CN112910895A - 网络攻击行为检测方法、装置、计算机设备和系统 - Google Patents
网络攻击行为检测方法、装置、计算机设备和系统 Download PDFInfo
- Publication number
- CN112910895A CN112910895A CN202110141837.8A CN202110141837A CN112910895A CN 112910895 A CN112910895 A CN 112910895A CN 202110141837 A CN202110141837 A CN 202110141837A CN 112910895 A CN112910895 A CN 112910895A
- Authority
- CN
- China
- Prior art keywords
- behavior
- attack
- attack behavior
- detection
- behavior data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 232
- 238000000034 method Methods 0.000 claims abstract description 18
- 230000006399 behavior Effects 0.000 claims description 585
- 238000011144 upstream manufacturing Methods 0.000 claims description 48
- 238000004590 computer program Methods 0.000 claims description 9
- 230000016571 aggressive behavior Effects 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 5
- 238000012986 modification Methods 0.000 claims description 5
- 238000004140 cleaning Methods 0.000 claims description 4
- 238000011112 process operation Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 7
- 241000700605 Viruses Species 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 206010001488 Aggression Diseases 0.000 description 2
- 208000012761 aggressive behavior Diseases 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种网络攻击行为检测方法、装置、计算机设备和系统,该方法包括:获取基础行为数据;执行攻击行为检测,所述攻击行为检测为根据防护中心下发的检测规则检测所述基础行为数据;当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则;基于更新后的检测规则转至执行攻击行为检测步骤。通过本申请,提高了对网络攻击行为的检测能力。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络攻击行为检测方法、装置、计算机设备和系统。
背景技术
网络攻击是利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。近年来,网络攻击事件频发,互联网上的木马、蠕虫、勒索软件层出不穷,对网络安全造成了严重的威胁,如何发现和解决所遇到的网络安全问题、提升对未知攻击行为的检测能力成为安全人员的工作重点之一。
新型未知攻击行为层出不穷,系统漏洞也是五花八门,攻击行为尝尝绕过攻击行为引擎的检测。现有的攻击行为检测方法只能依据已有检测规则进行已有攻击行为检测,在发现一个确切的攻击行为时,未根据攻击行为重构检测规则,检测规则的不完善往往会导致忽略更多被引擎忽略掉的未知攻击行为。
发明内容
本申请实施例提供了一种网络攻击行为检测方法、装置、计算机设备和系统,以至少解决相关技术中未知攻击行为易被忽略的问题。
第一方面,本申请实施例提供了一种网络攻击行为检测方法,包括:
获取基础行为数据;
执行攻击行为检测,所述攻击行为检测为根据防护中心下发的检测规则检测所述基础行为数据;
当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则;
基于更新后的检测规则转至执行攻击行为检测步骤。
在其中一些实施例中,所述基础行为数据包括文件操作、进程操作、注册表操作、网络连接操作和服务修改操作产生的行为数据。
在其中一些实施例中,获取基础行为数据之后,还包括:
存储所述基础行为数据,并在预设时间周期内对已存储的基础行为数据进行清理。
在其中一些实施例中,所述基础行为数据包括标识信息,则当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则包括:
获取防护中心下发的攻击行为链查询指令;
基于所述攻击行为链查询指令在所述所述基础行为数据中查询攻击行为以及所述攻击行为的标识信息;
基于所述攻击行为的标识信息在所述基础行为数据中查询与所述攻击行为对应的上游行为和下游行为;
根据所述攻击行为、对应的上游行为和下游行为形成攻击行为链并上传至所述防护中心,以使所述防护中心根据所述攻击行为链实时更新所述检测规则。
在其中一些实施例中,所述标识信息包括对应于当前行为的当前行为标识、对应于当前行为的上游行为的上游行为标识和对应于所述当前行为的下游行为的下游行为标识,则基于所述标识信息在所述基础行为数据中查询与所述攻击行为对应的上游行为和下游行为包括:
基于所述攻击行为的标识信息获取当前行为标识、上游行为标识和下游行为标识;
根据所述上游行为标识在所述基础行为数据中查询与所述攻击行为对应的上游行为;
根据所述下游行为标识在所述基础行为数据中查询与所述攻击行为对应的下游行为。
第二方面,本申请实施例提供了一种网络攻击行为检测方法,包括:
向防护终端下发检测规则,以使所述防护终端根据所述检测规则执行攻击行为检测;
当防护终端检测到攻击行为后,接收所述防护终端发送的攻击行为数据;
根据所述攻击行为数据实时更新所述检测规则,以使所述防护终端基于更新后的检测规则执行攻击行为检测步骤。
在其中一些实施例中,根据所述攻击行为数据实时更新所述检测规则包括:
向所述防护终端下发攻击行为链查询指令;
获取基于所述攻击行为链查询指令返回的攻击行为链;所述攻击行为链包括当前行为、上游行为和下游行为;
根据所述当前行为、上游行为和下游行为实时更新所述检测规则;其中,更新所述检测规则包括新增和修改。
第三方面,本申请实施例提供了一种网络攻击行为检测装置,包括:
数据获取单元,用于获取基础行为数据;
检测单元,用于执行攻击行为检测,所述攻击行为检测为根据防护中心下发的检测规则检测所述基础行为数据;
攻击行为数据上传单元,用于当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则;
循环单元,用于基于更新后的检测规则转至执行攻击行为检测步骤。
第四方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面或第一方面所述的网络攻击行为检测方法。
第五方面,本申请实施例提供了一种网络攻击行为检测系统,包括:防护中心和防护终端;其中,
所述防护中心连接所述防护终端,包括攻击行为数据接收模块和攻击行为检测规则模块,所述攻击行为数据接收模块用于当防护终端检测到攻击行为后,接收所述防护终端发送的攻击行为数据;所述攻击行为检测规则模块与攻击行为数据接收模块相连,用于根据所述攻击行为数据实时更新所述检测规则,并向所述防护终端下发检测规则;
所述防护终端包括基础行为数据获取模块和攻击行为检测模块,所述基础行为数据获取模块用于获取基础行为数据;所述攻击行为检测模块与所述所述基础行为数据获取模块相连,用于根据攻击行为检测规则模块下发的检测规则检测所述基础行为数据,并当检测到攻击行为后,获取攻击行为数据并上传至攻击行为数据接收模块。
相比于相关技术,本申请实施例提供的网络攻击行为检测方法,通过当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则,从而基于更新后的检测规则执行攻击行为检测。本申请通过已知的攻击行为数据实时更新所述检测规则,不仅可以检测出符合已知检测规则的攻击事件,还可以就已知的攻击行为数据进行分析总结,由更新后的检测规则发现更多被忽略的攻击行为,使得检测规则更加严谨、更加完善,提高了对网络攻击行为的检测能力。
本申请实施例提供的网络攻击行为检测方法,通将基础行为数据存储在本地并不上传至防护中心,仅当检测到攻击行为后,获取攻击行为数据并上传至防护中心,在本地存储基础行为数据的同时,降低了带宽和防护中心磁盘数据存储压力。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请其中一个实施例中网络攻击行为检测方法的流程示意图;
图2是本申请其中一个实施例中获取攻击行为数据并上传至防护中心的流程示意图;
图3是本申请其中一个实施例中基础行为数据的组成示意图;
图4是本申请其中一个实施例中未知攻击行为X的检测过程示意图;
图5是本申请另一个实施例中网络攻击行为检测方法的流程示意图;
图6是本申请其中一个实施例中网络攻击行为检测装置的结构框图;
图7是本申请另一个实施例中网络攻击行为检测装置的结构框图;
图8是本申请其中一个实施例中计算机设备的结构示意图;
图9是本申请其中一个实施例中网络攻击行为检测系统的交互示意图;
图10是本申请其中一个实施例中防护中心的结构示意图;
图11是本申请其中一个实施例中防护终端的结构示意图;
图12是本申请另一个实施例中防护终端的结构示意图。
附图说明:301、数据获取单元;302、检测单元;303、攻击行为数据上传单元;304、循环单元;401、检测规则下发单元;402、攻击行为数据接收单元;403、检测规则更新单元;50、总线;51、处理器;52、存储器;53、通信接口;61、防护中心;62、防护终端;611、攻击行为数据接收模块;612、攻击行为检测规则模块;621、基础行为数据获取模块;622、攻击行为检测模块;623、攻击行为链查询模块。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
当今信息技术的飞速发展,计算机网络作为信息资源共享和通信联络的基本设施也得到了空前的普及。然而,随着社会对互联网依赖性的加强,计算机网络问题逐渐成为人们普遍关注的问题。计算机的网络安全的隐患的根源主要来自于三个方面:一是计算机软件的固有缺陷如操作系统漏洞、应用程序bug等;二是TCP/IP通信协议族本身的设计缺陷;三是主机系统、网络系统的配置或使用者无意造成的系统安全漏洞。
本实施例提供的网络攻击行为检测方法可应用于网络攻击行为的检测过程中。针对网络安全漏洞,常见的攻击手段主要包括SQL注入攻击、XSS跨站脚本攻击、代码执行攻击、XXE漏洞攻击、文件上传攻击、文件包含攻击、目录扫描攻击、CC攻击、挖矿病毒攻击等。面对复杂的网络安全形势,现有的攻击行为检测方式在日益多样化的攻击手段面前显得力不从心。
本实施例提供了一种网络攻击行为检测方法。所述网络攻击行为检测方法可采用软件和/或硬件的方式实现,并可集成到计算机设备中。图1是根据本申请实施例的网络攻击行为检测方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,获取基础行为数据。
在本实施例中,所述计算机设备为防护终端,所述防护终端部署于网络中的至少一个节点,包括但不限于个人计算机、服务器等。所述防护终端上安装有防火墙、入侵检测系统(intrusion detection system,简称“IDS”)等对抗网络攻击行为的网络安全设备,可以基于网络安全设备的访问日志中获取所述基础行为数据,如配置管理日志、系统运行日志、连接日志、访问控制日志、应用服务日志等。
其中,所述基础行为数据为防护终端在数据交互过程中产生的各种数据,包括文件操作、进程操作、注册表操作、网络连接操作和服务修改操作产生的行为数据。可以理解,所述行为数据包括但不限于流量、行为或动作数据,本申请不作具体限定。
步骤S102,执行攻击行为检测,所述攻击行为检测为根据防护中心下发的检测规则检测所述基础行为数据。
在本实施例中,可以通过实时采集所述基础行为数据,根据防护中心下发的检测规则检测是否存在攻击行为。
在本实施例中,防护中心与所述防护终端通信连接,可以相互进行数据传输。如:接收防护中心上传的攻击行为数据,并向防护终端下发检测规则。所述检测规则可以是预设检测规则,即用户自定义的检测规则,也可以是根据已有攻击行为数据匹配得到的针对潜在攻击行为的检测规则,还可以是针对网络全量攻击行为数据的任何其他检测规则。
步骤S103,当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则。
在本实施例中,通过根据所述攻击行为数据实时更新所述检测规则,能够使检测规则充分遍历现有和潜在的攻击行为,从数据充分性的角度提升攻击行为检测的全面性,从而提升网络攻击行为的检测效果。
步骤S104,基于更新后的检测规则转至执行攻击行为检测步骤。
在本实施例中,通过基于基础行为数据检测到的攻击行为数据更新检测规则,并根据更新后的检测规则循环执行攻击行为检测,可以提高攻击行为检测的动态自适应能力。
综上,本申请实施例提供的网络攻击行为检测方法,通过当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则,从而基于更新后的检测规则执行攻击行为检测。本申请通过已知的攻击行为数据实时更新所述检测规则,不仅可以检测出符合已知检测规则的攻击事件,还可以就已知的攻击行为数据进行分析总结,由更新后的检测规则发现更多被忽略的攻击行为,使得检测规则更加严谨、更加完善,提高了对网络攻击行为的检测能力。
下面通过优选实施例对本申请实施例进行描述和说明。
在其中一些实施例中,获取基础行为数据之后,还包括:存储所述基础行为数据,并在预设时间周期内对已存储的基础行为数据进行清理。
在本实施例中,由于防护终端的基础行为数据时海量的,无法进行全量保存,而一个完整的攻击行为一般都是极为短暂的,甚至于几秒钟完成一次完整的程序化渗透。因此可以在预设时间周期内对已存储的基础行为数据进行清理,将预设时间间隔的基础行为数据保存在防护终端上,使基础行为数据随时间不断实时更新,保证数据的有效性。通过当检测到攻击行为后取攻击行为数据并上传至防护中心,实现了在本地存储基础行为数据的同时,降低了带宽、防护终端和防护中心的磁盘数据存储压力。
如图2所示,在上述实施例的基础上,在其中一些实施例中,所述基础行为数据包括标识信息,则当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则包括:
步骤S1031,获取防护中心下发的攻击行为链查询指令;
步骤S1032,基于所述攻击行为链查询指令在所述所述基础行为数据中查询攻击行为以及所述攻击行为的标识信息;
步骤S1033,基于所述攻击行为的标识信息在所述基础行为数据中查询与所述攻击行为对应的上游行为和下游行为;
步骤S1034,根据所述攻击行为、对应的上游行为和下游行为形成攻击行为链并上传至所述防护中心,以使所述防护中心根据所述攻击行为链实时更新所述检测规则。
如图3所示,在本实施例中,所述基础行为数据包括行为内容和标识信息。其中,所述标识信息用于标识所述攻击行为所在攻击链上的行为承接关系,方便进行基础行为数据的溯源分析和链接组合。
在本实施例中,当检测到攻击行为后,防护终端将对应的攻击行为数据上传至防护中心。当接收到防护中心向防护终端下发攻击行为链查询指令时,可根据所述标识信息在所述基础行为数据中查询与所述攻击行为对应的上游行为和下游行为,得到攻击行为链,根据所述攻击行为链实时更新所述检测规则。
如图3所示,在其中一些实施方式中,所述标识信息包括对应于当前行为的当前行为标识、对应于当前行为的上游行为的上游行为标识和对应于所述当前行为的下游行为的下游行为标识,则基于所述标识信息在所述基础行为数据中查询与所述攻击行为对应的上游行为和下游行为包括:基于所述攻击行为的标识信息获取当前行为标识、上游行为标识和下游行为标识;根据所述上游行为标识在所述基础行为数据中查询与所述攻击行为对应的上游行为;根据所述下游行为标识在所述基础行为数据中查询与所述攻击行为对应的下游行为。
可以理解,在其他实施例中,所述标识信息可以是行为编号、行为时间等,所述标识信息的表示方式并不唯一,可根据攻击类型、攻击时间、攻击路径进行配置,本申请不做具体限定。
在本实施例中,通过所述标识信息可以从所述基础行为数据中获取当前行为对应的上下游行为,对攻击行为进行溯源分析,补全完整的攻击链,提升攻击行为的检测的全面性。通过所述攻击行为链分析对应攻击行为的资源调用路径,及时发现网络环境中潜在的未知攻击行为,主动查询和追踪威胁。通过对攻击链上面的未知攻击行为,可以补充完善已有的行为检测引擎中,及时追踪潜在威胁,形成一个良性循环的过程。
如图4所示,基于上述网络攻击行为检测方法,当未知攻击行为X发起时,根据防护中心下发的检测规则进行攻击行为检测的首次检测结果为失败,无法捕获该攻击行为。当所述未知攻击行为X所在攻击行为链上还发生了已知攻击行为Y时,攻击行为检测规则成功检测到该攻击行为Y,并将对应的攻击行为数据上传至防护中心。
防护中心向所述防护终端下发攻击行为链查询指令,防护终端基于所述攻击行为链查询指令在所述所述基础行为数据中查询攻击行为Y以及所述攻击行为Y的标识信息;基于所述攻击行为Y的标识信息在所述基础行为数据中查询与所述攻击行为Y对应的上游行为和下游行为,并根据所述攻击行为Y、对应的上游行为和下游行为形成攻击行为链并上传至所述防护中心,以使所述防护中心根据所述攻击行为链实时更新所述检测规则(包括但不限于针对攻击行为行为X添加相应的检测规则),并将更新后的检测规则下发至防护终端。当所述防护终端再次发生攻击行为X时,防护终端可以对该攻击行为X成功检测。
本实施例还提供了一种网络攻击行为检测方法。图5是根据本申请实施例的另一种网络攻击行为检测方法的流程图,该方法是从防护中心这一侧进行描述的,如图5所示,该流程包括如下步骤:
步骤S201,向防护终端下发检测规则,以使所述防护终端根据所述检测规则执行攻击行为检测;
步骤S202,当防护终端检测到攻击行为后,接收所述防护终端发送的攻击行为数据;
步骤S203,根据所述攻击行为数据实时更新所述检测规则,以使所述防护终端基于更新后的检测规则执行攻击行为检测步骤。
在本实施例中,网络攻击行为检测方法的实现原理与上述实施例相同,为简要描述,本实施例未提及的内容,可参照上述实施例的相关描述。
具体的,根据所述攻击行为数据实时更新所述检测规则包括:向所述防护终端下发攻击行为链查询指令;获取基于所述攻击行为链查询指令返回的攻击行为链;所述攻击行为链包括当前行为、上游行为和下游行为;根据所述当前行为、上游行为和下游行为实时更新所述检测规则;其中,更新所述检测规则包括新增和修改。
在本实施例中,可根据根据所述攻击行为数据分析对应攻击行为所在的攻击行为链,还原该攻击行为的完整攻击链,并根据该完整攻击链生成对应的检测规则,以进行实时更新,提高攻击行为检测的动态自适应能力。所述检测规则的实时更新包括但不限于在原有检测规则的基础上进行添加、删除、修订等。
在一种具体的实施方式中,在原有检测规则的基础上进行添加检测规则。具体的:对服务器的某攻击行为假设基于获取到的攻击行为链包含多个未知行为A-B-C-D,假设根据防护中心下发的检测规则检测所述基础行为数据得到攻击行为D,则未知行为A、B和C也存在风险。此时,若攻击行为D是通过某个未知服务C启动执行的,那么可以添加禁止该未知服务C启动的检测规则。假设是某个未知程序B新建了该未知服务C,那可以添加禁止该未知程序B运行的规则。
例如:某攻击行为是通过压缩文件释放出一个病毒文件,这个攻击行为可以通过检测规则检测到,但是无法检测出该当前行为的上游行为是这个压缩文件,以及压缩文件如何被上传到这台服务器上的。假设基于获取到的攻击行为链得知该攻击行为是攻击者使用IP-A通过web服务上传压缩文件,那么可以添加两条检测规则:(1)、记录压缩文件的Md5,标记为病毒文件,那么只要其他主机出现这个文件就可以判定为病毒文件,并阻止它的释放病毒行为。(2)、添加阻止IP-A的上传文件请求的检测规则,避免攻击者上传类似风险文件。
可选的,在其他实施例中,防护中心接收到所述所述攻击行为数据后,可利用部署的一系列数据和数据分析工具对网络攻击行为进行分析,根据分析结果实时更新所述检测规则,提高对未知攻击行为的检测能力。例如:可以通过分析攻击行为数据,评估攻击行为的目标攻击对象、潜在攻击对象、攻击路径、攻击类型等。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种网络攻击行为检测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图6是根据本申请实施例的网络攻击行为检测装置的结构框图,如图6所示,该装置包括:数据获取单元301、检测单元302、攻击行为数据上传单元303和循环单元304。
数据获取单元301,用于获取基础行为数据;
检测单元302,用于执行攻击行为检测,所述攻击行为检测为根据防护中心下发的检测规则检测所述基础行为数据;
攻击行为数据上传单元303,用于当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则;
循环单元304,用于基于更新后的检测规则转至执行攻击行为检测步骤。
在其中一些实施例中,所述基础行为数据包括文件操作、进程操作、注册表操作、网络连接操作和服务修改操作产生的行为数据。
在其中一些实施例中,网络攻击行为检测装置还包括:数据处理单元。
数据处理单元,用于存储所述基础行为数据,并在预设时间周期内对已存储的基础行为数据进行清理。
在其中一些实施例中,所述基础行为数据包括标识信息,则攻击行为数据上传单元303包括:查询指令获取模块、第一查询模块、第二查询模块和攻击行为链上传模块。
查询指令获取模块,用于获取防护中心下发的攻击行为链查询指令;
第一查询模块,用于基于所述攻击行为链查询指令在所述所述基础行为数据中查询攻击行为以及所述攻击行为的标识信息;
第二查询模块,用于基于所述攻击行为的标识信息在所述基础行为数据中查询与所述攻击行为对应的上游行为和下游行为;
攻击行为链上传模块,用于根据所述攻击行为、对应的上游行为和下游行为形成攻击行为链并上传至所述防护中心,以使所述防护中心根据所述攻击行为链实时更新所述检测规则。
在其中一些实施例中,所述标识信息包括对应于当前行为的当前行为标识、对应于当前行为的上游行为的上游行为标识和对应于所述当前行为的下游行为的下游行为标识,则第二查询模块包括:标识信息获取模块、上游行为查询模块和下游行为查询模块。
标识信息获取模块,用于基于所述攻击行为的标识信息获取当前行为标识、上游行为标识和下游行为标识;
上游行为查询模块,用于根据所述上游行为标识在所述基础行为数据中查询与所述攻击行为对应的上游行为;
下游行为查询模块,用于根据所述下游行为标识在所述基础行为数据中查询与所述攻击行为对应的下游行为。
本实施例还提供了一种网络攻击行为检测装置,图7是根据本申请实施例的网络攻击行为检测装置的结构框图,如图7所示,该装置包括:检测规则下发单元401、攻击行为数据接收单元402和检测规则更新单元403。
检测规则下发单元401,用于向防护终端下发检测规则,以使所述防护终端根据所述检测规则执行攻击行为检测;
攻击行为数据接收单元402,用于当防护终端检测到攻击行为后,接收所述防护终端发送的攻击行为数据;
检测规则更新单元403,用于根据所述攻击行为数据实时更新所述检测规则,以使所述防护终端基于更新后的检测规则执行攻击行为检测步骤。
在其中一些实施例中,检测规则更新单元403包括:查询指令下发模块、攻击行为链获取模块和更新模块。
查询指令下发模块,用于向所述防护终端下发攻击行为链查询指令;
攻击行为链获取模块,用于获取基于所述攻击行为链查询指令返回的攻击行为链;所述攻击行为链包括当前行为、上游行为和下游行为;
更新模块,用于根据所述当前行为、上游行为和下游行为实时更新所述检测规则;其中,更新所述检测规则包括新增和修改。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例网络攻击行为检测方法可以由计算机设备来实现。图8为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器51以及存储有计算机程序指令的存储器52。
具体地,上述处理器51可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器52可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器52可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器52可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器52可在数据处理装置的内部或外部。在特定实施例中,存储器52是非易失性(Non-Volatile)存储器。在特定实施例中,存储器52包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器52可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器51所执行的可能的计算机程序指令。
处理器51通过读取并执行存储器52中存储的计算机程序指令,以实现上述实施例中的任意一种网络攻击行为检测方法。
在其中一些实施例中,计算机设备还可包括通信接口53和总线50。其中,如图8所示,处理器51、存储器52、通信接口53通过总线50连接并完成相互间的通信。
通信接口53用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口53还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线50包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线50包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线50可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线50可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的程序指令,执行本申请实施例中的网络攻击行为检测方法。
另外,结合上述实施例中的网络攻击行为检测方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种网络攻击行为检测方法。
如图9所示,本实施例还提供了一种网络攻击行为检测系统,包括:防护中心61和防护终端62;其中,
如图10所示,所述防护中心61连接所述防护终端62,包括攻击行为数据接收模块611和攻击行为检测规则模块612,所述攻击行为数据接收模块611用于当防护终端62检测到攻击行为后,接收所述防护终端62发送的攻击行为数据;所述攻击行为检测规则模块612与攻击行为数据接收模块611相连,用于根据所述攻击行为数据实时更新所述检测规则,并向所述防护终端62下发检测规则;
如图11所示,所述防护终端62包括基础行为数据获取模块621和攻击行为检测模块622,所述基础行为数据获取模块621用于获取基础行为数据;所述攻击行为检测模块622与所述所述基础行为数据获取模块621相连,用于根据攻击行为检测规则模块612下发的检测规则检测所述基础行为数据,并当检测到攻击行为后,获取攻击行为数据并上传至攻击行为数据接收模块611。
如图12所示,可选的,所述防护终端62还包括攻击行为链查询模块623,用于获取防护中心61下发的攻击行为链查询指令,基于所述攻击行为链查询指令在所述所述基础行为数据中查询攻击行为以及所述攻击行为的标识信息;基于所述攻击行为的标识信息在所述基础行为数据中查询与所述攻击行为对应的上游行为和下游行为;根据所述攻击行为、对应的上游行为和下游行为形成攻击行为链并上传至所述防护中心61。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络攻击行为检测方法,其特征在于,包括:
获取基础行为数据;
执行攻击行为检测,所述攻击行为检测为根据防护中心下发的检测规则检测所述基础行为数据;
当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则;
基于更新后的检测规则转至执行攻击行为检测步骤。
2.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述基础行为数据包括文件操作、进程操作、注册表操作、网络连接操作和服务修改操作产生的行为数据。
3.根据权利要求1所述的网络攻击行为检测方法,其特征在于,获取基础行为数据之后,还包括:
存储所述基础行为数据,并在预设时间周期内对已存储的基础行为数据进行清理。
4.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述基础行为数据包括标识信息,则当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则包括:
获取防护中心下发的攻击行为链查询指令;
基于所述攻击行为链查询指令在所述所述基础行为数据中查询攻击行为以及所述攻击行为的标识信息;
基于所述攻击行为的标识信息在所述基础行为数据中查询与所述攻击行为对应的上游行为和下游行为;
根据所述攻击行为、对应的上游行为和下游行为形成攻击行为链并上传至所述防护中心,以使所述防护中心根据所述攻击行为链实时更新所述检测规则。
5.根据权利要求4所述的网络攻击行为检测方法,其特征在于,所述标识信息包括对应于当前行为的当前行为标识、对应于当前行为的上游行为的上游行为标识和对应于所述当前行为的下游行为的下游行为标识,则基于所述标识信息在所述基础行为数据中查询与所述攻击行为对应的上游行为和下游行为包括:
基于所述攻击行为的标识信息获取当前行为标识、上游行为标识和下游行为标识;
根据所述上游行为标识在所述基础行为数据中查询与所述攻击行为对应的上游行为;
根据所述下游行为标识在所述基础行为数据中查询与所述攻击行为对应的下游行为。
6.一种网络攻击行为检测方法,其特征在于,包括:
向防护终端下发检测规则,以使所述防护终端根据所述检测规则执行攻击行为检测;
当防护终端检测到攻击行为后,接收所述防护终端发送的攻击行为数据;
根据所述攻击行为数据实时更新所述检测规则,以使所述防护终端基于更新后的检测规则执行攻击行为检测步骤。
7.根据权利要求6所述网络攻击行为检测方法,其特征在于,根据所述攻击行为数据实时更新所述检测规则包括:
向所述防护终端下发攻击行为链查询指令;
获取基于所述攻击行为链查询指令返回的攻击行为链;所述攻击行为链包括当前行为、上游行为和下游行为;
根据所述当前行为、上游行为和下游行为实时更新所述检测规则;其中,更新所述检测规则包括新增和修改。
8.一种网络攻击行为检测装置,其特征在于,包括:
数据获取单元,用于获取基础行为数据;
检测单元,用于执行攻击行为检测,所述攻击行为检测为根据防护中心下发的检测规则检测所述基础行为数据;
攻击行为数据上传单元,用于当检测到攻击行为后,获取攻击行为数据并上传至防护中心,以使所述防护中心根据所述攻击行为数据实时更新所述检测规则;
循环单元,用于基于更新后的检测规则转至执行攻击行为检测步骤。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的网络攻击行为检测方法。
10.一种网络攻击行为检测系统,其特征在于,包括:防护中心和防护终端;其中,
所述防护中心连接所述防护终端,包括攻击行为数据接收模块和攻击行为检测规则模块,所述攻击行为数据接收模块用于当防护终端检测到攻击行为后,接收所述防护终端发送的攻击行为数据;所述攻击行为检测规则模块与攻击行为数据接收模块相连,用于根据所述攻击行为数据实时更新所述检测规则,并向所述防护终端下发检测规则;
所述防护终端包括基础行为数据获取模块和攻击行为检测模块,所述基础行为数据获取模块用于获取基础行为数据;所述攻击行为检测模块与所述所述基础行为数据获取模块相连,用于根据攻击行为检测规则模块下发的检测规则检测所述基础行为数据,并当检测到攻击行为后,获取攻击行为数据并上传至攻击行为数据接收模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110141837.8A CN112910895B (zh) | 2021-02-02 | 2021-02-02 | 网络攻击行为检测方法、装置、计算机设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110141837.8A CN112910895B (zh) | 2021-02-02 | 2021-02-02 | 网络攻击行为检测方法、装置、计算机设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112910895A true CN112910895A (zh) | 2021-06-04 |
| CN112910895B CN112910895B (zh) | 2022-11-15 |
Family
ID=76121395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110141837.8A Active CN112910895B (zh) | 2021-02-02 | 2021-02-02 | 网络攻击行为检测方法、装置、计算机设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910895B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115987600A (zh) * | 2022-12-16 | 2023-04-18 | 中国联合网络通信集团有限公司 | 网络攻击的防护方法和系统、电子设备、存储介质 |
| CN116049820A (zh) * | 2022-08-12 | 2023-05-02 | 荣耀终端有限公司 | 流氓应用检测方法、电子设备及通信系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572691A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
| CN102684944A (zh) * | 2012-04-20 | 2012-09-19 | 北京启明星辰信息技术股份有限公司 | 入侵检测方法和装置 |
| CN104392175A (zh) * | 2014-11-26 | 2015-03-04 | 华为技术有限公司 | 一种云计算系统中云应用攻击行为处理方法、装置及系统 |
| CN104426836A (zh) * | 2013-08-20 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 一种入侵检测方法及装置 |
| CN106713358A (zh) * | 2017-02-04 | 2017-05-24 | 国家电网公司信息通信分公司 | 一种攻击性检测方法及装置 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| US20170251012A1 (en) * | 2016-02-25 | 2017-08-31 | Darktrace Limited | Cyber security |
| CN107911355A (zh) * | 2017-11-07 | 2018-04-13 | 杭州安恒信息技术有限公司 | 一种基于攻击链的网站后门利用事件识别方法 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN108306857A (zh) * | 2017-12-26 | 2018-07-20 | 努比亚技术有限公司 | 异常操作拦截方法、网络安全设备及计算机可读存储介质 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
-
2021
- 2021-02-02 CN CN202110141837.8A patent/CN112910895B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572691A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
| CN102684944A (zh) * | 2012-04-20 | 2012-09-19 | 北京启明星辰信息技术股份有限公司 | 入侵检测方法和装置 |
| CN104426836A (zh) * | 2013-08-20 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 一种入侵检测方法及装置 |
| CN104392175A (zh) * | 2014-11-26 | 2015-03-04 | 华为技术有限公司 | 一种云计算系统中云应用攻击行为处理方法、装置及系统 |
| US20170251012A1 (en) * | 2016-02-25 | 2017-08-31 | Darktrace Limited | Cyber security |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN106713358A (zh) * | 2017-02-04 | 2017-05-24 | 国家电网公司信息通信分公司 | 一种攻击性检测方法及装置 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| CN107911355A (zh) * | 2017-11-07 | 2018-04-13 | 杭州安恒信息技术有限公司 | 一种基于攻击链的网站后门利用事件识别方法 |
| CN108306857A (zh) * | 2017-12-26 | 2018-07-20 | 努比亚技术有限公司 | 异常操作拦截方法、网络安全设备及计算机可读存储介质 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
Non-Patent Citations (1)
| Title |
|---|
| 吴春明: "动态网络主动安全防御的若干思考", 《中兴通讯技术》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115118500B (zh) * | 2022-06-28 | 2023-11-07 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN116049820A (zh) * | 2022-08-12 | 2023-05-02 | 荣耀终端有限公司 | 流氓应用检测方法、电子设备及通信系统 |
| CN115987600A (zh) * | 2022-12-16 | 2023-04-18 | 中国联合网络通信集团有限公司 | 网络攻击的防护方法和系统、电子设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112910895B (zh) | 2022-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112910895B (zh) | 网络攻击行为检测方法、装置、计算机设备和系统 | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| WO2021077987A1 (zh) | 一种安全漏洞的防御方法和设备 | |
| CN106650436B (zh) | 一种基于局域网的安全检测方法和装置 | |
| CN105991595B (zh) | 网络安全防护方法及装置 | |
| EP3244335B1 (en) | Blacklist generation device, blacklist generation system, blacklist generation method, and blacklist generation program | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
| CN103595732B (zh) | 一种网络攻击取证的方法及装置 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN111756761A (zh) | 基于流量转发的网络防御系统、方法和计算机设备 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN112685734B (zh) | 安全防护方法、装置、计算机设备和存储介质 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| CN104796386B (zh) | 一种僵尸网络的检测方法、装置和系统 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN114257403A (zh) | 误报检测方法、设备及可读存储介质 | |
| CN109218315B (zh) | 一种安全管理方法和安全管理装置 | |
| CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 | |
| CN107341396B (zh) | 入侵检测方法、装置及服务器 | |
| Zaki et al. | Constructing iot botnets attack pattern for host-based and network-based platform | |
| US20190158464A1 (en) | Inspection context caching for deep packet inspection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |