CN109302401A - 信息安全防护方法及装置 - Google Patents
信息安全防护方法及装置 Download PDFInfo
- Publication number
- CN109302401A CN109302401A CN201811252824.2A CN201811252824A CN109302401A CN 109302401 A CN109302401 A CN 109302401A CN 201811252824 A CN201811252824 A CN 201811252824A CN 109302401 A CN109302401 A CN 109302401A
- Authority
- CN
- China
- Prior art keywords
- network
- feature
- data
- log
- hole detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本申请实施例提供一种信息安全防护方法及装置,该方法包括:在接收到网络数据包时,获取所述网络数据包对应的网络日志;检测所述网络数据包是否包含有害数据,若所述网络数据包包括有害数据,根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略,并根据所述漏洞检测策略进行漏洞检测,以获得漏洞检测结果;根据所述有害数据和所述漏洞检测结果确定所述有害数据的网络攻击信息;基于预先建立的防护特征集,并根据所述网络攻击信息对所述有害数据进行防护。本申请提供的信息安全防护方案,结合历史网络日志以进行漏洞检测,并利用预先建立的防护特征集进行有害数据的防护,其防护效率更高且防护效果更好。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种信息安全防护方法及装置。
背景技术
随着网络应用越来越深入人们的生活和工作,各种网络攻击也层出不穷,每时每刻可能都面临着新的网络攻击手段,尤其是一些重要的网络流量节点,如大型企业单位、政府机构、运营商等,随时都面临着大量的网络攻击威胁。目前也有一些较为有效的网络攻击防护方法,但是这些方法一般只能就当前网络攻击数据进行特性分析,难以结合历史数据进行快速有效的分析,造成防护效率低下的问题。
发明内容
有鉴于此,本申请的目的在于,提供一种信息安全防护方法及装置以改善上述问题。
本申请实施例提供一种信息安全防护方法,应用于电子设备,所述方法包括:
在接收到网络数据包时,获取所述网络数据包对应的网络日志;
检测所述网络数据包是否包含有害数据,若所述网络数据包包括有害数据,根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略,并根据所述漏洞检测策略进行漏洞检测,以获得漏洞检测结果;
根据所述有害数据和所述漏洞检测结果确定所述有害数据的网络攻击信息;
基于预先建立的防护特征集,并根据所述网络攻击信息对所述有害数据进行防护。
可选地,所述预先建立的防护特征集通过以下步骤获得:
将预先建立的防护系统中的特征集转换为特征函数,并将所述特征函数导入至基于神经网络模型所建立的学习模型中;
利用稀疏算法获取所述特征函数的基函数,并根据所述基函数建立防护特征集。
可选地,所述根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略,并根据所述漏洞检测策略进行漏洞检测,以获得漏洞检测结果的步骤,包括:
获取预先采集的历史网络日志中的历史漏洞,基于接收到的所述网络数据包的网络日志,检测所述历史漏洞中是否存在与所述网络日志对应的漏洞;
若存在,则根据所述网络数据包的网络日志从与所述网络数据包对应的历史网络日志中获取漏洞参数,其中,所述漏洞参数包括IP地址、端口、协议、用户名、攻击频率、操作系统类型及攻击频率中的至少一种。
可选地,所述基于预先建立的防护特征集,并根据所述网络攻击信息对所述有害数据进行防护的步骤,包括:
根据所述网络攻击信息获得预先建立的防护特征集中与所述有害数据对应的防护特征;
若所述防护特征为限速特征,则根据所述限速特征中的限速表对所述有害数据所属的数据流进行限速处理;
若所述防护特征为丢弃特征,则根据所述丢弃特征中的丢弃流表丢弃所述有害数据所属的数据流。
可选地,所述根据所述网络攻击信息获得预先建立的防护特征集中与所述有害数据对应的防护特征的步骤,包括:
获取预先建立的防护特征集中各防护特征所对应的攻击特征;
计算所述有害数据对应的攻击特征分别与各所述防护特征所对应的攻击特征之间的欧式距离;
确定计算得到的欧式距离中的最小值所对应的防护特征为与所述有害数据对应的防护特征。
本申请实施例还提供一种信息安全防护装置,应用于电子设备,所述装置包括:
网络日志获取模块,用于在接收到网络数据包时,获取所述网络数据包对应的网络日志;
漏洞检测模块,用于检测所述网络数据包是否包含有害数据,若所述网络数据包包括有害数据,根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略,并根据所述漏洞检测策略进行漏洞检测,以获得漏洞检测结果;
攻击信息获取模块,用于根据所述有害数据和所述漏洞检测结果确定所述有害数据的网络攻击信息;
防护模块,用于基于预先建立的防护特征集,并根据所述网络攻击信息对所述有害数据进行防护。
可选地,所述信息安全防护装置还包括:
转换模块,用于将预先建立的防护系统中的特征集转换为特征函数,并将所述特征函数导入至基于神经网络模型所建立的学习模型中;
建立模块,用于利用稀疏算法获取所述特征函数的基函数,并根据所述基函数建立防护特征集。
可选地,所述漏洞检测模块包括:
检测单元,用于获取预先采集的历史网络日志中的历史漏洞,基于接收到的所述网络数据包的网络日志,检测所述历史漏洞中是否存在与所述网络日志对应的漏洞;
漏洞参数获取单元,用于在所述历史漏洞中存在与所述网络日志对应的漏洞时,根据所述网络数据包的网络日志从与所述网络数据包对应的历史网络日志中获取漏洞参数,其中,所述漏洞参数包括IP地址、端口、协议、用户名、攻击频率、操作系统类型及攻击频率中的至少一种。
可选地,所述防护模块包括:
防护特征获取单元,用于根据所述网络攻击信息获得预先建立的防护特征集中与所述有害数据对应的防护特征;
限速单元,用于在所述防护特征为限速特征时,根据所述限速特征中的限速表对所述有害数据所属的数据流进行限速处理;
丢弃单元,用于在所述防护特征为丢弃特征,根据所述丢弃特征中的丢弃流表丢弃所述有害数据所属的数据流。
可选地,所述防护特征获取单元包括:
获取子单元,用于获取预先建立的防护特征集中各防护特征所对应的攻击特征;
计算子单元,用于计算所述有害数据对应的攻击特征分别与各所述防护特征所对应的攻击特征之间的欧式距离;
确定子单元,用于确定计算得到的欧式距离中的最小值所对应的防护特征为与所述有害数据对应的防护特征。
本申请实施例提供的信息安全防护方法及装置,在接收到网络数据包时,获取网络数据包对应的网络日志,并根据预先采集的历史网络日志获取与该网络日志匹配的漏洞检测策略以进行漏洞检测。并检测网络数据包中是否包含有害数据,在确定包含有害数据时,可根据该有害数据以及漏洞检测结果确定有害数据的网络攻击信息。基于预先建立的防护特征集,并根据网络攻击信息对有害数据进行防护。本申请提供的信息安全防护方案,结合历史网络日志以进行漏洞检测,并利用预先建立的防护特征集进行有害数据的防护,其防护效率更高且防护效果更好。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备的结构框图。
图2为本申请实施例提供的信息安全防护方法的流程图。
图3为图2中步骤S102的子步骤的流程图。
图4为本申请实施例提供的信息安全防护方法的另一流程图。
图5为图2中步骤S104的子步骤的流程图。
图6为本申请实施例提供的信息安全防护装置的功能模块框图。
图7为本申请实施例提供的漏洞检测模块的功能模块框图。
图8为本申请实施例提供的防护模块的功能模块框图。
图9为本申请实施例提供的防护特征获取单元的功能模块框图。
图标:100-电子设备;110-信息安全防护装置;111-网络日志获取模块;112-漏洞检测模块;1121-检测单元;1122-漏洞参数获取单元;113-攻击信息获取模块;114-防护模块;1141-防护特征获取单元;11411-获取子单元;11412-计算子单元;11413-确定子单元;1142-限速单元;1143-丢弃单元;115-转换模块;116-建立模块;120-处理器;130-存储器。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
如图1所示,本发明实施例基于上述研究发现提供了一种电子设备100,所述电子设备100包括存储器130、处理器120和信息安全防护装置110。
所述存储器130和处理器120之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述信息安全防护装置110包括至少一个可以软件或固件(firmware)的形式存储于所述存储器130中的软件功能模块。所述处理器120用于执行所述存储器130中存储的可执行的计算机程序,例如,所述信息安全防护装置110所包括的软件功能模块及计算机程序等,以实现信息安全防护方法。
其中,所述存储器130可以是,但不限于,随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(ProgrammableRead-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。其中,存储器130用于存储程序,所述处理器120在接收到执行指令后,执行所述程序。
所述处理器120可能是一种集成电路芯片,具有信号的处理能力。上述的处理器120可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器120也可以是任何常规的处理器等。
可以理解,图1所示的结构仅为示意,所述电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
可选地,所述电子设备100的具体类型不受限制,例如,可以是,但不限于,智能手机、个人电脑(personal computer,PC)、平板电脑、个人数字助理(personal digitalassistant,PDA)、移动上网设备(mobile Internet device,MID)、web(网站)服务器、数据服务器等具有处理功能的设备。
结合图2,本发明实施例还提供一种可应用于上述电子设备100的信息安全防护方法。其中,所述方法有关的流程所定义的方法步骤可以由所述处理器120实现。下面将对图2所示的具体流程进行详细阐述。
步骤S101,在接收到网络数据包时,获取所述网络数据包对应的网络日志。
步骤S102,检测所述网络数据包是否包含有害数据,若所述网络数据包包括有害数据,根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略,并根据所述漏洞检测策略进行漏洞检测,以获得漏洞检测结果。
步骤S103,根据所述有害数据和所述漏洞检测结果确定所述有害数据的网络攻击信息。
本实施例中,可预先收集历史网络日志,所收集的历史网络日志包括但不限于电子设备100存在的业务系统的日志,电子设备100遭受到的各种攻击所产生的日志、电子设备100主动发起的异常链接的日志、电子设备100访问非法链接所产生的日志等等。本实施例中,通过多维度收集历史网络日志,历史网络日志的收集维度越大、数量越多,越能准确地还原出网络攻击的过程和手段。
在电子设备100接收到网络数据包时,需要对网络数据包进行检测以判定该网络数据包是否存在攻击行为,即所述网络数据包是否包含有害数据。在包含有害数据的情况下,再检测该攻击行为的攻击手段以及攻击过程是否可从历史网络日志中追溯以进行分析。
可选地,在获得网络数据包后,获取该网络数据包对应的网络日志,即和该网络数据包有关的日志信息。并根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略。根据获得的漏洞检测策略进行漏洞检测以获得漏洞检测结果。
可选地,请参阅图3,在本实施例中,步骤S102可以包括步骤S1021和步骤S1022两个子步骤。
步骤S1021,获取预先采集的历史网络日志中的历史漏洞,基于接收到的所述网络数据包的网络日志,检测所述历史漏洞中是否存在与所述网络日志对应的漏洞。
步骤S1022,在所述历史漏洞中存在与所述网络日志对应的漏洞时,根据所述网络数据包的网络日志从与所述网络数据包对应的历史网络日志中获取漏洞参数,其中,所述漏洞参数包括IP地址、端口、协议、用户名、攻击频率、操作系统类型及攻击频率中的至少一种。
本实施例中,通过当前的网络日志以及历史网络日志进行数据挖掘等形式进行分析,以还原网络攻击的过程数据从而快速、有效地确定网络数据的网络攻击信息。可选地,获取预先采集的历史网络日志中的历史漏洞,该历史漏洞可为电子设备100在遭受到攻击时系统自身所存在的系统漏洞。虽然现有技术中常采用防火墙的手段进行防护,但是若系统内部出现漏洞,在防护墙一旦被攻破的情况下,电子设备100极易受到攻击导致崩溃。
因此,可通过历史网络日志中历史漏洞,从而基于接收到的网络数据包的网络日志,检测所述历史漏洞中是否存在与当前网络日志对应的漏洞。在历史漏洞中存在与当前网络日志对应的漏洞时,则根据网络数据包的网络日志从与网络数据包对应的历史网络日志中获取漏洞参数。其中,漏洞参数可以包括但不限于,IP地址、端口、协议、用户名、攻击频率、操作系统类型及攻击频率等。后续即可根据漏洞参数以及网络数据包包含的有害数据的特性进行有效地防护。
步骤S104,基于预先建立的防护特征集,并根据所述网络攻击信息对所述有害数据进行防护。
在本实施例中,可预先建立防护特征集,该防护特征集为电子设备100在运作的过程中不断采集及更新所得到的,可根据该防护特征集对有害数据进行防护。请参阅图4,在本实施例中,所述预先建立的防护特征集可通过以下过程实现:
步骤S201,将预先建立的防护系统中的特征集转换为特征函数,并将所述特征函数导入至基于神经网络模型所建立的学习模型中。
步骤S202,利用稀疏算法获取所述特征函数的基函数,并根据所述基函数建立防护特征集。
网络中的数据包均包含某些特征,而这些特征是可以进行拆分的,其中,拆分成的最小单元,即称之为基。在本实施例中,通过预先建立防护系统,该防护系统中包含特征集。本实施例中,通过对防护系统中的特征集进行训练以应对可能存在的变种的规则的数据包的预警和防护。
可选地,将防护系统中的特征集转换为特征函数,以函数形式来描述特征集,例如可利用数学建模的方式对传统的正则表达式所描述的恶意连接的数据特征进行描述。
稀疏表达的目的就是在给定的超完备的数据集中用尽可能少的原子来表示数据,可以获得数据更为简洁的表示方式,从而更容易地获取数据中蕴含的信息。
在本实施例中,采用稀疏算法获取到特征函数的基函数。所述基函数即是可以组成整个特征集的不可分割的最小单元。根据获取到的基函数组成并得到一个形式更为简洁的防护特征集。
通过以上步骤,在建立防护特征集的基础上,可通过防护特征集并结合有害数据的网络攻击信息对有害数据进行防护。可选地,请参阅图5,在本实施例中,步骤S104可以包括步骤S1041、步骤S1042以及步骤S1043三个子步骤:
步骤S1041,根据所述网络攻击信息获得预先建立的防护特征集中与所述有害数据对应的防护特征。
步骤S1042,在所述防护特征为限速特征时,根据所述限速特征中的限速表对所述有害数据所属的数据流进行限速处理。
步骤S1043,在所述防护特征为丢弃特征时,根据所述丢弃特征中的丢弃流表丢弃所述有害数据所属的数据流。
在本实施例中,可获取预先建立的防护特征集中各防护特征所对应的攻击特征。并计算所述有害数据对应的攻击特征分别与各所述防护特征所对应的攻击特征之间的欧式距离。确定计算得到的欧式距离中的最小值所对应的防护特征为与所述有害数据对应的防护特征。
在本实施例中,可选地,防护特征可以是限速特征或丢弃特征,例如在有害数据的攻击特征中包含特定攻击特征时,如所述有害数据中带有攻击目的的可能导致系统出错或崩溃的IP报文,如分片重叠的IP报文、TCP标志位非法的报文等。或者所述有害数据为干扰网络连接或探测网络结构的如ICMP、特殊类型的IP option报文等。此外,还可以包括其他多种攻击特征识别,在本实施例中不再一一赘述。
若所述电子设备100检测到所述有害数据中包含如上述的特定攻击特征,则利用防护特征中的丢流表丢弃所述有害数据所属的数据流。
若所述有害数据未包含所述特定攻击特征,可选地,所述电子设备100还可以检测在预设时长内接收到的所述有害数据的流量是否超过预设门限值。若检测到在预设时长内接收到的数据流量超过所述预设门限值,所述电子设备100则根据限速特征中的限速表对有害数据所属的数据流进行限速处理。通过对预设时长内接收到的数量流进行检测,以避免攻击者在短时间内发送大量无用报文,以导致系统疲于应付无用信息,从而无法为合法用户提供正常服务,发生拒绝服务的事件。
请参阅图6,为本申请实施例提供的应用于上述电子设备100的信息安全防护装置110,所述信息安全防护装置110包括网络日志获取模块111、漏洞检测模块112、攻击信息获取模块113以及防护模块114。
所述网络日志获取模块111用于在接收到网络数据包时,获取所述网络数据包对应的网络日志。所述网络日志获取模块111可用于执行图2中所示的步骤S101,具体的操作方法可参考步骤S101的详细描述。
所述漏洞检测模块112用于检测所述网络数据包是否包含有害数据,若所述网络数据包包括有害数据,根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略,并根据所述漏洞检测策略进行漏洞检测,以获得漏洞检测结果。所述漏洞检测模块112可用于执行图2中所示的步骤S102,具体的操作方法可参考步骤S102的详细描述。
所述攻击信息获取模块113用于根据所述有害数据和所述漏洞检测结果确定所述有害数据的网络攻击信息。所述攻击信息获取模块113可用于执行图2中所示的步骤S103,具体的操作方法可参考步骤S103的详细描述。
所述防护模块114用于基于预先建立的防护特征集,并根据所述网络攻击信息对所述有害数据进行防护。所述防护模块114可用于执行图2中所示的步骤S104,具体的操作方法可参考步骤S104的详细描述。
可选地,在本实施例中,所述信息安全防护装置110还包括转换模块115以及建立模块116。
所述转换模块115用于将预先建立的防护系统中的特征集转换为特征函数,并将所述特征函数导入至基于神经网络模型所建立的学习模型中。所述转换模块115可用于执行图4中所示的步骤S201,具体的操作方法可参考步骤S201的详细描述。
所述建立模块116用于利用稀疏算法获取所述特征函数的基函数,并根据所述基函数建立防护特征集。所述建立模块116可用于执行图4中所示的步骤S202,具体的操作方法可参考步骤S202的详细描述。
请参阅图7,在本实施例中,所述漏洞检测模块112包括检测单元1121及漏洞参数获取单元1122。
所述检测单元1121用于获取预先采集的历史网络日志中的历史漏洞,基于接收到的所述网络数据包的网络日志,检测所述历史漏洞中是否存在与所述网络日志对应的漏洞。所述检测单元1121可用于执行图3中所示的步骤S1021,具体的操作方法可参考步骤S1021的详细描述。
所述漏洞参数获取单元1122用于在所述历史漏洞中存在与所述网络日志对应的漏洞时,根据所述网络数据包的网络日志从与所述网络数据包对应的历史网络日志中获取漏洞参数,其中,所述漏洞参数包括IP地址、端口、协议、用户名、攻击频率、操作系统类型及攻击频率中的至少一种。所述漏洞参数获取单元1122可用于执行图3中所示的步骤S1022,具体的操作方法可参考步骤S1022的详细描述。
可选地,请参阅图8,在本实施例中,所述防护模块114包括防护特征获取单元1141、限速单元1142及丢弃单元1143。
所述防护特征获取单元1141用于根据所述网络攻击信息获得预先建立的防护特征集中与所述有害数据对应的防护特征。所述防护特征获取单元1141可用于执行图5中所示的步骤S1041,具体的操作方法可参考步骤S1041的详细描述。
所述限速单元1142用于在所述防护特征为限速特征时,根据所述限速特征中的限速表对所述有害数据所属的数据流进行限速处理。所述限速单元1142可用于执行图5中所示的步骤S1042,具体的操作方法可参考步骤S1042的详细描述。
所述丢弃单元1143用于在所述防护特征为丢弃特征,根据所述丢弃特征中的丢弃流表丢弃所述有害数据所属的数据流。所述丢弃单元1143可用于执行图5中所示的步骤S1043,具体的操作方法可参考步骤S1044的详细描述。
进一步地,请参阅图9,在本实施例中,所述防护特征获取单元1141包括获取子单元11411、计算子单元11412及确定子单元11413。
所述获取子单元11411用于获取预先建立的防护特征集中各防护特征所对应的攻击特征。
所述计算子单元11412用于计算所述有害数据对应的攻击特征分别与各所述防护特征所对应的攻击特征之间的欧式距离。
所述确定子单元11413用于确定计算得到的欧式距离中的最小值所对应的防护特征为与所述有害数据对应的防护特征。
综上所述,本申请实施例提供的信息安全防护方法及装置,在接收到网络数据包时,获取网络数据包对应的网络日志,并根据预先采集的历史网络日志获取与该网络日志匹配的漏洞检测策略以进行漏洞检测。并检测网络数据包中是否包含有害数据,在确定包含有害数据时,可根据该有害数据以及漏洞检测结果确定有害数据的网络攻击信息。基于预先建立的防护特征集,并根据网络攻击信息对有害数据进行防护。本申请提供的信息安全防护方案,结合历史网络日志以进行漏洞检测,并利用预先建立的防护特征集进行有害数据的防护,其防护效率更高且防护效果更好。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
Claims (10)
1.一种信息安全防护方法,其特征在于,应用于电子设备,所述方法包括:
在接收到网络数据包时,获取所述网络数据包对应的网络日志;
检测所述网络数据包是否包含有害数据,若所述网络数据包包括有害数据,根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略,并根据所述漏洞检测策略进行漏洞检测,以获得漏洞检测结果;
根据所述有害数据和所述漏洞检测结果确定所述有害数据的网络攻击信息;
基于预先建立的防护特征集,并根据所述网络攻击信息对所述有害数据进行防护。
2.根据权利要求1所述的信息安全防护方法,其特征在于,所述预先建立的防护特征集通过以下步骤获得:
将预先建立的防护系统中的特征集转换为特征函数,并将所述特征函数导入至基于神经网络模型所建立的学习模型中;
利用稀疏算法获取所述特征函数的基函数,并根据所述基函数建立防护特征集。
3.根据权利要求1所述的信息安全防护方法,其特征在于,所述根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略,并根据所述漏洞检测策略进行漏洞检测,以获得漏洞检测结果的步骤,包括:
获取预先采集的历史网络日志中的历史漏洞,基于接收到的所述网络数据包的网络日志,检测所述历史漏洞中是否存在与所述网络日志对应的漏洞;
若存在,则根据所述网络数据包的网络日志从与所述网络数据包对应的历史网络日志中获取漏洞参数,其中,所述漏洞参数包括IP地址、端口、协议、用户名、攻击频率、操作系统类型及攻击频率中的至少一种。
4.根据权利要求1所述的信息安全防护方法,其特征在于,所述基于预先建立的防护特征集,并根据所述网络攻击信息对所述有害数据进行防护的步骤,包括:
根据所述网络攻击信息获得预先建立的防护特征集中与所述有害数据对应的防护特征;
若所述防护特征为限速特征,则根据所述限速特征中的限速表对所述有害数据所属的数据流进行限速处理;
若所述防护特征为丢弃特征,则根据所述丢弃特征中的丢弃流表丢弃所述有害数据所属的数据流。
5.根据权利要求4所述的信息安全防护方法,其特征在于,所述根据所述网络攻击信息获得预先建立的防护特征集中与所述有害数据对应的防护特征的步骤,包括:
获取预先建立的防护特征集中各防护特征所对应的攻击特征;
计算所述有害数据对应的攻击特征分别与各所述防护特征所对应的攻击特征之间的欧式距离;
确定计算得到的欧式距离中的最小值所对应的防护特征为与所述有害数据对应的防护特征。
6.一种信息安全防护装置,其特征在于,应用于电子设备,所述装置包括:
网络日志获取模块,用于在接收到网络数据包时,获取所述网络数据包对应的网络日志;
漏洞检测模块,用于检测所述网络数据包是否包含有害数据,若所述网络数据包包括有害数据,根据预先采集的历史网络日志获取与所述网络日志匹配的漏洞检测策略,并根据所述漏洞检测策略进行漏洞检测,以获得漏洞检测结果;
攻击信息获取模块,用于根据所述有害数据和所述漏洞检测结果确定所述有害数据的网络攻击信息;
防护模块,用于基于预先建立的防护特征集,并根据所述网络攻击信息对所述有害数据进行防护。
7.根据权利要求6所述的信息安全防护装置,其特征在于,所述信息安全防护装置还包括:
转换模块,用于将预先建立的防护系统中的特征集转换为特征函数,并将所述特征函数导入至基于神经网络模型所建立的学习模型中;
建立模块,用于利用稀疏算法获取所述特征函数的基函数,并根据所述基函数建立防护特征集。
8.根据权利要求6所述的信息安全防护装置,其特征在于,所述漏洞检测模块包括:
检测单元,用于获取预先采集的历史网络日志中的历史漏洞,基于接收到的所述网络数据包的网络日志,检测所述历史漏洞中是否存在与所述网络日志对应的漏洞;
漏洞参数获取单元,用于在所述历史漏洞中存在与所述网络日志对应的漏洞时,根据所述网络数据包的网络日志从与所述网络数据包对应的历史网络日志中获取漏洞参数,其中,所述漏洞参数包括IP地址、端口、协议、用户名、攻击频率、操作系统类型及攻击频率中的至少一种。
9.根据权利要求6所述的信息安全防护装置,其特征在于,所述防护模块包括:
防护特征获取单元,用于根据所述网络攻击信息获得预先建立的防护特征集中与所述有害数据对应的防护特征;
限速单元,用于在所述防护特征为限速特征时,根据所述限速特征中的限速表对所述有害数据所属的数据流进行限速处理;
丢弃单元,用于在所述防护特征为丢弃特征,根据所述丢弃特征中的丢弃流表丢弃所述有害数据所属的数据流。
10.根据权利要求9所述的信息安全防护装置,其特征在于,所述防护特征获取单元包括:
获取子单元,用于获取预先建立的防护特征集中各防护特征所对应的攻击特征;
计算子单元,用于计算所述有害数据对应的攻击特征分别与各所述防护特征所对应的攻击特征之间的欧式距离;
确定子单元,用于确定计算得到的欧式距离中的最小值所对应的防护特征为与所述有害数据对应的防护特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811252824.2A CN109302401B (zh) | 2018-10-25 | 2018-10-25 | 信息安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811252824.2A CN109302401B (zh) | 2018-10-25 | 2018-10-25 | 信息安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109302401A true CN109302401A (zh) | 2019-02-01 |
| CN109302401B CN109302401B (zh) | 2021-07-09 |
Family
ID=65157987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811252824.2A Active CN109302401B (zh) | 2018-10-25 | 2018-10-25 | 信息安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109302401B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024060408A1 (zh) * | 2022-09-23 | 2024-03-28 | 天翼安全科技有限公司 | 网络攻击检测方法和装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160156655A1 (en) * | 2010-07-21 | 2016-06-02 | Seculert Ltd. | System and methods for malware detection using log analytics for channels and super channels |
| CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
| CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
| CN106199421A (zh) * | 2016-06-27 | 2016-12-07 | 北京协同创新研究院 | 一种基于工业大数据的预警方法和系统 |
| CN106534224A (zh) * | 2017-01-23 | 2017-03-22 | 余洋 | 智能网络攻击检测方法及装置 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
-
2018
- 2018-10-25 CN CN201811252824.2A patent/CN109302401B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160156655A1 (en) * | 2010-07-21 | 2016-06-02 | Seculert Ltd. | System and methods for malware detection using log analytics for channels and super channels |
| CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
| CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
| CN106199421A (zh) * | 2016-06-27 | 2016-12-07 | 北京协同创新研究院 | 一种基于工业大数据的预警方法和系统 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN106534224A (zh) * | 2017-01-23 | 2017-03-22 | 余洋 | 智能网络攻击检测方法及装置 |
| CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024060408A1 (zh) * | 2022-09-23 | 2024-03-28 | 天翼安全科技有限公司 | 网络攻击检测方法和装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109302401B (zh) | 2021-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1995929B1 (en) | Distributed system for the detection of eThreats | |
| US10924502B2 (en) | Network security using inflated files for anomaly detection | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| EP2953298A1 (en) | Log analysis device, information processing method and program | |
| US20150341376A1 (en) | Detection of anomaly in network flow data | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| CN106716953A (zh) | 控制系统中的网络安全风险的动态量化 | |
| CN105959250A (zh) | 网络攻击黑名单管理方法及装置 | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| Osanaiye et al. | Change-point cloud DDoS detection using packet inter-arrival time | |
| CN106982188A (zh) | 恶意传播源的检测方法及装置 | |
| CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN111756720A (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
| Mathews et al. | A collaborative approach to situational awareness for cybersecurity | |
| CN110535881A (zh) | 工业网络攻击流量检测方法及服务器 | |
| CN111083157A (zh) | 报文过滤规则的处理方法和装置 | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| CN109302401A (zh) | 信息安全防护方法及装置 | |
| JP3790750B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法およびプログラム | |
| JP6067195B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
| CN115834229A (zh) | 一种报文安全检测方法、设备及存储介质 | |
| Leghris et al. | Improved security intrusion detection using intelligent techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |