CN114301689B - 校园网络安全防护方法、装置、计算设备及存储介质 - Google Patents
校园网络安全防护方法、装置、计算设备及存储介质 Download PDFInfo
- Publication number
- CN114301689B CN114301689B CN202111639273.7A CN202111639273A CN114301689B CN 114301689 B CN114301689 B CN 114301689B CN 202111639273 A CN202111639273 A CN 202111639273A CN 114301689 B CN114301689 B CN 114301689B
- Authority
- CN
- China
- Prior art keywords
- network
- monitoring
- campus
- strategy
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000012544 monitoring process Methods 0.000 claims abstract description 111
- 230000002159 abnormal effect Effects 0.000 claims abstract description 61
- 238000004458 analytical method Methods 0.000 claims abstract description 22
- 230000004044 response Effects 0.000 claims description 18
- 230000006399 behavior Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012937 correction Methods 0.000 claims description 6
- 239000000758 substrate Substances 0.000 claims 1
- 241000700605 Viruses Species 0.000 description 9
- 230000002155 anti-virotic effect Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 241000565357 Fraxinus nigra Species 0.000 description 1
- 241001377938 Yara Species 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000002458 infectious effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种校园网络安全防护方法、装置、计算设备及存储介质,其中方法包括:确定待防护校园网络所覆盖的网络设备;根据预设的网络监测策略对每一个网络设备进行网络流量监测,获取监测到的异常状况;对所述异常状况进行威胁分析,得到攻击所述校园网络的事件特征;利用所述事件特征修正所述网络监测策略,并基于修正的网络监测策略对所述校园网络持续进行网络监测。本方案,能够提高校园网络的安全防护能力。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种校园网络安全防护方法、装置、计算设备及存储介质。
背景技术
随着教育改革和发展,教育信息化的重要作用不断提高,校园网络应用系统每天产生并长期保存大量数据,由于校园网络安全防护能力较低,因此,校园网络逐渐成为黑灰产等的重点攻击目标。
目前,校园网络通过安装免费杀毒软件,对校园网络内的设备节点进行安全防护。但是,免费杀毒软件用于提供病毒查杀服务的病毒库,并不具有针对性,因此,利用免费杀毒软件进行病毒查杀的方式对校园网络的安全防护能力较低。
发明内容
基于免费杀毒软件进行病毒查杀的方式对校园网络的安全防护能力较低的问题,本发明实施例提供了一种校园网络安全防护方法、装置、计算设备及存储介质,能够提高校园网络的安全防护能力。
第一方面,本发明实施例提供了一种校园网络安全防护方法,包括:
确定待防护校园网络所覆盖的网络设备;
根据预设的网络监测策略对每一个网络设备进行网络流量监测,获取监测到的异常状况;
对所述异常状况进行威胁分析,得到攻击所述校园网络的事件特征;
利用所述事件特征修正所述网络监测策略,并基于修正的网络监测策略对所述校园网络持续进行网络监测。
优选地,所述对所述异常状况进行威胁分析,得到攻击所述校园网络的事件特征,包括:
根据所述异常状况确定所述校园网络中存在的威胁载荷、被攻击网络设备的特征、攻击手段,根据所述威胁载荷、被攻击网络设备的特征和攻击手段,还原完整的攻击链路,得到攻击所述校园网络的事件特征。
优选地,在所述利用所述事件特征修正所述网络监测策略之前,还包括:获取设定时间段内监测到的若干个异常状况,将所述若干个异常状况进行分类;
所述利用所述事件特征修正所述网络监测策略,包括:
根据各分类中分别包括的异常状况的数量,确定目标分类所对应的目标事件特征;
根据所述目标事件特征构建对应的网络威胁诱捕策略,并将所述网络威胁诱捕策略更新至所述网络监测策略中,得到修正后的网络监测策略。
优选地,所述根据所述目标事件特征构建对应的网络威胁诱捕策略,包括:
根据所述目标事件特征构建包含诱捕数据的诱捕虚拟机,所述诱捕数据是根据所述目标事件特征中的威胁载荷虚构得到的,所述诱捕虚拟机满足所述目标事件特征中的被攻击网络设备的特征;
所述基于修正的网络监测策略对所述校园网络持续进行网络监测,包括:
当监测到向所述校园网络中发起的访问请求满足所述目标事件特征中攻击链路的前序特征时,则将所述访问请求转发给所述诱捕虚拟机,并接收所述诱捕虚拟机的响应数据;根据所述访问请求的目的IP地址对所述响应数据进行封装,将封装后的响应数据对所述访问请求进行响应;所述攻击链路的前序特征为位于所述攻击链路起始端且具有先后顺序的若干个攻击特征。
优选地,所述根据预设的网络监测策略对每一个网络设备进行网络流量监测,包括:
根据所述网络监测策略对监测到的从所述校园网络外部和/或所述校园网络内部发来的网络流量进行如下至少一个维度的检测:包、流、会话、文件、协议元数据、网络行为和文件行为。
第二方面,本发明实施例还提供了一种校园网络安全防护装置,包括:
确定单元,用于确定待防护校园网络所覆盖的网络设备;
监测单元,用于根据预设的网络监测策略对每一个网络设备进行网络流量监测,获取监测到的异常状况;并基于修正单元发送的修正的网络监测策略对所述校园网络持续进行网络监测;
分析单元,用于对所述异常状况进行威胁分析,得到攻击所述校园网络的事件特征;
所述修正单元,用于利用所述事件特征修正所述网络监测策略,并将修正的网络监测策略发送给所述监测单元。
优选地,所述分析单元,具体用于根据所述异常状况确定所述校园网络中存在的威胁载荷、被攻击网络设备的特征、攻击手段,根据所述威胁载荷、被攻击网络设备的特征和攻击手段,还原完整的攻击链路,得到攻击所述校园网络的事件特征。
优选地,还包括:分类单元,用于获取设定时间段内监测到的若干个异常状况,将所述若干个异常状况进行分类;
所述修正单元,具体用于根据各分类中分别包括的异常状况的数量,确定目标分类所对应的目标事件特征;根据所述目标事件特征构建对应的网络威胁诱捕策略,并将所述网络威胁诱捕策略更新至所述网络监测策略中,得到修正后的网络监测策略。
第三方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种校园网络安全防护方法、装置、计算设备及存储介质,通过对校园网络进行网络流量监测,利用监测到的异常状况可以分析得到攻击校园网络的事件特征,由于该事件特征与校园网络相关联,因此利用事件特征修正网络监测策略,可以使得修正后的网络监测策略更具有针对性的进行监测,从而能够提高校园网络的安全防护能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种校园网络安全防护方法流程图;
图2是本发明一实施例提供的一种计算设备的硬件架构图;
图3是本发明一实施例提供的一种校园网络安全防护装置结构图;
图4是本发明一实施例提供的另一种校园网络安全防护装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,校园网络通过在设备节点上安装免费杀毒软件的方式进行安全防护。但是,免费杀毒软件用于提供病毒查杀服务的病毒库只有一种,任何网络类型的设备节点安装该免费杀毒软件,均是采用同一个病毒库进行病毒查杀。可见,免费杀毒软件提供的病毒库对校园网络来说并不具有针对性。基于此,可以考虑在对校园网络进行安全监测过程中,收集攻击校园网络的事件特征,基于这些事件特征对后续安全监测进行指导,从而以具有针对性的安全监测策略为校园网络提供安全防护。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种校园网络安全防护方法,该方法包括:
步骤100,确定待防护校园网络所覆盖的网络设备;
步骤102,根据预设的网络监测策略对每一个网络设备进行网络流量监测,获取监测到的异常状况;
步骤104,对所述异常状况进行威胁分析,得到攻击所述校园网络的事件特征;
步骤106,利用所述事件特征修正所述网络监测策略,并基于修正的网络监测策略对所述校园网络持续进行网络监测。
本发明实施例中,通过对校园网络进行网络流量监测,利用监测到的异常状况可以分析得到攻击校园网络的事件特征,由于该事件特征与校园网络相关联,因此利用事件特征修正网络监测策略,可以使得修正后的网络监测策略更具有针对性的进行监测,从而能够提高校园网络的安全防护能力。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100“确定待防护校园网络所覆盖的网络设备”和步骤102“根据预设的网络监测策略对每一个网络设备进行网络流量监测,获取监测到的异常状况”进行说明。
对校园网络进行网络流量监测,不仅需要对从校园网络外部发来的网络流量进行监测,还需要对从校园网络内部发来的网络流量进行监测。因此,需要确定校园网络所覆盖的网络设备,从而对每一个网络设备进行网络流量监测。其中,校园网络所覆盖网络设备的网络结构较为简单,且网络设备类型比较单一,一般包括客户端、服务器、路由器、交换机等。
本发明实施例中,可以预先设置好网络监测策略,利用预设的网络监测策略对每一个网络进行网络流量监测,具体地,至少可以通过如下一种或多种方式进行网络流量监测:
第一种、部署威胁检测系统,对全流量的网络威胁进行实时捕获和检测,以获取异常状况。
在该方式下,本发明一个实施例中,可以根据所述网络监测策略对监测到的从所述校园网络外部和/或所述校园网络内部发来的网络流量进行如下至少一个维度的检测:包、流、会话、文件、协议元数据、网络行为和文件行为。当监测到网络流量时,通过对网络流量在包、流、会话、文件、协议元数据、网络行为和文件行为的多个维度进行检测,可以获得资源信誉、威胁名称、核心行为、关联信标、标签化结果等多维度信息,发现处于不同攻击阶段的威胁活动。
第二种、对可疑文件采取动态和静态结合方式进行深度分析,有效发现异常状况。
在该方式下,在发现可疑文件时,对可疑文件进行如下静态分析方式:文件格式识别、黑白名单库匹配、恶意代码判定、静态启发式鉴定、文件来源分析、邮件剥离分析、源数据分析、数字整数鉴定、YARA规则鉴定中的至少一种;同时对可疑文件进行如下动态分析:将可疑文件投放至高仿真的主机环境模拟、网络环境模拟的虚拟机中,监控其运行过程以及所有进程的活动,并对其代码特征和攻击特点做详细的分析。
第三种、构建用于进行网络威胁诱捕的蜜罐,以捕获来自校园网络外部和/或校园网络内部的攻击日志,以获取异常状况。
在该方式下,通过在蜜罐中引入虚构的敏感数据,伪装成真实的网络设备,当攻击者访问蜜罐时,可以将虚构的敏感数据提供给攻击者。如此可以捕获到来自校园网络外部和/或校园网络内部的攻击日志,在该攻击日志中可以获取到异常状况。
在本发明一个实施例中,当发现上述异常状况之后,通过对网络设备日志、安全设备日志、系统日志、应用日志以及网络流量等内容的监控与分析,确认异常状况发生的原因,并基于该原因对异常状况进行处置,对真实资产可能存在的安全风险进行安全加固。
然后,针对步骤104“对所述异常状况进行威胁分析,得到攻击所述校园网络的事件特征”和步骤106“利用所述事件特征修正所述网络监测策略,并基于修正的网络监测策略对所述校园网络持续进行网络监测”进行说明。
为了能够对校园网络实现针对的网络监测,保障校园网络的安全,可以对异常状况进行威胁分析,得到攻击校园网络的事件特征,并基于事件特征将网络监测策略修正为对校园网络具有针对性的网络监测策略,从而能够进一步提高网络监测效果,提高校园网络的安全性能。
本发明一个实施例中,步骤104可以按照如下方式进行威胁分析:根据所述异常状况确定所述校园网络中存在的威胁载荷、被攻击网络设备的特征、攻击手段,根据所述威胁载荷、被攻击网络设备的特征和攻击手段,还原完整的攻击链路,得到攻击所述校园网络的事件特征。
由于校园网络与其它网络的敏感数据不同,因此,通过分析异常状况确定校园网络中存在的威胁载荷,可以获知攻击者感兴趣的敏感数据是哪些,以及通过分析确定被攻击网络设备的特征,可以获知哪些特征的网络设备容易被攻击,其中,网络设备的特征可以包括:IP网段、主机类型、操作系统类型等。通过分析攻击手段可以指导后续网络监测过程更具有针对性的防御;另外,通过还原完整的攻击链路,可以指导后续网络监测过程能够及时发现异常状况。
其中,确定得到的威胁载荷、被攻击网络设备的特征、攻击手段和攻击链路均可以确定为事件特征。
基于分析得到的事件特征,可以对网络监测策略进行修正,使得修正后的网络监测策略重点关注与该事件特征的相关的攻击行为,从而能够对快速检测与该事件特征相关的攻击行为,提高校园网络的安全防护能力。
在本发明一个实施例中,基于得到的事件特征,还可以进行如下方式修正网络监测策略:
首先,获取设定时间段内监测到的若干个异常状况,将所述若干个异常状况进行分类。其中,将若干个异常状况进行分类时可以根据异常状况的对应事件类型进行分类,比如,按照异常状况对应的如下事件进行分类:木马事件、感染式病毒事件、蠕虫事件、后门事件、网络攻击事件、网络扫描事件、网站挂马事件、网页篡改事件、拒绝服务攻击事件、网络钓鱼事件和信息泄露事件。由于事件类型不同,因此,对应的事件特征也就不同;本实施例基于相同事件类型统一进行威胁分析,能够分析得出更准确的事件特征。
然后,本步骤106在利用所述事件特征修正所述网络监测策略时,具体可以包括:根据各分类中分别包括的异常状况的数量,确定目标分类所对应的目标事件特征;根据所述目标事件特征构建对应的网络威胁诱捕策略,并将所述网络威胁诱捕策略更新至所述网络监测策略中,得到修正后的网络监测策略。
优选地,可以将分类中包括的异常状况的数量最多的若干个分类确定为目标分类;或者,将分类中包括的异常状况的数量大于设定数量的分类确定为目标分类。
本发明一个实施例中,在确定目标分类对应的目标事件特征时,可以将该目标分类下各异常状况分别对应的事件特征取并集,将取并集得到的事件特征确定为目标事件特征。通过取并集,使得目标事件特征涵盖了目标分类下各异常状况分别对应的事件特征,从而使得目标事件特征更全面和丰富,进而在利用目标事件特征构建的网络威胁诱捕策略不仅对校园网络的经常被攻击的方向上具有针对性,且在该针对性的攻击方向上更具有全面性进一步提高校园网络的防护能力。
在本发明一个实施例中,可以利用如下方式构建对应的网络威胁诱捕策略:根据所述目标事件特征构建包含诱捕数据的诱捕虚拟机,所述诱捕数据是根据所述目标事件特征中的威胁载荷虚构得到的,所述诱捕虚拟机满足所述目标事件特征中的被攻击网络设备的特征。
那么在基于修正的网络监测策略对所述校园网络持续进行网络监测时,可以包括:当监测到向所述校园网络中发起的访问请求满足所述目标事件特征中攻击链路的前序特征时,则将所述访问请求转发给所述诱捕虚拟机,并接收所述诱捕虚拟机的响应数据;根据所述访问请求的目的IP地址对所述响应数据进行封装,将封装后的响应数据对所述访问请求进行响应;所述攻击链路的前序特征为位于所述攻击链路起始端且具有先后顺序的若干个攻击特征。
其中,利用访问请求的目的IP地址对响应数据进行封装的目的,是使得攻击者得到响应数据之后,确信该响应数据是从目的IP地址对应的网络设备发来的,从而对攻击者起到迷惑作用,以进一步获取未知的攻击事件特征。
需要说明的是,构建的诱捕虚拟机与蜜罐类似,但又有不同,其中,不同之处在于:蜜罐的IP地址是对外暴漏的,由于蜜罐中存储有敏感数据,因此可以诱惑攻击者直接对蜜罐发起访问请求,且向蜜罐发起的访问请求可以是具有攻击特征的访问请求,也可以是不具有攻击特征的访问请求;而本实施例中构建的诱捕虚拟机的地址是对外隐藏的,仅当检测到具有攻击特征的访问请求时,诱捕虚拟机仅对该具有攻击特征的访问请求进行响应。通过构建该诱捕虚拟机,可以避开访问请求对其访问的网络设备发起攻击,从而对校园网络起到安全防护作用。
如图2、图3所示,本发明实施例提供了一种校园网络安全防护装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种校园网络安全防护装置所在计算设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种校园网络安全防护装置,包括:
确定单元301,用于确定待防护校园网络所覆盖的网络设备;
监测单元302,用于根据预设的网络监测策略对每一个网络设备进行网络流量监测,获取监测到的异常状况;并基于修正单元发送的修正的网络监测策略对所述校园网络持续进行网络监测;
分析单元303,用于对所述异常状况进行威胁分析,得到攻击所述校园网络的事件特征;
所述修正单元304,用于利用所述事件特征修正所述网络监测策略,并将修正的网络监测策略发送给所述监测单元。
在本发明一个实施例中,所述分析单元303,具体用于根据所述异常状况确定所述校园网络中存在的威胁载荷、被攻击网络设备的特征、攻击手段,根据所述威胁载荷、被攻击网络设备的特征和攻击手段,还原完整的攻击链路,得到攻击所述校园网络的事件特征。
在本发明一个实施例中,请参考图4,还可以包括:分类单元305,用于获取设定时间段内监测到的若干个异常状况,将所述若干个异常状况进行分类;
所述修正单元304,具体用于根据各分类中分别包括的异常状况的数量,确定目标分类所对应的目标事件特征;根据所述目标事件特征构建对应的网络威胁诱捕策略,并将所述网络威胁诱捕策略更新至所述网络监测策略中,得到修正后的网络监测策略。
在本发明一个实施例中,所述修正单元304在根据所述目标事件特征构建对应的网络威胁诱捕策略时,具体包括:根据所述目标事件特征构建包含诱捕数据的诱捕虚拟机,所述诱捕数据是根据所述目标事件特征中的威胁载荷虚构得到的,所述诱捕虚拟机满足所述目标事件特征中的被攻击网络设备的特征;
所述监测单元302,在基于修正的网络监测策略对所述校园网络持续进行网络监测时,具体包括:当监测到向所述校园网络中发起的访问请求满足所述目标事件特征中攻击链路的前序特征时,则将所述访问请求转发给所述诱捕虚拟机,并接收所述诱捕虚拟机的响应数据;根据所述访问请求的目的IP地址对所述响应数据进行封装,将封装后的响应数据对所述访问请求进行响应;所述攻击链路的前序特征为位于所述攻击链路起始端且具有先后顺序的若干个攻击特征。
在本发明一个实施例中,所述监测单元302在根据预设的网络监测策略对每一个网络设备进行网络流量监测时,具体包括:根据所述网络监测策略对监测到的从所述校园网络外部和/或所述校园网络内部发来的网络流量进行如下至少一个维度的检测:包、流、会话、文件、协议元数据、网络行为和文件行为。
可以理解的是,本发明实施例示意的结构并不构成对一种校园网络安全防护装置的具体限定。在本发明的另一些实施例中,一种校园网络安全防护装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种校园网络安全防护方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种校园网络安全防护方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种校园网络安全防护方法,其特征在于,包括:
确定待防护校园网络所覆盖的网络设备;
根据预设的网络监测策略对每一个网络设备进行网络流量监测,获取监测到的异常状况;
根据所述异常状况确定所述校园网络中存在的威胁载荷、被攻击网络设备的特征和攻击手段,根据所述威胁载荷、被攻击网络设备的特征和攻击手段,还原完整的攻击链路,得到攻击所述校园网络的事件特征;
获取设定时间段内监测到的若干个异常状况,将所述若干个异常状况进行分类;将分类中包括的异常状况的数量最多的若干个分类确定为目标分类,或者,将分类中包括的异常状况的数量大于设定数量的分类确定为目标分类;将目标分类下各异常状况分别对应的事件特征取并集,将取并集得到的事件特征确定为目标分类的目标事件特征;根据所述目标事件特征构建对应的网络威胁诱捕策略,并将所述网络威胁诱捕策略更新至所述网络监测策略中,得到修正后的网络监测策略,并基于修正的网络监测策略对所述校园网络持续进行网络监测。
2.根据权利要求1所述的方法,其特征在于,
所述根据所述目标事件特征构建对应的网络威胁诱捕策略,包括:
根据所述目标事件特征构建包含诱捕数据的诱捕虚拟机,所述诱捕数据是根据所述目标事件特征中的威胁载荷虚构得到的,所述诱捕虚拟机满足所述目标事件特征中的被攻击网络设备的特征;
所述基于修正的网络监测策略对所述校园网络持续进行网络监测,包括:
当监测到向所述校园网络中发起的访问请求满足所述目标事件特征中攻击链路的前序特征时,则将所述访问请求转发给所述诱捕虚拟机,并接收所述诱捕虚拟机的响应数据;根据所述访问请求的目的IP地址对所述响应数据进行封装,将封装后的响应数据对所述访问请求进行响应;所述攻击链路的前序特征为位于所述攻击链路起始端且具有先后顺序的若干个攻击特征。
3.根据权利要求1-2中任一所述的方法,其特征在于,所述根据预设的网络监测策略对每一个网络设备进行网络流量监测,包括:
根据所述网络监测策略对监测到的从所述校园网络外部和/或所述校园网络内部发来的网络流量进行如下至少一个维度的检测:包、流、会话、文件、协议元数据、网络行为和文件行为。
4.一种校园网络安全防护装置,其特征在于,包括:
确定单元,用于确定待防护校园网络所覆盖的网络设备;
监测单元,用于根据预设的网络监测策略对每一个网络设备进行网络流量监测,获取监测到的异常状况;并基于修正单元发送的修正的网络监测策略对所述校园网络持续进行网络监测;
分析单元,用于根据所述异常状况确定所述校园网络中存在的威胁载荷、被攻击网络设备的特征和攻击手段,根据所述威胁载荷、被攻击网络设备的特征和攻击手段,还原完整的攻击链路,得到攻击所述校园网络的事件特征;
分类单元,用于获取设定时间段内监测到的若干个异常状况,将所述若干个异常状况进行分类;
所述修正单元,用于将分类中包括的异常状况的数量最多的若干个分类确定为目标分类,或者,将分类中包括的异常状况的数量大于设定数量的分类确定为目标分类;将目标分类下各异常状况分别对应的事件特征取并集,将取并集得到的事件特征确定为目标分类的目标事件特征;根据所述目标事件特征构建对应的网络威胁诱捕策略,并将所述网络威胁诱捕策略更新至所述网络监测策略中,得到修正后的网络监测策略,并将修正的网络监测策略发送给所述监测单元。
5.根据权利要求4所述的校园网络安全防护装置,其特征在于,
所述修正单元在根据所述目标事件特征构建对应的网络威胁诱捕策略时,具体包括:根据所述目标事件特征构建包含诱捕数据的诱捕虚拟机,所述诱捕数据是根据所述目标事件特征中的威胁载荷虚构得到的,所述诱捕虚拟机满足所述目标事件特征中的被攻击网络设备的特征;
所述监测单元,在基于修正的网络监测策略对所述校园网络持续进行网络监测时,具体包括:当监测到向所述校园网络中发起的访问请求满足所述目标事件特征中攻击链路的前序特征时,则将所述访问请求转发给所述诱捕虚拟机,并接收所述诱捕虚拟机的响应数据;根据所述访问请求的目的IP地址对所述响应数据进行封装,将封装后的响应数据对所述访问请求进行响应;所述攻击链路的前序特征为位于所述攻击链路起始端且具有先后顺序的若干个攻击特征。
6.根据权利要求4-5中任一所述的校园网络安全防护装置,其特征在于,所述监测单元在根据预设的网络监测策略对每一个网络设备进行网络流量监测时,具体包括:根据所述网络监测策略对监测到的从所述校园网络外部和/或所述校园网络内部发来的网络流量进行如下至少一个维度的检测:包、流、会话、文件、协议元数据、网络行为和文件行为。
7.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-3中任一项所述的方法。
8.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-3中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111639273.7A CN114301689B (zh) | 2021-12-29 | 2021-12-29 | 校园网络安全防护方法、装置、计算设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111639273.7A CN114301689B (zh) | 2021-12-29 | 2021-12-29 | 校园网络安全防护方法、装置、计算设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301689A CN114301689A (zh) | 2022-04-08 |
| CN114301689B true CN114301689B (zh) | 2024-02-23 |
Family
ID=80971308
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111639273.7A Active CN114301689B (zh) | 2021-12-29 | 2021-12-29 | 校园网络安全防护方法、装置、计算设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301689B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100989347B1 (ko) * | 2009-08-21 | 2010-10-25 | 펜타시큐리티시스템 주식회사 | 보안규칙 기반의 웹공격 탐지 방법 |
| CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
| CN107612890A (zh) * | 2017-08-24 | 2018-01-19 | 中国科学院信息工程研究所 | 一种网络监测方法及系统 |
| CN108134761A (zh) * | 2016-12-01 | 2018-06-08 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| CN111817917A (zh) * | 2020-07-03 | 2020-10-23 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7186637B2 (ja) * | 2019-02-21 | 2022-12-09 | 三菱電機株式会社 | 検知ルール群調整装置および検知ルール群調整プログラム |
-
2021
- 2021-12-29 CN CN202111639273.7A patent/CN114301689B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100989347B1 (ko) * | 2009-08-21 | 2010-10-25 | 펜타시큐리티시스템 주식회사 | 보안규칙 기반의 웹공격 탐지 방법 |
| CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
| CN108134761A (zh) * | 2016-12-01 | 2018-06-08 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| CN107612890A (zh) * | 2017-08-24 | 2018-01-19 | 中国科学院信息工程研究所 | 一种网络监测方法及系统 |
| CN111817917A (zh) * | 2020-07-03 | 2020-10-23 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301689A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| US10637880B1 (en) | Classifying sets of malicious indicators for detecting command and control communications associated with malware | |
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| US10893059B1 (en) | Verification and enhancement using detection systems located at the network periphery and endpoint devices | |
| US10523609B1 (en) | Multi-vector malware detection and analysis | |
| US8935779B2 (en) | Network-based binary file extraction and analysis for malware detection | |
| US20150244730A1 (en) | System And Method For Verifying And Detecting Malware | |
| CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
| US10757135B2 (en) | Bot characteristic detection method and apparatus | |
| US11269995B2 (en) | Chain of events representing an issue based on an enriched representation | |
| US11252167B2 (en) | System and method for detecting and classifying malware | |
| US20040030931A1 (en) | System and method for providing enhanced network security | |
| US10645107B2 (en) | System and method for detecting and classifying malware | |
| CN115695031A (zh) | 主机失陷检测方法、装置及设备 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| CN114301689B (zh) | 校园网络安全防护方法、装置、计算设备及存储介质 | |
| WO2016118153A1 (en) | Marking nodes for analysis based on domain name system resolution | |
| CN111147491B (zh) | 一种漏洞修复方法、装置、设备及存储介质 | |
| Hatada et al. | Finding new varieties of malware with the classification of network behavior | |
| JP2022541250A (ja) | インラインマルウェア検出 | |
| CN112005234A (zh) | 恶意软件检测的上下文剖析 | |
| US20240154997A1 (en) | Tor-based malware detection | |
| Singh et al. | Botnet detection using logistic regression technique | |
| CN115460012A (zh) | 外联设备处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |