CN113395237A - 攻击检测方法及装置、计算机可存储介质 - Google Patents
攻击检测方法及装置、计算机可存储介质 Download PDFInfo
- Publication number
- CN113395237A CN113395237A CN202010171887.6A CN202010171887A CN113395237A CN 113395237 A CN113395237 A CN 113395237A CN 202010171887 A CN202010171887 A CN 202010171887A CN 113395237 A CN113395237 A CN 113395237A
- Authority
- CN
- China
- Prior art keywords
- attack
- detection result
- detection
- malicious
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 368
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims description 65
- 230000004927 fusion Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 3
- 238000010606 normalization Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 21
- 230000006870 function Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及攻击检测方法及装置、计算机可存储介质,涉及网络安全领域。攻击检测方法包括:利用第一规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第一检测结果,所述第一规则链包括多个不同的正则匹配型规则;利用第二规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第二检测结果,所述第二规则链包括多个不同的算法型规则;融合所述第一检测结果和所述第二检测结果,得到攻击检测结果。根据本公开,提高了攻击检测的准确率。
Description
技术领域
本公开涉及网络安全领域,特别涉及攻击检测方法及装置、计算机可存储介质。
背景技术
随着互联网的高速发展,web应用越来越丰富,而web服务器面临的安全威胁也逐渐增多。WAF(Web Application Firewall,Web应用防火墙)通过执行一系列针对HTTP(HyperText Transfer Protocol,超文本传输协议)、HTTPS(Hyper Text TransferProtocol over SecureSocket Layer,超文本传输安全协议)的安全策略,专门对web应用提供保护的一款产品。WAF基于规则,可以提供各种web应用的安全规则,WAF生产商负责维护由这些安全规则形成的规则库,并实时更新,用户按照这些安全规则,可以对web应用进行全方面的保护。
相关技术中,利用单一的正则匹配规则进行攻击检测。
发明内容
发明人认为:相关技术,利用单一的正则匹配规则进行攻击检测,攻击者可以利用多重编码和变化攻击载荷等方式绕过攻击检测,造成较高的漏报率和误报率,攻击检测的准确率低。
针对上述技术问题,本公开提出了一种解决方案,提高了攻击检测的准确率。
根据本公开的第一方面,提供了一种攻击检测方法,包括:利用第一规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第一检测结果,所述第一规则链包括多个不同的正则匹配型规则;利用第二规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第二检测结果,所述第二规则链包括多个不同的算法型规则;融合所述第一检测结果和所述第二检测结果,得到攻击检测结果。
在一些实施例中,利用第一规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第一检测结果包括:分别利用与攻击类型对应的多个不同的正则匹配型规则,检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到多个第一中间检测结果;融合所述多个第一中间检测结果,得到所述第一检测结果。
在一些实施例中,融合所述多个第一中间检测结果,得到所述第一检测结果包括:根据所述多个第一中间检测结果和每个正则匹配型规则的第一规则权重,确定所述第一检测结果,各个第一规则权重之和等于所述第一规则链的第一规则链权重。
在一些实施例中,所述第一中间检测结果为存在恶意攻击的评分或者不存在恶意攻击的评分,根据所述多个第一中间检测结果和每个正则匹配型规则的第一规则权重,确定所述第一检测结果包括:在所述多个第一中间检测结果包括至少一个存在恶意攻击的评分的情况下,根据每个存在恶意攻击的评分与相应的第一规则权重的乘积之和,确定所述第一检测结果;在所述多个第一中间检测结果不包括存在恶意攻击的评分的情况下,根据每个不存在恶意攻击的评分与第一规则权重的乘积之和,确定所述第一检测结果。
在一些实施例中,利用第二规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第二检测结果包括:分别利用与攻击类型对应的多个不同的算法型规则,检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到多个第二中间检测结果;融合所述多个第二中间检测结果,得到所述第二检测结果。
在一些实施例中,融合所述多个第二中间检测结果,得到所述第二检测结果包括:根据所述多个第二中间检测结果和每个算法型规则的第二规则权重,确定所述第二检测结果,各个第二规则权重之和等于所述第二规则链的第二规则链权重。
在一些实施例中,所述第二中间检测结果为存在恶意攻击的概率,根据所述多个第二中间检测结果和每个算法型规则的第二规则权重,确定所述第二检测结果包括:根据存在恶意攻击的概率与相应的第二规则权重的乘积之和,确定所述第二检测结果。
在一些实施例中,融合所述第一检测结果和所述第二检测结果,得到攻击检测结果包括:根据所述第一检测结果、所述第二检测结果、所述第一规则链的第一规则链权重和所述第二规则链的第二规则链权重,确定所述攻击检测结果。
在一些实施例中,根据所述第一检测结果、所述第二检测结果、所述第一规则链的第一规则链权重和所述第二规则链的第二规则链权重,确定所述攻击检测结果包括:对所述第一检测结果进行归一化处理;计算归一化处理后的第一检测结果与所述第一规则链的权重的第一乘积以及所述第二检测结果与所述第二规则链的权重的第二乘积;根据所述第一乘积与所述第二乘积的和,确定存在恶意攻击的概率;根据所确定的存在恶意攻击的概率与阈值的大小关系,确定所述攻击检测结果。在一些实施例中,根据所确定的存在恶意攻击的概率与阈值的大小关系,确定所述攻击检测结果包括:在所确定的存在恶意攻击的概率大于或等于所述阈值的情况下,确定所述攻击检测结果为存在恶意攻击;在所确定的存在恶意攻击的概率小于所述阈值的情况下,确定所述攻击检测结果为不存在恶意攻击。
在一些实施例中,检测所述客户端是否存在与所述攻击类型对应的恶意攻击包括:接收来自客户端的请求报文,所述请求报文包括请求头内容和请求体内容;检测所述请求头内容是否存在与所述攻击类型对应的恶意攻击;在所述请求头内容存在与所述攻击类型对应的恶意攻击的情况下,停止检测;在所述请求头内容不存在与所述攻击类型对应的恶意攻击的情况下,检测所述请求体内容是否存在与所述攻击类型对应的恶意攻击;在所述请求体内容存在与所述攻击类型对应的恶意攻击的情况下,停止所述检测。
在一些实施例中,检测所述客户端是否存在与所述攻击类型对应的恶意攻击还包括:在所述请求体内容不存在与所述攻击类型对应的恶意攻击的情况下,将所述请求报文转发到服务器;接收来自所述服务器的响应报文,所述响应报文包括响应头内容和响应体内容,所述响应报文与所述请求报文相对应;检测所述响应头内容是否存在与所述攻击类型对应的恶意攻击;在所述响应头内容存在与所述攻击类型对应的恶意攻击的情况下,停止检测;在所述响应头内容不存在与所述攻击类型对应的恶意攻击的情况下,检测所述响应体内容是否存在与所述攻击类型对应的恶意攻击。
在一些实施例中,在所述请求头内容、所述请求体内容、所述响应头内容或所述响应体内容存在与所述攻击类型对应的恶意攻击的情况下,所述客户端存在与所述攻击类型对应的恶意攻击,所述请求头内容、所述请求体内容、所述响应头内容和所述响应体内容分别对应四个检测阶段,检测阶段的状态包括已检测状态,检测所述客户端是否存在与所述攻击类型对应的恶意攻击还包括:在每个处于已检测状态的检测阶段,将攻击检测结果保存到指定内存;在检测到所述客户端存在与所述攻击类型对应的恶意攻击的情况下,从所述指定内存获取各个处于已检测状态的检测阶段的攻击检测结果,并写入指定磁盘的指定日志文件。
在一些实施例中,攻击检测方法还包括:将所述攻击检测结果,发送到所述客户端。
在一些实施例中,所述攻击检测方法由Web应用防火墙WAF引擎执行。
根据本公开第二方面,提供了一种攻击检测装置,包括:第一检测模块,被配置为利用第一规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第一检测结果,所述第一规则链包括多个不同的正则匹配型规则;第二检测模块,被配置为利用第二规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第二检测结果,所述第二规则链包括多个不同的算法型规则;融合模块,被配置为融合所述第一检测结果和所述第二检测结果,得到攻击检测结果。
根据本公开第三方面,提供了攻击检测装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令,执行上述任一实施例所述的攻击检测方法。
根据本公开的第四方面,一种计算机可存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述任一实施例所述的攻击检测方法。
在上述实施例中,提高了攻击检测的准确率。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1示出根据本公开一些实施例的攻击检测方法的流程图;
图2示出根据本公开一些实施例的第一规则链的示意图;
图3示出根据本公开一些实施例的第二规则链的示意图;
图4示出根据本公开一些实施例的检测客户端是否存在与攻击类型对应的恶意攻击的流程图;
图5示出根据本公开一些实施例的分四个检测阶段对客户端进行攻击检测的示意图;
图6示出根据本公开一些实施例的攻击检测装置的框图;
图7示出根据本公开另一些实施例的攻击检测装置的框图;
图8示出用于实现本公开一些实施例的计算机系统的框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出根据本公开一些实施例的攻击检测方法的流程图。
如图1所示,攻击检测方法包括步骤S110-步骤S130。例如,攻击检测方法由WAF(Web Application Firewall,Web应用防火墙)引擎执行。具体地,WAF引擎可以部署在指定服务器上。
在步骤S110中,利用第一规则链检测客户端是否存在与攻击类型对应的恶意攻击,得到第一检测结果。第一规则链包括多个不同的正则匹配型规则。通过对多个不同的正则匹配型规则进行组合,利用第一规则链进行攻击检测,提高了攻击检测的准确率。
图2示出根据本公开一些实施例的第一规则链的示意图。
如图2所示,第一规则链包括n个不同的正则匹配型规则,其中,n为大于1的整数。n个正则匹配型规则包括正则匹配型规则1、正则匹配型规则2、……、正则匹配型规则n。在一些实施例中,n个正则匹配型规则成链状顺序排列。
返回图1,继续描述步骤S110。例如,通过如下方式实现步骤S110利用第一规则链检测客户端是否存在与攻击类型对应的恶意攻击,得到第一检测结果。分别利用与攻击类型对应的多个不同的正则匹配型规则,检测客户端是否存在与攻击类型对应的恶意攻击,得到多个第一中间检测结果。进而,融合多个第一中间检测结果,得到第一检测结果。通过融合多个正则匹配型规则对应的第一中间检测结果,提高了攻击者利用多重编码和变化攻击载荷等方式绕过攻击检测的难度,进一步降低了攻击检测的漏报率和误报率,进一步提高了攻击检测的准确率。
在一些实施例中,根据多个第一中间检测结果和每个正则匹配型规则的第一规则权重,确定第一检测结果。各个第一规则权重之和等于第一规则链的第一规则链权重。通过第一规则权重,对多个第一中间检测结果进行有效的融合,实现了对多个正则匹配型规则的有效组合,提高了攻击检测的效率。
例如,第一中间检测结果为存在恶意攻击的评分或者不存在恶意攻击的评分。根据多个第一中间检测结果和每个正则匹配型规则的第一规则权重,确定第一检测结果包括如下步骤。
在多个第一中间检测结果包括至少一个存在恶意攻击的评分的情况下,根据每个存在恶意攻击的评分与相应的第一规则权重的乘积之和,确定第一检测结果。
在多个第一中间检测结果不包括存在恶意攻击的评分的情况下,根据每个不存在恶意攻击的评分与第一规则权重的乘积之和,确定第一检测结果。例如,第一检测结果为经过加权和计算得到的评分,这个评分被作为存在恶意攻击的评分,从而与第二规则链的存在恶意攻击的概率进行加权求和,得到攻击检测结果,实现了第一规则链和第二规则链的有效融合。
在步骤S120中,利用第二规则链检测客户端是否存在与攻击类型对应的恶意攻击,得到第二检测结果。第二规则链包括多个不同的算法型规则。通过对多个不同的算法型规则进行组合,利用第二规则链进行攻击检测,提高了攻击检测的准确率。
图3示出根据本公开一些实施例的第二规则链的示意图。
如图3所示,第二规则链包括m个不同的算法型规则,其中,m为大于1的整数。m个算法型规则包括算法型规则1、算法型规则2、……、算法型规则m。在一些实施例中,m个算法型规则成链状顺序排列。
返回图1,继续描述步骤S120。例如,通过如下方式实现步骤S120利用第二规则链检测客户端是否存在与攻击类型对应的恶意攻击,得到第二检测结果。分别利用与攻击类型对应的多个不同的算法型规则,检测客户端是否存在与攻击类型对应的恶意攻击,得到多个第二中间检测结果。进而,融合多个第二中间检测结果,得到第二检测结果。通过融合多个算法型规则对应的第二中间检测结果,提高了攻击者利用多重编码和变化攻击载荷等方式绕过攻击检测的难度,进一步降低了攻击检测的漏报率和误报率,进一步提高了攻击检测的准确率。
在一些实施例中,根据多个第二中间检测结果和每个算法型规则的第二规则权重,确定第二检测结果。各个第二规则权重之和等于第二规则链的第二规则链权重。通过第二规则权重,对多个第二中间检测结果进行有效的融合,实现了对多个算法型规则的有效组合,提高了攻击检测的效率。
例如,第二中间检测结果为存在恶意攻击的概率。根据多个第二中间检测结果和每个算法型规则的第二规则权重,确定第二检测结果包括如下步骤。根据存在恶意攻击的概率与相应的第二规则权重的乘积之和,确定第二检测结果。
在步骤S130中,融合第一检测结果和第二检测结果,得到攻击检测结果。通过融合正则匹配型规则的检测结果和算法型规则的检测结果,提高了攻击检测的准确率。
例如,根据第一检测结果、第二检测结果、第一规则链的第一规则链权重和第二规则链的第二规则链权重,确定攻击检测结果。在一些实施例中,第一规则链权重和第二规则链权重的和为1。例如,根据网站业务和历史攻击检测中误报率和漏报率的情况,对各个第一规则权重、各个第二规则权重、第一规则链权重和第二规则链权重进行权重设置。
在一些实施例中,根据第一检测结果、第二检测结果、第一规则链的第一规则链权重和第二规则链的第二规则链权重,确定攻击检测结果包括如下步骤。
首先,对第一检测结果进行归一化处理。例如,第一检测结果得到的评分为40分,对第一检测结果进行归一化处理,得到归一化处理后的第一检测结果为0.4。
其次,计算归一化处理后的第一检测结果与第一规则链的权重的第一乘积以及第二检测结果与第二规则链的权重的第二乘积。
然后,根据第一乘积与第二乘积的和,确定存在恶意攻击的概率。
最后,根据所确定的存在恶意攻击的概率与阈值的大小关系,确定攻击检测结果。例如,在所确定的存在恶意攻击的概率大于或等于阈值的情况下,确定攻击检测结果为存在恶意攻击。在所确定的存在恶意攻击的概率小于阈值的情况下,确定攻击检测结果为不存在恶意攻击。
例如,通过如图4所示的步骤实现检测客户端是否存在与攻击类型对应的恶意攻击。
图4示出根据本公开一些实施例的检测客户端是否存在与攻击类型对应的恶意攻击的流程图。
如图4所示,检测客户端是否存在与攻击类型对应的恶意攻击包括步骤S410-步骤S490。
在步骤S410中,接收来自客户端的请求报文。请求报文包括请求头内容和请求体内容。
在步骤S420中,检测请求头内容是否存在与攻击类型对应的恶意攻击。
在请求头内容存在与攻击类型对应的恶意攻击的情况下,执行步骤S430。在步骤S430中,停止检测。这里的停止检测是指不再对请求头内容以后的请求体内容、响应头内容和响应体内容进行攻击检测。
在请求头内容不存在与攻击类型对应的恶意攻击的情况下,执行步骤S440。在步骤S440中,检测请求体内容是否存在与攻击类型对应的恶意攻击。
在请求体内容存在与攻击类型对应的恶意攻击的情况下,执行步骤S430,停止检测。
进一步地,在请求体内容不存在与攻击类型对应的恶意攻击的情况下,执行步骤S450。在步骤S450中,将请求报文转发到服务器。
在步骤S460中,接收来自服务器的响应报文。响应报文包括响应头内容和响应体内容,响应报文与请求报文相对应。
在步骤S470中,检测响应头内容是否存在与攻击类型对应的恶意攻击。
在响应头内容存在与攻击类型对应的恶意攻击的情况下,执行步骤S430,停止检测。
在响应头内容不存在与攻击类型对应的恶意攻击的情况下,执行步骤S480。在步骤S480中,检测响应体内容是否存在与攻击类型对应的恶意攻击。在响应体内容存在与攻击类型对应的恶意攻击的情况下,执行步骤S430,停止检测。在响应体内容不存在与攻击类型对应的恶意攻击的情况下,执行步骤S490。在步骤S490中,将来自服务器的响应报文转发至客户端。
例如,在请求头内容、请求体内容、响应头内容或响应体内容存在与攻击类型对应的恶意攻击的情况下,客户端存在与攻击类型对应的恶意攻击。根据Web攻击的特点,分请求头内容、请求体内容、响应头内容和响应体内容对应的四个阶段对客户端进行攻击检测,提高了攻击检测的效率。例如,针对不同的阶段,还可以采用不同的第一规则链和第二规则链进行攻击检测,避免冗余的攻击检测,进一步提高攻击检测的效率。
在一些实施例中,请求头内容、请求体内容、响应头内容和响应体内容分别对应四个检测阶段,检测阶段的状态包括已检测状态,在进行攻击检测之前,四个检测阶段的状态默认为未检测状态。检测客户端是否存在与攻击类型对应的恶意攻击还包括如下步骤。在每个处于已检测状态的检测阶段,将攻击检测结果保存到指定内存。在检测到客户端存在与攻击类型对应的恶意攻击的情况下,从指定内存获取各个处于已检测状态的检测阶段的攻击检测结果,并写入指定磁盘的指定日志文件。
进一步地,攻击检测方法还包括:将攻击检测结果,发送到客户端。这里的攻击检测结果包括每个处于已检测状态的检测阶段的攻击检测结果。
下面将结合图5详细描述分四个检测阶段对客户端进行攻击检测的过程。
图5示出根据本公开一些实施例的分四个检测阶段对客户端进行攻击检测的示意图。
如图5所示,对客户端进行攻击检测分为了四个检测阶段,分别为请求头阶段、请求体阶段、响应头阶段和响应体阶段。在一些实施例中,检测阶段还包括日志阶段。例如,每个检测阶段具有唯一的编号,对于每个规则会设置规则类型和该规则所属的检测阶段的编号或编号列表。在为不同的检测阶段增加或删减规则时,只需要知道规则的类型以及规则所属的检测阶段,就可以实现规则的快速部署,实现了灵活的规则管理。
例如,在利用WAF引擎执行攻击检测方法的情况下,在启动WAF引擎时,在各个检测阶段新建第一规则链和第二规则链,并从配置文件中加载各个规则到相应的检测阶段的相应规则链。通过启动时预先加载的方式,提高了WAF引擎整体的攻击检测效率和性能。
在请求头阶段,利用第一规则链和第二规则链分别检测来自客户端的请求报文的请求头内容是否存在与攻击类型对应的恶意攻击,得到第一检测结果和第二检测结果。融合第一检测结果和第二检测结果,得到请求头阶段的攻击检测结果。例如,将请求头阶段的攻击检测结果保存到指定内存,并标记请求头阶段的状态为已检测状态。在请求头阶段的攻击检测结果为存在恶意攻击的情况下,停止攻击检测。例如,停止攻击检测后,进入日志阶段。具体地,对请求头(header)内容中的session、url、user-agent等内容进行攻击检测。
在请求头阶段的攻击检测结果为不存在恶意攻击的情况下,进入请求体阶段。在请求体阶段,利用第一规则链和第二规则链分别检测来自客户端的请求报文的请求体内容是否存在与攻击类型对应的恶意攻击,得到第一检测结果和第二检测结果。融合第一检测结果和第二检测结果,得到请求体阶段的攻击检测结果。例如,将请求体阶段的攻击检测结果保存到指定内存,并标记请求体阶段的状态为已检测状态。在请求体阶段的攻击检测结果为存在恶意攻击的情况下,停止攻击检测。例如,停止攻击检测后,进入日志阶段。
在请求体阶段的攻击检测结果为不存在恶意攻击的情况下,将请求报文发送至服务器,并接受服务器返回的响应报文后进入响应头阶段。在响应头阶段,利用第一规则链和第二规则链分别检测来自客户端的响应报文的响应头内容是否存在与攻击类型对应的恶意攻击,得到第一检测结果和第二检测结果。融合第一检测结果和第二检测结果,得到响应头阶段的攻击检测结果。例如,将响应头阶段的攻击检测结果保存到指定内存,并标记响应头阶段的状态为已检测状态。在响应头阶段的攻击检测结果为存在恶意攻击的情况下,停止攻击检测。例如,停止攻击检测后,进入日志阶段。
在响应头阶段的攻击检测结果为不存在恶意攻击的情况下,进入响应体阶段。在响应体阶段,利用第一规则链和第二规则链分别检测来自客户端的响应报文的响应体内容是否存在与攻击类型对应的恶意攻击,得到第一检测结果和第二检测结果。融合第一检测结果和第二检测结果,得到响应体阶段的攻击检测结果。例如,将响应体阶段的攻击检测结果保存到指定内存,并标记响应体阶段的状态为已检测状态。在响应体阶段的攻击检测结果为存在恶意攻击的情况下,停止攻击检测。例如,停止攻击检测后,进入日志阶段。在响应体阶段的攻击检测结果为不存在恶意攻击的情况下,将响应报文转发至客户端,并由客户端对响应报文进行解析,得到客户端所请求的内容。
在一些实施例中,对客户端进行攻击检测还包括日志阶段,在停止攻击检测的情况下,直接进入日志阶段。在日志阶段,从指定内存获取各个处于已检测状态的检测阶段的攻击检测结果,并写入指定磁盘的指定日志文件。通过在停止攻击检测的情况下,将指定内存中的攻击检测结果写入指定磁盘的指定日志文件,相比于在每个检测阶段写入指定磁盘的方式,减少了攻击检测结果的IO操作,提高了攻击检测的效率。在利用WAF引擎执行攻击检测方法的情况下,提高了WAF引擎的吞吐量和并发量。
进一步地,在日志阶段,将攻击检测结果写入指定日志文件时,同时写入攻击检测结果对应的字段内容、运行状态等。这里的字段内容包括请求头内容、请求体内容、响应头内容和响应体内容四种。运行状态为针对不同的字段内容的检测所耗时间、所耗内存等。具体地,将字段内容和攻击检测结果写入审计日志文件,将字段内容、运行状态写入运行日志文件。
本公开的攻击检测方法,通过异构的方式融合正则匹配型规则和算法型规则,提高了攻击检测的准确率。
图6示出根据本公开一些实施例的攻击检测装置的框图。
如图6所示,攻击检测装置6包括第一检测模块61、第二检测模块62和融合模块63。
第一检测模块61被配置为利用第一规则链检测客户端是否存在与攻击类型对应的恶意攻击,得到第一检测结果,例如执行如图1所示的步骤S110。第一规则链包括多个不同的正则匹配型规则。
第二检测模块62被配置为利用第二规则链检测客户端是否存在与攻击类型对应的恶意攻击,得到第二检测结果,例如执行如图1所示的步骤S120。第二规则链包括多个不同的算法型规则。
融合模块63被配置为融合第一检测结果和第二检测结果,得到攻击检测结果,例如执行如图1所示的步骤S130。
进一步地,攻击检测装置6还包括接收模块60。接收模块60被配置为接收来自客户端的请求报文。
进一步地,攻击检测装置6还包括发送模块64。发送模块64被配置为将攻击检测结果发送给客户端。
图7示出根据本公开另一些实施例的攻击检测装置的框图。
如图7所示,攻击检测装置7包括存储器71;以及耦接至该存储器71的处理器72。存储器71用于存储执行攻击检测方法对应实施例的指令。处理器72被配置为基于存储在存储器71中的指令,执行本公开中任意一些实施例中的攻击检测方法。
图8示出用于实现本公开一些实施例的计算机系统的框图。
如图8所示,计算机系统80可以通用计算设备的形式表现。计算机系统80包括存储器810、处理器820和连接不同系统组件的总线800。
存储器810例如可以包括系统存储器、非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。系统存储器可以包括易失性存储介质,例如随机存取存储器(RAM)和/或高速缓存存储器。非易失性存储介质例如存储有执行攻击检测方法中的至少一种的对应实施例的指令。非易失性存储介质包括但不限于磁盘存储器、光学存储器、闪存等。
处理器820可以用通用处理器、数字信号处理器(DSP)、应用专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。相应地,诸如判断模块和确定模块的每个模块,可以通过中央处理器(CPU)运行存储器中执行相应步骤的指令来实现,也可以通过执行相应步骤的专用电路来实现。
总线800可以使用多种总线结构中的任意总线结构。例如,总线结构包括但不限于工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、外围组件互连(PCI)总线。
计算机系统80还可以包括输入输出接口830、网络接口840、存储接口850等。这些接口830、840、850以及存储器810和处理器820之间可以通过总线800连接。输入输出接口830可以为显示器、鼠标、键盘等输入输出设备提供连接接口。网络接口840为各种联网设备提供连接接口。存储接口850为软盘、U盘、SD卡等外部存储设备提供连接接口。
这里,参照根据本公开实施例的方法、装置和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个框以及各框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可提供到通用计算机、专用计算机或其他可编程装置的处理器,以产生一个机器,使得通过处理器执行指令产生实现在流程图和/或框图中一个或多个框中指定的功能的装置。
这些计算机可读程序指令也可存储在计算机可读存储器中,这些指令使得计算机以特定方式工作,从而产生一个制造品,包括实现在流程图和/或框图中一个或多个框中指定的功能的指令。
本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
通过上述实施例中的攻击检测方法及装置、计算机可存储介质,提高了攻击检测的准确率。
至此,已经详细描述了根据本公开的攻击检测方法及装置、计算机可存储介质。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
Claims (18)
1.一种攻击检测方法,包括:
利用第一规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第一检测结果,所述第一规则链包括多个不同的正则匹配型规则;
利用第二规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第二检测结果,所述第二规则链包括多个不同的算法型规则;
融合所述第一检测结果和所述第二检测结果,得到攻击检测结果。
2.根据权利要求1所述的攻击检测方法,其中,利用第一规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第一检测结果包括:
分别利用与攻击类型对应的多个不同的正则匹配型规则,检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到多个第一中间检测结果;
融合所述多个第一中间检测结果,得到所述第一检测结果。
3.根据权利要求2所述的攻击检测方法,其中,融合所述多个第一中间检测结果,得到所述第一检测结果包括:
根据所述多个第一中间检测结果和每个正则匹配型规则的第一规则权重,确定所述第一检测结果,各个第一规则权重之和等于所述第一规则链的第一规则链权重。
4.根据权利要求3所述的攻击检测方法,其中,所述第一中间检测结果为存在恶意攻击的评分或者不存在恶意攻击的评分,根据所述多个第一中间检测结果和每个正则匹配型规则的第一规则权重,确定所述第一检测结果包括:
在所述多个第一中间检测结果包括至少一个存在恶意攻击的评分的情况下,根据每个存在恶意攻击的评分与相应的第一规则权重的乘积之和,确定所述第一检测结果;
在所述多个第一中间检测结果不包括存在恶意攻击的评分的情况下,根据每个不存在恶意攻击的评分与第一规则权重的乘积之和,确定所述第一检测结果。
5.根据权利要求1所述的攻击检测方法,其中,利用第二规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第二检测结果包括:
分别利用与攻击类型对应的多个不同的算法型规则,检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到多个第二中间检测结果;
融合所述多个第二中间检测结果,得到所述第二检测结果。
6.根据权利要求5所述的攻击检测方法,其中,融合所述多个第二中间检测结果,得到所述第二检测结果包括:
根据所述多个第二中间检测结果和每个算法型规则的第二规则权重,确定所述第二检测结果,各个第二规则权重之和等于所述第二规则链的第二规则链权重。
7.根据权利要求6所述的攻击检测方法,其中,所述第二中间检测结果为存在恶意攻击的概率,根据所述多个第二中间检测结果和每个算法型规则的第二规则权重,确定所述第二检测结果包括:
根据存在恶意攻击的概率与相应的第二规则权重的乘积之和,确定所述第二检测结果。
8.根据权利要求1所述的攻击检测方法,其中,融合所述第一检测结果和所述第二检测结果,得到攻击检测结果包括:
根据所述第一检测结果、所述第二检测结果、所述第一规则链的第一规则链权重和所述第二规则链的第二规则链权重,确定所述攻击检测结果。
9.根据权利要求8所述的攻击检测方法,其中,根据所述第一检测结果、所述第二检测结果、所述第一规则链的第一规则链权重和所述第二规则链的第二规则链权重,确定所述攻击检测结果包括:
对所述第一检测结果进行归一化处理;
计算归一化处理后的第一检测结果与所述第一规则链的权重的第一乘积以及所述第二检测结果与所述第二规则链的权重的第二乘积;
根据所述第一乘积与所述第二乘积的和,确定存在恶意攻击的概率;
根据所确定的存在恶意攻击的概率与阈值的大小关系,确定所述攻击检测结果。
10.根据权利要求9所述的攻击检测方法,其中,根据所确定的存在恶意攻击的概率与阈值的大小关系,确定所述攻击检测结果包括:
在所确定的存在恶意攻击的概率大于或等于所述阈值的情况下,确定所述攻击检测结果为存在恶意攻击;
在所确定的存在恶意攻击的概率小于所述阈值的情况下,确定所述攻击检测结果为不存在恶意攻击。
11.根据权利要求1所述的攻击检测方法,其中,检测所述客户端是否存在与所述攻击类型对应的恶意攻击包括:
接收来自客户端的请求报文,所述请求报文包括请求头内容和请求体内容;
检测所述请求头内容是否存在与所述攻击类型对应的恶意攻击;
在所述请求头内容存在与所述攻击类型对应的恶意攻击的情况下,停止检测;
在所述请求头内容不存在与所述攻击类型对应的恶意攻击的情况下,检测所述请求体内容是否存在与所述攻击类型对应的恶意攻击;
在所述请求体内容存在与所述攻击类型对应的恶意攻击的情况下,停止所述检测。
12.根据权利要求11所述的攻击检测方法,其中,检测所述客户端是否存在与所述攻击类型对应的恶意攻击还包括:
在所述请求体内容不存在与所述攻击类型对应的恶意攻击的情况下,将所述请求报文转发到服务器;
接收来自所述服务器的响应报文,所述响应报文包括响应头内容和响应体内容,所述响应报文与所述请求报文相对应;
检测所述响应头内容是否存在与所述攻击类型对应的恶意攻击;
在所述响应头内容存在与所述攻击类型对应的恶意攻击的情况下,停止检测;
在所述响应头内容不存在与所述攻击类型对应的恶意攻击的情况下,检测所述响应体内容是否存在与所述攻击类型对应的恶意攻击。
13.根据权利要求12所述的攻击检测方法,其中,在所述请求头内容、所述请求体内容、所述响应头内容或所述响应体内容存在与所述攻击类型对应的恶意攻击的情况下,所述客户端存在与所述攻击类型对应的恶意攻击,所述请求头内容、所述请求体内容、所述响应头内容和所述响应体内容分别对应四个检测阶段,检测阶段的状态包括已检测状态,检测所述客户端是否存在与所述攻击类型对应的恶意攻击还包括:
在每个处于已检测状态的检测阶段,将攻击检测结果保存到指定内存;
在检测到所述客户端存在与所述攻击类型对应的恶意攻击的情况下,从所述指定内存获取各个处于已检测状态的检测阶段的攻击检测结果,并写入指定磁盘的指定日志文件。
14.根据权利要求1所述的攻击检测方法,还包括:
将所述攻击检测结果,发送到所述客户端。
15.根据权利要求1所述的攻击检测方法,其中,所述攻击检测方法由Web应用防火墙WAF引擎执行。
16.一种攻击检测装置,包括:
第一检测模块,被配置为利用第一规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第一检测结果,所述第一规则链包括多个不同的正则匹配型规则;
第二检测模块,被配置为利用第二规则链检测所述客户端是否存在与所述攻击类型对应的恶意攻击,得到第二检测结果,所述第二规则链包括多个不同的算法型规则;
融合模块,被配置为融合所述第一检测结果和所述第二检测结果,得到攻击检测结果。
17.一种攻击检测装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令,执行如权利要求1至15任一项所述的攻击检测方法。
18.一种计算机可存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如权利要求1至15任一项所述的攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010171887.6A CN113395237A (zh) | 2020-03-12 | 2020-03-12 | 攻击检测方法及装置、计算机可存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010171887.6A CN113395237A (zh) | 2020-03-12 | 2020-03-12 | 攻击检测方法及装置、计算机可存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113395237A true CN113395237A (zh) | 2021-09-14 |
Family
ID=77615791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010171887.6A Pending CN113395237A (zh) | 2020-03-12 | 2020-03-12 | 攻击检测方法及装置、计算机可存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113395237A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113886814A (zh) * | 2021-09-29 | 2022-01-04 | 深信服科技股份有限公司 | 一种攻击检测方法及相关装置 |
| CN114338114A (zh) * | 2021-12-21 | 2022-04-12 | 中国农业银行股份有限公司 | 一种入侵检测方法、装置、设备及存储介质 |
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN114826715A (zh) * | 2022-04-15 | 2022-07-29 | 咪咕文化科技有限公司 | 网络防护方法、装置、设备及存储介质 |
| CN115189926A (zh) * | 2022-06-22 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 网络流量的检测方法、网络流量的检测系统和电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080036706A (ko) * | 2006-10-24 | 2008-04-29 | 박재철 | 웹 공격 정규표현과 스크립트 파일의 포함 기능을 이용한웹 보안 모듈 |
| US8527488B1 (en) * | 2010-07-08 | 2013-09-03 | Netlogic Microsystems, Inc. | Negative regular expression search operations |
| CN106453438A (zh) * | 2016-12-23 | 2017-02-22 | 北京奇虎科技有限公司 | 一种网络攻击的识别方法及装置 |
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
| CN108111489A (zh) * | 2017-12-07 | 2018-06-01 | 阿里巴巴集团控股有限公司 | Url攻击检测方法、装置以及电子设备 |
| CN108337268A (zh) * | 2018-03-16 | 2018-07-27 | 太原理工大学 | 基于动态克隆选择算法的sql注入攻击检测方法 |
| CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
| CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
| CN110855676A (zh) * | 2019-11-15 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 网络攻击的处理方法、装置及存储介质 |
-
2020
- 2020-03-12 CN CN202010171887.6A patent/CN113395237A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080036706A (ko) * | 2006-10-24 | 2008-04-29 | 박재철 | 웹 공격 정규표현과 스크립트 파일의 포함 기능을 이용한웹 보안 모듈 |
| US8527488B1 (en) * | 2010-07-08 | 2013-09-03 | Netlogic Microsystems, Inc. | Negative regular expression search operations |
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
| CN106453438A (zh) * | 2016-12-23 | 2017-02-22 | 北京奇虎科技有限公司 | 一种网络攻击的识别方法及装置 |
| CN108111489A (zh) * | 2017-12-07 | 2018-06-01 | 阿里巴巴集团控股有限公司 | Url攻击检测方法、装置以及电子设备 |
| CN108337268A (zh) * | 2018-03-16 | 2018-07-27 | 太原理工大学 | 基于动态克隆选择算法的sql注入攻击检测方法 |
| CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
| CN109547423A (zh) * | 2018-11-09 | 2019-03-29 | 上海交通大学 | 一种基于机器学习的web恶意请求深度检测系统及方法 |
| CN110855676A (zh) * | 2019-11-15 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 网络攻击的处理方法、装置及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113886814A (zh) * | 2021-09-29 | 2022-01-04 | 深信服科技股份有限公司 | 一种攻击检测方法及相关装置 |
| CN114338114A (zh) * | 2021-12-21 | 2022-04-12 | 中国农业银行股份有限公司 | 一种入侵检测方法、装置、设备及存储介质 |
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN114710354B (zh) * | 2022-04-11 | 2023-09-08 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN114826715A (zh) * | 2022-04-15 | 2022-07-29 | 咪咕文化科技有限公司 | 网络防护方法、装置、设备及存储介质 |
| CN114826715B (zh) * | 2022-04-15 | 2024-03-22 | 咪咕文化科技有限公司 | 网络防护方法、装置、设备及存储介质 |
| CN115189926A (zh) * | 2022-06-22 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 网络流量的检测方法、网络流量的检测系统和电子设备 |
| CN115189926B (zh) * | 2022-06-22 | 2024-01-26 | 北京天融信网络安全技术有限公司 | 网络流量的检测方法、网络流量的检测系统和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113395237A (zh) | 攻击检测方法及装置、计算机可存储介质 | |
| US7596809B2 (en) | System security approaches using multiple processing units | |
| US7853689B2 (en) | Multi-stage deep packet inspection for lightweight devices | |
| US11818014B2 (en) | Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments | |
| JP6726706B2 (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
| US10965694B2 (en) | Network security intrusion detection | |
| CN113315742B (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
| US10489720B2 (en) | System and method for vendor agnostic automatic supplementary intelligence propagation | |
| CN109413016B (zh) | 一种基于规则的报文检测方法和装置 | |
| US20210099481A1 (en) | System and method for detecting and blocking malicious attacks on a network | |
| CN108768934B (zh) | 恶意程序发布检测方法、装置以及介质 | |
| Zeebaree et al. | Application layer distributed denial of service attacks defense techniques: A review | |
| Saini et al. | A hybrid ensemble machine learning model for detecting APT attacks based on network behavior anomaly detection | |
| WO2019246573A1 (en) | A statistical approach for augmenting signature detection in web application firewall | |
| KR102393913B1 (ko) | 이상행위 탐지 장치, 방법 및 이를 포함하는 시스템 | |
| CN109361674B (zh) | 旁路接入的流式数据检测方法、装置以及电子设备 | |
| JP2021077373A (ja) | 脅威検出方法及びコンピュータ装置 | |
| US11916956B2 (en) | Techniques for generating signatures characterizing advanced application layer flood attack tools | |
| Qing-wei et al. | The study on network attacks based on automaton theory | |
| US11888893B2 (en) | Characterization of HTTP flood DDoS attacks | |
| CN116028980B (zh) | 一种数据库防绕过方法、系统、设备及介质 | |
| JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
| CN116015844A (zh) | 一种数据流量检测方法、系统及电子设备 | |
| WO2023094853A1 (en) | Characterization of http flood ddos attacks | |
| WO2023094854A1 (en) | Techniques for generating signatures characterizing advanced application layer flood attack tools |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210914 |