[发明专利]网络攻击的检测方法、装置、设备及存储介质

说明书

本申请涉及人工智能技术领域，提供一种网络攻击的检测方法、装置、设备及存储介质，网络攻击的检测方法包括：接收终端设备发送的待检测请求，根据待检测请求确认函数调用信息；当函数调用信息包含预设函数时，调用探针函数获取待检测请求及初筛异常请求集合中每一初筛异常请求对应的关键属性信息；根据关键属性信息分别得到第一行为特征及第二行为特征；根据第一行为特征和第二行为特征确定待检测请求是否为攻击请求。以在攻击请求还未与服务器发生交互时便可进行识别，进而对攻击请求进行拦截，有效地防止无文件落地的木马对服务器造成损害。且通过对待检测请求和初筛异常请求集合进行综合分析，提高了攻击检测的准确性。

技术领域

本申请涉及人工智能技术领域，尤其涉及一种网络攻击的检测方法、装置、设备及存储介质。

背景技术

内存马是无文件攻击的一种常用手段，通过向网络(web)服务器中写入恶意后门和恶意代码，使入侵者可通过浏览器直接访问webshell以得到命令执行环境，进而通过该webshell在被入侵的web服务器中上传或下载文件、修改文件内容、查看数据库、执行任意程序命令等。

由于webshell与web服务器网站目录下正常的网页脚本文件混在—起，具有极强的隐蔽性，不易被发现。且如果攻击者未产生进一步的动作以触发该webshell文件中恶意代码，则该恶意代码会一直作为普通文件代码存储在被攻击者的设备中。因此，通过现有的方式很难识别出webshell文件。

发明内容

本申请提供了一种网络攻击的检测方法、装置、设备及存储介质，旨在解决难以有效地识别web服务器上无文件落地的网络攻击的问题。

第一方面，本申请提供一种网络攻击的检测方法，包括：

接收终端设备发送的待检测请求，根据待检测请求确认函数调用信息；当函数调用信息包含预设函数时，获取预设时间段内接收到的所有请求信息，并根据待检测请求及请求信息的相似度，识别请求信息中的初筛异常请求，以获取初筛异常请求集合；调用探针函数获取待检测请求，以及初筛异常请求集合中每一初筛异常请求对应的关键属性信息；根据关键属性信息确定待检测请求对应的第一行为特征和初筛异常请求集合中，每一初筛异常请求对应的第二行为特征；根据第一行为特征和第二行为特征确定待检测请求是否为攻击请求。

第二方面，本申请还提供一种网络攻击的检测装置，包括：

调用信息获取模块，用于接收终端设备发送的待检测请求，根据待检测请求确认函数调用信息；初筛异常请求获取模块，当函数调用信息包含预设函数时，获取预设时间段内接收到的所有请求信息，并根据待检测请求及请求信息的相似度，识别请求信息中的初筛异常请求，以获取初筛异常请求集合；关键属性信息获取模块，用于调用探针函数获取待检测请求，以及初筛异常请求集合中每一初筛异常请求对应的关键属性信息；行为特征获取模块，用于根据关键属性信息确定待检测请求对应的第一行为特征和初筛异常请求集合中，每一初筛异常请求对应的第二行为特征；结果获取模块，用于根据第一行为特征和第二行为特征确定待检测请求是否为攻击请求。

第三方面，本申请还提供一种计算机设备，包括存储器和处理器；存储器用于存储计算机程序；处理器用于执行的计算机程序并在执行的计算机程序时实现本申请实施例提供的任一项的网络攻击的检测方法。

第四方面，本申请还提供一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时使处理器实现本申请实施例提供的任一项的网络攻击的检测方法。