一种解码方法、装置、电子设备及存储介质与流程

本申请涉及网络技术与安全领域，特别涉及一种解码方法、装置、电子设备及存储介质。

背景技术：

1、当前web应用防火墙(web application firewall，简称waf)通过过滤http和https数据包的内容实现保护。然而无论是通过规则还是模型对恶意的数据包进行拦截，首先都要能够正确地解码出数据包的内容，但是现在的攻击者为了绕过waf的限制往往会通过多种混合嵌套的编码方式将恶意信息隐藏起来，所以这就要求waf能够在不知道所用的编码算法和组合逻辑的情况下正确地对数据包的内容进行解码，从而使得恶意信息暴露出来被识别检测到。

2、现有的解码方法主要为顺序解码，即将waf内所有的解码算法排成一个序列，然后让待解码的字符串依次通过序列中的每一个解码算法。但是，当编码顺序与解码顺序不一致时很容易被绕过，导致waf漏报，waf的检测能力低。

技术实现思路

1、本申请提供一种解码方法、装置、电子设备及存储介质，用以提高检测能力。

2、第一方面，本申请实施例提供一种解码方法，该方法包括：

3、获取解码特征集，所述解码特征集包括多个解码算法和多个正则表达式，所述多个解码算法和所述多个正则表达式一一对应；

4、根据所述解码特征集分别对输入列表中的每个字符串进行解码操作，得到解码结果；根据所述解码结果，生成解码列表；

5、若所述解码列表与所述输入列表中的字符串不同，则将所述解码列表中的字符串替换所述输入列表中的字符串，并对更新后的输入列表中的字符串进行解码操作，直至生成的解码列表与所述更新后的输入列表中的字符串相同。

6、由于本申请实施例可以通过提取解码特征进行正则匹配，提前确定输入列表中的每个字符串相匹配的解码算法，动态更新每一步需要的解码算法，且还可以确定解码列表中的字符串是否与输入列表中的字符串相同来减小因为编码顺序和解码顺序不一致导致的绕过的可能性，从而可以提高检测能力。

7、一种可选的实施方式为，通过如下方式对所述输入列表中的每个字符串进行解码操作：

8、将所述字符串与所述解码特征集中的多个正则表达式进行匹配，得到匹配结果；

9、根据所述匹配结果，对所述字符串进行解码操作。

10、由于本申请实施例可以通过与解码特征集中的多个正则表达式匹配，动态确定与字符串相匹配的解码算法，来对字符串进行解码，从而可以提高检测能力。

11、一种可选的实施方式为，所述根据所述匹配结果，对所述字符串进行解码操作，包括：

12、若所述匹配结果为匹配成功，则确定与所述字符串匹配成功的至少一个正则表达式；

13、分别根据所述至少一个正则表达式对应的解码算法，对所述字符串进行解码操作。

14、由于本申请实施例通过正则匹配，可以确定与字符串相匹配的至少一个解码算法，使得后续可以使用至少一种解码算法顺序的解码方式对字符串进行解码，从而可以降低因为编码顺序和解码顺序不一致导致绕过的解码算法，提高检测能力。

15、一种可选的实施方式为，若所述匹配结果为匹配失败，则确定所述解码结果为空，将所述字符串作为所述解码结果中。

16、由于本申请实施例在确定字符串与解码特征集中的多个正则表达式不匹配时，将该字符串作为字符串对应的解码结果，可以表示该字符串解码结束。

17、一种可选的实施方式为，所述根据所述解码结果，生成解码列表，包括：

18、对所述输入列表中的每个字符串各自对应的解码结果进行合并去重，得到所述解码列表。

19、第二方面，本申请实施例提供一种解码装置，包括：

20、获取单元，用于获取解码特征集，所述解码特征集包括多个解码算法和多个正则表达式，所述多个解码算法和所述多个正则表达式一一对应；

21、解码单元，用于根据所述解码特征集分别对输入列表中的每个字符串进行解码操作，得到解码结果；根据所述解码结果，生成解码列表；若所述解码列表与所述输入列表中的字符串不同，则将所述解码列表中的字符串替换所述输入列表中的字符串，并对更新后的输入列表中的字符串进行解码操作，直至生成的解码列表与所述更新后的输入列表中的字符串相同。

22、第三方面，本申请实施例提供一种电子设备，包括存储器和处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，当所述计算机程序被所述处理器执行时，实现如第一方面所记载的解码方法。

23、第四方面，本申请实施例还提供一种计算机存储介质，所述计算机存储介质中存储有计算机程序指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面所记载的解码方法。

24、第二方面至第四方面中任意一种实现方式所带来的技术效果可参见第一方面中对应的实现方式所带来的技术效果，此处不再赘述。

技术特征：

1.一种解码方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，通过如下方式对所述输入列表中的每个字符串进行解码操作：

3.根据权利要求2所述的方法，其特征在于，所述根据所述匹配结果，对所述字符串进行解码操作，包括：

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

5.根据权利要求1-4任一项所述的方法，其特征在于，所述根据所述解码结果，生成解码列表，包括：

6.一种解码装置，其特征在于，所述装置包括：

7.根据权利要求6所述的装置，其特征在于，所述解码单元通过如下方式对所述输入列表中的每个字符串进行解码操作：

8.根据权利要求7所述的装置，其特征在于，所述解码单元具体用于：

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，当所述计算机程序被所述处理器执行时，实现权利要求1～5中任一项所述的方法。

10.一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现权利要求1～5中任一项所述的方法。

技术总结
本申请提供一种解码方法、装置、电子设备及存储介质，用以提高检测能力。该方法包括：获取解码特征集，解码特征集包括多个解码算法和多个正则表达式，多个解码算法和多个正则表达式一一对应；根据解码特征集分别对输入列表中的每个字符串进行解码操作，得到解码结果；根据解码结果，生成解码列表；在解码列表与输入列表中的字符串不同时，将解码列表中的字符串替换输入列表中的字符串，并对更新后的输入列表中的字符串进行解码操作，直至生成的解码列表与更新后的输入列表中的字符串相同，从而可以避免被复杂的编码方法绕过，进而可以提高检测能力。

技术研发人员：熊嘉歆,陈瑛,秦金晓,田淑亚
受保护的技术使用者：中国电信股份有限公司技术创新中心
技术研发日：
技术公布日：2024/1/5