CN114338237B - 终端行为监测方法、装置、设备、介质和计算机程序产品 - Google Patents
终端行为监测方法、装置、设备、介质和计算机程序产品 Download PDFInfo
- Publication number
- CN114338237B CN114338237B CN202210197282.3A CN202210197282A CN114338237B CN 114338237 B CN114338237 B CN 114338237B CN 202210197282 A CN202210197282 A CN 202210197282A CN 114338237 B CN114338237 B CN 114338237B
- Authority
- CN
- China
- Prior art keywords
- terminal
- behavior
- internet
- internal network
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 89
- 238000012544 monitoring process Methods 0.000 title claims abstract description 69
- 238000004590 computer program Methods 0.000 title claims abstract description 50
- 230000008569 process Effects 0.000 claims abstract description 24
- 230000006399 behavior Effects 0.000 claims description 313
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 144
- 230000009385 viral infection Effects 0.000 claims description 33
- 238000012545 processing Methods 0.000 claims description 22
- 230000004044 response Effects 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 17
- 238000007726 management method Methods 0.000 description 20
- 238000012806 monitoring device Methods 0.000 description 13
- 238000004458 analytical method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 230000035515 penetration Effects 0.000 description 6
- 208000036142 Viral infection Diseases 0.000 description 5
- 230000016571 aggressive behavior Effects 0.000 description 5
- 238000000605 extraction Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000003062 neural network model Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000006854 communication Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000000513 principal component analysis Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种终端行为监测方法、装置、设备、介质和计算机程序产品,可用于信息安全技术领域,该方法包括:根据预设的互联网锚点地址对终端的行为进行探测,确定终端是否已连接互联网,若终端已连接互联网,则获取终端与互联网连接过程中的行为信息,对行为信息进行分析,获取终端对内部网络的威胁等级。采用本方法能够及时对终端行为进行监测分析,提高安全防护措施的效果。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种终端行为监测方法、装置、设备、介质和计算机程序产品。
背景技术
随着金融行业的不断发展,金融交易过程中产生的数据越来越多,大量的交易数据都存储在内部服务器中。黑客或者病毒程序容易通过终端来攻击内部服务器,导致内部服务器中的数据泄露,造成了金融系统的安全受到威胁。
传统技术中通常采用防火墙、安全网关、部署终端安全产品等多种安全防护手段来阻止终端访问互联网。但传统技术的安全防护方法无法及时对终端行为进行监测分析,导致安全防护措施的效果较差。
发明内容
基于此,有必要针对上述技术问题,提供一种能够及时对终端行为进行监测分析,提高安全防护措施的效果的终端行为监测方法、装置、设备、介质和计算机程序产品。
第一方面,本申请提供了一种终端行为监测方法,所述方法包括:
根据预设的互联网锚点地址对终端的行为进行探测,确定所述终端是否已连接互联网;
若所述终端已连接互联网,则获取所述终端与所述互联网连接过程中的行为信息;
对所述行为信息进行分析,获取所述终端对内部网络的威胁等级。
在其中一个实施例中,所述对所述行为信息进行分析,获取所述终端对内部网络的威胁等级,包括:
对所述行为信息进行特征提取,得到所述终端的行为特征;
根据所述终端的行为特征判断所述终端是否存在异常行为,得到判断结果;所述异常行为包括病毒感染和/或攻击行为;
根据所述判断结果确定所述终端对所述内部网络的威胁等级。
在其中一个实施例中,所述根据所述终端的行为特征判断所述终端是否存在异常行为,得到判断结果,包括:
将所述终端的行为特征与恶意行为特征库中的各行为特征进行匹配;
若所述终端的行为特征与所述恶意行为特征库中的至少一个行为特征匹配,则确定所述判断结果为所述终端存在所述异常行为;
若所述终端的行为特征与所述恶意行为特征库中的所有行为特征均不匹配,则确定所述判断结果为所述终端不存在所述异常行为。
在其中一个实施例中,所述根据所述判断结果确定所述终端对所述内部网络的威胁等级,包括:
若所述判断结果表示所述终端不存在所述异常行为,则确定所述终端对所述内部网络的威胁等级为低等级威胁;
若所述判断结果表示所述终端存在所述异常行为,则根据所述异常行为确定所述终端对所述内部网络的威胁等级。
在其中一个实施例中,所述方法还包括:
若所述威胁等级为低等级威胁,则向所述终端发送第一控制指令;所述第一控制指令用于指示所述终端与所述互联网断开连接,并在确定与所述互联网断开连接之后访问所述内部网络。
在其中一个实施例中,所述根据所述异常行为确定所述终端对所述内部网络的威胁等级,包括:
若所述异常行为未对所述内部网络产生影响,则确定所述终端对所述内部网络的威胁等级为中等级威胁;
若所述异常行为对所述内部网络产生影响,则确定所述终端对所述内部网络的威胁等级为高等级威胁。
在其中一个实施例中,所述方法还包括:
若所述威胁等级为中等级威胁,则向所述终端发送第二控制指令;所述第二控制指令用于指示所述终端与所述互联网断开连接,并在确定所述终端不存在所述异常行为且与所述互联网断开连接之后,访问所述内部网络。
在其中一个实施例中,所述方法还包括:
若所述威胁等级为高等级威胁,则向所述终端发送第三控制指令;所述第三控制指令用于指示所述终端分别与所述互联网和所述内部网络断开连接,并在确定所述内部网络的设备中感染文件被清理、所述终端不存在所述异常行为且与所述互联网断开连接之后,访问所述内部网络。
在其中一个实施例中,所述方法还包括:
根据所述威胁等级生成告警信息;
将所述告警信息发送至监测管理平台进行保存和管理。
第二方面,本申请还提供了一种终端行为监测装置,所述装置包括:
确定模块,用于根据预设的互联网锚点地址对终端的行为进行探测,确定所述终端是否已连接互联网;
获取模块,用于在所述终端已连接互联网的情况下,则获取所述终端与所述互联网连接过程中的行为信息;
处理模块,用于对所述行为信息进行分析,获取所述终端对内部网络的威胁等级。
第三方面,本申请还提供了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
根据预设的互联网锚点地址对终端的行为进行探测,确定所述终端是否已连接互联网;
若所述终端已连接互联网,则获取所述终端与所述互联网连接过程中的行为信息;
对所述行为信息进行分析,获取所述终端对内部网络的威胁等级。
第四方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
根据预设的互联网锚点地址对终端的行为进行探测,确定所述终端是否已连接互联网;
若所述终端已连接互联网,则获取所述终端与所述互联网连接过程中的行为信息;
对所述行为信息进行分析,获取所述终端对内部网络的威胁等级。
第五方面,本申请还提供了一种计算机程序产品,所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
根据预设的互联网锚点地址对终端的行为进行探测,确定所述终端是否已连接互联网;
若所述终端已连接互联网,则获取所述终端与所述互联网连接过程中的行为信息;
对所述行为信息进行分析,获取所述终端对内部网络的威胁等级。
上述终端行为监测方法、装置、设备、介质和计算机程序产品,服务器根据预设的互联网锚点地址对终端的行为进行探测,可以确定终端是否已连接互联网,在终端已连接互联网的情况下,可以及时的获取终端与互联网连接过程中的行为信息,从而可以对行为信息进行及时分析,及时的获取终端对内部网络的威胁等级,通过主动的对与互联网连接的终端的行为进行监测分析,及时的确定终端对内部网络的威胁等级,相当于从源头上获取终端对内部网络的威胁等级,可以及时的针对不同威胁等级的终端行为进行干预,采取有效措施减少和避免终端对内部网络的威胁,提高安全防护措施的效果。
附图说明
图1为一个实施例中终端行为监测方法的应用环境图;
图2为一个实施例中终端行为监测方法的流程示意图;
图3为一个实施例中终端行为监测方法的流程示意图;
图4为一个实施例中终端行为监测方法的流程示意图;
图5为一个实施例中终端行为监测方法的流程示意图;
图6为一个实施例中终端行为监测方法的流程示意图;
图7为一个实施例中终端行为监测方法的流程示意图;
图8为一个实施例中终端行为监测方法的流程示意图;
图9为一个实施例中终端行为监测装置的结构框图;
图10为一个实施例中终端行为监测装置的结构框图;
图11为一个实施例中终端行为监测装置的结构框图;
图12为一个实施例中终端行为监测装置的结构框图;
图13为一个实施例中终端行为监测装置的结构框图;
图14为一个实施例中终端行为监测装置的结构框图;
图15为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要说明的是,本公开的终端行为监测方法、装置、设备、介质和计算机程序产品可以应用在信息安全领域或者其他技术领域。
本申请实施例提供的终端行为监测方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。服务器104通过对终端102的行为进行检测,判断终端102是否连接互联网,在终端102已连接互联网的情况下,根据终端102的行为信息确定终端102对内部网络的威胁等级。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种终端行为监测方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
S201,根据预设的互联网锚点地址对终端的行为进行探测,确定终端是否已连接互联网。
其中,预设的互联网锚点地址设置在内部网络和互联网之间的小网络区域中的隔离区(Demilitarized Zone,DMZ)内,在设置互联网锚点地址的过程中,保证互联网锚点地址与内部网络地址不重合,避免随意设置互联网锚点地址引发内部网络的计算机域名(Domain Name System)解析压力,同时也可以避免互联网锚点地址与内部网络地址重合引发的错误警告。
可选的,服务器可以根据预设的互联网锚点地址实时的探测终端的行为,或者,服务器也可以根据预设的互联网锚点地址按照预设时间间隔周期性的探测终端的行为,该探测结果通过回包响应的方式发送至服务器,服务器通过该回包响应情况确定终端是否连接互联网,若回包响应成功,则终端已连接互联网;若回包响应失败,则终端未连接互联网。例如,预设的时间间隔可以为2s、5s或8s等。终端可能是通过无线保真(Wireless Fidelity,WIFI)连接互联网,或者,终端也可能是通过数据线连接互联网。
S202,若终端已连接互联网,则获取终端与互联网连接过程中的行为信息。
当服务器通过在互联网锚点地址探测终端的行为确定终端已经连接互联网时,服务器可以获取终端与互联网连接过程中的行为信息。可选的,服务器可以实时获取终端连接互联网期间的所有行为日志、终端发生改变的文件记录等信息,或者,服务器也可以按照预设时间段周期性的获取终端连接互联网期间的所有行为日志、终端改变的文件记录等信息,将获取到的终端连接互联网期间的所有行为日志、终端发生改变的文件记录等信息作为终端与互联网连接过程中的行为信息。本实施例对于获取终端与互联网连接过程中的行为信息的方式不做限定。
S203,对行为信息进行分析,获取终端对内部网络的威胁等级。
可选的,服务器可以根据行为信息查询与该行为信息类似的历史行为信息,将历史行为信息对应的威胁等级作为行为信息对应的威胁等级,将该行为信息对应的威胁等级作为终端对内部网络的威胁等级。可选的,每一个威胁等级对应不同的行为信息,威胁等级与行为信息可以为一对多的关系,服务器可以将行为信息与每一个威胁等级对应的行为信息进行匹配,当该行为信息与其中一个威胁等级中的任意一个行为信息相匹配,则将该威胁等级确定为终端对内部网络的威胁等级。或者,还可以对行为信息进行特征提取,将提取到的行为特征与特征库中的特征进行匹配,从而确定终端对内部网络的威胁等级。本实施例对于获取终端对内部网络的威胁等级的方式不做限定。
上述终端行为监测方法中,服务器根据预设的互联网锚点地址对终端的行为进行探测,可以确定终端是否已连接互联网,在终端已连接互联网的情况下,可以及时的获取终端与互联网连接过程中的行为信息,从而可以对行为信息进行及时分析,及时的获取终端对内部网络的威胁等级,通过主动的对与互联网连接的终端的行为进行监测分析,及时的确定终端对内部网络的威胁等级,相当于从源头上获取终端对内部网络的威胁等级,可以及时的针对不同威胁等级的终端行为进行干预,采取有效措施减少和避免终端对内部网络的威胁,提高安全防护措施的效果。
图3为本申请实施例提供的终端行为监测方法的流程示意图。本申请实施例涉及对行为信息进行分析,获取终端对内部网络的威胁等级的一种可选的实现方式。在图2所示实施例的基础上,如图3所示,上述S203可以包括如下步骤:
S301,对行为信息进行特征提取,得到终端的行为特征。
可选的,服务器可以通过特征提取算法对终端的行为特征进行特征提取,得到终端行为信息对应的行为特征。例如,该特征提取算法可以包括主成分分析(PrincipalComponent Analysis,PCA)、方向梯度直方图特征提取(Histogram of OrientedGradient,HOG)和傅里叶变换(Fast Fourier Transform,FFT)等算法。可选的,根据全部的行为信息与对应的行为特征建立神经网络模型,服务器也可以将行为信息作为神经网络模型的输入信号,经过神经网络模型训练后输出该行为信息对应的终端的行为特征。
S302,根据终端的行为特征判断终端是否存在异常行为,得到判断结果;异常行为包括病毒感染和/或攻击行为。
在本实施例中,服务器可以将终端的行为特征与所有的历史异常行为特征进行匹配,当终端的行为特征与所有的历史异常行为特征中的任意一个异常行为特征相匹配时,确定终端存在异常行为;当终端的行为特征与所有的历史异常行为特征中的所有异常行为特征都不匹配时,确定终端不存在异常行为。
可选的,可以预设一个恶意行为特征库,该恶意行为特征库中包括从多个终端的历史行为特征中提取出来的所有的恶意行为特征,服务器可以将终端的行为特征与恶意行为特征库中的所有的恶意行为特征进行匹配,当终端的行为特征与恶意行为特征库中的任意一个恶意行为特征相匹配时,确定终端存在异常行为;当终端的行为特征与恶意行为特征库中的所有恶意行为特征都不匹配时,确定终端不存在异常行为。本实施例对根据终端的行为特征判断终端是否存在异常行为的方式不做限定。
进一步地,在图3所示实施例的基础上,如图4所示,上述S302可以包括如下步骤:
S401,将终端的行为特征与恶意行为特征库中的各行为特征进行匹配,若是,即终端的行为特征与恶意行为特征库中的至少一个行为特征匹配,执行步骤S402;若否,即终端的行为特征与恶意行为特征库中的所有行为特征均不匹配,执行步骤S403。
其中,恶意行为特征库包括恶意勒索病毒、木马行为、暴力破解及横向扩展等,恶意行为特征库可以基于病毒基因和行为特征识别不同种类的病毒和攻击行为建立的。
具体的,服务器可以通过判断终端的行为特征与恶意行为特征库中的各行为特征之间的相似度,若终端的行为特征与恶意行为特征库中的任意一个行为特征之间的相似度大于等于预设阈值,确定终端的行为特征与恶意行为特征库中的至少一个行为特征匹配;若终端的行为特征与恶意行为特征库中的所有行为特征之间的相似度均小于预设阈值,确定终端的行为特征与恶意行为特征库中的所有行为特征均不匹配。
S402,确定判断结果为终端存在异常行为,根据异常行为确定终端对内部网络的威胁等级。
具体的,当终端的行为特征与恶意行为特征库中的行为特征相匹配时,也即,服务器确定终端存在病毒感染和/或攻击行为,此时存在病毒感染和/或攻击行为的终端可能通过网络将该病毒感染和/或攻击行为传输到内部网络,使内部网络中的文件被感染或攻击。服务器可以在预设的历史异常行为库中查询与该异常行为类似的历史异常行为,将该历史异常行为对应的威胁等级作为终端对内部网络的威胁等级。或者,也可以预先设置各种异常行为与威胁等级之间的对应关系,根据该对应关系确定终端的异常行为对应的威胁等级。
S403,确定判断结果为终端不存在异常行为,确定终端对内部网络的威胁等级为低等级威胁。
具体的,当终端的行为特征与恶意行为特征库中的行为特征都不匹配时,服务器确定终端不存在异常行为,终端并未存在病毒感染和/或攻击行为,此时终端与内部网络之间的通信过程相对安全,但是由于终端与互联网进行连接,终端可能存在病毒感染和/或攻击行为的风险,因此服务器可以确定终端对内部网络的威胁为低等级威胁。
可选的,当终端连接互联网,且终端不存在病毒感染和/或攻击行为时,为了保证内部网络的安全,服务器通过向终端发送第一控制指令,终端接收到该指令后,切断终端与互联网之间的连接,此时终端处于不联网状态,可以安全的访问内部网络。
具体的,当发现终端连接互联网后,终端不存在病毒感染和/或攻击行为,服务器控制终端切断与互联网的连接,管理员确认终端处于不联网状态时,允许该终端访问内部网络。
上述终端行为监测方法中,服务器将终端的行为特征与恶意行为特征库中的各行为特征进行匹配,若终端的行为特征与恶意行为特征库中的至少一个行为特征匹配,确定判断结果为终端存在异常行为,根据异常行为确定终端对内部网络的威胁等级;若终端的行为特征与恶意行为特征库中的所有行为特征均不匹配,确定判断结果为终端不存在异常行为,确定终端对内部网络的威胁等级为低等级威胁,向终端发送第一控制指令,指示终端与互联网断开连接,并在确定与互联网断开连接之后访问内部网络,通过恶意行为特征库对终端的行为特征进行匹配,可以快速、准确的判断终端是否存在异常行为。
S303,根据判断结果确定终端对内部网络的威胁等级。
可选的,当判断结果为终端未存在异常行为,即终端不存在病毒感染和/或攻击行为,此时终端对内部网络的威胁程度较小,例如,可以确定终端对内部网络的威胁等级为较低等级威胁。可选的,当判断结果为终端存在异常行为,即终端存在病毒感染和/或攻击行为,此时病毒感染和/或攻击行为很有可能通过终端感染内部网络中的文件,例如,可以确定终端对内部网络的威胁等级为较高等级威胁。
上述终端行为监测方法中,服务器通过对行为信息进行特征提取,得到终端的行为特征,从而可以根据终端的行为特征判断终端是否存在异常行为,得到判断结果,根据判断结果确定终端对内部网络的威胁等级,通过对行为信息对应的行为特征进行判断,能够快速的确定终端是否存在异常行为,进而可以根据判断结果确定终端对内部网络的威胁等级,提高了威胁等级的判断效率。
图5为本申请实施例提供的终端行为监测方法的流程示意图。本申请实施例涉及根据异常行为确定终端对内部网络的威胁等级的一种可选的实现方式。在图4所示实施例的基础上,如图5所示,上述S402可以包括如下步骤:
S501,判断异常行为是否对内部网络产生影响,若是,即异常行为对内部网络产生影响,执行步骤S503;若否,即异常行为未对内部网络产生影响,执行步骤S502。
具体的,服务器可以结合存在异常行为的终端来判断内部网络文件是否被病毒感染和/或攻击,若内部网络文件被病毒感染和/或攻击,即异常行为对内部网络产生影响;若内部网络文件没有被病毒感染和/或攻击,即异常行为未对内部网络产生影响。其中,内部网络文件可以包括内部网络的资产信息、用户画像、正常业务互联网访问白名单规则等。
S502,确定终端对内部网络的威胁等级为中等级威胁。
具体的,若终端的异常行为未对内部网络产生影响,但是内部网络存在感染的风险,因此将终端存在异常行为但该异常行为未对内部网络产生影响的威胁等级确定为中等级威胁。
可选的,当终端对内部网络的威胁等级为中等级威胁时,服务器向终端发送第二控制指令,终端接收到第二控制指令后,切断互联网之间的连接,并在确定终端不存在异常行为且与互联网断开连接之后,终端可以访问内部网络。
具体的,当发现终端连接互联网后,终端存在病毒感染和/或攻击行为,但是终端未对内部网络造成影响,服务器控制终端切断与互联网的连接,可以对内部网络中被感染的文件进行清理,在管理员确认终端的病毒感染和/或攻击行为已完全清理,终端确认无异常行为后,且终端处于不联网状态时,允许该终端访问内部网络。
S503,确定终端对内部网络的威胁等级为高等级威胁。
具体的,若终端的异常行为对内部网络产生影响,内部网络中的文件已经存在病毒感染和/或攻击行为,因此将终端存在异常行为且该异常行为已经对内部网络产生影响的威胁等级确定为高等级威胁。
可选的,当终端对内部网络的威胁等级为高等级威胁时,服务器向终端发送第三控制指令,终端接收到第三控制指令后,分别切断与互联网和内部网络之间得连接,并在确定内部网络的设备中感染文件被清理、终端不存在异常行为且与互联网断开连接之后,终端可以访问内部网络。
具体的,当发现终端连接互联网后,终端存在病毒感染和/或攻击行为,且终端已经对内部网络造成影响,服务器控制终端切断与互联网的连接以及与内部网路的连接,管理员确认终端的病毒感染和/或攻击行为已完全清理,同时内部网络中的被病毒感染和/或攻击的文件已完全清理终端确认无异常行为后,且终端处于不联网状态时,允许该终端访问内部网络。
上述终端行为监测方法中,判断异常行为是否对内部网络产生影响,若异常行为未对内部网络产生影响,确定终端对内部网络的威胁等级为中等级威胁,向终端发送第二控制指令,指示终端与互联网断开连接,并在确定终端不存在异常行为且与互联网断开连接之后,访问内部网络;若异常行为对内部网络产生影响,确定终端对内部网络的威胁等级为高等级威胁,向终端发送第三控制指令,指示终端分别与互联网和内部网络断开连接,并在确定内部网络的设备中感染文件被清理、终端不存在异常行为且与互联网断开连接之后,访问内部网络,通过判断存在异常行为的终端是否对内部网络产生影响来确定终端对内部网络的威胁等级,同时对不同的威胁等级采取不同的措施,保证内部网络的安全。
图6为本申请实施例提供的终端行为监测方法的流程示意图。本申请实施例涉及生成告警信息,并对告警信息进行保存和管理的一种可选的实现方式。在图2所示实施例的基础上,如图6所示,上述方法还包括如下步骤:
S601,根据威胁等级生成告警信息。
具体的,告警信息可以包括终端与互联网的连接时间、终端与互联网连接期间访问行为日志、终端是否存在病毒感染和/或攻击行为、终端对内部网络的威胁等级等信息。服务器可以将终端对内部网络的威胁等级以及每个威胁等级对应的相关信息结合生成告警信息。
S602,将告警信息发送至监测管理平台进行保存和管理。
具体的,服务器将通过步骤S601生成的告警信息发送至监测管理平台,监测管理平台可以根据生成的告警信息生成报表,方便技术人员查看。其中,生成的报表中可以包括互联网锚点地址的检测时间、内部网络对应的设备名称、内网互联网协议地址(InternetProtocol Address,IP)、媒体存取控制位地址(Media Access Control Address,MAC)、互联网协议地址(Internet Protocol Address,IP)、终端设备、终端设备所在地区及攻击类型等信息。
上述终端行为监测方法中,服务器可以根据威胁等级生成告警信息,将告警信息发送至监测管理平台进行保存和管理,能够完整的记录终端与内部网络通信过程中的具体情况,同时生成的告警信息也能方便技术人员进行查看,更好的保障内部网络的安全。
在一个实施例中,图7和图8表示终端行为监测方法的的流程示意图,为了便于本领域技术人员的理解,以下对终端行为监测方法进行详细介绍,如图7所示,该方法可以包括:
S701,互联网锚点探测服务器根据预设的互联网锚点地址对终端的行为进行定期探测,确定终端是否已连接互联网;
S702,若终端已连接互联网,终端监测响应服务器获取终端与互联网连接过程中的日志信息;
S703,终端监测响应服务器对日志信息进行分析,判断终端与互联网连接过程中是否存在病毒感染或攻击行为,若是,即终端存在病毒感染或攻击行为,执行步骤S705;若否,即,执行步骤S704;
S704,终端监测响应服务器确定该威胁为低级别威胁,向终端发送第一控制指令,指示终端与互联网断开连接,并在确定终端没有连接互联网时,访问内部网络;
S705,终端监测响应服务器将终端的日志信息上传至内网渗透分析处理服务器,内网渗透分析处理服务器判断内部网络是否存在病毒感染或攻击行为,若是,即内部网络存在病毒感染或攻击行为,执行步骤S706;若否,即内部网络不存在病毒感染或攻击行为,执行步骤S707;
S706,内网渗透分析处理服务器确定终端对内部网络的威胁等级为高等级威胁,向终端发送第三控制指令,指示终端分别与互联网和内部网络断开连接,并在确定内部网络的设备中感染文件被清理、终端不存在异常行为且与互联网断开连接之后,访问内部网络;
S707,内网渗透分析处理服务器确定终端对内部网络的威胁等级为中等级威胁,向终端发送第二控制指令,指示终端与互联网断开连接,并在确定终端不存在异常行为且与互联网断开连接之后,访问内部网络;
S708,终端监测响应服务器和内网渗透分析处理服务器根据对应的威胁等级生成告警信息;
S709,终端监测响应服务器和内网渗透分析处理服务器将告警信息发送至互联网访问异常行为监测管理平台进行保存和管理。
需要说明的是,针对上述S701-S709中的描述可以参见上述实施例中相关的描述,且其效果类似,本实施例在此不再赘述。
上述终端行为监测方法中,互联网锚点探测服务器根据预设的互联网锚点地址对终端的行为进行定期探测,确定终端是否已连接互联网,若终端已连接互联网,终端监测响应服务器获取终端与互联网连接过程中的日志信息,终端监测响应服务器对日志信息进行分析,判断终端与互联网连接过程中是否存在病毒感染或攻击行为,若终端不存在病毒感染或攻击行为,终端监测响应服务器确定该威胁为低级别威胁,向终端发送第一控制指令,指示终端与互联网断开连接,并在确定终端没有连接互联网时,访问内部网络;若终端存在病毒感染或攻击行为,终端监测响应服务器将终端的日志信息上传至内网渗透分析处理服务器,内网渗透分析处理服务器判断内部网络是否存在病毒感染或攻击行为,若内部网络存在病毒感染或攻击行为,内网渗透分析处理服务器确定终端对内部网络的威胁等级为高等级威胁,向终端发送第三控制指令,指示终端分别与互联网和内部网络断开连接,并在确定内部网络的设备中感染文件被清理、终端不存在异常行为且与互联网断开连接之后,访问内部网络;若内部网络不存在病毒感染或攻击行为,内网渗透分析处理服务器确定终端对内部网络的威胁等级为中等级威胁,向终端发送第二控制指令,指示终端与互联网断开连接,并在确定终端不存在异常行为且与互联网断开连接之后,访问内部网络,终端监测响应服务器和内网渗透分析处理服务器根据对应的威胁等级生成告警信息,终端监测响应服务器和内网渗透分析处理服务器将告警信息发送至互联网访问异常行为监测管理平台进行保存和管理,通过主动的对与互联网连接的终端的行为进行监测分析,及时的确定终端对内部网络的威胁等级,相当于从源头上获取终端对内部网络的威胁等级,可以及时的针对不同威胁等级的终端行为进行干预,进而可以快速的选择相应的措施应对该威胁,提高安全防护措施的效果。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的终端行为监测方法的终端行为监测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个终端行为监测装置实施例中的具体限定可以参见上文中对于终端行为监测方法的限定,在此不再赘述。
在一个实施例中,如图9所示,提供了一种终端行为监测装置,包括:确定模块11、获取模块12和处理模块13,其中:
确定模块11,用于根据预设的互联网锚点地址对终端的行为进行探测,确定终端是否已连接互联网;
获取模块12,用于在终端已连接互联网的情况下,则获取终端与互联网连接过程中的行为信息;
处理模块13,用于对行为信息进行分析,获取终端对内部网络的威胁等级。
本实施例提供的终端行为监测装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
在一个实施例中,如图10所示,处理模块13包括:第一处理单元131、判断单元132和确定单元133,其中:
第一处理单元131,用于对行为信息进行特征提取,得到终端的行为特征;
判断单元132,用于根据终端的行为特征判断终端是否存在异常行为,得到判断结果;异常行为包括病毒感染和/或攻击行为;
确定单元133,用于根据判断结果确定终端对内部网络的威胁等级。
本实施例提供的终端行为监测装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
可选的,上述判断单元132具体用于将终端的行为特征与恶意行为特征库中的各行为特征进行匹配;若终端的行为特征与恶意行为特征库中的至少一个行为特征匹配,则确定判断结果为终端存在异常行为;若终端的行为特征与恶意行为特征库中的所有行为特征均不匹配,则确定判断结果为终端不存在异常行为。
本实施例提供的终端行为监测装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
可选的,上述确定单元133具体用于若判断结果表示终端不存在异常行为,则确定终端对内部网络的威胁等级为低等级威胁;若判断结果表示终端存在异常行为,则根据异常行为确定终端对内部网络的威胁等级。
本实施例提供的终端行为监测装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
在一个实施例中,如图11所示,上述装置还包括:第一发送模块14,其中:
第一发送模块14,用于在威胁等级为低等级威胁的情况下,则向终端发送第一控制指令;第一控制指令用于指示终端与互联网断开连接,并在确定与互联网断开连接之后访问内部网络。
本实施例提供的终端行为监测装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
可选的,上述确定单元133具体用于若异常行为未对内部网络产生影响,则确定终端对内部网络的威胁等级为中等级威胁;若异常行为对内部网络产生影响,则确定终端对内部网络的威胁等级为高等级威胁。
本实施例提供的终端行为监测装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
在一个实施例中,如图12所示,上述装置还包括:第二发送模块15,其中:
第二发送模块15,用于在威胁等级为中等级威胁的情况下,则向终端发送第二控制指令;第二控制指令用于指示终端与互联网断开连接,并在确定终端不存在异常行为且与互联网断开连接之后,访问内部网络。
本实施例提供的终端行为监测装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
在一个实施例中,如图13所示,上述装置还包括:第三发送模块16,其中:
第三发送模块16,用于在威胁等级为高等级威胁的情况下,则向终端发送第三控制指令;第三控制指令用于指示终端分别与互联网和内部网络断开连接,并在确定内部网络的设备中感染文件被清理、终端不存在异常行为且与互联网断开连接之后,访问内部网络。
本实施例提供的终端行为监测装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
在一个实施例中,如图14所示,上述装置还包括:生成模块17和第四发送模块18,其中:
生成模块17,用于根据威胁等级生成告警信息;
第四发送模块18,用于将告警信息发送至监测管理平台进行保存和管理。
本实施例提供的终端行为监测装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
上述终端行为监测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图15所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储终端行为监测数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种终端行为监测方法。
本领域技术人员可以理解,图15中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
根据预设的互联网锚点地址对终端的行为进行探测,确定终端是否已连接互联网;
若终端已连接互联网,则获取终端与互联网连接过程中的行为信息;
对行为信息进行分析,获取终端对内部网络的威胁等级。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:对行为信息进行分析,获取终端对内部网络的威胁等级,包括:
对行为信息进行特征提取,得到终端的行为特征;
根据终端的行为特征判断终端是否存在异常行为,得到判断结果;异常行为包括病毒感染和/或攻击行为;
根据判断结果确定终端对内部网络的威胁等级。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:根据终端的行为特征判断终端是否存在异常行为,得到判断结果,包括:
将终端的行为特征与恶意行为特征库中的各行为特征进行匹配;
若终端的行为特征与恶意行为特征库中的至少一个行为特征匹配,则确定判断结果为终端存在异常行为;
若终端的行为特征与恶意行为特征库中的所有行为特征均不匹配,则确定判断结果为终端不存在异常行为。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:根据判断结果确定终端对内部网络的威胁等级,包括:
若判断结果表示终端不存在异常行为,则确定终端对内部网络的威胁等级为低等级威胁;
若判断结果表示终端存在异常行为,则根据异常行为确定终端对内部网络的威胁等级。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:若威胁等级为低等级威胁,则向终端发送第一控制指令;第一控制指令用于指示终端与互联网断开连接,并在确定与互联网断开连接之后访问内部网络。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:根据异常行为确定终端对内部网络的威胁等级,包括:
若异常行为未对内部网络产生影响,则确定终端对内部网络的威胁等级为中等级威胁;
若异常行为对内部网络产生影响,则确定终端对内部网络的威胁等级为高等级威胁。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:若威胁等级为中等级威胁,则向终端发送第二控制指令;第二控制指令用于指示终端与互联网断开连接,并在确定终端不存在异常行为且与互联网断开连接之后,访问内部网络。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:若威胁等级为高等级威胁,则向终端发送第三控制指令;第三控制指令用于指示终端分别与互联网和内部网络断开连接,并在确定内部网络的设备中感染文件被清理、终端不存在异常行为且与互联网断开连接之后,访问内部网络。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据威胁等级生成告警信息;
将告警信息发送至监测管理平台进行保存和管理。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据预设的互联网锚点地址对终端的行为进行探测,确定终端是否已连接互联网;
若终端已连接互联网,则获取终端与互联网连接过程中的行为信息;
对行为信息进行分析,获取终端对内部网络的威胁等级。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:对行为信息进行分析,获取终端对内部网络的威胁等级,包括:
对行为信息进行特征提取,得到终端的行为特征;
根据终端的行为特征判断终端是否存在异常行为,得到判断结果;异常行为包括病毒感染和/或攻击行为;
根据判断结果确定终端对内部网络的威胁等级。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:根据终端的行为特征判断终端是否存在异常行为,得到判断结果,包括:
将终端的行为特征与恶意行为特征库中的各行为特征进行匹配;
若终端的行为特征与恶意行为特征库中的至少一个行为特征匹配,则确定判断结果为终端存在异常行为;
若终端的行为特征与恶意行为特征库中的所有行为特征均不匹配,则确定判断结果为终端不存在异常行为。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:根据判断结果确定终端对内部网络的威胁等级,包括:
若判断结果表示终端不存在异常行为,则确定终端对内部网络的威胁等级为低等级威胁;
若判断结果表示终端存在异常行为,则根据异常行为确定终端对内部网络的威胁等级。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若威胁等级为低等级威胁,则向终端发送第一控制指令;第一控制指令用于指示终端与互联网断开连接,并在确定与互联网断开连接之后访问内部网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:根据异常行为确定终端对内部网络的威胁等级,包括:
若异常行为未对内部网络产生影响,则确定终端对内部网络的威胁等级为中等级威胁;
若异常行为对内部网络产生影响,则确定终端对内部网络的威胁等级为高等级威胁。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若威胁等级为中等级威胁,则向终端发送第二控制指令;第二控制指令用于指示终端与互联网断开连接,并在确定终端不存在异常行为且与互联网断开连接之后,访问内部网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若威胁等级为高等级威胁,则向终端发送第三控制指令;第三控制指令用于指示终端分别与互联网和内部网络断开连接,并在确定内部网络的设备中感染文件被清理、终端不存在异常行为且与互联网断开连接之后,访问内部网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据威胁等级生成告警信息;
将告警信息发送至监测管理平台进行保存和管理。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
根据预设的互联网锚点地址对终端的行为进行探测,确定终端是否已连接互联网;
若终端已连接互联网,则获取终端与互联网连接过程中的行为信息;
对行为信息进行分析,获取终端对内部网络的威胁等级。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:对行为信息进行分析,获取终端对内部网络的威胁等级,包括:
对行为信息进行特征提取,得到终端的行为特征;
根据终端的行为特征判断终端是否存在异常行为,得到判断结果;异常行为包括病毒感染和/或攻击行为;
根据判断结果确定终端对内部网络的威胁等级。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:根据终端的行为特征判断终端是否存在异常行为,得到判断结果,包括:
将终端的行为特征与恶意行为特征库中的各行为特征进行匹配;
若终端的行为特征与恶意行为特征库中的至少一个行为特征匹配,则确定判断结果为终端存在异常行为;
若终端的行为特征与恶意行为特征库中的所有行为特征均不匹配,则确定判断结果为终端不存在异常行为。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:根据判断结果确定终端对内部网络的威胁等级,包括:
若判断结果表示终端不存在异常行为,则确定终端对内部网络的威胁等级为低等级威胁;
若判断结果表示终端存在异常行为,则根据异常行为确定终端对内部网络的威胁等级。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若威胁等级为低等级威胁,则向终端发送第一控制指令;第一控制指令用于指示终端与互联网断开连接,并在确定与互联网断开连接之后访问内部网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:根据异常行为确定终端对内部网络的威胁等级,包括:
若异常行为未对内部网络产生影响,则确定终端对内部网络的威胁等级为中等级威胁;
若异常行为对内部网络产生影响,则确定终端对内部网络的威胁等级为高等级威胁。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若威胁等级为中等级威胁,则向终端发送第二控制指令;第二控制指令用于指示终端与互联网断开连接,并在确定终端不存在异常行为且与互联网断开连接之后,访问内部网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若威胁等级为高等级威胁,则向终端发送第三控制指令;第三控制指令用于指示终端分别与互联网和内部网络断开连接,并在确定内部网络的设备中感染文件被清理、终端不存在异常行为且与互联网断开连接之后,访问内部网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据威胁等级生成告警信息;
将告警信息发送至监测管理平台进行保存和管理。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种终端行为监测方法,其特征在于,所述方法包括:
根据预设的互联网锚点地址对终端的行为进行探测,确定所述终端是否已连接互联网;
若所述终端已连接互联网,则获取所述终端与所述互联网连接过程中的行为信息;
对所述行为信息进行分析,获取所述终端对内部网络的威胁等级;
所述对所述行为信息进行分析,获取所述终端对内部网络的威胁等级,包括:
根据所述行为信息判断所述终端是否存在异常行为,得到判断结果;所述异常行为包括病毒感染和/或攻击行为;
根据所述判断结果确定所述终端对所述内部网络的威胁等级;
所述根据所述判断结果确定所述终端对所述内部网络的威胁等级,包括:
若所述判断结果表示所述终端不存在所述异常行为,则确定所述终端对所述内部网络的威胁等级为低等级威胁,向所述终端发送第一控制指令;所述第一控制指令用于指示所述终端与所述互联网断开连接,并在确定与所述互联网断开连接之后访问所述内部网络;
若所述判断结果表示所述终端存在所述异常行为,且所述异常行为未对所述内部网络产生影响,则确定所述终端对所述内部网络的威胁等级为中等级威胁,并向所述终端发送第二控制指令;所述第二控制指令用于指示所述终端与所述互联网断开连接,并在确定所述终端不存在所述异常行为且与所述互联网断开连接之后,访问所述内部网络;
若所述判断结果表示所述终端存在所述异常行为,且所述异常行为对所述内部网络产生影响,则确定所述终端对所述内部网络的威胁等级为高等级威胁,并向所述终端发送第三控制指令;所述第三控制指令用于指示所述终端分别与所述互联网和所述内部网络断开连接,并在确定所述内部网络的设备中感染文件被清理、所述终端不存在所述异常行为且与所述互联网断开连接之后,访问所述内部网络。
2.根据权利要求1所述的方法,其特征在于,所述根据所述终端的行为信息判断所述终端是否存在异常行为,得到判断结果,包括:
对所述行为信息进行特征提取,得到所述终端的行为特征;
根据所述终端的行为特征判断所述终端是否存在异常行为,得到判断结果。
3.根据权利要求1所述的方法,其特征在于,所述根据所述终端的行为特征判断所述终端是否存在异常行为,得到判断结果,包括:
将所述终端的行为特征与恶意行为特征库中的各行为特征进行匹配;
若所述终端的行为特征与所述恶意行为特征库中的至少一个行为特征匹配,则确定所述判断结果为所述终端存在所述异常行为;
若所述终端的行为特征与所述恶意行为特征库中的所有行为特征均不匹配,则确定所述判断结果为所述终端不存在所述异常行为。
4.根据权利要求1所述的方法,其特征在于,所述预设的互联网锚点地址设置在内部网络和互联网之间的小网络区域中的隔离区内。
5.根据权利要求4所述的方法,其特征在于,所述预设的互联网锚点地址与内部网络地址不重合。
6.根据权利要求1所述的方法,其特征在于,根据预设的互联网锚点地址对终端的行为进行探测,确定所述终端是否已连接互联网,包括:
根据所述预设的互联网锚点地址按照预设时间间隔周期性的探测终端的行为;
接收所述终端以回包响应的方式发送的探测结果;
基于所述探测结果,确定所述终端是否已连接互联网。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
根据所述威胁等级生成告警信息;
将所述告警信息发送至监测管理平台进行保存和管理。
8.一种终端行为监测装置,其特征在于,所述装置包括:
确定模块,用于根据预设的互联网锚点地址对终端的行为进行探测,确定所述终端是否已连接互联网;
获取模块,用于在所述终端已连接互联网的情况下,则获取所述终端与所述互联网连接过程中的行为信息;
处理模块,用于对所述行为信息进行分析,获取所述终端对内部网络的威胁等级;
所述处理模块具体用于:
根据所述行为信息判断所述终端是否存在异常行为,得到判断结果;所述异常行为包括病毒感染和/或攻击行为;
根据所述判断结果确定所述终端对所述内部网络的威胁等级;
所述处理模块还用于:
若所述判断结果表示所述终端不存在所述异常行为,则确定所述终端对所述内部网络的威胁等级为低等级威胁,向所述终端发送第一控制指令;所述第一控制指令用于指示所述终端与所述互联网断开连接,并在确定与所述互联网断开连接之后访问所述内部网络;
若所述判断结果表示所述终端存在所述异常行为,且所述异常行为未对所述内部网络产生影响,则确定所述终端对所述内部网络的威胁等级为中等级威胁,并向所述终端发送第二控制指令;所述第二控制指令用于指示所述终端与所述互联网断开连接,并在确定所述终端不存在所述异常行为且与所述互联网断开连接之后,访问所述内部网络;
若所述判断结果表示所述终端存在所述异常行为,且所述异常行为对所述内部网络产生影响,则确定所述终端对所述内部网络的威胁等级为高等级威胁,并向所述终端发送第三控制指令;所述第三控制指令用于指示所述终端分别与所述互联网和所述内部网络断开连接,并在确定所述内部网络的设备中感染文件被清理、所述终端不存在所述异常行为且与所述互联网断开连接之后,访问所述内部网络。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210197282.3A CN114338237B (zh) | 2022-03-01 | 2022-03-01 | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210197282.3A CN114338237B (zh) | 2022-03-01 | 2022-03-01 | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338237A CN114338237A (zh) | 2022-04-12 |
| CN114338237B true CN114338237B (zh) | 2024-02-02 |
Family
ID=81031433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210197282.3A Active CN114338237B (zh) | 2022-03-01 | 2022-03-01 | 终端行为监测方法、装置、设备、介质和计算机程序产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338237B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN111857965A (zh) * | 2020-07-28 | 2020-10-30 | 浙江军盾信息科技有限公司 | 内网威胁检测方法、装置、设备和计算机设备 |
| CN112383503A (zh) * | 2020-09-21 | 2021-02-19 | 西安交大捷普网络科技有限公司 | 一种网络安全事件处理方法 |
-
2022
- 2022-03-01 CN CN202210197282.3A patent/CN114338237B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN111857965A (zh) * | 2020-07-28 | 2020-10-30 | 浙江军盾信息科技有限公司 | 内网威胁检测方法、装置、设备和计算机设备 |
| CN112383503A (zh) * | 2020-09-21 | 2021-02-19 | 西安交大捷普网络科技有限公司 | 一种网络安全事件处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338237A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11068588B2 (en) | Detecting irregularities on a device | |
| CN109302426B (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
| US10003606B2 (en) | Systems and methods for detecting security threats | |
| CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
| US20160248788A1 (en) | Monitoring apparatus and method | |
| US20210281609A1 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
| CN113282928B (zh) | 恶意文件的处理方法、装置、系统、电子装置和存储介质 | |
| US12081569B2 (en) | Graph-based analysis of security incidents | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN110941823B (zh) | 威胁情报获取方法及装置 | |
| JP2024536226A (ja) | 機械学習を介して悪意のあるハンズオンキーボード活動を検出するためのシステムおよび方法 | |
| CN113497797A (zh) | 一种icmp隧道传输数据的异常检测方法及装置 | |
| EP3331210B1 (en) | Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination | |
| CN114338237B (zh) | 终端行为监测方法、装置、设备、介质和计算机程序产品 | |
| US20230275908A1 (en) | Thumbprinting security incidents via graph embeddings | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| CN113596060A (zh) | 一种网络安全应急响应方法及系统 | |
| JP6819610B2 (ja) | 診断装置、診断方法、及び、診断プログラム | |
| JP6863290B2 (ja) | 診断装置、診断方法、及び、診断プログラム | |
| CN111092886A (zh) | 一种终端防御方法、系统、设备及计算机可读存储介质 | |
| CN114629689B (zh) | Ip地址欺诈行为识别方法、装置、计算机设备和存储介质 | |
| CN111147497B (zh) | 一种基于知识不对等的入侵检测方法、装置以及设备 | |
| US20230275907A1 (en) | Graph-based techniques for security incident matching |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |