[发明专利]Web攻击的识别方法和和装置

说明书

本申请提供一种web攻击的识别方法和装置，方法包括：将获取的请求消息下发给至少两个web服务器，以使各个所述web服务器处理所述请求消息而生成响应信息；各个所述web服务器的类型互不相同；根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果；根据所述第一判定结果，确定所述请求消息是否为web攻击消息。在请求消息为非法请求的情况下，因为web服务器类型并不相同，根据拟态思想各个web服务器可能生成不同的响应信息。而通过比较响应信息，可以评估请求消息是否合法，也就可以判定请求消息是否为web攻击消息。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种Web攻击的识别方方法和装置。

背景技术

Web应用防护系统用于对客户端请求进行内容检测和验证，识别非法的web请求(也就是web攻击)，实现对网站站点的有效保护。

传统的Web应用防护系统依赖于规则库和黑白名单方式，安全人员需要配置合理的用于非法请求筛选的正则表达式，通过正则表达式实现web攻击的拦截。为了提高防护效果，需要提高正则表达式的准确性，细化正则规则；因此正则表达式由安全人员构建，采用规则库和黑白名单方式需要安全人员持续识别漏洞，并根据识别的漏洞构建新的正则表达式而实现打补丁。

为解决前述问题，行业内提出了采用机器学习方法，以样本库为依据训练构建模型，采用训练模型识别web请求是否为web攻击。实际应用中，由于样本库很可能并不具有广泛的代表性，使得采用样本库训练得到的模型并不能有效地识别web攻击。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本申请提供了一种web攻击的识别方法和装置。

一方面，本申请提供一种web攻击的识别方法，包括：

将获取的请求消息下发给至少两个web服务器，以使各个所述web服务器处理所述请求消息而生成响应信息；各个所述web服务器的类型互不相同；

根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果；

根据所述第一判定结果，确定所述请求消息是否为web攻击消息。

可选地，根据所述第一判定结果，确定所述请求消息是否为web攻击消息，包括：

在所述第一判定结果为非法结果时，确定所述请求消息为web攻击消息。

可选地，根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果，包括：

根据所述响应信息的文本长度、包体、文本类型、状态码中的至少一种，进行一致性检测，生成所述第一判定结果。

可选地，还包括：采用攻击识别模型处理所述请求消息，得到第二判定结果；

根据所述第一判定结果，确定所述请求消息是否为web攻击消息，包括：

根据所述第一判定结果和所述第二判定结果，确定所述请求消息是否为web攻击消息。

可选地，根据所述第一判定结果和所述第二判定结果，确定所述请求消息是否为web攻击消息，包括：

在所述第一判定结果和所述第二判定结果至少之一为非法结果时，确定所述请求消息为web攻击消息。

可选地，所述攻击识别模型为机器学习模型；所述方法还包括：

查找所述第一判定结果和所述第二判定结果不同的所述请求消息；

根据所述请求消息获取所述web服务器日志中的访问日志；

周期性地采用所述访问日志重新训练并更新所述攻击识别模型。