本申请公开了一种网络攻击行为的确定方法及装置,该方法包括:获取当前网络体系中应用层的网络数据包;如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征,则根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息。本方法,通过对应用层的网络数据包(即双向数据流)的分析来确定网络攻击行为,可以基于上述网络攻击的实际影响进行网络攻击行为的判定,容易产生网络攻击行为判定错误的情况,进而可以提高网络攻击报警的有效性,使得安全管理和安全运维的效率更高。
【技术实现步骤摘要】
一种网络攻击行为的确定方法及装置
本申请涉及计算机
,尤其涉及一种网络攻击行为的确定方法及装置。
技术介绍
尽管网络及系统层的漏洞正在逐渐减少,而且Web攻防技术也在日趋成熟,但是,在利益的驱使下,黑客们对网络系统的攻击却从来没有停止过,如何对黑客们发起的网络攻击行为进行准确判定成为系统安全管理和运维工作的重要部分。通常,根据不同漏洞对网络系统或用户的影响,可以将漏洞划分成多个不同的危险等级,例如,低危漏洞、中危漏洞和高危漏洞等,其中,低危漏洞的危险等级最低,高危漏洞的危险等级最高,中危漏洞的危险等级大于低危漏洞的危险等级,且小于高危漏洞的危险等级,危险等级可以与对网络系统或用户的影响相关联,例如,高危漏洞通常会引发用户的高度敏感的数据(如支付账户的信息等)泄露等。为了能够对网络攻击行为进行准确判定,人们采用的方式为:将网络攻击根据所触发的漏洞的危险等级划分成3个不同等级,即低危漏洞攻击行为、中危漏洞攻击行为和高危漏洞攻击行为,通过在当前网络体系中网络层获取网络数据包,并对其进行检测,以判断其中是否包括不同的网络攻击行为特征可以确定基于不同危险等级的漏洞所触发的网络攻击。上述网络攻击行为的确定方式是根据漏洞的危险等级对应的网络攻击特征进行的,但是,当系统中存在的所有漏洞都已经被相应的补丁程序修补后,如果网络数据包中出现基于高危漏洞的网络攻击特征,则系统仍然会记录本次网络攻击的攻击行为信息为网络攻击事件,但是实际上该网络攻击却并不会成功,也即是,在系统无漏洞的情况下,使用高危的攻击手段不一定会导致高危的后果,从而,容易产生网络攻击行为判定错误的情况,进而降低网络攻击报警的有效性,使得用户对系统的网络攻击确定失去信任。
技术实现思路
本申请实施例提供一种网络攻击行为的确定方法及装置,容易产生网络攻击行为判定错误的情况,进而降低网络攻击报警的有效性,,以及安全管理和安全运维的效率较低的问题。本申请实施例提供的一种网络攻击行为的确定方法,所述方法包括:获取当前网络体系中应用层的网络数据包;如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征,则根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息。可选地,所述根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息,包括:如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容,则将所述网络攻击特征对应的攻击行为信息确定为攻击事件。可选地,所述网络数据包的网络攻击特征包括漏洞触发行为特征、漏洞扫描行为特征和系统受控行为特征,如果输入所述应用层的网络数据包的数据内容中包括与所述漏洞扫描行为特征相应的预定数据内容,则将所述漏洞扫描行为特征对应的攻击行为信息确定为可疑攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容,则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述系统受控行为特征相应的预定数据内容,则将所述系统受控行为特征对应的攻击行为信息确定为系统受控事件。可选地,所述漏洞触发行为特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,所述如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容,则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件,包括:如果所述应用层输出的网络数据包的数据内容中包括与所述低危漏洞触发行为特征相应的预定数据内容,则将所述低危漏洞触发行为特征对应的攻击行为信息确定为低危漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述中危漏洞触发行为特征相应的预定数据内容,则将所述中危漏洞触发行为特征对应的攻击行为信息确定为中危漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述高危漏洞触发行为特征相应的预定数据内容,则将所述高危漏洞触发行为特征对应的攻击行为信息确定为高危漏洞攻击事件。可选地,所述方法还包括:发送网络攻击警示信息;或者,输出报警指示灯闪烁或点亮的控制指令。本申请实施例提供的一种网络攻击行为的确定装置,所述装置包括:数据包获取模块,用于获取当前网络体系中应用层的网络数据包;攻击行为确定模块,用于如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征,则根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息。可选地,所述攻击行为确定模块,用于如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容,则将所述网络攻击特征对应的攻击行为信息确定为攻击事件。可选地,所述网络数据包的网络攻击特征包括漏洞触发行为特征、漏洞扫描行为特征和系统受控行为特征,所述攻击行为确定模块,用于如果输入所述应用层的网络数据包的数据内容中包括与所述漏洞扫描行为特征相应的预定数据内容,则将所述漏洞扫描行为特征对应的攻击行为信息确定为可疑攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容,则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述系统受控行为特征相应的预定数据内容,则将所述系统受控行为特征对应的攻击行为信息确定为系统受控事件。可选地,所述漏洞触发行为特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,所述攻击行为确定模块,用于如果所述应用层输出的网络数据包的数据内容中包括与所述低危漏洞触发行为特征相应的预定数据内容,则将所述低危漏洞触发行为特征对应的攻击行为信息确定为低危漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述中危漏洞触发行为特征相应的预定数据内容,则将所述中危漏洞触发行为特征对应的攻击行为信息确定为中危漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述高危漏洞触发行为特征相应的预定数据内容,则将所述高危漏洞触发行为特征对应的攻击行为信息确定为高危漏洞攻击事件。可选地,所述装置还包括:报警指示模块,用于发送网络攻击警示信息;或者,输出报警指示灯闪烁或点亮的控制指令。本申请实施例提供一种网络攻击行为的确定方法及装置,通过获取当前网络体系中应用层的网络数据包,并在网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征时,根据网络攻击特征和网络数据包中的数据内容,确定网络攻击特征对应的攻击行为信息,这样,通过对应用层的网络数据包(即双向数据流)的分析来确定网络攻击行为,可以基于上述网络攻击的实际影响进行网络攻击行为的判定,容易产生网络攻击行为判定错误的情况,进而可以提高网络攻击报警的有效性,使得安全管理和安全运维的效率更高。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1为本申请实施例提供的一种网络攻击行为的确定方法的流程图;图2为本申请实施例提供的另一种网络攻击行为的确定方法的流程图;图3为本申请实施例提供的一种网络攻击行为的确定装置结构本文档来自技高网...
【技术保护点】
一种网络攻击行为的确定方法,其特征在于,所述方法包括:获取当前网络体系中应用层的网络数据包;如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征,则根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息。
【技术特征摘要】
1.一种网络攻击行为的确定方法,其特征在于,所述方法包括:获取当前网络体系中应用层的网络数据包;如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征,则根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息。2.根据权利要求1所述的方法,其特征在于,所述根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息,包括:如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容,则将所述网络攻击特征对应的攻击行为信息确定为攻击事件。3.根据权利要求2所述的方法,其特征在于,所述网络数据包的网络攻击特征包括漏洞触发行为特征、漏洞扫描行为特征和系统受控行为特征,如果输入所述应用层的网络数据包的数据内容中包括与所述漏洞扫描行为特征相应的预定数据内容,则将所述漏洞扫描行为特征对应的攻击行为信息确定为可疑攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容,则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述系统受控行为特征相应的预定数据内容,则将所述系统受控行为特征对应的攻击行为信息确定为系统受控事件。4.根据权利要求3所述的方法,其特征在于,所述漏洞触发行为特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,所述如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容,则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件,包括:如果所述应用层输出的网络数据包的数据内容中包括与所述低危漏洞触发行为特征相应的预定数据内容,则将所述低危漏洞触发行为特征对应的攻击行为信息确定为低危漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述中危漏洞触发行为特征相应的预定数据内容,则将所述中危漏洞触发行为特征对应的攻击行为信息确定为中危漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述高危漏洞触发行为特征相应的预定数据内容,则将所述高危漏洞触发行为特征对应的攻击行为信息确定为高危漏洞攻击事件。5.根据权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:发送...
【专利技术属性】
技术研发人员:林榆坚,
申请(专利权)人:北京安赛创想科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。