web 网站的攻击具有方向性, 一般均为外网向内网发起攻击, 即使是内部终 端攻击内部 Web 服务器, 但内部网络很容易发现攻击源。故基于 Web 网站的攻击, 攻击发起 方一般为外网的终端。在针对同一 IP 地址的攻击日志中, 若多个攻击日志中的目标网址 相同且命中特征相同且确定的攻击日志的数量小于第一预设阈值, 则继续判断确定的攻击 日志的数量是否大于或等于第五预设阈值, 在本实施例中, 第五预设阀值可由用户根据网 络状况以及运行环境等参数进行设置, 该第五预设阀值可与第二实施。

35、例中的第二预设阀值 相同也可不同, 若确定的攻击日志的数量大于或等于第五预设阈值, 则判断该 IP 地址是否 为内网 IP 地址, 在判断 IP 地址是否为内网地址时, 可在 web 服务器中预存内网地址, 将该 IP 地址与预存的内网地址进行匹配, 若该 IP 地址与预存的内网地址匹配, 则在命中特征中 排除该 IP 地址以及对应的目标网址, 即在 web 服务器接收到终端发送的报文时, 解析该报 文并将该解析后的报文与该命中特征匹配, 判断解析后的报文中的访问网址以及终端的 IP 地址是否与命中特征中排除的访问网址和 IP 地址相同, 若相同则不产生攻击日志且根据 该解码后的报文进行相应的。

36、处理如发送网页界面至该终端, 若不同则产生攻击日志且不响 应该报文或进行其它处理。 0068 参照图 6, 图 6 为本发明根据攻击日志调整命中特征的装置较佳实施例的结构示 意图。 0069 本实施例提出一种根据攻击日志调整命中特征的装置, 包括 : 0070 获取模块 10, 用于获取预设的第一时间间隔内同一 IP 地址的攻击日志, 并提取获 取到的攻击日志中的命中特征和目标网址 ; 0071 确定模块 20, 若提取到的目标网址相同且命中特征相同, 确定获取到的攻击日志 的数量 ; 0072 控制模块 30, 若获取到的攻击日志的数量大于或等于第一预设阈值, 则在所述命 中特征中同时排除所。

37、述 IP 地址以及对应的目标网址。 0073 攻击日志中包括 IP 地址、 命中特征、 目标网址、 攻击时间以及攻击负载等信息, 在 说 明 书 CN 103581180 A 9 7/9 页 10 本实施例中 IP 地址指源 IP 地址, 可根据攻击日志中的攻击时间和 IP 地址获取第一时间间 隔内同一 IP 地址的攻击日志, 该第一时间间隔可由用户进行设置, 如 1 天。在本实施例中, 指 web 应用防火墙为识别各种攻击, 设置一个规则库, 保存了各种常见的攻击代码特征, 该 攻击代码特征即为命中特征, 若 web 服务器接收到的报文中的代码与预存的攻击代码特征 匹配, 则认为该报文为攻击。

38、报文, 根据预存的攻击代码特征与攻击报文处理方案的映射关 系对攻击报文进行处理, 如拦截。 0074 黑客在发起攻击时, 都有一定的步骤, 一般的步骤是收集信息, 然后尝试各种不同 的攻击方式如注入结构化查询语言以及或插入恶意 html 代码, 则攻击终端的 IP 地址则可 在一定的时间范围内与多个命中特征匹配, 则在第一时间间隔内每个命中特征所对应的攻 击日志较少。若第一时间间隔内获取到的同一 IP 地址的各个攻击日志中的目标网址相同 且命中特征相同, 并且同一IP地址的攻击日志的数量大于第一预设阈值, 则认为该IP地址 对应的攻击日志中的目标网址时发送的报文为误报, 在命中特征中排除所述 。

39、IP 地址以及 对应的目标网址, 则在下一次 web 服务器接收到终端发送的报文时, 解析该报文并将该解 析后的报文与该命中特征匹配, 并判断该解析后的报文中的目标网址以及终端的 IP 地址 是否与命中特征中排除的目标网址和 IP 地址相同, 若相同则不产生攻击日志且根据解析 后的报文进行相应的处理如发送网页界面至该终端, 若不同则产生攻击日志且对该报文进 行拦截或其它处理。 0075 本实施例提出的根据攻击日志调整命中特征的装置, 终端在攻击被保护的 web 服 务器时, 该终端的 IP 地址会在一定时间范围内命中多条命中特征, 并且每条命中特征所对 应的日志数量较少 ; 故在第一时间间隔内。

40、同一 IP 地址的各个攻击日志中的命中特征相同 以及目标网址相同, 且在第一时间间隔内攻击日志数量大于或等于第一预设阀值时, 认为 该IP地址在浏览该目标网址时被误报, 则在命中特征中同时避免该IP地址和目标网址, 以 使该 IP 地址的终端在浏览该目标网址并且与该命中特征匹配时, 不会进行拦截, 但其他 IP 地址的终端在浏览该目标网址时, 若与该命中特征匹配, 则会被拦截且生成攻击日志, 不用 直接关闭某条规则在不降低防御效果的前提下减少误报。 0076 进一步地, 所述控制模块 30 还用于若确定的攻击日志的数量小于第一预设阈值 且大于或等于第二预设阈值, 且在持续时间超出第一时间间隔的。

41、预设整数倍时, 则在所述 命中特征中同时排除所述 IP 地址以及对应的目标网址。 0077 若确定的攻击日志的数量小于第一预设阈值则继续判断确定的攻击日志的数量 是否大于或等于第二预设阈值, 若确定的攻击日志的数量大于或等于第二预设阈值, 则开 始计时直至连续多个第一时间间隔内确定的攻击日志的数量均大于或等于第二预设阀值, 其中持续时间超出第一时间间隔的预设整数倍, 例如第一时间间隔为 1 天、 第一预设阈值 为 10 个预设整数倍为 3 倍即需要持续的时间为 3 天, 则当持续 3 天每天同一 IP 地址所对 应的各个攻击日志中目标网址相同且命中特征相同, 且攻击日志的数量大于或等于 10 。

42、时, 则认为该 IP 地址访问攻击日志中目标网址时所生成的攻击日志为误报, 在命中特征中排 除该 IP 地址以及对应的目标网址, 即在下一次 web 服务器接收到终端发送的报文时, 解析 该报文并将该解析后的报文与该命中特征匹配, 则判断解析后的报文中的访问网址以及终 端的 IP 地址是否与命中特征中排除的访问网址和 IP 地址相同, 若相同则不产生攻击日志 且根据该解析后的报文进行相应的处理如发送网页界面至该终端, 若不同则产生攻击日志 说 明 书 CN 103581180 A 10 8/9 页 11 且不响应该报文或进行其它处理。 0078 进一步地, 所述获取模块 10 还用于获取预设的。

43、第二时间间隔内同一命中特征的 攻击日志, 并提取所述攻击日志中的IP地址和目标网址 ; 所述确定模块20还用于若获取到 的攻击日志的目标网址相同, 则确定获取到的攻击日志中不同 IP 地址的数量 ; 所述控制模 块 30 还用于若确定的不同 IP 地址的数量大于或等于第三预设阈值, 则在所述命中特征中 排除获取到的攻击日志中的目标网址。 0079 web 攻击和病毒不同, 病毒可自行传播定时发作, 而基于 web 网站的攻击更多是需 要人为控制的攻击行为, 一个 web 网站每天不会受到多个 IP 地址发起的攻击, 所以真正的 web 攻击, 攻击的 IP 地址成收敛状态。故, 若同一命中特征。

44、所对应的攻击日志目标网址相 同, 则确定攻击日志中不同 IP 地址的数量, 若该不同 IP 地址的数量大于第三预设阀值时, 则在所述命中特征中排除获取到的攻击日志中的目标网址, 即 web 服务器在接收到终端发 送的报文时, 对接收到的报文进行解码, 将解码后的报文与预存的命中特征进行比对, 若解 码后的报文与命中特征匹配, 则确定该命中特征中是否排除目标网址, 若该命中特征中排 除目标网址, 则判断解码后的报文中的目标网址是否与命中特征中排除的网址相同, 若相 同根据该解码后的报文进行相应的处理如发送网页界面至该终端, 若不同则产生攻击日志 且不响应该报文或进行其它处理。 0080 进一步地。

45、, 所述控制模块 30 还用于若确定的不同 IP 地址的数量小于第三预设阈 值且大于或等于第四预设阈值, 且在持续时间超出第二时间间隔的预设整数倍时, 则在所 述命中特征中排除获取到的攻击日志中的目标网址。 0081 若获取到的同一命中特征所对应的攻击日志中的目标网址相同, 且多个攻击日志 终端的不同 IP 地址的数量小于第三预设阈值, 则继续判断多个攻击日志中的不同 IP 地址 的数量是否大于或等于第四预设阈值, 若确定的多个攻击日志中的不同 IP 地址的数量大 于或等于第四预设阈值, 则开始计时直至预设的持续时长确定的多个攻击日志中的不同 IP 地址的数量均大于或等于第四预设阀值, 其中持。

46、续时长超出第二时间间隔的预设整数倍, 例如第一时间间隔为 1 天、 第四预设阈值为 10 个预设整数倍为 3 倍即需要持续的时间为 3 天, 则当持续 3 天每天同一命中特征所对应的攻击日志中的目标网址相同, 且多个攻击日 志终端的不同 IP 地址的数量大于或等于 10, 则认为该攻击日志中针对该目标网址的访问 所生成的攻击日志为误报, 在命中特征中排除该目标网址, 即 web 服务器在接收到终端发 送的报文时, 对接收到的报文进行解码, 将解码后的报文与预存的命中特征进行比对, 若解 码后的报文与命中特征匹配, 则确定该命中特征中是否排除目标网址, 若该命中特征中排 除目标网址, 则判断解码。

47、后的报文中的目标网址是否与命中特征中排除的网址相同, 若相 同根据该报文进行相应的处理如发送网页界面至该终端, 若不同则产生攻击日志且不响应 该报文或进行其它处理。 0082 进一步地, 所述控制模块 30 还用于若确定的攻击日志的数量小于第一预设阈值 且大于或等于第五预设阈值, 则在所述命中特征中同时排除所述 IP 地址以及对应的目标 网址。 0083 基于 Web 网站的攻击具有方向性, 一般均为外网向内网发起攻击, 即使是内部终 端攻击内部 Web 服务器, 但内部网络很容易发现攻击源。故基于 Web 网站的攻击, 攻击发起 方一般为外网的终端。在针对同一 IP 地址的攻击日志中, 若多。

48、个攻击日志中的目标网址相 说 明 书 CN 103581180 A 11 9/9 页 12 同且命中特征相同且确定的攻击日志的数量小于第一预设阈值, 则继续判断确定的攻击日 志的数量是否大于或等于第五预设阈值, 在本实施例中, 第五预设阀值可由用户根据网络 状况以及运行环境等参数进行设置, 该第五预设阀值可与第二实施例中的第二预设阀值相 同也可不同, 若确定的攻击日志的数量是否大于或等于第五预设阈值, 则判断该 IP 地址是 否为内网 IP 地址, 在判断 IP 地址是否为内网地址时, 可在 web 服务器中预存内网地址, 将 该IP地址与预存的内网地址进行匹配, 若该IP地址与预存的内网地址。

49、匹配, 则在命中特征 中排除该 IP 地址以及对应的目标网址, 即在 web 服务器接收到终端发送的报文时, 解析该 报文并将该解析后的报文与该命中特征匹配, 判断解析后的报文中的访问网址以及终端的 IP 地址是否与命中特征中排除的访问网址和 IP 地址相同, 若相同则不产生攻击日志且根 据该解码后的报文进行相应的处理如发送网页界面至该终端, 若不同则产生攻击日志且不 响应该报文或进行其它处理。 0084 以上所述仅为本发明的优选实施例, 并非因此限制本发明的专利范围, 凡是利用 本发明说明书及附图内容所作的等效结构变换, 或直接或间接运用在其他相关的技术领 域, 均同理包括在本发明的专利保护范围内。 说 明 书 CN 103581180 A 12 1/5 页 13 图 1 说 明 书 附 图 CN 103581180 A 13 2/5 页 14 图 2 说 明 书 附 图 CN 103581180 A 14 3/5 页 15 图 3 说 明 书 附 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1