[發明專利]一種攻擊行為的檢測方法、裝置、設備和介質在審
| 申請號: | 202110791433.3 | 申請日: | 2021-07-13 |
| 公開(公告)號: | CN113486343A | 公開(公告)日: | 2021-10-08 |
| 發明(設計)人: | 周凱強 | 申請(專利權)人: | 深信服科技股份有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55;H04L29/06 |
| 代理公司: | 深圳市深佳知識產權代理事務所(普通合伙) 44285 | 代理人: | 陳彥如 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 攻擊行為 檢測 方法 裝置 設備 介質 | ||
1.一種攻擊行為的檢測方法,其特征在于,包括:
利用協議識別算法將獲取的網絡流量劃分為數據庫協議流量和HTTP協議流量;
基于數據庫類型對應的檢測規則,確定出所述數據庫協議流量是否存在攻擊行為;其中,所述檢測規則依據數據庫類型對應的攻擊特征設置;
基于HTTP協議流量檢測規則,確定出所述HTTP協議流量是否存在攻擊行為;其中,所述HTTP協議流量檢測規則依據HTTP協議的攻擊字詞設置。
2.根據權利要求1所述的攻擊行為的檢測方法,其特征在于,所述基于數據庫類型對應的檢測規則,確定出所述數據庫協議流量是否存在攻擊行為包括:
利用數據庫類型識別算法,確定出所述數據庫協議流量所屬的數據庫類型;
依據所述數據庫類型對應的檢測規則,識別所述數據庫協議流量是否存在攻擊行為。
3.根據權利要求2所述的攻擊行為的檢測方法,其特征在于,所述檢測規則包含與所述數據庫類型相匹配的攻擊命令;相應的,所述依據所述數據庫類型對應的檢測規則,識別所述數據庫協議流量是否存在攻擊行為包括:
在所述數據庫協議流量中包含與所述攻擊命令匹配的命令語句的情況下,確定所述數據庫協議流量中存在攻擊行為。
4.根據權利要求3所述的攻擊行為的檢測方法,其特征在于,在所述確定所述數據庫協議流量中存在攻擊行為之后還包括:
生成所述數據庫協議流量攻擊成功的告警信息。
5.根據權利要求1所述的攻擊行為的檢測方法,其特征在于,所述HTTP協議流量檢測規則為攻擊詞庫模型,其中,所述攻擊詞庫模型包括攻擊字詞以及攻擊字詞之間的限制條件;
相應的,所述基于HTTP協議流量檢測規則,確定出所述HTTP協議流量是否存在攻擊行為包括:
將所述HTTP協議流量與設定的攻擊詞庫模型進行匹配;
在所述HTTP協議流量中存在與所述攻擊詞庫模型匹配的目標HTTP協議流量的情況下,判定所述HTTP協議流量存在攻擊行為。
6.根據權利要求5所述的攻擊行為的檢測方法,其特征在于,還包括:
基于所述目標HTTP協議流量中包含的命令語句,確定出所述目標HTTP協議流量對應的目標數據庫類型。
7.根據權利要求6所述的攻擊行為的檢測方法,其特征在于,在所述確定出所述HTTP協議流量存在攻擊行為之后還包括:
獲取所述HTTP協議流量對應的響應數據包;其中,所述響應數據包為依據所述目標數據庫類型對應的數據庫反饋得到;
在所述響應數據包中攜帶有執行成功信息的情況下,判定所述HTTP協議流量中存在的攻擊行為的攻擊結果為攻擊成功。
8.根據權利要求1至7任意一項所述的攻擊行為的檢測方法,其特征在于,還包括:
利用機器學習模型,對確定存在攻擊行為的目標網絡流量進行行為分析,確定出所述目標網絡流量中存在的攻擊行為以及攻擊等級;不同攻擊等級對應不同的告警方式;
其中,所述機器學習模型為利用聚類算法對正常運行狀態下的數據流量以及各類攻擊行為對應的特征信息訓練得到。
9.一種攻擊行為的檢測裝置,其特征在于,包括劃分單元、第一確定單元和第二確定單元;
所述劃分單元,用于利用協議識別算法將獲取的網絡流量劃分為數據庫協議流量和HTTP協議流量;
所述第一確定單元,用于基于數據庫類型對應的檢測規則,確定出所述數據庫協議流量是否存在攻擊行為;其中,所述檢測規則依據數據庫類型對應的攻擊特征設置;
所述第二確定單元,用于基于HTTP協議流量檢測規則,確定出所述HTTP協議流量是否存在攻擊行為;其中,所述HTTP協議流量檢測規則依據HTTP協議的攻擊字詞設置。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司,未經深信服科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110791433.3/1.html,轉載請聲明來源鉆瓜專利網。
