[发明专利]一种检测恶意行为的方法、装置及存储介质有效
| 申请号: | 202110203939.8 | 申请日: | 2021-02-23 |
| 公开(公告)号: | CN112887327B | 公开(公告)日: | 2022-11-22 |
| 发明(设计)人: | 卢再锋 | 申请(专利权)人: | 深信服科技股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京派特恩知识产权代理有限公司 11270 | 代理人: | 李娟;张颖玲 |
| 地址: | 518055 广东省深圳市*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 检测 恶意 行为 方法 装置 存储 介质 | ||
本发明提供了一种检测恶意行为的方法、装置及存储介质;方法包括:接收待检测对象的至少一个请求报文;解析至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个;若请求方法、信息位置目录和文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与每个请求报文对应的第一权重信息;基于至少一个请求报文对应的至少一个第一权重信息,确定至少一个请求报文的检测结果。本发明能够提高检测恶意行为的准确率。
技术领域
本发明涉及网络安全领域,尤其涉及一种检测恶意行为的方法、装置及存储介质。
背景技术
应用防火墙(Web Application Firewall,WAF)中的被动防扫描(Passive anti-scan)技术是用于阻止恶意对象为了网络攻击而对网站信息进行的扫描,具体的,是对扫描流量进行分析,提取扫描流量特征来识别恶意行为,从而阻止恶意对象扫描网站。相比主动防扫描(Positive anti-scan),被动防扫描不会向正常的网络流量中加入代码来主动识别恶意行为,因此,不会对正常业务数据产生破坏。
目前已知的被动防扫描方法,通常仅仅提取扫描流量中比较直观的特征,如敏感词、扫描器指纹和响应码,来检测恶意行为。但在运行过程中,会存在现有被动防扫描方案无法检测到的恶意行为,检测恶意行为的准确率较低。
发明内容
本发明实施例期望提出一种恶意对象的检测方法、装置及存储介质,能够提高检测恶意行为的准确率。
本发明的技术方案是这样实现的:
本发明实施例提供一种检测恶意行为的方法,所述方法包括:
接收待检测对象的至少一个请求报文;
解析所述至少一个请求报文中的每个请求报文,分别得到对应的信息位置目录、文件类型和请求方法中的至少两个;
若所述请求方法、所述信息位置目录和所述文件类型中的至少两个之间存在冲突,则从预设冲突关系中,得到与所述每个请求报文对应的第一权重信息;
基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果。
上述方案中,所述接收待检测对象的至少一个请求报文之后,所述方法还包括:
筛选所述至少一个请求报文中是否包含特殊信息,所述特殊信息包括:信息位置敏感词或扫描器指纹;
若每个请求报文中均包含所述特殊信息,则从预设特殊信息库中,得到与所述每个请求报文对应的第二权重信息,从而得到了至少一个请求报文对应的至少一个第二权重信息;
相应的,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
根据所述至少一个第一权重信息和所述至少一个第二权重信息,确定所述至少一个请求报文的检测结果。
上述方案中,所述接收待检测对象的至少一个请求报文之后,所述方法还包括:
接收针对所述至少一个请求报文响应的至少一个响应报文;所述至少一个响应报文是由服务器接收到所述至少一个请求报文后做出响应而得到的;
解析所述至少一个响应报文,得到每个响应报文分别对应的响应信息;
若所述响应信息表征未找到所要请求的内容,则从预设异常响应关系中,得到与所述每个请求报文对应的第三权重信息,从而得到了至少一个请求报文对应的至少一个第三权重信息;
相应的,所述基于所述至少一个请求报文对应的至少一个第一权重信息,确定所述至少一个请求报文的检测结果,包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110203939.8/2.html,转载请声明来源钻瓜专利网。
