[发明专利]检测方法及检测设备、存储介质

说明书

本申请实施例公开了一种检测方法和设备、计算机存储介质，其中，所述方法包括：获得目标数据，所述目标数据表征为终端向主机传输的数据；获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击。

技术领域

本申请涉及检测技术，具体涉及一种检测方法及检测设备、计算机存储介质。

背景技术

在网络安全技术中，WebShell(网页脚本)是一种以网页文件形式存在的执行脚本，其脚本的后缀格式通常为php(脚本语言)、asp、aspx、jsp等。相关技术中，攻击者如黑客可通过如下方式进行内网(如企业、单位内网)的攻击，以实现对内网主机的非法使用。攻击者向内网主机上传WebShell以将Webshell植入至内网主机，利用植入WebShell进行权限的升级并对所植入的主机以及与该主机进行通信的其他内网主机进行非法访问，以达到对内网的渗透。相关技术中，可通过WebShell植入过程以及非法访问过程进行规律分析，基于这种规律实现对WebShell攻击行为的识别。这种方案的识别准确性有限，且存在有漏检测(识别)的情况，无法满足安全需求。

发明内容

为解决现有存在的技术问题，本申请实施例提供一种检测方法、设备及计算机存储介质。

本申请实施例的技术方案是这样实现的：

第一方面，本申请实施例提供一种检测方法，所述方法包括：

获得目标数据，所述目标数据表征为终端向主机传输的数据；

获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；

获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；

基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击。

前述方案中，所述基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击，包括：

基于所述第一目标特征，识别所述目标数据是否为攻击数据；

在所述目标数据为非攻击数据的情况下，获得所述目标数据的第二目标特征；

基于所述第二目标特征，确定所述主机是否被网页脚本攻击。

前述方案中，在所述第一目标特征表征为目标数据在被所述主机接收的情况下所述目标数据的文本特征和所述目标数据对所述主机产生的行为；

相应的，所述基于所述第一目标特征，识别所述目标数据是否为攻击数据，包括：

判断所述目标数据的文本特征是否与预设的文本特征相匹配、以及判断所述目标数据在被接收的情况下产生的行为是否与预设的第一行为相匹配；

判断所述目标数据的文本特征与预设的文本特征不匹配、以及所述目标数据在被接收的情况下产生的行为与预设的第一行为不匹配的情况下，确定所述目标数据为非攻击数据。

前述方案中，所述方法还包括：

在所述目标数据为攻击数据的情况下，

获得向所述主机传输所述目标数据的终端的标识；

控制具有所述标识的终端传输的目标数据禁止产生所述第二目标特征。

前述方案中，所述方法还包括：