【技术实现步骤摘要】
本申请一般涉及网络安全,尤其涉及一种攻击检测方法、装置、设备和计算机可读存储介质。
技术介绍
1、web应用程序的安全威胁随着网络技术的不断发展也在不断演化。目前,一种常见的网络攻击方式是攻击者通过web服务的漏洞将恶意脚本或程序(webshell)植入服务器中,通过访问该攻击代码,从而获取服务器的操作权限。因此,如何有效的实现网络攻击的检测成为了保障网络安全的重中之重。
2、现有的攻击检测方法是通过提取网页文本内容特征并进行特征匹配,来实现webshell的攻击检测。然而,这种方法难以识别攻击者通过混淆、绕过和加密等方法改变后的webshell代码,导致网络攻击的检测准确率较低;并且不适用于网络攻击的实时监测和防护。
技术实现思路
1、鉴于现有技术中的上述缺陷或不足,期望提供一种攻击检测方法、装置、设备和计算机可读存储介质,不仅能够实现网络攻击的实时监测和防护,还能够提高网络攻击的检测的准确率。
2、第一方面,本申请提供了一种攻击检测方法,该方法包括:获取待检测的流量数据的第一特征和第二特征;第一特征用于表征待检测的流量数据的元数据;第二特征用于表征待检测的流量数据的内容数据;分别对第一特征和第二特征进行特征提取,得到第一特征的基础行为特征和第二特征对应的语义特征;基础行为特征用于表征元数据之间的相关性,语义特征用于表征内容数据之间的相关性;对第一特征和第二特征进行时序信息提取,得到时序特征;根据基础行为特征、语义特征以及时序特征,确定待检测的流量数据的分
3、第二方面,本申请提供了一种攻击检测装置,该攻击检测装置包括:
4、获取模块,用于获取待检测的流量数据的第一特征和第二特征;第一特征用于表征待检测的流量数据的元数据;第二特征用于表征待检测的流量数据的内容数据。
5、特征提取模块,用于分别对第一特征和第二特征进行特征提取,得到第一特征的基础行为特征和第二特征对应的语义特征;基础行为特征用于表征元数据之间的相关性,语义特征用于表征内容数据之间的相关性。
6、时序提取模块,用于对第一特征和第二特征进行时序信息提取,得到时序特征。
7、分类模块,用于根据基础行为特征、语义特征以及时序特征,确定待检测的流量数据的分类结果,分类结果用于表征待检测的流量数据是否受到网络攻击。
8、第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行该程序时实现如本申请实施例描述的方法。
9、第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请实施例描述的方法。
10、第五方面,本申请实施例提供一种计算机程序产品,该计算机程序产品包括指令,当该指令被运行时,使得如本申请实施例描述的方法被执行。
11、本申请提出的攻击检测方法、装置、设备和计算机可读存储介质,考虑到现有技术采用特征匹配的方式来实现webshell的攻击检测所存在的检测准确率较低以及实时性的问题。本申请将待检测的流量数据所包含的具体内容分为元数据和内容数据两种类型,来分别获取用于表征待检测的流量数据中元数据的第一特征以及用于表征待检测的流量数据中内容数据的第二特征,通过利用流量数据中不同数据类型的特点,使得对第一特征和第二特征分别进行特征提取,所得到的用于表征元数据之间相关性的基础行为特征以及用于表征内容数据之间相关性的语义特征,以便实现更为细粒度的特征分析。在此基础上,还通过对第一特征和第二特征进行时序信息提取得到时序特征,以便体现第一特征和第二特征中的元素在时序上的关联关系。
12、基于上述,通过对流量数据多元化的特征提取,提高了特征参数的多样性,为网络攻击的检测提供更为全面的依据,使得基于基础行为特征、语义特征以及时序特征这三个特征综合确定的用于表征待检测的流量数据是否受到网络攻击的分类结果更加准确。另外,对于通过混淆、绕过和加密等方法改变后的webshell代码也能够进行准确的识别,满足了网络攻击的实时监测和防护的要求。
13、本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
本文档来自技高网...【技术保护点】
1.一种攻击检测方法,其特征在于,包括:
2.根据权利要求1所述的攻击检测方法,其特征在于,所述对所述第一特征进行特征提取,得到所述第一特征对应的基础行为特征,包括:
3.根据权利要求1所述的攻击检测方法,其特征在于,所述对所述第二特征进行特征处理,得到所述第二特征对应的语义特征,包括:
4.根据权利要求1所述的攻击检测方法,其特征在于,所述对所述第一特征和所述第二特征进行时序信息提取,得到时序特征,包括:
5.根据权利要求1-4任一项所述的攻击检测方法,其特征在于,所述根据所述基础行为特征、所述语义特征以及所述时序特征,确定所述待检测的流量数据的分类结果,包括:
6.根据权利要求5所述的攻击检测方法,其特征在于,对所述基础行为特征、所述语义特征以及所述时序特征进行特征融合处理,得到融合特征,包括:
7.根据权利要求1-5任一项所述的攻击检测方法,其特征在于,所述获取待检测的流量数据的第一特征和第二特征,包括:
8.一种攻击检测装置,其特征在于,包括:
9.一种计算机设备,包括存储器、
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的方法。
...【技术特征摘要】
1.一种攻击检测方法,其特征在于,包括:
2.根据权利要求1所述的攻击检测方法,其特征在于,所述对所述第一特征进行特征提取,得到所述第一特征对应的基础行为特征,包括:
3.根据权利要求1所述的攻击检测方法,其特征在于,所述对所述第二特征进行特征处理,得到所述第二特征对应的语义特征,包括:
4.根据权利要求1所述的攻击检测方法,其特征在于,所述对所述第一特征和所述第二特征进行时序信息提取,得到时序特征,包括:
5.根据权利要求1-4任一项所述的攻击检测方法,其特征在于,所述根据所述基础行为特征、所述语义特征以及所述时序特征,确定所述待检测的流量数据的分类结果,包括:
...
【专利技术属性】
技术研发人员:王洪波,王玉兰,
申请(专利权)人:拓尔思天行网安信息技术有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。