请求走私攻击的检测方法、装置、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，特别是涉及一种请求走私攻击的检测方法、装置、电子设备及存储介质。


背景技术：

2.http/2是一种网络协议，是http/1.1的升级版本，由ietf在2015年发布。http/2旨在提高web性能，减少延迟，增加安全性，使web应用更加快速、高效和可靠。目前多数网站站点采用反向代理技术加快用户访问速度并减轻后端服务器的负载压力。反向代理是指以代理服务器接收客户端流量，然后转发给内部网络上的服务器，获取资源后返回给客户端。为了使代理服务器与后端服务器同步接收数据，需要对客户端传入的数据进行请求结束定位，http/1.1规范提供了两种不同的方法来指定请求的结束位置：content-length标头和transfer-encoding标头。http/1.1请求走私就是利用了不同服务器解释请求长度之间的差异进行攻击。但在http/2中，这些标头是多余的，http/2消息是以一系列单独的数据帧的形式通过网络发送的，每个消息正文都具有一个内置长度的字段，该字段确切地告诉服务器要读入多少字节，因此请求的长度是数据帧长度的总和。但这并不意味着http/2不会受到请求走私攻击的影响，http/2降级仍然会使网站面临请求走私攻击的风险。
3.http/2降级是使用http/2语法重写http/1.1请求以生成等效http/1.1请求的过程。web服务器和反向代理使用http/2降级是为了向客户端提供http/2支持，同时与仅使用http/1.1的后端服务器进行通信。黑客通过http/2降级这一手段实现http/2请求走私攻击比如后端服务器中的网络站点，而http/2请求走私攻击主要分为以下两种类型：(1)h2-cl，反向代理服务器使用http/2协议的内置请求长度，后端http/1.1服务器使用content-length标头；(2)h2-te，反向代理服务器使用http/2协议的内置请求长度，后端http/1.1服务器使用transfer-encoding标头。目前已有的http走私攻击检测均针对http/1.1协议，通过构造或生成请求数据包并根据响应判断是否存在http走私攻击或通过响应时间判断是否存在走私攻击漏洞，由于http协议的差异，已有的检测方式无法针对http/2请求走私攻击进行有效、快速、准确的检测。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够自动检测目标站点是否存在http/2请求走私攻击的攻击漏洞以及是否受到http/2请求走私攻击的请求走私攻击的检测方法、装置、电子设备及存储介质。
5.第一方面，提供一种请求走私攻击的检测方法，所述方法包括：
6.接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式为主动检测方式和被动检测方式；
7.响应于所述检测方式为所述主动检测方式，生成包含特征值的检测数据包，
8.根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；
9.响应于所述检测方式为所述被动检测方式，根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；
10.根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；
11.确定所述头部信息中是否存在目标字符；
12.若是，则根据所述目标字符确定目标攻击类型；
13.若否，则确定所述目标站点未受到所述请求走私攻击。
14.在其中一个实施例中，所述根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括：
15.其中所述特征值包括第一特征值和第二特征值；
16.根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包；
17.响应于接收到所述目标站点返回的第一检测响应数据，确定所述第一检测响应数据中是否存在所述第一特征值；
18.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
19.若否，则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。
20.在其中一个实施例中，所述根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括：
21.根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包；
22.响应于接收到所述目标站点返回的第二检测响应数据，确定所述第二检测响应数据中是否存在所述第二特征值；
23.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
24.若否，则确定所述目标站点不存在所述攻击漏洞。
25.在其中一个实施例中，所述根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息，包括：
26.根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息，
27.其中所述映射字典包含头部信息和索引之间的映射关系表。
28.在其中一个实施例中，所述方法还包括：
29.响应于所述头部信息中存在目标字符，根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息；
30.确定正文信息中是否存在所述请求行数据；
31.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
32.其中所述目标字符包括第一目标字符和第二目标字符，所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。
33.在其中一个实施例中，所述方法还包括获取所述目标站点发送的响应数据，所述确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括：
34.确定所述目标站点是否报错；
35.若是，则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致；
36.若否，则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。
37.在其中一个实施例中，所述确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括：
38.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
39.若否，则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。
40.另一方面，提供一种请求走私攻击的检测装置，所述装置包括：
41.接收模块，用于接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式包括主动检测方式和被动检测方式；
42.生成模块，响应于所述检测方式为所述主动检测方式，用于生成包含特征值的检测数据包，
43.第一确定模块，用于根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；
44.获取模块，响应于所述检测方式为所述被动检测方式，用于根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；
45.解压模块，用于根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；
46.第二确定模块，用于包括：
47.确定所述头部信息中是否存在目标字符；
48.若是，则根据所述目标字符确定目标攻击类型；
49.若否，则确定所述目标站点未受到所述请求走私攻击。
50.在其中一个实施例中，所述第一确定模块根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括：
51.其中所述特征值包括第一特征值和第二特征值；
52.根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包；
53.响应于接收到所述目标站点返回的第一检测响应数据，确定所述第一检测响应数据中是否存在所述第一特征值；
54.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
55.若否，则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。
56.在其中一个实施例中，所述第一确定模块根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括：
57.根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包；
58.响应于接收到所述目标站点返回的第二检测响应数据，确定所述第二检测响应数据中是否存在所述第二特征值；
59.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
60.若否，则确定所述目标站点不存在所述攻击漏洞。
61.在其中一个实施例中，所述解压模块根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息，包括：
62.根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息，
63.其中所述映射字典包含头部信息和索引之间的映射关系表。
64.在其中一个实施例中，所述装置还包括：
65.解压模块，响应于所述头部信息中存在目标字符，还用于根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息；
66.第二确定模块，还用于包括：
67.确定正文信息中是否存在所述请求行数据；
68.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
69.其中所述目标字符包括第一目标字符和第二目标字符，所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。
70.在其中一个实施例中，所述获取模块，还用于获取所述目标站点发送的响应数据，所述第二确定模块确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括：
71.确定所述目标站点是否报错；
72.若是，则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致；
73.若否，则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。
74.在其中一个实施例中，所述第二确定模块确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括：
75.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
76.若否，则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。
77.再一方面，提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
78.接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式为主动检测方式和被动检测方式；
79.响应于所述检测方式为所述主动检测方式，生成包含特征值的检测数据包，
80.根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；
81.响应于所述检测方式为所述被动检测方式，根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；
82.根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；
83.确定所述头部信息中是否存在目标字符；
84.若是，则根据所述目标字符确定目标攻击类型；
85.若否，则确定所述目标站点未受到所述请求走私攻击。
86.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
87.所述根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括：
88.其中所述特征值包括第一特征值和第二特征值；
89.根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包；
90.响应于接收到所述目标站点返回的第一检测响应数据，确定所述第一检测响应数据中是否存在所述第一特征值；
91.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
92.若否，则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。
93.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
94.所述根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括：
95.根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包；
96.响应于接收到所述目标站点返回的第二检测响应数据，确定所述第二检测响应数据中是否存在所述第二特征值；
97.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
98.若否，则确定所述目标站点不存在所述攻击漏洞。
99.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
100.所述根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息，包括：
101.根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息，
102.其中所述映射字典包含头部信息和索引之间的映射关系表。
103.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
104.响应于所述头部信息中存在目标字符，根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息；
105.确定正文信息中是否存在所述请求行数据；
106.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
107.其中所述目标字符包括第一目标字符和第二目标字符，所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。
108.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
109.获取所述目标站点发送的响应数据，所述确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括：
110.确定所述目标站点是否报错；
111.若是，则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致；
112.若否，则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。
113.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
114.所述确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括：
115.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
116.若否，则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。
117.又一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
118.接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式为主动检测方式和被动检测方式；
119.响应于所述检测方式为所述主动检测方式，生成包含特征值的检测数据包，
120.根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；
121.响应于所述检测方式为所述被动检测方式，根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；
122.根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；
123.确定所述头部信息中是否存在目标字符；
124.若是，则根据所述目标字符确定目标攻击类型；
125.若否，则确定所述目标站点未受到所述请求走私攻击。
126.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
127.所述根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括：
128.其中所述特征值包括第一特征值和第二特征值；
129.根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包；
130.响应于接收到所述目标站点返回的第一检测响应数据，确定所述第一检测响应数据中是否存在所述第一特征值；
131.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
132.若否，则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。
133.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
134.所述根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括：
135.根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包；
136.响应于接收到所述目标站点返回的第二检测响应数据，确定所述第二检测响应数据中是否存在所述第二特征值；
137.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
138.若否，则确定所述目标站点不存在所述攻击漏洞。
139.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
140.所述根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息，包括：
141.根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息，
142.其中所述映射字典包含头部信息和索引之间的映射关系表。
143.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
144.响应于所述头部信息中存在目标字符，根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息；
145.确定正文信息中是否存在所述请求行数据；
146.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
147.其中所述目标字符包括第一目标字符和第二目标字符，所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。
148.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
149.获取所述目标站点发送的响应数据，所述确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括：
150.确定所述目标站点是否报错；
151.若是，则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致；
152.若否，则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。
153.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
154.所述确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括：
155.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
156.若否，则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。
157.通过接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中检测指令包括目标站点和检测方式，检测方式为主动检测方式和被动检测方式；响应于检测方式为主动检测方式，生成包含特征值的检测数据包，根据特征值确定目标站点是否存在请求走私攻击的攻击漏洞；响应于检测方式为被动检测方式，根据用户设置的检测周期定时获取目标站点接收到的请求数据，根据请求数据中的头部信息帧和第2版超文本传输协议的头部压缩算法解压生成头部信息；确定头部信息中是否存在目标字符；若是，则根据目标字符确定目标攻击类型；若否，则确定目标站点未受到请求走私攻击。通过主动探测目标站点可能存在的http/2请求走私攻击漏洞，降低目标站点被攻击的风险，提高目标站点的安全性；被动监测目标站点可能受到的http/2请求走私攻击，识别http/2走私攻击类型，从而提醒用户进行针对性的修复。
附图说明
158.图1为请求走私攻击的主动检测方式的流程示意图；
159.图2为请求走私攻击的被动检测方式的流程示意图；
160.图3为请求走私攻击的检测方法的步骤示意图；
161.图4为包含第一特征值的检测数据包的示例图；
162.图5为包含第一目标字符的请求数据的示例图；
163.图6为包含第二目标字符的请求数据的示例图；
164.图7为站点处理后的包含第一目标字符的请求数据的示例图；
165.图8为站点处理后的包含第二目标字符的请求数据的示例图；
166.图9为请求走私攻击的检测装置的结构示意图；
167.图10为本发明实施例中计算机设备的内部结构图。
具体实施方式
168.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
169.本技术提供的如图1所示的http/2(第2版超文本传输协议)请求走私攻击的主动检测方式的流程示意图，通过先生成包含第一特征值的第一检测数据包并发送到目标站点，然后根据返回的响应数据中是否包含第一特征值确定是否存在http/2请求走私攻击的攻击漏洞，再以相同的方法根据第二特征值再确定一次目标站点是否存在http/2请求走私攻击的攻击漏洞。本技术提供的如图2所示的http/2请求走私攻击的被动检测方式的流程示意图，首先在检测周期内定时获取请求数据和响应数据，然后通过hpack(http/2头部压缩)算法将请求数据解压生成头部信息，通过确定头部信息中是否包含目标字符，同时判断对应的data帧中是否包含符合http/1.1等协议的请求行数据来确定目标站点手否受到http/2请求走私攻击，之后如果目标站点报错，则继续确定响应数据中的未授权信息和报错信息是否一致，从而确定是否还受到其他的http/2请求走私攻击。
170.在一个实施例中，如图3所示，本发明提供一种请求走私攻击的检测方法，所述方法包括：
171.s301、接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式为主动检测方式和被动检测方式；
172.s302、响应于所述检测方式为所述主动检测方式，生成包含特征值的检测数据包，
173.s303、根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；
174.s304、响应于所述检测方式为所述被动检测方式，根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；
175.s305、根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；
176.s306、确定所述头部信息中是否存在目标字符；
177.s307、若是，则根据所述目标字符确定目标攻击类型；
178.s308、若否，则确定所述目标站点未受到所述请求走私攻击。
179.具体的，可以在10分钟的检测周期内先通过抓包软件随机获取一个或多个请求以及对应的响应数据，具体的检测周期和抓取多少对请求数据和响应数据可以由用户自行设置，之后通过hpack算法解压缩headers帧后恢复请求数据中的http头部信息。通过确定头
部信息中是否存在目标字符来判断站点是否受到攻击以及对应的攻击类型。在实际生产环境中的条件复杂，用户需要针对具体情况选择主动检测目标站点是否存在http/2请求走私攻击的攻击漏洞，还是被动监测目标站点是否受到http/2请求走私攻击。其中当反向代理与目标站点均不可达，如与测试设备处于不同局域网时，无法直接使用主动检测方式；或当目标站点运行重要业务或存储了敏感信息时，主动探测的攻击可能会造成预料外的影响，无法使用主动检测方式，此时只能选择被动检测方式；对应的，当目标站点同时运行了会被流量捕获软件截取到业务数据或敏感数据的业务时，无法使用被动检测方式，还能选择主动检测。具体选择哪种方式，甚至是两种方式都要进行(可以先进行主动检测在目标站点没有攻击漏洞之后再进行被动监测)由用户自行选择。比如当目标站点存在h2-cl类型和h2-te类型对应的http/2走私攻击漏洞中的至少一种时，向用户告警，提醒用户修复存在的攻击漏洞；并且当攻击漏洞修复完成后，继续在用户设置的检测周期内定时监测目标站点是否收到http/2请求走私攻击。一般情况下，经过修复的目标站点不会受到h2-cl类型和h2-te类型的http/2走私攻击漏洞，但http/2请求走私攻击与服务器实际配置有直接关系，如果未严格按照rfc规范执行且当实际配置发生变化时，无法保证变化后的仍不存在风险，即仍有小概率受到包括h2-cl类型和h2-te类型在内的http/2走私攻击漏洞；并且对于在未来研究中存在的其他可能造成http/2请求走私攻击的手段，并不能保证覆盖，所以仍然需要被动监测目标站点是否受到http/2走私攻击漏洞。
180.在其中一个实施例中，所述根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括：
181.其中所述特征值包括第一特征值和第二特征值；
182.根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包；
183.响应于接收到所述目标站点返回的第一检测响应数据，确定所述第一检测响应数据中是否存在所述第一特征值；
184.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
185.若否，则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。
186.具体的，其中第一特征值为content-length，第二特征值为transfer-encoding，如图4所示，首先生成包含content-length的h2-cl类型的检测数据包即错误http请求的数据包，然后将其发送到目标站点，若站点存在h2-cl类型对应的http/2走私攻击漏洞，此时返回的检测响应数据中会包含“content-length”字符，若检测响应数据中不包含“content-length”字符，则说明目标站点不存在h2-cl类型对应的http/2走私攻击漏洞并继续确定是否存在h2-te类型的http/2走私攻击漏洞。
187.在其中一个实施例中，所述根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括：
188.根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包；
189.响应于接收到所述目标站点返回的第二检测响应数据，确定所述第二检测响应数据中是否存在所述第二特征值；
190.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
191.若否，则确定所述目标站点不存在所述攻击漏洞。
192.具体的，如上所述，先生成包含transfer-encoding的h2-te类型的检测数据包即错误http请求的数据包，然后将该检测数据包发送到目标站点，若目标站点存在h2-te类型的http/2走私攻击漏洞，此时返回的检测响应数据中会包含“transfer-encoding”字符，若检测响应数据中不包含“transfer-encoding”字符，则说明目标站点不存在h2-te类型对应的http/2走私攻击漏洞。
193.在其中一个实施例中，所述根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息，包括：
194.根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息，
195.其中所述映射字典包含头部信息和索引之间的映射关系表。
196.具体的，关于hpack算法，由于http/2协议的特点，http/2协议全部使用二进制格式传输数据，而非http/1.1使用纯文本形式传输数据。http/2将http/1.1原来的头部与消息体分割为数个二进制帧，并定义了多种帧类型，用headers帧存放头数据，data帧存放请求正文信息。在http/1.1中，请求的第一行包含请求方法和路径，http/2用一系列伪头部字段替换了请求行。由于http/1.1协议的头部包含了大量相同的字段，这些字段增加了数据传输负担。所以http/2采用了hpack算法对请求行、请求头、响应行、响应头http头部信息进行了压缩。在hpack算法中，可以通过字典的方式建立http头部信息同索引之间的映射关系，在请求发送与接收端都获知该映射关系后，就可以直接在http/2数据的头部携带索引，接收到该http/2请求之后，根据头部携带的带的索引查阅字典中的映射关系，就可以将索引还原为对应的http头部信息，从而减少传输的数据量。
197.在其中一个实施例中，所述方法还包括：
198.响应于所述头部信息中存在目标字符，根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息；
199.确定正文信息中是否存在所述请求行数据；
200.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
201.其中所述目标字符包括第一目标字符和第二目标字符，所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。
202.具体的，如图5以及图6所示，通过抓包软件获取请求数据后，通过hpack算法解压缩headers帧后恢复请求中的http头部信息，确定http头部信息中存在“content-length”(第一目标字符)或者“transfer-encoding”(第二目标字符)时，说明前端设备或者反向代理服务器向后端服务器发送的请求数据中可能包含恶意攻击即http/2请求走私攻击。如图7所示，当http头部信息中存在“content-length”的目标字符时，还需要确定对应的data(正文信息)帧中是否包含符合比如http/1.1协议的类似于“get/secrethttp/1.1”和“host：attack.com”这样的请求行数据，仅包含一个由“content-length”或者“transfer-encoding”构成的标头是做不到实际危害目标站点的，需要有符合http协议的请求行数据，且在请求行数据中包含恶意行为。即只有确定data帧中存在符合比如http/1.1协议的请求行数据，才能确定接收到包含恶意攻击的请求数据；如果不存在，则无需向用户告警。
203.在其中一个实施例中，所述方法还包括获取所述目标站点发送的响应数据，所述
确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括：
204.确定所述目标站点是否报错；
205.若是，则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致；
206.若否，则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。
207.具体的，如上所述，在检测到后端服务器中的目标站点接收到包含恶意攻击的请求数据时，还需要对应检测目标站点是否报错，比如经过用户修复后的反向代理服务器以及后端服务器从配置上不支持http/2降级，即此时目标站点不存在攻击漏洞，则目标站点会将黑客可自己控制的数据即上述的请求行数据认为是普通的数据，不会将其解析为单独的请求，从而使得黑客无法走私该恶意请求。通过确定目标站点是否报错，确定目标站点是否存在http/2请求走私攻击的攻击漏洞，如果报错，则目标站点一定存在攻击漏洞且受到了http/2请求走私攻击。
208.在其中一个实施例中，所述确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括：
209.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
210.若否，则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。
211.具体的，如上所述，当发现目标站点的报错信息和响应数据中的未授权信息一致时，即如图8所示，目标站点因在响应数据中包含未授权信息(最后一个长度值为0的分块且对应的分块数据没有内容，且包含符合http/1.1协议的请求行数据)而报错；具体内容可以如下：“0get/secrethttp/1.1host：attack.com”，因为判断出的目标攻击类型和未授权信息相符，此时确定目标站点受到h2-te类型对应的http/2走私攻击；如果上述根据请求数据判断出的目标攻击类型为h2-cl，但响应数据中的未授权信息为h2-te类型，此时说明目标站点还可能接收到其他包含http/2走私攻击的请求数据。
212.本技术的方案有如下有益效果：
213.1)通过主动探测目标站点可能存在的http/2请求走私攻击漏洞，降低目标站点被攻击的风险，提高目标站点的安全性；
214.2)被动监测目标站点可能受到的http/2请求走私攻击，识别http/2走私攻击类型，从而提醒用户进行针对性的修复。
215.应该理解的是，虽然图3的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图3中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
216.在一个实施例中，如图9所示，提供一种请求走私攻击的检测装置，所述装置包括：
217.接收模块901，用于接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式包括主动检测方式和被动检测方式；
218.生成模块902，响应于所述检测方式为所述主动检测方式，用于生成包含特征值的检测数据包，
219.第一确定模块903，用于根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；
220.获取模块904，响应于所述检测方式为所述被动检测方式，用于根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；
221.解压模块，用于根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；
222.第二确定模块，用于包括：
223.确定所述头部信息中是否存在目标字符；
224.若是，则根据所述目标字符确定目标攻击类型；
225.若否，则确定所述目标站点未受到所述请求走私攻击。
226.在其中一个实施例中，所述第一确定模块根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括：
227.其中所述特征值包括第一特征值和第二特征值；
228.根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包；
229.响应于接收到所述目标站点返回的第一检测响应数据，确定所述第一检测响应数据中是否存在所述第一特征值；
230.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
231.若否，则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。
232.在其中一个实施例中，所述第一确定模块根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括：
233.根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包；
234.响应于接收到所述目标站点返回的第二检测响应数据，确定所述第二检测响应数据中是否存在所述第二特征值；
235.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
236.若否，则确定所述目标站点不存在所述攻击漏洞。
237.在其中一个实施例中，所述解压模块根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息，包括：
238.根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息，
239.其中所述映射字典包含头部信息和索引之间的映射关系表。
240.在其中一个实施例中，所述装置还包括：
241.解压模块，响应于所述头部信息中存在目标字符，还用于根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息；
242.第二确定模块，还用于包括：
243.确定正文信息中是否存在所述请求行数据；
244.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
245.其中所述目标字符包括第一目标字符和第二目标字符，所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。
246.在其中一个实施例中，所述获取模块，还用于获取所述目标站点发送的响应数据，所述第二确定模块确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括：
247.确定所述目标站点是否报错；
248.若是，则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致；
249.若否，则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。
250.在其中一个实施例中，所述第二确定模块确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括：
251.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
252.若否，则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。
253.关于请求走私攻击的检测装置的具体限定可以参见上文中对于请求走私攻击的检测方法的限定，在此不再赘述。上述请求走私攻击的检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
254.在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现告警信息处理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
255.本领域技术人员可以理解，图10中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
256.在一个实施例中，提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
257.接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式为主动检测方式和被动检测方式；
258.响应于所述检测方式为所述主动检测方式，生成包含特征值的检测数据包，
259.根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；
260.响应于所述检测方式为所述被动检测方式，根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；
261.根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；
262.确定所述头部信息中是否存在目标字符；
263.若是，则根据所述目标字符确定目标攻击类型；
264.若否，则确定所述目标站点未受到所述请求走私攻击。
265.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
266.所述根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括：
267.其中所述特征值包括第一特征值和第二特征值；
268.根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包；
269.响应于接收到所述目标站点返回的第一检测响应数据，确定所述第一检测响应数据中是否存在所述第一特征值；
270.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
271.若否，则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。
272.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
273.所述根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括：
274.根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包；
275.响应于接收到所述目标站点返回的第二检测响应数据，确定所述第二检测响应数据中是否存在所述第二特征值；
276.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
277.若否，则确定所述目标站点不存在所述攻击漏洞。
278.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
279.所述根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息，包括：
280.根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息，
281.其中所述映射字典包含头部信息和索引之间的映射关系表。
282.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
283.响应于所述头部信息中存在目标字符，根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息；
284.确定正文信息中是否存在所述请求行数据；
285.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
286.其中所述目标字符包括第一目标字符和第二目标字符，所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。
287.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
288.获取所述目标站点发送的响应数据，所述确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括：
289.确定所述目标站点是否报错；
290.若是，则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致；
291.若否，则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。
292.在其中一个实施例中，所述处理器执行所述计算机程序时实现以下步骤：
293.所述确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括：
294.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
295.若否，则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。
296.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
297.接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式为主动检测方式和被动检测方式；
298.响应于所述检测方式为所述主动检测方式，生成包含特征值的检测数据包，
299.根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；
300.响应于所述检测方式为所述被动检测方式，根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；
301.根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；
302.确定所述头部信息中是否存在目标字符；
303.若是，则根据所述目标字符确定目标攻击类型；
304.若否，则确定所述目标站点未受到所述请求走私攻击。
305.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
306.所述根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括：
307.其中所述特征值包括第一特征值和第二特征值；
308.根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包；
309.响应于接收到所述目标站点返回的第一检测响应数据，确定所述第一检测响应数据中是否存在所述第一特征值；
310.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
311.若否，则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。
312.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
313.所述根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括：
314.根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包；
315.响应于接收到所述目标站点返回的第二检测响应数据，确定所述第二检测响应数据中是否存在所述第二特征值；
316.若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；
317.若否，则确定所述目标站点不存在所述攻击漏洞。
318.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
319.所述根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息，包括：
320.根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息，
321.其中所述映射字典包含头部信息和索引之间的映射关系表。
322.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
323.响应于所述头部信息中存在目标字符，根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息；
324.确定正文信息中是否存在所述请求行数据；
325.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
326.其中所述目标字符包括第一目标字符和第二目标字符，所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。
327.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
328.获取所述目标站点发送的响应数据，所述确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括：
329.确定所述目标站点是否报错；
330.若是，则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致；
331.若否，则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。
332.在其中一个实施例中，所述计算机程序被处理器执行时实现以下步骤：
333.所述确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括：
334.若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
335.若否，则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。
336.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
337.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例
中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
338.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。

技术特征：
1.一种请求走私攻击的检测方法，所述方法包括：接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式为主动检测方式和被动检测方式；响应于所述检测方式为所述主动检测方式，生成包含特征值的检测数据包，根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；响应于所述检测方式为所述被动检测方式，根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；确定所述头部信息中是否存在目标字符；若是，则根据所述目标字符确定目标攻击类型；若否，则确定所述目标站点未受到所述请求走私攻击。2.根据权利要求1所述的方法，其特征在于，所述根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞包括：其中所述特征值包括第一特征值和第二特征值；根据所述第一特征值生成第一检测数据包并向所述目标站点发送所述第一检测数据包；响应于接收到所述目标站点返回的第一检测响应数据，确定所述第一检测响应数据中是否存在所述第一特征值；若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；若否，则根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞。3.根据权利要求2所述的方法，其特征在于，所述根据所述第二特征值确定所述目标站点是否存在所述攻击漏洞包括：根据所述第二特征值生成第二检测数据包并向所述目标站点发送所述第二检测数据包；响应于接收到所述目标站点返回的第二检测响应数据，确定所述第二检测响应数据中是否存在所述第二特征值；若是，则确定所述目标站点存在所述攻击漏洞并向所述用户告警；若否，则确定所述目标站点不存在所述攻击漏洞。4.根据权利要求1所述的方法，其特征在于，所述根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息，包括：根据所述头部信息帧对应的头部索引和所述头部压缩算法对应的映射字典生成所述头部信息，其中所述映射字典包含头部信息和索引之间的映射关系表。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应于所述头部信息中存在目标字符，根据所述请求数据中的正文信息帧和所述头部压缩算法解压生成正文信息；确定正文信息中是否存在所述请求行数据；若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；
其中所述目标字符包括第一目标字符和第二目标字符，所述目标攻击类型包括第一目标攻击类型和第二目标攻击类型。6.根据权利要求5所述的方法，其特征在于，所述方法还包括获取所述目标站点发送的响应数据，所述确定所述目标站点受到所述目标攻击类型的请求走私攻击之后还包括：确定所述目标站点是否报错；若是，则确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致；若否，则确定所述目标站点不存在所述目标攻击类型的攻击漏洞。7.根据权利要求6所述的方法，其特征在于，所述确定所述目标站点的报错信息和所述响应数据中的未授权信息是否一致包括：若是，则确定所述目标站点受到所述目标攻击类型的请求走私攻击；若否，则确定所述目标站点还受到其他基于所述第2版超文本传输协议的请求走私攻击。8.一种请求走私攻击的检测装置，所述装置包括：接收模块，用于接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中所述检测指令包括目标站点和检测方式，所述检测方式包括主动检测方式和被动检测方式；生成模块，响应于所述检测方式为所述主动检测方式，用于生成包含特征值的检测数据包，第一确定模块，用于根据所述特征值确定所述目标站点是否存在所述请求走私攻击的攻击漏洞；获取模块，响应于所述检测方式为所述被动检测方式，用于根据所述用户设置的检测周期定时获取所述目标站点接收到的请求数据；解压模块，用于根据所述请求数据中的头部信息帧和所述第2版超文本传输协议的头部压缩算法解压生成头部信息；第二确定模块，用于包括：确定所述头部信息中是否存在目标字符；若是，则根据所述目标字符确定目标攻击类型；若否，则确定所述目标站点未受到所述请求走私攻击。9.一种电子设备，其特征在于，包括：一个或多个处理器；以及与所述一个或多个处理器关联的存储器，所述存储器用于存储程序指令，所述程序指令在被所述一个或多个处理器读取执行时，执行如权利要求1～7中任一所述的方法。10.一种计算机存储介质，其特征在于，其上存储有计算机程序，其中，该程序被处理器执行时实现如权利要求1～7中任一所述的方法。

技术总结
本发明提供了一种请求走私攻击的检测方法、装置、电子设备及存储介质，所述方法包括：接收用户发送的基于第2版超文本传输协议的请求走私攻击的检测指令，其中检测指令包括目标站点和检测方式，检测方式为主动检测方式和被动检测方式；响应于检测方式为主动检测方式，生成包含特征值的检测数据包，根据特征值确定目标站点是否存在请求走私攻击的攻击漏洞；响应于检测方式为被动检测方式，定时获取目标站点接收到的请求数据并将请求数据中的头部信息帧解压生成头部信息；通过确定头部信息中是否存在目标字符来确定目标站点是否受到请求走私攻击。通过主动探测可能存在的攻击漏洞和被动监测请求走私攻击降低站点被攻击的风险。被动监测请求走私攻击降低站点被攻击的风险。被动监测请求走私攻击降低站点被攻击的风险。


技术研发人员：石培硕
受保护的技术使用者：苏州浪潮智能科技有限公司
技术研发日：2023.06.06
技术公布日：2023/9/14