[发明专利]基于Web的网络安全入侵检测系统和方法

权利要求书

1.基于Web的网络安全入侵检测系统，其特征在于：

包括特征检测单元和异常检测单元；

所述特征检测单元包括审查日志数据库、检测控制台、特征检测器、防火墙；所述审查日志数据库分别通过信息数据传输模块与检测控制台和特征检测器相连，所述特征检测器与防火墙相连；所述特征检测器中设置有规则集；

所述异常检测单元包括训练控制台、异常检测器、异常模板、请求历史数据库；所述训练控制台分别通过信息数据传输模块与异常检测器和异常模板相连，所述异常检测器连接请求历史数据库；所述异常检测器中设置有若干模型；

所述特征检测单元中的防火墙与用户/攻击端网络连接，所述特征检测器与Web服务器交互连接，并向所述请求历史数据库发布Web请求；所述检测控制台与安全管理端相连。

2.根据权利要求1所述的基于Web的网络安全入侵检测系统，其特征在于，所述用户/攻击端为普通用户端或用于测试Web入侵检测系统检测攻击能力的模拟攻击端，所述模拟攻击端采用Web渗透测试工具；

所述Web服务器用于部署各种Web应用，为被攻击对象；所述Web服务器采用Apache服务器；

所述特征检测单元用于检测各种已知和易于提取特征的攻击，并从已知攻击中提取特征，形成对应的匹配规则，所述特征检测单元为Apache的扩展单元集成于Web服务器上；

所述异常检测单元为基于学习的Web入侵检测子单元，所述异常检测单元从大量正常的Web访问数据中建立HTTP请求报文的正常访问模型，根据所建模型对新的Web访问判断是否含有攻击行为。

3.根据权利要求1所述的基于Web的网络安全入侵检测系统，其特征在于，所述特征检测单元中的特征检测器包括生成器、匹配器、动作器、规则集、翻译器、扩展接口、规则引擎；所述生成器中设置有变换函数和内容捕获；

所述审计日志数据库包括持久存储、日志、规则文件。

4.如权利要求1-3任一项所述的基于Web的网络安全入侵检测方法，其特征在于，包括如下步骤：

S01：所述用户/攻击端发往Web服务器的请求被特征检测单元拦截；

S02：所述特征检测单元将Web请求特征与其内部规则匹配；

S03：判断所述Web请求的特征与内部规则是否匹配；

若是，则认定该请求为一个攻击行为并执行该规则所对应的动作，包括阻断、丢弃、重定向、允许后结束；

若否，则进行下一步骤；

S04：将该请求发送至异常检测单元；

S05：所述异常检测单元按照训练出来的检测模型对Web请求进行异常检测，若发现攻击行为，则向特征检测单元发送一条指令，指令其采取相应的动作，特征检测单元接收到指令后执行该动作；

S06：所述控制台接收Web服务器以及各检测单元的日志，以图形化的方式呈现给安全管理端的安全管理员。

5.根据权利要求4所述的基于Web的网络安全入侵检测方法，其特征在于，所述步骤S03中特征检测单元判断Web请求特征与内部规则是否匹配的方法包括特征检测单元系统初始化阶段的方法和请求处理阶段的方法；

所述系统初始化阶段的方法包括以下步骤：

T01：加载模块，读取指令数组，建立指令哈希表；

T02：读取配置文件中的规则，建立配置树；

T03：通过Apache的钩子函数，家里规则引擎，生成翻译规则所需的元数据信息；

T04：遍历配置树，查询指令哈希表，使用规则引擎翻译规则，生成每个处理阶段的规则集；

所述请求处理阶段的方法包括以下步骤：

P01：所述生成器从Web请求汇总获取数据生成检测目标变量，如果需要还要对目标变量做某些变换，从中捕获信息以供后续步骤使用；

P02：所述匹配器将目标变量和预定义的模式进行匹配；

P03：如果匹配成功，所述动作器对Web请求执行预定义的动作，包括阻止、重定向、允许动作；

P04：在钩子函数执行过程中，向磁盘写入审计日志和调试日志，并利用持久存储机制保存跨请求的状态信息，实现有状态的请求处理。