本发明专利技术提供了一种攻击流量检测的方法、装置、存储介质及电子设备,其中,该方法包括:获取客户端发送的请求信息,根据请求信息生成与客户端对应的标识信息;将标识信息与预设的攻击工具标识库进行匹配处理,当标识信息与攻击工具标识库相匹配时,将标识信息与预设的白流量标识库进行匹配处理;在标识信息与白流量标识库不匹配时,根据请求信息判断是否存在异常;在请求信息存在异常时,确定客户端存在攻击行为。通过本发明专利技术实施例提供的攻击流量检测的方法、装置、存储介质及电子设备,可以更加全面的收集各类标识,且能够检测出标识碰撞,避免单一标识库判断错误;基于行为检测机制进一步判断客户端是否异常,可以提高检测的准确度。
【技术实现步骤摘要】
一种攻击流量检测的方法、装置、存储介质及电子设备
本专利技术涉及攻击流量检测
,具体而言,涉及一种攻击流量检测的方法、装置、存储介质及电子设备。
技术介绍
目前,加密数据攻击行为检测越来越重要,HTTPS(HyperTextTransferProtocolSecure,超文本传输安全协议)攻击流量检测一直是难点。现有检测方案有的基于流量行为进行检测,但某些固定场景的业务请求与攻击工具在流量行为上存在相似点,不能单纯依赖流量行为检出。若单纯的利用JA3指纹(一种TLS指纹,该指纹由JohnB.Althouse、JeffAtkinson、JoshAtkins三个人创建),在大流量的情况下,正常应用JA3指纹和攻击工具JA3指纹也可能存在碰撞,即两种指纹相同,导致攻击行为检测准确度不高,效果不理想。
技术实现思路
为解决上述问题,本专利技术实施例的目的在于提供一种攻击流量检测的方法、装置、存储介质及电子设备。第一方面,本专利技术实施例提供了一种攻击流量检测的方法,包括:获取客户端发送的请求信息,根据所述请求信息生成与所述客户端对应的标识信息;将所述标识信息与预设的攻击工具标识库进行匹配处理,当所述标识信息与所述攻击工具标识库相匹配时,将所述标识信息与预设的白流量标识库进行匹配处理;在所述标识信息与所述白流量标识库不匹配时,根据所述请求信息判断是否存在异常;在所述请求信息存在异常时,确定所述客户端存在攻击行为。第二方面,本专利技术实施例还提供了一种攻击流量检测的装置,包括:获取模块,用于获取客户端发送的请求信息,根据所述请求信息生成与所述客户端对应的标识信息;匹配模块,用于将所述标识信息与预设的攻击工具标识库进行匹配处理,当所述标识信息与所述攻击工具标识库相匹配时,将所述标识信息与预设的白流量标识库进行匹配处理;异常判断模块,用于在所述标识信息与所述白流量标识库不匹配时,根据所述请求信息判断是否存在异常;处理模块,用于在所述请求信息存在异常时,确定所述客户端存在攻击行为。第三方面,本专利技术实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于上述任意一项所述的攻击流量检测的方法。第四方面,本专利技术实施例还提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述任意一项所述的攻击流量检测的方法。本专利技术实施例上述第一方面提供的方案中,基于预先设置的攻击工具标识库和白流量标识库综合判断客户端是否存在攻击行为的嫌疑,之后基于客户端发送的请求消息中的内容进一步判断,最终确定该客户端是否存在攻击行为。该方式预先设置攻击工具标识库和白流量标识库,可以更加全面的收集各类标识,且能够检测出标识碰撞,避免单一标识库判断错误;同时基于判断请求信息中是否存在与攻击行为相关的异常信息,基于行为检测机制进一步判断客户端是否异常,从而可以更加准确地进行判断,提高检测的准确度。为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出了本专利技术实施例所提供的一种攻击流量检测的方法的流程图;图2示出了本专利技术实施例所提供的攻击流量检测的方法中,根据请求信息判断是否存在异常的具体方法流程图;图3示出了本专利技术实施例所提供的一种攻击流量检测的装置的结构示意图;图4示出了本专利技术实施例所提供的用于执行攻击流量检测的方法的电子设备的结构示意图。具体实施方式在本专利技术的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本专利技术和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本专利技术的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本专利技术的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。在本专利技术中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本专利技术中的具体含义。本专利技术实施例提供的一种攻击流量检测的方法,由本地设备执行,该本地设备可以为服务器,也可以为其他设备。参见图1所示,该方法包括:步骤101:获取客户端发送的请求信息,根据请求信息生成与客户端对应的标识信息。本专利技术实施例中,客户端可以为与本地设备之间通信的设备、浏览器或者应用程序,当客户端与本地设备进行通信时,客户端需要发送请求信息;对于有攻击行为的客户端,该客户端也需要发送请求信息。具体的,该请求信息可以为请求建立通信连接的消息,例如,请求信息可以为握手消息。在获取到请求消息后,基于请求消息中的字段即可生成与该客户端对应的标识信息;同时,通过选取请求消息中数值唯一的一个或多个字段,可以生成与该客户端唯一对应的标识信息。步骤102:将标识信息与预设的攻击工具标识库进行匹配处理,当标识信息与攻击工具标识库相匹配时,将标识信息与预设的白流量标识库进行匹配处理。本专利技术实施例中,预先设置攻击工具标识库。具体的,收集市面上或网络上的各种攻击工具,不同的攻击工具在不同的操作系统上运行,通过攻击工具发送请求信息的方式采集相应的攻击工具标识,并将采集到的攻击工具标识添加至该攻击工具标识库中。其中,“不同的攻击工具”指的是不同名称的攻击工具,或者是同一名称但不同版本号的攻击工具;相应的,“不同的操作系统”指的是不同名称的操作系统,或者是同一名称但不同版本号的操作系统,所采集的攻击工具标识的名称格式可以为:攻击工具名+攻击工具版本号+操作系统名+操作系统版本号,例如:burpsuite_V1.2_Win10_V10.0.1.174。本实施例中,攻击工具指web攻击工具,例如,burpsuite、Acu本文档来自技高网...
【技术保护点】
1.一种攻击流量检测的方法,其特征在于,包括:/n获取客户端发送的请求信息,根据所述请求信息生成与所述客户端对应的标识信息;/n将所述标识信息与预设的攻击工具标识库进行匹配处理,当所述标识信息与所述攻击工具标识库相匹配时,将所述标识信息与预设的白流量标识库进行匹配处理;/n在所述标识信息与所述白流量标识库不匹配时,根据所述请求信息判断是否存在异常;/n在所述请求信息存在异常时,确定所述客户端存在攻击行为。/n
【技术特征摘要】
1.一种攻击流量检测的方法,其特征在于,包括:
获取客户端发送的请求信息,根据所述请求信息生成与所述客户端对应的标识信息;
将所述标识信息与预设的攻击工具标识库进行匹配处理,当所述标识信息与所述攻击工具标识库相匹配时,将所述标识信息与预设的白流量标识库进行匹配处理;
在所述标识信息与所述白流量标识库不匹配时,根据所述请求信息判断是否存在异常;
在所述请求信息存在异常时,确定所述客户端存在攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述请求信息包括握手消息,所述根据所述请求信息生成与所述客户端对应的标识信息包括:
确定所述握手消息中的多个字段,并确定每个字段中的一个或多个值,所述握手消息包括协议版本号字段、密码套件字段、扩展信息字段、椭圆曲线密码字段、椭圆曲线密码格式字段中的多项;
将多个所述字段中的所有值串接形成整体字符串,根据所述整体字符串生成所述客户端的指纹标识;将所述指纹标识作为所述客户端的所述标识信息。
3.根据权利要求1所述的方法,其特征在于,在所述将所述标识信息与预设的攻击工具标识库进行匹配处理之前,还包括:
获取所述客户端在预设时间段内发送的多个相同的请求信息,并确定相应的请求频率;
在所述请求频率大于预设频率值时,将所述客户端的所述标识信息与预设的攻击工具标识库进行匹配处理。
4.根据权利要求1所述的方法,其特征在于,还包括:
在所述标识信息与所述白流量标识库相匹配时,判断所述请求信息中是否存在浏览器参数;
在所述请求信息中存在浏览器参数时,确定所述客户端正常;在所述请求信息中不存在浏览器参数时,执行所述根据所述请求信息判断是否存在异常的过程。
5.根据权利要求1所述的方法,其特征在于,所述根据所述请求信息判断是否存在异常包括:
对所述客户端在预设时间段内发送的多个相同的请求信息进行统计,生成统计检测参数,并确定所述请求信息的协议检测参数;所述统计检测参数包括请求频率、端口分布连续性、流时间间隔方差、下行数据包的包长方差中的一项或多项,所述协议检测参数包括随机数值、随机数值中可见字符连续个数、多个所述请求信息中随机数值的重复率、加密套件个数中的一项或多项;
在所述统计检测参数和所述协议检测参数中至少一项参数异常时,确定所述客户端存在异常。
6.根据权利要求5所述的方法,其特征在于,所述生成统计检测参数包括:
生成请求频率的过程、生成端口分布连续性的过程、生成流时间间隔方差的过程、生成下行数据包的包长方差的过程中的一个或...
【专利技术属性】
技术研发人员:赖文杰,刘燚,
申请(专利权)人:北京观成科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。