[發明專利]網絡攻擊行為的檢測方法、裝置、電子設備及存儲介質有效

申請號：	202010047670.4	申請日：	2020-01-16
公開（公告）號：	CN113132341B	公開（公告）日：	2023-03-21
發明（設計）人：	羅得安;甄昊天;楊榮海;范煒軒	申請（專利權）人：	深信服科技股份有限公司
主分類號：	H04L9/40	分類號：	H04L9/40
代理公司：	深圳市深佳知識產權代理事務所(普通合伙) 44285	代理人：	常忠良
地址：	518055 廣東省深圳市南***	國省代碼：	廣東;44
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	網絡攻擊行為檢測方法裝置電子設備存儲介質
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種網絡攻擊行為的檢測方法，其特征在于，包括：

接收網絡流量并根據所述網絡流量的數據包排列順序確定當前數據包；

判斷所述當前數據包是否存在Webshell文件上傳特征；

若是，則確定所述網絡流量中Webshell文件對應的數據包，并對所述Webshell文件對應的數據包執行網絡攻擊行為檢測操作；

若否，則允許所述當前數據包通過；

其中，對所述Webshell文件對應的數據包執行網絡攻擊行為檢測操作包括：

對所述Webshell文件對應的數據包執行詞法分析操作得到單詞序列；

對所述單詞序列執行語法分析操作得到對應的目標語法單元；其中，目標語法單元包括語句、函數和程序塊中任一項或任幾項的組合；

判斷所述目標語法單元與黑名單中的預設語法單元的匹配程度是否大于預設值；

若是，則判定檢測到基于Webshell文件的網絡攻擊行為。

2.根據權利要求1所述檢測方法，其特征在于，判斷所述當前數據包是否存在Webshell文件上傳特征，包括：

判斷所述當前數據包是否存在代碼起始符和/或攻擊特征信息；其中，所述代碼起始符為編寫所述Webshell文件的腳本語言起始符，所述攻擊特征信息包括預設關鍵字和/或預設字符串；

若是，則判定所述當前數據包存在所述Webshell文件上傳特征；

若否，則判定所述當前數據包不存在所述Webshell文件上傳特征。

3.根據權利要求2所述檢測方法，其特征在于，確定所述網絡流量中Webshell文件對應的數據包，并對所述Webshell文件對應的數據包執行網絡攻擊行為檢測操作，包括：

將存在所述代碼起始符的數據包設置為文件起始數據包；

對所述文件起始數據包執行網絡攻擊行為檢測操作；

判斷在所述代碼起始符之后所述文件起始數據包中是否存在代碼終止符；其中，所述代碼終止符為編寫所述Webshell文件的腳本語言終止符；

若是，則執行根據所述排列順序依次判斷所述文件起始數據包的下一數據包是否存在Webshell文件上傳特征的操作流程；

若否，則對所述排列順序中在所述文件起始數據包之后的數據包執行網絡攻擊行為檢測操作直至檢測到存在文件終止數據包，執行根據所述排列順序依次判斷存在所述代碼終止符的數據包的下一數據包是否存在Webshell文件上傳特征的操作流程；其中，所述文件終止數據包為包括所述代碼終止符的數據包。

4.根據權利要求1所述檢測方法，其特征在于，在對所述Webshell文件對應的數據包執行網絡攻擊行為檢測操作的過程中，還包括：

判斷是否檢測到代碼終止符；其中，所述代碼終止符為編寫所述Webshell文件的腳本語言終止符；

若否，則記錄所述單詞序列對應的詞法分析狀態；

相應的，對所述Webshell文件對應的數據包執行詞法分析操作得到單詞序列包括：

根據上一數據包對應的單詞序列的詞法分析狀態對所述Webshell文件對應的數據包執行詞法分析操作得到當前數據包的單詞序列。

5.根據權利要求1所述檢測方法，其特征在于，在對所述Webshell文件對應的數據包執行網絡攻擊行為檢測操作的過程中，還包括：

判斷是否檢測到代碼終止符；其中，所述代碼終止符為編寫所述Webshell文件的腳本語言終止符；

若是，則記錄所述目標語法單元的語法分析狀態；

相應的，對所述單詞序列執行語法分析操作得到對應的目標語法單元包括：

根據上一數據包對應的目標語法單元的語法分析狀態對所述Webshell文件對應的數據包執行語法分析操作得到當前數據包的目標語法單元。

6.根據權利要求1所述檢測方法，其特征在于，在對所述Webshell文件對應的數據包執行詞法分析操作得到單詞序列之后，還包括：

判斷所述單詞序列中的單詞數量是否大于預設數量；

若是，則執行對所述單詞序列執行語法分析操作得到對應的目標語法單元的操作；

若否，則執行允許所述當前數據包通過的操作。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司，未經深信服科技股份有限公司許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202010047670.4/1.html，轉載請聲明來源鉆瓜專利網。

上一篇：一種實體關系抽取方法、終端設備及計算機可讀存儲介質
下一篇：一種控制參數優化方法及裝置

同類專利

專利分類

H 電學

H04 電通信技術
H04L 數字信息的傳輸，例如電報通信
H04L9-00 保密或安全通信裝置
H04L9-06 .使用移位寄存器或存儲器用于塊式碼的密碼裝置，例如dES系統
H04L9-10 .帶有特殊機體，物理特征或人工控制
H04L9-12 .同步的或最初建立特殊方式的發送和接收密碼設備
H04L9-14 .使用多個密鑰或算法
H04L9-18 .用串行和連續修改數據流單元加密，例如數據流加密系統

免登錄下載普通用戶下載升級VIP會員，免費下載

專利文獻下載

說明：

1、專利原文基于中國國家知識產權局專利說明書；

2、支持發明專利、實用新型專利、外觀設計專利（升級中）；

3、專利數據每周兩次同步更新，支持Adobe PDF格式；

4、內容包括專利技術的結構示意圖、流程工藝圖或技術構造圖；

5、已全新升級為極速版,下載速度顯著提升！歡迎使用！

請您登陸后，進行下載，點擊【登陸】【注冊】

[發明專利]網絡攻擊行為的檢測方法、裝置、電子設備及存儲介質有效

專利文獻下載

[發明專利]網絡攻擊行為的檢測方法、裝置、電子設備及存儲介質有效