攻击成功识别方法及防护系统技术方案

本申请提供了一种攻击成功识别方法及防护系统，属于网络技术领域。本申请提供了一种基于主动交互来进行攻击成功识别的方法，通过在检测到攻击事件后，主动向受攻击主机发送一个测试报文，根据是否发生测试报文相关的特定事件，来判定检测到的攻击事件是否为攻击成功事件。由于该方法无需依赖于攻击报文中的攻击命令，也就无需依赖于攻击报文的响应报文来检测攻击是否成功，因此能够适用于攻击命令没有回显或者攻击命令的结果难以预期的情况，适用场景更加丰富，有助于从海量攻击告警中更有效地识别出执行成功的攻击事件。地识别出执行成功的攻击事件。地识别出执行成功的攻击事件。

【技术实现步骤摘要】
攻击成功识别方法及防护系统


[0001]本申请涉及网络
，特别涉及一种攻击成功识别方法及防护系统。

技术介绍

[0002]互联网每天都发生着大量的攻击。其中，大多数攻击属于失败攻击，例如工具批量扫描、载荷内容不符合目标系统、服务器不存在相应漏洞等。这些失败攻击无法真正对目标造成威胁，需要重点关注的攻击是成功攻击。有鉴于此，如何有效识别攻击是否成功已经成为本领域的研究热点。
[0003]相关技术利用服务端的响应内容来判断是否攻击成功。具体来说，防护设备基于特征库对通信对端之间传输的一个数据流中的报文进行攻击检测。如果防护设备检测出攻击事件，那么防护设备从产生攻击事件的报文的载荷内容(payload)中提取攻击命令，并确定攻击命令被服务端执行后的预期结果。之后，防护设备进一步确定上述数据流中来自于服务端的响应报文中是否实际包含上述预期结果。如果上述数据流中来自于服务端的响应报文中包含上述预期结果，则判定攻击成功。如果上述数据流中来自于服务端的响应报文中未包含上述预期结果，则判定攻击失败。
[0004]上述方法只适用于攻击命令的结果能够预期的情况，而在攻击命令的结果难以预期的情况下则无法应用。由此可见，该方法适用场景受限，无法有效地从海量攻击告警中识别出执行成功的攻击事件。

技术实现思路

[0005]本申请提供了一种攻击成功识别方法及防护系统，能够更有效地识别出执行成功的攻击事件。所述技术方案如下。
[0006]第一方面，提供了一种攻击成功识别方法，该方法包括：对数据流进行攻击检测；若在所述数据流中检测到第一攻击事件，基于所述数据流中触发所述第一攻击事件的攻击报文，生成测试报文；向受攻击主机发送所述测试报文，所述受攻击主机为所述攻击报文的目的方；若检测到所述测试报文关联的特定事件，确定所述第一攻击事件为攻击成功事件。
[0007]以上提供了一种基于主动交互来进行攻击成功识别的方法。以防护系统执行为例，防护系统通过在检测到攻击事件后，主动向受攻击主机发送一个测试报文，根据是否发生测试报文相关的特定事件，来判定检测到的攻击事件是否为攻击成功事件。由于该方法无需依赖于攻击报文中的攻击命令，也就无需依赖于攻击报文的响应报文来检测攻击是否成功，因此能够适用于攻击命令没有回显或者攻击命令的结果难以预期的情况，适用场景更加丰富，有助于从海量攻击告警中更有效地识别出执行成功的攻击事件。
[0008]可选地，所述基于所述数据流中触发所述第一攻击事件的攻击报文，生成测试报文，包括：对所述攻击报文进行修改，将修改后的攻击报文作为所述测试报文。
[0009]可选地，所述对所述攻击报文进行修改，包括：将所述攻击报文包含的攻击命令替换为设定命令。所述设定命令用于触发命令执行方回应所述设定命令的执行结果。
[0010]通过上述实现方式，由于将攻击命令替换为有固定回显的命令，因此与受攻击主机主动交互后，能够基于回显匹配的方式准确判定是否攻击成功，解决了单流基于响应内容识别攻击成功的方案中如果没有回显则难以判定、如果回显难以预期则难以判定、攻击者容易通过编码绕过的问题。
[0011]可选地，所述特定事件包括所述受攻击主机发送的执行结果与所述设定命令的预期结果相同，所述检测到所述测试报文关联的特定事件，包括：接收所述受攻击主机发送的针对所述测试报文的响应报文；从所述响应报文中解析获得所述响应报文中携带的所述受攻击主机对所述设定命令的执行结果；确定所述响应报文中携带的执行结果与所述设定命令对应的预期结果相同。
[0012]可选地，所述设定命令是“echo预定字符串”，所述设定命令的预期结果为“预定字符串”。
[0013]可选地，所述设定命令是“id”，所述设定命令的预期结果为“uid＝0(root)gid＝0(root)groups＝0(root)”。
[0014]可选地，所述特定事件包括所述受攻击主机发送的执行结果满足所述设定命令对应的正则表达式，所述检测到所述测试报文关联的特定事件，包括：接收所述受攻击主机发送的针对所述测试报文的响应报文；从所述响应报文中解析获得所述响应报文中携带的所述受攻击主机对所述设定命令的执行结果；确定所述响应报文中携带的执行结果满足所述设定命令对应的正则表达式。
[0015]可选地，所述设定命令是“dir”，所述设定命令对应的正则表达式为
“’
\d{4}/\d{2}/\d{2}\s{1,10}\d{2}:\d{2}\s{1,10}<DIR>
’”
。
[0016]可选地，所述设定命令是“ls
–
l”，所述设定命令对应的正则表达式为“[d\
‑
][rwx\
‑
]{9}”。
[0017]可选地，所述对所述攻击报文进行修改，包括：将所述攻击报文包含的地址信息替换为取证服务器对应的地址信息。
[0018]可选地，所述攻击报文包含的地址信息或者所述取证服务器对应的地址信息包括互联网协议(internet protocol，IP)地址、端口号、域名或者统一资源定位符(uniform resource locator，URL)中至少一项。
[0019]通过上述实现方式，由于将攻击报文中的地址信息替换为取证服务器的地址信息，因此在攻击成功的情况下，受攻击主机会访问防护系统中部署的取证服务器。因此，防护系统能够更加及时地感知到受攻击主机的行为，也就能够更加快速地进行攻击成功判定，避免了多流关联方式中依赖于受攻击主机与攻击者之间会话结束后，才能根据会话的流量进行检测而导致时间窗口长的问题，节省了时延，提高了性能效率。
[0020]可选地，所述特定事件包括在所述测试报文的发送时间点之后所述受攻击主机访问所述取证服务器，所述检测到所述测试报文关联的特定事件，包括：获取所述取证服务器在所述测试报文的发送时间点之后的被访问记录；若所述被访问记录中存在所述受攻击主机对应的记录，则确定所述在所述测试报文的发送时间点之后所述受攻击主机访问所述取证服务器。
[0021]通过上述实现方式，在更加快速有效地进行攻击成功判定的基础上，由于取证服务器维护被访问记录，无需终端侧日志采集关联分析，可落地性强。
[0022]可选地，所述攻击报文用于指示所述受攻击主机创建或者修改指定文件，所述攻击报文包括所述指定文件的标识，所述基于所述数据流中触发所述第一攻击事件的攻击报文，生成测试报文，包括：基于所述攻击报文包含的所述指定文件的标识，生成所述测试报文，所述测试报文用于请求访问所述指定文件。
[0023]通过上述实现方式，由于防护系统代替攻击者主动访问受攻击主机上植入的文件，从而无需依赖于攻击者访问文件的时间，因此解决了多流关联方式依赖攻击者行为的问题。
[0024]可选地，所述特定事件包括发送所述测试报文之后的所述受攻击主机相关的数据流中所述指定文件关联的第二攻击事件。
[0025]通过上述实现方式，能本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击成功识别方法，其特征在于，所述方法包括：对数据流进行攻击检测；若在所述数据流中检测到第一攻击事件，基于所述数据流中触发所述第一攻击事件的攻击报文，生成测试报文；向受攻击主机发送所述测试报文，所述受攻击主机为所述攻击报文的目的方；若检测到所述测试报文关联的特定事件，确定所述第一攻击事件为攻击成功事件。2.根据权利要求1所述的方法，其特征在于，所述基于所述数据流中触发所述第一攻击事件的攻击报文，生成测试报文，包括：对所述攻击报文进行修改，将修改后的攻击报文作为所述测试报文。3.根据权利要求2所述的方法，其特征在于，所述对所述攻击报文进行修改，包括：将所述攻击报文包含的攻击命令替换为设定命令，所述设定命令用于触发命令执行方回应所述设定命令的执行结果。4.根据权利要求3所述的方法，其特征在于，所述特定事件包括所述受攻击主机发送的执行结果与所述设定命令的预期结果相同，所述检测到所述测试报文关联的特定事件，包括：接收所述受攻击主机发送的针对所述测试报文的响应报文；从所述响应报文中解析获得所述响应报文中携带的所述受攻击主机对所述设定命令的执行结果；确定所述响应报文中携带的执行结果与所述设定命令对应的预期结果相同。5.根据权利要求4所述的方法，其特征在于，所述设定命令是“echo预定字符串”，所述设定命令的预期结果为“预定字符串”。6.根据权利要求4所述的方法，其特征在于，所述设定命令是“id”，所述设定命令的预期结果为“uid＝0(root)gid＝0(root)groups＝0(root)”。7.根据权利要求3所述的方法，其特征在于，所述特定事件包括所述受攻击主机发送的执行结果满足所述设定命令对应的正则表达式，所述检测到所述测试报文关联的特定事件，包括：接收所述受攻击主机发送的针对所述测试报文的响应报文；从所述响应报文中解析获得所述响应报文中携带的所述受攻击主机对所述设定命令的执行结果；确定所述响应报文中携带的执行结果满足所述设定命令对应的正则表达式。8.根据权利要求2所述的方法，其特征在于，所述对所述攻击报文进行修改，包括：将所述攻击报文包含的地址信息替换为取证服务器对应的地址信息。9.根据权利要求8所述的方法，其特征在于，所述攻击报文包含的地址信息或者所述取证服务器对应的地址信息包括互联网协议IP地址、端口号、域名或者统一资源定位符URL中至少一项。10.根据权利要求8或9所述的方法，其特征在于，所述特定事件包括在所述测试报文的发送时间点之后所述受攻击主机访问所述取证服务器，所述检测到所述测试报文关联的特定事件，包括：获取所述取证服务器在所述测试报文的发送时间点之后的被访问记录；
若所述被访问记录中存在所述受攻击主机对应的记录，则确定所述在所述测试报文的发送时间点之后所述受攻击主机访问所述取证服务器。11.根据权利要求1所述的方法，其特征在于，所述攻击报文用于指示所述受攻击主机创建或者修改指定文件，所述攻击报文包括所述指定文件的标识，所述基于所述数据流中触发所述第一攻击事件的攻击报文，生成测试报文，包括：基于所述攻击报文包含的所述指定文件的标识，生成所述测试报文，所述测试报文用于请求访问所述指定文件。12.根据权利要求11所述的方法，其特征在于，所述特定事件包括发送所述测试报文之后的所述受攻击主机相关的数据流中所述指定文件关联的第二攻击事件。13.根据权利要求11所述的方法，其特征在于，所述特定事件包括所述指定文件被成功访问，所述检测到所述测试报文关联的特定事件，包括：从所述测试报文之后的所述受攻击主机相关的数据流中获得所述受攻击主机发送的针对所述测试报文的响应报文；若所述响应报文中的超文本传输协议HTTP响应码是表示成功的响应码，确定所述指定文件被成功访问。14.根据权利要求11所述的方法，其特征在于，所述特定事件包括所述指定文件被成功访问，所述检测到所述测试报文关联的特定事件，包括：从所述测试报文之后的所述受攻击主机相关的数据流中获得所述受攻击主机发送的针对所述测试报文的响应报文；若所述响应报文的报文体中存在设定字符串，确定所述第一攻击事件为攻击成功事件，所述设定字符串表示所述指定文件被...

【专利技术属性】
技术研发人员：陈佳，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：