本发明专利技术公开了一种攻击检测方法,所述攻击检测方法包括以下步骤:获取广域网的中流量数据;根据所述流量数据的属性,确定所述广域网中是否发生信息搜集行为;在确定所述广域网中发生信息搜集行为时,输出攻击提示信息。本发明专利技术还公开一种攻击检测装置和计算机可读存储介质。本发明专利技术广域网中的数据安全性较高。
【技术实现步骤摘要】
攻击检测方法及装置和计算机可读存储介质
本专利技术涉及网络安全
,尤其涉及一种攻击检测方法及装置和计算机可读存储介质。
技术介绍
在广域网的场景中,当内网主机或服务器被黑客攻陷之后,会成为被黑客操纵的肉鸡,黑客利用肉鸡进行内网扩散,从而导致广域网中的数据被窃取,广域网中的数据安全性较低。
技术实现思路
本专利技术的主要目的在于提供一种攻击检测方法及装置和计算机可读存储介质,旨在解决广域网中的数据安全性较低的问题。为实现上述目的,本专利技术提供一种攻击检测方法,所述攻击检测方法包括以下步骤:根据所述流量数据的属性,确定所述广域网中是否发生信息搜集行为;在确定所述广域网中发生信息搜集行为时,输出攻击提示信息。在一实施例中,所述根据所述流量数据的属性,确定所述广域网中是否发生信息搜集行为的步骤包括:在所述流量数据中提取预设协议的数据,所述预设协议包括域名系统协议、服务器信息块协议以及网络认证协议中的至少一个,所述属性根据所述预设协议的数据确定;根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为。在一实施例中,所述预设协议包括域名系统协议,所述根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为的步骤包括:根据所述域名系统协议的数据确定所述广域网中的服务器发生信息同步事件,并确定所述信息同步事件对应的目的IP地址以及源IP地址;根据所述目的IP地址以及所述源IP地址确定所述广域网是否发生信息搜集行为。>在一实施例中,所述根据所述目的IP地址以及所述源IP地址确定所述广域网是否发生信息搜集行为的步骤包括:在所述目的IP地址为所述广域网中的域名系统主服务器的地址,且所述源IP地址不为所述广域网中的域名系统从服务器的地址的情况下,判定所述广域网中发生信息搜集行为。在一实施例中,所述预设协议包括服务器信息块协议,所述根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为的步骤包括:确定所述服务器信息块协议的数据中是否含有枚举函数,其中,在所述服务器信息块协议的数据中含有枚举函数时,判定所述广域网中发生信息搜集行为。在一实施例中,所述预设协议包括服务器信息块协议,所述根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为的步骤包括:在所述服务器信息块协议的数据中确认是否含有第二预设值,其中,在所述服务器信息块协议的数据中含有第二预设值时,判定所述广域网中发生信息搜集行为。在一实施例中,所述预设协议包括网络认证协议,所述根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为的步骤包括:在所述网络认证协议的数据中确认是否出现第二预设字段,其中,在所述网络认证协议的数据中出现第二预设字段时,判定所述广域网中发生信息搜集行为。在一实施例中,所述在所述网络认证协议的数据中确认是否出现第二预设字段的步骤之后,还包括:在所述网络认证协议的数据中出现第二预设字段时,确定所述第二预设字段的出现频率是否大于或等于预设频率,其中,在所述出现频率大于或等于预设频率时,判定所述广域网中发生信息搜集行为。为实现上述目的,本专利技术还提供一种攻击检测装置,所述攻击检测装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的攻击检测程序,所述攻击检测程序被处理器执行时实现如上所述的攻击检测方法的各个步骤。为实现上述目的,本专利技术还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有攻击检测程序,所述攻击检测程序被处理器执行时实现如上所述的攻击检测方法的各个步骤。本专利技术提供的攻击检测方法及装置和计算机可读存储介质,攻击检测装置获取广域网中的流量数据,并根据流量数据的属性确定广域网中是否发生信息搜集行为,若确定广域网中发生信息搜集行为时,则输出警示信息。由于广域网中的主机或者服务器被黑客攻陷后,黑客会利用攻陷的主机或者服务器探测广域网内的部署情况以及账户情况,也即黑客会对广域网中的主机、服务器、账户等信息进行搜集,因此,装置在确定广域网中发生信息搜集行为即可确定广域网被攻击,此时,输出警示信息提示后台人员采取相应的措施防止广域网中的数据被盗取,广域网中的数据安全性较高。附图说明图1为本专利技术实施例涉及的攻击检测装置的硬件构架示意图;图2为本专利技术攻击检测方法第一实施例的流程示意图;图3为图2中步骤S200的细化流程示意图;图4为本专利技术攻击检测方法第二实施例中步骤S220的细化流程示意图;图5为本专利技术攻击检测方法第三实施例中步骤S200的细化流程示意图;图6为本专利技术攻击检测方法第四实施例中步骤S200的细化流程示意图;图7为本专利技术攻击检测方法第五实施例中步骤S200的细化流程示意图。本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。本专利技术实施例的主要解决方案是:获取广域网的中流量数据;根据所述流量数据的属性,确定所述广域网中是否发生信息搜集行为;在确定所述广域网中发生信息搜集行为时,输出攻击提示信息。由于广域网中的主机或者服务器被黑客攻陷后,黑客会利用攻陷的主机或者服务器探测广域网内的部署情况以及账户情况,也即黑客会对广域网中的主机、服务器、账户等信息进行搜集,因此,装置在确定广域网中发生信息搜集行为即可确定广域网被攻击,此时,输出警示信息提示后台人员采取相应的措施防止广域网中的数据被盗取,广域网中的数据安全性较高。作为一种实现方式,提出本专利技术实施例方案所涉及的攻击检测装置。如图1所示,攻击检测装置包括:处理器101,例如CPU,存储器102,通信总线103。其中,通信总线103用于实现这些组件之间的连接通信。存储器102可以是高速RAM存储器,也可以是稳定的存储器(non-volatilememory),例如磁盘存储器。如图1所示,作为一种计算机存储介质的存储器103中可以包括攻击检测程序;而处理器101可以用于调用存储器102中存储的攻击检测程序,并执行以下操作:根据所述流量数据的属性,确定所述广域网中是否发生信息搜集行为;在确定所述广域网中发生信息搜集行为时,输出攻击提示信息。在一实施例中,处理器101可以用于调用存储器102中存储的攻击检测程序,并执行以下操作:在所述流量数据中提取预设协议的数据,所述预设协议包括域名系统协议、服务器信息块协议以及网络认证协议中的至少一个,所述属性根据所述预设协议的数据确定;根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为。在一实施例中,所述预设协议包括域名系统协议,所述根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为的步骤包括:根据所述域名系统协议的数据确定所述广域网中的服务器发生信息同步事件本文档来自技高网...
【技术保护点】
1.一种攻击检测方法,其特征在于,所述攻击检测方法包括以下步骤:获取广域网的中流量数据;/n根据所述流量数据的属性,确定所述广域网中是否发生信息搜集行为;/n在确定所述广域网中发生信息搜集行为时,输出攻击提示信息。/n
【技术特征摘要】
1.一种攻击检测方法,其特征在于,所述攻击检测方法包括以下步骤:获取广域网的中流量数据;
根据所述流量数据的属性,确定所述广域网中是否发生信息搜集行为;
在确定所述广域网中发生信息搜集行为时,输出攻击提示信息。
2.如权利要求1所述的攻击检测方法,其特征在于,所述根据所述流量数据的属性,确定所述广域网中是否发生信息搜集行为的步骤包括:
在所述流量数据中提取预设协议的数据,所述预设协议包括域名系统协议、服务器信息块协议以及网络认证协议中的至少一个,所述属性根据所述预设协议的数据确定;
根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为。
3.如权利要求2所述的攻击检测方法,其特征在于,所述预设协议包括域名系统协议,所述根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为的步骤包括:
根据所述域名系统协议的数据确定所述广域网中的服务器发生信息同步事件,并确定所述信息同步事件对应的目的IP地址以及源IP地址;
根据所述目的IP地址以及所述源IP地址确定所述广域网是否发生信息搜集行为。
4.如权利要求3所述的攻击检测方法,其特征在于,所述根据所述目的IP地址以及所述源IP地址确定所述广域网是否发生信息搜集行为的步骤包括:
在所述目的IP地址为所述广域网中的域名系统主服务器的地址,且所述源IP地址不为所述广域网中的域名系统从服务器的地址的情况下,判定所述广域网中发生信息搜集行为。
5.如权利要求2所述的攻击检测方法,其特征在于,所述预设协议包括服务器信息块协议,所述根据预设协议的数据的属性,确定所述广域网中是否发生信息搜集行为的步骤包括:
确定所述服务器信息块协...
【专利技术属性】
技术研发人员:孟翔,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。