本申請公開了一種網絡攻擊行為的檢測方法，所述檢測方法包括接收網絡流量并根據所述網絡流量的數據包排列順序確定當前數據包；判斷所述當前數據包是否存在Webshell文件上傳特征；若是，則確定所述網絡流量中Webshell文件對應的數據包，并對所述Webshell文件對應的數據包執行網絡攻擊行為檢測操作；若否，則允許所述當前數據包通過。本方法能夠提高網絡攻擊行為的檢測效率，降低網絡攻擊行為檢測對于網絡流量傳輸延遲的影響。本申請還公開了一種網絡攻擊行為的檢測裝置、一種存儲介質及一種電子設備，具有以上有益效果。

技術領域

本申請涉及網絡安全技術領域，特別涉及一種網絡攻擊行為的檢測方法、裝置、一種存儲介質及一種電子設備。

背景技術

Webshell是一種以asp、php、jsp或者cgi等網頁文件形式存在的命令執行環境，也可以將其稱做為一種網頁后門。黑客往往通過向主機設備傳輸Webshell文件的方式實現對于主機設備的攻擊，進而達到控制網站服務器的目的。

相關技術中，利用安全設備基于完整流量檢測的方式判斷是否存在黑客上傳Webshell文件，進而檢測網絡攻擊行為。但是上述相關技術從網絡流量中還原出完整文件，再對整體文件進行檢測，即檢測過程中需要扣留網絡中文件的全部數據，造成了較高的網絡延遲，影響用戶體驗。

因此，如何提高網絡攻擊行為的檢測效率，降低網絡攻擊行為檢測對于網絡流量傳輸延遲的影響是本領域技術人員目前需要解決的技術問題。

發明內容

本申請的目的是提供一種網絡攻擊行為的檢測方法、裝置、一種電子設備及一種存儲介質，能夠提高網絡攻擊行為的檢測效率，降低網絡攻擊行為檢測對于網絡流量傳輸延遲的影響。

為解決上述技術問題，本申請提供一種網絡攻擊行為的檢測方法，該網絡攻擊行為的檢測方法包括：

接收網絡流量并根據所述網絡流量的數據包排列順序確定當前數據包；

判斷所述當前數據包是否存在Webshell文件上傳特征；

若是，則確定所述網絡流量中Webshell文件對應的數據包，并對所述Webshell文件對應的數據包執行網絡攻擊行為檢測操作；

若否，則允許所述當前數據包通過。

可選的，判斷所述當前數據包是否存在Webshell文件上傳特征，包括：

判斷所述當前數據包是否存在代碼起始符和/或攻擊特征信息；其中，所述代碼起始符為編寫所述Webshell文件的腳本語言起始符，所述攻擊特征信息包括預設關鍵字和/或預設字符串；

若是，則判定所述當前數據包存在所述Webshell文件上傳特征；

若否，則判定所述當前數據包不存在所述Webshell文件上傳特征。

可選的，確定所述網絡流量中Webshell文件對應的數據包，并對所述Webshell文件對應的數據包執行網絡攻擊行為檢測操作，包括：

將存在所述代碼起始符的數據包設置為文件起始數據包；

對所述文件起始數據包執行網絡攻擊行為檢測操作；

判斷在所述代碼起始符之后所述文件起始數據包中是否存在代碼終止符；其中，所述代碼終止符為編寫所述Webshell文件的腳本語言終止符；

若是，則執行根據所述排列順序依次判斷所述文件起始數據包的下一數據包是否存在Webshell文件上傳特征的操作流程；