CN112887327B - 一种检测恶意行为的方法、装置及存储介质 - Google Patents
一种检测恶意行为的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN112887327B CN112887327B CN202110203939.8A CN202110203939A CN112887327B CN 112887327 B CN112887327 B CN 112887327B CN 202110203939 A CN202110203939 A CN 202110203939A CN 112887327 B CN112887327 B CN 112887327B
- Authority
- CN
- China
- Prior art keywords
- weight information
- request message
- request
- malicious
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 139
- 230000006399 behavior Effects 0.000 title claims abstract description 134
- 238000001514 detection method Methods 0.000 claims abstract description 125
- 230000004044 response Effects 0.000 claims description 104
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 238000012216 screening Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000002194 synthesizing effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种检测恶意行为的方法、装置及存储介质;方法包括:接收待检测对象的至少一个请求报文;解析至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个;若请求方法、信息位置目录和文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与每个请求报文对应的第一权重信息;基于至少一个请求报文对应的至少一个第一权重信息,确定至少一个请求报文的检测结果。本发明能够提高检测恶意行为的准确率。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种检测恶意行为的方法、装置及存储介质。
背景技术
应用防火墙(Web Application Firewall,WAF)中的被动防扫描(Passive anti-scan)技术是用于阻止恶意对象为了网络攻击而对网站信息进行的扫描,具体的,是对扫描流量进行分析,提取扫描流量特征来识别恶意行为,从而阻止恶意对象扫描网站。相比主动防扫描(Positive anti-scan),被动防扫描不会向正常的网络流量中加入代码来主动识别恶意行为,因此,不会对正常业务数据产生破坏。
目前已知的被动防扫描方法,通常仅仅提取扫描流量中比较直观的特征,如敏感词、扫描器指纹和响应码,来检测恶意行为。但在运行过程中,会存在现有被动防扫描方案无法检测到的恶意行为,检测恶意行为的准确率较低。
发明内容
本发明实施例期望提出一种恶意对象的检测方法、装置及存储介质,能够提高检测恶意行为的准确率。
本发明的技术方案是这样实现的:
本发明实施例提供一种检测恶意行为的方法,所述方法包括:
接收待检测对象的至少一个请求报文;
解析所述至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个;
若所述请求方法、所述信息位置目录和所述文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与所述每个请求报文对应的第一权重信息;
基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果。
上述方案中,所述接收待检测对象的至少一个请求报文之后,所述方法还包括:
筛选所述至少一个请求报文中是否包含特殊信息,所述特殊信息包括:信息位置敏感词或扫描器指纹;
若每个请求报文中均包含所述特殊信息,则从预设特殊信息库中,得到与所述每个请求报文对应的第二权重信息,从而得到了至少一个请求报文对应的至少一个第二权重信息;
相应的,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
根据所述至少一个第一权重信息和所述至少一个第二权重信息,确定所述至少一个请求报文的检测结果。
上述方案中,所述接收待检测对象的至少一个请求报文之后,所述方法还包括:
接收针对所述至少一个请求报文响应的至少一个响应报文;所述至少一个响应报文是由服务器接收到所述至少一个请求报文后做出响应而得到的;
解析所述至少一个响应报文,得到每个响应报文分别对应的响应信息;
若所述响应信息表征未找到所要请求的内容,则从预设异常响应关系中,得到与所述每个请求报文对应的第三权重信息,从而得到了至少一个请求报文对应的至少一个第三权重信息;
相应的,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
根据所述至少一个第一权重信息和所述至少一个第三权重信息,确定所述至少一个请求报文的检测结果;或者,
根据所述至少一个第一权重信息、所述至少一个第二权重信息和所述至少一个第三权重信息,确定所述至少一个请求报文的检测结果。
上述方案中,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
若所述至少一个请求报文对应的至少一个第一权重信息中存在大于第一恶意分数阈值的第一目标权重信息,则确定与所述第一目标权重信息对应的请求报文的检测结果为恶意行为。
上述方案中,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
若所述至少一个请求报文对应的至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,则将所述第二目标权重信息进行相加,得到第一加权结果;
若所述第一加权结果小于或等于第一恶意加权阈值,则与所述第二目标权重信息对应的请求报文的检测结果为正常行为;
若所述第一加权结果大于第一恶意加权阈值,则与所述第二目标权重信息对应的请求报文的检测结果为恶意行为。
上述方案中,所述方法还包括:
解析所述至少一个请求报文中的每个请求报文,分别得到一一对应的请求参数;
统计与每个请求报文对应的所述请求参数的个数。
根据至少一个第二权重信息和所述至少一个第三权重信息中的至少一个,所述至少一个第一权重信息,以及所述请求参数的个数,确定所述至少一个请求报文的检测结果。
上述方案中,所述每个请求报文对应的第一权重信息包括:第一子权重信息和第二子权重信息;
所述若所述请求方法、所述信息位置目录和所述文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到所述每个请求报文对应的第一权重信息,包括:
若所述请求方法与所述文件类型之间存在冲突,则从第一预设冲突关系中,得到所述每个请求报文对应的第一子权重信息;或者,
若所述信息位置目录和所述文件类型之间存在冲突,则从第二预设冲突关系中,得到所述每个请求报文对应的第二子权重信息。
上述方案中,所述若所述请求方法与所述文件类型之间存在冲突,则从第一预设冲突关系中,得到所述每个请求报文对应的第一子权重信息,包括:
若所述文件类型与所述请求方法,与所述第一预设冲突关系中存在匹配的第一目标冲突关系,则表征从所述第一预设冲突关系中,得到与所述第一目标冲突关系对应的所述第一子权重信息。
上述方案中,所述若所述信息位置目录和所述文件类型之间存在冲突,则从第二预设冲突关系中,得到所述每个请求报文对应的第二子权重信息,包括:
若所述信息位置目录与所述文件类型,与所述第二预设冲突关系中存在匹配的第二目标冲突关系,则表征从所述第二预设冲突关系中,得到与所述第二目标冲突关系对应的所述第二子权重信息。
上述方案中,所述若所述请求方法与所述文件类型之间存在冲突,则从第一预设冲突关系中,得到所述每个请求报文对应的第一子权重信息之后,所述方法还包括:
统计与所述第一子权重信息对应的第一风险文件类型的种类数;
若所述第一风险文件类型的种类数大于第一恶意种类阈值,则与所述第一风险文件类型对应的请求报文的检测结果为恶意行为。
上述方案中,所述若所述信息位置目录和所述文件类型之间存在冲突,则从第二预设冲突关系中,得到所述每个请求报文对应的第二子权重信息之后,所述方法还包括:
统计与所述第二子权重信息对应的第二风险文件类型的种类数;
若所述第二风险文件类型的种类数大于第二恶意种类阈值,则与所述第二风险文件类型对应的请求报文的检测结果为恶意行为。
上述方案中,所述确定所述至少一个请求报文的检测结果之后,所述方法还包括:
若所述至少一个请求报文的检测结果为恶意行为,则丢弃所述至少一个请求报文;或者,
若所述至少一个请求报文的检测结果为恶意行为,且已经接收到了针对所述至少一个请求报文响应的至少一个响应报文,则丢弃所述至少一个响应报文;或者,
若所述至少一个请求报文的检测结果为正常行为,且已经接收到了针对所述至少一个请求报文响应的至少一个响应报文,则反馈所述至少一个响应报文。
本发明实施例还提供一种检测恶意行为的装置,包括:
接收单元,用于接收待检测对象的至少一个请求报文;
解析单元,用于解析所述至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个;
生成单元,用于若所述请求方法、所述信息位置目录和所述文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与所述每个请求报文对应的第一权重信息;
确定单元,用于基于所述至少一个请求报文对应的至少一个权重信息,确定所述至少一个请求报文的检测结果。
本发明实施例还提供一种检测恶意行为的装置,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现上述方案中的检测恶意行为的方法。
本发明实施例还提供一种存储介质,存储有可执行指令,用于引起处理器执行时,实现上述方案中的检测恶意行为的方法。
由此可见,本发明实施例提供了一种恶意对象的检测方法、装置及存储介质,能够在接收到待检测对象的至少一个请求报文之后,解析至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个。若请求方法、信息位置目录和文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与每个请求报文对应的第一权重信息。最后,基于至少一个请求报文对应的至少一个第一权重信息,确定至少一个请求报文的检测结果。这样,可以提取请求报文中请求方法、信息位置目录和文件类型之间的冲突关系作为特征,来确定待检测对象是否为恶意对象,提供了检测恶意行为的多样性,从而提高了检测恶意行为的准确率。
附图说明
图1为本发明实施例提供的一种恶意对象的检测方法的流程图一;
图2为本发明实施例提供的一种恶意对象的检测方法的应用场景示意图;
图3为本发明实施例提供的一种恶意对象的检测方法的流程图二;
图4为本发明实施例提供的一种恶意对象的检测方法的流程图三;
图5为本发明实施例提供的一种恶意对象的检测方法的流程图四;
图6为本发明实施例提供的一种恶意对象的检测方法的流程图五;
图7为本发明实施例提供的一种恶意对象的检测方法的流程图六;
图8为本发明实施例提供的一种恶意对象的检测方法的流程图七;
图9为本发明实施例提供的一种恶意对象的检测方法的流程图八;
图10为本发明实施例提供的一种恶意对象的检测方法的流程图九;
图11为本发明实施例提供的一种恶意对象的检测装置的结构示意图一;
图12为本发明实施例提供的一种恶意对象的检测装置的结构示意图二。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明的技术方案进一步详细阐述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
如果发明文件中出现“第一/第二”的类似描述则增加以下的说明,在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本发明实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的,不是旨在限制本发明。
图1是本发明实施例提供的检测恶意行为的方法的一个可选的流程示意图,将结合图1示出的步骤进行说明。
S101、接收待检测对象的至少一个请求报文。
本发明实施例中,待检测对象可以通过客户端发送请求报文,接收待检测对象的至少一个请求报文的设备可以是网络安全设备。客户端预先和服务器建立通信线路,网络安全设备位于客户端与服务器之间,在客户端需要向服务器请求数据信息时,客户端向服务器发送请求报文,请求报文会经过网络安全设备。
其中,客户端可以是手机、电脑、智能终端、车载电脑等。服务器可以是网站服务器,用于存储网站数据,以及在互联网中的发布和应用网站。网络安全设备用于防备恶意用户对网站数据进行的扫描和篡改等攻击行为。
结合图2,服务器300预先和客户端1、客户端2建立通信线路301,网络安全设备302位于服务器300前。其中,客户端1为移动终端,客户端2为电脑。客户端1或者客户端2可以通过预先建立的通信线路301向服务器300发送请求报文。
本发明实施例中,客户端所要请求的数据信息可以是网页。当客户端请求一个网页时,可以先通过超文本传输协议(Hyper Text Transfer Protocol,HTTP)将请求的内容封装在请求报文之中,再将请求报文发送给服务器。
S102、解析至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个。
本发明实施例中,网络安全设备接收到了至少一个请求报文后,会对每个请求报文的内容进行解析,以得到每个请求报文分别对应的信息位置目录、文件类型和请求方法中的至少两个。
本发明实施例中,请求报文中包含了请求方法和统一资源定位信息(UniformResource Locator,URL),其中,请求方法可以表征对所要请求的数据信息的操作方式,URL可以表征所要请求的数据信息的位置和格式。URL中包含了信息位置目录和文件类型,其中,信息位置目录可以是URL目录,以层级化方式表征所要请求的数据信息的位置;文件类型表征所要请求的数据信息的格式。
S103、若请求方法、信息位置目录和文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与每个请求报文对应的第一权重信息。
本发明实施例中,网络安全设备中存储了预设冲突关系,预设冲突关系中包含了信息位置目录、文件类型和请求方法之间存在风险的冲突关系,以及为不同异常组合分别配置的对应权重信息。
其中,预设冲突关系可以由技术人员根据实践经验来进行配置和更新,例如,信息位置目录为/js/时,其目录下的文件类型通常为js类型的文件,如果存在其他类型的文件,则可能存在冲突,可以认为是冲突关系;恶意用户为了绕过WAF检测,经常会采用POST请求方法来请求tar类型的文件,因此可以认为POST请求方法与tar文件类型的组合是冲突组合。权重信息以分值的方式来表征请求报文属于恶意报文的概率,安全风险越高的情况,其对应的分值便越高。
进一步的,网络安全设备可以根据预设冲突关系来识别每个请求报文对应的信息位置目录、文件类型和请求方法中的至少两个之间是否存在冲突。若存在冲突,则网络安全设备从预设冲突关系中,得到与每个请求报文对应的第一权重信息,从而得到了至少一个请求报文对应的至少一个第一权重信息。
其中,第一权重信息是指从预设冲突关系中得到的与每个请求报文对应的权重信息。每个请求报文对应的信息位置目录、文件类型和请求方法之间是否存在冲突,可以是每个请求报文对应的信息位置目录和文件类型之间是否存在冲突,也可以是每个请求报文对应的文件类型和请求方法之间是否存在冲突。
本发明实施例中,若每个请求报文中请求方法与文件类型之间存在冲突,则网络安全设备可以从第一预设冲突关系中,得到每个请求报文对应的第一子权重信息。其中,第一预设冲突关系是预设冲突关系中,请求方法与文件类型之间存在冲突所对应的部分。第一子权重信息是指从第一预设冲突关系中得到的与每个请求报文对应的权重信息。
其中,网络安全设备判定每个请求报文中请求方法与文件类型之间是否存在冲突的过程,可以是先判定请求方法是否为第一预设冲突关系中的请求方法,如果判定是,再判定文件类型是否为第一预设冲突关系中与该请求方法存在冲突的文件类型;也可以是先判定文件类型是否为第一预设冲突关系中的文件类型,如果判定是,再判定请求方法是否为第一预设冲突关系中与该文件类型存在冲突的请求方法。
本发明实施例中,若每个请求报文中信息位置目录和文件类型之间存在冲突,则网络安全设备从第二预设冲突关系中,得到每个请求报文对应的第二子权重信息。其中,第二预设冲突关系是预设冲突关系中,信息位置目录和文件类型之间存在冲突所对应的部分。第二子权重信息是指从第二预设冲突关系中得到的与每个请求报文对应的权重信息。
其中,网络安全设备判定每个请求报文中信息位置目录和文件类型之间是否存在冲突的过程,可以是先判定信息位置目录是否为第二预设冲突关系中的信息位置目录,如果判定是,再判定文件类型是否为第二预设冲突关系中与该信息位置目录存在冲突的文件类型;也可以是先判定文件类型是否为第二预设冲突关系中的文件类型,如果判定是,再判定信息位置目录是否为第二预设冲突关系中与该文件类型存在冲突的信息位置目录。
可以理解的是,请求报文对应的信息位置目录、文件类型和请求方法之间的冲突关系,并非是现有被动防扫描方法中所提取的比较直观的特征。依据是否存在冲突来检测恶意对象,能够覆盖到已知检测方法的检测盲点,从而提高检测恶意行为的准确率。
S104、基于至少一个请求报文对应的至少一个第一权重信息,确定至少一个请求报文的检测结果。
本发明实施例中,网络安全设备可以基于至少一个第一权重信息,来确定至少一个请求报文的检测结果。其中,一个请求报文可能匹配到多条第一权重信息,确定一个请求报文的检测结果需要综合该请求报文所匹配到的所有第一权重信息进行判定。
可以理解的是,在检测恶意对象时,综合一条请求报文所对应的所有第一权重信息对该请求报文进行判定,可以有效避免因判定依据单一而带来的误判,从而提高检测恶意行为的准确率。进一步的,可以根据恶意行为确定实施恶意行为的恶意对象,而后可以对恶意对象采取封禁IP等后续处理。
在本发明的一些实施例中,参见图3,图3是本发明实施例提供的方法的一个可选的流程示意图,图1示出的S101之后还可以包括S105-S106,并可以通过图3示出的S107来实现上述图1示出的S104,将结合各步骤进行说明。
S105、筛选至少一个请求报文中是否包含特殊信息,特殊信息包括:信息位置敏感词或扫描器指纹。
本发明实施例中,网络安全设备可以将历史扫描流量中出现频次高的信息位置敏感词或扫描器指纹,预先提取成正则表达式。而后,用正则表达式对请求报文的内容进行筛选,筛选出请求报文中是否包含信息位置敏感词或扫描器指纹。
其中,信息位置敏感词可以是URL敏感词,是在通常的请求报文中不常出现的内容。扫描器指纹是恶意对象利用扫描器对服务器网站信息进行扫描时,在请求报文中留下的特征信息。
S106、若每个请求报文中均包含特殊信息,则从预设特殊信息库中,得到与每个请求报文对应的第二权重信息,从而得到了至少一个请求报文对应的至少一个第二权重信息。
本发明实施例中,网络安全设备中存储了预设特殊信息库,其中包含了信息位置敏感词或扫描器指纹等特殊信息,以及为不同特殊信息分别配置的对应权重信息。
进一步的,若每个请求报文中均包含特殊信息,网络安全设备可以从预设特殊信息库中,得到与每个请求报文对应的第二权重信息,从而得到了至少一个请求报文对应的至少一个第二权重信息。其中,第二权重信息是从预设特殊信息库中得到的与每个请求报文对应的权重信息,表征请求报文属于恶意报文的概率。
本发明实施例中,网络安全设备也可以将预设特殊信息库中的权重信息与正则表达式耦合,从而在用正则表达式筛选出请求报文中包含特殊信息时,直接得到该请求报文对应的第二权重信息。
可以理解的是,网络安全设备得到了包含第二权重信息的至少一个权重信息以后,可以综合一条请求报文所对应的所有权重信息对该请求报文进行判定,来确定该请求报文所对应的待检测对象是否为恶意对象。这样,可以有效避免判定依据单一而带来的误判,从而提高检测恶意行为的准确率。
S107、根据至少一个第一权重信息和至少一个第二权重信息,确定至少一个请求报文的检测结果。
本发明实施例中,网络安全设备根据至少一个第一权重信息和至少一个第二权重信息,确定至少一个请求报文的检测结果。其中,第一权重信息是指从预设冲突关系中得到的与每个请求报文对应的权重信息,第二权重信息是指从预设特殊信息库中得到的与每个请求报文对应的权重信息。
可以理解的是,综合第一权重信息和第二权重信息来确定请求报文的检测结果,能够增加判定依据,从而提高检测结果的准确性。
在本发明的一些实施例中,参见图4和图5,图4和图5都是本发明实施例提供的方法的一个可选的流程示意图,图1示出的S101之后还可以包括图4和图5示出的S108-S110,并可以通过图4示出的S111和图5示出的S112来分别实现上述图1示出的S104,将结合各步骤进行说明。
S108、接收针对所述至少一个请求报文响应的至少一个响应报文;所述至少一个响应报文是由服务器接收到所述至少一个请求报文后做出响应而得到的。
本发明实施例中,网络安全设备可以接收服务器发送的至少一个响应报文,其中,至少一个响应报文是由服务器接收到至少一个请求报文后做出响应而得到的。
S109、解析至少一个响应报文,得到每个响应报文分别对应的响应信息。
本发明实施例中,网络安全设备接收到了至少一个响应报文后,会对每个响应报文的内容进行解析,以得到每个响应报文分别对应的响应信息。其中,响应信息包含响应码以及其他信息,可以表征服务器对请求报文的响应状态。
S110、若响应信息表征未找到所要请求的内容,则从预设异常响应关系中,得到与每个请求报文对应的第三权重信息,从而得到了至少一个请求报文对应的至少一个第三权重信息。
本发明实施例中,网络安全设备中存储了预设异常响应关系,其中包含了异常响应信息,以及为不同异常响应信息分别配置的对应权重信息。其中,异常响应信息表征服务器对请求报文的响应状态异常,例如,响应码为404时,表示服务器没有找到(Not Found)所要请求的内容;响应码为200,但是响应报文中包含了没有找到(Not Found)的相关内容,则表示服务器没有找到原本所要请求的内容,而进行了跳转,将跳转后得到的内容作为响应内容。
进一步的,若响应信息表征未找到所要请求的内容,则网络安全设备可以从预设异常响应关系中,得到每个请求报文对应的第三权重信息,从而得到了至少一个请求报文对应的至少一个第三权重信息。其中,第三权重信息是指从预设异常响应关系中得到的与每个请求报文对应的权重信息。
可以理解的是,网络安全设备得到了包含第三权重信息的至少一个第三权重信息以后,可以综合一条请求报文所对应的所有权重信息对该请求报文进行判定,来确定该请求报文所对应的待检测对象是否为恶意对象。这样,可以有效避免判定依据单一而带来的误判,从而提高检测恶意行为的准确率。
S111、根据至少一个第一权重信息和至少一个第三权重信息,确定至少一个请求报文的检测结果。
本发明实施例中,网络安全设备根据至少一个第一权重信息和至少一个第三权重信息,确定至少一个请求报文的检测结果。其中,第三权重信息是指从预设异常响应关系中得到的与每个请求报文对应的权重信息。
可以理解的是,综合第一权重信息和第三权重信息来确定请求报文的检测结果,能够增加判定依据,从而提高检测结果的准确性。
S112、根据至少一个第一权重信息、至少一个第二权重信息和至少一个第三权重信息,确定至少一个请求报文的检测结果。
本发明实施例中,网络安全设备根据至少一个第一权重信息、至少一个第二权重信息和至少一个第三权重信息,确定至少一个请求报文的检测结果。
可以理解的是,综合第一权重信息、第二权重信息和第三权重信息来确定请求报文的检测结果,能够增加判定依据,从而提高检测结果的准确性。
在本发明的一些实施例中,参见图6,图6是本发明实施例提供的方法的一个可选的流程示意图,可以通过图6示出的S201来实现上述图1示出的S104,将结合各步骤进行说明。
S201、若至少一个请求报文对应的至少一个第一权重信息中存在大于第一恶意分数阈值的第一目标权重信息,则确定与第一目标权重信息对应的请求报文的检测结果为恶意行为。
本发明实施例中,网络安全设备预先设定了第一恶意分数阈值。若网络安全设备检测到至少一个请求报文对应的至少一个第一权重信息中存在大于第一恶意分数阈值的第一目标权重信息,则表征该权重信息命中第一特征,直接确定与第一目标权重信息对应的请求报文的检测结果为恶意行为。
其中,权重信息命中第一特征表示出现了高风险情况,该权重信息所对应的请求报文很大可能是恶意行为,因此直接确定请求报文是恶意行为。
可以理解的是,预先设定第一恶意分数阈值,以判别不同第一权重信息中的高风险情况,能够最及时地筛查出高风险情况并进行相应处理,从而迅速阻止恶意行为的攻击。
在本发明的一些实施例中,参见图6,图6是本发明实施例提供的方法的一个可选的流程示意图,可以通过图6示出的S202-S204来实现上述图1示出的S104,将结合各步骤进行说明。
S202、若至少一个请求报文对应的至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,则将第二目标权重信息进行相加,得到第一加权结果。
本发明实施例中,若网络安全设备检测到至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,则表征该权重信息命中第二特征,网络安全设备将第二目标权重信息进行相加,得到第一加权结果。
其中,权重信息命中第二特征表示出现了低风险情况,需要进行综合判断。
可以理解的是,对低风险情况进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S203、若第一加权结果小于或等于第一恶意加权阈值,则与第二目标权重信息对应的请求报文的检测结果为正常行为。
本发明实施例中,若第一加权结果小于或等于第一恶意加权阈值,则网络安全设备判定与第二目标权重信息对应的请求报文的检测结果为正常行为。
S204、若第一加权结果大于第一恶意加权阈值,则与第二目标权重信息对应的请求报文的检测结果为恶意行为。
本发明实施例中,若第一加权结果大于第一恶意加权阈值,则网络安全设备判定与第二目标权重信息对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,可以通过下面的S205来实现上述图1示出的S104,将结合各步骤进行说明。
S205、根据至少一个第二权重信息和至少一个第三权重信息中的至少一个,以及至少一个第一权重信息,确定至少一个请求报文的检测结果。
本发明实施例中,网络安全设备根据至少一个第二权重信息和至少一个第三权重信息中的至少一个,以及至少一个第一权重信息,确定至少一个请求报文的检测结果。
可以理解的是,结合至少一个第一权重信息和其他权重信息进行综合判定,
来确定该请求报文所对应的待检测对象是否为恶意对象,这样,可以有效避免判定依据单一而带来的误判,从而提高检测恶意行为的准确率。
在本发明的一些实施例中,参见图7,图7是本发明实施例提供的方法的一个可选的流程示意图,图1示出的S101之后还可以包括S113-S115,将结合各步骤进行说明。
S113、解析至少一个请求报文中的每个请求报文,分别得到一一对应的请求参数。
本发明实施例中,网络安全设备解析至少一个请求报文中的每个请求报文,分别得到与每个请求报文对应的请求参数。其中,在请求报文中,请求参数通常记录在URL之后,以标识符隔开。请求参数中包含了待检测对象的信息。
S114、统计与每个请求报文与每个请求报文对应的请求参数的个数。
本发明实施例中,网络安全设备统计每个请求报文中请求参数的个数。请求参数的个数反映了待检测对象的信息数量。通常,恶意对象的请求参数的个数较少,即信息数量较少;正常对象的请求参数的个数较多,即信息数量较多。
可以理解的是,请求参数的个数可以作为判定待检测对象是否为恶意对象的另一种依据。
S115、根据至少一个第二权重信息和至少一个第三权重信息中的至少一个,至少一个第一权重信息,以及请求参数的个数,确定至少一个请求报文的检测结果。
本发明实施例中,网络安全设备根据至少一个第二权重信息和至少一个第三权重信息中的至少一个,至少一个第一权重信息,以及与每个请求报文对应的请求参数的个数,确定至少一个请求报文的检测结果。
可以理解的是,加入请求参数的个数作为判定待检测对象是否为恶意对象的依据之一,可以有效提高判定的准确率。
在本发明的一些实施例中,可以通过下面的S3011-S3013来实现上述S301,将结合各步骤进行说明。
S3011、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,则将第二目标权重信息和第三目标权重信息进行相加,得到第二加权结果。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,则网络安全设备将第二目标权重信息和第三目标权重信息进行相加,得到第二加权结果。其中,小于等于第一恶意分数阈值表示权重信息对应着低风险情况。
可以理解的是,对低风险情况进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S3012、若第二加权结果小于或等于第二恶意加权阈值,则与第二目标权重信息和第三目标权重信息分别对应的请求报文的检测结果为正常行为。
本发明实施例中,若第二加权结果小于或等于第二恶意加权阈值,则网络安全设备判定与第二目标权重信息和第三目标权重信息分别对应的请求报文的检测结果为正常行为。
S3013、若第二加权结果大于第二恶意加权阈值,则与第二目标权重信息和第三权重信息分别对应的请求报文的检测结果为恶意行为。
本发明实施例中,若第二加权结果大于第二恶意加权阈值,则网络安全设备判定与第二目标权重信息和第三权重信息分别对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,可以通过下面的S3021-S3023来实现上述S302,将结合各步骤进行说明。
S3021、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则将第二目标权重信息和第四目标权重信息进行相加,得到第三加权结果。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则网络安全设备将第二目标权重信息和第四目标权重信息进行相加,得到第三加权结果。其中,小于等于第一恶意分数阈值表示权重信息对应着低风险情况。
可以理解的是,对低风险情况进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S3022、若第三加权结果小于或等于第三恶意加权阈值,则与第二目标权重信息和第四目标权重信息分别对应的请求报文的检测结果为正常行为。
本发明实施例中,若第三加权结果小于或等于第三恶意加权阈值,则网络安全设备判定与第二目标权重信息和第四目标权重信息分别对应的请求报文的检测结果为正常行为。
S3023、若第三加权结果大于第三恶意加权阈值,则与第二目标权重信息和第四权重信息分别对应的请求报文的检测结果为恶意行为。
本发明实施例中,若第三加权结果大于第三恶意加权阈值,则网络安全设备判定与第二目标权重信息和第四权重信息分别对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,可以通过下面的S3031-S3033来实现上述S303,将结合各步骤进行说明。
S3031、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则将第二目标权重信息、第三目标权重信息和第四目标权重信息进行相加,得到第四加权结果。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则网络安全设备将第二目标权重信息、第三目标权重信息和第四目标权重信息进行相加,得到第四加权结果。其中,小于等于第一恶意分数阈值表示权重信息对应着低风险情况。
可以理解的是,对低风险情况进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S3032、若第四加权结果小于或等于第四恶意加权阈值,则与第二目标权重信息、第三目标权重信息和第四目标权重信息分别对应的请求报文的检测结果为正常行为。
本发明实施例中,若第四加权结果小于或等于第四恶意加权阈值,则网络安全设备判定与第二目标权重信息、第三目标权重信息和第四目标权重信息分别对应的请求报文的检测结果为正常行为。
S3033、若第四加权结果大于第四恶意加权阈值,则与第二目标权重信息、第三目标权重信息和第四权重信息分别对应的请求报文的检测结果为恶意行为。
本发明实施例中,若第四加权结果大于第四恶意加权阈值,则网络安全设备判定与第二目标权重信息、第三目标权重信息和第四权重信息分别对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,可以通过下面的S401-S402来实现上述图6示出的S202,将结合各步骤进行说明。
S401、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息对应的请求报文命中第二特征,将第二目标权重信息进行相加,得到第一加权结果。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息对应的请求报文命中第二特征。网络安全设备将第二目标权重信息进行相加,得到第一加权结果。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S402、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且第二目标权重信息对应的请求报文命中存在对应的请求报文的请求参数的个数大于善意请求参数个数阈值的第一目标请求报文,则表征第一目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文命中第二特征,将第二目标权重信息中的第一其他请求报文对应的第一其他目标权重信息进行相加,得到第一加权结果。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且第二目标权重信息对应的请求报文命中存在对应的请求报文的请求参数的个数大于善意请求参数个数阈值的第一目标请求报文,则表征第一目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文命中第二特征。网络安全设备将第二目标权重信息中的第一其他请求报文对应的第一其他目标权重信息进行相加,得到第一加权结果。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
在本发明的一些实施例中,可以通过下面的S403-S405来实现上述S3011,将结合各步骤进行说明。
S403、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第三目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息和第三目标权重信息对应的请求报文命中第二特征。网络安全设备将第二目标权重信息和第三目标权重信息进行相加,得到第二加权结果。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第三目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息和第三目标权重信息对应的请求报文命中第二特征,将第二目标权重信息和第三目标权重信息进行相加,得到第二加权结果。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S404、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,则获取第二目标权重信息对应的请求报文的第一请求参数的个数,以及第三目标权重信息对应的请求报文的第二请求参数的个数。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,则网络安全设备获取第二目标权重信息对应的请求报文的第一请求参数的个数,以及第三目标权重信息对应的请求报文的第二请求参数的个数。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S405、若第一请求参数的个数中存在大于善意请求参数个数阈值的第一目标请求报文和/或第二请求参数的个数大于善意请求参数个数阈值的第二目标请求报文,则表征第一目标请求报文和/或第二目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文和/或第三目标权重信息对应的请求报文中除第二目标请求报文外的第二其他请求报文命中第二特征,将第一其他请求报文对应的第一其他目标权重信息和/或第二其他请求报文对应的第二其他目标权重信息进行相加,得到第二加权结果。
本发明实施例中,若第一请求参数的个数中存在大于善意请求参数个数阈值的第一目标请求报文和/或第二请求参数的个数大于善意请求参数个数阈值的第二目标请求报文,则表征第一目标请求报文和/或第二目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文和/或第三目标权重信息对应的请求报文中除第二目标请求报文外的第二其他请求报文命中第二特征。网络安全设备将第一其他请求报文对应的第一其他目标权重信息和/或第二其他请求报文对应的第二其他目标权重信息进行相加,得到第二加权结果。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
在本发明的一些实施例中,可以通过下面的S406-S408来实现上述S3021,将结合各步骤进行说明。
S406、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第四目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息和第四目标权重信息对应的请求报文命中第二特征,将第二目标权重信息和第四目标权重信息进行相加,得到第三加权结果。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第四目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息和第四目标权重信息对应的请求报文命中第二特征。网络安全设备将第二目标权重信息和第四目标权重信息进行相加,得到第三加权结果。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S407、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则获取第二目标权重信息对应的请求报文的第一请求参数的个数,以及第四目标权重信息对应的请求报文的第三请求参数的个数。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则网络安全设备获取第二目标权重信息对应的请求报文的第一请求参数的个数,以及第四目标权重信息对应的请求报文的第三请求参数的个数。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S408、若第一请求参数的个数中存在大于善意请求参数个数阈值的第一目标请求报文和/或第三请求参数的个数大于善意请求参数个数阈值的第三目标请求报文,则表征第一目标请求报文和/或第三目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文和/或第四目标权重信息对应的请求报文中除第三目标请求报文外的第三其他请求报文命中第二特征,将第一其他请求报文对应的第一其他目标权重信息和/或第三其他请求报文对应的第三其他目标权重信息进行相加,得到第三加权结果。
本发明实施例中,若第一请求参数的个数中存在大于善意请求参数个数阈值的第一目标请求报文和/或第三请求参数的个数大于善意请求参数个数阈值的第三目标请求报文,则表征第一目标请求报文和/或第三目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文和/或第四目标权重信息对应的请求报文中除第三目标请求报文外的第三其他请求报文命中第二特征。网络安全设备将第一其他请求报文对应的第一其他目标权重信息和/或第三其他请求报文对应的第三其他目标权重信息进行相加,得到第三加权结果。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
在本发明的一些实施例中,可以通过下面的S409-S411来实现上述S3031,将结合各步骤进行说明。
S409、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第三目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第四目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息、第三目标权重信息和第四目标权重信息对应的请求报文命中第二特征,将第二目标权重信息、第三目标权重信息和第四目标权重信息进行相加,得到第四加权结果。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第三目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第四目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息、第三目标权重信息和第四目标权重信息对应的请求报文命中第二特征。网络安全设备将第二目标权重信息、第三目标权重信息和第四目标权重信息进行相加,得到第四加权结果。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S410、若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则获取第二目标权重信息对应的请求报文的第一请求参数的个数,第三目标权重信息对应的请求报文的第二请求参数的个数,以及第四目标权重信息对应的请求报文的第三请求参数的个数。
本发明实施例中,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则网络安全设备获取第二目标权重信息对应的请求报文的第一请求参数的个数,第三目标权重信息对应的请求报文的第二请求参数的个数,以及第四目标权重信息对应的请求报文的第三请求参数的个数。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S411、若第一请求参数的个数中存在大于善意请求参数个数阈值的第一目标请求报文,和/或第二请求参数的个数大于善意请求参数个数阈值的第二目标请求报文,和/或第三请求参数的个数大于善意请求参数个数阈值的第三目标请求报文,则表征第一目标请求报文,和/或第二目标请求报文,和/或第三目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文,和/或第三目标权重信息对应的请求报文中除第二目标请求报文外的第二其他请求报文,和/或第四目标权重信息对应的请求报文中除第三目标请求报文外的第三其他请求报文命中第二特征,将第一其他请求报文对应的第一其他目标权重信息,和/或第二其他请求报文对应的第二其他目标权重信息,和/或第三其他请求报文对应的第三其他目标权重信息进行相加,得到第四加权结果。
本发明实施例中,若第一请求参数的个数中存在大于善意请求参数个数阈值的第一目标请求报文,和/或第二请求参数的个数大于善意请求参数个数阈值的第二目标请求报文,和/或第三请求参数的个数大于善意请求参数个数阈值的第三目标请求报文,则表征第一目标请求报文,和/或第二目标请求报文,和/或第三目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文,和/或第三目标权重信息对应的请求报文中除第二目标请求报文外的第二其他请求报文,和/或第四目标权重信息对应的请求报文中除第三目标请求报文外的第三其他请求报文命中第二特征。网络安全设备将第一其他请求报文对应的第一其他目标权重信息,和/或第二其他请求报文对应的第二其他目标权重信息,和/或第三其他请求报文对应的第三其他目标权重信息进行相加,得到第四加权结果。
可以理解的是,结合请求参数的个数,来对低风险的权重信息进行综合判断,可以减少误判,提高检测恶意行为的准确率。
在本发明的一些实施例中,参见图8,图8是本发明实施例提供的方法的一个可选的流程示意图,每个请求报文对应的权重信息包括:第一子权重信息和第二子权重信息,可以通过S1031-S1032来实现上述图1示出的S103,将结合各步骤进行说明。
S1031、若请求方法与文件类型之间存在冲突,则从第一预设冲突关系中,得到每个请求报文对应的第一子权重信息。
本发明实施例中,若每个请求报文中请求方法与文件类型之间存在冲突,则网络安全设备从第一预设冲突关系中,得到每个请求报文对应的第一子权重信息。其中,第一预设冲突关系是预设冲突关系中,请求方法与文件类型之间存在冲突所对应的部分。第一子权重信息是指从第一预设冲突关系中得到的与每个请求报文对应的权重信息。
其中,网络安全设备判定每个请求报文中请求方法与文件类型之间是否存在冲突的过程,可以是先判定请求方法是否为第一预设冲突关系中的请求方法,如果判定是,再判定文件类型是否为第一预设冲突关系中与该请求方法存在冲突的文件类型;也可以是先判定文件类型是否为第一预设冲突关系中的文件类型,如果判定是,再判定请求方法是否为第一预设冲突关系中与该文件类型存在冲突的请求方法。
S1032、若信息位置目录和文件类型之间存在冲突,则从第二预设冲突关系中,得到每个请求报文对应的第二子权重信息。
本发明实施例中,若每个请求报文中信息位置目录和文件类型之间存在冲突,则网络安全设备从第二预设冲突关系中,得到每个请求报文对应的第二子权重信息。其中,第二预设冲突关系是预设冲突关系中,信息位置目录和文件类型之间存在冲突所对应的部分。第二子权重信息是指从第二预设冲突关系中得到的与每个请求报文对应的权重信息。
其中,网络安全设备判定每个请求报文中信息位置目录和文件类型之间是否存在冲突的过程,可以是先判定信息位置目录是否为第二预设冲突关系中的信息位置目录,如果判定是,再判定文件类型是否为第二预设冲突关系中与该信息位置目录存在冲突的文件类型;也可以是先判定文件类型是否为第二预设冲突关系中的文件类型,如果判定是,再判定信息位置目录是否为第二预设冲突关系中与该文件类型存在冲突的信息位置目录。
在本发明的一些实施例中,可以通过下面的S1033来实现上述图10示出的S1031,将结合各步骤进行说明。
S1033、若文件类型与请求方法,与第一预设冲突关系中存在匹配的第一目标冲突关系,则表征从第一预设冲突关系中,得到与第一目标冲突关系对应的第一子权重信息。
本发明实施例中,若每个请求报文的文件类型与请求方法,与第一预设冲突关系中存在匹配的第一目标冲突关系,则表征网络安全设备从第一预设冲突关系中,得到与第一目标冲突关系对应的第一子权重信息。
在本发明的一些实施例中,可以通过下面的S1034来实现上述图10示出的S1032,将结合各步骤进行说明。
S1034、若信息位置目录与文件类型,与第二预设冲突关系中存在匹配的第二目标冲突关系,则表征从第二预设冲突关系中,得到与第二目标冲突关系对应的第二子权重信息。
本发明实施例中,若每个请求报文的信息位置目录与文件类型,与第二预设冲突关系中存在匹配的第二目标冲突关系,则表征网络安全设备从第二预设冲突关系中,得到与第二目标冲突关系对应的第二子权重信息。
在本发明的一些实施例中,上述图10示出的S1031之后还包括S501-S502,将结合各步骤进行说明。
S501、统计与第一子权重信息对应的第一风险文件类型的种类数。
本发明实施例中,网络安全设备统计与第一子权重信息对应的第一风险文件类型的种类数。其中,第一子权重信息是每个请求报文中请求方法与文件类型之间存在冲突时,从预设冲突关系中得到的权重信息。第一风险文件类型是指与请求方法存在冲突的文件类型。第一风险文件类型的种类数即是将与请求方法存在冲突的文件类型,按照不同种类,例如rar格式、js格式等,划分后,不同种类的个数。
S502、若第一风险文件类型的种类数大于第一恶意种类阈值,则与第一风险文件类型对应的请求报文的检测结果为恶意行为。
本发明实施例中,若第一风险文件类型的种类数大于第一恶意种类阈值,则网络安全设备判定与第一风险文件类型对应的请求报文的检测结果为恶意行为。
可以理解的是,若待检测对象发送了多种不同风险文件类型的至少一个请求报文,则直接判定待检测对象是恶意对象。这样,可以阻止恶意对象利用大量不同种类的低风险行为,对防火墙进行的试探和穷举,从而覆盖了可能存在的检测盲点,提高了检测恶意行为的准确率。
在本发明的一些实施例中,上述图10示出的S1032之后还包括S503-S504,将结合各步骤进行说明。
S503、统计与第二子权重信息对应的第二风险文件类型的种类数。
本发明实施例中,网络安全设备统计与第二子权重信息对应的第二风险文件类型的种类数。其中,第二子权重信息是每个请求报文中信息位置目录和文件类型之间存在冲突时,从预设冲突关系中得到的权重信息。第二风险文件类型是指与信息位置目录存在冲突的文件类型。第二风险文件类型的种类数即是将与信息位置目录存在冲突的文件类型,按照不同种类划分后,例如rar格式、js格式等,不同种类的个数。
S504、若第二风险文件类型的种类数大于第二恶意种类阈值,则与第二风险文件类型对应的请求报文的检测结果为恶意行为。
本发明实施例中,若第二风险文件类型的种类数大于第二恶意种类阈值,则网络安全设备判定与第二风险文件类型对应的请求报文的检测结果为恶意行为。
可以理解的是,若待检测对象发送了多种不同风险文件类型的至少一个请求报文,则直接判定待检测对象是恶意对象。这样,可以阻止恶意对象利用大量不同种类的低风险行为,对防火墙进行的试探和穷举,从而覆盖了可能存在的检测盲点,提高了检测恶意行为的准确率。
在本发明的一些实施例中,参见图9,图9是本发明实施例提供的方法的一个可选的流程示意图,图1示出的S104之后还可以包括S116-S118,将结合各步骤进行说明。
S116、若至少一个请求报文的检测结果为恶意行为,则丢弃至少一个请求报文。
本发明实施例中,若至少一个请求报文的检测结果为恶意行为,则网络安全设备丢弃至少一个请求报文。
可以理解的是,将未发送给服务器的来自恶意对象的请求报文直接丢弃,可以避免服务器为响应恶意报文而耗用算力,也避免了恶意报文占用存储空间。
S117、若至少一个请求报文的检测结果为恶意行为,且已经接收到了针对至少一个请求报文响应的至少一个响应报文,则丢弃至少一个响应报文。
本发明实施例中,若至少一个请求报文的检测结果为恶意行为,且已经接收到了针对至少一个请求报文响应的至少一个响应报文,则网络安全设备丢弃至少一个响应报文。
可以理解的是,将发送给恶意对象的响应报文直接丢弃,可以阻止恶意对象获得其需要的数据,也避免了响应报文占用存储空间。
本发明实施例中,若至少一个请求报文的检测结果为恶意行为,则网络安全设备可以将待检测对象的网络地址信息加入黑名单。其中,网络地址信息可以是网际互连协议(Internet Protocol,IP)地址,将待检测对象的网络地址信息加入黑名单可以是封锁待检测对象的IP地址。网络安全设备可以自动拦截并丢弃来自被封锁IP地址的所有数据和发往被封锁IP地址的所有数据,包括请求报文和响应报文。
可以理解的是,将恶意对象的网络地址信息加入黑名单,可以阻止恶意对象可能进行的进一步网络攻击,从而保护数据信息的安全。
S118、若至少一个请求报文的检测结果为正常行为,且已经接收到了针对至少一个请求报文响应的至少一个响应报文,则反馈至少一个响应报文。
本发明实施例中,若至少一个请求报文的检测结果为正常行为,且已经接收到了针对至少一个请求报文响应的至少一个响应报文,则网络安全设备反馈至少一个响应报文。
可以理解的是,对正常用户的请求与响应,网络安全设备不进行干涉。
在本发明的一些实施例中,上述图1示出的S104之后还有S206,将结合各步骤进行说明。
S206、若至少一个第二权重信息中存在大于第二恶意分数阈值的第四目标权重信息,则确定与第五目标权重信息对应的请求报文的检测结果为恶意行为。
本发明实施例中,网络安全设备预先设定了第二恶意分数阈值。若网络安全设备检测到至少一个第二权重信息中存在大于第二恶意分数阈值的第四目标权重信息,则表征第四目标权重信息命中第一特征,确定与第五目标权重信息对应的请求报文的检测结果为恶意行为。
其中,权重信息命中第一特征表示出现了高风险情况,该权重信息所对应的请求报文很大可能是恶意行为,因此直接确定请求报文是恶意行为。
可以理解的是,预先设定第二恶意分数阈值,以判别不同权重信息中的高风险情况,能够最及时地筛查出高风险情况并进行相应处理,从而迅速阻止恶意行为的攻击。
在本发明的一些实施例中,可以通过下面的S207-S209来实现上述图1示出的S104,将结合各步骤进行说明。
S207、若至少一个第二权重信息中存在小于或等于第二恶意分数阈值的第六目标权重信息,则将第六目标权重信息进行相加,得到第二加权结果。
本发明实施例中,若网络安全设备检测到至少一个第二权重信息中存在小于或等于第二恶意分数阈值的第六目标权重信息,则表征第六目标权重信息命中第二特征,将第六目标权重信息进行相加,得到第二加权结果。
其中,权重信息命中第二特征表示出现了低风险情况,需要进行综合判断。
可以理解的是,对低风险情况进行综合判断,可以减少误判,提高检测恶意行为的准确率。
S208、若第二加权结果小于或等于第二恶意加权阈值,则与第六目标权重信息对应的请求报文的检测结果为正常行为。
本发明实施例中,若第二加权结果小于或等于第二恶意加权阈值,则网络安全设备判定与第六目标权重信息对应的请求报文的检测结果为正常行为。
S209、若第二加权结果大于第二恶意加权阈值,则与第六目标权重信息对应的请求报文的检测结果为恶意行为。
本发明实施例中,若第二加权结果大于第二恶意加权阈值,则网络安全设备判定与第六目标权重信息对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,参见图10,图10是本发明实施例提供的方法的一个可选的流程示意图,可以通过图10示出的S701-S716来实现上述检测恶意行为的方法,将结合各步骤进行说明。
S701、接受请求报文。
本发明实施例中,网络安全设备302接收客户端2发送的请求报文
S702、筛选特殊信息。
本发明实施例中,网络安全设备302筛选出请求报文中的特殊信息,特殊信息包括:敏感词和扫描器指纹;并为筛选出的特殊信息配置第二权重信息。
S703、第一特征判定。
本发明实施例中,网络安全设备302判定请求报文是否命中第一特征,第一特征表征高风险报文。具体的,网络安全设备302检测第二权重信息是否超过阈值,超过阈值则表征命中第一特征。
S704、解析请求报文。
本发明实施例中,网络安全设备302解析请求报文,得到信息位置目录、文件类型与文件类型。
S705、检测信息位置目录与文件类型冲突。
本发明实施例中,网络安全设备302从预设冲突关系中判定信息位置目录与文件类型是否冲突。若判定存在信息位置目录与文件类型的冲突,则网络安全设备302为该冲突配置第一权重信息。
S706、检测请求方法与文件类型冲突。
本发明实施例中,网络安全设备302从预设冲突关系中判定请求方法与文件类型是否冲突。若判定存在请求方法与文件类型的冲突,则网络安全设备302为该冲突配置第一权重信息。
S707、文件类型种类数判定。
本发明实施例中,网络安全设备302统计发生的冲突中的文件类型种类数,若文件类型种类数超过阈值,则表征命中第一特征。
S708、发送请求报文。
本发明实施例中,网络安全设备302将客户端2发送的请求报文发送给服务器300。
S709、接收响应报文。
本发明实施例中,网络安全设备302接收服务器300发送的响应报文。
S710、解析响应报文。
本发明实施例中,网络安全设备302解析响应报文,得到响应报文对应的响应信息,响应信息包括了响应码和其他信息。若响应码为404,则表示服务器300没有找到请求内容,从预设异常响应关系中,为与响应报文对应的请求报文配置第三权重信息。
S711、响应报文内容匹配。
本发明实施例中,若响应码为200,则匹配响应报文的内容中是否有反映没有找到请求内容的关键词。若存在这样的关键词,则同样认为服务器300没有找到请求内容,从预设异常响应关系中,为与响应报文对应的请求报文配置第三权重信息。
S712、第一特征处理。
本发明实施例中,网络安全设备302接收请求报文的所有权重信息并筛选处理。若存在命中第一特征的信息,则准备封锁IP并丢弃报文;若不存在命中第一特征的信息,则准备对所有权重信息进行加权计算。
S713、加权计算。
本发明实施例中,网络安全设备302对未命中第一特征的权重信息进行加权计算。
S714、发送响应报文。
本发明实施例中,若加权计算结果没有超过阈值,则网络安全设备302将服务器300发送的响应报文发送给客户端2。
S715、封锁IP。
本发明实施例中,若加权计算结果超过阈值,或者请求报文的信息中存在命中第一特征的信息,则封锁客户端2的IP。
S716、丢弃报文。
本发明实施例中,若封锁了客户端2的IP,则将来自客户端2的请求报文和准备发送给客户端2的响应报文丢弃。
图11为本发明实施例提供的检测恶意行为的装置的一个可选的结构示意图。如图11所示,本发明实施例还提供了一种检测恶意行为的装置800,包括:接收单元804、解析单元805、生成单元806和确定单元807,其中:
接收单元804,用于接收待检测对象的至少一个请求报文;
解析单元805,用于解析至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个;
生成单元806,用于若请求方法、信息位置目录和文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与每个请求报文对应的第一权重信息;
确定单元807,用于基于至少一个请求报文对应的至少一个第一权重信息,确定至少一个请求报文的检测结果。
在本发明的一些实施例中,所述解析单元805,还用于筛选至少一个请求报文中是否包含特殊信息,特殊信息包括:信息位置敏感词或扫描器指纹。
所述生成单元806,还用于若每个请求报文中均包含特殊信息,则从预设特殊信息库中,得到与每个请求报文对应的第二权重信息,从而得到了至少一个请求报文对应的至少一个第二权重信息。
所述确定单元807,还用于根据至少一个第一权重信息和至少一个第二权重信息,确定至少一个请求报文的检测结果。
在本发明的一些实施例中,所述接收单元804,还用于接收针对至少一个请求报文响应的至少一个响应报文;至少一个响应报文是由服务器接收到至少一个请求报文后做出响应而得到的。
所述解析单元805,还用于解析至少一个响应报文,得到每个响应报文分别对应的响应信息。
所述生成单元806,还用于若响应信息表征未找到所要请求的内容,则从预设异常响应关系中,得到与每个请求报文对应的第三权重信息,从而得到了至少一个请求报文对应的至少一个第三权重信息。
所述确定单元807,还用于根据至少一个第一权重信息和至少一个第三权重信息,确定至少一个请求报文的检测结果;或者,根据至少一个第一权重信息、至少一个第二权重信息和至少一个第三权重信息,确定至少一个请求报文的检测结果。
在本发明的一些实施例中,所述确定单元807,还用于若至少一个请求报文对应的至少一个第一权重信息中存在大于第一恶意分数阈值的第一目标权重信息,则确定与第一目标权重信息对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,所述生成单元806,还用于若至少一个请求报文对应的至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,则将第二目标权重信息进行相加,得到第一加权结果。
所述确定单元807,还用于若第一加权结果小于或等于第一恶意加权阈值,则与第二目标权重信息对应的请求报文的检测结果为正常行为;若第一加权结果大于第一恶意加权阈值,则与第二目标权重信息对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,解析单元805,还用于解析至少一个请求报文中的每个请求报文,分别得到一一对应的请求参数;统计与每个请求报文对应的请求参数的个数。
确定单元807,还用于根据至少一个第二权重信息和至少一个第三权重信息中的至少一个,至少一个第一权重信息,以及请求参数的个数,确定至少一个请求报文的检测结果。
在本发明的一些实施例中,所述生成单元806,还用于若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,则将第二目标权重信息和第三目标权重信息进行相加,得到第二加权结果;
所述确定单元807,还用于若第二加权结果小于或等于第二恶意加权阈值,则与第二目标权重信息和第三目标权重信息分别对应的请求报文的检测结果为正常行为;若第二加权结果大于第二恶意加权阈值,则与第二目标权重信息和第三权重信息分别对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,所述生成单元806,还用于若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则将第二目标权重信息和第四目标权重信息进行相加,得到第三加权结果。
所述确定单元807,还用于若第三加权结果小于或等于第三恶意加权阈值,则与第二目标权重信息和第四目标权重信息分别对应的请求报文的检测结果为正常行为;若第三加权结果大于第三恶意加权阈值,则与第二目标权重信息和第四权重信息分别对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,所述生成单元806,还用于若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则将第二目标权重信息、第三目标权重信息和第四目标权重信息进行相加,得到第四加权结果。
所述确定单元807,还用于若第四加权结果小于或等于第四恶意加权阈值,则与第二目标权重信息、第三目标权重信息和第四目标权重信息分别对应的请求报文的检测结果为正常行为;若第四加权结果大于第四恶意加权阈值,则与第二目标权重信息、第三目标权重信息和第四权重信息分别对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,所述生成单元806,还用于若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息对应的请求报文命中第二特征,将第二目标权重信息进行相加,得到第一加权结果;或者,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且第二目标权重信息对应的请求报文命中存在对应的请求报文的请求参数的个数大于善意请求参数个数阈值的第一目标请求报文,则表征第一目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文命中第二特征,将第二目标权重信息中的第一其他请求报文对应的第一其他目标权重信息进行相加,得到第一加权结果。
在本发明的一些实施例中,所述生成单元806,还用于若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第三目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息和第三目标权重信息对应的请求报文命中第二特征,将第二目标权重信息和第三目标权重信息进行相加,得到第二加权结果;或者,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,则获取第二目标权重信息对应的请求报文的第一请求参数的个数,以及第三目标权重信息对应的请求报文的第二请求参数的个数;若第一请求参数的个数中存在大于善意请求参数个数阈值的第一目标请求报文和/或第二请求参数的个数大于善意请求参数个数阈值的第二目标请求报文,则表征第一目标请求报文和/或第二目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文和/或第三目标权重信息对应的请求报文中除第二目标请求报文外的第二其他请求报文命中第二特征,将第一其他请求报文对应的第一其他目标权重信息和/或第二其他请求报文对应的第二其他目标权重信息进行相加,得到第二加权结果。
在本发明的一些实施例中,所述生成单元806,还用于若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第四目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息和第四目标权重信息对应的请求报文命中第二特征,将第二目标权重信息和第四目标权重信息进行相加,得到第三加权结果;或者,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则获取第二目标权重信息对应的请求报文的第一请求参数的个数,以及第四目标权重信息对应的请求报文的第三请求参数的个数;若第一请求参数的个数中存在大于善意请求参数个数阈值的第一目标请求报文和/或第三请求参数的个数大于善意请求参数个数阈值的第三目标请求报文,则表征第一目标请求报文和/或第三目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文和/或第四目标权重信息对应的请求报文中除第三目标请求报文外的第三其他请求报文命中第二特征,将第一其他请求报文对应的第一其他目标权重信息和/或第三其他请求报文对应的第三其他目标权重信息进行相加,得到第三加权结果。
在本发明的一些实施例中,所述生成单元806,还用于若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,且第二目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第三目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,第四目标权重信息对应的请求报文的请求参数的个数小于或等于善意请求参数个数阈值,则表征第二目标权重信息、第三目标权重信息和第四目标权重信息对应的请求报文命中第二特征,将第二目标权重信息、第三目标权重信息和第四目标权重信息进行相加,得到第四加权结果;或者,若至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,至少一个第二权重信息中存在小于等于第一恶意分数阈值的第三目标权重信息,且至少一个第三权重信息中存在小于等于第一恶意分数阈值的第四目标权重信息,则获取第二目标权重信息对应的请求报文的第一请求参数的个数,第三目标权重信息对应的请求报文的第二请求参数的个数,以及第四目标权重信息对应的请求报文的第三请求参数的个数;若第一请求参数的个数中存在大于善意请求参数个数阈值的第一目标请求报文,和/或第二请求参数的个数大于善意请求参数个数阈值的第二目标请求报文,和/或第三请求参数的个数大于善意请求参数个数阈值的第三目标请求报文,则表征第一目标请求报文,和/或第二目标请求报文,和/或第三目标请求报文未命中第二特征,第二目标权重信息对应的请求报文中除第一目标请求报文外的第一其他请求报文,和/或第三目标权重信息对应的请求报文中除第二目标请求报文外的第二其他请求报文,和/或第四目标权重信息对应的请求报文中除第三目标请求报文外的第三其他请求报文命中第二特征,将第一其他请求报文对应的第一其他目标权重信息,和/或第二其他请求报文对应的第二其他目标权重信息,和/或第三其他请求报文对应的第三其他目标权重信息进行相加,得到第四加权结果。
在本发明的一些实施例中,每个请求报文对应的第一权重信息包括:第一子权重信息和第二子权重信息。
所述生成单元806,还用于若请求方法与文件类型之间存在冲突,则从第一预设冲突关系中,得到每个请求报文对应的第一子权重信息;或者,若信息位置目录和文件类型之间存在冲突,则从第二预设冲突关系中,得到每个请求报文对应的第二子权重信息。
在本发明的一些实施例中,所述生成单元806,还用于若文件类型与请求方法,与第一预设冲突关系中存在匹配的第一目标冲突关系,则表征从预设冲突关系中,得到与第一目标冲突关系对应的第一子权重信息。
在本发明的一些实施例中,所述生成单元806,还用于若信息位置目录与文件类型,与第二预设冲突关系中存在匹配的第二目标冲突关系,则表征从预设冲突关系中,得到与第二目标冲突关系对应的第二子权重信息。
在本发明的一些实施例中,所述解析单元805,还用于统计与第一子权重信息对应的第一风险文件类型的种类数。
所述确定单元807,还用于若第一风险文件类型的种类数大于第一恶意种类阈值,则与第一风险文件类型对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,所述解析单元805,还用于统计与第二子权重信息对应的第二风险文件类型的种类数。
所述确定单元807,还用于若第二风险文件类型的种类数大于第二恶意种类阈值,则与第二风险文件类型对应的请求报文的检测结果为恶意行为。
在本发明的一些实施例中,所述检测恶意行为的装置800还包括处理单元809,其中:
处理单元809,用于若至少一个请求报文的检测结果为恶意行为,则丢弃至少一个请求报文;或者,若至少一个请求报文的检测结果为恶意行为,且已经接收到了针对至少一个请求报文响应的至少一个响应报文,则丢弃至少一个响应报文;或者,若至少一个请求报文的检测结果为正常行为,且已经接收到了针对至少一个请求报文响应的至少一个响应报文,则反馈至少一个响应报文。
在本发明的一些实施例中,所述确定单元807,还用于若至少一个第二权重信息中存在大于第二恶意分数阈值的第四目标权重信息,则表征命中第一特征,确定与第五目标权重信息对应的请求报文的检测结果为恶意行为;第一特征表征风险情况。
在本发明的一些实施例中,所述生成单元806,还用于若至少一个第二权重信息中存在小于或等于第二恶意分数阈值的第六目标权重信息,则表征命中第二特征,将第六目标权重信息进行相加,得到第二加权结果;第二特征表征风险情况;第二特征表征的风险低于第一特征。
所述确定单元807,还用于若第二加权结果小于或等于第二恶意加权阈值,则与第六目标权重信息对应的请求报文的检测结果为正常行为;若第二加权结果大于第二恶意加权阈值,则与第六目标权重信息对应的请求报文的检测结果为恶意行为。
需要说明的是,图12为本发明实施例提供的检测恶意行为的装置的一个可选的结构示意图,如图12所示,检测恶意行为的装置800的硬件实体包括:处理器801、通信接口802和存储器803,其中:
处理器801通常控制检测恶意行为的装置800的总体操作。
通信接口802可以使检测恶意行为的装置800通过网络与其他装置或设备通信。
存储器803配置为存储由处理器801可执行的指令和应用,还可以缓存待处理器801以及检测恶意行为的装置800中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(RandomAccess Memory,RAM)实现。
需要说明的是,本发明实施例中,如果以软件功能模块的形式实现上述的检测恶意行为的方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得检测恶意行为的装置800(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何特定的硬件和软件结合。
对应地,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法中的步骤。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本发明存储介质和设备实施例中未披露的技术细节,请参照本发明方法实施例的描述而理解。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本发明的实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种检测恶意行为的方法,其特征在于,包括:
接收待检测对象的至少一个请求报文;
解析所述至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个;
若所述请求方法、所述信息位置目录和所述文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与所述每个请求报文对应的第一权重信息;
基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述接收待检测对象的至少一个请求报文之后,所述方法还包括:
筛选所述至少一个请求报文中是否包含特殊信息,所述特殊信息包括:信息位置敏感词或扫描器指纹;
若每个请求报文中均包含所述特殊信息,则从预设特殊信息库中,得到与所述每个请求报文对应的第二权重信息,从而得到了至少一个请求报文对应的至少一个第二权重信息;
相应的,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
根据所述至少一个第一权重信息和所述至少一个第二权重信息,确定所述至少一个请求报文的检测结果。
3.根据权利要求1或2所述方法,其特征在于,所述接收待检测对象的至少一个请求报文之后,所述方法还包括:
接收针对所述至少一个请求报文响应的至少一个响应报文;所述至少一个响应报文是由服务器接收到所述至少一个请求报文后做出响应而得到的;
解析所述至少一个响应报文,得到每个响应报文分别对应的响应信息;
若所述响应信息表征未找到所要请求的内容,则从预设异常响应关系中,得到与所述每个请求报文对应的第三权重信息,从而得到了至少一个请求报文对应的至少一个第三权重信息;
相应的,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
根据所述至少一个第一权重信息和所述至少一个第三权重信息,确定所述至少一个请求报文的检测结果;或者,
根据所述至少一个第一权重信息、所述至少一个第二权重信息和所述至少一个第三权重信息,确定所述至少一个请求报文的检测结果。
4.根据权利要求1所述方法,其特征在于,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
若所述至少一个请求报文对应的至少一个第一权重信息中存在大于第一恶意分数阈值的第一目标权重信息,则确定与所述第一目标权重信息对应的请求报文的检测结果为恶意行为。
5.根据权利要求1所述方法,其特征在于,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
若所述至少一个请求报文对应的至少一个第一权重信息中存在小于或等于第一恶意分数阈值的第二目标权重信息,则将所述第二目标权重信息进行相加,得到第一加权结果;
若所述第一加权结果小于或等于第一恶意加权阈值,则与所述第二目标权重信息对应的请求报文的检测结果为正常行为;
若所述第一加权结果大于第一恶意加权阈值,则与所述第二目标权重信息对应的请求报文的检测结果为恶意行为。
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
解析所述至少一个请求报文中的每个请求报文,分别得到一一对应的请求参数;
统计与每个请求报文对应的所述请求参数的个数;
根据至少一个第二权重信息和所述至少一个第三权重信息中的至少一个,所述至少一个第一权重信息,以及所述请求参数的个数,确定所述至少一个请求报文的检测结果。
7.根据权利要求1所述的方法,其特征在于,所述每个请求报文对应的第一权重信息包括:第一子权重信息和第二子权重信息;
所述若所述请求方法、所述信息位置目录和所述文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到所述每个请求报文对应的第一权重信息,包括:
若所述请求方法与所述文件类型之间存在冲突,则从第一预设冲突关系中,得到所述每个请求报文对应的第一子权重信息;或者,
若所述信息位置目录和所述文件类型之间存在冲突,则从第二预设冲突关系中,得到所述每个请求报文对应的第二子权重信息。
8.根据权利要求7所述的方法,其特征在于,所述若所述请求方法与所述文件类型之间存在冲突,则从第一预设冲突关系中,得到所述每个请求报文对应的第一子权重信息,包括:
若所述文件类型与所述请求方法,与所述第一预设冲突关系中存在匹配的第一目标冲突关系,则表征从所述第一预设冲突关系中,得到与所述第一目标冲突关系对应的所述第一子权重信息。
9.根据权利要求7所述的方法,其特征在于,所述若所述信息位置目录和所述文件类型之间存在冲突,则从第二预设冲突关系中,得到所述每个请求报文对应的第二子权重信息,包括:
若所述信息位置目录与所述文件类型,与所述第二预设冲突关系中存在匹配的第二目标冲突关系,则表征从所述第二预设冲突关系中,得到与所述第二目标冲突关系对应的所述第二子权重信息。
10.根据权利要求7所述的方法,其特征在于,所述若所述请求方法与所述文件类型之间存在冲突,则从第一预设冲突关系中,得到所述每个请求报文对应的第一子权重信息之后,所述方法还包括:
统计与所述第一子权重信息对应的第一风险文件类型的种类数;
若所述第一风险文件类型的种类数大于第一恶意种类阈值,则与所述第一风险文件类型对应的请求报文的检测结果为恶意行为。
11.根据权利要求7所述的方法,其特征在于,所述若所述信息位置目录和所述文件类型之间存在冲突,则从第二预设冲突关系中,得到所述每个请求报文对应的第二子权重信息之后,所述方法还包括:
统计与所述第二子权重信息对应的第二风险文件类型的种类数;
若所述第二风险文件类型的种类数大于第二恶意种类阈值,则与所述第二风险文件类型对应的请求报文的检测结果为恶意行为。
12.根据权利要求1、2或4至11任一项所述的方法,其特征在于,所述确定所述至少一个请求报文的检测结果之后,所述方法还包括:
若所述至少一个请求报文的检测结果为恶意行为,则丢弃所述至少一个请求报文;或者,
若所述至少一个请求报文的检测结果为恶意行为,且已经接收到了针对所述至少一个请求报文响应的至少一个响应报文,则丢弃所述至少一个响应报文;或者,
若所述至少一个请求报文的检测结果为正常行为,且已经接收到了针对所述至少一个请求报文响应的至少一个响应报文,则反馈所述至少一个响应报文。
13.一种检测恶意行为的装置,其特征在于,包括:
接收单元,用于接收待检测对象的至少一个请求报文;
解析单元,用于解析所述至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个;
生成单元,用于若所述请求方法、所述信息位置目录和所述文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与所述每个请求报文对应的第一权重信息;
确定单元,用于基于所述至少一个请求报文对应的至少一个权重信息,确定所述至少一个请求报文的检测结果。
14.一种检测恶意行为的装置,其特征在于,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至12任一项所述的方法。
15.一种存储介质,其特征在于,存储有可执行指令,用于引起处理器执行时,实现权利要求1至12任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110203939.8A CN112887327B (zh) | 2021-02-23 | 2021-02-23 | 一种检测恶意行为的方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110203939.8A CN112887327B (zh) | 2021-02-23 | 2021-02-23 | 一种检测恶意行为的方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112887327A CN112887327A (zh) | 2021-06-01 |
| CN112887327B true CN112887327B (zh) | 2022-11-22 |
Family
ID=76054185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110203939.8A Active CN112887327B (zh) | 2021-02-23 | 2021-02-23 | 一种检测恶意行为的方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112887327B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016119420A1 (zh) * | 2015-01-26 | 2016-08-04 | 中兴通讯股份有限公司 | 一种对网络资源的恶意访问检测方法、装置及通信网关 |
| CN110336835A (zh) * | 2019-08-05 | 2019-10-15 | 深信服科技股份有限公司 | 恶意行为的检测方法、用户设备、存储介质及装置 |
| CN111404949A (zh) * | 2020-03-23 | 2020-07-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10122739B2 (en) * | 2016-08-31 | 2018-11-06 | Dell Products L.P. | Rootkit detection system and method |
-
2021
- 2021-02-23 CN CN202110203939.8A patent/CN112887327B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016119420A1 (zh) * | 2015-01-26 | 2016-08-04 | 中兴通讯股份有限公司 | 一种对网络资源的恶意访问检测方法、装置及通信网关 |
| CN110336835A (zh) * | 2019-08-05 | 2019-10-15 | 深信服科技股份有限公司 | 恶意行为的检测方法、用户设备、存储介质及装置 |
| CN111404949A (zh) * | 2020-03-23 | 2020-07-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112887327A (zh) | 2021-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US10715546B2 (en) | Website attack detection and protection method and system | |
| EP2408166B1 (en) | Filtering method, system and network device therefor | |
| CN107294982B (zh) | 网页后门检测方法、装置及计算机可读存储介质 | |
| EP1682990B1 (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
| EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| US20140196144A1 (en) | Method and Apparatus for Detecting Malicious Websites | |
| CA2478299A1 (en) | Systems and methods for enhancing electronic communication security | |
| KR102119718B1 (ko) | 의심스러운 전자 메시지를 검출하기 위한 기술 | |
| CN110858831B (zh) | 安全防护方法、装置以及安全防护设备 | |
| US20230412591A1 (en) | Traffic processing method and protection system | |
| CN113765846B (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
| CN112511517A (zh) | 一种邮件检测方法、装置、设备及介质 | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| CN112272175A (zh) | 一种基于dns的木马病毒检测方法 | |
| CN111917682B (zh) | 访问行为识别方法、性能检测方法、装置、设备和*** | |
| CN110958245A (zh) | 一种攻击的检测方法、装置、设备和存储介质 | |
| CN113196265A (zh) | 安全检测分析 | |
| CN112887327B (zh) | 一种检测恶意行为的方法、装置及存储介质 | |
| CN109257384B (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
| KR20140126633A (ko) | 악성 메시지 검사 방법 및 장치 | |
| JP2005157650A (ja) | 不正アクセス検知システム | |
| KR101420301B1 (ko) | DDoS 공격 검출 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |