[发明专利]网络攻击的检测方法、装置、设备及存储介质

权利要求书

1.一种网络攻击的检测方法，其特征在于，所述方法包括：

接收终端设备发送的待检测请求，根据所述待检测请求确认函数调用信息；

当所述函数调用信息包含预设函数时，获取预设时间段内接收到的所有请求信息，并根据所述待检测请求及所述请求信息的相似度，识别所述请求信息中的初筛异常请求，以获取初筛异常请求集合；

调用探针函数分别获取所述待检测请求的关键属性信息以及所述初筛异常请求集合中每一所述初筛异常请求对应的关键属性信息；

根据所述待检测请求的关键属性信息确定所述待检测请求对应的第一行为特征，根据所述初筛异常请求集合中的每一所述初筛异常请求的关键属性信息确定每一所述初筛异常请求对应的第二行为特征；

根据所述第一行为特征和所述第二行为特征确定所述待检测请求是否为攻击请求；

其中，所述根据所述第一行为特征和所述第二行为特征确定所述待检测请求是否为攻击请求，包括：

融合所述第一行为特征及所述第二行为特征，以得到整体行为特征；

计算所述整体行为特征与攻击特征数据库的第一相似度，及所述整体行为特征与正常特征数据库的第二相似度；

当所述第一相似度大于第一阈值或所述第二相似度小于第二阈值时，则所述待检测请求为攻击请求。

2.根据权利要求1所述的方法，其特征在于，所述根据所述待检测请求及所述请求信息的相似度，识别所述请求信息中的初筛异常请求，以获取初筛异常请求集合，包括：

获取所述请求信息的第一字段信息；

根据所述第一字段信息获取所述待检测请求的第二字段信息；

计算所述第一字段信息和所述第二字段信息的相似度；

当所述相似度大于阈值时，将所述请求信息作为初筛异常请求，以得到初筛异常请求集合。

3.根据权利要求1所述的方法，其特征在于，所述根据所述待检测请求的关键属性信息确定所述待检测请求对应的第一行为特征，根据所述初筛异常请求集合中的每一所述初筛异常请求的关键属性信息确定每一所述初筛异常请求对应的第二行为特征，包括：

根据所述待检测请求对应的关键属性信息中每个字段的字符分布特征，提取所述第一行为特征；

根据所述初筛异常请求对应的关键属性信息中每个字段的字符分布特征，提取所述第二行为特征。

4.根据权利要求1至3任一项所述的方法，其特征在于，当所述待检测请求为攻击请求时，所述方法还包括：

对所述待检测请求和所述初筛异常请求集合对应的初筛异常请求进行拦截，并生成对应的预警信息。

5.根据权利要求1所述的方法，其特征在于，所述根据所述待检测请求确认函数调用信息之前，还包括：

分别获取监听器组件、过滤器组件以及伺服器组件中的至少一个预设函数；

分别对所述预设函数设置对应的探针函数。

6.根据权利要求5所述的方法，其特征在于，所述分别获取监听器组件、过滤器组件以及伺服器组件中的至少一个预设函数，包括：

获取设定时间段内的历史攻击请求数据和历史正常请求数据；

根据所述历史攻击请求数据获取攻击函数调用信息，并根据历史正常请求数据获取正常函数调用信息；

根据所述攻击函数调用信息和所述正常函数调用信息，分别获取监听器组件、过滤器组件以及伺服器组件中的至少一个函数为预设函数。