CN113965419B

CN113965419B - 一种通过反连判定攻击成功的方法及装置

Info

Publication number: CN113965419B
Application number: CN202111576039.4A
Authority: CN
Inventors: 赵林林; 童兆丰; 薛锋
Original assignee: Beijing ThreatBook Technology Co Ltd
Current assignee: Beijing ThreatBook Technology Co Ltd
Priority date: 2021-12-22
Filing date: 2021-12-22
Publication date: 2022-07-08
Anticipated expiration: 2041-12-22
Also published as: CN113965419A

Abstract

本申请实施例提供一种通过反连判定攻击成功的方法及装置，包括：先获取待检测的攻击流量，并提取攻击流量中的攻击载荷以及攻击流量对应的被攻击主机地址；然后提取攻击载荷中的疑似反连地址；再根据被攻击主机地址和预设判定条件，判断是否检测到疑似反连地址对应的连接请求；如果是，则确定被攻击主机地址被攻击成功，能够解决网络攻击成功的判别问题，避免产生大量威胁告警，从而有利于提高安全防护效率。

Description

一种通过反连判定攻击成功的方法及装置

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种通过反连判定攻击成功的方法及装置。

背景技术

随着信息技术的飞速发展，计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径，信息安全变得越来越重要。现有技术通常通过编写规则和正则表达式来匹配攻击特征，当检测出攻击特征后，即产生告警。然而，在实践中发现，现有方法只能够检测出流量数据中是否存在网络威胁事件，并不能判定是否攻击成功，会产生大量报警信息，严重降低安全防护效率。

发明内容

本申请实施例的目的在于提供一种通过反连判定攻击成功的方法及装置，能够解决网络攻击成功的判别问题，避免产生大量威胁告警，从而有利于提高安全防护效率。

本申请实施例第一方面提供了一种通过反连判定攻击成功的方法，包括：

获取待检测的攻击流量，并提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址；

提取所述攻击载荷中的疑似反连地址；

根据所述被攻击主机地址和预设判定条件，判断是否检测到所述疑似反连地址对应的连接请求；

如果是，则确定所述被攻击主机地址被攻击成功，以及将所述连接请求与所述攻击流量进行关联，并将所述攻击流量标记为攻击成功。

在上述实现过程中，先获取待检测的攻击流量，并提取攻击流量中的攻击载荷以及攻击流量对应的被攻击主机地址；然后提取攻击载荷中的疑似反连地址；再根据被攻击主机地址和预设判定条件，判断是否检测到疑似反连地址对应的连接请求；如果是，则确定被攻击主机地址被攻击成功，能够解决网络攻击成功的判别问题，避免产生大量威胁告警，从而有利于提高安全防护效率。

进一步地，所述提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址，包括：

根据预设特征检测算法从所述攻击流量中识别被攻击主机地址，并提取所述攻击流量中的攻击载荷。

进一步地，所述提取所述攻击载荷中的疑似反连地址，包括：

根据预设反连识别算法，从所述攻击载荷中识别疑似反连地址，其中，所述预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法中的一种或者多种。

进一步地，所述预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件，其中，所述第一条件为连接请求的来源通信地址是所述被攻击主机地址的通信地址，所述第二条件为所述连接请求的目的通信地址和目的端口与所述疑似反连地址相匹配。

进一步地，在所述将所述攻击流量标记为攻击成功之后，所述方法还包括：

确定所述攻击流量对应的网络威胁事件；

调整所述网络威胁事件的威胁级别；

输出所述网络威胁事件攻击成功以及所述威胁级别的攻击成功展示信息。

本申请实施例第二方面提供了一种通过反连判定攻击成功的装置，所述通过反连判定攻击成功的装置包括：

获取单元，用于获取待检测的攻击流量；

被攻击地址提取单元，用于提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址；

地址提取单元，用于提取所述攻击载荷中的疑似反连地址；

攻击成功判定单元，用于根据所述被攻击主机地址和预设判定条件，判断是否检测到所述疑似反连地址对应的连接请求；

确定单元，用于当判断出检测到所述疑似反连地址对应的所述连接请求时，则确定所述被攻击主机地址被攻击成功，以及将所述连接请求与所述攻击流量进行关联，并将所述攻击流量标记为攻击成功。

在上述实现过程中，获取单元先获取待检测的攻击流量，并提取攻击流量中的攻击载荷以及攻击流量对应的被攻击地址提取单元主机；然后被攻击地址提取单元提取攻击载荷中的疑似反连地址；攻击成功判定单元再根据被攻击主机地址和预设判定条件，判断是否检测到疑似反连地址对应的连接请求；如果是，确定单元则确定被攻击主机地址被攻击成功，能够解决网络攻击成功的判别问题，避免产生大量威胁告警，从而有利于提高安全防护效率。

进一步地，所述被攻击地址提取单元，具体用于根据预设特征检测算法从所述攻击流量中识别被攻击主机地址，并提取所述攻击流量中的攻击载荷。

进一步地，所述地址提取单元，具体用于根据预设反连识别算法，从所述攻击载荷中识别疑似反连地址，其中，所述预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法中的一种或者多种。

本申请实施例第三方面提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的通过反连判定攻击成功的方法。

本申请实施例第四方面提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本申请实施例第一方面中任一项所述的通过反连判定攻击成功的方法。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种通过反连判定攻击成功的方法的流程示意图；

图2为本申请实施例提供的一种通过反连判定攻击成功的装置的结构示意图；

图3为本申请实施例提供的一种通过反连判定攻击成功的设备部署示意图；

图4为本申请实施例提供的一种攻击成功展示信息的示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

实施例1

请参看图1，图1为本申请实施例提供了一种通过反连判定攻击成功的方法的流程示意图。其中，该通过反连判定攻击成功的方法包括：

S101、获取待检测的攻击流量。

本申请实施例中，该方法应用于在网络安全场景中，具体应用于主机被攻击之后判定攻击是否成功的场景中。

S102、根据预设特征检测算法从攻击流量中识别被攻击主机地址，并提取攻击流量中的攻击载荷。

本申请实施例中，在检测攻击流量识别被攻击主机地址时，先检测攻击流量中特定的攻击特征，然后根据攻击特征提取被攻击主机地址，并缓存被攻击主机地址。

本申请实施例中，该被攻击主机地址具体可以为IP地址。其中，IP地址（InternetProtocol Address）指互联网协议地址，又称为网际协议地址。

本申请实施例中，payload攻击载荷，主要用于建立攻击者主机与被攻击主机地址之间的稳定连接，并返回一个shell（弹窗），也可以进行程序注入等。其中，payload攻击载荷包括singles（独立载荷）、stagers（传输器载荷）以及stages（传输体）三种类型，对此本申请实施例不作限定。

本申请实施例中，实施上述步骤S102能够提取攻击流量中的攻击载荷以及攻击流量对应的被攻击主机地址。

S103、根据预设反连识别算法，从攻击载荷中识别疑似反连地址。

本申请实施例中，预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法等等中的一种或者多种，对此本申请实施例不作限定。

本申请实施例中，该反连地址具体为反连URL（Uniform Resource Locator,统一资源定位器），URL是WWW的统一资源定位标志，即网络地址。

本申请实施例中，可以从攻击载荷中确定特定类型的URL，从而得到疑似反连URL。

作为一种可选的实施方式，根据预设反连识别算法，从攻击载荷中识别疑似反连地址，包括：

根据特征分析算法对攻击载荷进行特征分析，得到攻击载荷中包含的特定类型的URL，该特定类型的URL即为疑似反连URL。

根据深度包检测算法对攻击载荷进行深度包检测，获取特定类型的URL，该特定类型的URL即为疑似反连URL。

根据正则匹配算法，通过预设的正则表达式对攻击载荷进行匹配，得到疑似反连URL。

根据深度学习算法构建反连地址识别模型；

将攻击载荷输入至反连地址识别模型中进行处理，得到疑似反连URL。

在上述实施方式中，该反连地址识别模型为神经网络模型。

本申请实施例中，实施上述步骤S103能够提取攻击载荷中的疑似反连地址。

在步骤S103之后，还包括以下步骤：

S104、根据被攻击主机地址和预设判定条件，判断是否检测到疑似反连地址对应的连接请求，如果是，执行步骤S105；如果否，结束本流程。

本申请实施例中，预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件，其中，第一条件为连接请求的来源通信地址是被攻击主机地址的通信地址，第二条件为连接请求的目的通信地址和目的端口与疑似反连地址相匹配。

本申请实施例中，根据被攻击主机地址和预设判定条件，检测攻击流量中是否有该疑似反连URL对应的连接请求。当检索到有一请求满足上述预设判定条件，则判定检测到疑似反连URL对应的连接请求。

本申请实施例中，预设超时时间段为预先设置，本申请实施例不作限定。

S105、确定被攻击主机地址被攻击成功，并将连接请求与攻击流量进行关联，以及将攻击流量标记为攻击成功。

本申请实施例中，当判断出被攻击主机地址被攻击成功时，还可以将连接请求与攻击流量关联为攻击成功。

本申请实施例中，通过步骤S101~步骤S105，能够确定检测到攻击流量是针对被攻击主机地址的攻击，并且该攻击导致出现向特定类型URL的反连请求，且为攻击载荷指定，则可以将连接请求与攻击流量关联为攻击成功。

S106、确定攻击流量对应的网络威胁事件。

S107、调整网络威胁事件的威胁级别。

在步骤S107之后，还包括以下步骤：

S108、输出网络威胁事件攻击成功以及威胁级别的攻击成功展示信息。

本申请实施例中，将连接请求与攻击流量关联为攻击成功之后，还可以根据该攻击流量是否攻击成功，调整相应的威胁级别并输出展示。

本申请实施例中，在输出攻击成功展示信息的同时，对于存在反连请求的网络威胁事件，当判断出该网络威胁事件为攻击成功时，将该网络威胁事件的威胁级别上升一级，例如中危事件升级为高危事件、高危事件升级为严重事件。

本申请实施例中，该方法的执行主体可以为计算机、服务器等计算装置，对此本实施例中不作任何限定。

在本申请实施例中，该方法的执行主体还可以为智能手机、平板电脑等智能设备，对此本实施例中不作任何限定。

请一并参阅图3，图3是本申请实施例提供的一种通过反连判定攻击成功的设备部署示意图。如图3所示，需要使用IDS 设备（例如NIDS类设备、NDR类设备等），该IDS 设备可以是硬件设备，也可以软件化部署。IDS 设备需要通过交换机接收流量。

本申请实施例中，IDS（Intrusion Detection Systems）设备，即入侵检测设备，依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

其中，NIDS(network intrusion detection system)类设备，即网络入侵检测类设备，能够对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为进行检测。目的是从网络上的TCP/IP消息流中识别出潜在的攻击行为。网络入侵检测系统通常包括三个必要的功能组件：信息来源、分析引擎和响应组件。NIDS类设备能够收集被检测网络或系统的各种信息，然后利用统计或规则的方式找出可能的入侵行为，并将事件提供给下面的响应组件，最后根据分析引擎的输出采取应有的行为，通常具有自动化机制，如主动通知系统管理员、中断入侵者的连接和搜集入侵信息等。

其中，NDR（Network Detection and Response）类设备，即网络威胁检测及响应类设备。

本申请实施例中，实施该方法能够通过深度检测网络流量数据包中的反连请求判断是否攻击成功，解决了网络攻击成功的判别问题，提高了安全运营人员的工作效率。

本申请实施例中，实施本实施例提供的方法判定攻击成功的实例如下：WebLogic反序列化代码执行漏洞(CVE-2020-2551)攻击判定成功，其中，WebLogic是一个广泛使用的Web中间件，其存在的漏洞CVE-2020-2551可以导致远程代码执行和主机失陷。具体的检测步骤为：

第一步、检测该漏洞的攻击特征，定义为初始攻击，在本例中是从第一主机向第二主机发起攻击；

第二步、从攻击载荷中寻找特定的URL，在本例中找到目标URL；

第三步、当检测到从第二主机的IP地址向目标URL的连接请求时，视为反连。

通过上述第一步至第三步，使用WebLogic反序列化代码执行漏洞(CVE-2020-2551)攻击受害主机，并使得受害主机向攻击载荷指定的地址发起连接请求，当检测到该连接请求时，则判定为攻击成功。

请一并参阅图4，图4是本申请实施例提供的一种攻击成功展示信息的示意图。如图4所示，攻击成功展示信息包括告警信息、攻击成功检测时间、第一攻击主机的IP地址、第二攻击主机、被攻击主机的IP地址、网络威胁事件相关的通信协议、网络威胁事件的日志信息等，同时，还可以对该告警信息提供误报处理、白名单设置、添加阻断等处理入口。

通过上述举例可见，本实施例提供的方法能够解决网络攻击成功的判别问题，提高安全运营人员的工作效率。

本申请实施例中，通过对网络攻击流量对应的响应数据包进行深度检测，可以判断攻击是否成功，并且对于攻击成功的事件提高威胁等级，帮助安全运营人员分清轻重缓急，提高安全运营人员的工作效率，将安全运营人员从海量报警中解脱出来。

可见，实施本实施例所描述的通过反连判定攻击成功的方法，能够解决网络攻击成功的判别问题，避免产生大量威胁告警，从而有利于提高安全防护效率。

实施例2

请参看图2，图2为本申请实施例提供的一种通过反连判定攻击成功的装置的结构示意图。如图2所示，该通过反连判定攻击成功的装置包括：

获取单元210，用于获取待检测的攻击流量；

被攻击地址提取单元220，用于提取攻击流量中的攻击载荷以及攻击流量对应的被攻击主机地址；

本申请实施例中，在检测攻击流量识别被攻击主机地址时，先检测攻击流量中特定的攻击特征，然后根据攻击特征识别被攻击主机地址，并缓存被攻击主机地址。

地址提取单元230，用于提取攻击载荷中的疑似反连地址；

攻击成功判定单元240，用于根据被攻击主机地址和预设判定条件，判断是否检测到疑似反连地址对应的连接请求；

确定单元250，用于当判断出检测到疑似反连地址对应的连接请求时，则确定被攻击主机地址被攻击成功，以及将连接请求与攻击流量进行关联，并将攻击流量标记为攻击成功。

作为一种可选的实施方式，被攻击地址提取单元220，具体用于根据预设特征检测算法从攻击流量中识别被攻击主机地址，并提取攻击流量中的攻击载荷。

作为一种可选的实施方式，地址提取单元230，具体用于根据预设反连识别算法，从攻击载荷中识别疑似反连地址。

本申请实施例中，该网址信息具体为URL（Uniform Resource Locator,统一资源定位器），是WWW的统一资源定位标志，即网络地址。

本申请实施例中，可以从攻击载荷中确定特定类型的URL，从而得到疑似反连URL。该特定类型具体可以为预设地址类型等，比本申请实施例不作限定。

根据深度学习算法构建反连地址识别模型；

在上述实施方式中，该反连地址识别模型为神经网络模型。

作为一种可选的实施方式，该通过反连判定攻击成功的装置还包括：

威胁确定单元260，用于在确定被攻击主机地址被攻击成功之后确定攻击流量对应的网络威胁事件；

级别调整单元270，用于调整网络威胁事件的威胁级别；

展示单元280，用于输出网络威胁事件攻击成功以及威胁级别的攻击成功展示信息。

本申请实施例中，该通过反连判定攻击成功的装置集成在情报驱动的网络流量检测与响应(NDR)系统中，基于旁路流量的全方位威胁检测与响应平台，能够深度研判流量载荷，自动判定是否“攻击成功”，无需人工排查海量日志，有利于提高安全防护效率。

可见，实施本实施例所描述的通过反连判定攻击成功的装置，能够解决网络攻击成功的判别问题，避免产生大量威胁告警，从而有利于提高安全防护效率。

本申请实施例提供了一种电子设备，包括存储器以及处理器，存储器用于存储计算机程序，处理器运行计算机程序以使电子设备执行本申请实施例1中的通过反连判定攻击成功的方法。

本申请实施例提供了一种计算机可读存储介质，其存储有计算机程序指令，计算机程序指令被一处理器读取并运行时，执行本申请实施例1中的通过反连判定攻击成功的方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

1.一种通过反连判定攻击成功的方法，其特征在于，包括：

提取所述攻击载荷中的疑似反连地址；

如果是，则确定所述被攻击主机地址被攻击成功，以及将所述连接请求与所述攻击流量进行关联，并将所述攻击流量标记为攻击成功；

所述预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件，其中，所述第一条件为连接请求的来源通信地址是所述被攻击主机地址的通信地址，所述第二条件为所述连接请求的目的通信地址和目的端口与所述疑似反连地址相匹配。

2.根据权利要求1所述的通过反连判定攻击成功的方法，其特征在于，所述提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址，包括：

3.根据权利要求1所述的通过反连判定攻击成功的方法，其特征在于，所述提取所述攻击载荷中的疑似反连地址，包括：

4.根据权利要求1所述的通过反连判定攻击成功的方法，其特征在于，在所述将所述攻击流量标记为攻击成功之后，所述方法还包括：

确定所述攻击流量对应的网络威胁事件；

调整所述网络威胁事件的威胁级别；

5.一种通过反连判定攻击成功的装置，其特征在于，所述通过反连判定攻击成功的装置包括：

获取单元，用于获取待检测的攻击流量；

地址提取单元，用于提取所述攻击载荷中的疑似反连地址；

确定单元，用于当判断出检测到所述疑似反连地址对应的所述连接请求时，则确定所述被攻击主机地址被攻击成功，以及将所述连接请求与所述攻击流量进行关联，并将所述攻击流量标记为攻击成功；

6.根据权利要求5所述的通过反连判定攻击成功的装置，其特征在于，所述被攻击地址提取单元，具体用于根据预设特征检测算法从所述攻击流量中识别被攻击主机地址，并提取所述攻击流量中的攻击载荷。

7.根据权利要求5所述的通过反连判定攻击成功的装置，其特征在于，所述地址提取单元，具体用于根据预设反连识别算法，从所述攻击载荷中识别疑似反连地址，其中，所述预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法中的一种或者多种。

8.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至4中任一项所述的通过反连判定攻击成功的方法。

9.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1至4任一项所述的通过反连判定攻击成功的方法。