CN114567480B - 有效攻击告警识别的方法、装置、安全网络及存储介质 - Google Patents
有效攻击告警识别的方法、装置、安全网络及存储介质 Download PDFInfo
- Publication number
- CN114567480B CN114567480B CN202210187362.0A CN202210187362A CN114567480B CN 114567480 B CN114567480 B CN 114567480B CN 202210187362 A CN202210187362 A CN 202210187362A CN 114567480 B CN114567480 B CN 114567480B
- Authority
- CN
- China
- Prior art keywords
- load
- request message
- inactivated
- remote command
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000012795 verification Methods 0.000 claims abstract description 143
- 230000002779 inactivation Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 10
- 238000013519 translation Methods 0.000 claims description 7
- 239000002071 nanotube Substances 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 5
- 230000000415 inactivating effect Effects 0.000 claims description 5
- 238000010200 validation analysis Methods 0.000 claims 2
- 238000007726 management method Methods 0.000 description 40
- 238000010586 diagram Methods 0.000 description 11
- 230000002265 prevention Effects 0.000 description 6
- 239000000243 solution Substances 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009385 viral infection Effects 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了有效攻击告警识别的方法、装置、安全网络及存储介质,用以解决现有技术中存在的有效攻击告警识别准确度低的技术问题,该方法包括:接收灭活后的远程命令请求报文的载荷;对所述灭活后的远程命令请求报文的载荷进行重放验证,将对应的验证结果发送给安全管理平台,使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性。
Description
技术领域
本发明涉及网络信息安全领域,尤其是涉及有效攻击告警识别的方法、装置、安全网络及存储介质。
背景技术
随着计算机信息通信技术的高速发展,网络安全事件时有发生,来自网络内部和外部的危险和犯罪也日益增多。
在网络信息安全领域中,入侵防御系统(Intrusion Prevention System,IPS)作为一组先期防止入侵的防御措施,被越来越多的企业用来识别攻击程序或有害代码、及其克隆和变种。
然而,IPS设备拥有数目众多的过滤器,每种过滤器负责分析相对应的数据包,做到逐一字节地检查数据包。但,随着企业网络设备和资产的不断增加,设备规模和管控范围也不断扩大,造成网络与信息系统安全方面存在的潜在隐患和漏洞也越来越多,IPS设备随之产生的告警信息也快速增长,给公司网络安全运维带来了巨大的难度。同时,这些告警信息中存在大量不会威胁系统安全的试探攻击告警,但这些试探攻击告警又难以与会对系统安全产生影响的有效攻击告警区分开,进而使报告攻击的误报率提高了。
鉴于此,如何准确识别真正对系统产生安全影响的有效攻击告警,成为一个亟待解决的技术问题。
发明内容
本发明提供有效攻击告警识别的方法、装置、安全网络及存储介质,用以解决现有技术中存在的有效攻击告警识别准确度低的技术问题。
第一方面,为解决上述技术问题,本发明实施例提供的一种有效攻击告警识别的方法,应用于代理至少一个主机的代理设备,该方法的技术方案如下:
接收灭活后的远程命令请求报文的载荷;
对所述灭活后的远程命令请求报文的载荷进行重放验证,将对应的验证结果发送给安全管理平台,使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性。
一种可能的实施方式,对所述灭活后的远程命令请求报文的载荷进行重放验证,包括:
根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果。
一种可能的实施方式,根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果,包括:
若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷,则从所述灭活后的远程命令请求报文的载荷中获取第一命令;
用所述第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配,获取匹配度最高的命令;
用所述匹配度最高的命令进行重放攻击,获得攻击结果;
将所述攻击结果作为所述验证结果。
一种可能的实施方式,根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果,包括:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,则通过正则匹配,从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径;
通过验证所述访问路径是否真实存在,确定所述灭活后的远程命令请求报文的载荷是否攻击成功,获得所述验证结果。
第二方面,本发明实施例提供了一种有效攻击告警识别的方法,应用于安全管理平台,包括:
对告警对应的请求报文的载荷进行分析,确定所述请求报文是否为远程命令请求报文;
若为是,对所述请求报文的载荷进行灭活处理,获得灭活后的远程命令请求报文,并将所述灭活后的远程命令请求报文的载荷发送给所述告警对应目的网络地址的主机的代理设备进行重放验证;其中,所述灭活处理为使所述请求报文的载荷丧失传播性;
接收所述重放验证的验证结果,根据所述验证结果识别所述告警是否为有效攻击告警。
一种可能的实施方式,对产生的告警对应的请求报文的载荷进行分析之前,还包括:
获取入侵防御系统IPS设备产生的所述告警对应的所述目的网络地址和所述请求报文的载荷;
根据所述目的网络地址,从资产纳管记录和防火墙网络地址转换NAT记录中,确定出所述主机。
一种可能的实施方式,根据所述验证结果识别所述告警是否为有效攻击告警,包括:
若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷,
当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击成功,确定所述告警为所述有效攻击告警;
当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击失败,确定所述告警为所述无效的试探攻击告警。
一种可能的实施方式,根据所述验证结果识别所述告警是否为有效攻击告警,包括:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,
当所述验证结果为所述灭活后的远程命令请求报文的载荷对应的访问路径存在,确定所述告警为所述有效攻击告警;否则,确定所述告警为所述无效的试探攻击告警。
第三方面,本发明实施例提供了一种有效攻击告警识别的装置,应用于代理至少一个主机的代理设备,该装置包括:
接收单元,用于接收灭活后的远程命令请求报文的载荷;
验证单元,用于对所述灭活后的远程命令请求报文的载荷进行重放验证,将对应的验证结果发送给安全管理平台,使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性。
一种可能的实施方式,所述验证单元用于:
根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果。
一种可能的实施方式,所述验证单元还用于:
若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷,则从所述灭活后的远程命令请求报文的载荷中获取第一命令;
用所述第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配,获取匹配度最高的命令;
用所述匹配度最高的命令进行重放攻击,获得攻击结果;
将所述攻击结果作为所述验证结果。
一种可能的实施方式,所述验证单元还用于:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,则通过正则匹配,从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径;
通过验证所述访问路径是否真实存在,确定所述灭活后的远程命令请求报文的载荷是否攻击成功,获得所述验证结果。
第四方面,本发明实施例提供了一种有效攻击告警识别的装置,应用于安全管理平台,该装置,包括:
分析单元,用于对告警对应的请求报文的载荷进行分析,确定所述请求报文是否为远程命令请求报文;
处理单元,用于若为是,对所述请求报文的载荷进行灭活处理,获得灭活后的远程命令请求报文,并将所述灭活后的远程命令请求报文的载荷发送给所述告警对应目的网络地址的主机的代理设备进行重放验证;其中,所述灭活处理为使所述请求报文的载荷丧失传播性;
识别单元,用于接收所述重放验证的验证结果,根据所述验证结果识别所述告警是否为有效攻击告警。
一种可能的实施方式,所述分析单元还用于:
对产生的告警对应的请求报文的载荷进行分析之前,获取入侵防御系统IPS设备产生的所述告警对应的所述目的网络地址和所述请求报文的载荷;
根据所述目的网络地址,从资产纳管记录和防火墙网络地址转换NAT记录中,确定出所述主机。
一种可能的实施方式,所述识别单元用于:
若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷,
当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击成功,确定所述告警为所述有效攻击告警;
当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击失败,确定所述告警为所述无效的试探攻击告警。
一种可能的实施方式,所述识别单元还用于:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,
当所述验证结果为所述灭活后的远程命令请求报文的载荷对应的访问路径存在,确定所述告警为所述有效攻击告警;否则,确定所述告警为所述无效的试探攻击告警。
第五方面,本发明实施例提供一种安全网络,包括:
入侵防御系统IPS设备,用于识别包含攻击程序或有害代码及对应的克隆和变种的请求报文,并产生对应的告警;
安全管理平台,与所述IPS设备的上报接口连接,用于执行如第二方面所述的方法;
代理设备,用于代理至少一个主机,并从所述安全管理平台获取灭活后的远程命令请求报文的载荷,执行如第一方面所述的方法。
第六方面,本发明实施例还提供一种有效攻击告警识别的装置,包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,执行如上述第一方面或第二方面所述的方法。
第七方面,本发明实施例还提供一种可读存储介质,包括:
存储器,
所述存储器用于存储指令,当所述指令被处理器执行时,使得包括所述可读存储介质的装置完成如上述第一方面或第二方面所述的方法。
通过本发明实施例的上述一个或多个实施例中的技术方案,本发明实施例至少具有如下技术效果:
在本发明提供的实施例中,通过对告警对应的请求报文的载荷进行分析,确定请求报文是否为远程命令请求报文;若为是,对请求报文的载荷进行灭活处理使之丧失传播性,获得灭活后的远程命令请求报文,并将灭活后的远程命令请求报文的载荷发送给告警对应目的网络地址的主机的代理设备进行重放验证;进而根据接收到的验证结果识别告警是否为有效攻击告警,从而能够快速识别有效攻击告警,提高识别有效攻击告警的准确性。
附图说明
图1为本发明实施例提供的一种安全管理平台侧的有效攻击告警识别方法的流程图;
图2为本发明实施例提供的一种安全网络的结构示意图;
图3为本发明实施例提供的一种代理设备侧的有效攻击告警识别方法的流程图;
图4为本发明实施例提供的一种侧安全管理平台侧的有效攻击告警识别装置的结构示意图;
图5为本发明实施例提供的一种代理设备侧的有效攻击告警识别装置的结构示意图;
图6为本发明实施例提供的另一种安全网络的结构示意图。
具体实施方式
本发明实施列提供一种有效攻击告警识别的方法、装置、安全网络及存储介质,以解决现有技术中存在的有效攻击告警识别准确度低的技术问题。
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
请参考图1,本发明实施例提供一种有效攻击告警识别的方法,应用于安全管理平台,该方法的处理过程如下。
步骤101:对告警对应的请求报文的载荷进行分析,确定请求报文是否为远程命令请求报文;
步骤102:若为是,对请求报文的载荷进行灭活处理,获得灭活后的远程命令请求报文,并将灭活后的远程命令请求报文的载荷发送给告警对应目的网络地址的主机的代理设备进行重放验证;其中,灭活处理为使请求报文的载荷丧失传播性。
请参见图2为本发明实施例提供的一种安全网络的结构示意图。
图2提中的安全网络有IPS设备、安全管理平台、代理设备、多个主机组成的主机群,IPS设备是安装类IPS系统的设备,代理设备用于代理主机群中的主机,主机可以是电脑、服务器、存储器、智能设备、网络设备等。
IPS设备会对接收到的外部设备发送的请求报文进行过滤,若该请求报文可能存在安全问题,IPS设备会生成对应的告警(也可以称之为IPS告警),并发送给安全管理平台。
对产生的告警对应的请求报文的载荷进行分析之前,安全管理平台会获取入侵防御系统IPS设备产生的告警对应的目的网络地址和请求报文的载荷;根据目的网络地址,从资产纳管记录和防火墙网络地址转换NAT记录中,确定出主机。
继续以图2为例,当安全管理平台从IPS设备的上报接口获取到某个请求报文的告警后,将获取该告警对应的目的网络地址和请求报文的载荷,上述目的网络地址可以是请求报文请求访问的目的主机的IP地址。安全管理平台根据上述目的网络地址,从资产纳管记录和防火墙网络地址转换(Network Address Translation,NAT)记录中,确定上述请求报文请求访问的主机(即目的主机)。之后,安全管理平台对告警对应的请求报文的载荷进行分析,确定请求报文是否为远程命令请求报文。
确定请求报文是否为远程命令请求报文可以通过下列方式实现:
从原始日志中提取历史请求报文的关键信息,这些关键信息可以包括历史请求报文的原地址、源端口、目的地址、目的端口、目的对象、操作、结果、响应信息等。对上述历史日志对应的不同关键信息进行分析,确定各个历史请求报文所属场景及对应的漏洞特征,将提供了远程命令的请求报文对应的漏洞特征聚合在一起,并与对应的场景进行关联,形成关联关系。这样安全管理平台在接收到请求报文后,便可用请求报文与上述关联关系中的漏洞特征或场景进行匹配,若匹配成功则确定请求报文是远程命令请求报文,否则为非远程命令请求报文。
继续以图2为例,安全管理平台在确定请求报文是远程命令请求报文后,对请求报文的载荷进行灭活处理,获得灭活后的远程命令请求报文。
上述对请求报文的载荷进行灭活处理是指去除请求报文中病毒感染的活性部分,使其失去传播性,同时又保留病毒性原理,可以被IPS检出。
之后,安全管理平台将灭活后的远程命令请求报文的载荷发送给代理设备,由于图2中的所有主机使用的是同一个代理设备,所以这里是发送给代理设备;若图2中每个主机或每2个主机设置一个代理设备,则灭活后的远程命令请求报文的载荷是发送给告警对应目的网络地址的主机的代理设备,通过对应的代理设备对灭活后的远程命令请求报文的载荷进行重放验证。
代理设备对灭活后的远程命令请求报文的载荷进行重放验证,是根据灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得验证结果。具体如下:
若灭活后的远程命令请求报文的载荷为无文件落地的载荷,则代理设备从灭活后的远程命令请求报文的载荷中获取第一命令;用第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配,获取匹配度最高的命令;用匹配度最高的命令进行重放攻击,获得攻击结果;将攻击结果作为验证结果。上述无文件落地的载荷是指没有文件写入本地的载荷。
例如,可以事先针对无文件落地的载荷构建远程命令注入白名单,其中,白名单内的远程命令是安全的命令,不会对主机产生安全威胁。将构建的白名单存入代理设备中,代理设备从接收到的灭活后的远程命令报文的载荷中提取第一命令(即发送请求报文的用户携带在请求报文中希望执行的命令),用第一命令与白名单中的命令逐一进行模糊匹配,用匹配度最高的命令进行重放攻击,获得攻击结果,并将之作为代理设备对灭活后的远程命令请求报文的载荷进行重放验证的验证结果。上述攻击结果可能为重放攻击成功,也可能为重放攻击失败。代理设备将获得的验证结果发送给安全管理平台,使之执行步骤103。
在上述验证过程,由于是使用的白名单中与第一命令匹配度最高的命令进行重放攻击,而不是直接使用灭活后的远程命令报文的载荷进行重放攻击,因此能够避免对主机造成攻击,提高验证的安全性。
若灭活后的远程命令请求报文的载荷为有文件落地的载荷,则通过正则匹配,从灭活后的远程命令请求报文的载荷中提取落地文件的访问路径;通过验证访问路径是否真实存在,确定灭活后的远程命令请求报文的载荷是否攻击成功,获得验证结果。上述有文件落地的载荷是指有文件写入本地的载荷。上述有文件落地的载荷不主动发起重放攻击。
例如,代理设备接收到的灭活后的远程命令请求报文的载荷为是有文件落地的载荷,可以通过正则匹配,从灭活后的远程命令请求报文的载荷中提取落地文件的访问路径,进而通过验证访问路径中是否存在落地文件,来确定访问路径的真实性,若访问路径中存储落地文件,则确定访问路径真实存在,否则确定访问路径不存在。若访问路径真实存在,则确定灭活后的远程命令请求报文的载荷攻击成功,否则攻击不成功,将上述是否攻击成功的结果作为代理设备对灭活后的远程命令请求报文的载荷进行重放验证的验证结果,并发送给安全管理平台,执行步骤103。
步骤103:接收重放验证的验证结果,根据验证结果识别告警是否为有效攻击告警。
安全管理平台在从代理设备接收到重放验证的验证结果后,根据验证结果是被告警是否为有效攻击告警,可以通过下列方式实现:
若灭活后的远程命令请求报文的载荷为无文件落地的载荷,当验证结果为灭活后的远程命令请求报文的载荷重放攻击成功,确定告警为有效攻击告警;当验证结果为灭活后的远程命令请求报文的载荷重放攻击失败,确定告警为无效的试探攻击告警。
若灭活后的远程命令请求报文的载荷为有文件落地的载荷,当验证结果为灭活后的远程命令请求报文的载荷对应的访问路径存在,确定告警为有效攻击告警;否则,确定告警为无效的试探攻击告警。
安全管理平台在确定告警为有效攻击告警后,将启动相应的处置程序;若确定告警为试探攻击告警,则不予处理。
在本发明提供的实施例中,通过对告警对应的请求报文的载荷进行分析,确定请求报文是否为远程命令请求报文;若为是,对请求报文的载荷进行灭活处理使之丧失传播性,获得灭活后的远程命令请求报文,并将灭活后的远程命令请求报文的载荷发送给告警对应目的网络地址的主机的代理设备进行重放验证;进而根据接收到的验证结果识别告警是否为有效攻击告警,从而能够快速识别有效攻击告警,提高识别有效攻击告警的准确性。
基于同一发明构思,本发明一实施例中提供一种有效攻击告警识别的方法,应用于代理至少一个主机的代理设备,该方法的具体实施方式可以参见前述安全管理平台中的相关描述,重复之处不再赘述,请参见图3该方法包括:
步骤301:接收灭活后的远程命令请求报文的载荷;
步骤302:对所述灭活后的远程命令请求报文的载荷进行重放验证,将对应的验证结果发送给安全管理平台,使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性。
一种可能的实施方式,对所述灭活后的远程命令请求报文的载荷进行重放验证,包括:
根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果。
一种可能的实施方式,根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果,包括:
若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷,则从所述灭活后的远程命令请求报文的载荷中获取第一命令;
用所述第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配,获取匹配度最高的命令;
用所述匹配度最高的命令进行重放攻击,获得攻击结果;
将所述攻击结果作为所述验证结果。
一种可能的实施方式,根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果,包括:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,则通过正则匹配,从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径;
通过验证所述访问路径是否真实存在,确定所述灭活后的远程命令请求报文的载荷是否攻击成功,获得所述验证结果。
基于同一发明构思,本发明一实施例中提供一种有效攻击告警识别的装置,应用于安全管理平台,该装置的有效攻击告警识别方法的具体实施方式可参见安全管理平台侧方法实施例部分的描述,重复之处不再赘述,请参见图4,该装置包括:
分析单元401,用于对告警对应的请求报文的载荷进行分析,确定所述请求报文是否为远程命令请求报文;
处理单元402,用于若为是,对所述请求报文的载荷进行灭活处理,获得灭活后的远程命令请求报文,并将所述灭活后的远程命令请求报文的载荷发送给所述告警对应目的网络地址的主机的代理设备进行重放验证;其中,所述灭活处理为使所述请求报文的载荷丧失传播性;
识别单元403,用于接收所述重放验证的验证结果,根据所述验证结果识别所述告警是否为有效攻击告警。
一种可能的实施方式,所述分析单元401还用于:
对产生的告警对应的请求报文的载荷进行分析之前,获取入侵防御系统IPS设备产生的所述告警对应的所述目的网络地址和所述请求报文的载荷;
根据所述目的网络地址,从资产纳管记录和防火墙网络地址转换NAT记录中,确定出所述主机。
一种可能的实施方式,所述识别单元403用于:
若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷,
当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击成功,确定所述告警为所述有效攻击告警;
当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击失败,确定所述告警为所述无效的试探攻击告警。
一种可能的实施方式,所述识别单元403还用于:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,
当所述验证结果为所述灭活后的远程命令请求报文的载荷对应的访问路径存在,确定所述告警为所述有效攻击告警;否则,确定所述告警为所述无效的试探攻击告警。
基于同一发明构思,本发明一实施例中提供一种有效攻击告警识别的装置,应用于代理至少一个主机的代理设备,该装置的有效攻击告警识别方法的具体实施方式可参见安全管理侧方法实施例部分的描述,重复之处不再赘述,请参见图5,该装置包括:
接收单元501,用于接收灭活后的远程命令请求报文的载荷;
验证单元502,用于对所述灭活后的远程命令请求报文的载荷进行重放验证,将对应的验证结果发送给安全管理平台,使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性。
一种可能的实施方式,所述验证单元502用于:
根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果。
一种可能的实施方式,所述验证单元502还用于:
若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷,则从所述灭活后的远程命令请求报文的载荷中获取第一命令;
用所述第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配,获取匹配度最高的命令;
用所述匹配度最高的命令进行重放攻击,获得攻击结果;
将所述攻击结果作为所述验证结果。
一种可能的实施方式,所述验证单元502还用于:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,则通过正则匹配,从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径;
通过验证所述访问路径是否真实存在,确定所述灭活后的远程命令请求报文的载荷是否攻击成功,获得所述验证结果。
需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory ,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
基于同一发明构思,本发明一实施例中提供一种安全网络,请参见图6,该安全网络包括:
入侵防御系统IPS设备601,用于识别包含攻击程序或有害代码及对应的克隆和变种的请求报文,并产生对应的告警;
安全管理平台602,与所述IPS设备的上报接口连接,用于执行如上所述的安全管理平台侧的有效攻击告警识别方法;该安全管理平台侧的有效攻击告警识别方法的具体实施方式可参见安全管理侧方法实施例部分的描述,重复之处不再赘述。
至少一个代理设备603,用于代理至少一个主机604,并从所述安全管理平台获取灭活后的远程命令请求报文的载荷,执行如上所述的代理设备侧的有效攻击告警识别方法;该代理设备侧的有效攻击告警识别方法的具体实施方式可参见安全管理侧方法实施例部分的描述,重复之处不再赘述。
基于同一发明构思,本发明实施例中提供了一种有效攻击告警识别的装置,包括:至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,执行如上所述的代理设备侧或安全管理平台侧的有效攻击告警识别方法。
基于同一发明构思,本发明实施例还提一种可读存储介质,包括:
存储器,
所述存储器用于存储指令,当所述指令被处理器执行时,使得包括所述可读存储介质的装置完成如上所述的代理设备侧或安全管理平台侧的有效攻击告警识别方法。
所述可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(Read-Only Memory,ROM)、可编程ROM(Programmable read-only memory,PROM)、电可编程ROM(Erasable ProgrammableRead-Only Memory,EPROM)、电可擦写可编程ROM(Electrically Erasable Programmableread only memory,EEPROM)或快闪存储器、固态硬盘(Solid State Disk或Solid StateDrive ,SSD)、磁性存储器(例如软盘、硬盘、磁带、磁光盘(Magneto-Optical disc,MO)等)、光学存储器(例如CD、DVD、BD、HVD等)。易失性存储器可以包括随机存取存储器(RandomAccess Memory,RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如动态RAM(Dynamic Random Access Memory,DRAM)、同步DRAM(Synchronous Dynamic Random-Access Memory,SDRAM)、双数据速率SDRAM(Double DataRate SDRAM,DDR SDRAM)、增强SDRAM(Enhanced Synchronous DRAM, ESDRAM)、同步链路DRAM(Sync Link DRAM, SLDRAM)。所公开的各方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域内的技术人员应明白,本发明实施例可提供为方法、系统、或程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机/处理器可用程序代码的可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的可读存储器中,使得存储在该可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机/处理器实现的处理,从而在计算机/处理器或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种有效攻击告警识别的方法,应用于代理至少一个主机的代理设备,其特征在于,包括:
接收灭活后的远程命令请求报文的载荷;其中,所述灭活后的远程命令请求报文的载荷为失去传播性的载荷;
根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得验证结果,将对应的验证结果发送给安全管理平台,使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性;
其中,根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果,包括:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,则通过正则匹配,从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径;
通过验证所述访问路径是否真实存在,确定所述灭活后的远程命令请求报文的载荷是否攻击成功,获得所述验证结果。
2.如权利要求1所述的方法,其特征在于,根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果,包括:
若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷,则从所述灭活后的远程命令请求报文的载荷中获取第一命令;
用所述第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配,获取匹配度最高的命令;
用所述匹配度最高的命令进行重放攻击,获得攻击结果;
将所述攻击结果作为所述验证结果。
3.一种有效攻击告警识别的方法,应用于安全管理平台,其特征在于,包括:
对告警对应的请求报文的载荷进行分析,确定所述请求报文是否为远程命令请求报文;
若为是,对所述请求报文的载荷进行灭活处理,获得灭活后的远程命令请求报文,并将所述灭活后的远程命令请求报文的载荷发送给所述告警对应目的网络地址的主机的代理设备进行重放验证;其中,所述灭活处理为使所述请求报文的载荷丧失传播性;
接收所述重放验证的验证结果,根据所述验证结果识别所述告警是否为有效攻击告警;
其中,根据所述验证结果识别所述告警是否为有效攻击告警,包括:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,当所述验证结果为所述灭活后的远程命令请求报文的载荷对应的访问路径存在,确定所述告警为所述有效攻击告警。
4.如权利要求3所述的方法,其特征在于,对产生的告警对应的请求报文的载荷进行分析之前,还包括:
获取入侵防御系统IPS设备产生的所述告警对应的所述目的网络地址和所述请求报文的载荷;
根据所述目的网络地址,从资产纳管记录和防火墙网络地址转换NAT记录中,确定出所述主机。
5.如权利要求3所述的方法,其特征在于,根据所述验证结果识别所述告警是否为有效攻击告警,包括:
若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷,
当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击成功,确定所述告警为所述有效攻击告警;
当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击失败,确定所述告警为无效的试探攻击告警。
6.如权利要求3所述的方法,其特征在于,根据所述验证结果识别所述告警是否为有效攻击告警,包括:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,
当所述验证结果为所述灭活后的远程命令请求报文的载荷对应的访问路径不存在,确定所述告警为无效的试探攻击告警。
7.一种有效攻击告警识别的装置,应用于代理至少一个主机的代理设备,其特征在于,包括:
接收单元,用于接收灭活后的远程命令请求报文的载荷;其中,所述灭活后的远程命令请求报文的载荷为失去传播性的载荷;
验证单元,用于根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得验证结果,将对应的验证结果发送给安全管理平台,使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性;
其中,根据所述灭活后的远程命令请求报文的载荷的类型,选择对应的验证策略进行重放验证,获得所述验证结果,包括:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,则通过正则匹配,从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径;
通过验证所述访问路径是否真实存在,确定所述灭活后的远程命令请求报文的载荷是否攻击成功,获得所述验证结果。
8.一种有效攻击告警识别的装置,应用于安全管理平台,其特征在于,包括:
分析单元,用于对告警对应的请求报文的载荷进行分析,确定所述请求报文是否为远程命令请求报文;
处理单元,用于若为是,对所述请求报文的载荷进行灭活处理,获得灭活后的远程命令请求报文,并将所述灭活后的远程命令请求报文的载荷发送给所述告警对应目的网络地址的主机的代理设备进行重放验证;其中,所述灭活处理为使所述请求报文的载荷丧失传播性;
识别单元,用于接收所述重放验证的验证结果,根据所述验证结果识别所述告警是否为有效攻击告警;
其中,根据所述验证结果识别所述告警是否为有效攻击告警,包括:
若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷,当所述验证结果为所述灭活后的远程命令请求报文的载荷对应的访问路径存在,确定所述告警为所述有效攻击告警。
9.一种安全网络,其特征在于,包括:
入侵防御系统IPS设备,用于识别包含攻击程序或有害代码及对应的克隆和变种的请求报文,并产生对应的告警;
安全管理平台,与所述IPS设备的上报接口连接,用于执行如权利要求3-6任一项所述的方法;
代理设备,用于代理至少一个主机,并从所述安全管理平台获取灭活后的远程命令请求报文的载荷,执行如权利要求1或2所述的方法。
10.一种有效攻击告警识别的装置,其特征在于,包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,执行如权利要求1-6任一项所述的方法。
11.一种可读存储介质,其特征在于,包括存储器,
所述存储器用于存储指令,当所述指令被处理器执行时,使得包括所述可读存储介质的装置完成如权利要求1~6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210187362.0A CN114567480B (zh) | 2022-02-28 | 2022-02-28 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210187362.0A CN114567480B (zh) | 2022-02-28 | 2022-02-28 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114567480A CN114567480A (zh) | 2022-05-31 |
| CN114567480B true CN114567480B (zh) | 2024-03-12 |
Family
ID=81715766
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210187362.0A Active CN114567480B (zh) | 2022-02-28 | 2022-02-28 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114567480B (zh) |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105025470A (zh) * | 2014-04-18 | 2015-11-04 | 中国移动通信集团公司 | 一种业务请求处理方法、系统及相关装置 |
| CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际系统应用有限公司 | 关联分析方法和关联分析系统 |
| CN108462750A (zh) * | 2018-03-22 | 2018-08-28 | 平安好房(上海)电子商务有限公司 | 分布式调用追踪方法、业务系统、监控系统及存储介质 |
| CN109144616A (zh) * | 2018-09-30 | 2019-01-04 | 珠海市君天电子科技有限公司 | 一种检测反射式动态链接库文件的方法及装置 |
| CN110611683A (zh) * | 2019-09-29 | 2019-12-24 | 国家计算机网络与信息安全管理中心 | 一种攻击源告警的方法和系统 |
| CN110958246A (zh) * | 2019-11-29 | 2020-04-03 | 中电福富信息科技有限公司 | 一种基于web服务器的动态智能防护方法及其应用 |
| CN110968872A (zh) * | 2019-11-20 | 2020-04-07 | 北京国舜科技股份有限公司 | 文件漏洞的检测处理方法、装置、电子设备及存储介质 |
| CN111049780A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN111800405A (zh) * | 2020-06-29 | 2020-10-20 | 深信服科技股份有限公司 | 检测方法及检测设备、存储介质 |
| CN112131249A (zh) * | 2020-09-28 | 2020-12-25 | 绿盟科技集团股份有限公司 | 一种攻击意图识别方法及装置 |
| CN113312244A (zh) * | 2021-07-28 | 2021-08-27 | 阿里云计算有限公司 | 一种故障监测方法、设备、程序产品及存储介质 |
| CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| CN113489713A (zh) * | 2021-06-30 | 2021-10-08 | 平安科技(深圳)有限公司 | 网络攻击的检测方法、装置、设备及存储介质 |
| CN113515750A (zh) * | 2021-07-22 | 2021-10-19 | 苏州知微安全科技有限公司 | 一种高速流量下的攻击检测方法及装置 |
| CN113660230A (zh) * | 2021-08-06 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 云安全防护测试方法、系统、计算机及可读存储介质 |
| CN114070642A (zh) * | 2021-11-26 | 2022-02-18 | 中国电信股份有限公司 | 网络安全检测方法、系统、设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9450973B2 (en) * | 2011-11-21 | 2016-09-20 | At&T Intellectual Property I, L.P. | Method and apparatus for machine to machine network security monitoring in a communications network |
| US9648029B2 (en) * | 2012-07-30 | 2017-05-09 | Newegg Inc. | System and method of active remediation and passive protection against cyber attacks |
| WO2018097344A1 (ko) * | 2016-11-23 | 2018-05-31 | 라인 가부시키가이샤 | 탐지 결과의 유효성을 검증하는 방법 및 시스템 |
-
2022
- 2022-02-28 CN CN202210187362.0A patent/CN114567480B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105025470A (zh) * | 2014-04-18 | 2015-11-04 | 中国移动通信集团公司 | 一种业务请求处理方法、系统及相关装置 |
| CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际系统应用有限公司 | 关联分析方法和关联分析系统 |
| CN108462750A (zh) * | 2018-03-22 | 2018-08-28 | 平安好房(上海)电子商务有限公司 | 分布式调用追踪方法、业务系统、监控系统及存储介质 |
| CN109144616A (zh) * | 2018-09-30 | 2019-01-04 | 珠海市君天电子科技有限公司 | 一种检测反射式动态链接库文件的方法及装置 |
| CN111049780A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN110611683A (zh) * | 2019-09-29 | 2019-12-24 | 国家计算机网络与信息安全管理中心 | 一种攻击源告警的方法和系统 |
| CN110968872A (zh) * | 2019-11-20 | 2020-04-07 | 北京国舜科技股份有限公司 | 文件漏洞的检测处理方法、装置、电子设备及存储介质 |
| CN110958246A (zh) * | 2019-11-29 | 2020-04-03 | 中电福富信息科技有限公司 | 一种基于web服务器的动态智能防护方法及其应用 |
| CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| CN111800405A (zh) * | 2020-06-29 | 2020-10-20 | 深信服科技股份有限公司 | 检测方法及检测设备、存储介质 |
| CN112131249A (zh) * | 2020-09-28 | 2020-12-25 | 绿盟科技集团股份有限公司 | 一种攻击意图识别方法及装置 |
| CN113489713A (zh) * | 2021-06-30 | 2021-10-08 | 平安科技(深圳)有限公司 | 网络攻击的检测方法、装置、设备及存储介质 |
| CN113515750A (zh) * | 2021-07-22 | 2021-10-19 | 苏州知微安全科技有限公司 | 一种高速流量下的攻击检测方法及装置 |
| CN113312244A (zh) * | 2021-07-28 | 2021-08-27 | 阿里云计算有限公司 | 一种故障监测方法、设备、程序产品及存储介质 |
| CN113660230A (zh) * | 2021-08-06 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 云安全防护测试方法、系统、计算机及可读存储介质 |
| CN114070642A (zh) * | 2021-11-26 | 2022-02-18 | 中国电信股份有限公司 | 网络安全检测方法、系统、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114567480A (zh) | 2022-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| KR102210627B1 (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
| WO2018099206A1 (zh) | 一种apt检测方法、系统及装置 | |
| CN112272186B (zh) | 一种网络流量检测装置、方法及电子设备和存储介质 | |
| US20180077178A1 (en) | Method and system for detecting malicious payloads | |
| JP2010182019A (ja) | 異常検知装置およびプログラム | |
| CN110222085B (zh) | 一种存证数据的处理方法、装置及存储介质 | |
| JP2001216173A (ja) | ウィルス・フリー・ファイル証明書を作成し使用するための方法及びシステム | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| US20150026806A1 (en) | Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack | |
| JP2017016674A (ja) | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 | |
| CN103001937B (zh) | 孤岛式以太网防御移动存储介质病毒的系统和方法 | |
| CN114567480B (zh) | 有效攻击告警识别的方法、装置、安全网络及存储介质 | |
| JP2003263376A (ja) | ファイアウォールのセキュリティ管理方法及びその管理プログラム | |
| CN114389863B (zh) | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 | |
| JP2010182020A (ja) | 不正検知装置およびプログラム | |
| TWM592531U (zh) | 網路攻擊分析系統 | |
| CN114257404B (zh) | 异常外联统计告警方法、装置、计算机设备和存储介质 | |
| CN115189938A (zh) | 一种业务安全防护方法和装置 | |
| CN112003824B (zh) | 攻击检测方法、装置及计算机可读存储介质 | |
| CN112464235A (zh) | 一种计算机网络安全控制系统及控制方法 | |
| CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
| US20200382552A1 (en) | Replayable hacktraps for intruder capture with reduced impact on false positives |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |