[发明专利]一种网络攻击的警示方法及装置

说明书

技术领域

本申请涉及计算机技术领域，尤其涉及一种网络攻击的警示方法及装置。

背景技术

尽管网络及系统层的漏洞正在逐渐减少，而且Web攻防技术也在日趋成熟，但是，在利益的驱使下，黑客们对网络系统的攻击却从来没有停止过，如何对黑客们发起的网络攻击进行准确警示成为系统安全管理和运维工作的重要部分。

通常，根据不同漏洞对网络系统或用户的影响，可以将漏洞划分成多个不同的危险等级，例如，低危漏洞、中危漏洞和高危漏洞等，其中，低危漏洞的危险等级最低，高危漏洞的危险等级最高，中危漏洞的危险等级大于低危漏洞的危险等级，且小于高危漏洞的危险等级，危险等级可以与对网络系统或用户的影响相关联，例如，高危漏洞通常会引发用户的高度敏感的数据(如支付账户的信息等)泄露等。为了能够对网络攻击进行准确告警，人们采用的方式为：将网络攻击根据所触发的漏洞的危险等级划分成3个警示等级，即低危漏洞警示信号、中危漏洞警示信号和高危漏洞警示信号，通过不同的警示信号可以提示用户关注基于不同危险等级的漏洞所触发的网络攻击。

上述网络攻击的警示方式是根据漏洞的危险等级进行的，但是，当系统中存在的所有漏洞都已经被相应的补丁程序修补后，如果当前出现基于高危漏洞所触发的网络攻击，则系统仍然后输出高危漏洞的警示信号，但是该网络攻击却并不会成功，也即是，在系统无漏洞的情况下，使用高危的攻击手段不一定会导致高危的后果，从而，容易产生网络攻击误报的情况，降低网络攻击报警的有效性，使得用户对系统的警示失去信任。

发明内容

本申请实施例提供一种网络攻击的警示方法及装置，用以解决容易产生网络攻击误报的情况，从而使得网络攻击报警的有效性降低，以及安全管理和安全运维的效率较低的问题。

本申请实施例提供的一种网络攻击的警示方法，所述方法包括：

获取当前网络体系中应用层的网络数据包；

如果对所述网络数据包进行网络攻击检测后确定所述网络数据包能够对当前网络体系进行网络攻击，则获取所述网络数据包的网络攻击特征；

根据所述网络数据包的网络攻击特征和所述网络数据包中的数据内容，输出网络攻击警示信号。

可选地，所述根据所述网络数据包的网络攻击特征和所述网络数据包中的数据内容，输出网络攻击警示信号，包括：

如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容，则输出网络攻击警示信号。

可选地，所述网络数据包的网络攻击特征包括漏洞扫描行为特征、漏洞触发行为特征和系统受控行为特征，

所述如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容，则输出网络攻击警示信号，包括：

如果所述网络数据包的数据内容中包括与所述漏洞扫描行为特征相应的数据内容，则输出可疑攻击提示信号；

如果所述网络数据包的数据内容中包括与所述漏洞触发行为特征相应的数据内容，则输出网络攻击报警信号；

如果所述网络数据包的数据内容中包括与所述系统受控行为特征相应的数据内容，则输出系统受控报警信号。

可选地，所述漏洞触发行为特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征，

如果所述网络数据包的数据内容中包括与所述漏洞触发特征相应的数据内容，则输出网络攻击报警信号，包括：

如果所述网络数据包的数据内容中包括与所述低危漏洞触发特征相应的数据内容，则输出低危报警信号；

如果所述网络数据包的数据内容中包括与所述中危漏洞触发特征相应的数据内容，则输出中危报警信号；

如果所述网络数据包的数据内容中包括与所述高危漏洞触发特征相应的数据内容，则输出高危报警信号。

可选地，所述输出网络攻击警示信号，包括：

发送网络攻击警示信息；或者，

输出报警指示灯闪烁或点亮的控制指令。

本申请实施例提供的一种网络攻击的警示装置，所述装置包括：

数据包获取模块，用于获取当前网络体系中应用层的网络数据包；

网络攻击特征获取模块，用于如果对所述网络数据包进行网络攻击检测后确定所述网络数据包能够对当前网络体系进行网络攻击，则获取所述网络数据包的网络攻击特征；

警示信号输出模块，用于根据所述网络数据包的网络攻击特征和所述网络数据包中的数据内容，输出网络攻击警示信号。