CN112866264A - 网络安全检测方法及装置、网络安全设备、可读存储介质 - Google Patents
网络安全检测方法及装置、网络安全设备、可读存储介质 Download PDFInfo
- Publication number
- CN112866264A CN112866264A CN202110100607.7A CN202110100607A CN112866264A CN 112866264 A CN112866264 A CN 112866264A CN 202110100607 A CN202110100607 A CN 202110100607A CN 112866264 A CN112866264 A CN 112866264A
- Authority
- CN
- China
- Prior art keywords
- network security
- threat intelligence
- rule
- security device
- security detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 145
- 238000012544 monitoring process Methods 0.000 claims description 14
- 238000000034 method Methods 0.000 abstract description 10
- 238000004891 communication Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 210000001503 joint Anatomy 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全检测领域,公开了一种网络安全检测方法及装置、网络安全设备、计算机可读存储介质。本发明通过第一网络安全设备监测指定的时间间隔是否到达;若指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备;第二网络安全设备接收第一网络安全设备发送的威胁情报规则;根据威胁情报规则和本地威胁情报规则,进行网络安全检测;解决了相关技术中网络安全检测准确性低的问题。
Description
技术领域
本发明涉及网络安全检测领域,尤其涉及一种网络安全检测方法及装置、网络安全设备、计算机可读存储介质。
背景技术
随着互联网的发展和计算机网络的迅速增长,网络安全已成为企业考虑的最重要因素之一,为了防护网络保障网络安全,网络安全设备的重要性愈发凸显。当网络范围内的网络安全设备存在数量比较大的时候,人工维护单个网络安全设备的成本过高,因此通常采用的做法是通过开发集中管理平台来远程管理网络范围内的所有网络安全设备。但是该做法也只能限于管理厂商自己家的设备,很难和其他厂商设备实现对接,并且集中管理平台的远程管理很难做到实时更新,无法随着网络环境变化而动态更新威胁情报规则,导致网络攻击在一段时间的窗口期内持续带来损失,由此可见,现有网络安全检测的准确性低。
因此,如何提升网络安全检测的准确性是亟待解决的问题。
发明内容
本发明的主要目的在于提供网络安全检测方法及装置、设备、计算机可读存储介质,旨在提升网络安全检测的准确性。
为实现上述目的,本发明提供一种网络安全检测方法,应用于第一网络安全设备,所述网络安全检测方法包括以下步骤:
监测指定的时间间隔是否到达;
若指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备,以使得所述至少一个第二网络安全设备根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
可选的,所述监测指定的时间间隔是否到达的步骤之前,所述网络安全检测方法还包括:
根据预设检测规则进行网络安全检测,得到检测结果;根据所述检测结果,生成威胁情报规则。
和/或,
接收设置指令,根据所述设置指令,生成威胁情报规则。
可选的,所述将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备的步骤之前,所述网络安全检测方法还包括:
根据加密密钥对所述威胁情报规则进行加密,得到加密后的威胁情报规则;
所述将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备的步骤,包括:
将加密后的威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备。
为实现上述目的,本发明提供一种网络安全检测方法,应用于第二网络安全设备,所述网络安全检测方法包括以下步骤:
接收第一网络安全设备发送的威胁情报规则;其中,所述威胁情报规则为所述第一网络安全设备在指定的时间间隔到达时发送的;
根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
可选的,若接收到的威胁情报规则为加密后的威胁情报规则,所述根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤之前,所述网络安全检测方法还包括:
利用解密密钥对所述加密后的威胁情报规则进行解密,得到解密后的威胁情报规则;其中,所述解密密钥对应加密密钥,所述加密密钥用于所述第一网络安全设备对所述威胁情报规则进行加密;
所述根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤,包括:
根据解密后的威胁情报规则和本地威胁情报规则,进行网络安全检测。
可选的,所述根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤之后,所述网络安全检测方法还包括:
判断所述威胁情报规则对应的定时器设定的时长是否到达;
若是,则将所述威胁情报规则设置为失效,或将所述威胁情报规则进行舍弃。
可选的,所述根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤,包括:
判断所述威胁情报规则是否存在与所述本地威胁情报规则冲突的规则;
若是,则根据预设优先级顺序确定第一目标威胁情报规则,根据所述第一目标威胁情报规则进行网络安全检测;
若否,则将所述威胁情报规则和所述本地威胁情报规则进行整合,得到第二目标威胁情报规则,根据所述第二目标威胁情报规则进行网络安全检测。
此外,为实现上述目的,本发明还提供一种网络安全检测方法,第一网络安全设备监测指定的时间间隔是否到达;若指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备;
所述第二网络安全设备接收所述第一网络安全设备发送的威胁情报规则;根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
此外,为实现上述目的,本发明还提供一种网络安全检测装置,应用于第一网络安全设备,所述网络安全检测装置包括:
监测模块,用于监测指定的时间间隔是否到达;
发送模块,用于若监测模块监测到指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备,以使得所述至少一个第二网络安全设备根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
此外,为实现上述目的,本发明还提供一种网络安全检测装置,应用于第二网络安全设备,所述网络安全检测装置包括:
接收模块,用于接收第一网络安全设备发送的威胁情报规则;其中,所述威胁情报规则为所述第一网络安全设备在指定的时间间隔到达时发送的;
检测模块,用于根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
此外,为实现上述目的,本发明还提供一种网络安全设备,所述网络安全设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行网络安全检测程序,所述网络安全检测程序被所述处理器执行时实现如上文第一网络安全设备或第二网络安全设备的网络安全检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络安全检测程序,网络安全检测程序被处理器执行时实现如上文第一网络安全设备或第二网络安全设备的网络安全检测方法的步骤。
本发明提供的技术方案,通过第一网络安全设备监测指定的时间间隔是否到达;若指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备;第二网络安全设备接收第一网络安全设备发送的威胁情报规则;根据威胁情报规则和本地威胁情报规则,进行网络安全检测;解决了相关技术中网络安全检测准确性低的问题。
也即本发明提供的技术方案中,第一网络安全设备将威胁情报规则发送至了第二网络安全设备,进而第二网络安全设备在进行网络安全检测时,是根据第一网络安全设备侧的威胁情报规则和第二网络安全设备侧的本地威胁情报规则,而对于第二网络安全设备而言,第一网络安全设备发送的威胁情报规则为外部威胁情报规则;因此,第二网络安全设备是结合了外部威胁情报规则和本地威胁情报规则共同来进行网络安全检测,由此,可以在极大程度上提升网络安全检测的准确性,进而保障网络安全。并且,通过第一网络安全设备和第二网络安全设备的本地威胁情报规则的直接交互,无需再借助于集中管理平台的远程管理,降低了管理成本;同时,能够实现不同厂商设备之间的对接,灵活性更高。
附图说明
为了更清楚地说明本实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1是本实施例方案涉及的硬件运行环境的网络安全设备结构示意图;
图2为本发明网络安全检测方法第一实施例的流程示意图;
图3为本发明网络安全检测方法第二实施例的流程示意图;
图4为本发明网络安全检测方法第四实施例的示意图;
图5为本发明应用于第一网络安全设备的网络安全检测装置第一实施例的结构框图;
图6为本发明应用于第二网络安全设备的网络安全检测装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
请参见图1所示,图1为本实施例方案涉及的硬件运行环境的网络安全设备结构示意图。
网络安全设备包括:至少一个处理器101、存储器102以及存储在存储器上并可在处理器上运行的网络安全检测程序,网络安全检测程序配置为实现如下任一实施例的网络安全检测方法的步骤。
处理器101可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器101可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器101也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(CentralProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器101可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。处理器101还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关网络安全检测方法操作,使得网络安全检测方法模型可以自主训练学习,提高效率和准确度。
存储器102可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器102还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储网络安全设备、闪存存储网络安全设备。在一些实施例中,存储器102中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器101所执行以实现本申请中方法实施例提供的网络安全检测方法。
在一些实施例中,网络安全设备还可选包括有:通信接口103和至少一个外围设备。处理器101、存储器102和通信接口103之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与通信接口103相连。具体地,外围设备包括:射频电路104、显示屏105和电源106中的至少一种。
通信接口103可被用于将I/O(Input/Output,输入/输出)相关的至少一个外围设备连接到处理器101和存储器102。在一些实施例中,处理器101、存储器102和通信接口103被集成在同一芯片或电路板上;在一些其他实施例中,处理器101、存储器102和通信接口103中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路104用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路104通过电磁信号与通信网络以及其他通信网络安全设备进行通信。射频电路104将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路104包括:天线系统、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路104可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路104还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏105用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏105是触摸显示屏时,显示屏105还具有采集在显示屏105的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器101进行处理。此时,显示屏105还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏105可以为一个,网络安全设备的前面板;在另一些实施例中,显示屏105可以为至少两个,分别设置在网络安全设备的不同表面或呈折叠设计;在一些实施例中,显示屏105可以是柔性显示屏,设置在网络安全设备的弯曲表面上或折叠面上。甚至,显示屏105还可以设置成非矩形的不规则图形,也即异形屏。显示屏105可以采用LCD(LiquidCrystal Display,液晶显示屏)、OLED(Organic Light-Emitting Diode,有机发光二极管)等材质制备。
电源106用于为网络安全设备中的各个组件进行供电。电源106可以是交流电、直流电、一次性电池或可充电电池。当电源106包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
其中,网络安全设备可以为下述中的第一网络安全设备,或者可以为第二网络安全设备。
本领域技术人员可以理解,图1中示出的结构并不构成对网络安全设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
基于上述硬件结构,提出本发明的各实施例。
请参见图2所示,图2为本发明网络安全检测方法第一实施例的流程示意图,网络安全检测方法包括以下步骤:
步骤S10:第一网络安全设备监测指定的时间间隔是否到达。
本实施例中,第一网络安全设备实时监测指定的时间间隔是否到达,其监测的目的在于若指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备;也即,第一网络安全设备是每隔指定的时间间隔将威胁情报规则发送至目标网络环境下的至少一个第二网络设备。
可以理解的是,指定的时间间隔可以以分钟、小时、天、月、年为时间单位进行设置;例如设指定的时间间隔为20小时,则第一网络安全设备每隔20小时将威胁情报规则发送至目标网络环境下的至少一个第二网络设备,或者设指定的时间间隔为5天,则第一网络安全设备每隔5天将威胁情报规则发送至目标网络环境下的至少一个第二网络设备等;在实际应用中,指定的时间间隔可以根据具体应用场景进行灵活调整。
步骤S20:若指定的时间间隔到达,则第一网络安全设备将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备。
本实施例中,目标网络环境指的是预先指定的目标网络环境,例如设当前有网络环境1、网络环境2、网络环境3,其中可以指定网络环境1为目标网络环境。可以理解的是,目标网络环境下包括至少两个设备,其中第一网络安全设备处于目标网络环境下,相应地,目标网络环境下还包括至少一个第二网络安全设备;例如设目标网络环境下包括2个设备,其中第一网络安全设备为A,第二网络安全设备为B。
在一些示例中,若指定的时间间隔到达,第一网络安全设备可以将威胁情报规则发送至目标网络环境下的部分第二网络安全设备;例如设目标网络环境下包括4个设备,其中第一网络安全设备为A,第二网络安全设备为B、C、D,此时第一网络安全设备A可以将威胁情报规则发送至第二网络安全设备B、C、D中的任意一个或多个,如第一网络安全设备A将威胁情报规则发送至第二网络安全设备B、C,或者第一网络安全设备A将威胁情报规则发送至第二网络安全设备C、D。可以理解的是,第一网络安全设备将威胁情报规则发送至目标网络环境下的部分第二网络安全设备,其中的部分第二网络安全设备可以由相关工作人员进行灵活设置,这样可以在一定程度上增加威胁情报规则发送的灵活性和可变性。
在一些示例中,若指定的时间间隔到达,第一网络安全设备可以将威胁情报规则发送至目标网络环境下的所有第二网络安全设备;例如设目标网络环境下包括4个设备,其中第一网络安全设备为A,第二网络安全设备为B、C、D,此时第一网络安全设备A可以将威胁情报规则发送至第二网络安全设备B、C、D。可以理解的是,第一网络安全设备将威胁情报规则发送至目标网络环境下的所有第二网络安全设备,这样可以使得和第一网络安全设备处于同一网络环境下的所有第二网络安全设备都能接收到第一网络安全设备的威胁情报规则,从而使得所有第二网络安全设备都能更好地进行网络安全检测,提升网络完全检测的准确性。
需要说明的是,针对同一网络安全设备而言,其可以同时作为第一安全设备,也可以同时作为第二安全设备;例如设目标网络环境下包括3个设备,分别为网络安全设备A、B、C,其中当网络安全设备A作为第一网络安全设备时,其是将威胁情报规则发送至第二网络安全设备B、C,同时当网络安全设备B、C作为第一网络安全设备时,网络安全设备A是作为第二网络安全设备,以接收第一网络安全设备B、C发送的威胁情报规则。
步骤S30:第二网络安全设备接收第一网络安全设备发送的威胁情报规则。
本实施例中,第二网络安全设备接收第一网络安全设备发送的威胁情报规则,进而可以根据接收到的威胁情报规则和本地威胁情报规则,进行网络安全检测,以提升网络安全检测的准确性。
步骤S40:第二网络安全设备根据威胁情报规则和本地威胁情报规则,进行网络安全检测。
可以理解的是,针对于每个第二网络安全设备而言,其本地都有对应的威胁情报规则;其中本地威胁情报规则可以是第二网络安全设备根据预设检测规则进行网络安全检测得到检测结果,进而根据检测结果生成的,即第二网络安全设备是通过识别攻击生成本地威胁情报规则;或者本地威胁情报规则也可以是第二网络安全设备根据接收到的设置指令生成的,即第二网络安全设备是通过手动配置生成本地威胁情报规则;在实际应用中,本地威胁情报规则的生成方式可以根据具体应用场景进行灵活调整。
本实施例中,第二网络安全设备根据威胁情报规则和本地威胁情报规则,进行网络安全检测,其中对于第二网络安全设备而言,其接收到的第一网络安全设备发送的威胁情报规则为外部威胁情报规则,进而其通过结合外部威胁情报规则和本地威胁情报规则进行网络安全检测,可以在极大程度上提升网络安全检测的准确性。
本实施例中,第二网络安全设备根据威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤,可以包括以下步骤:
第二网络安全设备判断威胁情报规则是否存在与本地威胁情报规则冲突的规则;
若是,则第二网络安全设备根据预设优先级顺序确定第一目标威胁情报规则,根据第一目标威胁情报规则进行网络安全检测;
若否,则第二网络安全设备将威胁情报规则和本地威胁情报规则进行整合,得到第二目标威胁情报规则,根据第二目标威胁情报规则进行网络安全检测。
也即,本实施例中第二网络安全设备在接收到第一网络安全设备发送的威胁情报规则时,会将该威胁情报规则与本地威胁情报规则进行比对,其中比对的目的在于,确定该威胁情报规则是否存在与本地威胁情报规则冲突的规则,如果该威胁情报规则存在与本地威胁情报规则冲突的规则,则第二网络安全设备需要根据预设优先级顺序来确定第一目标威胁情报规则,进而根据第一目标威胁情报规则进行网络安全检测;如果该威胁情报规则不存在与本地威胁情报规则冲突的规则,则第二网络安全设备需要将威胁情报规则和本地威胁情报规则进行整合,得到第二目标威胁情报规则,进而根据第二目标威胁情报规则进行网络安全检测。
其中,如果该威胁情报规则存在与本地威胁情报规则冲突的规则,第二网络安全设备确定第一目标威胁情报规则所根据的预设优先级顺序,在实际应用中,可以根据具体应用场景进行灵活调整;例如可以设置本地威胁情报规则优先级顺序高于第一网络安全设备发送的威胁情报规则,此时第一目标威胁情报规则即为本地威胁情报规则;或者可以设置本地威胁情报规则优先级顺序低于第一网络安全设备发送的威胁情报规则,此时第一目标威胁情报规则即为第一网络安全设备发送的威胁情报规则。
本实施例中,第一网络安全设备将威胁情报规则发送至了第二网络安全设备,进而第二网络安全设备在进行网络安全检测时,是根据第一网络安全设备侧的威胁情报规则和第二网络安全设备侧的本地威胁情报规则,而对于第二网络安全设备而言,第一网络安全设备发送的威胁情报规则为外部威胁情报规则;因此,第二网络安全设备是结合了外部威胁情报规则和本地威胁情报规则共同来进行网络安全检测,由此,可以在极大程度上提升网络安全检测的准确性,进而保障网络安全。并且,通过第一网络安全设备和第二网络安全设备的本地威胁情报规则的直接交互,无需再借助于集中管理平台的远程管理,降低了管理成本;同时,能够实现不同厂商设备之间的对接,灵活性更高。
基于上述实施例,提出本发明网络安全检测方法第二实施例;请参见图3所示,图3为本发明网络安全检测方法第二实施例的流程示意图。
本实施例中,步骤S20第一网络安全设备将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备的步骤之前,网络安全检测方法还包括以下步骤:
步骤S11:根据加密密钥对威胁情报规则进行加密,得到加密后的威胁情报规则。
相应地,步骤S20第一网络安全设备将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备的步骤,具体包括:
将加密后的威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备。
本实施例中,步骤S40第二网络安全设备根据威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤之前,网络安全检测方法还包括以下步骤:
步骤S31:利用解密密钥对加密后的威胁情报规则进行解密,得到解密后的威胁情报规则;其中,解密密钥对应加密密钥,加密密钥用于第一网络安全设备对威胁情报规则进行加密。
相应地,步骤S40第二网络安全设备根据威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤,具体包括:
根据解密后的威胁情报规则和本地威胁情报规则,进行网络安全检测。
也即,本实施例中第一网络安全设备会根据加密密钥对威胁情报规则进行加密,以得到加密后的威胁情报规则,进而再将加密后的威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备;相应地,第二网络安全设备接收到加密后的威胁情报规则,根据与加密密钥对应的解密密钥对加密后的威胁情报规则进行解密,以得到解密后的威胁情报规则,进而再根据解密后的威胁情报规则和本地威胁情报规则,进行网络安全检测。
本实施例中,第一网络安全设备根据加密密钥对外发的威胁情报规则进行了加密,从而第二网络安全设备接收到的威胁情报规则是加密后的,需要第二网络安全设备有对应的解密密钥才能对接收到的威胁情报规则进行解密,通过此方式在保证了威胁情报规则的安全性的同时,还完成了对第二网络安全设备的身份认证,因为只有身份认证通过的第二网络安全设备才有与加密密钥对应的解密密钥。
基于上述实施例,提出本发明网络安全检测方法第三实施例。
本实施例中,步骤S10第一网络安全设备监测指定的时间间隔是否到达的步骤之前,网络安全检测方法还包括以下步骤:
方式一:第一网络安全设备根据预设检测规则进行网络安全检测,得到检测结果;根据检测结果,生成威胁情报规则。
也即,本实施例中第一网络安全设备发送的威胁情报规则是根据预设检测规则进行网络安全检测得到检测结果,进而根据检测结果生成的,即第一网络安全设备是通过识别攻击生成威胁情报规则;其中识别攻击可以是指主动识别攻击或者被动识别攻击。
方式二:第一网络安全设备接收设置指令,根据设置指令,生成威胁情报规则。
也即,本实施例中第一网络安全设备发送的威胁情报规则是根据接收到的设置指令生成的,即第一网络安全设备是通过手动配置生成威胁情报规则。
可以理解的是,第一网络安全设备发送的威胁情报规则对于第一网络安全设备而言,是属于第一网络安全设备的本地威胁情报规则,相应地,其作为第二网络安全设备时,可以接收到其他第一网络安全设备发送的威胁情报规则,从而结合本地威胁情报规则进行网络安全检测。
可以理解的是,第一网络安全设备的威胁情报规则和第二网络安全设备的本地威胁情报规则可以采用相同的生成方式生成,也可以采用不同的生成方式生成,在实际应用中,可以根据具体应用场景进行灵活调整;其中第二网络安全设备的本地威胁情报规则已在上述进行说明,这里不再一一赘述。
本实施例中,第一网络安全设备可以通过识别攻击和/或手动配置生成威胁情报规则,这样生成威胁情报规则的灵活性以及实时性均更高;并且,还可以针对不同的威胁情报规则设置不同的指定时间间隔,例如针对主动识别攻击和手动配置生成的威胁情报规则可以设置相对较短的指定时间间隔,如1分钟等,针对其他生成方式生成的威胁情报规则可以设置相对较长的指定时间时间间隔,如24小时,在实际应用中,可以根据具体应用场景进行灵活调整。
基于上述实施例,提出本发明网络安全检测方法第四实施例。
本实施例中,步骤S40第二网络安全设备根据威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤之后,网络安全检测方法还包括以下步骤:
判断威胁情报规则对应的定时器设定的时长是否到达;
若是,则将威胁情报规则设置为失效,或将威胁情报规则进行舍弃。
也即,本实施例中第二网络安全设备可以在接收到威胁情报规则时,便利用定时器设定一个时长,进而在实时监测定时器设定的时长是否到达,如果定时器设定的时长到达,则可以将该威胁情报规则设置为失效,或者可以将该威胁情报规则进行舍弃,从而实现对第二网络安全设备接收到的第一网络安全设备发送的威胁情报规则的更新。
可以理解的是,第二网络安全设备可以接收来自多个第一网络安全设备的威胁情报规则,其中针对不同第一网络安全设备发送的威胁情报规则可以分别设置一个定时器,进而利用不同定时器分别设定一个时长,这样就能够实现对第二网络安全设备接收到的不同第一网络安全设备发送的威胁情报规则的更新。
在一些示例中,第二网络安全设备根据威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤之后,还可以将威胁情报规则转发至其他网络安全设备,以使得其他网络安全设备也可以根据该威胁情报规则进行网络安全检测。例如请参见图4所示,目标网络环境下包括3个设备,分别为网络安全设备A、B、C,其中当网络安全设备A作为第一网络安全设备,网络安全设备B、C作为第二网络安全设备,第一网络安全设备A将威胁情报规则发送至第二网络安全设备B、C,进而第二网络安全设备B接收到威胁情报规则时,可以通过第二网络安全设备B和第二网络安全设备C的接口将威胁情报规则转发给第二网络安全设备C。可以理解的是,由于第二网络安全设备C本身会接收到第一网络安全设备A通过第二网络安全设备A和第二网络安全设备C的接口发送的威胁情报规则;因此,当第二网络安全设备B通过第二网络安全设备B和第二网络安全设备C的接口将威胁情报规则转发给第二网络安全设备C时,第二网络安全设备C可以对该接收到的威胁情报规则进行判断,如果已经存在相同的威胁情报规则,则可以舍弃第二网络安全设备B转发的威胁情报规则,这样可以避免威胁情报规则的重复存储,使得空间浪费更少。其中第二网络安全设备C对该接收到的威胁情报规则进行判断,可以是通过威胁情报规则中携带的发送方的标识,以便能快速地确定出是否存在相同的威胁情报规则;也可以是一一比对威胁情报规则的内容,以便能准确地确定出是否存在相同的威胁情报规则,在实际应用中,可以根据具体应用场景进行灵活调整。
本实施例中,第二网络安全设备通过实时监测定时器设定的时长是否到达,如果定时器设定的时长到达,则可以将该威胁情报规则设置为失效,或者可以将该威胁情报规则进行舍弃,从而实现了对第二网络安全设备接收到的第一网络安全设备发送的威胁情报规则的更新,避免了第一网络安全设备发送的威胁情报规则长期未更新、出现老化,造成网络安全检测准确性低的现象,进一步提升了网络安全检测的准确性。
此外,请参见图5所示,本实施例在上述网络安全检测方法的基础上,还提出一种网络安全检测装置,应用于第一网络安全设备,网络安全检测装置包括:
监测模块201,用于监测指定的时间间隔是否到达;
发送模块202,用于若监测模块监测到指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备,以使得至少一个第二网络安全设备根据威胁情报规则和本地威胁情报规则,进行网络安全检测。
本实施例中应用于第一网络安全设备的网络安全检测装置采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
此外,请参见图6所示,本实施例在上述网络安全检测方法的基础上,还提出一种网络安全检测装置,应用于第二网络安全设备,网络安全检测装置包括:
接收模块301,用于接收第一网络安全设备发送的威胁情报规则;其中,威胁情报规则为第一网络安全设备在指定的时间间隔到达时发送的;
检测模块302,用于根据威胁情报规则和本地威胁情报规则,进行网络安全检测。
本实施例中应用于第二网络安全设备的网络安全检测装置采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本实施例还提出一种计算机可读存储介质,计算机可读存储介质上存储有网络安全检测程序,网络安全检测程序被处理器执行时实现如上述第一网络安全设备或第二网络安全设备网络安全检测方法的步骤。
该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory,随机存取存储器),ROM(Read-Only Memory,只读存储器),EEPROM(Electrically EraableProgrammable read only memory,带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
可见,本领域的技术人员应该明白,上文中所公开方法中全部或某些步骤、系统、设备中功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (12)
1.一种网络安全检测方法,其特征在于,应用于第一网络安全设备,所述网络安全检测方法包括以下步骤:
监测指定的时间间隔是否到达;
若指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备,以使得所述至少一个第二网络安全设备根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
2.如权利要求1所述的网络安全检测方法,其特征在于,所述监测指定的时间间隔是否到达的步骤之前,所述网络安全检测方法还包括:
根据预设检测规则进行网络安全检测,得到检测结果;根据所述检测结果,生成威胁情报规则。
和/或,
接收设置指令,根据所述设置指令,生成威胁情报规则。
3.如权利要求1或2所述的网络安全检测方法,其特征在于,所述将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备的步骤之前,所述网络安全检测方法还包括:
根据加密密钥对所述威胁情报规则进行加密,得到加密后的威胁情报规则;
所述将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备的步骤,包括:
将加密后的威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备。
4.一种网络安全检测方法,其特征在于,应用于第二网络安全设备,所述网络安全检测方法包括以下步骤:
接收第一网络安全设备发送的威胁情报规则;其中,所述威胁情报规则为所述第一网络安全设备在指定的时间间隔到达时发送的;
根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
5.如权利要求4所述的网络安全检测方法,其特征在于,若接收到的威胁情报规则为加密后的威胁情报规则,所述根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤之前,所述网络安全检测方法还包括:
利用解密密钥对所述加密后的威胁情报规则进行解密,得到解密后的威胁情报规则;其中,所述解密密钥对应加密密钥,所述加密密钥用于所述第一网络安全设备对所述威胁情报规则进行加密;
所述根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤,包括:
根据解密后的威胁情报规则和本地威胁情报规则,进行网络安全检测。
6.如权利要求4所述的网络安全检测方法,其特征在于,所述根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤之后,所述网络安全检测方法还包括:
判断所述威胁情报规则对应的定时器设定的时长是否到达;
若是,则将所述威胁情报规则设置为失效,或将所述威胁情报规则进行舍弃。
7.如权利要求4至6中任一项所述的网络安全检测方法,其特征在于,所述根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测的步骤,包括:
判断所述威胁情报规则是否存在与所述本地威胁情报规则冲突的规则;
若是,则根据预设优先级顺序确定第一目标威胁情报规则,根据所述第一目标威胁情报规则进行网络安全检测;
若否,则将所述威胁情报规则和所述本地威胁情报规则进行整合,得到第二目标威胁情报规则,根据所述第二目标威胁情报规则进行网络安全检测。
8.一种网络安全检测方法,其特征在于,所述网络安全检测方法包括:
第一网络安全设备监测指定的时间间隔是否到达;若指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备;
所述第二网络安全设备接收所述第一网络安全设备发送的威胁情报规则;根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
9.一种网络安全检测装置,其特征在于,应用于第一网络安全设备,所述网络安全检测装置包括:
监测模块,用于监测指定的时间间隔是否到达;
发送模块,用于若监测模块监测到指定的时间间隔到达,则将威胁情报规则发送至目标网络环境下的至少一个第二网络安全设备,以使得所述至少一个第二网络安全设备根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
10.一种网络安全检测装置,其特征在于,应用于第二网络安全设备,所述网络安全检测装置包括:
接收模块,用于接收第一网络安全设备发送的威胁情报规则;其中,所述威胁情报规则为所述第一网络安全设备在指定的时间间隔到达时发送的;
检测模块,用于根据所述威胁情报规则和本地威胁情报规则,进行网络安全检测。
11.一种网络安全设备,其特征在于,所述网络安全设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行网络安全检测程序,所述网络安全检测程序被所述处理器执行时实现如权利要求1至3或权利要求4至7中任一项所述的网络安全检测方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络安全检测程序,所述网络安全检测程序被处理器执行时实现如权利要求1至3或权利要求4至7中任一项所述的网络安全检测程序的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110100607.7A CN112866264A (zh) | 2021-01-25 | 2021-01-25 | 网络安全检测方法及装置、网络安全设备、可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110100607.7A CN112866264A (zh) | 2021-01-25 | 2021-01-25 | 网络安全检测方法及装置、网络安全设备、可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112866264A true CN112866264A (zh) | 2021-05-28 |
Family
ID=76009019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110100607.7A Pending CN112866264A (zh) | 2021-01-25 | 2021-01-25 | 网络安全检测方法及装置、网络安全设备、可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866264A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157459A (zh) * | 2021-11-20 | 2022-03-08 | 杭州安恒信息技术股份有限公司 | 威胁情报自动生成方法、装置、计算机设备和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN109495422A (zh) * | 2017-09-11 | 2019-03-19 | 中国电信股份有限公司 | 虚拟防火墙的配置方法、装置以及计算机可读存储介质 |
| US20190230098A1 (en) * | 2018-01-22 | 2019-07-25 | T-Mobile Usa, Inc. | Indicator of compromise calculation system |
| CN110636030A (zh) * | 2018-06-21 | 2019-12-31 | 全球能源互联网研究院有限公司 | 一种电力移动终端的层次化安全管控方法及系统 |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
| CN110868379A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 基于dns解析报文的入侵威胁指标拓展方法、装置及电子设备 |
| TW202038119A (zh) * | 2019-04-01 | 2020-10-16 | 中華電信股份有限公司 | 與外部裝置分享威脅情資的方法及其電子裝置 |
-
2021
- 2021-01-25 CN CN202110100607.7A patent/CN112866264A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| CN109495422A (zh) * | 2017-09-11 | 2019-03-19 | 中国电信股份有限公司 | 虚拟防火墙的配置方法、装置以及计算机可读存储介质 |
| US20190230098A1 (en) * | 2018-01-22 | 2019-07-25 | T-Mobile Usa, Inc. | Indicator of compromise calculation system |
| CN110636030A (zh) * | 2018-06-21 | 2019-12-31 | 全球能源互联网研究院有限公司 | 一种电力移动终端的层次化安全管控方法及系统 |
| CN110868379A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 基于dns解析报文的入侵威胁指标拓展方法、装置及电子设备 |
| TW202038119A (zh) * | 2019-04-01 | 2020-10-16 | 中華電信股份有限公司 | 與外部裝置分享威脅情資的方法及其電子裝置 |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157459A (zh) * | 2021-11-20 | 2022-03-08 | 杭州安恒信息技术股份有限公司 | 威胁情报自动生成方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11088836B2 (en) | Key updating method, apparatus, and system | |
| CN106712932B (zh) | 密钥管理方法、装置及系统 | |
| EP3873004B1 (en) | Method for establishing classic bluetooth connection between dual-mode bluetooth devices, and dual-mode bluetooth device | |
| CN104580167B (zh) | 一种传输数据的方法、装置和系统 | |
| CN110417543B (zh) | 一种数据加密方法、装置和存储介质 | |
| US10454905B2 (en) | Method and apparatus for encrypting and decrypting picture, and device | |
| CN107154935B (zh) | 业务请求方法及装置 | |
| EP4132119A1 (en) | Multimedia data processing method and apparatus, and electronic device and storage medium | |
| CN107423099B (zh) | 键码烧写方法、服务器、终端、键码烧写系统及存储介质 | |
| US10764038B2 (en) | Method and apparatus for generating terminal key | |
| EP3716582B1 (en) | Method and system for data transmission between a sensor device and an electronic device | |
| CN113434905A (zh) | 数据共享方法、装置、计算机设备及存储介质 | |
| CN112866264A (zh) | 网络安全检测方法及装置、网络安全设备、可读存储介质 | |
| CN107786423B (zh) | 一种即时通讯的方法和系统 | |
| CN114553612B (zh) | 数据加密、解密方法、装置、存储介质及电子设备 | |
| CN113472737B (zh) | 边缘设备的数据处理方法、装置及电子设备 | |
| CN112218293B (zh) | 移动终端安全通信方法、装置、终端设备及存储介质 | |
| CN108632393B (zh) | 安全通信系统及方法 | |
| CN112528267A (zh) | 一种执行root操作的方法以及移动终端 | |
| CN110581888A (zh) | 物联网终端安全会话的管理方法、网关和系统 | |
| CN113364572B (zh) | 通信方法、装置、电子设备及可读存储介质 | |
| CN113315787B (zh) | 加密保护方法、装置及存储介质 | |
| WO2024093955A1 (zh) | Ue辅助信息的上报方法、装置及用户设备 | |
| CN112965746A (zh) | 应用工程构建方法及装置、设备、计算机可读存储介质 | |
| CN114978642A (zh) | 小程序登录方法和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210528 |