技术特征:
1.一种网络攻击的监控方法,包括:获取可疑网络攻击日志;根据所述可疑网络攻击日志确定与所述可疑网络攻击日志对应的网络协议;根据与所述网络协议对应的预设属性和所述网络协议的报文格式,从所述可疑网络攻击日志中提取与所述预设属性对应的属性内容;根据与所述网络协议对应的预设监控策略对所述属性内容进行分析,得到分析结果;以及在所述分析结果表明所述可疑网络攻击日志表征具有网络攻击的情况下,生成报警信息。2.根据权利要求1所述的方法,其中,所述网络协议包括n个所述预设属性,其中,n≥1;所述根据与所述网络协议对应的预设监控策略对所述属性内容进行分析,得到分析结果包括:根据n个所述预设属性的预设排列顺序,依次对所述预设属性对应的属性内容进行分析,得到与所述预设属性对应的子分析结果;根据所述子分析结果确定所述分析结果。3.根据权利要求2所述的方法,其中,每个所述预设属性具有对应的预设条件;所述根据n个所述预设属性的预设排列顺序,依次对所述预设属性对应的属性内容进行分析,得到与所述预设属性对应的子分析结果包括:s1,针对n个所述预设属性中第i预设属性,根据与所述第i预设属性对应的第i预设条件对与所述第i预设属性对应的第i属性内容进行分析,得到与所述第i预设属性对应的第i子分析结果;s2,在所述第i子分析结果表明所述第i属性内容不满足与所述第i预设条件的情况下,停止对后续预设属性的分析,得到i个子分析结果,其中,所述后续预设属性包括在所述预设排列顺序中处于所述第i预设属性之后的预设属性,其中,i≥1;s3,在所述第i子分析结果表明所述第i属性内容满足与所述第i预设条件的情况下,对第i+1预设属性对应的第i+1属性内容进行分析;依次对n个所述预设属性执行步骤s1~步骤s3,最终得到m个子分析结果,其中,1≤m≤n。4.根据权利要求3所述的方法,其中,所述根据所述子分析结果确定所述分析结果包括:在m<n的情况下,根据所述m个子分析结果确定所述分析结果包括所述可疑网络攻击日志具有网络攻击;在m=n的情况下,判断所述m个子分析结果中是否包含所述属性内容不满足对应的所述预设条件的子分析结果;在所述m个子分析结果中包含所述属性内容不满足对应的所述预设条件的子分析结果的情况下,确定所述分析结果包括所述可疑网络攻击日志具有网络攻击;在所述m个子分析结果中不包含所述属性内容不满足对应的所述预设条件的子分析结果的情况下,确定所述分析结果包括所述可疑网络攻击日志不具有网络攻击。5.根据权利要求1所述的方法,其中,所述网络协议包括以下一种:网络层协议、传输层
协议、应用层协议。6.根据权利要求5所述的方法,其中,与所述网络层协议对应的预设属性包括:报文长度、报文标识信息和报文存活时间;与所述传输层协议对应的预设属性包括:报文序列号、报文确认号、报文校验和、报文的同步标志位、报文的确认标志位和报文的重置标志位;与所述应用层协议对应的预设属性包括:请求方法、用户代理,其中,所述请求方法包括报文实际使用的通信方法,所述用户代理包括报文中包含的用户信息。7.根据权利要求6所述的方法,其中,与所述网络层协议对应的预设监控策略包括:所述报文长度是否满足预设值,同一通信会话中的所述报文标识信息是否相同,根据所述报文存活时间判断报文是否是有效报文;与所述传输层协议对应的预设监控策略包括:所述报文确认号与所述报文序列号是否相同,与采用预设计算方式得到的数值是否与所述报文校验和相同,所述报文的同步标志位、报文的确认标志位和报文的重置标志位是否均为1;与所述应用层协议对应的预设监控策略包括:预设通信方法中是否包含所述报文实际使用的通信方法,所述预设用户信息库中是否包含所述报文中包含的用户信息。8.一种网络攻击的监控装置,包括:获取模块,用于获取可疑网络攻击日志;确定模块,用于根据所述可疑网络攻击日志确定与所述可疑网络攻击日志对应的网络协议;提取模块,用于根据与所述网络协议对应的预设属性和所述网络协议的报文格式,从所述可疑网络攻击日志中提取与所述预设属性对应的属性内容;分析模块,用于根据与所述网络协议对应的预设监控策略对所述属性内容进行分析,得到分析结果;以及生成模块,用于在所述分析结果表明所述可疑网络攻击日志表征具有网络攻击的情况下,生成报警信息。9.一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~7中任一项所述的方法。10.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~7中任一项所述的方法。11.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~7中任一项所述的方法。
技术总结
本公开提供了一种网络攻击的监控方法,可以应用于信息安全技术领域。该网络攻击的监控方法包括:获取可疑网络攻击日志;根据上述可疑网络攻击日志确定与上述可疑网络攻击日志对应的网络协议;根据与上述网络协议对应的预设属性和上述网络协议的报文格式,从上述可疑网络攻击日志中提取与上述预设属性对应的属性内容;根据与上述网络协议对应的预设监控策略对上述属性内容进行分析,得到分析结果;以及在上述分析结果表明上述可疑网络攻击日志表征具有网络攻击的情况下,生成报警信息。本公开还提供了一种网络攻击的监控装置、设备、存储介质。存储介质。存储介质。
技术研发人员:王佳音 蒋晓晶
受保护的技术使用者:中国工商银行股份有限公司
技术研发日:2022.06.16
技术公布日:2022/8/8