CN106921671B - 一种网络攻击的检测方法及装置 - Google Patents
一种网络攻击的检测方法及装置 Download PDFInfo
- Publication number
- CN106921671B CN106921671B CN201710174889.9A CN201710174889A CN106921671B CN 106921671 B CN106921671 B CN 106921671B CN 201710174889 A CN201710174889 A CN 201710174889A CN 106921671 B CN106921671 B CN 106921671B
- Authority
- CN
- China
- Prior art keywords
- preset
- sensitive information
- address information
- processed
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
Abstract
本发明提供一种网络攻击的检测方法及装置,方法包括:当接收到待处理报文时,解析待处理报文得到地址信息和敏感信息;确定预设地址信息列表中是否存在与地址信息相同的预设地址信息,预设地址信息列表用于记录全部预设设备中每一台预设设备的预设地址信息;当确定预设地址信息列表中不存在与地址信息相同的预设地址信息时,确定预设敏感信息列表中是否存在与敏感信息相同的预设敏感信息,预设敏感信息列表用于记录至少一个预设敏感信息;当确定预设敏感信息列表中存在与敏感信息相同的预设敏感信息时,确定待处理报文具有攻击行为。应用本发明实施例,解决了服务器对网络攻击进行检测时,准确率低的问题。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种网络攻击的检测方法及装置。
背景技术
通常,黑客通过网络中的漏洞,对客户端与服务器之间的信息交互过程进行监听,窃取用户名、登录密码、验证码、支付密码等敏感信息,黑客通过窃取到的敏感信息对服务器发起攻击。
现有技术中,由于服务器无法判断敏感信息是否被窃取,因此服务器无法检测到该网络攻击行为,使得服务器对网络攻击进行检测时,准确率低。
发明内容
有鉴于此,本发明提供一种网络攻击的检测方法及装置,以解决服务器对网络攻击进行检测时,准确率低的问题。
为实现上述目的,本发明提供技术方案如下:
根据本发明的第一方面,提出了一种网络攻击的检测方法,所述方法包括:
当接收到待处理报文时,解析所述待处理报文得到地址信息和敏感信息;
确定预设地址信息列表中是否存在与所述地址信息相同的预设地址信息,所述预设地址信息列表用于记录全部预设设备中每一台预设设备的预设地址信息;
当确定所述预设地址信息列表中不存在与所述地址信息相同的预设地址信息时,确定预设敏感信息列表中是否存在与所述敏感信息相同的预设敏感信息,所述预设敏感信息列表用于记录至少一个预设敏感信息;
当确定预设敏感信息列表中存在与所述敏感信息相同的预设敏感信息时,确定所述待处理报文具有攻击行为。
根据本发明的第二方面,提出了一种网络攻击的检测装置,包括:
第一解析模块,用于当接收到待处理报文时,解析所述待处理报文得到地址信息和敏感信息;
第一确定模块,用于确定预设地址信息列表中是否存在与所述第一解析模块中解析得到的所述地址信息相同的预设地址信息,所述预设地址信息列表用于记录全部预设设备中每一台预设设备的预设地址信息;
第二确定模块,用于当所述第一确定模块中确定所述预设地址信息列表中不存在与所述地址信息相同的预设地址信息时,确定预设敏感信息列表中是否存在与所述敏感信息相同的预设敏感信息,所述预设敏感信息列表用于记录至少一个预设敏感信息;
第三确定模块,用于当所述第二确定模块中确定预设敏感信息列表中存在与所述敏感信息相同的预设敏感信息时,确定所述待处理报文具有攻击行为。
由以上技术方案可见,当服务器接收到待处理报文时,服务器解析待处理报文得到地址信息和敏感信息,当服务器确定预设地址信息列表中不存在与地址信息相同的预设地址信息时,且服务器确定预设敏感信息列表中存在与敏感信息相同的预设敏感信息时,服务器可以判断该敏感信息被窃取,服务器确定待处理报文具有攻击行为,服务器对网络攻击进行检测时,极大提高了检测的准确率。
附图说明
图1是本发明提供的网络攻击的检测方法所适用的网络架构图;
图2是本发明提供的一个网络攻击的检测方法的实施例流程图;
图3是本发明提供的另一个网络攻击的检测方法的实施例流程图;
图4是本发明提供的一种服务器的硬件结构图;
图5是本发明提供的一个网络攻击的检测装置的实施例框图;
图6是本发明提供的另一个网络攻击的检测装置的实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是本发明提供的网络攻击的检测方法所适用的网络架构图,如图1所示,该网络架构图中包括:蜜罐系统11、管理设备12、服务器13、预设设备14、预设设备15、访问设备16。其中,管理设备12、服务器13、预设设备14、预设设备15可以组成一个蜜罐系统11,蜜罐系统的相关描述可参见现有技术。本领域技术人员可以理解的是,预设设备的个数此处为2个仅为示例性说明,预设设备的个数不形成对本发明的限制。预设设备14、预设设备15均为管理人员设置的已知网络设备,预设设备14、预设设备15的地址信息已被记录在预设地址信息列表中,地址信息可以为IP地址、MAC地址、设备编号等。在一实施例中,预设设备14用于模拟真实用户的登录行为,预设设备14向服务器13发送携带敏感信息的待处理报文,敏感信息可以包括:用户名、登录密码、验证码、支付密码等隐私信息,黑客通过监听预设设备14与服务器13之间的交互过程,窃取该敏感信息。当黑客通过窃取到的敏感信息攻击服务器13时,由于服务器13已将该敏感信息记录在了预设敏感信息列表中,因此,当服务器13判断预设地址信息列表中不存在访问设备16的地址信息时,且访问设备16发送到服务器13的待处理报文中携带该敏感信息时,表明访问设备16窃取到了该敏感信息,服务器13确定访问设备16发送的待处理报文具有攻击行为,服务器13将访问设备16确定为目标设备。本领域技术人员可以理解的是,预设设备15与预设设备14的功能相同,在此不作赘述。通过本发明实施例,当预设设备14与服务器13之间的交互过程被访问设备16监听,且访问设备16窃取到敏感信息时,服务器13通过预设地址信息列表及预设敏感信息列表可以确定访问设备16携带的敏感信息是否为被窃取的敏感信息,因此服务器对网络攻击进行检测时,可以提高检测的准确率。
图2是本发明提供的一个网络攻击的检测方法的实施例流程图,结合图1进行示例性说明,如图2所示,包括如下步骤:
步骤201:当接收到待处理报文时,解析待处理报文得到地址信息和敏感信息。
步骤202:确定预设地址信息列表中是否存在与地址信息相同的预设地址信息,预设地址信息列表用于记录全部预设设备中每一台预设设备的预设地址信息,当确定预设地址信息列表中不存在与地址信息相同的预设地址信息时,执行步骤203-步骤204,当确定预设地址信息列表中存在与地址信息相同的预设地址信息时,执行步骤205。
步骤203:确定预设敏感信息列表中是否存在与敏感信息相同的预设敏感信息,预设敏感信息列表用于记录至少一个预设敏感信息。
步骤204:当确定预设敏感信息列表中存在与敏感信息相同的预设敏感信息时,确定待处理报文具有攻击行为。
步骤205:将敏感信息记录在预设敏感信息列表中。
在步骤201中,在一实施例中,地址信息可以包括:IP地址、MAC地址、设备编号等。敏感信息可以包括:用户名、登录密码、验证码、支付密码等隐私信息。例如,服务器13解析访问设备16发送的待处理报文,得到地址信息192.168.1.1,敏感信息:用户名CDE、登录密码345678。
在步骤202中,在一实施例中,服务器13确定预设地址信息列表中是否存在与地址信息相同的预设地址信息,预设地址信息列表用于记录所有预设设备对应的预设地址信息,结合图1,预设地址信息列表中记录了预设设备14及预设设备15的预设地址信息,当服务器13确定预设地址信息列表中不存在与地址信息相同的预设地址信息时,执行步骤203-步骤204,当服务器13确定预设地址信息列表中存在与地址信息相同的预设地址信息时,执行步骤205。其中,服务器13确定预设地址信息列表中是否存在与地址信息相同的预设地址信息的步骤包括,服务器13将地址信息与预设地址信息列表中记录的每一个预设地址信息进行匹配,当地址信息与预设地址信息列表中记录的其中一个预设地址信息匹配成功时,服务器13确定预设地址信息列表中存在与地址信息相同的预设地址信息,当地址信息与预设地址信息列表中记录的每一个预设地址信息均未匹配成功时,服务器13确定预设地址信息列表中不存在与地址信息相同的预设地址信息。以地址信息为192.168.1.1,预设设备14及预设设备15的预设地址信息分别为121.14.88.76、121.14.88.77为例,服务器13将地址信息192.168.1.1与预设地址信息列表中记录的预设地址信息121.14.88.76、预设地址信息121.14.88.77分别进行匹配,且均未匹配成功,服务器13确定预设地址信息列表中不存在与地址信息192.168.1.1相同的预设地址信息,执行步骤203-步骤204;在另一实施例中,以地址信息为121.14.88.76,预设设备14及预设设备15的预设地址信息分别为121.14.88.76、121.14.88.77为例,服务器13将地址信息121.14.88.76与预设地址信息列表中记录的预设地址信息121.14.88.76、预设地址信息121.14.88.77分别进行匹配,地址信息121.14.88.76与预设地址信息121.14.88.76匹配成功,服务器13确定预设地址信息列表中存在与地址信息121.14.88.76相同的预设地址信息121.14.88.76时,执行步骤205。
在步骤203中,在一实施例中,服务器13确定预设敏感信息列表中是否存在与敏感信息相同的预设敏感信息,预设敏感信息列表用于记录至少一个预设敏感信息。服务器13确定预设敏感信息列表中是否存在与敏感信息相同的预设敏感信息的步骤包括:服务器13将敏感信息与预设敏感信息列表中记录的每一个预设敏感信息进行匹配,当敏感信息与预设敏感信息列表中记录的其中一个预设敏感信息匹配成功时,服务器13确定预设敏感信息列表中存在与敏感信息相同的预设敏感信息;当敏感信息与预设敏感信息列表中记录的每一个预设敏感信息均未匹配成功时,服务器13确定预设敏感信息列表中不存在与敏感信息相同的预设敏感信息。如表1所示,为预设敏感信息列表的结构示例:
表1
表1所示的序号1对应用户名ABC、登录密码123456、验证码0218、支付密码为空;序号2对应用户名BCD、登录密码234567、验证码为空、支付密码67329;序号3对应用户名CDE、登录密码345678、验证码为空、支付密码为空;序号4对应的用户名、登录密码、验证码、支付密码均为空。以敏感信息包括用户名CDE、登录密码345678为例,用户名CDE、登录密码345678与序号3对应的用户名CDE、登录密码345678匹配成功,服务器13确定预设敏感信息列表中存在与敏感信息相同的预设敏感信息。
在步骤204中,在一实施例中,当服务器13确定预设敏感信息列表中存在与敏感信息相同的预设敏感信息时,服务器13确定待处理报文具有攻击行为。
本领域技术人员可以理解的是,下述步骤205为非必要执行步骤。
在步骤205中,在一实施例中,当确定预设地址信息列表中存在与地址信息相同的预设地址信息时,服务器13将敏感信息记录在预设敏感信息列表中,以敏感信息包含用户名DEF、登录密码456789为例,服务器13将用户名DEF、登录密码456789分别记录在表1所示的序号4对应的用户名、登录密码中。需要说明的是,预设敏感信息列表中记录的预设敏感信息可以通过步骤205得到,也可以由管理设备12将配置好的全部预设敏感信息提前记录在预设敏感信息列表中,管理设备12将预设敏感信息列表统一下发到服务器13、预设设备14、预设设备15。此处对预设敏感信息列表的生成过程,预设敏感信息的记录过程不做限定。
本发明实施例中,当服务器接收到待处理报文时,服务器解析待处理报文得到地址信息和敏感信息,当服务器确定预设地址信息列表中不存在与地址信息相同的预设地址信息时,且服务器确定预设敏感信息列表中存在与敏感信息相同的预设敏感信息时,服务器可以判断该敏感信息被窃取,服务器确定待处理报文具有攻击行为,服务器对网络攻击进行检测时,极大提高了检测的准确率。
图3是本发明提供的另一个网络攻击的检测方法的实施例流程图,本发明实施例结合图1、图2、图3,在步骤201-步骤204的基础上,进行示例性说明,如图3所示,包括如下步骤:
步骤301:解析待处理报文得到五元组信息。
步骤302:统计预设时长内接收到的具有相同五元组信息的待处理报文的数量,当数量大于或者等于预设数量时,执行步骤303-步骤304,当数量小于预设数量时,执行步骤305。
步骤303:确定待处理报文具有攻击行为,对待处理报文标记攻击标识。
步骤304:向管理设备发送待处理报文对应的日志信息及攻击标识。
步骤305:确定预设敏感信息列表中不存在与敏感信息相同的预设敏感信息时,确定待处理报文不具有攻击行为,向管理设备发送待处理报文对应的日志信息。
在步骤301中,本领域技术人员可以理解的是,也可以在预设设备14或者预设设备15上通过安装软件,提供一些预设虚假功能的服务,例如通过在预设设备14上相应安装软件,使得预设设备14可以提供网页访问服务。当访问设备16访问预设设备14时,预设设备14将访问设备16发送的待处理报文转发到服务器13上,服务器13解析待处理报文得到五元组信息,五元组信息包括:源IP地址信息、目的IP地址信息、源端口信息、目的端口信息和传输协议信息。
在步骤302中,以预设时长为1秒、预设数量为100、五元组信息包括:源IP地址“192.168.1.1”,目的IP地址“121.14.88.76”,源端口“10000”,目的端口“80”,TCP协议号“6”为例,服务器13统计1秒内接收到的具有源IP地址“192.168.1.1”,目的IP地址“121.14.88.76”,源端口“10000”,目的端口“80”,TCP协议号“6”的待处理报文的数量,当数量大于或者等于预设数量100时,执行步骤303-步骤304,当数量小于预设数量时,执行步骤305。以。
在步骤303中,服务器13确定待处理报文具有攻击行为,对待处理报文标记攻击标识,例如,服务器13对待处理报文标记攻击标识1。
在步骤304中,服务器13向管理设备12发送待处理报文对应的日志信息及攻击标识,日志信息可以包括攻击时间、攻击频率、攻击次数、敏感信息、五元组信息等。管理设备12通过可视化的交互软件对日志信息及攻击标识进行展示,便于管理人员及时发现攻击行为,并针对攻击行为进行防护处理。
在步骤305中,服务器13确定预设敏感信息列表中不存在与敏感信息相同的预设敏感信息时,服务器13确定待处理报文不具有攻击行为,服务器13向管理设备12发送待处理报文对应的日志信息,以使管理设备12通过可视化的交互软件对日志信息进行展示,便于管理人员分析日志信息。
本发明实施例中,服务器13解析待处理报文得到五元组信息,服务器13统计预设时长内接收到的具有相同五元组信息的待处理报文的数量,当数量大于或者等于预设数量时,服务器13确定待处理报文具有攻击行为,服务器13通过预设时长内接收到的具有相同五元组信息的待处理报文的数量确定待处理报文是否具有攻击行为,对图2所述方法中服务器13确定待处理报文具有攻击行为的方法进行了完善,进一步提高了服务器13检测网络攻击的准确率,同时通过向管理设备12发送日志信息及攻击标识,以使管理设备12通过可视化的交互软件对日志信息进行展示,便于管理人员及时发现网络攻击行为,以及对日志信息进行数据分析。
对应于上述网络攻击的检测方法,本发明还提出了图4所示的服务器的硬件结构图。请参考图4,在硬件层面,该服务器包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成网络攻击的检测装置。当然,除了软件实现方式之外,本发明并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图5是本发明提供的一个网络攻击的检测装置的实施例框图,如图5所示,该网络攻击的检测装置可以包括:第一解析模块51、第一确定模块52、第二确定模块53、第三确定模块54,其中:
第一解析模块51,用于当接收到待处理报文时,解析所述待处理报文得到地址信息和敏感信息;
第一确定模块52,用于确定预设地址信息列表中是否存在与所述第一解析模块51中解析得到的所述地址信息相同的预设地址信息,所述预设地址信息列表用于记录全部预设设备中每一台预设设备的预设地址信息;
第二确定模块53,用于当所述第一确定模块52中确定所述预设地址信息列表中不存在与所述地址信息相同的预设地址信息时,确定预设敏感信息列表中是否存在与所述敏感信息相同的预设敏感信息,所述预设敏感信息列表用于记录至少一个预设敏感信息;
第三确定模块54,用于当所述第二确定模块53中确定预设敏感信息列表中存在与所述敏感信息相同的预设敏感信息时,确定所述待处理报文具有攻击行为。
图6是本发明提供的另一个网络攻击的检测装置的实施例框图,如图6所示,在上述图5所示实施例的基础上,网络攻击的检测装置还包括:
第二解析模块55,用于解析所述待处理报文得到五元组信息;
数量统计模块56,用于统计预设时长内接收到的具有相同所述第二解析模块55中的所述五元组信息的待处理报文的数量;
第四确定模块57,用于当所述数量统计模块56中统计得到的所述数量大于或者等于预设数量时,确定所述待处理报文具有攻击行为。
在一实施例中,网络攻击的检测装置还包括:
攻击标识标记模块58,用于当所述第三确定模块54或者所述第四确定模块57中执行所述确定所述待处理报文具有攻击行为的步骤时,对所述待处理报文标记攻击标识;
第一发送模块59,用于向管理设备发送所述待处理报文对应的日志信息及所述攻击标识标记模块58标记的所述攻击标识。
在一实施例中,网络攻击的检测装置还包括:
第二发送模块60,用于当所述数量统计模块56中统计得到的所述数量小于所述预设数量时,且所述第二确定模块53中确定预设敏感信息列表中不存在与所述敏感信息相同的预设敏感信息时,确定所述待处理报文不具有攻击行为,向所述管理设备发送所述待处理报文对应的日志信息。
在一实施例中,网络攻击的检测装置还包括:
敏感信息记录模块61,用于当所述第一确定模块52中确定所述预设地址信息列表中存在与所述地址信息相同的预设地址信息时,将所述敏感信息记录在所述预设敏感信息列表中。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,当服务器接收到待处理报文时,服务器解析待处理报文得到地址信息和敏感信息,当服务器确定预设地址信息列表中不存在与地址信息相同的预设地址信息时,且服务器确定预设敏感信息列表中存在与敏感信息相同的预设敏感信息时,服务器可以判断该敏感信息被窃取,服务器确定待处理报文具有攻击行为,服务器对网络攻击进行检测时,极大提高了检测的准确率。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种网络攻击的检测方法,其特征在于,所述方法包括:
当接收到待处理报文时,解析所述待处理报文得到地址信息和敏感信息;
确定预设地址信息列表中是否存在与所述地址信息相同的预设地址信息,所述预设地址信息列表用于记录全部预设设备中每一台预设设备的预设地址信息;其中,所述预设设备用于模拟真实用户的登录行为;
当确定所述预设地址信息列表中不存在与所述地址信息相同的预设地址信息时,确定预设敏感信息列表中是否存在与所述敏感信息相同的预设敏感信息,所述预设敏感信息列表用于记录至少一个预设敏感信息;
当确定预设敏感信息列表中存在与所述敏感信息相同的预设敏感信息时,确定所述待处理报文具有攻击行为;
所述方法还包括:
当确定所述预设地址信息列表中存在与所述地址信息相同的预设地址信息时,将所述敏感信息记录在所述预设敏感信息列表中。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
解析所述待处理报文得到五元组信息;
统计预设时长内接收到的具有相同所述五元组信息的待处理报文的数量;
当所述数量大于或者等于预设数量时,确定所述待处理报文具有攻击行为。
3.根据权利要求1-2任一所述的方法,其特征在于,所述方法还包括:
对所述待处理报文标记攻击标识;
向管理设备发送所述待处理报文对应的日志信息及所述攻击标识。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述数量小于所述预设数量时,且确定预设敏感信息列表中不存在与所述敏感信息相同的预设敏感信息时,确定所述待处理报文不具有攻击行为,向管理设备发送所述待处理报文对应的日志信息。
5.一种网络攻击的检测装置,其特征在于,所述装置包括:
第一解析模块,用于当接收到待处理报文时,解析所述待处理报文得到地址信息和敏感信息;
第一确定模块,用于确定预设地址信息列表中是否存在与所述第一解析模块中解析得到的所述地址信息相同的预设地址信息,所述预设地址信息列表用于记录全部预设设备中每一台预设设备的预设地址信息;其中,所述预设设备用于模拟真实用户的登录行为;
第二确定模块,用于当所述第一确定模块中确定所述预设地址信息列表中不存在与所述地址信息相同的预设地址信息时,确定预设敏感信息列表中是否存在与所述敏感信息相同的预设敏感信息,所述预设敏感信息列表用于记录至少一个预设敏感信息;
第三确定模块,用于当所述第二确定模块中确定预设敏感信息列表中存在与所述敏感信息相同的预设敏感信息时,确定所述待处理报文具有攻击行为;
所述装置还包括:
敏感信息记录模块,用于当所述第一确定模块中确定所述预设地址信息列表中存在与所述地址信息相同的预设地址信息时,将所述敏感信息记录在所述预设敏感信息列表中。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第二解析模块,用于解析所述待处理报文得到五元组信息;
数量统计模块,用于统计预设时长内接收到的具有相同所述第二解析模块中的所述五元组信息的待处理报文的数量;
第四确定模块,用于当所述数量统计模块中统计得到的所述数量大于或者等于预设数量时,确定所述待处理报文具有攻击行为。
7.根据权利要求5-6任一所述的装置,其特征在于,所述装置还包括:
攻击标识标记模块,用于当所述第三确定模块或者第四确定模块中执行所述确定所述待处理报文具有攻击行为的步骤时,对所述待处理报文标记攻击标识;
第一发送模块,用于向管理设备发送所述待处理报文对应的日志信息及所述攻击标识标记模块标记的所述攻击标识。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二发送模块,用于当所述数量统计模块中统计得到的所述数量小于所述预设数量时,且所述第二确定模块中确定预设敏感信息列表中不存在与所述敏感信息相同的预设敏感信息时,确定所述待处理报文不具有攻击行为,向管理设备发送所述待处理报文对应的日志信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710174889.9A CN106921671B (zh) | 2017-03-22 | 2017-03-22 | 一种网络攻击的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710174889.9A CN106921671B (zh) | 2017-03-22 | 2017-03-22 | 一种网络攻击的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106921671A CN106921671A (zh) | 2017-07-04 |
| CN106921671B true CN106921671B (zh) | 2019-12-06 |
Family
ID=59462116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710174889.9A Active CN106921671B (zh) | 2017-03-22 | 2017-03-22 | 一种网络攻击的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106921671B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632258B (zh) * | 2018-04-16 | 2020-12-18 | 新华三信息安全技术有限公司 | 一种访问报文处理方法及装置 |
| CN111049780B (zh) * | 2018-10-12 | 2022-12-02 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN114531258B (zh) * | 2020-11-05 | 2023-04-18 | 腾讯科技(深圳)有限公司 | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
| CN114785582A (zh) * | 2022-04-14 | 2022-07-22 | 合肥卓讯云网科技有限公司 | 一种基于fpga的网络异常流量检测系统和方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011079426A1 (zh) * | 2009-12-28 | 2011-07-07 | 西安西电捷通无线网络通信股份有限公司 | 一种防止安全协议第一条消息被伪造的方法 |
| CN104753730B (zh) * | 2013-12-30 | 2019-01-08 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN103746992B (zh) * | 2014-01-06 | 2016-07-13 | 武汉虹旭信息技术有限责任公司 | 基于逆向的入侵检测系统及其方法 |
| CN104468554A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 基于ip和host的攻击检测方法和装置 |
| CN105939326B (zh) * | 2016-01-18 | 2020-12-04 | 杭州迪普科技股份有限公司 | 处理报文的方法及装置 |
-
2017
- 2017-03-22 CN CN201710174889.9A patent/CN106921671B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106921671A (zh) | 2017-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US11582207B2 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| CN106921671B (zh) | 一种网络攻击的检测方法及装置 | |
| US8904524B1 (en) | Detection of fast flux networks | |
| US9948661B2 (en) | Method and apparatus for detecting port scans in a network | |
| US20230118726A1 (en) | System and methods for detecting and mitigating golden saml attacks against federated services | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| US11757849B2 (en) | Detecting and mitigating forged authentication object attacks in multi-cloud environments | |
| US7440406B2 (en) | Apparatus for displaying network status | |
| CN110912927B (zh) | 工业控制系统中控制报文的检测方法及装置 | |
| US9660833B2 (en) | Application identification in records of network flows | |
| CN106330944A (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| US20070189178A1 (en) | Method for determining the operations performed on packets by a network device | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| JP2017016650A (ja) | コンピュータネットワーク上の資産を検出および識別するための方法およびシステム | |
| CN107800678A (zh) | 检测终端异常注册的方法及装置 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| CN108092976A (zh) | 设备指纹构造方法及装置 | |
| CN109743314A (zh) | 网络异常的监控方法、装置、计算机设备及其存储介质 | |
| CN108234345A (zh) | 一种终端网络应用的流量特征识别方法、装置和系统 | |
| CN109951345A (zh) | 一种告警处理方法及装置 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN105939328A (zh) | 网络攻击特征库的更新方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |