本申请提供了一种监控网络攻击的方法和装置,所述方法包括:根据网络流量镜像信息获取HTTP访问请求信息;基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。首先,从网络流量镜像信息中提取的HTTP应用信息是非常完整的,可检测内容较多,提高了检测的准确性。其次,提高了检测的时效性,可以在WEB攻击发生同时实时检测。再次,系统可以通过服务器的响应内容判定WEB攻击是否成功,并及时阻断及预警,防止事态恶化。同时,降低了管理成本。
A Method and Device for Monitoring Network Attacks
【技术实现步骤摘要】
一种监控网络攻击的方法和装置
本申请涉及网络安全领域,具体涉及监控网络攻击的方法,以及监控网络攻击的装置。
技术介绍
WEB渗透攻击是指黑客针对WEB服务的攻击行为。目前主要的方式有:sql注入,利用xss漏洞,利用csrf漏洞,利用文件上传漏洞,利用敏感文件下载漏洞,及利用各种三方组件漏洞等。当前检测WEB渗透攻击的方式主要是分析WEB访问日志。首先,准确性低,WEB访问日志里的信息是精简过的文本信息,其信息量较少,有些WEB渗透攻击无法仅从日志进行判断。其次,管理成本高,一般大中型企业的web服务器较多,如分析日志需要依赖优秀的日志管理系统,从而增加了企业的管理成本。再次,时效性差,一般发现攻击时攻击已经结束,无法及时响应。
技术实现思路
本申请提供一种监控网络攻击的方法,一种监控网络攻击的装置;以解决当前采用分析WEB访问日志检测WEB渗透攻击准确性低的问题。为了解决上述技术问题,本申请实施例提供了如下的技术方案:本申请提供了一种监控网络攻击的方法,包括:根据网络流量镜像信息获取HTTP访问请求信息;基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。可选的,所述根据网络流量镜像信息获取HTTP访问请求信息,包括:根据网络流量镜像信息获取访问请求信息;判断所述访问请求信息是否与HTTP协议的特征信息相关联;若是,则判定所述访问请求信息为HTTP访问请求信息。可选的,所述判断所述访问请求信息是否与HTTP协议的特征信息相关联,包括:判断所述访问请求信息的报文头的起始位置的字符串信息是否与HTTP协议的请求方法信息匹配,且判断所述访问请求信息的报文头的第一行信息是否满足预设条件。可选的,所述判断所述访问请求信息的报文头的第一行信息是否满足预设条件,包括:获取所述访问请求信息的报文头的第一行信息;判断所述第一行信息是否被空格符分割成三段信息,且判断第三段信息是否匹配预设正则表达式。可选的,所述基于攻击特征信息对所述HTTP访问请求信息进行分析,包括:依次从攻击特征信息集中获取攻击特征信息,并分别根据所述攻击特征信息对所述HTTP访问请求信息进行分析。可选的,所述根据所述攻击特征信息对所述HTTP访问请求信息进行分析,包括:根据所述攻击特征信息及多模匹配规则对所述HTTP访问请求信息进行分析。可选的,所述操作信息,包括:防御信息和安全信息;所述攻击特征信息,包括:第一特征信息和防御信息;所述根据分析结果获取对所述HTTP访问请求信息的操作信息,包括:如果所述HTTP访问请求信息与所述攻击特征信息集中攻击特征信息的第一特征信息相关联,则获取与所述第一特征信息相关联的防御信息,否则获取安全信息。可选的,所述防御信息,包括根据攻击程度划分的分类防御信息;所述方法还包括:根据所述分类防御信息进行对应的防御操作。可选的,所述分类防御信息包括:预警类信息和阻断类信息;所述根据所述分类防御信息进行对应的防御操作,包括:获取并分析所述分类防御信息;当所述分类防御信息为所述预警类信息,则发送警告信息;当所述分类防御信息为所述阻断类信息,则向所述HTTP访问请求信息的发送方和接收方分别发送旁路阻断信息。本申请提供了一种监控网络攻击的装置,包括:获取信息单元,用于根据网络流量镜像信息获取HTTP访问请求信息;分析信息单元,用于基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。基于上述实施例的公开可以获知,本申请实施例具备如下的有益效果:本申请提供了一种监控网络攻击的方法和装置,所述方法包括:根据网络流量镜像信息获取HTTP访问请求信息;基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。首先,从网络流量镜像信息中提取的HTTP应用信息是非常完整的,可检测内容较多,提高了检测的准确性。其次,提高了检测的时效性,可以在WEB攻击发生同时实时检测。再次,系统可以通过服务器的响应内容判定WEB攻击是否成功,并及时阻断及预警,防止事态恶化。同时,降低了管理成本。附图说明图1为本申请实施例提供的监控网络攻击的方法的流程图;图2为本申请实施例提供的监控网络攻击的装置的单元框图。具体实施方式下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。应理解的是,可以对此处公开的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。此后参照附图描述本申请的具体实施例;然而,应当理解,所公开的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。本申请提供一种监控网络攻击的方法;本申请还提供一种监控网络攻击的装置;本申请还提供一种监控网络攻击的计算机可读介质;本申请还提供一种监控网络攻击的电子设备。在下面的实施例中逐一进行详细说明。对本申请提供的第一实施例,即一种监控网络攻击的方法的实施例。下面结合图1对本实施例进行详细说明,其中,图1为本申请实施例提供的监控网络攻击的方法的流程图。步骤S101,根据网络流量镜像信息获取HTTP访问请求信息。WEB渗透攻击是指黑客利用HTTP访问请求信息针对WEB服务的攻击行为。目前主要的方式有:sql注入,利用xss漏洞,利用csrf漏洞,利用文件上传漏洞,利用敏感文件下载漏洞,及利用各种三方组件漏洞等。网络流量镜像信息是指通过交换机或分光设备将所有流经的原始网络的流量信息全部复制并发送到指定的设备端口。这样可以在不改动企业现有网络架构的基础上,通过分析镜像网络流量信息,监控网络设备的网络行为。由于网络流量镜像信息中的HTTP应用信息非常完整,本应用实施例从网络流量镜像信息中可获取更多的检测内容,从而提高了检测的准确性。本实施例就是对所述根据网络流量镜像信息获取HTTP访问请求信息,包括:步骤S101-1,根据网络流量镜像信息获取访问请求信息。所述访问请求信息也就是由被监控的网络设备以外的终端通过互联网发送给该网络设备的数据包。由于访问请求信息在传输过程本文档来自技高网...
【技术保护点】
1.一种监控网络攻击的方法,其特征在于,包括:根据网络流量镜像信息获取HTTP访问请求信息;基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。
【技术特征摘要】
1.一种监控网络攻击的方法,其特征在于,包括:根据网络流量镜像信息获取HTTP访问请求信息;基于攻击特征信息对所述HTTP访问请求信息进行分析,并根据分析结果获取对所述HTTP访问请求信息的操作信息。2.根据权利要求1所述的方法,其特征在于,所述根据网络流量镜像信息获取HTTP访问请求信息,包括:根据网络流量镜像信息获取访问请求信息;判断所述访问请求信息是否与HTTP协议的特征信息相关联;若是,则判定所述访问请求信息为HTTP访问请求信息。3.根据权利要求2所述的方法,其特征在于,所述判断所述访问请求信息是否与HTTP协议的特征信息相关联,包括:判断所述访问请求信息的报文头的起始位置的字符串信息是否与HTTP协议的请求方法信息匹配,且判断所述访问请求信息的报文头的第一行信息是否满足预设条件。4.根据权利要求3所述的方法,其特征在于,所述判断所述访问请求信息的报文头的第一行信息是否满足预设条件,包括:获取所述访问请求信息的报文头的第一行信息;判断所述第一行信息是否被空格符分割成三段信息,且判断第三段信息是否匹配预设正则表达式。5.根据权利要求1所述的方法,其特征在于,所述基于攻击特征信息对所述HTTP访问请求信息进行分析,包括:依次从攻击特征信息集中获取攻击特征信息,并分别根据所述攻击特征信息对所述HTTP访问请求信息进行分析。6.根据权利要求5所述的方法,其特征在...
【专利技术属性】
技术研发人员:刘斐然,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。