[发明专利]一种网络攻击的检测方法、装置、设备及存储介质

说明书

本发明实施例提供了一种网络攻击的检测方法、装置、计算机设备及存储介质。其方法包括：获取第一网络报文；提取所述第一网络报文的报文载荷；检测所述第一网络报文的报文载荷中是否存在敏感信息；在检测到所述第一网络报文的报文载荷中存在敏感信息后，获取所述第一网络报文之前的至少一个第二网络报文；提取所述第二网络报文的报文载荷；检测所述第二网络报文的报文载荷中是否存在攻击命令；在检测到所述第二网络报文的报文载荷中存在攻击命令后，发送用于指示攻击成功的告警提示信息。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种网络攻击的检测方法、装置、设备及存储介质。

背景技术

随着计算机技术的不断发展和互联网的普及，网络攻击形式层出不穷，网络安全问题日益突出，造成的社会影响和经济损失越来越大，对网络威胁检测与防御提出了新的需求和挑战。

其中一种探测漏洞的网络攻击方式是利用目标主机的漏洞获取敏感信息，其攻击方式为：攻击者通过一台主机向目标主机发送网络命令，指示目标主机向攻击者的另一台主机发送网络报文，通过该网络报文携带攻击者指示获取的敏感信息，造成敏感信息外泄。

传统的攻击检测方式需要根据网络报文所使用的网络协议对网络报文进行拆解，从中提取待检测的特征字段，进行攻击检测。但上述网络攻击方式中，可采取多种网络协议进行攻击，例如HTTP协议(HyperText Transfer Protocol，超文本传输协议)、FTP协议(File Transfer Protocol，文本传输协议)、TELNET(一种远程登陆命令)协议等等，而其中的FTP协议、TELNET协议等协议的网络报文难以进行拆解，因此传统的攻击检测方式无法适用于上述网络攻击方式。

发明内容

本发明实施例提供及一种网络攻击的检测方法、装置、设备及存储介质，以实现对漏洞探测攻击的检测，以实现对利用目标主机漏洞获取敏感信息的网络攻击的识别。

第一方面，本发明实施例提供一种网络攻击的检测方法，包括：

获取目标主机第一网络报文；

提取所述第一网络报文的报文载荷；

检测所述第一网络报文的报文载荷中是否存在敏感信息；

在检测到所述第一网络报文的报文载荷中存在敏感信息后，获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文；

提取所述第二网络报文的报文载荷；

检测所述第二网络报文的报文载荷中是否存在攻击命令；

在检测到所述第二网络报文的报文载荷中存在攻击命令后，发送用于指示攻击成功的告警提示信息。

可选的，所述第二网络报文的目的地址与所述第一网络报文的源地址相同。

可选的，所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文，包括：

获取所述第一网络报文之前的预定时间段内的所述目标主机的第二网络报文。

可选的，所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文，包括：

获取所述第一网络报文之前的预定数量的所述目标主机的第二网络报文。

可选的，所述获取所述第一网络报文之前的所述目标主机的至少一个第二网络报文，包括：

调用检测脚本对所述第一网络报文之前的所述目标主机的至少一个第二网络报文的目的地址与所述第一网络报文的源地址进行匹配；

获取匹配成功的第二网络报文。

可选的，所述在检测到所述第一网络报文的报文载荷中存在敏感信息后，所述方法还包括：