[发明专利]网络应用攻击的检测方法

权利要求书

1.一种网络应用攻击的检测方法，该方法包括以下步骤：

当接收到组成HTTP信息的数据包时，网络应用防火墙去掉相应数据包的包头部分，仅收集数据包的净负荷部分，然后重新组合所述HTTP信息；

分析器分析重组后的HTTP信息，判断所述重组后的HTTP信息是否包含与攻击相关的内容；

在所述重组后的HTTP信息不包含所述与攻击相关的内容时，则将所述重组后的HTTP信息传送给web服务器或用户服务器，按常规处理所述重组后的HTTP信息；

在所述重组后的HTTP信息包含所述与攻击相关的内容时，则判定所述重组后的HTTP信息为攻击，然后以如下处理方式中的任一种对其进行重新处理，所述处理方式包括：要求发送异常数据包的所述web服务器或所述用户服务器重新发送与所述异常数据包相对应的数据包；删除所述异常数据包；或者，调整所述异常数据包，然后将调整后的数据包发送给所述web服务器或所述用户服务器。

2.如权利要求1所述的网络应用攻击的检测方法，其中，所述分析器包括XML分析器，该XML分析器用于检测重组后的HTTP信息的标签的起点和终点，以确认XML语法的完整性和上/下位关系，然后判断所述重组后的HTTP信息是否包含与攻击相关的语法。

3.如权利要求1所述的网络应用攻击的检测方法，其中，所述分析器包括JavaScript分析器，该JavaScript分析器用于检测JavaScript语法的有效性，以判断所述重组后的HTTP信息是否包含与攻击相关的语法。

4.如权利要求1所述的网络应用攻击的检测方法，其中，所述分析器包括SQL分析器，该SQL分析器将所述重组后的HTTP信息分解成最小单元，检查分解出的单元是否属于SQL语法的一部分，由此判断所述重组后的HTTP信息是否包含与攻击相关的语法。

5.如权利要求1所述的网络应用攻击的检测方法，其中，所述网络应用防火墙执行调整操作，使得所述重组后的HTTP信息中包括的怀疑为攻击的消息被调整为正常的消息。

6.如权利要求1所述的网络应用攻击的检测方法，其中，所述网络应用防火墙执行调整操作，使得所述重组后的HTTP信息包括的消息中与个人信息相关的消息的一部分被调整为外部不可读取的消息。