CN112671727B - 一种信息泄露检测方法及装置、设备、存储介质 - Google Patents
一种信息泄露检测方法及装置、设备、存储介质 Download PDFInfo
- Publication number
- CN112671727B CN112671727B CN202011462572.3A CN202011462572A CN112671727B CN 112671727 B CN112671727 B CN 112671727B CN 202011462572 A CN202011462572 A CN 202011462572A CN 112671727 B CN112671727 B CN 112671727B
- Authority
- CN
- China
- Prior art keywords
- message
- feature
- response message
- information leakage
- error
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 154
- 230000004044 response Effects 0.000 claims abstract description 214
- 238000000034 method Methods 0.000 claims abstract description 74
- 230000002159 abnormal effect Effects 0.000 claims abstract description 40
- 238000002347 injection Methods 0.000 claims description 52
- 239000007924 injection Substances 0.000 claims description 52
- 230000005856 abnormality Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 239000000523 sample Substances 0.000 claims description 8
- 230000008569 process Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000014509 gene expression Effects 0.000 description 7
- 239000000243 solution Substances 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008260 defense mechanism Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种信息泄露检测方法及装置、设备、存储介质,其中,所述方法包括:对电子设备发出的响应报文进行报错检测,得到第一报文特征,第一报文特征包括报错字段;对响应报文和/或响应报文对应的请求报文进行特征检测,得到不同于第一报文特征的第二报文特征,第二报文特征表征响应报文和/或响应报文对应的请求报文存在异常;根据第一报文特征和第二报文特征,确定电子设备是否存在信息泄露。
Description
技术领域
本申请实施例涉及通信技术领域,涉及但不限于信息泄露检测方法及装置、设备、存储介质。
背景技术
目前,随着互联网的普及与发展,越来越多的网络安全问题也随之出现并不断增加,威胁着互联网用户的信息安全。在信息处理时总会存在异常报错导致信息泄露的问题,黑客能够利用泄露的信息对计算机系统开展攻击行为,导致计算机系统不安全。因此,如何准确、高效地检测出异常报错,是一个亟待解决的问题。
发明内容
有鉴于此,本申请实施例提供的信息泄露检测方法及装置、设备、存储介质,能够提高信息泄露的检出率,降低误判概率。本申请实施例提供的信息泄露检测方法及装置、设备、存储介质是这样实现的:
本申请实施例提供的信息泄露检测方法,包括:对电子设备发出的响应报文进行报错检测,得到第一报文特征,所述第一报文特征包括报错字段;对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到不同于所述第一报文特征的第二报文特征,所述第二报文特征表征所述响应报文和/或所述响应报文对应的请求报文存在异常;根据所述第一报文特征和所述第二报文特征,确定所述电子设备是否存在信息泄露。
由于综合了电子设备在响应报文和/或响应报文对应的请求报文上的多个报文特征,判定电子设备是否存在信息泄露;因此,能够有效提高信息泄露的检出率,降低误判概率。
在一些实施例中,在所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测之前,所述方法还包括:获取电子设备发出的响应报文。
在一些实施例中,在所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测之前,所述方法还包括:根据所述第一报文特征,确定所述电子设备是否存在信息泄露;如果所述电子设备不存在信息泄露,执行所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测的步骤。
如此,一方面能够提高信息泄露的检测准确率和降低误判概率;另一方面,由于在依据第一报文特征确定电子设备不存在信息泄露时才继续检测第二报文特征,否则如果基于该第一报文特征确定电子设备存在信息泄露,则不检测第二报文特征,从而能够节约用于检测信息泄露的设备的计算资源和功耗等。
在一些实施例中,所述根据所述第一报文特征,确定所述电子设备是否存在信息泄露,包括:获取所述第一报文特征对应的报错字段的权重,所述权重用于表征所述报错字段对所述电子设备的安全的威胁程度;确定所述权重是否满足预设条件;如果所述权重满足所述预设条件,确定所述电子设备存在信息泄露;否则,确定所述电子设备不存在信息泄露。
如此,一方面能够更加快速且准确地得到检测结果,另一方面,也能够节约实施设备的计算资源和功耗。
在一些实施例中,所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到第二报文特征,包括:检测所述请求报文中是否包含攻击特征;如果包含所述攻击特征,将所述攻击特征确定为所述第二报文特征。
如此,能够提高信息泄露的检出率,降低误判概率,从而提升检测性能。
在一些实施例中,所述检测所述请求报文中是否包含攻击特征,包括:对所述请求报文进行注入语法分析,以检测所述请求报文是否包含注入试探语句;如果所述请求报文包含所述注入试探语句,将所述请求报文包含所述注入试探语句确定为所述攻击特征。相比于其他特征,请求报文包含注入试探语句更能表明可能存在黑客攻击;因此,基于该特征能够提高信息泄露的检出率,降低误判概率。
在一些实施例中,所述检测所述请求报文中是否包含攻击特征,包括:对所述请求报文进行注入语法分析,以检测所述请求报文中的特定参数是否存在格式错误;如果所述特定参数存在格式错误,将所述请求报文中特定参数存在格式错误确定为所述攻击特征。如此,能够进一步提高信息泄露的检出率,降低误判概率。
在一些实施例中,所述注入试探语句为结构化查询语言SQL注入语句和/或文件包含语句。如此,能够增强对SQL注入和文件包含等攻击的检测能力。
在一些实施例中,所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到第二报文特征,包括:检测所述响应报文中是否包含报错特征,所述报错特征不包括所述报错字段;如果包含所述报错特征,将所述报错特征确定为所述第二报文特征。如此,能够提高信息泄露的检出率,降低误判概率。
在一些实施例中,所述检测所述响应报文中是否包含报错特征,包括:检测所述响应报文中的响应码是否表征所述电子设备发生异常;如果表征所述电子设备发生异常,将所述电子设备发生异常确定为所述报错特征。如此,能够进一步提高信息泄露的检出率,降低误判概率。
在一些实施例中,所述检测所述响应报文中是否包含报错特征,还包括:检测所述响应报文的格式是否错误;如果所述响应报文的格式错误,将所述响应报文的格式存在错误确定为所述报错特征。如此,能够进一步提高信息泄露的检出率,降低误判概率。
在一些实施例中,所述检测所述响应报文的格式是否错误,包括:检测所述响应报文的报头的格式是否与所述响应报文的报文内容的格式一致;如果所述报头的格式与所述报文内容的格式不一致,确定所述响应报文的格式为错误的格式。
在一些实施例中,所述根据所述第一报文特征和所述第二报文特征,确定所述电子设备是否存在信息泄露,包括:获取所述第一报文特征和所述第二报文特征分别对应的权重,所述权重用于表征对所述电子设备的安全的威胁程度;综合所述第一报文特征和所述第二报文特征分别对应的权重,确定所述电子设备是否存在所述信息泄露。如此,由于综合每一报文特征对计算机设备的安全的威胁程度,确定其是否存在信息泄露,因此能够提高信息泄露的检测准确率。
在一些实施例中,所述对电子设备发出的响应报文进行报错检测,得到第一报文特征,包括:调用预先配置的黑名单,所述黑名单包括从多个历史报错报文中提取的关键词;检测所述黑名单中是否包含与所述响应报文相匹配的目标关键词;如果所述黑名单中包含所述目标关键词,确定所述响应报文包含所述报错字段,从而得到所述第一报文特征。如此能够降低漏检概率。
在一些实施例中,所述方法还包括:确定所述第一报文特征和所述第二报文特征中的至少一种报文特征对应的所述电子设备存在信息泄露的误判占比;根据所述报文特征对应的误判占比,调整所述报文特征的权重。如此,不断调整对应报文特征的权重,从而能够进一步提高信息泄露的检出率,以及降低误判概率。
在一些实施例中,确定所述报文特征对应的所述电子设备存在信息泄露的误判占比,包括:向用户反馈所述报文特征每次被命中时对应的信息泄露检测结果;获取所述用户针对所述信息泄露检测结果反馈的误判信息,所述误判信息用于表征基于所述报文特征确定所述电子设备存在信息泄露的检测结果为错误结果;根据所述用户反馈的误判信息,确定所述报文特征对应的所述电子设备存在信息泄露的误判占比。如此,能够更好地满足用户对设备安全性的要求。
在一些实施例中,所述向用户反馈所述报文特征每次被命中时对应的信息泄露检测结果,包括:向用户反馈所述报文特征每次被命中时对应的信息泄露检测结果;以及,向所述用户反馈所述报文特征被命中的次数。如此,用户可以只反馈他/她认为命中次数多的报文特征对应的信息泄露检测结果的正确与否即可,从而能够在满足用户对设备安全性的需求的同时,减轻用户的反馈工作。
本申请实施例提供的信息泄露检测装置,包括:检测模块,用于对电子设备发出的响应报文进行报错检测,得到第一报文特征,所述第一报文特征包括报错字段;对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到不同于所述第一报文特征的第二报文特征,所述第二报文特征表征所述响应报文和/或所述响应报文对应的请求报文存在异常;确定模块,用于根据所述第一报文特征和所述第二报文特征,确定所述电子设备是否存在信息泄露。
本申请实施例提供的电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请实施例任一所述的方法。
本申请实施例提供的计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本申请实施例任一所述的方法。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本申请的实施例,并与说明书一起用于说明本申请的技术方案。
图1为本申请实施例提供的一种信息泄露检测方法的实现流程示意图;
图2为本申请实施例提供的另一信息泄露检测方法的实现流程示意图;
图3为本申请实施例提供的再一信息泄露检测方法的实现流程示意图;
图4为本申请实施例提供的又一信息泄露检测方法的实现流程示意图;
图5为本申请实施例提供的一种优化报文特征权重的实现流程示意图;
图6为本申请实施例提供的一种信息泄露检测装置的工作流程示意图;
图7为本申请实施例提供的一种信息泄露检测装置的结构示意图;
图8为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的具体技术方案做进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
需要指出,本申请实施例所涉及的术语“第一\第二\第三”用以区别类似或不同的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
对本申请实施例进行进一步详细说明之前,对本申请实施例中涉及的名词和术语进行说明,本申请实施例中涉及的名词和术语适用于如下的解释。
信息泄露(Information Disclosure):是指开发或运维人员由于配置不当或把不该公开的信息放入到公开的信息库中,造成敏感信息、数据的泄露。黑客可以利用这些数据开展进一步的攻击行为。
异常报错(Exception Error):是指黑客通过注入手法或访问不存在文件,导致服务器返回与系统、服务器组件等相关异常报错信息,黑客通过报错的内容获取得到系统或组件的版本信息,严重时甚至可以推测出是否存在漏洞,如结构化查询语言(StructuredQuery Language,SQL)注入漏洞。
报错黑名单(Error Blacklist):是指由系统、服务器组件报错的关键词组成名单列表,当报文中包含有报错黑名单时,推断出该报文可能存在信息泄露的风险。
SQL注入(SQL Injection):是一种注入攻击,通过将任意SQL代码插入数据库查询,使攻击者能够完全控制全球广域网(World Wide Web,Web)应用程序后面的数据库服务器。
文件包含(File Inclusion):许多脚本语言支持使用包含文件(include file),这种功能允许开发者把可使用的代码插入到单个文件中,当应用程序使用攻击者控制的变量建立一个可执行代码的路径,允许攻击者在运行时执行该路径下的文件时,就会导致文件包含漏洞。
超文本传输协议响应码(HTTP Status Code):是用以表示网页服务器超文本传输协议响应状态的3位数字代码,如在[200,299]范围内的数字代码表示HTTP请求成功,在[500,599]范围内的数字代码表示服务器错误。
本申请实施例提供一种信息泄露检测方法,该方法应用于电子设备,该电子设备在实施的过程中可以为各种类型的具有信息处理能力的计算设备,例如所述电子设备可以为手机、平板电脑、台式机、笔记本电脑、掌上电脑或电视机、计算机设备、物理服务器、服务器集群等。该方法所实现的功能可以通过电子设备中的处理器调用程序代码来实现,当然程序代码可以保存在计算机存储介质中,可见,该电子设备至少包括处理器和存储介质。
图1为本申请实施例提供的信息泄露检测方法的实现流程示意图,如图1所示,该方法可以包括以下步骤101至步骤103:
步骤101,对电子设备发出的响应报文进行报错检测,得到第一报文特征,所述第一报文特征包括报错字段;
在一些实施例中,电子设备可以检测该响应报文是否与预先配置的黑名单中的某一预设关键词相匹配,来实现步骤101;即,如果该响应报文与预先配置的黑名单中的某一预设关键词是匹配的,则确定该响应报文包含报错字段,将报错字段作为第一报文特征;否则,则确定该响应报文不包含报错字段,此时继续检测第二报文特征,或者,返回执行步骤101,以继续检测后续时刻发出的响应报文是否具有第一报文特征。
举例来说,预先配置的黑名单中包含关键词“.failed”,那么如果响应报文的字段中存在“failed”,则说明该响应报文是与关键词“.failed”相匹配的,因此可以确定响应报文包含报错字段;又如,预先配置的黑名单中包含关键词“[f]?.[t]”,那么如果响应报文的字段中存在“f.t”或者“f;t”,则说明该响应报文是与关键词“[f]?.[t]”相匹配的,因此可以确定响应报文包含报错字段。
在一些实施例中,电子设备可以将黑名单中的预设关键词以字符串或正则表达式等方式存储。
步骤102,对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到不同于所述第一报文特征的第二报文特征,所述第二报文特征表征所述响应报文和/或所述响应报文对应的请求报文存在异常;
可以理解地,在实际应用中,仅仅在判断出报错字段不足够威胁电子设备的安全时,就确定该设备不存在信息泄露,会存在很高的误判概率。这是因为,报错字段可能是正常的报错字段,也可能是异常的报错字段。所谓正常的报错字段是非攻击引起的,同理,异常的报错字段是由攻击行为引起的。另外,比如上文提到的预先配置的黑名单,该名单中不可能包含以往所有存在的报错字段,如果响应报文中的字段对电子设备的安全的威胁程度高,但该字段又没有与预先配置的黑名单中的关键词匹配上,此时电子设备就会将原本存在信息泄露的情况误判为不存在信息泄露。因此,为了避免上述情况发生,就需要在根据报错字段确定电子设备不存在信息泄露时,继续检测电子设备的第二报文特征,以保证最终判定结果的准确性。
需要说明的是,第二报文特征是指威胁电子设备安全的特征。该特征可以是响应方向上的报文特征,也可以是请求方向上的报文特征。比如,电子设备可以检测是否存在以下至少之一的第二报文特征:请求报文中是否包含注入试探语句、请求报文中的特定参数是否存在格式错误、响应报文中的响应码是否表征电子设备发生异常、响应报文的格式是否存在错误。
步骤103,根据所述第一报文特征和所述第二报文特征,确定所述电子设备是否存在信息泄露。
在一些实施例中,在确定所述电子设备存在信息泄露时,可以发出报警信息,和/或,启动防御机制,以防止该电子设备被黑客攻击,从而提高电子设备的安全性能。在另一些实施例中,在确定所述电子设备存在信息泄露时,可以返回执行步骤101,以检测后续时刻的响应报文和响应报文对应的请求报文,以提高检测准确率,降低误判概率。
需要说明的是,在本申请实施例中用于检测信息泄露的设备与被检测对象可以是同一设备,也可以是不同的设备。也就是说,实施所述信息泄露方法的电子设备与信息泄露是否存在的电子设备可以是同一设备,也可以是不同设备。
在本申请实施例中,在确定电子设备是否存在信息泄露时,不仅依据第一报文特征,还结合了第二报文特征;如此,能够提高信息泄露的检测准确率,降低误判概率,进而提升信息泄露的检测性能。
本申请实施例再提供一种信息泄露检测方法,图2为本申请实施例信息泄露检测方法的实现流程示意图,如图2所示,该方法可以包括以下步骤201至步骤205:
步骤201,获取电子设备发出的响应报文;
步骤202,对所述响应报文进行报错检测,得到第一报文特征,所述第一报文特征包括报错字段;
步骤203,根据所述第一报文特征,确定所述电子设备是否存在信息泄露;如果是,结束;否则,执行步骤204;
在一些实施例中,在确定所述电子设备存在信息泄露时,可以发出报警信息,和/或,启动防御机制,以防止该电子设备被黑客攻击,从而提高电子设备的安全性能。在另一些实施例中,在确定所述电子设备存在信息泄露时,可以返回执行步骤201,以检测后续时刻的响应报文和响应报文对应的请求报文,以提高检测准确率,降低误判概率。
可以理解地,报错字段可能是正常报错情况下的关键词,也可能是异常报错情况下的关键词。然而,每种异常报错的情况并非都是黑客攻击造成的。所以,为了降低误判概率,在本申请实施例中,即使响应报文中包含报错字段,也不直接判定该电子设备存在信息泄露,而是继续判断报错字段是否足够威胁到电子设备的安全;如果不足够威胁该设备的安全,即不存在信息泄露,则执行如下步骤204和步骤205;如果足够威胁到该设备的安全,即存在信息泄露,则直接断定该设备存在信息泄露的风险,此时结束检测流程,从而节约资源消耗。
在一些实施例中,电子设备可以获取响应报文中的报错字段的权重;然后,确定该权重是否满足预设条件;如果是,则确定该报错字段足够威胁到该设备的安全;否则,执行如下步骤204和步骤205;其中,报错字段的权重用于表征所述报错字段对所述电子设备的安全的威胁程度。
预设条件可以由权重与威胁程度的关系而定。比如,权重与威胁程度是正相关的关系,权重越大,相应的报错字段对电子设备的安全的威胁程度越大,那么,在一些实施例中,预设条件为权重大于第一阈值,即,如果权重大于第一阈值,则确定该权重满足预设条件;否则,则确定该权重不满足预设条件;又如,权重与威胁程度是负相关的关系,即,权重越大,相应的报错字段对电子设备的安全的威胁程度越小。在一些实施例中,预设条件为权重小于第二阈值,即,如果权重小于第二阈值,则确定该权重满足预设条件;否则,则确定该权重不满足预设条件。其中,第一阈值与第二阈值可以相同,也可以不同。
步骤204,对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到不同于所述第一报文特征的第二报文特征,所述第二报文特征表征所述响应报文和/或所述响应报文对应的请求报文存在异常;
步骤205,根据所述第一报文特征和所述第二报文特征,确定所述电子设备是否存在信息泄露。
在一些实施例中,在确定所述电子设备存在信息泄露时,可以发出报警信息,和/或,启动防御机制,以防止该电子设备被黑客攻击,从而提高电子设备的安全性能。在另一些实施例中,在确定所述电子设备存在信息泄露时,可以返回执行步骤201,以检测后续时刻的响应报文和响应报文对应的请求报文,以提高检测准确率,降低误判概率。
本申请实施例再提供一种信息泄露检测方法,图3为本申请实施例提供的另一信息泄露检测方法的实现流程示意图,如图3所示,该方法可以包括以下步骤301至步骤311:
步骤301,调用预先配置的黑名单,所述黑名单包括从多个历史报错报文中提取的关键词。
在一些实施例中,电子设备可以从常用web语言、数据库和/或web框架等中收集之前的报错报文中的关键词,基于此配置该黑名单。在一些实施例中,黑名单中可以只包含异常报错的关键词;在另一些实施例中,黑名单中不仅包含异常报错的关键词,还包含正常报错的关键词。
其中,在一些实施例中,电子设备可以将关键词以字符串或正则表达式的形式进行存储;可以理解地,正则表达式,又称规则表达式,是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符,以及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。正则表达式是一种文本模式,该模式描述在搜索文本时要匹配的一个或多个字符串。
步骤302,检测所述黑名单中是否包含与电子设备发出的响应报文相匹配的目标关键词;如果是,执行步骤303;否则,返回执行步骤302。
在一些实施例中,将响应报文中的字段与预先配置的黑名单中包含的异常报错和正常报错的关键词进行匹配,如果检测出响应报文中的字段能够与黑名单中的关键词匹配上,则确定黑名单中包含目标关键词,执行步骤303;如果检测出响应报文中的字段与黑名单中的关键词均不匹配,则返回执行步骤302。
需要说明的是,在返回执行步骤302时,检测的是黑名单中是否包含与电子设备下一时刻发出的响应报文相匹配的目标关键词。换言之,检测的响应报文是电子设备在下一时刻发出的。
步骤303,确定所述响应报文包含报错字段,此时获取所述报错字段对应的权重,所述权重用于表征所述报错字段对所述电子设备的安全的威胁程度。
可以理解地,不同的报错字段对电子设备安全的威胁程度可能是不同的,通过对报错字段设置权重,能够更为简单地表示出报错字段对电子设备安全的威胁程度。权重与威胁程度可以是正相关的关系,权重越大,相应的报错字段对电子设备的安全的威胁程度越大;当然,权重与威胁程度也可以是负相关的关系,权重越大,相应的报错字段对电子设备的安全的威胁程度越小。
步骤304,确定所述权重是否满足预设条件;如果是,执行步骤305;否则,执行步骤306。
可以理解地,如果权重不满足预设条件,可以确定的是电子设备不存在信息泄露。换言之,包含报错字段的响应报文对电子设备的安全的威胁程度不够,此时为了降低信息泄露的误判率,则继续执行以下步骤306至步骤311内容。
需要说明的是,预设条件和权重与威胁程度的关系有关。比如,权重与威胁程度是正相关的关系,在一些实施例中,预设条件为权重大于第一阈值,即,如果权重大于第一阈值,则确定该权重满足预设条件;否则,则确定该权重不满足预设条件。
又如,权重与威胁程度是负相关的关系,在一些实施例中,预设条件为权重小于第二阈值,即,如果权重小于第二阈值,则确定该权重满足预设条件;否则,则确定该权重不满足预设条件。其中,第一阈值与第二阈值可以相同,也可以不同。
步骤305,确定所述电子设备存在信息泄露。
在本申请实施例中,如果权重满足预设条件,则可以确定报错字段对电子设备的安全的威胁程度较高,此时电子设备也可以直接判黑,不再进行第二报文特征的检测,即,判定电子设备确实存在信息泄露风险;如此,一方面能够更加快速且准确地得到检测结果,另一方面,也能够节约实施设备的计算资源和功耗。
步骤306,将所述报错字段作为所述电子设备的第一报文特征,继续检测响应报文对应的请求报文中是否包含攻击特征;如果是,执行步骤307;否则,执行步骤308;
在一些实施例中,检测响应报文对应的请求报文中是否包含攻击特征,可以通过如下实施例的步骤405至步骤408实现。即,攻击特征可以为以下至少之一:请求报文包含所述注入试探语句、请求报文中的特定参数存在格式错误。
在本申请实施例中,在检测出电子设备的响应报文中存在报错字段的基础上,结合响应报文对应的请求报文中包含的攻击特征和/或响应报文中包含的除报错字段外的报错特征,综合判断电子设备是否存在信息泄露;如此,能够提高信息泄露的检出率,降低误判率,进而提升检测性能。
需要说明的是,在一些实施例中,如果请求报文中没有包含攻击特征,也可以不执行步骤308,而是返回执行步骤302,检测黑名单中是否包含与电子设备下一时刻发出的响应报文相匹配的目标关键词。在另一些实施例中,如果请求报文中包含攻击特征,也可以不执行步骤308,即不检测响应报文中是否包含报错特征,而是直接执行步骤310。
步骤307,将所述攻击特征确定为所述第二报文特征,然后,进入步骤308。
当然,在一些实施例中,检测到攻击特征之后,还可以不执行步骤308,而是直接执行步骤310。
需要说明的是,在本申请实施例中,检测请求报文是否包含攻击特征的步骤和检测响应报文是否包含报错特征的步骤,对于这两个步骤的执行顺序不做限定,可以先执行前者,再执行后者;也可以先执行后者,再执行前者;或者,还可以并行执行这两个步骤。
另外,是否均执行检测请求报文是否包含攻击特征的步骤和检测响应报文是否包含报错特征的步骤,也不做限定,可以择一执行,也可以均执行。
步骤308,检测所述响应报文中是否包含报错特征,所述报错特征不包括所述报错字段;如果是,执行步骤309;否则,执行步骤310;
可以理解地,在检测出响应报文中包含报错字段之后,再继续检测响应报文中是否包含有报错特征,一方面,仅对包含报错字段的响应报文进行检测,能够缩小检测范围;另一方面,基于多个特征综合判断电子设备是否存在信息泄露,能够有效提高信息泄露的检出率,降低误判率,进而提升检测性能。
当然,在一些实施例中,如果响应报文中没有包含报错特征,可以返回执行步骤302。
步骤309,将所述报错特征确定为所述第二报文特征,然后,进入步骤310。
总而言之,在检测到响应报文中包括报错字段、且该字段不满足预设条件的情况下,电子设备可以执行以下至少之一:检测请求报文中是否包含攻击特征、检测响应报文中是否包含报错特征。
步骤310,获取所述第一报文特征和所述第二报文特征分别对应的权重,所述权重用于表征对所述电子设备的安全的威胁程度;
步骤311,综合所述第一报文特征和所述第二报文特征分别对应的权重,确定所述电子设备是否存在所述信息泄露;如果是,结束;否则,返回执行步骤301。
在一些实施例中,电子设备可以对每一报文特征对应的权重进行加权平均,以得到权重均值;然后,根据权重均值,确定电子设备是否存在信息泄露。比如,权重与威胁程度是正相关的关系,在一些实施例中,电子设备可以确定权重均值是否大于第三阈值,如果权重均值大于第三阈值,则确定电子设备存在信息泄露;否则,则确定该电子设备不存在信息泄露。又如,权重与威胁程度是负相关的关系,在一些实施例中,电子设备可以确定权重均值是否小于第四阈值,如果权重均值小于第四阈值,则确定电子设备存在信息泄露;否则,则确定该电子设备不存在信息泄露。其中,第三阈值和第四阈值可以是同一值,也可以是不同值。
可以理解地,综合每一报文特征对电子设备安全的威胁程度,来确定电子设备是否存在信息泄露,能够有效提高信息泄露的检出率,降低误判概率,进而提升检测性能。
本申请实施例再提供一种信息泄露检测方法,图4为本申请实施例提供的又一信息泄露检测方法的实现流程示意图,如图4所示,该方法可以包括以下步骤401至步骤413:
步骤401,检测电子设备发出的响应报文是否包含报错字段;若包含,执行步骤402;否则,返回执行步骤401。
需要说明的是,此时返回执行步骤401时,检测的是下一时刻的响应报文。
步骤402,如果包含所述报错字段,根据所述报错字段对所述电子设备的安全的威胁程度,确定所述电子设备是否存在信息泄露;若存在,执行步骤403;否则,执行步骤404;
步骤403,确定电子设备存在信息泄露;
步骤404,将所述报错字段作为所述电子设备的第一报文特征,然后进入步骤405;
步骤405,对响应报文对应的请求报文进行注入语法分析,以检测所述请求报文是否包含注入试探语句;如果是,执行步骤406;否则,执行步骤407。
当然,在一些实施例中,若请求报文不包含注入试探语句,也可以返回执行步骤401,检测电子设备下一时刻发出的响应报文是否包含报错字段,或者执行步骤407。
在一些实施例中,所述注入试探语句可以为SQL注入语句和/或文件包含语句。可以理解地,通过检测请求报文是否包含SQL注入语句和/或文件包含语句,一方面能够提高信息泄露的检出率,另一方面,也可以增强对SQL注入和文件包含等攻击特征的检测能力。
步骤406,将所述请求报文包含所述注入试探语句确定为第二报文特征,然后进入步骤407。
在本申请实施例中,将所述请求报文包含所述注入试探语句称之为攻击特征。而注入试探语句,例如SQL注入语句和文件包含语句对应的攻击,危害面更广。因此,相比于其他特征,当请求报文中包含注入试探语句特征时,说明大概率存在黑客攻击;因此,将注入试探语句作为攻击特征,确定电子设备是否存在信息泄露,能够增强电子设备的安全性。
步骤407,对所述请求报文进行注入语法分析,以检测所述请求报文中的特定参数是否存在格式错误;如果是,执行步骤408;否则,执行步骤409;
步骤408,将所述请求报文中特定参数存在格式错误确定为第二报文特征,然后,进入步骤409。
需要说明的是,将所述请求报文中特定参数存在格式错误称之为攻击特征。攻击特征可以包括注入试探语句和特定参数存在格式错误这两种特征,也可以只包括注入试探语句,或者只包括特定参数存在格式错误。
步骤409,检测所述响应报文中的响应码是否表征所述电子设备发生异常;如果是,执行步骤410;否则,执行步骤411;
步骤410,将所述电子设备发生异常确定为第二报文特征,然后,进入步骤411;
步骤411,检测所述响应报文的格式是否错误;如果是,执行步骤412;否则,执行步骤413。
在本申请实施例中,将电子设备发生异常、以及响应报文的格式存在错误称为报错特征,也即第二报文特征。
在一些实施例中,可以这样实现步骤411:检测所述响应报文的报头的格式是否与所述响应报文的报文内容的格式一致;如果所述报头的格式与所述报文内容的格式不一致,确定所述响应报文的格式为错误的格式;如果格式一致,确定响应报文的格式为正确的格式。
举例来说,响应报文的报文头声明为html格式,如果该响应报文的报文内容的格式也为html格式,则确定该响应报文的格式是正确的;否则,则确定该响应报文的格式是错误的。再比如,响应报文的报文头声明为json格式,如果该响应报文的报文内容的格式也为json格式,则确定该响应报文的格式是正确的;否则,则确定该响应报文的格式是错误的。
步骤412,将所述响应报文的格式存在错误确定为第二报文特征,然后,进入步骤413。
可以看出,由上述步骤405至步骤412可以获得的第二报文特征可能有:请求报文中包含注入试探语句、请求报文中特定参数存在格式错误、响应报文中的响应码表征电子设备发生异常、响应报文的格式存在错误。但是,在本申请实施例中,并不限制必须检测请求报文和响应报文是否具有上述报文特征,也就是说,电子设备可以做以下检测中的至少之一:请求报文中是否包含注入试探语句、请求报文中的特定参数是否存在格式错误、响应报文中的响应码是否表征电子设备发生异常、响应报文的格式是否存在错误。
步骤413,根据每一所述报文特征,确定所述电子设备是否存在信息泄露。
在一些实施例中,在确定所述电子设备存在信息泄露时,可以发出报警信息,和/或,启动防御机制,以防止该电子设备被黑客攻击,从而提高电子设备的安全性能。在另一些实施例中,在确定所述电子设备存在信息泄露时,可以返回执行步骤401,以检测后续时刻的响应报文和响应报文对应的请求报文,以提高检测准确率,降低误判概率。
为了提高电子设备的信息泄露的检出率,降低误判概率,在一些实施例中,如图5所示,电子设备可以通过以下步骤501和步骤502来优化至少一种报文特征的权重,从而使得这些权重在用于实现信息泄露的检测时,提高检测准确率:
步骤501,确定所述第一报文特征和所述第二报文特征中的至少一种所述报文特征对应的所述电子设备存在信息泄露的误判占比。
在一些实施例中,所述至少一种可以为每种,即,确定每一所述报文特征对应的所述电子设备存在信息泄露的误判占比;基于每一所述报文特征对应的误判占比,调整对应报文特征的权重。
以确定一种报文特征的误判占比为例,在一些实施例中,可以这样实现步骤501:向用户反馈所述报文特征每次被命中时对应的信息泄露检测结果;获取所述用户针对所述信息泄露检测结果反馈的误判信息,所述误判信息用于表征基于所述报文特征确定所述电子设备存在信息泄露的检测结果为错误结果;根据所述用户反馈的误判信息,确定所述报文特征对应的所述电子设备存在信息泄露的误判占比。
可以理解地,在申请实施例中,向用户反馈报文特征被命中时对应的信息泄露检测结果,从而获得用户反馈的误判信息,基于该误判信息,调整报文特征的权重;如此,能够更好地满足用户对设备安全性的实际要求,从而提升用户体验。
在一些实施例中,电子设备还可以向用户反馈报文特征被命中的次数,这样,可以使得用户重点关注那些被命中次数较多的报文特征,用户可以只反馈他/她认为被命中次数多的报文特征对应的信息泄露检测结果的正确与否即可,从而在满足用户对设备安全性的需求的同时,减轻用户的反馈工作。
步骤502,根据每一所述报文特征对应的误判占比,调整对应报文特征的权重。
在本申请实施例中,确定至少一种所述报文特征对应的所述电子设备存在信息泄露的误判占比;然后,根据每一所述报文特征对应的误判占比,调整对应报文特征的权重;如此,能够进一步提高信息泄露的检出率,从而进一步降低误判概率。
需要说明的是,误判的类型不同,以及权重与威胁程度的关系不同,相应地,根据误判占比调整对应报文特征的权重的方法也是不同的。举例来说,假设误判是指实际不存在信息泄露,但是电子设备最终输出的判定结果为存在信息泄露,以及权重与威胁程度的关系为正相关,那么在这种情况下,如果某一报文特征的误判占比满足调整条件(比如该误判占比大于设定的阈值),说明该报文特征的权重设置的过大,此时可以将该报文特征的权重调小。
又如,假设误判是指实际存在信息泄露,但是电子设备最终输出的判定结果为不存在信息泄露,以及权重与威胁程度的关系为正相关,那么在这种情况下,如果某一报文特征的误判占比满足调整条件(比如该误判占比大于设定的阈值),说明该报文特征的权重设置的过小,此时可以将该报文特征的权重调大。
再如,假设误判是指实际存在信息泄露,但是电子设备最终输出的判定结果为不存在信息泄露,以及权重与威胁程度的关系为负相关,那么在这种情况下,如果某一报文特征的误判占比满足调整条件(比如该误判占比大于设定的阈值),说明该报文特征的权重设置的过大,此时可以将该报文特征的权重调小。
又如,假设误判是指实际不存在信息泄露,但是电子设备最终输出的判定结果为存在信息泄露,以及权重与威胁程度的关系为负相关,那么在这种情况下,如果某一报文特征的误判占比满足调整条件(比如该误判占比大于设定的阈值),说明该报文特征的权重设置的过小,此时可以将该报文特征的权重调大。
相关技术方案在检测异常报错类的信息泄露时,均通过提取异常报错的关键词,基于该关键词检测响应方向是否含有报错信息,也有部分方案通过HTTP响应码检测来降低误判(若HTTP响应码返回成功则不认为是异常报错)。
上述检测异常报错类的信息泄露的方法,至少存在如下问题:仅通过检测响应方向含有报错黑名单来识别异常报错类的信息泄露,这种方法存在很高的误判概率;而通过HTTP响应码返回成功来达到降误判的方式,又会造成漏判问题。其中,造成漏判的原因是存在较多的报错场景(如数据库报错)并没有被服务器正确捕捉并处理,导致返回的HTTP响应码为成功。可见,这两种解决方案都较为简单,不能实现对目前已知特殊异常报错情形的准确检测。
基于此,下面将说明本申请实施例在一个实际的应用场景中的示例性应用。
在本申请实施例中,从黑客攻击行为和服务器产生异常报错的视角进行防护,提取出更多特征进行综合分析,使检测的覆盖范围更广且精度更高;其中,主要检测SQL注入和文件包含等试探攻击,若特征不明显时,可以结合是否存在异常报错进行判断,从而降低误判概率。
在本申请实施例中,为了实现降低异常报错的误判概率,并提高其异常报错的检出率的目的,提供一种信息泄露检测装置,从黑客攻击行为和服务器产生异常报错这两个角度出发,利用多特征加权的方式来提高异常报错类信息泄露的检测率,并降低误判概率。比如,检测HTTP请求方向是否存在SQL注入和/或文件包含等注入攻击特征、HTTP请求参数中是否存在格式错误(即检测请求报文中是否包含攻击特征的两种示例)、HTTP响应码是否返回成功(即检测响应报文中是否包含除报错字段外的报错特征的一种示例)、响应报文的格式是否存在异常等特征(即检测响应报文中是否包含除报错字段外的报错特征的另一种示例),综合判断得出含异常报错的页面是否确实存在信息泄露的风险。
该装置的工作流程如图6所示,信息泄露检测装置包含三个子模块。子模块1为报错检测模块601;子模块2为特征检测模块602;子模块3为加权算法模块603;其中,
报错检测模块601:报错检测模块由黑名单列表和字符串匹配两个功能组成,黑名单列表包含从常用web语言、数据库和/或web框架等收集报错关键词。对关键词具体说明如下:
1)支持字符串和正则表达式两种存储形式;
2)关键词可通过威胁程度划分权重。
关于字符串匹配,用于检测响应方向报文是否包含有黑名单字符串中的内容;若包含,则根据黑名单的威胁程度决定是否继续检测第二报文特征还是直接判黑。
特征检测模块602:当报错检测模块中识别出响应报文内容包含黑名单字符串,但威胁程度又不足以直接判黑时,会进入到特征检测模块,该模块可以分为三个功能:
1)请求方向上的特征检测:主要包含检测HTTP请求方向是否存在SQL注入和/或文件包含等注入试探语句、和HTTP请求参数中是否存在格式错误这两个子特征(即攻击特征的两个示例);其中,所述HTTP请求参数为所述请求报文中的特定参数的一种示例;
2)注入语法分析:主要对HTTP请求参数进行语法分析,检测其是否存在SQL注入和/或文件包含等试探语句特征;
3)响应方向的报错特征的检测:主要检测HTTP响应码是否返回成功和响应报文格式是否存在异常;即检测响应方向上是否存在报错特征;
其中,对于响应报文格式是否存在异常,可以从以下两个方面判断:
a)黑特征判断:报文头声明为html格式时,报文内容是否为html格式,若不符合,即报文头的格式与报文内容的格式不一致,则极可能是异常报错报文,将响应报文的格式存在错误确定为报错特征;
b)白特征判断:如报文头声明为json等格式,实际报文内容也是json格式等,这些格式需要服务器(即所述电子设备的一种示例)进行具体序列化才能返回,符合这些格式的报文极有可能是正常业务报文。
加权算法模块603:即加权判断与优化模块,当报文进入特征检测模块后,会将命中的报文特征进行权值计算,判断是否存在异常信息泄露;
该模块主要是记录报文特征的命中频率,根据报文特征的判黑占比和用户误判设置等,对命中频率较高的报文特征的权值进行调整。
通过本申请实施例提供的上述信息泄露检测装置,一方面,可以极大地提高对异常报类的信息泄露攻击的检出率,并降低误判风险概率;另一方面,在解决异常报错类的信息泄露问题的同时,也能够增强对SQL注入、文件包含和HTTP协议异常等攻击的检测能力。
基于前述的实施例,本申请实施例提供一种信息泄露检测装置,该装置包括所包括的各模块、以及各模块所包括的各单元,可以通过电子设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
图7为本申请实施例提供的一种信息泄露检测装置的结构示意图,如图7所示,所述信息泄露检测装置700包括检测模块701和确定模块702,其中:
检测模块701,用于对电子设备发出的响应报文进行报错检测,得到第一报文特征,所述第一报文特征包含报错字段;对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到不同于所述第一报文特征的第二报文特征,所述第二报文特征表征所述响应报文和/或所述响应报文对应的请求报文存在异常;
确定模块702,用于根据所述第一报文特征和所述第二报文特征,确定所述电子设备是否存在信息泄露。
需要说明的是,检测模块701能够实现图6所示的报错检测模块601和特征检测模块602的功能;确定模块702可以实现图6所示的加权算法模块603的功能。
在一些实施例中,确定模块702还用于在检测模块701在所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测之前,根据所述第一报文特征,确定所述电子设备是否存在信息泄露;如果所述电子设备不存在信息泄露,触发检测模块701执行所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测的步骤。
在一些实施例中,信息泄露检测装置700还包括获取模块,所述获取模块,用于获取所述第一报文特征对应的报错字段的权重,所述权重用于表征所述报错字段对所述电子设备的安全的威胁程度;确定模块702,用于确定所述权重是否满足预设条件;如果所述权重满足所述预设条件,确定所述电子设备存在信息泄露;否则,确定所述电子设备不存在信息泄露。
在一些实施例中,所述获取模块还用于在检测模块701对电子设备发出的响应报文进行报错检测之前,获取所述响应报文。
在一些实施例中,检测模块701,用于:检测所述请求报文中是否包含攻击特征;如果包含所述攻击特征,将所述攻击特征确定为所述第二报文特征。
在一些实施例中,检测模块701,用于:对所述请求报文进行注入语法分析,以检测所述请求报文是否包含注入试探语句;如果所述请求报文包含所述注入试探语句,将所述请求报文包含所述注入试探语句确定为所述攻击特征。
在一些实施例中,检测模块701,用于:对所述请求报文进行注入语法分析,以检测所述请求报文中的特定参数是否存在格式错误;如果所述特定参数存在格式错误,将所述请求报文中特定参数存在格式错误确定为所述攻击特征。
在一些实施例中,所述注入试探语句为结构化查询语言SQL注入语句和/或文件包含语句。
在一些实施例中,检测模块701,用于:检测所述响应报文中是否包含报错特征,所述报错特征不包括所述报错字段;如果包含所述报错特征,将所述报错特征确定为所述第二报文特征。
在一些实施例中,检测模块701,用于:检测所述响应报文中的响应码是否表征所述电子设备发生异常;如果表征所述电子设备发生异常,将所述电子设备发生异常确定为所述报错特征。
在一些实施例中,检测模块701,用于:检测所述响应报文的格式是否错误;如果所述响应报文的格式错误,将所述响应报文的格式存在错误确定为所述报错特征。
在一些实施例中,检测模块701,用于:检测所述响应报文的报头的格式是否与所述响应报文的报文内容的格式一致;如果所述报头的格式与所述报文内容的格式不一致,确定所述响应报文的格式为错误的格式。
在一些实施例中,确定模块702,用于:获取所述第一报文特征和所述第二报文特征分别对应的权重,所述权重用于表征对所述电子设备的安全的威胁程度;综合所述第一报文特征和所述第二报文特征分别对应的权重,确定所述电子设备是否存在所述信息泄露。
在一些实施例中,检测模块701,用于:调用预先配置的黑名单,所述黑名单包括从多个历史报错报文中提取的关键词;检测所述黑名单中是否包含与所述响应报文相匹配的目标关键词;如果所述黑名单中包含所述目标关键词,确定所述响应报文包含所述报错字段,从而得到所述第一报文特征。
在一些实施例中,确定模块702,还用于:确定所述第一报文特征和所述第二报文特征中的至少一种报文特征对应的所述电子设备存在信息泄露的误判占比;根据所述报文特征对应的误判占比,调整所述报文特征的权重。
在一些实施例中,确定模块702,用于:向用户反馈所述报文特征每次被命中时对应的信息泄露检测结果;获取所述用户针对所述信息泄露检测结果反馈的误判信息,所述误判信息用于表征基于所述报文特征确定所述电子设备存在信息泄露的检测结果为错误结果;根据所述用户反馈的误判信息,确定所述报文特征对应的所述电子设备存在信息泄露的误判占比。
在一些实施例中,确定模块702,用于:向用户反馈所述报文特征每次被命中时对应的信息泄露检测结果;以及,向所述用户反馈所述报文特征被命中的次数。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中图7所示的信息泄露检测装置对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。也可以采用软件和硬件结合的形式实现。
对应地,如图8所示,本申请实施例提供的电子设备800,该电子设备800可以包括:存储器801和处理器802,所述存储器801存储有可在处理器802上运行的计算机程序,所述处理器802执行所述程序时实现上述实施例中提供的方法中的步骤。
存储器801配置为存储由处理器802可执行的指令和应用,还可以缓存待处理器802以及电子设备800中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random AccessMemory,RAM)实现。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的信息泄露检测方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得电子设备执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
本申请实施例提供的计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的信息泄露检测方法中的步骤。
本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法实施例提供的信息泄露检测方法。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”或“一些实施例”或“另一些实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”或“在一些实施例中”或“在另一些实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如对象A和/或对象B,可以表示:单独存在对象A,同时存在对象A和对象B,单独存在对象B这三种情况。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者设备中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的信息泄露检测装置的实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个模块或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或模块的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的模块可以是、或也可以不是物理上分开的,作为模块显示的部件可以是、或也可以不是物理模块;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部模块来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能模块可以全部集成在一个处理单元中,也可以是各模块分别单独作为一个单元,也可以两个或两个以上模块集成在一个单元中;上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得电子设备执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (18)
1.一种信息泄露检测方法,其特征在于,所述方法包括:
对电子设备发出的响应报文进行报错检测,得到第一报文特征,所述第一报文特征包括报错字段;
对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到不同于所述第一报文特征的第二报文特征,所述第二报文特征表征所述响应报文和/或所述响应报文对应的请求报文存在异常;所述第二报文特征包括以下至少之一:请求报文中是否包含注入试探语句、请求报文中的特定参数是否存在格式错误、响应报文中的响应码是否表征电子设备发生异常、响应报文的格式是否存在错误;
获取所述第一报文特征和所述第二报文特征分别对应的权重,所述权重用于表征对所述电子设备的安全的威胁程度;
对所述第一报文特征和第二报文特征对应的权重进行加权平均,得到权重均值;
确定所述权重均值是否满足预设条件;如果所述权重均值满足所述预设条件,确定所述电子设备存在信息泄露;否则,确定所述电子设备不存在信息泄露。
2.根据权利要求1所述的方法,其特征在于,在所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测之前,所述方法还包括:
根据所述第一报文特征,确定所述电子设备是否存在信息泄露;如果所述电子设备不存在信息泄露,执行所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测的步骤。
3.根据权利要求2所述的方法,其特征在于,所述根据所述第一报文特征,确定所述电子设备是否存在信息泄露,包括:
获取所述第一报文特征对应的报错字段的权重,所述权重用于表征所述报错字段对所述电子设备的安全的威胁程度;
确定所述权重是否满足预设条件;如果所述权重满足所述预设条件,确定所述电子设备存在信息泄露;否则,确定所述电子设备不存在信息泄露。
4.根据权利要求1所述的方法,其特征在于,所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到不同于所述第一报文特征的第二报文特征,包括:
检测所述请求报文中是否包含攻击特征;
如果包含所述攻击特征,将所述攻击特征确定为所述第二报文特征。
5.根据权利要求4所述的方法,其特征在于,所述检测所述请求报文中是否包含攻击特征,包括:
对所述请求报文进行注入语法分析,以检测所述请求报文是否包含注入试探语句;
如果所述请求报文包含所述注入试探语句,将所述请求报文包含所述注入试探语句确定为所述攻击特征。
6.根据权利要求4或5所述的方法,其特征在于,所述检测所述请求报文中是否包含攻击特征,包括:
对所述请求报文进行注入语法分析,以检测所述请求报文中的特定参数是否存在格式错误;
如果所述特定参数存在格式错误,将所述请求报文中特定参数存在格式错误确定为所述攻击特征。
7.根据权利要求5所述的方法,其特征在于,所述注入试探语句为结构化查询语言SQL注入语句和/或文件包含语句。
8.根据权利要求1至5任一项所述的方法,其特征在于,所述对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到不同于所述第一报文特征的第二报文特征,包括:
检测所述响应报文中是否包含报错特征,所述报错特征不包括所述报错字段;
如果包含所述报错特征,将所述报错特征确定为所述第二报文特征。
9.根据权利要求8所述的方法,其特征在于,所述检测所述响应报文中是否包含报错特征,包括:
检测所述响应报文中的响应码是否表征所述电子设备发生异常;
如果表征所述电子设备发生异常,将所述电子设备发生异常确定为所述报错特征。
10.根据权利要求8所述的方法,其特征在于,所述检测所述响应报文中是否包含报错特征,还包括:
检测所述响应报文的格式是否错误;
如果所述响应报文的格式错误,将所述响应报文的格式存在错误确定为所述报错特征。
11.根据权利要求10所述的方法,其特征在于,所述检测所述响应报文的格式是否错误,包括:
检测所述响应报文的报头的格式是否与所述响应报文的报文内容的格式一致;
如果所述报头的格式与所述报文内容的格式不一致,确定所述响应报文的格式为错误的格式。
12.根据权利要求1所述的方法,其特征在于,所述对电子设备发出的响应报文进行报错检测,得到第一报文特征,包括:
调用预先配置的黑名单,所述黑名单包括从多个历史报错报文中提取的关键词;
检测所述黑名单中是否包含与所述响应报文相匹配的目标关键词;
如果所述黑名单中包含所述目标关键词,确定所述响应报文包含所述报错字段,从而得到所述第一报文特征。
13.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述第一报文特征和所述第二报文特征中的至少一种报文特征对应的所述电子设备存在信息泄露的误判占比;
根据所述报文特征对应的误判占比,调整所述报文特征的权重。
14.根据权利要求13所述的方法,其特征在于,确定所述报文特征对应的所述电子设备存在信息泄露的误判占比,包括:
向用户反馈所述报文特征每次被命中时对应的信息泄露检测结果;
获取所述用户针对所述信息泄露检测结果反馈的误判信息,所述误判信息用于表征基于所述报文特征确定所述电子设备存在信息泄露的检测结果为错误结果;
根据所述用户反馈的误判信息,确定所述报文特征对应的所述电子设备存在信息泄露的误判占比。
15.根据权利要求14所述的方法,其特征在于,所述向用户反馈所述报文特征每次被命中时对应的信息泄露检测结果,包括:
向用户反馈所述报文特征每次被命中时对应的信息泄露检测结果;以及,
向所述用户反馈所述报文特征被命中的次数。
16.一种信息泄露检测装置,其特征在于,包括:
检测模块,用于对电子设备发出的响应报文进行报错检测,得到第一报文特征,所述第一报文特征包括报错字段;对所述响应报文和/或所述响应报文对应的请求报文进行特征检测,得到不同于所述第一报文特征的第二报文特征,所述第二报文特征表征所述响应报文和/或所述响应报文对应的请求报文存在异常;所述第二报文特征包括以下至少之一:请求报文中是否包含注入试探语句、请求报文中的特定参数是否存在格式错误、响应报文中的响应码是否表征电子设备发生异常、响应报文的格式是否存在错误;
确定模块,用于获取所述第一报文特征和所述第二报文特征分别对应的权重,所述权重用于表征对所述电子设备的安全的威胁程度;对所述第一报文特征和第二报文特征对应的权重进行加权平均,得到权重均值;确定所述权重均值是否满足预设条件;如果所述权重均值满足所述预设条件,确定所述电子设备存在信息泄露;否则,确定所述电子设备不存在信息泄露。
17.一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至15任一项所述的方法。
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至15任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011462572.3A CN112671727B (zh) | 2020-12-11 | 2020-12-11 | 一种信息泄露检测方法及装置、设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011462572.3A CN112671727B (zh) | 2020-12-11 | 2020-12-11 | 一种信息泄露检测方法及装置、设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671727A CN112671727A (zh) | 2021-04-16 |
| CN112671727B true CN112671727B (zh) | 2023-05-16 |
Family
ID=75405419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011462572.3A Active CN112671727B (zh) | 2020-12-11 | 2020-12-11 | 一种信息泄露检测方法及装置、设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671727B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115955521B (zh) * | 2022-09-13 | 2023-08-11 | 武汉麦丰创新网络科技有限公司 | 一种私有报文的识别方法及系统 |
| CN115549990B (zh) * | 2022-09-19 | 2023-06-13 | 武汉思普崚技术有限公司 | 一种sql注入检测方法、装置、电子设备及存储介质 |
| CN116488947B (zh) * | 2023-06-21 | 2023-09-26 | 北京锐服信科技有限公司 | 一种安全要素的治理方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8813228B2 (en) * | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
| CN107566392B (zh) * | 2017-09-22 | 2020-02-11 | 北京知道创宇信息技术股份有限公司 | 一种报错型sql注入的检测方法、代理服务器和存储介质 |
| CN108345540A (zh) * | 2018-02-07 | 2018-07-31 | 平安证券股份有限公司 | 基于私有云平台的应用测试系统、方法、设备及存储介质 |
| CN108881263B (zh) * | 2018-06-29 | 2022-01-25 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及系统 |
| CN109246113B (zh) * | 2018-09-21 | 2021-08-10 | 郑州云海信息技术有限公司 | 一种rest api的sql注入漏洞检测方法及装置 |
| CN111814192B (zh) * | 2020-08-28 | 2021-04-27 | 支付宝(杭州)信息技术有限公司 | 训练样本生成方法及装置、敏感信息检测方法及装置 |
-
2020
- 2020-12-11 CN CN202011462572.3A patent/CN112671727B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671727A (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112671727B (zh) | 一种信息泄露检测方法及装置、设备、存储介质 | |
| US11310268B2 (en) | Systems and methods using computer vision and machine learning for detection of malicious actions | |
| US11743290B2 (en) | System and method for detecting cyberattacks impersonating legitimate sources | |
| US10846402B2 (en) | Security scanning method and apparatus for mini program, and electronic device | |
| Khan et al. | Defending malicious script attacks using machine learning classifiers | |
| US10558807B2 (en) | Method and device for providing access page | |
| US9256736B2 (en) | Method and system for monitoring webpage malicious attributes | |
| KR101122646B1 (ko) | 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치 | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| CN108667840B (zh) | 注入漏洞检测方法及装置 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| CN117610026B (zh) | 一种基于大语言模型的蜜点漏洞生成方法 | |
| CN113055399A (zh) | 注入攻击的攻击成功检测方法、系统及相关装置 | |
| CN111416818A (zh) | 网站的安全防护方法、装置和服务器 | |
| JPWO2018143097A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
| WO2009023683A2 (en) | Methods and systems for transmitting a data attribute from an authenticated system | |
| CN117749446A (zh) | 攻击对象溯源方法、装置、设备及介质 | |
| CN113051571B (zh) | 一种误报漏洞的检测方法、装置及计算机设备 | |
| Bhat et al. | CogramDroid–An approach towards malware detection in Android using opcode ngrams | |
| CN112395603A (zh) | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 | |
| CN110399131A (zh) | 提高应用程序稳定性的方法、装置、计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |