CN115442109A - 网络攻击结果的确定方法、装置、设备及存储介质 - Google Patents

网络攻击结果的确定方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN115442109A
CN115442109A CN202211054738.7A CN202211054738A CN115442109A CN 115442109 A CN115442109 A CN 115442109A CN 202211054738 A CN202211054738 A CN 202211054738A CN 115442109 A CN115442109 A CN 115442109A
Authority
CN
China
Prior art keywords
attack
information
terminal
determining
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211054738.7A
Other languages
English (en)
Inventor
田俊杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211054738.7A priority Critical patent/CN115442109A/zh
Publication of CN115442109A publication Critical patent/CN115442109A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种网络攻击结果的确定方法、装置、设备及存储介质,其中,方法包括:获取网络攻击流量,并确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件;提取所述目标攻击事件的攻击特征信息,并将所述攻击特征信息发送至被攻击IP对应的终端探针;通过所述终端探针持续监测并记录终端中的异常行为、正常行为和终端响应判定规则行为,并将所述攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果。根据本公开的技术方案,解决了部分攻击无响应和响应流量无法判断攻击结果的技术问题,提高了网络攻击结果检测的准确度。

Description

网络攻击结果的确定方法、装置、设备及存储介质
技术领域
本公开涉及网络安全技术领域,尤其涉及一种网络攻击结果的确定方法、装置、设备及存储介质。
背景技术
网络攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的进攻动作。对于计算机和计算机网络,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下窃取或访问任何计算机的数据,都会被视为于计算机和计算机网络中的攻击。网络攻击检测包括对网络攻击行为的检测以及对攻击结果的检测。
相关技术中,利用机器学习技术或流量特征技术对攻击响应数据进行检测,检测攻击响应报文是否符合攻击失败或攻击成功特征,进而达到检测攻击结果的目的。然而,此类检测无法涵盖对于攻击无响应或响应报文中随机无特征可利用、无成功/失败模型可训练的攻击,攻击结果检测范围有待提高。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种网络攻击结果的确定方法、装置、设备及存储介质。
第一方面,本公开实施例提供了一种网络攻击结果的确定方法,包括:
获取网络攻击流量,并确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件;
提取所述目标攻击事件的攻击特征信息,并将所述攻击特征信息发送至被攻击IP对应的终端探针;
通过所述终端探针持续监测并记录终端中的异常行为、正常行为和终端响应判定规则行为,并将所述攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果。
可选地,所述确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件,包括:
根据预设攻击规则,梳理所述网络攻击流量中需要终端探针进行的攻击结果判断事件,确定候选攻击事件;
在所述候选攻击事件的攻击类型和终端连通情况满足指定条件时,确定所述候选攻击事件为目标攻击事件。
可选地,所述攻击特征信息包括时间、攻击标识、攻击类型、有效载荷,所述将所述攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果,包括:
将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配,以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配;
若匹配到与攻击特征信息一致的第一信息,或者,若匹配到与攻击特征信息一致的第二信息,则确定所述目标攻击事件的攻击结果为攻击成功。
可选地,所述攻击特征信息还包括规则标识,在将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配,以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配之前,还包括:
查询预设关系,以将所述规则标识与预设的终端响应成功规则标识和终端响应失败规则标识进行匹配;
当所述规则标识匹配到终端响应成功规则标识时,确定所述目标攻击事件的攻击结果为攻击成功;
当所述规则标识匹配到终端响应失败规则标识时,确定所述目标攻击事件的攻击结果为攻击失败。
可选地,所述方法还包括:
若未匹配到与攻击特征信息一致的第一信息,且未匹配到与攻击特征信息一致的第二信息,则提取所述第一信息和所述第二信息中每组信息的关键特征,将所述攻击特征信息与所述关键特征进行模糊匹配,生成每组信息对应的权值;
确定多组权值中的最大值,若所述最大值大于预设阈值,则确定所述目标攻击事件的攻击结果为攻击疑似成功。
可选地,所述将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配,以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配,包括:
确定所述攻击特征信息是否携带延迟响应标识;
若未检测到所述延迟响应标识,则立刻将所述攻击特征信息与所述第一信息和所述第二信息进行匹配;
若检测到所述延迟响应标识,则延迟与所述延迟响应标识对应的时刻后,将所述攻击特征信息与所述第一信息和所述第二信息进行匹配。
可选地,所述方法还包括:
接收终端探针发送的终端探针序列号、设备IP、终端系统信息、终端描述信息,以将终端探针注册到检测设备;
其中,终端探针通过与检测设备之间的心跳连接,反馈状态信息。
第二方面,本公开实施例提供了一种网络攻击结果的确定装置,包括:
获取模块,用于获取网络攻击流量,并确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件;
提取模块,用于提取所述目标攻击事件的攻击特征信息,并将所述攻击特征信息发送至被攻击IP对应的终端探针;
确定模块,用于通过所述终端探针持续监测并记录终端中的异常行为、正常行为和终端响应判定规则行为,并将所述攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果。
第三方面,本公开实施例提供了一种电子设备,包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述第一方面所述的网络攻击结果的确定方法。
第四方面,本公开实施例提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的网络攻击结果的确定方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:通过检测设备获取目标攻击事件的攻击特征信息,并将攻击特征信息发送至终端探针,通过终端探针持续监测并记录终端中的异常行为和正常行为,并将攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定目标攻击事件的攻击结果,由此,检测设备联动终端探针,将目标攻击事件下发终端探针进行分析判断,并响应攻击事件判断结果,对于部分攻击无响应和响应流量无法判断攻击结果的攻击事件,能够确定攻击结果,扩展了攻击结果检测范围,提高了网络攻击结果检测的准确度。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例所提供的一种网络攻击结果的确定方法的流程示意图;
图2为本公开实施例所提供的一种检测设备与终端探针的结构示意图;
图3为本公开实施例所提供的一种终端探针侧流程示意图;
图4为本公开实施例所提供的一种网络攻击结果的确定装置的结构示意图;
图5为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1为本公开实施例所提供的一种网络攻击结果的确定方法的流程示意图,本公开实施例提供的方法可以由网络攻击结果的确定装置来执行,该装置可以采用软件和/或硬件实现,并可集成在任意具有计算能力的电子设备上,例如智能手机、平板电脑等用户终端。
如图1所示,本公开实施例提供的网络攻击结果的确定方法可包括:
步骤101,获取网络攻击流量,并确定网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件。
本公开实施例的方法,可以应用于检测设备。
本公开实施例中,检测设备获取待检测网络流量,并识别待检测网络流量是否为网络攻击流量,例如可以通过现有的网络攻击识别方法或攻击特征规则进行网络攻击检测,识别攻击行为,从而确定待检测网络流量中的网络攻击流量。
本实施例中,应用于确定网络攻击流量对应的攻击结果,例如确定是否攻击成功。相关技术中,在确定网络攻击流量后,可以基于响应报文确定攻击结果,而本公开应用于无响应类攻击或者攻击响应数据无法判断攻击结果等情况下的攻击结果判定,即用于确定目标攻击事件的攻击结果,其中,目标攻击事件包括无响应攻击事件、无法通过响应流量判断攻击结果事件、响应流量内容不固定无法特征化攻击事件,其中,无响应攻击事件例如:部分工控攻击、部分ICMP攻击、部分拒绝服务攻击,无法通过响应流量判断攻击结果事件例如:下载病毒命令执行操作、溢出攻击,响应流量不固定攻击事件例如:未授权访问、任意文件读取、部分信息泄露、部分命令执行攻击、部分代码执行攻击,执行命令千差万别无法将所有执行命令结果归纳特征。
在本公开的一个实施例中,确定所述网络攻击流量中的目标攻击事件,包括:根据预设攻击规则,梳理所述网络攻击流量中需要终端探针进行的攻击结果判断事件,确定候选攻击事件,在所述候选攻击事件的攻击类型和终端连通情况满足指定条件时,确定所述候选攻击事件为目标攻击事件。
其中,筛选方式为无响应判定规则和无机器学习响应判定模型等本地判定方式事件,确定为候选攻击事件,筛选的事件分2类:1、攻击事件在终端攻击成功或失败结果明确,可以预设对应的终端响应判定规则,如:固定命令执行、固定payload溢出攻击等;2、攻击事件在终端攻击成功或失败结果不确定,不可预设终端响应判定规则,如:不固定命令执行、任意文件读取、目录遍历等。预设终端响应判定规则基于检测设备攻击规则进行预设,并存在对应关联关系。而预设的响应判定规则和机器学习响应判定模型,对于响应流量具有明显特征的情况,可以判断攻击成功或攻击失败。举例而言,可以对网络攻击流量进行过滤,对于检测设备能够直接判断的流量确定攻击结果,并基于不能够直接判断的流量确定候选攻击事件,进而,在候选攻击事件的攻击类型为指定类型,和/或,检测设备与终端连通时,确定候选攻击事件为目标攻击事件,其中,候选攻击事件的攻击类型可以在网络攻击检测阶段确定,指定类型包括缓存溢出攻击、命令执行攻击、代码执行攻击、部分UDP(UserDatagram Protocol,用户数据报协议)类型攻击等,对于目标攻击事件采用后续步骤确定攻击结果。
步骤102,提取目标攻击事件的攻击特征信息,并将攻击特征信息发送至被攻击IP对应的终端探针。
本实施例中,检测设备获取目标攻击事件的攻击特征信息,并将攻击特征信息发送至被攻击IP(Internet Protocol,网际互连协议)对应的终端探针。其中,对于攻击事件类型、攻击事件流量中包含特征进行提取,攻击特征信息包括时间、规则标识、攻击类型、攻击中有效载荷payload(有效载荷包括执行命令、恶意IP/URL(统一资源定位系统,uniformresource locator)/域名、其他载荷)等特征信息。
作为一种示例,检测设备与终端探针的结构如图2所示,检测设备通过引流方式或串联方式得到待检测网络流量,通过网络连通设备与各个终端探针网络连通,终端探针与终端对应。其中,检测设备根据目标攻击事件的被攻击IP等信息,从多个终端确定下发攻击特征信息的目标终端。
步骤103,通过终端探针持续监测并记录终端中的异常行为、正常行为和终端响应判定规则行为,并将攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定目标攻击事件的攻击结果。
本实施例中,终端探针被配置为监测并记录终端中的异常行为和正常行为,即在检测设备识别攻击行为的同时,终端探针在实时检测终端中行为。以及,终端探针监测并记录终端中的终端响应判定规则行为。
下面对终端探针侧进行说明,终端探针侧的执行步骤参照图3。步骤一:终端探针注册/管理,终端探针与检测设备心跳保活。步骤二一:检测设备将攻击特征信息发送至终端探针。步骤二二:终端探针记录异常行为和正常行为。步骤三:终端探针将攻击特征信息与终端探针监测记录的行为进行匹配。步骤四:终端探针响应检测设备,包含判定结果和异常行为信息。
其中,终端探针通过发送终端探针序列号、设备IP、终端系统信息、终端其述信息到检测设备进行注册,检测设备接收终端探针发送的终端探针序列号、设备IP、终端系统信息、终端描述信息,以将终端探针注册到检测设备。终端探针注册后,可以对终端探针进行管理配置、下发规则库等,规则库包括攻击响应关联规则库、异常行为规则库。其中,终端探针与检测设备保持心跳连接,可以反馈探针状态以及终端系统状态信息,以及响应检测设备。
其中,在检测设备发现攻击行为的同时,终端探针实时检测终端中行为,包括异常行为规则监测、正常行为监测记录,以及终端响应判定规则行为监测。其中,终端响应判定规则库与检测设备中的攻击库通过规则标识关联,包括终端响应成功规则标识、终端响应失败规则标识。异常行为规则库用于识别异常行为,以监测记录终端的异常行为,例如恶意网络资源、病毒情报信息、其他自定义非正常行为规则等,当终端探针监测到终端中行为符合异常行为规则库时,确定为异常行为并记录,记录异常行为的信息包括时间、规则标识、攻击分类、异常行为具体信息等。
可选地,终端探针也可开启正常行为记录配置,记录正常行为,或者,对于不满足异常行为规则库的行为,划分为正常行为,例如网络连接、进程信息、修改用户、执行命令、读写文件、开机启动项变更、定时任务、服务启动、DNS(Domain Name System,域名系统)解析记录、系统报错信息等,记录正常行为的信息包括时间、规则标识、攻击分类、正常行为具体信息等。对于信息记录可进行配置,如自动回滚删除、信息记录时间,规则相关行为信息默认记录6月,正常行为信息默认记录24小时。
下面对匹配过程进行说明。
在本公开的一个实施例中,将攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果,包括:将攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配,以及将攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配;若匹配到与攻击特征信息一致的第一信息,或者,若匹配到与攻击特征信息一致的第二信息,则确定所述目标攻击事件的攻击结果为攻击成功。
本实施例中,通过检测设备下发的攻击特征信息与异常行为和正常行为进行关键特征信息精确匹配,若攻击特征信息匹配到某条异常行为或正常行为,例如,根据攻击特征信息中的payload(恶意IP/域名等)与记录的各条行为的IP/域名等信息对比,若一致,则确定匹配到与攻击特征信息一致的信息,匹配成功,确定目标攻击事件的攻击结果为攻击成功。进而,响应检测设备,返回判断结果(攻击成功)、规则标识和终端记录行为信息等,如记录时间、行为具体信息等。
在本公开的一个实施例中,将攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果,包括:查询预设关系,以将所述规则标识与预设的终端响应成功规则标识和终端响应失败规则标识进行匹配;当所述规则标识匹配到终端响应成功规则标识时,确定目标攻击事件的攻击结果为攻击成功;当所述规则标识匹配到终端响应失败规则标识时,确定目标攻击事件的攻击结果为攻击失败。
本实施例中,规则标识,是与攻击事件相关的标识信息,预设关系例如前述终端响应判定规则库,该关系可以由安全人员根据网络安全监测场景设置。终端探针接收到检测设备发送的攻击特征信息后,终端探针将攻击特征信息与存储的终端响应判定规则进行匹配,具体通过关联的规则标识和描述信息匹配规则记录行为,若匹配到规则,响应检测设备,返回攻击响应结果(攻击成功、攻击失败)、行为记录信息、行为标识描述等信息。可以在精确匹配步骤前首先进行规则匹配,若匹配到规则,可以停止后续匹配步骤。
在本公开的一个实施例中,将攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定目标攻击事件的攻击结果,包括:若未匹配到与攻击特征信息一致的第一信息,且未匹配到与攻击特征信息一致的第二信息,则提取所述第一信息和所述第二信息中每组信息的关键特征,将所述攻击特征信息与所述关键特征进行模糊匹配,生成每组信息对应的权值;确定多组权值中的最大值,若所述最大值大于预设阈值,则确定所述目标攻击事件的攻击结果为攻击疑似成功。
本实施例中,若未匹配到规则且未精确匹配到某条行为记录,则将攻击特征信息与终端探针监测记录的异常行为和正常行为的信息中的关键特征进行模糊匹配,例如根据攻击特征信息中的payload与关键特征模糊匹配,将匹配权值最大的行为作为响应反馈至检测设备,响应攻击疑似成功标签,如果模糊匹配未匹配到任何内容,则返回尝试攻击标签、攻击结果行为为空。
可选地,在上述匹配过程中,可以根据设置采用延迟响应或立即响应。其中,以精确匹配步骤为例,确定所述攻击特征信息是否携带延迟响应标识,若未检测到所述延迟响应标识,则立刻将所述攻击特征信息与所述第一信息和所述第二信息进行匹配,若检测到所述延迟响应标识,则延迟与所述延迟响应标识对应的时刻后,将所述攻击特征信息与所述第一信息和所述第二信息进行匹配。
其中,延迟响应标识可以是人为设置的,也可以是与攻击事件对应设置的。在延迟响应的情况下,终端探针将持续对目标攻击事件进行响应信息匹配,直到匹配成功或到达延迟时间再返回响应,若达到延迟时间仍未匹配到,则确定反馈尝试攻击无异常标签。作为一种示例,可以在前N次匹配时采用精确匹配,在到达响应时间时最后一次进行模糊匹配。
由此,检测设备获取终端探针反馈的攻击结果,包括以下几种情况:匹配到规则,响应攻击成功/失败和对应行为信息;匹配到终端异常/正常行为记录,响应攻击成功和终端行为信息;模糊匹配到终端异常/正常记录,响应疑似成功和终端行为信息;未匹配到任何终端信息,响应尝试攻击无异常行为信息反馈。其中,对于疑似成功的情况,可以在检测设备上进行人工研判,通过行为黑白名单方式下发终端探针。可对攻击判断进行持续优化,例如更新规则匹配部分。
根据本公开实施例的技术方案,通过检测设备获取目标攻击事件的攻击特征信息,并将攻击特征信息发送至终端探针,通过终端探针持续监测并记录终端中的异常行为、正常行为,并将攻击特征信息与记录的信息进行匹配,根据匹配结果确定目标攻击事件的攻击结果,由此,检测设备通过注册、管理、联动终端探针,将目标攻击事件下发终端探针进行分析判断,并响应攻击事件判断结果和终端行为信息,解决了部分攻击无响应和响应流量无法判断攻击结果的技术问题,扩展了网络攻击结果检测范围,提高了网络攻击结果检测的准确度。此外,相对于所有监测、记录、分析过程均在终端实现的方式,通过检测设备与终端探针联动,降低终端资源占用、提高终端性能。
图4为本公开实施例所提供的一种网络攻击结果的确定装置的结构示意图,如图4所示,该网络攻击结果的确定装置包括:获取模块41,提取模块42,确定模块43。
其中,获取模块41,用于获取网络攻击流量,并确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件。
提取模块42,用于提取所述目标攻击事件的攻击特征信息,并将所述攻击特征信息发送至被攻击IP对应的终端探针。
确定模块43,用于通过所述终端探针持续监测并记录终端中的异常行为、正常行为和终端响应判定规则行为,并将所述攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果。
可选地,获取模块41具体用于:根据预设攻击规则,梳理所述网络攻击流量中需要终端探针进行的攻击结果判断事件,确定候选攻击事件;在所述候选攻击事件的攻击类型和终端连通情况满足指定条件时,确定所述候选攻击事件为目标攻击事件。
可选地,所述攻击特征信息包括时间、攻击标识、攻击类型、有效载荷,确定模块43包括:精确匹配单元,用于将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配,以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配;若匹配到与攻击特征信息一致的第一信息,或者,若匹配到与攻击特征信息一致的第二信息,则确定所述目标攻击事件的攻击结果为攻击成功。
可选地,所述攻击特征信息还包括规则标识,确定模块43还包括:规则匹配单元,用于查询预设关系,以将所述规则标识与预设的终端响应成功规则标识和终端响应失败规则标识进行匹配;当所述规则标识匹配到终端响应成功规则标识时,确定所述目标攻击事件的攻击结果为攻击成功;当所述规则标识匹配到终端响应失败规则标识时,确定所述目标攻击事件的攻击结果为攻击失败。
可选地,确定模块43还包括:模糊匹配单元,用于若未匹配到与攻击特征信息一致的第一信息,且未匹配到与攻击特征信息一致的第二信息,则提取所述第一信息和所述第二信息中每组信息的关键特征,将所述攻击特征信息与所述关键特征进行模糊匹配,生成每组信息对应的权值;确定多组权值中的最大值,若所述最大值大于预设阈值,则确定所述目标攻击事件的攻击结果为攻击疑似成功。
可选地,精确匹配单元具体用于:确定所述攻击特征信息是否携带延迟响应标识;若未检测到所述延迟响应标识,则立刻将所述攻击特征信息与所述第一信息和所述第二信息进行匹配;若检测到所述延迟响应标识,则延迟与所述延迟响应标识对应的时刻后,将所述攻击特征信息与所述第一信息和所述第二信息进行匹配。
可选地,该装置还包括:注册模块,用于接收终端探针发送的终端探针序列号、设备IP、终端系统信息、终端描述信息,以将终端探针注册到检测设备;其中,终端探针通过与检测设备之间的心跳连接,反馈状态信息。
本公开实施例所提供的网络攻击结果的确定装置可执行本公开实施例所提供的任意网络攻击结果的确定方法,具备执行方法相应的功能模块和有益效果。本公开装置实施例中未详尽描述的内容可以参考本公开任意方法实施例中的描述。
图5为本公开实施例提供的一种电子设备的结构示意图。如图5所示,电子设备600包括一个或多个处理器601和存储器602。
处理器601可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备600中的其他组件以执行期望的功能。
存储器602可以包括一个或多个计算机程序产品,计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器601可以运行程序指令,以实现上文的本公开的实施例的方法以及/或者其他期望的功能。在计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
在一个示例中,电子设备600还可以包括:输入装置603和输出装置604,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。此外,该输入装置603还可以包括例如键盘、鼠标等等。该输出装置604可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出装置604可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图5中仅示出了该电子设备600中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备600还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,计算机程序指令在被处理器运行时使得处理器执行本公开实施例所提供的任意方法。
计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,计算机程序指令在被处理器运行时使得处理器执行本公开实施例所提供的任意方法。
计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种网络攻击结果的确定方法,其特征在于,包括:
获取网络攻击流量,并确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件;
提取所述目标攻击事件的攻击特征信息,并将所述攻击特征信息发送至被攻击IP对应的终端探针;
通过所述终端探针持续监测并记录终端中的异常行为、正常行为和终端响应判定规则行为,并将所述攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果。
2.如权利要求1所述的方法,其特征在于,所述确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件,包括:
根据预设攻击规则,梳理所述网络攻击流量中需要终端探针进行的攻击结果判断事件,确定候选攻击事件;
在所述候选攻击事件的攻击类型和终端连通情况满足指定条件时,确定所述候选攻击事件为目标攻击事件。
3.如权利要求1所述的方法,其特征在于,所述攻击特征信息包括时间、攻击标识、攻击类型、有效载荷,所述将所述攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果,包括:
将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配,以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配;
若匹配到与攻击特征信息一致的第一信息,或者,若匹配到与攻击特征信息一致的第二信息,则确定所述目标攻击事件的攻击结果为攻击成功。
4.如权利要求3所述的方法,其特征在于,所述攻击特征信息还包括规则标识,在将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配,以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配之前,还包括:
查询预设关系,以将所述规则标识与预设的终端响应成功规则标识和终端响应失败规则标识进行匹配;
当所述规则标识匹配到终端响应成功规则标识时,确定所述目标攻击事件的攻击结果为攻击成功;
当所述规则标识匹配到终端响应失败规则标识时,确定所述目标攻击事件的攻击结果为攻击失败。
5.如权利要求4所述的方法,其特征在于,还包括:
若未匹配到与攻击特征信息一致的第一信息,且未匹配到与攻击特征信息一致的第二信息,则提取所述第一信息和所述第二信息中每组信息的关键特征,将所述攻击特征信息与所述关键特征进行模糊匹配,生成每组信息对应的权值;
确定多组权值中的最大值,若所述最大值大于预设阈值,则确定所述目标攻击事件的攻击结果为攻击疑似成功。
6.如权利要求3所述的方法,其特征在于,所述将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配,以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配,包括:
确定所述攻击特征信息是否携带延迟响应标识;
若未检测到所述延迟响应标识,则立刻将所述攻击特征信息与所述第一信息和所述第二信息进行匹配;
若检测到所述延迟响应标识,则延迟与所述延迟响应标识对应的时刻后,将所述攻击特征信息与所述第一信息和所述第二信息进行匹配。
7.如权利要求1所述的方法,其特征在于,还包括:
接收终端探针发送的终端探针序列号、设备IP、终端系统信息、终端描述信息,以将终端探针注册到检测设备;
其中,终端探针通过与检测设备之间的心跳连接,反馈状态信息。
8.一种网络攻击结果的确定装置,其特征在于,包括:
获取模块,用于获取网络攻击流量,并确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件;
提取模块,用于提取所述目标攻击事件的攻击特征信息,并将所述攻击特征信息发送至被攻击IP对应的终端探针;
确定模块,用于通过所述终端探针持续监测并记录终端中的异常行为、正常行为和终端响应判定规则行为,并将所述攻击特征信息与终端探针监测记录的信息进行匹配,根据匹配结果确定所述目标攻击事件的攻击结果。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述权利要求1-7中任一所述的网络攻击结果的确定方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1-7中任一所述的网络攻击结果的确定方法。
CN202211054738.7A 2022-08-31 2022-08-31 网络攻击结果的确定方法、装置、设备及存储介质 Pending CN115442109A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211054738.7A CN115442109A (zh) 2022-08-31 2022-08-31 网络攻击结果的确定方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211054738.7A CN115442109A (zh) 2022-08-31 2022-08-31 网络攻击结果的确定方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN115442109A true CN115442109A (zh) 2022-12-06

Family

ID=84245101

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211054738.7A Pending CN115442109A (zh) 2022-08-31 2022-08-31 网络攻击结果的确定方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115442109A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117009962A (zh) * 2023-10-08 2023-11-07 深圳安天网络安全技术有限公司 一种基于有效标签的异常检测方法、装置、介质及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117009962A (zh) * 2023-10-08 2023-11-07 深圳安天网络安全技术有限公司 一种基于有效标签的异常检测方法、装置、介质及设备
CN117009962B (zh) * 2023-10-08 2023-12-08 深圳安天网络安全技术有限公司 一种基于有效标签的异常检测方法、装置、介质及设备

Similar Documents

Publication Publication Date Title
US20100169973A1 (en) System and Method For Detecting Unknown Malicious Code By Analyzing Kernel Based System Actions
US10721245B2 (en) Method and device for automatically verifying security event
CN109862003B (zh) 本地威胁情报库的生成方法、装置、系统及存储介质
CN111460445B (zh) 样本程序恶意程度自动识别方法及装置
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
CN110336835B (zh) 恶意行为的检测方法、用户设备、存储介质及装置
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
CN111404949A (zh) 一种流量检测方法、装置、设备及存储介质
CN107231364B (zh) 一种网站漏洞检测方法及装置、计算机装置及存储介质
CN115442109A (zh) 网络攻击结果的确定方法、装置、设备及存储介质
CN111314326B (zh) Http漏洞扫描主机的确认方法、装置、设备及介质
CN113709147A (zh) 网络安全事件的响应方法、装置及设备
WO2020022456A1 (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
TWI640891B (zh) 偵測惡意程式的方法和裝置
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
CN114257403B (zh) 误报检测方法、设备及可读存储介质
CN116015800A (zh) 一种扫描器识别方法、装置、电子设备及存储介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN111125701B (zh) 文件检测方法、设备、存储介质及装置
US11444971B2 (en) Method for assessing the quality of network-related indicators of compromise
CN112202763B (zh) 一种ids策略生成方法、装置、设备及介质
KR102001814B1 (ko) 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치
Gawron et al. Automatic detection of vulnerabilities for advanced security analytics
CN114301689B (zh) 校园网络安全防护方法、装置、计算设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination