本说明书实施例公开了一种基于区块链的攻击行为识别方法、装置和设备。所述方法包括:实时捕获服务器与外部设备在交互时的通信数据;根据所述交互的类型,从通信数据中提取相应种类的特征数据;根据所述交互的类型,从区块链中查询相应种类的安全规则;采用所述安全规则对所述特征数据进行检测,以识别所述交互是否属于攻击行为。本说明书实施例可以实时检测服务器与外部设备之间的交互行为是否属于攻击行为,提高安全性。提高安全性。提高安全性。
【技术实现步骤摘要】
基于区块链的攻击行为识别方法、装置和设备
[0001]本说明书实施例涉及区块链
,特别涉及一种基于区块链的攻击行为识别方法、装置和设备。
技术介绍
[0002]网络攻击是利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。
[0003]近年来,网络攻击事件频发,互联网上的木马、蠕虫、勒索软件层出不穷,对网络安全造成了严重的威胁。如何准确的识别攻击行为,是目前亟需解决的技术问题。
技术实现思路
[0004]本说明书实施例提供一种基于区块链的攻击行为识别方法、装置和设备,以实时检测服务器与外部设备之间的交互行为是否属于攻击行为,从而提高服务器的安全性。
[0005]本说明书实施例的第一方面,提供了一种基于区块链的攻击行为识别方法,应用于服务器,包括:
[0006]实时捕获服务器与外部设备在交互时的通信数据;
[0007]根据所述交互的类型,从通信数据中提取相应种类的特征数据;
[0008]根据所述交互的类型,从区块链中查询相应种类的安全规则;
[0009]采用所述安全规则对所述特征数据进行检测,以识别所述交互是否属于攻击行为。
[0010]本说明书实施例的第二方面,提供了一种基于区块链的攻击行为识别装置,应用于服务器,包括:
[0011]捕获单元,用于实时捕获服务器与外部设备在交互时的通信数据;
[0012]提取单元,用于根据所述交互的类型,从通信数据中提取相应种类的特征数据;
[0013]查询单元,用于根据所述交互的类型,从区块链中查询相应种类的安全规则;
[0014]检测单元,用于采用所述安全规则对所述特征数据进行检测,以识别所述交互是否属于攻击行为。
[0015]本说明书实施例的第三方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序所述处理器执行所述计算机程序时实现如第一方面所述的方法步骤。
[0016]本说明书实施例的第四方面,提供了一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法步骤。
[0017]本说明书实施例提供的技术方案,实时捕获服务器与外部设备在交互时的通信数据;并根据交互的类型,获取相应种类的特征数据和安全规则,以实时检测服务器与外部设备之间的交互行为是否属于攻击行为,从而提高服务器的安全性,减少误报率。
附图说明
[0018]为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0019]图1为本说明书实施例中数据处理系统的结构示意图;
[0020]图2为本说明书实施例中基于区块链的攻击行为识别方法的流程示意图;
[0021]图3为本说明书实施例中基于区块链的攻击行为识别方法的流程示意图;
[0022]图4为本说明书实施例中基于区块链的攻击行为识别装置的结构示意图;
[0023]图5为本说明书实施例中计算机设备的结构示意图。
具体实施方式
[0024]下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
[0025]RCE漏洞,即远程命令执行漏洞,是由于开发人员编写源码,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端执行。针对RCE漏洞的攻击往往具有很大的破坏性。并且,某些RCE漏洞,例如0Day漏洞,具有较强的隐私性。没有人知道针对所述RCE漏洞的攻击方式。已有的攻击行为检测方法难以进行检测。
[0026]专利技术人发现,针对RCE漏洞的攻击行为具有以下特点:(1)攻击者在获得服务器权限时常使用whoami、ifconfig、ls等几种特定类型的命令。而这些命令在正常的业务流程中往往较少使用。(2)攻击者有时遇到无法回显的RCE漏洞时,无法得知命令是否在受害服务器上得到了执行,会使用ping、curl等命令请求dnslog的服务器。基于以上考虑,本说明书实施例提供了基于区块链的攻击行为识别方法,以识别攻击者是否通过外部设备对服务器的RCE漏洞发起了攻击行为。
[0027]请参阅图1。本说明书实施例提供一种数据处理系统。所述数据处理系统可以包括终端设备和区块链网络。所述终端设备可以为面向安全管理员的设备。所述终端设备包括但不限于智能手机、平板电子设备、便携式计算机、台式电脑、智能穿戴设备等。所述区块链网络可以包括多个节点设备。所述多个节点设备可以由一个机构设立。所述区块链网络可以为所述机构的私有链。或者,所述多个节点设备还可以由多个机构设立。所述区块链网络可以为所述多个机构的联盟链。所述机构可以包括银行机构等。所述节点设备可以包括服务器等。
[0028]本说明书实施例提供一种基于区块链的攻击行为识别方法。所述方法可以应用于服务器。所述服务器可以作为一个节点设备加入区块链网络。
[0029]请参阅图2和图3。所述方法可以包括以下步骤。
[0030]步骤S11:实时捕获服务器与外部设备在交互时的通信数据。
[0031]在一些实施例中,所述外部设备可以为能够与所述服务器进行通信的设备,包括
但不限于智能手机、平板电子设备、便携式计算机、台式电脑、智能穿戴设备等。
[0032]在一些实施例中,服务器与外部设备之间的交互类型可以包括:外部设备向服务器发送访问请求、服务器向外部设备反馈响应、服务器向外部设备发送访问请求、外部设备向服务器反馈响应。相应地,服务器与外部设备在交互时的通信数据可以包括:外部设备向服务器发送访问请求时的第一请求包、服务器向外部设备反馈的第一响应包、服务器向外部设备发送访问请求时的第二请求包、外部设备向服务器反馈的第二响应包。
[0033]在一些实施例中,可以对服务器的流量进行实时监测。当服务器与外部设备发生交互时,抓取通信数据进行分析,以识别所述交互是否属于攻击行为。
[0034]步骤S13:根据所述交互的类型,从通信数据中提取相应种类的特征数据。
[0035]在一些实施例中,可以预先设置交互类型与特征提取方式之间的对应关系;可以根据所述交互的类型,获取相应的特征提取方式;可以根据获取的特征提取方式,从通信数据中提取相应种类的特征数据。从通信数据中提取相应种类的特征数据,可以包括以下4种情况。
[0036]情况(一),攻击者在获得服务器权限时常使用whoami、ifconfig、ls等几种特定类型的命令。因此,针对外部设备向服务器发送访问请求,可以本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于区块链的攻击行为识别方法,应用于服务器,包括:实时捕获服务器与外部设备在交互时的通信数据;根据所述交互的类型,从通信数据中提取相应种类的特征数据;根据所述交互的类型,从区块链中查询相应种类的安全规则;采用所述安全规则对所述特征数据进行检测,以识别所述交互是否属于攻击行为。2.根据权利要求1所述的方法,所述捕获服务器与外部设备在交互时的通信数据,包括:捕获外部设备向服务器发送访问请求时的第一请求包;所述从通信数据中提取相应种类的特征数据,包括:从所述第一请求包中提取系统命令。3.根据权利要求2所述的方法,所述从区块链中查询相应种类的安全规则,包括:从区块链中查询敏感命令集合;所述采用所述安全规则对所述特征数据进行检测,包括:检测提取的系统命令是否位于所述命令集合中。4.根据权利要求1所述的方法,所述捕获服务器与外部设备在交互时的通信数据,包括:捕获服务器向外部设备反馈的第一响应包;所述从通信数据中提取相应种类的特征数据,包括:从所述第一响应包中提取第一响应数据。5.根据权利要求4所述的方法,所述从区块链中查询相应种类的安全规则,包括:从区块链中查询第一响应数据类型集合;所述采用所述安全规则对所述特征数据进行检测,包括:检测所述第一响应数据的类型是否位于所述第一响应数据类型集合中。6.根据权利要求1所述的方法,所述捕获服务器与外部设备在交互时的通信数据,包括:捕获服务器向外部设备发送访问请求时的第二请求包;所述从通信数据中提取相应种类的特征数据,包括:从所述第二请求包中提取外部设备的地址。7.根据权利要求6所述的方法,所述从区...
【专利技术属性】
技术研发人员:赵旭东,
申请(专利权)人:中国银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。