CN115102778A - 一种状态确定方法、装置、设备及介质 - Google Patents
一种状态确定方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115102778A CN115102778A CN202210812064.6A CN202210812064A CN115102778A CN 115102778 A CN115102778 A CN 115102778A CN 202210812064 A CN202210812064 A CN 202210812064A CN 115102778 A CN115102778 A CN 115102778A
- Authority
- CN
- China
- Prior art keywords
- data
- address information
- electronic device
- target
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 88
- 238000001514 detection method Methods 0.000 claims description 32
- 230000015654 memory Effects 0.000 claims description 25
- 238000000605 extraction Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 15
- 238000010586 diagram Methods 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 9
- 238000012550 audit Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本申请公开了一种状态确定方法、装置、设备及介质;其中,所述方法包括:获取网络流量数据;从所述网络流量数据中提取第一地址信息;其中,所述第一地址信息至少包括第一数据的接收地址;所述第一数据包括电子设备发送的数据;基于所述第一地址信息,确定所述电子设备的安全状态;其中,所述安全状态包括所述电子设备是否被成功攻击的状态。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种状态确定方法、装置、设备及介质。
背景技术
在实际应用中,对于未向攻击者直接返回攻击结果的攻击行为,缺乏用于分析攻击者是否攻击成功的通用技术方案。
发明内容
基于以上问题,本申请实施例提供了一种状态确定方法、装置、设备及介质。
本申请实施例提供的技术方案是这样的:
本申请实施例提供了一种状态确定方法,所述方法包括:
获取网络流量数据;
从所述网络流量数据中提取第一地址信息;其中,所述第一地址信息至少包括第一数据的接收地址;所述第一数据包括电子设备发送的数据;
基于所述第一地址信息,确定所述电子设备的安全状态;其中,所述安全状态包括所述电子设备是否被成功攻击的状态。
在一些实施例中,所述基于所述第一地址信息,确定所述电子设备的安全状态,包括:
获取第二地址信息;其中,所述第二地址信息包括安全级别小于安全阈值的地址;
若所述第一地址信息与所述第二地址信息中的至少一个地址匹配,确定所述电子设备处于被成功攻击状态。
在一些实施例中,所述确定所述电子设备处于被成功攻击状态之后,还包括:
确定目标地址信息;其中,所述目标地址信息包括所述第一地址信息中、与所述第二地址信息匹配的地址;
基于所述目标地址信息以及所述网络流量数据,确定目标标识;其中,所述目标标识包括与所述被成功攻击状态关联的标识。
在一些实施例中,所述目标标识至少包括第二数据的类型标识;所述第二数据包括触发所述电子设备切换至被攻击状态的数据;所述基于所述目标地址信息以及所述网络流量数据,确定目标标识,包括:
从所述网络流量数据中获取与所述目标地址信息关联的目标流量数据;
对所述目标流量数据进行特征提取,确定所述类型标识。
在一些实施例中,所述目标标识至少包括第二数据的来源标识;所述第二数据包括触发所述电子设备切换至被攻击状态的数据;所述基于所述目标地址信息以及所述网络流量数据,确定目标标识,包括:
从所述网络流量数据中获取与所述目标地址信息关联的目标流量数据;
提取所述目标流量数据中携带的地址信息;
基于所述目标流量数据中携带的地址信息,确定所述来源标识。
在一些实施例中,所述获取第二地址信息,包括:
获取设备组的历史检测信息;其中,所述设备组至少包括所述电子设备;
从所述历史检测信息中获取所述第二地址信息。
在一些实施例中,所述从所述网络流量数据中提取第一地址信息,包括:
获取第一结构信息和/或第二结构信息;其中,所述第一结构信息包括互联网协议(Internet Protocol,IP)地址的结构信息;所述第二结构信息包括域名系统(Domain NameSystem,DNS)的结构信息;
基于所述第一结构信息和/或第二结构信息,对所述网络流量数据进行地址提取,得到所述第一地址信息。
本申请实施例还提供了一种状态确定装置,所述装置包括:
获取模块,用于获取网络流量数据;
处理模块,用于从所述网络流量数据中提取第一地址信息;其中,所述第一地址信息至少包括第一数据的接收地址;所述第一数据包括电子设备发送的数据;
确定模块,用于基于所述第一地址信息,确定所述电子设备的安全状态;其中,所述安全状态包括所述电子设备是否被成功攻击的状态。
本申请实施例还提供了一种电子设备,所述电子设备包括处理器和存储器;所述存储器中存储有计算机程序;所述计算机程序被所述处理器执行时,能够实现如前任一所述的状态确定方法。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被电子设备的处理器执行时,能够实现如前任一所述的状态确定方法。
本申请实施例提供的状态确定方法,在确定电子设备的安全状态的过程中,并未依赖于指定类型的漏洞或攻击方式,而是能够根据网络流量数据中携带的第一地址信息灵活的确定电子设备的是否被成功攻击的安全状态;在第一数据包括电子设备发送的攻击结果数据的条件下,本申请实施例提供的状态确定方法,能够实现对电子设备中未向攻击者返回攻击结果的电子设备所处的攻击状态的灵活确定,从而提供了一种能够被广泛应用的安全状态确定方法。
附图说明
图1为本申请实施例提供的状态确定方法的流程示意图;
图2为本申请实施例提供的确定电子设备的安全状态的流程示意图;
图3为本申请实施例提供的确定目标标识的流程示意图;
图4为本申请实施例提供的提取第一地址信息的流程示意图;
图5为本申请实施例提供的状态确定方法的另一流程示意图;
图6为本申请实施例提供的状态确定装置的结构示意图;
图7为本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在实际应用中,有些攻击事件发生之后,并不会向攻击者返回明确的攻击结果。这些攻击事件的后续处理流程,通常包括两种情况,一种情况就是这类攻击方式并不需要被攻击者向攻击者返回攻击结果,攻击设备通过后续的命令行执行、漏洞利用、或者下载shell等方式实现对被攻击设备的控制,例如webshell以及反弹shell等;另一种情况是被攻击设备通过dnslog、rmi、ldap、以及http等方式将攻击结果发送至攻击服务器。无论是上述哪一种情况,在无法获取到攻击结果的条件下,都很难确定电子设备是否被攻击者攻击成功,进而无法确定电子设备的安全状态。
针对以上问题,在相关技术中也存在一些针对特定漏洞的攻击检测方案,比如针对log4j漏洞的无回显攻击检测方案。然而,由于这些方案的仅能应用于特定漏洞的攻击检测中,无法广泛的应用于各种无回显攻击方式的攻击状态检测。
基于以上问题,本申请实施例提供了一种状态确定方法、装置、设备及介质。本申请实施例提供的状态确定方法,能够根据电子设备发送第一数据的地址即第一地址信息,确定电子设备的安全状态,从而摆脱了对上述特定类型漏洞的特征的限定和依赖,提供了一种能够被广泛且普遍应用的安全状态确定方案。
需要说明的是,本申请实施例提供的状态确定方法,可以通过电子设备的处理器实现,上述处理器可以为特定用途集成电路(Application Specific IntegratedCircuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(Programmable LogicDevice,PLD)、现场可编程逻辑门阵列(Field Programmable Gate Array,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。
图1为本申请实施例提供的状态确定方法的流程示意图,如图1所示,该流程可以包括步骤101至步骤103:
步骤101、获取网络流量数据。
在一种实施方式中,网络流量数据可以包括用于记录电子设备与其它设备之间的数据传输过程的日志数据;示例性的,其它设备可以包括远程设备,也可以包括与电子设备位于同一物理空间的设备;示例性的,其它设备可以包括物理机设备和/或虚拟机设备;示例性的,其它设备可以包括服务器设备或个人计算机设备;示例性的,其它设备可以包括移动电子设备,比如智能手机或穿戴设备等,本申请实施例对此不作限定。
在一种实施方式中,若网络流量数据为安全检测设备比如防火墙设备获取,则网络流量数据可以包括安全检测设备在安全检测过程中获得的安全检测日志。
在一种实施方式中,其它设备的数量可以为多个;示例性的,在其它设备的数量为多个的条件下,多个其它设备的类型可以不同。
在一种实施方式中,网络流量数据可以是对电子设备与其它设备之间的数据传输过程进行实时监控而获取的;示例性的,网络流量数据还可以包括电子设备与其它设备之间的历史日志数据。
在一种实施方式中,网络流量数据可以包括电子设备与其它设备之间的单向数据传输的日志数据,比如用于记录电子设备向其它设备发送数据的日志数据。
步骤102、从网络流量数据中提取第一地址信息。
其中,第一地址信息至少包括第一数据的接收地址;第一数据包括电子设备发送的数据。
在一种实施方式中,第一数据可以包括电子设备发送的所有数据,比如电子设备发送的数据处理请求或电子设备发送的业务数据包,比如文本文件数据、音频文件数据、以及视频文件数据等;示例性的,第一数据可以包括电子设备发送的指定类型的数据;示例性的,第一数据可以包括电子设备被攻击后发送的攻击结果数据,比如表示攻击行为的攻击结果的回显信息;示例性的,攻击结果数据可以包括电子设备被成功攻击或攻击失败。
示例性的,可以将接收第一数据的地址记录为第一地址;示例性的,第一地址信息还可以包括第一地址的结构、电子设备向第一地址发送第一数据的次数、以及电子设备向第一地址发送第一数据的时间信息中的至少一种。
在一种实施方式中,第一地址信息可以与第三地址信息不同;其中,第三地址信息可以包括向电子设备发送攻击数据的地址;示例性的,第一地址信息可以包括电子设备被攻击后发送攻击结果的地址,也就是说,向电子设备发送威胁数据或向电子设备发动进攻的设备地址、与第一地址信息可以不同。
示例性的,第一地址信息可以是通过以下方式提取到的:
确定地址信息对应的关键词,并在网络流量数据中搜索上述关键词,将网络流量数据中与关键词匹配的数据确定为第一地址信息。
步骤103、基于第一地址信息,确定电子设备的安全状态。
其中,安全状态包括电子设备是否被成功攻击的状态。
在一种实施方式中,电子设备的安全状态可以包括电子设备是否被攻击、是否被攻击成功、以及电子设备被攻击后的系统故障级别中的至少一种状态;示例性的,电子设备的安全状态可以通过电子设备所面临的威胁级别表示,示例性的,若电子设备被攻击且被攻击成功,那么电子设备的安全状态可以为第一威胁级别,若电子设备被攻击、但未被攻击成功,那么电子设备的安全级别可以为第二威胁级别;示例性的,第一威胁级别可以大于第二威胁级别,也就是说,第一威胁级别所表示的风险程度,可以高于第二威胁级别所表示的风险程度。
示例性的,电子设备的安全状态可以是通过以下方式确定的:
获取第一数据的生成条件,基于生成条件以及第一地址信息,确定电子设备的安全状态;示例性的,若生成条件表示电子设备自行生成第一数据,且向第一地址发送第一数据,则可以确定电子设备处于被攻击状态;示例性的,若生成条件表示电子设备自行生成第一数据、且频繁的向第一地址发送第一数据,则可以确定电子设备处于被攻击状态。
获取第一数据的生成条件、第一数据所包含的数据信息以及第一地址信息,确定电子设备是否处于被攻击状态;示例性的,若生成条件表示第一数据为电子设备自行生成,且第一数据至少包括从电子设备的存储空间中获取的数据,电子设备还向第一地址发送第一数据,则可以确定电子设备处于被攻击状态。
由以上可知,本申请实施例提供的状态确定方法,获取网络流量数据之后,能够从网络流量数据中提取第一地址信息,并基于第一地址信息确定电子设备的安全状态;其中,第一地址信息包括电子设备发送的第一数据的接收地址,安全状态包括电子设备是否被成功攻击的状态。
由此,本申请实施例提供的状态确定方法,在确定电子设备的安全状态的过程中,并未依赖于指定类型的漏洞或攻击方式的攻击特征,而是能够根据网络流量数据中携带的第一地址信息灵活的确定电子设备是否被成功攻击的安全状态;在第一数据包括电子设备发送的攻击结果数据的条件下,本申请实施例提供的状态确定方法,能够实现对未向攻击者返回攻击结果的电子设备所处的攻击状态的灵活确定,从而提供了一种能够广泛应用的安全状态确定方法。
基于前述实施例,本申请实施例提供的状态确定方法中,基于第一地址信息,确定电子设备的安全状态,可以通过图2所示的流程实现,图2为本申请实施例提供的确定电子设备的安全状态的流程示意图,如图2所示,该流程可以包括步骤201至步骤202:
步骤201、获取第二地址信息。
其中,第二地址信息包括安全级别小于安全阈值的地址。
在一种实施方式中,安全阈值可以根据实际的状态确定需求而调整,比如在办公场景中,安全阈值可以为第一安全阈值,而在居家场景中,安全阈值可以为第二安全阈值;其中,第一安全阈值与第二安全阈值不同,从而满足针对不同场景的全方位状态检测需求。
在一种实施方式中,第二地址信息可以随着安全阈值的改变而变化;示例性的,安全阈值与第二地址信息之间可以具备关联关系,比如,第一安全阈值对应的第二地址信息可以包含在第一集合中,第二安全阈值对应的第二地址信息可以包含在第二集合中,如此,通过安全阈值与关联关系中的安全阈值之间的匹配程度,就可以从关联关系中确定目标关联关系,并将目标关联关系中的第二地址信息,确定为与安全阈值对应的第二地址信息。
在一种实施方式中,第二地址信息可以包括与威胁数据或攻击数据关联的地址;示例性的,第二地址信息可以包括用于接收攻击结果的网络地址或设备地址,比如攻击行为的回显信息的接收地址。
在一种实施方式中,第二地址信息可以包括多个地址;示例性的,第二地址信息中的地址数量以及地址,可以随着威胁数据库的更新而更新。
步骤202、若第一地址信息与第二地址信息中的至少一个地址匹配,确定电子设备处于被成功攻击状态。
示例性的,若第一地址信息与第二地址信息中的任一地址均不匹配,则可以确定电子设备处于未被攻击状态、或者未被成功攻击状态。
在一种实施方式中,若第一地址信息与第二地址信息中的多个地址匹配,则可以包括电子设备将被成功攻击的消息发送至了多个第一地址,在这种情况下,可以表示电子设备被多个和/或多种攻击数据攻击,还可以表示电子设备被一个/一种攻击数据攻击之后,分别向多个第一地址发送攻击结果。
由以上可知,本申请实施例提供的状态确定方法中,在获取第二地址信息之后,若第一地址信息与第二地址信息中的至少一个地址匹配,则可以确定电子设备处于被成功攻击状态。
如此,本申请实施例提供的状态确定方法,通过地址信息之间的匹配就能够灵活确定电子设备的安全状态,从而降低了对攻击手段或攻击方法所具备的攻击特征的依赖,提高了电子设备状态确定的灵活性,扩大了状态确定方法的应用范围。
基于前述实施例,本申请实施例提供的状态确定方法中,获取第二地址信息,可以通过以下方式实现:
获取设备组的历史检测信息;从历史检测信息中获取第二地址信息。
其中,设备组至少包括电子设备。
在一种实施方式中,设备组可以包括同一物理空间、或多个物理空间中设置的多个电子设备,比如办公场所设置的多个电子设备可以构成设备组;示例性的,办公场所可以设置在同一物理空间,比如同一会议室或办公室;示例性的,办公场所可以包括相互之间的距离小于或等于距离阈值的多个物理空间,比如第一办公室以及第二办公室,其中,第一办公室与第二办公室之间的距离可以小于距离阈值;示例性的,办公场所还可以包括相互之间的距离大于或等于距离阈值的多个物理空间,比如第一城市的第一办公场所以及第二城市的第二办公场所,且第一办公场所以及第二办公场所中设置的电子设备可以共享相同网络、相同的文件管理系统、相同的私密数据以及相同的网络安全管理系统,比第一城市的某公司总部办公场所、与多个第二城市部署的分支结构的办公场所。
在一种实施方式中,历史检测信息可以包括检测到的设备组中各个设备被攻击或被成功攻击的历史信息;示例性的,历史检测信息中可以包括向各个设备发送威胁数据的地址信息;示例性的,历史检测信息还可以包括威胁数据的发送特征信息;示例性的,威胁数据的发送特征信息可以包括威胁数据发送的频率、威胁数据的集中发送时间段信息、威胁数据是否触发电子设备在设备组中广播、以及威胁数据是否触发电子设备在设备组中转发中的至少一种信息。
在一种实施方式中,历史检测信息可以是对设备组的传输控制协议(TCP,Transmission Control Protocol)日志和/或DNS日志进行分析而获取的。
在一种实施方式中,历史检测信息可以包括目标威胁数据的地址信息;示例性的,目标威胁数据可以包括导致设备组中的至少一个设备切换至被成功攻击状态的威胁数据;示例性的,历史检测信息还可以包括潜在威胁数据的地址信息;示例性的,潜在威胁数据可以包括可能会导致设备组中的至少一个设备切换至被攻击状态、或被成功攻击状态的数据;示例性的,潜在威胁数据可以包括曾经向设备组中的至少一个设备发送的攻击数据,但该攻击数据可以并未导致至少一个设备切换至被成功攻击状态。
示例性的,第二地址信息可以是通过以下方式获取的:
根据状态确定需求,确定是否将历史检测信息中的威胁数据的地址信息以及潜在威胁数据的地址信息确定为第二地址信息;示例性的,当状态确定需求为第一需求时,可以将历史检测信息中的所有地址信息确定为第一地址信息;示例性的,当状态确定需求为第二需求时,可以将历史检测信息中威胁数据的地址信息确定为第二地址信息;示例性的,第一需求的安全级别可以高于第二需求对应的安全级别。
由以上可知,本申请实施例提供的状态确定方法中,能够获取至少包括电子设备的设备组的历史检测信息,并从历史检测信息中获取第二地址信息。由于设备组中的各个设备之间相互关联,因此,从历史检测信息中获取的第二地址信息,能够表征整个设备组被攻击或被攻击成功的历史信息,从而能够展示设备组中的设备被攻击的历史,进而能够提高第二地址信息的针对性和精确程度。
基于前述实施例,本申请实施例提供的状态确定方法中,确定电子设备处于被成功攻击状态之后,还可以执行图3所示的流程,图3为本申请实施例提供的确定目标标识的流程示意图,如图3所示,该流程可以包括步骤301至步骤302:
步骤301、确定目标地址信息。
其中,目标地址信息包括第一地址信息中与第二地址信息匹配的地址。
在一种实施方式中,目标地址信息可以包括至少一个目标地址;示例性的,目标地址可以包括用于接收攻击成功的攻击结果的地址;示例性的,目标地址可以包括电子设备发送表征攻击结果的回显信息的地址。
在一种实施方式中,目标地址信息还可以包括第一信息和/或第二信息;示例性的,第一信息可以包括电子设备发送攻击成功的攻击结果的时间信息;示例性的,第二信息可以包括电子设备发送攻击成功的攻击结果的次数信息。
在一种实施方式中,目标地址信息可以包括攻击服务器的地址;示例性的,电子设备可以通过dnslog、rmi、ldap、以及http等方式将攻击结果即第一数据发送至攻击服务器。
步骤302、基于目标地址信息以及网络流量数据,确定目标标识。
其中,目标标识包括与被成功攻击状态关联的标识。
在一种实施方式中,目标标识可以包括电子设备中被攻击成功的数据标识,比如电子设备中的联系人信息被窃取并发送至第一地址,此时目标标识可以包括联系人信息标识。
在一种实施方式中,目标标识可以包括电子设备被攻击后所处的威胁状态的标识,比如电子设备被植入威胁数据之后,在威胁数据包括可执行代码的条件下,随着可执行代码的执行,电子设备可以切换至多个威胁状态;示例性的,此时可以对电子设备所存储的数据状态、电子设备的软硬件配置状态、以及电子设备的网络访问状态中的至少一种状态进行分析,并根据分析结果确定威胁状态的标识。
示例性的,电子设备所存储的数据状态可以包括电子设备所存储的数据是否被删除和/或是否被篡改的状态。
示例性的,电子设备的软硬件配置状态,可以包括电子设备的软件是否被自动启动和/或电子设备的硬件配置是否被更改等状态。
示例性的,电子设备的网络访问状态,可以包括电子设备是否能够访问网络、或者电子设备是否被重定向至电子设备未曾访问过的网络地址。
示例性的,目标标识可以是通过以下方式确定的:
基于目标地址信息中携带的时间信息,从网络流量数据中获取与上述时间信息对应的网络流量数据,并根据上述网络流量数据确定第一数据、第二数据以及第三数据中的至少一种数据,然后再根据第一数据、第二数据以及第三数据中的至少一种数据,确定目标标识;示例性的,第一数据可以包括电子设备主动向目标地址发送的电子设备中存储的数据,第二数据可以包括电子设备被重定向至电子设备未访问过的网络地址数据;第三数据可以包括电子设备向目标地址发送特殊格式的数据。
由以上可知,本申请实施例提供的状态确定方法中,在确定目标地址信息之后,能够基于目标地址信息以及网络流量数据,确定目标标识。由此,本申请实施例提供的状态确定方法,不仅能够确定电子设备是否处于被成功攻击状态,还能在电子设备处于被成功攻击状态之后,确定与被成功攻击状态关联的目标标识,从而实现了对电子设备安全状态的相关数据的全方位获取。
基于前述实施例,本申请实施例提供的状态确定方法中,从网络流量数据中提取第一地址信息,可以通过图4所示的流程实现。图4为本申请实施例提供的提取第一地址信息的流程示意图,如图4所示,该流程可以包括步骤401至步骤402:
步骤401、获取第一结构信息和/或第二结构信息。
其中,第一结构信息包括IP的结构信息;第二结构信息包括DNS的结构信息。
在一种实施方式中,第一结构信息可以包括IP中的网络标识和/或主机标识的取值范围信息。
在一种实施方式中,第二结构信息可以包括DNS中字符数量、以及字符组合规则的信息;示例性的,第二结构信息可以包括DNS中的机器名、网络名、机构名以及最高域名之间排列组合的信息。
在一种实施方式中,第一结构信息以及第二结构信息可以是根据通用的IP以及DNS的结构进行抽象提取而确定的;示例性的,第一结构信息以及第二结构信息可以随着电子设备的不同和/或状态确定需求的改变而调整。
在一种实施方式中,第一结构信息以及第二结构信息可以存储在电子设备的存储空间中;示例性的,第一结构信息以及第二结构信息也可以是电子设备从安全地址或安全设备中获取到的,本申请实施例对此不作限定。
步骤402、基于第一结构信息和/或第二结构信息,对网络流量数据进行地址提取,得到第一地址信息。
示例性的,第一地址信息可以是通过以下任一方式确定的:
基于第一结构信息和/或第二结构信息,确定地址信息,然后在网络流量数据中提取地址信息,并将提取得到的信息确定为第一地址信息。
基于第一结构信息和/或第二结构信息,构建正则匹配表达式,然后基于正则匹配表达式对网络流量数据中的地址信息进行正则匹配,并将正则匹配得到的信息确定为第一地址信息。
由以上可知,本申请实施例提供的状态确定方法中,能够获取第一结构信息和/或第二结构信息,并基于第一结构信息和/或第二结构信息,对网络流量数据进行地址提取,从而得到第一地址信息,并且,第一地址信息包括IP的结构信息,第二地址信息包括DNS的结构信息。
由此,本申请实施例提供的状态确定方法,通过第一结构信息和/或第二结构信息对网络流量数据进行地址提取,能够实现对网络流量数据中地址信息的全方位以及高精度提取,从而提高了第一地址信息的精准度。
基于前述实施例,本申请实施例提供的状态确定方法中,目标标识至少包括第二数据的类型标识;第二数据包括触发电子设备切换至被攻击状态的数据。
在一种实施方式中,第二数据可以包括安全级别小于安全阈值的数据;示例性的,第二数据可以包括可执行文件或命令行文件;示例性的,第二数据的数量可以为多个;示例性的,多个第二数据的类型可以是不同的;示例性的,在第二数据的数量为多个的条件下,各个第二数据对电子设备执行的操作可以是不同的,比如第一个第二数据用于复制、编辑、删除或篡改电子设备中存储的数据,第二个第二数据用于修改电子设备的软硬件配置信息,第三个第二数据用于实现密码破译、信息流量分析等。
在一种实施方式中,第二数据可以包括用于实现攻击手法和/或执行攻击操作的数据;示例性的,第二数据可以包括可执行代码数据;示例性的,第二数据可以包括攻击载荷数据。
在一种实施方式中,类型标识可以包括第二数据对电子设备产生结果的类型标识,比如主动威胁标识或被动威胁标识;示例性的,类型标识可以包括第二数据的威胁动机的标识,比如类型标识可以包括偶发性威胁标识或者故意性威胁标识;示例性的,类型标识可以包括第二数据的名称标识,比如恶意软件、分布式拒绝服务攻击、网络钓鱼、社会学工程、高级持续威胁、以及中间人攻击等;示例性的,在第二数据为攻击载荷数据的情况下,类型标识可以包括攻击载荷数据的类型的标识。
相应的,基于目标地址信息以及网络流量数据,确定目标标识,可以通过步骤A1至步骤A2实现:
步骤A1、从网络流量数据中获取与目标地址信息关联的目标流量数据。
在一种实施方式中,目标流量数据可以包括攻击载荷;其中,攻击载荷可以包括攻击者为了达到漏洞攻击或者远程控制的目的而编写的可执行代码或者命令行。
在一种实施方式中,目标流量数据可以是通过以下任一方式确定的:
从目标地址信息中确定目标时间信息,并根据目标时间信息锁定目标时段,然后将目标时段内的网络流量数据确定为目标流量数据;示例性的,目标时段可以包括以目标时间信息对应的时间点为结束点的时间区间;示例性的,目标时段的长度可以根据实际的状态确定的需要而灵活的调整。
在网络流量数据中搜索目标地址信息,并将目标地址信息出现的时间点确定为目标时间信息,然后将包括目标时间信息在内的时间段确定为目标时段,并将目标时段内的网络流量数据确定为目标流量数据。
在一种实施方式中,网络流量数据可以包括电子设备的数据传输操作关联的网络日志;示例性的,网络流量数据可以包括与设备组中的设备之间的数据传输操作、以及设备组与网络之间的数据传输操作关联的网络日志,也就是说,网络流量数据可以包括多个设备之间、以及多个设备与网络之间的数据传输关联的网络日志。
相应的,目标流量数据可以包括电子设备自身的部分网络日志;示例性的,目标流量数据也可以包括设备组内部的设备之间、以及设备组与网络之间的部分网络日志。
步骤A2、对目标流量数据进行特征提取,确定类型标识。
在一种实施方式中,类型标识可以是通过以下方式确定的:
从目标流量数据中获取向电子设备接收到的数据包,并对数据包的结构、数据量大小、以及数据包接收数量中的至少一种进行特征提取,从而确定类型标识。
获取特征提取模型,并通过特征提取模型对目标流量数据进行特征提取,从而确定类型标识;示例性的,特征提取模型可以包括线性分类模型或神经网络模型,本申请实施例对此不作限定。
由以上可知,本申请实施例提供的状态确定方法中,目标标识至少包括第二数据的类型标识,第二数据包括触发电子设备切换至被攻击状态的数据,并且,能够从网络流量数据中获取与目标地址信息关联的目标流量数据,并对目标流量数据进行特征提取,从而确定类型标识。
如此,本申请实施例提供的状态确定方法,不仅能够确定电子设备是否处于被成功攻击的状态,而且,在电子设备被成功攻击的情况下,还能确定触发电子设备切换至被成功攻击状态的数据的类型标识,从而实现了对电子设备的安全状态的精准确定。
基于前述实施例,本申请实施例提供的状态确定方法中,目标标识至少包括第二数据的来源标识;第二数据包括触发电子设备切换至被攻击状态的数据。
在一种实施方式中,来源标识可以包括第二数据是来自电子设备所处网络的内部或者外部的标识,比如内部威胁标识或外部威胁标识;示例性的,内部威胁可以包括由于对电子设备所处局域网内部网络访问权限或数据访问权限控制不当,导致对关键数据或系统产生的威胁;示例性的,内部威胁可以包括来自设备组中的其它电子设备对电子设备发送威胁数据的威胁类型;示例性的,外部威胁也可以称为远程攻击或外部攻击,在实际应用中,攻击者可以利用电子设备或设备组的系统漏洞,向电子设备或设备组发动攻击,从而形成外部威胁;示例性的,在第二数据为攻击载荷数据的条件下,来源标识可以包括发送攻击载荷数据的设备地址或网络地址。
在一种实施方式中,来源标识可以包括发送第二数据的网络地址标识;示例性的,网络地址可以包括IP和/或DNS。
相应的,基于目标地址信息以及网络流量数据,确定目标标识,可以通过步骤B1至步骤B3实现:
步骤B1、从网络流量数据中获取与目标地址信息关联的目标流量数据。
示例性的,目标流量数据可以通过前述实施例提供的方法确定,此处不再赘述。
步骤B2、提取目标流量数据中携带的地址信息。
在一种实施方式中,目标流量数据中携带的地址信息,可以是通过前述实施例中提供的基于第一结构信息和/或第二结构信息对网络流量数据进行地址提取的方式得到的,此处不再赘述。
步骤B3、基于目标流量数据中携带的地址信息,确定来源标识。
在一种实施方式中,可以基于目标流量数据中携带的地址信息,确定第二数据是来自设备组内部还是设备组外部,即确定第二数据是内部威胁还是外部威胁。
示例性的,在确定来源标识以及类型标识之后,可以基于类型标识以及来源标识、结合目标流量数据中的时间信息全方位的复现第二数据的攻击过程。
由以上可知,本申请实施例提供的状态检测方法,在确定第一地址信息之后,能够根据第一地址信息反向关联网络流量数据中的目标流量数据,进而从目标流量数据中获取第二数据的类型标识以及来源标识,从而能够实现对第二数据发送、攻击、以及攻击结果发送等各个环节的全面重现,进而实现了对电子设备的安全状态的精准确定。
图5为本申请实施例提供的状态确定方法的另一流程示意图,如图5所示,该流程可以包括步骤501至步骤507:
步骤501、开始。
示例性的,在步骤501中,电子设备可以获取网络日志;示例性的,这里的网络日志可以为前述实施例中的网络流量数据。
步骤502、提取第一地址信息。
示例性的,电子设备可以提取第一地址信息;示例性的,可以通过第一结构信息和/或第二结构信息对网络日志进行匹配搜索,从而得到攻击载荷外连地址。
示例性的,攻击载荷外连地址可以包括反弹shell、下载shell、dnslog、rmi、ldap、以及http等。
步骤503、关联审计日志。
示例性的,电子设备可以关联审计日志。
示例性的,审计日志可以包括前述实施例中所述的设备组的历史检测信息。
示例性的,可以基于审计日志对第一地址信息进行匹配筛选,从而确定第一地址信息是否为目标地址信息。
步骤504、确定第一地址信息是否为目标地址信息。
示例性的,电子设备可以确定第一地址信息是否为目标地址信息。
示例性的,可以从审计日志即历史检测信息中获取第二地址信息,再基于第二地址信息与定第一地址信息的匹配关系,确定定第一地址信息是否包括目标地址信息、或者第一地址信息是否为目标地址信息。
示例性的,目标地址信息可以为实际的攻击载荷的攻击结果发送地址。
示例性的,若第一地址信息为目标地址信息,则可以执行步骤505;示例性的,若第一地址信息不为目标地址信息,则可以执行步骤502。
步骤505、关联目标地址信息与攻击日志。
示例性的,电子设备可以关联目标地址信息与攻击日志。
示例性的,攻击日志可以为前述实施例中的目标流量数据。
示例性的,关联目标地址信息与攻击日志,可以获取第二数据即攻击数据的来源标识以及类型标识。
步骤506、定性攻击成功类型。
示例性的,电子设备可以定性攻击成功类型。
示例性的,可以根据攻击日志中第二数据即攻击数据所携带的信息,确定电子设备是否被成功攻击。
步骤507、结束。
示例性的,在步骤507中,电子设备可以输出类型标识、来源标识以及是否攻击成功中的至少一种信息。
由以上可知,本申请实施例提供的状态确定方法中,通过对网络日志的分析就能够灵活的确定电子设备是否被攻击或是否被成功攻击,还能确定攻击的来源标识以及类型标识,从而能够实现对电子设备安全状态的全方位精准确定。
基于前述实施例,本申请实施例还提供了一种状态确定装置,图6为本申请实施例提供的状态确定装置6的结构示意图,如图6所示,该装置可以包括:
获取模块601,用于获取网络流量数据;
处理模块602,用于从网络流量数据中提取第一地址信息;其中,第一地址信息至少包括第一数据的接收地址;第一数据包括电子设备发送的数据;
确定模块603,用于基于第一地址信息,确定电子设备的安全状态;其中,安全状态包括电子设备是否被成功攻击的状态。
在一些实施例中,获取模块601,用于获取第二地址信息;其中,第二地址信息包括安全级别小于安全阈值的地址;
确定模块603,用于若第一地址信息与第二地址信息中的至少一个地址匹配,确定电子设备处于被成功攻击状态。
在一些实施例中,确定模块603,用于确定目标地址信息;其中,目标地址信息包括第一地址信息中、与第二地址信息匹配的地址;
确定模块603,用于基于目标地址信息以及网络流量数据,确定目标标识;其中,目标标识包括与被成功攻击状态关联的标识。
在一些实施例中,目标标识至少包括第二数据的类型标识;第二数据包括触发电子设备切换至被攻击状态的数据;
获取模块601,用于从网络流量数据中获取与目标地址信息关联的目标流量数据;
确定模块603,用于对目标流量数据进行特征提取,确定类型标识。
在一些实施例中,目标标识至少包括第二数据的来源标识;第二数据包括触发电子设备切换至被攻击状态的数据;
获取模块601,用于从网络流量数据中获取与目标地址信息关联的目标流量数据;提取目标流量数据中携带的地址信息;
确定模块603,用于基于目标流量数据中携带的地址信息,确定来源标识。
在一些实施例中,获取模块601,用于获取设备组的历史检测信息;从历史检测信息中获取第二地址信息;其中,设备组至少包括电子设备。
在一些实施例中,获取模块601,用于获取第一结构信息和/或第二结构信息;其中,第一结构信息包括互联网协议地址IP的结构信息;第二结构信息包括域名系统DNS的结构信息;
处理模块602,用于基于第一结构信息和/或第二结构信息,对网络流量数据进行地址提取,得到第一地址信息。
由以上可知,本申请实施例提供的状态确定装置6,在确定电子设备的安全状态的过程中,并未依赖于指定类型的漏洞或攻击方式,而是能够根据网络流量数据中携带的第一地址信息灵活的确定电子设备的安全状态;在第一数据包括电子设备发送的攻击结果数据的条件下,本申请实施例提供的状态确定装置6,能够实现对电子设备中未向攻击者返回攻击结果的攻击方式所处的攻击状态的灵活确定,从而使得状态确定装置6能够广泛的应用于电子设备的状态确定场景。
基于前述实施例,本申请实施例还提供了一种电子设备7,图7为本申请实施例提供的电子设备7的结构示意图,如图7所示,该电子设备可以包括处理器701以及存储器702;其中,存储器702中存储有计算机程序,该计算机程序被处理器701执行时,能够实现如前任一所述的状态确定方法。
上述处理器701可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。
上述存储器702,可以是易失性存储器(volatile memory),例如随机存取存储器(Random Access Memory,RAM);或者非易失性存储器(non-volatile memory),例如只读存储器(Read-Only Memory,ROM),flash memory,硬盘驱动器(Hard Disk Drive,HDD)或固态硬盘(Solid State Disk,SSD);或者上述种类的存储器的组合,并向处理器提供指令和数据。
示例性的,前述实施例中的获取模块601、处理模块602以及确定模块603,可以通过处理器701实现。
基于前述实施例,本申请实施例还提供了一种计算机可读存储介质,该存储介质中存储有计算机程序,该计算机程序被电子设备的处理器执行时,能够实现如前任一实施例所述的状态确定方法。
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述。
本申请所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
需要说明的是,上述计算机可读存储介质可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种电子设备,如移动电话、计算机、平板设备、个人数字助理等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件节点的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所描述的方法。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种状态确定方法,其特征在于,所述方法包括:
获取网络流量数据;
从所述网络流量数据中提取第一地址信息;其中,所述第一地址信息至少包括第一数据的接收地址;所述第一数据包括电子设备发送的数据;
基于所述第一地址信息,确定所述电子设备的安全状态;其中,所述安全状态包括所述电子设备是否被成功攻击的状态。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一地址信息,确定所述电子设备的安全状态,包括:
获取第二地址信息;其中,所述第二地址信息包括安全级别小于安全阈值的地址;
若所述第一地址信息与所述第二地址信息中的至少一个地址匹配,确定所述电子设备处于被成功攻击状态。
3.根据权利要求2所述的方法,其特征在于,所述确定所述电子设备处于被成功攻击状态之后,还包括:
确定目标地址信息;其中,所述目标地址信息包括所述第一地址信息中、与所述第二地址信息匹配的地址;
基于所述目标地址信息以及所述网络流量数据,确定目标标识;其中,所述目标标识包括与所述被成功攻击状态关联的标识。
4.根据权利要求3所述的方法,其特征在于,所述目标标识至少包括第二数据的类型标识;所述第二数据包括触发所述电子设备切换至被攻击状态的数据;所述基于所述目标地址信息以及所述网络流量数据,确定目标标识,包括:
从所述网络流量数据中获取与所述目标地址信息关联的目标流量数据;
对所述目标流量数据进行特征提取,确定所述类型标识。
5.根据权利要求3所述的方法,其特征在于,所述目标标识至少包括第二数据的来源标识;所述第二数据包括触发所述电子设备切换至被攻击状态的数据;所述基于所述目标地址信息以及所述网络流量数据,确定目标标识,包括:
从所述网络流量数据中获取与所述目标地址信息关联的目标流量数据;
提取所述目标流量数据中携带的地址信息;
基于所述目标流量数据中携带的地址信息,确定所述来源标识。
6.根据权利要求2所述的方法,其特征在于,所述获取第二地址信息,包括:
获取设备组的历史检测信息;其中,所述设备组至少包括所述电子设备;
从所述历史检测信息中获取所述第二地址信息。
7.根据权利要求1所述的方法,其特征在于,所述从所述网络流量数据中提取第一地址信息,包括:
获取第一结构信息和/或第二结构信息;其中,所述第一结构信息包括互联网协议地址IP的结构信息;所述第二结构信息包括域名系统DNS的结构信息;
基于所述第一结构信息和/或第二结构信息,对所述网络流量数据进行地址提取,得到所述第一地址信息。
8.一种状态确定装置,其特征在于,所述装置包括:
获取模块,用于获取网络流量数据;
处理模块,用于从所述网络流量数据中提取第一地址信息;其中,所述第一地址信息至少包括第一数据的接收地址;所述第一数据包括电子设备发送的数据;
确定模块,用于基于所述第一地址信息,确定所述电子设备的安全状态;其中,所述安全状态包括所述电子设备是否被成功攻击的状态。
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器;所述存储器中存储有计算机程序;所述计算机程序被所述处理器执行时,能够实现如权利要求1至7任一所述的状态确定方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被电子设备的处理器执行时,能够实现如权利要求1至7任一所述的状态确定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210812064.6A CN115102778A (zh) | 2022-07-11 | 2022-07-11 | 一种状态确定方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210812064.6A CN115102778A (zh) | 2022-07-11 | 2022-07-11 | 一种状态确定方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115102778A true CN115102778A (zh) | 2022-09-23 |
Family
ID=83297183
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210812064.6A Pending CN115102778A (zh) | 2022-07-11 | 2022-07-11 | 一种状态确定方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115102778A (zh) |
Citations (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
US20150288715A1 (en) * | 2014-04-03 | 2015-10-08 | Automattic, Inc. | Systems And Methods For Protecting Websites From Botnet Attacks |
CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
US20170134957A1 (en) * | 2012-10-16 | 2017-05-11 | Mcafee, Inc. | System and method for correlating network information with subscriber information in a mobile network environment |
US20170150353A1 (en) * | 2015-11-24 | 2017-05-25 | Bank Of America Corporation | Proactive Intrusion Protection System |
CN107231258A (zh) * | 2017-06-01 | 2017-10-03 | 国网电子商务有限公司 | 一种网络告警数据处理方法及装置 |
US9794281B1 (en) * | 2015-09-24 | 2017-10-17 | Amazon Technologies, Inc. | Identifying sources of network attacks |
JP2018093383A (ja) * | 2016-12-05 | 2018-06-14 | Kddi株式会社 | 通信監視装置、通信監視方法及び通信監視プログラム |
CN108270722A (zh) * | 2016-12-30 | 2018-07-10 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
JP6360221B1 (ja) * | 2017-03-31 | 2018-07-18 | 西日本電信電話株式会社 | 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN109474623A (zh) * | 2018-12-25 | 2019-03-15 | 杭州迪普科技股份有限公司 | 网络安全防护及其参数确定方法、装置及设备、介质 |
US20190281075A1 (en) * | 2018-03-07 | 2019-09-12 | Fujitsu Limited | Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus |
CN112583674A (zh) * | 2020-12-16 | 2021-03-30 | 珠海格力电器股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
WO2021102414A1 (en) * | 2019-11-22 | 2021-05-27 | Centripetal Networks, Inc. | Methods and systems for prevention of attacks associated with the domain name system |
CN113422697A (zh) * | 2021-06-21 | 2021-09-21 | 深信服科技股份有限公司 | 一种追踪方法、装置、电子设备及可读存储介质 |
CN113472772A (zh) * | 2021-06-29 | 2021-10-01 | 深信服科技股份有限公司 | 网络攻击的检测方法、装置、电子设备及存储介质 |
US20210344589A1 (en) * | 2017-12-29 | 2021-11-04 | Wangsu Science & Technology Co., Ltd. | Method, server, and system for data stream redirecting |
CN113965419A (zh) * | 2021-12-22 | 2022-01-21 | 北京微步在线科技有限公司 | 一种通过反连判定攻击成功的方法及装置 |
CN113992358A (zh) * | 2021-09-29 | 2022-01-28 | 杭州迪普科技股份有限公司 | 网络安全策略的分配方法及装置 |
CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
-
2022
- 2022-07-11 CN CN202210812064.6A patent/CN115102778A/zh active Pending
Patent Citations (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
US20170134957A1 (en) * | 2012-10-16 | 2017-05-11 | Mcafee, Inc. | System and method for correlating network information with subscriber information in a mobile network environment |
CN103746961A (zh) * | 2013-12-12 | 2014-04-23 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
US20150288715A1 (en) * | 2014-04-03 | 2015-10-08 | Automattic, Inc. | Systems And Methods For Protecting Websites From Botnet Attacks |
US9794281B1 (en) * | 2015-09-24 | 2017-10-17 | Amazon Technologies, Inc. | Identifying sources of network attacks |
US20170150353A1 (en) * | 2015-11-24 | 2017-05-25 | Bank Of America Corporation | Proactive Intrusion Protection System |
CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
JP2018093383A (ja) * | 2016-12-05 | 2018-06-14 | Kddi株式会社 | 通信監視装置、通信監視方法及び通信監視プログラム |
CN108270722A (zh) * | 2016-12-30 | 2018-07-10 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
JP6360221B1 (ja) * | 2017-03-31 | 2018-07-18 | 西日本電信電話株式会社 | 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム |
CN107231258A (zh) * | 2017-06-01 | 2017-10-03 | 国网电子商务有限公司 | 一种网络告警数据处理方法及装置 |
US20210344589A1 (en) * | 2017-12-29 | 2021-11-04 | Wangsu Science & Technology Co., Ltd. | Method, server, and system for data stream redirecting |
US20190281075A1 (en) * | 2018-03-07 | 2019-09-12 | Fujitsu Limited | Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN109474623A (zh) * | 2018-12-25 | 2019-03-15 | 杭州迪普科技股份有限公司 | 网络安全防护及其参数确定方法、装置及设备、介质 |
WO2021102414A1 (en) * | 2019-11-22 | 2021-05-27 | Centripetal Networks, Inc. | Methods and systems for prevention of attacks associated with the domain name system |
CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
CN112583674A (zh) * | 2020-12-16 | 2021-03-30 | 珠海格力电器股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
CN113422697A (zh) * | 2021-06-21 | 2021-09-21 | 深信服科技股份有限公司 | 一种追踪方法、装置、电子设备及可读存储介质 |
CN113472772A (zh) * | 2021-06-29 | 2021-10-01 | 深信服科技股份有限公司 | 网络攻击的检测方法、装置、电子设备及存储介质 |
CN113992358A (zh) * | 2021-09-29 | 2022-01-28 | 杭州迪普科技股份有限公司 | 网络安全策略的分配方法及装置 |
CN113965419A (zh) * | 2021-12-22 | 2022-01-21 | 北京微步在线科技有限公司 | 一种通过反连判定攻击成功的方法及装置 |
Non-Patent Citations (1)
Title |
---|
汪允敏;李挥;王菡;白永杰;宁崇辉;: "区块链在工业互联网标识数据管理策略研究", 计算机工程与应用, no. 07, pages 1 - 7 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8978137B2 (en) | Method and apparatus for retroactively detecting malicious or otherwise undesirable software | |
US10013318B2 (en) | Distributed event correlation system | |
US10970393B1 (en) | Probabilistic set membership using bloom filters | |
CN113037777B (zh) | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 | |
US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
CN110313147B (zh) | 数据处理方法、装置和系统 | |
CN111385376A (zh) | 一种终端的非法外联监测方法、装置、系统及设备 | |
WO2016189843A1 (ja) | セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体 | |
WO2016189841A1 (ja) | セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体 | |
CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
CN104796386B (zh) | 一种僵尸网络的检测方法、装置和系统 | |
CN111865876B (zh) | 网络的访问控制方法和设备 | |
CN115102778A (zh) | 一种状态确定方法、装置、设备及介质 | |
CN113312625B (zh) | 一种攻击路径图构建方法、装置、设备、介质 | |
CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
Zhu et al. | Internet security protection for IRC-based botnet | |
CN110752996A (zh) | 一种报文转发方法及装置 | |
CN116938605B (zh) | 网络攻击防护方法、装置、电子设备及可读存储介质 | |
CN113992441B (zh) | 一种蜜饵生成方法及装置 | |
CN113556310B (zh) | 一种远程控制检测方法及网络设备 | |
US11909764B1 (en) | Man-in-the-middle interceptor for application security testing | |
JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |