[发明专利]一种用于Web攻击发现的异常行为检测技术

说明书

本发明公布了一种用于Web攻击发现的异常行为检测技术。主要包括如下步骤：监控数据源头、记录传播流程、采集异常行为；对异常行为进行鉴别，去除误报和漏报；根据异常行为之间的相关性对异常行为进行分类。与传统方法相比，本发明的优势包括：能够检测传统方法不能发现的高级可持续威胁，提高了安全威胁检测能力；用自动化方案代替了原本需要人工完成的威胁分类，提高了安全威胁响应速度。

技术领域

本发明涉及Web攻击检测领域和动态编译技术领域，主要核心技术是收集JavaScript执行期的堆栈信息和DOM存储节点信息，建立从数据源头到数据终点的全流程、全行为跟踪模型，并使用动态编译技术识别Web攻击。

背景技术

面对日益增多的网络攻击，当下主流的检测方案依然是采用Web应用防护系统、入侵检测系统、防火墙等软硬件设施进行检测。这些传统的安全设备主要是采用规则匹配的检测方法，这种检测方法在面对日益新增的可持续威胁攻击等高级Web攻击时收效甚微，安全事件的增长趋势并没有得到有效抑制。同时，各类安全产品的高昂使用成本让用户难以承受，并且各类安全产品后门、漏洞频繁被报出。总之，网络空间的安全形势不容乐观。

目前，检测Web攻击的主流方法依然是基于规则匹配的检测方法。此方法已经沿用了十余年，也衍生出了大量优秀的安全产品，如360网站卫士、百度卫士、FireEye和PaloAlto等。基于规则匹配的检测方法主要存在两方面的局限性：一方面，规则库的建立与实时更新需要大量的成本，它直接影响检测结果；另一方面，匹配算法的设计与选取也极大地影响着检测效率。

近年来，随着计算性能的大幅提升，国内外的安全学者对安全威胁事件的行为进行了大量的跟踪、统计、逆向等研究，形成了以信息流技术为基础的检测方法。此类方法的优点是记录数据流向、分析事件行为是否对敏感数据做了危险操作，此类方法不依赖规则库，弥补了传统方法不能够检测未知规则的异常行为的不足。目前传统检测方法已经不能适应日益严峻的安全现状。这样的现状正在威胁着企业和人民的财产和隐私安全。针对当前现状，急需一种更加先进高效的Web攻击检测方法。

发明内容

“一种用于Web攻击发现的异常行为检测技术”是为了在实时环境下对Web攻击进行检测而提出的发明。发明的目的是在生产环境下，识别Web应用中的异常行为，并对异常行为的堆栈信息和DOM节点进行跟踪，识别数据从源头流向终点的全过程，判定Web攻击行为。

发明采用如下技术方案：

通过监控Web应用中数据产生源头、数据传播流程和识别数据终点的方式实现对数据的全流程跟踪，然后根据终点的行为和属性判定此次操作行为是否为异常。

技术方案的具体实施方式如下：

首先，对监控数据产生源头和记录传播流程，实现程序行为的采集。本专利提出一种基于堆栈的监控方案，在JavaScript引擎中记录执行行为、堆栈信息和中间结果。这种方案的最大优点是可以记录多个异常行为之间的关联关系，这是当下传统检测方法所不具备的优势。

其次，对记录的异常行为进行鉴别，去除误报和漏报。本专利提出一种基于编译技术的异常行为鉴别方法，该方法先对源码进行动态编译，再生成改进的抽象语法树，从中发现多个异常行为之间的关联关系。该方法最大的亮点是弥补了传统检测方法不能识别高级可持续威胁的不足。

最后，根据JavaScript语言规范中定义的运行期动态函数，本专利提出一种基于有限状态自动机的威胁分类方案。该方案通过对威胁行为之间的关联性做进一步判断，将其细分为两类：一类是单一威胁，另一类是关联威胁。该方案将传统方法中人工完成的工作通过自动方式实现，极大地降低了安全威胁的检测时间。

本专利的工作流程如下：

首先，可交互的数据、相关堆栈切片和对应的程序源码，都用字符数组保存；

其次，JavaScript规范中规定的能够在运行期间改变程序行为的函数都被动态加载到内存；