[发明专利]WEB攻击检测方法、设备、网站应用层防火墙及介质

权利要求书

1.一种WEB攻击检测方法，其特征在于，包括：

获取待识别报文；

对所述待识别报文进行攻击类型识别，得到攻击类型；

匹配与所述攻击类型对应的检测引擎，作为目标引擎；

调用所述目标引擎对所述待识别报文进行攻击检测，并将所述目标引擎输出的识别结果作为WEB攻击检测结果；

其中，对所述待识别报文进行攻击类型识别，包括：

根据预先配置的攻击类型字符串特征对所述待识别报文进行字符串匹配；

若根据所述字符串匹配得到匹配攻击类型，将得到的匹配攻击类型作为所述攻击类型识别的结果；

若根据所述字符串匹配未得到匹配攻击类型，调用攻击类型分类器对所述待识别报文进行字符特征识别，并将所述攻击类型分类器输出的分类结果作为所述攻击类型识别的结果；其中，所述攻击类型分类器为根据多类型攻击报文样本预训练的机器学习模型；

所述目标引擎中配置有针对所述攻击类型的多技术检测组合；其中，所述技术检测组合包括：多技术检测串联组合以及多技术检测并联组合；

将所述目标引擎输出的识别结果作为WEB攻击检测结果，包括：结合所述多技术检测组合的识别结果进行综合判定，生成所述WEB攻击检测结果。

2.如权利要求1所述的WEB攻击检测方法，其特征在于，在对所述待识别报文进行攻击类型识别之前，还包括：

存储历史识别报文的相关信息；其中，所述相关信息包括识别结果；

对所述待识别报文与所述历史识别报文进行相似度比对，得到比对结果；

若所述比对结果显示所述历史识别报文中存在与所述待识别报文匹配的报文，则将所述与所述待识别报文匹配的报文对应的识别结果，作为所述待识别报文的识别结果；

若所述比对结果显示所述历史识别报文中不存在与所述待识别报文匹配的报文，则执行对所述待识别报文进行攻击类型识别的步骤。

3.如权利要求2所述的WEB攻击检测方法，其特征在于，所述存储历史识别报文的相关信息，包括：存储历史识别报文的关键报文信息哈希值以及对应的识别结果；

则，对所述待识别报文与所述历史识别报文进行相似度比对，包括：

对所述待识别报文进行泛化处理，得到关键报文信息；

利用哈希算法计算所述关键报文信息的哈希值；

判断所述历史识别报文的关键报文信息哈希值中是否存在所述待识别报文的关键报文信息哈希值；

若存在，判定与所述待识别报文的关键报文信息哈希值相同的历史识别报文作为与所述待识别报文匹配的报文；

若不存在，判定所述历史识别报文中不存在与所述待识别报文匹配的报文。

4.如权利要求1所述的WEB攻击检测方法，其特征在于，在对所述待识别报文进行攻击类型识别之前，还包括：

对所述待识别报文基于预设非法字符串匹配规则进行字符串识别。

5.如权利要求1所述的WEB攻击检测方法，其特征在于，在调用所述目标引擎对所述待识别报文进行攻击检测之后，还包括：

若所述目标引擎未输出识别结果，则将所述待识别报文发送至云端进行检测，并将云端检测结果作为所述WEB攻击检测结果。