【技术实现步骤摘要】
本专利技术涉及网络安全检测,尤其涉及一种脚本分步检测方法、装置、电子设备及介质。
技术介绍
1、入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据。
2、现有技术中,入侵预防系统基于攻击特征构造匹配树,将数据包送进检测引擎进行匹配,这种方式无法基于数据包特定位置进行检测,每次都需要查找整个数据包,性能较低,且针对攻击特征分布在多个数据包的情况无法检测,综上所述,现有技术中检测数据包是否存在攻击的效率低。
技术实现思路
1、有鉴于此,有必要提供一种脚本分步检测方法、装置、电子设备及介质,用以解决现有技术中检测数据包中是否存在攻击的效率低的问题。
2、为了解决上述问题,本专利技术提供一种脚本分步检测方法,包括:
3、获取攻击特征库和目标http数据包;
4、根据所述攻击特征库创建http数据包的url字典树、http头部字典树和http请求体字典树;
5、对所述目标http数据包进行解析,得到所述目标http数据包的url、http头部和http请求体;
6、当所述url与所述url字典树匹配成功时,则对所述目标http数据包进行阻断或告警;
7、当所述url与所述url字典树匹配失败,所述http头部与所
8、当所述url与所述url字典树匹配失败,所述http头部与所述http头部字典树匹配失败,所述http请求体与所述http请求体字典树匹配成功时,则对所述目标http数据包进行阻断或告警。
9、在一些可能的实现方式中,所述对所述目标http数据包进行解析,得到所述目标http数据包的http请求体,包括:
10、获取目标所述http数据包请求体的长度;
11、获取目标所述http数据包请求体的结束位置;
12、根据所述长度和所述结束位置确定所述目标http数据包的http请求体。
13、在一些可能的实现方式中,所述根据所述攻击特征库创建http数据包的url字典树、http头部字典树和http请求体字典树,包括:
14、根据所述攻击特征库基于ac算法创建http数据包的url字典树、http头部字典树和http请求体字典树。
15、在一些可能的实现方式中,所述根据所述攻击特征库创建http数据包的url字典树、http头部字典树和http请求体字典树,包括:
16、将所述攻击特征库中的每条攻击特征按照http数据包的url、http头部和http请求体分类,得到url的攻击特征、http头部攻击特征和http请求体攻击特征;
17、基于ac算法将所述url的攻击特征挂载到字典树上得到url字典树;
18、基于ac算法将所述http头部攻击特征挂载到字典树上得到http头部字典树;
19、基于ac算法将所述http请求体攻击特征挂载到字典树上得到http请求体字典树。
20、另一方面,本专利技术还提供了一种脚本分步检测装置,包括:
21、数据获取模块,用于获取攻击特征库和目标http数据包;
22、字典树获取模块,用于根据所述攻击特征库创建http数据包的url字典树、http头部字典树和http请求体字典树;
23、数据包解析模块,用于对所述目标http数据包进行解析,得到所述目标http数据包的url、http头部和http请求体;
24、第一匹配模块,用于当所述url与所述url字典树匹配成功时,则对所述目标http数据包进行阻断或告警;
25、第二匹配模块,用于当所述url与所述url字典树匹配失败,所述http头部与所述http头部字典树匹配成功时,则对所述目标http数据包进行阻断或告警;
26、第三匹配模块,用于当所述url与所述url字典树匹配失败,所述http头部与所述http头部字典树匹配失败,所述http请求体与所述http请求体字典树匹配成功时,则对所述目标http数据包进行阻断或告警。
27、另一方面,本专利技术还提供了一种电子设备,包括存储器和处理器,其中,
28、所述存储器,用于存储程序;
29、所述处理器,与所述存储器耦合,用于执行所述存储器中存储的所述程序,以实现上述任意一种实现方式中所述的一种脚本分步检测方法中的步骤。
30、另一方面,本专利技术还提供了一种计算机可读存储介质,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时能够实现上述任意一种实现方式中所述的一种脚本分步检测方法中的步骤。
31、采用上述实施例的有益效果是:本专利技术提供的一种脚本分步检测方法,首先获取攻击特征库和目标http数据包,进一步根据攻击特征库创建http数据包的url字典树、http头部字典树和http请求体字典树,进一步对目标http数据包进行解析,得到目标http数据包的url、http头部和http请求体,进一步当url与url字典树匹配成功时,则对目标http数据包进行阻断或告警,进一步当url与url字典树匹配失败,http头部与http头部字典树匹配成功时,则对目标http数据包进行阻断或告警,进一步当url与url字典树匹配失败,http头部与http头部字典树匹配失败,http请求体与http请求体字典树匹配成功时,则对目标http数据包进行阻断或告警。本专利技术通过对特征库分别构建url字典树、http头部字典树和http请求体字典树,本专利技术通过构建url字典树、http头部字典树和http请求体字典树,实现对http数据包分步检测,从而提高了检测数据包中是否存在攻击的效率。
本文档来自技高网...【技术保护点】
1.一种脚本分步检测方法,其特征在于,包括:
2.根据权利要求1所述的脚本分步检测方法,其特征在于,所述对所述目标HTTP数据包进行解析,得到所述目标HTTP数据包的HTTP请求体,包括:
3.根据权利要求1所述的脚本分步检测方法,其特征在于,所述根据所述攻击特征库创建HTTP数据包的URL字典树、HTTP头部字典树和HTTP请求体字典树,包括:
4.根据权利要求1所述的脚本分步检测方法,其特征在于,所述根据所述攻击特征库创建HTTP数据包的URL字典树、HTTP头部字典树和HTTP请求体字典树,包括:
5.一种脚本分步检测装置,其特征在于,包括:
6.根据权利要求5所述的脚本分步检测装置,其特征在于,所述对所述目标HTTP数据包进行解析,得到所述目标HTTP数据包的HTTP请求体,包括:
7.根据权利要求5所述的脚本分步检测装置,其特征在于,所述根据所述攻击特征库创建HTTP数据包的URL字典树、HTTP头部字典树和HTTP请求体字典树,包括:
8.根据权利要求5所述的脚本分步检测装置,其特征在
9.一种电子设备,其特征在于,包括存储器和处理器,其中,
10.一种计算机可读存储介质,其特征在于,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时能够实现上述权利要求1至4中任意一项所述的一种脚本分步检测方法中的步骤。
...【技术特征摘要】
1.一种脚本分步检测方法,其特征在于,包括:
2.根据权利要求1所述的脚本分步检测方法,其特征在于,所述对所述目标http数据包进行解析,得到所述目标http数据包的http请求体,包括:
3.根据权利要求1所述的脚本分步检测方法,其特征在于,所述根据所述攻击特征库创建http数据包的url字典树、http头部字典树和http请求体字典树,包括:
4.根据权利要求1所述的脚本分步检测方法,其特征在于,所述根据所述攻击特征库创建http数据包的url字典树、http头部字典树和http请求体字典树,包括:
5.一种脚本分步检测装置,其特征在于,包括:
6.根据权利要求5所述的脚本分步检测装置,其特征在于,所述对所述目...
【专利技术属性】
技术研发人员:钟竹,王文鲁,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。