CN111049786A - 一种网络攻击的检测方法、装置、设备及存储介质 - Google Patents
一种网络攻击的检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111049786A CN111049786A CN201811192308.5A CN201811192308A CN111049786A CN 111049786 A CN111049786 A CN 111049786A CN 201811192308 A CN201811192308 A CN 201811192308A CN 111049786 A CN111049786 A CN 111049786A
- Authority
- CN
- China
- Prior art keywords
- message
- attack
- network
- packet
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 117
- 238000003860 storage Methods 0.000 title claims abstract description 11
- 238000000034 method Methods 0.000 claims abstract description 59
- 230000004044 response Effects 0.000 claims description 55
- 238000013515 script Methods 0.000 claims description 35
- 238000012549 training Methods 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 15
- 238000004140 cleaning Methods 0.000 claims description 7
- 238000002372 labelling Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000002347 injection Methods 0.000 description 5
- 239000007924 injection Substances 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000007635 classification algorithm Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络攻击的检测方法、装置、设备及存储介质。其方法包括:获取目标主机的网络报文;提取网络报文中的报文载荷,利用预先建立的攻击检测模型对报文载荷进行检测。本发明提供的技术方案,不需要对报文协议进行解析,一方面提高了检测效率,另一方面降低了漏检率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络攻击的检测方法、装置、设备及存储介质。
背景技术
随着计算机技术的不断发展和互联网的普及,网络攻击形式层出不穷,网络安全问题日益突出,造成的社会影响和经济损失越来越大,对网络威胁检测与防御提出了新的需求和挑战。网络攻击的常见方式是向目标服务器发送携带恶意命令/异常信息的网络请求,以诱骗目标服务器执行相应的恶意命令/处理异常信息,从而达到攻击的目的。快速、准确地发现网络攻击,对恶意代码及时准确捕获、分析、跟踪与监测,可以为网络安全态势指标评估和免疫决策提供知识支撑,从而提高网络安全应急组织的整体响应能力。
传统的网络攻击检测方法主要是对网络请求报文协议进行解析,从相应的待检测字段中获取数据进行检测,若检测出异常请求,进而对网络响应报文协议进行解析,从相应的待检测字段中获取数据进行检测,判断是否为成功攻击。传统的网络攻击检测方法能准确检测已知的网络攻击,但该方法检测效率较低、漏报率高。
发明内容
本发明实施例提供一种网络攻击的检测方法、装置、设备及存储介质,以提高网络攻击检测的效率,降低漏报率。
第一方面,本发明实施例提供一种网络攻击的检测方法,包括:
获取目标主机的网络报文;
提取所述网络报文的报文载荷;
利用预先建立的攻击检测模型对所述报文载荷进行检测,所述攻击检测模型是利用已知的攻击报文的报文载荷样本训练得到的。
可选的,所述网络报文为网络请求报文,所述获取目标主机的网络报文,包括:
获取发送给所述目标主机的网络请求报文。
可选的,建立攻击检测模型的过程包括:
获取作为网络请求发送的攻击报文;
从所述攻击报文中提取报文载荷;
对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本;
利用所述报文载荷样本训练得到攻击检测模型。
可选的,所述获取作为网络请求发送的攻击报文包括:
获取模拟攻击过程中作为网络请求发送的攻击报文。
可选的,所述获取作为网络请求发送的攻击报文包括:
获取通过其他检测方式检测出的攻击报文。
可选的,对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本,包括:
对所述攻击报文中提取的报文载荷进行数据清洗、标注,得到报文载荷样本。
可选的,在检测出所述网络报文为攻击报文后,该方法还包括:
获取所述目标主机的响应报文,所述响应报文为所述目标主机对所述网络报文的响应;
调用至少一个检测脚本对所述响应报文的攻击成功特征进行检测;
在检测出所述响应报文的攻击成功特征后,输出网络攻击成功提示。
第二方面,本发明实施例提供一种网络攻击的检测装置,包括:
网络报文获取模块,用于获取目标主机的网络报文;
报文载荷提取模块,用于提取所述网络报文的报文载荷;
攻击检测模块,用于利用预先建立的攻击检测模型对所述报文载荷进行检测,所述攻击检测模型是利用已知的攻击报文的报文载荷样本训练得到的。
可选的,所述网络报文为网络请求报文,所述网络报文获取模块用于:获取发送给所述目标主机的网络请求报文。
可选的,还包括攻击检测模型建立模块,用于:
获取作为网络请求发送的攻击报文;
从所述攻击报文中提取报文载荷;
对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本;
利用所述报文载荷样本训练得到攻击检测模型。
可选的,为获取作为网络请求发送的攻击报文,所述攻击检测模型建立模块用于:
获取模拟攻击过程中作为网络请求发送的攻击报文。
可选的,为获取作为网络请求发送的攻击报文,所述攻击检测模型建立模块用于:
获取通过其他检测方式检测出的攻击报文。
可选的,为获取作为网络请求发送的攻击报文,所述攻击检测模型建立模块用于:
对所述攻击报文中提取的报文载荷进行数据清洗、标注,得到报文载荷样本。
可选的,还包括攻击确认模块,用于:
在检测出所述网络报文为攻击报文后,获取所述目标主机的响应报文,所述响应报文为所述目标主机对所述网络报文的响应;
调用至少一个检测脚本对所述响应报文的攻击成功特征进行检测;
在检测出所述响应报文的攻击成功特征后,输出网络攻击成功提示。
第三方面,本发明实施例提供一种计算机设备,包括:包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意实施例提供的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例提供的方法。
本发明实施例的有益效果如下:
根本本发明实施例提供的一种网络攻击的检测方法、装置、设备及存储介质,获取目标主机的网络报文后,不需要根据其通信协议对其进行解析,从而拆解网络报文,而是提取其报文载荷,直接对报文载荷进行检测,从而判断是否存在网络攻击。由于不需要进行通信协议的解析,从而进行网络报文拆解,因此提高了检测的效率。另外,由于攻击内容可能存在于网络报文的各个字段,传统方式仅针对已知存在攻击内容的字段进行检测,漏报率较高,而本申请对报文载荷进行解析,无论攻击内容存在于哪个字段,均可以检测到,因此漏报率较低。
附图说明
图1为本发明实施例提供的网络攻击的检测方法的应用场景的示意图;
图2为本发明实施例提供的网络攻击的检测方法的流程图;
图3为本发明实施例提供的攻击检测模型建立方法的流程图;
图4为本发明实施例提供的网络攻击的检测装置的示意图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明实施例的技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明实施例技术方案的详细的说明,而不是对本说明书技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
本发明实施例的应用场景如图1所示。其中,终端设备101向目标主机102发送网络请求,目标主机102处理网络请求并返回网络响应,网络请求和网络响应统称为网络报文,网络数据经由交换设备103转发,安全检测设备104从交换设备103获取上述网络报文,从中提取报文载荷,利用预先建立的攻击检测模型对报文载荷进行检测。
其中,所述目标主机102可以是提供各种服务的服务器,也可以是能够实现特定功能的个人计算机,还可以是其他能够提供网络服务的网络设备。所述目标主机103可以接收终端设备101发送过来的用于向所述目标主机102发起请求服务的网络请求,根据所述网络请求数据进行相应的数据处理以获得网络响应,即所述网络响应用于所述目标主机102应答请求服务,并将所述网络响应反馈给所述终端设备101。所述终端设备101可以是具有显示功能并且支持交互功能的各种电子设备,包括但不限于智能手机、平板电脑、个人计算机以及台式计算机等。在本发明检测网络攻击这一具体的应用场景中,发起网络攻击的攻击者通常为恶意发送大量数据请求的用户。攻击者所利用的终端设备101可以是具有强大计算功能的电子设备,甚至还可以是服务器。
其中,交换设备103可以但不仅限于是交换机、路由器。安全检测设备104可以但不仅限于采用网络嗅探、网络端口镜像等方式获取网络报文,安全检测设备104可以但不仅限于是镜像设备、旁路设备。
对于所述目标主机102的网络报文的采集,可以采用网络嗅探方式获取,也可以通过网络端口镜像方式获取。所述网络嗅探方式是指将所述目标主机102的网卡设置为混杂模式,通过调用网络截包工具来捕获所述目标主机102的网路报文。所述网络端口镜像方式是指将所述目标主机102的采集端口映射到另一端口,对数据进行实时拷贝,从而获得所述目标主机102的网络报文。当然,采集所述目标主机102的网络报文的具体实现方式并不限于上述两种方式,本发明实施例对此不作限定。
第一方面,本发明实施例提供一种网络攻击的检测方法,请参考图2,包括:
步骤201、获取目标主机的网络报文。
由于现有的报文传输所采用的TCP通信协议,因此,本说明书实施例中,网络报文是指TCP协议格式的网络报文。
步骤203、提取所述网络报文的报文载荷。
其中,TCP协议的网络报文由报文头和报文载荷两部分组成,本步骤即提取其中的报文载荷部分。
步骤205、利用预先建立的攻击检测模型对所述报文载荷进行检测,所述攻击检测模型是利用已知的攻击报文的报文载荷样本训练得到的。
如上所述,网络报文包括网络请求和网络响应两种,本发明实施例可以仅采用上述过程对网络请求进行检测;也可以仅采用上述过程对网络响应进行检测;还可以采用上述过程既对网络请求进行检测,也对网络响应进行检测,相应的,在步骤205中,采用网络请求对应的攻击检测模型对网络请求报文的报文载荷进行检测,采用网络响应对应的攻击检测模型对网络响应报文的报文载荷进行检测。
本发明实施例提供的方法,获取目标主机的网络报文后,不需要根据其通信协议对其进行解析,而是提取其报文载荷,直接对报文载荷进行检测,从而判断是否存在网络攻击。由于不需要进行通信协议的解析,因此提高了检测的效率。另外,由于攻击内容可能存在于网络报文的各个字段,传统方式仅针对已知存在攻击内容的字段进行检测,漏报率较高,而本申请对报文载荷进行解析,无论攻击内容存在于哪个字段,均可以检测到,因此漏报率较低。
以利用上述过程对网络请求报文进行攻击检测为例,上述步骤201具体是获取发送给目标主机102的网络请求报文。具体的,可以根据报文头中的地址信息或者报文类型信息确定网络报文是否为网络请求报文。
进一步地,建立攻击检测模型的过程如图3所示,包括如下步骤:
步骤301、获取作为网络请求发送的攻击报文。
步骤303、从所述攻击报文中提取报文载荷。
步骤305、对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本。
步骤307、利用所述报文载荷样本训练得到攻击检测模型。
其中,作为网络请求发送的攻击报文可以通过模拟攻击过程获得,也可以是通过其他检测方式检测出攻击报文后获得。
其中,其他检测方式可以是现有的任何网络攻击检测方式,例如传统的拆解网络报文、针对不同字段进行网络攻击检测的检测方式。
具体的,模型训练所需的已知攻击报文包括互联网已公开的攻击报文、所述目标主机已采集的攻击报文、通过模拟攻击生成的攻击报文的一种或多种组合。所述攻击报文为从已有的网络攻击案例中提取出的数据。所述攻击报文可以是互联网公开的,也可以是所述目标主机根据以往遭受的网络攻击事件进行分析和提炼而来。
获取攻击报文并从中提取报文载荷后,需要对报文载荷进行处理,以得到报文载荷样本。处理方式可以但不仅限于包括:对所述攻击报文中提取的报文载荷进行数据清洗、标注,得到报文载荷样本。
其中,通过对报文载荷进行标注,可实现对攻击进行分类,例如,区分SQL注入攻击、后门攻击、webshell攻击等等,那么,攻击检测模型不仅能检测出网络报文中是否存在攻击内容,还可以检测出具体的攻击类型。
根据所述训练样本进行模型训练,即计算每种攻击类型的网络攻击在所述训练样本中的出现频率以及每个攻击特征数据划分对每种攻击类型的网络攻击的条件概率估计,并将计算结果进行记录就获得所述攻击检测模型。在本实施例中,进行模型训练采用的算法为朴素贝叶斯算法。朴素贝叶斯算法对小规模的数据表现很好,适合多分类任务,适合增量式训练。当然,也可以采用其他机器学习分类算法或者深度学习分类算法进行模型训练,例如,还可以采用决策树算法进行模型训练,本实施例对此不作限定。
本发明实施例提供的方法,可以仅对网络请求报文进行检测,也可以在检测出攻击报文后,继续对相应的网络响应进行检测,判断攻击是否成功。
无论是否仅对网络请求报文进行检测,在检测出攻击报文后,均可以输出网络攻击提示,该提示可以但不仅限于通过显示屏输出、通过音频设备输出,既可以在检测设备本地输出,也可以输出给目标主机,网络攻击提示可以仅提示存在攻击,也可以提示攻击的具体类型及相应的信息。
若还对相应的网络响应进行检测,可以采用图2所示的方法进行检测,可以通过其他方式进行检测,例如通过规则集,或者调用检测脚本进行检测。
以调用检测脚本为例,具体的,获取所述目标主机的响应报文,所述响应报文为所述目标主机对所述网络报文的响应;调用至少一个检测脚本对所述响应报文的攻击成功特征进行检测;在检测出所述响应报文的攻击成功特征后,输出网络攻击成功提示。
其中,若对攻击报文的攻击类型进行识别,那么,具体可以调用攻击类型对应的检测脚本对攻击响应报文的攻击成功特征进行检测。
更具体的,可以调用多个检测脚本,分别对攻击响应报文的不同攻击成功特征进行检测。
为了提高检测精度、降低漏检率,可以注册多个脚本,每个检测脚本分别用于检测不同的攻击成功特征,多个检测脚本构成脚本库。以检测攻击报文的攻击类型为例,调用所述攻击类型对应的检测脚本库中的检测脚本检测所述目标主机的网络响应报文的攻击成功特征。以SQL注入为例,反映SQL注入成功的特征有多个,相应的,有多个SQL注入对应的攻击成功特征,因此,可以注册多个检测脚本,每个检测脚本对一种SQL注入的攻击成功特征进行检测。
其中,可以预先为每个攻击类型对应的检测脚本库分配标识信息,并为属于同一检测脚本库的检测脚本配置相同的标识信息,那么,在进行检测脚本调用时,查找所述攻击类型对应的检测脚本库的标识信息;调用包含所述标识信息的检测脚本检测所述目标主机的网络响应的攻击成功特征。
应当指出的是,不同攻击类型可能存在相同的攻击成功特征,因此,一个检测脚本可以分属于不同的检测脚本库,因此可能被配置不同的标识信息。
本发明实施例提供的技术方案,若仅需要判断攻击是否成功,不需要获知具体的攻击成功特征,或者不需要知晓全部的攻击成功特征,那么可以依次调用所述攻击类型对应的检测脚本库中的检测脚本检测所述目标主机的网络响应的攻击成功特征,直至检测到攻击成功特征或遍历所述检测脚本库中的检测脚本。也就是说,一旦检测出攻击成功特征,不需要再调用脚本库中的其他检测脚本进行检测,即可输出网络攻击成功提示。
若不仅需要判断攻击是否成功,还希望获知所有的攻击成功特征,那么可以调用所述攻击类型对应的检测脚本库中的每个检测脚本检测所述目标主机的网络响应的攻击成功特征,并记录检测到的攻击成功特征。相应的,所述输出网络攻击成功提示中包括记录的攻击成功特征的信息。
第二方面,基于同一发明构思,本发明实施例提供一种网络攻击的检测装置,请参考图4,包括:
网络报文获取模块401,用于获取目标主机的网络报文;
报文载荷提取模块402,用于提取所述网络报文的报文载荷;
攻击检测模块403,用于利用预先建立的攻击检测模型对所述报文载荷进行检测,所述攻击检测模型是利用已知的攻击报文的报文载荷样本训练得到的。
可选的,所述网络报文为网络请求报文,所述网络报文获取模块用于:获取发送给所述目标主机的网络请求报文。
可选的,还包括攻击检测模型建立模块,用于:
获取作为网络请求发送的攻击报文;
从所述攻击报文中提取报文载荷;
对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本;
利用所述报文载荷样本训练得到攻击检测模型。
可选的,为获取作为网络请求发送的攻击报文,所述攻击检测模型建立模块用于:
获取模拟攻击过程中作为网络请求发送的攻击报文。
可选的,为获取作为网络请求发送的攻击报文,所述攻击检测模型建立模块用于:
获取通过其他检测方式检测出的攻击报文。
可选的,为获取作为网络请求发送的攻击报文,所述攻击检测模型建立模块用于:
对所述攻击报文中提取的报文载荷进行数据清洗、标注,得到报文载荷样本。
可选的,还包括攻击确认模块,用于:
在检测出所述网络报文为攻击报文后,获取所述目标主机的响应报文,所述响应报文为所述目标主机对所述网络报文的响应;
调用至少一个检测脚本对所述响应报文的攻击成功特征进行检测;
在检测出所述响应报文的攻击成功特征后,输出网络攻击成功提示。
第三方面,本发明实施例提供一种计算机设备,包括:包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述任意实施例提供的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例提供的方法。
本发明实施例的有益效果如下:
根本本发明实施例提供的一种网络攻击的检测方法、装置、设备及存储介质,获取目标主机的网络报文后,不需要根据其通信协议对其进行解析,而是提取其报文载荷,直接对报文载荷进行检测,从而判断是否存在网络攻击。由于不需要进行通信协议的解析,因此提高了检测的效率。另外,由于攻击内容可能存在于网络报文的各个字段,传统方式仅针对已知存在攻击内容的字段进行检测,漏报率较高,而本申请对报文载荷进行解析,无论攻击内容存在于哪个字段,均可以检测到,因此漏报率较低。
本说明书是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的设备。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令设备的制造品,该指令设备实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本说明书的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本说明书范围的所有变更和修改。
显然,本领域的技术人员可以对本说明书进行各种改动和变型而不脱离本说明书的精神和范围。这样,倘若本说明书的这些修改和变型属于本说明书权利要求及其等同技术的范围之内,则本说明书也意图包含这些改动和变型在内。
本发明公开了:A1、一种网络攻击的检测方法,其特征在于,包括:
获取目标主机的网络报文;
提取所述网络报文的报文载荷;
利用预先建立的攻击检测模型对所述报文载荷进行检测,所述攻击检测模型是利用已知的攻击报文的报文载荷样本训练得到的。
A2、根据A1所述的方法,其特征在于,所述网络报文为网络请求报文,所述获取目标主机的网络报文,包括:
获取发送给所述目标主机的网络请求报文。
A3、根据A2所述的方法,其特征在于,建立所述攻击检测模型的过程,包括:
获取作为网络请求发送的攻击报文;
从所述攻击报文中提取报文载荷;
对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本;
利用所述报文载荷样本训练得到所述攻击检测模型。
A4、根据A3所述的方法,其特征在于,所述获取作为网络请求发送的攻击报文,包括:
获取模拟攻击过程中作为网络请求发送的攻击报文。
A5、根据A3所述的方法,其特征在于,所述获取作为网络请求发送的攻击报文包括:
获取通过其他检测方式检测出的攻击报文。
A6、根据A3所述的方法,其特征在于,所述对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本,包括:
对所述攻击报文中提取的报文载荷进行数据清洗、标注,得到所述报文载荷样本。
A7、根据A1~A6任一项所述的方法,其特征在于,在检测出所述网络报文为攻击报文后,所述方法还包括:
获取所述目标主机的响应报文,所述响应报文为所述目标主机对所述网络报文的响应;
调用至少一个检测脚本对所述响应报文的攻击成功特征进行检测;
在检测出所述响应报文的攻击成功特征后,输出网络攻击成功提示。
B8、一种网络攻击的检测装置,其特征在于,包括:
网络报文获取模块,用于获取目标主机的网络报文;
报文载荷提取模块,用于提取所述网络报文的报文载荷;
攻击检测模块,用于利用预先建立的攻击检测模型对所述报文载荷进行检测,所述攻击检测模型是利用已知的攻击报文的报文载荷样本训练得到的。
B9、根据B8所述的装置,其特征在于,所述网络报文为网络请求报文,所述网络报文获取模块用于:获取发送给所述目标主机的网络请求报文。
B10、根据B9所述的装置,其特征在于,还包括攻击检测模型建立模块,用于:
获取作为网络请求发送的攻击报文;
从所述攻击报文中提取报文载荷;
对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本;
利用所述报文载荷样本训练得到攻击检测模型。
B11、根据B10所述的装置,其特征在于,为获取作为网络请求发送的攻击报文,所述攻击检测模型建立模块用于:
获取模拟攻击过程中作为网络请求发送的攻击报文。
B12、根据B10所述的装置,其特征在于,为获取作为网络请求发送的攻击报文,所述攻击检测模型建立模块用于:
获取通过其他检测方式检测出的攻击报文。
B13、根据B10所述的装置,其特征在于,为获取作为网络请求发送的攻击报文,所述攻击检测模型建立模块用于:
对所述攻击报文中提取的报文载荷进行数据清洗、标注,得到报文载荷样本。
B14、根据B8~B13任一项所述的装置,其特征在于,还包括攻击确认模块,用于:
在检测出所述网络报文为攻击报文后,获取所述目标主机的响应报文,所述响应报文为所述目标主机对所述网络报文的响应;
调用至少一个检测脚本对所述响应报文的攻击成功特征进行检测;
在检测出所述响应报文的攻击成功特征后,输出网络攻击成功提示。
C15、一种计算机设备,其特征在于,包括:包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现A1至A7任一项所述的方法。
D16、一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现A1至A7任一项所述的方法。
Claims (10)
1.一种网络攻击的检测方法,其特征在于,包括:
获取目标主机的网络报文;
提取所述网络报文的报文载荷;
利用预先建立的攻击检测模型对所述报文载荷进行检测,所述攻击检测模型是利用已知的攻击报文的报文载荷样本训练得到的。
2.根据权利要求1所述的方法,其特征在于,所述网络报文为网络请求报文,所述获取目标主机的网络报文,包括:
获取发送给所述目标主机的网络请求报文。
3.根据权利要求2所述的方法,其特征在于,建立所述攻击检测模型的过程,包括:
获取作为网络请求发送的攻击报文;
从所述攻击报文中提取报文载荷;
对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本;
利用所述报文载荷样本训练得到所述攻击检测模型。
4.根据权利要求3所述的方法,其特征在于,所述获取作为网络请求发送的攻击报文,包括:
获取模拟攻击过程中作为网络请求发送的攻击报文。
5.根据权利要求3所述的方法,其特征在于,所述获取作为网络请求发送的攻击报文包括:
获取通过其他检测方式检测出的攻击报文。
6.根据权利要求3所述的方法,其特征在于,所述对所述攻击报文中提取的报文载荷进行处理,得到报文载荷样本,包括:
对所述攻击报文中提取的报文载荷进行数据清洗、标注,得到所述报文载荷样本。
7.根据权利要求1~6任一项所述的方法,其特征在于,在检测出所述网络报文为攻击报文后,所述方法还包括:
获取所述目标主机的响应报文,所述响应报文为所述目标主机对所述网络报文的响应;
调用至少一个检测脚本对所述响应报文的攻击成功特征进行检测;
在检测出所述响应报文的攻击成功特征后,输出网络攻击成功提示。
8.一种网络攻击的检测装置,其特征在于,包括:
网络报文获取模块,用于获取目标主机的网络报文;
报文载荷提取模块,用于提取所述网络报文的报文载荷;
攻击检测模块,用于利用预先建立的攻击检测模型对所述报文载荷进行检测,所述攻击检测模型是利用已知的攻击报文的报文载荷样本训练得到的。
9.一种计算机设备,其特征在于,包括:包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811192308.5A CN111049786A (zh) | 2018-10-12 | 2018-10-12 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811192308.5A CN111049786A (zh) | 2018-10-12 | 2018-10-12 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111049786A true CN111049786A (zh) | 2020-04-21 |
Family
ID=70230096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811192308.5A Pending CN111049786A (zh) | 2018-10-12 | 2018-10-12 | 一种网络攻击的检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049786A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351002A (zh) * | 2020-10-21 | 2021-02-09 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112437099A (zh) * | 2021-01-27 | 2021-03-02 | 腾讯科技(深圳)有限公司 | 网络攻击的检测方法和装置、存储介质及电子设备 |
| CN112765607A (zh) * | 2021-01-19 | 2021-05-07 | 电子科技大学 | 一种神经网络模型后门攻击检测方法 |
| CN113312891A (zh) * | 2021-04-22 | 2021-08-27 | 北京墨云科技有限公司 | 一种基于生成模型的payload自动生成方法、装置、系统 |
| CN113347186A (zh) * | 2021-06-01 | 2021-09-03 | 百度在线网络技术(北京)有限公司 | 反射攻击探测方法、装置和电子设备 |
| CN114282218A (zh) * | 2021-12-23 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
| US20150180895A1 (en) * | 2003-11-12 | 2015-06-25 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data |
| CN105337792A (zh) * | 2015-08-25 | 2016-02-17 | 王子瑜 | 网络攻击有效性的检测方法及系统 |
| CN107483458A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 网络攻击的识别方法及装置、计算机可读存储介质 |
| CN107659583A (zh) * | 2017-10-27 | 2018-02-02 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
| US20180077178A1 (en) * | 2016-09-12 | 2018-03-15 | Vectra Networks, Inc. | Method and system for detecting malicious payloads |
| CN108418804A (zh) * | 2018-02-05 | 2018-08-17 | 四川斐讯信息技术有限公司 | 一种防病毒路由器、系统和方法 |
| CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
-
2018
- 2018-10-12 CN CN201811192308.5A patent/CN111049786A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150180895A1 (en) * | 2003-11-12 | 2015-06-25 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data |
| CN101902334A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种安全事件实时确认方法及系统 |
| CN105337792A (zh) * | 2015-08-25 | 2016-02-17 | 王子瑜 | 网络攻击有效性的检测方法及系统 |
| US20180077178A1 (en) * | 2016-09-12 | 2018-03-15 | Vectra Networks, Inc. | Method and system for detecting malicious payloads |
| CN107483458A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 网络攻击的识别方法及装置、计算机可读存储介质 |
| CN107659583A (zh) * | 2017-10-27 | 2018-02-02 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
| CN108418804A (zh) * | 2018-02-05 | 2018-08-17 | 四川斐讯信息技术有限公司 | 一种防病毒路由器、系统和方法 |
| CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351002A (zh) * | 2020-10-21 | 2021-02-09 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112351002B (zh) * | 2020-10-21 | 2022-04-26 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112765607A (zh) * | 2021-01-19 | 2021-05-07 | 电子科技大学 | 一种神经网络模型后门攻击检测方法 |
| CN112437099A (zh) * | 2021-01-27 | 2021-03-02 | 腾讯科技(深圳)有限公司 | 网络攻击的检测方法和装置、存储介质及电子设备 |
| CN112437099B (zh) * | 2021-01-27 | 2021-05-14 | 腾讯科技(深圳)有限公司 | 网络攻击的检测方法和装置、存储介质及电子设备 |
| CN113312891A (zh) * | 2021-04-22 | 2021-08-27 | 北京墨云科技有限公司 | 一种基于生成模型的payload自动生成方法、装置、系统 |
| CN113312891B (zh) * | 2021-04-22 | 2022-08-26 | 北京墨云科技有限公司 | 一种基于生成模型的payload自动生成方法、装置、系统 |
| CN113347186A (zh) * | 2021-06-01 | 2021-09-03 | 百度在线网络技术(北京)有限公司 | 反射攻击探测方法、装置和电子设备 |
| CN113347186B (zh) * | 2021-06-01 | 2022-05-06 | 百度在线网络技术(北京)有限公司 | 反射攻击探测方法、装置和电子设备 |
| CN114282218A (zh) * | 2021-12-23 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN114710354B (zh) * | 2022-04-11 | 2023-09-08 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN108833186B (zh) | 一种网络攻击预测方法及装置 | |
| CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
| CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| US9912691B2 (en) | Fuzzy hash of behavioral results | |
| US20230089187A1 (en) | Detecting abnormal packet traffic using fingerprints for plural protocol types | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| US20170054745A1 (en) | Method and device for processing network threat | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN111049784B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN102708309A (zh) | 恶意代码自动分析方法及系统 | |
| CN111221625B (zh) | 文件检测方法、装置及设备 | |
| CN111049781B (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN111885007B (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN103942491A (zh) | 一种互联网恶意代码处置方法 | |
| CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
| CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200421 |