[发明专利]自动检测web威胁识别防御系统的运行状态的方法及装置

说明书

本发明提供一种自动检测web威胁识别防御系统的运行状态的方法及装置，包括：模拟用户攻击和/或正常访问web服务器所产生的原始web攻击和/或正常访问日志数据；获取web威胁识别防御系统对原始web攻击和/或正常访问日志数据进行数据统计、数据分析、威胁识别的处理结果；基于处理结果确定web威胁识别防御系统是否处于正常运行状态；通过模用户访问行为日志(正常和异常)，来监测web威胁识别防御系统运行的情况，日志条数不影响性能，线上运行，更具普适性。

技术领域

本发明涉及计算机网络防护和状态检测领域，尤其涉及自动检测web威胁识别防御系统的运行状态的方法及装置。

背景技术

web威胁识别防御系统不同于传统的web防火墙系统，其主要功能是分析用户的不同访问行为，进而对可能存在的访问威胁进行深度识别。

由于使用web威胁识别防御系统的客户网站的线上业务不同，因此，在web威胁识别防御系统上线运行时，识别的威胁种类也会不同，很难通过一种普适性的方式检测web威胁识别防御系统是否正常在线分析、识别web攻击，而且，也很难检测web威胁识别防御系统的各个组件是否正常。

例如，web威胁识别防御系统可能会由于以下情况造成系统组件异常及系统分析、识别异常：

1、需要进行分析的数据(原始日志)过多，超出了系统承受能力。

2、系统运行中组件异常。

3、系统自身的原因(如代码bug)。

这样就会导致在web服务器遭受攻击时不能实时识别威胁，进而不能及时拦截或造成误拦截，最终会影响用户体验和业务系统的稳定性。

现有的技术方案存在以下缺点：

1、仅仅对web威胁识别防御系统进行CPU、内存等机器自身性能方面的监控。即，不能针对web威胁识别防御系统中的上述异常进行检测，缺少一套完整的监测程序。

2、难以发现丢失日志、误报漏报等情况，或者只能对这些情况进行人工分析。

3、无法准确检测组件异常。

例如，现有技术方案通常只是通过ps–ef命令来检测组件进程是否正在运行，然而，仅仅通过对进程是否存活进行判断，根本不能及时发现组件的运行状态是否出现了(例如，由组件的内部逻辑所引起的)异常。

为了解决上述问题，需要提出新的技术方案。

发明内容

本发明旨在解决上面描述的问题。

根据本发明的一个方面，一种自动检测web威胁识别防御系统的运行状态的方法，包括：模拟用户攻击和/或正常访问web服务器所产生的原始web攻击和/或正常访问日志数据；获取web威胁识别防御系统对原始web攻击和/或正常访问日志数据进行数据统计、数据分析、威胁识别的处理结果；基于处理结果确定web威胁识别防御系统是否处于正常运行状态，其中，web服务器使用LNMP组件来提供web服务，web攻击包括：CC攻击、路径扫描、漏洞攻击、危险UA、爬虫、异常流量包攻击、慢速攻击、刷单类攻击、账号类攻击。

web威胁识别防御系统对原始web攻击和/或正常访问日志数据进行数据统计、数据分析、威胁识别的步骤包括：web威胁识别防御系统使用kafka组件来获取原始web攻击和/或正常访问日志数据；和/或web威胁识别防御系统使用storm组件来对原始web攻击和/或正常访问日志数据进行数据统计、数据分析、威胁识别；和/或基于原始web攻击日志数据，判定是否存在某种web攻击的威胁。