CN107786545A

CN107786545A - 一种网络攻击行为检测方法及终端设备

Info

Publication number: CN107786545A
Application number: CN201710905163.8A
Authority: CN
Inventors: 林李保; 汤盛华; 刘明娟; 李瑚; 严爱华; 赵汝伟; 陈泽鹏
Original assignee: Ping An Life Insurance Company of China Ltd
Current assignee: Ping An Life Insurance Company of China Ltd
Priority date: 2017-09-29
Filing date: 2017-09-29
Publication date: 2018-03-09

Abstract

本发明属于网络安全技术领域，尤其涉及一种网络攻击行为检测方法及终端设备。所述方法包括：接收访问者发送的对目标网络系统的访问请求；从所述访问请求中解析出所述访问者的IP地址；若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。通过本发明大大减少了进行正则匹配的时间，可以快速检测到访问请求中的网络攻击行为。

Description

一种网络攻击行为检测方法及终端设备

技术领域

本发明属于网络安全技术领域，尤其涉及一种网络攻击行为检测方法及终端设备。

背景技术

网络攻击作为引发网络安全危机的常见因素，是指利用网络存在的漏洞和安全缺陷对网络进行恶意攻击的行为，网络攻击行为很容易导致网络异常，甚至奔溃，严重影响了网络的正常使用。

现有技术中有通过各种正则表达式来对访问请求逐一进行匹配的网络攻击行为检测方法，但随着人们通过网络进行工作和学习的机会不断增加，网络访问请求的量级也越来越大，使得这种方法发现网络攻击的耗时越来越长，导致难以快速检测到这些访问请求中的网络攻击行为。

发明内容

有鉴于此，本发明实施例提供了一种网络攻击行为检测方法及终端设备，以解决现有技术中发现网络攻击的耗时越来越长，难以快速检测到这些访问请求中的网络攻击行为的问题。

本发明实施例的第一方面提供了一种网络攻击行为检测方法，可以包括：

接收访问者发送的对目标网络系统的访问请求；

从所述访问请求中解析出所述访问者的IP地址；

在预设的IP地址白名单中查找所述访问者的IP地址；

若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；

从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；

根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；

若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。

本发明实施例的第二方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如下步骤：

接收访问者发送的对目标网络系统的访问请求；

从所述访问请求中解析出所述访问者的IP地址；

在预设的IP地址白名单中查找所述访问者的IP地址；

本发明实施例的第三方面提供了一种网络攻击行为检测终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如下步骤：

接收访问者发送的对目标网络系统的访问请求；

从所述访问请求中解析出所述访问者的IP地址；

在预设的IP地址白名单中查找所述访问者的IP地址；

本发明实施例与现有技术相比存在的有益效果是：本发明实施例接收访问者发送的对目标网络系统的访问请求，并从所述访问请求中解析出所述访问者的IP地址，然后通过预设的IP地址白名单对这些访问请求进行第一轮的筛选，对白名单中的IP地址无需做网络攻击行为检测，只对不在白名单中的IP地址网络攻击行为检测，从而节省了不必要的检测时间。对于不在白名单中的IP地址，从所述访问请求中解析出请求类型和请求内容，然后从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式，根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容，若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。由于只使用与所述请求类型对应的若干正则表达式，而非使用正则表达式资源库中的所有正则表达式，从而大大减少了进行正则匹配的时间，可以快速检测到访问请求中的网络攻击行为。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例中一种网络攻击行为检测方法的一个实施例流程图；

图2为本发明实施例中一种网络攻击行为检测方法的步骤S106在一个应用场景下的示意流程图；

图3为本发明实施例中通过IP频次来检测网络攻击行为的示意流程图；

图4为本发明实施例中对正则表达式资源库进行更新的示意流程图；

图5为本发明实施例提供的网络攻击行为检测终端设备的示意框图；

图6为本发明实施例提供的网络攻击行为检测程序的程序模块图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本发明实施例中一种网络攻击行为检测方法的一个实施例可以包括：

步骤S101、接收访问者发送的对目标网络系统的访问请求。

步骤S102、从所述访问请求中解析出所述访问者的IP地址。

对于未使用代理的情况，通过java服务器页面(Java Server Pages，JSP)提供的函数request.getRemoteAddr()即可有效获取所述访问者的IP地址。

对于使用了Apache、Squid等反向代理软件的情况，由于增加了中间层，因此无法直接拿到所述访问者的IP地址，但是在转发请求的HTTP头信息中，增加了X－FORWARDED－FOR信息，用以跟踪原有的访问者的IP地址。因此可以从X－FORWARDED－FOR信息中获取所述访问者的IP地址，如果通过了多级反向代理的话，X－FORWARDED－FOR的值并不止一个，其中第一个非UNKNOWN的有效IP字符串即为所述访问者的IP地址。

步骤S103、判断在预设的IP地址白名单中是否查找到所述访问者的IP地址。

若在所述IP地址白名单中未查找到所述访问者的IP地址，则执行步骤S104及后续步骤，若在所述地址白名单中查找到所述访问者的IP地址，则执行步骤S108。

步骤S104、从所述访问请求中解析出请求类型和请求内容。

不同的访问请求具有不同的协议格式，通过对其协议格式的识别，即可解析出所述访问请求的请求类型。

所述访问请求可以包括但不限于以下请求类型：用于实现交互式文件传输功能的文件传输协议(File Transfer Protocol，FTP)请求、用于实现电子邮箱传送功能的简单邮件传送协议(Simple Mail Transfer Protocol，SMTP)请求、用于实现网页服务的超文本传输协议(Hyper Text Transfer Protocol，HTTP)请求、用于实现管理与监视网络设备的简单网络管理协议(Simple Network Management Protocol，SNMP)请求以及用于实现远程登录功能的远程登录协议(Telnet)请求等等。

对于不同类型的访问请求，解析其请求内容的具体方式也不相同，以HTTP访问请求为例，首先对该请求进行协议分析，即通过HTTP RFC协议规范进行协议分析，从而获得该请求包含的各个HTTP协议字段，例如url、reference、cookie等字段，这些协议字段即为所述请求内容。

步骤S105、从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式。

正则表达式是计算机科学的一个概念，通常被用来检索、替换那些符合某个模式或规则的文本。

一般地，一条正则表达式只用于对某一种特定类型的访问请求进行筛选，因此，在本实施例中，优选将所述正则表达式资源库中的正则表达式按照访问请求的请求类型进行分类。

步骤S106、根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容。

优选地，步骤S106具体可以包括如图2所示的步骤：

步骤S1061、根据历史匹配成功记录确定所述若干正则表达式的匹配优先级。

所述匹配优先级与所述若干正则表达式在所述历史匹配成功记录中的匹配成功次数正相关，即匹配成功次数越多，则优先级越高，匹配成功次数越少，则优先级越低。

所述历史匹配成功记录中记录了每次成功检测到网络攻击行为时所使用的正则表达式，例如，若系统共成功检测到50次网络攻击行为，其中，有30次是由正则表达式1匹配成功的，有14次是由正则表达式2匹配成功的，有6次是由正则表达式3匹配成功的，说明使用正则表达式1进行匹配的成功率最高，使用正则表达式2进行匹配的成功率次之，使用正则表达式3进行匹配的成功率最低，则可以将正则表达式1设置为最高的匹配优先级，将正则表达式2设置为次高的匹配优先级，将正则表达式3设置为最低的匹配优先级。

步骤S1062、从所述若干正则表达式中选取一个尚未被选取过的匹配优先级最高的正则表达式。

本实施例中优先选取高优先级的正则表达式，可以通过最少的匹配次数来完成匹配过程，可以极大提高网络攻击行为检测的速度。

步骤S1063、使用当前选取的所述正则表达式对所述请求内容进行文本模式匹配。

使用正则表达式匹配文本的过程，实际是使用准确定义的过滤条件来过滤文本的过程，现举例如下：

例1、使用正则表达式“etc.*(shadow|passwd)”来匹配形如“etc+(任意字符)+shadow或passwd”的文本，在linux环境下/etc/shadow和/etc/passwd记录的是敏感的本地用户和密码信息。恶意请求里带有这些文本的请求，企图在有漏洞的系统下通过该恶意请求获取如下有价值的信息：目标环境是否linux系统；目标环境http服务器有任意指令执行漏洞；目标主机本地所有的用户名；目标主机本地所有用户的hash信息等等。

例2、使用正则表达式“\.(sql|www|wwwroot)\.(tar|gz|zip|rar|bak)”来匹配形如“.sql或www或wwwroot.tar或gz或zip或rar或bak”的文本，如mydata.sql.tar、wwwroot.zip这些文本。恶意请求里带有这些文本，企图在有漏洞的系统下通过该恶意请求获取如下有价值的信息：目标主机是否存在任意文件范围漏洞；目标主机上是否存在更新过程中遗留的特定打包文件(在大量的前端更新过程中，都先将老环境打包，以便更新失败后回滚环境)等等。

例3、使用正则表达式“(\(|％28)(\+|20％)*(\)|％29)(\{|％7B|％7b).+\；(％20)*(\}|％7D|％7d)\；”来匹配文本，比如大名鼎鼎的CVE-2014-6271漏洞，可以通过提交特定的字符串达到执行任意命令的目的，2014年在互联网造成极大影响。上述表达式可以匹配形如(){}；这样的特殊字符组合。恶意请求里带有这些文本，企图通过该恶意请求获取目标主机是否存在CVE-2014-6271漏洞。

步骤S1064、判断文本模式匹配是否成功。

若文本模式匹配失败，则执行步骤S1065，若文本模式匹配成功，则执行步骤S1067。

步骤S1065，判断所述若干正则表达式中是否存在尚未被选取过的正则表达式。

若存在，则返回执行步骤S1062，若不存在，则执行步骤S1066。

步骤S1066、判定所述请求内容中不包含对所述目标网络系统的攻击内容。

步骤S1067、判定所述请求内容中包含对所述目标网络系统的攻击内容。

若所述请求内容中包含对所述目标网络系统的攻击内容，则执行步骤S107，若所述请求内容中未包含对所述目标网络系统的攻击内容，则执行步骤S109。

步骤S107、判定所述访问请求为网络攻击行为。

步骤S108、判定所述访问请求为合法网络行为。

步骤S109、执行其它检测手段。

优选地，步骤S109可以包括如图3所示的通过IP频次来检测网络攻击行为的方法：

步骤S301、获取预设时间段内的所述访问者的IP地址对所述目标网络系统的历史访问记录。

所述预设时间段可以为当前系统时间之前的5分钟，例如，若当前系统时间为12:00:00，则所述预设时间段为11:55:00至12:00:00的这5分钟。当然，也可以根据实际情况设置其它的时间段，本实施例对此不作具体限定。

步骤S302、根据所述历史访问记录统计所述访问者的IP地址出现的总次数。

步骤S303、判断所述访问者的IP地址出现的总次数是否大于第一阈值。

所述第一阈值可以根据实际情况设置为100次、200次或300次等等，本实施例对此不作具体限定。

若所述访问者的IP地址出现的总次数小于或等于所述第一阈值，则执行步骤S304，若所述访问者的IP地址出现的总次数大于所述第一阈值，则执行步骤S310。

步骤S304、从所述历史访问记录获取与所述访问者的IP地址对应的返回码。

步骤S305、从与所述访问者的IP地址对应的返回码中选取异常返回码。

在本实施例中，所述异常返回码包括但不限于404、500、503等返回码。

步骤S306、统计与所述访问者的IP地址对应的返回码的数量，以第一数目计，以及统计所述异常返回码的数量，以第二数目计。

步骤S307、计算所述第二数目与所述第一数目的比值。

步骤S308、判断所述比值是否大于第二阈值。

所述第二阈值可以根据实际情况设置为20％、30％或50％等等，本实施例对此不作具体限定。

若所述比值小于或等于所述第二阈值，则执行步骤S309，若所述比值大于所述第二阈值，则执行步骤S310。

步骤S309、判定所述访问请求为合法网络行为。

步骤S310、判定所述访问请求为网络攻击行为。

优选地，为了提高对网络攻击行为进行检测的准确率，可以定期更新所述正则表达式资源库，具体可以包括如图4所示的步骤：

步骤S401、获取输入的新的正则表达式。

所述新的正则表达式可以由系统维护人员进行输入。

步骤S402、判断在所述正则表达式资源库中是否存在所述新的正则表达式。

若在所述正则表达式资源库中不存在所述新的正则表达式，则执行步骤S403及S404，若在所述正则表达式资源库中存在所述新的正则表达式，则执行步骤S405。

步骤S403、根据请求类型确定所述新的正则表达式所属的类别。

步骤S404、将所述新的正则表达式添加入所述正则表达式资源库对应的所述类别中。

步骤S405、无需更新所述新的正则表达式。

通过图4所示的步骤，可以及时对所述正则表达式资源库进行更新，避免因正则表达式过于陈旧而无法检测到时下网络中常用的网络攻击行为，从而提高对网络攻击行为进行检测的准确率。

综上所述，本发明实施例接收访问者发送的对目标网络系统的访问请求，并从所述访问请求中解析出所述访问者的IP地址，然后通过预设的IP地址白名单对这些访问请求进行第一轮的筛选，对白名单中的IP地址无需做网络攻击行为检测，只对不在白名单中的IP地址网络攻击行为检测，从而节省了不必要的检测时间。对于不在白名单中的IP地址，从所述访问请求中解析出请求类型和请求内容，然后从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式，根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容，若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。由于只使用与所述请求类型对应的若干正则表达式，而非使用正则表达式资源库中的所有正则表达式，从而大大减少了进行正则匹配的时间，可以快速检测到访问请求中的网络攻击行为。

对应于上文实施例所述的网络攻击行为检测方法，图5示出了本发明实施例提供的网络攻击行为检测终端设备的示意框图，为了便于说明，仅示出了与本发明实施例相关的部分。

在本实施例中，所述网络攻击行为检测终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。该网络攻击行为检测终端设备可包括：处理器50、存储器51以及存储在所述存储器51中并可在所述处理器50上运行的计算机程序52。

所述处理器50可以是中央处理单元(Central Processing Unit，CPU)，还可以是其它通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器51可以是所述网络攻击行为检测终端设备5的内部存储单元，例如网络攻击行为检测终端设备5的硬盘或内存。所述存储器51也可以是所述网络攻击行为检测终端设备5的外部存储设备，例如所述网络攻击行为检测终端设备5上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(FlashCard)等。进一步地，所述存储器51还可以既包括所述网络攻击行为检测终端设备5的内部存储单元也包括外部存储设备。所述存储器51用于存储所述计算机程序以及所述网络攻击行为检测终端设备5所需的其它程序和数据。所述存储器51还可以用于暂时地存储已经输出或者将要输出的数据。

请参阅图6，是本发明实施例提供的计算机程序52的程序模块图。在本实施例中，所述的计算机程序52可以被分割成一个或多个程序模块，所述一个或者多个程序模块被存储于所述存储器51中，并由所述处理器50所执行，以完成本发明。例如，在图6中，所述的计算机程序52，也即网络攻击行为检测程序可以被分割成访问请求接收模块601、第一解析模块602、第二解析模块603、正则表达式查找模块604、正则表达式判断模块605以及攻击行为判定模块606。以下描述将具体介绍所述程序模块601-606的功能。

访问请求接收模块601，用于接收访问者发送的对目标网络系统的访问请求；

第一解析模块602，用于从所述访问请求中解析出所述访问者的IP地址；

第二解析模块603，用于若在预设的IP地址白名单中未查找到所述访问者的IP地址，则从所述访问请求中解析出请求类型和请求内容；

正则表达式查找模块604，用于从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式；

正则表达式判断模块605，用于根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容；

攻击行为判定模块606，用于若所述请求内容中包含对所述目标网络系统的攻击内容，则判定所述访问请求为网络攻击行为。

进一步地，所述正则表达式判断模块605可以包括：

优先级确定单元，用于根据历史匹配成功记录确定所述若干正则表达式的匹配优先级，所述匹配优先级与所述若干正则表达式在所述历史匹配成功记录中的匹配成功次数正相关；

正则表达式选取单元，用于从所述若干正则表达式中选取一个尚未被选取过的匹配优先级最高的正则表达式；

文本模式匹配单元，用于使用当前选取的所述正则表达式对所述请求内容进行文本模式匹配；

攻击内容判定单元，用于若文本模式匹配成功，则判定所述请求内容中包含对所述目标网络系统的攻击内容。

进一步地，所述计算机程序52中还可以包括：

历史访问记录获取模块，用于若所述请求内容中未包含对所述目标网络系统的攻击内容，则获取预设时间段内的所述访问者的IP地址对所述目标网络系统的历史访问记录；

IP次数统计模块，用于根据所述历史访问记录统计所述访问者的IP地址出现的总次数；

第一判定模块，用于若所述访问者的IP地址出现的总次数大于第一阈值，则判定所述访问请求为网络攻击行为。

进一步地，所述计算机程序52中还可以包括：

返回码获取模块，用于若所述访问者的IP地址出现的总次数小于或等于第一阈值，则从所述历史访问记录获取与所述访问者的IP地址对应的返回码；

异常返回码选取模块，用于从与所述访问者的IP地址对应的返回码中选取异常返回码；

返回码统计模块，用于统计与所述访问者的IP地址对应的返回码的数量，以第一数目计，以及统计所述异常返回码的数量，以第二数目计；

比值计算模块，用于计算所述第二数目与所述第一数目的比值；

第二判定模块，用于若所述比值大于第二阈值，则判定所述访问请求为网络攻击行为。

进一步地，所述计算机程序52中还可以包括：

输入获取模块，用于获取输入的新的正则表达式；

新表达式判断模块，用于判断在所述正则表达式资源库中是否存在所述新的正则表达式；

正则表达式添加模块，用于若在所述正则表达式资源库中不存在所述新的正则表达式，则根据请求类型确定所述新的正则表达式所属的类别，并将所述新的正则表达式添加入所述正则表达式资源库对应的所述类别中。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各实施例的模块、单元和/或方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种网络攻击行为检测方法，其特征在于，包括：

接收访问者发送的对目标网络系统的访问请求；

从所述访问请求中解析出所述访问者的IP地址；

在预设的IP地址白名单中查找所述访问者的IP地址；

2.根据权利要求1所述的网络攻击行为检测方法，其特征在于，所述根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容包括：

根据历史匹配成功记录确定所述若干正则表达式的匹配优先级，所述匹配优先级与所述正则表达式在所述历史匹配成功记录中的匹配成功次数正相关；

从所述若干正则表达式中选取一个尚未被选取过的匹配优先级最高的正则表达式；

使用当前选取的所述正则表达式对所述请求内容进行文本模式匹配；

若文本模式匹配成功，则判定所述请求内容中包含对所述目标网络系统的攻击内容；

若文本模式匹配失败，则返回执行所述从所述若干正则表达式中选取一个尚未被选取过的匹配优先级最高的正则表达式的步骤，直至文本模式匹配成功或者所述若干正则表达式中不存在尚未被选取过的正则表达式为止。

3.根据权利要求1所述的网络攻击行为检测方法，其特征在于，还包括：

若所述请求内容中未包含对所述目标网络系统的攻击内容，则获取预设时间段内的所述访问者的IP地址对所述目标网络系统的历史访问记录；

根据所述历史访问记录统计所述访问者的IP地址出现的总次数；

判断所述访问者的IP地址出现的总次数是否大于第一阈值；

若所述访问者的IP地址出现的总次数大于第一阈值，则判定所述访问请求为网络攻击行为。

4.根据权利要求3所述中的网络攻击行为检测方法，其特征在于，还包括：

若所述访问者的IP地址出现的总次数小于或等于第一阈值，则从所述历史访问记录获取与所述访问者的IP地址对应的返回码；

从与所述访问者的IP地址对应的返回码中选取异常返回码；

统计与所述访问者的IP地址对应的返回码的数量，以第一数目计，以及统计所述异常返回码的数量，以第二数目计；

计算所述第二数目与所述第一数目的比值；

若所述比值大于第二阈值，则判定所述访问请求为网络攻击行为。

5.根据权利要求1至4中任一项所述中的网络攻击行为检测方法，在从预设的正则表达式资源库中查找与所述请求类型对应的若干正则表达式之前，还包括：

获取输入的新的正则表达式；

判断在所述正则表达式资源库中是否存在所述新的正则表达式；

若在所述正则表达式资源库中不存在所述新的正则表达式，则根据请求类型确定所述新的正则表达式所属的类别，并将所述新的正则表达式添加入所述正则表达式资源库对应的所述类别中。

6.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的网络攻击行为检测方法的步骤。

7.一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如下步骤：

接收访问者发送的对目标网络系统的访问请求；

从所述访问请求中解析出所述访问者的IP地址；

在预设的IP地址白名单中查找所述访问者的IP地址；

8.根据权利要求7所述的终端设备，其特征在于，所述根据所述若干正则表达式判断所述请求内容中是否包含对所述目标网络系统的攻击内容包括：

根据历史匹配成功记录确定所述若干正则表达式的匹配优先级，所述匹配优先级与所述若干正则表达式在所述历史匹配成功记录中的匹配成功次数正相关；

9.根据权利要求7所述的终端设备，其特征在于，还包括：

判断所述访问者的IP地址出现的总次数是否大于第一阈值；

10.根据权利要求9中所述的终端设备，其特征在于，还包括：

从与所述访问者的IP地址对应的返回码中选取异常返回码；

计算所述第二数目与所述第一数目的比值；