【技术实现步骤摘要】
数据检测方法、装置及存储介质
[0001]本专利技术实施例涉及网络安全
,尤其涉及一种数据检测方法、装置及存储介质。
技术介绍
[0002]随着技术的发展,(World Wide Web Shell,WebShell)的绕过形式更加多样,同时检测技术也不断革新。传统的WebShell检测框架主要有:
[0003]1.顺序执行框架,这种架构设计成本低,直接串联各个引擎,如果存在一个引擎检出则认为检出,这种情况下,显然各个引擎都正常发挥了其优势,但是于此同时,检测准确度较低。
[0004]2.部分框架之间有一定程度交互。但是该方案只是将部分框架之间进行交互,对数据的检测深度并未有明显的提升,进而检测准确度也较低。
技术实现思路
[0005]本专利技术实施例提供的一种数据检测方法、装置及存储介质,可以提高对异常数据的检测准确度。
[0006]本专利技术的技术方案是这样实现的:
[0007]本专利技术实施例提供了一种数据检测方法,包括:
[0008]对获取的待测数据利用预设规则检测,得到预检测结果;
[0009]在所述预检测结果表征所述待测数据为不匹配规则数据的情况下,基于所述待测数据的语言特征,对所述待测数据进行动静态检测,得到对应的第一检测结果;
[0010]若所述第一检测结果表征所述待测数据为非异常数据,则通过预设检测模型对数据语言特征进行处理,得到第三可信度;其中,所述动静态检测过程中得到所述待测数据的检测可信度与所述数据语言特征;>[0011]结合所述检测可信度与所述第三可信度确定出目标检测结果。
[0012]上述方案中,所述基于所述待测数据的语言特征,对所述待测数据进行动静态检测,得到对应的第一检测结果,包括:
[0013]基于所述待测数据的语言特征,确定出对应的语法树生成器;
[0014]通过所述语法树生成器对所述待测数据进行处理,得到对应的语法树;
[0015]利用预设程序对所述语法树进行遍历检测,在所述待测数据为所述非异常数据时,得到第一可信度与所述语法树各个节点的静态数据语言特征;
[0016]利用预设执行引擎对所述待测数据进行检测处理,在所述待测数据为所述非异常数据时,得到第二可信度,动态数据语义特征以及表征所述待测数据为所述非异常数据的所述第一检测结果;所述检测可信度包括:所述第一可信度和所述第二可信度。
[0017]上述方案中,所述通过所述语法树生成器对所述待测数据进行处理,得到对应的语法树之后,所述方法还包括:
[0018]利用预设程序对所述语法树进行遍历检测,在所述待测数据对应调用的危险函数与预设函数匹配,且所述危险函数的参数信息与预设参数信息匹配时,得到所述待测数据为异常数据的所述第一检测结果;
[0019]所述利用预设程序对所述语法树进行遍历检测,在所述待测数据为所述非异常数据时,得到第一可信度与所述语法树各个节点的静态数据语言特征之后,所述方法还包括:
[0020]利用预设执行引擎对所述待测数据进行检测处理,在所述待测数据对应调用的所述危险函数与所述预设函数匹配,且所述危险函数的参数信息与所述预设参数信息匹配时,得到所述待测数据为异常数据的所述第一检测结果。
[0021]上述方案中,所述基于所述待测数据的语言特征,确定出对应的语法树生成器,包括:
[0022]对所述待测数据进行词法分析处理,将所述待测数据转换成字符串序列;
[0023]在多个标识符中确定出与所述字符串序列匹配的目标标识符;
[0024]在所述多个标识符对应的多个语法树生成器中确定出,所述目标标识符对应的所述语法树生成器。
[0025]上述方案中,所述利用预设程序对所述语法树进行遍历检测,在所述待测数据为所述非异常数据时,得到第一可信度与所述语法树各个节点的静态数据语言特征,包括:
[0026]利用所述预设程序对所述语法树进行遍历检测,基于所述语法树中调用的危险函数信息确定所述待测数据为所述非异常数据;
[0027]在遍历过程中提取出所述语法树的语法树节点个数信息、字符串拼接操作次数信息、函数调用次数信息、所述危险函数信息、危险函数调用次数信息和字符换异或操作次数信息,及所述第一可信度。
[0028]上述方案中,所述利用预设执行引擎对所述待测数据进行检测处理,在所述待测数据为所述非异常数据时,得到第二可信度,动态数据语义特征,以及表征所述待测数据为非异常数据的所述第一检测结果,包括:
[0029]利用所述预设执行引擎对所述待测数据进行动态执行检测,基于动态执行过程中调用的危险函数信息确定所述待测数据为所述非异常数据,以得到表征所述待测数据为所述非异常数据的所述第一检测结果;
[0030]在动态执行过程中提取出字符串和调用函数的执行结果信息。
[0031]上述方案中,所述结合检测可信度与所述第三可信度确定出目标检测结果,包括:
[0032]根据所述语法树中节点的个数,给所述第一可信度、所述第二可信度和所述第三可信度分别配置对应的权重;
[0033]获取所述第一可信度、所述第二可信度和所述第三可信度与分别对应的权重的乘积之和;
[0034]若所述乘积之和大于第一阈值,则确定出所述待测数据为异常数据的所述目标检测结果。
[0035]上述方案中,所述根据所述语法树中节点的个数,给所述第一可信度、所述第二可信度和所述第三可信度分别配置对应的权重,包括以下之一:
[0036]若所述个数大于第二阈值,则给所述第一可信度配置第一权重,给所述第二可信度配置第二权重,给所述第三可信度配置第三权重,其中,所述第三权重大于所述第二权
重;
[0037]若所述个数不大于所述第二阈值,则给所述第一可信度配置第一权重,给所述第二可信度配置第四权重,给所述第三可信度配置第五权重,其中,所述第四权重大于所述第五权重。
[0038]上述方案中,所述对获取的待测数据利用预设规则检测,得到预检测结果,包括:
[0039]利用预设算法对所述待测数据进行处理,得到匹配值;
[0040]将所述匹配值与多个预设值进行匹配,以确定出所述预检测结果。
[0041]上述方案中,所述将所述匹配值与多个预设值进行匹配,以确定出所述预检测结果,包括以下之一:
[0042]若所述匹配值与所述多个预设值中的任意值匹配,则确定出所述待测数据为异常数据的所述预检测结果;
[0043]若所述匹配值与所述多个预设值均不匹配,则确定出所述待测数据为不匹配规则数据的所述预检测结果。
[0044]上述方案中,所述结合检测可信度与所述第三可信度确定出目标检测结果,包括以下之一:
[0045]若所述第一可信度、所述第二可信度和所述第三可信度中的至少两个可信度大于对应的预设第一阈值,则确定出所述待测数据为异常数据的所述目标检测结果;
[0046]若所述第一可信度、所述第二可信度和所述第三本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据检测方法,其特征在于,包括:对获取的待测数据利用预设规则检测,得到预检测结果;在所述预检测结果表征所述待测数据为不匹配规则数据的情况下,基于所述待测数据的语言特征,对所述待测数据进行动静态检测,得到对应的第一检测结果;若所述第一检测结果表征所述待测数据为非异常数据,则通过预设检测模型对数据语言特征进行处理,得到第三可信度;其中,所述动静态检测过程中得到所述待测数据的检测可信度与所述数据语言特征;结合所述检测可信度与所述第三可信度确定出目标检测结果。2.根据权利要求1所述的数据检测方法,其特征在于,所述基于所述待测数据的语言特征,对所述待测数据进行动静态检测,得到对应的第一检测结果,包括:基于所述待测数据的语言特征,确定出对应的语法树生成器;通过所述语法树生成器对所述待测数据进行处理,得到对应的语法树;利用预设程序对所述语法树进行遍历检测,在所述待测数据为所述非异常数据时,得到第一可信度与所述语法树各个节点的静态数据语言特征;利用预设执行引擎对所述待测数据进行检测处理,在所述待测数据为所述非异常数据时,得到第二可信度,动态数据语义特征以及表征所述待测数据为所述非异常数据的所述第一检测结果;所述检测可信度包括:所述第一可信度和所述第二可信度。3.根据权利要求2所述的数据检测方法,其特征在于,所述通过所述语法树生成器对所述待测数据进行处理,得到对应的语法树之后,所述方法还包括:利用预设程序对所述语法树进行遍历检测,在所述待测数据对应调用的危险函数与预设函数匹配,且所述危险函数的参数信息与预设参数信息匹配时,得到所述待测数据为异常数据的所述第一检测结果;所述利用预设程序对所述语法树进行遍历检测,在所述待测数据为所述非异常数据时,得到第一可信度与所述语法树各个节点的静态数据语言特征之后,所述方法还包括:利用预设执行引擎对所述待测数据进行检测处理,在所述待测数据对应调用的所述危险函数与所述预设函数匹配,且所述危险函数的参数信息与所述预设参数信息匹配时,得到所述待测数据为异常数据的所述第一检测结果。4.根据权利要求2所述的数据检测方法,其特征在于,所述基于所述待测数据的语言特征,确定出对应的语法树生成器,包括:对所述待测数据进行词法分析处理,将所述待测数据转换成字符串序列;在多个标识符中确定出与所述字符串序列匹配的目标标识符;在所述多个标识符对应的多个语法树生成器中确定出,所述目标标识符对应的所述语法树生成器。5.根据权利要求2所述的数据检测方法,其特征在于,所述利用预设程序对所述语法树进行遍历检测,在所述待测数据为所述非异常数据时,得到第一可信度与所述语法树各个节点的静态数据语言特征,包括:利用所述预设程序对所述语法树进行遍历检测,基于所述语法树中调用的危险函数信息确定所述待测数据为所述非异常数据;在遍历过程中提取出所述语法树的语法树节点个数信息、字符串拼接操作次数信息、
函数调用次数信息、所述危险函数信息、危险函数调用次数信息和字符换异或操作次数信息,及所述第一可信度。6.根据权利要求2所述的数据检测方法,其特征在于,所述利用预设执行引擎对所述待测数据进行检测处理,在所述待测数据为所述非异常数据时,得到第二可信度,动态数据语义特征以及表征所述待测数据为非异常数据的所述第一检测结果,包括:利用所述预设执行引擎对所述待测数据进行动态执行检测,基于动态执行过程中调用的危险函数信息确定所述待测数据为所述非异常数据,以得到表征所述待测数据为所述...
【专利技术属性】
技术研发人员:艾江俊,杨荣海,黄忠强,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。