本申请公开了一种信息泄露攻击检测方法、装置、电子设备及计算机可读存储介质,该方法包括:获取待检测流量,并判断待检测流量中是否存在目标数据;目标数据为预设敏感数据;若存在目标数据,则对待检测流量进行异常网络行为检测,判断是否存在异常网络行为;若存在异常网络行为,则确定检测到信息泄露攻击;该方法在检测到目标数据后不会立即判定为检测到信息泄露攻击,而是进一步判断是否存在异常网络行为,在确定存在正常业务不会出现的异常网络行为后确定检测到信息泄露攻击,能够准确判断是否检测到信息泄露攻击,降低了信息泄露攻击的误报率。击的误报率。击的误报率。
【技术实现步骤摘要】
一种信息泄露攻击检测方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,特别涉及一种信息泄露攻击检测方法、信息泄露攻击检测装置、电子设备及计算机可读存储介质。
技术介绍
[0002]信息泄露攻击是一种以获取业务系统信息(客户私人信息,业务管理信息,公司内部人员资料等)为目的的攻击方式,攻击者通过某些攻击途径获取目标关键信息,并利用目标关键信息实现其目的。为了对信息泄露攻击进行防护,需要先将其检出,相关技术通常为业务系统设置对应的特征规则,在检测到与特征规则匹配的数据流出时认为检测到信息泄露攻击。然而,业务系统的某些正常业务也需要输出与特征规则匹配的数据,这样就会导致出现大量误报情况,因此相关技术的误报情况严重。
技术实现思路
[0003]有鉴于此,本申请的目的在于提供一种信息泄露攻击检测方法、信息泄露攻击检测装置、电子设备及计算机可读存储介质,降低信息泄露攻击检测的误报率。
[0004]为解决上述技术问题,本申请提供了一种信息泄露攻击检测方法,具体包括:
[0005]获取待检测流量,并判断所述待检测流量中是否存在目标数据;所述目标数据为预设敏感数据;
[0006]若存在所述目标数据,则对所述待检测流量进行异常网络行为检测,判断是否存在异常网络行为;
[0007]若存在所述异常网络行为,则确定检测到所述信息泄露攻击。
[0008]可选地,所述对所述待检测流量进行异常网络行为检测,判断是否存在异常网络行为,包括:
[0009]对所述待检测流量进行异常访问检测;
[0010]若检测到异常访问,则确定存在所述异常网络行为。
[0011]可选地,对所述待检测流量进行异常访问检测,包括:
[0012]确定所述目标数据对应的请求方,并获取所述请求方对应的访问参数;
[0013]判断所述访问参数是否处于预设区间;
[0014]若所述访问参数处于所述预设区间,则确定检测到所述异常访问。
[0015]可选地,所述获取所述请求方对应的访问参数,包括:
[0016]获取所述请求方对应的多个初始响应数据包;
[0017]基于所述初始响应数据包的内容对所述初始响应数据包进行去重处理,得到响应数据包;
[0018]利用所述响应数据包生成所述请求方对应的所述访问参数。
[0019]可选地,所述获取所述请求方对应的访问参数,包括:
[0020]确定所述目标数据对应的响应方;
[0021]计算所述请求方对所述响应方的访问频率,并将所述访问频率确定为所述访问参数。
[0022]可选地,所述获取所述请求方对应的访问参数,包括:
[0023]确定所述目标数据对应的响应方;
[0024]计算所述请求方对所述响应方的访问次数,并将所述访问次数确定为所述访问参数。
[0025]可选地,所述对所述待检测流量进行异常网络行为检测,判断是否存在异常网络行为,包括:
[0026]对所述待检测流量进行异常响应检测;
[0027]若检测到异常响应,则确定存在所述异常网络行为。
[0028]可选地,对所述待检测流量进行异常响应检测,包括:
[0029]确定所述目标数据所属的目标数据包,并获取所述目标数据包对应的目标数据数量;
[0030]判断所述目标数据数量是否大于预设数量阈值;
[0031]若大于所述预设数量阈值,则确定检测到所述异常响应。
[0032]可选地,所述判断所述待检测流量中是否存在目标数据,包括:
[0033]获取预设数据特征;
[0034]判断所述待检测流量中是否存在与所述预设数据特征相匹配的数据;
[0035]若存在与所述预设数据特征相匹配的部分,则确定存在所述目标数据,并将与所述预设数据特征相匹配的数据确定为所述目标数据。
[0036]本申请还提供了一种信息泄露攻击检测装置,包括:
[0037]目标数据判断模块,用于获取待检测流量,并判断所述待检测流量中是否存在目标数据;所述目标数据为预设敏感数据;
[0038]异常网络行为检测模块,用于若存在所述目标数据,则对所述待检测流量进行异常网络行为检测,判断是否存在异常网络行为;
[0039]检出模块,用于若存在所述异常网络行为,则确定检测到所述信息泄露攻击。
[0040]本申请还提供了一种电子设备,包括存储器和处理器,其中:
[0041]所述存储器,用于保存计算机程序;
[0042]所述处理器,用于执行所述计算机程序,以实现上述的信息泄露攻击检测方法。
[0043]本申请还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的信息泄露攻击检测方法。
[0044]本申请提供的信息泄露攻击检测方法,获取待检测流量,并判断待检测流量中是否存在目标数据;目标数据为预设敏感数据;若存在目标数据,则对待检测流量进行异常网络行为检测,判断是否存在异常网络行为;若存在异常网络行为,则确定检测到信息泄露攻击。
[0045]可见,该方法在获取待检测流量后,先判断其中是否存在目标数据,目标数据即为可能因遭受到信息泄露攻击而泄漏的数据,其本身为预设敏感数据。若存在,则为了准确判断是否由于遭受到信息泄露攻击造成了信息泄露,即准确判断是否检测到信息泄露攻击,进一步判断是否发生了异常网络行为。信息泄露攻击会导致大量目标数据被发送响应,这
种数据输出方式由异常网络行为引起,不可能出现在正常业务中,因此若检测到存在异常网络行为,则可以确定检测到信息泄露攻击。该方法在检测到目标数据后不会立即判定为检测到信息泄露攻击,而是进一步判断是否存在异常网络行为,在确定存在正常业务不会出现的异常网络行为后确定检测到信息泄露攻击,降低了信息泄露攻击的误报率,解决了相关技术误报情况严重的问题。
[0046]此外,本申请还提供了一种信息泄露攻击检测装置、电子设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
[0047]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0048]图1为本申请实施例提供的一种信息泄露攻击检测方法流程图;
[0049]图2为本申请实施例提供的一种异常响应检测过程流程图;
[0050]图3为本申请实施例提供的一种异常访问检测过程流程图;
[0051]图4为本申请实施例提供的一种目标数据检测过程流程图;
[0052]图5为本申请实施例提供的一种具体的信息泄露攻击检测过程流程图;
[0053]图6为本申请实施例提供的一种信息泄露攻击检测装置的结构示意图;
[0054]图7本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种信息泄露攻击检测方法,其特征在于,包括:获取待检测流量,并判断所述待检测流量中是否存在目标数据;所述目标数据为预设敏感数据;若存在所述目标数据,则对所述待检测流量进行异常网络行为检测,判断是否存在异常网络行为;若存在所述异常网络行为,则确定检测到所述信息泄露攻击。2.根据权利要求1所述的信息泄露攻击检测方法,其特征在于,所述对所述待检测流量进行异常网络行为检测,判断是否存在异常网络行为,包括:对所述待检测流量进行异常访问检测;若检测到异常访问,则确定存在所述异常网络行为。3.根据权利要求2所述的信息泄露攻击检测方法,其特征在于,对所述待检测流量进行异常访问检测,包括:确定所述目标数据对应的请求方,并获取所述请求方对应的访问参数;判断所述访问参数是否处于预设区间;若所述访问参数处于所述预设区间,则确定检测到所述异常访问。4.根据权利要求3所述的信息泄露攻击检测方法,其特征在于,所述获取所述请求方对应的访问参数,包括:获取所述请求方对应的多个初始响应数据包;基于所述初始响应数据包的内容对所述初始响应数据包进行去重处理,得到响应数据包;利用所述响应数据包生成所述请求方对应的所述访问参数。5.根据权利要求3所述的信息泄露攻击检测方法,其特征在于,所述获取所述请求方对应的访问参数,包括:确定所述目标数据对应的响应方;计算所述请求方对所述响应方的访问频率,并将所述访问频率确定为所述访问参数。6.根据权利要求3所述的信息泄露攻击检测方法,其特征在于,所述获取所述请求方对应的访问参数,包括:确定所述目标数据对应的响应方;计算所述请求方对所述响应方的访问次数,并将所述访问次数确定为所述访问参数。7.根据权利要求1所述的信息泄露...
【专利技术属性】
技术研发人员:岳巍,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。