[发明专利]漏洞攻击的检测方法和装置

说明书

技术领域

本发明涉及移动通信领域，特别涉及一种漏洞攻击的检测方法和装置。

背景技术

传统的漏洞攻击检测方法，通常是将访问数据包中的相关信息与漏洞攻击样本特征库中的关键字进行逐一匹配，然后根据匹配结果来判定当前访问请求是否包含漏洞攻击。若匹配成功，则判定当前访问请求为漏洞攻击；若匹配失败，则判定当前访问请求为安全访问请求。传统的漏洞攻击检测方法的缺点在于，极度依赖漏洞攻击样本特征库，只能判定样本特征库中已有的漏洞攻击，即与样本特征库中的特征完全匹配的漏洞攻击，并且将访问数据包中的相关信息与漏洞攻击样本特征库中的关键字进行逐一匹配会造成很大的时间开销。

发明内容

本发明要解决的一个技术问题是提供一种检测效率高、且能检测未知的变异漏洞攻击的漏洞攻击检测方法。

根据本发明实施例的一个方面，提供了一种漏洞攻击的检测方法，包括：利用K均值聚类算法对样本数据分簇；将实际访问数据在样本数据簇中进行归类；根据将实际访问数据在样本数据簇中的归类结果确定实际访问数据是否为漏洞攻击。

在一个实施例中，漏洞攻击为跨站脚本攻击。

在一个实施例中，利用K均值聚类算法对样本数据分簇包括：利用静态分析技术检测存在的漏洞类型，确定样本数据簇的数量K，并根据K值对样本数据进行分簇。

在一个实施例中，K＝M+N，其中M表示静态分析检测得到的漏洞数目，N为正常访问数据簇的数目。

在一个实施例中，利用K均值聚类算法对样本数据进行分簇还包括：提取样本数据的关键特征，并对样本数据的关键特征进行标准化处理后，再根据K值对标准化处理后的样本数据的关键特征进行分簇，从而完成对样本数据进行分簇。

在一个实施例中，关键特征包括：cookie、URI、useragent、referer、method、post等数据中的一种或多种。

在一个实施例中，利用K均值聚类算法对样本数据进行分簇还包括：根据样本数据的关键特征及漏洞攻击的特点，确定每个样本数据簇的初始质心。

在一个实施例中，利用K均值聚类算法对样本数据进行分簇还包括：删除与所有样本数据簇距离大于预定阈值的异常样本数据。

根据本发明实施例的一个方面，提供了一种漏洞攻击的检测装置，包括：样本数据分簇模块，用于利用K均值聚类算法对样本数据分簇；漏洞攻击检测模块，用于将实际访问数据在样本数据簇中进行归类，并根据将实际访问数据在样本数据簇中的归类结果确定实际访问数据是否为漏洞攻击。

在一个实施例中，漏洞攻击的检测装置为跨站脚本漏洞攻击的检测装置。

在一个实施例中，样本数据分簇模块包括：漏洞检测单元，用于利用静态分析技术检测存在的漏洞类型，确定样本数据簇的数量K；分簇执行单元，用于根据K值对样本数据进行分簇。

在一个实施例中，样本数据分簇模块还包括：关键特征提取单元，用于提取样本数据的关键特征；标准化处理单元，用于对样本数据的关键特征进行标准化处理；分簇执行单元根据K值对标准化处理后的样本数据的关键特征进行分簇，从而完成对样本数据进行分簇。

在一个实施例中，样本数据分簇模块还包括：初始质心确定单元，用于根据样本数据的关键特征及漏洞攻击的特点，确定每个簇的初始 质心。

在一个实施例中其特征在于，样本数据分簇模块还包括：异常样本数据删除单元，用于删除与所有样本数据簇距离大于预定阈值的异常样本数据。

本发明至少具有以下优点：

通过对实际网页访问数据的分簇，可以得知实际网页访问数据归类于哪一个样本数据簇，从而能够检测到漏洞攻击样本特征库中不包含的漏洞攻击，并且提高了检测漏洞攻击的效率。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1示出本发明漏洞攻击的检测方法的一个实施例的流程示意图。

图2示出本发明利用K均值聚类算法对样本数据分簇的一个实施例的流程示意图。

图3示出本发明利用K均值聚类算法对样本数据进行分簇的另一个实施例的流程示意图。

图4示出本发明漏洞攻击的检测装置的一个实施例的结构示意图。