[发明专利]一种基于文件服务系统的web攻击行为检测方法及系统

权利要求书

1.一种基于文件服务系统的web攻击行为检测方法，其特征在于，所述方法包括：

步骤S101：Web服务器周期性监听来自至少一个客户端对文件服务系统中的文件访问请求；

步骤S102：提取出该文件访问请求的类别，若为文件上传请求，则进入步骤S103：如为下载请求，则进入步骤S104；

步骤S103：Web服务器直接启动文件上传模式攻击行为检测程序进行文件扫描，若无攻击行为，则提取上传的文件标识，并查表获取该文件存储的位置信息，将上传的文件发送至指定位置进行存储；

步骤S104：根据下载请求中携带的文件标识直接定位至待下载的文件所在位置，并在该位置启动文件下载模式攻击行为检测程序，在下载请求在所在位置获取文件的同时进行实时扫描，若发现攻击行为，则启动拦截程序，拒绝该下载请求，并进入步骤S106；若未发现攻击行为，则进入步骤S105；

步骤S105：向客户端返回接收文件访问请求的响应消息；

步骤S106：向客户端返回拒绝接收文件访问请求的响应消息。

2.根据权利要求1所述的基于文件服务系统的web攻击行为检测方法，其特征在于：所述步骤S101中，在步骤之前还包括：

预先建立多个web服务器与文件服务系统的分布式攻击行为检测模型，每一个web服务器对应管理相互关联的文件服务系统，在该模型中将文件服务系统划分为多个子文件服务系统，每个子文件服务系统中设置文件列表以指示文件位置，web服务器中存储有其对应管理的每个子文件服务系统的文件列表。

3.根据权利要求2所述的基于文件服务系统的web攻击行为检测方法，其特征在于：在web服务器中设置文件上传模式攻击行为检测程序，每个子文件服务系统中设置一文件下载模式攻击行为检测程序。

4.根据权利要求3所述的基于文件服务系统的web攻击行为检测方法，其特征在于：在web服务器中设置文件上传模式攻击行为检测程序具体包括：

在web服务器中设置黑名单和白名单程序检测模型，在白名单检测模型中设置当前时间之前获取的网络安全行为数据库，该数据库中存储有安全行为特征，在黑名单检测模型中建立当前时间之前获取的网络攻击行为数据训练模型。

5.根据权利要求4所述的基于文件服务系统的web攻击行为检测方法，其特征在于：Web服务器直接启动文件上传模式攻击行为检测程序进行文件扫描具体包括：

在对文件进行扫描时，将所述文件在白名单数据库中进行轮询，若匹配，则该文件请求为合法请求，提取出文件标识，在文件列表中进行轮询以查找其对应的存储位置，以存储至相应的子文件服务系统，若不匹配，则调用黑名单检测模型，在发现攻击行为时发出拒绝访问请求，若未发现攻击行为，则训练出新的行为特征数据，并将该行为特征数据调度至白名单检测模型，以更新白名单数据，若发现攻击行为，则提取出该行为特征数据，并存储至黑名单检测模型以更新黑名单数据。

6.根据权利要求1所述的基于文件服务系统的web攻击行为检测方法，其特征在于：所述文件标识为文件名或者文件扩展名通过hash计算后得到的特征值，该特征值唯一指示一对应的文件。

7.根据权利要求1所述的基于文件服务系统的web攻击行为检测方法，其特征在于：所述Web服务器周期性监听来自至少一个客户端对文件服务系统中的文件访问请求步骤之后，还包括：提取访问请求携带的用户权限，若不符合权限要求，则直接拒绝文件访问请求。

8.根据权利要求7所述的基于文件服务系统的web攻击行为检测方法，其特征在于：若提取访问请求携带的用户权限符合权限访问要求，则提取该权限对应的客户端属性信息，在扫描出上传文件或者下载文件过程中有攻击行为特征时，则记录攻击行为特征的同时将客户端属性信息对应至相应的攻击行为特征，以形成攻击行为数据，该数据包括客户端属性信息以及攻击行为特征数据，其中，所述客户端属性信息包括客户端IP地址或者MAC地址。