网络攻击的处理方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种网络攻击的处理方法及装置。
【背景技术】
[0002]目前,对网络数据进行安全检查的产品大多是基于特征码的识别,即如果数据包的攻击特征符合特征码,就能够检测出该数据包具有攻击性,在网络攻击发生的情况下,设备向用户报告当前网络异常。由于现有技术的限制,基于特征码的网络攻击检测手段很容易引发误判,将一个正常的数据包判断成符合特征码的攻击数据包:对于产生的误判,目前仍没有一个较好的解决方法,一般是在误判发生后才进行补救,例如依靠人工分析,对攻击日志进行逐条分析,看哪些是网络攻击数据哪些是正常数据,然后等到新的特征库发布后,误判问题才得到解决,这种处理网络攻击误判的方法存在滞后性,无法及时处理误判问题,容易导致正常业务受到影响,严重时网络攻击的误判还会导致客户断网,影响使用效果。
[0003]上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
【发明内容】
[0004]本发明的主要目的在于提供一种网络攻击的处理方法及装置,旨在解决在检测网络攻击时容易误判的技术问题。
[0005]为实现上述目的,本发明提供一种网络攻击的处理方法,所述网络攻击的处理方法包括以下步骤:
[0006]获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;
[0007]获取预设的编程语言的语法信息及所述编程语言的上下文文法信息;
[0008]根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果;
[0009]根据所述判断结果执行相应的操作。
[0010]优选地,所述根据所述语法信息及上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果的步骤包括:
[0011]解析所述第一数据包并获取所述第一数据包中第一数据片段;
[0012]判断所述第一数据片段是否符合所述语法信息;
[0013]若不符合所述语法信息,则判断所述第一数据包为正常数据包;
[0014]若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段;
[0015]判断所述第一数据片段及第二数据片段是否符合所述上下文文法信息;
[0016]若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包,否则,判断所述第一数据包为正常数据包。
[0017]优选地,所述根据所述判断结果执行相应的操作的步骤包括:
[0018]当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输;
[0019]记录所述第一数据包对应的攻击日志。
[0020]优选地,所述根据所述判断结果执行相应的操作的步骤还包括:
[0021]当所述第一数据包为攻击数据包时,拦截所述第一数据包。
[0022]优选地,在记录所述第一数据包对应的攻击日志之后,所述网络攻击的处理方法还包括:
[0023]将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
[0024]此外,为实现上述目的,本发明还提供一种网络攻击的处理装置,所述网络攻击的处理装置包括:
[0025]第一获取模块,用于获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;
[0026]第二获取模块,用于获取预设的编程语言的语法信息及所述编程语言的上下文文法?目息;
[0027]判断模块,用于根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果;
[0028]执行模块,用于根据所述判断结果执行相应的操作。
[0029]优选地,所述判断模块包括:
[0030]解析单元,用于解析所述第一数据包并获取所述第一数据包中第一数据片段;
[0031]第一判断单元,用于判断所述第一数据片段是否符合所述语法信息;
[0032]第一判断处理单元,用于若不符合所述语法信息,则判断所述第一数据包为正常数据包;
[0033]获取单元,用于若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段;
[0034]第二判断单元,用于判断所述第一数据片段及第二数据片段是否符合所述上下文文法ig息;
[0035]第二判断处理单元,用于若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包,否则,判断所述第一数据包为正常数据包。
[0036]优选地,所述执行模块包括:
[0037]恢复单元,用于当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输;
[0038]记录单元,用于记录所述第一数据包对应的攻击日志。
[0039]优选地,所述执行模块还包括:
[0040]拦截单元,用于当所述第一数据包为攻击数据包时,拦截所述第一数据包。
[0041]优选地,所述网络攻击的处理装置还包括:
[0042]发送模块,用于将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
[0043]本发明一种网络攻击的处理方法及装置,首先基于攻击特征信息的攻击检测方式获取第一数据包,然后基于语法信息分析和上下文双向对第一数据包进行检测的方式,弥补了基于攻击特征信息的攻击检测方式的不足,增强误判识别能力,能够及时发现网络攻击的误判情况,保证业务的正常进行,并提高使用体验。
【附图说明】
[0044]图1为本发明网络攻击的处理方法一实施例的流程示意图;
[0045]图2为图1中步骤S103的细化流程示意图;
[0046]图3为图1中步骤S104的细化流程示意图;
[0047]图4为本发明网络攻击的处理装置一实施例的功能模块示意图;
[0048]图5为图4中判断模块的细化功能模块示意图;
[0049]图6为图4中执行模块的细化功能模块示意图。
[0050]本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
【具体实施方式】
[0051]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0052]本发明提供一种网络攻击的处理方法,参照图1,在一实施例中,该网络攻击的处理方法包括:
[0053]步骤S101,获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;
[0054]SQL (Structured Query Language,结构化查询语言)注入为将SQL代码插入或添加到应用的输入参数中,之后再将这些参数传递给后台的SQL服务器加以解析并执行的攻击,本实施例中主要针对SQL注入这一类的网络攻击,当然,也可以是其他的网络攻击。
[0055]本实施例中,在对网络数据进行攻击检测时,获取云端服务器存储的攻击特征信息,基于攻击特征信息(即特征码)的攻击检测方式来检测SQL注入,基于攻击特征信息攻击检测方式是依靠SQL关键字来进行检测,SQL关键字例如可以是select、from等。
[0056]以下的数据包中的一段数据片段,因为含有select、from等关键字,该数据包容易被安全检测产品判断成网络攻击:
[0057]You will be isolating which usually muscle.Use both varieties anaerobicexercises to improve your strength to produce healthy, incline,and effectivemuscles.Select exercises you ought to enjoy and can also do for not lessthan 20a short time, three so that