申请/专利权人：成都安恒信息技术有限公司

申请日：2021-09-18

公开（公告）日：2024-06-07

公开（公告）号：CN113922992B

主分类号：H04L9/40

分类号：H04L9/40;H04L67/02

优先权：

专利状态码：有效-授权

法律状态：2024.06.07#授权;2022.01.28#实质审查的生效;2022.01.11#公开

摘要：本发明涉及计算机检测技术领域，公开了一种基于HTTP会话的攻击检测方法，包括：步骤S1.通过DAQ模块导入实时数据；步骤S2.根据SNORT引擎对所述HTTP客户端数据的请求信息进行提取，获取客户端请求信息中请求头部的信息；步骤S3.根据SNORT引擎提取HTTP服务端数据，还原提取的HTTP服务端的响应数据，并进行识别；步骤S4.通过SNORT引擎中的HTTP异常检测插件判断所述客户端所需的请求数据类型和HTTP服务端的响应数据类型是否一致，如果是，返回步骤S1，否则，对服务端还原的的响应数据进行病毒扫描，检测是否存在攻击，如果是，进入步骤S5，否则，返回步骤S1；步骤S5.通过CLAMAV引擎对所述服务端还原的的响应数据再次进行攻击检测，并对攻击检测情况输出结果。

主权项：1.一种基于HTTP会话的攻击检测方法，其特征在于，包括以下步骤：步骤S1.通过DAQ模块导入实时数据，使用SNORT引擎对实时数据进行流会话处理，当SNORT引擎识别到流会话处理后的实时数据为HTTP会话时，在HTTP会话的预处理插件中，判断所述实时数据是HTTP客户端数据还是HTTP服务端数据，如果是HTTP客户端数据，进入步骤S2，如果是HTTP服务端数据，进入步骤S3；步骤S2.根据SNORT引擎对所述HTTP客户端数据的请求信息进行提取，获取客户端请求信息中请求头部的信息；步骤S3.根据SNORT引擎提取HTTP服务端数据，还原提取的HTTP服务端的响应数据，并对还原后的响应数据的数据类型进行识别；步骤S4.通过SNORT引擎中的HTTP异常检测插件判断所述客户端所需的请求数据类型和HTTP服务端的响应数据类型是否一致，如果是，返回步骤S1，如果否，对服务端还原的的响应数据进行病毒扫描，检测是否存在攻击，如果是，进入步骤S5，如果否，返回步骤S1；步骤S5.通过CLAMAV引擎对所述服务端还原的的响应数据再次进行攻击检测，并通过SNORT引擎对攻击检测情况输出结果；所述步骤S1中判断所述数据是HTTP客户端数据还是HTTP服务端数据的方法包括：S1.1.根据HTTP协议标准中的负载数据去识别所述数据开头的类型，当识别到符合客户端数据的数据开头时判断此数据为HTTP客户端数据；S1.2.当识别出所述数据为HTTP客户端数据时，对HTTP客户端数据进行标识和信息提取，获取HTTP客户端数据的信息；S1.3.根据已经提取的客户端数据信息判断再导入的数据是HTTP客户端数据还是HTTP服务端数据；所述步骤S5包括：步骤S5.1.在SNORT引擎中加入CLAMAV引擎，当CLAMAV引擎扫描完数据时，实时把扫描数据信息返回给SNORT引擎；步骤S5.2.在DAQ模块内预设离线独包模式，并将所述离线独包模式配置为在线采集模式；步骤S5.3.根据SNORT引擎、CLAMAV引擎和DAQ模块内预设离线独包模式在线采集到检测情况，并根据所述检测情况输出日志或阻断会话。

全文数据：

权利要求：

百度查询： 成都安恒信息技术有限公司 一种基于HTTP会话的攻击检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD