CN105357179B - 网络攻击的处理方法及装置 - Google Patents
网络攻击的处理方法及装置 Download PDFInfo
- Publication number
- CN105357179B CN105357179B CN201510634536.3A CN201510634536A CN105357179B CN 105357179 B CN105357179 B CN 105357179B CN 201510634536 A CN201510634536 A CN 201510634536A CN 105357179 B CN105357179 B CN 105357179B
- Authority
- CN
- China
- Prior art keywords
- data packet
- information
- attack
- data
- network attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络攻击的处理方法及装置,所述网络攻击的处理方法包括以下步骤:获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;获取预设的编程语言的语法信息及所述编程语言的上下文文法信息;根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果;根据所述判断结果执行相应的操作。本发明弥补了基于攻击特征信息的攻击检测方式的不足,增强误判识别能力,能够及时发现网络攻击的误判情况,保证业务的正常进行。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络攻击的处理方法及装置。
背景技术
目前,对网络数据进行安全检查的产品大多是基于特征码的识别,即如果数据包的攻击特征符合特征码,就能够检测出该数据包具有攻击性,在网络攻击发生的情况下,设备向用户报告当前网络异常。由于现有技术的限制,基于特征码的网络攻击检测手段很容易引发误判,将一个正常的数据包判断成符合特征码的攻击数据包:对于产生的误判,目前仍没有一个较好的解决方法,一般是在误判发生后才进行补救,例如依靠人工分析,对攻击日志进行逐条分析,看哪些是网络攻击数据哪些是正常数据,然后等到新的特征库发布后,误判问题才得到解决,这种处理网络攻击误判的方法存在滞后性,无法及时处理误判问题,容易导致正常业务受到影响,严重时网络攻击的误判还会导致客户断网,影响使用效果。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种网络攻击的处理方法及装置,旨在解决在检测网络攻击时容易误判的技术问题。
为实现上述目的,本发明提供一种网络攻击的处理方法,所述网络攻击的处理方法包括以下步骤:
获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;
获取预设的编程语言的语法信息及所述编程语言的上下文文法信息;
根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果;
根据所述判断结果执行相应的操作。
优选地,所述根据所述语法信息及上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果的步骤包括:
解析所述第一数据包并获取所述第一数据包中第一数据片段;
判断所述第一数据片段是否符合所述语法信息;
若不符合所述语法信息,则判断所述第一数据包为正常数据包;
若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段;
判断所述第一数据片段及第二数据片段是否符合所述上下文文法信息;
若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包,否则,判断所述第一数据包为正常数据包。
优选地,所述根据所述判断结果执行相应的操作的步骤包括:
当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输;
记录所述第一数据包对应的攻击日志。
优选地,所述根据所述判断结果执行相应的操作的步骤还包括:
当所述第一数据包为攻击数据包时,拦截所述第一数据包。
优选地,在记录所述第一数据包对应的攻击日志之后,所述网络攻击的处理方法还包括:
将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
此外,为实现上述目的,本发明还提供一种网络攻击的处理装置,所述网络攻击的处理装置包括:
第一获取模块,用于获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;
第二获取模块,用于获取预设的编程语言的语法信息及所述编程语言的上下文文法信息;
判断模块,用于根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果;
执行模块,用于根据所述判断结果执行相应的操作。
优选地,所述判断模块包括:
解析单元,用于解析所述第一数据包并获取所述第一数据包中第一数据片段;
第一判断单元,用于判断所述第一数据片段是否符合所述语法信息;
第一判断处理单元,用于若不符合所述语法信息,则判断所述第一数据包为正常数据包;
获取单元,用于若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段;
第二判断单元,用于判断所述第一数据片段及第二数据片段是否符合所述上下文文法信息;
第二判断处理单元,用于若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包,否则,判断所述第一数据包为正常数据包。
优选地,所述执行模块包括:
恢复单元,用于当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输;
记录单元,用于记录所述第一数据包对应的攻击日志。
优选地,所述执行模块还包括:
拦截单元,用于当所述第一数据包为攻击数据包时,拦截所述第一数据包。
优选地,所述网络攻击的处理装置还包括:
发送模块,用于将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
本发明一种网络攻击的处理方法及装置,首先基于攻击特征信息的攻击检测方式获取第一数据包,然后基于语法信息分析和上下文双向对第一数据包进行检测的方式,弥补了基于攻击特征信息的攻击检测方式的不足,增强误判识别能力,能够及时发现网络攻击的误判情况,保证业务的正常进行,并提高使用体验。
附图说明
图1为本发明网络攻击的处理方法一实施例的流程示意图;
图2为图1中步骤S103的细化流程示意图;
图3为图1中步骤S104的细化流程示意图;
图4为本发明网络攻击的处理装置一实施例的功能模块示意图;
图5为图4中判断模块的细化功能模块示意图;
图6为图4中执行模块的细化功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种网络攻击的处理方法,参照图1,在一实施例中,该网络攻击的处理方法包括:
步骤S101,获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;
SQL(Structured Query Language,结构化查询语言)注入为将SQL代码插入或添加到应用的输入参数中,之后再将这些参数传递给后台的SQL服务器加以解析并执行的攻击,本实施例中主要针对SQL注入这一类的网络攻击,当然,也可以是其他的网络攻击。
本实施例中,在对网络数据进行攻击检测时,获取云端服务器存储的攻击特征信息,基于攻击特征信息(即特征码)的攻击检测方式来检测SQL注入,基于攻击特征信息攻击检测方式是依靠SQL关键字来进行检测,SQL关键字例如可以是select、from等。
以下的数据包中的一段数据片段,因为含有select、from等关键字,该数据包容易被安全检测产品判断成网络攻击:
You will be isolating which usually muscle.Use both varietiesanaerobic exercises to improve your strength to produce healthy,incline,andeffective muscles.Select exercises you ought to enjoy and can also do for notless than 20a short time,three so that you can five days 1week.Exercise wouldnot necessarily mean working out and helping to make an ordeal from the。
可以看出,基于攻击特征信息攻击检测方式容易造成误判
但是,该数据包事实上不是攻击数据包,因此,需要进一步对该数据包进行攻击判断。
步骤S102,获取预设的编程语言的语法信息及所述编程语言的上下文文法信息;
本实施例中,编程语言优选为结构化查询语言,该编程语言的语法信息是官方正规定义的并预存在设备中,且该语法信息的定义使用了上下文无关文法。
而编程语言的上下文文法信息同样是官方正规定义并预存在设备中,且该语法信息的定义使用了与上下文有关的文法。
步骤S103,根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果;
本实施例中,首先获取第一数据包中的所有数据片段,然后对这些数据片段进行分析,看是否符合语法信息,如果符合语法信息,可以进一步联合请求包及响应包进行上下文文法信息进行双向检测;如果不符合语法信息,可以判断该第一数据包不是网络攻击数据包,即属于正常数据包,这样,能够进一步排除非网络攻击数据包。
本实施例中,进一步根据上下文文法信息判断第一数据包是否为攻击数据包,需要结合请求数据包及对应的响应数据包,通过请求数据包及对应的响应数据包两个方向上的数据包联合进行上下文的对比分析,以进一步判断第一数据包是否为攻击数据包。
步骤S104,根据所述判断结果执行相应的操作。
本实施例中,第一数据包可能是攻击数据包也可能不是攻击数据包,即根据上下文文法信息对第一数据包进行分析后,可以得出第一数据包为攻击数据包或者为非攻击数据包。
如果是攻击数据包,则需要对其进行拦截,如果是非攻击数据包,则说明基于攻击特征信息的攻击检测方式发生误判。
与现有技术相比,本实施例首先基于攻击特征信息的攻击检测方式获取第一数据包,然后基于语法信息分析和上下文双向对第一数据包进行检测的方式,弥补了基于攻击特征信息的攻击检测方式的不足,增强误判识别能力,能够及时发现网络攻击的误判情况,保证业务的正常进行,并提高使用体验。
在一优选的实施例中,如图2所示,在上述图1的实施例的基础上,上述步骤S103包括:
步骤S1031,解析所述第一数据包并获取所述第一数据包中第一数据片段;
步骤S1032,判断所述第一数据片段是否符合所述语法信息;
步骤S1033,若不符合所述语法信息,则判断所述第一数据包为正常数据包;
步骤S1034,若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段;
步骤S1035,判断所述第一数据片段及第二数据片段是否符合所述上下文文法信息;
步骤S1036,若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包。
本实施例中,解析并获取第一数据包中的所有第一数据片段,然后判断第一数据片段是否符合所述语法信息,根据该语法信息来分析这些第一数据片段,如果第一数据片段不符合语法信息,则可以断定第一数据包不是网络攻击。以Mysql的select查询语句的语法信息定义举例,第一数据片段如下:
select_stmt_block:SELECT select_opts top_opt select_expr_list file_opt FROM
table_references opt_where opt_groupby opt_having opt_orderby opt_limit
procedure_opt file_opt lock_opt
可以看出,在第一数据片段中,虽然含有select、from等SQL注入的特征码,但select后跟随的是opts、top、opt等,其不符合select查询语句的语法信息,所以判断第一数据包不是网络攻击,属于正常数据包。
本实施例中,如果第一数据片段符合该语法信息,则获取与第一数据包的响应方向对应的第二数据包,即结合请求数据包及对应的响应数据包,通过请求数据包及对应的响应数据包两个方向上的数据包联合进行上下文的对比分析,具体地,判断第一数据片段及第二数据片段是否符合上述的上下文文法信息,以进一步判断第一数据包是否为攻击数据包。
举例而言,以下的第一数据片段及第二数据片段,基于攻击特征信息的攻击检测方式及基于上述的语法信息的判断均会认为其是网络攻击:
GET/database/lamp/results_complex.php?page=5&&query=select*fromlamp l
where l.activity like'Antimicrobial'and l.source like'mus musculus'HTTP/1.1
Host:biotechlab.fudan.edu.cn
Connection:keep-alive
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent:Mozilla/5.0(Windows NT 6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/33.0.1750.154Safari/537.36
Referer:http://biotechlab.fudan.edu.cn/database/lamp/results_complex.php
Accept-Encoding:gzip,deflate,sdch
Accept-Language:hu-HU,hu;q=0.8,en-US;q=0.6,en;q=0.4
Cookie:PHPSESSID=gvgdgopuk35mffcgj1r99m6d00
本实施例中,通过结合请求包和响应包的双向数据分析,发现第一数据包并非真的来自恶意的攻击,而是由于客户的业务系统本身就是这样实现的:通过参数query传递SQL查询语句;并且,响应包也存在相同的参数和参数值,或者说,请求方向参数query携带的SQL语句,是来自服务器返回的响应页面。通过这种上下文文法信息分析的方法检测到数据包符合正常的SQL语法,即判断第一数据包为非攻击数据包。
在一优选的实施例中,如图3所示,在上述图1的实施例的基础上,上述步骤S104包括:
步骤S1041,当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输;
步骤S1042,记录所述第一数据包对应的攻击日志。
本实施例中,当判断第一数据包不为攻击数据包时,会自动放行当前的第一数据包,并恢复第一数据包对应的业务流的传输,避免客户业务遭受影响或者断网,而不再依赖于攻击特征信息的攻击检测方式来检测数据包,同时也防止产生海量日志,提高客户的满意度。
对于基于攻击特征信息的攻击检测方式造成的误判,可以对后续的业务流进行检测前的过滤。记录第一数据包对应的攻击日志,并向用户报告具体哪个参数传SQL语句,该参数存在SQL注入的安全隐患,用户可以查看到该条日志。
在一优选的实施例中,上述步骤S104进一步包括:当第一数据包为攻击数据包时,拦截所述第一数据包。本实施例的第一数据包如果是攻击数据包,则进行拦截,保证网络的安全。
在一优选的实施例中,在上述的实施例的基础上,在记录所述第一数据包对应的攻击日志之后,上述步骤S104之后包括:将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
本实施例中,当通过上下文文法信息分析的方法检测到第一数据包不为攻击数据包时,即认为攻击特征信息的攻击检测方式出现误判,将对应的攻击日志发送至云端服务器,云端服务器接收到攻击日志后自动更新规则库,下一版本的规则库发布,将包含更新后的攻击特征信息。
本发明还提供一种网络攻击的处理装置,如图4所示,在一实施例中,所述网络攻击的处理装置包括:
第一获取模块101,用于获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;
SQL(Structured Query Language,结构化查询语言)注入为将SQL代码插入或添加到应用的输入参数中,之后再将这些参数传递给后台的SQL服务器加以解析并执行的攻击,本实施例中主要针对SQL注入这一类的网络攻击,当然,也可以是其他的网络攻击。
本实施例中,在对网络数据进行攻击检测时,获取云端服务器存储的攻击特征信息,基于攻击特征信息(即特征码)的攻击检测方式来检测SQL注入,基于攻击特征信息攻击检测方式是依靠SQL关键字来进行检测,SQL关键字例如可以是select、from等。
以下的数据包中的一段数据片段,因为含有select、from等关键字,该数据包容易被安全检测产品判断成网络攻击:
You will be isolating which usually muscle.Use both varietiesanaerobic exercises to improve your strength to produce healthy,incline,andeffective muscles.Select exercises you ought to enjoy and can also do for notless than 20a short time,three so that you can five days 1week.Exercise wouldnot necessarily mean working out and helping to make an ordeal from the。
可以看出,基于攻击特征信息攻击检测方式容易造成误判
但是,该数据包事实上不是攻击数据包,因此,需要进一步对该数据包进行攻击判断。
第二获取模块102,用于获取预设的编程语言的语法信息及所述编程语言的上下文文法信息;
本实施例中,编程语言优选为结构化查询语言,该编程语言的语法信息是官方正规定义并预存在设备中,且该语法信息的定义使用了上下文无关文法。
而编程语言的上下文文法信息同样是官方正规定义并预存在设备中,且该语法信息的定义使用了与上下文有关的文法。
判断模块103,用于根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果;
本实施例中,首先获取第一数据包中的所有数据片段,然后对这些数据片段进行分析,看是否符合语法信息,如果符合语法信息,可以进一步联合请求包及响应包进行上下文文法信息进行双向检测;如果不符合语法信息,可以判断该第一数据包不是网络攻击数据包,即属于正常数据包,这样,能够进一步排除非网络攻击数据包。
本实施例中,进一步根据上下文文法信息判断第一数据包是否为攻击数据包,需要结合请求数据包及对应的响应数据包,通过请求数据包及对应的响应数据包两个方向上的数据包联合进行上下文的对比分析,以进一步判断第一数据包是否为攻击数据包。
执行模块104,用于根据所述判断结果执行相应的操作。
本实施例中,第一数据包可能是攻击数据包也可能不是攻击数据包,即根据上下文文法信息对第一数据包进行分析后,可以得出第一数据包为攻击数据包或者为非攻击数据包。
如果是攻击数据包,则需要对其进行拦截,如果是非攻击数据包,则说明基于攻击特征信息的攻击检测方式发生误判。
与现有技术相比,本实施例首先基于攻击特征信息的攻击检测方式获取第一数据包,然后基于语法信息分析和上下文双向对第一数据包进行检测的方式,弥补了基于攻击特征信息的攻击检测方式的不足,增强误判识别能力,能够及时发现网络攻击的误判情况,保证业务的正常进行,并提高使用体验。
在一优选的实施例中,如图5所示,在上述图4的实施例的基础上,所述判断模块103包括:
解析单元1031,用于解析所述第一数据包并获取所述第一数据包中第一数据片段;
第一判断单元1032,用于判断所述第一数据片段是否符合所述语法信息;
第一判断处理单元1033,用于若不符合所述语法信息,则判断所述第一数据包为正常数据包;
获取单元1034,用于若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段;
第二判断单元1035,用于判断所述第一数据片段及第二数据片段是否符合所述上下文文法信息;
第二判断处理单元1036,用于若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包,否则,判断所述第一数据包为正常数据包。
本实施例中,解析并获取第一数据包中的所有第一数据片段,然后判断第一数据片段是否符合所述语法信息,根据该语法信息来分析这些第一数据片段,如果第一数据片段不符合语法信息,则可以断定第一数据包不是网络攻击。以Mysql的select查询语句的语法信息定义举例,第一数据片段如下:
select_stmt_block:SELECT select_opts top_opt select_expr_list file_opt FROM
table_references opt_where opt_groupby opt_having opt_orderby opt_limit
procedure_opt file_opt lock_opt
可以看出,在第一数据片段中,虽然含有select、from等SQL注入的特征码,但select后跟随的是opts、top、opt等,其不符合select查询语句的语法信息,所以判断第一数据包不是网络攻击,属于正常数据包。
本实施例中,如果第一数据片段符合该语法信息,则获取与第一数据包的响应方向对应的第二数据包,即结合请求数据包及对应的响应数据包,通过请求数据包及对应的响应数据包两个方向上的数据包联合进行上下文的对比分析,具体地,判断第一数据片段及第二数据片段是否符合上述的上下文文法信息,以进一步判断第一数据包是否为攻击数据包。
举例而言,以下的第一数据片段及第二数据片段,基于攻击特征信息的攻击检测方式及基于上述的语法信息的判断均会认为其是网络攻击:
GET/database/lamp/results_complex.php?page=5&&query=select*fromlamp l
where l.activity like'Antimicrobial'and l.source like'mus musculus'HTTP/1.1
Host:biotechlab.fudan.edu.cn
Connection:keep-alive
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent:Mozilla/5.0(Windows NT 6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/33.0.1750.154Safari/537.36
Referer:http://biotechlab.fudan.edu.cn/database/lamp/results_complex.php
Accept-Encoding:gzip,deflate,sdch
Accept-Language:hu-HU,hu;q=0.8,en-US;q=0.6,en;q=0.4
Cookie:PHPSESSID=gvgdgopuk35mffcgj1r99m6d00
本实施例中,通过结合请求包和响应包的双向数据分析,发现第一数据包并非真的来自恶意的攻击,而是由于客户的业务系统本身就是这样实现的:通过参数query传递SQL查询语句;并且,响应包也存在相同的参数和参数值,或者说,请求方向参数query携带的SQL语句,是来自服务器返回的响应页面。通过这种上下文文法信息分析的方法检测到数据包符合正常的SQL语法,即判断第一数据包为非攻击数据包。
在一优选的实施例中,如图6所示,在上述图4的实施例的基础上,所述执行模块104包括:
恢复单元1041,用于当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输;
记录单元1042,用于记录所述第一数据包对应的攻击日志。
本实施例中,当判断第一数据包不为攻击数据包时,会自动放行当前的第一数据包,并恢复第一数据包对应的业务流的传输,避免客户业务遭受影响或者断网,而不再依赖于攻击特征信息的攻击检测方式来检测数据包,同时也防止产生海量日志,提高客户的满意度。
对于基于攻击特征信息的攻击检测方式造成的误判,可以对后续的业务流进行检测前的过滤。记录第一数据包对应的攻击日志,并向用户报告具体哪个参数传SQL语句,该参数存在SQL注入的安全隐患,用户可以查看到该条日志。
在一优选的实施例中,所述执行模块104还包括:拦截单元,用于当所述第一数据包为攻击数据包时,拦截所述第一数据包。本实施例的第一数据包如果是攻击数据包,则进行拦截,保证网络的安全。
在一优选的实施例中,在上述的实施例的基础上,所述网络攻击的处理装置还包括:发送模块,用于将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
本实施例中,当通过上下文文法信息分析的方法检测到第一数据包不为攻击数据包时,即认为攻击特征信息的攻击检测方式出现误判,将对应的攻击日志发送至云端服务器,云端服务器接收到攻击日志后自动更新规则库,下一版本的规则库发布,将包含更新后的攻击特征信息。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络攻击的处理方法,其特征在于,所述网络攻击的处理方法包括以下步骤:
获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;
获取预设的编程语言的语法信息及所述编程语言的上下文文法信息;
根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果,其中,在所述第一数据包符合所述语法信息,且符合所述上下文文法信息时,判定所述第一数据包为攻击数据包,在所述第一数据包不符合所述语法信息时,判定所述第一数据包为正常数据包;
根据所述判断结果执行相应的操作。
2.如权利要求1所述的网络攻击的处理方法,其特征在于,所述根据所述语法信息及上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果的步骤包括:
解析所述第一数据包并获取所述第一数据包中第一数据片段;
判断所述第一数据片段是否符合所述语法信息;
若不符合所述语法信息,则判断所述第一数据包为正常数据包;
若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段;
判断所述第一数据片段及第二数据片段是否符合所述上下文文法信息;
若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包,否则,判断所述第一数据包为正常数据包。
3.如权利要求1或2所述的网络攻击的处理方法,其特征在于,所述根据所述判断结果执行相应的操作的步骤包括:
当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输;
记录所述第一数据包对应的攻击日志。
4.如权利要求3所述的网络攻击的处理方法,其特征在于,所述根据所述判断结果执行相应的操作的步骤还包括:
当所述第一数据包为攻击数据包时,拦截所述第一数据包。
5.如权利要求3所述的网络攻击的处理方法,其特征在于,在记录所述第一数据包对应的攻击日志之后,所述网络攻击的处理方法还包括:
将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
6.一种网络攻击的处理装置,其特征在于,所述网络攻击的处理装置包括:
第一获取模块,用于获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;
第二获取模块,用于获取预设的编程语言的语法信息及所述编程语言的上下文文法信息;
判断模块,用于根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果,其中,在所述第一数据包符合所述语法信息,且符合所述上下文文法信息时,判定所述第一数据包为攻击数据包,在所述第一数据包不符合所述语法信息时,判定所述第一数据包为正常数据包;
执行模块,用于根据所述判断结果执行相应的操作。
7.如权利要求6所述的网络攻击的处理装置,其特征在于,所述判断模块包括:
解析单元,用于解析所述第一数据包并获取所述第一数据包中第一数据片段;
第一判断单元,用于判断所述第一数据片段是否符合所述语法信息;
第一判断处理单元,用于若不符合所述语法信息,则判断所述第一数据包为正常数据包;
获取单元,用于若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段;
第二判断单元,用于判断所述第一数据片段及第二数据片段是否符合所述上下文文法信息;
第二判断处理单元,用于若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包,否则,判断所述第一数据包为正常数据包。
8.如权利要求6或7所述的网络攻击的处理装置,其特征在于,所述执行模块包括:
恢复单元,用于当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输;
记录单元,用于记录所述第一数据包对应的攻击日志。
9.如权利要求8所述的网络攻击的处理装置,其特征在于,所述执行模块还包括:
拦截单元,用于当所述第一数据包为攻击数据包时,拦截所述第一数据包。
10.如权利要求8所述的网络攻击的处理装置,其特征在于,所述网络攻击的处理装置还包括:
发送模块,用于将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510634536.3A CN105357179B (zh) | 2015-09-29 | 2015-09-29 | 网络攻击的处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510634536.3A CN105357179B (zh) | 2015-09-29 | 2015-09-29 | 网络攻击的处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105357179A CN105357179A (zh) | 2016-02-24 |
CN105357179B true CN105357179B (zh) | 2018-10-30 |
Family
ID=55333043
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510634536.3A Active CN105357179B (zh) | 2015-09-29 | 2015-09-29 | 网络攻击的处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105357179B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107292170B (zh) * | 2016-04-05 | 2021-06-22 | 阿里巴巴集团控股有限公司 | Sql注入攻击的检测方法及装置、系统 |
CN107172033B (zh) * | 2017-05-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种waf误判识别方法以及装置 |
CN107483502A (zh) * | 2017-09-28 | 2017-12-15 | 深信服科技股份有限公司 | 一种检测残余攻击的方法及装置 |
CN107659583B (zh) * | 2017-10-27 | 2020-08-04 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
CN108768935A (zh) * | 2018-04-12 | 2018-11-06 | 国家计算机网络与信息安全管理中心 | 支持三层环路流量检测以及抗ddos攻击的分流系统及方法 |
CN111447166B (zh) * | 2018-12-29 | 2022-11-04 | 北京奇虎科技有限公司 | 车辆攻击检测方法及装置 |
CN110602030A (zh) * | 2019-05-16 | 2019-12-20 | 上海云盾信息技术有限公司 | 网络入侵阻断方法、服务器及计算机可读介质 |
CN110855659A (zh) * | 2019-11-07 | 2020-02-28 | 四川长虹电器股份有限公司 | redis蜜罐部署系统 |
US11848958B2 (en) * | 2019-12-23 | 2023-12-19 | Mcafee, Llc | Methods and apparatus to detect malware based on network traffic analysis |
CN114448731B (zh) * | 2022-04-07 | 2022-08-05 | 广州锦行网络科技有限公司 | 蜜罐部署方法、装置、设备及计算机可读介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101388763A (zh) * | 2007-09-12 | 2009-03-18 | 北京启明星辰信息技术有限公司 | 一种支持多种数据库类型的sql注入攻击检测系统 |
CN102833270A (zh) * | 2012-09-18 | 2012-12-19 | 山石网科通信技术(北京)有限公司 | Sql注入攻击的检测方法、装置和具有该装置的防火墙 |
CN103559444A (zh) * | 2013-11-05 | 2014-02-05 | 星云融创(北京)信息技术有限公司 | 一种sql注入检测方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5522850B2 (ja) * | 2010-11-10 | 2014-06-18 | 京セラコミュニケーションシステム株式会社 | 脆弱性診断装置 |
-
2015
- 2015-09-29 CN CN201510634536.3A patent/CN105357179B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101388763A (zh) * | 2007-09-12 | 2009-03-18 | 北京启明星辰信息技术有限公司 | 一种支持多种数据库类型的sql注入攻击检测系统 |
CN102833270A (zh) * | 2012-09-18 | 2012-12-19 | 山石网科通信技术(北京)有限公司 | Sql注入攻击的检测方法、装置和具有该装置的防火墙 |
CN103559444A (zh) * | 2013-11-05 | 2014-02-05 | 星云融创(北京)信息技术有限公司 | 一种sql注入检测方法及装置 |
Non-Patent Citations (1)
Title |
---|
用于SQL注入检测的语句块摘要树模型;黄保华;《信息安全与技术》;20120331(第3期);34-37 * |
Also Published As
Publication number | Publication date |
---|---|
CN105357179A (zh) | 2016-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105357179B (zh) | 网络攻击的处理方法及装置 | |
Lin et al. | Adapting bro into scada: building a specification-based intrusion detection system for the dnp3 protocol | |
US9185125B2 (en) | Systems and methods for detecting and mitigating threats to a structured data storage system | |
CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
CN106961419A (zh) | WebShell检测方法、装置及系统 | |
US20140173736A1 (en) | Method and system for detecting webpage Trojan embedded | |
US9213839B2 (en) | Malicious code detection technologies | |
CN102833269B (zh) | 跨站攻击的检测方法、装置和具有该装置的防火墙 | |
CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
CN104994091B (zh) | 异常流量的检测方法及装置、防御Web攻击的方法和装置 | |
CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
WO2011032094A1 (en) | Extracting information from unstructured data and mapping the information to a structured schema using the naive bayesian probability model | |
CN102833270A (zh) | Sql注入攻击的检测方法、装置和具有该装置的防火墙 | |
CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
CN105260662A (zh) | 一种未知应用漏洞威胁检测装置及方法 | |
CN103581180A (zh) | 根据攻击日志调整命中特征的方法和装置 | |
CN102799830A (zh) | 一种改进的sql注入漏洞检测方法 | |
CN109040097A (zh) | 一种跨站脚本攻击的防御方法、装置、设备和存储介质 | |
WO2022001577A1 (zh) | 一种基于白名单的内容锁防火墙方法及系统 | |
CN103095709B (zh) | 安全防护方法及装置 | |
CN104318162A (zh) | 源代码泄露检测方法及装置 | |
CN108595960A (zh) | 一种基于第三方软件存在漏洞的检测方法及系统 | |
CN116827655A (zh) | 流量检测加速方法和系统、电子设备及存储介质 | |
CN105429980B (zh) | 网络安全处理方法及装置 | |
CN104252595B (zh) | 应用程序的分析方法、装置和客户端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200616 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park A1 building five floor Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |