[发明专利]拟态防御处理方法、装置、电子设备和介质

权利要求书

1.一种拟态防御处理方法，其特征在于，所述方法包括：

接收超文本传输协议http请求；其中，所述http请求包括报文特征；

将所述报文特征输入预先训练好的漏洞场景分析器中，根据所述漏洞场景分析器的输出得到所述报文特征关联的漏洞场景标识；

获取所述报文特征关联的漏洞场景标识的候选异构执行体集合；

将所述候选异构执行体集合中差异度权值最大的异构执行体集合作为所述http请求的异构执行体集合；

其中，所述异构执行体集合中包括至少两个异构执行体；

将所述http请求分别分发给所述异构执行体集合中的每一异构执行体，以使所述每一异构执行体处理所述http请求；接收所述每一异构执行体返回的响应信息；

根据所述响应信息，确定所述http请求的合法性决策结果。

2.根据权利要求1所述的方法，其特征在于，所述将所述报文特征输入预先训练好的漏洞场景分析器中之前，所述方法还包括：

获取目标http请求的报文特征，以及确定所述目标http请求的漏洞场景标识；

根据所述目标http请求的报文特征和所述目标http请求的漏洞场景标识，训练得到漏洞场景分析器。

3.根据权利要求1所述的方法，其特征在于，所述根据所述响应信息，确定所述http请求的合法性决策结果，包括：

判断所述每一异构执行体返回的响应信息是否相同；

若是，则确定所述http请求的合法性决策结果为合法；

若否，则确定所述http请求的合法性决策结果为非法。

4.根据权利要求3所述的方法，其特征在于，所述确定所述http请求的合法性决策结果为合法之后，所述方法还包括：

检测到所述http请求为攻击请求，根据第一更新规则更新所述http请求的异构执行体集合的差异度权值；

所述确定所述http请求的合法性决策结果为非法之后，所述方法还包括：

根据第二更新规则更新所述http请求的异构执行体集合的差异度权值。

5.根据权利要求4所述的方法，其特征在于，所述检测到所述http请求为攻击请求之前，所述方法还包括：

将所述http请求的报文传输信息与预设信息进行匹配，得到匹配值；其中，所述报文传输信息包括请求报文、响应报文和服务日志；

若所述匹配值大于匹配值阈值，则确定所述http请求为攻击请求。

6.根据权利要求4所述的方法，其特征在于，所述根据第一更新规则更新所述http请求的异构执行体集合的差异度权值，包括：

将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值；

所述根据第二更新规则更新所述http请求的异构执行体集合的差异度权值，包括：

将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值；

将异构执行体集合中返回响应元素不同的异构执行体之间的差异度权值增大第一权值阈值。

7.一种拟态防御处理装置，其特征在于，所述装置包括：

请求接收模块，用于接收超文本传输协议http请求；其中，所述http请求包括报文特征；

异构执行体集合确定模块，用于将所述报文特征输入预先训练好的漏洞场景分析器中，根据所述漏洞场景分析器的输出得到所述报文特征关联的漏洞场景标识；获取所述报文特征关联的漏洞场景标识的候选异构执行体集合；将所述候选异构执行体集合中差异度权值最大的异构执行体集合作为所述http请求的异构执行体集合；其中，所述异构执行体集合中包括至少两个异构执行体；

请求发送和信息接收模块，用于将所述http请求分别分发给所述异构执行体集合中的每一异构执行体，以使所述每一异构执行体处理所述http请求；接收所述每一异构执行体返回的响应信息；

结果确定模块，用于根据所述响应信息，确定所述http请求的合法性决策结果。