[发明专利]一种基于本地命令执行的web攻击行为检测方法及系统

权利要求书

1.一种基于本地命令执行的web攻击行为检测方法，其特征在于，所述方法包括：

步骤S101:实时检测web应用程序运行期间的本地命令的调用行为；

步骤S102：判断调用本地命令的执行命令为何种类型，若为第一执行命令，则进入步骤S103；若为第二执行命令，则进入步骤S104；

步骤S103：基于第一执行命令的内容监控模式，在满足预设条件后，进入内容获取过程；

步骤S104:拦截所述第二执行命令以暂停命令执行过程，将所述第二执行命令输入至预先建立的命令执行模型，以确定第二执行命令的合法性，且在第二执行命令合法的条件下执行本地命令的内容获取过程；

步骤S105:若第一执行命令或第二执行命令为非法命令，则直接拦截执行命令的执行。

2.根据权利要求1所述的一种基于本地命令执行的web攻击行为检测方法，其特征在于：所述第一执行命令为本地预存的执行命令列表匹配的命令，所述第二执行命令为本地未存储的可执行命令。

3.根据权利要求2所述的一种基于本地命令执行的web攻击行为检测方法，其特征在于：所述判断调用本地命令的执行命令为何种类型，具体包括，提取所述执行命令的格式数据，与预先建立的本地命令的执行命令列表进行匹配，若匹配出一执行命令，则该执行命令为第一执行命令，若未匹配出，则该执行命令为第二执行命令。

4.根据权利要求1所述的一种基于本地命令执行的web攻击行为检测方法，其特征在于：所述步骤S103中，进入基于第一执行命令的内容监控模式具体包括：

监控第一执行命令调取的内容属性信息，若为敏感数据内容，则返回基于该第一执行命令的权限响应消息，以允许满足内容访问权限的第一执行命令访问并调取内容，若在权限响应时间范围内未接收到权限响应消息，则拒绝内容获取。

5.根据权利要求4所述的一种基于本地命令执行的web攻击行为检测方法，其特征在于：所述步骤S103中还包括，当所述第一执行命令在调取内容的同时，调取漏洞扫描进程对调取的内容所在位置进行扫描，在扫描完成且未发现攻击行为后运行内容调取过程。

6.根据权利要求1所述的一种基于本地命令执行的web攻击行为检测方法，其特征在于：所述步骤S104中，预先建立的命令执行模型，具体包括：

分别建立基于统一资源定位符URL的黑名单和白名单的样本数据集，对所述数据集进行分析、泛化以及空格分割的方式得到样本对比数据集；在使用hmmlearn训练后得到命令执行检测模型，在该检测模型中设置攻击行为阈值，基于该检测模型以及阈值形成命令执行模型。

7.根据权利要求6所述的一种基于本地命令执行的web攻击行为检测方法，其特征在于：将所述第二执行命令输入至预先建立的命令执行模型，以确定第二执行命令的合法性，且在第二执行命令合法的条件下执行本地命令的内容获取过程，具体包括，将所述第二执行命令输入至命令执行模型后，检测其输出结果，如果在阈值范围内，则输出第二执行命令合法，若超出阈值，则输出该第二执行命令存在攻击行为。

8.根据权利要求7所述的一种基于本地命令执行的web攻击行为检测方法，其特征在于：在第二执行命令合法的条件下执行本地命令的内容获取过程，还包括，当所述第二执行命令在调取内容的同时，调取漏洞扫描进程对调取的内容所在位置进行扫描，在扫描完成且未发现攻击行为后运行内容调取过程。