技術領域

本發明涉及互聯網領域，具體而言，涉及一種網絡攻擊的檢測方法及裝置。

背景技術

萬維網(WEB)攻擊是指利用超文本傳輸協議(HTTP)發送惡意構造的HTTP請求，用以“欺騙”萬維網服務器(webserver)偏離正常的執行邏輯。

WEB攻擊是互聯網內最為常見的一種HTTP請求，幾乎所有的網站每天都會遭受到不同程度的WEB攻擊，但這并不意味著所有的WEB攻擊都會成功，其原因在于：WEB攻擊是否能夠成功取決于webserver是否存在相應的缺陷或者漏洞。例如：對一個只負責返回靜態頁面(超文本標記語言(HTML)頁面、圖片等)并且未使用任何數據庫技術的webserver而言，任何的結構化查詢語言(SQL)注入攻擊顯然都不會成功。

目前，相關技術中所采用的WEB攻擊檢測方法是對HTTP請求方向的流量執行合法性檢測，因為HTTP請求內容是攻擊者可以任意構造的，其也是攻擊開始的源頭，這種檢測思路是從攻擊者的角度來設計的，即，認為進入webserver的流量默認是不可信任的，都必須要經過合法性檢查。然而，對于webserver響應方向的流量則默認為是可信任的、安全可靠的，進而無需進行任何的合法性檢測。由于幾乎所有的web攻擊都存在攻擊失敗與攻擊成功兩種情形，對此，webserver會有不同的響應，攻擊者也正是根據webserver的不同響應來判斷是否攻擊成功。

上述檢測方法通常可以包括如下幾個步驟：

步驟一、預先對HTTP請求協議各個頭字段制定攻擊檢測規則；

步驟二、對于接收到HTTP請求協議進行解析，查找所有需要進行檢測的請求內容；

步驟三、比對攻擊檢測規則和各個協議字段的請求內容，如果發現請求內容與攻擊檢測規則匹配成功，則認為該HTTP請求包含攻擊特性，進而執行攻擊告警或直接阻斷該HTTP請求的操作。

然而，上述只針對HTTP請求方向的流量做合法性檢測的方法卻存在著如下缺陷：該解決方案只能夠單方面地判斷HTTP請求是否包含有攻擊信息，而并未考慮被攻擊對 象webserver的響應，換言之，該解決方案并未考慮到webserver對這些攻擊是否本身就具有免疫功能。因此，這種攻擊檢測方式容易導致大量的攻擊告警或攔截，并且這些告警或攔截的攻擊中大部分都是無效的攻擊，從而降低了WEB攻擊檢測的精準度和有效性。

針對上述的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種網絡攻擊的檢測方法及裝置，以至少解決相關技術中所采用的單向網絡攻擊檢測方法的準確性較低的技術問題。

根據本發明實施例的一個方面，提供了一種網絡攻擊的檢測方法，包括：

接收來自于發送端的網絡請求；在采用攻擊檢測規則集合確定網絡請求的類型為攻擊請求的情況下，將網絡請求轉發至接收端，并獲取與網絡請求對應的網絡響應；采用攻擊檢測規則集合對網絡響應進行檢測，并根據檢測結果選取對網絡響應的處理方式。

進一步地，在將網絡請求轉發至接收端之前，還包括：對網絡請求的請求頭中所包含的一個或多個字段進行解析，獲取待檢測的請求內容；如果攻擊檢測規則集合判斷待檢測的請求內容與攻擊檢測規則集合中的一個或多個檢測規則相匹配，則確定網絡請求的類型為攻擊請求。

進一步地，采用攻擊檢測規則集合對網絡響應進行檢測，并根據檢測結果選取對網絡響應的處理方式包括：對網絡響應的響應頭中所包含的一個或多個字段進行解析，獲取待檢測的響應內容；根據攻擊檢測規則集合判斷待檢測的響應內容是否與攻擊檢測規則集合中的一個或多個檢測規則相匹配；如果待檢測的響應內容與一個或多個檢測規則相匹配，則阻止網絡響應返回至發送端；如果待檢測的響應內容未與一個或多個檢測規則相匹配，則向發送端返回網絡響應。

進一步地，在阻止網絡響應返回至發送端之后，還包括：向接收端發送告警提示信息，其中，告警提示信息用于提示發送端當前存在網絡攻擊行為和/或提示接收端對發送端進行鎖定。

進一步地，上述攻擊檢測規則集合是根據當前網絡內已經存在的多種類型的攻擊請求的攻擊特性以及與每種類型的攻擊請求對應的攻擊響應的響應特性預先生成的。

進一步地，上述網絡請求的類型包括以下之一：超文本傳輸協議請求、文件傳輸協議請求、簡單郵件傳輸協議請求。

根據本發明實施例的另一方面，還提供了一種網絡攻擊的檢測裝置，包括：