[发明专利]一种基于文件服务系统的web攻击行为检测方法及系统

说明书

本发明提出了一种基于文件服务系统的web攻击行为检测方法及系统，Web服务器周期性监听来自至少一个客户端对文件服务系统中的文件访问请求；提取出该文件访问请求的类别，若为文件上传请求，Web服务器启动文件上传模式攻击行为检测程序进行扫描，若无攻击行为，则提取文件标识，并查表获取文件存储的位置，将上传的文件发送至指定位置进行存储；若为文件下载请求，根据文件标识直接定位至待下载的文件所在位置，并在该位置启动文件下载模式攻击行为检测程序，在下载请求在所在位置获取文件的同时进行实时扫描，若发现攻击行为，则启动拦截程序，拒绝该下载请求,从而有针对性的进行文件攻击行为扫描，保证了文件的安全性。

技术领域

本发明涉及网络安全技术领域，具体为一种基于文件服务系统的web攻击行为检测方法及系统。

背景技术

随着计算机技术的高速发展，在网络、磁盘、CPU等方面技术的大大提升，分布式文件服务系统得到不断的改进与提高，同时，随着大规模并行计算、网络新媒体、图像处理等应用也越来越需要一个大容量、高性能、高可靠性的分布式存储环境。

虽然现有的分布式文件服务系统已经基本满足用户对于文件的存储需求，但是由于用户对于不同文件的安全级别的限定使得部分文件服务系统中的文件面临安全威胁，尤其是网络安全隐患中的网络攻击行为使得文件存储过程中面临极大威胁，如何对现有的分布式文件服务系统进行改进以及网络攻击行为的有效检测成为本发明所需要解决的技术问题。

发明内容

为解决上述技术问题，本发明提出了一种基于文件服务系统的web攻击行为检测方法及系统，以解决现有的分布式文件系统的部署不足以及不能及时进行攻击行为检测造成的安全威胁的及时问题。

本发明的第一方面的目的是通过以下技术方案实现的：

一种基于文件服务系统的web攻击行为检测方法，所述方法包括如下步骤：

步骤S101：Web服务器周期性监听来自至少一个客户端对文件服务系统中的文件访问请求；

步骤S102：提取出该文件访问请求的类别，若为文件上传请求，则进入步骤S103：如为下载请求，则进入步骤S104；

步骤S103：Web服务器直接启动文件上传模式攻击行为检测程序进行文件扫描，若无攻击行为，则提取上传的文件标识，并查表获取该文件存储的位置信息，将上传的文件发送至指定位置进行存储；

步骤S104：根据下载请求中携带的文件标识直接定位至待下载的文件所在位置，并在该位置启动文件下载模式攻击行为检测程序，在下载请求在所在位置获取文件的同时进行实时扫描，若发现攻击行为，则启动拦截程序，拒绝该下载请求并进入步骤S106；若未发现攻击行为，则进入步骤S105；

步骤S105：向客户端返回接收文件访问请求的响应消息；

步骤S106：向客户端返回拒绝接收文件访问请求的响应消息。

进一步的，在Web服务器周期性监听来自至少一个客户端对文件服务系统中的文件访问请求步骤之前还包括：

预先建立多个web服务器与文件服务系统的分布式攻击行为检测模型，每一个web服务器对应管理相互关联的文件服务系统，在该模型中将文件服务系统划分为多个子文件服务系统，每个子文件服务系统中设置文件列表以指示文件位置，web服务器中存储有其对应管理的每个子文件服务系统的文件列表。

进一步的，在web服务器中设置文件上传模式攻击行为检测程序，每个子文件服务系统中设置一文件下载模式攻击行为检测程序。

进一步的，所述在web服务器中设置文件上传模式攻击行为检测程序，具体包括，在web服务器中设置黑名单和白名单程序检测模型，在白名单检测模型中设置当前时间之前获取的网络安全行为数据库，该数据库中存储有安全行为特征，在黑名单检测模型中建立当前时间之前获取的网络攻击行为数据训练模型。