[发明专利]检测恶意HTTP请求的方法及装置

说明书

技术领域

本发明涉及一种检测恶意HTTP请求的装置及方法，属于计算机网络安全技术领域。 

背景技术

随着互联网技术和Web技术的发展，Web不再只为互联网用户提供静态内容服务，而可以根据用户需要提供各种动态Web内容服务。由于Web服务具有易部署和易用等优点，现在很多传统客户机/服务器模式的应用都开始转变成基于Web的应用，包括那些对安全要求非常高的电子银行和电子证券等应用。 

Web应用在为人们的生活和工作带来便利的同时，也带来了很多安全问题，包括网页木马、网络钓鱼、跨站脚本攻击和跨站请求伪造等攻击，这些攻击的攻击原理是：黑客通过某种方式向受害者的Web浏览器发送一段恶意的HTML代码或者脚本，这段HTML代码或者脚本将被受害者Web浏览器解释执行，Web浏览器在解释执行这段代码的过程中，将在受害者毫无知觉的情况下自动提交一些恶意的HTTP请求到指定的Web服务器，而这些恶意HTTP请求由于继承了受害者的访问权限，因而能够通过Web服务器端的访问控制，使得Web服务器会对这个恶意HTTP请求进行响应，从而达到攻击的目的。一个典型的攻击例子为：某银行网站包含一个站内查询页面，它允许用户输入需要查询的关键词然后显示站内查询结果，但这个站内查询页面存在一个安全缺陷，它并没有对用户的输入数据进行严格的检查和过滤，而是直接地显示到Web浏览器，因此，如果黑客通过这个站内查询页面提交如下一个字符串“<IMG SRC＝http://www.ebank.com/transfer.asp？amount＝30000&to＝james>”，那么这个字符串将反射到受害者并被受害者的Web浏览器解释执行，解释执行的结果则是受害者的Web浏览器在受害者毫不知情的情形 下向ebank Web服务器提交一个将3万美元转帐到james帐户的恶意HTTP请求，如果受害者此时恰好登录了ebank网站，那么这个恶意HTTP请求则可能通过ebank服务器的访问控制而被执行，从而达到黑客的攻击目的。 

由于这些恶意HTTP请求中并没有包含明显的攻击特征，传统的入侵检测算法是很难检测到的，要检测这种恶意HTTP请求，则必须采取新的检测方法。 

发明内容

本发明要解决的技术问题是提供一种检测恶意HTTP请求的方法的装置，以有效检测恶意HTTP请求。 

为了解决上述问题，本发明提供了一种检测恶意HTTP请求的方法，该方法包括以下步骤： 

(a)为待检测的Web网站构造Web访问关系网络，该访问关系网络体现了该Web网站固有的Web页面访问顺序； 

(b)根据所述Web访问关系网络判定发往所述Web网站的HTTP请求是否符合该Web网站固有的Web页面访问顺序，如不符合则判定该HTTP请求为恶意的HTTP请求。 

进一步地，所述该访问关系网络为包含网络节点和有向边的有向图，其中，网络节点代表该Web网站上的一个Web页面，有向边表示存在一条从起始网络节点到终止网络节点的直接Web页面访问路径。 

进一步地，步骤(a)进一步包括如下步骤： 

(a1)为该待检测网站的根网页创建一个网络节点，并其标记为“未考察”状态； 

(a2)找到某个标记为“未考察”状态的网络节点，将其标记为“正考察”状态，并使用网络爬虫获取该网络节点所对应文件对象； 

(a3)考察所获取的文件对象的文件格式是否为Web网页：如是则从该Web网页中提取所有的远程链接对象并跳转到步骤(a4)；否则直接将该网络节点标记为“已考察”状态并跳转到步骤(a2)；

(a4)对于从Web页面中提取的每个远程链接对象进行如下处理：首先检查Web访问关系网络中是否存在与之相对应的网络节点，如果存在则找到该网络节点，否则创建一个与该远程链接对象相对应的新的网络节点并将其状态标记为“未考察”；最后创建一条从所述“正考察”状态的网络节点到该远程链接对象所对应网络节点的有向边； 

(a5)将所述“正考察”状态的网络节点的状态修正为“已考察”状态； 

(a6)重复执行步骤(a2)至步骤(a5)，直至Web访问关系网络中不存在“未考察”状态的网络节点为止。 

进一步地，所述步骤(a)、(b)之间还包括关键节点标识步骤：将需要监控的Web页面在所述Web访问关系网络中对应的网络节点标识为关键节点；步骤(b)中，先判断所述HTTP请求中的目的页面对应的网络节点是否为关键节点，若是则进一步判断是否符合该Web网站固有的Web页面访问顺序。