CN107483502A - 一种检测残余攻击的方法及装置 - Google Patents
一种检测残余攻击的方法及装置 Download PDFInfo
- Publication number
- CN107483502A CN107483502A CN201710899776.5A CN201710899776A CN107483502A CN 107483502 A CN107483502 A CN 107483502A CN 201710899776 A CN201710899776 A CN 201710899776A CN 107483502 A CN107483502 A CN 107483502A
- Authority
- CN
- China
- Prior art keywords
- attack
- packet
- doubtful
- detection
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明实施例公开了一种检测残余攻击的方法及装置,用于检测评估防御设备的防御能力,为防御设备的改进提供了基础。本发明实施例方法包括:采集数据包,数据包已经过防御设备的检测;判断数据包是否包括疑似攻击事件;若包括,检测疑似攻击事件是否存在误判行为;若不存在,确定所述疑似攻击事件为攻击事件。本发明还提供了一种检测残余攻击的装置,用于检测评估防御设备的防御能力,为防御设备的改进提供了基础。
Description
技术领域
本发明涉及计算机技术软件检测技术领域,尤其涉及一种检测残余攻击的方法及装置。
背景技术
随着计算机技术的发展,数据处理量越来越大,且处理速度越来越快,随之而来的数据安全成为一个不可忽视的重大问题。
目前,计算机主要通过两种方式来实现数据的检测,一是在服务器上安装安全检测软件(如看门狗、360杀毒软件等),二是在保护的区域前部署防御设备(如WAF、IPS或NGAF等)。
基于目前的检测机制,第一种检测方式中的防御软件因不包括强大的攻击规则库,只能检测少量的攻击,且检测攻击的类型不全,会导致攻击行为漏检;第二中检测方式中的防御设备往往是串联部署在需要保护的区域前,而这种串联方式因为数据路径的增长,会导致数据的延时;其次,防御设备一般无法实现回包检测,继而无法准确判断当前的请求为正常数据请求还是攻击行为;再次,如果防御设备与网关设备为同一厂商的设备,则会因为其采取同样的防御策略,而导致攻击行为被漏查。
发明内容
本发明实施例提供了一种检测残余攻击的方法及装置,用于对经过防御设备或防御软件后的数据包,先做疑似攻击事件的判定,继而分析该疑似攻击事件是否存在误判,并在不存在误判的情形下,进一步确定该疑似攻击事件为攻击事件,从而提高了残余攻击检测能力,减小了残余攻击的漏检机率。
本发明提供了一种检测残余攻击的方法,包括:
采集数据包,数据包已经过防御设备的检测;
判断数据包是否包括疑似攻击事件;
若包括,检测疑似攻击事件是否存在误判行为;
若不存在,确定疑似攻击事件为攻击事件。
可选的,方法还包括:
分析攻击事件,确定攻击事件是否被响应;
根据响应结果,分析确定防御设备的检测缺陷。
可选的,数据包包括:
请求数据包及响应数据包。
可选的,判断数据包是否包括疑似攻击事件,包括:
将数据包与内置的攻击规则进行匹配;
若匹配,则确定数据包包括疑似攻击事件;
若不匹配,则确定数据包不包括疑似攻击事件。
可选的,检测疑似攻击事件是否存在误判行为,包括:
通过上下文关联分析及白名单排除机制,检测疑似攻击事件是否存在误判行为。
可选的,分析攻击事件,确定攻击事件是否被响应,包括:
采集针对攻击事件的响应数据包;
检测响应数据包中的回复状态码是否为200OK;
若是,则确定攻击事件已被响应;
若否,则确定攻击事件未被响应。
本发明第二方面提供了一种检测残余攻击的装置,包括:
采集单元,用于采集数据包,数据包已经过防御设备的检测;
判断单元,用于判断数据包是否包括疑似攻击事件;
检测单元,用于在数据包包括疑似攻击事件时,检测疑似攻击事件是否存在误判行为;
确定单元,用于在疑似攻击事件不存在误判行为时,确定疑似攻击事件为攻击事件。
可选的,该装置还包括:
第一分析确定单元,用于分析攻击事件,确定攻击事件是否被响应;
第二分析确定单元,用于根据响应结果,分析确定防御设备的检测缺陷。
可选的,数据包包括:
请求数据包及响应数据包。
可选的,判断单元包括:
匹配模块,用于将数据包与内置的攻击规则进行匹配;
第一确定模块,用于在数据包与内置的攻击规则匹配时,确定数据包包括疑似攻击事件;
第二确定模块,用于在数据包与内置的攻击规则不匹配时,确定数据包不包括疑似攻击事件。
可选的,检测单元包括:
检测模块,用于在数据包包括疑似攻击事件时,通过上下文关联分析及白名单排除机制,检测疑似攻击事件是否存在误判行为。
可选的,第一分析确定单元,包括:
采集模块,用于采集针对攻击事件的响应数据包;
检测模块,用于检测响应数据包中的回复状态码是否为200OK;
第三确定模块,用于在回复状态码为200OK时,确定攻击事件已被响应;
第四确定模块,用于在回复状态码不为200OK时,确定攻击事件未被响应。
本发明第三方面提供了一种计算机装置,包括:处理器,处理器用于执行存储器中存储的计算机程序时实现如下步骤:
采集数据包,数据包已经过防御设备的检测;
判断数据包是否包括疑似攻击事件;
若包括,检测疑似攻击事件是否存在误判行为;
若不存在,确定疑似攻击事件为攻击事件。
本发明第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被执行时实现如下的步骤:
采集数据包,数据包已经过防御设备的检测;
判断数据包是否包括疑似攻击事件;
若包括,检测疑似攻击事件是否存在误判行为;
若不存在,确定疑似攻击事件为攻击事件。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明中,对经过防御设备的数据包进行采集检测,判断数据包中是否包括疑似攻击事件,并在存在疑似攻击事件时,进一步判断疑似攻击事件是否存在误判行为,并在不存在误判行为时,确定疑似攻击事件为攻击事件,提供了一种检测评判防御设备防御能力的方法,为防御设备的改进提供了基础。
附图说明
图1为本发明中经过防御设备的残余攻击的示意图;
图2为本发明实施例中态势感知平台中探针部署情境示意图;
图3为本发明中检测场景示意图;
图4为本发明实施例中检测残余攻击的方法的一个实施例示意图;
图5为本发明实施例中检测残余攻击的方法的另一个实施例示意图;
图6为本发明实施例中检测残余攻击的装置的一个实施例示意图;
图7为本发明实施例中检测残余攻击的装置的另一个实施例示意图。
具体实施方式
本发明实施例提供了一种检测残余攻击的方法及系统,用于检测评估防御设备的防御能力,为防御设备的改进提供了基础。
为了使本技术领域的人员更好地理解本发明方案,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对本发明中涉及的专业词汇解释如下,以后不再赘述:
残余攻击:指绕过边界安全防御体系的网络攻击,即表示未被有效检测和拦截的网络攻击。这些攻击可直接攻击进入内网,影响内网的服务器和PC。图1为经过防御设备的残余攻击的示意图。
探针:一种旁路部署方式的流量采集设备,一般用于态势感知产品进行采集分析,能识别流量访问中的五元组信息、应用/协议信息等。
态势感知:态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。现指带感知能力的安全防护设备。文中的所有态势感知平台、态势感知产品,即指带感知能力的安全防护设备。
基于背景技术中描述的目前检测机制中存在的问题,本发明提出的方案是将一个旁路部署设备部署在网关安全防御或要评估是否有残余攻击区域的防御设备之后。而目前的态势感知产品,是通过旁路部署多个探针方式检查全网或重要区域的安全问题,其产品形态和部署位置,如图2所示,可以借助探针对防御设备的防御能力进行检测,做到有效、准确的定位残余攻击。
如图3所示,我们以图2中防御设备B所保护的重点区域(图中为服务器区域)为例,探针2旁路部署在防御设备B之后的位置,则残余攻击即为防御设备B前方位置发起的攻击,且该攻击经过防御设备B,而防御设备B无法防御而直达服务器的情况(假设防御设备A已经被绕过)。
下面对本发明中的一种检测残余攻击的方法,做详细描述,请参阅图4,本发明实施例中一种检测参阅攻击的方法的一个实施例,包括:
401、采集数据包,该数据包已经过防御设备的检测;
可以理解的是,网络攻击是行为人通过计算机、通信等技术手段,利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击,比如进行网络监听、非法访问数据、获取密码文件、修改或毁坏信息和文件、获取口令、恶意代码、网络欺骗、甚至让对方主机瘫痪或是整个网络瘫痪等等。
而这种网络攻击经常采用非法数据通信的形式,如攻击者向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的;网页攻击是利用浏览器或操作系统方面的安全缺陷,通过执行嵌入在网页内的JavaApplet小应用程序、Javascript脚本语言程序、VBSCript脚本或Activex控件等自动执的代码程序,强行修改用户操作系统的注册表或运行用户本地程序;常见的DoS攻击,一种是用大量的连接请求(通信数据)冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求;另一种是以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。
所以,为了检测网络系统中的残余攻击,需要采集通信中的数据包,因残余攻击是未被防御设备拦截的攻击,故需采集的数据包为经过防御设备的数据包。
而本发明中部署的网络探针,是一种流量采集设备,用于识别网络访问中的五元组信息、应用/协议信息等,其中五元组信息包括:源IP、目的IP、源端口、目的端口及传输层协议。即网络探针主要用于侦听网络通信中的网络数据包,现有网络数据包的捕获、过滤、分析都可以在网络探针上实现。
402、判断数据包是否包括疑似攻击事件,若包括,则执行步骤403;
检测残余攻击的装置通过探针采集到数据包后,对该数据包进行检测,判断该数据包是否为疑似攻击事件,本实施例中的数据包包括:请求数据包及响应数据包。
其中,具体的判断方法为:探针采集到数据包后,将该数据包中的数据与检测残余攻击的装置中内置的攻击规则进行匹配,若匹配成功,将数据包中的该数据定义为疑似攻击事件,若匹配失败,则数据包中的该数据为正常通信数据。
可以理解的是,因为探针设置的位置可能存在场景设置不规范导致的误判行为,故本步骤将与内置的攻击规则匹配的数据,定义为疑似攻击事件,而非攻击事件。
例如:程序代码中出现的参数直接附带SQL语句,在与攻击规则库进行匹配时,容易被认定为SQL注入攻击,故为避免类似的误判,将该数据定义为疑似攻击事件。
403、检测疑似攻击事件是否存在误判行为,若不存在,则执行步骤404;
当探针采集到的数据包,与攻击规则库进行匹配时,若存在疑似攻击事件,则进一步判定该疑似攻击事件是否存在误判行为,以免对正常通信的数据构成误判,影响数据的正常通信。而且目前的部分防御设备具备自动的误判检测机制,会放过自身已识别到可能是误判的攻击,故检测残余攻击的装置需进一步判定该疑似攻击事件是否存在误判行为,以免影响正常的程序运行及数据通信。
具体的,判断误判的机制为上下文关联分析及白名单机制,若经该机制判断后,即可确定该疑似攻击事件是否存在误判,若存在误判行为,则允许该数据的正常运行,若不存在误判,则进一步将该疑似攻击事件定义为攻击事件。
一般而言,文件的安全上下文是在文件的创建过程中设置的,其中,安全上下文的产生方式主要分为两种,一种是在文件的创建过程中静态设置的,另一种是在文件的创建过程中动态设置的。本实施例以安全上下文的动态设置为例,描述判断是否存在误判行为的上下文关联分析及白名单机制,如不同的PC机在启动时,都要输入用户名及密码,而正常的提交用户名及密码的程序语句,是将该用户名及密码发送至服务器时,由服务器将该用户名及密码的程序语句附带上SQL语句,而现在的网页提交方式,在收到PC机提交的用户名及密码时,会自动将提交用户名及密码的程序语句,附带上SQL语句,然后发送至服务器、
这种情况下,本实施例中的检测残余攻击的装置,会在步骤402中,将该附带SQL语句的,用于正常提交用户名及密码的程序语句,识别为疑似攻击事件,继而本实施例中的步骤403通过上下文关联分析及白名单机制,进一步确定提交用户名及密码程序语句中SQL语句的来源,及确定该程序语句是否属于预先设置的白名单对象,若该程序语句中的SQL语句来源正常,且该提交用户名及密码的程序也在白名单对象中,即可认定该疑似攻击事件为误判行为,否则,则认定该疑似攻击事件为非误判行为,进而认定该疑似攻击为攻击事件。
需要说明的是,本实施例中的检测误判的上下文关联分析及白名单机制,只是对本实施例中检测是否存在误判行为步骤的解释说明,并不对检测误判行为的机制构成具体限制。
404、确定疑似攻击事件为攻击事件。
若疑似攻击事件经过上下文关联分析及白名单机制,确定该疑似攻击事件不存在误判行为,则进一步确定该疑似攻击事件为攻击事件。
需要说明的是,本实施例是通过旁路部署的网络探针对经过防御设备的数据包进行采集分析,并最终确定该数据包中的数据是否有攻击事件。可以理解的是,利用IDS(入侵检测系统)、APT(高级持续性威胁)等旁路安全设备部署在防御系统中的检测方法,若其检测步骤如本实施例所述,则也在本发明所包含的范围内。
本发明中,对经过防御设备的数据包进行采集检测,判断数据包中是否包括疑似攻击事件,并在存在疑似攻击事件时,进一步判断疑似攻击事件是否存在误判行为,并在不存在误判行为时,确定疑似攻击事件为攻击事件,提供了一种检测评判防御设备防御能力的方法,为防御设备的改进提供了基础。
基于图4所述的实施例,结合该检测残余攻击的方法的具体应用,对本发明中的检测残余攻击的方法做详细描述,请参阅图5,本发明实施例中一种检测残余攻击的方法的另一个实施例,包括:
501、采集数据包,所述数据包已经过防御设备的检测;
502、判断所述数据包是否包括疑似攻击事件,若包括,则执行步骤503;
503、检测疑似攻击事件是否存在误判行为,若不存在,则执行步骤504;
504、确定疑似攻击事件为攻击事件;
需要说明的是,本实施例中的步骤501至504与图4所述实施例中的步骤401至404类似,此处不再赘述。
505、分析攻击事件,确定攻击事件是否被响应;
若确定疑似攻击事件为攻击事件,则分析攻击事件的数据包,确定该攻击事件是否被服务器响应,具体的分析步骤如下:
采集该攻击事件的响应数据包,分析该响应数据包中,服务器对该攻击事件的状态回复码是否为200OK,若是,则说明该攻击事件已经被服务器响应,即该攻击事件可能已经对服务器造成影响;若状态回复码不是200OK,则说明该攻击事件未被服务器响应,即该攻击事件未对服务器造成进一步的影响。
506、根据响应结果,分析确定所述防御设备的检测缺陷。
若攻击事件被服务器响应,则需要对防御设备的防御机制中针对服务器的防御策略进一步分析,确定该防御策略的遗漏,或可能是服务器存在漏洞,导致该漏洞被攻击事件所利用。
若攻击事件未被服务器响应,则可能是防御设备的防御机制中缺乏某类攻击的防御能力,或是攻击规则库长期未更新,导致该防御设备缺少对最新安全事件的防御能力。
通过图5所述的实施例,则本发明至少可以解决以下的安全问题:
1、防御设备的防御策略遗漏;
依据:检测到某个服务器的某个端口不断受到残余攻击,且该残余攻击的类型多样化。
2、防御设备缺乏某类攻击的防御能力或攻击规则库未更新;
依据:检测到多个服务器都遭受到某类攻击类型的持续攻击,且已证实其中至少有1个服务器IP及其开放端口已添加到防御设备的策略中。
3、防御设备缺少对最新安全事件的防御能力;
依据:A、结合态势感知产品的威胁情报来源;
B、检测到服务器受到某类型的攻击,该类型利用的漏洞在态势感知情报中为最近爆发的安全事件。
4、服务器疑似存在攻击对应的漏洞;
依据:检测服务器对攻击事件的响应数据包,若某个服务器多次遭受同类型的攻击且攻击利用的漏洞一样,而响应数据包中服务器对该攻击事件的回复状态码都为200OK,即可判定该服务器存在疑似漏洞,需要对服务器做进一步的检测确认。
本发明中,对经过防御设备的数据包进行采集检测,判断数据包中是否包括疑似攻击事件,并在存在疑似攻击事件时,进一步判断疑似攻击事件是否存在误判行为,并在不存在误判行为时,确定疑似攻击事件为攻击事件,提供了一种检测评判防御设备防御能力的方法,为防御设备的改进提供了基础。
其次,本发明在确认了攻击事件后,结合该攻击事件对服务器造成的影响,可进一步分析确认防御设备的防御漏洞及服务器存在的疑似漏洞,增加了本方案的可实施性。
上面描述了本发明实施例中检测残余攻击的方法,下面来描述本发明实施例中的检测残余攻击的装置,请参阅图6,本发明实施例中检测残余攻击的装置的一个实施例,包括:
采集单元601,用于采集数据包,数据包已经过防御设备的检测;
判断单元602,用于判断数据包是否包括疑似攻击事件;
检测单元603,用于在数据包包括疑似攻击事件时,检测疑似攻击事件是否存在误判行为;
确定单元604,用于在疑似攻击事件不存在误判行为时,确定疑似攻击事件为攻击事件。
需要说明的是,本实施例中各单元的作用与图4所述实施例中检测残余攻击的装置的作用类似,此处不再赘述。
本发明中,通过采集单元601对经过防御设备的数据包进行采集检测,判断单元602判断数据包中是否包括疑似攻击事件,并在存在疑似攻击事件时,通过检测单元603进一步判断疑似攻击事件是否存在误判行为,并在不存在误判行为时,通过确定单元604确定疑似攻击事件为攻击事件,提供了一种检测评判防御设备防御能力的方法,为防御设备的改进提供了基础。
为便于理解,下面详细描述本发明实施例中的检测残余攻击的装置,请参阅图7,本发明实施例中检测残余攻击的装置的另一个实施例,包括:
采集单元701,用于采集数据包,数据包已经过防御设备的检测;
判断单元702,用于判断数据包是否包括疑似攻击事件;
检测单元703,用于在数据包包括疑似攻击事件时,检测疑似攻击事件是否存在误判行为;
确定单元704,用于在疑似攻击事件不存在误判行为时,确定疑似攻击事件为攻击事件。
进一步,该检测装置还包括:
第一分析确定单元705,用于分析攻击事件,确定攻击事件是否被响应;
第二分析确定单元706,用于根据响应结果,分析确定防御设备的检测缺陷;
进一步,判断单元702,具体包括:
匹配模块7021,用于将数据包与内置的攻击规则进行匹配;
第一确定模块7022,用于在数据包与内置的攻击规则匹配时,确定数据包包括疑似攻击事件;
第二确定模块7023,用于在数据包与内置的攻击规则不匹配时,确定数据包不包括疑似攻击事件。
进一步,检测单元703,具体包括:
检测模块7031,用于在数据包包括疑似攻击事件时,通过上下文关联分析及白名单排除机制,检测疑似攻击事件是否存在误判行为。
进一步,第一分析确定单元705,具体包括:
采集模块7051,用于采集针对攻击事件的响应数据包;
检测模块7052,用于检测响应数据包中的回复状态码是否为200OK;
第三确定模块7053,用于在回复状态码为200OK时,确定攻击事件已被响应;
第四确定模块7054,用于在回复状态码不为200OK时,确定攻击事件未被响应。
需要说明的是,本实施例中各单元及各模块的作用与图5所述实施例中检测残余攻击的装置的作用类似,此处不再赘述。
本发明中,通过采集单元701对经过防御设备的数据包进行采集检测,判断单元702判断数据包中是否包括疑似攻击事件,并在存在疑似攻击事件时,通过检测单元703进一步判断疑似攻击事件是否存在误判行为,并在不存在误判行为时,通过确定单元704确定疑似攻击事件为攻击事件,提供了一种检测评判防御设备防御能力的方法,为防御设备的改进提供了基础。
其次,本发明在确认了攻击事件后,结合该攻击事件对服务器造成的影响,通过第一分析确定单元705及第二分析确定单元706,可进一步分析确认防御设备的防御漏洞及服务器存在的疑似漏洞,增加了本方案的可实施性。
本发明还提供了一种防火墙,该防火墙包括检测残余攻击的装置,其中,该检测残余攻击的装置可以与其他检测模块进行联动,以相互配合使用。
上面从模块化功能实体的角度对本发明实施例中的检测残余攻击的装置进行了描述,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
该计算机装置用于实现检测残余攻击的装置的功能,本发明实施例中计算机装置一个实施例包括:
处理器以及存储器;
存储器用于存储计算机程序,处理器用于执行存储器中存储的计算机程序时,可以实现如下步骤:
采集数据包,所述数据包已经过防御设备的检测;
判断所述数据包是否包括疑似攻击事件;
若包括,检测所述疑似攻击事件是否存在误判行为;
若不存在,确定所述疑似攻击事件为攻击事件。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
分析所述攻击事件,确定所述攻击事件是否被响应;
根据响应结果,分析确定所述防御设备的检测缺陷。
在本发明的一些实施例中,处理器,还可以用于实现如下的步骤:
将所述数据包与内置的攻击规则进行匹配;
若匹配,则确定所述数据包包括疑似攻击事件;
若不匹配,则确定所述数据包不包括疑似攻击事件。
在本发明的一些实施例中,处理器,还可以用于实现如下的步骤:
通过上下文关联分析及白名单排除机制,检测所述疑似攻击事件是否存在误判行为。
在本发明的一些实施例中,处理器,还可以用于实现如下的步骤:
采集针对所述攻击事件的响应数据包;
检测所述响应数据包中的回复状态码是否为200OK;
若是,则确定所述攻击事件已被响应;
若否,则确定所述攻击事件未被响应。
可以理解的是,上述说明的计算机装置中的处理器执行所述计算机程序时,也可以实现上述对应的各装置实施例中各单元的功能,此处不再赘述。示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述检测残余攻击的装置中的执行过程。例如,所述计算机程序可以被分割成上述检测残余攻击的装置中的各单元,各单元可以实现如上述相应检测残余攻击的装置说明的具体功能。
所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解,处理器、存储器仅仅是计算机装置的示例,并不构成对计算机装置的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质用于实现检测残余攻击装置的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
采集数据包,所述数据包已经过防御设备的检测;
判断所述数据包是否包括疑似攻击事件;
若包括,检测所述疑似攻击事件是否存在误判行为;
若不存在,确定所述疑似攻击事件为攻击事件。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
分析所述攻击事件,确定所述攻击事件是否被响应;
根据响应结果,分析确定所述防御设备的检测缺陷。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
将所述数据包与内置的攻击规则进行匹配;
若匹配,则确定所述数据包包括疑似攻击事件;
若不匹配,则确定所述数据包不包括疑似攻击事件。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
通过上下文关联分析及白名单排除机制,检测所述疑似攻击事件是否存在误判行为。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
采集针对所述攻击事件的响应数据包;
检测所述响应数据包中的回复状态码是否为200OK;
若是,则确定所述攻击事件已被响应;
若否,则确定所述攻击事件未被响应。
可以理解的是,所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在相应的一个计算机可读取存储介质中。基于这样的理解,本发明实现上述相应的实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (15)
1.一种检测残余攻击的方法,其特征在于,包括:
采集数据包,所述数据包已经过防御设备的检测;
判断所述数据包是否包括疑似攻击事件;
若包括,检测所述疑似攻击事件是否存在误判行为;
若不存在,确定所述疑似攻击事件为攻击事件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
分析所述攻击事件,确定所述攻击事件是否被响应;
根据响应结果,分析确定所述防御设备的检测缺陷。
3.根据权利要求1或2所述的方法,其特征在于,所述数据包包括:
请求数据包及响应数据包。
4.根据权利要求3所述的方法,其特征在于,所述判断所述数据包是否包括疑似攻击事件,包括:
将所述数据包与内置的攻击规则进行匹配;
若匹配,则确定所述数据包包括疑似攻击事件;
若不匹配,则确定所述数据包不包括疑似攻击事件。
5.根据权利要求4所述的方法,其特征在于,所述检测所述疑似攻击事件是否存在误判行为,包括:
通过上下文关联分析及白名单排除机制,检测所述疑似攻击事件是否存在误判行为。
6.根据权利要求2所述的方法,其特征在于,所述分析所述攻击事件,确定所述攻击事件是否被响应,包括:
采集针对所述攻击事件的响应数据包;
检测所述响应数据包中的回复状态码是否为200OK;
若是,则确定所述攻击事件已被响应;
若否,则确定所述攻击事件未被响应。
7.一种检测残余攻击的装置,其特征在于,包括:
采集单元,用于采集数据包,所述数据包已经过防御设备的检测;
判断单元,用于判断所述数据包是否包括疑似攻击事件;
检测单元,用于在所述数据包包括疑似攻击事件时,检测所述疑似攻击事件是否存在误判行为;
确定单元,用于在所述疑似攻击事件不存在误判行为时,确定所述疑似攻击事件为攻击事件。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一分析确定单元,用于分析所述攻击事件,确定所述攻击事件是否被响应;
第二分析确定单元,用于根据响应结果,分析确定所述防御设备的检测缺陷。
9.根据权利要求7或8所述的装置,其特征在于,所述数据包包括:
请求数据包及响应数据包。
10.根据权利要求9所述的装置,其特征在于,所述判断单元包括:
匹配模块,用于将所述数据包与内置的攻击规则进行匹配;
第一确定模块,用于在所述数据包与内置的攻击规则匹配时,确定所述数据包包括疑似攻击事件;
第二确定模块,用于在所述数据包与内置的攻击规则不匹配时,确定所述数据包不包括疑似攻击事件。
11.根据权利要求10所述的装置,其特征在于,所述检测单元包括:
检测模块,用于在所述数据包包括疑似攻击事件时,通过上下文关联分析及白名单排除机制,检测所述疑似攻击事件是否存在误判行为。
12.根据权利要求8所述的装置,其特征在于,所述第一分析确定单元,包括:
采集模块,用于采集针对所述攻击事件的响应数据包;
检测模块,用于检测所述响应数据包中的回复状态码是否为200OK;
第三确定模块,用于在所述回复状态码为200OK时,确定所述攻击事件已被响应;
第四确定模块,用于在所述回复状态码不为200OK时,确定所述攻击事件未被响应。
13.一种防火墙,其特征在于,包括如权利要求7至12中任一项所述的检测残余攻击的装置。
14.一种计算机装置,其特征在于,包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至6中任一项所述检测残余攻击的方法中的步骤。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被执行时实现如权利要求1至6中任一项所述检测残余攻击的方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710899776.5A CN107483502A (zh) | 2017-09-28 | 2017-09-28 | 一种检测残余攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710899776.5A CN107483502A (zh) | 2017-09-28 | 2017-09-28 | 一种检测残余攻击的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107483502A true CN107483502A (zh) | 2017-12-15 |
Family
ID=60605404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710899776.5A Pending CN107483502A (zh) | 2017-09-28 | 2017-09-28 | 一种检测残余攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107483502A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109688137A (zh) * | 2018-12-27 | 2019-04-26 | 深信服科技股份有限公司 | 一种sql注入攻击的检测方法、系统及相关组件 |
CN110798427A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的异常检测方法、装置及设备 |
CN111984970A (zh) * | 2019-05-22 | 2020-11-24 | 深信服科技股份有限公司 | 一种sql注入检测方法、系统及电子设备和存储介质 |
CN112583774A (zh) * | 2019-09-30 | 2021-03-30 | 北京观成科技有限公司 | 一种攻击流量检测的方法、装置、存储介质及电子设备 |
CN113422785A (zh) * | 2021-08-20 | 2021-09-21 | 北京生泰尔科技股份有限公司 | 基于网络流量的恶意攻击检测方法、系统和可读存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571786A (zh) * | 2011-12-30 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 防火墙中多个安全模块之间联动防御的方法及防火墙 |
US20140283062A1 (en) * | 2013-03-15 | 2014-09-18 | Aruba Networks, Inc. | Apparatus, system and method for suppressing erroneous reporting of attacks on a wireless network |
CN105357179A (zh) * | 2015-09-29 | 2016-02-24 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
CN106341426A (zh) * | 2016-11-11 | 2017-01-18 | 中国南方电网有限责任公司 | 一种防御apt攻击的方法及安全控制器 |
CN106713358A (zh) * | 2017-02-04 | 2017-05-24 | 国家电网公司信息通信分公司 | 一种攻击性检测方法及装置 |
CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及系统 |
-
2017
- 2017-09-28 CN CN201710899776.5A patent/CN107483502A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571786A (zh) * | 2011-12-30 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 防火墙中多个安全模块之间联动防御的方法及防火墙 |
US20140283062A1 (en) * | 2013-03-15 | 2014-09-18 | Aruba Networks, Inc. | Apparatus, system and method for suppressing erroneous reporting of attacks on a wireless network |
CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
CN105357179A (zh) * | 2015-09-29 | 2016-02-24 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
CN106341426A (zh) * | 2016-11-11 | 2017-01-18 | 中国南方电网有限责任公司 | 一种防御apt攻击的方法及安全控制器 |
CN106713358A (zh) * | 2017-02-04 | 2017-05-24 | 国家电网公司信息通信分公司 | 一种攻击性检测方法及装置 |
CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110798427A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的异常检测方法、装置及设备 |
CN109688137A (zh) * | 2018-12-27 | 2019-04-26 | 深信服科技股份有限公司 | 一种sql注入攻击的检测方法、系统及相关组件 |
CN111984970A (zh) * | 2019-05-22 | 2020-11-24 | 深信服科技股份有限公司 | 一种sql注入检测方法、系统及电子设备和存储介质 |
CN111984970B (zh) * | 2019-05-22 | 2023-11-07 | 深信服科技股份有限公司 | 一种sql注入检测方法、系统及电子设备和存储介质 |
CN112583774A (zh) * | 2019-09-30 | 2021-03-30 | 北京观成科技有限公司 | 一种攻击流量检测的方法、装置、存储介质及电子设备 |
CN113422785A (zh) * | 2021-08-20 | 2021-09-21 | 北京生泰尔科技股份有限公司 | 基于网络流量的恶意攻击检测方法、系统和可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107659583A (zh) | 一种检测事中攻击的方法及系统 | |
CN107483502A (zh) | 一种检测残余攻击的方法及装置 | |
US9848016B2 (en) | Identifying malicious devices within a computer network | |
US10467411B1 (en) | System and method for generating a malware identifier | |
CN104767757B (zh) | 基于web业务的多维度安全监测方法和系统 | |
US10033746B2 (en) | Detecting unauthorised changes to website content | |
CN103229185B (zh) | 用于针对恶意软件的本地保护的系统和方法 | |
CN109274632B (zh) | 一种网站的识别方法及装置 | |
CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
CN104463569A (zh) | 安全连接支付方法及其装置 | |
CN104462973B (zh) | 移动终端中应用程序的动态恶意行为检测系统及方法 | |
CN106357689A (zh) | 威胁数据的处理方法及系统 | |
CN103312689A (zh) | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 | |
CN106998335A (zh) | 一种漏洞检测方法、网关设备、浏览器及系统 | |
CN107506648A (zh) | 查找应用漏洞的方法、装置和系统 | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
CN105141573A (zh) | 一种基于web访问合规性审计的安全防护方法和系统 | |
CN110336835A (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
CN107566420A (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
CN107451466A (zh) | 一种安全评估方法及装置、计算机装置、可读存储介质 | |
CN107231364A (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
Yermalovich et al. | Formalization of attack prediction problem | |
Cagalaban et al. | Improving SCADA control systems security with software vulnerability analysis | |
CN115001789A (zh) | 一种失陷设备检测方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171215 |
|
RJ01 | Rejection of invention patent application after publication |