本公開涉及攻擊檢測方法及裝置、計算機可存儲介質，涉及網絡安全領域。攻擊檢測方法包括：利用第一規則鏈檢測所述客戶端是否存在與所述攻擊類型對應的惡意攻擊，得到第一檢測結果，所述第一規則鏈包括多個不同的正則匹配型規則；利用第二規則鏈檢測所述客戶端是否存在與所述攻擊類型對應的惡意攻擊，得到第二檢測結果，所述第二規則鏈包括多個不同的算法型規則；融合所述第一檢測結果和所述第二檢測結果，得到攻擊檢測結果。根據本公開，提高了攻擊檢測的準確率。

技術領域

本公開涉及網絡安全領域，特別涉及攻擊檢測方法及裝置、計算機可存儲介質。

背景技術

隨著互聯網的高速發展，web應用越來越豐富，而web服務器面臨的安全威脅也逐漸增多。WAF(Web Application Firewall，Web應用防火墻)通過執行一系列針對HTTP(HyperText Transfer Protocol,超文本傳輸協議)、HTTPS(Hyper Text TransferProtocol over SecureSocket Layer，超文本傳輸安全協議)的安全策略，專門對web應用提供保護的一款產品。WAF基于規則，可以提供各種web應用的安全規則，WAF生產商負責維護由這些安全規則形成的規則庫，并實時更新，用戶按照這些安全規則，可以對web應用進行全方面的保護。

相關技術中，利用單一的正則匹配規則進行攻擊檢測。

發明內容

發明人認為：相關技術，利用單一的正則匹配規則進行攻擊檢測，攻擊者可以利用多重編碼和變化攻擊載荷等方式繞過攻擊檢測，造成較高的漏報率和誤報率，攻擊檢測的準確率低。

針對上述技術問題，本公開提出了一種解決方案，提高了攻擊檢測的準確率。

根據本公開的第一方面，提供了一種攻擊檢測方法，包括：利用第一規則鏈檢測所述客戶端是否存在與所述攻擊類型對應的惡意攻擊，得到第一檢測結果，所述第一規則鏈包括多個不同的正則匹配型規則；利用第二規則鏈檢測所述客戶端是否存在與所述攻擊類型對應的惡意攻擊，得到第二檢測結果，所述第二規則鏈包括多個不同的算法型規則；融合所述第一檢測結果和所述第二檢測結果，得到攻擊檢測結果。

在一些實施例中，利用第一規則鏈檢測所述客戶端是否存在與所述攻擊類型對應的惡意攻擊，得到第一檢測結果包括：分別利用與攻擊類型對應的多個不同的正則匹配型規則，檢測所述客戶端是否存在與所述攻擊類型對應的惡意攻擊，得到多個第一中間檢測結果；融合所述多個第一中間檢測結果，得到所述第一檢測結果。

在一些實施例中，融合所述多個第一中間檢測結果，得到所述第一檢測結果包括：根據所述多個第一中間檢測結果和每個正則匹配型規則的第一規則權重，確定所述第一檢測結果，各個第一規則權重之和等于所述第一規則鏈的第一規則鏈權重。

在一些實施例中，所述第一中間檢測結果為存在惡意攻擊的評分或者不存在惡意攻擊的評分，根據所述多個第一中間檢測結果和每個正則匹配型規則的第一規則權重，確定所述第一檢測結果包括：在所述多個第一中間檢測結果包括至少一個存在惡意攻擊的評分的情況下，根據每個存在惡意攻擊的評分與相應的第一規則權重的乘積之和，確定所述第一檢測結果；在所述多個第一中間檢測結果不包括存在惡意攻擊的評分的情況下，根據每個不存在惡意攻擊的評分與第一規則權重的乘積之和，確定所述第一檢測結果。

在一些實施例中，利用第二規則鏈檢測所述客戶端是否存在與所述攻擊類型對應的惡意攻擊，得到第二檢測結果包括：分別利用與攻擊類型對應的多個不同的算法型規則，檢測所述客戶端是否存在與所述攻擊類型對應的惡意攻擊，得到多個第二中間檢測結果；融合所述多個第二中間檢測結果，得到所述第二檢測結果。

在一些實施例中，融合所述多個第二中間檢測結果，得到所述第二檢測結果包括：根據所述多個第二中間檢測結果和每個算法型規則的第二規則權重，確定所述第二檢測結果，各個第二規則權重之和等于所述第二規則鏈的第二規則鏈權重。