CN111885061A - 一种网络攻击检测方法、装置、设备及介质 - Google Patents
一种网络攻击检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN111885061A CN111885061A CN202010718271.6A CN202010718271A CN111885061A CN 111885061 A CN111885061 A CN 111885061A CN 202010718271 A CN202010718271 A CN 202010718271A CN 111885061 A CN111885061 A CN 111885061A
- Authority
- CN
- China
- Prior art keywords
- database
- attack
- type
- target
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 50
- 230000006399 behavior Effects 0.000 claims abstract description 75
- 238000000034 method Methods 0.000 claims abstract description 32
- 238000004590 computer program Methods 0.000 claims description 15
- 238000000605 extraction Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N ***e Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络攻击检测方法、装置、设备及介质,该方法包括:获取目标数据库的数据库流量;根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型;从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征;基于所述攻击特征确定相应的数据库是否遭受网络攻击。本申请通过获取数据库流量确定对应的数据库类型,然后从数据库流量中提取出与数据库类型对应的攻击特征,通过所述攻击特征判断相应的数据库是否遭受网络攻击。通过这种方式,可以检测针对数据库的网络攻击,扩大了对网络攻击检测的范围,提高了针对网络攻击检测的能力。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种网络攻击检测方法、装置、设备及介质。
背景技术
当前,随着计算机技术不断发展,出现了越来越多的利用***漏洞和安全缺陷对计算机***进行攻击的网络攻击行为,严重破坏了网络秩序,甚至影响到用户的个人隐私和财产安全,并且网络攻击的方式和手段多种多样,因此对于网络攻击的检测一直是网络安全建设的重点和难点。例如,后渗透攻击是当前非常普遍的***安全漏洞和Web应用安全漏洞,攻击者通过攻击数据库获取服务器权限,然后利用服务器权限进而带有目的性的攻击数据库,以提升自身权限,这类攻击的攻击目标难以确定,且攻击手段多样,极大地影响了数据库的安全。
发明内容
有鉴于此,本申请的目的在于提供一种网络攻击检测方法、装置、设备及介质,能够扩大对网络攻击检测的范围,提高针对网络攻击检测的能力,其具体方案如下:
第一方面,本申请公开了一种网络攻击检测方法,包括:
获取目标数据库的数据库流量;
根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型;
从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征;
基于所述攻击特征确定相应的数据库是否遭受网络攻击。
可选的,所述根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型,包括:
根据所述数据库流量中的数据库类型标识,确定所述数据库流量对应的数据库类型;其中,所述数据库类型包括关系型数据库和非关系型数据库。
可选的,若所述数据库类型为关系型数据库,所述从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征和所述基于所述攻击特征确定相应的数据库是否遭受网络攻击的步骤,包括:
根据所述关系型数据库对应的数据库协议格式确定出待提取字段类型;
从所述数据库流量中提取出与所述待提取字段类型对应的目标字段,以获取到相应的第一攻击特征;
判断所述第一攻击特征是否为与目标攻击行为对应的目标攻击特征,所述目标攻击行为包括尝试权限提升和/或尝试文件写入;
若是,则获取与所述目标攻击行为对应的返回流量,并利用所述返回流量检测所述目标攻击行为是否攻击成功;
若所述目标攻击行为攻击成功,则确定所述关系型数据库遭受网络攻击。
可选的,所述若所述数据库类型为关系型数据库,则根据所述关系型数据库对应的数据库协议格式确定出待提取字段类型之前,还包括:
利用关系型数据库对应的数据表结构和/或查询语句特征对所述数据库流量进行识别,以确定出所述关系型数据库对应的数据库协议格式。
可选的,若所述数据库类型为关系型数据库,所述根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型之后,还包括:
根据所述关系型数据库对应的数据库协议格式确定出待提取字段类型;
从所述数据库流量中提取出与所述待提取字段类型对应的目标字段,以获取到相应的第一攻击特征;
若所述第一攻击特征为与目标攻击行为对应的目标攻击特征,则判定所述关系型数据库失陷;其中,所述目标攻击行为包括尝试权限提升和/或尝试文件写入。
可选的,若所述数据库类型为非关系型数据库,所述从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征和所述基于所述攻击特征确定相应的数据库是否遭受网络攻击的步骤,包括:
检测所述数据库流量中的攻击载荷以得到第二攻击特征;
当检测到所述第二攻击特征,则获取相应的返回流量,并利用所述返回流量检测相应的攻击行为是否攻击成功;
若所述攻击行为攻击成功,则确定所述非关系型数据库遭受网络攻击。
可选的,若所述数据库类型为关系型数据库,所述根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型之后,还包括:
检测所述数据库流量中的攻击载荷以得到第二攻击特征;
当检测到所述第二攻击特征,则获取相应的返回流量,并利用所述返回流量检测相应的攻击行为是否攻击成功;
若所述攻击行为攻击成功,则判定所述非关系型数据库失陷。第二方面,本申请公开了一种网络攻击检测装置,包括:
流量获取模块,用于获取目标数据库的数据库流量;
数据库类型确定模块,用于根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型;
攻击特征提取模块,用于从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征;
攻击判定模块,用于基于所述攻击特征确定相应的数据库是否遭受网络攻击。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的网络攻击检测方法。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中计算机程序被处理器执行时实现前述的网络攻击检测方法。
本申请中,首先获取目标数据库的数据库流量,然后根据数据库流量中的数据库类型特征确定目标数据库的数据库类型,并从数据库流量中提取出与数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征,最后基于攻击特征确定相应的数据库是否遭受网络攻击。可见,本申请先通过确定目标数据库的类型,然后根据数据库类型从数据库流量中提取相应的攻击特征,最后基于攻击特征判断相应数据库是否遭受网络攻击,通过这种方式,可以扩大对网络攻击检测的范围,提高网络攻击检测的能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种网络攻击检测方法流程图;
图2为本申请提供的一种具体的网络攻击检测方法流程图;
图3为本申请提供的一种具体的网络攻击检测方法流程图;
图4为本申请提供的一种网络攻击检测装置结构示意图;
图5为本申请提供的一种电子设备结构图。
具体实施方式
当前,随着计算机技术不断发展,出现了越来越多的利用***漏洞和安全缺陷对计算机***进行攻击的网络攻击行为,对于网络攻击的检测一直是网络安全建设的重点和难点。本申请提供了一种基于数据库层面的网络攻击检测方法。
本申请实施例公开了一种网络攻击检测方法,参见图1所示,该网络攻击检测方法可以包括以下步骤:
步骤S11:获取目标数据库的数据库流量。
本实施例中,首先获取目标数据库的数据库流量,可以理解的是,在攻击者对目标数据库进行攻击的时候,会产生相应的攻击流量存在于数据库流量中,因此在对相应的攻击进行检测时,可以先获取上述目标数据库的数据库流量。
步骤S12:根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型。
本实施例中,在获取到上述数据库流量后,可以根据上述数据库流量中的数据库类型特征确定上述目标数据库的数据库类型;可以理解的是,不同的数据库类型对应的数据库流量中存在着不同的可以表征其数据库类型的数据库类型特征,因此,可以根据数据库类型特征确定上述目标数据库的数据库类型。
本实施例中,上述根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型,具体可以包括:根据所述数据库流量中的数据库类型标识,确定所述数据库流量对应的数据库类型;其中,所述数据库类型包括关系型数据库和非关系型数据库。可以理解的是,不同的数据库类型对应的数据库流量中存在不同的数据库类型标识,并且上述数据库类型标识可以表征其数据库类型,另外,也可以根据除上述数据库类型标识之外的可以表征数据库类型的特定字段,确定所述数据库流量对应的数据库类型。具体的,可以基于关系型数据库类型标识和非关系型数据库标识,识别出上述数据库流量对应的数据库类型是关系型数据库还是非关系型数据库。
其中,上述关系型数据库是指采用关系模型组织数据的数据库,以行和列的形式存储数据,可以理解的是,关系型数据库是由二维表及其之间的关系组成的一个数据组织。上述非关系型数据库区别于关系型数据库,结构简单,数据之间无关系、易扩展,并且非关系型数据库具有较高的读写性能。
步骤S13:从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征。
本实施例中,在识别上述数据库流量对应的数据库类型之后,可以从上述数据库流量中提取出与上述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征。可以理解的是,针对不同的数据库类型进行攻击后,相应的数据库流量中会产生与数据库类型对应的攻击特征;其中,上述数据库流量中与数据库攻击行为相关的流量包括攻击流量和返回流量。具体的,可以通过上述数据库流量中与数据库攻击行为相关的攻击流量和返回流量,获取与上述数据库类型对应的攻击特征。
步骤S14:基于所述攻击特征确定相应的数据库是否遭受网络攻击。
本实施例中,在获取到与上述数据库类型对应的攻击特征后,可以基于上述攻击特征,确定相应的数据库是否遭受网络攻击。可以理解的是,当数据库遭受到网络攻击后,相应的数据库流量中会存在可以表征攻击是否成功的攻击特征,从而通过获取的攻击特征可以确定相应的数据库是否遭受网络攻击。
例如,上述网络攻击检测的方法可以应用于对后渗透攻击的检测中,首先获取目标数据库的数据库流量,根据上述数据库流量中的数据库类型特征确定上述目标数据库的数据库类型;然后从上述数据库流量中提取出与上述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征;最后基于上述攻击特征确定相应的数据库是否遭受后渗透攻击。相比于现有技术中,对后渗透攻击阶段的检测主要在Web应用和***漏洞层,基于Web应用的检测中只涉及到一部分数据库安全问题,而基于***漏洞层的检测同样不能覆盖所有的数据库安全问题,因此不能完全检测出数据库是否被攻击,降低了后渗透攻击检测的全面性;可见,本申请通过识别数据库类型,并根据数据库类型提取相应的攻击特征,以判断是否遭受后渗透攻击,可以扩大对后渗透攻击检测的范围,提高针对后渗透攻击检测的能力。
由上可见,本实施例中首先获取目标数据库的数据库流量,然后根据数据库流量中的数据库类型特征确定目标数据库的数据库类型,并从数据库流量中提取出与上述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征,最后基于攻击特征确定相应的数据库是否遭受网络攻击。可见,本实施例先通过确定目标数据库的类型,然后根据数据库类型从数据库流量中提取相应的攻击特征,最后基于攻击特征判断相应数据库是否遭受网络攻击,通过这种方式,可以扩大对网络攻击检测的范围,提高网络攻击检测的能力。
本申请实施例公开了一种具体的网络攻击的检测方法,参见图2所示,该网络攻击检测方法可以包括以下步骤:
步骤S21:获取目标数据库的数据库流量。
步骤S22:根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型。
步骤S23:若所述数据库类型为关系型数据库,则根据所述关系型数据库对应的数据库协议格式确定出待提取字段类型。
本实施例中,针对关系型数据库,可以通过根据关系型数据库对应的数据库协议格式确定出待提取字段类型。可以理解的是,对于不同类型的关系型数据库需要提取的字段类型不同,可以根据上述数据库协议格式确定出待提取字段类型。
本实施例中,所述若所述数据库类型为关系型数据库,则根据所述关系型数据库对应的数据库协议格式确定出待提取字段类型之前,还可以包括:利用关系型数据库对应的数据表结构和/或查询语句特征对所述数据库流量进行识别,即启用数据库协议识别算法进行识别,以确定出所述关系型数据库对应的数据库协议格式;其中,所述数据库协议格式包括MSSQL数据库协议格式、MYSQL数据库协议格式和ORACLE数据库协议格式。可以理解的是,当识别出数据库流量对应的数据库类型为关系型数据库之后,可以利用关系型数据库对应的数据表结构和/或查询语句特征对数据库流量进行识别,以确定出上述关系型数据库的类型,从而得到对应的数据库协议格式;另外,除上述数据表结构和查询语句特征之外,还可以通过能够表征上述关系型数据库类型的一些特定字段对上述数据库流量进行识别。
步骤S24:从所述数据库流量中提取出与所述待提取字段类型对应的目标字段,以获取到相应的第一攻击特征。
本实施例中,通过从上述数据库流量中提取出与上述待提取字段类型对应的目标字段,以获取到相应的第一攻击特征。可以理解的是,上述目标字段可以表征相应的特定条件,并且在特定条件下一些操作语句可以被认为是攻击行为;例如,在特定条件下操作语句的限定条件where后的条件语句可以认为是攻击行为。
步骤S25:判断所述第一攻击特征是否为与目标攻击行为对应的目标攻击特征,所述目标攻击行为包括尝试权限提升和/或尝试文件写入。
本实施例中,在提取出上述第一攻击特征之后,判断上述第一攻击特征是否为与目标攻击行为对应的目标攻击特征,其中,上述目标攻击行为可以包括但不限于尝试权限提升和/或尝试文件写入。
本实施例中,所述判断所述第一攻击特征是否为与目标攻击行为对应的目标攻击特征之后,还可以包括:若所述第一攻击特征为与所述目标攻击行为对应的所述目标攻击特征,则判定所述关系型数据库失陷。可以理解的是,若上述第一攻击特征为与尝试权限提升或尝试文件写入对应的攻击特征时,可以判定上述关系型数据库失陷,即上述关系型数据库部分权限丢失,服务器被入侵。由此一来,可以通过确定上述关系型数据库失陷,进而产生相应的安全事件告警。
步骤S26:若是,则获取与所述目标攻击行为对应的返回流量,并利用所述返回流量检测所述目标攻击行为是否攻击成功。
本实施例中,若判断出上述第一攻击特征为上述目标攻击特征后,则获取与上述目标攻击行为对应的返回流量;可以理解的是,当攻击者对上述关系型数据库进行攻击后,上述关系型数据库的数据库流量中会产生相应的攻击返回流量,通过检测上述返回流量中可以表征目标攻击行为是否成功的标识,确定上述目标攻击行为是否成功。
步骤S27:若所述攻击行为攻击成功,则确定所述关系型数据库遭受网络攻击。
本实施例中,若上述攻击行为攻击成功,则确定上述关系型数据库遭受网络攻击,即攻击者成功攻击了上述关系型数据库;可以理解的是,上述关系型数据库遭受网络攻击与上述关系型数据库失陷为两类事件,关系型数据库失陷只是丢失了部分数据库权限,并不代表攻击者成功攻击了上述关系型数据库。
其中,关于上述步骤S21、步骤S22的具体过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
由上可见,本实施例利用数据库协议格式从数据库流量中提取出与上述关系型数据库对应的第一攻击特征,最后通过判断上述第一攻击特征是否目标攻击特征,并获取相应的返回流量来确定上述关系库是否遭受网络攻击。通过这种方式,可以检测针对关系型数据库的网络攻击,提高了针对关系型数据库的网络攻击的检测能力。
本申请实施例公开了一种具体的网络攻击的检测方法,参见图3所示,该网络攻击检测方法可以包括以下步骤:
步骤S31:获取目标数据库的数据库流量。
步骤S32:根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型。
步骤S33:若所述数据库类型为非关系型数据库,则检测所述数据库流量中的攻击载荷以得到第二攻击特征。
本实施例中,若通过识别上述数据库流量确定出上述数据库类型为非关系型数据库,则检测上述数据库流量中的攻击载荷(Payload),以得到第二攻击特征。其中,可以基于snort入侵检测引擎并利用预设的检测规则检测上述数据库流量中的攻击载荷。
步骤S34:当检测到所述第二攻击特征,则获取相应的返回流量,并利用所述返回流量检测相应的攻击行为是否攻击成功。
本实施例中,针对非关系型数据库,当检测到上述第二攻击特征并获取相应的返回流量后,可以根据非关系型数据库的类型从上述返回流量中确定出可以表征相应的攻击行为是否成功的标识,然后通过识别上述表征攻击行为是否成功的标识以判断相应的攻击行为是否成功。可以理解的是,不同类型的非关系型数据库在遭受攻击后,产生的返回流量中存在着不同的可以表征相应的攻击行为是否成功的标识。其中,可以根据包括但不限于数据表结构、查询流量特征、应用端口以及可以表征非关系型数据库类型的其他特定字段识别上述非关系型数据库的类型。其中,上述返回流量为与上述攻击载荷对应的数据库返回流量。
步骤S35:若所述攻击行为攻击成功,则确定所述非关系型数据库遭受网络攻击。
本实施例中,可以理解的是,针对非关系型数据库,若上述攻击行为攻击成功,则确定上述非关系型数据库遭受网络攻击,即攻击者成功攻击了上述非关系型数据库。
本实施例中,所述网络攻击检测方法,还可以包括:若所述攻击行为攻击成功,则判定所述非关系型数据库失陷,即上述非关系型数据库部分权限丢失,服务器被入侵。由此一来,可以通过确定上述非关系型数据库失陷,进而产生相应的安全事件告警。
其中,关于上述步骤S31、步骤S32的具体过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
由上可见,本实施例通过检测上述数据库流量中的攻击载荷,然后获取相应的返回流量,并利用返回流量检测相应的攻击行为是否攻击成功,若攻击成功,则确定非关系型数据库遭受网络攻击。通过这种方式,可以检测针对非关系型数据库的网络攻击,提高了针对非关系型数据库的网络攻击的检测能力。
相应的,本申请实施例还公开了一种网络攻击检测装置,参见图4所示,该装置包括:
流量获取模块11,用于获取目标数据库的数据库流量;
数据库类型确定模块12,用于根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型;
攻击特征提取模块13,用于从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征;
攻击判定模块14,用于基于所述攻击特征确定相应的数据库是否遭受网络攻击。
由上可见,本实施例中首先获取目标数据库的数据库流量,然后根据数据库流量中的数据库类型特征确定目标数据库的数据库类型,并从数据库流量中提取出与上述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征,最后基于攻击特征确定相应的数据库是否遭受网络攻击。通过这种方式,可以扩大对网络攻击检测的范围,提高网络攻击检测的能力。
在一些实施例中,所述数据库类型识别模块12具体可以包括:
识别单元,用于根据所述数据库流量中的数据库类型标识,确定所述数据库流量对应的数据库类型;其中,所述数据库类型包括关系型数据库和非关系型数据库。
在一些实施例中,所述攻击特征获取模块13具体可以包括:
第一攻击特征获取模块,用于若所述数据库类型为关系型数据库,则根据所述关系型数据库对应的数据库协议格式确定出待提取字段类型;从所述数据库流量中提取出与所述待提取字段类型对应的目标字段,以获取到相应的第一攻击特征;
第二识别单元,用于利用关系型数据库对应的数据表结构和/或查询语句特征对所述数据库流量进行识别,以确定出所述关系型数据库对应的数据库协议格式;其中,所述数据库协议格式包括MSSQL数据库协议格式、MYSQL数据库协议格式和ORACLE数据库协议格式;
第二攻击特征获取模块,用于若所述数据库类型为非关系型数据库,则检测所述数据库流量中的攻击载荷以得到第二攻击特征;
在一些实施例中,所述攻击判定模块14具体可以包括:
第一判定单元,用于判断所述第一攻击特征是否为与目标攻击行为对应的目标攻击特征,所述目标攻击行为包括尝试权限提升和/或尝试文件写入;若所述第一攻击特征为与所述目标攻击行为对应的所述目标攻击特征,则判定所述关系型数据库失陷;
第二判定单元,用于判断所述第一攻击特征是否为与目标攻击行为对应的目标攻击特征,所述目标攻击行为包括尝试权限提升和/或尝试文件写入;若是,则获取与所述目标攻击行为对应的返回流量,并利用所述返回流量检测所述目标攻击行为是否攻击成功;若所述目标攻击行为攻击成功,则确定所述关系型数据库遭受网络攻击。
第三判定单元,用于当检测到所述第二攻击特征,则获取相应的返回流量,并利用所述返回流量检测相应的攻击行为是否攻击成功;若所述攻击行为攻击成功,则确定所述非关系型数据库遭受网络攻击;
第四判定单元,用于当检测到所述第二攻击特征,则获取相应的返回流量,并利用所述返回流量检测相应的攻击行为是否攻击成功;若所述攻击行为攻击成功,则判定所述非关系型数据库失陷。
进一步的,本申请实施例还公开了一种电子设备,参见图5所示,图中的内容不能被认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的网络攻击检测方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作***221、计算机程序222及包括数据库流量在内的数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作***221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的网络攻击检测方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223可以包括电子设备20获取到的数据库流量。
进一步的,本申请实施例还公开了一种存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述任一实施例公开的网络攻击检测方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种网络攻击检测方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种网络攻击检测方法,其特征在于,包括:
获取目标数据库的数据库流量;
根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型;
从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征;
基于所述攻击特征确定相应的数据库是否遭受网络攻击。
2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型,包括:
根据所述数据库流量中的数据库类型标识,确定所述数据库流量对应的数据库类型;其中,所述数据库类型包括关系型数据库和非关系型数据库。
3.根据权利要求1所述的网络攻击检测方法,其特征在于,若所述数据库类型为关系型数据库,所述从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征和所述基于所述攻击特征确定相应的数据库是否遭受网络攻击的步骤,包括:
根据所述关系型数据库对应的数据库协议格式确定出待提取字段类型;
从所述数据库流量中提取出与所述待提取字段类型对应的目标字段,以获取到相应的第一攻击特征;
判断所述第一攻击特征是否为与目标攻击行为对应的目标攻击特征,所述目标攻击行为包括尝试权限提升和/或尝试文件写入;
若是,则获取与所述目标攻击行为对应的返回流量,并利用所述返回流量检测所述目标攻击行为是否攻击成功;
若所述目标攻击行为攻击成功,则确定所述关系型数据库遭受网络攻击。
4.根据权利要求3所述的网络攻击检测方法,其特征在于,所述根据所述关系型数据库对应的数据库协议格式确定出待提取字段类型之前,还包括:
利用关系型数据库对应的数据表结构和/或查询语句特征对所述数据库流量进行识别,以确定出所述关系型数据库对应的数据库协议格式。
5.根据权利要求1所述的网络攻击检测方法,其特征在于,若所述数据库类型为关系型数据库,所述根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型之后,还包括:
根据所述关系型数据库对应的数据库协议格式确定出待提取字段类型;
从所述数据库流量中提取出与所述待提取字段类型对应的目标字段,以获取到相应的第一攻击特征;
若所述第一攻击特征为与目标攻击行为对应的目标攻击特征,则判定所述关系型数据库失陷;其中,所述目标攻击行为包括尝试权限提升和/或尝试文件写入。
6.根据权利要求1所述的网络攻击检测方法,其特征在于,若所述数据库类型为非关系型数据库,所述从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征和所述基于所述攻击特征确定相应的数据库是否遭受网络攻击的步骤,包括:
检测所述数据库流量中的攻击载荷以得到第二攻击特征;
当检测到所述第二攻击特征,则获取相应的返回流量,并利用所述返回流量检测相应的攻击行为是否攻击成功;
若所述攻击行为攻击成功,则确定所述非关系型数据库遭受网络攻击。
7.根据权利要求1所述的网络攻击检测方法,其特征在于,若所述数据库类型为非关系型数据库,所述根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型之后,还包括:
检测所述数据库流量中的攻击载荷以得到第二攻击特征;
当检测到所述第二攻击特征,则获取相应的返回流量,并利用所述返回流量检测相应的攻击行为是否攻击成功;
若所述攻击行为攻击成功,则判定所述非关系型数据库失陷。
8.一种网络攻击检测装置,其特征在于,包括:
流量获取模块,用于获取目标数据库的数据库流量;
数据库类型确定模块,用于根据所述数据库流量中的数据库类型特征确定所述目标数据库的数据库类型;
攻击特征提取模块,用于从所述数据库流量中提取出与所述数据库类型对应的与数据库攻击行为相关的特征,以得到相应的攻击特征;
攻击判定模块,用于基于所述攻击特征确定相应的数据库是否遭受网络攻击。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的网络攻击检测方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010718271.6A CN111885061A (zh) | 2020-07-23 | 2020-07-23 | 一种网络攻击检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010718271.6A CN111885061A (zh) | 2020-07-23 | 2020-07-23 | 一种网络攻击检测方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111885061A true CN111885061A (zh) | 2020-11-03 |
Family
ID=73154683
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010718271.6A Pending CN111885061A (zh) | 2020-07-23 | 2020-07-23 | 一种网络攻击检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111885061A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113486343A (zh) * | 2021-07-13 | 2021-10-08 | 深信服科技股份有限公司 | 一种攻击行为的检测方法、装置、设备和介质 |
| CN113852638A (zh) * | 2021-09-28 | 2021-12-28 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
| CN113965363A (zh) * | 2021-10-11 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种基于Web用户行为的漏洞研判方法和装置 |
| CN114186225A (zh) * | 2021-12-07 | 2022-03-15 | 北京天融信网络安全技术有限公司 | 数据库检测方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388763A (zh) * | 2007-09-12 | 2009-03-18 | 北京启明星辰信息技术有限公司 | 一种支持多种数据库类型的sql注入攻击检测*** |
| CN107368582A (zh) * | 2017-07-21 | 2017-11-21 | 深信服科技股份有限公司 | 一种sql语句检测方法及*** |
| CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| US20190289034A1 (en) * | 2018-03-16 | 2019-09-19 | Imperva, Inc. | Detection of malicious attempts to access a decoy database object based on connection type |
| US20190311149A1 (en) * | 2018-04-08 | 2019-10-10 | Imperva, Inc. | Detecting attacks on databases based on transaction characteristics determined from analyzing database logs |
-
2020
- 2020-07-23 CN CN202010718271.6A patent/CN111885061A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388763A (zh) * | 2007-09-12 | 2009-03-18 | 北京启明星辰信息技术有限公司 | 一种支持多种数据库类型的sql注入攻击检测*** |
| CN107368582A (zh) * | 2017-07-21 | 2017-11-21 | 深信服科技股份有限公司 | 一种sql语句检测方法及*** |
| CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| US20190289034A1 (en) * | 2018-03-16 | 2019-09-19 | Imperva, Inc. | Detection of malicious attempts to access a decoy database object based on connection type |
| US20190311149A1 (en) * | 2018-04-08 | 2019-10-10 | Imperva, Inc. | Detecting attacks on databases based on transaction characteristics determined from analyzing database logs |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113486343A (zh) * | 2021-07-13 | 2021-10-08 | 深信服科技股份有限公司 | 一种攻击行为的检测方法、装置、设备和介质 |
| CN113852638A (zh) * | 2021-09-28 | 2021-12-28 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
| CN113852638B (zh) * | 2021-09-28 | 2024-02-27 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
| CN113965363A (zh) * | 2021-10-11 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种基于Web用户行为的漏洞研判方法和装置 |
| CN113965363B (zh) * | 2021-10-11 | 2023-07-14 | 北京天融信网络安全技术有限公司 | 一种基于Web用户行为的漏洞研判方法和装置 |
| CN114186225A (zh) * | 2021-12-07 | 2022-03-15 | 北京天融信网络安全技术有限公司 | 数据库检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111885061A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
| CN109688097B (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
| Varshney et al. | A phish detector using lightweight search features | |
| CN111460445B (zh) | 样本程序恶意程度自动识别方法及装置 | |
| CN103312679B (zh) | 高级持续威胁的检测方法和*** | |
| JP2010026662A (ja) | 情報漏洩防止システム | |
| WO2017071148A1 (zh) | 基于云计算平台的智能防御*** | |
| CN102110200A (zh) | 计算机可执行的认证方法 | |
| KR100985049B1 (ko) | 파밍감지 시스템 및 이를 제어하는 방법 | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| CN114329489A (zh) | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 | |
| US10372907B2 (en) | System and method of detecting malicious computer systems | |
| CN107733699B (zh) | 互联网资产安全管理方法、***、设备及可读存储介质 | |
| CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
| CN115348086B (zh) | 一种攻击防护方法及装置、存储介质及电子设备 | |
| CN111241546B (zh) | 一种恶意软件行为检测方法和装置 | |
| KR101937325B1 (ko) | 악성코드 감지 및 차단방법 및 그 장치 | |
| CN115208643A (zh) | 一种基于web动态防御的追踪溯源方法及装置 | |
| CN109284590B (zh) | 访问行为安全防护的方法、设备、存储介质及装置 | |
| US20190370462A1 (en) | Threat Control | |
| CN104426836A (zh) | 一种入侵检测方法及装置 | |
| CN115398430A (zh) | 恶意入侵检测方法、装置、***、计算设备、介质和程序 | |
| CN111131166A (zh) | 一种用户行为预判方法及相关设备 | |
| CN113596044B (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
| CN107341396B (zh) | 入侵检测方法、装置及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201103 |
|
| RJ01 | Rejection of invention patent application after publication |