本發(fā)明提供了一種指令判斷方法及可讀存儲介質(zhì)。其中，所述指令判斷方法包括如下步驟：基于數(shù)據(jù)生成子方法的得到第一鏈?zhǔn)綌?shù)據(jù)和第二鏈?zhǔn)綌?shù)據(jù)；基于所述第一鏈?zhǔn)綌?shù)據(jù)得到數(shù)據(jù)過濾集；判斷所述第二鏈?zhǔn)綌?shù)據(jù)是否屬于所述數(shù)據(jù)過濾集，以判斷當(dāng)前的所述請求指令是否為異常請求。其中，所述數(shù)據(jù)生成子方法包括：基于拆分、映射和鏈接操作將請求指令轉(zhuǎn)換為一條鏈?zhǔn)綌?shù)據(jù)。如此配置，通過所述數(shù)據(jù)生成子方法將所述請求指令進(jìn)行了合理的轉(zhuǎn)化，在保留了原有請求指令全部信息的前提下，簡化了判斷依據(jù)，并隱藏了背后的映射邏輯，在效率、機(jī)制、通用性和反逆向方面均有顯著提升，解決了現(xiàn)有技術(shù)中存在的問題。

技術(shù)領(lǐng)域

本發(fā)明涉及一種數(shù)據(jù)安全檢測技術(shù)，特別涉及一種指令判斷方法及可讀存儲介質(zhì)。

背景技術(shù)

WEB(全球廣域網(wǎng)，也稱為萬維網(wǎng))日志記錄了用戶對于站點(diǎn)的請求。通過對日志中訪問URL(Uniform?Resource?Locator，統(tǒng)一資源定位系統(tǒng))的解析，能夠檢測出大量的惡意行為：如XSS(Cross?Site?Scripting，跨站腳本攻擊，其中，用X代替Cross以防止與Cascading?Style?Sheets的簡稱CSS混淆)、SQL(一種數(shù)據(jù)庫語言)注入等。但是，當(dāng)WEB訪問量處于較大的數(shù)量級時(shí)，檢測模塊的處理速度會落后于日志的產(chǎn)生速度，導(dǎo)致無法實(shí)時(shí)的檢測出惡意行為。因此需要一種算法能夠以極快的速度將正常的訪問請求和異常訪問請求區(qū)分開。

目前，WEB日志領(lǐng)域常見的過濾技術(shù)是基于指定字符串的簡單截?cái)唷１热纾槍φ军c(diǎn)的目錄進(jìn)行簡單的分析。比如：“www.test.com/s？ie＝utf-8f＝8rsv_bp＝1”，這類站點(diǎn)的請求由兩部分組成：問號之前的網(wǎng)站目錄和問號之后的請求參數(shù)。該技術(shù)將特殊字符“？”之前的部分作為站點(diǎn)的目錄之一。統(tǒng)計(jì)一段時(shí)間的網(wǎng)站請求后，對目錄的訪問頻次進(jìn)行排序，指定一個(gè)與之后，對訪問不常見的站點(diǎn)目錄的請求直接劃入異常請求流量。

上述方案存在如下缺陷：

1.過濾機(jī)制過于簡單，主要是特定字符、特定路徑。惡意用戶經(jīng)過簡單的測試就可發(fā)現(xiàn)。

2.惡意用戶能夠輕易繞過這種過濾機(jī)制，并逃避后續(xù)的檢測流程，實(shí)現(xiàn)攻擊目的。

3.在流量過濾的階段中，不考慮請求參數(shù)。

4.部分站點(diǎn)請求不存在目錄結(jié)構(gòu)和請求參數(shù)的固定分隔符。

總之，現(xiàn)有技術(shù)中的異常請求判斷方法存在效率、機(jī)制、通用性和反逆向方面效果不夠理想的問題。

發(fā)明內(nèi)容

本發(fā)明提供了一種指令判斷方法及可讀存儲介質(zhì)，以解決現(xiàn)有技術(shù)中的異常請求判斷方法存在效率、機(jī)制、通用性和反逆向方面效果不夠理想的問題。

為了解決上述技術(shù)問題，本發(fā)明提供了一種指令判斷方法，所述指令判斷方法包括如下步驟：基于數(shù)據(jù)生成子方法將歷史的請求指令轉(zhuǎn)化為第一鏈?zhǔn)綌?shù)據(jù)；分析每條所述第一鏈?zhǔn)綌?shù)據(jù)的出現(xiàn)比率，得到數(shù)據(jù)過濾集；基于所述數(shù)據(jù)生成子方法將當(dāng)前的所述請求指令轉(zhuǎn)化為第二鏈?zhǔn)綌?shù)據(jù)；以及，判斷所述第二鏈?zhǔn)綌?shù)據(jù)是否屬于所述數(shù)據(jù)過濾集，若是，判斷當(dāng)前的所述請求指令為正常請求，否則，判斷當(dāng)前的所述請求指令為異常請求。

其中，所述數(shù)據(jù)生成子方法包括：基于分隔符對所述請求指令進(jìn)行拆分得到字符串單元；按照預(yù)設(shè)規(guī)則將每個(gè)所述字符串單元映射為一個(gè)標(biāo)識符串；以及，按照所述字符串單元在所述請求指令中的順序，將所述標(biāo)識符串連接為一條鏈?zhǔn)綌?shù)據(jù)。

可選的，所述數(shù)據(jù)過濾集以樹的數(shù)據(jù)格式進(jìn)行存儲和調(diào)用，所述第一鏈?zhǔn)綌?shù)據(jù)和所述第二鏈?zhǔn)綌?shù)據(jù)對應(yīng)于所述數(shù)據(jù)過濾集的路徑，所述數(shù)據(jù)過濾集的路徑均從根節(jié)點(diǎn)開始，并結(jié)束于所述數(shù)據(jù)過濾集的葉子節(jié)點(diǎn)。

可選的，所述請求指令為WEB請求指令；在所述按照第一預(yù)設(shè)規(guī)則對所述請求指令進(jìn)行拆分得到字符串單元之前，所述數(shù)據(jù)生成子方法還包括：若所述請求指令的格式不符合URL編碼規(guī)范，則將所述請求指令的格式轉(zhuǎn)化為符合URL編碼規(guī)范的格式。