一种目标流量检测方法、装置、设备及可读存储介质与流程

1.本技术涉及网络安全技术领域，特别涉及一种目标流量检测方法、目标流量检测装置、目标流量检测设备及计算机可读存储介质。


背景技术：

2.防火墙类产品需要对带有攻击特征的流量进行检测，根据检测结果确定流量是否安全，进而确定对其放行还是拦截。相关技术大多以静态检索的方式进行攻击特征匹配。当具有攻击特征的流量被攻击者采用绕过手段处理(比如，编码)后，防火墙类产品可能无法识别出非正常流量，从而使非正常流量成功绕过防火墙类产品。
3.因此，如何解决相关技术使得经绕过处理的非正常流量容易绕过安全防护，导致防护效果较差的问题，是本领域技术人员需要解决的技术问题。


技术实现要素：

4.有鉴于此，本技术的目的在于提供一种目标流量检测方法、目标流量检测装置、目标流量检测设备及计算机可读存储介质，可以解决相关技术使得经绕过处理的非正常流量容易绕过安全防护，导致防护效果较差的问题。
5.为解决上述技术问题，本技术提供了一种目标流量检测方法，包括：
6.获取目标流量；
7.根据所述目标流量的编码类型，对所述目标流量进行解码处理，得到目标数据；
8.对所述目标数据进行绕过特征检测，得到检测结果；其中，所述检测结果用于表明所述目标流量是否为经过绕过处理的流量。
9.可选地，所述对所述目标数据进行绕过特征检测，得到检测结果，包括：
10.对所述目标数据进行编码特征检测，判断所述目标数据中是否存在未经解码的编码特征；
11.若存在所述编码特征，得到检测结果，所述检测结果用于表明所述目标流量为经过绕过处理的流量。
12.可选地，所述对所述目标数据进行绕过特征检测，得到检测结果，包括：
13.获取所述目标流量对应的第一代码长度和所述目标数据对应的第二代码长度；
14.利用所述第一代码长度和所述第二代码长度得到长度差值，并判断所述长度差值是否大于预设长度阈值；
15.若大于所述预设长度阈值，得到检测结果，所述检测结果用于表明所述目标流量为经过绕过处理的流量。
16.可选地，所述对所述目标数据进行绕过特征检测，得到检测结果，包括：
17.确定对所述目标流量进行解码时的消耗值；
18.判断所述消耗值是否大于预设消耗阈值；
19.若大于所述预设消耗阈值，得到检测结果，所述检测结果用于表明所述目标流量
为经过绕过处理的流量。
20.可选地，所述根据所述目标流量的编码类型，对所述目标流量进行解码处理，得到目标数据，包括：
21.对所述目标流量进行不可读编码检测，判断所述目标流量是否经不可读编码处理；其中，所述不可读编码为具有不可读性的编码方式；
22.若经过不可读编码处理，则识别所述不可读编码的编码类型，利用该编码类型对应的不可读解码方式对所述目标流量进行解码，得到预处理数据；
23.对所述预处理数据进行可读编码检测，判断所述预处理数据是否经可读编码处理；其中，所述可读编码为具有可读性的编码方式；
24.若经过可读编码处理，则识别所述可读编码的编码类型，利用该编码类型对应的可读解码方式，对所述预处理数据进行解码，得到所述目标数据。
25.可选地，所述获取目标流量，包括：
26.获取数据流量，并对所述数据流量进行协议识别处理，得到识别结果；
27.根据所述识别结果对所述数据流量进行过滤，得到协议类型为目标类型的所述目标流量。
28.可选地，在所述对所述目标数据进行绕过特征检测，得到检测结果之后，还包括：
29.若所述检测结果表明所述目标流量为经过绕过处理的流量时，对所述目标流量进行拦截和/或发出用以提示所述目标流量为经绕过处理的提示信息。
30.可选地，在所述按照特征匹配规则对所述目标数据进行特征检测，得到检测结果之后，还包括：
31.若所述检测结果表明所述目标流量不为经过绕过处理的流量，利用攻击特征检测引擎对所述目标数据进行攻击特征检测，判断是否存在攻击特征；
32.若存在所述攻击特征，则对所述目标流量进行拦截；
33.若不存在所述攻击特征，则将所述目标流量放行。
34.本技术还提供了一种目标流量检测装置，包括：
35.获取模块，用于获取目标流量；
36.解码模块，用于根据所述目标流量的编码类型，对所述目标流量进行解码处理，得到目标数据；
37.检测模块，用于对所述目标数据进行绕过特征检测，得到检测结果；其中，所述检测结果用于表明所述目标流量是否为经过绕过处理的流量。
38.本技术还提供了一种目标流量检测设备，包括存储器和处理器，其中：
39.所述存储器，用于保存计算机程序；
40.所述处理器，用于执行所述计算机程序，以实现上述的目标流量检测方法。
41.本技术还提供了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现上述的目标流量检测方法。
42.本技术提供的目标流量检测方法，获取目标流量；根据目标流量的编码类型，对目标流量进行解码处理，得到目标数据；对目标数据进行绕过特征检测，得到检测结果；其中，检测结果用于表明目标流量是否为经过绕过处理的流量。
43.由上可见，本技术提供了一种经绕过处理的流量检测方法。通常情况下，经绕过处
理的流量往往会经过编码处理，但是经过编码处理的流量并非一定是经过绕过处理的流量，因此，为了更准确地识别出经绕过处理的流量，本技术所提供的技术方案中，在获取到目标流量之后，若判断出其经过编码时，并不直接确认其为经绕过处理的流量，而是首先进行解码，其次对解码得到的目标流量进行绕过特征检测，从而更加准确地识别出经绕过处理的流量。
44.经过绕过处理的流量，其编码方法与正常流量的编码方法往往不同，因此，本技术首先对目标流量进行解码，通过解码之后的得到的目标数据来确定目标流量的一些编码特性，进而来确定目标流量是否为经过绕过处理的流量(即本技术所述的绕过特征检测)。此外，对目标流量进行解码之后，能够获取到目标流量的本质特征，可以通过该本质特征，与预先设定的绕过特征进行特征匹配，从而检测目标流量是否经过绕过处理(同样是本技术所述的绕过特征检测)。
45.由此可见，本技术提供了一种绕过流量的检测方法，通过该方法，可以将经过绕过处理的流量检测出来，从而便于防火墙类产品识别出哪些流量为经绕过处理的流量，进而便于防火墙类产品后续执行拦截等操作，进而可以在一定程度上解决相关技术使得经绕过处理的非正常流量容易绕过安全防护，导致防护效果较差的问题。
46.此外，本技术还提供了一种目标流量检测装置、目标流量检测设备及计算机可读存储介质，同样具有上述有益效果。
附图说明
47.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
48.图1为本技术实施例提供的一种目标流量检测方法流程图；
49.图2为本技术实施例提供的一种绕过特征检测方法流程图；
50.图3为本技术实施例提供的一种确定目标流量，并对其进行解码的方法流程图；
51.图4为本技术实施例提供的若检测结果表明目标流量不为经绕过处理的流量时，一种后续处理方法流程图；
52.图5为本技术实施例提供的一种目标流量检测装置的结构示意图；
53.图6为本技术实施例提供的一种目标流量检测设备的结构示意图。
具体实施方式
54.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
55.入侵检测/防御系统即intrusion detection/prevention system，简称ids/ips，或idps，其是一种检测和防御网络入侵的系统。其中，ips要求实时拦截，而ids则通常旁路部署。该系统的关键特性为入侵检测技术，通常采用基于特征的模式匹配或者基于异常的
算法建模方法，在检测到的网络流量中存在入侵行为时，按照对应的动作对该网络流量进行处理，从而阻断或记录入侵行为，实现保护企业信息系统和网络免遭攻击的目的。idps系统广泛应用于网络安全设备中，如防火墙、态势感知系统等。
56.其中，模式匹配即pattern match，又称为特征匹配，是ips最常用的入侵检测方法，属于误用检测类型。具体的，将网络流量与入侵特征进行模式匹配，若数据包与某一特征匹配，则认为存在入侵行为。在进行网络流量的检测和防御的过程中，入侵者的入侵手段也在升级，其中经常被使用的入侵手段就包括绕过手段。绕过即evasion，又称为逃逸、穿透。具体为网络流量中附加特定的绕过方法，改变数据包中入侵流量的原始特征，使ips无法正确识别并阻断变形后的入侵流量。绕过方法可以包括协议层的ip分片，tcp分段以及各种加密，混淆，编码等方法。
57.相关技术大多以静态检索的方式匹配攻击代码的特定特征，即在接收到网络流量后，直接将对网络流量解析后得到的数据进行特征匹配，若匹配到攻击特征，则确定该流量为异常流量，完成网络流量的检测。
58.该方法在进行防护的同时可以降低对系统吞吐性能的影响和网络延迟，对系统性能的影响较小。但是网络流量的特征常常被攻击者进行绕过处理(比如采用编码的方式掩盖)，当攻击特征被攻击者被用编码方式掩盖时，该网络流量就可以绕过安全防护步骤，即无法检测出其为攻击流量，因此会使流量流入对应的设备，使得设备存在被攻击的风险，导致防护效果较差。
59.本技术为了解决上述问题，提供了一种目标流量检测方法以及对应的设备、装置以及计算机可读存储介质。在获取到目标流量后对其进行解码，得到目标数据，然后通过对目标数据进行绕过特征检测，可以判断目标流量是否为经过绕过处理的流量。该方法可以提高检测的深度和准确性，特别是针对绕过特征的检测，进而能够在一定程度上改善安全防护的效果。
60.具体的，在一种可能的实施方式中，请参考图1，图1为本技术实施例提供的一种目标流量检测方法流程图。该方法包括：
61.s101：获取目标流量。
62.在本实施例中，目标流量检测方法的部分或全部步骤可以由指定的设备或终端执行，设备或终端的具体类型本实施例不做限定，例如为网络中的防火墙、路由器、网关等网络设备，也可以为网络架构中的客户端。目标流量可以为任一协议类型的流量。
63.s102：根据所述目标流量的编码类型，对目标流量进行解码处理，得到目标数据。
64.在获取目标流量后，对其进行解码处理，即可得到目标数据。为了保证解码准确性，可以检测目标流量中编码后得到的固定特征(即采用一种编码方式得到的所有流量中均会存在的特征)，利用该固定特征确定目标流量的编码类型，并根据编码类型选择对应的解码方法，依据该解码方法对目标流量进行解码处理。解码处理后得到的目标数据不仅可以和后续步骤s103结合，来准确检测出经绕过处理的流量，而且由于目标数据为经过解码处理得到，因此可以记录和体现更多的本质特征，且不容易隐藏特征，因此在后续可以基于目标数据进行攻击特征检测，同样可以防止目标流量通过编码掩盖特征绕过安全防护。
65.具体的，将目标流量中已编码位置处的数据进行解码后，利用解码后的数据对解码前的数据进行替换，即可得到目标数据，目标数据的具体内容与目标流量相关，本实施例
对目标数据的具体内容不做限定。
66.需要说明的是，对目标流量进行解码时采用的解码方式本实施例不做限定，例如可以采用流式解码或非流式解码的方式对目标流量进行解码。非流式解码即将目标流量的所有数据包获取后进行统一解码，或者在对先获取到的目标流量进行解码后，在接收到目标流量的后续部分时，从头对目标流量进行解码。
67.由于目标流量一般以数据包的形式发送和接收，且解码状态具有优先性，符合流式解码的特征，因此在本实施例中，可以采用流式解码的方式对目标流量进行解码。具体的，在采用流式解码的方法对目标流量进行解码时，需要记录下当前解码的数据包的偏移量以及解码中间结果等解码状态，例如当前数据包偏移量为5，表示为第五个数据包，或者可以为400kb，表示该数据包在整个目标流量中的位置从第400kb开始；若解码成功，则解码中间状态可以为b，若因数据不完整而解码不成功，则解码中间状态可以为a。利用记录的解码状态，可以在接收到后续数据包后继续解码，无需解码前面已经解码过的数据，减少了时间的消耗，提高了解码性能。因此本实施例中优选的，可以采用流式解码的方式对目标流量进行解码，得到目标数据。
68.s103：对目标数据进行绕过特征检测，得到检测结果。
69.需要说明的是，经过绕过处理的流量，其编码方法与正常流量的编码方法往往不同，因此，本技术首先对目标流量进行解码，通过解码之后得到的目标数据来确定目标流量的一些编码特性，进而来确定目标流量是否为经过绕过处理的流量；此外，对目标流量进行解码之后，能够获取到目标流量的本质特征，可以通过该本质特征，可通过特征匹配等方式检测目标流量是否经过绕过处理。即通过该步骤s103来确定是否为经绕过处理的流量，也即是该步骤s103可以包括：
70.根据所述目标数据体现出的所述目标流量的编码特征，得到检测结果；
71.或者，该步骤s103可以包括：
72.提取所述目标数据的特征，并与预设绕过特征进行匹配，基于匹配结果，得到检测结果。
73.检测结果用于表明所述目标流量是否为经过绕过处理的流量。在得到目标数据后，对目标数据进行绕过特征检测，即可得到检测结果。通过步骤s103所述的绕过特征检测，可以对目标流量是否经过绕过处理进行检测。进一步，在得到检测结果后，可以根据检测结果进行后续操作，后续操作的具体内容本实施例不做限定，例如可以放行目标流量并发送检测结果，或者可以拦截目标流量，或者可以进行攻击特征检测，或者可以执行其他检测，具体可根据实际应用场景来确定，本技术对后续操作不作限定。
74.应用本技术实施例提供的目标流量检测方法，在获取目标流量后对其进行解码，以便得到编码前的目标数据。经过绕过处理的流量，其编码方法与正常流量的编码方法往往不同，因此，本技术首先对目标流量进行解码，通过解码之后得到的目标数据来确定目标流量的一些编码特性，进而来确定目标流量是否为经过绕过处理的流量；此外，对目标流量进行解码之后，能够获取到目标流量的本质特征，可以通过该本质特征，通过特征匹配等方式检测目标流量是否经过绕过处理。在得到目标数据后对其进行绕过特征检测，可以确定目标流量是否为经过绕过处理得到的流量。因此，通过本技术的技术方案，可以较为准确地检测出某一流量是否为经绕过处理得到的流量，从而可以为后续操作提供参考，进而可以
在一定程度上解决相关技术容易使得带有攻击特征的流量绕过安全防护，防护效果较差的问题。
75.基于上述实施例，在另一种可能的实施方式中，可以采用多种判断检测方法，以对目标数据进行绕过特征检测，以便得到检测结果。具体请参考图2，图2为本技术实施例提供的一种绕过特征检测方法流程图，s103步骤，可以包括：
76.s201：对目标数据进行编码特征检测，判断目标数据中是否存在未经解码的编码特征。
77.在一种可能的情况下，目标流量可能被进行多次编码，对原始的特征进行多层掩盖，即使经过解码处理，其仍然可能会包含编码特征，因此，在本技术实施例中，在对目标流量进行解码处理得到目标数据后，对目标数据进行编码特征检测，判断目标数据中是否还存在未经解码的编码特征，若存在时，则确定目标流量为经过多层绕过的流量。
78.目前，现有技术存在一方法，即先对流量进行解码，由于解码之后能够体现出本质的原始特征，因此，可以基于解码后的流量进行攻击特征检测，从而克服攻击者的编码绕过处理，但是这种方法对多层绕过的流量往往无效，导致多层绕过处理的流量绕过安全防护。然而本技术可以检测出来多层绕过处理的流量，从而可以在一定程度上防止多层绕过的流量绕过防护。
79.其中，未经解码的编码特征即为固定特征(即采用一种编码方式得到的所有流量中均会存在的特征)。当存在未经解码的编码特征时，进入s202步骤，在不存在未经解码的编码特征时，进入s203步骤。
80.s202：得到检测结果，所述检测结果用于表明所述目标流量为经过绕过处理的流量。
81.当存在编码特征时，说明目标流量经过一次解码后仍无法得到原始特征，原始特征经过了多次编码。此时，可以确定目标数据为多层绕过数据，目标流量为多层绕过流量，可确定其有可能为非正常流量，后续可进行拦截和/或发出警告等。
82.s203：获取所述目标流量对应的第一代码长度和所述目标数据对应的第二代码长度。
83.本技术所述的代码长度也可以称为数据长度，用于表示数据的长度。代码长度的具体形式本实施例不做限定，例如可以为数据的字符数。本实施例中，对目标流量对应的第一代码长度和目标数据对应的第二代码长度分别进行统计。
84.s204：利用所述第一代码长度和所述第二代码长度得到长度差值，并判断所述长度差值是否大于预设长度阈值。
85.在得到第一代码长度和第二代码长度后利用其计算长度差值。预设长度阈值用于与长度差值进行比对，其具体大小可以根据实际情况进行设定。需要说明的是，正常流量在经过解码后，其长度的变化一般有限，其长度变化一般会处于某个范围内，而攻击流量为了绕过防护，往往比正常流量的长度更长，因此其在解码后得到的数据的长度与攻击流量的长度相差较大。在设定预设长度阈值的大小时，应在该合理的范围内进行选取，以便包括绝大部分正常情况，防止因预设长度阈值过小而因此误报，同时也不能设置过大，造成攻击流量的漏报。当长度差值大于预设长度阈值时，进入s205步骤，当代码长度不大于预设长度阈值时，进入s206步骤。
86.s205：得到检测结果，所述检测结果用于表明所述目标流量为经过绕过处理的流量。
87.当长度差值大于预设长度阈值时，说明目标数据的长度异常，目标流量可能为经过绕过处理的流量，因此所述检测结果用于表明所述目标流量为经过绕过处理的流量。
88.s206：确定在对所述目标流量解码时的消耗值；
89.所述消耗值可以为解码处理时长，也可以为解码时的cpu占用率，还可以为解码时的内存占用率等，本技术对消耗值的类型不做限定。
90.在确定目标数据的代码长度不大于预设长度阈值后，对目标数据进行性能消耗检测，可以为统计目标数据对应的解码处理时长，也可以为确定解码时的cpu占用率，还可以为解码时的内存占用率等。当目标流量为经绕过处理的流量时，可能会采用某些方法增大解码难度，因此对其解码得到目标数据所需的时间就较长、cpu占用率较高或者内存占用率较大。
91.s207：判断消耗值是否大于预设消耗阈值。
92.消耗阈值用于与所述消耗值进行比对，其具体大小可以根据实际情况进行设定。需要说明的是，所述消耗值为对系统的负面影响，对正常流量进行解码，对系统的消耗处于某个合理的范围内，而经过绕过处理的流量，在某些情况下，为了实现防绕过的目的，解码难度往往较大，因此对系统的消耗都较大。所述预设消耗阈值在选取时可以大于绝大部分正常流量的消耗值，防止造成误报，同时也不能过大，造成攻击流量的漏报。当消耗值大于预设消耗阈值时，进入s208步骤，当消耗值不大于预设消耗阈值时，进入s209步骤。
93.s208：得到检测结果，所述检测结果用于表明所述目标流量为经过绕过处理的流量。
94.当消耗值大于预设消耗阈值时，说明该目标数据对应的目标流量会造成不正常的性能消耗，因此该目标流量可能为经过绕过处理的流量。
95.s209：预设操作。
96.当消耗值不大于预设消耗阈值时，说明目标数据对应的目标流量造成的性能消耗正常，因此可以执行预设操作，预设操作的具体内容本实施例不做限定，例如可以为无操作，即不执行任何操作，或者可以执行报警，或者还可以执行拦截等操作。
97.需要说明的是，在本实施例中，s201步骤至s202步骤可以称为编码特征检测，s203步骤至s205步骤可以称为长度检测，s206步骤至s208步骤可以称为性能检测。
98.上述编码特征检测、长度检测以及性能检测均是基于目标数据所体现出的编码特征来检测目标流量是否为经绕过处理的流量。
99.此外，本领域技术人员应该理解，本实施例并不限定编码特征检测、长度检测以及性能检测的执行顺序，也不限定各项检测是否必须执行，例如在另外的实施方式中，可以仅执行一项、或两项检测，例如仅执行数量检测和长度检测，或者仅执行长度检测和性能检测。进一步，本实施例中还可以在s103步骤中执行其他类型的检测，例如进行绕过特征匹配检测，利用预设的绕过特征库对目标数据进行特征匹配，判断是否存在匹配成功的特征，若存在，则确定检测结果为经绕过处理的流量。匹配成功的判定标准可以为特征相同，即目标数据中存在与特征库中完全相同的特征，或者可以为特征格式匹配，即目标数据中存在与特征库中某一特征格式相同的特征。本领域技术人员应该理解，特征匹配操作同样可以与
编码特征检测、长度检测以及性能检测进行结合，来得到检测结果。
100.基于上述实施例，在一种可能的实施方式中，目标流量可以为某一特定类型，比如协议为目标协议的流量，本实施例以超文本标记语言(html)协议为例进行说明。具体请参考图3，图3为本技术实施例提供的一种确定目标流量并对目标流量进行解码的方法流程图，包括：
101.s301：获取数据流量，并对数据流量进行协议识别处理，得到识别结果。
102.由于基于超文本标记语言(html)类型的攻击是目前防火墙产品需要防护的多种攻击类型中最灵活多变的种类之一。由于脚本语言的特性，超文本标记语言类型的攻击可以较为轻易地将漏洞攻击特征混淆为其他内容，因此对超文本标记语言流量的绕过检测是网络安全防护的重中之重。所以本实施例中，目标流量可以为超文本标记语言流量，即html流量。本实施例并不限定html流量的生成方法以及具体内容。目标流量可以为从一个或多个预设端口处获取的流量，或者可以为任意一个设备或终端发送的html流量。
103.本实施例中，数据流量可以为包括有多种类型流量的混合流量，其中包括html流量，即目标流量。在获取数据流量后，对其进行协议识别处理，得到识别结果。协议识别处理的具体识别方法本实施例不做限定，例如可以根据流量的协议字段进行识别，或者可以根据流量的首部格式进行识别，或者可以根据流量的特殊标识对其进行识别。在对数据流量进行协议识别处理后，可以得到多个识别结果，每个识别结果对应于一种类型的流量。
104.s302：根据识别结果对数据流量进行过滤，得到协议类型为html的目标流量。
105.在对数据流量识别完毕后，根据识别结果对数据流量进行过滤，即将非html协议的流量滤除，将协议类型为html的流量保留。例如，当采用对流量的协议字段进行识别以得到识别结果时，可以将非html协议的流量放行，将html协议的流量拦截，作为目标流量执行后续操作。
106.此外，本领域技术人员应理解，附图3仅仅以html流量为例进行说明，但本技术并不局限于html流量。
107.s303：对目标流量进行不可读编码检测，判断目标流量是否经不可读编码处理。
108.不可读编码即为例如base64、jscript.encode等具有不可读性的编码方式，其需要按照对应的解码方法对其进行解码。对于不可读编码来说，在对其进行解码之前，无法与可读编码的内容混合使用。因此在本实施例中，为了保证解码的准确性，即保证对目标流量进行正确的解码以得到正确的目标数据，在得到目标流量后先对其进行不可读编码检测，判断目标流量是否经过不可读编码处理。本实施例并不限定具体的检测方法，例如可以采用格式检测的方法，通过对目标流量进行格式检测判断是否存在不可读编码；或者对各种不可读编码的固定特征进行检测，当存在固定特征时，确定存在不可读编码。当判断经过不可读编码处理时，进入s304步骤。
109.s304：识别不可读编码的编码类型，利用该编码类型对应的不可读解码方式对目标流量进行解码，得到预处理数据。
110.预处理数据即为目标流量经过不可读解码后得到的数据。若确定目标流量经过不可读编码处理，为了对不可读编码进行针对性解码以得到正确的数据，可以识别不可读编码的编码类型，并利用编码类型确定对应的不可读解码方式，利用该不可读解码方式对目标流量进行解码，进而得到预处理数据。不同类型的不可读编码对应的解码方式不同，本实
施例不对不可读解码方式的具体内容做出限定。
111.s305：对预处理数据进行可读编码检测，判断预处理数据是否经可读编码处理。
112.其中，可读编码为具有可读性的编码方式。在经过不可读解码得到预处理数据后，判断其是否经过可读编码处理，以便对其进行针对于可读编码处理的可读解码。
113.s306：识别可读编码的编码类型，利用该编码类型对应的可读解码方式，对预处理数据进行解码，得到目标数据。
114.为了正确的对预处理数据进行解码，需要识别可读编码的编码类型，并利用其确定对应的可读解码方式。具体的，在对预处理数据进行可读解码时，可以根据预处理数据的编码头部选择对应的可读解码方式对其进行解码，完成可读编码的编码类型的识别，即采用逻辑混合解码规则对预处理数进行解码。逻辑混合解码规则对不同的解码状态进行逻辑混合处理，不同的解码状态对应于不同的解码方式，在解码时对可读编码的状态(例如编码头部)进行检查，并根据其状态选择合适的解码方式对其进行解码。可读编码的状态的具体内容本实施例不做限定，例如可以采用编码头部作为可读编码的状态，例如编码头部可以为“％u”、“&#”等字符或字符组合，当检测到编码头部为&#时，则进入逻辑混合解码规则中的&#分支。进一步，还可以检测头部后的下一字符，利用下一字符确定逻辑混合解码规则的子分支，例如下一字符可以为“x”、数字或实体编码头部，分别对应于“&#x hex”、“&# dec”以及实体编码三个子分支，以便根据子分支内的解码方式对其进行解码。采用先进行不可读解码，再进行可读解码的解码方式，可以准确地对目标流量进行解码，防止因解码错误得到不正确的目标数据，进而影响检测结果的准确性。
115.在另一种可能的实施方式中，当对一段数据解码失败后，可以保留被解码的数据，以便在后续与其他数据一起解码，或者将其保留至目标数据。
116.基于上述实施例，在一种可能的实施方式中，对目标流量进行检测后，可以根据检测结果执行后续操作，可以包括：
117.步骤11：若检测结果表明目标流量为经过绕过处理的流量，对目标流量进行拦截和/或发出用以提示目标流量为经绕过处理的提示信息。
118.当检测结果是目标流量为经过绕过处理的流量时，说明目标流量可能为攻击流量，因此可以对目标流量进行拦截，拦截的具体方法本实施例不做限定，例如可以不响应该目标流量，或者不对其进行转发。
119.或者可以发出提示目标流量为经过绕过处理的提示信息，以便提醒用户对其进行处理，在接受到用户的“拦截指令”时可直接对所述目标流量进行拦截，在接受到用户的“不确定是否为攻击流量的指令”时，可继续对所述目标流量进行攻击特征检测，即基于解码后的目标数据进行攻击特征检测，在检测出具有攻击特征时可进行拦截，在检测出不具有攻击特征时可进行放行。
120.在另一种可能的实施方式中，当目标流量通过步骤s103的绕过特征检测后，即得到的检测结果指示为非绕过处理的流量时，还可以对其进行进一步检测，例如攻击特征检测。请参考图4，图4为本技术实施例提供的若检测结果表明目标流量不为经绕过处理的流量时，一种后续处理方法流程图，包括：
121.s401：若检测结果表明目标流量不为经过绕过处理的流量时，利用攻击特征检测引擎对目标数据进行攻击特征检测。
122.攻击特征引擎用于对目标数据进行攻击特征检测，其具体检测方式本实施例不做限定，可以参考相关技术。由于对目标流量进行了解码处理，因此目标数据中的特征更加原始及本质，对目标数据进行攻击特征检测比对目标流量进行攻击特征检测的检测准确程度更高，可以解决因目标流量中的特征被编码掩盖造成的检测准确程度低的问题。
123.s402：判断是否存在攻击特征。
124.本实施例并不限定攻击特征的具体内容，其可以与攻击特征引擎采用的检测方式相关，根据检测方式的不同，攻击特征的形式和具体内容可以不同。当存在攻击特征时，可以进入s403步骤，当不存在攻击特征时，可以进入s404步骤。
125.s403：对目标流量进行拦截。
126.当存在攻击特征时，说明目标流量可能为攻击流量，因此对目标流量进行拦截，拦截的具体方法本实施例不做限定，例如可以不响应该目标流量，或者不对其进行转发。
127.s404：将目标流量放行。
128.在确定目标流量不存在攻击特征后，可以将其放行，以便执行后续操作，后续操作的具体内容不做限定。
129.下面对本技术实施例提供的目标流量检测装置进行介绍，下文描述的目标流量检测装置与上文描述的目标流量检测方法可相互对应参照。
130.请参考图5，图5为本技术实施例提供的一种目标流量检测装置的结构示意图，包括：
131.获取模块610，用于获取目标流量；
132.解码模块620，用于根据所述目标流量的编码类型，对目标流量进行解码处理，得到目标数据；
133.检测模块630，用于对目标数据进行绕过特征检测，得到检测结果；其中，所述检测结果用于表明所述目标流量是否为经过绕过处理的流量。
134.可选地，检测模块630，包括：
135.编码特征判断单元，用于对所述目标数据进行编码特征检测，判断所述目标数据中是否存在未经解码的编码特征；
136.第一确定单元，用于若存在所述编码特征，得到检测结果，所述检测结果用于表明所述目标流量为经过绕过处理的流量。
137.可选地，检测模块630，包括：
138.长度获取单元，用于获取所述目标流量对应的第一代码长度和所述目标数据对应的第二代码长度；
139.长度判断单元，用于利用所述第一代码长度和所述第二代码长度得到长度差值，并判断所述长度差值是否大于预设长度阈值；
140.第二确定单元，用于若代码长度大于预设长度阈值，得到检测结果，所述检测结果用于表明所述目标流量为经过绕过处理的流量。
141.可选地，检测模块630，包括：
142.消耗值获取单元，用于确定在对所述目标流量解码时的消耗值；
143.消耗值判断单元，用于判断消耗值是否大于预设消耗阈值；
144.第三确定单元，用于若消耗值大于预设消耗阈值，得到检测结果，所述检测结果用
于表明所述目标流量为经过绕过处理的流量。
145.可选地，解码模块620，包括：
146.不可读编码判断单元，用于对所述目标流量进行不可读编码检测，判断所述目标流量是否经不可读编码处理；其中，所述不可读编码为具有不可读性的编码方式；
147.不可读解码单元，用于若经过不可读编码处理，则识别所述不可读编码的编码类型，利用该编码类型对应的不可读解码方式对所述目标流量进行解码，得到预处理数据；
148.判断单元，用于对所述预处理数据进行可读编码检测，判断所述预处理数据是否经可读编码处理；其中，所述可读编码为具有可读性的编码方式；
149.可读解码单元，用于若经过可读编码处理，则识别所述可读编码的编码类型，利用该编码类型对应的可读解码方式，对所述预处理数据进行解码，得到所述目标数据。
150.可选地，获取模块610，包括：
151.识别单元，用于获取数据流量，并对数据流量进行协议识别处理，得到识别结果；
152.过滤单元，用于根据识别结果对数据流量进行过滤，得到协议类型为目标类型的目标流量。
153.可选地，还包括：
154.处理模块，用于若所述检测结果表明所述目标流量为经过绕过处理的流量时，对所述目标流量进行拦截和/或发出用以提示所述目标流量为经绕过处理的提示信息。
155.可选地，还包括：
156.攻击特征判断模块，用于若所述检测结果表明所述目标流量不为经过绕过处理的流量时，利用攻击特征检测引擎对所述目标数据进行攻击特征检测，判断是否存在攻击特征；
157.攻击拦截模块，用于若存在攻击特征，则对所述目标流量进行拦截；
158.放行模块，用于若不存在攻击特征，则将目标流量放行。
159.应用本技术实施例提供的目标流量检测装置，为了更准确地识别出经绕过处理的流量，在获取到目标流量之后，若判断出其经过编码，则首先进行解码，其次进行绕过特征检测，以更加准确地识别出经绕过处理的流量。经过绕过处理的流量，其编码方法与正常流量的编码方法往往不同，通过解码之后的得到的目标数据来确定目标流量的一些编码特性，进而确定目标流量是否为经过绕过处理的流量；此外，对目标流量进行解码之后，能够获取到目标流量的本质特征，可以通过该本质特征，检测目标流量是否经过绕过处理。该装置便于防火墙类产品识别出哪些流量为经绕过处理的流量，进而便于防火墙类产品后续执行拦截等操作，可以在一定程度上解决相关技术使得经绕过处理的非正常流量容易绕过安全防护，导致防护效果较差的问题。
160.下面对本技术实施例提供的目标流量检测设备进行介绍，下文描述的目标流量检测设备与上文描述的目标流量检测方法可相互对应参照。
161.请参考图6，图6为本技术实施例提供的一种目标流量检测设备的结构示意图。其中目标流量检测设备700可以包括处理器701和存储器702，还可以进一步包括多媒体组件703、信息输入/信息输出(i/o)接口704以及通信组件705中的一种或多种。
162.其中，处理器701用于控制目标流量检测设备700的整体操作，以完成上述的目标流量检测方法中的全部或部分步骤；存储器702用于存储各种类型的数据以支持在目标流
量检测设备700的操作，这些数据例如可以包括用于在该目标流量检测设备700上操作的任何应用程序或方法的指令，以及应用程序相关的数据。该存储器702可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(static random access memory，sram)、电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、可擦除可编程只读存储器(erasable programmable read-only memory，eprom)、可编程只读存储器(programmable read-only memory，prom)、只读存储器(read-only memory，rom)、磁存储器、快闪存储器、磁盘或光盘中的一种或多种。
163.多媒体组件703可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器702或通过通信组件705发送。音频组件还包括至少一个扬声器，用于输出音频信号。i/o接口704为处理器701和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件705用于目标流量检测设备700与其他设备之间进行有线或无线通信。无线通信，例如wi-fi，蓝牙，近场通信(near field communication，简称nfc)，2g、3g或4g，或它们中的一种或几种的组合，因此相应的该通信组件707可以包括：wi-fi部件，蓝牙部件，nfc部件。
164.目标流量检测设备700可以被一个或多个应用专用集成电路(application specific integrated circuit，简称asic)、数字信号处理器(digital signal processor，简称dsp)、数字信号处理设备(digital signal processing device，简称dspd)、可编程逻辑器件(programmable logic device，简称pld)、现场可编程门阵列(field programmable gate array，简称fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述实施例给出的目标流量检测方法。
165.下面对本技术实施例提供的计算机可读存储介质进行介绍，下文描述的计算机可读存储介质与上文描述的目标流量检测方法可相互对应参照。
166.本技术还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述的目标流量检测方法的步骤。
167.该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
168.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
169.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不
应该认为超出本技术的范围。
170.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
171.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语包括、包含或者其他任何变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。
172.以上对本技术所提供的目标流量检测方法、目标流量检测装置、目标流量检测设备和计算机可读存储介质进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。