[发明专利]一种提高Web应用层攻击检测准确率的方法及装置

权利要求书

1.一种提高Web应用层攻击检测准确率的方法，其特征在于，包括：

获取用户发送的目标请求信息，其中，所述目标请求信息为请求访问网络服务器的请求信息；

检测所述网络服务器基于所述目标请求信息触发的执行命令，所述执行命令为用于执行目标操作的命令，所述目标操作为基于所述目标请求信息生成响应消息的操作，所述执行命令包括：操作系统函数调用，SQL数据库语句调用，语言函数对象调用；

根据所述执行命令，确定所述目标请求信息是否存在攻击行为，其中，所述攻击行为为对Web应用层进行的攻击行为；

其中，检测所述网络服务器基于所述目标请求信息触发的执行命令，包括：

获取第二子脚本，其中，所述第二子脚本为用于识别所述目标请求信息触发的执行行为特征的脚本；

将所述第二子脚本嵌入在预设脚本中，以通过嵌入在所述预设脚本中的所述第二子脚本截取所述网络服务器在所述目标请求信息触发下的执行语句；

从截取到的所述执行语句中提取所述执行命令。

2.根据权利要求1所述的方法，其特征在于，根据所述执行命令，确定所述目标请求信息是否存在攻击行为，包括：

获取参照命令，其中，所述参照命令为预先存储在所述网络服务器中的执行命令；

将所述执行命令和所述参照命令进行对比，得到对比结果，其中，所述对比结果用于表示所述参照命令和所述执行命令的相似程度；

根据所述对比结果确定所述目标请求信息是否存在所述攻击行为。

3.根据权利要求1所述的方法，其特征在于，在确定所述目标请求信息是否存在攻击行为之后，所述方法还包括：

在确定出所述目标请求信息存在攻击行为的情况下，使所述网络服务器停止对所述目标请求信息的响应；

在确定出所述目标请求信息不存在攻击行为的情况下，使所述网络服务器向所述用户推送所述目标请求信息的响应信息。

4.根据权利要求1所述的方法，其特征在于，获取用户发送的目标请求信息，包括：

在所述网络服务器接收的全部信息中识别所述目标请求信息，并将所述目标请求信息进行截取；

其中，所述网络服务器中存储有所述用户预先发送的所述目标请求信息。

5.根据权利要求4所述的方法，其特征在于，在所述网络服务器接收的全部信息中识别所述目标请求信息之前，所述方法还包括：

获取第一子脚本，其中，所述第一子脚本为用于识别所述目标请求信息的传输协议特征的脚本；

将所述第一子脚本嵌入在预设脚本中，以使所述预设脚本在所述网络服务器接收的全部信息中识别所述目标请求信息。

6.一种提高Web应用层攻击检测准确率的装置，其特征在于，包括：

获取模块，用于获取用户发送的目标请求信息，其中，所述目标请求信息为请求访问网络服务器的请求信息；

检测模块，用于检测所述网络服务器基于所述目标请求信息触发的执行命令，所述执行命令为用于执行目标操作的命令，所述目标操作为基于所述目标请求信息生成响应消息的操作，所述执行命令包括：操作系统函数调用，SQL数据库语句调用，语言函数对象调用；

确定模块，用于根据所述执行命令，确定所述目标请求信息是否存在攻击行为，其中，所述攻击行为为对Web应用层进行的攻击行为；

所述检测模块，还用于：

获取第二子脚本，其中，所述第二子脚本为用于识别所述目标请求信息触发的执行行为特征的脚本；

将第二子脚本嵌入在预设脚本中，以通过嵌入在所述预设脚本中的所述第二子脚本截取所述网络服务器在所述目标请求信息触发下的执行语句；

从截取到的所述执行语句中提取所述执行命令。