本发明专利技术实施例提供了一种网络攻击的检测方法、装置、计算机设备及存储介质。其方法包括:获取第一网络报文;提取所述第一网络报文的报文载荷;检测所述第一网络报文的报文载荷中是否存在敏感信息;在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的至少一个第二网络报文;提取所述第二网络报文的报文载荷;检测所述第二网络报文的报文载荷中是否存在攻击命令;在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
A network attack detection method, device, device and storage medium
【技术实现步骤摘要】
一种网络攻击的检测方法、装置、设备及存储介质
本专利技术实施例涉及网络安全
,尤其涉及一种网络攻击的检测方法、装置、设备及存储介质。
技术介绍
随着计算机技术的不断发展和互联网的普及,网络攻击形式层出不穷,网络安全问题日益突出,造成的社会影响和经济损失越来越大,对网络威胁检测与防御提出了新的需求和挑战。其中一种探测漏洞的网络攻击方式是利用目标主机的漏洞获取敏感信息,其攻击方式为:攻击者通过一台主机向目标主机发送网络命令,指示目标主机向攻击者的另一台主机发送网络报文,通过该网络报文携带攻击者指示获取的敏感信息,造成敏感信息外泄。传统的攻击检测方式需要根据网络报文所使用的网络协议对网络报文进行拆解,从中提取待检测的特征字段,进行攻击检测。但上述网络攻击方式中,可采取多种网络协议进行攻击,例如HTTP协议(HyperTextTransferProtocol,超文本传输协议)、FTP协议(FileTransferProtocol,文本传输协议)、TELNET(一种远程登陆命令)协议等等,而其中的FTP协议、TELNET协议等协议的网络报文难以进行拆解,因此传统的攻击检测方式无法适用于上述网络攻击方式。
技术实现思路
本专利技术实施例提供及一种网络攻击的检测方法、装置、设备及存储介质,以实现对漏洞探测攻击的检测,以实现对利用目标主机漏洞获取敏感信息的网络攻击的识别。第一方面,本专利技术实施例提供一种网络攻击的检测方法,包括:获取目标主机第一网络报文;提取所述第一网络报文的报文载荷;检测所述第一网络报文的报文载荷中是否存在敏感信息;在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;提取所述第二网络报文的报文载荷;检测所述第二网络报文的报文载荷中是否存在攻击命令;在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。可选的,所述第二网络报文的目的地址与所述第一网络报文的源地址相同。可选的,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。可选的,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。可选的,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配;获取匹配成功的第二网络报文。可选的,所述在检测到所述第一网络报文的报文载荷中存在敏感信息后,所述方法还包括:发送用于指示存在危险执行动作的告警提示信息。可选的,所述在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,进一步包括:在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文对应的响应报文;在确定所述响应报文为确认响应后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文。可选的,所述检测所述第一网络报文的报文载荷中是否存在敏感信息,包括:调用预先建立的敏感信息检测模型检测所述第一网络请求的报文载荷中是否存在敏感信息,所述敏感信息检测模型是由已知的外泄敏感信息样本训练得到的。可选的,所述检测所述第二网络报文的报文载荷中是否存在攻击命令,包括:调用预先建立的攻击命令检测模型检测所述第二网络报文的报文载荷中是否存在攻击命令。第二方面,本专利技术实施例提供一种网络攻击的检测装置,包括:第一网络报文获取模块,用于获取目标主机的第一网络报文;第一报文载荷提取模块,用于提取所述第一网络报文的报文载荷;敏感信息检测模块,用于检测所述第一网络报文的报文载荷中是否存在敏感信息;第二网络报文获取模块,用于在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;第二报文载荷提取模块,用于提取所述第二网络报文的报文载荷;攻击命令检测模块,用于检测所述第二网络报文的报文载荷中是否存在攻击命令;攻击成功告警模块,用于在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。可选的,所述第二网络报文的目的地址与所述第一网络报文的源地址相同。可选的,所述第二网络报文获取模块用于:获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。可选的,所述第二网络报文获取模块用于:获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。可选的,所述第二网络报文获取模块用于:调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配;获取匹配成功的第二网络报文。可选的,所述装置还包括危险动作告警模块,用于:在检测到所述第一网络报文的报文载荷中存在敏感信息后发送用于指示存在危险执行动作的告警提示信息。可选的,所述第二网络报文获取模块进一步用于:在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文对应的响应报文;在确定所述响应报文为确认响应后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文。可选的,所述敏感信息检测模块用于:调用预先建立的敏感信息检测模型检测所述第一网络请求的报文载荷中是否存在敏感信息,所述敏感信息检测模型是由已知的外泄敏感信息样本训练得到的。可选的,所述攻击命令检测模块用于:调用预先建立的攻击命令检测模型检测所述第二网络报文的报文载荷中是否存在攻击命令。第三方面,本专利技术实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意实施例的方法。第四方面,本专利技术实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任意实施例的方法。本专利技术实施例有益效果如下:无论网络报文传输格式如何(即采取何种网络协议传输),其底层通信协议均为TCP协议,因此,本专利技术实施例中,不需要根据网络报文进行拆解,而是提取其报文载荷,直接对报文载荷进行检测。因此,可以对第一网络报文进行敏感信息检测,若检测出敏感信息,意味着可能存在网络攻击,因此进行回溯,即获取第一网络报文之前的第二网络报文,检测其中是否存在指示获取上述敏感信息的攻击命令,其检测方式也不需要进行报文拆解,因此适用任何网络协议。可见,采用本专利技术实施例提供的技术方案,可以实现对本文档来自技高网...
【技术保护点】
1.一种网络攻击的检测方法,其特征在于,包括:/n获取目标主机的第一网络报文;/n提取所述第一网络报文的报文载荷;/n检测所述第一网络报文的报文载荷中是否存在敏感信息;/n在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;/n提取所述第二网络报文的报文载荷;/n检测所述第二网络报文的报文载荷中是否存在攻击命令;/n在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。/n
【技术特征摘要】
1.一种网络攻击的检测方法,其特征在于,包括:
获取目标主机的第一网络报文;
提取所述第一网络报文的报文载荷;
检测所述第一网络报文的报文载荷中是否存在敏感信息;
在检测到所述第一网络报文的报文载荷中存在敏感信息后,获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文;
提取所述第二网络报文的报文载荷;
检测所述第二网络报文的报文载荷中是否存在攻击命令;
在检测到所述第二网络报文的报文载荷中存在攻击命令后,发送用于指示攻击成功的告警提示信息。
2.根据权利要求1所述的方法,其特征在于,所述第二网络报文的目的地址与所述第一网络报文的源地址相同。
3.根据权利要求2所述的方法,其特征在于,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:
获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。
4.根据权利要求2所述的方法,其特征在于,所述获取所述第一网络报文之前的至少一个第二网络报文,包括:
获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。
5.根据权利要求2所述的方法,其特征在于,所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文,包括:
调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配;
获取匹配成功的第二网络报文。
6.根据权利要求1~5任一项所述的方法,其特征在于,所述在检测到所述第一网络报文的报文载荷中存在敏感信息后,所述方法还包括...
【专利技术属性】
技术研发人员:张鑫,高雪峰,
申请(专利权)人:北京奇虎科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。