CN108959923A - 综合安全感知方法、装置、计算机设备和存储介质 - Google Patents
综合安全感知方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN108959923A CN108959923A CN201810549177.5A CN201810549177A CN108959923A CN 108959923 A CN108959923 A CN 108959923A CN 201810549177 A CN201810549177 A CN 201810549177A CN 108959923 A CN108959923 A CN 108959923A
- Authority
- CN
- China
- Prior art keywords
- attack
- detected
- parameter
- request
- high permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Abstract
本发明涉及综合安全感知方法、装置、计算机设备和存储介质,所述方法包括:检测日志,获取攻击行为相对应的攻击特征和请求源标志;底层监控,利用HOOK技术监控高权限函数;攻击结果同步和展示,步骤S1或者步骤S2发生异常后,采用循环查询的方法确定攻击行为时,将查询结果进行展示。有益技术效果:加强对部分高权限、高危函数的监控,减少监测总量、降低性能损耗;在后端应用中打包发布至服务器中,减少使用额外网元部署;通过监控底层函数以遏制住应用层控制资源层的必经通路,致使漏洞无法被绕过,提高检出率;在请求核心资源时进行检测,并在请求日志中对检测结果加以确认,进一步降低误报率。
Description
技术领域
本发明涉及计算机通信领域,特别是涉及综合安全感知方法、系统、计算机设备和存储介质。
背景技术
系统安全是指在系统生命周期内使用系统安全管理方法辨识系统中的隐患并采取有效的控制措施的安全技术,以便及时遏制威胁,从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。随着互联网的兴起,WEB应用也渐趋丰富,其服务器随之成为主要被攻击对象,类似于SQL注入、网页篡改、网页挂马等安全事件频繁发生。因此,如何保障系统安全也就成为亟待解决的问题。
目前,市场上现有的安全检测系统大致包括两类,一类是WAF产品、IDS/IPS产品,这类产品多基于HTTP请求的静态规则的匹配检测措施,另一类是SOC产品,其通过对日志分析后进行安全问题的对策。这两类安全检测系统虽在一定程度上能够检测到系统中存在的威胁,但是仍存在如下弊端:
1、WAF产品、IDS/IPS产品:需对所有HTTP/HTTPS请求进行匹配,检测规则的设置较为宽松,为提高适用范围而导致匹配数量大,从而带来系统性能损耗较高的问题;同样由于检测规则的设置问题导致不能针对性的对某个漏洞或者威胁进行专门的检测,从而导致检测盲区的存在,这类检测机制容易被绕过,从而造成防火墙的漏报;这类产品作为单独的网络元件部署时,其部署成本较高;
2、SOC产品:仅针对日志进行分析后对策,不能及时检知实时发生的威胁和安全问题,检测结果滞后,效率不足,另外,由于日志可被删除,造成存在漏检风险;
3、安全系统作为被攻击对象,其应用层的漏洞往往成为攻击者攻击系统底层的切入口,而现有的安全检测系统往往缺少对安全系统中的应用层的漏洞检测。
因此,根据上述情况,急需一种综合安全感知方法、系统、计算机设备和存储介质,以解决上述问题。
发明内容
基于此,有必要针对在进行安全检测时,现有检测规则设置不具有针对性的对某个漏洞或者威胁进行专门的检测,从而导致检测盲区的存在,同时也存在不能及时检知实时发生的威胁和安全问题,检测结果滞后,效率不足等一系列问题,提供综合安全感知方法、系统、计算机设备和存储介质。
一种综合安全感知方法,所述综合安全感知方法,具体步骤如下:
S1:检测日志,获取攻击行为相对应的攻击特征和请求源标志;
S2:底层监控,利用HOOK技术监控高权限函数;
S3:攻击结果同步和展示,步骤S1或者步骤S2发生异常后,采用循环查询的方法确定攻击行为时,将查询结果进行展示。
在一个实施例中,所述步骤S1包括:
S101:选定一需要进行安全检测的业务系统,在所述业务系统上设置输入界面,通过所述输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将存储至缓存区内的日志中所包含的请求解析成网络请求;
S102:根据解析成的网络请求,按照第一特定规则识别所述网络请求中的请求参数和请求源标志,获取请求参数和请求源标志;
S103:根据获取的请求参数,按照第二特定规则进行拼接,生成待检测参数,并将所述待检测参数放置存储器内进行存储;
S104:在所述业务系统中存储有攻击特征表,所述攻击特征表表内存有攻击特征,将所述待检测参数与所述攻击特征表中的攻击特征按照第三特定规则进行匹配,以检测出所述请求参数中是否存在攻击行为;
S105:如果匹配命中,则表示所述待检测参数中包含有攻击行为相对应的攻击特征,并记录该攻击特征和请求源标志,如果匹配没有命中,则表示所述待检测参数中没有攻击行为相对应的攻击特征,所述记录数据请求的日志是安全日志,跳过该日志,继续检测下一个日志。
在一个实施例中,所述步骤S2包括:
S201:在所述业务系统所在的操作系统底层选定用于监控的区域;
S202:根据选定的监控区域,对所述监控区域内的待检测高权限函数的执行进程进行监控,当所述待检测高权限函数被调用或发生变化时,利用Hook技术拦截所述待检测高权限函数执行中的参数;
S203:分析所述待检测高权限函数中的参数中的特征项目来判断所述待检测高权限函数的执行行为的合法性;若所述待检测高权限函数的执行行为合法,则放行让所述待检测高权限函数继续执行;若所述待检测高权限函数的执行行为非法,则利用Hook技术拦截所述待检测高权限函数的调用请求并抛出异常信息。
在一个实施例中,所述步骤S3包括:
S301:在所述业务系统的前端界面设置循环查询界面,将在S1或S2中发现的攻击行为或高权限函数的异常结果再次对应的分别放置于S2或S1中按照一定的查询标准进行查询,获取确定的攻击行为;
S302:根据确定的攻击行为,按照一定的展示方式展示在所述业务系统的网页界面上。
基于相同的技术构思,本发明还提供一种综合安全感知系统,所述综合安全感知系统包括检测单元、底层监控单元和循环查询单元;
所述检测单元,用于检测日志,获取攻击行为相对应的攻击特征和请求源标志;
所述底层监控单元,用于底层监控,利用HOOK技术监控高权限函数;
所述循环查询单元,用于攻击结果同步和展示,所述检测单元或者所述底层监控单元发生异常后,采用循环查询的方法确定攻击行为时,将查询结果进行展示。
在一个实施例中,所述检测单元包括解析模块、识别模块、拼接模块、分析模块和记录模块;
所述解析模块,用于选定一需要进行安全检测的业务系统,在所述业务系统上设置输入界面,通过所述输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将存储至缓存区内的日志中所包含的请求解析成网络请求;
所述识别模块,用于根据解析成的网络请求,按照第一特定规则识别所述网络请求中的请求参数和请求源标志,获取请求参数和请求源标志;
所述拼接模块,用于根据获取的请求参数,按照第二特定规则进行拼接,生成待检测参数,并将所述待检测参数放置存储器内进行存储;
所述分析模块,用于在所述业务系统中存储有攻击特征表,所述攻击特征表表内存有攻击特征,将所述待检测参数与所述攻击特征表中的攻击特征按照第三特定规则进行匹配,以检测出所述请求参数中是否存在攻击行为;
所述记录模块,用于如果匹配命中,则表示所述待检测参数中包含有攻击行为相对应的攻击特征,并记录该攻击特征和请求源标志,如果匹配没有命中,则表示所述待检测参数中没有攻击行为相对应的攻击特征,所述记录数据请求的日志是安全日志,跳过该日志,继续检测下一个日志。
在一个实施例中,所述底层监控单元包括选取模块、监控模块和分析模块;
所述选取模块,用于在所述业务系统所在的操作系统底层选定用于监控的区域;
所述监控模块,用于根据选定的监控区域,对所述监控区域内的待检测高权限函数的执行进程进行监控,当所述待检测高权限函数被调用或发生变化时,利用Hook技术拦截所述待检测高权限函数执行中的参数;
所述分析模块,用于分析所述待检测高权限函数中的参数中的特征项目来判断所述待检测高权限函数的执行行为的合法性;若所述待检测高权限函数的执行行为合法,则放行让所述待检测高权限函数继续执行;若所述待检测高权限函数的执行行为非法,则利用Hook技术拦截所述待检测高权限函数的调用请求并抛出异常信息。
在一个实施例中,所述循环查询单元包括结果同步模块单元和结果展示模块;
所述结果同步模块,用于在所述业务系统的前端界面设置循环查询界面,将在所述检测单元或所述底层监控单元中发现的攻击行为或高权限函数的异常结果再次对应的分别放置于所述底层监控单元或所述检测单元中按照一定的查询标准进行查询,获取确定的攻击行为;
所述结果展示模块,用于根据确定的攻击行为,按照一定的展示方式展示在所述业务系统的网页界面上。
基于相同的技术构思,本发明还提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行上述综合安全感知方法的步骤。
基于相同的技术构思,本发明还提供一种计算机可读指令存储介质,所述计算机可读指令存储介质上存储有计算机可读指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行如上述综合安全感知方法的步骤。
上述综合安全感知方法、系统、计算机设备和存储介质,通过在业务系统上设置输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将日志中包含的请求解析成网络请求,按照第一特定规则识别请求参数和请求源标志,根据第二特定规则,将请求参数拼接成待检测参数;根据第三请求规则进行匹配以检验待检测参数中是否包含攻击行为的攻击特征;通过选定监控区域,对监控区域内的待检测参数的执行过程进行监控,以确定待检测高权限函数是否被调用以及是否发生变化,判断待检测高权限函数的执行行为是否合法,并利用hook技术进行拦截;将发现的攻击行为或高权限函数的异步结果再次对应分别放置对应步骤中进行查询,获取确定的攻击行为,并将其展示在所述业务系统的网页界面上。与现有技术相比,本技术方案的有益技术效果在于,加强对部分高权限、高危函数的监控,减少监测总量、降低性能损耗;在后端应用中打包发布至服务器中,减少使用额外网元部署;通过监控底层函数以遏制住应用层控制资源层的必经通路,致使漏洞无法被绕过,提高检出率;在请求核心资源时进行检测,并在请求日志中对检测结果加以确认,进一步降低误报率。
附图说明
图1为本发明一个实施例中一种综合安全感知方法的流程图;
图2为本发明一个实施例中检测日志的流程图;
图3为本发明一个实施例中底层监控的流程图;
图4为本发明一个实施例中循环查询的流程图;
图5本本发明一个实施例中一种综合安全感知系统的示意图;
图6为本发明一个实施例中检测单元的示意图;
图7为本发明一个实施例中底层监控单元的示意图;
图8为本发明一个实施例中循环查询单元的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明实施例提供一种综合安全感方法,所述综合安全感知方法,可以包括如下步骤:
步骤S1:检测日志,获取攻击行为相对应的攻击特征和请求源标志;通过在业务系统上设置输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将日志中包含的请求解析成网络请求,按照第一特定规则识别请求参数和请求源标志,根据第二特定规则,将请求参数拼接成待检测参数,根据第三请求规则进行匹配以检验待检测参数中是否包含攻击行为的攻击特征;
步骤S2:底层监控,利用HOOK技术监控高权限函数;通过选定监控区域,对监控区域内的待检测参数的执行过程进行监控,以确定待检测高权限函数是否被调用以及是否发生变化,判断待检测高权限函数的执行行为是否合法,并利用hook技术进行拦截;
步骤S3:攻击结果同步和展示,步骤S1或者步骤S2发生异常后,采用循环查询的方法确定攻击行为时,将查询结果进行展示;将发现的攻击行为或高权限函数的异步结果再次对应分别放置对应步骤中进行查询,获取确定的攻击行为,并将其展示在所述业务系统的网页界面上。
图2为本发明一个实施例中一种检测日志的流程图,如图2所示,通过在业务系统上设置输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将日志中包含的请求解析成网络请求,按照第一特定规则识别请求参数和请求源标志,根据第二特定规则,将请求参数拼接成待检测参数;根据第三请求规则进行匹配以检验待检测参数中是否包含攻击行为的攻击特征;
步骤S101:解析并获取网络请求,具体为:选定一需要进行安全检测的业务系统,在所述业务系统上设置输入界面,通过所述输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将存储至缓存区内的日志中所包含的请求解析成网络请求;所述输入界面的导入方式包括文件导入、文字输入的方式。因日志数量多,故选用文件导入的方式完成日志导入工作;所述缓存区选用存储器,包括NAS存储器、DAS存储器,SAN存储器中的任一种;举例来说,所述业务系统上利用输入界面输入记录有数据请求的日志,根据日志中所包含的请求,比如根据日志中的一个请求,即WWW.guest.edu.cn,在输入浏览器之后,浏览器将会自动将其解析成网络请求,即http://www.guest.edu.cn/。
步骤S102:识别请求参数和请求源标志,具体为:根据解析成的网络请求,按照第一特定规则识别所述网络请求中的请求参数和请求源标志,获取请求参数和请求源标志;举例来说,根据获取的网络请求http://www.guest.edu.cn/,获取请求参数,所述请求参数包括accept、accept-charest、accept-enconding、authorization等,所述请求源标志即GET或者POSE。
步骤S103:拼接生成待检测参数,具体为:根据获取的请求参数,按照第二特定规则进行拼接,生成待检测参数,并将所述待检测参数放置存储器内进行存储;所述待检测参数由多个请求参数拼接完成的,举例来说,当选定请求参数为accept、accept-charest、authorization这三个时,则由这三个请求参数拼接出对应的待检测参数。
步骤S104:匹配攻击特征,具体为:在所述业务系统中存储有攻击特征表,所述攻击特征表表内存有攻击特征,将所述待检测参数与所述攻击特征表中的攻击特征按照第三特定规则进行匹配,以检测出所述请求参数中是否存在攻击行为;所述第三特定规则采用正规匹配规则;所述攻击特征包含有对IP、ICMP、TCP、UDP四种常用的网络协议的分析,从IP、ICMP、TCP和UDP数据包的包头中得到能表征攻击特征的不同字段。例如,从IP包头中提取4个字段的值:源IP地址、目的IP地址、协议类型、时间戳等,所以根据待检测参数与所述攻击特征按照正则匹配规则进行匹配,即可确定所述待检测参数中是否含有攻击行为的攻击特征;
步骤S105:记录攻击特征和请求源标志,具体为:如果匹配命中,则表示所述待检测参数中包含有攻击行为相对应的攻击特征,并记录该攻击特征和请求源标志,如果匹配没有命中,则表示所述待检测参数中没有攻击行为相对应的攻击特征,所述记录数据请求的日志是安全日志,跳过该日志,继续检测下一个日志;举例来说,根据待检测参数与所述攻击特征按照正则匹配规则进行匹配,确定所述待检测参数中含有攻击行为的攻击特征,则记录所述攻击特征和请求源标志。
图3为本发明一个实施例中底层监控的流程图,如图3所示,通过选定监控区域,对监控区域内的待检测参数的执行过程进行监控,以确定待检测高权限函数是否被调用以及是否发生变化,判断待检测高权限函数的执行行为是否合法,并利用hook技术进行拦截;
步骤S201:选定监控区域,具体为:在所述业务系统所在的操作系统底层选定用于监控的区域;所述操作系统包括Window系统、Linux系统、Android系统和ios系统中的任一种;本实施例中,选定在Window系统的操作系统底层,划定用于监控的区域即可。
步骤S202:监控待检测高权限函数,具体为:根据选定的监控区域,对所述监控区域内的待检测高权限函数的执行进程进行监控,当所述待检测高权限函数被调用或发生变化时,利用Hook技术拦截所述待检测高权限函数执行中的参数;本实施例中,选定待检测高权限函数是Java底层的高权限函数,包括数据库连接函数、执行操作系统命令函数、网络请求函数等。举例来说,在监控Java底层的高权限函数,即监控数据库连接函数、执行操作系统命令函数和网络请求函数等,当监控发现到存在大量的异常行为,比如创建操作系统账号、提权等,当发现存在这些异常行为时,则调用hook技术进行拦截。
步骤S203:判断待检测高权限函数执行行为的合法性,具体为:分析所述待检测高权限函数中的参数中的特征项目来判断所述待检测高权限函数的执行行为的合法性;若所述待检测高权限函数的执行行为合法,则放行让所述待检测高权限函数继续执行;若所述待检测高权限函数的执行行为非法,则利用Hook技术拦截所述待检测高权限函数的调用请求并抛出异常信息。所述项目特征包括访问系统级目录文件、提权操作、创建系统级账号等,其监控时获取的参数中的项目特征包括超过限定数量的查询请求、查询information_schema;当对Java底层进行监控时,发现所述高权限函数中存在有这些特征项目时,即可认定为所述待检测高权限函数的执行行为非法,立即利用hook技术拦截所述待检测高权限函数的执行并抛出异常信息。
图4为本发明一个实施例中循环查询的流程图,如图4所示,将发现的攻击行为或高权限函数的异步结果再次对应分别放置对应步骤中进行查询,获取确定的攻击行为,并将其展示在所述业务系统的网页界面上;
步骤S301:循环查询,确定攻击行为,具体为:在所述业务系统的前端界面设置循环查询界面,将在S1或S2中发现的攻击行为或高权限函数的异常结果再次对应的分别放置于S2或S1中按照一定的查询标准进行查询,获取确定的攻击行为;所述查询标准包括高权限函数是否出现,是否收到外部攻击和收到攻击的高权限函数是否来源于网络请求中。当利用S1发现所述业务系统中存在有攻击行为,则进一步利用所述底层监控,监控底层待检测高权限函数中是否存在有非法的执行行为,以此确定所述请求进入应用层的行为是否合法。反之,当在底层对待检测高权限函数进行监控时,发现所述待检测高权限函数的执行行为是非法行为,则进入S1中,进一步确定是否含有攻击行为,循环利用S1和S2,以实现攻击结果同步,能够确保待检测行为的合法性。
步骤S302:展示攻击行为,具体为:根据确定的攻击行为,按照一定的展示方式展示在所述业务系统的网页界面上;所述展示方式包括以图文形式展示攻击源和攻击行为特征和以文字形式展示攻击源和攻击行为特征。优选,当发现有攻击行为时,以图文形式展示攻击源和攻击行为特征,并调用所述业务系统所在设备中设置的声光设备进行预警。
基于相同的技术构思,本发明还提供一种综合安全感知系统,如图5所示,所述综合安全感知系统包括检测单元、底层监控单元和循环查询单元;
所述检测单元,用于检测日志,获取攻击行为相对应的攻击特征和请求源标志;通过在业务系统上设置输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将日志中包含的请求解析成网络请求,按照第一特定规则识别请求参数和请求源标志,根据第二特定规则,将请求参数拼接成待检测参数;根据第三请求规则进行匹配以检验待检测参数中是否包含攻击行为的攻击特征;
所述底层监控单元,用于底层监控,利用HOOK技术监控高权限函数;通过选定监控区域,对监控区域内的待检测参数的执行过程进行监控,以确定待检测高权限函数是否被调用以及是否发生变化,判断待检测高权限函数的执行行为是否合法,并利用hook技术进行拦截;
所述循环查询单元,用于攻击结果同步和展示,所述检测单元或者所述底层监控单元发生异常后,采用循环查询的方法确定攻击行为时,将查询结果进行展示;将发现的攻击行为或高权限函数的异步结果再次对应分别放置对应步骤中进行查询,获取确定的攻击行为,并将其展示在所述业务系统的网页界面上。
图6为本发明一个实施例中检测单元的示意图,如图6所示,所述检测单元包括解析模块、识别模块、拼接模块、分析模块和记录模块;
所述解析模块,用于选定一需要进行安全检测的业务系统,在所述业务系统上设置输入界面,通过所述输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将存储至缓存区内的日志中所包含的请求解析成网络请求;所述输入界面的导入方式包括文件导入、文字输入的方式。因日志数量多,故选用文件导入的方式完成日志导入工作;所述缓存区选用存储器,包括NAS存储器、DAS存储器,SAN存储器中的任一种;举例来说,所述业务系统上利用输入界面输入记录有数据请求的日志,根据日志中所包含的请求,比如根据日志中的一个请求,即WWW.guest.edu.cn,在输入浏览器之后,浏览器将会自动将其解析成网络请求,即http://www.guest.edu.cn/。
所述识别模块,用于根据解析成的网络请求,按照第一特定规则识别所述网络请求中的请求参数和请求源标志,获取请求参数和请求源标志;举例来说,根据获取的网络请求http://www.guest.edu.cn/,获取请求参数,所述请求参数包括accept、accept-charest、accept-enconding、authorization等,所述请求源标志即GET或者POSE。
所述拼接模块,用于根据获取的请求参数,按照第二特定规则进行拼接,生成待检测参数,并将所述待检测参数放置存储器内进行存储;所述待检测参数由多个请求参数拼接完成的,举例来说,当选定请求参数为accept、accept-charest、authorization这三个时,则由这三个请求参数拼接出对应的待检测参数。
所述分析模块,用于在所述业务系统中存储有攻击特征表,所述攻击特征表表内存有攻击特征,将所述待检测参数与所述攻击特征表中的攻击特征按照第三特定规则进行匹配,以检测出所述请求参数中是否存在攻击行为;所述第三特定规则采用正规匹配规则;所述攻击特征包含有对IP、ICMP、TCP、UDP四种常用的网络协议的分析,从IP、ICMP、TCP和UDP数据包的包头中得到能表征攻击特征的不同字段。例如,从IP包头中提取4个字段的值:源IP地址、目的IP地址、协议类型、时间戳等。所以根据待检测参数与所述攻击特征按照正则匹配规则进行匹配,即可确定所述待检测参数中是否含有攻击行为的攻击特征。
所述记录模块,用于如果匹配命中,则表示所述待检测参数中包含有攻击行为相对应的攻击特征,并记录该攻击特征和请求源标志,如果匹配没有命中,则表示所述待检测参数中没有攻击行为相对应的攻击特征,所述记录数据请求的日志是安全日志,跳过该日志,继续检测下一个日志;举例来说,根据待检测参数与所述攻击特征按照正则匹配规则进行匹配,确定所述待检测参数中含有攻击行为的攻击特征,则记录所述攻击特征和请求源标志。
图7为本发明一个实施例中底层监控单元的示意图,如图7所示,所述底层监控单元包括选取模块、监控模块和分析模块;
所述选取模块,用于在所述业务系统所在的操作系统底层选定用于监控的区域;所述操作系统包括Window系统、Linux系统、Android系统和ios系统中的任一种;选定在Window系统的操作系统底层,划定用于监控的区域即可。
所述监控模块,用于根据选定的监控区域,对所述监控区域内的待检测高权限函数的执行进程进行监控,当所述待检测高权限函数被调用或发生变化时,利用Hook技术拦截所述待检测高权限函数执行中的参数;所述待检测高权限函数是Java底层的高权限函数,包括数据库连接函数、执行操作系统命令函数、网络请求函数等。举例来说,在监控Java底层的高权限函数,即监控数据库连接函数、执行操作系统命令函数和网络请求函数等,当监控发现到存在大量的异常行为,比如创建操作系统账号、提权等,当发现存在这些异常行为时,则调用hook技术进行拦截。
所述分析模块,用于分析所述待检测高权限函数中的参数中的特征项目来判断所述待检测高权限函数的执行行为的合法性;若所述待检测高权限函数的执行行为合法,则放行让所述待检测高权限函数继续执行;若所述待检测高权限函数的执行行为非法,则利用Hook技术拦截所述待检测高权限函数的调用请求并抛出异常信息;所述项目特征包括访问系统级目录文件、提权操作、创建系统级账号等,其监控时获取的参数中的项目特征包括超过限定数量的查询请求、查询information_schema;当对Java底层进行监控时,发现所述高权限函数中存在有这些特征项目时,即可认定为所述待检测高权限函数的执行行为非法,立即利用hook技术拦截所述待检测高权限函数的执行并抛出异常信息。
图8为本发明一个实施例中循环查询单元的示意图,如图8所示,所述循环查询单元包括结果同步模块和结果展示模块;
所述结果同步模块,用于在所述业务系统的前端界面设置循环查询界面,将在所述检测单元或所述底层监控单元中发现的攻击行为或高权限函数的异常结果再次对应的分别放置于所述底层监控单元或所述检测单元中按照一定的查询标准进行查询,获取确定的攻击行为;所述查询标准包括高权限函数是否出现,是否收到外部攻击和收到攻击的高权限函数是否来源于网络请求中。当利用检测单元发现所述业务系统中存在有攻击行为,则进一步利用所述监控,监控底层待检测高权限函数中是否存在有非法的执行行为,以此确定所述请求进入应用层的行为是否合法,反之,当在底层对待检测高权限函数进行监控时,发现所述待检测高权限函数的执行行为是非法行为,则进入检测单元中,进一步确定是否含有攻击行为,同步利用检测单元和底层监控单元,能够确保待检测行为的合法性。
所述结果展示模块,用于根据确定的攻击行为,按照一定的展示方式展示在所述业务系统的网页界面上。所述展示方式包括以图文形式展示攻击源和攻击行为特征和以文字形式展示攻击源和攻击行为特征。当发现有攻击行为时,以图文形式展示攻击源和攻击行为特征,并调用所述业务系统所在设备中设置的声光设备进行预警。
基于相同的技术构思,本发明还提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行综合安全感知方法的步骤。所述综合安全感知方法的具体步骤包括:通过在业务系统上设置输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将日志中包含的请求解析成网络请求,按照第一特定规则识别请求参数和请求源标志,根据第二特定规则,将请求参数拼接成待检测参数;根据第三请求规则进行匹配以检验待检测参数中是否包含攻击行为的攻击特征;通过选定监控区域,对监控区域内的待检测参数的执行过程进行监控,以确定待检测高权限函数是否被调用以及是否发生变化,判断待检测高权限函数的执行行为是否合法,并利用hook技术进行拦截;将发现的攻击行为或高权限函数的异步结果再次对应分别放置对应步骤中进行查询,获取确定的攻击行为,并将其展示在所述业务系统的网页界面上。
基于相同的技术构思,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行综合安全感知方法的步骤,所述综合安全感知方法具体步骤包括:通过在业务系统上设置输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将日志中包含的请求解析成网络请求,按照第一特定规则识别请求参数和请求源标志,根据第二特定规则,将请求参数拼接成待检测参数;根据第三请求规则进行匹配以检验待检测参数中是否包含攻击行为的攻击特征;通过选定监控区域,对监控区域内的待检测参数的执行过程进行监控,以确定待检测高权限函数是否被调用以及是否发生变化,判断待检测高权限函数的执行行为是否合法,并利用hook技术进行拦截;将发现的攻击行为或高权限函数的异步结果再次对应分别放置对应步骤中进行查询,获取确定的攻击行为,并将其展示在所述业务系统的网页界面上。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种综合安全感知方法,其特征在于,所述综合安全感知方法包括:
S1:检测日志,获取攻击行为相对应的攻击特征和请求源标志;
S2:底层监控,利用HOOK技术监控高权限函数;
S3:攻击结果同步和展示,步骤S1或者步骤S2发生异常后,采用循环查询的方法确定攻击行为时,将查询结果进行展示。
2.根据权利要求1所述的一种综合安全感知方法,其特征在于,所述步骤S1包括:
S101:选定一需要进行安全检测的业务系统,在所述业务系统上设置输入界面,通过所述输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将存储至缓存区内的日志中所包含的请求解析成网络请求;
S102:根据解析成的网络请求,按照第一特定规则识别所述网络请求中的请求参数和请求源标志,获取请求参数和请求源标志;
S103:根据获取的请求参数,按照第二特定规则进行拼接,生成待检测参数,并将所述待检测参数放置存储器内进行存储;
S104:在所述业务系统中存储有攻击特征表,所述攻击特征表表内存有攻击特征,将所述待检测参数与所述攻击特征表中的攻击特征按照第三特定规则进行匹配,以检测出所述请求参数中是否存在攻击行为;
S105:如果匹配命中,则表示所述待检测参数中包含有攻击行为相对应的攻击特征,并记录该攻击特征和请求源标志,如果匹配没有命中,则表示所述待检测参数中没有攻击行为相对应的攻击特征,所述记录数据请求的日志是安全日志,跳过该日志,继续检测下一个日志。
3.根据权利要求1所述的一种综合安全感知方法,其特征在于,所述S2包括:
S201:在所述业务系统所在的操作系统底层选定用于监控的区域;
S202:根据选定的监控区域,对所述监控区域内的待检测高权限函数的执行进程进行监控,当所述待检测高权限函数被调用或发生变化时,利用Hook技术拦截所述待检测高权限函数执行中的参数;
S203:分析所述待检测高权限函数中的参数中的特征项目来判断所述待检测高权限函数的执行行为的合法性;若所述待检测高权限函数的执行行为合法,则放行让所述待检测高权限函数继续执行;若所述待检测高权限函数的执行行为非法,则利用Hook技术拦截所述待检测高权限函数的调用请求并抛出异常信息。
4.根据权利要求1所述的一种综合安全感知方法,其特征在于,所述步骤S3包括:
S301:在所述业务系统的前端界面设置循环查询界面,将在S1或S2中发现的攻击行为或高权限函数的异常结果再次对应的分别放置于S2或S1中按照一定的查询标准进行查询,获取确定的攻击行为;
S302:根据确定的攻击行为,按照一定的展示方式展示在所述业务系统的网页界面上。
5.一种综合安全感知系统,其特征在于,所述综合安全感知系统包括检测单元、底层监控单元和循环查询单元;
所述检测单元,用于检测日志,获取攻击行为相对应的攻击特征和请求源标志;
所述底层监控单元,用于底层监控,利用HOOK技术监控高权限函数;
所述循环查询单元,用于攻击结果同步和展示,所述检测单元或者所述底层监控单元发生异常后,采用循环查询的方法确定攻击行为时,将查询结果进行展示。
6.根据权利要求5所述的一种综合安全感知系统,其特征在于,所述检测单元包括解析模块、识别模块、拼接模块、分析模块和记录模块;
所述解析模块,用于选定一需要进行安全检测的业务系统,在所述业务系统上设置输入界面,通过所述输入界面,将记录数据请求的日志导入所述业务系统的缓存区内,并将存储至缓存区内的日志中所包含的请求解析成网络请求;
所述识别模块,用于根据解析成的网络请求,按照第一特定规则识别所述网络请求中的请求参数和请求源标志,获取请求参数和请求源标志;
所述拼接模块,用于根据获取的请求参数,按照第二特定规则进行拼接,生成待检测参数,并将所述待检测参数放置存储器内进行存储;
所述分析模块,用于在所述业务系统中存储有攻击特征表,所述攻击特征表表内存有攻击特征,将所述待检测参数与所述攻击特征表中的攻击特征按照第三特定规则进行匹配,以检测出所述请求参数中是否存在攻击行为;
所述记录模块,用于如果匹配命中,则表示所述待检测参数中包含有攻击行为相对应的攻击特征,并记录该攻击特征和请求源标志,如果匹配没有命中,则表示所述待检测参数中没有攻击行为相对应的攻击特征,所述记录数据请求的日志是安全日志,跳过该日志,继续检测下一个日志。
7.根据权利要求5所述的一种综合安全感知系统,其特征在于,所述底层监控单元包括选取模块、监控模块和分析模块;
所述选取模块,用于在所述业务系统所在的操作系统底层选定用于监控的区域;
所述监控模块,用于根据选定的监控区域,对所述监控区域内的待检测高权限函数的执行进程进行监控,当所述待检测高权限函数被调用或发生变化时,利用Hook技术拦截所述待检测高权限函数执行中的参数;
所述分析模块,用于分析所述待检测高权限函数中的参数中的特征项目来判断所述待检测高权限函数的执行行为的合法性;若所述待检测高权限函数的执行行为合法,则放行让所述待检测高权限函数继续执行;若所述待检测高权限函数的执行行为非法,则利用Hook技术拦截所述待检测高权限函数的调用请求并抛出异常信息。
8.根据权利要求5所述的一种综合安全感知系统,其特征在于,所述循环查询单元包括结果同步模块和结果展示模块;
所述结果同步模块,用于在所述业务系统的前端界面设置循环查询界面,将在所述检测单元或所述底层监控单元中发现的攻击行为或高权限函数的异常结果再次对应的分别放置于所述底层监控单元或所述检测单元中按照一定的查询标准进行查询,获取确定的攻击行为;
所述结果展示模块,用于根据确定的攻击行为,按照一定的展示方式展示在所述业务系统的网页界面上。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行如权利要求1至4中任一项所述综合安全感知方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时,使得所述处理器执行如权利要求1至4中任一项所述综合安全感知方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810549177.5A CN108959923B (zh) | 2018-05-31 | 2018-05-31 | 综合安全感知方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810549177.5A CN108959923B (zh) | 2018-05-31 | 2018-05-31 | 综合安全感知方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108959923A true CN108959923A (zh) | 2018-12-07 |
| CN108959923B CN108959923B (zh) | 2022-05-17 |
Family
ID=64493088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810549177.5A Active CN108959923B (zh) | 2018-05-31 | 2018-05-31 | 综合安全感知方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108959923B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN114363006A (zh) * | 2021-12-10 | 2022-04-15 | 奇安信科技集团股份有限公司 | 基于WinRM服务的防护方法及装置 |
| CN115664833A (zh) * | 2022-11-03 | 2023-01-31 | 天津大学 | 基于局域网安全设备的网络劫持检测方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070113282A1 (en) * | 2005-11-17 | 2007-05-17 | Ross Robert F | Systems and methods for detecting and disabling malicious script code |
| US20070136811A1 (en) * | 2005-12-12 | 2007-06-14 | David Gruzman | System and method for inspecting dynamically generated executable code |
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| CN103685293A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的防护方法和装置 |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| US20150213260A1 (en) * | 2014-01-27 | 2015-07-30 | Igloo Security, Inc. | Device and method for detecting vulnerability attack in program |
| US20150256551A1 (en) * | 2012-10-05 | 2015-09-10 | Myoung Hun Kang | Log analysis system and log analysis method for security system |
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| US20160127406A1 (en) * | 2014-09-12 | 2016-05-05 | Level 3 Communications, Llc | Identifying a potential ddos attack using statistical analysis |
| CN105956474A (zh) * | 2016-05-17 | 2016-09-21 | 武汉虹旭信息技术有限责任公司 | Android平台软件异常行为检测系统 |
| CN106897609A (zh) * | 2015-12-17 | 2017-06-27 | 北京奇虎科技有限公司 | 一种对动态加载的应用程序进行监控的方法及装置 |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
-
2018
- 2018-05-31 CN CN201810549177.5A patent/CN108959923B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070113282A1 (en) * | 2005-11-17 | 2007-05-17 | Ross Robert F | Systems and methods for detecting and disabling malicious script code |
| US20070136811A1 (en) * | 2005-12-12 | 2007-06-14 | David Gruzman | System and method for inspecting dynamically generated executable code |
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| US20150256551A1 (en) * | 2012-10-05 | 2015-09-10 | Myoung Hun Kang | Log analysis system and log analysis method for security system |
| CN103685293A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的防护方法和装置 |
| US20150213260A1 (en) * | 2014-01-27 | 2015-07-30 | Igloo Security, Inc. | Device and method for detecting vulnerability attack in program |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| US20160127406A1 (en) * | 2014-09-12 | 2016-05-05 | Level 3 Communications, Llc | Identifying a potential ddos attack using statistical analysis |
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| CN106897609A (zh) * | 2015-12-17 | 2017-06-27 | 北京奇虎科技有限公司 | 一种对动态加载的应用程序进行监控的方法及装置 |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN105956474A (zh) * | 2016-05-17 | 2016-09-21 | 武汉虹旭信息技术有限责任公司 | Android平台软件异常行为检测系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN114363006A (zh) * | 2021-12-10 | 2022-04-15 | 奇安信科技集团股份有限公司 | 基于WinRM服务的防护方法及装置 |
| CN115664833A (zh) * | 2022-11-03 | 2023-01-31 | 天津大学 | 基于局域网安全设备的网络劫持检测方法 |
| CN115664833B (zh) * | 2022-11-03 | 2024-04-02 | 天津大学 | 基于局域网安全设备的网络劫持检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108959923B (zh) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102088379B (zh) | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 | |
| US11528282B2 (en) | Endpoint detection and response system with endpoint-based artifact storage | |
| CN106033514B (zh) | 一种可疑进程的探测方法及装置 | |
| US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
| EP3136277B1 (en) | Illicit activity sensing network system and illicit activity sensing method | |
| CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| US9124619B2 (en) | Directing audited data traffic to specific repositories | |
| CN106101130B (zh) | 一种网络恶意数据检测方法、装置及系统 | |
| RU2697950C2 (ru) | Система и способ выявления скрытого поведения расширения браузера | |
| CN109164786A (zh) | 一种基于时间相关基线的异常行为检测方法、装置及设备 | |
| CN108959923A (zh) | 综合安全感知方法、装置、计算机设备和存储介质 | |
| CN104935601B (zh) | 基于云的网站日志安全分析方法、装置及系统 | |
| CN104901962B (zh) | 一种网页攻击数据的检测方法及装置 | |
| CN110535806A (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
| CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| KR102159399B1 (ko) | 웹서버 모니터링 및 악성코드 분석 장치 | |
| CN110363002A (zh) | 一种入侵检测方法、装置、设备及可读存储介质 | |
| CN114826662A (zh) | 一种自定义规则防护方法、装置、设备及可读存储介质 | |
| CN114760089A (zh) | 一种web服务器的安全防护方法与装置 | |
| CN112769739A (zh) | 数据库操作违规处理方法、装置及设备 | |
| CN112187787A (zh) | 基于知识图谱的数字营销广告页防篡改方法、装置及设备 | |
| KR20160049372A (ko) | Sql 변조 공격을 감지하기 위한 자동 학습 방법 및 시스템 | |
| KR102661261B1 (ko) | 봇넷 탐지 시스템 및 방법 | |
| US20230019015A1 (en) | Method and system for detecting and preventing application privilege escalation attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |