[发明专利]一种攻击行为的检测方法、装置、设备和介质

说明书

本申请实施例公开了一种攻击行为的检测方法、装置、设备和介质，利用协议识别算法将获取的网络流量划分为数据库协议流量和HTTP协议流量。依据数据库类型对应的攻击特征设置检测规则，依据HTTP协议的攻击字词设置HTTP协议流量检测规则。基于数据库类型对应的检测规则，确定出数据库协议流量是否存在攻击行为。基于HTTP协议流量检测规则，确定出HTTP协议流量是否存在攻击行为。针对不同协议类型的网络流量采用相适应的检测方式，并基于不同的数据库类型设置相匹配的检测规则，实现了对攻击行为的全面检测，提高了攻击行为的检出率。通过对检测规则进行细致的划分使其更具针对性，提升了攻击行为检测的准确性。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种攻击行为的检测方法、装置、设备和计算机可读存储介质。

背景技术

攻击行为(Aggressive Behavior)是指利用数据库已有漏洞或者高权限进行恶意操作，达到破坏或者获取服务器权限的行为。攻击行为的识别是数据库应用系统防护的主要技术难点，如何准确、高效的对数据库操作行为进行区分和判断，找出其中的攻击行为，是数据库安全防护的一个难题。

目前针对数据库的安全防护仅停留在检测关键字词，将网络流量与设定的关键字词进行匹配，从而确定出网络流量是否存在攻击行为。关键字词一般是从对网络系统具有高威胁性的操作语句中提取得到，关键字词的涵盖范围较为片面，导致基于关键字词匹配检测攻击行为的检出率偏低。

可见，如何提高攻击行为的检出率，是本领域技术人员需要解决的问题。

发明内容

本申请实施例的目的是提供一种攻击行为的检测方法、装置、设备和计算机可读存储介质，可以提高攻击行为的检出率。

为解决上述技术问题，本申请实施例提供一种攻击行为的检测方法，包括：

利用协议识别算法将获取的网络流量划分为数据库协议流量和HTTP协议流量；

基于数据库类型对应的检测规则，确定出所述数据库协议流量是否存在攻击行为；其中，所述检测规则依据数据库类型对应的攻击特征设置；

基于HTTP协议流量检测规则，确定出所述HTTP协议流量是否存在攻击行为；其中，所述HTTP协议流量检测规则依据HTTP协议的攻击字词设置。

可选地，所述基于数据库类型对应的检测规则，确定出所述数据库协议流量是否存在攻击行为包括：

利用数据库类型识别算法，确定出所述数据库协议流量所属的数据库类型；

依据所述数据库类型对应的检测规则，识别所述数据库协议流量是否存在攻击行为。

可选地，所述检测规则包含与所述数据库类型相匹配的攻击命令；相应的，所述依据所述数据库类型对应的检测规则，识别所述数据库协议流量是否存在攻击行为包括：

在所述数据库协议流量中包含与所述攻击命令匹配的命令语句的情况下，确定所述数据库协议流量中存在攻击行为。

可选地，在所述确定所述数据库协议流量中存在攻击行为之后还包括：

生成所述数据库协议流量攻击成功的告警信息。

可选地，所述HTTP协议流量检测规则为攻击词库模型，其中，所述攻击词库模型包括攻击字词以及攻击字词之间的限制条件；

相应的，所述基于HTTP协议流量检测规则，确定出所述HTTP协议流量是否存在攻击行为包括：

将所述HTTP协议流量与设定的攻击词库模型进行匹配；

在所述HTTP协议流量中存在与所述攻击词库模型匹配的目标HTTP协议流量的情况下，判定所述HTTP协议流量存在攻击行为。

可选地，还包括：