攻击行为检测方法技术

本申请提供了一种攻击行为检测方法

【技术实现步骤摘要】
攻击行为检测方法、设备以及计算机可读介质


[0001]本申请涉及信息
，尤其涉及一种攻击行为检测方法
、
设备以及计算机可读介质
。

技术介绍

[0002]随着互联网技术的发展，针对
Web
应用的攻击手段也随之增加，例如常见的针对
Web
应用的攻击包括
SQL
注入攻击
、XSS
攻击
(Cross Site Script
，跨站脚本
)、RCE(remote code execution
，远程代码执行
)
攻击
、
目录扫描攻击等
。
传统防御手段中，直接采用预设规则对
Web
应用的访问请求进行简单的规则匹配，这种方式会导致一些正常的请求容易被识别为攻击，进而被拦截，同时由于攻击手段的增益增加，也容易难以识别一些新的攻击手段，因此拦截的准确性不足，容易出现漏检误检的情况
。

技术实现思路

[0003]本申请的一个目的是提供一种攻击行为检测方法
、
设备以及计算机可读介质，至少用以解决现有方案中攻击检测准确性不足，容易出现漏检误检的问题
。
[0004]为实现上述目的，本申请实施例提供了一种攻击行为检测方法，所述方法包括：
[0005]在接收到访问请求时，判断所述访问请求是否命中网站应用防火墙的规则标签；
[0006]根据判断结果为所述访问请求设置基础评估值；
[0007]根据所述访问请求的请求信息，从情报库中查询所述访问请求的情报标签及其对应的情报评估值，所述情报库包括请求信息的情报标签及其对应的情报评估值；
[0008]根据所述基础评估值和所述情报评估值计算检测评估值；
[0009]若所述检测评估值达到预设的处置触发阈值，对所述访问请求采用对应的处置操作
。
[0010]本申请实施例还提供了一种攻击行为检测设备，所述设备包括：
[0011]规则检测模块，用于在在接收到访问请求时，判断所述访问请求是否命中网站应用防火墙的规则标签，并根据判断结果为所述访问请求设置基础评估值；
[0012]情报检测模块，用于根据所述访问请求的请求信息，从情报库中查询所述访问请求的情报标签及其对应的情报评估值，所述情报库包括请求信息的情报标签及其对应的情报评估值；
[0013]处置模块，用于根据所述基础评估值和所述情报评估值计算检测评估值，若所述检测评估值达到预设的处置触发阈值，对所述访问请求采用对应的处置操作
。
[0014]本申请实施例还提供了一种计算设备，该设备包括用于存储计算机程序指令的存储器和用于执行计算机程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发所述设备执行所述的攻击行为检测方法
。
[0015]本申请实施例还提供了一种计算机可读介质，其上存储有计算机程序指令，所述计算机程序指令可被处理器执行以实现所述的攻击行为检测方法
。
[0016]相较于现有技术，本申请实施例提供的攻击行为检测方案，该方案在接收到访问请求时，判断所述访问请求是否命中网站应用防火墙的规则标签，根据判断结果为所述访问请求设置基础评估值，然后根据所述访问请求的请求信息，从情报库中查询所述访问请求的情报标签及其对应的情报评估值，其中，所述情报库包括请求信息的情报标签及其对应的情报评估值，由此将
WAF(Web Application Firewall
，网站应用防火墙
)
与情报库的安全检测结合使用，避免遗漏一些不常见的攻击手段，同时将判定结果以评估值的形式输出，然后根据所述基础评估值和所述情报评估值计算检测评估值，若所述检测评估值达到预设的处置触发阈值，对所述访问请求采用对应的处置操作，通过使用打分机制获得各评估值来综合判断本次发起的访问请求是否为攻击行为，不仅提升了对攻击者的容忍度，还提高了对攻击行为的拦截率，并且能够避免将一些正常的访问请求误判为攻击行为，降低了对正常请求的误拦率，从整体上提升了攻击检测的准确性，降低了误检率
。
附图说明
[0017]图1为本申请实施例提供的一种攻击行为检测方法的处理流程图；
[0018]图2为
WAF
采用本申请实施例提供的方案实现攻击行为检测的整体流程示意图；
[0019]图3为本申请实施例提供的一种攻击行为检测设备的结构示意图；
[0020]图4为本申请实施例提供的一种能够实现攻击行为检测的计算设备的结构示意图
。
具体实施方式
[0021]为使本申请实施例的目的
、
技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚
、
完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例
。
基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围
。
[0022]在本申请一个典型的配置中，终端
、
服务网络的设备均包括一个或多个处理器
(CPU)、
输入
/
输出接口
、
网络接口和内存
。
[0023]内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器
(RAM)
和
/
或非易失性内存等形式，如只读存储器
(ROM)
或闪存
(flash RAM)。
内存是计算机可读介质的示例
。
[0024]计算机可读介质包括永久性和非永久性
、
可移动和非可移动媒体，可以由任何方法或技术来实现信息存储
。
信息可以是计算机可读指令
、
数据结构
、
程序的模块或其他数据
。
计算机的存储介质的例子包括，但不限于相变内存
(PRAM)、
静态随机存取存储器
(SRAM)、
动态随机存取存储器
(DRAM)、
其他类型的随机存取存储器
(RAM)、
只读存储器
(ROM)、
电可擦除可编程只读存储器
(EEPROM)、
快闪记忆体或其他内存技术
、
只读光盘
(CD
‑
ROM)、
数字多功能光盘
(DVD)
或其他光学存储
、
磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息
。
[0025]本申请实施例提供了一种攻击行为检测方法，该方法将
WAF
与情报库的安全检测结合使用，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种攻击行为检测方法，其特征在于，所述方法包括：在接收到访问请求时，判断所述访问请求是否命中网站应用防火墙的规则标签；根据判断结果为所述访问请求设置基础评估值；根据所述访问请求的请求信息，从情报库中查询所述访问请求的情报标签及其对应的情报评估值，所述情报库包括请求信息的情报标签及其对应的情报评估值；根据所述基础评估值和所述情报评估值计算检测评估值；若所述检测评估值达到预设的处置触发阈值，对所述访问请求采用对应的处置操作
。2.
根据权利要求1所述的方法，其特征在于，根据判断结果为所述访问请求设置基础评估值，包括：若所述访问请求命中网站应用防火墙的规则标签，将所述访问请求的基础评估值设置为与所述规则标签对应的数值；若所述访问请求未命中网站应用防火墙的规则标签，将所述访问请求的基础评估值设置为零
。3.
根据权利要求2所述的方法，其特征在于，若所述访问请求命中网站应用防火墙的规则标签时，还包括：根据命中的规则标签更新所述情报库中的情报标签
。4.
根据权利要求1所述的方法，其特征在于，根据所述访问请求的请求信息，从所述情报库中查询所述访问请求的情报标签及其对应的情报评估值，包括：将所述访问请求的访问数据添加至所述情报库中，由所述情报库根据访问数据中的请求信息，查找所述请求信息对应的情报标签以及情报评估值
。5.
根据权利要求1所述的方法，其特征在于，所述方法还包括：对所述访问请求进行行为分析，判断所述访问请求是否为恶意行为；若为恶意行为，生成所述请求对应的恶意标签，并将所述恶意标签添加至所述情报库，以更新所述情报库中的情报标签
。6.
根据权利要求1所述的方法，其特征在于，根据所述访问请求的请求信息，从所述情报库中查询所...

【专利技术属性】
技术研发人员：邢一航，童剑，
申请(专利权)人：安徽鑫云嘉讯信息技术有限公司，
类型：发明
国别省市：