[发明专利]检测恶意HTTP请求的方法及装置

权利要求书

1.一种检测恶意HTTP请求的方法，其特征在于，该方法包括以下步骤：

(a)为待检测的Web网站构造Web访问关系网络，该访问关系网络体现了该Web网站固有的Web页面访问顺序；

(b)根据所述Web访问关系网络判定发往所述Web网站的HTTP请求是否符合该Web网站固有的Web页面访问顺序，如不符合则判定该HTTP请求为恶意的HTTP请求；其中：所述Web访问关系网络为包含网络节点和有向边的有向图，网络节点代表该Web网站上的一个Web页面，有向边表示存在一条从起始网络节点到终止网络节点的直接Web页面访问路径。

2.如权利要求1所述的方法，其特征在于：步骤(a)进一步包括如下步骤：

(a1)为该待检测网站的根网页创建一个网络节点，并其标记为“未考察”状态；

(a2)找到某个标记为“未考察”状态的网络节点，将其标记为“正考察”状态，并使用网络爬虫获取该网络节点所对应文件对象；

(a3)考察所获取的文件对象的文件格式是否为Web网页：如是则从该Web网页中提取所有的远程链接对象并跳转到步骤(a4)；否则直接将该网络节点标记为“已考察”状态并跳转到步骤(a2)；

(a4)对于从Web页面中提取的每个远程链接对象进行如下处理：首先检查Web访问关系网络中是否存在与之相对应的网络节点，如果存在则找到该网络节点，否则创建一个与该远程链接对象相对应的新的网络节点并将其状态标记为“未考察”；最后创建一条从所述“正考察”状态的网络节点到该远程链接对象所对应网络节点的有向边；

(a5)将所述“正考察”状态的网络节点的状态修正为“已考察”状态；

(a6)重复执行步骤(a2)至步骤(a5)，直至Web访问关系网络中不存在“未考察”状态的网络节点为止。

3.如权利要求1或2所述的方法，其特征在于，所述步骤(a)、(b)之间还包括关键节点标识步骤：将需要监控的Web页面在所述Web访问关系网络中对应的网络节点标识为关键节点；步骤(b)中，先判断所述HTTP请求中的目的页面对应的网络节点是否为关键节点，若是则进一步判断是否符合该Web网站固有的Web页面访问顺序。

4.如权利要求3所述的方法，其特征在于：关键节点标识步骤后，步骤(b)前还包括修正步骤：为所述Web访问关系网络中的关键网络节点创建一个或多个新的父网络节点，所创建的父网络节点代表来自所述Web网站外部的Web页面，从新创建的父网络节点到关键节点的有向边代表从该外部Web网页到该关键网络节点的直接Web页面访问路径。

5.如权利要求3所述的方法，其特征在于：关键节点标识步骤后，步骤(b)前还包括裁剪步骤：将既不是关键节点也不是某关键节点的父网络节点的网络节点从Web访问关系网络中删除。

6.如权利要求1所述的方法，其特征在于：步骤(b)中是这样判断HTTP请求是否符合该Web网站固有的Web页面访问顺序的：(b1)从HTTP请求头部中提取Referer和URI两个协议字段值；(b2)判断该URI所指向的Web页面是否为所述Web访问关系网络中的关键节点，如果是，则执行步骤(b3)，否则认为该该HTTP请求为一个未见异常HTTP请求，流程结束；(b3)检查Referer是否同时满足如下三个条件：Referer不为空；所述Web访问关系网络中存在一个与Referer所指向的Web页面对应的网络节点；Referer所对应的网络节点包含在URI所对应关键节点的父节点集合中，若Referer不同时满足以上三个条件，则认为检测到一次恶意HTTP请求。

7.一种检测恶意HTTP请求的装置，其特征在于，该装置包括Web访问关系网络构建单元和恶意HTTP请求检测单元，其中：

所述Web访问关系网络构建单元用于为待检测Web网站构造Web访问关系网络，该Web访问关系网络体现了该Web网站固有的Web页面访问顺序，所述该Web访问关系网络为包含网络节点和有向边的有向图，其中，网络节点代表该Web网站上的一个Web页面，有向边表示存在一条从起始网络节点到终止网络节点的直接Web页面访问路径；

所述恶意HTTP请求检测单元用于根据所述Web访问关系网络判定发往所述Web网站的HTTP请求是否符合该Web网站固有的Web页面访问顺序，如不符合则判定该HTTP请求为恶意的HTTP请求。