CN112134877A

CN112134877A - 网络威胁检测方法、装置、设备及存储介质

Info

Publication number: CN112134877A
Application number: CN202010990993.7A
Authority: CN
Inventors: 阮强磊; 祝立欣; 罗克振; 刘峰; 陆立业; 陈燕斌; 刘一兵
Original assignee: Beijing Huasai Online Technology Co ltd
Current assignee: Beijing Huasai Online Technology Co ltd
Priority date: 2020-09-22
Filing date: 2020-09-22
Publication date: 2020-12-25

Abstract

本发明公开一种网络威胁检测方法、装置、设备及存储介质，涉及网络安全领域。本发明公开的一种网络威胁检测方法，包括：根据网络流量检测网络攻击行为；在检测到针对被监测的主机的网络攻击行为时，确定所述主机是否具有漏洞信息；若所述主机具有漏洞信息，则将所述漏洞信息与所述网络攻击行为配置为关联信息，所述关联信息用于攻击事件的分析确认。本发明技术方案提高了攻击事件的检测准确度，从而降低了网络安全设备检测行为的误报率。并且，基于多维度的关联信息，可以提高攻击事件的定位操作的效率，最终降低攻击事件带来的风险。

Description

网络威胁检测方法、装置、设备及存储介质

技术领域

本发明涉及网络安全领域，尤其涉及一种网络威胁检测方法、装置、设备及存储介质。

背景技术

计算机网络技术的快速发展，给人们的工作生活提供了很大方便，但计算机及网络安全事件也在逐年增加，信息安全现状非常严峻。为了提高网络环境的安全性，防止网络安全事件的产生，帮助安全工程师对网络安全事件的追踪溯源分析，一般会进行网络安全检测。

传统的安全检测是对网络攻击行为进行检测，即对于每一个系统产生的安全事件警报都是根据该事件的行为去分析，从而判断出是否是一条攻击事件；当判断为攻击行为后，安全检测系统会自动将该事件进行记录然后储存在数据库中。用户通过浏览器获取查看攻击事件，之后由安全工程师对攻击事件进行分析，并进行追踪溯源。但在实际应用中，安全工程师发现这种检测方式，得到的报警信息误报率较高，而且即使发生了攻击，追踪溯源也比较困难。

发明内容

本发明提供一种网络威胁检测方法、装置、设备及存储介质，用以解决上述技术问题，降低网络安全检测结果的误报率。

本发明提供一种网络威胁检测方法，包括：

根据网络流量检测网络攻击行为；

在检测到针对被监测主机的网络攻击行为时，确定所述主机是否具有漏洞信息；

若所述主机具有漏洞信息，则将所述漏洞信息与所述网络攻击行为配置为关联信息，所述关联信息用于攻击事件的分析确认。

本发明还提供一种网络威胁检测方法，包括：

根据被监测主机的状态信息确定主机是否有漏洞信息；

在确定主机具有漏洞信息时，根据网络流量检测该主机是否受到网络攻击行为；

若检测到针对该主机的网络攻击行为，则将所述漏洞信息与所述网络攻击行为配置为关联信息，所述关联信息用于攻击事件的分析确认。

本发明还提供一种网络威胁检测装置，包括：

第一检测模块，用于根据网络流量检测网络攻击行为；

第二检测模块，用于在检测到针对被监测主机的网络攻击行为时，确定所述主机是否具有漏洞信息；

关联检测模块，用于若所述主机具有漏洞信息，则将所述漏洞信息与所述网络攻击行为配置为关联信息，所述关联信息用于攻击事件的分析确认。

本发明还提供一种网络威胁检测设备，包括：处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序；

其中，所述处理器运行所述计算机程序时实现上述的网络威胁检测方法。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序可被执行上述的网络威胁检测方法。

本发明技术方案在传统的使用单一特征匹配网络攻击行为的检测模式的基础上，增加了主机状态的特征，用于确定主机本身是否存在漏洞。这样，当检测到网络攻击行为时，可以将被攻击的主机漏洞与网络攻击行为相关联，用于关联分析该攻击事件。这种方式中，分析操作是基于多维度信息进行的，分析更全面，因此，检测分析出的攻击事件的准确度更高，从而降低了网络安全设备检测行为的高误报率。并且，基于多维度的关联信息，可以提高攻击事件的定位操作的效率，最终降低攻击事件带来的风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络威胁检测方法的流程图；

图2为本发明实施例提供的一种网络威胁检测方法的详细流程图；

图3为本发明实施例提供的另一种网络威胁检测方法的流程图；

图4为本发明实施例提供的一种网络威胁检测装置的结构示意图；

图5为本发明实施例提供的一种网络威胁检测设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的技术方案更加清楚，以下结合附图对本发明的实施例进行详细说明。

图1为本发明实施例提供的一种网络威胁检测方法的流程图。如图1所示，本实施例的方法包括如下步骤：

步骤S101、根据网络流量检测网络攻击行为；

本实施例中，检测网络攻击行为的方式可以包括多种。例如，可以利用IDS(intrusion detection system，入侵检测系统)检测当前接收到的网络流量中是否包含网络攻击行为。

其中，在检测网络攻击行为之前，可以将网络流量数据包优先与IP端口白名单进行匹配，即提取网络流量数据包的源IP地址和/或目的IP地址后，从IP端口白名单中查询源IP地址和/或目的IP地址，如果查询到源IP地址和/或目的IP地址，即认为匹配成功。若未从IP端口白名单中查询到源IP地址和/或目的IP地址，则认为网络流量与IP端口白名单匹配失败。在其他应用场景中，通过目的IP地址与IP端口白名单匹配时，还可以结合目的端口，即通过网络流量中的目的IP地址和目的端口与IP端口白名单匹配。当从IP端口白名单中查询到目的IP地址和目的端口时，匹配成功。当从IP端口白名单中未查询到目的IP地址和目的端口，认为网络流量与IP端口白名单匹配失败。

在确定网络流量与IP端口白名单匹配失败时，可以通过IDS去分析网络流量中的请求和响应关键字等信息，从而与IDS规则库进行匹配，最终判断当前是否发生了攻击行为。这种方式，在检测网络攻击行为之前引入了IP端口白名单匹配，从而将安全的网络流量筛选出去，只针对存在隐患的网络流量进行网络攻击行为的检测，提高了网络攻击行为的检测效率。

步骤S102、在检测到针对被监测主机的网络攻击行为时，确定主机是否具有漏洞信息；

其中，检测针对主机的网络攻击行为时，可以从所检测到网络攻击行为中提取出目的端口或目的IP地址，该目的端口或目的IP地址指向的即为该网络攻击行为所要攻击的主机，这里的主机可以是网络威胁检测系统中进行网络安全监控范围内的终端或服务器。

本实施例中，确定被攻击的主机是否具有漏洞信息的方式可以包括多种。

例如，可以在检测到针对主机的网络攻击行为后，针对受到网络攻击的主机，可以实时获取其状态信息。之后，根据状态信息可以及时地确定该主机是否具有漏洞信息。其中，主机的状态信息主要用于表征主机本身的运行情况，其至少包括主机日志、文件状态和运行软件的版本信息等。确定主机是否具有漏洞信息时，可以将实时获取的状态信息，与预先存储或从服务端侧获取的漏洞信息库进行匹配。当获取到的状态信息中的一种或多种信息与漏洞信息库中的漏洞信息成功匹配时，即可确定受到网络攻击的主机具有漏洞信息。

又如，还可以在根据网络流量检测网络攻击行为的同时，动态地监控各主机的状态信息，根据各主机的状态信息分别初步确定各主机是否具有漏洞，并将具有漏洞的主机记录为存在安全隐患的主机。初步判断主机是否有漏洞的方法如上述的状态信息匹配方法。这样，在检测到针对主机的网络攻击行为时，可以从存在安全隐患的主机中查询受到网络攻击的主机。如果查询到该主机时，即可确定该主机具有漏洞信息。

步骤S103、若该主机具有漏洞信息，则将漏洞信息与网络攻击行为配置为关联信息，关联信息用于攻击事件的分析确认。

其中，将漏洞信息与网络攻击行为配置为关联信息的方式可以包括多种。例如，可以将主机的漏洞信息与网络攻击行为标记为关联信息，并存储至指定的存储空间。又如，可以将主机的漏洞信息触发的报警信息(可简称为第一类报警信息)，与网络攻击行为触发的报警信息(可简称为第二类报警信息)，设置为相关联的报警信息，或者可以将同一主机的这两种报警信息合并为一种报警。这样，合并后的报警信息可以只告警一次，可以减少针对同一个主机的重复告警。

另外，将漏洞信息与网络攻击行为配置为关联信息时，还可以标记该关联信息触发的报警信息的可靠度为高，即指示此触发的报警信息的误报的可能性较低，或者将该关联信息触发的报警信息设置在所有报警列表的开始位置，以指示该报警信息的优先级最高。

从上述描述可以看出，本实施例技术方案改变了传统的攻击行为特征匹配单一检测模式，基于对网络流量传输过程中的请求响应匹配关键字确认网络攻击行为的同时，结合受到网络攻击的主机日志记录和主机自身的状态关系进行关联分析，从多维度进行关联分析，使得分析结果更全面，进而确认的攻击事件的确认结果更可靠，准确度更高。随着关联分析的准确度提高，其触发的告警的可靠度也提高了，从而可以降低误报的概率；并且，本实施例中提出的关联分析，为攻击事件的追踪溯源提供了更多的信息，从而提高追踪溯源的效率。

图2为本发明实施例提供的一种违规外联检测方法的详细流程图。如图2所示，本实施例的方法包括如下步骤：

步骤S201，接收数据包；

该步骤中，可以通过旁路镜像流量接收数据包。

步骤S202，判断数据包中的IP端口是否记录在IP端口白名单中，如果是，放行该数据包，并返回步骤S201，否则执行步骤S203；

该步骤中，可以先获取数据包中的五元组信息，即源IP地址、源端口、目的IP地址、目的端口和传输层协议信息。再将数据包中的源IP地址和/或目的IP地址与IP端口白名单中的IP地址相匹配，若在IP端口白名单中查询到数据包中的源IP地址和/或目的IP地址，均可以认为数据包中的IP端口记录在IP端口白名单中，即数据包通过了验证。

其中，IP端口白名单是预先配置的，管理员可以对IP端口白名单进行更新，从中删除一个或多个IP端口，也可以增加一个或多个IP端口至IP端口白名单中。

步骤S203，对数据包进行IDS解析分析，确认网络攻击行为；

该步骤中，可以对数据包进行IDS解析分析数据包中的异常行为，并通过已获取的或实时获取的IDS规则库中的规则与数据包中的异常行为进行匹配。当成功匹配到至少一条规则时，即可认为该数据包引起了攻击行为，即检测到了网络攻击行为。此时可以存储数据包中的五元组信息(源IP地址，源端口，目的IP地址，目的端口和传输层协议)以及该数据包中的攻击特征关键字。其中，攻击特征关键字可以从数据包中的请求消息或响应消息中提取到。该攻击特征关键字可用于确定攻击行为的类型(例如，扫描类、注入类、暴力破解、跨站脚本攻击或者漏洞利用类等)，因此，攻击特征关键字也可以作为网络攻击行为的关联信息进行存储，以增强分析确认攻击事件的可靠性。

步骤S204，主机Agent检测主机的状态信息，上报并且与漏洞数据库中的漏洞信息表进行匹配，匹配成功时确认主机上存在的漏洞。

该步骤中，主机Agent可以检测主机自身的日志、文件状态等异常情况，根据主机软件版本等主机信息，上报并且与漏洞数据库中的漏洞信息表进行匹配。例如，主机自身的日志与漏洞数据库中存在漏洞的日志数据相一致，则可以认为主机的状态信息与漏洞信息表匹配成功，可确认主机上存在的漏洞。

本实施例中，为了方便描述，在上述步骤S203之后执行步骤S204的操作。在实际应用中，上述步骤S204的操作与步骤S203的操作的执行顺序并非固定不变的。即可以在上述步骤S203之前的任意时刻执行步骤S204的操作，也可以同时执行步骤S203与步骤S204的操作。对此，本实施例不做特别限制。

步骤S205，将警报预处理中生成的告警信息进行过滤转化等处理；

其中，警报预处理中生成的告警信息可以存储至告警信息库中。告警信息包括，由IDS检测触发生成的第一类告警信息以及由主机漏洞触发生成的第二类告警信息。由于告警信息库中的警报信息之间往往存在着各种各样的关系。警报关联和攻击意图识别主要是去发现和挖掘存在重复、冗余等关系的警报，因此为了消除重复和冗余，需要发掘这些警报之间的因果关系。

第一类告警信息至少包含Aid(Analyzer id)、Ct(Create time)、Cl(Classification)、Src(Source ip)、SrcPort(Source Port)、Dst(Destination ip)、DstPort(Destination Port)、Cve(Common Vulnerabilities&Exposures)。其中Aid表示分析器报警的ID编号，Ct表示产生报警的时间，Cl表示报警的分类，Src表示报警的源IP，SrcPort表示报警的源端口，Dst表示报警的目的IP，即Agent监控的主机。DstPort表示报警的目的端口，即Agent监控的主机上开放的端口。CVE是漏洞和风险的标准化列表。报警Alert＝{Aid；Ct；Cl；srcIP；srcPort；dstIP；dstPort；CVE；……}，警报Alert也可能包含其他此处未列出的信息。

本实施例中，考虑到一次扫描行为可能会针对目标主机到多个端口，会产生大量的告警信息。因此，可以采用如下的重复告警的消除函数：

f(repetitive)＝A(aid,ct,cl,src,dst…)＝f(A1(aid,ct,cl,src,dst),A2(aid,ct,cl,src,dst))

式中，f(repetitive)表示重复告警的消除函数，A(aid,ct,cl,src,dst…)表示，一次扫描所生成的所有告警信息的集合。本实施例中，假设一次扫描所生成的所有告警信息包括告警信息A1(aid,ct,cl,src,dst)和告警信息A2(aid,ct,cl,src,dst)。

iif:A1.cl＝A2.cl&A1.src＝A2.src&A1.a≠idA2.aid&(A1.dst＝A2.dst||A1.dst≠A2.dst)&|A1.ct-A2.ct|<δ

其中，“iif”表示“当且仅当”，“&”表示逻辑“且”，“||”表示逻辑“或’，δ是设定的时间阀值。

当一次扫描所生成的告警信息的集合中，告警信息A1和A2满足上述关系时，认为告警信息A1和A2为重复告警，此时，保留告警信息A1和A2中的任一条告警信息即可，这样，可以减小重复告警的数量，提高告警处理的效率。

另外，冗余关系往往是由一个简单攻击或者一个复杂攻击到某个步骤触发多个入侵检测引擎或者多次触发一个入侵引擎检测所引起的。因此，本实施例采用如下的冗余告警的处理函数：

f(redundancy)＝A(aid,ct,cl,src,dst…)＝f(A1(aid,ct,cl,src,dst)，A2(aid,ct,cl,src,dst))

式中，f(redundancy)表示冗余告警的处理函数，A(aid,ct,cl,src,dst…)表示，所有告警信息的集合。本实施例中，所有告警信息包括告警信息A1(aid,ct,cl,src,dst)和告警信息A2(aid,ct,cl,src,dst)。

iif:A1.cl≠A2.cl&A1.src＝A2.src&A1.dst＝A2.dst&|A1.ct-A2.ct|<δ

其中，“iif”表示“当且仅当”，“&”表示逻辑“且”，“||”表示逻辑“或’，δ是设定的时间阀值。当告警信息A1和A2满足上述关系时，认为告警信息A1和A2互为冗余告警。

使用上述冗余告警的消除函数，实现报警冗余归并的过程是：假设经过归并后得到的输出告警事件为b，则b＝F(a1,a2,…,an)，其中a1，a2,…,an为网络中的n个满足同一个冗余关系的报警事件，n≥2，b＝F为告警归并过程，b＝F为归并后的输出报警事件。即按照上述公式确认多个报警之间互为为冗余告警时，针对这一组冗余告警输出一个告警事件b即可。这样，可以大大减小告警的数量，提高告警管理的效率。

还有，如果两个攻击行为的发起源IP地址或者目的IP地址相同，则这两个攻击行为满足聚类关系。聚类操作可以采用如下函数表示：f(clustering)＝f(A1(aid,ct,cl,src,dst),A2(aid,ct,cl,src,dst))

式中，f(clustering)表示聚类告警的处理函数，A(aid,ct,cl,src,dst…)表示，所有告警信息的集合。本实施例中，所有告警信息包括告警信息A1(aid,ct,cl,src,dst)和告警信息A2(aid,ct,cl,src,dst)。

iif:A1.src＝A2.src||A1.dst＝A2.dst

其中，“iif”表示“当且仅当”，“||”表示逻辑“或’。

当满足上述条件时，即可认为是同一类告警，通过对同一类告警的标识，可以将告警进行分类存储或管理，以提高告警管理的效率，并为简化关联分析的操作步骤。

通过步骤S205的操作，针对重复、冗余的告警信息以及聚类的告警信息进行了优化处理，大大减少了告警信息的数量，简化了告警信息的维护和管理操作。

步骤S206，将警报预处理后的告警信息去与关联规则库中的数据进行关联分析，确认威胁事件并将分析结果储存在关联数据库中。该步骤中，进行关联分析时，考虑到网络中的攻击行为可以用一个三元组(攻击属性集、攻击的前提、攻击的后果)来等价描述。其中的攻击属性集OSet＝{srcIP,scrPort,dstIP,dstPort,..},攻击的前提Prerequisite为攻击成功发生所需前提条件的集合，描述发起攻击所需要的前提。通常情况下它指的是被攻击主机上存在的漏洞信息，可以是一些具体的如操作系统的信息和安装软件版本的信息。也可以是一些一般如登录权限级别的信息、开放的端口信息、运行的应用服务。Consequence为攻击行为发生后可能产生的结果集合，在这个部分中描述了攻击者攻击完成后所得到的结果。通常情况下为权限的提高，也可能是信息的获取、信息的篡改、拒绝服务、文件的篡改及资源窃取等。用数学模型可以表示为攻击行为Intrusion＝f(Oset；Cl；Prerequisi；Cl；Consequence；Cl),其中Cl表示攻击类型。基于此分析，可知，根据预先总结出的告警关联特征，即可对告警信息去与关联规则库中的数据进行关联分析。

基于上述分析可知，攻击者往往都是有攻击意图的，可以通过一个攻击系列体现出来。假设攻击者发动攻击行为a是为攻击b做准备，因此，可以认为攻击a发生的报警A1与攻击b发生的告警A2满足关联关系。此时，攻击a发生应具备一定的条件，称为攻击a的前提，记为Prerequisite(a),则Prerequisite(a)＝exp(1)∧exp(2)∧exp(3)∧exp(4)∧…∧exp(N)；∧表示和。攻击a发生产生的效果称为攻击a的后果，记为Consequence(a),则Consequence(a)＝exp(1)∧exp(2)∧exp(3)∧exp(4)∧…∧exp(N)。

其中，exp可以采用如下两种形式中任一种即可：

Exp＝predicate

Exp＝Get_info(predicate)。

predicate表示前提条件，Get_info(predicate)表示根据前提条件添加对应的后果，分别对应的函数就是上文的Prerequisite(a)和Consequence(a)。

本实施例中，因果关联表达式为f(A1,A2)：

A1.src＝A2.src&A1.dst＝A2.dst，且Consequence(A1)＝exp(X1)∧exp(X2)∧…exp(XM)，且Prerequisite(A2)＝exp(Y1)∧exp(Y2)∧…∧exp(YM)

若上述关联表达式满足如下关联条件，即认为A1事件和A2事件是存在因果关系，是一对因果关系：

Iif:存在i∈[1,M],j∈[1,N]，expXi＝expYj,或者其中一个以Get_Info()的形式包含另外一个，或者

则称A1和A2存在因果关系，记为f(A1,A2)。

其中，expXi＝expYj,，表示任意一个前提条件和对应的后果结论相同。

Get_Info()的形式包含另外一个，表示后果中包含了前提条件中的任一个前提条件。

表示A1所有的后果都包含在了A2的前提条件里。

具体地，本实施列中，关联规则库由一些表格组成，这些表格包括攻击特征表AttackCharacteristics,攻击属性表Oset,攻击前提表Prerequisite和攻击后果表Consequence。这些表格决定了告警关联分析的能力，可以由信息安全领域的专家按照上述关联原理归纳总结而成。

例如，报警预处理操作，主要是将存储在告警信息库中的IDS告警转为系统的超报警形式(即超报警形式的告警包括IDS告警及其相关联的Agent监控主机生成的告警信息)。超报警形式的告警信息包括ScrIp、DestIP、Scrport、DestPort、Begintime、EndTime。预处理后生成四张表格。

表1是预处理后的Agent监控主机生成的告警信息表

表2是预处理后的IDS告警信息表

HydperAlerID	srcIP	SrcPort	DstIP	Dstport
					66174	10.10.10.2	22345	10.10.10.68	8080

HydperAlerID用来唯一标识超报警信息，表1和表2的HydperAlerID的值相同，即可认为表1所指示的告警信息与表2所示的告警信息为关联信息。其他信息根据Agent报警以及IDS报警信息填写。下面的表格是关联规则库的表格。

表3是关联规则库中的Prerequisite

HydperAlerID	EncodedPredicate	BeginTime	Endtime
				6617180	HeartBleed	1241	1262

表4是关联规则库中的Consequence

其中，超报警66174中CVE-2014-0160对应的漏洞内容具体为HeartBleed，由此，可以将CVE的内容(即HeartBleed)做为索引，从关联规则库中的prerequisite和Consequence匹配出EncodedPredicate为HeartBleed的因果关系，即表3所表示的Prerequisite(即为此次威胁事件的前因)，以及表4所表示的Consequence(即为此次威胁事件的结果)。其中，关联规则库中具有因果关系的Prerequisite和Consequence还需要满足时序要求，即Prerequisite的开始时间与结束时间的时间差在第一设定时间范围内，且Consequence的开始时间与结束时间的时间差也在第二设定时间范围内。本实施例中，第一设定时间范围和第二设定时间范围的取值可以相同或者不同。第一设定时间范围和第二设定时间范围的取值与EncodedPredicate相关，即EncodedPredicate的内容不相同时，第一设定时间范围和第二设定时间范围的取值可能不相同。当满足上述匹配和时序要求时，即可关联成功并记录到关联数据库中，即表1和表2所示的超报警为关联信息，而表3和表4的内容则为此超报警的因果关系。

从上述描述可以看出，本实施例提供了基于IDS流量分析、IP端口白名单、主机自身的状态多维度检测网络威胁的方法。在旁路部署基于镜像流量分析系统，在不改变现有网络结构的基础上，通过旁路镜像流量中的数据包异常攻击行为分析检测，操作非常简便。且多维度检测提高了检测的可靠度，从而降低了网络安全设备报警日志的误报率，减少安全人员处理安全事件的工作量。并且，基于攻击行为的关联信息分析攻击事件，提高了网络安全事件追踪溯源的效率及提供更准确更有效的攻击威胁情况。

实际应用中，监测系统也可以是先监测到主机有安全漏洞，后发现遭受攻击，通过将二者安全信息进行关联也能达到上述技术效果。

图3为本发明实施例提供的另一种网络威胁检测方法的流程图。如图3所示，本实施例的方法包括：

步骤S301、根据被监测主机的状态信息确定主机是否有漏洞信息；

本步骤中确定主机是否有漏洞信息的方法如上述实施例，此处不再详述。

步骤S302、在确定主机具有漏洞信息时，根据网络流量检测该主机是否受到网络攻击行为；

本步骤中确定主机是否遭到网络攻击行为也如上述实施例，此处不再赘述。

步骤S303、若检测到针对该主机的网络攻击行为，则将所述漏洞信息与所述网络攻击行为配置为关联信息，所述关联信息用于攻击事件的分析确认。

本实施例与上述图1所示实施例的不同之处在于先检测到被监测主机具有漏洞信息，而后再确定该主机是否受到攻击，最后同样将漏洞信息与网络攻击行为进行关联，从而实现多维度的关联分析，其效果与上述实施例类似，不再赘述。无论是先检测主机是否被攻击再监测主机是否有漏洞，还是先监测主机是否有漏洞，再检测主机是否被攻击，其实质都是进行多维度的信息分析，实现检测信息来源不单一，而是多源信息的关联分析，有利于降低网络安全设备的网络攻击检测误报率，而且有利于后续的安全事件的追踪溯源。

图4为本发明实施例提供的一种网络威胁检测装置的结构示意图。如图4所示的装置，可以对应于部署在内网或专用网中的旁路镜像服务器，该旁路镜像服务器通过设置相应程序具有执行上述图1或图2所示的实施例的方法流程功能，该装置包括：第一检测模块100、第二检测模块200和关联检测模块300，其中，第一检测模块100，用于根据网络流量检测网络攻击行为；第二检测模块200，用于在检测到针对被监测主机的网络攻击行为时，确定该主机是否具有漏洞信息；关联检测模块300，用于若该主机具有漏洞信息，则将漏洞信息与网络攻击行为配置为关联信息，关联信息用于攻击事件的分析确认。

其中，本实施例中，第一检测模块100，从流量数据所反映出的流量行为特征作为一个维度，用于分析攻击事件。第二检测模块200，则从主机的漏洞信息所表征的主机本身的状态作为另一个维度，用于分析攻击事件。可见，将漏洞信息与网络攻击行为配置为关联信息，即相当于从两个维度来分析攻击事件，分析结果更可靠，从而降低攻击事件触发的报警信息的误报率。且从两个维度分析攻击事件时，也可以更准确地定位出攻击事件，简化了管理员的操作流程。

另外，上述第二检测模块200，确定主机是否具有漏洞信息的方式可以包括多种方式。例如，可以增加一获取模块，在检测到针对被监测主机的网络攻击行为后，获取该主机的状态信息。这样第二检测模块，即可根据所获取的状态信息确定主机是否具有漏洞信息。又如，还可以增加监控模块和记录模块。此时，监控模块，用于监控各主机的状态信息。记录模块，则可以根据各主机的状态信息分别确定各主机是否具有漏洞信息，并将具有漏洞信息的主机记录为存在安全隐患的主机。在已知了存在安全隐患的主机的基础上，第二检测模块，只需要从存在安全隐患的主机中查询攻击行为所要攻击的主机。如果从存在安全隐患的主机中查询到了该主机，即可确定该主机具有漏洞信息。

还要说明的是，在实际应用场景中，检测到网络攻击行为时，一般会生成报警信息，从而对用户达到告警的效果。确定主机具有漏洞信息时，同样也会生成报警信息，用于对用户进行告警。而基于网络攻击行为生成的报警信息包括的内容，与主机漏洞生成的报警信息包括的内容是不相同的。这样，就会针对生成的每一条报警信息分别进行告警，存在告警提示冗余的问题。因此，在上述网络威胁检测装置的基础上，可以增加第一报警模块、第二报警模块和关联报警模块。其中，第一报警模块，在检测到针对被监测主机的网络攻击行为时，生成第一类报警信息；第二报警模块，确定主机具有漏洞信息时，生成第二类报警信息；关联报警模块，则可将针对同一主机生成的第一类报警信息和第二类报警信息，配置为相关联的报警信息，该相关联的报警信息可用于攻击事件的分析确认。可见，这种结构的装置，将第一类报警信息和第二报警信息进行关联，可以降低报警信息的冗余量，方便管理员对所有报警信息的分类管理，避免进行重复的告警操作，并且降低报警的误报率。

本发明实施例中的装置模块可用于执行上述网络威胁检测方法实施例的步骤，其工作原理及达到的效果类似，不再赘述。

上述图4中的第一检测模块100，也可用于根据被监测主机的状态信息确定主机是否有漏洞信息，第二检测模块200，也可用于在确定主机具有漏洞信息时，根据网络流量检测该主机是否受到网络攻击行为，关联检测模块300也可用于若检测到针对该主机的网络攻击行为，则将所述漏洞信息与所述网络攻击行为配置为关联信息，所述关联信息用于攻击事件的分析确认。其用于执行上述图3对应的实施例的检测方法，具体详细方案及达到的效果不再赘述。

图5为本发明实施例提供的网络威胁检测设备的结构示意图，如图5所示，该设备400包括：处理器4001、存储器4002以及存储在存储器4002上并可在处理器4001上运行的计算机程序。

其中，处理器4001运行计算机程序时实现上述任一方法实施例提供的网络威胁检测方法。

本发明实施例还提供一种计算机可读存储介质，该可读存储介质如：ROM/RAM、磁碟、光盘等，计算机可读存储介质存储有计算机程序，所述计算机程序可被终端设备、计算机或服务器等硬件设备执行上述的网络威胁检测方法的步骤。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

1.一种网络威胁检测方法，其特征在于，包括：

根据网络流量检测网络攻击行为；

在检测到针对被监测的主机的网络攻击行为时，确定所述主机是否具有漏洞信息；

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在检测到针对被监测主机的网络攻击行为后，获取所述主机的状态信息；

所述确定所述主机是否具有漏洞信息，包括：

根据所述状态信息确定所述主机是否具有漏洞信息。

3.根据权利要求2所述的方法，其特征在于，所述根据所述状态信息确定所述主机是否具有漏洞信息，包括：

将所述状态信息与漏洞信息库进行匹配；

当所述状态信息与所述漏洞信息库中的任一种或多种漏洞信息成功匹配时，确定所述主机具有漏洞信息。

4.根据权利要求3所述的方法，其特征在于，所述主机的状态信息至少包括如下任一种：

日志数据、文件状态和运行的软件版本信息。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

监控被监测各主机的状态信息；

根据各主机的状态信息分别确定各主机是否具有漏洞信息，并将具有漏洞信息的主机记录为存在安全隐患的主机；

所述确定所述主机是否具有漏洞信息，具体为：

从所述存在安全隐患的主机中查询所述主机，并在查询到所述主机时，确定所述主机具有漏洞信息。

6.根据权利要求1所述的方法，其特征在于，所述根据网络流量检测网络攻击行为，具体为：

确定所述网络流量的源IP地址和/或目的IP地址；

若所述网络流量的源IP地址和/或目的IP地址，不在预先配置的IP地址端口白名单中，则对所述网络流量进行入侵检测系统IDS检测，根据检测结果确定是否发生网络攻击行为，其中，所述网络攻击行为是针对所述网络流量的目的IP地址指示的主机进行的。

7.根据权利要求1～6中任一项所述的方法，其特征在于，所述方法还包括：

检测到针对被检测主机的网络攻击行为时，生成第一类报警信息；

确定主机具有漏洞信息时，生成第二类报警信息；

将针对同一主机生成的第一类报警信息和第二类报警信息，配置为相关联的报警信息，所述相关联的报警信息用于攻击事件的分析确认。

8.一种网络威胁检测方法，其特征在于，包括：

根据被监测主机的状态信息确定主机是否有漏洞信息；

9.一种网络威胁检测装置，其特征在于，包括：

第一检测模块，用于根据网络流量检测网络攻击行为；

10.根据权利要求9所述的装置，其特征在于，所述装置还包括：

获取模块，用于在检测到针对被监测主机的网络攻击行为后，获取所述主机的状态信息；

所述第二检测模块，用于根据所述状态信息确定所述主机是否具有漏洞信息。

11.根据权利要求9所述的装置，其特征在于，所述装置还包括：

监控模块，用于监控各主机的状态信息；

记录模块，用于根据各主机的状态信息分别确定各主机是否具有漏洞信息，并将具有漏洞信息的主机记录为存在安全隐患的主机；

所述第二检测模块，用于从所述存在安全隐患的主机中查询所述主机，并在查询到所述主机时，确定所述主机具有漏洞信息。

12.根据权利要求9～11中任一项所述的装置，其特征在于，所述装置还包括：

第一报警模块，用于在检测到针对被监测主机的网络攻击行为时，生成第一类报警信息；

第二报警模块，用于在确定主机具有漏洞信息时，生成第二类报警信息；

关联报警模块，用于将针对同一主机生成的第一类报警信息和第二类报警信息，配置为相关联的报警信息，所述相关联的报警信息用于攻击事件的分析确认。

13.一种网络威胁检测设备，其特征在于，包括：

处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序；

其中，所述处理器运行所述计算机程序时实现如权利要求1至8中任一项权利要求所述的网络威胁检测方法。

14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序可被执行如权利要求1至8中任一项权利要求所述的网络威胁检测方法。