CN107341396B - 入侵检测方法、装置及服务器 - Google Patents
入侵检测方法、装置及服务器 Download PDFInfo
- Publication number
- CN107341396B CN107341396B CN201610286753.2A CN201610286753A CN107341396B CN 107341396 B CN107341396 B CN 107341396B CN 201610286753 A CN201610286753 A CN 201610286753A CN 107341396 B CN107341396 B CN 107341396B
- Authority
- CN
- China
- Prior art keywords
- address
- determining
- attack
- attacker
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种入侵检测方法、装置及服务器,该方法包括:确定被监控计算设备执行的操作是否与预设操作相同;当所述被监控计算设备执行的操作与所述预设操作相同时,确定所述被监控计算设备执行的操作为攻击者的入侵操作,其中,所述攻击者为发起入侵攻击的计算设备;基于所述攻击者的第一IP地址,确定所述入侵操作的攻击路径。在本申请的技术方案可以对被监控计算设备进行实时监控,避免现有技术中的通过日志分析的方法进行事后排查,确保及时发现入侵操作的攻击路径,快速找到被入侵者攻击的系统薄弱点。
Description
技术领域
本申请涉及网络技术领域,尤其涉及一种入侵检测方法、装置及服务器。
背景技术
入侵检测一直是业界长期研究的问题,攻击者入侵会导致数据泄露,由于数据泄露很难分析出攻击原因和攻击路径,因此攻击路径的发现是较难解决的问题,现有技术中,通过人工或日志读取工具,读取一条条的服务器日志并进行分析,从中找到可疑日志之后,分析可疑日志产生的原因,由于日志分析的方法只能做到事后排查,因此不能够及时发现入侵操作以及入侵者的攻击路径。
发明内容
有鉴于此,本申请提供一种新的技术方案,可以及时发现入侵操作和入侵者的攻击路径。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种入侵检测方法,包括:
确定被监控计算设备执行的操作是否与预设操作相同;
当所述被监控计算设备执行的操作与所述预设操作相同时,确定所述被监控计算设备执行的操作为攻击者的入侵操作,其中,所述攻击者为发起入侵攻击的计算设备;
基于所述攻击者的第一IP地址,确定所述入侵操作的攻击路径。
根据本申请的第二方面,提出了一种入侵检测装置,包括:
第一确定模块,用于确定被监控计算设备执行的操作是否与预设操作相同;
第二确定模块,用于当所述第一确定模块确定所述被监控计算设备执行的操作与所述预设操作相同时,确定所述被监控计算设备执行的操作为攻击者的入侵操作,其中,所述攻击者为发起入侵攻击的计算设备;
第三确定模块,用于基于所述攻击者的第一IP地址,确定所述第二确定模块确定的所述入侵操作的攻击路径。
根据本申请的第三方面,提出了一种服务器,所述服务器包括:
处理器;用于存储所述处理器可执行指令的存储器;
其中,所述处理器,用于确定被监控计算设备执行的操作是否与预设操作相同;
当所述被监控计算设备执行的操作与所述预设操作相同时,确定所述被监控计算设备执行的操作为攻击者的入侵操作,其中,所述攻击者为发起入侵攻击的计算设备;
基于所述攻击者的第一IP地址,确定所述入侵操作的攻击路径。
由以上技术方案可见,本申请当被监控计算设备执行的操作与预设操作相同时,确定被监控计算设备执行的操作为攻击者的入侵操作,基于攻击者的第一IP地址,确定入侵操作的攻击路径,由此可以对被监控计算设备进行实时监控,因此避免了现有技术中的通过日志分析的方法进行事后排查,确保及时发现入侵操作的攻击路径,快速找到被入侵者攻击的系统薄弱点。
附图说明
图1示出了根据本发明实施例所适用的系统架构图;
图2示出了本发明的示例性实施例一的入侵检测方法的流程示意图;
图3示出了本发明的示例性实施例二的入侵检测方法的流程示意图;
图4示出了本发明的示例性实施例三的入侵检测方法的流程示意图;
图5示出了本发明的示例性实施例四的入侵检测方法的流程示意图;
图6A示出了本发明的示例性实施例五的入侵检测方法的流程示意图;
图6B示出了本发明的示例性实施例五的入侵检测方法的场景图;
图7A示出了本发明的示例性实施例六的入侵检测方法的流程示意图;
图7B示出了本发明的示例性实施例六的入侵检测方法的场景图;
图8示出了本发明的一示例性实施例的服务器的结构示意图;
图9示出了本发明的示例性实施例一的入侵检测装置的结构示意图;
图10示出了本发明的示例性实施例二的入侵检测装置的结构示意图;
图11示出了本发明的示例性实施例三的入侵检测装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1示出了根据本发明实施例所适用的系统架构图;如图1所示,系统架构图包括:数据库监控系统110、文件监控系统120、黑名单数据库130、分析引擎140、流量数据库150、漏洞数据库160、攻击路径还原系统170、输出系统180。
其中,数据库监控系统110可以实时监控数据库系统中的数据库服务器上执行的操作;文件监控系统120可以实时监控文件系统中的文件服务器上是否有新创建的可执行文件或者对文件是否进行了删除、修改等操作;黑名单数据库130用于记录通过数据库监控系统110和文件监控系统120得到的攻击者的IP地址,供分析引擎140分析IP地址;攻击路径还原系统170从流量数据库150提取出黑名单数据库130记录的攻击者的IP地址的全部访问路径,从全部访问路径中提取出有效的攻击路径,从而快速还原出攻击者的攻击路径,进而确定整个计算机系统(本实施例中以数据库系统和文件系统为例进行示例性说明)的薄弱点;漏洞数据库160用于记录已知的可对系统造成一定破坏的漏洞攻击载荷,并可实时更新,漏洞攻击载荷的更新源为已有的漏洞公布平台;输出系统180用于将攻击路径还原系统150分析出的攻击者的IP地址以浏览器/服务器(Browser/Server,简称为B/S)平台的方式展示相关数据信息,从而让监控者直观地看到整个计算机系统的运行效率和运行结果,并根据入侵及时做出防御。
本申请中涉及的基础概念包括:
入侵检测:通过对计算机网络或计算机系统中多个关键点收集信息并对搜集到的信息进行分析,从搜集到的信息中发现计算机网络或计算机系统中是否有违反安全策略的行为和被攻击的迹象。
攻击者:指通过利用计算机系统中的漏洞发起入侵攻击的计算设备。
攻击路径:攻击者为达到攻击目的而必须进行的一系列连续操作,例如,访问特定URL、端口等。
为对本申请进行进一步说明,提供下列实施例:
图2示出了本发明的示例性实施例一的入侵检测方法的流程示意图;本实施例结合图1进行示例性说明,如图2所示,包括如下步骤:
步骤201,确定被监控计算设备执行的操作是否与预设操作相同,当被监控计算设备执行的操作与预设操作相同时,执行步骤202,当被监控计算设备执行的操作与预设操作不同时,继续检测被监控计算设备上执行的操作。
步骤202,当被监控计算设备执行的操作与预设操作相同时,确定被监控计算设备执行的操作为攻击者的入侵操作,其中,攻击者为发起入侵攻击的计算设备。
步骤203,基于攻击者的第一IP地址,确定入侵操作的攻击路径。
在上述步骤201中,在一实施例中,被监控计算设备可以为数据库服务器,也可以为文件服务器,相应地,预设操作与被监控计算设备的类型相对应,当被监控计算设备为数据库服务器时,预设操作可以为数据库服务器存在的读写文件操作或者延时查询操作等,当被监控计算设备为文件服务器时,预设操作可以为文件服务器上文件的创建、修改、删除等操作。
在上述步骤202中,在一个示例性场景中,数据库监控系统110可以实时监控数据库服务器执行的每一条SQL语句,如果执行的每一条SQL语句中出现与预设操作相同的操作时,例如,执行的SQL语句为读写文件操作或者延时查询操作,则可以确定数据库服务器执行的操作为攻击者的入侵操作;在另一个示例性场景中,文件监控系统120实时监控文件服务器上的文件系统,当文件服务器上执行的操作与创建可执行文件的操作相同时,可以确定文件服务器执行的操作为攻击者的入侵操作。
在上述步骤203中,在一实施例中,可以通过分析引擎140对流量数据库150中记录的全部网络流量进行分析,从全部网络流量中找到被监控计算设备执行上述步骤201检测到的操作的时间点应的数据包;在流量数据库150中查询与上述时间点和数据包相匹配的IP地址后,将该IP地址确定为第一IP地址。在一实施例中,可以通过第一IP地址在设定时间段内访问的URL来确定入侵操作的攻击路径。
由上述描述可知,本发明实施例当被监控计算设备执行的操作与预设操作相同时,确定被监控计算设备执行的操作为攻击者的入侵操作,基于攻击者的第一IP地址,确定入侵操作的攻击路径,可以对被监控计算设备进行实时监控,避免了现有技术中的通过日志分析的方法进行事后排查,确保及时发现入侵操作的攻击路径,快速找到被入侵者攻击的系统薄弱点。
图3示出了本发明的示例性实施例二的入侵检测方法的流程示意图;本实施例以如何基于攻击者的第一IP地址确定入侵操作的攻击路径为例进行示例性说明,如图3所示,包括如下步骤:
步骤301,确定被监控计算设备执行的操作是否与预设操作相同。
步骤302,当被监控计算设备执行的操作与预设操作相同时,确定被监控计算设备执行的操作为攻击者的入侵操作。
步骤303,从第一数据库中提取攻击者的第一IP地址已访问的多个URL。
步骤304,将多个URL与第二数据库中记录的攻击载荷进行比对。
步骤305,根据比对结果判断确定入侵操作的攻击路径。
上述步骤301和步骤302的描述可以参见上述图2所示实施例的相关描述,在此不再详述。
上述步骤303中,在一实施例中,第一数据库可以为上述图1中的流量数据库150。在一实施例中,可以从流量数据库150中提取出设定时间段内第一IP地址已访问的多个URL。
上述步骤304和步骤305中,在一实施例中,第二数据库可以为上述图1中的漏洞数据库160。在一实施例中,攻击载荷为原始的攻击URL,每一个攻击载荷可以对应一个提取规则,以漏洞数据库160记录的攻击载荷为“/aaa.php?id=123'union select”进行示例性说明,则对应的提取规则为:/\w{1,}\?id=\d{1,3}\'\sunion\sselect,按照上述提取规则对第一IP地址已访问的多个URL进行提取,对提取后的特征进行比对,从而根据比对结果判断确定入侵操作的攻击路径,攻击路径例如为:
访问网站首页→访问网站后台→进行弱口令猜解攻击→进入后台系统→上传可执行文件。
本实施例中,通过对被监控计算设备执行的操作为攻击者的入侵操作进行监控,从而可以快速而有效地发现攻击者的第一IP地址的攻击路径,从而找到整个服务器系统的薄弱点,以便及时堵住由第一IP地址对应的计算设备导致的漏洞。
图4示出了本发明的示例性实施例三的入侵检测方法的流程示意图;本实施例结合图1进行示例性说明,如图4所示,包括如下步骤:
步骤401,确定预设列表中是否存在与第一IP地址相同的IP地址,当预设列表中不存在与第一IP地址相同的IP地址时,执行步骤402,当预设列表中存在与第一IP地址相同的IP地址时,执行步骤403。
步骤402,当预设列表中不存在与第一IP地址相同的IP地址时,将第一IP地址存储在预设列表中,执行步骤403。
在步骤403中,控制与被监控计算设备与第一IP地址对应的计算设备断开连接。
在上述步骤401中,在一实施例中,第一IP地址可以记录在预设列表中,该预设列表中可以记录被监控计算设备上执行的操作、执行的操作的时间点与IP地址。在一实施例中,预设操作可以存储在黑名单数据库130中。
在上述步骤402中,当预设列表中不存在与第一IP地址相同的IP地址时,可以通过分析引擎140对流量数据库150中记录的全部网络流量进行分析,从全部网络流量中找到被监控服务器执行的操作的时间点应的数据包内容。在流量数据库150中查询与时间点和数据包内容相匹配的IP地址后,将该查询到的IP地址确定为第一IP地址,可以将该第一IP地址存储在黑名单中,并禁止该第一IP地址对应的设备访问被监控服务器。
本实施例在具有上述实施例的有益技术效果的基础上,当不存在与被监控计算设备执行的操作相匹配的第一IP地址时,可以通过流量数据库对被监控计算设备执行的操作的第一IP地址进行快速定位,进而将对预设列表进行更新,确保预设列表得到不断的完善,以便及时发现黑客入侵;通过断开被监控计算设备与第一IP地址对应的计算设备之间的通信连接,可以及时禁止第一IP地址的计算设备访问被监控计算设备,避免被监控计算设备被黑客攻击。
图5示出了本发明的示例性实施例四的入侵检测方法的流程示意图;本实施例以如何根据属于攻击者的多个IP地址确定有效攻击的IP地址对应的攻击路径为例并结合图1进行示例性说明,如图5所示,包括如下步骤:
步骤501,确定预设列表中记录的多个IP地址已访问的多个URL。
步骤502,基于第二数据库记录的攻击载荷,从多个URL中确定出有效攻击的IP地址。
步骤503,确定有效攻击的IP地址在设定时间段内的网络流量。
步骤504,基于确定出的网络流量,确定有效攻击的IP地址对应的攻击路径。
在上述步骤501中,在一实施例中,分析引擎140可以从黑名单数据库130存储的预设列表中获取到当前存储的属于攻击者的多个IP地址(该多个IP既可以为预设列表中的全部IP地址,也可以为预设列表中的部分IP地址)。在一实施例中,分析引擎140可以从流量数据库150获取到被监控计算设备所在的区域网络的网络流量,根据预设列表中记录的IP地址对应的时间点确定IP地址已访问的多个URL。在一实施例中,流量数据库150可以利用流量旁路复制技术记录该区域网络的全部网络流量。
在上述步骤502中,在一实施例中,可以通过漏洞数据库160存储的攻击载荷,该攻击载荷可以为现有已知的可对系统造成一定破坏的漏洞攻击载荷,也可以称为原始的攻击URL,通过从攻击URL中提取出漏洞攻击载荷,此外,还可以从参数(param)以及返回的响应(response)数据包提取出漏洞攻击载荷。漏洞数据库160可根据现有的漏洞进行实时更新,更新源可以为现有技术中的漏洞公布平台。
在上述步骤503和步骤504中,例如,当前时间点为2016.03.29下午15:00,需要提取当前时间点之前的24个小时之内的有效攻击IP地址的网络流量,例如,提取出100M的有效攻击的IP地址的网络流量,从该100M的网络流量中确定出有效攻击的IP地址对应的攻击路径。
在一个示例性场景中,预设列表中记录的其中一个IP地址访问了上千个URL并上向文件服务器传了可执行文件,攻击路径还原系统170将提取出此IP地址的攻击路径可能为:访问网站首页→访问网站后台→进行弱口令猜解攻击→进入后台系统→上传可执行文件。
本实施例中,通过对属于攻击者的多个IP地址进行监控,从而可以快速定位有效攻击的IP地址,进而快速而有效地发现并还原出攻击路径,从而找到整个服务器系统的薄弱点,以便及时堵住漏洞。
图6A示出了本发明的示例性实施例四的入侵检测方法的流程示意图,图6B示出了本发明的示例性实施例四的入侵检测方法的场景图;本实施例以如何监控数据库服务器为例进行示例性说明,如图6A所示,包括如下步骤:
步骤601,实时监控数据库服务器执行的SQL语句。
步骤602,确定数据库服务器执行的SQL语句是否与预设的读写文件操作或者延时查询操作相同,当数据库服务器执行的操作与预设操作相同时,执行步骤603。
步骤603,当数据库服务器执行的操作与预设操作相同时,确定数据库服务器执行的操作为攻击者的入侵操作。
步骤604中,控制数据库服务器与攻击者的第一IP地址对应的设备断开连接。
上述步骤601-步骤603中,在一个示例性场景中,如图6B所示,被监控计算设备包括数据库服务器111、数据库服务器112、…、数据库服务器11N,N表示数据库系统中所包含的数据库服务器的数量。可以通过在数据库服务器111、数据库服务器112、…、数据库服务器11N上设置代理(agent),通过代理的方式实时监控各自对应的数据库服务器执行的每一条SQL语句,数据库服务器111、数据库服务器112、…、数据库服务器11N各自的代理将执行的SQL语句的操作上报给数据库监控系统110,数据库监控系统110通过上述图2所示实施例的相关描述来识别是否与预设操作相同,当与预设操作相同时,则认为存在黑客攻击。
上述步骤604中第一IP地址的确定方式可以参见上述图4实施例的描述,在此不再详述。
在一个示例性场景中,数据库监控系统110实时监控数据库服务器上执行的每一条SQL语句,如果出现读写文件操作或者延时查询操作,则认为存在黑客攻击,可以切断数据库服务器与发送恶意SQL语句的第一IP地址的设备的通信连接,从而禁止第一IP地址的设备访问数据库服务器。例如,SQL语句:
Select content,time,author from news where news_id=123union select‘<?eval($_GET[1])>’into outfile‘/home/www/web/1.php’中,下划线部分的SQL语句在正常系统使用中是不会出现的,因此可以被用于确定恶意攻击的依据。
本实施例中,通过断开数据库服务器与第一IP地址对应的设备之间的通信连接,可以及时禁止第一IP地址的设备访问数据库服务器,避免数据库服务器被黑客攻击。
图7A示出了本发明的示例性实施例五的入侵检测方法的流程示意图,图7B示出了本发明的示例性实施例五的入侵检测方法的场景图;本实施例以如何监控文件服务器为例进行示例性说明,如图7A所示,包括如下步骤:
步骤701,实时监控被监控计算设备上创建可执行文件的操作。
步骤702,比较被监控计算设备上创建可执行文件的操作是否与预设的创建可执行文件的操作相同,当文件服务器执行的操作为预设操作时,执行步骤703。
步骤703,当文件服务器执行的操作为预设操作时,确定文件服务器执行的操作为攻击者的入侵操作。
步骤704,控制文件服务器与攻击者的第一IP地址对应的计算设备断开连接。
上述步骤701-步骤703中,在一个示例性场景中,如图7B所示,被监控计算设备包括文件服务器121、文件服务器122、…、文件服务器12M,M表示文件系统中所包含的文件服务器的数量。可以通过在文件服务器121、文件服务器122、…、文件服务器12M上设置代理(agent),通过代理的方式实时监控各自对应的文件服务器上是有存在对文件的增删改以及可执行文件的创建等操作,文件服务器121、文件服务器122、…、文件服务器12M各自的代理将监测结果上报给文件监控系统120,文件监控系统120通过上述图2所示实施例的相关描述来识别是否存在预设操作,当存在预设操作时,则认为存在黑客攻击。
上述步骤704中第一IP地址的确定方式可以参见上述图4实施例的描述,在此不再详述。。
在一个示例性场景中,文件监控系统120实时监控文件服务器的文件系统,以确保文件服务器上没有可执行文件被创建。由于正常用户只会上传图片、文档之类的可阅读信息类文件,不会去创建可执行文件,因此本申请可以针对可执行的php、aspx、asp、jsp、exe等类型的可执行文件进行监控,从而可以有效地发现攻击者入侵的痕迹。例如,下述文件后缀名在正常使用时均不会出现,因此可以被文件监控系统120于判定恶意攻击的依据,其中,“***”表示任意文件名。
***.asp;.jpg //iis6解析漏洞,作为asp可执行文件解析;
***.php.jpg //apache解析漏洞,作为php可执行文件解析;
***.jsp //tomcat上传漏洞,作为jsp可执行文件解析;
***.php::$DATA//windows NTFS文件系统漏洞,作为php可执行文件解析。
本实施例中,通过断开文件服务器与第一IP地址对应的设备之间的通信连接,可以及时禁止第一IP地址的设备访问文件服务器,避免文件服务器被黑客攻击。
通过上述实施例可知,本申请既可以及时发现入侵并及时制止黑客入侵,还可以快速而有效地发现攻击路径,从而可以及时堵住漏洞。
对应于上述的入侵检测方法,本申请还提出了图8所示的根据本发明的一示例性实施例的服务器系统的示意结构图。请参考图8,在硬件层面,该服务器系统中的每一服务器可包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上实现入侵检测装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
其中,处理器,用于确定被监控计算设备执行的操作是否与预设操作相同;当被监控计算设备执行的操作与预设操作相同时,确定被监控计算设备执行的操作为攻击者的入侵操作,其中,攻击者为发起入侵攻击的计算设备;基于攻击者的第一IP地址,确定入侵操作的攻击路径。
图9示出了本发明的示例性实施例一的入侵检测装置的结构示意图;如图8所示,该入侵检测可以包括:第一确定模块91、第二确定模块92、第三确定模块93。其中:
第一确定模块91,用于确定被监控计算设备执行的操作是否与预设操作相同;
第二确定模块92,用于当第一确定模块91确定被监控计算设备执行的操作与预设操作相同时,确定被监控计算设备执行的操作为攻击者的入侵操作,其中,攻击者为发起入侵攻击的计算设备;
第三确定模块93,用于基于攻击者的第一IP地址,确定第二确定模块92确定的入侵操作的攻击路径。
图10示出了本发明的示例性实施例二的入侵检测装置的结构示意图;如图10所示,在上述图9所示实施例的基础上,在一实施例中,第三确定模块93可包括
提取单元931,用于从第一数据库中提取攻击者的第一IP地址已访问的多个URL;
比对单元932,用于将提取单元931提取到的多个URL与第二数据库中记录的攻击载荷进行比对;
第一确定单元933,用于根据比对单元932得到的比对结果判断确定入侵操作的攻击路径。
在一实施例中,装置还可包括:
第四确定模块94,用于确定定预设列表中是否存在与第一IP地址相同的IP地址,预设列表用于记录攻击者的IP地址;
存储模块95,用于当第四确定模块94确定预设列表中不存在与第一IP地址相同的IP地址时,将第一IP地址存储在预设列表中。
在一实施例中,装置还可包括:
第五确定模块96,用于确定预设列表中记录的多个IP地址已访问的多个URL;
第六确定模块97,用于基于第二数据库记录的攻击载荷,从第五确定模块96确定的多个URL中确定出有效攻击的IP地址。
在一实施例中,装置还可包括:
第七确定模块98,用于确定第六确定模块97确定的有效攻击的IP地址在设定时间段内的网络流量;
第八确定模块99,用于基于第七确定模块98确定的网络流量,确定有效攻击的IP地址对应的攻击路径。
图11示出了本发明的示例性实施例三的入侵检测装置的结构示意图;如图11所示,在上述图9或图10所示实施例的基础上,在一实施例中,第一确定模块91可包括:
第一监控单元911,用于实时监控被监控计算设备执行的SQL语句;
第二确定单元912,用于当第一监控单元911监控到被监控计算设备执行的SQL语句是否与预设的读写文件操作或者延时查询操作相同。
在一实施例中,第一确定模块91可包括:
第二监控单元913,用于实时监控被监控计算设备上创建可执行文件的操作;
第三确定单元914,用于当第二监控单元913监控到被监控计算设备上创建可执行文件的操作是否与预设的创建可执行文件的操作相同。
在一实施例中,装置还可包括:
控制模块90,用于在第二确定模块92确定被监控计算设备执行的操作为攻击者的入侵操作时,控制被监控计算设备与第一IP地址对应的设备断开连接。
上述实施例可见,本申请既可以及时发现入侵并及时制止黑客入侵,还可以快速而有效地发现攻击路径,从而可以及时堵住漏洞。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (15)
1.一种入侵检测方法,其特征在于,所述方法包括:
确定被监控计算设备执行的操作是否与预设操作相同;
当所述被监控计算设备执行的操作与所述预设操作相同时,确定所述被监控计算设备执行的操作为攻击者的入侵操作,其中,所述攻击者为发起入侵攻击的计算设备;
基于所述攻击者的第一IP地址,确定所述入侵操作的攻击路径;
其中,所述基于所述攻击者的第一IP地址,确定所述入侵操作的攻击路径,包括:
从第一数据库中提取所述攻击者的第一IP地址已访问的多个URL;
将所述多个URL与第二数据库中记录的攻击载荷进行比对;
根据比对结果判断确定所述入侵操作的攻击路径。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定预设列表中是否存在与所述第一IP地址相同的IP地址,所述预设列表用于记录攻击者的IP地址;
当所述预设列表中不存在与所述第一IP地址相同的IP地址时,将所述第一IP地址存储在所述预设列表中。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
确定所述预设列表中记录的多个IP地址已访问的多个URL;
基于第二数据库记录的攻击载荷,从所述多个URL中确定出有效攻击的IP地址。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
确定所述有效攻击的IP地址在设定时间段内的网络流量;
基于所述网络流量,确定所述有效攻击的IP地址对应的攻击路径。
5.根据权利要求1所述的方法,其特征在于,所述确定被监控计算设备执行的操作是否与预设操作相同,包括:
实时监控被监控计算设备执行的SQL语句;
比较所述被监控计算设备执行的所述SQL语句是否与预设的读写文件操作或者延时查询操作相同。
6.根据权利要求1所述的方法,其特征在于,所述确定被监控计算设备执行的操作是否与预设操作相同,包括:
实时监控被监控计算设备上创建可执行文件的操作;
比较所述被监控计算设备上创建可执行文件的操作是否与预设的创建可执行文件的操作相同。
7.根据权利要求1-6任一所述的方法,其特征在于,所述方法还包括:
在确定所述被监控计算设备执行的操作为攻击者的入侵操作时,控制所述被监控计算设备与所述第一IP地址对应的计算设备断开连接。
8.一种入侵检测装置,其特征在于,所述装置包括:
第一确定模块,用于确定被监控计算设备执行的操作是否与预设操作相同;
第二确定模块,用于当所述第一确定模块确定所述被监控计算设备执行的操作与所述预设操作相同时,确定所述被监控计算设备执行的操作为攻击者的入侵操作,其中,所述攻击者为发起入侵攻击的计算设备;
第三确定模块,用于基于所述攻击者的第一IP地址,确定所述第二确定模块确定的所述入侵操作的攻击路径;
其中,所述第三确定模块包括:
提取单元,用于从第一数据库中提取所述攻击者的第一IP地址已访问的多个URL;
比对单元,用于将所述提取单元提取到的所述多个URL与第二数据库中记录的攻击载荷进行比对;
第一确定单元,用于根据所述比对单元得到的比对结果判断确定所述入侵操作的攻击路径。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第四确定模块,用于确定预设列表中是否存在与所述第一IP地址相同的IP地址,所述预设列表用于记录攻击者的IP地址;
存储模块,用于当所述第四确定模块确定所述预设列表中不存在与所述第一IP地址相同的IP地址时,将所述第一IP地址存储在所述预设列表中。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第五确定模块,用于确定所述预设列表中记录的多个IP地址已访问的多个URL;
第六确定模块,用于基于第二数据库记录的攻击载荷,从所述第五确定模块确定的所述多个URL中确定出有效攻击的IP地址。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第七确定模块,用于确定所述第六确定模块确定的所述有效攻击的IP地址在设定时间段内的网络流量;
第八确定模块,用于基于所述第七确定模块确定的所述网络流量,确定所述有效攻击的IP地址对应的攻击路径。
12.根据权利要求8所述的装置,其特征在于,所述第一确定模块包括:
第一监控单元,用于实时监控被监控计算设备执行的SQL语句;
第二确定单元,用于当所述第一监控单元监控到所述被监控计算设备执行的所述SQL语句是否与预设的读写文件操作或者延时查询操作相同。
13.根据权利要求8所述的装置,其特征在于,所述第一确定模块包括:
第二监控单元,用于实时监控被监控计算设备上创建可执行文件的操作;
第三确定单元,用于当所述第二监控单元监控到所述被监控计算设备上创建可执行文件的操作是否与预设的创建可执行文件的操作相同。
14.根据权利要求8-13任一所述的装置,其特征在于,所述装置还包括:
控制模块,用于在所述第二确定模块确定所述被监控计算设备执行的操作为攻击者的入侵操作时,控制所述被监控计算设备与所述第一IP地址对应的计算设备断开连接。
15.一种服务器,其特征在于,所述服务器包括:
处理器;用于存储所述处理器可执行指令的存储器;
其中,所述处理器,用于确定被监控计算设备执行的操作是否与预设操作相同;
当所述被监控计算设备执行的操作与所述预设操作相同时,确定所述被监控计算设备执行的操作为攻击者的入侵操作,其中,所述攻击者为发起入侵攻击的计算设备;
基于所述攻击者的第一IP地址,确定所述入侵操作的攻击路径;所述基于所述攻击者的第一IP地址,确定所述入侵操作的攻击路径,包括:
从第一数据库中提取所述攻击者的第一IP地址已访问的多个URL;
将所述多个URL与第二数据库中记录的攻击载荷进行比对;
根据比对结果判断确定所述入侵操作的攻击路径。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610286753.2A CN107341396B (zh) | 2016-05-03 | 2016-05-03 | 入侵检测方法、装置及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610286753.2A CN107341396B (zh) | 2016-05-03 | 2016-05-03 | 入侵检测方法、装置及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107341396A CN107341396A (zh) | 2017-11-10 |
| CN107341396B true CN107341396B (zh) | 2020-08-04 |
Family
ID=60222111
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610286753.2A Active CN107341396B (zh) | 2016-05-03 | 2016-05-03 | 入侵检测方法、装置及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107341396B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108898011A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 黑客追踪方法及装置 |
| CN109818984A (zh) * | 2019-04-10 | 2019-05-28 | 吉林亿联银行股份有限公司 | 漏洞的防御方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
| CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对系统攻击进行路径回溯的方法与装置 |
| CN105488393A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010239392A (ja) * | 2009-03-31 | 2010-10-21 | Nec Corp | サービス不能攻撃制御システム、装置、および、プログラム |
| TWI489820B (zh) * | 2011-01-03 | 2015-06-21 | Univ Nat Taiwan Science Tech | 一種追蹤攻擊來源之方法 |
-
2016
- 2016-05-03 CN CN201610286753.2A patent/CN107341396B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对系统攻击进行路径回溯的方法与装置 |
| CN105488393A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107341396A (zh) | 2017-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| US8176556B1 (en) | Methods and systems for tracing web-based attacks | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| CN103595732B (zh) | 一种网络攻击取证的方法及装置 | |
| KR100732689B1 (ko) | 웹 보안방법 및 그 장치 | |
| CN105659245A (zh) | 上下文感知的网络取证 | |
| CN107426196B (zh) | 一种识别web入侵的方法及系统 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| CN103152325B (zh) | 防止通过共享方式访问互联网的方法及装置 | |
| CN111079138A (zh) | 异常访问检测方法、装置、电子设备及可读存储介质 | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| CN108566392B (zh) | 基于机器学习的防御cc攻击系统与方法 | |
| CN103220277B (zh) | 监控跨站脚本攻击的方法、装置及系统 | |
| CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| CN107341396B (zh) | 入侵检测方法、装置及服务器 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
| Reed et al. | Forensic analysis of epic privacy browser on windows operating systems | |
| CN113923039B (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |