CN114760106A - 网络攻击的确定方法、系统、电子设备及存储介质 - Google Patents
网络攻击的确定方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114760106A CN114760106A CN202210288407.3A CN202210288407A CN114760106A CN 114760106 A CN114760106 A CN 114760106A CN 202210288407 A CN202210288407 A CN 202210288407A CN 114760106 A CN114760106 A CN 114760106A
- Authority
- CN
- China
- Prior art keywords
- attack
- risk level
- website
- determining
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000001514 detection method Methods 0.000 claims abstract description 68
- 238000012545 processing Methods 0.000 claims abstract description 42
- 238000004458 analytical method Methods 0.000 claims description 28
- 238000000605 extraction Methods 0.000 claims description 11
- 238000012502 risk assessment Methods 0.000 claims description 11
- 238000011156 evaluation Methods 0.000 claims description 10
- 238000007789 sealing Methods 0.000 claims description 10
- 238000001914 filtration Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 description 18
- 238000012549 training Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种网络攻击的确定方法、系统、电子设备及存储介质。该方法包括:基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果;若所述分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息;通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级;当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。解决了现有技术中无法准确判断是否存在网络攻击的问题,实现了对网络攻击行为的快速检测,达到了提升网络安全水平的效果。
Description
技术领域
本发明实施例涉及网络安全技术,尤其涉及一种网络攻击的确定方法、系统、电子设备及存储介质。
背景技术
随着互联网技术和通信技术的快速发展,企业的工作模式也发生了巨大的变化,由传统的纸质化办公转变为使用特定应用程序的无纸化办公。
由于应用程序会存在一定的安全漏洞,因此需要采用对应的防护措施避免企业用户遭受网络攻击,然而现有技术往往是通过基于硬件的网络安全技术,能够针对局域网内的安全事件自动进行归纳总结,并根据这些数据对全网安全进行预警。但是,对于从海量数据中分析中所潜伏的威胁,上述防御措施存在漏洞,并且很难对所有海量数据进行分析,因此可能会错过潜伏的网络攻击事件。
发明内容
本发明实施例提供一种网络攻击的确定方法、系统、电子设备及存储介质,以实现基于攻击行为的特征训练对应的攻击检测模型,进而通过攻击检测模型实现对攻击行为的高效检测,提升了攻击检测效率,保证了用户的网络安全。
第一方面,本发明实施例提供了一种网络攻击的确定方法,该方法包括:
基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果;
若所述分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息;
通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级;
当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。
第二方面,本发明实施例还提供了一种网络攻击的确定系统,该系统包括:
攻击检测模块,用于基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果;
数据获取模块,用于若所述分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息;
风险评估模块,用于通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级;
风险预警模块,用于当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。
第三方面,本发明实施例还提供了一种电子设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明实施例任一所述的网络攻击的确定方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例任一所述的网络攻击的确定方法。
本实施例的技术方案,通过基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果,进而基于分类结果进行判断,若分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息,进而通过分别对攻击包数据和攻击地址分析处理,确定网站的风险等级,当风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。由于通过数据包风险等级和网站风险等级进行综合判断是否存在网络攻击,解决了现有技术中无法准确判断是否存在网络攻击的问题,实现了对网络攻击行为的快速检测,达到了提升网络安全水平的效果。
附图说明
为了更加清楚地说明本发明示例性实施例的技术方案,下面对描述实施例中所需要用到的附图做一简单介绍。显然,所介绍的附图只是本发明所要描述的一部分实施例的附图,而不是全部的附图,对于本领域普通技术人员,在不付出创造性劳动的前提下,还可以根据这些附图得到其他的附图。
图1为本发明实施例一提供的一种网络攻击的确定方法的流程图;
图2为本实施例一所提供的一种网络攻击的确定方法流程示意图;
图3为本发明实施例二提供的一种网络攻击的确定系统的结构框图;
图4为本发明实施例三提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种网络攻击的确定方法的流程图,本实施例可适用于确定是否存在网络攻击的情况,该方法可以由本发明实施例中的网络攻击的确定系统来执行,该装置可以采用软件和/或硬件的方式来实现,可选的,通过电子设备来实现,该电子设备可以是PC端或服务端等。该装置可配置于计算设备中,本实施例提供的网络攻击的确定方法具体包括如下步骤:
S110、基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果。
其中,网络攻击检测模型可以是基于历史攻击记录生成的检测模型。访问数据可以理解为应用程序从数据源中获取的数据,可以理解的是,在大多数的应用程序中,经常会需要使用到数据,而这些数据可能来自很多不同类型的来源,例如数据库、网络数据源、本机文件、或是异质性的来源等。分类结果可以是对访问数据进行处理并分类得到的结果。
示例性的,在需要访问网站时,通过获取网站对应的访问数据,并基于预先设置的网络攻击检测模型对获取的访问数据进行处理后,根据网络攻击检测模型的处理结果进行分类得到分类结果,可以理解的是,获取访问数据的方法可以是基于预先设置的端口直接获取对应的访问数据,还可以是通过登录预设的管理员账号,基于管理员账号的权限调取相应的访问数据等。
在上述技术方案的基础上,所述基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果,包括:基于网络攻击检测模型中的特征提取单元对所述访问数据进行特征提取,得到待处理特征;通过所述网络攻击检测模型中的特征分析单元,对所述待处理特征分析处理,确定分析结果;基于所述网络攻击检测模型中的分类单元对所述分析结果分类处理,确定所述分类结果。
其中,特征提取单元可以用于对攻击行为进行特征提取。待处理特征可以理解为基于特征提取单元对访问数据进行处理后得到的特征。特征分析单元可以用于对待处理特征进行特征分析。分析结果可以理解为由特征分析单元待处理特征进行分析后得到的结果。分类单元用于对分析结果进行分类处理。
具体的,在通过预设的方法获取到网站的访问数据后,基于网络攻击检测模型对获取的访问数据进行处理,通过网络攻击检测模型中的特征提取单元提取到访问数据中的待处理特征,并基于特征分析单元对待处理特征进行分析得出对应的分析结果,进而使得分类单元基于分析结果进行分类后,得到网站的分类结果。
S120、若所述分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息。
其中,攻击分类结果可以理解为网站对应的访问数据为攻击数据,可以理解的是,分类结果中可以包含非攻击分类和攻击分类,攻击分类结果可以用于表征该网站的访问数据存在攻击数据,相应的,非攻击分类则用于表征该网站的访问数据不存在攻击数据。攻击数据包可以是用于发送攻击数据的数据包。攻击地址信息可以理解为发送攻击数据包的IP信息。
具体的,基于网站的分类结果判断该网站是否存在攻击行为后,通过获取该网站对应的攻击数据包,例如可以通过解析服务器内部的日志数据,从日志数据中调取对应的攻击数据包,进而对攻击数据包进行解析,可以理解的是,大的数据包会被分割为多个小的数据包,为了保证小数据包的正确传输,通常会在数据包的包头内存储相应的IP数据,因此在获取到攻击数据包之后,通过对攻击数据包进行解析就可以得到相应的攻击地址信息。
S130、通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级。
其中,风险等级可以理解为网站的风险程度,不同等级对应的风险程度是不同的。
具体的,基于预设的方法得到相应的攻击包数据和攻击地址后,可以根据预设的方法对攻击包数据和攻击地址进行分析,得到对应的分析结果,进而根据分析结果确定网站对应的风险等级。
在上述技术方案的基础上,所述风险等级中包括攻击包风险等级和网站风险等级,所述通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级,包括:通过对所述攻击包数据解析处理,得到至少一个待处理关键字信息,并基于所述至少一个待处理关键字信息和预设检测词典数据库,确定所述攻击包风险等级;通过危险情报分析网站对所述攻击地址进行风险评估,确定网站风险等级。
其中,攻击包风险等级可以是通过对攻击包内的数据进行分析后,得到相应攻击包的风险程度。网站风险等级可以用于表征该网站的风险程度。待处理关键字信息可以理解为对攻击包进行解析后,得到的关键字信息,可以理解的是,待处理关键字信息可以是该关键字存在于数据包内的字段信息。预设检测词典数据库可以是预先设置的用于检测攻击行为的词典。危险情报分析网站可以理解为用于评估IP地址风险程度的网站。
具体的,风险等级中可以包括攻击包风险等级和网站的风险等级,进而需要对攻击包和攻击地址进行分析得到对应的风险等级数据,通过解析攻击包内的攻击数据得到至少一个待处理关键字信息,并基于预先设置的检测词典数据库对待处理关键字信息进行处理,根据处理结果确定攻击包的风险等级。再基于危险情报分析网站对攻击地址信息进行分析后,得到对应的网站风险等级。
本实施例的上述方案,通过预设的词典数据库处理攻击数据包内的信息得出相应的攻击包风险等级,以及通过危险情报分析网站评估IP信息得出对应的网站风险等级,使得可以基于攻击包风险等级和网站风险等级进行综合判断,保证了风险判断的准确性。
在上述技术方案的基础上,所述基于所述至少一个待处理关键字信息和预设检测词典数据库,确定所述攻击包风险等级,包括:根据所述预设检测词典数据库中的各风险关键字信息,对所述至少一个待处理关键字信息进行过滤处理,得到所述攻击数据包的攻击包风险等级。
其中,所述攻击包风险等级中包括高风险等级或低风险等级。风险关键字信息可以理解为用于过滤风险关键字的信息,可以理解的是,可以基于历史数据对历史攻击记录进行分析后,得到相应的风险关键字信息,还可以是基于机器学习筛选相应的风险关键字信息。
具体的,在得到攻击数据包后,通过解析攻击数据包内的数据的到至少一一个待处理关键字信息,并基于预设的检测词典数据库对至少一个待处理关键字信息进行过滤,可以理解的是,检测词典数据库中包含了多种风险关键字信息,基于各风险关键字信息对至少一个待处理关键字信息进行过滤,根据过滤的结果得到相应的攻击包风险等级。例如,可以通过预先设置相应的安全阈值,并在进行过滤处理之前统计待处理关键字信息的总数,当被滤除的关键字信息所占的比重超过预设的安全阈值时,则确定该攻击数据包为高风险等级,相应的,不高于预设的安全阈值则为低风险等级。
在上述技术方案的基础上,在所述通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级之前,还包括:若所述攻击地址为攻击白名单中的地址,则不确定与所述攻击地址相对应的风险等级。
其中,攻击白名单可以理解为预先设置的安全IP名单。
具体的,在获取到网站的IP信息之后,先将网站的IP信息和存储在攻击白名单中的网站信息进行比对,当比对成功时,则确定该网站为攻击白名单中的网站,则不确定该网站对应的风险等级。可以理解的是,一部分网站可能不存在攻击行为,或者是网站的风险等级很低,但是其访问数据可能过于庞大,为了避免进行误判,可以通过将网站信息存储在攻击白名单中。
在上述技术方案的基础上,在所述通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级之前,还包括:确定所述攻击地址在预设时长内的访问次数,并在所述访问次数达到预设次数阈值时,确定所述攻击地址的风险等级为高风险等级;若所述访问次数未达到预设次数阈值,则将所述网站的攻击地址存储至所述攻击白名单中。
其中,预设时长可以是预先设置的用于时间长度,本领域技术人员可以根据需求进行设置。访问次数可以理解为攻击地址对服务器进行访问的次数。
具体的,在确定网站的风险等级之前,需要根据攻击地址信息确定该网站是否存在风险,可以通过检测在预设时间内攻击地址的访问次数,并将访问次数和预先设置的次数阈值进行比较,当访问次数达到预设的次数阈值时,则确定该攻击地址的风险等级为高风险。若未达到相应的次数阈值,则将该网站的攻击地址存储在攻击白名单中。例如,可以预先设置次数阈值为100次,进而可以统计攻击地址在短时间内对服务器进行访问的次数,当访问次数大于100次时,则判断该攻击地址为高风险等级,当小于100次时,该攻击地址为低风险等级,并将其加入到攻击白名单中。
S140、当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。
其中,预设风险等级用于判断网站是否存在网络攻击。网络攻击可以理解为对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。风险预警可以是根据网站的风险等级发送的预警信号。
具体的,在根据预设的方法得到网站的风险等级后,将网站的风险等级和预先设置的风险等级相匹配,当二者匹配成功时,则确定该网站存在网络攻击行为,并发出相应的预警信息。
在上述技术方案的基础上,所述预设风险等级为高风险等级,所述当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警,包括:当所述网站风险等级或所述数据包风险等级为高风险等级,将所述网站按照预设封禁时长进行封禁处理,并生成风险预警信息。
其中,封禁时长可以理解为对房展执行封禁的时长。封禁处理可以是针对该网站的IP进行进行封禁处理。风险预警信息用于对网站存在的风险行为进行预警。
具体的,在根据预设的方法得到数据包风险等级和网站风险等级后,若数据包风险等级和网站风险等级中的其中一个为高风险等级时,则确定该网站存在网络攻击行为,则基于预先设置的封禁时长对该网站进行封禁处理,并生成相应的风险预警信息。例如,当数据包风险等级或网站风险等级为高风险等级时,则确定该网站存在网络攻击行为,将该网站对应的IP信息加入到网络防火墙的黑名单中,一旦发现存在黑名单地址中的数据包,则将该数据包直接丢弃,从而屏蔽相应的网站,避免被攻击。
在上述技术方案的基础上,需要对本实施例中的技术方案进行进一步的说明,本实施例中的网络攻击的确定方法是通过在获取到网站的访问数据后,由预先设置的攻击检测模块对访问数据进行检测后,得到对应的分类结果,并基于分类结果进一步进行风险等级判断,基于风险等级发出相应的预警信息。图2为本实施例一所提供的一种网络攻击的确定方法流程示意图,如图2所示:
构建检测词典:根据预先设置的方法构建检测词典数据库,例如可以通过在日志中查找历史攻击记录,并基于历史记录中的攻击包数据,从攻击包数据中提取相应的关键字信息,基于提取出的关键字信息构建检测词典。
攻击行为检测:根据预先设置的攻击检测模型基于获取的访问数据检测网站是否存在攻击行为,若存在攻击行为,则采集攻击数据包和攻击IP信息。具体的,攻击检测模型可以基于攻击检测模块中预设的单元进行建立,例如:通过预设的特征提取单元提取攻击行为的特征;并将提取的特征输入到特征训练单元中,经过特征训练单元的训练后得到特征训练集,进而由模型建立单元基于特征训练集生成攻击检测模型。在生成攻击检测模型之后,由攻击行为检测单元根据攻击检测模型对攻击行为进行检测。进一步的,可以通过特征训练集训练随机森林分类器,得到攻击检测模型。
风险评估,通过攻击检测模型对访问数据进行处理后得到攻击次数后,根据攻击次数进行风险评估。具体的,可以是通过关键字风险评估单元,对攻击检测得到的攻击数据包进行解析,得到关键字信息,根据检测词典数据库对关键字信息进行过滤,得到相应的数据包风险信息,所述数据包风险信息包括高风险数据包和低风险数据包,同时可以由IP风险评估单元,通过危险情报分析网站,对攻击IP进行风险评估,得到相应IP风险信息。IP风险信息包括高风险IP和低风险IP。进而可以综合IP风险信息和数据包风险信息进行综合判断,提高了判断的准确度。
风险处理,在完成风险评估后,对攻击进行拦截、封禁处理。具体的,由关键字过滤单元对过滤得到的带有与检测词典数据库相匹配的关键字的数据包进行拦截,通过IP封禁单元,对高风险IP进行封禁,并设置封禁时长。可以理解的是,IP封禁单元还包括白名单,白名单用于存储低风险IP,白名单内的低风险IP跳过攻击多角度检测模块。
进一步的,由于危险情报分析网站的局限性,无法确定部分IP是否存在风险,也即IP疑似存在风险,因此可以基于疑似IP风险评估单元,对疑似IP在短时间内对服务器的访问次数进行统计,当次数大于100次时,则该IP为高风险IP,当次数小于等于100次时,则该IP为低风险IP。
风险预警,在确定网站具有相应的风险之后,还可通过预先设置的风险预警模块对高风险状态的攻击进行预警。
本实施例的技术方案,通过基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果,进而基于分类结果进行判断,若分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息,进而通过分别对攻击包数据和攻击地址分析处理,确定网站的风险等级,当风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。由于通过数据包风险等级和网站风险等级进行综合判断是否存在网络攻击,解决了现有技术中无法准确判断是否存在网络攻击的问题,实现了对网络攻击行为的快速检测,达到了提升网络安全水平的效果。
实施例二
图3为本发明实施例二提供的一种网络攻击的确定系统的结构框图。该装置包括:攻击检测模块310、数据获取模块320、风险评估模块330、风险预警模块340。
攻击检测模块,用于基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果;
数据获取模块,用于若所述分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息;
风险评估模块,用于通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级;
风险预警模块,用于当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。
在上述技术方案的基础上,所述攻击检测模块包括:
特征提取单元,用于基于网络攻击检测模型中的特征提取单元对所述访问数据进行特征提取,得到待处理特征;
特征分析单元,用于通过所述网络攻击检测模型中的特征分析单元,对所述待处理特征分析处理,确定分析结果;
分类单元,用于基于所述网络攻击检测模型中的分类单元对所述分析结果分类处理,确定所述分类结果。
在上述技术方案的基础上,所述风险等级中包括攻击包风险等级和网站风险等级,所述风险评估模块包括:
关键字风险评估单元,用于通过对所述攻击包数据解析处理,得到至少一个待处理关键字信息,并基于所述至少一个待处理关键字信息和预设检测词典数据库,确定所述攻击包风险等级;
网站风险评估单元,用于通过危险情报分析网站对所述攻击地址进行风险评估,确定网站风险等级。
在上述技术方案的基础上,所述关键字风险评估单元具体用于:
根据所述预设检测词典数据库中的各风险关键字信息,对所述至少一个待处理关键字信息进行过滤处理,得到所述攻击数据包的攻击包风险等级;
其中,所述攻击包风险等级中包括高风险等级或低风险等级。
在上述技术方案的基础上,所述风险预警模块还包括:
封禁单元,用于当所述网站风险等级或所述数据包风险等级为高风险等级,将所述网站按照预设封禁时长进行封禁处理,并生成风险预警信息。
在上述技术方案的基础上,所述封禁单元还用于,若所述攻击地址为攻击白名单中的地址,则不确定与所述攻击地址相对应的风险等级。
在上述技术方案的基础上,所述风险评估模块还包括:
风险评估单元,用于确定所述攻击地址在预设时长内的访问次数,并在所述访问次数达到预设次数阈值时,确定所述攻击地址的风险等级为高风险等级;
若所述访问次数为达到预设次数阈值,则将所述网站的攻击地址存储至所述攻击白名单中。
本发明实施例所提供的网络攻击的确定系统可执行本发明任一实施例所提供的网络攻击的确定方法,具备执行方法相应的功能模块和有益效果。
值得注意的是,上述装置所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明实施例的保护范围。
实施例三
图4为本发明实施例三提供的一种电子设备的结构示意图。图4示出了适于用来实现本发明实施例实施方式的示例性电子设备40的框图。图4显示的电子设备40仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,电子设备40以通用计算设备的形式表现。电子设备40的组件可以包括但不限于:一个或者多个处理器或者处理单元401,系统存储器402,连接不同系统组件(包括系统存储器402和处理单元401)的总线403。
总线403表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备40典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备40访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器402可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)404和/或高速缓存存储器405。电子设备40可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统406可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线403相连。存储器402可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块407的程序/实用工具408,可以存储在例如存储器402中,这样的程序模块407包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块407通常执行本发明所描述的实施例中的功能和/或方法。
电子设备40也可以与一个或多个外部设备409(例如键盘、指向设备、显示器410等)通信,还可与一个或者多个使得用户能与该电子设备40交互的设备通信,和/或与使得该电子设备40能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口411进行。并且,电子设备40还可以通过网络适配器412与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器412通过总线404与电子设备40的其它模块通信。应当明白,尽管图4中未示出,可以结合电子设备40使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元401通过运行存储在系统存储器402中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的网络攻击的确定方法。
实施例四
本发明实施例四还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种网络攻击的确定方法。该方法包括:
基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果;
若所述分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息;
通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级;
当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明实施例操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种网络攻击的确定方法,其特征在于,包括:
基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果;
若所述分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息;
通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级;
当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。
2.根据权利要求1所述的方法,其特征在于,所述基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果,包括:
基于网络攻击检测模型中的特征提取单元对所述访问数据进行特征提取,得到待处理特征;
通过所述网络攻击检测模型中的特征分析单元,对所述待处理特征分析处理,确定分析结果;
基于所述网络攻击检测模型中的分类单元对所述分析结果分类处理,确定所述分类结果。
3.根据权利要求1所述的方法,其特征在于,所述风险等级中包括攻击包风险等级和网站风险等级,所述通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级,包括:
通过对所述攻击包数据解析处理,得到至少一个待处理关键字信息,并基于所述至少一个待处理关键字信息和预设检测词典数据库,确定所述攻击包风险等级;
通过危险情报分析网站对所述攻击地址进行风险评估,确定网站风险等级。
4.根据权利要求3所述的方法,其特征在于,所述基于所述至少一个待处理关键字信息和预设检测词典数据库,确定所述攻击包风险等级,包括:
根据所述预设检测词典数据库中的各风险关键字信息,对所述至少一个待处理关键字信息进行过滤处理,得到所述攻击数据包的攻击包风险等级;
其中,所述攻击包风险等级中包括高风险等级或低风险等级。
5.根据权利要求3所述的方法,其特征在于,所述预设风险等级为高风险等级,所述当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警,包括:
当所述网站风险等级或所述数据包风险等级为高风险等级,将所述网站按照预设封禁时长进行封禁处理,并生成风险预警信息。
6.根据权利要求1所述的方法,其特征在于,在所述通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级之前,还包括:
若所述攻击地址为攻击白名单中的地址,则不确定与所述攻击地址相对应的风险等级。
7.根据权利要求6所述的方法,其特征在于,在所述通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级之前,还包括:
确定所述攻击地址在预设时长内的访问次数,并在所述访问次数达到预设次数阈值时,确定所述攻击地址的风险等级为高风险等级;
若所述访问次数为达到预设次数阈值,则将所述网站的攻击地址存储至所述攻击白名单中。
8.一种网络攻击的确定系统,其特征在于,包括:
攻击检测模块,用于基于网络攻击检测模型对各网站所对应的访问数据进行处理,确定分类结果;
数据获取模块,用于若所述分类结果为攻击分类结果,则获取与相应网站所对应的攻击包数据以及攻击地址信息;
风险评估模块,用于通过分别对攻击包数据和攻击地址分析处理,确定所述网站的风险等级;
风险预警模块,用于当所述风险等级与预设风险等级相一致,则确定网络攻击并进行风险预警。
9.一种电子设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的网络攻击的确定方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的网络攻击的确定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210288407.3A CN114760106B (zh) | 2022-03-22 | 网络攻击的确定方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210288407.3A CN114760106B (zh) | 2022-03-22 | 网络攻击的确定方法、系统、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114760106A true CN114760106A (zh) | 2022-07-15 |
CN114760106B CN114760106B (zh) | 2024-07-09 |
Family
ID=
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115412358A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | 网络安全风险评估方法、装置、电子设备及存储介质 |
CN115514539A (zh) * | 2022-09-02 | 2022-12-23 | 中国电信股份有限公司 | 一种网络攻击的防护方法及装置、存储介质及电子设备 |
CN115694950A (zh) * | 2022-10-26 | 2023-02-03 | 北京哈工信息产业股份有限公司 | 一种快速准确识别异常攻击ip地址的方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
US20190068626A1 (en) * | 2017-08-31 | 2019-02-28 | Charter Communications Operating, Llc | Distributed denial-of-service attack detection and mitigation based on autonomous system number |
CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
CN109861985A (zh) * | 2019-01-02 | 2019-06-07 | 平安科技(深圳)有限公司 | 基于风险等级划分的ip风控方法、装置、设备和存储介质 |
CN111628990A (zh) * | 2020-05-22 | 2020-09-04 | 北京金山云网络技术有限公司 | 识别攻击的方法、装置和服务器 |
CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
US20190068626A1 (en) * | 2017-08-31 | 2019-02-28 | Charter Communications Operating, Llc | Distributed denial-of-service attack detection and mitigation based on autonomous system number |
CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
CN109861985A (zh) * | 2019-01-02 | 2019-06-07 | 平安科技(深圳)有限公司 | 基于风险等级划分的ip风控方法、装置、设备和存储介质 |
CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
CN111628990A (zh) * | 2020-05-22 | 2020-09-04 | 北京金山云网络技术有限公司 | 识别攻击的方法、装置和服务器 |
CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
Non-Patent Citations (1)
Title |
---|
陈宇;王志奇;王磊;雷亚;: "基于"网防G01"及大数据技术的网站安全风险监测系统设计与应用", 警察技术, no. 02, 7 March 2017 (2017-03-07), pages 1 - 4 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115412358A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | 网络安全风险评估方法、装置、电子设备及存储介质 |
CN115514539A (zh) * | 2022-09-02 | 2022-12-23 | 中国电信股份有限公司 | 一种网络攻击的防护方法及装置、存储介质及电子设备 |
CN115514539B (zh) * | 2022-09-02 | 2024-01-30 | 中国电信股份有限公司 | 一种网络攻击的防护方法及装置、存储介质及电子设备 |
CN115412358B (zh) * | 2022-09-02 | 2024-01-30 | 中国电信股份有限公司 | 网络安全风险评估方法、装置、电子设备及存储介质 |
CN115694950A (zh) * | 2022-10-26 | 2023-02-03 | 北京哈工信息产业股份有限公司 | 一种快速准确识别异常攻击ip地址的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107547555B (zh) | 一种网站安全监测方法及装置 | |
CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
CN112953933B (zh) | 异常攻击行为检测方法、装置、设备及存储介质 | |
US11032304B2 (en) | Ontology based persistent attack campaign detection | |
US20200193024A1 (en) | Detection Of Malware Using Feature Hashing | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
CN112784281A (zh) | 一种工业互联网的安全评估方法、装置、设备及存储介质 | |
CN112131571B (zh) | 威胁溯源方法及相关设备 | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
Baich et al. | Machine Learning for IoT based networks intrusion detection: a comparative study | |
CN113132393A (zh) | 异常检测方法、装置、电子设备以及存储介质 | |
CN113037689A (zh) | 基于日志的病毒发现方法、装置、计算设备及存储介质 | |
KR102516819B1 (ko) | 빅데이터를 기반으로 위협 이벤트를 분석하고 대응하도록 지원하는 방법 및 이를 이용한 서버 | |
US20230315848A1 (en) | Forensic analysis on consistent system footprints | |
CN114760106B (zh) | 网络攻击的确定方法、系统、电子设备及存储介质 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN114760106A (zh) | 网络攻击的确定方法、系统、电子设备及存储介质 | |
US20220237289A1 (en) | Automated malware classification with human-readable explanations | |
Suciu et al. | Mobile devices forensic platform for malware detection | |
CN112989403B (zh) | 一种数据库破坏的检测方法、装置、设备及存储介质 | |
CN113238971A (zh) | 基于状态机的自动化渗透测试系统及方法 | |
CN113037555A (zh) | 风险事件标记方法、风险事件标记装置和电子设备 | |
Han | Detection of web application attacks with request length module and regex pattern analysis | |
TWI811087B (zh) | 追蹤外部電腦系統上之潛在攻擊者 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |