本申请公开了一种攻击检测方法、装置及一种电子设备和计算机可读存储介质,该方法包括:确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;从基础数据流中匹配符合目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅目标数据流并将目标数据流作为更新后的基础数据流发布至消息代理;将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入从基础数据流中匹配符合目标检测规则的目标数据流的步骤;若匹配到符合目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为,实现跨TCP流的攻击检测。
【技术实现步骤摘要】
一种攻击检测方法、装置及电子设备和存储介质
本申请涉及计算机
,更具体地说,涉及一种攻击检测方法、装置及一种电子设备和一种计算机可读存储介质。
技术介绍
NIDS(中文全称:网络入侵检测系统,英文全称:NetworkIntrusionDetectionSystem)用于检测网络流量中的特定模式并进行告警。NIPS(中文全称:网络入侵防御系统,英文全称:NetworkIntrusionPreventionSystem)用于实现对网络流量的检测并对特定的网络流量进行响应和控制,例如重置连接或阻止连接。以传统的基于签名的NIDS/NIPS为例,为实现对已知攻击的有效检测,通常需要开发用于检测已知攻击模式的规则即签名。于是为了保护某个类型应用的漏洞,并防御对应的一系列漏洞利用的攻击模式,往往就会开发一定数量的与前述攻击模式对应的检测规则。通过规则解析引擎将规则编译为多模匹配状态机,从而在网络流量中对攻击模式进行实时监测和响应。在上述方案中,针对攻击流量的跟踪仅仅局限在同一个TCP(中文全称:传输控制协议,英文全称:TransmissionControlProtocol)流中,当攻击者的攻击流程跨越多个不同的TCP流时,无法通过一系列规则准确描述其攻击流程,如果仅仅对其攻击流程的每个子TCP流特征进行规则提取,往往每条规则都是不完备的,容易导致大量误判,使得规则可用性和价值大幅降低。因此,如何实现跨TCP流的攻击检测是本领域技术人员需要解决的技术问题。
技术实现思路
本申请的目的在于提供一种攻击检测方法、装置及一种电子设备和一种计算机可读存储介质,实现跨TCP流的攻击检测,提升了规则表述准确性和可用性,进而提高了攻击检测的准确度。为实现上述目的,本申请提供了一种攻击检测方法,应用于检测引擎,包括:确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入从所述基础数据流中匹配符合所述目标检测规则的目标数据流的步骤;若匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为。其中,所述确定目标攻击行为中每个TCP流对应的检测规则之前,还包括:基于所述目标攻击行为交互双方之间的协议特征创建应用指纹;相应的,所述获取基础数据流,包括:接收数据流,并从所述数据流中匹配符合所述应用指纹的基础数据流。其中,还包括:若匹配到符合目标TCP流对应的目标检测规则的目标数据流,则判断是否存在目标跟踪;其中,所述目标TCP流为所述目标攻击行为中除所述第一个TCP流之外的TCP流,所述目标跟踪为第二订阅方在所述检测引擎匹配到符合所述第一个TCP流对应的目标检测规则的目标数据流时,在所述消息代理中注册的所述目标攻击行为对应的跟踪;若是,则执行所述将下一个TCP流对应的检测规则确定为目标检测规则的步骤。其中,所述判断是否存在目标跟踪,包括:判断所述目标TCP流与所述第一个TCP流的通信信息是否一致;若是,则判定存在所述目标跟踪。其中,在所述消息代理中注册的所述目标攻击行为对应的跟踪之后,还包括:基于所述第一个TCP流的通信信息按照预设计算规则计算所述目标跟踪的跟踪标识;相应的,所述判断是否存在目标跟踪,包括:基于所述目标TCP流的通信信息按照所述预设计算规则计算所述目标跟踪的目标跟踪标识;判断所述目标跟踪标识是否存在;若是,则判定存在所述目标跟踪。其中,所述通信信息包括源IP地址、目的IP地址、源端口和目的端口。为实现上述目的,本申请提供了一种攻击检测装置,包括:第一确定模块,用于确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;匹配模块,用于从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;第二确定模块,用于将下一个TCP流对应的检测规则确定为目标检测规则,并重新启动所述匹配模块的工作流程;判定模块,用于当匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流时,判定存在目标攻击行为。其中,还包括:创建模块,用于基于所述目标攻击行为交互双方之间的协议特征创建应用指纹;相应的,所述第一确定模块包括:第一确定单元,用于确定目标攻击行为中每个TCP流对应的检测规则;获取单元,用于接收数据流,并从所述数据流中匹配符合所述应用指纹的基础数据流;第二确定单元,用于将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则。为实现上述目的,本申请提供了一种电子设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如上述攻击检测方法的步骤。为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述攻击检测方法的步骤。通过以上方案可知,本申请提供的一种攻击检测方法,包括:确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入从所述基础数据流中匹配符合所述目标检测规则的目标数据流的步骤;若匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为。本申请提供的攻击检测方法,为目标攻击行为中的每个TCP流分别制定检测规则,对接收到的数据流依此匹配检测规则,当匹配到所有检测规则时,判定存在目标攻击行为。由此可见,本申请提供的攻击检测方法,实现一种跨TCP的多条检测规则环环相扣的模式,从而准确表述横跨多个TCP流的攻击流程,有效提升规则表述准确性和可用性,进而提高了攻击检测的准确度。本申请还公开了一种攻击检测装置及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附本文档来自技高网...
【技术保护点】
1.一种攻击检测方法,其特征在于,应用于检测引擎,包括:/n确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;/n从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;/n将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入从所述基础数据流中匹配符合所述目标检测规则的目标数据流的步骤;/n若匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为。/n
【技术特征摘要】
1.一种攻击检测方法,其特征在于,应用于检测引擎,包括:
确定目标攻击行为中每个TCP流对应的检测规则,获取基础数据流,并将所述目标攻击行为中第一个TCP流对应的检测规则确定为目标检测规则;
从所述基础数据流中匹配符合所述目标检测规则的目标数据流,以便第一订阅方通过消息代理订阅所述目标数据流并将所述目标数据流作为更新后的基础数据流发布至所述消息代理;
将下一个TCP流对应的检测规则确定为目标检测规则,并重新进入从所述基础数据流中匹配符合所述目标检测规则的目标数据流的步骤;
若匹配到符合所述目标攻击行为中最后一个TCP流对应的目标检测规则的目标数据流,则判定存在目标攻击行为。
2.根据权利要求1所述攻击检测方法,其特征在于,所述确定目标攻击行为中每个TCP流对应的检测规则之前,还包括:
基于所述目标攻击行为交互双方之间的协议特征创建应用指纹;
相应的,所述获取基础数据流,包括:
接收数据流,并从所述数据流中匹配符合所述应用指纹的基础数据流。
3.根据权利要求1所述攻击检测方法,其特征在于,还包括:
若匹配到符合目标TCP流对应的目标检测规则的目标数据流,则判断是否存在目标跟踪;其中,所述目标TCP流为所述目标攻击行为中除所述第一个TCP流之外的TCP流,所述目标跟踪为第二订阅方在所述检测引擎匹配到符合所述第一个TCP流对应的目标检测规则的目标数据流时,在所述消息代理中注册的所述目标攻击行为对应的跟踪;
若是,则执行所述将下一个TCP流对应的检测规则确定为目标检测规则的步骤。
4.根据权利要求3所述攻击检测方法,其特征在于,所述判断是否存在目标跟踪,包括:
判断所述目标TCP流与所述第一个TCP流的通信信息是否一致;
若是,则判定存在所述目标跟踪。
5.根据权利要求3所述攻击检测方法,其特征在于,在所述消息代理中注册的所述目标攻击行为对应的跟踪之后,还包括:
基于所述第一个TCP流的通信信息按照预设计算规则计算所述目标跟踪的跟踪标识;<...
【专利技术属性】
技术研发人员:庞思铭,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。