CN107659583B - 一种检测事中攻击的方法及系统 - Google Patents
一种检测事中攻击的方法及系统 Download PDFInfo
- Publication number
- CN107659583B CN107659583B CN201711022612.0A CN201711022612A CN107659583B CN 107659583 B CN107659583 B CN 107659583B CN 201711022612 A CN201711022612 A CN 201711022612A CN 107659583 B CN107659583 B CN 107659583B
- Authority
- CN
- China
- Prior art keywords
- attack
- data packet
- successful
- response data
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本发明实施例公开了一种检测事中攻击的方法及系统,用于实现对攻击的有效检测,提高攻击检测的成功率及准确率。本发明实施例方法包括:采集攻击的请求数据包和响应数据包;通过预置的回包特征库分别对请求数据包和响应数据包进行匹配;若匹配失败,检测攻击是否有可利用的漏洞;若检测结果为是,则对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;若目标对象存在漏洞,则确定攻击成功;若检测结果为不确定,则对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。本发明实施例还提供了一种检测事中攻击的系统,用于提高攻击检测的成功率及准确率。
Description
技术领域
本发明涉及计算机网络防御技术领域,尤其涉及一种检测事中攻击的方法及系统。
背景技术
计算机网络攻击是指网络攻击者通过非法的手段(如破译密码、电子欺骗等)获得非法的权限并通过使用这些非法的权限使网络攻击者能够对被攻击的主机进行非授权的操作。网络攻击的主要途径有:破译口令、IP欺骗和DNS欺骗。
目前,针对计算机网络攻击的主要检测方式为:对攻击的请求数据包进行静态规则库匹配,及请求数据包的回复状态码检测。其中静态规则库存储了预先统计的攻击的请求数据包特征,当访问的请求数据包与预先统计的攻击的请求数据包特征相匹配时,则确定所述访问为攻击;而回复状态码检测主要是判断与攻击的请求数据包对应的响应数据包的回复状态码是否为200OK,若是,则确定该攻击对目标对象产生了影响。
随着网络技术的发展,静态规则匹配不足以应对复杂、灵活的攻击。如针对命令注入式的攻击,往往需要查看回包是否包含执行的结果,才可判断该攻击是否对目标对象产生了影响;其次,判断回复状态码是否为200OK的方式过于笼统,当前许多服务器可设定不管请求是否有效,都返回200OK,包括服务器上的软件防火墙都可以返回200OK,故针对攻击进行静态规则库匹配及回复状态码的检测方式,不能实现对于攻击的有效检测。
发明内容
本发明实施例提供了一种检测事中攻击的方法及系统,用于实现对攻击的有效检测,提高攻击检测的成功率及准确率。
本发明第一方面提供了一种检测事中攻击的方法,包括:
采集攻击的请求数据包和响应数据包;
通过预置的回包特征库分别对请求数据包和响应数据包进行匹配;
若匹配失败,检测攻击是否有可利用的漏洞;
若检测结果为是,则对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;
若目标对象存在漏洞,则确定攻击成功;
若检测结果为不确定,则对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
可选的,在通过预置的回包特征库分别对请求数据包和响应数据包进行匹配之后,该方法还包括:
若匹配成功,则确定攻击成功;
在对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞之后,该方法还包括:
若目标对象不存在漏洞,则确定攻击失败;
在确定攻击成功之后,该方法还包括:
对请求数据包和响应数据包进行上下文关联分析,以确定攻击产生的影响。
可选的,上下文关联分析,包括:
基线特征匹配和/或时间序列检测。
可选的,若检测结果为不确定,则对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响,包括:
若检测结果为不确定,则对请求数据包和响应数据包进行基线特征匹配;
若匹配成功,则确定攻击失败;
若匹配失败,则确定攻击成功,再对请求数据包和响应数据包进行时间序列检测,以确定攻击产生的影响。
可选的,该方法还包括:
在确定攻击成功时,将攻击与全网的安全评估结果关联。
可选的,在采集攻击的请求数据包和响应数据包之后,通过预置的回包特征库分别对请求数据和响应数据包进行匹配之前,该方法还包括:
对响应数据包进行过滤,以滤除无效的响应数据包;
对攻击进行过滤,以滤除预置的攻击类型。
本发明第二方面提供了一种检测事中攻击的系统,包括:
采集单元,用于采集攻击的请求数据包和响应数据包;
第一匹配单元,用于通过预置的回包特征库分别对请求数据包和响应数据包进行匹配;
检测单元,用于在匹配失败时,检测攻击是否有可利用的漏洞;
第一分析单元,用于在检测结果为是时,对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;
第一确定单元,用于在目标对象存在漏洞时,确定攻击成功;
第二分析单元,用于在检测结果为不确定时,对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
可选的,该系统还包括:
第二确定单元,用于匹配成功时,则确定攻击成功;
第三确定单元,用于在目标对象不存在漏洞时,确定攻击失败;
其中,第一确定单元,包括:
第一确定模块,用于在目标对象存在漏洞时,确定攻击成功;
第二确定模块,用于在攻击成功时,对请求数据包和响应数据包进行上下文关联分析,以确定攻击产生的影响。
可选的,上下文关联分析包括:
基线特征匹配和/或时间序列检测;
第二分析单元,包括:
匹配模块,用于在检测结果为不确定时,对请求数据包和响应数据包进行基线特征匹配;
第三确定模块,用于在匹配成功时,确定攻击失败;
第四确定模块,用于在匹配失败时,确定攻击成功,再对请求数据包和响应数据包进行时间序列检测,以确定攻击产生的影响。
可选的,该系统还包括:
关联单元,用于在确定攻击成功时,将攻击与全网的安全评估结果关联。
本发明还提供了一种计算机装置,包括处理器,处理器在执行存储在存储器上的计算机程序时,用于实现如下步骤:
采集攻击的请求数据包和响应数据包;
通过预置的回包特征库分别对请求数据包和响应数据包进行匹配;
若匹配失败,检测攻击是否有可利用的漏洞;
若检测结果为是,则对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;
若目标对象存在漏洞,则确定攻击成功;
若检测结果为不确定,则对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
本发明第三方面提供了一种防火墙,包括第二方面提供的检测事中攻击的系统。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,用于实现如下步骤:
采集攻击的请求数据包和响应数据包;
通过预置的回包特征库分别对请求数据包和响应数据包进行匹配;
若匹配失败,检测攻击是否有可利用的漏洞;
若检测结果为是,则对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;
若目标对象存在漏洞,则确定攻击成功;
若检测结果为不确定,则对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明中,在采集到攻击的请求数据包和响应数据包后,将预置的回包特征库分别与请求数据包和响应数据包进行匹配,在匹配失败时,检测攻击是否有可利用的漏洞,若该攻击有可利用的漏洞,将攻击与目标对象进行漏洞关联分析,从而判断该攻击是否成功;若不确定该攻击是否有可利用的漏洞时,进一步将请求数据包和响应数据包进行上下文关联分析,以确定该攻击是否成功及该攻击产生的影响。因为本发明采用预置的回包特征库进行检测,不仅对攻击的请求数据包进行匹配,还对攻击的响应数据包进行匹配,从而增加了攻击检测的准确度;其次,本发明在预置的回包特征库分别与请求数据包和响应数据包匹配失败时,进一步对该攻击进行漏洞关联分析及上下文关联分析,以确定该攻击是否成功及产生的影响,从而实现了该攻击的有效检测,提高了攻击检测的成功率及准确率。
附图说明
图1为本发明实施例中一种检测事中攻击的方法的一个实施例示意图;
图2为本发明实施例中一种检测事中攻击的方法的另一个实施例示意图;
图3为态势感知产品形态和探针部署位置示意图;
图4为本发明实施例中一种检测事中攻击的系统的一个实施例示意图;
图5为本发明实施例中一种检测事中攻击的系统的另一个实施例示意图。
具体实施方式
本发明实施例提供了一种检测事中攻击的方法及系统,用于实现对攻击的有效检测,提高攻击检测的成功率及准确率。
为了使本技术领域的人员更好地理解本发明方案,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为方便理解,先对本发明中的专业术语解释如下:
探针:一种旁路部署方式的流量采集设备,一般用于态势感知产品进行采集分析,能识别流量访问中的五元组信息、应用/协议信息等。
态势感知:态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。现指带感知能力的安全防护设备。
成功的事中攻击:亦为有效的攻击。即针对正在进行的攻击进行检测,以判断当前攻击是否成功、是否命中漏洞,是否已对服务器产生影响,以此对当前的遭受攻击情况得出一个有效的影响结论。通过此方式可以有效的检测服务器是否被控制、是否被入侵、是否被信息泄漏等。
重定向拦截:一种常见的阻断方式,区别于以往的对攻击包进行阻断,此种类型通过先阻断正常该返回的数据包,再通过JS或HTML方式返回一个构造好的重定向警示页面。
为方便对本发明的理解,下面来描述本发明中的检测事中攻击的方法,请参阅图1,本发明实施例中检测事中攻击的方法的一个实施例,包括:
101、采集攻击的请求数据包和响应数据包;
本发明主要是针对已知的攻击,从而检测该已知的攻击是否攻击成功的方法,其中对该已知攻击的判断是采用静态规则匹配的方式。即本发明先通过静态规则库匹配的方式判断该访问为攻击,再对该攻击进行放行,从而判断该攻击是否对目标对象产生影响,其中影响包括:攻击对目标对象文件的非权限访问、攻击对目标对象漏洞的利用、攻击对目标对象的控制或毁坏等。
可以理解的是,网络攻击是行为人通过计算机、通信等技术手段,利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击,比如进行网络监听、非法访问数据、获取密码文件、修改或毁坏信息和文件、获取口令、恶意代码、网络欺骗、甚至让对方主机瘫痪或是整个网络瘫痪等等。
而这种网络攻击经常采用非法数据通信的形式,如攻击者向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的;网页攻击是利用浏览器或操作系统方面的安全缺陷,通过执行嵌入在网页内的JavaApplet小应用程序、Javascript脚本语言程序、VBSCript脚本或Activex控件等自动执的代码程序,强行修改用户操作系统的注册表或运行用户本地程序;常见的DoS攻击,一种是用大量的连接请求(通信数据)冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求;另一种是以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。
故在对攻击进行分析判断时,需要采集攻击的请求数据包和响应数据包,对该请求数据包和响应数据包进行分析,以采集该攻击的请求特征及目标对象针对该攻击的响应特征,以达到对该攻击更好的防御。
102、通过预置的回包特征库分别对请求数据包和响应数据包进行匹配,若匹配失败,则执行步骤103;
检测事中攻击的系统在采集到攻击的请求数据包和响应数据包后,利用预置的回包特征库分别对该请求数据包和响应数据包进行匹配,其中回包特征库包括预先统计的各种攻击的请求数据包特征和响应数据包特征,若该攻击的请求数据包与预置回包特征库中的请求数据包匹配成功,则继续将该攻击的响应数据包与预置回包特征库中的响应数据包进行匹配,若该攻击的响应数据包和预置回包特征库中的响应数据包匹配成功,则确定该攻击成功,若该攻击的响应数据包与预置回包特征库中的响应数据包匹配失败,或该攻击的请求数据包与预置的回报特征库中的请求数据包匹配失败,则执行步骤103。
具体本实施例中回包特征库的建立在下面的实施例中详细描述。
103、检测攻击是否有可利用的漏洞,若检测结果为是,则执行步骤104,若检测结果为不确定,则执行步骤106;
检测事中攻击的系统在攻击的请求数据包或响应数据包与回包特征库匹配失败时,进一步检测该攻击是否有可利用的漏洞,具体的检测该攻击是否有可以的漏洞,可以是通过不同的杀毒软件(360杀毒软件或卡巴斯基杀毒软件)来进行检测,此处对检测攻击是否有可利用的漏洞的杀毒软件的种类和名称不作具体限制。
若该攻击有可利用的漏洞,则执行步骤104,若不确定该攻击是否有可利用的漏洞,则执行步骤106。
104、则对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;
若检测到攻击有可利用的漏洞,则对攻击和目标对象进行漏洞关联分析,以确定目标对象是存在该漏洞,从而根据目标对象是否存有该漏洞,来判断该攻击是否成功。
105、若目标对象存在漏洞,则确定该攻击成功;
可以理解的是,攻击的手段多为利用目标对象的漏洞,若目标对象存在漏洞,其中该漏洞与攻击可利用的漏洞相同(完全相同或部分相同)或相对应,则攻击即可利用目标对象存在的漏洞,对该目标对象进行攻击,则可确定该攻击成功。
106、对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
若不确定该攻击是否有可利用的漏洞,则可进一步对攻击的请求数据包和相应数据包进行上下文关联分析,以确定该攻击是否成功,及该攻击对目标对象产生的影响。
具体的,本实施中上下文关联分析的具体步骤及内容,在下面的实施例中详细描述。
本发明中,在采集到攻击的请求数据包和响应数据包后,将预置的回包特征库分别与请求数据包和响应数据包进行匹配,在匹配失败时,检测攻击是否有可利用的漏洞,若该攻击有可利用的漏洞,将攻击与目标对象进行漏洞关联分析,从而判断该攻击是否成功;若不确定该攻击是否有可利用的漏洞时,进一步将请求数据包和响应数据包进行上下文关联分析,以确定该攻击是否成功及该攻击产生的影响。因为本发明采用预置的回包特征库进行检测,不仅对攻击的请求数据包进行匹配,还对攻击的响应数据包进行匹配,从而增加了攻击检测的准确度;其次,本发明在预置的回包特征库与请求数据包或响应数据包匹配失败时,进一步对该攻击进行漏洞关联分析及上下文关联分析,以确定该攻击是否成功及产生的影响,从而实现了该攻击的有效检测,提高了攻击检测的成功率及准确率。
为方便理解,基于图1所述的实施例,下面对本发明中事中检测攻击的方法做详细描述,请参阅图2,本发明实施例中检测事中攻击的方法的另一个实施例,包括:
201、采集攻击的请求数据包和响应数据包;
本发明主要是针对通过静态规则匹配,而得知的已知攻击,进而对该已知攻击是否攻击成功的检测方法。即本发明先通过静态规则库匹配的方式判断该访问为攻击,再对该攻击进行放行,从而判断该攻击是否对目标对象产生影响,其中影响包括:攻击对目标对象文件的非权限访问、攻击对目标对象漏洞的利用、攻击对目标对象的控制或毁坏等。
可以理解的是,网络攻击是行为人通过计算机、通信等技术手段,利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击,比如进行网络监听、非法访问数据、获取密码文件、修改或毁坏信息和文件、获取口令、恶意代码、网络欺骗、甚至让对方主机瘫痪或是整个网络瘫痪等等,而这种网络攻击经常采用非法数据通信的形式,如攻击者向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的等。
故在对攻击进行分析判断时,需要采集攻击的请求数据包和响应数据包,对该请求数据包和响应数据包进行分析,以采集该攻击的请求特征及目标对象针对该攻击的响应特征,也达到对该攻击更好的防御。
为了更好的实施本发明,可以将该方法实施于态势感知产品上,而目前的态势感知产品是大多是通过旁路部署探针的方式检查全网或重要区域的安全问题,其产品形态和部署位置如图3所示,可以借助探针对防御设备的防御能力进行检测,做到有效地检测该攻击是否成功。
其中,本发明中部署的网络探针,是一种流量采集设备,用于识别网络访问中的五元组信息、应用/协议信息等,其中五元组信息包括:源IP、目的IP、源端口、目的端口及传输层协议。即网络探针主要用于侦听网络通信中的网络数据包,现有网络数据包的捕获、过滤、分析都可以在网络探针上实现。
需要说明的是,态势感知产品只是本发明的优选实施例,本发明也可以实施于IDS(入侵检测系统)、AF类、APT(高级持续性威胁)类等具备漏洞检测能力的监听设备上,此处对本发明的实施对象不作具体限制。
202、对响应数据包进行过滤,以滤除无效的响应数据包;
可以理解的是,对于某些攻击的请求数据包,若已被目标对象成功防御,则将不会得到目标对象的响应,即该攻击的响应数据包可能为空,或非有效回应,为了提高本发明的检测效率,可以设置对采集到的响应数据包进行过滤,以达到滤除无效响应数据包的目的。
具体的,检测事中攻击的系统对响应数据包的检测项目内容如下:
(1)、该攻击是否有响应回包,若没有回包,则代表访问不成功、无响应或已被阻断,可表明攻击不成功。
(2)、检测回包的状态码是否为200OK,非200OK代表执行不成功或无权限,可表明攻击失败。
(3)、将攻击的响应数据包与被重定向拦截的响应数据包进行对比,若该攻击的响应数据包与被重定向拦截的响应数据包特征相同,则表明该攻击已经被软件狗成功防护,该攻击失败。
203、对攻击进行过滤,以滤除预置的攻击类型;
针对安全防护的级别,可以对攻击进行不同级别的过滤,若安全防护级别较高,也可以不执行步骤203,以对所有的攻击都测试分析,来确定所有攻击是否成功。
本实施例为了提高检测的效率,只对影响较大的高危攻击,如暴力破解、SQL注入、命令注入、WEBSHELL上传等可导致全网评级变化且影响受攻击者影响较大(如受控)的攻击进行检测,选择滤除预置的攻击类型,本实施例中预置的攻击类型为对目标对象几乎不产生影响或产生的影响可以忽略的攻击,此处对预置的攻击类型不作具体限制。
204、通过预置的回包特征库分别对请求数据包和响应数据包进行匹配,若匹配成功,则执行步骤205,若匹配失败,则执行步骤206;
检测事中攻击的系统在采集到攻击的请求数据包和响应数据包后,利用预置的回包特征库分别对该请求数据包和响应数据包进行匹配,其中回包特征库包括预先统计的各种攻击的请求数据包特征和响应数据包特征,若该攻击的请求数据包与预置回包特征库中的请求数据包特征匹配成功,则继续将该攻击的响应数据包与预置回包特征库中的响应数据包特征进行匹配,若该攻击的响应数据包和预置回包特征库中的响应数据包特征匹配成功,则确定该攻击成功,则执行步骤205;若该攻击的响应数据包和预置回包特征库中的响应数据包特征匹配失败,或若该攻击的请求数据包与预置回包特征库中的请求数据包特征匹配失败,则执行步骤206。
具体的,本实施中的回包特征库是基于攻击请求特征与攻击回包特征组合来构建的一个基础检测库,其中,一个请求特征可能包含多个回包特征,具体的特征可以为关键字或正则表达式规则。具体的关键字可以为200OK,而正则表达式则是对字符串和特殊字符操作的一种逻辑公式,即用事先定义好的一些特殊字符及这些特定字符的组合,组成一个“规则字符串”。
具体的,本实施例中回包特征库的构建可以通过如下方式来实现:
(1)、黑客工具类规则提取。这些工具为了有效的自动化攻击,往往包含固定/可正则化的攻击成功的检测依据,可直接提取。
(2)、机器学习。针对具体的应用程序漏洞利用的攻击,往往具有共性特征,如大部分的SQL注入回包通常包含SQL语句等,收集所有已知攻击的请求,进行基础规则的学习。
(3)、人工特征提取。在每个安全事件(0day漏洞)爆发前/后提取可用的攻击特征,并构建对应的回包特征库。
可以理解的是,回包特征库的构建包括但不限于上述的几种情况,此处不做具体限制。
205、确定攻击成功,将攻击与全网的安全评估结果关联。
可以理解的是,若攻击的请求数据包和响应数据包与预置的回包特征库中的请求数据包特征和响应数据包特征都匹配成功,则表明攻击成功。可以进一步结合该攻击对目标对象造成的影响,如目标对象是否被控制、是否被入侵、是否被信息泄漏等,对该目标对象所处的网络环境进行安全结果评估,以达到安全提示的作用。进一步,驱动还可以对目标对象的漏洞进行修复,以提升安全级别。
需要说明的是,本实施例中的步骤205与206之间没有时序限制,即步骤205可以在步骤206之前或之后执行。
206、检测攻击是否有可利用的漏洞,若检测结果为是,则执行步骤207,若检测结果为不确定,则执行步骤211;
检测事中攻击的系统在攻击的请求数据包或响应数据包与回包特征库匹配失败时,进一步检测该攻击是否有可利用的漏洞,具体的检测该攻击是否有可以的漏洞,可以是通过不同的杀毒软件(360杀毒软件或卡巴斯基杀毒软件)来进行检测,此处对检测攻击是否有可利用的漏洞的杀毒软件的种类和名称不作具体限制。
若该攻击有可利用的漏洞,则执行步骤207,若不确定该攻击是否有可利用的漏洞,则执行步骤211。
207、则对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞,若检测结果为是,则执行步骤208,若检测结果为否,则执行步骤210;
若检测到攻击有可利用的漏洞,则对攻击和目标对象进行漏洞关联分析,具体的,在检测到攻击有可利用的漏洞后,可以通过态势感知产品对目标对象进行漏洞扫描,以确定目标对象存在的漏洞,再将攻击可利用的漏洞与目标对象存在的漏洞进行关联分析,以确定目标对象是否存在该漏洞(即攻击可利用的漏洞),若扫描到目标对象存在该漏洞,即确定攻击成功;若扫描到目标对象不存在该漏洞,则确定攻击失败。
208、确定该攻击成功,将攻击与全网的安全评估结果相关联;
可以理解的是,攻击的手段多为利用目标对象的漏洞,若检测结果为是,即目标对象存在漏洞,其中该漏洞与攻击可利用的漏洞相同(完全相同或部分相同)或相对应,则攻击即可利用目标对象存在的漏洞,对该目标对象进行攻击,则可确定该攻击成功。可以进一步结合该攻击对目标对象造成的影响,如目标对象是否被控制、是否被入侵、是否被信息泄漏等,对该目标对象所处的网络环境进行安全结果评估,以达到安全提示的作用。进一步,驱动还可以对目标对象的漏洞进行修复,以提升安全级别。
209、将请求数据包和响应数据包进行上下文关联分析,以确定攻击产生的影响;
步骤208之后,若确定该攻击成功,为了进一步确定该攻击对目标对象产生的影响,可以将该攻击的请求数据包和响应数据包进一步进行上下文关联分析,以确定攻击产生的影响。
具体的,上下文关联分析包括基线特征匹配和时间序列监测中的至少一项,其中,基线特征匹配的过程如下所述:
为方便描述,先介绍基线特征学习的概念及过程,基线特征学习是用于学习正常请求情况下的响应数据包特征基线值,亦叫共性特征值学习。其中,多个相似的同类访问请求得到的回复报文内容相似性达到基准值以上(可设定为90%),才可以认为这些响应数据包可做基线特征提取。基线特征,亦称之为共性特征串,即多个相似的同类访问请求得到的回复报文中含有的共性特征值,可选择鲁棒性强的算法在报文的多个共性位置提取内容片段,做成基线特征串(形式不限,以能快速匹配为主)。
实际应用中,攻击基本是针对已有的URL、IP地址、端口等进行利用的,因此,可对这些元素进行基线特征学习,提取对应的基线特征来构建基线库。因此,基线特征库的每个特征包含:请求标识(如具体URL等)、请求对应的基线特征串。
而基线特征匹配的过程如下:
(1)、从当前攻击的请求包提取请求标识,在基线特征库中检查当前的请求标识是否存在库中,以此判定是否已对该类型的请求学习到了基线。如果未学习到,则判定攻击的状态为未知状态,需要等到基线学习成功后,再进行回溯分析。
(2)、若当前同类请求若已学习到基线,则按照与基线特征提取算法相同的响应数据包特征提取算法,从当前攻击的响应数据包内容进行特征提取。
(3)、将提取到的攻击响应数据包特征串与当前请求标识下已学习到的基线特征串进行对比,若与基线特征相同,则认为响应数据包仍为基线,目标对象并未有效执行攻击,因此攻击失败;若与基线特征不同,则基本上可认定为攻击成功。
(4)、针对未识别到基线特征的请求,但又有攻击出现,需要加大学习的优先级。另外,当前未能进行基线特征匹配的攻击需要保留基础信息(如五元组、相同算法下回包提取特征串),已待后续学习到基线后可进行回溯分析。
时间序列检测的过程如下:
部分攻击通过一次性分析难以得到正确结果,需要根据时间序列方式进行上下文监听。如webshell上传攻击,一次性分析可以分析是否上传成功,但难以检测目标对象是否已被控制,需要再次监听攻击者是否能访问到该webshell文件甚至利用该文件的请求才能证明。
因步骤208中,已确定该攻击成功,故只需对攻击的请求数据包和响应数据包进行上下文关联分析中的时间序列检测,以进一步确认该攻击对目标对象产生的影响。为了将攻击产生的影响与全网的安全评估结果关联,故在进一步确认该攻击对目标对象产生的影响后,需要再次将该攻击与全网的安全评估结果关联。
210、确定攻击失败;
可以理解的是,若检测结果为否,即攻击有可利用的漏洞,而对目标对象进行扫描后,发现该目标对象没有该漏洞,则表示该攻击失败。
需要说明的是,若目标对象没有对漏洞进行扫描的能力,则无法对该攻击和目标对象进行漏洞关联分析,则无法检测该攻击是否成功,则需要对该攻击继续进行上下文关联分析,以确定该攻击是否成功及是否对目标对象产生影响。
211、对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
在步骤206之后,若检测结果为不确定攻击是否存在可利用的漏洞,则无法对该攻击和目标对象进行漏洞关联分析,则直接对攻击的请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及该攻击对目标对象产生的影响。
具体的,上下文关联分析包括基线特征匹配和时间序列检测中的至少一项,其中基线特征匹配和时间序列检测的具体内容已在步骤209中详细描述,此处不再赘述。
而该步骤211可以分为以下几个小步骤来执行:
2110、对请求数据包和响应数据包进行基线特征匹配;
具体的,检测事中攻击的系统可以提取攻击请求数据包和响应数据包中的请求标识与基线特征,分别与基线特征库中的请求标识及基线特征串进行匹配,以确认该攻击是否成功。
2111、若匹配成功,则确定攻击失败;
可以理解的是,若攻击的请求数据包与响应数据包中的请求标识和基线特征,分别与基线特征库中的请求标识和基线特征串都匹配成功,则说明该攻击为正常请求,即该攻击失败。
2112、若匹配失败,则确定攻击成功,再对请求数据包和响应数据包进行时间序列检测,以确定攻击产生的影响,并将该攻击与全网的安全评估结果关联。
可以理解的是,若攻击请求数据包中的请求标识和基线特征库中的请求标识匹配成功,而攻击响应数据包中的基线特征与基线特征库中的基线特征串匹配失败,则说明该攻击为非正常请求,即攻击成功。则需要对攻击的请求数据包和响应数据包进行时间序列检测,以确定该攻击对目标对象产生的影响。且进一步将该攻击与全网的安全评估结果相关联,以达到安全提示的作用,或使得驱动对目标对象进行修复,以提高安全级别。
若攻击请求数据包中的请求标识和基线特征库中的请求标识匹配失败,但又有攻击出现,则需要加大基线学习的优先级。另外,当前未能进行基线特征匹配的攻击需要保留基础信息(如五元组、相同算法下回包提取特征串),已待后续学习到基线后可进行回溯分析。
本发明中,在采集到攻击的请求数据包和响应数据包后,将预置的回包特征库分别与请求数据包和响应数据包进行匹配,在匹配失败时,检测攻击是否有可利用的漏洞,若该攻击有可利用的漏洞,将攻击与目标对象进行漏洞关联分析,从而判断该攻击是否成功;若不确定该攻击是否有可利用的漏洞时,进一步将请求数据包和响应数据包进行上下文关联分析,以确定该攻击是否成功及该攻击产生的影响。因为本发明采用预置的回包特征库进行检测,不仅对攻击的请求数据包进行匹配,还对攻击的响应数据包进行匹配,从而增加了攻击检测的准确度;其次,本发明在预置的回包特征库与请求数据包或响应数据包匹配失败时,进一步对该攻击进行漏洞关联分析及上下文关联分析,以确定该攻击是否成功及产生的影响,从而实现了该攻击的有效检测,提高了攻击检测的成功率及准确率。
其次,本发明在采集到攻击的请求数据包和响应数据包后,对响应数据包和攻击类型进行过滤,以滤除无效的响应数据包和预置的攻击类型,从而进一步提高了检测事中攻击方法的检测效率。
上面描述了本发明实施例中的检测事中攻击的方法,下面来描述本发明实施例中检测事中攻击的系统,请参阅图4,本发明实施例中检测事中攻击的系统的一个实施例,包括:
采集单元401,用于采集攻击的请求数据包和响应数据包;
第一匹配单元402,用于通过预置的回包特征库分别对请求数据包和响应数据包进行匹配;
检测单元403,用于在匹配失败时,检测攻击是否有可利用的漏洞;
第一分析单元404,用于在检测结果为是时,对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;
第一确定单元405,用于在目标对象存在漏洞时,确定攻击成功;
第二分析单元406,用于在检测结果为不确定时,对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
需要说明的是,本实施例中各单元的作用与图1所述实施例中检测事中攻击的系统的作用类似,此处不再赘述。
本发明中,在通过采集单元401采集到攻击的请求数据包和响应数据包后,通过第一匹配单元402将预置的回包特征库分别与请求数据包和响应数据包进行匹配,在匹配失败时,通过检测单元403检测攻击是否有可利用的漏洞,若该攻击有可利用的漏洞,通过第一分析单元404将攻击与目标对象进行漏洞关联分析,从而判断该攻击是否成功;若不确定该攻击是否有可利用的漏洞时,则通过第二分析单元406进一步将请求数据包和响应数据包进行上下文关联分析,以确定该攻击是否成功及该攻击产生的影响。因为本发明采用预置的回包特征库进行检测,不仅对攻击的请求数据包进行匹配,还对攻击的响应数据包进行匹配,从而增加了攻击检测的准确度;其次,本发明在预置的回包特征库与请求数据包或响应数据包匹配失败时,进一步对该攻击进行漏洞关联分析及上下文关联分析,以确定该攻击是否成功及产生的影响,从而实现了该攻击的有效检测,提高了攻击检测的成功率及准确率。
基于图4所述的实施例,下面详细描述本发明实施例中检测事中攻击的系统,请求参阅图5,本发明实施例中检测事中攻击的系统的另一个实施例,包括:
采集单元501,用于采集攻击的请求数据包和响应数据包;
第一匹配单元502,用于通过预置的回包特征库分别对请求数据包和响应数据包进行匹配;
检测单元503,用于在匹配失败时,检测攻击是否有可利用的漏洞;
第一分析单元504,用于在检测结果为是时,对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;
第一确定单元505,用于在目标对象存在漏洞时,确定攻击成功;
第二分析单元506,用于在检测结果为不确定时,对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
优选的,该系统还包括:
第二确定单元507,用于匹配成功时,则确定攻击成功;
第三确定单元508,用于在目标对象不存在漏洞时,确定攻击失败;
其中,第一确定单元505,包括:
第一确定模块5051,用于在目标对象存在漏洞时,确定攻击成功;
第二确定模块5052,用于在攻击成功时,对请求数据包和响应数据包进行上下文关联分析,以确定攻击产生的影响。
优选的,上下文关联分析包括:
基线特征匹配和/或时间序列检测;
第二分析单元506,包括:
匹配模块5061,用于在检测结果为不确定时,对请求数据包和响应数据包进行基线特征匹配;
第三确定模块5062,用于在匹配成功时,确定攻击失败;
第四确定模块5063,用于在匹配失败时,确定攻击成功,再对请求数据包和响应数据包进行时间序列检测,以确定攻击产生的影响。
可选的,该系统还包括:
关联单元509,用于在确定攻击成功时,将攻击与全网的安全评估结果关联;
第一过滤单元510,用于对响应数据包进行过滤,以滤除无效的响应数据包;
第二过滤单元511,用于对攻击进行过滤,以滤除预置的攻击类型。
需要说明的是,本实施例中各单元及各模块的作用与图2所述实施例中检测事中攻击的系统的作用类似,此处不再赘述。
本发明中,在通过采集单元501采集到攻击的请求数据包和响应数据包后,通过第一匹配单元502将预置的回包特征库分别与请求数据包和响应数据包进行匹配,在匹配失败时,通过检测单元503检测攻击是否有可利用的漏洞,若该攻击有可利用的漏洞,通过第一分析单元504将攻击与目标对象进行漏洞关联分析,从而判断该攻击是否成功;若不确定该攻击是否有可利用的漏洞时,则通过第二分析单元506进一步将请求数据包和响应数据包进行上下文关联分析,以确定该攻击是否成功及该攻击产生的影响。因为本发明采用预置的回包特征库进行检测,不仅对攻击的请求数据包进行匹配,还对攻击的响应数据包进行匹配,从而增加了攻击检测的准确度;其次,本发明在预置的回包特征库与请求数据包或响应数据包匹配失败时,进一步对该攻击进行漏洞关联分析及上下文关联分析,以确定该攻击是否成功及产生的影响,从而实现了该攻击的有效检测,提高了攻击检测的成功率及准确率。
其次,本发明在采集到攻击的请求数据包和响应数据包后,通过第一过滤单元510和第二过滤单元511对响应数据包和攻击类型进行过滤,以滤除无效的响应数据包和预置的攻击类型,从而进一步提高了检测事中攻击方法的检测效率。
本发明还提供了一种防火墙,该防火墙包括本发明中的检测事中攻击的系统,其中,该检测事中攻击的系统可以与其他检测模块进行联动,以相互配合使用。
上面从模块化功能实体的角度对本发明实施例中的检测事中攻击的系统进行了描述,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
该计算机装置用于实现检测事中攻击的系统的功能,本发明实施例中计算机装置一个实施例包括:
处理器以及存储器;
存储器用于存储计算机程序,处理器用于执行存储器中存储的计算机程序时,可以实现如下步骤:
采集攻击的请求数据包和响应数据包;
通过预置的回包特征库分别对请求数据包和响应数据包进行匹配;
若匹配失败,检测攻击是否有可利用的漏洞;
若检测结果为是,则对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;
若目标对象存在漏洞,则确定攻击成功;
若检测结果为不确定,则对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
在本发明的一些实施例中,处理器,在通过预置的回包特征库分别对请求数据包和响应数据包进行匹配之后,还可以用于实现如下步骤:
若匹配成功,则确定攻击成功。
在本发明的一些实施例中,处理器,在对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞之后,还可以用于实现如下步骤:
若目标对象不存在漏洞,则确定攻击失败。
在本发明的一些实施例中,处理器,在确定攻击成功之后,还可以用于实现如下步骤:
对请求数据包和响应数据包进行上下文关联分析,以确定攻击产生的影响。
在本发明的一些实施例中,处理器,还可以具体用于实现如下步骤:
若检测结果为不确定,则对请求数据包和响应数据包进行基线特征匹配;
若匹配成功,则确定攻击失败;
若匹配失败,则确定攻击成功,再对请求数据包和响应数据包进行时间序列检测,以确定攻击产生的影响。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
在确定攻击成功时,将攻击与全网的安全评估结果关联。
在本发明的一些实施例中,处理器,在采集攻击的请求数据包和响应数据包之后,通过预置的回包特征库分别对请求数据包和响应数据包进行匹配之前,还可以用于实现如下步骤:
对响应数据包进行过滤,以滤除无效的响应数据包;
对攻击进行过滤,以滤除预置的攻击类型。
可以理解的是,上述说明的计算机装置中的处理器执行所述计算机程序时,也可以实现上述对应的各装置实施例中各单元的功能,此处不再赘述。示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述检测事中攻击的系统的执行过程。例如,所述计算机程序可以被分割成上述检测事中攻击的系统中的各单元,各单元可以实现如上述相应检测事中攻击的系统说明的具体功能。
所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解,处理器、存储器仅仅是计算机装置的示例,并不构成对计算机装置的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质用于实现网关设备一侧的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
采集攻击的请求数据包和响应数据包;
通过预置的回包特征库分别对请求数据包和响应数据包进行匹配;
若匹配失败,检测攻击是否有可利用的漏洞;
若检测结果为是,则对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞;
若目标对象存在漏洞,则确定攻击成功;
若检测结果为不确定,则对请求数据包和响应数据包进行上下文关联分析,以确定攻击是否成功及攻击产生的影响。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,在通过预置的回包特征库分别对请求数据包和响应数据包进行匹配之后,可以用于执行如下步骤:
若匹配成功,则确定攻击成功。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,在对攻击和目标对象进行漏洞关联分析,以确定目标对象是否存在漏洞之后,还可以用于执行如下步骤:
若目标对象不存在漏洞,则确定攻击失败。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,在确定攻击成功之后,还可以用于实现如下步骤:
对请求数据包和响应数据包进行上下文关联分析,以确定攻击产生的影响。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,还可以具体用于实现如下步骤:
若检测结果为不确定,则对请求数据包和响应数据包进行基线特征匹配;
若匹配成功,则确定攻击失败;
若匹配失败,则确定攻击成功,再对请求数据包和响应数据包进行时间序列检测,以确定攻击产生的影响。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,还可以用于实现如下步骤:
在确定攻击成功时,将攻击与全网的安全评估结果关联。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,在采集攻击的请求数据包和响应数据包之后,通过预置的回包特征库分别对请求数据包和响应数据包进行匹配之前,还可以用于实现如下步骤:
对响应数据包进行过滤,以滤除无效的响应数据包;
对攻击进行过滤,以滤除预置的攻击类型。
可以理解的是,所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在相应的一个计算机可读取存储介质中。基于这样的理解,本发明实现上述相应的实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种检测事中攻击的方法,其特征在于,包括:
采集攻击的请求数据包和响应数据包;
通过预置的回包特征库分别对所述请求数据包和所述响应数据包进行匹配;
若匹配失败,检测所述攻击是否有可利用的漏洞;
若所述检测结果为是,则对所述攻击和目标对象进行漏洞关联分析,以确定所述目标对象是否存在所述漏洞;
若所述目标对象存在所述漏洞,则确定所述攻击成功;
若所述检测结果为不确定,则对所述请求数据包和所述响应数据包进行上下文关联分析,以确定所述攻击是否成功及所述攻击产生的影响;
其中,所述上下文关联分析,包括:
基线特征匹配和/或时间序列检测;
所述若所述检测结果为不确定,则对所述请求数据包和所述响应数据包进行上下文关联分析,以确定所述攻击是否成功及所述攻击产生的影响,包括:
若所述检测结果为不确定,则对所述请求数据包和所述响应数据包进行基线特征匹配;
若匹配成功,则确定所述攻击失败;
若匹配失败,则确定所述攻击成功,再对所述请求数据包和所述响应数据包进行时间序列检测,以确定所述攻击产生的影响。
2.根据权利要求1所述的方法,其特征在于,在所述通过预置的回包特征库分别对所述请求数据包和所述响应数据包进行匹配之后,所述方法还包括:
若匹配成功,则确定所述攻击成功;
在所述对所述攻击和目标对象进行漏洞关联分析,以确定所述目标对象是否存在所述漏洞之后,所述方法还包括:
若所述目标对象不存在所述漏洞,则确定所述攻击失败;
在所述确定所述攻击成功之后,所述方法还包括:
对所述请求数据包和所述响应数据包进行上下文关联分析,以确定所述攻击产生的影响。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
在所述确定所述攻击成功时,将所述攻击与全网的安全评估结果关联。
4.根据权利要求1所述的方法,其特征在于,在所述采集攻击的请求数据包和响应数据包之后,所述通过预置的回包特征库分别对所述请求数据包和所述响应数据包进行匹配之前,所述方法还包括:
对所述响应数据包进行过滤,以滤除无效的响应数据包;
对所述攻击进行过滤,以滤除预置的攻击类型。
5.一种检测事中攻击的系统,其特征在于,包括:
采集单元,用于采集攻击的请求数据包和响应数据包;
第一匹配单元,用于通过预置的回包特征库分别对所述请求数据包和所述响应数据包进行匹配;
检测单元,用于在匹配失败时,检测所述攻击是否有可利用的漏洞;
第一分析单元,用于在所述检测结果为是时,对所述攻击和目标对象进行漏洞关联分析,以确定所述目标对象是否存在所述漏洞;
第一确定单元,用于在所述目标对象存在所述漏洞时,确定所述攻击成功;
第二分析单元,用于在所述检测结果为不确定时,对所述请求数据包和所述响应数据包进行上下文关联分析,以确定所述攻击是否成功及所述攻击产生的影响;
其中,所述上下文关联分析包括:
基线特征匹配和/或时间序列检测;
所述第二分析单元,包括:
匹配模块,用于在所述检测结果为不确定时,对所述请求数据包和所述响应数据包进行基线特征匹配;
第三确定模块,用于在匹配成功时,确定所述攻击失败;
第四确定模块,用于在匹配失败时,确定所述攻击成功,再对所述请求数据包和所述响应数据包进行时间序列检测,以确定所述攻击产生的影响。
6.根据权利要求5所述的系统,其特征在于,所述系统还包括:
第二确定单元,用于匹配成功时,则确定所述攻击成功;
第三确定单元,用于在所述目标对象不存在所述漏洞时,确定所述攻击失败;
所述第一确定单元,包括:
第一确定模块,用于在所述目标对象存在所述漏洞时,确定所述攻击成功;
第二确定模块,用于在所述攻击成功时,对所述请求数据包和所述响应数据包进行上下文关联分析,以确定所述攻击产生的影响。
7.根据权利要求5所述的系统,其特征在于,所述系统还包括:
关联单元,用于在所述确定所述攻击成功时,将所述攻击与全网的安全评估结果关联。
8.一种防火墙,其特征在于,包括如权利要求5至7中任一项所述的检测事中攻击的系统。
9.一种计算机装置,其特征在于,包括处理器,所述处理器在执行存储在存储器上的计算机程序时,用于实现如权利要求1至4中任一项所述检测事中攻击的方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,用于实现如权利要求1至4中任一项所述检测事中攻击的方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711022612.0A CN107659583B (zh) | 2017-10-27 | 2017-10-27 | 一种检测事中攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711022612.0A CN107659583B (zh) | 2017-10-27 | 2017-10-27 | 一种检测事中攻击的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107659583A CN107659583A (zh) | 2018-02-02 |
| CN107659583B true CN107659583B (zh) | 2020-08-04 |
Family
ID=61095559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711022612.0A Active CN107659583B (zh) | 2017-10-27 | 2017-10-27 | 一种检测事中攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107659583B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833185B (zh) * | 2018-06-29 | 2021-01-12 | 北京奇虎科技有限公司 | 一种网络攻击路线还原方法及系统 |
| CN108881265B (zh) * | 2018-06-29 | 2021-02-12 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
| CN108833186B (zh) * | 2018-06-29 | 2021-01-12 | 北京奇虎科技有限公司 | 一种网络攻击预测方法及装置 |
| CN108683687B (zh) * | 2018-06-29 | 2021-08-10 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
| CN108667854A (zh) * | 2018-06-29 | 2018-10-16 | 北京奇虎科技有限公司 | 网络漏洞检测方法及装置、网络漏洞自动发布系统 |
| CN109240922B (zh) * | 2018-08-30 | 2021-07-09 | 北京大学 | 基于RASP提取webshell软件基因进行webshell检测的方法 |
| CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN109067815B (zh) * | 2018-11-06 | 2021-11-19 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN110417717B (zh) * | 2018-12-06 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 登录行为的识别方法及装置 |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | 系统漏洞的检测方法、装置、终端设备及介质 |
| CN113489677B (zh) * | 2021-05-27 | 2022-06-07 | 贵州电网有限责任公司 | 一种基于语义上下文的零规则攻击检测方法及装置 |
| CN114006719B (zh) * | 2021-09-14 | 2023-10-13 | 国科信创科技有限公司 | 基于态势感知的ai验证方法、装置及系统 |
| CN113965363B (zh) * | 2021-10-11 | 2023-07-14 | 北京天融信网络安全技术有限公司 | 一种基于Web用户行为的漏洞研判方法和装置 |
| CN114499968A (zh) * | 2021-12-27 | 2022-05-13 | 奇安信科技集团股份有限公司 | 一种xss攻击检测方法及装置 |
| CN115314255B (zh) * | 2022-07-11 | 2023-12-29 | 深信服科技股份有限公司 | 攻击结果的检测方法、装置、计算机设备和存储介质 |
| CN115314322A (zh) * | 2022-10-09 | 2022-11-08 | 安徽华云安科技有限公司 | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 |
| CN115801468B (zh) * | 2023-02-09 | 2023-04-25 | 南京聚铭网络科技有限公司 | 一种零日漏洞攻击检测方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6785821B1 (en) * | 1999-01-08 | 2004-08-31 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
| CN1694454A (zh) * | 2005-05-10 | 2005-11-09 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| CN104767757A (zh) * | 2015-04-17 | 2015-07-08 | 国家电网公司 | 基于web业务的多维度安全监测方法和系统 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN105357179A (zh) * | 2015-09-29 | 2016-02-24 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
| US9712490B1 (en) * | 2007-08-08 | 2017-07-18 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
-
2017
- 2017-10-27 CN CN201711022612.0A patent/CN107659583B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6785821B1 (en) * | 1999-01-08 | 2004-08-31 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
| CN1694454A (zh) * | 2005-05-10 | 2005-11-09 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| US9712490B1 (en) * | 2007-08-08 | 2017-07-18 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| CN104767757A (zh) * | 2015-04-17 | 2015-07-08 | 国家电网公司 | 基于web业务的多维度安全监测方法和系统 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN105357179A (zh) * | 2015-09-29 | 2016-02-24 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107659583A (zh) | 2018-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| US11405419B2 (en) | Preventing advanced persistent threat attack | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| JP6432210B2 (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
| CN109302426B (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| CN110119619B (zh) | 创建防病毒记录的系统和方法 | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN107566420B (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| KR20170024428A (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| CN112351017A (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
| Onik et al. | A novel approach for network attack classification based on sequential questions | |
| CN114268452A (zh) | 一种网络安全防护方法及系统 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| KR101468798B1 (ko) | 파밍 탐지 및 차단 장치, 이를 이용한 방법 | |
| CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |