CN111628990A - 识别攻击的方法、装置和服务器 - Google Patents
识别攻击的方法、装置和服务器 Download PDFInfo
- Publication number
- CN111628990A CN111628990A CN202010445966.1A CN202010445966A CN111628990A CN 111628990 A CN111628990 A CN 111628990A CN 202010445966 A CN202010445966 A CN 202010445966A CN 111628990 A CN111628990 A CN 111628990A
- Authority
- CN
- China
- Prior art keywords
- attack
- historical
- record
- target server
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种识别攻击的方法、装置和服务器,包括:从目标服务器的日志数据中提取指定数据;通过预设的情报库搜索与指定数据相匹配的历史攻击记录;如果搜索到与指定数据相匹配的历史攻击记录,根据搜索到的历史攻击记录确定目标服务器是否被攻击;如果搜索不到与指定数据相匹配的历史攻击记录,通过预设的攻击匹配规则确定目标服务器是否被攻击。该方式中,通过搜索包含有历史攻击记录的情报库,可以较为全面的识别各类攻击手段,再结合匹配攻击匹配规则的方式,进一步降低了攻击识别的漏报率,提高了各类攻击手段的识别覆盖率,进而提高了攻击识别效果,保障了网站运行的安全性。
Description
技术领域
本发明涉及互联网技术领域,尤其是涉及一种识别攻击的方法、装置和服务器。
背景技术
由于安全意识不足或安全防护能力不足等原因,网站经常遭受到黑客的攻击,导致网站损失惨重;比如网站的服务器可能会带宽耗尽、网站被挂上非法页面或非法链接、被篡改数据、负载剧增等;网站的服务器还可能会被种植脚本木马、被远程控制、勒索、挖矿等。常见的黑客的攻击手段主要包括SQL注入攻击、XSS跨站脚本攻击、代码执行攻击、XXE漏洞攻击、文件上传攻击、文件包含攻击、目录扫描攻击、CC攻击、挖矿病毒攻击等。
相关技术中,为了应对上述各种攻击手段,通常会分析网站服务器的运行日志,具体可以通过过滤静态资源文件,以及判断来源IP访问网页页面的次数是否超过阈值来识别网站服务器是否受到攻击;但是该方式仅能识别一部分攻击手段,如CC攻击等,对于其他类型的攻击手段,识别效果较差,导致攻击识别的漏报率较高,网站安全性较低。
发明内容
本发明的目的在于提供一种识别攻击的方法、装置和服务器,以降低攻击识别的漏报率,提高各类攻击手段的识别覆盖率,进而提高攻击识别效果,保障网站运行的安全性。
第一方面,本发明提供的一种识别攻击的方法,该方法包括:从目标服务器的日志数据中提取指定数据;通过预设的情报库搜索与指定数据相匹配的历史攻击记录;如果搜索到与指定数据相匹配的历史攻击记录,根据搜索到的历史攻击记录确定目标服务器是否被攻击;如果搜索不到与指定数据相匹配的历史攻击记录,通过预设的攻击匹配规则确定目标服务器是否被攻击。
进一步的,指定数据包括目标服务器接收到的访问请求的地址信息;情报库中记录有历史攻击记录;历史攻击记录包括产生过攻击行为的地址信息;通过预设的情报库搜索与指定数据相匹配的历史攻击记录的步骤,包括:从情报库中,搜索包含有指定数据中的地址信息的历史攻击记录;如果搜索到包含有指定数据中的地址信息的历史攻击记录,确定搜索到与指定数据相匹配的历史攻击记录。
进一步的,根据搜索到的历史攻击记录确定目标服务器是否被攻击的步骤,包括:获取搜索到的历史攻击记录的状态信息;状态信息用于指示:历史攻击记录有效,或者历史攻击记录无效;如果历史攻击记录有效,确定目标服务器被攻击。
进一步的,上述方法还包括:如果历史攻击记录无效,通过预设的攻击匹配规则确定目标服务器是否被攻击。
进一步的,攻击匹配规则包括:多种攻击类型、以及每种攻击类型对应的攻击检测规则;通过预设的攻击匹配规则确定目标服务器是否被攻击的步骤,包括:将目标服务器的日志数据逐一与每种攻击类型对应的攻击检测规则相匹配,如果存在与日志数据匹配成功的攻击检测规则,确定目标服务器被攻击。
进一步的,攻击匹配规则还包括:每种攻击类型对应的攻击等级和攻击行为;其中,攻击等级包括多级;攻击行为包括攻击或扫描;上述方法还包括:如果存在与日志数据匹配成功的攻击检测规则,获取与日志数据匹配成功的攻击检测规则对应的攻击类型;将获取到的攻击类型确定为目标服务器被攻击的攻击类型;将获取到的攻击类型对应的攻击等级和攻击行为,确定为目标服务器被攻击的攻击等级和攻击行为。
进一步的,该方法还包括:如果存在与日志数据匹配成功的攻击检测规则,从日志数据中提取与攻击匹配规则相匹配的访问请求的地址信息;根据提取出的访问请求的地址信息生成历史攻击记录,将生成的历史攻击记录更新至情报库。
进一步的,从目标服务器的日志数据中提取指定数据的步骤,包括:从目标服务器中获取日志源数据;从日志源数据中提取指定字段对应的字段内容,将提取出的字段内容保存至预设的数据库。
第二方面,本发明提供的一种识别攻击的装置,该装置包括:数据提取模块,用于从目标服务器的日志数据中提取指定数据;记录搜索模块,用于通过预设的情报库搜索与指定数据相匹配的历史攻击记录;记录确定攻击模块,用于如果搜索到与指定数据相匹配的历史攻击记录,根据搜索到的历史攻击记录确定目标服务器是否被攻击;规则确定攻击模块,用于如果搜索不到与指定数据相匹配的历史攻击记录,通过预设的攻击匹配规则确定目标服务器是否被攻击。
第三方面,本发明提供的一种服务器,包括处理器和存储器,存储器存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现第一方面任一实施方式的识别攻击的方法。
第四方面,本发明提供的一种机器可读存储介质,机器可读存储介质存储有机器可执行指令,机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现第一方面任一实施方式的识别攻击的方法。
本发明实施例带来了以下有益效果:
本发明实施例提供了一种识别攻击的方法、装置和服务器,预设的情报库中记录有各类攻击手段的历史攻击记录,在进行攻击识别时可以首先通过搜索情报库确定目标服务器是否被攻击;如果从情报库中搜索不到相应的历史攻击记录,再通过匹配攻击匹配规则的方式确定目标服务器是否被攻击。该方式中,通过搜索包含有历史攻击记录的情报库,可以较为全面的识别各类攻击手段,再结合匹配攻击匹配规则的方式,进一步降低了攻击识别的漏报率,提高了各类攻击手段的识别覆盖率,进而提高了攻击识别效果,保障了网站运行的安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种攻击的确定方法流程图;
图2为本发明实施例提供的一种识别攻击的方法流程图;
图3为本发明实施例提供的另一种识别攻击的方法流程图;
图4为本发明实施例提供的另一种识别攻击的方法流程图;
图5为本发明实施例提供的另一种识别攻击的方法流程图;
图6为本发明实施例提供的另一种识别攻击的方法流程图;
图7为本发明实施例提供的另一种识别攻击的方法流程图;
图8为本发明实施例提供的一种识别攻击的装置结构示意图;
图9为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前常见的黑客攻击主要包括SQL(Structured Query Language,结构化查询语言)注入攻击、XSS(也称为CSS,Cross Site Script attack,跨站脚本攻击)跨站脚本攻击、代码执行攻击、XXE(XML eXternal Entity injection)漏洞攻击、文件上传攻击、文件包含攻击、目录扫描攻击、CC(Challenge Collapsar,挑战黑洞)攻击、挖矿病毒攻击等。
其中,SQL注入攻击是指攻击者通过执行恶意SQL,控制网站的数据库服务器,进而可以在未经授权的情况下,访问、修改或者删除网站中的各种数据,在其权限足够大的情况下,可以控制网站服务器的授权权限。
XSS跨站脚本指的是攻击者将恶意Script代码***到网站的页面中,当用户浏览该页面时,嵌入该网站的Script代码将会被执行,从而达到恶意攻击用户的目的。其中,XSS跨站脚本主要分为反射型攻击和存储型攻击。
代码执行攻击通常是指应用程序在调用能够将字符串转换为代码的函数时,没有考虑用户是否控制该字符串,进而造成代码执行漏洞。如,调用PHP(PHP:HypertextPreprocessor,超文本预处理器)中的eval函数。
XXE漏洞攻击也可以称为XML(eXtensible Markup Language,可扩展标记语言)外部实体注入漏洞攻击,通常是指XML文件在引用外部实体时,应用程序并未做安全校验,恶意攻击者可通过此缺陷构造恶意内容,进而执行危险操作,如,任意文件读取,命令执行和攻击对内网网站等操作。
文件上传攻击通常是指应用程序代码未对上传的文件进行严格的验证和过滤,导致恶意攻击者可以利用网站应用对上传的文件过滤不严格,上传应用程序定义类型范围之外的文件到Web(World Wide Web,全球广域网)服务器,任意向该服务器上传可执行的恶意脚本文件。比如,上传的文件可以是木马、病毒、恶意脚本或WebShell等,其中WebShell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境。
文件包含攻击中的文件包含一般是指,程序开发人员通常会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用该文件,无需再次编写,这种文件调用的过程一般被称为文件包含。但是程序开发人员通常会希望代码更灵活,所以会将被包含的文件设置为变量,用来进行动态调用,由于这种灵活性,导致客户端可以调用一个恶意文件,造成文件包含漏洞。因此攻击者可以利用该漏洞,构造含有恶意的文件,对网站服务器进行攻击。上述文件包含可以分为本地文件包含和远程文件包含。需要注意的是,文件包含本身不是漏洞,和文件上传一样,它本身不是漏洞,而只是攻击者利用了其文件调用过程中,调用包含的恶意文件。
目录扫描攻击通常是指恶意攻击者利用脚本或辅助工具对目标站点路径进行暴力枚举,通常利用head请求,达到目录扫描攻击的目的。
CC攻击可以归为DDoS(Distributed Denial of Service attack,分布式拒绝服务攻击)攻击的一种,是一种连接攻击,通常是指通过发送大量的请求数据,导致服务器拒绝服务。CC攻击又可分为代理CC攻击和肉鸡CC攻击。
挖矿病毒目前已经成为攻击者利用最为频繁的攻击方式之一。挖矿病毒是指恶意攻击者利用程序或***漏洞,对个人电脑或服务器进行控制,进而进行挖矿,被挖矿的个人电脑或服务器的具体的现象为:电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等。
针对上述的各种攻击手段,下面描述一种相关技术中采用的识别攻击的方式,参考图1所示的攻击的确定方法流程图,具体包括如下步骤:
步骤S102,读取最新的web访问日志;
上述最新的web访问日志可以是服务器最近时间段所记录的访问文件,比如近一分钟的访问日志。
步骤S104,判断最新的web访问日志中是否包含静态资源文件;
上述静态资源文件通常是指由JS(JavaScript,一种编程语言)、CSS(CascadingStyle Sheets,层叠样式表)等非服务器动态运行生成的脚本文件或样式文件,还可以是图片或者LOGO商标等。一般情况下具有攻击行文的访问请求不会请求加载静态资源文件,如果访问日志中包含有上述静态资源文件,则说明该IP地址属于正常访问,不属于恶意攻击,不作处理。
步骤S106,如果不包含静态资源文件,获取新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值;
上述IP地址通常是指,访问者的IP地址,上述页面请求数可以是同一个IP地址访问同一页面的请求次数。上述阈值可以根据具体需求设定。具体的,正常的单个IP地址访问页面的请求数,不会超过阈值,如果超过阈值说明该IP地址的访问为恶意攻击。如果没有超过阈值,说明不存在恶意攻击,不作处理。
步骤S108,如果单个IP地址的页面请求数超过阈值,确定IP地址的访问为恶意攻击;
将页面请求数超过阈值的IP地址,确定为恶意攻击的源地址。
上述方法首先通过判断web访问日志中是否包含静态资源文件,初步识别IP地址的访问是否为恶意攻击,然后根据判断结果,继续IP地址的页面请求数,根据页面请求数的大小,确定该IP地址是否为恶意攻击。该方式中,识别方式较为单一,识别的攻击种类不够全面,对于已知的已经明确的CC攻击可能会取得比较好的识别效果,但是对于其他恶意攻击行为的识别,没有任何的识别作用和效果,识别内容也较为宽泛,比如,通过漏洞进行恶意挖矿、通过SQL注入攻击进行脱裤等攻击行为。因此目前的方法在广度和深度上存在着较大的局限性。
另外,传统的攻击识别方法,通常是利用正则表达式匹配或关键字匹配方法,进行Web日志恶意行为分析,该方法通常会遗漏某些恶意攻击行为,如,恶意攻击者避开关键字,采用各种编码技术绕过(bypass)关键字,或者传统的攻击识别方法中,恶意攻击者通常利用容器默认配置的属性,容器在默认配置不能完全记录访问日志,比如,恶意攻击者只进行POST(POST:向指定的资源提交要被处理的数据)恶意数据请求,其中Web容器默认配置情况下不记录POST请求数据包,因此会使攻击识别漏报。
基于此,本发明实施例提供了一种识别攻击的方法、装置和服务器,该技术可以应用于网站等各类***的防攻击场景中,该技术可以采用相关的软件和硬件实现,下面通过实施例进行描述。为便于对本实施例进行理解,首先对本发明实施例所公开的一种识别攻击的方法进行详细介绍。
首先,本发明实施例提供了一种识别攻击的方法,如图2所示,该方法的执行主体可以是各种基于互联网的电子设备、服务器等,包括如下步骤:
步骤S202,从目标服务器的日志数据中提取指定数据;
上述目标服务器可以是在网络中为其它客户机提供计算或者应用服务的设备,该设备可以运行如网站***、管理***、交易***等。上述日志数据可以是服务器在运行过程中,当其他客户端访问该服务器时,服务器记录的访问信息,通常包含访问事件的记录文件或文件集合。记录的日志数据具有处理历史数据、诊断问题的追踪以及理解***的活动等重要作用。其中每个日志数据通常记录有页面请求的历史记录,包括请求的日期、时间、使用者及动作等相关操作的描述。上述指定数据可以是日志数据中某个或某几个特定类型的数据,如访问请求地址、访问请求时间等。具体的,可以根据使用者的需求,需要分析哪个服务器是否被攻击,就可以从该服务器的日志数据中提取指定数据。
步骤S204,通过预设的情报库搜索与指定数据相匹配的历史攻击记录;
上述预设的情报库的运行设备可以与执行当前方法的设备相同,也可以不同。如果设备不同,可以通过预设的访问接口对情报库进行访问并搜索相关记录。上述预设的情报库通常记录有历史攻击记录,可以通过人工进行记录,也可以通过应用程序自动记录,上述历史攻击记录可以包括历史的某段时间内,对服务器产生过恶意攻击的数据,其中可以包括发出恶意攻击的源地址、攻击时间、攻击手段等信息。预设的情报库中的历史攻击记录信息通常在预设的时间段内会进行更新,更新的信息可以是在情报库中,增加这段时间内新的攻击记录,其中预设的时间段,可以是半天或者一天,由于服务器所记录的日志数据随着时间在不断的实时更新,情报库记录的是日志数据中的攻击数据,因此为了保证情报库的有效性,其更新的时间段通常不超过一天。
上述搜索匹配过程可以是,将指定数据与预设的情报库中记录的数据,逐条进行匹配,可以利用相关计算的方法进行匹配。具体的,可以将指定数据包含的数据信息,与情报库中的历史攻击记录包含的数据信息,逐条进行相关性计算,得到每个历史攻击记录与指定数据的相关值,如果当前相关值大于预设阈值,提取当前相关值对应的历史攻击记录,进而得到与指定数据相匹配的历史攻击记录。其中,预设阈值可以根据具体需求设定。
步骤S206,如果搜索到与指定数据相匹配的历史攻击记录,根据搜索到的历史攻击记录确定目标服务器是否被攻击;
作为示例,上述指定数据可以是从日志数据中提取的访问源地址,将该访问源地址与情报库中记录的每条历史攻击记录中的访问源地址进行匹配,如果情报库中记录有该访问源地址相关的历史共计记录,则说明该目标服务器被攻击。
另外,上述搜索到的历史攻击记录通常还包含有其他各种攻击信息,比如,攻击时间、攻击操作、状态信息等,可以通过分析上述攻击信息,确定上述历史攻击记录是否有效,从而确定目标服务器是否被攻击。例如,可以根据上述历史攻击记录的状态信息,确定历史攻击记录是否有效;其他可能的方式中,也可以分析攻击时间,与当前时间的时间差,通过时间差的大小确定该历史攻击记录的攻击情报是否有效,或者可以分析攻击操作,判断当前***是否针对该操作已经设置了防火墙或者其他防御操作,确定该历史攻击记录是否有效。
步骤S208,如果搜索不到与指定数据相匹配的历史攻击记录,通过预设的攻击匹配规则确定目标服务器是否被攻击。
在预设的情报库中搜索不到与指定数据相匹配的历史攻击记录,可以理解为上述预设的情报库中没有记录与该指定数据相关的历史攻击记录。上述情报库可以发送匹配失败的指令,以使上述攻击匹配规则进行下一步的匹配操作。上述预设的攻击匹配规则可以记录有各种攻击信息,比如,攻击类型、攻击规则、攻击等级和行为判定等信息,上述记录的信息可以是人为定义的,比如攻击等级,可以人为的根据攻击的威胁性设置相应的等级。具体的,可以将目标服务器中的日志数据,与上述攻击匹配规则记录的信息进行匹配,如果该日志数据与攻击匹配规则匹配成功,则可以确定目标服务器被攻击。
本发明实施例提供的一种识别攻击的方法,该方法将服务器中日志数据的进行提取,生成各类攻击手段的历史攻击记录,记录在预设的情报库中,在进行攻击识别时可以首先通过搜索情报库,确定目标服务器是否被攻击;如果从情报库中搜索不到与所述指定数据相匹配的历史攻击记录,再通过匹配预设的攻击匹配规则的方式,确定目标服务器是否被攻击。该方式中,通过搜索包含有历史攻击记录的情报库,可以较为全面的识别各类攻击手段,再结合匹配攻击匹配规则的方式,进一步降低了攻击识别的漏报率,提高了各类攻击手段的识别覆盖率,进而提高了攻击识别效果,保障了网站运行的安全性。
本发明实施例提供了另一种识别攻击的方法,该方法在上述实施例方法的基础上实现;本实施例中,上述指定数据包括目标服务器接收到的访问请求的地址信息;情报库中记录有历史攻击记录;该历史攻击记录包括产生过攻击行为的地址信息。该方法重点描述通过预设的情报库搜索与指定数据相匹配的历史攻击记录的步骤具体实现过程(通过步骤S304实现),如图3所示,该方法包括如下步骤:
步骤S302,从目标服务器的日志数据中提取指定数据;
步骤S304,从情报库中,搜索包含有该指定数据中的地址信息的历史攻击记录;
指定数据中的地址信息可以是访问者的源地址信息,如IP(Internet Protocol,网际互连协议)地址信息,通常为日志数据中的必要数据,因此可以将搜索历史攻击记录中包含的地址信息作为识别的第一步,以提高搜索的效率;如果在初始状态下,直接将日志数据与预设的攻击匹配规则进行匹配,识别效率会较低,同时可能会遗漏一些重要敏感的信息。因此首先在情报库中搜索包含有指定数据中地址信息的历史攻击记录,则可以高效的确定从情报库中搜索到与指定数据相匹配的历史攻击记录。
步骤S306,如果搜索到包含有该指定数据中的地址信息的历史攻击记录,根据搜索到的历史攻击记录确定目标服务器是否被攻击。
步骤S308,如果搜索不到与该指定数据相匹配的历史攻击记录,通过预设的攻击匹配规则确定目标服务器是否被攻击。
本发明实施例提供的另一种识别攻击的方法,通过提取指定数据中的地址信息,与情报库中包含的历史攻击记录中的地址信息进行匹配,如果搜索到包含有指定数据中的地址信息的历史攻击记录,确定搜索到与指定数据相匹配的历史攻击记录;该方法中,与传统的识别方式不同,初始状态下并没有直接利用攻击匹配规则进行逐条匹配,而是先提取日志数据中的必要数据请求的地址信息,与情报库进行数据联动分析,提高了识别的效率,同时能够识别出重要敏感信息,避免了攻击识别的漏报问题。
本发明实施例提供了另一种识别攻击的方法,该方法在上述实施例方法的基础上实现;该方法重点描述根据搜索到的历史攻击记录确定目标服务器是否被攻击的步骤具体实现过程(通过步骤S408-S414实现),如图4所示,该方法包括如下步骤:
步骤S402,从目标服务器的日志数据中提取指定数据;
步骤S404,从情报库中,搜索包含有该指定数据中的地址信息的历史攻击记录;
步骤S406,确定是否搜索到包含有该指定数据中的地址信息的历史攻击记录;如果搜索到包含有该指定数据中的地址信息的历史攻击记录,执行步骤S408;如果搜索不到包含有该指定数据中的地址信息的历史攻击记录,执行步骤S414;
步骤S408,获取搜索到的历史攻击记录的状态信息;该状态信息用于指示:历史攻击记录有效,或者历史攻击记录无效;
由于情报库中包含有较多的历史攻击记录,这些历史攻击记录并不是全部有效。因此情报库可以根据当前时间,以及每个历史攻击记录对应的攻击时间,确定该历史攻击记录是否有效,其中攻击时间一般是指服务器接收到攻击者访问请求的时间,也可以是指搜索操作之前最近一次的攻击时间;因此上述历史攻击记录通常包含有,根据对应的攻击时间确定的该攻击的状态信息,该信息状态有两种指示,一种是该历史攻击记录有效,另一种是该历史攻击记录无效。
比如,从情报库中,搜索到的与指定数据相匹配的历史攻击记录,该记录对应的攻击时间是2018年1月1日,也就是说,攻击者在2018年1月1日对目标服务器进行了攻击。情报库可以根据该攻击时间确定该历史攻击记录是否有效,进而设置相应的状态信息,以指示该历史攻击记录是否有效。如果来自同一地址信息的攻击行为多次对目标服务器进行攻击,情报库中也可以记录有每次进行攻击的攻击时间、攻击行为等,从而根据每次记录的攻击时间更新对应的历史攻击记录的状态信息。
步骤S410,根据上述状态信息确定上述历史攻击记录是否有效;如果历史攻击记录有效,执行步骤S412;如果历史攻击记录无效,执行步骤S414;
步骤S412,确定目标服务器被攻击;结束。
如果根据状态信息确定搜索出的历史攻击记录有效,则说明该地址信息有效,可确定目标服务器被攻击,并输出识别结果,可以包括识别的攻击类型、行为、等级等结果。
针对识别出的有效的地址信息,可以与防火墙和Waf(应用防护***)联动,对该地址信息进行源地址封禁等操作,避免该地址的攻击数据再次攻击目标服务器。同时将情报库中记录的与该地址信息相匹配的历史攻击记录对应的最新攻击时间更新为当前时间,即将2019年10月1日更新为2019年12月1日,避免由于攻击时间没有及时更新,将一些历史攻击记录设置为无效记录,降低识别的准确率。
步骤S414,通过预设的攻击匹配规则确定目标服务器是否被攻击;结束。
如果搜索不到包含有该指定数据中的地址信息的历史攻击记录,或者根据状态信息确定搜索出的历史攻击记录无效,说明通常不可以依据该历史攻击记录确定目标服务器被攻击。此时可以通过预设的攻击匹配规则确定目标服务器是否被攻击。具体的,可以将目标服务器中的日志数据,与上述攻击匹配规则记录的信息进行匹配,如果匹配成功,则可以确定目标服务器被攻击。对于上述无效的历史攻击记录,一般可以建立单独的失效情报库,将失效的数据单独记录在此失效情报库。
该方式中,通过提取搜索出的历史攻击记录的状态信息,确定搜索出的历史攻击记录是否有效,如果有效则输出识别结果,确定服务器被攻击,同时将识别出的历史攻击记录对应攻击时间更新为当前时间,可以保证情报库的实时性和有效性;如果无效则通过匹配攻击匹配规则的方式,确定目标服务器是否被攻击,通过设置攻击匹配规则,逐步对攻击进行识别,该方式通过搜索包含有历史攻击记录的情报库,进行数据联动分析,可以较为全面的识别各类攻击手段,再结合匹配攻击匹配规则的方式,逐步对各类攻击进行识别,可以多维度、精准、全面地识别日志数据中的攻击行为。进一步降低了攻击识别的漏报率,提高了各类攻击手段的识别覆盖率,进而提高了攻击识别效果,保障了网站运行的安全性。
本发明实施例提供了另一种识别攻击的方法,该方法在上述实施例方法的基础上实现;上述攻击匹配规则包括:多种攻击类型、以及每种攻击类型对应的攻击检测规则;该方法重点描述通过预设的攻击匹配规则确定目标服务器是否被攻击的步骤具体实现过程(通过步骤S514实现),如图5所示,该方法包括如下步骤:
步骤S502,从目标服务器的日志数据中提取指定数据;
步骤S504,从情报库中,搜索包含有该指定数据中的地址信息的历史攻击记录;
步骤S506,确定是否搜索到包含有该指定数据中的地址信息的历史攻击记录;如果搜索到包含有该指定数据中的地址信息的历史攻击记录,执行步骤S508;如果搜索不到包含有该指定数据中的地址信息的历史攻击记录,执行步骤S514;
步骤S508,获取搜索到的历史攻击记录的状态信息;状态信息用于指示:历史攻击记录有效,或者历史攻击记录无效;
步骤S510,根据上述状态信息确定上述历史攻击记录是否有效;如果历史攻击记录有效,执行步骤S512;如果历史攻击记录无效,执行步骤S514;
步骤S512,确定目标服务器被攻击;结束。
步骤S514,将目标服务器的日志数据逐一与每种攻击类型对应的攻击检测规则相匹配,如果存在与日志数据匹配成功的攻击检测规则,确定目标服务器被攻击。
上述攻击类型可以是SQL注入攻击、XSS跨站脚本攻击、代码执行、命令执行、敏感文件、木马文件、备份文件、XXE漏洞攻击、文件上传攻击、文件包含攻击、文件下载攻击和后台扫描等类型。攻击类型内存储了丰富多样的攻击类型,每个类型对应的攻击检测规则可以由攻击规则正则表达式子类定义,通常针对上述攻击行为的检测规则可以定义一些具体检测规则,本实施例下述描述了部分攻击类型对应的攻击检测规则的内容,具体如下:
attackName=Struts2远程命令执行漏洞
attackRule=denyMethodExecution|allowStaticMethodAccess
attackName=SQL注入攻击
attackRule=(\w+)'|(\w+)%20and%20(\S+)|(\w+)%20or%20(\S+)|(\w+)=(\d+)-(\d+)|(\d+)>(\d+)|(\d+)<(\d+)|(\S)waitfor(\W+)delay(\S)|(\S)having(\W)|(\S)sleep(\W)|(\w)\+(\w)|(\w)\#|(\w)--|(\w)\/\*(\S)|(\w)\&\&(\W)|(\S)select(\W)|(\S)insert(\S+)into(\W)|(\S)delete(\W)|(\S)update(\W)|(\S)create(\W)|(\S)drop(\W)|(\S)exists(\W)|(\S)backup(\W)|(\S)order(\S+)by(\W)|(\S)group(\S+)by(\W)|(\S)exec(\S)|(\S)truncate(\S)|(\S)declare(\S)|(\S)@@version(\S)
attackName=XSS跨站脚本攻击
attackRule=(\S)%3C(\S+)%3E|(\S)%3C(\S+)%2F%3E|(\S+)<(\S+)>|(\S+)<(\S+)\/>|onerror|onmouse|expression|\"|alert|document\.|prompt\(
attackName=文件包含或路径遍历攻击
attackRule=/etc/passwd|\/%c0%ae%c0%ae|\/%2E%2E|boot\.ini|win\.ini|\.\.\/|access\.log|httpd\.conf|nginx\.conf|/proc/self/environ
attackName=木马文件
attackRule=\/cmd\.asp|\/diy\.asp|\.asp;|\/(\w+)\.(\w+)\/(\w+)\.php|\.php\.|eval\(|%eval|\.jsp?action=|fsaction=
attackName=敏感文件
attackRule=\/WEB-INF\/web\.xml|applicationContext\.xml|\/manager\/html|\/jmx-console\/|\.properties|\.class|phpinfo\.php|\/conn\.asp|\/conn\.php|\/conn\.jsp
因此可以通过上述定义的攻击检测规则,匹配目标服务器的日志数据,如果匹配结果显示存在与日志数据匹配的攻击检测规则,确定目标服务器被攻击。
进一步的,上述攻击匹配规则还包括:每种攻击类型对应的攻击等级和攻击行为;其中,攻击等级包括多级;攻击行为包括攻击或扫描;参见图6所示的另一种识别攻击的方法流程图,该方法还包括:
步骤S602,如果存在与日志数据匹配成功的攻击检测规则,获取与日志数据匹配成功的攻击检测规则对应的攻击类型;
步骤S604,将获取到的攻击类型确定为目标服务器被攻击的攻击类型;
步骤S606,将获取到的攻击类型对应的攻击等级和攻击行为,确定为目标服务器被攻击的攻击等级和攻击行为。
上述攻击等级可以针对攻击行为的风险情况定义,上述攻击行为包括攻击或扫描,其中,攻击通常是指,SQL注入攻击、XSS跨站脚本攻击、代码执行、命令执行、木马文件、XXE漏洞攻击、文件上传攻击、文件包含攻击和文件下载攻击等攻击行为;扫描通常是指,敏感文件、备份文件和后台扫描等扫描行为。作为示例,上述攻击等级可以设置为两级,包括等级1和等级2;可以根据上述攻击类型的严重程度,将上述每个攻击类型均设置相应的攻击等级;可以根据上述攻击类型的属性,将上述每个共计类型均设置相应的攻击行为。
在另外一种实现方式中,可以将攻击行为和攻击等级相关联,例如,当某个攻击类型的攻击行为是“攻击”时,该攻击类型的攻击等级为1;当某个攻击类型的攻击行为是“扫描”时,该攻击类型的攻击等级为2。因此确定目标服务器被攻击后,通常会输出的攻击结果,其攻击结果可以包括攻击类型、攻击等级和攻击行为;如果攻击等级是1,则代表该攻击类型的攻击行为是“攻击”,如果攻击等级是2,则代表该攻击类型的攻击行为是“扫描”。
由于攻击检测规则与攻击类型相对应,因此在目标服务器的日志数据中匹配成功了攻击检测规则后,可以通过攻击检测规则得到对应的攻击类型。可以将该攻击类型确定为目标服务器被攻击的攻击类型;同时可以获取到的攻击类型对应的攻击等级和攻击行为,确定为目标服务器被攻击的攻击等级和攻击行为,并输出攻击结果。
另外,如果存在与日志数据匹配成功的攻击检测规则,从日志数据中提取与攻击匹配规则相匹配的访问请求的地址信息;根据提取出的访问请求的地址信息生成历史攻击记录,将生成的历史攻击记录更新至情报库。
当利用攻击匹配规则识别出与日志数据相匹配的攻击检测规则,同时获取到攻击类型和与攻击类型对应的攻击等级和攻击行为。表示情报库中没有记录上述识别出的攻击记录,因此需要实时更新情报库中的历史攻击记录,以保证情报库中记录的历史攻击记录的有效性。一般可以从日志数据中提取与攻击匹配规则相匹配的访问请求的地址信息,将该信息作为历史攻击记录,更新至情报库。如果没有识别出与日志数据相匹配的攻击检测规则,则说明该数据没有异常,则进行放行操作,暂时不做处理。
该方式中,攻击匹配规则内设置有丰富多样的攻击类型,以及每种攻击类型对应的攻击检测规则,还有每种攻击类型对应的攻击等级和攻击行为;其中,攻击等级包括多级;攻击行为包括攻击或扫描;通过攻击匹配规则进行攻击识别,覆盖的攻击种类更全面、识别的结果更精准,同时输出攻击等级,使得攻击识别的维度更精准全面,降低了攻击识别的漏报率,提高了各类攻击手段的识别覆盖率,进而提高了攻击识别效果,保障了网站运行的安全性。
本发明实施例提供了另一种识别攻击的方法,该方法在上述实施例方法的基础上实现;该方法重点描述从目标服务器的日志数据中提取指定数据的步骤具体实现过程(通过步骤S702-S704实现),如图7所示,该方法包括如下步骤:
步骤S702,从目标服务器中获取日志源数据;
步骤S704,从该日志源数据中提取指定字段对应的字段内容,将提取出的字段内容保存至预设的数据库;
上述日志源数据通常记录了访问请求的所有相关数据;上述字段内容可以是,请求时间、服务器名称、客户端IP、请求方法、请求资源、服务器端口、服务器IP、浏览器信息、响应状态码、请求来源、响应长度和请求协议。
其中,上述请求方法包括多种方法,比如GET方法,表示请求指定的页面信息,并返回实体主体;HEAD方法,与GET请求类似,该方法返回的响应中没有具体的内容,用于获取报头;OPTIONS方法,允许客户端查看服务器的性能。上述请求资源可以是指访问请求的内容,比如,请求访问一个图片,该图片即是请求资源。上述响应状态码用以表示网页服务器超文本传输协议响应状态的三位数字代码,响应状态码通常有多种类型,比如消息、成功、重定向、请求错误等类型,消息类型代表请求已被接受,需要继续处理,成功类型代表请求已成功被服务器接收、理解、并接受,重定向类型代表需要客户端采取进一步的操作才能完成请求,请求错误类型代表客户端看起来可能发生了错误,妨碍了服务器的处理。上述请求协议可以指一个通信规则,规定了客户端发送至服务器的内容格式,一般包括请求方式、请求路径、协议和版本等信息。
上述预设的数据库可以为存储字段内容的数据库,比如Mysql数据库,通常通过一张表来存储字段内容。
步骤S706,通过预设的情报库搜索与指定数据相匹配的历史攻击记录;
步骤S708,如果搜索到与指定数据相匹配的历史攻击记录,根据搜索到的历史攻击记录确定目标服务器是否被攻击;
步骤S710,如果搜索不到与指定数据相匹配的历史攻击记录,通过预设的攻击匹配规则确定目标服务器是否被攻击。
该方式中,通过设置预设的数据库存储日志数据中的字段内容,可以方便提取日志数据中的指定字段数据,可以直接根据需要提取相关的字段内容,提高了识别的效率。
对应上述的识别攻击的方法实施例,本发明实施例还提供了一种识别攻击的装置结构示意图,如图8所示,该装置包括:
数据提取模块81,用于从目标服务器的日志数据中提取指定数据;
记录搜索模块82,用于通过预设的情报库搜索与指定数据相匹配的历史攻击记录;
记录确定攻击模块83,用于如果搜索到与指定数据相匹配的历史攻击记录,根据搜索到的历史攻击记录确定目标服务器是否被攻击;
规则确定攻击模块84,用于如果搜索不到与指定数据相匹配的历史攻击记录,通过预设的攻击匹配规则确定目标服务器是否被攻击。
进一步的,上述指定数据包括目标服务器接收到的访问请求的地址信息;情报库中记录有历史攻击记录;历史攻击记录包括产生过攻击行为的地址信息。
进一步的,上述记录搜索模块还用于,从情报库中,搜索包含有指定数据中的地址信息的历史攻击记录;如果搜索到包含有指定数据中的地址信息的历史攻击记录,确定搜索到与指定数据相匹配的历史攻击记录。
进一步的,上述记录确定攻击模块还用于,获取搜索到的历史攻击记录的状态信息;状态信息用于指示:历史攻击记录有效,或者历史攻击记录无效;如果历史攻击记录有效,确定目标服务器被攻击。
进一步的,上述装置还用于,如果历史攻击记录无效,通过预设的攻击匹配规则确定目标服务器是否被攻击。
进一步的,上述攻击匹配规则包括:多种攻击类型、以及每种攻击类型对应的攻击检测规则。
进一步的,上述规则确定攻击模块还用于,将目标服务器的日志数据逐一与每种攻击类型对应的攻击检测规则相匹配,如果存在与日志数据匹配成功的攻击检测规则,确定目标服务器被攻击。
进一步的,上述攻击匹配规则还包括:每种攻击类型对应的攻击等级和攻击行为;其中,攻击等级包括多级;攻击行为包括攻击或扫描;
进一步的,上述装置还用于,如果存在与日志数据匹配成功的攻击检测规则,获取与日志数据匹配成功的攻击检测规则对应的攻击类型;将获取到的攻击类型确定为目标服务器被攻击的攻击类型;将获取到的攻击类型对应的攻击等级和攻击行为,确定为目标服务器被攻击的攻击等级和攻击行为。
进一步的,上述装置还用于,如果存在与日志数据匹配成功的攻击检测规则,从日志数据中提取与攻击匹配规则相匹配的访问请求的地址信息;根据提取出的访问请求的地址信息生成历史攻击记录,将生成的历史攻击记录更新至情报库。
进一步的,上述数据提取模块还用于,从目标服务器中获取日志源数据;从日志源数据中提取指定字段对应的字段内容,将提取出的字段内容保存至预设的数据库。
本发明实施例提供了一种识别攻击的装置,预设的情报库中记录有各类攻击手段的历史攻击记录,在进行攻击识别时可以首先通过搜索情报库确定目标服务器是否被攻击;如果从情报库中搜索不到相应的历史攻击记录,再通过匹配攻击匹配规则的方式确定目标服务器是否被攻击。该方式中,通过搜索包含有历史攻击记录的情报库,可以较为全面的识别各类攻击手段,再结合匹配攻击匹配规则的方式,进一步降低了攻击识别的漏报率,提高了各类攻击手段的识别覆盖率,进而提高了攻击识别效果,保障了网站运行的安全性。
本发明实施例所提供的识别攻击的装置,其实现原理及产生的技术效果和前述识别攻击的方法实施例相同,为简要描述,识别攻击的装置实施例部分未提及之处,可参考前述识别攻击方法实施例中相应内容。
本发明实施例还提供了一种服务器,参见图9所示,包括处理器和存储器,存储器存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现上述识别攻击的方法。
进一步地,图9所示的服务器还包括总线132和通信接口133,处理器130、通信接口133和存储器131通过总线132连接。
其中,存储器131可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口133(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。总线132可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器130可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器130中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器130可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processing,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器131,处理器130读取存储器131中的信息,结合其硬件完成前述实施例的方法的步骤。
本发明实施例还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,该机器可执行指令促使处理器实现上述识别攻击的方法,具体实现可参见方法实施例,在此不再赘述。
本发明实施例所提供的识别攻击的方法、装置和服务器的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (11)
1.一种识别攻击的方法,其特征在于,所述方法包括:
从目标服务器的日志数据中提取指定数据;
通过预设的情报库搜索与所述指定数据相匹配的历史攻击记录;
如果搜索到与所述指定数据相匹配的历史攻击记录,根据搜索到的所述历史攻击记录确定所述目标服务器是否被攻击;
如果搜索不到与所述指定数据相匹配的历史攻击记录,通过预设的攻击匹配规则确定所述目标服务器是否被攻击。
2.根据权利要求1所述的方法,其特征在于,所述指定数据包括所述目标服务器接收到的访问请求的地址信息;所述情报库中记录有历史攻击记录;所述历史攻击记录包括产生过攻击行为的地址信息;
所述通过预设的情报库搜索与所述指定数据相匹配的历史攻击记录的步骤,包括:从所述情报库中,搜索包含有所述指定数据中的地址信息的历史攻击记录;如果搜索到包含有所述指定数据中的地址信息的历史攻击记录,确定搜索到与所述指定数据相匹配的历史攻击记录。
3.根据权利要求1所述的方法,其特征在于,所述根据搜索到的所述历史攻击记录确定所述目标服务器是否被攻击的步骤,包括:
获取搜索到的所述历史攻击记录的状态信息;所述状态信息用于指示:所述历史攻击记录有效,或者所述历史攻击记录无效;
如果所述历史攻击记录有效,确定所述目标服务器被攻击。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:如果所述历史攻击记录无效,通过预设的攻击匹配规则确定所述目标服务器是否被攻击。
5.根据权利要求1或3所述的方法,其特征在于,所述攻击匹配规则包括:多种攻击类型、以及每种所述攻击类型对应的攻击检测规则;
所述通过预设的攻击匹配规则确定所述目标服务器是否被攻击的步骤,包括:
将所述目标服务器的日志数据逐一与每种所述攻击类型对应的攻击检测规则相匹配,如果存在与所述日志数据匹配成功的攻击检测规则,确定所述目标服务器被攻击。
6.根据权利要求5所述的方法,其特征在于,所述攻击匹配规则还包括:每种所述攻击类型对应的攻击等级和攻击行为;其中,所述攻击等级包括多级;所述攻击行为包括攻击或扫描;所述方法还包括:
如果存在与所述日志数据匹配成功的攻击检测规则,获取与所述日志数据匹配成功的攻击检测规则对应的攻击类型;
将获取到的所述攻击类型确定为所述目标服务器被攻击的攻击类型;
将获取到的所述攻击类型对应的攻击等级和攻击行为,确定为所述目标服务器被攻击的攻击等级和攻击行为。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
如果存在与所述日志数据匹配成功的攻击检测规则,从所述日志数据中提取与所述攻击匹配规则相匹配的访问请求的地址信息;
根据提取出的所述访问请求的地址信息生成历史攻击记录,将生成的所述历史攻击记录更新至所述情报库。
8.根据权利要求1所述的方法,其特征在于,所述从目标服务器的日志数据中提取指定数据的步骤,包括:
从目标服务器中获取日志源数据;
从所述日志源数据中提取指定字段对应的字段内容,将提取出的所述字段内容保存至预设的数据库。
9.一种识别攻击的装置,其特征在于,所述装置包括:
数据提取模块,用于从目标服务器的日志数据中提取指定数据;
记录搜索模块,用于通过预设的情报库搜索与所述指定数据相匹配的历史攻击记录;
记录确定攻击模块,用于如果搜索到与所述指定数据相匹配的历史攻击记录,根据搜索到的所述历史攻击记录确定所述目标服务器是否被攻击;
规则确定攻击模块,用于如果搜索不到与所述指定数据相匹配的历史攻击记录,通过预设的攻击匹配规则确定所述目标服务器是否被攻击。
10.一种服务器,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1-8任一项所述的识别攻击的方法。
11.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1-8任一项所述的识别攻击的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010445966.1A CN111628990A (zh) | 2020-05-22 | 2020-05-22 | 识别攻击的方法、装置和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010445966.1A CN111628990A (zh) | 2020-05-22 | 2020-05-22 | 识别攻击的方法、装置和服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111628990A true CN111628990A (zh) | 2020-09-04 |
Family
ID=72260740
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010445966.1A Pending CN111628990A (zh) | 2020-05-22 | 2020-05-22 | 识别攻击的方法、装置和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111628990A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113489713A (zh) * | 2021-06-30 | 2021-10-08 | 平安科技(深圳)有限公司 | 网络攻击的检测方法、装置、设备及存储介质 |
| CN113923039A (zh) * | 2021-10-20 | 2022-01-11 | 北京知道创宇信息技术股份有限公司 | 攻击设备识别方法、装置、电子设备及可读存储介质 |
| CN114003904A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
| CN114760106A (zh) * | 2022-03-22 | 2022-07-15 | 恒安嘉新(北京)科技股份公司 | 网络攻击的确定方法、***、电子设备及存储介质 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115374443A (zh) * | 2022-10-24 | 2022-11-22 | 北京智芯微电子科技有限公司 | 检测文件篡改的方法、装置、电子设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007142841A (ja) * | 2005-11-18 | 2007-06-07 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ |
| CN103679013A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | ***恶意程序检测方法及装置 |
| US20160337400A1 (en) * | 2015-05-15 | 2016-11-17 | Virsec Systems, Inc. | Detection of sql injection attacks |
| CN106411899A (zh) * | 2016-09-30 | 2017-02-15 | 北京奇虎科技有限公司 | 数据文件的安全检测方法及装置 |
| CN108092962A (zh) * | 2017-12-08 | 2018-05-29 | 北京奇安信科技有限公司 | 一种恶意url检测方法及装置 |
| CN110224990A (zh) * | 2019-07-17 | 2019-09-10 | 浙江大学 | 一种基于软件定义安全架构的入侵检测*** |
| CN110519251A (zh) * | 2019-08-20 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击行为检测方法及装置 |
-
2020
- 2020-05-22 CN CN202010445966.1A patent/CN111628990A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007142841A (ja) * | 2005-11-18 | 2007-06-07 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ |
| CN103679013A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | ***恶意程序检测方法及装置 |
| US20160337400A1 (en) * | 2015-05-15 | 2016-11-17 | Virsec Systems, Inc. | Detection of sql injection attacks |
| CN106411899A (zh) * | 2016-09-30 | 2017-02-15 | 北京奇虎科技有限公司 | 数据文件的安全检测方法及装置 |
| CN108092962A (zh) * | 2017-12-08 | 2018-05-29 | 北京奇安信科技有限公司 | 一种恶意url检测方法及装置 |
| CN110224990A (zh) * | 2019-07-17 | 2019-09-10 | 浙江大学 | 一种基于软件定义安全架构的入侵检测*** |
| CN110519251A (zh) * | 2019-08-20 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击行为检测方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113489713A (zh) * | 2021-06-30 | 2021-10-08 | 平安科技(深圳)有限公司 | 网络攻击的检测方法、装置、设备及存储介质 |
| CN113489713B (zh) * | 2021-06-30 | 2022-10-25 | 平安科技(深圳)有限公司 | 网络攻击的检测方法、装置、设备及存储介质 |
| CN113923039A (zh) * | 2021-10-20 | 2022-01-11 | 北京知道创宇信息技术股份有限公司 | 攻击设备识别方法、装置、电子设备及可读存储介质 |
| CN113923039B (zh) * | 2021-10-20 | 2023-11-28 | 北京知道创宇信息技术股份有限公司 | 攻击设备识别方法、装置、电子设备及可读存储介质 |
| CN114003904A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
| CN114003904B (zh) * | 2021-12-31 | 2022-03-08 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
| CN114760106A (zh) * | 2022-03-22 | 2022-07-15 | 恒安嘉新(北京)科技股份公司 | 网络攻击的确定方法、***、电子设备及存储介质 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115118500B (zh) * | 2022-06-28 | 2023-11-07 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115374443A (zh) * | 2022-10-24 | 2022-11-22 | 北京智芯微电子科技有限公司 | 检测文件篡改的方法、装置、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673884B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
| CN111628990A (zh) | 识别攻击的方法、装置和服务器 | |
| EP3547635B1 (en) | Method and device for detecting webshell | |
| US9055093B2 (en) | Method, system and computer program product for detecting at least one of security threats and undesirable computer files | |
| US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
| CN108932426B (zh) | 越权漏洞检测方法和装置 | |
| KR101672791B1 (ko) | 모바일 웹 애플리케이션 환경에서의 취약점 탐지 방법 및 시스템 | |
| CN103279710B (zh) | Internet信息***恶意代码的检测方法和*** | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| US20160134658A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| Wang et al. | A combined static and dynamic analysis approach to detect malicious browser extensions | |
| Gupta et al. | Robust injection point-based framework for modern applications against XSS vulnerabilities in online social networks | |
| US20200372085A1 (en) | Classification apparatus, classification method, and classification program | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| US20230376587A1 (en) | Online command injection attacks identification | |
| US11330010B2 (en) | Detecting malicious web pages by analyzing elements of hypertext markup language (HTML) files | |
| Snehi et al. | Web client and web server approaches to prevent xss attacks | |
| CN113114609A (zh) | webshell检测取证方法及*** | |
| Zarras et al. | Hiding behind the shoulders of giants: Abusing crawlers for indirect Web attacks | |
| KR102096785B1 (ko) | 행위 확률 기반 웹 서버 공격 탐지 방법 | |
| Hong | Study on defense countermeasures against Webshell attacks of the Industrial Information System | |
| CN114116619A (zh) | 文件删除漏洞的防御方法、***和计算机设备 | |
| CN113067796A (zh) | 一种隐藏页面检测方法、装置、设备及存储介质 | |
| Rei | Profiling Agent and Rule-set Optimization in Misuse Based Intrusion Detection Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200904 |