一种信息检测方法、装置、设备及计算机可读存储介质与流程

本申请涉及互联网，尤其涉及一种信息检测方法、装置、设备及计算机可读存储介质。

背景技术：

1、随着互联网技术的飞速发展，黑客利用全球广域网(world wide web，web)漏洞远程注入恶意代码，从而控制服务端或窃取服务端信息；目前，常使用基于规则的检测方法来检测注入的恶意代码是否攻击成功；其中，基于规则的检测方法是通过将响应方向信息与基于安全经验整理的信息进行匹配，以此来检测注入的恶意代码是否攻击成功。但是，相关技术中基于规则的检测方法在检测注入的恶意代码是否成功攻击服务端时，存在仅能识别出具有固定格式的恶意代码的问题，导致检测精度较低。

技术实现思路

1、为解决上述技术问题，本申请实施例期望提供一种信息检测方法、装置、设备及计算机可读存储介质，可以解决相关技术中检测注入的恶意代码是否攻击成功的检测方法，仅能检测出具有固定格式的恶意代码的问题，扩大了检测攻击是否成功的广泛适用性，且提高了检测精度。

2、本申请的技术方案是这样实现的：

3、一种信息检测方法，所述方法包括：

4、获取待检测编程文本对应的第一输出信息；其中，所述第一输出信息是所述待检测编程文本运行后得到的；

5、对所述待检测编程文本进行解析，生成所述待检测编程文本对应的语法结构树；

6、对所述语法结构树进行分析，并基于分析结果确定第二输出信息；

7、基于所述第一输出信息和所述第二输出信息，确定所述待检测编程文本中攻击信息是否注入成功。

8、上述方案中，所述对所述待检测编程文本进行解析，生成所述待检测编程文本对应的语法结构树，包括：

9、基于目标词法文件对所述待检测编程文本进行词法分析，得到所述待检测编程文本的字词；其中，所述目标词法文件是所述待检测编程文本所采用的编程语言对应的词法文件；

10、基于所述编程语言对应的目标语法文件对所述字词进行语法分析，得到所述待检测编程文本中变量之间的层级关系和所述变量之间的关联方式；

11、基于所述待检测编程文本中的变量、所述层级关系和所述关联方式，生成所述语法结构树；其中，所述语法结构树中的节点关联了与所述节点具有对应关系的所述待检测编程文本的函数。

12、上述方案中，所述对所述语法结构树进行分析，并基于分析结果确定第二输出信息，包括：

13、对所述语法结构树进行分析，确定所述语法结构树中每一节点对应的目标变量、所述目标变量之间的目标关联方式和所述目标变量对应的目标函数；

14、基于所述目标函数、所述目标变量和所述目标关联方式，生成目标编程文本；

15、基于所述目标编程文本确定所述第二输出信息；其中，所述第二输出信息是所述目标编程文本运行后得到的。

16、上述方案中，所述基于所述第一输出信息和所述第二输出信息，确定所述待检测编程文本中攻击信息是否注入成功，包括：

17、基于所述第二输出信息，确定所述待检测编程文本中的所述攻击信息的攻击类型；

18、基于所述攻击类型、所述第一输出信息和所述第二输出信息，确定所述待检测编程文本中攻击信息是否注入成功。

19、上述方案中，所述基于所述攻击类型、所述第一输出信息和所述第二输出信息，确定所述待检测编程文本中攻击信息是否注入成功，包括：

20、在所述攻击类型为第一攻击类型，且所述第一输出信息与所述第二输出信息匹配的情况下，确定所述待检测编程文本中攻击信息注入失败；其中，所述第一攻击类型表征获取所述待检测编程文本所在的第一设备中的信息；

21、在所述攻击类型为第一攻击类型，且所述第一输出信息与所述第二输出信息不匹配的情况下，确定所述待检测编程文本中攻击信息注入成功；

22、在所述攻击类型为第二攻击类型，且所述第一输出信息与所述第二输出信息匹配的情况下，确定所述待检测编程文本对应的设备的行为信息；

23、基于所述设备的行为信息，确定所述待检测编程文本中攻击信息是否注入成功。

24、上述方案中，所述基于所述设备的行为信息，确定所述待检测编程文本中攻击信息是否注入成功，包括：

25、在所述第二攻击类型表征对所述第一设备中的目标文件或系统进行了操作时，基于所述第一设备和所述第一设备对应的第二设备所产生的所述行为信息，确定所述待检测编程文本中攻击信息是否注入成功；

26、在所述第二攻击类型表征在所述第一设备中加载了恶意文件时，基于所述第二设备所产生的所述行为信息，确定所述待检测编程文本中攻击信息是否注入成功。

27、上述方案中，所述方法还包括：

28、基于所述攻击信息的攻击类型，从目标信息安全数据库中确定所述攻击信息的属性信息；

29、基于所述属性信息生成告警信息。

30、一种信息检测装置，所述装置包括：

31、获取单元，用于获取待检测编程文本对应的第一输出信息；其中，所述第一输出信息是所述待检测编程文本运行后得到的；

32、处理单元，用于对所述待检测编程文本进行解析，生成所述待检测编程文本对应的语法结构树；

33、所述处理单元，还用于对所述语法结构树进行分析，并基于分析结果确定第二输出信息；

34、确定单元，用于基于所述第一输出信息和所述第二输出信息，确定所述待检测编程文本中攻击信息是否注入成功。

35、一种信息检测设备，所述设备包括：处理器、存储器和通信总线；

36、所述通信总线用于实现所述处理器和所述存储器之间的通信连接；

37、所述处理器用于执行所述存储器中存储的信息检测程序，以实现上述的信息检测方法的步骤。

38、一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述的信息检测方法的步骤。

39、本申请实施例所提供的信息检测方法、装置、设备及计算机可读存储介质，通过获取对待检测编程文本运行后得到的输出信息，其中，待检测编程文本是采用目标编程语言生成的，再对待检测编程文本进行解析，生成待检测编程文本对应的语法结构树，再对语法结构树进行分析，得到待检测编程文本对应的编程信息，之后基于输出信息和编程信息，确定待检测编程文本中攻击信息是否注入成功；如此，通过对待检测编程文本对应的语法结构树进行分析可以精确还原出完整代码，并对还原出的完整代码进行运行得到第二输出信息，之后将第一输出信息和第二输出信息进行比对就可以知道待检测编程文本中攻击信息是否注入成功，这种方案对于任何待检测编程文本都是适用的，从而解决了相关技术中检测注入的恶意代码是否攻击成功的检测方法，仅能检测出具有固定格式的恶意代码的问题，扩大了检测攻击是否成功的广泛适用性，且提高了检测精度。

技术特征：

1.一种信息检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述对所述待检测编程文本进行解析，生成所述待检测编程文本对应的语法结构树，包括：

3.根据权利要求1所述的方法，其特征在于，所述对所述语法结构树进行分析，并基于分析结果确定第二输出信息，包括：

4.根据权利要求1所述的方法，其特征在于，所述基于所述第一输出信息和所述第二输出信息，确定所述待检测编程文本中攻击信息是否注入成功，包括：

5.根据权利要求4所述的方法，其特征在于，所述基于所述攻击类型、所述第一输出信息和所述第二输出信息，确定所述待检测编程文本中攻击信息是否注入成功，包括：

6.根据权利要求5所述的方法，其特征在于，所述基于所述设备的行为信息，确定所述待检测编程文本中攻击信息是否注入成功，包括：

7.根据权利要求4所述的方法，其特征在于，所述方法还包括：

8.一种信息检测装置，其特征在于，所述装置包括：

9.一种信息检测设备，其特征在于，所述设备包括：处理器、存储器和通信总线；

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1～8任一项所述的信息检测方法的步骤。

技术总结
本申请实施例公开了一种信息检测方法，该方法包括：获取待检测编程文本对应的第一输出信息；其中，第一输出信息是待检测编程文本运行后得到的；对待检测编程文本进行解析，生成待检测编程文本对应的语法结构树；对语法结构树进行分析，并基于分析结果确定第二输出信息；基于第一输出信息和第二输出信息，确定待检测编程文本中攻击信息是否注入成功。本申请实施例还公开了一种信息检测装置、设备及计算机可读存储介质。

技术研发人员：范炜轩,程丽铭,林鑫淼
受保护的技术使用者：深信服科技股份有限公司
技术研发日：
技术公布日：2024/1/12