CN114301672A - 网络风险检测方法、装置及电子设备 - Google Patents
网络风险检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114301672A CN114301672A CN202111624763.XA CN202111624763A CN114301672A CN 114301672 A CN114301672 A CN 114301672A CN 202111624763 A CN202111624763 A CN 202111624763A CN 114301672 A CN114301672 A CN 114301672A
- Authority
- CN
- China
- Prior art keywords
- detection
- data
- network
- operating system
- target data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 305
- 238000000034 method Methods 0.000 claims abstract description 41
- 230000005540 biological transmission Effects 0.000 claims description 45
- 230000006399 behavior Effects 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 8
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 230000004044 response Effects 0.000 abstract description 12
- 238000011161 development Methods 0.000 abstract description 9
- 238000004458 analytical method Methods 0.000 description 12
- 230000002159 abnormal effect Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000004422 calculation algorithm Methods 0.000 description 9
- 241000700605 Viruses Species 0.000 description 6
- 239000000284 extract Substances 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000004884 risky behavior Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络风险检测方法、装置及电子设备,该方法包括:首先加载网络检测插件,并获取目标数据,最终根据目标数据和检测规则确定网络风险检测结果。本申请中的网络检测插件直接从操作系统中获取目标数据,而不依赖于操作系统中安装的软件,可以简单移植到任何操作系统,且开发周期短,对新型网络风险的反应灵敏,提高了操作系统对于网络风险的应对能力,有效提升了操作系统安全性能。
Description
技术领域
本申请涉及网络信息安全技术领域,尤其是涉及一种网络风险检测方法、装置及电子设备。
背景技术
互联网技术的普及和应用对于各个企业的快速发展提供了更加便利的条件,各个企业越来越多的依赖信息和网络来助力自身业务的发展。但随之而来还有网络安全风险,例如各种病毒木马攻击、恶意扫描行为、数据访问异常以及数据传输过程中的泄露异常等安全问题,如何在有效使用网络资源的同时有效防止网络安全问题的发生,成为互联网技术急需解决的问题。
现有的网络安全检测和防护方法,通常是在各个终端设备中安装安全检测软件,来检测和处理网络风险。
但是由于网络发展速度较快,这种安装在系统中的检测软件对于网络新发现的蠕虫或者新的应用协议,需要开发升级包,升级包的开发周期较长,导致对新攻击的反应不灵敏,且在软件升级过程中,对关联的模块影响较大,升级风险较高。
发明内容
有鉴于此,本申请的目的在于提供一种网络风险检测方法、装置及电子设备,以提高操作系统的风险应对能力和安全性能。
第一方面,本申请实施例提供一种网络风险检测方法,方法应用于电子设备,电子设备中安装有操作系统,该方法包括:加载网络检测插件;其中,网络检测插件包括检测对象和检测规则,检测对象用于表征操作系统执行的数据传输行为,网络检测插件用于检测检测对象在数据传输过程中是否存在满足检测规则的网络风险;根据检测对象的属性信息从操作系统中获取目标数据;其中,属性信息用于表征检测对象对应的数据的传输方式;根据目标数据和检测规则确定检测结果;其中,检测结果用于表征操作系统在执行检测对象时是否存在网络风险。
进一步地,上述根据检测对象的属性信息从操作系统中获取目标数据的步骤,包括:根据检测对象的属性信息,确定数据接收方式;通过数据接收方式从操作系统中获取目标数据。
进一步地,上述每种数据接收方式对应接收一个数据传输层的数据;上述通过数据接收方式从操作系统中获取目标数据的步骤,包括:通过数据接收方式,从该数据接收方式对应的数据传输层获取初始数据;根据初始数据确定目标数据。
进一步地,上述数据传输层包括以下系统通信模型中的至少两个数据层:链路层、传输层、会话层和应用层。
进一步地,上述根据目标数据和检测规则确定检测结果的步骤,包括:根据目标数据的类型,从检测规则中确定出目标检测规则;判断目标数据是否满足目标检测规则,如果是,确定检测结果为存在网络风险。
进一步地,上述目标检测规则包括多个检测子规则;上述判断目标数据是否满足目标检测规则的步骤,包括:将多个检测子规则按照网络风险等级进行排序;依次采用多个检测子规则对目标数据进行检测,当所有检测子规则的检测结果均表征符合时,确定目标数据满足目标检测规则。
进一步地,上述网络检测插件中包括的检测对象为一个或者多个;当网络检测插件中包括的检测对象为多个时,每个检测对象对应的检测规则不同和/或针对每个检测对象使用的计算机语言不同。
第二方面,本申请实施例还提供一种网络风险检测装置,装置中安装有操作系统,该装置包括:加载模块,用于加载网络检测插件;其中,网络检测插件包括检测对象和检测规则,检测对象用于表征操作系统执行的数据传输行为,网络检测插件用于检测检测对象在数据传输过程中是否存在满足检测规则的网络风险;目标数据获取模块,用于根据检测对象的属性信息从操作系统中获取目标数据;其中,属性信息用于表征检测对象对应的数据的传输方式;检测结果确定模块,用于根据目标数据和检测规则确定检测结果;其中,检测结果用于表征操作系统在执行检测对象时是否存在网络风险。
第三方面,本申请实施例还提供一种电子设备,包括处理器和存储器,存储器存储有能够被处理器执行的计算机可执行指令,处理器执行计算机可执行指令以实现上述第一方面的网络风险检测方法。
第四方面,本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质存储有计算机可执行指令,计算机可执行指令在被处理器调用和执行时,计算机可执行指令促使处理器实现上述第一方面的网络风险检测方法。
与现有技术相比,本申请具有以下有益效果:
本申请实施例提供的上述网络风险检测方法、装置及电子设备,首先加载网络检测插件,并获取目标数据,最终根据目标数据和检测规则确定网络风险检测结果。本申请中的网络检测插件直接从操作系统中获取目标数据,而不依赖于操作系统中安装的软件,可以简单移植到任何操作系统,且开发周期短,对新型网络风险的反应灵敏,提高了操作系统对于网络风险的应对能力,有效提升了操作系统安全性能。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种电子系统的结构示意图;
图2为本申请实施例提供的一种网络风险检测方法的流程图;
图3为本申请实施例提供的另一种网络风险检测方法的流程图;
图4为本申请实施例提供的一种检测结果确定方法的流程图;
图5为本申请实施例提供的一种网络风险检测装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
随着组织越来越依赖信息和网络,如何确保网络和信息系统的安全,在组织网络中实施和维护网络流量检测是保障组织业务运行的重要关注点,通过网络流量检测识别流量发现病毒木马攻击、恶意扫描行为,识别流量访问异常、数据传输泄露异常等安全问题。在网络流量检测系统中,针对各类安全异常行为的评估预测需要做到准确、快速的要求。网络流量检测系统是一个集成检测、防护、响应的一体化大型复杂设备,对于网络新发现的个别蠕虫或新的应用协议反应不灵敏,应对未知协议、未知类型攻击行为,有功能开发周期长、升级风险高等特性。
基于此,本申请实施例提供一种网络风险检测方法、装置及电子设备,以提高操作系统的风险应对能力和安全性能。
参照图1所示的电子系统100的结构示意图。该电子系统可以用于实现本申请实施例的网络风险检测方法和装置。
如图1所示的一种电子系统的结构示意图,电子系统100包括一个或多个处理设备102、一个或多个存储装置104。可选地,电子系统100还可以包括输入装置106、输出装置108以及一个或多个信息采集设备110,这些组件通过总线系统112和/或其它形式的连接机构(未示出)互连。应当注意,图1所示的电子系统100的组件和结构只是示例性的,而非限制性的,根据需要,电子系统可以具有图1中的部分组件,也可以具有其他组件和结构。
处理设备102可以为服务器、智能终端,或者是包含中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元的设备,可以对电子系统100中的其它组件的数据进行处理,还可以控制电子系统100中的其它组件以执行网络风险检测功能。
存储装置104可以包括一个或多个计算机程序产品,计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在计算机可读存储介质上可以存储一个或多个计算机程序指令,处理设备102可以运行程序指令,以实现下文的本申请实施例中(由处理设备实现)的客户端功能以及/或者其它期望的功能。在计算机可读存储介质中还可以存储各种应用程序和各种数据,例如应用程序使用和/或产生的各种数据等。
输入装置106可以是用户用来输入指令的装置,并且可以包括键盘、鼠标、麦克风和触摸屏等中的一个或多个。
输出装置108可以向外部(例如,用户)输出各种信息(例如,图像或声音),并且可以包括显示器、扬声器等中的一个或多个。
信息采集设备110可以获取待处理信息,并且将该待处理信息存储在存储装置104中以供其它组件使用。
示例性地,用于实现根据本申请实施例的网络风险检测方法、装置及电子设备中的各器件可以集成设置,也可以分散设置,诸如将处理设备102、存储装置104、输入装置106和输出装置108集成设置于一体,而将信息采集设备110设置于可以采集到信息的指定位置。当上述电子系统中的各器件集成设置时,该电子系统可以被实现为诸如相机、智能手机、平板电脑、计算机、车载终端等智能终端。
图2为本申请实施例提供的一种网络风险检测方法的流程图,该方法应用于电子设备,电子设备中安装有操作系统,如图2所示,该方法包括:
S202:加载网络检测插件;其中,网络检测插件包括检测对象和检测规则,检测对象用于表征操作系统执行的数据传输行为,网络检测插件用于检测检测对象在数据传输过程中是否存在满足检测规则的网络风险;
其中,在各个公司、企业、组织各自的网络部署中,每个时刻都存在大量的与外部数据的传输,本申请实施例中的网络监测插件是针对这些与外部的数据传输过程中的数据传输行为是否是存在网络风险的行为。存在风险的行为包括信息泄露、带有木马病毒等。
网络检测插件是根据已经发现的网络风险有针对性的开发的一种插件,根据电子设备中安装的操作系统的不同类型,网络检测插件所使用的计算机语言也有所不同,以适应不同的操作系统。
S204:根据检测对象的属性信息从操作系统中获取目标数据;其中,属性信息用于表征检测对象对应的数据的传输方式;
其中,上述检测对象为一种网络风险,例如,发现了一种新的蠕虫病毒,则针对该蠕虫病毒开发了一个专门的网络检测插件,该蠕虫病毒即为一个检测对象。
检测对象的属性信息为该类型的网络风险是通过怎样的数据传输方式传输的。属性信息包括检测对象的应用程序类型、检测对象包含的风险类别等,不同类型的属性,可以从不同类型的数据中检测得到,因此,在判断是否存在某一种属性的网络风险时,需要首先确定能够检测到该类属性的目标数据,例如检测MySQL溢出攻击,则目标数据为数据报文;检测SYN Flood攻击,则需要检测的目标数据为数据流信息;通过不同检测对象的属性信息,从操作系统中获取不同类型的目标数据,以便进一步基于目标数据进行风险检测。
具体地,根据检测对象的属性信息确定数据接收方式,即通过什么养的方式,从操作系统中的哪个接口进行数据接收,进而通过数据接收方式从操作系统中获取目标数据。
S206:根据目标数据和检测规则确定检测结果;其中,检测结果用于表征操作系统在执行检测对象时是否存在网络风险。
针对不同的网络风险以及不同的目标数据,需要设定不同的检测规则,具体地,可以针对目标数据的类型,设定不同的检测算法模型来进行风险检测,例如,针对数据帧、报文数据可以采用基于统计原理的算法模型,对异常报文做出识别与判断;针对数据流可以采用基于多模式匹配的特征提取进行应用协议的识别,基于流上下文的关联性分析对异常流进行检测;针对应用数据内容则可以采用模式匹配的关键词检测、恶意程序的特征识别等。
本申请实施例提供的上述网络风险检测方法,首先加载网络检测插件,并获取目标数据,最终根据目标数据和检测规则确定网络风险检测结果。本申请中的网络检测插件直接从操作系统中获取目标数据,而不依赖于操作系统中安装的软件,可以简单移植到任何操作系统,且开发周期短,对新型网络风险的反应灵敏,提高了操作系统对于网络风险的应对能力,有效提升了操作系统安全性能。
为了是风险检测更加高效,本申请在上述实施例的基础上,还提供了另一种风险检测方法,该方法侧重于描述如何确定目标数据的具体过程,如图3所示,该方法具体包括:
S302:加载网络检测插件;
具体地,加载网络监测插件的方法步骤可以具体是:
(1)安装clang编译环境,将C代码编译为WASM通用字节码插件包。
(2)安装wasmtime,为插件包提供独立运行的沙箱环境,以便调试。
(3)编译方法,“clang demo.c–o demo.wasm”。
(4)demo.wasm为WASM插件包。
(5)使用插件管理程序,上传“demo.wasm”到目标机。
(6)插件管理程序加载插件包“demo.wasm”。
网络流量分析插件统一编译为WASM字节码,运行效率接近本地原生运行效率,提高网络流量检测效率和运行时内存、CPU等资源利用率;不同的分析插件都运行在不同的WASM容器沙箱里,隔离性和系统稳定性较高。
S304:根据检测对象的属性信息,确定数据接收方式;
检测对象的属性信息为该类型的网络风险是通过怎样的数据传输方式传输的。在操作系统中,不同类型的数据的传输通道是不同的,以电子设备中设置的操作系统遵循OSI模型(Open System Interconnection Reference Model,开放式系统互联通信参考模型)为例,OSI模型分为链路层、传输层、会话层和应用层,网络检测插件从不同数据层接收数据,在一些示例中,每种数据接收方式对应接收一个数据传输层的数据。具体地,在网络检测插件中设置针对不同数据传输层的数据接口,对应接收各个数据传输层的数据。
S306:通过数据接收方式从操作系统中获取目标数据;
具体地,在确定了数据接收方式后,也就是确定了从那个数据传输层接收数据,则从该数据传输层中接收预设时间段内传输的所有数据,这些数据涵盖了与网络风险检测判定相关的数据以及其他一些基础数据,那么还需要进一步地,从这些数据中筛选出目标数据。因此,可以通过以下方式从操作系统中获取目标数据:
(1)通过数据接收方式,从该数据接收方式对应的数据传输层获取初始数据;
(2)根据初始数据确定目标数据。
在一些可能的实施方式中,对应于上述OSI模型中的不同数据传输层,本申请实施例中的数据传输层包括以下系统通信模型中的至少两个数据层:链路层、传输层、会话层和应用层。通过风险检测插件中的不同数据接口从不同数据层接收数据帧、数据报文、数据流、应用数据等维度的数据信息。
进一步地,针对不同数据传输层中获取的初始数据,进一步确定目标数据。例如,再数据帧层面,可以提取MAC地址、VLAN、报文到达时间等相关信息;数据报文层面,可以提取IP地址、传输协议等相关信息;数据流层面,可以提取源端口、目的端口、流的时长、会话流的报文数量、以及流内部报文到达的时间序列等相关信息;应用协议层面上可以提取应用协议类型、应用元数据以及还原应用内容等。
S308:根据目标数据的类型,从检测规则中确定出目标检测规则;
S310:根据目标数据和目标检测规则确定检测结果。
针对不同的网络风险以及不同的目标数据,需要设定不同的检测规则,具体地,可以针对目标数据的类型,设定不同的检测算法模型来进行风险检测,实际应用时,可以预设多个检测规则构成的规则库,在创建风险检测插件时,根据检测对象确定目标数据,再进一步根据目标数据对应的目标数据类型,从多个检测规则中确定目标检测规则。目标数据的类型包括目标数据的获取方式。
例如,针对数据帧、报文数据可以采用基于统计原理的算法模型,对异常报文做出识别与判断;针对数据流可以采用基于多模式匹配的特征提取进行应用协议的识别,基于流上下文的关联性分析对异常流进行检测;针对应用数据内容则可以采用模式匹配的关键词检测、恶意程序的特征识别等。
本申请上述实施例,根据检测对象的属性确定数据接收方式,进而通过数据接收方式接收目标数据,最终通过对目标数据以及目标数据匹配的目标检测规则,确定操作系统是否受到网络攻击,由于数据的接收和提取是依据检测对象的属性进行的,有效提高了网络风险检测的效率,避免漏检的情况。
目标检测规则包括多个检测子规则,在确定了目标检测规则后,可以进一步判断目标数据是否满足目标检测规则,如图4所示,其示出了本申请实施例提供的一种检测结果确定方法的流程图,该方法可以具体包括以下步骤:
S402:将多个检测子规则按照网络风险等级进行排序;
S404:依次采用多个检测子规则对目标数据进行检测,
S406:判断目标数据是否满足目标检测规则;
在一些示例中,当所有检测子规则的检测结果均表征符合时,确定目标数据满足目标检测规则。
在另一些示例中,当检测子规则中的预设数量个检测结果表征符合时,确定目标数据满足目标检测规则。
S408:如果是,确定检测结果为存在网络风险。
S410:如果不是,确定检测结果为不存在网络风险。
在一些可能的实施方式中,网络检测插件中包括的检测对象为一个或者多个;当网络检测插件中包括的检测对象为多个时,每个检测对象对应的检测规则不同和/或针对每个检测对象使用的计算机语言不同。
为了便于理解,下面结合具体应用场景,介绍几种确定操作系统是否存在网络风险的示例。
示例1:
编写基于SNORT的数据报文规则特征检测伪代码,检测“MySQL溢出攻击”行为。
目标数据:数据报文
网络风险类型:MySQL溢出攻击
检测子规则1:tcp报文,目的端口3306;
检测子规则2:报文长度小于300,tcp的flag值为0x0a;
检测子规则3:流向为上行流,流状态为established;
检测子规则4:负载偏移4字节,取1个字节,判断值是否为0x03;
检测子规则5:基于"0x03"标志位,偏移10字节,取50字节长序列,判断是否包含"0x00000000000700000001"序列。
按照如下顺序判断目标数据是否满足目标检测规则:检测子规则1->检测子规则2->检测子规则3->检测子规则4->检测子规则5。当全部满足时,确定操作系统存在MySQL溢出攻击。
示例2:
编写识别流数据检测算法,如TCP的SYN攻击行为,规则定义为10秒内针对80端口新建服务达到40条,识别为攻击行为。
目标数据:数据流
网络风险类型:SYN Flood攻击
初始化:建立基于目的端口80的统计链表,每条流超时释放时间10s检测子规则1:tcp流,目的端口80;
检测子规则2:流状态为SYN,加入统计链表;
检测子规则3:释放超过10秒的流,统计剩余流数量是否达到40个;
按照如下顺序判断目标数据是否满足目标检测规则:初始化->检测子规则1->检测子规则2->检测子规则3->检测子规则1。
示例3:
编写应用内容检测伪代码,识别FTP的root用户登陆行为,识别FTP协议中“USERroot”登陆关键字。
目标数据:应用数据
网络风险类型:FTP的root用户登陆
初始化:建立FTP协议识别规则
检测子规则1:FTP报文
检测子规则2:内容关键字“USER root”匹配
按照如下顺序判断目标数据是否满足目标检测规则:初始化->检测子规则1->检测子规则2。
上述的三个示例,可以分别存在于三个不同的网络检测插件,也可以存在于同一个网络检测插件。
在一些可能的实施方式中,网络检测插件中包括的检测对象为一个或者多个;当网络检测插件中包括的检测对象为多个时,针对每个检测对象使用的计算机语言不同。通过不同编程语言开发网络流量分析插件,充分发挥Python,C/C++等不同语言在分析算法库的优势,比如机器学习算法库等,使得网络检测插件能够更加高效和准确地检测各类网络风险。
为了便于理解,下面结合实际应用场景介绍网络风险检测方法。
步骤1:基于多语言网络流量分析SDK(Software Development Kit,软件开发工具包),选择适当的编程语言开发网络风险检测插件的逻辑代码;
具体地,步骤1中,网络风险检测插件系统提供不同编程语言的SDK,以函数的方式声明和导出网络风险检测的方法,包括网络流量输入的参数和分析结果的返回,依据可靠、稳定的运行时环境。
步骤2:编译打包,生成网络风险检测逻辑为WASM(WebAssembly,运行于WEB平台中的汇编代码)的通用插件包;
步骤2中,将使用不同编程语言实现的插件代码编译为支持wasi(WebAssemblySystem Interface)格式的字节码,任何支持wasi的运行时环境都可以运行该插件。
步骤3:可能存在网络风险的应用系统系统中,动态加载和管理WASM通用字节码分析插件,并将流量按OSI模型(Open System Interconnection Reference Model,开放式系统互联通信参考模型)链路层、传输层、会话层和应用层流量到网络风险检测插件;
其中,网络风险检测插件系统提供以下三个方面的功能:
(1)提供动态加载、运行WASM通用字节码插件的运行时环境;
(2)提供WASM通用字节码插件管理功能,如插件登记、插件注销、插件启动、插件停止相关操作接口。
(3)提供链路层、传输层、会话层和应用层的插件接口,为插件多元化的工作方式提供灵活的数据接口。
步骤4:网络风险检测插件在数据帧、数据报文、数据流、应用协议4个层面展开检测分析;
其中,编译后的WASM通用字节码插件,应通过不同的接口获取数据帧、数据报文、数据流、应用数据四个维度的信息。数据帧层面,插件可以提取MAC地址、VLAN、报文到达时间等相关信息;数据报文层面,可以提取IP地址、传输协议等相关信息;数据流层面,可以提取源端口、目的端口、流的时长、会话流的报文数量、以及流内部报文到达的时间序列等相关信息;应用协议层面上可以提取应用协议类型、应用元数据以及还原应用内容等。
步骤5:依据模式匹配、统计计算、信息关联等分析手段生成网络风险检测结果。
上述步骤中,在网络风险检测插件提取到样本数据后,针对不同类型的数据应使用对应的算法模型进行分析检测。数据帧、报文数据采用基于统计原理的算法模型,对异常报文做出识别与判断;数据流采用基于多模式匹配的特征提取进行应用协议的识别,基于流上下文的关联性分析对异常流进行检测;应用数据内容采用模式匹配的关键词检测、恶意程序的特征识别等。
基于上述方法实施例,本申请实施例还提供一种网络风险检测装置,装置中安装有操作系统,参见图5所示,该装置包括:
加载模块502,用于加载网络检测插件;其中,网络检测插件包括检测对象和检测规则,检测对象用于表征操作系统执行的数据传输行为,网络检测插件用于检测检测对象在数据传输过程中是否存在满足检测规则的网络风险;
目标数据获取模块504,用于根据检测对象的属性信息从操作系统中获取目标数据;其中,属性信息用于表征检测对象对应的数据的传输方式;
检测结果确定模块506,用于根据目标数据和检测规则确定检测结果;其中,检测结果用于表征操作系统在执行检测对象时是否存在网络风险。
本申请实施例提供的上述网络风险检测装置,首先加载网络检测插件,并获取目标数据,最终根据目标数据和检测规则确定网络风险检测结果。本申请中的网络检测插件直接从操作系统中获取目标数据,而不依赖于操作系统中安装的软件,可以简单移植到任何操作系统,且开发周期短,对新型网络风险的反应灵敏,提高了操作系统对于网络风险的应对能力,有效提升了操作系统安全性能。
上述目标数据获取模块504还用于:根据检测对象的属性信息,确定数据接收方式;通过数据接收方式从操作系统中获取目标数据。
上述每种数据接收方式对应接收一个数据传输层的数据;上述通过数据接收方式从操作系统中获取目标数据的过程,包括:通过数据接收方式,从该数据接收方式对应的数据传输层获取初始数据;根据初始数据确定目标数据。
上述数据传输层包括以下系统通信模型中的至少两个数据层:链路层、传输层、会话层和应用层。
上述检测结果确定模块506还用于:根据目标数据的类型,从检测规则中确定出目标检测规则;判断目标数据是否满足目标检测规则,如果是,确定检测结果为存在网络风险。
上述目标检测规则包括多个检测子规则;上述判断目标数据是否满足目标检测规则的过程,包括:将多个检测子规则按照网络风险等级进行排序;依次采用多个检测子规则对目标数据进行检测,当所有检测子规则的检测结果均表征符合时,确定目标数据满足目标检测规则。
上述网络检测插件中包括的检测对象为一个或者多个;当网络检测插件中包括的检测对象为多个时,每个检测对象对应的检测规则不同和/或针对每个检测对象使用的计算机语言不同。
本申请实施例提供的网络风险检测装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,上述装置的实施例部分未提及之处,可参考前述网络风险检测方法实施例中的相应内容。
本申请实施例还提供了一种电子设备,如图6所示,为该电子设备的结构示意图,其中,该电子设备包括处理器1501和存储器1502,该存储器1502存储有能够被该处理器1501执行的计算机可执行指令,该处理器1501执行该计算机可执行指令以实现上述网络风险检测方法。
在图6示出的实施方式中,该电子设备还包括总线1503和通信接口1504,其中,处理器1501、通信接口1504和存储器1502通过总线1503连接。
其中,存储器1502可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口1504(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。总线1503可以是ISA(IndustryStandard Architecture,工业标准体系结构)总线、PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线1503可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器1501可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1501中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1501可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processor,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器1501读取存储器中的信息,结合其硬件完成前述实施例的网络风险检测方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令在被处理器调用和执行时,该计算机可执行指令促使处理器实现上述网络风险检测方法,具体实现可参见前述方法实施例,在此不再赘述。
本申请实施例所提供的网络风险检测方法、装置及电子设备的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本申请的范围。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种网络风险检测方法,其特征在于,所述方法应用于电子设备,所述电子设备中安装有操作系统,所述方法包括:
加载网络检测插件;其中,所述网络检测插件包括检测对象和检测规则,所述检测对象用于表征所述操作系统执行的数据传输行为,所述网络检测插件用于检测所述检测对象在数据传输过程中是否存在满足所述检测规则的网络风险;
根据所述检测对象的属性信息从所述操作系统中获取目标数据;其中,所述属性信息用于表征所述检测对象对应的数据的传输方式;
根据所述目标数据和所述检测规则确定检测结果;其中,所述检测结果用于表征所述操作系统在执行所述检测对象时是否存在网络风险。
2.根据权利要求1所述的方法,其特征在于,根据所述检测对象的属性信息从所述操作系统中获取目标数据的步骤,包括:
根据所述检测对象的属性信息,确定数据接收方式;
通过所述数据接收方式从所述操作系统中获取目标数据。
3.根据权利要求2所述的方法,其特征在于,每种所述数据接收方式对应接收一个数据传输层的数据;
通过所述数据接收方式从所述操作系统中获取目标数据的步骤,包括:
通过所述数据接收方式,从该数据接收方式对应的数据传输层获取初始数据;
根据所述初始数据确定目标数据。
4.根据权利要求3所述的方法,其特征在于,所述数据传输层包括以下系统通信模型中的至少两个数据层:
链路层、传输层、会话层和应用层。
5.根据权利要求1所述的方法,其特征在于,根据所述目标数据和所述检测规则确定检测结果的步骤,包括:
根据所述目标数据的类型,从所述检测规则中确定出目标检测规则;
判断所述目标数据是否满足所述目标检测规则,如果是,确定所述检测结果为存在网络风险。
6.根据权利要求5所述的方法,其特征在于,所述目标检测规则包括多个检测子规则;
判断所述目标数据是否满足所述目标检测规则的步骤,包括:
将所述多个检测子规则按照网络风险等级进行排序;
依次采用所述多个检测子规则对所述目标数据进行检测,当所有检测子规则的检测结果均表征符合时,确定所述目标数据满足所述目标检测规则。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述网络检测插件中包括的检测对象为一个或者多个;
当所述网络检测插件中包括的检测对象为多个时,每个所述检测对象对应的检测规则不同和/或针对每个所述检测对象使用的计算机语言不同。
8.一种网络风险检测装置,其特征在于,所述装置中安装有操作系统,所述装置包括:
加载模块,用于加载网络检测插件;其中,所述网络检测插件包括检测对象和检测规则,所述检测对象用于表征所述操作系统执行的数据传输行为,所述网络检测插件用于检测所述检测对象在数据传输过程中是否存在满足所述检测规则的网络风险;
目标数据获取模块,用于根据所述检测对象的属性信息从所述操作系统中获取目标数据;其中,所述属性信息用于表征所述检测对象对应的数据的传输方式;
检测结果确定模块,用于根据所述目标数据和所述检测规则确定检测结果;其中,所述检测结果用于表征所述操作系统在执行所述检测对象时是否存在网络风险。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机可执行指令,所述处理器执行所述计算机可执行指令以实现权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,计算机可执行指令促使处理器实现权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111624763.XA CN114301672B (zh) | 2021-12-28 | 2021-12-28 | 网络风险检测方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111624763.XA CN114301672B (zh) | 2021-12-28 | 2021-12-28 | 网络风险检测方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301672A true CN114301672A (zh) | 2022-04-08 |
| CN114301672B CN114301672B (zh) | 2024-01-26 |
Family
ID=80972160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111624763.XA Active CN114301672B (zh) | 2021-12-28 | 2021-12-28 | 网络风险检测方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301672B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
| CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
| CN103475653A (zh) * | 2013-09-05 | 2013-12-25 | 北京科能腾达信息技术股份有限公司 | 网络数据包的检测方法 |
-
2021
- 2021-12-28 CN CN202111624763.XA patent/CN114301672B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
| CN102223267A (zh) * | 2011-06-17 | 2011-10-19 | 北京电子科技学院 | 一种ids的检测方法及检测设备 |
| CN103475653A (zh) * | 2013-09-05 | 2013-12-25 | 北京科能腾达信息技术股份有限公司 | 网络数据包的检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301672B (zh) | 2024-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763928B (zh) | 一种开源软件漏洞分析方法、装置和存储介质 | |
| US10152594B2 (en) | Method and device for identifying virus APK | |
| US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| US9081961B2 (en) | System and method for analyzing malicious code using a static analyzer | |
| US20040205411A1 (en) | Method of detecting malicious scripts using code insertion technique | |
| US20160057159A1 (en) | Semantics-aware android malware classification | |
| CN106295346B (zh) | 一种应用漏洞检测方法、装置及计算设备 | |
| CN110958221B (zh) | 动态检测xml外部实体注入漏洞的方法及装置 | |
| CN112272186A (zh) | 一种网络流量检测框架、方法及电子设备和存储介质 | |
| CN111835777A (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| CN113114680A (zh) | 用于文件上传漏洞的检测方法和检测装置 | |
| CN108898014A (zh) | 一种病毒查杀方法、服务器及电子设备 | |
| CN116324773A (zh) | 用于保护智能合约免受攻击的方法和装置 | |
| CN110768865B (zh) | 一种深度报文检测引擎激活方法、装置及电子设备 | |
| CN114301672B (zh) | 网络风险检测方法、装置及电子设备 | |
| JP5700675B2 (ja) | コンピュータ・プログラムのメソッドがバリデータであるかどうかを判断する方法、システム、及びコンピュータ・プログラム | |
| CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
| KR101382549B1 (ko) | 모바일 환경에서 sns 콘텐츠의 사전 검증 방법 | |
| CN113626823B (zh) | 一种基于可达性分析的组件间交互威胁检测方法及装置 | |
| Mostafa et al. | Netdroid: Summarizing network behavior of android apps for network code maintenance | |
| US20220237238A1 (en) | Training device, determination device, training method, determination method, training method, and determination program | |
| CN111752570A (zh) | 一种编译方法、装置、终端及计算机可读存储介质 | |
| CN113076540B (zh) | 一种攻击检测的方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |