[发明专利]网络攻击的检测方法及装置

说明书

技术领域

本发明涉及互联网领域，具体而言，涉及一种网络攻击的检测方法及装置。

背景技术

万维网(WEB)攻击是指利用超文本传输协议(HTTP)发送恶意构造的HTTP请求，用以“欺骗”万维网服务器(webserver)偏离正常的执行逻辑。

WEB攻击是互联网内最为常见的一种HTTP请求，几乎所有的网站每天都会遭受到不同程度的WEB攻击，但这并不意味着所有的WEB攻击都会成功，其原因在于：WEB攻击是否能够成功取决于webserver是否存在相应的缺陷或者漏洞。例如：对一个只负责返回静态页面(超文本标记语言(HTML)页面、图片等)并且未使用任何数据库技术的webserver而言，任何的结构化查询语言(SQL)注入攻击显然都不会成功。

目前，相关技术中所采用的WEB攻击检测方法是对HTTP请求方向的流量执行合法性检测，因为HTTP请求内容是攻击者可以任意构造的，其也是攻击开始的源头，这种检测思路是从攻击者的角度来设计的，即，认为进入webserver的流量默认是不可信任的，都必须要经过合法性检查。然而，对于webserver响应方向的流量则默认为是可信任的、安全可靠的，进而无需进行任何的合法性检测。由于几乎所有的web攻击都存在攻击失败与攻击成功两种情形，对此，webserver会有不同的响应，攻击者也正是根据webserver的不同响应来判断是否攻击成功。

上述检测方法通常可以包括如下几个步骤：

步骤一、预先对HTTP请求协议各个头字段制定攻击检测规则；

步骤二、对于接收到HTTP请求协议进行解析，查找所有需要进行检测的请求内容；

步骤三、比对攻击检测规则和各个协议字段的请求内容，如果发现请求内容与攻击检测规则匹配成功，则认为该HTTP请求包含攻击特性，进而执行攻击告警或直接阻断该HTTP请求的操作。

然而，上述只针对HTTP请求方向的流量做合法性检测的方法却存在着如下缺陷：该解决方案只能够单方面地判断HTTP请求是否包含有攻击信息，而并未考虑被攻击对 象webserver的响应，换言之，该解决方案并未考虑到webserver对这些攻击是否本身就具有免疫功能。因此，这种攻击检测方式容易导致大量的攻击告警或拦截，并且这些告警或拦截的攻击中大部分都是无效的攻击，从而降低了WEB攻击检测的精准度和有效性。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种网络攻击的检测方法及装置，以至少解决相关技术中所采用的单向网络攻击检测方法的准确性较低的技术问题。

根据本发明实施例的一个方面，提供了一种网络攻击的检测方法，包括：

接收来自于发送端的网络请求；在采用攻击检测规则集合确定网络请求的类型为攻击请求的情况下，将网络请求转发至接收端，并获取与网络请求对应的网络响应；采用攻击检测规则集合对网络响应进行检测，并根据检测结果选取对网络响应的处理方式。

进一步地，在将网络请求转发至接收端之前，还包括：对网络请求的请求头中所包含的一个或多个字段进行解析，获取待检测的请求内容；如果攻击检测规则集合判断待检测的请求内容与攻击检测规则集合中的一个或多个检测规则相匹配，则确定网络请求的类型为攻击请求。

进一步地，采用攻击检测规则集合对网络响应进行检测，并根据检测结果选取对网络响应的处理方式包括：对网络响应的响应头中所包含的一个或多个字段进行解析，获取待检测的响应内容；根据攻击检测规则集合判断待检测的响应内容是否与攻击检测规则集合中的一个或多个检测规则相匹配；如果待检测的响应内容与一个或多个检测规则相匹配，则阻止网络响应返回至发送端；如果待检测的响应内容未与一个或多个检测规则相匹配，则向发送端返回网络响应。

进一步地，在阻止网络响应返回至发送端之后，还包括：向接收端发送告警提示信息，其中，告警提示信息用于提示发送端当前存在网络攻击行为和/或提示接收端对发送端进行锁定。

进一步地，上述攻击检测规则集合是根据当前网络内已经存在的多种类型的攻击请求的攻击特性以及与每种类型的攻击请求对应的攻击响应的响应特性预先生成的。

进一步地，上述网络请求的类型包括以下之一：超文本传输协议请求、文件传输协议请求、简单邮件传输协议请求。

根据本发明实施例的另一方面，还提供了一种网络攻击的检测装置，包括：