CN110798425A - 一种黑客攻击行为的检测方法、系统及相关装置 - Google Patents

一种黑客攻击行为的检测方法、系统及相关装置 Download PDF

Info

Publication number
CN110798425A
CN110798425A CN201810864609.1A CN201810864609A CN110798425A CN 110798425 A CN110798425 A CN 110798425A CN 201810864609 A CN201810864609 A CN 201810864609A CN 110798425 A CN110798425 A CN 110798425A
Authority
CN
China
Prior art keywords
host
detection algorithm
detecting
behavior
suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810864609.1A
Other languages
English (en)
Other versions
CN110798425B (zh
Inventor
张斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201810864609.1A priority Critical patent/CN110798425B/zh
Publication of CN110798425A publication Critical patent/CN110798425A/zh
Application granted granted Critical
Publication of CN110798425B publication Critical patent/CN110798425B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种黑客攻击行为的检测方法,所述检测方法包括利用检测算法检测主机流量中的可疑行为,并根据检测到可疑行为的检测算法的危险等级调整主机的威胁度;其中,危险等级根据检测算法的特征强度设置,特征强度越强的检测算法对应的危险等级越高;判断威胁度是否大于预设值;若大于,则生成关于检测到黑客攻击行为的安全报警信息。本方法能够提高检测黑客攻击行为的识别率并降低检测黑客攻击行为的误报率。本申请还公开了一种黑客攻击行为的检测系统、一种计算机可读存储介质及一种黑客攻击行为的检测装置,具有以上有益效果。

Description

一种黑客攻击行为的检测方法、系统及相关装置
技术领域
本发明涉及网络安全技术领域,特别涉及一种黑客攻击行为的检测方法、系统、一种计算机可读存储介质及一种黑客攻击行为的检测装置。
背景技术
随着信息技术的不断发展,关于网络安全的问题逐渐受到人们的重视。如何检测黑客攻击行为是网络安全的一个重要课题,黑客攻击行为可以包括:扫描行为、爆破攻击行为和漏洞利用行为等。其中,扫描行为是指黑客为了找到攻击目标而进行的一些列侦查行为,如探测服务器版本,探测开放端口等;爆破攻击行为是指黑客为了取得合法登录权限,使用大量用户名和密码进行登录尝试的行为;漏洞利用行为是指黑客利用主机存在的漏洞获取主机控制权限的过程。
现有技术中,对于黑客攻击行为的检测是通过关联规则实现的。例如,将扫描行为定义为事件A,漏洞攻击行为定义为事件B,C&C通信行为定义为事件C,然后将A事件—B事件—C事件定义为一个关联规则M。当用户在内网攻击时,如果刚好匹配到A事件—B事件—C事件这个攻击过程,则可以认为检测到了黑客的攻击。但是,由于黑客攻击行为的过程不一定按照定义的关联规则进行且关联规则并不具备普遍适用性,因此现有技术中通过关联规则检测黑客攻击行为的方案会出现误报率高、识别率低等问题。
因此,如何提高检测黑客攻击行为的识别率并降低检测黑客攻击行为的误报率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种黑客攻击行为的检测方法、系统、一种计算机可读存储介质及一种黑客攻击行为的检测装置,能够提高检测黑客攻击行为的识别率并降低检测黑客攻击行为的误报率。
为解决上述技术问题,本申请提供一种黑客攻击行为的检测方法,该检测方法包括:
利用检测算法检测主机流量中的可疑行为,并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度;其中,所述危险等级根据所述检测算法的特征强度设置,所述特征强度越强的所述检测算法对应的所述危险等级越高;
判断所述威胁度是否大于预设值;若大于,则生成关于检测到黑客攻击行为的安全报警信息。
可选的,所述利用检测算法检测主机流量中的可疑行为,并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度包括:
利用所述检测算法检测目标时间段内的主机流量,判断是否存在所述可疑行为;
若存在,则根据检测到所述可疑行为的检测算法对应的危险等级调整所述威胁度;
判断所述威胁度是否大于所述预设值;
若否,则根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时刻之后的主机流量中的所述可疑行为,以便调整所述威胁度。
可选的,利用所述检测算法检测目标时间段内的所述主机流量,判断是否存在所述可疑行为包括:
利用所述检测算法检测目标时刻的主机流量,判断是否存在第一可疑行为;其中,所述目标时刻为所述目标时间段内的时刻;
若存在,则根据检测到所述第一可疑行为的检测算法对应的危险等级调整所述威胁度;
判断所述威胁度是否大于所述预设值;
若否,则读取所述目标时间段内的主机流量,根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时间段内的主机流量中是否存在第二可疑行为;其中,所述可疑行为包括所述第一可疑行为和第二可疑行为。
可选的,在生成关于检测到黑客攻击行为的安全报警信息之后,还包括:
查找执行所述可疑行为的第一风险主机和被执行所述可疑行为的第二风险主机,生成风险主机关系图。
可选的,还包括:
根据第一风险主机和第二风险主机生成失陷主机列表;
可选的,还包括:
当检测到所述可疑行为时,生成与所述可疑行为对应的安全事件。
按照所述安全事件的发生顺序和所述风险主机关系图生成主机失陷过程图。
可选的,还包括:
根据所述失陷主机列表对失陷主机向外发送的数据进行阻断操作和隔离操作
本申请还提供了一种黑客攻击行为的检测系统,该系统包括:
威胁度确定模块,用于利用检测算法检测主机流量中的可疑行为,并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度;其中,所述危险等级根据所述检测算法的特征强度设置,所述特征强度越强的所述检测算法对应的所述危险等级越高;
报警模块,用于判断所述威胁度是否大于预设值;若大于,则生成关于检测到黑客攻击行为的安全报警信息。
可选的,所述威胁度确定模块包括:
历史流量检测子模块,用于利用所述检测算法检测目标时间段内的主机流量,判断是否存在所述可疑行为;
第一威胁度调整子模块,用于当存在所述可疑行为时,根据检测到所述可疑行为的检测算法对应的危险等级调整所述威胁度;
第一判断子模块,用于判断所述威胁度是否大于所述预设值;
第二威胁度调整子模块,用于当所述威胁度小于或等于所述预设值时,根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时刻之后的主机流量中的所述可疑行为,以便调整所述威胁度。
可选的,所述历史流量检测子模块包括:
目标时刻监测单元,用于利用所述检测算法检测目标时刻的主机流量,判断是否存在第一可疑行为;其中,所述目标时刻为所述目标时间段内的时刻;
第三威胁度调节单元,用于当存在所述第一可疑行为时,根据检测到所述第一可疑行为的检测算法对应的危险等级调整所述威胁度;
第二判断子单元,用于判断所述威胁度是否大于所述预设值;
目标时间段检测单元,用于当所述威胁度小于或等于所述预设值时,读取所述目标时间段内的主机流量,根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时间段内的主机流量中是否存在第二可疑行为;其中,所述可疑行为包括所述第一可疑行为和第二可疑行为。
可选的,该检测系统还包括:
风险主机关系图生成模块,用于查找执行所述可疑行为的第一风险主机和被执行所述可疑行为的第二风险主机,生成风险主机关系图;
失陷主机列表生成模块,用于根据所述第一风险主机和所述第二风险主机生成失陷主机列表;
防护模块,用于根据所述失陷主机列表对失陷主机向外发送的数据进行阻断操作和隔离操作。
可选的,该检测系统还包括:
安全事件生成模块,用于当检测到所述可疑行为时,生成与所述可疑行为对应的安全事件;
主机失陷过程图生成模块,用于按照所述安全事件的发生顺序和所述风险主机关系图生成主机失陷过程图。
本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述黑客攻击行为的检测方法执行的步骤。
本申请还提供了一种黑客攻击行为的检测装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述黑客攻击行为的检测方法执行的步骤。
本发明提供了一种黑客攻击行为的检测方法,包括:利用检测算法检测主机流量中的可疑行为,并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度;其中,所述危险等级根据所述检测算法的特征强度设置,所述特征强度越强的所述检测算法对应的所述危险等级越高;判断所述威胁度是否大于预设值;若大于,则生成关于检测到黑客攻击行为的安全报警信息。
由于一种检测算法对应一类可疑行为,因此在本发明中每一种检测算法对应的危险等级实际上是指该检测算法所检测的可疑行为对于主机的危害程度。根据检测到可疑行为的检测算法的危险等级调整主机的威胁度,能够使检测到的每一个可疑行为都能够对主机的威胁度产生影响。虽然黑客攻击行为是具有很强的不确定性,但是黑客攻击行为都是通过的多种可疑行为的结合实现的,因此在本发明可以通过检测可疑行为的检测算法调整主机的威胁度,实现对黑客攻击行为的检测。当威胁度大于预设值时,则说明主机流量中检测到的可疑行为的数量和危害程度达到了符合检测到黑客攻击行为的标准,生成关于检测到黑客攻击行为的安全报警信息。相对于现有技术中根据关联规则判断主机流量中是否存在黑客攻击行为的方案,本发明无需制定繁琐、复杂的规则,还可以检测到不按照管理规则对应的攻击过程的黑客攻击行为,只需要根据检测到可疑行为的检测算法调整威胁度就可以检测主机流量中是否存在黑客攻击行为。本方案能够提高检测黑客攻击行为的识别率并降低检测黑客攻击行为的误报率。本申请同时还提供了一种黑客攻击行为的检测系统、一种计算机可读存储介质和一种黑客攻击行为的检测装置,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种黑客攻击行为的检测方法的流程图;
图2为本申请实施例所提供的黑客攻击行为的检测方法的中调整主机的威胁度的流程图;
图3为本申请实施例所提供的黑客攻击行为的检测方法的中判断主机流量中是否存在所述可疑行为的流程图;
图4为本申请实施例所提供的一种优选的黑客攻击行为的检测方法的流程图;
图5为本申请实施例所提供的一种黑客攻击行为的检测系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种黑客攻击行为的检测方法的流程图。
具体步骤可以包括:
S101:利用检测算法检测主机流量中的可疑行为,并根据检测到可疑行为的检测算法的危险等级调整主机的威胁度;其中,所述危险等级根据检测算法的特征强度设置,特征强度越强的检测算法对应的危险等级越高;
其中,本实施例中的可疑行为是指构成黑客攻击行为的子步骤,如:探测服务器版本、探测开放端口、账号暴力破解、利用漏洞获取主机权限等操作中仅检测出一项操作并不能完全确定存在黑客攻击行为,只可以认为存在有黑客攻击行为的嫌疑,这样对主机构成一定威胁且可以推断可能存在黑客攻击行为操作都叫做可疑行为。虽然黑客攻击行为是具有很强的不确定性,但是黑客攻击行为都是通过的多种可疑行为的结合实现的,因此在本实施例中可以通过检测可疑行为的检测算法调整主机的威胁度,实现对黑客攻击行为的检测。
可以理解的是,在本步骤之前默认存在针对已有的检测算法,定义每种检测算法的危险等级。本实施例中提到的检测算法的特征强度是指检测算法检测可疑行为的准确度,每一种检测算法的检测准确度都是不同的,故将特征强度较强的检测算法定义为较高的危险等级,例如漏洞利用攻击、爆破攻击等;将较弱特征等级的检测算法定义为较低的危险等级,例如异常流量分析、协议异常检测、扫描检测等。本领域的技术人员可以根据方案的实际应用情况设置每一种检测算法对应的危险等级,可以理解的是在不同应用情况下每一种检测算法对应的可疑行为对于主机的危险程度是不同的,因此可以灵活调节每一种检测算法对应的危险等级。进一步的说,在本步骤之前还默认存在为每一种危险等级定义对于威胁度的影响程度的操作;即危险等级较高的检测算法对威胁度影响较大,危险等级较低的检测算法对威胁度影响较小,当然每一种危险等级对于威胁度影响的具体数值可以根据实际应用情况灵活设定。可以理解的是,上面提到的关于不同危险等级的检测算法对于威胁度的影响都是使威胁度变高的调整策略,即任意一种危险等级的检测算法的存在都会造成威胁度变高。
值得注意的是,本实施例中所描述的检测算法所检测的是可疑行为是指同一性质的一类操作,例如扫描检测算法所检测的是属于扫描行为的可疑行为例如探测服务器版本、探测开放端口等。不同危险等级的检测算法对于威胁度的影响是不同的,由于检测算法与可疑行为一一对应且检测算法与危险等级一一对应,因此就相当于每一种可疑行为都对应着一个危险等级,也就是说危险等级越高的检测算法对于威胁度的影响越大。下面通过一个例子来说明S101中的具体过程:
假设:检测算法A的危险等级为1,检测算法B的危险等级为2,检测算法C的危险等级为3,当出现危险等级为1对应的可疑行为时威胁度增加10,当出现危险等级为2对应的可疑行为时威胁度增加20,当出现危险等级为3对应的可疑行为时威胁度增加30,此时主机的威胁度为20。当S101步骤执行过程中发现检测算法A和检测算法B均检测到其对应的可疑行为,那么可以根据检测算法A和检测算法B对应的危险等级调整威胁度,即原本的威胁度20加上存在危险等级为1的检测算法时增加的威胁度10再加上存在危险等级为3的检测算法时增加的威胁度30,得到最终的威胁度60。
可以理解的是,由于检测算法与可疑行为一一对应,而且检测算法与危险等级一一对应,危险等级对应的检测算法就相当于危险等级对应的可疑行为。
S102:判断威胁度是否大于预设值;若是,则进入S103;若否,则结束流程;
其中,本步骤是建立在S101已经根据主机流量得到关于主机的威胁度的前提下,判断S101中调整后的威胁度是否大于预设值,若大于则说明存在黑客攻击行为需要执行S103中生成安全报警信息的操作。
可以理解的是,本步骤中关于评判是否存在黑客攻击行为的预设值是由本领域技术人员根据方案的实际应用情况设置的,由于该预设值是一个关于主机威胁度的综合的考量,在设置该预设值时应充分考虑场景、用户需求和实施条件等整体因素。
S103:生成关于检测到黑客攻击行为的安全报警信息。
其中,生成关于检测到黑客攻击行为的安全报警信息,就相当于,生成检测到黑客攻击行为对应的安全报警信息。
作为一种优选的实施方案,在S103生成关于检测到黑客攻击行为的安全报警信息之后还可以存在对失陷主机攻击流量进行阻断、隔离和举证等操作。如:查找执行所述可疑行为的第一风险主机和被执行所述可疑行为的第二风险主机,生成风险主机关系图,例如主机M攻击了主机X,主机X攻击了主机Y和主机Z这样的过程。还可以根据第一风险主机和第二风险主机生成失陷主机列表;当检测到所述可疑行为时,生成与所述可疑行为对应的安全事件。还可以按照所述安全事件的发生顺序和所述风险主机关系图生成主机失陷过程图,如针对主机X生成一个安全事件:主机X在16点被检测到外发扫描攻击威胁度为30,18点被检测到外发爆破攻击威胁度为60,对主机X之后的流量进行重点监控,流量分析算法的参数根据主机X当前的威胁度确定。根据所述失陷主机列表对失陷主机向外发送的数据进行阻断操作和隔离操作,例如假设主机X被我们识别为已失陷;主机X在17点被检测到存在疑似扫描行为,可疑度40;主机X在17点10分检测到对主机Y发起爆破行为,主机X可疑度60,主机Y可疑度10;主机X在17点11分检测到对主机Y发起漏洞利用攻击,主机X可疑度100,主机Y可疑度40。
由于一种检测算法对应一类可疑行为,因此在本实施例中每一种检测算法对应的危险等级实际上是指该检测算法所检测的可疑行为对于主机的危害程度。根据检测到可疑行为的检测算法的危险等级调整主机的威胁度,能够使检测到的每一个可疑行为都能够对主机的威胁度产生影响。虽然黑客攻击行为是具有很强的不确定性,但是黑客攻击行为都是通过的多种可疑行为的结合实现的,因此在本实施例可以通过检测可疑行为的检测算法调整主机的威胁度,实现对黑客攻击行为的检测。当威胁度大于预设值时,则说明主机流量中检测到的可疑行为的数量和危害程度达到了符合检测到黑客攻击行为的标准,生成关于检测到黑客攻击行为的安全报警信息。相对于现有技术中根据关联规则判断主机流量中是否存在黑客攻击行为的方案,本实施例无需制定繁琐、复杂的规则,还可以检测到不按照管理规则对应的攻击过程的黑客攻击行为,只需要根据检测到可疑行为的检测算法调整威胁度就可以检测主机流量中是否存在黑客攻击行为。本实施例能够提高检测黑客攻击行为的识别率并降低检测黑客攻击行为的误报率。
下面请参见图2,图2为本申请实施例所提供的黑客攻击行为的检测方法的中调整主机的威胁度的流程图。
本实施例是对第一个实施例中S101的具体限定,相同的内容可以参照第一个实施例中的叙述,调整主机的威胁度的方式包括但不限于下述方式:
S201:利用检测算法检测目标时间段内的主机流量,判断是否存在可疑行为;若是,则进入S202;若否,则结束流程;
其中,由于黑客攻击主机后会对网络内的其他主机进行攻击,因此对于黑客攻击行为的检测的时间点十分重要,能够及早发现黑客攻击行为可以帮助工作人员及时对收到攻击的主机进行隔离及其他补救措施。如果对主机所有的主机流量进行关于黑客攻击行为的检测,不但工作量巨大,而且会导致检测结果具有滞后性,无法及时发现主机中的安全问题,故本步骤的目的在于判断目标时间段内是否存在可疑行为,来检测工作人员设定的一段时间内是否存在黑客攻击行为。作为一种优选的实施方式,可以检测包括当前时刻或主机流量上最近的时刻的目标时间段,以提升对黑客攻击行为检测的速度。和第一个实施例一样,在本步骤中对于可疑行为的检测就是通过基本的单点检测来实现可疑行为的检测。
值得注意的是,在本步骤中只是对目标时间段内的主机流量是否存在可疑行为,需要将目标时间段内的主机流量全部检测完,再判断是否存在可疑行为,以便S202中根据目标时间段内主机流量中存在的全部可疑行为进行威胁度的调整。
S202:根据检测到可疑行为的检测算法对应的危险等级调整威胁度;
其中,本步骤与上一实施例中S101关于调整威胁度的操作基本一致,可以根据预先设定好的检测算法对应的危险等级、各个危险等级对应的对威胁度的影响调整主机的威胁度。
S203:判断威胁度是否大于预设值;若否,则进入S204;若是,则进入S205;
其中,本步骤与上一实施例中S102中的操作进本一致,根据工作人员设定好的预设值与威胁度进行比较。
S204:根据威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测目标时刻之后的主机流量中的可疑行为,以便调整威胁度。
其中,本步骤是建立在S203判断S202得到的威胁度不大于预设值的前提下,此时说明目标时间段内的主机流量中不存在黑客攻击行为。但是,由于黑客攻击行为是一系列可疑行为构成的,因此仅仅根据目标时间段内的主机流量中不存在黑客攻击行为,并不能说明目标时间段内不存在黑客攻击行为的部分步骤。例如,在目标时间段内只有扫描检测算法检测到了可疑行为,而调整后的威胁度并不大与预设值,在目标时间段之后存在其他能够使威胁度调整后大于预设值的可疑行为,即可能检测到黑客攻击行为。因此,需要在目标时间段之后继续对主机流量进行检测。
可以理解的是,主机的威胁度越高主机被黑客攻击的可能性就越大,因此检测算法可以根据威胁度的变化改变自身参数,提升可疑行为检测的严格程度。作为一种优选的实施方案,如本步骤中所述:在调整威胁度之后,根据调整后的威胁度调整所述检测算法的参数,即若威胁度变高调整参数后的检测算法的检测标准越严苛。值得注意的是,本步骤中调节参数的检测算法是指全部的检测算法。
S205:生成关于检测到黑客攻击行为的安全报警信息。
本实施例是对第一个实施例中关于调整主机威胁度操作的更优选的实施方式。通过只对目标时间段内的主机流量进行检测,节约了系统资源,提高了检测的及时性。进一步的,由于本实施例通过根据威胁度调节检测算法的参数,灵活控制检测可疑行为的严格程度。
下面请参见图3,图3为本申请实施例所提供的黑客攻击行为的检测方法的中判断主机流量中是否存在所述可疑行为的流程图。
本实施例是对图2对应的实施例中S201的具体限定,相同的内容可以参照第一个实施例中的叙述,判断主机流量中是否存在所述可疑行为的方式包括但不限于下述方式:
S301:利用检测算法检测目标时刻的主机流量,判断是否存在第一可疑行为;其中,目标时刻为目标时间段内的时刻;若是,则进入S302;若否,则结束流程;
其中,在本实施例中,先检测目标时刻是否存在第一可疑行为,目标时刻可以是目标时间段内任意时刻,由于及时性是对黑客攻击行为检测的一个要求,作为一种优选的实施方案,可以将目标时间段设置为以当前时刻为终点时刻的一段时间,目标时刻为当前时刻。也就是说,作为一种优选的实施方式,在本步骤中所检测的目标时刻的主机流量可以是当前时刻的主机流量,实现对黑客攻击行为的实时检测。
S302:根据检测到第一可疑行为的检测算法对应的危险等级调整威胁度;
本步骤是建立在S301已经检测到目标时刻的主机流量中存在有可疑行为,根据检测到可疑行为的检测算法调整主机的威胁度。
S303:判断威胁度是否大于预设值;若否,则进入S304;若是,则进入S305;
S304:读取目标时间段内的主机流量,根据威胁度调整检测算法的参数,并利用调整参数后的检测算法检测目标时间段内的主机流量中是否存在第二可疑行为;其中,所述可疑行为包括所述第一可疑行为和第二可疑行为。
本步骤是建立在S303判断主机的威胁度不大于预设值的前提下,为了提升本方案的检测黑客攻击行为的准确度,可以根据调整后的威胁度所有所述检测算法的参数。由于检测到目标时间段内的目标时刻的主机流量存在可疑行为,为了提升黑客攻击行为检测的准确率,本实施例对目标时间段内的主机流量进行检测,以便更新威胁度。
S305:生成关于检测到黑客攻击行为的安全报警信息。
由于检测算法可以有多个,因此利用检测算法检测到的可疑行为可以是任意数量个。从理论上来说,检测到的所有可疑行为是存在一定的先后顺序的,作为一种最优选的实施方式,应该在检测到一个可疑行为后就改变相应的威胁度,当威胁度发生变化时可以改变检测算法的参数以提升检测的准确度。
可以理解的是,图2和图3对应的实施例均是对图1对应的实施例的更具体的补充,将图2和图3对应的实施例的方案与图1结合后可以得到更为优选的实施方案。
请参见图4,图4为本申请实施例所提供的一种优选的黑客攻击行为的检测方法的流程图。
具体步骤可以包括:
S401:利用检测算法检测目标时刻的主机流量,判断是否存在第一可疑行为;若是,则进入S402;若否,则结束流程;
S402:根据检测到第一可疑行为的检测算法对应的危险等级调整威胁度;
S403:判断威胁度是否大于预设值;若是,则进入409;若否,则进入S404;
S404:读取目标时间段内的主机流量,根据威胁度调整检测算法的参数,并利用调整参数后的检测算法检测目标时间段内的主机流量中是否存在第二可疑行为;
S405:根据检测到可疑行为的检测算法对应的危险等级调整威胁度;
S406:判断威胁度是否大于预设值;若是,则进入S409;若否,则进入S407;
S407:根据威胁度调整检测算法的参数,并利用调整参数后的检测算法检测目标时刻之后的主机流量中的可疑行为,以便调整所述威胁度。
S408:判断威胁度是否大于预设值;若是,则进入S409;若否,则结束流程。
S409:生成关于检测到黑客攻击行为的安全报警信息。
请参见图5,图5为本申请实施例所提供的一种黑客攻击行为的检测系统的结构示意图;
该系统可以包括:
威胁度确定模块100,用于利用检测算法检测主机流量中的可疑行为,并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度;其中,所述危险等级根据所述检测算法的特征强度设置,所述特征强度越强的所述检测算法对应的所述危险等级越高;
报警模块200,用于判断所述威胁度是否大于预设值;若大于,则生成关于检测到黑客攻击行为的安全报警信息。
其中,所述威胁度确定模块100包括:
历史流量检测子模块,用于利用所述检测算法检测目标时间段内的主机流量,判断是否存在所述可疑行为;
第一威胁度调整子模块,用于当存在所述可疑行为时,根据检测到所述可疑行为的检测算法对应的危险等级调整所述威胁度;
第一判断子模块,用于判断所述威胁度是否大于所述预设值;
第二威胁度调整子模块,用于当所述威胁度小于或等于所述预设值时,根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时刻之后的主机流量中的所述可疑行为,以便调整所述威胁度。
历史流量检测子模块包括:
目标时刻监测单元,用于利用所述检测算法检测目标时刻的主机流量,判断是否存在第一可疑行为;其中,所述目标时刻为所述目标时间段内的时刻;
第三威胁度调节单元,用于当存在所述第一可疑行为时,根据检测到所述第一可疑行为的检测算法对应的危险等级调整所述威胁度;
第二判断子单元,用于判断所述威胁度是否大于所述预设值;
目标时间段检测单元,用于当所述威胁度小于或等于所述预设值时,读取所述目标时间段内的主机流量,根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时间段内的主机流量中是否存在第二可疑行为;其中,所述可疑行为包括所述第一可疑行为和第二可疑行为。
可选的,该检测系统还包括:
风险主机关系图生成模块,用于查找执行所述可疑行为的第一风险主机和被执行所述可疑行为的第二风险主机,生成风险主机关系图;
失陷主机列表生成模块,用于根据所述第一风险主机和所述第二风险主机生成失陷主机列表;
防护模块,用于根据所述失陷主机列表对失陷主机向外发送的数据进行阻断操作和隔离操作。
可选的,该检测系统还包括:
安全事件生成模块,用于当检测到所述可疑行为时,生成与所述可疑行为对应的安全事件;
主机失陷过程图生成模块,用于按照所述安全事件的发生顺序和所述风险主机关系图生成主机失陷过程图。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种黑客攻击行为的检测装置,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然黑客攻击行为的检测装置还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (14)

1.一种黑客攻击行为的检测方法,其特征在于,包括:
利用检测算法检测主机流量中的可疑行为,并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度;其中,所述危险等级根据所述检测算法的特征强度设置,所述特征强度越强的所述检测算法对应的所述危险等级越高;
判断所述威胁度是否大于预设值;若大于,则生成关于检测到黑客攻击行为的安全报警信息。
2.根据权利要求1所述检测方法,其特征在于,所述利用检测算法检测主机流量中的可疑行为,并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度包括:
利用所述检测算法检测目标时间段内的主机流量,判断是否存在所述可疑行为;
若存在,则根据检测到所述可疑行为的检测算法对应的危险等级调整所述威胁度;
判断所述威胁度是否大于所述预设值;
若否,则根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时刻之后的主机流量中的所述可疑行为,以便调整所述威胁度。
3.根据权利要求2所述检测方法,其特征在于,利用所述检测算法检测目标时间段内的所述主机流量,判断是否存在所述可疑行为包括:
利用所述检测算法检测目标时刻的主机流量,判断是否存在第一可疑行为;其中,所述目标时刻为所述目标时间段内的时刻;
若存在,则根据检测到所述第一可疑行为的检测算法对应的危险等级调整所述威胁度;
判断所述威胁度是否大于所述预设值;
若否,则读取所述目标时间段内的主机流量,根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时间段内的主机流量中是否存在第二可疑行为;其中,所述可疑行为包括所述第一可疑行为和第二可疑行为。
4.根据权利要求1至3任一项所述检测方法,其特征在于,在生成关于检测到黑客攻击行为的安全报警信息之后,还包括:
查找执行所述可疑行为的第一风险主机和被执行所述可疑行为的第二风险主机,生成风险主机关系图。
5.根据权利要求4所述检测方法,其特征在于,还包括:
根据所述第一风险主机和所述第二风险主机生成失陷主机列表。
6.根据权利要求4所述检测方法,其特征在于,还包括:
当检测到所述可疑行为时,生成与所述可疑行为对应的安全事件;
按照所述安全事件的发生顺序和所述风险主机关系图生成主机失陷过程图。
7.根据权利要求5所述检测方法,其特征在于,还包括:
根据所述失陷主机列表对失陷主机向外发送的数据进行阻断操作和隔离操作。
8.一种黑客攻击行为的检测系统,其特征在于,包括:
威胁度确定模块,用于利用检测算法检测主机流量中的可疑行为,并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度;其中,所述危险等级根据所述检测算法的特征强度设置,所述特征强度越强的所述检测算法对应的所述危险等级越高;
报警模块,用于判断所述威胁度是否大于预设值;若大于,则生成关于检测到黑客攻击行为的安全报警信息。
9.根据权利要求8所述检测系统,其特征在于,所述威胁度确定模块包括:
历史流量检测子模块,用于利用所述检测算法检测目标时间段内的主机流量,判断是否存在所述可疑行为;
第一威胁度调整子模块,用于当存在所述可疑行为时,根据检测到所述可疑行为的检测算法对应的危险等级调整所述威胁度;
第一判断子模块,用于判断所述威胁度是否大于所述预设值;
第二威胁度调整子模块,用于当所述威胁度小于或等于所述预设值时,根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时刻之后的主机流量中的所述可疑行为,以便调整所述威胁度。
10.根据权利要求9所述检测系统,其特征在于,所述历史流量检测子模块包括:
目标时刻监测单元,用于利用所述检测算法检测目标时刻的主机流量,判断是否存在第一可疑行为;其中,所述目标时刻为所述目标时间段内的时刻;
第三威胁度调节单元,用于当存在所述第一可疑行为时,根据检测到所述第一可疑行为的检测算法对应的危险等级调整所述威胁度;
第二判断子单元,用于判断所述威胁度是否大于所述预设值;
目标时间段检测单元,用于当所述威胁度小于或等于所述预设值时,读取所述目标时间段内的主机流量,根据所述威胁度调整所述检测算法的参数,并利用调整参数后的检测算法检测所述目标时间段内的主机流量中是否存在第二可疑行为;其中,所述可疑行为包括所述第一可疑行为和第二可疑行为。
11.根据权利要求8至10任一项所述检测系统,其特征在于,还包括:
风险主机关系图生成模块,用于查找执行所述可疑行为的第一风险主机和被执行所述可疑行为的第二风险主机,生成风险主机关系图;
失陷主机列表生成模块,用于根据所述第一风险主机和所述第二风险主机生成失陷主机列表;
防护模块,用于根据所述失陷主机列表对失陷主机向外发送的数据进行阻断操作和隔离操作。
12.根据权利要求11所述检测系统,其特征在于,还包括:
安全事件生成模块,用于当检测到所述可疑行为时,生成与所述可疑行为对应的安全事件;
主机失陷过程图生成模块,用于按照所述安全事件的发生顺序和所述风险主机关系图生成主机失陷过程图。
13.一种黑客攻击行为的检测装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时执行如权利要求1至7任一项所述的黑客攻击行为的检测方法的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的黑客攻击行为的检测方法的步骤。
CN201810864609.1A 2018-08-01 2018-08-01 一种黑客攻击行为的检测方法、系统及相关装置 Active CN110798425B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810864609.1A CN110798425B (zh) 2018-08-01 2018-08-01 一种黑客攻击行为的检测方法、系统及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810864609.1A CN110798425B (zh) 2018-08-01 2018-08-01 一种黑客攻击行为的检测方法、系统及相关装置

Publications (2)

Publication Number Publication Date
CN110798425A true CN110798425A (zh) 2020-02-14
CN110798425B CN110798425B (zh) 2022-08-09

Family

ID=69425092

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810864609.1A Active CN110798425B (zh) 2018-08-01 2018-08-01 一种黑客攻击行为的检测方法、系统及相关装置

Country Status (1)

Country Link
CN (1) CN110798425B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124560A (zh) * 2021-12-01 2022-03-01 北京天融信网络安全技术有限公司 一种失陷主机的检测方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040044912A1 (en) * 2002-08-26 2004-03-04 Iven Connary Determining threat level associated with network activity
CN1553293A (zh) * 2003-12-19 2004-12-08 华中科技大学 基于分布式数据挖掘的协同入侵检测系统
CN102137115A (zh) * 2011-04-22 2011-07-27 南京邮电大学 通信网恶意代码攻击效果评估方法
CN102882893A (zh) * 2012-10-30 2013-01-16 吉林大学 基于黑板结构的警报协同系统
CN103957185A (zh) * 2013-12-16 2014-07-30 汉柏科技有限公司 一种实现应用层流量监控的防火墙控制方法
CN108243189A (zh) * 2018-01-08 2018-07-03 平安科技(深圳)有限公司 一种网络威胁管理方法、装置、计算机设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040044912A1 (en) * 2002-08-26 2004-03-04 Iven Connary Determining threat level associated with network activity
CN1553293A (zh) * 2003-12-19 2004-12-08 华中科技大学 基于分布式数据挖掘的协同入侵检测系统
CN102137115A (zh) * 2011-04-22 2011-07-27 南京邮电大学 通信网恶意代码攻击效果评估方法
CN102882893A (zh) * 2012-10-30 2013-01-16 吉林大学 基于黑板结构的警报协同系统
CN103957185A (zh) * 2013-12-16 2014-07-30 汉柏科技有限公司 一种实现应用层流量监控的防火墙控制方法
CN108243189A (zh) * 2018-01-08 2018-07-03 平安科技(深圳)有限公司 一种网络威胁管理方法、装置、计算机设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124560A (zh) * 2021-12-01 2022-03-01 北京天融信网络安全技术有限公司 一种失陷主机的检测方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN110798425B (zh) 2022-08-09

Similar Documents

Publication Publication Date Title
EP3586259B1 (en) Systems and methods for context-based mitigation of computer security risks
EP2769325B1 (en) User behavioral risk assessment
CN110290148B (zh) 一种web防火墙的防御方法、装置、服务器及存储介质
Zhou et al. Anomaly detection methods for IIoT networks
KR102024142B1 (ko) 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템
CN112926048B (zh) 一种异常信息检测方法和装置
CN112685682B (zh) 一种攻击事件的封禁对象识别方法、装置、设备及介质
CN111600880A (zh) 异常访问行为的检测方法、系统、存储介质和终端
CA2944910A1 (en) Adjustment of protection based on prediction and warning of malware-prone activity
US11647029B2 (en) Probing and responding to computer network security breaches
US20210234877A1 (en) Proactively protecting service endpoints based on deep learning of user location and access patterns
CN116708210A (zh) 一种运维处理方法和终端设备
EP3172692A1 (en) Remedial action for release of threat data
CN111193738A (zh) 一种工业控制系统的入侵检测方法
CN114866296B (zh) 入侵检测方法、装置、设备及可读存储介质
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
CN115913720A (zh) 网络防护方法、装置、电子设备及介质
CN110798425B (zh) 一种黑客攻击行为的检测方法、系统及相关装置
EP3319355A1 (en) Distributed firewall system
CN113553599A (zh) 工控主机软件加固方法及系统
Al Baalbaki et al. Autonomic critical infrastructure protection (acip) system
US20230018096A1 (en) Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program
US12010133B2 (en) Security threat monitoring for network-accessible devices
Baldi Cybersecurity Defense for Industrial Process-Control Systems.
US11126713B2 (en) Detecting directory reconnaissance in a directory service

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant