本申请实施例公开了一种攻击检测方法、攻击检测设备以及计算机可读存储介质,用于提高攻击检测准确性的情况下,检测请求数据是否成功攻击服务器。本申请实施例方法包括:获得客户端向服务器发送的请求数据,识别请求数据是否至少存在攻击检测绕过字符和回显加密数据之一,若存在,则确定请求数据的攻击意图,获取服务器根据请求数据向客户端返回的响应数据,识别响应数据是否具有攻击意图对应的攻击特征,得到识别结果,根据识别结果确定请求数据是否成功攻击服务器。是否成功攻击服务器。是否成功攻击服务器。
【技术实现步骤摘要】
攻击检测方法、攻击检测设备以及计算机可读存储介质
[0001]本申请实施例涉及攻击检测领域,更具体的,是攻击检测方法、攻击检测设备以及计算机可读存储介质。
技术介绍
[0002]在网络安全的运维过程中,运维人员需要知道客户端是否成功攻击服务器,从而可以根据攻击的情况进行运维,因此,需要一种攻击检测方法。
[0003]现有的攻击检测方法是:获取客户端向服务器发送的请求数据,并通过字符串或正则表达式检测请求数据是否具有攻击特征,若存在,则确定请求数据的攻击意图,并获取服务器根据请求数据向客户端返回的响应数据,并通过字符串或正则表达式检测响应数据是否具有攻击意图对应的攻击特征,得到判断结果,根据判断结果确定客户端是否成功攻击服务器,若具有,则确定请求数据成功攻击服务器,若不具有,则确定请求数据未成功攻击服务器。
[0004]但是,字符串或正则表达式的攻击检测方法只能检测相对固定特点的特征,若请求数据和/或响应数据使用各种手段更改或隐藏了字符串或正则表达式的攻击检测方法能检测的特征,则可以绕过现有的攻击检测,这种情况下通过字符串或正则表达式并不能检测出请求数据是否成功攻击所述服务器,因此,现有的攻击检测的准确率较低。
技术实现思路
[0005]本申请实施例提供了一种攻击检测方法、攻击检测设备以及计算机可读存储介质,能够提高攻击检测准确性的情况下,检测请求数据是否成功攻击服务器。
[0006]第一方面,本申请实施例提供了一种攻击检测方法,包括:
[0007]获得客户端向服务器发送的请求数据;
[0008]识别所述请求数据是否至少存在攻击检测绕过字符和回显加密数据之一;
[0009]若存在,则确定所述请求数据的攻击意图;
[0010]获取所述服务器根据所述请求数据向所述客户端返回的响应数据,识别所述响应数据是否具有所述攻击意图对应的攻击特征,得到识别结果;
[0011]根据所述识别结果确定所述请求数据是否成功攻击所述服务器。
[0012]可选的,所述识别所述请求数据是否至少存在攻击检测绕过字符和回显加密数据之一,包括:
[0013]对所述请求数据进行扫描,得到扫描数据;
[0014]识别所述扫描数据是否至少存在所述攻击检测绕过字符和所述回显加密方法数据之一,得到识别结果;其中,所述识别结果为是表示所述请求数据至少存在攻击检测绕过字符和回显加密方法数据之一,所述识别结果为否表示所述请求数据不至少存在攻击检测绕过字符和回显加密方法数据之一。
[0015]可选的,所述若存在,则确定所述请求数据的攻击意图;包括:
[0016]若所述请求数据中存在所述攻击检测绕过字符且具有命令分隔符,则根据所述命令分隔符从所述请求数据提取第一类型检测绕过数据和/或第二类型检测绕过数据;其中,所述第一类型检测绕过数据为绕过检测攻击内容的数据,所述第二类型检测绕过数据为利用回显加密方法绕过检测的数据;
[0017]将所述攻击检测绕过字符从所述第一类型检测绕过数据和/或所述第二类型检测绕过数据中删除,以得到目标攻击内容和/或目标回显加密方法;
[0018]识别所述目标攻击内容的攻击意图,以及识别所述目标回显加密方法的攻击意图。
[0019]可选的,所述若存在,则确定所述请求数据的攻击意图,包括:
[0020]若所述请求数据中存在所述攻击检测绕过字符且不具有命令分隔符,则将所述请求数据中包括所述攻击检测绕过字符的数据确定为第一类型检测绕过数据;其中,所述第一类型检测绕过数据为绕过检测攻击内容的数据;
[0021]将所述攻击检测绕过字符从所述第一类型检测绕过数据中删除,以得到目标攻击内容;
[0022]识别所述目标攻击内容的攻击意图。
[0023]可选的,所述识别所述响应数据是否具有所述攻击意图对应的攻击特征,得到识别结果,包括:
[0024]识别所述响应数据是否具有所述目标攻击内容对应的预设敏感特征,得到识别结果;其中,识别结果为是表示所述响应数据具有所述攻击意图对应的攻击特征,识别结果为否表示所述响应数据不具有所述攻击意图对应的攻击特征。
[0025]可选的,所述若存在,则确定所述请求数据的攻击意图,包括:
[0026]若所述请求数据中存在回显加密方法数据且具有命令分隔符,则根据所述命令分隔符从所述请求数据提取目标攻击内容和目标回显加密方法;
[0027]识别所述目标攻击内容的攻击意图,以及识别所述目标回显加密方法的攻击意图。
[0028]可选的,所述识别所述响应数据是否具有所述攻击意图对应的攻击特征,得到识别结果,包括:
[0029]若所述目标回显加密方法为预设可还原方法,则根据所述目标回显加密方法将所述响应数据进行解密还原,得到目标响应数据;
[0030]识别所述目标响应数据是否具有所述目标攻击内容对应的预设敏感特征,得到识别结果;其中,识别结果为是表示所述响应数据具有所述攻击意图对应的攻击特征,识别结果为否表示所述响应数据不具有所述攻击意图对应的攻击特征。
[0031]可选的,所述识别所述响应数据是否具有所述攻击意图对应的攻击特征,得到识别结果,包括:
[0032]若所述目标回显加密方法非预设可还原方法,则确定所述目标攻击内容和所述目标回显加密方法对应的目标加密特征;
[0033]识别所述响应数据是否具有所述目标加密特征,得到识别结果;其中,识别结果为是表示所述响应数据具有所述攻击意图对应的攻击特征,识别结果为否表示所述响应数据不具有所述攻击意图对应的攻击特征。
[0034]第二方面,本申请实施例提供了一种攻击检测设备,包括:
[0035]获得单元,用于获得客户端向服务器发送的请求数据;
[0036]识别单元,用于识别所述请求数据是否至少存在攻击检测绕过字符和回显加密数据之一;
[0037]确定单元,用于若存在,则确定所述请求数据的攻击意图;
[0038]所述识别单元,还用于获取所述服务器根据所述请求数据向所述客户端返回的响应数据,识别所述响应数据是否具有所述攻击意图对应的攻击特征,得到识别结果;
[0039]所述确定单元,还用于根据所述识别结果确定所述请求数据是否成功攻击所述服务器。
[0040]第三方面,本申请实施例提供了一种攻击检测设备,包括:
[0041]中央处理器,存储器,输入输出接口,有线或无线网络接口以及电源;
[0042]所述存储器为短暂存储存储器或持久存储存储器;
[0043]所述中央处理器配置为与所述存储器通信,并执行所述存储器中的指令操作以执行前述攻击检测方法。
[0044]第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质包括指令,当指令在计算机上运行时,使得计算机执行前述攻击检测方法。
[0045]第五方面,本申请实施例提供了一种包含指令的计算机程序产品,当计算机程序产品在计算机上运行时,使得计本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击检测方法,其特征在于,包括:获得客户端向服务器发送的请求数据;识别所述请求数据是否至少存在攻击检测绕过字符和回显加密数据之一;若存在,则确定所述请求数据的攻击意图;获取所述服务器根据所述请求数据向所述客户端返回的响应数据,识别所述响应数据是否具有所述攻击意图对应的攻击特征,得到识别结果;根据所述识别结果确定所述请求数据是否成功攻击所述服务器。2.根据权利要求1所述的方法,其特征在于,所述识别所述请求数据是否至少存在攻击检测绕过字符和回显加密数据之一,包括:对所述请求数据进行扫描,得到扫描数据;识别所述扫描数据是否至少存在所述攻击检测绕过字符和所述回显加密方法数据之一,得到识别结果;其中,所述识别结果为是表示所述请求数据至少存在攻击检测绕过字符和回显加密方法数据之一,所述识别结果为否表示所述请求数据不至少存在攻击检测绕过字符和回显加密方法数据之一。3.根据权利要求1所述的方法,其特征在于,所述若存在,则确定所述请求数据的攻击意图;包括:若所述请求数据中存在所述攻击检测绕过字符且具有命令分隔符,则根据所述命令分隔符从所述请求数据提取第一类型检测绕过数据和/或第二类型检测绕过数据;其中,所述第一类型检测绕过数据为绕过检测攻击内容的数据,所述第二类型检测绕过数据为利用回显加密方法绕过检测的数据;将所述攻击检测绕过字符从所述第一类型检测绕过数据和/或所述第二类型检测绕过数据中删除,以得到目标攻击内容和/或目标回显加密方法;识别所述目标攻击内容的攻击意图,以及识别所述目标回显加密方法的攻击意图。4.根据权利要求1所述的方法,其特征在于,所述若存在,则确定所述请求数据的攻击意图,包括:若所述请求数据中存在所述攻击检测绕过字符且不具有命令分隔符,则将所述请求数据中包括所述攻击检测绕过字符的数据确定为第一类型检测绕过数据;其中,所述第一类型检测绕过数据为绕过检测攻击内容的数据;将所述攻击检测绕过字符从所述第一类型检测绕过数据中删除,以得到目标攻击内容;识别所述目标攻击内容的攻击意图。5.根据权利要求4所述的方法,其特征在于,所述识别所述响应数据是否具有所述攻击意图对应的攻击...
【专利技术属性】
技术研发人员:李可,黄志鑫,杨荣海,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。