[发明专利]一种嵌套编码攻击载荷检测方法、系统、设备及存储介质

说明书

本发明实施例提供了一种嵌套编码攻击载荷检测方法、系统、设备及存储介质，通过遍历待检测载荷的编码，扫描出解码器特征集合；利用解码器特征集合，可以调取相应的解码器对多层编码的攻击载荷进行自动、智能解码。通过智能推测嵌套编码，还原攻击载荷，减少攻击检测规则数量，提高攻击检测准确率。采用本发明实施例，规则数目与原始攻击载荷数量相当，约千级别的，可以有效的应用到攻击检测领域，并且对潜在可能存在的攻击变种进行有效的检测。

技术领域

本发明实施例涉及网络安全检测技术领域，具体涉及一种嵌套编码攻击载荷检测方法、系统、设备及存储介质。

背景技术

当前业界网络攻击检测类产品，如WAF、IPS、IDS等，主要工作原理是将网络传输数据与安全检测规则集进行匹配，命中安全检测规则即被认为是攻击/安全事件。

安全研究人员在编写安全检测规则时，分析攻击检测用例，提取攻击特征载荷，使用特定规则语言描述攻击特征(业界多数使用正则表达式进行攻击规则描述)。

随着攻击检测的不断博弈，原始的攻击载荷在大部分安全检测设备中被拦截，因此，黑客们在不断探索各种绕过方法，其中有一个大方向是编码绕过，利用各种编程语言、中间件、框架的特性，将攻击载荷通过多次、多层的编码，产生一个与原始攻击载荷完全不同的变种载荷，其攻击特征被隐藏，针对原始攻击载荷的检测规则失效；为检测出不同的变种载荷，需要增加大量检测规则。

发明内容

为此，本发明实施例提供一种嵌套编码攻击载荷检测方法、系统、设备及存储介质，以解决传统安全检测在多次、多层嵌套编码攻击载荷时，存在的规则数量急剧增加、枚举不全导致的攻击绕过情况的技术问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例的第一方面，本申请实施例提供了一种嵌套编码攻击载荷检测方法，所述方法包括：

将解码深度M和解码路径P_M进行初始化；

接收载荷L；

调用检测规则R对当前载荷L进行检测，判断当前载荷L是否与所述检测规则R匹配；

如果当前载荷L与所述检测规则R匹配，则判定所述载荷L为攻击载荷，并终止解码检测逻辑；

如果当前载荷L未与所述检测规则R匹配，则扫描所述载荷L，得到解码器特征集合；

根据所述解码器特征集合逐个调用对应解码器对当前载荷L解码；

直到当前载荷L解码成功，得到解码后的载荷L_d；

利用解码后的载荷L_d更新所述载荷L，进入下一层解码检测逻辑。

进一步地，根据所述解码器特征集合逐个调用对应解码器对当前载荷L解码，包括：

判断所述解码器特征集合是否为空；

如果所述解码器特征集合不为空，则根据所述解码器特征集合获得对应的解码器集合；

逐个调用当前解码器集合中的解码器对当前载荷L进行解码；

判断利用当前解码器是否对所述载荷L解码成功；

如果当前解码器对所述载荷L解码成功，则得到解码后的载荷L_d。

进一步地，所述方法还包括：

在当前载荷L解码成功之后，则将所述解码深度M加1，将解码成功的解码器加入至所述解码路径P_M，进行更新；

将更新后的解码深度M和解码路径P_M用于下一层解码检测逻辑。