[发明专利]一种PHP威胁识别方法及装置

说明书

本申请提供了一种PHP威胁识别方法及装置，涉及数据处理技术领域。该方法为：获取待检测数据；利用设定的词法分析器从所述待检测数据中提取出目标特征，并识别出对所述目标特征感兴趣的规则类型对应的第一标记；利用所述目标特征匹配PHP威胁知识库，确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记，所述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的；根据所述第一标记和所述第二标记，确认所述待检测数据是否存在PHP威胁。由此，实现从待检测数据中识别出PHP威胁，从而提升了PHP危威胁检测性能。

技术领域

本申请涉及数据处理技术领域，尤其涉及一种PHP威胁识别方法及装置。

背景技术

超文本预处理器(PHP Hypertext Preprocessor，PHP)威胁检测是WAF(web应用防火墙)中非常重要的检测部分，业界主流的PHP威胁检测方案包括规则检测和AI检测。规则检测通常被认为是确定性检测，该检测方式检测速度快且具有很强的可解释性，但是容易绕过和漏报。相反，AI检测通常被认为是不确定性检测，AI检测的检测速度慢和威胁识别范围更多，但是可解释性较弱，容易误报。然而，随着互联网的web应用的高速发展，尤其是云场景下，PHP威胁数量在不断增多，而且需要保护的网站数量也在增多，无论是规则引擎，还是AI引擎都很难满足实时检测需求。

因此，如何从海量数据中识别出PHP威胁，以提高检测性能是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种PHP威胁识别方法及装置，用以从数据中识别出PHP威胁，以提高检测性能。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种PHP威胁识别方法，包括：

获取待检测数据；

利用设定的词法分析器从所述待检测数据中提取出目标特征，并识别出对所述目标特征感兴趣的规则类型对应的第一标记；

利用所述目标特征匹配PHP威胁知识库，确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记，所述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的；

根据所述第一标记和所述第二标记，确认所述待检测数据是否存在PHP威胁。

根据本申请的第二方面，提供一种PHP威胁识别装置，包括：

获取模块，用于获取待检测数据；

第一识别模块，用于利用设定的词法分析器从所述待检测数据中提取出目标特征，并识别出对所述目标特征感兴趣的规则类型对应的第一标记；

第二识别模块，用于利用所述目标特征匹配PHP威胁知识库，确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记，所述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的；

第三识别模块，用于根据所述第一标记和所述第二标记，确认所述待检测数据是否存在PHP威胁。

根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。

根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。

本申请实施例的有益效果：