基于行为特征匹配和分析的web应用层攻击检测与防御方法技术

一种基于行为特征匹配和分析的web应用层攻击检测与防御方法，包括：预设一个防御规则库，所述防御规则库包括多种防御规则；获取web应用防护系统中的访问请求数据与防御规则库匹配的记录，将记录内容作为样本数据；对样本数据进行学习，建立分析模型；建立用户信誉数据库，在所述用户信誉数据库中设置一黑名单模块；通过分析模型对用户的访问行为进行学习，并更新和修正防御规则库中的防御规则；建立例外防御规则库；设定防御方法，根据设定的防御方法对用户的访问行为进行拦截。本发明专利技术可精确的对恶意行为进行识别，防御规则库可实时的进行动态加载与更新；通过智能学习用户行为，能够快速的对威胁行为进行识别和阻断，保障web服务器的安全。

Web application layer attack detection and defense method based on behavior feature matching and analysis

An application layer Web attack detection and defense method, matching and analysis based on the behavior characteristics including: presetting a defense rules, the defense rules include a variety of defense rules; to obtain web application protection system access request data and defense rules matching records, recording contents as the sample data of the sample; the data for learning, analytic models are established; the establishment of user reputation database, a blacklist module is provided in the user credit database; learning through access to the user's behavior analysis model, and updated and revised defense rule base defense rules; establish the exception rule base defense; defense set method, according to the defense set the user's access behavior to intercept. The invention can accurately identify malicious behavior, real-time dynamic defense rules can be loaded and updated; user behavior through the intelligent learning, can quickly identify and block threats to behavior, safeguard the security of the web server.

【技术实现步骤摘要】
基于行为特征匹配和分析的web应用层攻击检测与防御方法
本专利技术涉及web安全防御领域，尤其涉及一种基于行为特征匹配和智能行为分析的web应用层攻击检测与防御的方法。
技术介绍
随着web的普及，社交应用、电子商务、在线支付的大规模应用，各种0day漏洞被公开，sql注入、xss跨站、cookie篡改、恶意扫描探测、会话挟持、拒绝服务攻击、中间人代理攻击、远程命令执行、webshell提权等攻击日趋常态，各种信息泄露事件不断被暴光，web安全威胁形势异常严峻，新的攻击手法层出不穷，对web安全防护带来巨大挑战。web安全威胁严重影响到政治，经济，军事等信息系统的安全，甚至引起数据篡改，泄露等现象的发生。web安全并非只是对已知漏洞、病毒、木马的清除与防护，而是越来越多的指向对未知安全威胁的防范，以达到防范于未然的效果。机器学习是人工智能的一个分支，用于研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能。人工神经网络学习是一种模仿生物神经网络的结构和功能的数学模型或计算模型，用于对函数进行估计或近似。神经网络由大量的人工神经元联结进行计算，大多数情况下人工神经网络能在外界信息的基础上改变内部结构，是一种自适应系统。
技术实现思路
本专利技术的目的是为了解决现有技术的不足，提供一种基于行为特征匹配和行为分析的web应用层攻击检测与防御的方法。本专利技术的目的是通过以下技术方案实现的：一种基于行为特征匹配和分析的web应用层攻击检测与防御方法，包括：(1)预设一个防御规则库，所述防御规则库包括多种防御规则，对预设的防御规则进行分类存储，根据威胁大小将每类的防御规则划分为不同等级；(2)获取web应用防护系统中的访问请求数据与防御规则库匹配的记录，将记录内容作为样本数据；(3)对样本数据进行学习，建立分析模型；(4)建立用户信誉数据库，记录触发预设的防御规则的用户IP地址，在所述用户信誉数据库中设置一黑名单模块；(5)通过分析模型对用户的访问行为进行学习，并更新和修正防御规则库中的防御规则；(6)建立例外防御规则库，对检测到的可疑行为进行分析后确定为非恶意行为，则对每个用户生成例外防御规则库进行特征例外；(7)设定防御方法，根据设定的防御方法对用户的访问行为进行拦截。上述的方法，其中，在所述步骤(7)中，所述防御方法包括：若用户的访问行为与预设的防御规则相匹配，则将此次用户的访问行为分类到对应的防御规则中存储；根据防御规则的等级判断此次用户的访问行为是否构成威胁，若是，则进行拦截，若不是，则不进行拦截。上述的方法，其中，在所述步骤(7)中，所述防御方法包括：若判断用户的访问行为是可疑行为且与预设的防御规则都不匹配，则对此次用户的访问行为不进行拦截，记录此次用户的访问行为；收集此次用户的历史访问行为数据，通过分析模型对用户的历史访问行为数据进行学习，判断此次用户的访问行为是否为恶意访问行为，若是，则根据此次用户的访问行为设定一防御规则并更新到防御规则库中，并设定此防御规则的等级；若不是，则根据此次用户的访问行为设定一例外防御规则，并更新到例外防御规则库中；对与例外防御规则相匹配的用户的访问行为不进行拦截。上述的方法，其中，在所述步骤(7)中，设定一数量阀值，若一定时间内连续触发防御规则的数量达到设定的数量阀值，则确认该行为是扫描器攻击，记录该用户的IP地址，并将该用户的IP地址提交到黑名单模块。上述的方法，其中，在所述步骤(7)中，所述防御方法包括：在所述用户信誉数据库中，对每个用户建立一积分模块，对用户每次触发防御规则的行为进行积分，设定一积分阀值，若用户的积分达到积分阀值，则将用户的IP地址提交到黑名单模块。上述的方法，其中，对在黑名单模块中的用户的所有访问行为进行拦截。上述的方法，其中，在所述步骤(1)中，所述防御规则包括但不限于常规防御规则、恶意扫描规则、恶意爬虫规则、漏洞规则、虚拟补丁规则。上述的方法，其中，在所述步骤(2)中，所述访问请求数据与防御规则库匹配的记录为用户在访问过程中触发预设的防御规则库中的防御规则的记录，所述web应用防护系统实时记录用户在访问过程中触发预设的防御规则库中的防御规则的行为。上述的方法，其中，在所述步骤(5)中，通过分析模型对用户的访问行为进行学习，对防御规则库中错误的防御规则进行修正。综上所述，由于采用了上述技术方案，本专利技术与现有技术相比，有以下优点和有益效果：(1)本专利技术可精确的对恶意行为进行识别，解决了传统WAF在利用正则表达式进行特征匹配时存在的误报率高和效率低下的问题；(2)本专利技术能够根据实际需要来自定义防御规则，且本专利技术的防御规则库可实时的进行动态加载与更新；(3)通过智能学习用户行为，能够快速的对威胁行为进行识别和阻断，在降低漏报和误报率的同时，可以有效防御和缓解来自针对web安全的各种威胁，保障web服务器的安全。附图说明图是本专利技术基于行为特征匹配和分析的web应用层攻击检测与防御方法的流程图。具体实施方式下面结合附图对本专利技术的具体实施方式作进一步详细介绍。请参见图1，本专利技术提供了一种基于行为特征匹配和分析的web应用层攻击检测与防御方法，具体包括：(1)预设一个防御规则库，所述防御规则库包括多种防御规则，所述防御规则包括但不限于常规防御规则、恶意扫描规则、恶意爬虫规则、自定义漏洞规则、虚拟补丁规则，在所述防御规则库中，对预设的防御规则进行分类存储，根据威胁大小将每类的防御规则划分为不同等级；(2)获取web应用防护系统中的访问请求数据与防御规则库匹配的记录，将记录内容作为样本数据；所述访问请求数据与防御规则库匹配的记录为用户在访问过程中触发预设的防御规则库中的防御规则的记录，所述web应用防护系统实时记录用户在访问过程中触发预设的防御规则库中的防御规则的行为；(3)对样本数据进行学习，建立分析模型；(4)建立用户信誉数据库，记录触发预设的防御规则的用户IP地址，在所述用户信誉数据库中设置一黑名单模块；(5)通过分析模型对用户的行为进行学习，并更新和修正防御规则库中的防御规则；(6)建立例外防御规则库，对检测到的可疑行为进行智能分析后确定为非恶意行为，则针对每个用户生成例外防御规则库进行特征例外；(7)设定防御方法，根据设定的防御方法对用户的访问行为进行拦截。上述步骤(7)中，所述防御方法包括：若用户的访问行为与预设的防御规则相匹配，即触发预设的防御规则，则将此次用户的访问行为分类到对应的防御规则中存储；根据防御规则的等级判断此次用户的访问行为是否构成威胁，若是，则进行拦截，若不是，则不进行拦截；若判断用户的访问行为是可疑行为且与预设的防御规则都不匹配，则对此次用户的访问行为不进行拦截，记录此次用户的访问行为；收集此次用户的历史访问行为数据，通过分析模型对用户的历史访问行为数据进行学习，判断此次用户的访问行为是否为恶意访问行为，若是，则根据此次用户的访问行为设定一防御规则并更新到防御规则库中，并设定此防御规则的等级，若不是，则根据此次用户的访问行为设定一例外防御规则，并更新到例外防御规则库中。例如，识别扫描器，通过学习未知扫描器的行为将其自动转化为防御规则并下发给防御规则库或例外规则库。在上述方法中本文档来自技高网...

【技术保护点】
一种基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，包括：(1)预设一个防御规则库，所述防御规则库包括多种防御规则，对预设的防御规则进行分类存储，根据威胁大小将每类的防御规则划分为不同等级；(2)获取web应用防护系统中的访问请求数据与防御规则库匹配的记录，将记录内容作为样本数据；(3)对样本数据进行学习，建立分析模型；(4)建立用户信誉数据库，记录触发预设的防御规则的用户IP地址，在所述用户信誉数据库中设置一黑名单模块；(5)通过分析模型对用户的访问行为进行学习，并更新和修正防御规则库中的防御规则；(6)建立例外防御规则库，对检测到的可疑行为进行分析后确定为非恶意行为，则对每个用户生成例外防御规则库进行特征例外；(7)设定防御方法，根据设定的防御方法对用户的访问行为进行拦截。

【技术特征摘要】
1.一种基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，包括：(1)预设一个防御规则库，所述防御规则库包括多种防御规则，对预设的防御规则进行分类存储，根据威胁大小将每类的防御规则划分为不同等级；(2)获取web应用防护系统中的访问请求数据与防御规则库匹配的记录，将记录内容作为样本数据；(3)对样本数据进行学习，建立分析模型；(4)建立用户信誉数据库，记录触发预设的防御规则的用户IP地址，在所述用户信誉数据库中设置一黑名单模块；(5)通过分析模型对用户的访问行为进行学习，并更新和修正防御规则库中的防御规则；(6)建立例外防御规则库，对检测到的可疑行为进行分析后确定为非恶意行为，则对每个用户生成例外防御规则库进行特征例外；(7)设定防御方法，根据设定的防御方法对用户的访问行为进行拦截。2.根据权利要求1所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，在所述步骤(7)中，所述防御方法包括：若用户的访问行为与预设的防御规则相匹配，则将此次用户的访问行为分类到对应的防御规则中存储；根据防御规则的等级判断此次用户的访问行为是否构成威胁，若是，则进行拦截，若不是，则不进行拦截。3.根据权利要求1所述的基于行为特征匹配和分析的web应用层攻击检测与防御方法，其特征在于，在所述步骤(7)中，所述防御方法包括：若判断用户的访问行为是可疑行为且与预设的防御规则都不匹配，则对此次用户的访问行为不进行拦截，记录此次用户的访问行为；收集此次用户的历史访问行为数据，通过分析模型对用户的历史访问行为数据进行学习，判断此次用户的访问行为是否为恶意访问行为，若是，则根据此次用户的访问行为设定一防御规则并更新到防御规则库中，并设定此防御规则的等级；若不是，则根据此次...

【专利技术属性】
技术研发人员：王建国，
申请(专利权)人：摩贝上海生物科技有限公司，
类型：发明
国别省市：上海,31