CN113965394A - 网络攻击信息获取方法、装置、计算机设备和介质 - Google Patents
网络攻击信息获取方法、装置、计算机设备和介质 Download PDFInfo
- Publication number
- CN113965394A CN113965394A CN202111255918.7A CN202111255918A CN113965394A CN 113965394 A CN113965394 A CN 113965394A CN 202111255918 A CN202111255918 A CN 202111255918A CN 113965394 A CN113965394 A CN 113965394A
- Authority
- CN
- China
- Prior art keywords
- program
- abnormal
- information
- edr
- network attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 230000002159 abnormal effect Effects 0.000 claims abstract description 197
- 238000001514 detection method Methods 0.000 claims description 25
- 230000008569 process Effects 0.000 claims description 16
- 230000002265 prevention Effects 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 2
- 230000000977 initiatory effect Effects 0.000 abstract description 10
- 230000006399 behavior Effects 0.000 description 21
- 230000006870 function Effects 0.000 description 14
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种网络攻击信息获取方法、装置、计算机设备和介质;其中,该方法包括:接收EDR管理中心发送的异常访问信息;根据异常访问信息获取发起网络攻击行为的异常程序的相关信息以及异常程序对应的文件;将相关信息以及文件上报至EDR管理中心,以供EDR管理中心将相关信息以及文件转发至网关,并通过网关展示相关信息以及文件。本公开实施例能够自动获取网络攻击信息,使得安服人员根据网络攻击信息能够直接进行取证,提高工作效率。
Description
技术领域
本公开涉及网络通信和网络安全领域,尤其涉及一种网络攻击信息获取方法、装置、计算机设备和介质。
背景技术
随着网络技术的快速发展,为了维护计算机通信网络的安全,网络安全技术必不可少。在实际应用中,由于网络攻击行为的频发常常会对系统的网络安全造成隐患。为了保障系统安全,获取网络攻击信息变得尤为重要。
现有技术中,通常是在网关发现网络攻击事件后,产生告警信息,由安服人员分析网关的告警信息,通过网际互连协议(Internet Protocol,简称IP)、端口等信息定位到具体的终端设备,然后通过远程协助或者物理接触的方式登录到终端,使用自备的工具软件,查看当前终端的所有网络信息,逐步排查直至定位到获取网络攻击信息,例如产生安全事件的可疑程序。
但是,上述方法中由于网络连接不稳定、终端部署区域人员出入受限以及终端移动设备接口受限等因素,安服人员不能第一时间操作或接触到终端,导致安服人员上机取证时,可疑程序可能已经处于失活状态,无法被定位。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种网络攻击信息获取方法、装置、计算机设备和介质。
第一方面,本公开提供了一种网络攻击信息获取方法,包括:
接收终端防护与响应系统EDR管理中心发送的异常访问信息;
根据所述异常访问信息获取发起网络攻击行为的异常程序的相关信息以及所述异常程序对应的文件;
将所述相关信息以及所述文件上报至所述EDR管理中心,以供所述EDR管理中心将所述相关信息以及所述文件转发至网关,并通过所述网关展示所述相关信息以及所述文件。
可选的,所述根据所述异常访问信息获取发起网络攻击行为的异常程序的相关信息以及所述异常程序对应的文件,包括:
根据所述异常访问信息确定发起网络攻击行为的异常程序的身份标识号ID;
根据所述异常程序的ID获取所述异常程序的相关信息以及所述异常程序对应的文件。
可选的,所述根据所述异常访问信息确定发起网络攻击行为的异常程序的ID,包括:
查询预设时间内已缓存的程序对应的ID以及域名解析记录,并根据所述已缓存的程序对应的ID以及域名解析记录确定所述异常程序的ID;
或者,查询当前的传输控制协议TCP连接与程序ID记录,并根据所述TCP连接与程序ID记录确定所述异常程序的ID。
可选的,所述根据所述异常程序的ID获取所述异常程序的相关信息以及所述异常程序对应的文件,包括:
将所述异常程序的ID发送至对应的操作系统的应用程序接口,以获取所述异常程序的相关信息;
对所述异常程序的相关信息进行解析,得到所述异常程序对应的文件所在的位置;
根据所述位置获取所述异常程序对应的文件。
可选的,所述异常访问信息由所述网关通过安全防护功能检测到后发送至所述EDR管理中心。
可选的,所述安全防护功能检测包括入侵防御系统检测、威胁情报检测以及统一资源定位系统检测中的至少一种。
可选的,所述异常程序的相关信息包括:所述异常程序的进程路径、所述异常程序的运行时间、所述异常程序的运行参数、所述异常程序的映像类型以及所述异常程序的父进程名称中的至少一种。
第二方面,本公开提供了一种网络攻击信息获取装置,包括:
接收模块,用于接收终端防护与响应系统EDR管理中心发送的异常访问信息;
获取模块,用于根据所述异常访问信息获取发起网络攻击行为的异常程序的相关信息以及所述异常程序对应的文件;
上报模块,用于将所述相关信息以及所述文件上报至所述EDR管理中心,以供所述EDR管理中心将所述相关信息以及所述文件转发至网关,并通过所述网关展示所述相关信息以及所述文件。
可选的,获取模块,包括:
确定单元,用于根据所述异常访问信息确定发起网络攻击行为的异常程序的身份标识号ID;
信息获取单元,用于根据所述异常程序的ID获取所述异常程序的相关信息以及所述异常程序对应的文件。
可选的,确定单元,具体用于:
查询预设时间内已缓存的程序对应的ID以及域名解析记录,并根据所述已缓存的程序对应的ID以及域名解析记录确定所述异常程序的ID;
或者,查询当前的传输控制协议TCP连接与程序ID记录,并根据所述TCP连接与程序ID记录确定所述异常程序的ID。
可选的,信息获取单元,具体用于:
将所述异常程序的ID发送至对应的操作系统的应用程序接口,以获取所述异常程序的相关信息;
对所述异常程序的相关信息进行解析,得到所述异常程序对应的文件所在的位置;
根据所述位置获取所述异常程序对应的文件。
可选的,所述异常访问信息由所述网关通过安全防护功能检测到后发送至所述EDR管理中心。
可选的,所述安全防护功能检测包括入侵防御系统检测、威胁情报检测以及统一资源定位系统检测中的至少一种。
可选的,所述异常程序的相关信息包括:所述异常程序的进程路径、所述异常程序的运行时间、所述异常程序的运行参数、所述异常程序的映像类型以及所述异常程序的父进程名称中的至少一种。
第三方面,本公开还提供了一种计算机设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本公开实施例中的任一种所述的网络攻击信息获取方法。
第四方面,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本公开实施例中的任一种所述的网络攻击信息获取方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:首先接收EDR管理中心发送的异常访问信息,然后根据异常访问信息获取发起网络攻击行为的异常程序的相关信息以及异常程序对应的文件,最后将相关信息以及文件上报至EDR管理中心,以供EDR管理中心将相关信息以及文件转发至网关,并通过网关展示相关信息以及文件,通过上述方法能够自动获取网络攻击信息,使得安服人员根据网络攻击信息能够直接进行取证,提高工作效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种网络攻击信息获取方法的流程示意图;
图2是本公开实施例提供的另一种网络攻击信息获取方法的流程示意图;
图3是本公开实施例提供的一种网络攻击信息获取装置的结构示意图;
图4是本公开实施例提供的一种计算机设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1是本公开实施例提供的一种网络攻击信息获取方法的流程示意图。本实施例可适用于对攻击终端的网络攻击信息进行获取的情况。本实施例方法可由网络攻击信息获取装置来执行,该装置可采用硬件/或软件的方式来实现,并可配置于计算机设备中。如图1所示,该方法具体包括如下:
S110,接收EDR管理中心发送的异常访问信息。
其中,终端防护与响应系统(Endpoint Detection and Response,简称EDR)可以理解为一种用于监视终端可疑活动的系统。EDR管理中心可以理解为一种能够与网关和EDR终端程序进行通信的服务器,主要用于转发网关发送的消息,以及接收EDR终端程序的消息,再上报至网关。网关可以理解为一种处理网络连接的设备,能够记录所有的网络连接信息、分析网络数据包以及鉴定网络连接是否为恶意等。EDR终端程序可以理解为网关检测到的疑似被恶意攻击的终端上的程序,该程序为部署在终端(例如电脑)上的应用,主要用于获取网络攻击信息。异常访问信息可以理解为终端中与异常访问有关的信息,例如,恶意域名的域名信息、恶意统一资源定位系统(Uniform Resource Locator,简称URL)的访问信息或者恶意IP事件的五元组信息等,五元组信息可以包括源IP地址,源端口,目的IP地址,目的端口和传输层协议。
需要说明的是,本公开实施例中的步骤是由EDR终端程序执行的。
现有技术中,网关和EDR一般部署在不同的网络区域,网关主要是对网络流量的检测,EDR主要是对终端活动的检测,但是随着网络安全攻防技术的升级,对于网络攻击信息的获取,需要从更多的维度进行操作,只依赖网关或EDR,可能会缺少网络攻击信息。因此,本公开实施例中通过网关和EDR联动的方式进行网络攻击信息的获取。
在进行网络攻击信息获取时,EDR终端程序先接收EDR管理中心发送的异常访问信息,以便后续根据异常访问信息获取发起网络攻击行为的异常程序的相关信息以及异常程序对应的文件。
S120,根据异常访问信息获取发起网络攻击行为的异常程序的相关信息以及异常程序对应的文件。
其中,异常程序的相关信息可以理解为异常程序对应的基本信息,它可以包括:异常程序的进程路径、异常程序的运行时间、异常程序的运行参数、异常程序的映像类型以及异常程序的父进程名称中的至少一种。还可以包括异常程序的名称等。异常程序对应的文件可以理解为异常程序的程序文件。
EDR终端程序接收到异常访问信息之后,根据异常访问信息,通过相应的外连目的IP和目的端口等,能够获取到发起网络攻击行为的异常程序的相关信息以及异常程序对应的文件,相当于EDR终端程序获取到了对应的网络攻击信息。
S130,将相关信息以及文件上报至EDR管理中心,以供EDR管理中心将相关信息以及文件转发至网关,并通过网关展示相关信息以及文件。
EDR终端程序在获取到异常程序的相关信息以及异常程序对应的文件之后,能够将该相关信息以及文件上报至EDR管理中心,然后EDR管理中心再将该相关信息以及文件转发至网关。网关会一直记录安全日志,并且安全日志有对应的安全日志ID,将安全日志ID与关联的异常程序的相关信息以及文件记录在对应的数据库中,并且网关能够通过界面展示与安全日志ID关联的异常程序的相关信息以及文件,以便安服人员能够根据网关展示的相关信息以及文件,即网络攻击信息直接进行取证,提高安服人员的事件判断效率,节省了安服人员到终端进行人工取证的时间。
示例性的,假设某工作人员误点击了钓鱼邮件,电脑被植入木马,木马运行回传数据时连接了恶意域名,此时通过本实施例中的方法,EDR终端程序会上报木马的恶意程序信息和木马对应的文件,从而安服人员能够及时对木马进行分析或者给出处置方案,提高工作效率。
示例性的,假设某工作人员由于失误操作使用浏览器主动访问了一个恶意域名,此时EDR终端程序上报的就是该浏览器的相关信息以及该浏览器对应的文件,但是经过安服人员的判断,能够确定该浏览器不是恶意程序,因此,根据网络攻击信息能够确定异常程序是否为恶意程序,避免误判的发生。
在本实施例中,首先接收EDR管理中心发送的异常访问信息,然后根据异常访问信息获取发起网络攻击行为的异常程序的相关信息以及异常程序对应的文件,最后将相关信息以及文件上报至EDR管理中心,以供EDR管理中心将相关信息以及文件转发至网关,并通过网关展示相关信息以及文件,通过上述方法能够自动获取网络攻击信息,使得安服人员根据网络攻击信息能够直接进行取证,提高工作效率。
在本实施例中,可选的,所述异常访问信息由所述网关通过安全防护功能检测到后发送至所述EDR管理中心。
本实施例中,网关和EDR终端程序之间无法直接进行通信,因此,由网关通过安全防护功能检测到异常访问信息后发送至EDR管理中心,异常访问信息中通常包含了对应的EDR终端的IP地址,便于EDR管理中心根据该IP地址将异常访问信息发送至对应的EDR终端程序,使得EDR终端程序能够自动获取网络攻击信息。同时,网关在发送异常访问信息时,还可以同时向EDR管理中心发送对应的安全日志ID。
在本实施例中,进一步的,所述安全防护功能检测包括入侵防御系统检测、威胁情报检测以及统一资源定位系统检测中的至少一种。
其中,入侵防御系统(Intrusion Prevention System,简称IPS)检测、威胁情报检测以及URL检测是网关中具备的一些安全防护功能检测,当然还可以有其他的安全防护功能检测,本实施例对此不作具体限制。
在本实施例中,可选的,网关和EDR管理中心通过建立联动连接后进行基于消息的通信。
其中,网关和EDR管理中心的联动连接方式可以为基于传输控制协议(Transmission Control Protocol,简称TCP)的连接,例如,超文本传输协议(HyperTextTransfer Protocol,简称HTTP)或者WebSocket协议等。
本实施例中,网关和EDR管理中心建立联动连接之后,能够便于后续EDR终端程序接收异常访问信息以及EDR终端程序将相关信息以及文件上报至EDR管理中心,EDR管理中心将相关信息以及文件转发至网关。
在本实施例中,可选的,异常访问信息的格式根据EDR管理中心的需求确定。
本实施例中,网关根据EDR管理中心的需求确定异常访问信息的格式,并按照该格式将异常访问信息发送至EDR管理中心,便于后续EDR管理中心能够识别该异常访问信息,并将该异常访问信息发送至对应的EDR终端程序。
在本实施例中,可选的,所述异常程序的相关信息包括:所述异常程序的进程路径、所述异常程序的运行时间、所述异常程序的运行参数、所述异常程序的映像类型以及所述异常程序的父进程名称中的至少一种。
本实施例中,通过上述异常程序的相关信息能够获取到异常程序对应的文件。
图2是本公开实施例提供的另一种网络攻击信息获取方法的流程示意图。本实施例是在上述实施例的基础上进行优化。可选的,本实施例对获取发起网络攻击行为的异常程序的相关信息以及异常程序对应的文件的过程进行详细的解释说明。如图2所示,该方法具体包括如下:
S210,接收EDR管理中心发送的异常访问信息。
S220,根据所述异常访问信息确定发起网络攻击行为的异常程序的ID。
其中,异常程序的身份标识号(Identity Document,简称ID)能够表征异常程序的身份信息。
EDR终端程序根据异常访问信息中的五元组信息或者域名信息,查询自身所属的EDR终端对应的网络连接记录能够确定出发起网络攻击行为的异常程序的ID。
S230,根据所述异常程序的ID获取异常程序的相关信息以及异常程序对应的文件。
EDR终端程序在确定了异常程序的ID之后,由于异常程序的ID与异常程序的相关信息以及异常程序对应的文件存在一定的对应关系,因此,根据该异常程序的ID能够获取到异常程序的相关信息以及异常程序对应的文件。
S240,将相关信息以及文件上报至EDR管理中心,以供EDR管理中心将相关信息以及文件转发至网关,并通过网关展示相关信息以及文件。
在本实施例中,首先接收EDR管理中心发送的异常访问信息,接着根据所述异常访问信息确定发起网络攻击行为的异常程序的ID,然后根据所述异常程序的ID获取异常程序的相关信息以及异常程序对应的文件,最后将相关信息以及文件上报至EDR管理中心,以供EDR管理中心将相关信息以及文件转发至网关,并通过网关展示相关信息以及文件,上述方法中通过先确定异常程序的ID,再根据异常程序的ID获取异常程序的相关信息以及异常程序对应的文件,使得获取的网络攻击信息更准确,同时,通过网关和EDR联动的方式,能够在网关检测到异常访问信息之后,自动获取到网络攻击信息,使得安服人员根据网络攻击信息能够直接进行取证,提高工作效率,节省时间。
在本实施例中,可选的,所述根据所述异常访问信息确定发起网络攻击行为的异常程序的ID,包括:
查询预设时间内已缓存的程序对应的ID以及域名解析记录,并根据所述已缓存的程序对应的ID以及域名解析记录确定所述异常程序的ID;
或者,查询当前的传输控制协议TCP连接与程序ID记录,并根据所述TCP连接与程序ID记录确定所述异常程序的ID。
其中,预设时间可以预先设定,也可以根据实际实际情况确定,本实施例不做具体限制。
具体的,异常访问信息中包括了恶意IP事件的五元组信息或者恶意域名的域名信息等,EDR终端程序根据恶意域名的域名信息,查询自身所属的EDR终端在预设时间内已缓存的程序对应的ID以及域名解析记录,根据已缓存的程序对应的ID以及域名解析记录,当查询到恶意域名的解析记录时,就能够确定出异常程序的ID;或者继续等待一段时间,然后查看是否存在恶意域名的解析;或者EDR终端程序根据恶意IP事件的五元组信息,查询自身所属的EDR终端当前的TCP连接与程序ID记录,根据TCP连接与程序ID记录,当查询到与恶意IP事件的五元组信息对应的异常TCP连接之后,就能够确定出异常程序的ID。
本实施例中,通过EDR终端程序自动确定发起网络攻击行为的异常程序的ID,能够提高工作效率,便于后续根据异常程序的ID获取异常程序的相关信息以及异常程序对应的文件。
在本实施例中,可选的,所述根据所述异常程序的ID获取所述异常程序的相关信息以及所述异常程序对应的文件,包括:
将所述异常程序的ID发送至对应的操作系统的应用程序接口,以获取所述异常程序的相关信息;
对所述异常程序的相关信息进行解析,得到所述异常程序对应的文件所在的位置;
根据所述位置获取所述异常程序对应的文件。
具体的,EDR终端程序在确定了异常程序的ID之后,将异常程序的ID发送至对应的操作系统的应用程序接口(Application Programming Interface,简称API),通过API能够获取异常程序的相关信息,然后EDR终端程序对异常程序的相关信息进行解析,能够得到异常程序对应的文件所在的位置,根据该位置就能够获取到异常程序对应的文件。同时,不再继续恶意域名或恶意IP事件的跟踪。
本实施例中,相比于现有技术中需要安服人员定位终端设备,并排查获取异常程序的相关信息以及异常程序对应的文件来说,通过上述方法获取异常程序的相关信息以及异常程序对应的文件更为准确,且能够提高工作效率,节省时间。
图3是本公开实施例提供的一种网络攻击信息获取装置的结构示意图;该装置配置于计算机设备中,可实现本申请任意实施例所述的网络攻击信息获取方法。该装置具体包括如下:
接收模块310,用于接收终端防护与响应系统EDR管理中心发送的异常访问信息;
获取模块320,用于根据所述异常访问信息获取发起网络攻击行为的异常程序的相关信息以及所述异常程序对应的文件;
上报模块330,用于将所述相关信息以及所述文件上报至所述EDR管理中心,以供所述EDR管理中心将所述相关信息以及所述文件转发至网关,并通过所述网关展示所述相关信息以及所述文件。
在本实施例中,可选的,获取模块320,包括:
确定单元,用于根据所述异常访问信息确定发起网络攻击行为的异常程序的身份标识号ID;
信息获取单元,用于根据所述异常程序的ID获取所述异常程序的相关信息以及所述异常程序对应的文件。
在本实施例中,可选的,确定单元,具体用于:
查询预设时间内已缓存的程序对应的ID以及域名解析记录,并根据所述已缓存的程序对应的ID以及域名解析记录确定所述异常程序的ID;
或者,查询当前的传输控制协议TCP连接与程序ID记录,并根据所述TCP连接与程序ID记录确定所述异常程序的ID。
在本实施例中,可选的,信息获取单元,具体用于:
将所述异常程序的ID发送至对应的操作系统的应用程序接口,以获取所述异常程序的相关信息;
对所述异常程序的相关信息进行解析,得到所述异常程序对应的文件所在的位置;
根据所述位置获取所述异常程序对应的文件。
在本实施例中,可选的,所述异常访问信息由所述网关通过安全防护功能检测到后发送至所述EDR管理中心。
在本实施例中,可选的,所述安全防护功能检测包括入侵防御系统检测、威胁情报检测以及统一资源定位系统检测中的至少一种。
在本实施例中,可选的,所述异常程序的相关信息包括:所述异常程序的进程路径、所述异常程序的运行时间、所述异常程序的运行参数、所述异常程序的映像类型以及所述异常程序的父进程名称中的至少一种。
通过本公开实施例提供的网络攻击信息获取装置,首先接收EDR管理中心发送的异常访问信息,然后根据异常访问信息获取发起网络攻击行为的异常程序的相关信息以及异常程序对应的文件,最后将相关信息以及文件上报至EDR管理中心,以供EDR管理中心将相关信息以及文件转发至网关,并通过网关展示相关信息以及文件,通过上述方法能够自动获取网络攻击信息,使得安服人员根据网络攻击信息能够直接进行取证,提高工作效率。
本公开实施例所提供的网络攻击信息获取装置可执行本公开任意实施例所提供的网络攻击信息获取方法,具备执行方法相应的功能模块和有益效果。
图4是本公开实施例提供的一种计算机设备的结构示意图。如图4所示,该计算机设备包括处理器410和存储装置420;计算机设备中处理器410的数量可以是一个或多个,图4中以一个处理器410为例;计算机设备中的处理器410和存储装置420可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储装置420作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本公开实施例中的网络攻击信息获取方法对应的程序指令/模块。处理器410通过运行存储在存储装置420中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现本公开实施例所提供的网络攻击信息获取方法。
存储装置420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置420可进一步包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本实施例提供的一种计算机设备可用于执行上述任意实施例提供的网络攻击信息获取方法,具备相应的功能和有益效果。
本公开实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现本公开实施例所提供的网络攻击信息获取方法。
当然,本公开实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本公开任意实施例所提供的网络攻击信息获取方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本公开可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述的方法。
值得注意的是,上述网络攻击信息获取装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本公开的保护范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种网络攻击信息获取方法,其特征在于,所述方法包括:
接收终端防护与响应系统EDR管理中心发送的异常访问信息;
根据所述异常访问信息获取发起网络攻击行为的异常程序的相关信息以及所述异常程序对应的文件;
将所述相关信息以及所述文件上报至所述EDR管理中心,以供所述EDR管理中心将所述相关信息以及所述文件转发至网关,并通过所述网关展示所述相关信息以及所述文件。
2.根据权利要求1所述的方法,其特征在于,所述根据所述异常访问信息获取发起网络攻击行为的异常程序的相关信息以及所述异常程序对应的文件,包括:
根据所述异常访问信息确定发起网络攻击行为的异常程序的身份标识号ID;
根据所述异常程序的ID获取所述异常程序的相关信息以及所述异常程序对应的文件。
3.根据权利要求2所述的方法,其特征在于,所述根据所述异常访问信息确定发起网络攻击行为的异常程序的ID,包括:
查询预设时间内已缓存的程序对应的ID以及域名解析记录,并根据所述已缓存的程序对应的ID以及域名解析记录确定所述异常程序的ID;
或者,查询当前的传输控制协议TCP连接与程序ID记录,并根据所述TCP连接与程序ID记录确定所述异常程序的ID。
4.根据权利要求2所述的方法,其特征在于,所述根据所述异常程序的ID获取所述异常程序的相关信息以及所述异常程序对应的文件,包括:
将所述异常程序的ID发送至对应的操作系统的应用程序接口,以获取所述异常程序的相关信息;
对所述异常程序的相关信息进行解析,得到所述异常程序对应的文件所在的位置;
根据所述位置获取所述异常程序对应的文件。
5.根据权利要求1所述的方法,其特征在于,所述异常访问信息由所述网关通过安全防护功能检测到后发送至所述EDR管理中心。
6.根据权利要求5所述的方法,其特征在于,所述安全防护功能检测包括入侵防御系统检测、威胁情报检测以及统一资源定位系统检测中的至少一种。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述异常程序的相关信息包括:所述异常程序的进程路径、所述异常程序的运行时间、所述异常程序的运行参数、所述异常程序的映像类型以及所述异常程序的父进程名称中的至少一种。
8.一种网络攻击信息获取装置,其特征在于,所述装置包括:
接收模块,用于接收终端防护与响应系统EDR管理中心发送的异常访问信息;
获取模块,用于根据所述异常访问信息获取发起网络攻击行为的异常程序的相关信息以及所述异常程序对应的文件;
上报模块,用于将所述相关信息以及所述文件上报至所述EDR管理中心,以供所述EDR管理中心将所述相关信息以及所述文件转发至网关,并通过所述网关展示所述相关信息以及所述文件。
9.一种计算机设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111255918.7A CN113965394B (zh) | 2021-10-27 | 2021-10-27 | 网络攻击信息获取方法、装置、计算机设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111255918.7A CN113965394B (zh) | 2021-10-27 | 2021-10-27 | 网络攻击信息获取方法、装置、计算机设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113965394A true CN113965394A (zh) | 2022-01-21 |
CN113965394B CN113965394B (zh) | 2024-02-02 |
Family
ID=79467731
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111255918.7A Active CN113965394B (zh) | 2021-10-27 | 2021-10-27 | 网络攻击信息获取方法、装置、计算机设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113965394B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640529A (zh) * | 2022-03-24 | 2022-06-17 | 中国工商银行股份有限公司 | 攻击防护方法、装置、设备、存储介质和计算机程序产品 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
CN111327601A (zh) * | 2020-01-21 | 2020-06-23 | 广东电网有限责任公司广州供电局 | 异常数据响应方法、系统、装置、计算机设备和存储介质 |
CN111565377A (zh) * | 2020-04-14 | 2020-08-21 | 瑞数信息技术(上海)有限公司 | 应用于物联网的安全监测方法和装置 |
CN111756729A (zh) * | 2020-06-23 | 2020-10-09 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
KR20200130968A (ko) * | 2019-05-13 | 2020-11-23 | 씨엔비스 (주) | 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법 |
CN112788035A (zh) * | 2021-01-13 | 2021-05-11 | 深圳震有科技股份有限公司 | 一种5g下upf终端的网络攻击告警方法和终端 |
-
2021
- 2021-10-27 CN CN202111255918.7A patent/CN113965394B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
KR20200130968A (ko) * | 2019-05-13 | 2020-11-23 | 씨엔비스 (주) | 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법 |
CN111327601A (zh) * | 2020-01-21 | 2020-06-23 | 广东电网有限责任公司广州供电局 | 异常数据响应方法、系统、装置、计算机设备和存储介质 |
CN111565377A (zh) * | 2020-04-14 | 2020-08-21 | 瑞数信息技术(上海)有限公司 | 应用于物联网的安全监测方法和装置 |
CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
CN111756729A (zh) * | 2020-06-23 | 2020-10-09 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
CN112788035A (zh) * | 2021-01-13 | 2021-05-11 | 深圳震有科技股份有限公司 | 一种5g下upf终端的网络攻击告警方法和终端 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640529A (zh) * | 2022-03-24 | 2022-06-17 | 中国工商银行股份有限公司 | 攻击防护方法、装置、设备、存储介质和计算机程序产品 |
CN114640529B (zh) * | 2022-03-24 | 2024-02-02 | 中国工商银行股份有限公司 | 攻击防护方法、装置、设备、存储介质和计算机程序产品 |
Also Published As
Publication number | Publication date |
---|---|
CN113965394B (zh) | 2024-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
CN110881043B (zh) | 一种web服务器漏洞的检测方法及装置 | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
CN107404465B (zh) | 网络数据分析方法及服务器 | |
CN109688097B (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
US7574740B1 (en) | Method and system for intrusion detection in a computer network | |
KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
US7418733B2 (en) | Determining threat level associated with network activity | |
US9378368B2 (en) | System for automatically collecting and analyzing crash dumps | |
CN113301012B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
CN105959290A (zh) | 攻击报文的检测方法及装置 | |
CN112511517A (zh) | 一种邮件检测方法、装置、设备及介质 | |
US20170142155A1 (en) | Advanced Local-Network Threat Response | |
US9385993B1 (en) | Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device | |
CN113965394B (zh) | 网络攻击信息获取方法、装置、计算机设备和介质 | |
CN113595981B (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
CN107592299B (zh) | 代理上网识别方法、计算机装置及计算机可读存储介质 | |
KR20080070793A (ko) | 안티 파밍 방법 | |
CN113992442B (zh) | 一种木马连通成功检测方法及装置 | |
CN115022034B (zh) | 攻击报文识别方法、装置、设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |