[发明专利]网络攻击的检测方法及装置、终端设备和计算机存储介质

说明书

技术领域

本发明涉及网络安全技术领域，更为具体而言，涉及网络攻击的检测方法及装置、终端设备和计算机存储介质。

背景技术

Web(网络)应用防火墙(WAF)会对被保护的Web应用的网络请求进行检测，发现其中存在的威胁，并采取相应的告警或拦截行为。WAF本身不应该对其保护的Web应用造成功能上的影响，即必须要满足高效检测、低误报和低漏报等要求。现有的检测技术主要有基于规则的检测技术和基于语法分析的检测技术。对于基于规则的检测技术而言，为了能够检测出新的攻击或者减少误报，需要不断的增加和修改正则表达式，由此导致其维护成本会越来越高，从而降低检测的效率。同时，由于提取攻击模式作为检测规则的过程需要基于已有的攻击样本，所以基于规则的检测技术难以拥有对未知攻击的检测能力。而基于语法分析的检测技术可以在一定程度上解决基于规则的检测技术的部分问题，但其仍然存在一些缺陷，例如，现有检测技术的解码能力不足，往往只会对请求数据进行基本解码，而请求数据可能经过各种类型的多层编码，由此导致网络攻击检测的准确度较低。

发明内容

本发明实施方式提供了网络攻击的检测方法及装置、终端设备和计算机存储介质，用以解决现有技术中所存在的上述技术问题。

第一方面，本发明实施方式提供了一种网络攻击的检测方法。

具体地，所述方法包括：

从请求数据中解析出目标字段；

对所述目标字段的字段值进行深度解码，以得到所述目标字段的结果解码值；

根据所述结果解码值对所述请求数据进行攻击检测。

由于在本发明中，对请求数据中目标字段的字段值进行深度解码，因此，能够有效应对多层编码的情形，提高解码能力，进而提升了网络攻击检测的准确性。

结合第一方面，在本发明的一些实现方式中，对所述目标字段的字段值进行深度解码包括：

对所述目标字段的字段值进行解码操作，以得到所述目标字段的中间解码值；

判断所述中间解码值是否需要进行进一步解码操作；

若需要进行进一步解码操作，则对所述中间解码值进行解码操作，以得到所述目标字段的另一中间解码值，并返回执行下述处理：判断所述中间解码值是否需要进行进一步解码操作。

结合第一方面，在本发明的一些实现方式中，对所述目标字段的字段值进行深度解码还包括：

若不需要进行进一步解码操作，则确定所述中间解码值为所述结果解码值。

结合第一方面，在本发明的一些实现方式中，判断所述中间解码值是否需要进行进一步解码操作包括：

根据与所述中间解码值对应的编码方式，更新所述目标字段的多层编码可能性参数；

根据更新后的多层编码可能性参数和设定阈值之间的比较结果，判断所述中间解码值是否需要进行进一步解码操作。

由于在本发明中，在对中间解码值进行解码操作前，先对当前多层编码的可能性进行评估，因此能够及时终止可能性较低的深度解码，从而提高解码效率。

结合第一方面，在本发明的一些实现方式中，根据与所述中间解码值对应的编码方式，更新所述目标字段的多层编码可能性参数包括：

根据编码树确定所述编码方式的权重值；

根据所述权重值更新所述多层编码可能性参数。

结合第一方面，在本发明的一些实现方式中，所述方法还包括：

基于网络流量数据和web(网络)应用的处理机制构建所述编码树。

结合第一方面，在本发明的一些实现方式中，对所述目标字段的字段值进行解码操作包括：

将所述字段值与设定的编码特征进行匹配；

对所述字段值执行与匹配成功的编码特征对应的解码操作。

由于在本发明中，将字段值与设定的编码特征进行匹配，因此能够实现对编码方式进行智能化分析，从而保证良好的解码效果。

结合第一方面，在本发明的一些实现方式中，从请求数据中解析出目标字段包括：

通过自动机从请求数据中解析出目标字段。

由于在本发明中，通过自动机对请求数据进行解析，因此，本发明能够高效率地执行请求数据的解析过程。

结合第一方面，在本发明的一些实现方式中，通过自动机从请求数据中解析出目标字段包括：

通过第一自动机直接从所述请求数据中解析出所述目标字段。

结合第一方面，在本发明的一些实现方式中，通过自动机从请求数据中解析出目标字段包括：

通过第一自动机从请求数据中解析出载体字段；

通过第二自动机从所述载体字段的字段值中解析出所述目标字段。