CN110740144A - 确定攻击目标的方法、装置、设备及存储介质 - Google Patents
确定攻击目标的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110740144A CN110740144A CN201911181577.6A CN201911181577A CN110740144A CN 110740144 A CN110740144 A CN 110740144A CN 201911181577 A CN201911181577 A CN 201911181577A CN 110740144 A CN110740144 A CN 110740144A
- Authority
- CN
- China
- Prior art keywords
- message
- port number
- header data
- attack
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种确定攻击目标的方法、装置、设备及存储介质,属于网络安全技术领域。所述方法包括:接收请求报文,根据请求报文的报文头数据中的一项或多项信息,对请求报文进行检测,得到检测结果。若检测结果指示请求报文不符合白名单条件,则当报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,确定攻击目标为本端。否则,则当请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,将报文头数据中的源互联网协议IP地址对应的节点确定为攻击目标。如此,可以避免将节点之间的正常通信误认为网络攻击,而且不需要等待接收到多个请求报文后才进行检测,提高了检测网络攻击的效率,进而提高了确定攻击目标的效率。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种确定攻击目标的方法、装置、设备及存储介质。
背景技术
在反射类型的网络攻击过程中,攻击节点首先向全网的所有节点发送扫描报文,以对所有节点进行扫描,从而根据是否接收到各个节点的反馈来确定所有节点中的可利用节点。然后,攻击节点将自身的源IP(Internet Protocol,互联网协议)地址伪造为被攻击节点的IP地址,向可利用节点发送攻击报文,使可利用节点向被攻击节点发送反馈报文,以将该被攻击节点作为攻击目标,从而对攻击目标产生网络攻击。这种网络攻击会使得攻击目标不能正常运行,甚至还可能导致整个网络瘫痪,为了减少该种情况出现,需要及时检测网络攻击,并确定攻击目标。
在相关技术中,可利用节点在接收到请求报文后,向该请求报文的源IP地址对应的节点发送反馈报文,另外,该可利用节点对一段时间内接收到请求报文进行分析,判断所接收的每个请求报文的有效载荷数据是否属于参考有效载荷数据集合,如果属于,则确定对应的请求报文为攻击报文,其中,参考有效载荷数据集合包括攻击报文的有效载荷数据。当在该一段时间内接收的请求报文中超过指定数量阈值个请求报文属于攻击报文时,确定检测到了网络攻击,可利用节点将该多个请求报文的源IP地址对应的节点均确定为攻击目标。
但上述方法需要在接收到多个请求报文后才对请求报文的有效载荷数据进行检测,进而确定攻击目标,需要耗费较长时间,如此,容易导致在检测到网络攻击时,所发送的反馈报文可能已经对攻击目标造成了巨大的负面影响。
发明内容
本申请提供了一种确定攻击目标的方法、装置、设备及存储介质,可以解决相关技术的确定攻击目标耗费较长时间的问题。所述技术方案如下:
一方面,提供了一种确定攻击目标的方法,所述方法包括:
接收请求报文;
根据所述请求报文的报文头数据中的一项或多项信息,对所述请求报文进行检测,得到检测结果;
若所述检测结果指示所述请求报文不符合白名单条件,则当所述报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,确定攻击目标为本端,所述白名单条件包括非攻击报文对应的条件;
若所述报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合,则当所述请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,将所述报文头数据中的源互联网协议IP地址对应的节点确定为所述攻击目标。
另一方面,提供了一种确定攻击目标的装置,所述装置包括:
接收模块,用于接收请求报文;
检测模块,用于根据所述请求报文的报文头数据中的一项或多项信息,对所述请求报文进行检测,得到检测结果;
第一确定模块,用于若所述检测结果指示所述请求报文不符合白名单条件,则当所述报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,确定攻击目标为本端,所述白名单条件包括非攻击报文对应的条件;
第二确定模块,用于若所述报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合,则当所述请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,将所述报文头数据中的源互联网协议IP地址对应的节点确定为所述攻击目标。
另一方面,提供了一种设备,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或所述指令集由所述处理器加载并执行以实现上述所述的确定攻击目标的方法。
另一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或所述指令集由处理器加载并执行以实现上述所述的确定攻击目标的方法。
另一方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述所述的确定攻击目标的方法。
本申请提供的技术方案至少可以带来以下有益效果:
接收到请求报文后,根据请求报文的报文头数据中的一项或多项信息,对该请求报文进行检测,得到检测结果,若该检测结果指示该请求报文不符合白名单条件,说明该请求报文不是节点之间进行正常的数据传输所接收的非攻击报文,可能是攻击报文。那么,当报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,可以确定攻击目标为本端。而当报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合时,需要进一步判断,当请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,确定检测到网络攻击,且可以确定攻击目标为报文头数据中的源IP地址对应的节点。如此,在接收到请求报文后,根据白名单条件、源端口号、以及有效载荷数据对请求报文进行判断,可以避免将节点之间的正常通信误认为网络攻击,而且不需要等待接收到多个请求报文后才进行检测,检测速度较快,提高了检测网络攻击的效率,进而提高了确定攻击目标的效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种扫描过程的示意图;
图2是根据一示例性实施例示出的一种攻击过程的示意图;
图3是根据一示例性实施例示出的一种确定攻击目标的方法的流程图;
图4是根据另一示例性实施例示出的一种攻击过程的示意图;
图5是根据另一示例性实施例示出的一种扫描过程的示意图;
图6是根据另一示例性实施例示出的一种确定攻击目标的方法的流程图;
图7是根据一示例性实施例示出的一种确定攻击目标的装置的结构示意图;
图8是根据一示例性实施例示出的一种设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
在对本申请实施例提供的确定攻击目标的方法进行详细的解释说明之前,先对本申请实施例提供的应用场景和实施环境进行介绍。
首先,对本申请实施例提供的应用场景进行介绍。
攻击节点在利用反射方法进行网络攻击时,首先向全网的所有节点发送扫描报文,确定是否接收到反馈报文。由于攻击节点已知自身发送的扫描报文是否为已知攻击类型的扫描报文,以及每种已知攻击类型对应的反馈报文。因此,若接收到反馈报文,攻击节点可以判断该反馈报文是否为已知攻击类型对应的反馈报文,若是,将发送该反馈报文的节点进行记录。通常情况下,已知攻击类型对应的反馈报文的有效载荷数据是固定的。当接收到的反馈报文不是已知攻击类型对应的反馈报文时,判断该反馈报文的有效载荷数据的长度是否大于长度阈值,若是,将发送该反馈报文的节点进行记录,这些被记录的节点为进行网络攻击时可以利用的可利用节点。这个过程通常被称为扫描过程,实现过程可参见图1。
其中,长度阈值可以由用户根据实际需要进行设置,也可以由节点默认设置,本申请实施例对此不做限定。示例性地,长度阈值可以为1400字节。
在发起攻击时,攻击节点将攻击报文的源IP地址更改为被攻击节点的IP地址,向可利用节点发送攻击报文,可利用节点接收到攻击报文后,向攻击报文的源IP地址对应的节点发送反馈报文,即向被攻击节点发送反馈报文,以将该被攻击节点作为攻击目标,这样便形成了反射类型的网络攻击。这个过程通常被称为攻击过程,实现过程可参见图2。
本申请实施例提供的确定攻击目标的方法可以应用于进行DDOS(DistributedDenial of Service,分布式拒绝服务)攻击检测、攻击流量清洗、威胁情报感知等场景中,用于检测网络攻击,并确定攻击目标,以便提前采取相应措施。
然后,对本申请实施例提供的实施环境进行介绍。
本申请实施例提供的实施环境中包括多个节点,该多个节点均属于互联网,且该多个节点中任意两个节点之间可以进行通信连接,该通信连接可以为有线或无线连接,本申请实施例对此不做限定。
该多个节点中有的节点可能成为攻击节点,有的节点可能成为被攻击节点,有的节点可能成为可利用节点,剩余的节点均为普通节点,本申请实施例的执行主体可以为可利用节点中的任一节点。该多个节点可以为网络中的多台服务器,且该多个节点中除了攻击节点之外的节点可以用于接收请求报文,并根据接收到的请求报文发送反馈报文。
本领域技术人员应能理解上述节点仅为举例,其他现有的或今后可能出现的节点如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
在介绍完本申请实施例提供的应用场景和实施环境后,接下来对本申请实施例提供的确定攻击目标的方法进行详细的解释说明。
图3是本申请实施例提供的一种确定攻击目标的方法的流程图,该方法应用于上述实施环境中。请参考图3,该方法可以包括如下步骤:
步骤301:接收请求报文。
作为一种示例,该请求报文可以包括五元组信息、有效载荷数据、有效载荷数据长度、物理地址和标签信息等。其中,五元组信息可以包括源IP地址、源端口号、目的IP地址、目的端口号和传输层协议号。其中,标签信息用于对该请求报文进行编号。
需要说明的是,在实际实现中,五元组信息也可以包括其他的信息。例如,五元组信息可以包括源IP地址、源端口号、目的IP地址、目的端口号和有效载荷数据。也就是说,本申请实施例中的五元组信息可以由用户自定义,是一组自定义的信息。
作为另一种示例,该请求报文可以包括七元组信息、有效载荷数据、有效载荷数据长度、物理地址和标签信息等。其中,七元组信息可以包括源IP地址,源端口号,目的IP地址、目的端口号、传输层协议号、服务类型和接口索引。
作为又一种示例,该请求报文可以包括四元组信息、有效载荷数据、有效载荷数据长度、物理地址和标签信息等。其中,四元组信息可以包括源IP地址,源端口号,目的IP地址和目的端口号。
步骤302:根据请求报文的报文头数据中的一项或多项信息,对请求报文进行检测,得到检测结果。
其中,请求报文的报文头数据可以至少包括五元组信息;或者,该请求报文的报文头数据可以至少包括七元组信息;或者,该请求报文的报文头数据可以至少包括四元组信息。
作为一种示例,可以根据请求报文的报文头数据中的源IP地址,源端口号,目的IP地址和目的端口号中的一项或多项信息,对请求报文进行检测,得到检测结果。
进一步地,在接收到请求报文后,还可以根据报文头数据中的传输层协议号,确定该请求报文所使用的传输层协议,以便后续能够确定检测到的是使用何种传输层协议的网络攻击。
例如,可以判断该报文头数据的传输层协议号指示的传输层协议是否为UDP(UserDatagram Protocal,用户数据报)协议,当确定该传输层协议为UDP协议时,确定要检测的是使用UDP协议的网络攻击,此时执行该步骤302。进一步地,如果该传输层协议不是UDP协议时,可以存储该请求报文,但不进行
步骤302以及之后的操作。
需要说明的是,当确定该传输层协议为UDP协议时,也需要将该请求报文进行存储,然后执行302以及后续步骤。在实际实现中,可以将请求报文以日志信息的形式进行存储。
步骤303:若检测结果指示请求报文不符合白名单条件,则当报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,确定攻击目标为本端,该白名单条件包括非攻击报文对应的条件。
其中,白名单条件用于过滤节点之间进行正常的数据通信时接收到的非攻击报文。作为一种示例,该白名单条件可以为指定源IP地址、指定目的IP地址、指定源端口号和指定目的端口号中的任意一个或多个,且该指定源IP地址、指定目的IP地址、指定源端口号和指定目的端口号均可以为一个或多个。示例性地,白名单的格式可以使用SRC:IP:PORT/DST:IP:PORT的形式进行设置。
在一些实施例中,可以根据请求报文的报文头数据中的一项或多项,检测请求报文是否符合白名单条件,得到检测结果。
示例性地,假设该白名单条件为多个指定源IP地址,检测请求报文是否符合白名单条件时,当该多个指定源IP地址中包括请求报文的源IP地址时,可以认为该请求报文不是攻击报文,不对其进行后续操作;当该多个指定源IP地址中不包括请求报文的源IP地址时,可以认为该请求报文可能是攻击报文,需要进行后续操作来做进一步判断。
或者,假设白名单条件为多个指定源IP地址和多个指定源端口号,检测请求报文是否符合白名单条件时,当该多个指定源IP地址中包括请求报文的源IP地址且多个指定源端口号中包括请求报文的源端口号时,可以确定该请求报文不是攻击报文,不对其进行后续操作;当该多个指定源IP地址中不包括请求报文的源IP地址和/或多个指定源端口号中不包括请求报文的源端口号时,可以认为该请求报文可能是攻击报文,需要进行后续操作来做进一步判断。
也就是说,当检测结果指示请求报文不符合白名单条件时,可以认为该请求报文可能是攻击报文,需要对该请求报文进行进一步检测;当检测结果指示请求报文符合白名单条件时,可以认为该请求报文不是攻击报文,是节点之间进行正常数据通信接收到的非攻击报文。
需要说明的是,该白名单条件实际上是一种过滤规则,可以由用户根据实际需要进行设置,也可以由节点默认设置,本申请实施例对此不做限定。
在一些实施例中,若检测结果指示请求报文不符合白名单条件,则当报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,确定攻击目标为本端。
其中,已知攻击类型为经过分析的网络攻击类型,该已知攻击类型的数量可以为多种,且每种已知攻击类型可以对应至少一个源端口号,多种已知攻击类型的多个源端口号组成了源端口号集合。
也就是说,当检测结果指示请求报文不符合白名单条件时,可以确定该请求报文可能是攻击报文,可以继续根据该请求报文的报文头数据的源端口号进行判断,由于进行网络攻击时,通常情况下源端口号是随机的,当报文头数据的源端口号属于已知攻击类型对应的源端口号集合时,可以确定该请求报文为攻击报文,即检测到了网络攻击,且攻击目标为本端。
作为一种示例,假设已知攻击类型对应的源端口号集合中包括源端口1、源端口3、源端口4和源端口6,该报文头数据中的源端口号为源端口6,可以认为源端口号集合中包括该报文头数据的源端口号,该请求报文为攻击报文,且攻击目标为本端。
在另一些实施例中,若检测结果指示请求报文不符合白名单条件,则当本端一次性接收到的请求报文的数量远远超过几万个时,不需要对源端口号进行判断,可以直接确定检测到了网络攻击,且攻击目标为本端。
需要说明的是,本步骤描述的是当报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时的实现方法。接下来,描述当报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合时的实现方法。步骤303与步骤304之间没有先后执行关系。
步骤304:若报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合,则当请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,将报文头数据中的源IP地址对应的节点确定为攻击目标。
其中,已知攻击类型的数量可以为多种,且每种已知攻击类型可以对应至少一个有效载荷数据,多种已知攻击类型的多个有效载荷数据组成了有效载荷数据集合。
也就是说,当报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合时,说明该请求报文可能不是攻击报文,需要进一步检测请求报文的有效载荷数据是否属于已知攻击类型对应的有效载荷数据集合,并根据检测结果进行进一步判断。
作为一种示例,假设已知攻击类型对应的源端口号集合中包括源端口1、源端口3、源端口4和源端口6,该报文头数据中的源端口号为源端口9,可以认为源端口号集合中不包括该报文头数据的源端口号,该请求报文可能不是攻击报文,需要进一步对该请求报文的有效载荷进行检测才能确定。
作为一种示例,当请求报文的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,可以确定该请求报文是个攻击报文,说明检测到了网络攻击,且攻击节点将本端作为可利用节点,在向本端发送请求报文时,将报文头数据中的源IP地址伪装成被攻击节点的IP地址,因此,可以确定报文头数据中的源IP地址对应的节点为攻击目标,具体可参见图4。
示例性地,假设已知攻击类型对应的有效载荷数据集合中包括有效载荷数据A、有效载荷数据B、有效载荷数据D和有效载荷数据F,该请求报文的有效载荷数据为有效载荷数据A,可以认为有效载荷数据集合中包括该请求报文的有效载荷数据,该请求报文为攻击报文,且攻击目标为报文头数据中源IP地址对应的节点。
需要说明的是,本步骤描述的是当请求报文的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时的实现方法。接下来,描述当请求报文的有效载荷数据不属于已知攻击类型对应的有效载荷数据集合时的实现方法。步骤304与步骤305之间没有先后执行关系。
步骤305:当请求报文中的有效载荷数据不属于已知攻击类型对应的有效载荷数据时,确定请求报文为扫描报文。
也就是说,当请求报文中的有效载荷数据不属于已知攻击类型对应的有效载荷数据时,说明该请求报文不是攻击报文,该请求报文为攻击节点在扫描过程中发送的扫描报文。
在扫描过程中,接收到攻击节点的扫描数据后,由于攻击节点是根据是否接收到反馈报文以及反馈报文的有效载荷数据的长度确定节点是否可利用,为了使攻击节点认为本端为可利用节点,进而向本端发送攻击报文,需要按照攻击节点的要求向攻击节点发送反馈报文。
在一些实施例中,确定请求报文为扫描报文后,可以根据报文头数据中的目的端口号,确定扫描报文对应的反馈报文,并向报文头数据中的源IP地址对应的节点发送反馈报文。
作为一种示例,确定请求报文为扫描报文后,根据报文头数据中的目的端口号,确定扫描报文对应的反馈报文的具体实现可以包括:当报文头数据中的目的端口号属于已知攻击类型对应的目的端口号集合时,获取已知攻击类型对应的报文,将获取的报文作为反馈报文。当报文头数据中的目的端口号不属于已知攻击类型对应的目的端口号集合时,构造长度大于长度阈值的报文,将构造的报文作为反馈报文。
其中,长度阈值可以由用户根据实际需要进行设置,也可以由节点默认设置,并且可以根据实际情况进行调整,本申请实施例对此不做限定。
其中,已知攻击类型的数量可以为多种,且每种已知攻击类型可以对应至少一个目的端口号,多种已知攻击类型的多个目的端口号组成了目的端口号集合。
也就是说,在确定扫描报文对应的反馈报文时,需要根据报文头数据中的目的端口号来确定。当报文头数据中的目的端口号属于已知攻击类型对应的目的端口号集合时,对于该已知攻击类型的请求报文,已经有预先分析好的对应的报文,节点只需获取该已知攻击类型对应的报文,将获取的报文作为反馈报文。当报文头数据中的目的端口号不属于已知攻击类型对应的目的端口号集合时,为了使得攻击节点能够将本段确认为可利用节点,可以根据攻击节点确定可利用节点的判断条件,构造长度大于长度阈值的报文,将构造的报文作为反馈报文。
作为另一种示例,确定请求报文为扫描报文后,还可以不根据目的端口号确定反馈报文。由于攻击节点在扫描阶段只关注是否发送反馈报文,以及反馈报文的有效载荷数据的长度,而不关注反馈报文的具体特性,因此,可以直接构造长度大于长度阈值的报文,将构造的报文作为反馈报文。也就是说,只要确定请求报文为扫描报文,无论报文头数据中的目的端口号是否属于已知攻击类型对应的目的端口号集合,都是用构造的长度大于长度阈值的报文作为反馈报文。
作为一种示例,确定反馈报文后,可以直接向报文头数据中源IP地址对应的节点发送反馈报文,具体可参见图5。
作为另一种示例,参见图6,在向报文头数据中源IP地址对应的节点发送反馈报文之前,可以获取校验信息,基于校验信息对请求报文的报文头数据中的一项或多项进行校验,当对请求报文的报文头数据中的一项或多项校验通过时,执行向报文头数据中的源IP地址对应的节点发送反馈报文的步骤。
其中,校验信息可以根据该节点之前接收到的请求报文确定。校验信息可以包括报文头数据中的一项或多项,也可以为基于源IP地址、目的IP地址、目的端口和时间戳进行MD5(Message-digest Algorithm5,信息-摘要算法第五版)计算后得到的校验码。
示例性地,当校验信息包括至少一个源IP地址时,可以将请求报文的报文头数据中的源IP地址与校验信息的至少一个源IP地址进行对比,当校验信息的至少一个源IP地址包括报文头数据中的源IP地址时,可以认为本端已经向报文头数据中的源IP地址对应的节点发送过反馈报文,即确定校验未通过,不用再发送反馈报文。当校验信息的至少一个源IP地址不包括报文头数据中的源IP地址时,可以认为本端未向报文头数据中的源IP地址对应的节点发送过反馈报文,即校验通过,向报文头数据中的源IP地址对应的节点发送反馈报文。
在一种可能的实现方式中,当校验信息为多个校验码时,可以根据请求报文的源IP地址、目的IP地址、目的端口和时间戳进行MD5计算,得到请求报文的校验码,当多个校验码包括请求报文的校验码时,可以确定校验未通过;当多个校验码不包括请求报文的校验码时,可以确定校验通过,向报文头数据中的源IP地址对应的节点发送反馈报文。
示例性地,UDP扫描报文的校验码可以根据小时时间戳、源IP地址、目的IP地址、目的端口进行MD5计算后得到。TCP扫描报文的校验码可以根据时间戳、源IP地址、目的IP地址、目的端口进行MD5计算后得到。
值得一提的是,在向报文头数据中的源IP地址对应的节点发送反馈报文时,可以仅发送少量反馈报文,以免本端被真正利用。
需要说明的是,当可利用节点的数量非常多时,攻击节点在攻击阶段可能只需要向每个可利用节点发送一个攻击报文,而在扫描阶段,攻击节点可能也只向每个节点发送了一个扫描报文,此时,可能出现扫描报文与攻击报文相同的情况。因此,还可以对该扫描报文进行分析。
在一些实施例中,确定请求报文为扫描报文后,还可以上报扫描报文,接收针对扫描报文反馈的分析结果。当分析结果指示扫描报文为攻击报文时,获取分析结果中的攻击类型,将攻击类型确定为已知攻击类型,将所确定的已知攻击类型与扫描报文的源端口号对应存储,或者,将所确定的已知攻击类型与扫描报文的有效载荷数据对应存储。
作为一种示例,在确定请求报文为扫描报文后,还可以将扫描报文上报给产品侧对应的设备,由人工通过设备对该扫描报文进行分析,并接收针对该扫描报文反馈的分析结果,获取分析结果中的攻击类型,将攻击类型确定为已知攻击类型,即根据分析结果可以及时发现未知攻击类型。
作为一种示例,当根据分析结果确定该已知攻击类型的攻击目标为本端时,将所确定的该已知攻击类型与扫描报文的源端口号对应存储,或者,当根据分析结果确定该已知攻击类型的攻击目标不是本端时,将所确定的该已知攻击类型与扫描报文的有效载荷数据对应存储。也即是,还可以将未知攻击类型变成已知,以便下一次进行网络攻击检测时,可以使用该已知攻击类型的相关信息对请求报文进行判断。
进一步地,可以将攻击数据和扫描数据均进行上报,与产品侧同步,联动网络攻击检测、网络攻击清洗产品或其他威胁情报产品,进一步标识出攻击节点,为在以后的网络攻击检测提供了重要信息。
进一步地,参见图6,节点接收到请求报文时,还可以监控接收到的请求报文的流量,当接收到的请求报文的流量较大时,对这些请求报文进行检测,以确定攻击目标。
在本申请实施例中,接收到请求报文后,根据请求报文的报文头数据中的一项或多项信息,对该请求报文进行检测,得到检测结果,若该检测结果指示该请求报文不符合白名单条件,说明该请求报文不是节点之间进行正常的数据传输所接收的非攻击报文,可能是攻击报文。那么,当报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,可以确定攻击目标为本端。而当报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合时,需要进一步判断,当请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,确定检测到网络攻击,且可以确定攻击目标为报文头数据中的源IP地址对应的节点。如此,在接收到请求报文后,根据白名单条件、源端口号、以及有效载荷数据对请求报文进行判断,可以避免将节点之间的正常通信误认为网络攻击,而且不需要等待接收到多个请求报文后才进行检测,检测速度较快,提高了检测网络攻击的效率,进而提高了确定攻击目标的效率。
图7是根据一示例性实施例示出的一种确定攻击目标的装置的结构示意图,该装置可以由软件、硬件或者两者的结合实现成为设备的部分或者全部。请参考图7,该装置可以包括:接收模块701、检测模块702、第一确定模块703和第二确定模块704。
接收模块701,用于接收请求报文;
检测模块702,用于根据请求报文的报文头数据中的一项或多项信息,对请求报文进行检测,得到检测结果;
第一确定模块703,用于若检测结果指示请求报文不符合白名单条件,则当报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,确定攻击目标为本端,白名单条件包括非攻击报文对应的条件;
第二确定模块704,用于若报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合,则当请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,将报文头数据中的源互联网协议IP地址对应的节点确定为攻击目标。
在本申请一种可能的实现方式中,第二确定模块704还用于:
当请求报文中的有效载荷数据不属于已知攻击类型对应的有效载荷数据集合时,确定请求报文为扫描报文;
根据报文头数据中的目的端口号,确定扫描报文对应的反馈报文;
向报文头数据中的源IP地址对应的节点发送反馈报文。
在本申请一种可能的实现方式中,第二确定模块704用于:
当报文头数据中的目的端口号属于已知攻击类型对应的目的端口号集合时,获取已知攻击类型对应的报文,将获取的报文作为反馈报文;
当报文头数据中的目的端口号不属于已知攻击类型对应的目的端口号集合时,构造长度大于长度阈值的报文,将构造的报文作为反馈报文。
在本申请一种可能的实现方式中,第二确定模块704还用于:
获取校验信息;
基于校验信息对请求报文的报文头数据中的一项或多项进行校验;
当对请求报文的报文头数据中的一项或多项校验通过时,执行向报文头数据中的源IP地址对应的节点发送反馈报文的步骤。
在本申请一种可能的实现方式中,第二确定模块704还用于:
上报扫描报文;
接收针对扫描报文反馈的分析结果;
当分析结果指示扫描报文为攻击报文时,获取分析结果中的攻击类型,将攻击类型确定为已知攻击类型;
将所确定的已知攻击类型与扫描报文的源端口号对应存储,或者,将所确定的已知攻击类型与扫描报文的有效载荷数据对应存储。
在本申请实施例中,接收到请求报文后,根据请求报文的报文头数据中的一项或多项信息,对该请求报文进行检测,得到检测结果,若该检测结果指示该请求报文不符合白名单条件,说明该请求报文不是节点之间进行正常的数据传输所接收的非攻击报文,可能是攻击报文。那么,当报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,可以确定攻击目标为本端。而当报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合时,需要进一步判断,当请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,确定检测到网络攻击,且可以确定攻击目标为报文头数据中的源IP地址对应的节点。如此,在接收到请求报文后,根据白名单条件、源端口号、以及有效载荷数据对请求报文进行判断,可以避免将节点之间的正常通信误认为网络攻击,而且不需要等待接收到多个请求报文后才进行检测,检测速度较快,提高了检测网络攻击的效率,进而提高了确定攻击目标的效率。
需要说明的是:上述实施例提供的确定攻击目标的装置在确定攻击目标时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的确定攻击目标的装置与确定攻击目标的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图8是根据一示例性实施例示出的一种设备的结构示意图。该设备可以为服务器。设备800包括中央处理单元CPU(Central Processing Unit)801、包括随机存取存储器(RAM,Random Access Memory)802和只读存储器(ROM,Read-Only Memory)803的系统存储器804,以及连接系统存储器804和中央处理单元801的系统总线805。设备800还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统,Input/Output系统)806,和用于存储操作系统813、应用程序814和其他程序模块815的大容量存储设备807。
基本输入/输出系统806包括有用于显示信息的显示器808和用于用户输入信息的诸如鼠标、键盘之类的输入设备809。其中显示器808和输入设备809都通过连接到系统总线805的输入输出控制器810连接到中央处理单元801。基本输入/输出系统806还可以包括输入输出控制器810以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器810还提供输出到显示屏、打印机或其他类型的输出设备。
大容量存储设备807通过连接到系统总线805的大容量存储控制器(未示出)连接到中央处理单元801。大容量存储设备807及其相关联的计算机可读介质为设备800提供非易失性存储。也就是说,大容量存储设备807可以包括诸如硬盘或者CD-ROM(Compact DiscRead-Only Memory)驱动器之类的计算机可读介质(未示出)。
不失一般性,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM(Erasable Programmable Read Only Memory)、EEPROM(ElectricallyErasable Programmable read only memory)、闪存或其他固态存储其技术,CD-ROM、DVD(Digital Video Disc)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器804和大容量存储设备807可以统称为存储器。
根据本申请的各种实施例,设备800还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即设备800可以通过连接在系统总线805上的网络接口单元811连接到网络812,或者说,也可以使用网络接口单元811来连接到其他类型的网络或远程计算机系统(未示出)。
上述存储器还包括一个或者一个以上的程序,一个或者一个以上程序存储于存储器中,被配置由CPU执行。
在一些实施例中,还提供了一种计算机可读存储介质,该存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述实施例中确定攻击目标的方法。例如,所述计算机可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。
值得注意的是,本申请提到的计算机可读存储介质可以为非易失性存储介质,换句话说,可以是非瞬时性存储介质。
应当理解的是,实现上述实施例的全部或部分步骤可以通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。所述计算机指令可以存储在上述计算机可读存储介质中。
也即是,在一些实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述所述的确定攻击目标的方法。
以上所述为本申请提供的实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种确定攻击目标的方法,其特征在于,应用于互联网中的任一节点,所述方法包括:
接收请求报文;
根据所述请求报文的报文头数据中的一项或多项信息,对所述请求报文进行检测,得到检测结果;
若所述检测结果指示所述请求报文不符合白名单条件,则当所述报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,确定攻击目标为本端,所述白名单条件包括非攻击报文对应的条件;
若所述报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合,则当所述请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,将所述报文头数据中的源互联网协议IP地址对应的节点确定为所述攻击目标。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述请求报文中的有效载荷数据不属于已知攻击类型对应的有效载荷数据集合时,确定所述请求报文为扫描报文;
根据所述报文头数据中的目的端口号,确定所述扫描报文对应的反馈报文;
向所述报文头数据中的源IP地址对应的节点发送所述反馈报文。
3.如权利要求2所述的方法,其特征在于,所述根据所述报文头数据中的目的端口号,确定所述扫描报文对应的反馈报文,包括:
当所述报文头数据中的目的端口号属于已知攻击类型对应的目的端口号集合时,获取所述已知攻击类型对应的报文,将获取的报文作为所述反馈报文;
当所述报文头数据中的目的端口号不属于已知攻击类型对应的目的端口号集合时,构造长度大于长度阈值的报文,将构造的报文作为所述反馈报文。
4.如权利要求2所述的方法,其特征在于,所述向所述报文头数据中的源IP地址对应的节点发送所述反馈报文之前,还包括:
获取校验信息;
基于所述校验信息对所述请求报文的报文头数据中的一项或多项进行校验;
当对所述请求报文的报文头数据中的一项或多项校验通过时,执行所述向所述报文头数据中的源IP地址对应的节点发送所述反馈报文的步骤。
5.如权利要求2所述的方法,其特征在于,所述确定所述请求报文为扫描报文之后,还包括:
上报所述扫描报文;
接收针对所述扫描报文反馈的分析结果;
当所述分析结果指示所述扫描报文为攻击报文时,获取所述分析结果中的攻击类型,将所述攻击类型确定为已知攻击类型;
将所确定的已知攻击类型与所述扫描报文的源端口号对应存储,或者,将所确定的已知攻击类型与所述扫描报文的有效载荷数据对应存储。
6.一种确定攻击目标的装置,其特征在于,所述装置包括:
接收模块,用于接收请求报文;
检测模块,用于根据所述请求报文的报文头数据中的一项或多项信息,对所述请求报文进行检测,得到检测结果;
第一确定模块,用于若所述检测结果指示所述请求报文不符合白名单条件,则当所述报文头数据中的源端口号属于已知攻击类型对应的源端口号集合时,确定攻击目标为本端,所述白名单条件包括非攻击报文对应的条件;
第二确定模块,用于若所述报文头数据中的源端口号不属于已知攻击类型对应的源端口号集合,则当所述请求报文中的有效载荷数据属于已知攻击类型对应的有效载荷数据集合时,将所述报文头数据中的源互联网协议IP地址对应的节点确定为所述攻击目标。
7.如权利要求6所述的装置,其特征在于,所述第二确定模块还用于:
当所述请求报文中的有效载荷数据不属于已知攻击类型对应的有效载荷数据集合时,确定所述请求报文为扫描报文;
根据所述报文头数据中的目的端口号,确定所述扫描报文对应的反馈报文;
向所述报文头数据中的源IP地址对应的节点发送所述反馈报文。
8.如权利要求7所述的装置,其特征在于,所述第二确定模块用于:
当所述报文头数据中的目的端口号属于已知攻击类型对应的目的端口号集合时,获取所述已知攻击类型对应的报文,将获取的报文作为所述反馈报文;
当所述报文头数据中的目的端口号不属于已知攻击类型对应的目的端口号集合时,构造长度大于长度阈值的报文,将构造的报文作为所述反馈报文。
9.一种设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或所述指令集由所述处理器加载并执行以实现如权利要求1至5任一所述的确定攻击目标的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或所述指令集由处理器加载并执行以实现如权利要求1至5任一所述的确定攻击目标的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911181577.6A CN110740144B (zh) | 2019-11-27 | 2019-11-27 | 确定攻击目标的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911181577.6A CN110740144B (zh) | 2019-11-27 | 2019-11-27 | 确定攻击目标的方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110740144A true CN110740144A (zh) | 2020-01-31 |
| CN110740144B CN110740144B (zh) | 2022-09-16 |
Family
ID=69273872
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911181577.6A Active CN110740144B (zh) | 2019-11-27 | 2019-11-27 | 确定攻击目标的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110740144B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351002A (zh) * | 2020-10-21 | 2021-02-09 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112953895A (zh) * | 2021-01-26 | 2021-06-11 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
| CN114095274A (zh) * | 2021-12-10 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种攻击研判方法及装置 |
| CN115150187B (zh) * | 2022-07-28 | 2024-04-26 | 中汽创智科技有限公司 | 车载总线报文安全检测方法、装置、车载终端及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070289013A1 (en) * | 2006-06-08 | 2007-12-13 | Keng Leng Albert Lim | Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms |
| CN101170402A (zh) * | 2007-11-08 | 2008-04-30 | 华为技术有限公司 | 一种采用网流技术防御tcp攻击的方法和系统 |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
| CN106534100A (zh) * | 2016-11-07 | 2017-03-22 | 深圳市楠菲微电子有限公司 | 交换机芯片中基于自定义字段分布式攻击检测方法及装置 |
| CN108737344A (zh) * | 2017-04-20 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种网络攻击防护方法和装置 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN108924163A (zh) * | 2018-08-14 | 2018-11-30 | 成都信息工程大学 | 基于无监督学习的攻击者画像方法及系统 |
| CN109587117A (zh) * | 2018-11-09 | 2019-04-05 | 杭州安恒信息技术股份有限公司 | 一种全网udp端口扫描的防重放攻击方法 |
| CN109802937A (zh) * | 2018-11-30 | 2019-05-24 | 浙江远望信息股份有限公司 | 一种发现对智能终端设备tcp下ip欺骗攻击的方法 |
-
2019
- 2019-11-27 CN CN201911181577.6A patent/CN110740144B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070289013A1 (en) * | 2006-06-08 | 2007-12-13 | Keng Leng Albert Lim | Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms |
| CN101170402A (zh) * | 2007-11-08 | 2008-04-30 | 华为技术有限公司 | 一种采用网流技术防御tcp攻击的方法和系统 |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
| CN106534100A (zh) * | 2016-11-07 | 2017-03-22 | 深圳市楠菲微电子有限公司 | 交换机芯片中基于自定义字段分布式攻击检测方法及装置 |
| CN108737344A (zh) * | 2017-04-20 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种网络攻击防护方法和装置 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN108924163A (zh) * | 2018-08-14 | 2018-11-30 | 成都信息工程大学 | 基于无监督学习的攻击者画像方法及系统 |
| CN109587117A (zh) * | 2018-11-09 | 2019-04-05 | 杭州安恒信息技术股份有限公司 | 一种全网udp端口扫描的防重放攻击方法 |
| CN109802937A (zh) * | 2018-11-30 | 2019-05-24 | 浙江远望信息股份有限公司 | 一种发现对智能终端设备tcp下ip欺骗攻击的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351002A (zh) * | 2020-10-21 | 2021-02-09 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112351002B (zh) * | 2020-10-21 | 2022-04-26 | 新华三信息安全技术有限公司 | 一种报文检测方法、装置及设备 |
| CN112953895A (zh) * | 2021-01-26 | 2021-06-11 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
| CN114095274A (zh) * | 2021-12-10 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种攻击研判方法及装置 |
| CN114095274B (zh) * | 2021-12-10 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种攻击研判方法及装置 |
| CN115150187B (zh) * | 2022-07-28 | 2024-04-26 | 中汽创智科技有限公司 | 车载总线报文安全检测方法、装置、车载终端及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110740144B (zh) | 2022-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| US11070569B2 (en) | Detecting outlier pairs of scanned ports | |
| US9762546B2 (en) | Multi-connection system and method for service using internet protocol | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US11770397B2 (en) | Malicious port scan detection using source profiles | |
| US20220046042A1 (en) | Scanner probe detection | |
| US11770396B2 (en) | Port scan detection using destination profiles | |
| CN106656966B (zh) | 一种拦截业务处理请求的方法和装置 | |
| CN111147524B (zh) | 报文发送端的识别方法、装置和计算机可读存储介质 | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| EP3918762B1 (en) | Port scan detection | |
| CN118041648A (zh) | 一种基于自适应探测的工控漏洞扫描方法及其系统 | |
| CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及系统 | |
| US10015179B2 (en) | Interrogating malware | |
| KR102607050B1 (ko) | 압축 패킷의 보안 처리 방법 및 이를 이용하는 보안 지원 장치 | |
| US8995271B2 (en) | Communications flow analysis | |
| US20240022583A1 (en) | Data Collection Management | |
| CN115643079A (zh) | 数据包安全风险检测方法、装置、电子设备和存储介质 | |
| CN116318849A (zh) | 资产识别方法、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40020852 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |