[发明专利]指令判断方法及可读存储介质

说明书

本发明提供了一种指令判断方法及可读存储介质。其中，所述指令判断方法包括如下步骤：基于数据生成子方法的得到第一链式数据和第二链式数据；基于所述第一链式数据得到数据过滤集；判断所述第二链式数据是否属于所述数据过滤集，以判断当前的所述请求指令是否为异常请求。其中，所述数据生成子方法包括：基于拆分、映射和链接操作将请求指令转换为一条链式数据。如此配置，通过所述数据生成子方法将所述请求指令进行了合理的转化，在保留了原有请求指令全部信息的前提下，简化了判断依据，并隐藏了背后的映射逻辑，在效率、机制、通用性和反逆向方面均有显著提升，解决了现有技术中存在的问题。

技术领域

本发明涉及一种数据安全检测技术，特别涉及一种指令判断方法及可读存储介质。

背景技术

WEB(全球广域网，也称为万维网)日志记录了用户对于站点的请求。通过对日志中访问URL(Uniform Resource Locator，统一资源定位系统)的解析，能够检测出大量的恶意行为：如XSS(Cross Site Scripting，跨站脚本攻击，其中，用X代替Cross以防止与Cascading Style Sheets的简称CSS混淆)、SQL(一种数据库语言)注入等。但是，当WEB访问量处于较大的数量级时，检测模块的处理速度会落后于日志的产生速度，导致无法实时的检测出恶意行为。因此需要一种算法能够以极快的速度将正常的访问请求和异常访问请求区分开。

目前，WEB日志领域常见的过滤技术是基于指定字符串的简单截断。比如，针对站点的目录进行简单的分析。比如：“www.test.com/s？ie＝utf-8f＝8rsv_bp＝1”，这类站点的请求由两部分组成：问号之前的网站目录和问号之后的请求参数。该技术将特殊字符“？”之前的部分作为站点的目录之一。统计一段时间的网站请求后，对目录的访问频次进行排序，指定一个与之后，对访问不常见的站点目录的请求直接划入异常请求流量。

上述方案存在如下缺陷：

1.过滤机制过于简单，主要是特定字符、特定路径。恶意用户经过简单的测试就可发现。

2.恶意用户能够轻易绕过这种过滤机制，并逃避后续的检测流程，实现攻击目的。

3.在流量过滤的阶段中，不考虑请求参数。

4.部分站点请求不存在目录结构和请求参数的固定分隔符。

总之，现有技术中的异常请求判断方法存在效率、机制、通用性和反逆向方面效果不够理想的问题。

发明内容

本发明提供了一种指令判断方法及可读存储介质，以解决现有技术中的异常请求判断方法存在效率、机制、通用性和反逆向方面效果不够理想的问题。

为了解决上述技术问题，本发明提供了一种指令判断方法，所述指令判断方法包括如下步骤：基于数据生成子方法将历史的请求指令转化为第一链式数据；分析每条所述第一链式数据的出现比率，得到数据过滤集；基于所述数据生成子方法将当前的所述请求指令转化为第二链式数据；以及，判断所述第二链式数据是否属于所述数据过滤集，若是，判断当前的所述请求指令为正常请求，否则，判断当前的所述请求指令为异常请求。

其中，所述数据生成子方法包括：基于分隔符对所述请求指令进行拆分得到字符串单元；按照预设规则将每个所述字符串单元映射为一个标识符串；以及，按照所述字符串单元在所述请求指令中的顺序，将所述标识符串连接为一条链式数据。

可选的，所述数据过滤集以树的数据格式进行存储和调用，所述第一链式数据和所述第二链式数据对应于所述数据过滤集的路径，所述数据过滤集的路径均从根节点开始，并结束于所述数据过滤集的叶子节点。

可选的，所述请求指令为WEB请求指令；在所述按照第一预设规则对所述请求指令进行拆分得到字符串单元之前，所述数据生成子方法还包括：若所述请求指令的格式不符合URL编码规范，则将所述请求指令的格式转化为符合URL编码规范的格式。