]Connect1n: keep-alive
[0139]Accept:text/html, applicat1n/xhtml+xml, applicat1n/xml ;q = 0.9,image/webp,氺/氺;q = 0.8
[0140]User-Agent:Mozilla/5.0(ffindows NT 6.1) AppleffebKit/537.36 (KHTML, likeGecko)Chrome/33.0.1750.154Safari/537.36
[0141]Referer:http://b1techlab.fudan.edu.cn/database/lamp/results—complex,php
[0142]Accept-Encoding:gzip,deflate, sdch
[0143]Accept-Language:hu-HU,hu ;q = 0.8,en-US ;q = 0.6,en ;q = 0.4
[0144]Cookie:PHPSESSID = gvgdgopuk35mffcgjlr99m6d00
[0145]本实施例中,通过结合请求包和响应包的双向数据分析,发现第一数据包并非真的来自恶意的攻击,而是由于客户的业务系统本身就是这样实现的:通过参数query传递SQL查询语句;并且,响应包也存在相同的参数和参数值,或者说,请求方向参数query携带的SQL语句,是来自服务器返回的响应页面。通过这种上下文文法信息分析的方法检测到数据包符合正常的SQL语法,即判断第一数据包为非攻击数据包。
[0146]在一优选的实施例中,如图6所示,在上述图4的实施例的基础上,所述执行模块104包括:
[0147]恢复单元1041,用于当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输;
[0148]记录单元1042,用于记录所述第一数据包对应的攻击日志。
[0149]本实施例中,当判断第一数据包不为攻击数据包时,会自动放行当前的第一数据包,并恢复第一数据包对应的业务流的传输,避免客户业务遭受影响或者断网,而不再依赖于攻击特征信息的攻击检测方式来检测数据包,同时也防止产生海量日志,提高客户的满意度。
[0150]对于基于攻击特征信息的攻击检测方式造成的误判,可以对后续的业务流进行检测前的过滤。记录第一数据包对应的攻击日志,并向用户报告具体哪个参数传SQL语句,该参数存在SQL注入的安全隐患,用户可以查看到该条日志。
[0151]在一优选的实施例中,所述执行模块104还包括:拦截单元,用于当所述第一数据包为攻击数据包时,拦截所述第一数据包。本实施例的第一数据包如果是攻击数据包,则进行拦截,保证网络的安全。
[0152]在一优选的实施例中,在上述的实施例的基础上,所述网络攻击的处理装置还包括:发送模块,用于将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
[0153]本实施例中,当通过上下文文法信息分析的方法检测到第一数据包不为攻击数据包时,即认为攻击特征信息的攻击检测方式出现误判,将对应的攻击日志发送至云端服务器,云端服务器接收到攻击日志后自动更新规则库,下一版本的规则库发布,将包含更新后的攻击特征信息。
[0154]以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
【主权项】
1.一种网络攻击的处理方法,其特征在于,所述网络攻击的处理方法包括以下步骤: 获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包; 获取预设的编程语言的语法信息及所述编程语言的上下文文法信息; 根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果; 根据所述判断结果执行相应的操作。2.如权利要求1所述的网络攻击的处理方法,其特征在于,所述根据所述语法信息及上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果的步骤包括: 解析所述第一数据包并获取所述第一数据包中第一数据片段; 判断所述第一数据片段是否符合所述语法信息; 若不符合所述语法信息,则判断所述第一数据包为正常数据包; 若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段; 判断所述第一数据片段及第二数据片段是否符合所述上下文文法信息; 若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包,否则,判断所述第一数据包为正常数据包。3.如权利要求1或2所述的网络攻击的处理方法,其特征在于,所述根据所述判断结果执行相应的操作的步骤包括: 当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输; 记录所述第一数据包对应的攻击日志。4.如权利要求3所述的网络攻击的处理方法,其特征在于,所述根据所述判断结果执行相应的操作的步骤还包括: 当所述第一数据包为攻击数据包时,拦截所述第一数据包。5.如权利要求3所述的网络攻击的处理方法,其特征在于,在记录所述第一数据包对应的攻击日志之后,所述网络攻击的处理方法还包括: 将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。6.一种网络攻击的处理装置,其特征在于,所述网络攻击的处理装置包括: 第一获取模块,用于获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包; 第二获取模块,用于获取预设的编程语言的语法信息及所述编程语言的上下文文法信息; 判断模块,用于根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果; 执行模块,用于根据所述判断结果执行相应的操作。7.如权利要求6所述的网络攻击的处理装置,其特征在于,所述判断模块包括: 解析单元,用于解析所述第一数据包并获取所述第一数据包中第一数据片段; 第一判断单元,用于判断所述第一数据片段是否符合所述语法信息; 第一判断处理单元,用于若不符合所述语法信息,则判断所述第一数据包为正常数据包; 获取单元,用于若符合所述语法信息,则获取与所述第一数据包的响应方向对应的第二数据包,获取所述第二数据包的第二数据片段; 第二判断单元,用于判断所述第一数据片段及第二数据片段是否符合所述上下文文法信息; 第二判断处理单元,用于若不符合所述上下文文法信息,则判断所述第一数据包为攻击数据包,否则,判断所述第一数据包为正常数据包。8.如权利要求6或7所述的网络攻击的处理装置,其特征在于,所述执行模块包括: 恢复单元,用于当所述第一数据包为正常数据包时,放行所述第一数据包,并恢复所述第一数据包对应的业务流的传输; 记录单元,用于记录所述第一数据包对应的攻击日志。9.如权利要求8所述的网络攻击的处理装置,其特征在于,所述执行模块还包括: 拦截单元,用于当所述第一数据包为攻击数据包时,拦截所述第一数据包。10.如权利要求8所述的网络攻击的处理装置,其特征在于,所述网络攻击的处理装置还包括: 发送模块,用于将所述攻击日志发送至云端服务器,以供所述云端服务器更新所述攻击特征信息。
【专利摘要】本发明公开了一种网络攻击的处理方法及装置,所述网络攻击的处理方法包括以下步骤:获取攻击特征信息及与所述攻击特征信息相匹配的第一数据包;获取预设的编程语言的语法信息及所述编程语言的上下文文法信息;根据所述语法信息及所述上下文文法信息判断所述第一数据包是否为攻击数据包,获取判断结果;根据所述判断结果执行相应的操作。本发明弥补了基于攻击特征信息的攻击检测方式的不足,增强误判识别能力,能够及时发现网络攻击的误判情况,保证业务的正常进行。
【IPC分类】H04L29/06
【公开号】CN105357179
【申请号】CN201510634536
【发明人】刘余
【申请人】深信服网络科技(深圳)有限公司
【公开日】2016年2月24日
【申请日】2015年9月29日