CN113364799A - 一种网络威胁行为的处理方法和系统 - Google Patents
一种网络威胁行为的处理方法和系统 Download PDFInfo
- Publication number
- CN113364799A CN113364799A CN202110689427.7A CN202110689427A CN113364799A CN 113364799 A CN113364799 A CN 113364799A CN 202110689427 A CN202110689427 A CN 202110689427A CN 113364799 A CN113364799 A CN 113364799A
- Authority
- CN
- China
- Prior art keywords
- data stream
- address
- flow
- destination
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络威胁行为的处理方法和系统,其中方法包括:流量检测设备对接收到的数据流进行异常检测;响应于检测到异常数据流,所述流量检测设备将所述异常数据流的特征信息发送给终端设备;所述终端设备接收所述特征信息后,基于所述特征信息,确定可疑进程和所述可疑进程的存储位置;所述终端设备将所述可疑进程由所述可疑进程的存储位置转移至预设的第一隔离区,并对所述可疑进程进行识别;若所述可疑进程为威胁进程,则所述终端设备将所述可疑进程进行清除;其中,所述特征信息包括源IP地址、目的IP地址、源端口和目的端口。本方案能够有效处理网络威胁行为。
Description
技术领域
本发明实施例涉及计算机技术领域,特别涉及一种网络威胁行为的处理方法和系统。
背景技术
随着科技的发展,网络通信的安全性也随之日益重要。恶意软件(是指能够在计算机中进行非授权操作的代码)成为越来越多的不法分子所选择的一种网络威胁行为。
针对网络威胁行为构建的防御检测系统,大多是采用专家规则或机器学习的方式来检测网络威胁行为,然后再对检测到的网络威胁行为进行处理。然而,目前的防御检测系统仍无法有效处理网络威胁行为。
因此,亟待需要提供一种网络威胁行为的处理方法和系统来解决上述技术问题。
发明内容
本发明实施例提供了一种网络威胁行为的处理方法和系统,能够有效处理网络威胁行为。
第一方面,本发明实施例提供了一种网络威胁行为的处理方法,所述网络威胁行为包括数据流威胁行为,所述方法包括:
流量检测设备对接收到的数据流进行异常检测;
响应于检测到异常数据流,所述流量检测设备将所述异常数据流的特征信息发送给终端设备;
所述终端设备接收所述特征信息后,基于所述特征信息,确定可疑进程和所述可疑进程的存储位置;
所述终端设备将所述可疑进程由所述可疑进程的存储位置转移至预设的第一隔离区,并对所述可疑进程进行识别;
若所述可疑进程为威胁进程,则所述终端设备将所述可疑进程进行清除;
其中,所述特征信息包括源IP地址、目的IP地址、源端口和目的端口。
在一种可能的设计中,流量检测设备对接收到的数据流进行异常检测,包括如下中的至少一项:
流量检测设备执行:接收由处于预设的第二隔离区中的终端设备发来的数据流;检测终端设备发来的数据流的第一个流量包中的标志位是否是同步标志位置位为1且确认标志位置位为0;
流量检测设备执行:获取非正常工作时间段;获取非正常工作时间段;流量检测设备检测接收到的数据流所对应的时刻是否位于所述非正常工作时间段内。
在一种可能的设计中,流量检测设备对接收到的数据流进行异常检测,包括如下中的至少一项:
流量检测设备检测接收到的数据流在第一预设时长内的扫描速率是否超过第一预设阈值;
流量检测设备检测接收到的数据流在第二预设时长内的扫描次数是否超过第二预设阈值;
流量检测设备检测接收到的数据流的扫描动作和扫描动作对应的时间是否具有相关性;
流量检测设备检测接收到的数据流中携带登录账号和密码的频率是否超过第三预设阈值;
流量检测设备检测接收到的数据流中携带的登录失败次数是否超过第四预设阈值。
在一种可能的设计中,流量检测设备对接收到的数据流进行异常检测,包括如下中的至少一项:
流量检测设备执行:解析接收到的数据流,得到源IP地址和目的IP地址;针对携带该源IP地址的数据流,判断当前数据流的目的IP地址和上一个数据流的目的IP地址是否不同;如果是,则异常次数累加第一预设次数;检测在第三预设时长内的异常次数是否超过第五预设阈值;
流量检测设备执行:解析接收到的数据流,得到源IP地址和目的IP地址;获取在第四预设时长内的源IP地址相同但目的IP地址不同的数据流的数量;检测该数据流的数量是否超过第六预设阈值;
流量检测设备执行:解析接收到的数据流,得到源IP地址、目的IP地址和目的端口;针对携带该源IP地址和该目的IP地址的数据流,判断当前数据流的目的端口和上一个数据流的目的端口是否不同;如果是但两个数据流的目的端口不相邻,则异常次数累加第二预设次数,如果是且两个数据流的目的端口相邻,则异常次数累加第三预设次数,所述第三预设次数大于所述第二预设次数;检测在第五预设时长内的异常次数是否超过第七预设阈值;
流量检测设备执行:解析接收到的数据流,得到源IP地址、目的IP地址和目的端口;获取在第六预设时长内的源IP地址相同、目的IP地址相同但目的端口不同的数据流的数量;检测该数据流的数量是否超过第八预设阈值。
在一种可能的设计中,流量检测设备对接收到的数据流进行异常检测,包括:
流量检测设备接收由终端设备发来的数据流;
流量检测设备解析该数据流,并检测该数据流中是否存在系统进程名称、系统路径和/或涉密关键字。
在一种可能的设计中,在所述流量检测设备对接收到的数据流进行异常检测之后,还包括:
响应于检测到异常数据流,所述流量检测设备将所述异常数据流的特征信息发送给防火墙设备;
所述防火墙设备接收所述特征信息后,将与所述特征信息相同的数据流进行封堵。
在一种可能的设计中,所述网络威胁行为还包括进程威胁行为,所述方法还包括:
终端设备检测自身是否存在进程威胁行为;其中,所述进程威胁行为包括如下中的至少一种:删除磁盘卷影、关闭系统还原功能、关闭系统数据库服务、关闭防火墙、禁用计算机启动时的恢复选项和系统插件删除所有卷;
如果存在,则所述终端设备将所述进程威胁行为进行清除。
第二方面,本发明实施例还提供了一种网络威胁行为的处理系统,所述网络威胁行为包括数据流威胁行为,所述系统包括:流量检测设备和终端设备;
所述流量检测设备,用于执行:对接收到的数据流进行异常检测;响应于检测到异常数据流,将所述异常数据流的特征信息发送给所述终端设备;
所述终端设备,用于执行:接收所述特征信息后,基于所述特征信息,确定可疑进程和所述可疑进程的存储位置;将所述可疑进程由所述可疑进程的存储位置转移至预设的第一隔离区,并对所述可疑进程进行识别;若所述可疑进程为威胁进程,则将所述可疑进程进行清除;
其中,所述特征信息包括源IP地址、目的IP地址、源端口和目的端口。
在一种可能的设计中,还包括:防火墙设备;
所述流量检测设备,还用于执行:响应于检测到异常数据流,将所述异常数据流的特征信息发送给所述防火墙设备;
所述防火墙设备,用于执行:接收所述特征信息后,将与所述特征信息相同的数据流进行封堵。
在一种可能的设计中,所述网络威胁行为还包括进程威胁行为;
所述终端设备,还用于执行:检测自身是否存在进程威胁行为;其中,所述进程威胁行为包括如下中的至少一种:删除磁盘卷影、关闭系统还原功能、关闭系统数据库服务、关闭防火墙、禁用计算机启动时的恢复选项和系统插件删除所有卷;如果存在,则将所述进程威胁行为进行清除。
本发明实施例提供了一种网络威胁行为的处理方法和系统,通过利用流量检测设备对接收到的数据流进行异常检测,并将检测到的异常数据流的特征信息发送给终端设备,再利用终端设备提取特征信息的IP地址和端口,确定出可疑进程和可疑进程的存储位置,然后终端设备将可疑进程由该存储位置转移至预设的第一隔离区,以对可疑进程进行识别,若该可疑进程为威胁进程,则终端设备将该可疑进程进行清除。由此可知,上述技术方案可以通过流量检测设备和终端设备的协同联动来有效处理网络威胁行为。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种网络威胁行为的处理方法流程图;
图2是本发明一实施例提供的另一种网络威胁行为的处理方法流程图;
图3是本发明一实施例提供的一种网络威胁行为的处理系统的结构图;
图4是本发明一实施例提供的另一种网络威胁行为的处理系统的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,针对网络威胁行为构建的防御检测系统,大多是采用专家规则或机器学习的方式来检测网络威胁行为,然后再对检测到的网络威胁行为进行处理。然而,目前的防御检测系统仍无法有效处理网络威胁行为。
以勒索软件作为网络威胁行为为例,勒索软件制作者开始关注攻击成本和攻击效率,勒索软件的攻击方式从最初的广撒网寻找目标逐渐地变成对有价值的攻击目标进行定向勒索。当前大部分政企机构依然采取一道边界防护来御敌于城门外的思想,但这种防护极易被攻击者利用并穿透整个网络,一旦勒索软件有效载荷进入终端侧,就会处于无检测状态,导致整个网络深受勒索软件其害。
因此,为了解决上述技术问题,可以考虑采用流量检测设备和终端设备协同联动的方法检测可能存在的网络威胁行为,例如勒索和窃密木马等行为。这种协同联动的方式既可以有效降低检测误报率,又可以提升网络威胁行为的阻断成功率,从而可以有效支撑集中运营响应。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种网络威胁行为的处理方法,网络威胁行为包括数据流威胁行为,该方法包括:
步骤100、流量检测设备对接收到的数据流进行异常检测;
步骤102、响应于检测到异常数据流,流量检测设备将异常数据流的特征信息发送给终端设备;其中,特征信息包括源IP地址、目的IP地址、源端口和目的端口;
步骤104、终端设备接收特征信息后,基于特征信息,确定可疑进程和可疑进程的存储位置;
步骤106、终端设备将可疑进程由可疑进程的存储位置转移至预设的第一隔离区,并对可疑进程进行识别;
步骤108、若可疑进程为威胁进程,则终端设备将可疑进程进行清除。
本发明实施例中,通过利用流量检测设备对接收到的数据流进行异常检测,并将检测到的异常数据流的特征信息发送给终端设备,再利用终端设备提取特征信息的IP地址和端口,确定出可疑进程和可疑进程的存储位置,然后终端设备将可疑进程由该存储位置转移至预设的第一隔离区,以对可疑进程进行识别,若该可疑进程为威胁进程,则终端设备将该可疑进程进行清除。由此可知,上述技术方案可以通过流量检测设备和终端设备的协同联动来有效处理网络威胁行为。
下面描述图1所示的各个步骤的执行方式。
首先,对一些网络威胁行为的特点进行介绍。一些网络威胁行为通过前期的漏洞扫描找到目标的脆弱性,使用口令爆破、钓鱼邮件、漏洞利用工具包等进入到目标的网络中,再通过添加注册表自启动项或添加自启动文件夹等持久化长期留存在目标系统中,之后开始在目标系统中利用一些渗透工具如CobaltStrike、Mimikatz、PsExec、ProcessHacker、NLBrute等进行提权、凭证访问、内网扫描、横向移动、收集重要信息等活动,逐步渗透到整个系统的网络中,窃密后投放勒索软件进行勒索。
因此,有必要基于网络威胁行为的特点来检测是否存在上述网络威胁行为。
为了实现对网络威胁行为的异常检测,本发明实施例提供了四种可能存在数据流威胁行为的情形,分别是:情形一、是否有网络隔离区(即下文中的第二隔离区)内主动上传数据流行为以及非正常时间存在网内上传数据流行为;情形二、是否存在口令爆破的行为,基于口令爆破的一些特征,进一步检测是否存在远程登录异常的行为;情形三、是否存在IP地址窥探扫描和端口窥探扫描的行为;情形四、是否有敏感数据存在上传行为。下面基于上述四种情形分开进行介绍。
针对情形一,步骤100可以包括如下中的至少一项:
步骤A0、流量检测设备执行:接收由处于预设的第二隔离区中的终端设备发来的数据流;检测终端设备发来的数据流的第一个流量包中的标志位是否是同步标志位置位为1且确认标志位置位为0。
在步骤A0中,第二隔离区是基于网段规划出的一个隔离区,在第二隔离区中的终端设备主要是用户重点关注的对象,第二隔离区中的终端设备通常不会具有主动上传数据流行为,即通常是响应于数据访问请求而产生的上传数据流行为。因此,可以对终端设备发来的数据流的第一个流量包中的标志位是否是同步标志位置位为1且确认标志位置位为0进行检测,如果第一个流量包中的同步标志位置位为1且确认标志位置位为0,则证明这些终端设备存在主动上传数据流的行为,即为异常情况。
步骤B0、流量检测设备执行:获取非正常工作时间段;检测接收到的数据流所对应的时刻是否位于非正常工作时间段内。
在步骤B0中,例如一家公司的正常上班时间视为正常时间,期间的数据流上传行为视为正常行为,如果突然在非正常时间存在网内上传数据流行为,流量检测设备则会触发异常,为避免有加班人员加班时间使用数据流情况,加班人员可提前进行报备,相关数据流运维人员可在流量检测设备中的异常数据流模块中添加白名单,将加班人员的数据流加入白名单,可降低相应误报。
针对情形二,步骤100可以包括如下中的至少一项:
步骤A1、流量检测设备检测接收到的数据流在第一预设时长内的扫描速率是否超过第一预设阈值。
在步骤A1中,针对以管理入口地址及其所属网段地址为目标地址的扫描数据流进行检测和日志记录,接收到的数据流在第一预设时长内的扫描速率超过第一预设阈值,则判定为口令爆破;否则正常。
步骤B1、流量检测设备检测接收到的数据流在第二预设时长内的扫描次数是否超过第二预设阈值。
在步骤B1中,针对以管理入口地址及其所属网段地址为目标地址的扫描数据流进行检测和日志记录,接收到的数据流在第二预设时长内的扫描次数超过第二预设阈值,则判定为口令爆破;否则正常。
步骤C1、流量检测设备检测接收到的数据流的扫描动作和扫描动作对应的时间是否具有相关性。
在步骤C1中,针对以管理入口地址及其所属网段地址为目标地址的扫描数据流进行检测和日志记录,接收到的数据流的扫描动作和扫描动作对应的时间具有相关性,则判定为口令爆破;否则正常。
通常而言,人工进行口令爆破的方式在一分钟内可能有10次扫描动作,而且与每次扫描动作对应的时间也不尽相同。如果采用工具进行口令爆破的方式则在一秒钟内有5-10次扫描动作,而这种方式中,与每次扫描动作对应的时间也大致相同,即不会因为时间的推移而出现与每次扫描动作对应的时间不均的情况,也就是说,扫描动作和扫描动作对应的时间具有相关性,则可以认为该数据流存在异常。另外,扫描动作具体是指对目标设备进行探测的一种行为,例如利用账号密码、端口、IP地址等信息进行探测的行为。
步骤D1、流量检测设备检测接收到的数据流中携带登录账号和密码的频率是否超过第三预设阈值。
在步骤D1中,判定口令爆破的方式还可以是针对管理入口的登录接口帐号和密码输入频度是否超过预设阈值,即接收到的数据流中携带登录账号和密码的频率是否超过第三预设阈值。
步骤E1、流量检测设备检测接收到的数据流中携带的登录失败次数是否超过第四预设阈值。
在步骤E1中,判定口令爆破的方式还可以是针对管理入口的登录失败次数是否超过预设阈值,即接收到的数据流中携带的登录失败次数是否超过第四预设阈值。
可以理解的是,扫描数据流的作用是通过对待扫描的网络主机发送特定的数据包,根据返回的数据包来判断待扫描的网络主机的端口及相关的服务是否开启。因此,判定口令爆破的方式是可以通过扫描数据流的扫描速率、扫描次数和扫描动作等特征来判断。
进一步地,基于口令爆破的检测方式,可以进一步确定远程登录是否为异常。具体地,步骤100还可以包括:
流量检测设备检测接收到的数据流中携带的登录时间、登录地点、登录的终端设备属性、安全现状是否满足预设的标准远程登录参数范围;其中,终端设备属性包括终端设备的登录名和操作系统的类别,安全现状包括步骤A1中的扫描速率、步骤B1中的扫描次数、步骤D1中的登录账号和密码的频率和步骤E1中的登录失败次数。
针对情形三,步骤100可以包括如下中的至少一项:
步骤A2、流量检测设备执行:解析接收到的数据流,得到源IP地址和目的IP地址;针对携带该源IP地址的数据流,判断当前数据流的目的IP地址和上一个数据流的目的IP地址是否不同;如果是,则异常次数累加第一预设次数;检测在第三预设时长内的异常次数是否超过第五预设阈值。
在步骤A2中,举例说明,基于用户所在组织内部网络IP地址段配置范围参数后,对匹配该范围作为目的地址的TCP、UDP、ICMP报文进行检测,并以某个源IP地址为索引,判断该源IP地址发送报文的目的IP与前一报文的目的IP地址是否不同,如果是,则异常次数加1,当异常频率(单位时间内的异常次数)超过预定义的阈值时,则认为该源IP地址的报文为IP地址窥探扫描,并将该源IP地址加入黑名单或施加其它阻断措施。
步骤B2、流量检测设备执行:解析接收到的数据流,得到源IP地址和目的IP地址;获取在第四预设时长内的源IP地址相同但目的IP地址不同的数据流的数量;检测该数据流的数量是否超过第六预设阈值。
在步骤B2中,举例说明,基于用户所在组织内部网络IP地址段配置范围参数后,对匹配该范围作为目的地址的TCP、UDP、ICMP报文进行检测,并以指定时间长度作为定长时间范围(例如,10分钟等),针对该定长时间范围内的源IP相同、目的IP不同的网络连接进行统计,若不同目的IP地址数量超过预定义的阈值(例如,阈值设置为100)时,则认为该源IP地址的报文为IP地址窥探扫描,并将该源IP地址加入黑名单或施加其它阻断措施。
步骤C2、流量检测设备执行:解析接收到的数据流,得到源IP地址、目的IP地址和目的端口;针对携带该源IP地址和该目的IP地址的数据流,判断当前数据流的目的端口和上一个数据流的目的端口是否不同;如果是但两个数据流的目的端口不相邻,则异常次数累加第二预设次数,如果是且两个数据流的目的端口相邻,则异常次数累加第三预设次数,第三预设次数大于第二预设次数;检测在第五预设时长内的异常次数是否超过第七预设阈值。
在步骤C2中,举例说明,基于用户所在组织内部网络IP地址段配置范围参数后,对匹配该范围作为目的地址的TCP、UDP报文进行检测,并以某对“源IP-目的IP”地址映射为索引,判断该源IP地址发送报文至相同目的IP的目的端口与前一报文的目的端口是否不同,如果是,则异常次数加1,如果是且目的端口相邻,则异常次数加2;当异常频率(单位时间内的异常次数)超过预定义的阈值时,则认为该源IP地址的报文为端口窥探扫描,并将该源IP地址加入黑名单或施加其它阻断措施。
步骤D2、流量检测设备执行:解析接收到的数据流,得到源IP地址、目的IP地址和目的端口;获取在第六预设时长内的源IP地址相同、目的IP地址相同但目的端口不同的数据流的数量;检测该数据流的数量是否超过第八预设阈值。
在步骤D2中,举例说明,基于用户所在组织内部网络IP地址段配置范围参数后,对匹配该范围作为目的地址的TCP、UDP报文进行检测,并以指定时间长度作为定长时间范围(例如,10分钟等),针对该定长时间范围内的源IP相同、目的IP相同且目的端口不同的网络连接进行统计,若相同源目地址的不同目的端口数量超过预定义的阈值(例如,阈值设置为100)时,则认为该源IP地址的报文为端口窥探扫描,并将该源IP地址加入黑名单或施加其它阻断措施。
针对情形四,步骤100可以包括如下中的至少一项:
流量检测设备接收由终端设备发来的数据流;
流量检测设备解析该数据流,并检测该数据流中是否存在系统进程名称、系统路径和/或涉密关键字。
举例说明,以数据流日志为数据源,基于TCP协议的上行数据流中存在一定数量的系统进程名称,例如,smss.exe、csrss.exe、winlogon.exe、svchost.exe等,以此作为检测敏感数据是否存在上传行为的一个方面;以数据流日志为数据源,基于TCP协议的上行数据流中存在一定数量的系统路径,例如,C:\WINNT\System32\、C:\WINNT\、C:\WINNT\等,以此作为检测敏感数据是否存在上传行为的另一个方面;基于数据流数据的深层分析,用户外发数据流中存在涉密关键字,例如,绝密、机密、秘密、商密、企密以及“内部资料,禁止外发”等其它用户自定义关键字,以此作为检测敏感数据是否存在上传行为的又一个方面。
针对步骤102,流量检测设备通过上述异常检测的方式发现了异常(即数据流威胁行为),流量检测设备会通过设备异常日志生成模块生成异常日志,日志中包含相应的源IP地址、目的IP地址、源端口和目的端口等特征信息,生成的日志通过交互模块传输给终端设备。具体传输方法为:利用流量检测设备搭建FTP服务器,流量检测设备将生成的日志传送到对应的异常目录下,传输完成后终端设备会发送一条指令确认接收完毕。同理,生成的日志也可以发送给防火墙设备,防火墙设备也会发送一条指令确认接收完毕。
进一步地,在步骤100之后,上述方法还包括:
响应于检测到异常数据流,流量检测设备将异常数据流的特征信息发送给防火墙设备;
防火墙设备接收特征信息后,将与特征信息相同的数据流进行封堵。
在该实施例中,上述技术方案可以通过流量检测设备、终端设备和防火墙设备的协同联动来进一步有效处理网络威胁行为。
针对步骤104,例如通过调用系统命令netstat–ano,将源IP地址、目的IP地址、源端口和目的端口作为输入,即可定位到可疑进程和该可疑进程的存储位置。
针对步骤106,为了避免可疑进程对终端设备造成破坏,终端设备在发现可疑进程后,立刻将可疑进程的存储位置转移到预先设置好的第一隔离区,在第一隔离区中的可疑进程会被威胁识别模块进行识别,例如通过比对病毒库对勒索特征和窃密木马特征进行识别与判定。需要说明的是,第一隔离区是在终端设备中预先设置好的一个物理存储区,用来存储可疑进程。
进一步地,为了更准确地确定该可疑进程,可以监控步骤104确定出的可疑进程是否存在遍历和加密等行为。监控的方式为本领域技术人员所熟知,在此不进行赘述。
针对步骤108,病毒库包括本地病毒库和云病毒库,首先利用本地病毒库对第一隔离区的可疑进程进行特征识别,如果命中,则将该可疑进程清除;否则利用云病毒库对第一隔离区的可疑进程进行特征识别,如果命中,则将该可疑进程清除,同时升级本地病毒库;否则证明该可疑进程为正常进程。
进一步地,网络威胁行为还包括进程威胁行为,方法还包括:
终端设备检测自身是否存在进程威胁行为;其中,进程威胁行为包括如下中的至少一种:删除磁盘卷影、关闭系统还原功能、关闭系统数据库服务、关闭防火墙、禁用计算机启动时的恢复选项和系统插件删除所有卷;
如果存在,则终端设备将进程威胁行为进行清除。
在该实施例中,终端设备自身会存在勒索软件的威胁行为,具体体现在存在删除磁盘卷影、关闭系统还原功能、关闭系统数据库服务、关闭防火墙、禁用计算机启动时的恢复选项和系统插件删除所有卷等进程威胁行为,因此一旦发现存在上述进程威胁行为,终端设备会对自启动项、服务、计划任务、自启动文件夹等进行删除操作,从而有效清除进程威胁行为。
图2是本发明一实施例提供的另一种网络威胁行为的处理方法流程图。
如图2所示,该实施例提供的网络威胁行为的处理方法包括:
步骤200、流量检测设备对接收到的数据流进行异常检测;
步骤202、响应于检测到异常数据流,流量检测设备将异常数据流的特征信息发送给终端设备;其中,特征信息包括源IP地址、目的IP地址、源端口和目的端口;
步骤204、终端设备接收特征信息后,基于特征信息,确定可疑进程和可疑进程的存储位置;
步骤206、终端设备将可疑进程由可疑进程的存储位置转移至预设的第一隔离区,并对可疑进程进行识别;
步骤208、若可疑进程为威胁进程,则终端设备将可疑进程进行清除;
步骤210、响应于检测到异常数据流,流量检测设备将异常数据流的特征信息发送给防火墙设备;
步骤212、防火墙设备接收特征信息后,将与特征信息相同的数据流进行封堵。
图3是本发明一实施例提供的一种网络威胁行为的处理系统的结构图。如图3所示,网络威胁行为包括数据流威胁行为,该网络威胁行为的处理系统包括:流量检测设备301和终端设备302;
流量检测设备301,用于执行:对接收到的数据流进行异常检测;响应于检测到异常数据流,将异常数据流的特征信息发送给终端设备302;
终端设备302,用于执行:在接收到特征信息时,基于特征信息,确定可疑进程和可疑进程的存储位置;将可疑进程由可疑进程的存储位置转移至预设的第一隔离区,并对可疑进程进行识别;若可疑进程为威胁进程,则将可疑进程进行清除;
其中,特征信息包括源IP地址、目的IP地址、源端口和目的端口。
在一些实施方式中,流量检测设备301在执行对接收到的数据流进行异常检测时,还用于执行:
接收由处于预设的第二隔离区中的终端设备发来的数据流;检测终端设备发来的数据流的第一个流量包中的标志位是否是同步标志位置位为1且确认标志位置位为0;
获取非正常工作时间段;检测接收到的数据流所对应的时刻是否位于非正常工作时间段内。
在一些实施方式中,流量检测设备301在执行对接收到的数据流进行异常检测时,还用于执行如下中的至少一项:
检测接收到的数据流在第一预设时长内的扫描速率是否超过第一预设阈值;
检测接收到的数据流在第二预设时长内的扫描次数是否超过第二预设阈值;
检测接收到的数据流的扫描动作和扫描动作对应的时间是否具有相关性;
检测接收到的数据流中携带登录账号和密码的频率是否超过第三预设阈值;
检测接收到的数据流中携带的登录失败次数是否超过第四预设阈值。
在一些实施方式中,流量检测设备301在执行对接收到的数据流进行异常检测时,还用于执行如下中的至少一项:
解析接收到的数据流,得到源IP地址和目的IP地址;针对携带该源IP地址的数据流,判断当前数据流的目的IP地址和上一个数据流的目的IP地址是否不同;如果是,则异常次数累加第一预设次数;检测在第三预设时长内的异常次数是否超过第五预设阈值;
解析接收到的数据流,得到源IP地址和目的IP地址;获取在第四预设时长内的源IP地址相同但目的IP地址不同的数据流的数量;检测该数据流的数量是否超过第六预设阈值;
解析接收到的数据流,得到源IP地址、目的IP地址和目的端口;针对携带该源IP地址和该目的IP地址的数据流,判断当前数据流的目的端口和上一个数据流的目的端口是否不同;如果是但两个数据流的目的端口不相邻,则异常次数累加第二预设次数,如果是且两个数据流的目的端口相邻,则异常次数累加第三预设次数,第三预设次数大于第二预设次数;检测在第五预设时长内的异常次数是否超过第七预设阈值;
解析接收到的数据流,得到源IP地址、目的IP地址和目的端口;获取在第六预设时长内的源IP地址相同、目的IP地址相同但目的端口不同的数据流的数量;检测该数据流的数量是否超过第八预设阈值。
在一些实施方式中,流量检测设备301在执行对接收到的数据流进行异常检测时,还用于:
接收由终端设备302发来的数据流;
解析该数据流,并检测该数据流中是否存在系统进程名称、系统路径和涉密关键字。
图4是本发明一实施例提供的另一种网络威胁行为的处理系统的结构图。该系统还包括:防火墙设备303;
流量检测设备301,还用于执行:响应于检测到异常数据流,将异常数据流的特征信息发送给防火墙设备303;
防火墙设备303,用于执行:接收特征信息后,将与特征信息相同的数据流进行封堵。
在一些实施方式中,网络威胁行为还包括进程威胁行为;
终端设备302,还用于:检测自身是否存在进程威胁行为;其中,进程威胁行为包括如下中的至少一种:删除磁盘卷影、关闭系统还原功能、关闭系统数据库服务、关闭防火墙、禁用计算机启动时的恢复选项和系统插件删除所有卷;如果存在,则将进程威胁行为进行清除。
上述系统内的各装置之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种网络威胁行为的处理方法,其特征在于,所述网络威胁行为包括数据流威胁行为,所述方法包括:
流量检测设备对接收到的数据流进行异常检测;
响应于检测到异常数据流,所述流量检测设备将所述异常数据流的特征信息发送给终端设备;
所述终端设备接收所述特征信息后,基于所述特征信息,确定可疑进程和所述可疑进程的存储位置;
所述终端设备将所述可疑进程由所述可疑进程的存储位置转移至预设的第一隔离区,并对所述可疑进程进行识别;
若所述可疑进程为威胁进程,则所述终端设备将所述可疑进程进行清除;
其中,所述特征信息包括源IP地址、目的IP地址、源端口和目的端口。
2.根据权利要求1所述的方法,其特征在于,流量检测设备对接收到的数据流进行异常检测,包括如下中的至少一项:
流量检测设备执行:接收由处于预设的第二隔离区中的终端设备发来的数据流;检测终端设备发来的数据流的第一个流量包中的标志位是否是同步标志位置位为1且确认标志位置位为0;
流量检测设备执行:获取非正常工作时间段;检测接收到的数据流所对应的时刻是否位于所述非正常工作时间段内。
3.根据权利要求1所述的方法,其特征在于,流量检测设备对接收到的数据流进行异常检测,包括如下中的至少一项:
流量检测设备检测接收到的数据流在第一预设时长内的扫描速率是否超过第一预设阈值;
流量检测设备检测接收到的数据流在第二预设时长内的扫描次数是否超过第二预设阈值;
流量检测设备检测接收到的数据流的扫描动作和扫描动作对应的时间是否具有相关性;
流量检测设备检测接收到的数据流中携带登录账号和密码的频率是否超过第三预设阈值;
流量检测设备检测接收到的数据流中携带的登录失败次数是否超过第四预设阈值。
4.根据权利要求1所述的方法,其特征在于,流量检测设备对接收到的数据流进行异常检测,包括如下中的至少一项:
流量检测设备执行:解析接收到的数据流,得到源IP地址和目的IP地址;针对携带该源IP地址的数据流,判断当前数据流的目的IP地址和上一个数据流的目的IP地址是否不同;如果是,则异常次数累加第一预设次数;检测在第三预设时长内的异常次数是否超过第五预设阈值;
流量检测设备执行:解析接收到的数据流,得到源IP地址和目的IP地址;获取在第四预设时长内的源IP地址相同但目的IP地址不同的数据流的数量;检测该数据流的数量是否超过第六预设阈值;
流量检测设备执行:解析接收到的数据流,得到源IP地址、目的IP地址和目的端口;针对携带该源IP地址和该目的IP地址的数据流,判断当前数据流的目的端口和上一个数据流的目的端口是否不同;如果是但两个数据流的目的端口不相邻,则异常次数累加第二预设次数,如果是且两个数据流的目的端口相邻,则异常次数累加第三预设次数,所述第三预设次数大于所述第二预设次数;检测在第五预设时长内的异常次数是否超过第七预设阈值;
流量检测设备执行:解析接收到的数据流,得到源IP地址、目的IP地址和目的端口;获取在第六预设时长内的源IP地址相同、目的IP地址相同但目的端口不同的数据流的数量;检测该数据流的数量是否超过第八预设阈值。
5.根据权利要求1所述的方法,其特征在于,流量检测设备对接收到的数据流进行异常检测,包括:
流量检测设备接收由终端设备发来的数据流;
流量检测设备解析该数据流,并检测该数据流中是否存在系统进程名称、系统路径和/或涉密关键字。
6.根据权利要求1-5中任一项所述的方法,其特征在于,在所述流量检测设备对接收到的数据流进行异常检测之后,还包括:
响应于检测到异常数据流,所述流量检测设备将所述异常数据流的特征信息发送给防火墙设备;
所述防火墙设备接收所述特征信息后,将与所述特征信息相同的数据流进行封堵。
7.根据权利要求1-5中任一项所述的方法,其特征在于,所述网络威胁行为还包括进程威胁行为,所述方法还包括:
终端设备检测自身是否存在进程威胁行为;其中,所述进程威胁行为包括如下中的至少一种:删除磁盘卷影、关闭系统还原功能、关闭系统数据库服务、关闭防火墙、禁用计算机启动时的恢复选项和系统插件删除所有卷;
如果存在,则所述终端设备将所述进程威胁行为进行清除。
8.一种网络威胁行为的处理系统,其特征在于,所述网络威胁行为包括数据流威胁行为,所述系统包括:流量检测设备和终端设备;
所述流量检测设备,用于执行:对接收到的数据流进行异常检测;响应于检测到异常数据流,将所述异常数据流的特征信息发送给所述终端设备;
所述终端设备,用于执行:接收所述特征信息后,基于所述特征信息,确定可疑进程和所述可疑进程的存储位置;将所述可疑进程由所述可疑进程的存储位置转移至预设的第一隔离区,并对所述可疑进程进行识别;若所述可疑进程为威胁进程,则将所述可疑进程进行清除;
其中,所述特征信息包括源IP地址、目的IP地址、源端口和目的端口。
9.根据权利要求8所述的系统,其特征在于,还包括:防火墙设备;
所述流量检测设备,还用于执行:响应于检测到异常数据流,将所述异常数据流的特征信息发送给所述防火墙设备;
所述防火墙设备,用于执行:接收所述特征信息后,将与所述特征信息相同的数据流进行封堵。
10.根据权利要求8所述的系统,其特征在于,所述网络威胁行为还包括进程威胁行为;
所述终端设备,还用于执行:检测自身是否存在进程威胁行为;其中,所述进程威胁行为包括如下中的至少一种:删除磁盘卷影、关闭系统还原功能、关闭系统数据库服务、关闭防火墙、禁用计算机启动时的恢复选项和系统插件删除所有卷;如果存在,则将所述进程威胁行为进行清除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110689427.7A CN113364799B (zh) | 2021-06-22 | 2021-06-22 | 一种网络威胁行为的处理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110689427.7A CN113364799B (zh) | 2021-06-22 | 2021-06-22 | 一种网络威胁行为的处理方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113364799A true CN113364799A (zh) | 2021-09-07 |
| CN113364799B CN113364799B (zh) | 2022-10-28 |
Family
ID=77535513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110689427.7A Active CN113364799B (zh) | 2021-06-22 | 2021-06-22 | 一种网络威胁行为的处理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113364799B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070613A (zh) * | 2021-11-15 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种识别漏洞扫描的方法、装置、设备及存储介质 |
| CN114244600A (zh) * | 2021-12-15 | 2022-03-25 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
| CN114499928A (zh) * | 2021-12-13 | 2022-05-13 | 奇安信科技集团股份有限公司 | 远程注册表监测方法及装置 |
| CN116760644A (zh) * | 2023-08-21 | 2023-09-15 | 北京安天网络安全技术有限公司 | 一种终端异常判定方法、系统、存储介质及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581909A (zh) * | 2012-07-31 | 2014-02-12 | 华为技术有限公司 | 一种疑似手机恶意软件的定位方法及其装置 |
| US20180115577A1 (en) * | 2016-10-21 | 2018-04-26 | Tata Consultancy Services Limited | System and method for detecting and mitigating ransomware threats |
| WO2018099206A1 (zh) * | 2016-12-01 | 2018-06-07 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| US20190132273A1 (en) * | 2017-10-31 | 2019-05-02 | Edgewave, Inc. | Analysis and reporting of suspicious email |
| CN109861979A (zh) * | 2018-12-28 | 2019-06-07 | 努比亚技术有限公司 | 程序处理方法、电子设备及计算机可读存储介质 |
| US20200110876A1 (en) * | 2018-10-04 | 2020-04-09 | Samsung Electronics Co., Ltd. | Electronic apparatus and controlling method thereof |
-
2021
- 2021-06-22 CN CN202110689427.7A patent/CN113364799B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581909A (zh) * | 2012-07-31 | 2014-02-12 | 华为技术有限公司 | 一种疑似手机恶意软件的定位方法及其装置 |
| US20180115577A1 (en) * | 2016-10-21 | 2018-04-26 | Tata Consultancy Services Limited | System and method for detecting and mitigating ransomware threats |
| WO2018099206A1 (zh) * | 2016-12-01 | 2018-06-07 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| US20190132273A1 (en) * | 2017-10-31 | 2019-05-02 | Edgewave, Inc. | Analysis and reporting of suspicious email |
| US20200110876A1 (en) * | 2018-10-04 | 2020-04-09 | Samsung Electronics Co., Ltd. | Electronic apparatus and controlling method thereof |
| CN109861979A (zh) * | 2018-12-28 | 2019-06-07 | 努比亚技术有限公司 | 程序处理方法、电子设备及计算机可读存储介质 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070613A (zh) * | 2021-11-15 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种识别漏洞扫描的方法、装置、设备及存储介质 |
| CN114499928A (zh) * | 2021-12-13 | 2022-05-13 | 奇安信科技集团股份有限公司 | 远程注册表监测方法及装置 |
| CN114244600A (zh) * | 2021-12-15 | 2022-03-25 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
| CN114244600B (zh) * | 2021-12-15 | 2023-11-24 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
| CN116760644A (zh) * | 2023-08-21 | 2023-09-15 | 北京安天网络安全技术有限公司 | 一种终端异常判定方法、系统、存储介质及电子设备 |
| CN116760644B (zh) * | 2023-08-21 | 2023-10-27 | 北京安天网络安全技术有限公司 | 一种终端异常判定方法、系统、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113364799B (zh) | 2022-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11405419B2 (en) | Preventing advanced persistent threat attack | |
| CN113364799B (zh) | 一种网络威胁行为的处理方法和系统 | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| US6405318B1 (en) | Intrusion detection system | |
| Punithavathani et al. | Surveillance of anomaly and misuse in critical networks to counter insider threats using computational intelligence | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
| Thuraisingham et al. | Data mining for security applications | |
| JP2018194880A (ja) | 情報処理装置、不正活動分類方法および不正活動分類用プログラム | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| US11916945B2 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
| KR20220081145A (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| KR20050095147A (ko) | 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법 | |
| Ahmed | Intrusion detection system: A survey and taxonomy | |
| Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
| Nakazato et al. | 4-3 A Suspicious Process Analysis in Cooperation with End Hosts | |
| CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 | |
| Khanday et al. | Intrusion Detection Systems for Trending Cyberattacks | |
| Rustamovna | HONEYPOTS IN NETWORK SECURITY | |
| Palekar et al. | Complete Study Of Intrusion Detection System | |
| Karie et al. | Cybersecurity Incident Response in the Enterprise | |
| Ovchinin et al. | HOW TO ENSURE THE INFORMATION SECURITY BY USING AUTOMATED SECURITY TOOLS AT THE ENTERPRISE | |
| Pereira | Using ML Models to Detect Malicious Traffic: Testing ML Models |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |