CN112565300B - 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 - Google Patents
基于行业云黑客攻击识别与封堵方法、系统、装置及介质 Download PDFInfo
- Publication number
- CN112565300B CN112565300B CN202011565925.2A CN202011565925A CN112565300B CN 112565300 B CN112565300 B CN 112565300B CN 202011565925 A CN202011565925 A CN 202011565925A CN 112565300 B CN112565300 B CN 112565300B
- Authority
- CN
- China
- Prior art keywords
- event
- information
- data
- behavior
- effective data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000000903 blocking effect Effects 0.000 title claims abstract description 38
- 230000006399 behavior Effects 0.000 claims abstract description 128
- 238000012545 processing Methods 0.000 claims abstract description 30
- 238000002955 isolation Methods 0.000 claims abstract description 11
- 238000012216 screening Methods 0.000 claims abstract description 7
- 230000002787 reinforcement Effects 0.000 claims description 15
- 238000007405 data analysis Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于行业云黑客攻击识别与封堵方法、系统、装置及存储介质,所述方法包括:采集资源层的关联数据,所述关联数据包括客户资产信息、业务设备信息、安全设备信息和网络设备信息;接收所述关联数据并进行筛选,获取有效数据;根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的事件行为中识别出黑客攻击事件行为,所述威胁情报数据库包括威胁情报IP库和威胁情报事件库;通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑客攻击目标进行业务隔离与断开;本发明可以快速确认黑客攻击行为,快速阻断攻击行为,又可以关联业务,对黑客攻击目标进行业务隔离与断开处理;广泛应用于黑客攻击识别技术领域。
Description
技术领域
本发明涉及黑客攻击识别技术领域,尤其是一种基于行业云黑客攻击识别与封堵方法、 系统、装置及存储介质。
背景技术
由于安全设备架构复杂,技术成本高,系统架构通常由多个厂商不同的设备共同构成防 护,需要具备很专业的安全知识,并经过复杂的配置流程才能对云资源进行防护,而且轻易 不敢修改,众多攻击行为却事后知晓,操作困难,效率低下。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明提出一种基于行业 云黑客攻击识别与封堵方法、系统、装置及存储介质。
本发明所采取的技术方案是:
一方面,本发明实施例包括一种基于行业云黑客攻击识别与封堵方法,包括:
采集资源层的关联数据,所述关联数据包括客户资产信息、业务设备信息、安全设备信 息和网络设备信息;
接收所述关联数据并进行筛选,获取有效数据;
根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的事 件行为中识别出黑客攻击事件行为,所述威胁情报数据库包括威胁情报IP库和威胁情报事件 库;
通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑客攻击目标进行业务隔离与 断开。
进一步地,所述采集资源层的关联数据,具体为:
采集由资源层推送的实时日志数据,所述实时日志数据包括业务资源池日志、安全资源 池日志和网络设备日志;
从所述实时日志数据中获取资源层的关联数据。
进一步地,所述方法还包括:
对所述实时日志数据进行规范化处理,得到安全设备日志和虚机操作系统运行日志,所 述实时日志数据包含若干个设备类型的日志数据;
从所述安全设备日志中提取第一相关字段,所述第一相关字段包括发送时间、事件名称、 源IP、源端口、目标IP、目标端口和风险等级;
从所述虚机操作系统运行日志中提取第二相关字段,所述第二相关字段包括登录事件名 称、登录源IP、登录账号、登录结果、登录时间和登录目标地址。
进一步地,所述根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有 效数据对应的事件行为中识别出黑客攻击事件行为这一步骤,包括以下之一:
检测到所述第一相关字段中的源IP在威胁情报IP库中,将所述第一相关字段对应的事 件行为识别成黑客攻击事件行为;
或者,
检测到所述第二相关字段中的源IP在威胁情报IP库中,将所述第二相关字段对应的事 件行为识别成黑客攻击事件行为;
或者,
检测到所述第一相关字段中事件名称的特征匹配威胁情报事件库的名称特征,将所述第 一相关字段对应的事件行为识别成黑客攻击事件行为;
或者,
检测到所述第二相关字段中事件名称的特征匹配威胁情报事件库的名称特征,将所述第 二相关字段对应的事件行为识别成黑客攻击事件行为。
进一步地,所述方法还包括:
根据所述第一相关字段中的源IP和目标IP,从IP库中查询到IP地域信息,并根据资 源层的客户信息查询到所述IP地域信息对应的第一客户信息和第一业务信息;
根据所述第一客户信息和第一业务信息,发送进行业务安全加固处理的通知;
或者,
根据所述第二相关字段中的登录源IP获取IP地域信息,并根据资源层的客户信息查询 到所述IP地域信息对应的第二客户信息和第二业务信息;
根据所述第二客户信息和第二业务信息,发送进行业务安全加固处理的通知。
进一步地,所述方法还包括:
获取所述有效数据对应的事件信息,所述事件信息包括事件危险等级、事件攻击频率、 事件攻击IP地域;
根据所述事件信息,识别所述有效数据对应的事件行为是否为黑客攻击事件行为。
进一步地,所述方法还包括:
将所述有效数据对应的事件特征加入威胁情报事件库中,将所述有效数据对应的源IP加 入威胁情报IP库中。
另一方面,本发明实施例还包括一种基于行业云黑客攻击识别与封堵系统,包括:
数据采集模块,用于采集资源层的关联数据,所述关联数据包括客户资产信息、业务设 备信息、安全设备信息和网络设备信息;
数据处理模块,用于接收所述关联数据并进行筛选,获取有效数据;
数据分析模块,用于根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所 述有效数据对应的事件行为中识别出黑客攻击事件行为;
数据封堵模块,用于通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑客攻击 目标进行业务隔离与断开。
另一方面,本发明实施例还包括一种基于行业云黑客攻击识别与封堵装置,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现所述的 基于行业云黑客攻击识别与封堵方法。
另一方面,本发明实施例还包括计算机可读存储介质,其上存储有处理器可执行的程序, 所述处理器可执行的程序在被处理器执行时用于实现所述的基于行业云黑客攻击识别与封堵 方法。
本发明的有益效果是:
本发明通过采集资源层的关联数据,对所述关联数据进行筛选,得到有效数据,然后根 据威胁情报数据库,分析所述有效数据对应的事件行为,并识别出黑客攻击事件行为,同时, 在识别出黑客攻击事件行为后,通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑 客攻击目标进行业务隔离与断开,既可以快速识别黑客攻击行为,快速阻断攻击行为,又可 以关联业务,对黑客攻击目标进行业务隔离与断开处理,使得不会对客户的业务系统造成任 何影响。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显, 或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和 容易理解,其中:
图1为本发明实施例所述实现基于行业云黑客攻击识别与封堵方法的架构图;
图2为本发明实施例所述行业云部署的架构图;
图3为本发明实施例所述基于行业云黑客攻击识别与封堵方法的步骤流程图;
图4为本发明实施例所述数据处理分析的流程图;
图5为本发明实施例所述判断为黑客攻击事件行为后的处理流程图;
图6为本发明实施例所述基于行业云黑客攻击识别与封堵装置的结构图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或 类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的 实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,涉及到方位描述,例如上、下、前、后、左、右等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化 描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作, 因此不能理解为对本发明的限制。
在本发明的描述中,若干的含义是一个或者多个,多个的含义是两个以上,大于、小于、 超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到第一、第二 只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的 技术特征的数量或者隐含指明所指示的技术特征的先后关系。
本发明的描述中,除非另有明确的限定,设置、安装、连接等词语应做广义理解,所属 技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
下面结合附图,对本申请实施例作进一步阐述。
参照图1,首先对实现基于行业云黑客攻击识别与封堵方法的架构进行说明,该架构总 体分为四层,分别是资源层、采集层、处理层和呈现层,其中,资源层为行业云关联的资源, 主要包括客户资产信息、安全资产池信息(安全设备)、业务资源池信息和网络设备;采集 层通过向下采集资源层的所有日志信息,向上发给处理层进行分析识别、处理封堵和存储, 呈现层用于展示攻击示意图、实时攻击情况、统计攻击源TOP信息。攻击闭环流程信息等;
参照图2,接下来对行业云部署架构进行说明,如图2所示,行业云的部署采用两地三 中心,安全检测设备采集包括互联网和内网关键节点的流量,并对其中的潜在的威胁进行分 析和告警;本实施例中,对各个安全检测设备的告警和流量进行采集,并通过大数据和机器 学习进行深度分析,对其中的恶意攻击行为进行关联,令恶意攻击者无所遁形,随后,把对 攻击者的封堵指令下发到各个机房边界防火墙,实现自动封堵和拦截,并将攻击目标进行业 务隔离与断开。
参照图3,本发明实施例提供一种基于行业云黑客攻击识别与封堵方法,包括但不限于 以下步骤:
S1.采集资源层的关联数据,所述关联数据包括客户资产信息、业务设备信息、安全设备 信息和网络设备信息;
S2.接收所述关联数据并进行筛选,获取有效数据;
S3.根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的 事件行为中识别出黑客攻击事件行为,所述威胁情报数据库包括威胁情报IP库和威胁情报事 件库;
S4.通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑客攻击目标进行业务隔离 与断开。
本实施例中,通过大数据和机器学习进行深度分析有效数据对应的时间行为是否为黑客 攻击行为,所述威胁情报数据库在实时判断出黑客攻击事件行为的同时,会丰富威胁情报数 据库,且还定时结合大数据和AI分析,分析地域的危险性,IP段的危险性,比如一个C段 地址,出现过几十个同段内的IP发生过黑客攻击事件行为,则可以认为这个段内的IP皆为 攻击IP,一旦匹配为同一段的IP,就自动默认为攻击IP。
作为可选地实施方式,步骤S1,也就是所述采集资源层的关联数据,具体为:
S101.采集由资源层推送的实时日志数据,所述实时日志数据包括业务资源池日志、安全 资源池日志和网络设备日志;
S102.从所述实时日志数据中获取资源层的关联数据。
本实施例中,采集层通过采集资源层主动推送过来的实时日志来获取资源层的关联数据, 其中实时日志至少包括业务资源池的日志(如虚机操作系统运行日志)、安全资源池的日志 (如安全设备日志)、网络设备日志(如防火墙日志),采集得到后再发送给处理层处理。
参照图4,在采集得到资源层的实时日志之后,所述方法还包括:
对所述实时日志数据进行规范化处理,所述实时日志数据包含若干个设备类型的日志数 据,得到安全设备日志和虚机操作系统运行日志;
从所述安全设备日志中提取第一相关字段,所述第一相关字段包括发送时间、事件名称、 源IP、源端口、目标IP、目标端口和风险等级;
从所述虚机操作系统运行日志中提取第二相关字段,所述第二相关字段包括登录事件名 称、登录源IP、登录账号、登录结果、登录时间和登录目标地址。
本实施例中,在采集到资源层的实时日志之后,由于推送日志的设备类型不同,先判断 接收到的实时日志是安全设备日志还是虚机操作系统运行日志,如果是安全设备日志,则对 安全设备日志进行规范化处理,然后从安全设备日志中获取第一相关字段;如果是虚机操作 系统运行日志,则对虚机操作系统运行日志进行规范化处理,然后从虚机操作系统运行日志 中获取第二相关字段。
本实施例中,如果是主机操作系统日志数据,则还要分析主机绕行登录判断、主机非工 作时间登录判断、主机特权账号登录判断、主机异常多人登录、共用同一跳板机登录判断、 主机多次登录失败判断等,来识别行业云资源层上业务主机的异常登录情况,分析潜在安全 攻击隐患。
进一步地,参照图4,步骤S3,也就是所述根据威胁情报数据库,分析所述有效数据对 应的事件行为,并从所述有效数据对应的事件行为中识别出黑客攻击事件行为这一步骤,包 括但不限于以下步骤:
S301.判断所述第一相关字段中的源IP是否在威胁情报IP库中,若在,则将所述第一相 关字段对应的事件行为识别成黑客攻击事件行为;
S302.判断所述所述第二相关字段中的登录源IP是否在威胁情报IP库中,若在,则将所 述第二相关字段对应的事件行为识别成黑客攻击事件行为;
S303.判断所述第一相关字段中的事件名称的特征是否符合威胁情报事件库,若符合,则 将所述第一相关字段对应的事件行为识别成黑客攻击事件行为;
S304.判断所述第二相关字段中的登录事件名称的特征是否符合威胁情报事件库,若符 合,则将所述第二相关字段对应的事件行为识别成黑客攻击事件行为。
本实施例中,由于获取的第一相关字段中包含源IP,获取的第二相关字段中包含登录源 IP,因此可以通过判断第一相关字段中的源IP和第二相关字段中的登录源IP是否在威胁情 报IP库中,来确定第一相关字段对应的事件行为是否为黑客攻击事件行为,和确定第二相关 字段对应的事件行为是否为黑客攻击事件行为;如果第一相关字段中的源IP和第二相关字段 中的登录源IP在威胁情报IP库中,则确定第一相关字段对应的事件行为为黑客攻击事件行 为,和确定第二相关字段对应的事件行为为黑客攻击事件行为;如果第一相关字段中的源IP 和第二相关字段中的登录源IP不在威胁情报IP库中,则进一步判断第一相关字段中的事件 名称的特征和第二相关字段中的登录事件名称的特征是否符合威胁情报事件库,若符合,则 确定第一相关字段对应事件行为和第二相关字段对应的事件行为黑客攻击事件行为。
作为可选的实施方式,所述方法还包括:
根据所述第一相关字段中的源IP和目标IP,从IP库中查询到IP地域信息,并根据资 源层的客户信息查询到所述IP地域信息对应的第一客户信息和第一业务信息;
根据所述第二相关字段中的登录源IP获取IP地域信息,并根据资源层的客户信息查询 到所述IP地域信息对应的第二客户信息和第二业务信息;
当将所述第一相关字段对应的事件行为识别成黑客攻击事件行为,根据所述第一客户信 息和第一业务信息,通知对应客户进行业务安全加固处理;
当将所述第二相关字段对应的事件行为识别成黑客攻击事件行为,根据所述第二客户信 息和第二业务信息,通知对应客户进行业务安全加固处理。
参照图5,本实施例中,由于获取的第一相关字段中包含源IP和目标IP,因此可以根据 源IP和目标IP从IP库查询到IP地域信息,并根据资源层的客户信息查询到IP对应的客户 信息和业务信息,进而能够在识别第一字段对应的事件行为为黑客攻击事件行为时,立即进 行防火墙策略封堵拒绝攻击源IP,拒绝继续访问,同时并将攻击目标进行业务隔离和业务断 开处理,拒绝嗅探,拒绝扩散到其他业务机,防止黑客进一步以目标IP为跳板,不断攻击探 索其他业务。做了上述处理后,通知相应客户进行业务安全加固,确定已经加固后,自动调 取漏扫等查杀工具,验证加固情况,确实加固了的,自动重新连接拉起客户业务;同样地, 由于获取的第二相关字段中包含登录源IP,因此可以根据登录源IP从IP库查询到IP地域 信息,并根据资源层的客户信息查询到IP对应的客户信息和业务信息,进而能够在识别第二 字段对应的事件行为为黑客攻击事件行为时,立即进行防火墙策略封堵拒绝攻击源IP,拒绝 继续访问,同时并将攻击目标进行业务隔离和业务断开处理,拒绝嗅探,拒绝扩散到其他业 务机,防止黑客进一步以目标IP为跳板,不断攻击探索其他业务。做了上述处理后,通知相 应客户进行业务安全加固,确定已经加固后,自动调取漏扫等查杀工具,验证加固情况,确 实加固了的,自动重新连接拉起客户业务。
作为可选的实施方式,所述方法还包括:
当根据所述威胁情报数据库无法识别所述有效数据对应的事件行为是否为黑客攻击事件 行为,获取所述有效数据对应的事件信息,所述事件信息包括事件危险等级、事件攻击频率、 事件攻击IP地域;
根据所述事件信息,识别所述有效数据对应的事件行为是否为黑客攻击事件行为。
本实施例中,当通过威胁情报IP库和威胁情报事件库都无法确定第一相关字段对应的事 件行为和第二相关字段对应的事件行为为黑客攻击行为时,进一步获取第一相关字段对应的 事件信息和第二相关字段对应事件信息,然后根据事件信息(如事件危险等级、事件攻击频 率和事件攻击IP地域)来确定第一相关字段对应的事件行为和第二相关字段对应的事件行为 是否为黑客攻击行为。
进一步地,所述方法还包括:
当根据所述事件信息,识别有效数据对应的事件行为为黑客攻击事件行为,将所述有效 数据对应的事件特征加入威胁情报事件库中,将所述有效数据对应的源IP加入威胁情报IP 库中。
本实施例中,当根据事件信息(如事件危险等级、事件攻击频率和事件攻击IP地域)确 定第一相关字段对应的事件行为和第二相关字段对应的事件行为为黑客攻击行为时,将第一 相关字段中的源IP添加至威胁情报IP库,将第二相关字段中的登录源IP添加至威胁情报 IP库,将第一相关字段中事件名称的特征添加至威胁情报事件库,将第二相关字段中登录事 件名称的特征添加至威胁情报事件库,以此来丰富威胁情报数据库的数据。
本发明实施例所述基于行业云黑客攻击识别与封堵方法具有以下技术效果:
本发明实施例通过大数据和AI对有效数据(实时日志)进行用户行为分析,来判断该用 户的行为是否可疑,以便进行进一步的安全处理。通过本发明,在保护保障行业云资源池安 全稳定运行中,通过对接安全设备后,不需进行复杂的安全配置,简化操作,提升效率。本 发明实施例提供全方位、多角度的数据分析,结合大数据分析与AI人工智能分析,相较于传 统的纯粹安全设备保障,更加科学可靠,同时还具有较优的适配性,本发明实施例提供业务 闭环处理,从检测、发现、解析、封堵、断开业务、再检测、解除封堵、重连业务,环环相 扣,既可以快速确认黑客攻击行为,快速阻断攻击行为,又可以关联业务,对黑客攻击目标 进行业务隔离与断开处理;本发明实施例无需在应用服务器和用户端安装插件,并且通过自 组网搭建整套监控系统,不会对客户的业务系统造成任何影响。
本发明实施例还提供一种基于行业云黑客攻击识别与封堵系统,包括:
数据采集模块,用于采集资源层的关联数据,所述关联数据包括客户资产信息、业务设 备信息、安全设备信息和网络设备信息;
数据处理模块,用于接收所述关联数据并进行筛选,获取有效数据;
数据分析模块,用于根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所 述有效数据对应的事件行为中识别出黑客攻击事件行为;
数据封堵模块,用于通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑客攻击 目标进行业务隔离与断开。
参照图6,本发明实施例还提供了一种基于行业云黑客攻击识别与封堵装置200,具体包 括:
至少一个处理器210;
至少一个存储器220,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器210执行,使得所述至少一个处理器210实 现如图3所示的方法。
其中,存储器220作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以 及非暂态性计算机可执行程序。存储器220可以包括高速随机存取存储器,还可以包括非暂 态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实 施方式中,存储器220可选包括相对于处理器210远程设置的远程存储器,这些远程存储器 可以通过网络连接至处理器210。上述网络的实例包括但不限于互联网、企业内部网、局域 网、移动通信网及其组合。
可以理解到,图6中示出的装置结构并不构成对装置200的限定,可以包括比图示更多 或更少的部件,或者组合某些部件,或者不同的部件布置。
如图6所示的装置200中,处理器210可以调取存储器220中储存的程序,并执行但不 限于图3所示实施例的步骤。
以上所描述的装置200实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或 者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可 以根据实际的需要选择其中的部分或者全部模块来实现实施例的目的。
本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有处理器 可执行的程序,所述处理器可执行的程序在被处理器执行时用于实现如图3所示的方法。
本发明实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机 程序包括计算机指令,该计算机指令存储在计算机可读存介质中。计算机设备的处理器可以 从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执 行图3所示的方法。
可以理解的是,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、 硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、 数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专 用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存 储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语 计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据) 的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包 括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其 他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且 可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常 包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信 号中的其他数据,并且可包括任何信息递送介质。
上面结合附图对本发明实施例作了详细说明,但是本发明不限于上述实施例,在技术领 域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。
Claims (7)
1.一种基于行业云黑客攻击识别与封堵方法,其特征在于,包括:
采集资源层的关联数据,所述关联数据包括客户资产信息、业务设备信息、安全设备信息和网络设备信息;
接收所述关联数据并进行筛选,获取有效数据;
根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的事件行为中识别出黑客攻击事件行为,所述威胁情报数据库包括威胁情报IP库和威胁情报事件库;
当根据所述威胁情报数据库无法识别所述有效数据对应的事件行为是否为黑客攻击事件行为,获取所述有效数据对应的事件信息,所述事件信息包括事件危险等级、事件攻击频率、事件攻击IP地域;
根据所述事件信息,识别所述有效数据对应的事件行为是否为黑客攻击事件行为;
将所述有效数据对应的事件特征加入威胁情报事件库中,将所述有效数据对应的源IP加入威胁情报IP库中;
通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑客攻击目标进行业务隔离与断开;
在所述根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的事件行为中识别出黑客攻击事件行为之后,包括:
根据安全设备日志中的第一相关字段中的源IP和目标IP,从IP库中查询到IP地域信息,并根据资源层的客户信息查询到IP地域信息对应的第一客户信息和第一业务信息;
根据所述第一客户信息和所述第一业务信息,发送进行业务安全加固处理的通知;
或者,
根据虚机操作系统运行日志中的第二相关字段中的登录源IP获取IP地域信息,并根据资源层的客户信息查询到IP地域信息对应的第二客户信息和第二业务信息;
根据所述第二客户信息和第二业务信息,发送进行业务安全加固处理的通知。
2.根据权利要求1所述的一种基于行业云黑客攻击识别与封堵方法,其特征在于,所述采集资源层的关联数据,具体为:
采集由资源层推送的实时日志数据,所述实时日志数据包括业务资源池日志、安全资源池日志和网络设备日志;
从所述实时日志数据中获取资源层的关联数据。
3.根据权利要求2所述的一种基于行业云黑客攻击识别与封堵方法,其特征在于,所述方法还包括:
对所述实时日志数据进行规范化处理,得到安全设备日志和虚机操作系统运行日志,所述实时日志数据包含若干个设备类型的日志数据;
从所述安全设备日志中提取第一相关字段,所述第一相关字段包括发送时间、事件名称、源IP、源端口、目标IP、目标端口和风险等级;
从所述虚机操作系统运行日志中提取第二相关字段,所述第二相关字段包括登录事件名称、登录源IP、登录账号、登录结果、登录时间和登录目标地址。
4.根据权利要求3所述的一种基于行业云黑客攻击识别与封堵方法,其特征在于,所述根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的事件行为中识别出黑客攻击事件行为这一步骤,包括以下之一:
检测到所述第一相关字段中的源IP在威胁情报IP库中,将所述第一相关字段对应的事件行为识别成黑客攻击事件行为;
或者,
检测到所述第二相关字段中的源IP在威胁情报IP库中,将所述第二相关字段对应的事件行为识别成黑客攻击事件行为;
或者,
检测到所述第一相关字段中事件名称的特征匹配威胁情报事件库的名称特征,将所述第一相关字段对应的事件行为识别成黑客攻击事件行为;
或者,
检测到所述第二相关字段中事件名称的特征匹配威胁情报事件库的名称特征,将所述第二相关字段对应的事件行为识别成黑客攻击事件行为。
5.一种基于行业云黑客攻击识别与封堵系统,其特征在于,包括:
数据采集模块,用于采集资源层的关联数据,所述关联数据包括客户资产信息、业务设备信息、安全设备信息和网络设备信息;
数据处理模块,用于接收所述关联数据并进行筛选,获取有效数据;
数据分析模块,用于根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的事件行为中识别出黑客攻击事件行为;
当根据所述威胁情报数据库无法识别所述有效数据对应的事件行为是否为黑客攻击事件行为,获取所述有效数据对应的事件信息,所述事件信息包括事件危险等级、事件攻击频率、事件攻击IP地域;
根据所述事件信息,识别所述有效数据对应的事件行为是否为黑客攻击事件行为;
将所述有效数据对应的事件特征加入威胁情报事件库中,将所述有效数据对应的源IP加入威胁情报IP库中;
数据封堵模块,用于通过防火墙策略对所述黑客攻击事件行为进行封堵,并对黑客攻击目标进行业务隔离与断开;
在所述根据威胁情报数据库,分析所述有效数据对应的事件行为,并从所述有效数据对应的事件行为中识别出黑客攻击事件行为之后,包括:
根据安全设备日志中的第一相关字段中的源IP和目标IP,从IP库中查询到IP地域信息,并根据资源层的客户信息查询到所述IP地域信息对应的第一客户信息和第一业务信息;
根据所述第一客户信息和第一业务信息,发送进行业务安全加固处理的通知;
或者,
根据虚机操作系统运行日志中的第二相关字段中的登录源IP获取IP地域信息,并根据资源层的客户信息查询到所述IP地域信息对应的第二客户信息和第二业务信息;
根据所述第二客户信息和第二业务信息,发送进行业务安全加固处理的通知。
6.一种基于行业云黑客攻击识别与封堵装置,其特征在于,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现如权利要求1-4任一项所述的方法。
7.计算机可读存储介质,其特征在于,其上存储有处理器可执行的程序,所述处理器可执行的程序在被处理器执行时用于实现如权利要求1-4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011565925.2A CN112565300B (zh) | 2020-12-25 | 2020-12-25 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011565925.2A CN112565300B (zh) | 2020-12-25 | 2020-12-25 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112565300A CN112565300A (zh) | 2021-03-26 |
| CN112565300B true CN112565300B (zh) | 2023-04-07 |
Family
ID=75033093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011565925.2A Active CN112565300B (zh) | 2020-12-25 | 2020-12-25 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565300B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113923048B (zh) * | 2021-11-09 | 2023-07-04 | 中国联合网络通信集团有限公司 | 网络攻击行为识别方法、装置、设备及存储介质 |
| CN114726631B (zh) * | 2022-04-12 | 2023-10-03 | 中国电信股份有限公司 | 一种标识解析体系架构的安全防护方法及相关设备 |
| CN114978706B (zh) * | 2022-05-24 | 2024-01-30 | 联通(广东)产业互联网有限公司 | 通信网络定级备案的备案信息稽核方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10505953B2 (en) * | 2017-02-15 | 2019-12-10 | Empow Cyber Security Ltd. | Proactive prediction and mitigation of cyber-threats |
| CN108259449B (zh) * | 2017-03-27 | 2020-03-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN109962903B (zh) * | 2017-12-26 | 2022-01-28 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
| CN110719291B (zh) * | 2019-10-16 | 2022-10-14 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
-
2020
- 2020-12-25 CN CN202011565925.2A patent/CN112565300B/zh active Active
Non-Patent Citations (1)
| Title |
|---|
| 中国互联网金融安全课题组编.3. 安全检测体系建设.《中国互联网金融安全发展报告 2016》.中国金融出版社,2017, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112565300A (zh) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112565300B (zh) | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 | |
| US11089057B1 (en) | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits | |
| CN107819731B (zh) | 一种网络安全防护系统及相关方法 | |
| CN106850690B (zh) | 一种蜜罐构造方法及系统 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN110881043B (zh) | 一种web服务器漏洞的检测方法及装置 | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN114095258B (zh) | 攻击防御方法、装置、电子设备及存储介质 | |
| CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN113422779B (zh) | 一种基于集中管控的积极的安全防御的系统 | |
| CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
| CN114338068A (zh) | 多节点漏洞扫描方法、装置、电子设备及存储介质 | |
| CN106209867B (zh) | 一种高级威胁防御方法及系统 | |
| CN107454043A (zh) | 一种网络攻击的监控方法及装置 | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| KR101137694B1 (ko) | 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법 | |
| CN112422501B (zh) | 正反向隧道防护方法、装置、设备及存储介质 | |
| CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
| KR101400127B1 (ko) | 비정상 데이터 패킷 검출 방법 및 장치 | |
| CN107124390B (zh) | 计算设备的安全防御、实现方法、装置及系统 | |
| CN110912869A (zh) | 一种基于大数据的监控提醒方法 | |
| CN113660291B (zh) | 智慧大屏显示信息恶意篡改防护方法及装置 | |
| CN115277173B (zh) | 一种网络安全监测管理系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |