CN113141335B - 网络攻击检测方法及装置 - Google Patents
网络攻击检测方法及装置 Download PDFInfo
- Publication number
- CN113141335B CN113141335B CN202010060523.0A CN202010060523A CN113141335B CN 113141335 B CN113141335 B CN 113141335B CN 202010060523 A CN202010060523 A CN 202010060523A CN 113141335 B CN113141335 B CN 113141335B
- Authority
- CN
- China
- Prior art keywords
- data
- abnormal
- detection
- information
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 262
- 230000002159 abnormal effect Effects 0.000 claims abstract description 193
- 238000004458 analytical method Methods 0.000 claims abstract description 35
- 230000002776 aggregation Effects 0.000 claims abstract description 15
- 238000004220 aggregation Methods 0.000 claims abstract description 15
- 238000000034 method Methods 0.000 claims description 35
- 230000015654 memory Effects 0.000 claims description 20
- 238000002347 injection Methods 0.000 claims description 16
- 239000007924 injection Substances 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 8
- 238000010219 correlation analysis Methods 0.000 claims description 3
- 230000002547 anomalous effect Effects 0.000 claims description 2
- 230000007123 defense Effects 0.000 abstract description 5
- 238000005065 mining Methods 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 description 33
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 5
- 239000000243 solution Substances 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000007619 statistical method Methods 0.000 description 3
- 238000012098 association analyses Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了网络攻击检测方法及装置,属于信息安全技术领域。本发明能够在内部网络中获取多个终端设备的待检测信息(包括系统数据和web日志数据);通过逐个对每一个待检测信息进行威胁检测,进而获取相应的异常数据;采用聚合分析的方式对全部异常数据的进行深度挖掘分析,进而溯源内部网络中的终端设备受到攻击的路径(异常路径信息),以便于根据该攻击路径对攻击者进行追踪,提升网络安全防御能力。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种网络攻击检测方法及装置。
背景技术
网络攻击是黑客或者病毒木马等对电子设备(如:终端设备)发起的攻击,通过窃取文件等给用户带来了巨大损失。攻击者利用恶意程序对网络及信息系统进行入侵控制,达到窃取敏感数据和破坏系统和网络环境的目的,亟待提高对大型应用场景(如:企业内部网络)中对网络攻击的分析及防御能力。
目前,在进行终端设备的系统安全防护时,通常将单一的终端设备的系统攻击事件或web攻击事件进行相关事件的罗列,无法针对同一网络(如:银行内部专用网络,医院内部专用网络等)中所有终端设备的web攻击事件进行统计分析,不能有效的溯源攻击者的攻击路径。针对现有的系统安全防护因缺少对系统攻击事件及web攻击事件的关联分析能力,无法溯源攻击者的攻击路径,导致无法有效进行系统防护的缺陷。因此,提出一种新的网络攻击检测方式已成为安全技术领域亟待解决的技术问题。
发明内容
有鉴于此,本发明提供一种网络攻击检测方法及装置,主要目的在于能够在内部网络中对多个终端设备的系统攻击事件及web攻击事件进行联合分析,从而获取溯源攻击路径,提升检测网络攻击的能力。
本发明提供了一种网络攻击检测方法,应用于内部网络,包括:
获取所述内部网络中至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;
分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;
对全部所述异常数据进行聚合分析,生成异常路径信息。
优选的,所述分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据,包括:
识别每一个所述待检测信息中各个待检测数据的数据类型;
根据每一个所述待检测数据的数据类型进行相应的威胁检测,获取所述异常数据。
优选的,所述数据类型包括:系统数据类和web数据类;所述系统数据类对应的威胁检测为系统威胁检测,所述web数据类对应的威胁检测为web威胁检测;
根据每一个所述待检测数据的数据类型进行相应的威胁检测,获取所述异常数据,包括:
对所述系统数据进行系统威胁检测,获取所述异常数据;
对所述web日志数据进行web威胁检测,获取所述异常数据。
优选的,对所述web日志数据进行web威胁检测,获取所述异常数据,包括:
采用第一预设模型检测所述web日志数据是否包括异常数据;
当所述web日志数据包括异常数据时,基于所述异常数据生成异常数据的攻击路径信息。
优选的,所述对全部所述异常数据进行聚合分析,生成异常路径信息,包括:
获取每一个所述异常数据中的访问节点数据及相应的时间数据;
根据全部所述时间数据生成时间轴;
依据所述时间轴中的所述时间数据,将相应的访问节点数据关联,生成所述异常路径信息。
优选的,还包括:
识别每一个所述异常数据的威胁级别;
基于所述威胁级别标记所述异常路径信息中相应的终端设备的异常数据。
优选的,还包括:
根据所述异常路径信息生成标识访问节点数据及访问方向的关联分析图像。
本发明还提供了一种网络攻击检测装置,应用于内部网络,包括:
获取单元,用于获取所述内部网络中至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;
检测单元,用于分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;
分析单元,用于对全部所述异常数据进行聚合分析,生成异常路径信息。
本发明还提供了一种计算机设备,所述计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本发明提供一种网络攻击检测方法及装置,能够获取内部网络中多个终端设备的待检测信息(包括系统数据和web日志数据);通过逐个对每一个待检测信息进行威胁检测,进而获取相应的异常数据;采用聚合分析的方式对全部异常数据的进行深度挖掘分析,进而溯源内部网络中的终端设备受到攻击的路径(异常路径信息),以便于根据该攻击路径对攻击者进行追踪,提升网络安全防御能力。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明网络攻击检测装置的一种实施例的架构图;
图2示出了本发明实施例一所述的网络攻击检测方法的流程图;
图3示出了本发明获取异常数据的一种实施例的流程图;
图4示出了本发明根据每一个待检测数据的数据类型进行相应的威胁检测的一种实施例的流程图;
图5示出了本发明生成异常路径信息的一种实施例的流程图;
图6示出了本发明实施例二所述的网络攻击检测方法的流程图;
图7示出了本发明实施例三所述的网络攻击检测方法的流程图;
图8示出了本发明所述的网络攻击检测装置的一种实施例的模块图;
图9示出了本发明检测单元内部的一种实施例的模块图;
图10示出了本发明分析单元内部的一种实施例的模块图;
图11示出了本发明计算机设备的一个实施例的硬件架构图。
具体实施方式
以下结合附图与具体实施例进一步阐述本发明的优点。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在本发明的描述中,需要理解的是,步骤前的数字标号并不标识执行步骤的前后顺序,仅用于方便描述本发明及区别每一步骤,因此不能理解为对本发明的限制。
本申请实施例的终端设备可以是大型视频播放设备、游戏机、台式计算机、智能手机、平板电脑、膝上型便携计算机、电子书阅读器以及其它终端等。
本申请实施例的网络攻击检测方法可以应用在医院内部专用网络、银行内部专用网络以及其他企业内部专用网络等大型或中型网络中。本申请实施例中,通过终端设备将待检测信息(系统数据和web日志数据)上传至服务器,由服务器对接收到的待检测信息进行威胁检测,进而获取相应的异常数据,采用聚合分析的方式对检测后的全部异常数据进行深度挖掘分析,进而溯源攻击路径。请参考图1,图1是本申请实施例提供的网络攻击检测装置架构图。终端设备A、终端设备B、终端设备C和终端设备D分别将各自的待检测信息发送至服务器W,服务器W对接收到的待检测信息分别进行威胁检测,经检测:终端设备D未受到攻击,终端设备A、终端设备B和终端设备C均受到攻击,提取相应的异常数据,对所有的异常数据进行聚合分析,进而溯源终端设备A、终端设备B和终端设备C之间的攻击路径。此处的终端设备可以是用户端,可以是web服务器。服务器W可以是云端服务器,还可以是本地服务器。终端设备不局限于图示的移动设备,所有可以进行数据通信的智能终端均可适用。
实施例一
本实施例为了解决现有的攻击分析方法只针对单一终端设备,且仅能分析系统攻击事件或web攻击事件的缺陷,提出了可对内部网络(如:银行内部专用网络、医院内部专用网络等)中多台终端设备的系统攻击事件及web攻击事件进行联合分析的网络攻击检测方法。参阅图2,其为一符合本实施例网络攻击检测方法的流程示意图,从图中可以看出,本实施例中所提供的网络攻击检测方法主要包括以下步骤:
S1.获取所述内部网络中至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;
需要说明的是:系统数据可包括:进程列表数据、系统服务数据、敏感目录数据、系统安全日志数据、系统注册表数据和网络链接数据中的至少一种数据。
在实际应用中,对于同一终端设备的系统数据和web日志数据,可分别进行采集。该终端设备可采用是Linux系统或Windows系统。
对于系统数据的获取:可通过配置于终端设备中的采集单元,基于用户触发的采集指令进行系统信息的采集,采集完成后将系统信息转换为预设格式,经加密、压缩处理后发送至服务器,由服务器采用网络攻击检测方法对系统数据进行检测;
其中,所述预设格式可选自json(JavaScript Object Notation,JS对象简谱)格式、txt格式、evtx格式、var格式和log格式中的任意一种格式。
作为举例而非限定,可采用RSA+AES(Advanced Encryption Standard,高级加密标准)对系统信息进行加密。RSA加密算法是一种非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。采用AES密钥对系统信息加密,采用RSA对系统信息进行签名,以保证系统信息的安全性。
对于web日志数据的获取:可通过查询终端设备web日志的方式获取web日志数据,并由终端设备将获取的web日志数据发送至服务器,由服务器采用网络攻击检测方法对web日志数据进行检测。
需要说明的是:系统数据包括与该数据关联的终端设备的IP数据;web日志数据包括与该数据关联的终端设备的IP数据。
S2.分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;
进一步地,如图3所示步骤S2可包括:
S21.识别每一个所述待检测信息中各个待检测数据的数据类型;
其中,所述数据类型包括:系统数据类和web数据类;所述系统数据类对应的威胁检测为系统威胁检测,所述web数据类对应的威胁检测为web威胁检测。
系统威胁检测可包括:恶意程序检测、恶意网络连接检测、恶意账户行为检测、恶意启动项信息检测、痕迹擦除检测和异常登录行为检测中的至少一种检测。
web威胁检测可包括:webshell检测、webshell扫描检测、SQL注入检测、文件上传检测、命令执行检测、扫描器检测、XSS威胁检测、任意文件下载检测、Struts2攻击检测、解析漏洞检测、信息泄露检测、web后门检测和web文件篡改检测中的至少一种检测。
S22.根据每一个所述待检测数据的数据类型进行相应的威胁检测,获取所述异常数据。
在本步骤中,可根据待检测数据的不同类型,选择相应的检测模式进行检查,以适应不同类型的数据的检测需求,对终端设备进行多维度的检测。
进一步地,如图4所示步骤S22可包括:
S221.对所述系统数据进行系统威胁检测,获取所述异常数据;
具体地,对敏感目录数据进行恶意程序检测以识别敏感目录是否存在可疑文件行为;对进程列表数据进行恶意程序检测以识别是否有进程注入的行为;对系统服务数据进行恶意程序检测以识别是否有可疑服务的行为;对系统注册表数据进行恶意启动项信息检测以识别是否有恶意系统启动项行为及注册表镜像劫持行为;对网络链接数据进行恶意网络连接检测以识别是否有恶意网络连接的行为;对系统安全日志数据分别进行恶意账户行为检测、痕迹擦除检测和异常登录行为检测,以识别是否有黑客工具利用行为、恶意IP、RDP异常登录行为及黑客可疑服务创建行为等。
在实际应用中,可预先设置进程列表数据、系统服务数据、敏感目录数据、系统安全日志数据、系统注册表数据和网络链接数据的检测优先级,根据每种数据对应的检测优先级顺序,进行检测;还可预先设置恶意程序检测、恶意网络连接检测、恶意账户行为检测、恶意启动项信息检测、痕迹擦除检测和异常登录行为检测的优先级,根据每种检测对应的优先级顺序,提取相应的数据进行检测。
在实际应用中,对进行系统威胁检测时,将系统数据与相应的检测模型中的检测数据进行匹配,若匹配,则存在异常;若不匹配,则表示数据正常。
S222.对所述web日志数据进行web威胁检测,获取所述异常数据。
进一步地,所述步骤S222可包括:
采用第一预设模型检测所述web日志数据是否包括异常数据,当所述web日志数据包括异常数据时,基于所述异常数据生成异常数据的攻击路径信息;
在本步骤中,第一预设模型可包括:webshell检测模型、webshell扫描检测模型、SQL注入检测模型、文件上传检测模型、命令执行检测模型、扫描器检测模型、XSS威胁检测模型、任意文件下载检测模型、Struts2攻击检测模型和解析漏洞检测模型中的至少一种检测模型。异常数据可以包括webshell异常项、webshell扫描异常项、SQL注入异常项、文件上传异常项、命令执行异常项、扫描器检测异常项、XSS威胁异常项、文件下载异常项、Struts2攻击异常项和漏洞异常项中的至少一种异常项,将web日志数据分别与第一预设模型中的检测模型进行匹配,以识别web日志数据是否存在异常数据。
具体地,当所述web日志数据包括异常数据时,基于所述异常数据生成异常数据的攻击路径信息的过程为:分别根据所述异常数据中每一个异常项对应的异常时间数据顺序,将相应的异常操作状态进行关联,生成与所述web日志数据对应的所述终端设备的攻击路径信息。
作为举例而非限定,一个终端设备的异常数据可包括多个异常项,每一个异常项对应相应的时间节点;将终端设备的web日志数据与webshell检测模型进行匹配,若匹配,则获取web日志数据中的webshell数据,基于该webshell数据获取web日志数据中与其相关的IP地址,基于该IP地址查询web日志数据以获取相关操作数据,进而生成webshell检测的攻击路径信息;将终端设备的web日志数据与任意文件下载检测模型进行匹配,获取匹配的文件下载路径,基于该文件下载路径查询web日志数据以获取web扫描器,根据web扫描器查询web日志数据以获取与其关联的访问敏感路径操作,根据访问敏感路径查询web日志数据获取shell注入操作,根据shell注入操作追溯到异常IP首次访问记录,从而获取任意文件下载检测的攻击路径信息(例如:异常IP首次访问→shell注入→访问敏感路径→web扫描器→文件下载)。
进一步地,所述步骤S222还可包括:
采用第二预设模型检测所述web日志数据是否包括异常数据;当所述web日志数据包括所述异常数据时,获取所述异常数据。
本实施例中的第二预设模型可包括信息泄露检测模型、web后门检测模型和web文件篡改检测模型中的至少一种模型。
将web日志数据与web后门检测模型进行匹配,可获取web后门的类别、位置、访问次数、持续时间等异常数据;将web日志数据与web文件篡改检测模型进行匹配,可得到内存发生变化的文件路径,以及发生变化的时间等异常数据;将web日志数据与信息泄露检测模型进行匹配,可得到文件上传/攻击压缩文件上传的路径、开放端口等异常信息,从而获取攻击者IP的攻击次数、地域分布等信息进行统计分析。
在实际应用中,对进行web威胁检测时,将web日志数据与相应的检测模型中的检测数据进行匹配,若匹配,则存在异常;若不匹配,则表示数据正常。
S3.对全部所述异常数据进行聚合分析,生成异常路径信息。
在本步骤中,通过将所有终端设备的异常数据进行聚合分析,以获取受到攻击的终端设备之间的关联关系。
进一步地,如图5所示步骤S3可包括:
S31.获取每一个所述异常数据中的访问节点数据及相应的时间数据;
S32.根据全部所述时间数据生成时间轴;
S33.依据所述时间轴中的所述时间数据,将相应的访问节点数据关联,生成所述异常路径信息。
在步骤S3中,提取每一终端设备的异常数据中的异常访问节点(访问IP地址)及相应的访问时刻,根据所有的异常访问时刻生成时间轴,根据该时间轴上的异常访问时刻,将相应的异常访问节点顺序关联,进而生成包括异常访问节点及相应访问时刻的异常路径信息。
在本实施例中,网络攻击检测方法能够获取内部网络中多个终端设备的待检测信息(包括系统数据和web日志数据);通过逐个对每一个待检测信息进行威胁检测,进而获取相应的异常数据;依据待检测数据的不同类型,选择相应的检测模型进行威胁检测,将异常数据进行聚合分析,提取有效且具有威胁特征的异常数据,基于该异常数据的共有特征依据攻击路径将终端设备的异常访问节点相关联(可序列化存储),进而溯源内部网络中的终端设备受到攻击的路径(异常路径信息),以便于根据该攻击路径对攻击者进行追踪,提升网络安全防御能力。
实施例二
参考图6本实施例提供了一种网络攻击检测方法,应用于内部网络,包括下述步骤:
S1.获取所述内部网络中至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;
S2.分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;
S3.对全部所述异常数据进行聚合分析,生成异常路径信息。
S4.识别每一个所述异常数据的威胁级别;
S5.基于所述威胁级别标记所述异常路径信息中相应的终端设备的异常数据。
在本实施例中,根据每一异常数据对应的异常攻击行为级别(如:被攻击或存在威胁情报),对相应的异常数据的终端设备的IP地址进行标记。从而直观的了解受到异常攻击的终端设备被攻击的情况,以及别攻击的路径,以便对攻击者的攻击行为进行分析。
实施例三
参考图7本实施例提供了一种网络攻击检测方法,应用于内部网络,包括下述步骤:
S1.获取所述内部网络中至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;
S2.分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;
S3.对全部所述异常数据进行聚合分析,生成异常路径信息。
S6.根据所述异常路径信息生成标识访问节点数据及访问方向的关联分析图像。
在本实施例中,可根异常路径信息中的访问节点、访问时刻及访问方向,生成关联分析图,从而直观的了解受到异常攻击的终端设备被攻击的情况,以及别攻击的路径,以便对攻击者的攻击行为进行分析。
实施例四
如图8所示本实施例提供了一种网络攻击检测装置1应用于内部网络中,可包括:获取单元11、检测单元12及分析单元13;其中,
获取单元11,用于获取至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;
需要说明的是:系统数据可包括:进程列表数据、系统服务数据、敏感目录数据、系统安全日志数据、系统注册表数据和网络链接数据中的至少一种数据。
在实际应用中,对于同一终端设备的系统数据和web日志数据,可分别进行采集。该终端设备可采用是Linux系统或Windows系统。
对于系统数据的获取:可通过配置于终端设备中的采集单元,基于用户触发的采集指令进行系统信息的采集,采集完成后将系统信息转换为预设格式,经加密、压缩处理后发送至服务器,由服务器采用网络攻击检测方法对系统数据进行检测;
其中,所述预设格式可选自json格式、txt格式、evtx格式、var格式和log格式中的任意一种格式。
作为举例而非限定,可采用RSA+AES对系统信息进行加密。RSA加密算法是一种非对称加密算法需要两个密钥:公开密钥和私有密钥。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。采用AES密钥对系统信息加密,采用RSA对系统信息进行签名,以保证系统信息的安全性。
对于web日志数据的获取:可通过查询终端设备web日志的方式获取web日志数据,并由终端设备将获取的web日志数据发送至服务器,由服务器采用网络攻击检测方法对web日志数据进行检测。
需要说明的是:系统数据包括与该数据关联的终端设备的IP数据;web日志数据包括与该数据关联的终端设备的IP数据。
检测单元12,用于分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;
进一步地,参考图9检测单元12可包括:识别模块121和检测模块122;
识别模块121,用于识别每一个所述待检测信息中各个待检测数据的数据类型;
其中,所述数据类型包括:系统数据类和web数据类;所述系统数据类对应的威胁检测为系统威胁检测,所述web数据类对应的威胁检测为web威胁检测。
系统威胁检测可包括:恶意程序检测、恶意网络连接检测、恶意账户行为检测、恶意启动项信息检测、痕迹擦除检测和异常登录行为检测中的至少一种检测。
web威胁检测可包括:webshell检测、webshell扫描检测、SQL注入检测、文件上传检测、命令执行检测、扫描器检测、XSS威胁检测、任意文件下载检测、Struts2攻击检测、解析漏洞检测、信息泄露检测、web后门检测和web文件篡改检测中的至少一种检测。
检测模块122,用于根据每一个所述待检测数据的数据类型进行相应的威胁检测,获取所述异常数据。
在本步骤中,可根据待检测数据的不同类型,选择相应的检测模式进行检查,以适应不同类型的数据的检测需求,对终端设备进行多维度的检测。
进一步地,检测模块122用于对所述系统数据进行系统威胁检测,获取所述异常数据;
具体地,对敏感目录数据进行恶意程序检测以识别敏感目录是否存在可疑文件行为;对进程列表数据进行恶意程序检测以识别是否有进程注入的行为;对系统服务数据进行恶意程序检测以识别是否有可疑服务的行为;对系统注册表数据进行恶意启动项信息检测以识别是否有恶意系统启动项行为及注册表镜像劫持行为;对网络链接数据进行恶意网络连接检测以识别是否有恶意网络连接的行为;对系统安全日志数据分别进行恶意账户行为检测、痕迹擦除检测和异常登录行为检测,以识别是否有黑客工具利用行为、恶意IP、RDP异常登录行为及黑客可疑服务创建行为等。
在实际应用中,可预先设置进程列表数据、系统服务数据、敏感目录数据、系统安全日志数据、系统注册表数据和网络链接数据的检测优先级,根据每种数据对应的检测优先级顺序,进行检测;还可预先设置恶意程序检测、恶意网络连接检测、恶意账户行为检测、恶意启动项信息检测、痕迹擦除检测和异常登录行为检测的优先级,根据每种检测对应的优先级顺序,提取相应的数据进行检测。
检测模块122还用于对所述web日志数据进行web威胁检测,获取所述异常数据。
进一步地,检测模块122可采用第一预设模型检测所述web日志数据是否包括异常数据,当所述web日志数据包括异常数据时,基于所述异常数据生成异常数据的攻击路径信息;
其中,第一预设模型可包括:webshell检测模型、webshell扫描检测模型、SQL注入检测模型、文件上传检测模型、命令执行检测模型、扫描器检测模型、XSS威胁检测模型、任意文件下载检测模型、Struts2攻击检测模型和解析漏洞检测模型中的至少一种检测模型。异常数据可以是webshell异常项、webshell扫描异常项、SQL注入异常项、文件上传异常项、命令执行异常项、扫描器检测异常项、XSS威胁异常项、文件下载异常项、Struts2攻击异常项和漏洞异常项中的至少一种异常项,将web日志数据分别与第一预设模型中的检测模型进行匹配,以识别web日志数据是否存在异常数据。
在本实施例中,当所述web日志数据包括异常数据时,基于所述异常数据生成异常数据的攻击路径信息的过程为:分别根据所述异常数据中每一个异常项对应的异常时间数据顺序,将相应的异常操作状态进行关联,生成与所述web日志数据对应的所述终端设备的攻击路径信息。
作为举例而非限定,一个终端设备的异常数据可包括多个异常项,每一个异常项对应相应的时间节点;将终端设备的web日志数据与webshell检测模型进行匹配,若匹配,则获取web日志数据中的webshell数据,基于该webshell数据获取web日志数据中与其相关的IP地址,基于该IP地址查询web日志数据以获取相关操作数据,进而生成webshell检测的攻击路径信息;将终端设备的web日志数据与任意文件下载检测模型进行匹配,获取匹配的文件下载路径,基于该文件下载路径查询web日志数据以获取web扫描器,根据web扫描器查询web日志数据以获取与其关联的访问敏感路径操作,根据访问敏感路径查询web日志数据获取shell注入操作,根据shell注入操作追溯到异常IP首次访问记录,从而获取任意文件下载检测的攻击路径信息(例如:异常IP首次访问→shell注入→访问敏感路径→web扫描器→文件下载)。
进一步地,检测模块122还可采用第二预设模型检测所述web日志数据是否包括异常数据;当所述web日志数据包括所述异常数据时,获取所述异常数据。
本实施例中的第二预设模型可包括信息泄露检测模型、web后门检测模型和web文件篡改检测模型中的至少一种模型。
将web日志数据与web后门检测模型进行匹配,可获取web后门的类别、位置、访问次数、持续时间等异常数据;将web日志数据与web文件篡改检测模型进行匹配,可得到内存发生变化的文件路径,以及发生变化的时间等异常数据;将web日志数据与信息泄露检测模型进行匹配,可得到文件上传/攻击压缩文件上传的路径、开放端口等异常信息,从而获取攻击者IP的攻击次数、地域分布等信息进行统计分析。
在实际应用中,对进行web威胁检测时,将web日志数据与相应的检测模型中的检测数据进行匹配,若匹配,则存在异常;若不匹配,则表示数据正常。
分析单元13,用于对全部所述异常数据进行聚合分析,生成异常路径信息。
本实施例中,通过将所有终端设备的异常数据进行聚合分析,以获取受到攻击的终端设备之间的关联关系。
进一步地,如图10所示分析单元13可包括:提取模块131、生成模块132和关联模块133;其中,
提取模块131,用于获取每一个所述异常数据中的访问节点数据及相应的时间数据;
生成模块132,用于根据全部所述时间数据生成时间轴;
关联模块133,用于依据所述时间轴中的所述时间数据,将相应的访问节点数据关联,生成所述异常路径信息。
本实施例中,提取每一终端设备的异常数据中的异常访问节点(访问IP地址)及相应的访问时刻,根据所有的异常访问时刻生成时间轴,根据该时间轴上的异常访问时刻,将相应的异常访问节点顺序关联,进而生成包括异常访问节点及相应访问时刻的异常路径信息。
在本实施例中,网络攻击检测方法能够获取内部网络中多个终端设备的待检测信息(包括系统数据和web日志数据);通过逐个对每一个待检测信息进行威胁检测,进而获取相应的异常数据;依据待检测数据的不同类型,选择相应的检测模型进行威胁检测,将异常数据进行聚合分析,提取有效且具有威胁特征的异常数据,基于该异常数据的共有特征依据攻击路径将终端设备的异常访问节点相关联(可序列化存储),进而溯源内部网络中的终端设备受到攻击的路径(异常路径信息),以便于根据该攻击路径对攻击者进行追踪,提升网络安全防御能力。
实施例五
如图11所示,一种计算机设备2,所述计算机设备2包括:
存储器21,用于存储可执行程序代码;以及
处理器22,用于调用所述存储器21中的所述可执行程序代码,执行步骤包括上述的网络攻击检测方法。
图11中以一个处理器22为例。
存储器21作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的网络攻击检测方法对应的程序指令/模块(例如,图8至图10所示的单元/模块)。处理器22通过运行存储在存储器21中的非易失性软件程序、指令以及模块,从而执行计算机设备2的各种功能应用以及数据处理,即实现上述实施例网络攻击检测装置1。
存储器21可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储用户在计算机设备2的处理信息。此外,存储器21可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器21可选包括相对于处理器22远程设置的存储器21,这些远程存储器21可以通过网络连接至网络攻击检测装置1。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器21中,当被所述一个或者多个处理器22执行时,执行上述任意方法实施例中的网络攻击检测装置1,例如,执行以上描述的图2-图7步骤,实现图8-图10的功能。
上述产品可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
本申请实施例的计算机设备2以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子装置。
实施例六
本申请实施例提供了一种非易失性计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行,例如图11中的一个处理器22,可使得上述一个或多个处理器22可执行上述任意方法实施例中的网络攻击检测装置1,例如,执行以上描述的图2-图7步骤,实现图8-图10的功能。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到至少两个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域普通技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (7)
1.一种网络攻击检测方法,其特征在于,应用于内部网络,包括:
获取所述内部网络中多终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;
系统数据包括:进程列表数据、系统服务数据、敏感目录数据、系统安全日志数据、系统注册表数据和网络链接数据中的至少一种数据;
分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据,包括:识别每一个所述待检测信息中各个待检测数据的数据类型,所述数据类型包括:系统数据类和web数据类;所述系统数据类对应的威胁检测为系统威胁检测,所述web数据类对应的威胁检测为web威胁检测,对所述系统数据进行系统威胁检测获取异常数据,采用第一预设模型检测所述web日志数据是否包括异常数据,分别根据所述异常数据中每一个异常项对应的异常时间数据顺序,将相应的异常操作状态进行关联,生成与所述web日志数据对应的所述终端设备的攻击路径信息;其中,第一预设模型包括:webshell检测模型、webshell扫描检测模型、SQL注入检测模型、文件上传检测模型、命令执行检测模型、扫描器检测模型、XSS威胁检测模型、任意文件下载检测模型、Struts2攻击检测模型和解析漏洞检测模型;
对全部所述异常数据进行聚合分析,生成异常路径信息。
2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述对全部所述异常数据进行聚合分析,生成异常路径信息,包括:
获取每一个所述异常数据中的访问节点数据及相应的时间数据;
根据全部所述时间数据生成时间轴;
依据所述时间轴中的所述时间数据,将相应的访问节点数据关联,生成所述异常路径信息。
3.根据权利要求1所述的网络攻击检测方法,其特征在于,还包括:
识别每一个所述异常数据的威胁级别;
基于所述威胁级别标记所述异常路径信息中相应的终端设备的异常数据。
4.根据权利要求1所述的网络攻击检测方法,其特征在于,还包括:
根据所述异常路径信息生成标识访问节点数据及访问方向的关联分析图像。
5.一种网络攻击检测装置,其特征在于,应用于内部网络,包括:
获取单元,用于获取所述内部网络中多个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;系统数据包括:进程列表数据、系统服务数据、敏感目录数据、系统安全日志数据、系统注册表数据和网络链接数据中的至少一种数据;
检测单元,用于分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据,其中,识别每一个所述待检测信息中各个待检测数据的数据类型,所述数据类型包括:系统数据类和web数据类;所述系统数据类对应的威胁检测为系统威胁检测,所述web数据类对应的威胁检测为web威胁检测,对所述系统数据进行系统威胁检测获取异常数据,对所述web日志数据进行web威胁检测获取异常数据;采用第一预设模型检测所述web日志数据是否包括异常数据,分别根据所述异常数据中每一个异常项对应的异常时间数据顺序,将相应的异常操作状态进行关联,生成与所述web日志数据对应的所述终端设备的攻击路径信息;其中,第一预设模型包括:webshell检测模型、webshell扫描检测模型、SQL注入检测模型、文件上传检测模型、命令执行检测模型、扫描器检测模型、XSS威胁检测模型、任意文件下载检测模型、Struts2攻击检测模型和解析漏洞检测模型;
分析单元,用于对全部所述异常数据进行聚合分析,生成异常路径信息。
6.一种计算机设备,所述计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至4任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010060523.0A CN113141335B (zh) | 2020-01-19 | 2020-01-19 | 网络攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010060523.0A CN113141335B (zh) | 2020-01-19 | 2020-01-19 | 网络攻击检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113141335A CN113141335A (zh) | 2021-07-20 |
| CN113141335B true CN113141335B (zh) | 2022-10-28 |
Family
ID=76808787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010060523.0A Active CN113141335B (zh) | 2020-01-19 | 2020-01-19 | 网络攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113141335B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114238965A (zh) * | 2021-11-17 | 2022-03-25 | 北京华清信安科技有限公司 | 用于恶意访问的检测分析方法及系统 |
| CN115021977A (zh) * | 2022-05-17 | 2022-09-06 | 蔚来汽车科技(安徽)有限公司 | 车机系统及包括其的车辆、预警方法以及存储介质 |
| CN114780956B (zh) * | 2022-06-21 | 2022-10-14 | 一物一码数据(广州)实业有限公司 | 基于大数据分析的追踪溯源系统 |
| CN115589339B (zh) * | 2022-12-08 | 2023-04-07 | 北京华云安信息技术有限公司 | 网络攻击类型识别方法、装置、设备以及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
| CN108924169A (zh) * | 2018-09-17 | 2018-11-30 | 武汉思普崚技术有限公司 | 一种可视化网络安全系统 |
| CN108965346A (zh) * | 2018-10-10 | 2018-12-07 | 上海工程技术大学 | 一种失陷主机检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
-
2020
- 2020-01-19 CN CN202010060523.0A patent/CN113141335B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
| CN108924169A (zh) * | 2018-09-17 | 2018-11-30 | 武汉思普崚技术有限公司 | 一种可视化网络安全系统 |
| CN108965346A (zh) * | 2018-10-10 | 2018-12-07 | 上海工程技术大学 | 一种失陷主机检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113141335A (zh) | 2021-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113141335B (zh) | 网络攻击检测方法及装置 | |
| CN110113167B (zh) | 一种智能终端的信息保护方法、系统以及可读存储介质 | |
| US9680849B2 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| US9794270B2 (en) | Data security and integrity by remote attestation | |
| US20130254880A1 (en) | System and method for crowdsourcing of mobile application reputations | |
| CN109033885B (zh) | 一种数据响应方法、终端设备以及服务器 | |
| US9690598B2 (en) | Remotely establishing device platform integrity | |
| TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
| CN108293044A (zh) | 用于经由域名服务流量分析来检测恶意软件感染的系统和方法 | |
| CN111163095B (zh) | 网络攻击分析方法、网络攻击分析装置、计算设备和介质 | |
| US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| Alghamdi | Digital forensics in cyber security—recent trends, threats, and opportunities | |
| US9652615B1 (en) | Systems and methods for analyzing suspected malware | |
| US11334666B2 (en) | Attack kill chain generation and utilization for threat analysis | |
| Mistry et al. | Signature based volatile memory forensics: a detection based approach for analyzing sophisticated cyber attacks | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN114257404B (zh) | 异常外联统计告警方法、装置、计算机设备和存储介质 | |
| CN113139179A (zh) | 基于web攻击的分析方法及装置 | |
| CN113141334A (zh) | 基于网络攻击的数据采集、分析方法及系统 | |
| Jayakrishnan et al. | Forensic Analysis on IoT Devices | |
| Clarke | Computer forensics a pocket guide | |
| CN116226841A (zh) | 入侵检测方法、装置、计算机设备和存储介质 | |
| CN114285622A (zh) | 一种主动诱捕安全防御方法、系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |