CN114363059A - 一种攻击识别方法、装置及相关设备 - Google Patents
一种攻击识别方法、装置及相关设备 Download PDFInfo
- Publication number
- CN114363059A CN114363059A CN202111679333.8A CN202111679333A CN114363059A CN 114363059 A CN114363059 A CN 114363059A CN 202111679333 A CN202111679333 A CN 202111679333A CN 114363059 A CN114363059 A CN 114363059A
- Authority
- CN
- China
- Prior art keywords
- information
- attack
- target
- packet
- target device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000001514 detection method Methods 0.000 claims abstract description 70
- 230000004044 response Effects 0.000 claims abstract description 65
- 230000006399 behavior Effects 0.000 claims description 60
- 239000000523 sample Substances 0.000 claims description 52
- 230000002159 abnormal effect Effects 0.000 claims description 25
- 238000004891 communication Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 10
- 230000008520 organization Effects 0.000 abstract description 9
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 229910017052 cobalt Inorganic materials 0.000 description 9
- 239000010941 cobalt Substances 0.000 description 9
- GUTLYIVDDKVIGB-UHFFFAOYSA-N cobalt atom Chemical compound [Co] GUTLYIVDDKVIGB-UHFFFAOYSA-N 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 239000003999 initiator Substances 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003211 malignant effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Abstract
本申请公开了一种攻击识别方法,包括:根据设备运行信息确定目标设备的IP信息;针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包;接收所述目标设备针对所述探测包发送的响应包,根据所述响应包的内容确定所述目标设备是否存在攻击行为。应用本申请所提供的技术方案,实现了对攻击组织的主动检测和识别,进一步提高了网络设备的安全性。本申请还公开了一种攻击识别装置、系统及计算机可读存储介质,均具上述有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种攻击识别方法,还涉及一种攻击识别装置、系统及计算机可读存储介质。
背景技术
在渗透活动中,外连C2服务器(Command&Control Server,命令与控制服务器)一直以来都是业界比较关注的一个检测方向,其中,Cobalt Strike(一张威胁模拟软件)是当下使用最多的一种C2服务器。使用Cobalt Strike的攻击者一般会分阶段投递payload(有效载荷,即病毒代码中实施有害或恶性动作的部分)以规避网络安全检测,先投递一个小型木马,再从服务器下载拥有完整功能的Beacon(Cobalt Strike运行在目标主机上的Payload)。
相关技术中,一般都是利用情报能力实现Coablt Strike的获取,即将存在威胁风险的域名或IP(Internet Protocol Address,互联网协议地址)收录到情报库中,但是,这种实现方式往往都是依赖于外部能力,是一个被动的行为,无法主动获取和检测攻击组织的线索。
因此,如何对攻击组织进行主动检测和识别,进一步保证网络设备安全是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种攻击识别方法,该攻击识别方法可以对攻击组织进行主动检测和识别,进一步保证网络设备安全;本申请的另一目的是提供一种攻击识别装置、系统及计算机可读存储介质,均具有上述有益效果。
第一方面,本申请提供了一种攻击识别方法,包括:
根据设备运行信息确定目标设备的IP信息;
针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包;
接收所述目标设备针对所述探测包发送的响应包,根据所述响应包的内容确定所述目标设备是否存在攻击行为。
优选的,所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包,包括:
构造登录密码,并根据所述IP信息向所述目标设备发送包括所述登录密码的探测包;
相应地,所述根据所述响应包的内容确定所述目标设备是否存在攻击行为,包括:
在所述响应包的内容包括密码识别结果的情况下,确定所述目标设备存在攻击行为。
优选的,所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包之前,还包括:
获取所述IP信息对应的网络端口;
从所述网络端口中探测获得指纹特征;
当所述指纹特征命中指纹库的情况下,确定所述目标设备存在攻击行为;
当所述指纹特征未命中所述指纹库的情况下,执行所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包的步骤及其后续所有步骤。
优选的,当所述指纹特征未命中所述指纹库的情况下,确定所述目标设备存在攻击行为之后,所述方法还包括:
当所述网络端口采用的数据协议为TLS协议的情况下,将所述指纹特征添加至所述指纹库。
优选的,所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包,包括:
构造预设类型的文件数据的下载请求信息,根据所述IP信息向所述目标设备发送包括所述下载请求信息的探测包;
相应地,所述根据所述响应包的内容确定所述目标设备是否存在攻击行为,包括:
当所述响应包的内容包括下载得到的预设类型的文件数据的情况下,确定所述目标设备存在攻击行为。
优选的,所述攻击识别方法还包括:
当所述响应包的内容不包括下载得到的预设类型的文件数据的情况下,访问所述预设类型的文件数据对应的各URL;
当所述URL的响应信息中包括有预设回复信息和/乱码的情况下,确定所述目标设备存在攻击行为。
优选的,所述根据设备运行信息确定目标设备的IP信息,包括:
对所述设备运行信息进行特征提取,获得目标特征;其中,所述目标特征包括终端行为特征和/或通信流量特征;
当所述目标特征命中异常特征库的情况下,从所述目标特征对应的设备运行信息中解析得到所述目标设备的IP信息。
第二方面,本申请还公开了一种攻击识别装置,包括:
IP信息获取模块,用于根据设备运行信息确定目标设备的IP信息;
探测包发送模块,用于针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包;
攻击行为识别模块,用于接收所述目标设备针对所述探测包发送的响应包,根据所述响应包的内容确定所述目标设备是否存在攻击行为。
第三方面,本申请还公开了一种攻击识别系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的任一种攻击识别方法的步骤。
第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一种攻击识别方法的步骤。
本申请所提供的一种攻击识别方法,包括:根据设备运行信息确定目标设备的IP信息;针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包;接收所述目标设备针对所述探测包发送的响应包,根据所述响应包的内容确定所述目标设备是否存在攻击行为。
可见,本申请所提供的攻击识别方法,在设备运行过程中,当基于设备运行信息捕捉到目标设备的IP信息时,可以针对该目标设备构造探测包用以对目标设备进行探测,进而根据目标设备反馈的响应包中的内容确定该目标设备是否存在攻击行为,从而实现攻击行为检测,由此,实现了对攻击组织的主动检测和识别,进一步提高了网络设备的安全性。
本申请所提供的一种攻击识别装置、系统及计算机可读存储介质,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请所提供的一种攻击识别方法的流程示意图;
图2为本申请所提供的一种攻击识别装置的结构示意图;
图3为本申请所提供的一种攻击识别系统的结构示意图。
具体实施方式
本申请的核心是提供一种攻击识别方法,该攻击识别方法可以对攻击组织进行主动检测和识别,进一步保证网络设备安全;本申请的另一核心是提供一种攻击识别装置、系统及计算机可读存储介质,也具有上述有益效果。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种攻击识别方法。
请参考图1,图1为本申请所提供的一种攻击识别方法的流程示意图,该攻击识别方法可包括:
S101:根据设备运行信息确定目标设备的IP信息;
本步骤旨在基于当前网络设备的设备运行信息实现目标设备IP信息的确定,该目标设备即为与当前网络设备具有数据交互的网络设备,以便于基于该IP信息确定当前网络设备是否存在来自于目标设备的网络攻击,即识别目标设备是否为攻击设备(如CobaltStrike服务器),也即识别目标设备是否存在针对当前网络设备的攻击行为。
其中,无论是当前网络设备,还是目标设备,均可以为服务器、用户主机等任意类型的网络设备,其具体类型并不影响本技术方案的实施。对于任一当前网络设备,可以在其运行过程中采集其运行信息,获得设备运行信息,用以实现IP信息检测,即判断设备运行信息中是否存在IP信息。
其中,设备运行信息的具体内容并不唯一,可以根据实际需求进行设定,例如,可以包括当前网络设备在运行过程中所产生以及所接收到的流量数据、终端行为数据等,本申请对此不做限定。可以理解的是,设备运行信息所包含的内容越丰富,相应的攻击识别结果越准确。
S102:针对目标设备构造探测包,根据IP信息向目标设备发送探测包;
本步骤旨在通过向目标设备发送探测包实现对目标设备的探测,以便于基于探测信息实现攻击识别。具体而言,可以先针对目标设备构造一个探测包,然后根据所获得的IP信息向目标设备发送该探测包,从而实现对目标设备的探测。需要说明的是,探测包中所包含的具体内容并不影响本技术方案的实施,可实现目标设备探测即可,本申请对此不做限定。
S103:接收目标设备针对探测包发送的响应包,根据响应包的内容确定目标设备是否存在攻击行为。
本步骤旨在实现攻击行为检测,即识别目标设备是否存在攻击行为。具体的,对于目标设备而言,其在接收到攻击识别设备发送的探测包之后,必然会向攻击识别设备反馈一个对应的响应包,该响应包中也必然存在关于目标设备的相关信息,因此,攻击识别设备即可根据该响应包中的内容来确定目标设备是否存在攻击行为,由此,实现了对攻击组织的主动检测和识别。
进一步,当确定目标设备存在攻击行为时,可进一步输出告警提示,以提醒技术人员当前网络设备正在遭受来自目标设备的网络攻击,便于技术人员及时进行安全维护。其中,告警提示具体可以为指示灯提示、蜂鸣器提示等,具体实现方式由技术人员结合实际情况进行设定即可,本申请对此不做限定。
此外,在输出告警提示时,还可以同时输出目标设备的IP信息,即将该目标设备的IP信息输出至可视化界面进行显示,以及时提醒技术人员当前存在具有攻击风险的攻击设备,更进一步地,还可以对该攻击设备发送的数据包进行拦截,以有效避免攻击风险。
可见,本申请所提供的攻击识别方法,在设备运行过程中,当基于设备运行信息捕捉到目标设备的IP信息时,可以针对该目标设备构造探测包用以对目标设备进行探测,进而根据目标设备反馈的响应包中的内容确定该目标设备是否存在攻击行为,从而实现攻击行为检测,由此,实现了对攻击组织的主动检测和识别,进一步提高了网络设备的安全性。
在本申请的一个实施例中,上述针对目标设备构造探测包,根据IP信息向目标设备发送探测包,可以包括:构造登录密码,并根据IP信息向目标设备发送包括登录密码的探测包;
相应地,上述根据响应包的内容确定目标设备是否存在攻击行为,可以包括:在响应包的内容包括密码识别结果的情况下,确定目标设备存在攻击行为。
本申请实施例提供了一种具体类型的探测包,即包含登录密码的探测包,该登录密码用于请求登录目标设备。具体而言,可以先针对目标设备构造一个登录密码,并将该登录密码添加至探测包之内,然后根据目标设备的IP信息将该包含有登录密码的探测包发送至目标设备。其中,可以结合常见攻击设备的密码设置要求进行登录密码的构造,例如,可以根据常见攻击设备的密码设置长度要求、密码设置字符要求等设计登录密码,然后基于该登录密码构造包括有256比特数据的登录数据,形成探测包,该探测包的形式具体可以为“\x00\x00\xbe\xef+登录密码长度+登录密码+填充字符”,由此,即可根据目标设备的IP信息将该探测包发送至目标设备。
进一步,对于目标设备而言,其在接收到其它网络设备向其发送的包含有登录密码的探测包时,必然会对该探测包进行密码解析和判断,然后根据判断结果向探测包发起方反馈是否允许其登陆的响应数据,也即上述响应包。因此,在向目标设备发送包含有登录密码的探测包之后,即可等待接收目标设备基于该探测包反馈的响应包,以便于根据该响应包对目标设备进行识别。
可以想到的是,响应包的内容可能存在多种可能性,一种是目标设备从探测包中解析得到的登录密码正确,此时,响应包的内容即为允许登录或登陆成功的提示信息;另一种是目标设备从探测包中解析得到的登录密码错误,此时,响应包的内容即为密码错误提示,不允许用户登录;还有一种是与密码识别结果无关的其他类型的数据信息,表示目标设备对接收到的探测包无法识别,也即构造的登录密码不符合目标设备的登录要求。可以理解的是,由于本申请旨在实现攻击识别,因此,在构造登录密码时,必然是根据常见攻击设备的密码设置要求进行构造的,在此基础上,如若目标设备反馈的响应包的内容是与密码识别结果无关的其他类型的数据信息,则可以确定该目标设备不是攻击设备;如若响应包中包含密码识别结果,则可以确定该目标设备是攻击设备。
在本申请的一个实施例中,上述根据IP信息向目标设备发送探测包,可以包括:根据IP信息,通过目标设备的50050端口向目标设备发送包括探测包。
本申请实施例提供了一种向目标设备发送探测包的实现方法。具体而言,在向目标设备发送探测包时,可以通过目标设备的50050端口向目标设备发送探测包,可以理解的是,对于一般网络设备而言,尤其是攻击服务器,如Cobalt Strike服务器,其默认开放端口一般都是50050端口,因此,可以通过该端口进行探测包的转发,以确保目标设备可以接收到攻击识别设备发起的探测包。
在本申请的一个实施例中,上述针对目标设备构造探测包,根据IP信息向目标设备发送探测包之前,还可以包括:获取IP信息对应的网络端口;从网络端口中探测获得指纹特征;当指纹特征命中指纹库的情况下,确定目标设备存在攻击行为;当指纹特征未命中指纹库的情况下,执行针对目标设备构造探测包,根据IP信息向目标设备发送探测包的步骤及其后续所有步骤。
为有效提高攻击识别效率,还可以增设指纹库匹配机制。具体而言,在基于设备运行信息获得目标设备的IP信息之后,构造针对目标设备的探测包之前,可以先获取该IP信息对应的网络端口;进一步,采集该网络端口的指纹特征,然后将该指纹特征与指纹库进行匹配,其中,指纹库中存储有各种常见攻击设备的各类指纹特征,因此,当网络端口的指纹特征命中指纹库时,即可确定该网络端口所属的目标设备为攻击设备;当网络端口的指纹特征并未命中指纹库时,无法确定该网络端口所属的目标设备是否为攻击设备,因为可能存在指纹库未收录该类指纹特征的情况,此时,则可以继续执行S102,以进一步确定目标设备是否为攻击设备。
其中,指纹特征的具体类型并不唯一,例如,可以为JARM指纹、JA3指纹、JA3S指纹等,本申请对此不做限定。并且,指纹特征的采集过程可以采用已有技术中的任意一种实现方式,本申请对此同样不做限定。以JARM指纹为例,JARM指纹可以利用JARM工具(一种主动识别TLS服务器指纹的工具)实现,JARM工具的工作方式是主动向目标TLS(TransportLayer Security,安全传输层协议)服务器发送10个精心构造的TLS客户端Hello包,并捕获TLS服务器Hello响应的特定属性,然后以特定的方式对聚合的TLS服务器响应进行散列计算,以生成JARM指纹。
由此,通过指纹库匹配机制直接将命中指纹库的指纹特征对应的网络端口识别出来,进而实现攻击设备识别,有效地减少了后续功能模块的工作量,进一步提升了整体效率。
在本申请的一个实施例中,当指纹特征未命中指纹库的情况下,确定目标设备存在攻击行为之后,该方法还可以包括:当网络端口采用的数据协议为TLS协议的情况下,将指纹特征添加至指纹库。
在实际工作过程中,还可以对指纹库进行定时或实时更新,以有效保证指纹库中指纹特征的全面性,进一步提高攻击识别效率。具体而言,在指纹特征未命中指纹库的情况下,如若通过后续攻击识别确定目标设备确实存在攻击行为时,则可以进一步对网络端口所采用的数据协议进行识别,若为TLS协议,则可以将上述采集的网络端口的指纹特征添加至指纹库,以实现指纹库的更新;若不是TLS协议,则无需再对该指纹特征进行处理,忽略即可。
在本申请的一个实施例中,上述针对目标设备构造探测包,根据IP信息向目标设备发送探测包,可以包括:构造预设类型的文件数据的下载请求信息,根据IP信息向目标设备发送包括下载请求信息的探测包;
相应地,上述根据响应包的内容确定目标设备是否存在攻击行为,可以包括:当响应包的内容包括下载得到的预设类型的文件数据的情况下,确定目标设备存在攻击行为。
本申请实施例提供了另一种具体类型的探测包,即包含预设类型的文件数据的下载请求信息的探测包,该下载请求信息用于请求从目标设备中下载预设类型的文件数据。可以理解的是,由于本申请旨在识别目标设备是否存在攻击行为,因此,上述预设类型的文件数据一般为常见攻击设备中所存在的文件数据,如Beacon信息。其中,Beacon即攻击服务器(如Cobalt Strike服务器)运行在目标主机(当前网络设备)上的Payload,Payload即为病毒代码中实施有害或恶性动作的部分,因此,如若可以从目标设备中下载得到Beacon相关信息,即可确定该目标设备为攻击设备。
首先,可以先针对目标设备构造预设类型的文件数据的下载请求信息,并将该下载请求信息添加至探测包之内,然后根据目标设备的IP信息将该包含有下载请求信息的探测包发送至目标设备。其中,可以结合常见攻击设备的文件信息类型进行下载请求信息的构造,如上述Beacon信息。进一步,对于目标设备而言,其在接收到其它网络设备向其发送的包含有下载请求信息的探测包时,必然会对该探测包进行解析并响应其中的下载请求信息,生成相应的响应包反馈至探测包发起方,即本申请中的攻击识别设备,以便于攻击识别设备根据该响应包对目标设备进行识别。可以想到的是,由于预设类型的文件数据一般为常见攻击设备中所存在的文件数据,因此,如果响应包中包括有预设类型的文件数据,则可以确定该目标设备为攻击设备,反之,则说明目标设备不是攻击设备。
其中,目标设备基于下载请求信息反馈的响应包一般以加密文件的形式存在,在此情况下,可以先利用预先构建的解密算法库中的各类解密算法对该加密文件进行解密,然后在解密成功获得解密文件后,通过文件解析确定其中是否包括有预设类型的文件数据。
此外,当基于上述方式实现攻击识别时,在确定目标设备为攻击设备之后,还可以通过对上述预设类型的文件数据进行解析得到该攻击设备的各类设备信息,以便针对攻击设备进行网络安全防护。
在本申请的一个实施例中,该攻击识别方法还可以包括:当响应包的内容不包括下载得到的预设类型的文件数据的情况下,访问预设类型的文件数据对应的各URL(Uniform Resource Locator,统一资源定位符);当URL的响应信息中包括有预设回复信息和/或乱码的情况下,确定目标设备存在攻击行为。
可以理解的是,如若攻击设备处于默认配置状态下,其可以根据接收到的包含有下载请求信息的探测包反馈包含有预设类型的文件数据的响应包,但是,如若攻击设备更改了默认配置,如攻击设备的端口设置有metasploit(主动攻击),那么,即便攻击设备接收到了包含有下载请求信息的探测包,也不会向探测包发起方反馈包含有预设类型的文件数据的响应包,那么,便会造成攻击识别结果不准确的问题,基于上一实施例的实现方式,攻击识别设备将无法识别出更改了默认配置的攻击设备。
为解决上述技术问题,可以增设重定向访问技术。具体的,当目标设备反馈的响应包中不包括预设类型的文件数据的情况下,攻击识别设备可以进一步访问预设类型的文件数据对应的各URL,如若各URL的响应信息中包括有预设回复信息(如回复状态码为200)和/或乱码,同样可以确定目标设备存在攻击行为。
在本申请的一个实施例中,上述根据设备运行信息确定目标设备的IP信息,可以包括:对设备运行信息进行特征提取,获得目标特征;其中,目标特征包括终端行为特征和/或通信流量特征;当目标特征命中异常特征库的情况下,从目标特征对应的设备运行信息中解析得到目标设备的IP信息。
本申请实施例提供了一种基于设备运行信息确定目标设备IP信息的实现方法,可以通过特征匹配的方法从设备运行信息中确定存在异常的IP信息,以有效避免对所有的IP信息对应的目标设备进行识别,进一步提高攻击识别效率。首先,在采集获得当前网络设备的设备运行信息之后,可对其进行特征提取,获得目标特征,该目标特征可以包括终端行为特征(如访问稀有IP、周期性通信、高频外联访问等)和/或通信流量特征(如证书信息、指纹信息等);进一步,将该目标特征与异常特征库进行匹配,如若命中异常特征库,则可确定该目标特征对应的设备运行信息存在异常,进而可以从该设备运行信息中解析得到相应的IP信息,该IP信息即为存在异常的IP信息;反之,如若目标特征未命中异常特征库,则说明该目标特征对应的设备运行信息不存在异常,继续匹配下一条目标特征即可,直至所有的目标特征匹配完毕,获得当前网络设备所存在的所有异常IP信息。
其中,异常特征库用于对常见攻击设备对应的异常特征进行存储,可预先采集大量的攻击设备对应的异常特征并存储于该异常特征库,用于在基于设备运行信息获得目标特征之后进行异常特征库匹配。其中,异常特征包括但不限于托管服务器信息、运行应用信息、JARM指纹信息、默认证书信息、特定构造请求响应信息等,本申请对此不做限定。
例如,以Cobalt Strike服务器的默认证书为例,Cobalt Strike服务器的默认证书为:O=cobaltstrike,OU=AdvancedPenTesting,CN=Major Cobalt Strike,其中存在很明显的特征:“cobaltstrike”这一关键字,因此,可以将该特征作为异常特征存储至异常特征库,由此,在特征匹配过程中,则可以从设备运行信息中提取默认证书信息,并提取其关键字与异常特征库进行匹配,在该关键字命中异常特征库时,即可确定该默认证书信息所属的设备运行信息存在异常,并从中解析得到相应的异常IP信息。
本申请还提供了一种攻击识别装置,请参考图2,图2为本申请所提供的一种攻击识别装置的结构示意图,该攻击识别装置可包括:
IP信息获取模块1,用于根据设备运行信息确定目标设备的IP信息;
探测包发送模块2,用于针对目标设备构造探测包,根据IP信息向目标设备发送探测包;
攻击行为识别模块3,用于接收目标设备针对探测包发送的响应包,根据响应包的内容确定目标设备是否存在攻击行为。
可见,本申请实施例所提供的攻击识别装置,在设备运行过程中,当基于设备运行信息捕捉到目标设备的IP信息时,可以针对该目标设备构造探测包用以对目标设备进行探测,进而根据目标设备反馈的响应包中的内容确定该目标设备是否存在攻击行为,从而实现攻击行为检测,由此,实现了对攻击组织的主动检测和识别,进一步提高了网络设备的安全性。
在本申请的一个实施例中,上述探测包发送模块2可具体用于构造登录密码,并根据IP信息向目标设备发送包括登录密码的探测包;
相应地,上述攻击行为识别模块3可具体用于在响应包的内容包括密码识别结果的情况下,确定目标设备存在攻击行为。
在本申请的一个实施例中,该攻击识别装置还可包括指纹库匹配模块,用于在上述针对目标设备构造探测包,根据IP信息向目标设备发送探测包之前,获取IP信息对应的网络端口;从网络端口中探测获得指纹特征;当指纹特征命中指纹库的情况下,确定目标设备存在攻击行为;当指纹特征未命中指纹库的情况下,执行针对目标设备构造探测包,根据IP信息向目标设备发送探测包的步骤及其后续所有步骤。
在本申请的一个实施例中,该攻击识别装置还可包括指纹库更新模块,用于当指纹特征未命中指纹库的情况下,确定目标设备存在攻击行为之后,当网络端口采用的数据协议为TLS协议的情况下,将指纹特征添加至指纹库。
在本申请的一个实施例中,上述探测包发送模块2可具体用于构造预设类型的文件数据的下载请求信息,根据IP信息向目标设备发送包括下载请求信息的探测包;
相应地,上述攻击行为识别模块3可具体用于当响应包的内容包括下载得到的预设类型的文件数据的情况下,确定目标设备存在攻击行为。
在本申请的一个实施例中,上述攻击行为识别模块3还可用于当响应包的内容不包括下载得到的预设类型的文件数据的情况下,访问预设类型的文件数据对应的各URL;当URL的响应信息中包括有预设回复信息和/或乱码的情况下,确定目标设备存在攻击行为。
在本申请的一个实施例中,上述IP信息获取模块1可具体用于对设备运行信息进行特征提取,获得目标特征;其中,目标特征包括终端行为特征和/或通信流量特征;当目标特征命中异常特征库的情况下,从目标特征对应的设备运行信息中解析得到目标设备的IP信息。
对于本申请提供的装置的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种攻击识别系统,请参考图3,图3为本申请所提供的一种攻击识别系统的结构示意图,该攻击识别系统可包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时可实现如上述任意一种攻击识别系统方法的步骤。
如图3所示,为攻击识别系统的组成结构示意图,攻击识别系统可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行攻击识别方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
根据设备运行信息确定目标设备的IP信息;
针对目标设备构造探测包,根据IP信息向目标设备发送探测包;
接收目标设备针对探测包发送的响应包,根据响应包的内容确定目标设备是否存在攻击行为。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图3所示的结构并不构成对本申请实施例中攻击识别系统的限定,在实际应用中攻击识别系统可以包括比图3所示的更多或更少的部件,或者组合某些部件。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种攻击识别方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。
Claims (10)
1.一种攻击识别方法,其特征在于,包括:
根据设备运行信息确定目标设备的IP信息;
针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包;
接收所述目标设备针对所述探测包发送的响应包,根据所述响应包的内容确定所述目标设备是否存在攻击行为。
2.根据权利要求1所述的攻击识别方法,其特征在于,所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包,包括:
构造登录密码,并根据所述IP信息向所述目标设备发送包括所述登录密码的探测包;
相应地,所述根据所述响应包的内容确定所述目标设备是否存在攻击行为,包括:
在所述响应包的内容包括密码识别结果的情况下,确定所述目标设备存在攻击行为。
3.根据权利要求1所述的攻击识别方法,其特征在于,所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包之前,还包括:
获取所述IP信息对应的网络端口;
从所述网络端口中探测获得指纹特征;
当所述指纹特征命中指纹库的情况下,确定所述目标设备存在攻击行为;
当所述指纹特征未命中所述指纹库的情况下,执行所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包的步骤及其后续所有步骤。
4.根据权利要求3所述的攻击识别方法,其特征在于,当所述指纹特征未命中所述指纹库的情况下,确定所述目标设备存在攻击行为之后,所述方法还包括:
当所述网络端口采用的数据协议为TLS协议的情况下,将所述指纹特征添加至所述指纹库。
5.根据权利要求1所述的攻击识别方法,其特征在于,所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包,包括:
构造预设类型的文件数据的下载请求信息,根据所述IP信息向所述目标设备发送包括所述下载请求信息的探测包;
相应地,所述根据所述响应包的内容确定所述目标设备是否存在攻击行为,包括:
当所述响应包的内容包括下载得到的预设类型的文件数据的情况下,确定所述目标设备存在攻击行为。
6.根据权利要求5所述的攻击识别方法,其特征在于,还包括:
当所述响应包的内容不包括下载得到的预设类型的文件数据的情况下,访问所述预设类型的文件数据对应的各URL;
当所述URL的响应信息中包括有预设回复信息和/或乱码的情况下,确定所述目标设备存在攻击行为。
7.根据权利要求1所述的攻击识别方法,其特征在于,所述根据设备运行信息确定目标设备的IP信息,包括:
对所述设备运行信息进行特征提取,获得目标特征;其中,所述目标特征包括终端行为特征和/或通信流量特征;
当所述目标特征命中异常特征库的情况下,从所述目标特征对应的设备运行信息中解析得到所述目标设备的IP信息。
8.一种攻击识别装置,其特征在于,包括:
IP信息获取模块,用于根据设备运行信息确定目标设备的IP信息;
探测包发送模块,用于针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包;
攻击行为识别模块,用于接收所述目标设备针对所述探测包发送的响应包,根据所述响应包的内容确定所述目标设备是否存在攻击行为。
9.一种攻击识别系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的攻击识别方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的攻击识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111679333.8A CN114363059A (zh) | 2021-12-31 | 2021-12-31 | 一种攻击识别方法、装置及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111679333.8A CN114363059A (zh) | 2021-12-31 | 2021-12-31 | 一种攻击识别方法、装置及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114363059A true CN114363059A (zh) | 2022-04-15 |
Family
ID=81105987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111679333.8A Pending CN114363059A (zh) | 2021-12-31 | 2021-12-31 | 一种攻击识别方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363059A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7610624B1 (en) * | 2004-01-12 | 2009-10-27 | Novell, Inc. | System and method for detecting and preventing attacks to a target computer system |
| US20130291101A1 (en) * | 2012-04-30 | 2013-10-31 | At&T Intellectual Property I, L.P. | Detecting and blocking domain name system cache poisoning attacks |
| US20150106889A1 (en) * | 2013-10-13 | 2015-04-16 | Skycure Ltd | Potential attack detection based on dummy network traffic |
| CN109413097A (zh) * | 2018-11-30 | 2019-03-01 | 深信服科技股份有限公司 | 一种非法外联检测方法、装置、设备及存储介质 |
| CN109600371A (zh) * | 2018-12-08 | 2019-04-09 | 公安部第三研究所 | 一种网络层漏洞检测系统及方法 |
| CN110708292A (zh) * | 2019-09-11 | 2020-01-17 | 光通天下网络科技股份有限公司 | Ip处理方法、装置、介质、电子设备 |
| CN111786966A (zh) * | 2020-06-15 | 2020-10-16 | 中国建设银行股份有限公司 | 浏览网页的方法和装置 |
| US20210099476A1 (en) * | 2019-09-27 | 2021-04-01 | Keysight Technologies, Inc. | Methods, systems and computer readable media for threat simulation and threat mitigation recommendations |
| CN112615863A (zh) * | 2020-12-18 | 2021-04-06 | 成都知道创宇信息技术有限公司 | 反制攻击主机的方法、装置、服务器及存储介质 |
-
2021
- 2021-12-31 CN CN202111679333.8A patent/CN114363059A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7610624B1 (en) * | 2004-01-12 | 2009-10-27 | Novell, Inc. | System and method for detecting and preventing attacks to a target computer system |
| US20130291101A1 (en) * | 2012-04-30 | 2013-10-31 | At&T Intellectual Property I, L.P. | Detecting and blocking domain name system cache poisoning attacks |
| US20150106889A1 (en) * | 2013-10-13 | 2015-04-16 | Skycure Ltd | Potential attack detection based on dummy network traffic |
| CN109413097A (zh) * | 2018-11-30 | 2019-03-01 | 深信服科技股份有限公司 | 一种非法外联检测方法、装置、设备及存储介质 |
| CN109600371A (zh) * | 2018-12-08 | 2019-04-09 | 公安部第三研究所 | 一种网络层漏洞检测系统及方法 |
| CN110708292A (zh) * | 2019-09-11 | 2020-01-17 | 光通天下网络科技股份有限公司 | Ip处理方法、装置、介质、电子设备 |
| US20210099476A1 (en) * | 2019-09-27 | 2021-04-01 | Keysight Technologies, Inc. | Methods, systems and computer readable media for threat simulation and threat mitigation recommendations |
| CN111786966A (zh) * | 2020-06-15 | 2020-10-16 | 中国建设银行股份有限公司 | 浏览网页的方法和装置 |
| CN112615863A (zh) * | 2020-12-18 | 2021-04-06 | 成都知道创宇信息技术有限公司 | 反制攻击主机的方法、装置、服务器及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
| CN115051867B (zh) * | 2022-06-22 | 2024-04-09 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
| CN108390864B (zh) | 一种基于攻击链行为分析的木马检测方法及系统 | |
| CN111651757A (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
| CN114095274B (zh) | 一种攻击研判方法及装置 | |
| CN109167781A (zh) | 一种基于动态关联分析的网络攻击链识别方法和装置 | |
| Grill et al. | Malware detection using http user-agent discrepancy identification | |
| CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
| CN111049784A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN111404949A (zh) | 一种流量检测方法、装置、设备及存储介质 | |
| CN112804263A (zh) | 一种面向物联网的漏洞扫描方法、系统及设备 | |
| CN112788065B (zh) | 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 | |
| CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN107229865B (zh) | 一种解析Webshell入侵原因的方法及装置 | |
| CN114363058B (zh) | 一种设备探测方法、装置及相关设备 | |
| Yang et al. | A multi-level feature extraction technique to detect moble botnet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |