CN110430199A - 识别物联网僵尸网络攻击源的方法与系统 - Google Patents

识别物联网僵尸网络攻击源的方法与系统 Download PDF

Info

Publication number
CN110430199A
CN110430199A CN201910732113.3A CN201910732113A CN110430199A CN 110430199 A CN110430199 A CN 110430199A CN 201910732113 A CN201910732113 A CN 201910732113A CN 110430199 A CN110430199 A CN 110430199A
Authority
CN
China
Prior art keywords
attack
botnet
internet
things
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910732113.3A
Other languages
English (en)
Other versions
CN110430199B (zh
Inventor
王世晋
范渊
黄进
王辉
莫金友
徐丽丽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201910732113.3A priority Critical patent/CN110430199B/zh
Publication of CN110430199A publication Critical patent/CN110430199A/zh
Application granted granted Critical
Publication of CN110430199B publication Critical patent/CN110430199B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

本发明提供了一种识别物联网僵尸网络攻击源的方法与系统,包括:获取攻击告警信息;将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于僵尸网络攻击识别出僵尸网络主机;从威胁情报库中提取僵尸网络主机的端口开放信息和指纹服务信息;基于端口开放信息和指纹服务信息,判断僵尸网络主机是否满足物联网设备特征;将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。本发明可以根据攻击告警信息识别僵尸网络主机,再在僵尸网络主机的基础上,快速、有效的发现物联网僵尸网络攻击源。

Description

识别物联网僵尸网络攻击源的方法与系统
技术领域
本发明涉及通信技术领域,尤其是涉及一种识别物联网僵尸网络攻击源的方法与系统。
背景技术
物联网设备具有部署数量多、自身网络带宽良好等优点。但是大多数物联网设备的固件或软件的版本存在长期滞后的情况,物联网设备自身存在性能瓶颈,只有芯片没有操作系统,因此成为了网络攻击者的重点攻击目标。近年来物联网僵尸网络的攻击事件频发,由于物联网设备与传统互联网设备存在差异性,例如:性能不如一般的主机设备。因此传统的端点检测方法在实际应用中暴露了许多不足,例如:攻击误报率较高,或者在受感染的僵尸节点攻击客户资产之后,无法捕获受感染的僵尸节点。
发明内容
本发明的目的在于提供一种识别物联网僵尸网络攻击源的方法与系统,快速、有效的发现物联网僵尸网络攻击源。
本发明提供的一种识别物联网僵尸网络攻击源的方法,其中,包括:获取攻击告警信息;将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于所述僵尸网络攻击识别出僵尸网络主机;从威胁情报库中提取所述僵尸网络主机的端口开放信息和指纹服务信息;基于所述端口开放信息和所述指纹服务信息,判断所述僵尸网络主机是否满足物联网设备特征;将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。
进一步的,所述预设条件包括预设第一条件和预设第二条件;所述将满足预设条件的攻击告警信息确定为僵尸网络攻击包括:将满足预设第一条件的攻击告警信息标记为可疑僵尸网络攻击;将满足预设第二条件的可疑僵尸网络攻击确定为僵尸网络攻击。
进一步的,所述预设第一条件包括以下一种或几种:告警类型相同、攻击源不同、攻击目标相同;所述预设第二条件包括以下一种或几种:攻击载荷特征码一致、攻击特征编码一致、攻击路径在预设范围内、攻击请求的HTTP响应头一致。
进一步的,所述攻击告警信息至少包括攻击时间、攻击告警类型、攻击源、攻击目标、攻击载荷中的一种。
进一步的,还包括:将不满足物联网设备特征的僵尸网络主机确定为非物联网僵尸网络攻击源。
本发明提供的一种识别物联网僵尸网络攻击源的系统,其中,包括:获取模块,用于获取攻击告警信息;第一确定模块,用于将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于所述僵尸网络攻击识别出僵尸网络主机;提取模块,用于从威胁情报库中提取所述僵尸网络主机的端口开放信息和指纹服务信息;判断模块,用于基于所述端口开放信息和所述指纹服务信息,判断所述僵尸网络主机是否满足物联网设备特征;第二确定模块,用于将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。
进一步的,所述预设条件包括预设第一条件和预设第二条件;所述第一确定模块包括:标记单元,用于将满足预设第一条件的攻击告警信息标记为可疑僵尸网络攻击;确定单元,用于将满足预设第二条件的可疑僵尸网络攻击确定为僵尸网络攻击。
进一步的,所述识别物联网僵尸网络攻击源的系统还包括:第三确定模块,用于将不满足物联网设备特征的僵尸网络主机确定为非物联网僵尸网络攻击源。
本发明还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现所述的方法。
本发明还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,其中,所述程序代码使所述处理器执行所述方法。
本发明提供的一种识别物联网僵尸网络攻击源的方法与系统,先获取攻击告警信息;然后将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于僵尸网络攻击识别出僵尸网络主机;再从威胁情报库中提取僵尸网络主机的端口开放信息和指纹服务信息;基于端口开放信息和指纹服务信息,判断僵尸网络主机是否满足物联网设备特征;将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。本发明可以根据攻击告警信息识别僵尸网络主机,再在僵尸网络主机的基础上,快速、有效的发现物联网僵尸网络攻击源。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种识别物联网僵尸网络攻击源的方法流程图;
图2为图1中步骤S102的流程图;
图3为本发明实施例提供的另一种识别物联网僵尸网络攻击源的方法流程图;
图4为本发明实施例提供的一种识别物联网僵尸网络攻击源的系统结构图。
图标:
11-获取模块;12-第一确定模块;13-提取模块;14-判断模块;15-第二确定模块。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在实际应用中传统的端点检测方法存在不足,例如:针对僵尸节点A感染僵尸节点B并控制B攻击客户资产C的情况,传统方法利用流量只能捕获到僵尸节点B攻击客户资产C的过程,却无法确定僵尸节点B,也不能捕获到僵尸节点A感染僵尸节点B的样本,因此,传统方法不能准确的识别出僵尸网络。此外,传统方法中的威胁情报仅仅作为参考,导致置信度较低,误报的情况时常发生。
本发明的目的在于基于攻击告警信息的挖掘和关联,主动识别威胁,并提高识别的精确度。即使在缺失传播样本的情况下,仍然可以确定受感染的节点,降低部署的成本。具体的,本发明实施例可以基于僵尸节点B攻击客户资产C的行为来识别出僵尸节点B,在上述识别过程中无需捕获僵尸节点A感染僵尸节点B的行为,其中,僵尸节点B为物联网僵尸网络攻击源。若需要捕获僵尸节点A感染僵尸节点B的行为,则利用传统的安全防护设备就可以捕获到僵尸节点A感染僵尸节点B的行为。
简而言之,目前传统的端点检测方法在实际应用中暴露了许多不足,例如:攻击误报率较高,或者在受感染的僵尸节点攻击客户资产之后,无法捕获受感染的僵尸节点。基于此,本发明实施例提供一种识别物联网僵尸网络攻击源的方法与系统,可以根据攻击告警信息识别僵尸网络主机,再在僵尸网络主机的基础上,快速、有效的发现物联网僵尸网络攻击源。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种识别物联网僵尸网络攻击源的方法进行详细介绍。
实施例一:
参照图1,本发明实施例提供一种识别物联网僵尸网络攻击源的方法,其中,可以包括以下步骤:
步骤S101,获取攻击告警信息;
在本发明实施例中,攻击告警信息可以从态势感知平台获取,态势感知平台为网络安全态势感知平台,或称为网络安全态势感知系统。态势感知平台是针对网络空间攻防对抗信息进行收集、掌握和分析的平台。需要注意的是,攻击告警信息至少包括攻击时间、攻击告警类型、攻击源、攻击目标、攻击载荷中的一种。
步骤S102,将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于僵尸网络攻击识别出僵尸网络主机;
在本发明实施例中,预设条件包括预设第一条件和预设第二条件;其中,预设第一条件包括以下一种或几种:告警类型相同、攻击源不同、攻击目标相同;预设第二条件包括以下一种或几种:攻击载荷特征码一致、攻击特征编码一致、攻击路径在预设范围内、攻击请求的HTTP响应头一致。其中,攻击特征编码可以指Base64编码,攻击请求的HTTP响应头可以指UA(User-Agent,用户代理)。
识别出僵尸网络主机的过程可以如下:从攻击告警信息中提取出攻击方法、攻击特征、payload、漏洞利用形式等维度数据,并计算出攻击源IP、挂马等僵尸网络的感染传播情况,进而判断僵尸网络攻击所在的主机是否为僵尸网络主机。
步骤S103,从威胁情报库中提取僵尸网络主机的端口开放信息和指纹服务信息;
在本发明实施例中,威胁情报库是位于态势感知平台上具有存储功能的数据库。威胁情报库中包括但不限于各个僵尸网络主机的端口开放信息和指纹服务信息。威胁情报库可以包括端口库和指纹库,端口库可以用于存储端口开放信息,指纹库可以用于存储指纹服务信息。若指纹库中不存在与上述僵尸网络主机相关的指纹服务信息,则重新扫描。
步骤S104,基于端口开放信息和指纹服务信息,判断僵尸网络主机是否满足物联网设备特征;
在本发明实施例中,端口开放信息和指纹服务信息主要用来识别僵尸网络主机是否为物联网资产,比如传统的windows资产开放的139、445这些端口用于RPC调用服务。与传统的windows资产不同,物联网的端口可以开放ONVIF服务、RTSP协议、RFB服务等,上述物联网的端口开放信息为物联网设备特征,可以在后期用来识别和鉴定物联网资产。同时,也可以根据指纹服务信息中的指纹特征来判断,比如某些攻击类型、漏洞利用方法是针对物联网设备的攻击。
步骤S105,将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。
在本发明实施例中,本发明实施例的僵尸网络主机中存在物联网僵尸网络攻击源和非物联网僵尸网络攻击源。其中,物联网僵尸网络攻击源可以指受控于黑客并用于非法网络攻击活动的物联网设备。物联网僵尸网络攻击源也称为物联网僵尸网络节点。
物联网僵尸网络攻击源所依赖的物联网僵尸网络实际上指主要由物联网设备构成的僵尸网络。比如,某Linux服务器由于弱口令等情况被某个物联网僵尸网络节点感染,进而成为该僵尸网络的节点之一。
本发明实施例可以先从攻击告警信息中提取出可能沦陷的僵尸网络攻击,基于僵尸网络攻击识别出僵尸网络主机,上述僵尸网络主机不一定是物联网设备。为了确定僵尸网络主机为物联网设备,需要结合僵尸网络主机的端口开放信息和指纹服务信息判断僵尸网络主机是否满足物联网设备特征,将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。
本发明提供了一种识别物联网僵尸网络攻击源的方法,先获取攻击告警信息;然后将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于僵尸网络攻击识别出僵尸网络主机;再从威胁情报库中提取僵尸网络主机的端口开放信息和指纹服务信息;基于端口开放信息和指纹服务信息,判断僵尸网络主机是否满足物联网设备特征;将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。本发明实施例可以根据攻击告警信息识别僵尸网络主机,再在僵尸网络主机的基础上,快速、有效的发现物联网僵尸网络攻击源。
进一步的,参照图2,步骤S102可以包括以下步骤:
步骤S201,将满足预设第一条件的攻击告警信息标记为可疑僵尸网络攻击;
步骤S202,将满足预设第二条件的可疑僵尸网络攻击确定为僵尸网络攻击。
在本发明实施例中,僵尸网络攻击主要指僵尸网络在感染和传播过程中的对外攻击。本发明实施例可以利用标记、确定二次验证的方法来判断攻击告警信息是否为僵尸网络攻击。僵尸网络攻击可以指僵尸节点攻击客户资产的过程中利用僵尸网络的传播和感染产生的攻击行为。
进一步的,参照图3,识别物联网僵尸网络攻击源的方法还包括:
步骤S106,将不满足物联网设备特征的僵尸网络主机确定为非物联网僵尸网络攻击源。
本发明实施例中的网络安全态势感知平台具有宏观分析能力。本发明实施例自动从网络安全态势感知平台中获取攻击告警信息,随后进行一系列的分析,结合攻击特征和指纹特征识别物联网僵尸网络节点,并进一步关联得到满足预设规则的物联网僵尸网络攻击源。因此,僵尸网络攻击并不一定是物联网僵尸网络攻击,还需要结合端口开放信息和指纹服务信息对僵尸网络攻击进行判断,从而确定是物联网资产的僵尸网络主机。
在本发明实施例中,本发明提供了一种识别物联网僵尸网络攻击源的方法与系统,先基于态势感知平台提取攻击告警信息,再基于攻击告警信息确定僵尸网络攻击,然后对僵尸网络攻击进行分析,判断僵尸网络主机是否具有物联网设备特征,最终实现快速识别物联网僵尸网络攻击源,精确定位物联网僵尸网络攻击源并关联出多组具有高度相似性行为的可疑僵尸网络攻击对应的网络节点,且同组可疑僵尸网络攻击对应的网络节点属于同一个僵尸网络的控制。每组可疑僵尸网络攻击具有多个相似性行为,例如:攻击时间、规律、频次、特征等多维度相似。
实施例二:
参照图4,本发明实施例提供了一种识别物联网僵尸网络攻击源的系统,其中,包括:
获取模块11,用于获取攻击告警信息;
第一确定模块12,用于将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于僵尸网络攻击识别出僵尸网络主机;
提取模块13,用于从威胁情报库中提取僵尸网络主机的端口开放信息和指纹服务信息;
判断模块14,用于基于端口开放信息和指纹服务信息,判断僵尸网络主机是否满足物联网设备特征;
第二确定模块15,用于将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。
在本发明实施例中,本发明实施例提供的一种识别物联网僵尸网络攻击源的系统,先利用获取模块获取攻击告警信息;再利用第一确定模块将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于僵尸网络攻击识别出僵尸网络主机;再利用提取模块从威胁情报库中提取僵尸网络主机的端口开放信息和指纹服务信息;利用判断模块基于端口开放信息和指纹服务信息,判断僵尸网络主机是否满足物联网设备特征;最后利用第二确定模块将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。本发明实施例可以利用第一确定模块识别僵尸网络主机,再在僵尸网络主机的基础上,利用第二确定模块快速、有效的发现物联网僵尸网络攻击源。
进一步的,预设条件包括预设第一条件和预设第二条件;第一确定模块12包括:
标记单元,用于将满足预设第一条件的攻击告警信息标记为可疑僵尸网络攻击;
确定单元,用于将满足预设第二条件的可疑僵尸网络攻击确定为僵尸网络攻击。
进一步的,识别物联网僵尸网络攻击源的系统还包括:
第三确定模块,用于将不满足物联网设备特征的僵尸网络主机确定为非物联网僵尸网络攻击源。
在本发明的又一实施例中,还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法实施例所述方法的步骤。
存储器可以指存储模块,处理器可以指分析模块,其中,分析模块可以与探测模块、指纹库、端口库、特征提取模块分别建立联系。探测模块在资产指纹库中不存在指纹时,用于主动探测扫描直到发现指纹。指纹库的本质是数据库,用于提供指纹服务信息;端口库的本质也是数据库,用于提供端口开放信息,特征提取模块用于提取攻击特征,例如Base64字符串提取。
在本发明的又一实施例中,还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行方法实施例所述方法。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例所提供的识别物联网僵尸网络攻击源的方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“上”、“下”、“左”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种识别物联网僵尸网络攻击源的方法,其特征在于,包括:
获取攻击告警信息;
将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于所述僵尸网络攻击识别出僵尸网络主机;
从威胁情报库中提取所述僵尸网络主机的端口开放信息和指纹服务信息;
基于所述端口开放信息和所述指纹服务信息,判断所述僵尸网络主机是否满足物联网设备特征;
将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。
2.根据权利要求1所述的方法,其特征在于,所述预设条件包括预设第一条件和预设第二条件;
所述将满足预设条件的攻击告警信息确定为僵尸网络攻击包括:
将满足预设第一条件的攻击告警信息标记为可疑僵尸网络攻击;
将满足预设第二条件的可疑僵尸网络攻击确定为僵尸网络攻击。
3.根据权利要求2所述的方法,其特征在于,所述预设第一条件包括以下一种或几种:告警类型相同、攻击源不同、攻击目标相同;
所述预设第二条件包括以下一种或几种:攻击载荷特征码一致、攻击特征编码一致、攻击路径在预设范围内、攻击请求的HTTP响应头一致。
4.根据权利要求1所述的方法,其特征在于,所述攻击告警信息至少包括攻击时间、攻击告警类型、攻击源、攻击目标、攻击载荷中的一种。
5.根据权利要求1所述的方法,其特征在于,还包括:
将不满足物联网设备特征的僵尸网络主机确定为非物联网僵尸网络攻击源。
6.一种识别物联网僵尸网络攻击源的系统,其特征在于,包括:
获取模块,用于获取攻击告警信息;
第一确定模块,用于将满足预设条件的攻击告警信息确定为僵尸网络攻击,并基于所述僵尸网络攻击识别出僵尸网络主机;
提取模块,用于从威胁情报库中提取所述僵尸网络主机的端口开放信息和指纹服务信息;
判断模块,用于基于所述端口开放信息和所述指纹服务信息,判断所述僵尸网络主机是否满足物联网设备特征;
第二确定模块,用于将满足物联网设备特征的僵尸网络主机确定为物联网僵尸网络攻击源。
7.根据权利要求6所述的系统,其特征在于,所述预设条件包括预设第一条件和预设第二条件;
所述第一确定模块包括:
标记单元,用于将满足预设第一条件的攻击告警信息标记为可疑僵尸网络攻击;
确定单元,用于将满足预设第二条件的可疑僵尸网络攻击确定为僵尸网络攻击。
8.根据权利要求6所述的系统,其特征在于,还包括:
第三确定模块,用于将不满足物联网设备特征的僵尸网络主机确定为非物联网僵尸网络攻击源。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,处理器执行计算机程序时实现如权利要求1至5任一项所述的方法。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行如权利要求1至5任一项所述的方法。
CN201910732113.3A 2019-08-08 2019-08-08 识别物联网僵尸网络攻击源的方法与系统 Active CN110430199B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910732113.3A CN110430199B (zh) 2019-08-08 2019-08-08 识别物联网僵尸网络攻击源的方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910732113.3A CN110430199B (zh) 2019-08-08 2019-08-08 识别物联网僵尸网络攻击源的方法与系统

Publications (2)

Publication Number Publication Date
CN110430199A true CN110430199A (zh) 2019-11-08
CN110430199B CN110430199B (zh) 2021-11-05

Family

ID=68415203

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910732113.3A Active CN110430199B (zh) 2019-08-08 2019-08-08 识别物联网僵尸网络攻击源的方法与系统

Country Status (1)

Country Link
CN (1) CN110430199B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112839029A (zh) * 2020-12-22 2021-05-25 河南省信息咨询设计研究有限公司 一种僵尸网络活跃度的分析方法与系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080010225A1 (en) * 2006-05-23 2008-01-10 Gonsalves Paul G Security system for and method of detecting and responding to cyber attacks on large network systems
CN104796386A (zh) * 2014-01-21 2015-07-22 腾讯科技(深圳)有限公司 一种僵尸网络的检测方法、装置和系统
CN105915532A (zh) * 2016-05-23 2016-08-31 北京网康科技有限公司 一种失陷主机的识别方法及装置
US20170155666A1 (en) * 2015-11-30 2017-06-01 International Business Machines Corporation Attracting and analyzing spam postings
CN107196895A (zh) * 2016-11-25 2017-09-22 北京神州泰岳信息安全技术有限公司 网络攻击溯源实现方法及装置
US20170310687A1 (en) * 2016-04-25 2017-10-26 Acer Incorporated Botnet detection system and method
CN108696473A (zh) * 2017-04-05 2018-10-23 中国移动通信集团广东有限公司 攻击路径还原方法及装置
CN108768917A (zh) * 2017-08-23 2018-11-06 长安通信科技有限责任公司 一种基于网络日志的僵尸网络检测方法及系统
CN109787866A (zh) * 2019-02-18 2019-05-21 福建六壬网安股份有限公司 一种识别端口的方法及装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080010225A1 (en) * 2006-05-23 2008-01-10 Gonsalves Paul G Security system for and method of detecting and responding to cyber attacks on large network systems
CN104796386A (zh) * 2014-01-21 2015-07-22 腾讯科技(深圳)有限公司 一种僵尸网络的检测方法、装置和系统
US20170155666A1 (en) * 2015-11-30 2017-06-01 International Business Machines Corporation Attracting and analyzing spam postings
US20170310687A1 (en) * 2016-04-25 2017-10-26 Acer Incorporated Botnet detection system and method
CN105915532A (zh) * 2016-05-23 2016-08-31 北京网康科技有限公司 一种失陷主机的识别方法及装置
CN107196895A (zh) * 2016-11-25 2017-09-22 北京神州泰岳信息安全技术有限公司 网络攻击溯源实现方法及装置
CN108696473A (zh) * 2017-04-05 2018-10-23 中国移动通信集团广东有限公司 攻击路径还原方法及装置
CN108768917A (zh) * 2017-08-23 2018-11-06 长安通信科技有限责任公司 一种基于网络日志的僵尸网络检测方法及系统
CN109787866A (zh) * 2019-02-18 2019-05-21 福建六壬网安股份有限公司 一种识别端口的方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
MEISAM ESLAHI: "An efficient false alarm reduction approach in HTTP-based botnet detection", 《IEEE ISCI》 *
孔雪辉等: "面向网络安全的关于僵尸网络的研究", 《中国安全科学学报》 *
毕浩然: "基于设备识别的网络扫描工具Kscan的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 *
王意洁等: "运用警报关联的威胁行为检测技术综述", 《国防科技大学学报》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112839029A (zh) * 2020-12-22 2021-05-25 河南省信息咨询设计研究有限公司 一种僵尸网络活跃度的分析方法与系统
CN112839029B (zh) * 2020-12-22 2023-02-17 河南省信息咨询设计研究有限公司 一种僵尸网络活跃度的分析方法与系统

Also Published As

Publication number Publication date
CN110430199B (zh) 2021-11-05

Similar Documents

Publication Publication Date Title
KR101666177B1 (ko) 악성 도메인 클러스터 탐지 장치 및 방법
CN102594825B (zh) 一种内网木马的检测方法和装置
US20120124666A1 (en) Method for detecting and preventing a ddos attack using cloud computing, and server
Wang et al. Detecting adversarial samples for deep neural networks through mutation testing
CN109587179A (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
CN104008381B (zh) 一种身份识别方法及装置
US20160248788A1 (en) Monitoring apparatus and method
US20200012784A1 (en) Profile generation device, attack detection device, profile generation method, and profile generation computer program
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
CN110493238A (zh) 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器
CN107294953A (zh) 攻击操作检测方法及装置
CN111049680A (zh) 一种基于图表示学习的内网横向移动检测系统及方法
CN112637194A (zh) 安全事件的检测方法、装置、电子设备及存储介质
KR101535529B1 (ko) Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법
CN110135162A (zh) Webshell后门识别方法、装置、设备及存储介质
CN106973051B (zh) 建立检测网络威胁模型的方法、装置和存储介质
CN113486343A (zh) 一种攻击行为的检测方法、装置、设备和介质
CN105959294A (zh) 一种恶意域名鉴别方法及装置
Lee et al. Multi-stage intrusion detection system using hidden markov model algorithm
CN110430199A (zh) 识别物联网僵尸网络攻击源的方法与系统
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
CN109495471A (zh) 一种对web攻击结果判定方法、装置、设备及可读存储介质
KR101712462B1 (ko) Ip 위험군 탐지 시스템
KR100638480B1 (ko) 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant