CN116055214A - 攻击检测方法、装置、设备及可读存储介质 - Google Patents
攻击检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN116055214A CN116055214A CN202310119407.5A CN202310119407A CN116055214A CN 116055214 A CN116055214 A CN 116055214A CN 202310119407 A CN202310119407 A CN 202310119407A CN 116055214 A CN116055214 A CN 116055214A
- Authority
- CN
- China
- Prior art keywords
- detection result
- flow data
- attack
- abnormal
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本申请提供一种攻击检测方法、装置、设备及可读存储介质,所述方法包括:获取网络设备中的流量数据;获取所述流量数据的第一检测结果,所述第一检测结果包括所述流量数据中的异常流量数据;获取所述流量数据的第二检测结果,所述第二检测结果包括所述流量数据中包含的异常外联行为信息;根据所述第一检测结果和所述第二检测结果,确定攻击检测结果。应用本申请的技术方案,结合检测结果指示的攻击行为和异常外联行为,可以判断是否攻击成功,以便更好地进行攻击行为阻断处理。
Description
技术领域
本申请涉及计算机网络技术领域,尤其涉及一种攻击检测方法、装置、设备及可读存储介质。
背景技术
网络攻击是利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击,以达到非法窃取系统数据资源等目的,如利用反序列化漏洞向目标服务器植入恶意脚本,以实现非法入侵和控制目标服务器。
面对网络攻击,一般采用网络防护设备对网络环境进行防护。传统防护设备通常根据已知的攻击特征检测入侵,定位发现流量中的已知攻击行为,但是无法检测到入侵攻击是否成功。
发明内容
有鉴于此,为解决上述技术问题,本申请提供一种攻击检测方法、装置、设备及可读存储介质。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种攻击检测方法,所述方法包括:
获取网络设备中的流量数据;
获取所述流量数据的第一检测结果,所述第一检测结果包括所述流量数据中的异常流量数据;
获取所述流量数据的第二检测结果,所述第二检测结果包括所述流量数据中包含的异常外联行为信息;
根据所述第一检测结果和所述第二检测结果,确定攻击检测结果。
可选地,所述获取所述流量数据的第一检测结果,包括:
将所述流量数据中的有效载荷与特征库所存储的多种攻击行为对应的攻击特征进行匹配;
响应于匹配结果指示所述有效载荷中包含所述攻击特征,得到第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
可选地,所述获取所述流量数据的第一检测结果,包括:
检测所述流量数据的有效载荷是否包含异常字符串,所述异常字符串包括域名、IP地址、编码字符串中的至少一项;
响应于所述有效载荷中包含异常字符串,得到所述第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
可选地,所述获取所述流量数据的第二检测结果,包括:
根据情报库存储的外联行为检测规则,判断所述流量数据是否指示外联行为;
将所述流量数据包含的地址与情报库所存储的多种攻击行为对应的异常地址进行匹配,获取地址匹配结果;
响应于所述流量数据指示外联行为、且所述流量数据对应的地址匹配结果指示异常地址匹配成功,得到所述第二检测结果。
可选地,所述外联行为包括对外的域名地址解析查询、IP地址的传输控制协议连接中的至少一项;所述流量数据包含的地址包括域名地址、IP地址中的至少一项。
可选地,响应于获取到的所述第二检测结果包括异常外联行为信息,所述根据所述第一检测结果和所述第二检测结果,确定攻击检测结果,包括:
获取所述第一检测结果中的异常流量数据对应的目的IP地址、所述异常流量数据对应的第一发送时间;
获取所述第二检测结果中所述异常外联行为信息对应的流量数据的源IP地址、所述流量数据对应的第二发送时间;
响应于所述目的IP地址与所述源IP地址相同、且所述第一发送时间和所述第二发送时间的时间差满足设定阈值,确定攻击检测结果指示攻击成功。
可选地,响应于获取到的第二检测结果中不包括异常外联行为信息,所述根据所述第一检测结果和所述第二检测结果,确定攻击检测结果,包括:
在所述第一检测结果包括异常流量数据的情况下,确定攻击检测结果指示攻击失败。
根据本申请实施例的第二方面,提供一种攻击检测装置,所述装置包括:
数据获取模块,用于获取网络设备中的流量数据;
第一检测模块,用于获取所述流量数据的第一检测结果,所述第一检测结果包括所述流量数据中的异常流量数据;
第二检测模块,用于获取所述流量数据的第二检测结果,所述第二检测结果包括所述流量数据中包含的异常外联行为信息;
结果确定模块,用于根据所述第一检测结果和所述第二检测结果,确定攻击检测结果。
可选地,所述第一检测模块具体用于:
将所述流量数据中的有效载荷与特征库所存储的多种攻击行为对应的攻击特征进行匹配;
响应于匹配结果指示所述有效载荷中包含所述攻击特征,得到第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
可选地,所述第一检测模块具体用于:
检测所述流量数据的有效载荷是否包含异常字符串,所述异常字符串包括域名、IP地址、编码字符串中的至少一项;
响应于所述有效载荷中包含异常字符串,得到所述第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
可选地,所述第二检测模块具体用于:
根据情报库存储的外联行为检测规则,判断所述流量数据是否指示外联行为;
将所述流量数据包含的地址与情报库所存储的多种攻击行为对应的异常地址进行匹配,获取地址匹配结果;
响应于所述流量数据指示外联行为、且所述流量数据对应的地址匹配结果指示异常地址匹配成功,得到所述第二检测结果。
可选地,所述外联行为包括对外的域名地址解析查询、IP地址的传输控制协议连接中的至少一项;所述流量数据包含的地址包括域名地址、IP地址中的至少一项。
可选地,响应于获取到的所述第二检测结果包括异常外联行为信息,所述结果确定模块具体用于:
获取所述第一检测结果中的异常流量数据对应的目的IP地址、所述异常流量数据对应的第一发送时间;
获取所述第二检测结果中所述异常外联行为信息对应的流量数据的源IP地址、所述流量数据对应的第二发送时间;
响应于所述目的IP地址与所述源IP地址相同、且所述第一发送时间和所述第二发送时间的时间差满足设定阈值,确定攻击检测结果指示攻击成功。
可选地,响应于获取到的第二检测结果中不包括异常外联行为信息,所述结果确定模块具体用于:
在所述第一检测结果包括异常流量数据的情况下,确定攻击检测结果指示攻击失败。
根据本申请实施例的第三方面,提供一种电子设备,所述电子设备包括:存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于通过调用所述计算机程序,执行上述攻击检测方法。
根据本申请实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述攻击检测方法。
本申请实施例提供的技术方案可以包括以下有益效果:
在本申请提供的技术方案中,获取流量数据的第一检测结果和第二检测结果,根据第一检测结果可以确定是否存在攻击行为,基于第二检测结果可以确定是否存在异常外联行为;通常受攻击设备受到攻击后会外联互联网的某个特定站点,通过查看是否存在外联行为可以判断是否攻击成功。应用本申请的技术方案,结合检测结果指示的攻击行为和异常外联行为,可以判断是否攻击成功,以便更好地进行攻击行为阻断处理。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的和解释性的,并不能限制本申请。此外,本申请中的任一实施例并不需要达到上述的全部效果。
通常终端感染病毒或者木马程序后会主动外联互联网的某个特定站点进而被黑客控制,查看是否存在外联行为判断是否被黑客控制并发起网络攻击,
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是本申请一示例性实施例示出的一种攻击检测方法流程示意图;
图2是本申请一示例性实施例示出的一种反序列化攻击检测方法示意图;
图3是本申请一示例性实施例示出的一种攻击检测装置的结构示意图;
图4是本申请一示例性实施例示出的一种电子设备的硬件示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一分类阈值也可以被称为第二分类阈值,类似地,第二分类阈值也可以被称为第一分类阈值。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请提供一种攻击检测方法,参见图1所示,所述方法可以包括以下步骤:
S101,获取网络设备中的流量数据;
所述网络设备可以包括交换器、路由器、防火墙、网关、网卡等设备;所述流量数据可以包括流经网络设备的数据包、网络报文等。
获取网络设备中的流量数据,需要挂接在所有所关注流量都必须流经的链路上,当有流量通过时收集对应的流量数据,以便后续步骤处理。
S102,获取所述流量数据的第一检测结果,所述第一检测结果包括所述流量数据中的异常流量数据;
所述异常流量数据可以是包含攻击行为对应的攻击特征的流量数据,也可以是包含异常字符格式的流量数据。网络攻击行为和方法具有一定的模式和特征,在所述流量数据包含攻击行为的情况下,可以通过对所述流量数据包含的内容进行攻击特征检测,确定异常流量数据。
在获取到流量数据后,可以根据已知的网络攻击行为对应的攻击特征、模式等信息,对所述流量数据进行检测,获取第一检测结果,第一检测结果包括异常流量数据。
以获取的流量数据是TCP(Transmission Control Protocol,传输控制协议)数据包为例,可以所述数据包的数据字段进行检测,识别该数据字段是否包含攻击特征字符串,如果包含攻击特征字符串则认为该数据包为异常流量数据。
S103,获取所述流量数据的第二检测结果,所述第二检测结果包括所述流量数据中包含的异常外联行为信息;
获取的流量数据不仅包括从外部其他设备至网络设备方向的流量数据,也包括从网络设备到外部其他设备的流量数据。
正常情况下,网络设备在接收到来自外部其他设备发送的连接请求对应的流量数据后,会根据所述连接请求发起对外部其他设备的连接。恶意攻击行为也可以通过上述方式控制网络设备主动发起对外设备的连接,从而躲避网络防护设备的入侵检测,达到攻击目的。
所述异常外联行为信息可以包括网络设备主动发起的对外部其他设备的连接或访问、且所述外部其他设备对应的IP地址或者域名地址是恶意地址或未知地址对应的信息,所述外联行为可以包括对外的域名地址解析查询、IP地址的传输控制协议连接中的至少一项。
在获取到流量数据后,可以分别判断所述流量数据是否指示外联行为以及所述流量数据包含的地址信息是否为恶意或者未知地址信息,所述流量数据包含的地址可以包括域名地址、IP地址中的至少一项,根据判断结果确定流量数据所包含的异常外联行为信息,也可以根据异常外联行为信息确定其对应的流量数据。
比如说,获取到一个TCP数据包,通过外联行为检测规则确定该数据包是网络设备主动发起的外联行为对应的数据包;检测所述数据包的目的IP地址,发现该IP地址是一个恶意IP地址,则可以确定所述TCP数据包包含异常外联行为信息,并记录所述异常外联行为信息,如数据包标识、发起连接的网络设备名称、进程名、协议、目的IP地址、远程端口以及请求时间等信息。
S104,根据所述第一检测结果和所述第二检测结果,确定攻击检测结果。
第一检测结果包括异常流量数据,根据第一检测结果可以确定包含攻击行为的流量数据;第二检测结果包括异常外联行为信息,根据所述第二检测结果可以确定异常外联行为对应的流量数据。
根据两个检测结果,确定所述包含攻击行为的流量数据、异常外联行为对应的流量数据的IP地址信息及发送时间信息,对所述地址信息和发送时间信息进行筛选判判断,可以确定攻击是否成功。
在本申请提供的技术方案中,获取流量数据的第一检测结果和第二检测结果,根据第一检测结果可以确定是否存在攻击行为,基于第二检测结果可以确定是否存在异常外联行为;通常受攻击设备受到攻击后会外联互联网的某个特定站点,通过查看是否存在外联行为可以判断是否攻击成功。应用本申请的技术方案,结合检测结果指示的攻击行为和异常外联行为,可以判断是否攻击成功,以便更好地进行攻击行为阻断处理。
在一些实施例中,所述获取所述流量数据的第一检测结果,可以包括:将所述流量数据中的有效载荷与特征库所存储的多种攻击行为对应的攻击特征进行匹配;响应于匹配结果指示所述有效载荷中包含所述攻击特征,得到第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
其中,有效载荷是指的是所述流量数据中的有效数据;具体地,一个完整的数据传输过程中数据通常由数据首部、原始数据两部分组成,数据首部是为保证原始数据的准确传输,其中的原始数据是有效载荷。以TCP数据包为例,所述有效载荷指的是数据包的数据字段。
根据多模式字符串匹配,将流量数据的有效载荷和攻击特征进行匹配,即检测有效载荷是否包含所述攻击特征;在所述有效载荷包含攻击特征的情况下,确定该有效载荷所在流量数据为异常流量数据,得到第一检测结果。
在本公开实施例中,使用特征库存储已知攻击行为对应的特征,将流量数据的有效载荷与特征库中的特征进行匹配,可以识别到流量数据中是否存在攻击行为,确定异常流量数据。
在一些实施例中,所述获取所述流量数据的第一检测结果,可以包括:检测所述流量数据的有效载荷是否包含异常字符串,所述异常字符串包括域名、IP地址、编码字符串中的至少一项;响应于所述有效载荷中包含异常字符串,得到所述第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
其中,所述异常字符串可以用于指示网络设备外联的域名或者地址信息,一般情况下流量数据的有效载荷中不会包括域名、IP地址字符串或者编码字符串。因此,在检测到所述有效载荷中包括异常字符串时,可以认为该有效载荷对应的流量数据为异常流量数据。
在本公开实施例中,通过检测流量数据的有效载荷是否包含异常字符串以确定该流量数据是否为异常流量数据,提供了另一种确定异常流量数据的方式,可以弥补特征库无法检测未知攻击行为特征的缺陷,提高了异常流量数据识别准确率,降低了漏报率。
在一些实施例中,所述获取所述流量数据的第二检测结果,可以包括:根据情报库存储的外联行为检测规则,判断所述流量数据是否指示外联行为;将所述流量数据包含的地址与情报库所存储的多种攻击行为对应的异常地址进行匹配,获取地址匹配结果;响应于所述流量数据指示外联行为、且所述流量数据对应的地址匹配结果指示异常地址匹配成功,得到所述第二检测结果。
其中,外联行为可以包括网络设备发起或者响应的与外部其他设备建立连接的行为,比如说网络设备发起基于目的IP地址的TCP连接。外联行为对应需要传输流量,因此可以识别流量数据是否指示外联行为。
在一个示例中,所述情报库包括IP情报库和域名情报库,所述IP情报库用于检测基于TCP协议的异常外联,所述域名情报库用于检测对外的异常域名的查询解析行为。在获取到流量数据后,对所述流量数据进行检测,对异常IP地址和异常域名地址的检测是相互独立的。
在检测到所述流量数据指示外联行为、且该流量数据包含的地址是异常IP地址的情况下,确定所述流量数据包含异常外联行为信息,可以将该已查过外联行为信息及对应的流量数据记录下来。
在本公开实施例中,通过情报库检测流量数据中是否包含异常外联行为信息,可以判断网络设备是否发起对异常地址的外联,可以用于后续判断攻击是否成功。
在一些实施例中,响应于获取到的所述第二检测结果包括异常外联行为信息,所述根据所述第一检测结果和所述第二检测结果,确定攻击检测结果,可以包括:
获取所述第一检测结果中的异常流量数据对应的目的IP地址、所述异常流量数据对应的第一发送时间;
获取所述第二检测结果中所述异常外联行为信息对应的流量数据的源IP地址、所述流量数据对应的第二发送时间;
响应于所述目的IP地址与所述源IP地址相同、且所述第一发送时间和所述第二发送时间的时间差满足设定阈值,确定攻击检测结果指示攻击成功。
也即,在第一检测结果包括第一异常流量数据、第二检测结果包括异常外联行为信息的情况下,确定异常外联行为信息对应的第二异常流量数据,根据所述第一异常流量数据和第二异常流量数据的发送时间、IP地址信息,判断两个流量数据是否为同一个攻击者发起的攻击以及攻击是否成功。
第一异常流量数据可以是从外部其他设备到网络设备方向的流量数据,该数据中包含攻击特征,即有攻击者发起了攻击尝试;第二异常流量数据可以是从网络设备到外部其他设备方向的流量数据,该数据包含异常外联行为信息,即发起了对外的恶意地址的外联。
当第一异常流量数据的目的IP和第二异常流量数据的源IP是同一个,则表明第一异常流量数据的受害目标设备和发起外联行为的设备是同一个设备;进一步地,如果两个异常流量数据的发送时间间隔不超过设定阈值,可以确定两个异常流量数据属于同一个攻击,得到攻击结果表征攻击成功;当时间检测超过设定阈值时,则攻击失败。
在本公开实施例中,通过对包含攻击特征的异常流量数据和指示异常外联行为的流量数据进行时间、地址的判定,可以判断出存在攻击行为且攻击是否成功。
在一些实施例中,响应于获取到的第二检测结果中不包括异常外联行为信息,所述根据所述第一检测结果和所述第二检测结果,确定攻击检测结果,包括:在所述第一检测结果包括异常流量数据的情况下,确定攻击检测结果指示攻击失败。
其中,第二检测结果不包括异常外联行为信息,则表示没有发起异常外联行为;第一检测结果包括异常流量数据,即流量数据包括攻击特征,攻击者发起了攻击尝试,由于不存在异常外联行为,可以判定攻击结果指示攻击失败。
在一些实施例中,响应于所述攻击检测结果指示攻击成功,记录对应的日志信息、阻断所述攻击行为并发出警报。
其中,日志信息可以包括所述攻击行为相关联的所有流量数据信;阻断所述攻击行为可以包括阻断异常数据流量的来源、断开所述外联行为,并通过警报提醒管理者。
下面结合一种具体的攻击检测场景,对本申请的方案进行说明。
本申请实施例以反序列化攻击检测为例,对本申请的方案作示例性详述。序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。当应用程序允许接受不可信的序列化数据,在进行反序列化操作时,可能会产生反序列化漏洞。当反序列化的输入来源于程序外部,可以被用户控制,攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行,实现入侵攻击。
对此,本申请实施例提出一种反序列化攻击检测方法,参见图2所示,该方法可以包括:
S201,采集网络中的反序列化流量数据;
S202,根据特征库和异常字符串对所述流量数据的有效载荷进行检测,获取第一检测结果,所述特征库包括多种攻击行为对应的攻击特征,所述异常字符串包括域名、IP地址、编码字符串中的至少一项;
反序列化流量数据的有效负载中通常不包括域名、IP地址或编码字符串等异常字符串,因此当反序列化流量数据的有效负载中包含所述异常字符串时,可能会对应存在攻击行为。
在本申请实施例中,基于多模式字符串匹配,检测所述流量数据的有效负载是否包含该特征库中的攻击特征或者异常字符串;当所述有效负载包含所述攻击特征或者异常字符串时,则确定该有效负载对应的流量数据是异常流量数据,从而得到第一检测结果。
S203,根据情报库对所述流量数据进行检测,获取第二检测结果,所述第二检测结果包括流量数据中的异常外联行为信息,所述异常外联行为包括对外的域名地址解析查询、IP地址的传输控制协议连接中的至少一项,所述情报库包括IP情报库和域名情报库。
其中,根据所述IP情报库,可以检测所述流量数据是否包含基于TCP协议的异常外联行为信息;根据所述域名情报库,可以检测所述流量数据是否包含对外异常域名的查询解析行为信息。
在一些实施例中,在第一检测结果包括异常流量数据的情况下,可以触发根据情报库对所述流量数据进行检测,获取第二检测结果;如果第一检测结果不包括异常流量数据,即所述流量数据中不包含攻击特征,则不再利用情报库对所述流量数据进行检测,可以继续获取反序列化流量数据。
S204,根据第一检测结果和第二检测结果,确定攻击检测结果。
第一检测结果中可能包含异常流量数据,也可能为空,即不包括异常流量数据;同样地,第二检测结果可能包含异常外联行为信息,也可能为空,即不存在异常外联行为信息。根据两个检测结果,可以确定攻击检测结果包括指示攻击成功、指示攻击失败以及指示不存在攻击行为的三种结果。
在第一检测结果和第二检测结果均为空的情况下,确定攻击检测结果指示不存在攻击行为;在第一检测结果和第二检测结果中的一个结果为空,另一个结果为空时,确定攻击检测结果指示攻击失败;在两个检测结果均不为空的情况下,可以通过下述步骤确定检测结果:
S2041,获取所述第一检测结果中的异常流量数据对应的目的IP地址、所述异常流量数据对应的第一发送时间;
S2042,获取所述第二检测结果中所述异常外联行为信息对应的流量数据的源IP地址、所述流量数据对应的第二发送时间;
S2043,响应于所述目的IP地址与所述源IP地址相同、且所述第一发送时间和所述第二发送时间的时间差满足设定阈值,确定攻击检测结果指示攻击成功,反之确定攻击检测结果指示攻击失败。
在本申请实施例提供的技术方案中,利用特征库和情报库对所述反序列化流量数据进行检测,提高了攻击行为检测的准确率,降低了漏检率;且根据获取的第一检测结果可以确定是否存在攻击行为,根据第二检测结果可以确定是否存在异常外联行为,根据攻击行为和异常外联行为可以判断反序列化攻击是否攻击成功,以便更好地进行攻击行为阻断处理。
与前述攻击检测方法的实施例相对应,参见图3所示,本申请还提供了攻击检测装置的实施例,所述装置包括:
数据获取模块301,用于获取网络设备中的流量数据;
第一检测模块302,用于获取所述流量数据的第一检测结果,所述第一检测结果包括所述流量数据中的异常流量数据;
第二检测模块303,用于获取所述流量数据的第二检测结果,所述第二检测结果包括所述流量数据中包含的异常外联行为信息;
结果确定模块304,用于根据所述第一检测结果和所述第二检测结果,确定攻击检测结果。
在一些实施例中,所述第一检测模块具体用于:
将所述流量数据中的有效载荷与特征库所存储的多种攻击行为对应的攻击特征进行匹配;
响应于匹配结果指示所述有效载荷中包含所述攻击特征,得到第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
在一些实施例中,所述第一检测模块具体用于:
检测所述流量数据的有效载荷是否包含异常字符串,所述异常字符串包括域名、IP地址、编码字符串中的至少一项;
响应于所述有效载荷中包含异常字符串,得到所述第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
在一些实施例中,所述第二检测模块具体用于:
根据情报库存储的外联行为检测规则,判断所述流量数据是否指示外联行为;
将所述流量数据包含的地址与情报库所存储的多种攻击行为对应的异常地址进行匹配,获取地址匹配结果;
响应于所述流量数据指示外联行为、且所述流量数据对应的地址匹配结果指示异常地址匹配成功,得到所述第二检测结果。
在一些实施例中,所述外联行为包括对外的域名地址解析查询、IP地址的传输控制协议连接中的至少一项;所述流量数据包含的地址包括域名地址、IP地址中的至少一项。
在一些实施例中,响应于获取到的所述第二检测结果包括异常外联行为信息,所述结果确定模块具体用于:
获取所述第一检测结果中的异常流量数据对应的目的IP地址、所述异常流量数据对应的第一发送时间;
获取所述第二检测结果中所述异常外联行为信息对应的流量数据的源IP地址、所述流量数据对应的第二发送时间;
响应于所述目的IP地址与所述源IP地址相同、且所述第一发送时间和所述第二发送时间的时间差满足设定阈值,确定攻击检测结果指示攻击成功。
在一些实施例中,响应于获取到的第二检测结果中不包括异常外联行为信息,所述结果确定模块具体用于:
在所述第一检测结果包括异常流量数据的情况下,确定攻击检测结果指示攻击失败。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,该电子设备的结构示意图如图4所示,该电子设备400包括至少一个处理器401、存储器402和总线403,至少一个处理器401均与存储器402电连接;存储器402被配置用于存储有至少一个计算机可执行指令,处理器401被配置用于执行该至少一个计算机可执行指令,从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种攻击检测方法的步骤。
进一步,处理器401可以是FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其它具有逻辑处理能力的器件,如MCU(Microcontroller Unit,微控制单元)、CPU(Central Process Unit,中央处理器)。
在本申请提供的技术方案中,获取流量数据的第一检测结果和第二检测结果,根据第一检测结果可以确定是否存在攻击行为,基于第二检测结果可以确定是否存在异常外联行为;通常受攻击设备受到攻击后会外联互联网的某个特定站点,通过查看是否存在外联行为可以判断是否攻击成功。应用本申请的技术方案,结合检测结果指示的攻击行为和异常外联行为,可以判断是否攻击成功,以便更好地进行攻击行为阻断处理。
本申请实施例还提供了另一种可读存储介质,存储有计算机程序,该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种攻击检测方法的步骤。
本申请实施例提供的可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random AccessMemory,随即存储器)、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
在本申请提供的技术方案中,获取流量数据的第一检测结果和第二检测结果,根据第一检测结果可以确定是否存在攻击行为,基于第二检测结果可以确定是否存在异常外联行为;通常受攻击设备受到攻击后会外联互联网的某个特定站点,通过查看是否存在外联行为可以判断是否攻击成功。应用本申请的技术方案,结合检测结果指示的攻击行为和异常外联行为,可以判断是否攻击成功,以便更好地进行攻击行为阻断处理。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种攻击检测方法,其特征在于,所述方法包括:
获取网络设备中的流量数据;
获取所述流量数据的第一检测结果,所述第一检测结果包括所述流量数据中的异常流量数据;
获取所述流量数据的第二检测结果,所述第二检测结果包括所述流量数据中包含的异常外联行为信息;
根据所述第一检测结果和所述第二检测结果,确定攻击检测结果。
2.根据权利要求1所述的方法,其特征在于,所述获取所述流量数据的第一检测结果,包括:
将所述流量数据中的有效载荷与特征库所存储的多种攻击行为对应的攻击特征进行匹配;
响应于匹配结果指示所述有效载荷中包含所述攻击特征,得到第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
3.根据权利要求1或2所述的方法,其特征在于,所述获取所述流量数据的第一检测结果,包括:
检测所述流量数据的有效载荷是否包含异常字符串,所述异常字符串包括域名、IP地址、编码字符串中的至少一项;
响应于所述有效载荷中包含异常字符串,得到所述第一检测结果,所述第一检测结果包括所述有效载荷对应的流量数据。
4.根据权利要求1所述的方法,其特征在于,所述获取所述流量数据的第二检测结果,包括:
根据情报库存储的外联行为检测规则,判断所述流量数据是否指示外联行为;
将所述流量数据包含的地址与情报库所存储的多种攻击行为对应的异常地址进行匹配,获取地址匹配结果;
响应于所述流量数据指示外联行为、且所述流量数据对应的地址匹配结果指示异常地址匹配成功,得到所述第二检测结果。
5.根据权利要求4所述的方法,其特征在于,所述外联行为包括对外的域名地址解析查询、IP地址的传输控制协议连接中的至少一项;所述流量数据包含的地址包括域名地址、IP地址中的至少一项。
6.根据权利要求1所述方法,其特征在于,响应于获取到的所述第二检测结果包括异常外联行为信息,所述根据所述第一检测结果和所述第二检测结果,确定攻击检测结果,包括:
获取所述第一检测结果中的异常流量数据对应的目的IP地址、所述异常流量数据对应的第一发送时间;
获取所述第二检测结果中所述异常外联行为信息对应的流量数据的源IP地址、所述流量数据对应的第二发送时间;
响应于所述目的IP地址与所述源IP地址相同、且所述第一发送时间和所述第二发送时间的时间差满足设定阈值,确定攻击检测结果指示攻击成功。
7.根据权利要求1所述的方法,其特征在于,响应于获取到的第二检测结果中不包括异常外联行为信息,所述根据所述第一检测结果和所述第二检测结果,确定攻击检测结果,包括:
在所述第一检测结果包括异常流量数据的情况下,确定攻击检测结果指示攻击失败。
8.一种攻击检测装置,其特征在于,所述装置包括:
数据获取模块,用于获取网络设备中的流量数据;
第一检测模块,用于获取所述流量数据的第一检测结果,所述第一检测结果包括所述流量数据中的异常流量数据;
第二检测模块,用于获取所述流量数据的第二检测结果,所述第二检测结果包括所述流量数据中包含的异常外联行为信息;
结果确定模块,用于根据所述第一检测结果和所述第二检测结果,确定攻击检测结果。
9.一种电子设备,其特征在于,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行如权利要求1-7中任一项所述的攻击检测方法。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一项所述的攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310119407.5A CN116055214A (zh) | 2023-01-17 | 2023-01-17 | 攻击检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310119407.5A CN116055214A (zh) | 2023-01-17 | 2023-01-17 | 攻击检测方法、装置、设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116055214A true CN116055214A (zh) | 2023-05-02 |
Family
ID=86131345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310119407.5A Pending CN116055214A (zh) | 2023-01-17 | 2023-01-17 | 攻击检测方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055214A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061254A (zh) * | 2023-10-12 | 2023-11-14 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
| CN117294527A (zh) * | 2023-11-22 | 2023-12-26 | 北京微步在线科技有限公司 | 一种攻击判定方法、装置、存储介质及设备 |
-
2023
- 2023-01-17 CN CN202310119407.5A patent/CN116055214A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061254A (zh) * | 2023-10-12 | 2023-11-14 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
| CN117061254B (zh) * | 2023-10-12 | 2024-01-23 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
| CN117294527A (zh) * | 2023-11-22 | 2023-12-26 | 北京微步在线科技有限公司 | 一种攻击判定方法、装置、存储介质及设备 |
| CN117294527B (zh) * | 2023-11-22 | 2024-02-27 | 北京微步在线科技有限公司 | 一种攻击判定方法、装置、存储介质及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116055214A (zh) | 攻击检测方法、装置、设备及可读存储介质 | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| CA2545916A1 (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
| US20210194917A1 (en) | Implementation comparison-based security system | |
| CN110768999B (zh) | 一种设备非法外联的检测方法及装置 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| US11546295B2 (en) | Industrial control system firewall module | |
| US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
| US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
| JP2002252654A (ja) | 侵入検出装置およびシステムならびにルータ | |
| CN112134893A (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
| US20210352104A1 (en) | Detecting malicious activity in a cluster | |
| CN115695031A (zh) | 主机失陷检测方法、装置及设备 | |
| JP7102780B2 (ja) | 不正通信対処システム及び方法 | |
| US20030229703A1 (en) | Method and apparatus for identifying intrusions into a network data processing system | |
| CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| CN113904920B (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| Kanemoto et al. | Detecting successful attacks from IDS alerts based on emulation of remote shellcodes | |
| CN112953895B (zh) | 一种攻击行为检测方法、装置、设备及可读存储介质 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| US7900255B1 (en) | Pattern matching system, method and computer program product |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |