【技术实现步骤摘要】
网络攻击检测方法、网络攻击检测装置、电子设备和介质
本公开涉及信息安全
,更具体地,涉及一种网络攻击检测方法、网络攻击检测装置、电子设备和介质。
技术介绍
随着通信和计算机技术的快速发展,互联网信息安全成为人们日益关注的焦点。webshell是网络(web)入侵的脚本攻击工具。简单的说来,webshell就是木马后门,黑客在入侵了一个网站后,常常在将这些木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。相关技术的webshell攻击检测方法中,基于webshell特征检测网络数据流中是否存在类似“eval”、“system”等可命令执行函数,来确定网络数据流中是否存在网络攻击行为。在实现本公开构思的过程中,专利技术人发现相关技术中至少存在如下问题:黑客可以通过自定义加解密函数、利用异或(xor)、字符串反转、压缩、截断重组等方法来隐藏类似“eval”、“system”等...
【技术保护点】
1.一种由服务器端执行的网络攻击检测方法,包括:/n响应于接收到网络数据流,对所述网络数据流进行文件类型识别,以确定所述网络数据流中是否包括指定文件类型的文件;/n如果确定所述网络数据流中包括指定文件类型的文件,则对所述指定文件类型的文件进行编译,以获得操作码;/n获得所述操作码中的指定函数关联信息;以及/n基于所述指定函数关联信息对所述网络数据流进行网络攻击检测。/n
【技术特征摘要】
1.一种由服务器端执行的网络攻击检测方法,包括:
响应于接收到网络数据流,对所述网络数据流进行文件类型识别,以确定所述网络数据流中是否包括指定文件类型的文件;
如果确定所述网络数据流中包括指定文件类型的文件,则对所述指定文件类型的文件进行编译,以获得操作码;
获得所述操作码中的指定函数关联信息;以及
基于所述指定函数关联信息对所述网络数据流进行网络攻击检测。
2.根据权利要求1所述的方法,其中,所述获得所述操作码中的指定函数关联信息包括:
获得所述操作码中以下至少一种信息:
关键函数和所述关键函数的关键参数;以及
调用函数和所述调用函数的参数。
3.根据权利要求2所述的方法,其中,所述基于所述指定函数关联信息对所述网络数据流进行网络攻击检测包括:
确定所述关键函数和所述调用函数中的至少一个是否包括敏感函数,并且,确定所述关键参数和所述调用函数的参数中的至少一个是否包括敏感参数;以及
如果确定所述关键函数和所述调用函数中的至少一个包括敏感函数,和/或,如果确定所述关键参数和所述调用函数的参数中的至少一个包括敏感参数,则基于所述敏感函数和所述敏感参数中的至少一个对所述网络数据流进行网络攻击检测。
4.根据权利要求3所述的方法,还包括:在确定所述关键函数和所述调用函数中的至少一个包括敏感函数,和/或,确定所述关键参数和所述调用函数的参数中的至少一个包括敏感之后,
分析所述指定文件类型的文件的文本信息,以确定所述文本信息中是否存在指定文本信息的匹配结果,所述指定文本信息表征所述指定文件类型的文件包括敏感信息;以及
如果确定所述匹配结果为空,则确定所述网络数据流包括网络攻击文件。
5.根据权利要求3所述的方法,还包括:在确定所述关键函数和所述调用函数中的至少一个包括敏感函数之后,
给所述敏感函数增加钩子函数。
6.根据...
【专利技术属性】
技术研发人员:向祖庭,姚翼雄,谈文彬,索海东,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。