CN114553513A - 一种通信检测方法、装置及设备 - Google Patents
一种通信检测方法、装置及设备 Download PDFInfo
- Publication number
- CN114553513A CN114553513A CN202210138878.6A CN202210138878A CN114553513A CN 114553513 A CN114553513 A CN 114553513A CN 202210138878 A CN202210138878 A CN 202210138878A CN 114553513 A CN114553513 A CN 114553513A
- Authority
- CN
- China
- Prior art keywords
- data traffic
- communication behavior
- information
- behavior
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 166
- 238000004891 communication Methods 0.000 title claims abstract description 160
- 238000001514 detection method Methods 0.000 title claims abstract description 120
- 230000006399 behavior Effects 0.000 claims description 131
- 230000002159 abnormal effect Effects 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 19
- 230000009467 reduction Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 10
- 238000005516 engineering process Methods 0.000 description 50
- 238000004458 analytical method Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 5
- 238000011160 research Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000002513 implantation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000002147 killing effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本发明公开了一种通信检测方法、装置及设备,属于通信技术领域;在通信过程中,首先获取通信过程中的数据流量,然后判断该数据流量是否为已知通信行为,如果是已知通信行为,则采用特制匹配的方式判断该已知通信行为是否为恶意通信行为;如果不是已知通信行为,则获取该数据流量的信息,并判断该未知通信行为是否是恶意通信行为。本申请技术方案对于未知通信行为,通过数据流量信息判断,而不是基于预设规则库,能够检测到未知通信行为是否是恶意通信行为。此外根据数据流量判断是否带有已知通信行为;若有则采用特征匹配方式判断,避免对所有数据流量以未知通信行为的处理方式处理,提高处理速度,降低成本。
Description
技术领域
本发明涉及通信领域,特别地,涉及一种通信检测方法、装置及设备。
背景技术
CIDF模型,作为一个通用模型,将分为4个基本组件,分别为:事件产生器、事件分析器、事件数据库以及响应单元这4部分。当网络中发生安全事件时,首先到了事件产生器模块,该模块同时提交给事件分析器来分析和定性事件,同时将事件的动作、行为等存储在事件数据库中,为响应单元执行处置动作提供了知识的支撑,响应单元根据事件分析器和数据库中定义好的恶意行为进行处置。例如我们所熟知的杀毒软件,所执行的一系列查杀动作,都是被提前定义好的(提前被事件分析器和事件数据库),响应单元只需执行即可。
由此可见,CIDF模型的核心思想是依赖于它强大的事件分析器及数据库,它的优势在于,依赖于强大的规则数据库,通过快速匹配进行检测、处置和阻断,能够做到快速阻断。
但是现有一种APT攻击,其利用0day漏洞(是已经被发现或有可能未被公开,而官方还没有相关补丁的漏洞),绕过传统的安全防御手段,可轻而易举的完成植入。完成植入后会进行长期的监听、潜伏状态,为了更好的达到长期控制,攻击者通常会采用更加隐蔽或者加密的方式进行通信,而这种通信手段,基于CIDF模型的现有传统网络安全检测产品是无法检测到的。
发明内容
为了克服现有技术的不足,本发明提供一种通信检测方法、装置及设备,以解决APT攻击无法被检测到的问题。
本发明解决其技术问题所采用的技术方案是:
第一方面,
一种通信检测方法,包括以下步骤:
获取数据流量;
判断所述数据流量是否为已知通信行为;
若是,则采用特征匹配的方式判断所述已知通信行为是否为恶意通信行为;若否,则获取所述数据流量信息并判断所述数据流量的未知通信行为是否为恶意通信行为。
进一步地,所述判断所述数据流量是否为已知通信行为,包括:
将所述数据流量与预设的数据流量库进行匹配,所述数据流量库内包括多个已知通信行为的数据流量;
若在所述数据流量库匹配到相同的数据流量,则所述数据流量为已知通信行为;若未在所述数据流量库中匹配到相同的数据流量,则所述数据流量为未知通信行为。
进一步地,所述采用特征匹配的方式判断所述已知通信行为是否为恶意通信行为,包括:
对所述已知通信行为的数据流量进行解析还原得到还原信息,所述还原信息包括所述数据流量的IP地址和内容负载;
通过预置的规则库对所述还原信息进行比对;
根据比对结果判断所述已知通信行为是否为恶意通信行为。
进一步地,所述获取所述数据流量信息,包括:获取所述数据流量的域名信息、协议信息、心跳信息、端口信息和URL记录信息。
进一步地,所述判断所述数据流量的未知通信行为是否为恶意通信行为,包括:
根据所述域名信息、协议信息、心跳信息、端口信息和URL记录信息采用以下方式进行检测得到检测结果:
隐蔽信道检测技术、动态域名检测技术、异常协议检测技术、异常心跳检测技术、DGA域名检测技术、非常见端口检测技术、规律域名检测技术和规律URL检测技术;
根据所述检测结果判断所述未知通信行为是否为恶意通信行为。
进一步地,还包括:当采用任意一种方式进行检测时,若检测结果超过预设阈值,则发送报警信息。
第二方面,
一种通信检测装置,包括:
数据流量获取模块,用于获取数据流量;
已知行为判断模块,判断所述数据流量是否为已知通信行为;
恶意行为判断模块,用于若是,则采用特征匹配的方式判断所述已知通信行为是否为恶意通信行为;若否,则获取所述数据流量信息并判断所述数据流量的未知通信行为是否为恶意通信行为。
第三方面,
一种通信检测设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器被配置为用于执行第一方面技术方案中任一项所述的方法。
有益效果:
本申请技术方案提供一种通信检测方法、装置及设备,在通信过程中,首先获取通信过程中的数据流量,然后判断该数据流量是否为已知通信行为,如果是已知通信行为,则采用特制匹配的方式判断该已知通信行为是否为恶意通信行为;如果不是已知通信行为,则获取该数据流量的信息,并判断该未知通信行为是否是恶意通信行为。本申请技术方案对于未知通信行为,通过数据流量信息判断,而不是基于预设规则库,能够检测到未知通信行为是否是恶意通信行为。此外根据数据流量判断是否带有已知通信行为;若有则采用特征匹配方式判断,避免对所有数据流量以未知通信行为的处理方式处理,提高处理速度,降低成本。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种通信检测方法流程图;
图2是本发明实施例提供的一种具体的通信检测方法流程图;
图3是本发明实施例提供的一种通信检测装置结构图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面结合附图和实施例对本发明的技术方案进行详细的描述说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本申请所保护的范围。
参照图1,本发明实施例提供了一种通信检测方法,包括以下步骤:
获取数据流量;
判断数据流量是否为已知通信行为;
若是,则采用特征匹配的方式判断已知通信行为是否为恶意通信行为;若否,则获取数据流量信息并判断数据流量的未知通信行为是否为恶意通信行为。
本发明实施例提供一种通信检测方法,在通信过程中,首先获取通信过程中的数据流量,然后判断该数据流量是否为已知通信行为,如果是已知通信行为,则采用特制匹配的方式判断该已知通信行为是否为恶意通信行为;如果不是已知通信行为,则获取该数据流量的信息,并判断该未知通信行为是否是恶意通信行为。本申请技术方案对于未知通信行为,通过数据流量信息判断,而不是基于预设规则库,能够检测到未知通信行为是否是恶意通信行为。此外根据数据流量判断是否带有已知通信行为;若有则采用特征匹配方式判断,避免对所有数据流量以未知通信行为的处理方式处理,提高处理速度,降低成本。
为进一步说明本申请的技术方案,如图2所示,本发明实施例提供一种具体的通信检测方法,包括从流量采集开始,当获取到原始数据流量时,对该协议进行识别,具体识别分为3个大类协议,分别为:ICMP、UDP和TCP。
将采集的数据流量与预设的数据流量库进行匹配,数据流量库内包括多个已知通信行为的数据流量;若在数据流量库匹配到相同的数据流量,则数据流量为已知通信行为;若未在数据流量库中匹配到相同的数据流量,则数据流量为未知通信行为。
根据几大类协议分开后。已知的通信行为则通过特征匹配的方式快速定性,这样也是为了给未知流量通信检测引擎提升效率。
特征库检测机制是通过系统预置的规则库,通过对流量进行解析还原后,对其中IP地址、内容负载等进行比对,从而发现是否存在恶意的攻击行为。
需要说明的是,规则库按照SNORT规则库的格式进行了重写,以便完全兼容SNORT格式。目前规则库中的规则支持普通模式的匹配和基于正则的匹配方式。另一方面,由于效率问题,系统采用的规则匹配引擎(Hyperscan)不支持一些特定的字符,会导致一部分正则匹配的规则不能处理,主要如下:
1)前向、后向引用,如:\1\g1\g{-1}\g{name}\k<name>等
2)零宽度断言,如:\b\b{}\B\B{}\A\Z\z\G等
3)子过程引用和递归,如:(??{code})(?{code})(?0)(?1)(?-1)(?R)等
4)条件表达式,格式:(?(condition)yes-exp)(?(condition)yes-exp|no-exp)
5)Backtracking控制,包括:(*PRUNE)(*SKIP)(*MARK)(*THEN)(*COMMIT)(*FAIL)(*ACCEPT)
6):regexp:`\\C`
7):regexp:`\\R`
8):regexp:`\\K`
9)对外调用和内嵌代码,格式:(?{code})(??{code})
10)独占(贪婪)修饰符:(?>PAT*)(?>PAT+)(?>PAT?)(?>PAT{min,max})等
系统通过特征库检测功能如下:
1)失陷主机检测:通过黑IP、黑域名、黑URL以及黑特征方式来进行检测,用于检测失陷主机上线的C&C地址,以及控制中的通信指令;
2)远程漏洞攻击检测:通过漏洞特征库匹配攻击负载来进行检测;
3)Web攻击检测:对HTTP协议的HEADER部分进行解码后,通过正则匹配的方式来检测Web攻击检测行为,以及Webshell的控制行为。
对于未知通信行为通信检测采用以下方式进行检测:
隐蔽信道检测技术:对于一些非公开的木马、僵尸软件、蠕虫等恶意代码,会使用自定义或者加密的协议建立隐蔽隐蔽通信信道,用以绕过防火墙、IDS等传统安全设备的检测。本发明针对网络流量中的隐蔽信道进行深度分析检测分析,是通过分析隐蔽信道通信中的流量特征和行为特征,构建相应的检测模型,能够把隐蔽传输的数据从复合流量中分离出来,从而发现一些未知的攻击行为。
隐蔽信道检测:DNS域名检测都先过白名单(过滤掉后缀为.e5.sk和.sophosxl.net的DNS域名),然后再进行如下规则的检测。规则检测的顺序为满足预判条件进入存储统计(存储链表每两分钟清理一次),然后进行研判,满足研判条件输出预警信息。隐蔽信道检测技术目前可支持DNS,FTP,SNMP,HTTP,SMTP等8种协议19类隐蔽信道检测。
1.检测域名中的label数据
检测规则描述:
条件:
满足所有预判条件
满足研判条件中的A或者BC,但必须都满足D
预警信息:Tunnel.DNS.TrunkMode.Lable
2.检测域名中TXT数据
检测规则描述:
满足所有预判和研判条件。
预警信息:Tunnel.DNS.TXT.CobaltStrike
动态域名检测技术:首先,动态域名申请不需要身份证实名制,不易锁定身份。所以攻击者通常会通过动态域名和失陷主机进行连接。本发明将高可疑的动态域名作为第一条告警线索。
动态域名检测:在流量中解析出DNS请求,获取域名信息与动态域名库进行模糊比对,符合动态域名库后缀的域名进行记录。
异常协议检测技术:攻击者为了穿透防火墙的防御,通常会将恶意通讯数据打散到某一类协议的补充字段(例如DNS的补充字段),进行传输,这样防火墙会认为是正常协议,并对其放行。本发明对各类协议的标准模式进行学习,遇到以补充字段传输的,或是冒用正常协议通讯端口进行传输而并非本协议的(例如攻击者用80端口和失陷主机进行通信),做为第二条可以线索进行预警,可提供原始数据报文下载,为事后溯源提供证据。
目前支持的检测机制有:
1)使用保留位,对于代码中使用保留位处一般数值为零,若不为零,则判断为DNS协议异常。
2)长度错误。示例性的,在QUERIES问题域之前如果不是12个字节,则判断为DNS协议异常。
3)class错误。
4)type错误。示例性的,对于出现名字,后面没有type和class,则判断为DNS协议异常。
5)问题个数错误。示例性的,如果问题个数数值为零,则判断DNS协议异常。
6)非法字符。若包含非法字符,则判断DNS协议异常。
7)域名长度错误,域名长度超过64字节,则判断DNS协议异常。
8)udp或tcp协议的53端口,传输的不是DNS协议。
9)http协议异常检测,TCP协议的80端口,传输的不是HTTP协议,HTTP协议异常。
异常心跳检测技术:本发明采用非白即黑的方式,将常用的应用心跳信号设置为白名单(类似于QQ、微信等),其他的作为告警线索进行预警,本发明可将心跳周期、远端心跳地址等,并支持原始数据报文下载,为事后溯源提供有力依据。
异常心跳的检测机制如下:
1)多个TCP流,具有相同的外网IP和端口,请求和收到的数据包个数分别相同。单条流请求和收到的数据包总数小于15[可调],负载长度分别小于等于1024Byte[可调],单条流持续时间小于等于2秒[可调]。
2)多个UDP流,具有相同的外网IP和端口,每个UDP流只有一个发送数据包。
DGA域名检测技术:DGA域名生成算法可生成大量连接域名的噪音数据,用于逃逸黑名单检测,从而达到操控受害者机器的目的。这些域名通常会被编码在恶意程序中,这也使得攻击者具有了很大的灵活性,他们可以轻松地更改这些域名以及IP。本发明通过采集流量中的DNS请求数据,形成大量域名数据集,并根据DGA域名表现出特定的行为特征和统计模式,通过机器学习引擎和经验规则模型,分析预测流量中的DGA行为,从而有效定位失陷主机。
此技术主要通过机器学习模型进行研判,主要判断的是DGA域名请求,只记录请求,不做判定,做为线索综合研判。
非常见端口检测技术:本发明采用非白即黑的方式,将常用的端口设置为白名单(例如http80、DNS53等),将一些个性化的端口作为一条告警线索进行预警。此技术主要记录区别于常用协议的端口(例如HTTP80端口和DNS53端口),对于一些个性化端口(1111、8888、20000等)进行统计展示,可作为线索进行综合研判。
规律域名检测技术:本发明是将受检区域内访问的所有域名做统计,并记录在此项功能内,作为一项线索,因为在攻击过程中,不排除攻击者通过正常域名跳转和失陷主机进行通信。
此技术主要记录网内所有请求互联网的正常域名,这是一个比较大的数据集,因为不排除攻击者攻陷一些正常域名进行流量控制的可能,所以,增加此项监控技术作为线索进行综合研判。
规律URL检测技术
技术主要记录网内请求互联网所有的URL记录,同上,也是一个比较大的数据,因为不保证攻击者用一些URL下载恶意程序,用利用其通信。
综上,已知的恶意通信行为,我们则通过规则库快速匹配。但难点是未知的恶意程序通信行为,因为攻击者更加隐蔽,而且,攻击者立足一个点以后,会对内网展开大规模渗透,直到达成目标。所以本发明通过隐蔽信道检测技术、动态域名检测技术、协议异常检测技术、异常心跳检测技术、DGA域名检测技术、非常见端口检测技术、规律域名检测技术、和规律URL检测技术来综合进行研判而得出结论,其中综合研判,是根据本领域技术人员根据上述检测结果进行判断。定性未知威胁的失陷主机恶意通信行为。
传统安全防护技术都是通过CIDF模型进行匹配检测,该模型的核心就是规则库,但未知恶意文件的恶意行为往往都是“规则库”里没有的。当真正的未知威胁攻击发生时,攻击者尝尝使用动态域名加上隐蔽信道等攻击技术用来绕过基于传统CIDF模型的检测方式,会对来往的恶意流量不做任何报警和阻断。而基于流量分析技术的未知恶意行测的技术手段则不同,他们不依赖于任何规则库,通过上述8条线索进行综合研判,即可定位未知失陷主机的恶意通信行为。除了对未知恶意通信行为技术之外,已知的恶意行为则通过威胁情报引擎进行快速的判定,整体提升了检测效率。
网络中被攻陷的各类主机通常被植入各类木马、僵尸、蠕虫、勒索软件、间谍软件等恶意软件。这些软件通常都会寻找和外部黑客控制端(C&C)的通信,接受指令,进行进一步的内网渗透,或择机破坏系统或窃取数据等。针对失陷主机上的这些高级恶意软件在网络中的外联通信行为,可以检测各类恶意软件定位实现主机。对于已知的失陷主机行为则利用威胁情报检测技术、恶意代码流量特征检测技术进行快速匹配,针对未知的失陷主机通信行为,则通过隐蔽信道检测技术、动态域名检测技术、异常协议检测技术、异常心跳检测技术、非常见端口检测技术、规律域名检测技术、规律URL检测技术和DGA域名检测技术等多种检测技术综合判定网络中被攻陷的主机上的恶意软件活动行为。其中,隐蔽信道检测可以检测在高级攻击中广泛使用的特种木马。
一个实施例中,本发明还提供了一种通信检测装置,如图3所示,包括:
数据流量获取模块31,用于获取数据流量。
已知行为判断模块32,判断数据流量是否为已知通信行为;具体地,已知行为判断模块32将数据流量与预设的数据流量库进行匹配,数据流量库内包括多个已知通信行为的数据流量;若在数据流量库匹配到相同的数据流量,则数据流量为已知通信行为;若未在数据流量库中匹配到相同的数据流量,则数据流量为未知通信行为。
恶意行为判断模块33,用于若是,则采用特征匹配的方式判断已知通信行为是否为恶意通信行为;具体地,恶意行为判断模块33对已知通信行为的数据流量进行解析还原得到还原信息,还原信息包括数据流量的IP地址和内容负载;通过预置的规则库对还原信息进行比对;根据比对结果判断已知通信行为是否为恶意通信行为。
若否,则获取数据流量信息并判断数据流量的未知通信行为是否为恶意通信行为。具体地,恶意行为判断模块33获取数据流量的域名信息、协议信息、心跳信息、端口信息和URL记录信息。根据域名信息、协议信息、心跳信息、端口信息和URL记录信息采用以下方式进行检测得到检测结果:
隐蔽信道检测技术、动态域名检测技术、异常协议检测技术、异常心跳检测技术、DGA域名检测技术、非常见端口检测技术、规律域名检测技术和规律URL检测技术;根据检测结果判断未知通信行为是否为恶意通信行为。
需要说明的是,恶意行为判断模块33还用于:当采用任意一种方式进行检测时,若检测结果超过预设阈值,则发送报警信息。
本发明实施例提供的通信检测装置,通过对现网内的流量进行深度分析,通过动态域名分析技术、异常协议分析技术、异常流量分析技术、异常心跳分析技术、规律域名分析技术、规律URL分析技术、隐蔽信道分析技术和DGA域名分析技术来综合判定,单一一条告警线索并不能证明是否存在未知失陷主机恶意通信行为,而是多条线索进行综合研判得出结论。
一个实施例中,本发明实施例提供一种通信检测设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
处理器被配置为用于执行上述实施例提供的通信检测方法。由于该通信检测方法已在上文详细记载,在此不再赘述。
本发明实施例提供的通信检测设备,通过对现网内的流量进行深度分析,通过动态域名分析技术、异常协议分析技术、异常流量分析技术、异常心跳分析技术、规律域名分析技术、规律URL分析技术、隐蔽信道分析技术和DGA域名分析技术来综合判定。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (8)
1.一种通信检测方法,其特征在于,包括以下步骤:
获取数据流量;
判断所述数据流量是否为已知通信行为;
若是,则采用特征匹配的方式判断所述已知通信行为是否为恶意通信行为;若否,则获取所述数据流量信息并判断所述数据流量的未知通信行为是否为恶意通信行为。
2.根据权利要求1所述的方法,其特征在于:所述判断所述数据流量是否为已知通信行为,包括:
将所述数据流量与预设的数据流量库进行匹配,所述数据流量库内包括多个已知通信行为的数据流量;
若在所述数据流量库匹配到相同的数据流量,则所述数据流量为已知通信行为;若未在所述数据流量库中匹配到相同的数据流量,则所述数据流量为未知通信行为。
3.根据权利要求1所述的方法,其特征在于:所述采用特征匹配的方式判断所述已知通信行为是否为恶意通信行为,包括:
对所述已知通信行为的数据流量进行解析还原得到还原信息,所述还原信息包括所述数据流量的IP地址和内容负载;
通过预置的规则库对所述还原信息进行比对;
根据比对结果判断所述已知通信行为是否为恶意通信行为。
4.根据权利要求1所述的方法,其特征在于:所述获取所述数据流量信息,包括:获取所述数据流量的域名信息、协议信息、心跳信息、端口信息和URL记录信息。
5.根据权利要求4所述的方法,其特征在于:所述判断所述数据流量的未知通信行为是否为恶意通信行为,包括:
根据所述域名信息、协议信息、心跳信息、端口信息和URL记录信息采用以下方式进行检测得到检测结果:
隐蔽信道检测技术、动态域名检测技术、异常协议检测技术、异常心跳检测技术、DGA域名检测技术、非常见端口检测技术、规律域名检测技术和规律URL检测技术;
根据所述检测结果判断所述未知通信行为是否为恶意通信行为。
6.根据权利要求5所述的方法,其特征在于,还包括:当采用任意一种方式进行检测时,若检测结果超过预设阈值,则发送报警信息。
7.一种通信检测装置,其特征在于,包括:
数据流量获取模块,用于获取数据流量;
已知行为判断模块,判断所述数据流量是否为已知通信行为;
恶意行为判断模块,用于若是,则采用特征匹配的方式判断所述已知通信行为是否为恶意通信行为;若否,则获取所述数据流量信息并判断所述数据流量的未知通信行为是否为恶意通信行为。
8.一种通信检测设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器被配置为用于执行权利要求1-6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210138878.6A CN114553513A (zh) | 2022-02-15 | 2022-02-15 | 一种通信检测方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210138878.6A CN114553513A (zh) | 2022-02-15 | 2022-02-15 | 一种通信检测方法、装置及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114553513A true CN114553513A (zh) | 2022-05-27 |
Family
ID=81675483
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210138878.6A Pending CN114553513A (zh) | 2022-02-15 | 2022-02-15 | 一种通信检测方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114553513A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117579385A (zh) * | 2024-01-16 | 2024-02-20 | 山东星维九州安全技术有限公司 | 一种快速筛查新型WebShell流量的方法、系统及设备 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102123396A (zh) * | 2011-02-14 | 2011-07-13 | 恒安嘉新(北京)科技有限公司 | 基于通信网的手机病毒和恶意软件的云检测方法 |
CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
US20170054745A1 (en) * | 2014-02-17 | 2017-02-23 | Beijing Qihoo Technology Company Limited | Method and device for processing network threat |
CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
CN106911640A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
WO2021082339A1 (zh) * | 2019-10-28 | 2021-05-06 | 中国科学技术大学 | 将机器学习和规则匹配相融合的安全检测方法和设备 |
CN113422771A (zh) * | 2021-06-22 | 2021-09-21 | 北京华圣龙源科技有限公司 | 威胁预警方法和系统 |
CN113630417A (zh) * | 2021-08-12 | 2021-11-09 | 杭州安恒信息安全技术有限公司 | 基于waf的数据发送方法、装置、电子装置和存储介质 |
-
2022
- 2022-02-15 CN CN202210138878.6A patent/CN114553513A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102123396A (zh) * | 2011-02-14 | 2011-07-13 | 恒安嘉新(北京)科技有限公司 | 基于通信网的手机病毒和恶意软件的云检测方法 |
US20170054745A1 (en) * | 2014-02-17 | 2017-02-23 | Beijing Qihoo Technology Company Limited | Method and device for processing network threat |
CN104506495A (zh) * | 2014-12-11 | 2015-04-08 | 国家电网公司 | 一种智能化网络apt攻击威胁分析方法 |
CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
CN106911640A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
WO2021082339A1 (zh) * | 2019-10-28 | 2021-05-06 | 中国科学技术大学 | 将机器学习和规则匹配相融合的安全检测方法和设备 |
CN113422771A (zh) * | 2021-06-22 | 2021-09-21 | 北京华圣龙源科技有限公司 | 威胁预警方法和系统 |
CN113630417A (zh) * | 2021-08-12 | 2021-11-09 | 杭州安恒信息安全技术有限公司 | 基于waf的数据发送方法、装置、电子装置和存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117579385A (zh) * | 2024-01-16 | 2024-02-20 | 山东星维九州安全技术有限公司 | 一种快速筛查新型WebShell流量的方法、系统及设备 |
CN117579385B (zh) * | 2024-01-16 | 2024-03-19 | 山东星维九州安全技术有限公司 | 一种快速筛查新型WebShell流量的方法、系统及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
US8015605B2 (en) | Scalable monitor of malicious network traffic | |
US7761918B2 (en) | System and method for scanning a network | |
KR101111433B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
Zarras et al. | Automated generation of models for fast and precise detection of HTTP-based malware | |
US11457025B2 (en) | Method and system for detecting and preventing data exfiltration attacks | |
US11930036B2 (en) | Detecting attacks and quarantining malware infected devices | |
Scarfone et al. | Intrusion detection and prevention systems | |
Li et al. | Network-based and attack-resilient length signature generation for zero-day polymorphic worms | |
CN114553513A (zh) | 一种通信检测方法、装置及设备 | |
KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
Zheng et al. | A network state based intrusion detection model | |
Stanciu | Technologies, methodologies and challenges in network intrusion detection and prevention systems. | |
Resmi et al. | Intrusion detection system techniques and tools: A survey | |
Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system | |
Blackwell | Ramit-Rule-Based Alert Management Information Tool | |
KR100983549B1 (ko) | 클라이언트 ddos 방어 시스템 및 그 방법 | |
Drakos | Implement a security policy and identify Advance persistent threats (APT) with ZEEK anomaly detection mechanism | |
Bukac | IDS system evasion techniques | |
Gheorghe et al. | Attack evaluation and mitigation framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |