CN116155530A - 网络攻击的判定方法、电子设备及计算机可读存储介质 - Google Patents
网络攻击的判定方法、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN116155530A CN116155530A CN202211456098.2A CN202211456098A CN116155530A CN 116155530 A CN116155530 A CN 116155530A CN 202211456098 A CN202211456098 A CN 202211456098A CN 116155530 A CN116155530 A CN 116155530A
- Authority
- CN
- China
- Prior art keywords
- attack
- expression
- result
- key information
- judging
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种网络攻击的判定方法、电子设备及计算机可读存储介质,涉及网络安全领域。其中,该方法包括:加载预配置表达式并传递给攻击结果判定表达式环境,其中,攻击结果判定表达式环境包括:预注入的按照语法定义的类型和方法;将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境;采用攻击结果判定表达式环境,根据表达式对关键信息进行分析,获取攻击判定结果。本申请通过将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境,可以实现快速地通过表达式的动态执行获取最终的攻击结果,相较于现有技术,可以在海量的攻击告警中快速确定致命的攻击告警,可以提高判定人员的判定效率,有效降低人力判定成本。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种网络攻击的判定方法、电子设备及计算机可读存储介质。
背景技术
在网络安全领域中,如果网络防御不当,将会造成难以预估的损失。如今正处于互联网快速普及和发展的时代背景下,网络攻击也随之多样化和频繁化,因此做好网络安全工作就显得尤为重要。
现有技术中,目前普遍使用网络入侵检测系统(network intrusion detectionsystem,简称NIDS)、网络威胁检测及响应(NDR)作为监测设备。具体的,安全人员先写好特征码或正则表达式,然后使用其编写好的特征码或正则表达式去匹配接入其中的网络流量包,如果命中则产生攻击告警。
但是,使用现有技术的方法,只能通过监测设备厂商的内置规则识别攻击或通过更为复杂的关联规则判定攻击结果,其规则语法封闭。因此,现有的方法中,判定人员难以调整攻击判定结果的判定策略,导致在遭遇海量攻击告警时,无法快速确定致命的攻击告警。
发明内容
本发明的目的在于,针对上述现有技术中的不足,提供一种网络攻击的判定方法、电子设备及计算机可读存储介质,可以在海量的攻击告警中快速确定致命的攻击告警,可以提高判定人员的判定效率,有效降低人力判定成本。
为实现上述目的,本申请实施例采用如下技术方案:
第一方面,本申请实施例提供了一种网络攻击的判定方法,该方法包括:
加载预配置表达式并传递给攻击结果判定表达式环境,其中,攻击结果判定表达式环境包括:预注入的按照语法定义的类型和方法;
将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境;
采用攻击结果判定表达式环境,根据表达式对关键信息进行分析,获取攻击判定结果。
可选地,将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境之前,还包括:
从网络设备的数据库中提取攻击告警关联网络数据;
从攻击告警关联网络数据中提取关键信息,关键信息包括下述至少一项:时间、请求头、请求体、攻击载荷和响应中的时间、响应状态码、响应体。
可选地,从攻击告警关联网络数据中提取关键信息,包括:
获取攻击告警关联网络数据中的请求数据和响应数据;
按照攻击告警关联网络数据的预设协议对请求数据和响应数据进行解析,提取关键信息。
可选地,述将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境,包括:
将关键信息作为变量传递给攻击结果判定表达式环境;
采用攻击结果判定表达式环境,根据表达式对关键信息进行分析,获取攻击判定结果,包括:
采用攻击结果判定表达式环境,对接收的变量和表达式进行分析,获取攻击判定结果。
可选地,采用攻击结果判定表达式环境,根据表达式对关键信息进行分析,获取攻击判定结果之后,还包括:
若攻击判定结果的告警未满足预设条件,接收针对表达式的编辑信息;
根据编辑信息,更新表达式。
可选地,采用攻击结果判定表达式环境,根据表达式对关键信息进行分析,获取攻击判定结果,包括:
根据关键信息,在攻击结果判定表达式环境中筛选对应的目标表达式;
根据目标表达式进行词法分析和语法分析,生成字节码,获取加载后的表达式;
将关键信息作为加载后的表达式的变量,计算获取攻击判定结果。
可选地,从攻击告警关联网络数据中提取关键信息,还包括:
按照攻击告警关联网络数据的预设协议对请求数据和响应数据进行解析,获取攻击网络的IP地址作为所述攻击判定结果的补充信息。
可选地,所述方法还包括:
获取攻击告警关联主机数据的主机进程树信息;
根据主机进程树信息获取主机关键信息,其中,主机关键信息包括:进程、进程命令;
根据所述主机关键信息,确定主机的攻击判定结果。
第二方面,本申请实施例还提供一种电子设备包括:处理器和存储器,存储器存储有处理器可执行的机器可读指令,当电子设备运行时,处理器执行机器可读指令,以执行如上述第一方面的方法步骤。
第三方面,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上述第一方面的方法步骤。
第四方面,本申请实施例还提供一种网络攻击的判定装置,包括:
加载模块,用于加载预配置表达式并传递给攻击结果判定表达式环境,其中,攻击结果判定表达式环境包括:预注入的按照语法定义的类型和方法。
发送模块,用于将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境。
分析模块,用于采用攻击结果判定表达式环境,根据表达式对关键信息进行分析,获取攻击判定结果。
可选地,所述装置还包括:
提取模块,用于从网络设备的数据库中提取攻击告警关联网络数据;从攻击告警关联网络数据中提取关键信息,关键信息包括下述至少一项:时间、请求头、请求体、攻击载荷和响应中的时间、响应状态码、响应体。
可选地,所述提取模块,具体用于获取攻击告警关联网络数据中的请求数据和响应数据;按照攻击告警关联网络数据的预设协议对请求数据和响应数据进行解析,提取关键信息。
可选地,所述发送模块,具体用于将关键信息作为变量传递给攻击结果判定表达式环境;
所述分析模块,具体用于采用所述攻击结果判定表达式环境,对接收的所述变量和所述表达式进行分析,获取攻击判定结果。
可选地,所述装置还包括:
更新模块,用于若所述攻击判定结果的告警未满足预设条件,接收针对所述表达式的编辑信息;根据所述编辑信息,更新所述表达式。
可选地,所述分析模块,具体用于根据关键信息,在攻击结果判定表达式环境中筛选对应的目标表达式;根据目标表达式进行词法分析和语法分析,生成字节码,获取加载后的表达式;将关键信息作为加载后的表达式的变量,计算获取攻击判定结果。
可选地,分析模块,还用于按照所述攻击告警关联网络数据的预设协议对所述请求数据和所述响应数据进行解析,获取攻击网络的IP地址作为所述攻击判定结果的补充信息。
可选地,所述分析模块,还用于获取攻击告警关联主机数据的主机进程树信息;根据所述主机进程树信息获取主机关键信息,其中,所述主机关键信息包括:进程、进程命令;根据所述主机关键信息,确定主机的攻击判定结果。
本发明实施例的有益效果是:
本申请实施例提供的网络攻击的判定方法中,构建的攻击结果判定表达式环境包括:预注入的按照语法定义的类型和方法,将加载预配置表达式并传递给攻击结果判定表达式环境,再将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境;采用攻击结果判定表达式环境,根据表达式对关键信息进行分析,获取攻击判定结果。本申请通过将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境,可以实现快速地通过表达式的动态执行获取最终的攻击结果,相较于现有技术来说,可以在海量的攻击告警中快速确定致命的攻击告警,可以提高判定人员的判定效率,有效降低人力判定成本。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络攻击的判定方法的流程示意图;
图2为本申请实施例提供的另一种网络攻击的判定方法的流程示意图;
图3为本申请实施例提供的又一种网络攻击的判定方法的流程示意图;
图4为本申请实施例提供的另一种网络攻击的判定方法的流程示意图;
图5为本申请实施例提供的又一种网络攻击的判定方法的流程示意图;
图6为本申请实施例提供的又一种网络攻击的判定方法的流程示意图;
图7为本申请实施例提供的网络攻击的判定装置的功能模块示意图;
图8为本申请实施例提供的一种电子设备结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例中将会用到术语“包括”,用于指出其后所声明的特征的存在,但并不排除增加其它的特征。
下面来具体解释本申请实施例中提供的网络攻击的判定方法的具体应用场景。
网络攻击的判定方法可以应用到安全人员试图对获取到的网络攻击告警分析结果的场景中,该场景涉及网络设备的数据库和后台处理系统。其中,网络设备的数据库可以是网络入侵检测系统(network intrusion detection system,简称NIDS)的数据库或者应用了网络检测与相响应技术的网络安全设备的数据库。后台处理系统通过与上述网络设备的数据库进行交互,可以获取相应的告警信息,最终完成对告警信息的分析处理以得到告警结果。
图1为本申请实施例提供的一种网络攻击的判定方法的流程示意图,该方法应用于上述场景中,其执行主体可以是计算机、服务器等具有处理或计算能力的计算设备,在此不做限制。如图1所示,该方法包括:
S101、加载预配置表达式并传递给攻击结果判定表达式环境。
可选地,上述表达式可以来自计算设备已经存储好的多种类型的表达式文件,该表达式文件中的所有表达式可以是开发人员根据攻击流量样本进行编辑与验证的,其中攻击流量样本可以从网络攻击检测设备的数据库中获取。在加载上述表达式之前,还需要构建攻击结果判定表达式环境。即对该攻击结果判定表达式环境进行初始化工作,使得上述攻击结果判定表达式环境可以包括:预注入的按照语法定义的类型和方法。这些按照语法定义的类型和方法注入的目的是:通过攻击结果判定表达式环境获取不到满意的攻击判定结果时,需要更新表达式进行再计算,即此时表达式需要重新编写或者修改。那么由安全人员编写相应表达式就需要用到攻击结果判定表达式环境已经注入的按照语法定义的类型和方法。
需要说明的是,攻击结果判定表达式环境中还可以包括:初始化的通用表达式环境,在一些实施例中,在进行判定时,可以对该初始化的通用表达式环境进行编写,以得到上述攻击结果判定表达式环境。当然,攻击结果判定表达式环境的生成方式并不以此为限。
S102、将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境。
其中,攻击告警关联网络数据可以通过网络或者数据库获取,在此不作限制。在计算设备中预存有将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境的途径和方法,通过预存好的途径和方法可以传递关键信息,以使得攻击结果判定表达式环境利用这些关键信息进行后续处理。
S103、采用攻击结果判定表达式环境,根据表达式对关键信息进行分析,获取攻击判定结果。
可选地,该攻击判定结果可能满足要求即攻击成功或者攻击失败,也可能不满足要求即没有对攻击告警进行有效的计算和处理使得最终输入是无效信息等。
综上,本申请实施例提供一种网络攻击的判定方法,包括:加载预配置表达式并传递给攻击结果判定表达式环境,其中,攻击结果判定表达式环境包括:预注入的按照语法定义的类型和方法;将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境;采用攻击结果判定表达式环境,根据表达式对关键信息进行分析,获取攻击判定结果,应用本申请实施例,通过将攻击告警关联网络数据的关键信息传递给攻击结果判定表达式环境,可以实现快速地通过表达式的动态执行获取最终的攻击结果,相较于现有技术来说,可以在海量的攻击告警中快速确定致命的攻击告警,可以提高判定人员的判定效率,有效降低人力判定成本。
图2为本申请实施例提供的一种网络攻击的判定方法的流程示意图,如图2所示,作为一种可选的实施方式,上述步骤S102之前,还包括:
S201、从网络设备的数据库中提取攻击告警关联网络数据。
可选地,上述网络设备的数据库可以是网络入侵检测系统(network intrusiondetection system,简称NIDS)的数据库、应用了网络检测与相响应技术的网络安全设备的数据库或者可以获取攻击告警信息的任一设备的数据库。具体的,攻击告警可以指当完全监测设备检测到来自外部或者内部的攻击尝试行为时触发告警,而与之关联的网络数据则指与告警对应的数据,例如网络请求数据、日志数据等,在本实施例中称为攻击告警关联网络数据。
S202、从攻击告警关联网络数据中提取关键信息。
可选地,对于攻击告警关联网络数据中关键信息的提取可以根据数据的特性和类型选取对应的提取方法,这些方法预存在计算设备。
其中,攻击告警关联网络数据包括的多种多样的数据,例如:用户行为数据、网络请求数据、日志数据等等,这些数据中有些对于后续获取攻击结果并无作用,所以要对获取的攻击告警关联网络数据进行筛选,得到攻击结果判定表达式环境所需要的有效数据,这些有效信息就是关键信息。可选地,上述关键信息包括下述至少一项:时间、请求头、请求体、攻击载荷和响应中的时间、响应状态码、响应体等。其中,攻击载荷也即攻击成功之后所执行的代码。
图3为本申请实施例提供的另一种网络攻击的判定方法的流程示意图,如图3所示,作为一种可选的实施方式,上述步骤S202具体包括:
S301、获取攻击告警关联网络数据中的请求数据和响应数据。
具体的,攻击告警关联网络数据中包括请求数据和响应数据,请求数据和响应数据是攻击结果判定表达式环境所需要的有效数据。
S302、按照攻击告警关联网络数据的预设协议对请求数据和响应数据进行解析,提取关键信息。
可选地,上述预设协议可以是超文本传输协议(Hyper Text Transfer Protocol,简称HTTP)、传输控制协议(Transmission Control Protocol,简称TCP)、文本传输协议(File Transfer Protocol,简称FTP)等网络协议,计算设备会根据攻击告警关联网络数据类型选取适合的协议对请求数据和所述响应数据进行解析以提取关键信息。
以下对前述步骤S103中所提及的若所述攻击判定结果的告警未满足预设条件的处理过程进行说明。
图4为本申请实施例提供的另一种网络攻击的判定方法的流程示意图,如图4所示,作为一种可选的实施方式,上述步骤S103之后,还包括:
S401、若攻击判定结果的告警未满足预设条件,接收针对表达式的编辑信息。
上述预设条件可以指:攻击判定结果为攻击成功或者攻击失败,若攻击结果判定表达式环境完成计算后获取的攻击结果为其他无效信息,则不满足预设条件。即对获取的攻击告警选取的目标表达式不能对该攻击告警进行有效处理计算,此时可以对表达式进行编辑,以获取能够对此次告警进行处理的相应表达式。
S402、根据编辑信息,更新所述表达式。
具体的,上述编辑信息可以是用户根据已有经验和关键信息,利用攻击结果判定表达式环境中包括的预注入的按照语法定义的类型和方法对表达式进行编辑,使得编辑后的表达式可以处理未满足预设条件攻击判定结果的告警。编辑过后更新表达式为重新编辑的表达式。
在本实施例中,表达式未能成功的针对告警攻击计算出满足预设条件的攻击结果,则由安全人员针对该攻击告警重新编辑表达式,以获取能够对此次告警进行处理的相应表达式。通过更新表达式可以保障攻击告警最终都能得到满足预设条件的攻击告警结果,确保了对攻击分析的准确性。需要说明的是,在不满足预设条件的情况下,可以循环执行编辑步骤,直到获取合适的表达式。
图5为本申请实施例提供的又一种网络攻击的判定方法的流程示意图,如图5所示,作为一种可选的实施方式,上述步骤S103具体包括:
S501、根据关键信息,在攻击结果判定表达式环境中筛选对应的目标表达式。
具体的,构建的攻击结果判定表达式环境加载了配置文件中的多种表达式,根据上述关键信息对配置文件中的多种表达式进行筛选,筛选的标准和条件预存在攻击结果判定表达式环境中,最终获取对应的目标表达式。
S502、根据目标表达式进行词法分析和语法分析,生成字节码,获取加载后的表达式。
具体的,获取到对应的目标表达式后,若要使得该目标表达式能够动态执行以获取攻击结果,先要对该目标表达式进行加载,即首先,将静态的表达式文件输入到攻击结果判定表达式环境中的扫描器,该扫描器对静态的表达式进行词法分析目标表达式进行词法分析,表达式此时被转换成一个个的记号,这些记号可以包括:关键字、标识符、特殊符号等;然后将这些由静态表达式转化后的记号输入到攻击结果判定表达式环境中的分析器中,由分析器扫描产生的上述记号进行语法分析,产生语法树,通过语法树将表达式中的很多运算符号的优先级和含义被确定下来,最终获取字节码,由后端系统将获取到的字节码生成加载后的表达式。
S503、将关键信息作为加载后的表达式的变量,计算获取攻击判定结果。
具体的,在上述步骤S202可以获取到关键信息,其中关键信息包括下述至少一项:时间、请求头、请求体、攻击载荷和响应中的时间、响应状态码、响应体。将上述所有关键信息都转变成加载后表达式可以输入的变量,并将这些变量输入到加载后的表达式,由表达式自行选取所需的变量进行计算,最终获取判定攻击结果。此时若攻击结果满足预设条件,则攻击结果为攻击成功或者攻击失败。
作为一种可选的实施方式,攻击判定结果还可以包括:攻击网络的IP地址,相应地,上述步骤S302可以包括:
按照所述攻击告警关联网络数据的预设协议对所述请求数据和所述响应数据进行解析,获取攻击网络的IP地址作为攻击判定结果的补充信息。
值得说明的是,在一些实施例中,攻击判定结果的补充信息除包括攻击网络的IP地址外,当然,还可以包括攻击频率、攻击时间等,在此不作限定。
图6为本申请实施例提供的另一种网络攻击的判定方法的流程示意图,如图6所示,作为一种可选的实施方式,上述方法还包括:
S601、获取攻击告警关联主机数据的主机进程树信息。
基于上述说明,可选地,计算设备除了可以从网络设备的数据库中提取攻击告警关联网络数据外,还可以从主机中提取攻击告警关联主机数据,通过该攻击告警关联主机数据可以进一步获取主机进程树信息,其中,主机进程树信息可以反映主机对应的攻击告警进程列表。
需要说明的是,本申请实施例中的主机具体可以是计算机、服务器等,在此不作限定。
S602、根据主机进程树信息获取主机关键信息。
其中,主机关键信息可以包括:进程、进程命令、各进程的生成时间、进程命令的执行时间等,在此不作限定,根据实际的应用场景可以有所不同。
S603、根据主机关键信息,确定主机的攻击判定结果。
基于上述所确定的主机关键信息,进一步可以确定攻击方针对该主机发起的攻击判定结果,可选地,该攻击判定结果可以包括:攻击方的IP地址、攻击时间、攻击频率、是否攻击成功的指示信息等,在此不作限定,应用本申请实施例,可以识别对主机设备发起的攻击,提高本申请方法的适用性。
当然,需要说明的是,在一些实施例中,也可以结合针对网络的攻击判定结果,综合判定具体的攻击行为,以提高判定结果的准确性。
图7为本申请实施例提供的网络攻击的判定装置的功能模块示意图;该装置基本原理及产生的技术效果与前述对应的方法实施例相同,为简要描述,本实施例中未提及部分,可参考方法实施例中的相应内容。如图7所示,该网络攻击的判定装置700包括:
加载模块710,用于加载预配置表达式并传递给攻击结果判定表达式环境,其中,所述攻击结果判定表达式环境包括:预注入的按照语法定义的类型和方法;
发送模块720,用于将攻击告警关联网络数据的关键信息传递给所述攻击结果判定表达式环境;
分析模块730,用于采用所述攻击结果判定表达式环境,根据所述表达式对所述关键信息进行分析,获取攻击判定结果;
在可选的实施方式中,如图7所示,上述装置还包括:
提取模块740,用于从网络设备的数据库中提取所述攻击告警关联网络数据;从所述攻击告警关联网络数据中提取所述关键信息,所述关键信息包括下述至少一项:时间、请求头、请求体、攻击载荷和响应中的时间、响应状态码、响应体。
在可选的实施方式中,提取模块740,具体用于获取攻击告警关联网络数据中的请求数据和响应数据;按照攻击告警关联网络数据的预设协议对请求数据和响应数据进行解析,提取关键信息。
在可选的实施方式中,发送模块720,具体用于将关键信息作为变量传递给攻击结果判定表达式环境。
分析模块730,具体用于采用所述攻击结果判定表达式环境,对接收的所述变量和所述表达式进行分析,获取攻击判定结果。
在可选的实施方式中,如图7所示,上述装置还包括:
更新模块750,用于若攻击判定结果的告警未满足预设条件,接收针对表达式的编辑信息;根据编辑信息,更新表达式。
在可选的实施方式中,所述分析模块730,具体用于根据关键信息,在攻击结果判定表达式环境中筛选对应的目标表达式;根据目标表达式进行词法分析和语法分析,生成字节码,获取加载后的表达式;将关键信息作为加载后的表达式的变量,计算获取攻击判定结果。
在可选的实施方式中,所述提取模块740,用于按照所述攻击告警关联网络数据的预设协议对所述请求数据和所述响应数据进行解析,获取攻击网络的IP地址作为所述攻击判定结果的补充信息。
在可选的实施方式中,所述分析模块730,还用于获取攻击告警关联主机数据的主机进程树信息;根据所述主机进程树信息获取主机关键信息,其中,所述主机关键信息包括:进程、进程命令;根据所述主机关键信息,确定主机的攻击判定结果。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器,或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central Processing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
图8为本申请实施例提供的一种电子设备结构示意图,该电子设备可以是计算机、服务器等具有处理或计算能力的计算设备。如图8所示,该电子设备包括:处理器810、存储器820、总线830。
存储器820存储有处理器810可执行的机器可读指令,当电子设备运行时,处理器810与存储器820之间通过总线830通信,处理器810执行机器可读指令,以执行上述方法实施例的步骤。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器运行时执行上述方法实施例的步骤。具体实现方式和技术效果类似,这里不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种网络攻击的判定方法,其特征在于,包括:
加载预配置表达式并传递给攻击结果判定表达式环境,其中,所述攻击结果判定表达式环境包括:预注入的按照语法定义的类型和方法;
将攻击告警关联网络数据的关键信息传递给所述攻击结果判定表达式环境;
采用所述攻击结果判定表达式环境,根据所述表达式对所述关键信息进行分析,获取攻击判定结果。
2.如权利要求1所述的方法,其特征在于,所述将攻击告警关联网络数据的关键信息传递给所述攻击结果判定表达式环境之前,还包括:
从网络设备的数据库中提取所述攻击告警关联网络数据;
从所述攻击告警关联网络数据中提取所述关键信息,所述关键信息包括下述至少一项:时间、请求头、请求体、攻击载荷和响应中的时间、响应状态码、响应体。
3.如权利要求2所述的方法,其特征在于,所述从所述攻击告警关联网络数据中提取所述关键信息,包括:
获取所述攻击告警关联网络数据中的请求数据和响应数据;
按照所述攻击告警关联网络数据的预设协议对所述请求数据和所述响应数据进行解析,提取所述关键信息。
4.如权利要求1所述的方法,其特征在于,所述将攻击告警关联网络数据的关键信息传递给所述攻击结果判定表达式环境,包括:
将所述关键信息作为变量传递给所述攻击结果判定表达式环境;
采用所述攻击结果判定表达式环境,根据所述表达式对所述关键信息进行分析,获取攻击判定结果,包括:
采用所述攻击结果判定表达式环境,对接收的所述变量和所述表达式进行分析,获取攻击判定结果。
5.如权利要求1-4任一项所述的方法,其特征在于,所述采用所述攻击结果判定表达式环境,根据所述表达式对所述关键信息进行分析,获取攻击判定结果之后,还包括:
若所述攻击判定结果的告警未满足预设条件,接收针对所述表达式的编辑信息;
根据所述编辑信息,更新所述表达式。
6.如权利要求1或4所述的方法,其特征在于,所述采用所述攻击结果判定表达式环境,根据所述表达式对所述关键信息进行分析,获取攻击判定结果,包括:
根据所述关键信息,在所述攻击结果判定表达式环境中筛选对应的目标表达式;
根据所述目标表达式进行词法分析和语法分析,生成字节码,获取加载后的表达式;
将所述关键信息作为所述加载后的表达式的变量,计算获取攻击判定结果。
7.如权利要求3所述的方法,其特征在于,所述方法还包括:
按照所述攻击告警关联网络数据的预设协议对所述请求数据和所述响应数据进行解析,获取攻击网络的IP地址作为所述攻击判定结果的补充信息。
8.如权利要求3所述的方法,其特征在于,还包括:
获取攻击告警关联主机数据的主机进程树信息;
根据所述主机进程树信息获取主机关键信息,其中,所述主机关键信息包括:进程、进程命令;
根据所述主机关键信息,确定主机的攻击判定结果。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器执行所述机器可读指令,以执行时执行如权利要求1至8任一所述的网络攻击的判定方法的步骤。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至8任一所述的网络攻击的判定方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211456098.2A CN116155530A (zh) | 2022-11-21 | 2022-11-21 | 网络攻击的判定方法、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211456098.2A CN116155530A (zh) | 2022-11-21 | 2022-11-21 | 网络攻击的判定方法、电子设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116155530A true CN116155530A (zh) | 2023-05-23 |
Family
ID=86372529
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211456098.2A Pending CN116155530A (zh) | 2022-11-21 | 2022-11-21 | 网络攻击的判定方法、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116155530A (zh) |
-
2022
- 2022-11-21 CN CN202211456098.2A patent/CN116155530A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2613535C1 (ru) | Способ обнаружения вредоносных программ и элементов | |
| US9614863B2 (en) | System and method for analyzing mobile cyber incident | |
| CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
| US11044268B2 (en) | Systems and methods for identifying internet attacks | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| EP3547121B1 (en) | Combining device, combining method and combining program | |
| KR20180081053A (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
| EP3021550A1 (en) | System and method for identifying internet attacks | |
| CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| WO2019013266A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
| CN114003794A (zh) | 资产收集方法、装置、电子设备和介质 | |
| CN114666104A (zh) | 一种渗透测试方法、系统、计算机设备以及存储介质 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
| CN109492403B (zh) | 一种漏洞检测方法及装置 | |
| AU2019273972B2 (en) | Determination method, determination device and determination program | |
| CN117032894A (zh) | 容器安全状态检测方法、装置、电子设备及存储介质 | |
| CN113114609A (zh) | webshell检测取证方法及系统 | |
| CN116155530A (zh) | 网络攻击的判定方法、电子设备及计算机可读存储介质 | |
| CN107341396B (zh) | 入侵检测方法、装置及服务器 | |
| CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
| CN114003918A (zh) | 一种云安全运营方法、装置、电子设备以及存储介质 | |
| KR20210076455A (ko) | Xss 공격 검증 자동화 방법 및 그 장치 | |
| US20240250964A1 (en) | Alert verification device, alert verification method, and alert verification program | |
| CN114116619A (zh) | 文件删除漏洞的防御方法、系统和计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |