CN105337792A - 网络攻击有效性的检测方法及系统 - Google Patents
网络攻击有效性的检测方法及系统 Download PDFInfo
- Publication number
- CN105337792A CN105337792A CN201510527788.6A CN201510527788A CN105337792A CN 105337792 A CN105337792 A CN 105337792A CN 201510527788 A CN201510527788 A CN 201510527788A CN 105337792 A CN105337792 A CN 105337792A
- Authority
- CN
- China
- Prior art keywords
- network attack
- response packet
- request bag
- access
- netwoks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种网络攻击有效性的检测方法及系统,以解决如何检测网络攻击是否有效的问题。该方法包括:根据一网络访问的请求包,判断该网络访问是否为网络攻击,若是,则获取被访问者针对该网络攻击发出的应答包,并根据该应答包判断网络攻击是否有效。本发明根据应答包的内容判断网络攻击是否有效,在网络攻击有效的情况下,再进行报警,从而提高了报警准确性,降低了误报率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络攻击有效性的检测方法和一种网络攻击有效性的检测系统。
背景技术
目前,在网络安全技术领域,当根据一网络访问的请求包,判断出该网络访问为网络攻击时,即发出报警信息。但是很多情况下,由于网络设备或系统自身的安全性能很好,网络攻击没有达到目的,此时网络攻击为无效攻击,实质上是不需要报警的。所以由于报警信息中有相当一部分是针对无效攻击的,使得网络攻击的误报率很高。
发明内容
本发明所要解决的技术问题是如何检测网络攻击是否有效。
为解决上述技术问题,本发明提出了一种网络攻击有效性的检测方法及系统。
第一方面,该方法包括:
根据一网络访问的请求包,判断该网络访问是否为网络攻击,
若是,则获取被访问者针对该请求包发出的应答包,并根据该应答包判断网络攻击是否有效。
进一步地,所述根据一网络访问的请求包,判断该网络访问是否为网络攻击,包括:
建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息;
获取访问者发出的请求包;
判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,
若是,则确认该网络访问为网络攻击。
进一步地,所述网络攻击特征库还包括应答包特征信息;
所述根据该应答包判断网络攻击是否有效,包括:
判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,
若是,则确认所述网络攻击为有效攻击。
第二方面,该系统包括:
第一判断模块,用于根据一网络访问的请求包,判断该网络访问是否为网络攻击;
获取模块,用于在该网络访问为网络攻击的情况下,获取被访问者针对该请求包发出的应答包;
第二判断模块,用于根据所述第一获取模块获取的应答包判断网络攻击是否有效。
进一步地,所述第一判断模块包括:
特征库建立单元,用于建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息;
第一获取单元,用于获取访问者发出的请求包;
第一判断单元,用于判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,若是,则确认该网络访问为网络攻击。
进一步地,所述网络攻击特征库还包括应答包特征信息;
所述第二判断模块包括:
第二判断单元,用于判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,若是,则确认所述网络攻击为有效攻击。
本发明根据应答包的内容判断网络攻击是否有效,在网络攻击有效的情况下,再进行报警,从而提高了报警准确性,降低了误报率。
附图说明
通过参考附图会更加清楚的理解本发明的特征信息和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了根据本发明网络攻击有效性的检测方法一实施例的流程示意图;
图2示出了根据本发明网络攻击有效性的检测方法另一实施例的流程示意图;
图3示出了根据本发明网络攻击有效性的检测系统一实施例的结构框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
本发明提供一种网络攻击有效性的检测方法,如图1、2所示,该方法包括:
根据一网络访问的请求包,判断该网络访问是否为网络攻击,
若是,则获取被访问者针对该请求包发出的应答包,并根据该应答包判断网络攻击是否有效。
本发明中网络攻击有效性,是指网络攻击是否成功:
若网络攻击成功,则该网络攻击有效;
否则,网络攻击无效。
在成功、没有成功两种情况下,应答包的内容是不同的。例如,攻击者的网络攻击为获取用户密码,若攻击成功,则应答包中会包含用户的密码信息;否则应答包中是不会有密码相关信息的。
本发明根据应答包的内容判断网络攻击是否有效,在网络攻击有效的情况下,再进行报警,从而提高了报警准确性,降低了误报率。
在具体实施过程中,可采用以下方法根据该应答包判断网络攻击是否有效:
建立网络攻击特征库,该网络攻击特征库中包括应答包特征信息;
判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,
若是,则确认所述网络攻击为有效攻击。
例如,网络攻击特征库中的一应答包特征信息为应答包的内容从第几个字符开始出现连续的某字符,若获取的应答包从该第几个字符开始连续的该某字符,则认为应答包与网络攻击特征库中的应答包特征信息匹配。
本发明通过特征匹配的方式判断网络攻击是否有效攻击,快速、准确。
这里的应答包特征信息,是预先设置好的,可根据具体的应用环境、攻击类型等信息进行设置。
进一步地,本发明的网络攻击特征库中还可包括请求包特征信息。此时,所述根据一网络访问的请求包,判断该网络访问是否为网络攻击,具体包括:
获取访问者发出的请求包;
判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,
若是,则确认该网络访问为网络攻击。
若确认网络访问为网络攻击,则访问者为攻击者,请求包的接收者即被访问者为被攻击者。
同样地,利用特征匹配的方式判断网络访问是否为网络攻击,快速、准确。
这里需要注意的是,访问者与被访问者均指的是网络设备或系统,访问者是发出请求包的一方,被访问者是接收请求包发出应答包的一方。
本发明还提供一种网络攻击有效性的检测系统,如图3所示,该系统100还包括:
第一判断模块101,用于根据一网络访问的请求包,判断该网络访问是否为网络攻击;
获取模块102,用于在该网络访问为网络攻击的情况下,获取被访问者针对该请求包发出的应答包;
第二判断模块103,用于根据所述获取模块获取的应答包判断网络攻击是否有效。
进一步地,所述第一判断模块101包括:
特征库建立单元1011,用于建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息;
第一获取单元1012,用于获取访问者发出的请求包;
第一判断单元1013,用于判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,若是,则确认该网络访问为网络攻击。
进一步地,所述网络攻击特征库还包括应答包特征信息;
所述第二判断模块103包括:
第二判断单元1031,用于判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,若是,则确认所述网络攻击为有效攻击。
本发明网络攻击有效性的检测系统为与本发明网络攻击有效性的检测方法的功能架构模块,其有关部分的解释、说明和有益效果等请参考本发明网络攻击有效性的检测方法的相应部分,在此不再赘述。
综上所述,本发明网络攻击有效性的检测方法及系统具有以下优点:
本发明采用一个网络访问的请求包判断该网络访问是否为网络攻击,若是,再利用应答包判断网络攻击是否有效,进而判断是否需要报警,因此降低了误报率。同时,采用特征匹配的方式进行相应的判断,快速、准确。
在本发明中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。术语“多个”指两个或两个以上,除非另有明确的限定。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (6)
1.一种网络攻击有效性的检测方法,其特征在于,包括:
根据一网络访问的请求包,判断该网络访问是否为网络攻击,
若是,则获取被访问者针对该请求包发出的应答包,并根据该应答包判断所述网络攻击是否有效。
2.根据权利要求1所述的方法,其特征在于,
所述根据一网络访问的请求包,判断该网络访问是否为网络攻击,包括:
建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息;
获取访问者发出的请求包;
判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,
若是,则确认该网络访问为网络攻击。
3.根据权利要求2所述的方法,其特征在于,
所述网络攻击特征库还包括应答包特征信息;
所述根据该应答包判断网络攻击是否有效,包括:
判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,
若是,则确认所述网络攻击为有效攻击。
4.一种网络攻击有效性的检测系统,其特征在于,包括:
第一判断模块,用于根据一网络访问的请求包,判断该网络访问是否为网络攻击;
获取模块,用于在该网络访问为网络攻击的情况下,获取被访问者针对该请求包发出的应答包;
第二判断模块,用于根据所述获取模块获取的应答包判断网络攻击是否有效。
5.根据权利要求4所述的系统,其特征在于,
所述第一判断模块包括:
特征库建立单元,用于建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息;
第一获取单元,用于获取访问者发出的请求包;
第一判断单元,用于判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,若是,则确认该网络访问为网络攻击。
6.根据权利要求5所述的系统,其特征在于,
所述网络攻击特征库还包括应答包特征信息;
所述第二判断模块包括:
第二判断单元,用于判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,若是,则确认所述网络攻击为有效攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510527788.6A CN105337792A (zh) | 2015-08-25 | 2015-08-25 | 网络攻击有效性的检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510527788.6A CN105337792A (zh) | 2015-08-25 | 2015-08-25 | 网络攻击有效性的检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105337792A true CN105337792A (zh) | 2016-02-17 |
Family
ID=55288104
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510527788.6A Pending CN105337792A (zh) | 2015-08-25 | 2015-08-25 | 网络攻击有效性的检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105337792A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790189A (zh) * | 2016-12-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于响应报文的入侵检测方法和装置 |
CN108683687A (zh) * | 2018-06-29 | 2018-10-19 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
CN102082810A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
CN103039099A (zh) * | 2010-06-28 | 2013-04-10 | 株式会社Frons | 控制手机的恶性代码生成的网络数据的网络数据控制装置及网络数据控制方法 |
US9106689B2 (en) * | 2011-05-06 | 2015-08-11 | Lockheed Martin Corporation | Intrusion detection using MDL clustering |
-
2015
- 2015-08-25 CN CN201510527788.6A patent/CN105337792A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
CN102082810A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
CN102082810B (zh) * | 2009-11-30 | 2014-05-07 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
CN103039099A (zh) * | 2010-06-28 | 2013-04-10 | 株式会社Frons | 控制手机的恶性代码生成的网络数据的网络数据控制装置及网络数据控制方法 |
US9106689B2 (en) * | 2011-05-06 | 2015-08-11 | Lockheed Martin Corporation | Intrusion detection using MDL clustering |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790189A (zh) * | 2016-12-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于响应报文的入侵检测方法和装置 |
CN106790189B (zh) * | 2016-12-30 | 2019-12-06 | 杭州迪普科技股份有限公司 | 一种基于响应报文的入侵检测方法和装置 |
CN108683687A (zh) * | 2018-06-29 | 2018-10-19 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
CN108683687B (zh) * | 2018-06-29 | 2021-08-10 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107659410A (zh) | 基于区块链防篡改公文传输和存储方法 | |
WO2009023315A3 (en) | Anti-content spoofing (acs) | |
CN102624713B (zh) | 网站篡改识别的方法及装置 | |
CN106506547B (zh) | 针对拒绝服务攻击的处理方法、waf、路由器及系统 | |
WO2013188611A3 (en) | Real-time reporting of anomalous internet protocol attacks | |
CN108259472A (zh) | 基于攻击行为分析的动态联防机制实现系统及方法 | |
CN106789849B (zh) | Cc攻击识别方法、节点及系统 | |
RU2017105709A (ru) | Обнаружение поведения агентов вредоносного программного обеспечения | |
Kim et al. | A taxonomy for DOS attacks in VANET | |
CN105337792A (zh) | 网络攻击有效性的检测方法及系统 | |
DE602004025361D1 (de) | Verhinderung eines unzulässigen Zugriffs auf Resourcen in einem Computernetzwerk | |
CN103916379B (zh) | 一种基于高频统计的cc攻击识别方法及系统 | |
CN105025011A (zh) | 车载信息安全的评价方法 | |
CN104519068A (zh) | 一种基于操作系统指纹跳变的移动目标防护方法 | |
CN103916387A (zh) | 一种防护ddos攻击的方法及系统 | |
CN103686651A (zh) | 一种基于紧急呼叫的认证方法、设备和系统 | |
CN110597693B (zh) | 告警信息发送方法、装置、设备、系统及存储介质 | |
CN107426203A (zh) | 弱口令检测系统及实现方法与web平台 | |
CN104410642B (zh) | 基于arp协议的设备接入感知方法 | |
CN106911629A (zh) | 一种报警关联方法及装置 | |
WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
CN114357457A (zh) | 漏洞检测方法、装置、电子设备和存储介质 | |
CN103369555A (zh) | 一种用于检测手机病毒的方法和装置 | |
CN100581171C (zh) | 一种适合超宽带网络的握手协议方法 | |
CN103618721A (zh) | 防范跨站脚本攻击xss安全服务 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160217 |
|
RJ01 | Rejection of invention patent application after publication |