CN115022034A - 攻击报文识别方法、装置、设备和介质 - Google Patents

攻击报文识别方法、装置、设备和介质 Download PDF

Info

Publication number
CN115022034A
CN115022034A CN202210617207.8A CN202210617207A CN115022034A CN 115022034 A CN115022034 A CN 115022034A CN 202210617207 A CN202210617207 A CN 202210617207A CN 115022034 A CN115022034 A CN 115022034A
Authority
CN
China
Prior art keywords
attack
message
identified
initial
rule base
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210617207.8A
Other languages
English (en)
Other versions
CN115022034B (zh
Inventor
龙炫宇
于琛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210617207.8A priority Critical patent/CN115022034B/zh
Publication of CN115022034A publication Critical patent/CN115022034A/zh
Application granted granted Critical
Publication of CN115022034B publication Critical patent/CN115022034B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及网络安全技术领域,提供了一种攻击报文识别方法、装置、设备和介质,包括:获取待识别报文对应的第一特征;在第一攻击规则库确定存在第一特征时,确定待识别报文为初始攻击报文,并记录初始攻击报文对应的五元组信息,其中,第一攻击规则库是根据历史攻击行为的内容确定的;基于初始攻击报文,在第二攻击规则库中确定存在初始攻击报文对应的第二特征时,确定初始攻击报文为目标攻击报文。采用该方式能够提高对攻击报文识别的准确性。

Description

攻击报文识别方法、装置、设备和介质
技术领域
本公开涉及网络安全技术领域,特别是涉及一种攻击报文识别方法、装置、设备和介质。
背景技术
随着网络技术的不断发展,来自网络内部和外部的危险和犯罪也在日益增多,目前较流行的攻击程序和代码主要包括拒绝服务、分布式拒绝服务、力拆解、端口扫描、嗅探、病毒、蠕虫、垃圾邮件、以及木马等,这些攻击程序和代码给用户带来严重的网络安全问题。
目前,为了防御各种网络攻击,通常采用入侵防御系统(Intrusion PreventionSystem,IPS)对接收的报文进行检测,以确定当前接收的报文是否为攻击报文,以此实现对攻击报文的防御,具体的,入侵防御系统能够通过接收到的报文对应的互联网协议、端口号以及应用域等属性信息进行识别,以此确定当前接收的报文是否为攻击报文,从而实现对攻击报文的实时检查,进而阻止报文入侵攻击。
然而,采用现有技术,由于当前接收的报文与其对应属性信息存在不对应的情况,导致降低了对攻击报文识别的准确性。
发明内容
基于此,有必要针对上述技术问题,提供了一种攻击报文识别方法、装置、设备和介质。
本公开实施例提供了一种攻击报文识别方法,所述方法包括:获取待识别报文对应的第一特征,其中,所述第一特征是根据待识别报文的内容确定的;
在第一攻击规则库确定存在所述第一特征时,确定所述待识别报文为初始攻击报文,并记录所述初始攻击报文对应的五元组信息,其中,所述第一攻击规则库是根据历史攻击行为的内容确定的;
基于所述初始攻击报文,在第二攻击规则库中确定存在所述初始攻击报文对应的第二特征时,确定所述初始攻击报文为目标攻击报文,其中,所述第二攻击规则库是根据所述历史攻击行为的第一属性信息确定的,所述第一属性信息包括所述历史攻击行为的五元组信息以及应用层协议,所述第二特征是根据所述初始攻击报文的第二属性信息确定的,所述第二属性信息包括所述初始攻击报文的五元组信息以及应用层协议。
在一个实施例中,所述获取待识别报文对应的属性信息以及第一特征之前,所述方法还包括:
获取所述待识别报文;
基于所述待识别报文,确定所述待识别报文对应的应用层协议。
在一个实施例中,所述基于所述待识别报文,获取所述待识别报文对应的应用层协议,包括:
根据所述待识别报文对应的端口号,确定所述待识别报文对应的应用层协议;或
根据所述待识别报文对应的功能码,确定所述待识别报文对应的应用层协议。
在一个实施例中,所述第一攻击规则库是根据历史攻击行为确定的,包括:
根据每个所述历史攻击行为的内容,确定对应的预设字段;
基于多个所述预设字段,确定所述第一攻击规则库。
在一个实施例中,所述在第一攻击规则库确定存在所述第一特征时,确定所述待识别报文为初始攻击报文,包括:
将所述第一特征对应的第一字段与所述第一攻击规则库中的每个所述历史攻击报文的预设字段进行匹配;
当所述第一字段与至少两个所述预设字段中的任意预设字段匹配一致时,确定所述待识别报文为初始攻击报文。
在一个实施例中,所述基于所述初始攻击报文,在第二攻击规则库中确定存在所述初始攻击报文对应的第二特征时,确定所述初始攻击报文为目标攻击报文,包括:
将所述初始攻击报文的第二属性信息与所述第二攻击规则库中的每个所述历史攻击报文的第一属性信息进行匹配;
当所述第二属性信息与至少两个所述第一属性信息中的任意第一属性信息匹配一致时,确定所述初始攻击报文为目标攻击报文。
在一个实施例中,所述方法还包括:
在确定所述初始攻击报文为目标攻击报文时,将所述目标攻击报文丢弃。
第二方面,本公开实施例提供了一种攻击报文识别装置,包括:
第一特征获取模块,用于获取待识别报文对应的第一特征,其中,所述第一特征是根据待识别报文的内容确定的;
初始攻击报文确定模块,用于在第一攻击规则库确定存在所述第一特征时,确定所述待识别报文为初始攻击报文,并记录所述初始攻击报文对应的五元组信息,其中,所述第一攻击规则库是根据历史攻击行为的内容确定的;
目标攻击报文确定模块,用于基于所述初始攻击报文,在第二攻击规则库中确定存在所述初始攻击报文对应的第二特征时,确定所述初始攻击报文为目标攻击报文,其中,所述第二攻击规则库是根据所述历史攻击行为的第一属性信息确定的,所述第一属性信息包括所述历史攻击行为的五元组信息以及应用层协议,所述第二特征是根据所述初始攻击报文的第二属性信息确定的,所述第二属性信息包括所述初始攻击报文的五元组信息以及应用层协议。
第三方面,本公开实施例提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一所述的方法。
第四方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面中任一所述的方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开提供了一种攻击报文识别方法、装置、设备和介质,通过获取待识别报文对应的第一特征,其中,第一特征是根据待识别报文的内容确定的;在第一攻击规则库确定存在所述第一特征时,确定待识别报文为初始攻击报文,并记录初始攻击报文对应的五元组信息,其中,第一攻击规则库是根据历史攻击行为的内容确定的;基于初始攻击报文,在第二攻击规则库中确定存在初始攻击报文对应的第二特征时,确定初始攻击报文为目标攻击报文,其中,第二攻击规则库是根据历史攻击行为的第一属性信息确定的,第一属性信息包括历史攻击行为的五元组信息以及应用层协议,第二特征是根据初始攻击报文的第二属性信息确定的,第二属性信息包括初始攻击报文的五元组信息以及应用层协议。这样,通过待识别报文的第一特征与第一攻击规则库中的历史攻击行为对应的特征进行匹配,确定初始攻击报文,进一步的,再根据第二攻击规则库中保存的历史攻击行为对应的五元组信息以及应用层协议对初始攻击报文进行二次识别,以此避免现有技术中待识别报文与其对应属性信息不对应的问题,提高了对攻击报文识别的准确性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种攻击报文识别方法的流程示意图;
图2为本公开实施例提供的另一种攻击报文识别方法的流程示意图;
图3为本公开实施例提供的再一种攻击报文识别方法的流程示意图;
图4为本公开实施例提供的一种攻击报文识别装置的结构示意图;
图5为本公开实施例提供的电子设备的内部结构图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
随着网络技术的不断发展,来自网络内部和外部的危险和犯罪也在日益增多,目前较流行的攻击程序和代码主要包括拒绝服务、分布式拒绝服务、力拆解、端口扫描、嗅探、病毒、蠕虫、垃圾邮件、以及木马等,这些攻击程序和代码给用户带来严重的网络安全问题。
目前,为了防御各种网络攻击,通常采用入侵防御系统(Intrusion PreventionSystem,IPS)对接收的报文进行检测,以确定当前接收的报文是否为攻击报文,以此实现对攻击报文的防御,具体的,入侵防御系统能够通过接收到的报文对应的互联网协议、端口号以及应用域等属性信息进行识别,以此确定当前接收的报文是否为攻击报文,从而实现对攻击报文的实时检查,进而阻止报文入侵攻击。然而,采用现有技术,由于当前接收的报文与其对应属性信息存在不对应的情况,导致降低了对攻击报文识别的准确性。
基于此,本公开提供了一种攻击报文识别方法、装置、设备和介质,通过获取待识别报文对应的第一特征,其中,第一特征是根据待识别报文的内容确定的;在第一攻击规则库确定存在所述第一特征时,确定待识别报文为初始攻击报文,并记录初始攻击报文对应的五元组信息,其中,第一攻击规则库是根据历史攻击行为的内容确定的;基于初始攻击报文,在第二攻击规则库中确定存在初始攻击报文对应的第二特征时,确定初始攻击报文为目标攻击报文,其中,第二攻击规则库是根据历史攻击行为的第一属性信息确定的,第一属性信息包括历史攻击行为的五元组信息以及应用层协议,第二特征是根据初始攻击报文的第二属性信息确定的,第二属性信息包括初始攻击报文的五元组信息以及应用层协议。这样,通过待识别报文的第一特征与第一攻击规则库中的历史攻击行为对应的特征进行匹配,确定初始攻击报文,进一步的,再根据第二攻击规则库中保存的历史攻击行为对应的五元组信息以及应用层协议对初始攻击报文进行二次识别,以此避免现有技术中待识别报文与其对应属性信息不对应的问题,提高了对攻击报文识别的准确性。
在一个实施例中,如图1所示,图1为本公开实施例提供的一种攻击报文识别方法的流程示意图,具体包括以下步骤:
S11:获取待识别报文对应的第一特征。
其中,第一特征是根据待识别报文的内容确定的,第一特征例如可以是待识别报文的内容对应的字段信息,如二进制字段“010101010110101010”,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
示例性的,防火墙在接收到待识别报文时,可以通过对待识别报文进行解析,以得到待识别报文对应的第一特征对应的字段信息。
可选的,在上述实施例的基础上,在本公开的一些实施例中,如图2所示,在执行S11之前还包括:
S21:获取待识别报文。
示例性的,获取待识别报文可以是防火墙在获取到网络流量后,提取当前获取到的网络流量中的待识别报文,还可以是用户向外部网站、服务器发送报文时,防火墙能够获取到的报文,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
S22:基于待识别报文,确定待识别报文对应的应用层协议。
其中,应用层协议是指定义运行在不同端系统上的应用程序进程之间是如何相互传递报文的,示例性的,应用层协议包括但不限于域名系统(Domain Name System,DNS)协议、文件传输协议(File Transfer Protocol,FTP)、简单邮件传送协议(Simple MailTransfer Protocol,SMTP)、超文本传输协议(HyperText Transfer Protocol,HTTP)、简单网络管理协议(simple Network Management Protocol,SNMP)、远程登录协议(Telnet),本领域技术人员可根据实际情况设置。
具体的,对获取到的待识别报文,识别当前待识别报文对应的应用层协议。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S22的一种实现方式可以是:
根据待识别报文对应的端口号,确定待识别报文对应的应用层协议。
具体的,对于获取到的待识别报文,识别当前待识别报文携带的对应的端口号,根据该端口号确定待识别报文对应的应用层协议。
需要说明的是,在报文头部携带有端口号,不同的端口号对应不同的协议,示例性的,对于端口号“21”,其对应的应用层协议为FTP,对于端口号“23”,其对应的应用层协议为Telnet,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S22的一种实现方式还可以是:
根据待识别报文对应的功能码,确定待识别报文对应的应用层协议。
示例性的,防火墙对待识别报文进行解析,得到对应的功能码,根据该功能码确定待识别报文对应的应用层协议,还可以是获取对待识别报文对应的功能码的读操作、写操作等,以此确定待识别报文对应的应用层协议,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
S12:在第一攻击规则库确定存在第一特征时,确定待识别报文为初始攻击报文,并记录初始攻击报文对应的五元组信息。
其中,第一攻击规则库是根据历史攻击行为的内容确定的。
具体的,对于多个历史攻击行为,能够根据多个历史攻击行为分别对应的内容进行解析识别,以此确定多个历史攻击行为分别对应的第一特征,并将多个历史攻击行为以及多个历史攻击行为分别对应的第一特征保存在同一内存中,以此得到第一攻击规则库,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
可选的,在上述实施例的基础上,在本公开一些实施例中,获取第一规则库的一种可以实现的方式为:
根据每个历史攻击行为的内容,确定对应的预设字段。
基于多个预设字段,确定第一攻击规则库。
具体的,对于多个历史攻击行为中的每个历史攻击行为行解析识别,以此确定每个历史攻击行为的第一特征对应的预设字段,如“010101010110101010”,并将多个历史攻击行为以及多个历史攻击行为分别对应的第一特征对应的预设字段保存在同一内存中,以此得到第一攻击规则库,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
上述五元组信息包括互联网协议、端口号以及传输层协议。
具体的,当获取到待识别报文对应的第一特征时,与第一攻击规则库的多个特征进行匹配,当能够匹配时,说明在第一攻击规则库确定存在第一特征,则确定当前的待识别报文为初始攻击报文,同时记录当前的待识别报文对应的五元组信息,即当前的待识别报文对应的互联网协议、端口号以及传输层协议。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S12的一种实现方式可以是:
将第一特征对应的第一字段与第一攻击规则库中的每个历史攻击报文的预设字段进行匹配。
当第一字段与至少两个预设字段中的任意预设字段匹配一致时,确定待识别报文为初始攻击报文。
具体的,获取待识别报文的第一特征对应的第一字段,将第一字段与保存在第一攻击规则库中的每个历史攻击报文对应的预设字段进行匹配,当在多个预设字段中,能够确定存在与待识别报文的第一特征对应的第一字段相匹配的任意预设字段时,则确定当前的待识别报文为初始攻击报文。
示例性的,对于待识别报文的第一特征对应的第一字段例如可以是“010101”,对于第一攻击规则库中保存的多个历史攻击报文以及多个历史攻击报文分别对应的预设字段例如可以是“攻击报文1:101111、攻击报文2:111111、攻击报文3:101011、攻击报文4:010101...攻击报文N:001111”,将第一字段如“010101”与保存在第一攻击规则库中的多个历史攻击报文以及多个历史攻击报文分别对应的预设字段进行匹配,在确定在第一攻击规则库中的攻击报文4:010101与待识别报文的第一特征对应的第一字段相匹配时,则确定当前的待识别报文为初始攻击报文,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
可选的,上述实施例的基础上,在本公开的一些实施例中,将第一特征对应的第一字段与第一攻击规则库中的每个历史攻击报文的预设字段进行匹配,当在第一字段与至少两个预设字段中无法匹配到与第一特征对应的第一字段时,确定待识别报文为正常报文,则将当前的待识别报文放行。
这样,本实施例提供的攻击报文识别方法,通过利用第一攻击规则库中保存的多个历史攻击报文分别对应的特征的预设字段与待识别报文对应的第一特征进行识别,以此确定初始攻击报文,并将正常报文放行,这样,优先对待识别报文进行识别,确定初始攻击报文,进一步的再检测确定的初始攻击报文,以此提高对待识别报文是否为攻击报文的效率以及准确性。
S13:基于初始攻击报文,在第二攻击规则库中确定存在初始攻击报文对应的第二特征时,确定初始攻击报文为目标攻击报文。
其中,第二攻击规则库是根据历史攻击行为的第一属性信息确定的,第一属性信息包括历史攻击行为的五元组信息以及应用层协议,第二特征是根据初始攻击报文的第二属性信息确定的,第二属性信息包括初始攻击报文的五元组信息以及应用层协议。
示例性的,对于第二攻击规则库,可以是通过多个历史攻击行为的第一属性信息,如每个历史攻击行为对应的五元组信息如互联网协议、端口号、传输层协议以及应用层协议确定。
具体的,当根据待识别报文的第一特征确定当前待识别报文为初始攻击报文时,并记录当前初始攻击报文对应的第二属性信息中五元组信息,进一步的,根据当前初始攻击报文对应的第二属性信息中五元组信息与应用层协议与第二攻击规则库中保存的每个历史攻击行为对应的第一属性信息进行匹配,当匹配成功时,则证明在第二攻击规则库中确定存在初始攻击报文对应的第二特征,以此确定初始攻击报文为目标攻击报文。
可选的,在上述实施例的基础上,在本公开的一些实施例中,S13的一种实现方式可以是:
将初始攻击报文的第二属性信息与第二攻击规则库中的每个历史攻击报文的第一属性信息进行匹配。
当第二属性信息与至少两个第一属性信息中的任意第一属性信息匹配一致时,确定初始攻击报文为目标攻击报文。
具体的,将初始攻击报文的第二属性信息,即在确定待识别报文为初始攻击报文时记录的五元组信息、以及提前获取的应用层协议,与在第二攻击规则库中保存的历史攻击报文的第一属性信息进行匹配,当确定在第二攻击规则库中保存的历史攻击报文的第一属性信息存在与初始攻击报文的第二属性信息相匹配时,则确定初始攻击报文为目标攻击报文。
这样,本公开实施例提供的攻击报文识别方法,通过获取待识别报文对应的第一特征,其中,第一特征是根据待识别报文的内容确定的;在第一攻击规则库确定存在所述第一特征时,确定待识别报文为初始攻击报文,并记录初始攻击报文对应的五元组信息,其中,第一攻击规则库是根据历史攻击行为的内容确定的;基于初始攻击报文,在第二攻击规则库中确定存在初始攻击报文对应的第二特征时,确定初始攻击报文为目标攻击报文,其中,第二攻击规则库是根据历史攻击行为的第一属性信息确定的,第一属性信息包括历史攻击行为的五元组信息以及应用层协议,第二特征是根据初始攻击报文的第二属性信息确定的,第二属性信息包括初始攻击报文的五元组信息以及应用层协议。这样,通过待识别报文的第一特征与第一攻击规则库中的历史攻击行为对应的特征进行匹配,确定初始攻击报文,进一步的,再根据第二攻击规则库中保存的历史攻击行为对应的五元组信息以及应用层协议对初始攻击报文进行二次识别,以此避免现有技术中待识别报文与其对应属性信息不对应的问题,提高了对攻击报文识别的准确性。
可选的,在上述实施例的基础上,在本公开一些实施例中,在执行S13之后,还包括:
S31:在确定初始攻击报文为目标攻击报文时,将目标攻击报文丢弃。
具体的,在确定当前的初始攻击报文为目标攻击报文的时候,将目标攻击报文丢弃,以此保证用户不会受到攻击报文的攻击。
图4为本公开实施例提供的一种攻击报文识别装置,包括:第一特征获取模块11、初始攻击报文确定模块12以及目标攻击报文确定模块13。
其中,第一特征获取模块11,用于获取待识别报文对应的第一特征,其中,所述第一特征是根据待识别报文的内容确定的;
初始攻击报文确定模块12,用于在第一攻击规则库确定存在第一特征时,确定待识别报文为初始攻击报文,并记录初始攻击报文对应的五元组信息,其中,第一攻击规则库是根据历史攻击行为的内容确定的;
目标攻击报文确定模块13,用于基于初始攻击报文,在第二攻击规则库中确定存在初始攻击报文对应的第二特征时,确定初始攻击报文为目标攻击报文,其中,第二攻击规则库是根据历史攻击行为的第一属性信息确定的,第一属性信息包括历史攻击行为的五元组信息以及应用层协议,第二特征是根据初始攻击报文的第二属性信息确定的,第二属性信息包括初始攻击报文的五元组信息以及应用层协议。
在上述实施例中,所述装置还包括:待识别报文获取模块和应用层协议确定模块,待识别报文获取模块,用于获取待识别报文;应用层协议确定模块,用于基于待识别报文,确定待识别报文对应的应用层协议。
在上述实施例中,应用层协议确定模块,具体用于根据待识别报文对应的端口号,确定待识别报文对应的应用层协议;或
根据待识别报文对应的功能码,确定待识别报文对应的应用层协议。
在上述实施例中,所述装置还包括:第一攻击规则库确定模块,用于根据每个历史攻击行为的内容,确定对应的预设字段;基于多个预设字段,确定第一攻击规则库。
在上述实施例中,初始攻击报文确定模块12,具体用于将第一特征对应的第一字段与第一攻击规则库中的每个历史攻击报文的预设字段进行匹配;
当第一字段与至少两个预设字段中的任意预设字段匹配一致时,确定待识别报文为初始攻击报文。
在上述实施例中,目标攻击报文确定模块13,具体用于将初始攻击报文的第二属性信息与第二攻击规则库中的每个历史攻击报文的第一属性信息进行匹配;
当第二属性信息与至少两个第一属性信息中的任意第一属性信息匹配一致时,确定初始攻击报文为目标攻击报文。
在上述实施例中,所述装置还包括:处理模块,用于在确定初始攻击报文为目标攻击报文时,将目标攻击报文丢弃。
这样,本实施例通过第一特征获取模块11,用于获取待识别报文对应的第一特征,其中,所述第一特征是根据待识别报文的内容确定的;初始攻击报文确定模块12,用于在第一攻击规则库确定存在第一特征时,确定待识别报文为初始攻击报文,并记录初始攻击报文对应的五元组信息,其中,第一攻击规则库是根据历史攻击行为的内容确定的;目标攻击报文确定模块13,用于基于初始攻击报文,在第二攻击规则库中确定存在初始攻击报文对应的第二特征时,确定初始攻击报文为目标攻击报文,其中,第二攻击规则库是根据历史攻击行为的第一属性信息确定的,第一属性信息包括历史攻击行为的五元组信息以及应用层协议,第二特征是根据初始攻击报文的第二属性信息确定的,第二属性信息包括初始攻击报文的五元组信息以及应用层协议。这样,通过待识别报文的第一特征与第一攻击规则库中的历史攻击行为对应的特征进行匹配,确定初始攻击报文,进一步的,再根据第二攻击规则库中保存的历史攻击行为对应的五元组信息以及应用层协议对初始攻击报文进行二次识别,以此避免现有技术中待识别报文与其对应属性信息不对应的问题,提高了对攻击报文识别的准确性。
本发明实施例所提供的装置可执行本发明任意实施例所提供的方法,具备执行方法相应的功能模块和有益效果。
值得注意的是,上述装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
图5是本公开实施例提供的一种电子设备的结构示意图,如图5所示,该电子设备包括处理器710、存储器720、输入装置730和输出装置740;计算机设备中处理器710的数量可以是一个或多个,图5中以一个处理器710为例;电子设备中的处理器710、存储器720、输入装置730和输出装置740可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器720作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中方法对应的程序指令/模块。处理器710通过运行存储在存储器720中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现本发明实施例所提供的方法。
存储器720可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器720可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器720可进一步包括相对于处理器710远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置730可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘、鼠标等。输出装置740可包括显示屏等显示设备。
本公开实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现本发明实施例所提供的方法,方法包括:
获取待识别报文对应的第一特征,其中,第一特征是根据待识别报文的内容确定的;
在第一攻击规则库确定存在第一特征时,确定待识别报文为初始攻击报文,并记录初始攻击报文对应的五元组信息,其中,第一攻击规则库是根据历史攻击行为的内容确定的;
基于初始攻击报文,在第二攻击规则库中确定存在初始攻击报文对应的第二特征时,确定初始攻击报文为目标攻击报文,其中,第二攻击规则库是根据历史攻击行为的第一属性信息确定的,第一属性信息包括历史攻击行为的五元组信息以及应用层协议,第二特征是根据初始攻击报文的第二属性信息确定的,第二属性信息包括初始攻击报文的五元组信息以及应用层协议。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种攻击报文识别方法,其特征在于,所述方法包括:
获取待识别报文对应的第一特征,其中,所述第一特征是根据待识别报文的内容确定的;
在第一攻击规则库确定存在所述第一特征时,确定所述待识别报文为初始攻击报文,并记录所述初始攻击报文对应的五元组信息,其中,所述第一攻击规则库是根据历史攻击行为的内容确定的;
基于所述初始攻击报文,在第二攻击规则库中确定存在所述初始攻击报文对应的第二特征时,确定所述初始攻击报文为目标攻击报文,其中,所述第二攻击规则库是根据所述历史攻击行为的第一属性信息确定的,所述第一属性信息包括所述历史攻击行为的五元组信息以及应用层协议,所述第二特征是根据所述初始攻击报文的第二属性信息确定的,所述第二属性信息包括所述初始攻击报文的五元组信息以及应用层协议。
2.根据权利要求1所述的方法,其特征在于,所述获取待识别报文对应的属性信息以及第一特征之前,所述方法还包括:
获取所述待识别报文;
基于所述待识别报文,确定所述待识别报文对应的应用层协议。
3.根据权利要求2所述的方法,其特征在于,所述基于所述待识别报文,获取所述待识别报文对应的应用层协议,包括:
根据所述待识别报文对应的端口号,确定所述待识别报文对应的应用层协议;或
根据所述待识别报文对应的功能码,确定所述待识别报文对应的应用层协议。
4.根据权利要求1所述的方法,其特征在于,所述第一攻击规则库是根据历史攻击行为确定的,包括:
根据每个所述历史攻击行为的内容,确定对应的预设字段;
基于多个所述预设字段,确定所述第一攻击规则库。
5.根据权利要求1所述的方法,其特征在于,所述在第一攻击规则库确定存在所述第一特征时,确定所述待识别报文为初始攻击报文,包括:
将所述第一特征对应的第一字段与所述第一攻击规则库中的每个所述历史攻击报文的预设字段进行匹配;
当所述第一字段与至少两个所述预设字段中的任意预设字段匹配一致时,确定所述待识别报文为初始攻击报文。
6.根据权利要求1所述的方法,其特征在于,所述基于所述初始攻击报文,在第二攻击规则库中确定存在所述初始攻击报文对应的第二特征时,确定所述初始攻击报文为目标攻击报文,包括:
将所述初始攻击报文的第二属性信息与所述第二攻击规则库中的每个所述历史攻击报文的第一属性信息进行匹配;
当所述第二属性信息与至少两个所述第一属性信息中的任意第一属性信息匹配一致时,确定所述初始攻击报文为目标攻击报文。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述初始攻击报文为目标攻击报文时,将所述目标攻击报文丢弃。
8.一种攻击报文识别装置,其特征在于,包括:
第一特征获取模块,用于获取待识别报文对应的第一特征,其中,所述第一特征是根据待识别报文的内容确定的;
初始攻击报文确定模块,用于在第一攻击规则库确定存在所述第一特征时,确定所述待识别报文为初始攻击报文,并记录所述初始攻击报文对应的五元组信息,其中,所述第一攻击规则库是根据历史攻击行为的内容确定的;
目标攻击报文确定模块,用于基于所述初始攻击报文,在第二攻击规则库中确定存在所述初始攻击报文对应的第二特征时,确定所述初始攻击报文为目标攻击报文,其中,所述第二攻击规则库是根据所述历史攻击行为的第一属性信息确定的,所述第一属性信息包括所述历史攻击行为的五元组信息以及应用层协议,所述第二特征是根据所述初始攻击报文的第二属性信息确定的,所述第二属性信息包括所述初始攻击报文的五元组信息以及应用层协议。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至7中任一项所述的攻击报文识别方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的攻击报文识别方法。
CN202210617207.8A 2022-06-01 2022-06-01 攻击报文识别方法、装置、设备和介质 Active CN115022034B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210617207.8A CN115022034B (zh) 2022-06-01 2022-06-01 攻击报文识别方法、装置、设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210617207.8A CN115022034B (zh) 2022-06-01 2022-06-01 攻击报文识别方法、装置、设备和介质

Publications (2)

Publication Number Publication Date
CN115022034A true CN115022034A (zh) 2022-09-06
CN115022034B CN115022034B (zh) 2023-04-07

Family

ID=83073410

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210617207.8A Active CN115022034B (zh) 2022-06-01 2022-06-01 攻击报文识别方法、装置、设备和介质

Country Status (1)

Country Link
CN (1) CN115022034B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116094848A (zh) * 2023-04-11 2023-05-09 中国工商银行股份有限公司 访问控制方法、装置、计算机设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050018618A1 (en) * 2003-07-25 2005-01-27 Mualem Hezi I. System and method for threat detection and response
CN109413016A (zh) * 2018-04-28 2019-03-01 武汉思普崚技术有限公司 一种基于规则的报文检测方法和装置
CN112600852A (zh) * 2020-12-23 2021-04-02 苏州三六零智能安全科技有限公司 漏洞攻击处理方法、装置、设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050018618A1 (en) * 2003-07-25 2005-01-27 Mualem Hezi I. System and method for threat detection and response
CN109413016A (zh) * 2018-04-28 2019-03-01 武汉思普崚技术有限公司 一种基于规则的报文检测方法和装置
CN112600852A (zh) * 2020-12-23 2021-04-02 苏州三六零智能安全科技有限公司 漏洞攻击处理方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116094848A (zh) * 2023-04-11 2023-05-09 中国工商银行股份有限公司 访问控制方法、装置、计算机设备和存储介质
CN116094848B (zh) * 2023-04-11 2023-06-27 中国工商银行股份有限公司 访问控制方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN115022034B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
US11797671B2 (en) Cyberanalysis workflow acceleration
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
CN109756512B (zh) 一种流量应用识别方法、装置、设备及存储介质
US8893278B1 (en) Detecting malware communication on an infected computing device
US9094288B1 (en) Automated discovery, attribution, analysis, and risk assessment of security threats
CN111526121B (zh) 入侵防御方法、装置、电子设备及计算机可读介质
US8336098B2 (en) Method and apparatus for classifying harmful packet
CN107979581B (zh) 僵尸特征的检测方法和装置
CN110933111B (zh) 一种基于DPI的DDoS攻击识别方法及装置
CN114095274B (zh) 一种攻击研判方法及装置
US10848509B1 (en) Apparatus and method to analyze DNS traffic to detect anomalies
JP2018194880A (ja) 情報処理装置、不正活動分類方法および不正活動分類用プログラム
CN112600852A (zh) 漏洞攻击处理方法、装置、设备及存储介质
CN115022034B (zh) 攻击报文识别方法、装置、设备和介质
CN113992403A (zh) 访问限速拦截方法及装置、防御服务器和可读存储介质
CN110493253B (zh) 一种基于树莓派设计的家用路由器的僵尸网络分析方法
Sawaya et al. Detection of attackers in services using anomalous host behavior based on traffic flow statistics
McLaren et al. Mining malware command and control traces
CN113965418B (zh) 一种攻击成功判定方法及装置
CN115603985A (zh) 入侵检测方法及电子设备、存储介质
CN112953957B (zh) 一种入侵防御方法、系统及相关设备
Virmani et al. Entropy deviation method for analyzing network intrusion
KR100951930B1 (ko) 부적절한 패킷의 분류 방법 및 장치
CN114257403A (zh) 误报检测方法、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant