发明名称 |
一种Web攻击的检测方法及装置 |
摘要 |
一种Web攻击检测方法及装置;方法包括:对于待处理的多条Web日志,按照所述Web日志中的统一资源定位符URL进行划分,得到不同URL对应的Web日志子集;对于每个URL所对应的Web日志子集分别进行以下处理:选取所述Web日志子集中部分Web日志,所选取的Web日志在所述Web日志子集中所占的比例小于或等于预定的比例上限;根据所选取的Web日志构建该URL对应的正常行为模型;对于每个URL所对应的Web日志子集,分别基于该URL对应的正常行为模型,对该URL所对应Web日志子集中未被选取的Web日志进行异常检测。本发明能够对Web应用防火墙无法发现的Web攻击进行事后的攻击检测和取证。 |
申请公布号 |
CN105516128A |
申请公布日期 |
2016.04.20 |
申请号 |
CN201510889266.0 |
申请日期 |
2015.12.07 |
申请人 |
中国电子技术标准化研究院 |
发明人 |
叶润国;蔡磊;范科峰 |
分类号 |
H04L29/06(2006.01)I;H04L29/08(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京安信方达知识产权代理有限公司 11262 |
代理人 |
李红爽;栗若木 |
主权项 |
一种Web攻击检测方法,包括:S110、对于待处理的多条Web日志,按照所述Web日志中的统一资源定位符URL进行划分,得到不同URL对应的Web日志子集;S120、对于每个URL所对应的Web日志子集分别进行以下处理:选取所述Web日志子集中部分Web日志,所选取的Web日志在所述Web日志子集中所占的比例小于或等于预定的比例上限;根据所选取的Web日志构建该URL对应的正常行为模型;S130、对于每个URL所对应的Web日志子集,分别基于该URL对应的正常行为模型,对该URL所对应Web日志子集中未被选取的Web日志进行异常检测。 |
地址 |
100176 北京市大兴区亦庄经济开发区同济南路8号中国电子技术标准化研究院信息安全研究中心 |