CN108270722A - 一种攻击行为检测方法和装置 - Google Patents
一种攻击行为检测方法和装置 Download PDFInfo
- Publication number
- CN108270722A CN108270722A CN201611257142.1A CN201611257142A CN108270722A CN 108270722 A CN108270722 A CN 108270722A CN 201611257142 A CN201611257142 A CN 201611257142A CN 108270722 A CN108270722 A CN 108270722A
- Authority
- CN
- China
- Prior art keywords
- attack
- host
- address
- daily record
- attack host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提出一种攻击行为检测方法和装置,包括:获取攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址;基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址,以便所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。本申请中攻击行为检测通过在攻击主机的网络流量日志中查找被攻击主机地址,进而通过攻击主机的内核模块关联到对应的攻击行为的进程,实现联动识别,能够识别出具体的哪个进程发起的攻击行为;相应地,处罚时只处罚这个恶意行为的进程。
Description
技术领域
本发明涉及产品安全领域,具体涉及一种攻击行为检测方法和装置。
背景技术
目前,存在主机对外(即对其他主机)发起恶意攻击、破坏等行为,包括但不限于对外发起ddos(Distributed Denial of Service,分布式拒绝服务)攻击、对外发起暴力破解行为等。
相关技术中,对于攻击主机的检测识别方法中,识别方式比较单一、被动,识别对外发起ddos行为时,一般是在网关或边界设备上检测流量,根据异常流量的源IP(InternetProtocol,网络互连协议)地址确定攻击主机、进一步通过异常流量与阈值比较来判断是否发起恶意攻击、破坏等行为;这样的流量检测方式可能存在流量检测统计不准确的现象、也存在检测到的异常流量源IP为伪造源ip的可能,使真实的攻击行为检测不到。识别对外暴力破解行为,一般是在被暴力破解的机器上,通过分析操作系统的登陆日志的内容,如果符合一定行为特性,即认为是被暴力破解;由于可能会发生操作系统log被改写的情况,存在漏检测的可能,也存在用户的正常登陆被误检测的情况。
目前对于攻击主机的处罚,一般是根据IP地址来断网或关停整个主机,处罚方式简单粗暴。如果该主机是被黑客远程控制的机器,那该主机的真实业务因为被断网或关停而受影响。
发明内容
本发明提供一种攻击行为检测方法和装置,更有效的检测识别攻击主机,且通过合理的处罚方式防止其他主机收到攻击。
为了实现上述发明目的,本发明采取的技术方案如下:
一种攻击行为检测方法,包括:
获取攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址;
基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址,以便所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
可选地,所述的方法还包括:
获取所述攻击主机返回的攻击主机中产生该攻击行为的进程,并记录。
可选地,获取攻击行为确认信息包括:
获取被攻击主机上报的攻击行为确认信息;
或者,获取网络设备检测到的攻击主机对被攻击主机的攻击行为确认信息。
可选地,所述的方法还包括:
向所述攻击主机发送攻击行为处理指令,以便所述攻击主机终止产生所述攻击行为的进程。
可选地,所述的方法还包括:
基于所述被攻击主机的地址,向所述被攻击主机发送攻击行为处理指令,以便所述被攻击主机丢弃所述攻击主机产生所述攻击行为的进程的数据包。
可选地,发送攻击行为处理指令前,还包括:
向攻击行为处理中心发送攻击处理指示,以便由所述处理中心确认是否需要向攻击主机和/或被攻击主机发送攻击行为处理指令。
为解决上述技术问题,本发明还提供一种攻击行为检测方法,包括:
接收服务器发送的攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址;
基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
可选地,基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程包括:
检测所述攻击主机网络流量日志,并通过网络流量日志确定目的地址为所述被攻击主机对应的进程。
可选地,通过网络流量日志确定目的地址为所述被攻击主机对应的进程包括:
查找网络流量日志,确定目的地址为所述被攻击主机地址的网络流量日志,通过所述攻击主机的操作系统内核模块,关联到目的地址为所述被攻击主机地址的网络流量日志中所述攻击行为的进程。
可选地,所述的方法还包括:
根据服务器的攻击行为处理指令,终止产生所述攻击行为的进程。
为解决上述技术问题,本发明还提供一种攻击行为检测方法,包括:
当检测到存在攻击行为时,根据监测的操作行为日志确定所述攻击行为对应的攻击主机的地址和被攻击主机的地址;
向服务器发送攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址,以便所述服务器基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,指示所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
可选地,检测到存在攻击行为包括:
根据被攻击主机或网络设备的操作系统登陆事件日志,确认存在攻击行为。
可选地,检测到存在攻击行为包括以下至少之一:
当根据被攻击主机的操作系统登陆事件日志确定操作系统登陆频率大于或者等于预设频率阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定所述被攻击主机对应的网关或者边界设备的流量大于或者等于预设流量阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定攻击主机发起网络流量攻击时,确定攻击主机对被攻击主机的攻击行为。
可选地,所述的方法还包括:
根据服务器发送的攻击行为处理指令丢弃所述攻击主机产生所述攻击行为对应的进程的数据包。
为解决上述技术问题,本发明还提供一种攻击行为检测装置,包括:
确定模块,设置为获取攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址;
联动模块,设置为基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址,以便所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
可选地,所述的装置还包括:
记录模块,设置为获取所述攻击主机返回的攻击主机中产生该攻击行为的进程,并记录。
可选地,所述确定模块获取攻击行为确认信息包括:
获取被攻击主机上报的攻击行为确认信息;
或者,获取网络设备检测到的攻击主机对被攻击主机的攻击行为确认信息。
可选地,所述的装置还包括:
处理模块,设置为向所述攻击主机发送攻击行为处理指令,以便所述攻击主机终止产生所述攻击行为的进程;
或者,设置为基于所述被攻击主机的地址,向所述被攻击主机发送攻击行为处理指令,以便所述被攻击主机丢弃所述攻击主机产生所述攻击行为的进程的数据包。
可选地,所述处理模块还设置为:
向攻击行为处理中心发送攻击处理指示,以便由所述处理中心确认是否需要向攻击主机和/或被攻击主机发送攻击行为处理指令。
为解决上述技术问题,本发明还提供一种攻击行为检测装置,包括:
通信模块,设置为接收服务器发送的攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址;
破解模块,设置为基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
可选地,所述破解模块基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程包括:
检测所述攻击主机网络流量日志,并通过网络流量日志确定目的地址为所述被攻击主机对应的进程。
可选地,所述破解模块通过网络流量日志确定目的地址为所述被攻击主机对应的进程包括:
查找网络流量日志,确定目的地址为所述被攻击主机地址的网络流量日志,通过所述攻击主机的操作系统内核模块,关联到目的地址为所述被攻击主机地址的网络流量日志中所述攻击行为的进程。
可选地,所述的装置还包括:
进程模块,设置为根据服务器的攻击行为处理指令,终止产生所述攻击行为的进程。
为解决上述技术问题,本发明还提供一种攻击行为检测装置,包括:
监测模块,设置为当检测到存在攻击行为时,根据监测的操作行为日志确定所述攻击行为对应的攻击主机的地址和被攻击主机的地址;
上报模块,设置为向服务器发送攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址,以便所述服务器基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,指示所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
可选地,所述监测模块检测到存在攻击行为包括:
根据被攻击主机或网络设备的操作系统登陆事件日志,确认存在攻击行为。
可选地,所述监测模块检测到存在攻击行为包括以下至少之一:
当根据被攻击主机的操作系统登陆事件日志确定操作系统登陆频率大于或者等于预设频率阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定所述被攻击主机对应的网关或者边界设备的流量大于或者等于预设流量阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定攻击主机发起网络流量攻击时,确定攻击主机对被攻击主机的攻击行为。
可选地,所述的装置还包括:
丢弃模块,设置为根据服务器发送的攻击行为处理指令丢弃所述攻击主机产生所述攻击行为对应的进程的数据包。
本发明具有如下有益效果:
本发明的技术方案根据被攻击主机或网络设备的操作系统登陆事件日志确定是否存在攻击行为,当确认存在攻击行为时,根据操作系统登陆事件日志确定攻击主机的地址以及被攻击主机的地址,指示攻击主机基于被攻击主机的地址,确认攻击主机中产生的对应的攻击行为的进程,本发明的技术方案中攻击行为检测通过在攻击主机的网络流量日志中查找被攻击主机地址,进而通过攻击主机的内核模块关联到对应的攻击行为的进程,实现联动识别,能够识别出具体的哪个进程发起的攻击行为;相应地,处罚时只处罚这个恶意行为的进程。
附图说明
图1为本发明实施例的服务器侧的攻击行为检测方法的流程图;
图2为本发明实施例的攻击主机侧的攻击行为检测方法的流程图;
图3为本发明实施例的监测设备侧的攻击行为检测方法的流程图;
图4为本发明实施例的一种攻击行为检测装置的结构示意图;
图5为本发明实施例的一种攻击行为检测装置的结构示意图;
图6为本发明实施例的一种攻击行为检测装置的结构示意图;
图7为本发明实施例的一种攻击主机的检测识别系统的结构示意图;
图8为本发明实施例1的攻击行为检测方法的流程图;
图9为本发明实施例2的攻击行为检测方法的流程图;
图10为本发明实施例3的攻击行为检测方法的流程图;
图11为本发明实施例4的攻击行为检测方法的流程图。
具体实施方式
为使本发明的发明目的、技术方案和有益效果更加清楚明了,下面结合附图对本发明的实施例进行说明,需要说明的是,在不冲突的情况下,本申请中的实施例和实施例中的特征可以相互任意组合。
本发明实施例的攻击行为检测方法,包括:
当检测到存在攻击行为时,根据监测的操作行为日志确定所述攻击行为对应的攻击主机的地址和被攻击主机的地址;
向服务器发送攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址;
所述服务器基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址;
所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
本发明实施例中,攻击行为可以包括:暴力破解攻击和/或对外攻击行为,其中,暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息,常用的方式是使用自动化脚本组合出正确的用户名和密码。对外攻击行为是指借助于主机和/或服务器技术,由一台主机或者多台主机联合起来作为攻击平台,攻击互联网上的一个或多个目标主机,从而造成目标主机网络服务功能缺陷或者直接消耗其系统资源,使得该目标主机无法提供正常的服务。
本实施例中监测的对象包括各主机和各主机对应的网络设备,其中网络设备包括但不限于:网关、路由、边界设备和交换机等实体,监测的内容主要包括:操作系统登陆事件日志、网络流量日志、操作行为日志等。
本发明实施例中,监测的内容可以由系统管理员或其它用户根据服务器覆盖的范围设置,还可以根据主机或者主机对应的网络设备的拓扑结构的改变而修改;检测到存在攻击行为或者异常的操作行为日志可以保存在执行本实施例方法的设备中,也可以保存在预定位置由执行本实施例方法的设备在使用时读取。
本发明实施例中,根据攻击行为确认信息确定攻击主机的地址以及被攻击主机的地址,利用上述两个地址,确认攻击主机中产生攻击行为的进程。
本发明实施例的方法可以应用于网络服务环境,也可以应用于云环境,在云环境下的攻击行为检测时,根据监测的虚拟主机的操作系统登陆事件日志,确认存在攻击行为时,将所述虚拟主机作为被攻击主机,根据所述虚拟主机的操作行为日志确定所述攻击行为对应的攻击主机的地址;由虚拟化集群服务器,基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址,以便所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
本发明实施例在攻击行为检测过程中通过在攻击主机和被攻击主机同时检测、联动识别,能够识别出具体的哪个进程发起的恶意行为,大大提高了攻击行为检测的精确度。
如图1所示,本发明实施例应用于服务器的攻击行为检测方法,包括:
S101、获取攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址;
S102、基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址,以便所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
本发明实施例的服务器可以同时接收多个设备发送的的攻击行为确认信息,对于任何一个设备,均按照对应的攻击主机地址和被攻击主机地址进行攻击行为检测,通过在攻击主机和被攻击主机联动识别,能够确定发起的攻击行为的进程。
基于上述实施例,步骤S102之后还包括:
S103、获取所述攻击主机返回的攻击主机中产生该攻击行为的进程,并记录。
步骤S101中,获取攻击行为确认信息包括:
获取被攻击主机上报的攻击行为确认信息;
或者,获取网络设备检测到的攻击主机对被攻击主机的攻击行为确认信息。
基于上述实施例,本发明提供的处理方式包括:
向所述攻击主机发送攻击行为处理指令,以便所述攻击主机终止产生所述攻击行为的进程。
或者,
基于所述被攻击主机的地址,向所述被攻击主机发送攻击行为处理指令,以便所述被攻击主机丢弃所述攻击主机产生所述攻击行为的进程的数据包。
发送攻击行为处理指令前,还包括:
向攻击行为处理中心发送攻击处理指示,以便由所述处理中心确认是否需要向攻击主机和/或被攻击主机发送攻击行为处理指令。
本发明实施例中,处理中心确定确认是否需要向攻击主机和/或被攻击主机发送攻击行为处理指令时,主要依据所述进程及对应的所述攻击行为是否在白名中,当所述进程及对应的所述攻击行为不在白名单中,则确认发送攻击行为处理指令,当所述进程及对应的所述攻击行为在白名单中,则发送攻击行为处理指令,所述白名单维护免责的进程和/或地址及对应的攻击行为。
如图2所示,本发明实施例应用于攻击主机的攻击行为检测方法,包括:
S201、接收服务器发送的攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址;
S202、基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
其中,步骤S202基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程包括:
检测所述攻击主机网络流量日志,并通过网络流量日志确定目的地址为所述被攻击主机对应的进程。
具体地,通过网络流量日志确定目的地址为所述被攻击主机对应的进程包括:
查找网络流量日志,确定目的地址为所述被攻击主机地址的网络流量日志,通过所述攻击主机的操作系统内核模块,关联到目的地址为所述被攻击主机地址的网络流量日志中所述攻击行为的进程。
本发明实施例,当无法关联到目的地址为所述被攻击主机地址的网络流量日志中所述攻击行为的进程时,说明攻击流量可能不是从所述攻击主机发出的,可能是其他主机或者设备或者服务器的伪造行为,此时,忽略当前所述被攻击方受到攻击。
基于上述实施例,本发明提供的处理方式包括:
根据服务器的攻击行为处理指令,终止产生所述攻击行为的进程。
如图3所示,本发明实施例应用于监测设备的攻击行为检测方法,包括:
S301、当检测到存在攻击行为时,根据监测的操作行为日志确定所述攻击行为对应的攻击主机的地址和被攻击主机的地址;
S302、向服务器发送攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址,以便所述服务器基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,指示所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
其中,步骤S301检测到存在攻击行为包括:
根据被攻击主机或网络设备的操作系统登陆事件日志,确认存在攻击行为。
具体地,检测到存在攻击行为包括以下至少之一:
当根据被攻击主机的操作系统登陆事件日志确定操作系统登陆频率大于或者等于预设频率阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定所述被攻击主机对应的网关或者边界设备的流量大于或者等于预设流量阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定攻击主机发起网络流量攻击时,确定攻击主机对被攻击主机的攻击行为。
本发明实施例中,主要检测两种攻击行为,方式一为暴力破解攻击,方式二为对外攻击行为,其中,当检测到所述设备受到暴力破解攻击时,将所述设备作为被攻击主机,并根据监测到的操作行为日志确定攻击主机的地址;当检测到所述设备对外攻击行为时,将所述设备作为攻击方,并根据监测到的操作行为日志确定被攻击主机的地址。
基于上述实施例,本发明提供的处理方式包括:
根据服务器发送的攻击行为处理指令丢弃所述攻击主机产生所述攻击行为对应的进程的数据包。
如图4所示,本发明实施例还提供一种攻击行为检测装置,包括:
确定模块,设置为获取攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址;
联动模块,设置为基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址,以便所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
所述的装置还包括:
记录模块,设置为获取所述攻击主机返回的攻击主机中产生该攻击行为的进程,并记录。
所述确定模块获取攻击行为确认信息包括:
获取被攻击主机上报的攻击行为确认信息;
或者,获取网络设备检测到的攻击主机对被攻击主机的攻击行为确认信息。
所述的装置还包括:
处理模块,设置为向所述攻击主机发送攻击行为处理指令,以便所述攻击主机终止产生所述攻击行为的进程;
或者,设置为基于所述被攻击主机的地址,向所述被攻击主机发送攻击行为处理指令,以便所述被攻击主机丢弃所述攻击主机产生所述攻击行为的进程的数据包。
所述处理模块还设置为:
向攻击行为处理中心发送攻击处理指示,以便由所述处理中心确认是否需要向攻击主机和/或被攻击主机发送攻击行为处理指令。
如图5所示,本发明实施例还提供一种攻击行为检测装置,包括:
通信模块,设置为接收服务器发送的攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址;
破解模块,设置为基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
所述破解模块基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程包括:
检测所述攻击主机网络流量日志,并通过网络流量日志确定目的地址为所述被攻击主机对应的进程。
所述破解模块通过网络流量日志确定目的地址为所述被攻击主机对应的进程包括:
查找网络流量日志,确定目的地址为所述被攻击主机地址的网络流量日志,通过所述攻击主机的操作系统内核模块,关联到目的地址为所述被攻击主机地址的网络流量日志中所述攻击行为的进程。
所述的装置还包括:
进程模块,设置为根据服务器的攻击行为处理指令,终止产生所述攻击行为的进程。
如图6所示,本发明实施例还提供一种攻击行为检测装置,包括:
监测模块,设置为当检测到存在攻击行为时,根据监测的操作行为日志确定所述攻击行为对应的攻击主机的地址和被攻击主机的地址;
上报模块,设置为向服务器发送攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址,以便所述服务器基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,指示所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
所述监测模块检测到存在攻击行为包括:
根据被攻击主机或网络设备的操作系统登陆事件日志,确认存在攻击行为。
所述监测模块检测到存在攻击行为包括以下至少之一:
当根据被攻击主机的操作系统登陆事件日志确定操作系统登陆频率大于或者等于预设频率阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定所述被攻击主机对应的网关或者边界设备的流量大于或者等于预设流量阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定攻击主机发起网络流量攻击时,确定攻击主机对被攻击主机的攻击行为。
所述的装置还包括:
丢弃模块,设置为根据服务器发送的攻击行为处理指令丢弃所述攻击主机产生所述攻击行为对应的进程的数据包。
实例1
如图7所示,本实例为云环境中攻击主机的检测识别系统,包括:虚拟化集群服务器,一个或者多个虚拟主机,以及攻击主机N,本实例中假设存在3个虚拟主机,分别为虚拟主机A、虚拟主机B和虚拟主机C,各个虚拟主机之间也会有数据交互,三个虚拟主机可以在布置在同一物理位置,也可以布置在不同的物理位置,各个虚拟主机独立进行操作系统登陆事件日志、网络流量日志、操作行为日志的监测,虚拟化集群服务器可以接收虚拟主机A、虚拟主机B和/或虚拟主机C发送的攻击行为确认信息,不同虚拟主机之间的攻击行为确认消息互相不影响,假设虚拟化集群服务器收到虚拟主机B的攻击行为确认信息,对于虚拟主机B,按照对应的攻击主机地址和被攻击主机地址进行攻击行为检测。根据虚拟主机B的操作行为日志确定虚拟主机B受到攻击主机N的暴力破解恶意行为,具体地,如图8所示,本实施例说明利用上述攻击行为检测方法进行暴力破解恶意行为检测识别的过程:
11、监测虚拟主机B的操作系统的登陆事件日志;
12、当检测到存在异常登录行为时,根据登陆事件日志确定攻击主机N的地址;
13、在攻击主机N中持续记录的网络流量日志中,对比是否有目的地址为虚拟主机B的,通过操作系统内核关联到所述网络流量对应的进程;
14、记录该暴力破解行为和所述进程的标识。
实例2
如图9所示,本实例与实例1的区别在于,根据虚拟主机B的操作行为日志确定虚拟主机B受到虚拟主机A的DDOS恶意攻击行为,利用上述攻击行为检测方法进行对外DDOS恶意行为检测识别的过程包括:
21、监测虚拟主机B或者虚拟主机B的网关对应的流量行为;
22、当检测到存在异常流量行为时,根据监测的流量行为确定攻击主机(虚拟主机A)的地址;
23、在虚拟主机A中持续记录的网络流量日志中,对比是否有目的地址为虚拟主机B的,通过操作系统内核关联到所述网络流量对应的进程;
24、记录该对外DDOS行为和所述进程的标识。
实例3
如图10所示,本实例说明利用上述攻击行为检测方法进行恶意行为处理的过程:
31、审核所述进程及对应的所述攻击行为;
32、确认对所述进程进行处罚;
33、通过虚拟主机A的操作系统内核,关闭处罚的进程;
34、记录处罚结果及进程信息。
实例4
如图11所示,本实例说明利用上述攻击行为检测方法进行暴力破解防护的过程:
41、监测到虚拟主机B存在异常登录行为,并确定该暴力破解行为和所述进程的标识;
42、在虚拟主机B的操作系统内核保存数据时,丢弃攻击主机N为源地址的入库的数据包。
虽然本发明所揭示的实施方式如上,但其内容只是为了便于理解本发明的技术方案而采用的实施方式,并非用于限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭示的核心技术方案的前提下,可以在实施的形式和细节上做任何修改与变化,但本发明所限定的保护范围,仍须以所附的权利要求书限定的范围为准。
Claims (27)
1.一种攻击行为检测方法,其特征在于,包括:
获取攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址;
基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址,以便所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
2.如权利要求1所述的方法,其特征在于:还包括:
获取所述攻击主机返回的攻击主机中产生该攻击行为的进程,并记录。
3.如权利要求1所述的方法,其特征在于:获取攻击行为确认信息包括:
获取被攻击主机上报的攻击行为确认信息;
或者,获取网络设备检测到的攻击主机对被攻击主机的攻击行为确认信息。
4.如权利要求1所述的方法,其特征在于:还包括:
向所述攻击主机发送攻击行为处理指令,以便所述攻击主机终止产生所述攻击行为的进程。
5.如权利要求1所述的方法,其特征在于:还包括:
基于所述被攻击主机的地址,向所述被攻击主机发送攻击行为处理指令,以便所述被攻击主机丢弃所述攻击主机产生所述攻击行为的进程的数据包。
6.如权利要求4或5所述的方法,其特征在于:发送攻击行为处理指令前,还包括:
向攻击行为处理中心发送攻击处理指示,以便由所述处理中心确认是否需要向攻击主机和/或被攻击主机发送攻击行为处理指令。
7.一种攻击行为检测方法,其特征在于,包括:
接收服务器发送的攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址;
基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
8.如权利要求7所述的方法,其特征在于:基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程包括:
检测所述攻击主机网络流量日志,并通过网络流量日志确定目的地址为所述被攻击主机对应的进程。
9.如权利要求8所述的方法,其特征在于:通过网络流量日志确定目的地址为所述被攻击主机对应的进程包括:
查找网络流量日志,确定目的地址为所述被攻击主机地址的网络流量日志,通过所述攻击主机的操作系统内核模块,关联到目的地址为所述被攻击主机地址的网络流量日志中所述攻击行为的进程。
10.如权利要求7所述的方法,其特征在于:还包括:
根据服务器的攻击行为处理指令,终止产生所述攻击行为的进程。
11.一种攻击行为检测方法,其特征在于,包括:
当检测到存在攻击行为时,根据监测的操作行为日志确定所述攻击行为对应的攻击主机的地址和被攻击主机的地址;
向服务器发送攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址,以便所述服务器基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,指示所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
12.如权利要求11所述的方法,其特征在于:检测到存在攻击行为包括:
根据被攻击主机或网络设备的操作系统登陆事件日志,确认存在攻击行为。
13.如权利要求12所述的方法,其特征在于:检测到存在攻击行为包括以下至少之一:
当根据被攻击主机的操作系统登陆事件日志确定操作系统登陆频率大于或者等于预设频率阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定所述被攻击主机对应的网关或者边界设备的流量大于或者等于预设流量阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定攻击主机发起网络流量攻击时,确定攻击主机对被攻击主机的攻击行为。
14.如权利要求11所述的方法,其特征在于:还包括:
根据服务器发送的攻击行为处理指令丢弃所述攻击主机产生所述攻击行为对应的进程的数据包。
15.一种攻击行为检测装置,其特征在于:包括:
确定模块,设置为获取攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址;
联动模块,设置为基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址,以便所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
16.如权利要求15所述的装置,其特征在于:还包括:
记录模块,设置为获取所述攻击主机返回的攻击主机中产生该攻击行为的进程,并记录。
17.如权利要求15所述的装置,其特征在于:所述确定模块获取攻击行为确认信息包括:
获取被攻击主机上报的攻击行为确认信息;
或者,获取网络设备检测到的攻击主机对被攻击主机的攻击行为确认信息。
18.如权利要求15所述的装置,其特征在于:还包括:
处理模块,设置为向所述攻击主机发送攻击行为处理指令,以便所述攻击主机终止产生所述攻击行为的进程;
或者,设置为基于所述被攻击主机的地址,向所述被攻击主机发送攻击行为处理指令,以便所述被攻击主机丢弃所述攻击主机产生所述攻击行为的进程的数据包。
19.如权利要求18所述的装置,其特征在于:所述处理模块还设置为:
向攻击行为处理中心发送攻击处理指示,以便由所述处理中心确认是否需要向攻击主机和/或被攻击主机发送攻击行为处理指令。
20.一种攻击行为检测装置,其特征在于,包括:
通信模块,设置为接收服务器发送的攻击行为检测信息,所述攻击行为检测信息包括被攻击主机的地址;
破解模块,设置为基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
21.如权利要求20所述的装置,其特征在于:所述破解模块基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程包括:
检测所述攻击主机网络流量日志,并通过网络流量日志确定目的地址为所述被攻击主机对应的进程。
22.如权利要求21所述的装置,其特征在于:所述破解模块通过网络流量日志确定目的地址为所述被攻击主机对应的进程包括:
查找网络流量日志,确定目的地址为所述被攻击主机地址的网络流量日志,通过所述攻击主机的操作系统内核模块,关联到目的地址为所述被攻击主机地址的网络流量日志中所述攻击行为的进程。
23.如权利要求20所述的装置,其特征在于:还包括:
进程模块,设置为根据服务器的攻击行为处理指令,终止产生所述攻击行为的进程。
24.一种攻击行为检测装置,其特征在于,包括:
监测模块,设置为当检测到存在攻击行为时,根据监测的操作行为日志确定所述攻击行为对应的攻击主机的地址和被攻击主机的地址;
上报模块,设置为向服务器发送攻击行为确认信息,所述攻击行为确认信息包括攻击主机的地址以及被攻击主机的地址,以便所述服务器基于所述攻击主机的地址,向所述攻击主机发送攻击行为检测信息,指示所述攻击主机基于所述被攻击主机的地址,确认所述攻击主机中产生所述攻击行为的进程。
25.如权利要求24所述的装置,其特征在于:所述监测模块检测到存在攻击行为包括:
根据被攻击主机或网络设备的操作系统登陆事件日志,确认存在攻击行为。
26.如权利要求25所述的装置,其特征在于:所述监测模块检测到存在攻击行为包括以下至少之一:
当根据被攻击主机的操作系统登陆事件日志确定操作系统登陆频率大于或者等于预设频率阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定所述被攻击主机对应的网关或者边界设备的流量大于或者等于预设流量阈值时,确定存在攻击行为;
当根据网络设备的操作系统登陆事件日志确定攻击主机发起网络流量攻击时,确定攻击主机对被攻击主机的攻击行为。
27.如权利要求24所述的装置,其特征在于:还包括:
丢弃模块,设置为根据服务器发送的攻击行为处理指令丢弃所述攻击主机产生所述攻击行为对应的进程的数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611257142.1A CN108270722B (zh) | 2016-12-30 | 2016-12-30 | 一种攻击行为检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611257142.1A CN108270722B (zh) | 2016-12-30 | 2016-12-30 | 一种攻击行为检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108270722A true CN108270722A (zh) | 2018-07-10 |
| CN108270722B CN108270722B (zh) | 2021-08-24 |
Family
ID=62754505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611257142.1A Active CN108270722B (zh) | 2016-12-30 | 2016-12-30 | 一种攻击行为检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108270722B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109218315A (zh) * | 2018-09-20 | 2019-01-15 | 华为技术有限公司 | 一种安全管理方法和安全管理装置 |
| CN109347876A (zh) * | 2018-11-29 | 2019-02-15 | 深圳市网心科技有限公司 | 一种安全防御方法及相关装置 |
| CN109600387A (zh) * | 2018-12-29 | 2019-04-09 | 360企业安全技术(珠海)有限公司 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
| CN109981596A (zh) * | 2019-03-05 | 2019-07-05 | 腾讯科技(深圳)有限公司 | 一种主机外联检测方法及装置 |
| CN110808997A (zh) * | 2019-11-11 | 2020-02-18 | 恒安嘉新(北京)科技股份公司 | 对服务器远程取证的方法、装置、电子设备、及存储介质 |
| CN110851836A (zh) * | 2019-10-17 | 2020-02-28 | 天津大学 | 一种面向Meltdown攻击的主动防御方法 |
| CN115102778A (zh) * | 2022-07-11 | 2022-09-23 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
| CN115361235A (zh) * | 2022-10-20 | 2022-11-18 | 北京微步在线科技有限公司 | 一种网络安全检测的方法、设备、装置、电子设备及介质 |
| CN115102778B (zh) * | 2022-07-11 | 2024-05-24 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101826991A (zh) * | 2010-02-04 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 非法数据包识别方法和系统 |
| CN102473221A (zh) * | 2009-09-01 | 2012-05-23 | 株式会社日立制作所 | 非法进程检测方法及非法进程检测系统 |
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
| CN103067384A (zh) * | 2012-12-27 | 2013-04-24 | 华为技术有限公司 | 威胁处理方法及系统、联动客户端、安全设备及主机 |
| CN103679013A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 系统恶意程序检测方法及装置 |
| CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
| CN104378264A (zh) * | 2014-12-12 | 2015-02-25 | 武汉噢易云计算有限公司 | 一种基于sFlow的虚拟机进程流量监控方法 |
| CN104506559A (zh) * | 2015-01-09 | 2015-04-08 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
| CN105718303A (zh) * | 2016-01-20 | 2016-06-29 | 国家电网公司 | 虚拟机异常检测方法、装置及系统 |
| CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
-
2016
- 2016-12-30 CN CN201611257142.1A patent/CN108270722B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102473221A (zh) * | 2009-09-01 | 2012-05-23 | 株式会社日立制作所 | 非法进程检测方法及非法进程检测系统 |
| CN101826991A (zh) * | 2010-02-04 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 非法数据包识别方法和系统 |
| CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
| CN103679013A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 系统恶意程序检测方法及装置 |
| CN103067384A (zh) * | 2012-12-27 | 2013-04-24 | 华为技术有限公司 | 威胁处理方法及系统、联动客户端、安全设备及主机 |
| CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
| CN104378264A (zh) * | 2014-12-12 | 2015-02-25 | 武汉噢易云计算有限公司 | 一种基于sFlow的虚拟机进程流量监控方法 |
| CN104506559A (zh) * | 2015-01-09 | 2015-04-08 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
| CN105718303A (zh) * | 2016-01-20 | 2016-06-29 | 国家电网公司 | 虚拟机异常检测方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 李保珲等: ""pTrace:一种面向可控云计算的DDoS攻击源控制技术"", 《计算机研究与发展》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109218315B (zh) * | 2018-09-20 | 2021-06-01 | 华为技术有限公司 | 一种安全管理方法和安全管理装置 |
| CN109218315A (zh) * | 2018-09-20 | 2019-01-15 | 华为技术有限公司 | 一种安全管理方法和安全管理装置 |
| CN109347876A (zh) * | 2018-11-29 | 2019-02-15 | 深圳市网心科技有限公司 | 一种安全防御方法及相关装置 |
| CN109347876B (zh) * | 2018-11-29 | 2022-04-01 | 深圳市网心科技有限公司 | 一种安全防御方法及相关装置 |
| CN109600387A (zh) * | 2018-12-29 | 2019-04-09 | 360企业安全技术(珠海)有限公司 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
| CN109981596A (zh) * | 2019-03-05 | 2019-07-05 | 腾讯科技(深圳)有限公司 | 一种主机外联检测方法及装置 |
| CN110851836A (zh) * | 2019-10-17 | 2020-02-28 | 天津大学 | 一种面向Meltdown攻击的主动防御方法 |
| CN110851836B (zh) * | 2019-10-17 | 2023-04-18 | 天津大学 | 一种面向Meltdown攻击的主动防御方法 |
| CN110808997B (zh) * | 2019-11-11 | 2021-09-28 | 恒安嘉新(北京)科技股份公司 | 对服务器远程取证的方法、装置、电子设备、及存储介质 |
| CN110808997A (zh) * | 2019-11-11 | 2020-02-18 | 恒安嘉新(北京)科技股份公司 | 对服务器远程取证的方法、装置、电子设备、及存储介质 |
| CN115102778A (zh) * | 2022-07-11 | 2022-09-23 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
| CN115102778B (zh) * | 2022-07-11 | 2024-05-24 | 深信服科技股份有限公司 | 一种状态确定方法、装置、设备及介质 |
| CN115361235A (zh) * | 2022-10-20 | 2022-11-18 | 北京微步在线科技有限公司 | 一种网络安全检测的方法、设备、装置、电子设备及介质 |
| CN115361235B (zh) * | 2022-10-20 | 2023-03-03 | 北京微步在线科技有限公司 | 一种网络安全检测的方法、设备、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108270722B (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108270722A (zh) | 一种攻击行为检测方法和装置 | |
| US20210152520A1 (en) | Network Firewall for Mitigating Against Persistent Low Volume Attacks | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| EP2988468B1 (en) | Apparatus, method, and program | |
| CN102487339B (zh) | 一种网络设备攻击防范方法及装置 | |
| CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| CN106302450B (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN103997489B (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| EP2517437A1 (en) | Intrusion detection in communication networks | |
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| CN109150869A (zh) | 一种交换机信息采集分析系统及方法 | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| CN108040039A (zh) | 一种识别攻击源信息的方法、装置、设备及系统 | |
| CN105141573A (zh) | 一种基于web访问合规性审计的安全防护方法和系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| KR20200109875A (ko) | 유해 ip 판단 방법 | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
| CN106878338B (zh) | 远动设备网关防火墙一体机系统 | |
| CN110611636B (zh) | 一种基于大数据算法的失陷主机检测方法 | |
| TW202239178A (zh) | 偵測駭客攻擊的方法及電腦程式產品 | |
| CN117278245A (zh) | 针对互联网仿真场景的数据采集方法、装置及存储介质 | |
| CN115277173B (zh) | 一种网络安全监测管理系统及方法 | |
| CN116684122A (zh) | 针对网络漏洞的网络攻防平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |