| 发明名称 | 一种攻击检测方法及系统 | ||
| 摘要 | 本发明实施例公开了一种攻击检测方法及系统,预先建立与HTTP请求相关的多个检测模型,分别利用每个检测模型对web访问日志分解后的每条记录进行检测,得到每个检测模型针对该条记录的参数异常值;计算每个检测模型的参数异常值对应的优化加权值,加权计算最终参数异常值,并确定最终异常门限阈值;判断针对待检测日志记录计算出的最终参数异常值是否大于所确定的最终异常门限阈值;如果是,将待检测日志记录的HTTP请求确定为攻击行为。应用本发明实施例,可以主动发现未知攻击,提高了对未知攻击的检测率,且采用多检测模型的优化加权进行检测,避免了单一检测模型的局限性,减少了误报及漏报情况,降低了误检率。 | ||
| 申请公布号 | CN105337985A | 申请公布日期 | 2016.02.17 |
| 申请号 | CN201510809546.6 | 申请日期 | 2015.11.19 |
| 申请人 | 北京师范大学 | 发明人 | 王晶;高岩;王红蕊 |
| 分类号 | H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京柏杉松知识产权代理事务所(普通合伙) 11413 | 代理人 | 马敬;项京 |
| 主权项 | 一种攻击检测方法,其特征在于,预先建立预设数量的与HTTP请求相关的检测模型,所述方法包括:获得web访问日志,所述web访问日志包括多条记录,每条记录包括该条记录的HTTP请求的多个参数;对所获得的web访问日志进行分解,得到多条记录;针对所得到每条记录,判断该条记录的HTTP请求是否为成功状态;如果是,提取该条记录的第一数据,所述第一数据至少包括:该条记录的HTTP请求的多个参数;分别利用预先建立的每个检测模型对所述第一数据进行检测,分别得到每个检测模型针对该条记录的参数异常值;采用web访问日志样本集,根据优化算法计算得到每个检测模型的参数异常值对应的优化加权值,以及每个检测模型针对该条记录的参数异常值,加权计算得到针对该条记录的最终参数异常值;根据所述web访问日志样本集中的所有记录的最终参数异常值,通过迭代方式确定最终异常门限阈值;针对待检测日志记录,获得每个检测模型针对所述待检测日志记录的参数异常值;根据所述优化加权值以及针对所述待检测日志记录的参数异常值,计算所述待检测日志记录的最终参数异常值;判断针对所述待检测日志记录的最终参数异常值是否大于所确定的最终异常门限阈值;如果是,将所述待检测日志记录的HTTP请求确定为攻击行为。 | ||
| 地址 | 100875 北京市海淀区新街口外大街19号 | ||