[发明专利]一种电力交易平台WEB安全深度监控方法

权利要求书

1.一种电力交易平台WEB安全深度监控方法，其特征在于,包括以下步骤:

S1:在WEB应用服务器上部署Java虚拟机JVM和Java字节码操纵框架ASM,应用程序运行在所述JVM上；

S2:使用Java字节码技术监控所述应用程序的运行,获取各项WEB请求数据；

S3:采用Java Script插码技术收集web请求数据；具体包括URL请求的源IP，目的IP，时间及次数统计；

S4:根据所述web请求数据进行web安全分析。

2.根据权利要求1所述的电力交易平台WEB安全深度监控方法，其特征在于：所述步骤S2的具体过程为:

S2l:在ASM中直接产生二进制文件A.class；

S22:利用JVM中的class loader将A.class装载入JVM,期间调用中的Javanese t在A.class的字节码中嵌入监控代码后,生成A’.class；

S23:当有请求需调用A.class时,JVM中的engine就会找到并执行A.class,A’.class；

执行A.class正常的业务逻辑,执行A.class中的监控代码,捕捉web请求数据；

S24:A.class执行结束,engine将所述监控数据写入监控数据暂存区；

S25:每隔60s,中的agent线程会向应用服务器发送所述web请求数据,并清理暂存区。

3.根据权利要求1所述的电力交易平台WEB安全深度监控方法，其特征在于：所述监控数据包括应用系统web请求URL、应用系统中单个事务的平均响应时间、代码执行时间、慢SQL语句执行指标、第三方接口服务性能指标和Java虚拟机性能指标。

4.根据权利要求1所述的电力交易平台WEB安全深度监控方法，其特征在于：所述步骤S4中安全深度分析的内容包括：

正则匹配分析：算法的匹配正则来自与网络和一些CMS厂商的的正则代码，经过多次修改测试可以识别常见的已知的Web攻击，包括SQL注入、XSS攻击、命令执行等常见Web漏洞；

数值统计分析：在所采集海量日志文本中，包含了大量用户行为、交互IP、访问次数等信息，有些动作通过传统的规则匹配、黑白名单、策略控制等方式是很难发现的；但信息所表现出的统计特征可以明确地表达一个网络动作，比如在一段时间内访问目标网站的Agent连接数、不同域名下出现同一URL的次数、访问应答结果中非200的请求比例，所有这些统计结果都表达了特定的网络行为，而这一行为如果符合网络攻击的行为，则通过数值统计的方法就能发现；

机器学习算法分析：机器学习算法进行分析，使用机器学习算法的前提是构造好的特征向量，日志的识别主要是针对日志记录中的request、referer和user-agent，request、referer都是URL路径，user-agent是浏览器名称，这三部分是用户可控且可能注入payload的地方；训练集分为两个部分，一个是恶意的在URL请求，另一个是主要收集于github中知名的payload仓库，大约有30000条数据，包括SQL注入、Traversal、XSS)、LFI、XML注入、SSI注入、XPATH注入、Webshell攻击。