本申請涉及計算機技術領域，尤其涉及一種網(wǎng)絡攻擊的警示方法及裝置。

背景技術：

盡管網(wǎng)絡及系統(tǒng)層的漏洞正在逐漸減少，而且Web攻防技術也在日趨成熟，但是，在利益的驅使下，黑客們對網(wǎng)絡系統(tǒng)的攻擊卻從來沒有停止過，如何對黑客們發(fā)起的網(wǎng)絡攻擊進行準確警示成為系統(tǒng)安全管理和運維工作的重要部分。

通常，根據(jù)不同漏洞對網(wǎng)絡系統(tǒng)或用戶的影響，可以將漏洞劃分成多個不同的危險等級，例如，低危漏洞、中危漏洞和高危漏洞等，其中，低危漏洞的危險等級最低，高危漏洞的危險等級最高，中危漏洞的危險等級大于低危漏洞的危險等級，且小于高危漏洞的危險等級，危險等級可以與對網(wǎng)絡系統(tǒng)或用戶的影響相關聯(lián)，例如，高危漏洞通常會引發(fā)用戶的高度敏感的數(shù)據(jù)(如支付賬戶的信息等)泄露等。為了能夠對網(wǎng)絡攻擊進行準確告警，人們采用的方式為：將網(wǎng)絡攻擊根據(jù)所觸發(fā)的漏洞的危險等級劃分成3個警示等級，即低危漏洞警示信號、中危漏洞警示信號和高危漏洞警示信號，通過不同的警示信號可以提示用戶關注基于不同危險等級的漏洞所觸發(fā)的網(wǎng)絡攻擊。

上述網(wǎng)絡攻擊的警示方式是根據(jù)漏洞的危險等級進行的，但是，當系統(tǒng)中存在的所有漏洞都已經(jīng)被相應的補丁程序修補后，如果當前出現(xiàn)基于高危漏洞所觸發(fā)的網(wǎng)絡攻擊，則系統(tǒng)仍然后輸出高危漏洞的警示信號，但是該網(wǎng)絡攻擊卻并不會成功，也即是，在系統(tǒng)無漏洞的情況下，使用高危的攻擊手段不一定會導致高危的后果，從而，容易產(chǎn)生網(wǎng)絡攻擊誤報的情況，降低網(wǎng)絡攻擊報警的有效性，使得用戶對系統(tǒng)的警示失去信任。

技術實現(xiàn)要素：

本申請實施例提供一種網(wǎng)絡攻擊的警示方法及裝置，用以解決容易產(chǎn)生網(wǎng)絡攻擊誤報的情況，從而使得網(wǎng)絡攻擊報警的有效性降低，以及安全管理和安全運維的效率較低的問題。

本申請實施例提供的一種網(wǎng)絡攻擊的警示方法，所述方法包括：

獲取當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包；

如果對所述網(wǎng)絡數(shù)據(jù)包進行網(wǎng)絡攻擊檢測后確定所述網(wǎng)絡數(shù)據(jù)包能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊，則獲取所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征；

根據(jù)所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征和所述網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容，輸出網(wǎng)絡攻擊警示信號。

可選地，所述根據(jù)所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征和所述網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容，輸出網(wǎng)絡攻擊警示信號，包括：

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述網(wǎng)絡攻擊特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊警示信號。

可選地，所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征包括漏洞掃描行為特征、漏洞觸發(fā)行為特征和系統(tǒng)受控行為特征，

所述如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述網(wǎng)絡攻擊特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊警示信號，包括：

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述漏洞掃描行為特征相應的數(shù)據(jù)內容，則輸出可疑攻擊提示信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述漏洞觸發(fā)行為特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊報警信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述系統(tǒng)受控行為特征相應的數(shù)據(jù)內容，則輸出系統(tǒng)受控報警信號。

可選地，所述漏洞觸發(fā)行為特征包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征，

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊報警信號，包括：

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述低危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出低危報警信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述中危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出中危報警信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述高危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出高危報警信號。

可選地，所述輸出網(wǎng)絡攻擊警示信號，包括：

發(fā)送網(wǎng)絡攻擊警示信息；或者，

輸出報警指示燈閃爍或點亮的控制指令。

本申請實施例提供的一種網(wǎng)絡攻擊的警示裝置，所述裝置包括：

數(shù)據(jù)包獲取模塊，用于獲取當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包；

網(wǎng)絡攻擊特征獲取模塊，用于如果對所述網(wǎng)絡數(shù)據(jù)包進行網(wǎng)絡攻擊檢測后確定所述網(wǎng)絡數(shù)據(jù)包能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊，則獲取所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征；

警示信號輸出模塊，用于根據(jù)所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征和所述網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容，輸出網(wǎng)絡攻擊警示信號。

可選地，所述警示信號輸出模塊，用于如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述網(wǎng)絡攻擊特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊警示信號。

可選地，所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征包括漏洞掃描行為特征、漏洞觸發(fā)行為特征和系統(tǒng)受控行為特征，

所述警示信號輸出模塊，用于：

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述漏洞掃描行為特征相應的數(shù)據(jù)內容，則輸出可疑攻擊提示信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述漏洞觸發(fā)行為特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊報警信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述系統(tǒng)受控行為特征相應的數(shù)據(jù)內容，則輸出系統(tǒng)受控報警信號。

可選地，所述漏洞觸發(fā)行為特征包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征，

所述警示信號輸出模塊，用于：

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述低危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出低危報警信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述中危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出中危報警信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述高危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出高危報警信號。

可選地，所述警示信號輸出模塊，用于發(fā)送網(wǎng)絡攻擊警示信息；或者，輸出報警指示燈閃爍或點亮的控制指令。

本申請實施例提供一種網(wǎng)絡攻擊的警示方法及裝置，通過對獲取的當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包進行網(wǎng)絡攻擊檢測，在確定該網(wǎng)絡數(shù)據(jù)包能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊后，獲取該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征，進而，根據(jù)該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征和該網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容，輸出網(wǎng)絡攻擊警示信號，這樣，通過對應用層的網(wǎng)絡數(shù)據(jù)包(即雙向數(shù)據(jù)流)的分析來確定網(wǎng)絡攻擊所造成的網(wǎng)絡影響，可以基于上述網(wǎng)絡攻擊的實際影響范圍進行網(wǎng)絡攻擊警示，減少網(wǎng)絡攻擊誤報情況的發(fā)生，從而可以提高網(wǎng)絡攻擊報警的有效性，使得安全管理和安全運維的效率更高。

附圖說明

此處所說明的附圖用來提供對本申請的進一步理解，構成本申請的一部分，本申請的示意性實施例及其說明用于解釋本申請，并不構成對本申請的不當限定。在附圖中：

圖1為本申請實施例提供的一種網(wǎng)絡攻擊的警示方法的流程圖；

圖2為本申請實施例提供的另一種網(wǎng)絡攻擊的警示方法的流程圖；

圖3為本申請實施例提供的一種網(wǎng)絡攻擊的警示裝置結構示意圖。

具體實施方式

為使本申請的目的、技術方案和優(yōu)點更加清楚，下面將結合本申請具體實施例及相應的附圖對本申請技術方案進行清楚、完整地描述。顯然，所描述的實施例僅是本申請一部分實施例，而不是全部的實施例。基于本申請中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本申請保護的范圍。

實施例一

如圖1所示，本申請實施例提供一種網(wǎng)絡攻擊的警示方法，該方法的執(zhí)行主體可以為如個人計算機等終端設備，也可以是服務器或者服務器集群等。該方法具體可以包括以下步驟：

在步驟S101中，獲取當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包。

其中，當前網(wǎng)絡體系可以是基于多種網(wǎng)絡體系，如開放系統(tǒng)互聯(lián)網(wǎng)絡體系(OSI(Open System Interconnection，開放系統(tǒng)互聯(lián))網(wǎng)絡體系)或TCP/IP(Transmission Control Protocol/Internet Protocol，傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)網(wǎng)絡體系等。網(wǎng)絡數(shù)據(jù)包中可以包括發(fā)送者和接收者的地址信息，以及待交互的數(shù)據(jù)等，網(wǎng)絡數(shù)據(jù)包可以是一個數(shù)據(jù)包，也可以是由多個數(shù)據(jù)包組成的數(shù)據(jù)包集合。

在實施中，為了使得本申請更具實用性和普適性，當前網(wǎng)絡體系可以為OSI網(wǎng)絡體系，在當前網(wǎng)絡體系中可以包括多個層，這些層可以被劃分為低層和高層兩個部分，其中，低層主要關注的是原始數(shù)據(jù)的傳輸，高層主要關注的是網(wǎng)絡下的應用程序。低層可以包括如OSI網(wǎng)絡體系中的物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層等三個層，高層可以包括如OSI網(wǎng)絡體系中的傳輸層、會話層、表示層和應用層等四個層。

盡管網(wǎng)絡及系統(tǒng)層漏洞已逐漸減少，而且Web攻防技術也已日趨成熟，但是黑客們并沒有放棄對網(wǎng)絡的攻擊，已達到獲取相應利益的目的，為此，本申請實施例設置一種網(wǎng)絡攻擊的檢測與警示裝置。為了不影響當前網(wǎng)絡體系對應的網(wǎng)絡系統(tǒng)的正常工作，該檢測與警示裝置可以旁路監(jiān)聽的方式與該網(wǎng)絡系統(tǒng)連接，具體地，該檢測與警示裝置的輸入端口可以與該網(wǎng)絡系統(tǒng)中的交換機的鏡像端口連接，或者可以將該檢測與警示裝置部署在交換機的鏡像端口處，這樣，可以不需要對現(xiàn)有網(wǎng)絡、Web應用架構進行深度調整，即可實時獲取并保存網(wǎng)絡層的所有網(wǎng)絡請求(例如HTTP(HyperText Transfer Protocol，超文本傳輸協(xié)議)請求或FTP(File Transfer Protocol，文件傳輸協(xié)議)請求等)及響應的數(shù)據(jù)包，以供該檢測與警示裝置進行進一步的分析處理。其中，交換機的鏡像功能可以對流經(jīng)該網(wǎng)絡系統(tǒng)的流量進行全流量鏡像，在進行全流量鏡像的過程中，可以使用如網(wǎng)站增量去重和差異壓縮備份等相關算法。通過全流量鏡像，該檢測與警示裝置可以保存最近半年乃至一年，甚至更長時間的完整的Web雙向流量(即輸入到該網(wǎng)絡系統(tǒng)和從該網(wǎng)絡系統(tǒng)輸出的流量)的數(shù)據(jù)。這樣，當用戶發(fā)現(xiàn)網(wǎng)絡系統(tǒng)出現(xiàn)網(wǎng)絡攻擊行為時，不但可以進行攻擊回溯，還可以利用預定的檢測策略對歷史數(shù)據(jù)重新檢測及篩選，從而確定網(wǎng)絡攻擊的相關信息，以便用戶可以針對該網(wǎng)絡攻擊采取相應的應對措施。

為了提高網(wǎng)絡入侵的警示精度和檢測效率，本申請實施例基于應用層的網(wǎng)絡數(shù)據(jù)包來實現(xiàn)網(wǎng)絡入侵的檢測與警示?；谏鲜鼋Y構，當有網(wǎng)絡數(shù)據(jù)包流經(jīng)該網(wǎng)絡系統(tǒng)的交換機時，交換機可以通過自身的鏡像功能將獲取的應用層的網(wǎng)絡數(shù)據(jù)包進行鏡像處理，得到該網(wǎng)絡數(shù)據(jù)包的鏡像數(shù)據(jù)，可以將該鏡像數(shù)據(jù)提供給該檢測設備，從而該檢測與警示裝置可以獲取到該鏡像數(shù)據(jù)，并可以對該鏡像數(shù)據(jù)中的網(wǎng)絡數(shù)據(jù)包進行提取還原處理，將網(wǎng)絡層的網(wǎng)絡數(shù)據(jù)包還原為當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包。

在步驟S102中，如果對上述網(wǎng)絡數(shù)據(jù)包進行網(wǎng)絡攻擊檢測后確定該網(wǎng)絡數(shù)據(jù)包能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊，則獲取該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征。

其中，網(wǎng)絡攻擊特征可以包括多種，例如，可以包括漏洞特征、植入病毒數(shù)據(jù)特征和網(wǎng)頁惡意代碼中的數(shù)據(jù)特征等，具體可以根據(jù)實際情況確定。在實際應用中，其中的漏洞特征對應的漏洞是黑客們進行網(wǎng)絡攻擊的主要途徑，漏洞特征可以包括漏洞掃描行為特征或漏洞觸發(fā)行為特征等，各種不同的漏洞特征可以包括有不同的表現(xiàn)形式，例如，漏洞掃描行為特征可以是SQL(Structured Query Language，結構化查詢語言)注入特征(如URL(Uniform Resource Locator，統(tǒng)一資源定位符)中包括select特征)，漏洞觸發(fā)行為特征可以是目錄遍歷特征(如頁面中出現(xiàn)目錄列表等)。此外，還可以包括系統(tǒng)受控行為特征，例如包括系統(tǒng)命令set關鍵字的特征等。

在實施中，可以預先設置網(wǎng)絡攻擊的識別與檢測算法，例如K-Means算法、決策樹算法、隨機森林樹算法或人工神經(jīng)網(wǎng)絡算法等。當獲取到輸入應用層和應用層輸出的網(wǎng)絡數(shù)據(jù)包后，可以使用上述預先設置的網(wǎng)絡攻擊的識別與檢測算法，對上述網(wǎng)絡數(shù)據(jù)包中的應用數(shù)據(jù)進行識別分析與檢測，從中得到該應用數(shù)據(jù)的網(wǎng)絡攻擊特征，例如，可以預先對網(wǎng)絡數(shù)據(jù)包中的應用數(shù)據(jù)進行特征提取，得到應用數(shù)據(jù)的數(shù)據(jù)特征，可以將各個數(shù)據(jù)特征分別代入到上述預先設置的識別與檢測算法中進行計算，確定其中是否包含能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊的網(wǎng)絡攻擊特征，如果包含，則可以獲取該數(shù)據(jù)特征，并可以將該數(shù)據(jù)特征作為網(wǎng)絡攻擊特征。

需要說明的是，網(wǎng)絡攻擊的識別與檢測算法可以只包括上述分析算法中的一個算法，也可以包括上述算法中的多個算法，而且，同一算法可以具有不同的實現(xiàn)方式，用戶具體使用哪種實現(xiàn)方式可以根據(jù)實際情況設定，本申請實施例對此不做限定。

在步驟S103中，根據(jù)上述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征和該網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容，輸出網(wǎng)絡攻擊警示信號。

在實施中，可以根據(jù)網(wǎng)絡數(shù)據(jù)包中的網(wǎng)絡攻擊特征確定相應的網(wǎng)絡攻擊所屬的類型，如漏洞或植入病毒等?？梢曰诖_定出的網(wǎng)絡攻擊所屬的類型，確定該類型的網(wǎng)絡攻擊需要網(wǎng)絡系統(tǒng)向請求者傳輸哪些關鍵數(shù)據(jù)。可以分別獲取輸入應用層和應用層輸出的網(wǎng)絡數(shù)據(jù)包，可以對網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容進行分析，并確定分析得到的數(shù)據(jù)中是否包含上述關鍵數(shù)據(jù)，尤其是，分析應用層輸出的網(wǎng)絡數(shù)據(jù)包中是否包括網(wǎng)絡攻擊特征對應的網(wǎng)絡攻擊所獲取的網(wǎng)絡系統(tǒng)中的敏感數(shù)據(jù)或重要數(shù)據(jù)，如果包括，則可以向技術人員或網(wǎng)絡系統(tǒng)的提供者提供網(wǎng)絡攻擊警示信號，例如向其發(fā)送警示信息，以提示技術人員或網(wǎng)絡系統(tǒng)的提供者可以針對本次網(wǎng)絡攻擊采取相應的措施，減少網(wǎng)絡攻擊造成的損失。如果不包括，則可以認為應用層的網(wǎng)絡數(shù)據(jù)包中的網(wǎng)絡攻擊特征沒有對當前網(wǎng)絡系統(tǒng)進行攻擊，或者，網(wǎng)絡系統(tǒng)已經(jīng)安裝了該網(wǎng)絡攻擊特征對應的漏洞的補丁程序，此時，可以僅輸出提示信號，以提示技術人員或網(wǎng)絡系統(tǒng)的提供者存在可疑攻擊或潛在威脅；如果網(wǎng)絡數(shù)據(jù)包中不存在網(wǎng)絡攻擊特征，則可以不執(zhí)行任何操作。這樣，通過對雙向數(shù)據(jù)流的分析來確定網(wǎng)絡攻擊所造成的網(wǎng)絡影響，并基于上述網(wǎng)絡攻擊的實際影響范圍進行網(wǎng)絡攻擊警示，從而可以提高網(wǎng)絡攻擊報警的有效性，使得安全管理和安全運維的效率更高。

本申請實施例提供一種網(wǎng)絡攻擊的警示方法，通過對獲取的當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包進行網(wǎng)絡攻擊檢測，在確定該網(wǎng)絡數(shù)據(jù)包能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊后，獲取該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征，進而，根據(jù)該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征和該網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容，輸出網(wǎng)絡攻擊警示信號，這樣，通過對應用層的網(wǎng)絡數(shù)據(jù)包(即雙向數(shù)據(jù)流)的分析來確定網(wǎng)絡攻擊所造成的網(wǎng)絡影響，可以基于上述網(wǎng)絡攻擊的實際影響范圍進行網(wǎng)絡攻擊警示，減少網(wǎng)絡攻擊誤報情況的發(fā)生，從而可以提高網(wǎng)絡攻擊報警的有效性，使得安全管理和安全運維的效率更高。

實施例二

如圖2所示，本申請實施例提供了一種網(wǎng)絡攻擊的警示方法，具體包括如下步驟：

在步驟S201中，獲取當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包。

上述步驟S201的步驟內容與上述實施例一中步驟S101的步驟內容相同，步驟S201的處理可以參見上述實施例一中步驟S101的相關內容，在此不再贅述。

在步驟S202中，如果對上述網(wǎng)絡數(shù)據(jù)包進行網(wǎng)絡攻擊檢測后確定該網(wǎng)絡數(shù)據(jù)包能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊，則獲取該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征。

上述步驟S202的步驟內容與上述實施例一中步驟S102的步驟內容相同，步驟S202的處理可以參見上述實施例一中步驟S102的相關內容，在此不再贅述。

此外，網(wǎng)絡攻擊特征可以包括多種，如漏洞掃描行為特征、漏洞觸發(fā)行為特征和系統(tǒng)受控行為特征等。對于不同的網(wǎng)絡攻擊特征，可以設置不同的網(wǎng)絡攻擊檢測機制，下面分別對上述三種網(wǎng)絡攻擊特征進行說明，具體可以包括以下內容：

其一，為了能夠及時檢測出網(wǎng)絡系統(tǒng)的網(wǎng)絡攻擊事件，可以在該檢測與警示裝置中設置漏洞掃描識別引擎。其中，該漏洞掃描識別引擎可以通過硬件和軟件結合構成，或者由軟件實現(xiàn)，其中的軟件部分可以使用適當?shù)木幊陶Z言，并通過編寫相應的程序代碼實現(xiàn)。編程語言可以根據(jù)實際情況確定，具體如C語言或JAVA編程語言等，本發(fā)明實施例對此不做限定。

通過漏洞掃描識別引擎可以對網(wǎng)絡系統(tǒng)中的漏洞掃描行為進行識別，其中識別策略可以包括多種，以下提供部分識別策略，如下表1所示。

表1

例如，可以對網(wǎng)絡數(shù)據(jù)包中的應用數(shù)據(jù)進行漏洞掃描行為分析，檢測該應用數(shù)據(jù)中是否包括能夠執(zhí)行漏洞掃描事件的應用程序或程序代碼，可以將該應用程序或程序代碼確定為該應用數(shù)據(jù)的漏洞掃描行為特征。

或者，也可以將該應用數(shù)據(jù)放置在預先模擬的網(wǎng)絡系統(tǒng)環(huán)境中運行，在該應用數(shù)據(jù)運行的過程中，可以檢測該應用數(shù)據(jù)的運行邏輯和運行目的，可以從其運行邏輯和運行目的中確定該應用數(shù)據(jù)的網(wǎng)絡攻擊特征。例如，可以將該應用數(shù)據(jù)放置在預先模擬的網(wǎng)絡系統(tǒng)環(huán)境中運行，在運行的過程中，如果漏洞掃描識別引擎檢測到該網(wǎng)絡數(shù)據(jù)包中的應用數(shù)據(jù)正在使用不同的密碼對HTTP密碼進行破解，且該應用數(shù)據(jù)使用不同的密碼對HTTP密碼破解的次數(shù)達到預定次數(shù)閾值(如10次或20次等)，則可以確定HTTP密碼正在被暴力破解，此時，可以將該應用數(shù)據(jù)的數(shù)據(jù)特征確定為漏洞掃描行為特征。

其二，為了能夠及時檢測出網(wǎng)絡系統(tǒng)的漏洞被觸發(fā)的事件，可以在該檢測與警示裝置中設置漏洞觸發(fā)識別引擎。其中，該漏洞觸發(fā)識別引擎可以通過硬件和軟件結合構成，或者由軟件實現(xiàn)，其中的軟件部分可以使用適當?shù)木幊陶Z言，并通過編寫相應的程序代碼實現(xiàn)。編程語言可以根據(jù)實際情況確定，本發(fā)明實施例對此不做限定。

通過漏洞觸發(fā)識別引擎可以對網(wǎng)絡系統(tǒng)中漏洞的觸發(fā)進行識別，根據(jù)漏洞對網(wǎng)絡系統(tǒng)造成的危害程度不同，可以將漏洞劃分為低危漏洞、中危漏洞和高危漏洞等，其中識別策略可以包括多種，以下提供部分識別策略，如下表2所示。

表2

例如，可以對待分析的網(wǎng)絡數(shù)據(jù)包中的應用數(shù)據(jù)進行漏洞觸發(fā)分析，檢測該應用數(shù)據(jù)中是否包括能夠觸發(fā)漏洞的應用程序或程序代碼，可以將該應用程序或程序代碼確定為該應用數(shù)據(jù)的漏洞觸發(fā)行為特征。

或者，也可以將該應用數(shù)據(jù)放置在預先模擬的網(wǎng)絡系統(tǒng)環(huán)境中運行，在該應用數(shù)據(jù)運行的過程中，可以檢測該應用數(shù)據(jù)的運行邏輯和運行目的，可以從其運行邏輯和運行目的中確定該應用數(shù)據(jù)的漏洞觸發(fā)行為特征。例如，可以將該應用數(shù)據(jù)放置在預先模擬的網(wǎng)絡系統(tǒng)環(huán)境中運行，在運行的過程中，如果漏洞觸發(fā)識別引擎檢測到網(wǎng)絡數(shù)據(jù)包中的應用數(shù)據(jù)正在通過SQL注入的方式調用postgresql查詢語句，則可以確定該應用數(shù)據(jù)的數(shù)據(jù)特征為漏洞觸發(fā)行為特征。

其三，為了能夠及時檢測出網(wǎng)絡系統(tǒng)的受控事件，可以預先設置系統(tǒng)受控識別引擎。其中，該系統(tǒng)受控識別引擎可以通過硬件和軟件結合構成，或者由軟件實現(xiàn)，其中的軟件部分可以使用適當?shù)木幊陶Z言，并通過編寫相應的程序代碼實現(xiàn)。編程語言可以根據(jù)實際情況確定，本發(fā)明實施例對此不做限定。

通過系統(tǒng)受控識別引擎可以對網(wǎng)絡系統(tǒng)是否被控制進行識別，其中識別策略可以包括多種，以下提供部分識別策略，如下表3所示。

表3

例如，可以對當前網(wǎng)絡體系對應的網(wǎng)絡系統(tǒng)的運行狀態(tài)進行檢測，如果該運行狀態(tài)中包括預定的控制操作信息(如上述表3中對應的控制操作信息等)，則系統(tǒng)受控識別引擎可以確定當前網(wǎng)絡系統(tǒng)被控制，此時，可以將上述控制操作信息對應的數(shù)據(jù)特征作為系統(tǒng)受控行為特征。其中，檢測當前網(wǎng)絡體系對應的網(wǎng)絡系統(tǒng)的運行狀態(tài)具體可以是：可以將該應用數(shù)據(jù)放置在預先模擬的網(wǎng)絡系統(tǒng)環(huán)境中運行，在該應用數(shù)據(jù)運行的過程中，可以檢測該應用數(shù)據(jù)的運行邏輯和運行目的，可以從其運行邏輯和運行目的中確定當前網(wǎng)絡系統(tǒng)是否被控制。例如，可以將應用數(shù)據(jù)放置在預先模擬的網(wǎng)絡系統(tǒng)環(huán)境中運行，在運行的過程中，如果系統(tǒng)受控識別引擎檢測到網(wǎng)絡系統(tǒng)正在通過SQL注入的方式調用mysql quarter函數(shù)或timestampadd函數(shù)，則可以將上述控制操作信息對應的數(shù)據(jù)特征作為系統(tǒng)受控行為特征。

可以將網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容與確定出的網(wǎng)絡攻擊特征對應的數(shù)據(jù)內容相比較，以便確定該網(wǎng)絡攻擊特征是否對當前網(wǎng)絡系統(tǒng)進行了網(wǎng)絡攻擊或者對當前網(wǎng)絡產(chǎn)生影響，依此輸出相應的警示信號，具體可以參見下述步驟S203的處理。

在步驟S203中，如果該網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與上述網(wǎng)絡攻擊特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊警示信號。

在實施中，對于上述步驟S202提供的三種網(wǎng)絡攻擊特征，上述步驟S203的具體處理可以參見以下情況：

情況一，如果網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與該漏洞掃描行為特征相應的數(shù)據(jù)內容，則輸出可疑攻擊提示信號。

其中，由于漏洞掃描行為特征僅表征該網(wǎng)絡數(shù)據(jù)包可以對網(wǎng)絡系統(tǒng)進行漏洞掃描操作，而漏洞掃描操作并不是直接的網(wǎng)絡攻擊，而是網(wǎng)絡攻擊的一個必要條件，因此，對于此情況，可以只輸出可疑攻擊提示信號，用于提示技術人員或網(wǎng)絡系統(tǒng)的提供者需要關注此可疑網(wǎng)絡數(shù)據(jù)包，有可能會觸發(fā)網(wǎng)絡攻擊操作。

情況二，如果網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與該漏洞觸發(fā)行為特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊報警信號。

其中，由于漏洞觸發(fā)行為特征表征該網(wǎng)絡數(shù)據(jù)包可以觸發(fā)網(wǎng)絡系統(tǒng)中的漏洞以使網(wǎng)絡系統(tǒng)遭受網(wǎng)絡攻擊，因此，漏洞觸發(fā)行為是直接網(wǎng)絡攻擊的體現(xiàn)，對于此情況，可以輸出網(wǎng)絡攻擊報警信號，用于告警技術人員或網(wǎng)絡系統(tǒng)的提供者網(wǎng)絡系統(tǒng)遭受了網(wǎng)絡攻擊。

根據(jù)不同漏洞對網(wǎng)絡系統(tǒng)或用戶的影響，可以將漏洞劃分成多個不同的危險等級，例如，低危漏洞、中危漏洞和高危漏洞等，相應的，上述漏洞觸發(fā)行為特征也可以劃分為多種不同的特征，例如，低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征等?；诖耍鲜銮闆r二還可以包括以下三種報警信號：

其一，如果上述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與低危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出低危報警信號。

其二，如果該網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與中危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出中危報警信號。

其三，如果該網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與高危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出高危報警信號。

情況三，如果上述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與系統(tǒng)受控行為特征相應的數(shù)據(jù)內容，則輸出系統(tǒng)受控報警信號。

其中，由于系統(tǒng)受控行為特征表征當前網(wǎng)絡系統(tǒng)已經(jīng)遭受網(wǎng)絡攻擊，并已被控制，因此，系統(tǒng)受控行為是網(wǎng)絡攻擊的結果體現(xiàn)，即系統(tǒng)被控制，對于此情況，可以輸出系統(tǒng)受控報警信號，用于告警技術人員或網(wǎng)絡系統(tǒng)的提供者當前網(wǎng)絡系統(tǒng)已被控制。

另外，上述步驟S203中的輸出網(wǎng)絡攻擊警示信號的處理可以有多種體現(xiàn)形式，以下提供兩種可選的方式，具體可以包括以下內容：

方式一，發(fā)送網(wǎng)絡攻擊警示信息。

方式二，輸出報警指示燈閃爍或點亮的控制指令。

需要說明的是，輸出網(wǎng)絡攻擊警示信號的處理不僅僅包括上述兩種方式，還可以包括其它方式，本申請實施例中輸出網(wǎng)絡攻擊警示信號可以是任何能夠達到網(wǎng)絡攻擊告警目的的方式，本申請實施例對此不做限定。

本申請實施例提供一種網(wǎng)絡攻擊的警示方法，通過對獲取的當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包進行網(wǎng)絡攻擊檢測，在確定該網(wǎng)絡數(shù)據(jù)包能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊后，獲取該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征，進而，根據(jù)該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征和該網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容，輸出網(wǎng)絡攻擊警示信號，這樣，通過對應用層的網(wǎng)絡數(shù)據(jù)包(即雙向數(shù)據(jù)流)的分析來確定網(wǎng)絡攻擊所造成的網(wǎng)絡影響，可以基于上述網(wǎng)絡攻擊的實際影響范圍進行網(wǎng)絡攻擊警示，減少網(wǎng)絡攻擊誤報情況的發(fā)生，從而可以提高網(wǎng)絡攻擊報警的有效性，使得安全管理和安全運維的效率更高。

實施例三

以上為本申請實施例提供的一種網(wǎng)絡攻擊的警示方法，基于同樣的思路，本申請實施例還提供一種網(wǎng)絡攻擊的警示裝置，如圖3所示。

所述網(wǎng)絡攻擊的警示裝置包括：數(shù)據(jù)包獲取模塊301、網(wǎng)絡攻擊特征獲取模塊302和警示信號輸出模塊303，其中：

數(shù)據(jù)包獲取模301，用于獲取當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包；

網(wǎng)絡攻擊特征獲取模塊302，用于如果對所述網(wǎng)絡數(shù)據(jù)包進行網(wǎng)絡攻擊檢測后確定所述網(wǎng)絡數(shù)據(jù)包能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊，則獲取所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征；

警示信號輸出模塊303，用于根據(jù)所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征和所述網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容，輸出網(wǎng)絡攻擊警示信號。

可選地，所述警示信號輸出模塊303，用于如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述網(wǎng)絡攻擊特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊警示信號。

可選地，所述網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征包括漏洞掃描行為特征、漏洞觸發(fā)行為特征和系統(tǒng)受控行為特征，

所述警示信號輸出模塊303，用于：

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述漏洞掃描行為特征相應的數(shù)據(jù)內容，則輸出可疑攻擊提示信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述漏洞觸發(fā)行為特征相應的數(shù)據(jù)內容，則輸出網(wǎng)絡攻擊報警信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述系統(tǒng)受控行為特征相應的數(shù)據(jù)內容，則輸出系統(tǒng)受控報警信號。

可選地，所述漏洞觸發(fā)行為特征包括低危漏洞觸發(fā)特征、中危漏洞觸發(fā)特征和高危漏洞觸發(fā)特征，

所述警示信號輸出模塊303，用于：

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述低危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出低危報警信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述中危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出中危報警信號；

如果所述網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)內容中包括與所述高危漏洞觸發(fā)特征相應的數(shù)據(jù)內容，則輸出高危報警信號。

可選地，所述警示信號輸出模塊303，用于發(fā)送網(wǎng)絡攻擊警示信息；或者，輸出報警指示燈閃爍或點亮的控制指令。

本申請實施例提供一種網(wǎng)絡攻擊的警示裝置，通過對獲取的當前網(wǎng)絡體系中應用層的網(wǎng)絡數(shù)據(jù)包進行網(wǎng)絡攻擊檢測，在確定該網(wǎng)絡數(shù)據(jù)包能夠對當前網(wǎng)絡體系進行網(wǎng)絡攻擊后，獲取該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征，進而，根據(jù)該網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡攻擊特征和該網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)內容，輸出網(wǎng)絡攻擊警示信號，這樣，通過對應用層的網(wǎng)絡數(shù)據(jù)包(即雙向數(shù)據(jù)流)的分析來確定網(wǎng)絡攻擊所造成的網(wǎng)絡影響，可以基于上述網(wǎng)絡攻擊的實際影響范圍進行網(wǎng)絡攻擊警示，減少網(wǎng)絡攻擊誤報情況的發(fā)生，從而可以提高網(wǎng)絡攻擊報警的有效性，使得安全管理和安全運維的效率更高。

在一個典型的配置中，計算設備包括一個或多個處理器(CPU)、輸入/輸出接口、網(wǎng)絡接口和內存。

內存可能包括計算機可讀介質中的非永久性存儲器，隨機存取存儲器(RAM)和/或非易失性內存等形式，如只讀存儲器(ROM)或閃存(flash RAM)。內存是計算機可讀介質的示例。

計算機可讀介質包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結構、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質的例子包括，但不限于相變內存(PRAM)、靜態(tài)隨機存取存儲器(SRAM)、動態(tài)隨機存取存儲器(DRAM)、其他類型的隨機存取存儲器(RAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其他內存技術、只讀光盤只讀存儲器(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學存儲、磁盒式磁帶，磁帶磁磁盤存儲或其他磁性存儲設備或任何其他非傳輸介質，可用于存儲可以被計算設備訪問的信息。按照本文中的界定，計算機可讀介質不包括暫存電腦可讀媒體(transitory media)，如調制的數(shù)據(jù)信號和載波。

還需要說明的是，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。

本領域技術人員應明白，本申請的實施例可提供為方法、系統(tǒng)或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例或結合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

以上所述僅為本申請的實施例而已，并不用于限制本申請。對于本領域技術人員來說，本申請可以有各種更改和變化。凡在本申請的精神和原理之內所作的任何修改、等同替換、改進等，均應包含在本申請的權利要求范圍之內。