網(wǎng)絡(luò)攻擊檢測(cè)方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于無線通信技術(shù)領(lǐng)域��,尤其是涉及一種網(wǎng)絡(luò)攻擊檢測(cè)方法和設(shè)備��。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)攻擊是影響網(wǎng)絡(luò)安全的一個(gè)重要隱患���,為了保證網(wǎng)絡(luò)安全運(yùn)行,需要及時(shí)檢測(cè)出網(wǎng)絡(luò)中存在的攻擊行為����。
[0003]現(xiàn)有的網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)都是使用特征庫(kù)中的正則表達(dá)式來匹配諸如http請(qǐng)求等網(wǎng)絡(luò)傳輸數(shù)據(jù),以此判定傳輸數(shù)據(jù)中是否存在攻擊。
[0004]這種方式需要基于大量的正則表達(dá)式特征庫(kù)���,但該特征庫(kù)中經(jīng)常會(huì)出現(xiàn)盲點(diǎn)��,而且特征庫(kù)中的特征經(jīng)常會(huì)出現(xiàn)前后關(guān)聯(lián)的情況��,導(dǎo)致添加新特征人工成本更高�����,甚至可能出現(xiàn)新特征影響舊特征���,致使舊特征失效的情況,從而無法保證網(wǎng)絡(luò)攻擊檢測(cè)的準(zhǔn)確可靠���。
【發(fā)明內(nèi)容】
[0005]針對(duì)上述存在的問題���,本發(fā)明提供一種網(wǎng)絡(luò)攻擊檢測(cè)方法和設(shè)備,用以提高網(wǎng)絡(luò)攻擊檢測(cè)的準(zhǔn)確性�。
[0006]本發(fā)明提供了一種網(wǎng)絡(luò)攻擊檢測(cè)方法,包括:
[0007]獲取待檢測(cè)字符串���,并對(duì)所述待檢測(cè)字符串進(jìn)行分詞處理�,得到所述待檢測(cè)字符串中包含的各單詞;
[0008]根據(jù)預(yù)設(shè)元組構(gòu)成規(guī)則對(duì)所述各單詞進(jìn)行元組生成處理�,以確定與所述待檢測(cè)字符串對(duì)應(yīng)的各元組;
[0009]確定預(yù)先獲得的攻擊模型數(shù)據(jù)庫(kù)中�����,是否存在與所述各元組對(duì)應(yīng)的模型元組��,是否存在與所述各單詞中的第一個(gè)單詞對(duì)應(yīng)的模型單詞���,所述攻擊模型數(shù)據(jù)庫(kù)中存儲(chǔ)有各模型元組以及每個(gè)模型元組的出現(xiàn)概率,各模型單詞以及每個(gè)模型單詞的出現(xiàn)概率���;
[0010]若存在�,則獲取各對(duì)應(yīng)模型元組以及對(duì)應(yīng)模型單詞的出現(xiàn)概率����,并根據(jù)所述各對(duì)應(yīng)模型元組的出現(xiàn)概率以及各對(duì)應(yīng)模型單詞的出現(xiàn)概率,確定所述待檢測(cè)字符串對(duì)應(yīng)的攻擊概率�;
[0011]若所述攻擊概率大于或等于預(yù)設(shè)概率閾值,則確定所述待檢測(cè)字符串是具有攻擊行為的字符串���。
[0012]本發(fā)明提供了一種網(wǎng)絡(luò)攻擊檢測(cè)設(shè)備���,包括:
[0013]第一獲取模塊�,用于獲取待檢測(cè)字符串���,并對(duì)所述待檢測(cè)字符串進(jìn)行分詞處理�,得到所述待檢測(cè)字符串中包含的各單詞�����;
[0014]第一確定模塊��,用于根據(jù)預(yù)設(shè)元組構(gòu)成規(guī)則對(duì)所述各單詞進(jìn)行元組生成處理����,以確定與所述待檢測(cè)字符串對(duì)應(yīng)的各元組;
[0015]第二確定模塊�����,用于確定預(yù)先獲得的攻擊模型數(shù)據(jù)庫(kù)中�����,是否存在與所述各元組對(duì)應(yīng)的模型元組���,是否存在與所述各單詞中的第一個(gè)單詞對(duì)應(yīng)的模型單詞�����,所述攻擊模型數(shù)據(jù)庫(kù)中存儲(chǔ)有各模型元組以及每個(gè)模型元組的出現(xiàn)概率���,各模型單詞以及每個(gè)模型單詞的出現(xiàn)概率�����;
[0016]第三確定模塊,用于在所述第二確定模塊確定存在各對(duì)應(yīng)模型元組和對(duì)應(yīng)模型單詞時(shí)����,獲取各對(duì)應(yīng)模型元組以及對(duì)應(yīng)模型單詞的出現(xiàn)概率,并根據(jù)所述各對(duì)應(yīng)模型元組的出現(xiàn)概率以及各對(duì)應(yīng)模型單詞的出現(xiàn)概率�,確定所述待檢測(cè)字符串對(duì)應(yīng)的攻擊概率;
[0017]第四確定模塊����,用于在所述攻擊概率大于或等于預(yù)設(shè)概率閾值時(shí),確定所述待檢測(cè)字符串是具有攻擊行為的字符串�����。
[0018]本發(fā)明提供的網(wǎng)絡(luò)攻擊檢測(cè)方法和設(shè)備,針對(duì)當(dāng)前待檢測(cè)字符串即網(wǎng)絡(luò)傳輸數(shù)據(jù)��,在確定其是否具有網(wǎng)絡(luò)攻擊行為時(shí)����,首先對(duì)其進(jìn)行分詞、元組構(gòu)成處理���,得到對(duì)應(yīng)的各元組����;進(jìn)而����,在預(yù)先獲得的存儲(chǔ)有各模型元組及其對(duì)應(yīng)出現(xiàn)概率和各模型單詞及其對(duì)應(yīng)出現(xiàn)概率的攻擊模型數(shù)據(jù)庫(kù)中,匹配與得到的各元組對(duì)應(yīng)的模型元組和第一個(gè)單詞�����,從而根據(jù)對(duì)應(yīng)模型元組和對(duì)應(yīng)模型單詞的出現(xiàn)概率確定出該待檢測(cè)字符串的攻擊概率�,如果攻擊概率大于一定閾值,則確定該字符串為具有攻擊行為的字符串��。由于攻擊模型數(shù)據(jù)庫(kù)中存儲(chǔ)的各模型單詞和模型元組的出現(xiàn)概率是基于對(duì)大量攻擊樣本統(tǒng)計(jì)分析獲得的����,能夠體現(xiàn)出攻擊樣本的統(tǒng)計(jì)特征�,從而�,基于該統(tǒng)計(jì)特征能夠使得待檢測(cè)字符串的攻擊行為檢測(cè)結(jié)果更加準(zhǔn)確。
【附圖說明】
[0019]圖1為本發(fā)明網(wǎng)絡(luò)攻擊檢測(cè)方法實(shí)施例一的流程圖����;
[0020]圖2為本發(fā)明網(wǎng)絡(luò)攻擊檢測(cè)方法實(shí)施例二的流程圖;
[0021]圖3為本發(fā)明網(wǎng)絡(luò)攻擊檢測(cè)設(shè)備實(shí)施例一的結(jié)構(gòu)示意圖��;
[0022]圖4為本發(fā)明網(wǎng)絡(luò)攻擊檢測(cè)設(shè)備實(shí)施例二的結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0023]圖1為本發(fā)明網(wǎng)絡(luò)攻擊檢測(cè)方法實(shí)施例一的流程圖����,如圖1所示���,該方法包括如下步驟:
[0024]步驟101�����、獲取待檢測(cè)字符串�����,并對(duì)所述待檢測(cè)字符串進(jìn)行分詞處理��,得到所述待檢測(cè)字符串中包含的各單詞�����。
[0025]本實(shí)施例中���,上述待檢測(cè)字符串是指比如HTTP請(qǐng)求消息等網(wǎng)絡(luò)傳輸數(shù)據(jù)���。基于語(yǔ)義以及字符識(shí)別等方式���,對(duì)待檢測(cè)字符串進(jìn)行分詞處理�,得到其中包含的各單詞����。
[0026]值得說明的是,對(duì)于一條待檢測(cè)字符串來說����,其并非完全由英文單詞組成的�����,還包含數(shù)字�����、符號(hào)等組成部分���,本實(shí)施例中,將這些組成部分統(tǒng)稱為單詞���。
[0027]步驟102、根據(jù)預(yù)設(shè)元組構(gòu)成規(guī)則對(duì)所述各單詞進(jìn)行元組生成處理���,以確定與所述待檢測(cè)字符串對(duì)應(yīng)的各元組。
[0028]上述預(yù)設(shè)元組構(gòu)成規(guī)則中比如規(guī)定了元組大小即每個(gè)元組中包含的單詞數(shù)量�����,以及每個(gè)元組內(nèi)各單詞的位置關(guān)系�����。
[0029]舉例來說����,假設(shè)待檢測(cè)字符串S的分詞結(jié)果是依次包括:A�����、B、C三個(gè)單詞�。并且假設(shè)元組構(gòu)成規(guī)則規(guī)定元組的大小為2即每個(gè)元組包含2個(gè)單詞����,且依次針對(duì)每個(gè)單詞來說���,其對(duì)應(yīng)的元組由自身以及其后相鄰的一個(gè)單詞構(gòu)成���。那么,上述待檢測(cè)字符串S對(duì)應(yīng)的元組包括(A, B)和(B, C)這兩個(gè)元組。
[0030]步驟103�、確定預(yù)先獲得的攻擊模型數(shù)據(jù)庫(kù)中��,是否存在與所述各元組對(duì)應(yīng)的模型元組,是否存在與所述各單詞中的第一個(gè)單詞對(duì)應(yīng)的模型單詞�,若存在��,則執(zhí)行步驟104��,否貝IJ���,結(jié)束。
[0031]其中���,所述攻擊模型數(shù)據(jù)庫(kù)中存儲(chǔ)有各模型元組以及每個(gè)模型元組的出現(xiàn)概率����,各模型單詞以及每個(gè)模型單詞的出現(xiàn)概率�����。
[0032]步驟104、獲取各對(duì)應(yīng)模型元組以及對(duì)應(yīng)模型單詞的出現(xiàn)概率���,并根據(jù)所述各對(duì)應(yīng)模型元組的出現(xiàn)概率以及各對(duì)應(yīng)模型單詞的出現(xiàn)概率����,確定所述待檢測(cè)字符串對(duì)應(yīng)的攻擊概率���。
[0033]步驟105、若所述攻擊概率大于或等于預(yù)設(shè)概率閾值�,則確定所述待檢測(cè)字符串是具有攻擊行為的字符串���。
[0034]本實(shí)施例中,上述攻擊模型數(shù)據(jù)庫(kù)是預(yù)先建立的��,是通過對(duì)預(yù)先獲得的大量攻擊樣本字符串進(jìn)行統(tǒng)計(jì)分析后獲得的��,具體來說�����,攻擊模型數(shù)據(jù)庫(kù)中存儲(chǔ)的各模型元組以及每個(gè)模型元組的出現(xiàn)概率����,各模型單詞以及每個(gè)模型單詞的出現(xiàn)概率����,都是對(duì)大量攻擊樣本字符串統(tǒng)計(jì)分析獲得的。
[0035]其中����,各模型單詞包括對(duì)大量攻擊樣本字符串分別分詞處理后得到的各單詞;各模型元組包括對(duì)每個(gè)攻擊樣本字符串中包含的各模型單詞進(jìn)行組建元組后得到的各元組���。
[0036]具體的攻擊模型數(shù)據(jù)庫(kù)的建立過程將在后續(xù)實(shí)施例中描述�����。本實(shí)施例中,僅涉及攻擊模型數(shù)據(jù)庫(kù)的使用過程����。
[0037]具體地�,在獲得了待檢測(cè)字符串中包含的各單詞以及各元組之后���,查詢攻擊模型數(shù)據(jù)庫(kù)����,以確定攻擊模型數(shù)據(jù)庫(kù)中是否存在與各元組對(duì)應(yīng)的模型元組��,是否存在與待檢測(cè)字符串分詞處理后得到的第一個(gè)單詞對(duì)應(yīng)的模型單詞�。如果存在����,則分別獲得對(duì)應(yīng)的出現(xiàn)概率。
[0038]其中���,之所以是確定是否存在與待檢測(cè)字符串分詞處理后得到的第一個(gè)單詞對(duì)應(yīng)的模型單詞����,是由待檢測(cè)字符串的攻擊概率計(jì)算公式?jīng)Q定的�,下面會(huì)介紹��。
[0039]在得到各對(duì)應(yīng)模型元組的出現(xiàn)概率以及與第一個(gè)單詞對(duì)應(yīng)的模型單詞的出現(xiàn)概率之后��,可以通過如下方式得到待檢測(cè)字符串對(duì)應(yīng)的攻擊概率:
[0040]將各對(duì)應(yīng)攻擊模型元組的出現(xiàn)概率和對(duì)應(yīng)模型單詞的出現(xiàn)概率加和����。
[0041]仍以上述舉例來說�,待檢測(cè)字符串S分詞處理后得到的第一個(gè)單詞為A。假設(shè)攻擊模型數(shù)據(jù)庫(kù)中存在上述單詞A����,以及元組(A���,B)和元組(B�����,C),且A的出現(xiàn)概率P(A) = pi,元組(A, B)的出現(xiàn)概率P (A| B) =p2����,元組(B, C)的出現(xiàn)概率P (B |C) = p3�����。
[0042]從而�,待檢測(cè)字符串S 的攻擊概率 P (S) =P (A) +P (A | B) +P (B | C) = pl+p2+p3。
[0043]進(jìn)而��,如果(pl+p2+p3)大于預(yù)設(shè)概率閾值p0,則說明該待檢測(cè)字符串S中具有很多具有攻擊特征的元組和單詞����,此時(shí)�����,確定待檢測(cè)字符串S是具有攻擊行為的字符串。
[0044]本實(shí)施例中�����,針對(duì)當(dāng)