本申請(qǐng)涉及計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊的警示方法及裝置。

背景技術(shù)：

盡管網(wǎng)絡(luò)及系統(tǒng)層的漏洞正在逐漸減少，而且Web攻防技術(shù)也在日趨成熟，但是，在利益的驅(qū)使下，黑客們對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊卻從來沒有停止過，如何對(duì)黑客們發(fā)起的網(wǎng)絡(luò)攻擊進(jìn)行準(zhǔn)確警示成為系統(tǒng)安全管理和運(yùn)維工作的重要部分。

通常，根據(jù)不同漏洞對(duì)網(wǎng)絡(luò)系統(tǒng)或用戶的影響，可以將漏洞劃分成多個(gè)不同的危險(xiǎn)等級(jí)，例如，低危漏洞、中危漏洞和高危漏洞等，其中，低危漏洞的危險(xiǎn)等級(jí)最低，高危漏洞的危險(xiǎn)等級(jí)最高，中危漏洞的危險(xiǎn)等級(jí)大于低危漏洞的危險(xiǎn)等級(jí)，且小于高危漏洞的危險(xiǎn)等級(jí)，危險(xiǎn)等級(jí)可以與對(duì)網(wǎng)絡(luò)系統(tǒng)或用戶的影響相關(guān)聯(lián)，例如，高危漏洞通常會(huì)引發(fā)用戶的高度敏感的數(shù)據(jù)(如支付賬戶的信息等)泄露等。為了能夠?qū)W(wǎng)絡(luò)攻擊進(jìn)行準(zhǔn)確告警，人們采用的方式為：將網(wǎng)絡(luò)攻擊根據(jù)所觸發(fā)的漏洞的危險(xiǎn)等級(jí)劃分成3個(gè)警示等級(jí)，即低危漏洞警示信號(hào)、中危漏洞警示信號(hào)和高危漏洞警示信號(hào)，通過不同的警示信號(hào)可以提示用戶關(guān)注基于不同危險(xiǎn)等級(jí)的漏洞所觸發(fā)的網(wǎng)絡(luò)攻擊。

上述網(wǎng)絡(luò)攻擊的警示方式是根據(jù)漏洞的危險(xiǎn)等級(jí)進(jìn)行的，但是，當(dāng)系統(tǒng)中存在的所有漏洞都已經(jīng)被相應(yīng)的補(bǔ)丁程序修補(bǔ)后，如果當(dāng)前出現(xiàn)基于高危漏洞所觸發(fā)的網(wǎng)絡(luò)攻擊，則系統(tǒng)仍然后輸出高危漏洞的警示信號(hào)，但是該網(wǎng)絡(luò)攻擊卻并不會(huì)成功，也即是，在系統(tǒng)無漏洞的情況下，使用高危的攻擊手段不一定會(huì)導(dǎo)致高危的后果，從而，容易產(chǎn)生網(wǎng)絡(luò)攻擊誤報(bào)的情況，降低網(wǎng)絡(luò)攻擊報(bào)警的有效性，使得用戶對(duì)系統(tǒng)的警示失去信任。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)實(shí)施例提供一種網(wǎng)絡(luò)攻擊的警示方法及裝置，用以解決容易產(chǎn)生網(wǎng)絡(luò)攻擊誤報(bào)的情況，從而使得網(wǎng)絡(luò)攻擊報(bào)警的有效性降低，以及安全管理和安全運(yùn)維的效率較低的問題。

本申請(qǐng)實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的警示方法，所述方法包括：

獲取當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包；

如果對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)后確定所述網(wǎng)絡(luò)數(shù)據(jù)包能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊，則獲取所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征；

根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征和所述網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容，輸出網(wǎng)絡(luò)攻擊警示信號(hào)。

可選地，所述根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征和所述網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容，輸出網(wǎng)絡(luò)攻擊警示信號(hào)，包括：

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述網(wǎng)絡(luò)攻擊特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊警示信號(hào)。

可選地，所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征包括漏洞掃描行為特征、漏洞觸發(fā)行為特征和系統(tǒng)受控行為特征，

所述如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述網(wǎng)絡(luò)攻擊特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊警示信號(hào)，包括：

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述漏洞掃描行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出可疑攻擊提示信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述漏洞觸發(fā)行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊報(bào)警信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述系統(tǒng)受控行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出系統(tǒng)受控報(bào)警信號(hào)。

可選地，所述漏洞觸發(fā)行為特征包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征，

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊報(bào)警信號(hào)，包括：

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述低危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出低危報(bào)警信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述中危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出中危報(bào)警信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述高危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出高危報(bào)警信號(hào)。

可選地，所述輸出網(wǎng)絡(luò)攻擊警示信號(hào)，包括：

發(fā)送網(wǎng)絡(luò)攻擊警示信息；或者，

輸出報(bào)警指示燈閃爍或點(diǎn)亮的控制指令。

本申請(qǐng)實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的警示裝置，所述裝置包括：

數(shù)據(jù)包獲取模塊，用于獲取當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包；

網(wǎng)絡(luò)攻擊特征獲取模塊，用于如果對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)后確定所述網(wǎng)絡(luò)數(shù)據(jù)包能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊，則獲取所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征；

警示信號(hào)輸出模塊，用于根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征和所述網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容，輸出網(wǎng)絡(luò)攻擊警示信號(hào)。

可選地，所述警示信號(hào)輸出模塊，用于如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述網(wǎng)絡(luò)攻擊特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊警示信號(hào)。

可選地，所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征包括漏洞掃描行為特征、漏洞觸發(fā)行為特征和系統(tǒng)受控行為特征，

所述警示信號(hào)輸出模塊，用于：

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述漏洞掃描行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出可疑攻擊提示信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述漏洞觸發(fā)行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊報(bào)警信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述系統(tǒng)受控行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出系統(tǒng)受控報(bào)警信號(hào)。

可選地，所述漏洞觸發(fā)行為特征包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征，

所述警示信號(hào)輸出模塊，用于：

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述低危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出低危報(bào)警信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述中危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出中危報(bào)警信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述高危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出高危報(bào)警信號(hào)。

可選地，所述警示信號(hào)輸出模塊，用于發(fā)送網(wǎng)絡(luò)攻擊警示信息；或者，輸出報(bào)警指示燈閃爍或點(diǎn)亮的控制指令。

本申請(qǐng)實(shí)施例提供一種網(wǎng)絡(luò)攻擊的警示方法及裝置，通過對(duì)獲取的當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)，在確定該網(wǎng)絡(luò)數(shù)據(jù)包能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊后，獲取該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征，進(jìn)而，根據(jù)該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征和該網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容，輸出網(wǎng)絡(luò)攻擊警示信號(hào)，這樣，通過對(duì)應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包(即雙向數(shù)據(jù)流)的分析來確定網(wǎng)絡(luò)攻擊所造成的網(wǎng)絡(luò)影響，可以基于上述網(wǎng)絡(luò)攻擊的實(shí)際影響范圍進(jìn)行網(wǎng)絡(luò)攻擊警示，減少網(wǎng)絡(luò)攻擊誤報(bào)情況的發(fā)生，從而可以提高網(wǎng)絡(luò)攻擊報(bào)警的有效性，使得安全管理和安全運(yùn)維的效率更高。

附圖說明

此處所說明的附圖用來提供對(duì)本申請(qǐng)的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，本申請(qǐng)的示意性實(shí)施例及其說明用于解釋本申請(qǐng)，并不構(gòu)成對(duì)本申請(qǐng)的不當(dāng)限定。在附圖中：

圖1為本申請(qǐng)實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的警示方法的流程圖；

圖2為本申請(qǐng)實(shí)施例提供的另一種網(wǎng)絡(luò)攻擊的警示方法的流程圖；

圖3為本申請(qǐng)實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的警示裝置結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本申請(qǐng)的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本申請(qǐng)具體實(shí)施例及相應(yīng)的附圖對(duì)本申請(qǐng)技術(shù)方案進(jìn)行清楚、完整地描述。顯然，所描述的實(shí)施例僅是本申請(qǐng)一部分實(shí)施例，而不是全部的實(shí)施例?；诒旧暾?qǐng)中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本申請(qǐng)保護(hù)的范圍。

實(shí)施例一

如圖1所示，本申請(qǐng)實(shí)施例提供一種網(wǎng)絡(luò)攻擊的警示方法，該方法的執(zhí)行主體可以為如個(gè)人計(jì)算機(jī)等終端設(shè)備，也可以是服務(wù)器或者服務(wù)器集群等。該方法具體可以包括以下步驟：

在步驟S101中，獲取當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包。

其中，當(dāng)前網(wǎng)絡(luò)體系可以是基于多種網(wǎng)絡(luò)體系，如開放系統(tǒng)互聯(lián)網(wǎng)絡(luò)體系(OSI(Open System Interconnection，開放系統(tǒng)互聯(lián))網(wǎng)絡(luò)體系)或TCP/IP(Transmission Control Protocol/Internet Protocol，傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)網(wǎng)絡(luò)體系等。網(wǎng)絡(luò)數(shù)據(jù)包中可以包括發(fā)送者和接收者的地址信息，以及待交互的數(shù)據(jù)等，網(wǎng)絡(luò)數(shù)據(jù)包可以是一個(gè)數(shù)據(jù)包，也可以是由多個(gè)數(shù)據(jù)包組成的數(shù)據(jù)包集合。

在實(shí)施中，為了使得本申請(qǐng)更具實(shí)用性和普適性，當(dāng)前網(wǎng)絡(luò)體系可以為OSI網(wǎng)絡(luò)體系，在當(dāng)前網(wǎng)絡(luò)體系中可以包括多個(gè)層，這些層可以被劃分為低層和高層兩個(gè)部分，其中，低層主要關(guān)注的是原始數(shù)據(jù)的傳輸，高層主要關(guān)注的是網(wǎng)絡(luò)下的應(yīng)用程序。低層可以包括如OSI網(wǎng)絡(luò)體系中的物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層等三個(gè)層，高層可以包括如OSI網(wǎng)絡(luò)體系中的傳輸層、會(huì)話層、表示層和應(yīng)用層等四個(gè)層。

盡管網(wǎng)絡(luò)及系統(tǒng)層漏洞已逐漸減少，而且Web攻防技術(shù)也已日趨成熟，但是黑客們并沒有放棄對(duì)網(wǎng)絡(luò)的攻擊，已達(dá)到獲取相應(yīng)利益的目的，為此，本申請(qǐng)實(shí)施例設(shè)置一種網(wǎng)絡(luò)攻擊的檢測(cè)與警示裝置。為了不影響當(dāng)前網(wǎng)絡(luò)體系對(duì)應(yīng)的網(wǎng)絡(luò)系統(tǒng)的正常工作，該檢測(cè)與警示裝置可以旁路監(jiān)聽的方式與該網(wǎng)絡(luò)系統(tǒng)連接，具體地，該檢測(cè)與警示裝置的輸入端口可以與該網(wǎng)絡(luò)系統(tǒng)中的交換機(jī)的鏡像端口連接，或者可以將該檢測(cè)與警示裝置部署在交換機(jī)的鏡像端口處，這樣，可以不需要對(duì)現(xiàn)有網(wǎng)絡(luò)、Web應(yīng)用架構(gòu)進(jìn)行深度調(diào)整，即可實(shí)時(shí)獲取并保存網(wǎng)絡(luò)層的所有網(wǎng)絡(luò)請(qǐng)求(例如HTTP(HyperText Transfer Protocol，超文本傳輸協(xié)議)請(qǐng)求或FTP(File Transfer Protocol，文件傳輸協(xié)議)請(qǐng)求等)及響應(yīng)的數(shù)據(jù)包，以供該檢測(cè)與警示裝置進(jìn)行進(jìn)一步的分析處理。其中，交換機(jī)的鏡像功能可以對(duì)流經(jīng)該網(wǎng)絡(luò)系統(tǒng)的流量進(jìn)行全流量鏡像，在進(jìn)行全流量鏡像的過程中，可以使用如網(wǎng)站增量去重和差異壓縮備份等相關(guān)算法。通過全流量鏡像，該檢測(cè)與警示裝置可以保存最近半年乃至一年，甚至更長(zhǎng)時(shí)間的完整的Web雙向流量(即輸入到該網(wǎng)絡(luò)系統(tǒng)和從該網(wǎng)絡(luò)系統(tǒng)輸出的流量)的數(shù)據(jù)。這樣，當(dāng)用戶發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)網(wǎng)絡(luò)攻擊行為時(shí)，不但可以進(jìn)行攻擊回溯，還可以利用預(yù)定的檢測(cè)策略對(duì)歷史數(shù)據(jù)重新檢測(cè)及篩選，從而確定網(wǎng)絡(luò)攻擊的相關(guān)信息，以便用戶可以針對(duì)該網(wǎng)絡(luò)攻擊采取相應(yīng)的應(yīng)對(duì)措施。

為了提高網(wǎng)絡(luò)入侵的警示精度和檢測(cè)效率，本申請(qǐng)實(shí)施例基于應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包來實(shí)現(xiàn)網(wǎng)絡(luò)入侵的檢測(cè)與警示?；谏鲜鼋Y(jié)構(gòu)，當(dāng)有網(wǎng)絡(luò)數(shù)據(jù)包流經(jīng)該網(wǎng)絡(luò)系統(tǒng)的交換機(jī)時(shí)，交換機(jī)可以通過自身的鏡像功能將獲取的應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行鏡像處理，得到該網(wǎng)絡(luò)數(shù)據(jù)包的鏡像數(shù)據(jù)，可以將該鏡像數(shù)據(jù)提供給該檢測(cè)設(shè)備，從而該檢測(cè)與警示裝置可以獲取到該鏡像數(shù)據(jù)，并可以對(duì)該鏡像數(shù)據(jù)中的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行提取還原處理，將網(wǎng)絡(luò)層的網(wǎng)絡(luò)數(shù)據(jù)包還原為當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包。

在步驟S102中，如果對(duì)上述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)后確定該網(wǎng)絡(luò)數(shù)據(jù)包能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊，則獲取該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征。

其中，網(wǎng)絡(luò)攻擊特征可以包括多種，例如，可以包括漏洞特征、植入病毒數(shù)據(jù)特征和網(wǎng)頁惡意代碼中的數(shù)據(jù)特征等，具體可以根據(jù)實(shí)際情況確定。在實(shí)際應(yīng)用中，其中的漏洞特征對(duì)應(yīng)的漏洞是黑客們進(jìn)行網(wǎng)絡(luò)攻擊的主要途徑，漏洞特征可以包括漏洞掃描行為特征或漏洞觸發(fā)行為特征等，各種不同的漏洞特征可以包括有不同的表現(xiàn)形式，例如，漏洞掃描行為特征可以是SQL(Structured Query Language，結(jié)構(gòu)化查詢語言)注入特征(如URL(Uniform Resource Locator，統(tǒng)一資源定位符)中包括select特征)，漏洞觸發(fā)行為特征可以是目錄遍歷特征(如頁面中出現(xiàn)目錄列表等)。此外，還可以包括系統(tǒng)受控行為特征，例如包括系統(tǒng)命令set關(guān)鍵字的特征等。

在實(shí)施中，可以預(yù)先設(shè)置網(wǎng)絡(luò)攻擊的識(shí)別與檢測(cè)算法，例如K-Means算法、決策樹算法、隨機(jī)森林樹算法或人工神經(jīng)網(wǎng)絡(luò)算法等。當(dāng)獲取到輸入應(yīng)用層和應(yīng)用層輸出的網(wǎng)絡(luò)數(shù)據(jù)包后，可以使用上述預(yù)先設(shè)置的網(wǎng)絡(luò)攻擊的識(shí)別與檢測(cè)算法，對(duì)上述網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進(jìn)行識(shí)別分析與檢測(cè)，從中得到該應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)攻擊特征，例如，可以預(yù)先對(duì)網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進(jìn)行特征提取，得到應(yīng)用數(shù)據(jù)的數(shù)據(jù)特征，可以將各個(gè)數(shù)據(jù)特征分別代入到上述預(yù)先設(shè)置的識(shí)別與檢測(cè)算法中進(jìn)行計(jì)算，確定其中是否包含能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)攻擊特征，如果包含，則可以獲取該數(shù)據(jù)特征，并可以將該數(shù)據(jù)特征作為網(wǎng)絡(luò)攻擊特征。

需要說明的是，網(wǎng)絡(luò)攻擊的識(shí)別與檢測(cè)算法可以只包括上述分析算法中的一個(gè)算法，也可以包括上述算法中的多個(gè)算法，而且，同一算法可以具有不同的實(shí)現(xiàn)方式，用戶具體使用哪種實(shí)現(xiàn)方式可以根據(jù)實(shí)際情況設(shè)定，本申請(qǐng)實(shí)施例對(duì)此不做限定。

在步驟S103中，根據(jù)上述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征和該網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容，輸出網(wǎng)絡(luò)攻擊警示信號(hào)。

在實(shí)施中，可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包中的網(wǎng)絡(luò)攻擊特征確定相應(yīng)的網(wǎng)絡(luò)攻擊所屬的類型，如漏洞或植入病毒等?？梢曰诖_定出的網(wǎng)絡(luò)攻擊所屬的類型，確定該類型的網(wǎng)絡(luò)攻擊需要網(wǎng)絡(luò)系統(tǒng)向請(qǐng)求者傳輸哪些關(guān)鍵數(shù)據(jù)?？梢苑謩e獲取輸入應(yīng)用層和應(yīng)用層輸出的網(wǎng)絡(luò)數(shù)據(jù)包，可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容進(jìn)行分析，并確定分析得到的數(shù)據(jù)中是否包含上述關(guān)鍵數(shù)據(jù)，尤其是，分析應(yīng)用層輸出的網(wǎng)絡(luò)數(shù)據(jù)包中是否包括網(wǎng)絡(luò)攻擊特征對(duì)應(yīng)的網(wǎng)絡(luò)攻擊所獲取的網(wǎng)絡(luò)系統(tǒng)中的敏感數(shù)據(jù)或重要數(shù)據(jù)，如果包括，則可以向技術(shù)人員或網(wǎng)絡(luò)系統(tǒng)的提供者提供網(wǎng)絡(luò)攻擊警示信號(hào)，例如向其發(fā)送警示信息，以提示技術(shù)人員或網(wǎng)絡(luò)系統(tǒng)的提供者可以針對(duì)本次網(wǎng)絡(luò)攻擊采取相應(yīng)的措施，減少網(wǎng)絡(luò)攻擊造成的損失。如果不包括，則可以認(rèn)為應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包中的網(wǎng)絡(luò)攻擊特征沒有對(duì)當(dāng)前網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，或者，網(wǎng)絡(luò)系統(tǒng)已經(jīng)安裝了該網(wǎng)絡(luò)攻擊特征對(duì)應(yīng)的漏洞的補(bǔ)丁程序，此時(shí)，可以僅輸出提示信號(hào)，以提示技術(shù)人員或網(wǎng)絡(luò)系統(tǒng)的提供者存在可疑攻擊或潛在威脅；如果網(wǎng)絡(luò)數(shù)據(jù)包中不存在網(wǎng)絡(luò)攻擊特征，則可以不執(zhí)行任何操作。這樣，通過對(duì)雙向數(shù)據(jù)流的分析來確定網(wǎng)絡(luò)攻擊所造成的網(wǎng)絡(luò)影響，并基于上述網(wǎng)絡(luò)攻擊的實(shí)際影響范圍進(jìn)行網(wǎng)絡(luò)攻擊警示，從而可以提高網(wǎng)絡(luò)攻擊報(bào)警的有效性，使得安全管理和安全運(yùn)維的效率更高。

本申請(qǐng)實(shí)施例提供一種網(wǎng)絡(luò)攻擊的警示方法，通過對(duì)獲取的當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)，在確定該網(wǎng)絡(luò)數(shù)據(jù)包能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊后，獲取該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征，進(jìn)而，根據(jù)該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征和該網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容，輸出網(wǎng)絡(luò)攻擊警示信號(hào)，這樣，通過對(duì)應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包(即雙向數(shù)據(jù)流)的分析來確定網(wǎng)絡(luò)攻擊所造成的網(wǎng)絡(luò)影響，可以基于上述網(wǎng)絡(luò)攻擊的實(shí)際影響范圍進(jìn)行網(wǎng)絡(luò)攻擊警示，減少網(wǎng)絡(luò)攻擊誤報(bào)情況的發(fā)生，從而可以提高網(wǎng)絡(luò)攻擊報(bào)警的有效性，使得安全管理和安全運(yùn)維的效率更高。

實(shí)施例二

如圖2所示，本申請(qǐng)實(shí)施例提供了一種網(wǎng)絡(luò)攻擊的警示方法，具體包括如下步驟：

在步驟S201中，獲取當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包。

上述步驟S201的步驟內(nèi)容與上述實(shí)施例一中步驟S101的步驟內(nèi)容相同，步驟S201的處理可以參見上述實(shí)施例一中步驟S101的相關(guān)內(nèi)容，在此不再贅述。

在步驟S202中，如果對(duì)上述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)后確定該網(wǎng)絡(luò)數(shù)據(jù)包能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊，則獲取該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征。

上述步驟S202的步驟內(nèi)容與上述實(shí)施例一中步驟S102的步驟內(nèi)容相同，步驟S202的處理可以參見上述實(shí)施例一中步驟S102的相關(guān)內(nèi)容，在此不再贅述。

此外，網(wǎng)絡(luò)攻擊特征可以包括多種，如漏洞掃描行為特征、漏洞觸發(fā)行為特征和系統(tǒng)受控行為特征等。對(duì)于不同的網(wǎng)絡(luò)攻擊特征，可以設(shè)置不同的網(wǎng)絡(luò)攻擊檢測(cè)機(jī)制，下面分別對(duì)上述三種網(wǎng)絡(luò)攻擊特征進(jìn)行說明，具體可以包括以下內(nèi)容：

其一，為了能夠及時(shí)檢測(cè)出網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)攻擊事件，可以在該檢測(cè)與警示裝置中設(shè)置漏洞掃描識(shí)別引擎。其中，該漏洞掃描識(shí)別引擎可以通過硬件和軟件結(jié)合構(gòu)成，或者由軟件實(shí)現(xiàn)，其中的軟件部分可以使用適當(dāng)?shù)木幊陶Z言，并通過編寫相應(yīng)的程序代碼實(shí)現(xiàn)。編程語言可以根據(jù)實(shí)際情況確定，具體如C語言或JAVA編程語言等，本發(fā)明實(shí)施例對(duì)此不做限定。

通過漏洞掃描識(shí)別引擎可以對(duì)網(wǎng)絡(luò)系統(tǒng)中的漏洞掃描行為進(jìn)行識(shí)別，其中識(shí)別策略可以包括多種，以下提供部分識(shí)別策略，如下表1所示。

表1

例如，可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進(jìn)行漏洞掃描行為分析，檢測(cè)該應(yīng)用數(shù)據(jù)中是否包括能夠執(zhí)行漏洞掃描事件的應(yīng)用程序或程序代碼，可以將該應(yīng)用程序或程序代碼確定為該應(yīng)用數(shù)據(jù)的漏洞掃描行為特征。

或者，也可以將該應(yīng)用數(shù)據(jù)放置在預(yù)先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運(yùn)行，在該應(yīng)用數(shù)據(jù)運(yùn)行的過程中，可以檢測(cè)該應(yīng)用數(shù)據(jù)的運(yùn)行邏輯和運(yùn)行目的，可以從其運(yùn)行邏輯和運(yùn)行目的中確定該應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)攻擊特征。例如，可以將該應(yīng)用數(shù)據(jù)放置在預(yù)先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運(yùn)行，在運(yùn)行的過程中，如果漏洞掃描識(shí)別引擎檢測(cè)到該網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)正在使用不同的密碼對(duì)HTTP密碼進(jìn)行破解，且該應(yīng)用數(shù)據(jù)使用不同的密碼對(duì)HTTP密碼破解的次數(shù)達(dá)到預(yù)定次數(shù)閾值(如10次或20次等)，則可以確定HTTP密碼正在被暴力破解，此時(shí)，可以將該應(yīng)用數(shù)據(jù)的數(shù)據(jù)特征確定為漏洞掃描行為特征。

其二，為了能夠及時(shí)檢測(cè)出網(wǎng)絡(luò)系統(tǒng)的漏洞被觸發(fā)的事件，可以在該檢測(cè)與警示裝置中設(shè)置漏洞觸發(fā)識(shí)別引擎。其中，該漏洞觸發(fā)識(shí)別引擎可以通過硬件和軟件結(jié)合構(gòu)成，或者由軟件實(shí)現(xiàn)，其中的軟件部分可以使用適當(dāng)?shù)木幊陶Z言，并通過編寫相應(yīng)的程序代碼實(shí)現(xiàn)。編程語言可以根據(jù)實(shí)際情況確定，本發(fā)明實(shí)施例對(duì)此不做限定。

通過漏洞觸發(fā)識(shí)別引擎可以對(duì)網(wǎng)絡(luò)系統(tǒng)中漏洞的觸發(fā)進(jìn)行識(shí)別，根據(jù)漏洞對(duì)網(wǎng)絡(luò)系統(tǒng)造成的危害程度不同，可以將漏洞劃分為低危漏洞、中危漏洞和高危漏洞等，其中識(shí)別策略可以包括多種，以下提供部分識(shí)別策略，如下表2所示。

表2

例如，可以對(duì)待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進(jìn)行漏洞觸發(fā)分析，檢測(cè)該應(yīng)用數(shù)據(jù)中是否包括能夠觸發(fā)漏洞的應(yīng)用程序或程序代碼，可以將該應(yīng)用程序或程序代碼確定為該應(yīng)用數(shù)據(jù)的漏洞觸發(fā)行為特征。

或者，也可以將該應(yīng)用數(shù)據(jù)放置在預(yù)先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運(yùn)行，在該應(yīng)用數(shù)據(jù)運(yùn)行的過程中，可以檢測(cè)該應(yīng)用數(shù)據(jù)的運(yùn)行邏輯和運(yùn)行目的，可以從其運(yùn)行邏輯和運(yùn)行目的中確定該應(yīng)用數(shù)據(jù)的漏洞觸發(fā)行為特征。例如，可以將該應(yīng)用數(shù)據(jù)放置在預(yù)先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運(yùn)行，在運(yùn)行的過程中，如果漏洞觸發(fā)識(shí)別引擎檢測(cè)到網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)正在通過SQL注入的方式調(diào)用postgresql查詢語句，則可以確定該應(yīng)用數(shù)據(jù)的數(shù)據(jù)特征為漏洞觸發(fā)行為特征。

其三，為了能夠及時(shí)檢測(cè)出網(wǎng)絡(luò)系統(tǒng)的受控事件，可以預(yù)先設(shè)置系統(tǒng)受控識(shí)別引擎。其中，該系統(tǒng)受控識(shí)別引擎可以通過硬件和軟件結(jié)合構(gòu)成，或者由軟件實(shí)現(xiàn)，其中的軟件部分可以使用適當(dāng)?shù)木幊陶Z言，并通過編寫相應(yīng)的程序代碼實(shí)現(xiàn)。編程語言可以根據(jù)實(shí)際情況確定，本發(fā)明實(shí)施例對(duì)此不做限定。

通過系統(tǒng)受控識(shí)別引擎可以對(duì)網(wǎng)絡(luò)系統(tǒng)是否被控制進(jìn)行識(shí)別，其中識(shí)別策略可以包括多種，以下提供部分識(shí)別策略，如下表3所示。

表3

例如，可以對(duì)當(dāng)前網(wǎng)絡(luò)體系對(duì)應(yīng)的網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行檢測(cè)，如果該運(yùn)行狀態(tài)中包括預(yù)定的控制操作信息(如上述表3中對(duì)應(yīng)的控制操作信息等)，則系統(tǒng)受控識(shí)別引擎可以確定當(dāng)前網(wǎng)絡(luò)系統(tǒng)被控制，此時(shí)，可以將上述控制操作信息對(duì)應(yīng)的數(shù)據(jù)特征作為系統(tǒng)受控行為特征。其中，檢測(cè)當(dāng)前網(wǎng)絡(luò)體系對(duì)應(yīng)的網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)具體可以是：可以將該應(yīng)用數(shù)據(jù)放置在預(yù)先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運(yùn)行，在該應(yīng)用數(shù)據(jù)運(yùn)行的過程中，可以檢測(cè)該應(yīng)用數(shù)據(jù)的運(yùn)行邏輯和運(yùn)行目的，可以從其運(yùn)行邏輯和運(yùn)行目的中確定當(dāng)前網(wǎng)絡(luò)系統(tǒng)是否被控制。例如，可以將應(yīng)用數(shù)據(jù)放置在預(yù)先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運(yùn)行，在運(yùn)行的過程中，如果系統(tǒng)受控識(shí)別引擎檢測(cè)到網(wǎng)絡(luò)系統(tǒng)正在通過SQL注入的方式調(diào)用mysql quarter函數(shù)或timestampadd函數(shù)，則可以將上述控制操作信息對(duì)應(yīng)的數(shù)據(jù)特征作為系統(tǒng)受控行為特征。

可以將網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容與確定出的網(wǎng)絡(luò)攻擊特征對(duì)應(yīng)的數(shù)據(jù)內(nèi)容相比較，以便確定該網(wǎng)絡(luò)攻擊特征是否對(duì)當(dāng)前網(wǎng)絡(luò)系統(tǒng)進(jìn)行了網(wǎng)絡(luò)攻擊或者對(duì)當(dāng)前網(wǎng)絡(luò)產(chǎn)生影響，依此輸出相應(yīng)的警示信號(hào)，具體可以參見下述步驟S203的處理。

在步驟S203中，如果該網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與上述網(wǎng)絡(luò)攻擊特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊警示信號(hào)。

在實(shí)施中，對(duì)于上述步驟S202提供的三種網(wǎng)絡(luò)攻擊特征，上述步驟S203的具體處理可以參見以下情況：

情況一，如果網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與該漏洞掃描行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出可疑攻擊提示信號(hào)。

其中，由于漏洞掃描行為特征僅表征該網(wǎng)絡(luò)數(shù)據(jù)包可以對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描操作，而漏洞掃描操作并不是直接的網(wǎng)絡(luò)攻擊，而是網(wǎng)絡(luò)攻擊的一個(gè)必要條件，因此，對(duì)于此情況，可以只輸出可疑攻擊提示信號(hào)，用于提示技術(shù)人員或網(wǎng)絡(luò)系統(tǒng)的提供者需要關(guān)注此可疑網(wǎng)絡(luò)數(shù)據(jù)包，有可能會(huì)觸發(fā)網(wǎng)絡(luò)攻擊操作。

情況二，如果網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與該漏洞觸發(fā)行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊報(bào)警信號(hào)。

其中，由于漏洞觸發(fā)行為特征表征該網(wǎng)絡(luò)數(shù)據(jù)包可以觸發(fā)網(wǎng)絡(luò)系統(tǒng)中的漏洞以使網(wǎng)絡(luò)系統(tǒng)遭受網(wǎng)絡(luò)攻擊，因此，漏洞觸發(fā)行為是直接網(wǎng)絡(luò)攻擊的體現(xiàn)，對(duì)于此情況，可以輸出網(wǎng)絡(luò)攻擊報(bào)警信號(hào)，用于告警技術(shù)人員或網(wǎng)絡(luò)系統(tǒng)的提供者網(wǎng)絡(luò)系統(tǒng)遭受了網(wǎng)絡(luò)攻擊。

根據(jù)不同漏洞對(duì)網(wǎng)絡(luò)系統(tǒng)或用戶的影響，可以將漏洞劃分成多個(gè)不同的危險(xiǎn)等級(jí)，例如，低危漏洞、中危漏洞和高危漏洞等，相應(yīng)的，上述漏洞觸發(fā)行為特征也可以劃分為多種不同的特征，例如，低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征等?；诖?，上述情況二還可以包括以下三種報(bào)警信號(hào)：

其一，如果上述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與低危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出低危報(bào)警信號(hào)。

其二，如果該網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與中危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出中危報(bào)警信號(hào)。

其三，如果該網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與高危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出高危報(bào)警信號(hào)。

情況三，如果上述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與系統(tǒng)受控行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出系統(tǒng)受控報(bào)警信號(hào)。

其中，由于系統(tǒng)受控行為特征表征當(dāng)前網(wǎng)絡(luò)系統(tǒng)已經(jīng)遭受網(wǎng)絡(luò)攻擊，并已被控制，因此，系統(tǒng)受控行為是網(wǎng)絡(luò)攻擊的結(jié)果體現(xiàn)，即系統(tǒng)被控制，對(duì)于此情況，可以輸出系統(tǒng)受控報(bào)警信號(hào)，用于告警技術(shù)人員或網(wǎng)絡(luò)系統(tǒng)的提供者當(dāng)前網(wǎng)絡(luò)系統(tǒng)已被控制。

另外，上述步驟S203中的輸出網(wǎng)絡(luò)攻擊警示信號(hào)的處理可以有多種體現(xiàn)形式，以下提供兩種可選的方式，具體可以包括以下內(nèi)容：

方式一，發(fā)送網(wǎng)絡(luò)攻擊警示信息。

方式二，輸出報(bào)警指示燈閃爍或點(diǎn)亮的控制指令。

需要說明的是，輸出網(wǎng)絡(luò)攻擊警示信號(hào)的處理不僅僅包括上述兩種方式，還可以包括其它方式，本申請(qǐng)實(shí)施例中輸出網(wǎng)絡(luò)攻擊警示信號(hào)可以是任何能夠達(dá)到網(wǎng)絡(luò)攻擊告警目的的方式，本申請(qǐng)實(shí)施例對(duì)此不做限定。

本申請(qǐng)實(shí)施例提供一種網(wǎng)絡(luò)攻擊的警示方法，通過對(duì)獲取的當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)，在確定該網(wǎng)絡(luò)數(shù)據(jù)包能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊后，獲取該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征，進(jìn)而，根據(jù)該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征和該網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容，輸出網(wǎng)絡(luò)攻擊警示信號(hào)，這樣，通過對(duì)應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包(即雙向數(shù)據(jù)流)的分析來確定網(wǎng)絡(luò)攻擊所造成的網(wǎng)絡(luò)影響，可以基于上述網(wǎng)絡(luò)攻擊的實(shí)際影響范圍進(jìn)行網(wǎng)絡(luò)攻擊警示，減少網(wǎng)絡(luò)攻擊誤報(bào)情況的發(fā)生，從而可以提高網(wǎng)絡(luò)攻擊報(bào)警的有效性，使得安全管理和安全運(yùn)維的效率更高。

實(shí)施例三

以上為本申請(qǐng)實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的警示方法，基于同樣的思路，本申請(qǐng)實(shí)施例還提供一種網(wǎng)絡(luò)攻擊的警示裝置，如圖3所示。

所述網(wǎng)絡(luò)攻擊的警示裝置包括：數(shù)據(jù)包獲取模塊301、網(wǎng)絡(luò)攻擊特征獲取模塊302和警示信號(hào)輸出模塊303，其中：

數(shù)據(jù)包獲取模301，用于獲取當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包；

網(wǎng)絡(luò)攻擊特征獲取模塊302，用于如果對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)后確定所述網(wǎng)絡(luò)數(shù)據(jù)包能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊，則獲取所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征；

警示信號(hào)輸出模塊303，用于根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征和所述網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容，輸出網(wǎng)絡(luò)攻擊警示信號(hào)。

可選地，所述警示信號(hào)輸出模塊303，用于如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述網(wǎng)絡(luò)攻擊特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊警示信號(hào)。

可選地，所述網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征包括漏洞掃描行為特征、漏洞觸發(fā)行為特征和系統(tǒng)受控行為特征，

所述警示信號(hào)輸出模塊303，用于：

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述漏洞掃描行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出可疑攻擊提示信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述漏洞觸發(fā)行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出網(wǎng)絡(luò)攻擊報(bào)警信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述系統(tǒng)受控行為特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出系統(tǒng)受控報(bào)警信號(hào)。

可選地，所述漏洞觸發(fā)行為特征包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征，

所述警示信號(hào)輸出模塊303，用于：

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述低危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出低危報(bào)警信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述中危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出中危報(bào)警信號(hào)；

如果所述網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容中包括與所述高危漏洞觸發(fā)特征相應(yīng)的數(shù)據(jù)內(nèi)容，則輸出高危報(bào)警信號(hào)。

可選地，所述警示信號(hào)輸出模塊303，用于發(fā)送網(wǎng)絡(luò)攻擊警示信息；或者，輸出報(bào)警指示燈閃爍或點(diǎn)亮的控制指令。

本申請(qǐng)實(shí)施例提供一種網(wǎng)絡(luò)攻擊的警示裝置，通過對(duì)獲取的當(dāng)前網(wǎng)絡(luò)體系中應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)，在確定該網(wǎng)絡(luò)數(shù)據(jù)包能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)體系進(jìn)行網(wǎng)絡(luò)攻擊后，獲取該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征，進(jìn)而，根據(jù)該網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)攻擊特征和該網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容，輸出網(wǎng)絡(luò)攻擊警示信號(hào)，這樣，通過對(duì)應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包(即雙向數(shù)據(jù)流)的分析來確定網(wǎng)絡(luò)攻擊所造成的網(wǎng)絡(luò)影響，可以基于上述網(wǎng)絡(luò)攻擊的實(shí)際影響范圍進(jìn)行網(wǎng)絡(luò)攻擊警示，減少網(wǎng)絡(luò)攻擊誤報(bào)情況的發(fā)生，從而可以提高網(wǎng)絡(luò)攻擊報(bào)警的有效性，使得安全管理和安全運(yùn)維的效率更高。

在一個(gè)典型的配置中，計(jì)算設(shè)備包括一個(gè)或多個(gè)處理器(CPU)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。

內(nèi)存可能包括計(jì)算機(jī)可讀介質(zhì)中的非永久性存儲(chǔ)器，隨機(jī)存取存儲(chǔ)器(RAM)和/或非易失性內(nèi)存等形式，如只讀存儲(chǔ)器(ROM)或閃存(flash RAM)。內(nèi)存是計(jì)算機(jī)可讀介質(zhì)的示例。

計(jì)算機(jī)可讀介質(zhì)包括永久性和非永久性、可移動(dòng)和非可移動(dòng)媒體可以由任何方法或技術(shù)來實(shí)現(xiàn)信息存儲(chǔ)。信息可以是計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計(jì)算機(jī)的存儲(chǔ)介質(zhì)的例子包括，但不限于相變內(nèi)存(PRAM)、靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)、其他類型的隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、電可擦除可編程只讀存儲(chǔ)器(EEPROM)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲(chǔ)器(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學(xué)存儲(chǔ)、磁盒式磁帶，磁帶磁磁盤存儲(chǔ)或其他磁性存儲(chǔ)設(shè)備或任何其他非傳輸介質(zhì)，可用于存儲(chǔ)可以被計(jì)算設(shè)備訪問的信息。按照本文中的界定，計(jì)算機(jī)可讀介質(zhì)不包括暫存電腦可讀媒體(transitory media)，如調(diào)制的數(shù)據(jù)信號(hào)和載波。

還需要說明的是，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。

本領(lǐng)域技術(shù)人員應(yīng)明白，本申請(qǐng)的實(shí)施例可提供為方法、系統(tǒng)或計(jì)算機(jī)程序產(chǎn)品。因此，本申請(qǐng)可采用完全硬件實(shí)施例、完全軟件實(shí)施例或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本申請(qǐng)可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

以上所述僅為本申請(qǐng)的實(shí)施例而已，并不用于限制本申請(qǐng)。對(duì)于本領(lǐng)域技術(shù)人員來說，本申請(qǐng)可以有各種更改和變化。凡在本申請(qǐng)的精神和原理之內(nèi)所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請(qǐng)的權(quán)利要求范圍之內(nèi)。