[发明专利]网络应用攻击的检测方法

说明书

技术领域

本发明总体涉及一种网络应用攻击的检测方法。

背景技术

传统的网络应用防火墙(以下简称WAF)基于检测OSI 7层模型(根据开放系统互联(OSI)模型的网络划分原则)中第4层上的攻击的入侵检测系统(IDS)或入侵保护系统(IPS)，对7层模型中的最高层(即第7层)上发生的攻击进行防卫，这给防御攻击带来限制。

图1是说明传统的OSI 7层模型的图。

如图1所示，OSI 7层模型被用来划分计算机网络结构模型中的协议和方法，包括应用层、表示层、会话层、运输层、网络层、数据链路层和物理层。网络应用防火墙(WAF)在第7层上检测和防卫攻击的原因如下。

首先，通常用来检测攻击的入侵检测系统(IDS)或者入侵防护系统(IPS)等系统针对数据包分析试图扩展网络防火墙的功能，该网络防火墙的功能仅能阻止特定网际协议(IP)地址的特定端口，而网络防火墙检测到攻击的地点是在第4层。

其次，有意义的最小数据单元，即数据包，而不是无意义的电子信号，在OSI7层模型中首先出现在第4层，所以在最初数据单元建立的第4层，判断并阻止攻击。

即，智能网络防火墙只有能够在第7层同时进行网络信息分析，以检测和防护应用层(第7层L7)的攻击时，才能够使误报或漏报最少，而根据现有技术，通过检测第4层来检测第7层上的攻击，因而常规的检测和防护方法无法完成任务。

特别地，第4层上有数据单元形式的数据包，基于传统的入侵检测系统(IDS)和入侵防护系统(IPS)的第一代和第二代网络应用防火墙(WAF)，通过对数据包中的单元进行模式匹配，来判断相应的网络信息中是否存在攻击。也就是说，传统的第一代、第二代网络应用防火墙(WAF)通过检测相应的数据包是否与由管理器事先记录的一般5000个攻击模式(一般表示为Regx)的数据包相对应，来判断究竟是正常的数据包，还是攻击数据包。

而最新研发的网络应用防火墙(WAF)采用了深度包检测(DPI)方法，它不像传统的方法那样只检测数据包的包头来判断是否存在攻击，而还要检测数据包的净负荷部分。然而这不是一种真正的应用层上的防护方法，而只是根据相关技术在第4层检测的高级方法。

另外，传统的在第4层实施的攻击检测方法，用来检测应用层(第7层)发生的攻击，有以下4个局限性。

第一，一旦攻击模式发生变化，就需要添加新的攻击模式。

第二，由于处理速度的需求，能够登记的攻击模式数量有一定限制(最大数量为10000)，需要定期对以前登记的攻击模式予以删除。

第三，基于第4层数据包模式匹配的传统网络应用防火墙(WAF)，很难从技术上对攻击数据包进行调整(例如删除个人信息的指定部分，例如对HTML标签进行调整、删除等)。

原因如下。数据包的调整会引起数据包大小的改变。对于第一代、第二代网络应用防火墙(WAF)，对数据包包头中数据包尺寸的变更进行再注册需要很多操作，会增加处理时间，这使其很难适应网络服务的实际环境。

第四，由于传统方法不是通过检测整个的HTTP信息而是部分的HTTP信息来判断攻击，因此在语义上会出现错误，例如将一个非攻击型数据包判断成攻击数据包等。

发明内容

因此，考虑到上述相关技术中存在的问题提出了本发明，本发明旨在提出一种网络应用攻击的检测方法，在该方法中，仅从所接收到的HTTP信息中分离出净负荷，将HTTP信息重新组合，然后利用分析器对组合后的HTTP信息进行分析，以判断组合后的HTTP信息是否包含与攻击相关的内容。

为了达到上述目的，依照本发明的一个方面，提出了一种网络应用攻击的检测方法，该方法包括以下步骤：当接收到构成HTTP信息的数据包时，网络应用防火墙将该HTTP信息重新组合；分析组合后的HTTP信息并判断组合后的HTTP信息是否包括与攻击相关的内容；如果组合后的HTTP信息不包括与攻击相关的内容，就将组合后的HTTP信息发送给web服务器或用户服务器，正常处理组合后的HTTP信息；如果组合后的HTTP信息包括与攻击相关的内容，则将组合后的HTTP信息检测为攻击，对其进行重新处理。

如前所述，依据本发明，只是从接收到的HTTP信息的数据包中分离出净负荷，重新组合该HTTP信息，利用分析器分析组合后的HTTP信息的内容，以确定组合后的HTTP信息是否包括与攻击相关的内容，由此减少了误报率。

附图说明