[发明专利]一种攻击行为的检测方法、装置、设备和介质

权利要求书

1.一种攻击行为的检测方法，其特征在于，包括：

利用协议识别算法将获取的网络流量划分为数据库协议流量和HTTP协议流量；

基于数据库类型对应的检测规则，确定出所述数据库协议流量是否存在攻击行为；其中，所述检测规则依据数据库类型对应的攻击特征设置；

基于HTTP协议流量检测规则，确定出所述HTTP协议流量是否存在攻击行为；其中，所述HTTP协议流量检测规则依据HTTP协议的攻击字词设置。

2.根据权利要求1所述的攻击行为的检测方法，其特征在于，所述基于数据库类型对应的检测规则，确定出所述数据库协议流量是否存在攻击行为包括：

利用数据库类型识别算法，确定出所述数据库协议流量所属的数据库类型；

依据所述数据库类型对应的检测规则，识别所述数据库协议流量是否存在攻击行为。

3.根据权利要求2所述的攻击行为的检测方法，其特征在于，所述检测规则包含与所述数据库类型相匹配的攻击命令；相应的，所述依据所述数据库类型对应的检测规则，识别所述数据库协议流量是否存在攻击行为包括：

在所述数据库协议流量中包含与所述攻击命令匹配的命令语句的情况下，确定所述数据库协议流量中存在攻击行为。

4.根据权利要求3所述的攻击行为的检测方法，其特征在于，在所述确定所述数据库协议流量中存在攻击行为之后还包括：

生成所述数据库协议流量攻击成功的告警信息。

5.根据权利要求1所述的攻击行为的检测方法，其特征在于，所述HTTP协议流量检测规则为攻击词库模型，其中，所述攻击词库模型包括攻击字词以及攻击字词之间的限制条件；

相应的，所述基于HTTP协议流量检测规则，确定出所述HTTP协议流量是否存在攻击行为包括：

将所述HTTP协议流量与设定的攻击词库模型进行匹配；

在所述HTTP协议流量中存在与所述攻击词库模型匹配的目标HTTP协议流量的情况下，判定所述HTTP协议流量存在攻击行为。

6.根据权利要求5所述的攻击行为的检测方法，其特征在于，还包括：

基于所述目标HTTP协议流量中包含的命令语句，确定出所述目标HTTP协议流量对应的目标数据库类型。

7.根据权利要求6所述的攻击行为的检测方法，其特征在于，在所述确定出所述HTTP协议流量存在攻击行为之后还包括：

获取所述HTTP协议流量对应的响应数据包；其中，所述响应数据包为依据所述目标数据库类型对应的数据库反馈得到；

在所述响应数据包中携带有执行成功信息的情况下，判定所述HTTP协议流量中存在的攻击行为的攻击结果为攻击成功。

8.根据权利要求1至7任意一项所述的攻击行为的检测方法，其特征在于，还包括：

利用机器学习模型，对确定存在攻击行为的目标网络流量进行行为分析，确定出所述目标网络流量中存在的攻击行为以及攻击等级；不同攻击等级对应不同的告警方式；

其中，所述机器学习模型为利用聚类算法对正常运行状态下的数据流量以及各类攻击行为对应的特征信息训练得到。

9.一种攻击行为的检测装置，其特征在于，包括划分单元、第一确定单元和第二确定单元；

所述划分单元，用于利用协议识别算法将获取的网络流量划分为数据库协议流量和HTTP协议流量；

所述第一确定单元，用于基于数据库类型对应的检测规则，确定出所述数据库协议流量是否存在攻击行为；其中，所述检测规则依据数据库类型对应的攻击特征设置；

所述第二确定单元，用于基于HTTP协议流量检测规则，确定出所述HTTP协议流量是否存在攻击行为；其中，所述HTTP协议流量检测规则依据HTTP协议的攻击字词设置。