CN112003824B - 攻击检测方法、装置及计算机可读存储介质 - Google Patents
攻击检测方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112003824B CN112003824B CN202010698390.XA CN202010698390A CN112003824B CN 112003824 B CN112003824 B CN 112003824B CN 202010698390 A CN202010698390 A CN 202010698390A CN 112003824 B CN112003824 B CN 112003824B
- Authority
- CN
- China
- Prior art keywords
- record
- attack
- suspicious
- intranet
- suspicious attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种攻击检测方法、装置及计算机可读存储介质,其中该方法包括:对从互联网边界流入内网的网络流量进行解析,根据攻击特征库对解析得到的数据进行正则匹配,以得到至少一条可疑攻击记录;根据所述可疑攻击记录的时间信息确定目标时段,获取在所述目标时段内在所述内网所执行的操作的操作记录;对所述可疑攻击记录和所述内网在所述目标时段内的操作记录进行相似度匹配;根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析。利用上述方法,能够提高应对攻击的针对性。
Description
技术领域
本申请属于网络安全领域,具体涉及一种攻击检测方法、装置及计算机可读存储介质。
背景技术
本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
在使用入侵防御系统、WEB应用防火墙等安全防护系统时,部署在互联网边界的安全防护系统的目标是对在互联网发布的应用进行保护。这些应用可以被互联网上每个正常的用户或者攻击者进行正常访问或非法攻击。大部分非法攻击是攻击者发起的全网扫描的散弹流量导致,因此部署在互联网边界的安全防护系统会产生大量的无用的攻击告警。这导致安全运维人员消耗大量时间对报警日志进行分析,同时影响了安全运维人员对针对性的成功攻击事件处置判断。
发明内容
针对上述现有技术的问题。本申请实施例提出了攻击检测方法、装置及计算机可读存储介质。利用这种方法及装置,能够解决上述问题。
本申请的实施例中提供了以下方案。
第一方面,本申请的实施例提供一种攻击检测方法,包括:对从互联网边界流入内网的网络流量进行解析,根据攻击特征库对解析得到的数据进行正则匹配,以得到至少一条可疑攻击记录;根据所述可疑攻击记录的时间信息确定目标时段,获取在所述目标时段内在所述内网所执行的操作的操作记录;对所述可疑攻击记录和所述内网在所述目标时段内的操作记录进行相似度匹配;根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析。
在一种可能的实施方式中,所述获取在所述目标时段内在所述内网所执行的操作的操作记录,包括:获取WEB应用服务器的操作记录,和/或,获取数据库服务器的操作记录。
在一种可能的实施方式中,所述获取WEB应用服务器的操作记录,包括:读取每个访问用户的命令记录文件以获取每个访问用户在所述WEB应用服务器的操作记录,和/或,读取日志文件以获取所述内网的WEB应用服务器的系统操作命令。
在一种可能的实施方式中,所述获取数据库服务器的操作记录,包括:获取当前执行的结构化查询语言语句,和/或,读取数据库日志文件。
在一种可能的实施方式中,其特征在于,对所述可疑攻击记录和所述内网在所述目标时段内的操作记录进行相似度匹配,包括:将所述可疑攻击记录作为第一字符串,将所述操作记录作为第二字符串;计算从所述第一字符串到所述第二字符串的最少编辑操作次数;根据所述最少编辑操作次数评估所述可疑攻击记录与所述操作记录的相似度。
在一种可能的实施方式中,根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析,包括:根据所述相似度匹配的结果判断所述可疑攻击记录的成功概率。
在一种可能的实施方式中,根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析,还包括:根据所述可疑攻击记录的成功概率以及所述可疑攻击记录的危害程度确定报警级别。
在一种可能的实施方式中,所述可疑攻击记录包括攻击内容和危害程度。
第二方面,本申请实施例提供一种攻击检测装置,包括:正则匹配模块,用于对从互联网边界流入内网的网络流量进行解析,根据攻击特征库对解析得到的数据进行正则匹配,以得到至少一条可疑攻击记录;获取模块,用于根据所述可疑攻击记录的时间信息确定目标时段,获取在所述目标时段内在所述内网所执行的操作的操作记录;相似度匹配模块,用于对所述可疑攻击记录和所述内网在所述目标时段内的操作记录进行相似度匹配;分析模块,用于根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析。
在一种可能的实施方式中,获取模块用于:获取所述WEB应用服务器操作记录,和/或,获取数据库服务器的操作记录。
在一种可能的实施方式中,获取所述内网的WEB应用服务器的操作记录,包括:读取每个访问用户的命令记录文件以获取每个访问用户在所述WEB应用服务器的操作记录,和/或,读取日志文件以获取所述内网的WEB应用服务器的系统操作命令。
在一种可能的实施方式中,获取内网的数据库服务器的操作记录,包括:获取当前执行的结构化查询语言语句,和/或,读取数据库日志文件。
在一种可能的实施方式中,所述相似度匹配模块用于:将所述可疑攻击记录作为第一字符串,将所述操作记录作为第二字符串;计算从所述第一字符串到所述第二字符串的最少编辑操作次数;根据所述最少编辑操作次数评估所述可疑攻击记录与所述操作记录的相似度。
在一种可能的实施方式中,所述分析模块具体用于:根据所述相似度匹配的结果判断所述可疑攻击记录的成功概率。
在一种可能的实施方式中,所述分析模块还具体用于:根据所述可疑攻击记录的成功概率以及所述可疑攻击记录的危害程度确定报警级别。
在一种可能的实施方式中,所述可疑攻击记录包括攻击内容和危害程度。
第三方面,本申请实施例提供一种攻击检测装置,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行:根据第一方面所述的攻击检测方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有程序,当所述程序被处理器执行时,使得所述处理器执行:根据第一方面所述的攻击检测方法。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:对于根据攻击特征库进行正则匹配得到的可疑攻击记录,并不直接进行报警,而是结合分析内网的操作记录。如果在相对短的时间内,内网存在与可疑攻击记录相同或相似度足够高的操作记录,这时才会认定该可疑攻击记录是否攻击成功,或者攻击成功的概率是多大。安全运维人员可以优先处理攻击成功或者攻击成功率较高的可疑攻击记录,大大提升了安全运维人员处理攻击的针对性。
应当理解,上述说明仅是本申请技术方案的概述,以便能够更清楚地了解本申请的技术手段,从而可依照说明书的内容予以实施。为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举例说明本申请的具体实施方式。
附图说明
通过阅读下文的示例性实施例的详细描述,本领域普通技术人员将明白本文所述的优点和益处以及其他优点和益处。附图仅用于示出示例性实施例的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的标号表示相同的部件。在附图中:
图1为本申请的实施例提供的攻击检测方法的流程示意图。
图2为本申请的实施例提供的攻击检测装置的结构框图。
图3为本申请的另一实施例提供的攻击检测装置的结构框图。
在附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
在本申请中,应理解,诸如“包括”或“具有”等术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不旨在排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在的可能性。
另外还需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1为根据本申请一实施例的攻击检测方法的流程示意图,该方法可用于分析可疑攻击的成功率,在该流程中,从设备角度而言,执行主体可以是一个服务器或计算机;从程序角度而言,执行主体相应地可以是搭载于该服务器或计算机上的程序。
图1中的流程可以包括以下步骤101~步骤104。
步骤101、从互联网边界流入内网的网络流量进行解析,并根据攻击特征库对解析得到的数据进行正则匹配,得到至少一条可疑攻击记录;
步骤102、根据可疑攻击记录的时间信息确定目标时段,获取在所述目标时段内在所述内网所执行的操作的操作记录;
步骤103、对所述可疑攻击记录和所述内网在所述目标时段内的操作记录进行相似度匹配;
步骤104、根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析。
从互联网边界流入内网的网络流量例如是从企业互联网边界进入企业内网的最外层的网络设备的网络流量。在攻击达到互联网边界和该攻击在内网的设备(例如数据库服务器)进行操作二者之间通常具有一定延时,故需要设定一个目标时间段。
本实施例中,对于根据包含已知攻击特征的攻击特征库进行正则匹配得到的可疑攻击记录,并不直接进行报警,而是结合分析内网的操作记录。可疑攻击记录的时间信息为该可疑攻击记录的请求发起时间,目标时段是指以该可疑攻击记录的请求发起时间为起始时间点且具有设定时长的一时段,如果在从可疑攻击记录的请求发起时间起相对短的时间(例如1s左右,一般不会超过10s)内,内网中存在与可疑攻击记录相同或相似度足够高的操作记录,这时才会认定该可疑攻击记录是否攻击成功,或者攻击成功的概率是多大等分析。安全运维人员可以优先处理攻击成功或者攻击成功率较高的可疑攻击记录,大大提升了安全运维人员处理攻击的针对性。
基于图1的攻击检测方法,本申请的一些实施例还提供了该攻击检测方法的一些具体实施方案,以及扩展方案,下面进行说明。
在一些可能的实施方式中,从互联网边界流入内网的网络流量进行解析,并根据攻击特征库对解析得到的数据进行正则匹配,得到至少一条可疑攻击记录,按照如下方式执行。
首先对网络流量进行汇集和解析。该过程如下:首先对从互联网边界流入内网的网络流量进行汇集,得到网络流量的镜像;随后解析网络流量的协议类型、协议数据、TCP源目地址、源目端口等信息;然后对协议数据进行解析,对解析后的协议数据进行入库操作。
例如,HTTP协议数据包含:URL(统一资源定位器)、HTTP消息头、HTTP参数以及数据等。
又例如,MySQL协议数据包含:MySQL操作命令等。
攻击特征库是已知攻击的特征集,包括通用特征集和特定特征集。
通用特征集包含攻击者在攻击路径中经常使用的手段和方式,例如操作系统命令执行、远程文件下载、反弹shell、执行后门、编译提权、SQL查询等。
特定特征集包含已知公开的远程攻击类漏洞的PoC/EXP中的特征提取,例如Struts2、Fastjson、Spring、thinkphp等框架类RCE漏洞,Weblogic、JBoss等中间件类RCE漏洞,Wordpress、Drupal、Discuz等开源WEB的RCE漏洞,以及其他各种SQL注入漏洞。该特定特征集合来源于外部开源论坛。
对入库的协议数据各个字段与攻击特征库进行正则匹配,得到可疑攻击结果集。可疑攻击结果集中的可以攻击记录的信息包含:所述可疑攻击记录的请求发起时间、协议数据类型、初步判断的攻击类型等字段。
所述获取在所述目标时段内在所述内网所执行的操作的操作记录,包括:获取WEB应用服务器的操作记录,和/或,获取数据库服务器的操作记录。
在内网需要保护的设备例如是WEB应用服务器。获取WEB应用服务器的操作记录的方式有:读取每个访问用户的命令记录文件以获取每个访问用户在所述WEB应用服务器的操作记录,和/或,读取日志文件(例如是审计日志文件)以获取所述内网的WEB应用服务器的系统操作命令。例如有:读取每个访问用户的.bash_history文件以获取每个访问用户在所述WEB应用服务器的操作记录,和/或,开启内核审计组件auditd,并读取auditd.log日志文件以获取所述内网的WEB应用服务器的系统操作命令。
在内网需要保护的设备例如是数据库服务器。获取数据库服务器的操作记录的方式有获取当前执行的结构化查询语言语句,和/或,读取数据库日志文件。例如有:通过MySQL的SQL语句showpropcesslist获取当前执行的SQL语句,和/或,开启MySQL的日志模式并读取日志文件。
判断可以攻击记录与操作记录的相似度的方式例如有编程距离算法。具体过程如下:将所述可疑攻击记录作为第一字符串,将所述操作记录作为第二字符串;计算从所述第一字符串到所述第二字符串的最少编辑操作次数;根据所述最少编辑操作次数评估所述可疑攻击记录与所述操作记录的相似度。
一次编辑操作例如是插入、删除或替换。
在一些可选的实施方式中,根据所述相似度匹配的结果进行攻击行为分析,包括:根据所述相似度匹配的结果判断所述可疑攻击记录的成功概率。
安全维护人员可以根据成功概率对处理这些可疑攻击记录的优先次序进行安排。
在一些可选的实施方式中,根据所述相似度匹配的结果进行攻击行为分析,还包括:根据所述可疑攻击记录的成功概率以及所述可疑攻击记录的危害程度确定报警级别。
也就是综合考虑可疑攻击的成功概率及危害程度确定报警级别,这使得运维人员的处理具有更强的针对性。
危害程度分级的方法可以参考CVSS3.0标准进行分级,分值在0-10之间,10表示危害程度最大。可以设定上述两种记录相似度与对应的攻击成功概率之间的函数关系,根据上述两种记录相似度确定攻击成功概率。攻击成功概率的取值例如是0-1,1表示攻击成功。报警级别可以按照下边确定。报警级别从高到低依次为致命(fatal)、错误(error)、中等风险(medium)、低风险(low)和信息(info)。
在一种可能的实施方式中,所述可疑攻击记录包括攻击内容和危害程度。当然,危害程度也可以是在后续步骤中确定的。
基于相同的技术构思,本申请实施例还提供一种攻击检测装置,用于执行上述任一实施例所提供的攻击检测方法。图2为本申请实施例提供的一种攻击检测装置结构示意图。
如图2所示,攻击检测装置包括:正则匹配模块1,用于对从互联网边界流入内网的网络流量进行解析,并根据攻击特征库对解析得到的数据进行正则匹配,得到至少一条可疑攻击记录;获取模块2,用于根据所述可疑攻击记录的时间信息确定目标时段,获取在所述目标时段内在所述内网所执行的操作的操作记录;相似度匹配模块3,用于对所述可疑攻击记录和所述内网在所述目标时段内的操作记录进行相似度匹配;分析模块4,用于根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析。
如此,可以提高运维人员处理可疑攻击的针对性。
在一些可能的实施方式中,所述获取模块2具体用于:获取WEB应用服务器的操作记录,和/或,获取数据库服务器的操作记录。
在一些可能的实施方式中,所述获取WEB应用服务器的操作记录,包括:读取每个访问用户的命令记录文件以获取每个访问用户在所述WEB应用服务器的操作记录,和/或,读取日志文件以获取所述内网的WEB应用服务器的系统操作命令。
在一些可能的实施方式中,所述获取数据库服务器的操作记录,包括:获取当前执行的结构化查询语言语句,和/或,读取数据库日志文件。
在一些可能的实施方式中,所述相似度匹配模块3具体用于:将所述可疑攻击记录作为第一字符串,将所述操作记录作为第二字符串;计算从所述第一字符串到所述第二字符串的最少编辑操作次数;根据所述最少编辑操作次数评估所述可疑攻击记录与所述操作记录的相似度。
在一些可能的实施方式中,分析模块4具体用于:根据所述相似度匹配的结果判断所述可疑攻击记录的成功概率。
在一些可能的实施方式中,分析模块4还具体用于:根据所述可疑攻击记录的成功概率以及所述可疑攻击记录的危害程度确定报警级别。
得到报警级别后,报警模块可通过系统日志的方式将相关级别的告警信息发送到告警平台,后者通过系统WEB界面展示攻击告警结果。
进一步提高了运维人员处理攻击的针对性。
在一种可能的实施方式中,所述可疑攻击记录包括攻击内容和危害程度。当然,危害程度也可以是其他模块确定的。
需要说明的是,本申请实施例中的攻击检测装置可以实现前述攻击检测方法的实施例的各个过程,并达到相同的效果和功能,这里不再赘述。
图3为根据本申请一实施例的攻击检测装置,用于执行图1所示出的攻击检测方法,该攻击检测装置包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行前述的攻击检测方法。
根据本申请的一些实施例,提供了方法的非易失性计算机存储介质,其上存储有计算机可执行指令,该计算机可执行指令设置为在由处理器运行时执行:前述的攻击检测方法。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和计算机可读存储介质实施例而言,由于其基本相似于方法实施例,所以其描述进行了简化,相关之处可参见方法实施例的部分说明即可。
本申请实施例提供的攻击检测装置和计算机可读存储介质与方法是一一对应的,因此,攻击检测装置和计算机可读存储介质也具有与其对应的方法类似的有益技术效果,由于上面已经对方法的有益技术效果进行了详细说明,因此,这里不再赘述装置、设备和计算机可读存储介质的有益技术效果。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
虽然已经参考若干具体实施方式描述了本申请的精神和原理,但是应该理解,本申请并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本申请旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。
Claims (18)
1.一种攻击检测方法,其特征在于,包括:
对从互联网边界流入内网的网络流量进行解析,并根据攻击特征库对解析得到的数据进行正则匹配,得到至少一条可疑攻击记录;
根据所述可疑攻击记录的时间信息确定目标时段,获取在所述目标时段内在所述内网所执行的操作的操作记录;
对所述可疑攻击记录和所述操作记录进行相似度匹配;
根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析。
2.根据权利要求1所述的方法,其特征在于,所述获取在所述目标时段内在所述内网所执行的操作的操作记录,包括:获取WEB应用服务器的操作记录,和/或,获取数据库服务器的操作记录。
3.根据权利要求2所述的方法,其特征在于,所述获取WEB应用服务器的操作记录,包括:读取每个访问用户的命令记录文件以获取每个访问用户在所述WEB应用服务器的操作记录,和/或,读取日志文件以获取所述WEB应用服务器的系统操作命令。
4.根据权利要求2所述的方法,其特征在于,所述获取数据库服务器的操作记录,包括:获取当前执行的结构化查询语言语句,和/或,读取数据库日志文件。
5.根据权利要求1所述的方法,其特征在于,对所述可疑攻击记录和所述内网在所述目标时段内的操作记录进行相似度匹配,包括:
将所述可疑攻击记录作为第一字符串,将所述操作记录作为第二字符串;
计算从所述第一字符串到所述第二字符串的最少编辑操作次数;
根据所述最少编辑操作次数评估所述可疑攻击记录与所述操作记录的相似度。
6.根据权利要求1所述的方法,其特征在于,根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析,包括:根据所述相似度匹配的结果判断所述可疑攻击记录的成功概率。
7.根据权利要求6所述的方法,其特征在于,根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析,还包括:
根据所述可疑攻击记录的成功概率以及所述可疑攻击记录的危害程度确定报警级别。
8.根据权利要求1所述的方法,其特征在于,所述可疑攻击记录包括攻击内容和危害程度。
9.一种攻击检测装置,其特征在于,包括:
正则匹配模块,用于对从互联网边界流入内网的网络流量进行解析,根据攻击特征库对解析得到的数据进行正则匹配,以得到至少一条可疑攻击记录;
获取模块,用于根据所述可疑攻击记录的时间信息确定目标时段,获取在所述目标时段内在所述内网所执行的操作的操作记录;
相似度匹配模块,用于对所述可疑攻击记录和所述内网在所述目标时段内的操作记录进行相似度匹配;
分析模块,用于根据所述相似度匹配的结果对所述可疑攻击记录进行攻击行为分析。
10.根据权利要求9所述的装置,其特征在于,所述获取模块用于:获取WEB应用服务器的操作记录,和/或,获取数据库服务器的操作记录。
11.根据权利要求10所述的装置,其特征在于,所述获取WEB应用服务器的操作记录,包括:读取每个访问用户的命令记录文件以获取每个访问用户在所述WEB应用服务器的操作记录,和/或,读取日志文件以获取所述内网的WEB应用服务器的系统操作命令。
12.根据权利要求10所述的装置,其特征在于,所述获取数据库服务器的操作记录,包括:获取当前执行的结构化查询语言语句,和/或,读取数据库日志文件。
13.根据权利要求9所述的装置,其特征在于,所述相似度匹配模块用于:
将所述可疑攻击记录作为第一字符串,将所述操作记录作为第二字符串;
计算从所述第一字符串到所述第二字符串的最少编辑操作次数;
根据所述最少编辑操作次数评估所述可疑攻击记录与所述操作记录的相似度。
14.根据权利要求9所述的装置,其特征在于,所述分析模块具体用于:根据所述相似度匹配的结果判断所述可疑攻击记录的成功概率。
15.根据权利要求14所述的装置,其特征在于,所述分析模块还具体用于:根据所述可疑攻击记录的成功概率以及所述可疑攻击记录的危害程度确定报警级别。
16.根据权利要求9所述的装置,其特征在于,所述可疑攻击记录包括攻击内容和危害程度。
17.一种攻击检测装置,其特征在于,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行:根据权利要求1-8任意一项所述的攻击检测方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序,当所述程序被处理器执行时,使得所述处理器执行:根据权利要求1-8任意一项所述的攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010698390.XA CN112003824B (zh) | 2020-07-20 | 2020-07-20 | 攻击检测方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010698390.XA CN112003824B (zh) | 2020-07-20 | 2020-07-20 | 攻击检测方法、装置及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112003824A CN112003824A (zh) | 2020-11-27 |
CN112003824B true CN112003824B (zh) | 2023-04-18 |
Family
ID=73467634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010698390.XA Active CN112003824B (zh) | 2020-07-20 | 2020-07-20 | 攻击检测方法、装置及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112003824B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114697068A (zh) * | 2020-12-31 | 2022-07-01 | 华为技术有限公司 | 一种恶意流量识别方法及相关装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107483386A (zh) * | 2016-06-08 | 2017-12-15 | 阿里巴巴集团控股有限公司 | 分析网络数据的方法及装置 |
CN110798426A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种洪水类DoS攻击行为的检测方法、系统及相关组件 |
CN110959158A (zh) * | 2017-08-02 | 2020-04-03 | 三菱电机株式会社 | 信息处理装置、信息处理方法和信息处理程序 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10243982B2 (en) * | 2014-06-06 | 2019-03-26 | Nippon Telegraph And Telephone Corporation | Log analyzing device, attack detecting device, attack detection method, and program |
CN105959324A (zh) * | 2016-07-15 | 2016-09-21 | 江苏博智软件科技有限公司 | 基于正则匹配的网络攻击检测方法及装置 |
KR20180070247A (ko) * | 2016-12-16 | 2018-06-26 | 주식회사 페타바이코리아 | 네트워크 침입 탐지 규칙을 생성하는 방법 및 장치 |
CN106850675A (zh) * | 2017-03-10 | 2017-06-13 | 北京安赛创想科技有限公司 | 一种网络攻击行为的确定方法及装置 |
CN108650249B (zh) * | 2018-04-26 | 2021-07-27 | 平安科技(深圳)有限公司 | Poc攻击检测方法、装置、计算机设备和存储介质 |
CN109492390A (zh) * | 2018-10-31 | 2019-03-19 | 施勇 | 一种基于攻击时间线的高级持续性威胁分析方法 |
US11146581B2 (en) * | 2018-12-31 | 2021-10-12 | Radware Ltd. | Techniques for defending cloud platforms against cyber-attacks |
-
2020
- 2020-07-20 CN CN202010698390.XA patent/CN112003824B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107483386A (zh) * | 2016-06-08 | 2017-12-15 | 阿里巴巴集团控股有限公司 | 分析网络数据的方法及装置 |
CN110959158A (zh) * | 2017-08-02 | 2020-04-03 | 三菱电机株式会社 | 信息处理装置、信息处理方法和信息处理程序 |
CN110798426A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种洪水类DoS攻击行为的检测方法、系统及相关组件 |
Non-Patent Citations (1)
Title |
---|
王晓琪 ; 李强 ; 闫广华 ; 玄光哲 ; 郭东 ; .高级持续性威胁中隐蔽可疑DNS行为的检测.计算机研究与发展.2017,(10),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN112003824A (zh) | 2020-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11528282B2 (en) | Endpoint detection and response system with endpoint-based artifact storage | |
US10621349B2 (en) | Detection of malware using feature hashing | |
US9424426B2 (en) | Detection of malicious code insertion in trusted environments | |
US20160065613A1 (en) | System and method for detecting malicious code based on web | |
US20180322287A1 (en) | Machine learning model for malware dynamic analysis | |
US20120072988A1 (en) | Detection of global metamorphic malware variants using control and data flow analysis | |
CN107689940B (zh) | WebShell检测方法及装置 | |
US9038161B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
Vaidya et al. | Security issues in language-based software ecosystems | |
JP2010182019A (ja) | 異常検知装置およびプログラム | |
CN107103243B (zh) | 漏洞的检测方法及装置 | |
KR20230024184A (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
CN112003824B (zh) | 攻击检测方法、装置及计算机可读存储介质 | |
KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
CN112351002B (zh) | 一种报文检测方法、装置及设备 | |
CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
KR102292844B1 (ko) | 악성코드 탐지 장치 및 방법 | |
Srivastava et al. | Detecting code injection by cross-validating stack and VAD information in windows physical memory | |
CN114021115A (zh) | 恶意应用程序的检测方法、装置、存储介质及处理器 | |
CN107103242B (zh) | 数据的获取方法及装置 | |
CN110909349A (zh) | docker容器内反弹shell的检测方法和系统 | |
CN115134164B (zh) | 一种上传行为检测方法、系统、设备及计算机存储介质 | |
KR102447278B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
CN116244195B (zh) | 一种PHP rasp模块hook稳定性测试方法及装置 | |
CN117195240B (zh) | 可信dcs上位机数据组态验证及发布方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |