[发明专利]一种网络攻击行为检测方法及终端设备

权利要求书

1.一种网络攻击行为检测方法，其特征在于，包括：

接收访问者发送的对目标网络系统的访问请求；

从所述访问请求中解析出所述访问者的IP地址；

在预设的IP地址白名单中查找所述访问者的IP地址；

若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；

从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；

根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；

若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。

2.根据权利要求1所述的网络攻击行为检测方法，其特征在于，所述根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容包括：

根据历史匹配成功记录确定所述若干正则表达式的匹配优先级，所述匹配优先级与所述正则表达式在所述历史匹配成功记录中的匹配成功次数正相关；

从所述若干正则表达式中选取一个尚未被选取过的匹配优先级最高的正则表达式；

使用当前选取的所述正则表达式对所述请求内容进行文本模式匹配；

若文本模式匹配成功，则判定所述请求内容中包含对所述目标网络系统的攻击内容；

若文本模式匹配失败，则返回执行所述从所述若干正则表达式中选取一个尚未被选取过的匹配优先级最高的正则表达式的步骤，直至文本模式匹配成功或者所述若干正则表达式中不存在尚未被选取过的正则表达式为止。

3.根据权利要求1所述的网络攻击行为检测方法，其特征在于，还包括：

若所述请求内容中未包含对所述目标网络系统的攻击内容，则获取预设时间段内的所述访问者的IP地址对所述目标网络系统的历史访问记录；

根据所述历史访问记录统计所述访问者的IP地址出现的总次数；

判断所述访问者的IP地址出现的总次数是否大于第一阈值；

若所述访问者的IP地址出现的总次数大于第一阈值，则判定所述访问请求为网络攻击行为。

4.根据权利要求3所述中的网络攻击行为检测方法，其特征在于，还包括：

若所述访问者的IP地址出现的总次数小于或等于第一阈值，则从所述历史访问记录获取与所述访问者的IP地址对应的返回码；

从与所述访问者的IP地址对应的返回码中选取异常返回码；

统计与所述访问者的IP地址对应的返回码的数量，以第一数目计，以及统计所述异常返回码的数量，以第二数目计；

计算所述第二数目与所述第一数目的比值；

若所述比值大于第二阈值，则判定所述访问请求为网络攻击行为。

5.根据权利要求1至4中任一项所述中的网络攻击行为检测方法，在从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式之前，还包括：

获取输入的新的正则表达式；

判断在所述正则表达式资源库中是否存在所述新的正则表达式；

若在所述正则表达式资源库中不存在所述新的正则表达式，则根据请求类型确定所述新的正则表达式所属的类别，并将所述新的正则表达式添加入所述正则表达式资源库对应的所述类别中。

6.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的网络攻击行为检测方法的步骤。

7.一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如下步骤：

接收访问者发送的对目标网络系统的访问请求；

从所述访问请求中解析出所述访问者的IP地址；

在预设的IP地址白名单中查找所述访问者的IP地址；

若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；

从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；

根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；

若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。