本發明提供了一種檢測惡意行為的方法、裝置及存儲介質；方法包括：接收待檢測對象的至少一個請求報文；解析至少一個請求報文中的每個請求報文，分別得到對應的信息位置目錄、文件類型和請求方法中的至少兩個；若請求方法、信息位置目錄和文件類型中的至少兩個之間存在沖突，則從預設沖突關系中，得到與每個請求報文對應的第一權重信息；基于至少一個請求報文對應的至少一個第一權重信息，確定至少一個請求報文的檢測結果。本發明能夠提高檢測惡意行為的準確率。

技術領域

本發明涉及網絡安全領域，尤其涉及一種檢測惡意行為的方法、裝置及存儲介質。

背景技術

應用防火墻(Web Application Firewall，WAF)中的被動防掃描(Passive anti-scan)技術是用于阻止惡意對象為了網絡攻擊而對網站信息進行的掃描，具體的，是對掃描流量進行分析，提取掃描流量特征來識別惡意行為，從而阻止惡意對象掃描網站。相比主動防掃描(Positive anti-scan)，被動防掃描不會向正常的網絡流量中加入代碼來主動識別惡意行為，因此，不會對正常業務數據產生破壞。

目前已知的被動防掃描方法，通常僅僅提取掃描流量中比較直觀的特征，如敏感詞、掃描器指紋和響應碼，來檢測惡意行為。但在運行過程中，會存在現有被動防掃描方案無法檢測到的惡意行為，檢測惡意行為的準確率較低。

發明內容

本發明實施例期望提出一種惡意對象的檢測方法、裝置及存儲介質，能夠提高檢測惡意行為的準確率。

本發明的技術方案是這樣實現的：

本發明實施例提供一種檢測惡意行為的方法，所述方法包括：

接收待檢測對象的至少一個請求報文；

解析所述至少一個請求報文中的每個請求報文，分別得到對應的信息位置目錄、文件類型和請求方法中的至少兩個；

若所述請求方法、所述信息位置目錄和所述文件類型中的至少兩個之間存在沖突，則從預設沖突關系中，得到與所述每個請求報文對應的第一權重信息；

基于所述至少一個請求報文對應的至少一個第一權重信息，確定所述至少一個請求報文的檢測結果。

上述方案中，所述接收待檢測對象的至少一個請求報文之后，所述方法還包括：

篩選所述至少一個請求報文中是否包含特殊信息，所述特殊信息包括：信息位置敏感詞或掃描器指紋；

若每個請求報文中均包含所述特殊信息，則從預設特殊信息庫中，得到與所述每個請求報文對應的第二權重信息，從而得到了至少一個請求報文對應的至少一個第二權重信息；

相應的，所述基于所述至少一個請求報文對應的至少一個第一權重信息，確定所述至少一個請求報文的檢測結果，包括：

根據所述至少一個第一權重信息和所述至少一個第二權重信息，確定所述至少一個請求報文的檢測結果。

上述方案中，所述接收待檢測對象的至少一個請求報文之后，所述方法還包括：

接收針對所述至少一個請求報文響應的至少一個響應報文；所述至少一個響應報文是由服務器接收到所述至少一個請求報文后做出響應而得到的；

解析所述至少一個響應報文，得到每個響應報文分別對應的響應信息；

若所述響應信息表征未找到所要請求的內容，則從預設異常響應關系中，得到與所述每個請求報文對應的第三權重信息，從而得到了至少一個請求報文對應的至少一個第三權重信息；

相應的，所述基于所述至少一個請求報文對應的至少一個第一權重信息，確定所述至少一個請求報文的檢測結果，包括：