CN113301012B - 一种网络威胁的检测方法、装置、电子设备及存储介质 - Google Patents
一种网络威胁的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113301012B CN113301012B CN202110395510.3A CN202110395510A CN113301012B CN 113301012 B CN113301012 B CN 113301012B CN 202110395510 A CN202110395510 A CN 202110395510A CN 113301012 B CN113301012 B CN 113301012B
- Authority
- CN
- China
- Prior art keywords
- log information
- internet protocol
- protocol address
- network
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络威胁的检测方法,以解决解决现有技术中在检测主机是否遭受木马威胁时,出现的漏判和误判的问题。方法包括:确定待检测的目标用户名;根据待检测的目标用户名,确定目标用户名在指定时间段内使用的互联网协议地址;确定互联网协议地址所访问的定位标识;定位标识,包括远程互联网协议地址和网站域名中的至少一种;根据预设的防火墙互联网协议地址黑名单和定位标识,确定目标用户名对应的终端设备的主机是否遭受网络威胁;其中,预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建。本发明还公开一种网络威胁的检测装置、电子设备及计算机可读存储介质。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种网络威胁的检测方法、装置、电子设备及存储介质。
背景技术
互联网在给人们带来方便的同时,也引发了很多网络安全问题,比如入侵者可能利用木马程序对连入互联网的计算机进行远程控制和信息窃取,其中,木马程序(简称木马)是一种恶意程序,包含服务端和客户端两部分,计算机上的客户端与服务端通过建立通信,以完成对该计算机的主机控制、文件盗取、系统破坏等功能。更严重的是,一旦主机系统被攻破,入侵者就可以用这台主机将木马程序分发到其他易受攻击的计算机,并建立僵尸网络。因此,如何有效地检测并进一步防范木马程序,成为安全领域面临的一个重要挑战。
目前,相关技术中主要基于单纯的防火墙检测技术,以及基于网络流量读取与威胁分析引擎的固定模式来检测主机是否遭受木马威胁。
然而,采用上述检测方式时,由于很多与用户关联的关键信息日志均无法获取,或者无法完全获取,因此容易导致木马威胁检测结果出现遗漏和误判的问题。
发明内容
本发明实施例提供一种网络威胁的检测方法,用以解决现有技术中在检测主机是否遭受木马威胁时,出现的漏判和误判问题。
本发明实施例还提供一种网络威胁的检测装置,一种电子设备,以及一种计算机可读存储介质。
本发明实施例采用下述技术方案:
一种网络威胁的检测方法,包括:
确定待检测的目标用户名;
根据所述待检测的目标用户名,确定所述目标用户名在指定时间段内使用的互联网协议地址;
确定所述互联网协议地址所访问的定位标识;所述定位标识,包括远程互联网协议地址和网站域名中的至少一种;
根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的终端设备的主机是否遭受网络威胁;其中,所述预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建。
一种防火墙互联网协议地址黑名单的生成方法,包括:
获取存在风险的历史访问记录对应的日志信息,得到日志信息集合;其中,所述存在风险的历史访问记录对应的日志信息包括网络准入系统的日志信息,动态主机配置协议系统的日志信息,域名系统的日志信息,防火墙木马与远程被控威胁告警的日志信息中的至少一种;
调用预设的开源威胁情报库的应用程序接口执行:根据所述日志信息集合以及预设的开源威胁情报库,查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名;
根据所述目标互联网协议地址和所述目标网站域名,生成防火墙访问黑名单。
一种网络威胁的检测装置,包括处理模块、建立模块、获取模块和控制模块,其中:
用户名确定模块,用于确定待检测的目标用户名;
协议地址确定模块,用于根据所述待检测的目标用户名,确定所述目标用户名在指定时间段内使用的互联网协议地址;
定位标识确定模块,用于确定所述互联网协议地址所访问的定位标识;所述定位标识,包括远程互联网协议地址和网站域名中的至少一种;
网络威胁确定模块,用于根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的终端设备的主机是否遭受网络威胁;其中,所述预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建。
一种防火墙互联网协议地址黑名单的生成装置,包括获取模块、调用模块和生成模块,其中:
获取模块,用于获取存在风险的历史访问记录对应的日志信息,得到日志信息集合;其中,所述存在风险的历史访问记录对应的日志信息包括网络准入系统的日志信息,动态主机配置协议系统的日志信息,域名系统的日志信息,防火墙木马与远程被控威胁告警的日志信息中的至少一种;
调用模块,用于调用预设的开源威胁情报库的应用程序接口执行:根据所述日志信息集合以及预设的开源威胁情报库,查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名;
生成模块,用于根据所述目标互联网协议地址和所述目标网站域名,生成防火墙访问黑名单。
一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的网络威胁的检测方法和/或防火墙互联网协议地址黑名单的生成方法的步骤。
一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的网络威胁的检测方法和/或防火墙互联网协议地址黑名单的生成方法的步骤。
本发明实施例采用的上述至少一个技术方案能够达到以下有益效果:
采用本发明实施例提供的方法,由于预设的防火墙互联网协议地址黑名单是基于存在风险的历史访问记录对应的日志信息聚合分析得到的,因此,可以有效地聚合用户网络访问的关键信息,这样,相对于相关技术而言,基于预设的防火墙互联网协议地址黑名单对待检测的目标用户名进行检测时,可以避免木马威胁检测结果出现遗漏和误判的问题,从而提高检测结果的准确性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例提供的一种目标图像文件的分享方法的实现流程示意图;
图2a为本发明实施例提供的一种目标图像文件的分享方法在实际中的应用流程示意图;
图2b为本发明实施例提供的一种目标图像文件的分享方法的物理架构示意图;
图3为本发明实施例提供的一种防火墙互联网协议地址黑名单的生成方法的实现流程示意图;
图4为本发明实施例提供一种网络威胁的检测装置的具体结构示意图;
图5为本发明实施例提供一种防火墙互联网协议地址黑名单的生成装置的具体结构示意图;
图6为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下结合附图,详细说明本发明各实施例提供的技术方案。
实施例1
为解决现有技术中在检测主机是否遭受木马威胁时,出现的漏判和误判的问题,本发明实施例提供一种网络威胁的检测方法。
该方法的执行主体,可以是各种类型的计算设备,或者,可以是安装于计算设备上的应用程序或应用(Application,APP)。所述的计算设备,比如可以是手机、平板电脑、智能可穿戴设备等用户终端,也可以是服务器等。
为便于描述,本发明实施例以该方法的执行主体为服务器为例,对该方法进行介绍。本领域技术人员可以理解,本发明实施例以该服务器为例对方法进行介绍,仅是一种示例性说明,并不对本方案对应的权利要求保护范围构成限制。
具体地,本发明实施例提供的该方法的实现流程如图1所示,包括如下步骤:
步骤11,确定待检测的目标用户名。
本发明实施例中,待检测的目标用户名可以是指定的疑似遭受木马威胁、发生过威胁事件和/或发生过威胁行为的主机/终端设备所属用户的用户名。或者,本发明实施例中,目标用户名也可以是随机选取的需要检测的主机/终端设备所属用户的用户名。
步骤12,根据待检测的目标用户名,确定目标用户名在指定时间段内使用的互联网协议地址。
本发明实施例中,考虑到目标用户名对应的终端设备的主机遭受网络威胁的原因通常是由于目标用户名对应的终端设备的主机对远程恶意互联网协议(InternetProtocol Address,IP)地址和/或互联网协议地址黑名单中的互联网协议地址进行了访问,因此,本发明实施例中,在检测目标用户名对应的终端设备的主机是否遭受网络威胁时,可以根据待检测的目标用户名,确定目标用户名在指定时间段内使用的互联网协议地址。
可选的,本发明实施例中,可以根据待检测的目标用户名和记录有用户IP地址的日志信息,确定目标用户名在指定时间段内使用的IP地址。
其中,记录有用户互联网协议地址的日志信息比如可以是网络准入系统对应的日志信息。网络准入系统的日志信息中,用户身份标识ID与IP通常形成对应关系,也即可以用户身份标识ID,定位指定时间段内某用户使用了哪些IP进入内网通信访问。或者,可以用IP信息定位该IP信息对应的所属用户ID。
例如,假设以记录有用户互联网协议地址的日志信息为网络准入系统对应的日志信息为例,则本发明实施例中,可以根据待检测的目标用户名在网络准入系统进行查询,得到该目标用户名在指定时间段内使用的互联网协议地址。
需要说明的是,由于目标用户名在指定时间段内可能存在多个互联网协议地址,也即指定时间段内不同时刻使用的互联网协议地址可能不同,因此,为了更清楚地描述指定时间段内各时刻对应的互联网协议地址的使用情况,本发明实施例中,在确定目标用户名在指定时间段内使用的互联网协议地址时,还可以确定使用每个互联网协议地址的开始时间戳和结束时间戳。
步骤13,确定互联网协议地址所访问的定位标识。
其中,定位标识包括远程互联网协议地址和网站域名中的至少一种。
在根据步骤12确定目标用户名在指定时间段内使用的互联网协议地址之后,则可以进一步确定互联网协议地址所访问的定位标识。
本发明实施例中,可以根据目标用户名在指定时间段内使用的互联网协议地址,互联网协议地址的开始时间戳和结束时间戳,以及记录有互联网协议地址所访问的定位标识信息的日志信息,确定互联网协议地址所访问的定位标识。
其中,考虑到动态主机配置协议系统(Dynamic Host Configuration Protocol,DHCP)记录有用户上网设备动态分配的IP地址信息、设备计算机名、局域网(Media AccessControl Address,MAC)地址。并且,可以根据该系统和用户设备在某时间段内动态分配的IP,查询该用户的计算机设备名和MAC地址,以及可以通过MAC地址,查询到曾经分配过的所有动态IP。因此,可以将DHCP的日志信息作为记录有互联网协议地址所访问的定位标识信息的日志信息。
例如,以记录有互联网协议地址所访问的定位标识信息的日志信息为DHCP的日志信息为例,则本发明实施例中,可以基于互联网协议地址和DHCP,查询互联网协议地址对应的MAC地址;然后,再基于MAC地址在DHCP进行查询,得到与MAC地址对应的动态互联网协议地址;最后,根据动态互联网协议地址和域名系统(Domain Name System,DNS),确定互联网协议地址所访问的定位标识。
其中,DNS系统可以记录用户访问的网站域名和对应解析的IP,通过用户IP信息,可以确定用户访问的网站域名和动态互联网协议地址。
步骤14,根据预设的防火墙互联网协议地址黑名单和定位标识,确定目标用户名对应的终端设备的主机是否遭受网络威胁。
其中,预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建。
其中,存在风险的历史访问记录对应的日志信息比如可以包括以下至少一种:
网络准入系统的日志信息;
动态主机配置协议系统的日志信息;
域名系统的日志信息;
防火墙木马与远程被控威胁告警的日志信息。
其中,网络准入系统的日志信息中,用户身份标识ID与互联网协议地址IP通常形成对应关系,也即可以用户身份标识ID,定位指定时间段内某用户使用了哪些IP进入内网通信访问。或者,可以用IP信息定位该IP信息对应的所属用户ID。本发明实施例中,若IP发生威胁事件,或威胁行为,则可以通过IMC准入日志信息和IP找到对应的用户ID,进而确定正在被攻击的用户。
DHCP的日志信息,记录有用户上网设备动态分配的IP地址信息、设备计算机名、局域网(Media Access Control Address,MAC)地址。并且,可以根据该系统和用户设备在某时间段内动态分配的IP,查询该用户的计算机设备名和MAC地址,以及可以通过MAC地址,查询到曾经分配过的所有动态IP。因此,可以将DHCP的日志信息作为记录有互联网协议地址所访问的定位标识信息的日志信息。
DNS的日志信息,可以记录用户访问的网站域名和对应解析的IP,并且通过用户IP信息,可以确定用户访问的网站域名和动态互联网协议地址。
防火墙日志信息,可以记录主机网络通信流程中存在威胁攻击的信息,比如,远程控制恶意IP信息,通过该防火墙日志信息,可以确定用户在动态分配IP后是否被远程恶心控制,是否存在网络安全风险。
沿用上例,本发明实施例中,预设的防火墙互联网协议地址黑名单,可以通过对网络准入系统的日志信息、动态主机配置协议系统的日志信息、域名系统的日志信息以及防火墙木马与远程被控威胁告警的日志信息中的至少一种聚合分析得到。
其中,通过对网络准入系统的日志信息、动态主机配置协议系统的日志信息、域名系统的日志信息以及防火墙木马与远程被控威胁告警的日志信息中的至少一种聚合分析得到预设的防火墙互联网协议地址黑名单的具体步骤如下:
第一,获取存在风险的历史访问记录对应的日志信息,得到日志信息集合。
第二,调用预设的开源威胁情报库的应用程序接口执行:根据日志信息集合以及预设的开源威胁情报库,查询日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名。
第三,根据目标互联网协议地址和目标网站域名,生成预设的防火墙访问黑名单。
本发明实施例中,考虑到相关技术中采用基于数据客户端代理方式获取日志信息时,由于需要在被收集日志服务器进行数据代理安装,容易影响被收集服务的性能和稳定性的问题。为了解决该技术问题,获取存在风险的历史访问记录对应的日志信息时,可以通过下一代系统日志工具服务创建用户数据包协议网络监听;然后,基于用户数据包协议网络监听获取存在风险的历史访问记录对应的日志信息。这样,可以直接基于通用的Syslog协议发送日志信息,不需要依赖数据代理发送日志信息,从而解决上述技术问题。并且,日志信息的结构处理操作也可以在收集服务器端进行,不需要像被收集日志服务器发送频繁操作,可以提高配置更新效率,且不会对生产造成任何影响。
例如,以获取网络准入系统的日志信息为例,本发明实施例中,可以通过Syslog-Ng服务创建UDP网络监听,接收网络准入系统IMC发送的Syslog日志,以获取网络准入系统的日志信息。
需要说明的是,本发明实施例中,为了对网络准入系统的日志信息进行备份,在接收到网络准入系统IMC发送的Syslog日志信息之后,还可以将接收到的日志信息转发给Graylog系统创建的UDP Syslog监听,以便对日志信息进行备份。
再比如,以获取DHCP的日志信息为例,则本发明实施例中,可以通过Syslog-Ng服务创建UDP网络监听,并接收DHCP设备发送的Syslog日志信息,以获取DHCP的日志信息为例。
此外,获取DNS的日志信息以及防火墙日志信息的方式与上述获取DHCP的日志信息的方式类似,为避免赘述,此处不再说明。
本发明实施例中,确定定位标识之后,可以查询用户域名解析记录,并基于域名解析记录与开源威胁情报库(比如,OTX开源威胁情报库)进行关联;然后,调用开源威胁情报库提供的REST API查询接口,查询用户访问的远程互联网协议地址和网站域名是否为恶意服务器,或者是否包含于恶意远程服务器黑名单中,进而确定目标用户名对应的终端设备的主机是否遭受网络威胁。
本发明实施例中,若防火墙互联网协议地址黑名单包括定位标识,则确定目标用户名对应的主机遭受网络威胁。或者,若防火墙互联网协议地址黑名单不包括定位标识,则确定目标用户名对应的主机不遭受网络威胁。
可选的,本发明实施例中若确定目标用户名对应的主机遭受网络威胁,则还可以基于配置管理数据库和通信录系统,确定目标用户名对应的用户的联系方式;根据用户的联系方式,向用户发送提示信息。
例如,可以通过REST API接口基于目标用户名对配置管理数据库与用户通信录系统进行通信访问,定位目标用户名对应的终端设备的主机的所有者的联系方式,并根据该联系方式发送提示信息进行通知告警。
可选的,除了向用户发送提示信息之外,本发明实施例中还可以通过域控服务器对遭受网络威胁的目标用户名对应的主机,进行取证代理软件下发,以对网络威胁程序取证;针对目标用户名对应的主机进行病毒检查,将目标用户剔除出用户准入系统。
采用本发明实施例提供的该方法,由于预设的防火墙互联网协议地址黑名单是基于存在风险的历史访问记录对应的日志信息聚合分析得到的,因此,可以有效地聚合用户网络访问的关键信息,这样,相对于相关技术而言,基于预设的防火墙互联网协议地址黑名单对待检测的目标用户名进行检测时,可以避免木马威胁检测结果出现遗漏和误判的问题,从而提高检测结果的准确性。
实施例2
以下结合实际场景,说明本发明实施例提供的方法在实际中如何应用。
请参见图2a,为本发明实施例提供的方法在实际中的一种应用流程的示意图。该流程具体包括如下步骤:
第一,获取网络准入系统的日志信息(即图2a中的IMC准入日志信息聚合)、DHCP的日志信息(图2a中的DHCP日志信息聚合)、DNS的日志信息(图2a中的DNS日志信息聚合)以及防火墙日志信息(图2a中的防火墙日志信息聚合)。
其中,IMC准入日志信息中,用户身份标识ID与互联网协议地址IP通常形成对应关系,也即可以用户身份标识ID,定位指定时间段内某用户使用了哪些IP进入内网通信访问。或者,可以用IP信息定位该IP信息对应的所属用户ID。本发明实施例中,若IP发生威胁事件,或威胁行为,则可以通过IMC准入日志信息和IP找到对应的用户ID,进而确定正在被攻击的用户。
DHCP的日志信息记录有用户上网设备动态分配的IP地址信息、设备计算机名、局域网(Media Access Control Address,MAC)地址。并且,可以根据该系统和用户设备在某时间段内动态分配的IP,查询该用户的计算机设备名和MAC地址,以及可以通过MAC地址,查询到曾经分配过的所有动态IP。因此,可以将DHCP的日志信息作为记录有互联网协议地址所访问的定位标识信息的日志信息。
DNS的日志信息可以记录用户访问的网站域名和对应解析的IP,并且通过用户IP信息,可以确定用户访问的网站域名和动态互联网协议地址。
防火墙日志信息,可以记录主机网络通信流程中存在威胁攻击的信息,比如,远程控制恶意IP信息,通过该防火墙日志信息,可以确定用户在动态分配IP后是否被远程恶心控制,是否存在网络安全风险。
本发明实施例中,考虑到相关技术中采用基于数据客户端代理方式获取日志信息时,由于需要在被收集日志服务器进行数据代理安装,容易影响被收集服务的性能和稳定性的问题。为了解决该技术问题,在获取上述日志信息时,可以通过下一代系统日志工具服务Syslog-NG创建用户数据包协议网络监听;然后基于用户数据包协议网络监听获取上述日志信息。这样,可以直接基于通用的Syslog协议发送日志信息,不需要依赖数据代理发送日志信息,从而解决上述技术问题。并且,日志信息的结构处理操作也可以在收集服务器端进行,不需要像被收集日志服务器发送频繁操作,可以提高配置更新效率,且不会对生产造成任何影响。
例如,以获取网络准入系统的日志信息为例,本发明实施例中,可以通过Syslog-Ng服务创建UDP网络监听,接收网络准入系统IMC发送的Syslog日志,以获取网络准入系统的日志信息。
需要说明的是,本发明实施例中,为了对网络准入系统的日志信息进行备份,在接收到网络准入系统IMC发送的Syslog日志信息之后,还可以将接收到的日志信息转发给Graylog系统创建的UDP Syslog监听,以便对日志信息进行备份。
再比如,以获取DHCP的日志信息为例,则本发明实施例中,可以通过Syslog-Ng服务创建UDP网络监听,并接收DHCP设备发送的Syslog日志信息,以获取DHCP的日志信息为例。
可选的,为了对DHCP的日志信息进行备份,本发明实施例中,在接收到DHCP设备发送的Syslog日志信息之后,还可以将DHCP的日志信息转发给Graylog系统创建的UDPSyslog监听。
此外,获取DNS的日志信息以及防火墙日志信息的方式与上述获取DHCP的日志信息的方式类似,为避免赘述,此处不再说明。
可选的,获取网络准入系统的日志信息、DHCP的日志信息、DNS的日志信息以及防火墙日志信息之后,可以对获取到的日志信息进行日志格式化处理,以方便后续存储和查询。
本发明实施例中,网络准入系统的日志信息可以按照如下日志格式进行格式化处理:【用户IP】【用户名】【开始时间戳】【结束时间戳】。
DHCP的日志信息可以按照如下日志格式进行格式化处理:【用户IP】【用户MAC】【主机名】【开始时间戳】【结束时间戳】。
DNS的日志信息可以按照如下日志格式进行格式化处理:【用户IP】【访问域名】【访问IP】【开始时间戳】【结束时间戳】。
防火墙日志信息可以按照如下日志格式进行格式化处理:【IP】【被远程威胁告警类型】【外联远程服务器IP】【开始时间戳】【结束时间戳】;或,
【IP】【执行拒绝通信】【外联远程服务器IP】【开始时间戳】【结束时间戳】。
可选的,本发明实施例中,为了方便后续可以基于上述日志信息进行网络威胁关联分析,在对日志信息进行格式化处理之后,还可以将处理后的日志信息保存至预设数据库(比如,ElasticSearch数据库)中。
例如,以预设数据库为ElasticSearch数据库为例,则本发明实施例中对日志信息进行存储时,可以先对日志信息的原文进行字符串拆分处理,得到若干[key,value]形式的字段记录,然后再将该字段记录写入ElasticSearch数据库的索引表中进行保存。
可选的,考虑到本发明实施例中需要存储的日志信息较多,为了方便后续区分,在存储日志信息时,可以对ElasticSearch数据库的索引表进行重命名。
例如,以网络准入系统的日志信息(IMC准入日志信息)为例,则可以由IMC设备向指定的UDP监听发送日志信息,同时由Syslog-NG服务接收该日志信息;然后,Syslog-NG服务将该日志信息转发至Graylog,以便Graylog对发送过来的日志信息原文进行字符串拆分处理,得到若干[key,value]形式的字段记录;最后,将该字段记录写入至ElasticSearch数据库的索引表中进行保存,并生成如下信息:【索引名】【用户IP】【用户名】【开始时间戳】【结束时间戳】。
其中,【索引名】即指ElasticSearch的索引名,可以根据实际情况自行设置或命名。
此外,DHCP的日志信息、DNS的日志信息以及防火墙日志信息的存储方式与上述IMC准入日志信息的存储方式类似,此处不再赘述。
以上内容即获取IMC准入日志信息、DHCP的日志信息、DNS的日志信息以及防火墙日志信息的相关内容。下面将针对获取日志信息后的步骤进行进一步说明。
第二,通过Graylog威胁事件信息管理系统提供的REST API接口,访问ElasticSearch数据库中保存的IMC准入日志信息、DHCP的日志信息、DNS的日志信息以及防火墙日志信息,并进行信息关联(图2a中将该步骤简记为木马与远程被控威胁分析)。
第三,通过OTX开源威胁情报库提供的REST API查询接口,查询DNS解析记录对应的威胁情报,通过防火墙查询用户主机木马通信与被控IP信息,远控服务器IP信息,并基于该些信息生成防火墙互联网协议地址黑名单(图2a中将该步骤简记为OTX威胁情报查询平台)。
以下,在描述该步骤的具体实施过程之前,先对该步骤涉及的相关内容进行简单说明。
其中,通过OTX开源威胁情报库提供的REST API查询接口,查询DNS解析记录对应的威胁情报时,可以基于如下字段进行查询:
【IP地址】【威胁类型】【威胁等级】【有效时间】;
【网站域名】【威胁类型】【威胁等级】【有效时间】。
可选的,本发明实施例中,可以将高风险威胁类型、高威胁等级的IP地址和网站域名,生成防火墙访问黑名单。
以下,将结合实例对该步骤的具体实施过程进行详细阐述。
本发明实施例中,可以先基于指定用户名,在IMC准入系统中进行查询,得到该指定用户名当前时间段使用的【用户IP】【开始时间戳】【结束时间戳】,然后用【用户IP】【开始时间戳】【结束时间戳】去DHCP系统进行查询,得到当前【用户IP】对应的【用户MAC】【主机名】【开始时间戳】【结束时间戳】,再根据当前【用户IP】对应的【用户MAC】,再次在DHCP系统中进行查询,得到当前【用户MAC】对应的前N个【用户IP】。
其中,查询到的前N个【用户IP】的信息如下表1所示:
表1
| 【用户名】【用户MAC】【用户IP(第1个)】【开始时间戳】【结束时间戳】 |
| 【用户名】【用户MAC】【用户IP(第2个)】【开始时间戳】【结束时间戳】 |
| … |
| 【用户名】【用户MAC】【用户IP(第N个)】【开始时间戳】【结束时间戳】 |
在查询到的前N个用户IP的信息之后,再用查询得到N个【用户IP】【开始时间戳】【结束时间戳】去DNS系统中进行查询,以得到每个用户IP访问过的【访问域名】【访问IP】,和如下表2所示的关系表:
表2
| 【用户名】【户名IP】【访问域名】【访问IP(第1个)】【开始时间戳】【结束时间戳】 |
| … |
| 【用户名】【户名IP】【访问域名】【访问IP(第N个)】【开始时间戳】【结束时间戳】 |
之后,针对查询得到【访问IP】进行聚合去重,并基于去重后访问IP的在OTX威胁情报库中进行查询,得到具有威胁的恶意外联的IP列表。
其中,IP列表包括各IP的威胁类型和威胁等级。
可选的,本发明实施例中,还可以在DHCP系统中查询得到N个【用户IP】【开始时间戳】【结束时间戳】去防火墙查询对应【用户IP】的【木马名与被远程威胁告警类型】【外联远程服务器IP】以及【开始时间戳】【结束时间戳】。
第四,本发明实施例中,在得到防火墙互联网协议地址黑名单之后,可以将该黑名单结果存储至数据库中(即图2a中的结果入库)。
第五,基于防火墙互联网协议地址黑名单确定待检测的目标用户名是否遭受网络威胁(即图2a中的网络威胁分析)。
本发明实施例中,若防火墙互联网协议地址黑名单包括待检测的目标用户名所访问得互联网协议地址和所访问的网站域名,则确定目标用户名对应的主机遭受网络威胁。或者,若防火墙互联网协议地址黑名单不包括待检测的目标用户名所访问的互联网协议地址和网站域名,则确定目标用户名对应的主机不遭受网络威胁。
第六,当确定待检测的目标用户名遭受网络威胁时,还可以基于人事通信录系统进行查询,得到用户对应的联系方式,比如电话或邮箱,并根据联系方式告知用户木马远控风险(图2a中将该步骤简记为人事通信录系统)。
如图2b所示,本发明实施例中还提供一种网络威胁的检测方法的物理架构图,该架构图中,IMC准入系统、DHCP系统、DNS系统和防火墙系统分别将各自的日志信息推送至日志收集服务器,其中,各上述各系统将各自的日志信息推送至日志收集服务器的方式与图2a中日志信息聚合的方式一致,此处不再赘述。
日志服务器接收到各系统推送的日志信息后,可以将日志信息按照预设的日志格式进行格式化处理(格式化处理方式请参见图2a中的相关的内容),并将格式化处理后的日志信息存储至ElasticSearch日志采集数据库集群(也即图2b中的用户关联日志结构化入库)。
然后,基于ElasticSearch日志采集数据库集群存储的日志信息进行木马远程被控威胁关联分析。其中,关于木马远程被控威胁关联分析的具体实施方式可以参见实施例2a中的相关的内容。
可选的,得到木马远程被控威胁关联分析结果后,可以将该结果存储至ClickHouse分析数据库,并基于可视化平台superset对威胁结果进行展示。
采用本发明实施例提供的该方法,由于预设的防火墙互联网协议地址黑名单是基于记录有用户的身份标识信息、互联网协议地址、局域网地址或网站域名的日志信息聚合分析得到的,因此,可以有效地聚合用户网络访问的关键信息,这样,相对于相关技术而言,基于预设的防火墙互联网协议地址黑名单对待检测的目标用户名进行检测时,可以避免木马威胁检测结果出现遗漏和误判的问题,从而提高检测结果的准确性。
实施例3
本发明实施例提供一种防火墙互联网协议地址黑名单的生成方法,用于生成如上述实施例1中所述的防火墙互联网协议地址黑名单,该方法的实现流程如图3所示,包括如下步骤:
步骤31,获取存在风险的历史访问记录对应的日志信息,得到日志信息集合。
其中,存在风险的历史访问记录对应的日志信息比如可以包括以下至少一种:
网络准入系统的日志信息;
动态主机配置协议系统的日志信息;
域名系统的日志信息;
防火墙木马与远程被控威胁告警的日志信息。
本发明实施例中,考虑到相关技术中采用基于数据客户端代理方式获取日志信息时,由于需要在被收集日志服务器进行数据代理安装,容易影响被收集服务的性能和稳定性的问题。为了解决该技术问题,在获取存在风险的历史访问记录对应的日志信息时,可以通过下一代系统日志工具服务Syslog-NG创建用户数据包协议网络监听;然后基于用户数据包协议网络监听获取存在风险的历史访问记录对应的日志信息。这样,可以直接基于通用的Syslog协议发送日志信息,不需要依赖数据代理发送日志信息,从而解决上述技术问题。并且,日志信息的结构处理操作也可以在收集服务器端进行,不需要像被收集日志服务器发送频繁操作,可以提高配置更新效率,且不会对生产造成任何影响。
步骤32,调用预设的开源威胁情报库的应用程序接口执行:根据日志信息集合以及预设的开源威胁情报库,查询日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名。
其中,预设的开源威胁情报库比如可以是OTX开源威胁情报库;对应的,开源威胁情报库的应用程序接口比如可以是REST API查询接口。
步骤33,根据目标互联网协议地址和目标网站域名,生成防火墙访问黑名单。
本发明实施例中,可以将高风险威胁类型、高威胁等级的目标互联网协议地址和目标网站域名,聚合生成防火墙访问黑名单。
例如,在查询日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名时,还可以查询出目标互联网协议地址和目标网站域名对应的威胁类型、威胁等级,然后,根据目标互联网协议地址和目标网站域名对应的威胁类型和威胁等级,将高风险威胁类型、高威胁等级的目标互联网协议地址和目标网站域名聚合生成防火墙访问黑名单。
可选的,查询目标互联网协议地址和目标网站域名对应的威胁类型时,可以采用如下关键字进行查询:
【目标互联网协议地址】【威胁类型】【威胁等级】【有效时间】
【目标网站域名】【威胁类型】【威胁等级】【有效时间】
采用本发明实施例提供的方法,由于可以获取存在风险的历史访问记录对应的日志信息,得到日志信息集合;并且,调用预设的开源威胁情报库的应用程序接口执行:根据日志信息集合以及预设的开源威胁情报库,查询日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名,最后可以根据目标互联网协议地址和目标网站域名,生成防火墙访问黑名单,这样,可以有效地聚合用户网络访问的关键信息,使得生成的防火墙访问黑名单更全面更准确。
实施例4
为解决现有技术存在检测主机是否遭受木马威胁时,出现的漏判和误判的问题,本发明实施例提供一种网络威胁的检测装置,该装置的具体结构示意图如图4所示,包括用户名确定模块41、协议地址确定模块42、定位标识确定模块43和网络威胁确定模块44。各单元的功能如下:
用户名确定模块41,用于确定待检测的目标用户名;
协议地址确定模块42,用于根据待检测的目标用户名,确定目标用户名在指定时间段内使用的互联网协议地址;
定位标识确定模块43,用于确定互联网协议地址所访问的定位标识;定位标识,包括远程互联网协议地址和网站域名中的至少一种;
网络威胁确定模块44,用于根据预设的防火墙互联网协议地址黑名单和定位标识,确定目标用户名对应的终端设备的主机是否遭受网络威胁;其中,预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建。
可选的,存在风险的历史访问记录对应的日志信息包括以下至少一种:
网络准入系统的日志信息;
动态主机配置协议系统的日志信息;
域名系统的日志信息;
防火墙木马与远程被控威胁告警的日志信息。
可选的,预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建,包括:
预设的防火墙互联网协议地址黑名单,通过对网络准入系统的日志信息、动态主机配置协议系统的日志信息、域名系统的日志信息以及防火墙木马与远程被控威胁告警的日志信息中的至少一种聚合分析得到。
可选的,所述装置还包括:
日志信息集合获取模块,用于获取存在风险的历史访问记录对应的日志信息,得到日志信息集合;
调用模块,用于调用预设的开源威胁情报库的应用程序接口执行:根据所述日志信息集合以及预设的开源威胁情报库,查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名;
黑名单生成模块,用于根据所述目标互联网协议地址和所述目标网站域名,生成所述预设的防火墙访问黑名单。
可选的,日志信息集合获取模块,包括:
创建单元,用于通过下一代系统日志工具服务创建用户数据包协议网络监听;
获取单元,用于基于所述用户数据包协议网络监听获取存在风险的历史访问记录对应的日志信息。
可选的,协议地址确定模块,用于:
根据所述待检测的目标用户名在所述网络准入系统进行查询,以确定所述目标用户名在指定时间段内使用的互联网协议地址集合。
可选的,定位标识确定模块,包括:
局域网地址查询单元,用于基于所述互联网协议地址和所述动态主机配置协议系统,查询所述互联网协议地址对应的局域网地址;
动态互联网协议地址查询单元,用于基于所述局域网地址在所述动态主机配置协议系统进行查询,得到与所述局域网地址对应的动态互联网协议地址;
定位标识确定单元,用于根据所述动态互联网协议地址和域名系统,确定所述互联网协议地址所访问的定位标识。
可选的,网络威胁确定模块,用于:
若所述防火墙互联网协议地址黑名单包括所述远程互联网协议地址和/或所述网站域名,则确定所述目标用户名对应的主机遭受网络威胁;
若所述防火墙互联网协议地址黑名单不包括所述远程互联网协议地址和所述网站域名,则确定所述目标用户名对应的主机不遭受网络威胁。
可选的,所述装置还包括:
联系方式确定模块,用于若确定所述目标用户名遭受网络威胁,则基于配置管理数据库和通信录系统,确定所述目标用户名对应的用户的联系方式;
提示模块,用于根据所述用户的联系方式,向所述用户发送提示信息。
可选的,所述装置还包括:
下发模块,用于通过域控服务器对遭受网络威胁的所述目标用户名对应的主机,进行取证代理软件下发,以对网络威胁程序取证;
剔除模块,用于针对所述目标用户名对应的主机进行病毒检查,将所述目标用户剔除出用户准入系统。
可选的,所述装置还包括:
拒绝模块,用于若监测到所述目标用户名请求访问的互联网协议地址存在于所述预设的防火墙互联网协议地址黑名单,则拒绝所述目标用户名的访问请求服务;
日志生成模块,用于生成对应拒绝访问请求服务的日志。
采用本发明实施例提供的该装置,由于预设的防火墙互联网协议地址黑名单是基于存在风险的历史访问记录对应的日志信息聚合分析得到的,因此,可以有效地聚合用户网络访问的关键信息,这样,相对于相关技术而言,基于预设的防火墙互联网协议地址黑名单对待检测的目标用户名进行检测时,可以避免木马威胁检测结果出现遗漏和误判的问题,从而提高检测结果的准确性。
实施例5
如图5所示,本发明实施例还提供一种防火墙互联网协议地址黑名单的生成装置(图5中简记为黑名单的生成装置),该装置用于生成实施例1中所述的防火墙互联网协议地址黑名单,该装置包括获取模块51、调用模块52和生成模块53。各单元的功能如下:
获取模块51,用于获取存在风险的历史访问记录对应的日志信息,得到日志信息集合。
在一种可选的实施方式中,存在风险的历史访问记录对应的日志信息包括以下至少一种:
网络准入系统的日志信息;
动态主机配置协议系统的日志信息;
域名系统的日志信息;
防火墙木马与远程被控威胁告警的日志信息。
需要说明的是,考虑到相关技术中采用基于数据客户端代理方式获取日志信息时,由于需要在被收集日志服务器进行数据代理安装,容易影响被收集服务的性能和稳定性的问题,本发明实施例中,获取存在风险的历史访问记录对应的日志信息时,可以通过下一代系统日志工具服务Syslog-NG创建用户数据包协议网络监听;然后基于用户数据包协议网络监听获取上述日志信息。这样,可以直接基于通用的Syslog协议发送日志信息,不需要依赖数据代理发送日志信息,从而解决上述技术问题。并且,日志信息的结构处理操作也可以在收集服务器端进行,不需要像被收集日志服务器发送频繁操作,可以提高配置更新效率,且不会对生产造成任何影响。
调用模块52,用于调用预设的开源威胁情报库的应用程序接口执行:根据日志信息集合以及预设的开源威胁情报库,查询日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名。
其中,预设的开源威胁情报库比如可以是OTX开源威胁情报库;对应的,开源威胁情报库的应用程序接口比如可以是REST API查询接口。
生成模块53,用于根据目标互联网协议地址和目标网站域名,生成防火墙访问黑名单。
本发明实施例中,例如可以将高风险威胁类型、高威胁等级的目标互联网协议地址和目标网站域名,聚合生成防火墙访问黑名单。例如,调用模块52在查询日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名时,还可以查询出目标互联网协议地址和目标网站域名对应的威胁类型和威胁等级,然后,生成模块53可以将高风险威胁类型、高威胁等级的目标互联网协议地址和目标网站域名聚合生成防火墙访问黑名单。
可选的,调用模块52查询目标互联网协议地址和目标网站域名对应的威胁类型时,可以采用如下关键字进行查询:
【目标互联网协议地址】【威胁类型】【威胁等级】【有效时间】
【目标网站域名】【威胁类型】【威胁等级】【有效时间】
采用本发明实施例提供的装置,由于获取模块可以获取存在风险的历史访问记录对应的日志信息,得到日志信息集合;调用模块可以调用预设的开源威胁情报库的应用程序接口执行:根据日志信息集合以及预设的开源威胁情报库,查询日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名,最后,生成模块可以根据目标互联网协议地址和目标网站域名,生成防火墙访问黑名单,这样,可以有效地聚合用户网络访问的关键信息,使得生成的防火墙访问黑名单更全面更准确。
实施例6
本说明书的第六实施方式涉及一种电子设备,如图6所示。在硬件层面,电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatilememory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponentInterconnect,外设部件互连标准)总线或EISA(Extended IndustryStandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成网络威胁的检测装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
确定待检测的目标用户名;
根据待检测的目标用户名,确定目标用户名在指定时间段内使用的互联网协议地址;
确定互联网协议地址所访问的定位标识;定位标识,包括远程互联网协议地址和网站域名中的至少一种;
根据预设的防火墙互联网协议地址黑名单和定位标识,确定目标用户名对应的终端设备的主机是否遭受网络威胁;其中,预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建。
可选的,存在风险的历史访问记录对应的日志信息包括以下至少一种:
网络准入系统的日志信息;
动态主机配置协议系统的日志信息;
域名系统的日志信息;
防火墙木马与远程被控威胁告警的日志信息。
可选的,所述预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建,包括:
所述预设的防火墙互联网协议地址黑名单,通过对网络准入系统的日志信息、动态主机配置协议系统的日志信息、域名系统的日志信息以及防火墙木马与远程被控威胁告警的日志信息中的至少一种聚合分析得到。
可选的,在根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的主机是否遭受网络威胁之前,还包括:
获取所述记录有用户的身份标识信息、互联网协议地址、局域网地址或网站域名的日志信息,得到日志信息集合;
调用预设的开源威胁情报库的应用程序接口执行:根据所述日志信息集合以及预设的开源威胁情报库,查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名;
根据所述目标互联网协议地址和所述目标网站域名,生成所述预设的防火墙访问黑名单。
可选的,获取所述记录有用户的身份标识信息、互联网协议地址、局域网地址或网站域名的日志信息,包括:
通过下一代系统日志工具服务创建用户数据包协议网络监听;
基于所述用户数据包协议网络监听获取所述记录有用户的身份标识信息、互联网协议地址、局域网地址或网站域名的日志信息。
可选的,根据所述待检测的目标用户名,确定所述目标用户名在指定时间段内使用的互联网协议地址,包括:
根据所述待检测的目标用户名在所述网络准入系统进行查询,以确定所述目标用户名在指定时间段内使用的互联网协议地址集合。
可选的,确定所述互联网协议地址所访问的定位标识,包括:
基于所述互联网协议地址和所述动态主机配置协议系统,查询所述互联网协议地址对应的局域网地址;
基于所述局域网地址在所述动态主机配置协议系统进行查询,得到与所述局域网地址对应的动态互联网协议地址;
根据所述动态互联网协议地址和域名系统,确定所述互联网协议地址所访问的定位标识。
可选的,根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的主机是否遭受网络威胁,包括:
若所述防火墙互联网协议地址黑名单包括所述远程互联网协议地址和/或所述网站域名,则确定所述目标用户名对应的主机遭受网络威胁;
若所述防火墙互联网协议地址黑名单不包括所述远程互联网协议地址和所述网站域名,则确定所述目标用户名对应的主机不遭受网络威胁。
可选的,所述方法还包括:
若确定所述目标用户名遭受网络威胁,则基于配置管理数据库和通信录系统,确定所述目标用户名对应的用户的联系方式;
根据所述用户的联系方式,向所述用户发送提示信息。
可选的,所述方法还包括:
通过域控服务器对遭受网络威胁的所述目标用户名对应的主机,进行取证代理软件下发,以对网络威胁程序取证;
针对所述目标用户名对应的主机进行病毒检查,将所述目标用户剔除出用户准入系统。
可选的,所述方法还包括:
若监测到所述目标用户名请求访问的互联网协议地址存在于所述预设的防火墙互联网协议地址黑名单,则拒绝所述目标用户名的访问请求服务;
生成对应拒绝访问请求服务的日志。
上述如本说明书提供的一种网络威胁的检测方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(CentralProcessing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
结合本说明书实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
本说明书实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的电子设备执行时,能够使该电子设备执行一种网络威胁的检测方法,并具体用于执行:
确定待检测的目标用户名;
根据待检测的目标用户名,确定目标用户名在指定时间段内使用的互联网协议地址;
确定互联网协议地址所访问的定位标识;定位标识,包括远程互联网协议地址和网站域名中的至少一种;
根据预设的防火墙互联网协议地址黑名单和定位标识,确定目标用户名对应的终端设备的主机是否遭受网络威胁;其中,预设的防火墙互联网协议地址黑名单基于记录有用户的身份标识信息、互联网协议地址、局域网地址或网站域名的日志信息构建。
可选的,所述预设的防火墙互联网协议地址黑名单基于记录有用户的身份标识信息、互联网协议地址、局域网地址或网站域名的日志信息构建,包括:
所述预设的防火墙互联网协议地址黑名单,通过对网络准入系统的日志信息、动态主机配置协议系统的日志信息、域名系统的日志信息以及防火墙木马与远程被控威胁告警的日志信息中的至少一种聚合分析得到。
可选的,在根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的主机是否遭受网络威胁之前,还包括:
获取所述记录有用户的身份标识信息、互联网协议地址、局域网地址或网站域名的日志信息,得到日志信息集合;
调用预设的开源威胁情报库的应用程序接口执行:根据所述日志信息集合以及预设的开源威胁情报库,查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名;
根据所述目标互联网协议地址和所述目标网站域名,生成所述预设的防火墙访问黑名单。
可选的,获取所述记录有用户的身份标识信息、互联网协议地址、局域网地址或网站域名的日志信息,包括:
通过下一代系统日志工具服务创建用户数据包协议网络监听;
基于所述用户数据包协议网络监听获取所述记录有用户的身份标识信息、互联网协议地址、局域网地址或网站域名的日志信息。
可选的,根据所述待检测的目标用户名,确定所述目标用户名在指定时间段内使用的互联网协议地址,包括:
根据所述待检测的目标用户名在所述网络准入系统进行查询,以确定所述目标用户名在指定时间段内使用的互联网协议地址集合。
可选的,确定所述互联网协议地址所访问的定位标识,包括:
基于所述互联网协议地址和所述动态主机配置协议系统,查询所述互联网协议地址对应的局域网地址;
基于所述局域网地址在所述动态主机配置协议系统进行查询,得到与所述局域网地址对应的动态互联网协议地址;
根据所述动态互联网协议地址和域名系统,确定所述互联网协议地址所访问的定位标识。
可选的,根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的主机是否遭受网络威胁,包括:
若所述防火墙互联网协议地址黑名单包括所述远程互联网协议地址和/或所述网站域名,则确定所述目标用户名对应的主机遭受网络威胁;
若所述防火墙互联网协议地址黑名单不包括所述远程互联网协议地址和所述网站域名,则确定所述目标用户名对应的主机不遭受网络威胁。
可选的,所述方法还包括:
若确定所述目标用户名遭受网络威胁,则基于配置管理数据库和通信录系统,确定所述目标用户名对应的用户的联系方式;
根据所述用户的联系方式,向所述用户发送提示信息。
可选的,所述方法还包括:
通过域控服务器对遭受网络威胁的所述目标用户名对应的主机,进行取证代理软件下发,以对网络威胁程序取证;
针对所述目标用户名对应的主机进行病毒检查,将所述目标用户剔除出用户准入系统。
可选的,所述方法还包括:
若监测到所述目标用户名请求访问的互联网协议地址存在于所述预设的防火墙互联网协议地址黑名单,则拒绝所述目标用户名的访问请求服务;
生成对应拒绝访问请求服务的日志。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、装置、或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
Claims (15)
1.一种网络威胁的检测方法,其特征在于,包括:
确定待检测的目标用户名;
根据所述待检测的目标用户名,确定所述目标用户名在指定时间段内使用的互联网协议地址;
确定所述互联网协议地址所访问的定位标识;所述定位标识,包括远程互联网协议地址和网站域名中的至少一种;
根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的终端设备的主机是否遭受网络威胁;其中,所述预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建;
其中,在根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的主机是否遭受网络威胁之前,还包括:
获取所述存在风险的历史访问记录对应的日志信息,得到日志信息集合;
调用预设的开源威胁情报库的应用程序接口执行:根据所述日志信息集合以及预设的开源威胁情报库,查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名;
根据所述目标互联网协议地址和所述目标网站域名,生成所述预设的防火墙访问黑名单。
2.如权利要求1所述的方法,其特征在于,所述存在风险的历史访问记录对应的日志信息包括以下至少一种:
网络准入系统的日志信息;
动态主机配置协议系统的日志信息;
域名系统的日志信息;
防火墙木马与远程被控威胁告警的日志信息。
3.如权利要求2所述的方法,其特征在于,所述预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建,包括:
所述预设的防火墙互联网协议地址黑名单,通过对网络准入系统的日志信息、动态主机配置协议系统的日志信息、域名系统的日志信息以及防火墙木马与远程被控威胁告警的日志信息中的至少一种聚合分析得到。
4.如权利要求1所述的方法,其特征在于,获取所述存在风险的历史访问记录对应的日志信息,包括:
通过下一代系统日志工具服务创建用户数据包协议网络监听;
基于所述用户数据包协议网络监听获取所述存在风险的历史访问记录对应的日志信息。
5.如权利要求2所述的方法,其特征在于,根据所述待检测的目标用户名,确定所述目标用户名在指定时间段内使用的互联网协议地址,包括:
根据所述待检测的目标用户名在所述网络准入系统进行查询,确定所述目标用户名在指定时间段内使用的互联网协议地址。
6.如权利要求2所述的方法,其特征在于,确定所述互联网协议地址所访问的定位标识,包括:
基于所述互联网协议地址和所述动态主机配置协议系统,查询所述互联网协议地址对应的局域网地址;
基于所述局域网地址在所述动态主机配置协议系统进行查询,得到与所述局域网地址对应的动态互联网协议地址;
根据所述动态互联网协议地址和域名系统,确定所述互联网协议地址所访问的定位标识。
7.如权利要求2所述的方法,其特征在于,根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的主机是否遭受网络威胁,包括:
若所述防火墙互联网协议地址黑名单包括所述定位标识,则确定所述目标用户名对应的主机遭受网络威胁;
若所述防火墙互联网协议地址黑名单不包括所述定位标识,则确定所述目标用户名对应的主机不遭受网络威胁。
8.如权利要求1所述的方法,其特征在于,所述方法还包括:
若确定所述目标用户名遭受网络威胁,则基于配置管理数据库和通信录系统,确定所述目标用户名对应的用户的联系方式;
根据所述用户的联系方式,向所述用户发送提示信息。
9.如权利要求8所述的方法,其特征在于,所述方法还包括:
通过域控服务器对遭受网络威胁的所述目标用户名对应的主机,进行取证代理软件下发,以对网络威胁程序取证;
针对所述目标用户名对应的主机进行病毒检查,将所述目标用户剔除出用户准入系统。
10.如权利要求1所述的方法,其特征在于,所述方法还包括:
若监测到所述目标用户名请求访问的互联网协议地址存在于所述预设的防火墙互联网协议地址黑名单,则拒绝所述目标用户名的访问请求服务;
生成对应拒绝访问请求服务的日志。
11.一种防火墙互联网协议地址黑名单的生成方法,其特征在于,包括:
获取存在风险的历史访问记录对应的日志信息,得到日志信息集合;其中,所述存在风险的历史访问记录对应的日志信息包括网络准入系统的日志信息,动态主机配置协议系统的日志信息,域名系统的日志信息,防火墙木马与远程被控威胁告警的日志信息中的至少一种;
调用预设的开源威胁情报库的应用程序接口执行:根据所述日志信息集合以及预设的开源威胁情报库,查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名;
根据所述目标互联网协议地址和所述目标网站域名,生成防火墙访问黑名单。
12.一种网络威胁的检测装置,其特征在于,包括处理模块、建立模块、获取模块和控制模块,其中:
用户名确定模块,用于确定待检测的目标用户名;
协议地址确定模块,用于根据所述待检测的目标用户名,确定所述目标用户名在指定时间段内使用的互联网协议地址;
定位标识确定模块,用于确定所述互联网协议地址所访问的定位标识;所述定位标识,包括远程互联网协议地址和网站域名中的至少一种;
网络威胁确定模块,用于根据预设的防火墙互联网协议地址黑名单和所述定位标识,确定所述目标用户名对应的终端设备的主机是否遭受网络威胁;其中,所述预设的防火墙互联网协议地址黑名单基于存在风险的历史访问记录对应的日志信息构建;
其中,还包括:获取模块、调用模块和生成模块,
获取模块,用于获取存在风险的历史访问记录对应的日志信息,得到日志信息集合;
调用模块,用于调用预设的开源威胁情报库的应用程序接口执行:根据所述日志信息集合以及预设的开源威胁情报库,查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名;
生成模块,用于根据所述目标互联网协议地址和所述目标网站域名,生成防火墙访问黑名单。
13.一种防火墙互联网协议地址黑名单的生成装置,其特征在于,包括:
获取模块,用于获取存在风险的历史访问记录对应的日志信息,得到日志信息集合;其中,所述存在风险的历史访问记录对应的日志信息包括网络准入系统的日志信息,动态主机配置协议系统的日志信息,域名系统的日志信息,防火墙木马与远程被控威胁告警的日志信息中的至少一种;
调用模块,用于调用预设的开源威胁情报库的应用程序接口执行:根据所述日志信息集合以及预设的开源威胁情报库,查询所述日志信息集合中存在网络安全风险的目标互联网协议地址和目标网站域名;
生成模块,用于根据所述目标互联网协议地址和所述目标网站域名,生成防火墙访问黑名单。
14.一种电子设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至10中任一项所述的网络威胁的检测方法的步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至10中任一项所述的网络威胁的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110395510.3A CN113301012B (zh) | 2021-04-13 | 2021-04-13 | 一种网络威胁的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110395510.3A CN113301012B (zh) | 2021-04-13 | 2021-04-13 | 一种网络威胁的检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113301012A CN113301012A (zh) | 2021-08-24 |
| CN113301012B true CN113301012B (zh) | 2023-02-24 |
Family
ID=77319796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110395510.3A Active CN113301012B (zh) | 2021-04-13 | 2021-04-13 | 一种网络威胁的检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113301012B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220417261A1 (en) * | 2021-06-23 | 2022-12-29 | Comcast Cable Communications, Llc | Methods, systems, and apparatuses for query analysis and classification |
| CN113890821B (zh) * | 2021-09-24 | 2023-11-17 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
| CN113839952B (zh) * | 2021-09-27 | 2023-07-14 | 深信服科技股份有限公司 | 一种日志访问关系的威胁追踪方法、装置及电子设备 |
| CN113872993B (zh) * | 2021-11-29 | 2022-03-01 | 广东电网有限责任公司佛山供电局 | 一种电力监控系统网络风险感知方法和系统 |
| CN114244809B (zh) * | 2021-12-24 | 2024-05-17 | 北京天融信网络安全技术有限公司 | 用于检测目标网络中主机失陷等级的方法及装置 |
| CN115913683B (zh) * | 2022-11-07 | 2024-04-30 | 中国联合网络通信集团有限公司 | 风险访问记录生成方法、装置、设备及存储介质 |
| CN115632874A (zh) * | 2022-11-11 | 2023-01-20 | 上海派拉软件股份有限公司 | 一种实体对象的威胁检测方法、装置、设备及存储介质 |
| CN115987940B (zh) * | 2022-12-05 | 2024-04-19 | 中国联合网络通信集团有限公司 | 一种电信标识方法、装置及计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
| CN109688097A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
| CN111478889A (zh) * | 2020-03-27 | 2020-07-31 | 新浪网技术(中国)有限公司 | 一种告警方法及装置 |
| CN111935082A (zh) * | 2020-06-28 | 2020-11-13 | 新浪网技术(中国)有限公司 | 一种网络威胁信息关联系统及方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150350229A1 (en) * | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
| US9584536B2 (en) * | 2014-12-12 | 2017-02-28 | Fortinet, Inc. | Presentation of threat history associated with network activity |
| CN107888607B (zh) * | 2017-11-28 | 2020-11-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN110505206B (zh) * | 2019-07-19 | 2022-06-07 | 广东电网有限责任公司信息中心 | 一种基于动态联防的互联网威胁监测防御方法 |
-
2021
- 2021-04-13 CN CN202110395510.3A patent/CN113301012B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
| CN109688097A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
| CN111478889A (zh) * | 2020-03-27 | 2020-07-31 | 新浪网技术(中国)有限公司 | 一种告警方法及装置 |
| CN111935082A (zh) * | 2020-06-28 | 2020-11-13 | 新浪网技术(中国)有限公司 | 一种网络威胁信息关联系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113301012A (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113301012B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
| CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
| CN106357696B (zh) | 一种sql注入攻击检测方法及系统 | |
| CN110401614B (zh) | 恶意域名的溯源方法及装置 | |
| US20150271202A1 (en) | Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
| WO2014189575A1 (en) | Distributed feature collection and correlation engine | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
| CN111740868B (zh) | 告警数据的处理方法和装置及存储介质 | |
| CN105827599A (zh) | 一种基于dns报文深度解析的缓存中毒检测方法及装置 | |
| CN108282446B (zh) | 识别扫描器的方法及设备 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| CN113472772A (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| US10313127B1 (en) | Method and system for detecting and alerting users of device fingerprinting attempts | |
| CN104219219A (zh) | 一种数据处理的方法、服务器及系统 | |
| CN114257403B (zh) | 误报检测方法、设备及可读存储介质 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN112261050B (zh) | 一种sql注入攻击的检测方法及装置 | |
| TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
| US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230314 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee after: Sina Technology (China) Co.,Ltd. Address before: 100080 7th floor, Sina headquarters scientific research building, plot n-1 and n-2, Zhongguancun Software Park Phase II (West Expansion), Dongbeiwang West Road, Haidian District, Beijing Patentee before: Sina.com Technology (China) Co.,Ltd. |