本發(fā)明公開了一種帶外攻擊檢測(cè)方法，應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，包括：獲取網(wǎng)絡(luò)流量的原始日志；提取原始日志中的第一特征信息；第一特征信息至少包括請(qǐng)求主體和來源IP；將請(qǐng)求主體與帶外攻擊特征進(jìn)行匹配，得到告警日志；告警日志為請(qǐng)求主體與帶外攻擊特征匹配的第一原始日志；外發(fā)告警日志，以使服務(wù)端對(duì)告警日志中的來源IP進(jìn)行封禁。本發(fā)明通過識(shí)別與帶外攻擊特征匹配的原始日志，并將原始日志作為告警日志的方法，能夠過濾出帶外攻擊的請(qǐng)求。通過對(duì)告警日志的來源IP進(jìn)行封禁，有效避免了因帶外攻擊造成的數(shù)據(jù)泄露，保證了網(wǎng)絡(luò)的安全。此外，本發(fā)明還提供了一種帶外攻擊檢測(cè)裝置、探針、設(shè)備及存儲(chǔ)介質(zhì)，同樣具有以上有益效果。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種帶外攻擊檢測(cè)方法、裝置、探針、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，數(shù)據(jù)泄露成為不容忽視的問題，針對(duì)服務(wù)器漏洞發(fā)起的網(wǎng)絡(luò)攻擊嚴(yán)重危害了網(wǎng)絡(luò)安全問題，而在滲透中，攻擊者經(jīng)常會(huì)利用到帶外攻擊(OOB)的手段。帶外攻擊讓攻擊者能夠通過另一種方式來確認(rèn)和利用所謂的盲目的漏洞。在這種盲目的漏洞中，攻擊者無法通過惡意請(qǐng)求直接在響應(yīng)包中看到漏洞的輸出結(jié)果。

帶外通道技術(shù)通常需要脆弱的實(shí)體來生成帶外的TCP/UDP/ICMP等請(qǐng)求，其中TCP為傳輸控制協(xié)議，UDP為用戶數(shù)據(jù)報(bào)協(xié)議，ICMP為控制消息協(xié)議。然后，攻擊者可以通過這個(gè)請(qǐng)求來提取數(shù)據(jù)。利用帶外攻擊的手段，被滲透系統(tǒng)不會(huì)直接生成回顯信息，進(jìn)而造成了一次帶外攻擊能夠成功逃避監(jiān)控，繞過防火墻，并且能夠更好的隱藏自己，使攻擊不容易被發(fā)現(xiàn)等問題。因此，如何有效識(shí)別帶外攻擊，保證網(wǎng)絡(luò)安全是本領(lǐng)域技術(shù)人員亟需解決的技術(shù)問題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種帶外攻擊檢測(cè)方法、裝置、探針、設(shè)備及存儲(chǔ)介質(zhì)，解決了現(xiàn)有技術(shù)中帶外攻擊容易逃避監(jiān)控，繞過防火墻，并且能夠更好的隱藏，使攻擊不易被發(fā)現(xiàn)的問題。

為解決上述技術(shù)問題，本發(fā)明提供了一種帶外攻擊檢測(cè)方法，包括：

獲取網(wǎng)絡(luò)流量的原始日志；

提取所述原始日志中的第一特征信息；所述第一特征信息至少包括請(qǐng)求主體和來源IP；

將所述請(qǐng)求主體與帶外攻擊特征進(jìn)行匹配，得到告警日志；所述告警日志為所述請(qǐng)求主體與所述帶外攻擊特征匹配的第一原始日志；

外發(fā)所述告警日志，以使服務(wù)端對(duì)所述告警日志中的所述來源IP進(jìn)行封禁。

可選的，所述將所述請(qǐng)求主體與帶外攻擊特征進(jìn)行匹配，得到告警日志，包括：

若所述請(qǐng)求主體中請(qǐng)求內(nèi)容無回顯，且所述請(qǐng)求主體中攜帶有DNSLog域名，則將所述請(qǐng)求主體對(duì)應(yīng)的所述第一原始日志作為所述告警日志。

可選的，在所述外發(fā)所述告警日志，以使服務(wù)端對(duì)所述告警日志中的所述來源IP進(jìn)行封禁之后，還包括：

所述服務(wù)端根據(jù)所述告警日志中的第二特征信息，創(chuàng)建帶外攻擊檢測(cè)任務(wù)；

所述服務(wù)端根據(jù)所述帶外攻擊檢測(cè)任務(wù)，確定所述告警日志的攻擊結(jié)果。

可選的，在所述服務(wù)端根據(jù)所述告警日志中的第二特征信息，創(chuàng)建帶外攻擊檢測(cè)任務(wù)之前，還包括：

所述服務(wù)端獲取所述告警日志中的目的IP、攻擊時(shí)間、請(qǐng)求內(nèi)容和DNSlog域名，作為所述第二特征信息。

可選的，所述服務(wù)端根據(jù)所述帶外攻擊檢測(cè)任務(wù)，確定所述告警日志的攻擊結(jié)果，包括：

將所述攻擊時(shí)間作為待檢測(cè)時(shí)間；

反查所述待檢測(cè)時(shí)間的預(yù)設(shè)間隔時(shí)間內(nèi)的所述原始日志；

若所述原始日志中存在所述目的IP請(qǐng)求所述DNSLog域名，則確定所述攻擊結(jié)果為成功。