本发明专利技术公开了一种网络攻击的检测识别方法及相关设备。该方法包括:基于目标服务器发出的TCP连接报文获取目标端口和目标IP地址;根据http访问日志对上述目标端口和目标IP地址进行回溯以确定上述TCP连接报文的网络风险。本申请实施例提供的一种网络攻击的检测识别方法,通过在服务器端通过实时监测网络请求和流量情况,对目标服务器发出的TCP连接报文进行分析获取目标端口和目标IP地址,并通过与http访问日志中记录的外网请求的端口和IP地址进行回溯和比对,确定上述TCP连接报文是否存在反弹shell的风险,可以有效解决现有技术中需要管理员在目标服务器的客户端批量部署agent进行监控的权限问题,同时解决了现有方案中反弹shell监控进程多样性的问题,提升了方法的通用性。方法的通用性。方法的通用性。
【技术实现步骤摘要】
一种网络攻击的检测识别方法及相关设备
[0001]本说明书涉及通信领域,更具体地说,本专利技术涉及一种网络攻击的检测识别方法及相关设备。
技术介绍
[0002]目前的监测方式均为通过在每个客户端部署agent进程至服务器,监控服务器关键进程,进行风险判定。而这种方式无法实现服务器端对客户端的统一监控与网络风险进行判断,同时采用这种方式需要对每个客户端都部署agent进程,在服务器下属的客户端数量较多的情况下,部署比较困难。
技术实现思路
[0003]在
技术实现思路
部分中引入了一系列简化形式的概念,这将在具体实施方式部分中进一步详细说明。本专利技术的
技术实现思路
部分并不意味着要试图限定出所要求保护的技术方案的关键特征和必要技术特征,更不意味着试图确定所要求保护的技术方案的保护范围。
[0004]为了提出一共更为方便快捷的网络攻击的检测识别方法,第一方面,本专利技术提出一种网络攻击的检测识别方法,上述方法包括:
[0005]基于目标服务器发出的TCP连接报文获取目标端口和目标IP地址;
[0006]根据http访问日志对上述目标端口和目标IP地址进行回溯以确定上述TCP连接报文的网络风险。
[0007]可选的,上述根据http访问日志对上述目标端口和目标IP地址进行回溯以确定上述TCP连接报文的网络风险,包括:
[0008]在上述http访问日志中存在于上述目标端口和目标IP地址相同的http访问请求的情况下,基于上述TCP连接报文发出网络入侵风险预警。
[0009]可选的,上述方法还包括:
[0010]基于本地预设白名单对上述TCP连接报文对应的目标端口和目标IP地址进行识别;
[0011]在上述本地预设白名单中存在相同的上述目标端口和上述目标IP地址的情况下,上述TCP连接报文无网络入侵风险。
[0012]可选的,上述方法还包括:
[0013]获取目标服务器的http响应报文;
[0014]基于上述http响应报文获取源端口和源IP地址;
[0015]基于云端数据库对上述源端口和上述源IP地址发出的网络请求进行风险识别以获取上述本地预设白名单,其中,云端数据库中包括目的IP地址和目的源端口的白名单和/或黑名单。
[0016]可选的,上述方法还包括:
[0017]获取目标区域内其他服务器在预设时长内的网络攻击频率;
[0018]基于上述网络攻击频率调整上述http访问日志的容量。
[0019]可选的,上述方法还包括:
[0020]统计上述http访问日志中相同端口和/或IP地址的访问频率;
[0021]基于上述访问频率调整上述端口和/或IP地址对应日志信息的生存周期。
[0022]可选的,上述方法还包括:
[0023]获取上述目标服务器的流量变化信息;
[0024]当上述流量变化信息超出预设阈值的情况下,提升上述http访问日志的容量。
[0025]第二方面,本专利技术还提出一种网络攻击的检测识别装置,包括:
[0026]获取单元,用于基于目标服务器发出的TCP连接报文获取目标端口和目标IP地址;
[0027]确定单元,用于根据http访问日志对上述目标端口和目标IP地址进行回溯以确定上述TCP连接报文的网络风险。
[0028]第三方面,一种电子设备,包括:存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,上述处理器用于执行存储器中存储的计算机程序时实现如上述的第一方面任一项的网络攻击的检测识别方法的步骤。
[0029]第四方面,本专利技术还提出一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现第一方面上述任一项的网络攻击的检测识别方法。
[0030]综上,本申请实施例的网络攻击的检测识别方法包括:基于目标服务器发出的TCP连接报文获取目标端口和目标IP地址;根据http访问日志对上述目标端口和目标IP地址进行回溯以确定上述TCP连接报文的网络风险。本申请实施例提供的一种网络攻击的检测识别方法,通过在服务器端通过实时监测网络请求和流量情况,对目标服务器发出的TCP连接报文进行分析获取目标端口和目标IP地址,并通过与http访问日志中记录的外网请求的端口和IP地址进行回溯和比对,确定上述TCP连接报文是否存在反弹shell的风险,通过在服务器端对网络请求进行监控,可以有效解决现有技术中需要管理员在目标服务器的客户端批量部署agent进行监控的权限问题,同时解决了现有方案中反弹shell监控进程多样性的问题,提升了方法的通用性。
[0031]本专利技术的网络攻击的检测识别方法,本专利技术的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本专利技术的研究和实践而为本领域的技术人员所理解。
附图说明
[0032]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本说明书的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0033]图1为本申请实施例提供的一种网络攻击的检测识别方法流程示意图;
[0034]图2为本申请实施例提供的一种网络攻击的检测识别工作原理示意图;
[0035]图3为本申请实施例提供的一种服务器外联学习模块工作原理示意图;
[0036]图4为本申请实施例提供的一种反弹shell检测模块工作原理示意图;
[0037]图5为本申请实施例提供的一种网络攻击的检测识别装置结构示意图;
[0038]图6为本申请实施例提供的一种网络攻击的检测识别电子设备结构示意图。
具体实施方式
[0039]本申请实施例提供的一种网络攻击的检测识别方法,通过在服务器端通过实时监测网络请求和流量情况,对目标服务器发出的TCP连接报文进行分析获取目标端口和目标IP地址,并通过与http访问日志中记录的外网请求的端口和IP地址进行回溯和比对,确定上述TCP连接报文是否存在反弹shell的风险,通过在服务器端对网络请求进行监控,可以有效解决现有技术中需要管理员在目标服务器的客户端批量部署agent进行监控的权限问题,同时解决了现有方案中反弹shell监控进程多样性的问题,提升了方法的通用性。
[0040]本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。下面将结合本申本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击的检测识别方法,其特征在于,包括:基于目标服务器发出的TCP连接报文获取目标端口和目标IP地址;根据http访问日志对所述目标端口和目标IP地址进行回溯以确定所述TCP连接报文的网络风险。2.如权利要求1所述的方法,其特征在于,所述根据http访问日志对所述目标端口和目标IP地址进行回溯以确定所述TCP连接报文的网络风险,包括:在所述http访问日志中存在于所述目标端口和目标IP地址相同的http访问请求的情况下,基于所述TCP连接报文发出网络入侵风险预警。3.如权利要求1所述的方法,其特征在于,还包括:基于本地预设白名单对所述TCP连接报文对应的目标端口和目标IP地址进行识别;在所述本地预设白名单中存在相同的所述目标端口和所述目标IP地址的情况下,所述TCP连接报文无网络入侵风险。4.如权利要求3所述的方法,其特征在于,还包括:获取目标服务器的http响应报文;基于所述http响应报文获取源端口和源IP地址;基于云端数据库对所述源端口和所述源IP地址发出的网络请求进行风险识别以获取所述本地预设白名单,其中,云端数据库中包括目的IP地址和目的源端口的白名单和/或黑名单。5.如权利要求1所述的方法,其特征在于,还包括...
【专利技术属性】
技术研发人员:刘晓鸣,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。