[发明专利]一种网络攻击的检测方法、装置、设备及存储介质

说明书

本发明实施例提供了一种网络攻击的检测方法、装置、计算机设备及存储介质。其方法包括：获取目标主机发送的DNS请求报文；从所述DNS请求报文中提取待检测特征数据；对所述待检测特征数据进行攻击检测，并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果；在确定所述DNS请求报文中存在攻击执行结果后，向所述目标主机发送告警提示信息，所述告警提示信息用于提示存在基于DNS报文的漏洞探测攻击。本发明实施例实现了对漏洞探测攻击的检测。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种网络攻击的检测方法、装置、设备及存储介质。

背景技术

随着计算机技术的不断发展和互联网的普及，网络攻击形式层出不穷，网络安全问题日益突出，造成的社会影响和经济损失越来越大，对网络威胁检测与防御提出了新的需求和挑战。

其中一种网络攻击方式是基于DNS(Domain Name System，域名系统)报文对目标主机进行漏洞探测攻击，具体攻击方式为：攻击者通过一台主机向目标主机发送网络命令，该网络命令中不包含攻击指令，但指示目标主机向攻击者的DNS服务器发送DNS请求，并在该DNS请求中携带上述网络命令指示需要获取的信息。即目标主机在向攻击者的DNS服务器发送的DNS请求中携带攻击执行结果，相应的，攻击者的DNS服务器可以通过该DNS请求中携带的信息(攻击执行结果)获知目标主机是否存在漏洞，以便后续利用漏洞实施攻击。

上述攻击方式仅用于探测目标主机是否存在漏洞，并没有实施真正的攻击行为，因此难以通过传统检测方法检测。

发明内容

本发明实施例提供及一种网络攻击的检测方法、装置、设备及存储介质，以实现对漏洞探测攻击的检测，以便目标主机及时发现该攻击并进行漏洞修复，从而提高目标主机的安全性。

第一方面，本发明实施例提供一种网络攻击的检测方法，包括：

获取目标主机发送的DNS请求报文；

从所述DNS请求报文中提取待检测特征数据；

对所述待检测特征数据进行攻击检测，并根据检测结果确定所述DNS请求报文中是否存在攻击执行结果。

可选的，所述对所述待检测特征数据进行攻击检测，包括：

调用预先建立的攻击检测模型对所述待检测特征数据进行攻击检测，所述攻击检测模型是由包含已知攻击执行结果的特征数据样本训练得到的。

可选的，建立所述攻击检测模型的过程包括：

收集模型训练报文，所述模型训练报文为包含已知攻击执行结果的DNS请求报文；

从所述模型训练报文中提取包含已知攻击执行结果的特征数据；

对所述特征数据进行处理，获得特征数据样本；

根据所述特征数据样本进行模型训练，获得所述攻击检测模型。

可选的，所述收集模型训练数据包括：

收集互联网已公开的包含已知攻击执行结果的DNS请求报文、通过模拟攻击采集的由所述目标主机发送的包含已知攻击执行结果的DNS请求报文。

可选的，所述根据所述特征数据样本进行模型训练，获得所述攻击检测模型，包括：

根据所述特征数据样本，采用深度学习算法进行模型训练，获得所述攻击检测模型。

可选的，所述对所述待检测特征数据进行攻击检测包括：

调用攻击检测脚本对所述待检测特征数据进行攻击检测。

可选的，所述调用攻击检测脚本对所述待检测特征数据进行攻击检测包括：