一种网络攻击识别方法、系统及终端与流程

本申请涉及数据安全技术领域，具体涉及一种网络攻击识别方法、系统及终端。

背景技术：

网络攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。

随着工业信息化进程的快速推进，信息、网络以及物联网技术在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用，极大地提高了企业的综合效益。为实现系统间的协同和信息分享，工业控制系统也逐渐打破了以往的封闭性：采用标准、通用的通信协议及硬软件系统，甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中。这使得工业控制网络面临病毒、木马、黑客入侵等传统的信息安全威胁。

现有的技术可以在一定程度上解决识别工业网络中的攻击行为问题，但是在识别效率和准确率方面还存在着一定的不足。

技术实现要素：

本申请为了解决上述技术问题，提出了如下技术方案：

第一方面，本申请实施例提供了一种网络攻击识别方法，所述方法包括：获取网络攻击行为对应的网络攻击行为数据，所述网络攻击行为数据包括大类标识、小类标识和细类标识；将所述网络攻击行为数据与预设的规则库进行比对，所述规则库中包括网络攻击行为的大类数据库，每个所述大类数据库中包含多个小类子数据库，所述小类子数据库中包含至少一个细类数据，所述大类数据库、小类子数据库和细类数据均携带有标识id，所述大类数据库、小类子数据库和细类数据标识id的组合用于识别所述网络攻击行为类型；根据所述网络攻击行为数据中包含的大类标识、小类标识和细类标识从所述预设的规则库中确定出第一细类，确定所述网络攻击行为的类型，所述第一细类为所述规则库中任意网络攻击行为类型。

采用上述实现方式，通过对网络攻击进行大类到细类的确定，然后通过与预先设定的规则库进行比对，进而快速识别出当前的网络攻击行为的具体名称。提高了工业网络中的攻击行为识别的效率以及准确率，从而提高了工业网络的安全性，使工业网络的攻击行为快速有效地被解决。

结合第一方面，在第一方面第一种可能的实现方式中，所述获取网络攻击行为对应的网络攻击行为数据包括：将所述网络攻击行为进行一次语义解析，确定所述网络攻击行为对应的大类标识；获取所述大类标识中的小类标识；确定所述小类标识中的细类标识；按照顺序依次将所述细类标识、所述小类标识和所述大类标识对所述网络攻击行为进行标识，以使得所述网络攻击行为携带上述三种标识。

结合第一方面第一种可能的实现方式，在第一方面第二种可能的实现方式中，所述将所述网络攻击行为数据与预设的规则库进行比对，包括：获取所述网络攻击行为数据中的所述大类标识、小类标识和细类标识；根据所述大类标识、小类标识和细类标识与所述规则库中的数据库进行比对。

结合第一方面第二种可能的实现方式，在第一方面第三种可能的实现方式中，所述根据所述网络攻击行为数据中包含的大类标识、小类标识和细类标识从所述预设的规则库中确定出第一小类，包括：根据所述网络攻击行为数据的大类标识与所述规则库中的大类进行匹配确定出第一大类数据库，所述第一大类数据库为所述规则库中的任一大类数据库；根据所述网络攻击行为数据的小类标识在所述第一大类数据库中确定出第一小类数据库，所述第一小类数据库为所述第一大类数据库中的任一小类数据库；根据所述网络攻击行为数据的细类标识确定第一细类，根据第一细类确定出网络攻击行为类型。

结合第一方面第三种可能的实现方式，在第一方面第四种可能的实现方式中，确定出所述网络攻击行为对应的细类后，生成一个threadid，所述threadid用于标识所述网络攻击行为的具体名称。

第二方面，本申请实施例提供了一种网络攻击识别系统，所述系统包括：获取模块，用于获取网络攻击行为对应的网络攻击行为数据，所述网络攻击行为数据包括大类标识、小类标识和细类标识；比对模块，用于将所述网络攻击行为数据与预设的规则库进行比对，所述规则库中包括网络攻击行为的大类数据库，每个所述大类数据库中包含多个小类子数据库，所述小类子数据库中包含至少一个细类数据，所述大类数据库、小类子数据库和细类数据均携带有标识id，所述大类数据库、小类子数据库和细类数据标识id的组合用于识别所述网络攻击行为类型；识别模块，用于根据所述网络攻击行为数据中包含的大类标识、小类标识和细类标识从所述预设的规则库中确定出第一细类，确定所述网络攻击行为的类型，所述第一细类为所述规则库中任意网络攻击行为类型。

结合第二方面，在第二方面第一种可能的实现方式中，所述获取模块包括：第一确定单元，用于将所述网络攻击行为进行一次语义解析，确定所述网络攻击行为对应的大类标识；第一获取单元，用于获取所述大类标识中的小类标识；第二确定单元，用于确定所述小类标识中的细类标识；标识单元，用于按照顺序依次将所述细类标识、所述小类标识和所述大类标识对所述网络攻击行为进行标识，以使得所述网络攻击行为携带上述三种标识。

结合第二方面第一种可能的实现方式，在第二方面第二种可能的实现方式中，所述比对模块包括：第二获取单元，用于获取所述网络攻击行为数据中的所述大类标识、小类标识和细类标识；比对单元，用于根据所述大类标识、小类标识和细类标识与所述规则库中的数据库进行比对。

结合第二方面第二种可能的实现方式，在第二方面第三种可能的实现方式中，所述识别模块包括：第三确定单元，用于根据所述网络攻击行为数据的大类标识与所述规则库中的大类进行匹配确定出第一大类数据库，所述第一大类数据库为所述规则库中的任一大类数据库；第四确定单元，用于根据所述网络攻击行为数据的小类标识在所述第一大类数据库中确定出第一小类数据库，所述第一小类数据库为所述第一大类数据库中的任一小类数据库；第五确定单元，用于根据所述网络攻击行为数据的细类标识确定第一细类，根据第一细类确定出网络攻击行为类型。

第三方面，本申请实施例提供了一种终端，包括：处理器；存储器，用于存储计算机可执行指令；当所述处理器执行所述计算机可执行指令时，所述处理器执行第一方面或第一方面任一可能实现方式所述的网络攻击识别方法。

附图说明

图1为本申请实施例提供的一种网络攻击识别方法的流程示意图；

图2为本申请实施例提供的一种规则库的示意图；

图3为本申请实施例提供的一种网络攻击识别系统的示意图；

图4为本申请实施例提供的一种终端的示意图。

具体实施方式

下面结合附图与具体实施方式对本方案进行阐述。

图1为本申请实施例提供的一种网络攻击识别方法的流程示意图，参见图1，所述网络攻击识别方法包括：

s101，获取网络攻击行为对应的网络攻击行为数据。

本申请实施例中所述网络攻击行为数据包括大类标识、小类标识和细类标识。本实施例中，当获取网络攻击行为之后，将所述网络攻击行为进行一次语义解析，确定所述网络攻击行为对应的大类标识。获取所述大类标识中的小类标识，确定所述小类标识中的细类标识，按照顺序依次将所述细类标识、所述小类标识和所述大类标识对所述网络攻击行为进行标识，以使得所述网络攻击行为携带上述三种标识。

s102，将所述网络攻击行为数据与预设的规则库进行比对。

所述规则库是预先设置的，所述规则库中包括网络攻击行为的大类数据库，每个所述大类数据库中包含多个小类子数据库，所述小类子数据库中包含至少一个细类数据，所述大类数据库、小类子数据库和细类数据均携带有标识id，所述大类数据库、小类子数据库和细类数据标识id的组合用于识别所述网络攻击行为类型。

具体地，获取所述网络攻击行为数据中的所述大类标识、小类标识和细类标识，根据所述大类标识、小类标识和细类标识与所述规则库中的数据库进行比对。

如图2所示，为本申请实施例提供的一种规则库的示意图，图2中大类标示有10(木马病毒)、11(蠕虫攻击)、12(web攻击)、13(网路攻击)、14(数据库攻击)、15(网络探测)、16(移动网络恶意程序)、17(平台攻击)和18(工业设备攻击)等，其中示意的在大类标示12下的小类01(sql注入)、02(xss攻击)、03(文件上传漏洞)、04(暴力破解)、05(csrf攻击)和06(拒绝服务器攻击)，在小类02(xss攻击)下包含细类01(反射型xss攻击)、02(存储型xss攻击)和03(dom-based型xss攻击)。

s103，根据所述网络攻击行为数据中包含的大类标识、小类标识和细类标识从所述预设的规则库中确定出第一细类，确定所述网络攻击行为的类型。

本申请实施例中的所述第一细类为所述规则库中任意网络攻击行为类型。具体地，本申请实施例根据所述网络攻击行为数据的大类标识与所述规则库中的大类进行匹配确定出第一大类数据库，所述第一大类数据库为所述规则库中的任一大类数据库。根据所述网络攻击行为数据的小类标识在所述第一大类数据库中确定出第一小类数据库，所述第一小类数据库为所述第一大类数据库中的任一小类数据库。根据所述网络攻击行为数据的细类标识确定第一细类，根据第一细类确定出网络攻击行为类型。

以s102中的规则库为例，如果根据比对确定出网络攻击书库中包含的大类标识-小类标识-细类标识为12-02-02，则可以确定网络攻击行为为存储型xss攻击。进而可以迅速精确的获得网络攻击的名称，则无需对其进行复杂的解析。

确定出所述网络攻击行为对应的细类后，生成一个threadid，所述threadid用于标识所述网络攻击行为的具体名称。例如上述确定出网络攻击的具体名称后，生成threadid12-02-02，通过threadid则可以迅速获得网络攻击行为的具体名称。

由上述实施例可知，本申请实施例提供了一种网络攻击识别方法，通过对网络攻击进行大类到细类的确定，然后通过与预先设定的规则库进行比对，进而快速识别出当前的网络攻击行为的具体名称。提高了工业网络中的攻击行为识别的效率以及准确率，从而提高了工业网络的安全性，使工业网络的攻击行为快速有效地被解决。

与上述实施例提供的一种网络攻击识别方法相对应，本申请还提供了一种网络攻击识别系统的实施例。

参见图3，所述网络攻击识别系统20包括：获取模块201、比对模块202和识别模块203。

所述获取模块201，用于获取网络攻击行为对应的网络攻击行为数据，所述网络攻击行为数据包括大类标识、小类标识和细类标识。

具体地，所述获取模块201包括：第一确定单元、第一获取单元、第二确定单元和标识单元。

所述第一确定单元，用于将所述网络攻击行为进行一次语义解析，确定所述网络攻击行为对应的大类标识。所述第一获取单元，用于获取所述大类标识中的小类标识。所述第二确定单元，用于确定所述小类标识中的细类标识。所述标识单元，用于按照顺序依次将所述细类标识、所述小类标识和所述大类标识对所述网络攻击行为进行标识，以使得所述网络攻击行为携带上述三种标识。

所述比对模块202，用于将所述网络攻击行为数据与预设的规则库进行比对，所述规则库中包括网络攻击行为的大类数据库，每个所述大类数据库中包含多个小类子数据库，所述小类子数据库中包含至少一个细类数据，所述大类数据库、小类子数据库和细类数据均携带有标识id，所述大类数据库、小类子数据库和细类数据标识id的组合用于识别所述网络攻击行为类型。

进一步地，所述比对模块包括：第二获取单元和比对单元。

所述第二获取单元，用于获取所述网络攻击行为数据中的所述大类标识、小类标识和细类标识。所述比对单元，用于根据所述大类标识、小类标识和细类标识与所述规则库中的数据库进行比对。

所述识别模块203，用于根据所述网络攻击行为数据中包含的大类标识、小类标识和细类标识从所述预设的规则库中确定出第一细类，确定所述网络攻击行为的类型，所述第一细类为所述规则库中任意网络攻击行为类型。

本申请实施例中，所述识别模块包括：第三确定单元、第四确定单元和第五确定单元。

所述第三确定单元，用于根据所述网络攻击行为数据的大类标识与所述规则库中的大类进行匹配确定出第一大类数据库，所述第一大类数据库为所述规则库中的任一大类数据库。所述第四确定单元，用于根据所述网络攻击行为数据的小类标识在所述第一大类数据库中确定出第一小类数据库，所述第一小类数据库为所述第一大类数据库中的任一小类数据库。所述第五确定单元，用于根据所述网络攻击行为数据的细类标识确定第一小类，根据第一小类确定出网络攻击行为类型。

本申请实施例还提供可一种终端，参见图4，所述终端30包括：处理器301、存储器302和通信接口303。

在图4中，处理器301、存储器302和通信接口303可以通过总线相互连接；总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器301通常是控制终端30的整体功能，例如终端的启动、以及终端启动后对网络攻击行为对应的网络攻击行为数据的获取、将所述网络攻击行为数据与预设的规则库进行比对和对网络攻击行为的准确识别。此外，处理器301可以是通用处理器，例如，中央处理器(英文：centralprocessingunit，缩写：cpu)，网络处理器(英文：networkprocessor，缩写：np)或者cpu和np的组合。处理器也可以是微处理器(mcu)。处理器还可以包括硬件芯片。上述硬件芯片可以是专用集成电路(asic)，可编程逻辑器件(pld)或其组合。上述pld可以是复杂可编程逻辑器件(cpld)，现场可编程逻辑门阵列(fpga)等。

存储器302被配置为存储计算机可执行指令以支持终端30数据的操作。存储器301可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

启动终端30后，处理器301和存储器302上电，处理器301读取并执行存储在存储器302内的计算机可执行指令，以完成上述的网络攻击识别方法实施例中的全部或部分步骤。

通信接口303用于终端30传输数据，例如实现与规则库的数据通信和数据访问。通信接口303包括有线通信接口，还可以包括无线通信接口。其中，有线通信接口包括usb接口、microusb接口，还可以包括以太网接口。无线通信接口可以为wlan接口，蜂窝网络通信接口或其组合等。

在一个示意性实施例中，本申请实施例提供的终端30还包括电源组件，电源组件为终端30的各种组件提供电力。电源组件可以包括电源管理系统，一个或多个电源，及其他与为终端30生成、管理和分配电力相关联的组件。

通信组件，通信组件被配置为便于终端30和其他设备之间有线或无线方式的通信。终端30可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。通信组件还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。

在一个示意性实施例中，终端30可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、终端、微终端、处理器或其他电子元件实现。

本申请说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于系统及终端实施例而言，由于其中的方法基本相似于方法的实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

当然，上述说明也并不仅限于上述举例，本申请未经描述的技术特征可以通过或采用现有技术实现，在此不再赘述；以上实施例及附图仅用于说明本申请的技术方案并非是对本申请的限制，如来替代，本申请仅结合并参照优选的实施方式进行了详细说明，本领域的普通技术人员应当理解，本技术领域的普通技术人员在本申请的实质范围内所做出的变化、改型、添加或替换都不脱离本申请的宗旨，也应属于本申请的权利要求保护范围。