[发明专利]一种网络攻击的检测方法、装置、设备及存储介质

权利要求书

1.一种网络攻击的检测方法，其特征在于，包括：

获取目标主机发送的DNS请求报文；

从所述DNS请求报文中提取待检测特征数据；

对所述待检测特征数据进行攻击检测，并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果；

在确定所述DNS请求报文中存在攻击执行结果后，向所述目标主机发送告警提示信息，所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击；

所述对所述待检测特征数据进行攻击检测，包括：

调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测，所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的；

其中，所述攻击执行结果包括攻击命令执行结果或SQL注入执行结果或代码执行结果。

2.根据权利要求1所述的方法，其特征在于，建立所述攻击检测模型的过程包括：

收集模型训练报文，所述模型训练报文为包含已知攻击执行结果的DNS请求报文；

从所述模型训练报文中提取包含已知攻击执行结果的特征数据；

对所述特征数据进行处理，获得特征数据样本；

根据所述特征数据样本进行模型训练，获得所述攻击检测模型。

3.根据权利要求2所述的方法，其特征在于，所述收集模型训练数据包括：

收集互联网已公开的包含已知攻击执行结果的DNS请求报文、通过模拟攻击采集的由所述目标主机发送的包含已知攻击执行结果的DNS请求报文。

4.根据权利要求2所述的方法，其特征在于，所述根据所述特征数据样本进行模型训练，获得所述攻击检测模型，包括：

根据所述特征数据样本，采用深度学习算法进行模型训练，获得所述攻击检测模型。

5.根据权利要求1所述的方法，其特征在于，所述对所述待检测特征数据进行攻击检测包括：

调用攻击检测脚本对所述待检测特征数据进行攻击检测。

6.根据权利要求5所述的方法，其特征在于，所述调用攻击检测脚本对所述待检测特征数据进行攻击检测包括：

调用多个攻击检测脚本对所述检测特征数据进行攻击检测，不同攻击检测脚本对应不同的攻击执行结果。

7.根据权利要求1～6任一项所述的方法，其特征在于，所述获取目标主机发送的DNS请求报文，包括：

获取所述目标主机的DNS日志；从所述DNS日志中获取所述目标主机发送的DNS请求报文；或者，

监听所述目标主机的DNS报文端口；从监听结果中获取所述目标主机发送的DNS请求报文。

8.根据权利要求1～6任一项所述的方法，其特征在于，所述从所述DNS请求报文中提取待检测特征数据，包括：

从所述DNS请求报文中提取报文载荷作为待检测特征数据。

9.一种网络攻击的检测装置，其特征在于，包括：

DNS请求报文获取模块，用于获取目标主机发送的DNS请求报文；

待检测特征提取模块，用于从所述DNS请求报文中提取待检测特征数据；

攻击检测模块，用于对所述待检测特征数据进行攻击检测，并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果；

告警提示模块，用于在确定所述DNS请求报文中存在攻击执行结果后，向所述目标主机发送告警提示信息，所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击；

所述攻击检测模块用于：

调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测，所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的；

其中，所述攻击执行结果包括攻击命令执行结果或SQL注入执行结果或代码执行结果。