[发明专利]WEB攻击检测方法、设备、网站应用层防火墙及介质

说明书

本发明公开了一种WEB攻击检测方法，预先配置了各攻击类型对应的检测引擎，在识别到当前待识别的报文的攻击类型后，自动匹配与当前攻击类型对应的检测引擎，作为目标引擎；调用所述目标引擎对所述待识别报文进行攻击检测，避免了调用各检测引擎对当前报文进行逐一检测识别过程所带来的资源浪费的情况，实现了检测过程调用的资源控制，同时也提升了检测过程的效率，另外，将所述目标引擎输出的识别结果作为WEB攻击检测结果，也避免了多引擎检测结果同时分析对于整体识别结果带来的误报情况，保证了识别准确率。本发明还提供了一种网站应用层防火墙、计算机设备及可读存储介质，具有上述有益效果。

技术领域

本发明涉及网络安全领域，特别涉及一种WEB攻击检测方法、网站应用层防火墙、计算机设备及可读存储介质。

背景技术

随着WEB应用的普及，它也吸引了攻击者越来越多的注意力，例如，SQL注入、XSS、命令注入等安全事件频繁发生，WEB攻击已经成为主要的攻击目标。为了防御这些攻击，网站应用层防火墙(WAF)也应运而生，并成为了应对WEB攻击的主要安全产品。

而这些网站应用层防火墙中传统是基于规则的检测方案，通过规则匹配报文的字符串，满足一定特征则判黑拦截。然而，规则无法应对未知威胁。为此，WAF厂商开始设计基于机器学习模型或者语义分析的检测方案，然而，这些方案一般是直接使用多个威胁检测引擎应对各报文，各报文需要逐一经过各威胁检测引擎的检测才能根据各检测引擎的输出结果进行WEB攻击的判断，导致了计算资源的大量占用，容易引发资源浪费，同时多个输出结果对于WEB攻击的同时分析，若其中一个或多个存在检测误差，则可能会导致整体分析结果的错误，容易造成误报率的升高。

因此，如何在提升WEB攻击识别精度的同时控制识别过程的资源占用，是本领域技术人员需要解决的技术问题。

发明内容

本发明的目的是提供一种WEB攻击检测方法，该方法可以在提升WEB攻击识别精度的同时控制识别过程的资源占用；本发明的另一目的是提供一种网站应用层防火墙、计算机设备及可读存储介质。

为解决上述技术问题，本发明提供一种WEB攻击检测方法，包括：

获取待识别报文；

对所述待识别报文进行攻击类型识别，得到攻击类型；

匹配与所述攻击类型对应的检测引擎，作为目标引擎；

调用所述目标引擎对所述待识别报文进行攻击检测，并将所述目标引擎输出的识别结果作为WEB攻击检测结果。

可选地，对所述待识别报文进行攻击类型识别，包括：

根据预先配置的攻击类型字符串特征对所述待识别报文进行字符串匹配；

若根据所述字符串匹配得到匹配攻击类型，将得到的匹配攻击类型作为所述攻击类型识别的结果；

若根据所述字符串匹配未得到匹配攻击类型，调用攻击类型分类器对所述待识别报文进行字符特征识别，并将所述攻击类型分类器输出的分类结果作为所述攻击类型识别的结果；其中，所述攻击类型分类器为根据多类型攻击报文样本预训练的机器学习模型。

可选地，

所述目标引擎中配置有针对所述攻击类型的多技术检测组合；其中，所述技术检测组合包括：多技术检测串联组合以及多技术检测并联组合；

则相应地，将所述目标引擎输出的识别结果作为WEB攻击检测结果，包括：结合所述多技术检测组合的识别结果进行综合判定，生成所述WEB攻击检测结果。

可选地，在对所述待识别报文进行攻击类型识别之前，还包括：

存储历史识别报文的相关信息；其中，所述相关信息包括识别结果；