本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊的檢測方法及裝置。

背景技術(shù)：

通常，黑客通過網(wǎng)絡(luò)中的漏洞，對客戶端與服務(wù)器之間的信息交互過程進(jìn)行監(jiān)聽，竊取用戶名、登錄密碼、驗(yàn)證碼、支付密碼等敏感信息，黑客通過竊取到的敏感信息對服務(wù)器發(fā)起攻擊。

現(xiàn)有技術(shù)中，由于服務(wù)器無法判斷敏感信息是否被竊取，因此服務(wù)器無法檢測到該網(wǎng)絡(luò)攻擊行為，使得服務(wù)器對網(wǎng)絡(luò)攻擊進(jìn)行檢測時，準(zhǔn)確率低。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提供一種網(wǎng)絡(luò)攻擊的檢測方法及裝置，以解決服務(wù)器對網(wǎng)絡(luò)攻擊進(jìn)行檢測時，準(zhǔn)確率低的問題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供技術(shù)方案如下：

根據(jù)本發(fā)明的第一方面，提出了一種網(wǎng)絡(luò)攻擊的檢測方法，所述方法包括：

當(dāng)接收到待處理報文時，解析所述待處理報文得到地址信息和敏感信息；

確定預(yù)設(shè)地址信息列表中是否存在與所述地址信息相同的預(yù)設(shè)地址信息，所述預(yù)設(shè)地址信息列表用于記錄全部預(yù)設(shè)設(shè)備中每一臺預(yù)設(shè)設(shè)備的預(yù)設(shè)地址信息；

當(dāng)確定所述預(yù)設(shè)地址信息列表中不存在與所述地址信息相同的預(yù)設(shè)地址信息時，確定預(yù)設(shè)敏感信息列表中是否存在與所述敏感信息相同的預(yù)設(shè)敏感信息，所述預(yù)設(shè)敏感信息列表用于記錄至少一個預(yù)設(shè)敏感信息；

當(dāng)確定預(yù)設(shè)敏感信息列表中存在與所述敏感信息相同的預(yù)設(shè)敏感信息時，確定所述待處理報文具有攻擊行為。

根據(jù)本發(fā)明的第二方面，提出了一種網(wǎng)絡(luò)攻擊的檢測裝置，包括：

第一解析模塊，用于當(dāng)接收到待處理報文時，解析所述待處理報文得到地址信息和敏感信息；

第一確定模塊，用于確定預(yù)設(shè)地址信息列表中是否存在與所述第一解析模塊中解析得到的所述地址信息相同的預(yù)設(shè)地址信息，所述預(yù)設(shè)地址信息列表用于記錄全部預(yù)設(shè)設(shè)備中每一臺預(yù)設(shè)設(shè)備的預(yù)設(shè)地址信息；

第二確定模塊，用于當(dāng)所述第一確定模塊中確定所述預(yù)設(shè)地址信息列表中不存在與所述地址信息相同的預(yù)設(shè)地址信息時，確定預(yù)設(shè)敏感信息列表中是否存在與所述敏感信息相同的預(yù)設(shè)敏感信息，所述預(yù)設(shè)敏感信息列表用于記錄至少一個預(yù)設(shè)敏感信息；

第三確定模塊，用于當(dāng)所述第二確定模塊中確定預(yù)設(shè)敏感信息列表中存在與所述敏感信息相同的預(yù)設(shè)敏感信息時，確定所述待處理報文具有攻擊行為。

由以上技術(shù)方案可見，當(dāng)服務(wù)器接收到待處理報文時，服務(wù)器解析待處理報文得到地址信息和敏感信息，當(dāng)服務(wù)器確定預(yù)設(shè)地址信息列表中不存在與地址信息相同的預(yù)設(shè)地址信息時，且服務(wù)器確定預(yù)設(shè)敏感信息列表中存在與敏感信息相同的預(yù)設(shè)敏感信息時，服務(wù)器可以判斷該敏感信息被竊取，服務(wù)器確定待處理報文具有攻擊行為，服務(wù)器對網(wǎng)絡(luò)攻擊進(jìn)行檢測時，極大提高了檢測的準(zhǔn)確率。

附圖說明

圖1是本發(fā)明提供的網(wǎng)絡(luò)攻擊的檢測方法所適用的網(wǎng)絡(luò)架構(gòu)圖；

圖2是本發(fā)明提供的一個網(wǎng)絡(luò)攻擊的檢測方法的實(shí)施例流程圖；

圖3是本發(fā)明提供的另一個網(wǎng)絡(luò)攻擊的檢測方法的實(shí)施例流程圖；

圖4是本發(fā)明提供的一種服務(wù)器的硬件結(jié)構(gòu)圖；

圖5是本發(fā)明提供的一個網(wǎng)絡(luò)攻擊的檢測裝置的實(shí)施例框圖；

圖6是本發(fā)明提供的另一個網(wǎng)絡(luò)攻擊的檢測裝置的實(shí)施例框圖。

具體實(shí)施方式

這里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。

在本發(fā)明使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本發(fā)明。在本發(fā)明和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本發(fā)明可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本發(fā)明范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。

圖1是本發(fā)明提供的網(wǎng)絡(luò)攻擊的檢測方法所適用的網(wǎng)絡(luò)架構(gòu)圖，如圖1所示，該網(wǎng)絡(luò)架構(gòu)圖中包括：蜜罐系統(tǒng)11、管理設(shè)備12、服務(wù)器13、預(yù)設(shè)設(shè)備14、預(yù)設(shè)設(shè)備15、訪問設(shè)備16。其中，管理設(shè)備12、服務(wù)器13、預(yù)設(shè)設(shè)備14、預(yù)設(shè)設(shè)備15可以組成一個蜜罐系統(tǒng)11，蜜罐系統(tǒng)的相關(guān)描述可參見現(xiàn)有技術(shù)。本領(lǐng)域技術(shù)人員可以理解的是，預(yù)設(shè)設(shè)備的個數(shù)此處為2個僅為示例性說明，預(yù)設(shè)設(shè)備的個數(shù)不形成對本發(fā)明的限制。預(yù)設(shè)設(shè)備14、預(yù)設(shè)設(shè)備15均為管理人員設(shè)置的已知網(wǎng)絡(luò)設(shè)備，預(yù)設(shè)設(shè)備14、預(yù)設(shè)設(shè)備15的地址信息已被記錄在預(yù)設(shè)地址信息列表中，地址信息可以為ip地址、mac地址、設(shè)備編號等。在一實(shí)施例中，預(yù)設(shè)設(shè)備14用于模擬真實(shí)用戶的登錄行為，預(yù)設(shè)設(shè)備14向服務(wù)器13發(fā)送攜帶敏感信息的待處理報文，敏感信息可以包括：用戶名、登錄密碼、驗(yàn)證碼、支付密碼等隱私信息，黑客通過監(jiān)聽預(yù)設(shè)設(shè)備14與服務(wù)器13之間的交互過程，竊取該敏感信息。當(dāng)黑客通過竊取到的敏感信息攻擊服務(wù)器13時，由于服務(wù)器13已將該敏感信息記錄在了預(yù)設(shè)敏感信息列表中，因此，當(dāng)服務(wù)器13判斷預(yù)設(shè)地址信息列表中不存在訪問設(shè)備16的地址信息時，且訪問設(shè)備16發(fā)送到服務(wù)器13的待處理報文中攜帶該敏感信息時，表明訪問設(shè)備16竊取到了該敏感信息，服務(wù)器13確定訪問設(shè)備16發(fā)送的待處理報文具有攻擊行為，服務(wù)器13將訪問設(shè)備16確定為目標(biāo)設(shè)備。本領(lǐng)域技術(shù)人員可以理解的是，預(yù)設(shè)設(shè)備15與預(yù)設(shè)設(shè)備14的功能相同，在此不作贅述。通過本發(fā)明實(shí)施例，當(dāng)預(yù)設(shè)設(shè)備14與服務(wù)器13之間的交互過程被訪問設(shè)備16監(jiān)聽，且訪問設(shè)備16竊取到敏感信息時，服務(wù)器13通過預(yù)設(shè)地址信息列表及預(yù)設(shè)敏感信息列表可以確定訪問設(shè)備16攜帶的敏感信息是否為被竊取的敏感信息，因此服務(wù)器對網(wǎng)絡(luò)攻擊進(jìn)行檢測時，可以提高檢測的準(zhǔn)確率。

圖2是本發(fā)明提供的一個網(wǎng)絡(luò)攻擊的檢測方法的實(shí)施例流程圖，結(jié)合圖1進(jìn)行示例性說明，如圖2所示，包括如下步驟：

步驟201：當(dāng)接收到待處理報文時，解析待處理報文得到地址信息和敏感信息。

步驟202：確定預(yù)設(shè)地址信息列表中是否存在與地址信息相同的預(yù)設(shè)地址信息，預(yù)設(shè)地址信息列表用于記錄全部預(yù)設(shè)設(shè)備中每一臺預(yù)設(shè)設(shè)備的預(yù)設(shè)地址信息，當(dāng)確定預(yù)設(shè)地址信息列表中不存在與地址信息相同的預(yù)設(shè)地址信息時，執(zhí)行步驟203-步驟204，當(dāng)確定預(yù)設(shè)地址信息列表中存在與地址信息相同的預(yù)設(shè)地址信息時，執(zhí)行步驟205。

步驟203：確定預(yù)設(shè)敏感信息列表中是否存在與敏感信息相同的預(yù)設(shè)敏感信息，預(yù)設(shè)敏感信息列表用于記錄至少一個預(yù)設(shè)敏感信息。

步驟204：當(dāng)確定預(yù)設(shè)敏感信息列表中存在與敏感信息相同的預(yù)設(shè)敏感信息時，確定待處理報文具有攻擊行為。

步驟205：將敏感信息記錄在預(yù)設(shè)敏感信息列表中。

在步驟201中，在一實(shí)施例中，地址信息可以包括：ip地址、mac地址、設(shè)備編號等。敏感信息可以包括：用戶名、登錄密碼、驗(yàn)證碼、支付密碼等隱私信息。例如，服務(wù)器13解析訪問設(shè)備16發(fā)送的待處理報文，得到地址信息192.168.1.1，敏感信息：用戶名cde、登錄密碼345678。

在步驟202中，在一實(shí)施例中，服務(wù)器13確定預(yù)設(shè)地址信息列表中是否存在與地址信息相同的預(yù)設(shè)地址信息，預(yù)設(shè)地址信息列表用于記錄所有預(yù)設(shè)設(shè)備對應(yīng)的預(yù)設(shè)地址信息，結(jié)合圖1，預(yù)設(shè)地址信息列表中記錄了預(yù)設(shè)設(shè)備14及預(yù)設(shè)設(shè)備15的預(yù)設(shè)地址信息，當(dāng)服務(wù)器13確定預(yù)設(shè)地址信息列表中不存在與地址信息相同的預(yù)設(shè)地址信息時，執(zhí)行步驟203-步驟204，當(dāng)服務(wù)器13確定預(yù)設(shè)地址信息列表中存在與地址信息相同的預(yù)設(shè)地址信息時，執(zhí)行步驟205。其中，服務(wù)器13確定預(yù)設(shè)地址信息列表中是否存在與地址信息相同的預(yù)設(shè)地址信息的步驟包括，服務(wù)器13將地址信息與預(yù)設(shè)地址信息列表中記錄的每一個預(yù)設(shè)地址信息進(jìn)行匹配，當(dāng)?shù)刂沸畔⑴c預(yù)設(shè)地址信息列表中記錄的其中一個預(yù)設(shè)地址信息匹配成功時，服務(wù)器13確定預(yù)設(shè)地址信息列表中存在與地址信息相同的預(yù)設(shè)地址信息，當(dāng)?shù)刂沸畔⑴c預(yù)設(shè)地址信息列表中記錄的每一個預(yù)設(shè)地址信息均未匹配成功時，服務(wù)器13確定預(yù)設(shè)地址信息列表中不存在與地址信息相同的預(yù)設(shè)地址信息。以地址信息為192.168.1.1，預(yù)設(shè)設(shè)備14及預(yù)設(shè)設(shè)備15的預(yù)設(shè)地址信息分別為121.14.88.76、121.14.88.77為例，服務(wù)器13將地址信息192.168.1.1與預(yù)設(shè)地址信息列表中記錄的預(yù)設(shè)地址信息121.14.88.76、預(yù)設(shè)地址信息121.14.88.77分別進(jìn)行匹配，且均未匹配成功，服務(wù)器13確定預(yù)設(shè)地址信息列表中不存在與地址信息192.168.1.1相同的預(yù)設(shè)地址信息，執(zhí)行步驟203-步驟204；在另一實(shí)施例中，以地址信息為121.14.88.76，預(yù)設(shè)設(shè)備14及預(yù)設(shè)設(shè)備15的預(yù)設(shè)地址信息分別為121.14.88.76、121.14.88.77為例，服務(wù)器13將地址信息121.14.88.76與預(yù)設(shè)地址信息列表中記錄的預(yù)設(shè)地址信息121.14.88.76、預(yù)設(shè)地址信息121.14.88.77分別進(jìn)行匹配，地址信息121.14.88.76與預(yù)設(shè)地址信息121.14.88.76匹配成功，服務(wù)器13確定預(yù)設(shè)地址信息列表中存在與地址信息121.14.88.76相同的預(yù)設(shè)地址信息121.14.88.76時，執(zhí)行步驟205。

在步驟203中，在一實(shí)施例中，服務(wù)器13確定預(yù)設(shè)敏感信息列表中是否存在與敏感信息相同的預(yù)設(shè)敏感信息，預(yù)設(shè)敏感信息列表用于記錄至少一個預(yù)設(shè)敏感信息。服務(wù)器13確定預(yù)設(shè)敏感信息列表中是否存在與敏感信息相同的預(yù)設(shè)敏感信息的步驟包括：服務(wù)器13將敏感信息與預(yù)設(shè)敏感信息列表中記錄的每一個預(yù)設(shè)敏感信息進(jìn)行匹配，當(dāng)敏感信息與預(yù)設(shè)敏感信息列表中記錄的其中一個預(yù)設(shè)敏感信息匹配成功時，服務(wù)器13確定預(yù)設(shè)敏感信息列表中存在與敏感信息相同的預(yù)設(shè)敏感信息；當(dāng)敏感信息與預(yù)設(shè)敏感信息列表中記錄的每一個預(yù)設(shè)敏感信息均未匹配成功時，服務(wù)器13確定預(yù)設(shè)敏感信息列表中不存在與敏感信息相同的預(yù)設(shè)敏感信息。如表1所示，為預(yù)設(shè)敏感信息列表的結(jié)構(gòu)示例：

表1

表1所示的序號1對應(yīng)用戶名abc、登錄密碼123456、驗(yàn)證碼0218、支付密碼為空；序號2對應(yīng)用戶名bcd、登錄密碼234567、驗(yàn)證碼為空、支付密碼67329；序號3對應(yīng)用戶名cde、登錄密碼345678、驗(yàn)證碼為空、支付密碼為空；序號4對應(yīng)的用戶名、登錄密碼、驗(yàn)證碼、支付密碼均為空。以敏感信息包括用戶名cde、登錄密碼345678為例，用戶名cde、登錄密碼345678與序號3對應(yīng)的用戶名cde、登錄密碼345678匹配成功，服務(wù)器13確定預(yù)設(shè)敏感信息列表中存在與敏感信息相同的預(yù)設(shè)敏感信息。

在步驟204中，在一實(shí)施例中，當(dāng)服務(wù)器13確定預(yù)設(shè)敏感信息列表中存在與敏感信息相同的預(yù)設(shè)敏感信息時，服務(wù)器13確定待處理報文具有攻擊行為。

本領(lǐng)域技術(shù)人員可以理解的是，下述步驟205為非必要執(zhí)行步驟。

在步驟205中，在一實(shí)施例中，當(dāng)確定預(yù)設(shè)地址信息列表中存在與地址信息相同的預(yù)設(shè)地址信息時，服務(wù)器13將敏感信息記錄在預(yù)設(shè)敏感信息列表中，以敏感信息包含用戶名def、登錄密碼456789為例，服務(wù)器13將用戶名def、登錄密碼456789分別記錄在表1所示的序號4對應(yīng)的用戶名、登錄密碼中。需要說明的是，預(yù)設(shè)敏感信息列表中記錄的預(yù)設(shè)敏感信息可以通過步驟205得到，也可以由管理設(shè)備12將配置好的全部預(yù)設(shè)敏感信息提前記錄在預(yù)設(shè)敏感信息列表中，管理設(shè)備12將預(yù)設(shè)敏感信息列表統(tǒng)一下發(fā)到服務(wù)器13、預(yù)設(shè)設(shè)備14、預(yù)設(shè)設(shè)備15。此處對預(yù)設(shè)敏感信息列表的生成過程，預(yù)設(shè)敏感信息的記錄過程不做限定。

本發(fā)明實(shí)施例中，當(dāng)服務(wù)器接收到待處理報文時，服務(wù)器解析待處理報文得到地址信息和敏感信息，當(dāng)服務(wù)器確定預(yù)設(shè)地址信息列表中不存在與地址信息相同的預(yù)設(shè)地址信息時，且服務(wù)器確定預(yù)設(shè)敏感信息列表中存在與敏感信息相同的預(yù)設(shè)敏感信息時，服務(wù)器可以判斷該敏感信息被竊取，服務(wù)器確定待處理報文具有攻擊行為，服務(wù)器對網(wǎng)絡(luò)攻擊進(jìn)行檢測時，極大提高了檢測的準(zhǔn)確率。

圖3是本發(fā)明提供的另一個網(wǎng)絡(luò)攻擊的檢測方法的實(shí)施例流程圖，本發(fā)明實(shí)施例結(jié)合圖1、圖2、圖3，在步驟201-步驟204的基礎(chǔ)上，進(jìn)行示例性說明，如圖3所示，包括如下步驟：

步驟301：解析待處理報文得到五元組信息。

步驟302：統(tǒng)計預(yù)設(shè)時長內(nèi)接收到的具有相同五元組信息的待處理報文的數(shù)量，當(dāng)數(shù)量大于或者等于預(yù)設(shè)數(shù)量時，執(zhí)行步驟303-步驟304，當(dāng)數(shù)量小于預(yù)設(shè)數(shù)量時，執(zhí)行步驟305。

步驟303：確定待處理報文具有攻擊行為，對待處理報文標(biāo)記攻擊標(biāo)識。

步驟304：向管理設(shè)備發(fā)送待處理報文對應(yīng)的日志信息及攻擊標(biāo)識。

步驟305：確定預(yù)設(shè)敏感信息列表中不存在與敏感信息相同的預(yù)設(shè)敏感信息時，確定待處理報文不具有攻擊行為，向管理設(shè)備發(fā)送待處理報文對應(yīng)的日志信息。

在步驟301中，本領(lǐng)域技術(shù)人員可以理解的是，也可以在預(yù)設(shè)設(shè)備14或者預(yù)設(shè)設(shè)備15上通過安裝軟件，提供一些預(yù)設(shè)虛假功能的服務(wù)，例如通過在預(yù)設(shè)設(shè)備14上相應(yīng)安裝軟件，使得預(yù)設(shè)設(shè)備14可以提供網(wǎng)頁訪問服務(wù)。當(dāng)訪問設(shè)備16訪問預(yù)設(shè)設(shè)備14時，預(yù)設(shè)設(shè)備14將訪問設(shè)備16發(fā)送的待處理報文轉(zhuǎn)發(fā)到服務(wù)器13上，服務(wù)器13解析待處理報文得到五元組信息，五元組信息包括：源ip地址信息、目的ip地址信息、源端口信息、目的端口信息和傳輸協(xié)議信息。

在步驟302中，以預(yù)設(shè)時長為1秒、預(yù)設(shè)數(shù)量為100、五元組信息包括：源ip地址“192.168.1.1”，目的ip地址“121.14.88.76”，源端口“10000”，目的端口“80”，tcp協(xié)議號“6”為例，服務(wù)器13統(tǒng)計1秒內(nèi)接收到的具有源ip地址“192.168.1.1”，目的ip地址“121.14.88.76”，源端口“10000”，目的端口“80”，tcp協(xié)議號“6”的待處理報文的數(shù)量，當(dāng)數(shù)量大于或者等于預(yù)設(shè)數(shù)量100時，執(zhí)行步驟303-步驟304，當(dāng)數(shù)量小于預(yù)設(shè)數(shù)量時，執(zhí)行步驟305。以。

在步驟303中，服務(wù)器13確定待處理報文具有攻擊行為，對待處理報文標(biāo)記攻擊標(biāo)識，例如，服務(wù)器13對待處理報文標(biāo)記攻擊標(biāo)識1。

在步驟304中，服務(wù)器13向管理設(shè)備12發(fā)送待處理報文對應(yīng)的日志信息及攻擊標(biāo)識，日志信息可以包括攻擊時間、攻擊頻率、攻擊次數(shù)、敏感信息、五元組信息等。管理設(shè)備12通過可視化的交互軟件對日志信息及攻擊標(biāo)識進(jìn)行展示，便于管理人員及時發(fā)現(xiàn)攻擊行為，并針對攻擊行為進(jìn)行防護(hù)處理。

在步驟305中，服務(wù)器13確定預(yù)設(shè)敏感信息列表中不存在與敏感信息相同的預(yù)設(shè)敏感信息時，服務(wù)器13確定待處理報文不具有攻擊行為，服務(wù)器13向管理設(shè)備12發(fā)送待處理報文對應(yīng)的日志信息，以使管理設(shè)備12通過可視化的交互軟件對日志信息進(jìn)行展示，便于管理人員分析日志信息。

本發(fā)明實(shí)施例中，服務(wù)器13解析待處理報文得到五元組信息，服務(wù)器13統(tǒng)計預(yù)設(shè)時長內(nèi)接收到的具有相同五元組信息的待處理報文的數(shù)量，當(dāng)數(shù)量大于或者等于預(yù)設(shè)數(shù)量時，服務(wù)器13確定待處理報文具有攻擊行為，服務(wù)器13通過預(yù)設(shè)時長內(nèi)接收到的具有相同五元組信息的待處理報文的數(shù)量確定待處理報文是否具有攻擊行為，對圖2所述方法中服務(wù)器13確定待處理報文具有攻擊行為的方法進(jìn)行了完善，進(jìn)一步提高了服務(wù)器13檢測網(wǎng)絡(luò)攻擊的準(zhǔn)確率，同時通過向管理設(shè)備12發(fā)送日志信息及攻擊標(biāo)識，以使管理設(shè)備12通過可視化的交互軟件對日志信息進(jìn)行展示，便于管理人員及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，以及對日志信息進(jìn)行數(shù)據(jù)分析。

對應(yīng)于上述網(wǎng)絡(luò)攻擊的檢測方法，本發(fā)明還提出了圖4所示的服務(wù)器的硬件結(jié)構(gòu)圖。請參考圖4，在硬件層面，該服務(wù)器包括處理器、內(nèi)部總線、網(wǎng)絡(luò)接口、內(nèi)存以及非易失性存儲器，當(dāng)然還可能包括其他業(yè)務(wù)所需要的硬件。處理器從非易失性存儲器中讀取對應(yīng)的計算機(jī)程序到內(nèi)存中然后運(yùn)行，在邏輯層面上形成網(wǎng)絡(luò)攻擊的檢測裝置。當(dāng)然，除了軟件實(shí)現(xiàn)方式之外，本發(fā)明并不排除其他實(shí)現(xiàn)方式，比如邏輯器件抑或軟硬件結(jié)合的方式等等，也就是說以下處理流程的執(zhí)行主體并不限定于各個邏輯單元，也可以是硬件或邏輯器件。

圖5是本發(fā)明提供的一個網(wǎng)絡(luò)攻擊的檢測裝置的實(shí)施例框圖，如圖5所示，該網(wǎng)絡(luò)攻擊的檢測裝置可以包括：第一解析模塊51、第一確定模塊52、第二確定模塊53、第三確定模塊54，其中：

第一解析模塊51，用于當(dāng)接收到待處理報文時，解析所述待處理報文得到地址信息和敏感信息；

第一確定模塊52，用于確定預(yù)設(shè)地址信息列表中是否存在與所述第一解析模塊51中解析得到的所述地址信息相同的預(yù)設(shè)地址信息，所述預(yù)設(shè)地址信息列表用于記錄全部預(yù)設(shè)設(shè)備中每一臺預(yù)設(shè)設(shè)備的預(yù)設(shè)地址信息；

第二確定模塊53，用于當(dāng)所述第一確定模塊52中確定所述預(yù)設(shè)地址信息列表中不存在與所述地址信息相同的預(yù)設(shè)地址信息時，確定預(yù)設(shè)敏感信息列表中是否存在與所述敏感信息相同的預(yù)設(shè)敏感信息，所述預(yù)設(shè)敏感信息列表用于記錄至少一個預(yù)設(shè)敏感信息；

第三確定模塊54，用于當(dāng)所述第二確定模塊53中確定預(yù)設(shè)敏感信息列表中存在與所述敏感信息相同的預(yù)設(shè)敏感信息時，確定所述待處理報文具有攻擊行為。

圖6是本發(fā)明提供的另一個網(wǎng)絡(luò)攻擊的檢測裝置的實(shí)施例框圖，如圖6所示，在上述圖5所示實(shí)施例的基礎(chǔ)上，網(wǎng)絡(luò)攻擊的檢測裝置還包括：

第二解析模塊55，用于解析所述待處理報文得到五元組信息；

數(shù)量統(tǒng)計模塊56，用于統(tǒng)計預(yù)設(shè)時長內(nèi)接收到的具有相同所述第二解析模塊55中的所述五元組信息的待處理報文的數(shù)量；

第四確定模塊57，用于當(dāng)所述數(shù)量統(tǒng)計模塊56中統(tǒng)計得到的所述數(shù)量大于或者等于預(yù)設(shè)數(shù)量時，確定所述待處理報文具有攻擊行為。

在一實(shí)施例中，網(wǎng)絡(luò)攻擊的檢測裝置還包括：

攻擊標(biāo)識標(biāo)記模塊58，用于當(dāng)所述第三確定模塊54或者所述第四確定模塊57中執(zhí)行所述確定所述待處理報文具有攻擊行為的步驟時，對所述待處理報文標(biāo)記攻擊標(biāo)識；

第一發(fā)送模塊59，用于向管理設(shè)備發(fā)送所述待處理報文對應(yīng)的日志信息及所述攻擊標(biāo)識標(biāo)記模塊58標(biāo)記的所述攻擊標(biāo)識。

在一實(shí)施例中，網(wǎng)絡(luò)攻擊的檢測裝置還包括：

第二發(fā)送模塊60，用于當(dāng)所述數(shù)量統(tǒng)計模塊56中統(tǒng)計得到的所述數(shù)量小于所述預(yù)設(shè)數(shù)量時，且所述第二確定模塊53中確定預(yù)設(shè)敏感信息列表中不存在與所述敏感信息相同的預(yù)設(shè)敏感信息時，確定所述待處理報文不具有攻擊行為，向所述管理設(shè)備發(fā)送所述待處理報文對應(yīng)的日志信息。

在一實(shí)施例中，網(wǎng)絡(luò)攻擊的檢測裝置還包括：

敏感信息記錄模塊61，用于當(dāng)所述第一確定模塊52中確定所述預(yù)設(shè)地址信息列表中存在與所述地址信息相同的預(yù)設(shè)地址信息時，將所述敏感信息記錄在所述預(yù)設(shè)敏感信息列表中。

上述裝置中各個單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實(shí)現(xiàn)過程，在此不再贅述。

對于裝置實(shí)施例而言，由于其基本對應(yīng)于方法實(shí)施例，所以相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本發(fā)明方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實(shí)施。

由上述實(shí)施例可見，當(dāng)服務(wù)器接收到待處理報文時，服務(wù)器解析待處理報文得到地址信息和敏感信息，當(dāng)服務(wù)器確定預(yù)設(shè)地址信息列表中不存在與地址信息相同的預(yù)設(shè)地址信息時，且服務(wù)器確定預(yù)設(shè)敏感信息列表中存在與敏感信息相同的預(yù)設(shè)敏感信息時，服務(wù)器可以判斷該敏感信息被竊取，服務(wù)器確定待處理報文具有攻擊行為，服務(wù)器對網(wǎng)絡(luò)攻擊進(jìn)行檢測時，極大提高了檢測的準(zhǔn)確率。

本領(lǐng)域技術(shù)人員在考慮說明書及實(shí)踐這里公開的發(fā)明后，將容易想到本發(fā)明的其它實(shí)施方案。本發(fā)明旨在涵蓋本發(fā)明的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本發(fā)明的一般性原理并包括本發(fā)明未公開的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實(shí)施例僅被視為示例性的，本發(fā)明的真正范圍和精神由下面的權(quán)利要求指出。

還需要說明的是，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。