CN114363058B - 一种设备探测方法、装置及相关设备 - Google Patents
一种设备探测方法、装置及相关设备 Download PDFInfo
- Publication number
- CN114363058B CN114363058B CN202111679317.9A CN202111679317A CN114363058B CN 114363058 B CN114363058 B CN 114363058B CN 202111679317 A CN202111679317 A CN 202111679317A CN 114363058 B CN114363058 B CN 114363058B
- Authority
- CN
- China
- Prior art keywords
- information
- port
- domain name
- equipment
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 108
- 238000000034 method Methods 0.000 claims description 35
- 230000002159 abnormal effect Effects 0.000 claims description 26
- 238000004891 communication Methods 0.000 claims description 17
- 230000006399 behavior Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010276 construction Methods 0.000 claims description 4
- 230000008520 organization Effects 0.000 abstract description 37
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 230000004044 response Effects 0.000 description 16
- 239000000523 sample Substances 0.000 description 11
- 230000008569 process Effects 0.000 description 8
- 229910017052 cobalt Inorganic materials 0.000 description 6
- 239000010941 cobalt Substances 0.000 description 6
- GUTLYIVDDKVIGB-UHFFFAOYSA-N cobalt atom Chemical compound [Co] GUTLYIVDDKVIGB-UHFFFAOYSA-N 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种设备探测方法,包括:根据目标设备的设备运行信息获得IP信息和IP端口;利用所述IP信息对应的查询域名与所述IP端口构建域名端口;对所述域名端口进行信息探测,获得探测信息。应用本申请所提供的技术方案,可以对隐藏在安全网络设备背后的攻击设备进行有效识别,有助于进一步挖掘到潜在的高级威胁组织,有效地提高了网络设备的安全性。本申请还公开了一种设备探测装置、系统及计算机可读存储介质,均具上述有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种设备探测方法,还涉及一种设备探测装置、系统及计算机可读存储介质。
背景技术
在渗透活动中,外连C2服务器(Command&Control Server,命令与控制服务器)一直以来都是业界比较关注的一个检测方向,其中,Cobalt Strike(一张威胁模拟软件)是当下使用最多的一种C2服务器。使用Cobalt Strike的攻击者一般会分阶段投递payload(有效载荷,即病毒代码中实施有害或恶性动作的部分)以规避网络安全检测,先投递一个小型木马,再从服务器下载拥有完整功能的Beacon(Cobalt Strike运行在目标主机上的Payload)。
相关技术中,一般通过异常流量和终端行为来检测Beacon通信,找到与其通信的Cobalt Strike服务器的IP地址实现攻击识别。但是,一般情况下高级的恶意攻击者和组织都会刻意隐藏自己的地址,比如,将恶意服务器隐藏在CDN(Content Delivery Network,内容分发网络)服务器之后,使用CDN服务器来转发HTTP(HyperText Transfer Protocol,超文本传输协议)/HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议)协议的Beacon通信流量,此时,在安全设备中只能检测到CDN服务器的IP(Internet Protocol Address,互联网协议地址),而无法进行更深一步的溯源,因此,很多恶意服务器的域名和IP并不能被发现。
因此,如何对隐藏在安全网络设备背后的攻击设备进行有效识别,进一步保证网络设备安全是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种设备探测方法,该设备探测方法可以对隐藏在安全网络设备背后的攻击设备进行有效识别,进一步保证网络设备安全;本申请的另一目的是提供一种设备探测装置、系统及计算机可读存储介质,均具有上述有益效果。
第一方面,本申请提供了一种设备探测方法,包括:
根据目标设备的设备运行信息获得IP信息和IP端口;
利用所述IP信息对应的查询域名与所述IP端口构建域名端口;
对所述域名端口进行信息探测,获得探测信息。
优选的,所述根据目标设备的设备运行信息获得IP信息和IP端口,包括:
对所述设备运行信息进行特征提取,获得目标特征;其中,所述目标特征包括终端行为特征和/或通信流量特征;
当所述目标特征命中异常特征库的情况下,从所述目标特征对应的设备运行信息中解析得到所述IP信息和所述IP端口。
优选的,所述对所述域名端口进行信息探测,获得探测信息之后,还包括:
根据所述探测信息确定所述目标设备是否存在网络攻击。
优选的,所述根据所述探测信息确定所述目标设备是否存在网络攻击,包括:
当所述探测信息包括下载得到的预设类型的文件数据的情况下,确定所述目标设备存在网络攻击。
优选的,所述确定所述目标设备存在网络攻击之后,还包括:
对所述预设类型的文件数据进行解析,获得发起所述网络攻击的攻击设备的设备信息。
优选的,所述查询域名的获取过程,包括:
向所述IP信息对应的网络设备发送请求数据包,并接收所述网络设备反馈的响应数据包;
利用所述请求数据包和所述响应数据包进行域名匹配,获得所述查询域名。
优选的,当根据所述探测信息确定所述目标设备存在网络攻击的情况下,所述方法还包括:
利用所述请求数据包和所述响应数据包进行信息匹配,获得发起所述网络攻击的攻击设备的设备信息。
优选的,所述对所述域名端口进行信息探测,获得探测信息之前,还包括:
从所述域名端口中探测获得指纹特征;
当所述指纹特征命中指纹库的情况下,确定所述目标设备存在网络攻击;
当所述指纹特征未命中所述指纹库的情况下,执行所述对所述域名端口进行信息探测,获得探测信息的步骤及其后续的所有步骤。
第二方面,本申请还公开了一种设备探测装置,包括:
信息获取模块,用于根据目标设备的设备运行信息获得IP信息和IP端口;
域名端口构造模块,用于利用所述IP信息对应的查询域名与所述IP端口构建域名端口;
域名端口探测模块,用于对所述域名端口进行信息探测,获得探测信息。
第三方面,本申请还公开了一种设备探测系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的任一种设备探测方法的步骤。
第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一种设备探测方法的步骤。
本申请所提供的一种设备探测方法,包括:根据目标设备的设备运行信息获得IP信息和IP端口;利用所述IP信息对应的查询域名与所述IP端口构建域名端口;对所述域名端口进行信息探测,获得探测信息。
可见,本申请所提供的设备探测方法,在设备运行过程中,当基于设备运行信息捕捉到IP信息和IP端口时,可以利用IP信息对应的查询域名与相应的IP端口构建域名端口,由此,即可根据该域名端口探测到隐藏于其对应的网络安全设备之后的攻击组织,从而实现了对隐藏在正常网络设备之后的网络设备的探测,有助于进一步挖掘到潜在的高级威胁组织,有效地提高了网络设备的安全性。
本申请所提供的一种设备探测装置、系统及计算机可读存储介质,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请所提供的一种设备探测方法的流程示意图;
图2为本申请所提供的一种设备探测装置的结构示意图;
图3为本申请所提供的一种设备探测系统的结构示意图。
具体实施方式
本申请的核心是提供一种设备探测方法,该设备探测方法可以对隐藏在安全网络设备背后的攻击设备进行有效识别,进一步保证网络设备安全;本申请的另一核心是提供一种设备探测装置、系统及计算机可读存储介质,也具有上述有益效果。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种设备探测方法。
请参考图1,图1为本申请所提供的一种设备探测方法的流程示意图,该设备探测方法可包括:
S101:根据目标设备的设备运行信息获得IP信息和IP端口;
本步骤旨在基于目标设备的设备运行信息实现IP信息和IP端口的确定,该目标设备即为需要进行攻击识别的设备,即识别该目标设备是否正在遭受网络攻击,IP信息和IP端口则是与目标设备存在信息交互的网络设备的IP信息和IP端口。
其中,无论是目标设备,还是与目标设备存在信息交互的网络设备,均可以为服务器、用户主机等任意类型的网络设备,其具体类型并不影响本技术方案的实施。对于任一目标设备,可以在其运行过程中采集其运行信息,获得设备运行信息,用以实现IP信息和IP端口检测,即判断设备运行信息中是否存在IP信息和IP端口。
其中,设备运行信息的具体内容并不唯一,可以根据实际需求进行设定,例如,可以包括目标设备在运行过程中所产生以及所接收到的流量数据、终端行为数据等,本申请对此不做限定。可以理解的是,设备运行信息所包含的内容越丰富,相应的攻击识别结果越准确。
S102:利用IP信息对应的查询域名与IP端口构建域名端口;
本步骤旨在实现域名端口的构建。首先,确定IP信息对应的查询域名,即确定IP信息所属的网络设备的查询域名,然后,将该查询域名与IP端口进行拼接,即可构建获得新的域名端口。其中,IP信息对应的查询域名是指与IP信息所属网络设备进行数据交互的设备组织的域名,由于攻击组织通常隐藏于正常网络设备(如CDN服务器)背后,并利用该正常网络设备对目标设备实施网络攻击,因此,基于IP信息对应的查询域名即可探测到隐藏于该正常网络设备之后的攻击组织,也即确定该域名对应的设备组织是否为攻击组织,从而实现攻击识别。
S103:对域名端口进行信息探测,获得探测信息。
本步骤旨在实针对现域名端口的信息探测,以获得相应的探测信息,以便于根据该探测信息确定IP信息和IP端口所属网络设备之后是否存在攻击组织,继而确定目标设备是否存在来自于外界的网络攻击。具体的,在域名端口构建完成之后,即可对该域名端口进行信息探测,获得相应的探测信息。可以理解的是,由于域名端口为隐藏于正常网络设备之后的设备组织的域名端口,因此,基于该域名端口所探测到的探测信息必然包含有该设备组织的相关信息,故可以基于该探测信息确定该设备组织是否为攻击组织,进而确定目标设备是否存在网络攻击。
其中,信息探测过程可以采用已有技术中的任意一种探测工具或探测命令实现,本申请在此不再赘述。探测信息用于实现网络攻击识别,其具体内容并不唯一,由技术人员根据实际情况进行设定即可,本申请对此不做限定。
可见,本申请所提供的设备探测方法,在设备运行过程中,当基于设备运行信息捕捉到IP信息和IP端口时,可以利用IP信息对应的查询域名与相应的IP端口构建域名端口,由此,即可根据该域名端口探测到隐藏于其对应的网络安全设备之后的攻击组织,从而实现了对隐藏在正常网络设备之后的网络设备的探测,有助于进一步挖掘到潜在的高级威胁组织,有效地提高了网络设备的安全性。
在本申请的一个实施例中,上述根据目标设备的设备运行信息获得IP信息和IP端口,可以包括:对设备运行信息进行特征提取,获得目标特征;其中,目标特征包括终端行为特征和/或通信流量特征;当目标特征命中异常特征库的情况下,从目标特征对应的设备运行信息中解析得到IP信息和IP端口。
本申请实施例提供了一种基于设备运行信息确定IP信息和IP端口的实现方法,可以通过特征匹配的方法从设备运行信息中确定存在异常的IP信息和IP端口,以有效避免对所有的IP信息和IP端口对应的网络设备进行识别,进一步提高攻击识别效率。首先,在采集获得目标设备的设备运行信息之后,可对其进行特征提取,获得目标特征,该目标特征可以包括终端行为特征(如访问稀有IP、周期性通信、高频外联访问等)和/或通信流量特征(如证书信息、指纹信息等);进一步,将该目标特征与异常特征库进行匹配,如若命中异常特征库,则可确定该目标特征对应的设备运行信息存在异常,进而可以从该设备运行信息中解析得到相应的IP信息和IP端口,该IP信息即为存在异常的IP信息,IP端口即为存在异常的IP端口;反之,如若目标特征未命中异常特征库,则说明该目标特征对应的设备运行信息不存在异常,继续匹配下一条目标特征即可,直至所有的目标特征匹配完毕,获得目标设备所存在的所有异常IP信息和异常IP端口。
其中,异常特征库用于对常见攻击设备对应的异常特征进行存储,可预先采集大量的攻击设备对应的异常特征并存储于该异常特征库,用于在基于设备运行信息获得目标特征之后进行异常特征库匹配。其中,异常特征包括但不限于托管服务器信息、运行应用信息、JARM指纹信息、默认证书信息、特定构造请求响应信息等,本申请对此不做限定。
例如,以Cobalt Strike服务器的默认证书为例,Cobalt Strike服务器的默认证书为:O=cobaltstrike,OU=AdvancedPenTesting,CN=Major Cobalt Strike,其中存在很明显的特征:“cobaltstrike”这一关键字,因此,可以将该特征作为异常特征存储至异常特征库,由此,在特征匹配过程中,则可以从设备运行信息中提取默认证书信息,并提取其关键字与异常特征库进行匹配,在该关键字命中异常特征库时,即可确定该默认证书信息所属的设备运行信息存在异常,并从中解析得到相应的异常IP信息和异常IP端口。
在本申请的一个实施例中,上述对域名端口进行信息探测,获得探测信息之后,还可以包括:根据探测信息确定目标设备是否存在网络攻击。
本申请实施例旨在实现网络攻击识别,即基于从域名端口中探测得到的探测信息确定目标设备是否存在网络攻击。具体的,在获得域名端口的探测信息之后,可对其进行数据解析,然后基于其中所包含的数据内容确定其是否存在攻击信息,进而确定该域名端口对应的设备组织是否为攻击组织,也即确定目标设备是否存在网络攻击。
此外,当确定目标设备存在攻击行为时,可进一步输出告警提示,以提醒技术人员当前网络设备正在遭受来自目标设备的网络攻击,便于技术人员及时进行安全维护。其中,告警提示具体可以为指示灯提示、蜂鸣器提示等,具体实现方式由技术人员结合实际情况进行设定即可,本申请对此不做限定。
在本申请的一个实施例中,上述根据探测信息确定目标设备是否存在网络攻击,可以包括:当探测信息包括下载得到的预设类型的文件数据的情况下,确定目标设备存在网络攻击。
本申请实施例提供了一种具体类型的探测信息,以便基于该探测信息实现网络攻击识别,该探测信息即为上述预设类型的文件数据。可以理解的是,由于本申请旨在识别域名端口对应的设备组织是否为攻击设备,因此,上述预设类型的文件数据一般为常见攻击设备中所存在的文件数据,如前述Beacon信息。
具体而言,在构建获得域名端口之后,即可对其进行扫描,也即向其发送关于预设类型的文件数据的下载请求,也即探测请求。进一步,对于域名端口而言,其会将该下载请求转发给IP信息和IP端口所属的网络设备,由网络设备再次转发给隐藏于其背后的设备组织,此时,该设备组织将会基于该下载请求反馈数据信息,即上述探测信息,如若该探测信息中包括有预设类型的文件数据,则说明该设备组织为攻击组织,目标设备中存在来自于该攻击组织的网络攻击;如若探测信息中不包括预设类型的文件数据,则说明该设备组织不是攻击组织,也即目标设备中不存在来自于该设备组织的网络攻击。
其中,设备组织基于下载请求反馈的数据信息一般以加密文件的形式存在,因此,通过域名端口所接收到的设备组织的探测信息一般为加密文件,在此情况下,可以先利用预先构建的解密算法库中的各类解密算法对该加密文件进行解密,然后在解密成功获得解密文件后,通过文件解析确定其中是否包括有预设类型的文件数据。
在本申请的一个实施例中,该设备探测方法还可以包括:当探测信息不包括下载得到的预设类型的文件数据的情况下,访问预设类型的文件数据对应的各URL(UniformResource Locator,统一资源定位符);当URL的响应信息中包括有预设回复信息和/或乱码的情况下,确定目标设备存在网络攻击。
可以理解的是,如若攻击设备处于默认配置状态下,其可以根据接收到的包含有预设类型的文件数据探测请求反馈包含有预设类型的文件数据的探测信息,但是,如若攻击设备更改了默认配置,如攻击设备的端口设置有metasploit(主动攻击),那么,即便攻击设备接收到了包含有预设类型的文件数据的探测请求,也不会向探测请求发起方反馈包含有预设类型的文件数据的探测信息,那么,便会造成攻击识别结果不准确的问题,基于上一实施例的实现方式,攻击识别设备将无法识别出更改了默认配置的攻击设备。
为解决上述技术问题,可以增设重定向访问技术。具体的,当域名端口对应的设备组织反馈的探测信息中不包括预设类型的文件数据的情况下,攻击识别设备可以进一步访问该预设类型的文件数据对应的各URL,如若各URL的响应信息中包括有预设回复信息(如回复状态码为200)和/或乱码,同样可以确定域名端口对应的设备组织为攻击设备,即目标设备存在网络攻击。
在本申请的一个实施例中,上述确定目标设备存在网络攻击之后,还可以包括:对预设类型的文件数据进行解析,获得发起网络攻击的攻击设备的设备信息。
本申请实施例提供了一种获取攻击设备的设备信息的实现方法,以便实现攻击设备识别,该攻击设备即为隐藏于IP信息和IP端口所属网络设备背后的攻击组织,具体可以通过对探测信息中所包含的预设类型的文件数据进行解析得到该攻击设备的设备信息。以Beacon配置信息为例,假设预设类型的文件数据为Beacon配置信息,当域名端口对应的设备组织反馈的探测信息中包含有该Beacon配置信息,确定该设备组织为攻击设备,在此基础上,由于该Beacon配置信息实际由攻击设备发起,因此,该Beacon配置信息必然包含有攻击设备的设备信息,如攻击设备的IP地址,有基于此,则可以对Beacon配置信息进行解析,得到攻击设备的设备信息。
如上所述,当确定目标设备中存在网络攻击时,可进一步输出告警提示,在此基础上,在获得攻击设备的设备信息之后,可同时输出该攻击设备的设备信息,即将该攻击设备的设备信息输出至可视化界面进行显示,以及时提醒技术人员当前存在具有攻击风险的攻击设备,更进一步地,还可以对该攻击设备发起的数据包进行拦截,以有效避免攻击风险。
在本申请的一个实施例中,上述查询域名的获取过程,可以包括:向IP信息对应的网络设备发送请求数据包,并接收网络设备反馈的响应数据包;利用请求数据包和响应数据包进行域名匹配,获得查询域名。
本申请实施例提供了一种查询域名的获取方法。具体而言,在确定IP信息和IP端口之后,即可构造针对该IP信息所属网络设备的请求数据包,并将该请求数据包发送至该IP信息所属网络设备,IP信息所属网络设备在接收到请求数据包后,必然会反馈一个对应的响应数据包,由此,利用该请求数据包与响应数据包进行域名匹配,即可获得查询域名。其中,域名匹配过程具体可以通过对两个数据包进行解析字段匹配实现,例如,当IP信息所属网络设备为CDN服务器时,这两个数据包具体可以为DNS(Domain Name System,域名系统)数据包。
在本申请的一个实施例中,当根据探测信息确定目标设备存在网络攻击的情况下,该方法还可以包括:利用请求数据包和响应数据包进行信息匹配,获得发起网络攻击的攻击设备的设备信息。
本申请实施例提供了另一种获取攻击设备的设备信息的实现方法。具体而言,由于攻击组织隐藏于IP信息所属网络设备之后,利用该IP信息所属网络设备对目标设备发起网络攻击,因此,该IP信息所属网络设备中所流转的数据信息一般都包括有攻击组织的相关信息,有基于此,在上述利用数据包进行域名匹配获取查询域名的同时,可以同时对二者进行信息匹配,从而获得攻击设备的设备信息。其中,该设备信息一般为攻击设备的IP地址。
在本申请的一个实施例中,上述对域名端口进行信息探测,获得探测信息之前,还可以包括:从域名端口中探测获得指纹特征;当指纹特征命中指纹库的情况下,确定目标设备存在网络攻击;当指纹特征未命中指纹库的情况下,执行根据与域名端口的交互信息确定目标设备是否存在网络攻击的步骤及其后续的所有步骤。
为有效提高设备探测效率,还可以增设指纹库匹配机制。具体而言,在构造获得域名端口之后,对该域名端口进行信息探测之前,可以先采集该域名端口的指纹特征,然后将该指纹特征与指纹库进行匹配,其中,指纹库中存储有各种常见攻击设备的各类指纹特征,因此,当域名端口的指纹特征命中指纹库时,即可确定该域名端口对应的网络设备为攻击设备,且目标设备正在遭受来自于该攻击设备的网络攻击;当域名端口的指纹特征并未命中指纹库时,无法确定该域名端口对应的网络设备是否为攻击设备,因为可能存在指纹库未收录该类指纹特征的情况,此时,则可以继续执行S103,以进一步确定目标设备是否存在网络攻击。
其中,指纹特征的具体类型并不唯一,例如,可以为JARM指纹、JA3指纹、JA3S指纹等,本申请对此不做限定。并且,指纹特征的采集过程可以采用已有技术中的任意一种实现方式,本申请对此同样不做限定。以JARM指纹为例,JARM指纹可以利用JARM工具(一种主动识别TLS服务器指纹的工具)实现,JARM工具的工作方式是主动向目标TLS(TransportLayer Security,安全传输层协议)服务器发送10个精心构造的TLS客户端Hello包,并捕获TLS服务器Hello响应的特定属性,然后以特定的方式对聚合的TLS服务器响应进行散列计算,以生成JARM指纹。
由此,通过指纹库匹配机制直接将命中指纹库的指纹特征对应的域名端口识别出来,进而实现相应的攻击设备识别,有效地减少了后续功能模块的工作量,进一步提升了整体效率。
在本申请的一个实施例中,当指纹特征未命中指纹库的情况下,确定目标设备存在网络攻击之后,该方法还可以包括:当域名端口采用的数据协议为TLS协议的情况下,将指纹特征添加至指纹库。
在实际工作过程中,还可以对指纹库进行定时或实时更新,以有效保证指纹库中指纹特征的全面性,进一步提高设备探测效率。具体而言,在指纹特征未命中指纹库的情况下,如若通过后续攻击识别确定目标设备确实存在网络攻击时,则可以进一步对域名端口所采用的数据协议进行识别,若为TLS协议,则可以将上述采集的域名端口的指纹特征添加至指纹库,以实现指纹库的更新;若不是TLS协议,则无需再对该指纹特征进行处理,忽略即可。
本申请还提供了一种设备探测装置,请参考图2,图2为本申请所提供的一种设备探测装置的结构示意图,该设备探测装置可包括:
信息获取模块1,用于根据目标设备的设备运行信息获得IP信息和IP端口;
域名端口构造模块2,用于利用IP信息对应的查询域名与IP端口构建域名端口;
域名端口探测模块3,用于对域名端口进行信息探测,获得探测信息。
可见,本申请实施例所提供的设备探测装置,在设备运行过程中,当基于设备运行信息捕捉到IP信息和IP端口时,可以利用IP信息对应的查询域名与相应的IP端口构建域名端口,由此,即可根据该域名端口探测到隐藏于其对应的网络安全设备之后的攻击组织,从而实现了对隐藏在正常网络设备之后的网络设备的探测,有助于进一步挖掘到潜在的高级威胁组织,有效地提高了网络设备的安全性。
在本申请的一个实施例中,上述信息获取模块1可具体用于对设备运行信息进行特征提取,获得目标特征;其中,目标特征包括终端行为特征和/或通信流量特征;当目标特征命中异常特征库的情况下,从目标特征对应的设备运行信息中解析得到IP信息和IP端口。
在本申请的一个实施例中,该设备探测装置还可包括网络攻击识别模块4,用于在上述对域名端口进行信息探测,获得探测信息之后,根据探测信息确定目标设备是否存在网络攻击。
在本申请的一个实施例中,上述网络攻击识别模块可具体用于当探测信息包括下载得到的预设类型的文件数据的情况下,确定目标设备存在网络攻击。
在本申请的一个实施例中,该设备探测装置还可包括第一攻击设备信息获取模块,用于在确定目标设备存在网络攻击之后,对预设类型的文件数据进行解析,获得发起网络攻击的攻击设备的设备信息。
在本申请的一个实施例中,该设备探测装置还可包括查询域名获取模块,用于向IP信息对应的网络设备发送请求数据包,并接收网络设备反馈的响应数据包;利用请求数据包和响应数据包进行域名匹配,获得查询域名。
在本申请的一个实施例中,该设备探测装置还可包括第二攻击设备信息获取模块,用于当根据探测信息确定目标设备存在网络攻击的情况下,利用请求数据包和响应数据包进行信息匹配,获得发起网络攻击的攻击设备的设备信息。
在本申请的一个实施例中,该设备探测装置还可包括指纹库匹配模块,用于在上述对域名端口进行信息探测,获得探测信息之前,从域名端口中探测获得指纹特征;当指纹特征命中指纹库的情况下,确定目标设备存在网络攻击;当指纹特征未命中指纹库的情况下,执行根据与域名端口的交互信息确定目标设备是否存在网络攻击的步骤及其后续的所有步骤。
对于本申请提供的装置的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种设备探测系统,请参考图3,图3为本申请所提供的一种设备探测系统的结构示意图,该设备探测系统可包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时可实现如上述任意一种设备探测系统方法的步骤。
如图3所示,为设备探测系统的组成结构示意图,设备探测系统可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行设备探测方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
根据目标设备的设备运行信息获得IP信息和IP端口;
利用IP信息对应的查询域名与IP端口构建域名端口;
对域名端口进行信息探测,获得探测信息。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图3所示的结构并不构成对本申请实施例中设备探测系统的限定,在实际应用中设备探测系统可以包括比图3所示的更多或更少的部件,或者组合某些部件。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种设备探测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。
Claims (8)
1.一种设备探测方法,其特征在于,包括:
根据目标设备的设备运行信息获得IP信息和IP端口;
利用所述IP信息对应的查询域名与所述IP端口构建域名端口;
对所述域名端口进行信息探测,获得探测信息;
其中,所述根据目标设备的设备运行信息获得IP信息和IP端口,包括:
对所述设备运行信息进行特征提取,获得目标特征;其中,所述目标特征包括终端行为特征和/或通信流量特征;
当所述目标特征命中异常特征库的情况下,从所述目标特征对应的设备运行信息中解析得到所述IP信息和所述IP端口。
2.根据权利要求1所述的设备探测方法,其特征在于,所述对所述域名端口进行信息探测,获得探测信息之后,还包括:
根据所述探测信息确定所述目标设备是否存在网络攻击。
3.根据权利要求2所述的设备探测方法,其特征在于,所述根据所述探测信息确定所述目标设备是否存在网络攻击,包括:
当所述探测信息包括下载得到的预设类型的文件数据的情况下,确定所述目标设备存在网络攻击。
4.根据权利要求3所述的设备探测方法,其特征在于,所述确定所述目标设备存在网络攻击之后,还包括:
对所述预设类型的文件数据进行解析,获得发起所述网络攻击的攻击设备的设备信息。
5.根据权利要求1至4任意一项所述的设备探测方法,其特征在于,所述对所述域名端口进行信息探测,获得探测信息之前,还包括:
从所述域名端口中探测获得指纹特征;
当所述指纹特征命中指纹库的情况下,确定所述目标设备存在网络攻击;
当所述指纹特征未命中所述指纹库的情况下,执行所述对所述域名端口进行信息探测,获得探测信息的步骤及其后续的所有步骤。
6.一种设备探测装置,其特征在于,包括:
信息获取模块,用于根据目标设备的设备运行信息获得IP信息和IP端口;
域名端口构造模块,用于利用所述IP信息对应的查询域名与所述IP端口构建域名端口;
域名端口探测模块,用于对所述域名端口进行信息探测,获得探测信息;
其中,所述信息获取模块具体用于对所述设备运行信息进行特征提取,获得目标特征;其中,所述目标特征包括终端行为特征和/或通信流量特征;当所述目标特征命中异常特征库的情况下,从所述目标特征对应的设备运行信息中解析得到所述IP信息和所述IP端口。
7.一种设备探测系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述的设备探测方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的设备探测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111679317.9A CN114363058B (zh) | 2021-12-31 | 2021-12-31 | 一种设备探测方法、装置及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111679317.9A CN114363058B (zh) | 2021-12-31 | 2021-12-31 | 一种设备探测方法、装置及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114363058A CN114363058A (zh) | 2022-04-15 |
| CN114363058B true CN114363058B (zh) | 2024-02-23 |
Family
ID=81105827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111679317.9A Active CN114363058B (zh) | 2021-12-31 | 2021-12-31 | 一种设备探测方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363058B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120072992A (ko) * | 2010-12-24 | 2012-07-04 | 한국인터넷진흥원 | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 |
| CN109474568A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 针对利用域前置技术实现恶意攻击的检测方法及系统 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN110881024A (zh) * | 2019-08-14 | 2020-03-13 | 奇安信科技集团股份有限公司 | 漏洞的探测方法及装置、存储介质、电子装置 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112637159A (zh) * | 2020-12-14 | 2021-04-09 | 杭州安恒信息技术股份有限公司 | 一种基于主动探测技术的网络资产扫描方法、装置及设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI648650B (zh) * | 2017-07-20 | 2019-01-21 | 中華電信股份有限公司 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
| US11627147B2 (en) * | 2019-05-17 | 2023-04-11 | Charter Communications Operating, Llc | Botnet detection and mitigation |
| US11811820B2 (en) * | 2020-02-24 | 2023-11-07 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious C and C channel to fixed IP detection |
-
2021
- 2021-12-31 CN CN202111679317.9A patent/CN114363058B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120072992A (ko) * | 2010-12-24 | 2012-07-04 | 한국인터넷진흥원 | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 |
| CN109474568A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 针对利用域前置技术实现恶意攻击的检测方法及系统 |
| CN110881024A (zh) * | 2019-08-14 | 2020-03-13 | 奇安信科技集团股份有限公司 | 漏洞的探测方法及装置、存储介质、电子装置 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112637159A (zh) * | 2020-12-14 | 2021-04-09 | 杭州安恒信息技术股份有限公司 | 一种基于主动探测技术的网络资产扫描方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114363058A (zh) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
| US10277614B2 (en) | Information processing apparatus, method for determining activity and computer-readable medium | |
| EP3111330B1 (en) | System and method for verifying and detecting malware | |
| CN111600850B (zh) | 一种检测挖矿虚拟货币的方法、设备及存储介质 | |
| US10581880B2 (en) | System and method for generating rules for attack detection feedback system | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| CN112788034B (zh) | 对抗网络攻击的处理方法、装置、电子设备和存储介质 | |
| CN110730175A (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| Albin | A comparative analysis of the snort and suricata intrusion-detection systems | |
| CN107566420B (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
| CN112600852B (zh) | 漏洞攻击处理方法、装置、设备及存储介质 | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| CN101621428A (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
| CN111049784A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN115695031A (zh) | 主机失陷检测方法、装置及设备 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN114363058B (zh) | 一种设备探测方法、装置及相关设备 | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
| CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| CN112640392B (zh) | 一种木马检测方法、装置和设备 | |
| CN113904843A (zh) | 一种终端异常dns行为的分析方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |