本發(fā)明專利技術(shù)提供一種網(wǎng)絡(luò)攻擊行為的確定方法和裝置,該方法包括:IPS設(shè)備在檢測(cè)到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略;如果是,則IPS設(shè)備將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描;IPS設(shè)備接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。通過(guò)本發(fā)明專利技術(shù)的技術(shù)方案,通過(guò)將IPS設(shè)備的攻擊信息以及漏洞掃描設(shè)備的漏洞掃描結(jié)果進(jìn)行聯(lián)動(dòng),對(duì)于檢測(cè)出的攻擊,IPS設(shè)備能夠檢測(cè)到攻擊行為的存在,而且也能夠檢測(cè)到這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞,更加準(zhǔn)確的過(guò)濾攻擊。
【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及通信
,尤其是一種網(wǎng)絡(luò)攻擊行為的確定方法和裝置。
技術(shù)介紹
隨著網(wǎng)絡(luò)應(yīng)用越來(lái)越深入人們的生活和工作,各種網(wǎng)絡(luò)攻擊也層出不窮,每時(shí)每刻都可能面臨著新的網(wǎng)絡(luò)攻擊手段,尤其是一些重要的網(wǎng)絡(luò)流量節(jié)點(diǎn),如大型企業(yè)單位、政府機(jī)構(gòu)、運(yùn)營(yíng)商等,每時(shí)每刻都面臨著大量的網(wǎng)絡(luò)攻擊威脅。在這一情況下,對(duì)IPS(Intrusion Prevention System,入侵防御系統(tǒng))設(shè)備提出了更高要求。IPS設(shè)備是網(wǎng)絡(luò)安全設(shè)施,是對(duì)防病毒軟件和防火墻的補(bǔ)充,是能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的網(wǎng)絡(luò)安全設(shè)備,能夠即時(shí)中斷、調(diào)整或隔離不正常或具有傷害性的網(wǎng)絡(luò)資料傳輸行為。在IPS設(shè)備檢測(cè)出的網(wǎng)絡(luò)攻擊中,經(jīng)常會(huì)出現(xiàn)大量無(wú)效攻擊,例如針對(duì)服務(wù)器的XSS(Cross Site Scripting,跨站腳本攻擊)攻擊或者SQL(Structured Query Language,結(jié)構(gòu)化查詢語(yǔ)言)注入攻擊。其中,XSS攻擊是指:惡意攻擊者向Web(互聯(lián)網(wǎng))頁(yè)面中,插入惡意的HTML(Hyper Text Markup Language,超級(jí)文本標(biāo)記語(yǔ)言)代碼,當(dāng)用戶瀏覽該Web頁(yè)面時(shí),嵌入在其中的HTML代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的。SQL注入攻擊是指:通過(guò)將SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令;具體的,SQL注入攻擊是利用現(xiàn)有的應(yīng)用程序,將(惡意)的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力,可以通過(guò)在Web表單中輸入(惡意)SQL語(yǔ)句,得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫(kù),而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語(yǔ)句。對(duì)于檢測(cè)出的攻擊,IPS設(shè)備只能檢測(cè)到攻擊行為的存在,并不能知道這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞。當(dāng)管理員看到攻擊日志后,同樣無(wú)法分辨出這些攻擊是否真的是潛在威脅,通常只能向服務(wù)器廠商的專業(yè)維護(hù)人員求證,或?qū)Ψ?wù)器做檢測(cè),這個(gè)過(guò)程會(huì)消耗大量人力物力,效率低下。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)提供一種網(wǎng)絡(luò)攻擊行為的確定方法,所述方法包括以下步驟:入侵防御系統(tǒng)IPS設(shè)備在檢測(cè)到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略;如果是,則所述IPS設(shè)備將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描;所述IPS設(shè)備接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為,具體包括:當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上存在漏洞時(shí),所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在;當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上不存在漏洞時(shí),所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在。所述IPS設(shè)備確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在之后,所述方法進(jìn)一步包括:所述IPS設(shè)備提升所述服務(wù)器的告警級(jí)別,并利用提升之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)所述服務(wù)器進(jìn)行安全處理。所述漏洞掃描聯(lián)動(dòng)策略的參數(shù)具體包括以下之一或者任意組合:IP地址、端口、協(xié)議、時(shí)間段、用戶名、攻擊頻率、操作系統(tǒng)類(lèi)型、應(yīng)用軟件類(lèi)型、IT資源類(lèi)型。所述漏洞掃描參考信息具體包括:所述服務(wù)器的IP地址、操作系統(tǒng)類(lèi)型和/或應(yīng)用軟件類(lèi)型。本專利技術(shù)提供一種網(wǎng)絡(luò)攻擊行為的確定裝置,所述網(wǎng)絡(luò)攻擊行為的確定裝
置應(yīng)用在入侵防御系統(tǒng)IPS設(shè)備上,所述網(wǎng)絡(luò)攻擊行為的確定裝置包括:判斷模塊,用于在檢測(cè)到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略;發(fā)送模塊,用于當(dāng)判斷結(jié)果為是時(shí),將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描;確定模塊,用于接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。所述確定模塊,具體用于在利用攻擊信息和漏洞掃描結(jié)果確定針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊行為的過(guò)程中,當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上存在漏洞時(shí),利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在;當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上不存在漏洞時(shí),利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在。所述確定模塊,進(jìn)一步用于在確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在之后,提升所述服務(wù)器的告警級(jí)別,并利用提升之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)所述服務(wù)器進(jìn)行安全處理。所述漏洞掃描聯(lián)動(dòng)策略的參數(shù)具體包括以下之一或者任意組合:IP地址、端口、協(xié)議、時(shí)間段、用戶名、攻擊頻率、操作系統(tǒng)類(lèi)型、應(yīng)用軟件類(lèi)型、IT資源類(lèi)型。所述漏洞掃描參考信息包括:所述服務(wù)器的IP地址、操作系統(tǒng)類(lèi)型和/或應(yīng)用軟件類(lèi)型。基于上述技術(shù)方案,本專利技術(shù)實(shí)施例中,通過(guò)將IPS設(shè)備的攻擊信息以及漏洞掃描設(shè)備的漏洞掃描結(jié)果進(jìn)行聯(lián)動(dòng),對(duì)于檢測(cè)出的攻擊,IPS設(shè)備能夠檢測(cè)到攻擊行為的存在,而且也能夠檢測(cè)到這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞,更加準(zhǔn)確的過(guò)濾攻擊。在上述方式中,以IPS設(shè)備和漏洞掃描設(shè)備之間的自動(dòng)聯(lián)動(dòng)機(jī)制,取代了靠人工手動(dòng)分析網(wǎng)絡(luò)攻擊信息,再做服務(wù)器漏洞分析,然后手工調(diào)整防御策略的方式,極大的提高了對(duì)攻擊分析的效率,提升了對(duì)內(nèi)部服務(wù)器的防護(hù)時(shí)效性,同時(shí)也節(jié)約了大量的人工成本。附圖說(shuō)明圖1是本專利技術(shù)一種實(shí)施方式中的網(wǎng)絡(luò)攻擊行為的確定方法的流程圖;圖2是本專利技術(shù)一種實(shí)施方式中的IPS設(shè)備的硬件結(jié)構(gòu)圖;圖3是本專利技術(shù)一種實(shí)施方式中的網(wǎng)絡(luò)攻擊行為的確定裝置的結(jié)構(gòu)圖。具體實(shí)施方式針對(duì)現(xiàn)有技術(shù)中存在的問(wèn)題,本專利技術(shù)實(shí)施例中提出一種網(wǎng)絡(luò)攻擊行為的確定方法,該方法應(yīng)用于包括IPS設(shè)備和漏洞掃描設(shè)備的系統(tǒng)中。其中,IPS設(shè)備通過(guò)配置的大量攻擊防御規(guī)則,檢測(cè)發(fā)送給服務(wù)器的數(shù)據(jù)報(bào)文中是否存在異常或者攻擊載荷,并在數(shù)據(jù)報(bào)文中存在異常或者攻擊載荷時(shí),拒絕將數(shù)據(jù)報(bào)文發(fā)送給服務(wù)器,在數(shù)據(jù)報(bào)文中不存在異常或者攻擊載荷時(shí),允許將數(shù)據(jù)報(bào)文發(fā)送給服務(wù)器。漏洞掃描設(shè)備通過(guò)進(jìn)行漏洞掃描,可以明確知道服務(wù)器所使用的操作系統(tǒng)、應(yīng)用程序等存在一些什么樣的漏洞。在上述應(yīng)用場(chǎng)景下,如圖1所示,該網(wǎng)絡(luò)攻擊行為的確定方法具體可以包括以下步驟:步驟101,IPS設(shè)備在檢測(cè)到針對(duì)服務(wù)器的攻擊信息之后,判斷該攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略。如果是,則執(zhí)行步驟102。IPS設(shè)備在接收到數(shù)據(jù)報(bào)文時(shí),可以檢測(cè)到發(fā)送給服務(wù)器的數(shù)據(jù)報(bào)文中是否存在異常或者攻擊載荷,如果是,則可以檢測(cè)到針對(duì)服務(wù)器的攻擊信息。例如,當(dāng)數(shù)據(jù)報(bào)文是針對(duì)服務(wù)器的XSS攻擊或者SQL注入攻擊時(shí),IPS設(shè)備可以檢測(cè)出針對(duì)服務(wù)器的XSS攻擊或者SQL注入攻擊。此時(shí),IPS設(shè)備只能檢測(cè)到攻擊行為的存在,不能知道這些攻擊是否對(duì)服務(wù)器產(chǎn)生威脅或者破壞。本專利技術(shù)實(shí)施例中,IPS設(shè)備在檢測(cè)到針對(duì)服務(wù)器的攻擊時(shí),IPS設(shè)備可以直接獲得針對(duì)該服務(wù)器的攻擊信息,該攻擊信息具體可以包括但不限于以下之一或者任意組合:IP地址(如服務(wù)器的IP地址,其為數(shù)據(jù)報(bào)文的目的IP地址)、端口(如數(shù)據(jù)報(bào)文的目的端口)、協(xié)議(如數(shù)據(jù)報(bào)文中攜帶的協(xié)議類(lèi)型)本文檔來(lái)自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
一種網(wǎng)絡(luò)攻擊行為的確定方法,其特征在于,所述方法包括以下步驟:入侵防御系統(tǒng)IPS設(shè)備在檢測(cè)到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略;如果是,則所述IPS設(shè)備將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描;所述IPS設(shè)備接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。
【技術(shù)特征摘要】
1.一種網(wǎng)絡(luò)攻擊行為的確定方法,其特征在于,所述方法包括以下步驟:入侵防御系統(tǒng)IPS設(shè)備在檢測(cè)到針對(duì)服務(wù)器的攻擊信息之后,判斷所述攻擊信息是否符合預(yù)先配置的漏洞掃描聯(lián)動(dòng)策略;如果是,則所述IPS設(shè)備將漏洞掃描參考信息發(fā)送給漏洞掃描設(shè)備,由所述漏洞掃描設(shè)備利用所述漏洞掃描參考信息進(jìn)行漏洞掃描;所述IPS設(shè)備接收所述漏洞掃描設(shè)備返回的漏洞掃描結(jié)果,并利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為,具體包括:當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上存在漏洞時(shí),所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在;當(dāng)所述漏洞掃描結(jié)果為所述服務(wù)器上不存在漏洞時(shí),所述IPS設(shè)備利用所述攻擊信息和所述漏洞掃描結(jié)果,確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為不存在。3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述IPS設(shè)備確定針對(duì)所述服務(wù)器的網(wǎng)絡(luò)攻擊行為存在之后,所述方法進(jìn)一步包括:所述IPS設(shè)備提升所述服務(wù)器的告警級(jí)別,并利用提升之后的告警級(jí)別所對(duì)應(yīng)的告警策略,對(duì)所述服務(wù)器進(jìn)行安全處理。4.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法,其特征在于,所述漏洞掃描聯(lián)動(dòng)策略的參數(shù)具體包括以下之一或者任意組合:IP地址、端口、協(xié)議、時(shí)間段、用戶名、攻擊頻率、操作系統(tǒng)類(lèi)型、應(yīng)用軟件類(lèi)型、IT資源類(lèi)型。5.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法,其特征在于,所述漏洞掃描參考信息具體包括:所述服務(wù)器的IP地址、操作系統(tǒng)類(lèi)型和/或應(yīng)用軟件類(lèi)型。6.一種網(wǎng)絡(luò)...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:張寧,翟世興,
申請(qǐng)(專利權(quán))人:杭州迪普科技有限公司,
類(lèi)型:發(fā)明
國(guó)別省市:浙江;33
還沒(méi)有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。