[发明专利]一种网络攻击的检测方法及装置

说明书

技术领域

本申请涉及计算机技术领域，尤其涉及一种网络攻击的检测方法及装置。

背景技术

随着网络及系统层漏洞的逐渐减少及Web攻防技术的日趋成熟，黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。

通常，为了实时监测和防止网络系统的攻击，人们采用的方式为：在网络层部署检测装置，用于对网络攻击的检测，具体处理包括：该检测装置从当前网络系统的网络层获取数据包，并将该数据包存储在指定的存储设备中。技术人员定期或实时对存储的数据包进行分析，确定其中是否包含能够对网络服务器、终端设备及其硬件或软件造成危害的应用程序或程序代码，如果包括，则可以确定该数据包可能会危害网络系统，此时，技术人员可以针对该数据包中包含的具体应用程序或程序代码，判定其属于何种网络攻击，从而采取或制定相应的措施。如果不包括，则可以确定该数据包不会危害网络系统。

但是，上述检测装置是部署在网络层，由于网络层的数据包中大多包含的是各种网络代码或程序代码，技术人员在分析网络代码或程序代码时很多情况下会存在解读错误的情况，这样很可能会造成网络系统危害的数据包被分析成正常的数据，从而使得Web应用的安全受到威胁，给黑客以可乘之机。

发明内容

本申请实施例提供一种网络攻击的检测方法及装置，用以解决现有技术中很可能会造成网络系统危害的数据包被分析成正常的数据，从而使得Web应用的安全受到威胁的问题。

本申请实施例提供的一种网络攻击的检测方法，所述方法包括：

从当前网络体系中的应用层获取待分析的网络数据包；

对所述待分析的网络数据包中的应用数据进行漏洞特征识别，获取所述应用数据的漏洞特征；

根据所述应用数据的漏洞特征，确定当前网络的攻击情况。

可选地，所述方法还包括：

根据当前网络的攻击情况，输出相应的网络攻击通知。

可选地，所述对所述待分析的网络数据包中的应用数据进行漏洞特征识别，获取所述应用数据的漏洞特征，包括：

通过预先设置的漏洞扫描规则对所述应用数据进行漏洞扫描特征识别，获取所述应用数据的漏洞扫描特征；

相应的，所述根据所述应用数据的漏洞特征，确定当前网络的攻击情况，包括：

根据所述应用数据的漏洞扫描特征，确定当前网络的攻击情况为可疑攻击。

可选地，所述对所述待分析的网络数据包中的应用数据进行漏洞特征识别，获取所述应用数据的漏洞特征，包括：

通过预先设置的漏洞触发规则对所述应用数据进行漏洞触发特征识别，获取所述应用数据的漏洞触发特征；

相应的，所述根据所述应用数据的漏洞特征，确定当前网络的攻击情况，包括：

根据所述应用数据的漏洞触发特征，确定当前网络的攻击情况为漏洞攻击。

可选地，所述漏洞触发特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征，

所述根据所述应用数据的漏洞特征，确定当前网络的攻击情况，包括：

如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为低危漏洞触发特征，则确定当前网络的攻击情况为低危漏洞攻击；

如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为中危漏洞触发特征，则确定当前网络的攻击情况为中危漏洞攻击；

如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为高危漏洞触发特征，则确定当前网络的攻击情况为高危漏洞攻击。

本申请实施例提供的一种网络攻击的检测装置，所述装置包括：

数据包获取模块，用于从当前网络体系中的应用层获取待分析的网络数据包；

漏洞特征识别模块，用于对所述待分析的网络数据包中的应用数据进行漏洞特征识别，获取所述应用数据的漏洞特征；

攻击情况确定模块，用于根据所述应用数据的漏洞特征，确定当前网络的攻击情况。

可选地，所述装置还包括：

攻击通知输出模块，用于根据当前网络的攻击情况，输出相应的网络攻击通知。

可选地，所述漏洞特征识别模块，用于通过预先设置的漏洞扫描规则对所述应用数据进行漏洞扫描特征识别，获取所述应用数据的漏洞扫描特征；

相应的，所述攻击情况确定模块，用于根据所述应用数据的漏洞扫描特征，确定当前网络的攻击情况为可疑攻击。