CN114301697A - 数据攻击检测方法及装置 - Google Patents
数据攻击检测方法及装置 Download PDFInfo
- Publication number
- CN114301697A CN114301697A CN202111649844.5A CN202111649844A CN114301697A CN 114301697 A CN114301697 A CN 114301697A CN 202111649844 A CN202111649844 A CN 202111649844A CN 114301697 A CN114301697 A CN 114301697A
- Authority
- CN
- China
- Prior art keywords
- attack
- data
- flow
- traffic
- keyword
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 85
- 238000004891 communication Methods 0.000 claims abstract description 65
- 238000000034 method Methods 0.000 claims abstract description 40
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000008569 process Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000005034 decoration Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据攻击检测方法及装置。其中,该方法包括:对攻击对象向远程主机建立的数据连接进行检测;在检测到数据连接的通信协议类型属于数据攻击对应的通信协议类型的情况下,对数据连接的流量进行关键字检测;在检测到流量的关键字为数据攻击的攻击关键字的情况下,确定数据连接为数据攻击连接,数据连接的流量为数据攻击流量。本发明解决了相关技术中的反弹shell攻击的检测,存在局限性,准确率较低的技术问题。
Description
技术领域
本发明涉及数据安全领域,具体而言,涉及一种数据攻击检测方法及装置。
背景技术
当客户机被攻击者攻陷后,一般由于防火墙的存在,攻击者无法直接连接受害者。此时攻击者就可以使用反弹shell攻击让受害者主动向远程发起连接。反弹shell攻击是指攻击者监听某个端口,受害者主动向攻击者建立TCP/UDP连接,将其命令行的输入输出重定向到远程攻击者,这样远程攻击者就拿到了客户机的执行环境,可以更加方便地进行攻击了,上述TCP,即Transmission Control Protocol,传输控制协议,上述UDP,即UserDatagram Protocol,用户数据报协议。
当前技术中对于反弹shell检测的实现大多基于监听本地主机的相关进程,例如监听bash进程是否创建,检测shell程序进程是否带有终端属性。
与本申请相关的现有技术一,提供了一种通过监听bash(Bourne-Again Shell,一种命令处理器)进程创建事件的方法,当监听到bash进程创建时,判断bash进程对应的重定向文件是否为套接字文件,若是,则确定bash进程为反弹shell进程,进而根据套接字文件描述符判断是否存在反弹shell网络连接,若存在,则可以判定服务器受到反弹shell攻击。监听bash进程是否创建只可以检测到使用bash进程的反弹shell,现有的反弹shell方式诸多,不仅仅包括bash、shell进程,还包括ksh(Kom shell,可用作交互式登录的shell及脚本编写的一种命令解释器)、zsh(Z-Shell,可用作交互式登录的shell及脚本编写的一种命令解释器)进程等等。但是基于此方法判断反弹shell显得过于单一,容易造成较多漏报的情况。
与本申请相关的现有技术二,提供一种检测shell程序进程是否带有终端属性的方法,通过此方法可以首先捕获执行shell程序的动作,然后检测shell程序进程是否带终端属性,如果shell程序进程不带终端属性,说明这是一个反弹shell。根据此方法,如果对shell进行重新编译或者重命名,则无法对反弹shell进行有效检测。此外,由于基于awk(一种用于处理文本的编程语言工具)的反弹shell是具有终端属性的,因此对基于awk的反弹shell是无法进行检测的。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种数据攻击检测方法及装置,以至少解决相关技术中的反弹shell攻击的检测,存在局限性,准确率较低的技术问题。
根据本发明实施例的一个方面,提供了一种数据攻击检测方法,包括:对攻击对象向远程主机建立的数据连接进行检测;在检测到所述数据连接的通信协议类型属于数据攻击对应的通信协议类型的情况下,对所述数据连接的流量进行关键字检测;在检测到所述流量的关键字为所述数据攻击的攻击关键字的情况下,确定所述数据连接为数据攻击连接,所述数据连接的所述流量为数据攻击流量。
可选的,对所述数据连接的流量进行关键字检测包括:获取所述流量的搭载信息,其中,所述搭载信息为所述流量传输的信息字段;对所述搭载信息进行关键字检测,确定所述搭载信息的多个关键字;将所述关键字与预设的攻击关键字库进行匹配和查找,其中,所述攻击关键字库包括所述数据攻击采用的多个关键字;在多个关键字的命中率达到预设比例的情况下,确定所述流量的关键字为所述数据攻击的攻击关键字。
可选的,将所述关键字与预设的攻击关键字库进行匹配和查找包括:加载所述攻击关键字库;根据所述攻击关键字库的多个攻击关键字创建攻击字典树;在所述攻击字典树上添加指针,将所述攻击字典树转化为多模型匹配自动机;基于所述多模型匹配自动机将所述流量的多个关键字按顺序进行多模型匹配扫描,确定命中的关键字。
可选的,所述流量包括正向流量和反向流量,所述对所述数据连接的流量进行关键字检测还包括:对所述数据连接的反向流量进行关键字检测,其中,所述反向流量为所述远程主机向所述攻击对象发送的流量;对所述数据连接的正向流量进行关键字检测,其中,所述正向流量为所述攻击对象向所述远程主机发送的流量;在所述反向流量和所述正向流量均为攻击流量的情况下,确定所述数据连接为数据攻击连接。
可选的,对攻击对象向远程主机建立的数据连接进行检测包括:确定所述数据连接的流量的目标字段,其中,所述目标字段包含所述流量的通信协议参数;根据所述流量的目标字段,确定所述流量对应的通信协议类型;检测所述通信协议类型与所述数据攻击的通信类型是否一致,确定所述通信协议类型是否属于数据攻击对应的通信类型,其中,所述数据攻击的通信类型为一种或多种。
可选的,确定所述数据连接的流量的目标字段之前,所述方法还包括:获取所述数据连接的所述流量;在所述流量为加密的密文数据的情况下,对所述密文数据进行解密,得到对应的明文数据;在所述流量为未加密的明文数据的情况下,执行确定所述数据连接的流量的目标字段的步骤。
可选的,在所述流量为加密的密文数据,对所述密文数据解密失败的情况下,确定所述流量异常,对所述流量进行拦截。
可选的,在检测到所述流量的关键字为所述数据攻击的攻击关键字的情况下,确定所述数据连接为数据攻击连接,所述流量为数据攻击流量之后,所述方法还包括:对所述数据攻击连接进行阻断,对所述数据攻击流量进行拦截;向所述攻击对象发出攻击提示。
根据本发明实施例的另一方面,还提供了一种数据攻击检测装置,包括:连接检测模块,对攻击对象向远程主机建立的数据连接进行检测;关键字检测模块,在检测到所述数据连接的通信协议类型属于数据攻击对应的通信协议类型的情况下,对所述数据连接的流量进行关键字检测;确定模块,在检测到所述流量的关键字为所述数据攻击的攻击关键字的情况下,确定所述数据连接为数据攻击连接,所述数据连接的所述流量为数据攻击流量。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述中任意一项所述的数据攻击检测方法。
在本发明实施例中,对攻击对象向远程主机建立的数据连接进行检测;在检测到数据连接的通信协议类型属于数据攻击对应的通信协议类型的情况下,对数据连接的流量进行关键字检测;在检测到流量的关键字为数据攻击的攻击关键字的情况下,确定数据连接为数据攻击连接,数据连接的流量为数据攻击流量。通过对数据连接的流量数据进行关键字检测,确定流量和数据连接是否为攻击流量和攻击连接,达到了利用流量数据进行攻击检测,全面且准确检测数据连接攻击的目的,实现了提高数据连接攻击检测准确性,以及全面性的技术效果,进而解决了相关技术中的反弹shell攻击的检测,存在局限性,准确率较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种数据攻击检测方法的流程图;
图2是根据本发明实施方式的深度应用识别的示意图;
图3是根据本发明实施方式的解析反向流量的示意图;
图4是根据本发明实施方式的AC扫描关键字库的示意图;
图5是根据本发明实施方式的解析正向流量的示意图;
图6是根据本发明实施方式的反弹shell应用场景的示意图;
图7是根据本发明实施例的一种数据攻击检测装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种数据攻击检测方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种数据攻击检测方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,对攻击对象向远程主机建立的数据连接进行检测;
步骤S104,在检测到数据连接的通信协议类型属于数据攻击对应的通信类型的情况下,对数据连接的流量进行关键字检测;
步骤S106,在检测到流量的关键字为数据攻击的攻击关键字的情况下,确定数据连接为数据攻击连接,数据连接的流量为数据攻击流量。
通过上述步骤,对攻击对象向远程主机建立的数据连接进行检测;在检测到数据连接的通信协议类型属于数据攻击对应的通信类型的情况下,对数据连接的流量进行关键字检测;在检测到流量的关键字为数据攻击的攻击关键字的情况下,确定数据连接为数据攻击连接,数据连接的流量为数据攻击流量,通过对数据连接的流量数据进行检测,达到了利用流量数据进行攻击检测,全面且准确检测数据连接攻击的目的,实现了提高数据连接攻击检测准确性,以及全面性的技术效果,进而解决了相关技术中的反弹shell攻击的检测,存在局限性,准确率较低的技术问题。
上述攻击对象可以是被进行数据攻击的被攻击者,上述远程主机可以是发起网络攻击的攻击发起者,由于采用现有技术中的监听攻击进程创建的方式,存在反弹攻击过于单一,容易造成过较多漏报的情况,而采用检测网络攻击进程是否带有终端属性,判断是否为网络攻击,如果对攻击的进程重新命名,就会存在无法检测的情况,因此,本发明实施例提出了对攻击对象向远程主机建立的数据连接进行检测,上述数据连接的检测,可以通过对数据连接的流量进行检测,判断流量是否异常实现对网络攻击的数据连接进行甄别。
上述通信协议类型可以为一种或多种网络通信协议类型,一种数据攻击方式可以针对对应一种或几种通信协议,例如,反弹shell攻击通常都是采用TCP/UDP通信协议进行数据通信。在检测到数据连接的通信协议类型属于数据攻击对应的通信类型的情况下,则说明该数据流量以及流量所在的数据连接可能是数据攻击连接。对可能是数据攻击连接的数据连接,进行检测,以确定该数据连接是否为攻击数据连接。具体的,可以对数据连接的流量进行关键字检测,可以预先设置攻击关键字库,通过预设的攻击关键字库可以对上述关键进行匹配查找,在查找到流量的关键字为数据攻击的攻击关键字的情况下,确定数据连接为数据攻击连接,数据连接的流量为数据攻击流量。
为提高关键字检测速度,还可以将上述攻击关键字库构建攻击字典树,通过添加指针将攻击字典树转化为多模型匹配自动机,上述多模型匹配自动机可以将上述关键字按顺序进行扫描,进行关键字匹配和查找,在关键字命中率达到预设比例的情况下,确定该数据连接为攻击数据连接,数据连接的流量为数据攻击流量。
上述流量可以包括对上述攻击对象向远程主机的正向流量,以及远程主机向上述攻击对象的反向流量数据,通过对上述关键字进行检测,如果上述关键字对攻击关键字库的命中率达到预设比例的情况下,可以判断上述流量为攻击流量,上述数据连接为攻击连接。
通过对数据连接的流量数据进行检测,达到了利用流量数据进行攻击检测,全面且准确检测数据连接攻击的目的,实现了提高数据连接攻击检测准确性,以及全面性的技术效果。
可选的,对数据连接的流量进行关键字检测包括:获取流量的搭载信息,其中,搭载信息为流量传输的信息字段;对搭载信息进行关键字检测,确定搭载信息的多个关键字;将关键字与预设的攻击关键字库进行匹配和查找,其中,攻击关键字库包括数据攻击采用的多个关键字;在多个关键字的命中率达到预设比例的情况下,确定流量的关键字为数据攻击的攻击关键字。
上述的搭载信息可以指进行数据流量传输的流量数据的信息字段,上述信息字段可以是流量类型,流量长度,流量的地址信息,流量数据的封装协议,流量数据信息等信息字段,还可以对上述搭载信息进行关键字检测处理,进而得到上述搭载信息的多个关键字。
将上述多个关键字与预设的攻击关键字库进行匹配查找,其中,攻击关键字库包括数据攻击采用的多个关键字,若上述搭载信息的关键字命中攻击关键字的命中率达到预设的比例的情况下,则可以确定流量的关键字为数据攻击的攻击关键字,上述流量也即是攻击流量。需要说明的是上述关键字命中攻击关键字的命中率可以是100%,也即是搭载信息的关键字完全命中攻击关键字。
通过利用流量搭载信息的关键字进行关键字匹配查找,达到了快速确认攻击型的数据流量的目的,实现了提高检测攻击型数据流量的检效率的技术效果。
可选的,将关键字与预设的攻击关键字库进行匹配和查找包括:加载攻击关键字库;根据攻击关键字库的多个攻击关键字创建攻击字典树;在攻击字典树上添加指针,将攻击字典树转化为多模型匹配自动机;基于多模型匹配自动机将流量的多个关键字按顺序进行多模型匹配扫描,确定命中的关键字。
为便于将关键与预设的攻击关键字库进行匹配查找,还可以将上述攻击关键字库根据多个关键字创建攻击字典树,可以通过在攻击字典树上添加指针,将攻击字典数据转化多模型匹配的自动机,然后可以通过上述多模型匹配自动机将流量的多个关键字按顺序逐个字符进行多模型匹配扫描,进而确定命中关键字。
例如,可以首先加载shell命令关键字库,构建shell命令字典树,在字典树上构建失配指针就将其转化为了AC自动机(也即上述多模型匹配自动机),然后将提取的关键字从左到右逐字符进行AC扫描,若完全命中,则确定改流量为数据攻击流量。
通过创建攻击字典树对流量的关键进行扫描,达到了对关键字字进行快速高效扫描的目的,实现了提高流量关键字与攻击关键字扫描和匹配速度的技术效果。
可选的,流量包括正向流量和反向流量,对数据连接的流量进行关键字检测还包括:对数据连接的反向流量进行关键字检测,其中,反向流量为远程主机向攻击对象发送的流量;对数据连接的正向流量进行关键字检测,其中,正向流量为攻击对象向远程主机发送的流量;在反向流量和正向流量均为攻击流量的情况下,确定数据连接为数据攻击连接。
上述流量包括正向流量和反向流量,上述正向流量可以指攻击对象向远程主机(也即是发起攻击者)发送的流量,上述反向流量为远程主机向攻击对象发送的流量,为提高数据攻击连接检测的准确性,本申请实施例对上述数据连接的流量,也即是正向流量和反向流量,都可以进行关键字检测,通过将上述关键字与攻击关键字库进行匹配和查找,确定数据连接是否为数据攻击连接。在正向流量和反向流量均判定为攻击流的情况下,才确定该数据连接为数据攻击连接。
通过上述对正向流量和反向流量都进行关键字匹配查找,达到了准确检测远程主机与攻击对象的是否为攻击连接的目的,实现了提高数据攻击连接检测准确性的技术效果。
可选的,对攻击对象向远程主机建立的数据连接进行检测包括:确定数据连接的流量的目标字段,其中,目标字段包含流量的通信协议参数;根据流量的目标字段,确定流量对应的通信协议类型;检测通信协议类型与数据攻击的通信类型是否一致,确定通信协议类型是否属于数据攻击对应的通信类型,其中,数据攻击的通信类型为一种或多种。
对攻击对象向远程主机建立的数据连接检测还可以确定数据连接的目标字段,上述目标字段包含流量的通信协议的参数、上述通信协议的参数可以包括通信协议的类型信息,上述通信协议类型可以是通信协议中任意一种通信协议,根据上述流量的目标字段,也即是通信协议参数,可以确定流量对应的通信协议类型,由于一种数据攻击方式一般针对于一种通信协议或几种通信协议,如:反弹shell攻击可以针对TCP/UDP通信协议进行数据连接攻击,所以可以通过检测通信协议类型是否属于数据攻击对应的通信类型是否一致,确定通信协议类型是否属于数据攻击对应的通信类型。
通过判断通信协议类型是否为数据攻击的通信类型,达到了快速确定可能为数据攻击的连接数据,实现了对连接数据进行筛查过滤的技术效果。
可选的,确定数据连接的流量的目标字段之前,方法还包括:获取数据连接的流量;在流量为加密的密文数据的情况下,对密文数据进行解密,得到对应的明文数据;在流量为未加密的明文数据的情况下,执行确定数据连接的流量的目标字段的步骤。
确定数据连接的流量的目标字段之前,还可以获取数据连接的流量,在上述数据连接的流量为加密的密文数据的情况下,可以对密文数据进行解密,得到对应的明文数据,执行确定数据连接的流量的目标字段的步骤,如果流量为未加密的明文数据的情况下,可以直接执行确定数据连接的流量的目标字段的步骤。
可选的,在流量为加密的密文数据,对密文数据解密失败的情况下,确定流量异常,对流量进行拦截。
若对加密流量的密文数据进行解密失败的情况下,可以确定上述的加密流量没有访问上述攻击对象的权限,可以直接确定流量异常,对流量进行拦截。
通过对解密失败的加密流量进行直接拦截,达到了初步拦截异常流量的目的,实现提高异常流量的拦截效率的技术效果。
可选的,在检测到流量的关键字为数据攻击的攻击关键字的情况下,确定数据连接为数据攻击连接,流量为数据攻击流量之后,方法还包括:对数据攻击连接进行阻断,对数据攻击流量进行拦截;向攻击对象发出攻击提示。
在检测到流量的关键字为数据攻击的攻击关键字的情况下,确定数据连接为数据攻击连接,流量为数据攻击流量后,还可以对数据攻击连接进行阻断,断开攻击对象与远程主机的数据连接,并且可以向攻击对象发出攻击提示,便于攻击对象对本身进行安全性加固。
需要说明的是,本申请实施例还提供了一种可选的实施方式,下面对该实施方式进行详细说明。
本实施方式提供了一种反弹shell检测方法,本实施方式公开的一种检测反弹shell的方法。与监听主机的内核进程不同,本发明主要是通过检测流量报文中的shell命令关键字以及返回报文的信息特征来判断是否为反弹shell攻击,解决了上述两种检测方案应用方式比较单一,容易造成漏报的问题。
本实施方式的具体方案如下:
1.深度应用识别:
图2是根据本发明实施方式的深度应用识别的示意图,如图2所示,反弹shell是由内部主机向远程主机建立连接,一般使用非知名端口建立TCP/UDP连接,若深度应用识别为HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议)、FTP(File Transfer Protocol,文件传输协议)等知名应用,则为正常报文;若识别为非知名应用,继续对报文进行分析。
2.解析反向流量:
图3是根据本发明实施方式的解析反向流量的示意图,如图3所示,首先对反向流量进行检测,反向流量为远程主机发向目的主机的流量,目的主机也即是上述攻击对象。远程攻击者通过交互式shell操控目的主机时,shell命令长度通常较短,可通过一些规则过滤掉payload(即上述搭载信息)中的分号,空格等字符以及一些属性值,对shell命令关键字进行提取。
3.AC(也即上述多模型匹配自动机)扫描关键字库:
图4是根据本发明实施方式的AC扫描关键字库的示意图,如图4所示,首先加载shell命令关键字库,构建shell命令字典树,在字典树上构建失配指针就将其转化为了AC自动机,然后将提取的关键字从左到右逐字符进行AC扫描,若完全命中,则解析正向(目的主机发向远程)流量。
4.解析正向流量:
图5是根据本发明实施方式的解析正向流量的示意图,如图5所示,将正向流量的payload根据命中的关键字进行特征库匹配,该特征库记录了大量shell命令和对应输出信息的特征。例如远程发送了一个ifconfig(显示或配置网络设备命令)的shell命令到目的主机,目的主机就会返回显示网络设备的相关信息,若正向流量的payload与特征库中ifconfig对应输出的特征匹配成功,则可直接判定为反弹shell攻击。
5.解析加密流量:
上述步骤2至4是针对流量为明文的情况。若流量为加密流量,先对流量进行解密操作,若能解密成明文,则继续执行2至4的步骤,若解密失败,则阻断此流量。
本实施方式的应用场景举例:
图6是根据本发明实施方式的反弹shell应用场景的示意图,如图6所示,在主机部署防火墙的情况下,外来的攻击者无法直接连接主机,于是攻击者控制目标主机主动连接攻击者,并将输入输出重定向到远程,然后攻击者就能获取目标主机的终端控制环境。此时若用户开启了反弹shell检测功能,将会检测到payload(包含shell命令的异常流量,能够及时发现主机遭受到了反弹shell的攻击。
本实施方式的优点在于:(1)对正向流量和反向流量的payload都进行了解析,极大降低了误报漏报的情况。(2)兼顾了反弹shell的检测性能和检测准确度。
本实施方式的关键在于:(1)深度应用识别过滤掉正常流量可以提升检测性能。(2)过滤掉payload中的分号空格以及属性值,提取shell命令关键字进行精确匹配可以降低误报。(3)对正向流量的payload进行对应的特征库匹配,若匹配成功,可直接判定为反弹shell攻击,增加了检测的准确性。
图7是根据本发明实施例的一种数据攻击检测装置的示意图,如图7所示,根据本发明实施例的另一方面,还提供了一种数据攻击检测装置,包括:连接检测模块72,关键字检测模块74和确定模块76,下面对该装置进行详细说明。
连接检测模块72,对攻击对象向远程主机建立的数据连接进行检测;关键字检测模块74,与上述连接检测模块72相连,在检测到数据连接的通信协议类型属于数据攻击对应的通信类型的情况下,对数据连接的流量进行关键字检测;确定模块76,与上述关键字检测模块74相连,在检测到流量的关键字为数据攻击的攻击关键字的情况下,确定数据连接为数据攻击连接,数据连接的流量为数据攻击流量。
通过上述装置,对攻击对象向远程主机建立的数据连接进行检测;在检测到数据连接的通信协议类型属于数据攻击对应的通信类型的情况下,对数据连接的流量进行关键字检测;在检测到流量的关键字为数据攻击的攻击关键字的情况下,确定数据连接为数据攻击连接,数据连接的流量为数据攻击流量,通过对数据连接的流量数据进行检测,达到了利用流量数据进行攻击检测,全面且准确检测数据连接攻击的目的,实现了提高数据连接攻击检测准确性,以及全面性的技术效果,进而解决了相关技术中的反弹shell攻击的检测,存在局限性,准确率较低的技术问题。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述中任意一项所述的数据攻击检测方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种数据攻击检测方法,其特征在于,包括:
对攻击对象向远程主机建立的数据连接进行检测;
在检测到所述数据连接的通信协议类型属于数据攻击对应的通信类型的情况下,对所述数据连接的流量进行关键字检测;
在检测到所述流量的关键字为所述数据攻击的攻击关键字的情况下,确定所述数据连接为数据攻击连接,所述数据连接的所述流量为数据攻击流量。
2.根据权利要求1所述的方法,其特征在于,对所述数据连接的流量进行关键字检测包括:
获取所述流量的搭载信息,其中,所述搭载信息为所述流量传输的信息字段;
对所述搭载信息进行关键字检测,确定所述搭载信息的多个关键字;
将所述关键字与预设的攻击关键字库进行匹配和查找,其中,所述攻击关键字库包括所述数据攻击采用的多个关键字;
在多个关键字的命中率达到预设比例的情况下,确定所述流量的关键字为所述数据攻击的攻击关键字。
3.根据权利要求2所述的方法,其特征在于,将所述关键字与预设的攻击关键字库进行匹配和查找包括:
加载所述攻击关键字库;
根据所述攻击关键字库的多个攻击关键字创建攻击字典树;
在所述攻击字典树上添加指针,将所述攻击字典树转化为多模型匹配自动机;
基于所述多模型匹配自动机将所述流量的多个关键字按顺序进行多模型匹配扫描,确定命中的关键字。
4.根据权利要求3所述的方法,其特征在于,所述流量包括正向流量和反向流量,所述对所述数据连接的流量进行关键字检测还包括:
对所述数据连接的反向流量进行关键字检测,其中,所述反向流量为所述远程主机向所述攻击对象发送的流量;
对所述数据连接的正向流量进行关键字检测,其中,所述正向流量为所述攻击对象向所述远程主机发送的流量;
在所述反向流量和所述正向流量均为攻击流量的情况下,确定所述数据连接为数据攻击连接。
5.根据权利要求1所述的方法,其特征在于,对攻击对象向远程主机建立的数据连接进行检测包括:
确定所述数据连接的流量的目标字段,其中,所述目标字段包含所述流量的通信协议参数;
根据所述流量的目标字段,确定所述流量对应的通信协议类型;
检测所述通信协议类型与所述数据攻击的通信类型是否一致,确定所述通信协议类型是否属于数据攻击对应的通信类型,其中,所述数据攻击的通信类型为一种或多种。
6.根据权利要求5所述的方法,其特征在于,确定所述数据连接的流量的目标字段之前,所述方法还包括:
获取所述数据连接的所述流量;
在所述流量为加密的密文数据的情况下,对所述密文数据进行解密,得到对应的明文数据;
在所述流量为未加密的明文数据的情况下,执行确定所述数据连接的流量的目标字段的步骤。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在所述流量为加密的密文数据,对所述密文数据解密失败的情况下,确定所述流量异常,对所述流量进行拦截。
8.根据权利要求1至7中任一项所述的方法,其特征在于,在检测到所述流量的关键字为所述数据攻击的攻击关键字的情况下,确定所述数据连接为数据攻击连接,所述流量为数据攻击流量之后,所述方法还包括:
对所述数据攻击连接进行阻断,对所述数据攻击流量进行拦截;
向所述攻击对象发出攻击提示。
9.一种数据攻击检测装置,其特征在于,包括:
数据检测模块,对攻击对象向远程主机建立的数据连接进行检测;
关键字检测模块,在检测到所述数据连接的通信协议类型属于数据攻击对应的通信类型的情况下,对所述数据连接的流量进行关键字检测;
确定模块,在检测到所述流量的关键字为所述数据攻击的攻击关键字的情况下,确定所述数据连接为数据攻击连接,所述数据连接的所述流量为数据攻击流量。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至8中任意一项所述的数据攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111649844.5A CN114301697A (zh) | 2021-12-29 | 2021-12-29 | 数据攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111649844.5A CN114301697A (zh) | 2021-12-29 | 2021-12-29 | 数据攻击检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114301697A true CN114301697A (zh) | 2022-04-08 |
Family
ID=80974344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111649844.5A Pending CN114301697A (zh) | 2021-12-29 | 2021-12-29 | 数据攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301697A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150304337A1 (en) * | 2012-11-14 | 2015-10-22 | University Of Virginia Patent Foundation | Methods, systems and computer readable media for detecting command injection attacks |
| CN111049782A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 反弹式网络攻击的防护方法、装置、设备、系统 |
| CN111049781A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 |
| CN111756728A (zh) * | 2020-06-23 | 2020-10-09 | 深圳前海微众银行股份有限公司 | 一种漏洞攻击检测的方法及装置 |
| CN111901306A (zh) * | 2020-06-29 | 2020-11-06 | 苏州浪潮智能科技有限公司 | 一种检测和阻断反弹shell攻击的方法及相关设备 |
| CN112600852A (zh) * | 2020-12-23 | 2021-04-02 | 苏州三六零智能安全科技有限公司 | 漏洞攻击处理方法、装置、设备及存储介质 |
| CN113067792A (zh) * | 2020-01-02 | 2021-07-02 | 深信服科技股份有限公司 | 一种xss攻击识别方法、装置、设备及介质 |
| CN113645224A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
-
2021
- 2021-12-29 CN CN202111649844.5A patent/CN114301697A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150304337A1 (en) * | 2012-11-14 | 2015-10-22 | University Of Virginia Patent Foundation | Methods, systems and computer readable media for detecting command injection attacks |
| CN111049782A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 反弹式网络攻击的防护方法、装置、设备、系统 |
| CN111049781A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 |
| CN113067792A (zh) * | 2020-01-02 | 2021-07-02 | 深信服科技股份有限公司 | 一种xss攻击识别方法、装置、设备及介质 |
| CN111756728A (zh) * | 2020-06-23 | 2020-10-09 | 深圳前海微众银行股份有限公司 | 一种漏洞攻击检测的方法及装置 |
| CN111901306A (zh) * | 2020-06-29 | 2020-11-06 | 苏州浪潮智能科技有限公司 | 一种检测和阻断反弹shell攻击的方法及相关设备 |
| CN112600852A (zh) * | 2020-12-23 | 2021-04-02 | 苏州三六零智能安全科技有限公司 | 漏洞攻击处理方法、装置、设备及存储介质 |
| CN113645224A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8015605B2 (en) | Scalable monitor of malicious network traffic | |
| US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
| CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
| Wehner | Analyzing worms and network traffic using compression | |
| CN111988339B (zh) | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 | |
| CN112788034B (zh) | 对抗网络攻击的处理方法、装置、电子设备和存储介质 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN112671759A (zh) | 基于多维度分析的dns隧道检测方法和装置 | |
| CN110099044A (zh) | 云主机安全检测系统及方法 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN111641589A (zh) | 高级可持续威胁检测方法、系统、计算机以及存储介质 | |
| CN112351002B (zh) | 一种报文检测方法、装置及设备 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN113489703A (zh) | 一种安全防护系统 | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| KR101940512B1 (ko) | 공격특성 dna 분석 장치 및 그 방법 | |
| CN114301697A (zh) | 数据攻击检测方法及装置 | |
| CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN113553584A (zh) | 一种工业互联网安全未知威胁检测方法、系统及存储介质 | |
| EP4187416A1 (en) | Method and apparatus for protecting a computing device connected to a network | |
| CN114697049B (zh) | WebShell检测方法及装置 | |
| CN115348188B (zh) | 一种dns隧道流量检测方法、装置、存储介质及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |