【技术实现步骤摘要】
服务攻击检测方法、装置、设备和计算机可读存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种服务攻击检测方法、装置、设备和计算机可读存储介质。
技术介绍
[0002]DNS(Domain Name System,域名系统)是互联网中的核心基础设施之一,许多互联网应用都需要依赖于DNS服务才能有效运行。企业网络经常面临网络攻击者窃取有价值和敏感数据的威胁,攻击者越来越多地利用DNS通道来泄露数据。通常攻击者利用DNS的方法是注册域名,以便攻击者利用容器内服务的漏洞,通过域名系统日志的方式窃取容器、主机上的有价值的数据信息,例如账号密码或内核版本。应用攻击的传统检测方式无法发现通过API调用进行的攻击行为等,而且不断更新和层出不穷的APT攻击手段都会导致应用攻击无法检测,导致攻击检测准确度低。
技术实现思路
[0003]本专利技术的主要目的在于提供一种服务攻击检测方法、装置、设备和计算机可读存储介质,旨在解决如何提高攻击检测准确度的问题。
[0004]为实现上述目的,本专利技术提供的一种服务攻...
【技术保护点】
【技术特征摘要】
1.一种服务攻击检测方法,其特征在于,应用于管理平台,所述管理平台分别与采集节点和业务节点通信连接,所述采集节点无法访问外部网络和其他节点,所述服务攻击检测方法包括:获取采集节点采集得到的异常域名,并根据所述异常域名生成黑名单,所述采集节点上部署有含漏洞的服务,所述含漏洞的服务不主动请求解析域名;获取业务节点采集到的服务的实时访问日志,所述业务节点上部署有正常的服务;若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作。2.如权利要求1所述的服务攻击检测方法,其特征在于,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:确定与所述黑名单中域名匹配的所述实时访问日志的关联信息,所述关联信息包括进程、网络、域名、互联网协议地址中至少一个;根据所述关联信息生成告警信息。3.如权利要求1所述的服务攻击检测方法,其特征在于,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:确定与所述实时访问日志匹配的黑名单中域名关联的含漏洞的服务;根据关联的含漏洞的服务存在的漏洞种类,确定所述业务节点中服务存在的漏洞种类。4.如权利要求1所述的服务攻击检测方法,其特征在于,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之前,还包括:确定所述黑名单中域名的匹配优先级;根据所述优先级,将所述实时访问日志对应的域名与所述黑名单中域名进行匹配。5.如权利要求4所述的服务攻击检测方法,其特征在于,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:确定所述黑名单中域名的匹配成功次数;若所述匹配成功次数大于预设次数...
【专利技术属性】
技术研发人员:冀文,白国涛,陈国,胡建村,王庆栋,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。