CN111314370B - 一种业务漏洞攻击行为的检测方法及装置 - Google Patents
一种业务漏洞攻击行为的检测方法及装置 Download PDFInfo
- Publication number
- CN111314370B CN111314370B CN202010128656.7A CN202010128656A CN111314370B CN 111314370 B CN111314370 B CN 111314370B CN 202010128656 A CN202010128656 A CN 202010128656A CN 111314370 B CN111314370 B CN 111314370B
- Authority
- CN
- China
- Prior art keywords
- service
- access
- message
- vulnerability
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000004044 response Effects 0.000 claims description 27
- 230000002159 abnormal effect Effects 0.000 claims description 26
- 230000006399 behavior Effects 0.000 claims description 17
- 238000001514 detection method Methods 0.000 claims description 8
- 206010001488 Aggression Diseases 0.000 claims description 3
- 230000016571 aggressive behavior Effects 0.000 claims description 3
- 208000012761 aggressive behavior Diseases 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 8
- 230000003993 interaction Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提出了一种业务漏洞攻击行为的检测方法及装置。本申请中,IPS设备接收访问网络设备业务的请求报文,若该请求报文访问的业务存在业务漏洞,则根据该访问报文的类型,检查该访问报文是否携带有相应的正常访问参数,若没有携带相应的正常访问参数,则确定该访问报文为攻击报文。因此,本申请能检测到对业务漏洞的攻击报文,保障了网络设备的安全。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种业务漏洞攻击行为的检测方法和装置。
背景技术
随着网络技术的发展,网络设备在企业中发挥着越来越重要的作用。为了防止网络设备被攻击,通常会在网络环境中部署IPS(Intrusion Prevention System,入侵防御系统)设备来监测网络设备并隔离异常的网络流量。
一般的,网络设备可能会存在一些业务漏洞,例如常见的未授权访问漏洞。而不法分子正会利用这些漏洞对网络设备发起攻击,举例来说,攻击者可以向网络设备发送携带有错误的鉴权信息的访问请求,而网络设备却对该访问请求进行正常的应答。
然而,目前的IPS设备无法检测到对这类业务漏洞的攻击行为,这带来了极大的安全隐患。
发明内容
针对上述技术问题,本申请提供了一种业务漏洞攻击行为的检测方法及装置,可以检测访问报文是否为攻击报文。
根据本申请的第一方面,提供一种业务漏洞攻击行为的检测方法,该方法应用于IPS设备,该方法包括:
接收访问报文;
在确定所述访问报文所访问的目标业务存在业务漏洞的情况下,确定所述访问报文是否携带与该类型访问报文对应的正常访问参数;
若否,则确定所述访问报文为攻击报文。
根据本申请的第二方面,提供一种业务漏洞攻击行为的检测装置,该装置应用于IPS设备,该装置包括:
接收单元,用于接收访问报文;
判断单元,用于在确定所述访问报文所访问的目标业务存在业务漏洞的情况下,确定所述访问报文是否携带与该类型访问报文对应的正常访问参数;
确定单元,用于在确定所述访问报文未携带与该类型访问报文对应的正常参数的情况下,确定所述访问报文为攻击报文。
本申请中,IPS设备接收访问网络设备业务的请求报文,若该请求报文访问的业务存在业务漏洞,则根据该访问报文的类型,检查该访问报文是否携带有相应的正常访问参数,若没有携带相应的正常访问参数,则确定该访问报文为攻击报文。
因此,本申请能检测到对业务漏洞的攻击报文,保障了网络设备的安全。
附图说明
图1为本申请一示例性实施例示出的一种应用场景示意图;
图2为本申请一示例性实施例示出的一种业务漏洞攻击行为的检测方法流程图;
图3为本申请一示例性实施例示出的一种访问请求交互图;
图4为本申请一示例性实施例示出的一种IPS设备的硬件结构图;
图5为本申请一示例性实施例示出的一种业务漏洞攻击行为的检测装置图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
随着网络技术的发展,网络设备在企业中发挥着越来越重要的作用。为了防止网络设备被攻击,通常会在网络环境中部署IPS设备来监测网络设备并隔离异常的网络流量。
如图1所示的组网环境,外网中包括外网设备,内网中包括网络设备1、网络设备2以及IPS设备,IPS设备对内网中的网络设备进行监测和防护。
常见的,IPS设备可以部署在内网的网关位置,从而能对内网中的所有网络设备进行防护,也可以按实际需求部署在其他位置,这里并不进行具体限定。
一般的,网络设备可能会存在业务漏洞,例如常见的未授权访问漏洞,而不法分子正会利用这些漏洞对网络设备发起攻击。仍以图1为例,假设网络设备1中包括一种加密业务,只允许用户A对该业务进行访问。若该业务存在未授权访问漏洞,则当外网设备使用用户B的账号访问该业务时,网络设备1仍会对该访问请求进行正常应答。
然而,目前的IPS设备无法检测到攻击者对业务漏洞的攻击行为,这带来了极大的安全隐患。
有鉴于此,本申请提出了一种通过IPS设备对业务漏洞攻击行为进行检测的方法。本申请中,IPS设备接收获取访问网络设备业务的请求报文,若该请求报文访问的业务存在业务漏洞的业务,则根据该访问报文的类型,检查该访问报文是否携带有相应的正常访问参数,若没有携带,则确定该访问报文为攻击报文。
因此,本申请能检测到对业务漏洞的攻击报文行为,保障了网络设备的安全。
参见图2,图2是本申请一示例性实施例示出的一种业务漏洞攻击行为的检测方法,该方法应用于IPS设备,该IPS设备位于内网中。
如图2所示,包括以下步骤:
步骤S201:IPS接收访问报文。
本申请中,IPS设备可以获取外网设备向内网中网络设备发送的访问报文。可选地,IPS设备可以对接收到的所有报文进行接收,并按照步骤S202的方法进行检测;IPS设备也可以配置有预设的检测白名单,首先接收报文并对报文进行解析,若该报文不存在于检测白名单中,则按照步骤S202的方法进行检测。
步骤S202:在确定所述访问报文所访问的目标业务存在业务漏洞的情况下,确定所述访问报文是否携带与该类型访问报文对应的正常访问参数;
步骤S203:若否,则确定所述访问报文为攻击报文。
对于步骤S201中IPS设备接收到的访问报文,IPS设备需要对该访问报文进行检测,以确定该访问报文是否为攻击报文。下面通过步骤S2021-S2022来说明具体的检测方法。
步骤S2021:检测访问报文所访问的目标业务是否存在业务漏洞。
下面通过两个具体的实施例介绍“检测目标业务是否存在业务漏洞”的方法。
实施例1:
IPS设备中配置有异常业务列表,该异常业务列表中记录了内网设备所提供的所有存在业务漏洞的业务、及对应的漏洞类型。其中,异常业务列表记录的业务可以以该业务的IP地址和端口号为标识,也可以以计算机名、业务名等作为标识,这里不进行限定。
首先,IPS设备获取异常业务列表;然后,IPS设备在异常业务列表中查找是否存在访问报文所访问的目标业务。具体的,若异常业务列表中以业务的IP地址和端口号作为标识,则IPS设备可以获取报文的五元组信息,从而在异常业务列表中查找目标业务。
若在异常业务列表中查找到目标业务,则IPS设备确定该目标业务存在业务漏洞。
可选地,可以通过如下方法来建立“异常业务列表”,具体包括以下步骤。
第一步,IPS设备获取用户预设的业务漏洞列表,该业务漏洞列表由用户根据互联网上公开的业务漏洞信息整理后确定,其中,业务漏洞列表包括网络设备信息(例如版本信息、设备型号等)、业务信息与业务漏洞的对应关系。
以网络设备信息为网络设备版本、业务信息为业务名称和业务版本为例,预设的业务漏洞列表可以如表1所示。
网络设备版本 | 业务名称 | 业务版本 | 业务漏洞 |
Ver1.0 | ABC | Ver2.0 | 未授权访问漏洞 |
表1
第二步,IPS设备向内网中的网络设备发送探测报文,以查询网络设备的信息、以及各网络设备所提供的业务的信息。例如,针对网络设备1,以该网络设备的IP地址(192.168.1.1)作为标识,查询到的信息具体如表2所示。
网络设备IP地址 | 网络设备版本 | 业务名称 | 业务版本 | 业务端口 |
192.168.1.1 | Ver1.0 | ABC | Ver2.0 | 50 |
表2
第三步,IPS设备以网络设备信息和业务信息作为关键字,在预设的业务漏洞列表中查找该关键字对应的业务漏洞。例如,对于表1和表2,IP地址为192.168.1.1的网络设备所提供的业务“ABC”,该业务的端口号为50,该业务存在未授权访问漏洞。
可以理解的是,本步骤确定的业务漏洞为该网络设备的疑似业务漏洞,根据实际需求,本申请可以直接将疑似业务漏洞确定为业务漏洞,并将确定的业务漏洞添加到异常业务列表;也可以通过第四步和第五步来对疑似业务漏洞做进一步检测。
第四步,对于第三步中查找到的每一个漏洞,IPS设备模拟外网设备向该网络设备发送攻击报文。
以表1和表2对应的网络设备1为例,对于该网络设备所提供的业务“ABC”,该业务的端口号为50,该业务存在的业务漏洞类型为未授权访问漏洞。
IPS设备以192.168.1.1为目的IP地址,50为目的端口号,发送携带有随机认证信息(例如用户标识、鉴权信息等)的访问报文。可以理解的是,除认证信息以外,该访问请求还携带有其他字段,具体根据实际业务来设定,这里不进行限定。
第五步,IPS设备接收网络设备发送的应答报文。
IPS设备在预设时长内接收第四步中攻击报文对应的应答报文,并对接收到的应答报文进行解析。
若该应答报文指示允许访问该业务,则说明IPS设备发送的攻击报文得到了正常响应,也就是说,该网络设备提供的业务存在业务漏洞;
若该应答报文指示拒绝访问该业务,则说明该网络设备提供的业务不存在该业务漏洞。
第六步,IPS设备针对查到的疑似业务漏洞,若经第五步确定该业务漏洞存在,则将确定后的业务漏洞添加到异常业务列表中。
至此,完成建立“异常业务列表”的过程。
实施例2:
针对访问报文所访问的业务,IPS先模拟外网设备向该业务发送攻击报文,以确定该业务是否存在业务漏洞。
首先,IPS设备基于步骤S201中接收到的访问报文确定报文所访问的目标业务。
然后,IPS设备根据该报文中的内容,模拟外网设备向目标业务发送攻击报文。
举例来说,若IPS设备确定到该访问报文的类型为鉴权报文,则IPS构造一携带有随机认证信息的攻击报文,并将该攻击报文发送给目标业务。
最后,IPS设备接收目标业务返回的应答报文,若该应答报文指示允许访问该目标业务,则确定该目标业务存在业务漏洞。
至此,实施例2完成“检测目标业务是否存在业务漏洞”的流程。
步骤S2022:确定所述访问报文是否携带与该类型访问报文对应的正常访问参数。
本申请中,可以通过将访问报文与业务模板进行比对来确定该访问是否携带正常访问参数。具体地,可以通过以下步骤来进行确定。
首先,IPS设备获取访问报文所访问的目标业务对应的业务模板。
其中,业务模板中可以包括对目标业务进行正常访问所需的多条交互报文模板。可选的,该业务模板可以是IPS设备在初始化时根据用户正常访问的记录来建立的。
以图3所示的交互图为例,对网络设备上的特定加密业务进行访问时,业务模板中的交互至少包括以下步骤:
步骤S301:外网设备向网络设备发送不带认证信息的访问请求。
步骤S302:网络设备解析该访问请求,确定未携带正确的用户认证信息,返回应答报文,指示拒绝访问。
步骤S303:外网设备再次发送访问请求,并在请求报文中携带有认证信息。
步骤S304:网络设备检测认证信息中的用户权限、鉴权信息是否与业务相匹配,若匹配,则返回应答报文,指示允许访问。
可以理解的是,上述每个步骤对应一种类型的报文模板。
然后,IPS设备确定访问报文的类型。
可选的,IPS设备可以根据访问报文中的参数确定报文的类型。例如,对于加密业务的访问报文,若检测到访问报文中携带有认证参数,则可以确定该报文的类型为认证报文。
可选的,IPS设备可以根据访问报文的前序报文确定报文的类型。例如,对于加密业务的访问报文,IPS设备根据访问报文中的指定字段,可以获取该访问报文对应的前序交互报文。若前序交互报文为网络设备返回的未认证拒绝访问应答,则可以确定该访问报文的类型为认证报文。
接着,IPS设备根据访问报文的类型,查找与该类型访问报文对应的报文模板,并确定该报文模板中的正常访问参数。
仍以图3为例,若访问报文的类型为认证报文,则确定该访问报文对应的报文模板为步骤S303中的请求报文。获取该请求报文中的正常访问参数,例如用户名称、权限、密码等。
最后,IPS设备检测访问报文中是否携带上述正常访问参数。
在一个例子中,若访问报文的类型为认证报文,报文模板携带的正常访问参数为认证参数,则IPS设备检测访问报文中是否携带正常的认证参数,例如用户名称、权限、密码等。若不存在,则确定该访问报文为攻击报文;或者访问报文中的认证参数与报文模板不同,则确定该访问报文为攻击报文。
在另一个例子中,对于访问报文的类型为认证报文而言,认证报文可以存在多个报文模板,每个报文模板的认证参数中的用户信息不同,且每个用户可以访问业务中的不同子业务。基于多个报文模板,IPS设备确定访问报文中的用户信息与该访问报文所访问的子业务是否对应。若不对应,则确定该访问报文为攻击报文。
至此,完成图2所示的流程。
通过图2所示流程可以看出,本申请中,IPS设备接收获取访问网络设备业务的请求报文,若该请求报文访问的业务存在业务漏洞的业务,则根据该访问报文的类型,检查该访问报文是否携带有相应的正常访问参数,若没有携带,则确定该访问报文为攻击报文。因此,本申请能检测到对业务漏洞的攻击报文行为,保障了网络设备的安全。
与前述业务漏洞攻击行为的检测方法的实施例相对应,本申请还提供了业务漏洞攻击行为的检测装置的实施例。
本申请业务漏洞攻击行为的检测装置的实施例可以应用在IPS设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在IPS设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请业务漏洞攻击行为的检测装置所在IPS设备的一种硬件结构图,除了图4所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的IPS设备通常根据该IPS设备的实际功能,还可以包括其他硬件,对此不再赘述。
参见图5,图5是本申请一示例性实施例示出的一种业务漏洞攻击行为的检测装置的框图。该装置可以应用在IPS设备上,该装置可包括:
接收单元501,用于接收访问报文;
判断单元502,用于在确定所述访问报文所访问的目标业务存在业务漏洞的情况下,确定所述访问报文是否携带与该类型访问报文对应的正常访问参数;
确定单元503,用于在确定所述访问报文未携带与该类型访问报文对应的正常参数的情况下,确定所述访问报文为攻击报文。
可选地,所述确定所述访问报文所访问的目标业务存在业务漏洞,包括:
在异常业务列表中查找是否存在所述目标业务;其中,所述异常业务列表中记录了所述内网中网络设备所提供的所有存在业务漏洞的业务;
若存在,则确定所述访问报文所访问的目标业务存在业务漏洞;
或者,
模拟外网设备向该网络设备的目标业务发送漏洞攻击报文,并接收所述网络设备返回的应答报文;
若所述应答报文指示允许访问所述目标业务,则确定所述目标业务存在该业务漏洞。
可选地,所述异常业务列表通过如下方式生成:
针对所述内网中各网络设备所提供的业务,以该网络设备的信息、该网络设备所提供的业务的信息为关键字,在预设的网络设备信息、业务信息与业务漏洞的对应关系中,查找与该关键字对应的至少一个业务漏洞;
针对每一个查找到的业务漏洞,检测网络设备所提供的业务是否存在该业务漏洞;
若存在,则将与该业务漏洞对应的业务添加至所述异常业务列表。
可选地,所述检测网络设备所提供的业务是否存在该业务漏洞,包括:
模拟外网设备向该网络设备所提供的业务发起漏洞攻击报文,并接收所述网络设备返回的应答报文;
若所述应答报文指示允许访问该业务,则确定该网络设备提供的业务存在该业务漏洞;
若所述应答报文指示拒绝访问该业务,则确定该网络设备提供的业务不存在该业务漏洞。
可选地,所述确定所述访问报文是否携带与该类型访问报文对应的正常访问参数,包括:
获取所述访问报文所访问的目标业务对应的业务模板;所述业务模板包括:所述业务模板为实现所述目标业务访问的各类型访问报文、及各类型访问报文对应的正常访问参数;
以所述访问报文的类型为关键字,在所述业务模板中查找与该关键字对应的正常访问参数;
若所述访问报文中携带了该查找到的正常访问参数,则确定所述访问报文携带与该类型访问报文对应的正常访问参数;
若所述访问报文中未携带该查找到的所述正常访问参数,则确定所述访问报文未携带与该类型访问报文对应的正常访问参数。
可选地,所述业务漏洞为未授权访问漏洞;
当所述访问报文的类型为鉴权报文时,所述鉴权报文对应的正常访问参数包括认证参数,所述认证参数包括用户标识和/或用户鉴权信息。
至此,完成图5所示装置的框图。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种业务漏洞攻击行为的检测方法,其特征在于,应用于IPS设备,所述IPS设备位于内网中,所述方法包括:
接收访问报文;
在确定所述访问报文所访问的目标业务存在业务漏洞的情况下,确定所述访问报文是否携带与该类型访问报文对应的正常访问参数;所述业务漏洞为未授权访问漏洞;
若否,则确定所述访问报文为攻击报文;
其中,所述确定所述访问报文所访问的目标业务存在业务漏洞,包括:
在异常业务列表中查找是否存在所述目标业务;其中,所述异常业务列表中记录了所述内网中网络设备所提供的所有存在业务漏洞的业务;
若存在,则确定所述访问报文所访问的目标业务存在业务漏洞;
或者,
模拟外网设备向该网络设备的目标业务发送漏洞攻击报文,并接收所述网络设备返回的应答报文;
若所述应答报文指示允许访问所述目标业务,则确定所述目标业务存在该业务漏洞。
2.根据权利要求1所述的方法,其特征在于,所述异常业务列表通过如下方式生成:
针对所述内网中各网络设备所提供的业务,以该网络设备的信息、该网络设备所提供的业务的信息为关键字,在预设的网络设备信息、业务信息与业务漏洞的对应关系中,查找与该关键字对应的至少一个业务漏洞;
针对每一个查找到的业务漏洞,检测网络设备所提供的业务是否存在该业务漏洞;
若存在,则将与该业务漏洞对应的业务添加至所述异常业务列表。
3.根据权利要求2所述的方法,其特征在于,所述检测网络设备所提供的业务是否存在该业务漏洞,包括:
模拟外网设备向该网络设备所提供的业务发起漏洞攻击报文,并接收所述网络设备返回的应答报文;
若所述应答报文指示允许访问该业务,则确定该网络设备提供的业务存在该业务漏洞;
若所述应答报文指示拒绝访问该业务,则确定该网络设备提供的业务不存在该业务漏洞。
4.根据权利要求1所述的方法,其特征在于,所述确定所述访问报文是否携带与该类型访问报文对应的正常访问参数,包括:
获取所述访问报文所访问的目标业务对应的业务模板;所述业务模板包括:所述业务模板为实现所述目标业务访问的各类型访问报文、及各类型访问报文对应的正常访问参数;
以所述访问报文的类型为关键字,在所述业务模板中查找与该关键字对应的正常访问参数;
若所述访问报文中携带了该查找到的正常访问参数,则确定所述访问报文携带与该类型访问报文对应的正常访问参数;
若所述访问报文中未携带该查找到的所述正常访问参数,则确定所述访问报文未携带与该类型访问报文对应的正常访问参数。
5.根据权利要求1所述的方法,其特征在于,
当所述访问报文的类型为鉴权报文时,所述鉴权报文对应的正常访问参数包括认证参数,所述认证参数包括用户标识和/或用户鉴权信息。
6.一种业务漏洞攻击行为的检测装置,其特征在于,应用于IPS设备,所述IPS设备位于内网中,所述装置包括:
接收单元,用于接收访问报文;
判断单元,用于在确定所述访问报文所访问的目标业务存在业务漏洞的情况下,确定所述访问报文是否携带与该类型访问报文对应的正常访问参数;所述业务漏洞为未授权访问漏洞;
确定单元,用于在确定所述访问报文未携带与该类型访问报文对应的正常参数的情况下,确定所述访问报文为攻击报文;
其中,所述确定所述访问报文所访问的目标业务存在业务漏洞,包括:
在异常业务列表中查找是否存在所述目标业务;其中,所述异常业务列表中记录了所述内网中网络设备所提供的所有存在业务漏洞的业务;
若存在,则确定所述访问报文所访问的目标业务存在业务漏洞;
或者,
模拟外网设备向该网络设备的目标业务发送漏洞攻击报文,并接收所述网络设备返回的应答报文;
若所述应答报文指示允许访问所述目标业务,则确定所述目标业务存在该业务漏洞。
7.根据权利要求6所述的装置,其特征在于,所述异常业务列表通过如下方式生成:
针对所述内网中各网络设备所提供的业务,以该网络设备的信息、该网络设备所提供的业务的信息为关键字,在预设的网络设备信息、业务信息与业务漏洞的对应关系中,查找与该关键字对应的至少一个业务漏洞;
针对每一个查找到的业务漏洞,检测网络设备所提供的业务是否存在该业务漏洞;
若存在,则将与该业务漏洞对应的业务添加至所述异常业务列表。
8.根据权利要求7所述的装置,其特征在于,所述检测网络设备所提供的业务是否存在该业务漏洞,包括:
模拟外网设备向该网络设备所提供的业务发起漏洞攻击报文,并接收所述网络设备返回的应答报文;
若所述应答报文指示允许访问该业务,则确定该网络设备提供的业务存在该业务漏洞;
若所述应答报文指示拒绝访问该业务,则确定该网络设备提供的业务不存在该业务漏洞。
9.根据权利要求6所述的装置,其特征在于,所述确定所述访问报文是否携带与该类型访问报文对应的正常访问参数,包括:
获取所述访问报文所访问的目标业务对应的业务模板;所述业务模板包括:所述业务模板为实现所述目标业务访问的各类型访问报文、及各类型访问报文对应的正常访问参数;
以所述访问报文的类型为关键字,在所述业务模板中查找与该关键字对应的正常访问参数;
若所述访问报文中携带了该查找到的正常访问参数,则确定所述访问报文携带与该类型访问报文对应的正常访问参数;
若所述访问报文中未携带该查找到的所述正常访问参数,则确定所述访问报文未携带与该类型访问报文对应的正常访问参数。
10.根据权利要求6所述的装置,其特征在于,
当所述访问报文的类型为鉴权报文时,所述鉴权报文对应的正常访问参数包括认证参数,所述认证参数包括用户标识和/或用户鉴权信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010128656.7A CN111314370B (zh) | 2020-02-28 | 2020-02-28 | 一种业务漏洞攻击行为的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010128656.7A CN111314370B (zh) | 2020-02-28 | 2020-02-28 | 一种业务漏洞攻击行为的检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111314370A CN111314370A (zh) | 2020-06-19 |
CN111314370B true CN111314370B (zh) | 2022-07-29 |
Family
ID=71147895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010128656.7A Active CN111314370B (zh) | 2020-02-28 | 2020-02-28 | 一种业务漏洞攻击行为的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111314370B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113098902A (zh) * | 2021-04-29 | 2021-07-09 | 深圳融安网络科技有限公司 | 网络设备漏洞管理方法、装置、管理终端设备及存储介质 |
CN113839957B (zh) * | 2021-09-29 | 2024-02-09 | 杭州迪普科技股份有限公司 | 未授权漏洞的检测方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230775A (zh) * | 2016-07-13 | 2016-12-14 | 杭州华三通信技术有限公司 | 防止攻击url规则库的方法以及装置 |
CN106790189A (zh) * | 2016-12-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于响应报文的入侵检测方法和装置 |
CN110414242A (zh) * | 2019-08-02 | 2019-11-05 | 中国工商银行股份有限公司 | 用于检测业务逻辑漏洞的方法、装置、设备及介质 |
CN110719275A (zh) * | 2019-09-30 | 2020-01-21 | 浙江大学 | 一种基于报文特征的电力终端漏洞攻击检测方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101340293B (zh) * | 2008-08-12 | 2010-10-27 | 杭州华三通信技术有限公司 | 一种报文安全检查方法和装置 |
CN102065367B (zh) * | 2010-12-30 | 2013-08-07 | 华为技术有限公司 | 一种业务控制方法及装置 |
CN103491108B (zh) * | 2013-10-15 | 2016-08-24 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
CN106453215B (zh) * | 2015-08-13 | 2019-09-10 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
CN106790313A (zh) * | 2017-03-31 | 2017-05-31 | 杭州迪普科技股份有限公司 | 入侵防御方法及装置 |
CN108737344B (zh) * | 2017-04-20 | 2021-08-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击防护方法和装置 |
-
2020
- 2020-02-28 CN CN202010128656.7A patent/CN111314370B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230775A (zh) * | 2016-07-13 | 2016-12-14 | 杭州华三通信技术有限公司 | 防止攻击url规则库的方法以及装置 |
CN106790189A (zh) * | 2016-12-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于响应报文的入侵检测方法和装置 |
CN110414242A (zh) * | 2019-08-02 | 2019-11-05 | 中国工商银行股份有限公司 | 用于检测业务逻辑漏洞的方法、装置、设备及介质 |
CN110719275A (zh) * | 2019-09-30 | 2020-01-21 | 浙江大学 | 一种基于报文特征的电力终端漏洞攻击检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111314370A (zh) | 2020-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11546371B2 (en) | System and method for determining actions to counter a cyber attack on computing devices based on attack vectors | |
US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
US11206281B2 (en) | Validating the use of user credentials in a penetration testing campaign | |
CN100448203C (zh) | 用于识别和防止恶意入侵的系统和方法 | |
CN105939326B (zh) | 处理报文的方法及装置 | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
US20170324777A1 (en) | Injecting supplemental data into data queries at network end-points | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
CN103996007A (zh) | Android应用权限泄露漏洞的测试方法及系统 | |
CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
CN111314370B (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
EP3172692A1 (en) | Remedial action for release of threat data | |
KR20060092832A (ko) | 웜 봉쇄 방법 | |
CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
CN110011953A (zh) | 阻止被盗密码再用 | |
CN111901348A (zh) | 主动网络威胁感知与拟态防御的方法及系统 | |
CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN113608907B (zh) | 数据库审计方法、装置、设备、系统及存储介质 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
Visoottiviseth et al. | PITI: Protecting Internet of Things via Intrusion Detection System on Raspberry Pi |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |