CN106878262A - 报文检测方法及装置、建立云端威胁情报库的方法及装置 - Google Patents
报文检测方法及装置、建立云端威胁情报库的方法及装置 Download PDFInfo
- Publication number
- CN106878262A CN106878262A CN201611178150.7A CN201611178150A CN106878262A CN 106878262 A CN106878262 A CN 106878262A CN 201611178150 A CN201611178150 A CN 201611178150A CN 106878262 A CN106878262 A CN 106878262A
- Authority
- CN
- China
- Prior art keywords
- information
- application scenarios
- mark
- defensive equipment
- cloud server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施方式提供了报文检测方法及装置、建立云端威胁情报库的方法及装置,所述报文检测方法应用于防御设备,所述报文检测方法包括:接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;其中,所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的;若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。应用本发明实施方式能够实现使用本地威胁情报库对报文流量进行检测,无需频繁连接互联网,以节省带宽资源,提高防御设备的工作效率。
Description
技术领域
本发明涉及通信领域的网络管理技术,特别是涉及报文检测方法及装置、建立云端威胁情报库的方法及装置。
背景技术
随着互联网技术的快速发展,基于特征或者正则表达式的传统防御解决方案已经难以应对日益更新的网络病毒和网络攻击事件,为此,威胁情报技术应运而生。威胁情报技术是指通过查询威胁情报库来获取现存或者是即将出现的威胁或危险,以及提供针对威胁或危险的解决方案。
由于威胁情报库包括海量数据,通常情况下会将威胁情报库保存在云端存储器中。在实际应用中,由于本地的防御设备在每次执行检测报文流量的处理时,都需要在威胁情报库中针对待检测的报文流量进行信息查找和匹配,因此,防御设备需要频繁连接互联网以访问处于云端的威胁情报库。这样,频繁连接互联网会占用大量的带宽资源且耗费时间,影响防御设备的工作效率。
发明内容
本发明实施方式的目的在于提供报文检测方法及装置、建立云端威胁情报库的方法及装置,能够实现使用本地威胁情报库对报文流量进行检测,无需频繁连接互联网,以节省带宽资源,提高防御设备的工作效率。具体技术方案如下:
本发明的一种实施方式提供了一种报文检测方法,应用于防御设备,所述方法包括:接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;其中,所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的;若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
本发明的一种实施方式还提供了一种云端威胁情报库的建立方法,应用于云端服务器,所述方法包括:获取情报信息,存储至所述云端服务器的云端威胁情报库中;当确定情报信息对应的应用场景信息时,根据所述应用场景信息,为所述情报信息增加第二应用场景标识;其中,所述第二应用场景标识用于区分情报信息的应用场景,以根据所述第二应用场景标识向与所述应用场景关联的防御设备发送情报信息。
本发明的一种实施方式又提供了一种报文检测装置,应用于防御设备,所述装置包括:第一确定单元,用于接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;其中,所述本地威胁情报数据库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的;第二确定单元,用于若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
本发明的一种实施方式另提供了一种建立云端威胁情报库的装置,应用于云端服务器,所述装置包括:获取单元,用于获取情报信息,存储至所述云端服务器的云端威胁情报库中;增加单元,用于当确定情报信息对应的应用场景信息时,根据所述应用场景信息,为所述情报信息增加第二应用场景标识;其中,所述第二应用场景标识用于区分情报信息的应用场景,以根据所述第二应用场景标识向与所述应用场景关联的防御设备发送情报信息。
本发明实施方式提供的报文检测方法及装置、建立云端威胁情报库的方法及装置,能够根据待检测报文流量的特征,确定本地威胁情报库中是否存在与特征相匹配的目标情报信息;若存在,则根据目标情报信息,确定待检测报文流量的检测结果。这样,本发明实施方式通过使用本地威胁情报库检测报文流量,使得防御设备在检测报文流量的过程中无需频繁的连接互联网,不仅实现了节省了防御设备连接互联网的带宽资源,而且简化了检测报文流量的处理流程,提高了防御设备的工作效率。
附图说明
为了更清楚地说明本发明实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施方式的报文检测方法的一种流程图;
图2为本发明实施方式的建立云端威胁情报库的方法的一种流程图;
图3为本发明实施方式的报文检测装置的一种结构图;
图4为本发明实施方式的建立云端威胁情报库的装置的一种结构图。
具体实施方式
下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
本发明实施方式公开了一种报文检测方法,应用于防御设备。参见图1,图1为本发明实施方式的报文检测方法的一种流程图,包括如下步骤:
步骤101,接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;
其中,所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的。
具体的,云端服务器根据防御设备的第一应用场景向防御设备发送情报信息,防御设备根据接收的情报信息建立本地威胁情报库。目前,为了应对日益增加的网络病毒和网络攻击事件,基于威胁情报的报文检测技术开始逐渐受到人们重视。由于本地防御设备的资源有限,包含海量数据的威胁情报库通常会保存在云端服务器。在威胁情报技术应用于防御设备的情况下,防御设备每次处理报文流量均需要在处于云端服务器的云端的威胁情报库中进行查找匹配,一方面,防御设备频繁联网以访问处于云端的威胁情报库,占用了大量带宽资源;另一方面,处于云端的威胁情报库中包含了海量的情报信息,而每次查询均需要遍历整个威胁情报库,导致查询效率低,占用大量的计算资源。这些问题对威胁情报技术的实施应用带来了较大困难。
需要说明的是,在本发明实施方式中,防御设备具体可以包括入侵防御系统(Intrusion Prevention System,IPS)设备、下一代防火墙(Next Generation FireWall,NGFW)设备、入侵检测系统(Intrusion Detection Systems,IDS)设备、无线控制器(AccessController,AC)设备、统一威胁管理(United Threat Management,UTM)设备等,也就是说,只要能够支持威胁情报技术的防御设备都可以使用本发明实施方式所述的方案。在实际应用中,报文流量的特征可以是关键代码、或者IP地址、或者统一资源标识符(UniformResource Identifier,URL)中的任意一个或多个。
比如,当防御设备接收到报文流量,用户要求检测所述报文流量中是否包括病毒,那么,防御设备就可以根据报文流量中的关键代码,在本地威胁情报信息库中确定是否存在包括所述关键代码的目标情报信息;其中,所述目标情报信息可以是包括关键代码的报文流量,也就是病毒的情报信息。
需要说明的是,在本发明实施方式中,本地威胁情报库是云端威胁情报信息库根据防御设备的第一应用场景标识发送到防御设备上的情报建立的,在本发明的一种优选实施方式中,提供一种建立本地威胁情报库的具体实施方式,所述方法还可以包括:
步骤99,向云端服务器发送获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识,以使所述云端服务器根据所述第一应用场景标识和云端威胁情报库中情报信息的第二应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;所述情报信息中包括:所述第二应用场景标识、以及与所述第二应用场景标识关联的情报特征信息;
步骤100,接收所述云端服务器发送的、与所述第一应用场景标识相匹配的情报信息,根据所述情报信息建立或更新所述本地威胁情报库。
需要说明的是,第一应用场景标识为防御设备的应用场景标识,第二应用场景标识为情报信息所携带的应用场景标识,“第一”、“第二”仅用于区别不同主体的应用场景标识,但具体的标识中所包含的信息,可以相同,也可以不同,对此不加以限制。
其中,当防御设备根据情报信息建立本地威胁情报库时,则步骤99和步骤100在步骤101之前执行,当防御设备根据情报信息更新本地威胁情报库时,步骤99和步骤100一般在步骤101之后执行。
在实际应用中,为了减少防御设备在检测报文流量过程中连接互联网的次数,在防御设备接收待检测的报文流量之前,可以将云端威胁情报库保存在本地的防御设备中,但由于云端威胁情报库的数据量过大而防御设备的存储空间有限,因此,在本发明实施方式中,可以将根据防御设备的应用场景,获取云端威胁情报库中与防御设备的应用场景相匹配的情报信息防御设备。
具体地,防御设备的应用场景可以是金融、教育、政府、运营商等中的一个或者多个,需要根据防御设备的应用场景确定防御设备的第一应用场景标识。比如,当防御设备的应用场景为医疗时,对应的第一应用场景标识可以是“医疗”;当防御设备的应用场景为金融类学校时,对应的第一应用场景标识可以是“金融和教育”。
具体的,用户可以根据自身的需求向防御设备发送应用环境指令,应用环境指令中包括第一应用场景标识,防御设备可以根据接收的应用环境指令确定第一应用场景标识。或者,防御设备通过机器学习算法确定报文流量的第一应用场景标识,具体的机器学习算法可以采用现有技术中的算法,在此不再赘述。
需要说明的是,对于同一个防御设备,对应的第一应用场景标识也不是一成不变的,第一应用场景标识可以随着防御设备的应用场景的变化而进行更新;可以理解的,当防御设备的应用场景发生变化时,需要根据变化后的应用场景,更新第一应用场景标识,进而重新建立与更新后的第一应用场景标识相匹配的本地威胁情报库。
具体地,为了建立本地威胁情报库,防御设备可以向云端服务器发送包含第一应用场景标识的获取情报信息请求;这样,云端服务器就能够根据第一应用场景标识,确定与第一应用场景标识相匹配的第二应用场景标识相关联的情报特征信息,再将确定好的情报特征信息发送到防御设备,使得防御设备能够根据接收到的情报特征信息建立或者更新本地威胁情报库。
需要说明的是,由于云端服务器中的情报信息是以情报特征信息的方式保存在云端威胁情报库中的。当然,也可以以其他能够体现情报信息特征的形式来保存。本发明对云端威胁情报库中情报信息的保存形式不加以限制。
这样,防御设备在向云端服务器发送包括第一应用场景标识的获取情报信息请求,并接收到来自云端服务器、与第一应用场景标识相匹配的情报信息后,能够根据接收到的情报信息建立或者更新本地威胁情报库;可以理解的,本地威胁情报库中的情报信息也是以情报特征信息的方式来保存的,且与云端威胁情报库中的情报信息中情报信息的保存形式相同。
步骤102,若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。具体地,当本地威胁情报库中存在与所述特征相匹配的目标情报信息时,可以根据目标情报信息确定待检测报文的检测结果。
其中,待检测报文流量的检测结果可以与本地威胁情报库中保存的情报特征信息相对应;比如,建立的本地威胁情报库中的特征信息为病毒的部分代码,那么,待检测报文流量的检测结果就可以是待检测报文流量包括或者不包括病毒。或者,本地威胁情报库中的特征信息为恶意攻击的IP地址,则可以根据该特征信息判断待检测报文流量的源IP地址是否为恶意攻击IP。当然,对于本地威胁情报库中保存的特征信息可以为一个,也可以为多个。若特征信息为多个,则在确定是否存在与特征相匹配的目标情报信息时,需要根据多个特征进行匹配。
可见,本发明实施方式能够根据待检测报文流量的特征,确定本地威胁情报库中是否存在与特征相匹配的目标情报信息;若存在,则根据目标情报信息,确定待检测报文流量的检测结果。这样,本发明实施方式通过使用本地威胁情报库检测报文流量,使得防御设备在检测报文流量的过程中无需频繁的连接互联网,不仅实现了节省了防御设备连接互联网的带宽资源,而且简化了检测报文流量的处理流程,提高了防御设备的工作效率。
此外,在本发明的一种优选实施方式中,所述方法还可以包括:
若确定本地威胁情报库中不存在与所述特征匹配的目标情报信息,则向所述云端服务器发送检测请求;
其中,所述检测请求中包括所述待检测的报文流量的特征,以使所述云端服务器根据所述特征信息确定云端威胁情报库是否存在与所述特征相匹配的目标情报信息。
需要说明的是,由于本地威胁情报库是根据防御设备的应用场景从云端威胁情报库中获取的情报信息建立的,因此当云端威胁情报库中情报信息的第二应用场景标识错误或者不准确时,可能导致本地威胁情报库不存在与所述特征匹配的目标情报信息。
在本步骤中,在确定本地威胁情报库中不存在与待检测报文流量的特征匹配的目标情报信息时,可以连接互联网,向云端服务器发送包括待检测报文特征的检测请求,使得云端服务器根据检测请求确定云端威胁情报库中是否存在与所述特征相匹配的目标情报信息。
为了在使用中不断完善威胁情报库,在本发明的再一种优选实施方式中,所述方法还可以包括:
向云端服务器发送防御设备的第一应用场景标识,以使得云端服务器在根据所述特征信息确定云端威胁情报库中存在与所述特征匹配的目标情报信息后,按照所述第一应用场景标识,更新所述目标情报信息的应用场景标识。
在实际应用中,当本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息时,就需要连接互联网,向云端服务器发送检测请求,这样不仅占用了连接互联网的带宽资源,而且增加了检测报文流量的处理流程。因此,为了尽量避免出现这种情况,减少连接互联网的次数,提高报文流量检测的效率,需要在使用过程中逐步完善云端威胁情报库本地威胁情报库。
需要说明的是,由于本地威胁情报库是云端服务器通过确定与第一应用场景标识匹配的第二应用场景标识,将第二应用场景相关联的情报信息发送到防御设备中,由防御设备建立的,当出现本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息的情况时,可能是云端威胁情报库中情报信息的第二应用场景标识错误或者不准确;此时,需要对云端威胁情报库中情报信息的第二应用场景标识进行更新。
具体地,防御设备可以有以下两种实施方式,使得云端威胁情报库更新第二应用场景标识。
第一种实施方式:
防御设备在确定本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息之后,向云端服务器发送检测请求;其中,检测请求中除了携带待检测报文流量的特征信息,还携带与待检测报文关联防御设备的第一应用场景标识,以使得云端服务器在确定云端威胁情报库中存在与待检测报文流量的特征相匹配的目标情报信息时,根据第一应用场景标识更新匹配到的目标情报信息的应用场景标识,或者根据第一应用场景标识为匹配到的目标情报信息添加应用场景标识;
第二种实施方式:
防御设备在确定本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息之后,向云端服务器发送检测请求;其中,检测请求中除了携带待检测报文流量的特征,还携带防御设备地址信息;以使得云端服务器在确定云端威胁情报库中存在与待检测报文流量的特征相匹配的目标情报信息时,根据防御设备的地址信息向防御设备发送针对第一应用场景标识的获取请求;可选的,获取请求中包括目标情报信息的标识;
防御设备接收到来自云端服务器的获取请求后,向云端服务器发送针对获取请求的响应信息;其中,响应信息中包括目标情报信息的标识以及第一应用场景标识;以使得云端服务器根据所述响应信息中包括的目标情报信息的标识和第一应用场景标识,更新目标情报信息的应用场景标识。
云端服务器在接收到响应消息之后,获取响应消息中的目标情报信息的标识,以及第一应用场景标识,则根据该第一应用场景标识更新目标情报信息的应用场景标识,或者根据第一应用场景标识为目标情报信息添加应用场景标识。
这样,实现了对云端服务器的云端威胁情报库中情报信息的第二应用场景标识的更新,在防御设备建立或者更新本地威胁情报库时,就能够获得到云端威胁情报库中更新应用场景标识后的情报信息,使本地威胁情报库更加完善;减少了出现本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息问题的几率,从而减少了防御设备在检测报文流量过程中连接互联网的次数。
可见,本发明实施方式在对待检测报文的检测过程中,能够优选本地威胁情报库,在确定本地威胁情报库中不存在与待检测报文流量特征相匹配的目标情报信息的情况下,再在云端威胁情报库中确定是否存在与待检测报文流量特征相匹配的目标情报信息;并且,云端威胁情报库和本地威胁情报库还可以在使用过程中不断完善。这样,能够尽量减少防御设备在对待检测报文流量的检测过程中连接互联网的次数,不仅节省了连接互联网的带宽资源,而且提高了报文检测的工作效率。
此外,还需要说明的是,在实际应用中,对于同一报文流量,防御设备在对多个特征进行匹配时,相应的会得到多个检测结果,因此,在多个检测结果不一致的情况下,需要根据预设规则进行决策,确定报文流量的最终检测结果。
举例来说,防御设备同时采用不同的特征对报文流量进行检测时,例如可以使用URL过滤方式(特征为URL)和使用AV过滤方式(特征为关键代码)对报文进行检测。在用户要求检测接收到的报文流量中是否包括病毒时,防御设备使用URL过滤方式得到的检测结果为报文流量中包括病毒,但是,防御设备使用AV过滤方式得到的检测结果为报文流量中不包括病毒;在这种情况下,需要确定报文流量中到底包不包括病毒。
优选地,在本发明实施方式中,本地威胁情报库中或者云端威胁情报库的情报信息除了包括第二应用场景标识、以及与第二应用场景标识关联的情报特征信息以外,还包括与情报特征信息关联的权重信息,权重信息用于在确定是否存在与报文流量的特征相匹配的目标情报信息时,若报文流量与本地威胁情报库中或者云端威胁情报库的情报信息的多个特征匹配时,根据匹配到的特征信息的权重,确定检测报文的最终检测结果。
可选的,可以根据权重越高越优先生效的原则,确定报文流量的最终检测结果。
举例来说,具体地,若使用URL过滤方式(特征为URL)的权重大于使用AV过滤方式(特征为关键代码)的权重,则以URL过滤方式的权重作为最终检测结果。
优选地,在本发明实施方式中,本地威胁情报库中或者云端威胁情报库中的情报信息除了包括第二应用场景标识、以及与第二应用场景标识关联的情报特征信息以外,还包括可信度。
针对可信度,需要说明的是:在根据目标情报信息,确定待检测报文流量的检测结果之后,可以根据目标情报信息的可信度大小,确定下一步需要执行的动作。在实际应用中,由于从开源机构或者海量数据同步来的情报信息数量较多,通常无法对大量的情报信息进行清洗处理;未经清洗处理的情报信息的可信度较低,而近期经过清洗处理后保留的情报信息的可信度较高;若将可信度分为0~10共十个等级,则经过处理后保留的情报信息的可信度可以为10。
具体地,当目标情报信息的可信度较大,超过预设阈值时,说明目标情报信息的可靠性较高,可以直接执行预设的处理动作;当目标情报信息的可信度较小,没有超过预设阈值时,说明目标情报信息的可靠性较低,为了保险起见,可以先发出告警动作,进而由用户根据实际情况来决定是否执行处理操作。
比如,在检测结果为报文流量中包括病毒的情况下,当目标情报信息的可信度超过预设阈值时,可以直接执行拦截报文流量的处理动作;当目标情报信息的可信度没有超过预设阈值时,可以先向用户发出报文流量中包括病毒的告警动作,进而由用户根据实际情况来决定是否执行拦截报文流量的处理动作。
优选地,在本发明实施方式中,本地威胁情报库中或者云端威胁情报库中的情报信息除了包括第二应用场景标识、以及与第二应用场景标识关联的情报特征信息以外,还包括老化时间。
针对老化时间,需要说明的是:由于超过老化时间的情报信息的有效性较差,因此,在实际应用中,可以删除到达老化时间的情报信息;也可以根据老化时间,设置本地威胁情报库向云端威胁情报库的更新时间,比如可以设置“超过老化时间后立即同步”;或者按照自定义时间更新本地威胁情报库。
在实际应用中,本地威胁情报库中或者云端威胁情报库中的情报信息中除了包括第二应用场景标识、以及与第二应用场景标识关联的情报特征信息以外,可以包括权重、可信度和老化时间中的一个或者多个。
可见,本发明实施方式可以通过根据特征的权重,在多个检测结果中决策出最终检测结果;以及根据情报信息的可信度,确定是否执行检测结果对应的处理动作;以及根据情报信息的老化时间,确定是否从本地威胁情报库中删除过期的情报信息,或者是否更新本地威胁情报库,实现保证最终检测结果准确性的目的。
本发明实施方式又公开了一种建立云端威胁情报库的方法,应用于云端服务器。参见图2,图2为本发明实施方式的在服务器上建立云端威胁情报库的方法的一种流程图,包括如下步骤:
步骤201,获取情报信息,存储至云端服务器的云端威胁情报库中;
步骤202,当确定情报信息对应的应用场景信息时,根据所述应用场景信息,为所述情报信息增加第二应用场景标识。云端服务器可以根据自身接收的情报信息,通过机器学习算法确定情报信息的应用场景标识,具体的机器学习算法可以采用现有技术中的算法,在此不再赘述。
其中,所述第二应用场景标识用于区分情报信息的应用场景,以根据所述第二应用场景标识向与所述第二应用场景关联的防御设备发送情报信息。
在实际应用中,云端服务器为了将云端威胁情报库中的情报信息发送至防御设备,本发明实施方式分别为云端威胁情报库中的每条情报信息增加了第二应用场景标识。这样,当云端服务器接收到来自防御设备的第一应用场景标识后,能够根据第一应用场景标识,确定与第一应用场景标识相匹配的第二应用场景标识相关联的情报信息,进而能够将确定好的情报信息发送至防御设备,以使得防御设备能够根据接收到的情报信息建立或者更新本地威胁情报库。
比如,可以用英文字母A~Z表示不同的第二应用场景标识,字母A可以用来表示第二应用场景标识为金融,字母B可以用来表示第二应用场景标识为政府,字母C可以用来表示第二应用场景标识为通信运营商,字母Z可以用来表示第二应用场景标识为“all”,也就是说,当第二应用场景标识为字母Z时,可以与所有的第一应用场景标识相匹配;当然,也可以同时用两个字母AC来标识在金融场景和通信运营商场景中、均需要关注的情报信息的第二应用场景标识。这样,云端服务器可以将第二应用场景标识为字母A的情报特征信息,发送至第一应用场景为“金融”的防御设备中,使防御设备根据接收到的情报信息建立本地威胁情报库。
在本发明的又一种优选实施方式中,提供一种建立本地威胁情报库的具体实施方式,所述方法包括:
接收防御设备发送的获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识;
根据所述第一应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;其中,所述情报信息中包括:第一应用场景标识和与所述第一应用场景标识关联的情报特征信息;
向所述防御设备发送与所述第一应用场景标识相匹配的情报信息,以使所述防御设备根据所述情报信息建立所述本地威胁情报库。
需要说明的是,第一应用场景标识为防御设备的应用场景标识,第二应用场景标识为情报信息所携带的应用场景标识,“第一”、“第二”仅用于区别不同主体的应用场景标识,但具体的标识中所包含的信息,可以相同,也可以不同,对此不加以限制。
具体地,云端服务器在接收到来自防御设备的、包括第一应用场景标识的获取情报信息请求后,能够根据防御设备的应用场景,将与第一应用场景标识相匹配的第二应用场景标识相关联的情报特征信息发送到防御设备,使得防御设备根据接收到的第一应用场景标识和情报特征信息,建立本地威胁情报库。
需要说明的是,由于云端威胁情报库中的情报信息是以情报特征信息的方式保存在云端服务器中的。当然,也可以以其他能够体现情报信息特征的形式来保存。本发明对云端数据库中情报信息的保存形式不加以限制。
在本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息的情况下,在本发明的另一种优选实施方式中,所述方法还包括:
接收所述防御设备发送的检测请求;其中,所述检测请求中包括所述待检测的报文流量的特征信息,根据所述特征信息确定是否存在与所述特征匹配的目标情报信息;
若确定存在与所述特征匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
具体地,在本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息时,本地威胁情报库可以连接互联网,向云端服务器发送包括待检测报文特征的检测请求;当云端服务器确定云端威胁情报库中存在与所述特征匹配的目标情报信息时,可以根据所述目标情报信息,确定所述待检测报文的检测结果。
但是,这样在云端威胁情报库中对待检测报文流量进行检测,不仅占用了连接互联网的带宽资源,而且增加了检测报文流量的处理流程。因此,为了尽量避免出现这种情况,减少连接互联网的次数,提高报文流量检测的效率,需要在使用过程中逐步完善云端威胁情报库和本地威胁情报库。
为了在使用中不断完善云端威胁情报库和本地威胁情报库,在本发明的另一种优选实施方式中,所述方法包括:
当云端服务器确定存在与所述特征匹配的目标情报信息时,获取防御设备的应用场景标识,根据所述防御设备的应用场景标识,更新所述目标情报信息的应用场景标识。
在实际应用中,在本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息,并向云端服务器发送包括待检测报文特征的检测请求的情况下,云端服务器在接收到来自防御设备的检测请求,且确定云端威胁情报库中存在与所述特征匹配的目标情报信息时,可以根据防御设备的应用场景标识,更新目标情报信息的应用场景标识。
具体地,云端服务器获取防御设备的应用场景标识,根据防御设备的应用场景标识,更新所述目标情报信息的应用场景标识,可以有以下两种实施方式。
第一种实施方式:
云端服务器在接收到来自防御设备的检测请求时,先根据检测请求中携带的待检测报文流量的特征信息,确定是否存在与所述特征相匹配的目标情报信息,若存在,则根据检测请求中携带的第一应用场景标识,更新目标情报信息的第二应用场景标识,或者根据第一应用场景标识为匹配到的目标情报信息添加应用场景标识;
第二种实施方式:
云端服务器在接收到来自防御设备的检测请求,且确定存在与待检测报文的特征相匹配的目标情报信息之后,可以根据检测请求中携带的防御设备地址信息或者防御设备的标识信息,向防御设备发送针对第一应用场景标识的获取请求;可选的,获取请求中包括目标情报信息的标识;获取请求中可以包括目标情报信息的标识,目标情报信息的标识用于唯一标识目标情报信息;
云端服务器在接收到来自防御设备的响应信息后,根据所述响应信息中包括的目标情报信息的标识和第一应用场景标识,更新目标情报信息的应用场景标识。
云端服务器在接收到响应消息之后,获取响应消息中的目标情报信息的标识,以及第一应用场景标识,则根据该第一应用场景标识更新目标情报信息的应用场景标识,或者根据第一应用场景标识为目标情报信息添加应用场景标识。
这样,实现了对云端威胁情报库中情报信息的第二应用场景标识的更新,以使得防御设备在重新建立或者更新本地威胁情报库时,能够获得到云端威胁情报库中更新第二应用场景标识后的情报信息,不仅使云端威胁情报库中情报信息的第二应用场景标识更加准确,而且使本地威胁情报库更加完善。那么,可以减少出现本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息的问题的几率,进而减少防御设备在检测报文流量过程中连接互联网的次数,不仅节省了连接互联网的带宽资源,而且提高了报文检测的工作效率。
优选地,云端威胁情报库的情报信息除了包括第二应用场景标识、以及与第二应用场景标识关联的情报特征信息以外,还包括与情报特征信息关联的权重信息;权重信息用于在确定是否存在与报文流量的特征相匹配的目标情报信息时,若报文流量与本地威胁情报库中或者云端威胁情报库的情报信息的多个特征匹配时,根据匹配到的特征信息的权重,确定检测报文的最终检测结果。
优选地,在本发明实施方式中,云端威胁情报库中的情报信息除了包括第二应用场景标识、以及与第二应用场景标识关联的情报特征信息以外,还包括可信度;在实际应用中,可以根据情报信息的信息来源,为情报信息增加可信度;信息来源较为可靠的情报信息对应的可信度较高,信息来源不可靠的情报信息对应的可信度较低。
优选地,在本发明实施方式中,云端威胁情报库中的情报信息除了包括第二应用场景标识、以及与第二应用场景标识关联的情报特征信息以外,还包括老化时间;老化时间用于设置云端威胁情报库中情报信息的生存时长,或者设置云端威胁情报库更新本地威胁情报库的更新间隔。而情报信息的老化时间与情报信息的类型有关。比如,来源于相对固定的命令及控制(Command and Control,CC)服务器地址的情报信息,老化时间就相对长些;来源于被感染的主机地址的情报信息,老化时间就相对短些。
需要说明的是,云端威胁情报库中的情报信息中除了包括第二应用场景标识、以及与第二应用场景标识关联的情报特征信息以外,可以包括权重信息、可信度和老化时间中的一个或者多个。
在实际应用中,对于云端威胁情报库中的每条情报信息,可以将情报信息中的第二应用场景标识、权重信息、可信度和老化时间作为属性信息进行标记,具体如表1所示,表1为情报信息的属性信息表:
情报编号 | 特征类型 | 可信度 | 权重 | 老化时间 | 应用场景标识 | 保留字段 |
100001 | IP信誉度 | 10 | 9 | 72h | Z | |
200002 | 恶意URL | 8 | 8 | 36h | C | |
300003 | 僵尸网络 | 8 | 7 | 24h | X |
表1
在表1所示的情报信息的属性信息表中,可以包括情报编号(标识)、特征类型、可信度、权重信息、老化时间、应用场景标识和保留字段,
需要说明的是,目前威胁情报库中的特征类型主要为IP信誉度类型、恶意URL类型、僵尸网络类型、社工类型等;情报编号可以用于唯一标识情报信息。其中,情报编号的首数字可以对应特征类型,也就是说,属于同一个特征类型的情报信息对应的情报编号首数字可以相同。比如,特征类型为IP信誉度的情报信息对应的情报编号首数字均为1,特征类型为恶意URL的情报信息对应的情报编号首数字均为2,特征类型为僵尸网络的情报信息对应的情报编号首数字均为3。还需要说明的是,表1中的应用场景标识为第二应用场景标识。
可见,本发明实施方式可以根据情报信息的权重信息,在多个检测结果中决策出最终检测结果;以及根据情报信息的可信度,确定是否执行检测结果对应的处理动作;以及根据情报信息的老化时间,确定是否从本地威胁情报库中删除过期的情报信息,或者是否更新本地威胁情报库,以保证最终检测结果准确性。
本发明实施方式还公开了一种报文检测装置,应用于防御设备,如图3所示,图3为本发明实施方式的报文检测装置的一种结构图,该装置与图1所示的方法流程相对应,所述装置包括:
第一确定单元301,用于接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;其中,所述本地威胁情报数据库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的;
第二确定单元302,用于若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
在本发明的一种优选实施方式中,所述装置还包括:
第一发送单元,用于向云端服务器发送获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识,以使所述云端服务器根据所述第一应用场景标识和云端威胁情报库中情报信息的第二应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;所述情报信息中包括:所述第二应用场景标识、以及与所述第二应用场景标识关联的情报特征信息;
第一接收单元,用于接收云端服务器发送的、与所述第一应用场景标识相匹配的情报信息,根据所述情报信息建立或更新所述本地威胁情报库。
在本发明的又一种优选实施方式中,第二确定单元302还用于若确定本地威胁情报库中不存在与所述特征匹配的目标情报信息,则向云端服务器发送检测请求;其中,所述检测请求中包括所述待检测的报文流量的特征信息,以使云端服务器根据所述特征信息确定云端威胁情报库中是否存在与所述特征相匹配的目标情报信息。
在本发明的另一种优选实施方式中,所述装置还包括:
第二发送单元,用于向云端服务器发送防御设备的第一应用场景标识,以使得云端服务器在根据所述特征信息确定云端威胁情报库中存在与所述特征匹配的目标情报信息后,按照所述第一应用场景标识,更新所述目标情报信息的应用场景标识。
本上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
可见,本发明实施方式所提供的装置,在对待检测报文的检测过程中,能够优选本地威胁情报库,在确定本地威胁情报库中不存在与待检测报文流量特征相匹配的目标情报信息的情况下,再在云端威胁情报库中确定是否存在与待检测报文流量特征相匹配的目标情报信息;并且,云端威胁情报库和本地威胁情报库还可以在使用过程中不断完善。这样,能够尽量减少防御设备在对待检测报文流量的检测过程中连接互联网的次数,不仅节省了连接互联网的带宽资源,而且提高了报文检测的工作效率。
本发明实施方式再公开了一种建立云端威胁情报库的装置,应用于云端服务器,如图4所示,图4为本发明实施方式的建立云端威胁情报库的装置的一种结构图,该装置与图2所示的方法流程相对应,所述装置包括:
获取单元401,用于获取情报信息,存储至云端服务器的云端威胁情报库中;
增加单元402,用于当确定情报信息对应的应用场景信息时,根据所述应用场景信息,为所述情报信息增加第二应用场景标识;其中,所述第二应用场景标识用于区分情报信息的应用场景,以根据所述第二应用场景标识向与所述应用场景关联的防御设备发送情报信息。
在本发明的一种优选实施方式中,所述装置还包括:
第二接收单元,用于接收防御设备发送的获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识;
第三确定单元,用于根据所述第一应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;其中,所述情报信息中包括:第一应用场景标识和与所述第一应用场景标识关联的情报特征信息;
发送单元,用于向所述防御设备发送与所述第一应用场景标识相匹配的情报信息,以使所述防御设备根据所述情报信息建立所述本地威胁情报库。
在本发明的又一种优选实施方式中,所述装置还包括:
第三接收单元,用于接收所述防御设备发送的检测请求;其中,所述检测请求中包括所述待检测的报文流量的特征信息,根据所述特征信息确定是否存在与所述特征匹配的目标情报信息;
第四确定单元,用于若确定存在于所述特征匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
在本发明的另一种优选实施方式中,所述装置还包括:
更新单元,用于当确定存在与所述特征匹配的目标情报信息时,获取防御设备的应用场景标识,根据所述防御设备的应用场景标识,更新所述目标情报信息的应用场景标识。
本上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
这样,本发明实施方式所提供的装置,能够为云端威胁情报库中的情报信息增加应用场景标识,进而根据防御设备的应用场景,向防御设备发送与防御设备的应用场景相匹配的情报信息的效果,使得防御设备能够根据接收到的情报信息,建立本地威胁情报库。这样,防御设备就能够使用本地威胁情报库对报文流量进行检测,减少防御设备在对待检测报文流量的检测过程中连接互联网的次数,不仅节省了连接互联网的带宽资源,而且提高了报文检测的工作效率。
在上述报文检测装置和上述建立云端威胁情报库的装置的基础上,提出了一种基于威胁情报的系统。所述基于威胁情报的系统包括防御设备和云端服务器;其中,本地威胁情报库保存在防御设备中,云端威胁情报库保存在云端服务器中。
在实际应用中,所述基于威胁情报的系统建立本地威胁情报库的具体过程可以包括:
防御设备向云端服务器发送获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识,以使所述云端服务器根据所述第一应用场景标识和云端威胁情报库中情报信息的第二应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;所述情报信息中包括:所述第二应用场景标识、以及与所述第二应用场景标识关联的情报特征信息;
云端服务器接收防御设备发送的获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识;
云端服务器根据所述第一应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;其中,所述情报信息中包括:第一应用场景标识和与所述第一应用场景标识关联的情报特征信息;
云端服务器向所述防御设备发送与所述第一应用场景标识相匹配的情报信息,以使所述防御设备根据所述情报信息建立所述本地威胁情报库;
防御设备接收所述云端服务器发送的、与所述第一应用场景标识相匹配的情报信息,根据所述情报信息建立或更新所述本地威胁情报库。
可见,基于威胁情报的系统中的云端服务器在接收到来自防御设备的、包括第一应用场景标识的获取情报信息请求后,能够根据防御设备的应用场景,将与第一应用场景标识相匹配的情报信息发送到防御设备,使得防御设备根据接收到的第一应用场景标识和情报信息,建立或更新本地威胁情报库。
此外,所述基于威胁情报的系统更新云端威胁情报库中情报信息的第二应用场景标识的具体过程可以包括:
防御设备向云端服务器发送防御设备的第一应用场景标识,以使得所述云端服务器在根据所述特征信息确定存在与所述特征匹配的目标情报信息后,按照所述第一应用场景标识,更新所述目标情报信息的应用场景标识;
当所述云端服务器确定存在与所述特征匹配的目标情报信息时,获取防御设备的应用场景标识,根据所述防御设备的应用场景标识,更新所述目标情报信息的应用场景标识。
可见,基于威胁情报的系统能够实现对云端威胁情报库中情报信息的第二应用场景标识的更新,这样,在重新建立或者更新本地威胁情报库时,就能够获得到云端威胁情报库中更新第二应用场景标识后的情报信息,使本地威胁情报库更加完善;降低了出现本地威胁情报库中不存在与待检测报文流量的特征相匹配的目标情报信息问题的几率,从而减少了防御设备在检测报文流量过程中连接互联网的次数。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施方式均采用相关的方式描述,各个实施方式之间相同相似的部分互相参见即可,每个实施方式重点说明的都是与其他实施方式的不同之处。尤其,对于系统实施方式而言,由于其基本相似于方法实施方式,所以描述的比较简单,相关之处参见方法实施方式的部分说明即可。
以上所述仅为本发明的较佳实施方式而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (16)
1.一种报文检测方法,其特征在于,应用于防御设备,所述方法包括:
接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;其中,所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的;
若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向云端服务器发送获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识,以使所述云端服务器根据所述第一应用场景标识和云端威胁情报库中情报信息的第二应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;所述情报信息中包括:所述第二应用场景标识、以及与所述第二应用场景标识关联的情报特征信息;
接收所述云端服务器发送的、与所述第一应用场景标识相匹配的情报信息,根据所述情报信息建立或更新所述本地威胁情报库。
3.根据权利要求1所述的方法,其特征在于,若确定本地威胁情报库中不存在与所述特征匹配的目标情报信息,则向所述云端服务器发送检测请求;其中,所述检测请求中包括所述待检测的报文流量的特征,以使所述云端服务器根据所述特征信息确定是否存在与所述特征相匹配的目标情报信息。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
向所述云端服务器发送防御设备的第一应用场景标识,以使得所述云端服务器在根据所述特征信息确定存在与所述特征匹配的目标情报信息后,按照所述第一应用场景标识,更新所述目标情报信息的应用场景标识。
5.一种建立云端威胁情报库的方法,其特征在于,应用于云端服务器,所述方法包括:
获取情报信息,存储至所述云端服务器的云端威胁情报库中;
当确定情报信息对应的应用场景信息时,根据所述应用场景信息,为所述情报信息增加第二应用场景标识;其中,所述第二应用场景标识用于区分情报信息的应用场景,以根据所述第二应用场景标识向与所述应用场景关联的防御设备发送情报信息。
6.根据权利要求5所述的方法,其特征在于,所述方法包括:
接收所述防御设备发送的获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识;
根据所述第一应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;其中,所述情报信息中包括:第一应用场景标识和与所述第一应用场景标识关联的情报特征信息;
向所述防御设备发送与所述第一应用场景标识相匹配的情报信息,以使所述防御设备根据所述情报信息建立所述本地威胁情报库。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收所述防御设备发送的检测请求;其中,所述检测请求中包括所述待检测的报文流量的特征信息,根据所述特征信息确定是否存在与所述特征匹配的目标情报信息;
若确定存在于所述特征匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
8.根据权利要求7所述的方法,其特征在于,还包括:
当确定存在与所述特征匹配的目标情报信息时,获取防御设备的应用场景标识,根据所述防御设备的应用场景标识,更新所述目标情报信息的应用场景标识。
9.一种报文检测装置,其特征在于,应用于防御设备,所述装置包括:
第一确定单元,用于接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;其中,所述本地威胁情报数据库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的;
第二确定单元,用于若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第一发送单元,用于向云端服务器发送获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识,以使所述云端服务器根据所述第一应用场景标识和云端威胁情报库中情报信息的第二应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;所述情报信息中包括:所述第二应用场景标识、以及与所述第二应用场景标识关联的情报特征信息;
第一接收单元,用于接收所述云端服务器发送的、与所述第一应用场景标识相匹配的情报信息,根据所述情报信息建立或更新所述本地威胁情报库。
11.根据权利要求9所述的装置,其特征在于,所述第二确定单元还用于当确定本地威胁情报库中不存在与所述特征匹配的目标情报信息时,则向所述云端服务器发送检测请求;其中,所述检测请求中包括所述待检测的报文流量的特征信息,以使云端服务器根据所述特征信息确定是否存在与所述特征相匹配的目标情报信息。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
第二发送单元,用于向所述云端服务器发送防御设备的第一应用场景标识,以使得所述云端服务器在根据所述特征信息确定存在与所述特征匹配的目标情报信息后,按照所述第一应用场景标识,更新所述目标情报信息的应用场景标识。
13.一种建立云端威胁情报库的装置,其特征在于,应用于云端服务器,所述装置包括:
获取单元,用于获取情报信息,存储至所述云端服务器的云端威胁情报库中;
增加单元,用于当确定情报信息对应的应用场景信息时,根据所述应用场景信息,为所述情报信息增加第二应用场景标识;其中,所述第二应用场景标识用于区分情报信息的应用场景,以根据所述第二应用场景标识向与所述应用场景关联的防御设备发送情报信息。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第二接收单元,用于接收所述防御设备发送的获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识;
第三确定单元,用于根据所述第一应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;其中,所述情报信息中包括:第一应用场景标识和与所述第一应用场景标识关联的情报特征信息;
发送单元,用于向所述防御设备发送与所述第一应用场景标识相匹配的情报信息,以使所述防御设备根据所述情报信息建立所述本地威胁情报库。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
第三接收单元,用于接收所述防御设备发送的检测请求;其中,所述检测请求中包括所述待检测的报文流量的特征信息,根据所述特征信息确定是否存在与所述特征匹配的目标情报信息;
第四确定单元,用于若确定存在于所述特征匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
16.根据权利要求15所述的装置,其特征在于,所述装置还包括:
更新单元,用于当确定存在与所述特征匹配的目标情报信息时,获取防御设备的应用场景标识,根据所述防御设备的应用场景标识,更新所述目标情报信息的应用场景标识。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611178150.7A CN106878262B (zh) | 2016-12-19 | 2016-12-19 | 报文检测方法及装置、建立本地威胁情报库的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611178150.7A CN106878262B (zh) | 2016-12-19 | 2016-12-19 | 报文检测方法及装置、建立本地威胁情报库的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106878262A true CN106878262A (zh) | 2017-06-20 |
CN106878262B CN106878262B (zh) | 2021-04-16 |
Family
ID=59164603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611178150.7A Active CN106878262B (zh) | 2016-12-19 | 2016-12-19 | 报文检测方法及装置、建立本地威胁情报库的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106878262B (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107579995A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 车载系统的网络防护方法及装置 |
CN107786564A (zh) * | 2017-11-02 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于威胁情报的攻击检测方法、系统及电子设备 |
CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
CN108388631A (zh) * | 2018-02-13 | 2018-08-10 | 北京奇安信科技有限公司 | 一种威胁情报共享的方法、代理装置及系统 |
CN109617893A (zh) * | 2018-12-27 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种僵尸网络DDoS攻击的防护方法、装置及存储介质 |
CN109660541A (zh) * | 2018-12-24 | 2019-04-19 | 国家电网有限公司 | 去中心化大数据的采集方法及装置 |
CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
CN110035049A (zh) * | 2018-01-12 | 2019-07-19 | 波音公司 | 先期网络防御 |
CN110677472A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于ioc智能提取及共享的协同防御方法 |
CN110912889A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于智能化威胁情报的网络攻击检测系统和方法 |
CN111160749A (zh) * | 2019-12-23 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
CN112398852A (zh) * | 2020-11-12 | 2021-02-23 | 北京天融信网络安全技术有限公司 | 一种报文检测方法、装置、存储介质和电子设备 |
CN112398849A (zh) * | 2020-11-12 | 2021-02-23 | 北京天融信网络安全技术有限公司 | 一种嵌入式威胁情报数据集的更新方法及装置 |
CN112491873A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 基于字典树的网络威胁检测方法、装置、设备及存储介质 |
CN112866264A (zh) * | 2021-01-25 | 2021-05-28 | 深圳融安网络科技有限公司 | 网络安全检测方法及装置、网络安全设备、可读存储介质 |
CN115643116A (zh) * | 2022-12-23 | 2023-01-24 | 北京六方云信息技术有限公司 | 网络设备的防护方法、系统、终端设备以及存储介质 |
CN116668106A (zh) * | 2023-05-22 | 2023-08-29 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
US20130158734A1 (en) * | 2011-12-16 | 2013-06-20 | General Electric Company | Apparatus And Method To Protect Distribution Networks Against Overcurrents Caused By Faults In Residential Circuits |
CN103336585A (zh) * | 2013-07-19 | 2013-10-02 | 北京百文宝科技股份有限公司 | 基于场景感知的一字一键中文输入方法和设备 |
US20130326626A1 (en) * | 2009-10-01 | 2013-12-05 | Kaspersky Lab, Zao | Asynchronous filtering and processing of events for malware detection |
CN103532917A (zh) * | 2012-07-06 | 2014-01-22 | 天讯天网(福建)网络科技有限公司 | 基于移动互联网和云计算的网址过滤方法 |
CN103632097A (zh) * | 2013-12-13 | 2014-03-12 | 扬州永信计算机有限公司 | 便携式移动终端安全威胁处理方法 |
CN105204970A (zh) * | 2014-06-30 | 2015-12-30 | 北京金山安全软件有限公司 | 检测app的cpu占用率异常的方法、装置及移动终端 |
CN105591836A (zh) * | 2015-09-09 | 2016-05-18 | 杭州华三通信技术有限公司 | 数据流检测方法和装置 |
CN105792265A (zh) * | 2014-12-23 | 2016-07-20 | 中国电信股份有限公司 | 恶意流量检测方法和系统、监控平台 |
-
2016
- 2016-12-19 CN CN201611178150.7A patent/CN106878262B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130326626A1 (en) * | 2009-10-01 | 2013-12-05 | Kaspersky Lab, Zao | Asynchronous filtering and processing of events for malware detection |
CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
US20130158734A1 (en) * | 2011-12-16 | 2013-06-20 | General Electric Company | Apparatus And Method To Protect Distribution Networks Against Overcurrents Caused By Faults In Residential Circuits |
CN103532917A (zh) * | 2012-07-06 | 2014-01-22 | 天讯天网(福建)网络科技有限公司 | 基于移动互联网和云计算的网址过滤方法 |
CN103336585A (zh) * | 2013-07-19 | 2013-10-02 | 北京百文宝科技股份有限公司 | 基于场景感知的一字一键中文输入方法和设备 |
CN103632097A (zh) * | 2013-12-13 | 2014-03-12 | 扬州永信计算机有限公司 | 便携式移动终端安全威胁处理方法 |
CN105204970A (zh) * | 2014-06-30 | 2015-12-30 | 北京金山安全软件有限公司 | 检测app的cpu占用率异常的方法、装置及移动终端 |
CN105792265A (zh) * | 2014-12-23 | 2016-07-20 | 中国电信股份有限公司 | 恶意流量检测方法和系统、监控平台 |
CN105591836A (zh) * | 2015-09-09 | 2016-05-18 | 杭州华三通信技术有限公司 | 数据流检测方法和装置 |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107579995A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 车载系统的网络防护方法及装置 |
CN107786564A (zh) * | 2017-11-02 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于威胁情报的攻击检测方法、系统及电子设备 |
CN107786564B (zh) * | 2017-11-02 | 2020-03-17 | 杭州安恒信息技术股份有限公司 | 基于威胁情报的攻击检测方法、系统及电子设备 |
CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
CN110035049A (zh) * | 2018-01-12 | 2019-07-19 | 波音公司 | 先期网络防御 |
CN108388631A (zh) * | 2018-02-13 | 2018-08-10 | 北京奇安信科技有限公司 | 一种威胁情报共享的方法、代理装置及系统 |
CN109660541A (zh) * | 2018-12-24 | 2019-04-19 | 国家电网有限公司 | 去中心化大数据的采集方法及装置 |
CN109617893A (zh) * | 2018-12-27 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种僵尸网络DDoS攻击的防护方法、装置及存储介质 |
CN109617893B (zh) * | 2018-12-27 | 2021-06-25 | 绿盟科技集团股份有限公司 | 一种僵尸网络DDoS攻击的防护方法、装置及存储介质 |
CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
CN109951477B (zh) * | 2019-03-18 | 2021-07-13 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
CN110677472A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于ioc智能提取及共享的协同防御方法 |
CN110912889A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于智能化威胁情报的网络攻击检测系统和方法 |
CN111160749A (zh) * | 2019-12-23 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
CN111160749B (zh) * | 2019-12-23 | 2023-07-21 | 绿盟科技集团股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
CN112398852A (zh) * | 2020-11-12 | 2021-02-23 | 北京天融信网络安全技术有限公司 | 一种报文检测方法、装置、存储介质和电子设备 |
CN112398852B (zh) * | 2020-11-12 | 2022-11-15 | 北京天融信网络安全技术有限公司 | 一种报文检测方法、装置、存储介质和电子设备 |
CN112398849B (zh) * | 2020-11-12 | 2022-12-20 | 北京天融信网络安全技术有限公司 | 一种嵌入式威胁情报数据集的更新方法及装置 |
CN112398849A (zh) * | 2020-11-12 | 2021-02-23 | 北京天融信网络安全技术有限公司 | 一种嵌入式威胁情报数据集的更新方法及装置 |
CN112491873A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 基于字典树的网络威胁检测方法、装置、设备及存储介质 |
CN112866264A (zh) * | 2021-01-25 | 2021-05-28 | 深圳融安网络科技有限公司 | 网络安全检测方法及装置、网络安全设备、可读存储介质 |
CN115643116A (zh) * | 2022-12-23 | 2023-01-24 | 北京六方云信息技术有限公司 | 网络设备的防护方法、系统、终端设备以及存储介质 |
CN116668106A (zh) * | 2023-05-22 | 2023-08-29 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
CN116668106B (zh) * | 2023-05-22 | 2024-01-09 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106878262B (zh) | 2021-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106878262A (zh) | 报文检测方法及装置、建立云端威胁情报库的方法及装置 | |
US9462009B1 (en) | Detecting risky domains | |
CN104301302B (zh) | 越权攻击检测方法及装置 | |
CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
US20230092522A1 (en) | Data packet processing method, apparatus, and electronic device, computer-readable storage medium, and computer program product | |
US8856928B1 (en) | Protecting electronic assets using false profiles in social networks | |
CN106549980A (zh) | 一种恶意c&c服务器确定方法及装置 | |
CN110677380A (zh) | 网络威胁指示符提取和响应 | |
CN106685899B (zh) | 用于识别恶意访问的方法和设备 | |
WO2014160062A1 (en) | Internet protocol threat prevention | |
CN102185858B (zh) | 一种应用于应用层的web入侵防御方法及系统 | |
CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
CN105939326A (zh) | 处理报文的方法及装置 | |
CN107786564A (zh) | 基于威胁情报的攻击检测方法、系统及电子设备 | |
CN109600362A (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
CN110730195A (zh) | 一种数据处理方法、装置以及计算机可读存储介质 | |
CN107241338A (zh) | 网络防攻击装置、系统和方法,可读介质和存储控制器 | |
CN105376222A (zh) | 基于云计算平台的智能防御系统 | |
CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
Vidalis et al. | Assessing identity theft in the Internet of Things | |
CN104506557B (zh) | 用于管理登录信息的方法及装置 | |
CN106506648B (zh) | 负载均衡服务管理方法及系统 | |
CN106850675A (zh) | 一种网络攻击行为的确定方法及装置 | |
CN106357628A (zh) | 攻击的防御方法及装置 | |
CN106790041A (zh) | 一种网际协议ip信誉库生成方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |