CN113472791A - 一种攻击检测方法、装置、电子设备及可读存储介质 - Google Patents
一种攻击检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN113472791A CN113472791A CN202110744978.9A CN202110744978A CN113472791A CN 113472791 A CN113472791 A CN 113472791A CN 202110744978 A CN202110744978 A CN 202110744978A CN 113472791 A CN113472791 A CN 113472791A
- Authority
- CN
- China
- Prior art keywords
- result
- detection
- attack
- message
- segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 301
- 238000000034 method Methods 0.000 claims abstract description 89
- 238000012545 processing Methods 0.000 claims abstract description 61
- 230000008569 process Effects 0.000 claims abstract description 59
- 238000012549 training Methods 0.000 claims description 46
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 9
- 230000000903 blocking effect Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 244000035744 Hura crepitans Species 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种攻击检测方法、装置、电子设备及计算机可读存储介质,该方法包括:获取请求报文;获取请求报文;对请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果;将识别结果输入攻击检测模型,得到检测结果;检测结果用于表征是否检测到攻击;该方法通过对请求报文的变形情况进行检测,判断其是否为网络攻击报文,因此不需要设置大量的检测规则进行穷举,检测过程不会受到检测规则覆盖范围的影响,更加稳定和可靠,具有更强的检测能力。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种攻击检测方法、攻击检测装置、电子设备及计算机可读存储介质。
背景技术
在网络攻防对抗中,通常会使用网络安全设备进行网络安全检测,防御攻击者对业务系统发起的漏洞攻击。为了实现其攻击目的,攻击者通常采用高级逃逸绕过技术,对发送的请求报文中的攻击payload(即攻击有效载荷)进行了多种复杂的变形,以便绕过安全设备的检测,成功实施攻击。为了防止绕过,相关技术利用规则穷举的方式,为各种形式的攻击有效载荷设置对应的规则,在检测时利用各个规则进行匹配。然而,该方法需要持续跟进研究各种绕过手法和对应的攻击有效载荷,并设置大量的检测规则,若检测规则没有覆盖到某种攻击有效载荷,则安全设备就会被绕过。因此相关技术的攻击检测可靠性和检出能力较差。
发明内容
有鉴于此,本申请的目的在于提供一种攻击检测方法、攻击检测装置、电子设备及计算机可读存储介质,可以进行更加稳定和可靠的攻击检测,检出能力较强。
为解决上述技术问题,本申请提供了一种攻击检测方法,包括:
获取请求报文;
对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果;
将所述识别结果输入攻击检测模型,得到检测结果;所述检测结果用于表征是否检测到攻击。
可选地,所述对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果,包括:
对所述报文段进行基于所述目标标准协议中报文段内容可选范围和/或报文段编码格式可选范围的内容变形识别处理,得到内容识别结果;
相应的,将所述识别结果输入攻击检测模型,得到检测结果,包括:
将所述内容识别结果作为所述识别结果输入所述攻击检测模型,得到所述检测结果;
和/或,
对所述报文段进行基于所述目标标准协议中报文段组成要求的报文格式检测处理,得到格式检测结果;
相应的,所述将所述识别结果输入攻击检测模型,得到检测结果,包括:
将所述格式检测结果作为所述识别结果输入所述攻击检测模型,得到所述检测结果。
可选地,所述对所述报文段进行基于所述目标标准协议中报文段组成要求的报文格式检测处理,得到格式检测结果,包括:
基于所述目标标准协议,对所述请求报文进行拆分,得到所述报文段;
对所述报文段进行预设项目检测,得到所述格式检测结果;所述预设项目包括报文段类型、报文段数量和排列方式中的至少一项。
可选地,所述对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,包括:
基于所述目标标准协议对应的标准数据段规则,对各个所述报文段进行针对报文段内容可选范围的内容识别,得到第一结果;
和/或,
基于所述标准数据段规则,对各个所述报文段进行针对报文段编码格式可选范围的编码格式识别,得到第二结果;相应的,所述得到识别结果,包括:
利用所述第一结果和/或所述第二结果构成所述识别结果。
可选地,所述对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,包括:
基于所述目标标准协议对应的标准数据段规则,对各个所述报文段进行针对报文段内容数值可选范围的标准数据范围识别,得到第一子结果;
和/或,
基于所述标准数据段规则,对各个所述报文段进行针对报文段内容类型可选范围的数据类型识别,得到第二子结果;相应的,所述得到识别结果,包括:
利用所述第一子结果和/或所述第二子结果构成所述识别结果。
可选地,所述将所述识别结果输入攻击检测模型,得到检测结果,包括:
将所述识别结果输入攻击检测模型,得到数据恶意度;
若所述数据恶意度处于异常区间,则确定所述检测结果表明检测到攻击;
若所述数据恶意度不处于所述异常区间,则确定所述检测结果表明未检测到攻击。
可选地,所述将所述识别结果输入攻击检测模型,得到检测结果,包括:
将所述识别结果与所述请求报文输入所述攻击检测模型,得到所述检测结果。
可选地,若所述检测结果表明检测到攻击,包括:
对所述请求报文和/或所述请求报文对应的发送方进行处理。
本申请还提供了一种模型训练方法,包括:
获取训练数据;所述训练数据包括数据部分,所述数据部分包括数据报文;
将所述数据部分输入初始模型,得到对应的训练结果;
基于所述训练结果对所述初始模型进行模型参数更新处理;
若检测到满足训练完成条件,则将所述初始模型确定为上述的攻击检测模型。
本申请还提供了一种攻击检测装置,包括:
获取模块,用于获取请求报文;
变形识别模块,用于对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果;
检测模块,用于将所述识别结果输入攻击检测模型,得到检测结果;所述检测结果用于表征是否检测到攻击。
本申请还提供了一种电子设备,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现上述的攻击检测方法。
本申请还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的攻击检测方法。
本申请提供的攻击检测方法,获取请求报文;对请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果;将识别结果输入攻击检测模型,得到检测结果;检测结果用于表征是否检测到攻击。
可见,该方法在得到请求报文后,对其进行变形识别处理,由于进行网络攻击的攻击报文为了实现攻击目的,必然需要对攻击报文进行变形,变形的结果通常为报文中报文段的内容不符合当前业务对应的正常报文段内容规则,或者为报文协议层面出现变形。通过进行基于目标标准协议的变形识别处理,可以对请求报文中的变形情况进行识别,得到对应的识别结果。由于在正常的业务过程中,请求报文同样可能发生小范围的变形,以便实现其请求。识别结果仅能表明请求报文发生了什么样的变形,不能表明这些报文是否正常。但是,受到业务逻辑的限制,正常的变形方式相对固定,即变形方式较少,且与攻击报文的变形方式并不同,二者具有差异。因此为了判断请求报文的变形是否正常,可以将识别结果输入攻击检测模型,得到检测结果,得到的检测结果能够表征是否检测到攻击,即请求报文是否为攻击报文。攻击检测模型能够以正常的变形作为检测基准,对请求报文的变形是否正常进行检测,进而判断请求报文是否为网络攻击报文。该方法可以从请求报文的变形情况是否符合正常业务要求的角度判断其是否为网络攻击报文,因此不需要设置大量的检测规则进行穷举,检测过程不会受到检测规则覆盖范围的影响,更加稳定和可靠,具有更强的检测能力,解决了相关技术存在的攻击检测可靠性和检出能力较差的问题。
此外,本申请还提供了一种攻击检测装置、电子设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种攻击检测方法流程图;
图2为本申请实施例提供的一种具体的攻击检测方法流程图;
图3为本申请实施例提供的一种攻击检测装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了实现绕过安全检测的目的,攻击者需要对发送给服务器的数据进行变形,具体可能为协议格式的变形,或者可能为报文内容的变形。通过变形的方式构建攻击载荷(即攻击payload,攻击有效载荷),进而利用其绕过安全检测。由于攻击有效载荷的形式和类型较多,利用规则对可能的攻击有效载荷进行穷举的方式需要规则覆盖所有的攻击有效载荷,且需要设置准确的规则,能够将正常业务流程中出现的变形情况与为了绕过安全检测而设置的攻击有效载荷进行区分。同时,随着绕过攻击方式的新增,对应的新的攻击有效载荷也会出现,在这种情况下,需要同时更新对应的规则,而规则的更新必然滞后于绕过方式的更新,因此无法保证规则能够覆盖所有的攻击有效载荷,这使得利用规则进行安全检测的方式无法进行可靠地安全防护,存在攻击检测可靠性,检出能力较差的问题。
为了解决上述问题,本申请提供了一种攻击检测方法,应用于安全检测设备,使得安全检测设备可以从报文变形情况的角度对请求报文是否为攻击报文进行检测。请参考图1,图1为本申请实施例提供的一种攻击检测方法流程图。该方法包括:
S101:获取请求报文。
请求报文是指安全检测设备接收到的网络报文,其具体数量不做限定。在一种实施方式中,为了保证安全检测的可靠性,可以在每次检测时获取多个连续的请求报文,综合多个请求报文的情况对是否遭受到网络攻击进行检测。在另一种实施方式中,为了提高对网络攻击的检测灵敏度,可以在每次检测时获取一个请求报文。需要说明的是,安全检测设备具体可以为物理设备或虚拟设备,例如可以为具有安全检测功能的网关设备,或者可以为安全检测虚拟机。
请求报文的报文类型不做限定,根据其采用的协议和所处的网络层的不同,其对应的具体报文类型可以不同,例如其可以处于网络层,即可以为IP(Internet Protocol,互联网协议)报文。或者当处于应用层时,其可以为HTTP(HyperText Transfer Protocol,超文本传输协议)报文,或者可以为POP3(Post Office Protocol-Version 3,邮局协议版本3)报文,或者可以为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)报文。请求报文的具体内容不做限定,其可能为正常的业务报文,也可能为用于进行网络攻击的攻击报文。
S102:对请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果。
目标标准协议,是指请求报文的类型对应的标准协议,标准协议仅对报文的大概构成进行规定,其保留了大量自定义或更改的空间。用户根据业务场景的不同,可以在标准协议的框架下进行适应性调整,得到某一类业务对应的业务协议。因此可以理解的是,为了使得报文能够被接收和处理,正常业务报文和攻击报文均符合标准协议,在某一业务场景下,正常业务报文应当符合基于标准协议进一步构建的更加详细的业务协议。而攻击报文虽然也符合标准协议,使得报文处理设备(例如后端服务器)能够对其进行处理,但是其为了实现其攻击目的经过了特殊的设置,并不符合业务场景下的业务协议,因此报文处理设备对其进行处理时则会执行业务场景下不应当执行的操作,使得攻击报文实现攻击目的。
因此,在得到请求报文后,可以对请求报文进行基于目标标准协议的变形识别处理,以便对其变形情况进行识别,进而为后续判断其变形情况是否正常提供数据基础。具体的,对于变形识别处理的具体处理方式,由于合法的业务报文和攻击报文均由若干个报文段组成,因此可以先对请求报文进行解析,得到多个报文段,并对从报文段的数量、类型、内容、排列方式等角度进行变形识别处理。本实施例并不限定对请求报文进行解析得到报文段的具体方式,在一种实施方式中,由于不同的标准协议对应的数据报文中报文段的类型和数量不同,因此可以确定其所属的目标标准协议,并基于目标协议对请求报文进行解析,得到对应的报文段。
由于部分攻击载荷可能单独处于一个报文段中,其同样可能经过变形,使其具有绕过安全检测的能力。因此在一种实施方式中,在得到各个报文段后,可以分别对各个报文段进行内容变形识别处理,判断报文段中的内容是否经过变形,得到识别结果。识别结果是指能够表示报文段内容变形情况的数据,内容变形识别处理用于对报文段的数据内容、编码格式、数据长度等角度进行检测,判断其是否与标准数据段的要求相匹配。本实施例并不限定内容变形识别处理的具体实施方式,根据内容变形识别角度的不同,其具体识别处理过程可以不同。在一种实施方式中,可以设置多个检测条件,例如设置内容标准范围检测条件、内容编码格式检测条件、内容类型检测条件等。
S103:将识别结果输入攻击检测模型,得到检测结果。
需要说明的是,本申请中的检测结果用于表征是否检测到攻击,即请求报文是否为攻击报文。由于在实际情况中,不同的业务场景下的业务协议不同,A场景下的业务报文可能并不符合B场景下的业务协议,但是其均符合报文类型对应的目标标准协议。因此,为了判断在当前业务场景下请求报文是否为攻击报文,还需要判断其变形程度、方式等是否处于当前业务场景的正常范围内。因此在得到识别结果后,将其输入攻击检测模型。
进一步的,在一种优选的实施方式中,为了进一步提高检测结果的准确性,除了将识别结果输入攻击检测模型外,还可以将请求报文输入,即将请求报文和识别结果均输入攻击检测模型。具体的,在一种实施方式中,请求报文可以与识别结果分别单独输入,即不对二者进行任何处理,直接输入攻击检测模型。在另一种实施方式中,可以基于识别结果对请求报文进行预处理,并将预处理后的请求报文和识别结果输入攻击检测模型。例如,预处理可以为标记处理,即利用识别结果对整个请求报文或其中识别结果对应的若干个报文段进行标记;由于识别结果包括多项数据,每项数据分别对应于某个报文段或整个请求报文,因此预处理还可以包括拆分处理,即根据识别结果中的各项数据对请求报文进行拆分,得到与该项数据对应的报文段,并利用各个报文段对应的识别结果数据对报文段进行标记,得到待测数据。通过拆分和标记得到的待测数据可以清楚地表示各个报文段的变形情况,或整个请求报文从协议层面的变形情况。特别的,当请求报文的数量为多个时,则对应的识别结果同样为多个,在输入时,可以分别利用各个请求报文对应的识别结果对请求报文进行标记,得到待测子数据。并将待测子数据按照时间顺序进行组合,即可得到待测数据,并将待测数据输入攻击检测模型。
攻击检测模型,是指能够判断请求报文的变形情况是否符合当前业务场景的模型,其具体结构和类型不做限定。攻击检测模型被提前训练好,在得到待测数据后,其能够根据识别结果对请求报文进行再次检测,判断请求报文的变形是否处于正常的范围内,是否符合当前业务场景,得到对应的检测结果。因此可以理解的是,攻击检测模型应当基于当前业务场景下的正常业务流量训练得到,其能够以正常业务流量基于目标标准协议的变形情况为基线对请求报文变形是否正常进行检测。本实施例并不限定检测结果的具体生成过程,根据攻击检测模型的结构不同,检测结果的生成过程不同。当检测结果表明检测到攻击时,说明请求报文的变形情况为不符合当前应用场景的异常变形,进而说明该请求报文为攻击报文。当检测结果表明未检测到攻击时,说明请求报文的变形情况符合当前业务场景,与业务协议相匹配,因此说明该请求报文不是攻击报文。
需要说明的是,对于检测结果的具体形式,本实施例不做限定。在一种实施方式中,检测结果可以为概率形式,即检测结果可以表明请求报文为攻击报文的概率,通过与预设的阈值的大小关系进而确定请求报文是否为攻击报文;在另一种实施方式中,检测结果为直接表明请求报文是否为攻击报文的结果。可以理解的是,检测结果的具体类型与攻击检测模型训练时采用的训练方式和训练数据相关,若采用有监督的训练方式,训练数据可以采用类型标签或概率标签(或称为恶意度标签),训练得到的攻击检测模型输出的检测结果则可以为类型形式或概率形式。若采用无监督的训练方式,训练数据不具有标签,因此训练得到的攻击检测模型仅能进行分类,无法输出概率形式的检测结果。
应用本申请实施例提供的攻击检测方法,在得到请求报文后,对其进行变形识别处理,由于进行网络攻击的攻击报文为了实现攻击目的,必然需要对攻击报文进行变形,变形的结果通常为报文中报文段的内容不符合当前业务对应的正常报文段内容规则,或者为报文协议层面出现变形。通过进行基于目标标准协议的变形识别处理,可以对请求报文中的变形情况进行识别,得到对应的识别结果。由于在正常的业务过程中,请求报文同样可能发生小范围的变形,以便实现其请求。识别结果仅能表明请求报文发生了什么样的变形,不能表明这些报文是否正常。但是,受到当前业务逻辑的限制,正常的变形方式相对固定,即变形方式较少,且与攻击报文的变形方式并不同,二者具有差异。因此为了判断请求报文的变形是否正常,可以将识别结果输入攻击检测模型,得到检测结果。攻击检测模型能够以正常的变形作为检测基准,对请求报文的变形是否正常进行检测,进而判断检测报文是否为网络攻击报文。该方法可以从请求报文的变形情况是否符合正常业务要求的角度判断其是否为网络攻击报文,因此不需要设置大量的检测规则进行穷举,检测过程不会受到检测规则覆盖范围的影响,更加稳定和可靠,具有更强的检测能力,解决了相关技术存在的攻击检测可靠性和检出能力较差的问题。
基于上述实施例,在一种实施方式中,请求报文的变形可能为报文格式变形,即从协议的层面进行了变形,使得报文的格式虽然符合目标标准协议,但是不符合当前业务场景下的业务协议。在这种情况下,对请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果的过程可以包括如下步骤::
步骤11:对报文段进行基于目标标准协议中报文段组成要求的报文格式检测处理,得到格式检测结果。
相应的,将识别结果输入攻击检测模型,得到检测结果的过程可以包括如下步骤:
步骤12:将格式检测结果作为识别结果输入攻击检测模型,得到检测结果。
标准协议用于规定报文中报文段的数量、类别、排列方式等,其可以对各个报文段中的数据内容的类型、数值范围等进行限制,或者可以对报文段采用的编码格式进行限制。报文段内容可选范围,是指对应报文段中的数据内容可以选择的范围,其具体可以包括报文段内容数据可选范围,或者可以进一步包括报文段内容类型可选范围。报文段内容数据可选范围用于对报文段中的某些参数的参数值的大小进行限制,报文段内容类型可选范围用于对报文段中数据内容的类型进行限制。报文段编码格式可选范围,是指报文段可以采用的编码格式构成的范围,其中可以包括一种或多种编码格式。此外,目标标准协议同样会对报文中各个报文段之间的关系进行限制,报文段组成关系,是指报文中各个报文段的组成及其相关关系,其可以从报文段数量、类型、排列顺序等角度对报文的格式进行限制。
为了得到准确的格式检测结果,可以对请求报文进行深度协议解析,基于采用的目标标准协议对其进行拆分得到报文段,并从多个角度对协议格式进行检测。格式检测结果,是指用于表示请求报文的报文段基于目标标准协议的变形情况的数据,基于格式检测结果和当前业务场景下的业务协议,可以识别出请求报文是否符合业务协议。报文格式检测处理用于识别请求报文基于目标标准协议的变形情况。针对报文格式检测处理的具体方式,可以对请求报文解析得到的多个报文段进行格式检测,例如可以从各个报文段的类型、数量以及报文段之间的组合、顺序等角度进行检测。例如,得到的格式检测结果为:在A自定义字段中存在一个B类型字段。在得到格式检测结果后,可以将其作为识别结果输入攻击检测模型。需要注意的是,在这种情况下,识别结果可以仅包括格式检测结果,或者还可以包括除格式检测结果以外的其他内容。
具体的,在一种实施方式中,对报文段进行报文格式检测处理,得到格式检测结果的过程可以进一步包括如下步骤:
步骤21:基于目标标准协议,对请求报文进行拆分,得到多个报文段。
步骤22:对报文段进行预设项目检测,得到格式检测结果。
本实施例中,预设项目包括报文段类型、报文段数量和排列方式中的至少一项。目标标准协议可以与请求报文当前以及后续解析所处的网络层相对应,由于协议变形可能发生在任意一个网络层,例如可以发生在应用层,或者可以发生在传输层,因此目标标准协议可以对应于任意一个网络层,例如其具体可以包括传输层协议,例如TCP/IP协议(Transmission Control Protocol/Internet Protocol,传输控制协议/网间协议);或者可以包括应用层协议,例如HTTP协议和POP协议。在确定请求报文所属的网络层后,可以根据该网络层确定目标标准协议,进而基于目标标准协议对其进行拆分,得到对应的报文段。
在得到报文段后,可以进一步利用目标标准协议,从报文段的类型、数量、排列方式等角度进行检测,确定请求报文在协议层面上的变形情况。具体的,对报文段的类型的检测,具体可以为检测在目标标准协议自定区间(即允许自定义的各个数据区间)内的报文段类型。对报文段数量的检测,具体可以为检测在目标标准协议自定区间内的各类报文段的数量,还可以为对每一类报文段的数量的检测。对报文段排列方式的检测,具体可以为检测在目标标准协议自定区间内的各类报文段排列顺序。通过从多个角度进行报文格式检测,可以将各种报文变形形式进行检出,得到准确的格式检测结果。
在另一种实施方式中,攻击者会将攻击载荷隐藏在报文段内部,即并不进行协议层面的变形,使得攻击报文的各个报文段数量等均符合当前业务场景下的业务协议,而是在报文段的内部,对其内容进行变形。因此,对请求报文中的各个报文段进行变形识别处理,得到识别结果的过程可以包括如下步骤:
步骤31:对报文段进行基于目标标准协议中报文段内容可选范围和/或报文段编码格式可选范围的内容变形识别处理,得到内容识别结果。
相应的,将识别结果输入攻击检测模型,得到检测结果,包括:
步骤32:将内容识别结果作为识别结果输入攻击检测模型,得到检测结果。
内容变形识别处理,是指对报文段中数据内容的编码格式、数据类型、数值所处区间等进行检测的处理。其基于上述的报文段内容可选范围和/或报文段编码格式可选范围执行,处理后即可得到内容识别结果。本实施例并不限定内容变形识别处理的具体方式,例如可以识别报文段中的内容采用了哪一种编码方式,或者可以识别报文段中的内容处于哪一个数据范围。在得到内容识别结果后,可以将其作为识别结果输入攻击检测模型。需要注意的是,在这种情况下,识别结果可以仅包括内容识别结果,或者还可以包括除内容识别结果以外的其他内容。
可以理解的是,步骤11~12的格式检测过程和步骤31~32的内容识别过程在变形识别处理中可以均被执行,或只有其中一个过程被执行。此外,在二者均被执行时,对于其具体执行顺序不做限定。例如可以先执行格式检测过程,再执行内容识别过程;或者可以先执行内容识别过程,再执行格式检测过程;或者可以同时执行格式检测过程和内容识别过程。基于上述实施例,对所述请求报文中的各个报文段进行变形识别处理的过程,也即,对所述报文段进行内容变形识别处理,得到内容识别结果的过程可以包括如下步骤:
步骤41:基于目标标准协议对应的标准数据段规则,对各个报文段进行针对所述报文段内容可选范围的内容识别,得到第一结果。
攻击载荷之所以能够实现网络攻击,其必然与当前业务场景下业务协议中规定的各个报文段的有效载荷在内容上存在不同,因此在进行内容变形识别时,可以基于标准数据段规则进行内容识别,确定报文段中的数据出现了何种变形,得到第一结果。标准数据段规则用于规定各个类型的标准数据段遵循的规则,标准数据段规则具体可以为标准内容进行限制的规则,在本实施例中,该规则可以作为对报文段内容中某个或某些数值所处的区间进行检测的规则。例如数据段中可以采用的标准字符或标准字符的若干种组合。或者,在另一种实施方式中,可以为数据长度的若干个可选区间。可以理解的是,不同类型的报文段对应的标准数据段规则可以不同,而报文段有时可能会被编码,在这种情况下,需要对报文段进行解码,并对解码后的数据进行内容识别,即标准数据段规则适用于解码后的数据。若标准数据段规则适用于编码后的数据,则任意经过编码的数据均可以通过内容识别,无法起到变形识别的效果。
本实施例并不限定对报文段进行内容识别的具体过程,可以根据需要选择检测的角度和方式。基于目标标准协议对应的标准数据段规则,对各个报文段进行内容识别,得到第一结果的过程具体可以包括如下步骤:
步骤51:基于目标标准协议对应的标准数据段规则,对各个报文段进行针对报文段内容数值可选范围的标准数据范围识别,得到第一子结果。
报文段内容数值可选范围,是指报文段中某个数值可以处于的若干个数值区间。标准数据范围识别用于检测报文段中的数据所处的范围。在一种实施方式中,目标标准协议规定了某一个报文段中数据的范围可以处于不重叠的A范围或B范围中,在某一业务场景下,该字段必须处于A范围,因此当对请求报文进行标准数据范围识别后,得到的第一子结果若表示其处于B范围,则说明请求报文虽然符合目标标准协议的要求,但并不符合当前业务场景的业务协议的要求。此外,还可以包括如下步骤:
步骤52:基于标准数据段规则,对各个报文段进行针对报文段内容类型可选范围的数据类型识别,得到第二子结果。
报文段内容类型可选范围,是指报文段中数据可选的数据类型组成的范围。数据类型识别用于检测各个报文段中采用了何种类型的数据,例如xform类型数据(即XFORM结构体数据)、json(JavaScript Object Notation,JavaScript对象简谱)类型数据、xml(Extensible Markup Language,可扩展标记语言)类型数据、html(HyperText MarkupLanguage,超文本标记语言)类型数据等。由于标准数据段规则通常规定了各个数据段可以采用多种类型的数据,而在某一业务场景下,业务协议规定的数据段的数据类型选择范围通常较小,若采用了该选择范围以外的其他类型的数据,则说明请求报文异常。为了为后续攻击检测模型提供数据基础,可以对报文段的数据类型识别。
需要说明的是,在基于标准数据段规则,对各个报文段进行内容识别的过程中,为了提高对变形的识别能力,步骤51和步骤52可以均被执行,或者可以仅执行其中一个。当二者均被执行时,对于其具体执行顺序不做限定。例如可以先执行步骤51,再执行步骤52;或者可以先执行步骤52,再执行步骤51;或者可以同时执行步骤51和步骤52。
相应的,得到第一结果的过程可以包括:
步骤53:利用第一子结果和/或第二子结果构成第一结果。
本实施例并不限定第一子结果和/或第二子结果的具体内容,在得到上述两个子结果后,可以按照预设的方式对其进行拼接,或者在预处理后利用其组成第一结果,具体拼接或预处理的方式不做限定。或者,在得到其中任意一个子结果后,利用其直接构成第一结果。
上述过程中,步骤51~步骤52作为内容变形识别处理中的内容识别过程的步骤被执行,在这种情况下,第一子结果和第二子结果用于构成第一结果。另外需要说明的是,步骤51~步骤52还可以单独作为变形识别处理的全部步骤而被单独执行,在这种情况下,第一子结果和/或第二子结果则用于构成识别结果。
进一步,对所述请求报文中的各个报文段进行变形识别处理的过程,也即,对所述报文段进行内容变形识别处理,得到内容识别结果的过程还可以包括如下步骤:
步骤42:基于标准数据段规则,对各个报文段进行针对报文段编码格式可选范围的编码格式识别,得到第二结果。
攻击者为了绕过安全检测,通常会对报文段进行编码,编码本身也是一种变形。在本实施例中,标准数据段规则还记录了各个类型的报文段对应的编码方式,具体可以为不进行编码、charset编码(即字符集编码)、url编码(url,Uniform Resource Locator,统一资源定位符)、Unicode编码、hex编码、oct编码、base64编码(基于64个可打印字符来表示二进制数据)等。由于各个类型的报文段对应的标准编码方式已经确定,因此对报文段进行编码格式识别可以判断该报文段是否采用了标准的编码方式,得到对应的第二结果。本实施例并不限定编码格式识别的具体方式,可以参考相关技术。
需要说明的是,在内容变形识别的过程中,步骤41和步骤42可以均被执行,或者可以仅执行其中一个。当二者均被执行时,对于其具体执行顺序不做限定。例如可以先执行步骤41,再执行步骤42;或者可以先执行步骤42,再执行步骤41;或者可以同时执行步骤41和步骤42。
因此,得到识别结果的过程可以包括:
步骤43:利用第一结果和/或第二结果构成识别结果。
在一种实施方式中,在得到第一结果和第二结果后,可以利用其组成识别结果,具体的组成格式和过程不做限定,例如可以直接将第一结果和第二结果进行拼接得到识别结果,或者可以对第一结果和第二结果进行预处理,并在与处理结束后进行拼接得到识别结果。识别结果的组成方式与步骤53中第一结果的组成方式可以相同也可以不同。在另一种实施方式中,在得到第一结果或第二结果后,利用其构成识别结果。
基于上述实施例,在一种可行的实施方式中,可以在本地训练得到攻击检测模型,则攻击检测模型的生成过程,包括:
步骤61:获取训练数据。
在本实施例中,训练数据包括数据部分,数据部分包括数据报文。在本实施例中,可以进行有监督学习得到攻击检测模型,或者基于无监督学习得到攻击检测模型,因此在一种实施方式中,训练数据可以进一步包括标签部分。标签部分可以为表明数据部分为攻击报文或非攻击报文的类型标签,其可以经由人工处理打标得到,或者可以经过其他变形识别处理得到,利用这一类型标签训练得到的攻击检测模型可以直接对请求报文是否为攻击报文进行表示。在另一种情况中,标签部分为数据部分对应的恶意度标签,恶意度可以表征数据部分为攻击报文的概率,利用其与预设的恶意度阈值的大小关系,可以表征数据报文是否为攻击报文。
步骤62:将数据部分输入初始模型,得到对应的训练结果。
步骤63:基于训练结果,对初始模型进行模型参数更新处理。
步骤64:若检测到满足训练完成条件,则将初始模型确定为如上述的攻击检测模型。
其中,初始模型是指没有达到收敛的模型,其在训练达到收敛后即转变为攻击检测模型,进而利用其对请求报文进行攻击检测。初始模型的具体结构不做限定。在将数据部分输入初始模型后,初始模型根据当前的模型参数对数据部分进行处理,得到对应的训练结果。根据训练结果对初始模型的模型参数进行更新,使得初始模型想着能够进行更加准确地预测的方向更新。若检测到满足训练完成条件,例如初始模型达到收敛,或者训练轮次达到轮次阈值,则可以确定训练完成,将初始模型确定为攻击检测模型。
在一种具体的实施方式中,标签部分为恶意度标签,将待测数据输入攻击检测模型后,利用上述训练得到的攻击检测模型直接输出的并不是检测结果,而是对应的恶意度。因此检测结果的具体获取过程可以包括:
步骤71:将识别结果输入攻击检测模型,得到数据恶意度。
其中,数据恶意度即为待测数据对应的恶意度,其具体可以为请求报文为攻击报文的概率。
步骤72:若数据恶意度处于异常区间,则确定检测结果表明检测到攻击。
步骤73:若数据恶意度不处于异常区间,则确定检测结果表明未检测到攻击。
异常区间为攻击报文对应的恶意度区间,其范围和上下限值不做限定。当数据恶意度处于异常区间,说明请求报文为攻击报文,因此确定检测结果为命中,即表明检测到攻击,否则确定检测结果为未命中,即表明未检测到攻击。
进一步的,当检测结果表明检测到攻击时,为了提高网络安全防护的效果,可以主动进行攻击阻断,避免持续收到用于进行网络攻击的请求数据包。具体的,若检测结果表明检测到攻击,还可以包括如下步骤:
步骤81:对请求报文和/或请求报文对应的发送方进行处理。
对于请求报文的具体处理方式不做限定,例如可以将其放入沙箱运行,以便得到模拟运行结果,进而利用模拟运行结果和请求报文对攻击检测模型进行调整,以便进一步提高攻击检测模型的性能。或者可以将其记录到异常日志中,以便用户进行查看。
在本实施例中,发送方的确定方式不做限定,在一种实施方式中,可以获取请求报文的发送方网络地址(即IP地址,Internet Protocol Address,网际协议地址),将该IP地址确定为发送方;在另一种实施方式中,可以获取发送该请求报文的设备对应的设备指纹,并将该设备指纹确定为发送方。在确定发送方后,可以对其进行攻击阻断处理。
其中,攻击阻断处理包括连接阻断处理、设备指纹封锁处理、人机校验处理中至少一项,除此以外,还可以包括其他阻断处理方式。具体的,连接阻断处理即为发送方网络连接,对其IP地址进行封禁。设备指纹封锁出理为将发送请求报文的设备进行封锁,不接受该设备发送的任何数据。人机校验处理即为判断发送请求报文的设备是否受到标准人员的控制。攻击阻断处理的具体处理过程可以参考相关技术,本实施例在此不做赘述。
请参考图2,图2为本申请实施例提供的一种具体的攻击检测方法流程图。在得到请求报文后,对其进行深度的解析,具体为经过tcp协议或udp协议(User DatagramProtocol,用户数据报协议)的解析后,进行应用层协议的解析,例如http协议、smb协议(Server Message Block)等的解析,得到多个报文段。在解析完毕后,进一步对各个报文段的应用内容进行解析,即识别其数据类型,例如json数据或xml数据,并对内容进行解码,即识别其对应的编码类型,例如url编码、hex编码或base64编码。在解析完成后,基于请求报文对应的目标协议和标准数据段规则进行内容变形识别,检测其存在的协议变形和编码变形。在得到识别结果后,利用其对请求报文进行标记得到待测数据,并将待测数据输入攻击检测模型,利用其进行攻击意图识别,得到对应的数据恶意度。多数据恶意度处于异常区间,则确定检测到攻击报文,在这种情况下进行攻击处置,对攻击者进行封锁拦截。在一个具体的例子中,对目标标准协议进行基于当前业务场景的设置后,得到对应的业务协议。目标标准协议中存在A自定义字段,其中可以包括若干个base64编码或Unicode编码,数据类型为xform或json的报文段。而业务协议要求A自定义字段的位置仅能存在一个数据类型为json,其中某一键值对的值处于(0,1),编码方式为base64的报文段。在获取到请求报文后,对其进行报文格式检测,得到A自定义字段包括了两个字段,将上述识别结果输入攻击检测模型,得到的检测结果即表明检测到了攻击。或者,对请求报文进行内容变形识别处理,A自定义字段中的报文段包括数据类型为xform的数据。将上述识别结果输入攻击检测模型,得到的检测结果即表明检测到了攻击。或者,对请求报文进行内容变形识别处理,A自定义字段中的报文段包括数据类型为json的数据,其中指定的键值对的值为1.5。将上述识别结果输入攻击检测模型,得到的检测结果即表明检测到了攻击。或者,A自定义字段中的报文段为数据类型为json的数据,其中指定的键值对的值为处于(0,1),编码方式为Unicode的报文段。将上述识别结果输入攻击检测模型,得到的检测结果即表明检测到了攻击。上述内容识别处理的过程和报文格式检测的过程还可以同时进行。需要说明的是,本实施例中的若干个例子仅为一些示例性的情况,并不表示仅能出现上述情况。
下面对本申请实施例提供的攻击检测装置进行介绍,下文描述的攻击检测装置与上文描述的攻击检测方法可相互对应参照。
请参考图3,图3为本申请实施例提供的一种攻击检测装置的结构示意图,包括:
获取模块110,用于获取请求报文;
变形识别模块120,用于对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果;
检测模块130,用于将所述识别结果输入攻击检测模型,得到检测结果;所述检测结果用于表征是否检测到攻击。
可选地,变形识别模块120,包括:
内容变形识别单元,用于对所述报文段进行基于目标标准协议中报文段内容可选范围和/或报文段编码格式可选范围的内容变形识别处理,得到内容识别结果;
相应的,检测模块130,包括:
第一输入单元,用于将所述内容识别结果作为所述识别结果输入所述攻击检测模型,得到所述检测结果;
和/或,
格式检测单元,用于对所述请求报文进行基于目标标准协议中报文段组成要求的报文格式检测处理,得到格式检测结果;
相应的,检测模块130,包括:
第二输入单元,用于将所述格式检测结果作为所述识别结果输入攻击检测模型,得到所述检测结果。
可选地,格式检测单元,包括:
拆分子单元,用于基于目标标准协议,对所述请求报文进行拆分,得到多个所述报文段;
格式检测子单元,用于对所述报文段进行预设项目检测,得到所述格式检测结果;所述预设项目包括报文段类型、报文段数量和排列方式中的至少一项。
可选地,变形识别模块120,包括:
内容识别单元,用于基于目标标准协议的标准数据段规则,对各个所述报文段进行针对报文段内容可选范围的内容识别,得到第一结果;
和/或,
编码格式识别单元,用于基于所述标准数据段规则,对各个所述报文段进行针对报文段编码格式可选范围的编码格式识别,得到第二结果;
相应的,变形识别模块120,包括:
第一构成单元,用于利用所述第一结果和/或所述第二结果构成所述识别结果。
可选地,变形识别模块120,包括:
数据范围识别单元,用于基于目标标准协议的所述标准数据段规则,对各个所述报文段进行针对报文段内容数值可选范围的标准数据范围识别,得到第一子结果;
和/或,
数据类型识别单元,用于基于所述标准数据段规则,对各个所述报文段进行针对报文段内容类型可选范围的数据类型识别,得到第二子结果;
相应的,变形识别模块120,包括:
第二构成单元,用于利用所述第一子结果和/或所述第二子结果构成所述识别结果。
可选地,检测模块130,包括:
数据恶意度生成单元,用于将所述识别结果输入攻击检测模型,得到数据恶意度;
第一确定单元,用于若所述数据恶意度处于异常区间,则确定所述检测结果表明检测到攻击;
第二确定单元,用于若所述数据恶意度不处于所述异常区间,则确定所述检测结果表明未检测到攻击。
可选地,检测模块130,包括:
结果和报文输入单元,用于将所述识别结果与所述请求报文输入所述攻击检测模型,得到所述检测结果。
可选地,包括:
处理模块,用于对所述请求报文和/或所述请求报文对应的发送方进行处理。
下面对本申请实施例提供的模型训练装置进行介绍,下文描述的模型训练装置与上文描述的模型训练方法可相互对应参照。
一种模型训练装置,包括:
数据获取模块,用于获取训练数据;所述训练数据包括数据部分,所述数据部分包括数据报文;
输入模块,用于将所述数据部分输入初始模型,得到对应的训练结果;
更新模块,用于基于所述训练结果,对所述初始模型进行模型参数更新处理;
模型确定模块,用于若检测到满足训练完成条件,则将所述初始模型确定为上述的攻击检测模型。
下面对本申请实施例提供的电子设备进行介绍,下文描述的电子设备与上文描述的攻击检测方法可相互对应参照。
请参考图4,图4为本申请实施例提供的一种电子设备的结构示意图。其中电子设备100可以包括处理器101和存储器102,还可以进一步包括多媒体组件103、信息输入/信息输出(I/O)接口104以及通信组件105中的一种或多种。
其中,处理器101用于控制电子设备100的整体操作,以完成上述的攻击检测方法中的全部或部分步骤;存储器102用于存储各种类型的数据以支持在电子设备100的操作,这些数据例如可以包括用于在该电子设备100上操作的任何应用程序或方法的指令,以及应用程序相关的数据。该存储器102可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,SRAM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、只读存储器(Read-OnlyMemory,ROM)、磁存储器、快闪存储器、磁盘或光盘中的一种或多种。
多媒体组件103可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器102或通过通信组件105发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口104为处理器101和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件105用于电子设备100与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件105可以包括:Wi-Fi部件,蓝牙部件,NFC部件。
电子设备100可以被一个或多个应用专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、数字信号处理器(Digital Signal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field ProgrammableGate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述实施例给出的攻击检测方法。
下面对本申请实施例提供的计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的攻击检测方法可相互对应参照。
本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的攻击检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语包括、包含或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (12)
1.一种攻击检测方法,其特征在于,包括:
获取请求报文;
对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果;
将所述识别结果输入攻击检测模型,得到检测结果;所述检测结果用于表征是否检测到攻击。
2.根据权利要求1所述的攻击检测方法,其特征在于,所述对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果,包括:
对所述报文段进行基于所述目标标准协议中报文段内容可选范围和/或报文段编码格式可选范围的内容变形识别处理,得到内容识别结果;
相应的,将所述识别结果输入攻击检测模型,得到检测结果,包括:
将所述内容识别结果作为所述识别结果输入所述攻击检测模型,得到所述检测结果;
和/或,
对所述报文段进行基于所述目标标准协议中报文段组成要求的报文格式检测处理,得到格式检测结果;
相应的,所述将所述识别结果输入攻击检测模型,得到检测结果,包括:
将所述格式检测结果作为所述识别结果输入所述攻击检测模型,得到所述检测结果。
3.根据权利要求2所述的攻击检测方法,其特征在于,所述对所述报文段进行基于所述目标标准协议中报文段组成要求的报文格式检测处理,得到格式检测结果,包括:
基于所述目标标准协议,对所述请求报文进行拆分,得到所述报文段;
对所述报文段进行预设项目检测,得到所述格式检测结果;所述预设项目包括报文段类型、报文段数量和排列方式中的至少一项。
4.根据权利要求1所述的攻击检测方法,其特征在于,所述对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,包括:
基于所述目标标准协议对应的标准数据段规则,对各个所述报文段进行针对报文段内容可选范围的内容识别,得到第一结果;
和/或,
基于所述标准数据段规则,对各个所述报文段进行针对报文段编码格式可选范围的编码格式识别,得到第二结果;
相应的,所述得到识别结果,包括:
利用所述第一结果和/或所述第二结果构成所述识别结果。
5.根据权利要求1所述的攻击检测方法,其特征在于,所述对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,包括:
基于所述目标标准协议对应的标准数据段规则,对各个所述报文段进行针对报文段内容数值可选范围的标准数据范围识别,得到第一子结果;
和/或,
基于所述标准数据段规则,对各个所述报文段进行针对报文段内容类型可选范围的数据类型识别,得到第二子结果;
相应的,所述得到识别结果,包括:
利用所述第一子结果和/或所述第二子结果构成所述识别结果。
6.根据权利要求1所述的攻击检测方法,其特征在于,所述将所述识别结果输入攻击检测模型,得到检测结果,包括:
将所述识别结果输入攻击检测模型,得到数据恶意度;
若所述数据恶意度处于异常区间,则确定所述检测结果表明检测到攻击;
若所述数据恶意度不处于所述异常区间,则确定所述检测结果表明未检测到攻击。
7.根据权利要求1所述的攻击检测方法,其特征在于,所述将所述识别结果输入攻击检测模型,得到检测结果,包括:
将所述识别结果与所述请求报文输入所述攻击检测模型,得到所述检测结果。
8.根据权利要求1至7任一项所述的攻击检测方法,其特征在于,若所述检测结果表明检测到攻击,包括:
对所述请求报文和/或所述请求报文对应的发送方进行处理。
9.一种模型训练方法,其特征在于,包括:
获取训练数据;所述训练数据包括数据部分,所述数据部分包括数据报文;
将所述数据部分输入初始模型,得到对应的训练结果;
基于所述训练结果对所述初始模型进行模型参数更新处理;
若检测到满足训练完成条件,则将所述初始模型确定为如权利要求1至7任意一项所述的攻击检测模型。
10.一种攻击检测装置,其特征在于,包括:
获取模块,用于获取请求报文;
变形识别模块,用于对所述请求报文中的各个报文段进行基于目标标准协议的变形识别处理,得到识别结果;
检测模块,用于将所述识别结果输入攻击检测模型,得到检测结果;所述检测结果用于表征是否检测到攻击。
11.一种电子设备,其特征在于,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现如权利要求1至8任一项所述的攻击检测方法和/或如权利要求9所述的模型训练方法。
12.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的攻击检测方法和/或如权利要求9所述的模型训练方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110744978.9A CN113472791B (zh) | 2021-06-30 | 2021-06-30 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110744978.9A CN113472791B (zh) | 2021-06-30 | 2021-06-30 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113472791A true CN113472791A (zh) | 2021-10-01 |
| CN113472791B CN113472791B (zh) | 2023-07-14 |
Family
ID=77877280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110744978.9A Active CN113472791B (zh) | 2021-06-30 | 2021-06-30 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113472791B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114297641A (zh) * | 2021-12-31 | 2022-04-08 | 深信服科技股份有限公司 | 一种Web应用的异常检测方法、系统、存储介质和终端 |
| CN114338129A (zh) * | 2021-12-24 | 2022-04-12 | 中汽创智科技有限公司 | 一种报文异常检测方法、装置、设备及介质 |
| CN114553550A (zh) * | 2022-02-24 | 2022-05-27 | 京东科技信息技术有限公司 | 请求检测方法、装置、存储介质及电子设备 |
| CN115174201A (zh) * | 2022-06-30 | 2022-10-11 | 北京安博通科技股份有限公司 | 一种基于筛选标签的安全规则管理方法及装置 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| CN101286896A (zh) * | 2008-06-05 | 2008-10-15 | 上海交通大学 | 基于流的IPSec VPN协议深度检测方法 |
| CN101296227A (zh) * | 2008-06-19 | 2008-10-29 | 上海交通大学 | 基于报文偏移量匹配的IPSec VPN协议深度检测方法 |
| US20160308900A1 (en) * | 2015-04-13 | 2016-10-20 | Secful, Inc. | System and method for identifying and preventing malicious api attacks |
| CN106126383A (zh) * | 2016-06-01 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种日志处理方法和装置 |
| CN109902678A (zh) * | 2019-02-12 | 2019-06-18 | 北京奇艺世纪科技有限公司 | 模型训练方法、文字识别方法、装置、电子设备及计算机可读介质 |
| CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
| CN110995693A (zh) * | 2019-11-28 | 2020-04-10 | 杭州迪普信息技术有限公司 | 一种攻击特征的提取方法、装置及设备 |
| CN111737289A (zh) * | 2020-06-05 | 2020-10-02 | 北京奇艺世纪科技有限公司 | Sql注入攻击的检测方法、装置 |
| CN112202722A (zh) * | 2020-09-08 | 2021-01-08 | 华东师范大学 | 一种入侵检测方法 |
| CN112329919A (zh) * | 2020-11-05 | 2021-02-05 | 北京百度网讯科技有限公司 | 模型训练方法及装置 |
| CN112884086A (zh) * | 2021-04-06 | 2021-06-01 | 北京百度网讯科技有限公司 | 模型训练方法、装置、设备、存储介质以及程序产品 |
-
2021
- 2021-06-30 CN CN202110744978.9A patent/CN113472791B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| CN101286896A (zh) * | 2008-06-05 | 2008-10-15 | 上海交通大学 | 基于流的IPSec VPN协议深度检测方法 |
| CN101296227A (zh) * | 2008-06-19 | 2008-10-29 | 上海交通大学 | 基于报文偏移量匹配的IPSec VPN协议深度检测方法 |
| US20160308900A1 (en) * | 2015-04-13 | 2016-10-20 | Secful, Inc. | System and method for identifying and preventing malicious api attacks |
| CN106126383A (zh) * | 2016-06-01 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种日志处理方法和装置 |
| CN109902678A (zh) * | 2019-02-12 | 2019-06-18 | 北京奇艺世纪科技有限公司 | 模型训练方法、文字识别方法、装置、电子设备及计算机可读介质 |
| CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
| CN110995693A (zh) * | 2019-11-28 | 2020-04-10 | 杭州迪普信息技术有限公司 | 一种攻击特征的提取方法、装置及设备 |
| CN111737289A (zh) * | 2020-06-05 | 2020-10-02 | 北京奇艺世纪科技有限公司 | Sql注入攻击的检测方法、装置 |
| CN112202722A (zh) * | 2020-09-08 | 2021-01-08 | 华东师范大学 | 一种入侵检测方法 |
| CN112329919A (zh) * | 2020-11-05 | 2021-02-05 | 北京百度网讯科技有限公司 | 模型训练方法及装置 |
| CN112884086A (zh) * | 2021-04-06 | 2021-06-01 | 北京百度网讯科技有限公司 | 模型训练方法、装置、设备、存储介质以及程序产品 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338129A (zh) * | 2021-12-24 | 2022-04-12 | 中汽创智科技有限公司 | 一种报文异常检测方法、装置、设备及介质 |
| CN114338129B (zh) * | 2021-12-24 | 2023-10-31 | 中汽创智科技有限公司 | 一种报文异常检测方法、装置、设备及介质 |
| CN114297641A (zh) * | 2021-12-31 | 2022-04-08 | 深信服科技股份有限公司 | 一种Web应用的异常检测方法、系统、存储介质和终端 |
| CN114553550A (zh) * | 2022-02-24 | 2022-05-27 | 京东科技信息技术有限公司 | 请求检测方法、装置、存储介质及电子设备 |
| CN114553550B (zh) * | 2022-02-24 | 2024-02-02 | 京东科技信息技术有限公司 | 请求检测方法、装置、存储介质及电子设备 |
| CN115174201A (zh) * | 2022-06-30 | 2022-10-11 | 北京安博通科技股份有限公司 | 一种基于筛选标签的安全规则管理方法及装置 |
| CN115174201B (zh) * | 2022-06-30 | 2023-08-01 | 北京安博通科技股份有限公司 | 一种基于筛选标签的安全规则管理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113472791B (zh) | 2023-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113472791A (zh) | 一种攻击检测方法、装置、电子设备及可读存储介质 | |
| CN106961419B (zh) | WebShell检测方法、装置及系统 | |
| US10601865B1 (en) | Detection of credential spearphishing attacks using email analysis | |
| CN112417439A (zh) | 账号检测方法、装置、服务器及存储介质 | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| WO2019236520A1 (en) | Systems and methods for machine learning based application security testing | |
| CN113347210B (zh) | 一种dns隧道检测方法、装置及电子设备 | |
| CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| CN109858248B (zh) | 恶意Word文档检测方法和装置 | |
| US11425151B2 (en) | Client-side attack detection via simulation | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| WO2019013266A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
| US20160219069A1 (en) | Method for detecting anomalies in network traffic | |
| CN116707965A (zh) | 一种威胁检测方法、装置、存储介质以及电子设备 | |
| CN113364784B (zh) | 检测参数生成方法、装置、电子设备及存储介质 | |
| CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
| CN114422271A (zh) | 数据处理方法、装置、设备及可读存储介质 | |
| CN111797401B (zh) | 一种攻击检测参数获取方法、装置、设备及可读存储介质 | |
| CN114070899A (zh) | 一种报文检测方法、设备及可读存储介质 | |
| CN113965333A (zh) | 一种目标流量检测方法、装置、设备及可读存储介质 | |
| CN113297577B (zh) | 一种请求处理方法、装置、电子设备及可读存储介质 | |
| CN113282932B (zh) | 一种poc生成方法、装置、电子设备和存储介质 | |
| CN114499980A (zh) | 一种钓鱼邮件检测方法、装置、设备及存储介质 | |
| CN114024651A (zh) | 一种编码类型识别方法、装置、设备及可读存储介质 | |
| CN108123960B (zh) | 直播房间人气验证方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: An attack detection method, device, electronic device, and readable storage medium Effective date of registration: 20231212 Granted publication date: 20230714 Pledgee: Shenzhen Branch of China Merchants Bank Co.,Ltd. Pledgor: SANGFOR TECHNOLOGIES Inc. Registration number: Y2023980070863 |