CN113746781A - 一种网络安全检测方法、装置、设备及可读存储介质 - Google Patents
一种网络安全检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113746781A CN113746781A CN202010466922.7A CN202010466922A CN113746781A CN 113746781 A CN113746781 A CN 113746781A CN 202010466922 A CN202010466922 A CN 202010466922A CN 113746781 A CN113746781 A CN 113746781A
- Authority
- CN
- China
- Prior art keywords
- file
- detection
- characteristic information
- access
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 208
- 238000000034 method Methods 0.000 claims abstract description 64
- 230000006399 behavior Effects 0.000 claims description 84
- 238000004458 analytical method Methods 0.000 claims description 52
- 244000035744 Hura crepitans Species 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 12
- 238000002347 injection Methods 0.000 claims description 8
- 239000007924 injection Substances 0.000 claims description 8
- 238000005422 blasting Methods 0.000 claims description 7
- 230000003068 static effect Effects 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 4
- 230000007123 defense Effects 0.000 abstract description 6
- 230000000694 effects Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000009172 bursting Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 241001377938 Yara Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000008485 antagonism Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络安全检测方法、装置、设备及可读存储介质。本申请公开的方法包括:获取当前网络对应的文件特征信息和流量特征信息;利用目标算法检测文件特征信息和流量特征信息,获得检测结果;根据检测结果生成检测逻辑和检测库,并按照检测逻辑和检测库进行网络安全防护。本申请实现了网络威胁的发现到处理的闭环流程,有效地提升了网络安全和防御能力。相应地,本申请提供的一种网络安全检测装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种网络安全检测方法、装置、设备及可读存储介质。
背景技术
目前,对于网络安全的检测停留于检测告警阶段,也就是在检测出现网络入侵等不安全事件后,仅针对不安全事件进行告警提示。此时技术人员短时间内不知道如何处理,导致不能及时修复网络,网络也可能没法抵御后续其他攻击,因此降低了网络安全,这样使得网络安全检测可能形同虚设。
因此,如何使网络安全检测发挥作用,提高网络安全,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种网络安全检测方法、装置、设备及可读存储介质,以使网络安全检测发挥作用,提高网络安全。其具体方案如下:
第一方面,本申请提供了一种网络安全检测方法,包括:
获取当前网络对应的文件特征信息和流量特征信息;
利用目标算法检测所述文件特征信息和所述流量特征信息,获得检测结果;
根据所述检测结果生成检测逻辑和检测库,并按照所述检测逻辑和所述检测库进行网络安全防护。
优选地,,所述获取文件特征信息和流量特征信息,包括:
利用蜜罐捕获访问当前网络时产生的访问日志和文件;
利用沙箱服务器分析所述文件,获得文件特征信息和分析日志;
解析所述访问日志和所述分析日志,获得流量特征信息。
优选地,所述利用蜜罐捕获访问当前网络时产生的访问日志和文件,包括:
利用代理服务器接收访问当前网络的请求;
将所述请求按照访问端口类型导流至不同类型的蜜罐;
利用所述不同类型的蜜罐捕获所述访问日志和所述文件。
优选地,所述利用沙箱服务器分析所述文件,获得文件特征信息和分析日志,包括:
利用所述沙箱服务器分析所述文件对应的文件属性和文件行为,获得所述文件特征信息;
其中,所述文件特征信息包括:文件属性特征和文件行为特征;所述文件属性特征包括:PE文件属性、注册表信息和互斥量;所述文件行为特征包括:定时任务、文件操作行为和文件注入行为;
根据分析过程中产生的日志记录生成所述分析日志。
优选地,所述解析所述访问日志和所述分析日志,获得流量特征信息,包括:
按照协议类型解析所述访问日志和所述分析日志,获得流量协议特征;所述流量协议特征包括:协议属性特征、IP、URL、端口和Domain;
提取所述访问日志和所述分析日志中的流量行为特征,所述流量行为特征包括:字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征;
所述流量特征信息包括所述流量协议特征和所述流量行为特征。
优选地,所述按照所述检测逻辑和所述检测库进行网络安全防护,包括:
若接收到访问请求,则提取所述访问请求包括的访问特征;
利用所述检测库检测所述访问特征是否包含恶意信息;所述检测库包括:爆破彩虹表、恶意域名库、恶意URL库、恶意文件库和恶意mutex库;
若是,则拦截所述访问请求。
优选地,所述按照所述检测逻辑和所述检测库进行网络安全防护,包括:
将所述检测逻辑和所述检测库传输至终端设备,以使所述终端设备在接收到访问请求后,提取所述访问请求包括的访问特征,利用所述检测库检测所述访问特征是否包含恶意信息;若是,则拦截所述访问请求。
优选地,所述利用目标算法检测所述文件特征信息和所述流量特征信息,获得检测结果之后,还包括:
接收还原访问过程的请求;
根据所述请求提取所述检测结果中的流量行为特征和文件行为特征;
按照所述流量行为特征和所述文件行为特征还原访问过程。
第二方面,本申请提供了一种网络安全检测装置,包括:
获取模块,用于获取当前网络对应的文件特征信息和流量特征信息;
检测模块,用于利用目标算法检测所述文件特征信息和所述流量特征信息,获得检测结果;
安全防护模块,用于根据所述检测结果生成检测逻辑和检测库,并按照所述检测逻辑和所述检测库进行网络安全防护。
优选地,获取模块包括:
捕获单元,用于利用蜜罐捕获访问当前网络时产生的访问日志和文件;
文件分析单元,用于利用沙箱服务器分析所述文件,获得文件特征信息和分析日志;
日志分析单元,用于解析所述访问日志和所述分析日志,获得流量特征信息;
第三方面,本申请提供了一种网络安全检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的网络安全检测方法。
第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的网络安全检测方法。
通过以上方案可知,本申请提供了一种网络安全检测方法,包括获取当前网络对应的文件特征信息和流量特征信息;利用目标算法检测所述文件特征信息和所述流量特征信息,获得检测结果;根据所述检测结果生成检测逻辑和检测库,并按照所述检测逻辑和所述检测库进行网络安全防护。
可见,该方法获取当前网络对应的文件特征信息和流量特征信息后,利用目标算法检测文件特征信息和流量特征信息,获得检测结果,最后根据检测结果生成检测逻辑和检测库,从而可按照检测逻辑和检测库进行网络安全防护。本申请对于网络对应的文件特征信息和流量特征信息进行检测后,生成检测结果,然后根据检测结果生成检测逻辑和检测库,从而可按照检测逻辑和检测库实时处理网络中的不安全事件,实现了网络威胁的发现到处理的闭环流程,有效地提升了网络安全和防御能力。
相应地,本申请提供的一种网络安全检测装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的第一种网络安全检测方法流程图;
图2为本申请公开的第二种网络安全检测方法流程图;
图3为本申请公开的第三种网络安全检测方法流程图;
图4为本申请公开的一种网络安全检测装置示意图;
图5为本申请公开的一种网络安全检测设备示意图;
图6为本申请公开的另一种网络安全检测设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,对于网络安全的检测停留于检测告警阶段,也就是在检测出现网络入侵等不安全事件后,仅针对不安全事件进行告警提示。此时技术人员短时间内不知道如何处理,导致不能及时修复网络,网络也可能没法抵御后续其他攻击,因此降低了网络安全,这样使得网络安全检测可能形同虚设。为此,本申请提供了一种网络安全检测方案,能够使网络安全检测发挥作用,提高网络安全。
参见图1所示,本申请实施例公开了第一种网络安全检测方法,包括:
S101、获取当前网络对应的文件特征信息和流量特征信息。
其中,文件特征信息包括:文件属性特征和文件行为特征;文件属性特征包括:PE文件属性、注册表信息和互斥量;文件行为特征包括:定时任务、文件操作行为和文件注入行为等。流量行为特征包括:字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征;流量特征信息包括流量协议特征和流量行为特征等。文件特征信息和流量特征信息一般可利用蜜罐捕获,或从系统日志中提取。
S102、利用目标算法检测文件特征信息和流量特征信息,获得检测结果。
在本实施例中,目标算法可以为行为模型匹配算法、文件图匹配算法、域名匹配算法或URL匹配算法等。
S103、根据检测结果生成检测逻辑和检测库,并按照检测逻辑和所述检测库进行网络安全防护。
其中,检测库包括:爆破彩虹表、恶意域名库、恶意URL库、恶意文件库和恶意mutex库。
在一种具体实施方式中,按照检测逻辑和检测库进行网络安全防护,包括:若接收到访问请求,则提取访问请求包括的访问特征;利用检测库检测访问特征是否包含恶意信息;若是,则拦截访问请求。
在一种具体实施方式中,按照检测逻辑和检测库进行网络安全防护,包括:将检测逻辑和检测库传输至终端设备,以使终端设备在接收到访问请求后,提取访问请求包括的访问特征,利用检测库检测访问特征是否包含恶意信息;若是,则拦截访问请求。
在一种具体实施方式中,利用目标算法检测文件特征信息和流量特征信息,获得检测结果之后,还包括:接收还原访问过程的请求;根据请求提取检测结果中的流量行为特征和文件行为特征;按照流量行为特征和文件行为特征还原访问过程。还原访问过程有利于进行入侵事件溯源。
可见,本申请实施例对于网络对应的文件特征信息和流量特征信息进行检测后,生成检测结果,然后根据检测结果生成检测逻辑和检测库,从而可按照检测逻辑和检测库实时处理网络中的不安全事件,实现了网络威胁的发现到处理的闭环流程,有效地提升了网络安全和防御能力。
参见图2所示,本申请实施例公开了第二种网络安全检测方法,包括:
S201、利用蜜罐捕获访问当前网络时产生的访问日志和文件。
在一种具体实施方式中,利用蜜罐捕获访问当前网络时产生的访问日志和文件,包括:利用代理服务器接收访问当前网络的请求;将请求按照访问端口类型导流至不同类型的蜜罐;利用不同类型的蜜罐捕获访问日志和文件。
具体的,在外网配置代理服务器,将不同类型的蜜罐中部署的蜜罐业务映射到外网,将代理服务器的IP和端口暴露在外网。代理服务器决定哪些业务可以映射外网,供攻击者扫描或入侵。
不同类型的蜜罐请参见表1。
表1
S202、利用沙箱服务器分析文件,获得文件特征信息和分析日志。
在一种具体实施方式中,利用沙箱服务器分析文件,获得文件特征信息和分析日志,包括:利用沙箱服务器分析文件对应的文件属性和文件行为,获得文件特征信息;根据分析过程中产生的日志记录生成分析日志。其中,文件特征信息包括:文件属性特征和文件行为特征;文件属性特征包括:PE文件属性、注册表信息和互斥量;文件行为特征包括:定时任务、文件操作行为和文件注入行为。
具体的,在蜜罐捕获到访问日志和文件后,定时将文件传输至沙箱服务器进行分析。沙箱服务器接收到文件后,将文件加密压缩并保存。待沙箱服务器中的检测进程有空闲时,利用空闲的检测进程检测文件,提取出文件的文件属性特征和文件行为特征。
S203、解析访问日志和分析日志,获得流量特征信息。
在一种具体实施方式中,解析访问日志和分析日志,获得流量特征信息,包括:按照协议类型解析访问日志和分析日志,获得流量协议特征;流量协议特征包括:协议属性特征、IP、URL、端口和Domain;提取访问日志和分析日志中的流量行为特征,流量行为特征包括:字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征;流量特征信息包括流量协议特征和流量行为特征。
具体的,协议类型一般包括:TCP、DNS、HTTP、加密隧道等。提取流量特征信息时,可按照访问请求的先后顺序执行。其中,提取流量协议特征的具体过程包括:判断是否发起DNS请求、是否发起加密隧道请求、是否发起HTTP请求、是否发起TCP连接请求等。若发起DNS请求,则提取DNS访问的域名domain;若发起加密隧道请求,则记录加密隧道使用的协议;若发起HTTP请求,则记录访问的URL连接;若发起TCP连接请求,则记录TCP访问连接的源IP源端口,目的IP目的端口。协议属性特征包括:协议的次数、频率等;记录这些信息,并保存完整的交互流量信息。
流量行为特征是否异常的判定过程包括:domain被标识为黑属性;URL被标识为恶意;目的IP或者源IP被标识为恶意;对流量特征进行IDS、IPS检测,若存在横向爆破(如:DDOS攻击,SSH快速/慢速爆破等)或漏洞,则判定存在入侵行为。漏洞可利用SNORT规则或WAF规则进行检测。
若字符串特征中存在挖矿关键字,爆破关键字,病毒家族关键字等恶意字符串,或存在挖矿的矿场地址、各类数字货币地址等,则判定存在恶意行为。
文件操作特征包括:文件的名称、创建的文件路径、文件的MD5值;文件的静态检测结果;文件PE结构包含的特殊字符串等。
注册表特征包括:启动项创建等。若存在启动项创建行为或修改敏感配置项行为,则记录获取键路径和值。
进程特征包括:注入行为特征、对抗行为特征、加密行为特征、系统遍历行为特征、删除文件行为特征等。若存在注入行为特征或对抗行为特征,则记录调用函数及其参数。若存在加密行为特征或系统遍历行为特征或删除文件行为特征,则记录调用函数及其参数及频次。
S204、利用目标算法检测文件特征信息和流量特征信息,获得检测结果。
在本实施例中,目标算法可以为行为模型匹配算法、文件图匹配算法、域名匹配算法或URL匹配算法。其中,可以预先建立包含恶意URL、恶意域名、恶意文件、恶意文件等恶意信息的数据库,利用该数据库对文件特征信息和流量特征信息进行检测和匹配,以确定文件特征信息和流量特征信息是否恶意,若恶意,则可以进一步确定其恶意程度。将文件特征信息和流量特征信息是否恶意、恶意程度等相关信息确定为检测结果并存储。检测结果中也包括失陷指标。
S205、根据检测结果生成检测逻辑和检测库,并按照检测逻辑和检测库进行网络安全防护。
其中,检测库包括:爆破彩虹表、恶意域名库、恶意URL库、恶意文件库和恶意mutex库。
需要说明的是,文件特征信息和流量特征信息包括的恶意信息所处的设备均可看作失陷指标IOC(Indicator Of Compromise)。失陷指标通常指入侵指示器、失陷指标、失陷指示器等。其作为识别是否已经遭受恶意攻击的重要参照特征数据,通常包括主机活动中出现的文件、进程、注册表键值、系统服务以及网络上可观察到的域名、URL、IP等。
检测逻辑具体为:将访问特征与检测库进行对比;若检测库中存在访问特征,则确定访问特征包含恶意信息;若检测库中不存在访问特征,则确定访问特征不包含恶意信息。
可见,本申请实施例对于网络对应的文件特征信息和流量特征信息进行检测后,生成检测结果,然后根据检测结果生成检测逻辑和检测库,从而可按照检测逻辑和检测库实时处理网络中的不安全事件,实现了网络威胁的发现到处理的闭环流程,有效地提升了网络安全和防御能力。
下面对本申请实施例提供的一种网络安全检测方案进行介绍,下文描述的一种网络安全检测方案与上文描述的一种网络安全检测方法可以相互参照。
请参见图3,图3为本实施例提供的网络安全检测方法流程图。图3所示的流程大致可分为:蜜罐业务模块、沙箱分析模块、日志分析模块和输出模块。
具体的,蜜罐业务模块用于利用代理服务器导流访问请求至不同蜜罐,并利用蜜罐捕获日志、文件等信息。沙箱分析模块用于分析文件,同时生成分析日志。日志分析模块用于分析蜜罐捕获的日志和生成的分析日志。输出模块用于输出检测规则(即检测逻辑)给各个安全设备,以使各个安全设备根据检测规则进行安全防护。
其中,若访问请求访问蜜罐时需要用户名和密码,那么可以在蜜罐中设置登录次数上限。即:不管用户名或密码是否正确,只要尝试登录次数超过登录次数上限,则允许访问请求访问蜜罐。如此可以增加可分析的数据量,更好的捕获“入侵成功”的相关信息。
蜜罐业务模块利用蜜罐技术(Honeypot)实现。蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
在本实施例中,可以在内网或外网部署适配于业务场景的蜜罐,利用虚拟机或者docker服务器保证蜜罐正常工作。蜜罐不直接提供外网访问服务。当访问暴露的蜜罐业务时,代理服务器将访问请求通过不同类型的端口传输给对应的蜜罐进行处理。蜜罐检测到访问请求时,记录访问过程相关的信息,记录的信息包括登录的用户名和密码,注册表操作,创建服务,创建定时任务,落盘的文件及网络流量信息等。
其中,不同类型的蜜罐捕获的内容及作用可参见表2。
表2
捕获的内容 | 描述 |
网络流量 | 流量回溯 |
用户名和密码 | 可用于构建攻击者的爆破彩虹表 |
文件 | 收集入侵者下载的落盘文件和内容文件 |
命令行 | 收集入侵者执行的命令行 |
进程行为 | 入侵者遗留下的攻击工具的行为详细分析 |
沙箱服务器接收到蜜罐发送的文件后,将文件加密压缩并保存。待沙箱服务器中的检测进程有空闲时,利用空闲的检测进程检测文件,提取出文件的文件属性特征和文件行为特征。文件属性特征如:PE文件属性:节区信息、PE头信息、字符串信息;注册表信息:创建服务注册表、启动项相关注册表、系统信息相关注册表等;文件运行时创建的互斥量。文件行为特征如:定时任务文件;文件操作:文件创建、删除等;文件运行时释放的流量信息;系统敏感API记录:进程注入行为、修改内存属性行为、提权行为等。若待检测的样本检测完毕,则关闭检测进程,并以日志方式输出检测结果。
日志分析模块按照协议类型解析访问日志和分析日志,获得协议属性特征、IP、URL、端口和Domain等流量协议特征(即图2中的协议分析过程)。并从中提取字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征等流量行为特征(即图2中的特性分析过程)。流量协议特征即图2中的协议行为,流量行为特征即图2中的特性行为。
输出模块以协议行为和特性行为为基础,确定各个特征是否恶意,并生成相应的IOC情报、检测库、检测逻辑(即检测规则,如yara、snort等)等信息。其中,检测库包括:爆破彩虹表、恶意域名库、恶意URL库、恶意文件库和恶意mutex库。具体的,将检测出的恶意域名更新至恶意域名库;将恶意URL更新至恶意URL库;将恶意的文件的MD5、SHA-1或SHA256更新至恶意文件库;将恶意软件的mutex更新至恶意mutex库。更新过程中,若检测库已存在相关信息,则不用再录入更新,以免重复。当然,还可以将文件使用的API关联到ATT&CK矩阵中,建立攻击手法TTPS进行保存。
可见,本实施例利用蜜罐实时捕获信息,并能够根据这些信息生成安全设备可读的检测规则,可使安全设备实时处理网络中的不安全事件,实现了网络威胁的发现到处理的闭环流程,有效地提升了网络安全和防御能力。
下面对本申请实施例提供的一种网络安全检测装置进行介绍,下文描述的一种网络安全检测装置与上文描述的一种网络安全检测方法可以相互参照。
参见图4所示,本申请实施例公开了一种网络安全检测装置,包括:
获取模块401,用于获取当前网络对应的文件特征信息和流量特征信息;
检测模块402,用于利用目标算法检测文件特征信息和流量特征信息,获得检测结果;
安全防护模块403,用于根据检测结果生成检测逻辑和检测库,并按照检测逻辑和检测库进行网络安全防护。
在一种具体实施方式中,获取模块包括:
捕获单元,用于利用蜜罐捕获访问当前网络时产生的访问日志和文件;
文件分析单元,用于利用沙箱服务器分析所述文件,获得文件特征信息和分析日志;
日志分析单元,用于解析所述访问日志和所述分析日志,获得流量特征信息;
在一种具体实施方式中,捕获单元包括:
接收子单元,用于利用代理服务器接收访问当前网络的请求;
分流子单元,用于将请求按照访问端口类型导流至不同类型的蜜罐;
捕获子单元,用于利用不同类型的蜜罐捕获访问日志和文件。
在一种具体实施方式中,文件分析单元包括:
沙箱分析子单元,用于利用沙箱服务器分析文件对应的文件属性和文件行为,获得文件特征信息;
其中,文件特征信息包括:文件属性特征和文件行为特征;文件属性特征包括:PE文件属性、注册表信息和互斥量;文件行为特征包括:定时任务、文件操作行为和文件注入行为;
生成子单元,用于根据分析过程中产生的日志记录生成分析日志。
在一种具体实施方式中,日志分析单元包括:
协议解析子单元,用于按照协议类型解析访问日志和分析日志,获得流量协议特征;流量协议特征包括:协议属性特征、IP、URL、端口和Domain;
流量解析子单元,用于提取访问日志和分析日志中的流量行为特征,流量行为特征包括:字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征;流量特征信息包括流量协议特征和流量行为特征。
在一种具体实施方式中,安全防护模块包括:
提取单元,用于若接收到访问请求,则提取访问请求包括的访问特征;
检测单元,用于利用检测库检测访问特征是否包含恶意信息;检测库包括:爆破彩虹表、恶意域名库、恶意URL库、恶意文件库和恶意mutex库;
拦截单元,用于若访问特征包含恶意信息,则拦截访问请求。
在一种具体实施方式中,安全防护模块具体用于:
将检测逻辑和检测库传输至终端设备,以使终端设备在接收到访问请求后,提取访问请求包括的访问特征,利用检测库检测访问特征是否包含恶意信息;若是,则拦截访问请求。
在一种具体实施方式中,还包括:
接收模块,用于接收还原访问过程的请求;
提取模块,用于根据请求提取检测结果中的流量行为特征和文件行为特征;
还原模块,用于按照流量行为特征和文件行为特征还原访问过程。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种网络安全检测装置,该装置可以实时处理网络中的不安全事件,实现了网络威胁的发现到处理的闭环流程,有效地提升了网络安全和防御能力。
下面对本申请实施例提供的一种网络安全检测设备进行介绍,下文描述的一种网络安全检测设备与上文描述的一种网络安全检测方法及装置可以相互参照。
参见图5所示,本申请实施例公开了一种网络安全检测设备,包括:
存储器501,用于保存计算机程序;
处理器502,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
请参考图6,图6为本实施例提供的另一种网络安全检测设备示意图,该网络安全检测设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在网络安全检测设备301上执行存储介质330中的一系列指令操作。
网络安全检测设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
在图6中,应用程序342可以是执行网络安全检测方法的程序,数据344可以是执行网络安全检测方法所需的或产生的数据。
上文所描述的网络安全检测方法中的步骤可以由网络安全检测设备的结构实现。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种网络安全检测方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的网络安全检测方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种网络安全检测方法,其特征在于,包括:
获取当前网络对应的文件特征信息和流量特征信息;
利用目标算法检测所述文件特征信息和所述流量特征信息,获得检测结果;
根据所述检测结果生成检测逻辑和检测库,并按照所述检测逻辑和所述检测库进行网络安全防护。
2.根据权利要求1所述的网络安全检测方法,其特征在于,所述获取文件特征信息和流量特征信息,包括:
利用蜜罐捕获访问当前网络时产生的访问日志和文件;
利用沙箱服务器分析所述文件,获得文件特征信息和分析日志;
解析所述访问日志和所述分析日志,获得流量特征信息。
3.根据权利要求2所述的网络安全检测方法,其特征在于,所述利用蜜罐捕获访问当前网络时产生的访问日志和文件,包括:
利用代理服务器接收访问当前网络的请求;
将所述请求按照访问端口类型导流至不同类型的蜜罐;
利用所述不同类型的蜜罐捕获所述访问日志和所述文件。
4.根据权利要求2所述的网络安全检测方法,其特征在于,所述利用沙箱服务器分析所述文件,获得文件特征信息和分析日志,包括:
利用所述沙箱服务器分析所述文件对应的文件属性和文件行为,获得所述文件特征信息;
其中,所述文件特征信息包括:文件属性特征和文件行为特征;所述文件属性特征包括:PE文件属性、注册表信息和互斥量;所述文件行为特征包括:定时任务、文件操作行为和文件注入行为;
根据分析过程中产生的日志记录生成所述分析日志。
5.根据权利要求2所述的网络安全检测方法,其特征在于,所述解析所述访问日志和所述分析日志,获得流量特征信息,包括:
按照协议类型解析所述访问日志和所述分析日志,获得流量协议特征;所述流量协议特征包括:协议属性特征、IP、URL、端口和Domain;
提取所述访问日志和所述分析日志中的流量行为特征,所述流量行为特征包括:字符串特征、内存特征、进程特征、文件操作特征、注册表特征和静态特征;
所述流量特征信息包括所述流量协议特征和所述流量行为特征。
6.根据权利要求1至5任一项所述的网络安全检测方法,其特征在于,所述按照所述检测逻辑和所述检测库进行网络安全防护,包括:
若接收到访问请求,则提取所述访问请求包括的访问特征;利用所述检测库检测所述访问特征是否包含恶意信息;所述检测库包括:爆破彩虹表、恶意域名库、恶意URL库、恶意文件库和恶意mutex库;若是,则拦截所述访问请求;
或
将所述检测逻辑和所述检测库传输至终端设备,以使所述终端设备在接收到访问请求后,提取所述访问请求包括的访问特征,利用所述检测库检测所述访问特征是否包含恶意信息;若是,则拦截所述访问请求。
7.根据权利要求1至5任一项所述的网络安全检测方法,其特征在于,所述利用目标算法检测所述文件特征信息和所述流量特征信息,获得检测结果之后,还包括:
接收还原访问过程的请求;
根据所述请求提取所述检测结果中的流量行为特征和文件行为特征;
按照所述流量行为特征和所述文件行为特征还原访问过程。
8.一种网络安全检测装置,其特征在于,包括:
获取模块,用于获取当前网络对应的文件特征信息和流量特征信息;
检测模块,用于利用目标算法检测所述文件特征信息和所述流量特征信息,获得检测结果;
安全防护模块,用于根据所述检测结果生成检测逻辑和检测库,并按照所述检测逻辑和所述检测库进行网络安全防护。
9.一种网络安全检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的网络安全检测方法。
10.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络安全检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010466922.7A CN113746781A (zh) | 2020-05-28 | 2020-05-28 | 一种网络安全检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010466922.7A CN113746781A (zh) | 2020-05-28 | 2020-05-28 | 一种网络安全检测方法、装置、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113746781A true CN113746781A (zh) | 2021-12-03 |
Family
ID=78724125
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010466922.7A Pending CN113746781A (zh) | 2020-05-28 | 2020-05-28 | 一种网络安全检测方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113746781A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113992628A (zh) * | 2021-12-30 | 2022-01-28 | 北京华云安信息技术有限公司 | 域名爆破测试方法、装置、设备以及计算机可读存储介质 |
CN114254320A (zh) * | 2021-12-16 | 2022-03-29 | 安天科技集团股份有限公司 | 网络攻击回溯方法、装置、计算机设备及存储介质 |
CN115277477A (zh) * | 2022-07-24 | 2022-11-01 | 杭州迪普科技股份有限公司 | 基于简单对象访问协议的流量检测方法及装置 |
CN117150453A (zh) * | 2023-11-01 | 2023-12-01 | 建信金融科技有限责任公司 | 网络应用检测方法、装置、设备、存储介质及程序产品 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
CN107835201A (zh) * | 2017-12-14 | 2018-03-23 | 华中师范大学 | 网络攻击检测方法及装置 |
CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
WO2019035120A1 (en) * | 2017-08-14 | 2019-02-21 | Cyberbit Ltd. | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS |
CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
CN110830470A (zh) * | 2019-11-06 | 2020-02-21 | 浙江军盾信息科技有限公司 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
-
2020
- 2020-05-28 CN CN202010466922.7A patent/CN113746781A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
WO2019035120A1 (en) * | 2017-08-14 | 2019-02-21 | Cyberbit Ltd. | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS |
CN107835201A (zh) * | 2017-12-14 | 2018-03-23 | 华中师范大学 | 网络攻击检测方法及装置 |
CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
CN110830470A (zh) * | 2019-11-06 | 2020-02-21 | 浙江军盾信息科技有限公司 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114254320A (zh) * | 2021-12-16 | 2022-03-29 | 安天科技集团股份有限公司 | 网络攻击回溯方法、装置、计算机设备及存储介质 |
CN113992628A (zh) * | 2021-12-30 | 2022-01-28 | 北京华云安信息技术有限公司 | 域名爆破测试方法、装置、设备以及计算机可读存储介质 |
CN115277477A (zh) * | 2022-07-24 | 2022-11-01 | 杭州迪普科技股份有限公司 | 基于简单对象访问协议的流量检测方法及装置 |
CN115277477B (zh) * | 2022-07-24 | 2024-03-01 | 杭州迪普科技股份有限公司 | 基于简单对象访问协议的流量检测方法及装置 |
CN117150453A (zh) * | 2023-11-01 | 2023-12-01 | 建信金融科技有限责任公司 | 网络应用检测方法、装置、设备、存储介质及程序产品 |
CN117150453B (zh) * | 2023-11-01 | 2024-02-02 | 建信金融科技有限责任公司 | 网络应用检测方法、装置、设备、存储介质及程序产品 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108259449B (zh) | 一种防御apt攻击的方法和系统 | |
CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
Wang et al. | Automatically Traceback RDP‐Based Targeted Ransomware Attacks | |
CN111756759B (zh) | 一种网络攻击溯源方法、装置及设备 | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
WO2016186975A1 (en) | Detection of sql injection attacks | |
US12069076B2 (en) | System and method for detecting and classifying malware | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
CN107579997A (zh) | 无线网络入侵检测系统 | |
CN110602032A (zh) | 攻击识别方法及设备 | |
CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
CN110099044A (zh) | 云主机安全检测系统及方法 | |
CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
Wang et al. | RansomTracer: exploiting cyber deception for ransomware tracing | |
CN113992386A (zh) | 一种防御能力的评估方法、装置、存储介质及电子设备 | |
CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
US10645107B2 (en) | System and method for detecting and classifying malware | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN113608907B (zh) | 数据库审计方法、装置、设备、系统及存储介质 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211203 |
|
RJ01 | Rejection of invention patent application after publication |