CN110958252B - 一种网络安全设备及其网络攻击检测方法、装置和介质 - Google Patents
一种网络安全设备及其网络攻击检测方法、装置和介质 Download PDFInfo
- Publication number
- CN110958252B CN110958252B CN201911234979.8A CN201911234979A CN110958252B CN 110958252 B CN110958252 B CN 110958252B CN 201911234979 A CN201911234979 A CN 201911234979A CN 110958252 B CN110958252 B CN 110958252B
- Authority
- CN
- China
- Prior art keywords
- type
- code
- codes
- decoding
- target string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络安全设备及其网络攻击检测方法、装置和计算机可读存储介质,该方法包括:对目标串进行第一类编码的识别与解码;第一类编码为编码识别正确率高于预设阈值的编码类型;将解码后的数据更新确定为目标串,将识别为第二类编码的目标串进行标记;第二类编码为编码识别正确率低于预设阈值的编码类型;循环执行对目标串进行第一类编码的识别与解码及后续步骤后输出第一过程解码结果;将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,以获取第二过程解码结果;对第一过程解码结果和第二过程解码结果进行攻击特征检测以识别网络攻击。本申请可提高对攻击串编码的检测正确率,提高网络安全。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种网络安全设备及其网络攻击检测方法、装置和计算机可读存储介质。
背景技术
网络中的大量非法攻击严重危害了网络安全。对网络攻击行为的防护令网络安全设备的重要性愈发凸显。WAF(Web Application Firewall,Web应用防火墙)作为一种被广泛使用的网络安全设备,常用来防护企业的业务安全。
黑客们的攻击手段日益多样,编码是其中一种绕过检测的手段。但是现有技术中的WAF的解码防御能力有限,黑客们发倔和利用WAF解码能力的缺陷,利用不同编码组合来绕过WAF,达到SQL注入控制、信息泄露、权限获取等非法目的,并导致近年来通过编码手段来绕过WAF的攻击所造成的威胁和后果极为严重。
鉴于此,提供一种解决上述技术问题的方案,已经是本领域技术人员所亟需关注的。
发明内容
本申请的目的在于提供一种网络安全设备及其网络攻击检测方法、装置和计算机可读存储介质,以便有效提高对编码后的攻击串的检测正确率,提高网络安全防护性能。
为解决上述技术问题,第一方面,本申请公开了一种网络攻击检测方法,包括:
对目标串进行第一类编码的识别与解码;所述第一类编码为编码识别正确率高于预设阈值的编码类型;
将解码后的数据更新确定为目标串,并将识别为第二类编码的目标串进行标记;所述第二类编码为编码识别正确率低于所述预设阈值的编码类型;
在循环执行所述对目标串进行第一类编码的识别与解码及其后续步骤后输出第一过程解码结果;
将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,以获取第二过程解码结果;
对所述第一过程解码结果和所述第二过程解码结果进行攻击特征检测以识别网络攻击。
可选地,所述在循环执行所述对目标串进行第一类编码的识别与解码及其后续步骤后输出第一过程解码结果,包括:
判断循环执行次数是否达到第一预设次数;
若否,则继续执行所述对目标串进行第一类编码的识别与解码及其后续步骤;
若是,则输出所述第一过程解码结果。
可选地,所述将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,包括:
判断所述中间数据是否为所述第一类编码或者所述第二类编码;
若所述中间数据为所述第一类编码或者所述第二类编码,则进行解码,将解码后的数据更新确定为中间数据,并判断循环执行次数是否达到第二预设次数;若未达到所述第二预设次数,则继续执行所述判断所述中间数据是否为所述第一类编码或者所述第二类编码及其后续步骤;若达到所述第二预设次数,则输出所述第二过程解码结果;
若所述中间数据不为所述第一类编码且不为所述第二类编码,则输出所述第二过程解码结果。
可选地,所述判断所述中间数据是否为所述第一类编码,包括:
判断所述中间数据是否携带有与所述第一类编码的编码特征匹配的前缀;若是,则判定所述中间数据为所述第一类编码;若否,则判定所述中间数据不为所述第一类编码;
所述判断所述中间数据是否为所述第二类编码,包括:
判断所述中间数据是否携带有与所述第二类编码的编码特征匹配的前缀;若是,则判定所述中间数据为所述第二类编码;若否,则判定所述中间数据不为所述第二类编码。
可选地,还包括:
对未被识别为所述第一类编码且未被识别为所述第二类编码的目标串进行攻击特征检测以识别网络攻击。
第二方面,本申请还公开了一种网络攻击检测装置,包括:
第一过程模块,用于对目标串进行第一类编码的识别与解码;所述第一类编码为编码识别正确率高于预设阈值的编码类型;将解码后的数据更新确定为目标串,并将识别为第二类编码的目标串进行标记;所述第二类编码为编码识别正确率低于所述预设阈值的编码类型;并在循环执行结束后输出第一过程解码结果;
第二过程模块,用于在所述第一过程模块循环执行结束后,将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,以获取第二过程解码结果;
特征检测模块,用于对所述第一过程解码结果和所述第二过程解码结果进行攻击特征检测以识别网络攻击。
可选地,所述第一过程模块具体用于:
判断循环执行次数是否达到第一预设次数;若否,则继续执行所述对目标串进行第一类编码识别与解码及其后续步骤;若是,则输出所述第一过程解码结果。
可选地,所述第二过程模块包括:
判断单元,用于更新判断所述中间数据是否为所述第一类编码或者所述第二类编码;
解码单元,用于在所述中间数据为所述第一类编码或者所述第二类编码时进行解码,并将解码后的数据更新确定为中间数据;
计数单元,用于对所述判断单元的循环执行次数进行计数;
输出单元,用于在所述判断单元的循环执行次数达到第二预设循环次数时,或者所述中间数据不为所述第一类编码且不为所述第二类编码时,输出所述第二过程解码结果。
第三方面,本申请还公开了一种网络安全设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上所述的任一种网络攻击检测方法的步骤。
第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如上所述的任一种网络攻击检测方法的步骤。
本申请所提供的网络攻击检测方法包括:对目标串进行第一类编码的识别与解码;所述第一类编码为编码识别正确率高于预设阈值的编码类型;将解码后的数据更新确定为目标串,并将识别为第二类编码的目标串进行标记;所述第二类编码为编码识别正确率低于所述预设阈值的编码类型;在循环执行所述对目标串进行第一类编码的识别与解码及其后续步骤后输出第一过程解码结果;将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,以获取第二过程解码结果;对所述第一过程解码结果和所述第二过程解码结果进行攻击特征检测以识别网络攻击。
可见,本申请支持组合解码,从而可有效避免攻击串经组合编码后绕过检测的情况;并且,本申请优先对编码特征识别正确率水平较高的第一类编码进行解码,有助于维持第一过程解码结果的正确率水平,进而可有效提高对攻击串编码的检测正确率,提高网络安全防护性能。本申请所提供的网络攻击检测装置、网络安全设备及计算机可读存储介质同样具有上述有益效果。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请实施例公开的一种网络攻击检测方法的流程图;
图2为本申请实施例公开的又一种具体的网络攻击检测方法的流程图;
图3为本申请实施例公开的网络攻击检测方法中第二过程的方法流程图;
图4为本申请实施例公开的一种网络攻击检测装置的结构框图;
图5为本申请实施例公开的一种网络安全设备的结构框图。
具体实施方式
本申请的核心在于提供一种网络安全设备及其网络攻击检测方法、装置和计算机可读存储介质,以便有效提高对编码后的攻击串的检测正确率,提高网络安全防护性能。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
当前,业界中的WAF的解码防御能力较为有限。现有的WAF厂商一般仅支持少量常见攻击的编码类型,以达到节制设备资源及性能目的。不仅所支持的编码类型有限,同时也缺少对组合编码类型的支持,并容易因解码操作而导致组合编码中的攻击特征被绕过检查。其中,编码类型是数据格式转换和表达的方式,常用的编码类型有url编码、html编码、unicode编码、8/16进制编码、base64编码。组合编码是将数据按两种及以上的编码类型(包含相同编码自身)进行编码的过程。鉴于此,本申请提供了一种网络攻击检测方案,可有效解决上述问题。
参见图1所示,本申请实施例公开了一种网络攻击检测方法,可具体应用于如WAF等网络安全设备。该方法主要包括:
S101:对目标串进行第一类编码的识别与解码。
其中,第一类编码为编码识别正确率高于预设阈值的编码类型。
S102:将解码后的数据更新确定为目标串,并将属于第二类编码的目标串进行标记。
其中,第二类编码为编码识别正确率低于预设阈值的编码类型。
容易理解的是,一种编码类型具有其编码特征,可与其他类型的编码数据或者未编码的原数据相区分;但是,不同编码特征的可区分度或者易混淆率不同。
由此,以通常情况下编码识别的正确率为依据,可将所有的编码分为两类:第一类编码和第二类编码。其中,第一类编码与其他编码类型或者未编码数据发生混淆的概率非常小,编码识别正确率高于预设阈值,又可称为“极其可靠编码”。该预设阈值可具体为99%。例如,unicode编码就属于第一类编码,其编码识别正确率高达99.9%。
第二类编码与其他编码类型或者未编码数据发生混淆的概率相对大一些,编码识别正确率低于预设阈值而次于第一类编码,又可称为“少数误判类编码”。例如,base64编码属于第二类编码,其编码识别正确率约为90%。
当然,第一类编码和第二类编码都分别还包括其他多种具体的编码类型,这里就不再进一步介绍。
S103:在循环执行对目标串进行第一类编码的识别与解码及其后续步骤后输出第一过程解码结果。
具体地,在实际应用中,为了绕过检测,一个攻击串可能不仅仅被编码,而且可能被组合编码,即存在多种编码类型。例如,以一个原始未被编码的攻击串“cat/etc/passwd”为例,其可发展为以下五类编码变形:
(1)仅被一种第一类编码转换。以unicode编码为例,该攻击串将被转换为“\u0063\u0061\u0074\u0020\u002f\u0065\u0074\u0063\u002f\u0070\u0061\u0073\u0073\u0077\u0064”;
(2)仅被一种第二类编码转换。以base64编码为例,该攻击串将被转换为“Y2F0IC9ldGMvcGFzc3dk”;
(3)先被第一类编码转换后被第二类编码转换。以unicode编码和base64编码为例,该攻击串将被转换为“XHUwMDYzXHUwMDYxXHUwMDc0XHUwMDIwXHUwMDJmXHUwMDY1XHUwMDc0XHUwMDYzXHUwMDJmXHUwMDcwXHUwMDYxXHUwMDczXHUwMDczXHUwMDc3XHUwMDY0”;
(4)先被第二类编码转换后被第一类编码转换。以base64编码和unicode编码为例,该攻击串将被转换为“u0059\u0032\u0046\u0030\u0049\u0043\u0039\u006c\u0064\u0047\u004d\u0076\u0063\u0047\u0046\u007a\u0063\u0033\u0064\u006b”;
(5)被多种第一类编码转换,或者被多种第二类编码转换。
鉴于实际应用中攻击串可能会通过多种编码组合来绕过检测,本申请实施例具体采用了循环多次编码识别与解码的方式,以有效识别被嵌套编码的攻击串。即,对目标串循环进行编码识别与解码,上一次解码的数据作为下一次的处理对象,继续循环进行编码识别与解码。
值得注意的是,由于第一类编码的编码识别率高于第二类编码的编码识别率,因此本申请优先进行第一类编码的解码,并在第一类编码的识别、解码循环操作完成后即第一过程完成后,再进行第二类编码的解码,由此来确保较高的检测正确率。因此,在由步骤S101和S102构成的第一过程中,当识别到第一类编码时,可进一步执行解码操作,而当识别到第二类编码时,则可只进行标记。
由此,第一过程解码结果将因不涉及第二类解码而得以保持较高的正确率。例如,以编码识别正确率为99.9%的unicode编码为例,所获取的第一过程解码结果的正确率也可被视为99.9%。相反,若第一过程中也同时进行了第二类解码,那么第一过程解码结果的正确率将无法被视为99.9%的水平。
S104:将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,以获取第二过程解码结果。
进入步骤S104即进入了第二过程,该过程用于对在第一过程中被标记为第二类编码的中间数据进行编码识别和解码。容易理解的是,被标记为第二类编码的中间数据可能是最初的原始目标串本身,也可能是由最初的原始目标串经过若干次第一类解码后的数据。
与第一过程类似,在第二过程中本实施例同样采用了循环多次编码识别与解码的方式,以识别嵌套编码的攻击串。需要注意的是,由于被执行第二类解码后的数据依然有可能是第一类编码,因此,在步骤S104中需要同时进行第一类编码的识别解码以及第二类编码的识别解码。
S105:对第一过程解码结果和第二过程解码结果进行攻击特征检测以识别网络攻击。
需要说明的是,第一过程解码结果指在步骤S101、S102、S103的执行过程中所获取的解码结果。容易理解的是,由于第一过程的解码只涉及第一类解码,因此第一过程解码结果一定为第一类解码得到的结果。第二过程解码结果指在步骤S104的执行过程中所获取的解码结果,由于在第二过程中第一类解码和第二类解码均有可能出现,因此第二过程解码结果可能是第一类解码的结果也有可能是第二类解码的结果。
还需要说明的是,对于一个目标串,其最终的解码结果要么是第一过程解码结果,要么是第二过程解码结果。当目标串的数量为多个时,不妨将第一过程解码结果记为RES_A,将第二过程解码结果记为RES_B。在解码完成后,即可将RES_A和RES_B均送入攻击特征检测系统中进行网络攻击检测。
本申请实施例所提供的网络攻击检测方法包括:对目标串进行第一类编码的识别与解码;第一类编码为编码识别正确率高于预设阈值的编码类型;将解码后的数据更新确定为目标串,并将识别为第二类编码的目标串进行标记;第二类编码为编码识别正确率低于预设阈值的编码类型;在循环执行对目标串进行第一类编码的识别与解码及其后续步骤后输出第一过程解码结果;将被标记为第二类编码的目标串作为中间数据而循环进行编码识别与解码,以获取第二过程解码结果;对第一过程解码结果和第二过程解码结果进行攻击特征检测以识别网络攻击。
可见,本申请支持组合解码,从而可有效避免攻击串经组合编码后绕过检测的情况;并且,本申请优先对编码特征识别正确率水平较高的第一类编码进行解码,有助于维持第一过程解码结果的正确率水平,进而可有效提高对攻击串编码的检测正确率,提高网络安全防护性能。
上述过程可具体参考图2,图2为本申请实施例所提供的一种具体的网络攻击检测方法,包括如下步骤:
S201:识别目标串是否为第一类编码;若是,则进入S202;若否,则进入S203。
作为一种具体实施例,在进行第一类编码识别时,具体可采用前缀匹配的方式,即,判断目标串是否携带有与第一类编码中具体编码算法对应的前缀,一旦前缀匹配,则可判定该目标串属于第一类编码;否则,则可判定该目标串不属于第一类编码。
例如,unicode编码通常会出现如\uxxxx的固定格式,其中x表示十六进制数。
S202:进行解码,将解码后的数据更新确定为目标串;进入S205。
S203:识别目标串是否为第二类编码;若是,则进入S204;若否,则进入S205。
类似地,在进行第二类编码识别时,也可采用前缀匹配的方式,即,判断目标串是否携带有与第二类编码中具体编码算法对应的前缀,一旦前缀匹配,则可判定该目标串属于第二类编码;否则,则可判定该目标串不属于第二类编码。
例如,base64编码通常会出现正则表达式的固定格式。S204:进行标记;进入S205。
S205:判断循环执行次数是否达到第一预设次数;若是,则进入S206;若否,则进入S201。
S206:输出第一过程解码结果;进入S207。
S207:将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,以获取第二过程解码结果;进入S208。
S208:对第一过程解码结果和第二过程解码结果进行攻击特征检测以识别网络攻击。
其中,步骤S207的过程可具体参见图3,主要包括如下步骤:
S301:判断中间数据是否为第一类编码或者第二类编码;若是,则进入S302;若否,则进入S304。
同样地,在判断中间数据是否为第一类编码时,可具体判断中间数据是否携带有与第一类编码的编码特征匹配的前缀;若是,则判定中间数据为第一类编码;若否,则判定中间数据不为第一类编码。
在判断中间数据是否为第二类编码时,可具体判断中间数据是否携带有与第二类编码的编码特征匹配的前缀;若是,则判定中间数据为第二类编码;若否,则判定中间数据不为第二类编码。
S302:进行解码,并将解码后的数据更新确定为中间数据;进入S303。
S303:判断循环执行次数是否达到第二预设次数;若是,则进入S304;若否,则进入S301。
S304:输出第二过程解码结果。
作为一种具体实施例,本申请实施例所提供的网络攻击检测方法,在循环执行所述对目标串进行第一类编码的识别与解码及其后续步骤后输出第一过程解码结果之后,还可以包括:
对未被识别为所述第一类编码且未被识别为所述第二类编码的目标串进行攻击特征检测以识别网络攻击。
具体地,当执行完第一过程、输出第一过程解码结果之后,意味着此时所有的目标串都已经进行了第一类编码的识别和第二类编码的识别。容易理解的是,最初的目标串中可能会有一些是非编码数据,特别是当目标串的数量为多个时,如此,这些非编码目标串在经过第一过程处理后既没有被识别为第一类编码也没有被识别为第二类编码。为了防止这些非编码的目标串中携带攻击串,本实施例除了对第一过程解码结果、第二过程解码结果进行攻击特征检测,还可以将这些非编码的目标串也送入攻击特征检测系统进行攻击特征检测。
参见图4所示,本申请实施例公开了一种网络攻击检测装置,主要包括:
第一过程模块401,用于对目标串进行第一类编码的识别与解码;将解码后的数据更新确定为目标串,将识别为第二类编码的目标串进行标记;并在循环执行结束后输出第一过程解码结果;第一类编码为编码识别正确率高于预设阈值的编码类型;第二类编码为编码识别正确率低于预设阈值的编码类型;
第二过程模块402,用于在第一过程模块401循环执行结束后,将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,以获取第二过程解码结果;
特征检测模块403,用于对第一过程解码结果和第二过程解码结果进行攻击特征检测以识别网络攻击。
可见,本申请实施例所公开的网络攻击检测装置支持组合解码,从而可有效避免攻击串经组合编码后绕过检测的情况;并且,本申请优先对编码特征识别正确率水平较高的第一类编码进行解码,有助于维持第一过程解码结果的正确率水平,进而可有效提高对攻击串编码的检测正确率,提高网络安全防护性能。
关于上述网络攻击检测装置的具体内容,可参考前述关于网络攻击检测方法的详细介绍,这里就不再赘述。
作为一个具体实施例,在上述内容的基础上,本申请实施例所公开的网络攻击检测装置中,第一过程模块401具体用于:
判断循环执行次数是否达到第一预设次数;若否,则继续执行对目标串进行第一类编码识别与解码及其后续步骤;若是,则输出第一过程解码结果。
作为一个具体实施例,在上述内容的基础上,本申请实施例所公开的网络攻击检测装置中,第二过程模块402包括:
判断单元,用于更新判断中间数据是否为第一类编码或者第二类编码;
解码单元,用于在中间数据为第一类编码或者第二类编码时进行解码,并将解码后的数据更新确定为中间数据;
计数单元,用于对判断单元的循环执行次数进行计数;
输出单元,用于在判断单元的循环执行次数达到第二预设循环次数时,或者中间数据不为第一类编码且不为第二类编码时,输出第二过程解码结果。
作为一个具体实施例,在上述内容的基础上,本申请实施例所公开的网络攻击检测装置中,判断单元具体用于:
判断中间数据是否携带有与第一类编码的编码特征匹配的前缀;若是,则判定中间数据为第一类编码;若否,则判定中间数据不为第一类编码;
判断中间数据是否携带有与第二类编码的编码特征匹配的前缀;若是,则判定中间数据为第二类编码;若否,则判定中间数据不为第二类编码。
作为一个具体实施例,在上述内容的基础上,本申请实施例所公开的网络攻击检测装置中,特征检测模块403具体用于:
对未被识别为第一类编码且未被识别为第二类编码的目标串进行攻击特征检测以识别网络攻击。
参见图5所示,本申请实施例公开了一种网络安全设备,包括:
存储器501,用于存储计算机程序;
处理器502,用于执行所述计算机程序以实现如上所述的任一种网络攻击检测方法的步骤。
进一步地,本申请实施例还公开了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如上所述的任一种网络攻击检测方法的步骤。
关于上述网络安全设备和计算机可读存储介质的具体内容,可参考前述关于网络攻击检测方法的详细介绍,这里就不再赘述。
本申请中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的设备而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需说明的是,在本申请文件中,诸如“第一”和“第二”之类的关系术语,仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或者操作之间存在任何这种实际的关系或者顺序。此外,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。
Claims (10)
1.一种网络攻击检测方法,其特征在于,包括:
对目标串进行第一类编码的识别与解码;所述第一类编码为编码识别正确率高于预设阈值的编码类型;
将解码后的数据更新确定为目标串,并将识别为第二类编码的目标串进行标记;所述第二类编码为编码识别正确率低于所述预设阈值的编码类型;
针对每次更新后的目标串,在循环执行所述对目标串进行第一类编码的识别与解码,所述将解码后的数据更新确定为目标串,并将识别为第二类编码的目标串进行标记的步骤后,输出第一过程解码结果;
将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,以获取第二过程解码结果;
对所述第一过程解码结果和所述第二过程解码结果进行攻击特征检测以识别网络攻击。
2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述在循环执行所述对目标串进行第一类编码的识别与解码及其后续步骤后输出第一过程解码结果,包括:
判断循环执行次数是否达到第一预设次数;
若否,则继续执行所述对目标串进行第一类编码的识别与解码及其后续步骤;
若是,则输出所述第一过程解码结果。
3.根据权利要求1所述的网络攻击检测方法,其特征在于,所述将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,包括:
判断所述中间数据是否为所述第一类编码或者所述第二类编码;
若所述中间数据为所述第一类编码或者所述第二类编码,则进行解码,将解码后的数据更新确定为中间数据,并判断循环执行次数是否达到第二预设次数;若未达到所述第二预设次数,则继续执行所述判断所述中间数据是否为所述第一类编码或者所述第二类编码及其后续步骤;若达到所述第二预设次数,则输出所述第二过程解码结果;
若所述中间数据不为所述第一类编码且不为所述第二类编码,则输出所述第二过程解码结果。
4.根据权利要求3所述的网络攻击检测方法,其特征在于,所述判断所述中间数据是否为所述第一类编码,包括:
判断所述中间数据是否携带有与所述第一类编码的编码特征匹配的前缀;若是,则判定所述中间数据为所述第一类编码;若否,则判定所述中间数据不为所述第一类编码;
所述判断所述中间数据是否为所述第二类编码,包括:
判断所述中间数据是否携带有与所述第二类编码的编码特征匹配的前缀;若是,则判定所述中间数据为所述第二类编码;若否,则判定所述中间数据不为所述第二类编码。
5.根据权利要求1至4任一项所述的网络攻击检测方法,其特征在于,在循环执行所述对目标串进行第一类编码的识别与解码及其后续步骤后输出第一过程解码结果之后,还包括:
对未被识别为所述第一类编码且未被识别为所述第二类编码的目标串进行攻击特征检测以识别网络攻击。
6.一种网络攻击检测装置,其特征在于,包括:
第一过程模块,用于对目标串进行第一类编码的识别与解码;所述第一类编码为编码识别正确率高于预设阈值的编码类型;将解码后的数据更新确定为目标串,并将识别为第二类编码的目标串进行标记;所述第二类编码为编码识别正确率低于所述预设阈值的编码类型;并且,针对每次更新后的目标串,在循环执行结束所述对目标串进行第一类编码的识别与解码、所述将解码后的数据更新确定为目标串,并将识别为第二类编码的目标串进行标记的步骤后,输出第一过程解码结果;
第二过程模块,用于在所述第一过程模块循环执行结束后,将被标记为第二类编码的目标串作为中间数据而循环进行第一类编码和第二类编码的识别与解码,以获取第二过程解码结果;
特征检测模块,用于对所述第一过程解码结果和所述第二过程解码结果进行攻击特征检测以识别网络攻击。
7.根据权利要求6所述的网络攻击检测装置,其特征在于,所述第一过程模块具体用于:
判断循环执行次数是否达到第一预设次数;若否,则继续执行所述对目标串进行第一类编码识别与解码及其后续步骤;若是,则输出所述第一过程解码结果。
8.根据权利要求6所述的网络攻击检测装置,其特征在于,所述第二过程模块包括:
判断单元,用于更新判断所述中间数据是否为所述第一类编码或者所述第二类编码;
解码单元,用于在所述中间数据为所述第一类编码或者所述第二类编码时进行解码,并将解码后的数据更新确定为中间数据;
计数单元,用于对所述判断单元的循环执行次数进行计数;
输出单元,用于在所述判断单元的循环执行次数达到第二预设循环次数时,或者所述中间数据不为所述第一类编码且不为所述第二类编码时,输出所述第二过程解码结果。
9.一种网络安全设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至5任一项所述的网络攻击检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如权利要求1至5任一项所述的网络攻击检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911234979.8A CN110958252B (zh) | 2019-12-05 | 2019-12-05 | 一种网络安全设备及其网络攻击检测方法、装置和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911234979.8A CN110958252B (zh) | 2019-12-05 | 2019-12-05 | 一种网络安全设备及其网络攻击检测方法、装置和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110958252A CN110958252A (zh) | 2020-04-03 |
| CN110958252B true CN110958252B (zh) | 2020-11-27 |
Family
ID=69980044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911234979.8A Active CN110958252B (zh) | 2019-12-05 | 2019-12-05 | 一种网络安全设备及其网络攻击检测方法、装置和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110958252B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113965333A (zh) * | 2020-07-01 | 2022-01-21 | 深信服科技股份有限公司 | 一种目标流量检测方法、装置、设备及可读存储介质 |
| CN114024651A (zh) * | 2020-07-16 | 2022-02-08 | 深信服科技股份有限公司 | 一种编码类型识别方法、装置、设备及可读存储介质 |
| CN113328982B (zh) * | 2020-07-27 | 2022-04-29 | 深信服科技股份有限公司 | 一种入侵检测方法、装置、设备、介质 |
| CN114124520A (zh) * | 2021-11-22 | 2022-03-01 | 浙江大学 | 基于多模态的拟态waf执行体实现方法 |
| CN114584362A (zh) * | 2022-02-28 | 2022-06-03 | 北京启明星辰信息安全技术有限公司 | 一种防止unicode编码绕过的检测方法和装置 |
| CN114615074A (zh) * | 2022-03-25 | 2022-06-10 | 山石网科通信技术股份有限公司 | 网络报文解码方法及网络攻击检测方法、装置和存储介质 |
| CN114745206B (zh) * | 2022-06-10 | 2022-09-23 | 北京长亭未来科技有限公司 | 一种嵌套编码攻击载荷检测方法、系统、设备及存储介质 |
| CN115086044A (zh) * | 2022-06-17 | 2022-09-20 | 湖北天融信网络安全技术有限公司 | 一种攻击特征的处理方法及装置、电子设备、存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109714340A (zh) * | 2018-12-28 | 2019-05-03 | 厦门服云信息科技有限公司 | 一种序列到序列的网络异常请求识别方法以及装置 |
| CN110162624A (zh) * | 2019-04-16 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 一种文本处理方法、装置以及相关设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101938350B (zh) * | 2010-07-16 | 2012-06-06 | 黑龙江大学 | 一种基于组合编码的文件加密和解密的方法 |
| US9344901B2 (en) * | 2013-04-16 | 2016-05-17 | Qualcomm Incorporated | Apparatus and methods of processing a protocol data unit |
| US10509771B2 (en) * | 2017-10-30 | 2019-12-17 | AtomBeam Technologies Inc. | System and method for data storage, transfer, synchronization, and security using recursive encoding |
| US11005503B2 (en) * | 2018-03-16 | 2021-05-11 | SK Hynix Inc. | Memory system with hybrid decoding scheme and method of operating such memory system |
-
2019
- 2019-12-05 CN CN201911234979.8A patent/CN110958252B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109714340A (zh) * | 2018-12-28 | 2019-05-03 | 厦门服云信息科技有限公司 | 一种序列到序列的网络异常请求识别方法以及装置 |
| CN110162624A (zh) * | 2019-04-16 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 一种文本处理方法、装置以及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110958252A (zh) | 2020-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110958252B (zh) | 一种网络安全设备及其网络攻击检测方法、装置和介质 | |
| US11562065B2 (en) | Data breach detection | |
| US9680848B2 (en) | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis | |
| WO2017084586A1 (zh) | 基于深度学习方法推断恶意代码规则的方法、系统及设备 | |
| CN110034921B (zh) | 基于带权模糊hash的webshell检测方法 | |
| CN106161479B (zh) | 一种支持特征跨包的编码攻击检测方法和装置 | |
| CN110022308B (zh) | 一种物联网设备识别方法、系统、电子设备及存储介质 | |
| CN111030992B (zh) | 检测方法、服务器及计算机可读存储介质 | |
| CN107666468B (zh) | 网络安全检测方法和装置 | |
| CN110309658B (zh) | 一种基于强化学习的不安全xss防御系统识别方法 | |
| US20090158434A1 (en) | Method of detecting virus infection of file | |
| CN104766013A (zh) | 一种基于跳表的跨站脚本攻击防御方法 | |
| CN113141331A (zh) | 一种xss攻击检测方法、装置、设备及介质 | |
| CN112003835B (zh) | 安全威胁的检测方法、装置、计算机设备和存储介质 | |
| CN111740999B (zh) | 一种ddos攻击的识别方法、系统及相关装置 | |
| CN108897721B (zh) | 一种对多种编码的数据进行解码的方法和装置 | |
| CN114816243B (zh) | 日志压缩方法、装置、电子设备及存储介质 | |
| CN103699841B (zh) | 拦截编码绕过的方法及设备 | |
| CN114584362A (zh) | 一种防止unicode编码绕过的检测方法和装置 | |
| CN110990837B (zh) | 系统调用行为序列降维方法、系统、设备和存储介质 | |
| KR100992440B1 (ko) | 여러 개의 연속된 부분패턴을 이용한 다중 패턴매칭 방법 | |
| CN106650444B (zh) | 一种基于软件签名和安装时间的Android系统应用检测方法 | |
| CN111371761B (zh) | 一种基于风险识别的信息处理方法及装置 | |
| CN114024651A (zh) | 一种编码类型识别方法、装置、设备及可读存储介质 | |
| CN111865552B (zh) | 一种检测分布转化编码器抗编码攻击能力的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |