本發明涉及一種基于大數據日志分析的網站入侵檢測方法，包括以下步驟：采集預設時間段內的web日志,將其按照訪問者IP進行聚合；將訪問者IP與IP白名單進行匹配，篩選出未在IP白名單內的待檢測IP；分析待檢測IP對應的web日志，使用自定義的風險模型分別計算各項請求參數的風險值，并根據計算的風險值綜合判定待檢測IP的危險等級；當判定出待檢測IP的危險等級達到指定等級時，將其判定為可疑IP。本發明通過風險模型綜合訪問者IP及其訪問請求信息，多方面計算訪問者的入侵風險值，相比傳統WAF技術對網站入侵更加準確全面，能夠減少漏檢或誤檢；由于通過web日志進行分析，無需部署到應用的上一層，減小了服務器的性能開銷并且可以識別多種入侵攻擊手段。

技術領域

本發明涉及一種基于大數據日志分析的網站入侵檢測方法，屬于網絡安全技術領域。

背景技術

目前多數網站都使用WAF(網站應用級入侵防御系統)技術進行攔截，此技術主要是通過判斷用戶請求的信息中是否包含某些特定的字符串，或者某個特定的URL地址被訪問，對于觸發規則的請求直接進行阻斷，以確保系統的安全。

此方法的最大問題是，所有識別均基于規則進行判斷，然而隨著計算機網絡和通信技術的發展，計算機網絡安全威脅和安全風險不斷增加，攻擊手段的多樣化，很多規則都可以被繞過，導致WAF不能很準確及時的攔截攻擊行為。同時也有大量的正常用戶的正常請求也可能包含這些特征字符串，導致正常用戶的訪問被阻斷，一定程度的影響用戶使用。

主流的WAF產品并不能識別越權漏洞、敏感信息泄露、爬蟲攻擊、CC(ChallengeCollapsar)攻擊。

WAF(網站應用級入侵防御系統)的需要部署到應用的上一層，存在一定的性能開銷。

發明內容

本發明提供一種基于大數據日志分析的網站入侵檢測方法，通過分析網站訪問日志獲取一段時間內的所有用戶訪問請求信息，根據訪問者IP及請求參數使用風險模型多方面綜合分析計算訪問者IP的風險值，判定其危險程度，能夠較全面準確地檢測到網站入侵。

本發明的技術方案第一方面為一種基于大數據日志分析的網站入侵檢測方法，所述方法包括以下步驟：

采集預設時間段內的web日志,將采集的web日志按照訪問者IP進行聚合；

將訪問者IP與IP白名單進行匹配，篩選出未在IP白名單內的待檢測IP；

分析待檢測IP對應的web日志，使用自定義的風險模型分別計算各項請求參數的風險值，并根據計算的風險值綜合判定待檢測IP的危險等級；

當判定出待檢測IP的危險等級達到指定等級時，將其判定為可疑IP。

作為本發明技術方案的進一步改進，所述步驟篩選出未在IP白名單內的待檢測IP之后還包括：

將待檢測IP與IP黑名單進行匹配，若匹配成功，則將其判定為可疑IP。

作為本發明技術方案的進一步改進，所述步驟分析待檢測IP對應的web日志之前還包括：

統計所有待檢測IP的訪問請求總量，篩選出訪問請求次數超過請求閾值的待檢測IP。

作為本發明技術方案的進一步改進，所述步驟使用自定義的風險模型分別計算各項請求參數的風險值，包括：

對預設時間段內的待檢測IP的web日志分別按各項請求參數進行聚合；

分別統計分析各項請求參數對應的web日志聚合情況；

根據各項請求參數的web日志占比情況利用風險模型計算對應的風險值，所述風險值與web日志占比情況的換算關系可自定義設置。