CN112351017A - 横向渗透防护方法、装置、设备及存储介质 - Google Patents

横向渗透防护方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN112351017A
CN112351017A CN202011176011.7A CN202011176011A CN112351017A CN 112351017 A CN112351017 A CN 112351017A CN 202011176011 A CN202011176011 A CN 202011176011A CN 112351017 A CN112351017 A CN 112351017A
Authority
CN
China
Prior art keywords
attack
penetration
information
transverse
lateral
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011176011.7A
Other languages
English (en)
Other versions
CN112351017B (zh
Inventor
何博
赵立洲
林岳川
闵真
田立闯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN202011176011.7A priority Critical patent/CN112351017B/zh
Publication of CN112351017A publication Critical patent/CN112351017A/zh
Priority to PCT/CN2021/090702 priority patent/WO2022088633A1/zh
Application granted granted Critical
Publication of CN112351017B publication Critical patent/CN112351017B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及网络攻击技术领域,公开了一种横向渗透防护方法、装置、设备及存储介质,该方法包括在监测到渗透攻击时,识别所述渗透攻击的攻击类型;根据所述攻击类型确定攻击信息;根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。本发明中,根据捕获到的攻击信息及预设引擎判定策略判断攻击信息是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。

Description

横向渗透防护方法、装置、设备及存储介质
技术领域
本发明涉及网络攻击技术领域,尤其涉及一种横向渗透防护方法、装置、设备及存储介质。
背景技术
横向渗透攻击技术是复杂网络攻击中广泛使用的一种技术,特别是在高级持续威胁(Advanced Persistent Threats,APT)中更加热衷于使用这种攻击方法。攻击者可以利用横向渗透攻击技术,以被攻陷的系统为跳板,访问内网其他主机,获取包括邮箱、共享文件夹或者凭证信息在内的敏感信息。攻击者可以利用这些敏感信息,进一步控制其他系统、提升权限或窃取更多有价值的凭证,最终获取关键网络节点和管理设备的控制权限。传统的网络攻击检测方法无法监控这些横向渗透攻击,网络安全监控存在死角。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种横向渗透防护方法、设备、存储介质及装置,旨在解决现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
为实现上述目的,本发明提供一种横向渗透防护方法,所述横向渗透防护方法包括以下步骤:
在监测到渗透攻击时,识别所述渗透攻击的攻击类型;
根据所述攻击类型确定攻击信息;
根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;
在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
可选地,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用服务进程函数,以识别所述渗透攻击的攻击类型。
可选地,所述在监测到渗透攻击时,调用服务进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,修改系统调用表中的指针地址,以使所述指针地址指向服务进程函数;
通过所述指针地址调用所述服务进程函数,通过所述服务进程函数确定所述渗透攻击对应的服务进程信息;
根据所述服务进程信息识别所述渗透攻击的攻击类型。
可选地,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用操作进程函数,以识别所述渗透攻击的攻击类型。
可选地,所述在监测到渗透攻击时,调用操作进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用操作进程函数,并通过所述操作进程函数设置注册HOOK点;
通过所述注册HOOK点监测所述渗透攻击的操作进程创建;
当监测到所述渗透攻击的操作进程创建时,通过所述注册HOOK点确定所述渗透攻击对应的操作进程信息;
根据所述操作进程信息识别所述渗透攻击的攻击类型。
可选地,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用操作接口进程函数,以识别所述渗透攻击的攻击类型。
可选地,所述在监测到渗透攻击时,调用操作接口进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,获取所述渗透攻击对应的接口输出参数;
调用操作接口进程函数,通过所述操作接口进程函数从所述接口输出参数中提取接口进程信息;
根据所述接口进程信息识别所述渗透攻击的攻击类型。
此外,为实现上述目的,本发明还提出一种横向渗透防护装置,所述横向渗透防护装置包括:
识别模块,用于在监测到渗透攻击时,识别所述渗透攻击的攻击类型;
确定模块,用于根据所述攻击类型确定攻击信息;
判断模块,用于根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;
执行模块,用于在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
此外,为实现上述目的,本发明还提出一种横向渗透防护设备,所述横向渗透防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的横向渗透防护程序,所述横向渗透防护程序配置有实现如上文所述的横向渗透防护方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有横向渗透防护程序,所述横向渗透防护程序被处理器执行时实现如上文所述的横向渗透防护方法的步骤。
本发明中,通过在监测到渗透攻击时,识别所述渗透攻击的攻击类型;根据所述攻击类型确定攻击信息;根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。通过上述方式,根据捕获到的攻击信息及预设引擎判定策略判断攻击信息是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的横向渗透防护设备的结构示意图;
图2为本发明横向渗透防护方法第一实施例的流程示意图;
图3为本发明横向渗透防护方法第二实施例的流程示意图;
图4为本发明横向渗透防护方法第三实施例的流程示意图;
图5为本发明横向渗透防护方法第四实施例的流程示意图;
图6为本发明横向渗透防护方法第五实施例的流程示意图;
图7为本发明横向渗透防护方法第六实施例的流程示意图;
图8为本发明横向渗透防护方法第七实施例的流程示意图;
图9为本发明横向渗透防护方法第八实施例的流程示意图;
图10为本发明横向渗透防护方法第九实施例的流程示意图;
图11为本发明横向渗透防护装置第一实施例及第二实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的横向渗透防护设备结构示意图。
如图1所示,该横向渗透防护设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的存储器(Non-volatileMemory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对横向渗透防护设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及横向渗透防护程序。
在图1所示的横向渗透防护设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述横向渗透防护设备通过处理器1001调用存储器1005中存储的横向渗透防护程序,并执行本发明实施例提供的横向渗透防护方法。
基于上述硬件结构,提出本发明横向渗透防护方法的实施例。
参照图2,图2为本发明横向渗透防护方法第一实施例的流程示意图,提出本发明横向渗透防护方法第一实施例。
在第一实施例中,所述横向渗透防护方法包括以下步骤:
步骤S10:在监测到渗透攻击时,识别所述渗透攻击的攻击类型;
需要说明的是,本实施例的执行主体是所述横向渗透防护设备,所述横向渗透防护设备可以是个人计算机或服务器等电子设备,本实施例对此不加以限制。在监测到渗透攻击时,可采用多种方式识别所述渗透攻击的攻击类型,下面以四种方式为例来进行说明,当然,还可以采用至少两种方式来组合实现。此外,识别所述渗透攻击的攻击类型的方式还可以为根据实际情况需要采取其他方式,本实施例对此不加以限制。
易于理解的是,攻击者在进入内网后,在内网环境中搜寻存在漏洞(弱口令,权限配置不当,凭据窃取等)的目标机器或是能够通过远程访问(一般机器默认开启),当能够访问到目标机器时,攻击者会使用各种手段进一步的渗透控制目标机器。目前最常见的是通过远程服务方式、远程计划任务方式、远程WMI方式以及远程COM方式等进行横向渗透。
具体地,在监测到渗透攻击时,可以通过预设HOOK引擎识别所述渗透攻击的攻击类型,所述预设HOOK引擎可以调用进程函数来识别所述渗透攻击的攻击类型,所述进程函数可以包括服务进程函数、操作进程函数、操作接口进程函数以及桌面进程函数;第一种方式为:在监测到渗透攻击时,通过预设HOOK引擎调用服务进程函数,以识别所述渗透攻击的攻击类型为远程服务方式。第二种方式为:在监测到渗透攻击时,通过预设HOOK引擎调用操作进程函数,以识别所述渗透攻击的攻击类型为远程计划任务方式。第三种方式为:在监测到渗透攻击时,通过预设HOOK引擎调用操作接口进程函数,以识别所述渗透攻击的攻击类型为远程WMI方式。第四种方式为:在监测到渗透攻击时,通过预设HOOK引擎调用桌面进程函数,以识别所述渗透攻击的攻击类型为远程COM方式。
步骤S20:根据所述攻击类型确定攻击信息;
易于理解的是,所述根据所述攻击类型确定攻击信息的步骤,可以包括:根据所述攻击类型确定攻击来源IP;通过预设映射关系获取所述攻击来源IP对应的攻击指令;根据所述攻击类型、所述攻击来源IP以及所述攻击指令确定攻击信息。
需要说明的是,例如,在监测到渗透攻击时,通过预设HOOK引擎调用服务进程函数,以识别所述渗透攻击的攻击类型为远程服务方式,根据远程服务方式的渗透攻击确定攻击来源IP;通过预设映射关系获取所述攻击来源IP对应的攻击指令;根据所述攻击类型、所述攻击来源IP以及所述攻击指令确定攻击信息。
具体地,获取远程服务方式对应的渗透攻击的网络数据包,根据网络数据包中的网络协议的格式进行逐层解析,提取数据包内容;对数据包内容进行关联分析和数据包重组,还原应用层数据包内容,从而获取攻击主机的网络地址;获取攻击主机的网络地址可以包括MAC地址和IP地址,将攻击主机的网络地址作为攻击来源IP。
具体地,通过预设映射关系获取所述攻击来源IP对应的攻击指令,在本实施例步骤S10之前,需要建立预设映射关系,预设映射关系为事先根据逆向分析获得的攻击来源IP和攻击指令的对应关系,并将攻击来源IP和攻击指令的对应关系存储为预设映射关系。对攻击来源IP的逆向分析过程可以为:对攻击来源IP的结构、流程、算法、代码进行逆向拆解和分析,导出攻击来源IP的源代码、设计原理、结构、算法、处理过程、运行方法及文档,获取程序构架、通信协议和命令格式,生成监控配置文件,根据监控配置文件获取攻击指令。
步骤S30:根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击。
需要说明的是,根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击。可采用多种预设引擎判定策略判断所述攻击信息是否为横向渗透攻击,下面以三种方式为例来进行说明,当然,还可以采用至少两种方式来组合实现。此外,预设引擎判定策略还可以为根据实际情况需要采取其他策略,本实施例对此不加以限制。
具体地,第一种方式:根据预设横向渗透引擎判定策略判断所述攻击信息是否为横向渗透攻击:根据预设横向渗透引擎判定策略从所述攻击信息中提取攻击事件数据包;通过聚类算法对所述攻击事件数据包进行处理,获得攻击模式信息;根据所述攻击模式信息判断所述攻击信息是否为横向渗透攻击。
第二种方式:结合预设横向渗透引擎判定策略以及预设HIPS引擎判定策略判断所述攻击信息是否为横向渗透攻击:根据预设横向渗透引擎判定策略从所述攻击信息中提取攻击事件数据包;通过聚类算法对所述攻击事件数据包进行处理,获得攻击模式信息;根据时间序列分析所述攻击模式信息,获得还原攻击场景信息;根据所述还原攻击场景信息以及所述攻击信息构建目标攻击链;根据预设HIPS引擎判定策略获取主机入侵防御系统;根据所述攻击模式信息和所述目标攻击链通过主机入侵防御系统判断所述攻击信息是否为横向渗透攻击。其中,主机入侵防御系统可以识别远程注册表方式的渗透攻击类型以及远程系统工具调用的渗透攻击类型。
第三种方式:结合预设横向渗透引擎判定策略以及预设云规则引擎判定策略判断所述攻击信息是否为横向渗透攻击:根据预设横向渗透引擎判定策略从所述攻击信息中提取攻击事件数据包;通过聚类算法对所述攻击事件数据包进行处理,获得攻击模式信息;根据预设云规则引擎判定策略获取云规则;根据云规则对所述攻击模式信息进行数据分析,获得云端分析信息;根据所述攻击模式信息以及云端分析信息判断所述攻击信息是否为横向渗透攻击。
步骤S40:在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
易于理解的是,所述在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击的步骤,可以包括:在所述攻击信息为横向渗透攻击时,判断所述横向渗透攻击是否为目标横向渗透攻击;在所述横向渗透攻击为所述目标横向渗透攻击时,根据预设攻击阻断方式阻断所述目标横向渗透攻击;在所述横向渗透攻击不为所述目标横向渗透攻击时,根据主机入侵防御系统阻断所述横向渗透攻击。
具体地,所述目标横向渗透攻击可以包括:远程服务方式、远程计划任务方式、远程WMI方式以及远程COM方式;所述预设攻击阻断方式可以包括:将所述横向渗透攻击的攻击来源IP加入黑名单、结束所述横向渗透攻击的恶意进程、关闭所述横向渗透攻击的被入侵端口中的至少一种。在所述横向渗透攻击不为所述目标横向渗透攻击时,所述横向渗透攻击可以为远程注册表方式以及远程系统工具调用方式,根据主机入侵防御系统阻断远程注册表方式以及远程系统工具调用方式。
需要说明的是,所述在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击的步骤之后,还可以包括:根据所述横向渗透攻击生成攻击日志文件;对所述攻击日志文件进行分析,以生成分析报告;将所述分析报告进行显示。所述在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击的步骤之后,还可以包括:通过弹窗提示用户主机遭受横向渗透攻击。
本实施例中,在监测到渗透攻击时,识别所述渗透攻击的攻击类型;根据所述攻击类型确定攻击信息;根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。通过上述方式,根据捕获到的攻击信息及预设引擎判定策略判断攻击信息是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
参照图3,图3为本发明横向渗透防护方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明横向渗透防护方法的第二实施例。
在第二实施例中,所述步骤S10,包括:
步骤S11:在监测到渗透攻击时,调用服务进程函数,以识别所述渗透攻击的攻击类型。
需要说明的是,攻击者在进入内网后,在内网环境中搜寻存在漏洞(弱口令,权限配置不当,凭据窃取等)的目标机器,当能够访问到目标机器时,攻击者会使用各种手段进一步的渗透控制目标机器。目前最常见的是可以通过远程服务方式进行横向渗透。
具体地,在监测到渗透攻击时,可以通过预设HOOK引擎识别所述渗透攻击的攻击类型,所述预设HOOK引擎可以调用进程函数来识别所述渗透攻击的攻击类型,所述进程函数可以包括服务进程函数;所述服务进程函数可以为RCreateServiceW、RCreateServiceWOW64W、RChangeServiceConfigW、RChangeServiceConfig2W、RDeleteServiceW以及RStartServiceW。
本实施例通过在监测到渗透攻击时,调用服务进程函数,以识别所述渗透攻击的攻击类型。通过上述方式,调用服务进程函数识别所述渗透攻击的攻击类型,用于判断所述渗透攻击是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
参照图4,图4为本发明横向渗透防护方法第三实施例的流程示意图,基于上述图3所示的第二实施例,提出本发明横向渗透防护方法的第三实施例。
在第三实施例中,所述步骤S11,具体包括:
步骤S110:在监测到渗透攻击时,修改系统调用表中的指针地址,以使所述指针地址指向服务进程函数。
需要说明的是,在监测到渗透攻击时,可以调用相关函数发起系统调用请求,此时系统函数可以执行int 0x80软中断指令,该软中断指令的执行会让系统跳转到一个预设的内核控件地址,从而使程序进入操作系统内核状态,修改系统调用表中的指针地址,使其指向本实施例自定义的服务进程函数,所述服务进程函数可以为RCreateServiceW、RCreateServiceWOW64W、RChangeServiceConfigW、RChangeServiceConfig2W、RDeleteServiceW以及RStartServiceW。其中,可以针对这些服务进程函数的调用进行hook。例如修改sys_call_table[__NR_open],使其指向RCreateServiceW函数。
步骤S111:通过所述指针地址调用所述服务进程函数,通过所述服务进程函数确定所述渗透攻击对应的服务进程信息。
易于理解的是,通过所述指针地址调用所述服务进程函数,所述服务进程函数可以为RCreateServiceW、RCreateServiceWOW64W、RChangeServiceConfigW、RChangeServiceConfig2W、RDeleteServiceW以及RStartServiceW。通过所述服务进程函数确定所述渗透攻击对应的服务进程信息。
具体地,例如修改sys_call_table[__NR_open],使其指向RCreateServiceW函数。可以根据sys_call_table[__NR_open]查找指定函数,此时系统会先调用本实施例自定义的服务进程函数RCreateServiceW,通过该服务进程函数RCreateServiceW会记录应用程序的进程id、读取文件类型等信息,从而记录渗透攻击的攻击行为信息,记录完毕之后根据攻击行为信息生成所述渗透攻击对应的服务进程信息。
步骤S112:根据所述服务进程信息识别所述渗透攻击的攻击类型。
需要说明的是,根据所述服务进程信息可以识别所述渗透攻击的攻击类型的大类为通过远程服务方式进行横向渗透,进一步地,还需要根据所述攻击类型确定攻击来源IP;通过预设映射关系获取所述攻击来源IP对应的攻击指令;根据所述攻击类型、所述攻击来源IP以及所述攻击指令确定攻击信息。根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
本实施例通过在监测到渗透攻击时,修改系统调用表中的指针地址,以使所述指针地址指向服务进程函数;通过所述指针地址调用所述服务进程函数,通过所述服务进程函数确定所述渗透攻击对应的服务进程信息;根据所述服务进程信息识别所述渗透攻击的攻击类型。通过上述方式,调用服务进程函数识别所述渗透攻击的攻击类型,用于判断所述渗透攻击是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
参照图5,图5为本发明横向渗透防护方法第四实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明横向渗透防护方法的第四实施例。本实施例基于第一实施例进行说明。
在第四实施例中,所述步骤S10,包括:
步骤S12:在监测到渗透攻击时,调用操作进程函数,以识别所述渗透攻击的攻击类型。
需要说明的是,攻击者在进入内网后,在内网环境中搜寻存在漏洞(弱口令,权限配置不当,凭据窃取等)的目标机器,当能够访问到目标机器时,攻击者会使用各种手段进一步的渗透控制目标机器。目前最常见的是可以通过远程计划任务方式进行横向渗透。
具体地,在监测到渗透攻击时,可以通过预设HOOK引擎识别所述渗透攻击的攻击类型,所述预设HOOK引擎可以调用进程函数来识别所述渗透攻击的攻击类型,所述进程函数可以包括操作进程函数,所述操作进程函数可以为SchRpcRegisterTask。
在本实施例中,在监测到渗透攻击时,调用操作进程函数,以识别所述渗透攻击的攻击类型。通过上述方式,调用操作进程函数识别所述渗透攻击的攻击类型,用于判断所述渗透攻击是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
参照图6,图6为本发明横向渗透防护方法第五实施例的流程示意图,基于上述图5所示的第四实施例,提出本发明横向渗透防护方法的第五实施例。本实施例基于第四实施例进行说明。
在第五实施例中,所述步骤S12,具体包括:
步骤S120:在监测到渗透攻击时,调用操作进程函数,并通过所述操作进程函数设置注册HOOK点。
需要说明的是,windows主机启动时,随内核模块启动对渗透攻击的监测,可以通过进程HOOK监视器对操作进程进行HOOK监视。在监测到渗透攻击时,调用操作进程函数,所述操作进程函数可以为SchRpcRegisterTask,并通过所述操作进程函数设置注册HOOK点,例如通过SchRpcRegisterTask函数设置注册HOOK点。
步骤S121:通过所述注册HOOK点监测所述渗透攻击的操作进程创建。
易于理解的是,当监测到所述渗透攻击的操作进程创建时,触发注册HOOK点,可以通过所述注册HOOK点监测所述渗透攻击的操作进程创建。
步骤S122:当监测到所述渗透攻击的操作进程创建时,通过所述注册HOOK点确定所述渗透攻击对应的操作进程信息。
需要说明的是,当监测到所述渗透攻击的操作进程创建时,触发注册HOOK点,获取所述渗透攻击的进程行为特征信息,可以调用预先存储的匹配特征模块跟进程行为特征信息进行匹配,监测并发现基于命令执行的攻击行为信息,存储所述渗透攻击对应的攻击行为信息,将该攻击行为信息作为操作进程信息。
步骤S123:根据所述操作进程信息识别所述渗透攻击的攻击类型。
易于理解的是,根据所述操作进程信息可以识别所述渗透攻击的攻击类型的大类为通过远程计划任务方式进行横向渗透,进一步地,还需要根据所述攻击类型确定攻击来源IP;通过预设映射关系获取所述攻击来源IP对应的攻击指令;根据所述攻击类型、所述攻击来源IP以及所述攻击指令确定攻击信息。根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
需要说明的是,还可以通过文件HOOK对操作进程进行HOOK监视。文件HOOK可以对read()、write()函数进行注册HOOK点,当在主机上有文件读取、修改文件行为时触发注册HOOK点,获取所述渗透攻击的进程行为特征信息,可以调用预先存储的匹配特征模块跟进程行为特征信息进行匹配,监测并发现执行命令、非法登录的攻击行为信息,存储所述渗透攻击对应的攻击行为信息,将该攻击行为信息作为操作进程信息,根据所述操作进程信息识别所述渗透攻击的攻击类型。
在本实施例中,在监测到渗透攻击时,调用操作进程函数,并通过所述操作进程函数设置注册HOOK点;通过所述注册HOOK点监测所述渗透攻击的操作进程创建;当监测到所述渗透攻击的操作进程创建时,通过所述注册HOOK点确定所述渗透攻击对应的操作进程信息;根据所述操作进程信息识别所述渗透攻击的攻击类型。通过上述方式,调用操作进程函数识别所述渗透攻击的攻击类型,用于判断所述渗透攻击是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
参照图7,图7为本发明横向渗透防护方法第六实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明横向渗透防护方法的第六实施例。本实施例基于第一实施例进行说明。
在第六实施例中,所述步骤S10,包括:
步骤S13:在监测到渗透攻击时,调用操作接口进程函数,以识别所述渗透攻击的攻击类型。
需要说明的是,攻击者在进入内网后,在内网环境中搜寻存在漏洞(弱口令,权限配置不当,凭据窃取等)的目标机器,当能够访问到目标机器时,攻击者会使用各种手段进一步的渗透控制目标机器。目前最常见的是可以通过远程WMI方式进行横向渗透。
具体地,在监测到渗透攻击时,可以通过预设HOOK引擎识别所述渗透攻击的攻击类型,所述预设HOOK引擎可以调用进程函数来识别所述渗透攻击的攻击类型,所述进程函数可以包括操作接口进程函数,所述操作接口进程函数可以为IWbemServices接口函数。
在本实施例中,在监测到渗透攻击时,调用操作接口进程函数,以识别所述渗透攻击的攻击类型。通过上述方式,调用操作接口进程函数识别所述渗透攻击的攻击类型,用于判断所述渗透攻击是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
参照图8,图8为本发明横向渗透防护方法第七实施例的流程示意图,基于上述图7所示的第六实施例,提出本发明横向渗透防护方法的第七实施例。本实施例基于第六实施例进行说明。
在第七实施例中,所述步骤S13,包括:
步骤S130:在监测到渗透攻击时,获取所述渗透攻击对应的接口输出参数。
需要说明的是,还可以通过网络HOOK对操作进程进行HOOK监视。网络HOOK可以在NF_IP_LOCAL_IN和NF_INET_LOCAL_IN注册HOOK点,当网络连接到主机时触发注册HOOK点,监测到渗透攻击,获取所述渗透攻击对应的接口输出参数。
步骤S131:调用操作接口进程函数,通过所述操作接口进程函数从所述接口输出参数中提取接口进程信息。
易于理解的是,调用操作接口进程函数,所述操作接口进程函数可以为IWbemServices接口函数。通过所述操作接口进程函数从所述接口输出参数中提取接口进程信息。获取所述渗透攻击的接口输出参数,可以调用所述操作接口进程函数对接口输出参数进行HOOK,监测并发现基于各网络协议的未授权访问和特定网络协议的异常访问数据的攻击行为信息,存储所述渗透攻击对应的攻击行为信息,将该攻击行为信息作为接口进程信息。
步骤S132:根据所述接口进程信息识别所述渗透攻击的攻击类型。
需要说明的是,根据所述接口进程信息可以识别所述渗透攻击的攻击类型的大类为通过远程WMI方式进行横向渗透,进一步地,还需要根据所述攻击类型确定攻击来源IP;通过预设映射关系获取所述攻击来源IP对应的攻击指令;根据所述攻击类型、所述攻击来源IP以及所述攻击指令确定攻击信息。根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
在本实施例中,在监测到渗透攻击时,获取所述渗透攻击对应的接口输出参数;调用操作接口进程函数,通过所述操作接口进程函数从所述接口输出参数中提取接口进程信息;根据所述接口进程信息识别所述渗透攻击的攻击类型。通过上述方式,调用操作接口进程函数识别所述渗透攻击的攻击类型,用于判断所述渗透攻击是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
参照图9,图9为本发明横向渗透防护方法第八实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明横向渗透防护方法的第八实施例。本实施例基于第一实施例进行说明。
在第八实施例中,所述步骤S10,包括:
步骤S14:在监测到渗透攻击时,调用桌面进程函数,以识别所述渗透攻击的攻击类型。
需要说明的是,攻击者在进入内网后,在内网环境中搜寻存在漏洞(弱口令,权限配置不当,凭据窃取等)的目标机器,当能够访问到目标机器时,攻击者会使用各种手段进一步的渗透控制目标机器。目前最常见的是可以通过远程COM方式进行横向渗透。
具体地,在监测到渗透攻击时,可以通过预设HOOK引擎识别所述渗透攻击的攻击类型,所述预设HOOK引擎可以调用进程函数来识别所述渗透攻击的攻击类型,所述进程函数可以包括桌面进程函数,所述桌面进程函数可以为shell32!ShellExecuteExW以及CreateProcessInternalW。
本实施例中,在监测到渗透攻击时,调用桌面进程函数,以识别所述渗透攻击的攻击类型。通过上述方式,调用桌面进程函数识别所述渗透攻击的攻击类型,用于判断所述渗透攻击是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
参照图10,图10为本发明横向渗透防护方法第九实施例的流程示意图,基于上述图9所示的第八实施例,提出本发明横向渗透防护方法的第九实施例。本实施例基于第八实施例进行说明。
在第九实施例中,所述步骤S14,包括:
步骤S140:在监测到渗透攻击时,获取所述渗透攻击对应的的远程桌面控制行为函数。
需要说明的是,在监测到渗透攻击时,基于远程桌面控制的工作原理,HOOK相关的远程桌面控制行为函数,根据远程桌面控制行为函数判断当前设备是否存在远程桌面控制行为。
步骤S141:调用桌面进程函数,根据所述桌面进程函数对所述远程桌面控制行为函数进行HOOK,以获得所述远程桌面控制行为函数的操作函数和通信函数。
易于理解的是,调用桌面进程函数,所述桌面进程函数可以为shell32!ShellExecuteExW以及CreateProcessInternalW,根据所述桌面进程函数对所述远程桌面控制行为函数进行HOOK,以获得所述远程桌面控制行为函数的操作函数和通信函数。
步骤S142:根据所述操作函数和所述通信函数识别所述渗透攻击的攻击类型。
需要说明的是,通过调用桌面进程函数HOOK到远程桌面控制行为函数,获得所述远程桌面控制行为函数的操作函数和通信函数,判断上述操作函数和通信函数是否调用,即可确定是否发生相应的操作,例如,判断是否调用了SendInput、keybd_event、mouse_event函数,若是,则确定发生了软键盘、软鼠标的消息发送操作;或如,判断是否调用了CreateCompatibleBitmap函数,若是,则确定发生了屏幕抓取操作;又如,判断是否调用了Send和Recv函数,若是,则确定发生了网络通信行为,可以根据所述操作函数和所述通信函数识别所述渗透攻击的攻击类型。
易于理解的是,可以根据所述操作函数和所述通信函数识别所述渗透攻击的攻击类型的大类为通过远程COM方式进行横向渗透,进一步地,还需要根据所述攻击类型确定攻击来源IP;通过预设映射关系获取所述攻击来源IP对应的攻击指令;根据所述攻击类型、所述攻击来源IP以及所述攻击指令确定攻击信息。根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
本实施例中,在监测到渗透攻击时,获取所述渗透攻击对应的的远程桌面控制行为函数;调用桌面进程函数,根据所述桌面进程函数对所述远程桌面控制行为函数进行HOOK,以获得所述远程桌面控制行为函数的操作函数和通信函数;根据所述操作函数和所述通信函数识别所述渗透攻击的攻击类型。通过上述方式,调用桌面进程函数识别所述渗透攻击的攻击类型,用于判断所述渗透攻击是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有横向渗透防护程序,所述横向渗透防护程序被处理器执行时实现如上文所述的横向渗透防护方法的步骤。
由于本存储介质采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
此外,参照图11,本发明实施例还提出一种横向渗透防护装置,所述横向渗透防护装置包括:
识别模块10,用于在监测到渗透攻击时,识别所述渗透攻击的攻击类型。
确定模块20,用于根据所述攻击类型确定攻击信息。
判断模块30,用于根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击。
执行模块40,用于在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
本实施例提出一种横向渗透防护装置,所述横向渗透防护装置包括识别模块10,用于在监测到渗透攻击时,识别所述渗透攻击的攻击类型;确定模块20,用于根据所述攻击类型确定攻击信息;判断模块30,用于根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;执行模块40,用于在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。通过上述方式,根据捕获到的攻击信息及预设引擎判定策略判断攻击信息是否为横向渗透攻击,在确定为横向渗透攻击时,阻断所述横向渗透攻击,从而实现对横向渗透攻击的实时监控,阻止横向渗透攻击扩散,提高对网络安全的监控,解决了现有技术中传统的网络攻击检测方法无法监控横向渗透攻击,网络安全监控存在死角的技术问题。
本发明所述横向渗透防护装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为标识。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
本发明公开了A1、一种横向渗透防护方法,所述横向渗透防护方法包括以下步骤:
在监测到渗透攻击时,识别所述渗透攻击的攻击类型;
根据所述攻击类型确定攻击信息;
根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;
在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
A2、如A1所述的横向渗透防护方法,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用服务进程函数,以识别所述渗透攻击的攻击类型。
A3、如A2所述的横向渗透防护方法,所述在监测到渗透攻击时,调用服务进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,修改系统调用表中的指针地址,以使所述指针地址指向服务进程函数;
通过所述指针地址调用所述服务进程函数,通过所述服务进程函数确定所述渗透攻击对应的服务进程信息;
根据所述服务进程信息识别所述渗透攻击的攻击类型。
A4、如A1所述的横向渗透防护方法,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用操作进程函数,以识别所述渗透攻击的攻击类型。
A5、如A4所述的横向渗透防护方法,所述在监测到渗透攻击时,调用操作进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用操作进程函数,并通过所述操作进程函数设置注册HOOK点;
通过所述注册HOOK点监测所述渗透攻击的操作进程创建;
当监测到所述渗透攻击的操作进程创建时,通过所述注册HOOK点确定所述渗透攻击对应的操作进程信息;
根据所述操作进程信息识别所述渗透攻击的攻击类型。
A6、如A1所述的横向渗透防护方法,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用操作接口进程函数,以识别所述渗透攻击的攻击类型。
A7、如A6所述的横向渗透防护方法,所述在监测到渗透攻击时,调用操作接口进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,获取所述渗透攻击对应的接口输出参数;
调用操作接口进程函数,通过所述操作接口进程函数从所述接口输出参数中提取接口进程信息;
根据所述接口进程信息识别所述渗透攻击的攻击类型。
A8、如A1所述的横向渗透防护方法,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用桌面进程函数,以识别所述渗透攻击的攻击类型。
A9、如A8所述的横向渗透防护方法,所述在监测到渗透攻击时,调用桌面进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,获取所述渗透攻击对应的的远程桌面控制行为函数;
调用桌面进程函数,根据所述桌面进程函数对所述远程桌面控制行为函数进行HOOK,以获得所述远程桌面控制行为函数的操作函数和通信函数;
根据所述操作函数和所述通信函数识别所述渗透攻击的攻击类型。
A10、如A1~A9中任一项所述的横向渗透防护方法,所述根据所述攻击类型确定攻击信息的步骤,具体包括:
根据所述攻击类型确定攻击来源IP;
通过预设映射关系获取所述攻击来源IP对应的攻击指令;
根据所述攻击类型、所述攻击来源IP以及所述攻击指令确定攻击信息。
A11、如A10所述的横向渗透防护方法,所述根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击的步骤,具体包括:
根据预设引擎判定策略从所述攻击信息中提取攻击事件数据包;
通过聚类算法对所述攻击事件数据包进行处理,获得攻击模式信息;
根据所述攻击模式信息判断所述攻击信息是否为横向渗透攻击。
A12、如A10所述的横向渗透防护方法,所述根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击的步骤,具体包括:
根据预设引擎判定策略从所述攻击信息中提取攻击事件数据包;
通过聚类算法对所述攻击事件数据包进行处理,获得攻击模式信息;
根据时间序列分析所述攻击模式信息,获得还原攻击场景信息;
根据所述还原攻击场景信息以及所述攻击信息构建目标攻击链;
根据所述攻击模式信息和所述目标攻击链通过主机入侵防御系统判断所述攻击信息是否为横向渗透攻击。
A13、如A10所述的横向渗透防护方法,所述根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击的步骤,具体包括:
根据预设引擎判定策略从所述攻击信息中提取攻击事件数据包;
通过聚类算法对所述攻击事件数据包进行处理,获得攻击模式信息;
根据云规则对所述攻击模式信息进行数据分析,获得云端分析信息;
根据所述攻击模式信息以及云端分析信息判断所述攻击信息是否为横向渗透攻击。
A14、如A1~A13中任一项所述的横向渗透防护方法,所述在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击的步骤,具体包括:
在所述攻击信息为横向渗透攻击时,判断所述横向渗透攻击是否为目标横向渗透攻击;
在所述横向渗透攻击为所述目标横向渗透攻击时,根据预设攻击阻断方式阻断所述目标横向渗透攻击;
在所述横向渗透攻击不为所述目标横向渗透攻击时,根据主机入侵防御系统阻断所述横向渗透攻击。
A15、如A1~A13中任一项所述的横向渗透防护方法,所述在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击的步骤之后,还包括:
根据所述横向渗透攻击生成攻击日志文件;
对所述攻击日志文件进行分析,以生成分析报告;
将所述分析报告进行显示。
本发明还公开了B16、一种横向渗透防护装置,所述横向渗透防护装置包括:
识别模块,用于在监测到渗透攻击时,识别所述渗透攻击的攻击类型;
确定模块,用于根据所述攻击类型确定攻击信息;
判断模块,用于根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;
执行模块,用于在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
B17、如B16所述的横向渗透防护装置,所述识别模块,还用于在监测到渗透攻击时,调用服务进程函数,以识别所述渗透攻击的攻击类型。
B18、如B17所述的横向渗透防护装置,所述识别模块,还用于在监测到渗透攻击时,修改系统调用表中的指针地址,以使所述指针地址指向服务进程函数;
所述识别模块,还用于通过所述指针地址调用所述服务进程函数,通过所述服务进程函数确定所述渗透攻击对应的服务进程信息;
所述识别模块,还用于根据所述服务进程信息识别所述渗透攻击的攻击类型。
C19、一种横向渗透防护设备,所述横向渗透防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的横向渗透防护程序,所述横向渗透防护程序配置有实现如上文所述的横向渗透防护方法的步骤。
D20、一种存储介质,所述存储介质上存储有横向渗透防护程序,所述横向渗透防护程序被处理器执行时实现如上文所述的横向渗透防护方法的步骤。

Claims (10)

1.一种横向渗透防护方法,其特征在于,所述横向渗透防护方法包括以下步骤:
在监测到渗透攻击时,识别所述渗透攻击的攻击类型;
根据所述攻击类型确定攻击信息;
根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;
在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
2.如权利要求1所述的横向渗透防护方法,其特征在于,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用服务进程函数,以识别所述渗透攻击的攻击类型。
3.如权利要求2所述的横向渗透防护方法,其特征在于,所述在监测到渗透攻击时,调用服务进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,修改系统调用表中的指针地址,以使所述指针地址指向服务进程函数;
通过所述指针地址调用所述服务进程函数,通过所述服务进程函数确定所述渗透攻击对应的服务进程信息;
根据所述服务进程信息识别所述渗透攻击的攻击类型。
4.如权利要求1所述的横向渗透防护方法,其特征在于,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用操作进程函数,以识别所述渗透攻击的攻击类型。
5.如权利要求4所述的横向渗透防护方法,其特征在于,所述在监测到渗透攻击时,调用操作进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用操作进程函数,并通过所述操作进程函数设置注册HOOK点;
通过所述注册HOOK点监测所述渗透攻击的操作进程创建;
当监测到所述渗透攻击的操作进程创建时,通过所述注册HOOK点确定所述渗透攻击对应的操作进程信息;
根据所述操作进程信息识别所述渗透攻击的攻击类型。
6.如权利要求1所述的横向渗透防护方法,其特征在于,所述在监测到渗透攻击时,识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,调用操作接口进程函数,以识别所述渗透攻击的攻击类型。
7.如权利要求6所述的横向渗透防护方法,其特征在于,所述在监测到渗透攻击时,调用操作接口进程函数,以识别所述渗透攻击的攻击类型的步骤,具体包括:
在监测到渗透攻击时,获取所述渗透攻击对应的接口输出参数;
调用操作接口进程函数,通过所述操作接口进程函数从所述接口输出参数中提取接口进程信息;
根据所述接口进程信息识别所述渗透攻击的攻击类型。
8.一种横向渗透防护装置,其特征在于,所述横向渗透防护装置包括:
识别模块,用于在监测到渗透攻击时,识别所述渗透攻击的攻击类型;
确定模块,用于根据所述攻击类型确定攻击信息;
判断模块,用于根据预设引擎判定策略判断所述攻击信息是否为横向渗透攻击;
执行模块,用于在所述攻击信息为横向渗透攻击时,阻断所述横向渗透攻击。
9.一种横向渗透防护设备,其特征在于,所述横向渗透防护设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的横向渗透防护程序,所述横向渗透防护程序配置有实现如权利要求1至7中任一项所述的横向渗透防护方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有横向渗透防护程序,所述横向渗透防护程序被处理器执行时实现如权利要求1至7中任一项所述的横向渗透防护方法的步骤。
CN202011176011.7A 2020-10-28 2020-10-28 横向渗透防护方法、装置、设备及存储介质 Active CN112351017B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202011176011.7A CN112351017B (zh) 2020-10-28 2020-10-28 横向渗透防护方法、装置、设备及存储介质
PCT/CN2021/090702 WO2022088633A1 (zh) 2020-10-28 2021-04-28 横向渗透防护方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011176011.7A CN112351017B (zh) 2020-10-28 2020-10-28 横向渗透防护方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN112351017A true CN112351017A (zh) 2021-02-09
CN112351017B CN112351017B (zh) 2022-08-26

Family

ID=74355645

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011176011.7A Active CN112351017B (zh) 2020-10-28 2020-10-28 横向渗透防护方法、装置、设备及存储介质

Country Status (2)

Country Link
CN (1) CN112351017B (zh)
WO (1) WO2022088633A1 (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363006A (zh) * 2021-12-10 2022-04-15 奇安信科技集团股份有限公司 基于WinRM服务的防护方法及装置
WO2022088633A1 (zh) * 2020-10-28 2022-05-05 北京奇虎科技有限公司 横向渗透防护方法、装置、设备及存储介质
CN114465753A (zh) * 2021-12-10 2022-05-10 奇安信科技集团股份有限公司 远程操作行为识别方法、装置、电子设备及存储介质
CN114466074A (zh) * 2021-12-10 2022-05-10 奇安信科技集团股份有限公司 一种基于wmi的攻击行为检测方法及装置
CN114499928A (zh) * 2021-12-13 2022-05-13 奇安信科技集团股份有限公司 远程注册表监测方法及装置
CN114499929A (zh) * 2021-12-13 2022-05-13 奇安信科技集团股份有限公司 计划任务内网远程横向渗透监测方法及装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080256638A1 (en) * 2007-04-12 2008-10-16 Core Sdi, Inc. System and method for providing network penetration testing
CN103986706A (zh) * 2014-05-14 2014-08-13 浪潮电子信息产业股份有限公司 一种应对apt攻击的安全架构设计方法
US20170171229A1 (en) * 2015-12-09 2017-06-15 Checkpoint Software Technologies Ltd. System and method for determining summary events of an attack
CN108471429A (zh) * 2018-06-29 2018-08-31 北京奇虎科技有限公司 一种网络攻击告警方法及系统
CN111147513A (zh) * 2019-12-31 2020-05-12 广州锦行网络科技有限公司 基于攻击行为分析的蜜网内横向移动攻击路径确定方法
CN111314328A (zh) * 2020-02-03 2020-06-19 北京字节跳动网络技术有限公司 网络攻击防护方法、装置、存储介质及电子设备
CN111565205A (zh) * 2020-07-16 2020-08-21 腾讯科技(深圳)有限公司 网络攻击识别方法、装置、计算机设备和存储介质
CN111651754A (zh) * 2020-04-13 2020-09-11 北京奇艺世纪科技有限公司 入侵的检测方法和装置、存储介质、电子装置
CN111756759A (zh) * 2020-06-28 2020-10-09 杭州安恒信息技术股份有限公司 一种网络攻击溯源方法、装置及设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11431734B2 (en) * 2019-04-18 2022-08-30 Kyndryl, Inc. Adaptive rule generation for security event correlation
CN111581643B (zh) * 2020-05-07 2024-02-02 中国工商银行股份有限公司 渗透攻击评价方法和装置、以及电子设备和可读存储介质
CN112351017B (zh) * 2020-10-28 2022-08-26 北京奇虎科技有限公司 横向渗透防护方法、装置、设备及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080256638A1 (en) * 2007-04-12 2008-10-16 Core Sdi, Inc. System and method for providing network penetration testing
CN103986706A (zh) * 2014-05-14 2014-08-13 浪潮电子信息产业股份有限公司 一种应对apt攻击的安全架构设计方法
US20170171229A1 (en) * 2015-12-09 2017-06-15 Checkpoint Software Technologies Ltd. System and method for determining summary events of an attack
CN108471429A (zh) * 2018-06-29 2018-08-31 北京奇虎科技有限公司 一种网络攻击告警方法及系统
CN111147513A (zh) * 2019-12-31 2020-05-12 广州锦行网络科技有限公司 基于攻击行为分析的蜜网内横向移动攻击路径确定方法
CN111314328A (zh) * 2020-02-03 2020-06-19 北京字节跳动网络技术有限公司 网络攻击防护方法、装置、存储介质及电子设备
CN111651754A (zh) * 2020-04-13 2020-09-11 北京奇艺世纪科技有限公司 入侵的检测方法和装置、存储介质、电子装置
CN111756759A (zh) * 2020-06-28 2020-10-09 杭州安恒信息技术股份有限公司 一种网络攻击溯源方法、装置及设备
CN111565205A (zh) * 2020-07-16 2020-08-21 腾讯科技(深圳)有限公司 网络攻击识别方法、装置、计算机设备和存储介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022088633A1 (zh) * 2020-10-28 2022-05-05 北京奇虎科技有限公司 横向渗透防护方法、装置、设备及存储介质
CN114363006A (zh) * 2021-12-10 2022-04-15 奇安信科技集团股份有限公司 基于WinRM服务的防护方法及装置
CN114465753A (zh) * 2021-12-10 2022-05-10 奇安信科技集团股份有限公司 远程操作行为识别方法、装置、电子设备及存储介质
CN114466074A (zh) * 2021-12-10 2022-05-10 奇安信科技集团股份有限公司 一种基于wmi的攻击行为检测方法及装置
CN114466074B (zh) * 2021-12-10 2024-04-30 奇安信科技集团股份有限公司 一种基于wmi的攻击行为检测方法及装置
CN114499928A (zh) * 2021-12-13 2022-05-13 奇安信科技集团股份有限公司 远程注册表监测方法及装置
CN114499929A (zh) * 2021-12-13 2022-05-13 奇安信科技集团股份有限公司 计划任务内网远程横向渗透监测方法及装置

Also Published As

Publication number Publication date
WO2022088633A1 (zh) 2022-05-05
CN112351017B (zh) 2022-08-26

Similar Documents

Publication Publication Date Title
CN112351017B (zh) 横向渗透防护方法、装置、设备及存储介质
CN107659583B (zh) 一种检测事中攻击的方法及系统
CN109067815B (zh) 攻击事件溯源分析方法、系统、用户设备及存储介质
EP3225009B1 (en) Systems and methods for malicious code detection
US6405318B1 (en) Intrusion detection system
US7673137B2 (en) System and method for the managed security control of processes on a computer system
CN110837640B (zh) 恶意文件的查杀方法、查杀设备、存储介质及装置
CN107612924B (zh) 基于无线网络入侵的攻击者定位方法及装置
US20060101128A1 (en) System for preventing keystroke logging software from accessing or identifying keystrokes
CN106778244B (zh) 基于虚拟机的内核漏洞检测进程保护方法及装置
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
US8925081B2 (en) Application based intrusion detection
CN106778242B (zh) 基于虚拟机的内核漏洞检测方法及装置
KR102222377B1 (ko) 위협 대응 자동화 방법
CN107566401B (zh) 虚拟化环境的防护方法及装置
CN113037713B (zh) 网络攻击的对抗方法、装置、设备及存储介质
CN113632432B (zh) 一种攻击行为的判定方法、装置及计算机存储介质
CN112688930A (zh) 暴力破解检测方法、系统、设备及介质
CN114417326A (zh) 异常检测方法、装置、电子设备及存储介质
US20150172310A1 (en) Method and system to identify key logging activities
CN107517226B (zh) 基于无线网络入侵的报警方法及装置
JP4159814B2 (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
KR101614809B1 (ko) 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
CN111314370A (zh) 一种业务漏洞攻击行为的检测方法及装置
CN113079182B (zh) 一种网络安全控制系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant