本發明公開了一種基于云平臺的大規模Web攻擊檢測方法和系統，涉及計算機網絡安全領域。所述方法包括以下步驟：步驟1、針對Web請求流量，執行請求審計算法，收集得到潛在攻擊集；步驟2、針對所述潛在攻擊集執行協同分析算法，進行聚類分析，形成m個潛在攻擊聚類；步驟3、針對所述m個潛在攻擊聚類執行攻擊規則生成算法，得到最終的攻擊規則集。所述系統包括云平臺、審計模塊、協同分析模塊和規則生成模塊；審計模塊執行請求審計算法；協同分析模塊執行協同分析算法，規則生成模塊執行攻擊規則生成算法，得到最終的攻擊規則集。本發明能夠檢測出使用工具的大規模web漏洞攻擊，發現潛在的0?day攻擊，并且能夠產生攻擊規則集。

技術領域

本發明涉及計算機網絡安全技術領域，尤其涉及一種基于云平臺的大規模Web攻擊檢測方法和系統。

背景技術

目前很多業務都依賴于互聯網，例如網上銀行、網絡購物、網游等，很多惡意攻擊者出于不良目的對Web服務器進行攻擊，想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是因為這樣，Web業務平臺最容易遭受攻擊。Web攻擊是指針對Web應用服務的一種攻擊手段，常見的有SQL注入、緩沖區溢出、XSS、CSRF等，針對Web服務器的漏洞進行攻擊。

隨著Web2.0、社交網絡、微博等等一系列新型的互聯網產品的誕生，基于Web環境的互聯網應用越來越廣泛，企業信息化的過程中各種應用都架設在Web平臺上，Web業務的迅速發展也引起攻擊者更大的興趣，并采用拉網式的Web漏洞掃描方式，來獲取最大的攻擊利益。當一種新的漏洞，即0day漏洞出現時，攻擊者往往采用編寫工具對Internet進行采點掃描，以最大化發現存在漏洞的Web服務器，實現攻擊。因此，當前Web的攻擊正呈現工具化、規模化的趨勢。

目前國內外關于防范Web攻擊的相關專利如下：

(1)SQL注入WEB攻擊的實時入侵檢測系統(CN200810002168.0)

(2)一種Web網站安全防御系統(CN201010110771.8)

(3)一種應用于應用層的Web入侵防御方法及系統(CN201110117191.6)

(4)Intrusion detection strategies for hypertext transport protocol(EP1774707 A2)

(5)Web server intrusion detection method and apparatus(US 20020143963A1)

(6)System for real-time intrusion detection of SQL injection Webattacks(US20090049547 A1)

這些專利的技術方案都或多或少存在一些不足，專利(1)、(6)主要是針對SQL注入，屬于防護特定型的攻擊。而專利(2)、(3)、(4)、(5)的缺點在于只能基于現有的規則或list匹配，不能夠應對現在快速變化的Web攻擊。

因此，本領域的技術人員致力于開發一種基于云平臺的大規模Web攻擊檢測方法和系統，以便能夠檢測出使用工具的大規模web漏洞攻擊，發現潛在的0-day攻擊，并生成攻擊規則集。

發明內容

有鑒于現有技術的上述缺陷，本發明所要解決的技術問題是如何基于云平臺進行協同分析以及時發現新型0day的大規模web攻擊，如何面向可擴展的web服務器群提供web攻擊防護。

為實現上述目的，本發明提供了一種基于云平臺的大規模Web攻擊檢測方法，包括以下步驟：

步驟1、針對Web請求流量，執行請求審計算法，收集得到潛在攻擊集；