【技术实现步骤摘要】
数据攻击检测方法及装置
[0001]本专利技术涉及数据安全领域,具体而言,涉及一种数据攻击检测方法及装置。
技术介绍
[0002]当客户机被攻击者攻陷后,一般由于防火墙的存在,攻击者无法直接连接受害者。此时攻击者就可以使用反弹shell攻击让受害者主动向远程发起连接。反弹shell攻击是指攻击者监听某个端口,受害者主动向攻击者建立TCP/UDP连接,将其命令行的输入输出重定向到远程攻击者,这样远程攻击者就拿到了客户机的执行环境,可以更加方便地进行攻击了,上述TCP,即Transmission Control Protocol,传输控制协议,上述UDP,即User Datagram Protocol,用户数据报协议。
[0003]当前技术中对于反弹shell检测的实现大多基于监听本地主机的相关进程,例如监听bash进程是否创建,检测shell程序进程是否带有终端属性。
[0004]与本申请相关的现有技术一,提供了一种通过监听bash(Bourne
‑
Again Shell,一种命令处理器)进程...
【技术保护点】
【技术特征摘要】
1.一种数据攻击检测方法,其特征在于,包括:对攻击对象向远程主机建立的数据连接进行检测;在检测到所述数据连接的通信协议类型属于数据攻击对应的通信类型的情况下,对所述数据连接的流量进行关键字检测;在检测到所述流量的关键字为所述数据攻击的攻击关键字的情况下,确定所述数据连接为数据攻击连接,所述数据连接的所述流量为数据攻击流量。2.根据权利要求1所述的方法,其特征在于,对所述数据连接的流量进行关键字检测包括:获取所述流量的搭载信息,其中,所述搭载信息为所述流量传输的信息字段;对所述搭载信息进行关键字检测,确定所述搭载信息的多个关键字;将所述关键字与预设的攻击关键字库进行匹配和查找,其中,所述攻击关键字库包括所述数据攻击采用的多个关键字;在多个关键字的命中率达到预设比例的情况下,确定所述流量的关键字为所述数据攻击的攻击关键字。3.根据权利要求2所述的方法,其特征在于,将所述关键字与预设的攻击关键字库进行匹配和查找包括:加载所述攻击关键字库;根据所述攻击关键字库的多个攻击关键字创建攻击字典树;在所述攻击字典树上添加指针,将所述攻击字典树转化为多模型匹配自动机;基于所述多模型匹配自动机将所述流量的多个关键字按顺序进行多模型匹配扫描,确定命中的关键字。4.根据权利要求3所述的方法,其特征在于,所述流量包括正向流量和反向流量,所述对所述数据连接的流量进行关键字检测还包括:对所述数据连接的反向流量进行关键字检测,其中,所述反向流量为所述远程主机向所述攻击对象发送的流量;对所述数据连接的正向流量进行关键字检测,其中,所述正向流量为所述攻击对象向所述远程主机发送的流量;在所述反向流量和所述正向流量均为攻击流量的情况下,确定所述数据连接为数据攻击连接。5.根据权利要求1所述的方法,其特征在于,对攻击对象向远程主机建立的数据连接进...
【专利技术属性】
技术研发人员:邹湖海,付炎永,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。