CN113965418A - 一种攻击成功判定方法及装置 - Google Patents
一种攻击成功判定方法及装置 Download PDFInfo
- Publication number
- CN113965418A CN113965418A CN202111575903.9A CN202111575903A CN113965418A CN 113965418 A CN113965418 A CN 113965418A CN 202111575903 A CN202111575903 A CN 202111575903A CN 113965418 A CN113965418 A CN 113965418A
- Authority
- CN
- China
- Prior art keywords
- attack
- data packet
- response data
- success
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种攻击成功判定方法及装置,涉及网络安全技术领域,该攻击成功判定方法包括:获取待检测的网络流量数据;获取网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包;对响应数据包进行深度分析处理,得到深度分析结果;根据深度分析结果判断是否攻击成功;当判断出攻击成功时,输出攻击成功提示信息,能够检测网络攻击是否攻击成功,避免产生大量威胁告警,从而有利于提高安全运营人员的工作效率。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种攻击成功判定方法及装置。
背景技术
随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径,信息安全变得越来越重要。而威胁检测作为信息安全领域中的重要课题,正越来越受到关注。现有技术通过网络设备采集流量到NIDS或NDR,随后NIDS或NDR设备从流量数据包中分析和检测攻击特征,然后发出威胁告警,其一般通过编写规则和正则表达式来匹配攻击特征,出现攻击特征即产生告警。然而,在实践中发现,现有技术告警信息无法判断网络攻击是否攻击成功,且会产生大量威胁告警,严重降低安全运营人员的工作效率。
发明内容
本申请实施例的目的在于提供一种攻击成功判定方法及装置,能够检测网络攻击是否攻击成功,避免产生大量威胁告警,从而有利于提高安全运营人员的工作效率。
本申请实施例第一方面提供了一种攻击成功判定方法,包括:
获取待检测的网络流量数据;
获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求数据包相关联的响应数据包;
对所述响应数据包进行深度分析处理,得到对所述响应数据包进行深度分析处理,得到深度分析结果;
根据所述深度分析结果判断是否攻击成功;
当判断出攻击成功时,输出攻击成功提示信息。
在上述实现过程中,获取待检测的网络流量数据;获取网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包;对响应数据包进行深度分析处理,得到深度分析结果;根据深度分析结果判断是否攻击成功;当判断出攻击成功时,输出攻击成功提示信息,能够检测网络攻击是否攻击成功,避免产生大量威胁告警,从而有利于提高安全运营人员的工作效率。
进一步地,所述获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求数据包相关联的响应数据包,包括:
获取所述网络流量数据中的请求数据包;
对所述请求数据包进行攻击特征检测,得到检测结果;
根据所述检测结果从所述请求数据包中确定出具有攻击特征的攻击请求数据包;
获取与所述攻击请求数据包相对应的响应数据包,并将所述响应数据包与所述攻击请求数据包进行关联。
进一步地,所述对所述响应数据包进行深度分析处理,得到深度分析结果,包括:
对所述响应数据包进行深度包检测,得到响应数据;
根据预设的漏洞情报库对所述响应数据进行攻击检测,确定第一攻击状态;
对所述响应数据进行特征分析,确定第二攻击状态;
根据预先构建的网络攻击检测模型对所述响应数据进行处理,得到第三攻击状态;所述深度分析结果包括所述第一攻击状态、所述第二攻击状态和所述第三攻击状态。
进一步地,所述根据预设的漏洞情报库对所述响应数据进行攻击检测,确定第一攻击状态,包括:
判断所述响应数据与预设的漏洞情报库是否匹配;
如果是,则确定第一攻击状态为攻击成功;
如果否,则确定第一攻击状态为未攻击成功。
进一步地,所述对所述响应数据进行特征分析,确定第二攻击状态,包括:
根据所述响应数据提取攻击行为的结果;
对所述攻击行为的结果进行特征分析,得到特征分析结果;
判断所述特征分析结果与预设的攻击判定规则是否匹配;
如果是,则确定第二攻击状态为攻击成功;
如果否,则确定第二攻击状态为未攻击成功。
进一步地,所述根据预先构建的网络攻击检测模型对所述响应数据进行处理,得到第三攻击状态,包括:
对所述响应数据进行特征提取,得到特征向量;
通过预先构建的网络攻击检测模型对所述特征向量进行处理,得到攻击检测结果;
根据所述攻击检测结果确定第三攻击状态。
进一步地,根据所述深度分析结果判断是否攻击成功,包括:
判断所述第一攻击状态、所述第二攻击状态以及所述第三攻击状态中,是否存在有攻击状态为攻击成功;
如果是,则判断为攻击成功;
如果否,则判断为未攻击成功。
进一步地,所述输出攻击成功提示信息包括:
确定所述响应数据包对应的攻击事件;
调整所述攻击事件的威胁严重等级;
输出包括所述攻击事件以及所述威胁严重等级的攻击成功提示信息。
本申请实施例第二方面提供了一种攻击成功判定装置,所述攻击成功判定装置包括:
第一获取单元,用于获取待检测的网络流量数据;
第二获取单元,用于获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求数据包相关联的响应数据包;
分析单元,用于对所述响应数据包进行深度分析处理,得到深度分析结果;
判断单元,用于根据所述深度分析结果判断是否攻击成功;
输出单元,用于当判断出攻击成功时,输出攻击成功提示信息。
在上述实现过程中,第一获取单元先获取待检测的网络流量数据;然后第二获取单元获取网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包;分析单元对所述响应数据包进行深度分析处理,得到深度分析结果;判断单元根据所述深度分析结果判断是否攻击成功,输出单元在判断出攻击成功时,输出攻击成功提示信息,能够检测网络攻击是否攻击成功,避免产生大量威胁告警,从而有利于提高安全运营人员的工作效率。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的攻击成功判定方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的攻击成功判定方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种攻击成功判定方法的流程示意图;
图2为本申请实施例提供的另一种攻击成功判定方法的流程示意图;
图3为本申请实施例提供的一种攻击成功判定装置的结构示意图;
图4为本申请实施例提供的另一种攻击成功判定装置的结构示意图;
图5为本申请实施例提供的一种攻击成功判定装置的网络构架设置程示意图;
图6为本申请实施例提供的一种攻击成功提示信息的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种攻击成功判定方法的流程示意图。其中,该攻击成功判定方法包括:
S101、获取待检测的网络流量数据。
本申请实施例中,该方法应用于针对网络流量中网络攻击的检测场景中。
本申请实施例中,该方法的执行主体可以为攻击成功判定装置。
本申请实施例中,当该攻击成功判定装置为硬件设备时,具体可以为计算机、服务器等计算装置,也可以为智能手机、平板电脑等智能设备,对此本实施例中不作任何限定。
本申请实施例中,当该攻击成功判定装置为软件化部署时,具体可以运行于计算机、服务器等计算装置上,也可以运行于智能手机、平板电脑等智能设备上,对此本实施例中不作任何限定。
S102、获取网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包。
本申请实施例中,该网络流量数据包括请求数据包和响应数据包的流量数据,对此本申请实施例不作限定。其中,该请求数据包被判定为攻击请求数据包。
本申请实施例中,先从网络流量数据中划分请求数据包和响应数据包,具体地,可以通过网络流量数据的数据包信息,划分请求数据包和响应数据包。该数据包信息包括IP地址、端口号、SYN标志等信息,对此本申请实施例不作限定。
本申请实施例中,在实际使用中,第一通信端可以发送请求数据包至第二通信端,同时,第一通信端还会接收到第二通信端针对该请求数据包的响应数据包,可以确定出网络流量数据中同一个网络会话中的请求数据包和以及与该请求数据包对应的响应数据包,并将请求数据包与其对应的响应数据包进行关联。
作为一种可选的实施方式,获取网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包,可以包括以下步骤:
获取网络流量数据中每个数据包的数据包信息,其中,数据包信息包括通信IP地址、通信端口号、序列号以及标志字段中的一种或者多种;
根据数据包信息将不同会话的数据包区分开来,得到每个网络会话的会话数据包;
确定每个会话数据包中的请求数据包以及与该请求数据包相对应的响应数据包;
将请求数据包以及与该请求数据包相对应的响应数据包进行关联处理,得到网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包。
在上述实施方式中,对请求数据包以及与该请求数据包相对应的响应数据包进行关联处理,有利于提升攻击成功判别的准确性,避免响应数据包与攻击的请求数据包不对应导致攻击成功判别错误的情况,举例来说,假设有请求数据包A1,A1对应的响应数据包为A2;有请求数据包B1,B1对应的响应数据包为B2;若A1、A2、B1、B2没有一一对应关联,设其中A1为攻击流量,具有攻击特征,如果A2不含有攻击成功的特征,但B2中含有攻击成功的特征,则存在检测出攻击成功的误报情况,该误报将会认为攻击成功,但实际并没有成功。因此,将A1与A2关联、B1与B2关联,分别检查是否攻击成功,准确性高,从而有利于避免上述误检误报的情况。
S103、对响应数据包进行深度分析处理,得到深度分析结果。
本申请实施例中,在具有攻击特征的请求数据包关联的响应数据包中,可以通过威胁情报、特征分析、人工智能技术等方法检测响应数据包,以判断是否攻击成功。
作为一种可选的实施方式,还可以包括以下步骤:
根据响应数据包和响应数据包相关联的攻击请求数据包,确定攻击事件;
获取攻击事件的当前的威胁严重等级;
根据深度分析结果对当前的威胁严重等级进行调整,得到更新的威胁严重等级;
输出攻击事件以及更新的威胁严重等级,以供用户浏览。
在上述实施方式中,可以根据是否攻击成功,调整攻击事件的威胁严重等级,展示给安全运营人员。
S104、根据深度分析结果判断是否攻击成功,如果是,执行步骤S105;如果否,结束本流程。
S105、输出攻击成功提示信息。
本申请实施例中,对于攻击成功的攻击事件,输出攻击成功提示信息;将攻击事件的威胁严重等级上升一级,例如,中危事件升级为高危事件、高危事件升级为严重事件等,对此本申请实施例不作限定。
作为一种可选的实施方式,该攻击成功判定装置可以为NIDS(network intrusiondetection system,网络入侵检测系统)装置、NDR(网络检测和响应)类装置、IDS(intrusion detection system,入侵检测系统)装置等,具体可以是硬件设备,也可以软件化部署。
在上述实施方式中,该攻击成功判定装置需要通过网络交换机接收流量,如图5所示,IDS即为攻击成功判定装置,在该装置上实施本实施例提供的方法,能够判断是否攻击成功,解决了网络攻击成功的判别问题,提高了安全运营人员的工作效率。
本申请实施例中,该攻击成功判定装置,集成了在情报驱动的新一代网络流量检测与响应(NDR)产品以及基于旁路流量的全方位威胁检测与响应平台,广泛覆盖传统僵木蠕、APT、Web 和非 Web 攻击、业务风险挖掘、资产梳理。能够深度研判流量载荷,自动判定是否“攻击成功”无需人工排查海量日志,极大提高了安全运营人员的工作效率。
可见,实施本实施例所描述的攻击成功判定方法,能够检测网络攻击是否攻击成功,避免产生大量威胁告警,从而有利于提高安全运营人员的工作效率。
实施例2
请参看图2,图2为本申请实施例提供的另一种攻击成功判定方法的流程示意图。如图2所示,其中,该攻击成功判定方法包括:
S201、获取待检测的网络流量数据。
S202、获取网络流量数据中的请求数据包。
S203、对请求数据包进行攻击特征检测,得到检测结果。
作为一种可选的实施方式,对请求数据包进行攻击特征检测,得到检测结果,可以包括以下步骤:
对请求数据包进行解析处理,得到解析数据包;
获取解析数据包的特征元信息;
获取预设的攻击特征元库,判断特征元信息与攻击特征元库是否匹配;
如果匹配,则确定请求数据包的检测结果为检测到攻击特征。
在步骤S203之后,还包括以下步骤:
S204、根据检测结果从请求数据包中确定出具有攻击特征的攻击请求数据包。
S205、获取与攻击请求数据包相对应的响应数据包,并将响应数据包与攻击请求数据包进行关联。
本申请实施例中,可以通过预先设置的关联算法,实现响应数据包与相应攻击请求数据包相关联。
本申请实施例中,实施上述步骤S202~步骤S205,能够获取网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包。
在步骤S205之后,还包括以下步骤:
S206、对响应数据包进行深度包检测,得到响应数据。
S207、根据预设的漏洞情报库对响应数据进行攻击检测,确定第一攻击状态。
作为一种可选的实施方式,根据预设的漏洞情报库对响应数据进行攻击检测,确定第一攻击状态,包括:
判断响应数据与预设的漏洞情报库是否匹配;
如果是,则确定第一攻击状态为攻击成功;
如果否,则确定第一攻击状态为未攻击成功。
在上述实施方式中,可以通过威胁情报技术确定第一攻击状态,通过漏洞情报分析响应数据包内容,如果响应数据包内容与漏洞情报库中攻击成功的结果一致,则判定为攻击成功。
在步骤S207之后,还包括以下步骤:
S208、对响应数据进行特征分析,确定第二攻击状态。
作为一种可选的实施方式,对响应数据进行特征分析,确定第二攻击状态,包括:
根据响应数据提取攻击行为的结果;
对攻击行为的结果进行特征分析,得到特征分析结果;
判断特征分析结果与预设的攻击判定规则是否匹配;
如果是,则确定第二攻击状态为攻击成功;
如果否,则确定第二攻击状态为未攻击成功。
在上述实施方式中,可以通过特征分析的方法确定第二攻击状态,通过对攻击行为的结果进行特征分析,例如SQL注入的响应数据包、文件上传的响应数据包、DNS解析的响应数据包等方式,进行特征分析,当特征分析结果与预设的攻击判定规则相匹配时,即特征分析结果命中攻击判定规则时,表明特征分析结果符合攻击特征,则判定第二攻击状态为攻击成功。
S209、根据预先构建的网络攻击检测模型对响应数据进行处理,得到第三攻击状态。
作为一种可选的实施方式,根据预先构建的网络攻击检测模型对响应数据进行处理,得到第三攻击状态,包括:
对响应数据进行特征提取,得到特征向量;
通过预先构建的网络攻击检测模型对特征向量进行处理,得到攻击检测结果;
根据攻击检测结果确定第三攻击状态。
在上述实施方式中,可以通过人工智能识别方法确定第三攻击状态,可以使用特征分析提取的特征向量输入到预先构建的网络攻击检测模型中,从而判定是否给攻击成功。
在上述实施方式中,该预先构建的网络攻击检测模型为人工智能模型。
在上述实施方式中,在通过预先构建的网络攻击检测模型对特征向量进行处理,得到攻击检测结果之前,需要先建立网络攻击检测模型。建立网络攻击检测模型时,先收集训练样本数据;从训练样本数据中提取已知的网络攻击的特征,得到攻击特征样本;对攻击特征样本进行分类,获得训练样本;根据训练样本进行模型训练,得到网络攻击检测模型。
本申请实施例中,实施上述步骤S207~步骤S209,能够对响应数据包进行深度分析处理,得到深度分析结果,该深度分析结果包括第一攻击状态、第二攻击状态和第三攻击状态。
S210、判断第一攻击状态、第二攻击状态以及第三攻击状态中,是否存在有攻击状态为攻击成功,如果是,结束本流程;如果否,执行步骤S211。
本申请实施例中,实施上述步骤S207~步骤S209,能够对响应数据依次进行三次是否攻击成功的判定,得到第一攻击状态、第二攻击状态以及第三攻击状态三种攻击状态的判定结果,如果其一判定为攻击成功,即判定为攻击成功。
本申请实施例中,当第一攻击状态、第二攻击状态以及第三攻击状态中,不存在有攻击状态为攻击成功时,则判断结果为否,即第一攻击状态、第二攻击状态以及第三攻击状态均不为攻击成功状态,则判断为未攻击成功;当第一攻击状态、第二攻击状态以及第三攻击状态中,任一个或者多个为攻击成功时,则判断结果为攻击成功,则执行步骤S211。
本申请实施例中,对响应数据依次进行三次是否攻击成功的判定,能够避免使用单一方法进行判定导致判定失误的情况,通过不同的三种方法,能够提升攻击成功判定的准确性。
作为一种可选的实施方式,还可以包括以下步骤:
当判断出未攻击成功时,确定响应数据包对应的攻击事件;
根据该未攻击成功的判定结果调整攻击事件的威胁严重等级。
在上述实施方式中,根据该未攻击成功的判定结果调整攻击事件的威胁严重等级时,可以根据预设等级规则,对攻击事件的威胁严重等级进行调低一级。此外,还可以输出该攻击事件以及攻击事件的威胁严重等级供用户浏览。
本申请实施例中,将网络流量中同一个网络会话中的请求数据包和响应数据包关联起来,是在具有攻击特征的请求数据包关联的响应数据包中,通过威胁情报、特征分析、人工智能技术检测响应数据包判断攻击是否成功的前提。在将同一个网络会话中的请求数据包和响应数据包关联起来,可以达到通过流量中的响应数据包判定攻击成功的效果,提高安全运营人员的工作效率。
S211、输出攻击成功提示信息。
作为一种可选的实施方式,输出攻击成功提示信息包括:
确定响应数据包对应的攻击事件;
调整攻击事件的威胁严重等级;
输出包括攻击事件以及威胁严重等级的攻击成功提示信息。
在上述实施方式中,输出的攻击成功提示信息如图6所示,攻击成功提示信息还包括攻击成功判定日期、第一通信端IP(即攻击端IP)、第二通信端IP(即被攻击端IP或者受害者IP)、攻击事件相关的通信协议、攻击事件的告警信息以及响应数据包以及对应攻击请求数据包的原始报文信息等,同时,还可以对该告警信息提供误报处理、白名单设置处理入口,用户可以根据对该告警信息进行相应的处理。
如图6所示,还可以对第一通信端IP、第二通信端IP进行相应的备注信息设置,灵活性高。
如图6所示,该告警信息包括攻击事件的威胁严重等级以及攻击事件的具体信息等,对此本申请实施例不作限定。
在上述实施方式中,对于攻击成功的事件可以提高相应的威胁严重等级,帮助安全运营人员分清轻重缓急,提高安全运营人员的工作效率,将安全运营人员从海量报警中解脱出来。
本申请实施例中,实施该方法判定攻击成功的实例举例如下:
例1:设一威胁程序为Web命令执行工具,可以实现黑客攻击Web系统,并通过HTTP请求和HTTP响应传递命令和命令执行结果。
在通过本实施例提供的方法进行攻击检测时,先从HTTP请求中检出攻击特征,其中HTTP请求包括的攻击特征有:URL路径shell.jsp、Accept字段内容、HTTP请求体等,当判断出该攻击特征为全Base64编码,可以判定为攻击HTTP请求。然后根据HTTP响应数据包判定是否攻击成功,先确定该攻击HTTP请求相关联的HTTP响应,然后当判断出HTTP响应中响应码为200,且HTTP响应体的乱码形式符合该威胁程序的响应特征时,则可以判定为攻击者成功连接到此威胁程序并有能力进行远程代码执行,判定为攻击成功。
例2:设一漏洞程序,可以用来攻击Windows Active Directory(视窗系统的活动目录)中的域控制器。
在通过本实施例提供的方法进行攻击检测时,先从请求数据包检出攻击特征,具体地,根据预设的漏洞攻击特征检测请求数据包的攻击特征。 其中,预设的漏洞攻击特征包括攻击者使用全零的Client Credential、攻击者有指定AES加密算法、通过Backupdomain controller方法连接到域控制器的机器账户发起认证请求等。然后从响应数据包检出是否攻击成功,先借助TCP连接会话、RPC连接会话为该请求数据包关联出响应数据包。
然后检查响应数据包的返回码(Return code),当其为预设数值(如0x00000000)时,即STATUS_SUCCESS,即表明登陆成功、漏洞利用成功,也从而确定出攻击成功:当响应数据包的返回码(Return code)为0xc0000022时,则不为预设数据时,即STATUS_ACCESS_DENIED,判定为不为攻击成功,即攻击失败。
通过上述举例可以看出,实施本实施例提供的方法能够解决网络攻击成功的判别问题,提高安全运营人员的工作效率。
可见,实施本实施例所描述的攻击成功判定方法,能够检测网络攻击是否攻击成功,避免产生大量威胁告警,从而有利于提高安全运营人员的工作效率。
实施例3
请参看图3,图3为本申请实施例提供的一种攻击成功判定装置的结构示意图。如图3所示,该攻击成功判定装置包括:
第一获取单元310,用于获取待检测的网络流量数据;
第二获取单元320,用于获取网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包;
分析单元330,用于对响应数据包进行深度分析处理,得到深度分析结果;
判断单元340,用于根据深度分析结果判断是否攻击成功;
输出单元350,用于当判断出攻击成功时,输出攻击成功提示信息。
本申请实施例中,对于攻击成功判定装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的攻击成功判定装置,能够检测网络攻击是否攻击成功,避免产生大量威胁告警,从而有利于提高安全运营人员的工作效率。
实施例4
请一并参阅图4,图4是本申请实施例提供的另一种攻击成功判定装置的结构示意图。其中,图4所示的攻击成功判定装置是由图3所示的攻击成功判定装置进行优化得到的。如图4所示,第二获取单元320包括:
获取子单元321,用于获取网络流量数据中的请求数据包;
特征检测子单元322,用于对请求数据包进行攻击特征检测,得到检测结果;
第一确定子单元323,用于根据检测结果从请求数据包中确定出具有攻击特征的攻击请求数据包;
获取子单元321,还用于获取与攻击请求数据包相对应的响应数据包;
关联子单元324,用于将响应数据包与攻击请求数据包进行关联。
作为一种可选的实施方式,分析单元330,包括:
包检测子单元331,用于对响应数据包进行深度包检测,得到响应数据;
第二确定子单元332,用于根据预设的漏洞情报库对响应数据进行攻击检测,确定第一攻击状态;
第三确定子单元333,用于对响应数据进行特征分析,确定第二攻击状态;
第四确定子单元334,用于根据预先构建的网络攻击检测模型对响应数据进行处理,得到第三攻击状态;深度分析结果包括第一攻击状态、第二攻击状态和第三攻击状态。
作为进一步可选的实施方式,第二确定子单元332包括:
第一模块,用于判断响应数据与预设的漏洞情报库是否匹配;
第二模块,用于当判断出响应数据与漏洞情报库相匹配时,确定第一攻击状态为攻击成功;当判断出响应数据与漏洞情报库不相匹配时,则确定第一攻击状态为未攻击成功。
作为进一步可选的实施方式,第三确定子单元333包括:
第三模块,用于根据响应数据提取攻击行为的结果;
第四模块,用于对攻击行为的结果进行特征分析,得到特征分析结果;
第五模块,用于判断特征分析结果与预设的攻击判定规则是否匹配;如果是,则确定第二攻击状态为攻击成功;如果否,则确定第二攻击状态为未攻击成功。
作为进一步可选的实施方式,第四确定子单元334包括:
第六模块,用于对响应数据进行特征提取,得到特征向量;
第七模块,用于通过预先构建的网络攻击检测模型对特征向量进行处理,得到攻击检测结果;
第八模块,用于根据攻击检测结果确定第三攻击状态。
作为一种可选的实施方式,判断单元340,具体用于判断第一攻击状态、第二攻击状态以及第三攻击状态中,是否存在有攻击状态为攻击成功;如果是,则判断为攻击成功;如果否,则判断为未攻击成功。
作为一种可选的实施方式,输出单元350包括:
第五确定子单元351,用于确定响应数据包对应的攻击事件;
调整子单元352,用于调整攻击事件的威胁严重等级;
输出子单元353,用于输出包括攻击事件以及威胁严重等级的攻击成功提示信息。
本申请实施例中,对于攻击成功判定装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的攻击成功判定装置,能够检测网络攻击是否攻击成功,避免产生大量威胁告警,从而有利于提高安全运营人员的工作效率。
本申请实施例提供了一种电子设备,包括存储器以及处理器,存储器用于存储计算机程序,处理器运行计算机程序以使电子设备执行本申请实施例1或实施例2中任一项攻击成功判定方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,计算机程序指令被一处理器读取并运行时,执行本申请实施例1或实施例2中任一项攻击成功判定方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种攻击成功判定方法,其特征在于,包括:
获取待检测的网络流量数据;
获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求数据包相关联的响应数据包;
对所述响应数据包进行深度分析处理,得到深度分析结果;
根据所述深度分析结果判断是否攻击成功;
当判断出攻击成功时,输出攻击成功提示信息。
2.根据权利要求1所述的攻击成功判定方法,其特征在于,所述获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求数据包相关联的响应数据包,包括:
获取所述网络流量数据中的请求数据包;
对所述请求数据包进行攻击特征检测,得到检测结果;
根据所述检测结果从所述请求数据包中确定出具有攻击特征的攻击请求数据包;
获取与所述攻击请求数据包相对应的响应数据包,并将所述响应数据包与所述攻击请求数据包进行关联。
3.根据权利要求1所述的攻击成功判定方法,其特征在于,所述对所述响应数据包进行深度分析处理,得到深度分析结果,包括:
对所述响应数据包进行深度包检测,得到响应数据;
根据预设的漏洞情报库对所述响应数据进行攻击检测,确定第一攻击状态;
对所述响应数据进行特征分析,确定第二攻击状态;
根据预先构建的网络攻击检测模型对所述响应数据进行处理,得到第三攻击状态;所述深度分析结果包括所述第一攻击状态、所述第二攻击状态和所述第三攻击状态。
4.根据权利要求3所述的攻击成功判定方法,其特征在于,所述根据预设的漏洞情报库对所述响应数据进行攻击检测,确定第一攻击状态,包括:
判断所述响应数据与预设的漏洞情报库是否匹配;
如果是,则确定第一攻击状态为攻击成功;
如果否,则确定第一攻击状态为未攻击成功。
5.根据权利要求3所述的攻击成功判定方法,其特征在于,所述对所述响应数据进行特征分析,确定第二攻击状态,包括:
根据所述响应数据提取攻击行为的结果;
对所述攻击行为的结果进行特征分析,得到特征分析结果;
判断所述特征分析结果与预设的攻击判定规则是否匹配;
如果是,则确定第二攻击状态为攻击成功;
如果否,则确定第二攻击状态为未攻击成功。
6.根据权利要求3所述的攻击成功判定方法,其特征在于,所述根据预先构建的网络攻击检测模型对所述响应数据进行处理,得到第三攻击状态,包括:
对所述响应数据进行特征提取,得到特征向量;
通过预先构建的网络攻击检测模型对所述特征向量进行处理,得到攻击检测结果;
根据所述攻击检测结果确定第三攻击状态。
7.根据权利要求3所述的攻击成功判定方法,其特征在于,所述根据所述深度分析结果判断是否攻击成功,包括:
判断所述第一攻击状态、所述第二攻击状态以及所述第三攻击状态中,是否存在有攻击状态为攻击成功;
如果是,则判断为攻击成功;
如果否,则判断为未攻击成功。
8.根据权利要求1所述的攻击成功判定方法,其特征在于,所述输出攻击成功提示信息包括:
确定所述响应数据包对应的攻击事件;
调整所述攻击事件的威胁严重等级;
输出包括所述攻击事件以及所述威胁严重等级的攻击成功提示信息。
9.一种攻击成功判定装置,其特征在于,所述攻击成功判定装置包括:
第一获取单元,用于获取待检测的网络流量数据;
第二获取单元,用于获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求数据包相关联的响应数据包;
分析单元,用于对所述响应数据包进行深度分析处理,得到深度分析结果;
判断单元,用于根据所述深度分析结果判断是否攻击成功;
输出单元,用于当判断出攻击成功时,输出攻击成功提示信息。
10.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至8中任一项所述的攻击成功判定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111575903.9A CN113965418B (zh) | 2021-12-22 | 2021-12-22 | 一种攻击成功判定方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111575903.9A CN113965418B (zh) | 2021-12-22 | 2021-12-22 | 一种攻击成功判定方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113965418A true CN113965418A (zh) | 2022-01-21 |
| CN113965418B CN113965418B (zh) | 2022-07-22 |
Family
ID=79473650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111575903.9A Active CN113965418B (zh) | 2021-12-22 | 2021-12-22 | 一种攻击成功判定方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113965418B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314255A (zh) * | 2022-07-11 | 2022-11-08 | 深信服科技股份有限公司 | 攻击结果的检测方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060015941A1 (en) * | 2004-07-13 | 2006-01-19 | Mckenna John J | Methods, computer program products and data structures for intrusion detection, intrusion response and vulnerability remediation across target computer systems |
| CN106357696A (zh) * | 2016-11-14 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种sql注入攻击检测方法及系统 |
| CN109391626A (zh) * | 2018-11-15 | 2019-02-26 | 东信和平科技股份有限公司 | 一种判定网络攻击结果未遂的方法和相关装置 |
| CN111049783A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
-
2021
- 2021-12-22 CN CN202111575903.9A patent/CN113965418B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060015941A1 (en) * | 2004-07-13 | 2006-01-19 | Mckenna John J | Methods, computer program products and data structures for intrusion detection, intrusion response and vulnerability remediation across target computer systems |
| CN106357696A (zh) * | 2016-11-14 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种sql注入攻击检测方法及系统 |
| CN111049783A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN109391626A (zh) * | 2018-11-15 | 2019-02-26 | 东信和平科技股份有限公司 | 一种判定网络攻击结果未遂的方法和相关装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314255A (zh) * | 2022-07-11 | 2022-11-08 | 深信服科技股份有限公司 | 攻击结果的检测方法、装置、计算机设备和存储介质 |
| CN115314255B (zh) * | 2022-07-11 | 2023-12-29 | 深信服科技股份有限公司 | 攻击结果的检测方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113965418B (zh) | 2022-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| CN107347076B (zh) | Ssrf漏洞的检测方法及装置 | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| CN111726364B (zh) | 一种主机入侵防范方法、系统及相关装置 | |
| CN111049781B (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN111147489B (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
| CN114095274B (zh) | 一种攻击研判方法及装置 | |
| CN113079150B (zh) | 一种电力终端设备入侵检测方法 | |
| CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| CN113726818B (zh) | 一种失陷主机检测方法及装置 | |
| CN114172703A (zh) | 一种恶意软件识别方法、装置、介质 | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| CN113726825B (zh) | 一种网络攻击事件反制方法、装置及系统 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN113132329A (zh) | Webshell检测方法、装置、设备及存储介质 | |
| CN110837646A (zh) | 一种非结构化数据库的风险排查装置 | |
| CN113852625B (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
| JP2013069016A (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| CN106778177B (zh) | 一种基于指纹监测的搜索引擎历史记录安全处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |