网络攻击有效性的检测方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种网络攻击有效性的检测方法和一种网络攻击有效性的检测系统。
【背景技术】
[0002]目前,在网络安全技术领域,当根据一网络访问的请求包,判断出该网络访问为网络攻击时,即发出报警信息。但是很多情况下,由于网络设备或系统自身的安全性能很好,网络攻击没有达到目的,此时网络攻击为无效攻击,实质上是不需要报警的。所以由于报警信息中有相当一部分是针对无效攻击的,使得网络攻击的误报率很高。
【发明内容】
[0003]本发明所要解决的技术问题是如何检测网络攻击是否有效。
[0004]为解决上述技术问题,本发明提出了一种网络攻击有效性的检测方法及系统。
[0005]第一方面,该方法包括:
[0006]根据一网络访问的请求包,判断该网络访问是否为网络攻击,
[0007]若是,则获取被访问者针对该请求包发出的应答包,并根据该应答包判断网络攻击是否有效。
[0008]进一步地,所述根据一网络访问的请求包,判断该网络访问是否为网络攻击,包括:
[0009]建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息;
[0010]获取访问者发出的请求包;
[0011]判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,
[0012]若是,则确认该网络访问为网络攻击。
[0013]进一步地,所述网络攻击特征库还包括应答包特征信息;
[0014]所述根据该应答包判断网络攻击是否有效,包括:
[0015]判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,
[0016]若是,则确认所述网络攻击为有效攻击。
[0017]第二方面,该系统包括:
[0018]第一判断模块,用于根据一网络访问的请求包,判断该网络访问是否为网络攻击;
[0019]获取模块,用于在该网络访问为网络攻击的情况下,获取被访问者针对该请求包发出的应答包;
[0020]第二判断模块,用于根据所述第一获取模块获取的应答包判断网络攻击是否有效。
[0021]进一步地,所述第一判断模块包括:
[0022]特征库建立单元,用于建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息;
[0023]第一获取单元,用于获取访问者发出的请求包;
[0024]第一判断单元,用于判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,若是,则确认该网络访问为网络攻击。
[0025]进一步地,所述网络攻击特征库还包括应答包特征信息;
[0026]所述第二判断模块包括:
[0027]第二判断单元,用于判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,若是,则确认所述网络攻击为有效攻击。
[0028]本发明根据应答包的内容判断网络攻击是否有效,在网络攻击有效的情况下,再进行报警,从而提高了报警准确性,降低了误报率。
【附图说明】
[0029]通过参考附图会更加清楚的理解本发明的特征信息和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
[0030]图1示出了根据本发明网络攻击有效性的检测方法一实施例的流程示意图;
[0031]图2示出了根据本发明网络攻击有效性的检测方法另一实施例的流程示意图;
[0032]图3示出了根据本发明网络攻击有效性的检测系统一实施例的结构框图。
【具体实施方式】
[0033]为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和【具体实施方式】对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
[0034]在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
[0035]本发明提供一种网络攻击有效性的检测方法,如图1、2所示,该方法包括:
[0036]根据一网络访问的请求包,判断该网络访问是否为网络攻击,
[0037]若是,则获取被访问者针对该请求包发出的应答包,并根据该应答包判断网络攻击是否有效。
[0038]本发明中网络攻击有效性,是指网络攻击是否成功:
[0039]若网络攻击成功,则该网络攻击有效;
[0040]否则,网络攻击无效。
[0041]在成功、没有成功两种情况下,应答包的内容是不同的。例如,攻击者的网络攻击为获取用户密码,若攻击成功,则应答包中会包含用户的密码信息;否则应答包中是不会有密码相关信息的。
[0042]本发明根据应答包的内容判断网络攻击是否有效,在网络攻击有效的情况下,再进行报警,从而提高了报警准确性,降低了误报率。
[0043]在具体实施过程中,可采用以下方法根据该应答包判断网络攻击是否有效:
[0044]建立网络攻击特征库,该网络攻击特征库中包括应答包特征信息;
[0045]判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,
[0046]若是,则确认所述网络攻击为有效攻击。
[0047]例如,网络攻击特征库中的一应答包特征信息为应答包的内容从第几个字符开始出现连续的某字符,若获取的应答包从该第几个字符开始连续的该某字符,则认为应答包与网络攻击特征库中的应答包特征信息匹配。
[0048]本发明通过特征匹配的方式判断网络攻击是否有效攻击,快速、准确。
[0049]这里的应答包特征信息,是预先设置好的,可根据具体的应用环境、攻击类型等信息进行设置。
[0050]进一步地,本发明的网络攻击特征库中还可包括请求包特征信息。此时,所述根据一网络访问的请求包,判断该网络访问是否为网络攻击,具体包括:
[0051]获取访问者发出的请求包;
[0052]判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,
[0053]若是,则确认该网络访问为网络攻击。
[0054]若确认网络访问为网络攻击,则访问者为攻击者,请求包的接收者即被访问者为被攻击者。
[0055]同样地,利用特征匹配的方式判断网络访问是否为网络攻击,快速、准确。
[0056]这里需要注意的是,访问者与被访问者均指的是网络设备或系统,访问者是发出请求包的一方,被访问者是接收请求包发出应答包的一方。
[0057]本发明还提供一种网络攻击有效性的检测系统,如图3所示,该系统100还包括:
[0058]第一判断模块101,用于根据一网络访问的请求包,判断该网络访问是否为网络攻击;
[0059]获取模块102,用于在该网络访问为网络攻击的情况下,获取被访问者针对该请求包发出的应答包;
[0060]第二判断模块103,用于根据所述获取模块获取的应答包判断网络攻击是否有效。
[0061]进一步地,所述第一判断模块101包括:
[0062]特征库建立单元1011,用于建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息;
[0063]第一获取单元1012,用于获取访问者发出的请求包;
[0064]第一判断单元1013,用于判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,若是,则确认该网络访问为网络攻击。
[0065]进一步地,所述网络攻击特征库还包括应答包特征信息;
[0066]所述第二判断模块103包括:
[0067]第二判断单元1031,用于判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,若是,则确认所述网络攻击为有效攻击。
[0068]本发明网络攻击有效性的检测系统为与本发明网络攻击有效性的检测方法的功能架构模块,其有关部分的解释、说明和有益效果等请参考本发明网络攻击有效性的检测方法的相应部分,在此不再赘述。
[0069]综上所述,本发明网络攻击有效性的检测方法及系统具有以下优点:
[0070]本发明采用一个网络访问的请求包判断该网络访问是否为网络攻击,若是,再利用应答包判断网络攻击是否有效,进而判断是否需要报警,因此降低了误报率。同时,采用特征匹配的方式进行相应的判断,快速、准确。
[0071]在本发明中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。术语“多个”指两个或两个以上,除非另有明确的限定。
[0072]虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
【主权项】
1.一种网络攻击有效性的检测方法,其特征在于,包括: 根据一网络访问的请求包,判断该网络访问是否为网络攻击, 若是,则获取被访问者针对该请求包发出的应答包,并根据该应答包判断所述网络攻击是否有效。2.根据权利要求1所述的方法,其特征在于, 所述根据一网络访问的请求包,判断该网络访问是否为网络攻击,包括: 建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息; 获取访问者发出的请求包; 判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配, 若是,则确认该网络访问为网络攻击。3.根据权利要求2所述的方法,其特征在于, 所述网络攻击特征库还包括应答包特征信息; 所述根据该应答包判断网络攻击是否有效,包括: 判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配, 若是,则确认所述网络攻击为有效攻击。4.一种网络攻击有效性的检测系统,其特征在于,包括: 第一判断模块,用于根据一网络访问的请求包,判断该网络访问是否为网络攻击; 获取模块,用于在该网络访问为网络攻击的情况下,获取被访问者针对该请求包发出的应答包; 第二判断模块,用于根据所述获取模块获取的应答包判断网络攻击是否有效。5.根据权利要求4所述的系统,其特征在于, 所述第一判断模块包括: 特征库建立单元,用于建立网络攻击特征库,该网络攻击特征库中包括请求包特征信息; 第一获取单元,用于获取访问者发出的请求包; 第一判断单元,用于判断所述请求包的内容是否与网络攻击特征库中的请求包特征信息相匹配,若是,则确认该网络访问为网络攻击。6.根据权利要求5所述的系统,其特征在于, 所述网络攻击特征库还包括应答包特征信息; 所述第二判断模块包括: 第二判断单元,用于判断所述应答包的内容是否与所述网络攻击特征库中的应答包特征信息相匹配,若是,则确认所述网络攻击为有效攻击。
【专利摘要】本发明涉及一种网络攻击有效性的检测方法及系统,以解决如何检测网络攻击是否有效的问题。该方法包括:根据一网络访问的请求包,判断该网络访问是否为网络攻击,若是,则获取被访问者针对该网络攻击发出的应答包,并根据该应答包判断网络攻击是否有效。本发明根据应答包的内容判断网络攻击是否有效,在网络攻击有效的情况下,再进行报警,从而提高了报警准确性,降低了误报率。
【IPC分类】H04L12/26, H04L29/06
【公开号】CN105337792
【申请号】CN201510527788
【发明人】王子瑜
【申请人】王子瑜
【公开日】2016年2月17日
【申请日】2015年8月25日