CN112953895A - 一种攻击行为检测方法、装置、设备及可读存储介质 - Google Patents
一种攻击行为检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN112953895A CN112953895A CN202110103976.1A CN202110103976A CN112953895A CN 112953895 A CN112953895 A CN 112953895A CN 202110103976 A CN202110103976 A CN 202110103976A CN 112953895 A CN112953895 A CN 112953895A
- Authority
- CN
- China
- Prior art keywords
- attack
- behavior
- command
- address
- response packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种攻击行为检测方法、装置、设备及可读存储介质。本申请公开的方法包括:获取执行命令所得的响应包;确定响应包对应的请求命令的源IP地址;检测源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定响应包存在命令执行攻击行为。其中,响应包是执行命令所得的响应数据,对响应数据进行攻击检测,只需关注响应数据本身的行为,故检测源IP地址的攻击特征和/或访问行为即可,无需关注响应数据对应的命令是否已知,因此基于响应包检测命令执行攻击行为可以检测未知命令,还提高了检测准确性。相应地,本申请提供的一种攻击行为检测装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种攻击行为检测方法、装置、设备及可读存储介质。
背景技术
目前,一般针对请求命令进行特征检测,从而确定请求命令是否存在攻击行为。但由于请求命令的特征检测依赖已知攻击命令的已知攻击特征(如编码方式等),无法检测未知攻击命令是否具有攻击性。且攻击命令存在较多变形特征,现有已知攻击特征不能覆盖所有攻击命令。有些变形特征无法被确切识别,因此还容易造成误判或漏判。可见,对于命令执行攻击的检测准确性还有待提高。
因此,如何提高命令执行攻击的检测准确性,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种攻击行为检测方法、装置、设备及可读存储介质,以提高命令执行攻击的检测准确性。其具体方案如下:
第一方面,本申请提供了一种攻击行为检测方法,包括:
获取执行命令所得的响应包;
确定所述响应包对应的请求命令的源IP地址;
检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;
若是,则确定所述响应包存在命令执行攻击行为。
优选地,所述确定所述响应包对应的请求方向的源IP地址之前,还包括:
检测所述响应包的字段结构是否符合,攻击命令对应的响应字段结构规则;
若是,则执行所述确定所述响应包对应的请求方向的源IP地址;否则,丢弃所述响应包。
优选地,所述检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件,包括:
检测所述源IP地址的攻击广度是否超过第一阈值;所述攻击广度为所述源IP地址所攻击的被攻击对象的个数;
和/或
检测所述源IP地址的攻击深度是否超过第二阈值;所述攻击深度为所述源IP地址对任一个被攻击对象所使用的攻击类型的种类数;
和/或
检测所述源IP地址的访问行为是否异常。
优选地,异常访问行为包括:窃取敏感数据、上传可执行文件、破解行为、下载WEB文件和控制主机连接陌生IP地址中的任一种或组合。
优选地,还包括:
若所述攻击特征和所述访问行为均不符合攻击行为判定条件,则检测所述请求命令的名称是否符合攻击命令的名称规则;
若是,则确定所述响应包存在命令执行攻击行为。
优选地,所述检测所述请求命令的名称是否符合攻击命令的名称规则,包括:
确定发送所述响应包的主机的操作系统类型;
检测所述请求命令的名称是否符合所述操作系统类型对应的攻击命令的名称规则。
优选地,所述检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件之前,还包括:
检测所述请求命令的名称是否符合攻击命令的名称规则;
若是,则确定所述源IP地址为攻击IP地址;
相应的,所述检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定所述响应包存在命令执行攻击行为,包括:
检测所述攻击IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定所述响应包存在命令执行攻击行为。
第二方面,本申请提供了一种攻击行为检测装置,包括:
获取模块,用于获取执行命令所得的响应包;
第一确定模块,用于确定所述响应包对应的请求命令的源IP地址;
检测模块,用于检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;
第二确定模块,用于若所述攻击特征和/或所述访问行为符合攻击行为判定条件,则确定所述响应包存在命令执行攻击行为。
第三方面,本申请提供了一种攻击行为检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的攻击行为检测方法。
第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的攻击行为检测方法。
通过以上方案可知,本申请提供了一种攻击行为检测方法,包括:获取执行命令所得的响应包;确定所述响应包对应的请求命令的源IP地址;检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定所述响应包存在命令执行攻击行为。
可见,本申请基于执行命令所得的响应包检测命令执行攻击行为,将响应包对应的请求命令的源IP地址作为检测对象,而后检测该源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定响应包存在命令执行攻击行为。其中,响应包是执行命令所得的响应数据,对响应数据进行攻击检测,只需关注响应数据本身的行为,故检测源IP地址的攻击特征和/或访问行为即可,无需关注响应数据对应的命令是否已知,因此基于响应包检测命令执行攻击行为可以检测未知命令,还提高了检测准确性。同时,也不会因为已知攻击特征有限而导致误判或漏判,因此可提高攻击检测的全面性和准确性。
相应地,本申请提供的一种攻击行为检测装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的第一种攻击行为检测方法流程图;
图2为本申请公开的第二种攻击行为检测方法流程图;
图3为本申请公开的第三种攻击行为检测方法流程图;
图4为本申请公开的一种攻击行为检测装置示意图;
图5为本申请公开的一种攻击行为检测设备示意图;
图6为本申请公开的另一种攻击行为检测设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,请求命令的特征检测依赖已知攻击命令的已知攻击特征,无法检测未知攻击命令,且攻击命令存在较多变形特征,现有已知攻击特征不能覆盖所有攻击命令。有些变形特征无法被确切识别,因此还容易造成误判或漏判。为此,本申请提供了一种攻击行为检测方案,能够提高命令执行攻击的检测准确性。
参见图1所示,本申请实施例公开了第一种攻击行为检测方法,包括:
S101、获取执行命令所得的响应包。
其中,响应包为从众多响应数据中筛选出的执行命令所得的响应包。这些响应数据是服务器等设备处理客户端发送的指令或请求命令后得到的数据包。而执行命令所得的响应包则是指:服务器处理客户端发送的请求命令后得到的数据包。
例如:任意客户端发送请求命令至服务器,该服务器处理该请求命令获得相应处理结果,并将该处理结果返回至客户端。此时该处理结果即为一个响应包,因此可直接从该服务器获取响应包。当然,还可以在服务器返回该处理结果的网络链路上,抓取该处理结果。例如:在该处理结果流经网关时,利用网关抓取;亦或者,在处理结果的返回链路上设置流量分析平台,利用该平台进行抓取。其中,请求命令如:whoami命令、ipconfig命令等。whoami命令用于查询用户名称,ipconfig命令用于查询IP地址信息。
可见,响应包可以利用返回链路上的任意设备(如网关、分析平台等)获得,因此本实施例提供的方法可以应用于网关或分析平台。本实施例将某段时间内抓取的所有响应包组合为响应集,以便后续对响应集中的各个响应包进行检测。另外,上述分析平台可以是任意类型的设备。
S102、确定响应包对应的请求命令的源IP地址。
如上所述,请求命令可以是:whoami、ipconfig等命令,这些命令由客户端发出,该客户端的IP地址即为请求命令的源IP地址。那么响应包对应的请求命令的源IP地址即为:发送请求命令的客户端的IP地址。
S103、检测源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则执行S104;若否,则执行S105。
若发送请求命令的客户端对某一个或某几个服务器进行了攻击,那么就可以统计该客户端的攻击特征和/或访问行为。此时以该客户端的IP地址作为该客户端的标签。客户端与其IP地址一一对应。
S104、确定响应包存在命令执行攻击行为。
S105、标记响应包,以便对响应包对应的请求命令进行进一步检测。
其中,攻击特征可以是所攻击的范围大小,攻击所使用的攻击类型。访问行为可以具体为对主机所执行的某些操作,如:读取了哪些文件、下载了哪些文件等。
如果客户端所攻击的范围大小,攻击所使用的攻击类型,亦或者其访问行为符合攻击行为判定条件(即:具有确切的攻击行为),则确定该客户端对应的该响应包存在命令执行攻击行为。此时不关注当前所检测的响应包是否真的具有命令执行攻击行为。因为其对应的源IP地址具有明显且确切的攻击行为,因此可以认为当前所检测响应包非常危险,故确定其具有命令执行攻击行为。客户端对应的该响应包即为:该客户端所发送的请求命令对应的响应包。
如果客户端所攻击的范围大小,攻击所使用的攻击类型,亦或者其访问行为不符合攻击行为判定条件,则表明该响应包可能没有问题,为了进一步提高检测全面性和安全性,可以进一步对该响应包对应的请求命令进行进一步检测,具体可以参照下述实施例的相关介绍。
需要说明的是,可以利用攻击行为判定模型检测源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件。攻击行为判定模型可以基于机器学习等方式训练获得。
在本实施例中,S103步骤检测的是源IP地址的攻击特征和/或访问行为,若是源IP地址属于正常IP地址,那么也就不涉及对于攻击特征的检测,因此在执行S103之前,可以先检测源IP地址是否属于攻击IP地址。
在一种具体实施方式中,检测源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件之前,还包括:检测请求命令的名称是否符合攻击命令的名称规则;若是,则确定源IP地址为攻击IP地址;相应的,检测源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定响应包存在命令执行攻击行为,包括:检测攻击IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定响应包存在命令执行攻击行为。
需要说明的是,上述方式所检测出来的攻击IP地址特指:具有命令执行攻击行为的IP地址,此时排除了该IP地址的其他攻击行为。当然,对于攻击IP地址的检测,也可以不局限于命令执行攻击,具体请参照下述相关介绍。
可见,本申请实施例基于执行命令所得的响应包检测命令执行攻击行为,将响应包对应的请求命令的源IP地址作为检测对象,而后检测该源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定响应包存在命令执行攻击行为。其中,响应包是执行命令所得的响应数据,对响应数据进行攻击检测,只需关注响应数据本身的行为,故检测源IP地址的攻击特征和/或访问行为即可,无需关注响应数据对应的命令是否已知,因此基于响应包检测命令执行攻击行为可以检测未知命令,还提高了检测准确性。同时,也不会因为已知攻击特征有限而导致误判或漏判,因此可提高攻击检测的全面性和准确性。
参见图2所示,本申请实施例公开了第二种攻击行为检测方法,包括:
S201、获取执行命令所得的响应包。
S202、确定响应包对应的请求命令的源IP地址。
S203、检测源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则执行S204;若否,则执行S205。
S204、确定响应包存在命令执行攻击行为。
S205、标记响应包。
S206、获取有标记的响应包对应的请求命令。
S207、检测请求命令的名称是否符合攻击命令的名称规则;若是,则执行S204;若否,则退出流程。
在本实施例中,若源IP地址的攻击特征和/或访问行为不符合攻击行为判定条件,则表明该响应包可能没有问题,为了进一步提高检测全面性和安全性,可以进一步对该响应包对应的请求命令进行进一步检测。
需要说明的是,攻击命令具有一定规律的命名规则,因此可以用命令名称来对请求命令进行检测。例如:提前总结出一些攻击命令的名称规则并存储,检测当前响应包对应的请求命令的名称是否落入攻击命令的名称规则内,若是,则表明当前响应包对应的请求命令属于攻击命令,那么当前响应包存在命令执行攻击行为。若否,则表明当前响应包对应的请求命令可能不属于攻击命令,那么当前响应包也可能不存在命令执行攻击行为。此时,若当前响应包对应的请求命令可能不属于攻击命令,还可以对该请求命令进行其他类型(如SQL注入攻击等)的攻击行为的检测。
如上实施例所述,请求命令可以是:whoami、ipconfig等命令,这些命令在不同类型的操作系统中所呈现的名称可能有所区别。例如:用于查询IP地址信息的ipconfig命令,其在windows操作系统中呈现为ipconfig,其在linux操作系统中呈现为ifconfig。
因此在一种具体实施方式中,检测请求命令的名称是否符合攻击命令的名称规则,包括:确定发送响应包的主机的操作系统类型;检测请求命令的名称是否符合操作系统类型对应的攻击命令的名称规则。也就是:利用与发送响应包的主机的操作系统类型相对应的名称规则,来对响应包对应的请求命令进行检测。
可见,本申请实施例基于执行命令所得的响应包检测命令执行攻击行为,将响应包对应的请求命令的源IP地址作为检测对象,而后检测该源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定响应包存在命令执行攻击行为。其中,响应包是执行命令所得的响应数据,对响应数据进行攻击检测,只需关注响应数据本身的行为,故检测源IP地址的攻击特征和/或访问行为即可,无需关注响应数据对应的命令是否已知,因此基于响应包检测命令执行攻击行为可以检测未知命令,还提高了检测准确性。同时,也不会因为已知攻击特征有限而导致误判或漏判,因此可提高攻击检测的全面性和准确性。
基于上述任意实施例,需要说明的是,确定响应包对应的请求方向的源IP地址之前,还包括:检测响应包的字段结构是否符合,攻击命令对应的响应字段结构规则;若是,则执行确定响应包对应的请求方向的源IP地址;否则,丢弃响应包。也即:对响应包进行初步检测,以检测出少量的、疑似有或确定有命令执行攻击行为的待测包,从而降低数据检测量。
需要说明的是,服务器处理客户端发送的请求命令后得到的数据包众多,为降低检测复杂性,提高检测效率,可以对这些数据包进行了初步筛选,从而可筛选出少量的、疑似有或确定有命令执行攻击行为的待测包。
若响应包的字段结构符合攻击命令对应的响应字段结构规则,则表明响应包可能是攻击命令对应的响应数据,那么执行确定响应包对应的请求方向的源IP地址的步骤以及其他步骤。
若响应包的字段结构不符合攻击命令对应的响应字段结构规则,则表明响应包可能不是攻击命令对应的响应数据,那么可以丢弃响应包。当然,也可以在验证其正常(如检测其也不存在其他类型的攻击行为)后,提取并存储其中的字段特征作为正常特征,以便后续判别攻击行为使用。
其中,请求命令的执行结果一般具有固定的字段结构,因此可以基于字段结构筛选响应包。假设whoami命令的执行结果为:“用户名”+“/”+“具体信息”,那么可以将“A”+“/”+“B”确定为whoami命令的字段结构规则。据此,对于有攻击行为的命令,也可以确定出相应的响应字段结构规则,并据此对响应包进行筛选。
请求命令的执行结果中包括对攻击行为起到决定性作用的数据片段,其可作为有效攻击载荷(PAYLOAD)。有效攻击载荷会破坏系统完整性,窃取系统权限等,从而实现对系统的攻击。
基于上述任意实施例,需要说明的是,检测源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件,包括:检测源IP地址的攻击广度是否超过第一阈值;攻击广度为源IP地址所攻击的被攻击对象的个数;和/或检测源IP地址的攻击深度是否超过第二阈值;攻击深度为源IP地址对任一个被攻击对象所使用的攻击类型的种类数;和/或检测源IP地址的访问行为是否异常。
可见,若是源IP地址符合上述三个检测步骤中的任一个,则可判定源IP地址符合攻击行为判定条件;若是源IP地址不符合每个检测步骤,才可判定源IP地址不符合攻击行为判定条件。上述三个检测步骤可以选择执行,也可以同时执行,多个检测步骤执行时无先后顺序之别。
需要说明的是,攻击广度和攻击深度的统计并不关注具体攻击类型,也就是只要源IP地址发生攻击,就可以统计至攻击广度和攻击深度。故此时的攻击IP为涵盖所有攻击类型的IP地址。可以预先建立攻击IP地址库,以便后续直接调用该攻击IP地址库来检测源IP地址是否属于攻击IP地址。
攻击广度为源IP地址所攻击的被攻击对象的个数。例如:源IP地址既攻击了当前系统,又攻击了其他外部系统,那么该IP所攻击的系统的个数即为攻击广度。此时,只要源IP地址发生攻击就进行统计,不关注所使用的攻击类型。
攻击深度为源IP地址对任一个被攻击对象所使用的攻击类型的种类数。例如:源IP地址攻击当前系统既使用了命令执行攻击,又使用了SQL注入攻击等其他类型的攻击,那么该IP攻击当前系统所使用的攻击类型的种类数即为攻击深度。此时不关注同一类型的攻击所使用的次数,只关注攻击类型的多样性。当前系统即:应用有本申请提供的方法的系统。外部系统即:区别于当前系统的其他网络。
在一种具体实施方式中,异常访问行为包括:窃取敏感数据、上传可执行文件、破解行为、下载WEB文件和控制主机连接陌生IP地址(如境外IP地址)中的任一种或组合。
敏感数据如:用户手机号、住址等隐私数据。一般情况下,允许某一IP地址获取少量敏感数据(如获取某一个用户的手机号),但不允许获取大量敏感数据(如获取一批用户的手机号),故可以对敏感数据的窃取设定判断条件。例如:若某一IP地址获取的敏感数据的数据量大于预设阈值(如10M等),则确定该IP地址窃取了敏感数据;否则,确定该IP地址未窃取敏感数据。
参见图3所示,本申请实施例公开了第三种攻击行为检测方法,包括:攻击类型分类、攻击行为判定、漏洞特征匹配以及结果输出几个部分。
1、攻击类型分类。
由于一个真实的网络环境中存在众多不同类型的攻击行为,而本实施例主要针对命令执行攻击行为进行检测,因此首先利用攻击类型分类器对网络流量中的命令响应数据进行分类,以筛选出疑似有或确定有命令执行攻击行为的命令响应数据,还可以降低检测数据量和复杂度。
本阶段舍弃了“请求+响应”模式的检测方法,而是从“响应方向”进行特征匹配,从而可以增加具有潜在风险的响应数据的提取。攻击类型分类器中设有响应字段结构规则,该响应字段结构规则记录有常见的、疑似有攻击行为或确定有攻击行为的命令的执行字段结构特征,以有效提取待检测响应数据包。
2、攻击行为判定。
对于1步骤中筛选出的响应数据包,利用攻击行为判定模型进行攻击行为判定。攻击行为判定模型能够确定响应数据包对应的IP地址是否存在对其他资产(其他系统)存在攻击行为,是否对当前资产(当前系统)存在攻击行为,是否对敏感数据存在外泄行为或其他异常行为。若IP地址存在上述行为中的一种或多种,即判定响应数据包满足攻击行为模型,也就是确定该响应数据包对应的命令成功对当前系统进行了攻击。
3、攻击利用漏洞特征匹配。
对于2步骤中不满足攻击行为模型的响应数据包进行进一步检测,即:利用攻击命令的名称规则对该响应数据包进行漏洞特征匹配。此时需结合“请求方向”的流量进行命令名称的匹配,以识别已知攻击命令。
4、判定结果输出。
对2步骤和3步骤中的判定和匹配结果进行输出,对于是命令执行成功的事件进行告警。
可见,本实施例利用攻击行为模型检测响应数据包,能够检测未知威胁(如0DAY安全事件)和弱特征,且可以避免因攻击命令的攻击特征变形而导致漏判和误判。本实施例通过结合攻击行为模型和特征匹配,增强了攻击行为检测的准确度和可行性。
其中,0DAY安全事件是对尚未被大众知晓的漏洞利用行为的统称。由于其攻击特征未知,导致无法采取有效的防御措施进行防御。攻击特征变形指:攻击者为了绕过安全设备的检测,通过编码、字符拼接等方式对有效攻击载荷进行处理,使有效攻击载荷的表现形式更加复杂和不具规律,导致安全设备无法寻找到原有攻击特征而放行。一般根据弱特征不能直接判定是否存在攻击行为。在业务场景中,这类特征都存在着大量误报的风险。相对的,还有强特征。强特征就是可以根据该特征直接判定是攻击行为的特征,这类特征误报可能性较低。
下面对本申请实施例提供的一种攻击行为检测装置进行介绍,下文描述的一种攻击行为检测装置与上文描述的一种攻击行为检测方法可以相互参照。
参见图4所示,本申请实施例公开了一种攻击行为检测装置,包括:
获取模块401,用于获取执行命令所得的响应包;
第一确定模块402,用于确定响应包对应的请求命令的源IP地址;
检测模块403,用于检测源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;
第二确定模块404,用于若攻击特征和/或访问行为符合攻击行为判定条件,则确定响应包存在命令执行攻击行为。
在一种具体实施方式中,还包括:
字段结构匹配模块,用于检测响应包的字段结构是否符合攻击命令对应的响应字段结构规则;
第一执行模块,用于若响应包的字段结构符合攻击命令对应的响应字段结构规则,则执行确定响应包对应的请求方向的源IP地址;否则,丢弃响应包。
在一种具体实施方式中,检测模块包括:
第一检测单元,用于检测源IP地址的攻击广度是否超过第一阈值;攻击广度为源IP地址所攻击的被攻击对象的个数;
和/或
第二检测单元,用于检测源IP地址的攻击深度是否超过第二阈值;攻击深度为源IP地址对任一个被攻击对象所使用的攻击类型的种类数;
和/或
第三检测单元,用于检测源IP地址的访问行为是否异常。
在一种具体实施方式中,异常访问行为包括:窃取敏感数据、上传可执行文件、破解行为、下载WEB文件和控制主机连接陌生IP地址中的任一种或组合。
在一种具体实施方式中,还包括:
命令名称匹配模块,用于若攻击特征和访问行为均不符合攻击行为判定条件,则检测请求命令的名称是否符合攻击命令的名称规则;
第二执行模块,用于若请求命令的名称符合攻击命令的名称规则,则确定响应包存在命令执行攻击行为。
在一种具体实施方式中,命令名称匹配模块具体用于:
确定发送响应包的主机的操作系统类型;检测请求命令的名称是否符合操作系统类型对应的攻击命令的名称规则。
在一种具体实施方式中,还包括:
攻击IP地址检测模块,用于检测请求命令的名称是否符合攻击命令的名称规则;
第三确定模块,用于若请求命令的名称符合攻击命令的名称规则,则确定源IP地址为攻击IP地址;
相应的,检测模块具体用于:检测攻击IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;
第二确定模块具体用于:若攻击IP地址的攻击特征和/或访问行为符合攻击行为判定条件,则确定响应包存在命令执行攻击行为。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种攻击行为检测装置,该装置以响应数据集作为检测对象可以检测未知命令,还提高了检测准确性。同时,也不会因为已知攻击特征有限而导致误判或漏判,因此可提高攻击检测的全面性和准确性。
下面对本申请实施例提供的一种攻击行为检测设备进行介绍,下文描述的一种攻击行为检测设备与上文描述的一种攻击行为检测方法及装置可以相互参照。
参见图5所示,本申请实施例公开了一种攻击行为检测设备,包括:
存储器501,用于保存计算机程序;
处理器502,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
请参考图6,图6为本实施例提供的另一种攻击行为检测设备示意图,该攻击行为检测设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在攻击行为检测设备301上执行存储介质330中的一系列指令操作。
攻击行为检测设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
在图6中,应用程序342可以是执行攻击行为检测方法的程序,数据344可以是执行攻击行为检测方法所需的或产生的数据。
上文所描述的攻击行为检测方法中的步骤可以由攻击行为检测设备的结构实现。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种攻击行为检测方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的攻击行为检测方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种攻击行为检测方法,其特征在于,包括:
获取执行命令所得的响应包;
确定所述响应包对应的请求命令的源IP地址;
检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;
若是,则确定所述响应包存在命令执行攻击行为。
2.根据权利要求1所述的攻击行为检测方法,其特征在于,所述确定所述响应包对应的请求方向的源IP地址之前,还包括:
检测所述响应包的字段结构是否符合,攻击命令对应的响应字段结构规则;
若是,则执行所述确定所述响应包对应的请求方向的源IP地址;否则,丢弃所述响应包。
3.根据权利要求1所述的攻击行为检测方法,其特征在于,所述检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件,包括:
检测所述源IP地址的攻击广度是否超过第一阈值;所述攻击广度为所述源IP地址所攻击的被攻击对象的个数;
和/或
检测所述源IP地址的攻击深度是否超过第二阈值;所述攻击深度为所述源IP地址对任一个被攻击对象所使用的攻击类型的种类数;
和/或
检测所述源IP地址的访问行为是否异常。
4.根据权利要求3所述的攻击行为检测方法,其特征在于,异常访问行为包括:窃取敏感数据、上传可执行文件、破解行为、下载WEB文件和控制主机连接陌生IP地址中的任一种或组合。
5.根据权利要求1至4任一项所述的攻击行为检测方法,其特征在于,还包括:
若所述攻击特征和所述访问行为均不符合攻击行为判定条件,则检测所述请求命令的名称是否符合攻击命令的名称规则;
若是,则确定所述响应包存在命令执行攻击行为。
6.根据权利要求5所述的攻击行为检测方法,其特征在于,所述检测所述请求命令的名称是否符合攻击命令的名称规则,包括:
确定发送所述响应包的主机的操作系统类型;
检测所述请求命令的名称是否符合所述操作系统类型对应的攻击命令的名称规则。
7.根据权利要求1所述的攻击行为检测方法,其特征在于,所述检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件之前,还包括:
检测所述请求命令的名称是否符合攻击命令的名称规则;
若是,则确定所述源IP地址为攻击IP地址;
相应的,所述检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定所述响应包存在命令执行攻击行为,包括:
检测所述攻击IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;若是,则确定所述响应包存在命令执行攻击行为。
8.一种攻击行为检测装置,其特征在于,包括:
获取模块,用于获取执行命令所得的响应包;
第一确定模块,用于确定所述响应包对应的请求命令的源IP地址;
检测模块,用于检测所述源IP地址的攻击特征和/或访问行为是否符合攻击行为判定条件;
第二确定模块,用于若所述攻击特征和/或所述访问行为符合攻击行为判定条件,则确定所述响应包存在命令执行攻击行为。
9.一种攻击行为检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的攻击行为检测方法。
10.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的攻击行为检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110103976.1A CN112953895B (zh) | 2021-01-26 | 2021-01-26 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110103976.1A CN112953895B (zh) | 2021-01-26 | 2021-01-26 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112953895A true CN112953895A (zh) | 2021-06-11 |
| CN112953895B CN112953895B (zh) | 2022-11-22 |
Family
ID=76237026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110103976.1A Active CN112953895B (zh) | 2021-01-26 | 2021-01-26 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112953895B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051873A (zh) * | 2022-07-27 | 2022-09-13 | 深信服科技股份有限公司 | 网络攻击结果检测方法、装置和计算可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404318A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
| US20160164912A1 (en) * | 2014-12-09 | 2016-06-09 | Fortinet, Inc. | Near real-time detection of denial-of-service attacks |
| CN106921676A (zh) * | 2017-04-20 | 2017-07-04 | 电子科技大学 | 一种基于OPCClassic的入侵检测方法 |
| CN108600172A (zh) * | 2018-03-23 | 2018-09-28 | 广州广电研究院有限公司 | 撞库攻击检测方法、装置、设备及计算机可读存储介质 |
| CN108989275A (zh) * | 2017-11-14 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种攻击防范方法和装置 |
| CN109688136A (zh) * | 2018-12-27 | 2019-04-26 | 深信服科技股份有限公司 | 一种伪造ip攻击行为的检测方法、系统及相关组件 |
| CN109995727A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团河北有限公司 | 渗透攻击行为主动防护方法、装置、设备及介质 |
| CN110740144A (zh) * | 2019-11-27 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
-
2021
- 2021-01-26 CN CN202110103976.1A patent/CN112953895B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404318A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
| US20160164912A1 (en) * | 2014-12-09 | 2016-06-09 | Fortinet, Inc. | Near real-time detection of denial-of-service attacks |
| CN106921676A (zh) * | 2017-04-20 | 2017-07-04 | 电子科技大学 | 一种基于OPCClassic的入侵检测方法 |
| CN108989275A (zh) * | 2017-11-14 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种攻击防范方法和装置 |
| CN109995727A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团河北有限公司 | 渗透攻击行为主动防护方法、装置、设备及介质 |
| CN108600172A (zh) * | 2018-03-23 | 2018-09-28 | 广州广电研究院有限公司 | 撞库攻击检测方法、装置、设备及计算机可读存储介质 |
| CN109688136A (zh) * | 2018-12-27 | 2019-04-26 | 深信服科技股份有限公司 | 一种伪造ip攻击行为的检测方法、系统及相关组件 |
| CN110740144A (zh) * | 2019-11-27 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051873A (zh) * | 2022-07-27 | 2022-09-13 | 深信服科技股份有限公司 | 网络攻击结果检测方法、装置和计算可读存储介质 |
| CN115051873B (zh) * | 2022-07-27 | 2024-02-23 | 深信服科技股份有限公司 | 网络攻击结果检测方法、装置和计算可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112953895B (zh) | 2022-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| CN111756759B (zh) | 一种网络攻击溯源方法、装置及设备 | |
| AU2004289001B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
| CN112685682B (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| CN110768999B (zh) | 一种设备非法外联的检测方法及装置 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN111726364B (zh) | 一种主机入侵防范方法、系统及相关装置 | |
| CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
| CN110855649A (zh) | 一种检测服务器中异常进程的方法与装置 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN112953895B (zh) | 一种攻击行为检测方法、装置、设备及可读存储介质 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN113489703A (zh) | 一种安全防护系统 | |
| CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 | |
| US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN111783092A (zh) | 面向安卓应用程序间通信机制的恶意攻击检测方法及系统 | |
| CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| CN113315785B (zh) | 一种告警消减方法、装置、设备和计算机可读存储介质 | |
| CN111541675B (zh) | 一种基于白名单的网络安全防护方法、装置及设备 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |