CN105827627A - 一种信息获取方法和装置 - Google Patents

一种信息获取方法和装置 Download PDF

Info

Publication number
CN105827627A
CN105827627A CN201610282739.5A CN201610282739A CN105827627A CN 105827627 A CN105827627 A CN 105827627A CN 201610282739 A CN201610282739 A CN 201610282739A CN 105827627 A CN105827627 A CN 105827627A
Authority
CN
China
Prior art keywords
information
log information
threat
data message
security gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610282739.5A
Other languages
English (en)
Inventor
张永臣
唐佳伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING NETENTSEC Inc
Original Assignee
BEIJING NETENTSEC Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING NETENTSEC Inc filed Critical BEIJING NETENTSEC Inc
Priority to CN201610282739.5A priority Critical patent/CN105827627A/zh
Publication of CN105827627A publication Critical patent/CN105827627A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例公开了一种信息获取方法,所述方法包括:获取威胁日志信息;其中,所述威胁日志信息为攻击安全网关的数据信息;基于所述威胁日志信息,获取网络报文信息;发送所述威胁日志信息和所述网络报文信息至服务器,以便于所述服务器能够基于所述威胁日志信息对所述网络报文信息进行分析整理得到签名特征信息;接收所述服务器发送的所述签名特征信息,并根据所述签名特征信息更新原始防护策略得到新的防护策略。本发明实施例同时还公开了一种信息获取装置。

Description

一种信息获取方法和装置
技术领域
本发明涉及通信领域中的信息获取技术,尤其涉及一种信息获取方法和装置。
背景技术
对于入侵攻击的防护是网关、防火墙等安全设备的防护基础,提高威胁识别的准确性、全面性对提高主机网络安全十分重要。目前,网关、防火墙等网络安全设备对于威胁攻击识别都是基于网络流量信息特征提取来实现的;现有技术中通常是在实验室对威胁攻击的网络流量进行分析,提取出特殊关键信息作为特征,生成对应特征库,之后部署在网关设备上进行特征匹配检测,识别威胁攻击的。
但是,由于互联网技术发展迅速,现有的网络安全设备的防护方法无法识别所有的网络攻击行为;而且实验室环境单一,无法识别并覆盖所有的网络攻击行为特征,会存在不准确、更新周期长、效率低等问题。
发明内容
为解决上述技术问题,本发明实施例期望提供一种信息获取方法和装置,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
本发明的技术方案是这样实现的:
一种信息获取方法,所述方法包括:
获取威胁日志信息;其中,所述威胁日志信息为攻击安全网关的数据信息;
基于所述威胁日志信息,获取网络报文信息;
发送所述威胁日志信息和所述网络报文信息至服务器,以便于所述服务器能够基于所述威胁日志信息对所述网络报文信息进行分析整理得到签名特征信息;
接收所述服务器发送的所述签名特征信息,并根据所述签名特征信息更新原始防护策略得到新的防护策略。
可选的,所述获取威胁日志信息,包括:
获取所述安全网关运行中的第一数据信息;
将所述第一数据信息与所述原始防护策略进行匹配;
获取所述第一数据信息中与所述原始防护策略匹配的数据信息,得到所述威胁日志信息。
可选的,所述基于所述威胁日志信息,获取网络报文信息,包括:
分析所述威胁日志信息,得到所述威胁日志信息中的标识信息;
获取所述第一数据信息中与所述标识信息对应的所有数据信息,得到所述网络报文信息。
一种信息获取方法,所述方法包括:
接收安全网关发送的威胁日志信息和网络报文信息;其中,所述威胁日志信息为攻击安全网关的数据信息;
将所述威胁日志信息进行分析处理,并基于所述网络报文信息和处理后的所述威胁日志信息得到签名特征信息;
发送所述签名特征信息至所述安全网关,以便于所述安全网关根据所述签名特征信息和原始防护策略得到新的防护策略。
可选的,所述将所述威胁日志信息进行分析处理,并基于处理后的所述威胁日志信息和所述网络报文信息得到签名特征信息,包括:
对所述威胁日志信息进行分类整理,得到所述威胁日志信息中的威胁信息;
获取所述网络报文信息中除所述威胁日志信息中的威胁信息之外的报文信息,得到第二数据信息;
根据预设规则获取所述第二数据信息中符合所述预设规则的数据信息;
获取所述第二数据信息中符合所述预设规则的数据信息的关键信息,生成所述签名特征信息。
一种安全网关,所述安全网关包括:第一获取单元、第二获取单元、第一发送单元和第一处理单元,其中:
所述第一获取单元,用于获取威胁日志信息;其中,所述威胁日志信息为攻击安全网关的数据信息;
所述第二获取单元,用于基于所述威胁日志信息,获取网络报文信息;
所述第一发送单元,用于发送所述威胁日志信息和所述网络报文信息至服务器,以便于所述服务器能够基于所述威胁日志信息对所述网络报文信息进行分析整理得到签名特征信息;
所述第一处理单元,用于接收所述服务器发送的所述签名特征信息,并根据所述签名特征信息更新原始防护策略得到新的防护策略。
可选的,所述第一获取单元包括:第一获取模块、匹配模块和第二获取模块,其中:
所述第一获取模块,用于获取所述安全网关运行中的第一数据信息;
所述匹配模块,用于将所述第一数据信息与所述原始防护策略进行匹配;
所述第二获取模块,用于获取所述第一数据信息中与所述原始防护策略匹配的数据信息,得到所述威胁日志信息。
可选的,所述第二获取单元包括:分析模块和第三获取模块,其中:
所述分析模块,用于分析所述威胁日志信息,得到所述威胁日志信息中的标识信息;
所述第三获取模块,用于获取所述第一数据信息中与所述标识信息对应的所有数据信息,得到所述网络报文信息。
一种服务器,所述服务器包括:接收单元、第二处理单元和第二发送单元,其中:
所述接收单元,用于接收安全网关发送的威胁日志信息和网络报文信息;其中,所述威胁日志信息为攻击安全网关的数据信息;
所述第二处理单元,用于将所述威胁日志信息进行分析处理,并基于所述网络报文信息和处理后的所述威胁日志信息得到签名特征信息;
所述第二发送单元,用于发送所述签名特征信息至所述安全网关,以便于所述安全网关根据所述签名特征信息和原始防护策略得到新的防护策略。
可选的,所述第二处理单元包括:第一处理模块、第四获取模块、第五获取模块和第二处理模块,其中:
所述第一处理模块,用于对所述威胁日志信息进行分类整理,得到所述威胁日志信息中的威胁信息;
所述第四获取模块,用于获取所述网络报文信息中除所述威胁日志信息中的威胁信息之外的报文信息,得到第二数据信息;
所述第五获取模块,用于根据预设规则获取所述第二数据信息中符合所述预设规则的数据信息;
所述第二处理模块,用于获取所述第二数据信息中符合所述预设规则的数据信息的关键信息,生成所述签名特征信息。
本发明实施例所提供的信息获取方法和装置,安全网关可以获取威胁日志信息,基于威胁日志信息获取网络报文信息,之后发送威胁日志信息和网络报文信息至服务器,服务器可以基于威胁日志信息对网络报文信息进行分析整理得到签名特征信息,并发送签名特征信息至安全网关,从而安全网关可以根据签名特征信息得到新的防护策略,这样,安全网关可以根据实际运行中遇到的各种不同的网络攻击行为实时的更新自己的防护策略,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
附图说明
图1为本发明的实施例提供的一种信息获取方法的流程示意图;
图2为本发明的实施例提供的另一种信息获取方法的流程示意图;
图3为本发明的实施例提供的又一种信息获取方法的流程示意图;
图4为本发明的另一实施例提供的一种信息获取方法的流程示意图;
图5为本发明的实施例提供的一种安全网关的结构示意图;
图6为本发明的实施例提供的另一种安全网关的结构示意图;
图7为本发明的实施例提供的又一种安全网关的结构示意图;
图8为本发明的实施例提供的一种服务器的结构示意图;
图9为本发明的实施例提供的另一种服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本发明的实施例提供一种信息获取方法,参照图1所示,该方法包括以下步骤:
步骤101、获取威胁日志信息。
其中,威胁日志信息为攻击安全网关的数据信息。
具体的,步骤101获取威胁日志信息可以是由安全网关来实现的,本发明中的安全网关优选的可以是防火墙。防火墙可以监测并获取其运行过程中产生的所有的数据,并获取该数据中可以被原始防护策略识别到属于攻击行为的数据得到威胁日志信息。
步骤102、基于威胁日志信息,获取网络报文信息。
具体的,步骤102基于威胁日志信息,获取网络报文信息可以是由安全网关来实现的。安全网关可以根据威胁日志信息中的能够唯一标识威胁日志信息中的威胁信息的标识信息,从安全网关运行过程中产生的所有的数据中获取与该标识信息匹配的数据信息得到网络报文信息。
步骤103、发送威胁日志信息和网络报文信息至服务器,以便于服务器能够基于威胁日志信息对网络报文信息进行分析整理得到签名特征信息。
具体的,步骤103发送威胁日志信息和网络报文信息至服务器可以是由安全网关来实现的。签名特征信息可以是服务器根据威胁日志信息对网络报文信息进行分析处理之后得到的威胁信息中的具有相同特征的信息,从而得到签名特征信息。
步骤104、接收服务器发送的签名特征信息,并根据签名特征信息更新原始防护策略得到新的防护策略。
具体的,步骤104接收服务器发送的签名特征信息,并根据签名特征信息更新原始防护策略得到新的防护策略可以是由安全网关来实现的。接收到服务器发送的签名特征信息之后,基于该签名特征信息中包含的能够识别攻击行为的数据信息更新原始防护策略得到新的防护策略。
本发明的实施例所提供的信息获取方法,可以获取威胁日志信息,基于威胁日志信息获取网络报文信息,并发送威胁日志信息和网络报文信息至服务器,以便于服务器能够基于威胁日志信息对网络报文信息进行分析整理得到签名特征信息,之后接收服务器发送的签名特征信息,并根据签名特征信息更新原始防护策略得到新的防护策略,这样,安全网关可以根据实际运行中遇到的各种不同的网络攻击行为实时的更新自己的防护策略,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
本发明的实施例提供一种信息获取方法,参照图2所示,该方法包括以下步骤:
步骤201、接收安全网关发送的威胁日志信息和网络报文信息。
其中,威胁日志信息为攻击安全网关的数据信息。
具体的,接收安全网关发送的威胁日志信息和网络报文信息可以是由服务器来实现的。
步骤202、将威胁日志信息进行分析处理,并基于网络报文信息和处理后的威胁日志信息得到签名特征信息。
具体的,将威胁日志信息进行分析处理,并基于网络报文信息和处理后的威胁日志信息得到签名特征信息可以是由服务器来实现的。服务器可以对得到的威胁日志信息进行分类整理,并根据分类整理之后的威胁日志信息中的威胁信息对网络报文信息进行筛选,得到签名特征信息。
步骤203、发送签名特征信息至安全网关,以便于安全网关根据签名特征信息和原始防护策略得到新的防护策略。
具体的,发送签名特征信息至安全网关可以是由服务器来实现的。
需要说明的是,本实施例中与其它实施例中相同步骤或概念的解释可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的信息获取方法,可以接收安全网关发送的威胁日志信息和网络报文信息,将威胁日志信息进行分析处理,并基于网络报文信息和处理后的威胁日志信息得到签名特征信息,发送签名特征信息至安全网关,以便于安全网关根据签名特征信息和原始防护策略得到新的防护策略,这样,安全网关可以根据实际运行中遇到的各种不同的网络攻击行为实时的更新自己的防护策略,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
本发明的实施例提供一种信息获取方法,参照图3所示,该方法包括以下步骤:
步骤301、安全网关获取威胁日志信息。
其中,威胁日志信息为攻击安全网关的数据信息。
具体的,威胁日志信息中可以包括:威胁信息、每一威胁信息对应的IP地址、威胁信息触发的防护策略中的规则漏洞、属于何种类型的威胁信息、如何进行攻击的等一些关于威胁信息的基本属性信息。
步骤302、安全网关基于威胁日志信息,获取网络报文信息。
具体的,网络报文信息可以指的是能够唯一标识威胁日志信息中的威胁信息的标识信息相关的所有网络通信流量信息。
步骤303、安全网关发送威胁日志信息和网络报文信息至服务器。
步骤304、服务器接收安全网关发送的威胁日志信息和网络报文信息。
步骤305、服务器将威胁日志信息进行分析处理,并基于网络报文信息和处理后的威胁日志信息得到签名特征信息。
步骤306、服务器发送签名特征信息至安全网关。
步骤307、安全网关接收服务器发送的签名特征信息,并根据签名特征信息更新原始防护策略得到新的防护策略。
需要说明的是,本实施例中与其它实施例中相同步骤或概念的解释可以参照其它实施例中的描述,此处不再赘述。
本发明的实施例所提供的信息获取方法,安全网关可以获取威胁日志信息,基于威胁日志信息获取网络报文信息,之后发送威胁日志信息和网络报文信息至服务器,服务器可以基于威胁日志信息对网络报文信息进行分析整理得到签名特征信息,并发送签名特征信息至安全网关,从而安全网关可以根据签名特征信息得到新的防护策略,这样,安全网关可以根据实际运行中遇到的各种不同的网络攻击行为实时的更新自己的防护策略,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
本发明的实施例提供一种信息获取方法,参照图4所示,该方法包括以下步骤:
步骤401、安全网关获取安全网关运行中的第一数据信息。
具体的,第一数据信息可以是防火墙在预设周期内实际运行过程中产生的所有数据信息。
步骤402、安全网关将第一数据信息与原始防护策略进行匹配。
具体的,原始防护策略可以是防火墙中预先设置的基于初始的能够识别攻击行为的所有防护信息;防火墙判断其运行过程中产生的所有数据信息是不是在原始防护策略信息中来实现第一数据信息与原始防护策略的匹配。
步骤403、安全网关获取第一数据信息中与原始防护策略匹配的数据信息,得到威胁日志信息。
具体的,第一数据信息中属于原始防护策略中的信息即可以认为是第一数据信息中与原始防护策略匹配的数据信息,即可以得到威胁日志信息。
步骤404、安全网关分析威胁日志信息,得到威胁日志信息中的标识信息。
步骤405、安全网关获取第一数据信息中与标识信息对应的所有数据信息,得到网络报文信息。
具体的,威胁日志信息中的标识信息优选的可以是威胁日志信息中的每一威胁信息所属的IP地址;防火墙可以根据得到的每一威胁信息的IP地址,在第一数据信息中获取属于该IP地址的所有数据信息即得到网络报文信息;其中,此处只是举例说明标识信息可以是IP地址,并没有限定只能是IP地址,威胁信息的其它属性信息中可以用于唯一标识威胁信息的信息都可以作为标识信息。
步骤406、安全网关发送威胁日志信息和网络报文信息至服务器。
具体的,可以是通过安全网关与服务器之间的通信链路将得到的威胁日志信息和网络报文信息发送给服务器的。
步骤407、服务器接收安全网关发送的威胁日志信息和网络报文信息。
步骤408、服务器对威胁日志信息进行分类整理,得到威胁日志信息中的威胁信息。
具体的,服务器可以按照威胁日志信息中的威胁信息的攻击类型、攻击行为产生的方式、攻击什么产生的威胁信息等方式对威胁日志信息中的威胁信息进行分类。
步骤409、服务器获取网络报文信息中除威胁日志信息中的威胁信息之外的报文信息,得到第二数据信息。
步骤410、服务器根据预设规则获取第二数据信息中符合预设规则的数据信息。
具体的,预设规则可以是预先设置完成的,例如可以是共性恶意特征、攻击模式相关联等,测试过程中形成的可以过滤威胁信息的一些过滤规则信息,并将得到的这些过滤规则信息存储在服务器中。
步骤411、服务器获取第二数据信息中符合预设规则的数据信息的关键信息,生成签名特征信息。
其中,第二数据信息中符合预设规则的数据信息的关键信息可以是第二数据信息中符合预设规则的数据信息中提取出来的具有共同特征的一些信息,并对结合识别预设过滤规则的识别策略得到签名特征信息。
步骤412、服务器发送签名特征信息至安全网关。
步骤413、安全网关接收服务器发送的签名特征信息,并根据签名特征信息更新原始防护策略得到新的防护策略。
具体的,安全网关接收服务器发送的签名特征信息后,将签名特征信息与原始防护策略中的信息进行比较,将原始防护策略中没有的信息添加至原始防护策略,并对原始防护策略进行更新,生成新的防护策略;之后可以根据预设时间周期,重新进行本发明中的操作流程,不断的更新防护策略中的信息。这样,安全网关中的防护策略可以根据各种病毒信息等攻击行为的不断更新实时的更新,可以有效的识别更多的攻击行为,更大程度的保证了网络的通信安全,同时保证了信息的安全,提高了工作效率。本发明各个实施例中的安全网关可以是防火墙,服务器可以是云端服务器。
需要说明的是,本实施例中与其它实施例中相同步骤或概念的解释可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的信息获取方法,安全网关可以获取威胁日志信息,基于威胁日志信息获取网络报文信息,之后发送威胁日志信息和网络报文信息至服务器,服务器可以基于威胁日志信息对网络报文信息进行分析整理得到签名特征信息,并发送签名特征信息至安全网关,从而安全网关可以根据签名特征信息得到新的防护策略,这样,安全网关可以根据实际运行中遇到的各种不同的网络攻击行为实时的更新自己的防护策略,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
本发明的实施例提供一种安全网关5,该安全网关可以应用于图1、3~4对应的实施例提供的一种信息获取方法中,参照图5所示,该安全网关5可以包括:第一获取单元51、第二获取单元52、第一发送单元53和第一处理单元54,其中:
第一获取单元51,用于获取威胁日志信息。
其中,威胁日志信息为攻击安全网关的数据信息。
第二获取单元52,用于基于威胁日志信息,获取网络报文信息。
第一发送单元53,用于发送威胁日志信息和网络报文信息至服务器,以便于服务器能够基于威胁日志信息对网络报文信息进行分析整理得到签名特征信息。
第一处理单元54,用于接收服务器发送的签名特征信息,并根据签名特征信息更新原始防护策略得到新的防护策略。
本发明的实施例所提供的安全网关,可以获取威胁日志信息,基于威胁日志信息获取网络报文信息,并发送威胁日志信息和网络报文信息至服务器,以便于服务器能够基于威胁日志信息对网络报文信息进行分析整理得到签名特征信息,之后接收服务器发送的签名特征信息,并根据签名特征信息更新原始防护策略得到新的防护策略,这样,安全网关可以根据实际运行中遇到的各种不同的网络攻击行为实时的更新自己的防护策略,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
具体的,参照图6所示,第一获取单元51包括:第一获取模块511、匹配模块512和第二获取模块513,其中:
第一获取模块511,用于获取安全网关运行中的第一数据信息。
匹配模块512,用于将第一数据信息与原始防护策略进行匹配。
第二获取模块513,用于获取第一数据信息中与原始防护策略匹配的数据信息,得到威胁日志信息。
进一步,参照图7所示,第二获取单元52包括:分析模块521和第三获取模块522,其中:
分析模块521,用于分析威胁日志信息,得到威胁日志信息中的标识信息。
第三获取模块522,用于获取第一数据信息中与标识信息对应的所有数据信息,得到网络报文信息。
需要说明的是,本发明实施例中各个单元和模块之间的交互过程,可以参照图1、3~4对应的实施例提供的一种信息获取方法中的交互过程,此处不再赘述。
本发明的实施例所提供的安全网关,可以获取威胁日志信息,基于威胁日志信息获取网络报文信息,并发送威胁日志信息和网络报文信息至服务器,以便于服务器能够基于威胁日志信息对网络报文信息进行分析整理得到签名特征信息,之后接收服务器发送的签名特征信息,并根据签名特征信息更新原始防护策略得到新的防护策略,这样,安全网关可以根据实际运行中遇到的各种不同的网络攻击行为实时的更新自己的防护策略,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
本发明的实施例提供一种服务器6,该服务器可以应用于图2~4对应的实施例提供的一种信息获取方法中,参照图8所示,该服务器6可以包括:接收单元61、第二处理单元62和第二发送单元63,其中:
接收单元61,用于接收安全网关发送的威胁日志信息和网络报文信息。
其中,威胁日志信息为攻击安全网关的数据信息。
第二处理单元62,用于将威胁日志信息进行分析处理,并基于网络报文信息和处理后的威胁日志信息得到签名特征信息。
第二发送单元63,用于发送签名特征信息至安全网关,以便于安全网关根据签名特征信息和原始防护策略得到新的防护策略。
本发明实施例所提供的服务器,可以接收安全网关发送的威胁日志信息和网络报文信息,将威胁日志信息进行分析处理,并基于网络报文信息和处理后的威胁日志信息得到签名特征信息,发送签名特征信息至安全网关,以便于安全网关根据签名特征信息和原始防护策略得到新的防护策略,这样,安全网关可以根据实际运行中遇到的各种不同的网络攻击行为实时的更新自己的防护策略,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
进一步,参照图9所示,第二处理单元62包括:第一处理模块621、第四获取模块622、第五获取模块623和第二处理模块624,其中:
第一处理模块621,用于对威胁日志信息进行分类整理,得到威胁日志信息中的威胁信息。
第四获取模块622,用于获取网络报文信息中除威胁日志信息中的威胁信息之外的报文信息,得到第二数据信息。
第五获取模块623,用于根据预设规则获取第二数据信息中符合预设规则的数据信息。
第二处理模块624,用于获取第二数据信息中符合预设规则的数据信息的关键信息,生成签名特征信息。
需要说明的是,本实施例中各个单元和模块之间的交互过程,可以参照图2~4对应的实施例提供的一种信息获取方法中的交互过程,此处不再赘述。
本发明实施例所提供的服务器,可以接收安全网关发送的威胁日志信息和网络报文信息,将威胁日志信息进行分析处理,并基于网络报文信息和处理后的威胁日志信息得到签名特征信息,发送签名特征信息至安全网关,以便于安全网关根据签名特征信息和原始防护策略得到新的防护策略,这样,安全网关可以根据实际运行中遇到的各种不同的网络攻击行为实时的更新自己的防护策略,解决了现有的网络防护方法无法识别未知网络攻击行为的问题,极大的提升了安全防护范围,提高了准确率和效率;同时,降低了更新周期。
在实际应用中,所述第一获取单元51、第二获取单元52、第一发送单元53、第一处理单元54、第一获取模块511、匹配模块512、第二获取模块513、分析模块521、第三获取模块522、接收单元61、第二处理单元62、第二发送单元63、第一处理模块621、第四获取模块622、第五获取模块623和第二处理模块624均可由位于无线数据发送设备中的中央处理器(CentralProcessingUnit,CPU)、微处理器(MicroProcessorUnit,MPU)、数字信号处理器(DigitalSignalProcessor,DSP)或现场可编程门阵列(FieldProgrammableGateArray,FPGA)等实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (10)

1.一种信息获取方法,其特征在于,所述方法包括:
获取威胁日志信息;其中,所述威胁日志信息为攻击安全网关的数据信息;
基于所述威胁日志信息,获取网络报文信息;
发送所述威胁日志信息和所述网络报文信息至服务器,以便于所述服务器能够基于所述威胁日志信息对所述网络报文信息进行分析整理得到签名特征信息;
接收所述服务器发送的所述签名特征信息,并根据所述签名特征信息更新原始防护策略得到新的防护策略。
2.根据权利要求1所述的方法,其特征在于,所述获取威胁日志信息,包括:
获取所述安全网关运行中的第一数据信息;
将所述第一数据信息与所述原始防护策略进行匹配;
获取所述第一数据信息中与所述原始防护策略匹配的数据信息,得到所述威胁日志信息。
3.根据权利要求2所述的方法,其特征在于,所述基于所述威胁日志信息,获取网络报文信息,包括:
分析所述威胁日志信息,得到所述威胁日志信息中的标识信息;
获取所述第一数据信息中与所述标识信息对应的所有数据信息,得到所述网络报文信息。
4.一种信息获取方法,其特征在于,所述方法包括:
接收安全网关发送的威胁日志信息和网络报文信息;其中,所述威胁日志信息为攻击安全网关的数据信息;
将所述威胁日志信息进行分析处理,并基于所述网络报文信息和处理后的所述威胁日志信息得到签名特征信息;
发送所述签名特征信息至所述安全网关,以便于所述安全网关根据所述签名特征信息和原始防护策略得到新的防护策略。
5.根据权利要求4所述的方法,其特征在于,所述将所述威胁日志信息进行分析处理,并基于处理后的所述威胁日志信息和所述网络报文信息得到签名特征信息,包括:
对所述威胁日志信息进行分类整理,得到所述威胁日志信息中的威胁信息;
获取所述网络报文信息中除所述威胁日志信息中的威胁信息之外的报文信息,得到第二数据信息;
根据预设规则获取所述第二数据信息中符合所述预设规则的数据信息;
获取所述第二数据信息中符合所述预设规则的数据信息的关键信息,生成所述签名特征信息。
6.一种安全网关,其特征在于,所述安全网关包括:第一获取单元、第二获取单元、第一发送单元和第一处理单元,其中:
所述第一获取单元,用于获取威胁日志信息;其中,所述威胁日志信息为攻击安全网关的数据信息;
所述第二获取单元,用于基于所述威胁日志信息,获取网络报文信息;
所述第一发送单元,用于发送所述威胁日志信息和所述网络报文信息至服务器,以便于所述服务器能够基于所述威胁日志信息对所述网络报文信息进行分析整理得到签名特征信息;
所述第一处理单元,用于接收所述服务器发送的所述签名特征信息,并根据所述签名特征信息更新原始防护策略得到新的防护策略。
7.根据权利要求6所述的安全网关,其特征在于,所述第一获取单元包括:第一获取模块、匹配模块和第二获取模块,其中:
所述第一获取模块,用于获取所述安全网关运行中的第一数据信息;
所述匹配模块,用于将所述第一数据信息与所述原始防护策略进行匹配;
所述第二获取模块,用于获取所述第一数据信息中与所述原始防护策略匹配的数据信息,得到所述威胁日志信息。
8.根据权利要求7所述的安全网关,其特征在于,所述第二获取单元包括:分析模块和第三获取模块,其中:
所述分析模块,用于分析所述威胁日志信息,得到所述威胁日志信息中的标识信息;
所述第三获取模块,用于获取所述第一数据信息中与所述标识信息对应的所有数据信息,得到所述网络报文信息。
9.一种服务器,其特征在于,所述服务器包括:接收单元、第二处理单元和第二发送单元,其中:
所述接收单元,用于接收安全网关发送的威胁日志信息和网络报文信息;其中,所述威胁日志信息为攻击安全网关的数据信息;
所述第二处理单元,用于将所述威胁日志信息进行分析处理,并基于所述网络报文信息和处理后的所述威胁日志信息得到签名特征信息;
所述第二发送单元,用于发送所述签名特征信息至所述安全网关,以便于所述安全网关根据所述签名特征信息和原始防护策略得到新的防护策略。
10.根据权利要求9所述的服务器,其特征在于,所述第二处理单元包括:第一处理模块、第四获取模块、第五获取模块和第二处理模块,其中:
所述第一处理模块,用于对所述威胁日志信息进行分类整理,得到所述威胁日志信息中的威胁信息;
所述第四获取模块,用于获取所述网络报文信息中除所述威胁日志信息中的威胁信息之外的报文信息,得到第二数据信息;
所述第五获取模块,用于根据预设规则获取所述第二数据信息中符合所述预设规则的数据信息;
所述第二处理模块,用于获取所述第二数据信息中符合所述预设规则的数据信息的关键信息,生成所述签名特征信息。
CN201610282739.5A 2016-04-29 2016-04-29 一种信息获取方法和装置 Pending CN105827627A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610282739.5A CN105827627A (zh) 2016-04-29 2016-04-29 一种信息获取方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610282739.5A CN105827627A (zh) 2016-04-29 2016-04-29 一种信息获取方法和装置

Publications (1)

Publication Number Publication Date
CN105827627A true CN105827627A (zh) 2016-08-03

Family

ID=56528496

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610282739.5A Pending CN105827627A (zh) 2016-04-29 2016-04-29 一种信息获取方法和装置

Country Status (1)

Country Link
CN (1) CN105827627A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534174A (zh) * 2016-12-07 2017-03-22 北京奇虎科技有限公司 一种敏感数据的云防护方法、装置及系统
CN112019546A (zh) * 2020-08-28 2020-12-01 杭州安恒信息技术股份有限公司 一种防护策略调整方法、系统、设备及计算机存储介质
CN112861132A (zh) * 2021-02-08 2021-05-28 杭州迪普科技股份有限公司 一种协同防护方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360019A (zh) * 2008-09-18 2009-02-04 华为技术有限公司 一种僵尸网络的检测方法、系统和设备
US20130086636A1 (en) * 2011-10-03 2013-04-04 Sergey Y. Golovanov System and method for restricting pathways to harmful hosts in computer networks
CN104954188A (zh) * 2015-06-30 2015-09-30 北京奇虎科技有限公司 基于云的网站日志安全分析方法、装置和系统
CN105262722A (zh) * 2015-09-07 2016-01-20 深信服网络科技(深圳)有限公司 终端恶意流量规则更新方法、云端服务器和安全网关
CN105262712A (zh) * 2014-05-27 2016-01-20 腾讯科技(深圳)有限公司 网络入侵检测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360019A (zh) * 2008-09-18 2009-02-04 华为技术有限公司 一种僵尸网络的检测方法、系统和设备
US20130086636A1 (en) * 2011-10-03 2013-04-04 Sergey Y. Golovanov System and method for restricting pathways to harmful hosts in computer networks
CN105262712A (zh) * 2014-05-27 2016-01-20 腾讯科技(深圳)有限公司 网络入侵检测方法及装置
CN104954188A (zh) * 2015-06-30 2015-09-30 北京奇虎科技有限公司 基于云的网站日志安全分析方法、装置和系统
CN105262722A (zh) * 2015-09-07 2016-01-20 深信服网络科技(深圳)有限公司 终端恶意流量规则更新方法、云端服务器和安全网关

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534174A (zh) * 2016-12-07 2017-03-22 北京奇虎科技有限公司 一种敏感数据的云防护方法、装置及系统
CN112019546A (zh) * 2020-08-28 2020-12-01 杭州安恒信息技术股份有限公司 一种防护策略调整方法、系统、设备及计算机存储介质
CN112019546B (zh) * 2020-08-28 2022-11-25 杭州安恒信息技术股份有限公司 一种防护策略调整方法、系统、设备及计算机存储介质
CN112861132A (zh) * 2021-02-08 2021-05-28 杭州迪普科技股份有限公司 一种协同防护方法和装置

Similar Documents

Publication Publication Date Title
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN106909847B (zh) 一种恶意代码检测的方法、装置及系统
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
KR20200052881A (ko) 멀웨어 호스트 넷플로우 분석 시스템 및 방법
CN110602041A (zh) 基于白名单的物联网设备识别方法、装置及网络架构
KR20120068612A (ko) Dns 쿼리 트래픽 감시 및 처리 방법과 그 장치
CN106302450B (zh) 一种基于ddos攻击中恶意地址的检测方法及装置
CN109951419A (zh) 一种基于攻击链攻击规则挖掘的apt入侵检测方法
CN103997489A (zh) 一种识别DDoS僵尸网络通信协议的方法及装置
CN103916288A (zh) 一种基于网关与本地的Botnet检测方法及系统
CN112395597A (zh) 网站应用漏洞攻击的检测方法及装置、存储介质
CN105827627A (zh) 一种信息获取方法和装置
CN112241439A (zh) 一种攻击组织发现方法、装置、介质和设备
CN112491883A (zh) 一种检测web攻击的方法、装置、电子装置和存储介质
CN113079150A (zh) 一种电力终端设备入侵检测方法
US10419318B2 (en) Determining attributes using captured network probe data in a wireless communications system
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
CN113645181B (zh) 一种基于孤立森林的分布式规约攻击检测方法及系统
Guo et al. Behavior Classification based Self-learning Mobile Malware Detection.
CN109474567B (zh) Ddos攻击溯源方法、装置、存储介质及电子设备
CN112217777A (zh) 攻击回溯方法及设备
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US11159548B2 (en) Analysis method, analysis device, and analysis program
US10237287B1 (en) System and method for detecting a malicious activity in a computing environment
Garcia-Lebron et al. A framework for characterizing the evolution of cyber attacker-victim relation graphs

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160803

RJ01 Rejection of invention patent application after publication