一种攻击研判方法及装置,涉及网络安全技术领域,该攻击研判方法包括:先获取目标客户端在目标通信会话中发送的请求报文;再根据预先构建的攻击研判规则集对请求报文进行网络攻击检测,得到检测结果;当根据检测结果确定出存在网络攻击威胁时,将请求报文确定为可疑报文,并根据检测结果确定对可疑报文进行安全防护处理的动作类型;最后根据动作类型对可疑报文进行安全防护处理。可见,实施该方法不需要对所有的响应报文进行攻击检测,保证了攻击检测性能,从而减小了网络延迟。从而减小了网络延迟。从而减小了网络延迟。
【技术实现步骤摘要】
一种攻击研判方法及装置
[0001]本申请涉及网络安全
,具体而言,涉及一种攻击研判方法及装置。
技术介绍
[0002]目前,随着互联网技术的发展,网站(Web)应用越来越受到业务系统的重视。与此同时,基于HTTP的网络通信安全问题也越来越受到重视。现有的攻击研判方法,通常是通过对所有请求报文和响应报文都进行网络攻击检测。在实践中发现,现有方法需要对所有的响应报文进行攻击检测,从而导致了攻击检测性能的降低,进而增加了网络延迟。
技术实现思路
[0003]本申请实施例的目的在于提供一种攻击研判方法及装置,不需要对所有的响应报文进行攻击检测,保证了攻击检测性能,从而减小了网络延迟。
[0004]本申请实施例第一方面提供了一种攻击研判方法,包括:
[0005]获取目标客户端在目标通信会话中发送的请求报文;
[0006]根据预先构建的攻击研判规则集对所述请求报文进行网络攻击检测,得到检测结果;
[0007]当根据所述检测结果确定出存在网络攻击威胁时,将所述请求报文确定为可疑报文,并根据所述检测结果确定对所述可疑报文进行安全防护处理的动作类型;
[0008]根据所述动作类型对所述可疑报文进行安全防护处理。
[0009]在上述实现过程中,先获取目标客户端在目标通信会话中发送的请求报文;再根据预先构建的攻击研判规则集对请求报文进行网络攻击检测,得到检测结果;当根据所述检测结果确定出存在网络攻击威胁时,将请求报文确定为可疑报文,并根据检测结果确定对可疑报文进行安全防护处理的动作类型;最后根据动作类型对可疑报文进行安全防护处理。可见,实施该方法不需要对所有的响应报文进行攻击检测,保证了攻击检测性能,从而减小了网络延迟。
[0010]进一步地,在获取所述目标客户端在目标通信会话中发送的请求报文之前,所述方法还包括:
[0011]获取原始规则库;
[0012]对所述原始规则库进行解析,得到解析规则集合;
[0013]确定所述解析规则集合中的目标规则,所述目标规则包括检测请求报文的第一相关选项和检测响应报文的第二相关选项;
[0014]根据所述目标规则中的所述第一相关选项,生成第一规则,并根据所述第二相关选项,生成第二规则;所述第二规则的动作类型继承自所述第一规则;
[0015]将所述第一规则的响应规则指针指向所述第一规则,并将所述第一规则加入到请求阶段规则集中,得到攻击研判规则集并存储。
[0016]进一步地,所述根据预先构建的攻击研判规则集对所述请求报文进行网络攻击检
测,得到检测结果,包括:
[0017]根据预先构建的攻击研判规则集对所述请求报文进行规则匹配,得到匹配结果;
[0018]根据匹配结果判断是否命中所述攻击研判规则集中的规则;
[0019]如果是,获取命中所述攻击研判规则集中的规则,得到目标命中规则;
[0020]确定所述目标命中规则对应的动作类型;
[0021]生成包括所述目标命中规则和所述动作类型的检测结果,并根据所述检测结果确定存在网络攻击威胁,以及执行所述的将所述请求报文确定为可疑报文。
[0022]进一步地,所述根据所述动作类型对所述可疑报文进行安全防护处理,包括:
[0023]当所述动作类型为阻断时,则丢弃所述可疑报文,并删除所述目标通信会话。
[0024]进一步地,所述根据所述动作类型对所述可疑报文进行安全防护处理,包括:
[0025]当所述动作类型为告警时,则判断所述目标命中规则对应的响应规则指针是否为非空;
[0026]如果是,则根据所述响应规则指针获取所述目标命中规则的关联规则;
[0027]将所述目标通信会话的研判规则指针指向所述关联规则;
[0028]在获取到所述可疑报文对应的响应报文时,通过所述关联规则对所述响应报文进行攻击研判处理。
[0029]进一步地,所述方法还包括:
[0030]当判断出所述响应规则指针不是非空时,则输出针对所述可疑报文的第一告警提示信息。
[0031]进一步地,所述通过所述关联规则对所述响应报文进行攻击研判处理,包括:
[0032]获取所述研判规则指针指向的所述关联规则;
[0033]判断所述响应报文是否命中所述关联规则;
[0034]如果是,根据所述关联规则继承的动作类型输出针对所述可疑报文和所述响应报文的第二告警提示信息。
[0035]本申请实施例第二方面提供了一种攻击研判装置,所述攻击研判装置包括:
[0036]第一获取单元,用于获取目标客户端在目标通信会话中发送的请求报文;
[0037]检测单元,用于根据预先构建的攻击研判规则集对所述请求报文进行网络攻击检测,得到检测结果;
[0038]确定单元,用于在根据所述检测结果确定出存在网络攻击威胁时,将所述请求报文确定为可疑报文,并根据所述检测结果确定对所述可疑报文进行安全防护处理的动作类型;
[0039]处理单元,用于根据所述动作类型对所述可疑报文进行安全防护处理。
[0040]在上述实现过程中,第一获取单元先获取目标客户端在目标通信会话中发送的请求报文;检测单元再根据预先构建的攻击研判规则集对请求报文进行网络攻击检测,得到检测结果;然后确定单元在根据检测结果确定出存在网络攻击威胁时,将请求报文确定为可疑报文,并根据检测结果确定对可疑报文进行安全防护处理的动作类型;最后处理单元根据动作类型对可疑报文进行安全防护处理。可见,实施该方法不需要对所有的响应报文进行攻击检测,保证了攻击检测性能,从而减小了网络延迟。
[0041]本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储
器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的攻击研判方法。
[0042]本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的攻击研判方法。
附图说明
[0043]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0044]图1为本申请实施例提供的一种攻击研判方法的流程示意图;
[0045]图2为本申请实施例提供的一种攻击研判装置的结构示意图;
[0046]图3是本申请实施例提供的一种请求方向的攻击检测流程示意图;
[0047]图4是本申请实施例提供的一种响应方向的攻击检测流程示意图。
具体实施方式
[0048]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击研判方法,其特征在于,包括:获取目标客户端在目标通信会话中发送的请求报文;根据预先构建的攻击研判规则集对所述请求报文进行网络攻击检测,得到检测结果;当根据所述检测结果确定出存在网络攻击威胁时,将所述请求报文确定为可疑报文,并根据所述检测结果确定对所述可疑报文进行安全防护处理的动作类型;根据所述动作类型对所述可疑报文进行安全防护处理。2.根据权利要求1所述的攻击研判方法,其特征在于,在获取所述目标客户端在目标通信会话中发送的请求报文之前,所述方法还包括:获取原始规则库;对所述原始规则库进行解析,得到解析规则集合;确定所述解析规则集合中的目标规则,所述目标规则包括检测请求报文的第一相关选项和检测响应报文的第二相关选项;根据所述目标规则中的所述第一相关选项,生成第一规则,并根据所述第二相关选项,生成第二规则;所述第二规则的动作类型继承自所述第一规则;将所述第一规则的响应规则指针指向所述第一规则,并将所述第一规则加入到请求阶段规则集中,得到攻击研判规则集并存储。3.根据权利要求1所述的攻击研判方法,其特征在于,所述根据预先构建的攻击研判规则集对所述请求报文进行网络攻击检测,得到检测结果,包括:根据预先构建的攻击研判规则集对所述请求报文进行规则匹配,得到匹配结果;根据匹配结果判断是否命中所述攻击研判规则集中的规则;如果是,获取命中所述攻击研判规则集中的规则,得到目标命中规则;确定所述目标命中规则对应的动作类型;生成包括所述目标命中规则和所述动作类型的检测结果,并根据所述检测结果确定存在网络攻击威胁,以及执行所述的将所述请求报文确定为可疑报文。4.根据权利要求1所述的攻击研判方法,其特征在于,所述根据所述动作类型对所述可疑报文进行安全防护处理,包括:当所述动作类型为阻断时,则丢弃所述可疑报文,并删除所述目标通信会话。5.根据权利要求1所述的攻击...
【专利技术属性】
技术研发人员:娄扬,刘继东,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。