CN112468520A - 一种数据检测方法、装置、设备及可读存储介质 - Google Patents

一种数据检测方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN112468520A
CN112468520A CN202110120608.8A CN202110120608A CN112468520A CN 112468520 A CN112468520 A CN 112468520A CN 202110120608 A CN202110120608 A CN 202110120608A CN 112468520 A CN112468520 A CN 112468520A
Authority
CN
China
Prior art keywords
flow
historical
traffic
field
message data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110120608.8A
Other languages
English (en)
Other versions
CN112468520B (zh
Inventor
唐文韬
甘祥
郑兴
彭婧
郭晶
刘羽
范宇河
申军利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202110120608.8A priority Critical patent/CN112468520B/zh
Publication of CN112468520A publication Critical patent/CN112468520A/zh
Application granted granted Critical
Publication of CN112468520B publication Critical patent/CN112468520B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/279Recognition of textual entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/12Fingerprints or palmprints
    • G06V40/1365Matching; Classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种数据检测方法、装置、设备及可读存储介质,方法包括:获取待检测流量数据对应的流量报文数据;若流量报文数据为可疑流量报文数据,则根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取流量报文数据中的关键字段信息,根据关键字段信息生成流量报文数据的流量指纹标识信息;根据流量指纹标识信息,确定待检测流量数据的流量漏洞属性。采用本申请,可提高对未知流量漏洞的检测准确率,同时减少检测成本。

Description

一种数据检测方法、装置、设备及可读存储介质
技术领域
本申请涉及计算机技术领域,尤其涉及一种数据检测方法、装置、设备以及可读存储介质。
背景技术
近年来,随着计算机技术的飞速发展和互联网的广泛应用,信息技术越来越深入到人们日常生活的各个方面,成为人们日常生活中最重要的部分。但与此同时,网络也遭受着非常严峻的安全威胁,网络、应用的安全漏洞成为攻击者进行网络攻击的主要突破口,为保护网络或应用的信息安全,如何有效的发现安全漏洞显得十分有必要。
目前,对于已知的漏洞和网络攻击手段,主要采用规则库匹配的方法来检测,通过规则库的日常更新迭代已经能很好地检测和进行防御已知的漏洞和网络攻击手段;但因为规则库的构建与维护是基于已知的知识经验累积,对于未公开的漏洞,目前基于规则库的方法无法进行检测确定。且目前,基于规则库进行检测的方法,部署成本大。
发明内容
本申请实施例提供一种数据检测方法、装置、设备以及可读存储介质,可以提高对未知流量漏洞的检测准确率,同时减少检测成本。
本申请实施例一方面提供了一种数据检测方法,包括:
获取待检测流量数据对应的流量报文数据;
若流量报文数据为可疑流量报文数据,则根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取流量报文数据中的关键字段信息,根据关键字段信息生成流量报文数据的流量指纹标识信息;关键字段信息为流量报文数据中与历史分布位置对应的字段的信息;
根据流量指纹标识信息,确定待检测流量数据的流量漏洞属性。
本申请实施例一方面提供了一种数据检测装置,包括:
报文获取模块,用于获取待检测流量数据对应的流量报文数据;
流量指纹生成模块,用于若流量报文数据为可疑流量报文数据,则根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取流量报文数据中的关键字段信息,根据关键字段信息生成流量报文数据的流量指纹标识信息;关键字段信息为流量报文数据中与历史分布位置对应的字段的信息;
漏洞属性确定模块,用于根据流量指纹标识信息,确定待检测流量数据的流量漏洞属性。
其中,该装置还包括:
集合获取模块,用于获取漏洞类型特征集合;
类型匹配模块,用于将流量报文数据与漏洞类型特征集合进行匹配;
漏洞类型确定模块,用于若漏洞类型特征集合中存在与流量报文数据相匹配的漏洞类型特征,则获取与流量报文数据相匹配的漏洞类型特征所属的漏洞类型;
流量确定模块,用于获取漏洞类型对应的历史流量漏洞特征集合;
流量确定模块,还用于根据历史流量漏洞特征集合确定流量报文数据为公知流量报文数据或可疑流量报文数据。
其中,流量确定模块包括:
特征匹配单元,用于将流量报文数据与历史流量漏洞特征集合进行匹配;
流量确定单元,用于若历史流量漏洞特征集合中存在与流量报文数据相同的历史流量漏洞特征,则将流量报文数据确定为公知流量报文数据;
特征确定单元,还用于若历史流量漏洞特征集合中不存在与流量报文数据相同的历史流量漏洞特征,则将流量报文数据确定为可疑流量报文数据。
流量指纹生成模块包括:
路径字段确定单元,用于根据关键字段信息确定目标路径字段;
模板确定单元,用于根据目标路径字段所具备的字段格式,确定目标路径字段对应的路径字段模板信息;
目标字段确定单元,用于获取流量报文数据中的访问地址字段对应的历史路径字段模板集合,根据历史路径字段模板集合和路径字段模板信息,在关键字段信息中确定流量报文数据对应的目标字段信息;
流量指纹生成单元,根据目标字段信息生成流量报文数据的流量指纹标识信息。
其中,流量报文数据属于心跳时间段内获取到的报文数据;心跳时间段内获取到的报文数据还包括对比流量报文数据;流量报文数据中的访问地址字段,与对比流量报文数据的访问地址字段相同;
路径字段确定单元包括:
对比信息提取子单元,用于根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取对比流量报文数据中的对比关键字段信息;
字段匹配子单元,用于将关键字段信息与对比关键字段信息进行匹配;
字段提取子单元,用于根据匹配结果,在关键字段信息中获取第一路径标识,以及第一路径标识对应的第一报文参数,将第一路径标识与第一报文参数所组成的字段确定为第一路径字段;第一路径标识是指关键字段信息的路径标识集合中,与对比关键字段信息的目标对比路径标识相同的路径标识;目标对比路径标识在对比关键字段信息中的分布位置,与第一路径标识在关键字段信息中的分布位置相同;
字段提取子单元,还用于在关键字段信息中,获取第二路径标识以及第二路径标识对应的第二报文参数,将第二路径标识与第二报文参数所组成的字段确定为第二路径字段;第二路径字段是指路径标识集合中,除第一路径标识以外的路径标识;
路径字段确定子单元,用于将第一路径字段和第二路径字段确定为目标路径字段。
其中,目标字段确定单元包括:
模板匹配子单元,用于将路径字段模板信息与历史路径字段模板集合进行匹配;
字段删除子单元,用于若历史路径字段模板集合中存在与路径字段模板信息相同的历史路径字段模板,则将关键字段信息中路径字段模板信息对应的字段进行删除,得到目标字段信息;
目标字段确定子单元,用于若历史路径字段模板集合中不存在与路径字段模板信息相同的历史路径字段模板,则将关键字段信息确定为目标字段信息。
其中,流量指纹生成单元包括:
分词处理子单元,用于将目标字段信息进行分词处理,得到流量报文数据对应的流量分词字段集合;
频率确定子单元,用于获取历史流量指纹标识集合,根据历史流量指纹标识集合中的历史流量分词字段,确定流量分词字段集合中每个流量分词字段在历史流量指纹标识集合中的出现频率;
目标分词确定子单元,用于将流量分词字段集合中,出现频率大于或等于频率阈值的流量分词字段,确定为目标流量分词字段;
流量指纹生成子单元,用于获取指纹生成函数,通过指纹生成函数与目标流量分词字段,生成流量报文数据的流量指纹标识信息。
其中,漏洞属性确定模块包括:
指纹集合获取单元,用于获取历史流量指纹标识集合;
指纹匹配单元,用于将流量指纹标识信息与历史流量指纹标识集合进行匹配;
属性确定单元,用于若历史流量指纹标识集合中存在与流量指纹标识信息相同的历史流量指纹标识,则确定流量指纹标识信息为公知流量指纹标识信息,将待检测流量数据的流量漏洞属性确定为公知漏洞属性;
属性确定单元,还用于若历史流量指纹标识集合中不存在与流量指纹标识信息相同的历史流量指纹标识,则确定流量指纹标识信息为未知流量指纹标识信息,将待检测流量数据的流量漏洞属性确定为未知漏洞属性。
其中,该装置还包括:
警告提示模块,用于若待检测流量数据的流量漏洞属性为未知漏洞属性,则生成针对待检测流量数据的警告提示信息,将警告提示信息推送至漏洞维护用户终端,以使漏洞维护用户终端针对待检测流量数据进行安全维护处理。
其中,该装置还包括:
设备指纹生成模块,用于获取流量报文数据中针对目标客户端的属性字段信息,根据属性字段信息生成目标客户端的设备指纹标识信息;目标客户端是指发送待检测流量数据的客户端;
设备处理模块,用于根据设备指纹标识信息与流量指纹标识信息,对目标客户端进行异常处理。
其中,设备处理模块包括:
设备指纹匹配单元,用于获取历史设备指纹标识集合,将设备指纹标识信息与历史设备指纹标识集合进行匹配;
设备标记单元,用于若历史设备指纹标识集合中不存在与设备指纹标识信息相同的历史设备指纹标识,则将目标客户端标记为异常访问客户端;
频率记录单元,用于若历史设备指纹标识集合中存在与设备指纹标识信息相同的历史设备指纹标识,则获取目标客户端的异常访问记录频率,将异常访问记录频率进行递增,得到递增记录频率;
异常处理单元,用于根据递增记录频率与流量指纹标识信息对目标客户端进行异常处理。
其中,异常处理单元包括:
流量指纹匹配子单元,用于获取历史流量指纹标识集合,将流量指纹标识信息与历史流量指纹标识集合进行匹配;
屏蔽处理子单元,用于若递增记录频率大于或等于记录阈值,且历史流量指纹标识集合中存在与流量指纹标识信息相同的历史流量指纹标识,则获取与流量指纹标识信息相同的历史流量指纹标识对应的漏洞类型,按照漏洞类型对应的屏蔽机制对目标客户端进行屏蔽处理;
屏蔽处理子单元,还用于若递增记录频率大于或等于记录阈值,且历史流量指纹标识集合中不存在与流量指纹标识信息相同的历史流量指纹标识,则按照默认屏蔽机制对目标客户端进行屏蔽处理。
本申请实施例一方面提供了一种计算机设备,包括:处理器和存储器;
存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行本申请实施例中的方法。
本申请实施例一方面提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序包括程序指令,程序指令当被处理器执行时,执行本申请实施例中的方法。
本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例中一方面提供的方法。
在本申请实施例中,通过可疑流量报文数据中的关键字段信息,可以生成可疑流量报文数据的流量指纹标识信息,通过该流量指纹标识信息可自动确定该待检测流量数据(流量报文数据)的流量漏洞属性是否为未知的流量漏洞属性,无需利用人工经验知识来确定,可提高对未知漏洞的检测准确率;同时,本申请对流量漏洞的检测,是基于对网络流量数据进行计算分析,可以减少部署成本。综上,本申请可以提高对未知流量漏洞的检测准确率,同时减少检测成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种网络架构图;
图2是本申请实施例提供的一种漏洞识别的场景示意图;
图3是本申请实施例提供的一种数据检测方法的流程示意图;
图4是本申请实施例提供的一种生成流量指纹标识信息的流程示意图;
图5是本申请实施例提供的一种对客户端进行异常处理的方法流程图;
图6是本申请实施例提供的一种对客户端进行异常处理的场景示意图;
图7是本申请实施例提供的一种系统架构图;
图8是本申请实施例提供的一种系统流程图;
图9是本申请实施例提供的一种数据检测装置的结构示意图;
图10是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参见图1,图1是本申请实施例提供的一种网络架构图。如图1所示,该网络架构可以包括业务服务器1000、用户终端集群以及漏洞维护用户终端,其中,用户终端集群可以包括一个或者多个用户终端,这里将不对用户终端的数量进行限制。如图1所示,多个用户终端可以包括用户终端100a、用户终端100b、用户终端100c、…、用户终端100n;如图1所示,用户终端100a、用户终端100b、用户终端100c、…、用户终端100n可以分别与业务服务器1000进行网络连接,以便于每个用户终端可以通过该网络连接与业务服务器1000之间进行数据交互;如图1所示,业务服务器1000可以与漏洞维护用户终端进行网络连接,以便于漏洞维护用户终端可以通过该网络连接与业务服务器1000进行数据交互。
可以理解的是,如图1所示的每个用户终端均可以安装有目标应用,当该目标应用运行于各用户终端中时,可以分别与图1所示的业务服务器1000之间进行数据交互,使得业务服务器1000可以接收来自于每个用户终端的业务数据。其中,该目标应用可以包括具有显示文字、图像、音频以及视频等数据信息功能的应用。如,应用可以为浏览器,可以用于用户上网;应用也可以为代码编译引用,可以用于用户编译代码并运行代码。应当理解,本申请中的业务服务器1000可以根据这些应用获取到业务数据,如,该业务数据可以为用户在通过应用访问某一系统或某一页面时对应的网络流量数据包(流量报文数据)。
应当理解,用户可通过浏览器请求访问某一目标系统,而用户终端可在用户通过浏览器请求访问某一目标系统(例如,xx系统)时,获取到对应的网络流量数据(该网络流量数据为正常业务交互流量数据),并将该网络流量数据作为待检测流量数据;可以理解的是,用户也可不通过浏览器访问目标系统,而通过在代码编译应用中编写某一攻击脚本,并通过该攻击脚本来请求访问某一目标系统,以攻击该目标系统,而用户终端也可在用户通过某种攻击脚本请求访问某一目标系统时,获取到对应的网络流量数据(该网络流量数据为攻击特征流量数据),并将该网络流量数据作为待检测流量数据。进一步地,用户终端可基于特定网络协议将该待检测流量数据进行解析,生成该待检测流量数据对应的流量报文数据,例如,用户终端可通过传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol,TCP/IP)对该待检测流量数据进行解析,生成具有TCP、IP协议对应的数据格式的TCP流量数据包(流量报文数据);应当理解,用户终端可将该具有TCP、IP协议对应的数据格式的流量数据包按照超文本传输协议(Hyper Text Transfer Protocol,HTTP)的数据格式,进行重新组包,从而可以得到具有HTTP协议对应的数据格式的HTTP流量数据包(流量报文数据)。
进一步地,用户终端可将该TCP流量数据包与该HTTP流量数据包一并发送至业务服务器1000;业务服务器1000可获取漏洞类型特征集合,其中,该漏洞类型特征集合中可包括一种或多种漏洞类型分别对应的漏洞类型特征(漏洞特性);随后,业务服务器1000可将该TCP流量报文数据与HTTP流量报文数据分别与该漏洞类型特征集合进行匹配,从而可以确定该TCP流量报文数据或HTTP流量报文数据中是否存在某种漏洞类型对应的漏洞特性(漏洞类型特征)。若该TCP流量报文数据与HTTP流量报文数据中有任一流量报文数据中存在某种漏洞类型特征,则可将该TCP流量报文数据与HTTP流量报文数据均确定为疑似攻击流量报文数据。在该TCP流量报文数据与HTTP流量报文数据为疑似攻击流量报文数据时,可获取这种漏洞类型对应的历史流量漏洞特征集合,并根据该历史流量漏洞特征集合,进一步确定该TCP流量报文数据与HTTP流量报文数据是否为可疑流量报文数据,应当理解,该历史流量漏洞特征集合中包括该漏洞类型下的一种或多种漏洞类型特征对应的历史流量漏洞特征,通过将该历史流量漏洞特征集合与该TCP流量报文数据与HTTP流量报文数据分别进行匹配,可确定该TCP流量报文数据或HTTP流量报文数据中是否存在历史流量漏洞特征集合中已知的历史流量漏洞特征。
应当理解,具体步骤可为,业务服务器1000可将该TCP流量报文数据与HTTP流量报文数据与该历史流量漏洞特征集合分别进行匹配,若该历史流量漏洞特征集合中,存在与该TCP流量报文数据与该HTTP流量报文数据中的任一流量报文数据相匹配的历史流量漏洞特征,则可确定该TCP流量报文数据与HTTP流量报文数据中均包含已收录的公知流量漏洞特征,则可不再对该TCP流量报文数据与HTTP流量报文数据进行后续计算;而若该历史流量漏洞特征集合中不存在与该TCP流量报文数据与HTTP流量报文数据中任一流量报文数据相匹配的历史流量漏洞特征,则可确定该TCP流量报文数据与HTTP流量报文数据中均包含未收录的可疑流量漏洞特征,可将该TCP流量报文数据与HTTP流量报文数据作为可疑流量报文数据,则可进一步地使用HTTP流量报文数据来计算流量指纹标识信息,并由该流量指纹标识信息来确定该TCP流量报文数据与HTTP流量报文数据对应的流量漏洞属性。应当理解,若TCP流量报文数据中存在未收录的可疑流量漏洞特征,则可使用该TCP流量报文数据所对应的HTTP流量报文数据来进行流量指纹标识信息的计算。
进一步地,业务服务器1000可根据该流量漏洞属性进行后续处理,例如,若该流量漏洞属性为未知漏洞属性,则业务服务器1000可生成针对该待检测流量数据的警告提示信息,并将该警告提示信息推送至漏洞维护用户终端。
应当理解,业务服务器也可根据该HTTP流量报文数据来计算发送该待检测流量数据的用户终端的设备指纹标识信息,并由该设备指纹标识信息与该流量指纹标识信息对该用户终端进行后续处理,例如,可根据该设备指纹标识信息与该流量指纹标识信息对该用户终端进行异常处理。
应当理解,用户终端在得到待检测流量数据的TCP流量数据包与HTTP流量数据包后,可将该TCP流量报文数据与HTTP流量报文数据分别与该漏洞类型特征集合进行匹配,从而可以确定该TCP流量报文数据或HTTP流量报文数据中是否存在某种漏洞类型对应的漏洞特性(漏洞类型特征),若存在,则可确定该TCP流量报文数据与HTTP流量报文数据均为疑似攻击流量报文数据;在该TCP流量报文数据与HTTP流量报文数据为疑似攻击流量报文数据时,可将TCP流量报文数据与HTTP流量报文数据分别与历史流量漏洞特征集合进行匹配,从而可确定该TCP流量报文数据与HTTP流量报文数据中是否存在未收录的可疑流量漏洞特征,在该TCP流量报文数据与HTTP流量报文数据中存在未收录的可疑流量漏洞特征时,该TCP流量报文数据与HTTP流量报文数据为可疑流量报文数据,可将该TCP流量报文数据与HTTP流量报文数据发送至业务服务器1000。也就是说,用户终端可进行内部对TCP流量报文数据与HTTP流量报文数据的筛选,以使得业务服务器1000的输入为未收录的可疑流量漏洞特征所对应的可疑TCP流量报文数据或可疑HTTP流量报文数据。
可以理解的是,为保证流量指纹标识信息或设备指纹标识信息的准确性与真实性,可将该流量指纹标识信息与设备指纹标识信息上链至区块链中。其中,区块链是一种分布式数据存储、点对点传输、共识机制以及加密算法等计算机技术的新型应用模式,主要用于对数据按时间顺序进行整理,并加密成账本,使其不可被篡改和伪造,同时可进行数据的验证、存储和更新。区块链本质上是一个去中心化的数据库,该数据库中的每个节点均存储一条相同的区块链,区块链网络将节点区分为核心节点、数据节点以及轻节点,其中核心节点负责区块链全网的共识,也就是说核心节点为区块链网络中的共识节点。对于区块链网络中交易数据(例如,流量指纹标识信息或设备指纹标识信息)被写入账本的过程可以为,客户端发送交易数据至数据节点或轻节点,随后该交易数据以接力棒的方式在区块链网络中的数据节点或轻节点之间传递,直到共识节点收到该交易数据,共识节点再将该交易数据打包进区块,与其他共识节点之间进行共识,在共识通过后,将携带该交易数据的区块写入账本。
本申请实施例可以在多个用户终端中选择一个用户终端作为目标用户终端,该用户终端可以包括:智能手机、平板电脑、笔记本电脑、桌上型电脑、智能电视、智能音箱、台式计算机、智能手表、车载设备等携带数据处理功能(例如,文本数据显示功能、视频数据播放功能、音乐数据播放功能)的智能终端,但并不局限于此。例如,本申请实施例可以将图1所示的用户终端100a作为该目标用户终端,该目标用户终端中可以集成有上述目标应用,此时,该目标用户终端可以通过该目标应用与业务服务器1000之间进行数据交互。
可以理解的是,本申请实施例提供的方法可以由计算机设备执行,计算机设备包括但不限于用户终端或业务服务器。其中,业务服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
其中,用户终端以及业务服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
为便于理解,请一并参见图2,图2是本申请实施例提供的一种漏洞识别的场景示意图。其中,如图2所示的用户终端A可以为上述图1所对应实施例中用户终端集群中的任一用户终端,例如,该用户终端可为用户终端100a;如图2所示的用户终端B可为上述图1所对应实施例中的漏洞维护用户终端;且如图2所示的业务服务器可为上述图1所对应实施例中的业务服务器1000。
如图2所示,当用户a使用用户终端A时,用户a通过xx攻击脚本(xx代码)以期望访问目标系统,应当理解,通过该xx攻击脚本可自动化构造针对该目标系统的访问请求,用户终端A可通过流量旁路镜像组件获取到该访问请求所对应的业务交互流量数据,该用户终端A可将该业务交互流量数据作为待检测流量数据;随后,用户终端A可按照TCP/IP协议的数据格式,将该待检测流量数据进行解析组包,得到具有TCP/IP协议的数据格式的TCP流量数据包(即,TCP流量报文数据),将该TCP流量数据包按照HTTP协议进行重新组包,可得到具有HTTP协议的数据格式的HTTP流量数据包(即,HTTP流量报文数据)。
进一步地,用户终端A可获取漏洞类型特征集合,该漏洞类型特征集合中包括有一种或多种漏洞类型分别对应的漏洞类型特征(漏洞特性),通过将TCP流量数据包与HTTP流量数据包分别与该漏洞类型特征集合进行匹配,可确定该TCP流量数据包与该HTTP流量数据包中是否存在符合某种漏洞类型的漏洞类型特征;若TCP流量数据包中存在,则可将该TCP流量数据包以及其对应的HTTP流量数据包均确定为疑似攻击流量数据包;同理,若HTTP流量数据包中存在,则可将HTTP流量数据包以及其对应的TCP流量数据包均确定为疑似攻击流量数据包。
例如,若该 TCP流量数据包中存在框架组件(Apache Struts2)对应漏洞类型下的漏洞类型特征(如,漏洞类型特征“_memberAccess”),则可将该TCP流量数据包与HTTP流量数据包确定为疑似攻击流量数据包;随后,用户终端A可获取该框架组件Apache Struts2对应的历史流量漏洞特征集合,该历史流量漏洞特征集合中可包括一个或多个历史流量漏洞特征,例如,可包括历史流量漏洞特征1、历史流量漏洞特征2以及历史流量漏洞特征3,其中,该历史流量漏洞特征1、历史流量漏洞特征2所属的漏洞类型特征为框架组件ApacheStruts2下的漏洞类型特征“_memberAccess”;而历史流量漏洞特征3所属的漏洞类型特征为框架组件Apache Struts2下的漏洞类型特征“@ognl.OgnlContext”。用户终端A可将该TCP流量数据包与该HTTP流量数据包分别与该历史流量漏洞特征集合(包括历史流量漏洞特征1、历史流量漏洞特征2以及历史流量漏洞特征3)进行匹配,通过匹配,可确定该TCP流量数据包与该HTTP流量数据包中并不存在历史流量漏洞特征1、历史流量漏洞特征2以及历史流量漏洞特征3,则可确定该TCP流量数据包与该HTTP流量数据包中存在还未收录的未知的可疑流量漏洞特征,且该未知的可疑流量漏洞特征所属的漏洞类型特征为“_memberAccess”;用户终端A可将该存在还未收录的未知的可疑流量漏洞特征的TCP/HTTP流量数据包确定为可疑流量数据包(即可疑流量报文数据)。
可选的,因为该TCP流量数据包中存在框架组件(Apache Struts2)这种漏洞类型下的漏洞类型特征“_memberAccess”,则该用户终端A也可仅将漏洞类型特征“_memberAccess”下的历史流量漏洞特征1、历史流量漏洞特征2与该TCP流量数据包与HTTP流量数据包进行匹配,以确定该TCP流量数据包与HTTP流量数据包是否存在历史流量漏洞特征1与历史流量漏洞特征2,若不存在历史流量漏洞特征1与历史流量漏洞特征2,则可确定TCP流量数据包或HTTP流量数据包中存在漏洞类型特征“_memberAccess”下、还未收录的未知的可疑流量漏洞特征,且该未知的可疑流量漏洞特征所属的漏洞类型特征为“_memberAccess”,可将TCP/HTTP流量数据包均确定为可疑流量数据包(即可疑流量报文数据)。
进一步地,用户终端A可将可疑的HTTP流量数据包(HTTP流量报文数据)发送至业务服务器,业务服务器可获取已有的全部历史流量漏洞特征在历史流量报文数据中的出现位置(历史分布位置),并根据该历史分布位置在HTTP流量报文数据中提取关键字段信息,该关键字段信息可如,统一资源定位地址即网络地址(Uniform Resource Locator,URL)请求参数对应的字段信息、HTTP请求体对应的字段信息,等等;其中,该历史分布位置可是指通过共识经验所确定的历史流量漏洞特征的出现位置;随后,业务服务器可根据该关键字段信息生成该HTTP流量报文数据的流量指纹标识信息;随后,业务服务器可将该流量指纹标识信息与该流量指纹库(即,历史流量指纹标识集合)进行匹配,其中,该流量指纹库中包括一个或多个已知的历史流量指纹标识信息,通过匹配,可确定该流量指纹库中是否存在该流量指纹标识信息;若该流量指纹库存在与该流量指纹标识信息相同的历史流量指纹标识信息,则可确定该待检测流量数据为已知的攻击特征流量,即,该待检测流量数据的流量漏洞属性为公知漏洞属性;而若该流量指纹库中不存在与流量指纹标识信息相同的历史流量指纹标识信息,则可确定该待检测流量数据为未知的攻击特征流量,即,该待检测流量数据的流量漏洞属性为未知漏洞属性。
应当理解,在待检测流量数据的流量漏洞属性为未知漏洞属性时,可生成警告提示信息,该警告提示信息用于提示漏洞维护人员系统正在遭受未知的攻击特征流量攻击(未知漏洞攻击),例如,如图2所示,该警告提示信息的内容可包括“系统正遭受未知漏洞攻击,请立即处理”,业务服务器可将该警告提示信息“系统正遭受未知漏洞攻击,请立即处理”发送至用户终端B,用户终端B可在显示界面中显示该警告提示信息“系统正遭受未知漏洞攻击,请立即处理”,漏洞维护人员可通过用户终端B查看到该警告提示信息,并进行相应漏洞维护处理。
进一步地,请参见图3,图3是本申请实施例提供的一种数据检测方法的流程示意图。其中,该方法可以由业务服务器(例如,上述图1所对应实施例中的业务服务器1000)执行,也可以由业务服务器与用户终端共同执行。以下将以本方法由业务服务器执行为例进行说明,其中,该数据处理方法至少可以包括以下步骤S101-步骤S103:
步骤S101,获取待检测流量数据对应的流量报文数据。
本申请中,用户终端可在用户访问目标应用(例如,浏览器)时,获取到访问时对应的网络流量数据,用户终端可将该网络流量数据作为待检测流量数据,并将该待检测流量数据进行解析组包,得到对应的流量报文数据。例如,用户终端可通过TCP/IP协议对该待检测流量数据进行解析,生成具有TCP、IP协议对应的数据格式的TCP流量数据包(流量报文数据);应当理解,用户终端可将该具有TCP、IP协议对应的数据格式的流量数据包按照HTTP协议的数据格式,进行重新组包,从而可以得到具有HTTP协议对应的数据格式的HTTP流量数据包(流量报文数据)。该TCP流量报文数据与HTTP流量报文数据可作为该待检测流量数据的流量报文数据。用户终端可确定该流量报文数据是否为可疑流量报文数据,在该流量报文数据为可疑流量报文数据时,用户终端可将该流量报文数据发送至业务服务器。
可选的,用户终端在得到流量报文数据后,即可将该流量报文数据发送至业务服务器,由业务服务器确定该流量报文数据是否为可疑流量报文数据。
以下将以业务服务器确定流量报文数据是否为可疑流量报文数据为例,对确定该流量报文数据是否为可疑流量报文数据的具体方法进行说明。具体方法可为,获取漏洞类型特征集合;可将流量报文数据与漏洞类型特征集合进行匹配;若漏洞类型特征集合中存在与流量报文数据相匹配的漏洞类型特征,则可获取与流量报文数据相匹配的漏洞类型特征所属的漏洞类型;随后,可获取漏洞类型对应的历史流量漏洞特征集合,根据历史流量漏洞特征集合可确定流量报文数据为公知流量报文数据或可疑流量报文数据。其中,对于根据历史流量漏洞特征集合,确定流量报文数据为公知流量报文数据或可疑流量报文数据的具体方法可为,将流量报文数据与历史流量漏洞特征集合进行匹配;若历史流量漏洞特征集合中存在与流量报文数据相匹配的历史流量漏洞特征,则可将流量报文数据确定为公知流量报文数据;若历史流量漏洞特征集合中不存在与流量报文数据相匹配的历史流量漏洞特征,则可将流量报文数据确定为可疑流量报文数据。
应当理解,漏洞类型特征集合中可包括一种或多种漏洞类型分别对应的漏洞类型特征(漏洞特性),例如,漏洞类型可包括框架组件Apache Struts2对应的漏洞类型与开源组件Jackson对应的漏洞类型;该框架组件Apache Struts2下的漏洞类型特征可包括远程代码执行漏洞利用特征“_memberAccess”、“@ognl.OgnlContext”以及“com.opensymphony”;而开源组件Jackson下的漏洞类型特征可包括反序列化漏洞利用特征“@type”、“ldap://”以及“rmi://”,开源组件Jackson下的漏洞类型特征也可包括远程代码执行漏洞利用特征“CVE-2019-12384”。应当理解,框架组件Apache Struts2与开源组件Jackson下的漏洞类型特征可共同组成漏洞类型特征集合。而将该漏洞类型特征集合与该流量报文数据进行匹配,可确定该流量报文数据中与该漏洞类型特征集合是否存在共现特征(相匹配的漏洞类型特征),若存在,例如,为开源组件Jackson下的漏洞类型特征“CVE-2019-12384”,则可将该相匹配的漏洞类型特征“CVE-2019-12384”提取出来,并将该漏洞类型特征对应的漏洞类型作为该流量报文数据的漏洞类型(即,开源组件Jackson)。
进一步地,应当理解,可获取开源组件Jackson对应的历史流量漏洞特征集合,并将该流量报文数据进行匹配,通过匹配可更为精确地确定该流量报文数据中存在的漏洞特征,属于该漏洞类型特征“CVE-2019-12384”下的哪一种历史流量漏洞特征。可选的,也可获取漏洞类型特征“CVE-2019-12384”对应的历史流量漏洞特征集合(开源组件Jackson对应的历史流量漏洞特征集合,包含该漏洞类型特征“CVE-2019-12384”对应的历史流量漏洞特征集合),通过将漏洞类型特征“CVE-2019-12384”对应的历史流量漏洞特征集合与流量报文数据进行匹配,也可确定该流量报文数据中存在的漏洞特征属于漏洞类型特征“CVE-2019-12384”下的哪一种历史流量漏洞特征。
例如,漏洞类型特征“CVE-2019-12384”下的历史流量漏洞特征包括“jdbc:h2:”与“ch.qos.logback.core.db.DriverManagerConnectionSource”,则与该历史流量漏洞特征“ch.qos.logback.core.db.DriverManagerConnectionSource”以及该历史流量漏洞特征“jdbc:h2:”所组成的集合可作为历史流量漏洞特征集合。通过匹配,可确定该历史流量漏洞特征集合中不存在与该流量报文数据中相匹配的历史流量漏洞特征,则可确定该流量报文数据中的漏洞利用特征为未收录的且所属漏洞类型为开源组件Jackson的可疑漏洞利用特征,则可将该待检测流量数据确定为可疑漏洞特征流量(可疑的攻击特征流量),将该流量报文数据确定为可疑流量报文数据。
步骤S102,若流量报文数据为可疑流量报文数据,则根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取流量报文数据中的关键字段信息,根据关键字段信息生成流量报文数据的流量指纹标识信息;关键字段信息为流量报文数据中与历史分布位置对应的字段的信息。
本申请中,该历史分布位置可是指目前已有的历史流量漏洞特征在历史流量报文数据中的分布位置,该历史分布位置可通过共识经验所确定。例如,该历史分布位置可包括上述开源组件Jackson下的历史流量漏洞特征,在历史流量报文数据中通过共识经验所确定的分布位置;该历史分布位置也可包括上述漏洞类型特征“CVE-2019-12384”下的历史流量漏洞特征,在历史流量报文数据中通过共识经验所确定的分布位置。应当理解,可将该历史分布位置,作为该待检测流量数据的流量报文数据中的漏洞利用特征的分布位置,由此可提取出这些历史分布位置在该流量报文数据中对应的字段信息,这些字段信息可作为关键字段信息,通过该关键字段信息可生成该流量报文数据对应的流量指纹标识信息,具体方法可为,可以根据该关键字段信息确定目标路径字段;随后,可根据目标路径字段所具备的字段格式,确定目标路径字段对应的路径字段模板信息;随后,可获取流量报文数据中的访问地址字段对应的历史路径字段模板集合,根据历史路径字段模板集合和路径字段模板信息,可在关键字段信息中确定流量报文数据对应的目标字段信息;根据目标字段信息生成流量报文数据的流量指纹标识信息。其中,对于根据关键字段信息确定目标路径字段的方法可为,可获取该关键字段信息中的资源路径字段,并将该资源路径字段作为该目标路径字段。
应当理解,资源路径字段可是指获取资源的路径字段,当用户发起访问请求以获取xx资源时,根据资源路径字段可获取到用于返回至用户的资源。为便于理解,以下将以流量报文数据为如表1所示的HTTP流量报文数据为例,对目标路径字段进行说明:
表1
Figure 343487DEST_PATH_IMAGE001
其中,如表1所示的“Referer”字段包含一个资源定位系统(uniform resourcelocator,URL),用户可从该URL代表的页面出发访问当前请求的页面;“Cookie”字段为HTTP请求头信息(HTTP Header)的组成部分,可理解为保存在客户机中的简单的文本数据;“Host”字段可为初始URL中的主机和端口,可为访问地址字段。该“Referer”字段、“Cookie”字段以及“Host”字段不涉及到目标路径字段的确定过程。表1所示的资源路径字段可为“/id/1/name/james/”,该资源路径字段中的路径标识可包括“id”与“name”,其中,路径标识“id”对应的报文参数为“1”,而路径标识“name”对应的报文参数为“james”,则可将该路径标识“id”及其报文参数“1”、路径标识“name”及其报文参数“james”组成的字段“/id/1/name/james/”确定为目标路径字段。进一步地,可将该目标路径字段对应的字段格式“/id/参数1/name/参数2/”作为该关键字段信息的路径字段模板信息(也就是路径标识与报文参数所组成的格式)。该路径字段模板信息可是指通用网关接口( Common GatewayInterface,CGI)模板信息,则该路径字段模板信息可为“/id/CGI参数1/name/CGI参数2/”。其中,该CGI参数1可包括“1”;该CGI参数2可包括“james”。
其中,对于根据历史路径字段模板集合和路径字段模板信息,在关键字段信息中确定流量报文数据对应的目标字段信息的具体方法可为,可将路径字段模板信息与历史路径字段模板集合进行匹配;若历史路径字段模板集合中存在与路径字段模板信息相同的历史路径字段模板,则可将关键字段信息中路径字段模板信息对应的字段进行删除,得到目标字段信息;若历史路径字段模板集合中不存在与路径字段模板信息相同的历史路径字段模板,则可将关键字段信息确定为目标字段信息。
应当理解,如上述表1所对应HTTP流量数据包及其路径字段模板信息所示,可获取到访问地址字段“Host”字段对应的历史路径字段模板集合,该历史路径字段模板集合中包括一个或多个历史路径字段模板,可通过该历史路径字段模板集合,确定该表1所对应HTTP流量数据包的路径字段模板信息“/id/CGI参数1/name/CGI参数2/”,是否为已知的历史路径字段模板,若历史路径字段模板集合中存在该路径字段模板信息“/id/CGI参数1/name/CGI参数2/”,则可将该路径字段模板信息“/id/CGI参数1/name/CGI参数2/”在表1所对应HTTP流量数据包中,对应的字段即“/id/1/name/james/”进行删除,删除后得到的剩余字段,即可作为表1所对应HTTP流量数据包的目标字段信息。
进一步地,可根据目标字段信息生成流量报文数据的流量指纹标识信息,具体方法可为,将目标字段信息进行分词处理,得到流量报文数据对应的流量分词字段集合;随后,可获取历史流量指纹标识集合,根据历史流量指纹标识集合中的历史流量分词字段,可确定流量分词字段集合中每个流量分词字段在历史流量指纹标识集合中的出现频率;将流量分词字段集合中,出现频率大于或等于频率阈值的流量分词字段,确定为目标流量分词字段;获取指纹生成函数,通过指纹生成函数与目标流量分词字段,生成流量报文数据的流量指纹标识信息。
应当理解,可将目标字段信息进行分词处理,得到流量分词字段,随后,可获取历史流量指纹标识集合,该历史流量指纹标识集合中包括历史流量指纹标识信息,以及生成该历史流量指纹标识信息的历史流量分词;则可统计该历史流量标识集合中的每个流量分词字段的出现频率,例如,历史流量指纹标识集合中包括历史流量指纹标识信息1及其历史流量分词11与历史流量分词12、历史流量指纹标识信息2及其历史流量分词12与历史流量分词13、历史流量指纹标识3及其历史流量分词14;而流量分词字段集合中包括流量分词字段12与流量分词字段15,可以看出,在历史流量指纹标识集合中的历史流量分词字段包括历史流量分词11、历史流量分词12、历史流量分词13以及历史流量分词14,历史流量分词12与流量分词字段12为相同字段,可以确定该流量分词字段12在该历史流量指纹标识集合中的出现频率为2;该历史流量分词字段中不存在与该流量分词字段15相同的历史流量分词字段,则可确定该流量分词字段15的出现频率为0。
进一步地,可将低频词(也就是说出现频率低于频率阈值的流量分词字段)进行删除,从而可得到目标流量分词字段。随后,可采用指纹生成函数对目标流量分词字段进行计算,可得到流量报文数据的流量指纹标识信息。其中,该指纹生成函数可是指信息摘要算法(MD5 Message-Digest Algorithm,MD5),通过该MD5,可计算出哈希值,开哈希值可作为该流量报文数据的流量指纹标识信息。
例如,如上述表1所述,表1所对应HTTP流量数据包的路径字段模板信息为“/id/CGI参数1/name/CGI参数2/”,将该路径字段模板信息“/id/CGI参数1/name/CGI参数2/”与历史路径字段模板集合进行匹配后,可确定该路径字段模板信息“/id/CGI参数1/name/CGI参数2/”为已有的历史路径字段模板,则可将该路径字段模板信息“/id/CGI参数1/name/CGI参数2/”对应的字段“/id/1/name/james/”进行删除,得到目标字段信息,对于将目标字段信息中分词处理后出现的低频词,也进行筛除。最后,可以把剩下的目标流量分词字段,使用MD5生成流量负载指纹(流量指纹标识信息):
流量指纹标识信息:select and from concat information schema tables
=>md5(a=|b=|c=select|and|from|concat|information|schema|tables|d=)=> c71fb8aa4829fd7a192b7946cc9e7485
其中,“c71fb8aa4829fd7a192b7946cc9e7485”可为该表1对应的HTTP流量数据包的流量指纹标识信息。
可选的,可以理解的是,在对目标字段信息进行分词处理前,还可先将目标字段信息进行参数结构模板的分离,得到参数结构模板信息,再基于参数结构模板信息进行分词处理。例如,如上述表1所示,可分离出以下可能存在漏洞利用特征的结构对应的模板信息:
POST请求方法参数:a=GET参数1&b= GET参数2
Referer:Rerferer参数
Cookie:WMF-Last-Access=Cookie参数1
需要说明的是,上述表1中所提供的报文数据以及最后生成的流量指纹标识信息“c71fb8aa4829fd7a192b7946cc9e7485”,均是为便于理解所作出的举例说明,报文参数(如,1)或路径标识(id、name等)等数据并不具备实际参考意义。
步骤S103,根据流量指纹标识信息,确定待检测流量数据的流量漏洞属性。
本申请中,对于确定待检测流量数据的流量漏洞属性的具体方法可为,获取历史流量指纹标识集合;将流量指纹标识信息与历史流量指纹标识集合进行匹配;若历史流量指纹标识集合中存在与流量指纹标识信息相同的历史流量指纹标识,则可确定流量指纹标识信息为公知流量指纹标识信息,并将待检测流量数据的流量漏洞属性确定为公知漏洞属性;若历史流量指纹标识集合中不存在与流量指纹标识信息相同的历史流量指纹标识,则可确定流量指纹标识信息为未知流量指纹标识信息,并将待检测流量数据的流量漏洞属性确定为未知漏洞属性。
应当理解,在生成流量报文数据的流量指纹标识信息后,可将该流量指纹标识信息与流量指纹库(历史流量指纹标识集合)进行匹配,若该历史流量指纹标识集合中不存在该流量指纹标识信息,则该流量指纹标识信息为新增指纹标识信息,可确定该待检测流量数据的流量漏洞属性为公知漏洞属性;而若该历史流量指纹标识集合中存在该流量指纹标识信息,则该流量指纹标识信息是为已有的指纹标识信息,可确定该待检测流量数据的流量漏洞属性为未知漏洞属性。
其中,可以理解的是,该流量指纹库(历史流量指纹标识集合)中可包括历史流量指纹标识信息,以及生成该历史流量指纹标识信息的历史流量分词;该流量指纹库可从区块链中获取得到,也就是说,为保证历史流量指纹标识集合中每个历史流量指纹标识信息以及历史流量分词的真实性与可靠性,可将每个历史流量指纹标识(也就是流量指纹库)及其对应的历史流量分词上链至区块链中,而当需要使用该流量指纹库进行匹配时,则可从区块链获取得到流量指纹库。
应当理解,若待检测流量数据的流量漏洞属性为未知漏洞属性,则可生成针对待检测流量数据的警告提示信息,并将警告提示信息推送至漏洞维护用户终端,以使漏洞维护用户终端针对待检测流量数据进行安全维护处理。
在本申请实施例中,通过可疑流量报文数据中的关键字段信息,可以生成可疑流量报文数据的流量指纹标识信息,通过该流量指纹标识信息可自动确定该待检测流量数据(流量报文数据)的流量漏洞属性是否为未知的流量漏洞属性,无需利用人工经验知识来确定,可提高对未知漏洞的检测准确率;同时,本申请对流量漏洞的检测,是基于对网络流量数据进行计算分析,可以减少部署成本。综上,本申请可以提高对未知流量漏洞的检测准确率,同时减少检测成本。
为便于理解,请一并参见图4,图4是本申请实施例提供的一种生成流量指纹标识信息的流程示意图。如图4所示,该流程可以包括:
步骤S401,获取流量报文数据。
步骤S402,报文数据预处理。
本申请中,可对流量报文数据进行预处理,也就是说,提取该流量报文数据的路径字段模板信息(提取关键字段信息对应的模板信息,即提取CGI模板)。应当理解,若在一个时间段(例如,30s、60s、1小时)内,在业务服务器接收到的流量报文数据中,存在两个或两个以上的流量报文数据对应的访问地址字段(例如,“Host”字段)相同,在这种情况下,为提高提取这些流量报文数据的路径字段模板信息的效率,可将这些流量报文数据的关键字段信息进行匹配,提取出共现的路径标识,根据这些共现的路径标识可得到统一的路径字段模板信息,并将该统一的路径字段模板信息作为这些流量报文数据的路径字段模板信息。
也就是说,若流量报文数据是在心跳时间段内获取得到,同时在该心跳时间段内也可获取到其他流量报文数据,若该其他流量报文数据的访问地址字段与该流量报文数据相同,则可将其他流量报文数据作为该流量报文数据的对比流量报文数据,可确定对比流量报文数据与流量报文数据之间的共现路径标识,根据该共现的路径标识可将对比流量报文数据与流量报文数据的CGI模板信息进行聚类,从而可更为高效的得到不同流量报文数据的CGI模板信息。应当理解,在心跳时间段内,业务服务器接收到了待检测流量数据1对应的流量报文数据1,也接收到了待检测流量数据2对应的流量报文数据2,且流量报文数据1的访问地址字段与流量报文数据2的访问地址字段相同,则流量报文数据1可作为流量报文数据2的对比流量报文数据,同理,流量报文数据2也可作为流量报文数据1的对比流量报文数据。其中,该心跳时间段可为人为规定时间段,也可为机器随机生成的时间段,例如,该心跳时间段可是指每30s内、每半小时内、每1分钟内,等等。
在心跳时间段内具有对比流量报文数据时,对于根据对比流量报文数据确定流量报文数据的路径字段模板信息的具体方法可为,根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取对比流量报文数据中的对比关键字段信息;可将关键字段信息与对比关键字段信息进行匹配;根据匹配结果,在关键字段信息中获取第一路径标识,以及第一路径标识对应的第一报文参数,可将该第一路径标识与第一报文参数所组成的字段确定为第一目标路径字段;其中,该第一路径标识可是指关键字段信息的路径标识集合中,与对比关键字段信息的目标对比路径标识相同的路径标识;且目标对比路径标识在对比关键字段信息中的分布位置,与第一路径标识在关键字段信息中的分布位置相同;其中,该第一路径标识即可为共现路径标识,可将该第一路径标识与第一报文参数所对应的格式,作为该流量报文数据与对比流量报文数据之间的统一的路径字段模板信息。
随后,可在关键字段信息中,获取第二路径标识以及第二路径标识对应的第二报文参数,并将第二路径标识与第二报文参数所组成的字段确定为第二目标路径字段;其中,该第二路径字段是指路径标识集合中,除第一路径标识以外的路径标识;随后,可将第一路径字段和第二路径字段确定为目标路径字段。该第二路径标识可理解为与对比流量报文数据之间的非共现路径标识,可将该第二路径标识与第二报文参数所对应的格式,作为该流量报文数据的独有的路径字段模板信息。也就是说,目标路径字段所对应的路径字段模板信息可包括第一路径字段对应的字段格式,以及第二路径字段对应的字段格式共两种模板格式。
其中,应当理解,访问地址字段可是指该流量报文数据中的请求目标地址(也就是说,可为用户所访问的目标应用的地址);而资源路径字段可是指获取资源的路径字段,当用户访问请求目标地址以获取xx资源时,根据资源路径字段可获取到用于返回至用户的资源。为便于理解,请一并参见表2,表2为本申请实施例为上述表1对应的HTTP流量数据包所提供的一种对比HTTP流量数据包:
表2
Figure 689018DEST_PATH_IMAGE002
其中,如表1与表2所示的两个HTTP流量报文数据(HTTP流量数据包)均在同一心跳时间段内获取得到,表1与表2中的“Host”字段可为初始URL中的主机和端口,“Host”字段可为访问地址字段;因为两个HTTP流量数据包的“Host”字段均为“en.wikipedia.org”,也就是说,两个HTTP流量数据包的请求访问目标相同,则可将该这两个HTTP流量数据包互相作为对方的对比流量数据包。如表1中的“/id/1/name/james/”可作为资源路径字段,其中,“id”与“name”可作为路径标识,则“1”可作为路径标识“id”的报文参数,而“james”可作为路径标识“name”的报文参数;表1所示的“a=1&b=2”可是指HTTP请求的请求方法参数;而如表2中的“/id/2/name/mike/”可作为资源路径字段,其中,“id”与“name”可作为路径标识,则“2”可作为路径标识“id”的报文参数,而“mike”可作为路径标识“name”的报文参数,“a=11&b=22”可是指HTTP请求的请求方法参数。
应当理解,可将表1中的关键字段信息与表2中的关键字段信息进行匹配,因为表1中的路径标识集合包括资源路径字段“/id/1/name/james/”中的“id”与“name”;其中,表1中的路径标识“id”与表2中的资源路径字段“/id/2/name/mike/”中的路径标识“id”具有相同分布位置,“/id/2/name/mike/”中的路径标识“name”与“/id/1/name/james/”中的路径标识“name”具有相同分布位置,则可将两个“id”进行匹配,将两个“name”进行匹配。通过匹配可确定两个路径标识“id”与“name”均为相同的路径标识,则可将该“id”与“name”确定为上述第一路径标识;而因为两个HTTP流量报文数据的路径标识中,没有不同的路径标识,则两个HTTP流量报文数据中不存在上述第二路径标识。应当理解,可将该第一路径标识“id”与“name”以及其分别对应的报文参数作为两个HTTP流量报文数据分别对应的目标路径字段。例如,对于如表1的HTTP流量报文数据,目标路径字段可为“/id/1/name/james/”;而对于如表2的HTTP流量报文数据,目标路径字段可为“/id/2/name/mike/”。
应当理解,根据该目标路径字段所具备的字段格式,可得到该目标路径字段对应的路径字段模板信息,该路径字段模板信息可是指通用网关接口( Common GatewayInterface,CGI)模板信息,则该路径字段模板信息可为“/id/CGI参数1/name/CGI参数2/”,该路径字段模板信息“/id/CGI参数1/name/CGI参数2/”可为两个HTTP流量报文数据的统一的路径字段模板信息。其中,该CGI参数1可包括“1”与“2”;该CGI参数2可包括“james”与“mike”。
可以理解的是,若上述表1中的资源路径字段为/id/1/wiki/james/”,表2中的“/id/2/name/mike/”,则可知,“/id/1/wiki/james/”中的路径标识“id”与“/id/2/name/mike/”中的路径标识“id”处于同一分布位置,两个路径标识相同;/id/1/wiki/james/”中的路径标识“wiki”与“/id/2/name/mike/”中的路径标识“name”处于同一分布位置,“wiki”与该“name”不同;则可将相同的路径标识“id”作为第一路径标识,将不同的路径标识“wiki”与“name”作为第二路径标识;则表1中的目标路径字段可包括“/id/1/”与“wiki/james/”;则该目标路径字段可具备两种字段格式(包括第一路径标识“id”及其报文参数“1”组成的字段格式;以及第二路径标识“wiki”及其报文参数“james”组成的字段格式),即,这两种字段格式可包括字段格式“/id/CGI参数1”以及字段格式“/wiki/CGI参数2”。则可将该“/id/CGI参数1”以及“/wiki/CGI参数2”均作为该表1所示的两个路径字段模板信息;其中,“/id/CGI参数1”可为两个HTTP流量报文数据所对应的统一的路径字段模板信息,而“/wiki/CGI参数2”可为表1所对应的HTTP流量报文数据的不同于表2的路径字段模板信息。随后可将“/id/CGI参数1”与“/wiki/CGI参数2”分别与历史路径字段模板集进行匹配。同理,表2所示的HTTP流量数据包也可得到两个路径字段模板信息“/id/CGI参数1”以及“/name/CGI参数2”,其中,“/name/CGI参数2”可为表2所对应的HTTP流量报文数据的不同于表1的路径字段模板信息。
可以理解的是,若上述表1所对应的资源路径字段为“/id/1/wiki/james/”,表2所对应的资源路径字段为“/wiki/Jackson/name/mike/”。则通过匹配可知,“ /id/1/wiki/james/”中的路径标识“id”与“/wiki/name/mike/”中的路径标识“wiki”处于同一分布位置,为不同的路径标识;而“/id/1/wiki/james/”中的路径标识“wiki”与“/wiki/Jackson/name/mike/”中的路径标识“name”处于同一分布位置,属于不同的路径标识。可以理解的是,“id”与“wiki”属于不同的路径标识,“wiki”与“mike”也属于不同的路径标识,则可将表1“/id/1/wiki/james/”的目标路径字段确定为“/id/1/wiki/james/”,路径字段模板信息为“/id/CGI参数1/wiki/CGI参数2/”,该模板信息为表1所对应的HTTP流量报文数据不同于表2的路径字段模板信息;可将表2“/wiki/name/mike/”的目标路径字段确定为“/wiki/Jackson/name/mike/”,路径字段模板信息为“/wiki/CGI参数1/name/CGI参数2/”,该模板信息为表2所对应的HTTP流量报文数据不同于表1的路径字段模板信息。
需要说明的是,上述表2中所提供的报文数据,均是为便于理解所作出的举例说明,如报文参数(如,2)或路径标识(id、name、wiki等)等数据并不具备实际参考意义。
步骤S403,过滤已知的CGI模板。
本申请中,可通过已有的历史CGI模板对CGI模板进行过滤;应当理解,当上述对比流量报文数据与流量报文数据中,不存在相同的路径标识或不存在不同的路径标识时,则该流量报文数据的路径字段模板即为资源路径字段整体所对应的格式,也就是说,上述步骤S402中所述的CGI模板是包含上述图3所对应实施例中步骤S102中所述的CGI模板的。则对于这里的通过已有的历史CGI模板对CGI模板进行过滤的具体实现方式,可参见上述图3所对应实施例中步骤S102中对路径字段模板信息过滤的描述,这里将不再进行赘述。
步骤S404,分词处理。
本申请中,可对将CGI模板过滤后的流量报文数据(目标字段信息)进行分词处理;得到流量分词字段;应当理解,因为基于可疑流量报文数据进行的分词处理,该可疑流量报文数据中的目标字段信息中,是分布有与某种漏洞类型具有共同特性的特征(共现的漏洞类型特征)的,则将该目标字段信息进行分词处理后,得到的流量分词字段也可称为共现特征。
步骤S405,筛除低频词。
本申请中,可通过历史指纹库(历史流量指纹标识集合),来筛除低频词,得到目标流量分词,该目标流量分词可理解为最终确定的共现特征。
对于步骤S404-步骤S405的具体实现方式,可参见上述图3所对应实施例中步骤S102中确定目标流量分词的描述,这里将不再进行赘述。
步骤S406,生成流量指纹标识信息。
本申请中,可通过目标流量分词生成流量指纹标识信息,而若该流量指纹标识信息为历史指纹库不存在的增量指纹标识,则可将该流量指纹标识信息以及该目标流量分词建立映射关系,并一起写入历史指纹库中。可以理解的是,若该历史指纹库是存储至区块链中的,则可根据该流量指纹标识信息以及该目标流量分词生成区块,并将该区块上链至历史指纹库所属的区块链中,以保证该流量指纹标识信息以及该目标流量分词的真实性。
其中,对于步骤S406的具体实现方式,可以参见上述图3所对应实施例中步骤S103中对于生成流量指纹标识信息的描述,这里将不再进行赘述。
在本申请实施例中,通过可疑流量报文数据中的关键字段信息,可以生成可疑流量报文数据的流量指纹标识信息,通过该流量指纹标识信息可自动确定该待检测流量数据(流量报文数据)的流量漏洞属性是否为未知的流量漏洞属性,无需利用人工经验知识来确定,可提高对未知漏洞的检测准确率;同时,本申请对流量漏洞的检测,是基于对网络流量数据进行计算分析,可以减少部署成本。综上,本申请可以提高对未知流量漏洞的检测准确率,同时减少检测成本。
可以理解的是,通过该流量报文数据的流量指纹标识信息,还可对发送该流量报文数据(待检测流量数据)的目标客户端进行异常处理。请一并参见图5,图5是本申请实施例提供的一种对客户端进行异常处理的方法流程图。如图5所示,该流程可以包括:
步骤S201,获取流量报文数据中针对目标客户端的属性字段信息,根据属性字段信息生成目标客户端的设备指纹标识信息;目标客户端是指发送待检测流量数据的客户端。
本申请中,该目标客户端可是发送该流量报文数据的用户终端;该属性字段信息可用于表征该目标客户端的一些基本属性信息,根据该属性字段信息,可生成针对目标客户端的设备指纹标识信息。
为便于理解,请一并参见表3,表3是本申请实施例提供的一种HTTP流量数据包:
表3
Figure 42639DEST_PATH_IMAGE003
其中,基于HTTP流量数据网络包,可提取所有HTTP请求头字段(HTTP Header字段),并将键值分离。随后,可将键提取并按流量数据包(键值)的出现顺序拼接,并用规定符号进行分隔,例如,可采用符号“|”分隔,最终可使用MD5计算哈希值作为客户端指纹值。
例如,上述“Connection”字段可为确定是否需要进行持久连接的字段,例如,表1中“Connection”字段对应的“keep-alive”字段可用于表征需要进行持久连接(而表1中HTTP请求使用的“HTTP 1.1”字段为默认进行持久连接,在该“keep-alive”字段不存在时,也可通过“HTTP 1.1”字段确定需要进行持久连接);“Cache-Control”字段可为缓存控制字段,可用于指示缓存机制;“Upgrade-Insecure-Requests”可为头信息字段,用于指示可以处理HTTP协议;“User-Agent”字段可指示浏览器类型;“Accept”字段可用于指示浏览器可接受的多用途互联网邮件扩展(Multipurpose Internet Mail Extensions,MIME)类型;“Accept-Encoding”字段可用于指示浏览器能够进行解码的数据编码方式,例如,文件压缩格式(GNUzip,gzip)、无损数据压缩格式deflate以及压缩编码算法格式(Brotli,br)等等;“Accept-Encoding”字段可用于指示浏览器所希望的语言种类。上述的从“Host”字段-“Cookie”字段,均可作为发送目标客户端的属性字段信息,则可使用MD5算法对这些属性字段信息进行计算,从而可得到该表3对应HTTP流量数据包的设备指纹标识信息:
设备指纹标识信息:
MD5(Host|Connection|Cache-Control|Upgrade-Insecure-Requests|User-Agent|Accept|Referer|Accept-Encoding|Accept-Language|Cookie)=D3C1813CA932BCB6B9DD8808FD5CAA6C
应当理解,该“D3C1813CA932BCB6B9DD8808FD5CAA6C”可作为目标客户端的设备指纹标识信息。
需要说明的是,表3所包括的报文数据及其最后生成的设备指纹标识信息“D3C1813CA932BCB6B9DD8808FD5CAA6C”等数据,均是为便于理解所作出的举例说明,不具备实际参考意义。
步骤S202,根据设备指纹标识信息与流量指纹标识信息,对目标客户端进行异常处理。
本申请中,对于对目标客户端进行异常处理的具体方法可为,获取历史设备指纹标识集合,将设备指纹标识信息与历史设备指纹标识集合进行匹配;若历史设备指纹标识集合中不存在与设备指纹标识信息相同的历史设备指纹标识,则将目标客户端标记为异常访问客户端;若历史设备指纹标识集合中存在与设备指纹标识信息相同的历史设备指纹标识,则获取目标客户端的异常访问记录频率,将异常访问记录频率进行递增,得到递增记录频率,根据递增记录频率与流量指纹标识信息对目标客户端进行异常处理。
其中,根据递增记录频率与流量指纹标识信息对目标客户端进行异常处理的具体方法可为,获取历史流量指纹标识集合,将流量指纹标识信息与历史流量指纹标识集合进行匹配;若递增记录频率大于或等于记录阈值,且历史流量指纹标识集合中存在与流量指纹标识信息相同的历史流量指纹标识,则获取与流量指纹标识信息相同的历史流量指纹标识对应的漏洞类型,按照漏洞类型对应的屏蔽机制对目标客户端进行屏蔽处理;若递增记录频率大于或等于记录阈值,且历史流量指纹标识集合中不存在与流量指纹标识信息相同的历史流量指纹标识,则按照默认屏蔽机制对目标客户端进行屏蔽处理。
应当理解,将该设备指纹标识集合与该设备指纹标识信息进行匹配后,若该设备指纹标识集合中不存在该设备指纹标识信息,则可说明该目标客户端是第一次发送带有漏洞属性(包括未知漏洞属性与已知漏洞属性)的流量报文数据,则可将该目标客户端标记为异常访问;而若该设备指纹标识集合中存在该设备指纹标识信息,则可说明该目标客户端已不是第一次发送,则可将该目标客户端的异常访问次数(异常访问记录频率)进行递增;而一旦该异常访问次数达到了阈值(记录阈值),在流量指纹标识信息为已知的情况下,可获取该已知的流量指纹标识信息所对应的漏洞类型,并按照该已知的漏洞类型对应的屏蔽机制对该目标客户端进行屏蔽处理;而在该流量指纹标识信息为未知的情况下,可根据默认屏蔽机制对该目标客户端进行屏蔽处理。
在本申请中,通过流量报文数据中的属性字段信息可生成目标客户端的设备指纹标识信息,通过该设备指纹标识信息及其上述流量指纹标识信息,可对目标客户端进行异常处理。本申请是基于网络流量数据进行计算分析,可以减少部署成本,同时,通过流量指纹标识信息与设备指纹标识信息可自动地快速地对目标客户端进行异常处理,可以提高效率与准确率。
为便于理解,请参见图6,图6是本申请实施例提供的一种对客户端进行异常处理的场景示意图。如图6所示,当用户a使用用户终端A中时,用户a通过某一攻击脚本(如,xx攻击脚本)期望访问目标系统,通过该xx攻击脚本可自动化构建针对该目标系统的访问请求,用户终端A可通过流量旁路镜像组件获取到该访问请求所对应的业务交互流量数据,该用户终端A可将该业务交互流量数据作为待检测流量数据。随后,用户终端A可得到该待检测流量数据的流量报文数据,并将该流量报文数据发送至业务服务器,业务服务器可计算得到该流量报文数据的流量指纹标识信息,以及该用户终端A的设备指纹标识信息;其中,对于业务服务器得到流量指纹标识信息以及设备指纹标识信息的具体实现方式,可参见上述图3与图5所对应实施例中的描述,这里将不再进行赘述。进一步地,业务服务器可将该设备指纹标识信息与该历史指纹库(包括历史设备指纹标识集合),通过匹配可确定该设备指纹标识信息为已知指纹标识信息,则可获取该用户终端A的异常访问次数为5,该异常访问次数已大于阈值4,则可进一步地将流量指纹标识信息与该历史指纹库进行匹配,通过匹配可确定该流量指纹标识信息为已知指纹标识信息,则可获取到该流量指纹标识信息对应的漏洞类型为漏洞类型500,可按照该漏洞类型500对应的屏蔽机制对该用户终端A进行屏蔽处理。应当理解,对用户终端A进行屏蔽后,用户终端A可在显示界面中显示“无法访问”的提示信息,用户a可查看到该无法进行访问的提示信息。
进一步地,请参见图7,图7是本申请实施例提供的一种系统架构图。如图7所示,该系统架构可包括:
流量解析模块:其中,该流量解析模块可用于解析通过流量旁路镜像所获取到的流量数据,得到TCP流量数据包(TCP流量报文数据)与HTTP流量数据包(HTTP流量报文数据)。应当理解,当用户访问目标应用时,流量旁路镜像可获取到该访问请求所对应的业务交互流量数据。而若为正常用户所发起的访问请求,则该业务交互流量数据可视为正常业务交互流量数据;若为攻击用户通过攻击脚本所发起的访问请求,则该业务交互流量数据可视为攻击特征流量(包括未公开攻击特征流量与已公开攻击特征流量)。其中,对于流量解析模块解析流量数据,得到TCP流量数据包与HTTP流量数据包的具体实现方式,可参见上述图3所对应实施例中,对于解析待检测流量数据得到TCP流量数据包与HTTP流量数据包的描述,这里将不再进行赘述。
网络包预筛选模块:该网络预筛选模块可用于检测流量数据包是否为可疑流量数据包,筛选出可疑流量数据包发送至指纹提取模块。对于检测流量数据包是否为可疑流量数据包的具体实现方式,可参见上述图3所对应实施例中的描述,这里将不再进行赘述。
指纹提取模块,指纹提取模块可生成流量数据包的流量指纹标识信息,以及设备指纹标识信息。对于生成流量指纹标识信息的具体实现方式,可参见上述图3所对应实施例中的描述,这里将不再进行赘述;对于生成设备指纹标识信息的具体实现方式,可参见上述图5所对应实施例中的描述,这里将不再进行赘述。
指纹判定模块,指纹判定模块可用于通过历史指纹库,来确定流量指纹标识信息或设备指纹标识信息是否为增量指纹标识信息(未知的指纹标识信息),若流量指纹标识信息为增量指纹标识信息,则可生成警告提示信息,并将该警告提示信息推送至控制台(漏洞维护用户终端),安全维护人员可查看到该警告提示信息并进行安全维护处理;同时,可将该增量指纹标识信息存储至历史指纹库中。而若设备指纹标识信息为增量指纹标识信息,则可根据该设备指纹标识信息与该流量指纹标识信息对发送流量报文数据的客户端进行异常处理。
应当理解,本申请对流量漏洞的检测,是基于对网络流量数据进行计算分析,可以减少部署成本,同时,通过计算得到的流量指纹标识信息可自动判定待检测流量是否为未知漏洞特征流量,可以提高准确率和效率。
进一步地,请参见图8,图8是本申请实施例提供的一种系统流程图。如图8所示,该流程可以包括:
步骤S801,获取流量报文数据。
步骤S802,高覆盖特征筛选规则对数据包(流量报文数据)预筛选。
本申请中,可通过漏洞类型特征集合对流量数据包进行预筛选。
步骤S803,精准特征过滤规则对数据包预筛选。
本申请中,可通过历史流量漏洞特征集合对流量数据包进行进一步地预筛选。
对于步骤S801-步骤S803对流量数据包进行预筛选的具体实现方式,可以参见上述图3所对应实施例中对于确定流量报文数据,是否为可疑流量报文数据的描述,这里将不再进行赘述。
步骤S804,流量指纹标识信息计算。
本申请中,对于流量指纹标识信息计算的具体实现方式,可以参见上述图3所对应实施例中对于确定流量指纹标识信息的描述,这里将不再进行赘述。
步骤S805,设备指纹标识信息计算。
本申请中,对于设备指纹标识信息计算的具体实现方式,可以参见上述图5所对应实施例中对于确定设备指纹标识信息的描述,这里将不再进行赘述。
步骤S806,客户端异常处理。
本申请中,对于对客户端进行异常处理的具体实现方式,可以参见上述图5所对应实施例中的描述,这里将不再进行赘述。
步骤S807,确定流量指纹标识信息是否为增量指纹标识信息。
步骤S808,若流量指纹标识信息为增量指纹标识信息,则可生成警告提示信息,并推送至安全维护人员。同时,可将该流量指纹标识信息写入历史指纹库中。
应当理解,本申请是基于网络流量数据进行计算分析,可以减少部署成本,同时,通过流量指纹标识信息与设备指纹标识信息可自动地快速地对目标客户端进行异常处理,且可自动判定流量报文数据是否存在未知的流量漏洞利用特征或是否存在已知的流量漏洞利用特征,可以提高效率与准确率。
进一步地,请参见图9,图9是本申请实施例提供的一种数据检测装置的结构示意图。该数据检测装置可以是运行于计算机设备中的一个计算机程序(包括程序代码),例如该数据检测装置为一个应用软件;该数据检测装置可以用于执行图3所示的方法。如图9所示,该数据检测装置1可以包括:特征获取模块11、流量指纹生成模块12以及漏洞属性确定模块13。
报文获取模块11,用于获取待检测流量数据对应的流量报文数据;
流量指纹生成模块12,用于若流量报文数据为可疑流量报文数据,则根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取流量报文数据中的关键字段信息,根据关键字段信息生成流量报文数据的流量指纹标识信息;关键字段信息为流量报文数据中与历史分布位置对应的字段的信息;
漏洞属性确定模块13,用于根据流量指纹标识信息,确定待检测流量数据的流量漏洞属性。
其中,报文获取模块11、流量指纹生成模块12以及漏洞属性确定模块13的具体实现方式,可以参见上述图3所对应实施例中步骤S101-步骤S103的描述,这里将不再进行赘述。
请参见图9,该数据检测装置1还可以包括:集合获取模块14、特征匹配模块15、漏洞类型确定模块16以及特征确定模块17。
集合获取模块14,用于获取漏洞类型特征集合;
类型匹配模块15,用于将流量报文数据与漏洞类型特征集合进行匹配;
漏洞类型确定模块16,用于若漏洞类型特征集合中存在与流量报文数据相匹配的漏洞类型特征,则获取与流量报文数据相匹配的漏洞类型特征所属的漏洞类型;
流量确定模块17,用于获取漏洞类型对应的历史流量漏洞特征集合;
流量确定模块17,还用于根据历史流量漏洞特征集合确定流量报文数据为公知流量报文数据或可疑流量报文数据。
其中,集合获取模块14、类型匹配模块15、漏洞类型确定模块16以及流量确定模块17的具体实现方式,可以参见上述图3所对应实施例中步骤S101中的描述,这里将不再进行赘述。
请参见图9,流量确定模块17可以包括:特征匹配单元171以及流量确定单元172。
特征匹配单元171,用于将流量报文数据与历史流量漏洞特征集合进行匹配;
流量确定单元172,用于若历史流量漏洞特征集合中存在与流量报文数据相同的历史流量漏洞特征,则将流量报文数据确定为公知流量报文数据;
流量确定单元172,还用于若历史流量漏洞特征集合中不存在与流量报文数据相同的历史流量漏洞特征,则将流量报文数据确定为可疑流量报文数据。
其中,特征匹配单元171以及流量确定单元172的具体实现方式,可以参见上述图3所对应实施例中步骤S101中的描述,这里将不再进行赘述。
请参见图9,流量指纹生成模块12可以包括:路径字段确定单元121、模板确定单元122、目标字段确定单元123以及流量指纹生成单元124。
路径字段确定单元121,用于根据关键字段信息确定目标路径字段;
模板确定单元122,用于根据目标路径字段所具备的字段格式,确定目标路径字段对应的路径字段模板信息;
目标字段确定单元123,用于获取流量报文数据中的访问地址字段对应的历史路径字段模板集合,根据历史路径字段模板集合和路径字段模板信息,在关键字段信息中确定流量报文数据对应的目标字段信息;
流量指纹生成单元124,根据目标字段信息生成流量报文数据的流量指纹标识信息。
其中,路径字段确定单元121、模板确定单元122、目标字段确定单元123以及流量指纹生成单元124的具体实现方式,可以参见上述图3所对应实施例中步骤S102的描述,这里将不再进行赘述。
其中,流量报文数据属于心跳时间段内获取到的报文数据;心跳时间段内获取到的报文数据还包括对比流量报文数据;流量报文数据中的访问地址字段,与对比流量报文数据的访问地址字段相同;
请参见图9,路径字段确定单元121可以包括:对比信息提取子单元1211、字段匹配子单元1212、字段提取子单元1213以及路径字段确定子单元1214。
对比信息提取子单元1211,用于根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取对比流量报文数据中的对比关键字段信息;
字段匹配子单元1212,用于将关键字段信息与对比关键字段信息进行匹配;
字段提取子单元1213,用于根据匹配结果,在关键字段信息中获取第一路径标识,以及第一路径标识对应的第一报文参数,将第一路径标识与第一报文参数所组成的字段确定为第一路径字段;第一路径标识是指关键字段信息的路径标识集合中,与对比关键字段信息的目标对比路径标识相同的路径标识;目标对比路径标识在对比关键字段信息中的分布位置,与第一路径标识在关键字段信息中的分布位置相同;
字段提取子单元1213,还用于在关键字段信息中,获取第二路径标识以及第二路径标识对应的第二报文参数,将第二路径标识与第二报文参数所组成的字段确定为第二路径字段;第二路径字段是指路径标识集合中,除第一路径标识以外的路径标识;
路径字段确定子单元1214,用于将第一路径字段和第二路径字段确定为目标路径字段。
其中,对比信息提取子单元1211、字段匹配子单元1212、字段提取子单元1213以及路径字段确定子单元1214的具体实现方式,可以参见上述图3所对应实施例中步骤S102的描述,这里将不再进行赘述。
请参见图9,目标字段确定单元123可以包括:模板匹配子单元1231、字段删除子单元1232以及目标字段确定子单元1233。
模板匹配子单元1231,用于将路径字段模板信息与历史路径字段模板集合进行匹配;
字段删除子单元1232,用于若历史路径字段模板集合中存在与路径字段模板信息相同的历史路径字段模板,则将关键字段信息中路径字段模板信息对应的字段进行删除,得到目标字段信息;
目标字段确定子单元1233,用于若历史路径字段模板集合中不存在与路径字段模板信息相同的历史路径字段模板,则将关键字段信息确定为目标字段信息。
其中,模板匹配子单元1231、字段删除子单元1232以及目标字段确定子单元1233的具体实现方式,可以参见上述图3所对应实施例中步骤S102的描述,这里将不再进行赘述。
请参见图9,流量指纹生成单元124可以包括:分词处理子单元1241、频率确定子单元1242、目标分词确定子单元1243以及流量指纹生成子单元1244。
分词处理子单元1241,用于将目标字段信息进行分词处理,得到流量报文数据对应的流量分词字段集合;
频率确定子单元1242,用于获取历史流量指纹标识集合,根据历史流量指纹标识集合中的历史流量分词字段,确定流量分词字段集合中每个流量分词字段在历史流量指纹标识集合中的出现频率;
目标分词确定子单元1243,用于将流量分词字段集合中,出现频率大于或等于频率阈值的流量分词字段,确定为目标流量分词字段;
流量指纹生成子单元1244,用于获取指纹生成函数,通过指纹生成函数与目标流量分词字段,生成流量报文数据的流量指纹标识信息。
其中,分词处理子单元1241、频率确定子单元1242、目标分词确定子单元1243以及流量指纹生成子单元1244的具体实现方式,可以参见上述图3所对应实施例中步骤S102的描述,这里将不再进行赘述。
请参见图9,漏洞属性确定模块13可以包括:指纹集合获取单元131、指纹匹配单元132以及属性确定单元133。
指纹集合获取单元131,用于获取历史流量指纹标识集合;
指纹匹配单元132,用于将流量指纹标识信息与历史流量指纹标识集合进行匹配;
属性确定单元133,用于若历史流量指纹标识集合中存在与流量指纹标识信息相同的历史流量指纹标识,则确定流量指纹标识信息为公知流量指纹标识信息,将待检测流量数据的流量漏洞属性确定为公知漏洞属性;
属性确定单元133,还用于若历史流量指纹标识集合中不存在与流量指纹标识信息相同的历史流量指纹标识,则确定流量指纹标识信息为未知流量指纹标识信息,将待检测流量数据的流量漏洞属性确定为未知漏洞属性。
其中,指纹集合获取单元131、指纹匹配单元132以及属性确定单元133的具体实现方式,可以参见上述图3所对应实施例中步骤S103的描述,这里将不再进行赘述。
请参见图9,该数据检测装置1还可以包括:警告提示模块18。
警告提示模块18,用于若待检测流量数据的流量漏洞属性为未知漏洞属性,则生成针对待检测流量数据的警告提示信息,将警告提示信息推送至漏洞维护用户终端,以使漏洞维护用户终端针对待检测流量数据进行安全维护处理。
其中,警告提示模块18的具体实现方式,可以参见上述图3所对应实施例中步骤S103中的描述,这里将不再进行赘述。
请参见图9,该数据检测装置1还可以包括:设备指纹生成模块19以及设备处理模块20。
设备指纹生成模块19,用于获取流量报文数据中针对目标客户端的属性字段信息,根据属性字段信息生成目标客户端的设备指纹标识信息;目标客户端是指发送待检测流量数据的客户端;
设备处理模块20,用于根据设备指纹标识信息与流量指纹标识信息,对目标客户端进行异常处理。
其中,设备指纹生成模块19以及设备处理模块20的具体实现方式,可以参见上述图5所对应实施例中步骤S201-步骤S202的描述,这里将不再进行赘述。
请参见图9,设备处理模块20可以包括:设备指纹匹配单元2001、设备标记单元2002、频率记录单元2003以及异常处理单元2004。
设备指纹匹配单元2001,用于获取历史设备指纹标识集合,将设备指纹标识信息与历史设备指纹标识集合进行匹配;
设备标记单元2002,用于若历史设备指纹标识集合中不存在与设备指纹标识信息相同的历史设备指纹标识,则将目标客户端标记为异常访问客户端;
频率记录单元2003,用于若历史设备指纹标识集合中存在与设备指纹标识信息相同的历史设备指纹标识,则获取目标客户端的异常访问记录频率,将异常访问记录频率进行递增,得到递增记录频率;
异常处理单元2004,用于根据递增记录频率与流量指纹标识信息对目标客户端进行异常处理。
其中,设备指纹匹配单元2001、设备标记单元2002、频率记录单元2003以及异常处理单元2004的具体实现方式,可以参见上述图5所对应实施例中步骤S202的描述,这里将不再进行赘述。
请参见图9,异常处理单元2004可以包括:流量指纹匹配子单元20041、屏蔽处理子单元20042以及屏蔽处理子单元20043。
流量指纹匹配子单元20041,用于获取历史流量指纹标识集合,将流量指纹标识信息与历史流量指纹标识集合进行匹配;
屏蔽处理子单元20042,用于若递增记录频率大于或等于记录阈值,且历史流量指纹标识集合中存在与流量指纹标识信息相同的历史流量指纹标识,则获取与流量指纹标识信息相同的历史流量指纹标识对应的漏洞类型,按照漏洞类型对应的屏蔽机制对目标客户端进行屏蔽处理;
屏蔽处理子单元20043,还用于若递增记录频率大于或等于记录阈值,且历史流量指纹标识集合中不存在与流量指纹标识信息相同的历史流量指纹标识,则按照默认屏蔽机制对目标客户端进行屏蔽处理。
其中,流量指纹匹配子单元20041、屏蔽处理子单元20042以及屏蔽处理子单元20043的具体实现方式,可以参见上述图5所对应实施例中步骤S202的描述,这里将不再进行赘述。
在本申请实施例中,通过可疑流量报文数据中的关键字段信息,可以生成可疑流量报文数据的流量指纹标识信息,通过该流量指纹标识信息可自动确定该待检测流量数据(流量报文数据)的流量漏洞属性是否为未知的流量漏洞属性,无需利用人工经验知识来确定,可提高对未知漏洞的检测准确率;同时,本申请对流量漏洞的检测,是基于对网络流量数据进行计算分析,可以减少部署成本。综上,本申请可以提高对未知流量漏洞的检测准确率,同时减少检测成本。
进一步地,请参见图10,图10是本申请实施例提供的一种计算机设备的结构示意图。如图10所示,上述图9所对应实施例中的装置1可以应用于上述计算机设备1000,上述计算机设备1000可以包括:处理器1001,网络接口1004和存储器1005,此外,上述计算机设备1000还包括:用户接口1003,和至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图10所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
在图10所示的计算机设备1000中,网络接口1004可提供网络通讯功能;而用户接口1003主要用于为用户提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现:
获取待检测流量数据对应的流量报文数据;
若流量报文数据为可疑流量报文数据,则根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取流量报文数据中的关键字段信息,根据关键字段信息生成流量报文数据的流量指纹标识信息;关键字段信息为流量报文数据中与历史分布位置对应的字段的信息;
根据流量指纹标识信息,确定流量报文数据的流量漏洞属性。
应当理解,本申请实施例中所描述的计算机设备1000可执行前文图3与图5所对应实施例中对该数据检测方法的描述,也可执行前文图9所对应实施例中对该数据检测装置1的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
此外,这里需要指出的是:本申请实施例还提供了一种计算机可读存储介质,且上述计算机可读存储介质中存储有前文提及的数据处理的计算机设备1000所执行的计算机程序,且上述计算机程序包括程序指令,当上述处理器执行上述程序指令时,能够执行前文图3与图5所对应实施例中对上述数据检测方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。
上述计算机可读存储介质可以是前述任一实施例提供的数据检测装置或者上述计算机设备的内部存储单元,例如计算机设备的硬盘或内存。该计算机可读存储介质也可以是该计算机设备的外部存储设备,例如该计算机设备上配备的插接式硬盘,智能存储卡(smart media card,SMC),安全数字(secure digital, SD)卡,闪存卡(flash card)等。进一步地,该计算机可读存储介质还可以既包括该计算机设备的内部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该计算机设备所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例中一方面提供的方法。
本申请实施例的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、装置、产品或设备固有的其他步骤单元。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例提供的方法及相关装置是参照本申请实施例提供的方法流程图和/或结构示意图来描述的,具体可由计算机程序指令实现方法流程图和/或结构示意图的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。这些计算机程序指令可提供到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或结构示意一个方框或多个方框中指定的功能的步骤。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。

Claims (15)

1.一种数据检测方法,其特征在于,包括:
获取待检测流量数据对应的流量报文数据;
若所述流量报文数据为可疑流量报文数据,则根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取所述流量报文数据中的关键字段信息,根据所述关键字段信息生成所述流量报文数据的流量指纹标识信息;所述关键字段信息为所述流量报文数据中与所述历史分布位置对应的字段的信息;
根据所述流量指纹标识信息,确定所述待检测流量数据的流量漏洞属性。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取漏洞类型特征集合;
将所述流量报文数据与所述漏洞类型特征集合进行匹配;
若所述漏洞类型特征集合中存在与所述流量报文数据相匹配的漏洞类型特征,则获取所述与所述流量报文数据相匹配的漏洞类型特征所属的漏洞类型;
获取所述漏洞类型对应的历史流量漏洞特征集合,根据所述历史流量漏洞特征集合确定所述流量报文数据为公知流量报文数据或可疑流量报文数据。
3.根据权利要求2所述的方法,其特征在于,所述根据所述历史流量漏洞特征集合确定所述流量报文数据为公知流量报文数据或可疑流量报文数据,包括:
将所述流量报文数据与所述历史流量漏洞特征集合进行匹配;
若所述历史流量漏洞特征集合中存在与所述流量报文数据相匹配的历史流量漏洞特征,则将所述流量报文数据确定为公知流量报文数据;
若所述历史流量漏洞特征集合中不存在与所述流量报文数据相匹配的历史流量漏洞特征,则将所述流量报文数据确定为可疑流量报文数据。
4.根据权利要求1所述的方法,其特征在于,所述根据所述关键字段信息生成所述流量报文数据的流量指纹标识信息,包括:
根据所述关键字段信息确定目标路径字段;
根据所述目标路径字段所具备的字段格式,确定所述目标路径字段对应的路径字段模板信息;
获取所述流量报文数据中的访问地址字段对应的历史路径字段模板集合,根据所述历史路径字段模板集合和所述路径字段模板信息,在所述关键字段信息中确定所述流量报文数据对应的目标字段信息;
根据所述目标字段信息生成所述流量报文数据的流量指纹标识信息。
5.根据权利要求4所述的方法,其特征在于,所述流量报文数据属于心跳时间段内获取到的报文数据;所述心跳时间段内获取到的报文数据还包括对比流量报文数据;所述流量报文数据中的访问地址字段,与所述对比流量报文数据的访问地址字段相同;
所述根据所述关键字段信息确定目标路径字段,包括:
根据所述历史流量漏洞特征在所述历史流量报文数据中的所述历史分布位置,提取所述对比流量报文数据中的对比关键字段信息;
将所述关键字段信息与所述对比关键字段信息进行匹配;
根据匹配结果,在所述关键字段信息中获取第一路径标识,以及所述第一路径标识对应的第一报文参数,将所述第一路径标识与所述第一报文参数所组成的字段确定为第一路径字段;所述第一路径标识是指所述关键字段信息的路径标识集合中,与所述对比关键字段信息的目标对比路径标识相同的路径标识;所述目标对比路径标识在所述对比关键字段信息中的分布位置,与所述第一路径标识在所述关键字段信息中的分布位置相同;
在所述关键字段信息中,获取第二路径标识以及所述第二路径标识对应的第二报文参数,将所述第二路径标识与所述第二报文参数所组成的字段确定为第二路径字段;所述第二路径字段是指所述路径标识集合中,除所述第一路径标识以外的路径标识;
将所述第一路径字段和所述第二路径字段确定为所述目标路径字段。
6.根据权利要求4所述的方法,其特征在于,所述根据所述历史路径字段模板集合和所述路径字段模板信息,在所述关键字段信息中确定所述流量报文数据对应的目标字段信息,包括:
将所述路径字段模板信息与所述历史路径字段模板集合进行匹配;
若所述历史路径字段模板集合中存在与所述路径字段模板信息相同的历史路径字段模板,则将所述关键字段信息中所述路径字段模板信息对应的字段进行删除,得到所述目标字段信息;
若所述历史路径字段模板集合中不存在与所述路径字段模板信息相同的历史路径字段模板,则将所述关键字段信息确定为所述目标字段信息。
7.根据权利要求4所述的方法,其特征在于,所述根据所述目标字段信息生成所述流量报文数据的流量指纹标识信息,包括:
将所述目标字段信息进行分词处理,得到所述流量报文数据对应的流量分词字段集合;
获取历史流量指纹标识集合,根据所述历史流量指纹标识集合中的历史流量分词字段,确定所述流量分词字段集合中每个流量分词字段在所述历史流量指纹标识集合中的出现频率;
将所述流量分词字段集合中,所述出现频率大于或等于频率阈值的流量分词字段,确定为目标流量分词字段;
获取指纹生成函数,通过所述指纹生成函数与所述目标流量分词字段,生成所述流量报文数据的所述流量指纹标识信息。
8.根据权利要求1所述的方法,其特征在于,所述根据所述流量指纹标识信息,确定所述待检测流量数据的流量漏洞属性,包括:
获取历史流量指纹标识集合;
将所述流量指纹标识信息与所述历史流量指纹标识集合进行匹配;
若所述历史流量指纹标识集合中存在与所述流量指纹标识信息相同的历史流量指纹标识,则确定所述流量指纹标识信息为公知流量指纹标识信息,将所述待检测流量数据的流量漏洞属性确定为公知漏洞属性;
若所述历史流量指纹标识集合中不存在与所述流量指纹标识信息相同的历史流量指纹标识,则确定所述流量指纹标识信息为未知流量指纹标识信息,将所述待检测流量数据的流量漏洞属性确定为未知漏洞属性。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
若所述待检测流量数据的流量漏洞属性为未知漏洞属性,则生成针对所述待检测流量数据的警告提示信息,将所述警告提示信息推送至漏洞维护用户终端,以使所述漏洞维护用户终端针对所述待检测流量数据进行安全维护处理。
10.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述流量报文数据中针对目标客户端的属性字段信息,根据所述属性字段信息生成所述目标客户端的设备指纹标识信息;所述目标客户端是指发送所述待检测流量数据的客户端;
根据所述设备指纹标识信息与所述流量指纹标识信息,对所述目标客户端进行异常处理。
11.根据权利要求10所述的方法,其特征在于,所述根据所述设备指纹标识信息与所述流量指纹标识信息,对所述目标客户端进行异常处理,包括:
获取历史设备指纹标识集合,将所述设备指纹标识信息与所述历史设备指纹标识集合进行匹配;
若所述历史设备指纹标识集合中不存在与所述设备指纹标识信息相同的历史设备指纹标识,则将所述目标客户端标记为异常访问客户端;
若所述历史设备指纹标识集合中存在与所述设备指纹标识信息相同的历史设备指纹标识,则获取所述目标客户端的异常访问记录频率,将所述异常访问记录频率进行递增,得到递增记录频率,根据所述递增记录频率与所述流量指纹标识信息对所述目标客户端进行异常处理。
12.根据权利要求11所述的方法,其特征在于,所述根据所述递增记录频率与所述流量指纹标识信息对所述目标客户端进行异常处理,包括:
获取历史流量指纹标识集合,将所述流量指纹标识信息与所述历史流量指纹标识集合进行匹配;
若所述递增记录频率大于或等于记录阈值,且所述历史流量指纹标识集合中存在与所述流量指纹标识信息相同的历史流量指纹标识,则获取所述与所述流量指纹标识信息相同的历史流量指纹标识对应的漏洞类型,按照所述漏洞类型对应的屏蔽机制对所述目标客户端进行屏蔽处理;
若所述递增记录频率大于或等于所述记录阈值,且所述历史流量指纹标识集合中不存在与所述流量指纹标识信息相同的历史流量指纹标识,则按照默认屏蔽机制对所述目标客户端进行屏蔽处理。
13.一种数据检测装置,其特征在于,包括:
特征获取模块,用于获取待检测流量数据对应的流量报文数据;
流量指纹生成模块,用于若所述流量报文数据为可疑流量报文数据,则根据历史流量漏洞特征在历史流量报文数据中的历史分布位置,提取所述流量报文数据中的关键字段信息,根据所述关键字段信息生成所述流量报文数据的流量指纹标识信息;所述关键字段信息为所述流量报文数据中与所述历史分布位置对应的字段的信息;
漏洞属性确定模块,用于根据所述流量指纹标识信息,确定所述待检测流量数据的流量漏洞属性。
14.一种计算机设备,其特征在于,包括:处理器、存储器以及网络接口;
所述处理器与所述存储器、所述网络接口相连,其中,所述网络接口用于提供网络通信功能,所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,以执行权利要求1-12任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序适于由处理器加载并执行权利要求1-12任一项所述的方法。
CN202110120608.8A 2021-01-28 2021-01-28 一种数据检测方法、装置、设备及可读存储介质 Active CN112468520B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110120608.8A CN112468520B (zh) 2021-01-28 2021-01-28 一种数据检测方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110120608.8A CN112468520B (zh) 2021-01-28 2021-01-28 一种数据检测方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN112468520A true CN112468520A (zh) 2021-03-09
CN112468520B CN112468520B (zh) 2021-04-20

Family

ID=74802558

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110120608.8A Active CN112468520B (zh) 2021-01-28 2021-01-28 一种数据检测方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN112468520B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113098902A (zh) * 2021-04-29 2021-07-09 深圳融安网络科技有限公司 网络设备漏洞管理方法、装置、管理终端设备及存储介质
CN113194091A (zh) * 2021-04-28 2021-07-30 顶象科技有限公司 恶意流量入侵检测系统和硬件平台
CN114039776A (zh) * 2021-11-09 2022-02-11 北京天融信网络安全技术有限公司 流量检测规则的生成方法、装置、电子设备及存储介质
CN114338600A (zh) * 2021-12-28 2022-04-12 深信服科技股份有限公司 一种设备指纹的推选方法、装置、电子设备和介质
CN114389964A (zh) * 2021-12-29 2022-04-22 鹏城实验室 一种流量监测方法、装置、终端及存储介质
CN114520774A (zh) * 2021-12-28 2022-05-20 武汉虹旭信息技术有限责任公司 基于智能合约的深度报文检测方法及装置
CN115549990A (zh) * 2022-09-19 2022-12-30 武汉思普崚技术有限公司 一种sql注入检测方法及相关设备
CN116244106A (zh) * 2023-03-22 2023-06-09 中航信移动科技有限公司 一种民航数据的数据检测方法、存储介质及电子设备
WO2023179461A1 (zh) * 2022-03-25 2023-09-28 华为技术有限公司 一种处理疑似攻击行为的方法及相关装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8601586B1 (en) * 2008-03-24 2013-12-03 Google Inc. Method and system for detecting web application vulnerabilities
CN103731429A (zh) * 2014-01-08 2014-04-16 深信服网络科技(深圳)有限公司 web应用漏洞检测方法及装置
CN106888211A (zh) * 2017-03-10 2017-06-23 北京安赛创想科技有限公司 一种网络攻击的检测方法及装置
CN108833437A (zh) * 2018-07-05 2018-11-16 成都康乔电子有限责任公司 一种基于流量指纹和通信特征匹配的apt检测方法
US20190377877A1 (en) * 2018-06-07 2019-12-12 Sap Se Web browser script monitoring
CN111586005A (zh) * 2020-04-29 2020-08-25 杭州迪普科技股份有限公司 扫描器扫描行为识别方法及装置
US20200342108A1 (en) * 2019-04-26 2020-10-29 Forcepoint Llc Adaptive trust profile behavioral fingerprint
CN112019574A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 异常网络数据检测方法、装置、计算机设备和存储介质
CN112019575A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 数据包处理方法、装置、计算机设备以及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8601586B1 (en) * 2008-03-24 2013-12-03 Google Inc. Method and system for detecting web application vulnerabilities
CN103731429A (zh) * 2014-01-08 2014-04-16 深信服网络科技(深圳)有限公司 web应用漏洞检测方法及装置
CN106888211A (zh) * 2017-03-10 2017-06-23 北京安赛创想科技有限公司 一种网络攻击的检测方法及装置
US20190377877A1 (en) * 2018-06-07 2019-12-12 Sap Se Web browser script monitoring
CN108833437A (zh) * 2018-07-05 2018-11-16 成都康乔电子有限责任公司 一种基于流量指纹和通信特征匹配的apt检测方法
US20200342108A1 (en) * 2019-04-26 2020-10-29 Forcepoint Llc Adaptive trust profile behavioral fingerprint
CN111586005A (zh) * 2020-04-29 2020-08-25 杭州迪普科技股份有限公司 扫描器扫描行为识别方法及装置
CN112019574A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 异常网络数据检测方法、装置、计算机设备和存储介质
CN112019575A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 数据包处理方法、装置、计算机设备以及存储介质

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113194091A (zh) * 2021-04-28 2021-07-30 顶象科技有限公司 恶意流量入侵检测系统和硬件平台
CN113098902A (zh) * 2021-04-29 2021-07-09 深圳融安网络科技有限公司 网络设备漏洞管理方法、装置、管理终端设备及存储介质
CN114039776A (zh) * 2021-11-09 2022-02-11 北京天融信网络安全技术有限公司 流量检测规则的生成方法、装置、电子设备及存储介质
CN114039776B (zh) * 2021-11-09 2024-03-15 北京天融信网络安全技术有限公司 流量检测规则的生成方法、装置、电子设备及存储介质
CN114338600B (zh) * 2021-12-28 2023-09-05 深信服科技股份有限公司 一种设备指纹的推选方法、装置、电子设备和介质
CN114520774A (zh) * 2021-12-28 2022-05-20 武汉虹旭信息技术有限责任公司 基于智能合约的深度报文检测方法及装置
CN114520774B (zh) * 2021-12-28 2024-02-23 武汉虹旭信息技术有限责任公司 基于智能合约的深度报文检测方法及装置
CN114338600A (zh) * 2021-12-28 2022-04-12 深信服科技股份有限公司 一种设备指纹的推选方法、装置、电子设备和介质
CN114389964B (zh) * 2021-12-29 2023-08-22 鹏城实验室 一种流量监测方法、装置、终端及存储介质
CN114389964A (zh) * 2021-12-29 2022-04-22 鹏城实验室 一种流量监测方法、装置、终端及存储介质
WO2023179461A1 (zh) * 2022-03-25 2023-09-28 华为技术有限公司 一种处理疑似攻击行为的方法及相关装置
CN115549990A (zh) * 2022-09-19 2022-12-30 武汉思普崚技术有限公司 一种sql注入检测方法及相关设备
CN116244106A (zh) * 2023-03-22 2023-06-09 中航信移动科技有限公司 一种民航数据的数据检测方法、存储介质及电子设备
CN116244106B (zh) * 2023-03-22 2023-12-29 中航信移动科技有限公司 一种民航数据的数据检测方法、存储介质及电子设备

Also Published As

Publication number Publication date
CN112468520B (zh) 2021-04-20

Similar Documents

Publication Publication Date Title
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
Kim et al. AI-IDS: Application of deep learning to real-time Web intrusion detection
CN110855676B (zh) 网络攻击的处理方法、装置及存储介质
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
KR100884714B1 (ko) 어플리케이션 보호 방법, 어플리케이션이 허가된 동작 범위를 벗어나 실행되는 것을 방지하는 방법, 어플리케이션 보안층 구현 시스템, 및 컴퓨터 판독가능 기록 매체
US7882555B2 (en) Application layer security method and system
CN109862021B (zh) 威胁情报的获取方法及装置
KR20140113705A (ko) 웹 호스트에 의해 제공된 웹 콘텐츠의 진본성을 보장하기 위한 방법, 디바이스, 시스템 및 컴퓨터 판독가능 저장 매체
CN107294919A (zh) 一种水平权限漏洞的检测方法及装置
CN111835777A (zh) 一种异常流量检测方法、装置、设备及介质
CN111770097B (zh) 一种基于白名单的内容锁防火墙方法及系统
CN110879891A (zh) 基于web指纹信息的漏洞探测方法及装置
CN110636038A (zh) 账号解析方法、装置、安全网关及系统
CN111625837A (zh) 识别系统漏洞的方法、装置和服务器
CN110636076B (zh) 一种主机攻击检测方法及系统
CN116324766A (zh) 通过浏览简档优化抓取请求
CN114760083B (zh) 一种攻击检测文件的发布方法、装置及存储介质
CN110768950A (zh) 渗透指令的发送方法及装置、存储介质、电子装置
CN112583827A (zh) 一种数据泄露检测方法及装置
CN115051874B (zh) 一种多特征的cs恶意加密流量检测方法和系统
CN107995167B (zh) 一种设备识别方法及服务器
CN114826628A (zh) 一种数据处理方法、装置、计算机设备及存储介质
Chapman {SAD}{THUG}: Structural Anomaly Detection for Transmissions of High-value Information Using Graphics
CN109688108A (zh) 一种防御文件上传漏洞的安全机制及其实施方法
CN116488947B (zh) 一种安全要素的治理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40040724

Country of ref document: HK