本發(fā)明公開了一種網(wǎng)絡(luò)攻擊的處理方法及裝置，所述網(wǎng)絡(luò)攻擊的處理方法包括以下步驟：獲取攻擊特征信息及與所述攻擊特征信息相匹配的第一數(shù)據(jù)包；獲取預(yù)設(shè)的編程語言的語法信息及所述編程語言的上下文文法信息；根據(jù)所述語法信息及所述上下文文法信息判斷所述第一數(shù)據(jù)包是否為攻擊數(shù)據(jù)包，獲取判斷結(jié)果；根據(jù)所述判斷結(jié)果執(zhí)行相應(yīng)的操作。本發(fā)明彌補(bǔ)了基于攻擊特征信息的攻擊檢測方式的不足，增強(qiáng)誤判識別能力，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的誤判情況，保證業(yè)務(wù)的正常進(jìn)行。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊的處理方法及裝置。

背景技術(shù)

目前，對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行安全檢查的產(chǎn)品大多是基于特征碼的識別，即如果數(shù)據(jù)包的攻擊特征符合特征碼，就能夠檢測出該數(shù)據(jù)包具有攻擊性，在網(wǎng)絡(luò)攻擊發(fā)生的情況下，設(shè)備向用戶報告當(dāng)前網(wǎng)絡(luò)異常。由于現(xiàn)有技術(shù)的限制，基于特征碼的網(wǎng)絡(luò)攻擊檢測手段很容易引發(fā)誤判，將一個正常的數(shù)據(jù)包判斷成符合特征碼的攻擊數(shù)據(jù)包：對于產(chǎn)生的誤判，目前仍沒有一個較好的解決方法，一般是在誤判發(fā)生后才進(jìn)行補(bǔ)救，例如依靠人工分析，對攻擊日志進(jìn)行逐條分析，看哪些是網(wǎng)絡(luò)攻擊數(shù)據(jù)哪些是正常數(shù)據(jù)，然后等到新的特征庫發(fā)布后，誤判問題才得到解決，這種處理網(wǎng)絡(luò)攻擊誤判的方法存在滯后性，無法及時處理誤判問題，容易導(dǎo)致正常業(yè)務(wù)受到影響，嚴(yán)重時網(wǎng)絡(luò)攻擊的誤判還會導(dǎo)致客戶斷網(wǎng)，影響使用效果。

上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案，并不代表承認(rèn)上述內(nèi)容是現(xiàn)有技術(shù)。

發(fā)明內(nèi)容

本發(fā)明的主要目的在于提供一種網(wǎng)絡(luò)攻擊的處理方法及裝置，旨在解決在檢測網(wǎng)絡(luò)攻擊時容易誤判的技術(shù)問題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供一種網(wǎng)絡(luò)攻擊的處理方法，所述網(wǎng)絡(luò)攻擊的處理方法包括以下步驟：

獲取攻擊特征信息及與所述攻擊特征信息相匹配的第一數(shù)據(jù)包；

獲取預(yù)設(shè)的編程語言的語法信息及所述編程語言的上下文文法信息；

根據(jù)所述語法信息及所述上下文文法信息判斷所述第一數(shù)據(jù)包是否為攻擊數(shù)據(jù)包，獲取判斷結(jié)果；

根據(jù)所述判斷結(jié)果執(zhí)行相應(yīng)的操作。

優(yōu)選地，所述根據(jù)所述語法信息及上下文文法信息判斷所述第一數(shù)據(jù)包是否為攻擊數(shù)據(jù)包，獲取判斷結(jié)果的步驟包括：

解析所述第一數(shù)據(jù)包并獲取所述第一數(shù)據(jù)包中第一數(shù)據(jù)片段；

判斷所述第一數(shù)據(jù)片段是否符合所述語法信息；

若不符合所述語法信息，則判斷所述第一數(shù)據(jù)包為正常數(shù)據(jù)包；

若符合所述語法信息，則獲取與所述第一數(shù)據(jù)包的響應(yīng)方向?qū)?yīng)的第二數(shù)據(jù)包，獲取所述第二數(shù)據(jù)包的第二數(shù)據(jù)片段；

判斷所述第一數(shù)據(jù)片段及第二數(shù)據(jù)片段是否符合所述上下文文法信息；

若不符合所述上下文文法信息，則判斷所述第一數(shù)據(jù)包為攻擊數(shù)據(jù)包，否則，判斷所述第一數(shù)據(jù)包為正常數(shù)據(jù)包。

優(yōu)選地，所述根據(jù)所述判斷結(jié)果執(zhí)行相應(yīng)的操作的步驟包括：

當(dāng)所述第一數(shù)據(jù)包為正常數(shù)據(jù)包時，放行所述第一數(shù)據(jù)包，并恢復(fù)所述第一數(shù)據(jù)包對應(yīng)的業(yè)務(wù)流的傳輸；

記錄所述第一數(shù)據(jù)包對應(yīng)的攻擊日志。

優(yōu)選地，所述根據(jù)所述判斷結(jié)果執(zhí)行相應(yīng)的操作的步驟還包括：

當(dāng)所述第一數(shù)據(jù)包為攻擊數(shù)據(jù)包時，攔截所述第一數(shù)據(jù)包。

優(yōu)選地，在記錄所述第一數(shù)據(jù)包對應(yīng)的攻擊日志之后，所述網(wǎng)絡(luò)攻擊的處理方法還包括：

將所述攻擊日志發(fā)送至云端服務(wù)器，以供所述云端服務(wù)器更新所述攻擊特征信息。