本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域,具體而言,涉及一種網(wǎng)絡(luò)攻擊的檢測(cè)方法及裝置。
背景技術(shù):
萬維網(wǎng)(web)攻擊是指利用超文本傳輸協(xié)議(http)發(fā)送惡意構(gòu)造的http請(qǐng)求,用以“欺騙”萬維網(wǎng)服務(wù)器(webserver)偏離正常的執(zhí)行邏輯。
web攻擊是互聯(lián)網(wǎng)內(nèi)最為常見的一種http請(qǐng)求,幾乎所有的網(wǎng)站每天都會(huì)遭受到不同程度的web攻擊,但這并不意味著所有的web攻擊都會(huì)成功,其原因在于:web攻擊是否能夠成功取決于webserver是否存在相應(yīng)的缺陷或者漏洞。例如:對(duì)一個(gè)只負(fù)責(zé)返回靜態(tài)頁面(超文本標(biāo)記語言(html)頁面、圖片等)并且未使用任何數(shù)據(jù)庫技術(shù)的webserver而言,任何的結(jié)構(gòu)化查詢語言(sql)注入攻擊顯然都不會(huì)成功。
目前,相關(guān)技術(shù)中所采用的web攻擊檢測(cè)方法是對(duì)http請(qǐng)求方向的流量執(zhí)行合法性檢測(cè),因?yàn)閔ttp請(qǐng)求內(nèi)容是攻擊者可以任意構(gòu)造的,其也是攻擊開始的源頭,這種檢測(cè)思路是從攻擊者的角度來設(shè)計(jì)的,即,認(rèn)為進(jìn)入webserver的流量默認(rèn)是不可信任的,都必須要經(jīng)過合法性檢查。然而,對(duì)于webserver響應(yīng)方向的流量則默認(rèn)為是可信任的、安全可靠的,進(jìn)而無需進(jìn)行任何的合法性檢測(cè)。由于幾乎所有的web攻擊都存在攻擊失敗與攻擊成功兩種情形,對(duì)此,webserver會(huì)有不同的響應(yīng),攻擊者也正是根據(jù)webserver的不同響應(yīng)來判斷是否攻擊成功。
上述檢測(cè)方法通??梢园ㄈ缦聨讉€(gè)步驟:
步驟一、預(yù)先對(duì)http請(qǐng)求協(xié)議各個(gè)頭字段制定攻擊檢測(cè)規(guī)則;
步驟二、對(duì)于接收到http請(qǐng)求協(xié)議進(jìn)行解析,查找所有需要進(jìn)行檢測(cè)的請(qǐng)求內(nèi)容;
步驟三、比對(duì)攻擊檢測(cè)規(guī)則和各個(gè)協(xié)議字段的請(qǐng)求內(nèi)容,如果發(fā)現(xiàn)請(qǐng)求內(nèi)容與攻擊檢測(cè)規(guī)則匹配成功,則認(rèn)為該http請(qǐng)求包含攻擊特性,進(jìn)而執(zhí)行攻擊告警或直接阻斷該http請(qǐng)求的操作。
然而,上述只針對(duì)http請(qǐng)求方向的流量做合法性檢測(cè)的方法卻存在著如下缺陷:該解決方案只能夠單方面地判斷http請(qǐng)求是否包含有攻擊信息,而并未考慮被攻擊對(duì) 象webserver的響應(yīng),換言之,該解決方案并未考慮到webserver對(duì)這些攻擊是否本身就具有免疫功能。因此,這種攻擊檢測(cè)方式容易導(dǎo)致大量的攻擊告警或攔截,并且這些告警或攔截的攻擊中大部分都是無效的攻擊,從而降低了web攻擊檢測(cè)的精準(zhǔn)度和有效性。
針對(duì)上述的問題,目前尚未提出有效的解決方案。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)攻擊的檢測(cè)方法及裝置,以至少解決相關(guān)技術(shù)中所采用的單向網(wǎng)絡(luò)攻擊檢測(cè)方法的準(zhǔn)確性較低的技術(shù)問題。
根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種網(wǎng)絡(luò)攻擊的檢測(cè)方法,包括:
接收來自于發(fā)送端的網(wǎng)絡(luò)請(qǐng)求;在采用攻擊檢測(cè)規(guī)則集合確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求的情況下,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端,并獲取與網(wǎng)絡(luò)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)響應(yīng);采用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式。
進(jìn)一步地,在將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端之前,還包括:對(duì)網(wǎng)絡(luò)請(qǐng)求的請(qǐng)求頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的請(qǐng)求內(nèi)容;如果攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的請(qǐng)求內(nèi)容與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求。
進(jìn)一步地,采用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式包括:對(duì)網(wǎng)絡(luò)響應(yīng)的響應(yīng)頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的響應(yīng)內(nèi)容;根據(jù)攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的響應(yīng)內(nèi)容是否與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配;如果待檢測(cè)的響應(yīng)內(nèi)容與一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則阻止網(wǎng)絡(luò)響應(yīng)返回至發(fā)送端;如果待檢測(cè)的響應(yīng)內(nèi)容未與一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則向發(fā)送端返回網(wǎng)絡(luò)響應(yīng)。
進(jìn)一步地,在阻止網(wǎng)絡(luò)響應(yīng)返回至發(fā)送端之后,還包括:向接收端發(fā)送告警提示信息,其中,告警提示信息用于提示發(fā)送端當(dāng)前存在網(wǎng)絡(luò)攻擊行為和/或提示接收端對(duì)發(fā)送端進(jìn)行鎖定。
進(jìn)一步地,上述攻擊檢測(cè)規(guī)則集合是根據(jù)當(dāng)前網(wǎng)絡(luò)內(nèi)已經(jīng)存在的多種類型的攻擊請(qǐng)求的攻擊特性以及與每種類型的攻擊請(qǐng)求對(duì)應(yīng)的攻擊響應(yīng)的響應(yīng)特性預(yù)先生成的。
進(jìn)一步地,上述網(wǎng)絡(luò)請(qǐng)求的類型包括以下之一:超文本傳輸協(xié)議請(qǐng)求、文件傳輸協(xié)議請(qǐng)求、簡(jiǎn)單郵件傳輸協(xié)議請(qǐng)求。
根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種網(wǎng)絡(luò)攻擊的檢測(cè)裝置,包括:
接收模塊,用于接收來自于發(fā)送端的網(wǎng)絡(luò)請(qǐng)求;獲取模塊,用于在采用攻擊檢測(cè)規(guī)則集合確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求的情況下,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端,并獲取與網(wǎng)絡(luò)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)響應(yīng);處理模塊,用于采用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式。
進(jìn)一步地,上述裝置還包括:解析模塊,用于對(duì)網(wǎng)絡(luò)請(qǐng)求的請(qǐng)求頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的請(qǐng)求內(nèi)容;確定模塊,用于在攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的請(qǐng)求內(nèi)容與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配時(shí),則確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求。
進(jìn)一步地,處理模塊包括:解析單元,用于對(duì)網(wǎng)絡(luò)響應(yīng)的響應(yīng)頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的響應(yīng)內(nèi)容;判斷單元,用于根據(jù)攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的響應(yīng)內(nèi)容是否與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配;第一處理單元,用于在判斷單元輸出為是時(shí),阻止網(wǎng)絡(luò)響應(yīng)返回至發(fā)送端;第二處理單元,用于在判斷單元輸出為否時(shí),向發(fā)送端返回網(wǎng)絡(luò)響應(yīng)。
進(jìn)一步地,上述裝置還包括:提示模塊,用于向接收端發(fā)送告警提示信息,其中,告警提示信息用于提示發(fā)送端當(dāng)前存在網(wǎng)絡(luò)攻擊行為和/或提示接收端對(duì)發(fā)送端進(jìn)行鎖定。
進(jìn)一步地,上述攻擊檢測(cè)規(guī)則集合是根據(jù)當(dāng)前網(wǎng)絡(luò)內(nèi)已經(jīng)存在的多種類型的攻擊請(qǐng)求的攻擊特性以及與每種類型的攻擊請(qǐng)求對(duì)應(yīng)的攻擊響應(yīng)的響應(yīng)特性預(yù)先生成的。
進(jìn)一步地,上述網(wǎng)絡(luò)請(qǐng)求的類型包括以下之一:超文本傳輸協(xié)議請(qǐng)求、文件傳輸協(xié)議請(qǐng)求、簡(jiǎn)單郵件傳輸協(xié)議請(qǐng)求。
在本發(fā)明實(shí)施例中,采用攻擊檢測(cè)規(guī)則集合分別對(duì)從發(fā)送端接收到的網(wǎng)絡(luò)請(qǐng)求以及從接收端獲取到的網(wǎng)絡(luò)響應(yīng)進(jìn)行雙向網(wǎng)絡(luò)攻擊檢測(cè)的方式,通過在采用攻擊檢測(cè)規(guī)則集合確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求的情況下,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端,并獲取與網(wǎng)絡(luò)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)響應(yīng),然后再利用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式,從而實(shí)現(xiàn)了提高網(wǎng)絡(luò)攻擊檢測(cè)精準(zhǔn)度和有效性的技術(shù)效果,進(jìn)而解決了相關(guān)技術(shù)中所采用的單向網(wǎng)絡(luò)攻擊檢測(cè)方法的準(zhǔn)確性較低的技術(shù)問題。
附圖說明
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā) 明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
圖1是本發(fā)明實(shí)施例的一種網(wǎng)絡(luò)攻擊的檢測(cè)方法的計(jì)算機(jī)終端的硬件結(jié)構(gòu)框圖;
圖2是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)攻擊的檢測(cè)方法的流程圖;
圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的基于雙向流的web攻擊檢測(cè)方法的流程圖;
圖4是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)攻擊的檢測(cè)裝置的結(jié)構(gòu)框圖;
圖5是根據(jù)本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)攻擊的檢測(cè)裝置的結(jié)構(gòu)框圖;
圖6是根據(jù)本發(fā)明實(shí)施例的一種計(jì)算機(jī)終端的結(jié)構(gòu)框圖。
具體實(shí)施方式
為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
需要說明的是,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對(duì)象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外,術(shù)語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
實(shí)施例1
根據(jù)本發(fā)明實(shí)施例,還提供了一種網(wǎng)絡(luò)攻擊的檢測(cè)方法的方法實(shí)施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
本申請(qǐng)實(shí)施例一所提供的方法實(shí)施例可以在移動(dòng)終端、計(jì)算機(jī)終端或者類似的運(yùn) 算裝置中執(zhí)行。以運(yùn)行在計(jì)算機(jī)終端上為例,圖1是本發(fā)明實(shí)施例的一種網(wǎng)絡(luò)攻擊的檢測(cè)方法的計(jì)算機(jī)終端的硬件結(jié)構(gòu)框圖。如圖1所示,計(jì)算機(jī)終端10可以包括一個(gè)或多個(gè)(圖中僅示出一個(gè))處理器102(處理器102可以包括但不限于微處理器mcu或可編程邏輯器件fpga等的處理裝置)、用于存儲(chǔ)數(shù)據(jù)的存儲(chǔ)器104、以及用于通信功能的傳輸裝置106。本領(lǐng)域普通技術(shù)人員可以理解,圖1所示的結(jié)構(gòu)僅為示意,其并不對(duì)上述電子裝置的結(jié)構(gòu)造成限定。例如,計(jì)算機(jī)終端10還可包括比圖1中所示更多或者更少的組件,或者具有與圖1所示不同的配置。
存儲(chǔ)器104可用于存儲(chǔ)應(yīng)用軟件的軟件程序以及模塊,如本發(fā)明實(shí)施例中的網(wǎng)絡(luò)攻擊的檢測(cè)方法對(duì)應(yīng)的程序指令/模塊以及攻擊檢測(cè)規(guī)則集合,如攻擊檢測(cè)規(guī)則庫,處理器102通過運(yùn)行存儲(chǔ)在存儲(chǔ)器104內(nèi)的軟件程序以及模塊,從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理,即實(shí)現(xiàn)上述的網(wǎng)絡(luò)攻擊的檢測(cè)方法。存儲(chǔ)器104可包括高速隨機(jī)存儲(chǔ)器,還可包括非易失性存儲(chǔ)器,如一個(gè)或者多個(gè)磁性存儲(chǔ)裝置、閃存、或者其他非易失性固態(tài)存儲(chǔ)器。在一些實(shí)例中,存儲(chǔ)器104可進(jìn)一步包括相對(duì)于處理器102遠(yuǎn)程設(shè)置的存儲(chǔ)器,這些遠(yuǎn)程存儲(chǔ)器可以通過網(wǎng)絡(luò)連接至計(jì)算機(jī)終端10。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動(dòng)通信網(wǎng)及其組合。
傳輸裝置106用于經(jīng)由一個(gè)網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實(shí)例可包括計(jì)算機(jī)終端10的通信供應(yīng)商提供的無線網(wǎng)絡(luò)。在一個(gè)實(shí)例中,傳輸裝置106包括一個(gè)網(wǎng)絡(luò)適配器(networkinterfacecontroller,簡(jiǎn)稱為nic),其可通過基站與其他網(wǎng)絡(luò)設(shè)備相連從而可與互聯(lián)網(wǎng)進(jìn)行通訊。在一個(gè)實(shí)例中,傳輸裝置106可以為射頻(radiofrequency,簡(jiǎn)稱為rf)模塊,其用于通過無線方式與互聯(lián)網(wǎng)進(jìn)行通訊。
在上述運(yùn)行環(huán)境下,本申請(qǐng)?zhí)峁┝巳鐖D2所示的網(wǎng)絡(luò)攻擊的檢測(cè)方法。圖2是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)攻擊的檢測(cè)方法的流程圖。該方法可以包括以下處理步驟:
步驟s202:接收來自于發(fā)送端的網(wǎng)絡(luò)請(qǐng)求;
步驟s204:在采用攻擊檢測(cè)規(guī)則集合確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求的情況下,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端,并獲取與網(wǎng)絡(luò)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)響應(yīng);
步驟s206:采用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式。
針對(duì)相關(guān)技術(shù)中所涉及的網(wǎng)絡(luò)攻擊檢測(cè)方法的攻擊檢測(cè)規(guī)則庫中僅是提取了在網(wǎng)絡(luò)請(qǐng)求發(fā)送方向上的攻擊特性,本發(fā)明實(shí)施例所提供的技術(shù)方案的攻擊檢測(cè)規(guī)則集合中既包含了在網(wǎng)絡(luò)請(qǐng)求發(fā)送方向上的攻擊特征,又要包含了網(wǎng)絡(luò)響應(yīng)反饋方向的響應(yīng)特征。在進(jìn)行網(wǎng)絡(luò)請(qǐng)求攻擊檢測(cè)時(shí),首先依據(jù)攻擊檢測(cè)規(guī)則集合判斷請(qǐng)求方向上發(fā)送 的網(wǎng)絡(luò)請(qǐng)求是否包含攻擊特性,然后再依據(jù)攻擊檢測(cè)規(guī)則集合判斷與請(qǐng)求方向?qū)?yīng)的反饋方向上的網(wǎng)絡(luò)響應(yīng)是否包含攻擊特性,進(jìn)而確定對(duì)此次網(wǎng)絡(luò)攻擊的處理方式。通過本發(fā)明實(shí)施例所提供的上述技術(shù)方案,結(jié)合雙向流的攻擊檢測(cè),二者不可分隔,能夠有效地提高網(wǎng)絡(luò)攻擊檢測(cè)的精準(zhǔn)度和有效性。
在優(yōu)選實(shí)施過程中,上述攻擊檢測(cè)規(guī)則集合是根據(jù)當(dāng)前網(wǎng)絡(luò)內(nèi)已經(jīng)存在的多種類型的攻擊請(qǐng)求的攻擊特性以及與每種類型的攻擊請(qǐng)求對(duì)應(yīng)的攻擊響應(yīng)的響應(yīng)特性預(yù)先生成的。
在優(yōu)選實(shí)施過程中,上述網(wǎng)絡(luò)請(qǐng)求的類型可以包括但不限于以下之一:
(1)超文本傳輸協(xié)議(http)請(qǐng)求;
(2)文件傳輸協(xié)議(ftp)請(qǐng)求;
(3)簡(jiǎn)單郵件傳輸協(xié)議(smtp)請(qǐng)求。
即本發(fā)明實(shí)施例所提供的技術(shù)方案可以適用于web攻擊檢測(cè)、ftp攻擊檢測(cè)、smtp攻擊檢測(cè)等全部具有雙向流內(nèi)容檢測(cè)的應(yīng)用場(chǎng)景。
可選地,在步驟s204,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端之前,還可以包括以下操作:
步驟s1:對(duì)網(wǎng)絡(luò)請(qǐng)求的請(qǐng)求頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的請(qǐng)求內(nèi)容;
步驟s2:如果攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的請(qǐng)求內(nèi)容與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求。
以上述http類型的網(wǎng)絡(luò)請(qǐng)求為例,http請(qǐng)求包括以下三個(gè)部分:
(1)請(qǐng)求行,由方法(例如:post),統(tǒng)一資源定位符(url),協(xié)議版本(例如:http1.1)三個(gè)部分構(gòu)成;
(2)請(qǐng)求頭部,用于通知服務(wù)器有關(guān)客戶端請(qǐng)求的信息,其可以包括但不限于:產(chǎn)生請(qǐng)求的瀏覽器類型,客戶端可識(shí)別的內(nèi)容類型列表,請(qǐng)求的主機(jī)名;
(3)請(qǐng)求主體。
因此,在接收到http請(qǐng)求后,需要進(jìn)行http請(qǐng)求頭中各個(gè)字段的解析,查找出需要進(jìn)行安全檢測(cè)的字段內(nèi)容,繼而可以根據(jù)攻擊檢測(cè)規(guī)則庫中的檢測(cè)規(guī)則,判斷http請(qǐng)求方向的內(nèi)容是否能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配;如果http請(qǐng)求方向的內(nèi)容不能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,則認(rèn)為該http請(qǐng)求是正 常的http請(qǐng)求,其為可信任請(qǐng)求,直接轉(zhuǎn)發(fā)該http請(qǐng)求至webserver上;如果http請(qǐng)求方向的內(nèi)容能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,則判定該http請(qǐng)求為疑似攻擊請(qǐng)求。例如:假設(shè)攻擊檢測(cè)規(guī)則庫中存在“post_body”為“group+by”這條檢測(cè)規(guī)則,那么在對(duì)http請(qǐng)求的請(qǐng)求頭進(jìn)行解析的過程中便需要將“post_body”字段作為待檢測(cè)的字段內(nèi)容,如果在http請(qǐng)求中發(fā)現(xiàn)請(qǐng)求頭的“post_body”字段中包含“group+by”字符串,便可以認(rèn)定該http請(qǐng)求具有攻擊特性,其為疑似攻擊請(qǐng)求。
可選地,在步驟s206中,采用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式可以包括以下步驟:
步驟s3:對(duì)網(wǎng)絡(luò)響應(yīng)的響應(yīng)頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的響應(yīng)內(nèi)容;
步驟s4:根據(jù)攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的響應(yīng)內(nèi)容是否與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配;
步驟s5:如果待檢測(cè)的響應(yīng)內(nèi)容與一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則阻止網(wǎng)絡(luò)響應(yīng)返回至發(fā)送端;
步驟s6:如果待檢測(cè)的響應(yīng)內(nèi)容未與一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則向發(fā)送端返回網(wǎng)絡(luò)響應(yīng)。
仍然以上述http類型的網(wǎng)絡(luò)請(qǐng)求為例,http響應(yīng)與http請(qǐng)求相類似,同樣包括三個(gè)部分:
(1)狀態(tài)行,由協(xié)議版本(例如:http1.1),狀態(tài)碼(例如:200),狀態(tài)碼描述(例如:響應(yīng)成功)三個(gè)部分組成;
(2)響應(yīng)頭部,其可以包括但不限于:服務(wù)器應(yīng)用程序的名稱和版本,響應(yīng)正文類型,響應(yīng)正文長(zhǎng)度,響應(yīng)正文所采用的編碼;
(3)響應(yīng)主體。
基于上述分析,如果http請(qǐng)求方向的內(nèi)容能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,則判定該http請(qǐng)求為疑似攻擊請(qǐng)求。盡管如此,該http請(qǐng)求并不會(huì)被直接阻斷或丟棄,而仍然需要轉(zhuǎn)發(fā)該http請(qǐng)求至webserver上。但是,當(dāng)webserver返回響應(yīng)內(nèi)容時(shí),則需要進(jìn)行http響應(yīng)頭中各個(gè)字段的解析,查找出需要進(jìn)行安全檢測(cè)的字段內(nèi)容,并進(jìn)一步根據(jù)攻擊檢測(cè)規(guī)則庫中的規(guī)則特征對(duì)響應(yīng)內(nèi)容進(jìn)行檢測(cè),如果響應(yīng)內(nèi)容能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,則認(rèn)為該http請(qǐng)求為惡意攻擊,進(jìn)而對(duì)http響應(yīng)執(zhí)行攔截或阻斷操作;如果響應(yīng)內(nèi)容不能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則 特征相匹配,則認(rèn)為該http請(qǐng)求為無效攻擊,可以直接忽略該http請(qǐng)求并將http請(qǐng)求轉(zhuǎn)發(fā)至發(fā)送端。此時(shí),發(fā)送端所接收到的響應(yīng)內(nèi)容通常為“請(qǐng)求錯(cuò)誤”的提示信息,并以此告知攻擊者此次發(fā)送的網(wǎng)絡(luò)攻擊失敗。當(dāng)然,無論是對(duì)于上述無效的http請(qǐng)求,還是有效的http請(qǐng)求,都可以通過日志記錄下來,以備后續(xù)數(shù)據(jù)分析使用。
可選地,在上述步驟s5,阻止網(wǎng)絡(luò)響應(yīng)返回至發(fā)送端之后,還可以包括以下操作:
步驟s7:向接收端發(fā)送告警提示信息,其中,告警提示信息用于提示發(fā)送端當(dāng)前存在網(wǎng)絡(luò)攻擊行為和/或提示接收端對(duì)發(fā)送端進(jìn)行鎖定。
在優(yōu)選實(shí)施過程中,不但可以向接收端發(fā)出當(dāng)前網(wǎng)絡(luò)存在網(wǎng)絡(luò)攻擊行為的告警信息,而且還可以提示接收端是否需要鎖定發(fā)送網(wǎng)絡(luò)攻擊的發(fā)送端,以便于接收端設(shè)定監(jiān)控時(shí)間窗對(duì)發(fā)送端后續(xù)可能再次發(fā)起的網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)并及時(shí)加以攔截。上述告警或攔截等動(dòng)作可以依據(jù)實(shí)際情況靈活設(shè)置。
下面將通過圖3所示的優(yōu)選實(shí)施方式對(duì)上述優(yōu)選實(shí)施過程作進(jìn)一步地詳細(xì)描述。
圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的基于雙向流的web攻擊檢測(cè)方法的流程圖。如圖3所示,該方法首先需要根據(jù)每種web攻擊類型的特點(diǎn)提取攻擊特征,這些攻擊特征不僅需要包含請(qǐng)求方向的http請(qǐng)求的攻擊特征,而且還需要提取在web攻擊成功后,webserver響應(yīng)內(nèi)容的響應(yīng)特征。由于針對(duì)每種web攻擊類型可以生成一條或多條檢測(cè)規(guī)則,因此,種類繁多的web攻擊類型檢測(cè)規(guī)則可以形成攻擊檢測(cè)規(guī)則庫。該方法可以包括以下處理步驟:
步驟s302-步驟s304:在接收到http請(qǐng)求后,需要進(jìn)行http請(qǐng)求頭中各個(gè)字段的解析,查找出需要進(jìn)行安全檢測(cè)的字段內(nèi)容;
步驟s306:根據(jù)攻擊檢測(cè)規(guī)則庫中的檢測(cè)規(guī)則,判斷http請(qǐng)求方向的內(nèi)容是否能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配;如果http請(qǐng)求方向的內(nèi)容能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,則判定該http請(qǐng)求為疑似攻擊請(qǐng)求,繼續(xù)執(zhí)行步驟s308;如果http請(qǐng)求方向的內(nèi)容不能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,則認(rèn)為該http請(qǐng)求是正常的http請(qǐng)求,其為可信任請(qǐng)求,直接透?jìng)髟揾ttp請(qǐng)求至webserver上;
步驟s308:判斷是否需要對(duì)上述與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配的http請(qǐng)求進(jìn)行告警或攔截;如果是,則轉(zhuǎn)到步驟s310;如果否,則不僅需要將http請(qǐng)求發(fā)送至webserver,而且還需要繼續(xù)執(zhí)行步驟s312;
步驟s310:將與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配的http請(qǐng)求進(jìn)行告警或攔 截;流程結(jié)束;
這里可以根據(jù)過往的統(tǒng)計(jì)分布進(jìn)行分析,如果存在一個(gè)反復(fù)出現(xiàn)的請(qǐng)求頭內(nèi)容相同或相近的具有攻擊特性的http請(qǐng)求或者同一個(gè)發(fā)送端周期性地發(fā)送具有攻擊特性的http請(qǐng)求,則可以通過請(qǐng)求方向上的單向檢測(cè)便能夠確定其為攻擊請(qǐng)求。
步驟s312:判斷是否需要對(duì)http響應(yīng)進(jìn)行攻擊檢測(cè);如果是,則繼續(xù)執(zhí)行步驟s314;如果否,則轉(zhuǎn)到步驟s318;
步驟s314:對(duì)于疑似攻擊請(qǐng)求,則仍舊透?jìng)髟揾ttp請(qǐng)求至webserver上,但是,當(dāng)webserver返回http響應(yīng)后,需要進(jìn)行http響應(yīng)頭中各個(gè)字段的解析,查找出需要進(jìn)行安全檢測(cè)的字段內(nèi)容;
步驟s316:根據(jù)攻擊檢測(cè)規(guī)則庫中的規(guī)則特征對(duì)響應(yīng)內(nèi)容進(jìn)行檢測(cè),判斷響應(yīng)內(nèi)容是否能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,如果響應(yīng)內(nèi)容能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,則認(rèn)為該http請(qǐng)求為惡意攻擊,轉(zhuǎn)到步驟s320;如果響應(yīng)內(nèi)容不能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,則繼續(xù)執(zhí)行步驟s318;
步驟s318:如果響應(yīng)內(nèi)容不能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,則認(rèn)為該http請(qǐng)求為無效攻擊,可以直接忽略該http請(qǐng)求,正常轉(zhuǎn)發(fā)http響應(yīng);或者,在判斷是否需要對(duì)http響應(yīng)進(jìn)行攻擊檢測(cè)時(shí),如果根據(jù)過往的統(tǒng)計(jì)分析情況來看,盡管已經(jīng)確定請(qǐng)求方向上的http請(qǐng)求為攻擊請(qǐng)求,但是,經(jīng)過多次驗(yàn)證,該http請(qǐng)求始終發(fā)起的為無效攻擊,因此,無需再判斷響應(yīng)內(nèi)容是否能夠與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配,便可直接正常轉(zhuǎn)發(fā)http響應(yīng);流程結(jié)束;
步驟s320:將與攻擊檢測(cè)規(guī)則庫中的規(guī)則特征相匹配的http響應(yīng)進(jìn)行告警或攔截;流程結(jié)束。
通過該優(yōu)選實(shí)施例,綜合檢測(cè)web雙向的流量?jī)?nèi)容,即默認(rèn)不信任任何方向的流量,不僅對(duì)http請(qǐng)求的流量執(zhí)行合法性校驗(yàn),而且還對(duì)webserver的流量執(zhí)行合法性校驗(yàn),從而提高了web攻擊檢測(cè)的精準(zhǔn)度和有效性。
需要說明的是,對(duì)于前述的各方法實(shí)施例,為了簡(jiǎn)單描述,故將其都表述為一系列的動(dòng)作組合,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉,本發(fā)明并不受所描述的動(dòng)作順序的限制,因?yàn)橐罁?jù)本發(fā)明,某些步驟可以采用其他順序或者同時(shí)進(jìn)行。其次,本領(lǐng)域技術(shù)人員也應(yīng)該知悉,說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例,所涉及的動(dòng)作和模塊并不一定是本發(fā)明所必須的。
通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到根據(jù)上述實(shí)施 例的網(wǎng)絡(luò)攻擊的檢測(cè)方法可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件,但很多情況下前者是更佳的實(shí)施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)(如rom/ram、磁碟、光盤)中,包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī),計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。
實(shí)施例2
根據(jù)本發(fā)明實(shí)施例,還提供了一種用于實(shí)施上述網(wǎng)絡(luò)攻擊的檢測(cè)裝置的結(jié)構(gòu)框圖,該裝置可以位于發(fā)送端(例如:計(jì)算機(jī)終端)與接收端(例如:網(wǎng)站服務(wù)器),其相當(dāng)于發(fā)送端與接收端之間的中間橋梁,其性質(zhì)類似于代理,該裝置既可以位于終端中,當(dāng)然也可以位于服務(wù)器中。如圖4所示,該裝置包括:接收模塊10,用于接收來自于發(fā)送端的網(wǎng)絡(luò)請(qǐng)求;獲取模塊20,用于在采用攻擊檢測(cè)規(guī)則集合確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求的情況下,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端,并獲取與網(wǎng)絡(luò)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)響應(yīng);處理模塊30,用于采用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式。
通過采用攻擊檢測(cè)規(guī)則集合分別對(duì)從發(fā)送端接收到的網(wǎng)絡(luò)請(qǐng)求以及從接收端獲取到的網(wǎng)絡(luò)響應(yīng)進(jìn)行雙向網(wǎng)絡(luò)攻擊檢測(cè)的方式,在采用攻擊檢測(cè)規(guī)則集合確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求的情況下,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端,并獲取與網(wǎng)絡(luò)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)響應(yīng),然后再利用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式,從而實(shí)現(xiàn)了提高網(wǎng)絡(luò)攻擊檢測(cè)精準(zhǔn)度和有效性的技術(shù)效果,進(jìn)而解決了相關(guān)技術(shù)中所采用的單向網(wǎng)絡(luò)攻擊檢測(cè)方法的準(zhǔn)確性較低的技術(shù)問題。
在優(yōu)選實(shí)施過程中,上述攻擊檢測(cè)規(guī)則集合是根據(jù)當(dāng)前網(wǎng)絡(luò)內(nèi)已經(jīng)存在的多種類型的攻擊請(qǐng)求的攻擊特性以及與每種類型的攻擊請(qǐng)求對(duì)應(yīng)的攻擊響應(yīng)的響應(yīng)特性預(yù)先生成的。
在優(yōu)選實(shí)施過程中,上述網(wǎng)絡(luò)請(qǐng)求的類型可以包括但不限于以下之一:
(1)超文本傳輸協(xié)議(http)請(qǐng)求;
(2)文件傳輸協(xié)議(ftp)請(qǐng)求;
(3)簡(jiǎn)單郵件傳輸協(xié)議(smtp)請(qǐng)求。
即本發(fā)明實(shí)施例所提供的技術(shù)方案可以適用于web攻擊檢測(cè)、ftp攻擊檢測(cè)、smtp 攻擊檢測(cè)等全部具有雙向流內(nèi)容檢測(cè)的應(yīng)用場(chǎng)景。
可選地,圖5是根據(jù)本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)攻擊的檢測(cè)裝置的結(jié)構(gòu)框圖。如圖5所示,上述裝置還包括:解析模塊40,用于對(duì)網(wǎng)絡(luò)請(qǐng)求的請(qǐng)求頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的請(qǐng)求內(nèi)容;確定模塊50,用于在攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的請(qǐng)求內(nèi)容與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配時(shí),則確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求。
可選地,如圖5所示,處理模塊30包括:解析單元300,用于對(duì)網(wǎng)絡(luò)響應(yīng)的響應(yīng)頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的響應(yīng)內(nèi)容;判斷單元302,用于根據(jù)攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的響應(yīng)內(nèi)容是否與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配;第一處理單元304,用于在判斷單元輸出為是時(shí),阻止網(wǎng)絡(luò)響應(yīng)返回至發(fā)送端;第二處理單元306,用于在判斷單元輸出為否時(shí),向發(fā)送端返回網(wǎng)絡(luò)響應(yīng)。
可選地,如圖5所示,上述裝置還包括:提示模塊60,用于向接收端發(fā)送告警提示信息,其中,告警提示信息用于提示發(fā)送端當(dāng)前存在網(wǎng)絡(luò)攻擊行為和/或提示接收端對(duì)發(fā)送端進(jìn)行鎖定。
實(shí)施例3
本發(fā)明的實(shí)施例可以提供一種計(jì)算機(jī)終端,該計(jì)算機(jī)終端可以是計(jì)算機(jī)終端群中的任意一個(gè)計(jì)算機(jī)終端設(shè)備??蛇x地,在本實(shí)施例中,上述計(jì)算機(jī)終端也可以替換為移動(dòng)終端等終端設(shè)備。
可選地,在本實(shí)施例中,上述計(jì)算機(jī)終端可以位于計(jì)算機(jī)網(wǎng)絡(luò)的多個(gè)網(wǎng)絡(luò)設(shè)備中的至少一個(gè)網(wǎng)絡(luò)設(shè)備。
可選地,圖6是根據(jù)本發(fā)明實(shí)施例的一種計(jì)算機(jī)終端的結(jié)構(gòu)框圖。如圖6所示,該計(jì)算機(jī)終端可以包括:一個(gè)或多個(gè)(圖中僅示出一個(gè))處理器以及存儲(chǔ)器。
其中,存儲(chǔ)器可用于存儲(chǔ)軟件程序以及模塊,如本發(fā)明實(shí)施例中的網(wǎng)絡(luò)攻擊的檢測(cè)方法和裝置對(duì)應(yīng)的程序指令/模塊以及攻擊檢測(cè)規(guī)則集合,處理器通過運(yùn)行存儲(chǔ)在存儲(chǔ)器內(nèi)的軟件程序以及模塊,從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理,即實(shí)現(xiàn)上述的網(wǎng)絡(luò)攻擊的檢測(cè)方法。存儲(chǔ)器可包括高速隨機(jī)存儲(chǔ)器,還可以包括非易失性存儲(chǔ)器,如一個(gè)或者多個(gè)磁性存儲(chǔ)裝置、閃存、或者其他非易失性固態(tài)存儲(chǔ)器。在一些實(shí)例中,存儲(chǔ)器可進(jìn)一步包括相對(duì)于處理器遠(yuǎn)程設(shè)置的存儲(chǔ)器,這些遠(yuǎn)程存儲(chǔ)器可以通過網(wǎng)絡(luò) 連接至終端a。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動(dòng)通信網(wǎng)及其組合。
處理器可以通過傳輸裝置調(diào)用存儲(chǔ)器存儲(chǔ)的信息及應(yīng)用程序,以執(zhí)行下述步驟:
s1:接收來自于發(fā)送端的網(wǎng)絡(luò)請(qǐng)求;
s2:在采用攻擊檢測(cè)規(guī)則集合確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求的情況下,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端,并獲取與網(wǎng)絡(luò)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)響應(yīng);
s3:采用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式。
可選地,上述攻擊檢測(cè)規(guī)則集合是根據(jù)當(dāng)前網(wǎng)絡(luò)內(nèi)已經(jīng)存在的多種類型的攻擊請(qǐng)求的攻擊特性以及與每種類型的攻擊請(qǐng)求對(duì)應(yīng)的攻擊響應(yīng)的響應(yīng)特性預(yù)先生成的。
可選的,上述處理器還可以執(zhí)行如下步驟的程序代碼:對(duì)網(wǎng)絡(luò)請(qǐng)求的請(qǐng)求頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的請(qǐng)求內(nèi)容;如果攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的請(qǐng)求內(nèi)容與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求。
可選的,上述處理器還可以執(zhí)行如下步驟的程序代碼:對(duì)網(wǎng)絡(luò)響應(yīng)的響應(yīng)頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的響應(yīng)內(nèi)容;根據(jù)攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的響應(yīng)內(nèi)容是否與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配;如果待檢測(cè)的響應(yīng)內(nèi)容與一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則阻止網(wǎng)絡(luò)響應(yīng)返回至發(fā)送端;如果待檢測(cè)的響應(yīng)內(nèi)容未與一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則向發(fā)送端返回網(wǎng)絡(luò)響應(yīng)。
可選的,上述處理器還可以執(zhí)行如下步驟的程序代碼:向接收端發(fā)送告警提示信息,其中,告警提示信息用于提示發(fā)送端當(dāng)前存在網(wǎng)絡(luò)攻擊行為和/或提示接收端對(duì)發(fā)送端進(jìn)行鎖定。
采用本發(fā)明實(shí)施例,提供了一種網(wǎng)絡(luò)攻擊檢測(cè)的方案。通過采用攻擊檢測(cè)規(guī)則集合分別對(duì)從發(fā)送端接收到的網(wǎng)絡(luò)請(qǐng)求以及從接收端獲取到的網(wǎng)絡(luò)響應(yīng)進(jìn)行雙向網(wǎng)絡(luò)攻擊檢測(cè)的方式,在采用攻擊檢測(cè)規(guī)則集合確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求的情況下,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端,并獲取與網(wǎng)絡(luò)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)響應(yīng),然后再利用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式,從而實(shí)現(xiàn)了提高網(wǎng)絡(luò)攻擊檢測(cè)精準(zhǔn)度和有效性的技術(shù)效果,進(jìn)而解決了相關(guān)技術(shù)中所采用的單向網(wǎng)絡(luò)攻擊檢測(cè)方法的準(zhǔn)確性較低的技術(shù)問題。
本領(lǐng)域普通技術(shù)人員可以理解,圖6所示的結(jié)構(gòu)僅為示意,計(jì)算機(jī)終端也可以是 智能手機(jī)(如android手機(jī)、ios手機(jī)等)、平板電腦、掌聲電腦以及移動(dòng)互聯(lián)網(wǎng)設(shè)備(mobileinternetdevices,mid)、pad等終端設(shè)備。圖6其并不對(duì)上述電子裝置的結(jié)構(gòu)造成限定。例如,計(jì)算機(jī)終端還可包括比圖6中所示更多或者更少的組件(如網(wǎng)絡(luò)接口、顯示裝置等),或者具有與圖6所示不同的配置。
本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可以通過程序來指令終端設(shè)備相關(guān)的硬件來完成,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,存儲(chǔ)介質(zhì)可以包括:閃存盤、只讀存儲(chǔ)器(read-onlymemory,rom)、隨機(jī)存取器(randomaccessmemory,ram)、磁盤或光盤等。
實(shí)施例4
本發(fā)明的實(shí)施例還提供了一種存儲(chǔ)介質(zhì)??蛇x地,在本實(shí)施例中,上述存儲(chǔ)介質(zhì)可以用于保存上述實(shí)施例一所提供的網(wǎng)絡(luò)攻擊的檢測(cè)方法所執(zhí)行的程序代碼。
可選地,在本實(shí)施例中,上述存儲(chǔ)介質(zhì)可以位于計(jì)算機(jī)網(wǎng)絡(luò)中計(jì)算機(jī)終端群中的任意一個(gè)計(jì)算機(jī)終端中,或者位于移動(dòng)終端群中的任意一個(gè)移動(dòng)終端中。
可選地,在本實(shí)施例中,存儲(chǔ)介質(zhì)被設(shè)置為存儲(chǔ)用于執(zhí)行以下步驟的程序代碼:
s1:接收來自于發(fā)送端的網(wǎng)絡(luò)請(qǐng)求;
s2:在采用攻擊檢測(cè)規(guī)則集合確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求的情況下,將網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)至接收端,并獲取與網(wǎng)絡(luò)請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)響應(yīng);
s3:采用攻擊檢測(cè)規(guī)則集合對(duì)網(wǎng)絡(luò)響應(yīng)進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果選取對(duì)網(wǎng)絡(luò)響應(yīng)的處理方式。
可選地,上述攻擊檢測(cè)規(guī)則集合是根據(jù)當(dāng)前網(wǎng)絡(luò)內(nèi)已經(jīng)存在的多種類型的攻擊請(qǐng)求的攻擊特性以及與每種類型的攻擊請(qǐng)求對(duì)應(yīng)的攻擊響應(yīng)的響應(yīng)特性預(yù)先生成的。
可選地,在本實(shí)施例中,存儲(chǔ)介質(zhì)還被設(shè)置為存儲(chǔ)用于執(zhí)行以下步驟的程序代碼:對(duì)網(wǎng)絡(luò)請(qǐng)求的請(qǐng)求頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的請(qǐng)求內(nèi)容;如果攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的請(qǐng)求內(nèi)容與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則確定網(wǎng)絡(luò)請(qǐng)求的類型為攻擊請(qǐng)求。
可選地,在本實(shí)施例中,存儲(chǔ)介質(zhì)還被設(shè)置為存儲(chǔ)用于執(zhí)行以下步驟的程序代碼:對(duì)網(wǎng)絡(luò)響應(yīng)的響應(yīng)頭中所包含的一個(gè)或多個(gè)字段進(jìn)行解析,獲取待檢測(cè)的響應(yīng)內(nèi)容;根據(jù)攻擊檢測(cè)規(guī)則集合判斷待檢測(cè)的響應(yīng)內(nèi)容是否與攻擊檢測(cè)規(guī)則集合中的一個(gè)或多 個(gè)檢測(cè)規(guī)則相匹配;如果待檢測(cè)的響應(yīng)內(nèi)容與一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則阻止網(wǎng)絡(luò)響應(yīng)返回至發(fā)送端;如果待檢測(cè)的響應(yīng)內(nèi)容未與一個(gè)或多個(gè)檢測(cè)規(guī)則相匹配,則向發(fā)送端返回網(wǎng)絡(luò)響應(yīng)。
可選地,在本實(shí)施例中,存儲(chǔ)介質(zhì)還被設(shè)置為存儲(chǔ)用于執(zhí)行以下步驟的程序代碼:向接收端發(fā)送告警提示信息,其中,告警提示信息用于提示發(fā)送端當(dāng)前存在網(wǎng)絡(luò)攻擊行為和/或提示接收端對(duì)發(fā)送端進(jìn)行鎖定。
上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣。
在本發(fā)明的上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重,某個(gè)實(shí)施例中沒有詳述的部分,可以參見其他實(shí)施例的相關(guān)描述。
在本申請(qǐng)所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所揭露的技術(shù)內(nèi)容,可通過其它的方式實(shí)現(xiàn)。其中,以上所描述的裝置實(shí)施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點(diǎn),所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,單元或模塊的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。
另外,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理存在,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能單元的形式實(shí)現(xiàn)。
所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí),可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可為個(gè)人計(jì)算機(jī)、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括:u盤、只讀存儲(chǔ)器(rom,read-onlymemory)、隨機(jī)存取存儲(chǔ)器(ram,randomaccessmemory)、移動(dòng)硬盤、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。