CN107888607A - 一种网络威胁检测方法、装置及网络管理设备 - Google Patents

一种网络威胁检测方法、装置及网络管理设备 Download PDF

Info

Publication number
CN107888607A
CN107888607A CN201711218917.9A CN201711218917A CN107888607A CN 107888607 A CN107888607 A CN 107888607A CN 201711218917 A CN201711218917 A CN 201711218917A CN 107888607 A CN107888607 A CN 107888607A
Authority
CN
China
Prior art keywords
target
attack
information
cyberthreat
network node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711218917.9A
Other languages
English (en)
Other versions
CN107888607B (zh
Inventor
吕照明
陈友琨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Information Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201711218917.9A priority Critical patent/CN107888607B/zh
Publication of CN107888607A publication Critical patent/CN107888607A/zh
Application granted granted Critical
Publication of CN107888607B publication Critical patent/CN107888607B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

本申请提供一种网络威胁检测方法、装置及网络管理设备。该方法包括:接收网络安全设备上报的目标日志信息;确定所述目标日志信息对应的目标分类特征;在关于各个分类特征与预设的目标击杀链模型中各个攻击阶段的映射关系中,确定目标分类特征对应的目标攻击阶段;并且,在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,确定该网络节点受到网络威胁;其中,所述预定威胁条件为:在时间轴上按照时间先后顺序,发生所述目标击杀链模型中的正向顺序的阶段组合,所述阶段组合包括至少两种攻击阶段。通过本方案可以解决现有技术中检测效率较低的问题。

Description

一种网络威胁检测方法、装置及网络管理设备
技术领域
本申请涉及网络安全技术领域,特别涉及一种网络威胁检测方法、装置及网络管理设备。
背景技术
安全攻防一直存在并愈演愈烈,由最初的单一攻击发展到如今的目的性强、持续时间久、分阶段发生的APT(Advanced Persistent Threat,高级持续性威胁)攻击。为了描述APT攻击出现了击杀链模型,而基于攻击者进行APT攻击的攻击思路,现有的击杀链模型由七个攻击阶段构成,即侦查、武装、分发、利用、安装、命令和控制和目标行动。
其中,击杀链模型的端到端的“链”的特征,决定了任何阶段的中断都可以导致整个过程中断。作为防御者,可以根据击杀链模型的端到端的“链”的特征建立反击杀链模型。目前的反击杀链模型,如F2T2EA(Find-Fix-Track-Target-Engage-Assess)模型,主要包括六个阶段,分别是“发现-定位-跟踪-瞄准-打击-评估”。在反击杀链模型中,发现能力是先决条件,只有发现目标,才有可能击毙目标,也就是说,网络威胁检测是反击杀过程中至关重要的第一步。
现有技术中,在网络威胁检测时,防御者所利用的网络威胁检测方法的处理思路为:通过人工方式,逐个排查现有的击杀链模型中各个攻击阶段是否存在网络威胁。
可见,尽管现有的网络威胁检测方法能够实现网络威胁的检测,但是,在检测过程中步骤较为繁琐且必须依赖于人工,这样导致检测效率较低,最终影响最佳防御时机的确定,为网络安全带来隐患。
发明内容
有鉴于此,本申请提供一种网络威胁检测方法、装置及网络管理设备,以解决现有技术中检测效率较低的问题。
具体地,本申请是通过如下技术方案实现的:
第一方面,本申请提供了一种网络威胁检测方法,应用于网络管理设备;所述方法包括:
接收网络安全设备上报的目标日志信息;其中,所述目标日志信息为关于所述网络安全设备所监控网络节点的日志信息;
确定所述目标日志信息对应的目标分类特征;其中,所述目标分类特征为所述目标日志信息中的预定属性,所述预定属性为表征事件本质的属性;
在关于各个分类特征与预设的目标击杀链模型中各个攻击阶段的映射关系中,确定所述目标分类特征对应的目标攻击阶段;其中,所述目标击杀链模型包括:对高级持续性威胁APT攻击按照时间顺序划分的多个攻击阶段;
并且,在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,确定该网络节点受到网络威胁;其中,所述预定威胁条件为:在时间轴上按照时间先后顺序,发生所述目标击杀链模型中的正向顺序的阶段组合,所述阶段组合包括至少两种攻击阶段。
可选地,所述多个攻击阶段包括:环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段。
可选地,当所述目标日志信息为攻击日志、防病毒日志或分布式拒绝服务DDoS日志中的信息时,所述预定属性为表示日志类型的属性;
当所述目标日志信息为入侵防御系统IPS日志中的信息时,所述预定属性为表示攻击ID的属性;
当所述目标日志信息为包含技术手段属性的第一类日志中的信息时,所述预定属性为表示技术手段的属性,其中,所述第一类日志为由第三方采集器采集并解析的日志;
当所述目标日志信息为关联分析事件日志中的信息时,所述预定属性为表示关联事件名称的属性。
可选地,所述确定该网络节点受到网络威胁之后,所述方法还包括:
输出关于该网络节点收到网络威胁的告警信息;
或者,根据预先设置的攻击阻断方式,阻断攻击源对该网络节点的网络攻击。
可选地,所述攻击阻断方式包括:
将攻击源加入黑名单、结束该网络节点中与所检测到威胁相关的恶意进程、关闭该网络节点的被入侵端口中的至少一种。
第二方面,本申请提供了一种网络威胁检测装置,应用于网络管理设备;所述装置包括:
日志信息接收单元,用于接收网络安全设备上报的目标日志信息;其中,所述目标日志信息为关于所述网络安全设备所监控网络节点的日志信息;
分类特征确定单元,用于确定所述目标日志信息对应的目标分类特征;其中,所述目标分类特征为所述目标日志信息中的预定属性,所述预定属性为表征事件本质的属性;
攻击阶段确定单元,用于在关于各个分类特征与预设的目标击杀链模型中各个攻击阶段的映射关系中,确定所述目标分类特征对应的目标攻击阶段;其中,所述目标击杀链模型包括:对高级持续性威胁APT攻击按照时间顺序划分的多个攻击阶段;
网络威胁判断单元,用于在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,确定该网络节点受到网络威胁;其中,所述预定威胁条件为:在时间轴上按照时间先后顺序,发生所述目标击杀链模型中的正向顺序的阶段组合,所述阶段组合包括至少两种攻击阶段。
可选地,所述多个攻击阶段包括:环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段。
可选地,当所述目标日志信息为攻击日志、防病毒日志或分布式拒绝服务DDoS日志中的信息时,所述预定属性为表示日志类型的属性;
当所述目标日志信息为入侵防御系统IPS日志中的信息时,所述预定属性为表示攻击ID的属性;
当所述目标日志信息为包含技术手段属性的第一类日志中的信息时,所述预定属性为表示技术手段的属性,其中,所述第一类日志为由第三方采集器采集并解析的日志;
当所述目标日志信息为关联分析事件日志中的信息时,所述预定属性为表示关联事件名称的属性。
可选地,本申请所提供的装置还包括:
告警信息输出单元,用于在网络威胁判断单元确定该网络节点受到网络威胁之后,输出关于该网络节点收到网络威胁的告警信息;
或者,
攻击阻断单元,用于在网络威胁判断单元确定该网络节点受到网络威胁之后,根据预先设置的攻击阻断方式,阻断攻击源对该网络节点的网络攻击。
可选地,所述攻击阻断方式包括:
将攻击源加入黑名单、结束该网络节点中与所检测到威胁相关的恶意进程、关闭该网络节点的被入侵端口中的至少一种。
第三方面,本申请还提供了一种网络管理设备,包括:内部总线、存储器、处理器和通信接口;其中,所述处理器、所述通信接口、所述存储器通过所述内部总线完成相互间的通信;其中,所述存储器,用于存储网络威胁检测方法对应的机器可行指令;所述处理器,用于读取所述存储器上的所述机器可读指令,以实现本申请第一方面所提供的网络威胁检测方法。
本方案中,基于攻击者进行APT攻击的攻击思路,重新设定了目标击杀链模型,该目标击杀链模型不但相对于现有技术中的击杀链模型进行了极大简化,而且,目标击杀链模型中各个攻击阶段均可以对应基于日志信息所确定的分类特征。这样,在网络威胁检测过程中,网络管理设备可以基于网络安全设备所上报目标日志信息的目标分类特征来确定该目标日志信息对应的目标攻击阶段,进而,在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,可以确定该网络节点受到网络威胁,实现了对网络威胁的自动化检测。可见,通过本方案可以解决现有技术中检测效率低的问题;另外,本方案所提供的方案可以满足网管高效友好的需求,简化工具,提高应用与维护的便捷性,以及降低网络管理人员的工作负担。
附图说明
图1是本申请所提供的一种网络威胁检测方法所利用的目标击杀链模型的示意图;
图2是本申请所提供的一种网络威胁检测方法的流程图;
图3是本申请所提供的一种网络威胁检测方法所利用的目标击杀链模型的APT攻击时序分布图;
图4是本申请所提供的一种网络威胁检测装置的结构示意图;
图5是本申请所提供的一种网络管理设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
现有技术中的击杀链模型中各个攻击阶段和所对应排查方式的介绍如下:
侦查:攻击者选择目标网络,进行研究,并尝试识别目标网络中的漏洞。防御方部署用户认证系统以及访问代理系统获取用户信息并监测用户行为。攻击者在选择目标网络并进行研究的过程中,通常会以标准用户的身份登陆,然后通过尝试某些漏洞提高自己的权限。而这种行为能够被安全日志记录下来,当网络管理员对安全日志进行扫描时会发现除去真正的维护人员,还多了一个从不同IP(Internet Protocol,网络之间互连的协议)地址登陆的用户在提升自己的权限,通过分析这个用户前后的日志及行为,可以判断出这个攻击者使用了哪些手段与漏洞实现了权限的提升。
武装:攻击者创建远程访问恶意软件。通常攻击者不是凭空创造病毒或者蠕虫的,而是去浏览各种安全网站,如论坛,寻找一些比较新的漏洞信息,并针对这些信息来开发自己的远程访问恶意软件。防御者通过对已有漏洞、病毒和蠕虫的分析,提前制定猎杀远程访问恶意软件的方法与工具。
分发:攻击者将远程访问恶意软件发送到目标网络中的目标网络节点上。防御者部署安全网关之后,通过该安全网关的签名侦测功能对网络传输数据进行侦测,在对该安全网关日志的分析中可以发现攻击者将该远程访问恶意软件发送到目标网络节点的踪迹,利用其他一些相关日志如用户认证日志,进行关联,定位并跟踪攻击者以及入侵的整个过程。
利用:对目标网络扫描寻找可以利用的漏洞用以触发远程访问恶意软件。攻击者在登陆目标网络后常用的手段是尝试对整个网络进行扫描,包括扫描各种开放的端口以发现漏洞与可利用端口,同样也会对公开的端口进行注入扫描。这种扫描行为会被防火墙记录下来,通过分析该防火墙的日志就能很容易发现具有这类行为的用户。
安装:远程访问恶意软件安装。防御者通过建立定时运行的脚本,可以定期收集网络节点的配置信息、文件系统可执行文件列表、执行文件的校验和等数据,通过分析同一节点前后两次收集的差异来发现攻击者是否将网络病毒等远程访问恶意软件安装在网络节点中。由于攻击者通常没有所有网络节点的完整信息,同时入侵所有节点的可能性很小,而网络病毒的传播也需要一个过程,相似节点间的比较同样为发现入侵与网络病毒提供了非常有效的手段。
命令和控制:恶意软件使攻击者能够对目标网络持续访问与控制。防御者利用现有的某些配置命令对正在运行的进程、已经打开的端口以及某些目录的启动运行脚本监控,同样可以比较差异来发现攻击者为了维持对网络的访问与控制而留在被入侵节点上的执行进程与通信端口,以及为下次启动时能自动运行的启动脚本。
目标行动:攻击者采取行动实现其目的,例如控制僵尸网络、数据泄露、数据销毁或赎金加密。防御者通过分析防火墙的日志可以掌握整个目标网络上的数据流方向,再利用可视化技术构建出一个网络数据流图,通过获得网络接口的统计数据可以估计网络上的数据流量。利用这些数据,了解整个目标网络上的数据流动情况,从而发现异常的流动。
可见,现有的网络威胁检测方法基于现有的包含七个攻击阶段的击杀链模型,在网络威胁检测过程中,通过人工方式,逐个排查现有的击杀链模型中各个攻击阶段是否存在网络威胁,步骤较为繁琐且必须依赖人工,检测效率较低,最终影响最佳防御时机的确定,为网络安全带来隐患;另外,也无法满足网管高效友好的需求,工具繁琐不利于应用与维护,网络管理人员工作负担较重。
本申请提供了一种网络威胁检测方法及装置,以解决现有技术中检测效率较低的问题;另外,本方案所提供的方案可以满足网管高效友好的需求,简化工具,提高应用与维护的便捷性,以及降低网络管理人员的工作负担。
需要说明的是,本申请基于攻击者进行高级持续性威胁APT攻击的攻击思路,预先设定了目标击杀链模型,该目标击杀链模型相对于现有技术中的击杀链模型进行了极大简化,包括:环境侦查-定向攻击-系统攻陷-恶意活动四个攻击阶段,如图1所示的击杀链示意图。而由于每一攻击阶段中,网络中的网络安全设备均可以产生相应的日志信息,进而可以基于对日志信息的分析来自动实现网络威胁检测。具体的,目标击杀链模型所包括的四个攻击阶段的阶段内容如下:
环境侦查:代表侦查与探测,属于扫描探测类安全事件,通过嗅探或模拟业务通信的方式获得网络的各类事件,如网络节点存活信息、端口服务开放信息、操作系统指纹等。
定向攻击:代表正在发生攻击行为,属于入侵、攻击类安全事件,利用系统配置缺陷、协议缺陷、程序缺陷,使用暴力攻击等手段对网络实施攻击,包括DDoS(DistributedDenial of Service,分布式拒绝服务)、猜测口令、域名劫持、SQL(Structured QueryLanguage,结构化查询语言)注入等。
系统攻陷:代表节点、应用等已经失陷,如:爆破成功、猜测密码成功等等。需要说明的是,登陆系统需要授权,在不知道密码的情况下,通过遍历所有可能的密码的破解方法获取权限称为爆破,而通过这种方法得到正确的密码则称为爆破成功。
恶意活动:代表系统损害或破坏,以及代表漏洞利用与安装。其中,系统损害或破坏属于系统安全类事件,该类事件发生说明攻击者已通过网络或其他技术手段造成网络中信息被篡改、信息泄露与被窃取(即未授权用户获取信息),例如:当节点被蠕虫感染后会对节点造成不同的损害。而漏洞利用与安装属于恶意代码类安全事件,攻击者蓄意制造、传播恶意代码,包括木马、网页挂马、跨站脚本和僵尸软件等。另外,对于间谍软件、隐蔽性非常强的C&C(ChallengeCollapsar,攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装)攻击也属于该攻击阶段。
基于上述对目标击杀链模型中各个攻击阶段的介绍,本领域技术人员可以理解的是,上述的目标击杀链模型所包括的四个攻击阶段实质上与现有技术中的击杀链模型所包括的七个攻击阶段,等同地体现出攻击方进行APT攻击时的攻击思路。
需要强调的是,本申请并未对攻击者进行APT攻击的攻击思路进行假设或对攻击手段进行弱化,而是在安全防御时,基于攻击者进行APT攻击的攻击思路,将诸如“武装”等攻击特性融入分类特征库中,重新划分了能够利用日志信息通过分类特征库映射实现自动分类的四个攻击阶段,从而形成自动化所需的简化的目标击杀链模型。也就是说,对于同一个APT攻击而言,按照现有技术中基于包含七个阶段的击杀链模型的检测方法,需要通过人工方式,逐个排查各个攻击阶段是否存在网络威胁,步骤繁琐且必须依赖人工;而按照本方案中基于包含四个攻击阶段的目标击杀链模型的检测方法,可以解决现有技术中由于步骤繁琐且必须依赖人工而导致的检测效率低的问题。
下面首先对本申请所提供的一种网络威胁检测方法进行介绍。
其中,本申请所提供的一种网络威胁检测方法应用于网络管理设备,该网络管理设备是用于对目标网络进行安全管理的设备,即运行有网络安全管理程序的设备,并且,该目标网络中不仅包括各个存在被威胁可能的网络节点,还包括网络安全设备。其中,该网络安全设备监控一个或多个网络节点,具体的,该网络安全设备可以监控传输至一个或多个网络节点的数据报文,进而根据所监控到的数据报文,生成关于该数据报文所对应网络节点的目标日志信息,并将目标日志信息上报至网络管理设备。
可以理解的是,网络安全设备的类型存在多种。举例而言:网络安全设备可以为以下设备或软件中的任一个:
路由器,支持各种单包攻击、扫描攻击、泛洪攻击等防范手段;
防火墙,支持对DoS/DDoS(Distributed Denial of Service,分布式拒绝服务)攻击、地址/端口扫描等威胁的防范,可以有效的识别和控制网络中的各种P2P(Point toPoint,点对点)应用,支持静态和动态黑名单、物理地址绑定等安全功能;
UTM(United Threat Management,统一威胁管理)安全网关,提供病毒防护、URL(Uniform Resoure Locator,统一资源定位器)过滤、漏洞攻击防护、垃圾邮件防护、P2P(Point to Point,点对点)/IM(Instant Messenger,即时通信)应用层流量控制和用户行为审计等安全功能;
IPS(Intrusion Prevention System,入侵防御系统),能够及时中断、调整和隔离一些不正常或是具有伤害性的网络资料传输行为;
ACG(Application Control Gateway,应用控制网关),能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制,保障网络关键应用和服务的带宽。
需要强调的是,本申请中的网络安全设备可以为现有技术中存在的任一网络安全设备,具体采用何种设备,可以根据具体网络应用场景来选取,并申请对此不作限定。
如图2所示,本申请所提供的一种网络威胁检测方法,包括如下步骤:
S101,接收网络安全设备上报的目标日志信息;
其中,该目标日志信息为关于该网络安全设备所监控网络节点的日志信息。
S102,确定该目标日志信息对应的目标分类特征;其中,该目标分类特征为该日志信息中的预定属性,该预定属性为表征事件本质的属性;
每次接收到网络安全设备上报的目标日志信息,网络管理设备可以确定该目标日志信息对应的目标分类特征,进而后续基于该目标分类特征确定该目标日志信息对应的目标攻击阶段。
可以理解的是,对于不同的日志而言,由于所侧重的内容不同,表征具体的事件本质的属性不同。举例而言:
当该目标日志信息为攻击日志、防病毒日志或分布式拒绝服务DDoS日志中的信息时,该预定属性为表示日志类型的属性;
当该目标日志信息为入侵防御系统IPS日志中的信息时,该预定属性为表示攻击ID的属性;其中,IPS日志中的AttackID(1089)字段信息,也称攻击ID,联合该攻击ID和IPS特征库来表征IPS日志的特征,即对当前攻击类型分类。举例而言:IPS日志中的攻击ID为“24661”,IPS特征库中该攻击ID为“24661”所对应的特征为“Graphite_Web系统存在远程命令攻击漏洞”,根据特征进行分类,则该攻击属于恶意活动;
当该目标日志信息为包含技术手段属性的第一类日志中的信息时,该预定属性为表示技术手段的属性,其中,该第一类日志为由第三方采集器采集并解析的日志;可以理解的是,各个厂商设备所发送的日志可以先经过第三方采集器收集并解析,解析后的日志再转发到网络管理设备,从而解决对多个厂商设备所发送日志无法识别的问题,可见,该第三方采集器的主要功能是采集、解析并转发日志;
当该目标日志信息为关联分析事件日志中的信息时,该预定属性为表示关联事件名称的属性。
为了方案清楚,下面简述下关联事件的相关内容:
一条日志涵盖的信息不具备统计意义,因此,将指定时间段内同时满足某一规则的日志数量达到设置的阈值时,定义为触发了一个关联事件;
以关联事件“WEB服务异常可能受到攻击”为例:在300秒内至少有100个事件满足请求的URL与源地址不为空,请求响应码不为200、302、304,设备类型必须为应用或者WEB,每个事件之间目的IP与设备类型分别相同,源IP存在10个不同值,才会触发关联事件;
以关联事件“存在SQL注入攻击,数据可能已经泄漏”为例:该事件包含两个基本事件,基本事件一:事件类型为SQL注入,源IP地址不为空,设备类型为数据库;基本事件二:设备处理动作为选择,源IP地址不为空,设备类型为数据库;并且在180秒内至少有20个事件满足目的IP与源IP分别相同,同时基本事件一的源IP与基本事件二相同,才会触发关联事件。
需要强调的是,上述关于预定属性的具体内容仅仅作为示例,并不应该构成对申请的限定。
S103,在关于各个分类特征与预设的目标击杀链模型中各个攻击阶段的映射关系中,确定该目标分类特征对应的目标攻击阶段;
其中,该目标击杀链模型包括:对高级持续性威胁APT攻击按照时间顺序划分的多个攻击阶段,具体的,该多个攻击阶段包括:环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段。
需要说明的是,为了实现自动化检测,可以基于大数据分析,人工预先构建关于各个分类特征与目标击杀链模型中各个攻击阶段的映射关系,即确定各个分类特征所对应的攻击阶段。具体的:可以浏览各种安全网站,如论坛,通过对一些比较新的漏洞、病毒和蠕虫等恶意软件进行分析,分析在恶意软件安装运行过程中的各类日志信息,提取各类日志信息中的预定属性作为特征库中的分类特征,并基于人工分析确定各个分类特征对应哪个攻击阶段。举例而言:
假设攻击日志中表示日志类型的属性的具体内容为“ATK_IP4_IPSWEEP”,表明有用户在进行IP扫描,提取“ATK_IP4_IPSWEEP”作为分类特征,并可以将该分类特征即ATK_IP4_IPSWEEP,对应于环境侦查;而假设攻击日志中表示日志类型的属性的具体内容为“ATK_ICMP_FLOOD”,表明有用户在进行放洪攻击,提取“ATK_ICMP_FLOOD”作为分类特征,并可以将该分类特征即ATK_ICMP_FLOOD,对应于定向攻击。
假设第一类日志中,表示技术手段的属性的具体内容为“/Exploit/Vulnerability/SQLInjection”,表示正在发生SQL注入,提取“/Exploit/Vulnerability/SQLInjection”作为分类特征,并可以将该分类特征,即/Exploit/Vulnerability/SQLInjection,对应于定向攻击;而假如第一类日志中表示技术手段的属性的具体内容为“/Exploit/PrivilegeEscalation”,表示正在发生权限提升,提取“/Exploit/PrivilegeEscalation”作为分类特征,并可以将该分类特征,即/Exploit/PrivilegeEscalation,对应于恶意活动。
假设关联分析事件日志中表示关联分析事件名称的属性的具体内容为“检测到暴力破解,并存在权限提升的行为”,表明系统攻陷,提取“检测到暴力破解,并存在权限提升的行为”作为分类特征,并可以将该分类特征,即“检测到暴力破解,并存在权限提升的行为”,对应于系统攻陷;而假设关联分析事件日志中表示关联事件名称的属性的具体内容为“来自同一IP的大量访问失败,可能是自动化工具入侵尝试”,表明定向攻击发生,提取“来自同一IP的大量访问失败,可能是自动化入侵尝试”作为分类特征,并将该分类特征,即“来自同一IP的大量访问失败,可能是自动化入侵尝试”,对应于系统攻陷。
假设防病毒日志中表示日志类型的属性的具体内容为:木马Trojan-Mailfinder(邮件收集者木马),表明安装有名称为Trojan-Mailfinder的木马,提取“木马Trojan-Mailfinder”作为分类特征,并可以将该分类特征,即木马Trojan-Mailfinder,对应于恶意活动;假设防病毒日志中表示日志类型的属性的具体内容为:VirTool(病毒修改工具),表明安装有名称为VirTool的恶意软件,提取“VirTool”作为分类特征,并可以将该分类特征,即VirTool,对应定向攻击。
另外,网络管理设备在确定出日志信息对应的目标攻击阶段后,可以分析日志信息,得到并记录攻击发起时间、攻击者IP、被攻击者IP以及所对应目标攻击阶段等信息。
S104,在确定出至少两个目标攻击阶段后,基于当前所确定出的目标攻击阶段,当判断出一网络节点符合预定威胁条件时,确定该网络节点受到网络威胁。
其中,该预定威胁条件为:在时间轴上按照时间先后顺序,发生该目标击杀链模型中的正向顺序的阶段组合,该阶段组合包括至少两种攻击阶段。需要强调的是,对于至少两种攻击阶段而言,尽管在时间轴上先后发生,但是先后发生顺序不一定满足环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段的正向顺序,如:先后发生了定向攻击、环境侦查,但是,定向攻击和环境侦查的先后发生顺序不满足的环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段的正向顺序。而通过正向顺序的阶段组合明确了先后发生顺序需要满足环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段的正向顺序。
在确定出至少两个目标攻击阶段后,可以针对于每一网络节点,分别判断是否符合预定威胁条件,进而当判断出一网络节点符合预定威胁条件时,确定该网络节点受到网络威胁。举例而言:对于网络节点A而言,在确定出至少两个目标攻击阶段后,可以确定与该网络节点A对应的各个目标攻击阶段,如果与该网络节点A对应的各个目标攻击阶段中,存在至少两种目标攻击阶段在时间轴上按照时间先后顺序发生,且属于正向顺序,则认定该网络节点A受到网络威胁。如图3所示,给出了目标击杀链模型的一种APT攻击时序分布图。
需要说明的是,由于击杀链具有端到端的特性,单个攻击阶段和非正向组合,不能认为是有效攻击的击杀链,其中,所谓的非正向组合可以例如:定向攻击-环境侦查;或,恶意活动-环境侦查,恶意活动-定向攻击,等等。
本申请中,关于正向顺序的阶段组合的形式可以如下:
如果仅仅包括两个攻击阶段,则所谓正向顺序的阶段组合可以包括如下七个组合形式:环境侦查-定向攻击,环境侦查-系统攻陷,环境侦查-系统攻陷,环境侦查-恶意活动,定向攻击-系统攻陷,定向攻击-恶意活动,系统攻陷-恶意攻击;
如果包括三个攻击阶段,则所谓正向顺序的阶段组合可以包括如下四个组合形式:环境侦查-定向攻击-系统攻陷,环境侦查-定向攻击-恶意活动,环境侦查-系统攻陷-恶意活动,定向攻击-系统攻陷-恶意活动;
如果包括四个攻击阶段,则所谓正向顺序的阶段组合可以包括如下一个组合形式:环境侦查-定向攻击-系统攻陷-恶意活动。
可以理解的是,对于上述的存在跳跃的正向顺序的阶段组合的形式,如环境侦查—系统攻陷以及环境侦查—恶意活动等,由于两端的攻击阶段已经发生,该跳跃的攻击阶段必然也发生,尽管由于某些原因未被识别到,但是,也是有效的击杀链,因此,存在跳跃的正向顺序的阶段组合的组合形式被认定为有效。如图3所示,给出了目标击杀链模型的一种APT攻击时序分布图,存在跳跃的正向组合的组合形式被认定为有效。
本方案中,基于攻击者进行APT攻击的攻击思路,重新设定了目标击杀链模型,该目标击杀链模型不但相对于现有技术中的击杀链模型进行了极大简化,而且,目标击杀链模型中各个攻击阶段均可以对应基于日志信息所确定的分类特征。这样,在网络威胁检测过程中,网络管理设备可以基于网络安全设备所上报目标日志信息的目标分类特征来确定该目标日志信息对应的目标攻击阶段,进而,在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,可以确定该网络节点受到网络威胁,实现了对网络威胁的自动化检测。可见,通过本方案可以解决现有技术中检测效率低的问题;另外,本方案所提供的方案可以满足网管高效友好的需求,简化工具,提高应用与维护的便捷性,以及降低网络管理人员的工作负担。
在确定出某一网络节点受到网络威胁后,如果网络管理人员能够及时获知节点受到威胁从而给出相应应对措施,则可以避免造成严重的损失。基于该种需求,本申请所提供的一种网络威胁检测方法,在所述确定该网络节点受到网络威胁之后,还可以包括:
输出关于该网络节点收到网络威胁的告警信息。
在输出关于该网络节点收到网络威胁的告警信息后,网络管理员可以根据该告警信息执行相应的应对措施,以避免造成严重的损失。
其中,在具体应用中,网络管理设备可以向自身的Web端发送告警信息,或者,通过手机短信、微信、邮件等通信方式输出告警信息,等等。
在确定出某一网络节点受到网络威胁后,如果网络管理设备可以自动阻断攻击,无需人工参与,则可以较为高效地应对威胁,避免造成严重的损失。基于该种需求,本申请所提供的一种网络威胁检测方法,在所述确定该网络节点受到网络威胁之后,还可以包括:
根据预先设置的攻击阻断方式,阻断攻击源对该网络节点的网络攻击。
其中,所述攻击阻断方式包括:
将攻击源加入黑名单、结束该网络节点中与所检测到威胁相关的恶意进程、关闭该网络节点的被入侵端口中的至少一种。
上述的攻击源、该网络节点中与所检测到威胁相关的恶意进程及该网络节点的被入侵端口均可以对日志信息进行现有的分析方式来得到,本申请不做限定。
需要强调的是,上述的攻击阻断方式仅仅作为示例性说明,并不应该构成对本申请的限定。另外,在具体应用中,告警信息和阻断攻击源对该网络节点的网络攻击这两种过程,可以仅仅执行一种,也可以同时执行,这都是合理的。
相应于上述方法实施例,本申请还提供了一种网络威胁检测装置,应用于网络管理设备;如图4所示,所述装置可以包括:
日志信息接收单元210,用于接收网络安全设备上报的目标日志信息;其中,所述目标日志信息为关于所述网络安全设备所监控网络节点的日志信息;
分类特征确定单元220,用于确定所述目标日志信息对应的目标分类特征;其中,所述目标分类特征为所述目标日志信息中的预定属性,所述预定属性为表征事件本质的属性;
攻击阶段确定单元230,用于在关于各个分类特征与预设的目标击杀链模型中各个攻击阶段的映射关系中,确定所述目标分类特征对应的目标攻击阶段;其中,所述目标击杀链模型包括:对高级持续性威胁APT攻击按照时间顺序划分的多个攻击阶段;
网络威胁判断单元240,用于在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,确定该网络节点受到网络威胁;其中,所述预定威胁条件为:在时间轴上按照时间先后顺序,发生所述目标击杀链模型中的正向顺序的阶段组合,所述阶段组合包括至少两种攻击阶段。
本方案中,基于攻击者进行APT攻击的攻击思路,重新设定了目标击杀链模型,该目标击杀链模型不但相对于现有技术中的击杀链模型进行了极大简化,而且,目标击杀链模型中各个攻击阶段均可以对应基于日志信息所确定的分类特征。这样,在网络威胁检测过程中,网络管理设备可以基于网络安全设备所上报目标日志信息的目标分类特征来确定该目标日志信息对应的目标攻击阶段,进而,在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,可以确定该网络节点受到网络威胁,实现了对网络威胁的自动化检测。可见,通过本方案可以解决现有技术中检测效率低的问题;另外,本方案所提供的方案可以满足网管高效友好的需求,简化工具,提高应用与维护的便捷性,以及降低网络管理人员的工作负担。
可选地,所述多个攻击阶段包括:环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段。
可选地,当所述目标日志信息为攻击日志、防病毒日志或分布式拒绝服务DDoS日志中的信息时,所述预定属性为表示日志类型的属性;
当所述目标日志信息为入侵防御系统IPS日志中的信息时,所述预定属性为表示攻击ID的属性;
当所述目标日志信息为包含技术手段属性的第一类日志中的信息时,所述预定属性为表示技术手段的属性,其中,所述第一类日志为由第三方采集器采集并解析的日志;
当所述目标日志信息为关联分析事件日志中的信息时,所述预定属性为表示关联事件名称的属性。
可选地,本申请所提供的一种网络威胁检测装置还可以包括:
告警信息输出单元,用于在网络威胁判断单元确定该网络节点受到网络威胁之后,输出关于该网络节点收到网络威胁的告警信息;
或者,
攻击阻断单元,用于在网络威胁判断单元确定该网络节点受到网络威胁之后,根据预先设置的攻击阻断方式,阻断攻击源对该网络节点的网络攻击。
可选地,所述攻击阻断方式可以包括:
将攻击源加入黑名单、结束该网络节点中与所检测到威胁相关的恶意进程、关闭该网络节点的被入侵端口中的至少一种。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
另外,相应于上述方法实施例,本申请还提供了一种网络管理设备,如图5所示,该网络管理设备包括:内部总线510、存储器(memory)520、处理器(processor)530和通信接口(Communications Interface)540;其中,所述处理器530、所述通信接口540、所述存储器520通过所述内部总线510完成相互间的通信;
其中,所述存储器520,用于存储网络威胁检测方法对应的机器可行指令;
所述处理器530,用于读取所述存储器520上的所述机器可读指令,以执行本申请上述实施例所提供的网络威胁检测方法。
其中关于网络威胁检测方法的具体步骤的相关描述可以参见本申请方法实施例中的描述内容,在此不做赘述。可以理解的是,该通信接口也用于接收网络安全设备上报的日志数据;该存储器也用于存储该通信接口接收的日志数据;该处理器也用于对通信接口接收的日志数据进行处理和分类。
其中,存储器520例如可以是非易失性存储器(non-volatile memory)。处理器530可以调用执行存储器520中的实现网络威胁检测方法的逻辑指令,以执行上述网络威胁检测方法。
实现网络威胁检测方法的逻辑指令的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种网络威胁检测方法,其特征在于,应用于网络管理设备;所述方法包括:
接收网络安全设备上报的目标日志信息;其中,所述目标日志信息为关于所述网络安全设备所监控网络节点的日志信息;
确定所述目标日志信息对应的目标分类特征;其中,所述目标分类特征为所述目标日志信息中的预定属性,所述预定属性为表征事件本质的属性;
在关于各个分类特征与预设的目标击杀链模型中各个攻击阶段的映射关系中,确定所述目标分类特征对应的目标攻击阶段;其中,所述目标击杀链模型包括:对高级持续性威胁APT攻击按照时间顺序划分的多个攻击阶段;
并且,在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,确定该网络节点受到网络威胁;其中,所述预定威胁条件为:在时间轴上按照时间先后顺序,发生所述目标击杀链模型中的正向顺序的阶段组合,所述阶段组合包括至少两种攻击阶段。
2.根据权利要求1所述的方法,其特征在于,所述多个攻击阶段包括:环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段。
3.根据权利要求1或2所述的方法,其特征在于,当所述目标日志信息为攻击日志、防病毒日志或分布式拒绝服务DDoS日志中的信息时,所述预定属性为表示日志类型的属性;
当所述目标日志信息为入侵防御系统IPS日志中的信息时,所述预定属性为表示攻击ID的属性;
当所述目标日志信息为包含技术手段属性的第一类日志中的信息时,所述预定属性为表示技术手段的属性,其中,所述第一类日志为由第三方采集器采集并解析的日志;
当所述目标日志信息为关联分析事件日志中的信息时,所述预定属性为表示关联事件名称的属性。
4.根据权利要求1或2所述的方法,其特征在于,所述确定该网络节点受到网络威胁之后,所述方法还包括:
输出关于该网络节点收到网络威胁的告警信息;
或者,
根据预先设置的攻击阻断方式,阻断攻击源对该网络节点的网络攻击。
5.根据权利要求4所述的方法,其特征在于,所述攻击阻断方式包括:
将攻击源加入黑名单、结束该网络节点中与所检测到威胁相关的恶意进程、关闭该网络节点的被入侵端口中的至少一种。
6.一种网络威胁检测装置,其特征在于,应用于网络管理设备;所述装置包括:
日志信息接收单元,用于接收网络安全设备上报的目标日志信息;其中,所述目标日志信息为关于所述网络安全设备所监控网络节点的日志信息;
分类特征确定单元,用于确定所述目标日志信息对应的目标分类特征;其中,所述目标分类特征为所述目标日志信息中的预定属性,所述预定属性为表征事件本质的属性;
攻击阶段确定单元,用于在关于各个分类特征与预设的目标击杀链模型中各个攻击阶段的映射关系中,确定所述目标分类特征对应的目标攻击阶段;其中,所述目标击杀链模型包括:对高级持续性威胁APT攻击按照时间顺序划分的多个攻击阶段;
网络威胁判断单元,用于在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,确定该网络节点受到网络威胁;其中,所述预定威胁条件为:在时间轴上按照时间先后顺序,发生所述目标击杀链模型中的正向顺序的阶段组合,所述阶段组合包括至少两种攻击阶段。
7.根据权利要求6所述的装置,其特征在于,所述多个攻击阶段包括:环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段。
8.根据权利要求6或7所述的装置,其特征在于,当所述目标日志信息为攻击日志、防病毒日志或分布式拒绝服务DDoS日志中的信息时,所述预定属性为表示日志类型的属性;
当所述目标日志信息为入侵防御系统IPS日志中的信息时,所述预定属性为表示攻击ID的属性;
当所述目标日志信息为包含技术手段属性的第一类日志中的信息时,所述预定属性为表示技术手段的属性,其中,所述第一类日志为由第三方采集器采集并解析的日志;
当所述目标日志信息为关联分析事件日志中的信息时,所述预定属性为表示关联事件名称的属性。
9.根据权利要求6或7所述的装置,其特征在于,还包括:
告警信息输出单元,用于在网络威胁判断单元确定该网络节点受到网络威胁之后,输出关于该网络节点收到网络威胁的告警信息;
或者,
攻击阻断单元,用于在网络威胁判断单元确定该网络节点受到网络威胁之后,根据预先设置的攻击阻断方式,阻断攻击源对该网络节点的网络攻击。
10.一种网络管理设备,其特征在于,包括:内部总线、存储器、处理器和通信接口;其中,所述处理器、所述通信接口、所述存储器通过所述内部总线完成相互间的通信;其中,所述存储器,用于存储网络威胁检测方法对应的机器可行指令;所述处理器,用于读取所述存储器上的所述机器可读指令,以实现如权利要求1-5任一项所述的网络威胁检测方法。
CN201711218917.9A 2017-11-28 2017-11-28 一种网络威胁检测方法、装置及网络管理设备 Active CN107888607B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711218917.9A CN107888607B (zh) 2017-11-28 2017-11-28 一种网络威胁检测方法、装置及网络管理设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711218917.9A CN107888607B (zh) 2017-11-28 2017-11-28 一种网络威胁检测方法、装置及网络管理设备

Publications (2)

Publication Number Publication Date
CN107888607A true CN107888607A (zh) 2018-04-06
CN107888607B CN107888607B (zh) 2020-11-06

Family

ID=61775896

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711218917.9A Active CN107888607B (zh) 2017-11-28 2017-11-28 一种网络威胁检测方法、装置及网络管理设备

Country Status (1)

Country Link
CN (1) CN107888607B (zh)

Cited By (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881323A (zh) * 2018-09-18 2018-11-23 中国人民解放军战略支援部队信息工程大学 基于群智理论的威胁检测系统及方法
CN108900508A (zh) * 2018-06-29 2018-11-27 亚信科技(成都)有限公司 高级威胁检测方法及智能探针装置和高级威胁检测系统
CN109167767A (zh) * 2018-08-17 2019-01-08 苏州亮磊知识产权运营有限公司 一种对于DHCP架构的DDoS攻击防御系统的工作方法
CN109284317A (zh) * 2018-10-26 2019-01-29 山东中孚安全技术有限公司 一种基于时序有向图的窃取信息线索提取与分段评估方法
CN109743325A (zh) * 2019-01-11 2019-05-10 北京中睿天下信息技术有限公司 一种暴力破解攻击检测方法、系统、设备及存储介质
CN109740344A (zh) * 2018-11-28 2019-05-10 北京奇安信科技有限公司 威胁情报模型建立方法、装置、电子设备及存储介质
CN110087238A (zh) * 2019-05-13 2019-08-02 商洛学院 一种移动电子设备信息安全保护系统
EP3588898A4 (en) * 2017-03-27 2020-02-19 New H3C Technologies Co., Ltd. DEFENSE AGAINST AN APT ATTACK
CN110830517A (zh) * 2020-01-08 2020-02-21 浙江乾冠信息安全研究院有限公司 威胁数据处理方法、装置、电子设备及介质
CN111147504A (zh) * 2019-12-26 2020-05-12 深信服科技股份有限公司 威胁检测方法、装置、设备和存储介质
CN111245807A (zh) * 2020-01-07 2020-06-05 北京工业大学 基于攻击链因子的网络态势量化评估方法
CN111245800A (zh) * 2020-01-02 2020-06-05 北京航天测控技术有限公司 基于应用场景的工控网络的网络安全测试方法和装置
CN111464507A (zh) * 2020-03-17 2020-07-28 南京航空航天大学 一种基于网络报警信息的apt检测方法
CN112134870A (zh) * 2020-09-16 2020-12-25 北京中关村银行股份有限公司 一种网络安全威胁阻断方法、装置、设备和存储介质
CN112152962A (zh) * 2019-06-26 2020-12-29 北京观成科技有限公司 一种威胁检测方法及系统
CN112256791A (zh) * 2020-10-27 2021-01-22 北京微步在线科技有限公司 一种网络攻击事件的展示方法及存储介质
CN112583848A (zh) * 2020-12-25 2021-03-30 南京联成科技发展股份有限公司 一种远程安全日志分析系统
CN112738071A (zh) * 2020-12-25 2021-04-30 中能融合智慧科技有限公司 一种攻击链拓扑的构建方法及装置
CN113271318A (zh) * 2021-07-19 2021-08-17 中国科学院信息工程研究所 网络威胁感知系统及方法
CN113301012A (zh) * 2021-04-13 2021-08-24 新浪网技术(中国)有限公司 一种网络威胁的检测方法、装置、电子设备及存储介质
CN113411288A (zh) * 2020-03-17 2021-09-17 中国电信股份有限公司 设备安全的检测方法、装置和存储介质
CN113472789A (zh) * 2021-06-30 2021-10-01 深信服科技股份有限公司 一种攻击检测方法、攻击检测系统、存储介质和电子设备
CN113553584A (zh) * 2021-07-30 2021-10-26 国家工业信息安全发展研究中心 一种工业互联网安全未知威胁检测方法、系统及存储介质
CN113661693A (zh) * 2019-04-18 2021-11-16 国际商业机器公司 经由日志检测敏感数据暴露
CN113872993A (zh) * 2021-11-29 2021-12-31 广东电网有限责任公司佛山供电局 一种电力监控系统网络风险感知方法和系统
CN113965394A (zh) * 2021-10-27 2022-01-21 北京天融信网络安全技术有限公司 网络攻击信息获取方法、装置、计算机设备和介质
CN114172707A (zh) * 2021-11-29 2022-03-11 北京恒安嘉新安全技术有限公司 Fast-Flux僵尸网络检测方法、装置、设备及存储介质
CN114172709A (zh) * 2021-11-30 2022-03-11 中汽创智科技有限公司 一种网络多步攻击检测方法、装置、设备及存储介质
CN114189360A (zh) * 2021-11-19 2022-03-15 上海纽盾科技股份有限公司 态势感知的网络漏洞防御方法、装置及系统
CN114338111A (zh) * 2021-12-20 2022-04-12 北京华云安信息技术有限公司 漏洞封堵方法、装置、设备和存储介质
CN114422202A (zh) * 2021-12-28 2022-04-29 中国电信股份有限公司 一种ip分类方法、系统、装置、电子设备及存储介质
CN114430347A (zh) * 2022-01-31 2022-05-03 上海纽盾科技股份有限公司 网络资产的安全态势感知防御方法、装置及系统
CN115378670A (zh) * 2022-08-08 2022-11-22 北京永信至诚科技股份有限公司 一种apt攻击识别方法、装置、电子设备及介质
CN114172707B (zh) * 2021-11-29 2024-04-26 北京恒安嘉新安全技术有限公司 Fast-Flux僵尸网络检测方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105024976A (zh) * 2014-04-24 2015-11-04 中国移动通信集团山西有限公司 一种高级持续威胁攻击识别方法及装置
WO2015178933A1 (en) * 2014-05-23 2015-11-26 Hewlett-Packard Development Company, L.P. Advanced persistent threat identification
WO2016089567A1 (en) * 2014-12-01 2016-06-09 Empow Cyber Security Ltd. A cyber-security system and methods thereof for detecting and mitigating advanced persistent threats
CN105915536A (zh) * 2016-05-25 2016-08-31 重庆洞见信息技术有限公司 用于网络靶场的攻击行为实时跟踪分析方法
CN107370755A (zh) * 2017-08-23 2017-11-21 杭州安恒信息技术有限公司 一种多维度深层次检测apt攻击的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105024976A (zh) * 2014-04-24 2015-11-04 中国移动通信集团山西有限公司 一种高级持续威胁攻击识别方法及装置
WO2015178933A1 (en) * 2014-05-23 2015-11-26 Hewlett-Packard Development Company, L.P. Advanced persistent threat identification
WO2016089567A1 (en) * 2014-12-01 2016-06-09 Empow Cyber Security Ltd. A cyber-security system and methods thereof for detecting and mitigating advanced persistent threats
CN105915536A (zh) * 2016-05-25 2016-08-31 重庆洞见信息技术有限公司 用于网络靶场的攻击行为实时跟踪分析方法
CN107370755A (zh) * 2017-08-23 2017-11-21 杭州安恒信息技术有限公司 一种多维度深层次检测apt攻击的方法

Cited By (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3588898A4 (en) * 2017-03-27 2020-02-19 New H3C Technologies Co., Ltd. DEFENSE AGAINST AN APT ATTACK
US11405419B2 (en) 2017-03-27 2022-08-02 New H3C Technologies Co., Ltd. Preventing advanced persistent threat attack
CN108900508A (zh) * 2018-06-29 2018-11-27 亚信科技(成都)有限公司 高级威胁检测方法及智能探针装置和高级威胁检测系统
CN109167767A (zh) * 2018-08-17 2019-01-08 苏州亮磊知识产权运营有限公司 一种对于DHCP架构的DDoS攻击防御系统的工作方法
CN108881323B (zh) * 2018-09-18 2020-08-21 中国人民解放军战略支援部队信息工程大学 基于群智理论的威胁检测系统及方法
CN108881323A (zh) * 2018-09-18 2018-11-23 中国人民解放军战略支援部队信息工程大学 基于群智理论的威胁检测系统及方法
CN109284317A (zh) * 2018-10-26 2019-01-29 山东中孚安全技术有限公司 一种基于时序有向图的窃取信息线索提取与分段评估方法
CN109284317B (zh) * 2018-10-26 2021-07-06 中孚安全技术有限公司 一种基于时序有向图的窃取信息线索提取与分段评估方法
CN109740344A (zh) * 2018-11-28 2019-05-10 北京奇安信科技有限公司 威胁情报模型建立方法、装置、电子设备及存储介质
CN109740344B (zh) * 2018-11-28 2024-04-19 奇安信科技集团股份有限公司 威胁情报模型建立方法、装置、电子设备及存储介质
CN109743325B (zh) * 2019-01-11 2021-06-18 北京中睿天下信息技术有限公司 一种暴力破解攻击检测方法、系统、设备及存储介质
CN109743325A (zh) * 2019-01-11 2019-05-10 北京中睿天下信息技术有限公司 一种暴力破解攻击检测方法、系统、设备及存储介质
CN113661693A (zh) * 2019-04-18 2021-11-16 国际商业机器公司 经由日志检测敏感数据暴露
CN113661693B (zh) * 2019-04-18 2023-11-17 勤达睿公司 经由日志检测敏感数据暴露
CN110087238A (zh) * 2019-05-13 2019-08-02 商洛学院 一种移动电子设备信息安全保护系统
CN112152962B (zh) * 2019-06-26 2022-10-28 北京观成科技有限公司 一种威胁检测方法及系统
CN112152962A (zh) * 2019-06-26 2020-12-29 北京观成科技有限公司 一种威胁检测方法及系统
CN111147504A (zh) * 2019-12-26 2020-05-12 深信服科技股份有限公司 威胁检测方法、装置、设备和存储介质
CN111245800A (zh) * 2020-01-02 2020-06-05 北京航天测控技术有限公司 基于应用场景的工控网络的网络安全测试方法和装置
CN111245800B (zh) * 2020-01-02 2022-08-16 北京航天测控技术有限公司 网络安全测试方法和装置、存储介质、电子装置
CN111245807A (zh) * 2020-01-07 2020-06-05 北京工业大学 基于攻击链因子的网络态势量化评估方法
CN110830517B (zh) * 2020-01-08 2020-05-08 浙江乾冠信息安全研究院有限公司 威胁数据处理方法、装置、电子设备及介质
CN110830517A (zh) * 2020-01-08 2020-02-21 浙江乾冠信息安全研究院有限公司 威胁数据处理方法、装置、电子设备及介质
CN113411288A (zh) * 2020-03-17 2021-09-17 中国电信股份有限公司 设备安全的检测方法、装置和存储介质
CN111464507A (zh) * 2020-03-17 2020-07-28 南京航空航天大学 一种基于网络报警信息的apt检测方法
CN112134870A (zh) * 2020-09-16 2020-12-25 北京中关村银行股份有限公司 一种网络安全威胁阻断方法、装置、设备和存储介质
CN112256791A (zh) * 2020-10-27 2021-01-22 北京微步在线科技有限公司 一种网络攻击事件的展示方法及存储介质
CN112738071A (zh) * 2020-12-25 2021-04-30 中能融合智慧科技有限公司 一种攻击链拓扑的构建方法及装置
CN112583848A (zh) * 2020-12-25 2021-03-30 南京联成科技发展股份有限公司 一种远程安全日志分析系统
CN112738071B (zh) * 2020-12-25 2023-07-28 中能融合智慧科技有限公司 一种攻击链拓扑的构建方法及装置
CN113301012A (zh) * 2021-04-13 2021-08-24 新浪网技术(中国)有限公司 一种网络威胁的检测方法、装置、电子设备及存储介质
CN113472789A (zh) * 2021-06-30 2021-10-01 深信服科技股份有限公司 一种攻击检测方法、攻击检测系统、存储介质和电子设备
CN113472789B (zh) * 2021-06-30 2023-05-16 深信服科技股份有限公司 一种攻击检测方法、攻击检测系统、存储介质和电子设备
CN113271318A (zh) * 2021-07-19 2021-08-17 中国科学院信息工程研究所 网络威胁感知系统及方法
CN113271318B (zh) * 2021-07-19 2021-09-21 中国科学院信息工程研究所 网络威胁感知系统及方法
CN113553584A (zh) * 2021-07-30 2021-10-26 国家工业信息安全发展研究中心 一种工业互联网安全未知威胁检测方法、系统及存储介质
CN113965394B (zh) * 2021-10-27 2024-02-02 北京天融信网络安全技术有限公司 网络攻击信息获取方法、装置、计算机设备和介质
CN113965394A (zh) * 2021-10-27 2022-01-21 北京天融信网络安全技术有限公司 网络攻击信息获取方法、装置、计算机设备和介质
CN114189360B (zh) * 2021-11-19 2023-09-29 上海纽盾科技股份有限公司 态势感知的网络漏洞防御方法、装置及系统
CN114189360A (zh) * 2021-11-19 2022-03-15 上海纽盾科技股份有限公司 态势感知的网络漏洞防御方法、装置及系统
CN113872993A (zh) * 2021-11-29 2021-12-31 广东电网有限责任公司佛山供电局 一种电力监控系统网络风险感知方法和系统
CN114172707A (zh) * 2021-11-29 2022-03-11 北京恒安嘉新安全技术有限公司 Fast-Flux僵尸网络检测方法、装置、设备及存储介质
CN114172707B (zh) * 2021-11-29 2024-04-26 北京恒安嘉新安全技术有限公司 Fast-Flux僵尸网络检测方法、装置、设备及存储介质
CN114172709A (zh) * 2021-11-30 2022-03-11 中汽创智科技有限公司 一种网络多步攻击检测方法、装置、设备及存储介质
CN114338111A (zh) * 2021-12-20 2022-04-12 北京华云安信息技术有限公司 漏洞封堵方法、装置、设备和存储介质
CN114338111B (zh) * 2021-12-20 2023-11-28 北京华云安信息技术有限公司 漏洞封堵方法、装置、设备和存储介质
CN114422202A (zh) * 2021-12-28 2022-04-29 中国电信股份有限公司 一种ip分类方法、系统、装置、电子设备及存储介质
CN114430347A (zh) * 2022-01-31 2022-05-03 上海纽盾科技股份有限公司 网络资产的安全态势感知防御方法、装置及系统
CN115378670A (zh) * 2022-08-08 2022-11-22 北京永信至诚科技股份有限公司 一种apt攻击识别方法、装置、电子设备及介质
CN115378670B (zh) * 2022-08-08 2024-03-12 永信至诚科技集团股份有限公司 一种apt攻击识别方法、装置、电子设备及介质

Also Published As

Publication number Publication date
CN107888607B (zh) 2020-11-06

Similar Documents

Publication Publication Date Title
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
EP3171567B1 (en) Advanced persistent threat detection
CN105915532B (zh) 一种失陷主机的识别方法及装置
Yaacoub et al. Advanced digital forensics and anti-digital forensics for IoT systems: Techniques, limitations and recommendations
Chen et al. Intrusion detection
CN113422779B (zh) 一种基于集中管控的积极的安全防御的系统
Arora et al. Denial-of-service (dos) attack and botnet: Network analysis, research tactics, and mitigation
Efendi et al. A survey on deception techniques for securing web application
Szymczyk Detecting botnets in computer networks using multi-agent technology
CN111885020A (zh) 一种分布式架构的网络攻击行为实时捕获与监控系统
El-Kosairy et al. A new Web deception system framework
Zhao et al. Network security model based on active defense and passive defense hybrid strategy
Barabas et al. Behavioral signature generation using shadow honeypot
Li-Juan Honeypot-based defense system research and design
Mahajan et al. Performance Analysis of Honeypots Against Flooding Attack
Blackwell Ramit-Rule-Based Alert Management Information Tool
Maccari et al. Detection: Definition of new model to reveal advanced persistent threat
Colombini et al. Cyber threats monitoring: Experimental analysis of malware behavior in cyberspace
Syaifuddin et al. Automation Snort Rule for XSS Detection with Honeypot
Katsinis et al. A Framework for Intrusion Deception on Web Servers
CN112637217B (zh) 基于诱饵生成的云计算系统的主动防御方法及装置
Potdar et al. Security solutions for Cloud computing
Abraham Hybrid framework for behavioral prediction of network attack using honeypot and dynamic rule creation with different context for dynamic blacklisting
Verwoerd Active network security
Cusack et al. Listening to botnet communication channels to protect information systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230625

Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province

Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd.

Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466

Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd.