WO2018014808A1

WO2018014808A1 - 网络攻击行为检测方法及装置

Info

Publication number: WO2018014808A1
Application number: PCT/CN2017/093156
Authority: WO
Inventors: 何彦军; 龙付成; 崔藜千
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2016-07-19
Filing date: 2017-07-17
Publication date: 2018-01-25
Also published as: CN105959335A; CN105959335B; US10848505B2; US20180332057A1

Abstract

本申请实施例公开了一种网络攻击行为检测方法及相关装置，包括：接收用户上传信息，判断用户上传信息中是否包含网络攻击信息；在用户上传信息中不包含网络攻击信息的情况下，将用户上传信息发送至业务逻辑层进行处理。通过对用户上传信息的检测过程，及时发现用户上传信息中是否包含网络攻击信息，并仅在用户上传信息中不包含网络攻击信息的情况下，才将用户上传信息发送至业务逻辑层进行处理，实现了对网络攻击行为的及时检测，提高网络数据安全性；在用户上传信息中包含网络攻击信息的情况下，并不会将所述用户上传信息发送至业务逻辑层进行处理，避免了在业务逻辑层对网络攻击信息进行处理的步骤，减少服务器的资源消耗，减轻服务器的负担。

Description

网络攻击行为检测方法及装置

本申请要求于2016年7月19日提交中国专利局、申请号为201610575103.X、发明名称为“一种网络攻击行为检测方法及相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及数据处理技术领域，具体涉及一种网络攻击行为检测方法及相关装置。

背景技术

网络攻击行为是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击行为，随着网络技术的发展，网络攻击行为日益影响着网络的安全性，例如，有些网络攻击行为通过提交一段数据库查询代码，就可以根据程序返回的结果，获得某些他想得知的数据，如用户账户、密码等信息；有些网络攻击行为则将恶意代码植入到提供给其它用户使用的页面中，通过植入代码盗取各类用户账户、或者控制企业数据。

因此，如何提供一种网络攻击行为检测方法，提高网络数据安全性，成为目前亟待解决的问题。

发明内容

有鉴于此，本申请实施例提供一种网络攻击行为检测方法及相关装置，能够实现了对网络攻击行为的及时检测，提高网络数据安全性。

为实现上述目的，本申请实施例提供如下技术方案：

一种网络攻击行为检测方法，包括：

接收用户上传信息，所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息；

判断所述用户上传信息中是否包含网络攻击信息；

仅在所述用户上传信息中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。

一种网络攻击行为检测装置，包括：

用户上传信息接收模块，用于接收用户上传信息，所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息；

判断模块，用于判断所述用户上传信息中是否包含网络攻击信息；

第一用户上传信息发送模块，用于仅在所述用户上传信息中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。

一种应用服务器，包括：如前所述的网络攻击行为检测装置。

基于上述技术方案，本申请实施例公开了一种网络攻击行为检测方法及相关装置，包括：接收用户上传信息，判断所述用户上传信息中是否包含网络攻击信息；仅在所述用户上传信息中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。本申请实施例中通过对用户上传信息的检测过程，能够及时发现用户上传信息中是否包含网络攻击信息，并在所述用户上传信息中不包含网络攻击信息的情况下，才将所述用户上传信息发送至业务逻辑层进行处理，实现了对网络攻击行为的及时检测，提高网络数据安全性；在所述用户上传信息中包含网络攻击信息的情况下，并不会将所述用户上传信息发送至业务逻辑层进行处理，避免了在业务逻辑层对网络攻击信息进行处理的步骤，从而减少了服务器的资源消耗，减轻了服务器的负担。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的网络攻击行为检测方法的流程图；

图2为本申请实施例提供的网络攻击行为检测方法的另一流程图；

图3为本申请实施例提供的网络攻击行为检测方法的又一流程图；

图4为本申请实施例提供的网络攻击行为检测方法的又一流程图；

图5为本申请实施例提供的网络攻击行为检测方法的又一流程图；

图6为本申请实施例提供的网络攻击行为检测方法的又一流程图；

图7为本申请实施例提供的网络攻击行为检测装置的结构框图；

图8为本申请实施例提供的判断模块的结构框图；

图9为本申请实施例提供的判断模块的另一结构框图；

图10为本申请实施例提供的网络攻击行为检测装置的硬件结构框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本方案的发明人发现，随着网络技术的发展，网络攻击行为日益影响着网络的安全性，例如，有些网络攻击行为通过提交一段数据库查询代码，就可以根据程序返回的结果，获得某些他想得知的数据，如用户账户、密码等信息；有些网络攻击行为则将恶意代码植入到提供给其它用户使用的页面中，通过植入代码盗取各类用户账户、或者控制企业数据。

基于此，如何提供一种网络攻击行为检测方法，提高网络数据安全性，成为目前亟待解决的问题。

本申请实施例中公开的技术方案为了解决上述问题，提出了一种网络攻击行为检测方法及相关装置，包括：接收用户上传信息，判断所述用户上传信息中是否包含网络攻击信息；仅在所述用户上传信息中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。本申请实施例中通过对用户上传信息的检测过程，能够及时发现用户上传信息中是否包含网络攻击信息，并在所述用户上传信息中不包含网络攻击信息的情况下，才将所述用户上传信息发送至业务逻辑层进行处理，实现了对网络攻击行为的及时检测，提高网络数据安全性；在所述用户上传信息中包含网络攻击信息的情况下，并不会将所述用户上传信息发送至业务逻辑层进行处理，避免了在业务逻辑层对网络攻击信息进行处理的步骤，从而减少了服务器的资源消耗，减轻了服务器的负担。

图1为本申请实施例提供的网络攻击行为检测方法的流程图，该方法可应用于能够提供网络攻击行为检测的服务器，服务器具体可为集群服务器，该服务器具备通过网络与客户端进行通信的功能。参照图1，所述方法可以包括：

步骤S100、接收用户上传信息；

可选地，所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息。

步骤S110、判断所述用户上传信息中是否包含网络攻击信息；

可选地，判断所述用户上传信息中是否包含网络攻击信息的步骤，可以判断所述用户上传信息中的发送方信息是否是合法发送方信息，也可以判断所述用户上传信息中的上传请求参数中是否包含网络攻击信息，对此，本申请将在下面的部分详细说明。

步骤S120、仅在所述用户上传信息中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。

可选地，框架层是整个系统的可重用设计骨架，业务逻辑层，也可以称为领域层，主要关注系统领域业务的处理，负责逻辑性数据的生成、处理及转换。一般地，请求会先经过框架层处理之后再流转到业务逻辑层处理，因此，框架层封装的是对所有请求进行处理的公共方法，需要高度抽象，而业务逻辑层是针对领域业务处理的，更具体。

本申请实施例中公开的网络攻击行为检测方法主要在框架层执行，只有在框架层中确定所述用户上传信息中不包含网络攻击信息的情况下，才会将所述用户上传信息发送至业务逻辑层进行处理，实现了对网络攻击行为的及时检测，提高网络数据安全性；在所述用户上传信息中包含网络攻击信息的情况下，并不会将所述用户上传信息发送至业务逻辑层进行处理，这样避免了在业务逻辑层对网络攻击信息进行处理的步骤，不会产生多余的垃圾数据，还能够降低服务器的资源消耗，减轻服务器的负担。

优选地，图2示出了本申请实施例提供的另一种网络攻击行为检测方法的流程图，参照图2，该方法可以包括：

步骤S200、接收用户上传信息；

步骤S210、提取所述用户上传信息中的发送方信息；

可选地，所述发送方信息至少包括：发送用户上传信息的用户对应的用户标识(例如，用户登录应用程序采用的账号等)或者发送用户上传信息的用户的网络之间互连的协议IP地址；

步骤S220、判断所述发送方信息是否是合法发送方信息；

可选地，本申请实施例中可以在服务器端维护一发送方白名单列表，所述发送方白名单列表中至少包括：发送用户上传信息的合法用户对应的合法发送方信息，所述发送方白名单列表存储在服务器中，可以由工作人员对发送方白名单列表中的合法用户对应的合法发送方信息进行定期更新，本申请实施例不做具体限定。

基于此，本申请实施例中公开的判断所述发送方信息是否是合法发送方信息的步骤可以包括：判断所述发送方信息是否存储在发送方白名单列表中，如果是，则确认所述发送方信息为合法发送方信息，认为所述用户上传信息中不包含网络攻击信息；否则，所述发送方信息为非法发送方信息，认为所述用户上传信息中包含网络攻击信息。

可选地，本申请实施例中可以在服务器端维护一发送方黑名单列表，所述发送方黑名单列表中至少包括：发送用户上传信息的非法用户对应的非法发送方信息。所述发送方黑名单列表存储在服务器中，可以由工作人员对发送方黑名单列表中的非法用户对应的非法发送方信息进行定期更新，也可以通过服务器对发送用户上传信息的用户对应的发送方信息进行验证，依据验证结果，对发送方黑名单列表中的非法用户对应的非法发送方信息进行自动更新，本申请实施例不做具体限定。

基于此，本申请实施例中公开的判断所述发送方信息是否是合法发送方信息的步骤可以包括：判断所述发送方信息是否未存储在发送方黑名单列表中，如果没有存储在发送方黑名单列表中，则确认所述发送方信息为合法发送方信息，并认为所述用户上传信息中不包含网络攻击信息；如果存储在发送方黑名单列表中，则确认所述发送方信息为非法发送方信息，并认为所述用户上传信息中包含网络攻击信息。

可选地，本申请实施例中在确定在所述用户上传信息中不包含网络攻击信息的情况下，还包括：提取不包含网络攻击信息的用户上传信息中的发送方信息；依据所述不包含网络攻击信息的用户上传信息中的发送方信息，对所述发送方白名单列表进行更新。

或者，提取包含网络攻击信息的用户上传信息中的发送方信息；依据所述包含网络攻击信息的用户上传信息中的发送方信息，对所述发送方黑名单列表进行更新。

步骤S230、仅在所述发送方信息是合法发送方信息的情况下，也即用户上传信息中不包含网络攻击的情况下，将所述用户上传信息发送至业务逻辑层进行处理。

本申请实施例提供的一种网络攻击行为检测方法通过对用户上传信息的检测过程，能够及时发现发送方信息是否是合法发送方信息，并在所述发送方信息是合法发送方信息的情况下，才将所述用户上传信息发送至业务逻辑层进行处理，实现了对网络攻击行为的及时检测，提高网络数据安全性；在所述发送方信息是非法发送方信息的情况下，并不会将所述用户上传信息发送至业务逻辑层进行处理，避免了在业务逻辑层对网络攻击信息进行处理的步骤，从而减少了服务器的资源消耗，减轻了服务器的负担。

优选地，图3示出了本申请实施例提供的另一种网络攻击行为检测方法的流程图，参照图3，该方法可以包括：

步骤S300、接收用户上传信息；

步骤S310、提取所述用户上传信息中的上传请求参数；

可选地，所述上传请求参数为用户上传信息过程中采用的参数，例如客户端登录应用程序过程中提交的登录请求参数，或者客户端主动向服务器发送的一条查询请求参数，或者在客户端与服务器交互过程中传输的交互语句参数等，本申请实施例不做具体限定。

步骤S320、判断所述上传请求参数中是否包含网络攻击信息；

需要说明的是，目前网络上常见的攻击方式有：SQL(Structured Query Language，结构化查询语言)注入攻击以及XSS(Cross Site Scripting，跨站脚本)注入攻击，SQL注入攻击指的是用户可以提交一段数据库查询代码，就可以根据程序返回的结果，获得某些他想得知的数据。XSS注入攻击是一种经常出现在网页应用中的计算机安全漏洞，它允许恶意网页用户将代码植入到提供给其它用户使用的页面中，以达到盗取各类用户账户、控制企业数据等目的。XSS注入攻击分为持久型攻击和非持久型攻击，持久型攻击是将攻击代码持久化之后，被其他用户使用时才产生影响，而非持久型攻击则是对当次访问产生影响。

针对以上两种类型的攻击行为，现做如下举例说明：

假设现在程序中有一条SQL语句是SELECT*FROM Users WHERE Username＝'$username'AND Password＝'$password'，如果用户输入的上传信息的内容是$username＝1'or'1'＝'1和$password＝1'or'1'＝'1，那么不进行网络攻击行为检测的话，就会得到 SELECT*FROM Users WHERE Username＝'1'OR'1'＝'1'AND Password＝'1'OR'1'＝'1'，通过这条SQL语句，就会查询出来所有的用户信息，进而泄漏这些用户的数据。

如果用户在请求的参数里构造特定的具有XSS攻击行为的内容，那么程序将这些数据保存到数据库里后，当其他用户访问到这些数据的时候，就会在不知情的情况下泄漏自己的信息，比如登录态信息等，比如，用户如果输入上传信息<script>alert(document.cookie)</script>这段代码，并能够生效的话，那么就可以构造出一段脚本，将当前访问用户的储存在用户本地终端上的数据信息发送到他指定的服务器上，从而盗取了当前访问用户的登录信息，劫持当前访问用户的会话。

需要说明的是，SQL注入攻击主要采用如下方式产生攻击行为：在参数中构造特殊的语句，混淆数据类别以及越权访问数据。XSS注入攻击主要采用如下方式产生攻击行为：在数据中添加空格、回车等字符，用Ascii(American Standard Code for Information Interchange，美国标准信息交换代码)码编码html(hyper text markup language，超文本标记语言)属性以及混合大小写。

结合上述SQL注入攻击以及XSS注入攻击的攻击方式以及攻击特点，本申请实施例中公开的判断所述上传请求参数中是否包含网络攻击信息的具体过程可以采用如下两种方式中的至少一种：

第一：判断所述上传请求参数中是否包含结构化查询语言SQL注入攻击特征字符，例如判断所述上传请求参数中是否含有反引号、单引号等数据库特殊字符等，本申请实施例不做具体限定。

第二：判断所述上传请求参数中是否包含跨站脚本XSS注入攻击特征字符，例如判断所述上传请求参数中是否含有<、>、`、&或#等特殊字符，本申请实施例不做具体限定。

步骤S330、仅在所述上传请求参数中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。

本申请实施例提供的一种网络攻击行为检测方法通过对用户上传信息的检测过程，能够及时发现上传请求参数中是否包含网络攻击信息，并在所述上传请求参数中包含网络攻击信息的情况下，才将所述用户上传信息发送至业务逻辑层进行处理，实现了对网络攻击行为的及时检测，提高网络数据安全性；在上传请求参数中包含网络攻击信息的情况下，并不会将所述用户上传信息发送至业务逻辑层进行处理，避免了在业务逻辑层对网络攻击信息进行处理的步骤，从而减少了服务器的资源消耗，减轻了服务器的负担。

优选地，图4示出了本申请实施例提供的另一种网络攻击行为检测方法的流程图，参照图4，该方法可以包括：

步骤S400、接收用户上传信息；

步骤S410、判断所述用户上传信息中是否包含网络攻击信息；在所述用户上传信息中包含网络攻击信息的情况下，执行步骤S420；在所述用户上传信息中不包含网络攻击信息的情况下，执行步骤S450以将所述用户上传信息发送至业务逻辑层进行处理；

步骤S420、在预设时间间隔中，统计由同一用户发送包含网络攻击信息的用户上传信息的次数；

步骤S430、判断由同一用户发送包含网络攻击信息的用户上传信息的次数是否满足预设网络攻击次数值，在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下，执行步骤S440；

需要说明的是，预设网络攻击次数值是由服务器依据统计的产生网络攻击行为的频率设定的，或者是由工作人员依据经验设定的，本申请实施例中不做限定。

步骤S440、限制该用户的访问并向该用户发送访问受到限制的提示信息。

本申请实施例中，对于有些用户上传的信息被系统误认为是网络攻击信息的情况下，则会被添加到黑名单中，并且该用户发送的访问受到限制，影响用户的正常操作，考虑到黑客的网络攻击行为一般是高频率情况，即黑客在进行网络攻击的时候，会间隔不断的发送用户上传信息。基于此，本申请实施例中在预设时间间隔中，统计由同一用户发送包含网络攻击信息的用户上传信息的次数的操作，即通过对发起网络攻击行为的频率的检测，确定用户上传信息的操作是否是网络攻击行为。

优选地，图5示出了本申请实施例提供的另一种网络攻击行为检测方法的流程图，参照图5，该方法可以包括：

步骤S500、接收用户上传信息；

步骤S510、提取用户上传信息中的发送方信息；

步骤S520、判断所述发送方信息是否存储在安全扫描白名单列表中，如果是，则执行步骤S530；

需要说明的是，所述安全扫描白名单列表中至少包括：适配安全平台漏洞扫描的发送方信息。

步骤S530、判断所述用户上传信息中是否包含网络攻击信息；仅在所述用户上传信息中不包含网络攻击信息的情况下，执行步骤S540；

步骤S540、将所述用户上传信息发送至业务逻辑层进行处理。

需要说明的是，内部人员在定期对应用程序或者网站的安全平台进行漏洞扫描的时候，所发送的上传信息中也会包含网络攻击信息，但是此种情况并不是外部人员恶意的网络攻击行为，而是内部人员对应用程序或者网站进行的安全维护过程，本申请实施例中通过在服务器中预先存储安全扫描白名单列表，通过判断用户上传信息中的发送方信息是否是适配安全平台漏洞扫描的发送方信息的步骤，能够防止误将内部人员对安全平台进行漏洞扫描的过程认为是网络攻击行为。

优选地，图6示出了本申请实施例提供的另一种网络攻击行为检测方法的流程图，参照图6，该方法可以包括：

步骤S600、接收用户上传信息；

步骤S610、提取用户上传信息中的发送方信息；

步骤S620、判断所述发送方信息中是否包含漏洞扫描的请求标识，如果是，则执行步骤S630；

需要说明的是，所述漏洞扫描的请求标识标识着发送用户上传信息的行为是一种对应用程序或者网站的安全平台进行漏洞扫描的行为，所述漏洞扫描的请求标识是工作人员在进行漏洞扫描之前，预先添加到发送方信息中的。

步骤S630、判断所述用户上传信息中是否包含网络攻击信息；仅在所述用户上传信息中不包含网络攻击信息的情况下，执行步骤S640；

步骤S640、将所述用户上传信息发送至业务逻辑层进行处理。

本申请实施例中通过判断所述发送方信息中是否包含漏洞扫描的请求标识的步骤，能够防止误将内部人员对安全平台进行漏洞扫描的过程认为是网络攻击行为。

下面对本申请实施例提供的网络攻击行为检测装置进行介绍，下文描述的网络攻击行为检测装置可与上文网络攻击行为检测方法相互对应参照。

图7为本申请实施例提供的网络攻击行为检测装置的结构框图，该网络攻击行为检测装置具体可以为应用服务器，参照图7，该网络攻击行为检测装置可以包括：

用户上传信息接收模块100，用于接收用户上传信息，所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息；

判断模块110，用于判断所述用户上传信息中是否包含网络攻击信息；

第一用户上传信息发送模块120，用于仅在所述用户上传信息中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。

可选地，图8示出了判断模块110的结构图，参阅图8，该判断模块110具体包括：

第一发送方信息提取模块200，用于提取所述用户上传信息中的发送方信息，所述发送方信息至少包括：发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的协议IP地址；

合法发送方信息判断模块210，用于判断所述发送方信息是否是合法发送方信息，如果发送方信息是合法发送方信息，则确定用户上传信息不包含网络攻击信息，否则确定用户上传信息中包含网络攻击信息。

进一步需要说明的是，本申请实施例提供的合法发送方信息判断模块包括第一合法发送方信息判断子模块或第二合法发送方信息判断子模块，其中：

第一合法发送方信息判断子模块，用于判断所述发送方信息是否存储在发送方白名单列表中，所述发送方白名单列表中至少包括：发送用户上传信息的合法用户对应的合法发送方信息；

第二合法发送方信息判断子模块，用于判断所述发送方信息是否未存储在发送方黑名单列表中，所述发送方黑名单列表中至少包括：发送用户上传信息的非法用户对应的非法发送方信息。

可选地，图9示出了判断模块110的另一种结构图，参阅图9，该判断模块110具体包括：

上传请求参数提取模块300，用于提取所述用户上传信息中的上传请求参数，所述上传请求参数为用户上传信息过程中采用的参数；

上传请求参数判断模块310，用于判断所述上传请求参数中是否包含网络攻击信息。

所述上传请求参数判断模块包括SQL注入攻击特征判断模块和XSS注入攻击特征判断模块中的至少一个，其中：

SQL注入攻击特征判断模块，用于判断所述上传请求参数中是否包含结构化查询语言SQL注入攻击特征字符；

XSS注入攻击特征判断模块，用于判断所述上传请求参数中是否包含跨站脚本XSS注入攻击特征字符。

进一步需要说明的是，本申请实施例提供的网络攻击行为检测装置还可以包括：用户上传信息次数统计模块，用于在预设时间间隔中，统计由同一用户发送包含网络攻击信息的用户上传信息的次数；提示信息发送模块，用于在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下，向该用户发送访问受到限制的提示信息。

进一步需要说明的是，本申请实施例提供的网络攻击行为检测装置还可以包括：

第二发送方信息提取模块，用于提取用户上传信息中的发送方信息；

第一发送方信息判断模块，用于判断所述发送方信息是否存储在安全扫描白名单列表中，所述安全扫描白名单列表中至少包括：适配安全平台漏洞扫描的发送方信息。

第三发送方信息提取模块，用于提取用户上传信息中的发送方信息；

第二发送方信息判断模块，用于判断所述发送方信息中是否包含漏洞扫描的请求标识。

本申请实施例提供的网络攻击行为检测装置还包括：

第四发送方信息提取模块，用于提取不包含网络攻击信息的用户上传信息中的发送方信息；

白名单列表更新模块，用于依据所述不包含网络攻击信息的用户上传信息中的发送方信息，对所述发送方白名单列表进行更新。

另外，本申请实施例提供的网络攻击行为检测装置还可以包括：第五发送方信息提取模块，用于提取包含网络攻击信息的用户上传信息中的发送方信息；

黑名单列表更新模块，用于依据所述包含网络攻击信息的用户上传信息中的发送方信息，对所述发送方黑名单列表进行更新。

可选地，网络攻击行为检测装置可以为硬件设备，上文描述的模块、单元可以设置于网络攻击行为检测装置内的功能模块。

图10示出了网络攻击行为检测装置的硬件结构框图，参照图10，网络攻击行为检测装置可以包括：处理器1，通信接口2，存储器3和通信总线4；其中处理器1、通信接口2、存储器3通过通信总线4完成相互间的通信；可选地，通信接口2可以为通信模块的接口，如GSM模块的接口；

处理器1，用于执行程序；存储器3，用于存放程序；程序可以包括程序代码，所述程序代码包括计算机操作指令。

处理器1可能是一个中央处理器CPU，或者是特定集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本申请实施例的一个或多个集成电路；存储器3可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

其中，处理器在执行存储在存储器中的程序时可实施如前面所述的网络攻击行为检测方法，例如：

判断所述用户上传信息中是否包含网络攻击信息；

在所述用户上传信息中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

一种网络攻击行为检测方法，其特征在于，包括：

接收用户上传信息，所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息；

判断所述用户上传信息中是否包含网络攻击信息；

仅在所述用户上传信息中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。
根据权利要求1所述的方法，其特征在于，所述判断所述用户上传信息中是否包含网络攻击信息的步骤包括：

提取所述用户上传信息中的发送方信息，所述发送方信息至少包括：发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的协议IP地址；

判断所述发送方信息是否是合法发送方信息，其中，如果所述发送方信息是合法发送方信息，则确定所述用户上传信息中不包含网络攻击信息，如果发送方信息不是合法的发送方信息，则确定所述用户上传信息中包含网络攻击信息。
根据权利要求2所述的方法，其特征在于，所述判断所述发送方信息是否是合法发送方信息的步骤包括：

判断所述发送方信息是否存储在发送方白名单列表中，所述发送方白名单列表中至少包括：发送用户上传信息的合法用户对应的合法发送方信息。
根据权利要求2所述的方法，其特征在于，所述判断所述发送方信息是否是合法发送方信息的步骤包括：

判断所述发送方信息是否未存储在发送方黑名单列表中，所述发送方黑名单列表中至少包括：发送用户上传信息的非法用户对应的非法发送方信息。
根据权利要求1所述的方法，其特征在于，所述判断所述用户上传信息中是否包含网络攻击信息的步骤包括：

提取所述用户上传信息中的上传请求参数，所述上传请求参数为用户上传信息过程中采用的参数；

判断所述上传请求参数中是否包含网络攻击信息。
根据权利要求5所述的方法，其特征在于，所述判断所述上传请求参数中是否包含网络攻击信息的步骤包括下述步骤中的至少一个：

判断所述上传请求参数中是否包含结构化查询语言注入攻击特征字符；和

判断所述上传请求参数中是否包含跨站脚本注入攻击特征字符。
根据权利要求1所述的方法，其特征在于，还包括：

在预设时间间隔中，统计由同一用户发送包含网络攻击信息的用户上传信息的次数；

在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下，向该用户发送访问受到限制的提示信息。
根据权利要求1所述的方法，其特征在于，在判断所述用户上传信息中是否包含网络攻击信息之前，还包括：

提取用户上传信息中的发送方信息；

判断所述发送方信息是否存储在安全扫描白名单列表中，所述安全扫描白名单列表中至少包括：适配安全平台漏洞扫描的发送方信息；

在所述发送方信息存储在安全扫描白名单列表中的情况下，判断所述用户上传信息中是否包含网络攻击信息。
根据权利要求1所述的方法，其特征在于，在判断所述用户上传信息中是否包含网络攻击信息之前，还包括：

提取用户上传信息中的发送方信息；

判断所述发送方信息中是否包含漏洞扫描的请求标识；

在所述发送方信息中包含漏洞扫描的请求标识的情况下，判断所述用户上传信息中是否包含网络攻击信息。
根据权利要求1或3所述的方法，其特征在于，在确定在所述用户上传信息中不包含网络攻击信息的情况下，还包括：

提取不包含网络攻击信息的用户上传信息中的发送方信息；

依据所述不包含网络攻击信息的用户上传信息中的发送方信息，对所述发送方白名单列表进行更新。
根据权利要求1或4所述的方法，其特征在于，在确定在所述用户上传信息中包含网络攻击信息的情况下，还包括：

提取包含网络攻击信息的用户上传信息中的发送方信息；

依据所述包含网络攻击信息的用户上传信息中的发送方信息，对所述发送方黑名单列表进行更新。
一种网络攻击行为检测装置，其特征在于，包括：

用户上传信息接收模块，用于接收用户上传信息，所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息；

判断模块，用于判断所述用户上传信息中是否包含网络攻击信息；

第一用户上传信息发送模块，用于仅在所述用户上传信息中不包含网络攻击信息的情况下，将所述用户上传信息发送至业务逻辑层进行处理。
根据权利要求12所述的装置，其特征在于，所述判断模块包括：

第一发送方信息提取模块，用于提取所述用户上传信息中的发送方信息，所述发送方信息至少包括：发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的协议IP地址；

合法发送方信息判断模块，用于判断所述发送方信息是否是合法发送方信息，其中，如果所述发送方信息是合法发送方信息，则确定所述用户上传信息中不包含网络攻击信息；如果发送方信息不是合法的发送方信息，则确定所述用户上传信息中包含网络攻击信息。
根据权利要求13所述的装置，其特征在于，所述合法发送方信息判断模块包括：

第一合法发送方信息判断子模块，用于判断所述发送方信息是否存储在发送方白名单列表中，所述发送方白名单列表中至少包括：发送用户上传信息的合法用户对应的合法发送方信息。
根据权利要求13所述的装置，其特征在于，所述合法发送方信息判断模块包括：

第二合法发送方信息判断子模块，用于判断所述发送方信息是否未存储在发送方黑名单列表中，所述发送方黑名单列表中至少包括：发送用户上传信息的非法用户对应的非法发送方信息。
根据权利要求12所述的装置，其特征在于，所述判断模块包括：

上传请求参数提取模块，用于提取所述用户上传信息中的上传请求参数，所述上传请求参数为用户上传信息过程中采用的参数；

上传请求参数判断模块，用于判断所述上传请求参数中是否包含网络攻击信息。
根据权利要求16所述的装置，其特征在于，所述上传请求参数判断模块包括结构化查询语言注入攻击特征判断模块和跨站脚本注入攻击特征判断模块中的至少一个，其中：

结构化查询语言注入攻击特征判断模块，用于判断所述上传请求参数中是否包含结构化查询语言注入攻击特征字符；

跨站脚本注入攻击特征判断模块，用于判断所述上传请求参数中是否包含跨站脚本注入攻击特征字符。
根据权利要求12所述的装置，其特征在于，还包括：

用户上传信息次数统计模块，用于在预设时间间隔中，统计由同一用户发送包含网络攻击信息的用户上传信息的次数；

提示信息发送模块，用于在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下，向该用户发送访问受到限制的提示信息。
根据权利要求12所述的装置，其特征在于，还包括：

第二发送方信息提取模块，用于提取用户上传信息中的发送方信息；

第一发送方信息判断模块，用于判断所述发送方信息是否存储在安全扫描白名单列表中，所述安全扫描白名单列表中至少包括：适配安全平台漏洞扫描的发送方信息。
根据权利要求12所述的装置，其特征在于，还包括：

第三发送方信息提取模块，用于提取用户上传信息中的发送方信息；

第二发送方信息判断模块，用于判断所述发送方信息中是否包含漏洞扫描的请求标识。
根据权利要求12或14所述的装置，其特征在于，还包括：

第四发送方信息提取模块，用于提取不包含网络攻击信息的用户上传信息中的发送方信息；

白名单列表更新模块，用于依据所述不包含网络攻击信息的用户上传信息中的发送方信息，对所述发送方白名单列表进行更新。
根据权利要求12或15所述的装置，其特征在于，还包括：

第五发送方信息提取模块，用于提取包含网络攻击信息的用户上传信息中的发送方信息；

黑名单列表更新模块，用于依据所述包含网络攻击信息的用户上传信息中的发送方信息，对所述发送方黑名单列表进行更新。
一种应用服务器，其特征在于，包括：

如权利要求12至权利要求22任意一项所述的网络攻击行为检测装置。