[发明专利]一种Web攻击检测方法、装置、电子设备及存储介质

权利要求书

1.一种Web攻击检测方法，其特征在于，包括：

利用正常流量检测模型从接收到的流量中筛选得到可疑流量；

利用恶意流量检测模型检测所述可疑流量中是否存在Web攻击；

拦截存在Web攻击的可疑流量。

2.根据权利要求1所述的Web攻击检测方法，其特征在于，当所述正常流量检测模型基于全量正常字符串构建得到时，所述利用正常流量检测模型从待检测流量中筛选得到可疑流量，包括：

将包含有非所述正常字符串的流量标记为所述可疑流量。

3.根据权利要求1所述的Web攻击检测方法，其特征在于，当所述正常流量检测模型基于已知的用于实现Web攻击的恶意字符串构建得到时，所述利用正常流量检测模型从待检测流量中筛选得到可疑流量，包括：

将所述待检测流量中包含任意一个所述恶意字符串的流量标记为所述可疑流量。

4.根据权利要求1所述的Web攻击检测方法，其特征在于，所述利用恶意流量检测模型检测所述可疑流量中是否存在Web攻击，包括：

将所述可疑流量分发给多个不同的恶意流量检测模型，得到各检测结果；

根据各所述检测结果综合确定所述可疑流量中是否存在Web攻击。

5.根据权利要求4所述Web攻击检测方法，其特征在于，所述将所述可疑流量分发给多个不同的恶意流量检测模型，包括：

将所述可疑流量分发给对应不同Web攻击种类的多个恶意流量检测模型。

6.根据权利要求4所述的Web攻击检测方法，其特征在于，所述将所述可疑流量分发给多个不同的恶意流量检测模型，包括：

将所述可疑流量分发给对应相同Web攻击种类的按不同方式构建得到的多个恶意流量检测模型。

7.根据权利要求1至6任一项所述的Web攻击检测方法，其特征在于，还包括：

将被拦截的可疑流量标记为恶意流量；

从所述恶意流量中提取得到新恶意特征，并利用所述新恶意特征更新所述恶意流量检测模型的特征库。

8.一种Web攻击检测装置，其特征在于，包括：

可疑流量筛选单元，用于利用正常流量检测模型从待检测流量中筛选得到可疑流量；

Web攻击检测单元，用于利用恶意流量检测模型检测所述可疑流量中是否存在Web攻击；

恶意流量拦截单元，用于拦截存在Web攻击的可疑流量。

9.一种电子设备，其特征在于，包括：

存储器，用于存储Web攻击检测程序；

处理器，用于在执行所述Web攻击检测程序时实现如权利要求1至7任一项所述的Web攻击检测方法的各步骤。

10.一种可读存储介质，其特征在于，所述可读存储介质上存储有Web攻击检测程序，所述Web攻击检测程序在被处理器执行时可实现如权利要求1至7任一项所述的Web攻击检测方法的各步骤。