网络攻击分析方法和装置制造方法及图纸

本申请实施例公开了网络攻击分析方法和装置。该方法的一具体实施方式包括：获取服务器的网络日志；对网络日志中的超文本传输协议请求是否具有攻击性进行检测，得到超文本传输协议请求的检测结果，以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。实现了在web日志中存储对线上服务的受到的web攻击情况进行详细分析所需的数据，从而，可以反映出线上服务受到web攻击的具体情况，运维工程师可以进一步详细分析线上服务受到的web攻击情况。进一步的，可以对web攻击进行较为精确地检测并且经过白名单过滤以及进行攻击重放，运维工程师可以较为全面地详细分析线上服务受到的web攻击情况。

【技术实现步骤摘要】
网络攻击分析方法和装置
本申请涉及计算机领域，具体涉及网络安全领域，尤其涉及网络攻击分析方法和装置。
技术介绍
为了对线上服务受到的web攻击情况及时感知，需要对线上的web日志进行安全分析。目前，通过安全分析得到的结果仅为诸如发生了多少次攻击的统计性的结果，无法反映出线上服务受到web攻击的具体情况，此外，运维工程师无法根据分析得到的结果进一步详细分析线上服务受到的web攻击情况。
技术实现思路
本申请实施例提供了网络攻击分析方法和装置。第一方面，本申请实施例提供了网络攻击分析方法，该方法包括：获取服务器的网络日志，服务器的网络日志包括：服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的数据部分；对网络日志中的超文本传输协议请求是否具有攻击性进行检测，得到超文本传输协议请求的检测结果，以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。第二方面，本申请实施例提供了网络攻击分析装置，该装置包括：获取单元，被配置为获取服务器的网络日志，服务器的网络日志包括：服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的数据部分；分析单元，被配置为对网络日志中的超文本传输协议请求是否具有攻击性进行检测，得到超文本传输协议请求的检测结果，以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。本申请实施例提供的网络攻击分析方法和装置，通过获取服务器的网络日志；对网络日志中的超文本传输协议请求是否具有攻击性进行检测，得到超文本传输协议请求的检测结果，以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。实现了在web日志中存储对线上服务的受到的web攻击情况进行详细分析所需的数据，从而，可以反映出线上服务受到web攻击的具体情况，运维工程师可以进一步详细分析线上服务受到的web攻击情况。进一步的，可以对web攻击进行较为精确地检测并且经过白名单过滤以及进行攻击重放，运维工程师可以较为全面地详细分析线上服务受到的web攻击情况。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：图1示出了适于用来实现本申请的实施例的示例性系统架构；图2示出了根据本申请的网络攻击分析方法的一个实施例的流程图；图3示出了根据本申请的网络攻击分析装置的一个实施例的结构示意图；图4是适于用来实现本申请实施例的服务器的计算机系统的结构示意图。具体实施方式下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关专利技术，而非对该专利技术的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关专利技术相关的部分。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。请参考图1，其示出了适于用来实现本申请的实施例的示例性系统架构。如图1所示，系统架构包括服务器101、服务器102、终端103。服务器101可以接收请求服务器101提供的服务的电子设备发送的超文本传输协议(HyperTextTransferProtocol，简称http)请求，将http请求对应的http响应发送至电子设备。服务器101上的网络日志存储有接收到的http请求和从http请求对应的http响应中提取出的数据部分。服务器102可以获取服务器101上的网络日志中的内容，分析服务器101受到的网络攻击的情况，将分析结果发送至终端103。在终端103上向终端103的用户例如运维工程师呈现，终端103的用户可以根据分析结果进一步详细分析服务器101受到的网络攻击的情况。请参考图2，其示出了根据本申请的网络攻击分析方法的一个实施例的流程。本申请的网络攻击分析方法可以由服务器(例如图1中的服务器102)执行，该方法包括以下步骤：步骤201，获取服务器的网络日志。在本实施例中，可以获取多个服务器的网络日志即web日志。一个服务器的网路日志中的每一个记录包含服务器接收到的一个http请求、从http请求对应的http响应中提取出的数据部分即http响应中的body部分。步骤202，对http请求是否具有攻击性进行检测，得到检测结果，将http请求、http请求的检测结果以及提取出的数据部分对应存储。在本实施例中，可以对网络日志中的每一个超文本传输协议请求是否具有攻击性分别进行检测，分别得到检测结果。对于每一个超文本传输协议请求，可以将将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。在本实施例中，由于将http请求、http请求的检测结果、从http请求对应的http响应中提取出的数据部分对应存储，从而，对于检测结果为具有攻击性的http请求，可以根据对应存储的http请求、http请求的检测结果和提取出的数据部分，进一步对具有攻击性的http请求的攻击是否成功、在攻击成功的情况下获取了何种数据进行详细分析。在本实施例的一些可选的实现方式中，对网络日志中的超文本传输协议请求是否具有攻击性进行检测包括：响应于超文本传输协议请求与至少一个攻击规则模板匹配，计算出超文本传输协议请求对应的分数，超文本传输协议请求对应的分数为每一个与超文本传输协议请求匹配的攻击规则模板对应的分数之和，攻击规则模板对应的分数指示攻击规则模板对应的攻击方式对系统的危险程度；基于计算出的分数，得到检测结果。对于网络日志中的每一个http请求，均可以通过多种检测方式对http请求是否具有攻击性进行检测，在利用每一种检测方式对http请求进行检测时，可以利用属于该检测方式的攻击规则模版进行检测。检测方式可以包括正则特征匹配的检测方式、基于sql语法的动态检测规则的检测方式等。正则特征匹配的检测方式的攻击检测模版中可以包含描述利用静态sql语句进行攻击时的攻击特征的字符串，描述利用静态sql语句进行攻击时的攻击特征的字符串可以为多个。基于sql语法的动态检测规则的检测方式的攻击检测模版中可以包含描述利用动态sql语句进行攻击时的攻击特征的字符串，描述利用动态sql语句进行攻击时的攻击特征的字符串可以为多个。当http请求中包含的一个攻击检测模版中的描述攻击特征的字符串的数量大于数量阈值时，则该http请求与该攻击检测模版匹配。每一个检测方式中的每一个攻击规则模版均可以对应一个分数，分数可以表示该攻击规则模版对应的攻击方式对系统的危险程度。在对一个http请求是否具有攻击性进行检测时，可以计算出该http请求对应的分数，该http请求对应的分数为每一个与该http请求匹配的攻击规则模板对应的分数之和。可以将该http请求对应的分数与分数阈值进行比较，当该http请求对应的分数大于分数阈值时，可以确定该http请求具有攻击性。在本实施例的一些可选的实现方式中，可以预先构建白名单，白名单中包含多个特征信息，白名单中的每一个特征信息为运维工程师预先从多个与预先检测出的具有攻击性的http请求中选取出的检测结果错误的http请求即被误报的http请求的特征信息。特征信息包括：检测本文档来自技高网...

【技术保护点】
1.一种网络攻击分析方法，包括：获取服务器的网络日志，服务器的网络日志包括：服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的数据部分；对网络日志中的超文本传输协议请求是否具有攻击性进行检测，得到超文本传输协议请求的检测结果，以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。

【技术特征摘要】
1.一种网络攻击分析方法，包括：获取服务器的网络日志，服务器的网络日志包括：服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的数据部分；对网络日志中的超文本传输协议请求是否具有攻击性进行检测，得到超文本传输协议请求的检测结果，以及将超文本传输协议请求、超文本传输协议请求的检测结果以及提取出的数据部分对应存储。2.根据权利要求1所述的方法，对网络日志中的超文本传输协议请求是否具有攻击性进行检测，得到超文本传输协议请求的检测结果包括：响应于超文本传输协议请求与至少一个攻击规则模板匹配，计算出超文本传输协议请求对应的分数，超文本传输协议请求对应的分数为每一个与超文本传输协议请求匹配的攻击规则模板对应的分数之和，攻击规则模板对应的分数指示攻击规则模板对应的攻击方式对系统的危险程度；基于超文本传输协议请求对应的分数，得到超文本传输协议请求的检测结果。3.根据权利要求2所述的方法，所述方法还包括：响应于检测结果为具有攻击性的超文本传输协议请求的特征信息与预设白名单中的特征信息匹配，将所述具有攻击性的超文本传输协议请求的检测结果设置为不具有攻击性，其中，白名单中的每一个特征信息为预先从多个已检测出的具有攻击性的超文本传输协议请求选取出的检测结果错误的超文本传输协议请求的特征信息，特征信息包括：检测出的攻击类型、超文本传输协议请求所请求的服务的名称、超文本传输协议请求所请求的服务的url、检测出的攻击字段、与超文本传输协议请求匹配的攻击规则模板的标识、超文本传输协议请求的来源ip地址。4.根据权利要求3所述的方法，所述方法还包括：响应于检测结果为具有攻击性的超文本传输协议请求与预设选取结果相关联，增加所述具有攻击性的超文本传输协议请求对应的得分，预设选取结果从预先对统计信息中的项进行排序后从统计信息中的项中选取出，统计信息包括：每一个目标攻击规则模板对应的超文本传输协议请求的数量、每一个目标url对应的超文本传输协议请求的数量、每一个目标来源ip地址对应的超文本传输协议请求的数量，其中，目标攻击规则模板为与预先被检测出的多个具有攻击性的超文本传输协议请求中的至少一个匹配的攻击规则模板，目标url为被所述多个具有攻击性的超文本传输协议请求中的至少一个所请求的服务的url，目标来源ip地址为所述多个具有攻击性的超文本传输协议请求中的超文本传输协议请求来源于的设备的ip地址。5.根据权利要求4所述的方法，所述方法还包括：对于需要进行攻击重放的检测结果为具有攻击性的超文本传输协议请求，从所述超文本传输协议请求所请求的服务所在的服务器的网络日志中获取重新发送具有攻击性的超文本传输协议请求所需的身份验证信息；将所述身份验证信息发送至用于重新发送具有攻击性的超文本传输协议请求的设备，以使得所述设备在利用身份验证信息通过身份验证后向所述服务器重新发送具有攻击性的超文本传输协议请求，触发对所述服务器的攻击过程；生成与攻击过程相关联的信息。6.一种网络攻击分析装置，包括：获取单元，被配置为获取服务器的网络日志，服务器的网络日志包括：服务器接收到的超文本传输协议请求、从超文本传输协议请求对应的超文本传输协议响应中提取出的...

【专利技术属性】
技术研发人员：李津津，
申请(专利权)人：北京百度网讯科技有限公司，
类型：发明
国别省市：北京,11