一种网络攻击行为检测方法及终端设备技术

本发明专利技术属于网络安全技术领域，尤其涉及一种网络攻击行为检测方法及终端设备。所述方法包括：接收访问者发送的对目标网络系统的访问请求；从所述访问请求中解析出所述访问者的IP地址；若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。通过本发明专利技术大大减少了进行正则匹配的时间，可以快速检测到访问请求中的网络攻击行为。

【技术实现步骤摘要】
一种网络攻击行为检测方法及终端设备
本专利技术属于网络安全
，尤其涉及一种网络攻击行为检测方法及终端设备。
技术介绍
网络攻击作为引发网络安全危机的常见因素，是指利用网络存在的漏洞和安全缺陷对网络进行恶意攻击的行为，网络攻击行为很容易导致网络异常，甚至奔溃，严重影响了网络的正常使用。现有技术中有通过各种正则表达式来对访问请求逐一进行匹配的网络攻击行为检测方法，但随着人们通过网络进行工作和学习的机会不断增加，网络访问请求的量级也越来越大，使得这种方法发现网络攻击的耗时越来越长，导致难以快速检测到这些访问请求中的网络攻击行为。
技术实现思路
有鉴于此，本专利技术实施例提供了一种网络攻击行为检测方法及终端设备，以解决现有技术中发现网络攻击的耗时越来越长，难以快速检测到这些访问请求中的网络攻击行为的问题。本专利技术实施例的第一方面提供了一种网络攻击行为检测方法，可以包括：接收访问者发送的对目标网络系统的访问请求；从所述访问请求中解析出所述访问者的IP地址；在预设的IP地址白名单中查找所述访问者的IP地址；若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。本专利技术实施例的第二方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如下步骤：接收访问者发送的对目标网络系统的访问请求；从所述访问请求中解析出所述访问者的IP地址；在预设的IP地址白名单中查找所述访问者的IP地址；若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。本专利技术实施例的第三方面提供了一种网络攻击行为检测终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如下步骤：接收访问者发送的对目标网络系统的访问请求；从所述访问请求中解析出所述访问者的IP地址；在预设的IP地址白名单中查找所述访问者的IP地址；若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。本专利技术实施例与现有技术相比存在的有益效果是：本专利技术实施例接收访问者发送的对目标网络系统的访问请求，并从所述访问请求中解析出所述访问者的IP地址，然后通过预设的IP地址白名单对这些访问请求进行第一轮的筛选，对白名单中的IP地址无需做网络攻击行为检测，只对不在白名单中的IP地址网络攻击行为检测，从而节省了不必要的检测时间。对于不在白名单中的IP地址，从所述访问请求中解析出请求类型和请求内容，然后从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式，根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容，若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。由于只使用与所述请求类型对应的若干正则表达式，而非使用正则表达式资源库中的所有正则表达式，从而大大减少了进行正则匹配的时间，可以快速检测到访问请求中的网络攻击行为。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。图1为本专利技术实施例中一种网络攻击行为检测方法的一个实施例流程图；图2为本专利技术实施例中一种网络攻击行为检测方法的步骤S106在一个应用场景下的示意流程图；图3为本专利技术实施例中通过IP频次来检测网络攻击行为的示意流程图；图4为本专利技术实施例中对正则表达式资源库进行更新的示意流程图；图5为本专利技术实施例提供的网络攻击行为检测终端设备的示意框图；图6为本专利技术实施例提供的网络攻击行为检测程序的程序模块图。具体实施方式为使得本专利技术的专利技术目的、特征、优点能够更加的明显和易懂，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本专利技术一部分实施例，而非全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。请参阅图1，本专利技术实施例中一种网络攻击行为检测方法的一个实施例可以包括：步骤S101、接收访问者发送的对目标网络系统的访问请求。步骤S102、从所述访问请求中解析出所述访问者的IP地址。对于未使用代理的情况，通过java服务器页面(JavaServerPages，JSP)提供的函数request.getRemoteAddr()即可有效获取所述访问者的IP地址。对于使用了Apache、Squid等反向代理软件的情况，由于增加了中间层，因此无法直接拿到所述访问者的IP地址，但是在转发请求的HTTP头信息中，增加了X－FORWARDED－FOR信息，用以跟踪原有的访问者的IP地址。因此可以从X－FORWARDED－FOR信息中获取所述访问者的IP地址，如果通过了多级反向代理的话，X－FORWARDED－FOR的值并不止一个，其中第一个非UNKNOWN的有效IP字符串即为所述访问者的IP地址。步骤S103、判断在预设的IP地址白名单中是否查找到所述访问者的IP地址。若在所述IP地址白名单中未查找到所述访问者的IP地址，则执行步骤S104及后续步骤，若在所述地址白名单中查找到所述访问者的IP地址，则执行步骤S108。步骤S104、从所述访问请求中解析出请求类型和请求内容。不同的访问请求具有不同的协议格式，通过对其协议格式的识别，即可解析出所述访问请求的请求类型。所述访问请求可以包括但不限于以下请求类型：用于实现交互式文件传输功能的文件传输协议(FileTransferProtocol，FTP)请求、用于实现电子邮箱传送功能的简单邮件传送协议(SimpleMailTransferProtocol，SMTP)请求、用于实现网页服务的超文本传输协议(HyperTextTransferProtocol，HTTP)请求、用于实现管理与监视网络设备的简单网络管理协议(SimpleNetworkManagementProtocol，SNMP)请求以及用于实现远程登录功能的远程登录协议(Telnet)请求等等。对于不同类型的访问请求，解析其请求内容的具体方式也不本文档来自技高网...

【技术保护点】
一种网络攻击行为检测方法，其特征在于，包括：接收访问者发送的对目标网络系统的访问请求；从所述访问请求中解析出所述访问者的IP地址；在预设的IP地址白名单中查找所述访问者的IP地址；若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。

【技术特征摘要】
1.一种网络攻击行为检测方法，其特征在于，包括：接收访问者发送的对目标网络系统的访问请求；从所述访问请求中解析出所述访问者的IP地址；在预设的IP地址白名单中查找所述访问者的IP地址；若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。2.根据权利要求1所述的网络攻击行为检测方法，其特征在于，所述根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容包括：根据历史匹配成功记录确定所述若干正则表达式的匹配优先级，所述匹配优先级与所述正则表达式在所述历史匹配成功记录中的匹配成功次数正相关；从所述若干正则表达式中选取一个尚未被选取过的匹配优先级最高的正则表达式；使用当前选取的所述正则表达式对所述请求内容进行文本模式匹配；若文本模式匹配成功，则判定所述请求内容中包含对所述目标网络系统的攻击内容；若文本模式匹配失败，则返回执行所述从所述若干正则表达式中选取一个尚未被选取过的匹配优先级最高的正则表达式的步骤，直至文本模式匹配成功或者所述若干正则表达式中不存在尚未被选取过的正则表达式为止。3.根据权利要求1所述的网络攻击行为检测方法，其特征在于，还包括：若所述请求内容中未包含对所述目标网络系统的攻击内容，则获取预设时间段内的所述访问者的IP地址对所述目标网络系统的历史访问记录；根据所述历史访问记录统计所述访问者的IP地址出现的总次数；判断所述访问者的IP地址出现的总次数是否大于第一阈值；若所述访问者的IP地址出现的总次数大于第一阈值，则判定所述访问请求为网络攻击行为。4.根据权利要求3所述中的网络攻击行为检测方法，其特征在于，还包括：若所述访问者的IP地址出现的总次数小于或等于第一阈值，则从所述历史访问记录获取与所述访问者的IP地址对应的返回码；从与所述访问者的IP地址对应的返回码中选取异常返回码；统计与所述访问者的IP地址对应的返回码的数量，以第一数目计，以及统计所述异常返回码的数量，以第二数目计；计算所述第二数目与所述第一数目的比值；若所述比值大于第二阈值，则判定所述访问请求为网络攻击行为。5.根据权利要求1至4中任一项所述中的网络攻击行为检测方法，在从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式之前，还包括：获取输入的新的正则表达式；判断在所述正则表达式资源库中是否存在所述新的正则表达式；若在所述正则表达式资源库中不存在所述新的正则表达式，则根据请求类型确定所述新的正则表达式所属...

【专利技术属性】
技术研发人员：林李保，汤盛华，刘明娟，李瑚，严爱华，赵汝伟，陈泽鹏，
申请(专利权)人：中国平安人寿保险股份有限公司，
类型：发明
国别省市：广东,44