[发明专利]函数注入攻击的检测方法、装置、设备及可读存储介质

说明书

本申请公开了一种函数注入攻击的检测方法、装置、设备及可读存储介质。本申请公开的方法包括：读取WEB网络中的请求；解析请求，并从请求中提取请求参数；判断请求参数是否为可疑函数参数；若是，则对请求参数进行属性标注，获得标注结果，并根据标注结果和请求参数识别请求参数对应的函数注入攻击类型。本申请无需预先设置大量规则，既可以对已知函数注入攻击进行检测，也可以对未知函数注入攻击进行检测，因此检测效率较高，且具有良好的通用性。相应地，本申请提供的一种函数注入攻击的检测装置、设备及可读存储介质，也同样具有上述技术效果。

技术领域

本申请涉及网络安全技术领域，特别涉及一种函数注入攻击的检测方法、装置、设备及可读存储介质。

背景技术

函数注入攻击是WEB网络安全领域中常见的网络攻击方式。攻击者可以借函数注入上传webshell脚本或执行系统命令等，给网络安全带来隐患。目前主要使用规则匹配来检测函数注入攻击。该检测方式需要预先收集大量已知的函数注入攻击的类型，并从中提取出相应的规则，然后使用这些规则匹配WEB网络中的请求对应的数据包，并将命中规则的数据包判定为函数注入攻击。

但是，由于该检测方式需要预先收集大量已知的函数注入攻击的类型，因此前期工作量较多，且由此确定的大量规则难以维护。再者，由于规则基于已知的函数注入攻击的类型确定，所以这些规则只能检测出已知的函数注入攻击类型。WEB网络中的请求对应的数据包中包括多种参数和数据，该检测方式需要对这些参数和数据都进行匹配，导致无法准确检测函数注入对应的参数，匹配工作量较大，检测效率较低。

因此，如何提高函数注入攻击的检测效率，是本领域技术人员需要解决的问题。

发明内容

有鉴于此，本申请的目的在于提供一种函数注入攻击的检测方法、装置、设备及可读存储介质，以提高函数注入攻击的检测效率。其具体方案如下：

第一方面，本申请提供了一种函数注入攻击的检测方法，包括：

读取WEB网络中的请求；

解析所述请求，并从所述请求中提取请求参数；

判断所述请求参数是否为可疑函数参数；

若是，则对所述请求参数进行属性标注，获得标注结果，并根据所述标注结果和所述请求参数识别所述请求参数对应的函数注入攻击类型。

优选地，所述从所述请求中提取请求参数，包括：

从所述请求中提取请求行参数和POST表单参数，所述请求参数包括请求行参数和POST表单参数；

将所述请求行参数和所述POST表单参数转换为关联数组，并将所述关联数组作为所述请求参数，所述关联数组包括参数名和参数值。

优选地，所述判断所述请求参数是否为可疑函数参数，包括：

判断可疑函数参数库中是否存在所述请求参数；

若是，则确定所述请求参数为可疑函数参数；

若否，则确定所述请求参数为正常函数参数。

优选地，所述对所述请求参数进行属性标注，获得标注结果，包括：

按照目标方式对所述请求参数进行属性标注，获得所述标注结果；

其中，所述目标方式包括正则表达式、目录分隔符、文件后缀名、命令识别参数、编码识别参数中的任意一种或组合；所述属性标注的标签包括URI、文件名、命令、编码内容、代码及普通参数中的任意一种或组合。

优选地，所述根据所述标注结果和所述请求参数识别所述请求参数对应的函数注入攻击类型，包括：

根据所述标注结果和所述请求参数生成指纹数据；