CN114301659B - 网络攻击预警方法、系统、设备及存储介质 - Google Patents

网络攻击预警方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN114301659B
CN114301659B CN202111602189.8A CN202111602189A CN114301659B CN 114301659 B CN114301659 B CN 114301659B CN 202111602189 A CN202111602189 A CN 202111602189A CN 114301659 B CN114301659 B CN 114301659B
Authority
CN
China
Prior art keywords
session table
network
network flow
attack
stateful
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111602189.8A
Other languages
English (en)
Other versions
CN114301659A (zh
Inventor
肖宇峰
汪来富
史国水
毕喜军
刘东鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202111602189.8A priority Critical patent/CN114301659B/zh
Publication of CN114301659A publication Critical patent/CN114301659A/zh
Application granted granted Critical
Publication of CN114301659B publication Critical patent/CN114301659B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种网络攻击预警方法、系统、设备及存储介质,所述方法包括步骤:网络流量探针获取IP威胁情报数据库和状态化会话表,并采集网络流量;所述IP威胁情报数据库中包含有多条IP威胁情报;所述网络流量探针基于所述网络流量和IP威胁情报数据库,对所述状态化会话表进行更新,得到更新后的状态化会话表;所述网络流量探针响应于更新后的所述状态化会话表存在会话表项,生成攻击预警信息并向外发送;本申请减小了流量分析时间花销,能够尽快发现可能潜在的攻击威胁,提高了对潜在网络攻击的检测效率。

Description

网络攻击预警方法、系统、设备及存储介质
技术领域
本发明涉及网络安全技术领域,具体地说,涉及一种网络攻击预警方法、系统、设备及存储介质。
背景技术
当前网络安全领域,已经存在入侵检测防御系统和下一代防火墙(NGFW)等具备准实时网络攻击检测的安全产品,这类产品攻击检测效果取决于攻击样本特征库的数量,样本签名越多,攻击检测率越高。并且这类产品主要部署在网络的边界,当网络环境流量较大时,对产品的性能要求很高。
也存在其他定位不同的全流量高级威胁检测系统和企业威胁深度检测平台,但是这些网络安全产品对网络攻击检测的时效性较低。通常这类安全产品由网络流量采集探针模块和安全分析模块构成。网络流量探针主要作用是采集和解析网络流量,生成流量元数据或日志,解析生成的流量元数据或日志供安全分析模块作进一步的分析处理。这类产品设计架构目前存在的普遍问题是:
1.当网络流量大的时候,网络探针解析流量耗时较久,解析效率低;
2.网络流量探针解析生成的流量元数据或日志传送给安全分析模块进行攻击行为分析也要耗费时间;
因此上述两部分时间消耗叠加,最终导致网络攻击的检测效率低下。
发明内容
针对现有技术中的问题,本发明的目的在于提供一种网络攻击预警方法、系统、设备及存储介质,解决现有技术在进行网络攻击检测时时延较大,导致检测效率低下的问题。
为实现上述目的,本发明提供了一种网络攻击预警方法,所述方法包括以下步骤:
网络流量探针获取IP威胁情报数据库和状态化会话表,并采集网络流量;所述IP威胁情报数据库中包含有多条IP威胁情报;
所述网络流量探针基于所述网络流量和IP威胁情报数据库,对所述状态化会话表进行更新,得到更新后的状态化会话表;
所述网络流量探针响应于更新后的所述状态化会话表存在会话表项,生成攻击预警信息并向外发送。
可选地,所述网络流量探针基于所述网络流量和IP威胁情报数据库,对所述状态化会话表进行更新,包括:
所述网络流量探针判断所述状态化会话表中是否存在与所述网络流量匹配的会话表项;
若不存在,则所述网络流量探针基于所述网络流量向所述状态化会话表中新增会话表项。
可选地,所述网络流量探针基于所述网络流量和IP威胁情报数据库,对所述状态化会话表进行更新,包括:
所述网络流量探针依次判断所述状态化会话表中的各会话表项是否与所述IP威胁情报数据库匹配成功;
若是,则所述网络流量探针将对应的所述会话表项保留,并依据匹配的IP威胁情报,对所述会话表项进行更新;
若否,则所述网络流量探针将对应的所述会话表项删除。
可选地,所述状态化会话表中包含持续时间和流量大小;所述网络流量探针基于所述网络流量和IP威胁情报数据库,对所述状态化会话表进行更新,包括:
所述网络流量探针对所述状态化会话表中各会话表项对应的持续时间和流量大小进行归一化处理;
所述网络流量探针基于归一化后的持续时间和流量大小,计算各会话表项对应的影响因子;
基于所述影响因子,所述网络流量探针对各会话表项按照从大到小的顺序进行排序。
可选地,所述方法还包括步骤:
所述网络流量探针判断是否存在流量采集节点集群;
若是,则每间隔第一预设周期,所述网络流量探针将所述状态化会话表同步至所述流量采集节点集群中的所有采集节点。
可选地,在所述采集网络流量之后,所述方法还包括步骤:
当网络流量探针中不存在状态化会话表且所述网络流量是首包时,则所述网络流量探针基于所述网络流量新建状态化会话表和对应的会话表项。
可选地,所述网络流量探针判断所述状态化会话表中是否存在与所述网络流量匹配的会话表项,包括:
所述网络流量探针判断所述状态化会话表中是否存在与所述网络流量的五元组信息均相同的会话表项;所述五元组信息包括会话协议、源IP地址、目的IP地址、源端口和目的端口。
可选地,所述状态化会话表中包含老化时间、持续时间和流量大小;所述依据匹配的IP威胁情报,对所述会话表项进行更新,包括:
依据匹配的IP威胁情报,对所述会话表项的老化时间、持续时间和流量大小进行更新。
可选地,所述状态化会话表包括老化时间;所述网络流量探针响应于更新后的所述状态化会话表存在会话表项,生成攻击预警信息并向外发送,包括:
所述网络流量探针响应于更新后的所述状态化会话表存在会话表项,将存在的所述会话表项对应的老化时间设置为第一预设时长。
本发明还提供了一种网络攻击预警系统,用于实现上述网络攻击预警方法,所述系统包括:
数据采集模块,网络流量探针获取IP威胁情报数据库和状态化会话表,并采集网络流量;所述IP威胁情报数据库中包含有多条IP威胁情报;
会话表更新模块,所述网络流量探针基于所述网络流量和IP威胁情报数据库,对所述状态化会话表进行更新,得到更新后的状态化会话表;
攻击预警模块,所述网络流量探针响应于更新后的所述状态化会话表存在会话表项,生成攻击预警信息并向外发送。
本发明还提供了一种网络攻击预警设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行程序;
其中,所述处理器配置为经由执行所述可执行程序来执行上述任意一项网络攻击预警方法的步骤。
本发明还提供了一种计算机可读存储介质,用于存储程序,所述程序被处理器执行时实现上述任意一项网络攻击预警方法的步骤。
本发明与现有技术相比,具有以下优点及突出性效果:
本发明提供的网络攻击预警方法、系统、设备及存储介质在网络流量探针架构中融合了状态化会话表及IP威胁情报技术,利用IP威胁情报数据库和采集到的网络流量,对状态化会话表进行更新,基于最终的会话表为非空识别检测网络攻击,实现攻击预警,减小了流量分析时间花销,能够尽快发现可能潜在的攻击威胁,提高了对潜在网络攻击的检测效率。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1为本发明中网络流量探针的结构示意图;
图2为本发明一实施例公开的一种网络攻击预警方法的示意图;
图3为本发明一实施例公开的一种网络攻击预警方法中步骤S120的流程示意图;
图4为本发明另一实施例公开的一种网络攻击预警方法的示意图;
图5为本发明一实施例公开的一种网络攻击预警系统的结构示意图;
图6为本发明一实施例公开的一种网络攻击预警系统中会话表更新模块的结构示意图;
图7为本发明另一实施例公开的一种网络攻击预警系统的结构示意图;
图8为本发明一实施例公开的一种网络攻击预警设备的结构示意图;
图9为本发明一实施例公开的一种计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
参考图1,本申请中网络流量探针包含流量采集分析模块11、状态化会话表及同步模块12以及IP威胁情报模块13。流量采集分析模块11用于采集网络流量。状态化会话表及同步模块12用于对会话表进行维护更新,并将会话表同步至所有流量采集节点。IP威胁情报模块13用于提供获取IP威胁情报数据库。下面对本申请采用的状态化会话表技术和IP威胁情报技术进行说明。
状态化会话表通常用于状态检测防火墙,它使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待,在状态检测防火墙中,同一个数据流内的报文不再是孤立的个体,而是存在联系的。例如为数据流的第一个报文建立会话,数据流内的后续报文就会直接匹配会话转发,不需要再进行规则的检查,提高了转发效率。报文到达防火墙,先查看是否会有会话表匹配。如果有会话表匹配,则匹配会话表转发。如果没有匹配会话表,看是否能够创建会话表。必须是首包即第一个报文才能创建会话表。常见协议的状态化会话表报文转发机制可参考如下的表1。
表1常见协议的状态化会话表报文转发机制
在状态检测防火墙中,状态化会话表中的每一条状态化会话表项可能包含以下信息:会话协议、源IP地址、源端口、目的IP地址、目的端口、会话的老化时间、会话剩余时间和MAC地址等信息。本申请不以此为限。
威胁情报(Threat intelligence)是循证知识,包括环境、机制、指标、意义和可行性建议,现有的或新兴的对资产的威胁,可用于主体对威胁或危害的反应做出明确决定。威胁情报就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。
一些最常见的威胁包括SQL注入、DDoS、web应用攻击和网络钓鱼攻击等。拥有一套可以提供情报能力通过主动出击和及时响应来管理这些攻击的安全解决方案是至关重要的。攻击者不断改变其方法来挑战安全系统。因此,对于企业来说,就不可避免地要从各种各样的途径获取威胁情报。IP地址威胁情报可以分为多种,常见的有:Botnet僵尸网络、C2命令和控制服务器、Gambling赌博、Malware恶意软件、Phishing钓鱼、Porn色情、Scanner扫描、Spam垃圾邮件、Tor匿名网络。
如图2所示,本发明一实施例公开了一种网络攻击预警方法,该方法包括以下步骤:
S110,网络流量探针获取IP威胁情报数据库和状态化会话表,并采集网络流量。上述IP威胁情报数据库中包含有多条IP威胁情报。本实施例中,当网络流量探针中不存在状态化会话表且上述网络流量是首包即第一个报文时,则基于上述网络流量在网络流量探针中新建状态化会话表和对应的会话表项。也即会话表项中的老化时间、持续时间和流量大小等参数均为上述首包的相应参数。
其中,上述IP威胁情报数据库可通过爬取安全厂商分析报告网页,获取最新分析报告;从所述分析报告中提取威胁情报生成。也可以根据历史攻击数据收集相关IP威胁情报后预设生成。本申请对此不作限制。
需要说明的是,本申请中,如果网络流量探针没有采集到网络流量,则上述状态化会话表最终会自动销毁,即经过一预设时长后自动销毁,避免造成大量冗余会话存在,影响并发能力和转发性能。
S120,上述网络流量探针基于上述网络流量和IP威胁情报数据库,对上述状态化会话表进行更新,得到更新后的状态化会话表。具体而言,本实施例中,上述状态化会话表中每条会话表项均包含关于会话的老化时间、持续时间和流量大小三个参数。当然,本申请不以此为限。
以及S130,上述网络流量探针响应于更新后的状态化会话表存在会话表项,生成攻击预警信息并向外发送。具体而言,也即若更新后的状态化会话表为空,则判定不存在潜在的网络攻击危险。若更新后的状态化会话表不为空,也即存在状态化会话表项时,则判定存在潜在的网络攻击危险。生成的攻击预警信息至少包含会话表项中的源IP地址和目的IP地址。本实施例可通过系统界面发出攻击预警信息,或者向客户端发送攻击预警信息。本申请不以此为限。
在本申请的一实施例中,步骤S130包括:
上述网络流量探针响应于更新后的上述状态化会话表存在会话表项,将存在的上述会话表项对应的老化时间设置为第一预设时长。也即,当更新后的状态化会话表不为空,以此判定存在潜在的网络攻击危险后,将对应的状态化会话表项的老化时间设置为非常长的时间,这样可以起到有效提醒的效果,避免在用户接收到预警之前,该会话表项被销毁。
如图3所示,在本申请的一实施例中,步骤S120包括:
S121,判断上述状态化会话表中是否存在与上述网络流量匹配的会话表项。也即,判断上述状态化会话表中是否存在与上述网络流量的五元组信息均相同的会话表项。也即,会话表项必须和网络流量数据包的五元组信息均相同,才能判定是相同的会话。上述五元组信息包括网络协议、源IP地址、目的IP地址、源端口和目的端口。
若存在,则执行步骤S122:基于上述网络流量对上述会话表项进行更新。也即,依据网络流量中的数据包,对上述会话表项的老化时间、持续时间和流量大小进行更新。对应的会话表项的老化时间为以网络流量中最后一个数据包匹配结束为起始时间的第二预设时长。
若不存在,则执行步骤S123:基于上述网络流量向上述状态化会话表中新增会话表项。其中,新增的会话表项各参数信息与上述网络流量的各参数信息相同。
S124,依次判断上述状态化会话表中的各会话表项是否与上述IP威胁情报数据库匹配成功。也即,各会话表项的源IP地址在IP威胁情报数据库中是否存在匹配的IP地址。
若是,则执行步骤S125:将对应的上述会话表项保留,并依据匹配的IP威胁情报,对上述会话表项进行更新。也即,依据匹配的IP威胁情报,对上述会话表项的老化时间、持续时间和流量大小进行更新。
若否,则执行步骤S126:将没有匹配成功的会话表项删除。
S127,网络流量探针对上述状态化会话表中各会话表项对应的持续时间和流量大小进行归一化处理。
S128,基于归一化后的持续时间和流量大小,计算各会话表项对应的影响因子。
以及S129,基于上述影响因子,对各会话表项按照从大到小的顺序进行排序。本实施例中,上述步骤的执行主体均为网络流量探针。
本实施例中,在会话表项排序完成后,还会以第二预设周期为时间间隔,更新影响因子以及更新会话表项的排序,以使会话表项排序保持最新。
其中,影响因子可以为对持续时间和流量大小进行加权求和计算得到。本申请不以此为限。上述持续时间和流量大小的归一化方式可利用现有技术实现,比如采用如下公式实现(以对持续时间的归一化进行示例性说明):
其中,Xnorm表示归一化之后的持续时间,X表示归一化之前的持续时间,Xmax表示状态化会话表中各会话表项对应的持续时间的最大值;Xmin表示状态化会话表中各会话表项对应的持续时间的最小值。
状态化会话表项是判断当前是否存在网络攻击的重要参考指标。流量越大,存在时间越长,影响因子越大,则证明受到攻击的可能性越大。本申请根据影响因子的大小对状态化会话表项进行排序后,这样可以使攻击可能性更大的会话表项排列于较前的位置,这有利于发出攻击预警时,用户能够快速看到危险性最大的网络攻击,便于用户进行反应。
如图4所示,在本申请的另一实施例中,公开了另一种网络攻击预警方法。该方法在上述实施例的基础上,还包括步骤:
S140,网络流量探针判断是否存在流量采集节点集群。
若存在,则执行步骤S150:每间隔第一预设周期,上述网络流量探针将上述状态化会话表同步至上述流量采集节点集群中的所有采集节点。
若不存在,则跳转至步骤S110。
这样可以使得采集节点集群中的所有采集节点接收到最新的状态化会话表,有利于保证网络攻击检测的准确性以及检测效率。
需要说明的是,本申请中公开的上述所有实施例可以进行自由组合,组合后得到的技术方案也在本申请的保护范围之内。
下面利用两个具体实施例,对本申请如何结合IP威胁情报和状态化会话表,进行网络攻击检测的过程,进行示例性说明:
实施例一
该实施例中,参考表2,IP威胁情报数据库中IP威胁情报的条目为:
表2 IP威胁情报数据库
IP地址 描述
120.10.20.10 Botnet僵尸网络
120.10.20.12 C2命令和控制
120.10.20.14 Phishing钓鱼
120.10.20.15 Scanner扫描
120.10.20.16 Spam垃圾邮件
120.10.20.17 Gambling赌博
该实施例只描述会话的产生过程,老化时间、持续时间、流量大小和影响因子暂时忽略。
网络流量探针基于采集的网络流量得到:公网IP地址120.10.20.10对本企业网络DMZ区域WEB系统192.168.1.100进行了WEB扫描和SQL注入。公网IP地址120.10.20.11对企业网络DMZ区域的一台服务器192.168.1.101进行SSH暴力破解。
那么在网络流量探针中会生成如表3的状态化会话表:
表3更新前的状态化会话表
由于IP威胁情报中有关于120.10.20.10这个IP地址的描述,而没有120.10.20.11的信息描述,则在状态化会话表删除和120.10.20.11相关的会话。因此更新后的状态化会话表只保留一条记录:源IP地址120.10.20.10对应的会话表项。上述ID表示的是会话ID。
后续由采集到的新的网络流量得到:公网IP地址120.10.20.10继续对本企业网络DMZ区域WEB系统192.168.1.200进行了WEB扫描和SQL注入。则这是一条全新的会话表项。所以对上述状态化会话表进行更新后,参考表4,当前表项有两条:
表4更新后的状态化会话表
在表项还保持有两条的情况下,后续公网IP地址120.10.20.10继续对本企业网络DMZ区域WEB系统192.168.1.200进行其他渗透测试操作,不产生新的状态化会话表项。
后续新的公网IP地址120.10.20.13继续对本企业网络DMZ区域WEB系统192.168.1.200进行了网络扫描和SQL注入,但由于IP威胁情报中并没有关于120.10.20.13这个IP的记录,因此最终在状态化会话表中还是只有两条记录。
实施例二
该实施例中,IP威胁情报数据库中IP威胁情报的条目可参考上述表2,与上述表2相同。
假设当前状态化会话表如表5所示。为了更清晰地表达和展示,本实施例的老化时间和持续时间是以秒为单位。在实际的运行环境中,至少精确到毫秒。
表5当前状态化会话表
网络流量探针基于采集的网络流量得到:当公网IP地址120.10.20.10再次对本企业网络DMZ区域WEB系统192.168.1.100进行了WEB扫描和SQL注入,持续时间为20分钟(即1200秒),流量大小是3000KB。而120.10.20.10对192.168.1.200这个目标IP没有动作。由于120.10.20.10对192.168.1.100这个目标IP产生上述动作,所以目的IP地址192.168.1.100对应的会话表项的老化时间为网络流量中最后一个数据包算起的120分钟(即7200秒)。该实施例每隔五分钟更新一次“影响因子”,并按照“影响因子”由大到小排序,则更新后的状态化会话表如表6所示:
表6更新后的状态化会话表
其中,表6的目的IP地址192.168.1.100对应的会话表项中,老化时间更新为7200秒,持续时间更新为1300秒(由100秒与1200秒相加得到),流量大小更新为3100KB(由100KB与3000KB相加得到)。目的IP地址192.168.1.200对应的会话表项中,老化时间更新为4800秒(由原来的6000秒减去1200秒得到)。
如果80分钟(4800秒)过去了,当前会话都没有产生新的活动,则120.10.20.10访问192.168.1.200的会话将会老化,状态化会话表再次更新后,如表7所示,只剩下一条会话记录:
表7再次更新后的状态化会话表
剩余的会话记录中老化时间也更新为2400秒(由原来的7200秒减去4800秒得到)。
该实施例中,如果存在流量采集节点集群,则可以3分钟同步一次状态化会话表信息到所有采集节点。
如图5所示,本发明一实施例还公开了一种网络攻击预警系统5,该系统包括:
数据采集模块51,网络流量探针获取IP威胁情报数据库和状态化会话表,并采集网络流量。上述IP威胁情报数据库中包含有多条IP威胁情报。
会话表更新模块52,上述网络流量探针基于上述网络流量和IP威胁情报数据库,对上述状态化会话表进行更新,得到更新后的状态化会话表。
攻击预警模块53,上述网络流量探针响应于更新后的上述状态化会话表存在会话表项,生成攻击预警信息并向外发送。
可以理解的是,本发明的网络攻击预警系统还包括其他支持网络攻击预警系统运行的现有功能模块。图5显示的网络攻击预警系统仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
本实施例中的网络攻击预警系统用于实现上述的网络攻击预警的方法,因此对于网络攻击预警系统的具体实施步骤可以参照上述对网络攻击预警的方法的描述,此处不再赘述。
如图6所示,本发明一实施例在图5实施例的基础上,公开了其中的会话表更新模块52。该会话表更新模块52包括:
网络流量匹配单元521,网络流量探针判断上述状态化会话表中是否存在与上述网络流量匹配的会话表项。也即,判断上述状态化会话表中是否存在与上述网络流量的五元组信息均相同的会话表项。也即,会话表项必须和网络流量数据包的五元组信息均相同,才能判定是相同的会话。上述五元组信息包括网络协议、源IP地址、目的IP地址、源端口和目的端口。若存在,则执行第一会话表更新单元522。若不存在,则执行会话表新增单元523。
第一会话表更新单元522,基于上述网络流量对上述会话表项进行更新。也即,依据网络流量中的数据包,对上述会话表项的老化时间、持续时间和流量大小进行更新。对应的会话表项的老化时间为以网络流量中最后一个数据包匹配结束为起始时间的第二预设时长。
会话表新增单元523,基于上述网络流量向上述状态化会话表中新增会话表项。其中,新增的会话表项各参数信息与上述网络流量的各参数信息相同。
IP威胁情报匹配单元524,依次判断上述状态化会话表中的各会话表项是否与上述IP威胁情报数据库匹配成功。也即,各会话表项的源IP地址在IP威胁情报数据库中是否存在匹配的IP地址。若是,则执行第二会话表更新单元525。若否,则执行会话表项删除单元526。
第二会话表更新单元525,将对应的上述会话表项保留,并依据匹配的IP威胁情报,对上述会话表项进行更新。也即,依据匹配的IP威胁情报,对上述会话表项的老化时间、持续时间和流量大小进行更新。
会话表项删除单元526,将没有匹配成功的会话表项删除。
归一化处理单元527,网络流量探针对上述状态化会话表中各会话表项对应的持续时间和流量大小进行归一化处理。
影响因子计算单元528,基于归一化后的持续时间和流量大小,计算各会话表项对应的影响因子。
会话表排序单元529,基于上述影响因子,对各会话表项按照从大到小的顺序进行排序。
如图7所示,本发明一实施例在图5实施例的基础上,公开了另一种网络攻击预警系统。该系统在包括数据采集模块51、会话表更新模块52和攻击预警模块53的基础上,还包括:
采集节点集群判断模块54,网络流量探针判断是否存在流量采集节点集群。若存在则执行会话表同步模块55。若不存在则跳转执行数据采集模块51。
会话表同步模块55,每间隔第一预设周期,上述网络流量探针将上述状态化会话表同步至上述流量采集节点集群中的所有采集节点。
本发明一实施例还公开了一种网络攻击预警设备,包括处理器和存储器,其中存储器存储有所述处理器的可执行程序;处理器配置为经由执行可执行程序来执行上述网络攻击预警方法中的步骤。图8是本发明公开的网络攻击预警设备的结构示意图。下面参照图8来描述根据本发明的这种实施方式的电子设备600。图8显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述网络攻击预警方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图2中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明还公开了一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述网络攻击预警方法中的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述网络攻击预警方法中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例的计算机可读存储介质的程序在执行时,在网络流量探针架构中融合了状态化会话表及IP威胁情报技术,利用IP威胁情报数据库和采集到的网络流量,对状态化会话表进行更新,基于最终的会话表为非空识别检测网络攻击,实现攻击预警,减小了流量解析时间花销,能够尽快发现可能潜在的攻击威胁,提高了对潜在网络攻击的检测效率。
图9是本发明的计算机可读存储介质的结构示意图。参考图9所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本发明实施例提供的网络攻击预警方法、系统、设备及存储介质在网络流量探针架构中融合了状态化会话表及IP威胁情报技术,利用IP威胁情报数据库和采集到的网络流量,对状态化会话表进行更新,基于最终的会话表为非空识别检测网络攻击,实现攻击预警,减小了流量分析时间花销,能够尽快发现可能潜在的攻击威胁,提高了对潜在网络攻击的检测效率。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (9)

1.一种网络攻击预警方法,其特征在于,包括以下步骤:
网络流量探针获取IP威胁情报数据库和状态化会话表,并采集网络流量;所述IP威胁情报数据库中包含有多条IP威胁情报;
所述网络流量探针依次判断所述状态化会话表中的各会话表项是否与所述IP威胁情报数据库匹配成功;若是,则所述网络流量探针将对应的所述会话表项保留,并依据匹配的IP威胁情报,对所述会话表项进行更新;若否,则所述网络流量探针将对应的所述会话表项删除;
所述网络流量探针响应于更新后的所述状态化会话表存在会话表项,生成攻击预警信息并向外发送。
2.如权利要求1所述的网络攻击预警方法,其特征在于,所述状态化会话表中包含持续时间和流量大小;所述网络流量探针基于所述网络流量和IP威胁情报数据库,对所述状态化会话表进行更新,包括:
所述网络流量探针对所述状态化会话表中各会话表项对应的持续时间和流量大小进行归一化处理;
所述网络流量探针基于归一化后的持续时间和流量大小,计算各会话表项对应的影响因子;
基于所述影响因子,所述网络流量探针对各会话表项按照从大到小的顺序进行排序。
3.如权利要求1所述的网络攻击预警方法,其特征在于,所述方法还包括步骤:
所述网络流量探针判断是否存在流量采集节点集群;
若是,则每间隔第一预设周期,所述网络流量探针将所述状态化会话表同步至所述流量采集节点集群中的所有采集节点。
4.如权利要求1所述的网络攻击预警方法,其特征在于,在所述采集网络流量之后,所述方法还包括步骤:
当网络流量探针中不存在状态化会话表且所述网络流量是首包时,则所述网络流量探针基于所述网络流量新建状态化会话表和对应的会话表项。
5.如权利要求1所述的网络攻击预警方法,其特征在于,所述状态化会话表中包含老化时间、持续时间和流量大小;所述依据匹配的IP威胁情报,对所述会话表项进行更新,包括:
依据匹配的IP威胁情报,对所述会话表项的老化时间、持续时间和流量大小进行更新。
6.如权利要求1所述的网络攻击预警方法,其特征在于,所述状态化会话表包括老化时间;所述网络流量探针响应于更新后的所述状态化会话表存在会话表项,生成攻击预警信息并向外发送,包括:
所述网络流量探针响应于更新后的所述状态化会话表存在会话表项,将存在的所述会话表项对应的老化时间设置为第一预设时长。
7.一种网络攻击预警系统,用于实现如权利要求1所述的网络攻击预警方法,其特征在于,所述系统包括:
数据采集模块,网络流量探针获取IP威胁情报数据库和状态化会话表,并采集网络流量;所述IP威胁情报数据库中包含有多条IP威胁情报;
会话表更新模块,所述网络流量探针依次判断所述状态化会话表中的各会话表项是否与所述IP威胁情报数据库匹配成功;若是,则所述网络流量探针将对应的所述会话表项保留,并依据匹配的IP威胁情报,对所述会话表项进行更新;若否,则所述网络流量探针将对应的所述会话表项删除;
攻击预警模块,所述网络流量探针响应于更新后的所述状态化会话表存在会话表项,生成攻击预警信息并向外发送。
8.一种网络攻击预警设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行程序;
其中,所述处理器配置为经由执行所述可执行程序来执行权利要求1至6中任意一项所述网络攻击预警方法的步骤。
9.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至6中任意一项所述网络攻击预警方法的步骤。
CN202111602189.8A 2021-12-24 2021-12-24 网络攻击预警方法、系统、设备及存储介质 Active CN114301659B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111602189.8A CN114301659B (zh) 2021-12-24 2021-12-24 网络攻击预警方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111602189.8A CN114301659B (zh) 2021-12-24 2021-12-24 网络攻击预警方法、系统、设备及存储介质

Publications (2)

Publication Number Publication Date
CN114301659A CN114301659A (zh) 2022-04-08
CN114301659B true CN114301659B (zh) 2024-04-05

Family

ID=80969898

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111602189.8A Active CN114301659B (zh) 2021-12-24 2021-12-24 网络攻击预警方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN114301659B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021984B (zh) * 2022-05-23 2024-02-13 绿盟科技集团股份有限公司 一种网络安全检测方法、装置、电子设备及存储介质
CN115001789B (zh) * 2022-05-27 2024-04-02 绿盟科技集团股份有限公司 一种失陷设备检测方法、装置、设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426159A (zh) * 2017-05-03 2017-12-01 成都国腾实业集团有限公司 基于大数据分析的apt监测防御方法
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11240271B2 (en) * 2018-11-14 2022-02-01 Servicenow, Inc. Distributed detection of security threats in a remote network management platform

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426159A (zh) * 2017-05-03 2017-12-01 成都国腾实业集团有限公司 基于大数据分析的apt监测防御方法
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网络安全分析中的大数据综合研究;钟煜明等;现代信息科技(第08期);全文 *

Also Published As

Publication number Publication date
CN114301659A (zh) 2022-04-08

Similar Documents

Publication Publication Date Title
US11323472B2 (en) Identifying automated responses to security threats based on obtained communication interactions
CN110719291B (zh) 一种基于威胁情报的网络威胁识别方法及识别系统
US11165815B2 (en) Systems and methods for cyber security alert triage
US12019740B2 (en) Automated cybersecurity threat detection with aggregation and analysis
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
US10270803B2 (en) Method and apparatus for detecting malware infection
CN108471429B (zh) 一种网络攻击告警方法及系统
EP3506141A1 (en) System for query injection detection using abstract syntax trees
US7882542B2 (en) Detecting compromised computers by correlating reputation data with web access logs
CN114301659B (zh) 网络攻击预警方法、系统、设备及存储介质
US20130167236A1 (en) Method and system for automatically generating virus descriptions
US11861001B2 (en) Threat mitigation system and method
US20200106791A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
WO2021021733A1 (en) Threat mitigation system and method
WO2021050525A1 (en) Threat mitigation system and method
EP4158509A1 (en) Threat mitigation system and method
CN111859374A (zh) 社会工程学攻击事件的检测方法、装置以及系统
CN110392032B (zh) 检测异常url的方法、装置及存储介质
Tazaki et al. MATATABI: multi-layer threat analysis platform with Hadoop
CN113572781A (zh) 网络安全威胁信息归集方法
NL2031253B1 (en) Computing device and method of detecting compromised network devices based on dns tunneling detection
RU2777348C1 (ru) Вычислительное устройство и способ выявления скомпрометированных устройств на основе обнаружения DNS-туннелирования
US10757117B1 (en) Contextual analyses of network traffic
US12058150B2 (en) Massive vulnerable surface protection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant