CN113987489A - 一种网络未知威胁的检测方法、装置、电子设备及存储介质 - Google Patents
一种网络未知威胁的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113987489A CN113987489A CN202111237618.6A CN202111237618A CN113987489A CN 113987489 A CN113987489 A CN 113987489A CN 202111237618 A CN202111237618 A CN 202111237618A CN 113987489 A CN113987489 A CN 113987489A
- Authority
- CN
- China
- Prior art keywords
- target asset
- threat
- security
- information related
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开一种网络未知威胁的检测方法、装置、电子设备及介质,涉及网络安全技术领域,能够实现对未知威胁的有效检测。所述方法包括:获取目标资产相关的安全信息;根据所述安全信息,判断所述目标资产是否存在安全威胁;若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;若不在已知威胁库中,则判定所述安全威胁为未知威胁。本发明实施例提供的技术方案适用于网络未知威胁的检测。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络未知威胁的检测方法、装置、电子设备及存储介质。
背景技术
随着当今社会的发展,计算机网络技术得到了广泛应用,并已经成为了多个行业的基础性设施。但是随着计算机网络的结构日益复杂,遭受的网络威胁的形态也越来越多,安全防护难度也因此越来越大。
现今主流的安全防御机制,是通过已知的特征码进行模式匹配来检测已知的网络威胁,而缺少针对网络未知威胁的行之有效的检测方法。
发明内容
有鉴于此,本发明实施例提供一种网络未知威胁的检测方法、装置、电子设备及存储介质,能够实现对网络未知威胁进行有效检测。
第一方面,本发明实施例提供一种网络未知威胁的检测方法,所述方法包括:获取目标资产相关的安全信息;根据所述安全信息,判断所述目标资产是否存在安全威胁;若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;若不在已知威胁库中,则判定所述安全威胁为未知威胁。
可选的,所述方法还包括:将所述未知威胁与所述目标资产相关联。
可选的,所述获取目标资产相关的安全信息,包括:通过对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息;和/或,通过对所述目标资产的文件检测以及分析,获得所述目标资产相关的安全信息;和/或,通过对所述目标资产受到的攻击链行为进行分析,获得所述目标资产相关的安全信息。
可选的,所述通过对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息,包括:采用单规则匹配多数据包的方式,对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息。
可选的,所述通过对所述目标资产的文件检测以及分析,获得所述目标资产相关的安全信息,包括:
对所述目标资产的文件进行检测以及分析,获得安全评估结果;
根据所述安全评估结果,获取所述目标资产相关的安全信息。
可选的,所述通过对所述目标资产受到的攻击链行为进行分析,获得所述目标资产相关的安全信息,包括:
通过对所述目标资产受到的攻击链行为的各阶段进行多维度分析,获得所述目标资产相关的安全信息。
可选的,所述方法还包括:
将所述未知威胁及其特征存储至所述已知威胁库中。
第二方面,本发明实施例提供一种网络未知威胁的检测装置,包括:
获取单元,用于获取目标资产相关的安全信息;
第一判断单元,用于根据所述安全信息,判断所述目标资产是否存在安全威胁;
第二判断单元,用于若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;
判定单元,用于若不在已知威胁库中,则判定所述安全威胁为未知威胁。
可选的,所述装置还包括:
关联单元,用于将所述未知威胁与所述目标资产相关联。
可选的,所述获取单元,包括:
第一获取子单元,用于通过对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息;
和/或,
第二获取子单元,用于通过对所述目标资产的文件检测以及分析,获得所述目标资产相关的安全信息;
和/或,
第三获取子单元,用于通过对所述目标资产受到的攻击链行为进行分析,获得所述目标资产相关的安全信息。
可选的,所述第一获取子单元具体用于:
采用单规则匹配多数据包的方式,对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息。
可选的,所述第二获取子单元具体用于:对所述目标资产的文件进行检测以及分析,获得安全评估结果;根据所述安全评估结果,获取所述目标资产相关的安全信息。
可选的,所述第三获取子单元具体用于:
通过对所述目标资产受到的攻击链行为的各阶段进行多维度分析,获得所述目标资产相关的安全信息。
可选的,所述装置还包括:
存储单元,用于将所述未知威胁及其特征存储至所述已知威胁库中。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行本发明的任一实施例提供的网络未知威胁的检测方法。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
本发明的实施例提供的网络未知威胁的检测方法、装置、电子设备及存储介质,能够获取目标资产相关的安全信息;根据所述安全信息,判断所述目标资产是否存在安全威胁;若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;若不在已知威胁库中,则判定所述安全威胁为未知威胁。这样一来,通过目标资产相关的安全信息,可以判断目标资产是否存在安全威胁,进一步的,在存在安全威胁的情况下,若安全威胁不在已知威胁库中,则可以将该安全威胁判定为未知威胁,从而实现了对未知威胁的有效识别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的网络未知威胁的检测方法的一种流程示意图;
图2为本发明实施例提供的一种网络未知威胁的检测装置的结构示意图;
图3为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供了一种网络未知威胁的检测方法,该方法可以由软件和/或硬件实现的网络未知威胁的检测装置执行,参见图1,该方法可以包括:
S11,获取目标资产相关的安全信息;
在本步骤中,目标资产可以是目标计算机或者目标文件,目标资产相关的安全信息是用于表征目标计算机或者目标文件在网络中安全状况的信息,是一种反映网络安全威胁的数量以及危害的信息。举例而言,安全信息可以是指目标计算机的入侵事件数量,漏洞数量,恶意文件数量以及是否存在异常流量。
S12,根据所述安全信息,判断所述目标资产是否存在安全威胁;
本步骤中,通过步骤S11中获取的安全信息可以对目标文件或者目标计算机是否存在安全威胁进行判定。
S13,若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;
在本步骤中,已知威胁库用于存储此前已经被识别的安全威胁,且每个安全威胁通常具有对应的特征码,并且也被存储在已知威胁库中,根据特征码可以对已知威胁进行检测,识别以及拦截。
S14,若不在已知威胁库中,则判定所述安全威胁为未知威胁。
若安全威胁不在已知威胁库中,则说明该安全威胁此前未被识别,属于未知威胁。
本发明的实施例提供的网络未知威胁的检测方法,能够获取目标资产相关的安全信息;根据所述安全信息,判断所述目标资产是否存在安全威胁;若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;若不在已知威胁库中,则判定所述安全威胁为未知威胁。这样一来,通过目标资产相关的安全信息,可以判断目标资产是否存在安全威胁,进一步的,在存在安全威胁的情况下,若安全威胁不在已知威胁库中,则可以将该安全威胁判定为未知威胁,从而实现了对未知威胁的有效识别。
可选的,在本发明的一个实施例中,步骤S14之后还可以包括:将所述未知威胁与所述目标资产相关联。
在本发明实施例中,在目标资产中检测出已知威胁之后,可以建立已知威胁和目标文件或者目标计算机之间的关联关系,以便后续可以根据目标资产查找到与之关联的未知威胁,从而提高了查找未知威胁的效率。
可选的,在本发明的一个实施例中,步骤S11中,所述获取目标资产相关的安全信息,可以采用以下三种具体方式及其之间的组合实现:
第一种实现方式为,通过对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息;
具体而言,可以通过匹配请求包特征确认是否存在攻击尝试,然后匹配响应包特征确认攻击是否成功,提升对入侵成功事件检测结果的准确性。检测针对目标计算机或者目标文件的入侵事件是否成功,即可获得目标计算机或者目标文件相关的安全信息。入侵事件规则可以预先进行定义,例如包括十大类,每一大类涵盖若干小类,每一小类下承载具体的事件入侵规则。
和/或,
第二种实现方式为,通过对所述目标资产进行文件检测以及分析,获得所述目标资产相关的安全信息;
具体而言,文件检测以及分析过程,通过使用动态行为分析、广谱特征匹配等多项技术,对多种格式的目标文件或者目标计算机中的文件进行安全性检测,从而能够评估其安全性,报告潜在的恶意程序带来的安全风险。
和/或,
第三种实现方式为,通过对所述目标资产受到的攻击链行为进行分析,获得所述目标资产相关的安全信息。
高级持续性威胁攻击链行为包括七个阶段,针对攻击链的不同阶段,可以采用不同的检测技术,并通过大数据技术实现对攻击链进行关联分析,从而获得目标计算机或者目标文件相关的安全信息。
可选的,在本发明的一个实施例中,通过对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息,可以包括:采用单规则匹配多数据包的方式,对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息。
具体而言,对于入侵事件目前主流的检测技术采用单一的包匹配策略,一条规则匹配一个数据包,存在效率低的问题。而本发明实施例采用单规则匹配多数据包的方式,即采用一条规则匹配多个数据包的方式,对入侵事件能够进行高效检测。
可选的,在本发明的一个实施例中,所述通过对所述目标资产的文件检测以及分析,获得所述目标资产相关的安全信息,包括:对所述目标资产的文件进行检测以及分析,获得安全评估结果;根据所述安全评估结果,获取所述目标资产相关的安全信息。
在本发明实施例中,对目标文件或者目标计算机中的文件进行检测以及分析,通过任务调度以及样本分析过程,并最终生成安全评估结果,并基于安全评估结果,可以获取目标计算机或者目标文件中的安全信息。
可选的,在本发明的一个实施例中,所述通过对所述目标资产受到的攻击链行为进行分析,获得所述目标资产相关的安全信息,包括:通过对所述目标资产受到的攻击链行为的各阶段进行多维度分析,获得所述目标资产相关的安全信息。
在本发明实施例中,攻击链行为可以具体划分为以下七个阶段:
1、侦查目标:侦查目标,充分利用社会工程学了解目标网络。
2、制作工具:主要是指制作定向攻击工具,例如带有恶意代码的PDF(PortableDocument Format,可携带文档格式)文件或office文件。
3、传送工具:输送攻击工具到目标系统上,常用的手法包括邮件的附件、网站(挂马)、U盘等。
4、触发工具:利用目标系统的应用或操作系统漏洞,在目标系统触发攻击工具运行。
5、控制目标:与互联网控制器服务器建立一个信道。
6、执行活动:执行所需要得攻击行为,例如偷取信息、篡改信息等。
7、保留据点:创建攻击据点,扩大攻击战果。
具体可以从情报收集、渗透攻击、病毒感染、远程控制、设备沦陷、向外攻击六个维度对攻击链行为进行识别,针对攻击链的不同阶段,可以采用不同的检测技术,对整个攻击链进行全面关联分析和安全威胁发现,从而获得所述目标资产相关的安全信息。
可选的,在本发明的一个实施例中,所述方法还包括:将所述未知威胁及其特征存储至所述已知威胁库中。
在本发明实施例中,可以将已识别的未知威胁以及其对应的特征码存储至已知威胁库中,从而将已识别的未知威胁转换成已知威胁,进而在后续过程中,能够对该威胁进行高效快速识别。
相应的,如图2所示,本发明的实施例还提供一种网络未知威胁的检测装置2,包括:
获取单元21,用于获取目标资产相关的安全信息;
第一判断单元22,用于根据所述安全信息,判断所述目标资产是否存在安全威胁;
第二判断单元23,用于若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;
判定单元24,用于若不在已知威胁库中,则判定所述安全威胁为未知威胁。
本发明的实施例提供的网络未知威胁的检测装置,能够获取目标资产相关的安全信息;根据所述安全信息,判断所述目标资产是否存在安全威胁;若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;若不在已知威胁库中,则判定所述安全威胁为未知威胁。这样一来,通过目标资产相关的安全信息,可以判断目标资产是否存在安全威胁,进一步的,在存在安全威胁的情况下,若安全威胁不在已知威胁库中,则可以将该安全威胁判定为未知威胁,从而实现了对未知威胁的有效识别。
可选的,装置2还包括:
关联单元,用于将所述未知威胁与所述目标资产相关联。
可选的,获取单元21可以包括:
第一获取子单元,用于通过对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息;
和/或,
第二获取子单元,用于通过对所述目标资产的文件检测以及分析,获得所述目标资产相关的安全信息;
和/或,
第三获取子单元,用于通过对所述目标资产受到的攻击链行为进行分析,获得所述目标资产相关的安全信息。
可选的,第一获取子单元具体用于:
采用单规则匹配多数据包的方式,对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息。
可选的,第二获取子单元具体用于:
对所述目标资产的文件进行检测以及分析,获得安全评估结果;
根据所述安全评估结果,获取所述目标资产相关的安全信息。
可选的,第三获取子单元具体用于:
通过对所述目标资产受到的攻击链行为的各阶段进行多维度分析,获得所述目标资产相关的安全信息。
可选的,装置2还包括:
存储单元,用于将所述未知威胁及其特征存储至所述已知威胁库中。
本发明实施例提供的网络未知威胁的检测装置与前述的网络未知威胁的检测方法属于同一发明构思,未在网络未知威胁的检测装置中描述的技术细节可参见前述的网络未知威胁的检测方法中的相关描述,在此不再赘述。
相应的,本发明实施例还提供一种电子设备,图3为本发明电子设备一个实施例的结构示意图,可以实现本发明图1所示实施例的流程。如图3所示,上述电子设备可以包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器33设置在电路板34上;电源电路35,用于为上述电子设备的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
处理器32对上述步骤的具体执行过程以及处理器32通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
此外,本发明的实施例还提供一种计算机程序介质,该计算机程序介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现本发明任一实施例提供的方法,因此也能实现相应的有益技术效果,前文已经进行了相应说明,此处不再赘述。
本发明的实施例提供的网络未知威胁的检测方法、装置、电子设备及存储介质,能够获取目标资产相关的安全信息;根据所述安全信息,判断所述目标资产是否存在安全威胁;若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;若不在已知威胁库中,则判定所述安全威胁为未知威胁。这样一来,通过目标资产相关的安全信息,可以判断目标资产是否存在安全威胁,进一步的,在存在安全威胁的情况下,若安全威胁不在已知威胁库中,则可以将该安全威胁判定为未知威胁,从而实现了对未知威胁的有效识别。此外,本发明的实施例,通过将所述未知威胁与所述目标资产相关联,提高了查找未知威胁的效率。进一步地,本发明实施例还通过入侵事件、文件检测以及攻击链行为等多维度对目标资产相关的安全信息进行获取,从而提高了获取安全信息的效率。并且,本发明实施例在对入侵事件进行检测时采用单规则匹配多数据包的方式,能够实现对入侵事件能够进行高效检测。本发明实施例还提供了所述目标资产的文件进行检测以及分析,获得安全评估结果,并根据所述安全评估结果,获取所述目标资产相关的安全信息这一具体的获取安全信息的方式。类似的,本发明实施例还可以通过对目标资产受到的攻击链行为的各阶段进行多维度分析,获得所述目标资产相关的安全信息。在对未知威胁进行识别之后,本发明实施例还可以将未知威胁及其特征存储至已知威胁库中,从而能够在后续过程中,能够对该威胁进行高效快速识别。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (16)
1.一种网络未知威胁的检测方法,其特征在于,所述方法包括:
获取目标资产相关的安全信息;
根据所述安全信息,判断所述目标资产是否存在安全威胁;
若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;
若不在已知威胁库中,则判定所述安全威胁为未知威胁。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述未知威胁与所述目标资产相关联。
3.根据权利要求1所述的方法,其特征在于,所述获取目标资产相关的安全信息,包括:
通过对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息;
和/或,
通过对所述目标资产的文件检测以及分析,获得所述目标资产相关的安全信息;
和/或,
通过对所述目标资产受到的攻击链行为进行分析,获得所述目标资产相关的安全信息。
4.根据权利要求3所述的方法,其特征在于,所述通过对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息,包括:
采用单规则匹配多数据包的方式,对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息。
5.根据权利要求3所述的方法,其特征在于,所述通过对所述目标资产的文件检测以及分析,获得所述目标资产相关的安全信息,包括:
对所述目标资产的文件进行检测以及分析,获得安全评估结果;
根据所述安全评估结果,获取所述目标资产相关的安全信息。
6.根据权利要求3所述的方法,其特征在于,所述通过对所述目标资产受到的攻击链行为进行分析,获得所述目标资产相关的安全信息,包括:
通过对所述目标资产受到的攻击链行为的各阶段进行多维度分析,获得所述目标资产相关的安全信息。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:
将所述未知威胁及其特征存储至所述已知威胁库中。
8.一种网络未知威胁的检测装置,其特征在于,包括:
获取单元,用于获取目标资产相关的安全信息;
第一判断单元,用于根据所述安全信息,判断所述目标资产是否存在安全威胁;
第二判断单元,用于若存在安全威胁,则判断所述安全威胁是否在已知威胁库中;
判定单元,用于若不在已知威胁库中,则判定所述安全威胁为未知威胁。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
关联单元,用于将所述未知威胁与所述目标资产相关联。
10.根据权利要求8所述的装置,其特征在于,所述获取单元,包括:
第一获取子单元,用于通过对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息;
和/或,
第二获取子单元,用于通过对所述目标资产的文件检测以及分析,获得所述目标资产相关的安全信息;
和/或,
第三获取子单元,用于通过对所述目标资产受到的攻击链行为进行分析,获得所述目标资产相关的安全信息。
11.根据权利要求10所述的装置,其特征在于,所述第一获取子单元具体用于:
采用单规则匹配多数据包的方式,对所述目标资产的入侵事件进行分析,获得所述目标资产相关的安全信息。
12.根据权利要求10所述的装置,其特征在于,所述第二获取子单元具体用于:
对所述目标资产的文件进行检测以及分析,获得安全评估结果;
根据所述安全评估结果,获取所述目标资产相关的安全信息。
13.根据权利要求10所述的装置,其特征在于,所述第三获取子单元具体用于:
通过对所述目标资产受到的攻击链行为的各阶段进行多维度分析,获得所述目标资产相关的安全信息。
14.根据权利要求8至14任一项所述的装置,其特征在于,所述装置还包括:
存储单元,用于将所述未知威胁及其特征存储至所述已知威胁库中。
15.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述1~7中任一权利要求所述的方法。
16.一种计算机程序介质,其特征在于,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~7任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111237618.6A CN113987489A (zh) | 2021-10-22 | 2021-10-22 | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111237618.6A CN113987489A (zh) | 2021-10-22 | 2021-10-22 | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113987489A true CN113987489A (zh) | 2022-01-28 |
Family
ID=79740685
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111237618.6A Pending CN113987489A (zh) | 2021-10-22 | 2021-10-22 | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113987489A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116032567A (zh) * | 2022-12-13 | 2023-04-28 | 四川大学 | 未知网络威胁的风险描述方法、装置、设备及存储介质 |
-
2021
- 2021-10-22 CN CN202111237618.6A patent/CN113987489A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116032567A (zh) * | 2022-12-13 | 2023-04-28 | 四川大学 | 未知网络威胁的风险描述方法、装置、设备及存储介质 |
CN116032567B (zh) * | 2022-12-13 | 2024-02-20 | 四川大学 | 未知网络威胁的风险描述方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
CN108875364B (zh) | 未知文件的威胁性判定方法、装置、电子设备及存储介质 | |
CN114205128B (zh) | 网络攻击分析方法、装置、电子设备及存储介质 | |
CN107070845B (zh) | 用于检测网络钓鱼脚本的系统和方法 | |
CN109145589B (zh) | 应用程序获取方法及装置 | |
CN113987489A (zh) | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 | |
Alshamrani | Design and analysis of machine learning based technique for malware identification and classification of portable document format files | |
CN110740117A (zh) | 仿冒域名检测方法、装置、电子设备及存储介质 | |
CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
CN113225356B (zh) | 一种基于ttp的网络安全威胁狩猎方法及网络设备 | |
CN111027063A (zh) | 防止终端感染蠕虫的方法、装置、电子设备及存储介质 | |
CN115906081A (zh) | 恶意样本文件检测方法、装置、服务器、电子设备及存储介质 | |
CN111027071B (zh) | 一种威胁程序全行为关联分析方法及装置 | |
CN114338102A (zh) | 安全检测方法、装置、电子设备及存储介质 | |
CN111800391B (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 | |
CN113779576A (zh) | 一种可执行文件感染病毒的识别方法、装置及电子设备 | |
CN114417331A (zh) | 病毒特征可信度的确定方法、装置、电子设备及存储介质 | |
CN114168953A (zh) | 一种恶意代码检测方法、装置、电子设备及存储介质 | |
CN115967566A (zh) | 网络威胁信息的处理方法、装置、电子设备及存储介质 | |
CN115987647A (zh) | 一种web漏洞检测方法、装置及电子设备 | |
CN114329464A (zh) | 一种反病毒引擎检测方法、装置、电子设备及存储介质 | |
CN114238969A (zh) | 一种宏病毒的检测方法、装置、电子设备及存储介质 | |
CN111030987A (zh) | 一种多安全设备的关联分析方法、装置及存储介质 | |
CN115811439A (zh) | 网络中异常扫描行为的检测方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |