CN111786964A - 网络安全检测方法、终端及网络安全设备 - Google Patents
网络安全检测方法、终端及网络安全设备 Download PDFInfo
- Publication number
- CN111786964A CN111786964A CN202010537493.8A CN202010537493A CN111786964A CN 111786964 A CN111786964 A CN 111786964A CN 202010537493 A CN202010537493 A CN 202010537493A CN 111786964 A CN111786964 A CN 111786964A
- Authority
- CN
- China
- Prior art keywords
- target
- attribute information
- file
- determining
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种网络安全检测方法、终端及网络安全设备,所述方法包括:获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求;根据所述请求,确定所述网络行为所属进程的进程标识符;从存储的进程链表中,确定所述进程标识符所属的目标进程链;获取所述目标进程链中每一进程的属性信息,得到属性信息集合;将所述属性信息集合反馈给所述网络安全设备,以使所述网络安全设备定位所述网络行为对应的目标文件。
Description
技术领域
本申请实施例涉及但不限于网络技术领域,尤其涉及一种网络安全检测方法、终端及网络安全设备。
背景技术
近年来,企业内部安全威胁加剧,僵尸网络威胁或高级威胁层出不穷。为应对新威胁,安全厂商大部分都通过采集僵尸网络和高级威胁的网络情报,并在网络侧上检测是否有与网络情报匹配的流量,一经发现,即可检测到存在僵尸网络或高级威胁,从而定位到具体的失陷主机。但随之而来的安全运维问题卡住了威胁的最终闭环:无法定位到失陷主机上的威胁文件,通过人工排查往往定位不到或者定位不全,导致无法真正干掉威胁文件,无法彻底闭环。
发明内容
有鉴于此,本申请实施例提供一种网络安全检测方法、终端及网络安全设备。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种网络安全检测方法,应用于终端,所述方法包括:
获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求;
根据所述请求,确定所述网络行为所属进程的进程标识符;
从存储的进程链表中,确定所述进程标识符所属的目标进程链;
获取所述目标进程链中每一进程的属性信息,得到属性信息集合;
将所述属性信息集合反馈给所述网络安全设备,以使所述网络安全设备定位所述网络行为对应的目标文件。
本申请实施例提供一种网络安全检测方法,应用于网络安全设备,所述方法包括:
在检测到满足预设条件的网络行为时,向终端发送定位所述网络行为对应的目标文件的请求;
接收所述终端反馈的所述网络行为所属目标进程链的属性信息集合;
根据所述属性信息集合,定位所述网络行为对应的目标文件。
本申请实施例提供一种网络安全检测终端,所述网络安全检测终端包括:
第一获取模块,用于获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求;
第一确定模块,用于根据所述请求,确定所述网络行为所属进程的进程标识符;
第二确定模块,用于从存储的进程链表中,确定所述进程标识符所属的目标进程链;
第二获取模块,用于获取所述目标进程链中每一进程的属性信息,得到属性信息集合;
反馈模块,用于将所述属性信息集合反馈给所述网络安全设备,以使所述网络安全设备定位所述网络行为对应的目标文件。
本申请实施例提供一种网络安全设备,所述网络安全设备包括:
第一发送模块,用于在检测到满足预设条件的网络行为时,向终端发送定位所述网络行为对应的目标文件的请求;
接收模块,用于接收所述终端反馈的所述网络行为所属目标进程链的属性信息集合;
第一定位模块,用于根据所述属性信息集合,定位所述网络行为对应的目标文件。
本申请实施例提供一种网络安全检测设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述网络安全检测方法中的步骤。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述网络安全检测方法中的步骤。
本申请实施例提供一种网络安全检测方法、终端及网络安全设备,获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求;根据所述请求,确定所述网络行为所属进程的进程标识符;从存储的进程链表中,确定所述进程标识符所属的目标进程链;获取所述目标进程链中每一进程的属性信息,得到属性信息集合;将所述属性信息集合反馈给所述网络安全设备,以使所述网络安全设备定位所述网络行为对应的目标文件;如此可以根据获取满足预设条件的网络行为的进程标识符,准确地确定出满足预设条件的网络行为所属的目标进程链,确定到所有与满足预设条件的网络行为有关的目标文件,实现了对目标文件精确定位和彻底清理,保护了终端的信息安全。
附图说明
图1为本申请实施例的网络安全检测方法的交互示意图;
图2为本申请实施例建立进程链表方法的流程示意图;
图3为本申请实施例的网络安全检测方法的流程示意图;
图4为本申请实施例为每个进程建立以进程标识符为主的进程链的示意图;
图5为本申请实施例网络安全检测方法的另一交互示意图;
图6为本申请实施例网络安全检测方法的又一交互示意图;
图7为本申请实施例网络安全检测终端的结构示意图;
图8为本申请实施例网络安全设备的结构示意图;
图9为本申请实施例提供的一种网络安全检测设备的硬件实体示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
对本申请实施例进行进一步详细说明之前,对本申请实施例中涉及的名词和术语进行说明,本申请实施例中涉及的名词和术语适用于如下的解释。
1)网络安全设备:是指如态势感知、传统防火墙、下一代防火墙、服务平台(Network Terminal Appliance,NTA)、入侵防御系统(Intrusion Prevention System,IPS)以及应用防护系统(Web Application Firewall,WAF)等通过网络流量分析来检测或防御网络攻击的安全防护装置,一般被部署在防护目标链路之外或者旁路,抓取出口路由器或核心交换机的流量进行分析,发现威胁后及时防御或告警。
2)僵尸网络:僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染僵尸程序(bot程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
3)高级威胁:又称针对性攻击(Advanced Persistent Threat,APT)。是指隐匿而持久的电脑入侵过程,通常由人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。此类威胁往往隐藏在企业内部的终端上,并定期通过建立C&C通信信道与黑客进行联系,执行黑客指令,对企业进行数据破坏、信息窃取等危害。
4)C&C通信:命令和控制通信(Command and Control,C&C)。一般为高级威胁攻击或僵尸网络威胁常用的手法。当攻击成功突破到企业内部后,为了实现持久的控制,需要建立一条从企业内部到攻击者之间的通信信道。攻击者往往会在被攻破的主机上安装隐蔽的代理程序,来与攻击者定期建立通信,接收攻击者指令并执行,这个通信过程称为C&C通信。
5)终端(agent):软件代理形式,在终端(如PC或服务器主机)上安装特定开发的软件,以便做些需要的工作。基于软件形式,在主机上进行远程登录识别和防护,以此来达成防护目的。
6)网络会话:在计算机科学中,特别是在网络中,会话是两个或多个通信设备之间,或计算机与用户之间临时的、交互式的信息交换(请参阅登录会话)。会话在某个时间点建立,然后在稍后的某个时间点被结束。已建立的通信会话可能涉及每个方向的多个消息。会话通常是有状态的,这意味着至少有一个通信方需要保存当前状态信息并保存关于会话历史的信息,以便能够进行通信,而不是无状态通信,在无状态通信中,通信由具有响应的独立请求组成。一般网络会话包含创建时间、源网际协议(Internet Protocol Address,IP)地址、源端口、目的IP、目的端口和进程等信息。
7)病毒母体&衍生体:网络安全业界借用生物学的名称来让病毒行为通俗易懂。一般病毒在进入主机后,此病毒成为母体。当病毒执行后,一般为了避免彻底删除,会复制自身或释放衍生体,让衍生体程序自己执行来建立C&C通信,即母体释放的程序为衍生体。
8)进程链:以链条的形式描述从进程创建到其加载/拉起其他进程的整个过程。如病毒母体1运行后,释放了衍生体2,衍生体2又拉起了网络进程3发起网络通信,则进程链表述为:1→2→3,其中进程3是进程2的子进程,进程2是进程1的子进程。若定位到进程3建立了C&C通信,则通过进程链就可以定位到子进程1或2都可能是威胁程序。
在一些实施例中,近年来勒索病毒频繁爆发,并呈现了黑客介入的人工对抗形式,导致传统的防护装置(如防病毒软件)容易被绕过而沦陷,如勒索病毒(crysis病毒和matrix病毒),攻击者利用远程登录(主要是远程桌面协议(Remote Desktop Protocol,RDP)登录)弱密码或爆破攻击形式,获取了RDP账号密码,远程登录到主机上,手动停止主机上的所有防护装置,并成功植入勒索病毒,实行重要文件数据加密,并通过此主机为跳板,以相似手段迅速攻破内部网络的其他重要资产,以此造成了严重的影响,勒索受害者缴纳赎金来解锁数据,达成其牟利的需要。如此,在网络安全设备发现问题并定位到主机后,一般需要人为去排查,并通过扫描工具进行全盘定位才能发现病毒文件,整个过程费时费力,甚至效果一般,加大了安全运维的难处,完全依赖运维人员的安全“取证能力”。
基于此,本申请实施例提出了以下技术方案,为了能够更加详尽地了解本申请实施例的特点与技术内容,下面结合附图对本申请实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本申请实施例。
本申请实施例提供一种网络安全检测方法,图1为本申请实施例的网络安全检测方法的交互示意图,如图1所示,所示方法包括以下步骤:
步骤S101:在检测到满足预设条件的网络行为的情况下,网络安全设备向终端发送定位所述网络行为对应的目标文件的请求。
这里,网络安全设备是指如态势感知、传统防火墙、下一代防火墙、NTA、IPS和WAF等通过网络流量分析来检测或防御网络攻击的安全防护装置,一般被部署在防护目标链路之外或者旁路部署,抓取出口路由器或核心交换机的流量进行分析,发现威胁后及时防御或告警。
满足预设条件的网络行为,是指在预设时长内,产生的数据包的数据量大于预设数据量阈值的网络行为。比如,在5秒内,产生的数据包的数据量大于平均数据量的几十倍时,将网络行为确定为满足预设条件的网络行为,即异常网络行为。目标文件为导致满足预设条件的网络行为发生的源文件。在一些实施例中,目标文件为与异常网络行为相关的文件,即威胁文件。比如,在终端与情报IP1进行网络C&C通信过程中,在网络行为所属的进程上产生的相关文件,以及在所属进程的父进程或子进程上产生的相关文件。
在一些实施例中,网络安全设备根据采集的网络流量,分析数据包的内容,从中检测到满足预设条件的网络行为,网络安全设备向终端发送定位网络行为对应的目标文件的指令,以使终端在接收到定位指令后,确定网络行为所属的进程,根据进程的属性信息确定对应的进程标识符。
步骤S102:终端获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求。
步骤S103:终端根据所述请求,确定所述网络行为所属进程的进程标识符。
这里,本申请实施例可以通过终端或终端代理来执行,终端代理为在终端侧安装的软件代理,可由终端代理执行本申请实施例的网络安全检测方法,以完成对目标文件的定位。本申请实施例以杀毒软件、端点检测与响应(Endpoint Detection&Response,EDR)等终端安全产品为例,其终端代理就是这些产品的客户端代理。
这里,进程标识符为操作系统的进程识别号,操作系统里每打开一个程序都会创建一个进程标识号,即进程标识符,每一个进程都有唯一的进程标识符。
终端在接收到定位请求后,确定所述网络行为所属的进程,根据进程的属性信息确定对应的进程标识符。比如,每个进程在建立网络通信(如威胁程序创建的C&C通信也叫网络通信)时都需要建立具体的会话监听信息,包含监听的源端口、目的端口、源IP(本地IP)、目的IP(外部地址)、进程标识符的信息,当网络安全设备检测到主机A1与情报IP1建立了网络C&C通信,即满足预设条件的网络行为时,发送定位此网络C&C通信对应的目标文件的请求,终端接收到请求后,执行定位指令,在返回的结果中寻找情报IP1且端口为808的进程,则可确定网络行为所属的进程,然后在进程的会话信息中确定网络行为所属进程的进程标识符。
步骤S104:终端从存储的进程链表中,确定所述进程标识符所属的目标进程链。
这里,进程链表为包括终端运行所有进程的双向链表,每个表代表一个进程链,每个表数据至少包含链头(父进程ID)和链尾(子进程ID),当前表数据为当前进程信息,这样就可以在找到当前进程的情况下通过读取链头和链尾来获取父子进程信息。可以通过进程标识符,在进程链表中的多个进程链中,读取每个进程链的链头和链尾的标识符,如果进程链A中包含所述进程标识符,则将所述进程链A确定为目标进程链。比如,网络行为所属进程的进程标识符为4263,则终端在进程链表中读取每个进程链的链头和链尾的ID,读取到进程链B的子进程4的进程标识符为4263,则将进程链B确定为进程标识符4263所属的目标进程链。
步骤S105:终端获取所述目标进程链中每一进程的属性信息,得到属性信息集合。
本实施例中,进程链表中的每张数据表即每个进程链中都包括整个进程链中的父进程和子进程的进程关键信息,即每一进程的属性信息,如:进程PID、文件签名、文件描述信息、文件供应商签名、文件路径和文件创建修改的时间等信息,将目标进程链中所有进程的属性信息组成的集合作为属性信息集合。
在一些其他的实施例中,在进程链表中未包含各进程的属性信息时,还可以通过监控的进程属性信息中去获取该目标进程链中各进程的属性信息。
步骤S106:终端将所述属性信息集合反馈给所述网络安全设备,以使所述网络安全设备定位所述网络行为对应的目标文件。
这里,终端在获取到网络行为所属目标进程链中所有进程的属性信息组成的属性信息集合后,将属性集合发送给网络安全设备。目标文件为与满足预设条件的网络行为相关的文件,即威胁文件。比如,在终端与情报IP1进行网络C&C通信过程中,在网络行为所属的进程上产生的相关文件,以及在所属进程的父进程或子进程上产生的相关文件。
步骤S107:网络安全设备接收所述终端反馈的所述网络行为所属目标进程链的属性信息集合。
步骤S108:网络安全设备根据所述属性信息集合,定位所述网络行为对应的目标文件。
这里,属性信息集合中包括目标进程链上的所有进程的属性信息,如:文件签名、文件描述信息、文件供应商签名、文件路径和文件创建修改的时间。这样网络行为对应的目标进程链上的所有进程都显示在文件路径上,可以根据文件路径找到进程对应相关文件,利用相关软件可以从相关文件中确认威胁文件,即目标文件。网络安全设备根据属性信息集合结合网络行为所属的进程,进行属性信息整合,得到与满足预设条件的网络行为即异常网络行为关联的全部属性信息,根据属性信息确定网络行为对应的目标文件。
在一些可实现的实施方式中,网络安全设备定位了网络行为对应的目标文件后,将所述目标文件以及目标文件在终端的具体位置以短信或邮件的方式发送至安全运维人员的终端,使得安全运维人员到主机终端侧删除目标文件,并用清理工具删除与该文件有关的残留痕迹(如启动项、注册表等),完成对网络行为的彻底清理。
在本申请实施例中,在网络安全设备检测到满足预设条件的网络行为时,向网络安全检测终端发送定位所述网络行为对应的目标文件的请求;网络安全检测终端根据所述请求,确定所述网络行为所属进程的进程标识符;从存储的进程链表中,确定所述进程标识符所属的目标进程链;获取所述目标进程链中每一进程的属性信息,得到属性信息集合;将所述属性信息集合反馈给所述网络安全设备,以使所述网络安全设备定位所述网络行为对应的目标文件;如此可以根据获取满足预设条件的网络行为的进程标识符,准确地确定出满足预设条件的网络行为对应的目标进程链,确定到所有与满足预设条件的网络行为有关的目标文件,实现了对目标文件精确定位和彻底清理,保护了终端的信息安全。
在一些可实现的实施方式中,网络安全设备接收所述终端反馈的所述网络行为所属目标进程链的属性信息集合之后,还需要对属性信息集合进行再次筛选,以确定目标文件,可通过以下方式实现:
步骤一:将所述属性信息集合发送至云鉴定中心,以使所述云鉴定中心删除所述属性信息集合中符合预设规则的属性信息,得到并反馈更新的属性信息集合。
这里,由于预设的网络行为即网络异常行为是由威胁程序导致的,而威胁程序往往会注入到正常进程中来完成C&C通信操作,终端在获取满足预设条件的网络行为对应属性集合的过程中,获取到属性信息集合中往往会包含正常属性信息。因此,网络安全设备将获取的属性信息集合,发往安全厂商的云鉴定中心,使云鉴定中心根据属性信息集合中的文件签名、文件描述信息或文件创建时间,删除所有正常属性信息即符合预设规则的属性信息,得到更新的属性信息集合。更新的属性信息集合中只包括预设的网络行为所属的目标进程链中的属性信息集合。云鉴定中心再将所述更新的属性信息集合反馈至网络安全设备。
步骤二:基于所述更新的属性信息集合,定位所述网络行为对应的目标文件。
这样,网络安全设备可以根据云鉴定中心对属性信息集合中的属性信息的再次筛选结果,定位出更加精准的目标文件。
在一些可实现的实施方式中,在网络安全检测过程中,还需要建立终端当前时刻运行的所有进程的进程链表。本申请实施例提供一种建立进程链表的方法,应用于网络安全检测终端,图2为本申请实施例建立进程链表方法的流程示意图,如图2所示,所述建立进程链表方法包括以下步骤:
步骤S201:监控每一进程,并获取每一所述进程对应的属性信息。
这里,终端可通过开发驱动或者应用层挂钩子的形式来监控每个进程的创建、获取进程PID和/或该进程的属性信息,将该进程及该进程的属性信息进行记录,保存在终端内存或文件中,进程记录保留的时间由磁盘空间或网络安全设备的定位时效性决定。即使一个进程执行完后退出执行,即进行结束运行,在进程记录中仍可以查询到已经结束运行的进程和进程的属性信息。根据监控的多个运行的进程或已经结束运行的进程可以得到进程集合。
本实施例中,该属性信息可以包括文件md5、文件描述、供应商、文件路径、创建/修改时间、被该进程拉起的其他进程的关键信息、进程注入其他进程等涉及到进程链变化的情况等。
步骤S202:根据每一所述进程对应的属性信息,确定每一所述进程对应的关联进程。
这里,每一所述进程对应的关联进程是指该进程的父进程或子进程,或多代子进程。对应进程的关联进程至少包括一个进程。比如:一个进程的关联进程有10个进程,则可以将关联进程确定为10个进程;也可以将10个关联进程中的其中几个确定为该进程对应的关联进程,将该进程的关联关系比较远的进程不包含在内,比如该进程的第5代以后的所有子进程不是该进程对应的关联进程。
由于每一进程与其对应的父进程或子进程之间具有相同的进程组号和打开文件描述信息,根据上述进程组号或打开文件的描述信息,可以确定属于同一进程组的进程,而且每个进程都有自己的进程标识符以及其对应的父进程的进程标识符,因此可以根据上述标识符信息,确定每个进程对应的父进程,即每个进程对应的关联进程,并根据父子关系,形成有序的关联进程。
步骤S203:根据每一所述进程的属性信息和对应的关联进程的属性信息,建立每一所述进程的进程链表。
这里,终端利用windows操作系统提供的接口实现监控进程并创建进程,或者是在应用层挂钩其实即用户态HOOK形式对所有运行的进程进行注入/HOOK来监听终端当前时刻运行的进程,因此终端可以获取每个进程创建、进程标识符、进程关键信息(如文件签名、文件描述、供应商、文件路径、创建/修改时间等)、被该进程拉起的其他进程的关键信息、进程注入其他进程等涉及到进程链变化的情况的信息。进而可以获取每一所述进程的关联进程的属性信息。
在一些实施例中,每个进程都有自己的进程标识符以及其对应的关联进程(如父进程或者子进程)的进程标识符,因此可以根据该进程的进程标识符和其对应的关联进程的进程标识符,为每个进程组成以进程标识符为主的进程链,进程链中保存有每个进程的属性信息。将多个进程对应的进程链放在同一个双向链表中,每个表数据包含链头(父进程ID)和链尾(子进程ID),即可得到进程链表。
为每个进程组成以PID为主的进程链如图4所示,图4为本申请实施例为每个进程建立以进程标识符为主的进程链的示意图。
父进程1启动的时候创建子进程2,子进程2拉起子进程3,子进程3可以往其他进程中注入一段代码,得到子进程4,如此,父进程1、子进程2、子进程3和子进程4可以形成进程链,进行链中每个进程都有自己的属性信息:进程标识符、文件签名、文件路径、文件供应商、文件描述信息和文件创建或修改时间等。
在一些可实现的实施方式中,终端将形成的进程链表保存在终端内存或文件中,以供网络安全设备进行网络安全检测时使用。
在本申请实施例中,通过实时获取的进程以及进程的属性信息,可以确定每一进程对应的关联进程,并为每一进程组成以进程标识符为主的进程链表,进程链表存储的是每一进程的属性信息,使得在获取网络安全设备发送的检测到满足预设条件的网络行为的目标文件时,可以查询进程链表,获取到所述网络行为所属的目标进程的属性信息。
在一些实施例中,终端需要根据网络行为携带的不同请求信息,确定网络行为所属进程的进程标识符,因此,上述步骤S103可以通过以下两种方式实现:
方式一:
步骤一:确定所述网络行为携带的第一请求。
这里,终端根据网络安全设备发送的定位目标文件请求中携带的满足预设条件的网络行为的报文信息,确定网络行为携带的请求。
步骤二:在所述第一请求为域名解析请求的情况下,确定所述域名解析请求的目标域名。
这里,当所述请求为域名解析请求,即请求对网络行为的域名进行解析,以使终端和域名解析对应的IP地址进行通信。这时,确定域名解析请求数据包中的目标域名。
步骤三:根据所述目标域名,确定响应所述域名解析请求的目的IP地址。
这里,根据目标域名,通过域名系统(Domain Name System,DNS)服务器,依据DNS协议确定响应所述域名解析请求的目的IP地址。
步骤四:根据所述目的IP地址,在所述进程集合中确定目标进程。
这里,每个进程在建立网络通信(如威胁程序创建的C&C通信也叫网络通信)时都需要建立具体的会话信息,包含监听的源端口、目的端口、源IP(本地IP)、目的IP(外部地址)、进程PID的信息。通过执行netstat命令即可获取终端已进行和正在进行的所有会话进程,即进程集合,然后根据目的IP地址,在进程集合的每一进程的会话信息中,确定与目的IP地址进行通信的会话进程,也就是目标进程。
在一些可实现的实施方式中,终端获取所述进程集合中每一进程的源IP地址,将所述源IP地址与所述目的IP地址相匹配的进程,确定为所述目标进程。
这里,每一进程的源IP地址为进程所属的会话双方中终端对应的IP地址,通过哪个端口进行会话,即会话发生在哪个端口,就可以确定进程所属的会话。在进程集合的每一进程的会话信息中,确定每一进程的源IP以及进行通信的外部地址,将与所述目的IP地址相同的外部地址所属的进程确定为目标进程。
步骤五:根据所述目标进程的会话信息,确定所述目标进程的第一进程标识符。
这里,每个进程在建立网络通信时都需要建立具体的会话信息,会话信息包含监听的源端口、目的端口、源IP(本地IP)、目的IP(外部地址)、进程PID的信息。根据目标进程的会话信息中的进行PID的内容集合,确定所述目标进程的第一进程标识符。
步骤六:将所述第一进程标识符,确定为所述网络行为所属进程的进程标识符。
这样,在网络行为携带的是域名解析请求的时候,通过查询进程的会话信息,可以准确地确定与域名解析请求对应的IP地址进行通信的网络行为所属的目标进程,进而可以准确地确定出网络行为所属进程的进程标识符。
方式二:
步骤一:确定所述网络行为携带的第二请求。
这里,终端根据网络行为的报文信息,可以确定网络行为携带的请求。
步骤二:在所述第二请求为域名绑定请求的情况下,获取所述域名绑定请求的映射关系。
这里,终端根据网络行为的报文信息,可以确定网络行为的请求为域名绑定请求。域名绑定请求为域名(.com、.top、.cn等)与主机(即某个服务器)的空间绑定,使得访问者访问域名的时候就会打开存放在该空间上的网页。映射关系为保存在终端内存或文件中的一个记录:DNS请求:请求该DNS的进程PID。
在一些可实现的实施方式中,在所述第二请求为域名绑定请求的情况下,在获取域名绑定请求的映射关系之前,还需要通过以下步骤建立域名绑定请求的映射关系:
首先:在检测到域名绑定请求的情况下,获取所述域名绑定请求所属进程的进程标识符。
这里,通过内核驱动或应用层注入形式,监听域名绑定请求的进程。当检测到域名绑定请求时,根据监听的信息和进程的属性信息,可以获取域名绑定请求所属进程的进程标识符。
然后:建立所述域名绑定请求与所述域名绑定请求所属进程的进程标识符之间的对应关系,形成所述映射关系。
这里,映射关系可以为保存在终端内存或文件中的一个记录,如:DNS请求—>请求该DNS的进程PID。
步骤三:根据所述映射关系,确定所述域名绑定请求所属进程的第二进程标识符。
这里,根据DNS请求—>请求该DNS的进程PID,这样的映射关系,可以根据域名绑定请求确定对应进程PID,即域名绑定请求所属进程的第二进程标识符。
步骤四:将所述第二进程标识符,确定为所述网络行为所属进程的进程标识符。
这样,在网络行为携带的请求为域名绑定请求的时候,可以根据保存在终端的内存或文件中的映射关系,准确地确定域名绑定请求所属进程的进程标识符。
在一些可实现的实施方式中,网络安全设备为了能在终端反馈的属性信息集合中,精确地确定出目标文件,所述步骤S108还可以通过以下方式实现:
方式一:
如果所述属性信息包括所述目标进程链中每一进程的文件供应商信息,从所述目标进程链的文件供应商信息集合中,确定文件供应商信息未包含于预设的文件供应商信息库的目标文件供应商信息;将所述目标文件供应商信息对应的文件确定为所述目标文件。
这里,预设的文件供应商信息库中的文件供应商信息为终端中文件程序的供应商名称等,如:Microsoft Corporation、Intel(R)Software Development Products和其他桌面签名信息。当目标进程链中某一进程的文件供应商信息不是上述文件供应商信息库中的文件供应商信息名称时或者进程的文件供应商信息是一串乱码,不能被识别,则网络安全设备确定该文件供应商信息对应的文件为目标文件。
方式二:
如果所述属性信息包括所述目标进程链中每一进程的文件描述信息,从所述目标进程链的文件描述信息集合中,确定文件描述信息未包含在可识别文件描述信息库中的目标文件描述信息;将所述目标文件描述信息对应的文件确定为所述目标文件。
这里,根据进程的文件描述信息可以使应用程序识别文件。正常进程的文件描述信息即文件描述符一般为:0、1、2和3中的一个。当一个进程的文件描述信息为一个乱码,即未包含在可识别文件描述信息库中时,网络安全设备确定文件描述信息应的文件确定为所述目标文件。
方式三:
如果所述属性信息包括所述目标进程链中每一进程的文件创建时间,从所述目标进程链的文件创建时间集合中,确定文件创建时间与当前时刻之间的时间间隔小于预设时间间隔的目标文件创建时间;将所述目标文件创建时间对应的文件确定为所述目标文件。
这里,在属性集合中确定文件创建时间,并计算文件创建时间与当前时刻之间的时间间隔,在所述时间间隔小于预设的时间间隔时,网络安全设备将此文件创建时间对应的文件确定为目标文件。
比如:预设的时间间隔为10分,进程的属性集合中确定文件创建时间为当前时刻为11点30分,而且在11点25分时检测到满足预设条件的网络行为即异常网络行为,则可以将在11点20分至11点30分之间的进程创建的文件确定为目标文件。
在一些实施例中,在网络行为所属进程的目标进程链的属性信息包括上述属性信息中每一进程的文件创建时间、每一进程的文件描述信息和每一进程的文件路径的两个或者两个以上时,只要其中一个属性信息满足以上判断条件,则可将所述属性信息对应的文件确定为目标文件。比如,网络行为所属进程的目标进程链中的属性信息包括:进程的文件创建时间和进程的文件路径,则可将进程的文件创建时间与当前时刻之间的时间间隔小于预设的时间间隔的目标文件创建时间对应的文件确定为目标文件,或将进程文件路径的后缀名未包含于预设的后缀名库的目标文件路径对应的文件确定为目标文件。
这样,可以根据进程链中的属性信息集合中的任一个属性信息,可以准确地确定出满足预设条件的网络行为发生的目标文件。
为了解决定位终端上的威胁文件不准确的问题,本申请实施例提供一种网络安全检测方法,通过终端代理的形式协助网络侧定位到建立C&C通信的进程,并追溯到所有关联的目标文件,让网络设备可提供更精准的告警,让安全运维人员更容易闭环威胁。
本申请实施例提供一种网络安全检测方法,图3为本申请实施例的网络安全检测方法的流程示意图,结合图3所示的步骤进行说明:
步骤S301:用于进程链定位,实时采集进程创建、装载信息和组成进程链,以供定位情报时查询。
这里,本实施例可以由终端或终端代理方式实施。当采用终端代理实施方案时,需要在主机侧安装终端代理,由终端代理来采集进程数据,完成目标文件的定位。威胁情报主要包含DNS、IP、统一资源定位符(Uniform Resource Locator,URL),而URL请求之前都会先请求对应的域名DNS(如URL:www.baidu.com/test.html,会先请求DNS:www.baidu.com),故而本实施例以监控DNS、IP定位为主。
在本实施例中,以操作系统windows系统为例,终端代理可通过开发驱动或者应用层挂钩子的形式,监控每个进程创建、进程标识符(Process Identification,PID)、进程关键信息(如文件签名(Message-Digest Algorithm,md5)、文件描述、供应商、文件路径和文件创建/修改时间等)、被该进程拉起的其他进程的关键信息和进程注入其他进程等,涉及到进程链变化的情况,并为每个进程组成以PID为主的进程链,得到进程链表,记录到本地内存或文件中。保留时间以磁盘空间或网络设备定位时效性决定。
为每个进程组成以PID为主的进程链如图4所示,图4为本申请实施例为每个进程建立以进程标识符为主的进程链的示意图。
父进程1启动的时候创建子进程2,子进程2拉起子进程3,子进程3可以往其他进程中注入一段代码,得到子进程4,如此,父进程1、子进程2、子进程3和子进程4可以形成进程链,进行链中每个进程都有自己的属性信息:进程标识符、文件签名、文件路径、文件供应商、文件描述信息和文件创建或修改时间等。
步骤S302:用于网络侧IP情报定位,采集IP会话建立信息及对应的进程。
这里,每个进程在建立网络通信(如威胁程序创建的C&C通信也叫网络通信)时,都需要建立具体的会话信息,会话信息包含:监听的源端口、目的端口、源IP(本地IP)、目的IP(外部地址)和进程PID的信息等。软件代理可以通过控制台命令(netstat命令)获取会话监听信息。
比如:当网络安全设备发现主机A1与情报IP1建立了网络C&C通信,端口为808,则终端代理只需到主机AI上定位如下步骤即可定位到威胁:
(1)采集会话中与IP1端口:808对应的会话记录,执行命令如下:
同构netstat-ano命令以获取与终端对应的源IP进行通信的所有会话,在所有会话信息中,确定IP1:端口808的会话,从所述会话的会话信息中获取会话进程PID。
(2)通过进程PID找到进程链。
结合步骤S301中的终端代理获取的进程链,定位会话进程PID所属的目标进程链,获取目标进程链中每一进程的数据信息得到属性信息集合的属性信息集合,返回所有属性信息集合给网络安全设备,确定情报IP1的目标文件。
步骤S303:用于网络侧DNS情报定位,采集DNS请求及对应的进程。
这里,通过内核驱动或应用层注入形式,终端代理监听应用程序访问DNS请求的记录,并组成“请求DNS—>请求该DNS的进程PID”的记录,保存本地或内存中。
比如,当网络安全设备发现主机AI与情报DNS1建立了网络C&C通信时,可到主机AI侧调取与DNS1相关的记录,获取对应的进程PID。再结合步骤S301中的终端代理获取的进程链,获取进程PID所属的目标进程链中每一进程的数据信息得到属性信息集合,返回所有属性信息集合给网络安全设备,确定情报DNS1的目标文件。
在本申请实施例中,终端代理采集进程链中每一进程的属性信息,监听来自对应网络设备在发现威胁信息后的取证调用,返回定位信息给网络安全设备,由网络安全设备完成最终的信息整合,并将具体的威胁文件及文件的具体位置以短信或邮件的形式告知安全运维人员,安全运维人员可到主机侧删除具体威胁文件,并用清理工具删除与该文件有关的残留痕迹(如启动项、注册表等),完成彻底闭环。
本申请实施例提供一种网络安全检测方法,图5为本申请实施例网络安全检测方法的另一交互示意图,如图5所示,所述网络安全检测方法的具体过程如下:
步骤S501:威胁程序与终端之间建立C&C通信。
这里,威胁程序是指大量已知病毒威胁和未知病毒威胁,在对主机侦查、投递、执行、破坏过程中产生的程序,威胁程序可以通过注入系统进程与正常程序的运行中与终端之间进行C&C通信。
在一个具体的例子中,外网51中的攻击者53,将威胁程序55注入至内网52中终端54运行的正常进程中,终端代理56监听终端54上的所有进程。
步骤S502:网络安全设备发起定位威胁程序所属的目标文件的指令。
这里,网络安全设备57检测到威胁程序55与终端54之间的C&C通信后,发起定位C&C通信所属的目标文件的指令。如:网络安全设备57发起检测威胁程序55与终端54之间进行的C&C通信的携带域名解析请求或域名绑定请求的网络行为。
步骤S503:终端代理查询威胁程序所属的目标进程链,返回目标进程链的属性信息集合至网络安全设备。
这里,终端代理56在监听终端54进程获取的进程集合中,确定与终端54进行的C&C通信的网络行为所属进程的进程标识符,再根据进程标识符确定C&C通信的网络行为所在的目标进程链,获取目标进程链中每一进程的属性信息,得到属性信息集合,将目标进程链的属性信息集合反馈至网络安全设备57。
步骤S504:网络安全设备确定所述威胁程序所属的目标文件,并将所述目标文件发送至安全运维人员终端。
这里,网络安全设备57在接收到威胁程序所属的目标进程链的属性信息集合后,对属性信息集合结合网络行为所属的进程,进行信息整合,得到与C&C通信的网络行为即威胁程序55关联的全部属性信息,根据全部属性信息确定威胁程序所属的目标文件,将威胁程序形成告警信息,再将告警信息和目标文件发送至安全运维人员的终端。
步骤S505:安全运维人员根据目标文件在主机终端的具体位置处理威胁程序。
这里,在运维终端接收到威胁程序所属的目标文件后,安全运维人员58根据文件中的文件路径,确定文件在主机的具体位置,并在主机终端的具体位置删除具体威胁文件,并用清理工具删除与该文件有关的残留痕迹(如启动项、注册表等),完成彻底闭环。
在本申请实施例中,完成了网络设备的精准定位威胁程序的过程,简化了运维人员的最终定位处置,完成了对威胁程序的精准定位和彻底清理。
在实际实施方式中,威胁程序为迷惑网络安全设备,往往会以注入到合法进程来完成C&C通信操作,使终端代理采集到的进程链的属性信息集合中往往会包含正常文件或白文件,会间接影响到运维人员的精准处理。
为提高运维人员对威胁文件的精准处理,本申请实施例提供一种网络安全检测处理方法,如图6所示,借用安全厂商或业界情报机构的云鉴定中心,在终端代理采集到所有进程文件信息后,由网络安全设备先发送到安全厂商的云鉴定中心,过滤掉所有无威胁、已知白名单程序后,再将剩余的所有已知威胁、未知威胁文件告警给安全运维人员,实现更为精准的处理。
本申请实施例提供一种网络安全检测方法,图6为本申请实施例网络安全检测方法的又一交互示意图,如图6所示,所述网络安全检测方法的具体过程如下:
步骤S601:威胁程序与终端之间建立C&C通信。
这里,威胁程序是指大量已知病毒威胁和未知病毒威胁,在对主机侦查、投递、执行、破坏过程中产生的程序,威胁程序可以通过注入系统进程与正常程序的运行中与终端之间进行C&C通信。
在一个具体的例子中,外网61中的攻击者63将威胁程序65注入至企业内网62中的终端64运行的正常进程中,终端代理66监听终端64上的所有进程。
步骤S602:网络安全设备发起定位所述威胁程序所属的目标文件的指令。
这里,网络安全设备67检测到威胁程序65与终端64之间的C&C通信后,发起定位C&C通信所属的目标文件的指令。如:网络安全设备发起检测威胁程序与终端之间进行的C&C通信的携带域名解析请求或域名绑定请求的网络行为。
步骤S603:终端代理定位所述威胁程序所属的目标进程链,返回目标进程链至所述网络安全设备。
这里,终端代理66在监听终端64的所有进程获取的进程集合中,确定与终端64进行的C&C通信的网络行为所属进程的进程标识符,再根据进程标识符确定C&C通信的网络行为所在的目标进程链,获取目标进程链中每一进程的属性信息,得到属性信息集合,将目标进程链的属性信息集合反馈至网络安全设备。
步骤S604:对所述属性信息集合进行过滤,得到更新的属性信息集合。
这里,网络安全设备67将所述属性信息集合发送安全厂商云鉴定中心68,进行云鉴定。安全厂商的云鉴定中心68根据属性信息集合中的文件路径、文件描述信息或文件创建时间等属性信息对属性信息集合进行过滤,删除属性信息集合中的正常属性,得到更新的属性信息集合。
步骤S605:将所述更新的属性信息集合发送至网络安全设备。
这里,安全厂商的云鉴定中心68过滤掉所有无威胁、已知白名单程序后,再将剩余的所有已知威胁、未知威胁文件反馈至网络安全设备。
步骤S606:网络安全设备确定所述威胁程序所属的目标文件,并将所述目标文件发送至安全运维人员终端。
这里,网络安全设备67在接收到更新的属性信息集合后,将所述更新的属性信息集合与威胁程序65所属的进程结合,并进行信息整合,得到与网络行为即威胁程序关联的全部属性信息,根据全部属性信息确定威胁程序所属的目标文件,形成告警信息,再将告警信息和目标文件发送至安全运维人员的终端。
步骤S607:安全运维人员根据目标文件在主机终端的具体位置处理威胁程序。
这里,安全运维人员69在运维终端接收到威胁程序65所属的目标文件后,根据文件中的文件路径,确定目标文件在终端64的具体位置,并在主机终端的具体位置删除具体目标文件,并用清理工具删除与该文件有关的残留痕迹(如启动项、注册表等),完成彻底闭环。
在本申请实施例中,通过终端代理的形式协助网络安全设备定位到建立C&C通信的进程,并追溯到所有与C&C通信关联的属性信息,并对所述属性信息形成的属性信息集合进行云鉴定,使得网络安全设备根据更新的属性信息集合,确定更加准确的目标文件,使得网络安全设备可以提供更精准的告警,让安全运维人员更容易彻底处理威胁程序。
本申请实施例提供一种网络安全检测终端,图7为本申请实施例网络安全检测终端的结构示意图,如图7所示,所示网络安全检测终端700包括:第一获取模块701、第一确定模块702、第二确定模块703、第二获取模块704和反馈模块705,其中:
所述第一获取模块701,用于获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求;
所述第一确定模块702,用于根据所述请求,确定所述网络行为所属进程的进程标识符;
所述第二确定模块703,用于从存储的进程链表中,确定所述进程标识符所属的目标进程链;
所述第二获取模块704,用于获取所述目标进程链中每一进程的属性信息,得到属性信息集合;
所述反馈模块705,用于将所述属性信息集合反馈给所述网络安全设备,以使所述网络安全设备定位所述网络行为对应的目标文件。
在上述网络安全检测终端中,所述装置还包括:
第三获取模块,用于监控每一进程,并获取每一所述进程对应的属性信息;
第三确定模块,用于根据每一所述进程对应的属性信息,确定每一所述进程对应的关联进程;
建立模块,用于根据每一所述进程的属性信息和对应的关联进程的属性信息,建立每一所述进程的进程链表。
在上述网络安全检测终端中,所述第一确定模块702,包括:
第一确定子模块,用于确定所述网络行为携带的第一请求;
第二确定子模块,用于在所述第一请求为域名解析请求的情况下,确定所述域名解析请求的目标域名;
第三确定子模块,用于根据所述目标域名,确定响应所述域名解析请求的目的IP地址;
第四确定子模块,用于根据所述目的IP地址,在所述进程集合中确定目标进程;
第五确定子模块,用于根据所述目标进程的会话信息,确定所述目标进程的第一进程标识符;
第六确定子模块,用于将所述第一进程标识符,确定为所述网络行为所属进程的进程标识符。
在上述网络安全检测终端中,所述第四确定子模块,包括:
获取单元,用于获取所述进程集合中每一进程的源IP地址;
确定单元,用于将所述源IP地址与所述目的IP地址相匹配的进程,确定为所述目标进程。
在上述网络安全检测终端中,所述第一确定模块702,包括:
第七确定子模块,用于确定所述网络行为携带的第二请求;
第一获取子模块,用于在所述第二请求为域名绑定请求的情况下,获取所述域名绑定请求的映射关系;
第八确定子模块,用于根据所述映射关系,确定所述域名绑定请求所属进程的第二进程标识符;
第九确定子模块,用于将所述第二进程标识符,确定为所述网络行为所属进程的进程标识符。
在上述所述第一确定模块702,还包括:
第二获取子模块,用于在检测到域名绑定请求的情况下,获取所述域名绑定请求所属进程的进程标识符;
建立子模块,用于建立所述域名绑定请求与所述域名绑定请求所属进程的进程标识符之间的对应关系,形成所述映射关系。
本申请实施例提供一种网络安全设备,图8为本申请实施例网络安全设备的结构示意图,如图8所示,所述网络安全设备800包括:第一发送模块801、接收模块802和第一定位模块803,其中:
第一发送模块801,用于在检测到满足预设条件的网络行为的情况下,向终端发送定位所述网络行为对应的目标文件的请求;
接收模块802,用于接收所述终端反馈的所述网络行为所属目标进程链的属性信息集合;
第一定位模块803,用于根据所述属性信息集合,定位所述网络行为对应的目标文件。
在上述网络安全设备中,所述第一定位模块803,包括:
第一确定子模块,用于如果所述属性信息包括所述目标进程链中每一进程的文件供应商信息,从所述目标进程链的文件供应商信息集合中,确定文件供应商信息未包含于预设的文件供应商信息库的目标文件供应商信息;将所述目标文件供应商信息对应的文件确定为所述目标文件;
第二确定子模块,用于如果所述属性信息包括所述目标进程链中每一进程的文件描述信息,从所述目标进程链的文件描述信息集合中,确定文件描述信息未包含在可识别文件描述信息库中的目标文件描述信息;将所述目标文件描述信息对应的文件确定为所述目标文件;
第三确定子模块,用于如果所述属性信息包括所述目标进程链中每一进程的文件创建时间,从所述目标进程链的文件创建时间集合中,确定文件创建时间与当前时刻之间的时间间隔小于预设时间间隔的目标文件创建时间;将所述目标文件创建时间对应的文件确定为所述目标文件。
在上述网络安全设备中,所述装置还包括:
第二发送模块,用于将所述属性信息集合发送至云鉴定中心,以使所述云鉴定中心删除所述属性信息集合中符合预设规则的属性信息,得到并反馈更新的属性信息集合;
第二定位模块,用于基于所述更新的属性信息集合,定位所述网络行为对应的目标文件。
对应地,本申请实施例提供一种网络安全检测设备900,例如计算机设备,图9为本申请实施例提供的一种网络安全检测设备的硬件实体示意图,如图9所示,该设备900的硬件实体包括:处理器901、通信接口902和存储器903,其中:
处理器901通常控制设备900的总体操作。
通信接口902可以使设备900通过网络与其他终端或服务器通信。
存储器903配置为存储由处理器901可执行的指令和应用,还可以缓存待处理器901以及设备900中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random Access Memory,RAM)实现。
本申请实施例再提供一种网络安全检测装置,该装置包括所包括的各模块、以及各模块所包括的各子模块和各单元,可以通过终端中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
需要说明的是,以上终端实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请终端实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的依赖条件检查方法中的步骤。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (13)
1.一种网络安全检测方法,其特征在于,所述方法包括:
获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求;
根据所述请求,确定所述网络行为所属进程的进程标识符;
从存储的进程链表中,确定所述进程标识符所属的目标进程链;
获取所述目标进程链中每一进程的属性信息,得到属性信息集合;
将所述属性信息集合反馈给所述网络安全设备,以使所述网络安全设备定位所述网络行为对应的目标文件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
监控每一进程,并获取每一所述进程对应的属性信息;
根据每一所述进程对应的属性信息,确定每一所述进程对应的关联进程;
根据每一所述进程的属性信息和对应的关联进程的属性信息,建立每一所述进程的进程链表。
3.根据权利要求1所述的方法,其特征在于,所述根据所述请求,确定所述网络行为所属进程的进程标识符,包括:
确定所述网络行为携带的第一请求;
在所述第一请求为域名解析请求的情况下,确定所述域名解析请求的目标域名;
根据所述目标域名,确定响应所述域名解析请求的目的IP地址;
根据所述目的IP地址,在所述进程集合中确定目标进程;
根据所述目标进程的会话信息,确定所述目标进程的第一进程标识符;
将所述第一进程标识符,确定为所述网络行为所属进程的进程标识符。
4.根据权利要求3所述的方法,其特征在于,所述根据所述目的IP地址,在所述进程集合中确定目标进程,包括:
获取所述进程集合中每一进程的源IP地址;
将所述源IP地址与所述目的IP地址相匹配的进程,确定为所述目标进程。
5.根据权利要求1所述的方法,其特征在于,所述根据所述请求,确定所述网络行为所属进程的进程标识符,包括:
确定所述网络行为携带的第二请求;
在所述第二请求为域名绑定请求的情况下,获取所述域名绑定请求的映射关系;
根据所述映射关系,确定所述域名绑定请求所属进程的第二进程标识符;
将所述第二进程标识符,确定为所述网络行为所属进程的进程标识符。
6.根据权利要求5所述的方法,其特征在于,在所述第二请求为域名绑定请求的情况下,获取所述域名绑定请求的映射关系之前,所述方法还包括:
在检测到域名绑定请求的情况下,获取所述域名绑定请求所属进程的进程标识符;
建立所述域名绑定请求与所述域名绑定请求所属进程的进程标识符之间的对应关系,形成所述映射关系。
7.一种网络安全检测方法,其特征在于,所述方法包括:
在检测到满足预设条件的网络行为的情况下,向终端发送定位所述网络行为对应的目标文件的请求;
接收所述终端反馈的所述网络行为所属目标进程链的属性信息集合;
根据所述属性信息集合,定位所述网络行为对应的目标文件。
8.根据权利要求7所述的方法,其特征在于,所述根据所述属性信息集合,定位所述网络行为对应的目标文件,包括:
如果所述属性信息包括所述目标进程链中每一进程的文件供应商信息,从所述目标进程链的文件供应商信息集合中,确定文件供应商信息未包含于预设的文件供应商信息库的目标文件供应商信息;将所述目标文件供应商信息对应的文件确定为所述目标文件;
或者,
如果所述属性信息包括所述目标进程链中每一进程的文件描述信息,从所述目标进程链的文件描述信息集合中,确定文件描述信息未包含在可识别文件描述信息库中的目标文件描述信息;将所述目标文件描述信息对应的文件确定为所述目标文件;
或者,
如果所述属性信息包括所述目标进程链中每一进程的文件创建时间,从所述目标进程链的文件创建时间集合中,确定文件创建时间与当前时刻之间的时间间隔小于预设时间间隔的目标文件创建时间;将所述目标文件创建时间对应的文件确定为所述目标文件。
9.根据权利要求7或8所述的方法,其特征在于,在所述接收所述终端反馈的所述网络行为所属目标进程链的属性信息集合之后,所述方法还包括:
将所述属性信息集合发送至云鉴定中心,以使所述云鉴定中心删除所述属性信息集合中符合预设规则的属性信息,得到并反馈更新的属性信息集合;
基于所述更新的属性信息集合,定位所述网络行为对应的目标文件。
10.一种网络安全检测终端,其特征在于,所述网络安全检测终端包括:
第一获取模块,用于获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求;
第一确定模块,用于根据所述请求,确定所述网络行为所属进程的进程标识符;
第二确定模块,用于从存储的进程链表中,确定所述进程标识符所属的目标进程链;
第二获取模块,用于获取所述目标进程链中每一进程的属性信息,得到属性信息集合;
反馈模块,用于将所述属性信息集合反馈给所述网络安全设备,以使所述网络安全设备定位所述网络行为对应的目标文件。
11.一种网络安全设备,其特征在于,所述网络安全设备包括:
第一发送模块,用于在检测到满足预设条件的网络行为的情况下,向终端发送定位所述网络行为对应的目标文件的请求;
接收模块,用于接收所述终端反馈的所述网络行为所属目标进程链的属性信息集合;
第一定位模块,用于根据所述属性信息集合,定位所述网络行为对应的目标文件。
12.一种网络安全检测设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6任一项所述方法中的步骤,或所述处理器执行所述程序时实现权利要求7至9任一项所述方法中的步骤。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6任一项所述方法中的步骤,或该计算机程序被处理器执行时实现权利要求7至9任一项所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010537493.8A CN111786964B (zh) | 2020-06-12 | 2020-06-12 | 网络安全检测方法、终端及网络安全设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010537493.8A CN111786964B (zh) | 2020-06-12 | 2020-06-12 | 网络安全检测方法、终端及网络安全设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111786964A true CN111786964A (zh) | 2020-10-16 |
| CN111786964B CN111786964B (zh) | 2022-09-30 |
Family
ID=72756288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010537493.8A Active CN111786964B (zh) | 2020-06-12 | 2020-06-12 | 网络安全检测方法、终端及网络安全设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111786964B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024775A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种基于edr和ndr的主机失陷检测方法及系统 |
| CN114024773A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种webshell文件检测方法及系统 |
| CN114285617A (zh) * | 2021-12-20 | 2022-04-05 | 北京安天网络安全技术有限公司 | 一种网络威胁监测方法、装置、电子设备及可读存储介质 |
| CN114710364A (zh) * | 2022-05-19 | 2022-07-05 | 北京奇虎科技有限公司 | 网络行为审计方法、装置、设备及存储介质 |
| CN114826685A (zh) * | 2022-03-30 | 2022-07-29 | 深信服科技股份有限公司 | 一种信息分析方法、设备和计算机可读存储介质 |
| WO2023050933A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
| CN116938605A (zh) * | 2023-09-18 | 2023-10-24 | 腾讯科技(深圳)有限公司 | 网络攻击防护方法、装置、电子设备及可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103077353A (zh) * | 2013-01-24 | 2013-05-01 | 北京奇虎科技有限公司 | 主动防御恶意程序的方法和装置 |
| US20140250524A1 (en) * | 2013-03-04 | 2014-09-04 | Crowdstrike, Inc. | Deception-Based Responses to Security Attacks |
| CN105608375A (zh) * | 2015-12-17 | 2016-05-25 | 北京金山安全软件有限公司 | 一种进程信息获取方法及装置 |
| CN106921637A (zh) * | 2015-12-28 | 2017-07-04 | 华为技术有限公司 | 网络流量中的应用信息的识别方法和装置 |
| CN110096363A (zh) * | 2019-04-29 | 2019-08-06 | 亚信科技(成都)有限公司 | 一种网络事件与进程的关联方法及装置 |
| CN110717183A (zh) * | 2019-12-09 | 2020-01-21 | 深信服科技股份有限公司 | 病毒查杀方法、装置、设备及存储介质 |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN110830470A (zh) * | 2019-11-06 | 2020-02-21 | 浙江军盾信息科技有限公司 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
-
2020
- 2020-06-12 CN CN202010537493.8A patent/CN111786964B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103077353A (zh) * | 2013-01-24 | 2013-05-01 | 北京奇虎科技有限公司 | 主动防御恶意程序的方法和装置 |
| US20140250524A1 (en) * | 2013-03-04 | 2014-09-04 | Crowdstrike, Inc. | Deception-Based Responses to Security Attacks |
| CN105608375A (zh) * | 2015-12-17 | 2016-05-25 | 北京金山安全软件有限公司 | 一种进程信息获取方法及装置 |
| CN106921637A (zh) * | 2015-12-28 | 2017-07-04 | 华为技术有限公司 | 网络流量中的应用信息的识别方法和装置 |
| CN110096363A (zh) * | 2019-04-29 | 2019-08-06 | 亚信科技(成都)有限公司 | 一种网络事件与进程的关联方法及装置 |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN110830470A (zh) * | 2019-11-06 | 2020-02-21 | 浙江军盾信息科技有限公司 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
| CN110717183A (zh) * | 2019-12-09 | 2020-01-21 | 深信服科技股份有限公司 | 病毒查杀方法、装置、设备及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023050933A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
| CN114285617A (zh) * | 2021-12-20 | 2022-04-05 | 北京安天网络安全技术有限公司 | 一种网络威胁监测方法、装置、电子设备及可读存储介质 |
| CN114024775A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种基于edr和ndr的主机失陷检测方法及系统 |
| CN114024773A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种webshell文件检测方法及系统 |
| CN114826685A (zh) * | 2022-03-30 | 2022-07-29 | 深信服科技股份有限公司 | 一种信息分析方法、设备和计算机可读存储介质 |
| CN114710364A (zh) * | 2022-05-19 | 2022-07-05 | 北京奇虎科技有限公司 | 网络行为审计方法、装置、设备及存储介质 |
| CN116938605A (zh) * | 2023-09-18 | 2023-10-24 | 腾讯科技(深圳)有限公司 | 网络攻击防护方法、装置、电子设备及可读存储介质 |
| CN116938605B (zh) * | 2023-09-18 | 2024-01-05 | 腾讯科技(深圳)有限公司 | 网络攻击防护方法、装置、电子设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111786964B (zh) | 2022-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111786964B (zh) | 网络安全检测方法、终端及网络安全设备 | |
| US11621968B2 (en) | Intrusion detection using a heartbeat | |
| US11722516B2 (en) | Using reputation to avoid false malware detections | |
| US20230216869A1 (en) | Method and system for detecting restricted content associated with retrieved content | |
| US10979441B2 (en) | Method and system for network access control based on traffic monitoring and vulnerability detection using process related information | |
| US9654489B2 (en) | Advanced persistent threat detection | |
| US8090852B2 (en) | Managing use of proxies to access restricted network locations | |
| US8607347B2 (en) | Network stream scanning facility | |
| US20100121964A1 (en) | Methods for identifying an application and controlling its network utilization | |
| US20080256634A1 (en) | Target data detection in a streaming environment | |
| JP2010198386A (ja) | 不正アクセス監視システムおよび不正アクセス監視方法 | |
| JP2011154727A (ja) | 解析システム、解析方法および解析プログラム | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
| Wu et al. | A novel approach to trojan horse detection by process tracing | |
| CN117955675A (zh) | 一种网络攻击的防御方法、装置、电子设备及存储介质 | |
| Loving | Enabling malware remediation in expanding home networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |