CN111857965A - 内网威胁检测方法、装置、设备和计算机设备 - Google Patents
内网威胁检测方法、装置、设备和计算机设备 Download PDFInfo
- Publication number
- CN111857965A CN111857965A CN202010739136.XA CN202010739136A CN111857965A CN 111857965 A CN111857965 A CN 111857965A CN 202010739136 A CN202010739136 A CN 202010739136A CN 111857965 A CN111857965 A CN 111857965A
- Authority
- CN
- China
- Prior art keywords
- intranet
- threat detection
- lifting
- equipment
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 173
- 238000013515 script Methods 0.000 claims abstract description 56
- 238000000034 method Methods 0.000 claims abstract description 30
- 238000004590 computer program Methods 0.000 claims description 12
- 238000013500 data storage Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 12
- 238000013475 authorization Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 8
- 238000007405 data analysis Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 17
- 230000006854 communication Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 6
- 238000012360 testing method Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012351 Integrated analysis Methods 0.000 description 1
- WHXSMMKQMYFTQS-UHFFFAOYSA-N Lithium Chemical compound [Li] WHXSMMKQMYFTQS-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009189 diving Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 229910052744 lithium Inorganic materials 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
- G06F9/45508—Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation
- G06F9/45512—Command shells
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种内网威胁检测方法、装置、设备和计算机设备,其中,该内网威胁检测方法包括:获取内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;对每一所述提权脚本对应的目标设备进行提权;运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;根据所述流量日志信息和所述提权结果,生成内网威胁检测报告。通过本申请,解决了无法自动准确检测内网威胁的问题。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种内网威胁检测方法、装置、设备和计算机设备。
背景技术
随着互联网技术的飞速发展,其应用范围也越来越广泛,随之产生的网络安全问题也越来越多。某些机密场合存在人员潜入和内网渗透的风险,如果不对内网进行检测,就无法及时监控到潜在内网威胁,一旦有人入侵内网,可能会造成提权和重要文件泄密的后果,从而给企业带来巨大的经济损失。
相关技术中,采用技术人员积累的经验检测内网威胁,由于不同技术人员积累的经验和使用的操作方法的局限性,采用这种方法会导致大概率的漏报和误报,且耗时耗力。
目前针对相关技术中,无法自动准确检测内网威胁的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种内网威胁检测方法、装置、设备和计算机设备,以至少解决相关技术中无法自动准确检测内网威胁的问题。
第一方面,本申请实施例提供了一种内网威胁检测方法,所述方法包括:
获取内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;
将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;
对每一所述提权脚本对应的目标设备进行提权;
运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;
根据所述流量日志信息和所述提权结果,生成内网威胁检测报告。
在其中一些实施例中,所述获取内网设备的流量日志信息包括:
扫描内网网络的所有端口;
获取每一所述端口的端口信息,并根据每一所述端口对应的端口信息,确定每一所述端口对应的协议类型;
根据每一所述端口对应的协议类型,发送协议探测报文至对应的端口,得到所述端口的返回报文;
根据所述协议探测报文和所述返回报文,得到内网设备的流量日志信息。
在其中一些实施例中,生成网络攻击数据包;
根据所述网络攻击数据包对所述漏洞攻击,以对每一所述提权脚本对应的目标设备进行提权。
在其中一些实施例中,所述根据所述流量日志信息和所述提权结果,生成内网威胁检测报告包括:
对所述流量日志信息和所述提权结果进行综合分析,得到威胁检测数据;所述威胁检测数据包括网络协议威胁数据、URL威胁数据以及操作系统威胁数据;
根据所述威胁检测数据,生成所述内网威胁检测报告。
在其中一些实施例中,在运行所述内网设备操作系统对应的威胁检测程序之后,所述方法还包括:
删除所述威胁检测程序运行生成的缓存文件、日志信息以及威胁检测程序可执行文件。
第二方面,本申请实施例提供了一种内网威胁检测装置,包括:
数据处理模块,用于获取内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;
漏洞检测模块,用于将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;
目标提权模块,用于对每一所述提权脚本对应的目标设备进行提权;
威胁检测模块,用于运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;
数据分析模块,用于根据所述流量日志信息和所述提权结果,生成内网威胁检测报告。
第三方面,本申请实施例提供了一种内网威胁检测设备,所述内网威胁检测设备通过USB接口与内网设备连接,包括威胁检测模块和处理器;其中:
所述威胁检测模块用于获取所述内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;对每一所述提权脚本对应的目标设备进行提权;运行所述内网设备操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;
所述处理器用于接收所述提权结果和所述流量日志信息,并根据所述流量日志信息和所述提权结果,生成内网威胁检测报告。
在其中一些实施例中,所述内网威胁检测设备还包括数据存储器;所述数据存储器分别与所述威胁检测模块、所述处理器连接,用于存储威胁检测过程中产生的中间文件、所述内网威胁信息和所述内网威胁检测报告。
在其中一些实施例中,所述内网威胁检测设备还包括重置开关,所述重置开关分别与所述威胁检测模块、所述数据存储器连接,用于清除威胁检测过程中产生的中间文件。
第四方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的内网威胁检测方法。
第五方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的内网威胁检测方法。
相比于相关技术,本申请实施例提供的内网威胁检测方法、装置、设备和计算机设备,通过获取内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;对每一所述提权脚本对应的目标设备进行提权;运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;根据所述流量日志信息和所述提权结果,生成内网威胁检测报告,解决了无法自动准确检测内网威胁的问题。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例的内网威胁检测方法的流程图;
图2为本申请实施例的获取流量日志信息的流程图;
图3为本申请实施例的生成内网威胁检测报告的流程图;
图4为本申请具体实施例的内网威胁检测方法的流程图;
图5为本申请实施例的内网威胁检测设备的结构框图;
图6a至图6f为本申请实施例的内网威胁检测设备的示意图;
图7为本申请实施例的内网威胁检测装置的结构框图;
图8为本申请实施例的内网威胁检测设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请所描述的各种技术,可以但不仅限于应用于网络安全监控系统。
本实施例提供一种内网威胁检测方法,应用于内网威胁检测设备。图1为本申请实施例的内网威胁检测方法的流程图,如图1所示,该流程包括如下步骤:
步骤S110,获取内网设备的流量日志信息,并对流量日志信息进行解析,得到内网设备信息。
内网设备信息包括但不仅限于设备操作系统、设备型号、厂商信息、应用软件类型以及版本号信息。
步骤S120,将内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及漏洞对应的目标设备的提权脚本。
漏洞库是一个数据库,包括漏洞基本信息和可执行脚本文件。其中,漏洞基本信息包括漏洞名称、漏洞对应协议或者操作系统、漏洞版本、漏洞执行脚本的本地存储路径以及漏洞等级。可执行脚本文件包括自动化脚本。
通过运行自动化脚本,将内网设备信息与漏洞库中的漏洞基本信息进行匹配,确定内网中存在的漏洞以及漏洞对应的目标设备的提权脚本。目标设备的提权脚本的数量为多个。
步骤S130,对每一提权脚本对应的目标设备进行提权。
通过攻击内网中的漏洞,对每一目标设备的提权脚本对应的目标设备进行提权,得到提权后的操作权限,例如,将普通用户权限上升为管理员权限。
在其中一些实施例中,针对每一漏洞生成对应的网络攻击数据包,并根据网络攻击数据包对漏洞攻击,以对每一目标设备的提权脚本对应的目标设备进行提权。
步骤S140,运行与目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果。
若提权后能够获取目标设备的信息读写权限,则返回目标设备信息列表;若提权后能够获取目标设备的操作权限,则返回对应操作结果的命令行反馈信息,如密码修改成功信息、文件删除成功信息等。
将威胁检测程序上传至完成提权的目标设备中,运行威胁检测程序,自动执行每一漏洞对应的目标设备的提权脚本。威胁检测程序是一个可执行文件,自带提权功能,一旦自动运行,就会执行提权操作。将内网设备操作系统对应的威胁检测程序上传至完成提权的目标设备中,并运行该威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本。提权成功则传输提权结果,提权失败不做任何操作。提权结果但不仅限于包括可配置最高权限。
网络安全中,本地执行可以获取到的操作权限与网络通讯获取到的权限是不一样的。例如,网络通讯能获取到上传文件的权限,但是本地操作能获取到系统配置和后台运行等更高级别的操作权限。网络通讯的攻击脚本主要利用协议漏洞,获取的传输文件、读写等权限。本地执行的攻击程序主要利用系统漏洞,可以获取系统配置权限、后台运行权限,例如直接修改关键数据库的读写权限。
步骤S150,根据流量日志信息和提权结果,生成内网威胁检测报告。
通过上述步骤S110至步骤S150,对获取内网设备的流量日志信息进行解析,得到内网设备信息。通过将内网设备信息与漏洞库进行匹配,可以准确检测出内网中存在的漏洞,利用漏洞能够获取到更高级别的操作权限。根据流量日志信息和提权结果,自动生成内网威胁检测报告,无需人工介入,实现了自动对内网进行威胁检测,避免了技术人员经验和操作能力不一致造成的大概率的漏报和误报,提高了检测准确度,解决了无法自动准确检测内网威胁的问题。
在其中一些实施例中,图2为本申请实施例的获取流量日志信息的流程图,如图2所示,该流程包括如下步骤:
步骤S210,扫描内网网络的所有端口。
步骤S220,获取每一端口的端口信息,并根据每一端口对应的端口信息,确定每一端口对应的协议类型。
端口信息包括端口数值、端口结构以及端口对应的协议类型。
步骤S230,根据每一端口对应的协议类型,发送协议探测报文至对应的端口,得到端口的返回报文。
向所有端口发送协议探测报文,若收到返回报文,则判定该端口为存活端口。本地数据库中预存了不同端口可能对应的协议类型、报文格式以及报文结构。因此,通过返回报文与本地数据库进行匹配,可以预判该存活端口可能使用的协议及报文格式。
步骤S240,根据协议探测报文和返回报文,得到内网设备的流量日志信息。
通过对内网网络的所有端口进行扫描,得到存活端口信息,对所有存活端口进行二次扫描,通过对存活端口的端口数值和端口结构进行解析,预判存活端口对应的协议类型,根据协议类型发送对应的协议探测报文并接收返回报文,将整个通讯过程所有报文存储为流量日志信息。
通过上述步骤S210至步骤S240,通过扫描内网网络的所有端口,根据每一端口对应的协议类型,发送协议探测报文至对应的端口,得到端口的返回报文,若收到返回报文,则判定该端口为存活端口。通过对所有存活端口进行二次扫描,通过对存活端口的端口数值和端口结构进行解析,预判存活端口对应的协议类型,通过两次扫描,可以获取到更加详细的流量日志信息,从而进一步提高了威胁检测准确度。
在其中一些实施例中,在步骤S210之前,该内网威胁检测方法还包括步骤S200:
步骤S200,将内网威胁检测设备通过USB接口与内网设备连接,并对检测到的内网网络进行破解与连接。
具体地,通过自动运行内网网络破解程序,以对检测到的内网网络进行破解与连接。
通过本实施例,将内网威胁检测设备通过USB接口与内网设备连接,并对检测到的内网网络进行破解与连接,为后面扫描内网网络的所有端口作准备。
在其中一些实施例中,图3为本申请实施例的生成内网威胁检测报告的流程图,如图3所示,该流程包括如下步骤:
步骤S310,对流量日志信息和提权结果进行综合分析,得到威胁检测数据;威胁检测数据包括网络协议威胁数据、URL威胁数据以及操作系统威胁数据。
网络协议威胁数据包括可提权网络协议IP、对应端口、对应协议及风险等级列表。URL威胁数据包括存在信息泄露的URL、对应端口、对应协议及风险等级列表。操作系统威胁数据包括存在安全漏洞的操作系统、IP、提权结果及安全风险列表。
步骤S320,根据威胁检测数据,生成内网威胁检测报告。
通过上述步骤S310至步骤S320,通过对流量日志信息和提权结果进行综合分析,可以得到更加完整准确的威胁检测数据,根据网络协议威胁数据、URL威胁数据以及操作系统威胁数据,可以自动生成清晰完整的内网威胁检测报告,节省了人力资源,提高内网安全性的同时降低了检测成本。
在其中一些实施例中,删除威胁检测程序运行生成的缓存文件、日志信息以及威胁检测程序可执行文件。
通过上述实施例,在运行内网设备操作系统对应的威胁检测程序之后,删除威胁检测程序运行生成的缓存文件、日志信息以及威胁检测程序可执行文件,消除检测痕迹,防止生成垃圾文件或者恶意文件,影响正常系统的运行。
下面通过具体实施例对本申请实施例进行描述和说明。
图4为本申请具体实施例的内网威胁检测方法的流程图,如图4所示,该内网威胁检测方法包括如下步骤:
步骤S410,将内网威胁检测设备通过USB接口与内网设备连接,并对检测到的内网网络进行破解与连接。
步骤S420,扫描内网网络的所有端口,以获取内网设备的流量日志信息,并对流量日志信息进行解析,得到内网设备信息。
步骤S430,将内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及漏洞对应的目标设备的提权脚本。
步骤S440,对每一目标设备的提权脚本对应的目标设备进行提权。
步骤S450,运行与目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果。
步骤S460,对流量日志信息和提权结果进行综合分析,得到威胁检测数据;威胁检测数据包括网络协议威胁数据、URL威胁数据以及操作系统威胁数据;根据威胁检测数据,生成内网威胁检测报告。
在其中一些实施例中,对检测到的内网网络依次进行自动化破解和连接,通过TCP/UDP两种扫描方式对内网网络的所有端口进行扫描,扫描得到存活端口信息,根据存活端口信息生成二次扫描任务池;然后对二次扫描任务所有存活的端口进行精确扫描,根据端口数值和端口结构预判端口对应的协议类型,发送对应的协议探测报文并接收返回报文,将整个通讯过程所有报文存储为流量日志信息。
对流量日志信息进行解析,得到内网设备信息,内网设备信息包括设备操作系统、设备型号、厂商信息、应用软件类型及版本号信息。将内网设备信息依次与漏洞库匹配,查询漏洞库中是否有目标设备对应的提权脚本,若存在,则自动生成网络攻击数据包,对每一所述提权脚本对应的目标设备进行提权,得到提权后的操作权限。
向已提权的目标设备中,上传目标设备的操作系统对应的威胁检测程序,威胁检测程序成功上传到目标后,自动运行,进一步执行提权脚本,得到提权结果。通过网络流量将提权结果反馈到处理器。威胁检测程序执行完成后会自动结束自身进程并删除检测程序运行生成的缓存文件、日志信息以及威胁检测程序可执行文件。处理器接收威胁检测程序反馈流量。对反馈流量、提权结果、流量日志信息进行综合分析评估,在SD卡外部存储分区生成内网威胁检测报告。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种内网威胁检测设备,图5为本申请实施例的内网威胁检测设备的结构框图,如图5所示,该内网威胁检测设备500通过USB接口511与内网设备连接,包括威胁检测模块510和处理器520;其中:
威胁检测模块510用于获取内网设备的流量日志信息,并对流量日志信息进行解析,得到内网设备信息;将内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及漏洞对应的目标设备的提权脚本;对每一目标设备的提权脚本对应的目标设备进行提权;运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果。
处理器520用于接收提权结果和流量日志信息,并根据流量日志信息和提权结果,生成内网威胁检测报告。
需要说明的是,若提权成功,则通过网络流量将提权结果反馈到处理器520。
通过本实施例,将通过USB接口511将内网威胁检测设备500与内网设备连接,通过内置在内网威胁检测设备500的威胁检测模块自动进行威胁检测,将获取的提权结果和流量日志信息传输至处理器520,处理器520对流量日志信息和提权结果进行综合分析,自动生成内网威胁检测报告,实现了动态威胁检测,整个检测过程自动进行,无需人工介入,等待设备检测完成,即可获取清晰的威胁检测报告,有效降低了操作培训成本,避免了因人工检测以及静态检测报告误报率高、漏报率高的问题,解决了无法自动准确检测内网威胁的问题。
在其中一些实施例中,处理器520还用于自动运行内网网络破解程序,以对检测到的内网网络进行破解与连接。
在其中一些实施例中,内网威胁检测设备500还包括数据存储器530;数据存储器530分别与威胁检测模块510、处理器520连接,用于存储威胁检测过程中产生的中间文件、内网威胁信息和内网威胁检测报告。
通过上述实施例,用户可以物理拆除销毁数据存储器530,从而可以清除胁检测过程中产生的中间文件、内网威胁信息和内网威胁检测报告,减少信息传播,保证了信息安全。
在其中一些实施例中,内网威胁检测设备500还包括重置开关540,重置开关540分别与威胁检测模块510、数据存储器530连接,用于清除威胁检测过程中产生的中间文件。
通过上述实施例,用户可以通过重置开关540清除清除威胁检测过程中产生的中间文件,以消除检测痕迹,减少信息传播,保证了信息安全。同时,也可以防止生成垃圾文件或者恶意文件,影响正常系统的运行。
在其中一些实施例中,下载内网威胁检测设备500的镜像文件,将镜像文件重新烧录至数据存储器530,以实现对内网威胁检测设备500的更新。
网威胁检测设提供的更新内容包括检测程序库、漏洞库、提权脚本库、基本信息解析库等。
通过上述实施例,下载内网威胁检测设备500的镜像文件,将镜像文件重新烧录至数据存储器530,实现对内网威胁检测设备500的更新,从而使用最新的威胁信息,对内网威胁进行复审,有效解决了更新迭代采购周期长和成本高的问题。
所述内网威胁检测设备500还包括电源和配套底板,所述配套底板包括核心板、SD卡、备用电源和LED状态灯。其中,备用电源可以是锂电池。
图6a至图6f为本申请实施例的内网威胁检测设备的示意图,其中,图6a为内网威胁检测设备中核心板正面的示意图,图6b为内网威胁检测设备中核心板背面的示意图,图6c为内网威胁检测设备中配套底板正面的示意图,图6d为内网威胁检测设备中配套底板正面的示意图,图6e为内网威胁检测设备中整体硬件设备的示意图,图6f为内网威胁检测设备外观的示意图。
将内网威胁检测设备500通过USB接口511插入局域网内一台未锁屏电脑,该电脑会检测到一个U盘。并自动运行键盘驱动,后台模拟出一个外接键盘设备。电脑界面将弹出当前检测进度。检测完成后,设备使用者通过打开U盘获取内网威胁检测报告。
需要说明的是,整个内网威胁检测设备使用过程中,只存在信息的单向传输,即内网威胁检测设备的提供者提供相关技术资源,内网威胁检测设备的使用者接收或下载相关技术资源。
本实施例还提供了一种内网威胁检测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图7为本申请实施例的内网威胁检测装置的结构框图,如图7所示,该装置包括:
数据处理模块710,用于获取内网设备的流量日志信息,并对流量日志信息进行解析,得到内网设备信息。
漏洞检测模块720,用于将内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及漏洞对应的目标设备的提权脚本。
目标提权模块730,用于对每一目标设备的提权脚本对应的目标设备进行提权。
威胁检测模块740,用于运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果。
数据分析模块750,用于根据流量日志信息和提权结果,生成内网威胁检测报告。
在其中一些实施例中,数据处理模块710包括网络端口扫描单元、协议类型确定单元、探测报文发送单元和流量日志获取单元,其中:
网络端口扫描单元,用于扫描内网网络的所有端口。
协议类型确定单元,用于获取每一端口的端口信息,并根据每一端口对应的端口信息,确定每一端口对应的协议类型。
探测报文发送单元,用于根据每一端口对应的协议类型,发送协议探测报文至对应的端口,得到端口的返回报文。
流量日志获取单元,用于根据协议探测报文和返回报文,得到内网设备的流量日志信息。
在其中一些实施例中,目标设备提权模块730还用于生成网络攻击数据包;根据网络攻击数据包对漏洞攻击,以对每一目标设备的提权脚本对应的目标设备进行提权。
在其中一些实施例中,数据分析模块750包括数据分析单元和报告生成单元,其中:
数据分析单元,用于对流量日志信息和提权结果进行综合分析,得到威胁检测数据;威胁检测数据包括网络协议威胁数据、URL威胁数据以及操作系统威胁数据。
报告生成单元,用于根据威胁检测数据,生成内网威胁检测报告。
在其中一些实施例中,删除威胁检测程序运行生成的缓存文件、日志信息以及威胁检测程序可执行文件。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例内网威胁检测方法可以由内网威胁检测设备来实现。图8为本申请实施例的内网威胁检测设备的硬件结构示意图。
内网威胁检测设备可以包括处理器81以及存储有计算机程序指令的存储器82。
具体地,上述处理器81可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器85可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器85可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器85可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器85可在数据处理装置的内部或外部。在特定实施例中,存储器85是非易失性(Non-Volatile)存储器。在特定实施例中,存储器85包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器85可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器82所执行的可能的计算机程序指令。
处理器81通过读取并执行存储器82中存储的计算机程序指令,以实现上述实施例中的任意一种内网威胁检测方法。
在其中一些实施例中,内网威胁检测设备还可包括通信接口83和总线80。其中,如图8所示,处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。
通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口83还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线80包括硬件、软件或两者,将内网威胁检测设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线80可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该内网威胁检测设备可以基于获取到的内网威胁检测,执行本申请实施例中的内网威胁检测方法,从而实现结合图1描述的内网威胁检测方法。
另外,结合上述实施例中的内网威胁检测方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种内网威胁检测方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种内网威胁检测方法,其特征在于,所述方法包括:
获取内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;
将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;
对每一所述提权脚本对应的目标设备进行提权;
运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;
根据所述流量日志信息和所述提权结果,生成内网威胁检测报告。
2.根据权利要求1所述的方法,其特征在于,所述获取内网设备的流量日志信息包括:
扫描内网网络的所有端口;
获取每一所述端口的端口信息,并根据每一所述端口对应的端口信息,确定每一所述端口对应的协议类型;
根据每一所述端口对应的协议类型,发送协议探测报文至对应的端口,得到所述端口的返回报文;
根据所述协议探测报文和所述返回报文,得到内网设备的流量日志信息。
3.根据权利要求1所述的方法,其特征在于,所述对每一所述提权脚本对应的目标设备进行提权包括:
生成网络攻击数据包;
根据所述网络攻击数据包对所述漏洞攻击,以对每一所述提权脚本对应的目标设备进行提权。
4.根据权利要求1所述的方法,其特征在于,所述根据所述流量日志信息和所述提权结果,生成内网威胁检测报告包括:
对所述流量日志信息和所述提权结果进行综合分析,得到威胁检测数据;所述威胁检测数据包括网络协议威胁数据、URL威胁数据以及操作系统威胁数据;
根据所述威胁检测数据,生成所述内网威胁检测报告。
5.根据权利要求1所述的方法,其特征在于,在运行所述内网设备操作系统对应的威胁检测程序之后,所述方法还包括:
删除所述威胁检测程序运行生成的缓存文件、日志信息以及威胁检测程序可执行文件。
6.一种内网威胁检测装置,其特征在于,包括:
数据处理模块,用于获取内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;
漏洞检测模块,用于将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;
目标提权模块,用于对每一所述提权脚本对应的目标设备进行提权;
威胁检测模块,用于运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;
数据分析模块,用于根据所述流量日志信息和所述提权结果,生成内网威胁检测报告。
7.一种内网威胁检测设备,其特征在于,所述内网威胁检测设备通过USB接口与内网设备连接,包括威胁检测模块和处理器;其中:
所述威胁检测模块用于获取到所述内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;对每一所述提权脚本对应的目标设备进行提权;运行所述内网设备操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;
所述处理器用于接收所述提权结果和所述流量日志信息,并根据所述流量日志信息和所述提权结果,生成内网威胁检测报告。
8.根据权利要求7所述的内网威胁检测设备,其特征在于,所述内网威胁检测设备还包括数据存储器;所述数据存储器分别与所述威胁检测模块、所述处理器连接,用于存储威胁检测过程中产生的中间文件、所述内网威胁信息和所述内网威胁检测报告。
9.根据权利要求8所述的内网威胁检测设备,其特征在于,所述内网威胁检测设备还包括重置开关,所述重置开关分别与所述威胁检测模块、所述数据存储器连接,用于清除威胁检测过程中产生的中间文件。
10.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述的内网威胁检测方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至5中任一项所述的内网威胁检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010739136.XA CN111857965A (zh) | 2020-07-28 | 2020-07-28 | 内网威胁检测方法、装置、设备和计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010739136.XA CN111857965A (zh) | 2020-07-28 | 2020-07-28 | 内网威胁检测方法、装置、设备和计算机设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111857965A true CN111857965A (zh) | 2020-10-30 |
Family
ID=72948305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010739136.XA Pending CN111857965A (zh) | 2020-07-28 | 2020-07-28 | 内网威胁检测方法、装置、设备和计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111857965A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112437100A (zh) * | 2021-01-28 | 2021-03-02 | 腾讯科技(深圳)有限公司 | 漏洞扫描方法及相关设备 |
CN112769845A (zh) * | 2021-01-18 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 漏洞测试方法、装置、电子装置和计算机设备 |
CN112866291A (zh) * | 2021-03-03 | 2021-05-28 | 哈尔滨安天科技集团股份有限公司 | 一种威胁处置脚本的生成方法、装置和计算机可读介质 |
CN112995152A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 一种风险端口检测方法、装置、设备和介质 |
CN113067829A (zh) * | 2021-03-25 | 2021-07-02 | 北京天融信网络安全技术有限公司 | 一种威胁信息处理方法及装置 |
CN113162951A (zh) * | 2021-05-20 | 2021-07-23 | 深信服科技股份有限公司 | 威胁检测、模型生成方法、装置及电子设备和存储介质 |
CN113949565A (zh) * | 2021-10-15 | 2022-01-18 | 上海谋乐网络科技有限公司 | 检测内网数字资产脆弱性的系统和方法 |
CN114338237A (zh) * | 2022-03-01 | 2022-04-12 | 中国工商银行股份有限公司 | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833186A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击预测方法及装置 |
CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
CN109543419A (zh) * | 2018-11-30 | 2019-03-29 | 杭州迪普科技股份有限公司 | 检测资产安全的方法及装置 |
CN110138727A (zh) * | 2019-03-28 | 2019-08-16 | 江苏通付盾信息安全技术有限公司 | 反弹shell网络连接的信息查找方法及装置 |
CN110519276A (zh) * | 2019-08-29 | 2019-11-29 | 中国科学院信息工程研究所 | 一种检测内网横向移动攻击的方法 |
US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
-
2020
- 2020-07-28 CN CN202010739136.XA patent/CN111857965A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833186A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击预测方法及装置 |
CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
CN109543419A (zh) * | 2018-11-30 | 2019-03-29 | 杭州迪普科技股份有限公司 | 检测资产安全的方法及装置 |
CN110138727A (zh) * | 2019-03-28 | 2019-08-16 | 江苏通付盾信息安全技术有限公司 | 反弹shell网络连接的信息查找方法及装置 |
CN110519276A (zh) * | 2019-08-29 | 2019-11-29 | 中国科学院信息工程研究所 | 一种检测内网横向移动攻击的方法 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112769845A (zh) * | 2021-01-18 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 漏洞测试方法、装置、电子装置和计算机设备 |
CN112437100A (zh) * | 2021-01-28 | 2021-03-02 | 腾讯科技(深圳)有限公司 | 漏洞扫描方法及相关设备 |
CN112995152A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 一种风险端口检测方法、装置、设备和介质 |
CN112866291B (zh) * | 2021-03-03 | 2023-02-28 | 安天科技集团股份有限公司 | 一种威胁处置脚本的生成方法、装置和计算机可读介质 |
CN112866291A (zh) * | 2021-03-03 | 2021-05-28 | 哈尔滨安天科技集团股份有限公司 | 一种威胁处置脚本的生成方法、装置和计算机可读介质 |
CN113067829B (zh) * | 2021-03-25 | 2023-05-02 | 北京天融信网络安全技术有限公司 | 一种威胁信息处理方法及装置 |
CN113067829A (zh) * | 2021-03-25 | 2021-07-02 | 北京天融信网络安全技术有限公司 | 一种威胁信息处理方法及装置 |
CN113162951A (zh) * | 2021-05-20 | 2021-07-23 | 深信服科技股份有限公司 | 威胁检测、模型生成方法、装置及电子设备和存储介质 |
CN113162951B (zh) * | 2021-05-20 | 2023-05-12 | 深信服科技股份有限公司 | 威胁检测、模型生成方法、装置及电子设备和存储介质 |
CN113949565A (zh) * | 2021-10-15 | 2022-01-18 | 上海谋乐网络科技有限公司 | 检测内网数字资产脆弱性的系统和方法 |
CN113949565B (zh) * | 2021-10-15 | 2023-10-27 | 上海谋乐网络科技有限公司 | 检测内网数字资产脆弱性的系统和方法 |
CN114338237A (zh) * | 2022-03-01 | 2022-04-12 | 中国工商银行股份有限公司 | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
CN114338237B (zh) * | 2022-03-01 | 2024-02-02 | 中国工商银行股份有限公司 | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111857965A (zh) | 内网威胁检测方法、装置、设备和计算机设备 | |
US10902117B1 (en) | Framework for classifying an object as malicious with machine learning for deploying updated predictive models | |
US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
RU2613535C1 (ru) | Способ обнаружения вредоносных программ и элементов | |
US7870612B2 (en) | Antivirus protection system and method for computers | |
CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
CN105302707B (zh) | 应用程序的漏洞检测方法和装置 | |
CN110768951B (zh) | 验证系统漏洞的方法及装置、存储介质、电子装置 | |
CN103581185A (zh) | 对抗免杀测试的云查杀方法、装置及系统 | |
CN111756697B (zh) | Api安全检测方法、装置、存储介质及计算机设备 | |
CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
CN113868659B (zh) | 一种漏洞检测方法及系统 | |
CN110968872A (zh) | 文件漏洞的检测处理方法、装置、电子设备及存储介质 | |
CN113158197A (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
CN110768949B (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
CN116415300A (zh) | 基于eBPF的文件保护方法、装置、设备和介质 | |
CN114036042A (zh) | 一种模型测试方法、装置、计算机和可读存储介质 | |
CN114143052B (zh) | 基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质 | |
CN114861168A (zh) | 一种防逃逸的攻击行为欺骗蜜罐构建方法 | |
CN104809394B (zh) | 病毒查杀的方法、装置及终端 | |
CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 | |
CN114448665A (zh) | 一种web应用防火墙规则检测方法、装置及电子设备 | |
CN111786826A (zh) | 工控设备运维审计系统、工控设备运维方法、计算机设备 | |
CN112995143A (zh) | 一种基于邮件系统的安全通报方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |