CN107196929A - 适用于高频次网络攻防环境下的智能防护方法及其系统 - Google Patents

适用于高频次网络攻防环境下的智能防护方法及其系统 Download PDF

Info

Publication number
CN107196929A
CN107196929A CN201710330745.8A CN201710330745A CN107196929A CN 107196929 A CN107196929 A CN 107196929A CN 201710330745 A CN201710330745 A CN 201710330745A CN 107196929 A CN107196929 A CN 107196929A
Authority
CN
China
Prior art keywords
file
module
white list
wooden horse
tamper
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710330745.8A
Other languages
English (en)
Inventor
严文涛
张丞
严莉
李明
郭小燕
刘荫
于展鹏
曲延盛
刘范范
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201710330745.8A priority Critical patent/CN107196929A/zh
Publication of CN107196929A publication Critical patent/CN107196929A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

适用于高频次网络攻防环境下的智能防护方法及其系统,其中方法包括:S1,获取白名单;S2,生成白名单字典文件;S3,检测文件HASH值与白名单字典文件中的是否对应;S4,新文件处理方式;S5,篡改文件处理方式。系统包括白名单模块、特征库模块、防篡改模块、木马隔离模块以及异常处理模块。它是一种自动化快速检测木马后门的工具,能够帮助信息安全竞赛中防守方实现对环境进行实时防护。

Description

适用于高频次网络攻防环境下的智能防护方法及其系统
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种适用于高频次网络攻防环境下的智能防护方法。
背景技术
随着信息化技术的发展,信息安全技术也越来越成熟,信息安全入侵方对网络技术、网站建站技术掌握的也越发纯熟,导致网络上的新型木马层出不穷,如果环境合适,甚至只需一行代码的木马文件就可以攻破网站最高权限。而其利用方式也呈现多样化,图片、压缩包等文件通过精心构造都可能变成入侵网站的木马。
信息安全与对抗技术竞赛的防守方常需面对数倍于己方的入侵方对手,面临着敌方人员轮番的快速入侵、批量在环境中植入木马,使得信息系统运行环境或攻防对抗竞赛难以检测防护,更无法保证能够逐一排查清楚对手预留的木马后门,使敌方人员可轻易对比赛环境持续进行高权限操控,极大地降低了防守成功率。设计一种自动化快速检测木马后门的工具对环境进行实时防护是信息安全竞赛中防守方的必然需求。
现有入侵检测技术是基于木马特征的鉴别和检测,通过对文件的轮询遍历进行特征对照,一旦发现文件符合特定的特征,即可判定为木马。而这种检测方式存在以下问题:
1、检测工具的特征库有限。木马的特征随时可被改变,根据赛场现场环境,可随时调整木马文件代码,通过高频次、大量的反复尝试,可以找到特征库外的特征值,突破检测工具的限制,从而完成入侵。
2、检测工具发现木马后不能对其立即查杀。此类检测工具往往为了保证网站运行,不会对发现的木马进行立即查杀,而是向管理员发出警示,需人工操作方可解决问题。另有一种检测工具定期对发现的木马进行清理,而清理周期与对抗赛中高频率、高效率的入侵动作相比显然过久,无法及时响应及阻击入侵行为。
3、如原有页面被植入木马,检测工具无法处理。若攻击方不是通过上传木马,而是通过对赛场原有环境中的文件进行篡改,从而构造网站木马,检测工具不能立即发现,导致防守方管理员无法对其做出正确反应。如检测工具对文件直接进行查杀,则会极大地影响比赛环境的正常运行,造成更加严重的后果。
发明内容
为了解决上述技术问题,本发明提出一种适用于高频次网络攻防环境下的智能防护方法,它是一种自动化快速检测木马后门的工具,能够帮助信息安全竞赛中防守方实现对环境进行实时防护。
为了实现上述目的,本发明采用的方案是:
适用于高频次网络攻防环境下的智能防护方法,包括步骤:
S1,检测是否存在需要防护的网站目录的白名单,如果存在,则使用所述白名单进行步骤S2,如果不存在,则创建所述网站目录的白名单;
S2,利用步骤S1中所述的白名单建立一个白名单字典文件,所述白名单字典文件包括:步骤S1中所述的网站目录中的网站中的每一个文件的绝对路径与HASH值的对应关系;所述文件为需要防护的网站中的全部文件;
S3,对需要检测的网站的所有文件进行遍历,检测每一个文件的绝对路径是否在所述白名单字典文件之中:若不存在,说明该文件为新文件,则进行步骤S4;若存在,则计算该文件的HASH值并与白名单字典文件之中的该绝对路径所对应的HASH值比对,如果对比成功,则证明文件正常,如果比对不成功,则证明文件为篡改文件,进行步骤S5;
S4,将新文件与特征值库里的特征进行对照,若比对结果为存在木马特征,则将木马复制入隔离区,并将所述木马文件删除,若比对结果为不存在木马特征则将新文件复制入隔离区,并提示管理员新生成了文件;
S5,将篡改文件复制入保留区,并将篡改文件更改为服务器无法解析的文件格式。
步骤S2中所述的文件的HASH值的生成包括步骤:
S21,对步骤S1中所述的网站中的所有文件进行遍历,并对每个文件进行HASH散列化处理,生成每个文件的HASH值。
适用于高频次网络攻防环境下的智能防护系统,包括:白名单模块、特征库模块、防篡改模块、木马隔离模块以及异常处理模块。
白名单模块用于识别和区分原有正常文件、新建文件。
特征库模块用于识别和区分新建文件中的正常文件、木马文件。
防篡改模块用于复制出异常文件,并将被篡改的文件进行处置。
木马隔离模块用于隔离恶意木马文件,并对其进行相应处置。
异常处理模块用于处置所述白名单模块、特征库模块、防篡改模块以及木马隔离模块的各类异常情况,确保各模块异常情况得到有效处理。
本发明的有益效果为:
1、利用白名单,通过双重的木马特征检测标准,对上传木马和篡改文件生成木马两种方式分别进行处理,解决特征库有限问题;
2、通过高频率轮询检测新上传的文件,对有木马特征的文件立刻进行删除,解决不能立即查杀问题;
3、通过高频率轮询监测原有文件,并对其进行临时性改造,解决页面木马植入问题;
4、通过隔离区和保留区,保护上传文件和原有文件,为守护环境创造可回溯条件,避免误杀导致防护工作出现失误。
附图说明
图1本发明的流程图。
具体实施方式
为了更好的了解本发明的技术方案,下面结合附图对本发明作进一步说明。
如图1所示,适用于高频次网络攻防环境下的智能防护方法,包括步骤:
S1:检测是否已经有该网站目录的白名单,如果已有,则使用该白名单进行下一步,如果没有,创建网站目录的白名单。
S2:生成网站白名单:对网站目录中的网站中的所有文件进行遍历,并对每个文件进行HASH散列化处理,生成每个文件的HASH值,将每个文件绝对路径与文件的HASH值进行对应,产生一个白名单字典文件。HASH值具有唯一性的特征,即每个文件有唯一的HASH值,如果该文件出现变化,哪怕只变化一个字符,HASH值都会不同。该白名单中的绝对路径的集合、文件HASH值的集合及两者的对应关系可用以检测目录中是否出现了新文件,同时监测原有文件是否发生了变化。
S3:对需要检测的网站中所有文件进行遍历,检测文件路径是否在白名单绝对路径的集合中,如已在绝对路径集合中,则计算该文件的HASH值,并找出白名单中该绝对路径所对应的HASH值进行比对,如比对成功则证明文件正常,如比对不成功,则进行篡改文件处理流程。如该文件不在绝对路径集合中,则判定此文件为新生成的文件,进入新文件处理流程。
S4:新文件处理流程:通过极为严格的特征值库,对新文件进行检查和特征对照,一旦发现文件存在细微木马特征,立刻将木马复制入隔离区,并将原有木马文件删除,确保系统安全。
若比对结果为不存在木马特征则将新文件复制入隔离区,并提示管理员新生成了文件
S5:篡改文件处理流程:发现篡改文件后,将该文件复制入保留区,并立即将该文件更改为服务器无法解析的文件格式,第一时间阻断入侵方行为,确保系统安全。
适用于高频次网络攻防环境下的智能防护系统包括白名单模块、特征库模块、防篡改模块、木马隔离模块以及异常处理模块。
白名单模块用于识别和区分原有正常文件、新建文件。
特征库模块用于识别和区分新建文件中的正常文件、木马文件。
防篡改模块用于复制出异常文件,并将被篡改的文件进行处置。
木马隔离模块用于隔离恶意木马文件,并对其进行相应处置。
异常处理模块用于处置所述白名单模块、特征库模块、防篡改模块以及木马隔离模块的各类异常情况,确保各模块异常情况得到有效处理。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (3)

1.适用于高频次网络攻防环境下的智能防护方法,其特征在于,包括步骤:
S1,检测是否存在需要防护的网站目录的白名单,如果存在,则使用所述白名单进行步骤S2,如果不存在,则创建所述网站目录的白名单;
S2,利用步骤S1中所述的白名单建立一个白名单字典内容,所述白名单字典文件内容为:步骤S1中所述的网站目录中的网站中的每一个文件的绝对路径与该绝对路径HASH值的对应映射关系;所述文件为需要防护的网站中的全部文件;
S3,对需要检测的网站的所有文件进行遍历,检测每一个文件的绝对路径是否在所述白名单字典内容之中:若不存在,说明该文件为新文件,则进行步骤S4;若存在,则计算该文件的HASH值并与白名单字典文件之中的该绝对路径所对应的HASH值比对,如果对比成功,则证明文件正常,如果比对不成功,则证明文件为篡改文件,进行步骤S5;
S4,将新文件与木马特征值库里的特征进行对照,若比对结果为存在木马特征,则将木马复制入隔离区,并将所述木马文件删除,若比对结果为不存在木马特征则将新文件复制入隔离区,并提示管理员新生成了文件;
S5,将篡改文件复制入保留区,并将原篡改文件更改为服务器无法解析的文件格式。
2.根据权利要求1所述的适用于高频次网络攻防环境下的智能防护方法,其特征在于,步骤S2中所述的文件的HASH值的生成包括步骤:
S21,对步骤S1中所述的网站中的所有文件进行遍历,并对每个文件进行HASH散列化处理,生成每个文件的HASH值。
3.用于实现权利要求1或2所述方法的系统,包括:白名单模块、特征库模块、防篡改模块、木马隔离模块以及异常处理模块;
白名单模块用于识别和区分原有正常文件、新建文件;
特征库模块用于识别和区分新建文件中的正常文件、木马文件;
防篡改模块用于复制出异常文件,并将被篡改的文件进行处置;
木马隔离模块用于隔离恶意木马文件,并对其进行相应处置;
异常处理模块用于处置所述白名单模块、特征库模块、防篡改模块以及木马隔离模块的各类异常情况,确保各模块异常情况得到有效处理。
CN201710330745.8A 2017-05-11 2017-05-11 适用于高频次网络攻防环境下的智能防护方法及其系统 Pending CN107196929A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710330745.8A CN107196929A (zh) 2017-05-11 2017-05-11 适用于高频次网络攻防环境下的智能防护方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710330745.8A CN107196929A (zh) 2017-05-11 2017-05-11 适用于高频次网络攻防环境下的智能防护方法及其系统

Publications (1)

Publication Number Publication Date
CN107196929A true CN107196929A (zh) 2017-09-22

Family

ID=59872475

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710330745.8A Pending CN107196929A (zh) 2017-05-11 2017-05-11 适用于高频次网络攻防环境下的智能防护方法及其系统

Country Status (1)

Country Link
CN (1) CN107196929A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109815735A (zh) * 2019-01-23 2019-05-28 浙江安点科技有限责任公司 对不同用户访问相同资源文件权限的管控方法和系统
CN114201370A (zh) * 2022-02-21 2022-03-18 山东捷瑞数字科技股份有限公司 一种网页文件监控方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102063484A (zh) * 2010-12-29 2011-05-18 北京安天电子设备有限公司 第三方web应用程序发现的方法和装置
CN103902855A (zh) * 2013-12-17 2014-07-02 哈尔滨安天科技股份有限公司 一种文件篡改检测及修复的方法和系统
CN103973664A (zh) * 2013-01-28 2014-08-06 信息安全有限公司 网络木马后门探测/应对系统
CN104426850A (zh) * 2013-08-23 2015-03-18 南京理工大学常熟研究院有限公司 基于插件的漏洞检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102063484A (zh) * 2010-12-29 2011-05-18 北京安天电子设备有限公司 第三方web应用程序发现的方法和装置
CN103973664A (zh) * 2013-01-28 2014-08-06 信息安全有限公司 网络木马后门探测/应对系统
CN104426850A (zh) * 2013-08-23 2015-03-18 南京理工大学常熟研究院有限公司 基于插件的漏洞检测方法
CN103902855A (zh) * 2013-12-17 2014-07-02 哈尔滨安天科技股份有限公司 一种文件篡改检测及修复的方法和系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109815735A (zh) * 2019-01-23 2019-05-28 浙江安点科技有限责任公司 对不同用户访问相同资源文件权限的管控方法和系统
CN114201370A (zh) * 2022-02-21 2022-03-18 山东捷瑞数字科技股份有限公司 一种网页文件监控方法及系统
CN114201370B (zh) * 2022-02-21 2022-06-03 山东捷瑞数字科技股份有限公司 一种网页文件监控方法及系统

Similar Documents

Publication Publication Date Title
CN109547409B (zh) 一种用于对工业网络传输协议进行解析的方法及系统
CN1707999B (zh) 证书撤销列表的管理方法和设备及其存储设备
US9197652B2 (en) Method for detecting anomalies in a control network
CN106982235A (zh) 一种基于iec 61850的电力工业控制网络入侵检测方法及系统
CN106790186A (zh) 基于多源异常事件关联分析的多步攻击检测方法
CN110401624A (zh) 源网荷系统交互报文异常的检测方法及系统
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
CN112468347B (zh) 一种云平台的安全管理方法、装置、电子设备及存储介质
CN103944915A (zh) 一种工业控制系统威胁检测防御装置、系统及方法
CN110324323B (zh) 一种新能源厂站涉网端实时交互过程异常检测方法及系统
CN106953855B (zh) 一种对iec61850数字变电站goose报文的入侵检测的方法
CN111885060B (zh) 面向车联网的无损式信息安全漏洞检测系统和方法
CN109344617A (zh) 一种物联网资产安全画像方法与系统
CN102075365A (zh) 一种网络攻击源定位及防护的方法、装置
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
CN107196929A (zh) 适用于高频次网络攻防环境下的智能防护方法及其系统
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
CN109768981A (zh) 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
CN112560029A (zh) 基于智能分析技术的网站内容监测和自动化响应防护方法
CN103457909A (zh) 一种僵尸网络检测方法及装置
CN103607291A (zh) 用于电力二次系统内网安全监视平台的告警解析归并方法
CN114666088A (zh) 工业网络数据行为信息的侦测方法、装置、设备和介质
CN112383525A (zh) 一种评价水平和准确性高的工业互联网安全态势评价方法
US20210067523A1 (en) Method and device for detecting an attack on a serial communications system
CN117879961A (zh) 一种态势感知系统的威胁预警分析模型

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170922