本发明专利技术提供了一种数据检测方法、装置及存储介质,方法包括:通过获取数据包;解析数据包,得到对应的语法结构树;语法结构树中的各个节点表征数据包中的对应字符串的语法结构;利用语法结构树,在数据包中确定出变异字符;基于变异字符,检测得到检测结果。由于现有的攻击数据流通常会改变字符串来躲避拦截,本方案中的语法结构树充分结合了数据包的语法特征,进而通过该语法结构树可以准确地确定出变异字符,所以通过该变异字符检测得到的检测结果更加准确,数据检测设备基于更加准确的检测结果对数据进行拦截,所以本方案提高数据检测设备对攻击数据流的拦截精度。设备对攻击数据流的拦截精度。设备对攻击数据流的拦截精度。
【技术实现步骤摘要】
数据检测方法、装置及存储介质
[0001]本专利技术实施例涉及计算机及互联网
,尤其涉及一种数据检测方法、装置及存储介质。
技术介绍
[0002]在全球广域网(World Wide Web,web)应用层防护中,黑客通常会采用各种绕过手段来绕开安全设备的检测,比如,黑客通常会拦截数据库查询语言(Structured Query Language,SQL)语句对SQL语句中的字符进行变异,以绕过数据检测设备的检测。相关技术中,攻击者通常通过修改关键字内字母大小写、使用注释、使用空格、使用括号等方式来绕过数据检测设备的过滤措施,以达到攻击的目的。使得数据检测设备对攻击数据流的拦截精度降低。
技术实现思路
[0003]本专利技术实施例提供的一种数据检测方法、装置及存储介质,可以提高数据检测设备对攻击数据流的拦截精度。
[0004]本专利技术的技术方案是这样实现的:
[0005]本专利技术实施例提供了一种数据检测方法,包括:
[0006]获取数据包;
[0007]解析数据包,得到对应的语法结构树;语法结构树中的各个节点表征数据包中的对应字符串的语法结构;
[0008]利用语法结构树,在数据包中确定出变异字符;
[0009]基于变异字符,检测得到检测结果。
[0010]上述方案中,基于变异字符,检测得到检测结果,包括:
[0011]根据变异字符,对数据包进行处理,得到还原数据;
[0012]对还原数据进行检测,得到检测结果。
[0013]上述方案中,解析数据包,得到对应的语法结构树,包括:
[0014]利用预设解析器解析数据包,得到数据包中多个字符串对应的数据资源信息;
[0015]通过数据资源信息构建出语法结构树。
[0016]上述方案中,所述利用所述语法结构树,在所述数据包中确定出变异字符,包括:
[0017]利用预设深度遍历算法遍历所述语法结构树,在所述语法结构树包含的多个数据资源信息中确定出变异数据资源信息;
[0018]在所述数据包中的多个字符串中确定出所述变异数据资源信息对应的变异字符串。
[0019]上述方案中,所述根据所述变异字符,对所述数据包进行处理,得到还原数据,包括:
[0020]利用预设字符串更新所述数据包中的所述变异字符串,得到中间数据包,对所述
中间数据包处理得到所述还原数据。
[0021]上述方案中,多个字符串包括:预定字符串和除了预定字符串之外的剩余字符串;
[0022]通过数据资源信息构建出语法结构树,包括:
[0023]以预定资源信息为根节点,以剩余资源信息为叶子节点,按照从属关系构建语法结构树,其中,预定资源信息是预定字符串对应的数据资源信息,剩余资源信息是剩余字符串对应的数据资源信息。
[0024]上述方案中,对中间数据包处理得到还原数据,包括:
[0025]剥离中间数据包中的预设字符串模板,得到拆分数据;
[0026]利用闭合字符串更新拆分数据中的预定变量信息,得到还原数据。
[0027]上述方案中,对还原数据进行检测,得到检测结果,包括:
[0028]基于预设程序指令,对还原数据中的字符串进行检测,得到检测结果。
[0029]本专利技术实施例还提供了一种数据检测装置,包括:
[0030]处理单元,用于对获取的有效负载数据进行转换拼接处理,得到第一查询语句;
[0031]解析单元,用于解析第一查询语句得到对应的语法结构树;语法结构树中的各个节点表征第一查询语句中的对应字符串的语法结构;
[0032]变异单元,用于利用语法结构树,在第一查询语句中确定出待变异字符,并进行变异得到第二查询语句;
[0033]确定查询单元,用于在第二查询语句中确定出目标查询语句,利用目标查询语句查询得到目标数据。
[0034]本专利技术实施例还提供了一种数据检测装置,包括存储器和处理器,存储器存储有可在处理器上运行的计算机程序,处理器执行程序时实现上述方法中的步骤。
[0035]本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法中的步骤。
[0036]本专利技术实施例中,通过获取数据包;解析数据包,得到对应的语法结构树;语法结构树中的各个节点表征数据包中的对应字符串的语法结构;利用语法结构树,在数据包中确定出变异字符;基于变异字符,检测得到检测结果。由于现有的攻击数据流通常会改变字符串来躲避拦截,本方案中的语法结构树充分结合了数据包的语法特征,进而通过该语法结构树可以准确地确定出变异字符,所以通过该变异字符检测得到的检测结果更加准确,数据检测设备基于更加准确的检测结果对数据进行拦截,所以本方案提高数据检测设备对攻击数据流的拦截精度。
附图说明
[0037]图1为本专利技术实施例提供的数据检测方法的一个可选的流程示意图;
[0038]图2为本专利技术实施例提供的数据检测方法的一个可选的流程示意图;
[0039]图3为本专利技术实施例提供的数据检测方法的一个可选的流程示意图;
[0040]图4为本专利技术实施例提供的数据检测方法的一个可选的流程示意图;
[0041]图5为本专利技术实施例提供的数据检测方法的一个可选的流程示意图;
[0042]图6为本专利技术实施例提供的数据检测装置的结构示意图;
[0043]图7为本专利技术实施例提供的数据检测装置的一种硬件实体示意图。
具体实施方式
[0044]为了使本专利技术的目的、技术方案和优点更加清楚,下面结合附图和实施例对本专利技术的技术方案进一步详细阐述,所描述的实施例不应视为对本专利技术的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。
[0045]在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
[0046]如果专利技术文件中出现“第一/第二”的类似描述则增加以下的说明,在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本专利技术实施例能够以除了在这里图示或描述的以外的顺序实施。
[0047]除非另有定义,本文所使用的所有的技术和科学术语与属于本专利技术的
的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本专利技术实施例的目的,不是旨在限制本专利技术。
[0048]本专利技术实施例提供了一种数据检测方法,请参阅图1,为本专利技术实施例提供的数据检测方法的一个可选的流程示意图,将结合图1示出的步骤进行说明。
[0049]S101、获取数据包。
[0050]本专利技术实施例中,数据检测装置获取数据包。
...
【技术保护点】
【技术特征摘要】
1.一种数据检测方法,其特征在于,包括:获取数据包;解析所述数据包,得到对应的语法结构树;所述语法结构树中的各个节点表征所述数据包中的对应字符串的语法结构;利用所述语法结构树,在所述数据包中确定出变异字符;基于所述变异字符,检测得到检测结果。2.根据权利要求1所述的数据检测方法,其特征在于,所述基于所述变异字符,检测得到检测结果,包括:根据所述变异字符,对所述数据包进行处理,得到还原数据;对所述还原数据进行检测,得到所述检测结果。3.根据权利要求1所述的数据检测方法,其特征在于,所述解析所述数据包,得到对应的语法结构树,包括:利用预设解析器解析所述数据包,得到所述数据包中多个字符串对应的数据资源信息;通过所述数据资源信息构建出所述语法结构树。4.根据权利要求1所述的数据检测方法,其特征在于,所述利用所述语法结构树,在所述数据包中确定出变异字符,包括:利用预设深度遍历算法遍历所述语法结构树,在所述语法结构树包含的多个数据资源信息中确定出变异数据资源信息;在所述数据包中的多个字符串中确定出所述变异数据资源信息对应的变异字符串。5.根据权利要求2所述的数据检测方法,其特征在于,所述根据所述变异字符,对所述数据包进行处理,得到还原数据,包括:利用预设字符串更新所述数据包中的所述变异字符串,得到中间数据包,对所述中间数据包处理得到所述还原数据。6.根据权利要求3所述的数据检测方法,其特征在于,所述多个字符串包括:预定字符串和除了所述预定字符串之外的剩...
【专利技术属性】
技术研发人员:许云中,宁阳,王雄,郑景中,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。