技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊行為檢測方法及終端設(shè)備。

背景技術(shù)

網(wǎng)絡(luò)攻擊作為引發(fā)網(wǎng)絡(luò)安全危機的常見因素，是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)進行惡意攻擊的行為，網(wǎng)絡(luò)攻擊行為很容易導致網(wǎng)絡(luò)異常，甚至奔潰，嚴重影響了網(wǎng)絡(luò)的正常使用。

現(xiàn)有技術(shù)中有通過各種正則表達式來對訪問請求逐一進行匹配的網(wǎng)絡(luò)攻擊行為檢測方法，但隨著人們通過網(wǎng)絡(luò)進行工作和學習的機會不斷增加，網(wǎng)絡(luò)訪問請求的量級也越來越大，使得這種方法發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的耗時越來越長，導致難以快速檢測到這些訪問請求中的網(wǎng)絡(luò)攻擊行為。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實施例提供了一種網(wǎng)絡(luò)攻擊行為檢測方法及終端設(shè)備，以解決現(xiàn)有技術(shù)中發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的耗時越來越長，難以快速檢測到這些訪問請求中的網(wǎng)絡(luò)攻擊行為的問題。

本發(fā)明實施例的第一方面提供了一種網(wǎng)絡(luò)攻擊行為檢測方法，可以包括：

接收訪問者發(fā)送的對目標網(wǎng)絡(luò)系統(tǒng)的訪問請求；

從所述訪問請求中解析出所述訪問者的IP地址；

在預設(shè)的IP地址白名單中查找所述訪問者的IP地址；

若在預設(shè)的IP地址白名單中未查找到所述訪問者的IP地址，則從所述訪問請求中解析出請求類型和請求內(nèi)容；

從預設(shè)的正則表達式資源庫中查找與所述請求類型對應的若干正則表達式；

根據(jù)所述若干正則表達式判斷所述請求內(nèi)容中是否包含對所述目標網(wǎng)絡(luò)系統(tǒng)的攻擊內(nèi)容；

若所述請求內(nèi)容中包含對所述目標網(wǎng)絡(luò)系統(tǒng)的攻擊內(nèi)容，則判定所述訪問請求為網(wǎng)絡(luò)攻擊行為。

本發(fā)明實施例的第二方面提供了一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)如下步驟：

接收訪問者發(fā)送的對目標網(wǎng)絡(luò)系統(tǒng)的訪問請求；

從所述訪問請求中解析出所述訪問者的IP地址；

在預設(shè)的IP地址白名單中查找所述訪問者的IP地址；

若在預設(shè)的IP地址白名單中未查找到所述訪問者的IP地址，則從所述訪問請求中解析出請求類型和請求內(nèi)容；

從預設(shè)的正則表達式資源庫中查找與所述請求類型對應的若干正則表達式；

根據(jù)所述若干正則表達式判斷所述請求內(nèi)容中是否包含對所述目標網(wǎng)絡(luò)系統(tǒng)的攻擊內(nèi)容；

若所述請求內(nèi)容中包含對所述目標網(wǎng)絡(luò)系統(tǒng)的攻擊內(nèi)容，則判定所述訪問請求為網(wǎng)絡(luò)攻擊行為。

本發(fā)明實施例的第三方面提供了一種網(wǎng)絡(luò)攻擊行為檢測終端設(shè)備，包括存儲器、處理器以及存儲在所述存儲器中并可在所述處理器上運行的計算機程序，所述處理器執(zhí)行所述計算機程序時實現(xiàn)如下步驟：

接收訪問者發(fā)送的對目標網(wǎng)絡(luò)系統(tǒng)的訪問請求；

從所述訪問請求中解析出所述訪問者的IP地址；

在預設(shè)的IP地址白名單中查找所述訪問者的IP地址；

若在預設(shè)的IP地址白名單中未查找到所述訪問者的IP地址，則從所述訪問請求中解析出請求類型和請求內(nèi)容；

從預設(shè)的正則表達式資源庫中查找與所述請求類型對應的若干正則表達式；

根據(jù)所述若干正則表達式判斷所述請求內(nèi)容中是否包含對所述目標網(wǎng)絡(luò)系統(tǒng)的攻擊內(nèi)容；

若所述請求內(nèi)容中包含對所述目標網(wǎng)絡(luò)系統(tǒng)的攻擊內(nèi)容，則判定所述訪問請求為網(wǎng)絡(luò)攻擊行為。

本發(fā)明實施例與現(xiàn)有技術(shù)相比存在的有益效果是：本發(fā)明實施例接收訪問者發(fā)送的對目標網(wǎng)絡(luò)系統(tǒng)的訪問請求，并從所述訪問請求中解析出所述訪問者的IP地址，然后通過預設(shè)的IP地址白名單對這些訪問請求進行第一輪的篩選，對白名單中的IP地址無需做網(wǎng)絡(luò)攻擊行為檢測，只對不在白名單中的IP地址網(wǎng)絡(luò)攻擊行為檢測，從而節(jié)省了不必要的檢測時間。對于不在白名單中的IP地址，從所述訪問請求中解析出請求類型和請求內(nèi)容，然后從預設(shè)的正則表達式資源庫中查找與所述請求類型對應的若干正則表達式，根據(jù)所述若干正則表達式判斷所述請求內(nèi)容中是否包含對所述目標網(wǎng)絡(luò)系統(tǒng)的攻擊內(nèi)容，若所述請求內(nèi)容中包含對所述目標網(wǎng)絡(luò)系統(tǒng)的攻擊內(nèi)容，則判定所述訪問請求為網(wǎng)絡(luò)攻擊行為。由于只使用與所述請求類型對應的若干正則表達式，而非使用正則表達式資源庫中的所有正則表達式，從而大大減少了進行正則匹配的時間，可以快速檢測到訪問請求中的網(wǎng)絡(luò)攻擊行為。

附圖說明