[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

TWI419531B - Web site attack detection system and method - Google Patents

Web site attack detection system and method Download PDF

Info

Publication number
TWI419531B
TWI419531B TW99135681A TW99135681A TWI419531B TW I419531 B TWI419531 B TW I419531B TW 99135681 A TW99135681 A TW 99135681A TW 99135681 A TW99135681 A TW 99135681A TW I419531 B TWI419531 B TW I419531B
Authority
TW
Taiwan
Prior art keywords
mark
attack
tag
sequence
detection system
Prior art date
Application number
TW99135681A
Other languages
English (en)
Other versions
TW201218716A (en
Original Assignee
Chunghwa Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chunghwa Telecom Co Ltd filed Critical Chunghwa Telecom Co Ltd
Priority to TW99135681A priority Critical patent/TWI419531B/zh
Publication of TW201218716A publication Critical patent/TW201218716A/zh
Application granted granted Critical
Publication of TWI419531B publication Critical patent/TWI419531B/zh

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

網站攻擊偵測系統與方法
本發明係關於一種網站攻擊偵測系統與方法,尤指在電腦網路上利用其機制達到偵測攻擊行為的系統與方法。
一般而言,在網站攻擊行為的偵測上,多採用特徵碼(Signature)比對的方式來進行偵測,管理員從已知的攻擊行為中擷取出足以代表該攻擊行為的特徵碼,然後將該特徵碼以規則(Rule)的形式加入入侵偵測系統(Intrusion Detection System,IDS)或網站應用程式防火牆中(Web Application Firewall,WAF)。
但是上述的網站攻擊偵測架構卻存在著一個很大缺點-無法有效地偵測到變形攻擊,特徵碼比對的偵測方式乃針對現行已知的攻擊行為進行分析,找出一段可代表攻擊的特徵碼,而入侵偵測系統/網站應用程式防火牆便藉由比對所過濾的封包資料中是否包含那些攻擊特徵碼,以此來判斷是否有攻擊行為產生,然而,當攻擊者發起一些與現行攻擊行為相似,但攻擊碼不完全相同的變形攻擊時,這種以特徵碼為基礎的偵測機制就可能因為在變種攻擊的封包中比對不到特徵碼而失效;再加上一個攻擊行為的變形攻擊可能多達數十甚至數百種,因此並無法將所有的變形攻擊都轉換成特徵碼來進行偵測,所以對於以特徵碼為基礎的攻擊偵測機制來說,其並無法完整地偵測到變形攻擊。
由此可見,上述習用方式仍有諸多缺失,實非一良善之設計者,而亟待加以改良。本案發明人鑑於上述習用方式所衍生的各項缺點,乃亟思加以改良創新,並經多年苦心孤詣潛心研究後,終於成功研發完成本件網站攻擊偵測方法。
本發明之目的在於提供一種網站攻擊偵測系統與方法,透過標記與評分請求參數(Request Parameter)以判斷某個HTTP Request是否為攻擊行為,達到有效且準確地偵測網站攻擊之目的。
達成上述發明目的之一種網站攻擊偵測系統包括:一標記序列產生模組,對於一個HTTP Request,負責將其所屬的請求參數轉換成標記序列,標記序列由複數個標記組成之;一標記關聯模組,負責根據各標記之間的關聯強度來產生標記序列的分數;以及一攻擊偵測模組,其根據各標記序列的分數以及門檻值來判斷該HTTP Request是否為攻擊行為。
本網站攻擊偵測方法的運作流程為,標記序列產生模組接受HTTP Request輸入並產生標記序列;標記關聯模組接受標記序列產生模組輸出的標記序列,並產生每個標記序列的分數;攻擊偵測模組根據標記關聯模組所產生之各標記序列的分數以及門檻值,加以判斷該HTTP Request是否為攻擊。
標記序列產生模組定義了複數個標記以及標記與請求參數字串的關係,其主要目的在於簡化請求參數以讓標記關聯模組可以對其施以關聯分析,例如,請求參數中的『eval』、『script』字串會被以『SCRIPT_WORD』這個標記取代之。標記序列產生模組以HTTP Request為輸入資料,其分析並擷取所有的請求參數,將之轉換成複數個標記序列。
標記關聯模組利用統計或機器學習(包含隱藏式馬可夫模型、馬可夫鏈、類神經網路、決策樹、支持向量機、貝氏網路)等方法來產生每一個標記序列的分數,為了讓標記關聯模組有計算標記序列分數的準則,所以必須先對其進行訓練,訓練方式為,給予標記關聯模組一些屬於攻擊的標記序列樣本資料,透過樣本資料的訓練,標記關聯模組便可對之後輸入的標記序列計算其分數。標記序列樣本資料產生方式為,先取得一些經由專家鑑為攻擊的HTTP Request,然後利用標記序列產生模組將那些請求參數轉換為標記序列樣本。
攻擊偵測模組根據各標記序列的分數、輸入的門檻值進行綜合判斷,以決定某一HTTP Request是否為攻擊,主要判斷原則為,當一HTTP Request所屬的任一個請求參數,其分數高於門檻值時,即判定該HTTP Request屬於攻擊行為。
如圖一所示為網站攻擊偵測系統的架構圖,表示本發明各模組間的關係與運作流程;網站攻擊偵測系統包含標記序列產生模組100、標記關聯模組200與攻擊偵測模組300。
標記序列產生模組100接收一HTTP Request並從中擷取出所有的請求參數,根據一定義好的標記列表將請求參數轉換成標記序列,標記列表如圖五與圖六所示,圖五用於界定請求參數中每個標記的界限,圖六中的『KEY』標記代表出現頻率較高的字串,所有不屬於其他標記的字串則以『VAR』標記轉換之。標記序列產生模組100最後產出一個或多個標記序列,標記序列的個數等同於該HTTP Request所擁有的請求參數數量。例如,一HTTP Request包含二組請求參數為『id=jacky』與『value=<script>alert(document.cookie)</script>』,則該二組請求參數將會被標記序列產生模組轉換成『KEY=VAR』與『KEY=<SCRIPT_WORD>ALERT VAR</SCRIPT_WORD>』二組標記序列。
標記關聯模組200接受標記序列產生模組100所輸出之標記序列,分別計算每個標記序列的分數後將其輸出;標記關聯模組200採用的計分方式可以是任一統計或機器學習方法(包含隱藏式馬可夫模型、馬可夫鏈、類神經網路、決策樹、支持向量機、貝氏網路),本實施例中則採用隱藏式馬可夫模型(Hidden Markov Model,HMM)來執行標記序列的計分。標記關聯模組200必須先透過訓練階段來取得計算分數的準則,然後才能正式對標記序列進行計分,如圖二所示示為標記關聯模組200在訓練階段的流程,當已知為攻擊的HTTP Request透過標記序列產生模組轉換成標記序列後,將該標記序列輸入標記關聯訓練模組201,以此方式來取得各標記之間的關聯程度。圖三表示標記關聯模組200完成訓練後開始對標記序列進行計分動作的流程,標記關聯上線模組202根據標記關聯訓練模組201在訓練階段所取得的標記關聯強度資訊,計算出每個標記序列的分數,分數越高代表該標記序列越可能隱含攻擊行為。
攻擊偵測模組300接受標記關聯模組200所輸出之每個標記序列的分數後,根據預先定義的門檻值來判斷該HTTP Request是否為攻擊行為,圖四表示攻擊偵測模組300的判斷流程圖,其步驟包括:301先利用標記列表將HTTP Request中的請求參數轉換成一個或多個標記序列,儲存標記關聯模組200所輸出之每個標記序列的分數;302利用機器學習或統計方法對每一個標記序列分別進行評分,在評分之前必須先進行訓練,因此需提供該方法多個已知為攻擊或正常行為的標記序列資料,作為前述方法習得評分規則的訓練集,以此進行訓練,然後一一比對每一個標記序列的分數與門檻值的關係;303在所儲存的標記序列中,當任一個標記序列分數大於門檻值時則判定該HTTP Request為攻擊行為;304反之,若沒有任何一個標記序列分數大於門檻值,則判定該HTTP Request為不含攻擊的正常行為。
本發明所提供之網站攻擊偵測方法,與其他習用技術相互比較時,更具備下列優點:
1.本發明相對於目前常見的攻擊偵測方法,較能完整且有效地偵測變形攻擊。
2.本發明針對每個請求參數分別處理計算,當任一請求參數被判定為攻擊時,該HTTP Request即被判定為攻擊,相對於有些方法只對整著HTTP Request內容進行判斷時,本發明可避免攻擊程式碼佔HTTP Request內容比例過低時,其容易被忽略的問題。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請貴局核准本件發明專利申請案,以勵發明,至感德便。
100...標記序列產生模組
200...標記關聯模組
201...標記關聯訓練模組
202...標記關聯上線模組
300...攻擊偵測模組
請參閱以下有關本發明之詳細說明及其附圖,將可進一步瞭解本發明之技術內容及其目的功效;有關附圖為:
圖1為網站攻擊偵測裝置的流程架構圖;
圖2為標記關聯模組在訓練階段的流程圖;
圖3為標記關聯模組之計分流程圖;
圖4為攻擊偵測模組的判斷流程圖;
圖5為標記列表-1;
圖6為標記列表-2。
100‧‧‧標記序列產生模組
200‧‧‧標記關聯模組
300‧‧‧攻擊偵測模組

Claims (12)

  1. 一種網站攻擊偵測系統,其中包括:a.標記序列產生模組,其根據標記列表將HTTP Request中的請求參數轉換成單數或複數個標記序列,其中標記列表之內容並非固定,可因系統環境而有所不同;b.標記關聯模組,其負責對標記序列進行評分;及c.攻擊偵測模組,負責根據各標記序列的分數與門檻值等外部資訊,進行綜合判斷該HTTP Request是否為攻擊。
  2. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該標記序列產生模組乃透過一可自行定義之標籤列表將請求參數轉換成標籤序列。
  3. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該標記關聯模組需經歷訓練階段,訓練方式為,提供複數個屬於攻擊的標記序列輸入至標記關聯模組,使其學習攻擊資料的架構;攻擊的標記序列則藉由將屬於攻擊的HTTP Request輸入至標記序列產生模組,由標記序列產生模組產生之。
  4. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該標記關聯模組可使用統計方法為之。
  5. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該標記關聯模組可使用隱藏式馬可夫模型(Hidden Markov Model)為之。
  6. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該標記關聯模組可使用馬可夫鏈(Markov Chain)為之。
  7. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該標記關聯模組可使用類神經網路(Neural Network)為之。
  8. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該標記關聯模組可使用決策樹(Decision Tree)為之。
  9. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該標記關聯模組可使用支持向量機(Support Vector Machine)為之。
  10. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該標記關聯模組可使用貝氏網路(Bayesian network)為之。
  11. 如申請專利範圍第1項所述之網站攻擊偵測系統,其中該攻擊偵測模組會將各標記序列的分數與門檻值等外部資訊進行比對,只要任一個標記序列被認定為攻擊(HOW),則該HTTP Request即被認定為攻擊。
  12. 一種網站攻擊偵測方法,該方法包括下列步驟:a.利用標記列表將HTTP Request中的請求參數轉換成一個或多個標記序列;b.利用機器學習或統計方法對每一個標記序列分別進行評分;c.在評分之前必須先進行訓練,因此需提供該方法多個已知為攻擊或正常行為的標記序列資料,作為前述方法習得評分規則的訓練集,以此進行訓練;d.比較每一個標記序列之分數與門檻值之差異,當任一個標記序列之分數高於門檻值時,即判定該HTTP Request含有攻擊行為;反之,當所有的標記序列之分數均低於門檻值時,即判定該HTTP Request不含攻擊行為。
TW99135681A 2010-10-20 2010-10-20 Web site attack detection system and method TWI419531B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW99135681A TWI419531B (zh) 2010-10-20 2010-10-20 Web site attack detection system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW99135681A TWI419531B (zh) 2010-10-20 2010-10-20 Web site attack detection system and method

Publications (2)

Publication Number Publication Date
TW201218716A TW201218716A (en) 2012-05-01
TWI419531B true TWI419531B (zh) 2013-12-11

Family

ID=46552592

Family Applications (1)

Application Number Title Priority Date Filing Date
TW99135681A TWI419531B (zh) 2010-10-20 2010-10-20 Web site attack detection system and method

Country Status (1)

Country Link
TW (1) TWI419531B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111368290B (zh) * 2018-12-26 2023-06-09 中兴通讯股份有限公司 一种数据异常检测方法、装置及终端设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW513883B (en) * 2000-08-03 2002-12-11 Telepaq Technology Inc A secure transaction mechanism system and method integrating wireless communication and wired communication
TW201029412A (en) * 2009-01-17 2010-08-01 Univ Nat Taiwan Science Tech Network attack detection systems and methods, and computer program products thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW513883B (en) * 2000-08-03 2002-12-11 Telepaq Technology Inc A secure transaction mechanism system and method integrating wireless communication and wired communication
TW201029412A (en) * 2009-01-17 2010-08-01 Univ Nat Taiwan Science Tech Network attack detection systems and methods, and computer program products thereof

Also Published As

Publication number Publication date
TW201218716A (en) 2012-05-01

Similar Documents

Publication Publication Date Title
CN109450845B (zh) 一种基于深度神经网络的算法生成恶意域名检测方法
CN106357618B (zh) 一种Web异常检测方法和装置
CN113961434A (zh) 一种分布式区块链系统用户异常行为监测方法及系统
CN109831460B (zh) 一种基于协同训练的Web攻击检测方法
CN103324745B (zh) 基于贝叶斯模型的文本垃圾识别方法和系统
JP2011523748A5 (zh)
JP6697123B2 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
CN105897714A (zh) 基于dns流量特征的僵尸网络检测方法
CN114338195B (zh) 基于改进孤立森林算法的web流量异常检测方法及装置
WO2010030982A3 (en) Associating an entity with a category
WO2009090584A3 (en) Method and system for activity recognition and its application in fall detection
CN105072214A (zh) 基于域名特征的c&amp;c域名识别方法
CN112333128A (zh) 一种基于自编码器的Web攻击行为检测系统
CN116909788A (zh) 一种任务导向和视角不变的多模态故障诊断方法及系统
Sommestad A framework and theory for cyber security assessments
CN115080756A (zh) 一种面向威胁情报图谱的攻防行为和时空信息抽取方法
CN110674370A (zh) 域名识别方法及装置、存储介质及电子设备
TWI419531B (zh) Web site attack detection system and method
Chen et al. Towards a deep learning approach for detecting malicious domains
CN113222480B (zh) 对抗样本生成模型的训练方法及装置
CN113537272A (zh) 基于深度学习的半监督社交网络异常账号检测方法
CN115277065B (zh) 一种物联网异常流量检测中的对抗攻击方法及装置
CN112733144B (zh) 一种基于深度学习技术的恶意程序智能检测方法
Lu et al. P2P hierarchical botnet traffic detection using hidden Markov models
CN116467720A (zh) 一种基于图神经网络的智能合约漏洞检测方法及电子设备

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees