本申請公開了一種Web攻擊檢測方法，包括：利用正常流量檢測模型從接收到的流量中篩選得到可疑流量；利用惡意流量檢測模型檢測所述可疑流量中是否存在Web攻擊；攔截存在Web攻擊的可疑流量。本申請通過首先利用正常流量檢測模型對所有接收到的流量進行篩選，得以濾除了其中包含的正常流量，因此后續(xù)通過惡意流量檢測模型進行檢測的流量僅剩下被正常流量檢測模型判別為非正常流量的可疑流量的部分，使得進行檢測的流量的數(shù)據(jù)量得到了減少，從而得以縮短檢測耗時、為用戶帶來更好的使用體驗。本申請還同時公開了一種Web攻擊檢測裝置、電子設備及可讀存儲介質(zhì)，具有上述有益效果。

技術領域

本申請涉及攻擊檢測技術領域，特別涉及一種Web攻擊檢測方法、裝置、電子設備及可讀存儲介質(zhì)。

背景技術

Web服務可以認為是一種程序，它使用HTTP協(xié)議將網(wǎng)站中的文件提供給用戶，以響應他們的請求。這些請求由計算機中的HTTP客戶端轉(zhuǎn)發(fā)。為Web服務提供硬件基礎的專用計算機和設備稱為Web服務器。從這種網(wǎng)絡設計中可以看到，Web服務器控制著大量信息。如果一個人擁有進入Web服務器修改數(shù)據(jù)的能力，那他就可以對該Web服務器所服務的信息和網(wǎng)站做任何他想做的事情。

常見的Web攻擊有以下幾種：目錄遍歷攻擊、拒絕服務攻擊、域名劫持、嗅探、網(wǎng)絡釣魚、域欺騙和Web破壞。

現(xiàn)有相關技術為了防范Web攻擊，大多數(shù)通過強規(guī)則引擎或基于機器學習的檢測方式來對流量進行檢測，然而申請人在研究的過程中發(fā)現(xiàn)無論哪種其檢測的對象都是所有訪問流量，對于訪問流量大的Web服務器需要耗費大量的計算資源，且?guī)磔^長的檢測耗時，從而影響用戶的使用體驗。

因此，如何克服現(xiàn)有技術存在的各項技術缺陷，是本領域技術人員亟待解決的問題。

發(fā)明內(nèi)容

本申請的目的是提供一種Web攻擊檢測方法、裝置、電子設備及可讀存儲介質(zhì)，旨在減少需要耗費的計算資源、縮短檢測耗時、提升用戶的使用體驗。

為實現(xiàn)上述目的，本申請首先提供了一種Web攻擊檢測方法，包括：

利用正常流量檢測模型從接收到的流量中篩選得到可疑流量；

利用惡意流量檢測模型檢測所述可疑流量中是否存在Web攻擊；

攔截存在Web攻擊的可疑流量。

可選的，當所述正常流量檢測模型基于全量正常字符串構建得到時，所述利用正常流量檢測模型從待檢測流量中篩選得到可疑流量，包括：

將包含有非所述正常字符串的流量標記為所述可疑流量。

可選的，當所述正常流量檢測模型基于已知的用于實現(xiàn)Web攻擊的惡意字符串構建得到時，所述利用正常流量檢測模型從待檢測流量中篩選得到可疑流量，包括：

將所述待檢測流量中包含任意一個所述惡意字符串的流量標記為所述可疑流量。

可選的，所述利用惡意流量檢測模型檢測所述可疑流量中是否存在Web攻擊，包括：

將所述可疑流量分發(fā)給多個不同的惡意流量檢測模型，得到各檢測結(jié)果；

根據(jù)各所述檢測結(jié)果綜合確定所述可疑流量中是否存在Web攻擊。

可選的，所述將所述可疑流量分發(fā)給多個不同的惡意流量檢測模型，包括：

將所述可疑流量分發(fā)給對應不同Web攻擊種類的多個惡意流量檢測模型。

可選的，所述將所述可疑流量分發(fā)給多個不同的惡意流量檢測模型，包括：

將所述可疑流量分發(fā)給對應相同Web攻擊種類的按不同方式構建得到的多個惡意流量檢測模型。

可選的，該Web攻擊檢測方法還包括：