CN107666464A - 一种信息处理方法及服务器 - Google Patents
一种信息处理方法及服务器 Download PDFInfo
- Publication number
- CN107666464A CN107666464A CN201610606918.XA CN201610606918A CN107666464A CN 107666464 A CN107666464 A CN 107666464A CN 201610606918 A CN201610606918 A CN 201610606918A CN 107666464 A CN107666464 A CN 107666464A
- Authority
- CN
- China
- Prior art keywords
- behavior
- data
- behavioral data
- network
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种信息处理方法及服务器,其中,所述方法包括:采集全量数据,所述全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据;在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息;接收上报请求,从所述上报请求中解析出待识别的第一目标行为;获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为;当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
Description
技术领域
本发明涉及通讯技术,尤其涉及一种信息处理方法及服务器。
背景技术
随着互联网技术的发展,智能终端的大量普及,为用户提供了更多便利,同时,各种信息安全问题也随之涌现出来。在当前的互联网环境中,存在大量的入侵公司内网,盗取内部敏感信息等恶意行为,需要第一时间识别出该恶意行为,并对其进行相应的处理比如禁用,或者,追溯该恶意行为的来源,如将其加入黑名单,通过这些措施来确保信息安全。
现有技术中,识别该恶意行为所采用的策略为:通过网络流量的异常来判断当前网络行为是否为恶意行为,但是,采用这种策略,误判的概率高,且对于追溯和安全排查方面,无从着手。相关技术中,对于该问题,尚无有效解决方案。
发明内容
有鉴于此,本发明实施例提供了一种信息处理方法及服务器,至少解决了现有技术存在的问题。
本发明实施例的技术方案是这样实现的:
本发明实施例的一种信息处理方法,所述方法包括:
采集全量数据,所述全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据;
在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息;
接收上报请求,从所述上报请求中解析出待识别的第一目标行为;
获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为;
当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
上述方案中,所述用于表征进程行为的第二行为数据至少包括如下两类数据的一种或多种:
记录网络成功请求的第一进程数据;
记录启动进程的第二进程数据。
上述方案中,所述关联信息,用于记录所有进程行为对应的网络行为。
上述方案中,获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为,包括:
当所述第一目标行为是网络行为时,则所述识别处理策略为将所述网络行为与进程行为进行关联分析;
在所述网络行为疑似异常的情况下,从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据;
所述第二行为数据包括记录网络成功请求的第一进程数据和记录启动进程的第二进程数据,所述第一进程数据与所述第二进程数据相关联;
将所述第二进程数据中的参数与数据库中的异常参数进行匹配,匹配成功,则进程行为异常,识别出所述第一目标行为是恶意行为。
上述方案中,所述第一目标行为记录于入侵检测系统IDS日志中,所述第一进程数据记录于5156日志中,所述第二进程数据记录于4688日志中;
所述关联信息中包括相关联的所述IDS日志、所述5156日志和所述4688日志。
上述方案中,从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,包括:
根据所述IDS日志中的第一时间参数和第一四元组参数在所述5156日志中进行查询,得到第一进程数据所在5156日志中的日志条目,所述第一进程数据为与所述第一时间参数比对时间最接近且与所述第一四元组参数一致的进程,根据所述第一进程数据得到进程标识ID和进程名字;
根据所述第一进程数据所在5156日志中的日志条目中的第二时间参数和进程ID在所述4688日志中进行查询,得到第二进程数据所在4688日志中的日志条目,所述第二进程数据为与所述第二时间参数比对时间最接近且与所述进程ID一致的进程。
上述方案中,当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作,包括:
根据所述进程ID和/或进程名字对发起所述恶意行为的终端执行追溯操作。
本发明实施例的一种服务器,所述服务器包括:
采集单元,用于采集全量数据,所述全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据;
关联建立单元,用于在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息;
接收单元,用于接收上报请求,从所述上报请求中解析出待识别的第一目标行为;
识别处理单元,用于获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为;
追溯处理单元,用于当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
上述方案中,所述用于表征进程行为的第二行为数据至少包括如下两类数据的一种或多种:
记录网络成功请求的第一进程数据;
记录启动进程的第二进程数据。
上述方案中,所述关联信息,用于记录所有进程行为对应的网络行为。
上述方案中,所述识别处理单元,进一步用于:
当所述第一目标行为是网络行为时,则所述识别处理策略为将所述网络行为与进程行为进行关联分析;
在所述网络行为疑似异常的情况下,从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据;
所述第二行为数据包括记录网络成功请求的第一进程数据和记录启动进程的第二进程数据,所述第一进程数据与所述第二进程数据相关联;
将所述第二进程数据中的参数与数据库中的异常参数进行匹配,匹配成功,则进程行为异常,识别出所述第一目标行为是恶意行为。
上述方案中,所述第一目标行为记录于入侵检测系统IDS日志中,所述第一进程数据记录于5156日志中,所述第二进程数据记录于4688日志中;
所述关联信息中包括相关联的所述IDS日志、所述5156日志和所述4688日志。
上述方案中,所述识别处理单元,进一步用于:
根据所述IDS日志中的第一时间参数和第一四元组参数在所述5156日志中进行查询,得到第一进程数据所在5156日志中的日志条目,所述第一进程数据为与所述第一时间参数比对时间最接近且与所述第一四元组参数一致的进程,根据所述第一进程数据得到进程标识ID和进程名字;
根据所述第一进程数据所在5156日志中的日志条目中的第二时间参数和进程ID在所述4688日志中进行查询,得到第二进程数据所在4688日志中的日志条目,所述第二进程数据为与所述第二时间参数比对时间最接近且与所述进程ID一致的进程。
上述方案中,所述追溯处理单元,进一步用于:
根据所述进程ID和/或进程名字对发起所述恶意行为的终端执行追溯操作。
本发明实施例的信息处理方法包括:采集全量数据,所述全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据;在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息;接收上报请求,从所述上报请求中解析出待识别的第一目标行为;获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为;当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
采用本发明实施例,通过采集全量数据和在全量数据间建立全量关联,通过这种对网络行为和进程行为间的关联用于后续的关联分析,当接收到包含待识别的第一目标行为时,对第一目标行为进行关联分析,即从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为,当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。由于不仅是针对网络行为是否异常的分析,还关联有进程行为的异常分析,因此,识别准确度高,降低了误判的概率,且可以根据进程行为对恶意行为进行追溯和安全排查。
附图说明
图1为本发明实施例中进行信息交互的各方硬件实体的示意图;
图2为本发明实施例一的方法流程示意图;
图3为应用本发明实施例的系统架构示意图;
图4为本发明实施例二的方法流程示意图;
图5为应用本发明实施例的IDS日志示意图;
图6为应用本发明实施例的5156日志示意图;
图7为应用本发明实施例的4688日志示意图;
图8为本发明实施例四的系统组成结构示意图;
图9为应用本发明实施例的IDS检测异常关联进程的流程图。
具体实施方式
下面结合附图对技术方案的实施作进一步的详细描述。
现在将参考附图描述实现本发明各个实施例的移动终端。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明实施例的说明,其本身并没有特定的意义。因此,"模块"与"部件"可以混合地使用。
在下面的详细说明中,陈述了众多的具体细节,以便彻底理解本发明。不过,对于本领域的普通技术人员来说,显然可在没有这些具体细节的情况下实践本发明。在其他情况下,没有详细说明公开的公知方法、过程、组件、电路和网络,以避免不必要地使实施例的各个方面模糊不清。
另外,本文中尽管多次采用术语“第一”、“第二”等来描述各种元件(或各种阈值或各种应用或各种指令或各种操作)等,不过这些元件(或阈值或应用或指令或操作)不应受这些术语的限制。这些术语只是用于区分一个元件(或阈值或应用或指令或操作)和另一个元件(或阈值或应用或指令或操作)。例如,第一操作可以被称为第二操作,第二操作也可以被称为第一操作,而不脱离本发明的范围,第一操作和第二操作都是操作,只是二者并不是相同的操作而已。
本发明实施例中的步骤并不一定是按照所描述的步骤顺序进行处理,可以按照需求有选择的将步骤打乱重排,或者删除实施例中的步骤,或者增加实施例中的步骤,本发明实施例中的步骤描述只是可选的顺序组合,并不代表本发明实施例的所有步骤顺序组合,实施例中的步骤顺序不能认为是对本发明的限制。
本发明实施例中的术语“和/或”指的是包括相关联的列举项目中的一个或多个的任何和全部的可能组合。还要说明的是:当用在本说明书中时,“包括/包含”指定所陈述的特征、整数、步骤、操作、元件和/或组件的存在,但是不排除一个或多个其他特征、整数、步骤、操作、元件和/或组件和/或它们的组群的存在或添加。
本发明实施例的智能终端(如移动终端)可以以各种形式来实施。例如,本发明实施例中描述的移动终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(PDA,Personal Digital Assistant)、平板电脑(PAD)、便携式多媒体播放器(PMP,Portable Media Player)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面,假设终端是移动终端。然而,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
图1为本发明实施例中进行信息交互的各方硬件实体的示意图,图1中包括:服务器11-13、终端设备21-24,终端设备21-24通过有线网络或者无线网络与服务器进行信息交互,终端设备包括手机、台式机、PC机、一体机等类型。其中,服务器11可以为入侵检测系统(IDS,Intrusion Detection System)服务器,用于上报IDS日志给服务器12;终端设备21-24上报网络请求给服务器12;服务器12可以为SOC服务器,将网络行为和进程行为相关联的关联信息保存在服务器12中,以便收到网络请求后,对发起网络请求的网络行为根据该关联信息进行综合的关联分析;服务器13可以为MD5数据服务器,用于存储异常进程的MD5数据库,以便后续收到SOC服务器在进行综合的关联分析后,得到包含与网络行为关联的进程行为中的MD5的匹配请求后,将进程行为中的MD5与存储的MD5数据进行匹配,如果匹配成功,说明进程行为异常,在网络行为疑似异常,和确定进程行为异常的条件下,可以获知网络行为就是恶意行为。且根据进程的相关参数,如进程ID和/或进程名称可以对发起恶意行为的终端其多个进程中的对应恶意进程进行追溯,从而实现安全排查,提高了信息的安全。采用本发明实施例,在服务器12侧执行的处理逻辑10包括:S1、采集全量数据;S2、全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据;S3、在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息;S4、接收上报请求,从所述上报请求中解析出待识别的第一目标行为;S5、获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据;S6、根据所述第二行为数据来识别所述第一目标行为是否是恶意行为;S7、当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
在整个处理过程中,由于引入了发起网络请求的网络行为根据该关联信息(将网络行为和进程行为相关联得到的关联信息,如将IDS日志标识的网络行为与通过5156日志和4688日志标识的进程行为进行关联得到的关联日志)进行综合的关联分析的处理策略,不仅是针对网络行为是否异常的分析,还关联有进程行为的异常分析,从而,提高了识别准确度,降低了误判的概率,且可以根据进程行为对恶意行为进行追溯和安全排查。
上述图1的例子只是实现本发明实施例的一个系统架构实例,本发明实施例并不限于上述图1所述的系统结构,基于上述图1所述的系统架构,提出本发明方法各个实施例。
以下本发明实施例中,网络检测设备均以IDS服务器为例进行阐述,不同厂商采用的网络检测设备有所不同,比如,网络检测设备还可以是网络入侵检测系统(NSFOCUSNIDS,NSFOCUS Network Intrusion Prevention System),NSFOCUS NIDS)一般部署在网络中关键交换机上,通过实时监听检测网络中的数据,能够精确识别目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击,以及P2P下载、IM即时通讯、网络游戏等网络资源滥用行为,对违反安全策略的事件及时报警,在各类攻击对系统产生危害前主动响应。
需要指出的是,在实际应用中,网络检测设备并不限于IDS服务器和NSFOCUS NIDS服务器,所有网络安全检测设备都在本发明实施例的保护范围中,所有网络安全检测设备都可以采用本发明实施例的关联方案,都可以进行关联,包括了IPS\squid等等。也就是说,只要网络日志中记录有时间和四元组参数(如源IP、源端口、目的IP、目的端口)即可。
实施例一:
本发明实施例的一种信息处理方法,如图2所示,所述方法包括:
步骤101、采集全量数据,所述全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据。
这里,第一行为数据可以记录到网络日志中,第二行为数据可以记录到进程日志中,将网络日志和进程日志关联,以便后续能进行综合的关联分析。中,
这里,第二行为数据包括至少两类,如记录网络成功请求的第一进程数据,及记录启动进程的第二进程数据。以进程日志为例,一种具体实现为:第一进程数据可以记录于5156日志中,所述第二进程数据记录于4688日志中,以利用不同类的这两种日志对进程进行不同角度的综合判断。其中,5156日志的作用主要是:定位到终端中的某个发起网络请求的具体进程,4688日志的作用主要是:能查询到终端中的某个发起网络请求的具体进程中的详细参数,从而根据该详细参数进行匹配,以精准判断出某个网络请求对应的网络行为是否为恶意行为。
步骤102、在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息。
通过步骤101,如采用日志采集器(在如图1所示的终端和服务器11中都可以包含该日志采集器)可以把终端侧的windows系统安全日志4688和5156,及服务器11(如IDS服务器)侧的IDS网络安全设备的日志采集到本服务器(如如图1所示的服务器12,具体可以为SOC服务器)中,将步骤101和本步骤102相结合,在SOC服务器通过唯一标签将网络行为、第一进程数据(存储于5156日志)、第二进程数据(存储于4688日志中)进行关联,对三种信息:4688日志、5156日志和IDS日志绑定和建立关联,可以串出所有进程对应的网络连接行为库,通过关联后的关联日志,不仅能根据该关联日志识别出恶意行为,还可以根据关联日志进行快速排查和回溯安全事件,可以很好的提升检测率和处理效率。
步骤103、接收上报请求,从所述上报请求中解析出待识别的第一目标行为。
这里,可以通过第一目标行为判断是否为恶意行为的检测,但是不准确,也不具有追溯力和安全排查功能。
步骤104、获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为。
这里,将本步骤与步骤103进行结合,根据第二行为数据与第一目标行为的关联分析来精确识别第一目标行为否为恶意行为。需要指出的是,第一目标行为可以是网络行为,也可以是进程行为。如果第一目标行为是网络行为,则需要通过关联分析去看进程行为是否也异常,都异常,则确定是恶意行为;如果第一目标行为是进程行为,则需要通过关联分析去看网络行为是否为异常,都异常,则确定是恶意行为。
步骤105、当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
采用本发明实施例的一个系统架构实例如图3所示,图3中包括的核心服务器为:IDS服务器21、SOC服务器22和MD5数据服务器23。其中,核心交换机先把全量员工电脑访问互联网的流量,全部通过端口镜像(SPAN)到IDS服务器21进行分析记录,通过IDS服务器21记录所有进程(session)的访问日志、URL访问日志、异常访问日志等数据。通过终端采集4688安全日志和5156安全日志。将通过终端采集的4688安全日志和5156安全日志和通过IDS服务器采集的IDS日志汇总到SOC服务器22中,通过SOC服务器22进行SOC关联分析,SOC服务器22中存储有大量类型的日志,然后进行关联分析,把异常日志报警给管理员处理,通过管家MD5名单库(管家MD5名单库存储于MD5数据服务器23中)来记录大量的正常文件、恶意文件的MD5,可以通过接口查询指定MD5是否为恶意行为。SOC服务器22还可以提供详细的日志进行安全事件回溯使用。
采用上述系统架构的一个处理流程包括如下内容;
一,用户的电脑启动进程时,windows系统安全日志会记录创建进程日志(ID:4688),可以通过日志采集器会把新增的日志全量接入到SOC服务器,并且通过文件的MD5检测,判断该进程是否恶意。
二,用户的电脑进程访问网络时,windows系统安全日志会记录网络访问日志(ID:5156),另外在交换机上SPAN流量到IDS进行检测和记录全量日志,我们再通过采集器把5156和IDS的日志全量接入到SOC服务器。
三,当IDS服务器发现网络存在异常连接的时候,会通过本实施例的关联分析,在SOC服务器进行关联分析,把终端对应的进程关联出来,即可知道是哪个进程访问的,再进行综合判断,如果进程或者DLL存在异常,则触发报警,并且可以快速的去排查安全问题。
在本发明实施例一实施方式中,所述用于表征进程行为的第二行为数据至少包括两类数据的一种或多种:1)记录网络成功请求的第一进程数据;2)记录启动进程的第二进程数据。
在本发明实施例一实施方式中,所述关联信息,用于记录所有进程行为对应的网络行为。
实施例二:
当前第一目标行为是网络行为的情况下,本发明实施例的信息处理方法,如图4所示,包括:
步骤201、采集全量数据,所述全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据。
这里,第一行为数据可以记录到网络日志中,第二行为数据可以记录到进程日志中,将网络日志和进程日志关联,以便后续能进行综合的关联分析。中,
这里,第二行为数据包括至少两类,如记录网络成功请求的第一进程数据,及记录启动进程的第二进程数据。以进程日志为例,一种具体实现为:第一进程数据可以记录于5156日志中,所述第二进程数据记录于4688日志中,以利用不同类的这两种日志对进程进行不同角度的综合判断。其中,5156日志的作用主要是:定位到终端中的某个发起网络请求的具体进程,4688日志的作用主要是:能查询到终端中的某个发起网络请求的具体进程中的详细参数,从而根据该详细参数进行匹配,以精准判断出某个网络请求对应的网络行为是否为恶意行为。
步骤202、在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息。
通过步骤201,如采用日志采集器(在如图1所示的终端和服务器11中都可以包含该日志采集器)可以把终端侧的windows系统安全日志4688和5156,及服务器11(如IDS服务器)侧的IDS网络安全设备的日志采集到本服务器(如如图1所示的服务器12,具体可以为SOC服务器)中,将步骤201和本步骤202相结合,在SOC服务器通过唯一标签将网络行为、第一进程数据(存储于5156日志)、第二进程数据(存储于4688日志中)进行关联,对三种信息:4688日志、5156日志和IDS日志绑定和建立关联,可以串出所有进程对应的网络连接行为库,通过关联后的关联日志,不仅能根据该关联日志识别出恶意行为,还可以根据关联日志进行快速排查和回溯安全事件,可以很好的提升检测率和处理效率。
步骤203、接收上报请求,从所述上报请求中解析出待识别的第一目标行为。
这里,可以通过第一目标行为判断是否为恶意行为的检测,但是不准确,也不具有追溯力和安全排查功能。
步骤204、获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为。
这里,将本步骤与步骤203进行结合,根据第二行为数据与第一目标行为的关联分析来精确识别第一目标行为否为恶意行为。需要指出的是,第一目标行为可以是网络行为,也可以是进程行为。如果第一目标行为是网络行为,则需要通过关联分析去看进程行为是否也异常,都异常,则确定是恶意行为;如果第一目标行为是进程行为,则需要通过关联分析去看网络行为是否为异常,都异常,则确定是恶意行为。
这里,本步骤204具体包括如下内容:
步骤204a、当所述第一目标行为是网络行为时,则所述识别处理策略为将所述网络行为与进程行为进行关联分析。
步骤204b、在所述网络行为疑似异常的情况下,从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据。其中,所述第二行为数据包括记录网络成功请求的第一进程数据和记录启动进程的第二进程数据。
步骤204c、所述第一进程数据与所述第二进程数据相关联;将所述第二进程数据中的参数(如MD5)与数据库中的异常参数进行匹配,匹配成功,则进程行为异常,识别出所述第一目标行为是恶意行为。
步骤205、当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
采用本发明实施例,当所述第一目标行为是网络行为时,通过IDS日志可以知道是那个终端IP(发起疑似恶意行为的终端)存在异常,可是,并不知道终端IP对应的具体电脑上,该疑似恶意行为是哪个恶意进程触发的。由于无法追溯和排查安全事件排查,导致后续的处理工作很困难。通过上述关联分析,可以获知该疑似恶意行为是否为恶意行为,如果是,则可以在通过IDS锁定终端IP,进而定位到发起恶意行为的终端后,通过第一进程数据中的进程标识(ID)对该终端中的恶意进程进行追溯。其中,判断该疑似恶意行为是否为恶意行为,可以通过第二进程数据掌握该进程的详细信息,以便进行MD5比对,看是否是恶意行为。换言之,当所述第一目标行为是网络行为时,则所述识别处理策略为将所述网络行为与进程行为进行关联分析,否则,将进程行为与网络行为进行关联分析。对于第一目标行为是网络行为而言,通过所述网络行为识别出发起当前网络请求的终端IP,根据所述终端IP判断出发起当前网络请求的终端位置;根据所述第一进程数据判断出发起当前网络请求的终端所对应的进程,通过第二进程数据掌握该进程的详细信息,以便进行MD5比对,看是否是恶意行为,最终对识别出的恶意行为进行追溯,可以是根据第一进程数据中的根据所述进程ID和/或进程名字进行追溯操作。
在本发明实施例一实施方式中,所述第一目标行为记录于入侵检测系统IDS日志中,所述第一进程数据记录于5156日志中,所述第二进程数据记录于4688日志中。所述关联信息中包括相关联的所述IDS日志、所述5156日志和所述4688日志。其中,156安全日志是:windows系统成功访问网络的日志,每一个网络成功请求都会在安全日志中记录一条日志。4688安全日志是:windows系统启动进程的日志,每启动一个进程都会在安全日志中记录一条日志。
实施例三:
基于上述实施例一和实施例二,从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,包括:
步骤301、根据所述IDS日志中的第一时间参数和第一四元组参数(如源IP、源端口、目的IP、目的端口)在所述5156日志中进行查询,得到第一进程数据所在5156日志中的日志条目,所述第一进程数据为与所述第一时间参数比对时间最接近且与所述第一四元组参数一致的进程,根据所述第一进程数据得到进程标识ID和进程名字。
步骤302、根据所述第一进程数据所在5156日志中的日志条目中的第二时间参数和进程ID在所述4688日志中进行查询,得到第二进程数据所在4688日志中的日志条目,所述第二进程数据为与所述第二时间参数比对时间最接近且与所述进程ID一致的进程。
这里,第二进程数据中包括用于识别是否为恶意行为的详细信息,详细信息,包括这个进程的MD5、是否为恶意进程、调用的dll、签名、厂商等等信息。
采用本发明实施例的一个实例为:1)使用IDS日志(图5)的时间+四元组(源IP、源端口、目的IP、目的端口),在5156日志(图6)中,找到时间最接近+四元组一致的日志,然后就得出进程ID(73980)和进程名字(qqbrowser.exe);2)使用这条5156日志(图6)中的时间+进程ID(73980),在4688日志(图7)中,找到时间最接近+进程ID一致的日志,该日志中,其进程ID为73980,然后就可以得出详细的进程信息;3)得出计算机howardli-pc2使用了qqbrowser.exe访问了www.3lsoft.com/setup/setup_vstart5.exe网站,并且知道这个进程的详细信息,包括这个进程的MD5、是否为恶意进程、调用的dll、签名、厂商等等信息。可见:基于windows系统安全日志4688、5156和网络日志行为关联综合判断,实现检测恶意行为的方案,可以很好的提升检测率和处理效率,从而保证公司内网的安全。
实施例四:
本发明实施例的一种信息处理系统,如图8所示,包括终端31和服务器32,其中,终端31用于上报网络请求,所述服务器32包括:采集单元321,用于采集全量数据,所述全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据;关联建立单元322,用于在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息;接收单元323,用于接收上报请求,从所述上报请求中解析出待识别的第一目标行为;识别处理单元324,用于获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为;追溯处理单元325,用于当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
在实际应用中,如采用日志采集器(在如图1所示的终端和服务器11中都可以包含该日志采集器)可以把终端侧的windows系统安全日志4688和5156,及服务器11(如IDS服务器)侧的IDS网络安全设备的日志采集到本服务器(如如图1所示的服务器12,具体可以为SOC服务器)中,在SOC服务器通过唯一标签将网络行为、第一进程数据(存储于5156日志)、第二进程数据(存储于4688日志中)进行关联,对三种信息:4688日志、5156日志和IDS日志绑定和建立关联,可以串出所有进程对应的网络连接行为库,通过关联后的关联日志,不仅能根据该关联日志识别出恶意行为,还可以根据关联日志进行快速排查和回溯安全事件,可以很好的提升检测率和处理效率。
在接收上报请求后,从所述上报请求中解析出待识别的第一目标行为,这里,可以通过第一目标行为判断是否为恶意行为的检测,但是不准确,也不具有追溯力和安全排查功能。还需要获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为,采取本发明实施例的关联分析,会对恶意行为的识别提高精确度。具体的,根据第二行为数据与第一目标行为的关联分析来精确识别第一目标行为否为恶意行为。需要指出的是,第一目标行为可以是网络行为,也可以是进程行为。如果第一目标行为是网络行为,则需要通过关联分析去看进程行为是否也异常,都异常,则确定是恶意行为;如果第一目标行为是进程行为,则需要通过关联分析去看网络行为是否为异常,都异常,则确定是恶意行为。根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
本发明实施例的一实施方式中,所述用于表征进程行为的第二行为数据至少包括两类数据的一种或多种:1)记录网络成功请求的第一进程数据;2)记录启动进程的第二进程数据。
本发明实施例的一实施方式中,所述关联信息,用于记录所有进程行为对应的网络行为。
本发明实施例的一实施方式中,所述识别处理单元,进一步用于:当所述第一目标行为是网络行为时,则所述识别处理策略为将所述网络行为与进程行为进行关联分析;在所述网络行为疑似异常的情况下,从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据;所述第二行为数据包括记录网络成功请求的第一进程数据和记录启动进程的第二进程数据,所述第一进程数据与所述第二进程数据相关联;将所述第二进程数据中的参数与数据库中的异常参数进行匹配,匹配成功,则进程行为异常,识别出所述第一目标行为是恶意行为。
本发明实施例的一实施方式中,所述第一目标行为记录于入侵检测系统IDS日志中,所述第一进程数据记录于5156日志中,所述第二进程数据记录于4688日志中;所述关联信息中包括相关联的所述IDS日志、所述5156日志和所述4688日志。
本发明实施例的一实施方式中,所述识别处理单元,进一步用于:根据所述IDS日志中的第一时间参数和第一四元组参数在所述5156日志中进行查询,得到第一进程数据所在5156日志中的日志条目,所述第一进程数据为与所述第一时间参数比对时间最接近且与所述第一四元组参数一致的进程,根据所述第一进程数据得到进程标识ID和进程名字;根据所述第一进程数据所在5156日志中的日志条目中的第二时间参数和进程ID在所述4688日志中进行查询,得到第二进程数据所在4688日志中的日志条目,所述第二进程数据为与所述第二时间参数比对时间最接近且与所述进程ID一致的进程。
本发明实施例的一实施方式中,所述追溯处理单元,进一步用于:根据所述进程ID和/或进程名字对发起所述恶意行为的终端执行追溯操作。
其中,对于用于数据处理的处理器而言,在执行处理时,可以采用微处理器、中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,DigitalSingnalProcessor)或可编程逻辑阵列(FPGA,Field-Programmable Gate Array)实现;对于存储介质来说,包含操作指令,该操作指令可以为计算机可执行代码,通过所述操作指令来实现上述本发明实施例信息处理方法流程中的各个步骤。
这里需要指出的是:以上涉及终端和服务器项的描述,与上述方法描述是类似的,同方法的有益效果描述,不做赘述。对于本发明终端和服务器实施例中未披露的技术细节,请参照本发明方法流程描述的实施例所描述内容。
以一个现实应用场景为例对本发明实施例阐述如下:
本应用场景采用本发明实施例,具体为一种基于windows安全日志与网络日志关联的方案。在当前的互联网环境中,存在大量的入侵公司内网,盗取内部敏感信息等恶意行为。为了及时发现恶意行为,通常会采用在网络出口侧部署IDS和代理来检测恶意行,但是只通过网络流量来判断异常,存在大量误报,检测效果也不理想。另外IDS服务器只知道是那个客户端IP存在异常,不知道具体电脑上哪个恶意进程触发的,导致安全事件排查和处理困难。而采用本发明实施例,可以基于windows系统安全日志4688、5156和网络日志行为关联综合判断,实现检测恶意行为的方案,可以很好的提升检测率和处理效率,从而保证公司内网的安全。具体的,使用日志采集器把终端的windows系统安全日志4688、5156和IDS网络安全设备的日志采集到SOC服务器,通过唯一标签关联起来,串出所有进程对应的网络连接行为库,通过关联后的日志,可判断恶意行为和能快速排查和回溯安全事件,可以很好的提升检测率和处理效率。
本应用场景采用本发明实施例,一个系统架构如图3所示,图3中包括的核心服务器为:IDS服务器21、SOC服务器22和MD5数据服务器23。其中,。IDS服务器21,用于在核心交换机用于把全量员工电脑访问互联网的流量,全部SPAN到本IDS服务器进行分析记录记录所有session访问日志、URL访问日志、异常访问日志。SOC服务器22,用于SOC关联分析,在SOC服务器中存储大量类型的日志,然后进行关联分析,把异常日志报警给管理员处理,并且可以提供详细的日志进行安全事件回溯使用。MD5数据服务器23用于存储管家MD5名单库,在该管家MD5名单库中,记录大量的正常文件、恶意文件的MD5,可以通过接口查询指定MD5的黑白灰。
本应用场景采用本发明实施例,基于上述系统架构,根据网络安全设备IDS日志+本机安全日志eventlog5156+4688的一个关联实现方案中,本关联实现方案包括以下内容:
第一步:使用IDS日志(图5)的时间+四元组(源IP、源端口、目的IP、目的端口),在5156日志(图6)中,找到时间最接近+四元组一致的日志,然后就得出进程ID(73980)和进程名字(qqbrowser.exe);
第二步:使用这条5156日志(图6)中的时间+进程ID(73980),在4688日志(图7)中,找到时间最接近+进程ID一致的日志,然后就可以得出详细的进程信息。
最终,得出计算机howardli-pc2使用了qqbrowser.exe访问了www.3lsoft.com/setup/setup_vstart5.exe网站,并且知道这个进程的详细信息,包括这个进程的MD5、是否为恶意进程、调用的dll、签名、厂商等等信息
本应用场景采用本发明实施例,基于上述系统架构的流程可以如图9所示,图9为IDS检测异常关联进程的流程图,包括:
步骤401、IDS检测发现异常流量。
步骤402、SOC关联分析,即将网络行为产生的异常流量与进程相关联。
步骤403、判断进程和DLL是否异常,如果是,则执行步骤404;否则,结束当前流程。
步骤404、产生报警,帮助用户查杀木马病毒。
步骤405、排查感染途径,结束当前流程。
采用本处理流程,在用户的电脑启动进程时,windows系统安全日志会记录创建进程日志(ID:4688),通过采集器会把新增的日志全量接入到SOC,并且通过文件的MD5检测,判断该进程是否恶意。用户的电脑进程访问网络时,windows系统安全日志会记录网络访问日志(ID:5156),另外在交换机上span流量到IDS进行检测和记录全量日志,再通过采集器把5156和IDS的日志全量接入到SOC。当IDS服务器发现网络存在异常连接的时候,会应用本发明实施例的上述关联实现方案,在SOC服务器进行关联分析,把计算机对应的进程关联出来,即可知道是哪个进程访问的,再进行综合判断,如果进程或者DLL存在异常,则触发报警,并且可以快速的去排查安全问题。采用本处理流程,在数据不丢失的情况下,可以100%把网络日志和进程日志进行关联,并且对用户电脑的性能消耗低。对于可疑的网络连接,无法准确判断是否异常时,关联进程综合判断后,可以对大大提升恶意行为的检测和判断能力。对于可疑的进程,无法准确判断是否异常时,关联网络综合判断后,可以对大大提升恶意行为的检测和判断能力。对于发送安全事件的时候,安全人员可以快速定位到是哪个恶意进程,连接了哪些恶意网站。安全事件排查和回溯效率大大提升。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (14)
1.一种信息处理方法,其特征在于,所述方法包括:
采集全量数据,所述全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据;
在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息;
接收上报请求,从所述上报请求中解析出待识别的第一目标行为;
获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为;
当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
2.根据权利要求1所述的方法,其特征在于,所述用于表征进程行为的第二行为数据至少包括如下两类数据的一种或多种:
记录网络成功请求的第一进程数据;
记录启动进程的第二进程数据。
3.根据权利要求1或2所述的方法,其特征在于,所述关联信息,用于记录所有进程行为对应的网络行为。
4.根据权利要求3所述的方法,其特征在于,获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为,包括:
当所述第一目标行为是网络行为时,则所述识别处理策略为将所述网络行为与进程行为进行关联分析;
在所述网络行为疑似异常的情况下,从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据;
所述第二行为数据包括记录网络成功请求的第一进程数据和记录启动进程的第二进程数据,所述第一进程数据与所述第二进程数据相关联;
将所述第二进程数据中的参数与数据库中的异常参数进行匹配,匹配成功,则进程行为异常,识别出所述第一目标行为是恶意行为。
5.根据权利要求4所述的方法,其特征在于,所述第一目标行为记录于入侵检测系统IDS日志中,所述第一进程数据记录于5156日志中,所述第二进程数据记录于4688日志中;
所述关联信息中包括相关联的所述IDS日志、所述5156日志和所述4688日志。
6.根据权利要求5所述的方法,其特征在于,从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,包括:
根据所述IDS日志中的第一时间参数和第一四元组参数在所述5156日志中进行查询,得到第一进程数据所在5156日志中的日志条目,所述第一进程数据为与所述第一时间参数比对时间最接近且与所述第一四元组参数一致的进程,根据所述第一进程数据得到进程标识ID和进程名字;
根据所述第一进程数据所在5156日志中的日志条目中的第二时间参数和进程ID在所述4688日志中进行查询,得到第二进程数据所在4688日志中的日志条目,所述第二进程数据为与所述第二时间参数比对时间最接近且与所述进程ID一致的进程。
7.根据权利要求6所述的方法,其特征在于,当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作,包括:
根据所述进程ID和/或进程名字对发起所述恶意行为的终端执行追溯操作。
8.一种服务器,其特征在于,所述服务器包括:
采集单元,用于采集全量数据,所述全量数据至少包括:用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据;
关联建立单元,用于在所述第一行为数据与所述第二行为数据间建立关联,得到关联信息;
接收单元,用于接收上报请求,从所述上报请求中解析出待识别的第一目标行为;
识别处理单元,用于获取识别处理策略,根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据,根据所述第二行为数据来识别所述第一目标行为是否是恶意行为;
追溯处理单元,用于当所述第一目标行为是恶意行为时,根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。
9.根据权利要求8所述的服务器,其特征在于,所述用于表征进程行为的第二行为数据至少包括如下两类数据的一种或多种:
记录网络成功请求的第一进程数据;
记录启动进程的第二进程数据。
10.根据权利要求8或9所述的服务器,其特征在于,所述关联信息,用于记录所有进程行为对应的网络行为。
11.根据权利要求10所述的服务器,其特征在于,所述识别处理单元,进一步用于:
当所述第一目标行为是网络行为时,则所述识别处理策略为将所述网络行为与进程行为进行关联分析;
在所述网络行为疑似异常的情况下,从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据;
所述第二行为数据包括记录网络成功请求的第一进程数据和记录启动进程的第二进程数据,所述第一进程数据与所述第二进程数据相关联;
将所述第二进程数据中的参数与数据库中的异常参数进行匹配,匹配成功,则进程行为异常,识别出所述第一目标行为是恶意行为。
12.根据权利要求11所述的服务器,其特征在于,所述第一目标行为记录于入侵检测系统IDS日志中,所述第一进程数据记录于5156日志中,所述第二进程数据记录于4688日志中;
所述关联信息中包括相关联的所述IDS日志、所述5156日志和所述4688日志。
13.根据权利要求12所述的服务器,其特征在于,所述识别处理单元,进一步用于:
根据所述IDS日志中的第一时间参数和第一四元组参数在所述5156日志中进行查询,得到第一进程数据所在5156日志中的日志条目,所述第一进程数据为与所述第一时间参数比对时间最接近且与所述第一四元组参数一致的进程,根据所述第一进程数据得到进程标识ID和进程名字;
根据所述第一进程数据所在5156日志中的日志条目中的第二时间参数和进程ID在所述4688日志中进行查询,得到第二进程数据所在4688日志中的日志条目,所述第二进程数据为与所述第二时间参数比对时间最接近且与所述进程ID一致的进程。
14.根据权利要求13所述的服务器,其特征在于,所述追溯处理单元,进一步用于:
根据所述进程ID和/或进程名字对发起所述恶意行为的终端执行追溯操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610606918.XA CN107666464B (zh) | 2016-07-28 | 2016-07-28 | 一种信息处理方法及服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610606918.XA CN107666464B (zh) | 2016-07-28 | 2016-07-28 | 一种信息处理方法及服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107666464A true CN107666464A (zh) | 2018-02-06 |
CN107666464B CN107666464B (zh) | 2020-11-06 |
Family
ID=61114934
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610606918.XA Active CN107666464B (zh) | 2016-07-28 | 2016-07-28 | 一种信息处理方法及服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107666464B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109800581A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
CN113890821A (zh) * | 2021-09-24 | 2022-01-04 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
US11294383B2 (en) * | 2016-08-12 | 2022-04-05 | Lg Electronics Inc. | Self-learning robot |
CN114710305A (zh) * | 2020-12-31 | 2022-07-05 | 广州视源电子科技股份有限公司 | 数据处理方法、装置、计算机可读存储介质和处理器 |
CN114710364A (zh) * | 2022-05-19 | 2022-07-05 | 北京奇虎科技有限公司 | 网络行为审计方法、装置、设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和系统 |
CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
CN103701816A (zh) * | 2013-12-27 | 2014-04-02 | 北京奇虎科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
US20160212157A1 (en) * | 2015-01-19 | 2016-07-21 | Korea Internet & Security Agency | System and method for analyzing large-scale malicious code |
-
2016
- 2016-07-28 CN CN201610606918.XA patent/CN107666464B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
US20100293615A1 (en) * | 2007-10-15 | 2010-11-18 | Beijing Rising International Software Co., Ltd. | Method and apparatus for detecting the malicious behavior of computer program |
CN102761458A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和系统 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
CN103701816A (zh) * | 2013-12-27 | 2014-04-02 | 北京奇虎科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
US20160212157A1 (en) * | 2015-01-19 | 2016-07-21 | Korea Internet & Security Agency | System and method for analyzing large-scale malicious code |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11294383B2 (en) * | 2016-08-12 | 2022-04-05 | Lg Electronics Inc. | Self-learning robot |
CN109800581A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
CN109800581B (zh) * | 2018-12-29 | 2021-10-22 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
CN114710305A (zh) * | 2020-12-31 | 2022-07-05 | 广州视源电子科技股份有限公司 | 数据处理方法、装置、计算机可读存储介质和处理器 |
CN113890821A (zh) * | 2021-09-24 | 2022-01-04 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
CN113890821B (zh) * | 2021-09-24 | 2023-11-17 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
CN114710364A (zh) * | 2022-05-19 | 2022-07-05 | 北京奇虎科技有限公司 | 网络行为审计方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107666464B (zh) | 2020-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107666464A (zh) | 一种信息处理方法及服务器 | |
Pilli et al. | Network forensic frameworks: Survey and research challenges | |
CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
CN102594825B (zh) | 一种内网木马的检测方法和装置 | |
CN107645503A (zh) | 一种基于规则的恶意域名所属dga家族的检测方法 | |
KR101060612B1 (ko) | 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법 | |
JP2004318552A (ja) | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN107046518A (zh) | 网络攻击的检测方法及装置 | |
CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
WO2015062541A1 (zh) | 对抗免杀测试的云查杀方法、装置及系统 | |
CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
CN108573146A (zh) | 一种恶意url检测方法及装置 | |
CN107247902A (zh) | 恶意软件分类系统及方法 | |
CN110035062A (zh) | 一种网络验伤方法及设备 | |
CN111866024A (zh) | 一种网络加密流量识别方法及装置 | |
CN109167781A (zh) | 一种基于动态关联分析的网络攻击链识别方法和装置 | |
Fallah et al. | Android malware detection using network traffic based on sequential deep learning models | |
CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
CN113542311B (zh) | 一种实时检测失陷主机并回溯的方法 | |
CN113746832B (zh) | 多方法混合的分布式apt恶意流量检测防御系统及方法 | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN114531283A (zh) | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |