CN109951477A - 一种基于威胁情报检测网络攻击的方法和装置 - Google Patents
一种基于威胁情报检测网络攻击的方法和装置 Download PDFInfo
- Publication number
- CN109951477A CN109951477A CN201910203569.0A CN201910203569A CN109951477A CN 109951477 A CN109951477 A CN 109951477A CN 201910203569 A CN201910203569 A CN 201910203569A CN 109951477 A CN109951477 A CN 109951477A
- Authority
- CN
- China
- Prior art keywords
- information
- threat
- checked
- measurement information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种基于威胁情报检测网络攻击的方法及装置,所述方法中,威胁情报碰撞库为威胁情报关键字信息经过第一映射算法计算后的第一映射结果的集合,相对于现有技术来说,网络安全设备在检测网络流量是否是威胁流量时,先将网络流量中的待检测信息与威胁情报碰撞库匹配,在确定待检测信息对应的网络流量为网络攻击产生的威胁流量之后,将待检测信息上传至云端,由云端查询待检测信息对应的威胁详情。待检测信息与威胁情报碰撞库进行匹配,即判断待检测信息是否与第一映射结果相匹配,由于威胁情报关键字信息进经过第一映射算法计算后所得第一映射结果的体积较小,相对于现有技术来说,降低了网络安全设备的匹配压力。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种基于威胁情报检测网络攻击的方法和装置。
背景技术
随着网络攻击的复杂性以及多元化的不断提升,传统网络安全设备(如防火墙、入侵防御系统和反病毒软件等)的安全性不断受到挑战。为达到攻击目的,网络攻击的攻击者会不断改变现有的网络攻击方式,而传统网络安全设备通过恶意程序签名或者攻击技术报告的检测方式很有可能无法检测到不断变化的网络攻击。
为了检测到不断变化的网络攻击,现有技术提供一种利用威胁情报检测网络攻击的方法,该方法中,云端收集大量的威胁情报,即已被识别为网络攻击的威胁流量,并生成威胁情报离线库,然后将该威胁情报离线库下发至网络安全设备。网络安全设备将网络流量中的待检测信息与该威胁情报离线库进行匹配,若该威胁情报离线库中存在与待检测信息相匹配的威胁情报,则说明待检测信息对应的网络流量为网络攻击产生的威胁流量。
由于网络攻击方式会不断变化,因此相应生成的威胁情报具有时效性。为保证网络安全设备检测网络流量的有效性,云端的威胁情报离线库通常会在固定时间点进行更新,并将更新后的威胁情报离线库下发至网络安全设备。但是,发明人在本申请的研究过程中发现,在网络安全设备中,待检测信息与威胁情报离线库进行匹配时,由于威胁情报离线库数据量较大,使得匹配过程复杂,从而导致网络安全设备性能消耗过大。
发明内容
本申请提供基于威胁情报检测网络攻击的方法和装置,以解决现有检测方法中威胁情报离线库数据量较大,导致的网络安全设备性能消耗过大的问题。
本申请的第一方面,提供一种基于威胁情报检测网络攻击的方法,所述方法应用于网络安全设备,包括:
获取云端下发的威胁情报碰撞库,所述威胁情报碰撞库为威胁情报中的威胁情报关键字信息经过第一映射算法计算后所得第一映射结果的集合;
获取网络流量中的待检测信息;
通过将所述待检测信息与所述威胁情报碰撞库进行匹配,判断所述待检测信息对应的网络流量是否为网络攻击产生的威胁流量;
将第一待检测信息上传至云端,以便所述云端查询所述第一待检测信息对应的网络攻击的威胁详情,其中,所述第一待检测信息为确定为网络攻击产生的威胁流量对应的待检测信息;
获取云端发送的所述第一待检测信息对应的网络攻击的威胁详情,生成网络流量检测日志。
可选的,通过将所述待检测信息与所述威胁情报碰撞库进行匹配,判断所述待检测信息是否为网络攻击产生的威胁流量,包括:
利用第二映射算法,获取所述待检测信息的第二映射结果,其中,所述第二映射算法与所述第一映射算法一致;
通过查找所述威胁情报碰撞库中是否存在与所述第二映射结果相同的第一映射结果,判断所述待检测信息是否为网络攻击产生的流量,其中,若存在,则确定所述待检测信息为网络攻击产生的威胁流量;若不存在,则确定所述待检测信息不是网络攻击产生的威胁流量。
本申请的第二方面,提供一种基于威胁情报检测网络攻击的方法,所述方法应用于云端,包括:
获取威胁情报,提取各个所述威胁情报的威胁关键字信息以及威胁值信息;
根据所述威胁关键字信息,生成威胁情报碰撞库;
将所述威胁情报碰撞库下发至网络安全设备;
获取所述网络安全设备上传的第二待检测信息,所述第二待检测信息对应的网络流量为通过与所述威胁情报碰撞库匹配,确定为网络攻击产生的威胁流量;
查询与所述第二待检测信息对应的网络攻击的目标威胁值信息,将所述目标威胁值信息作为所述待检测信息对应的网络攻击的威胁详情;
将所述第二待检测信息对应的网络攻击的威胁详情发送至所述网络安全设备,以便所述网络安全设备生成网络流量检测日志。
可选的,根据所述威胁关键字信息,生成威胁情报碰撞库,包括:
根据第一映射算法,获取各个所述威胁关键字信息的第一映射结果;
汇总所述第一映射结果,形成威胁情报碰撞库。
可选的,查询与所述第二待检测信息对应的网络攻击的目标威胁值信息,包括:
获取所述第二待检测信息的第二映射结果,选取与所述第二映射结果相同的第一映射结果对应的威胁情报关键字信息;
在所述第一映射结果对应的威胁情报关键字信息中,查找与所述第二待检测信息对应的威胁情报关键字信息;
将所述第二待检测信息对应的威胁情报关键字信息作为目标威胁关键字信息;
确定与所述目标威胁关键字信息对应的威胁值信息为所述第二待检测信息对应的网络攻击的目标威胁值信息。
本申请的第三方面,提供一种基于威胁情报检测网络攻击的装置,所述装置应用于网络安全设备,包括:
第一获取模块,用于获取云端下发的威胁情报碰撞库,所述威胁情报碰撞库为威胁情报中的威胁情报关键字信息经过第一映射算法计算后所得第一映射结果的集合;
第二获取模块,用于获取网络流量中的待检测信息;
判断模块,用于通过将所述待检测信息与所述威胁情报碰撞库进行匹配,判断所述待检测信息对应的网络流量是否为网络攻击产生的威胁流量;
上传模块,用于将第一待检测信息上传至云端,以便所述云端查询所述第一待检测信息对应的网络攻击的威胁详情,其中,所述第一待检测信息为确定为网络攻击产生的威胁流量对应的待检测信息;
日志生成模块,用于获取云端发送的所述第一待检测信息对应的网络攻击的威胁详情,生成网络流量检测日志。
可选的,所述判断模块包括:
第一获取单元,用于利用第二映射算法,获取所述待检测信息的第二映射结果,其中,所述第二映射算法与所述第一映射算法一致;
判断单元,用于通过查找所述威胁情报碰撞库中是否存在与所述第二映射结果相同的第一映射结果,判断所述待检测信息是否为网络攻击产生的流量,其中,若存在,则确定所述待检测信息为网络攻击产生的威胁流量;若不存在,则确定所述待检测信息不是网络攻击产生的威胁流量。
本申请的第四方面,提供一种基于威胁情报检测网络攻击的装置,所述装置应用于云端,包括:
第三获取模块,用于获取威胁情报,提取各个所述威胁情报的威胁关键字信息以及威胁值信息;
生成模块,用于根据所述威胁关键字信息,生成威胁情报碰撞库;
下发模块,用于将所述威胁情报碰撞库下发至网络安全设备;
第四获取模块,用于获取所述网络安全设备上传的第二待检测信息,所述第二待检测信息对应的网络流量为通过与所述威胁情报碰撞库匹配,确定为网络攻击产生的威胁流量;
查询模块,用于查询与所述第二待检测信息对应的网络攻击的目标威胁值信息,将所述目标威胁值信息作为所述待检测信息对应的网络攻击的威胁详情;
威胁详情发送模块,用于将所述第二待检测信息对应的网络攻击的威胁详情发送至所述网络安全设备,以便所述网络安全设备生成网络流量检测日志。
可选的,所述生成模块包括:
第二获取单元,用于根据第一映射算法,获取各个所述威胁关键字信息的第一映射结果;
生成单元,用于汇总所述第一映射结果,形成威胁情报碰撞库。
可选的,所述查询模块包括:
第三获取单元,用于获取所述第二待检测信息的第二映射结果,选取与所述第二映射结果相同的第一映射结果对应的威胁情报关键字信息;
查找单元,用于在所述第一映射结果对应的威胁情报关键字信息中,查找与所述第二待检测信息对应的威胁情报关键字信息;
第一确定单元,用于将所述第二待检测信息对应的威胁情报关键字信息作为目标威胁关键字信息;
第二确定单元,用于确定与所述目标威胁关键字信息对应的威胁值信息为所述第二待检测信息对应的网络攻击的目标威胁值信息。
本申请提供一种基于威胁情报检测网络攻击的方法及装置,所述方法中,威胁情报碰撞库为威胁情报关键字信息经过第一映射算法计算后的第一映射结果的集合,相对于现有技术来说,网络安全设备在检测网络流量是否是威胁流量时,先将网络流量中的待检测信息与威胁情报碰撞库匹配,在确定待检测信息对应的网络流量为网络攻击产生的威胁流量之后,将待检测信息上传至云端,由云端查询待检测信息对应的威胁详情。
待检测信息与威胁情报碰撞库进行匹配,即判断待检测信息是否与第一映射结果相匹配,由于威胁情报关键字信息进经过第一映射算法计算后所得第一映射结果的体积较小,相对于现有技术来说,降低了网络安全设备的匹配压力。进一步地,威胁情报关键字信息进经过第一映射算法计算后所得第一映射结果的体积较小,即威胁情报碰撞库体积较小,有利于威胁情报碰撞库下发至网络安全设备,且下发过程中占用带宽较少。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于威胁情报检测网络攻击的方法的工作流程图;
图2为本申请实施例提供的又一种基于威胁情报检测网络攻击的方法的工作流程图;
图3为本申请实施例提供的一种基于威胁情报检测网络攻击的方法中,生成威胁情报碰撞库的场景示意图;
图4为本申请实施例提供的一种基于威胁情报检测网络攻击的装置;
图5为本申请实施例提供的又一种基于威胁情报检测网络攻击的装置。
具体实施方式
为解决现有检测方法中威胁情报离线库数据量较大,导致的网络安全设备性能消耗过大的问题,本申请提供基于威胁情报检测网络攻击的方法和装置。
参见图1,图1为本申请实施例提供的一种基于威胁情报检测网络攻击的方法的工作流程图,本申请实施例应用于网络安全设备,包括以下步骤:
步骤101,获取云端下发的威胁情报碰撞库,所述威胁情报碰撞库为威胁情报中的威胁情报关键字信息经过第一映射算法计算后所得第一映射结果的集合。
在本申请实施例中,网络安全设备设置于客户端和服务器之间,客户端与服务器之间交互产生的网络流量均经过网络安全设别,网络安全设备用于检测这些网络流量是否为威胁流量。本申请实施例中,网络安全设备基于威胁情报检测网络流量,威胁情报存储于云端,且以威胁情报碰撞库的形式下发至网络安全设备。
本申请实施例中,云端在存储威胁情报时,会获取每条威胁情报的威胁关键字信息和威胁值信息。例如,云端将威胁情报中的源IP地址和域名信息作为威胁情报关键字信息,将威胁情报中的威胁类型作为威胁值信息,则威胁情报碰撞库中仅包含威胁情报中的源IP地址和域名信息,而没有威胁类型等详细描述威胁情报的信息。
步骤102,获取网络流量中的待检测信息。
网络流量是指客户端与服务器交互过程中,客户端传输至服务器的数据量,以及服务器传输至客户端的数据量的总和,而数据量通常以报文的形式进行传输,因此,本申请实施例中,网络流量通常以报文为载体,报文中包含的信息较多,如源IP地址、目的IP地址、源端口号和目的端口号等,将报文与威胁情报碰撞库进行匹配,也就是与威胁情报中的威胁关键字信息进行匹配,云端对于威胁情报关键字信息有明确的指示,因此,为适应威胁情报关键字信息,将报文中的与威胁情报关键字相对应的信息筛选出来,形成待检测信息。例如,威胁情报关键字信息包含源IP地址和域名信息,则将报文中的源IP地址和域名信息作为待检测信息。
另外,通过待检测信息,还可以查找到待检测信息对应的报文,方便在确定待检测信息对应的网络流量为威胁流量之后,查找到待检测信息对应的报文。
步骤103,通过将所述待检测信息与所述威胁情报碰撞库进行匹配,判断所述待检测信息对应的网络流量是否为网络攻击产生的威胁流量。
该步骤中,如果所述待检测信息对应的网络流量是网络攻击产生的威胁流量,说明待检测信息对应的网络流量是威胁流量,则将该待检测信息作为第一待检测信息,然后执行步骤104的操作。如果所述待检测信息对应的网络流量不是网络攻击产生的威胁流量,说明待检测信息对应的网络流量没有威胁,网络安全设备再对该网络流量执行放行或者其他操作。
步骤104,将第一待检测信息上传至云端,以便所述云端查询所述第一待检测信息对应的网络攻击的威胁详情,其中,所述第一待检测信息为确定为网络攻击产生的威胁流量对应的待检测信息。
在步骤103中,待检测信息与威胁情报关键字信息对应的第一映射结果进行匹配后,能够确定所述待检测信息对应的网络流量是否为网络攻击产生的威胁流量,但无法确定所述待检测信息对应的网络攻击的威胁详情,在这种情况下,与现有技术仅采用网络安全设备识别威胁流量的方式不同,本申请实施例采用网络安全设备与云端检测相结合的方式识别威胁流量,即,将第一待检测信息上传至云端,由云端检测第一待检测信息对应的网络攻击的威胁详情。
步骤105,获取云端发送的所述第一待检测信息对应的网络攻击的威胁详情,生成网络流量检测日志。
该步骤中,网络流量检测日志包含各条第一待检测信息的检测时间以及检测结果等,以便对第一待检测信息进行分析。
由以上技术方案可知,本申请实施例提供一种基于威胁情报检测网络攻击的方法,所述方法中,待检测信息与威胁情报碰撞库进行匹配,即判断待检测信息是否与第一映射结果相匹配,由于威胁情报关键字信息进经过第一映射算法计算后所得第一映射结果的体积较小,相对于现有技术来说,降低了网络安全设备的匹配压力。进一步地,威胁情报关键字信息进经过第一映射算法计算后所得第一映射结果的体积较小,即威胁情报碰撞库体积较小,有利于威胁情报碰撞库下发至网络安全设备,且下发过程中占用带宽较少。
步骤103中,通过将所述待检测信息与所述威胁情报碰撞库进行匹配,判断所述待检测信息是否为网络攻击产生的威胁流量,具体包括以下步骤:
步骤1031,利用第二映射算法,获取所述待检测信息的第二映射结果,其中,所述第二映射算法与所述第一映射算法一致。
步骤1032,通过查找所述威胁情报碰撞库中是否存在与所述第二映射结果相同的第一映射结果,判断所述待检测信息是否为网络攻击产生的流量,其中,若存在,则确定所述待检测信息为网络攻击产生的威胁流量;若不存在,则确定所述待检测信息不是网络攻击产生的威胁流量。
本申请实施例中,若能够匹配到与威胁情报碰撞库相匹配的待检测信息,则说明待检测信息中存在与威胁情报相对应的威胁情报关键字信息,基于此,在采用相同映射算法的情况下,待检测信息对应的第二映射结果与威胁情报关键字信息对应的第一映射结果相同,因此,需要确定的是,威胁情报碰撞库中是否存在与第二映射结果相同的第一映射集合。
并且,在确保第二映射算法与第一映射算法相同的情况下,云端下发到网络安全设备的威胁情报碰撞库中仅包含第一映射结果的集合,而无需将各条威胁情报的威胁关键字信息一并下发,这样,降低了威胁情报碰撞库的体积,使得威胁情报碰撞库在下发过程中不至于占用很大的带宽。
参见图2,图2为本申请实施例提供的又一种基于威胁情报检测网络攻击的方法的工作流程图,所述方法应用于云端,包括以下步骤:
步骤201,获取威胁情报,提取各个所述威胁情报的威胁关键字信息以及威胁值信息。
在一种可实现的方式中,云端利用key-value数据库存储威胁情报,其中,威胁key值表示威胁关键字信息,威胁value值表示威胁值信息。
步骤202,根据所述威胁关键字信息,生成威胁情报碰撞库。
该步骤中,根据所述威胁关键字信息,生成威胁情报碰撞库,具体包括以下步骤:
步骤2021,根据第一映射算法,获取各个所述威胁关键字信息的第一映射结果。
步骤2022,汇总所述第一映射结果,形成威胁情报碰撞库。
如图3所示的示意图,将bloom filter算法作为第一映射算法,在bloom filter算法中,hash函数为murmurhash3,误差率为0.5%,根据误差率计算出hash函数个数为3,利用bloom filter算法将威胁情报对应的各条威胁key值进行hash计算并取模,每条威胁key值由三个hash函数计算三次hash并取模,对应位图中3个bit,即得到第一映射结果,汇总威胁情报的所有第一映射结果,生成威胁情报碰撞库。
原本每条几十字节的威胁key值,映射后仅占2-3个bit位;而威胁value值存放到云端进行异步查询,不下发到设备端。这样,一条上百字节的威胁情报,被映射成了仅占几个bit的位图,大大减小了威胁情报碰撞库的体积。以二百五十万威胁情报数据为例,假设每条威胁情报数据平均占30字节,利用现有技术生成的威胁情报离线库体积约为71MB;而按照本申请实施例提供的方法生成的威胁情报碰撞库,体积仅为3.3MB,体积减小了约20倍。
步骤203,将所述威胁情报碰撞库下发至网络安全设备。
本申请实施例中,威胁情报碰撞库的体积较小,方便网络安全设备每天更新威胁情报碰撞库,且不会占用大量带宽。另外,及时更新威胁情报碰撞库,也有利于提高网络流量检测的准确性。
步骤204,获取所述网络安全设备上传的第二待检测信息,所述第二待检测信息对应的网络流量为通过与所述威胁情报碰撞库匹配,确定为网络攻击产生的威胁流量。
步骤205,查询与所述第二待检测信息对应的网络攻击的目标威胁值信息,将所述目标威胁值信息作为所述待检测信息对应的网络攻击的威胁详情。
步骤206,将所述第二待检测信息对应的网络攻击的威胁详情发送至所述网络安全设备,以便所述网络安全设备生成网络流量检测日志。
由以上技术方案可知,本申请实施例提供一种基于威胁情报检测网络攻击的方法,所述方法中,云端利用第一映射算法,获得威胁关键字信息对应的威胁情报碰撞库,使得下发至网络安全设备的威胁情报碰撞库的体积减小,从而减轻网络安全设备的匹配压力,提高网络安全设备的匹配性能。进一步地,威胁情报碰撞库体积较小,有利于威胁情报碰撞库下发至网络安全设备,且下发过程中占用带宽较少。
步骤205中,查询与所述第二待检测信息对应的网络攻击的目标威胁值信息,具体包括以下步骤:
步骤2051,获取所述第二待检测信息的第二映射结果,选取与所述第二映射结果相同的第一映射结果对应的威胁情报关键字信息。
步骤2052,在所述第一映射结果对应的威胁情报关键字信息中,查找与所述第二待检测信息对应的威胁情报关键字信息。
步骤2053,将所述第二待检测信息对应的威胁情报关键字信息作为目标威胁关键字信息。
步骤2054,确定与所述目标威胁关键字信息对应的威胁值信息为所述第二待检测信息对应的网络攻击的目标威胁值信息。
本申请实施例中,由于不同的威胁关键字信息经第一映射算法计算后所得第一映射结果可能相同,也就是说,同一第一映射结果可能对应不同的威胁关键字信息,因此,在云端查询第二映射结果对应的网络攻击的目标威胁值信息时,首先将查找范围限定于与第二映射结果相同的第一映射结果中,这些第一映射结果对应的威胁关键字信息可能为一条,也可能为多条。如果这些第一映射结果对应的威胁关键字信息为一条,则能够确定该条威胁关键字信息对应的威胁值信息即为目标威胁值信息;如果这些第一映射结果对应的威胁关键字信息为多条,则可以将下一步查找的范围限定于这些第一映射结果对应的威胁关键字信息中,有利于快速地查找到目标威胁值信息。
在另一种可实现的方式中,查找与所述第二待检测信息对应的网络攻击的目标威胁值信息时,不考虑第二待检测信息的第二映射结果,直接根据第二待检测信息中的威胁关键字信息进行查找,遍历云端存储的威胁情报,也可以查找到与第二待检测信息对应的目标威胁值信息。
参见图4,本申请实施例提供一种基于威胁情报检测网络攻击的装置,所述装置应用于网络安全设备,包括:
第一获取模块100,用于获取云端下发的威胁情报碰撞库,所述威胁情报碰撞库为威胁情报中的威胁情报关键字信息经过第一映射算法计算后所得第一映射结果的集合;
第二获取模块200,用于获取网络流量中的待检测信息;
判断模块300,用于通过将所述待检测信息与所述威胁情报碰撞库进行匹配,判断所述待检测信息对应的网络流量是否为网络攻击产生的威胁流量;
上传模块400,用于将第一待检测信息上传至云端,以便所述云端查询所述第一待检测信息对应的网络攻击的威胁详情,其中,所述第一待检测信息为确定为网络攻击产生的威胁流量对应的待检测信息;
日志生成模块500,用于获取云端发送的所述第一待检测信息对应的网络攻击的威胁详情,生成网络流量检测日志。
可选的,所述判断模块包括:
第一获取单元,用于利用第二映射算法,获取所述待检测信息的第二映射结果,其中,所述第二映射算法与所述第一映射算法一致;
判断单元,用于通过查找所述威胁情报碰撞库中是否存在与所述第二映射结果相同的第一映射结果,判断所述待检测信息是否为网络攻击产生的流量,其中,若存在,则确定所述待检测信息为网络攻击产生的威胁流量;若不存在,则确定所述待检测信息不是网络攻击产生的威胁流量。
参见图5,本申请实施例提供又一种基于威胁情报检测网络攻击的装置,所述装置应用于云端,包括:
第三获取模块600,用于获取威胁情报,提取各个所述威胁情报的威胁关键字信息以及威胁值信息;
生成模块700,用于根据所述威胁关键字信息,生成威胁情报碰撞库;
下发模块800,用于将所述威胁情报碰撞库下发至网络安全设备;
第四获取模块900,用于获取所述网络安全设备上传的第二待检测信息,所述第二待检测信息对应的网络流量为通过与所述威胁情报碰撞库匹配,确定为网络攻击产生的威胁流量;
查询模块1000,用于查询与所述第二待检测信息对应的网络攻击的目标威胁值信息,将所述目标威胁值信息作为所述待检测信息对应的网络攻击的威胁详情;
威胁详情发送模块1100,用于将所述第二待检测信息对应的网络攻击的威胁详情发送至所述网络安全设备,以便所述网络安全设备生成网络流量检测日志。
可选的,所述生成模块包括:
第二获取单元,用于根据第一映射算法,获取各个所述威胁关键字信息的第一映射结果;
生成单元,用于汇总所述第一映射结果,形成威胁情报碰撞库。
可选的,所述查询模块包括:
第三获取单元,用于获取所述第二待检测信息的第二映射结果,选取与所述第二映射结果相同的第一映射结果对应的威胁情报关键字信息;
查找单元,用于在所述第一映射结果对应的威胁情报关键字信息中,查找与所述第二待检测信息对应的威胁情报关键字信息;
第一确定单元,用于将所述第二待检测信息对应的威胁情报关键字信息作为目标威胁关键字信息;
第二确定单元,用于确定与所述目标威胁关键字信息对应的威胁值信息为所述第二待检测信息对应的网络攻击的目标威胁值信息。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上结合具体实施方式和范例性实例对本申请进行了详细说明,不过这些说明并不能理解为对本申请的限制。本领域技术人员理解,在不偏离本申请精神和范围的情况下,可以对本申请技术方案及其实施方式进行多种等价替换、修饰或改进,这些均落入本申请的范围内。本申请的保护范围以所附权利要求为准。
Claims (10)
1.一种基于威胁情报检测网络攻击的方法,其特征在于,所述方法应用于网络安全设备,包括:
获取云端下发的威胁情报碰撞库,所述威胁情报碰撞库为威胁情报中的威胁情报关键字信息经过第一映射算法计算后所得第一映射结果的集合;
获取网络流量中的待检测信息;
通过将所述待检测信息与所述威胁情报碰撞库进行匹配,判断所述待检测信息对应的网络流量是否为网络攻击产生的威胁流量;
将第一待检测信息上传至云端,以便所述云端查询所述第一待检测信息对应的网络攻击的威胁详情,其中,所述第一待检测信息为确定为网络攻击产生的威胁流量对应的待检测信息;
获取云端发送的所述第一待检测信息对应的网络攻击的威胁详情,生成网络流量检测日志。
2.根据权利要求1所述的方法,其特征在于,通过将所述待检测信息与所述威胁情报碰撞库进行匹配,判断所述待检测信息是否为网络攻击产生的威胁流量,包括:
利用第二映射算法,获取所述待检测信息的第二映射结果,其中,所述第二映射算法与所述第一映射算法一致;
通过查找所述威胁情报碰撞库中是否存在与所述第二映射结果相同的第一映射结果,判断所述待检测信息是否为网络攻击产生的流量,其中,若存在,则确定所述待检测信息为网络攻击产生的威胁流量;若不存在,则确定所述待检测信息不是网络攻击产生的威胁流量。
3.一种基于威胁情报检测网络攻击的方法,其特征在于,所述方法应用于云端,包括:
获取威胁情报,提取各个所述威胁情报的威胁关键字信息以及威胁值信息;
根据所述威胁关键字信息,生成威胁情报碰撞库;
将所述威胁情报碰撞库下发至网络安全设备;
获取所述网络安全设备上传的第二待检测信息,所述第二待检测信息对应的网络流量为通过与所述威胁情报碰撞库匹配,确定为网络攻击产生的威胁流量;
查询与所述第二待检测信息对应的网络攻击的目标威胁值信息,将所述目标威胁值信息作为所述待检测信息对应的网络攻击的威胁详情;
将所述第二待检测信息对应的网络攻击的威胁详情发送至所述网络安全设备,以便所述网络安全设备生成网络流量检测日志。
4.根据权利要求3所述的方法,其特征在于,根据所述威胁关键字信息,生成威胁情报碰撞库,包括:
根据第一映射算法,获取各个所述威胁关键字信息的第一映射结果;
汇总所述第一映射结果,形成威胁情报碰撞库。
5.根据权利要求3所述的方法,其特征在于,查询与所述第二待检测信息对应的网络攻击的目标威胁值信息,包括:
获取所述第二待检测信息的第二映射结果,选取与所述第二映射结果相同的第一映射结果对应的威胁情报关键字信息;
在所述第一映射结果对应的威胁情报关键字信息中,查找与所述第二待检测信息对应的威胁情报关键字信息;
将所述第二待检测信息对应的威胁情报关键字信息作为目标威胁关键字信息;
确定与所述目标威胁关键字信息对应的威胁值信息为所述第二待检测信息对应的网络攻击的目标威胁值信息。
6.一种基于威胁情报检测网络攻击的装置,其特征在于,所述装置应用于网络安全设备,包括:
第一获取模块,用于获取云端下发的威胁情报碰撞库,所述威胁情报碰撞库为威胁情报中的威胁情报关键字信息经过第一映射算法计算后所得第一映射结果的集合;
第二获取模块,用于获取网络流量中的待检测信息;
判断模块,用于通过将所述待检测信息与所述威胁情报碰撞库进行匹配,判断所述待检测信息对应的网络流量是否为网络攻击产生的威胁流量;
上传模块,用于将第一待检测信息上传至云端,以便所述云端查询所述第一待检测信息对应的网络攻击的威胁详情,其中,所述第一待检测信息为确定为网络攻击产生的威胁流量对应的待检测信息;
日志生成模块,用于获取云端发送的所述第一待检测信息对应的网络攻击的威胁详情,生成网络流量检测日志。
7.根据权利要求6所述的装置,其特征在于,所述判断模块包括:
第一获取单元,用于利用第二映射算法,获取所述待检测信息的第二映射结果,其中,所述第二映射算法与所述第一映射算法一致;
判断单元,用于通过查找所述威胁情报碰撞库中是否存在与所述第二映射结果相同的第一映射结果,判断所述待检测信息是否为网络攻击产生的流量,其中,若存在,则确定所述待检测信息为网络攻击产生的威胁流量;若不存在,则确定所述待检测信息不是网络攻击产生的威胁流量。
8.一种基于威胁情报检测网络攻击的装置,其特征在于,所述装置应用于云端,包括:
第三获取模块,用于获取威胁情报,提取各个所述威胁情报的威胁关键字信息以及威胁值信息;
生成模块,用于根据所述威胁关键字信息,生成威胁情报碰撞库;
下发模块,用于将所述威胁情报碰撞库下发至网络安全设备;
第四获取模块,用于获取所述网络安全设备上传的第二待检测信息,所述第二待检测信息对应的网络流量为通过与所述威胁情报碰撞库匹配,确定为网络攻击产生的威胁流量;
查询模块,用于查询与所述第二待检测信息对应的网络攻击的目标威胁值信息,将所述目标威胁值信息作为所述待检测信息对应的网络攻击的威胁详情;
威胁详情发送模块,用于将所述第二待检测信息对应的网络攻击的威胁详情发送至所述网络安全设备,以便所述网络安全设备生成网络流量检测日志。
9.根据权利要求8所述的装置,其特征在于,所述生成模块包括:
第二获取单元,用于根据第一映射算法,获取各个所述威胁关键字信息的第一映射结果;
生成单元,用于汇总所述第一映射结果,形成威胁情报碰撞库。
10.根据权利要求8所述的装置,其特征在于,所述查询模块包括:
第三获取单元,用于获取所述第二待检测信息的第二映射结果,选取与所述第二映射结果相同的第一映射结果对应的威胁情报关键字信息;
查找单元,用于在所述第一映射结果对应的威胁情报关键字信息中,查找与所述第二待检测信息对应的威胁情报关键字信息;
第一确定单元,用于将所述第二待检测信息对应的威胁情报关键字信息作为目标威胁关键字信息;
第二确定单元,用于确定与所述目标威胁关键字信息对应的威胁值信息为所述第二待检测信息对应的网络攻击的目标威胁值信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910203569.0A CN109951477B (zh) | 2019-03-18 | 2019-03-18 | 一种基于威胁情报检测网络攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910203569.0A CN109951477B (zh) | 2019-03-18 | 2019-03-18 | 一种基于威胁情报检测网络攻击的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109951477A true CN109951477A (zh) | 2019-06-28 |
| CN109951477B CN109951477B (zh) | 2021-07-13 |
Family
ID=67008940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910203569.0A Active CN109951477B (zh) | 2019-03-18 | 2019-03-18 | 一种基于威胁情报检测网络攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109951477B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474906A (zh) * | 2019-08-16 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 基于闭环反馈的主被动结合网络空间目标深度挖掘技术 |
| CN110708315A (zh) * | 2019-10-09 | 2020-01-17 | 杭州安恒信息技术股份有限公司 | 资产漏洞的识别方法、装置和系统 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
| CN110868418A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种威胁情报生成方法、装置 |
| CN112565296A (zh) * | 2020-12-24 | 2021-03-26 | 深信服科技股份有限公司 | 安全防护方法、装置、电子设备和存储介质 |
| CN112667629A (zh) * | 2020-12-22 | 2021-04-16 | 互联网域名系统北京市工程研究中心有限公司 | 基于布隆过滤器的威胁检测方法和系统 |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
| CN114760150A (zh) * | 2022-06-13 | 2022-07-15 | 交通运输通信信息集团有限公司 | 一种基于大数据的网络安全防护方法及系统 |
| CN115643116A (zh) * | 2022-12-23 | 2023-01-24 | 北京六方云信息技术有限公司 | 网络设备的防护方法、系统、终端设备以及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487810A (zh) * | 2016-11-25 | 2017-03-08 | 中国科学院信息工程研究所 | 一种云平台安全态势感知方法 |
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| CN107566376A (zh) * | 2017-09-11 | 2018-01-09 | 中国信息安全测评中心 | 一种威胁情报生成方法、装置及系统 |
| CN107800685A (zh) * | 2017-07-03 | 2018-03-13 | 南京骏腾信息技术有限公司 | 基于威胁情报的智能安全防御平台 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| CN107995179A (zh) * | 2017-11-27 | 2018-05-04 | 深信服科技股份有限公司 | 一种未知威胁感知方法、装置、设备及系统 |
| US20180191681A1 (en) * | 2016-12-31 | 2018-07-05 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
-
2019
- 2019-03-18 CN CN201910203569.0A patent/CN109951477B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487810A (zh) * | 2016-11-25 | 2017-03-08 | 中国科学院信息工程研究所 | 一种云平台安全态势感知方法 |
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| US20180191681A1 (en) * | 2016-12-31 | 2018-07-05 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
| CN107800685A (zh) * | 2017-07-03 | 2018-03-13 | 南京骏腾信息技术有限公司 | 基于威胁情报的智能安全防御平台 |
| CN107566376A (zh) * | 2017-09-11 | 2018-01-09 | 中国信息安全测评中心 | 一种威胁情报生成方法、装置及系统 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| CN107995179A (zh) * | 2017-11-27 | 2018-05-04 | 深信服科技股份有限公司 | 一种未知威胁感知方法、装置、设备及系统 |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474906A (zh) * | 2019-08-16 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 基于闭环反馈的主被动结合网络空间目标深度挖掘技术 |
| CN110708315A (zh) * | 2019-10-09 | 2020-01-17 | 杭州安恒信息技术股份有限公司 | 资产漏洞的识别方法、装置和系统 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
| CN110868418A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种威胁情报生成方法、装置 |
| CN112667629A (zh) * | 2020-12-22 | 2021-04-16 | 互联网域名系统北京市工程研究中心有限公司 | 基于布隆过滤器的威胁检测方法和系统 |
| CN112565296A (zh) * | 2020-12-24 | 2021-03-26 | 深信服科技股份有限公司 | 安全防护方法、装置、电子设备和存储介质 |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
| CN114006778B (zh) * | 2022-01-05 | 2022-03-25 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
| CN114760150A (zh) * | 2022-06-13 | 2022-07-15 | 交通运输通信信息集团有限公司 | 一种基于大数据的网络安全防护方法及系统 |
| CN115643116A (zh) * | 2022-12-23 | 2023-01-24 | 北京六方云信息技术有限公司 | 网络设备的防护方法、系统、终端设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109951477B (zh) | 2021-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951477A (zh) | 一种基于威胁情报检测网络攻击的方法和装置 | |
| US9787640B1 (en) | Using hypergraphs to determine suspicious user activities | |
| Lakshmi et al. | Efficient prediction of phishing websites using supervised learning algorithms | |
| US9462009B1 (en) | Detecting risky domains | |
| CN106384048B (zh) | 一种威胁信息处理方法与装置 | |
| CN103530367B (zh) | 一种钓鱼网站鉴别系统和方法 | |
| CN101826996B (zh) | 域名系统流量检测方法与域名服务器 | |
| CN108460278A (zh) | 一种威胁情报处理方法及装置 | |
| US8856928B1 (en) | Protecting electronic assets using false profiles in social networks | |
| CN109992989A (zh) | 使用抽象语法树的用于查询注入检测的系统 | |
| CN101841533A (zh) | 分布式拒绝服务攻击检测方法和装置 | |
| CN106790062B (zh) | 一种基于反向dns查询属性聚合的异常检测方法及系统 | |
| CN103905440A (zh) | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 | |
| CN104954188B (zh) | 基于云的网站日志安全分析方法、装置和系统 | |
| CN110071829A (zh) | Dns隧道检测方法、装置及计算机可读存储介质 | |
| CN107665164A (zh) | 安全数据检测方法和装置 | |
| CN110543506A (zh) | 数据分析方法、装置、电子设备及存储介质 | |
| CN110351291A (zh) | 基于多尺度卷积神经网络的DDoS攻击检测方法及装置 | |
| CN108270761A (zh) | 一种域名合法性检测方法及装置 | |
| CN108809928A (zh) | 一种网络资产风险画像方法及装置 | |
| CN108768934A (zh) | 恶意程序发布检测方法、装置以及介质 | |
| CN107493275A (zh) | 异构网络安全日志信息的自适应提取和分析方法及系统 | |
| Zhang et al. | A novel anomaly detection approach for mitigating web-based attacks against clouds | |
| Wang et al. | Real-time fast-flux identification via localized spatial geolocation detection | |
| CN112204930B (zh) | 恶意域名检测设备、系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |