网络攻击的检测方法及装置与流程
本发明涉及互联网领域,具体而言,涉及一种网络攻击的检测方法及装置。
背景技术:
万维网(web)攻击是指利用超文本传输协议(http)发送恶意构造的http请求,用以“欺骗”万维网服务器(webserver)偏离正常的执行逻辑。
web攻击是互联网内最为常见的一种http请求,几乎所有的网站每天都会遭受到不同程度的web攻击,但这并不意味着所有的web攻击都会成功,其原因在于:web攻击是否能够成功取决于webserver是否存在相应的缺陷或者漏洞。例如:对一个只负责返回静态页面(超文本标记语言(html)页面、图片等)并且未使用任何数据库技术的webserver而言,任何的结构化查询语言(sql)注入攻击显然都不会成功。
目前,相关技术中所采用的web攻击检测方法是对http请求方向的流量执行合法性检测,因为http请求内容是攻击者可以任意构造的,其也是攻击开始的源头,这种检测思路是从攻击者的角度来设计的,即,认为进入webserver的流量默认是不可信任的,都必须要经过合法性检查。然而,对于webserver响应方向的流量则默认为是可信任的、安全可靠的,进而无需进行任何的合法性检测。由于几乎所有的web攻击都存在攻击失败与攻击成功两种情形,对此,webserver会有不同的响应,攻击者也正是根据webserver的不同响应来判断是否攻击成功。
上述检测方法通常可以包括如下几个步骤:
步骤一、预先对http请求协议各个头字段制定攻击检测规则;
步骤二、对于接收到http请求协议进行解析,查找所有需要进行检测的请求内容;
步骤三、比对攻击检测规则和各个协议字段的请求内容,如果发现请求内容与攻击检测规则匹配成功,则认为该http请求包含攻击特性,进而执行攻击告警或直接阻断该http请求的操作。
然而,上述只针对http请求方向的流量做合法性检测的方法却存在着如下缺陷:该解决方案只能够单方面地判断http请求是否包含有攻击信息,而并未考虑被攻击对 象webserver的响应,换言之,该解决方案并未考虑到webserver对这些攻击是否本身就具有免疫功能。因此,这种攻击检测方式容易导致大量的攻击告警或拦截,并且这些告警或拦截的攻击中大部分都是无效的攻击,从而降低了web攻击检测的精准度和有效性。
针对上述的问题,目前尚未提出有效的解决方案。
技术实现要素:
本发明实施例提供了一种网络攻击的检测方法及装置,以至少解决相关技术中所采用的单向网络攻击检测方法的准确性较低的技术问题。
根据本发明实施例的一个方面,提供了一种网络攻击的检测方法,包括:
接收来自于发送端的网络请求;在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下,将网络请求转发至接收端,并获取与网络请求对应的网络响应;采用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式。
进一步地,在将网络请求转发至接收端之前,还包括:对网络请求的请求头中所包含的一个或多个字段进行解析,获取待检测的请求内容;如果攻击检测规则集合判断待检测的请求内容与攻击检测规则集合中的一个或多个检测规则相匹配,则确定网络请求的类型为攻击请求。
进一步地,采用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式包括:对网络响应的响应头中所包含的一个或多个字段进行解析,获取待检测的响应内容;根据攻击检测规则集合判断待检测的响应内容是否与攻击检测规则集合中的一个或多个检测规则相匹配;如果待检测的响应内容与一个或多个检测规则相匹配,则阻止网络响应返回至发送端;如果待检测的响应内容未与一个或多个检测规则相匹配,则向发送端返回网络响应。
进一步地,在阻止网络响应返回至发送端之后,还包括:向接收端发送告警提示信息,其中,告警提示信息用于提示发送端当前存在网络攻击行为和/或提示接收端对发送端进行锁定。
进一步地,上述攻击检测规则集合是根据当前网络内已经存在的多种类型的攻击请求的攻击特性以及与每种类型的攻击请求对应的攻击响应的响应特性预先生成的。
进一步地,上述网络请求的类型包括以下之一:超文本传输协议请求、文件传输协议请求、简单邮件传输协议请求。
根据本发明实施例的另一方面,还提供了一种网络攻击的检测装置,包括:
接收模块,用于接收来自于发送端的网络请求;获取模块,用于在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下,将网络请求转发至接收端,并获取与网络请求对应的网络响应;处理模块,用于采用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式。
进一步地,上述装置还包括:解析模块,用于对网络请求的请求头中所包含的一个或多个字段进行解析,获取待检测的请求内容;确定模块,用于在攻击检测规则集合判断待检测的请求内容与攻击检测规则集合中的一个或多个检测规则相匹配时,则确定网络请求的类型为攻击请求。
进一步地,处理模块包括:解析单元,用于对网络响应的响应头中所包含的一个或多个字段进行解析,获取待检测的响应内容;判断单元,用于根据攻击检测规则集合判断待检测的响应内容是否与攻击检测规则集合中的一个或多个检测规则相匹配;第一处理单元,用于在判断单元输出为是时,阻止网络响应返回至发送端;第二处理单元,用于在判断单元输出为否时,向发送端返回网络响应。
进一步地,上述装置还包括:提示模块,用于向接收端发送告警提示信息,其中,告警提示信息用于提示发送端当前存在网络攻击行为和/或提示接收端对发送端进行锁定。
进一步地,上述攻击检测规则集合是根据当前网络内已经存在的多种类型的攻击请求的攻击特性以及与每种类型的攻击请求对应的攻击响应的响应特性预先生成的。
进一步地,上述网络请求的类型包括以下之一:超文本传输协议请求、文件传输协议请求、简单邮件传输协议请求。
在本发明实施例中,采用攻击检测规则集合分别对从发送端接收到的网络请求以及从接收端获取到的网络响应进行双向网络攻击检测的方式,通过在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下,将网络请求转发至接收端,并获取与网络请求对应的网络响应,然后再利用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式,从而实现了提高网络攻击检测精准度和有效性的技术效果,进而解决了相关技术中所采用的单向网络攻击检测方法的准确性较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种网络攻击的检测方法的计算机终端的硬件结构框图;
图2是根据本发明实施例的网络攻击的检测方法的流程图;
图3是根据本发明优选实施例的基于双向流的web攻击检测方法的流程图;
图4是根据本发明实施例的网络攻击的检测装置的结构框图;
图5是根据本发明优选实施例的网络攻击的检测装置的结构框图;
图6是根据本发明实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,还提供了一种网络攻击的检测方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运 算装置中执行。以运行在计算机终端上为例,图1是本发明实施例的一种网络攻击的检测方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的网络攻击的检测方法对应的程序指令/模块以及攻击检测规则集合,如攻击检测规则库,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网络攻击的检测方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(networkinterfacecontroller,简称为nic),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(radiofrequency,简称为rf)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2所示的网络攻击的检测方法。图2是根据本发明实施例的网络攻击的检测方法的流程图。该方法可以包括以下处理步骤:
步骤s202:接收来自于发送端的网络请求;
步骤s204:在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下,将网络请求转发至接收端,并获取与网络请求对应的网络响应;
步骤s206:采用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式。
针对相关技术中所涉及的网络攻击检测方法的攻击检测规则库中仅是提取了在网络请求发送方向上的攻击特性,本发明实施例所提供的技术方案的攻击检测规则集合中既包含了在网络请求发送方向上的攻击特征,又要包含了网络响应反馈方向的响应特征。在进行网络请求攻击检测时,首先依据攻击检测规则集合判断请求方向上发送 的网络请求是否包含攻击特性,然后再依据攻击检测规则集合判断与请求方向对应的反馈方向上的网络响应是否包含攻击特性,进而确定对此次网络攻击的处理方式。通过本发明实施例所提供的上述技术方案,结合双向流的攻击检测,二者不可分隔,能够有效地提高网络攻击检测的精准度和有效性。
在优选实施过程中,上述攻击检测规则集合是根据当前网络内已经存在的多种类型的攻击请求的攻击特性以及与每种类型的攻击请求对应的攻击响应的响应特性预先生成的。
在优选实施过程中,上述网络请求的类型可以包括但不限于以下之一:
(1)超文本传输协议(http)请求;
(2)文件传输协议(ftp)请求;
(3)简单邮件传输协议(smtp)请求。
即本发明实施例所提供的技术方案可以适用于web攻击检测、ftp攻击检测、smtp攻击检测等全部具有双向流内容检测的应用场景。
可选地,在步骤s204,将网络请求转发至接收端之前,还可以包括以下操作:
步骤s1:对网络请求的请求头中所包含的一个或多个字段进行解析,获取待检测的请求内容;
步骤s2:如果攻击检测规则集合判断待检测的请求内容与攻击检测规则集合中的一个或多个检测规则相匹配,则确定网络请求的类型为攻击请求。
以上述http类型的网络请求为例,http请求包括以下三个部分:
(1)请求行,由方法(例如:post),统一资源定位符(url),协议版本(例如:http1.1)三个部分构成;
(2)请求头部,用于通知服务器有关客户端请求的信息,其可以包括但不限于:产生请求的浏览器类型,客户端可识别的内容类型列表,请求的主机名;
(3)请求主体。
因此,在接收到http请求后,需要进行http请求头中各个字段的解析,查找出需要进行安全检测的字段内容,继而可以根据攻击检测规则库中的检测规则,判断http请求方向的内容是否能够与攻击检测规则库中的规则特征相匹配;如果http请求方向的内容不能够与攻击检测规则库中的规则特征相匹配,则认为该http请求是正 常的http请求,其为可信任请求,直接转发该http请求至webserver上;如果http请求方向的内容能够与攻击检测规则库中的规则特征相匹配,则判定该http请求为疑似攻击请求。例如:假设攻击检测规则库中存在“post_body”为“group+by”这条检测规则,那么在对http请求的请求头进行解析的过程中便需要将“post_body”字段作为待检测的字段内容,如果在http请求中发现请求头的“post_body”字段中包含“group+by”字符串,便可以认定该http请求具有攻击特性,其为疑似攻击请求。
可选地,在步骤s206中,采用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式可以包括以下步骤:
步骤s3:对网络响应的响应头中所包含的一个或多个字段进行解析,获取待检测的响应内容;
步骤s4:根据攻击检测规则集合判断待检测的响应内容是否与攻击检测规则集合中的一个或多个检测规则相匹配;
步骤s5:如果待检测的响应内容与一个或多个检测规则相匹配,则阻止网络响应返回至发送端;
步骤s6:如果待检测的响应内容未与一个或多个检测规则相匹配,则向发送端返回网络响应。
仍然以上述http类型的网络请求为例,http响应与http请求相类似,同样包括三个部分:
(1)状态行,由协议版本(例如:http1.1),状态码(例如:200),状态码描述(例如:响应成功)三个部分组成;
(2)响应头部,其可以包括但不限于:服务器应用程序的名称和版本,响应正文类型,响应正文长度,响应正文所采用的编码;
(3)响应主体。
基于上述分析,如果http请求方向的内容能够与攻击检测规则库中的规则特征相匹配,则判定该http请求为疑似攻击请求。尽管如此,该http请求并不会被直接阻断或丢弃,而仍然需要转发该http请求至webserver上。但是,当webserver返回响应内容时,则需要进行http响应头中各个字段的解析,查找出需要进行安全检测的字段内容,并进一步根据攻击检测规则库中的规则特征对响应内容进行检测,如果响应内容能够与攻击检测规则库中的规则特征相匹配,则认为该http请求为恶意攻击,进而对http响应执行拦截或阻断操作;如果响应内容不能够与攻击检测规则库中的规则 特征相匹配,则认为该http请求为无效攻击,可以直接忽略该http请求并将http请求转发至发送端。此时,发送端所接收到的响应内容通常为“请求错误”的提示信息,并以此告知攻击者此次发送的网络攻击失败。当然,无论是对于上述无效的http请求,还是有效的http请求,都可以通过日志记录下来,以备后续数据分析使用。
可选地,在上述步骤s5,阻止网络响应返回至发送端之后,还可以包括以下操作:
步骤s7:向接收端发送告警提示信息,其中,告警提示信息用于提示发送端当前存在网络攻击行为和/或提示接收端对发送端进行锁定。
在优选实施过程中,不但可以向接收端发出当前网络存在网络攻击行为的告警信息,而且还可以提示接收端是否需要锁定发送网络攻击的发送端,以便于接收端设定监控时间窗对发送端后续可能再次发起的网络攻击进行监测并及时加以拦截。上述告警或拦截等动作可以依据实际情况灵活设置。
下面将通过图3所示的优选实施方式对上述优选实施过程作进一步地详细描述。
图3是根据本发明优选实施例的基于双向流的web攻击检测方法的流程图。如图3所示,该方法首先需要根据每种web攻击类型的特点提取攻击特征,这些攻击特征不仅需要包含请求方向的http请求的攻击特征,而且还需要提取在web攻击成功后,webserver响应内容的响应特征。由于针对每种web攻击类型可以生成一条或多条检测规则,因此,种类繁多的web攻击类型检测规则可以形成攻击检测规则库。该方法可以包括以下处理步骤:
步骤s302-步骤s304:在接收到http请求后,需要进行http请求头中各个字段的解析,查找出需要进行安全检测的字段内容;
步骤s306:根据攻击检测规则库中的检测规则,判断http请求方向的内容是否能够与攻击检测规则库中的规则特征相匹配;如果http请求方向的内容能够与攻击检测规则库中的规则特征相匹配,则判定该http请求为疑似攻击请求,继续执行步骤s308;如果http请求方向的内容不能够与攻击检测规则库中的规则特征相匹配,则认为该http请求是正常的http请求,其为可信任请求,直接透传该http请求至webserver上;
步骤s308:判断是否需要对上述与攻击检测规则库中的规则特征相匹配的http请求进行告警或拦截;如果是,则转到步骤s310;如果否,则不仅需要将http请求发送至webserver,而且还需要继续执行步骤s312;
步骤s310:将与攻击检测规则库中的规则特征相匹配的http请求进行告警或拦 截;流程结束;
这里可以根据过往的统计分布进行分析,如果存在一个反复出现的请求头内容相同或相近的具有攻击特性的http请求或者同一个发送端周期性地发送具有攻击特性的http请求,则可以通过请求方向上的单向检测便能够确定其为攻击请求。
步骤s312:判断是否需要对http响应进行攻击检测;如果是,则继续执行步骤s314;如果否,则转到步骤s318;
步骤s314:对于疑似攻击请求,则仍旧透传该http请求至webserver上,但是,当webserver返回http响应后,需要进行http响应头中各个字段的解析,查找出需要进行安全检测的字段内容;
步骤s316:根据攻击检测规则库中的规则特征对响应内容进行检测,判断响应内容是否能够与攻击检测规则库中的规则特征相匹配,如果响应内容能够与攻击检测规则库中的规则特征相匹配,则认为该http请求为恶意攻击,转到步骤s320;如果响应内容不能够与攻击检测规则库中的规则特征相匹配,则继续执行步骤s318;
步骤s318:如果响应内容不能够与攻击检测规则库中的规则特征相匹配,则认为该http请求为无效攻击,可以直接忽略该http请求,正常转发http响应;或者,在判断是否需要对http响应进行攻击检测时,如果根据过往的统计分析情况来看,尽管已经确定请求方向上的http请求为攻击请求,但是,经过多次验证,该http请求始终发起的为无效攻击,因此,无需再判断响应内容是否能够与攻击检测规则库中的规则特征相匹配,便可直接正常转发http响应;流程结束;
步骤s320:将与攻击检测规则库中的规则特征相匹配的http响应进行告警或拦截;流程结束。
通过该优选实施例,综合检测web双向的流量内容,即默认不信任任何方向的流量,不仅对http请求的流量执行合法性校验,而且还对webserver的流量执行合法性校验,从而提高了web攻击检测的精准度和有效性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施 例的网络攻击的检测方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述网络攻击的检测装置的结构框图,该装置可以位于发送端(例如:计算机终端)与接收端(例如:网站服务器),其相当于发送端与接收端之间的中间桥梁,其性质类似于代理,该装置既可以位于终端中,当然也可以位于服务器中。如图4所示,该装置包括:接收模块10,用于接收来自于发送端的网络请求;获取模块20,用于在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下,将网络请求转发至接收端,并获取与网络请求对应的网络响应;处理模块30,用于采用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式。
通过采用攻击检测规则集合分别对从发送端接收到的网络请求以及从接收端获取到的网络响应进行双向网络攻击检测的方式,在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下,将网络请求转发至接收端,并获取与网络请求对应的网络响应,然后再利用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式,从而实现了提高网络攻击检测精准度和有效性的技术效果,进而解决了相关技术中所采用的单向网络攻击检测方法的准确性较低的技术问题。
在优选实施过程中,上述攻击检测规则集合是根据当前网络内已经存在的多种类型的攻击请求的攻击特性以及与每种类型的攻击请求对应的攻击响应的响应特性预先生成的。
在优选实施过程中,上述网络请求的类型可以包括但不限于以下之一:
(1)超文本传输协议(http)请求;
(2)文件传输协议(ftp)请求;
(3)简单邮件传输协议(smtp)请求。
即本发明实施例所提供的技术方案可以适用于web攻击检测、ftp攻击检测、smtp 攻击检测等全部具有双向流内容检测的应用场景。
可选地,图5是根据本发明优选实施例的网络攻击的检测装置的结构框图。如图5所示,上述装置还包括:解析模块40,用于对网络请求的请求头中所包含的一个或多个字段进行解析,获取待检测的请求内容;确定模块50,用于在攻击检测规则集合判断待检测的请求内容与攻击检测规则集合中的一个或多个检测规则相匹配时,则确定网络请求的类型为攻击请求。
可选地,如图5所示,处理模块30包括:解析单元300,用于对网络响应的响应头中所包含的一个或多个字段进行解析,获取待检测的响应内容;判断单元302,用于根据攻击检测规则集合判断待检测的响应内容是否与攻击检测规则集合中的一个或多个检测规则相匹配;第一处理单元304,用于在判断单元输出为是时,阻止网络响应返回至发送端;第二处理单元306,用于在判断单元输出为否时,向发送端返回网络响应。
可选地,如图5所示,上述装置还包括:提示模块60,用于向接收端发送告警提示信息,其中,告警提示信息用于提示发送端当前存在网络攻击行为和/或提示接收端对发送端进行锁定。
实施例3
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,图6是根据本发明实施例的一种计算机终端的结构框图。如图6所示,该计算机终端可以包括:一个或多个(图中仅示出一个)处理器以及存储器。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的网络攻击的检测方法和装置对应的程序指令/模块以及攻击检测规则集合,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网络攻击的检测方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络 连接至终端a。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:
s1:接收来自于发送端的网络请求;
s2:在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下,将网络请求转发至接收端,并获取与网络请求对应的网络响应;
s3:采用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式。
可选地,上述攻击检测规则集合是根据当前网络内已经存在的多种类型的攻击请求的攻击特性以及与每种类型的攻击请求对应的攻击响应的响应特性预先生成的。
可选的,上述处理器还可以执行如下步骤的程序代码:对网络请求的请求头中所包含的一个或多个字段进行解析,获取待检测的请求内容;如果攻击检测规则集合判断待检测的请求内容与攻击检测规则集合中的一个或多个检测规则相匹配,则确定网络请求的类型为攻击请求。
可选的,上述处理器还可以执行如下步骤的程序代码:对网络响应的响应头中所包含的一个或多个字段进行解析,获取待检测的响应内容;根据攻击检测规则集合判断待检测的响应内容是否与攻击检测规则集合中的一个或多个检测规则相匹配;如果待检测的响应内容与一个或多个检测规则相匹配,则阻止网络响应返回至发送端;如果待检测的响应内容未与一个或多个检测规则相匹配,则向发送端返回网络响应。
可选的,上述处理器还可以执行如下步骤的程序代码:向接收端发送告警提示信息,其中,告警提示信息用于提示发送端当前存在网络攻击行为和/或提示接收端对发送端进行锁定。
采用本发明实施例,提供了一种网络攻击检测的方案。通过采用攻击检测规则集合分别对从发送端接收到的网络请求以及从接收端获取到的网络响应进行双向网络攻击检测的方式,在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下,将网络请求转发至接收端,并获取与网络请求对应的网络响应,然后再利用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式,从而实现了提高网络攻击检测精准度和有效性的技术效果,进而解决了相关技术中所采用的单向网络攻击检测方法的准确性较低的技术问题。
本领域普通技术人员可以理解,图6所示的结构仅为示意,计算机终端也可以是 智能手机(如android手机、ios手机等)、平板电脑、掌声电脑以及移动互联网设备(mobileinternetdevices,mid)、pad等终端设备。图6其并不对上述电子装置的结构造成限定。例如,计算机终端还可包括比图6中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图6所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(read-onlymemory,rom)、随机存取器(randomaccessmemory,ram)、磁盘或光盘等。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的网络攻击的检测方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
s1:接收来自于发送端的网络请求;
s2:在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下,将网络请求转发至接收端,并获取与网络请求对应的网络响应;
s3:采用攻击检测规则集合对网络响应进行检测,并根据检测结果选取对网络响应的处理方式。
可选地,上述攻击检测规则集合是根据当前网络内已经存在的多种类型的攻击请求的攻击特性以及与每种类型的攻击请求对应的攻击响应的响应特性预先生成的。
可选地,在本实施例中,存储介质还被设置为存储用于执行以下步骤的程序代码:对网络请求的请求头中所包含的一个或多个字段进行解析,获取待检测的请求内容;如果攻击检测规则集合判断待检测的请求内容与攻击检测规则集合中的一个或多个检测规则相匹配,则确定网络请求的类型为攻击请求。
可选地,在本实施例中,存储介质还被设置为存储用于执行以下步骤的程序代码:对网络响应的响应头中所包含的一个或多个字段进行解析,获取待检测的响应内容;根据攻击检测规则集合判断待检测的响应内容是否与攻击检测规则集合中的一个或多 个检测规则相匹配;如果待检测的响应内容与一个或多个检测规则相匹配,则阻止网络响应返回至发送端;如果待检测的响应内容未与一个或多个检测规则相匹配,则向发送端返回网络响应。
可选地,在本实施例中,存储介质还被设置为存储用于执行以下步骤的程序代码:向接收端发送告警提示信息,其中,告警提示信息用于提示发送端当前存在网络攻击行为和/或提示接收端对发送端进行锁定。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!