CN111049784B - 一种网络攻击的检测方法、装置、设备及存储介质 - Google Patents
一种网络攻击的检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111049784B CN111049784B CN201811191807.2A CN201811191807A CN111049784B CN 111049784 B CN111049784 B CN 111049784B CN 201811191807 A CN201811191807 A CN 201811191807A CN 111049784 B CN111049784 B CN 111049784B
- Authority
- CN
- China
- Prior art keywords
- attack
- request message
- detection
- dns request
- attack detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种网络攻击的检测方法、装置、计算机设备及存储介质。其方法包括:获取目标主机发送的DNS请求报文;从所述DNS请求报文中提取待检测特征数据;对所述待检测特征数据进行攻击检测,并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果;在确定所述DNS请求报文中存在攻击执行结果后,向所述目标主机发送告警提示信息,所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击。本发明实施例实现了对漏洞探测攻击的检测。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种网络攻击的检测方法、装置、设备及存储介质。
背景技术
随着计算机技术的不断发展和互联网的普及,网络攻击形式层出不穷,网络安全问题日益突出,造成的社会影响和经济损失越来越大,对网络威胁检测与防御提出了新的需求和挑战。
其中一种网络攻击方式是基于DNS(Domain Name System,域名系统)报文对目标主机进行漏洞探测攻击,具体攻击方式为:攻击者通过一台主机向目标主机发送网络命令,该网络命令中不包含攻击指令,但指示目标主机向攻击者的DNS服务器发送DNS请求,并在该DNS请求中携带上述网络命令指示需要获取的信息。即目标主机在向攻击者的DNS服务器发送的DNS请求中携带攻击执行结果,相应的,攻击者的DNS服务器可以通过该DNS请求中携带的信息(攻击执行结果)获知目标主机是否存在漏洞,以便后续利用漏洞实施攻击。
上述攻击方式仅用于探测目标主机是否存在漏洞,并没有实施真正的攻击行为,因此难以通过传统检测方法检测。
发明内容
本发明实施例提供及一种网络攻击的检测方法、装置、设备及存储介质,以实现对漏洞探测攻击的检测,以便目标主机及时发现该攻击并进行漏洞修复,从而提高目标主机的安全性。
第一方面,本发明实施例提供一种网络攻击的检测方法,包括:
获取目标主机发送的DNS请求报文;
从所述DNS请求报文中提取待检测特征数据;
对所述待检测特征数据进行攻击检测,并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果。
可选的,所述对所述待检测特征数据进行攻击检测,包括:
调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测,所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的。
可选的,建立所述攻击检测模型的过程包括:
收集模型训练报文,所述模型训练报文为包含已知攻击执行结果的DNS请求报文;
从所述模型训练报文中提取包含已知攻击执行结果的特征数据;
对所述特征数据进行处理,获得特征数据样本;
根据所述特征数据样本进行模型训练,获得所述攻击检测模型。
可选的,所述收集模型训练数据包括:
收集互联网已公开的包含已知攻击执行结果的DNS请求报文、通过模拟攻击采集的由所述目标主机发送的包含已知攻击执行结果的DNS请求报文。
可选的,所述根据所述特征数据样本进行模型训练,获得所述攻击检测模型,包括:
根据所述特征数据样本,采用深度学习算法进行模型训练,获得所述攻击检测模型。
可选的,所述对所述待检测特征数据进行攻击检测包括:
调用攻击检测脚本对所述待检测特征数据进行攻击检测。
可选的,所述调用攻击检测脚本对所述待检测特征数据进行攻击检测包括:
调用多个攻击检测脚本对所述检测特征数据进行攻击检测,不同攻击检测脚本对应不同的攻击执行结果。
可选的,所述获取目标主机发送的DNS请求报文,包括:
获取所述目标主机的DNS日志;从所述DNS日志中获取所述目标主机发送的DNS请求报文;或者,
监听所述目标主机的DNS报文端口;从监听结果中获取所述目标主机发送的DNS请求报文。
可选的,所述从所述DNS请求报文中提取待检测特征数据,包括:
从所述DNS请求报文中提取报文载荷作为待检测特征数据。
第二方面,本发明实施例提供一种网络攻击的检测装置,包括:
DNS请求报文获取模块,用于获取目标主机发送的DNS请求报文;
待检测特征提取模块,用于从所述DNS请求报文中提取待检测特征数据;
攻击检测模块,用于对所述待检测特征数据进行攻击检测,并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果;
告警提示模块,用于在确定所述DNS请求报文中存在攻击执行结果后,向所述目标主机发送告警提示信息,所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击。
可选的,所述攻击检测模块用于:
调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测,所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的。
可选的,还包括攻击检测模型建立模块,用于:
收集模型训练报文,所述模型训练报文为包含已知攻击执行结果的DNS请求报文;
从所述模型训练报文中提取包含已知攻击执行结果的特征数据;
对所述特征数据进行处理,获得特征数据样本;
根据所述特征数据样本进行模型训练,获得所述攻击检测模型。
可选的,所述收集模型训练数据包括:
收集互联网已公开的包含已知攻击执行结果的DNS请求报文、通过模拟攻击采集的由所述目标主机发送的包含已知攻击执行结果的DNS请求报文。
可选的,为根据所述特征数据样本进行模型训练,获得所述攻击检测模型,所述攻击检测模型建立模块用于:
根据所述特征数据样本,采用深度学习算法进行模型训练,获得所述攻击检测模型。
可选的,所述攻击检测模块用于:
调用攻击检测脚本对所述待检测特征数据进行攻击检测。
可选的,所述攻击检测模块用于:
调用多个攻击检测脚本对所述检测特征数据进行攻击检测,不同攻击检测脚本对应不同的攻击执行结果。
可选的,所述DNS请求报文获取模块用于:
获取所述目标主机的DNS日志;从所述DNS日志中获取所述目标主机发送的DNS请求报文;或者,
监听所述目标主机的DNS报文端口;从监听结果中获取所述目标主机发送的DNS请求报文。
可选的,所述待检测特征提取模块用于:
从所述DNS请求报文中提取报文载荷作为待检测特征数据。
第三方面,本发明实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意方法实施例的步骤。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意方法实施例的步骤。
本发明实施例有益效果如下:
本发明实施例提供的方法、装置、设备及存储介质,从目标主机发送的DNS请求报文中提取待检测特征数据,并对其进行攻击检测,以确定DNS请求报文中是否存在攻击执行结果。若DNS请求报文中携带攻击执行结果,则表示有攻击者在探测目标主机是否存在漏洞。因此,采用本发明实施例提供的方法可以实现对是否有攻击者探测目标主机漏洞这一攻击方式进行检测,并将检测到的漏洞探测攻击告知目标主机,以便目标主机及时获知攻击,并进一步进行漏洞修复,从而提高目标主机的安全性。
附图说明
图1为本发明实施例提供的检测网络攻击的应用场景示意图;
图2为本发明实施例提供的网络攻击的检测方法流程图;
图3为本发明实施例提供的网络攻击的检测装置示意图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明实施例的技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明实施例技术方案的详细的说明,而不是对本说明书技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
本发明实施例的应用场景如图1所示。其中,攻击者的一台主机101向目标主机102发送网络命令,该网络命令指示目标主机102与攻击者的DNS服务器103发送DNS请求报文,并在该DNS请求报文中携带上述网络命令指示需要获取的信息。即目标主机在向攻击者的DNS服务器发送的DNS请求中携带攻击执行结果。目标主机102与攻击者的两台主机之间传输的报文经由交换设备104转发,攻击检测设备105从交换设备104获取由目标主机102发送的DNS请求报文,从中提取待检测特征数据,并对待检测特征数据进行攻击检测,根据检测结果确定DNS请求报文中是否携带攻击执行结果,在确定DNS请求报文中携带攻击执行结果后,向目标主机发送告警提示信息,以提示存在基于DNS报文的漏洞探测攻击。
其中,目标主机102可以是提供各种服务的服务器,也可以是能够实现特定功能的个人计算机,还可以是其他能够提供网络服务的网络设备。
攻击者的其中一台主机101可以是具有显示功能并且支持交互功能的各种电子设备,包括但不限于智能手机、平板电脑、个人计算机以及台式计算机等。
交换设备104可以但不仅限于是交换机、路由器。
攻击检测设备105可以但不仅限于采用网络嗅探、网络端口镜像等方式获取网络报文,攻击检测设备105可以但不仅限于是镜像设备、旁路设备。
对于目标主机102的报文的采集,可以采用网络嗅探方式获取,也可以通过网络端口镜像方式获取。所述网络嗅探方式是指将所述目标主机102的网卡设置为混杂模式,通过调用网络截包工具来捕获所述目标主机102的报文。所述网络端口镜像方式是指将目标主机102的采集端口映射到另一端口,对数据进行实时拷贝,从而获得目标主机102的报文。当然,采集目标主机102的报文的具体实现方式并不限于上述两种方式,本发明实施例对此不作限定。
其中,攻击检测设备105可以监测目标主机的DNS端口,从而获取DNS请求报文。DNS请求端口是用于传输DNS报文的端口,通常采用53端口。
除了图1所示的应用场景,攻击检测设备还可以获取目标主机的DNS日志,从DNS日志中获取DNS请求报文。那么,攻击检测设备可以直接与目标主机通信,从而获取DNS日志,或者,有目标主机实现攻击检测设备的功能。
第一方面,本发明实施例提供一种网络攻击的检测方法,请参考图2,包括:
步骤201、获取目标主机发送的DNS请求报文。
步骤202、从上述DNS请求报文中提取待检测特征数据。
本发明实施例中,带检测特征数据是可能包含攻击执行结果的数据,可以是报文中的特定字段,也可以是完整的报文载荷。
步骤203、对上述待检测特征数据进行攻击检测,并根据检测结果确定上述DNS请求报文中是否存在攻击执行结果。
本发明实施例中,攻击类型可以是命令执行,相应的攻击执行结果为攻击命令执行结果,攻击类型也可以是SQL注入,相应的攻击执行结果为SQL注入执行结果,攻击类型还可以是代码执行攻击,相应的攻击执行结果为代码执行结果。当然,攻击类型不仅限于上述例举的三种。
步骤204、在确定上述DNS请求报文中存在攻击执行结果后,向上述目标主机发送告警提示信息,该告警提示信息用于提示存在基于DNS报文的漏洞探测攻击。
若DNS请求报文中存在攻击执行结果,表示有攻击者对目标主机进行漏洞探测攻击,因此,需要向目标主机发送告警提示。
以攻击类型为命令执行为例,正常的DNS请求报文中请求的DNS域名形式为www.XXX.XX,对于基于命令执行发起的DNS请求,即攻击者通过一台主机发送网络攻击命令,指示目标主机在向攻击者的DNS服务器发送的DNS请求中携带ID信息,那么,目标主机向攻击者的DNS服务器发送的DNS请求中的域名形式可能为:
Root()XXX.XXX.XXX
其中,root()XXX即为攻击执行结果。
本发明实施例中,在告警提示信息中还可以进一步携带反映攻击执行结果或执行命令的内容,以便目标主机根据这些内容尽快确定可能的漏洞形式。
本发明实施例提供的网络攻击的检测方法,从目标主机发送的DNS请求报文中提取待检测特征数据,并对其进行攻击检测,以确定DNS请求报文中是否存在攻击执行结果。若DNS请求报文中携带攻击执行结果,则表示有攻击者在探测目标主机是否存在漏洞。因此,采用本发明实施例提供的方法可以实现对是否有攻击者探测目标主机漏洞这一攻击方式进行检测,并将检测到的漏洞探测攻击告知目标主机,以便目标主机及时获知攻击,并进一步进行漏洞修复,从而提高目标主机的安全性。
下面分别说明上述过程中的各个步骤的实现方式。
本发明实施例中,上述步骤201的实现方式至少有如下两种:通过DNS日志获取,或者通过监听DNS端口获取。
若通过DNS日志获取,具体的,获取目标主机的DNS日志,从所述DNS日志中获取目标主机发送的DNS请求报文。
若通过DNS端口获取,具体的,监听目标主机的DNS端口(例如目标主机的53端口),从监听结果中获取目标主机发送的DNS请求报文。
本发明实施例中,上述步骤202的实现方式有多种,例如,可以提取完整的报文载荷作为待检测特征数据,也可以提取报文中的特定字段作为待检测特征数据。
若提取报文中的特定字段作为待检测特征数据,那么,该特定字段是已知攻击执行结果所在字段。具体的,对DNS请求报文进行拆解,获取其中的特定字段。这种实现方式,由于待检测的字段是之前出现过攻击执行结果的字段,因此检测精度较高。
若提取报文的报文载荷作为待检测特征字段,则不需要根据其通信协议对其进行解析,进而也不需要拆解报文,而是接对报文载荷进行检测,从而判断是否存在网络攻击。由于不需要进行通信协议的解析、拆解,因此提高了检测的效率,且可降低漏报率。
本发明实施例中,上述步骤203的实现方式有多种,例如,可以通过攻击检测模型进行攻击检测,也可以通过检测脚本进行攻击检测,还可以通过规则集进行攻击检测,还可以采用两种以上的检测方式配合进行攻击检测。
上述各个攻击检测方式适用于上述任意形式的待检测特征数据。
若通过攻击检测模型进行攻击检测,具体的,调用预先建立的攻击检测模型对上述待检测特征数据进行攻击检测。其中,攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的。
本发明实施例中,可以但不仅限于采用如下方式建立攻击检测模型:收集模型训练报文,该模型训练报文为包含已知攻击执行结果的DNS请求报文;从该模型训练报文中提取包含已知攻击执行结果的特征数据;对特征数据进行处理,获得特征数据样本;根据特征数据样本进行模型训练,获得所述攻击检测模型。
其中,模型训练所需的包含已知攻击执行结果的特征数据包括互联网已公开的DNS请求报文中的包含已知攻击执行结果的特征数据、和/或,通过模拟攻击由目标主机或其他服务器生成的DNS请求报文中的包含已知攻击执行结果的特征数据。
在本实施例中,进行模型训练采用的算法为深度学习算法。进一步地,可采用有监督学习的深度学习算法,也可以采用无监督学习的深度学习算法。
若采用深度学习算法,那么,从模型训练报文中提取包含已知攻击执行结果的特征数据可以通过算法实现,无需人工提取特征。
本实施例中,对特征数据进行处理的实现方式有多种,以有监督深度学习算法为例,对特征数据进行处理包括:对特征数据进行数据清洗、标注,得到特征数据样本。
其中,通过对特征数据进行标注,可实现对特征数据进行分类,相应的,在利用攻击检测模型进行攻击检测时,不仅能检测出是否存在漏洞探测攻击,还可以确定攻击执行结果的类型。若将该攻击执行结果的类型携带在告警提示信息中反馈给目标主机,有助于目标主机准确定位潜在漏洞。
若通过检测脚本进行攻击检测,具体的,调用攻击检测脚本对上述待检测特征数据进行攻击检测。由于脚本可以动态注册、加载、删除,因此,利用检测脚本较之传统的规则匹配检测更灵活。另外,采用检测脚本进行攻击检测,其漏报率较低。
本发明实施例中,攻击者通过一台主机发送的网络命令不同,目标主机向攻击者的DNS服务器发送的DNS请求报文中携带的攻击执行结果也不同。为进一步提高检测精度,可以注册多个检测脚本,不同的检测脚本对应不同的攻击执行结果。
本发明实施例提供的技术方案,若仅需要判断是否存在漏洞探测攻击,不需要获知具体的攻击执行结果,或者不需要知晓全部的攻击执行结果,那么可以依次调用各个检测脚本进行攻击检测,直至检测到攻击执行结果。也就是说,一旦检测出攻击执行结果,不需要再调用其他检测脚本进行检测,即可输出告警提示信息。
若不仅需要判断是否存在漏洞探测攻击,还希望获知所有的攻击执行结果,那么可以调用所有检测脚本进行攻击检测,并记录检测到的攻击执行结果的具体内容和/或类型。
若采用规则集进行攻击检测,那么,预先获取已知攻击执行结果,根据获取的信息建立规则集(例如正则表达式),利用建立的规则集对待检测特征数据进行匹配,若匹配成功,则确定存在攻击执行结果。
第二方面,基于同一发明构思,本发明实施例提供一种网络攻击的检测装置,请参考图3,包括:
DNS请求报文获取模块301,用于获取目标主机发送的DNS请求报文;
待检测特征提取模块302,用于从所述DNS请求报文中提取待检测特征数据;
攻击检测模块303,用于对所述待检测特征数据进行攻击检测,并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果;
告警提示模块304,用于在确定上述DNS请求报文中存在攻击执行结果后,向目标主机发送告警提示信息,,所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击。
本发明实施例提供的网络攻击的检测装置,从目标主机发送的DNS请求报文中提取待检测特征数据,并对其进行攻击检测,以确定DNS请求报文中是否存在攻击执行结果。若DNS请求报文中携带攻击执行结果,则表示有攻击者在探测目标主机是否存在漏洞。因此,采用本发明实施例提供的方法可以实现对是否有攻击者探测目标主机漏洞这一攻击方式进行检测,并将检测到的漏洞探测攻击告知目标主机,以便目标主机及时获知攻击,并进一步进行漏洞修复,从而提高目标主机的安全性。
本发明实施例中,上述攻击检测模块303的实现方式有多种。
在攻击检测模型303的一种实现方式中,攻击检测模块303用于:调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测,所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的。
相应的,还包括攻击检测模型建立模块。攻击检测模型建立模块的实现方式有多种,在其中一种实现方式中,攻击检测模型建立模块用于:
收集模型训练报文,所述模型训练报文为包含已知攻击执行结果的DNS请求报文;
从所述模型训练报文中提取包含已知攻击执行结果的特征数据;
对所述特征数据进行处理,获得特征数据样本;
根据所述特征数据样本进行模型训练,获得所述攻击检测模型。
其中,模型训练所需的包含已知攻击执行结果的特征数据包括互联网已公开的DNS请求报文中的包含已知攻击执行结果的特征数据、和/或,通过模拟攻击由目标主机或其他服务器生成的DNS请求报文中的包含已知攻击执行结果的特征数据。
在本实施例中,进行模型训练采用的算法为深度学习算法。进一步地,可采用有监督学习的深度学习算法,也可以采用无监督学习的深度学习算法。
若采用深度学习算法,那么,从模型训练报文中提取包含已知攻击执行结果的特征数据可以通过算法实现,无需人工提取特征。
本实施例中,对特征数据进行处理的实现方式有多种,以有监督深度学习算法为例,对特征数据进行处理包括:对特征数据进行数据清洗、标注,得到特征数据样本。
其中,通过对特征数据进行标注,可实现对特征数据进行分类,相应的,在利用攻击检测模型进行攻击检测时,不仅能检测出是否存在漏洞探测攻击,还可以确定攻击执行结果的类型。若将该攻击执行结果的类型携带在告警提示信息中反馈给目标主机,有助于目标主机准确定位潜在漏洞。
在攻击检测模型303的另一种实现方式中,攻击检测模块303用于:调用攻击检测脚本对所述待检测特征数据进行攻击检测。
由于脚本可以动态注册、加载、删除,因此,利用检测脚本较之传统的规则匹配检测更灵活。另外,采用检测脚本进行攻击检测,其漏报率较低。
本发明实施例中,攻击者通过一台主机发送的网络命令不同,目标主机向攻击者的DNS服务器发送的DNS请求报文中携带的攻击执行结果也不同。为进一步提高检测精度,可以注册多个检测脚本,不同的检测脚本对应不同的攻击执行结果。相应的,攻击检测模块303调用多个攻击检测脚本对所述检测特征数据进行攻击检测,不同攻击检测脚本对应不同的攻击执行结果。
本发明实施例提供的技术方案,若仅需要判断是否存在漏洞探测攻击,不需要获知具体的攻击执行结果,或者不需要知晓全部的攻击执行结果,那么可以依次调用各个检测脚本进行攻击检测,直至检测到攻击执行结果。也就是说,一旦检测出攻击执行结果,不需要再调用其他检测脚本进行检测,即可输出告警提示信息。
若不仅需要判断是否存在漏洞探测攻击,还希望获知所有的攻击执行结果,那么可以调用所有检测脚本进行攻击检测,并记录检测到的攻击执行结果的具体内容和/或类型。
在攻击检测模型303的又一种实现方式中,攻击检测模块303采用规则集进行攻击检测,那么,预先获取已知攻击执行结果,根据获取的信息建立规则集(例如正则表达式),利用建立的规则集对待检测特征数据进行匹配,若匹配成功,则确定存在攻击执行结果。
在上述任意装置实施例的基础上,DNS请求报文获取模块301获取DNS请求报文的实现方式有多种,既可以获取所述目标主机的DNS日志,从所述DNS日志中获取所述目标主机发送的DNS请求报文;也可以监听所述目标主机的DNS报文端口,从监听结果中获取所述目标主机发送的DNS请求报文。
在上述任意装置实施例的基础上,待检测特征数据提取模块302可以提取完整的报文载荷作为待检测特征数据,也可以提取报文中的特定字段作为待检测特征数据。
若提取报文中的特定字段作为待检测特征数据,那么,该特定字段是已知攻击执行结果所在字段。具体的,对DNS请求报文进行拆解,获取其中的特定字段。这种实现方式,由于待检测的字段是之前出现过攻击执行结果的字段,因此检测精度较高。
若提取报文的报文载荷作为待检测特征字段,则不需要根据其通信协议对其进行解析,进而也不需要拆解报文,而是接对报文载荷进行检测,从而判断是否存在网络攻击。由于不需要进行通信协议的解析、拆解,因此提高了检测的效率,且可降低漏报率。
第三方面,本发明实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意方法实施例的步骤。
本发明实施例提供的计算机设备,从目标主机发送的DNS请求报文中提取待检测特征数据,并对其进行攻击检测,以确定DNS请求报文中是否存在攻击执行结果。若DNS请求报文中携带攻击执行结果,则表示有攻击者在探测目标主机是否存在漏洞。因此,采用本发明实施例提供的方法可以实现对是否有攻击者探测目标主机漏洞这一攻击方式进行检测,并将检测到的漏洞探测攻击告知目标主机,以便目标主机及时获知攻击,并进一步进行漏洞修复,从而提高目标主机的安全性。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意方法实施例的步骤。
本发明实施例提供的计算机可读存储介质,从目标主机发送的DNS请求报文中提取待检测特征数据,并对其进行攻击检测,以确定DNS请求报文中是否存在攻击执行结果。若DNS请求报文中携带攻击执行结果,则表示有攻击者在探测目标主机是否存在漏洞。因此,采用本发明实施例提供的方法可以实现对是否有攻击者探测目标主机漏洞这一攻击方式进行检测,并将检测到的漏洞探测攻击告知目标主机,以便目标主机及时获知攻击,并进一步进行漏洞修复,从而提高目标主机的安全性。
本说明书是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的设备。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令设备的制造品,该指令设备实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本说明书的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本说明书范围的所有变更和修改。
显然,本领域的技术人员可以对本说明书进行各种改动和变型而不脱离本说明书的精神和范围。这样,倘若本说明书的这些修改和变型属于本说明书权利要求及其等同技术的范围之内,则本说明书也意图包含这些改动和变型在内。
本发明实施例公开了:
A1、一种网络攻击的检测方法,其特征在于,包括:
获取目标主机发送的DNS请求报文;
从所述DNS请求报文中提取待检测特征数据;
对所述待检测特征数据进行攻击检测,并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果;
在确定所述DNS请求报文中存在攻击执行结果后,向所述目标主机发送告警提示信息,所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击。
A2、根据A1所述的方法,其特征在于,所述对所述待检测特征数据进行攻击检测,包括:
调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测,所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的。
A3、根据A2所述的方法,其特征在于,建立所述攻击检测模型的过程包括:
收集模型训练报文,所述模型训练报文为包含已知攻击执行结果的DNS请求报文;
从所述模型训练报文中提取包含已知攻击执行结果的特征数据;
对所述特征数据进行处理,获得特征数据样本;
根据所述特征数据样本进行模型训练,获得所述攻击检测模型。
A4、根据A3所述的方法,其特征在于,所述收集模型训练数据包括:
收集互联网已公开的包含已知攻击执行结果的DNS请求报文、通过模拟攻击采集的由所述目标主机发送的包含已知攻击执行结果的DNS请求报文。
A5、根据A3所述的方法,其特征在于,所述根据所述特征数据样本进行模型训练,获得所述攻击检测模型,包括:
根据所述特征数据样本,采用深度学习算法进行模型训练,获得所述攻击检测模型。
A6、根据A2所述的方法,其特征在于,所述对所述待检测特征数据进行攻击检测包括:
调用攻击检测脚本对所述待检测特征数据进行攻击检测。
A7、根据A6所述的方法,其特征在于,所述调用攻击检测脚本对所述待检测特征数据进行攻击检测包括:
调用多个攻击检测脚本对所述检测特征数据进行攻击检测,不同攻击检测脚本对应不同的攻击执行结果。
A8、根据A1~A7任一项所述的方法,其特征在于,所述获取目标主机发送的DNS请求报文,包括:
获取所述目标主机的DNS日志;从所述DNS日志中获取所述目标主机发送的DNS请求报文;或者,
监听所述目标主机的DNS报文端口;从监听结果中获取所述目标主机发送的DNS请求报文。
A9、根据A1~A7任一项所述的方法,其特征在于,所述从所述DNS请求报文中提取待检测特征数据,包括:
从所述DNS请求报文中提取报文载荷作为待检测特征数据。
B10、一种网络攻击的检测装置,其特征在于,包括:
DNS请求报文获取模块,用于获取目标主机发送的DNS请求报文;
待检测特征提取模块,用于从所述DNS请求报文中提取待检测特征数据;
攻击检测模块,用于对所述待检测特征数据进行攻击检测,并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果;
告警提示模块,用于在确定所述DNS请求报文中存在攻击执行结果后,向所述目标主机发送告警提示信息,所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击。
B11、根据B10所述的装置,其特征在于,所述攻击检测模块用于:
调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测,所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的。
B12、根据B11所述的装置,其特征在于,还包括攻击检测模型建立模块,用于:
收集模型训练报文,所述模型训练报文为包含已知攻击执行结果的DNS请求报文;
从所述模型训练报文中提取包含已知攻击执行结果的特征数据;
对所述特征数据进行处理,获得特征数据样本;
根据所述特征数据样本进行模型训练,获得所述攻击检测模型。
B13、根据B12所述的装置,其特征在于,所述收集模型训练数据包括:
收集互联网已公开的包含已知攻击执行结果的DNS请求报文、通过模拟攻击采集的由所述目标主机发送的包含已知攻击执行结果的DNS请求报文。
B14、根据B12所述的装置,其特征在于,为根据所述特征数据样本进行模型训练,获得所述攻击检测模型,所述攻击检测模型建立模块用于:
根据所述特征数据样本,采用深度学习算法进行模型训练,获得所述攻击检测模型。
B15、根据B11所述的装置,其特征在于,所述攻击检测模块用于:
调用攻击检测脚本对所述待检测特征数据进行攻击检测。
B16、根据B15所述的装置,其特征在于,所述攻击检测模块用于:
调用多个攻击检测脚本对所述检测特征数据进行攻击检测,不同攻击检测脚本对应不同的攻击执行结果。
B17、根据B10~B16任一项所述的装置,其特征在于,所述DNS请求报文获取模块用于:
获取所述目标主机的DNS日志;从所述DNS日志中获取所述目标主机发送的DNS请求报文;或者,
监听所述目标主机的DNS报文端口;从监听结果中获取所述目标主机发送的DNS请求报文。
B18、根据B10~B16任一项所述的装置,其特征在于,所述待检测特征提取模块用于:
从所述DNS请求报文中提取报文载荷作为待检测特征数据。
C19、一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现A1至A9任一项所述的方法。
D20、一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现D1至D9任一项所述的方法。
Claims (18)
1.一种网络攻击的检测方法,其特征在于,包括:
获取目标主机发送的DNS请求报文;
从所述DNS请求报文中提取待检测特征数据;
对所述待检测特征数据进行攻击检测,并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果;
在确定所述DNS请求报文中存在攻击执行结果后,向所述目标主机发送告警提示信息,所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击;
所述对所述待检测特征数据进行攻击检测,包括:
调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测,所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的;
其中,所述攻击执行结果包括攻击命令执行结果或SQL注入执行结果或代码执行结果。
2.根据权利要求1所述的方法,其特征在于,建立所述攻击检测模型的过程包括:
收集模型训练报文,所述模型训练报文为包含已知攻击执行结果的DNS请求报文;
从所述模型训练报文中提取包含已知攻击执行结果的特征数据;
对所述特征数据进行处理,获得特征数据样本;
根据所述特征数据样本进行模型训练,获得所述攻击检测模型。
3.根据权利要求2所述的方法,其特征在于,所述收集模型训练数据包括:
收集互联网已公开的包含已知攻击执行结果的DNS请求报文、通过模拟攻击采集的由所述目标主机发送的包含已知攻击执行结果的DNS请求报文。
4.根据权利要求2所述的方法,其特征在于,所述根据所述特征数据样本进行模型训练,获得所述攻击检测模型,包括:
根据所述特征数据样本,采用深度学习算法进行模型训练,获得所述攻击检测模型。
5.根据权利要求1所述的方法,其特征在于,所述对所述待检测特征数据进行攻击检测包括:
调用攻击检测脚本对所述待检测特征数据进行攻击检测。
6.根据权利要求5所述的方法,其特征在于,所述调用攻击检测脚本对所述待检测特征数据进行攻击检测包括:
调用多个攻击检测脚本对所述检测特征数据进行攻击检测,不同攻击检测脚本对应不同的攻击执行结果。
7.根据权利要求1~6任一项所述的方法,其特征在于,所述获取目标主机发送的DNS请求报文,包括:
获取所述目标主机的DNS日志;从所述DNS日志中获取所述目标主机发送的DNS请求报文;或者,
监听所述目标主机的DNS报文端口;从监听结果中获取所述目标主机发送的DNS请求报文。
8.根据权利要求1~6任一项所述的方法,其特征在于,所述从所述DNS请求报文中提取待检测特征数据,包括:
从所述DNS请求报文中提取报文载荷作为待检测特征数据。
9.一种网络攻击的检测装置,其特征在于,包括:
DNS请求报文获取模块,用于获取目标主机发送的DNS请求报文;
待检测特征提取模块,用于从所述DNS请求报文中提取待检测特征数据;
攻击检测模块,用于对所述待检测特征数据进行攻击检测,并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果;
告警提示模块,用于在确定所述DNS请求报文中存在攻击执行结果后,向所述目标主机发送告警提示信息,所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击;
所述攻击检测模块用于:
调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测,所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的;
其中,所述攻击执行结果包括攻击命令执行结果或SQL注入执行结果或代码执行结果。
10.根据权利要求9所述的装置,其特征在于,还包括攻击检测模型建立模块,用于:
收集模型训练报文,所述模型训练报文为包含已知攻击执行结果的DNS请求报文;
从所述模型训练报文中提取包含已知攻击执行结果的特征数据;
对所述特征数据进行处理,获得特征数据样本;
根据所述特征数据样本进行模型训练,获得所述攻击检测模型。
11.根据权利要求10所述的装置,其特征在于,所述收集模型训练数据包括:
收集互联网已公开的包含已知攻击执行结果的DNS请求报文、通过模拟攻击采集的由所述目标主机发送的包含已知攻击执行结果的DNS请求报文。
12.根据权利要求10所述的装置,其特征在于,为根据所述特征数据样本进行模型训练,获得所述攻击检测模型,所述攻击检测模型建立模块用于:
根据所述特征数据样本,采用深度学习算法进行模型训练,获得所述攻击检测模型。
13.根据权利要求9所述的装置,其特征在于,所述攻击检测模块用于:
调用攻击检测脚本对所述待检测特征数据进行攻击检测。
14.根据权利要求13所述的装置,其特征在于,所述攻击检测模块用于:
调用多个攻击检测脚本对所述检测特征数据进行攻击检测,不同攻击检测脚本对应不同的攻击执行结果。
15.根据权利要求9~14任一项所述的装置,其特征在于,所述DNS请求报文获取模块用于:
获取所述目标主机的DNS日志;从所述DNS日志中获取所述目标主机发送的DNS请求报文;或者,
监听所述目标主机的DNS报文端口;从监听结果中获取所述目标主机发送的DNS请求报文。
16.根据权利要求9~14任一项所述的装置,其特征在于,所述待检测特征提取模块用于:
从所述DNS请求报文中提取报文载荷作为待检测特征数据。
17.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至8任一项所述的方法。
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至8任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811191807.2A CN111049784B (zh) | 2018-10-12 | 2018-10-12 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811191807.2A CN111049784B (zh) | 2018-10-12 | 2018-10-12 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049784A CN111049784A (zh) | 2020-04-21 |
| CN111049784B true CN111049784B (zh) | 2023-08-01 |
Family
ID=70230551
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811191807.2A Active CN111049784B (zh) | 2018-10-12 | 2018-10-12 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049784B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217828A (zh) * | 2020-10-16 | 2021-01-12 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN115001761A (zh) * | 2022-05-20 | 2022-09-02 | 裴志宏 | 基于dns解析的实时感知计算机被黑客远程控制的监测方法 |
| CN116318751B (zh) * | 2022-09-07 | 2023-10-03 | 上海金电网安科技有限公司 | 漏洞识别方法、装置、设备及存储介质 |
| CN115314322A (zh) * | 2022-10-09 | 2022-11-08 | 安徽华云安科技有限公司 | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404318A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
| WO2015120752A1 (zh) * | 2014-02-17 | 2015-08-20 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN107483458A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 网络攻击的识别方法及装置、计算机可读存储介质 |
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
| CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
| CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701B (zh) * | 2009-02-10 | 2013-11-20 | 中科信息安全共性技术国家工程研究中心有限公司 | 针对DNS服务器的抗DDoS安全网关系统 |
| CN101702660B (zh) * | 2009-11-12 | 2011-12-14 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN103152222B (zh) * | 2013-01-05 | 2015-11-18 | 中国科学院信息工程研究所 | 一种基于主机群特征检测速变攻击域名的方法 |
| CN105939321B (zh) * | 2015-12-07 | 2019-08-06 | 杭州迪普科技股份有限公司 | 一种dns攻击检测方法及装置 |
| US10044751B2 (en) * | 2015-12-28 | 2018-08-07 | Arbor Networks, Inc. | Using recurrent neural networks to defeat DNS denial of service attacks |
| CN106790062B (zh) * | 2016-12-20 | 2020-05-08 | 国家电网公司 | 一种基于反向dns查询属性聚合的异常检测方法及系统 |
| CN107733851B (zh) * | 2017-08-23 | 2020-05-01 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
| CN108076041A (zh) * | 2017-10-23 | 2018-05-25 | 中国银联股份有限公司 | 一种dns流量检测方法以及dns流量检测系统 |
| CN108234472A (zh) * | 2017-12-28 | 2018-06-29 | 北京百度网讯科技有限公司 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
| CN108200054B (zh) * | 2017-12-29 | 2021-02-12 | 奇安信科技集团股份有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
| CN108322463A (zh) * | 2018-01-31 | 2018-07-24 | 平安科技(深圳)有限公司 | DDoS攻击检测方法、装置、计算机设备和存储介质 |
-
2018
- 2018-10-12 CN CN201811191807.2A patent/CN111049784B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404318A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
| WO2015120752A1 (zh) * | 2014-02-17 | 2015-08-20 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
| CN107483458A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 网络攻击的识别方法及装置、计算机可读存储介质 |
| CN108347430A (zh) * | 2018-01-05 | 2018-07-31 | 国网山东省电力公司济宁供电公司 | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 |
| CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049784A (zh) | 2020-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111049784B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| EP3213207A1 (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| CN110730175A (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| WO2019014248A1 (en) | SYSTEMS AND METHODS FOR DETECTING VULNERABILITIES ON SERVERS | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN103997489A (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
| CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| CN111049780B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN107666468A (zh) | 网络安全检测方法和装置 | |
| CN112804263A (zh) | 一种面向物联网的漏洞扫描方法、系统及设备 | |
| CN110830500B (zh) | 网络攻击追踪方法、装置、电子设备及可读存储介质 | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| CN112699378A (zh) | 一种工控设备漏洞检测系统及方法 | |
| CN104660584B (zh) | 基于网络会话的木马病毒分析技术 | |
| CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230711 Address after: Room 03, 2nd Floor, Building A, No. 20 Haitai Avenue, Huayuan Industrial Zone (Huanwai), Binhai New Area, Tianjin, 300450 Applicant after: 3600 Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |