本发明专利技术提供一种高速流量下的攻击检测方法,应用于超Tbps速度流量的场景下,获取原始攻击信息,并对所述原始攻击信息进行解析,经序列化处理后存储到数据库中;对原始攻击进行无害化处理,形成模拟攻击,在所述数据库中记录所述模拟攻击与原始攻击之间的映射关系,并将所述模拟攻击发送至探针程序;探针程序获取模拟攻击请求,执行该模拟攻击;CC服务器监听所述模拟攻击中有效载荷所发送的上线请求,在监听到该上线请求后,将所述模拟攻击映射到对应的原始攻击信息,将所述原始攻击信息标记为有效攻击。有效攻击。有效攻击。
【技术实现步骤摘要】
一种高速流量下的攻击检测方法及装置
[0001]本专利技术涉及信息安全
,尤其涉及一种高速流量下的攻击检测方法及装置。
技术介绍
[0002]攻击检测技术是一种利用攻击所留下的相关历史痕迹信息,结合网络安全专家知识,经过逆向溯源分析寻找攻击源头和自身漏洞点的技术,该技术一方面可以帮助核实攻击者的身份,另一方面可以帮助系统管理员排查出系统本身存在的安全漏洞,从而减少信息系统的安全隐患。
[0003]然而,在超Tbps速度的流量中进行攻击检测的场景中,对会话重组提出了很高的要求。基于高速流量业务场景下的入侵检测往往只能基于单向流量进行分析。现有技术主要聚焦于单向流量中漏洞攻击行为的捕获,但是受限于流量的单向性,攻击请求的响应很大可能无法监测导致无法直接判断攻击是否成功,但在实际业务场景中系统管理员又十分重视攻击是否成功的判定,希望能够确定当前系统是否真的存在安全漏洞,从而为下一步为系统打补丁提供支持。
技术实现思路
[0004]本专利技术的主要目的在于提出一种高速流量下的攻击检测方法及装置,旨在解决如何提高高速流量业务场景下攻击检测的效率,实现对攻击行为的准确捕获。
[0005]为实现上述目的,本专利技术提供的一种高速流量下的攻击检测方法,应用于超Tbps速度流量的场景下,包括:步骤1,获取原始攻击信息,并对所述原始攻击信息进行解析,经序列化处理后存储到数据库中;步骤2,对原始攻击进行无害化处理,形成模拟攻击,在所述数据库中记录所述模拟攻击与原始攻击之间的映射关系,并将所述模拟攻击发送至探针程序;步骤3,探针程序获取模拟攻击请求,执行该模拟攻击;步骤4,CC服务器监听所述模拟攻击中有效载荷所发送的上线请求,在监听到该上线请求后,将所述模拟攻击映射到对应的原始攻击信息,将所述原始攻击信息标记为有效攻击。
[0006]其中,所述模拟攻击是将原始攻击信息中的shell代码改造成非侵入非攻击性的代码后得到的;其中,所述步骤4之前还包括:构建一个类似于僵尸网络CC服务的小型网络作为沙箱虚拟环境,对外提供一个或多个CC服务接口,并将接口植入到非侵入非攻击性处理后的代码里;其中,所述步骤4具体包括:CC服务器监听所述模拟攻击中有效载荷所发送的上线请求,当探针程序执行模拟攻击中的所述代码时,模拟攻击中有效载荷被触发,模拟受害者
设备会发起一次到CC接口的HTTP连接请求作为上线请求,在监听到该上线请求后,将所述模拟攻击映射到对应的原始攻击信息,将所述原始攻击信息标记为有效攻击。
[0007]其中,所述探针程序为分布式探针程序,用于获取待执行的模拟攻击,探针程序执行后,只发起一次或两次到CC接口的HTTP连接请求,不拉取其他数据或程序,从而感知到模拟受害者设备响应了所述模拟攻击。
[0008]本专利技术还提供了一种高速流量下的攻击检测装置,应用于超Tbps速度流量的场景下,包括:原始攻击获取模块,用于获取原始攻击信息,并对所述原始攻击信息进行解析,经序列化处理后存储到数据库中;模拟攻击生成模块,用于对原始攻击进行无害化处理,形成模拟攻击,在所述数据库中记录所述模拟攻击与原始攻击之间的映射关系,并将所述模拟攻击发送至探针程序;探针程序,用于获取模拟攻击请求,执行该模拟攻击;CC服务器,用于监听所述模拟攻击中有效载荷所发送的上线请求,在监听到该上线请求后,将所述模拟攻击映射到对应的原始攻击信息,将所述原始攻击信息标记为有效攻击。
[0009]其中,所述模拟攻击是将原始攻击信息中的shell代码改造成非侵入非攻击性的代码后得到的;其中,所述装置还包括:构建一个类似于僵尸网络CC服务的小型网络作为沙箱虚拟环境,对外提供一个或多个CC服务接口,并将接口植入到非侵入非攻击性处理后的代码里;其中,所述CC服务器具体包括:CC服务器监听所述模拟攻击中有效载荷所发送的上线请求,当探针程序执行模拟攻击中的所述代码时,模拟攻击中有效载荷被触发,模拟受害者设备会发起一次到CC接口的HTTP连接请求作为上线请求,在监听到该上线请求后,将所述模拟攻击映射到对应的原始攻击信息,将所述原始攻击信息标记为有效攻击。
[0010]其中,所述探针程序为分布式探针程序,用于获取待执行的模拟攻击,探针程序执行后,只发起一次或两次到CC接口的HTTP连接请求,不拉取其他数据或程序,从而感知到模拟受害者设备响应了所述模拟攻击。
[0011]本专利技术的有益效果包括:(1)本专利技术应用于超Tbps速度流量的场景下,解决了高速流量业务场景下攻击检测是,无法准确获取待检测攻击请求的响应信息的难题;(2)将原始攻击信息中的shell代码改造成非侵入非攻击性的代码,对原始攻击进行无害化处理,解决了如何在沙箱虚拟环境中进行攻击检测的难题;(3)采用分布式探针程序,探针程序执行后,只发起一次或两次到CC接口的HTTP连接请求,不拉取其他数据或程序,尽可能确保了被检测设备的数据安全。
附图说明
[0012]图1为本专利技术的方法流程图。
具体实施方式
[0013]本专利技术提供的高速流量下的攻击检测方法,应用于超Tbps速度流量的场景下,包
括:步骤1,获取原始攻击信息,并对所述原始攻击信息进行解析,经序列化处理后存储到数据库中;原始攻击信息一般为数据包形式,在对原始攻击信息解析时,可以提取出攻击的有效载荷(payload),该序列化处理将对象的状态信息转换为可以存储或传输的形式。
[0014]步骤2,对原始攻击进行无害化处理,形成模拟攻击,在所述数据库中记录所述模拟攻击与原始攻击之间的映射关系,并将所述模拟攻击发送至探针程序;例如,原始攻击信息的Payload代码会从远程服务器下载sh文件并执行,远程sh文件的代码为攻击者控制,可根据web服务的宿主权限执行一定的系统操作,比如反弹Shell、植入后门、开启Telnet服务等恶意行为。
[0015]通过改造如上的有效载荷Payload中的shell代码,可以将shell代码改造成非侵入非攻击性的代码,这样既能感知被攻击者响应了攻击,又能感知到攻击的Payload代码被执行了。
[0016]步骤3,探针程序获取模拟攻击请求,执行该模拟攻击;步骤4,CC服务器监听所述模拟攻击中有效载荷所发送的上线请求,在监听到该上线请求后,将所述模拟攻击映射到对应的原始攻击信息,将所述原始攻击信息标记为有效攻击。
[0017]其中,CC(Command&Control)服务器,即远程控制服务器,可以选择当前网络中一台服务器作为CC服务器。
[0018]其中,所述模拟攻击是将原始攻击信息中的shell代码改造成非侵入非攻击性的代码后得到的;其中,所述步骤4之前还包括:构建一个类似于僵尸网络CC服务的小型网络作为沙箱虚拟环境,对外提供一个或多个CC服务接口,并将接口植入到非侵入非攻击性处理后的代码里;如一种经过灭活的攻击Payload如下:action=&token=`;wgethttp://{CC API地址}/capturet本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种高速流量下的攻击检测方法,应用于超Tbps速度流量的场景下,其特征在于,包括:步骤1,获取原始攻击信息,并对所述原始攻击信息进行解析,经序列化处理后存储到数据库中;步骤2,对原始攻击进行无害化处理,形成模拟攻击,在所述数据库中记录所述模拟攻击与原始攻击之间的映射关系,并将所述模拟攻击发送至探针程序;步骤3,探针程序获取模拟攻击请求,执行该模拟攻击;步骤4,CC服务器监听所述模拟攻击中有效载荷所发送的上线请求,在监听到该上线请求后,将所述模拟攻击映射到对应的原始攻击信息,将所述原始攻击信息标记为有效攻击。2.如权利要求1所述的方法,其特征在于,其中,所述模拟攻击是将原始攻击信息中的shell代码改造成非侵入非攻击性的代码后得到的。3.如权利要求1所述的方法,其特征在于,其中,所述步骤4之前还包括:构建一个类似于僵尸网络CC服务的小型网络作为沙箱虚拟环境,对外提供一个或多个CC服务接口,并将接口植入到非侵入非攻击性处理后的代码里。4.如权利要求1所述的方法,其特征在于,其中,所述步骤4具体包括:CC服务器监听所述模拟攻击中有效载荷所发送的上线请求,当探针程序执行模拟攻击中的代码时,模拟攻击中有效载荷被触发,模拟受害者设备会发起一次到CC接口的HTTP连接请求作为上线请求,在监听到该上线请求后,将所述模拟攻击映射到对应的原始攻击信息,将所述原始攻击信息标记为有效攻击。5.如权利要求1所述的方法,其特征在于,其中,所述探针程序为分布式探针程序,用于获取待执行的模拟攻击,探针程序执行后,只发起一次或两次到CC接口的HTTP连接请求,不拉取其他数据或程序,从而感知到模拟受害者设备响应了所述模拟攻击。6.一种高速流量下的攻击检...
【专利技术属性】
技术研发人员:王大浩,
申请(专利权)人:苏州知微安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。