绕过检测和变异关系学习方法、装置、电子设备及介质与流程

本发明涉及网络安全，尤其涉及一种绕过检测和变异关系学习方法、装置、电子设备及计算机可读存储介质。

背景技术：

1、攻击者通常会通过sql(structurequerylanguage，结构化查询语言)注入或webshell等方式对web应用进行攻击。sql注入是一种常见的网络安全攻击方式，其通常是将恶意sql命令注入到后台数据库执行。对于sql注入的识别和防护主要依赖于web应用防火墙。web应用防火墙通常通过解析请求，对解析得到的字符串进行匹配检测，如果解析得到的字符串命中了预先构建的黑名单库中的已知属于sql注入的字段，则判定该请求属于sql注入，并对该sql注入进行拦截。通过不同sql注入策略以绕过web应用防火墙的拦截，一方面可以实现sql注入，另一个还可以让web应用防火墙学习这种sql注入策略，以实现对sql注入的更有效的拦截。

2、webshell是攻击者所使用的攻击脚本，攻击者可以利用webshell对已经被攻击的web应用进行升级和访问。webshell的功能不仅包括执行shell命令以及代码，还包括对数据库及文件进行操作。

3、为了对应攻击者的sql注入或webshell等方式的攻击，需要对攻击是否绕过安全防护设备，例如web应用防火墙设备，进行检测，进而对安全防护设备的检测能力进行更新。现有的绕过检测方式的检测的准确率和效率均较低，严重影响了安全防护设备的检测能力的更新，从而使安全防护设备的防护能力的不足。

技术实现思路

1、本发明的目的在于提供一种绕过检测和变异关系学习方法、装置、电子设备及计算机可读存储介质，以解决现有技术中sql注入的计算资源开销较大并且注入效率较低的技术问题。

2、本发明的技术方案如下，提供一种绕过检测方法，包括：

3、根据预先学习的历史绕过信息和历史变异操作之间的关系确定当前有效载荷对应的目标变异操作；

4、基于所述目标变异操作对所述当前有效载荷进行变异，得到变异后的有效载荷；

5、根据所述变异后的有效载荷构造请求报文，将所述请求报文发送至目标设备，从所述目标设备中获取响应报文；

6、根据所述响应报文，确定所述请求报文是否绕过所述目标设备。

7、进一步地，所述历史绕过信息和历史变异操作之间的关系通过以下方式学习：

8、根据所述历史绕过信息设置对应的奖励；

9、基于所述奖励及所述变异后的有效载荷学习所述历史绕过信息和历史变异操作之间的关系。

10、进一步地，所述基于所述奖励及所述变异后的有效载荷学习所述历史绕过信息和历史变异操作之间的关系，包括：

11、对所述当前有效载荷进行分词操作，得到目标序列；

12、将所述目标序列映射到预设第一索引序列，根据所述目标序列和所述预设第一索引序列，得到第二索引序列，以所述第二索引序列作为所述当前有效载荷的特征；

13、根据所述奖励及所述特征学习所述历史绕过信息和历史变异操作之间的关系。

14、进一步地，所述根据所述变异后的有效载荷构造请求报文，包括：

15、根据所述请求报文的类型确定目标体；

16、将所述变异后的有效载荷嵌入至所述目标体内的预设位置，得到所述请求报文。

17、进一步地，所述绕过检测方法还包括：

18、若所述请求报文绕过所述目标设备，对所述目标设备的检测能力进行更新。

19、本发明的另一技术方案如下，提供一种变异关系学习方法，包括：

20、获取当前有效载荷；

21、对所述当前有效载荷进行变异，根据变异后的有效载荷构造请求报文；

22、将构造后的所述请求报文发送至目标设备，并从所述目标设备中获取响应报文；

23、根据所述响应报文判断所述请求报文是否绕过所述目标设备，若没绕过，则继续执行所述对所述当前有效载荷进行变异，根据变异后的有效载荷构造请求报文的步骤及其后续所有步骤，直至执行次数达到预设次数或者所述请求报文绕过所述目标设备停止执行；

24、根据每一次执行过程中的绕过结果和变异操作学习变异关系。

25、进一步地，所述根据每一次执行过程中的绕过结果和变异操作学习变异关系包括：

26、根据每一次执行过程中的绕过结果设置奖励；

27、根据所述奖励及所述变异操作学习所述变异关系。

28、本发明的另一技术方案如下，提供一种绕过检测装置，包括变异操作确定模块、第一有效载荷获取模块、第一响应报文获取模块以及绕过判断模块；

29、所述变异操作确定模块，用于根据预先学习的历史绕过信息和历史变异操作之间的关系确定当前有效载荷对应的目标变异操作；

30、所述第一有效载荷获取模块，用于基于所述目标变异操作对所述当前有效载荷进行变异，得到变异后的有效载荷；

31、所述第一响应报文获取模块，用于根据所述变异后的有效载荷构造请求报文，将所述请求报文发送至目标设备，从所述目标设备中获取响应报文；

32、所述绕过判断模块，用于根据所述响应报文，确定所述请求报文是否绕过所述目标设备。

33、本发明的另一技术方案如下，提供一种变异关系学习装置，包括第二有效载荷获取模块、请求报文构造模块、第二响应报文获取模块、循环使能模块以及变异关系学习模块；

34、所述第二有效载荷获取模块，用于获取当前有效载荷；

35、所述请求报文构造模块，用于对所述当前有效载荷进行变异，根据变异后的有效载荷构造请求报文；

36、所述第二响应报文获取模块，用于将构造后的所述请求报文发送至目标设备，并从所述目标设备中获取响应报文；

37、所述循环使能模块，用于根据所述响应报文判断所述请求报文是否绕过所述目标设备，若没绕过，则继续执行所述对所述当前有效载荷进行变异，根据变异后的有效载荷构造请求报文的步骤及其后续所有步骤，直至执行次数达到预设次数或者所述请求报文绕过所述目标设备停止执行；

38、所述变异关系学习模块，用于根据每一次执行过程中的绕过结果和变异操作学习变异关系

39、本发明的另一技术方案如下，提供一种电子设备，包括存储器、处理器，所述存储器存储有可被所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如上述任一项技术方案所述的绕过检测方法的步骤，或者实现如上述技术方案所述的变异关系学习方法的步骤。

40、本发明的另一技术方案如下，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项技术方案所述的绕过检测方法的步骤，或者实现如上述技术方案所述的变异关系学习方法的步骤。

41、本发明提供的一种绕过检测和变异关系学习方法、装置、电子设备及计算机可读存储介质，通过根据预先学习的历史绕过信息和历史变异操作之间的关系确定当前有效载荷对应的目标变异操作，基于目标变异操作对当前有效载荷进行变异，得到变异后的有效载荷，根据变异后的有效载荷构造请求报文，将请求报文发送至目标设备，从目标设备中获取响应报文，根据响应报文，确定请求报文是否绕过目标设备，可以实现绕过检测，提高了绕过检测的准确度和效率。