本申請涉及計算機
技術(shù)領(lǐng)域：
，尤其涉及一種網(wǎng)絡(luò)攻擊的檢測方法及裝置。
背景技術(shù)：
：隨著網(wǎng)絡(luò)及系統(tǒng)層漏洞的逐漸減少及Web攻防技術(shù)的日趨成熟，黑客們將注意力從以往對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web應(yīng)用的攻擊上。通常，為了實時監(jiān)測和防止網(wǎng)絡(luò)系統(tǒng)的攻擊，人們采用的方式為：在網(wǎng)絡(luò)層部署檢測裝置，用于對網(wǎng)絡(luò)攻擊的檢測，具體處理包括：該檢測裝置從當前網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)層獲取數(shù)據(jù)包，并將該數(shù)據(jù)包存儲在指定的存儲設(shè)備中。技術(shù)人員定期或?qū)崟r對存儲的數(shù)據(jù)包進行分析，確定其中是否包含能夠?qū)W(wǎng)絡(luò)服務(wù)器、終端設(shè)備及其硬件或軟件造成危害的應(yīng)用程序或程序代碼，如果包括，則可以確定該數(shù)據(jù)包可能會危害網(wǎng)絡(luò)系統(tǒng)，此時，技術(shù)人員可以針對該數(shù)據(jù)包中包含的具體應(yīng)用程序或程序代碼，判定其屬于何種網(wǎng)絡(luò)攻擊，從而采取或制定相應(yīng)的措施。如果不包括，則可以確定該數(shù)據(jù)包不會危害網(wǎng)絡(luò)系統(tǒng)。但是，上述檢測裝置是部署在網(wǎng)絡(luò)層，由于網(wǎng)絡(luò)層的數(shù)據(jù)包中大多包含的是各種網(wǎng)絡(luò)代碼或程序代碼，技術(shù)人員在分析網(wǎng)絡(luò)代碼或程序代碼時很多情況下會存在解讀錯誤的情況，這樣很可能會造成網(wǎng)絡(luò)系統(tǒng)危害的數(shù)據(jù)包被分析成正常的數(shù)據(jù)，從而使得Web應(yīng)用的安全受到威脅，給黑客以可乘之機。技術(shù)實現(xiàn)要素：本申請實施例提供一種網(wǎng)絡(luò)攻擊的檢測方法及裝置，用以解決現(xiàn)有技術(shù)中很可能會造成網(wǎng)絡(luò)系統(tǒng)危害的數(shù)據(jù)包被分析成正常的數(shù)據(jù)，從而使得Web應(yīng)用的安全受到威脅的問題。本申請實施例提供的一種網(wǎng)絡(luò)攻擊的檢測方法，所述方法包括：從當前網(wǎng)絡(luò)體系中的應(yīng)用層獲取待分析的網(wǎng)絡(luò)數(shù)據(jù)包；對所述待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞特征；根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況?？蛇x地，所述方法還包括：根據(jù)當前網(wǎng)絡(luò)的攻擊情況，輸出相應(yīng)的網(wǎng)絡(luò)攻擊通知?？蛇x地，所述對所述待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞特征，包括：通過預先設(shè)置的漏洞掃描規(guī)則對所述應(yīng)用數(shù)據(jù)進行漏洞掃描特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞掃描特征；相應(yīng)的，所述根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況，包括：根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞掃描特征，確定當前網(wǎng)絡(luò)的攻擊情況為可疑攻擊?？蛇x地，所述對所述待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞特征，包括：通過預先設(shè)置的漏洞觸發(fā)規(guī)則對所述應(yīng)用數(shù)據(jù)進行漏洞觸發(fā)特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征；相應(yīng)的，所述根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況，包括：根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征，確定當前網(wǎng)絡(luò)的攻擊情況為漏洞攻擊?？蛇x地，所述漏洞觸發(fā)特征包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征，所述根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況，包括：如果所述漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為低危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為低危漏洞攻擊；如果所述漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為中危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為中危漏洞攻擊；如果所述漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為高危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為高危漏洞攻擊。本申請實施例提供的一種網(wǎng)絡(luò)攻擊的檢測裝置，所述裝置包括：數(shù)據(jù)包獲取模塊，用于從當前網(wǎng)絡(luò)體系中的應(yīng)用層獲取待分析的網(wǎng)絡(luò)數(shù)據(jù)包；漏洞特征識別模塊，用于對所述待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞特征；攻擊情況確定模塊，用于根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況?？蛇x地，所述裝置還包括：攻擊通知輸出模塊，用于根據(jù)當前網(wǎng)絡(luò)的攻擊情況，輸出相應(yīng)的網(wǎng)絡(luò)攻擊通知?？蛇x地，所述漏洞特征識別模塊，用于通過預先設(shè)置的漏洞掃描規(guī)則對所述應(yīng)用數(shù)據(jù)進行漏洞掃描特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞掃描特征；相應(yīng)的，所述攻擊情況確定模塊，用于根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞掃描特征，確定當前網(wǎng)絡(luò)的攻擊情況為可疑攻擊?？蛇x地，所述漏洞特征識別模塊，用于通過預先設(shè)置的漏洞觸發(fā)規(guī)則對所述應(yīng)用數(shù)據(jù)進行漏洞觸發(fā)特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征；相應(yīng)的，所述攻擊情況確定模塊，用于根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征，確定當前網(wǎng)絡(luò)的攻擊情況為漏洞攻擊?？蛇x地，所述漏洞觸發(fā)特征包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征，所述攻擊情況確定模塊，用于如果所述漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為低危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為低危漏洞攻擊；如果所述漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為中危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為中危漏洞攻擊；如果所述漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為高危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為高危漏洞攻擊。本申請實施例提供一種網(wǎng)絡(luò)攻擊的檢測方法及裝置，通過從當前網(wǎng)絡(luò)體系中的應(yīng)用層獲取待分析的網(wǎng)絡(luò)數(shù)據(jù)包，對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取該應(yīng)用數(shù)據(jù)的漏洞特征，進而，可以根據(jù)該應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況，這樣，執(zhí)行上述過程的網(wǎng)絡(luò)攻擊的檢測裝置部署在應(yīng)用層，分析數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)時更加簡單易行，而且?guī)缀醪粫嬖诮庾x錯誤的情況，從而可以提高Web應(yīng)用的安全性，不給黑客任何可乘之機。附圖說明此處所說明的附圖用來提供對本申請的進一步理解，構(gòu)成本申請的一部分，本申請的示意性實施例及其說明用于解釋本申請，并不構(gòu)成對本申請的不當限定。在附圖中：圖1為本申請實施例提供的一種網(wǎng)絡(luò)攻擊的檢測方法的流程圖；圖2為本申請實施例提供的另一種網(wǎng)絡(luò)攻擊的檢測方法的流程圖；圖3為本申請實施例提供的一種網(wǎng)絡(luò)攻擊的檢測裝置結(jié)構(gòu)示意圖；圖4為本申請實施例提供的另一種網(wǎng)絡(luò)攻擊的檢測裝置結(jié)構(gòu)示意圖。具體實施方式為使本申請的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本申請具體實施例及相應(yīng)的附圖對本申請技術(shù)方案進行清楚、完整地描述。顯然，所描述的實施例僅是本申請一部分實施例，而不是全部的實施例?；诒旧暾堉械膶嵤├绢I(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本申請保護的范圍。實施例一如圖1所示，本申請實施例提供一種網(wǎng)絡(luò)攻擊的檢測方法，該方法的執(zhí)行主體可以為如個人計算機等終端設(shè)備，也可以是服務(wù)器或者服務(wù)器集群等。該方法具體可以包括以下步驟：在步驟S101中，從當前網(wǎng)絡(luò)體系中的應(yīng)用層獲取待分析的網(wǎng)絡(luò)數(shù)據(jù)包。其中，當前網(wǎng)絡(luò)體系可以是基于多種網(wǎng)絡(luò)體系，如開放系統(tǒng)互聯(lián)網(wǎng)絡(luò)體系(即OSI(OpenSystemInterconnection，開放系統(tǒng)互聯(lián))網(wǎng)絡(luò)體系)或TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)網(wǎng)絡(luò)體系等。待分析的網(wǎng)絡(luò)數(shù)據(jù)包可以是一個網(wǎng)絡(luò)數(shù)據(jù)包，也可以是多個網(wǎng)絡(luò)數(shù)據(jù)包，網(wǎng)絡(luò)數(shù)據(jù)包中可以包括發(fā)送者和接收者的地址信息(如IP地址等)，以及待交互的數(shù)據(jù)等。在實施中，為了使得本申請更具實用性，以當前網(wǎng)絡(luò)體系為OSI網(wǎng)絡(luò)體系為例進行說明，OSI網(wǎng)絡(luò)體系通常呈層級結(jié)構(gòu)，這樣，在當前網(wǎng)絡(luò)體系中可以包括多個層，這些層可以根據(jù)不同的功能或作用被劃分為低層和高層兩個部分，其中，低層主要關(guān)注的是原始數(shù)據(jù)的傳輸，高層主要關(guān)注的是網(wǎng)絡(luò)下的應(yīng)用程序。低層可以包括如OSI網(wǎng)絡(luò)體系中的物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層等三個層，高層可以包括如OSI網(wǎng)絡(luò)體系中的傳輸層、會話層、表示層和應(yīng)用層等四個層。隨著網(wǎng)絡(luò)及系統(tǒng)層漏洞的逐漸減少及Web攻防技術(shù)的日趨成熟，黑客們也開始將注意力從以往對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web應(yīng)用的攻擊上，為此，本申請實施例設(shè)置一種網(wǎng)絡(luò)攻擊的檢測裝置。為了不影響當前網(wǎng)絡(luò)體系對應(yīng)的網(wǎng)絡(luò)系統(tǒng)的正常工作，該檢測裝置可以旁路監(jiān)聽的方式與該網(wǎng)絡(luò)系統(tǒng)連接，具體地，該檢測裝置的輸入端口可以與該網(wǎng)絡(luò)系統(tǒng)中的交換機的鏡像端口連接，或者可以將該檢測裝置部署在交換機的鏡像端口處，這樣，可以不需要對現(xiàn)有網(wǎng)絡(luò)、Web應(yīng)用架構(gòu)進行深度調(diào)整，即可實時獲取并保存所有網(wǎng)絡(luò)請求(例如HTTP(HyperTextTransferProtocol，超文本傳輸協(xié)議)請求或FTP(FileTransferProtocol，文件傳輸協(xié)議)請求等)及響應(yīng)的數(shù)據(jù)包，以供該檢測裝置進行進一步的分析處理。其中，交換機的鏡像功能可以對流經(jīng)該網(wǎng)絡(luò)系統(tǒng)的流量進行全流量鏡像。為了使全流量鏡像中的數(shù)據(jù)完整、占用存儲空間盡可能少，在進行全流量鏡像的過程中，可以使用如網(wǎng)站增量去重和差異壓縮備份等相關(guān)算法來減少存儲空間的占用。通過全流量鏡像，該檢測裝置可以保存最近半年到一年，甚至更長時間的完整的Web雙向流量(即輸入到該網(wǎng)絡(luò)系統(tǒng)和從該網(wǎng)絡(luò)系統(tǒng)輸出的流量)的數(shù)據(jù)。這樣，當用戶發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)網(wǎng)絡(luò)攻擊行為時，不但可以進行攻擊回溯，還可以利用預定的檢測策略對歷史數(shù)據(jù)重新檢測及篩選，從而確定網(wǎng)絡(luò)攻擊的相關(guān)信息，以便用戶可以針對該網(wǎng)絡(luò)攻擊采取相應(yīng)的應(yīng)對措施。其中，預定的檢測策略可以由開發(fā)人員在檢測裝置出廠前設(shè)置，也可以由用戶在使用的過程中調(diào)整或設(shè)置，本申請實施例對此不做限定。為了提高網(wǎng)絡(luò)攻擊的檢測精度和檢測效率，可以將應(yīng)用層作為檢測對象，即本申請實施例基于應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包來實現(xiàn)網(wǎng)絡(luò)攻擊的檢測?；谏鲜鼋Y(jié)構(gòu)，當有網(wǎng)絡(luò)數(shù)據(jù)包流經(jīng)該網(wǎng)絡(luò)系統(tǒng)的交換機時，交換機可以通過自身的鏡像功能將獲取的應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)包進行鏡像處理，得到該網(wǎng)絡(luò)數(shù)據(jù)包的鏡像數(shù)據(jù)，可以將該鏡像數(shù)據(jù)提供給該檢測裝置，從而該檢測裝置可以獲取到該鏡像數(shù)據(jù)，并可以將該鏡像數(shù)據(jù)中的網(wǎng)絡(luò)數(shù)據(jù)包作為當前網(wǎng)絡(luò)體系中的應(yīng)用層的待分析的網(wǎng)絡(luò)數(shù)據(jù)包。在步驟S102中，對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取該應(yīng)用數(shù)據(jù)的漏洞特征。其中，漏洞特征可以包括多種，具體可以根據(jù)漏洞的不同呈現(xiàn)形式、漏洞攻擊方式確定，在實際應(yīng)用中，漏洞特征可以包括漏洞掃描特征或漏洞觸發(fā)特征等，各種不同的漏洞特征可以包括有不同的表現(xiàn)形式，例如，漏洞掃描特征可以是SQL(StructuredQueryLanguage，結(jié)構(gòu)化查詢語言)注入特征(如URL(UniformResourceLocator，統(tǒng)一資源定位符)中包括select特征)，漏洞觸發(fā)特征可以是目錄遍歷特征(如頁面中出現(xiàn)目錄列表等)。在實施中，可以預先設(shè)置應(yīng)用數(shù)據(jù)的漏洞特征識別算法，該漏洞特征識別算法可以是用于獲取應(yīng)用數(shù)據(jù)中的漏洞特征的算法。具體可以如K-Means算法、決策樹算法、隨機森林樹算法或人工神經(jīng)網(wǎng)絡(luò)算法等。該數(shù)據(jù)特征提取算法可以通過用戶上傳或主動采集等方式收集大量應(yīng)用數(shù)據(jù)，可以標記應(yīng)用數(shù)據(jù)中包含的漏洞特征，使用這些應(yīng)用數(shù)據(jù)和漏洞特征可以對上述漏洞特征識別算法進行訓練，得到訓練后的漏洞特征識別算法。當獲取到應(yīng)用層的待分析的網(wǎng)絡(luò)數(shù)據(jù)包后，可以使用上述預先設(shè)置的應(yīng)用數(shù)據(jù)的漏洞特征識別算法對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，從中得到該應(yīng)用數(shù)據(jù)的漏洞特征。需要說明的是，應(yīng)用數(shù)據(jù)的漏洞特征識別算法可以只包括上述提供的算法中的一種算法，也可以包括上述算法中的多個不同的算法，而且，同一種算法可以具體包括不同的實現(xiàn)方式，用戶具體使用哪種實現(xiàn)方式可以根據(jù)實際情況設(shè)定，本申請實施例對此不做限定。而且，對于對應(yīng)用數(shù)據(jù)的漏洞特征識別可以充分運用單向分析、雙向分析和關(guān)聯(lián)分析中的一種分析方式或多種分析方式的結(jié)合確定，其中的單向分析可以是對一方提供給另一方的應(yīng)用數(shù)據(jù)進行的分析過程，雙向分析可以是對雙方交互的應(yīng)用數(shù)據(jù)進行的分析過程，關(guān)聯(lián)分析可以是結(jié)合本次獲取到的應(yīng)用數(shù)據(jù)之前獲取的應(yīng)用數(shù)據(jù)進行綜合分析的過程。在步驟S103中，根據(jù)上述應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況。其中，當前網(wǎng)絡(luò)的攻擊情況可以包括多種，具體可以根據(jù)實際情況進行設(shè)定，例如可疑攻擊、高危漏洞攻擊或高頻攻擊等。在實施中，可以預先設(shè)置網(wǎng)絡(luò)攻擊的基準信息，其中，基準信息可以是預先設(shè)置的漏洞特征與攻擊情況的對應(yīng)關(guān)系，該對應(yīng)關(guān)系可以通過多種方式獲取，例如，可以通過不同漏洞特征對當前網(wǎng)絡(luò)體系的影響程度，確定攻擊情況，或者，還可以通過實際應(yīng)用中用戶的需求或經(jīng)驗來設(shè)定上述對應(yīng)關(guān)系。當通過上述步驟S102的處理得到待分析的應(yīng)用數(shù)據(jù)包的漏洞特征時，可以將該漏洞特征與上述對應(yīng)關(guān)系中的漏洞特征進行匹配，如果該對應(yīng)關(guān)系中存在與該漏洞特征相匹配的漏洞特征，則可以確定該應(yīng)用數(shù)據(jù)包中存在危害當前網(wǎng)絡(luò)系統(tǒng)的應(yīng)用數(shù)據(jù)，此時，可以根據(jù)上述對應(yīng)關(guān)系查找到該漏洞特征對應(yīng)的攻擊情況，從而確定該應(yīng)用數(shù)據(jù)能夠?qū)Ξ斍熬W(wǎng)絡(luò)系統(tǒng)的影響程度，這樣，后續(xù)可以根據(jù)當前網(wǎng)絡(luò)的不同攻擊情況生成網(wǎng)絡(luò)攻擊通知，并可以以彈出提示框的方式或者指定指示燈閃爍燈方式輸出該網(wǎng)絡(luò)攻擊通知，用戶在查看到該網(wǎng)絡(luò)攻擊通知時，可以記錄當前網(wǎng)絡(luò)系統(tǒng)的相關(guān)狀態(tài)，便于用戶可以通過上述相關(guān)狀態(tài)對本次網(wǎng)絡(luò)攻擊事件采取相應(yīng)的應(yīng)對措施，降低對網(wǎng)絡(luò)系統(tǒng)造成的損失。本申請實施例提供一種網(wǎng)絡(luò)攻擊的檢測方法，通過從當前網(wǎng)絡(luò)體系中的應(yīng)用層獲取待分析的網(wǎng)絡(luò)數(shù)據(jù)包，對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取該應(yīng)用數(shù)據(jù)的漏洞特征，進而，可以根據(jù)該應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況，這樣，執(zhí)行上述過程的網(wǎng)絡(luò)攻擊的檢測裝置部署在應(yīng)用層，分析數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)時更加簡單易行，而且?guī)缀醪粫嬖诮庾x錯誤的情況，從而可以提高Web應(yīng)用的安全性，不給黑客任何可乘之機。實施例二如圖2所示，本申請實施例提供了一種網(wǎng)絡(luò)攻擊的檢測方法，具體包括如下步驟：在步驟S201中，從當前網(wǎng)絡(luò)體系中的應(yīng)用層獲取待分析的網(wǎng)絡(luò)數(shù)據(jù)包。上述步驟S201的步驟內(nèi)容與上述實施例一中步驟S101的步驟內(nèi)容相同，步驟S201的處理可以參見上述實施例一中步驟S101的相關(guān)內(nèi)容，在此不再贅述。上述實施例一中步驟S102的對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別的處理，可以根據(jù)漏洞的不同，其漏洞特征識別方式可以不同，相應(yīng)的，得到的漏洞特征也會不同，以下提供一種可行的處理方式，具體可以包括以下步驟S202～步驟S205。在步驟S202中，通過預先設(shè)置的漏洞掃描規(guī)則對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞掃描特征識別，獲取該應(yīng)用數(shù)據(jù)的漏洞掃描特征。其中，漏洞掃描規(guī)則可以是對應(yīng)用數(shù)據(jù)中的漏洞掃描特征進行識別的規(guī)則，具體可以基于大量應(yīng)用數(shù)據(jù)中的漏洞掃描特征的訓練得到漏洞掃描規(guī)則。在實施中，通常在硬件和/或軟件和/或網(wǎng)絡(luò)協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上會存在一定的缺陷，從而形成了漏洞。如果網(wǎng)絡(luò)系統(tǒng)中不存在漏洞，則該網(wǎng)絡(luò)系統(tǒng)通常不會遭受網(wǎng)絡(luò)攻擊。由于漏洞不可避免的存在，因此，網(wǎng)絡(luò)系統(tǒng)遭受網(wǎng)絡(luò)攻擊事件就不可避免。通常，黑客通過漏洞對網(wǎng)絡(luò)系統(tǒng)進行攻擊時，首先需要執(zhí)行的操作是對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，以查找到需要利用的漏洞，因此，為了能夠及時檢測出網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)攻擊事件，可以在網(wǎng)絡(luò)攻擊的檢測裝置中設(shè)置漏洞掃描識別機制。其中，該漏洞掃描識別機制可以通過硬件和軟件結(jié)合構(gòu)成，或者由軟件實現(xiàn)，其中的軟件部分可以使用適當?shù)木幊陶Z言，并通過編寫相應(yīng)的程序代碼實現(xiàn)。編程語言可以根據(jù)實際情況確定，具體如C語言或JAVA編程語言等，本發(fā)明實施例對此不做限定。通過漏洞掃描識別機制提供的識別策略可以對網(wǎng)絡(luò)系統(tǒng)中的漏洞掃描特征進行識別，其中識別策略可以包括多種，以下提供部分識別策略，如下表1所示。表1例如，可以對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞掃描特征識別，確定該應(yīng)用數(shù)據(jù)中是否包括能夠執(zhí)行漏洞掃描事件的應(yīng)用程序或程序代碼，可以將該應(yīng)用程序或程序代碼確定為該應(yīng)用數(shù)據(jù)的漏洞掃描特征。其中，對應(yīng)用數(shù)據(jù)進行漏洞掃描特征識別具體可以是：檢測裝置可以將待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)劃分成多個數(shù)據(jù)段，可以從每個數(shù)據(jù)段中提取與漏洞掃描相關(guān)的特征，如關(guān)鍵字、名稱或數(shù)值等特征，可以將得到的上述特征作為該應(yīng)用數(shù)據(jù)的漏洞掃描特征?；蛘撸摍z測裝置可以將該應(yīng)用數(shù)據(jù)放置在預先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運行，在該應(yīng)用數(shù)據(jù)運行的過程中，可以檢測該應(yīng)用數(shù)據(jù)的運行邏輯和運行目的，可以從其運行邏輯和運行目的中確定該應(yīng)用數(shù)據(jù)中是否包括漏洞掃描特征。例如，可以將該應(yīng)用數(shù)據(jù)放置在預先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運行，在運行的過程中，如果通過漏洞掃描識別規(guī)則檢測到待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)正在使用不同的密碼對HTTP密碼進行破解，且該應(yīng)用數(shù)據(jù)使用不同的密碼對HTTP密碼破解的次數(shù)達到預定次數(shù)閾值(如10次或15次等)，則可以確定HTTP密碼正在被暴力破解，此時，可以確定該應(yīng)用數(shù)據(jù)中包含暴力破解的漏洞掃描特征。在步驟S203中，根據(jù)上述應(yīng)用數(shù)據(jù)的漏洞掃描特征，確定當前網(wǎng)絡(luò)的攻擊情況為可疑攻擊。在實施中，可以預先存儲由漏洞特征與攻擊情況的對應(yīng)關(guān)系構(gòu)成的基準信息，可以在基準信息中設(shè)置多種攻擊情況的信息，例如，對于漏洞掃描特征，由于此情況下僅能夠確定該應(yīng)用數(shù)據(jù)可以執(zhí)行漏洞掃描操作，而還并沒有確定是否會利用掃描到的漏洞進行網(wǎng)絡(luò)攻擊，因此可以設(shè)置此時的攻擊情況的可疑攻擊；對于漏洞觸發(fā)特征，由于此情況下該應(yīng)用數(shù)據(jù)能夠觸發(fā)漏洞，因此可以確定網(wǎng)絡(luò)系統(tǒng)會遭受網(wǎng)絡(luò)攻擊，基于此，基準信息可以如表2所示。表2漏洞特征攻擊情況漏洞掃描特征1可疑攻擊漏洞觸發(fā)特征1漏洞攻擊漏洞觸發(fā)特征2漏洞攻擊漏洞掃描特征2可疑攻擊基于上述步驟S202的示例，如果該應(yīng)用數(shù)據(jù)的數(shù)據(jù)特征為漏洞掃描特征，則可以將該漏洞掃描特征與基準信息中的漏洞特征相匹配，如果基準信息中包括該漏洞掃描特征，則可以從基準信息中查找該漏洞掃描特征對應(yīng)的攻擊情況，即可疑攻擊。此時，為了及時提示用戶可能存在的網(wǎng)絡(luò)攻擊，可以生成可疑攻擊的通知消息發(fā)送給用戶的終端設(shè)備。終端設(shè)備可以提示框的方式展示該通知消息，用戶查看到該通知消息后可以積極采取相應(yīng)的措施防止后續(xù)可能發(fā)生的網(wǎng)絡(luò)攻擊，例如關(guān)閉當前打開的網(wǎng)頁或應(yīng)用程序等。需要說明的是，上述步驟S202和步驟S203的處理僅是一種漏洞識別方式和相應(yīng)的漏洞特征，在實際應(yīng)用中，除了可以包括上述漏洞識別方式和漏洞特征外，還可以包括多種可實現(xiàn)方式，以下再提供一種可行的處理方式，具體可以包括以下步驟S204和步驟S205。步驟S204和步驟S205可以是與步驟S202和步驟S203并列執(zhí)行，也可以是以任意的先后順序執(zhí)行，本申請實施例僅使用一種方式說明。在步驟S204中，通過預先設(shè)置的漏洞觸發(fā)規(guī)則對上述應(yīng)用數(shù)據(jù)進行漏洞觸發(fā)特征識別，獲取該應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征。在實施中，為了能夠及時檢測出網(wǎng)絡(luò)系統(tǒng)的漏洞被觸發(fā)的事件，可以在該檢測裝置中設(shè)置漏洞觸發(fā)識別機制。其中，該漏洞觸發(fā)識別機制可以通過硬件和軟件結(jié)合構(gòu)成，或者由軟件實現(xiàn)，其中的軟件部分可以使用適當?shù)木幊陶Z言，并通過編寫相應(yīng)的程序代碼實現(xiàn)。編程語言可以根據(jù)實際情況確定，本發(fā)明實施例對此不做限定。通過漏洞觸發(fā)識別機制提供的識別策略可以對網(wǎng)絡(luò)系統(tǒng)中漏洞的觸發(fā)進行識別，其中識別策略可以包括多種，以下提供部分識別策略，如下表3所示。表3網(wǎng)絡(luò)攻擊方式網(wǎng)絡(luò)攻擊描述SQL注入通過SQL注入調(diào)用postgresql查詢語句SourceCode信息泄漏敏感信息泄漏中的JSP源代碼泄漏目錄遍歷頁面出現(xiàn)目錄列表DDOS-CC1分鐘內(nèi)出現(xiàn)大量HTTP請求Flash跨域漏洞FlashCrossDomain配置缺陷例如，可以對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞觸發(fā)特征識別，確定該應(yīng)用數(shù)據(jù)中是否包括能夠執(zhí)行漏洞觸發(fā)事件的應(yīng)用程序或程序代碼，可以將該應(yīng)用程序或程序代碼確定為該應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征。其中，對應(yīng)用數(shù)據(jù)進行漏洞觸發(fā)特征識別具體可以是：檢測裝置可以將待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)劃分成多個數(shù)據(jù)段，可以從每個數(shù)據(jù)段中提取與漏洞觸發(fā)相關(guān)的特征，如關(guān)鍵字、名稱或數(shù)值等特征，可以將得到的上述特征作為該應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征。或者，該檢測裝置可以將該應(yīng)用數(shù)據(jù)放置在預先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運行，在該應(yīng)用數(shù)據(jù)運行的過程中，可以檢測該應(yīng)用數(shù)據(jù)的運行邏輯和運行目的，可以從其運行邏輯和運行目的中確定該應(yīng)用數(shù)據(jù)中是否包括漏洞觸發(fā)特征。例如，可以將該應(yīng)用數(shù)據(jù)放置在預先模擬的網(wǎng)絡(luò)系統(tǒng)環(huán)境中運行，在運行的過程中，如果通過漏洞觸發(fā)識別規(guī)則檢測到待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)正在通過SQL注入的方式調(diào)用postgresql查詢語句，則可以確定該應(yīng)用數(shù)據(jù)中包含SQL注入的漏洞觸發(fā)特征。此外，在實際應(yīng)用中，根據(jù)漏洞對網(wǎng)絡(luò)系統(tǒng)造成的危害程度不同，可以將漏洞劃分為低危漏洞、中危漏洞和高危漏洞等，其中漏洞觸發(fā)的識別策略可以包括多種，以下提供部分識別策略，如下表4所示。表4上述情況下獲取該應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征的處理方式可以參見上述相關(guān)內(nèi)容，在此不再贅述。在步驟S205中，根據(jù)上述應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征，確定當前網(wǎng)絡(luò)的攻擊情況為漏洞攻擊。其中，根據(jù)上述應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征，確定當前網(wǎng)絡(luò)的攻擊情況為漏洞攻擊的處理可以參見上述步驟S203的相關(guān)內(nèi)容，在此不再贅述。在實際應(yīng)用中，由于漏洞可以劃分為低危漏洞、中危漏洞和高危漏洞，相應(yīng)的，漏洞觸發(fā)特征也可以包括多種，可以根據(jù)實際情況進行分類，例如，可以包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征等。通過漏洞識別可以得到多種漏洞特征，例如，可以包括可疑攻擊、低危漏洞攻擊和高危漏洞攻擊。通常，危險程度最高的漏洞特征對網(wǎng)絡(luò)系統(tǒng)的影響較大，因此，可以將危險程度最高的漏洞特征作為最嚴重的網(wǎng)絡(luò)攻擊。基于此，可以為不同的漏洞特征，根據(jù)其對網(wǎng)絡(luò)系統(tǒng)的影響程度劃分不同的危險程度等級，例如，危險程度等級關(guān)系可以為：漏洞掃描特征<低危漏洞觸發(fā)特征<中危漏洞觸發(fā)特征<高危漏洞觸發(fā)特征，相應(yīng)的，可疑攻擊<低危漏洞攻擊<中危漏洞攻擊<高危漏洞攻擊。在確定當前網(wǎng)絡(luò)的攻擊情況時，可以首先獲取得到的漏洞特征的危險程度等級，從中可以查找到危險程度等級最高的漏洞特征，即可獲取到當前網(wǎng)絡(luò)的攻擊情況，例如，如果漏洞特征中包含的危險程度最高的漏洞特征為漏洞掃描特征，則確定當前網(wǎng)絡(luò)的攻擊情況為可疑攻擊。針對不同的漏洞觸發(fā)特征，結(jié)合上述相關(guān)內(nèi)容可以確定出當前網(wǎng)絡(luò)相應(yīng)的攻擊情況，即上述步驟S205的處理具體可以包括以下三種方式：方式一，如果漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為低危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為低危漏洞攻擊。方式二，如果漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為中危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為中危漏洞攻擊；方式三，如果漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為高危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為高危漏洞攻擊。在步驟S206中，根據(jù)當前網(wǎng)絡(luò)的攻擊情況，輸出相應(yīng)的網(wǎng)絡(luò)攻擊通知。在實施中，可以根據(jù)當前網(wǎng)絡(luò)的不同攻擊情況生成網(wǎng)絡(luò)攻擊通知，并可以以彈出提示框的方式或者指定指示燈閃爍等方式輸出該網(wǎng)絡(luò)攻擊通知，用戶在查看到該網(wǎng)絡(luò)攻擊通知時，可以記錄當前網(wǎng)絡(luò)系統(tǒng)的相關(guān)狀態(tài)，便于用戶可以通過上述相關(guān)狀態(tài)對本次網(wǎng)絡(luò)攻擊事件采取相應(yīng)的應(yīng)對措施，降低對網(wǎng)絡(luò)系統(tǒng)造成的損失。本申請實施例提供一種網(wǎng)絡(luò)攻擊的檢測方法，通過從當前網(wǎng)絡(luò)體系中的應(yīng)用層獲取待分析的網(wǎng)絡(luò)數(shù)據(jù)包，對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取該應(yīng)用數(shù)據(jù)的漏洞特征，進而，可以根據(jù)該應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況，這樣，執(zhí)行上述過程的網(wǎng)絡(luò)攻擊的檢測裝置部署在應(yīng)用層，分析數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)時更加簡單易行，而且?guī)缀醪粫嬖诮庾x錯誤的情況，從而可以提高Web應(yīng)用的安全性，不給黑客任何可乘之機。實施例三以上為本申請實施例提供的網(wǎng)絡(luò)攻擊的檢測方法，基于同樣的思路，本申請實施例還提供一種網(wǎng)絡(luò)攻擊的檢測裝置，如圖3所示。所述網(wǎng)絡(luò)攻擊的檢測裝置包括：數(shù)據(jù)包獲取模塊301、漏洞特征識別模塊302和攻擊情況確定模塊303，其中：數(shù)據(jù)包獲取模301，用于從當前網(wǎng)絡(luò)體系中的應(yīng)用層獲取待分析的網(wǎng)絡(luò)數(shù)據(jù)包；漏洞特征識別模塊302，用于對所述待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞特征；攻擊情況確定模塊303，用于根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況。本申請實施例中，如圖4所示，所述裝置還包括：攻擊通知輸出模塊304，用于根據(jù)當前網(wǎng)絡(luò)的攻擊情況，輸出相應(yīng)的網(wǎng)絡(luò)攻擊通知。本申請實施例中，所述漏洞特征識別模塊302，用于通過預先設(shè)置的漏洞掃描規(guī)則對所述應(yīng)用數(shù)據(jù)進行漏洞掃描特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞掃描特征；相應(yīng)的，所述攻擊情況確定模塊303，用于根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞掃描特征，確定當前網(wǎng)絡(luò)的攻擊情況為可疑攻擊?？蛇x地，所述漏洞特征識別模塊302，用于通過預先設(shè)置的漏洞觸發(fā)規(guī)則對所述應(yīng)用數(shù)據(jù)進行漏洞觸發(fā)特征識別，獲取所述應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征；相應(yīng)的，所述攻擊情況確定模塊303，用于根據(jù)所述應(yīng)用數(shù)據(jù)的漏洞觸發(fā)特征，確定當前網(wǎng)絡(luò)的攻擊情況為漏洞攻擊?？蛇x地，所述漏洞觸發(fā)特征包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征，所述攻擊情況確定模塊303，用于如果所述漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為低危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為低危漏洞攻擊；如果所述漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為中危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為中危漏洞攻擊；如果所述漏洞觸發(fā)特征中包含的危險程度最高的漏洞觸發(fā)特征為高危漏洞觸發(fā)特征，則確定當前網(wǎng)絡(luò)的攻擊情況為高危漏洞攻擊。本申請實施例提供一種網(wǎng)絡(luò)攻擊的檢測裝置，通過從當前網(wǎng)絡(luò)體系中的應(yīng)用層獲取待分析的網(wǎng)絡(luò)數(shù)據(jù)包，對待分析的網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)進行漏洞特征識別，獲取該應(yīng)用數(shù)據(jù)的漏洞特征，進而，可以根據(jù)該應(yīng)用數(shù)據(jù)的漏洞特征，確定當前網(wǎng)絡(luò)的攻擊情況，這樣，執(zhí)行上述過程的網(wǎng)絡(luò)攻擊的檢測裝置部署在應(yīng)用層，分析數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)時更加簡單易行，而且?guī)缀醪粫嬖诮庾x錯誤的情況，從而可以提高Web應(yīng)用的安全性，不給黑客任何可乘之機。在一個典型的配置中，計算設(shè)備包括一個或多個處理器(CPU)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。內(nèi)存可能包括計算機可讀介質(zhì)中的非永久性存儲器，隨機存取存儲器(RAM)和/或非易失性內(nèi)存等形式，如只讀存儲器(ROM)或閃存(flashRAM)。內(nèi)存是計算機可讀介質(zhì)的示例。計算機可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術(shù)來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括，但不限于相變內(nèi)存(PRAM)、靜態(tài)隨機存取存儲器(SRAM)、動態(tài)隨機存取存儲器(DRAM)、其他類型的隨機存取存儲器(RAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學存儲、磁盒式磁帶，磁帶磁磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì)，可用于存儲可以被計算設(shè)備訪問的信息。按照本文中的界定，計算機可讀介質(zhì)不包括暫存電腦可讀媒體(transitorymedia)，如調(diào)制的數(shù)據(jù)信號和載波。還需要說明的是，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。本領(lǐng)域技術(shù)人員應(yīng)明白，本申請的實施例可提供為方法、系統(tǒng)或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。以上所述僅為本申請的實施例而已，并不用于限制本申請。對于本領(lǐng)域技術(shù)人員來說，本申請可以有各種更改和變化。凡在本申請的精神和原理之內(nèi)所作的任何修改、等同替換、改進等，均應(yīng)包含在本申請的權(quán)利要求范圍之內(nèi)。當前第1頁1 2 3