[发明专利]一种Web攻击检测方法、装置、电子设备及存储介质

说明书

本申请公开了一种Web攻击检测方法，包括：利用正常流量检测模型从接收到的流量中筛选得到可疑流量；利用恶意流量检测模型检测所述可疑流量中是否存在Web攻击；拦截存在Web攻击的可疑流量。本申请通过首先利用正常流量检测模型对所有接收到的流量进行筛选，得以滤除了其中包含的正常流量，因此后续通过恶意流量检测模型进行检测的流量仅剩下被正常流量检测模型判别为非正常流量的可疑流量的部分，使得进行检测的流量的数据量得到了减少，从而得以缩短检测耗时、为用户带来更好的使用体验。本申请还同时公开了一种Web攻击检测装置、电子设备及可读存储介质，具有上述有益效果。

技术领域

本申请涉及攻击检测技术领域，特别涉及一种Web攻击检测方法、装置、电子设备及可读存储介质。

背景技术

Web服务可以认为是一种程序，它使用HTTP协议将网站中的文件提供给用户，以响应他们的请求。这些请求由计算机中的HTTP客户端转发。为Web服务提供硬件基础的专用计算机和设备称为Web服务器。从这种网络设计中可以看到，Web服务器控制着大量信息。如果一个人拥有进入Web服务器修改数据的能力，那他就可以对该Web服务器所服务的信息和网站做任何他想做的事情。

常见的Web攻击有以下几种：目录遍历攻击、拒绝服务攻击、域名劫持、嗅探、网络钓鱼、域欺骗和Web破坏。

现有相关技术为了防范Web攻击，大多数通过强规则引擎或基于机器学习的检测方式来对流量进行检测，然而申请人在研究的过程中发现无论哪种其检测的对象都是所有访问流量，对于访问流量大的Web服务器需要耗费大量的计算资源，且带来较长的检测耗时，从而影响用户的使用体验。

因此，如何克服现有技术存在的各项技术缺陷，是本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种Web攻击检测方法、装置、电子设备及可读存储介质，旨在减少需要耗费的计算资源、缩短检测耗时、提升用户的使用体验。

为实现上述目的，本申请首先提供了一种Web攻击检测方法，包括：

利用正常流量检测模型从接收到的流量中筛选得到可疑流量；

利用恶意流量检测模型检测所述可疑流量中是否存在Web攻击；

拦截存在Web攻击的可疑流量。

可选的，当所述正常流量检测模型基于全量正常字符串构建得到时，所述利用正常流量检测模型从待检测流量中筛选得到可疑流量，包括：

将包含有非所述正常字符串的流量标记为所述可疑流量。

可选的，当所述正常流量检测模型基于已知的用于实现Web攻击的恶意字符串构建得到时，所述利用正常流量检测模型从待检测流量中筛选得到可疑流量，包括：

将所述待检测流量中包含任意一个所述恶意字符串的流量标记为所述可疑流量。

可选的，所述利用恶意流量检测模型检测所述可疑流量中是否存在Web攻击，包括：

将所述可疑流量分发给多个不同的恶意流量检测模型，得到各检测结果；

根据各所述检测结果综合确定所述可疑流量中是否存在Web攻击。

可选的，所述将所述可疑流量分发给多个不同的恶意流量检测模型，包括：

将所述可疑流量分发给对应不同Web攻击种类的多个恶意流量检测模型。

可选的，所述将所述可疑流量分发给多个不同的恶意流量检测模型，包括：

将所述可疑流量分发给对应相同Web攻击种类的按不同方式构建得到的多个恶意流量检测模型。

可选的，该Web攻击检测方法还包括：