[发明专利]一种基于表达式的web攻击行为检测方法及系统

权利要求书

1.一种基于表达式的web攻击行为检测方法，其特征在于:所述方法包括如下步骤：

步骤S101：接收来自至少一个用户基于多个web应用程序的访问请求；

步骤S102：提取该访问请求中携带的IP数据，并基于第一预设规则判断所述IP是否满足预设条件；如果满足，进入步骤S103；如果不满足，进入步骤S104；

步骤S103：将所述访问请求通过WAF虚拟机进行表达式检测，基于表达式检测的无攻击行为输出结果且在满足第二预设规则后，通过服务器向所述用户返回基于该访问请求的内容响应消息；

步骤S104:提取所述访问请求的数据携带的特征数据，将该特征数据输入至WAF虚拟机的表达式训练模型，同时向用户返回错误信息。

2.根据权利要求1所述的基于表达式的web攻击行为检测方法，其特征在于:所述步骤102中，基于第一预设规则判断所述IP是否满足预设条件具体包括：分别设置基于IP的黑名单检测模型和白名单检测模型，若所述IP符合白名单检测模型，则所述IP为合法IP，若匹配黑名单检测模型，则所述IP为非法IP，若所述IP既不属于白名单也不属于黑名单模型，则将所述IP所携带的访问请求添加标签，以定义在进行表达式检测时需要判断IP的合法性，其中，所述预设条件为合法IP或添加标签的IP。

3.根据权利要求2所述的基于表达式的web攻击行为检测方法，其特征在于：所述步骤S104中，将所述访问请求通过waf虚拟机进行表达式检测的步骤具体包括：

将合法IP或添加标签IP的访问请求通过WAF虚拟机的表达式检测模型进行攻击行为检测，当检测出添加标签IP的访问请求中含有攻击行为时，将IP数据输入至黑名单模型，若不含有攻击行为时，则将IP数据输入至白名单模型，并对所述白名单模型或黑名单模型进行模型更新。

4.根据权利要求3所述的基于表达式的web攻击行为检测方法，其特征在于：将所述访问请求通过waf虚拟机进行正则匹配的步骤还包括：当合法IP或添加标签IP的访问请求通过WAF虚拟机的表达式检测模型进行攻击行为检测后，发现有攻击行为，则向用户返回错误信息。

5.根据权利要求4所述的基于表达式的web攻击行为检测方法，其特征在于：所述攻击行为检测包括：SQL注入检测、跨站脚本XSS检测、身份认证和会话管理检测、失效的访问控制检测、安全配置错误检测、敏感信息泄露检测中的一种或多种攻击行为检测。

6.根据权利要求5所述的基于表达式的web攻击行为检测方法，其特征在于：所述步骤S103中，通过服务器向所述用户返回基于该访问请求的内容响应消息的步骤具体包括：

虚拟数据库接收来自虚拟机输出的基于表达式检测的无攻击行为输出结果；

提取输出结果中的相应的数据访问请求携带的内容的地址；

形成基于一优先级设置的请求队列，分别根据队列中的数据请求并在虚拟数据库中进行地址匹配查询，以获取基于地址的内容位置，向web服务器发送获取内容的请求；

Web服务器调取相应内容至虚拟数据库，并根据同一优先级顺序将内容发送至WAF虚拟机；

所述WAF虚拟机调用敏感数据检测模型进行内容检测，判断是否存在数据访问请求中携带的数据是否属于敏感数据，若不是敏感数据，则向用户返回基于请求的内容数据。

7.根据权利要求6所述的基于表达式的web攻击行为检测方法，其特征在于：所述优先级的设置包括基于时间、访问权限等级、数据获取重要性程度中的一种或多种。

8.根据权利要求6所述的基于表达式的web攻击行为检测方法，其特征在于：所述步骤S104中还包括，当所述IP在黑名单模型中匹配成功时则认为满足预设条件的IP，提取出来自该IP的访问请求的数据携带的特征数据，将所述特征数据输入至WAF虚拟机的表达式训练模型，判断该训练模型中是否已经存在该特征，若不存在，则存储该特征数据，同时更新训练模型，若存在该特征数据，则在表达式训练模型中针对该特征数据进行计数，最后向用户返回错误信息。