CN109587120A - 通过目标感知进行威胁报警的方法、装置及设备 - Google Patents
通过目标感知进行威胁报警的方法、装置及设备 Download PDFInfo
- Publication number
- CN109587120A CN109587120A CN201811357073.0A CN201811357073A CN109587120A CN 109587120 A CN109587120 A CN 109587120A CN 201811357073 A CN201811357073 A CN 201811357073A CN 109587120 A CN109587120 A CN 109587120A
- Authority
- CN
- China
- Prior art keywords
- information
- related information
- alarm
- security related
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种通过目标感知进行威胁报警的方法、装置及设备,其中,一种通过目标感知进行威胁报警的方法,包括:预置攻击针对信息;对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息;将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警。通过预置攻击针对信息,并对网络环境中的威胁进行目标感知,从而将攻击针对信息与目标感知的安全相关信息进行对比,根据对比的结果确定是否进行威胁报警,从而减少了报警数量,提高了威胁报警的有效性,且规避了可能的遗漏,不需要用户自己手工录入被保护主机的安全相关信息,自动适应目标主机安全相关信息的可能变化,易于实施和使用,提高了方法的实用性。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种通过目标感知进行威胁报警的方法、装置及设备。
背景技术
传统攻击检测设备或系统通过实时接收网络数据报文,解析和分析其数据协议,并将数据内容与内部预置的已知威胁指纹特征进行比对,从而发现攻击事件并报警。这种方法虽然具有实时检测和精确匹配的特点,看上去具有很高的攻击检测准确率,但实际上并没有解决用户真正关切的威胁报警有效性问题。例如,攻击检测设备或系统检测并报警了一个针对主机A的攻击事件,该事件确实存在于请求主机A服务的网络数据报文中,并被精确匹配后发现,对于攻击检测设备或系统是一个准确的报警,但仔细检查主机A会发现,该主机为1台linux操作系统主机,而这种攻击是利用的windows操作系统漏洞,只对windows操作系统才会有效。显然这种攻击在目标主机A上是不可能成功的,对目标主机A不具有威胁,这种报警对用户起不到预警作用,不是一个有效的威胁报警,大量的这种报警反而会把真正能产生威胁的报警“淹没”掉。用户迫切需要减少这种不具有威胁性的报警,提高威胁报警的有效性。
现有技术中一种提高威胁报警有效性的方法是,攻击检测设备或系统不仅检测请求主机服务的网络数据报文,还要检测从主机服务器返回的网络数据报文,根据返回的数据报文内容来判断主机是否予以应答反馈,有应答反馈的攻击就认为是有威胁的,则报警,没有的不报警。这种方法可以大幅度减少报警数量,有时候甚至可以判断某种攻击是否取得了成功。但这种方法也存在明显的遗漏威胁报警的缺陷,攻击检测设备或系统通常串接或旁路部署在网络出口,从网络出口到达目标主机的“路径”中很可能还部署有其它的安全设备,或者目标主机本身就安装有安全软件,一旦这些安全设备或软件成功检测并拦截,则主机不会予以应答反馈,依据此法则不会产生威胁报警,但实际上是明显漏报,因为威胁确实存在且不因被拦截而不发生。
另一种提高威胁报警有效性的方法是,让用户自己手工录入被保护主机的安全相关信息,如主机的操作系统类型及版本,对外开放的服务及端口,主要应用等。攻击检测设备或系统检测到安全事件时,把预置的攻击针对性信息与用户手工录入的主机的安全相关信息相比对,如果不符合就不发出威胁报警。比如一个攻击是针对的windows操作系统主机,但目标主机的安全相关信息显示该主机是linux操作系统,显然这个攻击对该目标主机不具有威胁性,可以不报警,这种方式可以减少报警数量,提高威胁报警的有效性。但这种方法也存在明显的缺点,除了手工录入信息的繁琐,有些用户实际上并不清楚被保护主机的安全相关信息,甚至都不清楚有多少数量的被保护主机,另外现网环境中的被保护主机及其安全相关信息往往是动态变化的,如果没有及时同步更新,很容易造成威胁报警的误判和遗漏。
发明内容
本发明实施例提供一种通过目标感知进行威胁报警的方法、装置及设备,用以至少解决现有技术中部分存在的问题。
第一方面,本发明实施例提供一种通过目标感知进行威胁报警的方法,包括:
预置攻击针对信息;
对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息;
将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警。
作为本发明实施例的一种具体实现方式,所述述预置攻击针对信息,包括:
获取威胁的适用环境和针对目标的信息;
将所述适用环境和针对目标的信息以可识别的信息结构进行定义和固化,从而得到攻击针对信息。
作为本发明实施例的一种具体实现方式,所述攻击针对信息,包括:
针对的开放端口集合、针对的操作系统类型、针对的操作系统版本号、针对的开放服务软件及针对的开放服务软件版本号。
作为本发明实施例的一种具体实现方式,对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息,包括:
接收网络报文;
获取网络报文中的安全相关信息;
存储所述安全相关信息。
作为本发明实施例的一种具体实现方式,所述存储所述安全相关信息的步骤之后,还包括:
对存储的所述安全相关信息进行清理。
作为本发明实施例的一种具体实现方式,所述获取网络报文中的安全相关信息,包括:
对所述网络报文中的应用层协议进行解析;
在解析的应用层协议内容中查找所述安全相关信息。
作为本发明实施例的一种具体实现方式,所述接收网络报文的步骤之后,还包括:
对接收的网络报文中的网络层协议进行解析,得到解析结果;
根据解析结果中的目标主机ip查询目标库,如目标库内不包含所述目标主机的安全相关信息,则建立所述目标主机的安全相关信息存储结构。
作为本发明实施例的一种具体实现方式,将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警,包括:
接收网络报文;
对所述网络报文的网络层协议进行解析;
根据解析的网络层协议内容建立连接;
对所述连接进行安全策略匹配,从而对所述连接进行检测标记,标记出需要检测的网络报文;
对标记为需要检测的所述网络报文的应用层协议进行解析,得到应用层协议的服务协议;
根据所述服务协议将网络报文与已知威胁指纹特征进行比对,得到与威胁指纹特征匹配的网络报文;
将所述匹配的网络报文根据目标主机ip查找相应的安全相关信息;
将所述安全相关信息与所述预置攻击针对信息进行对比,从而确定是否进行威胁报警。
第二方面,本发明实施例提供一种通过目标感知进行威胁报警的装置,包括:
预置模块:用于预置攻击针对信息;
感知模块:用于对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息;
对比模块:用于将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警。
第三方面,本发明实施例提供一种电子设备,所述电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如第一方面所述的方法的步骤。
本发明实施例通过预置攻击针对信息,并对网络环境中的威胁进行目标感知,从而将攻击针对信息与目标感知的安全相关信息进行对比,根据对比的结果确定是否进行威胁报警。在目标感知中通过收集、提取、记录和实时分析网络报文中有关目标主机的有价值内容,自动感知目标,自动整理和格式化形成目标主机的安全相关信息,并把预置的攻击针对性信息与自动感知的目标主机的安全相关信息相比对,如果不符合就不发出威胁报警。从而减少了报警数量,提高了威胁报警的有效性,且规避了可能的遗漏,不需要用户自己手工录入被保护主机的安全相关信息,自动适应目标主机安全相关信息的可能变化,易于实施和使用,提高了方法的实用性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例所述的应用程序网络访问感知的方法各部分的关系示意图;
图2为本发明实施例一所述的通过目标感知进行威胁报警的方法的流程图;
图3为本发明实施例一所述的所述述预置攻击针对信息的流程图;
图4为本发明实施例一所述的对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息的流程图;
图5为本发明实施例一所述的目标感知具体过程的流程图;
图6为本发明实施例一所述的将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警的流程图;
图7为本发明实施例一所述的攻击检测具体过程的流程图;
图8为本发明实施例二所述的通过目标感知进行威胁报警的装置的原理框图;
图9为本发明实施例二所述的预置模块的原理框图;
图10为本发明实施例二所述的感知模块的原理框图;
图11为本发明实施例二所述的安全信息获取模块的原理框图;
图12为本发明实施例二所述的对比模块的原理框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例主要包括,预置攻击针对信息、目标感知和攻击检测,第一部分是预置攻击针对信息,第二部分是在实际网络环境中进行目标感知,第三部分是在实际网络环境中进行攻击检测。如图1所示,预置攻击针对信息是独立的工作,它是在目标感知和检测工作之前预先完成的。目标感知是在实际网络环境中进行的,目标感知的输出是目标主机的安全相关信息。攻击检测也是在实际网络环境中进行的,目标主机的安全相关信息和预置攻击针对性信息是攻击检测的输入,三部分有机结合,从而实现通过目标感知提升威胁报警有效性的方法。
实施例一:
本发明实施例提供一种通过目标感知进行威胁报警的方法,如图2所示,包括:
步骤S201:预置攻击针对信息;
攻击检测设备或系统内部通常预置了大量的已知威胁指纹特征,用来发现攻击事件,对于每一种威胁通常还有描述性文字信息,如威胁名称、详细描述、风险级别、针对系统、解决方法等等。但这些文字信息只是帮助用户认知威胁,指导防御措施,其对检测本身并没有技术意义。
预置攻击针对性信息是针对每一种威胁,将其适用环境和针对的目标重新梳理组织,以程序可识别的信息结构进行定义和固化,以便将这些信息用于攻击检测。预置攻击针对性信息与预置的威胁指纹特征同步更新,即每增加一种威胁指纹特征,就同步增加一个与其一一对应的预置攻击针对性信息,两者一起打包在攻击特征库中,定期更新到攻击检测设备或系统上。
可选的,攻击针对信息,包括针对的开放端口集合、针对的操作系统类型、针对的操作系统版本号、针对的开放服务软件及针对的开放服务软件版本号。
步骤S202:对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息;
攻击检测设备或系统在实际网络环境中运行,目标感知是其上的一个进程,它接收的是数据报文(网络报文),输出的是目标主机的安全相关信息。目标主机的安全相关信息包括:主机ip地址、对外开放的端口集合、操作系统类型、操作系统版本号、开放服务的软件及其版本号等。目标感知与攻击检测是同时进行的,在开始阶段由于目标主机的安全相关信息较少,对攻击检测帮助不大,但随着时间推移,目标主机的安全相关信息累积愈来愈来全面完整,则可以迅速有效地提高攻击检测中的威胁报警的有效性。
步骤S203:将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警。
步骤S203即上文的攻击检测,攻击检测设备或系统在实际网络环境中运行,攻击检测是其上的一个进程,它接收的是数据报文(网络报文),输出的是安全事件日志。攻击检测与目标感知是同时进行的,攻击检测利用目标感知累积的目标主机的安全相关信息,以及与预置攻击针对性信息的比对,较少报警数量,迅速有效地提高攻击检测中的威胁报警的有效性。
作为本发明的一种具体实现方式,如图3所示,步骤S201:所述述预置攻击针对信息,包括:
步骤S301:获取威胁的适用环境和针对目标的信息;
适用环境的信息主要包括该威胁适用的操作系统类型、操作系统版本号、开放服务的软件及其版本号等,针对目标的信息,主要包括主机ip地址、对外开放的端口集合等。
步骤S302:将所述适用环境和针对目标的信息以可识别的信息结构进行定义和固化,从而得到攻击针对信息。
原来的威胁指纹特征,用来发现攻击事件,对于每一种威胁通常还有描述性文字信息,如威胁名称、详细描述、风险级别、针对系统、解决方法等等。但这些文字信息只是帮助用户认知威胁,指导防御措施,其对检测本身并没有技术意义。因此需要将威胁的信息进行重新定义,使其成为可以被检测直接使用的信息。
作为本发明的一种具体实现方式,如图4所示,步骤S202:对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息;包括:
步骤S401:接收网络报文;
步骤S402:获取网络报文中的安全相关信息;
步骤S403:存储所述安全相关信息。
可选的,在步骤S403所述存储所述安全相关信息的步骤之后,还包括:
步骤S404:对存储的所述安全相关信息进行清理。
可选的,步骤S402:获取网络报文中的安全相关信息;包括:
对所述网络报文中的应用层协议进行解析;
在解析的应用层协议内容中查找所述安全相关信息。
可选的,步骤S401:所述接收网络报文的步骤之后,还包括:
对接收的网络报文中的网络层协议进行解析,得到解析结果;
根据解析结果中的目标主机ip查询目标库,如目标库内不包含所述目标主机的安全相关信息,则建立所述目标主机的安全相关信息存储结构。
在一个具体的应用场景中目标感知的具体过程如图5所示,具体如下:
1、接收网络报文,从网络中接收原始数据报文;
2、网络层协议解析,对网络报文中的网络层协议进行解析,具体对三层协议ip和四层协议tcp/udp的协议解析;
3、查连接表,根据网络层协议解析得到的五元组信息(源ip、源端口、目的ip、目的端口、协议)在连接表中查找,如果查到说明该连接已经建立,则直接跳转到步骤5;连接具体为源ip的设备与目的ip设备之间建立连接。
4、新建连接,对于没有建立连接的情况,则根据五元组建立连接结构,后续与该连接相关的所有信息都记录到该连接结构中;
5、方向判断,网络报文传输的方向判断,根据用户设置的内网/外网保护区域,或者受保护主机地址范围,或者连接的发起方向等信息进行研判,如果是向目标主机发起的请求报文,则不会含有目标主机的安全相关信息,直接跳转到步骤11;
6、查目标库,用目标主机ip地址查找目标库,目标库是所有目标主机的安全相关信息的集合,如果查到则直接跳转到步骤8;
7、目标入库,如果没有查到,则说明目标库中并不含有该目标主机的安全相关信息,该目标主机是目标感知过程中新发现的主机,则将该目标主机ip地址入库,并建立其安全相关信息存储结构,但此时存储结构中并没有内容,存储结构为空;
8、应用协议解析,解析应用层协议,包括http、ftp、smtp、pop3、dns、ntp等主流服务的协议;
9、查安全相关信息,在解析的应用层协议内容中查找安全相关信息,包括该协议使用的服务端口号(如80,8080,53,111等)、主机的操作系统类型(如windows系统、unix系统、ios系统等)、操作系统的版本号、开放服务的软件及其版本号(如apache 2.2,nginx1.12,smtp server 5.0等),无则直接跳转到步骤11;
10、填写,查到安全相关信息后则填写入目标主机的安全相关信息,如果原来已有内容则进行替换更新,即将新的安全相关信息替换掉原来保存的安全相关信息。
11、定时清理,有些目标主机因种种原因会发生ip地址变更或不再使用的情况,这将导致该目标主机的安全相关信息失效,并造成存储资源浪费,在攻击检测设备或系统中设置有定时清理机制,在规定的时间内(如每隔30分钟)进行一次清理,将不再使用的目标主机的安全相关信息的存储结构释放;
12、结束。
作为本发明的一种具体实现方式,如图6所示,步骤S203:将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警,包括:
步骤S601:接收网络报文;
步骤S602:对所述网络报文的网络层协议进行解析;
步骤S603:根据解析的网络层协议内容建立连接;
步骤S604:对所述连接进行安全策略匹配,从而对所述连接进行检测标记,标记出需要检测的网络报文;
步骤S605:对标记为需要检测的所述网络报文的应用层协议进行解析,得到应用层协议的服务协议;
步骤S606:根据所述服务协议将网络报文与已知威胁指纹特征进行比对,得到与威胁指纹特征匹配的网络报文;
步骤S607:将所述匹配的网络报文根据目标主机ip查找相应的安全相关信息;
步骤S608:将所述安全相关信息与所述预置攻击针对信息进行对比,从而确定是否进行威胁报警。
在一个具体的应有场景中,攻击检测的过程如图7所示,具体如下:
1、接收网络报文,从网络中接收原始数据报文;
2、网络层协议解析,对网络报文的网络层协议进行解析,具体为对三层协议ip和四层协议tcp/udp的协议解析;
3、查连接表,网络层协议解析得到五元组信息,根据五元组信息(源ip、源端口、目的ip、目的端口、协议)在连接表中查找,如果查到说明该连接已经建立,则直接跳转到步骤5;连接具体为源ip的设备与目的ip设备之间建立连接。
4、新建连接,对于没有建立连接的情况,则根据五元组建立连接结构,后续与该连接相关的所有信息都记录到该连接结构中;
5、策略匹配,根据用户配置的安全策略进行匹配,匹配上则在连接上做检测标记,表示此连接的后续报文均需要进行检测;
6、查检测标记,在连接上检查检测标记,没有则说明不需要检测,直接跳转到步骤12;
7、应用层协议解析,如果有检测标记说明需要检测,则进行解析应用层协议,包括http、ftp、smtp、pop3、dns、ntp等主流服务的协议;
8、威胁指纹比对,根据协议将数据报文与已知威胁指纹特征进行比对,没有匹配则直接跳转到步骤12;
9、查目标,匹配上则说明有安全事件发生,继续查找目标主机的安全相关信息,无则直接跳转到步骤11;
10、安全相关信息匹配,根据目标主机ip查找到它的安全相关信息,将目标主机的安全相关信息与预置的攻击针对性信息进行匹配,若没有匹配到,说明虽然该攻击事件真实发生,也在攻击检测设备或系统上被检测到,但该攻击事件对目标主机不构成威胁,可以不报警,直接跳转到步骤12;
11、报警,记录安全事件(包括发生时间、攻击源ip、目的ip、应用层协议、事件名、事件风险等级、事件分类、事件发生次数,关联取证文件等信息),并以邮件、snmp trap等方式报警,提醒用户关注;
12、结束。
实施例二:
本发明实施提供一种通过目标感知进行威胁报警的装置,如图8所示,包括:
预置模块801:用于预置攻击针对信息;
感知模块802:用于对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息;
对比模块803:用于将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警。
作为本发明的一种具体实现方式,如图9所示,预置模块801,包括:
信息获取模块901:用于获取威胁的适用环境和针对目标的信息;
定义模块902:用于将所述适用环境和针对目标的信息以可识别的信息结构进行定义和固化,从而得到攻击针对信息。
作为本发明的一种具体实现方式,所述攻击针对信息,包括:
针对的开放端口集合、针对的操作系统类型、针对的操作系统版本号、针对的开放服务软件及针对的开放服务软件版本号。
作为本发明的一种具体实现方式,如图10所示,感知模块802:包括:
接收模块1001:用于接收网络报文;
安全信息获取模块1004:用于获取网络报文中的安全相关信息;
存储模块1005:用于存储所述安全相关信息。
作为本发明的一种具体实现方式,装置还包括:
清理模块1006:用于对存储的所述安全相关信息进行清理。
作为本发明的一种具体实现方式,装置还包括:
网络层协议解析模块1002:对接收的网络报文中的网络层协议进行解析,得到解析结果;
目标库查询模块1003:用于根据解析结果中的目标主机ip查询目标库,如目标库内不包含所述目标主机的安全相关信息,则建立所述目标主机的安全相关信息存储结构。
作为本发明的一种具体实现方式,如图11所示,安全信息获取模块1004,包括:
解析模块1101:用于对所述网络报文中的应用层协议进行解析;
查找模块1102:用于在解析的应用层协议内容中查找所述安全相关信息。
作为本发明的一种具体实现方式,如图12所示,对比模块803,包括:
报文接收模块1201:用于接收网络报文;
协议解析模块1202:用于对所述网络报文的网络层协议进行解析;
连接建立模块1203:用于根据解析的网络层协议内容建立连接;
匹配模块1204:用于对所述连接进行安全策略匹配,从而对所述连接进行检测标记,标记出需要检测的网络报文;
应用层协议解析模块1205:用于对标记为需要检测的所述网络报文的应用层协议进行解析,得到应用层协议的服务协议;
特征比对模块1206:用于根据所述服务协议将网络报文与已知威胁指纹特征进行比对,得到与威胁指纹特征匹配的网络报文;
信息查找模块1207:用于将所述匹配的网络报文根据目标主机ip查找相应的安全相关信息;
威胁确定模块1208:用于将所述安全相关信息与所述预置攻击针对信息进行对比,从而确定是否进行威胁报警。
对于具体的实施方式在实施例一中已经详细说明,在此不再赘述。
实施例三:
本发明实施例提供一种电子设备,所述电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现实施例一的方法步骤。
处理器可以是通用处理器,例如中央处理器(Central Processing Unit,CPU),还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。其中,存储器用于存储所述处理器的可执行指令;存储器,用于存储程序代码,并将该程序代码传输给处理器。存储器可以包括易失性存储器(Volatile Memory),例如随机存取存储器(Random Access Memory,RAM);也可以包括非易失性存储器(Non-VolatileMemory),例如只读存储器(Read-Only Memory,ROM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);还可以包括上述种类的存储器的组合。
本发明实施例还提供一种提供计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现实施例一的方法步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种通过目标感知进行威胁报警的方法,其特征在于,包括:
预置攻击针对信息;
对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息;
将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警。
2.如权利要求1所述的通过目标感知进行威胁报警的方法,其特征在于,所述述预置攻击针对信息,包括:
获取威胁的适用环境和针对目标的信息;
将所述适用环境和针对目标的信息以可识别的信息结构进行定义和固化,从而得到攻击针对信息。
3.如权利要求1所述的通过目标感知进行威胁报警的方法,其特征在于,所述攻击针对信息,包括:
针对的开放端口集合、针对的操作系统类型、针对的操作系统版本号、针对的开放服务软件及针对的开放服务软件版本号。
4.如权利要求1所述的通过目标感知进行威胁报警的方法,其特征在于,对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息,包括:
接收网络报文;
获取网络报文中的安全相关信息;
存储所述安全相关信息。
5.如权利要求4所述的通过目标感知进行威胁报警的方法,其特征在于,所述存储所述安全相关信息的步骤之后,还包括:
对存储的所述安全相关信息进行清理。
6.如权利要求4所述的通过目标感知进行威胁报警的方法,其特征在于,所述获取网络报文中的安全相关信息,包括:
对所述网络报文中的应用层协议进行解析;
在解析的应用层协议内容中查找所述安全相关信息。
7.如权利要求4所述的通过目标感知进行威胁报警的方法,其特征在于,所述接收网络报文的步骤之后,还包括:
对接收的网络报文中的网络层协议进行解析,得到解析结果;
根据解析结果中的目标主机ip查询目标库,如目标库内不包含所述目标主机的安全相关信息,则建立所述目标主机的安全相关信息存储结构。
8.如权利要求1所述的通过目标感知进行威胁报警的方法,其特征在于,将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警,包括:
接收网络报文;
对所述网络报文的网络层协议进行解析;
根据解析的网络层协议内容建立连接;
对所述连接进行安全策略匹配,从而对所述连接进行检测标记,标记出需要检测的网络报文;
对标记为需要检测的所述网络报文的应用层协议进行解析,得到应用层协议的服务协议;
根据所述服务协议将网络报文与已知威胁指纹特征进行比对,得到与威胁指纹特征匹配的网络报文;
将所述匹配的网络报文根据目标主机ip查找相应的安全相关信息;
将所述安全相关信息与所述预置攻击针对信息进行对比,从而确定是否进行威胁报警。
9.一种通过目标感知进行威胁报警的装置,其特征在于,包括:
预置模块:用于预置攻击针对信息;
感知模块:用于对接收的数据报文进行目标感知,从而获取目标主机的安全相关信息;
对比模块:用于将所述预置攻击针对信息和所述安全相关信息进行对比,从而确定是否进行威胁报警。
10.一种电子设备,其特征在于,所述电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至8任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811357073.0A CN109587120A (zh) | 2018-11-15 | 2018-11-15 | 通过目标感知进行威胁报警的方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811357073.0A CN109587120A (zh) | 2018-11-15 | 2018-11-15 | 通过目标感知进行威胁报警的方法、装置及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109587120A true CN109587120A (zh) | 2019-04-05 |
Family
ID=65922642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811357073.0A Pending CN109587120A (zh) | 2018-11-15 | 2018-11-15 | 通过目标感知进行威胁报警的方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109587120A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110677400A (zh) * | 2019-09-20 | 2020-01-10 | 武汉思普崚技术有限公司 | 一种局域网环境中主机和服务的攻击暴露面分析方法及系统 |
| CN113328996A (zh) * | 2021-05-08 | 2021-08-31 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764721A (zh) * | 2009-12-15 | 2010-06-30 | 中兴通讯股份有限公司 | 检测方法和网络管理器 |
| US20120030761A1 (en) * | 2010-08-02 | 2012-02-02 | Yokogawa Electric Corporation | Improper communication detection system |
| CN105376210A (zh) * | 2014-12-08 | 2016-03-02 | 哈尔滨安天科技股份有限公司 | 一种账户威胁识别和防御方法及系统 |
| CN105991595A (zh) * | 2015-02-15 | 2016-10-05 | 华为技术有限公司 | 网络安全防护方法及装置 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| CN106973051A (zh) * | 2017-03-27 | 2017-07-21 | 山石网科通信技术有限公司 | 建立检测网络威胁模型的方法、装置、存储介质和处理器 |
| CN108600188A (zh) * | 2018-04-02 | 2018-09-28 | 江苏中控安芯信息安全技术有限公司 | 一种网络安全硬件系统运行环境威胁感知方法 |
-
2018
- 2018-11-15 CN CN201811357073.0A patent/CN109587120A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764721A (zh) * | 2009-12-15 | 2010-06-30 | 中兴通讯股份有限公司 | 检测方法和网络管理器 |
| US20120030761A1 (en) * | 2010-08-02 | 2012-02-02 | Yokogawa Electric Corporation | Improper communication detection system |
| CN105376210A (zh) * | 2014-12-08 | 2016-03-02 | 哈尔滨安天科技股份有限公司 | 一种账户威胁识别和防御方法及系统 |
| CN105991595A (zh) * | 2015-02-15 | 2016-10-05 | 华为技术有限公司 | 网络安全防护方法及装置 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| CN106973051A (zh) * | 2017-03-27 | 2017-07-21 | 山石网科通信技术有限公司 | 建立检测网络威胁模型的方法、装置、存储介质和处理器 |
| CN108600188A (zh) * | 2018-04-02 | 2018-09-28 | 江苏中控安芯信息安全技术有限公司 | 一种网络安全硬件系统运行环境威胁感知方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110677400A (zh) * | 2019-09-20 | 2020-01-10 | 武汉思普崚技术有限公司 | 一种局域网环境中主机和服务的攻击暴露面分析方法及系统 |
| CN110677400B (zh) * | 2019-09-20 | 2020-09-29 | 武汉思普崚技术有限公司 | 一种局域网环境中主机和服务的攻击暴露面分析方法及系统 |
| CN113328996A (zh) * | 2021-05-08 | 2021-08-31 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
| CN113328996B (zh) * | 2021-05-08 | 2022-07-05 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10867034B2 (en) | Method for detecting a cyber attack | |
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| EP3253018B1 (en) | Network intrusion detection based on geographical information | |
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| CN107404465B (zh) | 网络数据分析方法及服务器 | |
| CN107370763B (zh) | 基于外部威胁情报分析的资产安全预警方法及装置 | |
| US9680861B2 (en) | Historical analysis to identify malicious activity | |
| US7200866B2 (en) | System and method for defending against distributed denial-of-service attack on active network | |
| CN111490970A (zh) | 一种网络攻击的溯源分析方法 | |
| US20140090058A1 (en) | Traffic simulation to identify malicious activity | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| US10642906B2 (en) | Detection of coordinated cyber-attacks | |
| Onwubiko | Cocoa: An ontology for cybersecurity operations centre analysis process | |
| CN110971579A (zh) | 一种网络攻击展示方法及装置 | |
| CN111818073B (zh) | 一种失陷主机检测方法、装置、设备及介质 | |
| CN105447385B (zh) | 一种多层次检测的应用型数据库蜜罐实现系统及方法 | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN109587120A (zh) | 通过目标感知进行威胁报警的方法、装置及设备 | |
| CN110035062A (zh) | 一种网络验伤方法及设备 | |
| CN108234400A (zh) | 一种攻击行为确定方法、装置及态势感知系统 | |
| CN113472772A (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| Pour et al. | Sanitizing the iot cyber security posture: An operational cti feed backed up by internet measurements | |
| Ichise et al. | NS record history based abnormal DNS traffic detection considering adaptive botnet communication blocking | |
| Li et al. | Real-time correlation of network security alerts | |
| CN113489703A (zh) | 一种安全防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190405 |
|
| RJ01 | Rejection of invention patent application after publication |