與現有技術相比，本申請通過一種用于確定WEB應用0day漏洞的方法與系統，篩選WEB應用的請求數據，判斷是否屬于靜態資源請求數據；若是非靜態資源請求數據，則通過與已知漏洞庫做對比，判斷是否存在已知漏洞攻擊；若目標檢測數據是非已知漏洞的異常數據，則對目標檢測數據先進行分詞處理，得到目標字符串數據；將目標字符串數據進行量化轉換，得到目標向量數據；將目標向量數據輸入經過訓練的神經網絡模型，獲得預測值；判斷預測值是否在預設閾值范圍內，確定目標檢測數據中是否存在WEB應用0day漏洞。本申請在針對WEB應用0day漏洞檢測具備較高成功率的前提下，能極大降低人力資源的投入，極大減少檢測環境維護成本。

技術領域

本申請涉及計算機信息安全技術領域，尤其涉及一種用于確定WEB應用0day漏洞的技術。

背景技術

在針對WEB應用的網絡攻擊中，利用WEB應用自身存在的漏洞，往往是攻擊者實施有效攻擊，進而牟取非法利益的常用手段。當WEB應用存在漏洞，一般由官方或白帽子等非攻擊者主動發現，經緊急處理形成應對方案后第一時間公之于眾，這樣成為有應對方案的WEB應用的已知漏洞，不會成為牟取非法利益的手段。但當WEB應用存在漏洞，卻被某個或某些發現者掌握，沒有通知官方修復，更沒有公之于眾，而是利用該漏洞實施有效的攻擊，牟取非法利益，這類漏洞即是WEB應用0day漏洞。

由此可見，因為沒有針對WEB應用0day漏洞的應對方案，WEB應用0day漏洞攻擊在WEB應用中能造成嚴重后果，往往具有很大的突然性與破壞性。

現有技術中用于確定WEB應用0day漏洞的方法主要有以下幾種：

方法一：對WEB應用的訪問日志進行人工篩查，從中發現疑似異常行為的訪問，并進行相關的驗證，以確定是否存在0day漏洞。由于WEB應用的訪問日志通常信息量較大，單純依靠人工對訪問日志進行篩查，在檢測效率上非常低下，而且需要投入很大的人力資源，人力成本很高。

方法二：從用戶訪問行為上，結合文件監測、WEB應用進程行為監測、系統異常分析等維度進行安全分值計分，當安全分值超過預設的閾值則認為是對WEB應用的入侵。該方法主要作用是用于識別對WEB應用的入侵，只具備區分正常行為和異常行為的能力，并不具備在異常行為中分類出已知漏洞或者0day漏洞的能力。即在識別異常行為時，檢測到的異常行為中可能會包含到一些0day漏洞攻擊，但是卻不具備區分已知漏洞和0day漏洞的能力，而且在對未知漏洞攻擊的檢測能力上也有限制。

方法三：針對某一種或一類特定軟件打開加載文檔功能，檢測是否存在WEB應用0day漏洞的方法。該方法存在的不足，首先是檢測識別對象單一，僅僅是針對的某一種或某一類特定軟件；其次是檢測識別的功能點單一，僅僅針對的是打開加載文檔的功能。而且，該方法需要根據該軟件的多個分支版本和補丁信息等，考慮在虛擬機中構建不同版本的運行環境，在每個版本的虛擬運行環境中，打開并運行可疑的文檔，根據文檔運行時調用的API等情況，判斷是否存在異常行為。所以該方法所需的檢測環境構建復雜，維護成本高。

綜上，提供一種更優化的確定WEB應用0day漏洞的方法成為亟待解決的問題。

發明內容

本申請的目的是提供一種用于確定WEB應用0day漏洞的方法與系統。

根據本申請的一個方面，提供了一種用于確定WEB應用0day漏洞的方法，其中，所述方法包括：

對待檢測的WEB應用的請求數據進行篩選，確定目標檢測數據；

基于所述目標檢測數據確定是否存在針對已知漏洞的攻擊；

當所述目標檢測數據不存在針對已知漏洞的攻擊，基于所述目標檢測數據確定目標向量數據；

通過神經網絡模型基于所述目標向量數據確定預測值，其中，所述預測值用于判斷是否存在0day漏洞；