CN111049782B - 反弹式网络攻击的防护方法、装置、设备、系统 - Google Patents

反弹式网络攻击的防护方法、装置、设备、系统 Download PDF

Info

Publication number
CN111049782B
CN111049782B CN201811191765.2A CN201811191765A CN111049782B CN 111049782 B CN111049782 B CN 111049782B CN 201811191765 A CN201811191765 A CN 201811191765A CN 111049782 B CN111049782 B CN 111049782B
Authority
CN
China
Prior art keywords
attack
session
message
suspected
request message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811191765.2A
Other languages
English (en)
Other versions
CN111049782A (zh
Inventor
张鑫
高雪峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201811191765.2A priority Critical patent/CN111049782B/zh
Publication of CN111049782A publication Critical patent/CN111049782A/zh
Application granted granted Critical
Publication of CN111049782B publication Critical patent/CN111049782B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种反弹式网络攻击的防护方法、装置、计算机设备、系统及存储介质。其方法包括:获取由目标主机发起建立的链路中的网络会话报文;从所述网络会话报文中识别疑似攻击请求响应报文对;对其进行攻击检测,若确定攻击成功,将该链接的端口号发送给目标主机,以便目标主机结束该端口号对应的进程。本发明实施例中,不仅可以实现对反弹式网络攻击的检测,还可以进行相应的攻击防护,降低目标主机的安全风险。

Description

反弹式网络攻击的防护方法、装置、设备、系统
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种反弹式网络攻击的防护方法、装置、设备、系统及存储介质。
背景技术
随着计算机技术的不断发展和互联网的普及,网络攻击形式层出不穷,网络安全问题日益突出,造成的社会影响和经济损失越来越大,对网络威胁检测与防御提出了新的需求和挑战。
反弹式网络攻击是一种危险的网络攻击方式,以反弹shell(壳)攻击为例,其攻击方式是:攻击者通过一台主机向目标主机发送网络命令,该网络命令中不包含攻击指令,但指示目标主机向攻击者的另一台主机发送网络请求,由另一台主机实施攻击。
上述反弹式网络攻击是单向流量,即由攻击者的一台主机到目标主机,再由目标主机到攻击者的另一台主机,难以通过传统检测方法检测,更难以进行有效防护。
发明内容
本发明实施例提供及一种反弹式网络攻击的检测方法、装置、设备及存储介质,以实现对反弹式网络攻击的检测及防护,提高目标主机的安全性。
第一方面,本发明实施例提供一种反弹式网络攻击的防护方法,包括:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号,所述端口号用于目标主机查找并结束对应的进程。
可选的,所述网络会话报文包括会话请求报文和会话响应报文,所述从所述网络会话报文中识别疑似攻击请求响应报文对,包括:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
可选的,所述判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
可选的,所述从所述网络会话报文中识别疑似攻击请求响应报文对,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
可选的,所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
可选的,所述检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
第二方面,本发明实施例提供一种反弹式网络攻击的防护装置,包括:
网络会话报文获取模块,用于获取由目标主机发起建立的链路中的网络会话报文;
疑似攻击请求响应报文对识别模块,用于从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
攻击检测模块,用于检测所述疑似攻击请求报文中是否存在攻击特征;
攻击响应检测模块,用于在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
端口号发送模块,用于在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号,所述端口号用于目标主机查找并结束对应的进程。
可选的,所述网络会话报文包括会话请求报文和会话响应报文,所述疑似攻击请求响应报文对识别模块用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
可选的,为判断所述第一个会话请求报文是否为疑似攻击请求报文,所述疑似攻击请求报文识别模块用于:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
可选的,所述疑似攻击请求响应报文对识别模块用于:所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测模块用于:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
可选的,所述攻击检测模块用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
可选的,所述攻击响应检测模块用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
第三方面,本发明实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述任意实施例提供的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例提供的方法。
第五方面,本发明实施例提供一种反弹式网络攻击的防护方法,包括:
攻击检测设备获取由目标主机发起建立的链路中的网络会话报文;
所述攻击检测设备从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征;
所述攻击检测设备在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
所述攻击检测设备在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
所述目标主机接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
可选的,所述网络会话报文包括会话请求报文和会话响应报文,所述攻击检测设备从所述网络会话报文中识别疑似攻击请求响应报文对,包括:
所述攻击检测设备获取所述链路中的第一个会话请求报文;
所述攻击检测设备判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,所述攻击检测设备获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,所述攻击检测设备获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
可选的,所述攻击检测设备判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
所述攻击检测设备判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
可选的,所述攻击检测设备从所述网络会话报文中识别疑似攻击请求响应报文对,包括:所述攻击检测设备识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征,包括:所述攻击检测设备检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
可选的,所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征,包括:
所述攻击检测设备调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
可选的,所述攻击检测设备检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
所述攻击检测设备利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
第六方面,本发明实施例提供一种反弹式网络攻击的防护系统,包括:
攻击检测设备,用于:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
目标主机,用于:接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
可选的,所述网络会话报文包括会话请求报文和会话响应报文,所述攻击检测设备用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
可选的,所述攻击检测设备用于:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
可选的,所述攻击检测设备用于:
识别所述链路中的每个疑似攻击请求响应报文对;
检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
可选的,所述攻击检测设备用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
可选的,所述攻击检测设备用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
第七方面,本发明实施例提供一种计算机系统,包括攻击检测设备和目标主机;
所述攻击检测设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述攻击检测设备的处理器执行所述程序时实现如下过程:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
所述目标主机包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述目标主机的处理器执行所述程序时实现如下过程:
接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
本发明实施例有益效果如下:
本发明实施例提供的方法、装置、设备、系统及存储介质,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求响应报文对,判断是否存在攻击以及攻击是否成功,即可以实现对反弹式网络攻击的检测,在检测到反弹式网络攻击且确定攻击成功后,将端口号反馈给目标主机,目标主机查找该端口号对应的进程,并结束该进程,因此可以降低反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
附图说明
图1为本发明实施例提供的对反弹式网络攻击进行防护的应用场景示意图;
图2为本发明实施例提供的反弹式网络攻击的防护方法流程图;
图3为本发明实施例提供的反弹式网络攻击的防护装置示意图;
图4为本发明实施例提供的反弹式网络攻击的防护方法信令交互图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明实施例的技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明实施例技术方案的详细的说明,而不是对本说明书技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
本发明实施例的应用场景如图1所示。其中,攻击者的一台主机101向目标主机102发送网络请求,该网络请求指示目标主机102与攻击者的另一台主机103建立网络链接,通过该链接,攻击者的另一台主机103向目标主机发起网络攻击。目标主机102与攻击者的两台主机之间传输的报文经由交换设备 104转发,攻击检测设备105从交换设备104获取由目标主机102发起建立的链路中的网络会话报文,从中识别疑似攻击请求响应报文对,进而进行攻击检测,并在确定反弹式网络攻击成功后,向目标主机102发送上述链路的端口号,目标主机102查找该端口号对应的进程并结束该进程。
其中,目标主机102可以是提供各种服务的服务器,也可以是能够实现特定功能的个人计算机,还可以是其他能够提供网络服务的网络设备。
攻击者的其中一台主机101可以是具有显示功能并且支持交互功能的各种电子设备,包括但不限于智能手机、平板电脑、个人计算机以及台式计算机等。
攻击者的另一台主机103可以是用于攻击的服务器,也可以是用于攻击的个人计算机,还可以是用于攻击的其他网络设备。
交换设备104可以但不仅限于是交换机、路由器。
攻击检测设备105可以但不仅限于采用网络嗅探、网络端口镜像等方式获取网络报文,攻击检测设备105可以但不仅限于是镜像设备、旁路设备。
对于目标主机102的报文的采集,可以采用网络嗅探方式获取,也可以通过网络端口镜像方式获取。所述网络嗅探方式是指将所述目标主机102的网卡设置为混杂模式,通过调用网络截包工具来捕获所述目标主机102的报文。所述网络端口镜像方式是指将目标主机102的采集端口映射到另一端口,对数据进行实时拷贝,从而获得目标主机102的报文。当然,采集目标主机102的报文的具体实现方式并不限于上述两种方式,本发明实施例对此不作限定。
第一方面,本发明实施例提供一种反弹式网络攻击的检测方法,请参考图 2,包括:
步骤201、获取由目标主机发起建立的链路中的网络会话报文。
由于现有的报文传输所采用的是TCP通信协议,因此,本发明实施例中的链路是指TCP链路。
本发明实施例中,网络会话报文包括会话请求报文和会话响应报文。其中,会话请求报文是会话发起方发送的报文,会话响应报文是会话另一方针对会话请求报文向会话发起方返回的响应报文。
步骤202、从上述网络会话报文中识别疑似攻击请求响应报文对,该疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文。
鉴于反弹式网络攻击的特点,即攻击者通过一台主机向目标主机发送网络请求,指示目标主机向攻击者的另一台主机发起建立链路,而在该链路中,会话发起方可能是目标主机,因此,攻击者的另一台主机的攻击内容可能携带在会话响应报文中,本发明实施例中的疑似攻击请求报文即可能是会话请求报文,也可能是会话响应报文。
在上述链路的某个会话过程中,每个疑似攻击请求报文之后的网络会话报文即为疑似攻击响应报文,也就是说,每个疑似攻击请求报文及其之后的网络会话报文构成疑似攻击请求响应报文对。
其中,为确保报文顺序正确,可以但不仅限于根据报文中的包号确认报文顺序。
步骤203、检测上述疑似攻击请求报文中是否存在攻击特征;
步骤204、在上述疑似攻击请求报文中检测出攻击特征后,检测上述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与该攻击特征对应的预期响应特征。
假设攻击特征是获取ID命令,那么该攻击特征对应的预期响应特征就是 ID取值。
步骤205、在上述疑似攻击响应报文中检测出上述预期响应特征后,向目标主机发送上述链路对应的端口号,该端口号用于目标主机查找并结束对应的进程。
本发明实施例提供的反弹式网络攻击的防护方法,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求响应报文对,判断是否存在攻击以及攻击是否成功,即可以实现对反弹式网络攻击的检测,在检测到反弹式网络攻击且确定攻击成功后,将端口号反馈给目标主机,目标主机查找该端口号对应的进程,并结束该进程,因此可以降低反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
本说明书实施例中,获取由目标主机发起建立的链路中的网络会话报文的前提是识别链路及链路方向。其实现方式有多种,例如通过网络报文中的IP 地址识别源、目的IP地址,相同源、目的IP地址的网络报文是相同链路上的网络报文,而发起建立TCP链接(即上述链路)的网络报文中的源IP地址为目标主机,则相应的链路是目标主机发起并建立的。
如上所述,疑似攻击请求报文既可能是会话请求报文,也可能是会话响应报文,即在上述链路上的每个会话过程中,会话请求报文中可能并不携带攻击内容,因此,若按照传统的攻击检测思路,对会话请求报文进行攻击检测,无法检测出反弹式网络攻击。本发明实施例提供的技术方案需要识别疑似攻击请求响应报文对,可以通过跳包机制进行有效识别,即判断是否需要对会话过程中的第一个会话请求报文进行跳包,相应的,上述步骤202的具体实现方式可以是:获取上述链路中的第一个会话请求报文;判断噶第一个会话请求报文是否为疑似攻击请求报文;在判断出该第一个会话请求报文不是疑似攻击请求报文后,获取上述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;在判断出该第一个会话请求报文是疑似攻击请求报文后,获取上述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
在上述链路中,一个会话过程中,由会话发起方发送的报文称为会话请求报文,由会话另一方发送到报文称为会话响应报文。在会话结束后,可能会释放链路,也可能保持链路,以便后续建立会话过程中。也就是说,一个链路上可能有多个会话过程,那么,上述实现方式中,具体是针对每个会话过程中的第一个会话请求报文进行跳包判断。
例如,目标主机向某主机发起并建立链路,且由该目标主机发起会话,即目标主机首先向某主机发起会话请求报文1,某主机返回会话响应报文2,目标主机继续发起会话报文3,某主机返回会话响应报文4,目标主机继续发起会话报文5,某主机返回会话响应报文6,以此类推。那么,获取会话请求报文1,判断其是否为疑似攻击请求报文,由于报文1是目标主机发起的,其不会存在攻击内容,因此,需要跳过该报文1,将报文2和报文3识别为疑似攻击请求响应报文对,即在响应报文2中可能存在攻击内容。相应的,也可能在报文4中存在攻击内容,因此,在实际应用过程中,可以仅识别报文2和报文 3为疑似攻击请求响应报文对,在未检测到攻击特征后,继续识别报文4和报文5为疑似攻击请求响应报文对;也可以既识别报文2和报文3为疑似攻击请求响应报文对,对其进行攻击检测,无论检测结果如何,继续识别报文4和报文5为疑似攻击请求响应报文对,以此类推。
又例如,目标主机向某主机发起并建立链路,但由某主机发起会话,即某主机首先向目标主机发起会话请求报文1,目标主机返回会话响应报文2,某主机继续发起会话报文3,目标主机返回会话响应报文4,以此类推。那么,获取会话请求报文1,判断其是否为疑似攻击请求报文,由于报文1是某主机发起的,其可能存在攻击内容,因此,不需要跳过该报文1,将报文1和报文 2识别为疑似攻击请求响应报文对,即在响应报文1中可能存在攻击内容。相应的,也可能在报文3中存在攻击内容,因此,在实际应用过程中,可以仅识别报文1和报文2为疑似攻击请求响应报文对,在未检测到攻击特征后,继续识别报文3和报文4为疑似攻击请求响应报文对;也可以既识别报文1和报文 2为疑似攻击请求响应报文对,对其进行攻击检测,无论检测结果如何,继续识别报文3和报文4为疑似攻击请求响应报文对,以此类推。
其中,识别会话过程中的第一个会话请求报文是否为疑似攻击请求报文的实现方式有多种。具体的,根据已知反弹式网络攻击中,上述链路的会话过程中第一个会话请求报文的特征,构建规则库或者检测脚本,利用规则库或检测脚本进行判断。例如,通过规则库或者检测脚本判断上述链路中会话过程中的第一个会话请求报文的发起方是否为目标主机,若是目标主机,该第一个会话请求报文不是疑似攻击请求报文,若不是目标主机,该第一个会话请求报文是疑似攻击请求报文。更具体的,规则库或者网络脚本可以根据源、目的IP 地址判断,例如,若链路方向为:源IP地址是目标主机;会话方向为:第一个会话请求报文的源IP地址为目标主机,则该第一个会话请求报文不是疑似攻击请求报文;若链路方向为:源IP地址是目标主机;会话方向为:第一个会话请求报文的源IP地址不是目标主机,则该第一个会话请求报文是疑似攻击请求报文。
本发明实施例提供的方法,若其目的仅在于判断是否存在反弹式网络攻击,则不需要识别出所有的疑似攻击请求响应报文对,例如,对第一个疑似攻击请求响应报文对进行攻击检测,若检测出其存在攻击且攻击成功,则不需要对后续的疑似攻击请求响应报文对进行识别及检测,否则,则继续对第二个疑似攻击请求响应报文对进行攻击检测,以此类推。
若本发明实施例提供的方法不仅用于判断是否存在反弹式网络攻击,还需要还原攻击过程,那么,可以识别上述链路上的每一个疑似攻击请求响应报文对并进行相应的检测。
相应的,按序输出相应的检测结果,即可还原攻击过程。
本发明实施例提供的技术方案,检测疑似攻击请求报文中是否存在攻击特征,其实现方式有多种。优选地,可以调用预先建立的攻击检测模型检测疑似攻击请求报文中是否存在攻击特征。
其中,攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
具体的,模型训练所需的已知反弹式网络攻击的攻击特征包括互联网已公开的攻击报文中的攻击特征、目标主机已采集的攻击报文中的攻击特征、通过模拟攻击生成的攻击报文的攻击特征中的一种或多种组合。
在本实施例中,进行模型训练采用的算法为朴素贝叶斯算法。朴素贝叶斯算法对小规模的数据表现很好,适合多分类任务,适合增量式训练。当然,也可以采用其他机器学习分类算法或者深度学习分类算法进行模型训练,例如,还可以采用决策树算法进行模型训练,本实施例对此不作限定。
本说明书实施例提供的技术方案,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,其实现方式有多种,为提高检测效率并保证检测精度,优选地,利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
第二方面,基于同一发明构思,本发明实施例提供一种反弹式网络攻击的防护装置,请参考图3,包括:
网络会话报文获取模块301,用于获取由目标主机发起建立的链路中的网络会话报文;
疑似攻击请求响应报文对识别模块302,用于从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
攻击检测模块303,用于检测所述疑似攻击请求报文中是否存在攻击特征;
攻击响应检测模块304,用于在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
端口号发送模块305,用于在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号,所述端口号用于目标主机查找并结束对应的进程。
本发明实施例提供的反弹式网络攻击的防护装置,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求响应报文对,判断是否存在攻击以及攻击是否成功,即可以实现对反弹式网络攻击的检测,在检测到反弹式网络攻击且确定攻击成功后,将端口号反馈给目标主机,目标主机查找该端口号对应的进程,并结束该进程,因此可以降低反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
如上所述,疑似攻击请求报文既可能是会话请求报文,也可能是会话响应报文,即在上述链路上的每个会话过程中,会话请求报文中可能并不携带攻击内容,因此,若按照传统的攻击检测思路,对会话请求报文进行攻击检测,无法检测出反弹式网络攻击。本发明实施例提供的技术方案需要识别疑似攻击请求响应报文对,可以通过跳包机制进行有效识别,即判断是否需要对会话过程中的第一个会话请求报文进行跳包,相应的,所述疑似攻击请求报文识别模块用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
在上述链路中,一个会话过程中,由会话发起方发送的报文称为会话请求报文,由会话另一方发送到报文称为会话响应报文。在会话结束后,可能会释放链路,也可能保持链路,以便后续建立会话过程中。也就是说,一个链路上可能有多个会话过程,那么,上述实现方式中,具体是针对每个会话过程中的第一个会话请求报文进行跳包判断。
其中,识别会话过程中的第一个会话请求报文是否为疑似攻击请求报文的实现方式有多种。具体的,根据已知反弹式网络攻击中,上述链路的会话过程中第一个会话请求报文的特征,构建规则库或者检测脚本,利用规则库或检测脚本进行判断。相应的,为判断所述第一个会话请求报文是否为疑似攻击请求报文,所述疑似攻击请求报文识别模块用于:判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。更具体的,规则库或者网络脚本可以根据源、目的IP地址判断,例如,若链路方向为:源IP地址是目标主机;会话方向为:第一个会话请求报文的源IP地址为目标主机,则该第一个会话请求报文不是疑似攻击请求报文;若链路方向为:源IP地址是目标主机;会话方向为:第一个会话请求报文的源IP地址不是目标主机,则该第一个会话请求报文是疑似攻击请求报文。
本发明实施例提供的装置,若其目的仅在于判断是否存在反弹式网络攻击,则不需要识别出所有的疑似攻击请求报文,例如,对第一个疑似攻击请求报文进行攻击检测,若检测出其存在攻击特征,则不需要对后续的疑似攻击请求报文进行识别及检测,若未检测出其存在攻击特征,则继续对第二个疑似攻击请求报文进行攻击检测,以此类推。
若本发明实施例提供的装置不仅用于判断是否存在反弹式网络攻击,还需要还原攻击过程,那么,可以识别每一个疑似攻击请求报文(或疑似攻击请求响应报文对)并进行相应的检测。相应的,所述疑似攻击请求响应报文对识别模块用于:所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:识别所述链路中的每个疑似攻击请求响应报文对;所述攻击检测模块用于:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
本发明实施例提供的技术方案,检测疑似攻击请求报文中是否存在攻击特征,其实现方式有多种。优选地,所述攻击检测模块用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
本说明书实施例提供的技术方案,所述攻击响应检测模块用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
第三方面,基于同一发明构思,本发明实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述任意实施例提供的方法。
本发明实施例提供的计算机设备可以但不仅限于是旁路设备、直连设备。
本发明实施例提供的计算机设备,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求响应报文对,判断是否存在攻击以及攻击是否成功,即可以实现对反弹式网络攻击的检测,在检测到反弹式网络攻击且确定攻击成功后,将端口号反馈给目标主机,目标主机查找该端口号对应的进程,并结束该进程,因此可以降低反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
本发明实施例提供的计算机设备,其具体实现方式可以参照上述方法实施例的说明,此处不再赘述。
第四方面,基于同一方明构思,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例提供的方法。
本发明实施例提供的计算机可读存储介质,首先获取由目标主机发起建立的链路中的网络报文,由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接,因此,在这样的链路的网络报文中继续识别疑似攻击请求响应报文对,判断是否存在攻击以及攻击是否成功,即可以实现对反弹式网络攻击的检测,在检测到反弹式网络攻击且确定攻击成功后,将端口号反馈给目标主机,目标主机查找该端口号对应的进程,并结束该进程,因此可以降低反弹式网络攻击给目标主机造成的损失,提高了目标主机的安全性。
本发明实施例提供的计算机可读存储介质,其具体实现方式可以参照上述方法实施例的说明,此处不再赘述。
第五方面,本发明实施例提供一种反弹式网络攻击的防护方法,如图4所示,包括:
步骤401、攻击检测设备获取由目标主机发起建立的链路中的网络会话报文;
步骤402、所述攻击检测设备从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
步骤403、所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征;
步骤404、所述攻击检测设备在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
步骤405、所述攻击检测设备在上述疑似攻击响应报文中检测出上述预期相应特征后,向目标主机发送所述链路对应的端口号;
步骤406、所述目标主机接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
其中,目标主机不仅可以结束该进程,进一步地,还可以删除该进程对应的程序文件,以确保目标主机系统的安全。
上述攻击检测设备侧的各个步骤的具体实现方式可以参照上述实施例的描述,此处不再赘述。
可选的,所述网络会话报文包括会话请求报文和会话响应报文,所述攻击检测设备从所述网络会话报文中识别疑似攻击请求响应报文对,包括:
所述攻击检测设备获取所述链路中的第一个会话请求报文;
所述攻击检测设备判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,所述攻击检测设备获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,所述攻击检测设备获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
可选的,所述攻击检测设备判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
所述攻击检测设备判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
可选的,所述攻击检测设备从所述网络会话报文中识别疑似攻击请求响应报文对,包括:所述攻击检测设备识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征,包括:所述攻击检测设备检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
可选的,所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征,包括:
所述攻击检测设备调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
可选的,所述攻击检测设备检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
所述攻击检测设备利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
第六方面,本发明实施例提供一种反弹式网络攻击的防护系统,包括:
攻击检测设备,用于:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
目标主机,用于:接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
可选的,所述网络会话报文包括会话请求报文和会话响应报文,所述攻击检测设备用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
可选的,所述攻击检测设备用于:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
可选的,所述攻击检测设备用于:
识别所述链路中的每个疑似攻击请求响应报文对;
检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
可选的,所述攻击检测设备用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
可选的,所述攻击检测设备用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
第七方面,本发明实施例提供一种计算机系统,包括攻击检测设备和目标主机;
所述攻击检测设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述攻击检测设备的处理器执行所述程序时实现如下过程:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
所述目标主机包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述目标主机的处理器执行所述程序时实现如下过程:
接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
本发明实施例提供的方法、装置、设备及存储介质适用于任何反弹式网络攻击检测及防护,特别适用于反弹shell的检测。
本说明书是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的设备。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令设备的制造品,该指令设备实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本说明书的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本说明书范围的所有变更和修改。
显然,本领域的技术人员可以对本说明书进行各种改动和变型而不脱离本说明书的精神和范围。这样,倘若本说明书的这些修改和变型属于本说明书权利要求及其等同技术的范围之内,则本说明书也意图包含这些改动和变型在内。
本发明实施例公开了:A1、一种反弹式网络攻击的防护方法,其特征在于,包括:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号,所述端口号用于目标主机查找并结束对应的进程。
A2、根据A1所述的方法,其特征在于,所述网络会话报文包括会话请求报文和会话响应报文,所述从所述网络会话报文中识别疑似攻击请求响应报文对,包括:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
A3、根据A2所述的方法,其特征在于,所述判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
A4、根据A1~A3所述的方法,其特征在于,所述从所述网络会话报文中识别疑似攻击请求响应报文对,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
A5、根据A1~A3任一项所述的方法,其特征在于,所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
A6、根据A1~A3任一项所述的方法,其特征在于,所述检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
B7、一种反弹式网络攻击的防护装置,其特征在于,包括:
网络会话报文获取模块,用于获取由目标主机发起建立的链路中的网络会话报文;
疑似攻击请求响应报文对识别模块,用于从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
攻击检测模块,用于检测所述疑似攻击请求报文中是否存在攻击特征;
攻击响应检测模块,用于在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
端口号发送模块,用于在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号,所述端口号用于目标主机查找并结束对应的进程。
B8、根据B7所述的装置,其特征在于,所述网络会话报文包括会话请求报文和会话响应报文,所述疑似攻击请求响应报文对识别模块用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
B9、根据B8所述的装置,其特征在于,为判断所述第一个会话请求报文是否为疑似攻击请求报文,所述疑似攻击请求报文识别模块用于:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
B10、根据B7~B9任一项所述的装置,其特征在于,所述疑似攻击请求响应报文对识别模块用于:所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测模块用于:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
B11、根据B7~B9任一项所述的装置,其特征在于,所述攻击检测模块用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
B12、根据B7~B9任一项所述的装置,其特征在于,所述攻击响应检测模块用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
C13、一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现A1至A6任一项所述的方法。
D14、一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现A1至A6任一项所述的方法。
E15、一种反弹式网络攻击的防护方法,其特征在于,包括:
攻击检测设备获取由目标主机发起建立的链路中的网络会话报文;
所述攻击检测设备从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征;
所述攻击检测设备在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
所述攻击检测设备在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
所述目标主机接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
E16、根据E15所述的方法,其特征在于,所述网络会话报文包括会话请求报文和会话响应报文,所述攻击检测设备从所述网络会话报文中识别疑似攻击请求响应报文对,包括:
所述攻击检测设备获取所述链路中的第一个会话请求报文;
所述攻击检测设备判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,所述攻击检测设备获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,所述攻击检测设备获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
E17、根据E16所述的方法,其特征在于,所述攻击检测设备判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
所述攻击检测设备判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
E18、根据E15~E17所述的方法,其特征在于,所述攻击检测设备从所述网络会话报文中识别疑似攻击请求响应报文对,包括:所述攻击检测设备识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征,包括:所述攻击检测设备检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
E19、根据E15~E17任一项所述的方法,其特征在于,所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征,包括:
所述攻击检测设备调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
E20、根据E15~E17任一项所述的方法,其特征在于,所述攻击检测设备检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
所述攻击检测设备利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
F21、一种反弹式网络攻击的防护系统,其特征在于,包括:
攻击检测设备,用于:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
目标主机,用于:接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
F22、根据F21所述的系统,其特征在于,所述网络会话报文包括会话请求报文和会话响应报文,所述攻击检测设备用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对。
F23、根据F22所述的系统,其特征在于,所述攻击检测设备用于:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
F24、根据F21~F23所述的系统,其特征在于,所述攻击检测设备用于:
识别所述链路中的每个疑似攻击请求响应报文对;
检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
F25、根据F21~F23所述的系统,其特征在于,所述攻击检测设备用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
F26、根据F21~F23所述的系统,其特征在于,所述攻击检测设备用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
G27、一种计算机系统,其特征在于,包括攻击检测设备和目标主机;
所述攻击检测设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述攻击检测设备的处理器执行所述程序时实现如下过程:
获取由目标主机发起建立的链路中的网络会话报文;
从所述网络会话报文中识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
所述目标主机包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述目标主机的处理器执行所述程序时实现如下过程:
接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。

Claims (23)

1.种反弹式网络攻击的防护方法,其特征在于,包括:
获取由目标主机发起建立的链路中的网络会话报文,所述网络会话报文包括会话请求报文和会话响应报文;
从所述网络会话报文中通过跳包机制判断是否需要对会话过程中的第一个所述会话请求报文进行跳包,识别疑似攻击请求响应报文对,包括:
所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号,所述端口号用于目标主机查找并结束对应的进程。
2.根据权利要求 1 所述的方法,其特征在于,所述判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
3.根据权利要求 1~2 任一项所述的方法,其特征在于,所述从所述网络会话报文中通过跳包机制判断是否需要对会话过程中的第一个所述会话请求报文进行跳包,识别疑似攻击请求响应报文对,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
4.根据权利要求 1~2 任一项所述的方法,其特征在于,所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
5.根据权利要求 1~2 任一项所述的方法,其特征在于,所述检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
6.一种反弹式网络攻击的防护装置,其特征在于,包括:
网络会话报文获取模块,用于获取由目标主机发起建立的链路中的网络会话报文,所述网络会话报文包括会话请求报文和会话响应报文;
疑似攻击请求响应报文对识别模块,用于从所述网络会话报文中通过跳包机制判断是否需要对会话过程中的第一个所述会话请求报文进行跳包,识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文,所述疑似攻击请求响应报文对识别模块还用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对;
攻击检测模块,用于检测所述疑似攻击请求报文中是否存在攻击特征; 攻击响应检测模块,用于在所述疑似攻击请求报文中检测出攻击特征后,
检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
端口号发送模块,用于在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号,所述端口号用于目标主机查找并结束对应的进程。
7.根据权利要求 6 所述的装置,其特征在于,为判断所述第一个会话请求报文是否为疑似攻击请求报文,所述疑似攻击请求报文识别模块用于:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
8.根据权利要求 6~7 任一项所述的装置,其特征在于,所述疑似攻击请求响应报文对识别模块用于:所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测模块用于:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
9.根据权利要求 6~7 任一项所述的装置,其特征在于,所述攻击检测模块用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
10.根据权利要求 6~7 任一项所述的装置,其特征在于,所述攻击响应检测模块用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
11.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求 1 至 5 任一项所述的方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求 1 至 5任一项所述的方法。
13.一种反弹式网络攻击的防护方法,其特征在于,包括:
攻击检测设备获取由目标主机发起建立的链路中的网络会话报文,所述网络会话报文包括会话请求报文和会话响应报文;
所述攻击检测设备从所述网络会话报文中通过跳包机制判断是否需要对会话过程中的第一个所述会话请求报文进行跳包,识别疑似攻击请求响应报文对,包括:
所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;所述攻击检测设备获取所述链路中的第一个会话请求报文;
所述攻击检测设备判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,所述攻击检
测设备获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,所述攻击检测设备获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对;
所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征;
所述攻击检测设备在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
所述攻击检测设备在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
所述目标主机接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
14.根据权利要求 13 所述的方法,其特征在于,所述攻击检测设备判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
所述攻击检测设备判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
15.根据权利要求 13~14 任一项所述的方法,其特征在于,所述攻击检测设备从所述网络会话报文中通过跳包机制判断是否需要对会话过程中的第一个所述会话请求报文进行跳包,识别疑似攻击请求响应报文对,包括:所述攻击检测设备识别所述链路中的每个疑似攻击请求响应报文对;
所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征,包括:
所述攻击检测设备检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
16.根据权利要求 13~14 任一项所述的方法,其特征在于,所述攻击检测设备检测所述疑似攻击请求报文中是否存在攻击特征,包括:
所述攻击检测设备调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
17.根据权利要求 13~14 任一项所述的方法,其特征在于,所述攻击检测设备检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
所述攻击检测设备利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
18.一种反弹式网络攻击的防护系统,其特征在于,包括:
攻击检测设备,用于:
获取由目标主机发起建立的链路中的网络会话报文,所述网络会话报文包括会话请求报文和会话响应报文;
从所述网络会话报文中通过跳包机制判断是否需要对会话过程中的第一个所述会话请求报文进行跳包,识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文,所述攻击检测设备用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
目标主机,用于:接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
19.根据权利要求 18 所述的系统,其特征在于,所述攻击检测设备用于: 判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标
主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
20.根据权利要求 18~19 任一项所述的系统,其特征在于,所述攻击检测
设备用于:
识别所述链路中的每个疑似攻击请求响应报文对;
检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
21.根据权利要求 18~19 任一项所述的系统,其特征在于,所述攻击检测
设备用于:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特
征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
22.根据权利要求 18~19 任一项所述的系统,其特征在于,所述攻击检测
设备用于:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对
中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
23.一种计算机系统,其特征在于,包括攻击检测设备和目标主机;
所述攻击检测设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述攻击检测设备的处理器执行所述程序时实现如下过程:
获取由目标主机发起建立的链路中的网络会话报文,所述网络会话报文包括会话请求报文和会话响应报文;
从所述网络会话报文中通过跳包机制判断是否需要对会话过程中的第一个所述会话请求报文进行跳包,识别疑似攻击请求响应报文对,所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文,所述攻击检测设备用于:
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号;
所述目标主机包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述目标主机的处理器执行所述程序时实现如下过程:
接收到所述端口号,查找所述端口号对应的进程,并结束所述进程。
CN201811191765.2A 2018-10-12 2018-10-12 反弹式网络攻击的防护方法、装置、设备、系统 Active CN111049782B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811191765.2A CN111049782B (zh) 2018-10-12 2018-10-12 反弹式网络攻击的防护方法、装置、设备、系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811191765.2A CN111049782B (zh) 2018-10-12 2018-10-12 反弹式网络攻击的防护方法、装置、设备、系统

Publications (2)

Publication Number Publication Date
CN111049782A CN111049782A (zh) 2020-04-21
CN111049782B true CN111049782B (zh) 2023-02-17

Family

ID=70229979

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811191765.2A Active CN111049782B (zh) 2018-10-12 2018-10-12 反弹式网络攻击的防护方法、装置、设备、系统

Country Status (1)

Country Link
CN (1) CN111049782B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111737626A (zh) * 2020-06-28 2020-10-02 深信服科技股份有限公司 一种数据过滤方法、装置、系统、设备和介质
CN114884684A (zh) * 2021-01-21 2022-08-09 华为技术有限公司 攻击成功识别方法及防护设备
CN113139193A (zh) * 2021-04-23 2021-07-20 杭州安恒信息技术股份有限公司 一种反弹shell风险判定方法、装置和系统
CN114301697A (zh) * 2021-12-29 2022-04-08 山石网科通信技术股份有限公司 数据攻击检测方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104796405A (zh) * 2015-03-18 2015-07-22 深信服网络科技(深圳)有限公司 反弹连接检测方法和装置
CN107241301A (zh) * 2016-03-29 2017-10-10 阿里巴巴集团控股有限公司 防御反射攻击的方法、装置和系统
CN108471429A (zh) * 2018-06-29 2018-08-31 北京奇虎科技有限公司 一种网络攻击告警方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102088299B1 (ko) * 2016-11-10 2020-04-23 한국전자통신연구원 분산 반사 서비스 거부 공격 탐지 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104796405A (zh) * 2015-03-18 2015-07-22 深信服网络科技(深圳)有限公司 反弹连接检测方法和装置
CN107241301A (zh) * 2016-03-29 2017-10-10 阿里巴巴集团控股有限公司 防御反射攻击的方法、装置和系统
CN108471429A (zh) * 2018-06-29 2018-08-31 北京奇虎科技有限公司 一种网络攻击告警方法及系统

Also Published As

Publication number Publication date
CN111049782A (zh) 2020-04-21

Similar Documents

Publication Publication Date Title
CN111049782B (zh) 反弹式网络攻击的防护方法、装置、设备、系统
CN111049781B (zh) 一种反弹式网络攻击的检测方法、装置、设备及存储介质
CN104768139B (zh) 一种短信发送的方法及装置
US11290484B2 (en) Bot characteristic detection method and apparatus
CN111314358B (zh) 攻击防护方法、装置、系统、计算机存储介质及电子设备
CN110839017B (zh) 代理ip地址识别方法、装置、电子设备及存储介质
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
CN107634964B (zh) 一种针对waf的测试方法及装置
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
CN111385270A (zh) 基于waf的网络攻击检测方法及装置
CN112600852B (zh) 漏洞攻击处理方法、装置、设备及存储介质
CN111049786A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN111314328A (zh) 网络攻击防护方法、装置、存储介质及电子设备
CN112789835A (zh) 攻击者信息的获取方法、装置、设备和存储介质
CN111049783A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN111565203A (zh) 业务请求的防护方法、装置、系统和计算机设备
CN111049784A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN106656975B (zh) 一种攻击防御方法及装置
CN111049780B (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN104378327A (zh) 网络攻击防护方法、装置及系统
CN112751861A (zh) 一种基于密网和网络大数据的恶意邮件检测方法及系统
CN112738110A (zh) 一种旁路阻断方法、装置、电子设备和存储介质
KR102346751B1 (ko) 악성파일을 이용한 악성 트래픽 생성 방법 및 장치
CN109617893B (zh) 一种僵尸网络DDoS攻击的防护方法、装置及存储介质
CN111385271A (zh) 网络攻击的检测方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant