CN108337232A - 网络异常检测方法、网络安全设备及计算机可读存储介质 - Google Patents
网络异常检测方法、网络安全设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN108337232A CN108337232A CN201711433608.3A CN201711433608A CN108337232A CN 108337232 A CN108337232 A CN 108337232A CN 201711433608 A CN201711433608 A CN 201711433608A CN 108337232 A CN108337232 A CN 108337232A
- Authority
- CN
- China
- Prior art keywords
- network
- network packet
- anomaly detection
- equipment
- document
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络异常检测方法,该方法包括:获取要发送至本地计算机的网络数据包;将所述网络数据包复制为N份;将复制后的N份所述网络数据包分别发送至N个预设设备;接收所述N个预设设备对所述网络数据包的运行结果;通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击。本发明实施例还公开了一种网络安全设备和计算机可读存储介质。由此,能够快速有效地检测网络异常行为。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络异常检测方法、网络安全设备及计算机可读存储介质。
背景技术
随着互联网技术的飞速发展,网络安全问题显得越来越重要,有人利用网络故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,危害网络运行安全。异常行为检测作为一种积极主动的安全防护技术,在网络上系统受到危害之前拦截和响应入侵,对网络主体进行纵深、多层次的防御,起到了重要的作用。但是,现有的异常行为检测方式比较单一,检测速度较慢,且精确度较差,不能满足用户的网络安全需求。
发明内容
本发明的主要目的在于提出一种网络异常检测方法及对应的网络安全设备,旨在解决如何更快速有效地检测网络异常行为的问题。
为实现上述目的,本发明提供的一种网络异常检测方法,该方法包括步骤:
获取要发送至本地计算机的网络数据包;
将所述网络数据包复制为N份;
将复制后的N份所述网络数据包分别发送至N个预设设备;
接收所述N个预设设备对所述网络数据包的运行结果;及
通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击。
可选地,所述N为3,所述N个预设设备为云平台、所述本地计算机和沙箱三个设备。
可选地,该方法还包括步骤:
当所述网络数据包存在安全攻击时,获取所述N个预设设备中所述网络数据包的操作行为之和;
将所述操作行为之和记录至安全情报库中。
可选地,该方法还包括步骤:
将所述安全情报库共享至其他网络安全设备。
可选地,所述通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击的步骤包括:
以所述本地计算机的运行结果为基准,如果所述云平台、本地计算机和沙箱的运行结果不一致,则判断存在安全攻击,对所述网络数据包进行拦截。
可选地,根据权利要求5所述的网络异常检测方法,其特征在于,所述通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击的步骤还包括:
当所述网络数据包为一个文件时,所述运行结果包括该文件是否存在异常操作行为以及该文件执行过程中的所有操作行为;
若所述云平台、本地计算机和沙箱中任意一个设备发现该文件存在异常操作行为,或所述三个设备记录的该文件执行过程中的所有操作行为存在不一致时,则判断该文件存在安全攻击,需要进拦截。
可选地,所述当所述网络数据包存在安全攻击时,获取所述N个预设设备中所述网络数据包的操作行为之和的步骤还包括:
当所述网络数据包为一个文件时,获取该文件对应的异常操作行为以及文件名、文件哈希值、DM5值信息,其中所述异常操作行为包括该文件在所述三个设备中执行时存在不一致的操作行为。
可选地,所述将所述操作行为之和记录至安全情报库中的步骤还包括:
当所述网络数据包为一个文件时,将该文件对应的异常操作行为和文件名、文件哈希值、DM5值信息记录至所述安全情报库中。
此外,为实现上述目的,本发明还提出一种网络安全设备,所述网络安全设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络异常检测程序,所述网络异常检测程序被所述处理器执行时实现如上述的网络异常检测方法的步骤。
进一步地,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络异常检测程序,所述网络异常检测程序被处理器执行时实现如上述的网络异常检测方法的步骤。
本发明提出的网络异常检测方法、网络安全设备及计算机可读存储介质,能够将需要发送至本地计算机的网络数据包进行复制,然后分别发送至云平台、本地计算机和沙箱,通过对云平台、本地计算机、沙箱三种设备中的运行结果进行对比,判断所述网络数据包是否存在安全攻击,从而对所述网络数据包进行拦截或者正常发送,以达到快速有效地检测网络异常操作行为的目的。并且,还可以获取黑客攻击方案,更新安全情报库,为后续进行更快速的安全检测提供依据。另外,还可以将更新后的所述安全情报库通过网络共享至其他的网络安全设备,以便其他网络安全设备也能根据所述安全情报库中的记录直接对相应的网络异常操作行为进行快速拦截,从而使这些网络安全设备都更加快速有效地进行安全检测。
附图说明
图1为实现本发明各个实施例的一种应用环境架构图;
图2为本发明第一实施例提出的一种网络异常检测方法的流程图;
图3为本发明第二实施例提出的一种网络异常检测方法的流程图;
图4为本发明第三实施例提出的一种网络异常检测方法的流程图;
图5为本发明第四实施例提出的一种网络安全设备的模块示意图;
图6为本发明第五实施例提出的一种网络异常检测系统的模块示意图;
图7为本发明第六实施例提出的一种网络异常检测系统的模块示意图;
图8为本发明第七实施例提出的一种网络异常检测系统的模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
请参阅图1,图1为实现本发明各个实施例的一种应用环境架构图。本发明可应用于包括,但不仅限于,网络安全设备2、云平台(Cloud Platform)4、本地计算机6、沙箱(Sandboxie)8的应用环境中。
其中,所述网络安全设备2为网络平台中的电子设备,例如网络服务器、路由器、防火墙系统等,用于将网络数据包发送至本地计算机6,并对所述网络数据包进行网络异常操作行为的检测和相应处理。该网络安全设备2可以是独立的电子设备,也可以是多个电子设备所组成的集合。
所述云平台4为空系统,只有相应的操作系统,没有实际的数据资料,允许将写好的程序放在“云”里运行,或是使用“云”里提供的服务。
所述本地计算机6安装有相应操作系统及相应的应用程序、数据资料等,可以执行接收到的网络数据包。在其他实施例中,所述本地计算机6也可以是本地网络安全设备等其他电子设备。
所述沙箱8是一种按照安全策略限制程序行为的网络编程虚拟执行环境,允许运行浏览器或其他程序,因此运行所产生的变化可以随后删除。所述沙箱8创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响,可以用于测试不受信任的应用程序或上网行为。
所述网络安全设备2通过网络分别与所述云平台4、本地计算机6、沙箱8通信连接,以进行数据传输和交互。所述网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communication,GSM)、宽带码分多址(WidebandCode Division Multiple Access,WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
本发明提出的一种网络异常检测方法,应用于网络安全设备2中,用于将网络数据包分别发送至云平台4、本地计算机6和沙箱8,通过对云平台4、本地计算机6、沙箱8三种设备中的运行结果进行对比,判断是否存在安全攻击。
实施例一
如图2所示,本发明第一实施例提出一种网络异常检测方法,该方法包括以下步骤:
S200,获取要发送至本地计算机6的网络数据包。
具体地,当网络安全设备2向本地计算机6发送网络数据包时,为了判断所述网络数据包中是否存在安全攻击,需要先进行检测。因此,所述网络安全设备2首先获取所述网络数据包。
S202,将所述网络数据包复制为N份。
具体地,当获取到所述需要发送至本地计算机6的网络数据包后,对所述网络数据包进行复制。在本实施例中,所述N为3,即所述网络安全设备2将所述网络数据包复制为三份,用于分别发送至云平台4、本地计算机6和沙箱8。
S204,将复制后的N份所述网络数据包分别发送至N个预设设备。
在本实施例中,所述N个预设设备为云平台4、本地计算机6和沙箱8三个设备。在复制之后,所述网络安全设备2将三份所述网络数据包分别发送至云平台4、本地计算机6和沙箱8,以使所述云平台4、本地计算机6和沙箱8分别运行所述网络数据包。
S206,接收所述N个预设设备对所述网络数据包的运行结果。
具体地,所述云平台4、本地计算机6和沙箱8分别根据收到的所述网络数据包进行操作,然后记录对所述网络数据包的运行结果,并反馈至所述网络安全设备2。所述网络安全设备2分别接收所述云平台4、本地计算机6和沙箱8反馈的运行结果。
值得注意的是,当所述网络数据包为一个文件时,所述云平台4、本地计算机6和沙箱8分别执行该文件,判断该文件执行过程中是否存在异常操作行为。其中,所述异常操作行为包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限等。只要有一种设备发现该文件有异常操作行为,则判定该文件存在问题,需要把该文件作为一个黑客攻击的数据进行拦截。另外,所述云平台4、本地计算机6和沙箱8还需要记录该文件执行过程中的所有操作行为和文件名、文件哈希值、DM5值等文件信息。
S208,通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击。
具体地,以本地计算机6的运行结果为基准,如果所述云平台4、本地计算机6和沙箱8的运行结果不一致,则判断存在安全攻击,对所述网络数据包进行拦截。
值得注意的是,当所述网络数据包为一个文件时,所述运行结果包括该文件是否存在异常操作行为以及该文件执行过程中的所有操作行为。若所述云平台4、本地计算机6和沙箱8中任意一个设备发现该文件存在异常操作行为,则判断该文件存在安全攻击,需要进拦截。或者,若所述三个设备记录的该文件执行过程中的所有操作行为存在不一致时,也判断为该文件存在安全攻击。
本实施例提出的网络异常检测方法,可以将需要发送至本地计算机6的网络数据包进行复制,然后分别发送至云平台4、本地计算机6和沙箱8,通过对云平台4、本地计算机6、沙箱8三种设备中的运行结果进行对比,判断所述网络数据包是否存在安全攻击,从而对所述网络数据包进行拦截或者正常发送,以达到快速有效地检测网络异常操作行为的目的。
实施例二
如图3所示,本发明第二实施例提出一种网络异常检测方法。在第二实施例中,所述网络异常检测方法的步骤S300-S308与第一实施例的步骤S200-S208相类似,区别在于该方法还包括步骤S310-S312。
该方法包括以下步骤:
S300,获取要发送至本地计算机6的网络数据包。
具体地,当网络安全设备2向本地计算机6发送网络数据包时,为了判断所述网络数据包中是否存在安全攻击,需要先进行检测。因此,所述网络安全设备2首先获取所述网络数据包。
S302,将所述网络数据包复制为N份。
具体地,当获取到所述需要发送至本地计算机6的网络数据包后,对所述网络数据包进行复制。在本实施例中,所述N为3,即所述网络安全设备2将所述网络数据包复制为三份,用于分别发送至云平台4、本地计算机6和沙箱8。
S304,将复制后的N份所述网络数据包分别发送至N个预设设备。
在本实施例中,所述N个预设设备为云平台4、本地计算机6和沙箱8三个设备。在复制之后,所述网络安全设备2将三份所述网络数据包分别发送至云平台4、本地计算机6和沙箱8,以使所述云平台4、本地计算机6和沙箱8分别运行所述网络数据包。
S306,接收所述N个预设设备对所述网络数据包的运行结果。
具体地,所述云平台4、本地计算机6和沙箱8分别根据收到的所述网络数据包进行操作,然后记录对所述网络数据包的运行结果,并反馈至所述网络安全设备2。所述网络安全设备2分别接收所述云平台4、本地计算机6和沙箱8反馈的运行结果。
值得注意的是,当所述网络数据包为一个文件时,所述云平台4、本地计算机6和沙箱8分别执行该文件,判断该文件执行过程中是否存在异常操作行为。其中,所述异常操作行为包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限等。只要有一种设备发现该文件有异常操作行为,则判定该文件存在问题,需要把该文件作为一个黑客攻击的数据进行拦截。另外,所述云平台4、本地计算机6和沙箱8还需要记录该文件执行过程中的所有操作行为和文件名、文件哈希值、DM5值等文件信息。
S308,通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击。
具体地,以本地计算机6的运行结果为基准,如果所述云平台4、本地计算机6和沙箱8的运行结果不一致,则判断存在安全攻击,对所述网络数据包进行拦截。
值得注意的是,当所述网络数据包为一个文件时,所述运行结果包括该文件是否存在异常操作行为以及该文件执行过程中的所有操作行为。若所述云平台4、本地计算机6和沙箱8中任意一个设备发现该文件存在异常操作行为,则判断该文件存在安全攻击,需要进拦截。或者,若所述三个设备记录的该文件执行过程中的所有操作行为存在不一致时,也判断为该文件存在安全攻击。
S310,当所述网络数据包存在安全攻击时,获取所述N个预设设备中所述网络数据包的操作行为之和。
具体地,所述云平台4、本地计算机6和沙箱8分别记录了所述网络数据包运行过程中的操作行为。当所述网络安全设备2判断出所述网络数据包存在安全攻击时,从所述云平台4、本地计算机6和沙箱8分别获取所述网络数据包对应的操作行为(或者从之前反馈的所述运行结果中直接获取),得到三个设备的操作行为之和。
值得注意的是,当所述网络数据包为一个文件时,所述网络安全设备2需要获取该文件对应的异常操作行为(包括该文件在所述三个设备中执行时存在不一致的操作行为),以及该文件的文件名、文件哈希值、DM5值等文件信息。
S312,将所述操作行为之和记录至安全情报库中。
具体地,当所述网络数据包存在安全攻击时,所述网络安全设备2将所获取的所述操作行为之和添加到所述安全情报库中,以便后续根据所述安全情报库中的记录直接对网络异常操作行为进行拦截。
值得注意的是,当所述网络数据包为一个文件时,所述网络安全设备2将该文件对应的异常操作行为和文件名、文件哈希值、DM5值等文件信息记录至所述安全情报库中。若是所述云平台4、本地计算机6和沙箱8记录的该文件执行过程中的所有操作行为存在不一致时,也将该文件在所述三个设备中执行时存在不一致的操作行为认为是一种异常操作行为,记录至所述安全情报库中。
本实施例提出的网络异常检测方法,可以将需要发送至本地计算机6的网络数据包进行复制,然后分别发送至云平台4、本地计算机6和沙箱8,通过对云平台4、本地计算机6、沙箱8三种设备中的运行结果进行对比,判断所述网络数据包是否存在安全攻击,从而对所述网络数据包进行拦截或者正常发送。并且,还可以获取黑客攻击方案,更新安全情报库,为后续进行更快速的安全检测提供依据。
实施例三
如图4所示,本发明第二实施例提出一种网络异常检测方法。在第三实施例中,所述网络异常检测方法的步骤S400-S412与第一实施例的步骤S300-S312相类似,区别在于该方法还包括步骤S414。
该方法包括以下步骤:
S400,获取要发送至本地计算机6的网络数据包。
具体地,当网络安全设备2向本地计算机6发送网络数据包时,为了判断所述网络数据包中是否存在安全攻击,需要先进行检测。因此,所述网络安全设备2首先获取所述网络数据包。
S402,将所述网络数据包复制为N份。
具体地,当获取到所述需要发送至本地计算机6的网络数据包后,对所述网络数据包进行复制。在本实施例中,所述N为3,即所述网络安全设备2将所述网络数据包复制为三份,用于分别发送至云平台4、本地计算机6和沙箱8。
S404,将复制后的N份所述网络数据包分别发送至N个预设设备。
在本实施例中,所述N个预设设备为云平台4、本地计算机6和沙箱8三个设备。在复制之后,所述网络安全设备2将三份所述网络数据包分别发送至云平台4、本地计算机6和沙箱8,以使所述云平台4、本地计算机6和沙箱8分别运行所述网络数据包。
S406,接收所述N个预设设备对所述网络数据包的运行结果。
具体地,所述云平台4、本地计算机6和沙箱8分别根据收到的所述网络数据包进行操作,然后记录对所述网络数据包的运行结果,并反馈至所述网络安全设备2。所述网络安全设备2分别接收所述云平台4、本地计算机6和沙箱8反馈的运行结果。
值得注意的是,当所述网络数据包为一个文件时,所述云平台4、本地计算机6和沙箱8分别执行该文件,判断该文件执行过程中是否存在异常操作行为。其中,所述异常操作行为包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限等。只要有一种设备发现该文件有异常操作行为,则判定该文件存在问题,需要把该文件作为一个黑客攻击的数据进行拦截。另外,所述云平台4、本地计算机6和沙箱8还需要记录该文件执行过程中的所有操作行为和文件名、文件哈希值、DM5值等文件信息。
S408,通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击。
具体地,以本地计算机6的运行结果为基准,如果所述云平台4、本地计算机6和沙箱8的运行结果不一致,则判断存在安全攻击,对所述网络数据包进行拦截。
值得注意的是,当所述网络数据包为一个文件时,所述运行结果包括该文件是否存在异常操作行为以及该文件执行过程中的所有操作行为。若所述云平台4、本地计算机6和沙箱8中任意一个设备发现该文件存在异常操作行为,则判断该文件存在安全攻击,需要进拦截。或者,若所述三个设备记录的该文件执行过程中的所有操作行为存在不一致时,也判断为该文件存在安全攻击。
S410,当所述网络数据包存在安全攻击时,获取所述N个预设设备中所述网络数据包的操作行为之和。
具体地,所述云平台4、本地计算机6和沙箱8分别记录了所述网络数据包运行过程中的操作行为。当所述网络安全设备2判断出所述网络数据包存在安全攻击时,从所述云平台4、本地计算机6和沙箱8分别获取所述网络数据包对应的操作行为(或者从之前反馈的所述运行结果中直接获取),得到三个设备的操作行为之和。
值得注意的是,当所述网络数据包为一个文件时,所述网络安全设备2需要获取该文件对应的异常操作行为(包括该文件在所述三个设备中执行时存在不一致的操作行为),以及该文件的文件名、文件哈希值、DM5值等文件信息。
S412,将所述操作行为之和记录至安全情报库中。
具体地,当所述网络数据包存在安全攻击时,所述网络安全设备2将所获取的所述操作行为之和添加到所述安全情报库中,以便后续根据所述安全情报库中的记录直接对网络异常操作行为进行拦截。
值得注意的是,当所述网络数据包为一个文件时,所述网络安全设备2将该文件对应的异常操作行为和文件名、文件哈希值、DM5值等文件信息记录至所述安全情报库中。若是所述云平台4、本地计算机6和沙箱8记录的该文件执行过程中的所有操作行为存在不一致时,也将该文件在所述三个设备中执行时存在不一致的操作行为认为是一种异常操作行为,记录至所述安全情报库中。
S414,将所述安全情报库共享至其他网络安全设备。
具体地,所述网络安全设备2更新所述安全情报库之后,可以实时或者定时将更新后的所述安全情报库通过网络共享至其他的网络安全设备,以便其他网络安全设备也能根据所述安全情报库中的记录直接对相应的网络异常操作行为进行快速拦截,从而使这些网络安全设备都更加快速有效地进行安全检测。
本发明进一步提供一种网络安全设备,所述网络安全设备包括存储器、处理器和网络异常检测系统,用于将网络数据包发送至本地计算机,并对所述网络数据包进行网络异常操作行为的检测和相应处理。
实施例四
如图5所示,本发明第四实施例提出一种网络安全设备2。所述网络安全设备2包括存储器20、处理器22和网络异常检测系统28。
其中,所述存储器20至少包括一种类型的可读存储介质,用于存储安装于所述网络安全设备2的操作系统和各类应用软件,例如网络异常检测系统28的程序代码等。此外,所述存储器20还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制所述网络安全设备2的总体操作。本实施例中,所述处理器22用于运行所述存储器20中存储的程序代码或者处理数据,例如运行所述网络异常检测系统28等。
实施例五
如图6所示,本发明第五实施例提出一种网络异常检测系统28。在本实施例中,所述网络异常检测系统28包括:
获取模块800,用于获取要发送至本地计算机6的网络数据包。
具体地,当网络安全设备2向本地计算机6发送网络数据包时,为了判断所述网络数据包中是否存在安全攻击,需要先进行检测。因此,所述获取模块800首先获取所述网络数据包。
复制模块802,用于将所述网络数据包复制为N份。
具体地,当获取到所述需要发送至本地计算机6的网络数据包后,所述复制模块802对所述网络数据包进行复制。在本实施例中,所述N为3,即所述复制模块802将所述网络数据包复制为三份,用于分别发送至云平台4、本地计算机6和沙箱8。
发送模块804,用于将复制后的N份所述网络数据包分别发送至N个预设设备。
在本实施例中,所述N个预设设备为云平台4、本地计算机6和沙箱8三个设备。在复制之后,所述发送模块804将三份所述网络数据包分别发送至云平台4、本地计算机6和沙箱8,以使所述云平台4、本地计算机6和沙箱8分别运行所述网络数据包。
接收模块806,用于接收所述N个预设设备对所述网络数据包的运行结果。
具体地,所述云平台4、本地计算机6和沙箱8分别根据收到的所述网络数据包进行操作,然后记录对所述网络数据包的运行结果,并反馈至所述网络安全设备2。所述接收模块806分别接收所述云平台4、本地计算机6和沙箱8反馈的运行结果。
值得注意的是,当所述网络数据包为一个文件时,所述云平台4、本地计算机6和沙箱8分别执行该文件,判断该文件执行过程中是否存在异常操作行为。其中,所述异常操作行为包括:修改注册表、删除文件、获取用户账号及密码、获取用户权限、修改系统权限等。只要有一种设备发现该文件有异常操作行为,则判定该文件存在问题,需要把该文件作为一个黑客攻击的数据进行拦截。另外,所述云平台4、本地计算机6和沙箱8还需要记录该文件执行过程中的所有操作行为和文件名、文件哈希值、DM5值等文件信息。
判断模块808,用于通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击。
具体地,所述判断模块808以本地计算机6的运行结果为基准,如果所述云平台4、本地计算机6和沙箱8的运行结果不一致,则判断存在安全攻击,对所述网络数据包进行拦截。
值得注意的是,当所述网络数据包为一个文件时,所述运行结果包括该文件是否存在异常操作行为以及该文件执行过程中的所有操作行为。若所述云平台4、本地计算机6和沙箱8中任意一个设备发现该文件存在异常操作行为,则判断该文件存在安全攻击,需要进拦截。或者,若所述三个设备记录的该文件执行过程中的所有操作行为存在不一致时,也判断为该文件存在安全攻击。
实施例六
如图7所示,本发明第六实施例提出一种网络异常检测系统28。在本实施例中,所述网络异常检测系统28除了包括第五实施例中的所述获取模块800、复制模块802、发送模块804、接收模块806、判断模块808之外,还包括记录模块810。
所述获取模块800,还用于当所述网络数据包存在安全攻击时,获取所述N个预设设备中所述网络数据包的操作行为之和。
具体地,所述云平台4、本地计算机6和沙箱8分别记录了所述网络数据包运行过程中的操作行为。当所述判断模块808判断出所述网络数据包存在安全攻击时,所述获取模块800从所述云平台4、本地计算机6和沙箱8分别获取所述网络数据包对应的操作行为(或者从之前反馈的所述运行结果中直接获取),得到三个设备的操作行为之和。
值得注意的是,当所述网络数据包为一个文件时,所述所述获取模块800需要获取该文件对应的异常操作行为(包括该文件在所述三个设备中执行时存在不一致的操作行为),以及该文件的文件名、文件哈希值、DM5值等文件信息。
所述记录模块810,用于将所述操作行为之和记录至安全情报库中。
具体地,当所述网络数据包存在安全攻击时,所述记录模块810将所获取的所述操作行为之和添加到所述安全情报库中,以便后续根据所述安全情报库中的记录直接对网络异常操作行为进行拦截。
值得注意的是,当所述网络数据包为一个文件时,所述记录模块810将该文件对应的异常操作行为和文件名、文件哈希值、DM5值等文件信息记录至所述安全情报库中。若是所述云平台4、本地计算机6和沙箱8记录的该文件执行过程中的所有操作行为存在不一致时,也将该文件在所述三个设备中执行时存在不一致的操作行为认为是一种异常操作行为,记录至所述安全情报库中。
实施例七
如图8所示,本发明第七实施例提出一种网络异常检测系统28。在本实施例中,所述网络异常检测系统28除了包括第六实施例中的所述获取模块800、复制模块802、发送模块804、接收模块806、判断模块808、记录模块810之外,还包括共享模块812。
所述共享模块812,用于将所述安全情报库共享至其他网络安全设备。
具体地,所述记录模块810更新所述安全情报库之后,所述共享模块812可以实时或者定时将更新后的所述安全情报库通过网络共享至其他的网络安全设备,以便其他网络安全设备也能根据所述安全情报库中的记录直接对相应的网络异常操作行为进行快速拦截,从而使这些网络安全设备都更加快速有效地进行安全检测。
实施例八
本发明还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有网络异常检测程序,所述网络异常检测程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的网络异常检测方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,网络安全设备,空调器,或者网络安全设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种网络异常检测方法,其特征在于,该方法包括步骤:
获取要发送至本地计算机的网络数据包;
将所述网络数据包复制为N份;
将复制后的N份所述网络数据包分别发送至N个预设设备;
接收所述N个预设设备对所述网络数据包的运行结果;及
通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击。
2.根据权利要求1所述的网络异常检测方法,其特征在于,所述N为3,所述N个预设设备为云平台、所述本地计算机和沙箱三个设备。
3.根据权利要求1或2所述的网络异常检测方法,其特征在于,该方法还包括步骤:
当所述网络数据包存在安全攻击时,获取所述N个预设设备中所述网络数据包的操作行为之和;
将所述操作行为之和记录至安全情报库中。
4.根据权利要求3所述的网络异常检测方法,其特征在于,该方法还包括步骤:
将所述安全情报库共享至其他网络安全设备。
5.根据权利要求2所述的网络异常检测方法,其特征在于,所述通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击的步骤包括:
以所述本地计算机的运行结果为基准,如果所述云平台、本地计算机和沙箱的运行结果不一致,则判断存在安全攻击,对所述网络数据包进行拦截。
6.根据权利要求5所述的网络异常检测方法,其特征在于,所述通过对比所述N个预设设备的运行结果,判断所述网络数据包是否存在安全攻击的步骤还包括:
当所述网络数据包为一个文件时,所述运行结果包括该文件是否存在异常操作行为以及该文件执行过程中的所有操作行为;
若所述云平台、本地计算机和沙箱中任意一个设备发现该文件存在异常操作行为,或所述三个设备记录的该文件执行过程中的所有操作行为存在不一致时,则判断该文件存在安全攻击,需要进拦截。
7.根据权利要求6所述的网络异常检测方法,其特征在于,所述当所述网络数据包存在安全攻击时,获取所述N个预设设备中所述网络数据包的操作行为之和的步骤还包括:
当所述网络数据包为一个文件时,获取该文件对应的异常操作行为以及文件名、文件哈希值、DM5值信息,其中所述异常操作行为包括该文件在所述三个设备中执行时存在不一致的操作行为。
8.根据权利要求7所述的网络异常检测方法,其特征在于,所述将所述操作行为之和记录至安全情报库中的步骤还包括:
当所述网络数据包为一个文件时,将该文件对应的异常操作行为和文件名、文件哈希值、DM5值信息记录至所述安全情报库中。
9.一种网络安全设备,其特征在于,所述网络安全设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络异常检测程序,所述网络异常检测程序被所述处理器执行时实现如权利要求1至8中任一项所述的网络异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络异常检测程序,所述网络异常检测程序被处理器执行时实现如权利要求1至8中任一项所述的网络异常检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711433608.3A CN108337232A (zh) | 2017-12-26 | 2017-12-26 | 网络异常检测方法、网络安全设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711433608.3A CN108337232A (zh) | 2017-12-26 | 2017-12-26 | 网络异常检测方法、网络安全设备及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108337232A true CN108337232A (zh) | 2018-07-27 |
Family
ID=62923698
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711433608.3A Pending CN108337232A (zh) | 2017-12-26 | 2017-12-26 | 网络异常检测方法、网络安全设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108337232A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112242990A (zh) * | 2019-07-17 | 2021-01-19 | 卡巴斯基实验室股份制公司 | 检测技术系统中的异常的系统和方法 |
CN113347184A (zh) * | 2021-06-01 | 2021-09-03 | 国家计算机网络与信息安全管理中心 | 网络流量安全检测引擎的测试方法、装置、设备及介质 |
CN115296827A (zh) * | 2022-01-24 | 2022-11-04 | 榆林学院 | 一种保护计算机网络安全的方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103259806A (zh) * | 2012-02-15 | 2013-08-21 | 深圳市证通电子股份有限公司 | Android智能终端应用程序安全检测的方法及系统 |
CN104104679A (zh) * | 2014-07-18 | 2014-10-15 | 四川中亚联邦科技有限公司 | 一种基于私有云的数据处理方法 |
CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
CN106850272A (zh) * | 2016-12-30 | 2017-06-13 | 上海帝联信息科技股份有限公司 | 中央服务器、业务服务器及其异常检测方法和系统 |
US20170302689A1 (en) * | 2015-02-15 | 2017-10-19 | Huawei Technologies Co., Ltd. | Network Security Protection Method and Apparatus |
CN107403094A (zh) * | 2016-05-20 | 2017-11-28 | 卡巴斯基实验室股份制公司 | 在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法 |
-
2017
- 2017-12-26 CN CN201711433608.3A patent/CN108337232A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103259806A (zh) * | 2012-02-15 | 2013-08-21 | 深圳市证通电子股份有限公司 | Android智能终端应用程序安全检测的方法及系统 |
CN104104679A (zh) * | 2014-07-18 | 2014-10-15 | 四川中亚联邦科技有限公司 | 一种基于私有云的数据处理方法 |
CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
US20170302689A1 (en) * | 2015-02-15 | 2017-10-19 | Huawei Technologies Co., Ltd. | Network Security Protection Method and Apparatus |
CN107403094A (zh) * | 2016-05-20 | 2017-11-28 | 卡巴斯基实验室股份制公司 | 在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法 |
CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
CN106850272A (zh) * | 2016-12-30 | 2017-06-13 | 上海帝联信息科技股份有限公司 | 中央服务器、业务服务器及其异常检测方法和系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112242990A (zh) * | 2019-07-17 | 2021-01-19 | 卡巴斯基实验室股份制公司 | 检测技术系统中的异常的系统和方法 |
CN113347184A (zh) * | 2021-06-01 | 2021-09-03 | 国家计算机网络与信息安全管理中心 | 网络流量安全检测引擎的测试方法、装置、设备及介质 |
CN115296827A (zh) * | 2022-01-24 | 2022-11-04 | 榆林学院 | 一种保护计算机网络安全的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11303661B2 (en) | System and method for detection and prevention of attacks on in-vehicle networks | |
US10033814B2 (en) | Vehicle security network device and design method therefor | |
US20170324777A1 (en) | Injecting supplemental data into data queries at network end-points | |
CN109766700A (zh) | 访问文件的控制方法及装置、存储介质、电子装置 | |
CN111200575B (zh) | 一种基于机器学习的信息系统恶意行为的识别方法 | |
US10073980B1 (en) | System for assuring security of sensitive data on a host | |
US9338012B1 (en) | Systems and methods for identifying code signing certificate misuse | |
CN108306857A (zh) | 异常操作拦截方法、网络安全设备及计算机可读存储介质 | |
US11977962B2 (en) | Immutable watermarking for authenticating and verifying AI-generated output | |
CN108337232A (zh) | 网络异常检测方法、网络安全设备及计算机可读存储介质 | |
Mahboubi et al. | A study on formal methods to generalize heterogeneous mobile malware propagation and their impacts | |
CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
Hussaini et al. | A taxonomy of security and defense mechanisms in digital twins-based cyber-physical systems | |
Di et al. | A hardware threat modeling concept for trustable integrated circuits | |
CN111314370B (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
US11438359B2 (en) | Increasing edge data confidence via trusted ethical hacking | |
CN107770183A (zh) | 一种数据传输方法与装置 | |
CN105653932A (zh) | 软件升级验证的方法和装置 | |
CN113032787B (zh) | 一种系统漏洞检测方法及装置 | |
Vuong et al. | Advanced methods for botnet intrusion detection systems | |
Garip et al. | Riot: A rapid exploit delivery mechanism against iot devices using vehicular botnets | |
KR20220073657A (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
CN114268481A (zh) | 内网终端违规外联信息处理方法、装置、设备和介质 | |
CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 | |
Zhao | [Retracted] Naive Bayes Algorithm Mining Mobile Phone Trojan Crime Clues |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180727 |
|
RJ01 | Rejection of invention patent application after publication |