CN113055399A - 注入攻击的攻击成功检测方法、系统及相关装置 - Google Patents
注入攻击的攻击成功检测方法、系统及相关装置 Download PDFInfo
- Publication number
- CN113055399A CN113055399A CN202110350005.7A CN202110350005A CN113055399A CN 113055399 A CN113055399 A CN 113055399A CN 202110350005 A CN202110350005 A CN 202110350005A CN 113055399 A CN113055399 A CN 113055399A
- Authority
- CN
- China
- Prior art keywords
- detection
- engine
- attack
- injection
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 412
- 238000002347 injection Methods 0.000 title claims abstract description 209
- 239000007924 injection Substances 0.000 title claims abstract description 209
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000004891 communication Methods 0.000 claims abstract description 23
- 230000004044 response Effects 0.000 claims description 66
- 238000004590 computer program Methods 0.000 claims description 10
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 238000012423 maintenance Methods 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种注入攻击的攻击成功检测方法,包括:获取疑似攻击成功的数据包;调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功。本申请通过调用攻击成功检测引擎对注入攻击进行内容检测和/或时间检测,以期确认注入攻击对应的通信数据,从而检测出攻击成功时的注入行为,有助于排查未实际攻击成功的注入攻击,降低排查和维护成本。同时根据注入攻击是否成功的结果可以对注入攻击检测引擎优化,以避免由于注入攻击检测误报造成的无效告警。本申请还提供一种注入攻击的攻击成功检测系统、计算机可读存储介质和电子设备,具有上述有益效果。
Description
技术领域
本申请涉及网络安全领域,特别涉及一种注入攻击的攻击成功检测方法、攻击成功检测系统、计算机可读存储介质和电子设备。
背景技术
目前针对注入攻击的检测引擎主要通过语法分析,注入攻击SQL特征提取进行注入攻击检测,以判断是否包含注入攻击。但当前技术中检测引擎的特征提取的准确性或多或少存在误报现象,且并非所有注入攻击均会攻击成功,即部分注入攻击未成功,对用户没有任何威胁但是也会产生大量告警信息,导致耗费排查成本和维护成本,甚至产生告警疲劳,不利于后续注入攻击的告警和处理。
因此,如何提高注入攻击的检测精度是本领域技术人员亟需解决的技术问题。
发明内容
本申请的目的是提供一种注入攻击的攻击成功检测方法、攻击成功检测系统、计算机可读存储介质和电子设备,能够有效检测注入攻击的攻击行为,提高注入攻击的检测精度。
为解决上述技术问题,本申请提供一种注入攻击的攻击成功检测方法,具体技术方案如下:
获取疑似攻击成功的数据包;
调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功。
可选的,所述攻击成功检测引擎包括内容检测引擎和时间检测引擎,调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功包括:
调用所述内容检测引擎对所述数据包进行数据包关键字检测,得到内容检测结果;
和/或,
调用所述时间检测引擎对所述数据包的响应时延进行检测,得到时间检测结果;
根据所述内容检测结果和/或所述时间检测结果判断所述注入攻击是否成功。
可选的,所述内容检测引擎包括关键字检测子引擎和关键字符串检测子引擎,则调用所述内容检测引擎对所述数据包进行关键字检测,得到内容检测结果包括:
若所述内容检测引擎包括关键字检测子引擎,利用所述关键字检测子引擎检测所述数据包是否包含预设的关键字特征,得到第一检测结果;
若所述内容检测引擎包括关键字符串检测子引擎,利用所述关键字符串检测子引擎检测响应包中是否包含请求包中的特定字符串,得到第二检测结果;其中,数据包包括请求包和响应包;
若所述第一检测结果和/或所述第二检测结果存在判定所述注入攻击成功的检测结果,则所述内容检测结果为所述注入攻击成功。
可选的,若所述关键字符串检测子引擎包含报错检测子引擎和联合注入检测子引擎,利用所述关键字符串检测子引擎检测所述响应包中是否包含请求包中的特定字符串,得到第二检测结果包括:
若所述关键字符串检测子引擎包含报错检测子引擎,利用所述报错检测子引擎检测所述响应包中是否包含所述请求包中的随机字符串,得到第一字符串检测结果;
若所述关键字符串检测子引擎包含联合注入检测子引擎,利用所述联合注入检测子引擎检测所述响应包的UNION关键字,得到第二字符串检测结果;
若所述第一字符串检测结果和/或所述第二字符串检测结果存在判定所述注入攻击成功的检测结果,则所述第二检测结果为所述注入攻击成功。
可选的,则利用所述报错检测子引擎检测所述响应包中是否包含所述请求包中的随机字符串,得到第一字符串检测结果包括:
从所述请求包中提取随机字符串;
利用所述报错检测子引擎判断所述响应包是否包含所述随机字符串;
若是,所述第一字符串检测结果为判定所述注入攻击成功;
若否,所述第一字符串检测结果为判定所述注入攻击失败。
可选的,利用所述联合注入检测子引擎检测所述响应包的UNION关键字,得到第二字符串检测结果包括:
从所述请求包中提取拼接字符串;其中,所述拼接字符串采用预设拼接方式构造;
利用所述联合注入检测子引擎判断所述数据包的响应数据中是否存在包含所述拼接字符串的显位;
若是,所述第二字符串检测结果为判定所述注入攻击成功;
若否,所述第二字符串检测结果为判定所述注入攻击失败。
可选的,所述时间检测引擎为时间盲注攻击检测引擎,则调用时间检测引擎检测所述数据包包括:
判断所述注入攻击的响应时延是否超出预设响应时延阈值;
若是,所述时间检测结果为判定所述注入攻击成功;
若否,所述时间检测结果为判定所述注入攻击失败。
可选的,还包括:
若所述注入攻击成功,确认所述注入攻击对应的通信数据。
本申请还提供一种注入攻击的攻击成功检测系统,包括:
获取模块,用于获取疑似攻击成功的数据包;
判断模块,用于调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功。
本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的方法的步骤。
本申请还提供一种电子设备,包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如上所述的方法的步骤。
本申请提供一种注入攻击的攻击成功检测方法,包括:获取疑似攻击成功的数据包;调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功。
本申请通过调用攻击成功检测引擎对注入攻击进行内容检测和/或时间检测,以期确认注入攻击对应的通信数据,从而检测出攻击成功时的注入行为,有助于排查未实际攻击成功的注入攻击,降低排查和维护成本。同时根据注入攻击是否成功的结果可以对注入攻击检测引擎优化,以避免由于注入攻击检测误报造成的无效告警。
本申请还提供一种注入攻击的攻击成功检测系统、计算机可读存储介质和电子设备,具有上述有益效果,此处不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种注入攻击的攻击成功检测方法的流程图;
图2为本申请实施例所提供的调用攻击成功检测引擎检测数据包的流程图;
图3为本申请实施例所提供的一种注入攻击的攻击成功检测对应的引擎关系示意图;
图4为本申请实施例所提供的一种注入攻击的攻击成功检测系统结构示意图:
图5为本申请实施例所提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
注入攻击是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL(StructuredQuery Language,结构化查询语句)语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
参见图1,图1为本申请实施例所提供的一种注入攻击的攻击成功检测方法的流程图,该方法包括:
S101:获取疑似攻击成功的数据包;
S102:调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功。
本实施例在获取疑似攻击成功的数据包后,通过调用攻击成功检测引擎检测所述数据包,并得到相应的检测结果,根据检测结果即可判断注入攻击是否攻击成功。本实施例在此对于采用何种攻击成功检测引擎不作具体限定。
作为本实施例的一种优选执行过程,在获取到疑似攻击成功的数据包后,还可以先判断疑似攻击成功的数据包是否确实为注入攻击,即该数据包是否包含额外的SQL语句,可以通过提取的规则及词法分析有效的识别注入攻击流量。在此对于如何检测注入攻击不作限定,可以采用渗透测试工具进行检测,或者其他注入攻击检测引擎,均可以实现对注入攻击的检测。当然,若检测出数据包并非为注入攻击,自然无需对其是否注入成功进行检测,即无需执行后续步骤。
本申请实施例通过调用攻击成功检测引擎对注入攻击进行攻击是否成功的检测,以期确认注入攻击对应的通信数据,从而检测出攻击成功时SQL注入行为,有助于排查未实际攻击成功的注入攻击,降低排查和维护成本。同时根据注入攻击是否成功的结果可以对注入攻击检测引擎优化,以避免由于注入攻击检测误报造成的无效告警。
在本实施例的基础上,作为更优选的实施例,无论采用何种攻击成功检测引擎进行检测,均可以在确认注入攻击成功后对注入攻击对应的通信数据进行确认。所确认的通信数据可以用于通信数据的获取或者根据通信数据生成相应的日志等等。当然也可以在确认注入攻击成功后,直接获取注入攻击对应的通信数据。在此对于通信数据的具体内容不作限定,其可以包括注入攻击的请求数据、响应数据和URL数据等,以便于确定该注入攻击的攻击目标、所获取数据等信息,用于减少注入攻击的攻击损失,也可以根据获取的通信数据对注入攻击进行检测,以期提高注入攻击的检测精度。此外通信数据还可以用于指导注入攻击防范。例如,可以根据所述通信数据生成攻击成功日志,攻击成功日志可用于指导注入攻击检测。
基于上述实施例,作为优选的实施例,参见图2,本实施例针对于上一实施例中的对数据包进行内容检测和/或时间检测的过程进行详细描述,该攻击成功检测引擎可以包括内容检测引擎和时间检测引擎,此时执行步骤S102用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功时可以包括如下步骤:
S1021:调用内容检测引擎对数据包进行数据包关键字检测,得到内容检测结果;
和/或,
S1022:调用时间检测引擎对数据包的响应时延进行检测,得到时间检测结果;
S1023:根据内容检测结果和/或时间检测结果判断注入攻击是否成功。
本实施例针对于攻击成功检测引擎作进一步描述,即分别采用内容检测引擎和时间检测引擎对注入攻击进行检测,可以看出内容检测引擎和时间检测引擎为并列关系,且二者可以分别得到各自的检测结果。将注入攻击所对应请求数据或响应数据从攻击内容这一维度进行检测,对注入攻击的响应时延从时间角度进行检测。若二者均执行,则分别基于内容和时间维度对注入攻击是否成功进行判断,能够有效提高注入攻击是否成功的判断成功率。
此外,调用内容检测引擎和调用时间检测引擎二者之间并无既定的执行顺序,其可以同时执行,也可以存在先后顺序,其无论何种先后顺序对本实施例产生的技术效果并无任何影响。
下文针对内容检测引擎进行详细说明,需要注意的是,下文所述的内容检测引擎仅为本实施例提供的几种优选的实施过程,本领域技术人员可以在本实施例公开的几种内容检测引擎的基础上,采用其他相似或者可以起到相同作用的内容检测方式,也应在本申请的保护范围内。
优选的,内容检测引擎包括关键字检测子引擎和关键字符串检测子引擎,则对应的,执行调用内容检测引擎检测数据包,得到内容检测结果时可以包括如下步骤:
S201:若内容检测引擎包括关键字检测子引擎,利用关键字检测子引擎检测数据包是否包含预设的关键字特征,得到第一检测结果;
S202:若所述内容检测引擎包括关键字符串检测子引擎,利用所述关键字符串检测子引擎检测响应包中是否包含请求包中的特定字符串,得到第二检测结果;其中,数据包包括请求包和响应包;
S203:若第一检测结果和/或第二检测结果存在判定注入攻击成功的检测结果,则内容检测结果为注入攻击成功。
需要注意的是,S201至S202为步骤S1021的一种优选的具体执行过程。即分别采用关键字检测子引擎和关键字符串检测子引擎对注入攻击进行内容检测,只要存在任意子引擎确认注入攻击成功,则表明注入攻击成功,即各子引擎的检测结果的相与结果作为内容检测引擎的检测结果。需要说明的是,步骤S202中需要检测响应包中是否包含请求包中的特定字符串,该特定字符串指源于请求包中的字符串,可以通过对请求包进行检测,从而得到具体一定特征的特定字符串,且该特定字符串通常由注入攻击方进行配置,可能区别于常规数据格式或内容,或者采用正常数据格式但包含与正常数据包请求无关的内容。当然,在此对于特定字符串的格式不作具体限定。
但需要说明的是,步骤S201和步骤S202相互独立,且仅针对内容检测引擎的部分限定。例如S201中描述了当内容检测引擎包含关键字检测子引擎时的执行过程,而该过程仅用于表示内容检测引擎在包括关键字检测子引擎时的相应执行过程,且此时内容检测引擎同样可以包含关键字符串子引擎等其他子引擎,只不过在包含其他子引擎时需要执行其他子引擎对应的执行过程,且内容检测引擎中各子引擎的检测结果相互独立。
也就是说,在本实施例的具体应用过程中,并非必须同时包含关键字检测子引擎和关键字符串检测子引擎,可以采用其中任意一种。
进一步的,关键字符串检测子引擎可以包括报错检测子引擎和联合注入检测子引擎,则步骤S202可以包括如下步骤:
S2021:若所述关键字符串检测子引擎包含报错检测子引擎,利用所述报错检测子引擎检测所述响应包中是否包含所述请求包中的随机字符串,得到第一字符串检测结果;
S2022:若所述关键字符串检测子引擎包含联合注入检测子引擎,利用所述联合注入检测子引擎检测所述响应包的UNION关键字,得到第二字符串检测结果;
S2023:若第一字符串检测结果和/或第二字符串检测结果存在判定注入攻击成功的检测结果,则第二检测结果为注入攻击成功。
由本实施例可以看出,在采用关键字符串检测子引擎进行字符串检测时,其同样可以采用多种方式,本实施例以报错检测子引擎和联合注入检测子引擎为例进行说明,且报错检测子引擎和联合注入检测子引擎同样为并列的执行关系,上述实施例中步骤S2021和步骤S2022的序号顺序并不构成对二者执行顺序的限定。其可以同时执行,也可以存在先后顺序,其无论何种先后顺序对本实施例产生的技术效果并无任何影响。
下文针对上文公开的关键字检测子引擎、以及关键字符换检测子引擎中的报错检测子引擎和联合注入检测子引擎的具体应用过程进行详细说明:
1、采用关键字检测子引擎时,其检测过程如下:
S301:利用SQLMAP工具确定关键字特征;
S302:利用关键字检测子引擎判断数据包或数据包的后续数据包中是否包含关键字特征;若是,进入S2013;
S303:第一检测结果为判定注入攻击成功。
SQLMAP工具是一种开源渗透测试工具,可以自动检测和利用SQL注入缺陷以及接管数据库服务器。它提供了一个强大的检测引擎,许多用于终极渗透测试的小功能,以及从数据库指纹、从数据库获取数据到访问底层文件系统和通过带外连接在操作系统上执行命令的广泛切换。
而关键字通常包含在注入攻击已经获取得到数据库信息后,再次发送的请求数据中。即注入攻击先发送包含SQL语句的请求包,成功注入后,获取得到被攻击设备的数据信息,包括数据库等信息,此后再次根据获取得到的数据库信息选择需要攻击获取的信息并再次发送请求包,此时该请求包中包含关键字特征。因此,可以通过对数据包检测相应的关键字特征,一旦发现数据包中包含关键字特征,说明此前已经存在注入攻击成功,并正在恶意获取数据。
采用关键字检测子引擎时重点针对与数据包中的请求包,但同样可以针对于响应包中的内容进行关键字检测。
2、采用报错检测子引擎时,其检测过程如下:
S401:从请求包中提取随机字符串;
S402:利用所述报错检测子引擎判断响应包是否包含随机字符串;若是,进入S403;若否,进入S404;
S403:第二检测结果为判定注入攻击成功;
S404:第二检测结果为判定注入攻击失败。
报错检测子引擎旨在从数据包中提取随机字符串。具体的,同样可以借助于SQLMAP工具,分析SQLMAP工具的报错注入过程,其在注入攻击成功时所得到的响应包中的数据由一对随机字符串包裹,且该随机字符串可以从注入攻击的请求包提取。
则采用报错检测子引擎时,需要先提取随机字符串,并对响应包作随机字符串的匹配检测,一旦检测到包裹数据的该随机字符串,则可以确认注入攻击成功。
3、采用联合注入检测子引擎时,其检测过程如下:
S501:从数据包的请求数据中提取拼接字符串;其中,拼接字符串采用预设拼接方式构造;
S502:利用联合注入检测子引擎判断数据包的响应数据中是否存在包含拼接字符串的显位;若是,进入S503;若否,进入S604;
S503:若是,第二字符串检测结果为判定注入攻击成功;
S504:若否,第二字符串检测结果为判定注入攻击失败。
当Web应用程序存在注入点或者诸如漏洞时,该Web应用程序易受到注入攻击。采用联合注入检测子引擎进行检测时,重点在于获取显位。在一个网站的正常页面,执行SQL语句查询数据库中的数据,客户端将响应数据展示在页面中,则响应数据的展示位置即为显位。因此可以提取UNION关键字,并将数据包的响应数据中作为回显进行UNION关键字查询,以判断注入攻击是否成功,若回显中包含UNION关键字,则说明注入攻击成功。该拼接字符串由SQLMAP采用预设拼接方式构造,在此对于具体的拼接方式不作限定,具体可由本领域技术人员利用UNION函数进行拼接。
容易理解的是,采用上述任一种子引擎,或者任意两种子引擎相结合,或是三种子引擎相结合,在未包含关键字、随机字符串或UNION关键字时,并不能直接确认注入失败。由于注入攻击可能采用任一种注入攻击方式,也可能多种注入攻击方式相结合。因此,即使上述所有内容检测子引擎的检测结果均无法确认注入攻击成功,也不能轻易认为注入攻击失败。此时还可以调用时间检测引擎进行注入攻击是否成功的判定。
下文针对上文步骤S1022:调用时间检测引擎对数据包的响应时延进行检测,得到时间检测结果的过程进行详细描述,即调用时间检测引擎检测数据包,得到时间检测结果时,可以采用时间盲注攻击检测引擎,其具体包括如下步骤:
S601:判断所述注入攻击的响应时延是否大于响应时延阈值;若是,进入S602;若否,进入S603;
S602:所述时间检测结果为判定所述注入攻击成功;
S603:所述时间检测结果为判定所述注入攻击失败。
时间盲注指当注入攻击时,页面没有回显时采用的一种注入手法。以SQL注入攻击为例,其提交存在时间延时的SQL语句,通过SQL注入后的响应时间长短判断获取数据库信息是否成功。一般情况下,时间盲注攻击的时延相对于正常请求响应的时延的差别是十分明显的,SQLMAP也是通过时延来判断注入是否成功,以获取数据库信息。
在采用时间盲注攻击检测引擎时,默认在执行S301前需要先确定响应时延阈值。即获取一般正常情况下的响应时延的阈值,该响应时延通常指响应数据的时间与请求数据的时间的差值,当然在其他应用场景时,响应时延也可以指代时间差值。在此对于响应时延阈值的具体确认方式不作限定,例如可以通过多组正常的SQL语句的请求、响应时间进过数学计算得到,例如可以采用响应时延的平均值加标准差作为响应时延阈值。
当采用时间盲注攻击成功检测时,获取注入攻击对应的响应时延。若响应时延大于最大响应时延阈值,则认为注入攻击成功。
则结合上述各实施例,本申请所提供的一种注入攻击的攻击成功检测所包含的各检测引擎和检测子引擎可以如图3所示,图3为本申请实施例所提供的一种注入攻击的攻击成功检测对应的引擎关系示意图,图3中所包含的任意引擎或者子引擎检测到注入攻击成功,则视为注入攻击攻击成功。
参见图4,图4为本申请实施例所提供的一种注入攻击的攻击成功检测系统结构示意图,本申请还提供一种注入攻击的攻击成功检测系统,包括:
获取模块,用于获取疑似攻击成功的数据包;
判断模块,用于调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功。
基于上述实施例,作为优选的实施例,若所述攻击成功检测引擎包括内容检测引擎和时间检测引擎,判断模块包括:
内容检测子模块和/或时间检测子模块;内容检测子模块用于调用所述内容检测引擎对所述数据包进行数据包关键字检测,得到内容检测结果;时间检测子模块用于调用所述时间检测引擎对所述数据包的响应时延进行检测,得到时间检测结果;
结果判定子模块,用于根据所述内容检测子模块的内容检测结果和/或时间检测子模块的时间检测结果判断注入攻击是否成功。
基于上述实施例,作为优选的实施例,若所述内容检测引擎包括关键字检测子引擎、报错检测子引擎和联合注入检测子引擎中的至少一种,内容检测子模块包括:
关键字检测单元,用于若所述内容检测引擎包括关键字检测子引擎,利用所述关键字检测子引擎检测所述数据包是否包含预设的关键字特征,得到第一检测结果;
关键字符串检测单元,用于若所述内容检测引擎包括关键字符串检测子引擎,利用所述关键字符串检测子引擎检测响应包中是否包含请求包中的特定字符串,得到第二检测结果;其中,所述数据包包括所述请求包和所述响应包;
判断单元,用于所述第一检测结果和/或所述第二检测结果存在判定所述注入攻击成功的检测结果时,确认所述内容检测结果为所述注入攻击成功。
基于上述实施例,作为优选的实施例,若所述关键字符串检测子引擎包含报错检测子引擎和/或联合注入检测子引擎,关键字符串检测单元包括:
报错检测子单元,用于若所述关键字符串检测子引擎包含报错检测子引擎,利用所述报错检测子引擎检测所述响应包中是否包含所述请求包中的随机字符串,得到第一字符串检测结果;
联合注入检测子单元,用于若所述关键字符串检测子引擎包含联合注入检测子引擎,利用所述联合注入检测子引擎检测所述数据包的UNION关键字,得到第二字符串检测结果;
判断子单元,用于若所述第一字符串检测结果和/或所述第二字符串检测结果存在判定所述注入攻击成功的检测结果,则所述第二检测结果为所述注入攻击成功。
基于上述实施例,作为优选的实施例,报错检测子单元为用于执行如下步骤的单元:
从所述请求包中提取随机字符串;
利用所述报错检测子引擎判断所述响应包是否包含所述随机字符串;
若是,所述第一字符串检测结果为判定所述注入攻击成功;
若否,所述第一字符串检测结果为判定所述注入攻击失败。
基于上述实施例,作为优选的实施例,联合注入检测子单元为用于执行如下步骤的单元:
从所述数据包的请求数据中提取拼接字符串;其中,所述拼接字符串采用预设拼接方式构造;
利用所述联合注入检测子引擎判断所述数据包的响应数据中是否存在包含所述拼接字符串的显位;
若是,所述第二字符串检测结果为判定所述注入攻击成功;
若否,所述第二字符串检测结果为判定所述注入攻击失败。
基于上述实施例,作为优选的实施例,所述时间检测单元包括:
时间判断子单元,用于判断所述注入攻击的响应时延是否大于响应时延阈值;
时间判定子单元,用于所述时间判断单元判断结果为是时,所述时间检测结果为判定所述注入攻击成功;所述时间判断单元判断结果为否时,所述时间检测结果为判定所述注入攻击失败。
基于上述实施例,作为优选的实施例,还可以包括:
数据获取模块,用于若所述注入攻击成功,若所述注入攻击成功,确认所述注入攻击对应的通信数据。
基于上述实施例,作为优选的实施例,还可以包括:
日志生成模块,用于根据所述通信数据生成攻击成功日志;所述通信数据包括请求数据、响应数据和URL数据,所述攻击成功日志用于指导注入攻击检测。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的注入攻击的攻击成功检测方法的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的注入攻击的攻击成功检测方法的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。请参见图4,图4为本申请实施例所提供的一种电子设备的结构示意图,本实施例的电子设备可以包括:处理器2101和存储器2102。
可选的,该电子设备还可以包括通信接口2103、输入单元2104和显示器2105和通信总线2106。
处理器2101、存储器2102、通信接口2103、输入单元2104、显示器2105、均通过通信总线2106完成相互间的通信。
在本申请实施例中,该处理器2101,可以为中央处理器(Central ProcessingUnit,CPU),特定应用集成电路,数字信号处理器、现成可编程门阵列或者其他可编程逻辑器件等。
该处理器可以调用存储器2102中存储的程序。具体的,处理器可以执行上文的实施例中电子设备所执行的操作。
存储器2102中用于存放一个或者一个以上程序,程序可以包括程序代码,所述程序代码包括计算机操作指令,在本申请实施例中,该存储器中至少存储有用于实现以下功能的程序:
获取疑似攻击成功的数据包;
调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功。
在一种可能的实现方式中,该存储器2102可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、以及至少一个功能(比如话题检测功能等)所需的应用程序等;存储数据区可存储根据计算机的使用过程中所创建的数据。
此外,存储器2102可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
该通信接口2103可以为通信模块的接口,如GSM模块的接口。
本申请还可以包括显示器2105和输入单元2104等等。
图5所示的电子设备的结构并不构成对本申请实施例中电子设备的限定,在实际应用中电子设备可以包括比图5所示的更多或更少的部件,或者组合某些部件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例提供的系统而言,由于其与实施例提供的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (11)
1.一种攻击成功检测方法,其特征在于,包括:
获取疑似攻击成功的数据包;
调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功。
2.根据权利要求1所述的攻击成功检测方法,其特征在于,所述攻击成功检测引擎包括内容检测引擎和时间检测引擎,调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功包括:
调用所述内容检测引擎对所述数据包进行数据包关键字检测,得到内容检测结果;
和/或,
调用所述时间检测引擎对所述数据包的响应时延进行检测,得到时间检测结果;
根据所述内容检测结果和/或所述时间检测结果判断所述注入攻击是否成功。
3.根据权利要求2所述的攻击成功检测方法,其特征在于,所述内容检测引擎包括关键字检测子引擎和关键字符串检测子引擎,则调用所述内容检测引擎对所述数据包进行关键字检测,得到内容检测结果包括:
若所述内容检测引擎包括关键字检测子引擎,利用所述关键字检测子引擎检测所述数据包是否包含预设的关键字特征,得到第一检测结果;
若所述内容检测引擎包括关键字符串检测子引擎,利用所述关键字符串检测子引擎检测响应包中是否包含请求包中的特定字符串,得到第二检测结果;其中,数据包包括请求包和响应包;
若所述第一检测结果和/或所述第二检测结果判定所述注入攻击成功的检测结果,则所述内容检测结果为所述注入攻击成功。
4.根据权利要求3所述的攻击成功检测方法,其特征在于,若所述关键字符串检测子引擎包含报错检测子引擎和联合注入检测子引擎,利用所述关键字符串检测子引擎检测所述响应包中是否包含请求包中的特定字符串,得到第二检测结果包括:
若所述关键字符串检测子引擎包含报错检测子引擎,利用所述报错检测子引擎检测所述响应包中是否包含所述请求包中的随机字符串,得到第一字符串检测结果;
若所述关键字符串检测子引擎包含联合注入检测子引擎,利用所述联合注入检测子引擎检测所述响应包的UNION关键字,得到第二字符串检测结果;
若所述第一字符串检测结果和/或所述第二字符串检测结果存在判定所述注入攻击成功的检测结果,则所述第二检测结果为所述注入攻击成功。
5.根据权利要求4所述的攻击成功检测方法,其特征在于,则利用所述报错检测子引擎检测所述响应包中是否包含所述请求包中的随机字符串,得到第一字符串检测结果包括:
从所述请求包中提取随机字符串;
利用所述报错检测子引擎判断所述响应包是否包含所述随机字符串;
若是,所述第一字符串检测结果为判定所述注入攻击成功;
若否,所述第一字符串检测结果为判定所述注入攻击失败。
6.根据权利要求4所述的攻击成功检测方法,其特征在于,利用所述联合注入检测子引擎检测所述响应包的UNION关键字,得到第二字符串检测结果包括:
从所述请求包中提取拼接字符串;其中,所述拼接字符串采用预设拼接方式构造;
利用所述联合注入检测子引擎判断所述数据包的响应数据中是否存在包含所述拼接字符串的显位;
若是,所述第二字符串检测结果为判定所述注入攻击成功;
若否,所述第二字符串检测结果为判定所述注入攻击失败。
7.根据权利要求2所述的攻击成功检测方法,其特征在于,所述时间检测引擎为时间盲注攻击检测引擎,则调用时间检测引擎检测所述数据包包括:
判断所述注入攻击的响应时延是否超出预设响应时延阈值;
若是,所述时间检测结果为判定所述注入攻击成功;
若否,所述时间检测结果为判定所述注入攻击失败。
8.根据权利要求1所述的攻击成功检测方法,其特征在于,还包括:
若所述注入攻击成功,确认所述注入攻击对应的通信数据。
9.一种注入攻击的攻击成功检测系统,其特征在于,包括:
获取模块,用于获取疑似攻击成功的数据包;
判断模块,用于调用攻击成功检测引擎对所述数据包进行内容检测和/或时间检测,并根据检测结果判断所述注入攻击是否成功。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-8任一项所述的注入攻击的攻击成功检测方法的步骤。
11.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1-8任一项所述的注入攻击的攻击成功检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110350005.7A CN113055399A (zh) | 2021-03-31 | 2021-03-31 | 注入攻击的攻击成功检测方法、系统及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110350005.7A CN113055399A (zh) | 2021-03-31 | 2021-03-31 | 注入攻击的攻击成功检测方法、系统及相关装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113055399A true CN113055399A (zh) | 2021-06-29 |
Family
ID=76516698
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110350005.7A Pending CN113055399A (zh) | 2021-03-31 | 2021-03-31 | 注入攻击的攻击成功检测方法、系统及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113055399A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114244558A (zh) * | 2021-11-09 | 2022-03-25 | 上海浦东发展银行股份有限公司 | 注入攻击检测方法、装置、计算机设备和可读存储介质 |
CN114499968A (zh) * | 2021-12-27 | 2022-05-13 | 奇安信科技集团股份有限公司 | 一种xss攻击检测方法及装置 |
CN115314255A (zh) * | 2022-07-11 | 2022-11-08 | 深信服科技股份有限公司 | 攻击结果的检测方法、装置、计算机设备和存储介质 |
CN117118752A (zh) * | 2023-10-23 | 2023-11-24 | 山东爱书人家庭教育科技有限公司 | 一种信息抗攻击的方法、系统、装置及介质 |
CN117527354A (zh) * | 2023-11-08 | 2024-02-06 | 北京微步在线科技有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106940778A (zh) * | 2017-03-10 | 2017-07-11 | 华东师范大学 | 一种基于gpu并行字典破解托库中的加密数据方法 |
CN108521392A (zh) * | 2018-01-25 | 2018-09-11 | 华东师范大学 | 一种双向流量的sql注入攻击检测方法 |
CN108959926A (zh) * | 2018-06-27 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法 |
CN111079148A (zh) * | 2019-12-24 | 2020-04-28 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法、装置、设备及存储介质 |
-
2021
- 2021-03-31 CN CN202110350005.7A patent/CN113055399A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106940778A (zh) * | 2017-03-10 | 2017-07-11 | 华东师范大学 | 一种基于gpu并行字典破解托库中的加密数据方法 |
CN108521392A (zh) * | 2018-01-25 | 2018-09-11 | 华东师范大学 | 一种双向流量的sql注入攻击检测方法 |
CN108959926A (zh) * | 2018-06-27 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法 |
CN111079148A (zh) * | 2019-12-24 | 2020-04-28 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法、装置、设备及存储介质 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114244558A (zh) * | 2021-11-09 | 2022-03-25 | 上海浦东发展银行股份有限公司 | 注入攻击检测方法、装置、计算机设备和可读存储介质 |
CN114244558B (zh) * | 2021-11-09 | 2023-10-27 | 上海浦东发展银行股份有限公司 | 注入攻击检测方法、装置、计算机设备和可读存储介质 |
CN114499968A (zh) * | 2021-12-27 | 2022-05-13 | 奇安信科技集团股份有限公司 | 一种xss攻击检测方法及装置 |
CN115314255A (zh) * | 2022-07-11 | 2022-11-08 | 深信服科技股份有限公司 | 攻击结果的检测方法、装置、计算机设备和存储介质 |
CN115314255B (zh) * | 2022-07-11 | 2023-12-29 | 深信服科技股份有限公司 | 攻击结果的检测方法、装置、计算机设备和存储介质 |
CN117118752A (zh) * | 2023-10-23 | 2023-11-24 | 山东爱书人家庭教育科技有限公司 | 一种信息抗攻击的方法、系统、装置及介质 |
CN117118752B (zh) * | 2023-10-23 | 2024-01-09 | 山东爱书人家庭教育科技有限公司 | 一种信息抗攻击的方法、系统、装置及介质 |
CN117527354A (zh) * | 2023-11-08 | 2024-02-06 | 北京微步在线科技有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11038917B2 (en) | System and methods for building statistical models of malicious elements of web pages | |
CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
CN113055399A (zh) | 注入攻击的攻击成功检测方法、系统及相关装置 | |
CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
KR100894331B1 (ko) | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 | |
CN106357696A (zh) | 一种sql注入攻击检测方法及系统 | |
KR20080100204A (ko) | 피싱 탐지 클라이언트 컴포넌트 및 피싱 공격 탐지 방법 | |
US10291640B2 (en) | System and method for detecting anomalous elements of web pages | |
CN111628990A (zh) | 识别攻击的方法、装置和服务器 | |
CN111953638A (zh) | 网络攻击行为检测方法、装置及可读存储介质 | |
US11550920B2 (en) | Determination apparatus, determination method, and determination program | |
CN110457900B (zh) | 一种网站监测方法、装置、设备及可读存储介质 | |
CN113127862A (zh) | 一种xxe攻击检测方法、装置、电子设备及存储介质 | |
EP3306511B1 (en) | System and methods of detecting malicious elements of web pages | |
RU2702081C2 (ru) | Система и способ обнаружения модификации веб-ресурса | |
EP3293661A1 (en) | System and method for detecting anomalous elements of web pages | |
KR101572239B1 (ko) | 사용자 브라우저 영역에서 악성 스크립트 탐지 및 실행 방지 장치 및 시스템 | |
US8627099B2 (en) | System, method and computer program product for removing null values during scanning | |
CN113886812A (zh) | 检测防护方法、系统、计算机设备及可读存储介质 | |
CN114741692A (zh) | 一种后门流量识别的方法、系统、设备及可读存储介质 | |
CN113992447B (zh) | 一种sql注入告警处理方法及装置 | |
CN114760078B (zh) | 一种防止恶意篡改页面请求参数的方法和系统 | |
CN113037724B (zh) | 一种检测非法访问的方法及装置 | |
CN115225341A (zh) | 一种网站访问方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210629 |