[发明专利]一种防止unicode编码绕过的检测方法和装置

权利要求书

1.一种防止unicode编码绕过的检测方法，其特征在于，方法包括：

根据预先定义的规则获取匹配数据区；

判断该匹配数据区是否存在预先设置的第一关键字；

当该匹配数据区包括第一关键字时，对该匹配数据区进行unicode解码还原得到目标匹配数据区；

在该目标匹配数据区检测攻击特征行为。

2.根据权利要求1所述的防止unicode编码绕过的检测方法，其特征在于，所述预先定义的规则包括：unicode编码前的攻击特征序列和unicode_decode解码模板。

3.根据权利要求2所述的防止unicode编码绕过的检测方法，其特征在于，所述对该匹配数据区进行unicode解码还原得到目标匹配数据区，包括：

根据预先定义的规则中的unicode_decode解码模板对匹配数据区进行unicode解码还原；

把unicode解码还原后的数据区作为目标匹配数据区。

4.根据权利要求3所述的防止unicode编码绕过的检测方法，其特征在于，所述unicode_decode解码模板包括：第一关键字unicode_decode和第二关键字unicode_data；

其中，第一关键字unicode_decode用于指示对指定的匹配数据区进行unicode解码操作，第二关键字unicode_data是与第一关键字unicode_decode配合使用的字符。

5.根据权利要求1所述的防止unicode编码绕过的检测方法，其特征在于，所述判断该匹配数据区是否存在预先设置的第一关键字后，方法还包括：

当该匹配数据区未包括unicode_decode第一关键字时，将所获取的匹配数据区作为目标匹配数据区。

6.根据权利要求5所述的防止unicode编码绕过的检测方法，其特征在于，在该目标匹配数据区检测攻击特征行为后，方法还包括：

判断是否对攻击特征行为匹配成功；

如果匹配成功，则把匹配成功的规则封装告警事件日志上报。

7.一种防止unicode编码绕过的检测装置，包括：存储器和处理器；其特征在于：

所述存储器，用于保存用于防止unicode编码绕过的检测的程序；

所述处理器，用于读取执行所述用于防止unicode编码绕过的检测的程序，执行如下操作：

根据预先定义的规则获取匹配数据区；

判断该匹配数据区是否存在预先设置的第一关键字；

当该匹配数据区包括第一关键字时，对该匹配数据区进行unicode解码还原得到目标匹配数据区；

在该目标匹配数据区检测攻击特征行为。

8.根据权利要求7所述的防止unicode编码绕过的检测装置，其特征在于，

所述预先定义的规则包括：unicode编码前的攻击特征序列和unicode_decode解码模板；

所述对该匹配数据区进行unicode解码还原得到目标匹配数据区，包括：

根据预先定义的规则中的unicode_decode解码模板对匹配数据区进行unicode解码还原；

把unicode解码还原后的数据区作为目标匹配数据区。

9.根据权利要求8所述的防止unicode编码绕过的检测装置，其特征在于，所述unicode_decode解码模板包括：第一关键字unicode_decode和第二关键字unicode_data；

其中，第一关键字unicode_decode用于指示对指定的匹配数据区进行unicode解码操作，第二关键字unicode_data是与第一关键字unicode_decode配合使用的字符；

所述判断该匹配数据区是否存在预先设置的第一关键字后，方法还包括：

当该匹配数据区未包括unicode_decode第一关键字时，将所获取的匹配数据区作为目标匹配数据区。

10.根据权利要求9所述的防止unicode编码绕过的检测装置，其特征在于，所述处理器读取执行所述用于防止unicode编码绕过的检测的程序，还执行如下操作：

在该目标匹配数据区检测攻击特征行为后，判断是否对攻击特征行为匹配成功；

如果匹配成功，则把匹配成功的规则封装告警事件日志上报。