CN108306857A - 异常操作拦截方法、网络安全设备及计算机可读存储介质 - Google Patents
异常操作拦截方法、网络安全设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN108306857A CN108306857A CN201711433692.9A CN201711433692A CN108306857A CN 108306857 A CN108306857 A CN 108306857A CN 201711433692 A CN201711433692 A CN 201711433692A CN 108306857 A CN108306857 A CN 108306857A
- Authority
- CN
- China
- Prior art keywords
- abnormal operation
- network
- rule base
- abnormal
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种异常操作拦截方法,该方法包括:获取异常操作规则库,读取所述异常操作规则库中的记录;获取要发送至本地计算机的网络数据包;将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比;及当所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,拦截所述网络数据包。本发明实施例还公开了一种网络安全设备和计算机可读存储介质。由此,能够快速精确地识别出网络异常操作并进行拦截。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种异常操作拦截方法、网络安全设备及计算机可读存储介质。
背景技术
随着互联网技术的飞速发展,网络安全问题显得越来越重要,有人利用网络故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,危害网络运行安全。异常行为检测作为一种积极主动的安全防护技术,在网络上系统受到危害之前拦截和响应入侵,对网络主体进行纵深、多层次的防御,起到了重要的作用。但是,现有的异常行为检测方式中,识别出网络异常操作的速度较慢,且精确度较差,不能满足用户的网络安全需求。
发明内容
本发明的主要目的在于提出一种异常操作拦截方法及对应的网络安全设备,旨在解决如何更快速精确地识别出网络异常行为并进行拦截的问题。
为实现上述目的,本发明提供的一种异常操作拦截方法,该方法包括步骤:
获取异常操作规则库,读取所述异常操作规则库中的记录;
获取要发送至本地计算机的网络数据包;
将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比;及
当所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,拦截所述网络数据包。
可选地,所述异常操作规则库为所述网络安全设备将需要发送至本地计算机的网络数据包进行复制,然后分别发送至云平台、本地计算机和沙箱,通过对所述云平台、本地计算机、沙箱三种设备中的运行结果进行对比,判断所述网络数据包是否存在安全攻击,从而当存在安全攻击时在所述异常规则库中记录相应的网络异常操作得到。
可选地,该方法还包括步骤:
对所述异常操作规则库进行实时更新。
可选地,该方法还包括步骤:
将所述异常操作规则库共享至网络中的其他设备,包括其他网络安全设备和所述本地计算机。
可选地,所述将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比的步骤包括:
获取所述网络数据包对应的操作行为;
将所述操作行为与所述异常操作规则库中记录的各种异常操作进行一一对比;
判断所述网络数据包中是否存在与所述异常操作规则库中的记录相匹配的操作行为;
若存在与所述异常操作规则库中的记录相匹配的操作行为,则表示所述网络数据包存在安全攻击,需要进行拦截。
可选地,所述对所述异常操作规则库进行实时更新的步骤包括:
当所述网络安全设备通过复制所述网络数据包,然后分别发送至所述云平台、本地计算机和沙箱进行运行和对比的方式得到新的网络异常操作行为后,将所述新的网络异常操作行为更新记录至所述异常操作规则库中;
当其他网络安全设备共享了新的网络异常操作记录之后,将共享得到的所述新的网络异常操作记录更新至所述异常操作规则库中;或
当所述网络数据包的操作行为中不存在与所述异常操作规则库中的记录相匹配的操作行为而未被拦截,但后续运行所述网络数据包过程中发现异常操作行为时,将所发现的异常操作行为更新记录至所述异常操作规则库中。
可选地,所述异常操作规则库为所述网络安全设备从其他网络安全设备中共享得到。
此外,为实现上述目的,本发明还提出一种网络安全设备,所述网络安全设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常操作拦截程序,所述异常操作拦截程序被所述处理器执行时实现如下步骤:
获取异常操作规则库,读取所述异常操作规则库中的记录;
获取要发送至本地计算机的网络数据包;
将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比;及
当所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,拦截所述网络数据包。
可选地,所述异常操作拦截程序被所述处理器执行时还实现步骤:
对所述异常操作规则库进行实时更新;
将所述异常操作规则库共享至网络中的其他设备,包括其他网络安全设备和本地计算机。
进一步地,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有异常操作拦截程序,所述异常操作拦截程序被处理器执行时实现如上述的异常操作拦截方法的步骤。
本发明提出的异常操作拦截方法、网络安全设备及计算机可读存储介质,能够根据异常操作规则库中的记录对所述网络数据包的操作行为进行对比,从而识别出所述网络数据包的异常操作行为,并直接对所述网络数据包进行拦截,以达到快速有效精确地识别网络异常操作行为并拦截相应网络数据包的目的。并且,可以根据所述网络安全设备和其他设备对网络异常操作的记录实时更新所述异常操作规则库,从而根据最新的异常操作记录来对所述网络数据包中的操作行为进行识别,提高识别的精确度。另外,还可以将所述异常操作规则库共享至网络中的其他设备,从整体上提高这些设备对网络异常操作的识别速度和精确度。
附图说明
图1为实现本发明各个实施例的一种应用环境架构图;
图2为本发明第一实施例提出的一种异常操作拦截方法的流程图;
图3为本发明第二实施例提出的一种异常操作拦截方法的流程图;
图4为本发明第三实施例提出的一种异常操作拦截方法的流程图;
图5为本发明第四实施例提出的一种网络安全设备的模块示意图;
图6为本发明第五实施例提出的一种异常操作拦截系统的模块示意图;
图7为本发明第六实施例提出的一种异常操作拦截系统的模块示意图;
图8为本发明第七实施例提出的一种异常操作拦截系统的模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
请参阅图1,图1为实现本发明各个实施例的一种应用环境架构图。本发明可应用于包括,但不仅限于,网络安全设备2、云平台(Cloud Platform)4、本地计算机6、沙箱(Sandboxie)8的应用环境中。
其中,所述网络安全设备2为网络平台中的电子设备,例如网络服务器、路由器、防火墙系统等,用于发送网络数据包,并对网络异常操作行为进行识别和拦截。该网络安全设备2可以是独立的电子设备,也可以是多个电子设备所组成的集合。
所述云平台4为空系统,只有相应的操作系统,没有实际的数据资料,允许将写好的程序放在“云”里运行,或是使用“云”里提供的服务。
所述本地计算机6安装有相应操作系统及相应的应用程序、数据资料等,可以执行接收到的网络数据包。在其他实施例中,所述本地计算机6也可以是本地网络安全设备等其他电子设备。
所述沙箱8是一种按照安全策略限制程序行为的网络编程虚拟执行环境,允许运行浏览器或其他程序,因此运行所产生的变化可以随后删除。所述沙箱8创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响,可以用于测试不受信任的应用程序或上网行为。
所述网络安全设备2通过网络分别与所述云平台4、本地计算机6、沙箱8通信连接,以进行数据传输和交互。所述网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communication,GSM)、宽带码分多址(WidebandCode Division Multiple Access,WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
本发明提出的一种异常操作拦截方法,应用于网络安全设备2中,用于将根据异常操作规则库中的记录识别出网络异常操作并进行拦截。
实施例一
如图2所示,本发明第一实施例提出一种异常操作拦截方法,该方法包括以下步骤:
S200,获取异常操作规则库,读取所述异常操作规则库中的记录。
在本实施例中,所述异常操作规则库为所述网络安全设备2将需要发送至本地计算机6的网络数据包进行复制,然后分别发送至云平台4、本地计算机6和沙箱8,通过对云平台4、本地计算机6、沙箱8三种设备中的运行结果进行对比,判断所述网络数据包是否存在安全攻击,从而当存在安全攻击时在所述异常规则库中记录相应的网络异常操作得到。另外,所述异常操作规则库还可以是所述网络安全设备2从其他网络安全设备中共享得到。
所述网络安全设备2获取所述异常操作规则库后,读取所述异常操作规则库中的记录,得到各种异常操作。
S202,获取要发送至本地计算机6的网络数据包。
具体地,当网络安全设备2向本地计算机6发送网络数据包时,为了判断所述网络数据包中是否存在安全攻击,需要先进行异常操作识别,并对识别出的异常操作进行拦截。因此,所述网络安全设备2首先需要获取所述网络数据包。
S204,将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比。
具体地,所述网络安全设备2获取所述网络数据包对应的操作行为,将所述操作行为与所述异常操作规则库中记录的各种异常操作进行一一对比,判断所述网络数据包中是否存在与所述异常操作规则库中的记录相匹配的操作行为(异常操作行为)。若存在异常操作行为,则表示所述网络数据包存在安全攻击,需要进行拦截。若不存在异常操作行为,则表示所述网络数据包不存在安全攻击,可以正常发送和运行。
S206,当所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,拦截所述网络数据包。
具体地,当所述网络安全设备2发现所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,直接对所述网络数据包进行拦截,不允许所述网络数据包访问内部网络。
例如,当所述异常操作规则库中记录的异常操作包括破解用户密码时,若所述网络数据包存在破解用户密码的操作行为,则表示所述网络数据包存在安全攻击,直接拦截所述网络数据包。
本实施例提出的异常操作拦截方法,可以根据异常操作规则库中的记录对所述网络数据包的操作行为进行对比,从而识别出所述网络数据包的异常操作行为,并直接对所述网络数据包进行拦截,以达到快速有效精确地识别网络异常操作行为并拦截相应网络数据包的目的。
实施例二
如图3所示,本发明第二实施例提出一种异常操作拦截方法。在第二实施例中,所述异常操作拦截方法的步骤S300-S306与第一实施例的步骤S200-S206相类似,区别在于该方法还包括步骤S308。
该方法包括以下步骤:
S300,获取异常操作规则库,读取所述异常操作规则库中的记录。
在本实施例中,所述异常操作规则库为所述网络安全设备2将需要发送至本地计算机6的网络数据包进行复制,然后分别发送至云平台4、本地计算机6和沙箱8,通过对云平台4、本地计算机6、沙箱8三种设备中的运行结果进行对比,判断所述网络数据包是否存在安全攻击,从而当存在安全攻击时在所述异常规则库中记录相应的网络异常操作得到。另外,所述异常操作规则库还可以是所述网络安全设备2从其他网络安全设备中共享得到。
所述网络安全设备2获取所述异常操作规则库后,读取所述异常操作规则库中的记录,得到各种异常操作。
S302,获取要发送至本地计算机6的网络数据包。
具体地,当网络安全设备2向本地计算机6发送网络数据包时,为了判断所述网络数据包中是否存在安全攻击,需要先进行异常操作识别,并对识别出的异常操作进行拦截。因此,所述网络安全设备2首先需要获取所述网络数据包。
S304,将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比。
具体地,所述网络安全设备2获取所述网络数据包对应的操作行为,将所述操作行为与所述异常操作规则库中记录的各种异常操作进行一一对比,判断所述网络数据包中是否存在与所述异常操作规则库中的记录相匹配的操作行为(异常操作行为)。若存在异常操作行为,则表示所述网络数据包存在安全攻击,需要进行拦截。若不存在异常操作行为,则表示所述网络数据包不存在安全攻击,可以正常发送和运行。
S306,当所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,拦截所述网络数据包。
具体地,当所述网络安全设备2发现所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,直接对所述网络数据包进行拦截,不允许所述网络数据包访问内部网络。
例如,当所述异常操作规则库中记录的异常操作包括破解用户密码时,若所述网络数据包存在破解用户密码的操作行为,则表示所述网络数据包存在安全攻击,直接拦截所述网络数据包。
S308,对所述异常操作规则库进行实时更新。
具体地,当所述网络安全设备2通过复制网络数据包,然后分别发送至云平台4、本地计算机6和沙箱8进行运行和对比的方式得到新的网络异常操作行为后,将所述新的网络异常操作行为更新记录至所述异常操作规则库中。或者,当其他网络安全设备共享了新的网络异常操作记录之后,将共享得到的所述新的网络异常操作记录更新至所述异常操作规则库中。又或者,当所述网络数据包的操作行为中不存在与所述异常操作规则库中的记录相匹配的操作行为而未被拦截,但后续运行所述网络数据包过程中发现异常操作行为时,将所发现的异常操作行为更新记录至所述异常操作规则库中。
当所述异常操作规则库更新后,所述网络安全设备2即根据更新后的所述异常操作规则库对后续获取的网络数据包进行异常操作识别和拦截。
例如,当所述网络数据包在后续运行过程中被发现破解用户密码的异常操作行为时,将所述破解用户密码的异常操作行为更新记录至所述异常操作规则库中。后续当黑客再次尝试破解用户密码时,所述网络安全设备2即可根据更新后的所述异常操作规则库中的记录直接识别出该异常操作行为,并拦截相应网络数据包。
本实施例提出的异常操作拦截方法,可以根据所述网络安全设备和其他设备对网络异常操作的记录实时更新所述异常操作规则库,从而根据最新的异常操作记录来对所述网络数据包中的操作行为进行识别,提高识别的精确度。
实施例三
如图4所示,本发明第二实施例提出一种异常操作拦截方法。在第三实施例中,所述异常操作拦截方法的步骤S400-S408与第一实施例的步骤S300-S308相类似,区别在于该方法还包括步骤S410。
该方法包括以下步骤:
S400,获取异常操作规则库,读取所述异常操作规则库中的记录。
在本实施例中,所述异常操作规则库为所述网络安全设备2将需要发送至本地计算机6的网络数据包进行复制,然后分别发送至云平台4、本地计算机6和沙箱8,通过对云平台4、本地计算机6、沙箱8三种设备中的运行结果进行对比,判断所述网络数据包是否存在安全攻击,从而当存在安全攻击时在所述异常规则库中记录相应的网络异常操作得到。另外,所述异常操作规则库还可以是所述网络安全设备2从其他网络安全设备中共享得到。
所述网络安全设备2获取所述异常操作规则库后,读取所述异常操作规则库中的记录,得到各种异常操作。
S402,获取要发送至本地计算机6的网络数据包。
具体地,当网络安全设备2向本地计算机6发送网络数据包时,为了判断所述网络数据包中是否存在安全攻击,需要先进行异常操作识别,并对识别出的异常操作进行拦截。因此,所述网络安全设备2首先需要获取所述网络数据包。
S404,将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比。
具体地,所述网络安全设备2获取所述网络数据包对应的操作行为,将所述操作行为与所述异常操作规则库中记录的各种异常操作进行一一对比,判断所述网络数据包中是否存在与所述异常操作规则库中的记录相匹配的操作行为(异常操作行为)。若存在异常操作行为,则表示所述网络数据包存在安全攻击,需要进行拦截。若不存在异常操作行为,则表示所述网络数据包不存在安全攻击,可以正常发送和运行。
S406,当所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,拦截所述网络数据包。
具体地,当所述网络安全设备2发现所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,直接对所述网络数据包进行拦截,不允许所述网络数据包访问内部网络。
例如,当所述异常操作规则库中记录的异常操作包括破解用户密码时,若所述网络数据包存在破解用户密码的操作行为,则表示所述网络数据包存在安全攻击,直接拦截所述网络数据包。
S408,对所述异常操作规则库进行实时更新。
具体地,当所述网络安全设备2通过复制网络数据包,然后分别发送至云平台4、本地计算机6和沙箱8进行运行和对比的方式得到新的网络异常操作行为后,将所述新的网络异常操作行为更新记录至所述异常操作规则库中。或者,当其他网络安全设备共享了新的网络异常操作记录之后,将共享得到的所述新的网络异常操作记录更新至所述异常操作规则库中。又或者,当所述网络数据包的操作行为中不存在与所述异常操作规则库中的记录相匹配的操作行为而未被拦截,但后续运行所述网络数据包过程中发现异常操作行为时,将所发现的异常操作行为更新记录至所述异常操作规则库中。
当所述异常操作规则库更新后,所述网络安全设备2即根据更新后的所述异常操作规则库对后续获取的网络数据包进行异常操作识别和拦截。
例如,当所述网络数据包在后续运行过程中被发现破解用户密码的异常操作行为时,将所述破解用户密码的异常操作行为更新记录至所述异常操作规则库中。后续当黑客再次尝试破解用户密码时,所述网络安全设备2即可根据更新后的所述异常操作规则库中的记录直接识别出该异常操作行为,并拦截相应网络数据包。
S410,将所述异常操作规则库共享至网络中的其他设备。
具体地,所述其他设备包括其他网络安全设备和本地计算机6。所述网络安全设备2更新所述异常操作规则库之后,可以实时或者定时将更新后的所述异常操作规则库通过网络共享至其他的网络安全设备和本地计算机6。因此,所述其他网络安全设备也能根据所述异常操作规则库中的记录直接对需要发送的网络数据包中相应的网络异常操作行为进行快速拦截。所述本地计算机6也能根据所述异常操作规则库中的记录对访问本地的网络数据包或本地运行的文件进行判断是否存在异常操作行为,如果存在异常操作行为则拦截该操作。从而,可以从整体上提高这些设备对网络异常操作的识别速度和精确度。
本发明进一步提供一种网络安全设备,所述网络安全设备包括存储器、处理器和异常操作拦截系统,用于将网络数据包发送至本地计算机,并对所述网络数据包进行网络异常操作行为的识别和相应处理。
实施例四
如图5所示,本发明第四实施例提出一种网络安全设备2。所述网络安全设备2包括存储器20、处理器22和异常操作拦截系统28。
其中,所述存储器20至少包括一种类型的可读存储介质,用于存储安装于所述网络安全设备2的操作系统和各类应用软件,例如异常操作拦截系统28的程序代码等。此外,所述存储器20还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制所述网络安全设备2的总体操作。本实施例中,所述处理器22用于运行所述存储器20中存储的程序代码或者处理数据,例如运行所述异常操作拦截系统28等。
实施例五
如图6所示,本发明第五实施例提出一种异常操作拦截系统28。在本实施例中,所述异常操作拦截系统28包括:
获取模块800,用于获取异常操作规则库,读取所述异常操作规则库中的记录。
在本实施例中,所述异常操作规则库为所述网络安全设备2将需要发送至本地计算机6的网络数据包进行复制,然后分别发送至云平台4、本地计算机6和沙箱8,通过对云平台4、本地计算机6、沙箱8三种设备中的运行结果进行对比,判断所述网络数据包是否存在安全攻击,从而当存在安全攻击时在所述异常规则库中记录相应的网络异常操作得到。另外,所述异常操作规则库还可以是所述网络安全设备2从其他网络安全设备中共享得到。
所述获取模块800获取所述异常操作规则库后,读取所述异常操作规则库中的记录,得到各种异常操作。
所述获取模块800,还用于获取要发送至本地计算机6的网络数据包。
具体地,当网络安全设备2向本地计算机6发送网络数据包时,为了判断所述网络数据包中是否存在安全攻击,需要先进行异常操作识别,并对识别出的异常操作进行拦截。因此,所述获取模块800首先需要获取所述网络数据包。
对比模块802,用于将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比。
具体地,所述对比模块802获取所述网络数据包对应的操作行为,将所述操作行为与所述异常操作规则库中记录的各种异常操作进行一一对比,判断所述网络数据包中是否存在与所述异常操作规则库中的记录相匹配的操作行为(异常操作行为)。若存在异常操作行为,则表示所述网络数据包存在安全攻击,需要进行拦截。若不存在异常操作行为,则表示所述网络数据包不存在安全攻击,可以正常发送和运行。
拦截模块804,用于当所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,拦截所述网络数据包。
具体地,当所述对比模块802发现所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,所述拦截模块804直接对所述网络数据包进行拦截,不允许所述网络数据包访问内部网络。
例如,当所述异常操作规则库中记录的异常操作包括破解用户密码时,若所述网络数据包存在破解用户密码的操作行为,则表示所述网络数据包存在安全攻击,直接拦截所述网络数据包。
实施例六
如图7所示,本发明第六实施例提出一种异常操作拦截系统28。在本实施例中,所述异常操作拦截系统28除了包括第五实施例中的所述获取模块800、对比模块802、拦截模块804之外,还包括更新模块806。
所述更新模块806,用于对所述异常操作规则库进行实时更新。
具体地,当所述网络安全设备2通过复制网络数据包,然后分别发送至云平台4、本地计算机6和沙箱8进行运行和对比的方式得到新的网络异常操作行为后,将所述新的网络异常操作行为更新记录至所述异常操作规则库中。或者,当其他网络安全设备共享了新的网络异常操作记录之后,将共享得到的所述新的网络异常操作记录更新至所述异常操作规则库中。又或者,当所述网络数据包的操作行为中不存在与所述异常操作规则库中的记录相匹配的操作行为而未被拦截,但后续运行所述网络数据包过程中发现异常操作行为时,将所发现的异常操作行为更新记录至所述异常操作规则库中。
当所述异常操作规则库更新后,所述网络安全设备2即根据更新后的所述异常操作规则库对后续获取的网络数据包进行异常操作识别和拦截。
例如,当所述网络数据包在后续运行过程中被发现破解用户密码的异常操作行为时,将所述破解用户密码的异常操作行为更新记录至所述异常操作规则库中。后续当黑客再次尝试破解用户密码时,所述网络安全设备2即可根据更新后的所述异常操作规则库中的记录直接识别出该异常操作行为,并拦截相应网络数据包。
实施例七
如图8所示,本发明第七实施例提出一种异常操作拦截系统28。在本实施例中,所述异常操作拦截系统28除了包括第六实施例中的所述获取模块800、对比模块802、拦截模块804、更新模块806之外,还包括共享模块808。
所述共享模块808,用于将所述异常操作规则库共享至网络中的其他设备。
具体地,所述其他设备包括其他网络安全设备和本地计算机6。所述网络安全设备2更新所述异常操作规则库之后,可以实时或者定时将更新后的所述异常操作规则库通过网络共享至其他的网络安全设备和本地计算机6。因此,所述其他网络安全设备也能根据所述异常操作规则库中的记录直接对需要发送的网络数据包中相应的网络异常操作行为进行快速拦截。所述本地计算机6也能根据所述异常操作规则库中的记录对访问本地的网络数据包或本地运行的文件进行判断是否存在异常操作行为,如果存在异常操作行为则拦截该操作。从而,可以从整体上提高这些设备对网络异常操作的识别速度和精确度。
实施例八
本发明还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有异常操作拦截程序,所述异常操作拦截程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的异常操作拦截方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,网络安全设备,空调器,或者网络安全设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种异常操作拦截方法,应用于网络安全设备中,其特征在于,该方法包括步骤:
获取异常操作规则库,读取所述异常操作规则库中的记录;
获取要发送至本地计算机的网络数据包;
将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比;及
当所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,拦截所述网络数据包。
2.根据权利要求1所述的异常操作拦截方法,其特征在于,所述异常操作规则库为所述网络安全设备将需要发送至本地计算机的网络数据包进行复制,然后分别发送至云平台、本地计算机和沙箱,通过对所述云平台、本地计算机、沙箱三种设备中的运行结果进行对比,判断所述网络数据包是否存在安全攻击,从而当存在安全攻击时在所述异常规则库中记录相应的网络异常操作得到。
3.根据权利要求1或2所述的异常操作拦截方法,其特征在于,该方法还包括步骤:
对所述异常操作规则库进行实时更新。
4.根据权利要求3所述的异常操作拦截方法,其特征在于,该方法还包括步骤:
将所述异常操作规则库共享至网络中的其他设备,包括其他网络安全设备和所述本地计算机。
5.根据权利要求1所述的异常操作拦截方法,其特征在于,所述将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比的步骤包括:
获取所述网络数据包对应的操作行为;
将所述操作行为与所述异常操作规则库中记录的各种异常操作进行一一对比;
判断所述网络数据包中是否存在与所述异常操作规则库中的记录相匹配的操作行为;
若存在与所述异常操作规则库中的记录相匹配的操作行为,则表示所述网络数据包存在安全攻击,需要进行拦截。
6.根据权利要求3所述的异常操作拦截方法,其特征在于,所述对所述异常操作规则库进行实时更新的步骤包括:
当所述网络安全设备通过复制所述网络数据包,然后分别发送至所述云平台、本地计算机和沙箱进行运行和对比的方式得到新的网络异常操作行为后,将所述新的网络异常操作行为更新记录至所述异常操作规则库中;
当其他网络安全设备共享了新的网络异常操作记录之后,将共享得到的所述新的网络异常操作记录更新至所述异常操作规则库中;或
当所述网络数据包的操作行为中不存在与所述异常操作规则库中的记录相匹配的操作行为而未被拦截,但后续运行所述网络数据包过程中发现异常操作行为时,将所发现的异常操作行为更新记录至所述异常操作规则库中。
7.根据权利要求1所述的异常操作拦截方法,其特征在于,所述异常操作规则库为所述网络安全设备从其他网络安全设备中共享得到。
8.一种网络安全设备,其特征在于,所述网络安全设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常操作拦截程序,所述异常操作拦截程序被所述处理器执行时实现如下步骤:
获取异常操作规则库,读取所述异常操作规则库中的记录;
获取要发送至本地计算机的网络数据包;
将所述网络数据包的操作行为与所述异常操作规则库中的记录进行对比;及
当所述网络数据包存在与所述异常操作规则库中的记录相匹配的操作行为时,拦截所述网络数据包。
9.根据权利要求8所述的网络安全设备,其特征在于,所述异常操作拦截程序被所述处理器执行时还实现步骤:
对所述异常操作规则库进行实时更新;
将所述异常操作规则库共享至网络中的其他设备,包括其他网络安全设备和本地计算机。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有异常操作拦截程序,所述异常操作拦截程序被处理器执行时实现如权利要求1至7中任一项所述的异常操作拦截方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711433692.9A CN108306857A (zh) | 2017-12-26 | 2017-12-26 | 异常操作拦截方法、网络安全设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711433692.9A CN108306857A (zh) | 2017-12-26 | 2017-12-26 | 异常操作拦截方法、网络安全设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108306857A true CN108306857A (zh) | 2018-07-20 |
Family
ID=62867541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711433692.9A Pending CN108306857A (zh) | 2017-12-26 | 2017-12-26 | 异常操作拦截方法、网络安全设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108306857A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109271783A (zh) * | 2018-09-20 | 2019-01-25 | 珠海市君天电子科技有限公司 | 一种病毒拦截方法、装置及电子设备 |
| CN111683049A (zh) * | 2020-05-08 | 2020-09-18 | 江苏涵秋网络科技有限公司 | 一种用于网络安全的敏感内容拦截系统 |
| CN112395608A (zh) * | 2020-12-14 | 2021-02-23 | 深圳中兴网信科技有限公司 | 网络安全威胁监测方法、装置和可读存储介质 |
| CN112910895A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络攻击行为检测方法、装置、计算机设备和系统 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN101079779A (zh) * | 2007-07-13 | 2007-11-28 | 信息产业部电信传输研究所 | 公共安全防护系统和公共安全防护方法 |
| US20170214708A1 (en) * | 2016-01-25 | 2017-07-27 | Acalvio Technologies, Inc. | Detecting security threats by combining deception mechanisms and data science |
| CN107104944A (zh) * | 2017-03-10 | 2017-08-29 | 林榆坚 | 一种网络入侵的检测方法及装置 |
| CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
-
2017
- 2017-12-26 CN CN201711433692.9A patent/CN108306857A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1996892A (zh) * | 2006-12-25 | 2007-07-11 | 杭州华为三康技术有限公司 | 网络攻击检测方法及装置 |
| CN101079779A (zh) * | 2007-07-13 | 2007-11-28 | 信息产业部电信传输研究所 | 公共安全防护系统和公共安全防护方法 |
| US20170214708A1 (en) * | 2016-01-25 | 2017-07-27 | Acalvio Technologies, Inc. | Detecting security threats by combining deception mechanisms and data science |
| CN107104944A (zh) * | 2017-03-10 | 2017-08-29 | 林榆坚 | 一种网络入侵的检测方法及装置 |
| CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109271783A (zh) * | 2018-09-20 | 2019-01-25 | 珠海市君天电子科技有限公司 | 一种病毒拦截方法、装置及电子设备 |
| CN111683049A (zh) * | 2020-05-08 | 2020-09-18 | 江苏涵秋网络科技有限公司 | 一种用于网络安全的敏感内容拦截系统 |
| CN112395608A (zh) * | 2020-12-14 | 2021-02-23 | 深圳中兴网信科技有限公司 | 网络安全威胁监测方法、装置和可读存储介质 |
| CN112910895A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络攻击行为检测方法、装置、计算机设备和系统 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115118500B (zh) * | 2022-06-28 | 2023-11-07 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108306857A (zh) | 异常操作拦截方法、网络安全设备及计算机可读存储介质 | |
| JP6772270B2 (ja) | 複数のネットワークエンドポイントをセキュアにするためのデュアルメモリイントロスペクション | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| US10033814B2 (en) | Vehicle security network device and design method therefor | |
| JP2022065090A (ja) | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス | |
| CN101006433B (zh) | 信息通信装置和程序执行环境控制方法 | |
| EP3039609B1 (en) | Systems and methods for identifying private keys that have been compromised | |
| CN105874464B (zh) | 用于在子系统输出信号中引入变化以防止设备指纹分析的系统和方法 | |
| CN109766700A (zh) | 访问文件的控制方法及装置、存储介质、电子装置 | |
| Vilches et al. | Towards an open standard for assessing the severity of robot security vulnerabilities, the Robot Vulnerability Scoring System (RVSS) | |
| US11503066B2 (en) | Holistic computer system cybersecurity evaluation and scoring | |
| CN115168888B (zh) | 一种业务自适应的数据治理方法、装置及设备 | |
| EP4182823A1 (en) | Threat analysis and risk assessment for cyber-physical systems based on physical architecture and asset-centric threat modeling | |
| US20230171292A1 (en) | Holistic external network cybersecurity evaluation and scoring | |
| Nigam et al. | Formal security verification of industry 4.0 applications | |
| EP3767913A1 (en) | Systems and methods for correlating events to detect an information security incident | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| RU2746101C2 (ru) | Система и способ определения устройств компьютерной сети с использованием правил инвентаризации | |
| CN106209919A (zh) | 一种网络安全防护方法及网络安全防护系统 | |
| CN108337232A (zh) | 网络异常检测方法、网络安全设备及计算机可读存储介质 | |
| CN114499919A (zh) | 一种工程机械通信安全网络威胁建模的方法及系统 | |
| CN112583597A (zh) | 使用库存规则来识别计算机网络设备的系统及方法 | |
| KR101200055B1 (ko) | 합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180720 |