CN110381090A - 终端异常检测方法、装置、检测设备及机器可读存储介质 - Google Patents
终端异常检测方法、装置、检测设备及机器可读存储介质 Download PDFInfo
- Publication number
- CN110381090A CN110381090A CN201910783464.7A CN201910783464A CN110381090A CN 110381090 A CN110381090 A CN 110381090A CN 201910783464 A CN201910783464 A CN 201910783464A CN 110381090 A CN110381090 A CN 110381090A
- Authority
- CN
- China
- Prior art keywords
- terminal
- attribute information
- abnormal
- detected
- library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种终端异常检测方法、装置、检测设备及机器可读存储介质,检测设备利用多个状态指标库对待检测终端的属性信息进行分析,由于各状态指标库分别记录有不同安全设备统计的终端状态指标,能够反映出不同维度的终端异常状态,通过将属性信息与各状态指标库对应的异常状态条件进行匹配,当某一个维度的异常状态条件匹配上,即可判定终端发生异常,从而可以更为全面地发现终端的异常情况,降低了网络系统中终端异常的漏检率。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种终端异常检测方法、装置、检测设备及机器可读存储介质。
背景技术
近年来,网络犯罪活动日益猖獗,演化成全球性的挑战。网络攻击由过去黑客的个人行为,逐渐发展成为有组织的犯罪或者攻击行为,呈现手段专业化、目的商业化、源头国际化及载体移动化的趋势。随着网络规模的爆发式增长,对大型机构的网络系统中各终端的监控复杂性也日益显现,例如对重要终端的监控遗漏将导致网络系统宕机或者业务中断。因此,如何有效地对网络系统中的终端进行异常检测成为亟待解决的问题。
当前,主要是根据终端的行为状况来判断该终端是否发生异常。当大规模的蠕虫病毒攻击、DDoS(Distributed Denial of Service,分布式拒绝服务)攻击、网络滥用产生时,会出现单个或者多个终端接收到超出正常数量的请求报文,基于此,通过对终端接收请求报文的数量是否超过预设数量进行判断,来判定终端是否发生异常,如果终端接收请求报文的数量超过了预设数量,则可以确定终端发生异常。
但是,在一些特殊的网络场景下,即便终端接收请求报文的数量未超过预设数量,终端也会因为自身的缺陷等原因发生异常,因此,利用上述终端异常检测方法进行异常检测,会存在漏检的情况。
发明内容
本发明实施例的目的在于提供一种终端异常检测方法、装置、检测设备及机器可读存储介质,以降低网络系统中终端异常的漏检率。具体技术方案如下:
第一方面,本发明实施例提供了一种终端异常检测方法,该方法包括:
确定待检测终端的属性信息;
利用多个状态指标库,分别对属性信息进行分析,判断属性信息是否匹配各状态指标库对应的异常状态条件,其中,各状态指标库分别记录有不同安全设备统计的终端状态指标;
若属性信息匹配任一状态指标库对应的异常状态条件,则确定待检测终端发生异常。
第二方面,本发明实施例提供了一种终端异常检测装置,该装置包括:
确定模块,用于确定待检测终端的属性信息;
判断模块,用于利用多个状态指标库,分别对属性信息进行分析,判断属性信息是否匹配各状态指标库对应的异常状态条件,其中,各状态指标库分别记录有不同安全设备统计的终端状态指标;
确定模块,还用于若判断模块的判断结果为属性信息匹配任一状态指标库对应的异常状态条件,则确定待检测终端发生异常。
第三方面,本发明实施例提供了一种检测设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本发明实施例第一方面所提供的方法。
第四方面,本发明实施例提供了一种机器可读存储介质,机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器执行本发明实施例第一方面所提供的方法。
本发明实施例提供的一种终端异常检测方法、装置、检测设备及机器可读存储介质,检测设备确定待检测终端的属性信息,利用多个状态指标库,分别对属性信息进行分析,判断属性信息是否匹配各状态指标库对应的异常状态条件,其中,各状态指标库分别记录有不同安全设备统计的终端状态指标,若属性信息匹配任一状态指标库对应的异常状态条件,则确定终端发生异常。利用多个状态指标库对待检测终端的属性信息进行分析,由于各状态指标库分别记录有不同安全设备统计的终端状态指标,能够反映出不同维度的终端异常状态,通过将属性信息与各状态指标库对应的异常状态条件进行匹配,当某一个维度的异常状态条件匹配上,即可判定终端发生异常,从而可以更为全面地发现终端的异常情况,降低了网络系统中终端异常的漏检率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例的终端异常检测方法的流程示意图;
图2为本发明另一实施例的终端异常检测方法的流程示意图;
图3为本发明实施例的终端异常检测装置的结构示意图;
图4为本发明实施例的检测设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了降低网络系统中终端异常的漏检率,本发明实施例提供了一种终端异常检测方法、装置、检测设备及机器可读存储介质。下面,首先对本发明实施例所提供的终端异常检测方法进行介绍。
本发明实施例所提供的终端异常检测方法的执行主体可以为检测设备,可以为网络系统的后台服务器,具体为搭载有安全态势感知平台的检测设备。
如图1所示,本发明实施例所提供的一种终端异常检测方法,可以包括如下步骤。
S101,确定待检测终端的属性信息。
待检测终端为网络系统中的个人计算机、打印机、摄像机等终端设备,需要对这些终端进行监控,这些终端的安全与否关系着整个网络系统的稳定运行,通常也会将这些终端称为网络系统的资产。待检测终端的属性信息包括待检测终端的硬件配置属性信息、软件配置属性信息、网络配置属性信息、设备标识信息等,这些属性信息中,有的是待检测终端的固有属性信息、有的是网络安全设备检测得到的属性信息,检测设备可以通过本地识别或者从网络安全设备获取的方式确定待检测终端的属性信息。
S102,利用多个状态指标库,分别对待检测终端的属性信息进行分析,判断属性信息是否匹配各状态指标库对应的异常状态条件,其中,各状态指标库分别记录有不同安全设备统计的终端状态指标。
检测设备上维护有多个状态指标库,每个状态指标库记录有不同安全设备统计的终端状态指标,安全设备包括网关设备、漏洞扫描设备、防火墙设备、外部情报设备等,一个状态指标库对应记录着一类安全设备统计的一个维度的终端状态指标。
终端的状态指标主要体现在硬件配置、操作系统/组件/应用漏洞、受攻击事件威胁等维度,因此,状态指标库通常包括基线库、漏洞库、安全事件库、威胁情报库等。每一个状态指标库都对应有一个异常状态的判定条件,例如,基线库中记录有待检测终端的配置基线,如果待检测终端的硬件配置偏离配置基线的程度达到一定阈值,则认为终端为异常状态;再例如,漏洞库中记录有哪些操作系统、组件或者应用程序存在漏洞,如果待检测终端中安装的操作系统、组件或者应用程序匹配上漏洞库中记载的操作系统、组件或者应用程序,则认为终端为异常状态。利用状态指标库对属性信息进行分析,通过属性信息是否与异常状态条件匹配的判断过程,可以确定出终端在不同维度的状态指标库下是否为异常状态。
可选的,属性信息可以包括硬件配置属性信息、软件配置属性信息、网络配置属性信息及设备标识信息;多个状态指标库可以包括基线库、漏洞库、安全事件库、威胁情报库中的至少两种。
其中,基线库记录有网关设备针对不同终端设定的配置基线;漏洞库记录有漏洞扫描设备扫描得到的存在漏洞的软件配置信息;安全事件库记录有防火墙设备检测得到的已经存在的攻击事件中被攻击终端的网络配置属性信息;威胁情报库记录有外部情报设备统计的疑似被攻击终端的设备标识信息。
终端的状态指标可以包括终端配置基线、终端漏洞、安全事件、威胁情报四个维度中的至少两个维度,通过这些维度,可以体现终端当前的状态情况,这四个维度的状态指标的含义如表1所示。
表1 终端状态指标维度及含义
终端的配置基线往往是网关设备针对不同终端设定的,存在漏洞的软件配置属性信息是由漏洞扫描设备扫描得到的,已经存在的攻击事件中被攻击终端的网络配置属性信息是由IPS(Intrusion Prevention System,入侵防御系统)、ACG(Application ControlGateway,应用控制网关)、普通防火墙等防火墙设备检测得到的,疑似被攻击终端的设备标识信息是由外部情报设备统计得到的。
可选的,S102具体可以通过以下四个步骤中的至少两个步骤实现:
第一个步骤,从基线库中查找待检测终端的配置基线,将待检测终端的硬件配置属性信息与配置基线进行对比分析,判断待检测终端的硬件配置属性信息相较于配置基线的偏离度是否超过预设阈值。
基线库记录有网关设备针对不同终端设定的配置基线,例如针对某一个终端,是否要求配置登录密码、该终端的负责人是谁、是否开启屏保、是否安装有防火墙软件等等,配置基线中有多个硬件配置项。检测设备首先可以基于待检测终端的设备标识从基线库中查找出待检测终端的配置基线,然后将待检测终端的硬件配置属性信息和配置基线中的各硬件配置项逐项的进行对比分析,判断硬件配置属性信息与每一个硬件配置项是否存在偏离,并判断整体的偏离度是否超过预设阈值。例如预设阈值为5个硬件配置项偏离,则如果统计出硬件配置属性信息中与5个以上的硬件配置项存在偏离,则认为在配置基线的维度下该终端发生异常;如果统计出硬件配置属性信息中与硬件配置项存在偏离的数目不到5个,则认为在配置基线的维度下该终端无异常。
第二个步骤,遍历漏洞库,判断漏洞库中是否记录有待检测终端的软件配置属性信息。
漏洞库记录有漏洞扫描设备扫描得到的存在漏洞的软件配置属性信息,例如操作系统类型、应用类型、组件类型、软件版本类型等,具有这些软件配置属性信息的终端存在软件漏洞。则在确定待检测终端的软件配置属性信息后,遍历漏洞库,通过逐项对比的方式,查看漏洞库中是否记录有待检测终端的软件配置属性信息。如果从漏洞库中查找到待检测终端的软件配置属性信息,则认为待检测终端的操作系统、应用、组件、软件版本等存在软件漏洞,在终端漏洞的维度下该终端发生异常;如果从漏洞库中没有查找到待检测终端的软件配置属性信息,则认为待检测终端的操作系统、应用、组件、软件版本等不存在软件漏洞,在终端漏洞的维度下该终端无异常。
当然,有些硬件在电路设计、封装时也可能存在缺陷,可以认为这些硬件存在漏洞,通过识别待检测终端中的硬件组件的组件信息是否匹配存在缺陷的硬件的硬件信息,如果匹配,则认为待检测终端存在硬件漏洞,待检测终端发生异常。
第三个步骤,遍历安全事件库,判断安全事件库中是否记录有待检测终端的网络配置属性信息。
安全事件库中记录有防火墙设备检测得到的已经存在的攻击事件中被攻击终端的网络配置属性信息,网络配置属性信息包括IP(Internet Protocol,网络协议)地址、端口信息、事件操作类型、发起攻击的源IP地址信息等,这些信息跟网络配置相关。则在确定待检测终端的网络配置属性信息后,通过逐项对比的方式,查看安全事件库中是否记录有待检测终端的网络配置属性信息。如果从安全事件库中查找到待检测终端的网络配置属性信息,则认为已经存在针对待检测终端的攻击威胁事件,在安全事件的维度下该终端发生异常;如果从安全事件库中没有查找到待检测终端的网络配置属性信息,则认为没有针对待检测终端的攻击威胁事件,在安全事件的维度下该终端无异常。
第四个步骤,遍历威胁情报库,判断威胁情报库中是否记录有待检测终端的设备标识信息。
威胁情报库记录有外部情报设备统计的疑似被攻击终端的设备标识信息,疑似被攻击终端是指存在针对该终端的攻击意图,设备标识信息可以唯一的标识一个终端,例如MAC(Media Access Control,媒体访问控制)地址、终端名称、序列号等。确定待检测终端的设备标识信息后,遍历威胁情报库,通过逐项对比的方式,查看威胁情报库中是否记录有待检测终端的设备标识信息。如果从威胁情报库中查找到待检测终端的设备标识信息,则认为有针对待检测终端的攻击意图,在威胁情报的维度下该终端发生异常;如果从威胁情报库中没有查找到待检测终端的设备标识信息,则认为没有针对待检测终端的攻击意图,在威胁情报的维度下该终端无异常。
S103,若待检测终端的属性信息匹配任一状态指标库对应的异常状态条件,则确定终端发生异常。
经过多个状态指标库的分析,当发现待检测终端的属性信息匹配任一状态指标库对应的异常状态条件,也就是状态指标库中某一个维度的状态指标为异常时,就认为该终端发生了异常。
可选的,S103具体可以为:
若硬件配置属性信息相较于基线库中待检测终端对应的配置基线的偏离度超过预设阈值,则确定待检测终端发生异常;或者,若漏洞库中记录有待检测终端的软件配置属性信息,则确定终端发生异常;或者,若安全事件库中记录有待检测终端的网络配置属性信息,则确定待检测终端发生异常;或者,若威胁情报库中记录有待检测终端的设备标识信息,则确定待检测终端发生异常。
状态指标库可以包括基线库、漏洞库、安全事件库、威胁情报库中的至少两种,则在进行终端异常检测时,如果相应的满足了状态指标库所对应的异常状态条件,则可以确定待检测终端发生了异常。
可选的,在执行S102之后,本发明实施例所提供的终端异常检测方法还可以执行如下步骤:
若待检测终端的属性信息匹配任一状态指标库对应的异常状态条件,则将预先构建的终端状态向量中对应的元素设置为异常状态,其中,终端状态向量中的各元素分别表示同一时刻利用不同状态指标库分析得到的终端运行状态。
相应的,S103具体可以为:若终端状态向量中存在为异常状态的元素,则确定待检测终端发生异常。
检测设备可以预先构建一个终端状态向量,用于记录同一时刻利用不同状态指标库分析得到的终端运行状态,例如F=[f1,f2,f3,f4],f1、f2、f3、f4分别表示同一时刻利用四种不同状态指标库分析得到的终端运行状态。在终端状态向量中可以用不同的标识表示终端运行状态是正常还是异常,例如可以用1表示异常、0表示正常。初始情况下,终端状态向量中的各元素都设置为0,即表示每一种维度的状态指标下终端运行状态都是正常的,如果某一个状态指标库下待检测终端异常,则将终端状态向量中对应的元素设置为1。在利用所有的状态指标库都做完分析后,可以判断终端状态向量中是否存在为1的元素,如果存在则认为待检测终端发生了异常。
应用本发明实施例,检测设备确定待检测终端的属性信息,利用多个状态指标库,分别对属性信息进行分析,判断属性信息是否匹配各状态指标库对应的异常状态条件,其中,各状态指标库分别记录有不同安全设备统计的终端状态指标,若属性信息匹配任一状态指标库对应的异常状态条件,则确定终端发生异常。利用多个状态指标库对待检测终端的属性信息进行分析,由于各状态指标库分别记录有不同安全设备统计的终端状态指标,能够反映出不同维度的终端异常状态,通过将属性信息与各状态指标库对应的异常状态条件进行匹配,当某一个维度的异常状态条件匹配上,即可判定终端发生异常,从而可以更为全面地发现终端的异常情况,降低了网络系统中终端异常的漏检率。
除了图1所示实施例中,从基线库、漏洞库、安全事件库、威胁情报库四个维度或者任两个维度分别进行分析,只要有一个维度下待检测终端的属性信息匹配异常状态条件,则认为待检测终端异常的实施方式以外,还可以从基线库、漏洞库、安全事件库、威胁情报库四个维度逐级进行分析,逐级分析的顺序不做限定,也就是在利用一个状态指标库进行匹配之后,如果没有匹配上该状态指标库对应的异常状态条件,则进行下一个状态指标库的匹配。为了便于理解,下面按照基线库、漏洞库、安全事件库、威胁情报库的顺序逐级分析的过程,对终端异常检测的方法进行详细介绍,如图2所示,具体步骤包括。
S201,确定待检测终端的属性信息,其中,属性信息包括硬件配置属性信息、软件配置属性信息、网络配置属性信息及设备标识信息。
S202,从基线库中查找待检测终端的配置基线,将待检测终端的硬件配置属性信息与配置基线进行对比分析,判断硬件配置属性信息相较于配置基线的偏离度是否超过预设阈值,若是则执行S207,否则执行S203。
S203,遍历漏洞库,判断漏洞库中是否记录有待检测终端的软件配置属性信息,若是则执行S207,否则执行S204。
S204,遍历安全事件库,判断安全事件库中是否记录有待检测终端的网络配置属性信息,若是则执行S207,否则执行S205。
S205,遍历威胁情报库,判断威胁情报库中是否记录有待检测终端的设备标识信息,若是则执行S207,否则执行S206。
S206,确定待检测终端没有发生异常。
S207,确定待检测终端发生了异常。
在本发明实施例中,可以从基线库、漏洞库、安全事件库、威胁情报库四个维度逐级地对待检测终端的属性信息进行分析,一旦有一个状态标识库识别出来待检测终端异常,则停止检测,确定待检测终端此刻发生异常,如果一个状态标识库未识别出待检测终端异常,则继续进行下一个状态标识库的识别,直至所有状态标识库都识别完,都没有识别出待检测终端异常,则可以认为此刻待检测终端是正常的。在识别出待检测终端异常的同时还可以进行异常告警,告知用户或者管理人员,此时是哪一个终端发生了异常。
相应于上述方法实施例,本发明实施例提供了一种终端异常检测装置,如图3所示,该装置可以包括:
确定模块310,用于确定待检测终端的属性信息;
判断模块320,用于利用多个状态指标库,分别对待检测终端的属性信息进行分析,判断属性信息是否匹配各状态指标库对应的异常状态条件,其中,各状态指标库分别记录有不同安全设备统计的终端状态指标;
确定模块310,还用于若判断模块320的判断结果为属性信息匹配任一状态指标库对应的异常状态条件,则确定待检测终端发生异常。
可选的,属性信息可以包括硬件配置属性信息、软件配置属性信息、网络配置属性信息及设备标识信息;多个状态指标库可以包括基线库、漏洞库、安全事件库、威胁情报库中的至少两种;
判断模块320,具体可以用于实现以下四个步骤中的至少两个:
从基线库中查找待检测终端的配置基线,将待检测终端的硬件配置属性信息与配置基线进行对比分析,判断硬件配置属性信息相较于配置基线的偏离度是否超过预设阈值,其中,基线库记录有网关设备针对不同终端设定的配置基线;
遍历漏洞库,判断漏洞库中是否记录有待检测终端的软件配置属性信息,其中,漏洞库记录有漏洞扫描设备扫描得到的存在漏洞的软件配置属性信息;
遍历安全事件库,判断安全事件库中是否记录有待检测终端的网络配置属性信息,其中,安全事件库记录有防火墙设备检测得到的已经存在的攻击事件中被攻击终端的网络配置属性信息;
遍历威胁情报库,判断威胁情报库中是否记录有待检测终端的设备标识信息,其中,威胁情报库记录有外部情报设备统计的疑似被攻击终端的设备标识信息。
可选的,确定模块310在用于若属性信息匹配任一状态指标库对应的异常状态条件,则确定待检测终端发生异常时,具体可以用于:
若待检测终端的硬件配置属性信息相较于配置基线的偏离度超过预设阈值,则确定待检测终端发生异常;
或者,
若漏洞库中记录有待检测终端的软件配置属性信息,则确定待检测终端发生异常;
或者,
若安全事件库中记录有待检测终端的网络配置属性信息,则确定待检测终端发生异常;
或者,
若威胁情报库中记录有待检测终端的设备标识信息,则确定待检测终端发生异常。
可选的,装置还可以包括:
设置模块,用于若待检测终端的属性信息匹配任一状态指标库对应的异常状态条件,则将预先构建的终端状态向量中该状态指标库对应的元素设置为异常状态,其中,终端状态向量中的各元素分别表示同一时刻利用不同状态指标库分析得到的终端运行状态;
确定模块310在用于若属性信息匹配任一状态指标库对应的异常状态条件,则确定待检测终端发生异常时,具体可以用于:
若终端状态向量中存在为异常状态的元素,则确定待检测终端发生异常。
应用本发明实施例,检测设备确定待检测终端的属性信息,利用多个状态指标库,分别对属性信息进行分析,判断属性信息是否匹配各状态指标库对应的异常状态条件,其中,各状态指标库分别记录有不同安全设备统计的终端状态指标,若属性信息匹配任一状态指标库对应的异常状态条件,则确定终端发生异常。利用多个状态指标库对待检测终端的属性信息进行分析,由于各状态指标库分别记录有不同安全设备统计的终端状态指标,能够反映出不同维度的终端异常状态,通过将属性信息与各状态指标库对应的异常状态条件进行匹配,当某一个维度的异常状态条件匹配上,即可判定终端发生异常,从而可以更为全面地发现终端的异常情况,降低了网络系统中终端异常的漏检率。
本发明实施例还提供了一种检测设备,如图4所示,包括处理器401和机器可读存储介质402,机器可读存储介质402存储有能够被处理器401执行的机器可执行指令,处理器401被机器可执行指令促使执行本发明实施例所提供的终端异常检测方法的所有步骤。
上述计算机可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本实施例中,处理器401通过读取机器可读存储介质402中存储的机器可执行指令,被机器可执行指令促使能够实现:检测设备确定待检测终端的属性信息,利用多个状态指标库,分别对属性信息进行分析,判断属性信息是否匹配各状态指标库对应的异常状态条件,其中,各状态指标库分别记录有不同安全设备统计的终端状态指标,若属性信息匹配任一状态指标库对应的异常状态条件,则确定终端发生异常。利用多个状态指标库对待检测终端的属性信息进行分析,由于各状态指标库分别记录有不同安全设备统计的终端状态指标,能够反映出不同维度的终端异常状态,通过将属性信息与各状态指标库对应的异常状态条件进行匹配,当某一个维度的异常状态条件匹配上,即可判定终端发生异常,从而可以更为全面地发现终端的异常情况,降低了网络系统中终端异常的漏检率。
另外,本发明实施例还提供了一种机器可读存储介质,机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器执行本发明实施例所提供的终端异常检测方法的所有步骤。
本实施例中,机器可读存储介质在运行时执行本发明实施例所提供的终端异常检测方法的机器可执行指令,因此能够实现:检测设备确定待检测终端的属性信息,利用多个状态指标库,分别对属性信息进行分析,判断属性信息是否匹配各状态指标库对应的异常状态条件,其中,各状态指标库分别记录有不同安全设备统计的终端状态指标,若属性信息匹配任一状态指标库对应的异常状态条件,则确定终端发生异常。利用多个状态指标库对待检测终端的属性信息进行分析,由于各状态指标库分别记录有不同安全设备统计的终端状态指标,能够反映出不同维度的终端异常状态,通过将属性信息与各状态指标库对应的异常状态条件进行匹配,当某一个维度的异常状态条件匹配上,即可判定终端发生异常,从而可以更为全面地发现终端的异常情况,降低了网络系统中终端异常的漏检率。
对于检测设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、检测设备以及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种终端异常检测方法,其特征在于,所述方法包括:
确定待检测终端的属性信息;
利用多个状态指标库,分别对所述属性信息进行分析,判断所述属性信息是否匹配各状态指标库对应的异常状态条件,所述各状态指标库分别记录有不同安全设备统计的终端状态指标;
若所述属性信息匹配任一状态指标库对应的异常状态条件,则确定所述待检测终端发生异常。
2.根据权利要求1所述的方法,其特征在于,所述属性信息包括硬件配置属性信息、软件配置属性信息、网络配置属性信息及设备标识信息;所述多个状态指标库包括基线库、漏洞库、安全事件库、威胁情报库中的至少两种;
所述利用多个状态指标库,分别对所述属性信息进行分析,判断所述属性信息是否匹配各状态指标库对应的异常状态条件,包括以下四个步骤中的至少两个:
从所述基线库中查找所述待检测终端的配置基线,将所述硬件配置属性信息与所述配置基线进行对比分析,判断所述硬件配置属性信息相较于所述配置基线的偏离度是否超过预设阈值,所述基线库记录有网关设备针对不同终端设定的配置基线;
遍历所述漏洞库,判断所述漏洞库中是否记录有所述软件配置属性信息,所述漏洞库记录有漏洞扫描设备扫描得到的存在漏洞的软件配置属性信息;
遍历所述安全事件库,判断所述安全事件库中是否记录有所述网络配置属性信息,所述安全事件库记录有防火墙设备检测得到的已经存在的攻击事件中被攻击终端的网络配置属性信息;
遍历所述威胁情报库,判断所述威胁情报库中是否记录有所述设备标识信息,所述威胁情报库记录有外部情报设备统计的疑似被攻击终端的设备标识信息。
3.根据权利要求2所述的方法,其特征在于,所述若所述属性信息匹配任一状态指标库对应的异常状态条件,则确定所述待检测终端发生异常,包括:
若所述偏离度超过所述预设阈值,则确定所述待检测终端发生异常;
或者,
若所述漏洞库中记录有所述软件配置属性信息,则确定所述待检测终端发生异常;
或者,
若所述安全事件库中记录有所述网络配置属性信息,则确定所述待检测终端发生异常;
或者,
若所述威胁情报库中记录有所述设备标识信息,则确定所述待检测终端发生异常。
4.根据权利要求1所述的方法,其特征在于,在所述利用多个状态指标库,分别对所述属性信息进行分析,判断所述属性信息是否匹配各状态指标库对应的异常状态条件之后,所述方法还包括:
若所述属性信息匹配任一状态指标库对应的异常状态条件,则将预先构建的终端状态向量中所述任一状态指标库对应的元素设置为异常状态,其中,所述终端状态向量中的各元素分别表示同一时刻利用不同状态指标库分析得到的终端运行状态;
所述若所述属性信息匹配任一状态指标库对应的异常状态条件,则确定所述待检测终端发生异常,包括:
若所述终端状态向量中存在为异常状态的元素,则确定所述待检测终端发生异常。
5.一种终端异常检测装置,其特征在于,所述装置包括:
确定模块,用于确定待检测终端的属性信息;
判断模块,用于利用多个状态指标库,分别对所述属性信息进行分析,判断所述属性信息是否匹配各状态指标库对应的异常状态条件,所述各状态指标库分别记录有不同安全设备统计的终端状态指标;
所述确定模块,还用于若所述属性信息匹配任一状态指标库对应的异常状态条件,则确定所述待检测终端发生异常。
6.根据权利要求5所述的装置,其特征在于,所述属性信息包括硬件配置属性信息、软件配置属性信息、网络配置属性信息及设备标识信息;所述多个状态指标库包括基线库、漏洞库、安全事件库、威胁情报库中的至少两种;
所述判断模块,具体用于实现以下四个步骤中的至少两个:
从所述基线库中查找所述待检测终端的配置基线,将所述硬件配置属性信息与所述配置基线进行对比分析,判断所述硬件配置属性信息相较于所述配置基线的偏离度是否超过预设阈值,所述基线库记录有网关设备针对不同终端设定的配置基线;
遍历所述漏洞库,判断所述漏洞库中是否记录有所述软件配置属性信息,所述漏洞库记录有漏洞扫描设备扫描得到的存在漏洞的软件配置属性信息;
遍历所述安全事件库,判断所述安全事件库中是否记录有所述网络配置属性信息,所述安全事件库记录有防火墙设备检测得到的已经存在的攻击事件中被攻击终端的网络配置属性信息;
遍历所述威胁情报库,判断所述威胁情报库中是否记录有所述设备标识信息,所述威胁情报库记录有外部情报设备统计的疑似被攻击终端的设备标识信息。
7.根据权利要求6所述的装置,其特征在于,所述确定模块在用于所述若所述属性信息匹配任一状态指标库对应的异常状态条件,则确定所述待检测终端发生异常时,具体用于:
若所述偏离度超过所述预设阈值,则确定所述待检测终端发生异常;
或者,
若所述漏洞库中记录有所述软件配置属性信息,则确定所述待检测终端发生异常;
或者,
若所述安全事件库中记录有所述网络配置属性信息,则确定所述待检测终端发生异常;
或者,
若所述威胁情报库中记录有所述设备标识信息,则确定所述待检测终端发生异常。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
设置模块,用于若所述属性信息匹配任一状态指标库对应的异常状态条件,则将预先构建的终端状态向量中所述任一状态指标库对应的元素设置为异常状态,其中,所述终端状态向量中的各元素分别表示同一时刻利用不同状态指标库分析得到的终端运行状态;
所述确定模块在用于所述若所述属性信息匹配任一状态指标库对应的异常状态条件,则确定所述待检测终端发生异常时,具体用于:
若所述终端状态向量中存在为异常状态的元素,则确定所述待检测终端发生异常。
9.一种检测设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使执行权利要求1-4任一项所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行权利要求1-4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910783464.7A CN110381090A (zh) | 2019-08-23 | 2019-08-23 | 终端异常检测方法、装置、检测设备及机器可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910783464.7A CN110381090A (zh) | 2019-08-23 | 2019-08-23 | 终端异常检测方法、装置、检测设备及机器可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110381090A true CN110381090A (zh) | 2019-10-25 |
Family
ID=68260457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910783464.7A Pending CN110381090A (zh) | 2019-08-23 | 2019-08-23 | 终端异常检测方法、装置、检测设备及机器可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110381090A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111294347A (zh) * | 2020-01-22 | 2020-06-16 | 奇安信科技集团股份有限公司 | 一种工控设备的安全管理方法及系统 |
CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105139158A (zh) * | 2015-10-10 | 2015-12-09 | 国家电网公司 | 电网异常信息智能告警和辅助决策方法 |
CN107689954A (zh) * | 2017-08-21 | 2018-02-13 | 国家电网公司 | 电力信息系统监控方法和装置 |
US20180308026A1 (en) * | 2017-04-21 | 2018-10-25 | Accenture Global Solutions Limited | Identifying risk patterns in a multi-level network structure |
CN108768926A (zh) * | 2017-04-03 | 2018-11-06 | 瞻博网络公司 | 受感染主机设备的跟踪和缓解 |
CN108881267A (zh) * | 2018-06-29 | 2018-11-23 | 百度在线网络技术(北京)有限公司 | 车辆异常检测方法、车载终端、服务器及存储介质 |
CN108989150A (zh) * | 2018-07-19 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种登录异常检测方法及装置 |
-
2019
- 2019-08-23 CN CN201910783464.7A patent/CN110381090A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105139158A (zh) * | 2015-10-10 | 2015-12-09 | 国家电网公司 | 电网异常信息智能告警和辅助决策方法 |
CN108768926A (zh) * | 2017-04-03 | 2018-11-06 | 瞻博网络公司 | 受感染主机设备的跟踪和缓解 |
US20180308026A1 (en) * | 2017-04-21 | 2018-10-25 | Accenture Global Solutions Limited | Identifying risk patterns in a multi-level network structure |
CN107689954A (zh) * | 2017-08-21 | 2018-02-13 | 国家电网公司 | 电力信息系统监控方法和装置 |
CN108881267A (zh) * | 2018-06-29 | 2018-11-23 | 百度在线网络技术(北京)有限公司 | 车辆异常检测方法、车载终端、服务器及存储介质 |
CN108989150A (zh) * | 2018-07-19 | 2018-12-11 | 新华三信息安全技术有限公司 | 一种登录异常检测方法及装置 |
Non-Patent Citations (1)
Title |
---|
谭智: "基于大数据技术的网络异常行为检测系统设计与实现", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111294347A (zh) * | 2020-01-22 | 2020-06-16 | 奇安信科技集团股份有限公司 | 一种工控设备的安全管理方法及系统 |
CN111294347B (zh) * | 2020-01-22 | 2022-06-10 | 奇安信科技集团股份有限公司 | 一种工控设备的安全管理方法及系统 |
CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
CN114006723B (zh) * | 2021-09-14 | 2023-08-18 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11552967B2 (en) | Determining computing system incidents using node graphs | |
CN101176331B (zh) | 计算机网络入侵检测系统和方法 | |
US9413777B2 (en) | Detection of network security breaches based on analysis of network record logs | |
US8806632B2 (en) | Systems, methods, and devices for detecting security vulnerabilities in IP networks | |
US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
US10165005B2 (en) | System and method providing data-driven user authentication misuse detection | |
CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
US20180075240A1 (en) | Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device | |
US20100125663A1 (en) | Systems, methods, and devices for detecting security vulnerabilities in ip networks | |
CN105678193B (zh) | 一种防篡改的处理方法和装置 | |
KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
US8141150B1 (en) | Method and apparatus for automatic identification of phishing sites from low-level network traffic | |
CN112565300B (zh) | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 | |
CN110381090A (zh) | 终端异常检测方法、装置、检测设备及机器可读存储介质 | |
CN113422779A (zh) | 一种基于集中管控的积极的安全防御的系统 | |
CN107819758A (zh) | 一种网络摄像头漏洞远程检测方法及装置 | |
Yu et al. | TRINETR: an intrusion detection alert management systems | |
CN116451215A (zh) | 关联分析方法及相关设备 | |
CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
Nallaperumal | CyberSecurity Analytics to Combat Cyber Crimes | |
Kergl et al. | Detection of zero day exploits using real-time social media streams | |
CN111404903B (zh) | 一种日志处理方法、装置、设备及存储介质 | |
CN111125692B (zh) | 反爬虫方法及装置 | |
Yu et al. | A collaborative architecture for intrusion detection systems with intelligent agents and knowledge-based alert evaluation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191025 |
|
RJ01 | Rejection of invention patent application after publication |