CN112738118A - 网络威胁检测方法、装置、系统、电子设备及存储介质 - Google Patents
网络威胁检测方法、装置、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112738118A CN112738118A CN202011643047.1A CN202011643047A CN112738118A CN 112738118 A CN112738118 A CN 112738118A CN 202011643047 A CN202011643047 A CN 202011643047A CN 112738118 A CN112738118 A CN 112738118A
- Authority
- CN
- China
- Prior art keywords
- message
- original
- transmission file
- network
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络威胁检测方法、装置、系统、电子设备及存储介质,属于网络安全领域。该方法包括:在对原始报文进行检测时,先将原始报文还原成传输文件,然后启动虚拟运行环境运行传输文件,得到包括传输文件运行过程中所触发的中间行为的运行信息,然后通过比对运行信息与网络威胁黑名单库,来确定与原始报文对应的传输文件在运行过程中是否存在引起网络威胁的中间行为,并以此来确定原始报文是否存在网络威胁,从而避免传统的静态检测无法检测出动态流量或者存在变种病毒的流量所导致的网络威胁。
Description
技术领域
本申请属于网络安全领域,具体涉及一种网络威胁检测方法、装置、系统、电子设备及存储介质。
背景技术
随着网络技术的快速发展,网络安全也越来越受到人们的重视。
在现有技术中,存在多种检测网络威胁的方法,可以对大多数网络流量的安全性进行检测,从而避免网络攻击对网络安全造成威胁。
具体的,现有技术中的网络威胁检测方法,一般为静态检测法,主要通过已知存在网络威胁的报文所包括的报文特征来建立报文特征黑名单库,然后将需要进行网络威胁检测的报文所包括的报文特征与报文特征黑名单库进行匹配,若匹配成功则说明报文存在网络威胁。
然而,在实际情况中,若存在网络威胁的网络流量为动态流量或者存在变种病毒,通过现有的静态检测法则无法成功检测出该网络威胁,从而导致网络漏洞,影响网络安全。
发明内容
有鉴于此,本申请的目的在于提供一种网络威胁检测方法、装置、系统、电子设备及存储介质,通过将流量还原成原始文件,并对原始文件进行模拟运行,从而获取到运行信息,并根据运行信息来确定是否存在网络威胁,可以检测出动态流量或者存在变种病毒的流量中所存在的网络威胁。
本申请的实施例是这样实现的:
第一方面,本申请实施例提供一种网络威胁检测方法,所述方法包括:
对从网络接口获取到的原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容;将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件;启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息;根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
在本实施例中,通过比对运行信息与网络威胁黑名单库,来确定与原始报文对应的传输文件在运行过程中是否存在引起网络威胁的中间行为,并以此来确定原始报文是否存在网络威胁,从而避免传统的静态检测无法检测出动态流量或者存在变种病毒的流量所导致的网络威胁。
结合第一方面实施例,在一种可能的实施方式中,在所述网络威胁黑名单库内包括多种用于表征存在网络威胁的事件,所述根据所述运行信息及预先建立的网络威胁黑名单库,确定所述原始报文是否存在网络威胁,包括:在确定所述运行信息所包括的至少一项内容与所述网络威胁黑名单库所包括的任一事件完全一致时,确定所述原始报文存在网络威胁。
结合第一方面实施例,在一种可能的实施方式中,所述运行信息包括运行所述传输文件时所访问的文件信息、运行所述传输文件时的运行轨迹路径信息中的至少一项内容。
结合第一方面实施例,在一种可能的实施方式中,所述报文信息还包括与所述原始报文对应的报文特征,在所述对从网络接口获取到的原始报文进行解析之后,所述方法还包括:将所述报文特征与预先保存的报文特征黑名单库进行匹配;在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时,确定所述原始报文存在网络威胁。在这种实施方式中,可以从静态检测的维度来对原始报文进行网络威胁检测,从而降低漏检的概率,提高检测的准确度。
结合第一方面实施例,在一种可能的实施方式中,在所述将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件之后,所述方法还包括:对所述传输文件所采用的传输协议进行分析,得到与所述传输文件对应的传输行为;根据所述传输行为,生成与所述会话标识相关联的行为审计日志,以便后续可以通过查阅行为审计日志,确定容易产生网络威胁的网络行为。
结合第一方面实施例,在一种可能的实施方式中,所述方法还包括:当确定存在网络威胁时,生成与所述会话标识相关联的攻击告警信息;通过所述会话标识,将所述行为审计日志、所述攻击告警信息进行关联,便于后续根据关联的内容,分析出潜在的安全风险。
结合第一方面实施例,在一种可能的实施方式中,启动虚拟运行环境运行所述传输文件,包括:启动虚拟运行环境运行所述传输文件中所包括的二进制子文件,从而避免浪费计算资源。
结合第一方面实施例,在一种可能的实施方式中,在所述启动虚拟运行环境运行所述传输文件之前,所述方法还包括:确定所述传输文件已被解压,从而确保可以成功运行传输文件。
第二方面,本申请实施例提供一种网络威胁检测装置,所述装置包括:解析模块、拼接模块、运行模块以及检测模块。
解析模块,用于对从网络接口获取到的原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容;
拼接模块,用于将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件;
运行模块,用于启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息;
检测模块,用于根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
结合第二方面实施例,在一种可能的实施方式中,在所述网络威胁黑名单库内包括多种用于表征存在网络威胁的事件,所述检测模块,用于在确定所述运行信息所包括的至少一项内容与所述网络威胁黑名单库所包括的任一事件完全一致时,确定所述原始报文存在网络威胁。
结合第二方面实施例,在一种可能的实施方式中,所述运行信息包括运行所述传输文件时所访问的文件信息、运行所述传输文件时的运行轨迹路径信息中的至少一项内容。
结合第二方面实施例,在一种可能的实施方式中,所述报文信息还包括与所述原始报文对应的报文特征,所述检测模块,还用于将所述报文特征与预先保存的报文特征黑名单库进行匹配;在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时,确定所述原始报文存在网络威胁。
结合第二方面实施例,在一种可能的实施方式中,所述装置还包括分析模块,用于对所述传输文件所采用的传输协议进行分析,得到与所述传输文件对应的传输行为;根据所述传输行为,生成与所述会话标识相关联的行为审计日志。
结合第二方面实施例,在一种可能的实施方式中,所述装置还包括关联模块,用于当确定存在网络威胁时,生成与所述会话标识相关联的攻击告警信息;通过所述会话标识,将所述行为审计日志、所述攻击告警信息进行关联。
结合第二方面实施例,在一种可能的实施方式中,所述运行模块,用于启动虚拟运行环境运行所述传输文件中所包括的二进制子文件。
结合第二方面实施例,在一种可能的实施方式中,所述装置还包括确定模块,用于确定所述传输文件已被解压。
第三方面,本申请实施例还提供一种电子设备,包括:存储器和处理器,所述存储器和所述处理器连接;所述存储器用于存储程序;所述处理器调用存储于所述存储器中的程序,以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
第四方面,本申请实施例还提供一种非易失性计算机可读取存储介质(以下简称存储介质),其上存储有计算机程序,所述计算机程序被计算机运行时执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
第五方面,本申请实施例还提供一种网络威胁检测系统,包括:
报文分发单元,用于从网络接口抓取原始报文,并将所述原始报文分别分发给安全审计单元;
所述安全审计单元,用于对所述原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容;将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件;将所述传输文件发送给沙箱单元;
所述沙箱单元,用于启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息;根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
结合第五方面实施例,在一种可能的实施方式中,所述网络威胁检测系统还包括攻击检测单元;
报文分发单元,还用于将所述原始报文分别分发给所述攻击检测单元;
所述攻击检测单元,用于对所述原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文特征;
将所述报文特征与预先保存的报文特征黑名单库进行匹配;在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时,确定所述原始报文存在网络威胁。
结合第五方面实施例,在一种可能的实施方式中,所述安全审计单元,还用于:对所述传输文件所采用的传输协议进行分析,得到与所述传输文件对应的传输行为;根据所述传输行为,生成与所述会话标识相关联的行为审计日志。
结合第五方面实施例,在一种可能的实施方式中,所述网络威胁检测系统还包括安全分析单元,用于:当确定存在网络威胁时,生成与所述会话标识相关联的攻击告警信息;通过所述会话标识,将所述行为审计日志、所述攻击告警信息进行关联。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出本申请实施例提供的一种网络威胁检测方法的流程图。
图2示出本申请实施例提供的一种网络威胁检测装置的结构框图。
图3示出本申请实施例提供的一种网络威胁检测系统的结构框图之一。
图4示出本申请实施例提供的一种网络威胁检测系统的结构框图之二。
图5示出本申请实施例提供的一种电子设备的结构示意图。
图标:10-网络威胁检测系统;11-报文分发单元;12-安全审计单元;13-沙箱单元;14-攻击检测单元;15-安全分析单元;16-溯源单元;100-电子设备;110-处理器;120-存储器;400-网络威胁检测装置;410-解析模块;420-拼接模块;430-运行模块;440-检测模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
此外,针对现有技术中的网络威胁检测方法存在的缺陷(无法对动态流量或者存在变种病毒的流量进行准确检测)是申请人在经过实践并仔细研究后得出的结果,因此,上述缺陷的发现过程以及在下文中本申请实施例针对上述缺陷所提出的解决方案,都应该被认定为申请人对本申请做出的贡献。
为了解决上述问题,本申请实施例提供一种网络威胁检测方法、装置、系统、电子设备及存储介质,通过将流量还原成原始文件,并对原始文件进行模拟运行,从而获取到运行信息,并根据运行信息来确定是否存在网络威胁,可以检测出动态流量或者存在变种病毒的流量中所存在的网络威胁。
该技术可采用相应的软件、硬件以及软硬结合的方式实现。以下对本申请实施例进行详细介绍。
下面将针对本申请所提供的网络威胁检测方法进行介绍。
请参照图1,本申请实施例提供网络威胁检测方法,包括以下步骤。
步骤S110:对从网络接口获取到的原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容。
值得指出的是,在本申请实施例中,网络接口为网络设备的报文接入接口,而从网络接口获取到的原始报文为未正式流入网络设备的原始报文。本申请实施例的主要目的是对未正式流入网络设备的原始报文进行网络威胁检测,以便根据检测结果确定是否允许原始报文进入网络设备。
为了对原始报文进行网络威胁检测,需要先对原始报文进行解析,从而得到报文信息。
其中,报文信息可以包括与原始报文对应的会话标识、报文内容以及报文特征等。
报文内容为报文中的数据字段。
报文特征可以包括源IP、目的IP、源端口、目的端口、传输协议、应用层协议属性(如HTTP协议的头部字段、邮件协议的发送者和接收者)等。
值得指出的是,在本申请中,属于同一条流的原始报文具有相同的五元组信息或四元组信息,而属于同一条流的原始报文来自于同一个网络会话所产生的传输文件,因此,可以用原始报文的五元组或四元组来表征原始报文所属会话的会话标识,以便后续可以基于会话标识确定原始报文所属的会话。
值得指出的是,后台工作人员可以预先对已经确定具有网络威胁的报文所包括的报文特征进行分析,从而得到报文特征黑名单库。如此设置之后,后续即可确定具备报文特征黑名单库的所包括的任一报文特征的报文存在网络威胁。
在一些实施方式中,在对原始报文进行解析后,可以先通过静态检测法,将各个原始报文的报文特征与预先获取到的报文特征黑名单库进行匹配。若某个原始报文的报文特征中存在至少一项内容与报文特征黑名单库中包括的任一报文特征一致,则说明该原始报文与报文特征黑名单库匹配成功,表征该原始报文存在网络威胁;否则,说明该原始报文与报文特征黑名单库匹配不成功,表征该原始报文不存在网络威胁。
若通过上述静态检测确定出原始报文存在网络威胁后,说明该原始报文的上游网络设备存在系统漏洞,未能对该存在网络威胁的原始报文进行过滤。
此外,若通过静态检测确定出原始报文存在网络威胁后,在一些实施方式中,还可以生成与原始报文的会话标识相关联的攻击告警信息,用于表征该存在网络威胁的原始报文所属的会话所传输的传输文件存在网络威胁。
在一些实施方式中,此处生成的攻击告警信息可以是第一类攻击告警信息,用于表征原始报文在通过静态检测时被确定出存在网络威胁,以便后续对网络威胁的类型进行区分。
步骤S120:将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件。
在本申请实施例中,为了实现动态检测,将原始报文还原成传输文件,并通过对传输文件进行运行,从而检测原始报文在动态运行过程中是否存在对网络安全造成威胁的行为。
前文提及,具有相同会话标识的原始报文属于同一会话所传输的传输文件,因此,可以将具备相同会话标识的原始报文所对应的报文内容进行拼接,例如可以按照获取原始报文的顺序依次将报文内容进行拼接,从而得到与会话标识对应的会话所传输的传输文件。
此外,在一些实施方式中,在得到传输文件后,还可以对上游网络设备传输该传输文件所采用的传输协议(例如HTTP、SMTP、POP3等)进行分析,从而得到与传输文件对应的传输行为。例如,传输协议为SMTP时,说明传输行为是发送邮件行为。
在确定传输行为后,即可以根据传输行为,生成与会话标识相关联的行为审计日志,用于表征具备该会话标识的会话所对应的传输行为。
此外,在一些实施方式中,当确定存在网络威胁,且生成第一类攻击告警信息时,由于第一类攻击告警信息与会话标识相关联,且行为审计日志也与会话标识相关联,因此,还可以以会话标识为媒介,将行为审计日志以及第一类攻击告警信息进行关联,便于后续可以统计哪些传输行为容易存在哪些网络威胁。
步骤S130:启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息。
由于传统的静态检测一般只是检测原始报文所包括的静态报文特征,而原始报文所属的传输文件在被运行时,可能会产生其他的中间行为,例如产生新的传输路径、访问其他文件等,因此,极有可能存在以下情况:传输文件所拆分成的单个原始报文的报文特征能够通过静态检测,但是该传输文件在运行过程中所触发的中间行为存在敏感信息,可能导致网络威胁。
为了避免漏检存在网络威胁的情况,在得到传输文件后,在本申请实施例中,还可以通过动态检测的方式来判断传输文件是否存在网络威胁。
在一些实施方式中,可以将所有传输文件均进行动态检测。
此外,传输文件可能呈现为文档格式、二进制格式等多种格式。一般而言,二进制格式中存在网络威胁(例如隐藏有病毒、变种木马等)的可能性较大,而其他格式的传输文件存在网络威胁的可能性较小,且在存在静态检测的前提下,文档格式的传输文件中所存在的网络威胁也能够被检测出,因此,为了避免浪费计算资源,在另一些实施方式中,在运行传输文件时,可以只运行传输文件中所包括的二进制子文件。
在这种实施方式下,若某个传输文件全局均为文档格式,那么该传输文件不包括二进制子文件,且不需要被运行;若某个传输文件全局均为二进制格式,那么该传输文件的全局均被确定为二进制子文件;若某个传输文件的局部为文档格式,局部为二进制格式,那么该传输文件的二进制部分被确定为二进制子文件。
此外,在一些实施方式中,在启动虚拟运行环境运行传输文件之前,若确定被运行的传输文件被压缩,为了保证能够成功运行传输文件,还需要将传输文件解压。
为了实现动态检测,可选的,可以启动预先配置的虚拟运行环境插件或虚拟运行环境模块来模拟运行传输文件,从而记录传输文件在运行过程中所产生的运行信息,该运行信息记录有传输文件在运行过程所对应的中间行为。
其中,运行信息可以包括运行传输文件时所访问的文件信息、运行传输文件时的运行轨迹路径信息等中的至少一项内容。
步骤S140:根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
在本申请实施例中,可以预先建立网络威胁黑名单库,在网络威胁黑名单库中包括多种用于表征存在网络威胁的事件。
其中,针对一个事件而言,可以包括一种行为,例如打开某个特定的文件或者采用某种特定的运行轨迹路径等。
此外,存在一种特殊情况:当传输文件被运行时,可能其每个执行步骤所对应的行为均被判定为不存在网络威胁,但是将其所包括的多个或全部执行步骤所对应的行为汇聚时,则会导致网络威胁。
为了避免漏检,在一些实施方式中,在网络威胁黑名单库中还存在包括多个行为的事件,且该事件所包括的每个单一行为通常被认定为不存在网络威胁。
在建立网络威胁黑名单库后,可以将运行传输文件时所得到的运行信息中包括的内容与网络威胁黑名单库所包括的事件进行匹配。
可选的,当确定运行信息所包括的至少一项内容与网络威胁黑名单库所包括的任一事件完全一致时,则可以确定传输文件以及传输文件所包括的原始报文存在网络威胁。
此外,若通过动态检测确定原始报文存在网络威胁后,在一些实施方式中,还可以生成与原始报文的会话标识相关联的攻击告警信息,用于表征该存在网络威胁的原始报文所属的会话所传输的传输文件存在网络威胁。
在一些实施方式中,此处生成的攻击告警信息可以是第二类攻击告警信息,用于表征原始报文在通过动态检测时被确定出存在网络威胁,以便后续对网络威胁的类型进行区分。
当然,在一些实施方式中,当存在行为审计日志,且存在第二类攻击告警信息时,由于第二类攻击告警信息与会话标识相关联,且行为审计日志也与会话标识相关联,因此,还可以以会话标识为媒介,将行为审计日志以及第二类攻击告警信息进行关联,便于后续可以统计哪些传输行为容易存在哪些网络威胁。
当然,若还存在与该会话标识相关联的第一类攻击告警信息,还可以通过会话标识,将第一类攻击告警信息、第二类攻击告警信息以及行为审计日志相关联。
其中,上述出现的第一类攻击告警信息、第二类攻击告警信息以及行为审计日志,可能是由三个不同的网络设备产生的,因此,当把上述第一类攻击告警信息、第二类攻击告警信息以及行为审计日志进行关联后,还可以从不同的维度去查看原始报文的安全状态,从而有利于分析出潜在的安全风险。
其中,分析的过程可以包括以下内容:
(1)可根据第一类攻击告警信息和/或第二类攻击告警信息,反向查询该攻击告警信息的主体(源IP)、客体(目的IP)的行为审计日志和传输文件;
(2)可根据行为审计日志,反向查询该行为审计日志的主体(源IP)、客体(目的IP)的攻击告警信息;
(3)通过反向查询攻击告警信息、行为审计日志的主体(源IP)、客体(目的IP)对应的原始报文,达到取证目的。
本申请实施例所提供的一种网络威胁检测方法,在对原始报文进行检测时,先将原始报文还原成传输文件,然后启动虚拟运行环境运行传输文件,得到包括传输文件运行过程中所触发的中间行为的运行信息,然后通过比对运行信息与网络威胁黑名单库,来确定与原始报文对应的传输文件在运行过程中是否存在引起网络威胁的中间行为,并以此来确定原始报文是否存在网络威胁,从而避免传统的静态检测无法检测出动态流量或者存在变种病毒的流量所导致的网络威胁。
如图2所示,本申请实施例还提供一种网络威胁检测装置400,网络威胁检测装置400可以包括:解析模块410、拼接模块420、运行模块430以及检测模块440。
解析模块410,用于对从网络接口获取到的原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容;
拼接模块420,用于将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件;
运行模块430,用于启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息;
检测模块440,用于根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
在一种可能的实施方式中,在所述网络威胁黑名单库内包括多种用于表征存在网络威胁的事件,所述检测模块440,用于在确定所述运行信息所包括的至少一项内容与所述网络威胁黑名单库所包括的任一事件完全一致时,确定所述原始报文存在网络威胁。
在一种可能的实施方式中,所述运行信息包括运行所述传输文件时所访问的文件信息、运行所述传输文件时的运行轨迹路径信息中的至少一项内容。
在一种可能的实施方式中,所述报文信息还包括与所述原始报文对应的报文特征,所述检测模块440,还用于将所述报文特征与预先保存的报文特征黑名单库进行匹配;在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时,确定所述原始报文存在网络威胁。
在一种可能的实施方式中,所述装置还包括分析模块,用于对所述传输文件所采用的传输协议进行分析,得到与所述传输文件对应的传输行为;根据所述传输行为,生成与所述会话标识相关联的行为审计日志。
在一种可能的实施方式中,所述装置还包括关联模块,用于当确定存在网络威胁时,生成与所述会话标识相关联的攻击告警信息;通过所述会话标识,将所述行为审计日志、所述攻击告警信息进行关联。
在一种可能的实施方式中,所述运行模块430,用于启动虚拟运行环境运行所述传输文件中所包括的二进制子文件。
在一种可能的实施方式中,所述装置还包括确定模块,用于确定所述传输文件已被解压。
本申请实施例所提供的网络威胁检测装置400,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
前文所述的网络威胁检测方法以及网络威胁检测装置均可以由同一个设备运行,也可以由属于同一系统中的不同的设备来分别执行其中的部分内容。
当由同一系统中的不同的设备来分别执行其中的部分内容时,请参照图3,本申请实施例还提供一种网络威胁检测系统10,包括报文分发单元11、安全审计单元12以及沙箱单元13。
报文分发单元11,用于从网络接口抓取原始报文,并将所述原始报文分别分发给安全审计单元13;
所述安全审计单元12,用于对所述原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容;将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件;将所述传输文件发送给沙箱单元13;
所述沙箱单元13,用于启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息;根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
在一种可能的实施方式中,请参照图4,所述网络威胁检测系统10还包括攻击检测单元14。
报文分发单元11,还用于将所述原始报文分别分发给所述攻击检测单元14;
所述攻击检测单元14,用于对所述原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文特征;将所述报文特征与预先保存的报文特征黑名单库进行匹配;在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时,确定所述原始报文存在网络威胁。
在一种可能的实施方式中,所述安全审计单元12,还用于:对所述传输文件所采用的传输协议进行分析,得到与所述传输文件对应的传输行为;根据所述传输行为,生成与所述会话标识相关联的行为审计日志。
在一种可能的实施方式中,如图4所示,所述网络威胁检测系统10还包括溯源单元16。
报文分发单元11,还用于将所述原始报文分别分发给所述溯源单元16;
溯源单元16,用于对所述原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识以及报文特征;将报文特征、会话标识以及原始报文进行保存;对外提供查询接口,支持以会话标识、原始报文的保存时间范围、报文特征等方式查询对应的原始报文
其中,该溯源单元16主要起到便于用户查询的作用,此外,还可以解决存在攻击事件时的取证问题。
在一种可能的实施方式中,所述网络威胁检测系统10还包括安全分析单元15,用于:当确定存在网络威胁时,生成与所述会话标识相关联的攻击告警信息;通过所述会话标识,将所述行为审计日志、所述攻击告警信息进行关联。
此外,安全分析单元15还可以具备以下功能:
(1)可根据第一类攻击告警信息和/或第二类攻击告警信息,反向查询该攻击告警信息的主体(源IP)、客体(目的IP)的行为审计日志和传输文件;
(2)可根据行为审计日志,反向查询该行为审计日志的主体(源IP)、客体(目的IP)的攻击告警信息;
(3)通过反向查询攻击告警信息、行为审计日志的主体(源IP)、客体(目的IP)对应的原始报文,达到取证目的,当然,在执行该项功能时,需要通过溯源单元16来实现。
(4)可对安全审计单元12、沙箱单元13、攻击检测单元14、溯源单元16下发策略,从而控制这些单元的运行。
本申请实施例所提供的网络威胁检测系统10,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
此外,本申请实施例还提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被计算机运行时,执行如上述的网络威胁检测方法所包含的步骤。
此外,请参照图5,本申请实施例还提供一种用于实现上述网络威胁检测方法、装置的电子设备100。
可选的,电子设备100,可以是,但不限于个人电脑(Personal computer,PC)、智能手机、平板电脑、移动上网设备(Mobile Internet Device,MID)、个人数字助理、服务器等设备。其中,服务器可以是,但不限于网络服务器、数据库服务器、云端服务器等。
其中,电子设备100可以包括:处理器110、存储器120。
应当注意,图5所示的电子设备100的组件和结构只是示例性的,而非限制性的,根据需要,电子设备100也可以具有其他组件和结构。
处理器110、存储器120以及其他可能出现于电子设备100的组件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,处理器110、存储器120以及其他可能出现的组件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
存储器120用于存储程序,例如存储有前文出现的网络威胁检测方法对应的程序或者前文出现的网络威胁检测装置。可选的,当存储器120内存储有网络威胁检测装置时,网络威胁检测装置包括至少一个可以以软件或固件(firmware)的形式存储于存储器120中的软件功能模块。
可选的,网络威胁检测装置所包括软件功能模块也可以固化在电子设备100的操作系统(operating system,OS)中。
处理器110用于执行存储器120中存储的可执行模块,例如网络威胁检测装置包括的软件功能模块或计算机程序。当处理器110在接收到执行指令后,可以执行计算机程序,例如执行:对从网络接口获取到的原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容;将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件;启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息;根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
当然,本申请任一实施例所揭示的方法都可以应用于处理器110中,或者由处理器110实现。
综上所述,本发明实施例提出的网络威胁检测方法、装置、系统、电子设备及存储介质,在对原始报文进行检测时,先将原始报文还原成传输文件,然后启动虚拟运行环境运行传输文件,得到包括传输文件运行过程中所触发的中间行为的运行信息,然后通过比对运行信息与网络威胁黑名单库,来确定与原始报文对应的传输文件在运行过程中是否存在引起网络威胁的中间行为,并以此来确定原始报文是否存在网络威胁,从而避免传统的静态检测无法检测出动态流量或者存在变种病毒的流量所导致的网络威胁。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (15)
1.一种网络威胁检测方法,其特征在于,所述方法包括:
对从网络接口获取到的原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容;
将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件;
启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息;
根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
2.根据权利要求1所述的方法,其特征在于,在所述网络威胁黑名单库内包括多种用于表征存在网络威胁的事件,所述根据所述运行信息及预先建立的网络威胁黑名单库,确定所述原始报文是否存在网络威胁,包括:
在确定所述运行信息所包括的至少一项内容与所述网络威胁黑名单库所包括的任一事件完全一致时,确定所述原始报文存在网络威胁。
3.根据权利要求1或2所述的方法,其特征在于,所述运行信息包括运行所述传输文件时所访问的文件信息、运行所述传输文件时的运行轨迹路径信息中的至少一项内容。
4.根据权利要求1或2所述的方法,其特征在于,所述报文信息还包括与所述原始报文对应的报文特征,在所述对从网络接口获取到的原始报文进行解析之后,所述方法还包括:
将所述报文特征与预先获取的报文特征黑名单库进行匹配;
在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时,确定所述原始报文存在网络威胁。
5.根据权利要求1所述的方法,其特征在于,在所述将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件之后,所述方法还包括:
对所述传输文件所采用的传输协议进行分析,得到与所述传输文件对应的传输行为;
根据所述传输行为,生成与所述会话标识相关联的行为审计日志。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
当确定存在网络威胁时,生成与所述会话标识相关联的攻击告警信息;
通过所述会话标识,将所述行为审计日志、所述攻击告警信息进行关联。
7.根据权利要求1所述的方法,其特征在于,启动虚拟运行环境运行所述传输文件,包括:
启动虚拟运行环境运行所述传输文件中所包括的二进制子文件。
8.根据权利要求1所述的方法,其特征在于,在所述启动虚拟运行环境运行所述传输文件之前,所述方法还包括:
确定所述传输文件已被解压。
9.一种网络威胁检测装置,其特征在于,所述装置包括:
解析模块,用于对从网络接口获取到的原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容;
拼接模块,用于将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件;
运行模块,用于启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息;
检测模块,用于根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
10.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器连接;
所述存储器用于存储程序;
所述处理器调用存储于所述存储器中的程序,以执行如权利要求1-8中任一项所述的方法。
11.一种存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被计算机运行时执行如权利要求1-8中任一项所述的方法。
12.一种网络威胁检测系统,其特征在于,包括:
报文分发单元,用于从网络接口抓取原始报文,并将所述原始报文分别分发给安全审计单元;
所述安全审计单元,用于对所述原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文内容;将具备相同会话标识的原始报文所对应的报文内容进行拼接,得到与所述会话标识对应的传输文件;将所述传输文件发送给沙箱单元;
所述沙箱单元,用于启动虚拟运行环境运行所述传输文件,并记录运行所述传输文件过程中所产生的运行信息;根据所述运行信息及预先获取的网络威胁黑名单库,确定所述原始报文是否存在网络威胁。
13.根据权利要求12所述的网络威胁检测系统,其特征在于,所述网络威胁检测系统还包括攻击检测单元;
报文分发单元,还用于将所述原始报文分别分发给所述攻击检测单元;
所述攻击检测单元,用于对所述原始报文进行解析,得到报文信息,所述报文信息包括与所述原始报文对应的会话标识及报文特征;
将所述报文特征与预先保存的报文特征黑名单库进行匹配;在确定所述报文特征所包括的至少一项内容与预先获取的报文特征黑名单库所包括的任一报文特征一致时,确定所述原始报文存在网络威胁。
14.根据权利要求12所述的网络威胁检测系统,其特征在于,所述安全审计单元,还用于:对所述传输文件所采用的传输协议进行分析,得到与所述传输文件对应的传输行为;根据所述传输行为,生成与所述会话标识相关联的行为审计日志。
15.根据权利要求14所述的网络威胁检测系统,其特征在于,所述网络威胁检测系统还包括安全分析单元,用于:当确定存在网络威胁时,生成与所述会话标识相关联的攻击告警信息;通过所述会话标识,将所述行为审计日志、所述攻击告警信息进行关联。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011643047.1A CN112738118B (zh) | 2020-12-30 | 2020-12-30 | 网络威胁检测方法、装置、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011643047.1A CN112738118B (zh) | 2020-12-30 | 2020-12-30 | 网络威胁检测方法、装置、系统、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738118A true CN112738118A (zh) | 2021-04-30 |
| CN112738118B CN112738118B (zh) | 2023-08-29 |
Family
ID=75609200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011643047.1A Active CN112738118B (zh) | 2020-12-30 | 2020-12-30 | 网络威胁检测方法、装置、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738118B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118717A (zh) * | 2023-09-01 | 2023-11-24 | 湖北顺安伟业科技有限公司 | 一种用户信息威胁分析方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105939314A (zh) * | 2015-09-21 | 2016-09-14 | 杭州迪普科技有限公司 | 网络防护方法和装置 |
| CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
| CN109347793A (zh) * | 2018-09-05 | 2019-02-15 | 江苏博智软件科技股份有限公司 | 一种基于网络流量分析的泄密态势感知系统 |
| CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和系统 |
| CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
| CN111859381A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及介质 |
-
2020
- 2020-12-30 CN CN202011643047.1A patent/CN112738118B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105939314A (zh) * | 2015-09-21 | 2016-09-14 | 杭州迪普科技有限公司 | 网络防护方法和装置 |
| CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
| CN109347793A (zh) * | 2018-09-05 | 2019-02-15 | 江苏博智软件科技股份有限公司 | 一种基于网络流量分析的泄密态势感知系统 |
| CN111859381A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及介质 |
| CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和系统 |
| CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118717A (zh) * | 2023-09-01 | 2023-11-24 | 湖北顺安伟业科技有限公司 | 一种用户信息威胁分析方法及系统 |
| CN117118717B (zh) * | 2023-09-01 | 2024-05-31 | 湖北顺安伟业科技有限公司 | 一种用户信息威胁分析方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738118B (zh) | 2023-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| US8424094B2 (en) | Automated collection of forensic evidence associated with a network security incident | |
| CN103294950B (zh) | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
| CN108763031A (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| CA2874489A1 (en) | Methods and apparatus for identifying and removing malicious applications | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| WO2012065551A1 (zh) | 一种云安全下载方法 | |
| CN103618626A (zh) | 一种基于日志的安全分析报告生成的方法和系统 | |
| CN107995179B (zh) | 一种未知威胁感知方法、装置、设备及系统 | |
| CN108768934B (zh) | 恶意程序发布检测方法、装置以及介质 | |
| CN113438225B (zh) | 一种车载终端漏洞检测方法、系统、设备及存储介质 | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| CN111885007A (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN113452717A (zh) | 通信软件安全防护的方法、装置、电子设备及存储介质 | |
| Sun et al. | Who touched my mission: Towards probabilistic mission impact assessment | |
| CN112738118B (zh) | 网络威胁检测方法、装置、系统、电子设备及存储介质 | |
| CN111191240A (zh) | 互联网电子证据的采集方法、装置及设备 | |
| CN113595981A (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| Mishra et al. | Intrusion detection system with snort in cloud computing: advanced IDS | |
| CN109040080B (zh) | 文件篡改处理方法、装置、云服务平台及存储介质 | |
| Cole et al. | ScanMe mobile: a local and cloud hybrid service for analyzing APKs | |
| US10019582B1 (en) | Detecting application leaks | |
| US9037608B1 (en) | Monitoring application behavior by detecting file access category changes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |