[发明专利]一种检测事中攻击的方法及系统

说明书

本发明实施例公开了一种检测事中攻击的方法及系统，用于实现对攻击的有效检测，提高攻击检测的成功率及准确率。本发明实施例方法包括：采集攻击的请求数据包和响应数据包；通过预置的回包特征库分别对请求数据包和响应数据包进行匹配；若匹配失败，检测攻击是否有可利用的漏洞；若检测结果为是，则对攻击和目标对象进行漏洞关联分析，以确定目标对象是否存在漏洞；若目标对象存在漏洞，则确定攻击成功；若检测结果为不确定，则对请求数据包和响应数据包进行上下文关联分析，以确定攻击是否成功及攻击产生的影响。本发明实施例还提供了一种检测事中攻击的系统，用于提高攻击检测的成功率及准确率。

技术领域

本发明涉及计算机网络防御技术领域，尤其涉及一种检测事中攻击的方法及系统。

背景技术

计算机网络攻击是指网络攻击者通过非法的手段(如破译密码、电子欺骗等)获得非法的权限并通过使用这些非法的权限使网络攻击者能够对被攻击的主机进行非授权的操作。网络攻击的主要途径有：破译口令、IP欺骗和DNS欺骗。

目前，针对计算机网络攻击的主要检测方式为：对攻击的请求数据包进行静态规则库匹配，及请求数据包的回复状态码检测。其中静态规则库存储了预先统计的攻击的请求数据包特征，当访问的请求数据包与预先统计的攻击的请求数据包特征相匹配时，则确定所述访问为攻击；而回复状态码检测主要是判断与攻击的请求数据包对应的响应数据包的回复状态码是否为200OK，若是，则确定该攻击对目标对象产生了影响。

随着网络技术的发展，静态规则匹配不足以应对复杂、灵活的攻击。如针对命令注入式的攻击，往往需要查看回包是否包含执行的结果，才可判断该攻击是否对目标对象产生了影响；其次，判断回复状态码是否为200OK的方式过于笼统，当前许多服务器可设定不管请求是否有效，都返回200OK，包括服务器上的软件防火墙都可以返回200OK，故针对攻击进行静态规则库匹配及回复状态码的检测方式，不能实现对于攻击的有效检测。

发明内容

本发明实施例提供了一种检测事中攻击的方法及系统，用于实现对攻击的有效检测，提高攻击检测的成功率及准确率。

本发明第一方面提供了一种检测事中攻击的方法，包括：

采集攻击的请求数据包和响应数据包；

通过预置的回包特征库分别对请求数据包和响应数据包进行匹配；

若匹配失败，检测攻击是否有可利用的漏洞；

若检测结果为是，则对攻击和目标对象进行漏洞关联分析，以确定目标对象是否存在漏洞；

若目标对象存在漏洞，则确定攻击成功；

若检测结果为不确定，则对请求数据包和响应数据包进行上下文关联分析，以确定攻击是否成功及攻击产生的影响。

可选的，在通过预置的回包特征库分别对请求数据包和响应数据包进行匹配之后，该方法还包括：

若匹配成功，则确定攻击成功；

在对攻击和目标对象进行漏洞关联分析，以确定目标对象是否存在漏洞之后，该方法还包括：

若目标对象不存在漏洞，则确定攻击失败；

在确定攻击成功之后，该方法还包括：

对请求数据包和响应数据包进行上下文关联分析，以确定攻击产生的影响。

可选的，上下文关联分析，包括：

基线特征匹配和/或时间序列检测。

可选的，若检测结果为不确定，则对请求数据包和响应数据包进行上下文关联分析，以确定攻击是否成功及攻击产生的影响，包括：

若检测结果为不确定，则对请求数据包和响应数据包进行基线特征匹配；