本申請公開了一種web攻擊檢測方法、裝置及一種電子設備和計算機可讀存儲介質，該方法包括：獲取惡意訪問連接，基于所述惡意訪問連接中訪問請求的上下文特征構建惡意訪問模型；當接收到目標訪問請求時，確定所述目標訪問請求所屬的目標訪問連接；將所述目標訪問連接與所述惡意訪問模型進行匹配，并基于匹配結果得到所述目標訪問請求的檢測結果。本申請提供的web攻擊檢測方法，考慮到整個訪問連接中各訪問請求之間的上下文關系，可以在大幅提升web攻擊檢出率的同時，保證低誤報率。

技術領域

本申請涉及計算機技術領域，更具體地說，涉及一種web攻擊檢測方法、裝置及一種電子設備和一種計算機可讀存儲介質。

背景技術

由于web應用的普及十分廣泛，使得web應用成為攻擊者主要的攻擊目標。目前，網站主要采用WAF(中文全稱：Web應用防護系統，英文全稱：Web Application Firewall)應對web攻擊。在相關技術中，WAF基于單個訪問請求進行web攻擊檢測攔截，其對于特征不是很明顯的web攻擊檢測能力弱。

因此，如何提高對web攻擊的檢測能力是本領域技術人員需要解決的技術問題。

發明內容

本申請的目的在于提供一種web攻擊檢測方法、裝置及一種電子設備和一種計算機可讀存儲介質，提高了對web攻擊的檢測能力。

為實現上述目的，本申請提供了一種web攻擊檢測方法，包括：

獲取惡意訪問連接，基于所述惡意訪問連接中訪問請求的上下文特征構建惡意訪問模型；

當接收到目標訪問請求時，確定所述目標訪問請求所屬的目標訪問連接；

將所述目標訪問連接與所述惡意訪問模型進行匹配，并基于匹配結果得到所述目標訪問請求的檢測結果。

其中，所述基于所述惡意訪問連接中訪問請求的上下文特征構建惡意訪問模型，包括：

識別所述惡意訪問連接中每個訪問請求的請求類型；

根據每個所述訪問請求的請求類型構建所述惡意訪問連接對應的惡意操作序列；

確定所述惡意訪問模型為所述惡意操作序列；

相應的，將所述目標訪問連接與所述惡意訪問模型進行匹配，并基于匹配結果得到所述目標訪問請求的檢測結果，包括：

構建所述目標訪問連接對應的目標操作序列，將所述目標操作序列與所述惡意操作序列進行匹配得到所述目標訪問請求的檢測結果。

其中，將所述目標操作序列與所述惡意操作序列進行匹配得到所述目標訪問請求的檢測結果，包括：

將所述目標操作序列與所述惡意操作序列進行匹配得到公共子串；

當所述公共子串的長度大于第一預設值時，判定所述目標訪問請求為惡意訪問請求。

其中，將所述目標操作序列與所述惡意操作序列進行匹配得到所述目標訪問請求的檢測結果，包括：

計算所述目標操作序列與所述惡意操作序列的字符串相似度；

當所述字符串相似度大于第二預設值時，判定所述目標訪問請求為惡意訪問請求。

其中，所述基于所述惡意訪問連接中訪問請求的上下文特征構建惡意訪問模型，包括：

對所述惡意訪問連接中每個訪問請求進行報文解析得到每個所述訪問請求對應的所有字段；

根據每個所述訪問請求對應的所有字段構建每個所述訪問請求對應的特征向量；

利用所有所述訪問請求的特征向量訓練神經網絡模型，并確定所述惡意訪問模型為訓練完成的神經網絡模型。