【技术实现步骤摘要】
网络攻击分析方法和装置
本申请涉及计算机领域,具体涉及网络安全领域,尤其涉及网络攻击分析方法和装置。
技术介绍
为了对线上服务受到的web攻击情况及时感知,需要对线上的web日志进行安全分析。目前,通过安全分析得到的结果仅为诸如发生了多少次攻击的统计性的结果,无法反映出线上服务受到web攻击的具体情况,此外,运维工程师无法根据分析得到的结果进一步详细分析线上服务受到的web攻击情况。
技术实现思路
本申请实施例提供了网络攻击分析方法和装置。第一方面,本申请实施例提供了网络攻击分析方法,该方法包括:获取服务器的网络日志,服务器的网络日志包括:服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的数据部分;对网络日志中的超文本传输协议请求是否具有攻击性进行检测,得到超文本传输协议请求的检测结果,以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。第二方面,本申请实施例提供了网络攻击分析装置,该装置包括:获取单元,被配置为获取服务器的网络日志,服务器的网络日志包括:服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的数据部分;分析单元,被配置为对网络日志中的超文本传输协议请求是否具有攻击性进行检测,得到超文本传输协议请求的检测结果,以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。本申请实施例提供的网络攻击分析方法和装置,通过获取服务器的网络日志;对网络日志中的超文本传输协议请求是否具有攻击性进行检测,得到超文本传输协议请求的检测结 ...
【技术保护点】
1.一种网络攻击分析方法,包括:获取服务器的网络日志,服务器的网络日志包括:服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的数据部分;对网络日志中的超文本传输协议请求是否具有攻击性进行检测,得到超文本传输协议请求的检测结果,以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。
【技术特征摘要】
1.一种网络攻击分析方法,包括:获取服务器的网络日志,服务器的网络日志包括:服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的数据部分;对网络日志中的超文本传输协议请求是否具有攻击性进行检测,得到超文本传输协议请求的检测结果,以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。2.根据权利要求1所述的方法,对网络日志中的超文本传输协议请求是否具有攻击性进行检测,得到超文本传输协议请求的检测结果包括:响应于超文本传输协议请求与至少一个攻击规则模板匹配,计算出超文本传输协议请求对应的分数,超文本传输协议请求对应的分数为每一个与超文本传输协议请求匹配的攻击规则模板对应的分数之和,攻击规则模板对应的分数指示攻击规则模板对应的攻击方式对系统的危险程度;基于超文本传输协议请求对应的分数,得到超文本传输协议请求的检测结果。3.根据权利要求2所述的方法,所述方法还包括:响应于检测结果为具有攻击性的超文本传输协议请求的特征信息与预设白名单中的特征信息匹配,将所述具有攻击性的超文本传输协议请求的检测结果设置为不具有攻击性,其中,白名单中的每一个特征信息为预先从多个已检测出的具有攻击性的超文本传输协议请求选取出的检测结果错误的超文本传输协议请求的特征信息,特征信息包括:检测出的攻击类型、超文本传输协议请求所请求的服务的名称、超文本传输协议请求所请求的服务的url、检测出的攻击字段、与超文本传输协议请求匹配的攻击规则模板的标识、超文本传输协议请求的来源ip地址。4.根据权利要求3所述的方法,所述方法还包括:响应于检测结果为具有攻击性的超文本传输协议请求与预设选取结果相关联,增加所述具有攻击性的超文本传输协议请求对应的得分,预设选取结果从预先对统计信息中的项进行排序后从统计信息中的项中选取出,统计信息包括:每一个目标攻击规则模板对应的超文本传输协议请求的数量、每一个目标url对应的超文本传输协议请求的数量、每一个目标来源ip地址对应的超文本传输协议请求的数量,其中,目标攻击规则模板为与预先被检测出的多个具有攻击性的超文本传输协议请求中的至少一个匹配的攻击规则模板,目标url为被所述多个具有攻击性的超文本传输协议请求中的至少一个所请求的服务的url,目标来源ip地址为所述多个具有攻击性的超文本传输协议请求中的超文本传输协议请求来源于的设备的ip地址。5.根据权利要求4所述的方法,所述方法还包括:对于需要进行攻击重放的检测结果为具有攻击性的超文本传输协议请求,从所述超文本传输协议请求所请求的服务所在的服务器的网络日志中获取重新发送具有攻击性的超文本传输协议请求所需的身份验证信息;将所述身份验证信息发送至用于重新发送具有攻击性的超文本传输协议请求的设备,以使得所述设备在利用身份验证信息通过身份验证后向所述服务器重新发送具有攻击性的超文本传输协议请求,触发对所述服务器的攻击过程;生成与攻击过程相关联的信息。6.一种网络攻击分析装置,包括:获取单元,被配置为获取服务器的网络日志,服务器的网络日志包括:服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的...
【专利技术属性】
技术研发人员:李津津,
申请(专利权)人:北京百度网讯科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。