CN113591072A - 攻击事件处理方法、装置、设备及存储介质 - Google Patents
攻击事件处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113591072A CN113591072A CN202110495982.6A CN202110495982A CN113591072A CN 113591072 A CN113591072 A CN 113591072A CN 202110495982 A CN202110495982 A CN 202110495982A CN 113591072 A CN113591072 A CN 113591072A
- Authority
- CN
- China
- Prior art keywords
- access request
- target access
- attack event
- target
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 22
- 238000003860 storage Methods 0.000 title claims abstract description 17
- 238000012545 processing Methods 0.000 claims abstract description 114
- 238000012544 monitoring process Methods 0.000 claims abstract description 103
- 238000001914 filtration Methods 0.000 claims abstract description 75
- 230000004044 response Effects 0.000 claims abstract description 48
- 238000012795 verification Methods 0.000 claims abstract description 44
- 238000000034 method Methods 0.000 claims abstract description 35
- 230000008569 process Effects 0.000 claims abstract description 13
- 238000001514 detection method Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000002790 cross-validation Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000004321 preservation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000011269 treatment regimen Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种攻击事件处理方法、装置、设备及存储介质。方法包括:在接收到指向目标服务器的目标访问请求时,检测目标访问请求是否为满足二次验证条件的攻击事件;若是,则将目标访问事件发送至目标服务器中的监控内核中,并实时监控监控内核对目标访问请求的响应结果;根据响应结果,生成与目标访问请求匹配的过滤处理策略,并按照过滤处理策略,对目标访问请求进行处理;其中,目标服务器设置有独立的监控内核和系统内核,系统内核用于响应正常访问请求,监控内核用于响应满足二次验证条件的攻击事件。本发明实施例的方案可以准确地确定攻击事件,并对攻击事件进行处理,提升了工业互联网的安全性,减少了工业互联网被攻击的概率。
Description
技术领域
本发明实施例涉及工业互联网技术领域,尤其涉及一种攻击事件处理方法、装置、设备及存储介质。
背景技术
随着科学技术的不断发展,工业互联网得到了迅猛的发展。工业互联网可以极大地提高生产效率以及管理效率。
在工业互联网极大地提高生产效率以及管理效率的同时,工业互联网面临的安全问题也越来越复杂,工业互联网面临的安全挑战也日益凸显,成为制约工业互联网发展的关键问题。
如何提升工业互联网的安全问题,减少工业互联网被攻击事件的攻击是业内关注的重点问题。
发明内容
本发明实施例提供一种攻击事件处理方法、装置、设备及存储介质,以提升工业互联网的安全性,减少工业互联网被攻击的概率。
第一方面,本发明实施例提供了一种攻击事件处理方法,应用于工业互联网,包括:
在接收到指向目标服务器的目标访问请求时,检测所述目标访问请求是否为满足二次验证条件的攻击事件;
若是,则将所述目标访问事件发送至所述目标服务器中的监控内核中,并实时监控所述监控内核对所述目标访问请求的响应结果;
根据所述响应结果,生成与所述目标访问请求匹配的过滤处理策略,并按照所述过滤处理策略,对所述目标访问请求进行处理;
其中,所述目标服务器设置有独立的监控内核和系统内核,所述系统内核用于响应正常访问请求,所述监控内核用于响应满足二次验证条件的攻击事件。
第二方面,本发明实施例还提供了一种攻击事件处理装置,应用于工业互联网,包括:
攻击事件检测模块,用于在接收到指向目标服务器的目标访问请求时,检测所述目标访问请求是否为满足二次验证条件的攻击事件;
响应结果监控模块,用于若是,则将所述目标访问事件发送至所述目标服务器中的监控内核中,并实时监控所述监控内核对所述目标访问请求的响应结果;
过滤处理策略生成模块,用于根据所述响应结果,生成与所述目标访问请求匹配的过滤处理策略,并按照所述过滤处理策略,对所述目标访问请求进行处理;
其中,所述目标服务器设置有独立的监控内核和系统内核,所述系统内核用于响应正常访问请求,所述监控内核用于响应满足二次验证条件的攻击事件。
第三方面,本发明实施例还提供了一种攻击事件处理设备,其特征在于,所述攻击事件处理设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明实施例中任一实施例所述的攻击事件处理方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明实施例中任一实施例所述的攻击事件处理方法。
本发明实施例的方案,在接收到指向目标服务器的目标访问请求时,检测目标访问请求是否为满足二次验证条件的攻击事件;若是,则将目标访问事件发送至目标服务器中的监控内核中,并实时监控监控内核对目标访问请求的响应结果;根据响应结果,生成与目标访问请求匹配的过滤处理策略,并按照过滤处理策略,对目标访问请求进行处理;其中,目标服务器设置有独立的监控内核和系统内核,系统内核用于响应正常访问请求,监控内核用于响应满足二次验证条件的攻击事件,可以准确地确定攻击事件,并对攻击事件进行处理,提升了工业互联网的安全性,减少了工业互联网被攻击的概率。
附图说明
图1是本发明实施例一中的一种攻击事件处理方法的流程图;
图2是本发明实施例二中的一种攻击事件处理方法的流程图;
图3是本发明实施例二中的攻击事件处理系统的结构示意图;
图4是本发明实施例三中的一种攻击事件处理装置的结构示意图;
图5是本发明实施例四中的一种攻击事件处理设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明实施例作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明实施例,而非对本发明实施例的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明实施例相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种攻击事件处理方法的流程图,本实施例可适用于对工业互联网中的攻击事件进行拦截的情况,该方法可以由攻击事件处理装置来执行,该装置可以通过软件和/或硬件的方式实现,并集成在攻击事件处理设备中,在本实施例中攻击事件处理设备可以为计算机、服务器或者平板电脑等电子设备。具体的,参考图1,该方法具体包括如下步骤:
步骤110、在接收到指向目标服务器的目标访问请求时,检测目标访问请求是否为满足二次验证条件的攻击事件。
其中,目标服务器可以为任一本地服务器,也可以为云服务器,且目标服务器中可以集成多个服务,例如,人脸识别服务、数据查询服务或者数据处理服务等,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在接收到指向目标服务器的目标访问请求时,可以对目标访问请求进行检测,确定目标访问请求是否为满足二次验证条件的攻击事件。
在本实施例的一个可选实现方式中,在接收到指向目标服务器的目标访问请求时,可以获取目标访问请求中所包含的属性参数,确定各属性参数中是否包含与攻击事件匹配的属性参数,如果是,则确定目标访问请求为满足二次验证条件的攻击事件,否则为安全事件。
其中,目标访问请求中包含的属性参数可以为:请求访问目标服务器的请求方的互联网协议地址(Internet Protocol,IP)、目标服务器的IP地址或者访问请求的通信协议等,本实施例中对其不加以限定。
步骤120、若是,则将目标访问事件发送至目标服务器中的监控内核中,并实时监控监控内核对目标访问请求的响应结果。
其中,目标服务器设置有独立的监控内核和系统内核,系统内核用于响应正常访问请求,监控内核用于响应满足二次验证条件的攻击事件。
在本实施例的一个可选实现方式中,如果检测确定目标访问请求为满足二次验证条件的攻击事件,则将目标访问请求发送至目标服务器中的监控内核,并通过目标服务器中的监控内核对目标访问请求的响应结果进行实时监控。
需要说明的是,目标服务器中的监控内核是运行在独立系统级芯片(System onChip,SoC)上的一个系统内核,该内核具备网络通讯协议(Transmission ControlProtocol/Internet Protocol,TPC/IP)协议栈和网卡驱动,监控内核子系统具备通信子系统(与安全决策系统通信)、安全扫描子系统(扫描系统内核的系统调用表、进程列表、服务程序子进程、execve加载程序的历史记录等信息,并与白名单中的信息进行比对和完整性验证,发现非法篡改和运行)、安全恢复子系统(向系统内核下达指令,指示系统内核对篡改和非法运行进行恢复)。
步骤130、根据响应结果,生成与目标访问请求匹配的过滤处理策略,并按照过滤处理策略,对目标访问请求进行处理。
在本实施例的一个可选实现方式中,在通过目标服务器中的监控内核对目标访问请求的响应结果进行实时监控之后,可以进一步的根据监控内核监控到的响应结果,生成与目标访问请求匹配的过滤处理策略,并按照生成的过滤处理策略,对目标访问请求进行处理。
在本实施例的一个可选实现方式中,在通过目标服务器中的监控内核对目标访问请求的响应结果进行实时监控之后,如果确定响应结果中包含攻击事件,则生成与目标访问请求对应的过滤处理策略,并对目标访问请求进行过滤处理,并且后续再接收到目标访问请求时,可以直接通过防火墙对目标访问请求进行拦截处理。
在本实施例的另一个可选实现方式中,在通过目标服务器中的监控内核对目标访问请求的响应结果进行实时监控之后,如果确定响应结果中不包含攻击事件,则生成与目标访问请求对应的通过处理策略,并对目标访问请求进行通过处理,将其转发至目标服务器的系统内核,并且后续再接收到目标访问请求时,可以直接将目标访问请求发送至目标服务器的系统内核。
本实施例的方案,在接收到指向目标服务器的目标访问请求时,检测目标访问请求是否为满足二次验证条件的攻击事件;若是,则将目标访问事件发送至目标服务器中的监控内核中,并实时监控监控内核对目标访问请求的响应结果;根据响应结果,生成与目标访问请求匹配的过滤处理策略,并按照过滤处理策略,对目标访问请求进行处理;其中,目标服务器设置有独立的监控内核和系统内核,系统内核用于响应正常访问请求,监控内核用于响应满足二次验证条件的攻击事件,可以准确地确定攻击事件,并对攻击事件进行处理,提升了工业互联网的安全性,减少了工业互联网被攻击的概率。
实施例二
图2是本发明实施例二中的一种攻击事件处理方法的流程图,本实施例是对上述各技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图2所示,攻击事件处理方法可以包括如下步骤:
步骤210、在接收到指向目标服务器的目标访问请求时,检测目标访问请求是否为满足二次验证条件的攻击事件。
在本实施例的一个可选实现方式中,在接收到指向目标服务器的目标访问请求时,可以对目标访问请求进行分析,得到目标访问请求包含的至少一个属性参数;将各属性参数分别与攻击事件包含的参考属性参数进行比对,根据比对结果确定访问请求是否为满足二次验证条件的攻击事件。
示例性的,若对目标访问请求进行分析得到5个属性参数,则可以将这5个属性参数分别与攻击事件包含的参考属性参数进行比对,进而根据比对结果确定访问请求是否为满足二次验证条件的攻击事件。
进一步的,根据比对结果确定访问请求是否为满足二次验证条件的攻击事件,可以包括:当目标属性参数与任一参考属性参数满足一致性条件时,确定访问请求为满足二次验证条件的攻击事件,并上报目标访问请求。其中,目标属性参数可以为分析目标访问请求得到的各属性参数中的一个或多个,本实施例中对其不加以限定。
示例性的,在上述例子中,将解析目标访问请求得到的5个属性参数分别与攻击事件包含的参考属性进行比对之后,如果目标属性参数与攻击事件包含的任一参考属性参数相一致(例如,相似度大于设定阈值,其中设定阈值可以为0.8、0.9或者0.95等),则可以确定访问请求为满足二次验证条件的攻击事件,进一步的,可以对目标访问请求进行上报处理。
步骤220、如果目标访问请求为满足二次验证条件的攻击事件,则将目标访问事件发送至目标服务器中的监控内核中。
步骤230、对目标访问请求的内核调用表、与目标访问请求对应的至少一个服务子进程,或者各服务子进程的加载记录进行监控;并将监控数据与预设白名单进行比对,生成响应结果。
其中,预设白名单为不包含攻击事件的事件列表,每一个事件均与一个访问请求相匹配。
在本实施例的一个可选实现方式中,在将目标访问请求发送至目标服务器中的监控内核之后,可以进一步的对目标访问请求的内核调用表、与目标访问请求对应的至少一个服务子进程,或者各服务子进程的加载记录进行监控;进一步的,可以将监控得到的监控数据与预设白名单进行比对,从而生成与目标访问请求匹配的响应结果。
步骤240、根据响应结果,生成与目标访问请求匹配的过滤处理策略,并按照过滤处理策略,对目标访问请求进行处理。
在本实施例的一个可选实现方式中,根据响应结果,生成与目标访问请求匹配的过滤处理策略,可以包括:若监控数据与预设白名单的比对结果不满足一致性条件,则确定访问请求为攻击事件;则生成与目标访问请求匹配的过滤处理策略,并上报过滤处理策略至防火墙。
在本实施例的一个可选实现方式中,在将监控内核获取到的监控数据与预设白名单进行比对之后,如果确定监控数据与预设白名单不满足一致性条件(例如,相似度小于设定阈值),则可以确定访问请求为攻击事件,进而可以生成与访问请求匹配的过滤处理策略,并上报过滤处理策略至防火墙。
进一步的,可以在目标服务器的监控内核中删除目标访问请求。
在本实施例的一个可选实现方式中,在生成与目标访问请求匹配的过滤处理策略,并上报过滤处理策略至防火墙之后,还可以包括:响应于待发送至目标服务器的参考访问请求,将参考访问请求与过滤处理策略中的访问请求进行比对;若比对结果满足一致性条件,则通过防火墙拦截参考访问请求。
示例性的,在生成与目标访问请求匹配的过滤处理策略,并上报过滤处理策略至防火墙之后,在接收到指向目标服务器的参考访问请求之后,可以将参考访问请求与过滤处理策略中的访问请求进行比对;如果比对结果满足一致性条件,即参考访问请求与过滤处理策略中的访问请求的相似度大于设定阈值(例如,0.9或者0.85等),则可以直接通过防火墙拦截参考访问请求。
这样设置的好处在于,可以在后续接收到与目标访问请求相似的访问请求时,直接通过防火墙对目标访问请求进行拦截,处理效率较高。
在本实施例的另一个可选实现方式中,根据响应结果,生成与目标访问请求匹配的过滤处理策略,还可以包括:若监控数据与预设白名单的比对结果满足一致性条件,则确定访问请求为安全事件;则生成与目标访问请求匹配的过滤处理策略,并上报过滤处理策略至防火墙。
在本实施例的一个可选实现方式中,在将监控内核获取到的监控数据与预设白名单进行比对之后,如果确定监控数据与预设白名单满足一致性条件(例如,相似度大于设定阈值),则可以确定访问请求为安全事件,进而可以生成与访问请求匹配的过滤处理策略,并上报过滤处理策略至防火墙。进一步的,当下一次接收到与目标访问请求相似的访问请求之后,则防火墙不会对其进行拦截处理。
进一步的,可以将目标访问请求由监控内核转发至系统内核。
这样设置的好处在于,当接收到安全事件对应的访问请求时,可以直接将其进行转发处理,节省了访问请求的验证时间,提升了访问请求的处理效率。
本实施例的方案,在接收到指向目标服务器的目标访问请求时,可以对目标访问请求进行分析,得到目标访问请求包含的至少一个属性参数;将各属性参数分别与攻击事件包含的参考属性参数进行比对,根据比对结果确定访问请求是否为满足二次验证条件的攻击事件,可以快速地确定目标访问请求是否为满足二次验证条件的攻击事件,为后续生成与目标访问请求对应的过滤处理策略提供依据,为工业互联网的安全提供了保障。
为了使本领域技术人员更好地理解本实施例涉及到的攻击事件处理方法,图3是本发明实施例二中的一种攻击事件处理系统的结构示意图,参考图3,该系统包括:防火墙310、交换机320、流量分析系统330、攻击决策系统340、安全证据留存系统350、双内核可信服务器系统360及安全响应系统370。
其中,流量分析系统330,通过交换机的流量镜像口,以旁路方式接入网络,对交换机320上的南北向和东西向全流量进行分析,监听网络上的攻击事件,同时接入交换机320上划分的安全网络,通过安全网络向攻击决策系统340上报攻击事件。
双内核可信服务器系统的监控内核360(即上述实施例中涉及的设置在目标服务器的监控内核),负责监控服务器的常规内核、用户层关键组件和应用,监听服务器常规系统中的攻击事件,并通过单独的网卡A接入安全管理网络,通过安全网络向安全决策系统上报攻击事件。
双内核可信服务器系统的系统内核和用户层,通过单独的网卡B接入业务网络,运行常规业务程序并进行常规业务通信。
攻击决策系统340,接入安全管理网络,负责接收来自服务器监控内核360和流量分析系统330上报的攻击事件,对来自两个方向的攻击事件进行交叉验证,当两个方向的攻击事件形成交叉验证(即流量分析系统330发现一个攻击事件,且监控内核发现服务器常规系统中同一攻击事件),攻击决策系统340无需人工介入,自动触发过滤处理策略;具体的,1、通知安全证据留存系统350,通过安全网络收集并存储攻击事件细节;2、向安全团队发送攻击事件高级别警报;3、向防火墙310下发过滤处理策略过滤攻击流量;4、向监控内核360下发过滤处理策略,经监控内核360通知系统内核,由系统内核清理系统内的入侵程序并记录入侵程序到黑名单禁止后续加载等;5、进一步监听过滤处理策略效果,如交叉验证后的攻击事件消除,给该高级别报警打解除标记,如攻击事件依然存在,增加该攻击事件的警报级别。
安全证据留存系统350,由安全决策系统触发,根据安全决策系统下发的攻击事件证据表单收集来自服务器系统和流量分析系统的攻击事件证据并固化。
安全响应系统370,接收来自安全决策系统350发送的警报,供安全维护人员实时了解当前的攻击事件及告警。
现有工业互联网防护方案,很难深入到服务器系统甚至内核层面,缺乏服务器系统内核层面这样微观的安全事件发现与网络安全事件的交叉验证和联动机制。本发明实施例通过结合网络流量安全事件与服务器系统内核系统层面安全事件的联动机制,可以更多角度的发现安全事件,更准确的进行安全事件交叉验证,同时能在更多层面进行安全事件处理,消除影响,提升整体系统的安全性。
实施例三
图4是本发明实施例三中的一种攻击事件处理装置的结构示意图,该装置可以执行上述各实施例中涉及到的攻击事件处理方法。参照图4,该装置包括:攻击事件检测模块410、响应结果监控模块420及过滤处理策略生成模块430。
其中,攻击事件检测模块410,用于在接收到指向目标服务器的目标访问请求时,检测所述目标访问请求是否为满足二次验证条件的攻击事件;
响应结果监控模块420,用于若检测所述目标访问请求为满足二次验证条件的攻击事件,则将所述目标访问事件发送至所述目标服务器中的监控内核中,并实时监控所述监控内核对所述目标访问请求的响应结果;
过滤处理策略生成模块430,用于根据所述响应结果,生成与所述目标访问请求匹配的过滤处理策略,并按照所述过滤处理策略,对所述目标访问请求进行处理;
其中,所述目标服务器设置有独立的监控内核和系统内核,所述系统内核用于响应正常访问请求,所述监控内核用于响应满足二次验证条件的攻击事件。
本实施例的方案,通过攻击事件检测模块在接收到指向目标服务器的目标访问请求时,检测所述目标访问请求是否为满足二次验证条件的攻击事件;通过响应结果监控模块将所述目标访问事件发送至所述目标服务器中的监控内核中,并实时监控所述监控内核对所述目标访问请求的响应结果;通过过滤处理策略生成模块根据所述响应结果,生成与所述目标访问请求匹配的过滤处理策略,并按照所述过滤处理策略,对所述目标访问请求进行处理,可以准确地确定攻击事件,并对攻击事件进行处理,提升了工业互联网的安全性,减少了工业互联网被攻击的概率。
在本实施例的一个可选实现方式中,攻击事件检测模块410,具体用于对所述目标访问请求进行分析,得到所述目标访问请求包含的至少一个属性参数;
将各属性参数分别与所述攻击事件包含的参考属性参数进行比对,根据比对结果确定所述访问请求是否为满足二次验证条件的攻击事件;
所述属性参数包括下述至少一项:源互联网协议IP地址、目的IP地址、发包进程用户账户UID标记、发包进程文件标记、收包进程UID标记以及收包进程文件标记。
在本实施例的一个可选实现方式中,攻击事件检测模块,还具体用于当目标属性参数与任一所述参考属性参数满足一致性条件时,确定所述访问请求为满足二次验证条件的攻击事件,并上报所述目标访问请求。
在本实施例的一个可选实现方式中,响应结果监控模块420,具体用于对所述目标访问请求的内核调用表、与所述目标访问请求对应的至少一个服务子进程,或者各所述服务子进程的加载记录进行监控;
并将监控数据与预设白名单进行比对,生成响应结果。
在本实施例的一个可选实现方式中,过滤处理策略生成模块430,具体用于若监控数据与预设白名单的比对结果不满足一致性条件,则确定所述访问请求为攻击事件;
则生成与所述目标访问请求匹配的过滤处理策略,并上报所述过滤处理策略至防火墙;
过滤处理策略生成模块430,还具体用于在所述监控内核中删除所述目标访问请求。
在本实施例的一个可选实现方式中,攻击事件处理装置还包括:比对模块,用于响应于待发送至目标服务器的参考访问请求,将所述参考访问请求与所述过滤处理策略中的访问请求进行比对;
若比对结果满足一致性条件,则通过防火墙拦截所述参考访问请求。
在本实施例的一个可选实现方式中,过滤处理策略生成模块430,还具体用于若监控数据与预设白名单的比对结果满足一致性条件,则确定所述访问请求为安全事件;
则生成与所述目标访问请求匹配的过滤处理策略,并上报所述过滤处理策略至防火墙;
过滤处理策略生成模块430,还具体用于将所述目标访问请求由监控内核转发至所述系统内核。
本发明实施例所提供的攻击事件处理装置可执行本发明任意实施例所提供的攻击事件处理方法,具备执行方法相应的功能模块和有益效果。
实施例四
图5为本发明实施例四提供的一种攻击事件处理设备的结构示意图,如图5所示,该攻击事件处理设备包括处理器50、存储器51、输入装置52和输出装置53;攻击事件处理设备中处理器50的数量可以是一个或多个,图5中以一个处理器50为例;攻击事件处理设备中的处理器50、存储器51、输入装置52和输出装置53可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器51作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的攻击事件处理方法对应的程序指令/模块(例如,攻击事件处理装置中的攻击事件检测模块410、响应结果监控模块420及过滤处理策略生成模块430)。处理器50通过运行存储在存储器51中的软件程序、指令以及模块,从而执行攻击事件处理设备的各种功能应用以及数据处理,即实现上述的攻击事件处理方法。
存储器51可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器51可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器51可进一步包括相对于处理器50远程设置的存储器,这些远程存储器可以通过网络连接至攻击事件处理设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置52可用于接收输入的数字或字符信息,以及产生与攻击事件处理设备的用户设置以及功能控制有关的键信号输入。输出装置53可包括显示屏等显示设备。
实施例五
本发明实施例五还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种攻击事件处理方法,该方法包括:
在接收到指向目标服务器的目标访问请求时,检测所述目标访问请求是否为满足二次验证条件的攻击事件;
若是,则将所述目标访问事件发送至所述目标服务器中的监控内核中,并实时监控所述监控内核对所述目标访问请求的响应结果;
根据所述响应结果,生成与所述目标访问请求匹配的过滤处理策略,并按照所述过滤处理策略,对所述目标访问请求进行处理;
其中,所述目标服务器设置有独立的监控内核和系统内核,所述系统内核用于响应正常访问请求,所述监控内核用于响应满足二次验证条件的攻击事件。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的攻击事件处理方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述攻击事件处理装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种攻击事件处理方法,应用于工业互联网,其特征在于,包括:
在接收到指向目标服务器的目标访问请求时,检测所述目标访问请求是否为满足二次验证条件的攻击事件;
若是,则将所述目标访问事件发送至所述目标服务器中的监控内核中,并实时监控所述监控内核对所述目标访问请求的响应结果;
根据所述响应结果,生成与所述目标访问请求匹配的过滤处理策略,并按照所述过滤处理策略,对所述目标访问请求进行处理;
其中,所述目标服务器设置有独立的监控内核和系统内核,所述系统内核用于响应正常访问请求,所述监控内核用于响应满足二次验证条件的攻击事件。
2.根据权利要求1所述的方法,其特征在于,所述检测所述目标访问请求是否为满足二次验证条件的攻击事件,包括:
对所述目标访问请求进行分析,得到所述目标访问请求包含的至少一个属性参数;
将各属性参数分别与所述攻击事件包含的参考属性参数进行比对,根据比对结果确定所述访问请求是否为满足二次验证条件的攻击事件;
所述属性参数包括下述至少一项:源互联网协议IP地址、目的IP地址、发包进程用户账户UID标记、发包进程文件标记、收包进程UID标记以及收包进程文件标记。
3.根据权利要求2所述的方法,其特征在于,根据比对结果确定所述访问请求是否为满足二次验证条件的攻击事件,包括:
当目标属性参数与任一所述参考属性参数满足一致性条件时,确定所述访问请求为满足二次验证条件的攻击事件,并上报所述目标访问请求。
4.根据权利要求1所述的方法,其特征在于,所述实时监控所述监控内核对所述目标访问请求的响应结果,包括:
对所述目标访问请求的内核调用表、与所述目标访问请求对应的至少一个服务子进程,或者各所述服务子进程的加载记录进行监控;
并将监控数据与预设白名单进行比对,生成响应结果。
5.根据权利要求4所述的方法,其特征在于,所述根据所述响应结果,生成与所述目标访问请求匹配的过滤处理策略,包括:
若监控数据与预设白名单的比对结果不满足一致性条件,则确定所述访问请求为攻击事件;
则生成与所述目标访问请求匹配的过滤处理策略,并上报所述过滤处理策略至防火墙;
相应的,所述按照所述过滤处理策略,对所述目标访问请求进行处理,包括:
在所述监控内核中删除所述目标访问请求。
6.根据权利要求5所述的方法,其特征在于,在生成与所述目标访问请求匹配的过滤处理策略,并上报所述过滤处理策略至防火墙之后,还包括:
响应于待发送至目标服务器的参考访问请求,将所述参考访问请求与所述过滤处理策略中的访问请求进行比对;
若比对结果满足一致性条件,则通过防火墙拦截所述参考访问请求。
7.根据权利要求3所述的方法,其特征在于,所述根据所述响应结果,生成与所述目标访问请求匹配的过滤处理策略,包括:
若监控数据与预设白名单的比对结果满足一致性条件,则确定所述访问请求为安全事件;
则生成与所述目标访问请求匹配的过滤处理策略,并上报所述过滤处理策略至防火墙;
相应的,所述按照所述过滤处理策略,对所述目标访问请求进行处理,包括:
将所述目标访问请求由监控内核转发至所述系统内核。
8.一种攻击事件处理装置,应用于工业互联网,其特征在于,包括:
攻击事件检测模块,用于在接收到指向目标服务器的目标访问请求时,检测所述目标访问请求是否为满足二次验证条件的攻击事件;
响应结果监控模块,用于若检测所述目标访问请求为满足二次验证条件的攻击事件,则将所述目标访问事件发送至所述目标服务器中的监控内核中,并实时监控所述监控内核对所述目标访问请求的响应结果;
过滤处理策略生成模块,用于根据所述响应结果,生成与所述目标访问请求匹配的过滤处理策略,并按照所述过滤处理策略,对所述目标访问请求进行处理;
其中,所述目标服务器设置有独立的监控内核和系统内核,所述系统内核用于响应正常访问请求,所述监控内核用于响应满足二次验证条件的攻击事件。
9.一种攻击事件处理设备,其特征在于,所述攻击事件处理设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的攻击事件处理方法。
10.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一所述的攻击事件处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110495982.6A CN113591072A (zh) | 2021-05-07 | 2021-05-07 | 攻击事件处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110495982.6A CN113591072A (zh) | 2021-05-07 | 2021-05-07 | 攻击事件处理方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113591072A true CN113591072A (zh) | 2021-11-02 |
Family
ID=78243381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110495982.6A Pending CN113591072A (zh) | 2021-05-07 | 2021-05-07 | 攻击事件处理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113591072A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040172557A1 (en) * | 2002-08-20 | 2004-09-02 | Masayuki Nakae | Attack defending system and attack defending method |
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| CN108092940A (zh) * | 2016-11-23 | 2018-05-29 | 贵州白山云科技有限公司 | 一种dns的防护方法及相关设备 |
| CN110365712A (zh) * | 2019-08-22 | 2019-10-22 | 中国工商银行股份有限公司 | 一种分布式拒绝服务攻击的防御方法及系统 |
| CN111079135A (zh) * | 2019-11-27 | 2020-04-28 | 浪潮商用机器有限公司 | 一种内核访问方法、装置和介质 |
-
2021
- 2021-05-07 CN CN202110495982.6A patent/CN113591072A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040172557A1 (en) * | 2002-08-20 | 2004-09-02 | Masayuki Nakae | Attack defending system and attack defending method |
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| CN108092940A (zh) * | 2016-11-23 | 2018-05-29 | 贵州白山云科技有限公司 | 一种dns的防护方法及相关设备 |
| CN110365712A (zh) * | 2019-08-22 | 2019-10-22 | 中国工商银行股份有限公司 | 一种分布式拒绝服务攻击的防御方法及系统 |
| CN111079135A (zh) * | 2019-11-27 | 2020-04-28 | 浪潮商用机器有限公司 | 一种内核访问方法、装置和介质 |
Non-Patent Citations (1)
| Title |
|---|
| 李辉,刘洋: "《Python程序设计编程基础、Web开发及数据分析》", 30 November 2020, 机械工业出版社, pages: 297 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| KR20020062070A (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
| WO2021253899A1 (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
| CN112769833B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN113472772A (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| CN111212035A (zh) | 一种主机失陷确认及自动修复方法及基于此的系统 | |
| CN112784268A (zh) | 一种主机行为数据的分析方法、装置、设备及存储介质 | |
| CN108429746B (zh) | 一种面向云租户的隐私数据保护方法及系统 | |
| CN112333191A (zh) | 违规网络资产检测与访问阻断方法、装置、设备及介质 | |
| CN111786986A (zh) | 一种数控系统网络入侵防范系统及方法 | |
| CN114339767B (zh) | 一种信令检测方法、装置、电子设备及存储介质 | |
| CN112437070B (zh) | 一种基于操作生成树状态机完整性验证计算方法及系统 | |
| CN111447199A (zh) | 服务器的风险分析方法、服务器的风险分析装置及介质 | |
| CN116346442A (zh) | 基于威胁情报的威胁检测方法及装置 | |
| CN113591072A (zh) | 攻击事件处理方法、装置、设备及存储介质 | |
| CN112887288B (zh) | 基于互联网的电商平台入侵检测的前端计算机扫描系统 | |
| CN115208690A (zh) | 一种基于数据分类分级的筛查处理系统 | |
| CN113079148B (zh) | 一种工业互联网安全监测方法、装置、设备及储存介质 | |
| CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
| CN115174144A (zh) | 零信任网关自安全检测方法及装置 | |
| CN112769847A (zh) | 物联网设备的安全防护方法、装置、设备及存储介质 | |
| CN115499166B (zh) | 网络空间防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |