CN113347203B - 网络攻击的检测方法、装置、电子设备及存储介质 - Google Patents

网络攻击的检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN113347203B
CN113347203B CN202110726346.XA CN202110726346A CN113347203B CN 113347203 B CN113347203 B CN 113347203B CN 202110726346 A CN202110726346 A CN 202110726346A CN 113347203 B CN113347203 B CN 113347203B
Authority
CN
China
Prior art keywords
behavior
network
condition
abnormal
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110726346.XA
Other languages
English (en)
Other versions
CN113347203A (zh
Inventor
岳巍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202110726346.XA priority Critical patent/CN113347203B/zh
Publication of CN113347203A publication Critical patent/CN113347203A/zh
Application granted granted Critical
Publication of CN113347203B publication Critical patent/CN113347203B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种网络攻击的检测方法、装置、电子设备及存储介质。其中,方法包括:获取第一网络在第一时间范围内的网络流量;利用获取的网络流量,确定所述第一网络的网络行为画像;所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;利用所述网络行为画像,确定所述第一网络中的异常行为;利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。

Description

网络攻击的检测方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全领域,尤其涉及一种网络攻击的检测方法、装置、电子设备及存储介质。
背景技术
网络攻击是指通过非法的手段对计算机进行未授权的操作。为了修复网络中的漏洞,提升网络安全,针对网络攻击的攻击成功检测是非常必要的。
然而,相关技术中,针对网络攻击的攻击成功检测的准确性亟需提高。
发明内容
为解决相关技术问题,本申请实施例提供一种网络攻击的检测方法、装置、电子设备及存储介质。
本申请实施例的技术方案是这样实现的:
本申请实施例提供了一种网络攻击的检测方法,包括:
获取第一网络在第一时间范围内的网络流量;
利用获取的网络流量,确定所述第一网络的网络行为画像;所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;
利用所述网络行为画像,确定所述第一网络中的异常行为;
利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。
上述方案中,所述利用所述网络行为画像,确定所述第一网络中的异常行为,包括以下至少之一:
利用所述网络行为画像,确定所述网络流量中存在异常通信流量的情况下,将所述异常通信流量对应的行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在针对第一服务的网络行为的情况下,将所述针对第一服务的网络行为确定为异常行为;所述第一服务满足第三条件;所述第三条件表征所述第一服务的系统权限高于第二服务的系统权限;所述第二服务包含所述第一网络中除所述第一服务外的其他服务;
利用所述网络行为画像,确定所述第一网络中存在主机主动发起的文件传输行为的情况下,将所述主机主动发起的文件传输行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在针对主机的系统相关信息的查询行为的情况下,将所述针对主机的系统相关信息的查询行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在主机提升自身权限的行为的情况下,将所述主机提升自身权限的行为确定为异常行为。
上述方案中,所述利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为,包括:
判断所述异常行为是否满足所述第一条件,得到第一判断结果;
在所述第一判断结果表征所述异常行为满足所述第一条件的情况下,判断所述异常行为是否满足所述第二条件,得到第二判断结果;
在所述第二判断结果表征所述异常行为满足所述第二条件的情况下,确定所述异常行为是攻击成功的攻击行为;
在所述第一判断结果表征所述异常行为不满足所述第一条件的情况下,或者,在所述第二判断结果表征所述异常行为不满足所述第二条件的情况下,确定所述异常行为不是攻击成功的攻击行为。
上述方案中,所述判断所述异常行为是否满足所述第一条件,包括:
利用第一模型,判断所述异常行为是否满足所述第一条件;所述第一模型是基于所述网络行为画像训练得到的;所述第一模型用于将所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息不匹配的情况下,确定所述异常行为满足所述第一条件;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配的情况下,确定所述异常行为不满足所述第一条件。
上述方案中,所述判断所述异常行为是否满足所述第二条件,包括:
通过查询所述异常行为的执行主机在所述第一时间范围内的访问记录,判断所述异常行为是否满足所述第二条件;
在所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为满足所述第二条件;
在所述异常行为的执行主机不存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为不满足所述第二条件。
上述方案中,所述利用获取的网络流量,确定所述第一网络的网络行为画像,包括:
利用获取的网络流量,确定所述第一网络中每个主机的网络行为画像;
利用所述第一网络中每个主机的网络行为画像,确定所述第一网络的网络行为画像。
上述方案中,所述方法还包括:
确定所述异常行为是攻击成功的攻击行为的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
本申请实施例还提供了一种网络攻击的检测装置,包括:
获取单元,用于获取第一网络在第一时间范围内的网络流量;
第一处理单元,用于利用获取的网络流量,确定所述第一网络的网络行为画像;所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;
第二处理单元,用于利用所述网络行为画像,确定所述第一网络中的异常行为;
第三处理单元,用于利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。
本申请实施例还提供了一种电子设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行上述任一方法的步骤。
本申请实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法的步骤。
本申请实施例提供的网络攻击的检测方法、装置、电子设备及存储介质,获取第一网络在第一时间范围内的网络流量;利用获取的网络流量,确定所述第一网络的网络行为画像;所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;利用所述网络行为画像,确定所述第一网络中的异常行为;利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。本申请实施例的方案,利用能够反映第一网络中的多个主机之间的业务往来的网络行为画像,确定第一网络中的异常行为,并利用表征所述异常行为不是网络运维场景下的管理行为的第一条件,以及表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为的第二条件,确定所述异常行为是否是攻击成功的攻击行为;如此,一方面,不需要利用网络攻击的已知特征(比如五元组信息)来检测攻击行为,能够提高对未知网络攻击的检测能力;另一方面,通过所述第一条件,能够避免将网络运维场景下的管理行为误判为攻击行为,从而能够提高检测到的网络攻击的准确性;再一方面,通过所述第二条件,能够精确地定位到具体是哪个攻击行为攻击成功,从而能够提高攻击成功检测的准确性。
附图说明
图1为本申请实施例网络攻击的检测方法的流程示意图;
图2为本申请应用实施例攻击成功检测的流程示意图;
图3为本申请实施例网络攻击的检测装置的结构示意图;
图4为本申请实施例电子设备的结构示意图。
具体实施方式
下面结合附图及实施例对本申请再作进一步详细的描述。
相关技术中,可以在发生网络攻击的当前阶段进行攻击成功检测,即实时地检测网络攻击是否成功;也可以采用多日志关联聚合分析修正攻击结果的方式进行攻击成功检测。
然而,上述两种方式均存在需要正确检测到攻击发起过程的实现前提,且检测到的网络攻击一定存在已知特征(比如五元组信息)。换句话说,上述两种方式仅能够检测存在已知特征的网络攻击是否攻击成功,而基本不具备未知攻击(比如0DAY攻击)的检测能力,更无法检测未知攻击是否攻击成功。
同时,上述两种方式均无法解决网络运维场景下的管理行为对网络攻击检测的准确性造成的干扰,换句话说,上述两种方式均存在将网络运维场景下合法的管理行为误判为攻击行为的情况。
另外,多日志关联聚合分析利用多个攻击行为的日志进行攻击成功检测,这种检测方式无法精确定位多个攻击行为中具体是哪个攻击行为攻击成功,而只能得到多个攻击行为中至少存在一个攻击成功的攻击行为的检测结果。
基于此,在本申请的各种实施例中,利用能够反映第一网络中的多个主机之间的业务往来的网络行为画像,确定第一网络中的异常行为,并利用表征所述异常行为不是网络运维场景下的管理行为的第一条件,以及表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为的第二条件,确定所述异常行为是否是攻击成功的攻击行为;如此,一方面,不需要利用网络攻击的已知特征(比如五元组信息)来检测攻击行为,能够提高对未知网络攻击的检测能力;另一方面,通过所述第一条件,能够避免将网络运维场景下的管理行为误判为攻击行为,从而能够提高检测到的网络攻击的准确性;再一方面,通过所述第二条件,能够精确地定位到具体是哪个攻击行为攻击成功,从而能够提高攻击成功检测的准确性。
本申请实施例提供一种网络攻击的检测方法,应用于电子设备(比如服务器),如图1所示,该方法包括:
步骤101:获取第一网络在第一时间范围内的网络流量;
步骤102:利用获取的网络流量,确定所述第一网络的网络行为画像;
这里,所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;
步骤103:利用所述网络行为画像,确定所述第一网络中的异常行为;
步骤104:利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;
这里,所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。
在步骤101中,实际应用时,所述第一网络可以是局域网,比如一个企业的内网。
实际应用时,所述第一时间范围的取值可以根据需求设置,比如一个月。
在步骤102中,实际应用时,所述第一网络中的主机可以包括服务器和终端;所述服务器可以为终端提供各类服务,比如网站服务、文件共享服务、域控服务等;所述终端也可以称为用户设备(UE,User Equipment)。
实际应用时,可以先确定所述第一网络中每个主机的网络行为画像,再利用所述第一网络中每个主机的网络行为画像,确定所述第一网络的网络行为画像。
基于此,在一实施例中,所述利用获取的网络流量,确定所述第一网络的网络行为画像,可以包括:
利用获取的网络流量,确定所述第一网络中每个主机的网络行为画像;
利用所述第一网络中每个主机的网络行为画像,确定所述第一网络的网络行为画像。
这里,所述主机的网络行为画像可以理解为相应主机的行为模型,所述行为指相应主机针对所述第一网络的其他主机的访问行为,换句话说,也可以将所述主机的网络行为画像理解为相应主机与所述第一网络的其他主机的网络访问关系模型。具体地,针对所述第一网络中的每个主机,可以利用获取的网络流量,结合机器学习算法,训练(即建立)相应主机与所述第一网络的其他主机的网络访问关系模型,得到相应主机的网络行为画像。
其中,所述主机的网络行为画像可以反映(即表征)以下至少之一:
相应主机与所述第一网络的哪些主机之间存在通信流量;
相应主机与各主机之间的通信流量对应的通信服务(即通信协议,比如超文本传输协议(HTTP,HyperText Transfer Protocol)、服务器信息块(SMB,Server MessageBlock)协议、文件传输协议(FTP,File Transfer Protocol)等);
相应主机进行网络浏览的访问身份,即相应主机在所述第一网络中的身份,比如管理员、普通用户等。
实际应用时,在相应主机为服务器的情况下,所述主机的网络行为画像还可以反映相应主机提供的服务类型(比如网站服务、文件共享服务、域控服务等)。具体地,基于获取的网络流量,可以利用协议审计技术对相应主机进行通信服务的识别(即通信协议的识别,比如HTTP、SMB协议、FTP等),以确定相应主机提供的服务类型。
实际应用时,所述网络行为画像可以体现为拓扑结构;确定所述第一网络中每个主机的网络行为画像后,可以对所述第一网络中每个主机的网络行为画像进行合并和拼接,形成所述第一网络的网络行为画像。这里,所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来,可以理解为:所述网络行为画像表征所述第一网络中的多个主机之间的网络访问映射关系。
在步骤103中,实际应用时,可以将可能会对主机的安全状态造成影响的网络行为和/或无法有效识别是否恶意的网络行为确定为异常行为。所述异常行为可以包含网络攻击行为和网络运维场景下的管理行为;网络攻击行为和网络运维场景下的管理行为存在一些相似的特征,即两种行为都可能会对主机的安全状态造成影响;但网络攻击行为是非法行为,而网络运维场景下的管理行为是合法行为,本申请实施例可以先利用所述网络行为画像确定所述第一网络中的异常行为,再利用所述第一条件,从所述异常行为中确定攻击行为,从而能够提高检测到的网络攻击的准确性。
实际应用时,所述异常行为也可以称为敏感行为。
在一实施例中,所述利用所述网络行为画像,确定所述第一网络中的异常行为,可以包括:
利用所述网络行为画像,确定所述网络流量中存在异常通信流量的情况下,将所述异常通信流量对应的行为确定为异常行为。
实际应用时,各类服务的通信流量具有固定的表现形式,比如是否加密;利用所述网络行为画像,可以将与相应服务的通信流量的表现形式不同的通信流量确定为异常通信流量,比如在原本加密的通信流量中出现了未加密的通信流量、在未加密的通信流量中出现了加密的通信流量等情况。
在一实施例中,所述利用所述网络行为画像,确定所述第一网络中的异常行为,可以包括:
利用所述网络行为画像,确定所述第一网络中存在针对第一服务的网络行为的情况下,将所述针对第一服务的网络行为确定为异常行为;所述第一服务满足第三条件;所述第三条件表征所述第一服务的系统权限高于第二服务的系统权限;所述第二服务包含所述第一网络中除所述第一服务外的其他服务。
实际应用时,所述第三条件可以根据需求设置,比如预先设置系统权限较高的服务的列表,在相应服务属于该列表的情况下,确定相应服务满足所述第三条件,即确定相应服务为第一服务;所述第一服务可以包含Windows管理规范(WMI,Windows ManagementInstrumentation)服务、SMB服务等;所述针对第一服务的网络行为可以包含对所述第一服务的访问行为和利用行为,比如利用WMI、SMB等服务对其他主机进行管理操作。
在一实施例中,所述利用所述网络行为画像,确定所述第一网络中的异常行为,可以包括:
利用所述网络行为画像,确定所述第一网络中存在主机主动发起的文件传输行为的情况下,将所述主机主动发起的文件传输行为确定为异常行为。
实际应用时,所述主机主动发起的文件传输行为可以包含主动从互联网下载文件、主动向所述第一网络中的其他主机发送文件等行为。
在一实施例中,所述利用所述网络行为画像,确定所述第一网络中的异常行为,可以包括:
利用所述网络行为画像,确定所述第一网络中存在针对主机的系统相关信息的查询行为的情况下,将所述针对主机的系统相关信息的查询行为确定为异常行为。
实际应用时,所述系统相关信息可以包含数据库表、主机环境等系统关键信息。所述关键信息可以理解为可能影响主机网络安全的信息。
在一实施例中,所述利用所述网络行为画像,确定所述第一网络中的异常行为,可以包括:
利用所述网络行为画像,确定所述第一网络中存在主机提升自身权限的行为的情况下,将所述主机提升自身权限的行为确定为异常行为。
实际应用时,所述主机提升自身权限的行为可以包含对数据库的操作,比如将数据库的操作权限从用户权限切换至管理员权限。
实际应用时,还可以根据需求设置所述异常行为的识别规则(比如正则表达式),以利用所述网络行为画像,结合所述识别规则,确定所述第一网络中的异常行为。
在步骤104中,实际应用时,基于其他主机个数的不同,所述第二条件可以存在以下两种情况:
1)所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的一个其他主机的服务的访问行为;
2)所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少两个其他主机的同一服务的访问行为。
实际应用时,为了提高检测效率,可以先利用所述第一条件判断所述异常行为是否是攻击行为,再利用所述第二条件判断所述异常行为是否攻击成功。
基于此,在一实施例中,所述利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为,可以包括:
判断所述异常行为是否满足所述第一条件,得到第一判断结果;
在所述第一判断结果表征所述异常行为满足所述第一条件的情况下,判断所述异常行为是否满足所述第二条件,得到第二判断结果;
在所述第二判断结果表征所述异常行为满足所述第二条件的情况下,确定所述异常行为是攻击成功的攻击行为;
在所述第一判断结果表征所述异常行为不满足所述第一条件的情况下,或者,在所述第二判断结果表征所述异常行为不满足所述第二条件的情况下,确定所述异常行为不是攻击成功的攻击行为。
这里,在所述第一判断结果表征所述异常行为满足所述第一条件的情况下,可以确定所述异常行为是攻击行为;在所述第一判断结果表征所述异常行为不满足所述第一条件的情况下,可以确定所述异常行为不是攻击行为,而是网络运维场景下的管理行为。在所述第二判断结果表征所述异常行为满足所述第二条件的情况下,可以确定所述异常行为是攻击行为,且已攻击成功;在所述第二判断结果表征所述异常行为不满足所述第二条件的情况下,可以确定所述异常行为是攻击行为,但攻击未成功(即攻击失败)。
实际应用时,确定所述第一网络的网络行为画像后,可以利用所述第一网络的网络行为画像,结合机器学习算法训练第一模型,所述第一模型可以用于确定网络运维场景下的管理行为的相关信息,还可以用于判断所述异常行为是否满足所述第一条件。
基于此,在一实施例中,所述判断所述异常行为是否满足所述第一条件,可以包括:
利用第一模型,判断所述异常行为是否满足所述第一条件;所述第一模型是基于所述网络行为画像训练得到的;所述第一模型用于将所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息不匹配的情况下,确定所述异常行为满足所述第一条件;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配的情况下,确定所述异常行为不满足所述第一条件。
这里,所述相关信息可以包含五元组信息(即源网络互联协议(IP)地址、源端口、目的IP地址、目的端口和传输层协议(也可以称为流量协议))。
实际应用时,可以通过查询所述异常行为的执行主机在所述第一时间范围内的访问记录,判断所述异常行为是否满足所述第二条件。
基于此,在一实施例中,所述判断所述异常行为是否满足所述第二条件,可以包括:
通过查询所述异常行为的执行主机在所述第一时间范围内的访问记录,判断所述异常行为是否满足所述第二条件;
在所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为满足所述第二条件;
在所述异常行为的执行主机不存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为不满足所述第二条件。
实际应用时,确定所述异常行为是攻击成功的攻击行为后,可以向目标设备(比如所述第一网络中具有管理员权限的主机)发出告警信息,以供所述目标设备修复所述第一网络存在的安全漏洞。
基于此,在一实施例中,所述方法还可以包括:
确定所述异常行为是攻击成功的攻击行为的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
本申请实施例提供的网络攻击的检测方法,获取第一网络在第一时间范围内的网络流量;利用获取的网络流量,确定所述第一网络的网络行为画像;所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;利用所述网络行为画像,确定所述第一网络中的异常行为;利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。本申请实施例的方案,利用能够反映第一网络中的多个主机之间的业务往来的网络行为画像,确定第一网络中的异常行为,并利用表征所述异常行为不是网络运维场景下的管理行为的第一条件,以及表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为的第二条件,确定所述异常行为是否是攻击成功的攻击行为;如此,一方面,不需要利用网络攻击的已知特征(比如五元组信息)来检测攻击行为,能够提高对未知网络攻击的检测能力;另一方面,通过所述第一条件,能够避免将网络运维场景下的管理行为误判为攻击行为,从而能够提高检测到的网络攻击的准确性;再一方面,通过所述第二条件,能够精确地定位到具体是哪个攻击行为攻击成功,从而能够提高攻击成功检测的准确性。
下面结合应用实施例对本申请再作进一步详细的描述。
在本应用实施例中,通过定位网络异常行为和建立网络用户行为画像的技术,解决相关技术中对未知攻击缺乏有效检测手段的问题,并解决相关技术中无法有效区分管理运维场景和攻击场景从而造成大规模误报的问题。具体地,如图2所示,攻击成功检测的过程可以包括以下步骤:
步骤201:利用输入的网络流量,实现主机的行为建模;之后执行步骤202。
具体地,可以在一段连续的周期内(即上述第一时间范围,比如一个月),通过输入的第一网络的网络流量,对主机的网络访问关系进行建模。具体到主机和网络中哪些主机有通信流量,并分别对应哪些通信服务(比如HTTP、SMB、FTP等),以及网络浏览的访问身份(比如一般用户或管理员等)进行学习,形成单个主机的网络行为画像。
步骤202:识别服务器的关键业务,建立网络整体访问关系映射表;之后执行步骤203。
具体地,对第一网络中的单个主机进行网络行为画像以后,可以将网络中所有的主机的行为画像进行合并和拼接,形成整个网络的网络行为画像。该画像可以详细地反映主机与主机之间的业务往来。此外,可以利用协议审计技术对第一网络中的服务器进行服务识别,以明确服务器提供的服务类型(比如网站服务、文件共享服务、域控服务等)。
步骤203:通过敏感行为分析引擎,检测异常行为;之后执行步骤204。
具体地,所述异常行为可以包括以下至少之一:
在同一个服务中出现与原服务流量不同的通讯流量对应的网络行为;
对系统高权限服务(比如WMI、SMB等)的访问和利用行为;
主机主动从互联网下载文件、主动向其他主机发送文件等文件传输行为;
服务器关键信息查询(比如数据库表查询、主机环境查询等)行为;
主机尝试提升自身权限的行为(比如在数据库中从用户权限切换至管理员权限)。
实际应用时,完成建立网络整体访问关系表(即第一网络的网络行为画像)之后,可以对网络中的流量进行异常行为检测。当主机出现了异常行为时,可以记录(即存储)流量五元组等相关信息。
步骤204:判断主机是否存在敏感行为浏览;若存在,执行步骤205;若不存在,则结束检测。
具体地,敏感行为指所述异常行为,通过步骤203,可以判断各主机是否存在异常行为。
步骤205:历史业务模型(即所述第一模型)匹配;之后执行步骤206。
具体地,在建立的网络行为画像中,每个主机对服务器的访问都是相对固定的,即如果一个服务器是提供网站服务的,那么其他主机访问该主机时通常只会访问该服务器的网站服务,不会访问网站服务意外的其他服务。这成为业务模型匹配的理论基础。在步骤201和步骤202中已经拥有了每一个主机以及整个网络环境的访问关系和行为画像之后,可以将步骤203中检测到的网络异常行为的相关信息在主机和网络行为画像中进行模型匹配,即通过所述历史业务模型确定当前行为是否是管理员行为或运维工作场景下的管理行为。
步骤206:判断敏感行为是否是未知业务模型;若是,执行步骤207;若否,则结束检测。
具体地,未知业务模型指除所述历史业务模型外的其他业务模型,通过步骤205,可以判断检测出的敏感行为是否属于未知业务模型,即判断检测出的异常行为是否能够与历史业务模型匹配。如果敏感行为不是未知业务模型,即异常行为能够与所述历史业务模型匹配,可以确定该异常行为是管理员行为或运维工作场景下的管理行为,不是网络攻击行为,不需要继续检测。如果敏感行为是未知业务模型,即异常行为无法与所述历史业务模型匹配,则可以确定该异常行为是网络攻击行为,需要继续检测该异常行为是否攻击成功。
步骤207:攻击路径关联;之后执行步骤208。
具体地,对于步骤206中确定的攻击行为,可以根据网络行为画像反映的访问关系,查询攻击IP的访问记录(即相应的主机在一段连续的周期内(即网络行为画像对应的时间周期)的访问记录)。确认该IP是否存在横向(即多个主机)对同一服务进行探测和扫描的行为,即确认相应主机是否存在针对多个主机的同一服务进行探测和扫描的行为。若该IP在短时间内(可以根据需求设置,比如5分钟)对多个主机的同一个服务发起访问行为,则可以判定该攻击行为已经攻击成功。
步骤208:确定攻击成功时,发出攻击成功告警。
具体地,可以向所述第一网络的管理员发出告警信息,以供管理员修复所述第一网络存在的安全漏洞。
本应用实施例提供的方案,具有以下优点:
1)不需要利用网络攻击的已知特征(比如五元组信息)来检测攻击行为,能够提高对未知网络攻击的检测能力;
2)能够避免将网络运维场景下的管理行为误判为攻击行为,从而能够提高检测到的网络攻击的准确性;
3)能够精确地定位到具体是哪个攻击行为攻击成功,从而能够提高攻击成功检测的准确性。
为了实现本申请实施例的方法,本申请实施例还提供了一种网络攻击的检测装置,如图3所示,该装置包括:
获取单元301,用于获取第一网络在第一时间范围内的网络流量;
第一处理单元302,用于利用获取的网络流量,确定所述第一网络的网络行为画像;所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;
第二处理单元303,用于利用所述网络行为画像,确定所述第一网络中的异常行为;
第三处理单元304,用于利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。
其中,在一实施例中,所述第二处理单元303,具体用于执行以下操作之一:
利用所述网络行为画像,确定所述网络流量中存在异常通信流量的情况下,将所述异常通信流量对应的行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在针对第一服务的网络行为的情况下,将所述针对第一服务的网络行为确定为异常行为;所述第一服务满足第三条件;所述第三条件表征所述第一服务的系统权限高于第二服务的系统权限;所述第二服务包含所述第一网络中除所述第一服务外的其他服务;
利用所述网络行为画像,确定所述第一网络中存在主机主动发起的文件传输行为的情况下,将所述主机主动发起的文件传输行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在针对主机的系统相关信息的查询行为的情况下,将所述针对主机的系统相关信息的查询行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在主机提升自身权限的行为的情况下,将所述主机提升自身权限的行为确定为异常行为。
在一实施例中,所述第三处理单元304,具体用于:
判断所述异常行为是否满足所述第一条件,得到第一判断结果;
在所述第一判断结果表征所述异常行为满足所述第一条件的情况下,判断所述异常行为是否满足所述第二条件,得到第二判断结果;
在所述第二判断结果表征所述异常行为满足所述第二条件的情况下,确定所述异常行为是攻击成功的攻击行为;
在所述第一判断结果表征所述异常行为不满足所述第一条件的情况下,或者,在所述第二判断结果表征所述异常行为不满足所述第二条件的情况下,确定所述异常行为不是攻击成功的攻击行为。
在一实施例中,所述第三处理单元304,还用于:
利用第一模型,判断所述异常行为是否满足所述第一条件;所述第一模型是基于所述网络行为画像训练得到的;所述第一模型用于将所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息不匹配的情况下,确定所述异常行为满足所述第一条件;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配的情况下,确定所述异常行为不满足所述第一条件。
在一实施例中,所述第三处理单元304,还用于:
通过查询所述异常行为的执行主机在所述第一时间范围内的访问记录,判断所述异常行为是否满足所述第二条件;
在所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为满足所述第二条件;
在所述异常行为的执行主机不存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为不满足所述第二条件。
在一实施例中,所述第一处理单元302,具体用于:
利用获取的网络流量,确定所述第一网络中每个主机的网络行为画像;
利用所述第一网络中每个主机的网络行为画像,确定所述第一网络的网络行为画像。
在一实施例中,该装置还包括第四处理单元,用于在确定所述异常行为是攻击成功的攻击行为的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
实际应用时,所述获取单元301、所述第一处理单元302、所述第二处理单元303、所述第三处理单元304和所述第四处理单元可由所述网络攻击的检测装置中的处理器结合通信接口实现。
需要说明的是:上述实施例提供的网络攻击的检测装置在检测网络攻击时,仅以上述各程序模块的划分进行举例说明,实际应用时,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的网络攻击的检测装置与网络攻击的检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备,如图4所示,该电子设备400包括:
通信接口401,能够与其他电子设备进行信息交互;
处理器402,与所述通信接口401连接,以实现与其他电子设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的方法;
存储器403,存储能够在所述处理器402上运行的计算机程序。
具体地,所述处理器402,用于:
获取第一网络在第一时间范围内的网络流量;
利用获取的网络流量,确定所述第一网络的网络行为画像;所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;
利用所述网络行为画像,确定所述第一网络中的异常行为;
利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。
其中,在一实施例中,所述处理器402,具体用于执行以下操作之一:
利用所述网络行为画像,确定所述网络流量中存在异常通信流量的情况下,将所述异常通信流量对应的行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在针对第一服务的网络行为的情况下,将所述针对第一服务的网络行为确定为异常行为;所述第一服务满足第三条件;所述第三条件表征所述第一服务的系统权限高于第二服务的系统权限;所述第二服务包含所述第一网络中除所述第一服务外的其他服务;
利用所述网络行为画像,确定所述第一网络中存在主机主动发起的文件传输行为的情况下,将所述主机主动发起的文件传输行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在针对主机的系统相关信息的查询行为的情况下,将所述针对主机的系统相关信息的查询行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在主机提升自身权限的行为的情况下,将所述主机提升自身权限的行为确定为异常行为。
在一实施例中,所述处理器402,还用于:
判断所述异常行为是否满足所述第一条件,得到第一判断结果;
在所述第一判断结果表征所述异常行为满足所述第一条件的情况下,判断所述异常行为是否满足所述第二条件,得到第二判断结果;
在所述第二判断结果表征所述异常行为满足所述第二条件的情况下,确定所述异常行为是攻击成功的攻击行为;
在所述第一判断结果表征所述异常行为不满足所述第一条件的情况下,或者,在所述第二判断结果表征所述异常行为不满足所述第二条件的情况下,确定所述异常行为不是攻击成功的攻击行为。
在一实施例中,所述处理器402,还用于:
利用第一模型,判断所述异常行为是否满足所述第一条件;所述第一模型是基于所述网络行为画像训练得到的;所述第一模型用于将所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息不匹配的情况下,确定所述异常行为满足所述第一条件;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配的情况下,确定所述异常行为不满足所述第一条件。
在一实施例中,所述处理器402,还用于:
通过查询所述异常行为的执行主机在所述第一时间范围内的访问记录,判断所述异常行为是否满足所述第二条件;
在所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为满足所述第二条件;
在所述异常行为的执行主机不存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为不满足所述第二条件。
在一实施例中,所述处理器402,还用于:
利用获取的网络流量,确定所述第一网络中每个主机的网络行为画像;
利用所述第一网络中每个主机的网络行为画像,确定所述第一网络的网络行为画像。
在一实施例中,所述处理器402,还用于在确定所述异常行为是攻击成功的攻击行为的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
需要说明的是:所述处理器402具体执行上述操作的过程详见方法实施例,这里不再赘述。
当然,实际应用时,电子设备400中的各个组件通过总线系统404耦合在一起。可理解,总线系统404用于实现这些组件之间的连接通信。总线系统404除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图4中将各种总线都标为总线系统404。
本申请实施例中的存储器403用于存储各种类型的数据以支持电子设备400的操作。这些数据的示例包括:用于在电子设备400上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于处理器402中,或者由处理器402实现。处理器402可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器402中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器402可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器402可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器403,处理器402读取存储器403中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,电子设备400可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,本申请实施例的存储器403可以是易失性存储器或者非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(FlashMemory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random AccessMemory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random AccessMemory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其他适合类型的存储器。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器403,上述计算机程序可由电子设备400的处理器402执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。

Claims (10)

1.一种网络攻击的检测方法,其特征在于,包括:
获取第一网络在第一时间范围内的网络流量;
利用获取的网络流量,确定所述第一网络的网络行为画像;所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;
利用所述网络行为画像,确定所述第一网络中的异常行为;
利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。
2.根据权利要求1所述的方法,其特征在于,所述利用所述网络行为画像,确定所述第一网络中的异常行为,包括以下至少之一:
利用所述网络行为画像,确定所述网络流量中存在异常通信流量的情况下,将所述异常通信流量对应的行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在针对第一服务的网络行为的情况下,将所述针对第一服务的网络行为确定为异常行为;所述第一服务满足第三条件;所述第三条件表征所述第一服务的系统权限高于第二服务的系统权限;所述第二服务包含所述第一网络中除所述第一服务外的其他服务;
利用所述网络行为画像,确定所述第一网络中存在主机主动发起的文件传输行为的情况下,将所述主机主动发起的文件传输行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在针对主机的系统相关信息的查询行为的情况下,将所述针对主机的系统相关信息的查询行为确定为异常行为;
利用所述网络行为画像,确定所述第一网络中存在主机提升自身权限的行为的情况下,将所述主机提升自身权限的行为确定为异常行为。
3.根据权利要求1所述的方法,其特征在于,所述利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为,包括:
判断所述异常行为是否满足所述第一条件,得到第一判断结果;
在所述第一判断结果表征所述异常行为满足所述第一条件的情况下,判断所述异常行为是否满足所述第二条件,得到第二判断结果;
在所述第二判断结果表征所述异常行为满足所述第二条件的情况下,确定所述异常行为是攻击成功的攻击行为;
在所述第一判断结果表征所述异常行为不满足所述第一条件的情况下,或者,在所述第二判断结果表征所述异常行为不满足所述第二条件的情况下,确定所述异常行为不是攻击成功的攻击行为。
4.根据权利要求3所述的方法,其特征在于,所述判断所述异常行为是否满足所述第一条件,包括:
利用第一模型,判断所述异常行为是否满足所述第一条件;所述第一模型是基于所述网络行为画像训练得到的;所述第一模型用于将所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息不匹配的情况下,确定所述异常行为满足所述第一条件;
在所述异常行为的相关信息与网络运维场景下的管理行为的相关信息匹配的情况下,确定所述异常行为不满足所述第一条件。
5.根据权利要求3所述的方法,其特征在于,所述判断所述异常行为是否满足所述第二条件,包括:
通过查询所述异常行为的执行主机在所述第一时间范围内的访问记录,判断所述异常行为是否满足所述第二条件;
在所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为满足所述第二条件;
在所述异常行为的执行主机不存在针对所述第一网络中的至少一个其他主机的服务的访问记录的情况下,确定所述异常行为不满足所述第二条件。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述利用获取的网络流量,确定所述第一网络的网络行为画像,包括:
利用获取的网络流量,确定所述第一网络中每个主机的网络行为画像;
利用所述第一网络中每个主机的网络行为画像,确定所述第一网络的网络行为画像。
7.根据权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:
确定所述异常行为是攻击成功的攻击行为的情况下,发出告警信息;所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。
8.一种网络攻击的检测装置,其特征在于,包括:
获取单元,用于获取第一网络在第一时间范围内的网络流量;
第一处理单元,用于利用获取的网络流量,确定所述第一网络的网络行为画像;所述网络行为画像能够反映所述第一网络中的多个主机之间的业务往来;
第二处理单元,用于利用所述网络行为画像,确定所述第一网络中的异常行为;
第三处理单元,用于利用第一条件和第二条件,确定所述异常行为是否是攻击成功的攻击行为;所述第一条件表征所述异常行为不是网络运维场景下的管理行为;所述第二条件表征所述异常行为的执行主机存在针对所述第一网络中的至少一个其他主机的服务的访问行为。
9.一种电子设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行权利要求1至7任一项所述方法的步骤。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
CN202110726346.XA 2021-06-29 2021-06-29 网络攻击的检测方法、装置、电子设备及存储介质 Active CN113347203B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110726346.XA CN113347203B (zh) 2021-06-29 2021-06-29 网络攻击的检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110726346.XA CN113347203B (zh) 2021-06-29 2021-06-29 网络攻击的检测方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN113347203A CN113347203A (zh) 2021-09-03
CN113347203B true CN113347203B (zh) 2023-02-03

Family

ID=77481357

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110726346.XA Active CN113347203B (zh) 2021-06-29 2021-06-29 网络攻击的检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113347203B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106341407A (zh) * 2016-09-19 2017-01-18 成都知道创宇信息技术有限公司 基于网站画像的异常访问日志挖掘方法及装置
CN106790193A (zh) * 2016-12-30 2017-05-31 山石网科通信技术有限公司 基于主机网络行为的异常检测方法和装置
CN108268354A (zh) * 2016-12-30 2018-07-10 腾讯科技(深圳)有限公司 数据安全监控方法、后台服务器、终端及系统
WO2021063068A1 (zh) * 2019-09-30 2021-04-08 全球能源互联网研究院有限公司 运维管控、运维分析方法、装置、系统及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110991865A (zh) * 2019-11-29 2020-04-10 杭州安恒信息技术股份有限公司 运维审计系统的智能威胁分析方法
CN111800405A (zh) * 2020-06-29 2020-10-20 深信服科技股份有限公司 检测方法及检测设备、存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106341407A (zh) * 2016-09-19 2017-01-18 成都知道创宇信息技术有限公司 基于网站画像的异常访问日志挖掘方法及装置
CN106790193A (zh) * 2016-12-30 2017-05-31 山石网科通信技术有限公司 基于主机网络行为的异常检测方法和装置
CN108268354A (zh) * 2016-12-30 2018-07-10 腾讯科技(深圳)有限公司 数据安全监控方法、后台服务器、终端及系统
WO2021063068A1 (zh) * 2019-09-30 2021-04-08 全球能源互联网研究院有限公司 运维管控、运维分析方法、装置、系统及存储介质

Also Published As

Publication number Publication date
CN113347203A (zh) 2021-09-03

Similar Documents

Publication Publication Date Title
US9860272B2 (en) System and method for detection of targeted attack based on information from multiple sources
CN111131310B (zh) 访问控制方法、装置、系统、计算机设备和存储介质
US20090249480A1 (en) Mining user behavior data for ip address space intelligence
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
WO2019144549A1 (zh) 漏洞测试方法、装置、计算机设备和存储介质
KR20000054538A (ko) 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
CN113472772B (zh) 网络攻击的检测方法、装置、电子设备及存储介质
CN112272186B (zh) 一种网络流量检测装置、方法及电子设备和存储介质
US20180083987A1 (en) System and method for generating rules for attack detection feedback system
CN112165455A (zh) 数据访问控制方法、装置、计算机设备和存储介质
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
CN109361574B (zh) 基于JavaScript脚本的NAT检测方法、系统、介质和设备
CN112818307A (zh) 用户操作处理方法、系统、设备及计算机可读存储介质
CN107231364B (zh) 一种网站漏洞检测方法及装置、计算机装置及存储介质
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
RU2601147C2 (ru) Система и способ выявления целевых атак
Hegarty et al. Extrusion detection of illegal files in cloud-based systems
CN113347203B (zh) 网络攻击的检测方法、装置、电子设备及存储介质
CN115022366B (zh) 一种资产识别方法、装置及电子设备和存储介质
CN113824748B (zh) 一种资产特征主动探测对抗方法、装置、电子设备及介质
CN114297639A (zh) 一种接口调用行为的监测方法、装置、电子设备及介质
US10462180B1 (en) System and method for mitigating phishing attacks against a secured computing device
CN114598507B (zh) 攻击者画像生成方法、装置、终端设备及存储介质
CN113992404B (zh) 一种攻击证据记录方法及装置
CN115396165B (zh) 一种文件管理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant