CN114884686A - 一种php威胁识别方法及装置 - Google Patents
一种php威胁识别方法及装置 Download PDFInfo
- Publication number
- CN114884686A CN114884686A CN202210266156.9A CN202210266156A CN114884686A CN 114884686 A CN114884686 A CN 114884686A CN 202210266156 A CN202210266156 A CN 202210266156A CN 114884686 A CN114884686 A CN 114884686A
- Authority
- CN
- China
- Prior art keywords
- php
- threat
- classification
- mark
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000006870 function Effects 0.000 claims description 55
- 239000003550 marker Substances 0.000 claims description 14
- 238000012216 screening Methods 0.000 claims description 6
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 230000001131 transforming effect Effects 0.000 claims description 2
- 238000001514 detection method Methods 0.000 abstract description 26
- 238000012545 processing Methods 0.000 abstract description 4
- 238000004891 communication Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000002372 labelling Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提供了一种PHP威胁识别方法及装置,涉及数据处理技术领域。该方法为:获取待检测数据;利用设定的词法分析器从所述待检测数据中提取出目标特征,并识别出对所述目标特征感兴趣的规则类型对应的第一标记;利用所述目标特征匹配PHP威胁知识库,确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记,所述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的;根据所述第一标记和所述第二标记,确认所述待检测数据是否存在PHP威胁。由此,实现从待检测数据中识别出PHP威胁,从而提升了PHP危威胁检测性能。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种PHP威胁识别方法及装置。
背景技术
超文本预处理器(PHP Hypertext Preprocessor,PHP)威胁检测是WAF(web应用防火墙)中非常重要的检测部分,业界主流的PHP威胁检测方案包括规则检测和AI检测。规则检测通常被认为是确定性检测,该检测方式检测速度快且具有很强的可解释性,但是容易绕过和漏报。相反,AI检测通常被认为是不确定性检测,AI检测的检测速度慢和威胁识别范围更多,但是可解释性较弱,容易误报。然而,随着互联网的web应用的高速发展,尤其是云场景下,PHP威胁数量在不断增多,而且需要保护的网站数量也在增多,无论是规则引擎,还是AI引擎都很难满足实时检测需求。
因此,如何从海量数据中识别出PHP威胁,以提高检测性能是值得考虑的技术问题之一。
发明内容
有鉴于此,本申请提供一种PHP威胁识别方法及装置,用以从数据中识别出PHP威胁,以提高检测性能。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种PHP威胁识别方法,包括:
获取待检测数据;
利用设定的词法分析器从所述待检测数据中提取出目标特征,并识别出对所述目标特征感兴趣的规则类型对应的第一标记;
利用所述目标特征匹配PHP威胁知识库,确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记,所述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的;
根据所述第一标记和所述第二标记,确认所述待检测数据是否存在PHP威胁。
根据本申请的第二方面,提供一种PHP威胁识别装置,包括:
获取模块,用于获取待检测数据;
第一识别模块,用于利用设定的词法分析器从所述待检测数据中提取出目标特征,并识别出对所述目标特征感兴趣的规则类型对应的第一标记;
第二识别模块,用于利用所述目标特征匹配PHP威胁知识库,确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记,所述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的;
第三识别模块,用于根据所述第一标记和所述第二标记,确认所述待检测数据是否存在PHP威胁。
根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
本申请实施例的有益效果:
本申请实施例提供的PHP威胁识别方法及装置中,先利用预设的词法分析器对待检测数据执行一次识别得到目标特征及对该待检测数据感兴趣的规则类型的第一标记,然后再基于PHP威胁知识库对目标特征执行一次识别,以得到该目标特征所命中的对象的第二标记,并基于前述得到的第一标记和第二标记,确定待检测数据是否存在PHP威胁,从而大大提升了PHP威胁检测结果的准确度;此外,本申请中,是利用PHP威胁规则库转换后的、基于语义分析的PHP威胁知识库来对待检测数据进行识别,相比于现有技术中将待检测数据与PHP威胁规则库中的规则逐一匹配的方法,本实施例更能提升待检测数据的PHP威胁的识别速度。
附图说明
图1是本申请实施例提供的一种PHP威胁识别方法的流程图;
图2是本申请实施例提供的一种PHP威胁识别装置的框图;
图3是本申请实施例提供的一种实施PHP威胁识别方法的电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请提供的PHP威胁识别方法进行详细地说明。
参见图1,图1是本申请提供的一种PHP威胁识别方法的流程图,该方法可包括如下所示步骤:
S101、获取待检测数据。
本步骤中,上述PHP威胁识别方法可以应用到防火墙设备,或者接入该防火墙设备的检测设备等等。为了方面描述,后续以检测设备实施上述PHP威胁识别方法为例进行说明。相应地,上述待检测数据可以理解为进入到防火墙设备的数据。
此外,上述待检测数据可以但不限于为网站web请求报文或应答报文中的数据,例如,对web请求报文或应答报文中的多个关键字提取出来并对提取出的关键字进行解码操作后,解码操作得到的数据可以理解为上述待检测数据。
S102、利用设定的词法分析器从所述待检测数据中提取出目标特征,并识别出对所述目标特征感兴趣的规则类型对应的第一标记。
本步骤中,上述设定的词法分析器可以但不限于为快速词法分析器,简称flex,该分析器可以将用户用正则表达式写的分词匹配模式构造成一个有限状态机,这样,当将待检测数据输入到flex词法分析器中时,一方面,该flex词法分析器可以从待检测数据中快速提取出匹配flex中设定的正则表达式的目标特征。另一方面,该flex还可以输出命中flex设定的正则表达式所对应的规则类型的第一标记。而该flex输出的第一标记表征的是该待检测数据命中了上述规则类型的规则,进而表明待检测数据可能存在PHP威胁。
需要说明的是,上述设定词法分析器是基于当前存在的PHP威胁规则生成的,该flex词法分析器内设定了当前存在的PHP威胁规则的正则表达式的词法分析逻辑,并设定了各PHP威胁对应的规则类型的标记。这样,当待检测数据输入到flex词法分析器后,flex词法分析器就可以输出基于命中的正则表达式的词法分析逻辑从待检测数据中提取到目标特征,以及命中的正则表达式对应的规则类型的第一标记。而上述命中的正则表达式对应的规则类型即为上述对该目标特征感兴趣的规则类型。
通过利用flex词法分析器,可以快速识别出待检测数据中的目标特征以及对目标特征感兴趣的规则类型的第一标记,在一定程度上提升了PHP威胁的识别速度。
S103、利用所述目标特征匹配PHP威胁知识库,确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记。
其中,本实施例中上述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的。
本步骤中,为了提升PHP威胁的识别速度,检测设备会预先基于PHP威胁规则库中的规则生成PHP威胁知识库,这样,在进行PHP威胁识别时,不再用待检测数据去一一匹配PHP威胁规则中的每个规则,而是直接利用上述词法分析器从待检测数据提取出的目标特征来匹配PHP威胁知识库,从而得到该威胁知识库中目标特征所命中的对象的第二标记。而该第一标记表征的是该待检测数据命中了PHP威胁知识库中的对象,进而表明待检测数据可能存在PHP威胁。
需要说明的是,上述对象可以但不限于为PHP威胁规则库中规则转换得到的函数、配置、变量中的一个。
在此基础上,可以利用二分查找方法将目标特征与PHP威胁知识库进行匹配,相比现有技术中将待检测数据与PHP威胁规则库中的规则逐一匹配的方法,本申请实施例利用二分查找方法确定待检测数据中目标特征命中的对象的第二标记,查找速度更快,可以将时间复杂度大大降低,提高了检测性能。
S104、根据所述第一标记和所述第二标记,确认所述待检测数据是否存在PHP威胁。
本步骤中,在基于步骤S102执行第一次待检测数据的识别后,然后再基于步骤S103执行第二次待检测数据的识别,再基于步骤S102得到的第一标记和步骤S103得到的第二标记,确定待检测数据是否存在PHP威胁,从而大大提升了PHP威胁检测结果的准确度;此外,本申请中,是利用PHP威胁规则库转换后的、基于语义分析的PHP威胁知识库来对待检测数据进行识别,相比于现有技术中将待检测数据与PHP威胁规则库中的规则逐一匹配的方法,本实施例更能提升待检测数据的PHP威胁的识别速度。
可选地,一种示例中,可以按照下述过程执行步骤S104:若第一标记与第二标记相同,则确定待检测数据存在PHP威胁;若第一标记与第二标记不同,则确定待检测数据不存在PHP威胁。
具体地,为了更准确地确定待检测数据中是否存在PHP威胁,本实施例提出,会将第一标记与第二标记进行比较,若确认第一比较与第二标记相同,则可以直接确定待检测数据存在PHP威胁,否则,确认待检测数据不存在威胁。
可选地,上述PHP威胁知识库为按照下述方法对PHP威胁规则库中的规则进行转换得到的:从PHP威胁规则库中筛选出符合正则表达式的目标规则;从上述目标规则中还原出风险函数;将上述风险函数与上述PHP威胁规则库中用于表征规则的函数进行合并处理,生成风险函数库;对上述PHP威胁规则库中除目标规则和上述用于表征规则的函数之外的规则和上述风险函数库进行分类处理;将分类得到的各分类类型进行标记处理;根据每个分类类型的标记,对该分类类型下的对象添加对应的标记,得到上述PHP威胁知识库。
具体地,上述PHP威胁规则库可以但不限于为开源的modsecurity waf中的PHP威胁规则库。上述PHP威胁规则库可以参考表1所示,需要说明的是,表1中的规则仅是一个示例,并不构成对PHP威胁规则库中规则的限定。
表1
为了方便描述基于语义分析的PHP威胁知识库的生成过程,本实施例以PHP威胁规则库包括表1所示的规则为例进行说明。检测设备可以预先从PHP威胁规则库中筛选出符合正则表达式的目标规则,例如筛选出的目标规则可以为表1中的高危函数调用(PHPFunctions:High-Risk PHP Function Calls)等,以该高危函数调用为例进行,则会将高危函数调用这一规则进行解析处理,从而可以还原出风险函数,参考表2所示,具体来说,在提取风险函数时,可以从高危函数调用的正则表达式中提取。需要说明的是,图2中的风险函数仅是一个示例,并不构成对解析出的风险函数的限定。
表2
在从目标规则中解析出风险函数的目的是,由于现有技术在利用待检测数据去PHP威胁规则库时,是会逐一匹配PHP威胁规则库中的规则,尤其在匹配符合正则表达式的规则时,可能会消耗比较多的时间,本申请为了提升PHP威胁的识别速度,在生成PHP威胁知识库时,会对PHP威胁规则中的目标规则进行解析处理,以还原出该目标规则中的风险函数,为后续PHP威胁识别做准备。
在从目标规则中解析出风险函数后,可以对风险函数、PHP威胁规则中用于表征规则的函数进行合并处理,得到风险函数库。为了方便理解,还以开源的modsecurity waf中的PHP威胁规则库为例进行说明,则可以将表2中解析出的还原函数、表1中的高风险函数名(PHP Functions:High-Risk PHP Functions Names)和中等风险函数名(PHP Functions:Medium-Risk PHP Function Names)进行合并处理,得到风险函数库。
在此基础上,可以提取出PHP威胁规则库中除上述目标规则、上述用于表征规则的函数之外的其他形式的规则,然后将上述提取出的其他形式的规则与前述生成的风险函数库进行分类处理,并对分类得到的各分类类型进行标记处理,然后针对每一分类类型,根据该分类类型的标记将属于该分类类型下的对象添加对应的标记,从而也就得到了PHP威胁知识库。
需要说明的是,上述对象可以但不限于为函数、配置和变量等等。此外,在根据分类类型的标记为属于该分类类型下的对象添加标记时,还需要考虑对象的实际威胁程度。
为了方便理解,还以开源的modsecurity waf中的PHP威胁规则库为例进行说明,则在生成风险函数库后,可以根据各规则的规则检测方法,将表1中剩余的7种规则和上述风险函数库进行分类,并对每个分类类型进行标记处理,以及对每个分类类型下的对象进行标记处理,从而也就得到了PHP威胁知识库;
同时,还可以提取出每个分类类型的关键特征,以对各分类类型进行标识,即,不同的分类类型对应的关键特征不同。
可选地,上述各分类类型包括存在具体的威胁值的第一分类和不存在威胁值的第二分类,则上述第一分类和第二分类的关键特征可以参考表3所示:
表3
可选地,可以按照下述过程执行根据每个分类类型的标记,对该分类类型下的对象添加对应的标记,得到所述PHP威胁知识库的步骤:根据第一分类的标记,将属于存在具体的威胁值的第一分类中的规则类型添加对应的标记;将所述第一分类中每个规则类型下的对象添加标记;将添加了标记的对象按照ASCII码排序处理,得到排序后的对象;根据第二分类的标记,将属于不存在威胁值的第二分类中的规则类型添加对应的标记;将所述第二分类中每个规则类型下的对象添加标记;根据所述排序后的对象和添加了标记的第二分类中的对象,生成所述PHP威胁知识库。
具体地,上述存在具体的威胁值的第一分类包括至少一个规则类型下的对象,在此基础上,可以将上述第一分类所包括的规则类型进行标记处理,结合表3进行说明,采用上述标记方式得到的第一分类和第二分类下分别包括的规则类型的标记参考表4所示:
表4
需要说明的是,不同的规则类型打上的标记不同,标记的具体取值可以根据实际情况进行配置,本实施例对此不进行限定。
在为规则类型打上标记后,可以根据每个规则类型的标记,为表4中规则类型下的对象打上对应的标记,为每个对象打上的标记可以参考表5所示:
表5
需要说明的是,表5中的PHP威胁知识库仅是一个示例,并不构成对PHP威胁实施例的具体内容的限定。
通过为上述分类类型、规则类型和规则类型下的对象进行打标记,为后续利用目标特征匹配PHP威胁知识库时,可以实现规则的快速匹配。
在此基础上,可以按照下述方法执行步骤S104:若确定所述第一标记符合存在具体的威胁值的第一分类中规则类型的标记,则判断所述第二标记是否与预先配置的所述第一分类中的对象、命中该对象时词法分析器输出的第一目标标记、该对象对应所述PHP知识库的第二目标标记之间的对应关系相匹配;若匹配,则确认所述待检测数据存在PHP威胁。
具体地,上述预先配置的第一分类中的对象、命中该对象时词法分析器输出的第一目标标记、该对象对应所述PHP知识库的第二目标标记之间的对应关系可以参考表6所示,同时表6还可以包括预先配置的第二分类中的对象、命中该对象时词法分析器输出的第一目标标记、该对象对应所述PHP知识库的第二目标标记之间的对应关系。需要说明的是,表6仅是一个示例,并不构成对上述对应关系的限定。
表6
具体地,以表6为例进行说明,在获取待检测数据时,可以利用检测设备中设置的PHP威胁检测引擎来执行,该PHP威胁检测引擎获取到的待检测数据为PHP威胁检测引擎感兴趣的字符串;当利用flex词法分析器返回的第一标记为C、G、F、V、I中的任一个时,以第一标记为C为例进行说明,则表明该第一标记符合存在具体的威胁值的第一分类中规则类型的标记,然后再判断第二标记是否与表6中记录的第一分类对应的对应关系相匹配,即表6中序号1~序号5对应的对应关系,由于第一标记为C,则可以确认目标特征命中对象为配置信息(PHP Configuration Directives),同时确认目标特征命中该对象时词法分析器输出的第一目标标记为C,进而可以确认目标特征命中表6中第一行的对应关系;然后可以确认第二标记与第一目标标记所对应的第二目标标记相同,即判断第二标记是否为C,当为C时,则可以与上述对应关系相匹配,进而确认待检测数据存在PHP威胁。当不匹配时,则确认该待检测数据可能不存在PHP威胁,可以做进一步确认,例如向运维人员输出告警,以使运维人员进一步确认该待检测数据是否存在PHP威胁,具体实例可以参考表7所示,需要说明的是,表7仅是一个实例,并不构成具体限定。
表7
此外,若确定所述第一标记符合不存在威胁值的第二分类中规则类型的标记,则确定所述目标特征属于PHP威胁特征;判断所述第一标记与所述第二标记是否相同;若相同,则确定所述待检测数据存在PHP威胁;若不同,则确定所述待检测数据不存在PHP威胁。
具体地,当利用flex词法分析器返回的第一标记为P、R、O中的任一个时,则表明该第一标记符合不存在威胁值的第二分类中规则类型的标记,这样可以直接判断目标特征属于PHP威胁特征。为了更准确地确定待检测数据是否存在PHP威胁,则可以判断第一标记与第二标记是否相同,当相同时则可以直接确认待检测数据为存在PHP威胁的数据。
此外,当表6还包括预先配置的第二分类中的对象、命中该对象时词法分析器输出的第一目标标记、该对象对应所述PHP知识库的第二目标标记之间的对应关系时,在确认目标特征属于PHP威胁特征后,可以进一步判断所述第二标记是否与预先配置的所述第二分类中的对象、命中该对象时词法分析器输出的第一目标标记、该对象对应所述PHP知识库的第二目标标记之间的对应关系相匹配;若匹配,则确认所述待检测数据存在PHP威胁。
具体地,当利用flex词法分析器返回的第一标记为P、R、O中的任一个时,则表明该第一标记符合不存在威胁值的第二分类中规则类型的标记,则可以判断第二标记是否与表6中第二分类对应的对应关系是否相匹配,即表6中序号6~序号8对应的对应关系相匹配,当相匹配时,则可以确认待检测数据存在PHP威胁。
通过实施上述任一实施例提供的PHP威胁识别方法,利用词法分析器来识别待检测数据中命中PHP威胁规则的目标特征及命中规则类型对应的第一标记;然后再利用目标特征查询PHP威胁知识库,以确认目标特征在该PHP威胁知识库中所命中对象所属规则类型的第二标记,进而基于这两个标记来判断待检测数据是否存在PHP威胁。由此,大大降低了PHP威胁识别的识别时间,同时也提升了PHP威胁的识别性能。
基于同一发明构思,本申请还提供了与上述PHP威胁识别方法对应的PHP威胁识别装置。该PHP威胁识别装置的实施具体可以参考上述对PHP威胁识别方法的描述,此处不再一一论述。
参见图2,图2是本申请一示例性实施例提供的一种PHP威胁识别装置,包括:
获取模块201,用于获取待检测数据;
第一识别模块202,用于利用设定的词法分析器从所述待检测数据中提取出目标特征,并识别出对所述目标特征感兴趣的规则类型对应的第一标记;
第二识别模块203,用于利用所述目标特征匹配PHP威胁知识库,确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记,所述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的;
第三识别模块204,用于根据所述第一标记和所述第二标记,确认所述待检测数据是否存在PHP威胁。
可选地,基于上述实施例,本实施例提供的PHP威胁识别装置,还包括:
筛选模块(图中未示出),用于按照下述方法对PHP威胁规则库中的规则进行转换,以得到所述PHP威胁知识库:从所述PHP威胁规则库中筛选出符合正则表达式的目标规则;
还原模块(图中未示出),用于从所述目标规则中还原出风险函数;
合并模块(图中未示出),用于将所述风险函数与所述PHP威胁规则库中用于表征规则的函数进行合并处理,生成风险函数库;
分类模块(图中未示出),用于对所述PHP威胁规则库中除目标规则和所述用于表征规则的函数之外的规则和所述风险函数库进行分类处理;
第一标记模块(图中未示出),用于将分类得到的各分类类型进行标记处理;
第二标记模块(图中未示出),用于根据每个分类类型的标记,对该分类类型下的对象添加对应的标记,得到所述PHP威胁知识库。
可选地,基于上述实施例,本实施例中的各分类类型包括存在具体的威胁值的第一分类和不存在威胁值的第二分类。
在此基础上,所述第二标记模块(图中未示出),具体用于根据第一分类的标记,将属于存在具体的威胁值的第一分类中的规则类型添加对应的标记;将所述第一分类中每个规则类型下的对象添加标记;将添加了标记的对象按照ASCII码排序处理,得到排序后的对象;根据第二分类的标记,将属于不存在威胁值的第二分类中的规则类型添加对应的标记;将所述第二分类中每个规则类型下的对象添加标记;根据所述排序后的对象和添加了标记的第二分类中的对象,生成所述PHP威胁知识库。
可选地,基于上述实施例,本实施例中,所述第三识别模块204,具体用于若确定所述第一标记符合存在具体的威胁值的第一分类中规则类型的标记,则判断所述第二标记是否与预先配置的所述第一分类中的对象、命中该对象时词法分析器输出的第一目标标记、该对象对应所述PHP知识库的第二目标标记之间的对应关系相匹配;若匹配,则确认所述待检测数据存在PHP威胁。
可选地,上述第三识别模块204,还用于若确定所述第一标记符合不存在威胁值的第二分类中规则类型的标记,则确定所述目标特征属于PHP威胁特征;判断所述第一标记与所述第二标记是否相同;若相同,则确定所述待检测数据存在PHP威胁;若不同,则确定所述待检测数据不存在PHP威胁。
可选地,上述第三识别模块204,还用于若所述第一标记与所述第二标记相同,则确定所述待检测数据存在PHP威胁;若所述第一标记与所述第二标记不同,则确定所述待检测数据不存在PHP威胁。
通过设置上述任一实施例提供的PHP威胁识别装置,利用词法分析器来识别待检测数据中命中PHP威胁规则的目标特征及命中规则类型对应的第一标记;然后再利用目标特征查询PHP威胁知识库,以确认目标特征在该PHP威胁知识库中所命中对象所属规则类型的第二标记,进而基于这两个标记来判断待检测数据是否存在PHP威胁。由此,大大降低了PHP威胁识别的识别时间,同时也提升了PHP威胁的识别性能。
基于同一发明构思,本申请实施例提供了一种电子设备,该电子设备可以但不限于为上述防火墙设备或连接防火墙设备的检测设备。如图3所示,该电子设备包括处理器301和机器可读存储介质302,机器可读存储介质302存储有能够被处理器301执行的计算机程序,处理器301被计算机程序促使执行本申请任一实施例所提供的PHP威胁识别方法。此外,该电子设备还包括通信接口303和通信总线304,其中,处理器301,通信接口303,机器可读存储介质302通过通信总线304完成相互间的通信。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM)、DDR SRAM(Double Data Rate Synchronous Dynamic Random Access Memory,双倍速率同步动态随机存储器),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
另外,本申请实施例提供了一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例所提供的PHP威胁识别方法。
对于电子设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种PHP威胁识别方法,其特征在于,包括:
获取待检测数据;
利用设定的词法分析器从所述待检测数据中提取出目标特征,并识别出对所述目标特征感兴趣的规则类型对应的第一标记;
利用所述目标特征匹配PHP威胁知识库,确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记,所述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的;
根据所述第一标记和所述第二标记,确认所述待检测数据是否存在PHP威胁。
2.根据权利要求1所述的方法,其特征在于,所述PHP威胁知识库为按照下述方法对PHP威胁规则库中的规则进行转换得到的:
从所述PHP威胁规则库中筛选出符合正则表达式的目标规则;
从所述目标规则中还原出风险函数;
将所述风险函数与所述PHP威胁规则库中用于表征规则的函数进行合并处理,生成风险函数库;
对所述PHP威胁规则库中除目标规则和所述用于表征规则的函数之外的规则和所述风险函数库进行分类处理;
将分类得到的各分类类型进行标记处理;
根据每个分类类型的标记,对该分类类型下的对象添加对应的标记,得到所述PHP威胁知识库。
3.根据权利要求2所述的方法,其特征在于,所述各分类类型包括存在具体的威胁值的第一分类和不存在威胁值的第二分类;
根据每个分类类型的标记,对该分类类型下的对象添加对应的标记,得到所述PHP威胁知识库,包括:
根据第一分类的标记,将属于存在具体的威胁值的第一分类中的规则类型添加对应的标记;
将所述第一分类中每个规则类型下的对象添加标记;
将添加了标记的对象按照ASCII码排序处理,得到排序后的对象;
根据第二分类的标记,将属于不存在威胁值的第二分类中的规则类型添加对应的标记;
将所述第二分类中每个规则类型下的对象添加标记;
根据所述排序后的对象和添加了标记的第二分类中的对象,生成所述PHP威胁知识库。
4.根据权利要求3所述的方法,其特征在于,根据所述第一标记和所述第二标记,确认所述待检测数据是否存在PHP威胁,包括:
若确定所述第一标记符合存在具体的威胁值的第一分类中规则类型的标记,则判断所述第二标记是否与预先配置的所述第一分类中的对象、命中该对象时词法分析器输出的第一目标标记、该对象对应所述PHP知识库的第二目标标记之间的对应关系相匹配;
若匹配,则确认所述待检测数据存在PHP威胁。
5.根据权利要求4所述的方法,其特征在于,
若确定所述第一标记符合不存在威胁值的第二分类中规则类型的标记,则确定所述目标特征属于PHP威胁特征;
判断所述第一标记与所述第二标记是否相同;
若相同,则确定所述待检测数据存在PHP威胁;
若不同,则确定所述待检测数据不存在PHP威胁。
6.根据权利要求1所述的方法,其特征在于,根据所述第一标记和所述第二标记,确认所述待检测数据是否存在PHP威胁,包括:
若所述第一标记与所述第二标记相同,则确定所述待检测数据存在PHP威胁;
若所述第一标记与所述第二标记不同,则确定所述待检测数据不存在PHP威胁。
7.一种PHP威胁识别装置,其特征在于,包括:
获取模块,用于获取待检测数据;
第一识别模块,用于利用设定的词法分析器从所述待检测数据中提取出目标特征,并识别出对所述目标特征感兴趣的规则类型对应的第一标记;
第二识别模块,用于利用所述目标特征匹配PHP威胁知识库,确定所述PHP威胁知识库中所述目标特征命中的对象的第二标记,所述PHP威胁知识库为对PHP威胁规则库中的规则进行转换得到的;
第三识别模块,用于根据所述第一标记和所述第二标记,确认所述待检测数据是否存在PHP威胁。
8.根据权利要求7所述的装置,其特征在于,还包括:
筛选模块,用于按照下述方法对PHP威胁规则库中的规则进行转换,以得到所述PHP威胁知识库:从所述PHP威胁规则库中筛选出符合正则表达式的目标规则;
还原模块,用于从所述目标规则中还原出风险函数;
合并模块,用于将所述风险函数与所述PHP威胁规则库中用于表征规则的函数进行合并处理,生成风险函数库;
分类模块,用于对所述PHP威胁规则库中除目标规则和所述用于表征规则的函数之外的规则和所述风险函数库进行分类处理;
第一标记模块,用于将分类得到的各分类类型进行标记处理;
第二标记模块,用于根据每个分类类型的标记,对该分类类型下的对象添加对应的标记,得到所述PHP威胁知识库。
9.根据权利要求8所述的装置,其特征在于,所述各分类类型包括存在具体的威胁值的第一分类和不存在威胁值的第二分类;
所述第二标记模块,具体用于根据第一分类的标记,将属于存在具体的威胁值的第一分类中的规则类型添加对应的标记;将所述第一分类中每个规则类型下的对象添加标记;将添加了标记的对象按照ASCII码排序处理,得到排序后的对象;根据第二分类的标记,将属于不存在威胁值的第二分类中的规则类型添加对应的标记;将所述第二分类中每个规则类型下的对象添加标记;根据所述排序后的对象和添加了标记的第二分类中的对象,生成所述PHP威胁知识库。
10.根据权利要求9所述的装置,其特征在于,
所述第三识别模块,具体用于若确定所述第一标记符合存在具体的威胁值的第一分类中规则类型的标记,则判断所述第二标记是否与预先配置的所述第一分类中的对象、命中该对象时词法分析器输出的第一目标标记、该对象对应所述PHP知识库的第二目标标记之间的对应关系相匹配;若匹配,则确认所述待检测数据存在PHP威胁。
11.根据权利要求10所述的装置,其特征在于,
所述第三识别模块,还用于若确定所述第一标记符合不存在威胁值的第二分类中规则类型的标记,则确定所述目标特征属于PHP威胁特征;判断所述第一标记与所述第二标记是否相同;若相同,则确定所述待检测数据存在PHP威胁;若不同,则确定所述待检测数据不存在PHP威胁。
12.根据权利要求7所述的装置,其特征在于,
所述第三识别模块,具体用于若所述第一标记与所述第二标记相同,则确定所述待检测数据存在PHP威胁;若所述第一标记与所述第二标记不同,则确定所述待检测数据不存在PHP威胁。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210266156.9A CN114884686B (zh) | 2022-03-17 | 2022-03-17 | 一种php威胁识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210266156.9A CN114884686B (zh) | 2022-03-17 | 2022-03-17 | 一种php威胁识别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114884686A true CN114884686A (zh) | 2022-08-09 |
CN114884686B CN114884686B (zh) | 2024-03-08 |
Family
ID=82668022
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210266156.9A Active CN114884686B (zh) | 2022-03-17 | 2022-03-17 | 一种php威胁识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114884686B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117347992A (zh) * | 2023-10-11 | 2024-01-05 | 华中科技大学 | 一种小型雷达光电随动系统的目标捕捉和识别方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070192865A1 (en) * | 2006-02-14 | 2007-08-16 | Computer Associates Think Inc. | Dynamic threat event management system and method |
CN101267357A (zh) * | 2007-03-13 | 2008-09-17 | 北京启明星辰信息技术有限公司 | 一种sql注入攻击检测方法及系统 |
US20100058474A1 (en) * | 2008-08-29 | 2010-03-04 | Avg Technologies Cz, S.R.O. | System and method for the detection of malware |
CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
CN110602029A (zh) * | 2019-05-15 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种用于识别网络攻击的方法和系统 |
CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
CN112463944A (zh) * | 2020-12-22 | 2021-03-09 | 安徽商信政通信息技术股份有限公司 | 一种基于多模型融合的检索式智能问答方法及装置 |
CN112491917A (zh) * | 2020-12-08 | 2021-03-12 | 物鼎安全科技(武汉)有限公司 | 一种物联网设备未知漏洞识别方法及装置 |
CN113591077A (zh) * | 2021-07-30 | 2021-11-02 | 北京邮电大学 | 一种网络攻击行为预测方法、装置、电子设备及存储介质 |
-
2022
- 2022-03-17 CN CN202210266156.9A patent/CN114884686B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070192865A1 (en) * | 2006-02-14 | 2007-08-16 | Computer Associates Think Inc. | Dynamic threat event management system and method |
CN101267357A (zh) * | 2007-03-13 | 2008-09-17 | 北京启明星辰信息技术有限公司 | 一种sql注入攻击检测方法及系统 |
US20100058474A1 (en) * | 2008-08-29 | 2010-03-04 | Avg Technologies Cz, S.R.O. | System and method for the detection of malware |
CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
CN110602029A (zh) * | 2019-05-15 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种用于识别网络攻击的方法和系统 |
CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
CN112491917A (zh) * | 2020-12-08 | 2021-03-12 | 物鼎安全科技(武汉)有限公司 | 一种物联网设备未知漏洞识别方法及装置 |
CN112463944A (zh) * | 2020-12-22 | 2021-03-09 | 安徽商信政通信息技术股份有限公司 | 一种基于多模型融合的检索式智能问答方法及装置 |
CN113591077A (zh) * | 2021-07-30 | 2021-11-02 | 北京邮电大学 | 一种网络攻击行为预测方法、装置、电子设备及存储介质 |
Non-Patent Citations (3)
Title |
---|
SUMIT MORE: "A Knowledge-Based Approach To Intrusion Detection Modeling", 2012 IEEE SYMPOSIUM ON SECURITY AND PRIVACY WORKSHOPS * |
吴进;戴海彬;: "一种面向未知攻击的安全威胁发现技术研究", 通信管理与技术, no. 04 * |
肖云;王选宏;: "基于网络安全知识库的入侵检测模型", 计算机应用研究, no. 03 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117347992A (zh) * | 2023-10-11 | 2024-01-05 | 华中科技大学 | 一种小型雷达光电随动系统的目标捕捉和识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114884686B (zh) | 2024-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106778241B (zh) | 恶意文件的识别方法及装置 | |
CN110602045B (zh) | 一种基于特征融合和机器学习的恶意网页识别方法 | |
CN111338692A (zh) | 基于漏洞代码的漏洞分类方法、装置及电子设备 | |
CN113688240B (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
CN113139025B (zh) | 一种威胁情报的评价方法、装置、设备及存储介质 | |
CN112818126B (zh) | 网络安全语料库构建模型的训练方法、应用方法及装置 | |
CN112528294A (zh) | 漏洞匹配方法、装置、计算机设备和可读存储介质 | |
CN112613310A (zh) | 一种人名匹配方法、装置、电子设备及存储介质 | |
CN110750297A (zh) | 一种基于程序分析和文本分析的Python代码参考信息生成方法 | |
CN107748772B (zh) | 一种商标识别方法及装置 | |
CN114884686B (zh) | 一种php威胁识别方法及装置 | |
CN110765778B (zh) | 一种标签实体处理方法、装置、计算机设备和存储介质 | |
CN115801455B (zh) | 一种基于网站指纹的仿冒网站检测方法及装置 | |
CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
CN109409091B (zh) | 检测Web页面的方法、装置、设备以及计算机存储介质 | |
CN108595453B (zh) | Url标识映射获取方法及装置 | |
CN114021138B (zh) | 一种同源分析知识库的构建方法、同源分析方法及装置 | |
CN111143203B (zh) | 机器学习、隐私代码确定方法、装置及电子设备 | |
CN114021064A (zh) | 网站分类方法、装置、设备及存储介质 | |
CN114417860A (zh) | 一种信息检测方法、装置及设备 | |
CN113836297A (zh) | 文本情感分析模型的训练方法及装置 | |
CN111950037A (zh) | 检测方法、装置、电子设备及存储介质 | |
CN107436895B (zh) | 一种非结构化数据识别的方法和装置 | |
CN112187768B (zh) | 不良信息网站的检测方法、装置、设备及可读存储介质 | |
CN113704122B (zh) | 一种基于标准接口的ui自动化测试系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |