| 发明名称 | 一种Web攻击的检测方法及装置 | ||
| 摘要 | 一种Web攻击检测方法及装置;方法包括:对于待处理的多条Web日志,按照所述Web日志中的统一资源定位符URL进行划分,得到不同URL对应的Web日志子集;对于每个URL所对应的Web日志子集分别进行以下处理:选取所述Web日志子集中部分Web日志,所选取的Web日志在所述Web日志子集中所占的比例小于或等于预定的比例上限;根据所选取的Web日志构建该URL对应的正常行为模型;对于每个URL所对应的Web日志子集,分别基于该URL对应的正常行为模型,对该URL所对应Web日志子集中未被选取的Web日志进行异常检测。本发明能够对Web应用防火墙无法发现的Web攻击进行事后的攻击检测和取证。 | ||
| 申请公布号 | CN105516128A | 申请公布日期 | 2016.04.20 |
| 申请号 | CN201510889266.0 | 申请日期 | 2015.12.07 |
| 申请人 | 中国电子技术标准化研究院 | 发明人 | 叶润国;蔡磊;范科峰 |
| 分类号 | H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京安信方达知识产权代理有限公司 11262 | 代理人 | 李红爽;栗若木 |
| 主权项 | 一种Web攻击检测方法,包括:S110、对于待处理的多条Web日志,按照所述Web日志中的统一资源定位符URL进行划分,得到不同URL对应的Web日志子集;S120、对于每个URL所对应的Web日志子集分别进行以下处理:选取所述Web日志子集中部分Web日志,所选取的Web日志在所述Web日志子集中所占的比例小于或等于预定的比例上限;根据所选取的Web日志构建该URL对应的正常行为模型;S130、对于每个URL所对应的Web日志子集,分别基于该URL对应的正常行为模型,对该URL所对应Web日志子集中未被选取的Web日志进行异常检测。 | ||
| 地址 | 100176 北京市大兴区亦庄经济开发区同济南路8号中国电子技术标准化研究院信息安全研究中心 | ||