[发明专利]网站应用漏洞攻击的检测方法及装置、存储介质

说明书

本申请公开了一种网站应用漏洞攻击的检测方法及装置、存储介质、计算机设备，该方法包括：监控目标网站应用对应的解释器，并通过钩子函数从解释器中捕获关键函数的待执行代码；解析待执行代码，得到与待执行代码对应的待执行流程；根据关键函数对应的标准执行流程以及待执行流程，判定待执行代码是否为漏洞攻击行为的执行代码。本申请通过hook脚本执行层关键函数，通过检查脚本的执行流程是否符合规定来判定是否为攻击行为，以实现对网站应用层漏洞的精准防护。

技术领域

本申请涉及信息安全技术领域，尤其是涉及到一种网站应用漏洞攻击的检测方法及装置、存储介质、计算机设备。

背景技术

近年来，内网安全事件频繁发生，企业或组织内部重要数据或敏感数据丢失，对政府、企业造成的损失和影响是十分严重的。

为防止漏洞攻击对用户终端或网站服务器造成不良影响，目前针对网站应用的各种应用层漏洞(如反序列化，代码执行漏洞等)的防护主要是通过特征匹配的方式进行防护，通过检测发往网站应用的请求数据包中是否包含特定的攻击特征，这种防护方式无法关联具体的业务，如果规则太严，则会产生大量误报，如果规则太松，则会产生大量漏洞，无法实现精准防护。

因此，如何设计出一种快速、高效的攻击防御机制，在漏洞攻击产生后对其进行及时防御，就成为摆放在本领域技术人员眼前的一道难题。

发明内容

有鉴于此，本申请提供了一种网站应用漏洞攻击的检测方法及装置、存储介质、计算机设备，通过hook脚本执行层关键函数，通过检查脚本的执行流程是否符合规定来判定是否为攻击行为，以实现对网站应用层漏洞的精准防护。

根据本申请的一个方面，提供了一种网站应用漏洞攻击的检测方法，包括：

监控目标网站应用对应的解释器，并通过钩子函数从所述解释器中捕获关键函数的待执行代码；

解析所述待执行代码，得到与所述待执行代码对应的待执行流程；

根据所述关键函数对应的标准执行流程以及所述待执行流程，判定所述待执行代码是否为漏洞攻击行为的执行代码。

具体地，所述监控目标网站应用对应的解释器之前，所述方法还包括：

对所述关键函数进行至少一次安全调用；

通过对所述解释器的监控，收集所述安全调用对应的安全执行代码；

依据所述安全执行代码分析所述安全调用的标准执行流程，并将所述安全执行流程加入到标准执行流程库中。

具体地，所述解析所述待执行代码，得到与所述待执行代码对应的待执行流程之后，所述方法还包括：

在所述标准执行流程库中，获取与所述关键函数对应的所述标准执行流程。

具体地，解析所述待执行代码，得到与所述待执行代码对应的待执行流程，具体包括：

从所述待执行代码中按照从前至后的顺序依次提取出相应的操作行为，得到所述待执行流程。

具体地，所述根据所述关键函数对应的标准执行流程以及所述待执行流程，判定所述待执行代码是否为漏洞攻击行为的执行代码，具体包括：

若所述待执行流程与所述标准执行流程不一致，则判定所述待执行代码存在漏洞攻击行为，并阻止所述待执行代码被执行；

若所述待执行流程与所述标准执行流程一致，则判定所述待执行代码不存在漏洞攻击行为，并执行所述待执行代码。

具体地，所述判定所述待执行代码存在漏洞攻击行为，并阻止所述待执行代码被执行，具体包括：

将所述待执行代码上报至安全管理系统中，以利用所述安全管理系统生成并反馈对所述待执行代码的判定结果；