CN106888211A - 一种网络攻击的检测方法及装置 - Google Patents
一种网络攻击的检测方法及装置 Download PDFInfo
- Publication number
- CN106888211A CN106888211A CN201710142826.5A CN201710142826A CN106888211A CN 106888211 A CN106888211 A CN 106888211A CN 201710142826 A CN201710142826 A CN 201710142826A CN 106888211 A CN106888211 A CN 106888211A
- Authority
- CN
- China
- Prior art keywords
- leak
- feature
- application data
- attack
- triggering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络攻击的检测方法及装置,该方法包括:从当前网络体系中的应用层获取待分析的网络数据包;对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征;根据所述应用数据的漏洞特征,确定当前网络的攻击情况。通过本方法,由于分析应用层数据包中的应用数据更加简单易行,几乎不会存在解读错误的情况,从而可以提高Web应用的安全性,不给黑客任何可乘之机。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种网络攻击的检测方法及装置。
背景技术
随着网络及系统层漏洞的逐渐减少及Web攻防技术的日趋成熟,黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。
通常,为了实时监测和防止网络系统的攻击,人们采用的方式为:在网络层部署检测装置,用于对网络攻击的检测,具体处理包括:该检测装置从当前网络系统的网络层获取数据包,并将该数据包存储在指定的存储设备中。技术人员定期或实时对存储的数据包进行分析,确定其中是否包含能够对网络服务器、终端设备及其硬件或软件造成危害的应用程序或程序代码,如果包括,则可以确定该数据包可能会危害网络系统,此时,技术人员可以针对该数据包中包含的具体应用程序或程序代码,判定其属于何种网络攻击,从而采取或制定相应的措施。如果不包括,则可以确定该数据包不会危害网络系统。
但是,上述检测装置是部署在网络层,由于网络层的数据包中大多包含的是各种网络代码或程序代码,技术人员在分析网络代码或程序代码时很多情况下会存在解读错误的情况,这样很可能会造成网络系统危害的数据包被分析成正常的数据,从而使得Web应用的安全受到威胁,给黑客以可乘之机。
发明内容
本申请实施例提供一种网络攻击的检测方法及装置,用以解决现有技术中很可能会造成网络系统危害的数据包被分析成正常的数据,从而使得Web应用的安全受到威胁的问题。
本申请实施例提供的一种网络攻击的检测方法,所述方法包括:
从当前网络体系中的应用层获取待分析的网络数据包;
对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征;
根据所述应用数据的漏洞特征,确定当前网络的攻击情况。
可选地,所述方法还包括:
根据当前网络的攻击情况,输出相应的网络攻击通知。
可选地,所述对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征,包括:
通过预先设置的漏洞扫描规则对所述应用数据进行漏洞扫描特征识别,获取所述应用数据的漏洞扫描特征;
相应的,所述根据所述应用数据的漏洞特征,确定当前网络的攻击情况,包括:
根据所述应用数据的漏洞扫描特征,确定当前网络的攻击情况为可疑攻击。
可选地,所述对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征,包括:
通过预先设置的漏洞触发规则对所述应用数据进行漏洞触发特征识别,获取所述应用数据的漏洞触发特征;
相应的,所述根据所述应用数据的漏洞特征,确定当前网络的攻击情况,包括:
根据所述应用数据的漏洞触发特征,确定当前网络的攻击情况为漏洞攻击。
可选地,所述漏洞触发特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,
所述根据所述应用数据的漏洞特征,确定当前网络的攻击情况,包括:
如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为低危漏洞触发特征,则确定当前网络的攻击情况为低危漏洞攻击;
如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为中危漏洞触发特征,则确定当前网络的攻击情况为中危漏洞攻击;
如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为高危漏洞触发特征,则确定当前网络的攻击情况为高危漏洞攻击。
本申请实施例提供的一种网络攻击的检测装置,所述装置包括:
数据包获取模块,用于从当前网络体系中的应用层获取待分析的网络数据包;
漏洞特征识别模块,用于对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征;
攻击情况确定模块,用于根据所述应用数据的漏洞特征,确定当前网络的攻击情况。
可选地,所述装置还包括:
攻击通知输出模块,用于根据当前网络的攻击情况,输出相应的网络攻击通知。
可选地,所述漏洞特征识别模块,用于通过预先设置的漏洞扫描规则对所述应用数据进行漏洞扫描特征识别,获取所述应用数据的漏洞扫描特征;
相应的,所述攻击情况确定模块,用于根据所述应用数据的漏洞扫描特征,确定当前网络的攻击情况为可疑攻击。
可选地,所述漏洞特征识别模块,用于通过预先设置的漏洞触发规则对所述应用数据进行漏洞触发特征识别,获取所述应用数据的漏洞触发特征;
相应的,所述攻击情况确定模块,用于根据所述应用数据的漏洞触发特征,确定当前网络的攻击情况为漏洞攻击。
可选地,所述漏洞触发特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,
所述攻击情况确定模块,用于如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为低危漏洞触发特征,则确定当前网络的攻击情况为低危漏洞攻击;如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为中危漏洞触发特征,则确定当前网络的攻击情况为中危漏洞攻击;如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为高危漏洞触发特征,则确定当前网络的攻击情况为高危漏洞攻击。
本申请实施例提供一种网络攻击的检测方法及装置,通过从当前网络体系中的应用层获取待分析的网络数据包,对待分析的网络数据包中的应用数据进行漏洞特征识别,获取该应用数据的漏洞特征,进而,可以根据该应用数据的漏洞特征,确定当前网络的攻击情况,这样,执行上述过程的网络攻击的检测装置部署在应用层,分析数据包中的应用数据时更加简单易行,而且几乎不会存在解读错误的情况,从而可以提高Web应用的安全性,不给黑客任何可乘之机。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种网络攻击的检测方法的流程图;
图2为本申请实施例提供的另一种网络攻击的检测方法的流程图;
图3为本申请实施例提供的一种网络攻击的检测装置结构示意图;
图4为本申请实施例提供的另一种网络攻击的检测装置结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
如图1所示,本申请实施例提供一种网络攻击的检测方法,该方法的执行主体可以为如个人计算机等终端设备,也可以是服务器或者服务器集群等。该方法具体可以包括以下步骤:
在步骤S101中,从当前网络体系中的应用层获取待分析的网络数据包。
其中,当前网络体系可以是基于多种网络体系,如开放系统互联网络体系(即OSI(Open System Interconnection,开放系统互联)网络体系)或TCP/IP(TransmissionControl Protocol/Internet Protocol,传输控制协议/因特网互联协议)网络体系等。待分析的网络数据包可以是一个网络数据包,也可以是多个网络数据包,网络数据包中可以包括发送者和接收者的地址信息(如IP地址等),以及待交互的数据等。
在实施中,为了使得本申请更具实用性,以当前网络体系为OSI网络体系为例进行说明,OSI网络体系通常呈层级结构,这样,在当前网络体系中可以包括多个层,这些层可以根据不同的功能或作用被划分为低层和高层两个部分,其中,低层主要关注的是原始数据的传输,高层主要关注的是网络下的应用程序。低层可以包括如OSI网络体系中的物理层、数据链路层和网络层等三个层,高层可以包括如OSI网络体系中的传输层、会话层、表示层和应用层等四个层。
随着网络及系统层漏洞的逐渐减少及Web攻防技术的日趋成熟,黑客们也开始将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上,为此,本申请实施例设置一种网络攻击的检测装置。为了不影响当前网络体系对应的网络系统的正常工作,该检测装置可以旁路监听的方式与该网络系统连接,具体地,该检测装置的输入端口可以与该网络系统中的交换机的镜像端口连接,或者可以将该检测装置部署在交换机的镜像端口处,这样,可以不需要对现有网络、Web应用架构进行深度调整,即可实时获取并保存所有网络请求(例如HTTP(HyperText Transfer Protocol,超文本传输协议)请求或FTP(FileTransfer Protocol,文件传输协议)请求等)及响应的数据包,以供该检测装置进行进一步的分析处理。其中,交换机的镜像功能可以对流经该网络系统的流量进行全流量镜像。为了使全流量镜像中的数据完整、占用存储空间尽可能少,在进行全流量镜像的过程中,可以使用如网站增量去重和差异压缩备份等相关算法来减少存储空间的占用。通过全流量镜像,该检测装置可以保存最近半年到一年,甚至更长时间的完整的Web双向流量(即输入到该网络系统和从该网络系统输出的流量)的数据。这样,当用户发现网络系统出现网络攻击行为时,不但可以进行攻击回溯,还可以利用预定的检测策略对历史数据重新检测及筛选,从而确定网络攻击的相关信息,以便用户可以针对该网络攻击采取相应的应对措施。其中,预定的检测策略可以由开发人员在检测装置出厂前设置,也可以由用户在使用的过程中调整或设置,本申请实施例对此不做限定。
为了提高网络攻击的检测精度和检测效率,可以将应用层作为检测对象,即本申请实施例基于应用层的网络数据包来实现网络攻击的检测。基于上述结构,当有网络数据包流经该网络系统的交换机时,交换机可以通过自身的镜像功能将获取的应用层的网络数据包进行镜像处理,得到该网络数据包的镜像数据,可以将该镜像数据提供给该检测装置,从而该检测装置可以获取到该镜像数据,并可以将该镜像数据中的网络数据包作为当前网络体系中的应用层的待分析的网络数据包。
在步骤S102中,对待分析的网络数据包中的应用数据进行漏洞特征识别,获取该应用数据的漏洞特征。
其中,漏洞特征可以包括多种,具体可以根据漏洞的不同呈现形式、漏洞攻击方式确定,在实际应用中,漏洞特征可以包括漏洞扫描特征或漏洞触发特征等,各种不同的漏洞特征可以包括有不同的表现形式,例如,漏洞扫描特征可以是SQL(Structured QueryLanguage,结构化查询语言)注入特征(如URL(Uniform Resource Locator,统一资源定位符)中包括select特征),漏洞触发特征可以是目录遍历特征(如页面中出现目录列表等)。
在实施中,可以预先设置应用数据的漏洞特征识别算法,该漏洞特征识别算法可以是用于获取应用数据中的漏洞特征的算法。具体可以如K-Means算法、决策树算法、随机森林树算法或人工神经网络算法等。该数据特征提取算法可以通过用户上传或主动采集等方式收集大量应用数据,可以标记应用数据中包含的漏洞特征,使用这些应用数据和漏洞特征可以对上述漏洞特征识别算法进行训练,得到训练后的漏洞特征识别算法。当获取到应用层的待分析的网络数据包后,可以使用上述预先设置的应用数据的漏洞特征识别算法对待分析的网络数据包中的应用数据进行漏洞特征识别,从中得到该应用数据的漏洞特征。
需要说明的是,应用数据的漏洞特征识别算法可以只包括上述提供的算法中的一种算法,也可以包括上述算法中的多个不同的算法,而且,同一种算法可以具体包括不同的实现方式,用户具体使用哪种实现方式可以根据实际情况设定,本申请实施例对此不做限定。而且,对于对应用数据的漏洞特征识别可以充分运用单向分析、双向分析和关联分析中的一种分析方式或多种分析方式的结合确定,其中的单向分析可以是对一方提供给另一方的应用数据进行的分析过程,双向分析可以是对双方交互的应用数据进行的分析过程,关联分析可以是结合本次获取到的应用数据之前获取的应用数据进行综合分析的过程。
在步骤S103中,根据上述应用数据的漏洞特征,确定当前网络的攻击情况。
其中,当前网络的攻击情况可以包括多种,具体可以根据实际情况进行设定,例如可疑攻击、高危漏洞攻击或高频攻击等。
在实施中,可以预先设置网络攻击的基准信息,其中,基准信息可以是预先设置的漏洞特征与攻击情况的对应关系,该对应关系可以通过多种方式获取,例如,可以通过不同漏洞特征对当前网络体系的影响程度,确定攻击情况,或者,还可以通过实际应用中用户的需求或经验来设定上述对应关系。当通过上述步骤S102的处理得到待分析的应用数据包的漏洞特征时,可以将该漏洞特征与上述对应关系中的漏洞特征进行匹配,如果该对应关系中存在与该漏洞特征相匹配的漏洞特征,则可以确定该应用数据包中存在危害当前网络系统的应用数据,此时,可以根据上述对应关系查找到该漏洞特征对应的攻击情况,从而确定该应用数据能够对当前网络系统的影响程度,这样,后续可以根据当前网络的不同攻击情况生成网络攻击通知,并可以以弹出提示框的方式或者指定指示灯闪烁灯方式输出该网络攻击通知,用户在查看到该网络攻击通知时,可以记录当前网络系统的相关状态,便于用户可以通过上述相关状态对本次网络攻击事件采取相应的应对措施,降低对网络系统造成的损失。
本申请实施例提供一种网络攻击的检测方法,通过从当前网络体系中的应用层获取待分析的网络数据包,对待分析的网络数据包中的应用数据进行漏洞特征识别,获取该应用数据的漏洞特征,进而,可以根据该应用数据的漏洞特征,确定当前网络的攻击情况,这样,执行上述过程的网络攻击的检测装置部署在应用层,分析数据包中的应用数据时更加简单易行,而且几乎不会存在解读错误的情况,从而可以提高Web应用的安全性,不给黑客任何可乘之机。
实施例二
如图2所示,本申请实施例提供了一种网络攻击的检测方法,具体包括如下步骤:
在步骤S201中,从当前网络体系中的应用层获取待分析的网络数据包。
上述步骤S201的步骤内容与上述实施例一中步骤S101的步骤内容相同,步骤S201的处理可以参见上述实施例一中步骤S101的相关内容,在此不再赘述。
上述实施例一中步骤S102的对待分析的网络数据包中的应用数据进行漏洞特征识别的处理,可以根据漏洞的不同,其漏洞特征识别方式可以不同,相应的,得到的漏洞特征也会不同,以下提供一种可行的处理方式,具体可以包括以下步骤S202~步骤S205。
在步骤S202中,通过预先设置的漏洞扫描规则对待分析的网络数据包中的应用数据进行漏洞扫描特征识别,获取该应用数据的漏洞扫描特征。
其中,漏洞扫描规则可以是对应用数据中的漏洞扫描特征进行识别的规则,具体可以基于大量应用数据中的漏洞扫描特征的训练得到漏洞扫描规则。
在实施中,通常在硬件和/或软件和/或网络协议的具体实现或系统安全策略上会存在一定的缺陷,从而形成了漏洞。如果网络系统中不存在漏洞,则该网络系统通常不会遭受网络攻击。由于漏洞不可避免的存在,因此,网络系统遭受网络攻击事件就不可避免。通常,黑客通过漏洞对网络系统进行攻击时,首先需要执行的操作是对网络系统进行漏洞扫描,以查找到需要利用的漏洞,因此,为了能够及时检测出网络系统的网络攻击事件,可以在网络攻击的检测装置中设置漏洞扫描识别机制。其中,该漏洞扫描识别机制可以通过硬件和软件结合构成,或者由软件实现,其中的软件部分可以使用适当的编程语言,并通过编写相应的程序代码实现。编程语言可以根据实际情况确定,具体如C语言或JAVA编程语言等,本发明实施例对此不做限定。
通过漏洞扫描识别机制提供的识别策略可以对网络系统中的漏洞扫描特征进行识别,其中识别策略可以包括多种,以下提供部分识别策略,如下表1所示。
表1
例如,可以对待分析的网络数据包中的应用数据进行漏洞扫描特征识别,确定该应用数据中是否包括能够执行漏洞扫描事件的应用程序或程序代码,可以将该应用程序或程序代码确定为该应用数据的漏洞扫描特征。其中,对应用数据进行漏洞扫描特征识别具体可以是:检测装置可以将待分析的网络数据包中的应用数据划分成多个数据段,可以从每个数据段中提取与漏洞扫描相关的特征,如关键字、名称或数值等特征,可以将得到的上述特征作为该应用数据的漏洞扫描特征。
或者,该检测装置可以将该应用数据放置在预先模拟的网络系统环境中运行,在该应用数据运行的过程中,可以检测该应用数据的运行逻辑和运行目的,可以从其运行逻辑和运行目的中确定该应用数据中是否包括漏洞扫描特征。例如,可以将该应用数据放置在预先模拟的网络系统环境中运行,在运行的过程中,如果通过漏洞扫描识别规则检测到待分析的网络数据包中的应用数据正在使用不同的密码对HTTP密码进行破解,且该应用数据使用不同的密码对HTTP密码破解的次数达到预定次数阈值(如10次或15次等),则可以确定HTTP密码正在被暴力破解,此时,可以确定该应用数据中包含暴力破解的漏洞扫描特征。
在步骤S203中,根据上述应用数据的漏洞扫描特征,确定当前网络的攻击情况为可疑攻击。
在实施中,可以预先存储由漏洞特征与攻击情况的对应关系构成的基准信息,可以在基准信息中设置多种攻击情况的信息,例如,对于漏洞扫描特征,由于此情况下仅能够确定该应用数据可以执行漏洞扫描操作,而还并没有确定是否会利用扫描到的漏洞进行网络攻击,因此可以设置此时的攻击情况的可疑攻击;对于漏洞触发特征,由于此情况下该应用数据能够触发漏洞,因此可以确定网络系统会遭受网络攻击,基于此,基准信息可以如表2所示。
表2
| 漏洞特征 | 攻击情况 |
| 漏洞扫描特征1 | 可疑攻击 |
| 漏洞触发特征1 | 漏洞攻击 |
| 漏洞触发特征2 | 漏洞攻击 |
| 漏洞扫描特征2 | 可疑攻击 |
基于上述步骤S202的示例,如果该应用数据的数据特征为漏洞扫描特征,则可以将该漏洞扫描特征与基准信息中的漏洞特征相匹配,如果基准信息中包括该漏洞扫描特征,则可以从基准信息中查找该漏洞扫描特征对应的攻击情况,即可疑攻击。此时,为了及时提示用户可能存在的网络攻击,可以生成可疑攻击的通知消息发送给用户的终端设备。终端设备可以提示框的方式展示该通知消息,用户查看到该通知消息后可以积极采取相应的措施防止后续可能发生的网络攻击,例如关闭当前打开的网页或应用程序等。
需要说明的是,上述步骤S202和步骤S203的处理仅是一种漏洞识别方式和相应的漏洞特征,在实际应用中,除了可以包括上述漏洞识别方式和漏洞特征外,还可以包括多种可实现方式,以下再提供一种可行的处理方式,具体可以包括以下步骤S204和步骤S205。步骤S204和步骤S205可以是与步骤S202和步骤S203并列执行,也可以是以任意的先后顺序执行,本申请实施例仅使用一种方式说明。
在步骤S204中,通过预先设置的漏洞触发规则对上述应用数据进行漏洞触发特征识别,获取该应用数据的漏洞触发特征。
在实施中,为了能够及时检测出网络系统的漏洞被触发的事件,可以在该检测装置中设置漏洞触发识别机制。其中,该漏洞触发识别机制可以通过硬件和软件结合构成,或者由软件实现,其中的软件部分可以使用适当的编程语言,并通过编写相应的程序代码实现。编程语言可以根据实际情况确定,本发明实施例对此不做限定。
通过漏洞触发识别机制提供的识别策略可以对网络系统中漏洞的触发进行识别,其中识别策略可以包括多种,以下提供部分识别策略,如下表3所示。
表3
| 网络攻击方式 | 网络攻击描述 |
| SQL注入 | 通过SQL注入调用postgresql查询语句 |
| Source Code信息泄漏 | 敏感信息泄漏中的JSP源代码泄漏 |
| 目录遍历 | 页面出现目录列表 |
| DDOS-CC | 1分钟内出现大量HTTP请求 |
| Flash跨域漏洞 | Flash CrossDomain配置缺陷 |
例如,可以对待分析的网络数据包中的应用数据进行漏洞触发特征识别,确定该应用数据中是否包括能够执行漏洞触发事件的应用程序或程序代码,可以将该应用程序或程序代码确定为该应用数据的漏洞触发特征。其中,对应用数据进行漏洞触发特征识别具体可以是:检测装置可以将待分析的网络数据包中的应用数据划分成多个数据段,可以从每个数据段中提取与漏洞触发相关的特征,如关键字、名称或数值等特征,可以将得到的上述特征作为该应用数据的漏洞触发特征。
或者,该检测装置可以将该应用数据放置在预先模拟的网络系统环境中运行,在该应用数据运行的过程中,可以检测该应用数据的运行逻辑和运行目的,可以从其运行逻辑和运行目的中确定该应用数据中是否包括漏洞触发特征。例如,可以将该应用数据放置在预先模拟的网络系统环境中运行,在运行的过程中,如果通过漏洞触发识别规则检测到待分析的网络数据包中的应用数据正在通过SQL注入的方式调用postgresql查询语句,则可以确定该应用数据中包含SQL注入的漏洞触发特征。
此外,在实际应用中,根据漏洞对网络系统造成的危害程度不同,可以将漏洞划分为低危漏洞、中危漏洞和高危漏洞等,其中漏洞触发的识别策略可以包括多种,以下提供部分识别策略,如下表4所示。
表4
上述情况下获取该应用数据的漏洞触发特征的处理方式可以参见上述相关内容,在此不再赘述。
在步骤S205中,根据上述应用数据的漏洞触发特征,确定当前网络的攻击情况为漏洞攻击。
其中,根据上述应用数据的漏洞触发特征,确定当前网络的攻击情况为漏洞攻击的处理可以参见上述步骤S203的相关内容,在此不再赘述。
在实际应用中,由于漏洞可以划分为低危漏洞、中危漏洞和高危漏洞,相应的,漏洞触发特征也可以包括多种,可以根据实际情况进行分类,例如,可以包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征等。通过漏洞识别可以得到多种漏洞特征,例如,可以包括可疑攻击、低危漏洞攻击和高危漏洞攻击。通常,危险程度最高的漏洞特征对网络系统的影响较大,因此,可以将危险程度最高的漏洞特征作为最严重的网络攻击。基于此,可以为不同的漏洞特征,根据其对网络系统的影响程度划分不同的危险程度等级,例如,危险程度等级关系可以为:漏洞扫描特征<低危漏洞触发特征<中危漏洞触发特征<高危漏洞触发特征,相应的,可疑攻击<低危漏洞攻击<中危漏洞攻击<高危漏洞攻击。在确定当前网络的攻击情况时,可以首先获取得到的漏洞特征的危险程度等级,从中可以查找到危险程度等级最高的漏洞特征,即可获取到当前网络的攻击情况,例如,如果漏洞特征中包含的危险程度最高的漏洞特征为漏洞扫描特征,则确定当前网络的攻击情况为可疑攻击。
针对不同的漏洞触发特征,结合上述相关内容可以确定出当前网络相应的攻击情况,即上述步骤S205的处理具体可以包括以下三种方式:
方式一,如果漏洞触发特征中包含的危险程度最高的漏洞触发特征为低危漏洞触发特征,则确定当前网络的攻击情况为低危漏洞攻击。
方式二,如果漏洞触发特征中包含的危险程度最高的漏洞触发特征为中危漏洞触发特征,则确定当前网络的攻击情况为中危漏洞攻击;
方式三,如果漏洞触发特征中包含的危险程度最高的漏洞触发特征为高危漏洞触发特征,则确定当前网络的攻击情况为高危漏洞攻击。
在步骤S206中,根据当前网络的攻击情况,输出相应的网络攻击通知。
在实施中,可以根据当前网络的不同攻击情况生成网络攻击通知,并可以以弹出提示框的方式或者指定指示灯闪烁等方式输出该网络攻击通知,用户在查看到该网络攻击通知时,可以记录当前网络系统的相关状态,便于用户可以通过上述相关状态对本次网络攻击事件采取相应的应对措施,降低对网络系统造成的损失。
本申请实施例提供一种网络攻击的检测方法,通过从当前网络体系中的应用层获取待分析的网络数据包,对待分析的网络数据包中的应用数据进行漏洞特征识别,获取该应用数据的漏洞特征,进而,可以根据该应用数据的漏洞特征,确定当前网络的攻击情况,这样,执行上述过程的网络攻击的检测装置部署在应用层,分析数据包中的应用数据时更加简单易行,而且几乎不会存在解读错误的情况,从而可以提高Web应用的安全性,不给黑客任何可乘之机。
实施例三
以上为本申请实施例提供的网络攻击的检测方法,基于同样的思路,本申请实施例还提供一种网络攻击的检测装置,如图3所示。
所述网络攻击的检测装置包括:数据包获取模块301、漏洞特征识别模块302和攻击情况确定模块303,其中:
数据包获取模301,用于从当前网络体系中的应用层获取待分析的网络数据包;
漏洞特征识别模块302,用于对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征;
攻击情况确定模块303,用于根据所述应用数据的漏洞特征,确定当前网络的攻击情况。
本申请实施例中,如图4所示,所述装置还包括:
攻击通知输出模块304,用于根据当前网络的攻击情况,输出相应的网络攻击通知。
本申请实施例中,所述漏洞特征识别模块302,用于通过预先设置的漏洞扫描规则对所述应用数据进行漏洞扫描特征识别,获取所述应用数据的漏洞扫描特征;
相应的,所述攻击情况确定模块303,用于根据所述应用数据的漏洞扫描特征,确定当前网络的攻击情况为可疑攻击。
可选地,所述漏洞特征识别模块302,用于通过预先设置的漏洞触发规则对所述应用数据进行漏洞触发特征识别,获取所述应用数据的漏洞触发特征;
相应的,所述攻击情况确定模块303,用于根据所述应用数据的漏洞触发特征,确定当前网络的攻击情况为漏洞攻击。
可选地,所述漏洞触发特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,
所述攻击情况确定模块303,用于如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为低危漏洞触发特征,则确定当前网络的攻击情况为低危漏洞攻击;如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为中危漏洞触发特征,则确定当前网络的攻击情况为中危漏洞攻击;如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为高危漏洞触发特征,则确定当前网络的攻击情况为高危漏洞攻击。
本申请实施例提供一种网络攻击的检测装置,通过从当前网络体系中的应用层获取待分析的网络数据包,对待分析的网络数据包中的应用数据进行漏洞特征识别,获取该应用数据的漏洞特征,进而,可以根据该应用数据的漏洞特征,确定当前网络的攻击情况,这样,执行上述过程的网络攻击的检测装置部署在应用层,分析数据包中的应用数据时更加简单易行,而且几乎不会存在解读错误的情况,从而可以提高Web应用的安全性,不给黑客任何可乘之机。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种网络攻击的检测方法,其特征在于,所述方法包括:
从当前网络体系中的应用层获取待分析的网络数据包;
对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征;
根据所述应用数据的漏洞特征,确定当前网络的攻击情况。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据当前网络的攻击情况,输出相应的网络攻击通知。
3.根据权利要求1所述的方法,其特征在于,所述对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征,包括:
通过预先设置的漏洞扫描规则对所述应用数据进行漏洞扫描特征识别,获取所述应用数据的漏洞扫描特征;
相应的,所述根据所述应用数据的漏洞特征,确定当前网络的攻击情况,包括:
根据所述应用数据的漏洞扫描特征,确定当前网络的攻击情况为可疑攻击。
4.根据权利要求1或3所述的方法,其特征在于,所述对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征,包括:
通过预先设置的漏洞触发规则对所述应用数据进行漏洞触发特征识别,获取所述应用数据的漏洞触发特征;
相应的,所述根据所述应用数据的漏洞特征,确定当前网络的攻击情况,包括:
根据所述应用数据的漏洞触发特征,确定当前网络的攻击情况为漏洞攻击。
5.根据权利要求4所述的方法,其特征在于,所述漏洞触发特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,
所述根据所述应用数据的漏洞特征,确定当前网络的攻击情况,包括:
如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为低危漏洞触发特征,则确定当前网络的攻击情况为低危漏洞攻击;
如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为中危漏洞触发特征,则确定当前网络的攻击情况为中危漏洞攻击;
如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为高危漏洞触发特征,则确定当前网络的攻击情况为高危漏洞攻击。
6.一种网络攻击的检测装置,其特征在于,所述装置包括:
数据包获取模块,用于从当前网络体系中的应用层获取待分析的网络数据包;
漏洞特征识别模块,用于对所述待分析的网络数据包中的应用数据进行漏洞特征识别,获取所述应用数据的漏洞特征;
攻击情况确定模块,用于根据所述应用数据的漏洞特征,确定当前网络的攻击情况。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
攻击通知输出模块,用于根据当前网络的攻击情况,输出相应的网络攻击通知。
8.根据权利要求6所述的装置,其特征在于,所述漏洞特征识别模块,用于通过预先设置的漏洞扫描规则对所述应用数据进行漏洞扫描特征识别,获取所述应用数据的漏洞扫描特征;
相应的,所述攻击情况确定模块,用于根据所述应用数据的漏洞扫描特征,确定当前网络的攻击情况为可疑攻击。
9.根据权利要求6或8所述的装置,其特征在于,所述漏洞特征识别模块,用于通过预先设置的漏洞触发规则对所述应用数据进行漏洞触发特征识别,获取所述应用数据的漏洞触发特征;
相应的,所述攻击情况确定模块,用于根据所述应用数据的漏洞触发特征,确定当前网络的攻击情况为漏洞攻击。
10.根据权利要求9所述的装置,其特征在于,所述漏洞触发特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,
所述攻击情况确定模块,用于如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为低危漏洞触发特征,则确定当前网络的攻击情况为低危漏洞攻击;如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为中危漏洞触发特征,则确定当前网络的攻击情况为中危漏洞攻击;如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为高危漏洞触发特征,则确定当前网络的攻击情况为高危漏洞攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710142826.5A CN106888211A (zh) | 2017-03-10 | 2017-03-10 | 一种网络攻击的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710142826.5A CN106888211A (zh) | 2017-03-10 | 2017-03-10 | 一种网络攻击的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106888211A true CN106888211A (zh) | 2017-06-23 |
Family
ID=59179637
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710142826.5A Pending CN106888211A (zh) | 2017-03-10 | 2017-03-10 | 一种网络攻击的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106888211A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067586A (zh) * | 2018-08-16 | 2018-12-21 | 海南大学 | DDoS攻击检测方法及装置 |
| CN110602029A (zh) * | 2019-05-15 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种用于识别网络攻击的方法和系统 |
| CN111767543A (zh) * | 2020-06-15 | 2020-10-13 | 招商银行股份有限公司 | 重放攻击漏洞确定方法、装置、设备及可读存储介质 |
| CN111835694A (zh) * | 2019-04-23 | 2020-10-27 | 张长河 | 一种基于动态伪装的网络安全漏洞防御系统 |
| CN112468520A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备及可读存储介质 |
| CN112560032A (zh) * | 2020-12-03 | 2021-03-26 | 星优选有限公司 | 一种文件泄漏监测方法、系统及设备 |
| CN112600852A (zh) * | 2020-12-23 | 2021-04-02 | 苏州三六零智能安全科技有限公司 | 漏洞攻击处理方法、装置、设备及存储介质 |
| CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 |
| CN113079184A (zh) * | 2021-04-29 | 2021-07-06 | 福建奇点时空数字科技有限公司 | 一种基于主机安全层级配置的sdn动目标防御实现方法 |
| CN113328982A (zh) * | 2020-07-27 | 2021-08-31 | 深信服科技股份有限公司 | 一种入侵检测方法、装置、设备、介质 |
| CN114389856A (zh) * | 2021-12-23 | 2022-04-22 | 南京理工大学 | 一种网络攻击检测系统 |
| CN115277136A (zh) * | 2022-07-15 | 2022-11-01 | 云南电网有限责任公司电力科学研究院 | 漏洞扫描方法、系统、计算机设备及介质 |
| CN116611077A (zh) * | 2023-07-20 | 2023-08-18 | 北京升鑫网络科技有限公司 | 基于主机网络包捕获和分析的虚拟补丁防护方法及系统 |
| CN117610018A (zh) * | 2023-12-01 | 2024-02-27 | 深圳市马博士网络科技有限公司 | 漏洞模拟方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150180887A1 (en) * | 2013-07-24 | 2015-06-25 | Fortinet, Inc. | Logging attack context data |
| CN105119919A (zh) * | 2015-08-22 | 2015-12-02 | 西安电子科技大学 | 基于流量异常及特征分析的攻击行为检测方法 |
| CN105553998A (zh) * | 2015-12-23 | 2016-05-04 | 中国电子科技集团公司第三十研究所 | 一种网络攻击异常检测方法 |
| CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
| CN105959335A (zh) * | 2016-07-19 | 2016-09-21 | 腾讯科技(深圳)有限公司 | 一种网络攻击行为检测方法及相关装置 |
-
2017
- 2017-03-10 CN CN201710142826.5A patent/CN106888211A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150180887A1 (en) * | 2013-07-24 | 2015-06-25 | Fortinet, Inc. | Logging attack context data |
| CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
| CN105119919A (zh) * | 2015-08-22 | 2015-12-02 | 西安电子科技大学 | 基于流量异常及特征分析的攻击行为检测方法 |
| CN105553998A (zh) * | 2015-12-23 | 2016-05-04 | 中国电子科技集团公司第三十研究所 | 一种网络攻击异常检测方法 |
| CN105959335A (zh) * | 2016-07-19 | 2016-09-21 | 腾讯科技(深圳)有限公司 | 一种网络攻击行为检测方法及相关装置 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067586A (zh) * | 2018-08-16 | 2018-12-21 | 海南大学 | DDoS攻击检测方法及装置 |
| CN109067586B (zh) * | 2018-08-16 | 2021-11-12 | 海南大学 | DDoS攻击检测方法及装置 |
| CN111835694A (zh) * | 2019-04-23 | 2020-10-27 | 张长河 | 一种基于动态伪装的网络安全漏洞防御系统 |
| CN111835694B (zh) * | 2019-04-23 | 2023-04-07 | 张长河 | 一种基于动态伪装的网络安全漏洞防御系统 |
| CN110602029A (zh) * | 2019-05-15 | 2019-12-20 | 上海云盾信息技术有限公司 | 一种用于识别网络攻击的方法和系统 |
| CN110602029B (zh) * | 2019-05-15 | 2022-06-28 | 上海云盾信息技术有限公司 | 一种用于识别网络攻击的方法和系统 |
| CN111767543A (zh) * | 2020-06-15 | 2020-10-13 | 招商银行股份有限公司 | 重放攻击漏洞确定方法、装置、设备及可读存储介质 |
| CN111767543B (zh) * | 2020-06-15 | 2024-04-05 | 招商银行股份有限公司 | 重放攻击漏洞确定方法、装置、设备及可读存储介质 |
| CN113328982B (zh) * | 2020-07-27 | 2022-04-29 | 深信服科技股份有限公司 | 一种入侵检测方法、装置、设备、介质 |
| CN113328982A (zh) * | 2020-07-27 | 2021-08-31 | 深信服科技股份有限公司 | 一种入侵检测方法、装置、设备、介质 |
| CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 |
| CN112560032A (zh) * | 2020-12-03 | 2021-03-26 | 星优选有限公司 | 一种文件泄漏监测方法、系统及设备 |
| CN112600852B (zh) * | 2020-12-23 | 2022-08-23 | 苏州三六零智能安全科技有限公司 | 漏洞攻击处理方法、装置、设备及存储介质 |
| CN112600852A (zh) * | 2020-12-23 | 2021-04-02 | 苏州三六零智能安全科技有限公司 | 漏洞攻击处理方法、装置、设备及存储介质 |
| CN112468520A (zh) * | 2021-01-28 | 2021-03-09 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备及可读存储介质 |
| CN113079184A (zh) * | 2021-04-29 | 2021-07-06 | 福建奇点时空数字科技有限公司 | 一种基于主机安全层级配置的sdn动目标防御实现方法 |
| CN114389856A (zh) * | 2021-12-23 | 2022-04-22 | 南京理工大学 | 一种网络攻击检测系统 |
| CN115277136A (zh) * | 2022-07-15 | 2022-11-01 | 云南电网有限责任公司电力科学研究院 | 漏洞扫描方法、系统、计算机设备及介质 |
| CN115277136B (zh) * | 2022-07-15 | 2023-11-21 | 云南电网有限责任公司电力科学研究院 | 漏洞扫描方法、系统、计算机设备及介质 |
| CN116611077A (zh) * | 2023-07-20 | 2023-08-18 | 北京升鑫网络科技有限公司 | 基于主机网络包捕获和分析的虚拟补丁防护方法及系统 |
| CN117610018A (zh) * | 2023-12-01 | 2024-02-27 | 深圳市马博士网络科技有限公司 | 漏洞模拟方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106888211A (zh) | 一种网络攻击的检测方法及装置 | |
| KR102046789B1 (ko) | 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램 | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| Viswanath et al. | Towards detecting anomalous user behavior in online social networks | |
| CN105550184B (zh) | 一种信息获取方法及装置 | |
| CN109889476A (zh) | 一种网络安全防护方法和网络安全防护系统 | |
| CN102045360B (zh) | 恶意网址库的处理方法及装置 | |
| CN104579773B (zh) | 域名系统分析方法及装置 | |
| CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
| CN106850675A (zh) | 一种网络攻击行为的确定方法及装置 | |
| US20220070215A1 (en) | Method and Apparatus for Evaluating Phishing Sites to Determine Their Level of Danger and Profile Phisher Behavior | |
| CN113162794B (zh) | 下一步攻击事件预测方法及相关设备 | |
| CN111143654B (zh) | 辅助识别爬虫的、爬虫识别方法、装置及电子设备 | |
| Sharma et al. | Growth of Cyber-crimes in Society 4.0 | |
| CN105262730B (zh) | 基于企业域名安全的监控方法及装置 | |
| CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
| CN106330811A (zh) | 域名可信度确定的方法及装置 | |
| CN107104944A (zh) | 一种网络入侵的检测方法及装置 | |
| Aldwairi et al. | Flukes: Autonomous log forensics, intelligence and visualization tool | |
| CN109948339A (zh) | 一种基于机器学习的恶意脚本检测方法 | |
| CN106888210A (zh) | 一种网络攻击的警示方法及装置 | |
| CN106911635A (zh) | 一种检测网站是否存在后门程序的方法及装置 | |
| CN106911636A (zh) | 一种检测网站是否存在后门程序的方法及装置 | |
| CN115604032A (zh) | 一种电力系统复杂多步攻击检测方法及系统 | |
| CN105740666A (zh) | 识别线上操作风险的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170623 |