[发明专利]网络攻击的检测方法及装置、终端设备和计算机存储介质在审
申请号: | 201710613167.9 | 申请日: | 2017-07-25 |
公开(公告)号: | CN107395599A | 公开(公告)日: | 2017-11-24 |
发明(设计)人: | 刘超;朱文雷;吴雷;李昌志;刘金钊;张酉夫;李扬 | 申请(专利权)人: | 北京长亭科技有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 北京金思港知识产权代理有限公司11349 | 代理人: | 邵毓琴,赵勇 |
地址: | 100083 北京市海淀区学*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 网络 攻击 检测 方法 装置 终端设备 计算机 存储 介质 | ||
技术领域
本发明涉及网络安全技术领域,更为具体而言,涉及网络攻击的检测方法及装置、终端设备和计算机存储介质。
背景技术
Web(网络)应用防火墙(WAF)会对被保护的Web应用的网络请求进行检测,发现其中存在的威胁,并采取相应的告警或拦截行为。WAF本身不应该对其保护的Web应用造成功能上的影响,即必须要满足高效检测、低误报和低漏报等要求。现有的检测技术主要有基于规则的检测技术和基于语法分析的检测技术。对于基于规则的检测技术而言,为了能够检测出新的攻击或者减少误报,需要不断的增加和修改正则表达式,由此导致其维护成本会越来越高,从而降低检测的效率。同时,由于提取攻击模式作为检测规则的过程需要基于已有的攻击样本,所以基于规则的检测技术难以拥有对未知攻击的检测能力。而基于语法分析的检测技术可以在一定程度上解决基于规则的检测技术的部分问题,但其仍然存在一些缺陷,例如,现有检测技术的解码能力不足,往往只会对请求数据进行基本解码,而请求数据可能经过各种类型的多层编码,由此导致网络攻击检测的准确度较低。
发明内容
本发明实施方式提供了网络攻击的检测方法及装置、终端设备和计算机存储介质,用以解决现有技术中所存在的上述技术问题。
第一方面,本发明实施方式提供了一种网络攻击的检测方法。
具体地,所述方法包括:
从请求数据中解析出目标字段;
对所述目标字段的字段值进行深度解码,以得到所述目标字段的结果解码值;
根据所述结果解码值对所述请求数据进行攻击检测。
由于在本发明中,对请求数据中目标字段的字段值进行深度解码,因此,能够有效应对多层编码的情形,提高解码能力,进而提升了网络攻击检测的准确性。
结合第一方面,在本发明的一些实现方式中,对所述目标字段的字段值进行深度解码包括:
对所述目标字段的字段值进行解码操作,以得到所述目标字段的中间解码值;
判断所述中间解码值是否需要进行进一步解码操作;
若需要进行进一步解码操作,则对所述中间解码值进行解码操作,以得到所述目标字段的另一中间解码值,并返回执行下述处理:判断所述中间解码值是否需要进行进一步解码操作。
结合第一方面,在本发明的一些实现方式中,对所述目标字段的字段值进行深度解码还包括:
若不需要进行进一步解码操作,则确定所述中间解码值为所述结果解码值。
结合第一方面,在本发明的一些实现方式中,判断所述中间解码值是否需要进行进一步解码操作包括:
根据与所述中间解码值对应的编码方式,更新所述目标字段的多层编码可能性参数;
根据更新后的多层编码可能性参数和设定阈值之间的比较结果,判断所述中间解码值是否需要进行进一步解码操作。
由于在本发明中,在对中间解码值进行解码操作前,先对当前多层编码的可能性进行评估,因此能够及时终止可能性较低的深度解码,从而提高解码效率。
结合第一方面,在本发明的一些实现方式中,根据与所述中间解码值对应的编码方式,更新所述目标字段的多层编码可能性参数包括:
根据编码树确定所述编码方式的权重值;
根据所述权重值更新所述多层编码可能性参数。
结合第一方面,在本发明的一些实现方式中,所述方法还包括:
基于网络流量数据和web(网络)应用的处理机制构建所述编码树。
结合第一方面,在本发明的一些实现方式中,对所述目标字段的字段值进行解码操作包括:
将所述字段值与设定的编码特征进行匹配;
对所述字段值执行与匹配成功的编码特征对应的解码操作。
由于在本发明中,将字段值与设定的编码特征进行匹配,因此能够实现对编码方式进行智能化分析,从而保证良好的解码效果。
结合第一方面,在本发明的一些实现方式中,从请求数据中解析出目标字段包括:
通过自动机从请求数据中解析出目标字段。
由于在本发明中,通过自动机对请求数据进行解析,因此,本发明能够高效率地执行请求数据的解析过程。
结合第一方面,在本发明的一些实现方式中,通过自动机从请求数据中解析出目标字段包括:
通过第一自动机直接从所述请求数据中解析出所述目标字段。
结合第一方面,在本发明的一些实现方式中,通过自动机从请求数据中解析出目标字段包括:
通过第一自动机从请求数据中解析出载体字段;
通过第二自动机从所述载体字段的字段值中解析出所述目标字段。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京长亭科技有限公司,未经北京长亭科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710613167.9/2.html,转载请声明来源钻瓜专利网。