CN115913789A - 一种网络攻击的识别方法及装置 - Google Patents
一种网络攻击的识别方法及装置 Download PDFInfo
- Publication number
- CN115913789A CN115913789A CN202310140457.1A CN202310140457A CN115913789A CN 115913789 A CN115913789 A CN 115913789A CN 202310140457 A CN202310140457 A CN 202310140457A CN 115913789 A CN115913789 A CN 115913789A
- Authority
- CN
- China
- Prior art keywords
- data
- detected
- network attack
- sensitive
- behavior data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种网络攻击的识别方法及装置,涉及网络安全技术领域。网络攻击的识别方法,包括:获取当前主机待检测的请求流量数据;根据预设IP地址库对所述请求流量数据进行过滤,获得过滤后的请求流量数据;对过滤后的请求流量数据进行解析,获得待检测数据结构;根据流量特征和预设判定规则对所述待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据;根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析,获得网络攻击识别结果。该网络攻击的识别方法可以进行全流量的检测,实现提高网络攻击检测准确性的技术效果。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络攻击的识别方法及装置。
背景技术
目前,随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。网络安全作为信息安全领域中的重要课题,正越来越受到关注。然后用户是否遭受网络攻击通常很难发现,并且很难预判是否存在潜在的攻击,这将给网络安全的防护带来很大的挑战。
现有技术中,通常只是针对用户网络流量进行了敏感分析,分析出哪些流量是敏感行为或者是可疑行为;但是,现有方案只能简单的识别出网络中存在敏感行为或者可疑行为,得出的检测价值可能不高,并不能通过这些内容进行聚合分析从而得出更有价值的判定进行告警。
发明内容
本申请实施例的目的在于提供一种网络攻击的识别方法、装置、电子设备及计算机可读存储介质,可以进行全流量的检测,实现提高网络攻击检测准确性的技术效果。
第一方面,本申请实施例提供了一种网络攻击的识别方法,包括:
获取当前主机待检测的请求流量数据;
根据预设IP地址库对所述请求流量数据进行过滤,获得过滤后的请求流量数据;
对过滤后的请求流量数据进行解析,获得待检测数据结构;
根据流量特征和预设判定规则对所述待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据;
根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析,获得网络攻击识别结果。
在上述实现过程中,该网络攻击的识别方法通过预设IP地址库对请求流量数据进行过滤、获取需要识别的请求,对过滤后的请求流量数据进行解析获得待检测数据结构,基于待检测数据结构对当前主机的可疑行为数据、敏感行为数据进行聚合分析,从而识别当前主机是否存在网络攻击;从而,该网络攻击的识别方法可以在服务分布式部署的环境下进行全流量的检测,识别存在可疑行为、敏感行为后进行聚合分析,进而判断当前主机是否遭遇网络攻击;从而,该网络攻击的识别方法可以进行全流量的检测,实现提高网络攻击检测准确性的技术效果。
进一步地,所述对过滤后的请求流量数据进行解析,获得待检测数据结构的步骤,包括:
对过滤后的请求流量数据进行解析,获得待检测协议信息,所述待检测协议信息包括http、ftp、smtp、smb、pop3、tcp、udp中的一种或多种;
根据所述待检测协议信息进行提取,获得待检测字段信息,所述待检测字段信息包括源ip、目的ip、源端口、目的端口、请求头、返回头、请求体、返回体中的一种或多种;
根据所述待检测字段信息进行整理,获得待检测数据结构。
在上述实现过程中,针对过滤后的请求流量数据进行解析,解析出具体的协议,再提取出相关的字段信息,然后根据相关字段设置字段key和value整理出一个完整的待检测数据结构。
进一步地,在所述根据流量特征和预设判定规则对所述待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据的步骤之后,所述方法还包括:
对所述可疑行为数据和敏感行为数据进行危害等级判定,获得可疑行为危害等级和敏感行为危害等级,其中,危害等级包括高危害等级、中危害等级、低危害等级;
对所述可疑行为数据和敏感行为数据进行准确可信度打分,获得可疑行为可信度分值和敏感行为可信度分值。
在上述实现过程中,对可疑行为数据和敏感行为数据进行危害等级判定和准确可信度打分,其中,危害等级用于评价可疑行为数据和敏感行为数据的危害程度;准确可信度打分的分值越高表示当前判定的可疑行为、敏感行为准确可信度越高。
进一步地,所述预设判定规则包括识别内容、识别条件和识别结果信息,所述识别结果信息包括危害等级信息、可信度范围信息、相关危害性信息。
进一步地,所述根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析,获得网络攻击识别结果的步骤,包括:
根据预设历史行为数据库对所述可疑行为危害等级和所述敏感行为危害等级生成危害等级计算分值;
根据预设历史行为数据库对所述可疑行为可信度分值和所述敏感行为可信度分值生成可信度计算分值;
根据预设历史行为数据库对可疑行为数据和所述敏感行为数据的相关危害性进行统计,获得相关危害性计算分值;
根据所述危害等级计算分值、所述可信度计算分值、所述相关危害性计算分值进行加权求和,获得网络攻击识别分值;
在所述网络攻击识别分值大于预设阈值时,判定当前主机遭受网络攻击并生成网络攻击识别结果。
在上述实现过程中,通过实时/定期对某主机已发现的敏感行为、可疑行为进行搜索并收集、建立预设历史行为数据库;进而,通过预设历史行为数据库和打分算法,对当前主机遇到的各种可疑行为、敏感行为的打分结果进行评判分析,根据算法得出的计算值以及预设阈值进行最终判定当前主机是否遭受了网络攻击,最后输出检出结果并提醒用户。
进一步地,所述预设IP地址库包括企业内部IP地址,所述过滤后的请求流量数据为非企业内部IP地址发出的请求数据。
在上述实现过程中,预设IP地址库负责过滤某些非企业内部ip发出的请求,针对这些ip发出的请求流量进行过滤;从而,通过过滤可以减少检测的流量,同时又能减少相应的误报,最终能提升整个检测系统的准确性和高效性。
第二方面,本申请实施例提供了一种网络攻击的识别装置,包括:
获取模块,用于获取当前主机待检测的请求流量数据;
过滤模块,用于根据预设IP地址库对所述请求流量数据进行过滤,获得过滤后的请求流量数据;
解析模块,用于对过滤后的请求流量数据进行解析,获得待检测数据结构;
检测模块,用于根据流量特征和预设判定规则对所述待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据;
评判模块,用于根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析,获得网络攻击识别结果。
进一步地,所述解析模块包括:
协议单元,用于对过滤后的请求流量数据进行解析,获得待检测协议信息,所述待检测协议信息包括http、ftp、smtp、smb、pop3、tcp、udp中的一种或多种;
字段单元,用于根据所述待检测协议信息进行提取,获得待检测字段信息,所述待检测字段信息包括源ip、目的ip、源端口、目的端口、请求头、返回头、请求体、返回体中的一种或多种;
整理单元,用于根据所述待检测字段信息进行整理,获得待检测数据结构。
进一步地,所述网络攻击的识别装置还包括:
危害等级模块,用于对所述可疑行为数据和敏感行为数据进行危害等级判定,获得可疑行为危害等级和敏感行为危害等级,其中,危害等级包括高危害等级、中危害等级、低危害等级;
可信度模块,用于对所述可疑行为数据和敏感行为数据进行准确可信度打分,获得可疑行为可信度分值和敏感行为可信度分值。
进一步地,所述评判模块包括:
危害等级计算单元,用于根据预设历史行为数据库对所述可疑行为危害等级和所述敏感行为危害等级生成危害等级计算分值;
可信度计算单元,用于根据预设历史行为数据库对所述可疑行为可信度分值和所述敏感行为可信度分值生成可信度计算分值;
相关危害性计算单元,用于根据预设历史行为数据库对可疑行为数据和所述敏感行为数据的相关危害性进行统计,获得相关危害性计算分值;
求和单元,用于根据所述危害等级计算分值、所述可信度计算分值、所述相关危害性计算分值进行加权求和,获得网络攻击识别分值;
评判单元,用于在所述网络攻击识别分值大于预设阈值时,判定当前主机遭受网络攻击并生成网络攻击识别结果。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络攻击的识别方法的流程示意图;
图2为本申请实施例提供的网络攻击的识别方法的流程示意图;
图3为本申请实施例提供的获得网络攻击识别结果的流程示意图;
图4为本申请实施例提供的网络攻击的识别装置的结构框图;
图5为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本申请实施例提供了一种网络攻击的识别方法、装置、电子设备及计算机可读存储介质,可以应用于针对企业、单位的流量进行检测,根据已有的可疑行为与敏感行为分析当前主机是否遭遇网络攻击;该网络攻击的识别方法通过预设IP地址库对请求流量数据进行过滤、获取需要识别的请求,对过滤后的请求流量数据进行解析获得待检测数据结构,基于待检测数据结构对当前主机的可疑行为数据、敏感行为数据进行聚合分析,从而识别当前主机是否存在网络攻击;从而,该网络攻击的识别方法可以在服务分布式部署的环境下进行全流量的检测,识别存在可疑行为、敏感行为后进行聚合分析,进而判断当前主机是否遭遇网络攻击;从而,该网络攻击的识别方法可以进行全流量的检测,实现提高网络攻击检测准确性的技术效果。
请参见图1,图1为本申请实施例提供的一种网络攻击的识别方法的流程示意图,该网络攻击的识别方法包括如下步骤:
S100:获取当前主机待检测的请求流量数据。
示例性地,请求流量数据可以是外部设备与当前主机交互的请求。
S200:根据预设IP地址库对请求流量数据进行过滤,获得过滤后的请求流量数据。
示例性地,根据预设IP(InternetProtocol,网际互连协议)地址库对请求流量数据进行过滤,将符合预设IP地址库的IP地址发出的请求进行过滤,可以减少检测的流量,同时又能减少相应的误报,最终能提升整个检测系统的准确性和高效性。
S300:对过滤后的请求流量数据进行解析,获得待检测数据结构;
S400:根据流量特征和预设判定规则对待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据;
S500:根据预设历史行为数据库对可疑行为数据和敏感行为数据进行评判分析,获得网络攻击识别结果。
示例性地,基于预设历史行为数据库,对可疑行为数据和敏感行为数据进行聚合分析,可以判断当前主机是否遭受网络攻击。
该网络攻击的识别方法通过预设IP地址库对请求流量数据进行过滤、获取需要识别的请求,对过滤后的请求流量数据进行解析获得待检测数据结构,基于待检测数据结构对当前主机的可疑行为数据、敏感行为数据进行聚合分析,从而识别当前主机是否存在网络攻击;从而,该网络攻击的识别方法可以在服务分布式部署的环境下进行全流量的检测,识别存在可疑行为、敏感行为后进行聚合分析,进而判断当前主机是否遭遇网络攻击;从而,该网络攻击的识别方法可以进行全流量的检测,实现提高网络攻击检测准确性的技术效果。
请参见图2,图2为本申请实施例提供的网络攻击的识别方法的流程示意图。
示例性地,S300:对过滤后的请求流量数据进行解析,获得待检测数据结构的步骤,包括:
S310:对过滤后的请求流量数据进行解析,获得待检测协议信息,待检测协议信息包括http、ftp、smtp、smb、pop3、tcp、udp中的一种或多种;
S320:根据待检测协议信息进行提取,获得待检测字段信息,待检测字段信息包括源ip、目的ip、源端口、目的端口、请求头、返回头、请求体、返回体中的一种或多种;
S330:根据待检测字段信息进行整理,获得待检测数据结构。
示例性地,针对过滤后的请求流量数据进行解析,解析出具体的协议,再提取出相关的字段信息,然后根据相关字段设置字段key和value整理出一个完整的待检测数据结构;可选地,待检测数据结构可以是一个struct结构体或者是一个json,供后续检测。
示例性地,待检测协议信息的类型包括单不限于:http(Hyper TextTransferProtocol,超文本传输协议)、ftp(File TransferProtocol,文件传输协议)、smtp(SimpleMail TransferProtocol,简单邮件传输协议)、smb(Server Message Block,服务器信息块)、pop3(Post OfficeProtocol - Version 3,邮局协议版本3)、tcp(TransmissionControl Protocol,传输控制协议)、udp(User DatagramProtocol,用户数据报协议)。
示例性地,在S400:根据流量特征和预设判定规则对待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据的步骤之后,方法还包括:
S410:对可疑行为数据和敏感行为数据进行危害等级判定,获得可疑行为危害等级和敏感行为危害等级,其中,危害等级包括高危害等级、中危害等级、低危害等级;
S420:对可疑行为数据和敏感行为数据进行准确可信度打分,获得可疑行为可信度分值和敏感行为可信度分值。
示例性地,对可疑行为数据和敏感行为数据进行危害等级判定和准确可信度打分,其中,危害等级用于评价可疑行为数据和敏感行为数据的危害程度;准确可信度打分的分值越高表示当前判定的可疑行为、敏感行为准确可信度越高。
示例性地,预设判定规则包括识别内容、识别条件和识别结果信息,识别结果信息包括危害等级信息、可信度范围信息、相关危害性信息。
请参见图3,图3为本申请实施例提供的获得网络攻击识别结果的流程示意图。
示例性地,S500:根据预设历史行为数据库对可疑行为数据和敏感行为数据进行评判分析,获得网络攻击识别结果的步骤,包括:
S510:根据预设历史行为数据库对可疑行为危害等级和敏感行为危害等级生成危害等级计算分值;
S520:根据预设历史行为数据库对可疑行为可信度分值和敏感行为可信度分值生成可信度计算分值;
S530:根据预设历史行为数据库对可疑行为数据和敏感行为数据的相关危害性进行统计,获得相关危害性计算分值;
S540:根据危害等级计算分值、可信度计算分值、相关危害性计算分值进行加权求和,获得网络攻击识别分值;
S550:在网络攻击识别分值大于预设阈值时,判定当前主机遭受网络攻击并生成网络攻击识别结果。
示例性地,通过实时/定期对某主机已发现的敏感行为、可疑行为进行搜索并收集、建立预设历史行为数据库;进而,通过预设历史行为数据库和打分算法,对当前主机遇到的各种可疑行为、敏感行为的打分结果进行评判分析,根据算法得出的计算值以及预设阈值进行最终判定当前主机是否遭受了网络攻击,最后输出检出结果并提醒用户。
示例性地,打分算法主要是针对已有可疑行为、敏感行为的严重等级、可信度以及这些告警的相关危害性进行分别统计,得出这三个数值的均值。
示例性地,预设IP地址库包括企业内部IP地址,过滤后的请求流量数据为非企业内部IP地址发出的请求数据。
示例性地,预设IP地址库负责过滤某些非企业内部ip发出的请求,针对这些ip发出的请求流量进行过滤;从而,通过过滤可以减少检测的流量,同时又能减少相应的误报,最终能提升整个检测系统的准确性和高效性。
在一些实施场景中,结合图1至图3,本申请实施例提供的网络攻击的识别方法,是一种基于企业服务旁路流量进行分布式实时识别用户机器中的流量中是否存在敏感行为和可疑行为的方法,通过对这些行为的聚合分析,得出当前被访问的主机是否存在网络攻击;示例性地,该网络攻击的识别方法应用于检测系统,其中检测系统分为三大部分:接入系统、检测系统、分析判定系统:
(一)接入系统:
主要负责过滤某些非企业内部ip发出的请求,针对这些ip发出的请求流量进行过滤,通过过滤可以减少检测的流量,同时又能减少相应的误报,最终能提升整个检测系统的准确性和高效性;
针对过滤后的流量进行解析,解析出具体的协议,包括http、ftp、smtp、smb、pop3、tcp、udp等,提取出相关的字段信息,包括源ip、目的ip、源端口、目的端口、请求头、返回头、请求体、返回体等,并根据相关字段设置字段key和value整理出一个完整结构,结构可以是一个struct结构体或者是一个json,供后续检测;
(二)检测系统:
对流量解析后的数据结构检测,根据流量的特征(比如http协议的请求体中包含一些特定的内容),以及事先写好的规则(这些规则是统一的json格式,规则中包含具体识别的内容和识别条件以及结果信息,结果信息包含当前规则的危害等级、可信度范围,以当前规则相关危害性较大的规则id,规则在检测系统启动时会被自动加载进检测引擎中),识别出相关的可疑行为、敏感行为,并对当前的结果进行危害等级进行判定,以及准确可信度进行危害分类打分,具体可根据危害程度划分为高、中、低危害等级,打分按照100分值,分值越高表示当前判定的可疑行为、敏感行为准确可信度越高,最后把得出的结果进行存储;
(三)分析判定系统:
分析判定系统通过实时/定期对某主机已发现的敏感行为、可疑行为进行搜索,通过算法,对当前主机遇到的各种敏感行为、可疑行为的打分结果进行评判分析(打分算法主要是针对已有可疑行为、敏感行为的严重等级、可信度以及这些告警的相关危害性进行分别统计,得出这三个数值的均值),根据算法得出的计算值以及事先设置好的阈值进行最终判定当前主机是否遭受了网络攻击,最后输出检出结果并提醒用户。
示例性地,本申请实施例提供的网络攻击的识别方法,针对企业、单位的流量进行检测,根据已有的可疑行为与敏感行为分析当前主机是否遭遇网络攻击;本申请能够在服务分布式部署的环境下,进行全流量的检测,能识别用户存在可疑行为、敏感行为后是否正遭遇网络攻击,用户主机可疑行为、敏感行为是比较常见的行为,如果从这个常见的行为中,能分析出主机正在遭受网络攻击对企业、单位的网络安全防护建设意义重大。
请参见图4,图4为本申请实施例提供的网络攻击的识别装置的结构框图,该网络攻击的识别装置包括:
获取模块100,用于获取当前主机待检测的请求流量数据;
过滤模块200,用于根据预设IP地址库对请求流量数据进行过滤,获得过滤后的请求流量数据;
解析模块300,用于对过滤后的请求流量数据进行解析,获得待检测数据结构;
检测模块400,用于根据流量特征和预设判定规则对待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据;
评判模块500,用于根据预设历史行为数据库对可疑行为数据和敏感行为数据进行评判分析,获得网络攻击识别结果。
示例性地,解析模块300包括:
协议单元,用于对过滤后的请求流量数据进行解析,获得待检测协议信息,待检测协议信息包括http、ftp、smtp、smb、pop3、tcp、udp中的一种或多种;
字段单元,用于根据待检测协议信息进行提取,获得待检测字段信息,待检测字段信息包括源ip、目的ip、源端口、目的端口、请求头、返回头、请求体、返回体中的一种或多种;
整理单元,用于根据待检测字段信息进行整理,获得待检测数据结构。
示例性地,网络攻击的识别装置还包括:
危害等级模块,用于对可疑行为数据和敏感行为数据进行危害等级判定,获得可疑行为危害等级和敏感行为危害等级,其中,危害等级包括高危害等级、中危害等级、低危害等级;
可信度模块,用于对可疑行为数据和敏感行为数据进行准确可信度打分,获得可疑行为可信度分值和敏感行为可信度分值。
示例性地,评判模块500包括:
危害等级计算单元,用于根据预设历史行为数据库对可疑行为危害等级和敏感行为危害等级生成危害等级计算分值;
可信度计算单元,用于根据预设历史行为数据库对可疑行为可信度分值和敏感行为可信度分值生成可信度计算分值;
相关危害性计算单元,用于根据预设历史行为数据库对可疑行为数据和敏感行为数据的相关危害性进行统计,获得相关危害性计算分值;
求和单元,用于根据危害等级计算分值、可信度计算分值、相关危害性计算分值进行加权求和,获得网络攻击识别分值;
评判单元,用于在网络攻击识别分值大于预设阈值时,判定当前主机遭受网络攻击并生成网络攻击识别结果。
需要注意的是,本申请实施例提供的网络攻击的识别装置与图1至图3所述的方法实施例相对应,为避免重复,此处不在赘述。
本申请还提供一种电子设备,请参见图5,图5为本申请实施例提供的一种电子设备的结构框图。电子设备可以包括处理器510、通信接口520、存储器530和至少一个通信总线540。其中,通信总线540用于实现这些组件直接的连接通信。其中,本申请实施例中电子设备的通信接口520用于与其他节点设备进行信令或数据的通信。处理器510可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器510可以是通用处理器,包括中央处理器(CPU,Central ProcessingUnit)、网络处理器(NP,Network Processor)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器510也可以是任何常规的处理器等。
存储器530可以是,但不限于,随机存取存储器(RAM,Random Access Memory),只读存储器(ROM,Read Only Memory),可编程只读存储器(PROM ,Programmable Read-OnlyMemory),可擦除只读存储器(EPROM ,Erasable ProgrammableRead-Only Memory),电可擦除只读存储器(EEPROM ,Electric Erasable Programmable Read-OnlyMemory)等。存储器530中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器510执行时,电子设备可以执行上述图1至图3方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。
所述存储器530、存储控制器、处理器510、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线540实现电性连接。所述处理器510用于执行存储器530中存储的可执行模块,例如电子设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。所述输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图5所示的结构仅为示意,所述电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,所述计算机程序被处理器执行时实现方法实施例所述的方法,为避免重复,此处不再赘述。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种网络攻击的识别方法,其特征在于,包括:
获取当前主机待检测的请求流量数据;
根据预设IP地址库对所述请求流量数据进行过滤,获得过滤后的请求流量数据;
对过滤后的请求流量数据进行解析,获得待检测数据结构;
根据流量特征和预设判定规则对所述待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据;
根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析,获得网络攻击识别结果。
2.根据权利要求1所述的网络攻击的识别方法,其特征在于,所述对过滤后的请求流量数据进行解析,获得待检测数据结构的步骤,包括:
对过滤后的请求流量数据进行解析,获得待检测协议信息,所述待检测协议信息包括http、ftp、smtp、smb、pop3、tcp、udp中的一种或多种;
根据所述待检测协议信息进行提取,获得待检测字段信息,所述待检测字段信息包括源ip、目的ip、源端口、目的端口、请求头、返回头、请求体、返回体中的一种或多种;
根据所述待检测字段信息进行整理,获得待检测数据结构。
3.根据权利要求1所述的网络攻击的识别方法,其特征在于,在所述根据流量特征和预设判定规则对所述待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据的步骤之后,所述方法还包括:
对所述可疑行为数据和敏感行为数据进行危害等级判定,获得可疑行为危害等级和敏感行为危害等级,其中,危害等级包括高危害等级、中危害等级、低危害等级;
对所述可疑行为数据和敏感行为数据进行准确可信度打分,获得可疑行为可信度分值和敏感行为可信度分值。
4.根据权利要求3所述的网络攻击的识别方法,其特征在于,所述预设判定规则包括识别内容、识别条件和识别结果信息,所述识别结果信息包括危害等级信息、可信度范围信息、相关危害性信息。
5.根据权利要求3所述的网络攻击的识别方法,其特征在于,所述根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析,获得网络攻击识别结果的步骤,包括:
根据预设历史行为数据库对所述可疑行为危害等级和所述敏感行为危害等级生成危害等级计算分值;
根据预设历史行为数据库对所述可疑行为可信度分值和所述敏感行为可信度分值生成可信度计算分值;
根据预设历史行为数据库对可疑行为数据和所述敏感行为数据的相关危害性进行统计,获得相关危害性计算分值;
根据所述危害等级计算分值、所述可信度计算分值、所述相关危害性计算分值进行加权求和,获得网络攻击识别分值;
在所述网络攻击识别分值大于预设阈值时,判定当前主机遭受网络攻击并生成网络攻击识别结果。
6.根据权利要求1所述的网络攻击的识别方法,其特征在于,所述预设IP地址库包括企业内部IP地址,所述过滤后的请求流量数据为非企业内部IP地址发出的请求数据。
7.一种网络攻击的识别装置,其特征在于,包括:
获取模块,用于获取当前主机待检测的请求流量数据;
过滤模块,用于根据预设IP地址库对所述请求流量数据进行过滤,获得过滤后的请求流量数据;
解析模块,用于对过滤后的请求流量数据进行解析,获得待检测数据结构;
检测模块,用于根据流量特征和预设判定规则对所述待检测数据结构进行检测识别,获得可疑行为数据和敏感行为数据;
评判模块,用于根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析,获得网络攻击识别结果。
8.根据权利要求7所述的网络攻击的识别装置,其特征在于,所述解析模块包括:
协议单元,用于对过滤后的请求流量数据进行解析,获得待检测协议信息,所述待检测协议信息包括http、ftp、smtp、smb、pop3、tcp、udp中的一种或多种;
字段单元,用于根据所述待检测协议信息进行提取,获得待检测字段信息,所述待检测字段信息包括源ip、目的ip、源端口、目的端口、请求头、返回头、请求体、返回体中的一种或多种;
整理单元,用于根据所述待检测字段信息进行整理,获得待检测数据结构。
9.一种电子设备,其特征在于,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的网络攻击的识别方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1至6任一项所述的网络攻击的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310140457.1A CN115913789B (zh) | 2023-02-21 | 2023-02-21 | 一种网络攻击的识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310140457.1A CN115913789B (zh) | 2023-02-21 | 2023-02-21 | 一种网络攻击的识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115913789A true CN115913789A (zh) | 2023-04-04 |
| CN115913789B CN115913789B (zh) | 2023-05-26 |
Family
ID=85771889
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310140457.1A Active CN115913789B (zh) | 2023-02-21 | 2023-02-21 | 一种网络攻击的识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115913789B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190394233A1 (en) * | 2018-10-12 | 2019-12-26 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Method and apparatus for analyzing cyberattack |
| CN113079124A (zh) * | 2020-01-03 | 2021-07-06 | 中国移动通信集团广东有限公司 | 入侵行为检测方法、系统及电子设备 |
| CN113645224A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
| CN115134099A (zh) * | 2021-03-22 | 2022-09-30 | 中国移动通信集团江苏有限公司 | 基于全流量的网络攻击行为分析方法及装置 |
-
2023
- 2023-02-21 CN CN202310140457.1A patent/CN115913789B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190394233A1 (en) * | 2018-10-12 | 2019-12-26 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Method and apparatus for analyzing cyberattack |
| CN113079124A (zh) * | 2020-01-03 | 2021-07-06 | 中国移动通信集团广东有限公司 | 入侵行为检测方法、系统及电子设备 |
| CN115134099A (zh) * | 2021-03-22 | 2022-09-30 | 中国移动通信集团江苏有限公司 | 基于全流量的网络攻击行为分析方法及装置 |
| CN113645224A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115913789B (zh) | 2023-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108989150B (zh) | 一种登录异常检测方法及装置 | |
| CN113242218A (zh) | 一种网络安全监控方法及系统 | |
| CN107682345B (zh) | Ip地址的检测方法、检测装置及电子设备 | |
| CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| CN107995179B (zh) | 一种未知威胁感知方法、装置、设备及系统 | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| CN113839904A (zh) | 基于智能网联汽车的安全态势感知方法和系统 | |
| CN113486343A (zh) | 一种攻击行为的检测方法、装置、设备和介质 | |
| CN113704772B (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| CN113343228B (zh) | 事件可信度分析方法、装置、电子设备及可读存储介质 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN114445088A (zh) | 一种欺诈行为的判定方法、装置、电子设备和存储介质 | |
| CN117424743A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN115913789B (zh) | 一种网络攻击的识别方法及装置 | |
| CN112073396A (zh) | 一种内网横向移动攻击行为的检测方法及装置 | |
| CN116108880A (zh) | 随机森林模型的训练方法、恶意网站检测方法及装置 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN112825059B (zh) | 安全性确定方法、装置及电子设备 | |
| CN113722485A (zh) | 一种异常数据识别分类方法、系统及存储介质 | |
| CN114372497A (zh) | 多模态安全数据分类方法和分类系统 | |
| CN113238971A (zh) | 基于状态机的自动化渗透测试系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |