CN111314370B - 一种业务漏洞攻击行为的检测方法及装置 - Google Patents

Abstract

本申请提出了一种业务漏洞攻击行为的检测方法及装置。本申请中，IPS设备接收访问网络设备业务的请求报文，若该请求报文访问的业务存在业务漏洞，则根据该访问报文的类型，检查该访问报文是否携带有相应的正常访问参数，若没有携带相应的正常访问参数，则确定该访问报文为攻击报文。因此，本申请能检测到对业务漏洞的攻击报文，保障了网络设备的安全。

Description

一种业务漏洞攻击行为的检测方法及装置

技术领域

本申请涉及网络安全技术领域，尤其涉及一种业务漏洞攻击行为的检测方法和装置。

背景技术

随着网络技术的发展，网络设备在企业中发挥着越来越重要的作用。为了防止网络设备被攻击，通常会在网络环境中部署IPS(Intrusion Prevention System，入侵防御***)设备来监测网络设备并隔离异常的网络流量。

一般的，网络设备可能会存在一些业务漏洞，例如常见的未授权访问漏洞。而不法分子正会利用这些漏洞对网络设备发起攻击，举例来说，攻击者可以向网络设备发送携带有错误的鉴权信息的访问请求，而网络设备却对该访问请求进行正常的应答。

然而，目前的IPS设备无法检测到对这类业务漏洞的攻击行为，这带来了极大的安全隐患。

发明内容

针对上述技术问题，本申请提供了一种业务漏洞攻击行为的检测方法及装置，可以检测访问报文是否为攻击报文。

根据本申请的第一方面，提供一种业务漏洞攻击行为的检测方法，该方法应用于IPS设备，该方法包括：

接收访问报文；

在确定所述访问报文所访问的目标业务存在业务漏洞的情况下，确定所述访问报文是否携带与该类型访问报文对应的正常访问参数；

若否，则确定所述访问报文为攻击报文。

根据本申请的第二方面，提供一种业务漏洞攻击行为的检测装置，该装置应用于IPS设备，该装置包括：

接收单元，用于接收访问报文；

判断单元，用于在确定所述访问报文所访问的目标业务存在业务漏洞的情况下，确定所述访问报文是否携带与该类型访问报文对应的正常访问参数；

确定单元，用于在确定所述访问报文未携带与该类型访问报文对应的正常参数的情况下，确定所述访问报文为攻击报文。

本申请中，IPS设备接收访问网络设备业务的请求报文，若该请求报文访问的业务存在业务漏洞，则根据该访问报文的类型，检查该访问报文是否携带有相应的正常访问参数，若没有携带相应的正常访问参数，则确定该访问报文为攻击报文。

因此，本申请能检测到对业务漏洞的攻击报文，保障了网络设备的安全。

附图说明

图1为本申请一示例性实施例示出的一种应用场景示意图；

图2为本申请一示例性实施例示出的一种业务漏洞攻击行为的检测方法流程图；

图3为本申请一示例性实施例示出的一种访问请求交互图；

图4为本申请一示例性实施例示出的一种IPS设备的硬件结构图；

图5为本申请一示例性实施例示出的一种业务漏洞攻击行为的检测装置图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

随着网络技术的发展，网络设备在企业中发挥着越来越重要的作用。为了防止网络设备被攻击，通常会在网络环境中部署IPS设备来监测网络设备并隔离异常的网络流量。

如图1所示的组网环境，外网中包括外网设备，内网中包括网络设备1、网络设备2以及IPS设备，IPS设备对内网中的网络设备进行监测和防护。

常见的，IPS设备可以部署在内网的网关位置，从而能对内网中的所有网络设备进行防护，也可以按实际需求部署在其他位置，这里并不进行具体限定。

一般的，网络设备可能会存在业务漏洞，例如常见的未授权访问漏洞，而不法分子正会利用这些漏洞对网络设备发起攻击。仍以图1为例，假设网络设备1中包括一种加密业务，只允许用户A对该业务进行访问。若该业务存在未授权访问漏洞，则当外网设备使用用户B的账号访问该业务时，网络设备1仍会对该访问请求进行正常应答。

然而，目前的IPS设备无法检测到攻击者对业务漏洞的攻击行为，这带来了极大的安全隐患。

有鉴于此，本申请提出了一种通过IPS设备对业务漏洞攻击行为进行检测的方法。本申请中，IPS设备接收获取访问网络设备业务的请求报文，若该请求报文访问的业务存在业务漏洞的业务，则根据该访问报文的类型，检查该访问报文是否携带有相应的正常访问参数，若没有携带，则确定该访问报文为攻击报文。

因此，本申请能检测到对业务漏洞的攻击报文行为，保障了网络设备的安全。

参见图2，图2是本申请一示例性实施例示出的一种业务漏洞攻击行为的检测方法，该方法应用于IPS设备，该IPS设备位于内网中。

如图2所示，包括以下步骤：

步骤S201：IPS接收访问报文。

本申请中，IPS设备可以获取外网设备向内网中网络设备发送的访问报文。可选地，IPS设备可以对接收到的所有报文进行接收，并按照步骤S202的方法进行检测；IPS设备也可以配置有预设的检测白名单，首先接收报文并对报文进行解析，若该报文不存在于检测白名单中，则按照步骤S202的方法进行检测。

步骤S202：在确定所述访问报文所访问的目标业务存在业务漏洞的情况下，确定所述访问报文是否携带与该类型访问报文对应的正常访问参数；

步骤S203：若否，则确定所述访问报文为攻击报文。

对于步骤S201中IPS设备接收到的访问报文，IPS设备需要对该访问报文进行检测，以确定该访问报文是否为攻击报文。下面通过步骤S2021-S2022来说明具体的检测方法。

步骤S2021：检测访问报文所访问的目标业务是否存在业务漏洞。

下面通过两个具体的实施例介绍“检测目标业务是否存在业务漏洞”的方法。

实施例1：

IPS设备中配置有异常业务列表，该异常业务列表中记录了内网设备所提供的所有存在业务漏洞的业务、及对应的漏洞类型。其中，异常业务列表记录的业务可以以该业务的IP地址和端口号为标识，也可以以计算机名、业务名等作为标识，这里不进行限定。

首先，IPS设备获取异常业务列表；然后，IPS设备在异常业务列表中查找是否存在访问报文所访问的目标业务。具体的，若异常业务列表中以业务的IP地址和端口号作为标识，则IPS设备可以获取报文的五元组信息，从而在异常业务列表中查找目标业务。

若在异常业务列表中查找到目标业务，则IPS设备确定该目标业务存在业务漏洞。

可选地，可以通过如下方法来建立“异常业务列表”，具体包括以下步骤。

第一步，IPS设备获取用户预设的业务漏洞列表，该业务漏洞列表由用户根据互联网上公开的业务漏洞信息整理后确定，其中，业务漏洞列表包括网络设备信息(例如版本信息、设备型号等)、业务信息与业务漏洞的对应关系。

以网络设备信息为网络设备版本、业务信息为业务名称和业务版本为例，预设的业务漏洞列表可以如表1所示。

网络设备版本	业务名称	业务版本	业务漏洞
				Ver1.0	ABC	Ver2.0	未授权访问漏洞

表1

第二步，IPS设备向内网中的网络设备发送探测报文，以查询网络设备的信息、以及各网络设备所提供的业务的信息。例如，针对网络设备1，以该网络设备的IP地址(192.168.1.1)作为标识，查询到的信息具体如表2所示。

网络设备IP地址	网络设备版本	业务名称	业务版本	业务端口
					192.168.1.1	Ver1.0	ABC	Ver2.0	50

表2

第三步，IPS设备以网络设备信息和业务信息作为关键字，在预设的业务漏洞列表中查找该关键字对应的业务漏洞。例如，对于表1和表2，IP地址为192.168.1.1的网络设备所提供的业务“ABC”，该业务的端口号为50，该业务存在未授权访问漏洞。

可以理解的是，本步骤确定的业务漏洞为该网络设备的疑似业务漏洞，根据实际需求，本申请可以直接将疑似业务漏洞确定为业务漏洞，并将确定的业务漏洞添加到异常业务列表；也可以通过第四步和第五步来对疑似业务漏洞做进一步检测。

第四步，对于第三步中查找到的每一个漏洞，IPS设备模拟外网设备向该网络设备发送攻击报文。

以表1和表2对应的网络设备1为例，对于该网络设备所提供的业务“ABC”，该业务的端口号为50，该业务存在的业务漏洞类型为未授权访问漏洞。

IPS设备以192.168.1.1为目的IP地址，50为目的端口号，发送携带有随机认证信息(例如用户标识、鉴权信息等)的访问报文。可以理解的是，除认证信息以外，该访问请求还携带有其他字段，具体根据实际业务来设定，这里不进行限定。

第五步，IPS设备接收网络设备发送的应答报文。

IPS设备在预设时长内接收第四步中攻击报文对应的应答报文，并对接收到的应答报文进行解析。

若该应答报文指示允许访问该业务，则说明IPS设备发送的攻击报文得到了正常响应，也就是说，该网络设备提供的业务存在业务漏洞；

若该应答报文指示拒绝访问该业务，则说明该网络设备提供的业务不存在该业务漏洞。

第六步，IPS设备针对查到的疑似业务漏洞，若经第五步确定该业务漏洞存在，则将确定后的业务漏洞添加到异常业务列表中。

至此，完成建立“异常业务列表”的过程。

实施例2：

针对访问报文所访问的业务，IPS先模拟外网设备向该业务发送攻击报文，以确定该业务是否存在业务漏洞。

首先，IPS设备基于步骤S201中接收到的访问报文确定报文所访问的目标业务。

然后，IPS设备根据该报文中的内容，模拟外网设备向目标业务发送攻击报文。

举例来说，若IPS设备确定到该访问报文的类型为鉴权报文，则IPS构造一携带有随机认证信息的攻击报文，并将该攻击报文发送给目标业务。

最后，IPS设备接收目标业务返回的应答报文，若该应答报文指示允许访问该目标业务，则确定该目标业务存在业务漏洞。

至此，实施例2完成“检测目标业务是否存在业务漏洞”的流程。

步骤S2022：确定所述访问报文是否携带与该类型访问报文对应的正常访问参数。

本申请中，可以通过将访问报文与业务模板进行比对来确定该访问是否携带正常访问参数。具体地，可以通过以下步骤来进行确定。

首先，IPS设备获取访问报文所访问的目标业务对应的业务模板。

其中，业务模板中可以包括对目标业务进行正常访问所需的多条交互报文模板。可选的，该业务模板可以是IPS设备在初始化时根据用户正常访问的记录来建立的。

以图3所示的交互图为例，对网络设备上的特定加密业务进行访问时，业务模板中的交互至少包括以下步骤：

步骤S301：外网设备向网络设备发送不带认证信息的访问请求。

步骤S302：网络设备解析该访问请求，确定未携带正确的用户认证信息，返回应答报文，指示拒绝访问。

步骤S303：外网设备再次发送访问请求，并在请求报文中携带有认证信息。

步骤S304：网络设备检测认证信息中的用户权限、鉴权信息是否与业务相匹配，若匹配，则返回应答报文，指示允许访问。

可以理解的是，上述每个步骤对应一种类型的报文模板。

然后，IPS设备确定访问报文的类型。

可选的，IPS设备可以根据访问报文中的参数确定报文的类型。例如，对于加密业务的访问报文，若检测到访问报文中携带有认证参数，则可以确定该报文的类型为认证报文。

可选的，IPS设备可以根据访问报文的前序报文确定报文的类型。例如，对于加密业务的访问报文，IPS设备根据访问报文中的指定字段，可以获取该访问报文对应的前序交互报文。若前序交互报文为网络设备返回的未认证拒绝访问应答，则可以确定该访问报文的类型为认证报文。

接着，IPS设备根据访问报文的类型，查找与该类型访问报文对应的报文模板，并确定该报文模板中的正常访问参数。

仍以图3为例，若访问报文的类型为认证报文，则确定该访问报文对应的报文模板为步骤S303中的请求报文。获取该请求报文中的正常访问参数，例如用户名称、权限、密码等。

最后，IPS设备检测访问报文中是否携带上述正常访问参数。

在一个例子中，若访问报文的类型为认证报文，报文模板携带的正常访问参数为认证参数，则IPS设备检测访问报文中是否携带正常的认证参数，例如用户名称、权限、密码等。若不存在，则确定该访问报文为攻击报文；或者访问报文中的认证参数与报文模板不同，则确定该访问报文为攻击报文。

在另一个例子中，对于访问报文的类型为认证报文而言，认证报文可以存在多个报文模板，每个报文模板的认证参数中的用户信息不同，且每个用户可以访问业务中的不同子业务。基于多个报文模板，IPS设备确定访问报文中的用户信息与该访问报文所访问的子业务是否对应。若不对应，则确定该访问报文为攻击报文。

至此，完成图2所示的流程。

通过图2所示流程可以看出，本申请中，IPS设备接收获取访问网络设备业务的请求报文，若该请求报文访问的业务存在业务漏洞的业务，则根据该访问报文的类型，检查该访问报文是否携带有相应的正常访问参数，若没有携带，则确定该访问报文为攻击报文。因此，本申请能检测到对业务漏洞的攻击报文行为，保障了网络设备的安全。

与前述业务漏洞攻击行为的检测方法的实施例相对应，本申请还提供了业务漏洞攻击行为的检测装置的实施例。

本申请业务漏洞攻击行为的检测装置的实施例可以应用在IPS设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在IPS设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图4所示，为本申请业务漏洞攻击行为的检测装置所在IPS设备的一种硬件结构图，除了图4所示的处理器、内存、网络出接口、以及非易失性存储器之外，实施例中装置所在的IPS设备通常根据该IPS设备的实际功能，还可以包括其他硬件，对此不再赘述。

参见图5，图5是本申请一示例性实施例示出的一种业务漏洞攻击行为的检测装置的框图。该装置可以应用在IPS设备上，该装置可包括:

接收单元501，用于接收访问报文；

判断单元502，用于在确定所述访问报文所访问的目标业务存在业务漏洞的情况下，确定所述访问报文是否携带与该类型访问报文对应的正常访问参数；

确定单元503，用于在确定所述访问报文未携带与该类型访问报文对应的正常参数的情况下，确定所述访问报文为攻击报文。

可选地，所述确定所述访问报文所访问的目标业务存在业务漏洞，包括：

在异常业务列表中查找是否存在所述目标业务；其中，所述异常业务列表中记录了所述内网中网络设备所提供的所有存在业务漏洞的业务；

若存在，则确定所述访问报文所访问的目标业务存在业务漏洞；

或者，

模拟外网设备向该网络设备的目标业务发送漏洞攻击报文，并接收所述网络设备返回的应答报文；

若所述应答报文指示允许访问所述目标业务，则确定所述目标业务存在该业务漏洞。

可选地，所述异常业务列表通过如下方式生成：

针对所述内网中各网络设备所提供的业务，以该网络设备的信息、该网络设备所提供的业务的信息为关键字，在预设的网络设备信息、业务信息与业务漏洞的对应关系中，查找与该关键字对应的至少一个业务漏洞；

针对每一个查找到的业务漏洞，检测网络设备所提供的业务是否存在该业务漏洞；

若存在，则将与该业务漏洞对应的业务添加至所述异常业务列表。

可选地，所述检测网络设备所提供的业务是否存在该业务漏洞，包括：

模拟外网设备向该网络设备所提供的业务发起漏洞攻击报文，并接收所述网络设备返回的应答报文；

若所述应答报文指示允许访问该业务，则确定该网络设备提供的业务存在该业务漏洞；

若所述应答报文指示拒绝访问该业务，则确定该网络设备提供的业务不存在该业务漏洞。

可选地，所述确定所述访问报文是否携带与该类型访问报文对应的正常访问参数，包括：

获取所述访问报文所访问的目标业务对应的业务模板；所述业务模板包括：所述业务模板为实现所述目标业务访问的各类型访问报文、及各类型访问报文对应的正常访问参数；

以所述访问报文的类型为关键字，在所述业务模板中查找与该关键字对应的正常访问参数；

若所述访问报文中携带了该查找到的正常访问参数，则确定所述访问报文携带与该类型访问报文对应的正常访问参数；

若所述访问报文中未携带该查找到的所述正常访问参数，则确定所述访问报文未携带与该类型访问报文对应的正常访问参数。

可选地，所述业务漏洞为未授权访问漏洞；

当所述访问报文的类型为鉴权报文时，所述鉴权报文对应的正常访问参数包括认证参数，所述认证参数包括用户标识和/或用户鉴权信息。

至此，完成图5所示装置的框图。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (10)

1.一种业务漏洞攻击行为的检测方法，其特征在于，应用于IPS设备，所述IPS设备位于内网中，所述方法包括：

接收访问报文；

在确定所述访问报文所访问的目标业务存在业务漏洞的情况下，确定所述访问报文是否携带与该类型访问报文对应的正常访问参数；所述业务漏洞为未授权访问漏洞；

若否，则确定所述访问报文为攻击报文；

其中，所述确定所述访问报文所访问的目标业务存在业务漏洞，包括：

在异常业务列表中查找是否存在所述目标业务；其中，所述异常业务列表中记录了所述内网中网络设备所提供的所有存在业务漏洞的业务；

若存在，则确定所述访问报文所访问的目标业务存在业务漏洞；

或者，

模拟外网设备向该网络设备的目标业务发送漏洞攻击报文，并接收所述网络设备返回的应答报文；

若所述应答报文指示允许访问所述目标业务，则确定所述目标业务存在该业务漏洞。

2.根据权利要求1所述的方法，其特征在于，所述异常业务列表通过如下方式生成：

针对所述内网中各网络设备所提供的业务，以该网络设备的信息、该网络设备所提供的业务的信息为关键字，在预设的网络设备信息、业务信息与业务漏洞的对应关系中，查找与该关键字对应的至少一个业务漏洞；

针对每一个查找到的业务漏洞，检测网络设备所提供的业务是否存在该业务漏洞；

若存在，则将与该业务漏洞对应的业务添加至所述异常业务列表。

3.根据权利要求2所述的方法，其特征在于，所述检测网络设备所提供的业务是否存在该业务漏洞，包括：

模拟外网设备向该网络设备所提供的业务发起漏洞攻击报文，并接收所述网络设备返回的应答报文；

若所述应答报文指示允许访问该业务，则确定该网络设备提供的业务存在该业务漏洞；

若所述应答报文指示拒绝访问该业务，则确定该网络设备提供的业务不存在该业务漏洞。

4.根据权利要求1所述的方法，其特征在于，所述确定所述访问报文是否携带与该类型访问报文对应的正常访问参数，包括：

获取所述访问报文所访问的目标业务对应的业务模板；所述业务模板包括：所述业务模板为实现所述目标业务访问的各类型访问报文、及各类型访问报文对应的正常访问参数；

以所述访问报文的类型为关键字，在所述业务模板中查找与该关键字对应的正常访问参数；

若所述访问报文中携带了该查找到的正常访问参数，则确定所述访问报文携带与该类型访问报文对应的正常访问参数；

若所述访问报文中未携带该查找到的所述正常访问参数，则确定所述访问报文未携带与该类型访问报文对应的正常访问参数。

5.根据权利要求1所述的方法，其特征在于，

当所述访问报文的类型为鉴权报文时，所述鉴权报文对应的正常访问参数包括认证参数，所述认证参数包括用户标识和/或用户鉴权信息。

6.一种业务漏洞攻击行为的检测装置，其特征在于，应用于IPS设备，所述IPS设备位于内网中，所述装置包括：

接收单元，用于接收访问报文；

判断单元，用于在确定所述访问报文所访问的目标业务存在业务漏洞的情况下，确定所述访问报文是否携带与该类型访问报文对应的正常访问参数；所述业务漏洞为未授权访问漏洞；

确定单元，用于在确定所述访问报文未携带与该类型访问报文对应的正常参数的情况下，确定所述访问报文为攻击报文；

其中，所述确定所述访问报文所访问的目标业务存在业务漏洞，包括：

在异常业务列表中查找是否存在所述目标业务；其中，所述异常业务列表中记录了所述内网中网络设备所提供的所有存在业务漏洞的业务；

若存在，则确定所述访问报文所访问的目标业务存在业务漏洞；

或者，

模拟外网设备向该网络设备的目标业务发送漏洞攻击报文，并接收所述网络设备返回的应答报文；

若所述应答报文指示允许访问所述目标业务，则确定所述目标业务存在该业务漏洞。

7.根据权利要求6所述的装置，其特征在于，所述异常业务列表通过如下方式生成：

针对所述内网中各网络设备所提供的业务，以该网络设备的信息、该网络设备所提供的业务的信息为关键字，在预设的网络设备信息、业务信息与业务漏洞的对应关系中，查找与该关键字对应的至少一个业务漏洞；

针对每一个查找到的业务漏洞，检测网络设备所提供的业务是否存在该业务漏洞；

若存在，则将与该业务漏洞对应的业务添加至所述异常业务列表。

8.根据权利要求7所述的装置，其特征在于，所述检测网络设备所提供的业务是否存在该业务漏洞，包括：

模拟外网设备向该网络设备所提供的业务发起漏洞攻击报文，并接收所述网络设备返回的应答报文；

若所述应答报文指示允许访问该业务，则确定该网络设备提供的业务存在该业务漏洞；

若所述应答报文指示拒绝访问该业务，则确定该网络设备提供的业务不存在该业务漏洞。

9.根据权利要求6所述的装置，其特征在于，所述确定所述访问报文是否携带与该类型访问报文对应的正常访问参数，包括：

获取所述访问报文所访问的目标业务对应的业务模板；所述业务模板包括：所述业务模板为实现所述目标业务访问的各类型访问报文、及各类型访问报文对应的正常访问参数；

以所述访问报文的类型为关键字，在所述业务模板中查找与该关键字对应的正常访问参数；

若所述访问报文中携带了该查找到的正常访问参数，则确定所述访问报文携带与该类型访问报文对应的正常访问参数；

若所述访问报文中未携带该查找到的所述正常访问参数，则确定所述访问报文未携带与该类型访问报文对应的正常访问参数。

10.根据权利要求6所述的装置，其特征在于，

当所述访问报文的类型为鉴权报文时，所述鉴权报文对应的正常访问参数包括认证参数，所述认证参数包括用户标识和/或用户鉴权信息。

Images