CN112671724A - 一种终端安全检测分析方法、装置、设备及可读存储介质 - Google Patents
一种终端安全检测分析方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN112671724A CN112671724A CN202011455189.5A CN202011455189A CN112671724A CN 112671724 A CN112671724 A CN 112671724A CN 202011455189 A CN202011455189 A CN 202011455189A CN 112671724 A CN112671724 A CN 112671724A
- Authority
- CN
- China
- Prior art keywords
- terminal
- flow
- judging
- detection
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书一个或多个实施例提供一种终端安全检测分析方法、装置、设备及可读存储介质,方法包括:对终端的身份信息特征进行验证;若所述终端的身份信息未通过验证,则判定所述终端为恶意终端;若所述终端的身份信息通过验证,则对所述终端的传输流量进行检测;若检测到所述终端的传输流量存在异常,则判定所述终端为恶意终端;若所述终端的传输流量正常,则对所述终端的业务流量进行检测;若检测到所述终端的业务流量存在异常,则判定所述终端为恶意终端;若所述终端的业务流量正常,则判定所述终端为安全终端。本说明书基于多个维度对终端的安全性进行检测分析,且具有应用范围广泛、检测分析精度高的特点。
Description
技术领域
本说明书一个或多个实施例涉及网络设备安全检测技术领域,尤其涉及一种终端安全检测分析方法、装置、设备及可读存储介质。
背景技术
物联网终端是物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备,它担负着数据采集、初步处理、加密、传输等多种功能。对终端层面的网络行为感知和安全检测分析是提升现场安全能力的重要措施。终端安全检测在网络安全方面有着重要意义,主要通过数据采集、数据传输、数据入库、数据统计、数据可视化展示整个过程的分析结果,实现对终端行为整体检测。
现有的终端安全检测方法,例如自适应联合授权框架中引入分析模块,主要分析合法用户的违规行为,通过对行为进行检测,自适应地修改违规用户的授权属性;基于用户行为进行加权信任计算方法,利用时间衰减标识反馈信息的事件属性。但上述检测分析方法或是仅考虑网络流量的外在特征来分析建模,或者采用检测终端状态信息来建模,或者采用通过终端行为记录数据方法来构建检测模型,均是基于单一的检测维度来实现安全检测。这些单一维度的检测手段往往由于其自身特点所存在着各种技术局限性,导致终端安全检测方法存在检测维度单一、应用范围小和分析精准度较低的问题。
因此,如何提供一种终端安全检测分析方法、装置、设备及可读存储介质,基于多个维度对终端的安全性进行检测分析,且具有应用范围广泛、检测分析精度高的特点,是本领域技术人员需要解决的技术问题。
发明内容
有鉴于此,本说明书一个或多个实施例的目的在于提出一种终端安全检测分析方法、装置、设备及可读存储介质,以解决现有检测手段检测维度单一、应用范围小和分析精准度低的问题。
基于上述目的,本说明书一个或多个实施例提供了一种终端安全检测分析方法、装置、设备及可读存储介质。
第一方面,本说明书一个或多个实施例提供了一种终端安全检测分析方法,包括:
对终端的身份信息特征进行验证;
若终端的身份信息未通过验证,则判定终端为恶意终端;
若终端的身份信息通过验证,则对终端的传输流量进行检测;
若检测到终端的传输流量存在异常,则判定终端为恶意终端;
若终端的传输流量正常,则对终端的业务流量进行检测;
若检测到终端的业务流量存在异常,则判定终端为恶意终端;
若终端的业务流量正常,则判定终端为安全终端。
进一步地,还包括:获取终端的行为画像信息;
判断行为画像信息是否满足预设检测画像信息;
若行为画像信息满足预设检测画像信息,则判定终端为恶意终端;
若行为画像信息不满足预设检测画像信息,则判定终端为恶意终端,则判定终端为安全终端。
进一步地,对终端的传输流量进行检测,包括:
判断传输流量是否符合预设白名单库流量;
若传输流量符合预设白名单库流量,则判定传输流量为正常;
若传输流量不符合预设白名单库流量,则提取传输流量的流量特征;
判断流量特征是否符合预设异常检测库特征;
若流量特征不符合预设异常检测库特征,则判定传输流量为正常;
若流量特征符合预设异常检测库特征,则判定传输流量存在异常。
进一步地,对终端的业务流量进行检测,包括:
获取业务流量中的业务协议关键字的内容特征码与频度特征码表,并提取内容特征码与频度特征码表中的流量关键字段;
判断流量关键字段是否符合预设关键字段;
若流量关键字段不符合预设关键字段,则判定业务流量存在异常;
若流量关键字段符合预设关键字段,则判定业务流量正常。
进一步地,判定终端为恶意终端后,还包括:切断终端的网络连接。
进一步地,终端的身份信息,包括:终端的名称、类型、登入口令、资产编号、位置信息、认证方式、硬件通信接口、组件编号、请求访问范围。
第二方面,本说明书一个或多个实施例提供了一种终端安全检测分析装置,包括:
身份信息特征验证模块,用于对终端的身份信息特征进行验证;
传输流量特征检测模块,用于当终端的身份信息通过验证时,对终端的传输流量进行检测;
业务行为特征分析模块,用于当终端的传输流量正常时,对终端的业务流量进行检测;
判定模块,用于对终端的安全性进行判定。
进一步地,还包括:行为画像信息判断模块,用于判断行为画像信息是否满足预设检测画像信息;
判定模块还用于,当述行为画像信息不满足预设检测画像信息时,判定终端为恶意终端;当述行为画像信息满足预设检测画像信息时,判定终端为安全终端。
第三方面,本说明书一个或多个实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行程序时实现如上所述的终端安全检测分析方法。
第四方面,本说明书一个或多个实施例提供了一种非暂态计算机可读存储介质,其特征在于,非暂态计算机可读存储介质存储计算机指令,计算机指令用于使计算机执行如上所述的终端安全检测分析方法。
从上面所述可以看出,本说明书一个或多个实施例提供的终端安全检测分析方法、装置、设备及可读存储介质,基于多个维度对终端的安全性进行检测分析,有效提升了检测分析的准确性,且具有应用范围广泛、检测分析精度高的特点。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例提供的终端安全检测分析方法流程示意图;
图2为本说明书一个或多个实施例提供的对终端的传输流量进行检测的流程示意图;
图3为本说明书一个或多个实施例提供的异常流量特征库构建流程示意图;
图4为本说明书一个或多个实施例提供的业务流量检测流程示意图;
图5为本说明书一个或多个实施例提供的终端安全检测分析装结构置示意图;
图6为说明书一个或多个实施例提供的一种终端安全检测分析设备具体的电子设备硬件结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
物联网终端是物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备,它担负着数据采集、初步处理、加密、传输等多种功能。对终端层面的网络行为感知和安全监测分析是提升现场安全能力的重要措施。终端监测通常以终端本身为主体,通过监测的装置或程序,以日志或记录等多种方式,实现对端侧设备网络及状态信息的监测和收集,并通过相关的数据预处理,实现对终端的进行安全监测、异常行为预警以及溯源管控,并在此基础上完成安全态势可视化展示。在当前的研究成果中,对物联网终端安全监测主要包括了两个维度,第一种是数据状态信息监测为主,其主要有数据聚类方法、遗传算法方法、粒子群算法方法等等,其重点在于对数据的深度挖掘和分析;另一种是基于终端行为监测,其主要包括了基于阈值监测方法,即如果物联网传感数据超过设置的某个阈值,则认为事件发生,或者是基于模式的监测方法,即根据传感数据,采用模式识别的方法,判决事件是否发生,其重点在于对事件行为的关联分析和行为识别,这两种维度都是终端监测的重要基础方向。
终端安全监测在网络安全方面有着重要意义,主要通过数据采集、数据传输、数据入库、数据统计、数据可视化展示整个过程的分析结果,实现对终端行为整体监测。虽然国内外也提出了一些有效的安全监测方法。例如自适应联合授权框架中引入分析模块,主要分析合法用户的违规行为,通过对行为进行监测,自适应地修改违规用户的授权属性。还有人提出基于用户行为进行加权信任计算方法,利用时间衰减标识反馈信息的事件属性。但总体来看这些现有监测分析手段往往都是基于一种维度来实现安全监测,或者仅考虑网络流量的外在特征来分析建模,或者采用监测终端状态信息来建模,或者采用通过终端行为记录数据方法来构建监测模型,这些单一维度的监测手段往往由于其自身特点所存在着各种技术局限性,导致终端安全监测在监测覆盖度、分析精准度等方面都存在各种各样的不足。
请参考图1,图1为本说明书一个或多个实施例提供的终端安全检测分析方法流程示意图。网络解决现有技术的缺点和不足,在本说明书一个或多个实施例中,提供了一种终端安全检测分析方法,可以包括以下步骤:
S1:对终端的身份信息特征进行验证。
对终端的身份信息特征进行验证,主要是对终端初始登陆入网时的状态信息的核查检测,具体的核查内容可根据实际的应用环境更新配置,其中终端的身份信息可包括终端名称、终端类型、登入口令、资产编号、位置信息、认证方式、硬件通信接口、组件编号、请求访问范围等内容。同时,上述验证结果以及终端的身份信息其可以文件记录表的方式构建,形成基于终端入网可信检测条件,实现对终端的物理安全识别验证。若终端的身份信息未通过验证,则判定终端为恶意终端。
S2:若终端的身份信息通过验证,则对终端的传输流量进行检测。
请参考图2,图2为本说明书一个或多个实施例提供的对终端的传输流量进行检测的流程示意图。
对终端的传输流量进行检测,包括传输流量特征模型的构建,主要分为两个部分。一部分是基于流量的基础属性所组成的白名单库,另一部分是基于深度学习算法构建的网络流量异常检测模型库,它主要侧重于对流量整体规律特征得检测,两部分关联结合实现对终端的传输流量的检测。
在检测时,对于流量基础特征属性,使用白名单匹配方法,允许在设定白名单的范围内的特征流量通过,否则将直接判断为异常流量;若流量类型正常,则以深度学习训练从而得到异常检测库,通过流量特征与异常检测库中的特征做比对,来判断是否为异常。
流量白名单构建方法:
流量白名单的构建方式需根据具体的业务类型和通信形态做具体设计,通常主要包含流量数据五元组条件、业务流量的类型条件和业务流量数据大小条件(业务吞吐量)三种数据检测策略。
异常流量特征库构建方法:
请参考图3,图3为本说明书一个或多个实施例提供的异常流量特征库构建流程示意图。
首先建立网络流量特征序列样本。①将流量实例定义为两个时间流序,即:具有时间戳的不同大小的正向流量包序列和反向流量包序列(采样周期默认为15秒,可根据具体业务特征调整)。②计算出在固定的时间段内两个时间序列的流量特征,其中包括报文长度、报文时隙、报文方向、流包中最小与最大长度均方差、流中最小与最大时间均方差、流中数据包总和等参数信息(具体内容可以跟进具体业务协议特征和范围来扩充)。③使用傅里叶变换,将数据包本身的特征信息,从时序信息转变为频域信息,并选择前k个值作为网络流秩序的基本特征样本。
然后选择多层堆栈自编码网络模型,各层之间通过全连接的方式相连,并采用自适应矩估计算法确定网络连接权重W,从而通过深度学习得到的网络流量检测特征库,其中将堆栈自编码网络模型倒数第二个隐藏层作为输出向量。
最后将特征提取后的向量通过机器训练提取异常检测特征。本专利采用半朴素贝叶斯分类器,通过对样本机器学习后,从完成网络流量异常检测特征模型的提取,从而形成特征模型库。
基于上述步骤,实现对终端的传输流量进行检测;若检测到终端的传输流量存在异常,则判定终端为恶意终端。
S3:若终端的传输流量正常,则对终端的业务流量进行检测。
请参考图4,图4为本说明书一个或多个实施例提供的业务流量检测流程示意图。
业务流量检测主要针对明文流量,其组成主要从语法和语义两个部分组成,通过构建基于业务协议关键字的内容特征码与频度特征码表,分别进行流量字段内容的检测分析。语法层面基于协议并行解析技术,快速从报文中提取流量关键字段,然后将其跟设定关键字内容特征表比对,未在表内的业务流量为异常流量。语义层面基于流量关键字频率以及先后顺序,建立关键字频度特征表,基于频度特征标实现业务流量特征异常检测。其原理图如图4所示。对于业务协议关键字特征码表,可以根据业务的种类和协议类型基础构建完成,其主要对关键字位置固定时的并行解析,通过指针移位可快速定位不同字段,实现较为容易。基于关键频度码表,是针对协议关键字位置可变时情况下的并行解析,可将报文进行定长(默认建议为256字节)切分,分割为N等份,对每一等份进行关键字扫描统计,从而快速发现关键字段在原始报文的具体位置,进而可以实现协议报文的并行解析。完成报文解析后,可以将字段的值或字段所对应的内容跟预先设定的关键字特征码表进行比对。若解析的值不在表中,则判断该协议报文为异常流量。通过上述步骤,若检测到终端的业务流量存在异常,则判定终端为恶意终端。若终端的业务流量正常,则判定终端为安全终端。
在说明书的一个或多个实施例中,业务流量检测后,还可以通过对终端的画像信息进行分析,作为整个检测分析的辅助,重点在于对强化单个终端实体的行为分析,用来对发生的异常现象和特征进行进一步跟踪诊断,提升准确性。
对终端的画像信息进行分析可以包括以下步骤:
设定时间范围T,统计T时间内的特征值即为终端当前画像。终端终端画像(辅助决策)模块主要是针对指定IP数据包的智能检测,其组成主要包括三个部分,即终端基本属性度量模型、异常流量特征模型、异常攻击特征模型。
(1)终端基本属性度量模型:
终端基本属性度量模型,主要包括终端终端的物理特征信息,其中包括终端IP、MAC地址、通信端口、协议类型、终端名称、身份ID、认证方式等。该模型通过业务的实际特征,构建终端数据通信流量的白名单(具体模式可根据具体业务和环境类型构建),通过样本流量数据与模板信息进行比对,可对指定的数据流量实现可信识别。
(2)异常流量特征模型:
异常流量特征模型,主要针对单个IP的数据流物联信息特征统计。识别策略的构成参数主要包括数据帧长度、内容频度、指令格式、同类帧间隔、不同帧先后顺序等,可通过对实际环境的统计测量,形成实际环境业务流量特征的正常模型,不属于该范围内的为异常状态。
(3)常见攻击行为模型:
结合考虑特定攻击场景,建立常见攻击特征行为模型,其中网络攻击链包含侦查、武器构建、载荷投递、安装植入等常规阶段以外,也包括终端伪冒、盗用、正常指令异常执行等情况的特征样本,以支撑待测样例的深度对比检测。
终端行为画像辅助分析作为整个检测分析的辅助,重点在于对强化单个终端实体的行为分析,用来对发生的异常现象和特征进行进一步跟踪诊断。例如:若发现类似流量特征,则判断终端为伪冒或恶意终端,如若物理层指纹特征异常,而网络和业务内容均正常,表明攻击者有可能将核心终端换为自己的终端,为后续攻击做准备;若物理层指纹特征正常,但网络流量特征异常,此时业务内容也正常,表明攻击者正联系后台服务器,接受指令或更新攻击代码等,进行攻击前期准备;若物理层和网络流量特征均正常,业务层特征异常,表明攻击者以完成攻击准备,正进行业务攻击。而由于其计算和分析量较大,难免有一定的延迟性,因此不作为实时对外输出接口,而作为辅助后台决策的支撑。
从上面所述可以看出,本说明书一个或多个实施例提供的终端安全检测分析方法,基于多个维度对终端的安全性进行检测分析,有效提升了检测分析的准确性,且具有应用范围广泛、检测分析精度高的特点。
请参考图5,图5为本说明书一个或多个实施例终端安全检测分析装置结构示意图,该装置可以包括:
身份信息特征验证模块,用于对终端的身份信息特征进行验证;
传输流量特征检测模块,用于当终端的身份信息通过验证时,对终端的传输流量进行检测;
业务行为特征分析模块,用于当终端的传输流量正常时,对终端的业务流量进行检测;
判定模块,用于对终端的安全性进行判定;
行为画像信息判断模块,用于判断行为画像信息是否满足预设检测画像信息;
判定模块还用于,当述行为画像信息不满足预设检测画像信息时,判定终端为恶意终端;当述行为画像信息满足预设检测画像信息时,判定终端为安全终端。
图5所示装置中的各个模块具有实现图1中各个步骤的功能,并能达到其相应的技术效果。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
图6示出了本实施例所提供的一种终端安全检测分析设备具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本说明书一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本说明书一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种终端安全检测分析方法,其特征在于,包括:
对终端的身份信息特征进行验证;
若所述终端的身份信息未通过验证,则判定所述终端为恶意终端;
若所述终端的身份信息通过验证,则对所述终端的传输流量进行检测;
若检测到所述终端的传输流量存在异常,则判定所述终端为恶意终端;
若所述终端的传输流量正常,则对所述终端的业务流量进行检测;
若检测到所述终端的业务流量存在异常,则判定所述终端为恶意终端;
若所述终端的业务流量正常,则判定所述终端为安全终端。
2.根据权利要求1所述的终端安全检测分析方法,其特征在于,还包括:
获取所述终端的行为画像信息;
判断所述行为画像信息是否满足预设检测画像信息;
若所述行为画像信息满足所述预设检测画像信息,则判定所述终端为恶意终端;
若所述行为画像信息不满足所述预设检测画像信息,则判定所述终端为恶意终端,则判定所述终端为安全终端。
3.根据权利要求1所述的终端安全检测分析方法,其特征在于,对所述终端的传输流量进行检测,包括:
判断所述传输流量是否符合预设白名单库流量;
若所述传输流量符合预设白名单库流量,则判定所述传输流量为正常;
若所述传输流量不符合预设白名单库流量,则提取所述传输流量的流量特征;
判断所述流量特征是否符合预设异常检测库特征;
若所述流量特征不符合所述预设异常检测库特征,则判定所述传输流量为正常;
若所述流量特征符合所述预设异常检测库特征,则判定所述传输流量存在异常。
4.根据权利要求1所述的终端安全检测分析方法,其特征在于,对所述终端的业务流量进行检测,包括:
获取所述业务流量中的业务协议关键字的内容特征码与频度特征码表,并提取所述内容特征码与所述频度特征码表中的流量关键字段;
判断所述流量关键字段是否符合预设关键字段;
若所述流量关键字段不符合所述预设关键字段,则判定所述业务流量存在异常;
若所述流量关键字段符合所述预设关键字段,则判定所述业务流量正常。
5.根据权利要求1所述的终端安全检测分析方法,其特征在于,判定所述终端为恶意终端后,还包括:
切断所述终端的网络连接。
6.根据权利要求1所述的终端安全检测分析方法,其特征在于,所述终端的身份信息,包括:
所述终端的名称、类型、登入口令、资产编号、位置信息、认证方式、硬件通信接口、组件编号、请求访问范围。
7.一种终端安全检测分析装置,其特征在于,包括:
身份信息特征验证模块,用于对终端的身份信息特征进行验证;
传输流量特征检测模块,用于当所述终端的身份信息通过验证时,对所述终端的传输流量进行检测;
业务行为特征分析模块,用于当所述终端的传输流量正常时,对所述终端的业务流量进行检测;
判定模块,用于对所述终端的安全性进行判定。
8.根据权利要求7所述的装置,其特征在于,还包括:
行为画像信息判断模块,用于判断所述行为画像信息是否满足预设检测画像信息;
所述判定模块还用于,当述行为画像信息不满足所述预设检测画像信息时,判定所述终端为恶意终端;当述行为画像信息满足所述预设检测画像信息时,判定所述终端为安全终端。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任意一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1至6任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011455189.5A CN112671724B (zh) | 2020-12-10 | 2020-12-10 | 一种终端安全检测分析方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011455189.5A CN112671724B (zh) | 2020-12-10 | 2020-12-10 | 一种终端安全检测分析方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671724A true CN112671724A (zh) | 2021-04-16 |
| CN112671724B CN112671724B (zh) | 2023-06-30 |
Family
ID=75402590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011455189.5A Active CN112671724B (zh) | 2020-12-10 | 2020-12-10 | 一种终端安全检测分析方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671724B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389837A (zh) * | 2021-12-07 | 2022-04-22 | 广东宜通衡睿科技有限公司 | 一种物联网终端的安全监测方法、装置、介质及设备 |
| CN116112287A (zh) * | 2023-04-07 | 2023-05-12 | 国家计算机网络与信息安全管理中心 | 基于时空关联的网络攻击组织追踪方法与装置 |
| CN118233220A (zh) * | 2024-05-24 | 2024-06-21 | 广州河东科技有限公司 | 一种智能家居控制系统的远程访问认证系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160321453A1 (en) * | 2013-12-30 | 2016-11-03 | Beijing Qihoo Technology Company Limited | Method and device for detecting malicious code in an intelligent terminal |
| CN109309680A (zh) * | 2018-10-09 | 2019-02-05 | 山西警察学院 | 基于神经网络算法的网络安全检测方法和防护系统 |
| CN109600363A (zh) * | 2018-11-28 | 2019-04-09 | 南京财经大学 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
| CN109660502A (zh) * | 2018-09-28 | 2019-04-19 | 平安科技(深圳)有限公司 | 异常行为的检测方法、装置、设备及存储介质 |
-
2020
- 2020-12-10 CN CN202011455189.5A patent/CN112671724B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160321453A1 (en) * | 2013-12-30 | 2016-11-03 | Beijing Qihoo Technology Company Limited | Method and device for detecting malicious code in an intelligent terminal |
| CN109660502A (zh) * | 2018-09-28 | 2019-04-19 | 平安科技(深圳)有限公司 | 异常行为的检测方法、装置、设备及存储介质 |
| CN109309680A (zh) * | 2018-10-09 | 2019-02-05 | 山西警察学院 | 基于神经网络算法的网络安全检测方法和防护系统 |
| CN109600363A (zh) * | 2018-11-28 | 2019-04-09 | 南京财经大学 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389837A (zh) * | 2021-12-07 | 2022-04-22 | 广东宜通衡睿科技有限公司 | 一种物联网终端的安全监测方法、装置、介质及设备 |
| CN116112287A (zh) * | 2023-04-07 | 2023-05-12 | 国家计算机网络与信息安全管理中心 | 基于时空关联的网络攻击组织追踪方法与装置 |
| CN118233220A (zh) * | 2024-05-24 | 2024-06-21 | 广州河东科技有限公司 | 一种智能家居控制系统的远程访问认证系统 |
| CN118233220B (zh) * | 2024-05-24 | 2024-08-09 | 广州河东科技有限公司 | 一种智能家居控制系统的远程访问认证系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671724B (zh) | 2023-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112417439B (zh) | 账号检测方法、装置、服务器及存储介质 | |
| CN107302547B (zh) | 一种web业务异常检测方法及装置 | |
| CN112671724B (zh) | 一种终端安全检测分析方法、装置、设备及可读存储介质 | |
| CN107888571B (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 | |
| US9081961B2 (en) | System and method for analyzing malicious code using a static analyzer | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
| CN107294919A (zh) | 一种水平权限漏洞的检测方法及装置 | |
| CN112448947A (zh) | 网络异常确定方法、设备及存储介质 | |
| CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
| WO2019144548A1 (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| WO2023108833A1 (zh) | 终端异常行为检测方法、装置、设备及存储介质 | |
| CN111835777A (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| CN113315767A (zh) | 一种电力物联网设备安全检测系统及方法 | |
| WO2021169239A1 (zh) | 一种爬虫数据的识别方法、系统及设备 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
| CN114826946B (zh) | 未授权访问接口的检测方法、装置、设备及存储介质 | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
| CN111314326B (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
| CN107995167B (zh) | 一种设备识别方法及服务器 | |
| CN103701821B (zh) | 文件类型识别方法及装置 | |
| CN116599743A (zh) | 4a异常绕行检测方法、装置、电子设备及存储介质 | |
| CN111460448A (zh) | 一种恶意软件家族检测方法及装置 | |
| CN116015808A (zh) | 一种网络端口异常开放感知方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |