[发明专利]一种基于表达式的web攻击行为检测方法及系统

说明书

本发明提出了一种基于表达式的web攻击行为检测方法及系统，包括：接收来自至少一个用户基于多个web应用程序的访问请求；提取该访问请求中携带的IP数据，并基于第一预设规则判断所述IP是否满足预设条件；若为满足条件的IP则将所述访问请求通过WAF虚拟机进行表达式检测，基于表达式检测的无攻击行为输出结果且在满足第二预设规则后，通过服务器向所述用户返回基于该访问请求的内容响应消息；若为不满足预设条件的IP，则提取所述访问请求的数据携带的特征数据，将该特征数据输入至WAF虚拟机的表达式训练模型，同时向用户返回错误信息。本发明在检测中设置了三级检测程序，提高了漏洞检测准确率以及效率。

技术领域

本发明涉及网络安全技术领域，具体为一种基于表达式的web攻击行为检测方法及系统。

背景技术

Web应用程序就是运行在互联网上的应用程序，以用户PC上的浏览器作为通用客户端，用户使用浏览器发送HTTP或HTTPS请求到服务器，服务器根据用户的请求作出响应，解析请求的数据后获取相应的数据内容并封装成报文返回给浏览器，浏览器向用户呈现相应内容。

基于web的攻击行为就是在用户通过向服务器发送请求以获取相应内容的过程中由于受到攻击者基于web应用中可能存在的缺陷或漏洞而发生的攻击行为，攻击者通过访问未授权的数据，从而破坏web安全。现有的web攻击行为检测方法包括结构化查询语言SQL(Structured Query Language)注入检测、跨站脚本XSS检测，在这些检测模式中包括了通过表达式删选URL方式来进行字符串匹配，正则表达式的使用方法简单，规则关键词也是简单易懂，并且具有很强的灵活性，可以写出任何规则来对字符串进行控制，但是正则表达式的使用需要根据统一资源定位系统URL((uniform resource locator)来进行匹配，这就需要做到高效率的查询到较为完整的URL，才能提高漏洞扫描系统的准确性和效率，而如何在进行基于web攻击行为有效的提取出URL以及基于不同类别的攻击行为进行区分检测，成为本发明需要解决的技术问题。

发明内容

为解决上述技术问题，本发明提出了一种基于表达式的web攻击行为检测方法及系统，以提高漏洞扫描的准确性和效率。

本发明的第一方面的目的是通过以下技术方案实现的：

一种基于表达式的web攻击行为检测方法，包括：

接收来自至少一个用户基于多个web应用程序的访问请求；

提取该访问请求中携带的IP数据，并基于第一预设规则判断所述IP是否满足预设条件；

若为满足条件的IP则将所述访问请求通过WAF虚拟机进行表达式检测，基于表达式检测的无攻击行为输出结果且在满足第二预设规则后，通过服务器向所述用户返回基于该访问请求的内容响应消息；

若为不满足预设条件的IP，则提取所述访问请求的数据携带的特征数据，将该特征数据输入至WAF虚拟机的表达式训练模型，同时向用户返回错误信息。

进一步，所述基于第一预设规则判断所述IP是否满足预设条件，具体包括，分别设置基于IP的黑名单检测模型和白名单检测模型，若所述IP符合白名单检测模型，则所述IP为合法IP，若匹配黑名单检测模型，则所述IP为非法IP，若所述IP既不属于白名单也不属于黑名单模型，则将所述IP所携带的访问请求添加标签，以定义在进行表达式检测时需要判断IP的合法性，其中，所述预设条件为合法IP或添加标签的IP。

进一步，若为满足条件的IP则将所述访问请求通过waf虚拟机进行表达式检测的步骤具体包括，将合法IP或添加标签IP的访问请求通过WAF虚拟机的表达式检测模型进行攻击行为检测，当检测出添加标签IP的访问请求中含有攻击行为时，将IP数据输入至黑名单模型，若不含有攻击行为时，则将IP数据输入至白名单模型，并对所述白名单模型或黑名单模型进行模型更新。