CN110445799B - 入侵阶段的确定方法、装置及服务器 - Google Patents
入侵阶段的确定方法、装置及服务器 Download PDFInfo
- Publication number
- CN110445799B CN110445799B CN201910753162.5A CN201910753162A CN110445799B CN 110445799 B CN110445799 B CN 110445799B CN 201910753162 A CN201910753162 A CN 201910753162A CN 110445799 B CN110445799 B CN 110445799B
- Authority
- CN
- China
- Prior art keywords
- alarm record
- alarm
- intrusion
- record
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供了一种入侵阶段的确定方法、装置及服务器,该方法包括:接收第一告警记录;其中,第一告警记录携带有受害主机的身份信息;基于受害主机的身份信息,获取预设时段内受害主机的第二告警记录;基于第二告警记录判断第一告警记录对应的入侵操作是否成功;如果是,根据第二告警记录确定第一告警记录对应的入侵阶段。本发明可以有效提高确定入侵阶段的准确率。
Description
技术领域
本发明涉及互联网技术领域,尤其是涉及一种入侵阶段的确定方法、装置及服务器。
背景技术
网络安全防护设备是一种利用网络安全技术对诸如主机等互联网设备进行安全检测的设备,当检测到互联网设备受到恶意攻击时网络安全防护设备将生成告警记录,并基于告警记录与入侵阶段的映射关系确定生成的告警记录对应的入侵阶段,从而采用该入侵阶段对应的防护措施对互联网设备进行保护。但是发明人经研究发现,现有告警记录误报率较高,进而导致在基于映射关系确定入侵阶段时具有较低的准确率。
发明内容
有鉴于此,本发明的目的在于提供一种入侵阶段的确定方法、装置及服务器,可以有效提高确定入侵阶段的准确率。
第一方面,本发明实施例提供了一种入侵阶段的确定方法,包括:接收第一告警记录;其中,所述第一告警记录携带有受害主机的身份信息;基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录;基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功;如果是,根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述接收第一告警记录的步骤,包括:当监听到网络安全防护设备生成主机告警记录时,向所述网络安全防护设备发送推送指令,以使所述网络安全防护设备基于所述推送指令推送所述主机告警记录;接收所述网络安全防护设备推送的所述主机告警记录,并将所述主机告警记录作为第一告警记录。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,在所述基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录的步骤之前,所述方法还包括:提取所述第一告警记录的告警时间字段,并基于所述告警时间字段确定预设时段。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录的步骤,包括:将所述受害主机的身份信息和预设时段的标识发送至所述网络安全防护设备,以使所述网络安全防护设备基于所述受害主机的身份信息和所述预设时段的标识,查找预设时段内所述受害主机的第二告警记录,并返回查找到的所述第二告警记录;接收所述网络安全防护设备返回的所述第二告警记录。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功的步骤,包括:判断所述第一告警记录与所述第二告警记录是否存在告警关联;如果是,确定所述第一告警记录对应的入侵操作成功。
结合第一方面的第四种可能的实施方式,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述根据所述第二告警记录确定所述第一告警记录对应的入侵阶段的步骤,包括:若所述第一告警记录与所述第二告警记录存在告警关联,查找与所述告警关联对应的入侵阶段,并将所述告警关联对应的入侵阶段确定为所述第一告警记录对应的入侵阶段。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述网络安全防护设备包括防火墙、IDS(Intrusion DetectionSystems,入侵检测系统)、IPS(Intrusion Prevention System,入侵防御系统)、APT(Advanced Persistent Threat,定向威胁攻击)或NTA(Network Terminal Appliance,网络终端设备)中的一种或多种。
第二方面,本发明实施例还提供一种入侵阶段的确定装置,包括:第一告警记录接收模块,用于接收第一告警记录;其中,所述第一告警记录携带有受害主机的身份信息;第二告警记录获取模块,用于基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录;判断模块,用于基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功;阶段确定模块,用于在所述判断模块的判断结果为是时,根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。
第三方面,本发明实施例还提供一种服务器,包括处理器和存储器;所述存储器上存储有计算机程序,所述计算机程序在被所述处理器运行时执行如第一方面至第一方面的第六种可能的实施方式任一项所述的方法。
第四方面,本发明实施例还提供一种计算机存储介质,用于储存为第一方面至第一方面的第六种可能的实施方式任一项所述方法所用的计算机软件指令。
本发明实施例提供的一种入侵阶段的确定方法、装置及服务器,在接收到携带有受害主机的身份信息的第一告警记录后,基于受害主机的身份信息获取预设时段内受害主机的第二告警记录,若根据第二告警记录确定第一告警记录对应的入侵操作成功,则基于第二告警记录确定第一告警记录对应的入侵阶段。本发明实施例根据第二告警记录判断第一告警记录对应的入侵操作是否成功,并在入侵成功时基于第二告警记录确定第一告警记录对应的入侵阶段,如果第一告警记录对应的入侵操作成功,说明第一告警记录不属于误报,上述方式在确定第一告警记录不属于误报的告警记录时才确定入侵阶段,从而可以有效缓解因第一告警数据误报而导致的确定入侵阶段准确率较低的问题,有效提高了确定入侵阶段的准确率。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种入侵阶段的确定方法的流程示意图;
图2为本发明实施例提供的另一种入侵阶段的确定方法的流程示意图;
图3为本发明实施例提供的另一种入侵阶段的确定方法的流程示意图;
图4为本发明实施例提供的一种入侵阶段的确定装置的结构示意图;
图5为本发明实施例提供的另一种入侵阶段的确定装置的结构示意图;
图6为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到现有技术直接基于告警记录与入侵阶段的映射关系确定生成的告警记录对应的入侵阶段,例如,当黑客等攻击者利用互联网设备存在的SMB(Server MessageBlock,服务信息块协议)漏洞,并生成此次入侵操作相应的告警记录,此时便直接基于映射关系认定该告警记录对应的入侵阶段达到了权限控制阶段,若此次入侵操作仅是尝试性攻击,未对互联网设备造成损害,则将导致确定的入侵阶段是错误的,进而导致出现在确定入侵阶段时的准确率较低的问题,为改善此问题,本发明实施提供了一种入侵阶段的确定方法、装置及服务器,可以有效提高确定入侵阶段的准确率。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种入侵阶段的确定方法进行详细介绍,参见图1所示的一种入侵阶段的确定方法的流程示意图,该方法可以包括以下步骤:
步骤S102,接收第一告警记录。
第一告警记录携带有受害主机的身份信息。第一告警记录可以理解为网络安全防护设备在检测到互联网设备被恶意攻击时生成的数据,第一告警记录可以包括受害主机的身份信息、恶意攻击类型标识或恶意攻击时间中的一种或多种,其中,受害主机也即被恶意攻击的互联网设备;受害主机的身份信息可以包括受害主机IP(Internet Protocol,网协)、受害主机域名或服务器端口中的一种或多种,也可以包括其他表征受害主机身份信息的标识;恶意攻击类型标识可以理解为恶意攻击的名称或编号等;恶意攻击时间也即受害主机被恶意攻击的时间。
在一些实施方式中,可以通过API(Application Program Interface,应用程序的调用接口)接口提取网络安全防护设备生成的第一告警记录,也可以对网络安全防护设备进行监听,当监听到网络安全防护设备生成主机告警记录时,向网络安全防护设备发送推送指令,以使网络安全防护设备返回主机告警记录,从而接收主机告警记录并将主机告警记录作为第一告警记录。
步骤S104,基于受害主机的身份信息,获取预设时段内受害主机的第二告警记录。
其中,预设时段可以基于前述第一告警记录的恶意攻击时间确定,例如,若第一告警记录的恶意攻击时间为“2:00:00”,则预设时段可以确定为“1:55:00”至“2:05:00”。受害主机的第二告警记录可以理解为受害主机受到的其他恶意攻击对应的主机告警记录。在具体实现时,可以利用前述API接口基于受害主机的身份信息从网络安全防护设备中提取预设时段内受害主机的第二告警记录,也可以将受害主机的身份信息和预设时段的标识发送至网络安全防护设备,网络安全防护设备基于身份信息和预设时段的标识查找并返回受害主机在预设时段内的其他主机告警记录,从而获取预设时段内受害主机的第二告警记录。
步骤S106,基于第二告警记录判断第一告警记录对应的入侵操作是否成功。
考虑到网络安全防护设备生成的主机告警记录中存在较多的尝试性恶意攻击对应的主机告警记录,而尝试性恶意攻击并未对互联网设备造成损害,因此尝试性恶意攻击对应的主机告警记录可以属于误报记录,在实际应用中无需确定误报记录对应的入侵阶段,其中,入侵阶段可以理解为入侵操作对应的阶段。基于此,本发明实施例对第一告警记录对应的入侵操作是否成功进行判断,若入侵操作成功,则说明第一告警记录不属于尝试性恶意攻击对应的主机告警记录,也即确定第一告警记录不属于误报记录,并在此基础上进一步确定第一告警记录对应的入侵阶段;若入侵操作失败,则说明第一告警记录数据尝试性恶意攻击对应的主机告警记录,也即确定第一告警记录属于误报记录,此时将无需进一步确定第一告警记录对应的入侵阶段。
在一种实施方式中,本发明实施例可以判断第一告警记录与第二告警记录之间是否存在上下文关系,当第一告警记录与第二告警记录之间存在上下文关系时确定第一告警记录对应的入侵操作成功,例如,当第一告警记录为远程溢出类攻击告警,第二告警记录为对外攻击告警,则确定第一告警记录为上文,第二告警记录为下文,且第一告警记录与第二告警记录之间存在上下文关系;当第二告警记录为远程溢出类告警且执行了提权操作,第一告警记录为远程桌面登录成功告警,则确定第一告警记录为下文,第二告警记录为上文,且第一告警记录与第二告警记录之间存在上下文关系。
步骤S108,如果是,根据第二告警记录确定第一告警记录对应的入侵阶段。
考虑到现有技术直接基于告警记录与入侵阶段的映射关系确定第一告警记录对应的入侵阶段,而该方法较为容易出现逻辑断点,导致第一告警记录对应的入侵关系确定不准确。因此本发明实施例基于第二告警记录确定第一告警记录对应的入侵阶段,在一种实施方式中,可以将前述上下文关系与入侵阶段进行关联,从而基于上下文关系确定第一告警记录对应的入侵阶段,可以有效缓解现有技术较为容易出现逻辑断点的问题。
本发明实施例提供的上述入侵阶段的确定方法,在接收到携带有受害主机的身份信息的第一告警记录后,基于受害主机的身份信息获取预设时段内受害主机的第二告警记录,若根据第二告警记录确定第一告警记录对应的入侵操作成功,则基于第二告警记录确定第一告警记录对应的入侵阶段。本发明实施例根据第二告警记录判断第一告警记录对应的入侵操作是否成功,并在入侵成功时基于第二告警记录确定第一告警记录对应的入侵阶段,如果第一告警记录对应的入侵操作成功,说明第一告警记录不属于误报,上述方式在确定第一告警记录不属于误报的告警记录时才确定入侵阶段,从而可以有效缓解因第一告警数据误报而导致的确定入侵阶段准确率较低的问题,有效提高了确定入侵阶段的准确率。
本发明实施例提供了另一种入侵阶段的确定方法,参见图2所示的另一种入侵阶段的确定方法的流程示意图,该方法可以包括以下步骤:
步骤S202,当监听到网络安全防护设备生成主机告警记录时,向网络安全防护设备发送推送指令,以使网络安全防护设备基于推送指令推送主机告警记录。
其中,网络安全防护设备可以包括防火墙、IDS、IPS、APT或NTA中的一种或多种;推送指令可以理解为使网络安全防护设备推送主机告警记录的指令。在一种实施方式中,可以对网络安全防护设备的Syslog(系统日志)或kafka(分布式发布订阅消息系统)进行监听,以提取网络安全设备生成的最新的主机告警记录。
步骤S204,接收网络安全防护设备推送的主机告警记录,并将主机告警记录作为第一告警记录。在一种实施方式中,可以通过API接口接收网络防护设备发送的主机告警记录。
步骤S206,提取第一告警记录的告警时间字段,并基于告警时间字段确定预设时段。
其中,告警时间字段也即前述恶意攻击时间,且告警时间字段属于第一告警记录中的必备字段,因此可以从第一告警数据中提取到告警时间字段。在具体实现时,可以预设时间长度,并在预设时间长度和告警时间字段的基础上设置预设时段,例如,告警时间字段为“2:00:00”,且预设时间长度为10分钟,则确定的预设时段可能为“1:55:00”至“2:05:00”,或“1:50:00”至“2:00:00”,或“2:00:00”至“2:10:00”。
步骤S208,将受害主机的身份信息和预设时段的标识发送至网络安全防护设备,以使网络安全防护设备基于受害主机的身份信息和预设时段的标识,查找预设时段内受害主机的第二告警记录,并返回查找到的第二告警记录。
在前述步骤S206确定预设时段后,生成预设时段的标识,将受害主机的身份信息和预设时段的标识一同发送至网络安全防护设备,网络安全防护设备可以基于受害主机的身份信息和预设时段的标识查找并返回预设时段内受害主机的第二告警记录。
步骤S210,接收网络安全防护设备返回的第二告警记录。在一种实施方式中,可以通过API接口接收网络防护设备发送的第二告警记录。
另外,考虑到本发明实施例提供的入侵阶段的确定方法是实时接收第一告警记录,即受害主机的所有主机告警记录均已被接收,因此在另一种实施方式中,可以将接收到的所有主机告警记录保存至预设区域,当需要获取预设时段内受害主机的第二告警记录时,可直接在预设区域内查找预设时段内受害主机的主机告警记录,并将查找到的受害主机的主机告警记录作为第二告警记录。
步骤S212,判断第一告警记录与第二告警记录是否存在告警关联。如果是,执行步骤S214;如果否,结束。
其中,告警关联也即前述上下文关系,在具体实现时,可以对上下文关系进行配置,例如,分别配置上文对应的恶意攻击类型和下文对应的恶意攻击类型,并将上文与下文进行关联,若可以查找到与第一告警记录和第二告警记录对应的上下文关系,即可确定第一告警记录对应的入侵操作成功;若没有查找到与第一告警记录和第二告警记录对应的上下文关系,则确定第一告警记录对应的入侵操作失败。
步骤S214,确定第一告警记录对应的入侵操作成功。
步骤S216,若第一告警记录与第二告警记录存在告警关联,查找与告警关联对应的入侵阶段,并将告警关联对应的入侵阶段确定为第一告警记录对应的入侵阶段。
在具体实现时,可预先确定告警关联与入侵阶段之间的映射关系,以便于直接基于告警关联与入侵阶段之间的映射关系,确定第一告警记录对应的入侵阶段。例如,若第一告警记录为远程溢出类攻击告警,第二告警记录为对外攻击告警,则确定第一告警记录对应的入侵阶段为L1;若第二告警记录为远程溢出类告警且执行了提权操作,第一告警记录为远程桌面登录成功告警,则确定第一告警记录对应的入侵阶段为L2。其中,入侵阶段可以划分为7个阶段,包括:第一阶段L1“Reconnaissance侦查目标”、第二阶段L2“Weaponization制作工具”、第三阶段L3“Delivery传送工具”、第四阶段L4“Exploitation触发工具”、第五阶段L5“Installation安装木马”、第六阶段L6“Command&Control建立连接”和第七阶段L7“Actinos on Objectives执行攻击”。
在前述实施例提供的入侵阶段的确定方法的基础上,本发明实施例还提供了另一种入侵阶段的确定方法,参见图3所示的另一种入侵阶段的确定方法的流程示意图,该方法可以包括以下步骤:
步骤S302,获取第一告警记录,并将第一告警记录作为上文。
步骤S304,提取第一告警记录中的受害主机的身份信息。其中,受害主机的身份信息包括但不限于IP地址。
步骤S306,在预设时段内提取受害主机的第二告警记录。
步骤S308,根据预先配置的上下文规则判断第二告警记录中是否存在受害主机的下文。如果是,执行步骤S310;如果否,执行步骤S312。在具体实现时,预设时段内可能存在受害主机的多个第二告警记录,因此可以基于预先配置的上下文规则匹配与第一告警记录存在上下文关系的第二告警记录,如果匹配到与第一告警记录存在上下文关系的第二告警记录,则确定第二告警记录中存在受害主机的下文。
步骤S310,根据上文确定入侵阶段。当确定第二告警记录中存在受害主机的下文,则确定第一告警记录不属于误报记录,在此基础上确定第一告警记录对应的入侵阶段可以有效提高确定入侵阶段的准确率。在一些实施方式中,可以基于告警记录与入侵阶段的映射关系确定第一告警记录对应的入侵阶段,也可以基于上下文关系与入侵阶段的映射关系确定第一告警记录对应的入侵阶段。
步骤S312,确定第一告警记录对应的入侵操作未达到入侵阶段。
步骤S314,将入侵阶段确定结果保存至预设区域。其中,预设区域可以包括云存储区和/或本地存储区。
在具体实现时,上述实施例提供的入侵阶段的确定方法可以应用于蜜罐系统,基于上述方法对侵入蜜罐系统的入侵操作进行入侵阶段标记。
综上所述,本发明实施例将黑客的渗透入侵思维转化为上下文关系和策略,当攻击者的攻击行为产生主机告警记录时,认为出现了上文,再进一步结合受害主机受攻击后在预设时段内是否出现对应的异常情况作为下文,来推断上文的攻击是否成功。通过上述方法可以有效降低了告警记录的误报率,且在事后追溯上还原了整个渗透过程的逻辑思维,不仅可以为客户提供更高质量的告警记录,还可以将渗透过程的逻辑思维转换为网络安全防御经验。进一步的,通过上下文关系确定第一告警记录对应的入侵阶段,可以有效缓解现有技术较为容易出现逻辑断点的问题。
对于前述实施例提供的入侵阶段的确定方法,本发明实施例还提供了一种入侵阶段的确定装置,参见图4所示的一种入侵阶段的确定装置的结构示意图,该装置可以包括以下部分:
第一告警记录接收模块402,用于接收第一告警记录;其中,第一告警记录携带有受害主机的身份信息。
第二告警记录获取模块404,用于基于受害主机的身份信息,获取预设时段内受害主机的第二告警记录。
判断模块406,用于基于第二告警记录判断第一告警记录对应的入侵操作是否成功。
阶段确定模块408,用于在判断模块的判断结果为是时,根据第二告警记录确定第一告警记录对应的入侵阶段。
本发明实施例提供的上述入侵阶段的确定装置,在接收到携带有受害主机的身份信息的第一告警记录后,基于受害主机的身份信息获取预设时段内受害主机的第二告警记录,若根据第二告警记录确定第一告警记录对应的入侵操作成功,则基于第二告警记录确定第一告警记录对应的入侵阶段。本发明实施例根据第二告警记录判断第一告警记录对应的入侵操作是否成功,并在入侵成功时基于第二告警记录确定第一告警记录对应的入侵阶段,如果第一告警记录对应的入侵操作成功,说明第一告警记录不属于误报,上述方式在确定第一告警记录不属于误报的告警记录时才确定入侵阶段,从而可以有效缓解因第一告警数据误报而导致的确定入侵阶段准确率较低的问题,有效提高了确定入侵阶段的准确率。
在一种实施方式中,上述第一告警记录接收模块402还用于:当监听到网络安全防护设备生成主机告警记录时,向网络安全防护设备发送推送指令,以使网络安全防护设备基于推送指令推送主机告警记录;接收网络安全防护设备推送的主机告警记录,并将主机告警记录作为第一告警记录。
在一种实施方式中,上述入侵阶段的确定装置还包括时间提取模块,用于:提取第一告警记录的告警时间字段,并基于告警时间字段确定预设时段。
在一种实施方式中,上述第二告警记录获取模块404还用于:将预设时段和受害主机的身份信息发送至网络安全防护设备,以使网络安全防护设备基于受害主机的身份信息和预设时段,查找受害主机的第二告警记录,并返回查找到的第二告警记录;接收网络安全防护设备返回的第二告警记录。
在一种实施方式中,上述判断模块406还用于:判断第一告警记录与第二告警记录是否存在告警关联;如果是,确定第一告警记录对应的入侵操作成功。
在一种实施方式中,上述阶段确定模块408还用于:若第一告警记录与第二告警记录存在告警关联,查找与告警关联对应的入侵阶段,并将告警关联对应的入侵阶段确定为第一告警记录对应的入侵阶段。
进一步的,上述网络安全防护设备包括防火墙、IDS、IPS、APT或NTA中的一种或多种。
在上述实施例提供的入侵阶段的确定装置的基础上,本发明实施例提供了另一种入侵阶段的确定装置,参见图5所示的另一种入侵阶段的确定装置的结构示意图,该装置可以包括依次连接的上文告警提取模块502、下文告警提取模块504、上下文关联计算模块506、阶段判定模块508和存储模块510,其中,上文告警提取模块502也即前述第一告警记录接收模块402,下文告警提取模块504也即前述第二告警记录获取模块404,上下文关联计算模块506也即前述判断模块406,阶段判定模块508也即前述阶段确定模块408,而存储模块510用于存储前述阶段确定模块408确定第一告警记录对应的阶段入侵结果。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
该设备为一种服务器,具体的,该服务器包括处理器和存储装置;存储装置上存储有计算机程序,计算机程序在被所述处理器运行时执行如上所述实施方式的任一项所述的方法。
图6为本发明实施例提供的一种服务器的结构示意图,该服务器100包括:处理器60,存储器61,总线62和通信接口63,所述处理器60、通信接口63和存储器61通过总线62连接;处理器60用于执行存储器61中存储的可执行模块,例如计算机程序。
其中,存储器61可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口63(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线62可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器61用于存储程序,所述处理器60在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器60中,或者由处理器60实现。
处理器60可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器60中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器60可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61,处理器60读取存储器61中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的可读存储介质的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见前述方法实施例,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种入侵阶段的确定方法,其特征在于,包括:
接收第一告警记录;其中,所述第一告警记录携带有受害主机的身份信息;
基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录;
基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功;
如果是,根据所述第二告警记录确定所述第一告警记录对应的入侵阶段;
在所述基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录的步骤之前,所述方法还包括:
提取所述第一告警记录的告警时间字段,并基于所述告警时间字段确定预设时段;
所述基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录的步骤,包括:
将所述受害主机的身份信息和预设时段的标识发送至网络安全防护设备,以使所述网络安全防护设备基于所述受害主机的身份信息和所述预设时段的标识,查找预设时段内所述受害主机的第二告警记录,并返回查找到的所述第二告警记录;
接收所述网络安全防护设备返回的所述第二告警记录。
2.根据权利要求1所述的方法,其特征在于,所述接收第一告警记录的步骤,包括:
当监听到网络安全防护设备生成主机告警记录时,向所述网络安全防护设备发送推送指令,以使所述网络安全防护设备基于所述推送指令推送所述主机告警记录;
接收所述网络安全防护设备推送的所述主机告警记录,并将所述主机告警记录作为第一告警记录。
3.根据权利要求1所述的方法,其特征在于,所述基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功的步骤,包括:
判断所述第一告警记录与所述第二告警记录是否存在告警关联;
如果是,确定所述第一告警记录对应的入侵操作成功。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第二告警记录确定所述第一告警记录对应的入侵阶段的步骤,包括:
若所述第一告警记录与所述第二告警记录存在告警关联,查找与所述告警关联对应的入侵阶段,并将所述告警关联对应的入侵阶段确定为所述第一告警记录对应的入侵阶段。
5.根据权利要求2所述的方法,其特征在于,所述网络安全防护设备包括防火墙、IDS、IPS、APT或NTA中的一种或多种。
6.一种入侵阶段的确定装置,其特征在于,包括:
第一告警记录接收模块,用于接收第一告警记录;其中,所述第一告警记录携带有受害主机的身份信息;
预设时段获取模块,用于提取所述第一告警记录的告警时间字段,并基于所述告警时间字段确定预设时段;
第二告警记录获取模块,用于基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录;将所述受害主机的身份信息和预设时段的标识发送至网络安全防护设备,以使所述网络安全防护设备基于所述受害主机的身份信息和所述预设时段的标识,查找预设时段内所述受害主机的第二告警记录,并返回查找到的所述第二告警记录;接收所述网络安全防护设备返回的所述第二告警记录;
判断模块,用于基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功;
阶段确定模块,用于在所述判断模块的判断结果为是时,根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。
7.一种服务器,其特征在于,包括处理器和存储器;
所述存储器上存储有计算机程序,所述计算机程序在被所述处理器运行时执行如权利要求1至5任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令在被处理器运行时执行如权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910753162.5A CN110445799B (zh) | 2019-08-15 | 2019-08-15 | 入侵阶段的确定方法、装置及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910753162.5A CN110445799B (zh) | 2019-08-15 | 2019-08-15 | 入侵阶段的确定方法、装置及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110445799A CN110445799A (zh) | 2019-11-12 |
| CN110445799B true CN110445799B (zh) | 2021-11-05 |
Family
ID=68435725
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910753162.5A Active CN110445799B (zh) | 2019-08-15 | 2019-08-15 | 入侵阶段的确定方法、装置及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110445799B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101090334A (zh) * | 2007-05-23 | 2007-12-19 | 西安交大捷普网络科技有限公司 | 一种解决入侵检测系统中海量报警的方法 |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN107331097A (zh) * | 2017-08-01 | 2017-11-07 | 中科融通物联科技无锡有限公司 | 基于目标位置信息融合的周界防入侵装置与方法 |
| CN108282446A (zh) * | 2017-01-06 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 识别扫描器的方法及设备 |
| CN108875347A (zh) * | 2018-07-12 | 2018-11-23 | 上海常仁信息科技有限公司 | 基于机器人身份证防止黑客入侵和控制的自动防护方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9503421B2 (en) * | 2014-03-17 | 2016-11-22 | Fortinet, Inc. | Security information and event management |
| CN108471429B (zh) * | 2018-06-29 | 2021-10-15 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
-
2019
- 2019-08-15 CN CN201910753162.5A patent/CN110445799B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101090334A (zh) * | 2007-05-23 | 2007-12-19 | 西安交大捷普网络科技有限公司 | 一种解决入侵检测系统中海量报警的方法 |
| CN101272286A (zh) * | 2008-05-15 | 2008-09-24 | 上海交通大学 | 网络入侵事件关联检测方法 |
| CN108282446A (zh) * | 2017-01-06 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 识别扫描器的方法及设备 |
| CN107331097A (zh) * | 2017-08-01 | 2017-11-07 | 中科融通物联科技无锡有限公司 | 基于目标位置信息融合的周界防入侵装置与方法 |
| CN108875347A (zh) * | 2018-07-12 | 2018-11-23 | 上海常仁信息科技有限公司 | 基于机器人身份证防止黑客入侵和控制的自动防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110445799A (zh) | 2019-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| CN106330944B (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| CN107786564B (zh) | 基于威胁情报的攻击检测方法、系统及电子设备 | |
| CN110417717B (zh) | 登录行为的识别方法及装置 | |
| CN108600003B (zh) | 一种面向视频监控网络的入侵检测方法、装置及系统 | |
| JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
| JP5832951B2 (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| CN111277561A (zh) | 网络攻击路径预测方法、装置及安全管理平台 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| JP2018073140A (ja) | ネットワーク監視装置、プログラム及び方法 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN114785567A (zh) | 一种流量识别方法、装置、设备及介质 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN110445799B (zh) | 入侵阶段的确定方法、装置及服务器 | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| CN114281547B (zh) | 一种数据报文处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |