CN112788009B - 一种网络攻击预警方法、装置、介质和设备 - Google Patents

一种网络攻击预警方法、装置、介质和设备 Download PDF

Info

Publication number
CN112788009B
CN112788009B CN202011612593.9A CN202011612593A CN112788009B CN 112788009 B CN112788009 B CN 112788009B CN 202011612593 A CN202011612593 A CN 202011612593A CN 112788009 B CN112788009 B CN 112788009B
Authority
CN
China
Prior art keywords
attack
organization
feature
network
trace
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011612593.9A
Other languages
English (en)
Other versions
CN112788009A (zh
Inventor
孙建鹏
叶晓虎
叶建伟
范敦球
张宇娜
欧帅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN202011612593.9A priority Critical patent/CN112788009B/zh
Publication of CN112788009A publication Critical patent/CN112788009A/zh
Application granted granted Critical
Publication of CN112788009B publication Critical patent/CN112788009B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种网络攻击预警方法、装置、介质和设备。可以根据配置有检测规则的检测模板,针对每个攻击组织的每个攻击特征,对网络设备组件中对应的攻击痕迹进行检测,并可以根据检测模板中配置的匹配方法,确定网络设备组件中的攻击痕迹是否与攻击特征匹配,进而可以根据每个攻击组织的每个攻击特征与网络设备组件中的攻击痕迹的匹配结果,确定每个攻击组织的攻击行为与网络设备中的攻击痕迹的相关性,针对相关性较高的攻击组织进行网络攻击预警,确保在攻击组织的潜伏阶段,也可以有效地发现潜伏的攻击组织,实现网络攻击的预警。

Description

一种网络攻击预警方法、装置、介质和设备
技术领域
本发明涉及网络安全技术领域,特别涉及一种网络攻击预警方法、装置、介质和设备。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
随着网络攻防战的白热化,很多网络攻击常常不是立即发生的。攻击组织(网络攻击的发起方)常常会提前部署并潜伏,从而在必要的时刻发动关键的网络攻击。例如,很多攻击组织会提前在政府机关和企业单位的网络设备中进行部署,在部署之后潜伏较长时间才会在必要的时刻发动关键的网络攻击,时间短的潜伏时间可以长达半年,时间长的潜伏时间甚至可以长达十年之久。
现有的网络攻击发现方案中,需要在每台网络设备中安装终端进行日志收集,收集大量日志配合高性能计算资源对日志进行分析,实现对网络攻击的发现和分析。
但是由于只有在网络攻击发生时,才会产生相应的日志,因此现有方案如果在攻击组织的部署阶段没有发现攻击组织的网络攻击,那么只有在该攻击组织发动关键的网络攻击时,才能进行网络攻击发现和分析,而无法在攻击组织的潜伏阶段,对可能发生的网络攻击进行预警。
需要进一步说明的是,在每台网络设备中安装终端的方式,还会对网络设备造成一定的影响,且终端的可移植性较差,如果有些硬件不支持终端安装,该网络设备将无法被终端覆盖。另外,攻击组织会针对终端进行绕过操作,避免网络攻击被发现,使得终端对网络攻击的发现的可靠性降低。此外,一旦网络攻击对应的攻击手段发生改变或产生了新的网络攻击,需要对终端进行升级,否则就会存在网络攻击漏检的风险,由此导致实现比较复杂。
发明内容
本发明实施例提供一种网络攻击预警方法、装置、介质和设备,用于解决在攻击组织的潜伏阶段,无法对网络攻击进行预警的问题。
第一方面,本发明提供了一种网络攻击预警方法,所述方法包括:
按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行检测,所述攻击特征为针对至少一个攻击组织,预先确定出的每个攻击组织对应的至少一个攻击特征,所述攻击痕迹为网络攻击对应的攻击结果;以及,
按照所述检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配,并将每个匹配结果保存至所述检测模板;
针对每个攻击组织,根据所述检测模板包括的匹配结果,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数;
若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为所述网络设备中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
可选的,若每个攻击组织的每个攻击特征具有对应的权重,则针对每个攻击组织,根据所述检测模板包括的匹配结果,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数,包括:
针对每个攻击组织,根据所述检测模板包括的匹配结果以及每个攻击特征对应的权重,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数。
可选的,针对一个攻击组织,根据所述检测模板包括的匹配结果以及每个攻击特征对应的权重,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数,包括:
通过以下公式确定相关性参数S:
Figure BDA0002873308060000031
其中,Gp表示根据各攻击特征对应的向量值为该攻击特征对应的权重,获得的一个攻击组织对应的各攻击特征对应的向量;
Gc表示根据各与检测出的攻击痕迹不匹配的攻击特征对应的向量值为零,各与检测出的攻击痕迹匹配的攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量;
n表示所述攻击组织对应的攻击特征数量。
可选的,所述方法还包括:
确定分别针对至少两个网络设备获取的,针对每个攻击特征,保存有检测出的攻击痕迹是否与该攻击特征匹配的匹配结果的至少两个检测模板,其中,所述至少两个网络设备对应同一被攻击网络;
针对每个攻击组织,根据确定出的保存有匹配结果的至少两个检测模板包括的匹配结果,确定所述被攻击网络中的攻击痕迹与该攻击组织的攻击行为的相关性参数;
若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为所述被攻击网络中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
可选的,按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行检测,包括:
通过远程登录方式,按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行本地检测;
按照所述检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配,包括:
接收从所述网络设备回传的检测出的攻击痕迹;
按照所述检测模板包括的匹配方法,针对每个攻击特征,确定所述检测出的攻击痕迹是否与该攻击特征匹配。
第二方面,本发明还提供了一种网络攻击预警装置,所述装置包括:
检测模块,用于按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行检测,所述攻击特征为针对至少一个攻击组织,预先确定出的每个攻击组织对应的至少一个攻击特征,所述攻击痕迹为网络攻击对应的攻击结果;
匹配模块,用于按照所述检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配,并将每个匹配结果保存至所述检测模板;
判断模块,用于针对每个攻击组织,根据所述检测模板包括的匹配结果,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数;
预警模块,用于若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为所述网络设备中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
可选的,若每个攻击组织的每个攻击特征具有对应的权重,则所述判断模块,具体用于针对每个攻击组织,根据所述检测模板包括的匹配结果以及每个攻击特征对应的权重,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数。
可选的,所述判断模块,进一步具体用于通过以下公式确定相关性参数S:
Figure BDA0002873308060000041
其中,Gp表示根据各攻击特征对应的向量值为该攻击特征对应的权重,获得的一个攻击组织对应的各攻击特征对应的向量;
Gc表示根据各与检测出的攻击痕迹不匹配的攻击特征对应的向量值为零,各与检测出的攻击痕迹匹配的攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量;
n表示所述攻击组织对应的攻击特征数量。
可选的,所述装置还包括获取模块,用于确定分别针对至少两个网络设备获取的,针对每个攻击特征,保存有检测出的攻击痕迹是否与该攻击特征匹配的匹配结果的至少两个检测模板,其中,所述至少两个网络设备对应同一被攻击网络;
所述判断模块,具体用于针对每个攻击组织,根据确定出的保存有匹配结果的至少两个检测模板包括的匹配结果,确定所述被攻击网络中的攻击痕迹与该攻击组织的攻击行为的相关性参数;
所述预警模块,具体用于若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为所述被攻击网络中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
可选的,所述检测模块,具体用于通过远程登录方式,按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行本地检测;
所述匹配模块,具体用于接收从所述网络设备回传的检测出的攻击痕迹;按照所述检测模板包括的匹配方法,针对每个攻击特征,确定所述检测出的攻击痕迹是否与该攻击特征匹配。
第三方面,本发明还提供了一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现如上所述的方法。
第四方面,本发明还提供了一种网络攻击预警设备,包括处理器、通信接口、存储器和通信总线,其中,所述处理器,所述通信接口,所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存储的程序时,实现如上所述的方法步骤。
根据本发明实施例提供的方案,可以预先确定每个攻击组织的攻击特征,从而可以确定出与每个攻击特征分别对应的攻击痕迹的检测规则、以及每个攻击特征和对应的攻击痕迹的匹配方法,进而可以根据配置有检测规则的检测模板,针对每个攻击组织的每个攻击特征,对网络设备组件中对应的攻击痕迹进行检测,并可以根据检测模板中配置的匹配方法,确定网络设备组件中的攻击痕迹是否与攻击特征匹配,进而可以根据每个攻击组织的每个攻击特征与网络设备组件中的攻击痕迹的匹配结果,确定每个攻击组织的攻击行为与网络设备中的攻击痕迹的相关性,针对相关性较高的攻击组织进行网络攻击预警,确保在攻击组织的潜伏阶段,也可以有效地发现潜伏的攻击组织,实现网络攻击的预警。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络攻击预警方法的流程示意图;
图2为本发明实施例提供的层次定义的检测模板的示意图;
图3为本发明实施例提供的网络攻击预警装置的结构示意图;
图4为本发明实施例提供的网络攻击预警装置的工作流程示意图;
图5为本发明实施例提供的网络攻击预警设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本文中提及的“多个或者若干个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
一般有针对性的网络攻击行为,攻击组织会根据不同的行业,提前数年在网络设备(主机)上进行潜伏,潜伏阶段,没有任何异常行为出现。传统的网络攻击检测方法在攻击组织潜伏期间,无法发现和监控潜伏的攻击组织。
每个攻击组织在实施网络攻击的过程中使用的技术大相径庭,通过对攻击组织的攻击手法分析可以获取一个攻击组织的攻击特征。一个攻击特征可以理解为在某个攻击阶段使用的攻击手法。例如,一个攻击组织在登录阶段,可以使用远程显示协议(RDP,RemoteDisplay Protocol)、服务消息块(SMB,Server Message Block)通信协议、远程登录协议(Telnet)、安全外壳协议(SSH)等多种攻击手法。登录后提权阶段可以使用权限绕过、设置用户标识符(setuid)、设置组标识符(setgid)、令牌模拟、令牌盗取、进程注入等多种攻击手法。各个攻击特征就类似攻击组织的身份特征,因此可以通过对各个攻击特征的描述与组合来刻画攻击组织。
本申请基于攻击组织威胁情报数据(例如,战术技术过程(TTP)情报),利用至少一个攻击特征来刻画一个攻击组织。且本案发明人研究发现,如果攻击组织在部署阶段发动的网络攻击没有被发现和解决,攻击组织的发动的网络攻击会在网络设备上留下攻击痕迹(攻击痕迹可以理解为网络攻击对应的攻击结果)。因此,本申请提出,可以针对一个攻击组织的每个攻击特征,通过检测攻击组织在目标网络设备上留下的攻击痕迹,来与该攻击特征进行匹配,从而通过每个攻击特征的匹配结果,确定目标网络设备是否存在该攻击组织潜伏,提前发现威胁,进而可以解决威胁,瓦解攻击组织的潜伏行为。其中,本申请可以通过远程登录扫描的方法,对大范围内的网络设备是否存在被攻击风险进行检测,实现网络攻击预警。
基于以上说明,本发明实施例提供一种网络攻击预警方法,该方法的步骤流程可以如图1所示,包括:
步骤101、按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行检测。
在本实施例中,可以基于攻击组织威胁情报数据(例如,TTP情报),确定一个攻击组织的至少一个攻击特征。
在一种可能的实现方式中,可以对攻击组织对应的攻击特征进行分类,以更准确地描述攻击特征。一个攻击组织的攻击特征可以但不限于包括以下六种分类:
侦察方式(reconnaissance)、投递方式(delivery)、渗透方式(explitation)、恶意行为方式(action)、文件结构信息(file_structure)以及命令与控制方式(cc)。
其中,侦察方式(reconnaissance)分类下的攻击特征可以但不限于包括:
1)扫描方式(主动扫描或被动扫描)
2)确定域和互联网协议(IP)地址空间的方式
3)确定网络信任依赖关系的方式
4)获取固件版本号的方式
5)枚举客户端配置的方式
6)获取域名传输协议(Whois)信息的方式
投递方式(delivery)分类下的攻击特征可以但不限于包括:
1)通过邮件投递对应的投递信息
2)通过恶意网站投递对应的投递信息
3)通过移动设备投递对应的投递信息
4)通过漏洞渗透投递对应的投递信息
5)通过弱密码登录投递对应的投递信息
渗透方式(explitation)分类下的攻击特征可以但不限于包括:
漏洞利用信息。
恶意行为方式(action)分类下的攻击特征可以但不限于包括:
1)数据窃取的方式
2)账户访问的方式
3)数据销毁的方式
4)数据加密的方式
文件结构信息(file_structure)分类下的攻击特征可以但不限于包括:
1)恶意软件哈希(hash)信息
2)恶意软件关键进程信息
3)恶意软件指纹信息
4)恶意软件行为信息
命令与控制方式(cc)分类下的攻击特征可以但不限于包括:
1)命令协议信息
2)信道信息
3)远程IP信息
4)远程域名信息
攻击组织的每个攻击特征都会有对应的攻击痕迹,攻击痕迹可以理解为网络攻击对应的攻击结果。在确定出一个攻击组织对应的至少一个攻击特征之后,即可以针对每个攻击特征,确定出对应的攻击痕迹的检测规则。当然,如果对攻击特征进行了分类,考虑到每个分类下攻击特征的相关性,每个攻击特征对应的攻击痕迹也可能具有相关性,此时,针对每个攻击特征,确定出对应的攻击痕迹的检测规则,也可以理解为按照攻击特征分类,针对每个分类下的攻击特征,确定出对应的攻击痕迹的检测规则。
在本实施例中,可以针对每个可能的攻击组织,预先设定一个检测模板,利用该检测模板,定义每个可能的攻击组织的每个攻击特征对应的攻击痕迹的检测规则。使得后续可以依据检测模板,对攻击痕迹进行检测。
在本步骤中,可以按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行检测。
需要说明的是,通过检测模板定义每个可能的攻击组织的每个攻击特征对应的攻击痕迹的检测规则,可以通过对检测模板的内容调整,方便快捷地调整攻击痕迹的检测规则,在一个攻击组织对应的攻击特征发生改变时,根据需要实时调整检测规则,确保检测规则调整的便利性。
在本实施例中,网络设备可以理解为任意的可以接入网络的设备。例如,可以但不限于理解为路由器、个人手机等终端设备,也可以但不限于理解为提供邮件服务(如,包括Windows邮件系统)的终端设备、提供办公服务(如,包括Linux办公系统)的终端设备、提供网站服务(如,包括Unix网站系统)的终端设备、提供工控服务(如,包括工控系统)的终端设备等。
在本实施例中,网络设备组件可以但不限于为进程、文件或注册表等。针对不同类型的网络设备,可以针对不同的组件进行攻击痕迹检测。
步骤102、按照检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配,并将每个匹配结果保存至检测模板。
在本实施例中,可以针对每个攻击特征,定义其与对应检测出的攻击痕迹的匹配方法,使得后续可以根据匹配方法,来确定检测出的攻击痕迹是否与一个攻击特征匹配。
在本实施例中,匹配方法也可以通过检测模板来定义。从而使得不仅可以根据检测模板来确定每个攻击特征对应的攻击痕迹的检测规则,还可以根据检测模板确定检测出的攻击痕迹是否与一个攻击特征匹配。
在本步骤中,可以按照检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配,并可以将每个匹配结果保存至检测模板,从而使得后续可以通过检测模板查看每个匹配结果。
在一种可能的实现方案中,如果将攻击特征进行了分类,检测模板可以但不限于按照攻击组织(Group)、攻击特征分类(Object)和检测规则(Rule)这三个核心要素,来层次化地定义每个攻击组织的每个分类下的攻击特征对应的攻击痕迹的检测规则,以及检测出的攻击痕迹与每个攻击特征的匹配方法,以确保获取的检测规则以及匹配方法的准确性。且可以将检测出的攻击痕迹是否与每个攻击特征匹配的匹配结果也按照层次进行保存,使得后续可以准确地获取匹配结果。
按照攻击组织(Group)、攻击特征分类(object)和检测规则(rule)的层次结构,层次定义的检测模板的示意图可以如图2所示。
每个攻击组织(Group)可以对应三个字段,分别为:攻击组织名称(name);攻击组织描述(description);攻击组织对应的攻击特征分类(object)。
以一个攻击组织的攻击特征分类包括侦察方式(reconnaissance)、投递方式(delivery)、渗透方式(explitation)、恶意行为方式(action)、文件结构信息(file_structure)以及命令与控制方式(cc)为例,每个攻击特征分类(object)可以对应三个字段,分别为:攻击特征分类唯一标识号(id);攻击特征分类描述(desc);攻击特征分类对应的检测规则(rule)。
在图2中,仅针对侦察方式(reconnaissance)分类对应的三个字段进行了示意。可以理解为每个分类对应的三个字段均与侦察方式(reconnaissance)分类对应的三个字段相同。
每个检测规则(rule)可以对应七个字段,分别为:检测规则唯一标识号(id);检测内容(type);检测步骤(step);检测所需变量(var);检测方法(method);检测基准(benchmark);检测结果(result)。在图2中,仅以恶意行为方式(action)分类对应的检测规则(rule)为例,对检测规则(rule)所对应的七个字段进行了示意。
其中,检测内容(type)可以包括:
检测文件(可以用file表示),包括文件hash值和文件中的特征片段;
检测注册表(可以用reg表示),针对windows操作系统,可以检测注册表中的内容;
检测网络(可以用net表示),检测网络的端口内容,通信外网地址等内容;
检测进程(可以用process表示),检测进程中的异常信息;
检测配置(可以用config表示),检测配置异常信息;
检测指定日志(可以用log表示),检测指定日志异常信息。
检测所需变量(var)可以是数字,字符串和bin类型,检测所需变量被检测方法(method)使用。
检测方法(method)可以包括:
命令行检测(可以用cmd表示):可以包括具体的执行命令,命令执行参数使用var指定的参数;
脚本检测(可以用script表示):执行参数使用var指定的参数;
检测基准(benchmark)可以理解为用于判断检测出的攻击痕迹是否与当前攻击特征分类下每个攻击特征匹配的匹配方法,即该字段值为利用当前检测规则检测出的攻击痕迹与当前攻击特征分类下每个攻击特征的匹配方法;
检测结果(result)可以理解为根据检测基准,获得的检测出的攻击痕迹是否与当前攻击特征分类下每个攻击特征匹配的匹配结果,即该字段值为当前检测规则对应的攻击痕迹与当前攻击特征分类下每个攻击特征的匹配结果。
例如,侦察方式(reconnaissance)分类对应的检测结果(匹配结果)可以用向量表示为R=[r1……rn],r1~rn可以理解为侦察方式(reconnaissance)分类对应的n个攻击特征。
在根据检测方法(匹配方法)确定侦察方式(reconnaissance)分类对应的一个攻击特征与检测出的攻击痕迹匹配时,则可以将R中与该攻击特征对应的向量值设置为一,否则将该攻击特征对应的向量值设置为零,从而获得向量R1。
类似的,投递方式(delivery)分类对应的检测结果可以用向量表示为D=[d1……dn],d1~dn可以理解为投递方式(delivery)分类对应的n个攻击特征。
在根据检测方法确定投递方式(delivery)分类对应的一个攻击特征与检测出的攻击痕迹匹配时,则可以将D中与该攻击特征对应的向量值设置为一,否则将该攻击特征对应的向量值设置为零,从而获得向量D1。
渗透方式(explitation)分类对应的检测结果可以用向量表示为E=[e1……en],e1~en可以理解为渗透方式(explitation)分类对应的n个攻击特征。
在根据检测方法确定渗透方式(explitation)分类对应的一个攻击特征与检测出的攻击痕迹匹配时,则可以将E中与该攻击特征对应的向量值设置为一,否则将该攻击特征对应的向量值设置为零,从而获得向量E1。
恶意行为方式(action)分类对应的检测结果可以用向量表示为A=[a1……an],a1~an可以理解为恶意行为方式(action)分类对应的n个攻击特征。
在根据检测方法确定恶意行为方式(action)分类对应的一个攻击特征与检测出的攻击痕迹匹配时,则可以将A中与该攻击特征对应的向量值设置为一,否则将该攻击特征对应的向量值设置为零,从而获得向量A1。
文件结构信息(file_structure)分类对应的检测结果可以用向量表示为F=[f1……fn],fl~fn可以理解为文件结构信息(file_structure)分类对应的n个攻击特征。
在根据检测方法确定文件结构信息(file_structure)分类对应的一个攻击特征与检测出的攻击痕迹匹配时,则可以将F中与该攻击特征对应的向量值设置为一,否则将该攻击特征对应的向量值设置为零,从而获得向量F。
命令与控制方式(cc)分类对应的检测结果可以用向量表示为C=[c1……cn],c1~cn可以理解为命令与控制方式(cc)分类对应的n个攻击特征。
在根据检测方法确定命令与控制方式(cc)分类对应的一个攻击特征与检测出的攻击痕迹匹配时,则可以将C中与该攻击特征对应的向量值设置为一,否则将该攻击特征对应的向量值设置为零,从而获得向量C1。
需要说明的是,步骤102不限于在步骤101之后执行,在通过步骤101检测每个攻击特征对应的攻击痕迹的过程中,如果针对一个攻击特征对应的攻击痕迹的检测完毕,则可以针对该攻击特征,执行步骤102,确定检测出的攻击痕迹是否与该攻击特征匹配,并将匹配结果保存至检测模板。
步骤103、针对每个攻击组织,根据检测模板包括的匹配结果,确定网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数。
在本步骤中,可以针对每个攻击组织,根据该攻击组织对应的每个攻击特征与检测出的攻击痕迹的匹配结果,确定网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数。
例如,假设检测模板保存的匹配结果中,显示网络设备中检测出的攻击痕迹与攻击组织1的攻击特征1、2匹配,与攻击组织2的攻击特征2、5匹配,与攻击组织4的攻击特征3、6、7匹配。
那么,可以根据网络设备中检测出的攻击痕迹与攻击组织1的攻击特征1、2匹配,确定网络设备中的攻击痕迹与攻击组织1的攻击行为的相关性参数。
根据网络设备中检测出的攻击痕迹与攻击组织1的攻击特征1、2匹配,确定网络设备中的攻击痕迹与攻击组织1的攻击行为的相关性参数可以通过任意方式实现。例如,可以根据网络设备中检测出的攻击痕迹与攻击组织1的2个攻击特征(攻击特征1、2)匹配,以及攻击组织1对应的攻击特征为6个(例如,假设攻击组织1对应的攻击特征为攻击组织1的攻击特征1~6),确定网络设备中的攻击痕迹与攻击组织1的攻击行为的相关性参数为2/6=33.3%。
类似的,可以根据网络设备中检测出的攻击痕迹与攻击组织2的攻击特征2、5匹配,确定网络设备中的攻击痕迹与攻击组织2的攻击行为的相关性参数。
根据网络设备中检测出的攻击痕迹与攻击组织3的攻击特征3、6、7匹配,确定网络设备中的攻击痕迹与攻击组织3的攻击行为的相关性参数。
在一种可能的实现方式中,考虑到每个攻击特征对描述一个攻击组织的重要性不同,可以针对每个攻击组织,为每个攻击特征分配权重。权重取值越高,可以表示一个攻击特征对于描述一个攻击组织的重要性越大。例如,由于通过非授权方式登录网络设备主机的攻击特征较为普遍,可以为通过非授权方式登录网络设备主机的攻击特征分配较低的权重,而攻击组织主机和网络设备主机之间通信协议的攻击特征,不具有通用性,可以为攻击组织主机和网络设备主机之间通信协议的攻击特征分配较高的权重。
在本步骤中,可以针对每个攻击组织,根据检测模板包括的匹配结果以及每个攻击特征对应的权重,确定网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数,从而可以结合攻击特征权重来确定相关性参数,提高潜伏的攻击组织排查的准确性,进一步提高网络预警的准确性。
更进一步的,在一种可能的实现方式中,针对每个攻击组织,根据检测模板包括的匹配结果以及每个攻击特征对应的权重,确定网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数,可以包括:
通过以下公式确定相关性参数S:
Figure BDA0002873308060000151
其中,Gp表示根据各攻击特征对应的向量值为该攻击特征对应的权重,获得的一个攻击组织对应的各攻击特征对应的向量;
Gc表示根据各与检测出的攻击痕迹不匹配的攻击特征对应的向量值为零,各与检测出的攻击痕迹匹配的攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量;
n表示所述攻击组织对应的攻击特征数量。
例如,仍接步骤102所给例子,假设为每个攻击特征分配权重,权重取值范围为[0,1],那么可以将R1、F1、D1、E1、C1、A1中非零的向量值用每个攻击特征对应的权重来取代,Gc可以通过每个分类对应的向量表示为Gc=[R1,F1,D1,E1,C1,A1]。Gc可以理解为根据扫描结果获得的,用于描述网络设备对应的攻击特征的向量。
另外,R中与每个攻击特征对应的向量值设置为该攻击特征对应的权重值所对应的向量可以记为R2。D中与每个攻击特征对应的向量值设置为该攻击特征对应的权重值所对应的向量可以记为D2。E中与每个攻击特征对应的向量值设置为该攻击特征对应的权重值所对应的向量可以记为E2。A中与每个攻击特征对应的向量值设置为该攻击特征对应的权重值所对应的向量可以记为A2。F中与每个攻击特征对应的向量值设置为该攻击特征对应的权重值所对应的向量可以记为F2。C中与每个攻击特征对应的向量值设置为该攻击特征对应的权重值所对应的向量可以记为C2。
Gp可以通过每个分类对应的向量表示为Gp=[R2,F2,D2,E2,C2,A2],Gp可以理解为标准向量,用于描述攻击组织对应的攻击特征。
获得Gp,Gc的向量表示后,即可以基于Gp,Gc,计算获得S。即基于通过检测得到的向量Gc与标准向量Gp之间的相似性比较,得到相关性参数S。
确定出的相关性参数S的取值范围为[0,1],相关性参数取值越接近1,说明在网络设备中发现的攻击痕迹与该攻击组织的攻击特征越吻合,该攻击组织在该网络设备中潜伏的可能性越大,从而可以在该相关性参数大于设定值时,将该攻击组织作为网络设备中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
步骤104、将每个高于设定值的相关性参数对应的攻击组织作为网络设备中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
在本步骤中,若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为网络设备中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
也就是说,如果相关性参数高于设定值,则可以认为该相关性参数对应的攻击组织可能是网络设备中潜伏的攻击组织,可以针对该攻击组织进行网络攻击预警,从而瓦解该攻击组织的潜伏行为。
需要进一步说明的是,考虑到攻击组织可能针对同一被攻击网络(例如,同一企业单位或者同一政府机关)的多个网络设备进行攻击,在同一被攻击网络的多台网络设备中留下攻击痕迹,而在一台网络设备中留下的攻击痕迹可能较少,为了进一步提高潜伏的攻击组织排查的准确性,避免潜伏的攻击组织的漏检,在本实施例中,可以确定分别针对至少两个网络设备获取的,针对每个攻击特征,保存有检测出的攻击痕迹是否与该攻击特征匹配的匹配结果的至少两个检测模板,其中,至少两个网络设备对应同一被攻击网络。
也就是说,在本实施例中,可以分别针对对应同一被攻击网络的至少两个网络设备,执行上述步骤101~102,从而针对每个网络设备,分别获得一个保存有匹配结果的检测模板。
进一步的,可以针对每个攻击组织,根据确定出的保存有匹配结果的至少两个检测模板包括的匹配结果,确定被攻击网络中的攻击痕迹与该攻击组织的攻击行为的相关性参数。且与确定出一个网络设备中的攻击痕迹与一个攻击组织的攻击行为的相关性参数类似的,若确定出的至少一个相关性参数高于设定值,可以将每个高于设定值的相关性参数对应的攻击组织作为被攻击网络中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
其中,可以理解为,针对每个攻击组织,可以将确定出的保存有匹配结果的至少两个检测模板包括的匹配结果叠加,来确定被攻击网络中的攻击痕迹与该攻击组织的攻击行为的相关性参数。
例如,假设网络设备1、2、3对应同一被攻击网络,针对网络设备1,确定出一个包括匹配结果的检测模板1,针对网络设备2,确定出一个包括匹配结果的检测模板2,针对网络设备3,确定出一个包括匹配结果的检测模板3。
进一步假设针对攻击组织1,检测模板1保存的匹配结果中,显示网络设备1中检测出的攻击痕迹与攻击组织1的攻击特征1、2匹配。针对攻击组织1,检测模板2保存的匹配结果中,显示网络设备2中检测出的攻击痕迹与攻击组织1的攻击特征1、2、3匹配。针对攻击组织1,检测模板3保存的匹配结果中,显示网络设备3中检测出的攻击痕迹与攻击组织1的攻击特征1、2、4匹配。
那么可以认为针对攻击组织1,检测模板1~3包括的匹配结果,显示被攻击网络中检测出的攻击痕迹与攻击组织1的攻击特征1、2、3、4匹配。进而可以根据被攻击网络中检测出的攻击痕迹与攻击组织1的攻击特征1、2、3、4匹配,确定被攻击网络中的攻击痕迹与该攻击组织的攻击行为的相关性参数。如果该相关性参数大于设定值,则可以认为攻击组织1是被攻击网络中潜伏的攻击组织,可以针对攻击组织1进行网络攻击预警。
当然,确定被攻击网络中的攻击痕迹与一个攻击组织的攻击行为的相关性参数时,也可以结合攻击特征权重来确定相关性参数,此处不再进一步说明。
另外需要说明的是,本实施例提供的方案中,可以通过远程登录扫描的方法,对网络设备中的攻击痕迹进行本地检测,并对回传数据进行分析,以对网络设备是否存在被攻击风险进行检测,实现网络攻击预警。
此时,在步骤101中,可以通过远程登录方式,按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行本地检测。在步骤102中,可以接收从网络设备回传的检测出的攻击痕迹,按照检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配。
本发明实施例提出了一种发现攻击组织的方法,可以使用无终端、本地扫描的方式对攻击组织进行发现,不需要通过分析海量日志对攻击组织进行发现,且可以提前发现隐藏的攻击组织,例如隐藏在企业内部的攻击组织,实现网络攻击的预警。
同时,本发明实施例提供的方案,无需在每台网络设备中安装终端,不会对网络设备造成影响,还避免了终端的可移植性较差,如果有些硬件不支持终端安装,该网络设备将无法被终端覆盖的问题。同时,解决了攻击组织会针对终端进行绕过操作,避免网络攻击被发现,使得终端对网络攻击的发现的可靠性降低的问题。此外,网络攻击对应的攻击手段发生改变或产生了新的网络攻击时,只需要更新检测模板即可,无需对终端进行升级,降低了实现的复杂度。
与提供的方法对应的,进一步提供以下的装置。
本发明实施例提供一种网络攻击预警装置,该装置的结构可以如图3所示,包括:
检测模块11用于按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行检测,所述攻击特征为针对至少一个攻击组织,预先确定出的每个攻击组织对应的至少一个攻击特征,所述攻击痕迹为网络攻击对应的攻击结果;
匹配模块12用于按照所述检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配,并将每个匹配结果保存至所述检测模板;
判断模块13用于针对每个攻击组织,根据所述检测模板包括的匹配结果,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数;
预警模块14用于若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为所述网络设备中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
可选的,若每个攻击组织的每个攻击特征具有对应的权重,则所述判断模块13具体用于针对每个攻击组织,根据所述检测模板包括的匹配结果以及每个攻击特征对应的权重,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数。
可选的,所述判断模块13进一步具体用于通过以下公式确定相关性参数S:
Figure BDA0002873308060000201
其中,Gp表示根据各攻击特征对应的向量值为该攻击特征对应的权重,获得的一个攻击组织对应的各攻击特征对应的向量;
Gc表示根据各与检测出的攻击痕迹不匹配的攻击特征对应的向量值为零,各与检测出的攻击痕迹匹配的攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量;
n表示所述攻击组织对应的攻击特征数量。
可选的,所述装置还包括获取模块15用于确定分别针对至少两个网络设备获取的,针对每个攻击特征,保存有检测出的攻击痕迹是否与该攻击特征匹配的匹配结果的至少两个检测模板,其中,所述至少两个网络设备对应同一被攻击网络;
所述判断模块13具体用于针对每个攻击组织,根据确定出的保存有匹配结果的至少两个检测模板包括的匹配结果,确定所述被攻击网络中的攻击痕迹与该攻击组织的攻击行为的相关性参数;
所述预警模块14具体用于若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为所述被攻击网络中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
可选的,所述检测模块11具体用于通过远程登录方式,按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行本地检测;
所述匹配模块12具体用于接收从所述网络设备回传的检测出的攻击痕迹;按照所述检测模板包括的匹配方法,针对每个攻击特征,确定所述检测出的攻击痕迹是否与该攻击特征匹配。
本发明上述实施例提供的各装置的各功能单元的功能,可以通过上述对应的各方法的步骤来实现,因此,本发明实施例提供的各装置中的各个功能单元的具体工作过程和有益效果,在此不复赘述。
下面结合图4,对网络攻击预警装置的工作流程进行简单说明。
在根据攻击组织威胁情报数据(例如,TTP情报),获得每个可能的攻击组织对应的攻击特征之后,即可以结合检测规则定义的层次结构,通过机器语言描述的方式,获得每个攻击特征对应的攻击痕迹检测规则,并设置对应的匹配方法,形成检测模板。
网络攻击预警装置可以基于形成的检测模板,通过远程授权登录的方式,对网络设备(图4中,以网络设备为路由器、包括Windows邮件系统的终端设备、包括Linux办公系统的终端设备、包括Unix网站系统的终端设备、个人手机(Mobile)和包括工控系统的终端设备为例进行示意)进行本地扫描,获得回传的扫描结果之后,即可以确定检测出的攻击痕迹是否与每个攻击特征匹配,将匹配结果保存至检测模板,并可以针对每个攻击组织,根据检测模板包括的匹配结果,通过相似度计算,确定网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数,进而可以将每个高于设定值的相关性参数对应的攻击组织作为网络设备中潜伏的攻击组织。其中,可以根据确定出的相关性参数,生成攻击组织检测报告,对潜伏的攻击组织进行网络攻击预警。
基于同一发明构思,本发明实施例提供以下的设备和介质。
本发明实施例提供一种网络攻击预警设备,该设备的结构可以如图5所示,包括处理器21、通信接口22、存储器23和通信总线24,其中,所述处理器21,所述通信接口22,所述存储器23通过所述通信总线24完成相互间的通信;
所述存储器23,用于存放计算机程序;
所述处理器21,用于执行所述存储器上所存储的程序时,实现本发明上述方法实施例所述的步骤。
可选的,所述处理器21具体可以包括中央处理器(CPU)、特定应用集成电路(ASIC,Application Specific Integrated Circuit),可以是一个或多个用于控制程序执行的集成电路,可以是使用现场可编程门阵列(FPGA,Field Programmable Gate Array)开发的硬件电路,可以是基带处理器。
可选的,所述处理器21可以包括至少一个处理核心。
可选的,所述存储器23可以包括只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)和磁盘存储器。存储器23用于存储至少一个处理器21运行时所需的数据。存储器23的数量可以为一个或多个。
本发明实施例还提供一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,当可执行程序被处理器执行时,实现本发明上述方法实施例提供的方法。
在具体的实施过程中,计算机存储介质可以包括:通用串行总线闪存盘(USB,Universal Serial Bus Flash Drive)、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的存储介质。
在本发明实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性或其它的形式。
在本发明实施例中的各功能单元可以集成在一个处理单元中,或者各个单元也可以均是独立的物理模块。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备,例如可以是个人计算机,服务器,或者网络设备等,或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus Flash Drive)、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种网络攻击预警方法,其特征在于,所述方法包括:
按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行检测,所述攻击特征为针对至少一个攻击组织,预先确定出的每个攻击组织对应的至少一个攻击特征,所述攻击痕迹为网络攻击对应的攻击结果;以及,
按照所述检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配,并将每个匹配结果保存至所述检测模板;
针对每个攻击组织,根据所述检测模板包括的匹配结果,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数;
若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为所述网络设备中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
2.如权利要求1所述的方法,其特征在于,若每个攻击组织的每个攻击特征具有对应的权重,则针对每个攻击组织,根据所述检测模板包括的匹配结果,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数,包括:
针对每个攻击组织,根据所述检测模板包括的匹配结果以及每个攻击特征对应的权重,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数。
3.如权利要求2所述的方法,其特征在于,针对一个攻击组织,根据所述检测模板包括的匹配结果以及每个攻击特征对应的权重,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数,包括:
通过以下公式确定相关性参数S:
Figure FDA0003845331490000021
其中,Gp表示根据各攻击特征对应的向量值为该攻击特征对应的权重,获得的一个攻击组织对应的各攻击特征对应的向量;
Gc表示根据各与检测出的攻击痕迹不匹配的攻击特征对应的向量值为零,各与检测出的攻击痕迹匹配的攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量;
n表示所述攻击组织对应的攻击特征数量;
Gpi表示所述Gp中第i个攻击特征对应的向量;
Figure FDA0003845331490000022
表示根据各攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量之间的向量平均值;
Gci表示所述Gc中所述第i个攻击特征对应的向量;
Figure FDA0003845331490000023
表示根据各与检测出的攻击痕迹不匹配的攻击特征对应的向量值为零,各与检测出的攻击痕迹匹配的攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量之间的向量平均值。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
确定分别针对至少两个网络设备获取的,针对每个攻击特征,保存有检测出的攻击痕迹是否与该攻击特征匹配的匹配结果的至少两个检测模板,其中,所述至少两个网络设备对应同一被攻击网络;
针对每个攻击组织,根据确定出的保存有匹配结果的至少两个检测模板包括的匹配结果,确定所述被攻击网络中的攻击痕迹与该攻击组织的攻击行为的相关性参数;
若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为所述被攻击网络中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
5.如权利要求1所述的方法,其特征在于,按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行检测,包括:
通过远程登录方式,按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行本地检测;
按照所述检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配,包括:
接收从所述网络设备回传的检测出的攻击痕迹;
按照所述检测模板包括的匹配方法,针对每个攻击特征,确定所述检测出的攻击痕迹是否与该攻击特征匹配。
6.一种网络攻击预警装置,其特征在于,所述装置包括:
检测模块,用于按照预先设定的检测模板包括的检测规则,针对每个攻击特征,对网络设备至少一个组件中的攻击痕迹进行检测,所述攻击特征为针对至少一个攻击组织,预先确定出的每个攻击组织对应的至少一个攻击特征,所述攻击痕迹为网络攻击对应的攻击结果;
匹配模块,用于按照所述检测模板包括的匹配方法,针对每个攻击特征,确定检测出的攻击痕迹是否与该攻击特征匹配,并将每个匹配结果保存至所述检测模板;
判断模块,用于针对每个攻击组织,根据所述检测模板包括的匹配结果,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数;
预警模块,用于若确定出的至少一个相关性参数高于设定值,将每个高于设定值的相关性参数对应的攻击组织作为所述网络设备中潜伏的攻击组织,针对该攻击组织进行网络攻击预警。
7.如权利要求6所述的装置,其特征在于,若每个攻击组织的每个攻击特征具有对应的权重,则所述判断模块,具体用于针对每个攻击组织,根据所述检测模板包括的匹配结果以及每个攻击特征对应的权重,确定所述网络设备中的攻击痕迹与该攻击组织的攻击行为的相关性参数。
8.如权利要求7所述的装置,其特征在于,所述判断模块,进一步具体用于通过以下公式确定相关性参数S:
Figure FDA0003845331490000041
其中,Gp表示根据各攻击特征对应的向量值为该攻击特征对应的权重,获得的一个攻击组织对应的各攻击特征对应的向量;
Gc表示根据各与检测出的攻击痕迹不匹配的攻击特征对应的向量值为零,各与检测出的攻击痕迹匹配的攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量;
n表示所述攻击组织对应的攻击特征数量;
Gpi表示所述Gp中第i个攻击特征对应的向量;
Figure FDA0003845331490000042
表示根据各攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量之间的向量平均值;
Gci表示所述Gc中所述第i个攻击特征对应的向量;
Figure FDA0003845331490000043
表示根据各与检测出的攻击痕迹不匹配的攻击特征对应的向量值为零,各与检测出的攻击痕迹匹配的攻击特征对应的向量值为该攻击特征对应的权重,获得的所述攻击组织对应的各攻击特征对应的向量之间的向量平均值。
9.一种非易失性计算机存储介质,其特征在于,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现权利要求1~5任一所述的方法。
10.一种网络攻击预警设备,其特征在于,所述设备包括处理器、通信接口、存储器和通信总线,其中,所述处理器,所述通信接口,所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存储的程序时,实现权利要求1~5任一所述的方法步骤。
CN202011612593.9A 2020-12-30 2020-12-30 一种网络攻击预警方法、装置、介质和设备 Active CN112788009B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011612593.9A CN112788009B (zh) 2020-12-30 2020-12-30 一种网络攻击预警方法、装置、介质和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011612593.9A CN112788009B (zh) 2020-12-30 2020-12-30 一种网络攻击预警方法、装置、介质和设备

Publications (2)

Publication Number Publication Date
CN112788009A CN112788009A (zh) 2021-05-11
CN112788009B true CN112788009B (zh) 2023-01-17

Family

ID=75753931

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011612593.9A Active CN112788009B (zh) 2020-12-30 2020-12-30 一种网络攻击预警方法、装置、介质和设备

Country Status (1)

Country Link
CN (1) CN112788009B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6078179B1 (ja) * 2016-01-20 2017-02-08 西日本電信電話株式会社 セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム
WO2017039136A1 (ko) * 2015-08-28 2017-03-09 (주)엔키소프트 소스코드기반 소프트웨어 취약점 공격행위 분석시스템
CN110545250A (zh) * 2018-05-29 2019-12-06 国际关系学院 一种多源攻击痕迹融合关联的溯源方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7603709B2 (en) * 2001-05-03 2009-10-13 Computer Associates Think, Inc. Method and apparatus for predicting and preventing attacks in communications networks
KR101940512B1 (ko) * 2014-02-03 2019-01-21 한국전자통신연구원 공격특성 dna 분석 장치 및 그 방법
WO2016035083A2 (en) * 2014-09-06 2016-03-10 Andriani Matthew Non-disruptive ddos testing
US11303667B2 (en) * 2018-04-25 2022-04-12 Illusive Networks Ltd Organization attack surface management

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017039136A1 (ko) * 2015-08-28 2017-03-09 (주)엔키소프트 소스코드기반 소프트웨어 취약점 공격행위 분석시스템
JP6078179B1 (ja) * 2016-01-20 2017-02-08 西日本電信電話株式会社 セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム
CN110545250A (zh) * 2018-05-29 2019-12-06 国际关系学院 一种多源攻击痕迹融合关联的溯源方法

Also Published As

Publication number Publication date
CN112788009A (zh) 2021-05-11

Similar Documents

Publication Publication Date Title
CN109711171B (zh) 软件漏洞的定位方法及装置、系统、存储介质、电子装置
US9798884B1 (en) Systems and methods for identifying insider threats in code
EP2955658B1 (en) System and methods for detecting harmful files of different formats
US9654486B2 (en) System and method for generating sets of antivirus records for detection of malware on user devices
WO2017217301A1 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
CN112134897B (zh) 网络攻击数据的处理方法和装置
CN113496033B (zh) 访问行为识别方法和装置及存储介质
US10372907B2 (en) System and method of detecting malicious computer systems
US10885162B2 (en) Automated determination of device identifiers for risk-based access control in a computer network
CN105760787A (zh) 用于检测随机存取存储器中的恶意代码的系统及方法
Lingenfelter et al. Analyzing variation among iot botnets using medium interaction honeypots
CN113901475A (zh) 一种针对工控终端设备的输入验证漏洞的模糊挖掘方法
CN110765333A (zh) 采集网站信息的方法及装置、存储介质、电子装置
Rani et al. A framework for the identification of suspicious packets to detect anti-forensic attacks in the cloud environment
CN114785567A (zh) 一种流量识别方法、装置、设备及介质
CN112788009B (zh) 一种网络攻击预警方法、装置、介质和设备
US10931693B2 (en) Computation apparatus and method for identifying attacks on a technical system on the basis of events of an event sequence
Nath Vulnerability assessment methods–a review
CN116127453A (zh) 一种apt攻击检测方法、系统、装置、介质及设备
US20220398315A1 (en) Determining a Malware Defense Profile Using Machine Learning
CN113824678B (zh) 处理信息安全事件的系统、方法和非暂时性计算机可读介质
EP3252645A1 (en) System and method of detecting malicious computer systems
US11763004B1 (en) System and method for bootkit detection
Lee et al. Screening smartphone applications using behavioral signatures
Azab Packing resistant solution to group malware binaries

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant