【技术实现步骤摘要】
一种业务漏洞攻击行为的检测方法及装置
本申请涉及网络安全
,尤其涉及一种业务漏洞攻击行为的检测方法和装置。
技术介绍
随着网络技术的发展,网络设备在企业中发挥着越来越重要的作用。为了防止网络设备被攻击,通常会在网络环境中部署IPS(IntrusionPreventionSystem,入侵防御系统)设备来监测网络设备并隔离异常的网络流量。一般的,网络设备可能会存在一些业务漏洞,例如常见的未授权访问漏洞。而不法分子正会利用这些漏洞对网络设备发起攻击,举例来说,攻击者可以向网络设备发送携带有错误的鉴权信息的访问请求,而网络设备却对该访问请求进行正常的应答。然而,目前的IPS设备无法检测到对这类业务漏洞的攻击行为,这带来了极大的安全隐患。
技术实现思路
针对上述技术问题,本申请提供了一种业务漏洞攻击行为的检测方法及装置,可以检测访问报文是否为攻击报文。根据本申请的第一方面,提供一种业务漏洞攻击行为的检测方法,该方法应用于IPS设备,该方法包括:接收访问报文;在确定所述...
【技术保护点】
1.一种业务漏洞攻击行为的检测方法,其特征在于,应用于IPS设备,所述IPS设备位于内网中,所述方法包括:/n接收访问报文;/n在确定所述访问报文所访问的目标业务存在业务漏洞的情况下,确定所述访问报文是否携带与该类型访问报文对应的正常访问参数;/n若否,则确定所述访问报文为攻击报文。/n
【技术特征摘要】
1.一种业务漏洞攻击行为的检测方法,其特征在于,应用于IPS设备,所述IPS设备位于内网中,所述方法包括:
接收访问报文;
在确定所述访问报文所访问的目标业务存在业务漏洞的情况下,确定所述访问报文是否携带与该类型访问报文对应的正常访问参数;
若否,则确定所述访问报文为攻击报文。
2.根据权利要求1所述的方法,其特征在于,所述确定所述访问报文所访问的目标业务存在业务漏洞,包括:
在异常业务列表中查找是否存在所述目标业务;其中,所述异常业务列表中记录了所述内网中网络设备所提供的所有存在业务漏洞的业务;
若存在,则确定所述访问报文所访问的目标业务存在业务漏洞;
或者,
模拟外网设备向该网络设备的目标业务发送漏洞攻击报文,并接收所述网络设备返回的应答报文;
若所述应答报文指示允许访问所述目标业务,则确定所述目标业务存在该业务漏洞。
3.根据权利要求2所述的方法,其特征在于,所述异常业务列表通过如下方式生成:
针对所述内网中各网络设备所提供的业务,以该网络设备的信息、该网络设备所提供的业务的信息为关键字,在预设的网络设备信息、业务信息与业务漏洞的对应关系中,查找与该关键字对应的至少一个业务漏洞;
针对每一个查找到的业务漏洞,检测网络设备所提供的业务是否存在该业务漏洞;
若存在,则将与该业务漏洞对应的业务添加至所述异常业务列表。
4.根据权利要求3所述的方法,其特征在于,所述检测网络设备所提供的业务是否存在该业务漏洞,包括:
模拟外网设备向该网络设备所提供的业务发起漏洞攻击报文,并接收所述网络设备返回的应答报文;
若所述应答报文指示允许访问该业务,则确定该网络设备提供的业务存在该业务漏洞;
若所述应答报文指示拒绝访问该业务,则确定该网络设备提供的业务不存在该业务漏洞。
5.根据权利要求1所述的方法,其特征在于,所述确定所述访问报文是否携带与该类型访问报文对应的正常访问参数,包括:
获取所述访问报文所访问的目标业务对应的业务模板;所述业务模板包括:所述业务模板为实现所述目标业务访问的各类型访问报文、及各类型访问报文对应的正常访问参数;
以所述访问报文的类型为关键字,在所述业务模板中查找与该关键字对应的正常访问参数;
若所述访问报文中携带了该查找到的正常访问参数,则确定所述访问报文携带与该类型访问报文对应的正常访问参数;
若所述访问报文中未携带该查找到的所述正常访问参数,则确定所述访问报文未携带与该类型访问报文对应的正常访问参数。
6.根据权利要求1所述的方法,其特征在于,所述业务漏洞为未授权访问漏洞;
当所述访问报文的类型为鉴权报文时,所述鉴权报文对应的正常访问参数包括认证参数,所述认证参数包括用户标识和/或用户鉴权信息。
7.一种业务漏洞攻击行为的检测装置,其特...
【专利技术属性】
技术研发人员:李剑,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。