防護Web攻擊的方法

2023-05-10 04:51:51

防護Web攻擊的方法
【專利摘要】本發明涉及一種防護Web攻擊的方法，包括以下步驟：對各訪問請求，提供以下防護組合中的至少一種：A.先執行黑名單防護子流程，再執行白名單防護子流程；B.執行黑名單防護子流程，同時對該訪問請求的鏡像流量執行白名單防護子流程；C.先判斷該訪問請求的通用資源標識符(URI)是否在已充分學習白名單的URI庫，如果是，則對該訪問請求執行白名單防護子流程，如果不是，則對該訪問請求執行黑名單防護子流程；其中在各組合中，在對各訪問請求執行完黑名單防護子流程後，執行白名單學習子流程，以訪問請求中的URI為單位學習白名單。
【專利說明】防護Web攻擊的方法

【技術領域】
[0001]本發明涉及Web應用安全領域，尤其是涉及一種防護Web攻擊的方法。

【背景技術】
[0002]Web 應用防火牆(Web Applicat1n Firewall, WAF)是通過執行一系列針對 HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。隨著高級持續性威脅(AdvancedPersistent Threat, APT)攻擊的出現,可以看到黑客們頻繁使用新的漏洞進行攻擊,攻擊越來越有針對性和持續性。防護未知攻擊和迅速防護成了 WAF碰到的主要挑戰。
[0003]在Web應用安全防護領域，現有的防護策略主要有黑名單技術和白名單技術。黑名單技術主要通過收集已知漏洞提取出攻擊特徵庫，基於這個庫來識別攻擊行為；若訪問請求和攻擊特徵庫匹配，則認為是攻擊，否則認為是正常。白名單技術主要針對網站的流量，進行一段時間的學習，建立一套正常行為基線；後續的訪問請求如在基線之內，則認為是正常，否則會被識別為攻擊。
[0004]現有WAF的防護技術，在防護過程中基本上是單獨使用白名單技術或者黑名單技術。但是如果單獨採用黑名單技術，由於攻擊特徵是基於已知漏洞的，所以存在難以防護未知攻擊的問題，而如果單獨採用白名單技術，因為需要時間學習，存在難以迅速防護的問題。
[0005]上述現有技術中的缺點，造成了目前的WAF還無法迅速防禦未知攻擊。因此，亟需一種能迅速防禦未知攻擊的方法。


【發明內容】

[0006]本發明所要解決的技術問題是提供一種防護Web攻擊的方法，它可以防禦未知攻擊，而且能夠迅速建立防護。
[0007]本發明為解決上述技術問題而採用的技術方案是提出一種防護Web攻擊的方法，包括以下步驟:對各訪問請求，提供以下防護組合中的至少一種:A.先執行黑名單防護子流程，再執行白名單防護子流程；B.執行黑名單防護子流程，同時對該訪問請求的鏡像流量執行白名單防護子流程；C.先判斷該訪問請求的通用資源標識符(URI)是否在已充分學習白名單的URI庫，如果是，則對該訪問請求執行白名單防護子流程，如果不是，則對該訪問請求執行黑名單防護子流程；其中在各組合中，在對各訪問請求執行完黑名單防護子流程後，執行白名單學習子流程，以訪問請求中的URI為單位學習白名單。
[0008]在本發明的一實施例中，在各組合中，在執行完該黑名單防護子流程後，發送日誌給該白名單學習子流程。
[0009]在本發明的一實施例中，在該組合A和組合B中，該白名單學習子流程向該白名單防護子流程輸出如下內容:正常行為基線，用於檢測請求是否異常；白名單規則庫，用於排除請求的可疑特徵。
[0010]在本發明的一實施例中，在該組合C中，該白名單學習子流程向該白名單防護子流程輸出如下內容:正常行為基線，用於檢測請求是否異常；白名單規則庫，用於排除請求的可疑特徵；以及已充分學習白名單的庫，用於該組合(:決定該訪問請求執行該黑名單防護子流程還是該白名單防護子流程。
[0011]在本發明的一實施例中，該白名單學習子流程向該白名單防護子流程定期更新該正常行為基線，且隨時更新該白名單規則庫。
[0012]在本發明的一實施例中，該白名單學習子流程向該白名單防護子流程定期更新該正常行為基線，且隨時更新該白名單規則庫和該已充分學習白名單庫。
[0013]在本發明的一實施例中，執行該白名單學習子流程包括如下步驟:清洗掉不符合111:?)或111:1:1)8規範的日誌；對每個1101的訪問者來源、訪問次數和訪問頻率進行統計分析，建立一條基線值；對仏如或111:1:1)8請求中的各個參數的數據類型進行統計分析,建立一條基線值；建立一個可疑特徵庫，將日誌與可疑特徵庫進行匹配以找出可疑點；分析該可疑點，生成白名單規則庫。
[0014]在本發明的一實施例中，對於每一處可疑點，如果在設定的時間範圍內，訪問來源和訪問次數都超過設定的閾值，那麼則消除該可疑點。
[0015]在本發明的一實施例中，在該組合中，該白名單學習子流程是基於以下參數的至少部分判定訪問請求中的口虹是否已充分學習白名單:口虹的白名單條數、可疑點的日誌數量、無可疑點的日誌數量、以及訪問時間，以建立該已充分學習白名單的庫。
[0016]在本發明的一實施例中，在該組合中，判斷該訪問請求中的現I是否已經學習過白名單的步驟包括#判斷下該的白名單條數是否超過一定的閾值，如果超過，則認定已經充分學習山.判斷有可疑點的日誌數量是否超過設定的閾值，並且所有可疑點均被分析過，如果滿足這兩個條件，則認定為已經學習充分義判斷無可疑點的日誌是否超過設定的閾值，如果超過，則認定已經充分學習判斷該的訪問時間是否超過設定的閾值，如果超過，則認定已經充分學習。
[0017]在本發明的一實施例中，執行該黑名單防護子流程包括:將該訪問請求與黑名單庫進行匹配；如果該訪問請求與所述黑名單庫匹配上，則判定該訪問請求為攻擊；否則判定為正常。
[0018]在本發明的一實施例中，執行該白名單防護子流程包括#檢測該次訪問請求是否偏離該正常行為基線，如果偏離，則判定為攻擊，如果未偏離，進入步驟6山.通過一可疑特徵庫，檢測該次訪問是否存在可疑點，如果有可疑點，進入步驟6否則進入步驟1(3.將該可疑點和該白名單規則庫進行匹配，如果在白名單規則庫中，則進入步驟山如果不在白名單規則庫中，則判定為攻擊；土將該次訪問請求判定為正常。
[0019]在本發明的一實施例中，當防護組合中的至少兩種時，允許使用者選擇所使用的防護組合。
[0020]本發明由於採用以上技術方案，通過黑名單和白名單組合防護相比現有技術的單獨防護，既能夠防護未知攻擊，又能夠進行快速防禦。並且，本發明是以為單位學習白名單，令白名單防護時間明顯提前，使I八？更早進行針對未知攻擊的白名單防護。

【專利附圖】

【附圖說明】
[0021]為讓本發明的上述目的、特徵和優點能更明顯易懂，以下結合附圖對本發明的【具體實施方式】作詳細說明，其中:
[0022]圖1示出根據本發明的一個實施例的防護Web攻擊的方法原理圖。
[0023]圖2示出根據本發明的一個實施例的防護Web攻擊的方法流程圖。
[0024]圖3示出根據本發明的一個實施例的黑名單防護子流程的流程圖。
[0025]圖4示出根據本發明的一個實施例的白名單學習子流程的流程圖。
[0026]圖5示出根據本發明的一個實施例的以URI為單位學習白名單的流程圖。
[0027]圖6示出根據本發明的一個實施例的判斷URI是否充分學習白名單的流程圖。
[0028]圖7示出根據本發明的一個實施例的白名單防護子流程的流程圖。

【具體實施方式】
[0029]以下在【具體實施方式】中詳細敘述本發明的詳細特徵以及優點，其內容足以使任何本領域技術人員了解本發明的技術內容並據以實施，且根據本說明書所揭露的說明書、權利要求及附圖，本領域技術人員可輕易地理解本發明相關的目的及優點。
[0030]本發明的實施例描述防護Web攻擊的方法，這一方法組合使用黑名單防護和白名單防護。黑名單防護主要通過收集已知漏洞提取出攻擊特徵庫，因此可以防護已知攻擊。白名單防護主要針對網站的流量，進行一段時間的學習，建立一套正常行為基線，可以防護未知攻擊。可以理解，黑名單防護存在難以防護未知攻擊的問題，白名單防護，存在難以迅速防護的問題。因此組合防護相比單獨防護，既能夠防護未知攻擊，又能夠進行快速防禦。
[0031]黑名單防護和白名單防護的組合方式例如可以包括:先後檢測，先經過黑名單防護再經過白名單防護；過渡檢測，充分學習白名單之前，使用黑名單防護，充分學習之後，過渡到使用白名單防護；同時檢測，黑名單機制檢測已知攻擊，鏡像一份流量，用白名單機制發現未知攻擊。但是可以理解，在本發明的各個實施例中，可以僅提供上述組合中的一種或多種。當提供了多種組合時，WAF(Web Applicat1n Firewall,應用防火牆)可以預設這些組合的優先級。或者，WAF可以允許使用者根據偏好確定這些組合的優先級。
[0032]儘管組合黑名單防護和白名單防護比起單獨防護存在優勢。但是在白名單防護建立前，防護方法仍然僅依賴於黑名單防護。這一段可觀的時期成為WAF的薄弱之處。為了解決這一問題，本發明的實施例改變了白名單學習的流程及啟用時機。具體地說，不再以整個網站為單位來學習白名單，而是以網站中的通用資源標識符(URI)為單位來學習白名單。當一個URI已經學習白名單後，即可以使用這部分內容進行白名單防護。這一方法的優勢是令白名單防護時間明顯提前，使WAF更早進行針對未知攻擊的白名單防護。
[0033]本發明的實施例將在參考附圖的下述描述中展開。
[0034]圖1示出了根據本發明的一個實施例的防護Web攻擊的方法原理圖。參考圖1所示，根據本發明實施例的方法，包括步驟101，WAF在受到訪問請求時，對各個訪問請求，提供至少一種黑名單防護和白名單防護組合。舉例來說，組合可以包括:
[0035]A.先執行黑名單防護子流程，再執行白名單防護子流程；
[0036]B.執行黑名單防護子流程，同時對訪問請求的鏡像流量執行白名單防護子流程；
[0037]C.先判斷訪問請求的URI是否在已充分學習白名單的URI庫，如果是，則對該訪問請求執行白名單防護子流程，如果不是，則對該訪問請求執行黑名單防護子流程。
[0038]在各組合中，還包括步驟102，在對各訪問請求執行完黑名單防護子流程後，執行白名單學習子流程，以訪問請求中的為單位學習白名單。
[0039]可以理解，這一方法並不是按照圖1中的順序來執行的，相反，步驟102是穿插在步驟101中執行的。而在步驟101中，黑名單防護子流程和白名單防護子流程則因不同組合而有不同的執行時機配合。
[0040]圖2示出根據本發明的一個實施例的防護攻擊的方法流程圖。參考圖2所示，在步驟200，解析接收到的訪問請求，例如仏如或者111:1:1)8請求。這一解析步驟包括提取訪問請求中的1101，請求參數，請求頭01621(1610，請求體(化辦)等。在步驟201，選擇一種組合方式。這一選擇可以基於系統預設或者用戶自定義設置。在這一選擇被固定後，步驟201可以被省略。
[0041]如果選擇的是組合八，進入步驟202，首先執行黑名單防護子流程。接著進入步驟203，執行白名單防護子流程，繼續處理請求。在步驟202執行完黑名單防護子流程後，同時發送日誌給白名單學習子流程。在步驟203，執行白名單學習子流程以學習白名單。學習白名單後有2項輸出:正常行為基線，用於檢測請求是否異常；白名單規則庫，用於排除請求的可疑特徵。
[0042]在本發明的上下文中，請求和攻擊特徵庫匹配，如果匹配上，則認為是存在可疑點。對這些可疑點，進行分析，如果認定正常，則會產生一條規則。用於在執行安全檢測的時候，排除可疑。白名單規則庫，是這些規則的結合。
[0043]在此，由於步驟203白名單學習子流程和步驟204白名單防護子流程均在步驟202之後執行，並非按順序執行，因此需要在二者間進行同步。步驟203輸出的正常行為基線和白名單規則庫提供給步驟204。正常行為基線定期更新到步驟204，白名單規則庫則隨時更新，步驟204處理完正在處理中的對應的域名之後，立即加載新的白名單規則庫。
[0044]如果選擇的是組合8，進入步驟205，首先執行的也是黑名單防護子流程。同時在步驟207，鏡像一份流量，轉入步驟208，執行白名單防護子流程。需要指出的是，在這一組合下，步驟208白名單防護子流程沒有阻斷動作，而有報警動作。不使用阻斷動作的優點是避免過多的阻斷，維持整個防護流程的速度；同時，使用報警動作仍可以讓防護流程在今後面對同樣的攻擊時有效識別，保證安全性。在步驟205執行完黑名單防護子流程後，同時發送日誌給白名單學習子流程。在步驟203，執行白名單學習子流程以學習白名單。學習白名單後有2項輸出:正常行為基線，用於檢測請求是否異常；白名單規則庫，用於排除請求的可疑特徵。
[0045]由於步驟206白名單學習子流程和步驟208白名單防護子流程並非按順序，因此需要在二者間進行同步。步驟206輸出的正常行為基線和白名單規則庫提供給步驟208。正常行為基線定期更新到步驟208，白名單規則庫則隨時更新，步驟208處理完正在處理中的對應的域名之後，立即加載新的白名單規則庫。
[0046]如果選擇的是組合0，進入步驟209，判斷請求中的口虹是否在已充分學習白名單的庫中，如果不在，那麼進入步驟210，執行黑名單防護子流程。這種情形集中出現在I八？運作的初期。如果在，那麼進入步驟212，執行白名單防護子流程。在步驟210執行完黑名單防護子流程後，同時發送日誌給白名單學習子流程。在步驟211，執行白名單學習子流程以學習白名單。學習白名單後有3項輸出:正常行為基線，用於檢測請求是否異常；白名單規則庫，用於排除請求的可疑特徵；已充分學習白名單的庫，用於決定請求走黑名單防護還是白名單防護。已充分學習白名單的URI庫被提供給步驟209。
[0047]由於步驟211白名單學習子流程和步驟212白名單防護子流程並非按順序，因此需要在二者間進行同步。步驟211輸出的正常行為基線和白名單規則庫提供給步驟212。正常行為基線定期更新到步驟212，白名單規則庫則隨時更新，步驟212處理完正在處理中的對應的域名之後，立即加載新的白名單規則庫。
[0048]下面分別描述各個子流程的具體步驟。
[0049]圖3示出根據本發明的一個實施例的黑名單防護子流程的流程圖。參考圖3所示，流程如下:
[0050]在步驟301,將解析訪問請求(例如http或https請求)得到的各個檢測參數和黑名單規則庫進行匹配；
[0051]在步驟302判斷是否匹配上，如果匹配上，則判定為攻擊，進入步驟303 ;否則判定為正常，進入步驟304 ；
[0052]在步驟303，根據配置的處理策略處理該請求。處理策略例如:阻斷、報警以及只記攻擊日誌；
[0053]在步驟304，轉發請求，然後結束流程。
[0054]在步驟305，根據是否阻斷進行不同的處理，如果不阻斷，則進入步驟306，記錄日誌或者報警，然後跳到步驟304轉發請求；如果阻斷，則在步驟307阻斷，並結束流程。
[0055]在本發明的上下文中，黑名單規則庫是通過對攻擊特徵的分析，提煉出的一套規則集。
[0056]圖4示出根據本發明的一個實施例的白名單學習子流程的流程圖。參考圖5所示，這一流程主要包括兩個步驟，步驟401是以URI為單位學習白名單；步驟402是URI是否已經充分學習白名單。如前所述，判斷URI是否已經充分學習白名單可以僅在部分組合中，例如組合C的白名單學習子流程中選擇執行。
[0057]以URI為單位學習白名單的基本操作是針對黑名單防護輸出的日誌，以URI為單位，進行智能分析，產生白名單規則庫和正常行為基線。圖6示出根據本發明的一個實施例的以URI為單位學習白名單的流程圖。參考圖6所示，流程包括:
[0058]步驟501，提取日誌，加載到資料庫中；
[0059]步驟502，清洗掉不符合HTTP或HTTPS規範的日誌，這部分日誌不會生成白名單；
[0060]步驟503，選定某個URI，分別進行步驟504-505和步驟506-507的處理。
[0061]步驟504，對URI的訪問者來源(例如IP)、訪問次數和訪問頻率等，進行統計分析，建立一條基線值；
[0062]在步驟505,對http或https請求中的各個參數的數據類型,進行統計分析,建立一條基線值；由此得到正常行為基線51 ；
[0063]在步驟506，建立一個可疑特徵庫，將日誌與可疑特徵庫進行匹配找出日誌中的可疑點；
[0064]在步驟507，分析可疑點，生成白名單規則；
[0065]舉例來說，對於每一處可疑點，如果在設定一個時間範圍內，訪問來源和訪問次數都超過一個設定的閾值，那麼則消除該可疑點。這樣做的依據是，對於Web攻擊，黑客在一個短的時間段內，同時使用多個IP,來大量重複嘗試同種類型攻擊,攻擊成本會比較高。
[0066]由此得到白名單規則庫52。
[0067]在步驟508，判斷是否所有[虹都已經處理完畢，如果是，則結束流程，否則回到步驟 503。
[0068]在本發明的上下文中，可疑特徵庫是一些關鍵字集合，這些關鍵字通常是敏感操作。非請求基本上會包括這些關鍵字，正常的請求也可能包括這些關鍵子。有這些關鍵字的請求，定位為可疑的。
[0069]在步驟506中，是將日誌與可疑特徵庫進行匹配，如果日誌中的檢查點包含可疑特徵庫中的關鍵字，則把這個檢查點標記可疑點。
[0070]舉例來說，首先以四元組的方式記錄⑴此，檢測區域，檢測變量，可疑關鍵字10)可疑點。檢測區域可以包括:請求頭，？081參數，621參數，完整的11尺1。
[0071]接著分析對於每一處可疑點(每一個四元組)。在設定的時間範圍內，統計訪問來源I？數量和訪問次數。對這2個參數都可以設置一個閾值，如果統計結果超過閾值，則消除該可疑點。生成一個五元組⑴此，檢測區域，檢測變量，可疑特徵10，白名單標記)。這個五元組，就是一條白名單規則。
[0072]對所有可疑點分析完之後，就生成了一個白名單規則庫。
[0073]圖6示出根據本發明的一個實施例的判斷是否充分學習白名單的流程圖。參考圖6所示，流程如下:
[0074]首先在步驟601，判斷現I的白名單條數是否超過一定的閾值，如果超過，則跳到步驟606，認定已經充分學習白名單；如果沒超過，考慮存在這樣的場景，就是雖然訪問次數很多，但是白名單條數較少；因此可以統計一下，對該的日誌，分析了多少。通過可疑特徵庫，對日誌進行分類，一類是有可疑點的，一類是無可疑點的。
[0075]具體地說，在步驟602，對於有可疑點的日誌，判斷其數量是否超過閾值，如果數量超過設定的閾值，則進入步驟603，否則進入步驟604 ；
[0076]在步驟603，判斷可疑點是否已經消除，如果可疑點均被消除，則跳到步驟606，認定已經充分學習白名單，否則進入步驟604 ；
[0077]考慮存在這樣的場景，就是日誌沒有或者較少的可疑點。因此在步驟604，對於無可疑點的日誌，也設定一個閾值，判斷無可疑點的日誌數量是否超過閾值，如果超過閾值，則跳到步驟606，認定已經充分學習白名單。如果未超過閾值，表明兩種日誌數都比較少，考慮存在這樣的場景，就是對一個的訪問量本身就較少，因此進入步驟605。
[0078]在步驟605，統計一下對該現I的日誌的訪問時間。例如可以設定一個時間周期的閾值，如果訪問時間超過這個閾值，則認定已經充分學習白名單，進入步驟606，否則不認定充分學習白名單，結束流程。
[0079]需要留意的是，上述的各個判斷步驟的順序並不做限制，而是可以任意安排。進一步，在本發明的其它實施例中，可以僅使用上述的白名單條數、有可疑點的日誌數量、無可疑點的日誌數量以及的日誌的訪問時間中的一部分而不是參數來判斷是否充分學習白名單。
[0080]圖7示出根據本發明的一個實施例的白名單防護子流程的流程圖。參考圖7所示，流程包括:
[0081]在步驟701，記載正常行為基線、可疑特徵庫和白名單規則庫；
[0082]在步驟702，將http或https請求與正常行為基線進行匹配；
[0083]在步驟703,判斷http或https請求是否偏離該正常行為基線,如果偏離,則在步驟708判定為攻擊，如果未偏離，進入步驟704 ；
[0084]在步驟704,將http或https請求與可疑特徵庫進行匹配；
[0085]在步驟705，判斷是否存在可疑特徵，如果有可疑特徵，則在步驟708判定為攻擊，如果沒有可疑特徵，進入步驟706，
[0086]在步驟706，將可疑特徵和白名單規則庫進行匹配；
[0087]在步驟707，判斷可疑特徵是否在白名單規則庫中，如果不在白名單規則庫中，則在步驟708判定為攻擊，否則在步驟713判斷為正常；
[0088]在步驟708判斷為攻擊後，在步驟709根據配置的處理策略處理該請求。處理策略例如為:阻斷、報警以及只記攻擊日誌；
[0089]在步驟710，根據是否阻斷進行不同的處理，如果不阻斷，則進入步驟711，記錄日誌或者報警，然後跳到步驟714 ;如果阻斷，則在步驟712阻斷，並結束流程。
[0090]在步驟713判斷為正常後，在步驟714轉發請求，然後結束流程。
[0091]這裡採用的術語和表述方式只是用於描述，本發明並不應局限於這些術語和表述。使用這些術語和表述並不意味著排除任何示意和描述(或其中部分)的等效特徵，應認識到可能存在的各種修改也應包含在權利要求範圍內。其他修改、變化和替換也可能存在。相應的，權利要求應視為覆蓋所有這些等效物。
[0092]同樣，需要指出的是，雖然本發明已參照當前的具體實施例來描述，但是本【技術領域】中的普通技術人員應當認識到，以上的實施例僅是用來說明本發明，在沒有脫離本發明精神的情況下還可做出各種等效的變化或替換，因此，只要在本發明的實質精神範圍內對上述實施例的變化、變型都將落在本申請的權利要求書的範圍內。
【權利要求】
1.一種防護Web攻擊的方法，包括以下步驟: 對各訪問請求，提供以下防護組合中的至少一種: A.先執行黑名單防護子流程，再執行白名單防護子流程； B.執行黑名單防護子流程，同時對該訪問請求的鏡像流量執行白名單防護子流程； C.先判斷該訪問請求的通用資源標識符(URI)是否在已充分學習白名單的URI庫，如果是，則對該訪問請求執行白名單防護子流程，如果不是，則對該訪問請求執行黑名單防護子流程； 其中在各組合中，在對各訪問請求執行完黑名單防護子流程後，執行白名單學習子流程，以訪問請求中的URI為單位學習白名單。
2.如權利要求1所述的方法，其特徵在於，在各組合中，在執行完該黑名單防護子流程後，發送日誌給該白名單學習子流程。
3.如權利要求1所述的方法，其特徵在於，在該組合A和組合B中，該白名單學習子流程向該白名單防護子流程輸出如下內容: 正常行為基線，用於檢測請求是否異常； 白名單規則庫，用於排除請求的可疑特徵。
4.如權利要求1所述的方法，其特徵在於，在該組合C中，該白名單學習子流程向該白名單防護子流程輸出如下內容: 正常行為基線，用於檢測請求是否異常； 白名單規則庫，用於排除請求的可疑特徵；以及 已充分學習白名單的URI庫，用於該組合C決定該訪問請求執行該黑名單防護子流程還是該白名單防護子流程。
5.如權利要求2所述的方法，其特徵在於，執行該白名單學習子流程包括如下步驟: 清洗掉不符合http或https規範的日誌； 對每個URI的訪問者IP、訪問次數和訪問頻率進行統計分析，建立一條基線值； 對http或https請求中的各個參數的數據類型進行統計分析,建立一條基線值； 建立一個可疑特徵庫，將日誌與可疑特徵庫進行匹配以找出可疑點； 分析該可疑點，生成白名單規則庫。
6.如權利要求5所述的方法，其特徵在於，對於每一處可疑點，如果在設定的時間範圍內，訪問來源和訪問次數都超過設定的閾值，那麼則消除該可疑點。
7.如權利要求4所述的方法，其特徵在於，在該組合C中，該白名單學習子流程是基於以下參數的至少部分判定訪問請求中的URI是否已充分學習白名單:該URI對應的白名單條數、可疑點的日誌數量、無可疑點的日誌數量，訪問時間，以建立該已充分學習白名單的URI 庫。
8.如權利要求7所述的方法，其特徵在於，在該組合C中，判斷該訪問請求中的URI是否已經充分學習了白名單的步驟包括: a.判斷下該URI的白名單條數是否超過一定的閾值，如果超過，則認定已經充分學習； b.判斷有可疑點的日誌數量是否超過設定的閾值，並且所有可疑點均被分析過，如果滿足這兩個條件，則認定為已經學習充分； c.判斷無可疑點的日誌是否超過設定的閾值，如果超過，則認定已經充分學習； d.判斷該URI的訪問時間是否超過設定的閾值，如果超過，則認定已經充分學習。
9.如權利要求1所述的方法，其特徵在於，執行該黑名單防護子流程包括: 將該訪問請求與黑名單庫進行匹配； 如果該訪問請求與所述黑名單庫匹配上，則判定該訪問請求為攻擊；否則判定為正常。
10.如權利要求3或4所述的方法，其特徵在於，執行該白名單防護子流程包括: a.檢測該次訪問請求是否偏離該正常行為基線，如果偏離，則判定為攻擊，如果未偏離，進入步驟b ； b.通過一可疑特徵庫，檢測該次訪問是否存在可疑點，如果有可疑點，進入步驟C，否則進入步驟d ； c.將該可疑點和該白名單規則庫進行匹配，如果在白名單規則庫中，則進入步驟d，如果不在白名單規則庫中，則判定為攻擊； d.將該次訪問請求判定為正常。
【文檔編號】G06F21/55GK104361283SQ201410737526
【公開日】2015年2月18日 申請日期:2014年12月5日 優先權日:2014年12月5日
【發明者】洪珂, 許少年, 黃延福 申請人:網宿科技股份有限公司