[发明专利]攻击检测方法、装置、电子设备及计算机可读存储介质

说明书

本申请提供一种攻击检测方法、装置、电子设备及计算机可读存储介质，属于计算机领域。攻击检测方法包括：首先获取待检测的XML文档；然后基于预设的第一检测规则对所述XML文档中的外部实体进行检测，得到表征所述XML文档中存在XXE攻击概率的第一检测结果；并基于预设的第二检测规则对所述XML文档进行检测，得到表征所述XML文档中存在XXE攻击概率的第二检测结果；最后基于所述第一检测结果和所述第二检测结果，得到目标检测结果。通过两种方式对XML文档进行检测，并综合两个检测结果得到最终的目标检测结果，使得目标检测结果更加准确，进而可以降低误报率，从而无需限制外部实体的引用，也可以防止出现XXE攻击。

技术领域

本申请涉及计算机的技术领域，具体而言，涉及一种攻击检测方法、装置、电子设备及计算机可读存储介质。

背景技术

XXE(Extensible Markup Language eXternal Entity，可扩展标记语言外部实体注入)是一种常见的应用程序漏洞。攻击者可以通过XXE漏洞向服务器发起恶意的请求，例如命令执行、读取服务器文件、内网扫描，DOS(Denial of Service，拒绝服务)等。

目前，通常通过限制外部实体的引用来防止出现XXE漏洞，但是该方式虽然达到了禁用XXE漏洞的效果，但是也极大的影响了xml文档中对外部实体的正常引用，降低了利用XML文档传输数据的效率。

发明内容

本申请提供一种攻击检测方法、装置、电子设备及计算机可读存储介质，以解决现有的通过限制外部实体的引用来防止出现XXE攻击的方式，会降低利用XML文档传输数据的效率的问题。

第一方面，本申请提供一种攻击检测方法，包括：获取待检测的XML文档；基于预设的第一检测规则对所述XML文档中的外部实体进行检测，得到表征所述XML文档中存在XXE攻击概率的第一检测结果；基于预设的第二检测规则对所述XML文档进行检测，得到表征所述XML文档中存在XXE攻击概率的第二检测结果；基于所述第一检测结果和所述第二检测结果，得到目标检测结果。

本申请实施例中，通过两种方式对XML文档进行检测，并综合两个检测结果得到最终的目标检测结果，使得目标检测结果更加准确，进而可以降低误报率，从而无需限制外部实体的引用，也可以防止出现XXE攻击。

结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述获取待检测的XML文档，包括：获取流量数据包；确定所述流量数据包包括有预设关键字段，其中，包含有所述预设关键字段的所述流量数据包为所述待检测的XML文档。

结合上述第一方面提供的技术方案，在一些可能的实施方式中，在所述基于预设的第一检测规则对所述XML文档中的外部实体进行检测之前，所述方法还包括：确定所述XML文档中的外部实体的类型为预设白名单中存在的实体类型。

本申请实施例中，通过确定XML文档中的外部实体的类型是否为预设白名单中存在的实体类型，可以对XML文档进行预检测，从而可以快速排除一部分存在攻击的XML文档。同时，也实现了从实体类型这一维度对XML文档的检测，使得对XML文档的检测更加全面，提高了最终得到的检测结果的准确性。

结合上述第一方面提供的技术方案，在一些可能的实施方式中，在所述基于预设的第一检测规则对所述XML文档中的外部实体进行检测之前，所述方法还包括：在所述XML文档中的外部实体的类型为http或者https时，获取所述外部实体中的域名信息或网络地址；确定所述域名信息或所述网络地址不存在于预设的恶意库中，其中，所述恶意库包括恶意域名和恶意地址。

本申请实施例中，通过对http或者https类型的外部实体中包括的域名信息或网络地址进行检测，可以快速排除与恶意域名或恶意地址相关的XML文档。同时，也实现了从域名信息或网络地址这一维度对XML文档的检测，使得对XML文档的检测更加全面，提高了最终得到的检测结果的准确性。