[发明专利]服务器攻击的检测方法和装置

权利要求书

1.一种服务器攻击的检测方法，包括：

通过实时应用程序自我保护系统RASP实时监听网页中的操作行为；

当所述RASP检测到操作行为中包含预定义的风险行为特征时，记录所述操作行为的行为数据，并将所述行为数据发送至风险评估模型；

通过所述风险评估模型对所述行为数据进行分析，得到分析结果；包括：获取依据所述行为数据得到的所述操作行为在所述网页中的上下文内容，通过所述风险评估模型对所述行为数据及所述上下文内容进行分析，得到分析结果；

若根据所述分析结果判定所述操作行为为攻击行为，则将所述网页标记为webshell文件。

2.根据权利要求1所述的方法，其特征在于，所述通过实时应用程序自我保护系统RASP实时监听网页中的操作行为，包括：

执行钩子函数调用RASP提供的保护程序，并通过所述RASP的保护程序实时监听网页中的操作行为。

3.根据权利要求1所述的方法，其特征在于，所述当所述RASP检测到操作行为中包含预定义的风险行为特征时，记录所述操作行为的行为数据，并将所述行为数据发送至风险评估模型，包括：

通过所述RASP分析所述操作行为中的执行函数；

当检测到所述执行函数中包含预定义的加密特征时，记录所述操作行为的行为数据，并将所述行为数据发送至风险评估模型。

4.根据权利要求3所述的方法，其特征在于，所述通过所述风险评估模型对所述行为数据进行分析，得到分析结果，包括：

通过所述风险评估模型获取所述行为数据中的执行函数；

对所述执行函数的参数进行字符串匹配或正则匹配运算，判断所述参数是否进行编码；

若所述参数进行编码，则获取所述执行函数的执行体特征，并根据所述执行体特征判断所述执行函数的执行体是否为陌生执行体，若所述执行体为陌生执行体，则所述操作行为为攻击行为，所述陌生执行体为不存在于数据库白名单中的执行体。

5.根据权利要求1所述的方法，其特征在于，所述获取依据所述行为数据得到的所述操作行为在所述网页中的上下文内容，包括：

根据所述行为数据中的代码行号及执行时间获取所述操作行为在所述网页中的上下文内容。

6.根据权利要求1所述的方法，其特征在于，所述通过所述风险评估模型对所述行为数据及所述上下文内容进行分析，得到分析结果，包括：

通过所述风险评估模型提取所述行为数据及所述上下文内容中的事件标识；

根据所述事件标识确定所述操作行为的执行轨迹；

计算所述执行轨迹的轨迹比率，若所述轨迹比率小于预设阈值，则所述操作行为为攻击行为。

7.根据权利要求1所述的方法，其特征在于，所述通过所述风险评估模型对所述行为数据及所述上下文内容进行分析，得到分析结果，包括：

将所述行为数据及所述上下文内容导入所述风险评估模型中预先建立的监督学习模型；

根据所述监督学习模型分析所述行为数据及所述上下文内容，得到所述监督学习模型输出的预测结果，若所述预测结果为异常，则所述操作行为为攻击行为。

8.根据权利要求1至7任一所述的方法，其特征在于，在所述若根据分析结果判定所述操作行为为攻击行为，则标记所述网页为webshell文件的步骤之后，还包括：

通过RASP将标记为webshell文件的网页移动到隔离区中。