CN111510446B - 一种攻击检测方法、装置及电子设备和存储介质 - Google Patents
一种攻击检测方法、装置及电子设备和存储介质 Download PDFInfo
- Publication number
- CN111510446B CN111510446B CN202010278746.4A CN202010278746A CN111510446B CN 111510446 B CN111510446 B CN 111510446B CN 202010278746 A CN202010278746 A CN 202010278746A CN 111510446 B CN111510446 B CN 111510446B
- Authority
- CN
- China
- Prior art keywords
- target
- detection rule
- tcp
- attack
- data stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种攻击检测方法、装置及一种电子设备和计算机可读存储介质,该方法包括:确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;从基础数据流中匹配符合目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅目标数据流并将目标数据流作为更新后的基础数据流发布至消息代理;将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入从基础数据流中匹配符合目标检测规则的目标数据流的步骤;若匹配到符合目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为,实现跨TCP流的攻击检测。
Description
技术领域
本申请涉及计算机技术领域,更具体地说,涉及一种攻击检测方法、装置及一种电子设备和一种计算机可读存储介质。
背景技术
NIDS(中文全称:网络入侵检测***,英文全称:Network Intrusion DetectionSystem)用于检测网络流量中的特定模式并进行告警。NIPS(中文全称:网络入侵防御***,英文全称:Network Intrusion Prevention System)用于实现对网络流量的检测并对特定的网络流量进行响应和控制,例如重置连接或阻止连接。
以传统的基于签名的NIDS/NIPS为例,为实现对已知攻击的有效检测,通常需要开发用于检测已知攻击模式的规则即签名。于是为了保护某个类型应用的漏洞,并防御对应的一系列漏洞利用的攻击模式,往往就会开发一定数量的与前述攻击模式对应的检测规则。通过规则解析引擎将规则编译为多模匹配状态机,从而在网络流量中对攻击模式进行实时监测和响应。
在上述方案中,针对攻击流量的跟踪仅仅局限在同一个TCP(中文全称:传输控制协议,英文全称:Transmission Control Protocol)流中,当攻击者的攻击流程跨越多个不同的TCP流时,无法通过一系列规则准确描述其攻击流程,如果仅仅对其攻击流程的每个子TCP流特征进行规则提取,往往每条规则都是不完备的,容易导致大量误判,使得规则可用性和价值大幅降低。
因此,如何实现跨TCP流的攻击检测是本领域技术人员需要解决的技术问题。
发明内容
本申请的目的在于提供一种攻击检测方法、装置及一种电子设备和一种计算机可读存储介质,实现跨TCP流的攻击检测,提升了规则表述准确性和可用性,进而提高了攻击检测的准确度。
为实现上述目的,本申请提供了一种攻击检测方法,应用于检测引擎,包括:
确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;
从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;
将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入从所述基础数据流中匹配符合所述目标检测规则的目标数据流的步骤;
若匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为。
其中,所述确定目标攻击行为中每个TCP流对应的检测规则之前,还包括:
基于所述目标攻击行为交互双方之间的协议特征创建应用指纹;
相应的,所述获取基础数据流,包括:
接收数据流,并从所述数据流中匹配符合所述应用指纹的基础数据流。
其中,还包括:
若匹配到符合目标TCP流对应的目标检测规则的目标数据流,则判断是否存在目标跟踪;其中,所述目标TCP流为所述目标攻击行为中除所述第一个TCP流之外的TCP流,所述目标跟踪为第二订阅方在所述检测引擎匹配到符合所述第一个TCP流对应的目标检测规则的目标数据流时,在所述消息代理中注册的所述目标攻击行为对应的跟踪;
若是,则执行所述将下一个TCP流对应的检测规则确定为目标检测规则的步骤。
其中,所述判断是否存在目标跟踪,包括:
判断所述目标TCP流与所述第一个TCP流的通信信息是否一致;
若是,则判定存在所述目标跟踪。
其中,在所述消息代理中注册的所述目标攻击行为对应的跟踪之后,还包括:
基于所述第一个TCP流的通信信息按照预设计算规则计算所述目标跟踪的跟踪标识;
相应的,所述判断是否存在目标跟踪,包括:
基于所述目标TCP流的通信信息按照所述预设计算规则计算所述目标跟踪的目标跟踪标识;
判断所述目标跟踪标识是否存在;
若是,则判定存在所述目标跟踪。
其中,所述通信信息包括源IP地址、目的IP地址、源端口和目的端口。
为实现上述目的,本申请提供了一种攻击检测装置,包括:
第一确定模块,用于确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;
匹配模块,用于从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;
第二确定模块,用于将下一个TCP流对应的检测规则确定为目标检测规则,并重新启动所述匹配模块的工作流程;
判定模块,用于当匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流时,判定存在目标攻击行为。
其中,还包括:
创建模块,用于基于所述目标攻击行为交互双方之间的协议特征创建应用指纹;
相应的,所述第一确定模块包括:
第一确定单元,用于确定目标攻击行为中每个TCP流对应的检测规则;
获取单元,用于接收数据流,并从所述数据流中匹配符合所述应用指纹的基础数据流;
第二确定单元,用于将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则。
为实现上述目的,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述攻击检测方法的步骤。
为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述攻击检测方法的步骤。
通过以上方案可知,本申请提供的一种攻击检测方法,包括:确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入从所述基础数据流中匹配符合所述目标检测规则的目标数据流的步骤;若匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为。
本申请提供的攻击检测方法,为目标攻击行为中的每个TCP流分别制定检测规则,对接收到的数据流依此匹配检测规则,当匹配到所有检测规则时,判定存在目标攻击行为。由此可见,本申请提供的攻击检测方法,实现一种跨TCP的多条检测规则环环相扣的模式,从而准确表述横跨多个TCP流的攻击流程,有效提升规则表述准确性和可用性,进而提高了攻击检测的准确度。本申请还公开了一种攻击检测装置及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为根据一示例性实施例示出的一种攻击检测方法的流程图;
图2为根据一示例性实施例示出的另一种攻击检测方法的流程图;
图3为根据一示例性实施例示出的一种攻击检测***的结构图;
图4为根据一示例性实施例示出的一种攻击检测装置的结构图;
图5为根据一示例性实施例示出的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例公开了一种攻击检测方法,实现跨TCP流的攻击检测,提升了规则表述准确性和可用性,进而提高了攻击检测的准确度。
参见图1,根据一示例性实施例示出的一种攻击检测方法的流程图,如图1所示,包括:
S101:确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;
本实施例的执行主体为检测引擎,目的为检测跨TCP流的攻击。可以理解的是,单个TCP流不存在异常行为,但是多个正常的TCP流可以组合为目标攻击行为。在本步骤中,为目标攻击行为中的每个TCP流分别制定检测规则,后续步骤基于每个检测规则分别检测每个TCP流的攻击模式。
当接收到数据包时,对其进行解码、IP层分包和TCP流重组操作得到基础数据流。本实施例提供一种基于事件驱动的发布/订阅模型,消息的发送者(称为发布者)不会将消息直接发送给特定的接收者(称为订阅者),而是将发布的消息分为不同的类别,无需了解哪些订阅者可能存在。同样的,订阅者可以表达对一个或多个类别的兴趣,只接收感兴趣的消息,无需了解哪些发布者存在。在此,每个发布者的数据并未真实的被发布出去,引擎实际上是将对数据的访问权限发布至消息代理,消息代理通常执行存储转发的功能将消息从发布者发送到订阅者,即订阅者可以根据需要访问正规化前以及正规化后的数据。正规化可以包括上述包括IP层分包、TCP流重组和HTTP协议百分号编码等。
在具体实施中,将目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则,后续步骤中在基础数据流中匹配目标检测规则。
S102:从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;
在本步骤中,检测引擎将基础数据流的访问权限发布至消息代理,并从基础数据流中匹配符合所述目标检测规则的目标数据流,第一订阅方可以从消息代理处获取目标数据流的访问权限,订阅到目标数据流后立即作为更新后的基础数据流发布至消息代理,检测引擎可以继续后续检测规则的匹配。
在发布/订阅模型中,订阅者通常接收所有发布的消息的一个子集。选择接受和处理的消息的过程被称作过滤,通常采用基于主题的和基于内容的过滤形式。在基于主题的***中,消息被发布到主题或命名通道上,订阅者将收到其订阅的主题上的所有消息,并且所有订阅同一主题的订阅者将接收到同样的消息,发布者负责定义订阅者所订阅的消息类别。在基于内容的***中,订阅者定义其感兴趣的消息的条件,只有当消息的属性或内容满足订阅者定义的条件时,消息才会被投递到该订阅者,订阅者需要负责对消息进行分类。当然一些发布/订阅模型中也支持两者的混合,即发布者发布消息到主题上,而订阅者将基于内容的订阅注册到一个或多个主题上。
S103:将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入步骤S102:
在本步骤中,将下一个TCP流对应的检测规则确定为目标检测规则,重新从更新后的基础数据流中匹配符合目标检测规则的目标数据流,重复上述步骤直至匹配到符合目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,即目标攻击行为中所有TCP流对于的目标检测规则均匹配完成。在此过程中,若任意目标检测规则未匹配到目标数据流,则需要从第一TCP流对应的目标检测规则开始进行重新匹配。
S104:若匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为。
在本步骤中,若匹配到符合目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,即目标攻击行为中所有TCP流对于的目标检测规则均匹配完成,判定存在目标攻击行为。
本申请实施例提供的攻击检测方法,为目标攻击行为中的每个TCP流分别制定检测规则,对接收到的数据流依此匹配检测规则,当匹配到所有检测规则时,判定存在目标攻击行为。由此可见,本申请实施例提供的攻击检测方法,实现一种跨TCP的多条检测规则环环相扣的模式,从而准确表述横跨多个TCP流的攻击流程,有效提升规则表述准确性和可用性,进而提高了攻击检测的准确度。
在上述实施例的基础上,作为一种优选实施方式,还包括:
若匹配到符合目标TCP流对应的目标检测规则的目标数据流,则判断是否存在目标跟踪;其中,所述目标TCP流为所述目标攻击行为中除所述第一个TCP流之外的TCP流,所述目标跟踪为第二订阅方在所述检测引擎匹配到符合所述第一个TCP流对应的目标检测规则的目标数据流时,在所述消息代理中注册的所述目标攻击行为对应的跟踪;若是,则执行所述将下一个TCP流对应的检测规则确定为目标检测规则的步骤。
在具有实施中,当匹配到符合第一个TCP流对应的目标检测规则的目标数据流时,检测引擎注册目标跟踪。当匹配到符合后续TCP流对应的目标检测规则的目标数据流时,判断是否存在目标跟踪,若该跟踪标识已存在,则判定存在目标跟踪,将目标攻击行为中的下一个TCP流对应的检测规则确定为目标检测规则,重新从更新后的基础数据流中匹配符合目标检测规则的目标数据流。
作为一种可行的实施方式,所述判断是否存在目标跟踪,包括:判断所述目标TCP流与所述第一个TCP流的通信信息是否一致;若是,则判定存在所述目标跟踪。在具体实施中,通信信息包括源IP地址、目的IP地址、源端口和目的端口,当上述四元组均一致时可判定存在目标跟踪。
作为另一种可行的实施方式,在所述消息代理中注册的所述目标攻击行为对应的跟踪之后,还包括:基于所述第一个TCP流的通信信息按照预设计算规则计算所述目标跟踪的跟踪标识;相应的,所述判断是否存在目标跟踪,包括:基于所述目标TCP流的通信信息按照所述预设计算规则计算所述目标跟踪的目标跟踪标识;判断所述目标跟踪标识是否存在;若是,则判定存在所述目标跟踪。在具体实施中,当匹配到符合第一个TCP流对应的目标检测规则的目标数据流时,基于第一个TCP流的通信信息按照预设计算规则计算目标跟踪的标识。当匹配到符合后续TCP流对应的目标检测规则的目标数据流时,根据后续TCP流的通信信息按照预设计算规则计算跟踪标识,若该跟踪标识已存在,则判定存在目标跟踪。
本申请实施例公开了一种攻击检测方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。具体的:
参见图2,根据一示例性实施例示出的另一种攻击检测方法的流程图,如图2所示,包括:
S201:基于所述目标攻击行为交互双方之间的协议特征创建应用指纹,确定目标攻击行为中每个TCP流对应的检测规则;
S202:接收数据流,并从所述数据流中匹配符合所述应用指纹的基础数据流;
在本实施例中,首先基于目标攻击行为交互双方之间的协议特征创建应用指纹,当接收到正则化的数据流时,从该数据流中匹配符合应用指纹的基础数据流,该基础数据流符合交互双方之间的协议特征,可以准确表述了目标攻击行为的交互双方。
S203:将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;
S204:从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;
S205:将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入步骤S204:;
S206:若匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为。
由此可见,本实施例在进行匹配目标检测规则之前,在数据流中匹配应用指纹,该应用指纹为基于目标攻击行为交互双方之间的协议特征创建的,匹配得到的基础数据流符合该应用指纹,即符合交互双方之间的协议特征,准确表述了目标攻击行为的交互双方,提高了攻击检测的准确度。
下面介绍本申请提供的一种应用实施例,如图3所示,包括解码模块、IP层分包重组模块、TCP流重组模块、检测引擎、日志响应模块、应用识别模块、回调接口模块和事件注册模块。
IP层分包重组模块、TCP流重组模块和检测引擎作为发布者,具备发布数据访问权限的功能,将发布声明以消息形式发布至消息代理。应用识别模块、回调接口模块和事件注册模块既是发布者又是订阅者。一方面,可以向消息代理发送任务相关的订阅声明,并在发布者基于订阅者需求发布数据后,立刻获得数据访问权限,开展针对性的任务。另一方面,这三个模块完成数据处理后,又会将数据重新发布给消息代理,可用于其他订阅模块的处理,从而提供灵活性。
应用识别模块可以作为订阅者,向消息代理发送对特定发布者模块特定协议预处理需求,又可以作为发布者,监听消息代理上来自其他订阅者模块订阅的应用识别请求,并在完成应用识别后,将符合应用识别需求的数据的访问权限发布出去。
回调接口模块支持对外提供回调功能,外部***可以调用该模块向消息代理提交对特定发布者的订阅,例如直接向日志响应模块完成相应的日志、告警或自动响应动作的订阅。同时,该模块也可以对接第三方的发布者实现逻辑。
事件注册模块支持多种事件的注册请求,向消息代理发送对特定发布者模块特定协议的重组或跟踪需求,并在处理完毕后将结果数据发布出去。
对于一个具体的待检测攻击流程:要求客户端发起一个TCP请求session1,并获取一个handle1;在下一次发起的TCP请求session2中,携带handle1+payload完成攻击,其中payload=f(handle1)。
在检测上述攻击时,创建协议特征的应用指纹:基于Client与Server交互的协议特征创建合法协议的应用指纹,定义为AppSig1。创建rule1,rule2并编译运行,其语义表达如下:Rule1:规则将携带AppSig1,要求AppSig1匹配成功后抽出(Extract)其handle1的特征,定义为pattern_handle1,并定义跨TCP流跟踪Track1;Rule2:规则将携带AppSig1,要求在匹配到payload=f(handle1)特征时,且Track1存在时,进行告警。
基于规则rule1,检测引擎注册识别AppSig1的Subscribe,应用识别模块检测到AppSig1的匹配后将数据流data_stream1发布至消息代理,检测引擎基于规则rule1对data_stream1进行匹配检测,一旦匹配成功,通过事件注册模块注册一个跨TCP流的跟踪的Subscribe,定义为Track1。应用识别模块检测到AppSig1的匹配后继续将数据流data_streamX发布到Broker,检测引擎基于规则rule2对data_streamX检测匹配成功,且发现Track1存在,且源IP、目的IP、源端口及目的端口四元组保持一致,则触发告警。
下面对本申请实施例提供的一种攻击检测装置进行介绍,下文描述的一种攻击检测装置与上文描述的一种攻击检测方法可以相互参照。
参见图4,根据一示例性实施例示出的一种攻击检测装置的结构图,如图4所示,包括:
第一确定模块401,用于确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;
匹配模块402,用于从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;
第二确定模块403,用于将下一个TCP流对应的检测规则确定为目标检测规则,并重新启动所述匹配模块的工作流程;
判定模块404,用于当匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流时,判定存在目标攻击行为。
本申请实施例提供的攻击检测装置,为目标攻击行为中的每个TCP流分别制定检测规则,对接收到的数据流依此匹配检测规则,当匹配到所有检测规则时,判定存在目标攻击行为。由此可见,本申请实施例提供的攻击检测装置,实现一种跨TCP的多条检测规则环环相扣的模式,从而准确表述横跨多个TCP流的攻击流程,有效提升规则表述准确性和可用性,进而提高了攻击检测的准确度。
在上述实施例的基础上,作为一种优选实施方式,还包括:
创建模块,用于基于所述目标攻击行为交互双方之间的协议特征创建应用指纹;
相应的,所述第一确定模块包括:
第一确定单元,用于确定目标攻击行为中每个TCP流对应的检测规则;
获取单元,用于接收数据流,并从所述数据流中匹配符合所述应用指纹的基础数据流;
第二确定单元,用于将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则。
在上述实施例的基础上,作为一种优选实施方式,还包括:
判断模块,用于当匹配到符合目标TCP流对应的目标检测规则的目标数据流时,判断是否存在目标跟踪,若是,则启动所述匹配模块402的工作流程;其中,所述目标TCP流为所述目标攻击行为中除所述第一个TCP流之外的TCP流,所述目标跟踪为第二订阅方在所述检测引擎匹配到符合所述第一个TCP流对应的目标检测规则的目标数据流时,在所述消息代理中注册的所述目标攻击行为对应的跟踪。
在上述实施例的基础上,作为一种优选实施方式,所述判断模块具体为当匹配到符合目标TCP流对应的目标检测规则的目标数据流时,判断所述目标TCP流与所述第一个TCP流的通信信息是否一致;若是,则判定存在所述目标跟踪的模块。
在上述实施例的基础上,作为一种优选实施方式,还包括:
计算模块,用于基于所述第一个TCP流的通信信息按照预设计算规则计算所述目标跟踪的跟踪标识;
相应的,所述判断模块具体为当匹配到符合目标TCP流对应的目标检测规则的目标数据流时,基于所述目标TCP流的通信信息按照所述预设计算规则计算所述目标跟踪的目标跟踪标识;判断所述目标跟踪标识是否存在;若是,则判定存在所述目标跟踪的模块。
在上述实施例的基础上,作为一种优选实施方式,所述通信信息包括源IP地址、目的IP地址、源端口和目的端口。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请还提供了一种电子设备,参见图5,本申请实施例提供的一种电子设备500的结构图,如图5所示,可以包括处理器11和存储器12。该电子设备500还可以包括多媒体组件13,输入/输出(I/O)接口14,以及通信组件15中的一者或多者。
其中,处理器11用于控制该电子设备500的整体操作,以完成上述的攻击检测方法中的全部或部分步骤。存储器12用于存储各种类型的数据以支持在该电子设备500的操作,这些数据例如可以包括用于在该电子设备500上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件13可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器12或通过通信组件15发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口14为处理器11和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件15用于该电子设备500与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件15可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备500可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的攻击检测方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述攻击检测方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器12,上述程序指令可由电子设备500的处理器11执行以完成上述的攻击检测方法。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种攻击检测方法,其特征在于,应用于检测引擎,包括:
确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;
从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;
将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入从所述基础数据流中匹配符合所述目标检测规则的目标数据流的步骤;
若匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为。
2.根据权利要求1所述攻击检测方法,其特征在于,所述确定目标攻击行为中每个TCP流对应的检测规则之前,还包括:
基于所述目标攻击行为交互双方之间的协议特征创建应用指纹;
相应的,所述获取基础数据流,包括:
接收数据流,并从所述数据流中匹配符合所述应用指纹的基础数据流。
3.根据权利要求1所述攻击检测方法,其特征在于,还包括:
若匹配到符合目标TCP流对应的目标检测规则的目标数据流,则判断是否存在目标跟踪;其中,所述目标TCP流为所述目标攻击行为中除所述第一个TCP流之外的TCP流,所述目标跟踪为第二订阅方在所述检测引擎匹配到符合所述第一个TCP流对应的目标检测规则的目标数据流时,在所述消息代理中注册的所述目标攻击行为对应的跟踪;
若是,则执行所述将下一个TCP流对应的检测规则确定为目标检测规则的步骤。
4.根据权利要求3所述攻击检测方法,其特征在于,所述判断是否存在目标跟踪,包括:
判断所述目标TCP流与所述第一个TCP流的通信信息是否一致;
若是,则判定存在所述目标跟踪。
5.根据权利要求3所述攻击检测方法,其特征在于,在所述消息代理中注册的所述目标攻击行为对应的跟踪之后,还包括:
基于所述第一个TCP流的通信信息按照预设计算规则计算所述目标跟踪的跟踪标识;
相应的,所述判断是否存在目标跟踪,包括:
基于所述目标TCP流的通信信息按照所述预设计算规则计算所述目标跟踪的目标跟踪标识;
判断所述目标跟踪标识是否存在;
若是,则判定存在所述目标跟踪。
6.根据权利要求4或5所述攻击检测方法,其特征在于,所述通信信息包括源IP地址、目的IP地址、源端口和目的端口。
7.一种攻击检测装置,其特征在于,应用于检测引擎,包括:
第一确定模块,用于确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;
匹配模块,用于从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;
第二确定模块,用于将下一个TCP流对应的检测规则确定为目标检测规则,并重新启动所述匹配模块的工作流程;
判定模块,用于当匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流时,判定存在目标攻击行为。
8.根据权利要求7所述攻击检测装置,其特征在于,还包括:
创建模块,用于基于所述目标攻击行为交互双方之间的协议特征创建应用指纹;
相应的,所述第一确定模块包括:
第一确定单元,用于确定目标攻击行为中每个TCP流对应的检测规则;
获取单元,用于接收数据流,并从所述数据流中匹配符合所述应用指纹的基础数据流;
第二确定单元,用于将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述攻击检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述攻击检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010278746.4A CN111510446B (zh) | 2020-04-10 | 2020-04-10 | 一种攻击检测方法、装置及电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010278746.4A CN111510446B (zh) | 2020-04-10 | 2020-04-10 | 一种攻击检测方法、装置及电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111510446A CN111510446A (zh) | 2020-08-07 |
| CN111510446B true CN111510446B (zh) | 2022-03-22 |
Family
ID=71864783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010278746.4A Active CN111510446B (zh) | 2020-04-10 | 2020-04-10 | 一种攻击检测方法、装置及电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111510446B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465742B (zh) * | 2020-11-10 | 2023-05-02 | 华为技术有限公司 | 网络安全防护方法以及防护设备 |
| CN113297577B (zh) * | 2021-06-16 | 2024-05-28 | 深信服科技股份有限公司 | 一种请求处理方法、装置、电子设备及可读存储介质 |
| CN113596043B (zh) * | 2021-08-03 | 2023-03-24 | 中国电信股份有限公司 | 攻击检测方法、攻击检测装置、存储介质与电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
| CN108809926A (zh) * | 2017-12-25 | 2018-11-13 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
-
2020
- 2020-04-10 CN CN202010278746.4A patent/CN111510446B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
| CN108809926A (zh) * | 2017-12-25 | 2018-11-13 | 北京安天网络安全技术有限公司 | 入侵检测规则优化方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 一种可抗TCP Flooding攻击的网络流量监测机制;宋春玉等;《计算机***应用》;20130615(第06期);178-180 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111510446A (zh) | 2020-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111510446B (zh) | 一种攻击检测方法、装置及电子设备和存储介质 | |
| US9553918B1 (en) | Stateful and stateless cookie operations servers | |
| CN109246064B (zh) | 安全访问控制、网络访问规则的生成方法、装置及设备 | |
| US8577829B2 (en) | Extracting information from unstructured data and mapping the information to a structured schema using the naïve bayesian probability model | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| CN110798488B (zh) | Web应用攻击检测方法 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN104980402B (zh) | 一种识别恶意操作的方法及装置 | |
| CN109618176B (zh) | 一种直播业务的处理方法、设备和存储介质 | |
| KR101496632B1 (ko) | 안심 콘텐츠 서비스를 위한 시스템 및 이를 위한 방법 | |
| CN110955395A (zh) | 打印***的风险评估方法、装置及存储介质 | |
| KR20190033170A (ko) | 어뷰저 탐지 | |
| CN110113315A (zh) | 一种业务数据的处理方法及设备 | |
| CN112202661A (zh) | 会话消息处理方法、装置、计算机设备以及存储介质 | |
| CN108668241B (zh) | 信息提醒方法、装置、存储介质及电子设备 | |
| CN113344453A (zh) | 一种风险监控方法、装置、***、存储介质和设备 | |
| CN114598671B (zh) | 会话消息处理方法、装置、存储介质以及电子设备 | |
| CN110955905A (zh) | 基于区块链的资产转移方法、装置、设备及可读存储介质 | |
| CN114185743A (zh) | 一种数据处理方法、装置、计算机设备和存储介质 | |
| CN107846381A (zh) | 网络安全处理方法及设备 | |
| CN109831417B (zh) | 防骚扰处理帐号的方法、装置、服务器及存储介质 | |
| CN112182520B (zh) | 非法账号的识别方法、装置、可读介质及电子设备 | |
| CN113779437A (zh) | 隐私检测方法及装置、计算机可存储介质 | |
| US20170279777A1 (en) | File signature system and method | |
| CN110750735A (zh) | 基于区块链网络的虚假事件识别方法、装置、设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |