CN108650249A - Poc攻击检测方法、装置、计算机设备和存储介质 - Google Patents
Poc攻击检测方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN108650249A CN108650249A CN201810387767.2A CN201810387767A CN108650249A CN 108650249 A CN108650249 A CN 108650249A CN 201810387767 A CN201810387767 A CN 201810387767A CN 108650249 A CN108650249 A CN 108650249A
- Authority
- CN
- China
- Prior art keywords
- character
- poc
- feature
- cryptographic hash
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种POC攻击检测方法、装置、计算机设备和存储介质。所述方法包括:获取访问请求;提取所述访问请求中的每个字符作为特征,得到字符特征集;确定所述字符特征集与预设POC攻击特征库的特征相似度;根据确定的特征相似度生成所述访问请求的检测结果;当所述检测结果为所述访问请求为POC攻击请求时,生成警告信息。采用本方法能够POC攻击访问请求的检测准确率。
Description
技术领域
本申请涉及网络数据处理技术领域,特别是涉及一种POC攻击检测方法、装置、计算机设备和存储介质。
背景技术
随着网络技术的发展,各种网络安全方面的问题也日益凸显。网络服务器容易受到各种恶意攻击,恶意攻击很容易导致网络服务器的瘫痪,从而导致正常用户不能对网络服务器上的服务进行访问。
然而,随着CVE(Common Vulnerabilities&Exposures,公共漏洞和暴露)的漏洞爆出,攻击者能够基于爆出的漏洞快速利用POC(Proof of concept,概念验证)或POC变种对网络服务器上的服务进行攻击。随着网络安全的需求越高,传统的检测方法,是建立POC病毒库,根据POC病毒库对POC攻击访问请求进行检测,但是并不能对POC变种进行检测,导致检测POC攻击的准确率较低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高POC攻击检测准确率的POC攻击检测方法、装置、计算机设备和存储介质。
一种POC攻击检测方法,所述方法包括:
获取访问请求;
提取所述访问请求中的每个字符作为特征,得到字符特征集;
确定所述字符特征集与预设POC攻击特征库的特征相似度;
根据确定的特征相似度生成所述访问请求的检测结果;
当所述检测结果为所述访问请求为POC攻击请求时,生成警告信息。
在其中一个实施例中,所述获取访问请求之前,包括:
接收终端通过POC攻击程序生成的POC攻击请求;
从接收到的POC攻击请求中提取每个字符;
根据预设哈希值生成算法,生成所述每个字符对应的哈希值;
将所述每个字符对应的哈希值存储在预设POC攻击特征库中。
在其中一个实施例中,所述将所述每个字符对应的哈希值存储在预设POC攻击特征库中之后,还包括:
接收终端发送的特征库查询请求;
根据所述特征库查询请求从所述预设POC攻击特征库中,提取所述每个字符对应的哈希值;
将提取到的哈希值返回至所述终端;
接收所述终端对所述提取到的哈希值的权重配置请求;
根据所述权重配置请求对所述预设POC攻击特征库中哈希值配置权重系数。
在其中一个实施例中,所述确定所述字符特征集与所述预设POC攻击特征库的特征相似度,包括:
根据所述字符特征集中每个字符生成特征字符队列;
从所述特征字符队列中读取特征字符;
根据所述预设哈希值生成算法,生成所述读取到的特征字符对应的哈希值,得到所述字符特征集对应的字符哈希值集合;
根据所述字符哈希值集合中的哈希值与所述预设POC攻击特征库中的哈希值,计算特征相似度。
在其中一个实施例中,所述根据所述字符哈希值集合中的哈希值与所述预设POC攻击特征库中的哈希值,计算特征相似度,包括:
读取所述字符哈希值集合中的哈希值;
从所述预设POC攻击特征库中查询与读取到的哈希值对应的权重系数,得到所述字符哈希值集合对应的权重系数集合;
根据所述权重系数集合中的权重系数,计算所述字符特征集与所述预设POC攻击特征库的特征相似度。
在其中一个实施例中,所述根据确定的相似度生成所述访问请求的检测结果,包括:
将所述确定的特征相似度与预设相似度阈值进行比较,得到比较结果;
根据比较结果确定所述访问请求的请求类型;
根据确定的请求类型生成所述访问请求的检测结果。
在其中一个实施例中,所述当所述检测结果为所述访问请求为POC攻击请求时,生成警告信息之后,还包括:
对所述访问请求的数据流按照预设字节数进行分割,得到所述访问请求的每个特征字符;
根据得到的特征字符对所述预设POC攻击特征库中的特征进行更新。
一种POC攻击检测装置,所述装置包括:
请求获取模块,用于获取访问请求;
字符提取模块,用于提取所述访问请求中的每个字符作为特征,得到字符特征集;
相似度确定模块,用于确定所述字符特征集与预设POC攻击特征库的特征相似度;
请求检测模块,用于根据确定的特征相似度生成所述访问请求的检测结果;
警告生成模块,用于当所述检测结果为所述访问请求为POC攻击请求时,生成警告信息。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取访问请求;
提取所述访问请求中的每个字符作为特征,得到字符特征集;
确定所述字符特征集与预设POC攻击特征库的特征相似度;
根据确定的特征相似度生成所述访问请求的检测结果;
当所述检测结果为所述访问请求为POC攻击请求时,生成警告信息。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取访问请求;
提取所述访问请求中的每个字符作为特征,得到字符特征集;
确定所述字符特征集与预设POC攻击特征库的特征相似度;
根据确定的特征相似度生成所述访问请求的检测结果;
当所述检测结果为所述访问请求为POC攻击请求时,生成警告信息。
上述POC攻击检测方法、装置、计算机设备和存储介质,在获取到访问请求后,提取访问请求中的每个字符作为特征,得到字符特征集,确定字符特征集与预设POC攻击特征库的特征相似度,根据确定的特征相似度生产对访问请求的检测结果,并在检测到访问请求为POC攻击请求时,生成警告信息。通过确定字符特征集与预设POC攻击特征中的特征相似度,检测访问请求是否为POC攻击请求,保证可以对携带有POC病毒以及POC变种病毒的访问请求进行检测,提高对POC攻击访问请求的检测准确率。
附图说明
图1为一个实施例中POC攻击检测方法的应用场景图;
图2为一个实施例中POC攻击检测方法的流程示意图;
图3为一个实施例中在预设POC攻击特征库中存储哈希值的步骤的流程示意图;
图4为一个实施例中计算特征相似度的步骤的流程示意图;
图5为一个实施例中根据权重系数计算特征相似度的步骤的流程示意图;
图6为一个实施例中POC攻击检测装置的结构框图;
图7为另一个实施例中POC攻击检测装置的结构框图;
图8为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的POC攻击检测方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104通过网络进行通信。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种POC攻击检测方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
S202,获取访问请求。
具体地,终端在接收到用户输入的访问指令时,提取访问指令中的访问数据,对提取到的访问数据进行封装生成访问请求,按照访问请求中的服务器地址将访问请求发送至服务器。服务器接收终端发送的访问请求。
S204,提取访问请求中的每个字符作为特征,得到字符特征集。
具体地,服务器在接收到访问请求后,对访问请求进行解析,通过解析对访问请求的访问数据中提取每个字符,并以每个提取到的字符作为特征,根据提取到特征构成字符特征集。字符特征集中包括从访问请求中提取到的每个字符。
S206,确定字符特征集与预设POC攻击特征库的特征相似度。
具体地,服务器中设置有预设POC攻击特征库,预设POC攻击特征库中存储有POC攻击请求的特征。服务器根据字符特征集中的特征和预设POC攻击特征库中的特征,计算字符特征集与预设POC攻击特征库的特征相似度。其中,计算得到的特征相似度用于表示访问请求与POC攻击访问请求的相似度。
S208,根据确定的特征相似度生成访问请求的检测结果。
具体地,服务器确定特征相似度之后,获取预设相似度阈值,将确定的特征相似度与预设相似度阈值进行比较,通过比较得到检测结果。检测结果用于表示访问请求是否为POC攻击请求。
在一个实施例中,服务器在将确定的特征相似度与预设相似度阈值进行比较,若特征相似度大于等于预设相似度阈值,则判定访问请求为POC攻击请求;若特征相似度小于预设相似度阈值,则判定访问请求不是POC攻击请求。
在一个实施例中,服务器将确定的特征相似度与预设相似度阈值进行比较,将特征相似度减去预设相似度得到相似度差,查询与相似度差所属相似度差值范围对应的检测结果。检测结果具体可以包括POC攻击请求和正常访问请求,其中POC攻击请求包括POC病毒请求和POC病毒变种请求。
在一个实施例中,S208具体包括以下内容:将确定的特征相似度与预设相似度阈值进行比较,得到比较结果;根据比较结果确定访问请求的请求类型;根据确定的请求类型生成访问请求的检测结果。
其中,请求类型包括正常类型、POC病毒类型和POC病毒变种类型。检测结果包括访问请求为正常访问请求和POC攻击访问请求;正常类型对应的检测结果为访问请求为正常访问请求;POC病毒类型和POC病毒变种类型对应的检测结果为访问请求为POC攻击访问请求。
具体地,服务器将确定的特征相似度与预设相似度阈值进行比较,将特征相似度减去预设相似度得到相似度差得到比较结果,查询与比较结果中相似度差所属相似度差值范围对应的请求类型,根据确定的请求类型生成访问请求的检测结果。
S210,当检测结果为访问请求为POC攻击请求时,生成警告信息。
具体地,当检测结果表示访问请求为POC攻击请求时,提取访问请求中的终端地址,根据访问请求生成警告信息,将警告信息发送至终端地址对应的终端,并拒绝访问请求。
在一个实施例中,当检测结果为访问请求为正常访问请求时,根据正常发访问请求向终端返回数据。
本实施例中,在获取到访问请求后,提取访问请求中的每个字符作为特征,得到字符特征集,确定字符特征集与预设POC攻击特征库的特征相似度,根据确定的特征相似度生产对访问请求的检测结果,并在检测到访问请求为POC攻击请求时,生成警告信息。通过确定字符特征集与预设POC攻击特征中的特征相似度,检测访问请求是否为POC攻击请求,保证可以对携带有POC病毒以及POC变种病毒的访问请求进行检测,提高对POC攻击访问请求的检测准确率。
在一个实施例中,如图3所示,S202之前具体还包括在预设POC攻击特征库中存储哈希值的步骤,该步骤具体包括以下内容:
S302,接收终端通过POC攻击程序生成的POC攻击请求。
具体地,终端中安装有POC攻击程序,POC攻击程序用于根据输入的攻击请求生成信息生成POC攻击请求的程序。终端在检测到POC攻击程序的触发指令时,通过POC攻击程序生成大量的POC攻击请求,将生成的POC攻击请求发送至服务器。服务器接收终端发送的POC攻击请求。
S304,从接收到的POC攻击请求中提取每个字符。
具体地,服务器在接收到终端发送的POC攻击请求后,对于每个POC攻击请求对应的数据流,按照预设字节数进行分割,通过分割得到每个字符。例如,预设字节数可以是8字节或16字节。
S306,根据预设哈希值生成算法,生成每个字符对应的哈希值。
具体地,服务器在提取到每个字符后,调用预设哈希值生成算法对提取到的字符进行计算,得到该字符对应的哈希值,从而得到每个字符对应的哈希值。
S308,将每个字符对应的哈希值存储在预设POC攻击特征库中。
具体地,服务器在得到每个字符对应的哈希值,在得到的哈希值中查询是否存在相同的哈希值,若存在,则从相同的哈希值中提取一个哈希值进行保留,以对哈希值进行去重处理,将经过去重处理的哈希值存储在预设POC攻击特征库中。
S310,接收终端发送的特征库查询请求。
具体地,终端可以通过网络对服务器中的预设POC攻击特征库的进行访问。终端向服务器发送特征库查询请求。
S312,根据特征库查询请求从预设POC攻击特征库中,提取每个字符对应的哈希值。
具体地,服务器接收到终端发送的特征查询指令,对特征查询指令中的终端地址进行验证,若验证通过,则从预设POC攻击特征库中提取每个字符对应的哈希值。
S314,将提取到的哈希值返回至终端。
具体地,服务器将提取到的哈希值返回至终端。终端接收到哈希值后,对哈希值记性解析得到哈希值对应的字符,将哈希值和与哈希值对应的字符对应展示。
S316,接收终端对提取到的哈希值的权重配置请求。
具体地,终端检测到展示的哈希值与哈希值对应的字符的页面中权重系数输入指令,获取哈希值对应的权重系数,根据获取到的哈希值和哈希值对应的权重系数生成权重配置请求,将权重配置请求发送至服务器。服务器接收终端发送的权重配置请求。
S318,根据权重配置请求对预设POC攻击特征库中哈希值配置权重系数。
具体地,服务器在接收到权重配置请求后,对权重配置请求进行解析,通过解析提取权重配置请求中的哈希值和哈希值对应的权重系数,在预设POC攻击特征库中查询提取到的哈希值,将哈希值对应的权重系数对应存储在预设POC攻击特征库。服务器可以是统一对预设POC攻击特征库中哈希值的权重系数进行配置,也可以逐个对预设POC攻击特征库中哈希值的权重系数进行配置。
在一个实施例中,服务器对权重配置请求进行解析,通过解析提取到哈希值和哈希值对应的权重系数表,将提取到的权重系数表存储在预设POC攻击特征库中,完成对预设特征库中哈希值的权重系数的配置。权重系数表中包括预设POC攻击特征库中的哈希值和与哈希值对应的权重系数。
本实施例中,将每个字符计算得到哈希值,将哈希值存储在预设POC攻击特征库中,减少了预设POC攻击特征库的所占用的存储空间。还可以对存储在预设POC攻击特征库中的哈希值配置权重系数,以便通过权重系数计算特征相似度,提高特征相似度的计算准确率。
在一个实施例中,如图4所示,S206具体包括计算特征相似度的步骤,该步骤具体包括以下内容:
S402,根据字符特征集中每个字符生成特征字符队列。
具体地,服务器读取字符特征集中读取字符,将读取到的字符按照读取顺序进行排列,经过按照读取顺序进行排列的字符生成特征字符队列。
S404,从特征字符队列中读取特征字符。
具体地,服务器在生成特征字符队列后,按照队列顺序从特征字符队列中读取特征字符。
S406,根据预设哈希值生成算法,生成读取到的特征字符对应的哈希值,得到字符特征集对应的字符哈希值集合。
具体地,服务器在读取到特征字符后,调用预设哈希值生成算法,对读取到的特征字符进行计算,通过计算得到读取到的特征字符对应的哈希值,从而得到字符特征集中每个字符对应的哈希值,根据得到的哈希值作为字符哈希值集合。
S408,根据字符哈希值集合中的哈希值与预设POC攻击特征库中的哈希值,计算特征相似度。
具体地,服务器统计预设POC攻击特征库中的哈希值总数,检测字符哈希值集合中哈希值在预设POC攻击特征库中是否存在相同的哈希值,统计字符哈希值集合中包含在预设POC攻击特征库中的哈希值的数量,将统计到的哈希值数量除以预设POC攻击特征库中的哈希值总数得到特征相似度。
本实施例中,根据字符特征集中每个字符生成特征字符队列,从特征字符队列中读取特征字符,调用预设哈希值生成算法对读取到的特征字符进行计算哈希值,避免单位时间内需要大量计算哈希值所占用较多运算资源,从而降低计算效率的情况,通过对特征字符队列中的字符的哈希值进行有序计算,从而提高了哈希值的计算效率,进一步提高了特征相似度的计算效率。
在一个实施例中,如图5所示,S408具体包括根据权重系数计算特征相似度的步骤,该步骤具体包括以下内容:
S502,读取字符哈希值集合中的哈希值。
具体地,字符哈希值集合由与访问请求中的每个字符对应的哈希值构成。服务器从字符哈希值集合中读取每个字符对应的哈希值。
S504,从预设POC攻击特征库中查询与读取到的哈希值对应的权重系数,得到字符哈希值集合对应的权重系数集合。
具体地,预设POC攻击特征库存储着特征字符对应的哈希值,与哈希值对应的权重系数。服务器从预设POC攻击特征库中查询与读取到的哈希值对应的权重系数,提取查询到的与每个哈希值对应的权重系数,得到字符哈希值集合对应的权重系数集合。
S506,根据权重系数集合中的权重系数,计算字符特征集与预设POC攻击特征库的特征相似度。
具体地,服务器对权重系数集合中的权重系数进行相加,得到权重系数集合对应的权重和,提取预设POC攻击特征库中的权重系数,并对提取到的权重系数进行求和得到预设POC攻击特征库对应的权重总和,将权重系数集合对应的权重和除以预设POC攻击特征库对应的权重总和,得到字符特征集与预设POC攻击特征库的特征相似度。
本实施例中,根据每个特征字符的哈希值对应的权重系数计算字符特征集与预设POC攻击特征库的特征相似度,提高了特征相似度的计算准确度,进一步提高了根据特征相似度检测POC攻击的准确率。
在一个实施例中,S210之后具体还包括以下内容:对访问请求的数据流按照预设字节数进行分割,得到访问请求的每个特征字符;根据得到的特征字符对预设POC攻击特征库中的特征进行更新。
具体地,当检测结果为访问请求为POC攻击请求时,服务器对访问请求的数据流按照预设字节数进行分割,通过分割得到访问请求的每个特征字符,在预设POC攻击特征库中的查询是否存在得到的特征字符,将为查询到的特征字符存储至预设POC攻击特征库中,以对预设POC攻击特征库中的特征字符进行更新。
在一个实施例中,服务器对分割得到的每个特征字符,调用预设哈希值生成算法计算每个特征字符的哈希值,根据计算到的哈希值对预设POC攻击特征库中的哈希值进行更新。
本实施例中,从检测到的POC攻击请求中提取字符特征,根据提取到的字符特征对预设POC攻击特征库中的字符特征进行更新,保证了预设POC攻击特征库中字符特征的准确性,提高对POC攻击请求的检测准确率。
应该理解的是,虽然图2-5的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-5中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图6所示,提供了一种POC攻击检测装置600,包括:请求获取模块602、字符提取模块604、相似度确定模块606、请求检测模块608和警告生成模块610,其中:
请求获取模块602,用于获取访问请求。
字符提取模块604,用于提取访问请求中的每个字符作为特征,得到字符特征集。
相似度确定模块606,用于确定字符特征集与预设POC攻击特征库的特征相似度。
请求检测模块608,用于根据确定的特征相似度生成访问请求的检测结果。
警告生成模块610,用于当检测结果为访问请求为POC攻击请求时,生成警告信息。
本实施例中,在获取到访问请求后,提取访问请求中的每个字符作为特征,得到字符特征集,确定字符特征集与预设POC攻击特征库的特征相似度,根据确定的特征相似度生产对访问请求的检测结果,并在检测到访问请求为POC攻击请求时,生成警告信息。通过确定字符特征集与预设POC攻击特征中的特征相似度,检测访问请求是否为POC攻击请求,保证可以对携带有POC病毒以及POC变种病毒的访问请求进行检测,提高对POC攻击访问请求的检测准确率。
在一个实施例中,请求检测模块608还用于将确定的特征相似度与预设相似度阈值进行比较,得到比较结果;根据比较结果确定访问请求的请求类型;根据确定的请求类型生成访问请求的检测结果。
在一个实施例中,如图7所示,POC攻击检测装置600具体还包括:哈希值生成模块612、权重配置模块614和特征库更新模块616。
哈希值生成模块612,用于接收终端通过POC攻击程序生成的POC攻击请求;从接收到的POC攻击请求中提取每个字符;根据预设哈希值生成算法,生成每个字符对应的哈希值;将每个字符对应的哈希值存储在预设POC攻击特征库中。
权重配置模块614,用于接收终端发送的特征库查询请求;根据特征库查询请求从预设POC攻击特征库中,提取每个字符对应的哈希值;将提取到的哈希值返回至终端;接收终端对提取到的哈希值的权重配置请求;根据权重配置请求对预设POC攻击特征库中哈希值配置权重系数。
特征库更新模块616,用于对访问请求的数据流按照预设字节数进行分割,得到访问请求的每个特征字符;根据得到的特征字符对预设POC攻击特征库中的特征进行更新。
本实施例中,将每个字符计算得到哈希值,将哈希值存储在预设POC攻击特征库中,减少了预设POC攻击特征库的所占用的存储空间。还可以对存储在预设POC攻击特征库中的哈希值配置权重系数,以便通过权重系数计算特征相似度,提高特征相似度的计算准确率。从检测到的POC攻击请求中提取字符特征,根据提取到的字符特征对预设POC攻击特征库中的字符特征进行更新,保证了预设POC攻击特征库中字符特征的准确性,提高对POC攻击请求的检测准确率。
在一个实施例中,相似度确定模块606还用于根据字符特征集中每个字符生成特征字符队列;从特征字符队列中读取特征字符;根据预设哈希值生成算法,根据读取到的特征字符生成读取到的特征字符对应的哈希值,得到字符特征集对应的字符哈希值集合;根据字符哈希值集合中的哈希值与预设POC攻击特征库中的哈希值,计算特征相似度。
本实施例中,根据字符特征集中每个字符生成特征字符队列,从特征字符队列中读取特征字符,根据预设哈希值生成算法对读取到的特征字符进行计算哈希值,避免单位时间内需要大量计算哈希值所占用较多运算资源,从而降低计算效率的情况,通过对特征字符队列中的字符的哈希值进行有序计算,从而提高了哈希值的计算效率,进一步提高了特征相似度的计算效率。
在一个实施例中,相似度确定模块606还用于读取字符哈希值集合中的哈希值;从预设POC攻击特征库中查询与读取到的哈希值对应的权重系数,得到字符哈希值集合对应的权重系数集合;根据权重系数集合中的权重系数,计算字符特征集与预设POC攻击特征库的特征相似度。
本实施例中,根据每个特征字符的哈希值对应的权重系数计算字符特征集与预设POC攻击特征库的特征相似度,提高了特征相似度的计算准确度,进一步提高了根据特征相似度检测POC攻击的准确率。
关于POC攻击检测装置的具体限定可以参见上文中对于POC攻击检测方法的限定,在此不再赘述。上述POC攻击检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图Y所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储POC攻击检测数据,数据库中预设POC攻击特征库,预设POC攻击特征库中包括预设POC攻击检测数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种POC攻击检测方法。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行计算机程序时实现以下步骤:获取访问请求;提取访问请求中的每个字符作为特征,得到字符特征集;确定字符特征集与预设POC攻击特征库的特征相似度;根据确定的特征相似度生成访问请求的检测结果;当检测结果为访问请求为POC攻击请求时,生成警告信息。
在一个实施例中,获取访问请求之前,处理器执行计算机程序时还实现以下步骤:接收终端通过POC攻击程序生成的POC攻击请求;从接收到的POC攻击请求中提取每个字符;根据预设哈希值生成算法,生成每个字符对应的哈希值;将每个字符对应的哈希值存储在预设POC攻击特征库中。
在一个实施例中,将每个字符对应的哈希值存储在预设POC攻击特征库中之后,处理器执行计算机程序时还实现以下步骤:接收终端发送的特征库查询请求;根据特征库查询请求从预设POC攻击特征库中,提取每个字符对应的哈希值;将提取到的哈希值返回至终端;接收终端对提取到的哈希值的权重配置请求;根据权重配置请求对预设POC攻击特征库中哈希值配置权重系数。
在一个实施例中,确定字符特征集与预设POC攻击特征库的特征相似度,包括:根据字符特征集中每个字符生成特征字符队列;从特征字符队列中读取特征字符;根据预设哈希值生成算法,生成读取到的特征字符对应的哈希值,得到字符特征集对应的字符哈希值集合;根据字符哈希值集合中的哈希值与预设POC攻击特征库中的哈希值,计算特征相似度。
在一个实施例中,根据字符哈希值集合中的哈希值与预设POC攻击特征库中的哈希值,计算特征相似度,包括:读取字符哈希值集合中的哈希值;从预设POC攻击特征库中查询与读取到的哈希值对应的权重系数,得到字符哈希值集合对应的权重系数集合;根据权重系数集合中的权重系数,计算字符特征集与预设POC攻击特征库的特征相似度。
在一个实施例中,根据确定的相似度生成访问请求的检测结果,包括:将确定的特征相似度与预设相似度阈值进行比较,得到比较结果;根据比较结果确定访问请求的请求类型;根据确定的请求类型生成访问请求的检测结果。
在一个实施例中,当检测结果为访问请求为POC攻击请求时,生成警告信息之后,处理器执行计算机程序时还实现以下步骤:对访问请求的数据流按照预设字节数进行分割,得到访问请求的每个特征字符;根据得到的特征字符对预设POC攻击特征库中的特征进行更新。
本实施例中,在获取到访问请求后,提取访问请求中的每个字符作为特征,得到字符特征集,确定字符特征集与预设POC攻击特征库的特征相似度,根据确定的特征相似度生产对访问请求的检测结果,并在检测到访问请求为POC攻击请求时,生成警告信息。通过确定字符特征集与预设POC攻击特征中的特征相似度,检测访问请求是否为POC攻击请求,保证可以对携带有POC病毒以及POC变种病毒的访问请求进行检测,提高对POC攻击访问请求的检测准确率。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:获取访问请求;提取访问请求中的每个字符作为特征,得到字符特征集;确定字符特征集与预设POC攻击特征库的特征相似度;根据确定的特征相似度生成访问请求的检测结果;当检测结果为访问请求为POC攻击请求时,生成警告信息。
在一个实施例中,获取访问请求之前,计算机程序被处理器执行时还实现以下步骤:接收终端通过POC攻击程序生成的POC攻击请求;从接收到的POC攻击请求中提取每个字符;根据预设哈希值生成算法,生成每个字符对应的哈希值;将每个字符对应的哈希值存储在预设POC攻击特征库中。
在一个实施例中,将每个字符对应的哈希值存储在预设POC攻击特征库中之后,计算机程序被处理器执行时还实现以下步骤:接收终端发送的特征库查询请求;根据特征库查询请求从预设POC攻击特征库中,提取每个字符对应的哈希值;将提取到的哈希值返回至终端;接收终端对提取到的哈希值的权重配置请求;根据权重配置请求对预设POC攻击特征库中哈希值配置权重系数。
在一个实施例中,确定字符特征集与预设POC攻击特征库的特征相似度,包括:根据字符特征集中每个字符生成特征字符队列;从特征字符队列中读取特征字符;根据预设哈希值生成算法,生成读取到的特征字符对应的哈希值,得到字符特征集对应的字符哈希值集合;根据字符哈希值集合中的哈希值与预设POC攻击特征库中的哈希值,计算特征相似度。
在一个实施例中,根据字符哈希值集合中的哈希值与预设POC攻击特征库中的哈希值,计算特征相似度,包括:读取字符哈希值集合中的哈希值;从预设POC攻击特征库中查询与读取到的哈希值对应的权重系数,得到字符哈希值集合对应的权重系数集合;根据权重系数集合中的权重系数,计算字符特征集与预设POC攻击特征库的特征相似度。
在一个实施例中,根据确定的相似度生成访问请求的检测结果,包括:将确定的特征相似度与预设相似度阈值进行比较,得到比较结果;根据比较结果确定访问请求的请求类型;根据确定的请求类型生成访问请求的检测结果。
在一个实施例中,当检测结果为访问请求为POC攻击请求时,生成警告信息之后,计算机程序被处理器执行时还实现以下步骤:对访问请求的数据流按照预设字节数进行分割,得到访问请求的每个特征字符;根据得到的特征字符对预设POC攻击特征库中的特征进行更新。
本实施例中,在获取到访问请求后,提取访问请求中的每个字符作为特征,得到字符特征集,确定字符特征集与预设POC攻击特征库的特征相似度,根据确定的特征相似度生产对访问请求的检测结果,并在检测到访问请求为POC攻击请求时,生成警告信息。通过确定字符特征集与预设POC攻击特征中的特征相似度,检测访问请求是否为POC攻击请求,保证可以对携带有POC病毒以及POC变种病毒的访问请求进行检测,提高对POC攻击访问请求的检测准确率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种POC攻击检测方法,所述方法包括:
获取访问请求;
提取所述访问请求中的每个字符作为特征,得到字符特征集;
确定所述字符特征集与预设POC攻击特征库的特征相似度;
根据确定的特征相似度生成所述访问请求的检测结果;
当所述检测结果为所述访问请求为POC攻击请求时,生成警告信息。
2.根据权利要求1所述的方法,其特征在于,所述获取访问请求之前,包括:
接收终端通过POC攻击程序生成的POC攻击请求;
从接收到的POC攻击请求中提取每个字符;
根据预设哈希值生成算法,生成所述每个字符对应的哈希值;
将所述每个字符对应的哈希值存储在预设POC攻击特征库中。
3.根据权利要求2所述的方法,其特征在于,所述将所述每个字符对应的哈希值存储在预设POC攻击特征库中之后,还包括:
接收终端发送的特征库查询请求;
根据所述特征库查询请求从所述预设POC攻击特征库中,提取所述每个字符对应的哈希值;
将提取到的哈希值返回至所述终端;
接收所述终端对所述提取到的哈希值的权重配置请求;
根据所述权重配置请求对所述预设POC攻击特征库中哈希值配置权重系数。
4.根据权利要求3所述的方法,其特征在于,所述确定所述字符特征集与所述预设POC攻击特征库的特征相似度,包括:
根据所述字符特征集中每个字符生成特征字符队列;
从所述特征字符队列中读取特征字符;
根据所述预设哈希值生成算法,生成所述读取到的特征字符对应的哈希值,得到所述字符特征集对应的字符哈希值集合;
根据所述字符哈希值集合中的哈希值与所述预设POC攻击特征库中的哈希值,计算特征相似度。
5.根据权利要求4所述的方法,其特征在于,所述根据所述字符哈希值集合中的哈希值与所述预设POC攻击特征库中的哈希值,计算特征相似度,包括:
读取所述字符哈希值集合中的哈希值;
从所述预设POC攻击特征库中查询与读取到的哈希值对应的权重系数,得到所述字符哈希值集合对应的权重系数集合;
根据所述权重系数集合中的权重系数,计算所述字符特征集与所述预设POC攻击特征库的特征相似度。
6.根据权利要求1所述的方法,其特征在于,所述根据确定的相似度生成所述访问请求的检测结果,包括:
将所述确定的特征相似度与预设相似度阈值进行比较,得到比较结果;
根据比较结果确定所述访问请求的请求类型;
根据确定的请求类型生成所述访问请求的检测结果。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述当所述检测结果为所述访问请求为POC攻击请求时,生成警告信息之后,还包括:
对所述访问请求的数据流按照预设字节数进行分割,得到所述访问请求的每个特征字符;
根据得到的特征字符对所述预设POC攻击特征库中的特征进行更新。
8.一种POC攻击检测装置,其特征在于,所述装置包括:
请求获取模块,用于获取访问请求;
字符提取模块,用于提取所述访问请求中的每个字符作为特征,得到字符特征集;
相似度确定模块,用于确定所述字符特征集与预设POC攻击特征库的特征相似度;
请求检测模块,用于根据确定的特征相似度生成所述访问请求的检测结果;
警告生成模块,用于当所述检测结果为所述访问请求为POC攻击请求时,生成警告信息。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810387767.2A CN108650249B (zh) | 2018-04-26 | 2018-04-26 | Poc攻击检测方法、装置、计算机设备和存储介质 |
| PCT/CN2018/095589 WO2019205300A1 (zh) | 2018-04-26 | 2018-07-13 | Poc攻击检测方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810387767.2A CN108650249B (zh) | 2018-04-26 | 2018-04-26 | Poc攻击检测方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108650249A true CN108650249A (zh) | 2018-10-12 |
| CN108650249B CN108650249B (zh) | 2021-07-27 |
Family
ID=63748012
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810387767.2A Active CN108650249B (zh) | 2018-04-26 | 2018-04-26 | Poc攻击检测方法、装置、计算机设备和存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108650249B (zh) |
| WO (1) | WO2019205300A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112003824A (zh) * | 2020-07-20 | 2020-11-27 | 中国银联股份有限公司 | 攻击检测方法、装置及计算机可读存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113422785B (zh) * | 2021-08-20 | 2021-11-09 | 北京生泰尔科技股份有限公司 | 基于网络流量的恶意攻击检测方法、系统和可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101534306A (zh) * | 2009-04-14 | 2009-09-16 | 深圳市腾讯计算机系统有限公司 | 一种钓鱼网站的检测方法及装置 |
| US20110252475A1 (en) * | 2010-02-18 | 2011-10-13 | Raymond Mui | Complementary Character Encoding for Preventing Input Injection in Web Applications |
| CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
| CN106682505A (zh) * | 2016-05-04 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种病毒检测方法、终端、服务器及系统 |
| CN106982188A (zh) * | 2016-01-15 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 恶意传播源的检测方法及装置 |
| CN107273748A (zh) * | 2017-05-23 | 2017-10-20 | 成都联宇云安科技有限公司 | 一种基于漏洞poc实现安卓系统漏洞检测的方法 |
| CN107577947A (zh) * | 2017-08-14 | 2018-01-12 | 携程旅游信息技术(上海)有限公司 | 信息系统的漏洞检测方法、系统、存储介质和电子设备 |
| CN107644162A (zh) * | 2017-09-04 | 2018-01-30 | 北京知道未来信息技术有限公司 | 一种Web攻击识别方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104519008B (zh) * | 2013-09-26 | 2018-05-15 | 北大方正集团有限公司 | 跨站脚本攻击防御方法和装置、应用服务器 |
| CN107204991A (zh) * | 2017-07-06 | 2017-09-26 | 深信服科技股份有限公司 | 一种服务器异常检测方法及系统 |
-
2018
- 2018-04-26 CN CN201810387767.2A patent/CN108650249B/zh active Active
- 2018-07-13 WO PCT/CN2018/095589 patent/WO2019205300A1/zh active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101534306A (zh) * | 2009-04-14 | 2009-09-16 | 深圳市腾讯计算机系统有限公司 | 一种钓鱼网站的检测方法及装置 |
| US20110252475A1 (en) * | 2010-02-18 | 2011-10-13 | Raymond Mui | Complementary Character Encoding for Preventing Input Injection in Web Applications |
| CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
| CN106982188A (zh) * | 2016-01-15 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 恶意传播源的检测方法及装置 |
| CN106682505A (zh) * | 2016-05-04 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种病毒检测方法、终端、服务器及系统 |
| CN107273748A (zh) * | 2017-05-23 | 2017-10-20 | 成都联宇云安科技有限公司 | 一种基于漏洞poc实现安卓系统漏洞检测的方法 |
| CN107577947A (zh) * | 2017-08-14 | 2018-01-12 | 携程旅游信息技术(上海)有限公司 | 信息系统的漏洞检测方法、系统、存储介质和电子设备 |
| CN107644162A (zh) * | 2017-09-04 | 2018-01-30 | 北京知道未来信息技术有限公司 | 一种Web攻击识别方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 孟 辰: "基于代码覆盖的浏览器漏洞利用攻击检测方法", 《计算机科学》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112003824A (zh) * | 2020-07-20 | 2020-11-27 | 中国银联股份有限公司 | 攻击检测方法、装置及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108650249B (zh) | 2021-07-27 |
| WO2019205300A1 (zh) | 2019-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108932426B (zh) | 越权漏洞检测方法和装置 | |
| CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| CN110245518B (zh) | 一种数据存储方法、装置及设备 | |
| CN111131221B (zh) | 接口校验的装置、方法及存储介质 | |
| WO2016022561A1 (en) | Method and system for facilitating terminal identifiers | |
| CN115398860A (zh) | 一种会话检测方法、装置、检测设备及计算机存储介质 | |
| CN110888838A (zh) | 基于对象存储的请求处理方法、装置、设备及存储介质 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN111683084B (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
| CN115248919A (zh) | 一种函数接口的调用方法、装置、电子设备及存储介质 | |
| CN108650249A (zh) | Poc攻击检测方法、装置、计算机设备和存储介质 | |
| CN108345793A (zh) | 一种软件检测特征的提取方法及装置 | |
| CN111147235B (zh) | 对象访问方法、装置、电子设备及机器可读存储介质 | |
| CN112583827A (zh) | 一种数据泄露检测方法及装置 | |
| US11095666B1 (en) | Systems and methods for detecting covert channels structured in internet protocol transactions | |
| CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
| US9374474B1 (en) | System, method, and computer program for detecting duplicated telecommunications events in a consumer telecommunications network | |
| CN114710468A (zh) | 一种域名生成和识别方法、装置、设备及介质 | |
| CN113489726B (zh) | 流量限制方法及设备 | |
| CN117040935B (zh) | 一种基于云计算的节点数据安全传输方法及系统 | |
| CN113342275B (zh) | 区块链节点存取数据的方法、设备和计算机可读存储介质 | |
| CN117896113A (zh) | 服务访问的方法、装置、电子设备及存储介质 | |
| CN117640159A (zh) | 异常访问检测方法、装置、设备、介质及程序产品 | |
| CN116647385A (zh) | 异常文件检测方法、装置、系统及存储介质 | |
| CN114943078A (zh) | 一种文件识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |