CN111049780A - 一种网络攻击的检测方法、装置、设备及存储介质 - Google Patents
一种网络攻击的检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111049780A CN111049780A CN201811191762.9A CN201811191762A CN111049780A CN 111049780 A CN111049780 A CN 111049780A CN 201811191762 A CN201811191762 A CN 201811191762A CN 111049780 A CN111049780 A CN 111049780A
- Authority
- CN
- China
- Prior art keywords
- network
- message
- network message
- attack
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种网络攻击的检测方法、装置、计算机设备及存储介质。其方法包括:获取第一网络报文;提取所述第一网络报文的报文载荷;检测所述第一网络报文的报文载荷中是否存在敏感信息;在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的至少一个第二网络报文;提取所述第二网络报文的报文载荷;检测所述第二网络报文的报文载荷中是否存在攻击命令;在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种网络攻击的检测方法、装置、设备及存储介质。
背景技术
随着计算机技术的不断发展和互联网的普及,网络攻击形式层出不穷,网络安全问题日益突出,造成的社会影响和经济损失越来越大,对网络威胁检测与防御提出了新的需求和挑战。
其中一种探测漏洞的网络攻击方式是利用目标主机的漏洞获取敏感信息,其攻击方式为:攻击者通过一台主机向目标主机发送网络命令,指示目标主机向攻击者的另一台主机发送网络报文,通过该网络报文携带攻击者指示获取的敏感信息,造成敏感信息外泄。
传统的攻击检测方式需要根据网络报文所使用的网络协议对网络报文进行拆解,从中提取待检测的特征字段,进行攻击检测。但上述网络攻击方式中,可采取多种网络协议进行攻击,例如HTTP协议(HyperText Transfer Protocol,超文本传输协议)、FTP协议(File Transfer Protocol,文本传输协议)、TELNET(一种远程登陆命令)协议等等,而其中的FTP协议、TELNET协议等协议的网络报文难以进行拆解,因此传统的攻击检测方式无法适用于上述网络攻击方式。
发明内容
本发明实施例提供及一种网络攻击的检测方法、装置、设备及存储介质,以实现对漏洞探测攻击的检测,以实现对利用目标主机漏洞获取敏感信息的网络攻击的识别。
第一方面,本发明实施例提供一种网络攻击的检测方法,包括:
获取目标主机第一网络报文;
提取所述第一网络报文的报文载荷;
检测所述第一网络报文的报文载荷中是否存在敏感信息;
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;
提取所述第二网络报文的报文载荷;
检测所述第二网络报文的报文载荷中是否存在攻击命令;
在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
可选的,所述第二网络报文的目的地址与所述第一网络报文的源地址相同。
可选的,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:
获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。
可选的,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:
获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。
可选的,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:
调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配;
获取匹配成功的第二网络报文。
可选的,所述在检测到所述第一网络报文的报文载荷中存在敏感信息后,所述方法还包括:
发送用于指示存在危险执行动作的告警提示信息。
可选的,所述在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,进一步包括:
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文对应的响应报文;
在确定所述响应报文为确认响应后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文。
可选的,所述检测所述第一网络报文的报文载荷中是否存在敏感信息,包括:
调用预先建立的敏感信息检测模型检测所述第一网络请求的报文载荷中是否存在敏感信息,所述敏感信息检测模型是由已知的外泄敏感信息样本训练得到的。
可选的,所述检测所述第二网络报文的报文载荷中是否存在攻击命令,包括:
调用预先建立的攻击命令检测模型检测所述第二网络报文的报文载荷中是否存在攻击命令。
第二方面,本发明实施例提供一种网络攻击的检测装置,包括:
第一网络报文获取模块,用于获取目标主机的第一网络报文;
第一报文载荷提取模块,用于提取所述第一网络报文的报文载荷;
敏感信息检测模块,用于检测所述第一网络报文的报文载荷中是否存在敏感信息;
第二网络报文获取模块,用于在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;
第二报文载荷提取模块,用于提取所述第二网络报文的报文载荷;
攻击命令检测模块,用于检测所述第二网络报文的报文载荷中是否存在攻击命令;
攻击成功告警模块,用于在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
可选的,所述第二网络报文的目的地址与所述第一网络报文的源地址相同。
可选的,所述第二网络报文获取模块用于:
获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。
可选的,所述第二网络报文获取模块用于:
获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。
可选的,所述第二网络报文获取模块用于:
调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配;
获取匹配成功的第二网络报文。
可选的,所述装置还包括危险动作告警模块,用于:
在检测到所述第一网络报文的报文载荷中存在敏感信息后发送用于指示存在危险执行动作的告警提示信息。
可选的,所述第二网络报文获取模块进一步用于:
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文对应的响应报文;
在确定所述响应报文为确认响应后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文。
可选的,所述敏感信息检测模块用于:
调用预先建立的敏感信息检测模型检测所述第一网络请求的报文载荷中是否存在敏感信息,所述敏感信息检测模型是由已知的外泄敏感信息样本训练得到的。
可选的,所述攻击命令检测模块用于:
调用预先建立的攻击命令检测模型检测所述第二网络报文的报文载荷中是否存在攻击命令。
第三方面,本发明实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意实施例的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例的方法。
本发明实施例有益效果如下:
无论网络报文传输格式如何(即采取何种网络协议传输),其底层通信协议均为TCP协议,因此,本发明实施例中,不需要根据网络报文进行拆解,而是提取其报文载荷,直接对报文载荷进行检测。因此,可以对第一网络报文进行敏感信息检测,若检测出敏感信息,意味着可能存在网络攻击,因此进行回溯,即获取第一网络报文之前的第二网络报文,检测其中是否存在指示获取上述敏感信息的攻击命令,其检测方式也不需要进行报文拆解,因此适用任何网络协议。可见,采用本发明实施例提供的技术方案,可以实现对利用目标主机漏洞获取敏感信息这种网络攻击方式的检测。由于不需要对网络报文拆解,对完整的报文载荷进行检测,因此其检测效率较高、且漏报率较低。另外,在检测到攻击命令后,发出攻击成功的告警信息,以提示目标主机被攻击且攻击成功,以便目标主机及时进行防护,从而提高目标主机的安全性。
附图说明
图1为本发明实施例提供的检测网络攻击的应用场景示意图;
图2为本发明实施例提供的网络攻击的检测方法流程图;
图3为本发明实施例提供的网络攻击的检测装置示意图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明实施例的技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明实施例技术方案的详细的说明,而不是对本说明书技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
本发明实施例的应用场景如图1所示。其中,攻击者的一台主机101向目标主机102发送网络命令,该网络命令指示目标主机102向攻击者的另一台主机103发送网络报文,并在该网络报文中携带上述网络命令指示需要获取的敏感信息。目标主机102与攻击者的两台主机之间传输的报文经由交换设备104转发,攻击检测设备105从交换设备104获取第一网络报文,提取报文载荷进行敏感信息检测,在检测到敏感信息后,获取第一网络报文之前的至少一个第二网络报文,提取报文载荷进行攻击命令检测,在检测到攻击命令后发送用于指示攻击成功的告警提示信息。
其中,目标主机102可以是提供各种服务的服务器,也可以是能够实现特定功能的个人计算机,还可以是其他能够提供网络服务的网络设备。
攻击者的其中一台主机101可以是具有显示功能并且支持交互功能的各种电子设备,包括但不限于智能手机、平板电脑、个人计算机以及台式计算机等。
攻击者的另一台主机103可以是服务器、智能手机、平板电脑、个人计算机以及台式计算机等。
交换设备104可以但不仅限于是交换机、路由器。
攻击检测设备105可以但不仅限于采用网络嗅探、网络端口镜像等方式获取网络报文,攻击检测设备105可以但不仅限于是镜像设备、旁路设备、直连设备。
对于目标主机102的报文的采集,可以采用网络嗅探方式获取,也可以通过网络端口镜像方式获取。所述网络嗅探方式是指将所述目标主机102的网卡设置为混杂模式,通过调用网络截包工具来捕获所述目标主机102的报文。所述网络端口镜像方式是指将目标主机102的采集端口映射到另一端口,对数据进行实时拷贝,从而获得目标主机102的报文。当然,采集目标主机102的报文的具体实现方式并不限于上述两种方式,本发明实施例对此不作限定。
第一方面,本发明实施例提供一种网络攻击的检测方法,请参考图2,包括:
步骤201、获取目标主机的第一网络报文。
本发明实施例中,第一网络报文、第二网络报文并不特指某一类报文,也不特指报文传输方向,仅用于彼此区分。
其中,目标主机的网络报文(第一网络报文、第二网络报文)是采用上述实现方式采集得到的。
该步骤中,第一网络报文可以是获取的目标主机的任意网络报文,也可以是目标主机发送的网络报文,可以通过提取报文中的源地址(例如IP地址或MAC地址)识别目标主机发送的网络报文,更进一步的,还可以是目标主机发送的网络请求报文,可以通过提取报文类型识别网络请求报文。
步骤202、提取上述第一网络报文的报文载荷。
其中,TCP协议的网络报文由报文头和报文载荷两部分组成,本步骤即提取其中的报文载荷部分。
步骤203、检测上述第一网络报文的报文载荷中是否存在敏感信息。
其中,本发明实施例不对敏感信息进行限定,可以是目前行业内被认定的敏感信息,也可以是用户定义的敏感信息。
步骤204、在检测到上述第一网络报文的报文载荷中存在敏感信息后,获取该第一网络报文之前的至少一个第二网络报文。
若检测到敏感信息,意味着可能存在网络攻击,即在第一网络报文之前,目标主机接收了攻击命令,因此,获取第一网络报文之前的第二网络报文,以便进行攻击命令检测。
若未检测到敏感信息,则可以继续获取下一个第一网络报文,提取报文载荷进行敏感信息检测。
本发明实施例中,若要获取第一网络报文之前的第二网络报文,需要获知网络报文的顺序。优选地,可以根据网络报文中携带的时间戳确定网络报文的顺序,即提取目标主机的网络报文的时间戳,获取时间戳早于第一网络报文时间戳的网络报文作为第二网络报文。当然,由于本发明实施例在流量层实现,无论采取上述何种方式获取网络报文,可以认为获取的网络报文是按时间顺序排列的,因此,可以按照采集到的报文的先后顺序,获取在第一网络报文之前采集到的网络报文作为第二网络报文。
步骤205、提取上述第二网络报文的报文载荷。
步骤206、检测上述第二网络报文的报文载荷中是否存在攻击命令。
若需要获取多个第二网络报文,可以依次获取报文、提取报文载荷、检测攻击命令,也可以全部获取后分别提取报文载荷、检测攻击命令,本发明对此不做限定。
步骤207、在检测到上述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
本发明实施例中,攻击成功是指目标主机存在执行攻击命令外泄敏感信息的行为。
若没有检测到攻击命令,则可以获取下一个第一网络报文,并按照上述处理过程进行网络攻击检测。
本发明实施例提供的网络攻击的检测方法,无论网络报文传输格式如何(即采取何种网络协议传输),其底层通信协议均为TCP协议,因此,本发明实施例中,不需要根据网络报文进行拆解,而是提取其报文载荷,直接对报文载荷进行检测。因此,可以对第一网络报文进行敏感信息检测,若检测出敏感信息,意味着可能存在网络攻击,因此进行回溯,即获取第一网络报文之前的第二网络报文,检测其中是否存在指示获取上述敏感信息的攻击命令,其检测方式也不需要进行报文拆解,因此适用任何网络协议。可见,采用本发明实施例提供的技术方案,可以实现对利用目标主机漏洞获取敏感信息这种网络攻击方式的检测。由于不需要对网络报文拆解,对完整的报文载荷进行检测,因此其检测效率较高、且漏报率较低。另外,在检测到攻击命令后,发出攻击成功的告警信息,以提示目标主机被攻击且攻击成功,以便目标主机及时进行防护,从而提高目标主机的安全性。
本发明实施例中,上述第二网络报文可以是第一网络报文之前的任意网络报文。但是,根据上述网络攻击的特点,攻击命令是攻击者通过其中一台主机向目标主机发送的,因此其携带在发送给目标主机的网络报文中,而且该网络报文通常为网络请求报文。为了避免对根本不会存在攻击命令的网络报文进行攻击命令检测,提高检测效率,优选地,可以仅对发送给目标主机的网络报文进行攻击检测。也就是说,第二网络报文的目的地址(目的IP地址或目的MAC地址)与上述第一网络报文的源地址(源IP地址或源MAC地址)相同。
具体的,可以检测第一网络报文之前的网络报文的目的地址,获取其中目的地址与第一网络报文的源地址相同的网络报文作为第二网络报文。若在上述步骤201中识别目标主机发送的网络报文,那么,还可以检测第一网络报文之前的网络报文的目的地址,获取其中目的地址与目标主机的地址相同的网络报文作为第二网络报文
利用目标主机漏洞获取敏感信息的攻击方式,攻击周期往往较短,因此不需要对过多的网络报文进行攻击命令检测,即需要设定第二网络报文获取的范围,一种实现方式中,可以通过时间窗口的方式限定,即获取上述第一网络报文之前的预定时间段内的目标主机的第二网络报文。其中,预定时间段即时间窗口,该时间窗口的取值可以根据经验、仿真等方式确定,例如10秒、20秒、一分钟等等。在该步骤中,具体可以根据第一网络报文的时间戳或获取时间,确定预定时间段的起止时间,获取时间戳或接收时间在该时间段内的第二网络报文。如上所述,可以获取该时间段内的全部网络报文作为第二网络报文,优选地,可以获取该时间段内目的地址与第一网络报文的源地址相同的网络报文作为第二网络报文;更进一步地,还识别报文类型,获取该时间段内目的地址与第一网络报文的源地址相同的网络请求报文作为第二网络报文。
另一种实现方式中,也可以通过预定报文数量的方式限定,即获取上述第一网络报文之前的预定数量的目标主机的第二网络报文。其中,预定数量可以根据经验、仿真等方式确定。在该步骤中,可以获取预定数量的任意网络报文作为第二网络报文,优选地,可以获取目的地址与第一网络报文的源地址相同的预定数量的网络报文作为第二网络报文;更进一步地,还识别报文类型,获取目的地址与第一网络报文的源地址相同的预定数量的网络请求报文作为第二网络报文。
当然,还可以结合上述两种方式进行限定。例如,若在预定时间段内获取的第二网络报文的数量小于预定数量,则按照预定数量获取第二网络报文;又例如,若获取的预定数量的第二网络报文的时间跨度较大,则按照在预定时间段内获取第二网络报文。还有其他结合方式,本发明对此不做限定。
如上所述,若第二网络报文是指目的地址与第一网络报文的源地址相同的网络报文,那么需要对网络报文的地址进行检测,其实现方式有多种,为提高检测效率,可以调用检测脚本对第一网络报文之前的目标主机的至少一个第二网络报文的目的地址与第一网络报文的源地址进行匹配;获取匹配成功的第二网络报文。其中,匹配成功即表示地址相同。
在上述任意方法实施例的基础上,不仅可以在检测到攻击命令后发出告警提示信息,也可以在检测到敏感信息后,发送用于提示存在危险执行动作的告警提示信息,以便用户获知存在敏感信息外泄的情况,并进行相应的防护和补救,提高目标主机的安全性。
其中,可以在检测到敏感信息后,无论是否检测到攻击命令,均发送用于提示存在危险执行动作的告警提示信息。也可以在未检测到攻击命令后发送用于提示存在危险执行动作的告警提示信息。
本发明实施例中,告警提示信息可以发送给目标主机,也可以发送给用户指定的其他设备,本发明对此不做限定。
在上述任意方法实施例中,可以在检测到所述第一网络报文的报文载荷中存在敏感信息后,即认为可能存在攻击,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文。根据上述网络攻击的特点,在目标主机发送了敏感信息后,接收该敏感信息的攻击者主机会返回确认响应报文,以HTTP协议的报文为例,攻击者主机会返回200报文。因此,可以在检测到敏感信息,且确定目标主机接收到了确认响应报文后,认为可能存在攻击,那么,上述步骤204中,在检测到第一网络报文的报文载荷中存在敏感信息后,获取第一网络报文对应的响应报文;在确定该响应报文为确认响应后,获取第一网络报文之前的目标主机的至少一个第二网络报文。
相应的,用于提示存在危险执行动作的告警提示信息可以在检测到敏感信息后,无论是否收到确认响应均发送,也可以在接收到确认响应后发送。
在上述任意方法实施例中,可以通过人工智能模型(敏感信息检测模型)检测敏感信息,具体的,调用预先建立的敏感信息检测模型检测第一网络请求的报文载荷中是否存在敏感信息,敏感信息检测模型是由已知的外泄敏感信息样本训练得到的。
其中,已知的外泄敏感信息可以从互联网中抓取,也可以是目标主机已检测到的敏感信息,还可以是模拟攻击中所使用的敏感信息。如上所述,若用户自定义敏感信息,可以但不仅限于通过模拟攻击的方式获取该自定义的敏感信息,进而将该自定义敏感信息作为外泄敏感信息。
对于获取的已知外泄敏感信息,对其进行处理后可得到已知的外泄敏感信息样本。根据建模所采用的算法不同,处理方式有所不同。以有监督的深度学习算法为例,对已知外泄敏感信息进行清洗、标引后得到已知的外泄敏感信息样本。
本发明实施例不对敏感信息检测模型所使用的算法进行限定,例如可使用深度学习算法、贝叶斯算法等等。
在上述任意方法实施例中,可以通过人工智能模型(攻击命令检测模型)检测攻击命令,具体的,调用预先建立的攻击命令检测模型检测所述第二网络报文的报文载荷中是否存在攻击命令。
其具体实现方式可以参照上述敏感信息检测模型的实现方式,此处不再赘述。
第二方面,基于同一发明构思,本发明实施例提供一种网络攻击的检测装置,请参考图3,包括:
第一网络报文获取模块301,用于获取目标主机的第一网络报文;
第一报文载荷提取模块302,用于提取所述第一网络报文的报文载荷;
敏感信息检测模块303,用于检测所述第一网络报文的报文载荷中是否存在敏感信息;
第二网络报文获取模块304,用于在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;
若未检测到敏感信息,则可以继续获取下一个第一网络报文,提取报文载荷进行敏感信息检测。
第二报文载荷提取模块305,用于提取所述第二网络报文的报文载荷;
攻击命令检测模块306,用于检测所述第二网络报文的报文载荷中是否存在攻击命令;
攻击成功告警模块307,用于在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
若没有检测到攻击命令,则可以获取下一个第一网络报文,并按照上述处理过程进行网络攻击检测。
本发明实施例提供的装置,无论网络报文传输格式如何(即采取何种网络协议传输),其底层通信协议均为TCP协议,因此,本发明实施例中,不需要根据网络报文进行拆解,而是提取其报文载荷,直接对报文载荷进行检测。因此,可以对第一网络报文进行敏感信息检测,若检测出敏感信息,意味着可能存在网络攻击,因此进行回溯,即获取第一网络报文之前的第二网络报文,检测其中是否存在指示获取上述敏感信息的攻击命令,其检测方式也不需要进行报文拆解,因此适用任何网络协议。可见,采用本发明实施例提供的技术方案,可以实现对利用目标主机漏洞获取敏感信息这种网络攻击方式的检测。由于不需要对网络报文拆解,对完整的报文载荷进行检测,因此其检测效率较高、且漏报率较低。另外,在检测到攻击命令后,发出攻击成功的告警信息,以提示目标主机被攻击且攻击成功,以便目标主机及时进行防护,从而提高目标主机的安全性。
本发明实施例中,上述第二网络报文可以是第一网络报文之前的任意网络报文。但是,根据上述网络攻击的特点,攻击命令是攻击者通过其中一台主机向目标主机发送的,因此其携带在发送给目标主机的网络报文中,而且该网络报文通常为网络请求报文。为了避免对根本不会存在攻击命令的网络报文进行攻击命令检测,提高检测效率,优选地,可以仅对发送给目标主机的网络报文进行攻击检测。也就是说,第二网络报文的目的地址(目的IP地址或目的MAC地址)与上述第一网络报文的源地址(源IP地址或源MAC地址)相同。
利用目标主机漏洞获取敏感信息的攻击方式,攻击周期往往较短,因此不需要对过多的网络报文进行攻击命令检测,即需要设定第二网络报文获取的范围,一种实现方式中,可以通过时间窗口的方式限定,相应的,所述第二网络报文获取模块用于:获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。
另一种实现方式中,也可以通过预定报文数量的方式限定,相应的,所述第二网络报文获取模块用于:获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。
如上所述,若第二网络报文是指目的地址与第一网络报文的源地址相同的网络报文,那么需要对网络报文的地址进行检测,其实现方式有多种,为提高检测效率,所述第二网络报文获取模块用于:调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配;获取匹配成功的第二网络报文。其中,匹配成功即表示地址相同。
在上述任意装置实施例的基础上,不仅可以在检测到攻击命令后发出告警提示信息,也可以在检测到敏感信息后,发送用于提示存在危险执行动作的告警提示信息,以便用户获知存在敏感信息外泄的情况,并进行相应的防护和补救,提高目标主机的安全性。相应的,所述装置还包括危险动作告警模块,用于:在检测到所述第一网络报文的报文载荷中存在敏感信息后发送用于指示存在危险执行动作的告警提示信息。
其中,可以在检测到敏感信息后,无论是否检测到攻击命令,均发送用于提示存在危险执行动作的告警提示信息。也可以在未检测到攻击命令后发送用于提示存在危险执行动作的告警提示信息。
本发明实施例中,告警提示信息可以发送给目标主机,也可以发送给用户指定的其他设备,本发明对此不做限定。
在上述任意装置实施例中,可以在检测到所述第一网络报文的报文载荷中存在敏感信息后,即认为可能存在攻击,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文。根据上述网络攻击的特点,在目标主机发送了敏感信息后,接收该敏感信息的攻击者主机会返回确认响应报文,以HTTP协议的报文为例,攻击者主机会返回200报文。因此,可以在检测到敏感信息,且确定目标主机接收到了确认响应报文后,认为可能存在攻击,那么,所述第二网络报文获取模块进一步用于:
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文对应的响应报文;
在确定所述响应报文为确认响应后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文。
相应的,用于提示存在危险执行动作的告警提示信息可以在检测到敏感信息后,无论是否收到确认响应均发送,也可以在接收到确认响应后发送。
在上述任意装置实施例中,可以通过人工智能模型(敏感信息检测模型)检测敏感信息,具体的,所述敏感信息检测模块用于:
调用预先建立的敏感信息检测模型检测所述第一网络请求的报文载荷中是否存在敏感信息,所述敏感信息检测模型是由已知的外泄敏感信息样本训练得到的。
在上述任意装置实施例中,可以通过人工智能模型(攻击命令检测模型)检测攻击命令,具体的,所述攻击命令检测模块用于:
调用预先建立的攻击命令检测模型检测所述第二网络报文的报文载荷中是否存在攻击命令。
第三方面,基于同一发明构思,本发明实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意实施例的方法。
本发明实施例提供的计算机设备可以但不仅限于是旁路设备、直连设备、镜像设备。
本发明实施例提供的计算机设备,无论网络报文传输格式如何(即采取何种网络协议传输),其底层通信协议均为TCP协议,因此,本发明实施例中,不需要根据网络报文进行拆解,而是提取其报文载荷,直接对报文载荷进行检测。因此,可以对第一网络报文进行敏感信息检测,若检测出敏感信息,意味着可能存在网络攻击,因此进行回溯,即获取第一网络报文之前的第二网络报文,检测其中是否存在指示获取上述敏感信息的攻击命令,其检测方式也不需要进行报文拆解,因此适用任何网络协议。可见,采用本发明实施例提供的技术方案,可以实现对利用目标主机漏洞获取敏感信息这种网络攻击方式的检测。由于不需要对网络报文拆解,对完整的报文载荷进行检测,因此其检测效率较高、且漏报率较低。另外,在检测到攻击命令后,发出攻击成功的告警信息,以提示目标主机被攻击且攻击成功,以便目标主机及时进行防护,从而提高目标主机的安全性。
第四方面,基于同一发明构思,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例的方法。
本发明实施例提供的存储介质,无论网络报文传输格式如何(即采取何种网络协议传输),其底层通信协议均为TCP协议,因此,本发明实施例中,不需要根据网络报文进行拆解,而是提取其报文载荷,直接对报文载荷进行检测。因此,可以对第一网络报文进行敏感信息检测,若检测出敏感信息,意味着可能存在网络攻击,因此进行回溯,即获取第一网络报文之前的第二网络报文,检测其中是否存在指示获取上述敏感信息的攻击命令,其检测方式也不需要进行报文拆解,因此适用任何网络协议。可见,采用本发明实施例提供的技术方案,可以实现对利用目标主机漏洞获取敏感信息这种网络攻击方式的检测。由于不需要对网络报文拆解,对完整的报文载荷进行检测,因此其检测效率较高、且漏报率较低。另外,在检测到攻击命令后,发出攻击成功的告警信息,以提示目标主机被攻击且攻击成功,以便目标主机及时进行防护,从而提高目标主机的安全性。
本说明书是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的设备。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令设备的制造品,该指令设备实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本说明书的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本说明书范围的所有变更和修改。
显然,本领域的技术人员可以对本说明书进行各种改动和变型而不脱离本说明书的精神和范围。这样,倘若本说明书的这些修改和变型属于本说明书权利要求及其等同技术的范围之内,则本说明书也意图包含这些改动和变型在内。
本发明实施例公开了:
A1、一种网络攻击的检测方法,其特征在于,包括:
获取目标主机的第一网络报文;
提取所述第一网络报文的报文载荷;
检测所述第一网络报文的报文载荷中是否存在敏感信息;
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;
提取所述第二网络报文的报文载荷;
检测所述第二网络报文的报文载荷中是否存在攻击命令;
在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
A2、根据A1所述的方法,其特征在于,所述第二网络报文的目的地址与所述第一网络报文的源地址相同。
A3、根据A2所述的方法,其特征在于,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:
获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。
A4、根据A2所述的方法,其特征在于,所述获取所述第一网络报文之前的至少一个第二网络报文,包括:
获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。
A5、根据A2所述的方法,其特征在于,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:
调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配;
获取匹配成功的第二网络报文。
A6、根据A1~A5任一项所述的方法,其特征在于,所述在检测到所述第一网络报文的报文载荷中存在敏感信息后,所述方法还包括:
发送用于指示存在危险执行动作的告警提示信息。
A7、根据A1~A5任一项所述的方法,其特征在于,所述在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,进一步包括:
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文对应的响应报文;
在确定所述响应报文为确认响应后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文。
A8、根据A1~A5任一项所述的方法,其特征在于,所述检测所述第一网络报文的报文载荷中是否存在敏感信息,包括:
调用预先建立的敏感信息检测模型检测所述第一网络请求的报文载荷中是否存在敏感信息,所述敏感信息检测模型是由已知的外泄敏感信息样本训练得到的。
A9、根据A1~A5任一项所述的方法,其特征在于,所述检测所述第二网络报文的报文载荷中是否存在攻击命令,包括:
调用预先建立的攻击命令检测模型检测所述第二网络报文的报文载荷中是否存在攻击命令。
B10、一种网络攻击的检测装置,其特征在于,包括:
第一网络报文获取模块,用于获取目标主机的第一网络报文;
第一报文载荷提取模块,用于提取所述第一网络报文的报文载荷;
敏感信息检测模块,用于检测所述第一网络报文的报文载荷中是否存在敏感信息;
第二网络报文获取模块,用于在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;
第二报文载荷提取模块,用于提取所述第二网络报文的报文载荷;
攻击命令检测模块,用于检测所述第二网络报文的报文载荷中是否存在攻击命令;
攻击成功告警模块,用于在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
B11、根据B10所述的装置,其特征在于,所述第二网络报文的目的地址与所述第一网络报文的源地址相同。
B12、根据B11所述的装置,其特征在于,所述第二网络报文获取模块用于:
获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。
B13、根据B11所述的装置,其特征在于,所述第二网络报文获取模块用于:
获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。
B14、根据B11所述的装置,其特征在于,所述第二网络报文获取模块用于:
调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配;
获取匹配成功的第二网络报文。
B15、根据B10~B14任一项所述的装置,其特征在于,所述装置还包括危险动作告警模块,用于:
在检测到所述第一网络报文的报文载荷中存在敏感信息后发送用于指示存在危险执行动作的告警提示信息。
B16、根据B10~B14任一项所述的装置,其特征在于,所述第二网络报文获取模块进一步用于:
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文对应的响应报文;
在确定所述响应报文为确认响应后,获取所述第一网络报文之前的至少一个第二网络报文。
B17、根据B10~B14任一项所述的装置,其特征在于,所述敏感信息检测模块用于:
调用预先建立的敏感信息检测模型检测所述第一网络请求的报文载荷中是否存在敏感信息,所述敏感信息检测模型是由已知的外泄敏感信息样本训练得到的。
B18、根据B10~B14任一项所述的装置,其特征在于,所述攻击命令检测模块用于:
调用预先建立的攻击命令检测模型检测所述第二网络报文的报文载荷中是否存在攻击命令。
C19、一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现A1至A9任一项所述的方法。
D20、一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现A1至A9任一项所述的方法。
Claims (10)
1.一种网络攻击的检测方法,其特征在于,包括:
获取目标主机的第一网络报文;
提取所述第一网络报文的报文载荷;
检测所述第一网络报文的报文载荷中是否存在敏感信息;
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;
提取所述第二网络报文的报文载荷;
检测所述第二网络报文的报文载荷中是否存在攻击命令;
在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
2.根据权利要求1所述的方法,其特征在于,所述第二网络报文的目的地址与所述第一网络报文的源地址相同。
3.根据权利要求2所述的方法,其特征在于,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:
获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。
4.根据权利要求2所述的方法,其特征在于,所述获取所述第一网络报文之前的至少一个第二网络报文,包括:
获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。
5.根据权利要求2所述的方法,其特征在于,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:
调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配;
获取匹配成功的第二网络报文。
6.根据权利要求1~5任一项所述的方法,其特征在于,所述在检测到所述第一网络报文的报文载荷中存在敏感信息后,所述方法还包括:
发送用于指示存在危险执行动作的告警提示信息。
7.根据权利要求1~5任一项所述的方法,其特征在于,所述在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,进一步包括:
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文对应的响应报文;
在确定所述响应报文为确认响应后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文。
8.一种网络攻击的检测装置,其特征在于,包括:
第一网络报文获取模块,用于获取目标主机的第一网络报文;
第一报文载荷提取模块,用于提取所述第一网络报文的报文载荷;
敏感信息检测模块,用于检测所述第一网络报文的报文载荷中是否存在敏感信息;
第二网络报文获取模块,用于在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;
第二报文载荷提取模块,用于提取所述第二网络报文的报文载荷;
攻击命令检测模块,用于检测所述第二网络报文的报文载荷中是否存在攻击命令;
攻击成功告警模块,用于在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811191762.9A CN111049780B (zh) | 2018-10-12 | 2018-10-12 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811191762.9A CN111049780B (zh) | 2018-10-12 | 2018-10-12 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049780A true CN111049780A (zh) | 2020-04-21 |
| CN111049780B CN111049780B (zh) | 2022-12-02 |
Family
ID=70229839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811191762.9A Active CN111049780B (zh) | 2018-10-12 | 2018-10-12 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049780B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202646A (zh) * | 2020-12-03 | 2021-01-08 | 观脉科技(北京)有限公司 | 一种流量分析方法和系统 |
| CN113965419A (zh) * | 2021-12-22 | 2022-01-21 | 北京微步在线科技有限公司 | 一种通过反连判定攻击成功的方法及装置 |
| CN114567480A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
| US9338181B1 (en) * | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
| CN106911640A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN106921671A (zh) * | 2017-03-22 | 2017-07-04 | 杭州迪普科技股份有限公司 | 一种网络攻击的检测方法及装置 |
-
2018
- 2018-10-12 CN CN201811191762.9A patent/CN111049780B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| US9338181B1 (en) * | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
| CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
| CN106911640A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN106921671A (zh) * | 2017-03-22 | 2017-07-04 | 杭州迪普科技股份有限公司 | 一种网络攻击的检测方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202646A (zh) * | 2020-12-03 | 2021-01-08 | 观脉科技(北京)有限公司 | 一种流量分析方法和系统 |
| CN112202646B (zh) * | 2020-12-03 | 2021-02-26 | 观脉科技(北京)有限公司 | 一种流量分析方法和系统 |
| CN113965419A (zh) * | 2021-12-22 | 2022-01-21 | 北京微步在线科技有限公司 | 一种通过反连判定攻击成功的方法及装置 |
| CN114567480A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
| CN114567480B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049780B (zh) | 2022-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| US9979741B2 (en) | Malware beaconing detection methods | |
| US20160323305A1 (en) | Information processing apparatus, method for determining activity and computer-readable medium | |
| CN110830457B (zh) | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 | |
| CA3121623A1 (en) | Enhanced device updating | |
| CN111049780B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN111049784B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN111049781A (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| CN112019574A (zh) | 异常网络数据检测方法、装置、计算机设备和存储介质 | |
| CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN102130920A (zh) | 一种僵尸网络的发现方法及其系统 | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN109474485A (zh) | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 | |
| CN108600145B (zh) | 一种确定DDoS攻击设备的方法及装置 | |
| CN112804263A (zh) | 一种面向物联网的漏洞扫描方法、系统及设备 | |
| US20170201543A1 (en) | Embedded device and method of processing network communication data | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| Darwish et al. | Vulnerability Assessment and Experimentation of Smart Grid DNP3. | |
| CN111049782A (zh) | 反弹式网络攻击的防护方法、装置、设备、系统 | |
| CN113037785B (zh) | 多层次全周期物联网设备僵尸网络防御方法、装置及设备 | |
| CN112751861A (zh) | 一种基于密网和网络大数据的恶意邮件检测方法及系统 | |
| US20240114052A1 (en) | Network security system for preventing spoofed ip attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |