CN113411288A - 设备安全的检测方法、装置和存储介质 - Google Patents
设备安全的检测方法、装置和存储介质 Download PDFInfo
- Publication number
- CN113411288A CN113411288A CN202010184642.7A CN202010184642A CN113411288A CN 113411288 A CN113411288 A CN 113411288A CN 202010184642 A CN202010184642 A CN 202010184642A CN 113411288 A CN113411288 A CN 113411288A
- Authority
- CN
- China
- Prior art keywords
- attack
- attacker
- address
- security
- attacked
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims description 15
- 238000004891 communication Methods 0.000 claims abstract description 44
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000004590 computer program Methods 0.000 claims description 11
- 230000001010 compromised effect Effects 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 16
- 238000009434 installation Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000004519 manufacturing process Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 4
- 230000006378 damage Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000011835 investigation Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提出一种设备安全的检测方法、装置和存储介质,涉及网络安全领域。本公开实施例通过获取一个或多个安全事件的攻击元数据,包括源IP地址、目的IP地址、通信方向、攻击方向、攻击阶段,根据通信方向并结合源IP地址和目的IP地址,确定待处置设备,根据攻击方向判断待处置设备是攻击者还是被攻击者,根据攻击者或被攻击者的判断结果和攻击阶段,确定待处置设备是否被攻陷,从而准确检测设备的安全状态。
Description
技术领域
本公开涉及网络安全领域,特别涉及一种设备安全的检测方法、装置和存储介质。
背景技术
在对攻击者行为进行监控和感知时,通常会发现攻击者以某种方式尝试攻击主机、控制主机或窃取有价值的数据。在这个过程中,通过一些系统或工具可以发现攻击行为。但是,单独依靠这些攻击行为无法确认主机是否已经被攻陷。
发明内容
本公开实施例提出一种设备安全的检测方案,通过获取一个或多个安全事件的攻击元数据,包括源IP地址、目的IP地址、通信方向、攻击方向、攻击阶段,根据通信方向并结合源IP地址和目的IP地址,确定待处置设备,根据攻击方向判断待处置设备是攻击者还是被攻击者,根据攻击者或被攻击者的判断结果和攻击阶段,确定待处置设备是否被攻陷,从而准确检测设备的安全状态。
本公开实施例提出一种设备安全的检测方法,包括:
获取一个或多个安全事件的攻击元数据,包括源IP地址、目的IP地址、通信方向、攻击方向、攻击阶段;
根据所述通信方向,并结合所述源IP地址和所述目的IP地址,确定待处置设备;
根据所述攻击方向,判断所述待处置设备是攻击者还是被攻击者;
根据攻击者或被攻击者的判断结果和所述攻击阶段,确定所述待处置设备是否被攻陷。
在一些实施例中,所述确定待处置设备包括:
若安全事件的通信方向为内网向外网通信,则将安全事件的源IP地址对应的设备确定为待处置设备;
若安全事件的通信方向为外网向内网通信,则将安全事件的目的IP地址对应的设备确定为待处置设备;
若安全事件的通信方向为内网向内网通信,则将安全事件的源IP地址对应的设备和目的IP地址对应的设备均确定为待处置设备。
在一些实施例中,判断所述待处置设备是攻击者还是被攻击者包括:
若所述攻击方向是攻击,则所述待处置设备是攻击者;
若所述攻击方向是被攻击,则所述待处置设备是被攻击者。
在一些实施例中,确定所述待处置设备是否被攻陷包括:
若所述待处置设备是攻击者,确定所述待处置设备被攻陷;
若所述待处置设备是被攻击者,若安全事件的攻击阶段在设置的攻陷位之后,确定所述待处置设备被攻陷;
若所述待处置设备是被攻击者,若安全事件的攻击阶段在设置的攻陷位之前,确定所述待处置设备受到攻击但未被攻陷。
在一些实施例中,所述确定所述待处置设备是否被攻陷包括:
根据攻击者或被攻击者的判断结果和所述攻击阶段,并结合安全事件所属攻击链的完整度,确定所述待处置设备是否被攻陷。
在一些实施例中,所述确定所述待处置设备是否被攻陷包括:
若所述待处置设备是攻击者,确定所述待处置设备被攻陷;
若所述待处置设备是被攻击者,如果安全事件所属攻击链中的各个安全事件存在超过预设数量的不同攻击阶段、且级别最高的攻击阶段超过设置的攻陷位,确定所述待处置设备被攻陷;
若所述待处置设备是被攻击者,如果安全事件所属攻击链中的各个安全事件存在不超过预设数量的不同攻击阶段、或级别最高的攻击阶段未超过设置的攻陷位,确定所述待处置设备受到攻击但未被攻陷。
在一些实施例中,攻击链保存在攻击链模型库,所述攻击链模型库的形成方法包括:
建立各个安全事件与攻击阶段的对应关系;
建立各个安全事件之间的关联关系;
根据各个安全事件与攻击阶段的对应关系和各个安全事件之间的关联关系形成多个攻击链,所述多个攻击链构成攻击链模型库。
本公开一些实施例提出一种设备安全的检测装置包括:
获取模块,被配置为获取一个或多个安全事件的攻击元数据,包括源IP地址、目的IP地址、通信方向、攻击方向、攻击阶段;
设备确定模块,被配置为根据所述通信方向,并结合所述源IP地址和所述目的IP地址,确定待处置设备;
判断模块,被配置为根据所述攻击方向,判断所述待处置设备是攻击者还是被攻击者;
安全确定模块,被配置为根据攻击者或被攻击者的判断结果和所述攻击阶段,确定所述待处置设备是否被攻陷。
在一些实施例中,所述安全确定模块,还被配置为根据攻击者或被攻击者的判断结果和所述攻击阶段,并结合安全事件所属攻击链的完整度,确定所述待处置设备是否被攻陷。
本公开一些实施例提出一种设备安全的检测装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行任一个实施例所述的设备安全的检测方法。
本公开一些实施例提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一个实施例所述的设备安全的检测方法的步骤。
附图说明
下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述,可以更加清楚地理解本公开,
显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一些实施例的设备安全的检测方法的流程示意图。
图2为本公开另一些实施例的设备安全的检测方法的流程示意图。
图3为本公开一些实施例的攻击链模型库的形成方法的流程示意图。
图4为本公开一些实施例的各个安全事件与攻击阶段的对应关系示意图。
图5为本公开一些实施例的各个安全事件之间的关联关系示意图。
图6为本公开一些实施例的攻击链模型库示意图。
图7为本公开一些实施例的设备安全的检测装置的结构示意图。
图8为本公开一些实施例的设备安全的检测装置的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。
图1为本公开一些实施例的设备安全的检测方法的流程示意图。如图1所示,该实施例的方法包括:
步骤110,获取一个或多个安全事件的攻击元数据,包括源IP(InternetProtocol,网际互连协议)地址(设为SIP)、目的IP地址(设为DIP)、通信方向、攻击方向、攻击阶段。
例如,从安全事件的告警信息中获取该安全事件的攻击元数据,安全事件的告警信息通常记录有安全事件的各项攻击元数据。
其中,安全事件的通信方向例如包括内网向外网通信、外网向内网通信、内网向内网通信等。通信方向可以根据源IP地址和目的IP地址确定。例如,如果源IP地址是内网地址,目的IP地址是外网IP地址,则通信方向是内网向外网通信;如果源IP地址是外网地址,目的IP地址是内网IP地址,则通信方向是外网向内网通信;如果源IP地址是内网地址,目的IP地址是内网IP地址,则通信方向是内网向内网通信。
其中,攻击方向例如包括攻击和被攻击等,用来确定待处置设备是攻击者还是被攻击者。
其中,攻击阶段例如包括侦查、制作工具、传送工具、触发和利用、安装工具、命令和控制、恶意活动等。其中,侦查、制作工具、传送工具、触发和利用属于攻陷前的阶段,安装工具、命令和控制、恶意活动属于攻陷后的阶段。其中,侦查例如可以利用社会工程学侦查目标网络。制作工具例如制作渗透攻击目标网络的攻击工具。安装工具例如是利用目标系统的应用程序或系统漏洞,在目标系统触发攻击工具运行。恶意行为是执行攻击行为。
步骤120,根据通信方向,并结合源IP地址和目的IP地址,确定待处置设备。
确定待处置设备的方法包括:
步骤121,判断安全事件的通信方向;
步骤122,若安全事件的通信方向为内网向外网通信,则提取安全事件的源IP地址,并将安全事件的源IP地址对应的设备确定为待处置设备;
步骤123,若安全事件的通信方向为外网向内网通信,则提取安全事件的目的IP地址,并将安全事件的目的IP地址对应的设备确定为待处置设备;
步骤124,若安全事件的通信方向为内网向内网通信,则提取安全事件的源IP地址和目的IP地址,将安全事件的源IP地址对应的设备和目的IP地址对应的设备均确定为待处置设备。
步骤130,根据攻击方向,判断待处置设备是攻击者还是被攻击者,若攻击方向是攻击,则待处置设备是攻击者,若攻击方向是被攻击,则待处置设备是被攻击者。
针对待处置设备是源IP地址对应的设备的情况:
步骤131,若待处置设备是源IP地址对应的设备,进一步判断攻击方向;
步骤132a,若攻击方向是攻击,则源IP地址对应的设备是攻击者;
步骤132b,若攻击方向是被攻击,则源IP地址对应的设备是被攻击者。
针对待处置设备是目的IP地址对应的设备的情况:
步骤133,若待处置设备是目的IP地址对应的设备,进一步判断攻击方向;
步骤134a,若攻击方向是攻击,则目的IP地址对应的设备是攻击者;
步骤134b,若攻击方向是被攻击,则目的IP地址对应的设备是被攻击者。
步骤140,根据攻击者或被攻击者的判断结果和攻击阶段,确定待处置设备是否被攻陷。
确定待处置设备是否被攻陷的方法包括:若待处置设备是攻击者,确定待处置设备被攻陷,可标记为失陷设备(141);若待处置设备是被攻击者,判断安全事件的攻击阶段与设置的攻陷位的关系(142);若安全事件的攻击阶段在设置的攻陷位之后,确定待处置设备被攻陷,可标记为失陷设备(141);若待处置设备是被攻击者,若安全事件的攻击阶段在设置的攻陷位之前,确定待处置设备受到攻击但未被攻陷,可标记为受攻击设备(143)。
例如,在一个安全事件中,源IP地址为内网设备A,目的IP地址为内网设备B,攻击方向为内网设备A为攻击者,内网设备B为被攻击者,则可以认定内网设备A为可疑的失陷设备。又例如,在一个安全事件中,源IP地址为内网设备A,目的IP地址为内网设备B,攻击方向为内网设备B为攻击者,则可以认定设备B为可疑的失陷设备。又例如,在一个安全事件中,源IP地址为外网主机C,目的IP地址为内网设备D,攻击方向为外网主机C为攻击者,攻击阶段为“探测扫描”阶段(在攻陷位“触发和利用”之前),则可认定内网设备D不是可疑的失陷设备。又例如,在一个安全事件中,源IP地址为外网主机C,目的IP地址为内网设备D,攻击方向为外网主机C为攻击者,攻击阶段为“恶意活动”阶段(在攻陷位“触发和利用”之后),则可认定内网设备D是可疑的失陷设备。
上述实施例,通过获取一个或多个安全事件的攻击元数据,包括源IP地址、目的IP地址、通信方向、攻击方向、攻击阶段,根据通信方向并结合源IP地址和目的IP地址,确定待处置设备,根据攻击方向判断待处置设备是攻击者还是被攻击者,根据攻击者或被攻击者的判断结果和攻击阶段,确定待处置设备是否被攻陷,从而准确检测设备的安全状态。
图2为本公开另一些实施例的设备安全的检测方法的流程示意图。如图2所示,该实施例的方法包括:
步骤210,获取一个或多个安全事件的攻击元数据,包括源IP地址、目的IP地址、通信方向、攻击方向、攻击阶段。
步骤220,根据通信方向,并结合源IP地址和目的IP地址,确定待处置设备。
步骤230,根据攻击方向,判断待处置设备是攻击者还是被攻击者,若攻击方向是攻击,则待处置设备是攻击者,若攻击方向是被攻击,则待处置设备是被攻击者。
其中,步骤210-230的具体实现方法可以参考步骤110-130,这里不再赘述。
步骤240,根据攻击者或被攻击者的判断结果和攻击阶段,并结合安全事件所属攻击链的完整度,确定待处置设备是否被攻陷。
假设攻击阶段包括侦查、制作工具、传送工具、触发和利用、安装工具、命令和控制、恶意活动等7个阶段,各个阶段分别用1-7表示。例如,{1,2,3,4,5,6}就是一个完整度高的攻击链,而攻击链{1,3,4,5,6}的完整度相对低一些,攻击链{7}的完整度就非常低了。
将攻击链的完整度纳入到攻陷规则中,当攻击链的完整度很低时,即时攻击链中存在第七阶段的安全事件,也不表示该设备被攻陷了。在一些实施例中,攻陷规则可定义为:攻击链中存在高于高危攻击阶段阈值的安全事件且各安全事件至少存在一定数量的攻击阶段。例如,攻陷规则为:主机的攻击链中至少有2个攻击阶段的安全事件,且最高的攻击阶段高于第四阶段。
在一些实施例,确定待处置设备是否被攻陷的方法包括:若待处置设备是攻击者,确定待处置设备被攻陷;若待处置设备是被攻击者,如果安全事件所属攻击链中的各个安全事件存在超过预设数量的不同攻击阶段、且级别最高的攻击阶段超过设置的攻陷位,确定待处置设备被攻陷;若待处置设备是被攻击者,如果安全事件所属攻击链中的各个安全事件存在不超过预设数量的不同攻击阶段、或级别最高的攻击阶段未超过设置的攻陷位,确定待处置设备受到攻击但未被攻陷。
其中,攻击链保存在攻击链模型库,攻击链模型库可以预先形成。后面会描述攻击链模型库的形成方法。
上述实施例,将攻击链的完整度纳入到攻陷规则中,可以更准确地检测设备的安全状态,例如,当攻击链的完整度很低时,即时攻击链中存在攻陷位之后的高危攻击阶段的安全事件,也不表示该设备被攻陷了。
图3为本公开一些实施例的攻击链模型库的形成方法的流程示意图。如图3所示,该实施例的方法包括:
步骤310,建立各个安全事件与攻击阶段的对应关系。
下面列举一些攻击阶段与安全事件的对应关系的示例,但并不限定这些安全事件。
如图4所示,攻击阶段“侦查”相应的安全事件例如包括端口扫描、漏洞扫描、web爆破、系统爆破等;攻击阶段“制作工具”相应的安全事件例如包括病毒、蠕虫;攻击阶段“传送工具”相应的安全事件例如包括跨站脚本(XSS,Cross Site Scripting)、移动存储、蠕虫传播;攻击阶段“触发和利用”相应的安全事件例如包括泛洪(flood)、远程漏洞利用、本地漏洞利用、web爆破登录、系统爆破登录;攻击阶段“安装工具”相应的安全事件例如包括上传下载webshell(网页后门)、上传下载安装木马、上传下载植入后门;攻击阶段“命令和控制”相应的安全事件例如包括挑战黑洞(Challenge Collapsar,CC)、远程登录、系统提权;攻击阶段“恶意活动”相应的安全事件例如包括窃取、破坏、篡改等。
步骤320,建立各个安全事件之间的关联关系。
下面列举一些各个安全事件之间的关联关系的示例,但并不限定这些示例。
如图5所示,以分布式拒绝服务(DDoS,Distributed Denial of Service)攻击模式为例,端口扫描、泛洪、挑战黑洞等安全事件之间具有关联关系;再以web入侵攻击模式为例,漏洞扫描、远程/本地漏洞利用、远程登录等安全事件之间具有关联关系。图5中的其他安全事件之间的关联关系示例利用连线表示,这里不再一一赘述。
在一些实施例中,可以基于攻击(Attack)模型建立各个安全事件之间的关联关系。攻击模型包括“攻击策略”(Tactics)、“攻击技术”(Techniques)和“攻击流程”(Procedures)。通过各项“攻击技术”及其关系,可以清晰地展现攻击者是如何一步一步实现某个“攻击策略”的。“攻击技术”定义了为了实现某个“攻击策略”所采用的技术。“攻击流程”定义了某个“攻击技术”的具体实现流程。将安全防护设备的安全事件的具体特征内容与攻击模型的“攻击流程”进行比较和匹配,以确定该安全事件对应的“攻击技术”,根据“攻击策略”所包含的各项“攻击技术”,以及每项“攻击技术”对应的安全事件,将属于同一“攻击策略”的各项“攻击技术”对应的安全事件依次关联起来。
步骤330,根据各个安全事件与攻击阶段的对应关系和各个安全事件之间的关联关系形成多个攻击链,多个攻击链构成攻击链模型库。
具有关联关系的不同攻击阶段的多个安全事件可构成一条攻击链,通常能够对设备造成一定的危害,例如,数据不可用、数据泄露、数据破坏等。
如图6所示,示出了多个攻击链,以及多个攻击链构成的攻击链模型库。攻击链模型库记录了每个攻击链涉及的各个安全事件、各个安全事件的关联关系,每个安全事件所处的攻击阶段等,还可以标注攻击模式、造成的危害、涉及的客体等信息。其中,攻击阶段例如包括侦查、制作工具、传送工具、触发和利用、安装工具、命令和控制、恶意活动等。攻陷位设置在“触发和利用”,即,侦查、制作工具、传送工具、触发和利用属于攻陷前的阶段,安装工具、命令和控制、恶意活动属于攻陷后的阶段。例如,具有关联关系的且处于不同攻击阶段的端口扫描(侦查阶段)、泛洪(触发和利用阶段)、挑战黑洞(命令和控制)等安全事件构成一条攻击链。图6中的具有关联关系的且处于不同攻击阶段的安全事件构成的其他攻击链,请参考图6,这里不再一一赘述。
基于形成的攻击链模型库,在图2所示的设备安全的检测方法中,根据各个安全事件所属的攻击链是否存在预设数量的攻击阶段,以及最高的攻击阶段是否超过预设的攻陷位(如第四阶段),来确定攻击链的完整度,结合攻击链的完整度可以更准确地确定待处置设备是否被攻陷。
上述实施例,提供了一种攻击链模型库的形成方法,基于攻击链模型库,可以确定安全事件所属攻击链的完整度,从而为确定待处置设备是否被攻陷提供支撑。
图7为本公开一些实施例的设备安全的检测装置的结构示意图。如图7所示,该实施例的检测装置700包括:
获取模块710,被配置为获取一个或多个安全事件的攻击元数据,包括源IP地址、目的IP地址、通信方向、攻击方向、攻击阶段;
设备确定模块720,被配置为根据通信方向,并结合源IP地址和目的IP地址,确定待处置设备;
判断模块730,被配置为根据攻击方向,判断待处置设备是攻击者还是被攻击者;
安全确定模块740,被配置为根据攻击者或被攻击者的判断结果和攻击阶段,确定待处置设备是否被攻陷。
在一些实施例中,安全确定模块740,还被配置为根据攻击者或被攻击者的判断结果和攻击阶段,并结合安全事件所属攻击链的完整度,确定待处置设备是否被攻陷。例如,若待处置设备是被攻击者,如果安全事件所属攻击链中的各个安全事件存在超过预设数量的不同攻击阶段、且级别最高的攻击阶段超过设置的攻陷位,确定待处置设备被攻陷;若待处置设备是被攻击者,如果安全事件所属攻击链中的各个安全事件存在不超过预设数量的不同攻击阶段、或级别最高的攻击阶段未超过设置的攻陷位,确定待处置设备受到攻击但未被攻陷。
图8为本公开一些实施例的设备安全的检测装置的结构示意图。如图8所示,该实施例的检测装置800包括:
如图8所示,该实施例的检测装置800包括:存储器810以及耦接至该存储器810的处理器820,处理器820被配置为基于存储在存储器810中的指令,执行前述任意一些实施例中的设备安全的检测方法。
其中,存储器810例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
检测装置800还可以包括输入输出接口830、网络接口840、存储接口850等。这些接口830,840,850以及存储器810和处理器820之间例如可以通过总线860连接。其中,输入输出接口830为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口840为各种联网设备提供连接接口。存储接口850为SD卡、U盘等外置存储设备提供连接接口。
本公开实施例还提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任意一些实施例中的设备安全的检测方法的步骤。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (11)
1.一种设备安全的检测方法,其特征在于,包括:
获取一个或多个安全事件的攻击元数据,包括源IP地址、目的IP地址、通信方向、攻击方向、攻击阶段;
根据所述通信方向,并结合所述源IP地址和所述目的IP地址,确定待处置设备;
根据所述攻击方向,判断所述待处置设备是攻击者还是被攻击者;
根据攻击者或被攻击者的判断结果和所述攻击阶段,确定所述待处置设备是否被攻陷。
2.根据权利要求1所述的方法,其特征在于,所述确定待处置设备包括:
若安全事件的通信方向为内网向外网通信,则将安全事件的源IP地址对应的设备确定为待处置设备;
若安全事件的通信方向为外网向内网通信,则将安全事件的目的IP地址对应的设备确定为待处置设备;
若安全事件的通信方向为内网向内网通信,则将安全事件的源IP地址对应的设备和目的IP地址对应的设备均确定为待处置设备。
3.根据权利要求1所述的方法,其特征在于,判断所述待处置设备是攻击者还是被攻击者包括:
若所述攻击方向是攻击,则所述待处置设备是攻击者;
若所述攻击方向是被攻击,则所述待处置设备是被攻击者。
4.根据权利要求1-3任一项所述的方法,其特征在于,确定所述待处置设备是否被攻陷包括:
若所述待处置设备是攻击者,确定所述待处置设备被攻陷;
若所述待处置设备是被攻击者,若安全事件的攻击阶段在设置的攻陷位之后,确定所述待处置设备被攻陷;
若所述待处置设备是被攻击者,若安全事件的攻击阶段在设置的攻陷位之前,确定所述待处置设备受到攻击但未被攻陷。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述确定所述待处置设备是否被攻陷包括:
根据攻击者或被攻击者的判断结果和所述攻击阶段,并结合安全事件所属攻击链的完整度,确定所述待处置设备是否被攻陷。
6.根据权利要求5所述的方法,其特征在于,所述确定所述待处置设备是否被攻陷包括:
若所述待处置设备是攻击者,确定所述待处置设备被攻陷;
若所述待处置设备是被攻击者,如果安全事件所属攻击链中的各个安全事件存在超过预设数量的不同攻击阶段、且级别最高的攻击阶段超过设置的攻陷位,确定所述待处置设备被攻陷;
若所述待处置设备是被攻击者,如果安全事件所属攻击链中的各个安全事件存在不超过预设数量的不同攻击阶段、或级别最高的攻击阶段未超过设置的攻陷位,确定所述待处置设备受到攻击但未被攻陷。
7.根据权利要求5所述的方法,其特征在于,攻击链保存在攻击链模型库,所述攻击链模型库的形成方法包括:
建立各个安全事件与攻击阶段的对应关系;
建立各个安全事件之间的关联关系;
根据各个安全事件与攻击阶段的对应关系和各个安全事件之间的关联关系形成多个攻击链,所述多个攻击链构成攻击链模型库。
8.一种设备安全的检测装置,其特征在于,包括:
获取模块,被配置为获取一个或多个安全事件的攻击元数据,包括源IP地址、目的IP地址、通信方向、攻击方向、攻击阶段;
设备确定模块,被配置为根据所述通信方向,并结合所述源IP地址和所述目的IP地址,确定待处置设备;
判断模块,被配置为根据所述攻击方向,判断所述待处置设备是攻击者还是被攻击者;
安全确定模块,被配置为根据攻击者或被攻击者的判断结果和所述攻击阶段,确定所述待处置设备是否被攻陷。
9.根据权利要求8所述的装置,其特征在于,所述安全确定模块,还被配置为根据攻击者或被攻击者的判断结果和所述攻击阶段,并结合安全事件所属攻击链的完整度,确定所述待处置设备是否被攻陷。
10.一种设备安全的检测装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-7中任一项所述的设备安全的检测方法。
11.一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-7中任一项所述的设备安全的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010184642.7A CN113411288A (zh) | 2020-03-17 | 2020-03-17 | 设备安全的检测方法、装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010184642.7A CN113411288A (zh) | 2020-03-17 | 2020-03-17 | 设备安全的检测方法、装置和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113411288A true CN113411288A (zh) | 2021-09-17 |
Family
ID=77677000
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010184642.7A Pending CN113411288A (zh) | 2020-03-17 | 2020-03-17 | 设备安全的检测方法、装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113411288A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116074067A (zh) * | 2022-12-29 | 2023-05-05 | 中国联合网络通信集团有限公司 | 设备的检查方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581180A (zh) * | 2013-10-28 | 2014-02-12 | 深信服网络科技(深圳)有限公司 | 根据攻击日志调整命中特征的方法和装置 |
| CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
| US20170366571A1 (en) * | 2016-06-21 | 2017-12-21 | Ntt Innovation Institute, Inc. | Asset protection apparatus, system and method |
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
| CN109660539A (zh) * | 2018-12-20 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
-
2020
- 2020-03-17 CN CN202010184642.7A patent/CN113411288A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581180A (zh) * | 2013-10-28 | 2014-02-12 | 深信服网络科技(深圳)有限公司 | 根据攻击日志调整命中特征的方法和装置 |
| US20170366571A1 (en) * | 2016-06-21 | 2017-12-21 | Ntt Innovation Institute, Inc. | Asset protection apparatus, system and method |
| CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
| CN109660539A (zh) * | 2018-12-20 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116074067A (zh) * | 2022-12-29 | 2023-05-05 | 中国联合网络通信集团有限公司 | 设备的检查方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN108259449B (zh) | 一种防御apt攻击的方法和系统 | |
| CN109660539B (zh) | 失陷设备识别方法、装置、电子设备及存储介质 | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| KR101057432B1 (ko) | 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체 | |
| Alata et al. | Lessons learned from the deployment of a high-interaction honeypot | |
| US9104872B2 (en) | Memory whitelisting | |
| CN108092948A (zh) | 一种网络攻击模式的识别方法和装置 | |
| CN107911355B (zh) | 一种基于攻击链的网站后门利用事件识别方法 | |
| CN110958257B (zh) | 一种内网渗透过程还原方法和系统 | |
| CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
| CN105024976A (zh) | 一种高级持续威胁攻击识别方法及装置 | |
| CN108200095B (zh) | 互联网边界安全策略脆弱性确定方法及装置 | |
| CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| Ajmal et al. | Last line of defense: Reliability through inducing cyber threat hunting with deception in scada networks | |
| CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
| CN112398829A (zh) | 一种电力系统的网络攻击模拟方法及系统 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN113411288A (zh) | 设备安全的检测方法、装置和存储介质 | |
| CN112702360A (zh) | 基于黑客行为的Linux系统入侵排查方法 | |
| Ahmad et al. | Detection and Analysis of Active Attacks using Honeypot | |
| US20110126285A1 (en) | Internet site security system and method thereto | |
| CN110661819A (zh) | 一种防ddos系统 | |
| Mahajan et al. | Performance analysis of honeypots against flooding attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210917 |
|
| RJ01 | Rejection of invention patent application after publication |