[发明专利]漏洞攻击的检测方法和装置

权利要求书

1.一种漏洞攻击的检测方法，包括：

利用K均值聚类算法对样本数据分簇；

将实际访问数据在样本数据簇中进行归类；

根据将所述实际访问数据在所述样本数据簇中的归类结果确定所述实际访问数据是否为漏洞攻击。

2.根据权利要求1所述的方法，其特征在于，所述漏洞攻击为跨站脚本攻击。

3.根据权利要求1或2所述的方法，其特征在于，所述利用K均值聚类算法对样本数据分簇包括：

利用静态分析技术检测存在的漏洞类型，确定所述样本数据簇的数量K，并根据K值对样本数据进行分簇。

4.根据权利要求3所述的方法，其特征在于，K＝M+N，其中M表示静态分析检测得到的漏洞数目，N为正常访问数据簇的数目。

5.根据权利要求3所述的方法，其特征在于，所述利用K均值聚类算法对样本数据进行分簇还包括：

提取所述样本数据的关键特征，并对所述样本数据的关键特征进行标准化处理后，再根据K值对标准化处理后的样本数据的关键特征进行分簇，从而完成对样本数据进行分簇。

6.根据权利要求5所述的方法，其特征在于，所述关键特征包括：cookie、URI、useragent、referer、method、post等数据中的一种或多种。

7.根据权利要求1或2所述的方法，其特征在于，所述利用K均值聚类算法对样本数据进行分簇还包括：

根据所述样本数据的关键特征及漏洞攻击的特点，确定每个所述样本数据簇的初始质心。

8.根据权利要求1或2所述的方法，其特征在于，所述利用K均值聚类算法对样本数据进行分簇还包括：

删除与所有样本数据簇距离大于预定阈值的异常样本数据。

9.一种漏洞攻击的检测装置，包括：

样本数据分簇模块，用于利用K均值聚类算法对样本数据分簇；

漏洞攻击检测模块，用于将实际访问数据在样本数据簇中进行归类，并根据将所述实际访问数据在所述样本数据簇中的归类结果确定所述实际访问数据是否为漏洞攻击。

10.根据权利要求9所述的装置，其特征在于，所述漏洞攻击的检测装置跨站脚本漏洞攻击的检测装置。

11.根据权利要求9或10所述的装置，其特征在于，所述样本数据分簇模块包括：

漏洞检测单元，用于利用静态分析技术检测存在的漏洞类型，确定所述样本数据簇的数量K；

分簇执行单元，用于根据K值对样本数据进行分簇。

12.根据权利要求9或10所述的装置，其特征在于，所述样本数据分簇模块还包括：

关键特征提取单元，用于提取样本数据的关键特征；

标准化处理单元，用于对所述样本数据的关键特征进行标准化处理；

所述分簇执行单元根据K值对标准化处理后的样本数据的关键特征进行分簇，从而完成对样本数据进行分簇。

13.根据权利要求9或10所述的装置，其特征在于，所述样本数据分簇模块还包括：

初始质心确定单元，用于根据所述样本数据的关键特征及漏洞攻击的特点，确定每个簇的初始质心。

14.根据权利要求9或10所述的装置，其特征在于，所述样本数据分簇模块还包括：

异常样本数据删除单元，用于删除与所有样本数据簇距离大于预定阈值的异常样本数据。