[发明专利]一种业务逻辑攻击检测模型的构建方法和计算设备

说明书

本发明公开了一种业务逻辑攻击检测模型的构建方法，适于在计算设备中执行，该方法包括：分别采集正常业务访问流量和发生业务逻辑攻击时的攻击业务访问流量；分别从所述正常业务访问流量和攻击业务访问流量中提取同一IP在不同预定时段内的URL请求序列，并分别计算各IP在各预定时段内的多个请求特征值；分别将正常业务访问中每个IP在每个预定时段内的多个请求特征值构造为一条正常业务特征向量，以及将攻击业务访问中每个IP在每个预定时段内的多个请求特征值构造为一条攻击业务特征向量；以及采用预定分类器算法对所述正常业务特征向量和攻击业务特征向量进行分类训练，得到所述业务逻辑攻击检测模型。本发明还公开了对应的计算设备。

技术领域

本发明涉及互联网技术领域，尤其涉及一种业务逻辑攻击检测模型的构建方法和计算设备。

背景技术

众所周知，业务逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS漏洞等传统安全漏洞，现在的攻击者更倾向于利用业务逻辑层的应用安全问题进行攻击，这类问题往往危害巨大，可能造成了企业的资产损失和名誉受损，并且传统的安全防御设备和措施收效甚微。业务逻辑漏洞主要关注于业务逻辑流程，其是由于程序逻辑不严谨或逻辑太过复杂，导致一些逻辑分支不能正常处理或处理错误。通常业务逻辑攻击的重点主要在于身份认证、数据篡改、密码找回、绕过授权验证、验证码突破、流程乱序、接口调用安全等。

然而，现有的安全防护设备根据特征识别网络攻击流量，只能识别出传统的网络攻击，例如SQL注入、XSS、文件上传等，而对于业务逻辑漏洞则无法自动识别，只能通过人工识别。因此，需要提供一种能够自动识别业务逻辑攻击的方法。

发明内容

为此，本发明提供一种业务逻辑攻击检测模型的构建方法和计算设备，以力图解决或至少缓解上面存在的问题。

根据本发明的一个方面，提供了一种业务逻辑攻击检测模型的构建方法，适于在计算设备中执行，该方法包括：分别采集正常业务访问流量和发生业务逻辑攻击时的攻击业务访问流量；分别从所述正常业务访问流量和攻击业务访问流量中提取同一IP在不同预定时段内的URL请求序列，并分别计算各IP在各预定时段内的多个请求特征值；分别将正常业务访问中每个IP在每个预定时段内的多个请求特征值构造为一条正常业务特征向量，以及将攻击业务访问中每个IP在每个预定时段内的多个请求特征值构造为一条攻击业务特征向量；以及采用预定分类器算法对所述正常业务特征向量和攻击业务特征向量进行分类训练，得到所述业务逻辑攻击检测模型。

可选地，在根据本发明的业务逻辑攻击检测模型的构建方法中，还包括步骤：获取实际业务访问流量，并将该实际业务访问流量构造为多条实际业务特征向量；将所述多条实际业务特征向量输入到所述业务逻辑攻击检测模型中，得到所述多条实际业务特征向量中属于攻击业务的特征向量；以及根据所得到的属于攻击业务的特征向量，确定对应的攻击者IP和攻击请求的原始数据。

可选地，在根据本发明的业务逻辑攻击检测模型的构建方法中，同一IP在不同预定时段内的URL请求序列是指在各预定时段内具有相同的源IP、目标IP和用户代理的请求组合。

可选地，在根据本发明的业务逻辑攻击检测模型的构建方法中，多个请求特征值包括以下特征值中的一种或多种：请求时间分值、IP分值、用户代理分值、请求方法分值、URL类别分值、序列特征分值。