CN115664708A - 一种攻击确定方法、装置、设备及介质 - Google Patents
一种攻击确定方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115664708A CN115664708A CN202211128188.9A CN202211128188A CN115664708A CN 115664708 A CN115664708 A CN 115664708A CN 202211128188 A CN202211128188 A CN 202211128188A CN 115664708 A CN115664708 A CN 115664708A
- Authority
- CN
- China
- Prior art keywords
- data
- attack
- information
- network traffic
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 114
- 230000006399 behavior Effects 0.000 claims abstract description 202
- 230000004931 aggregating effect Effects 0.000 claims abstract description 20
- 238000012216 screening Methods 0.000 claims description 47
- 238000012545 processing Methods 0.000 claims description 33
- 230000015654 memory Effects 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 15
- 238000001914 filtration Methods 0.000 claims description 14
- 238000012163 sequencing technique Methods 0.000 claims description 13
- 238000003860 storage Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 description 30
- 238000001514 detection method Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 14
- 230000009471 action Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 7
- 230000002776 aggregation Effects 0.000 description 6
- 238000004220 aggregation Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000007781 pre-processing Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000012512 characterization method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种攻击确定方法、装置、设备及介质,所述方法包括:获取网络流量数据;从所述网络流量数据中获取第一数据;其中,所述第一数据包括所述网络流量数据中表征数据下载行为的数据;从所述网络流量数据中获取第二数据;所述第二数据包括与所述数据下载行为关联的上下文数据;对所述第一数据以及所述第二数据进行聚合,确定所述网络流量数据对应的电子设备是否被攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种攻击确定方法、装置、设备及介质。
背景技术
在实际应用中,对网络安全状态的检测比如威胁捕猎(Threat Hunting)以及高级长期威胁(Advanced Persistent Threat,APT)的检测,通常是通过预先设定的安全检测规则,对网络空间的操作信息进行规则匹配而实现的,其中,上述安全检测规则需要根据专业的威胁捕猎经验确定。因此,上述威胁捕猎方案严重依赖猎捕专家的专业经验,灵活性差且检测能力弱。
发明内容
基于以上问题,本发明实施例提供了一种攻击确定方法、装置、设备及介质。
本发明实施例提供的技术方案是这样的:
本发明实施例首先提供了一种攻击确定方法,所述方法包括:
获取网络流量数据;
从所述网络流量数据中获取第一数据;其中,所述第一数据包括所述网络流量数据中表征数据下载行为的数据;
从所述网络流量数据中获取第二数据;其中,所述第二数据包括所述网络流量数据中与所述数据下载行为关联的上下文数据;
对所述第一数据以及所述第二数据进行聚合,确定所述网络流量数据对应的电子设备是否被攻击。
在一些实施例中,所述从所述网络流量数据中获取第二数据,包括:
基于所述第一数据对所述网络流量数据中的数据进行关联匹配,获取所述第二数据。
在一些实施例中,所述基于所述第一数据对所述网络流量数据中的数据进行关联匹配,获取所述第二数据,包括:
从所述第一数据中获取所述数据下载行为的地址信息;
基于所述地址信息对第三数据进行筛选匹配,获取所述第二数据;其中,所述第三数据包括所述网络流量数据中除去所述第一数据之外的数据。
在一些实施例中,所述基于所述地址信息对第三数据进行筛选匹配,获取所述第二数据,包括:
确定时段信息;
基于所述地址信息,对所述第三数据中与所述时段信息对应的数据进行筛选匹配,获取所述第二数据。
在一些实施例中,所述对所述第一数据以及所述第二数据进行聚合,确定所述网络流量数据对应的电子设备是否被攻击,包括:
从所述第一数据中获取所述数据下载行为的地址信息;
从所述第二数据中获取与所述地址信息关联的指定时段内的关联信息;
对所述地址信息以及所述关联信息进行聚合,确定所述电子设备是否被攻击。
在一些实施例中,所述对所述地址信息以及所述关联信息进行聚合,确定所述电子设备是否被攻击,包括:
关联所述地址信息以及所述关联信息,得到与攻击设备关联的攻击信息以及与所述电子设备关联的攻击结果信息;
对所述攻击信息以及所述攻击结果信息进行聚合处理,确定所述电子设备是否被攻击。
在一些实施例中,所述从所述网络流量数据中获取第一数据,包括:
获取下载行为特征;
基于所述下载行为特征对所述网络流量数据进行筛选,得到第四数据;
对所述第四数据进行处理,获取所述第一数据。
在一些实施例中,所述对所述第四数据进行处理,获取所述第一数据,包括:
获取地址筛选信息;
基于所述地址筛选信息对所述第四数据进行筛选处理,获取所述第一数据。
在一些实施例中,所述方法还包括:
确定至少两个攻击结果的级别信息;其中,所述攻击结果包括所述电子设备是否被攻击的结果
基于所述级别信息对至少两个所述攻击结果进行排序,得到排序结果;
输出所述排序结果。
本发明实施例还提供了一种攻击确定装置,所述装置包括:
获取模块,用于获取网络流量数据;从所述网络流量数据中获取第一数据以及第二数据;其中,所述第一数据包括所述网络流量数据中表征数据下载行为的数据;所述第二数据包括所述网络流量数据中与所述数据下载行为关联的上下文数据;
确定模块,用于对所述第一数据以及所述第二数据进行聚合,确定所述网络流量数据对应的电子设备是否被攻击。
本发明实施例还提供了一种攻击确定设备,所述设备包括处理器以及存储器;所述存储器中存储有计算机程序;所述计算机程序被所述处理器执行时,能够实现如前任一所述的攻击确定方法。
本发明实施例还提供了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序被电子设备的处理器执行时,能够实现如前任一所述的攻击确定方法。
本发明实施例提供的攻击确定方法中,由于网络流量数据能够精确的刻画网络世界中数据传输的实际状态,而从网络流量数据中获取的用于表征数据下载行为的第一数据以第二数据,能够精准的描述电子设备的每一数据下载行为、以及与数据下载行为关联的下载结果,那么,对第一数据以及第二数据进行聚合,能够精准且全面的再现电子设备是否被攻击的结果以及如何被攻击的过程;并且,由于APT等攻击行为通常与数据下载行为相关,因此,在上述攻击确定方法应用于威胁捕猎场景时,能够摆脱对预先设定的规则以及安全检测专家的依赖,从而能够灵活精准全面的进行威胁捕猎。
附图说明
图1为本发明实施例提供的攻击确定方法的流程示意图;
图2为本发明实施例提供的获取第二数据的流程示意图;
图3A为本发明实施例提供的确定电子设备是否被攻击的流程示意图;
图3B为本发明实施例提供的攻击结果确定的结构示意图;
图4为本发明实施例提供的APT检测的流程示意图;
图5为本发明实施例提供的攻击确定装置的结构示意图;
图6为本发明实施例提供的攻击确定设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
威胁捕猎,是指通过主动和被动的方式搜寻网络世界中想要逃避安全检测方案的高级威胁的过程。其中,APT是指针对计算机设备的隐匿而持久的入侵过程。APT包括三个要素:高级、长期以及威胁。其中,高级表征的是使用复杂精密的恶意软件以及技术以利用电子设备系统的漏洞,执行攻击操作;长期表征的是攻击者会持续监控攻击过程以及攻击状态,并持续获取攻击结果;而威胁则表征的是人为参与策划的攻击特征。
因此,威胁捕猎对于网络安全以及设备安全而言都是非常重要的。相关技术中的威胁捕猎方案主要是基于一系列有威胁捕猎人员定义的安全规则,对网络空间中的活动进行规则匹配。
上述威胁捕猎的过程,主要是专家根据威胁捕猎经验推测某种攻击场景下可能存在的特征,并对这些特征进行整合,得到安全规则。然而,上述安全规则严重依赖于威胁捕猎专家的经验,若威胁捕猎专家经验不足,那么通过上述方式得到的安全规则,无论是对已知威胁的分析检测还是对未知威胁的检测精度均无法保障,特别是在APT威胁捕猎场景中,上述规则的有效性难以确定。
基于以上问题,本发明实施例提供了一种攻击确定方法、装置、设备及介质。
本发明实施例提供的攻击确定方法,在获取网络流量数据、且从网络流量数据中获取用于表征数据下载行为的第一数据、以及与数据下载行为关联的上下文数据即第二数据之后,能够对第一数据以及第二数据进行聚合,确定网络流量数据对应的电子设备是否被攻击。如此,本发明实施例提供的攻击确定方法,并未依赖于预先设定的规则,而是依据从网络流量数据中获得的第一数据以及第二数据,确定电子设备是否被攻击,从而不仅摆脱了对安全规则以及安全检测专家比如威胁捕猎专家的依赖,而且能够依据第一数据所表征的攻击行为以及第二数据所表征的攻击影响程度的聚合结果,全面而精准的展示电子设备是否被攻击以及攻击过程。
本发明实施例提供的攻击确定方法,可以通过攻击确定设备的处理器实现。需要说明的是,上述处理器可以为特定用途集成电路(Application Specific IntegratedCircuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(Programmable LogicDevice,PLD)、现场可编程逻辑门阵列(Field Programmable Gate Array,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。
示例性的,攻击确定设备可以包括服务器设备或个人计算机(PersonalComputer,PC);示例性的,攻击确定设备可以包括设置在网络中的安全检测设备,比如防火墙设备等;示例性的,攻击确定设备可以为被攻击的电子设备本身。
图1为本发明实施例提供的攻击确定方法的流程示意图,如图1所示,该流程可以包括步骤101至步骤104:
步骤101、获取网络流量数据。
在一种实施方式中,网络流量数据可以包括与电子设备网络操作过程对应的流量数据、以及与电子设备之间的数据传输过程相关的流量数据;示例性的,电子设备可以包括发送数据或请求的设备,还可以包括接收数据或响应请求的电子设备;示例性的,电子设备可以包括PC以及移动终端;示例性的,移动终端包括智能手机或智能穿戴设备等。
示例性的,与电子设备相关的流量数据,可以包括电子设备的设备安全日志;示例性的,设备安全日志可以包括用于记录电子设备接收数据、发送数据、以及电子设备执行数据处理过程的日志。
示例性的,与数据传输过程相关的流量数据可以包括与数据传输设备或装置关联的网络安全日志;示例性的,网络安全日志可以包括用于记录数据包、请求或指令的传输过程的日志。
示例性的,攻击确定设备可以对设备安全日志以及网络安全日志进行整合,从而得到网络流量数据。
在一种实施方式中,攻击确定设备可以从与其建立有通信连接的电子设备中获取终端安全日志,再获取与电子设备关联的网络安全日志,也就是说,设备群中的可用设备可以与攻击确定设备之间建立有通信连接,这些设备可以通过上述通信连接分别将它们的设备安全日志发送至攻击确定设备;示例性的,在攻击确定设备为电子设备时,网络流量数据可以仅包括电子设备的设备安全日志。
示例性的,攻击确定设备可以包括与电子设备或电子设备组建立有通信连接的远程设备,比如云端设备,示例性的,攻击确定设备可以包括物理机设备或虚拟机设备。
步骤102、从网络流量数据中获取第一数据。
其中,第一数据包括网络流量数据中表征数据下载行为的数据。
在一种实施方式中,数据下载行为可以包括文本数据下载行为、音视频文件下载行为以及可执行文件下载行为中的至少一种;示例性的,可执行文件下载行为可以包括恶意软件(Malware)的下载行为;示例性的,数据下载行为可以为APT触发的。其中,恶意软件指通过网络等途径散播的、对个人电脑、服务器等产生数据外泄、系统损害等非预期信息安全威胁的软件,恶意软件包括二进制可执行文件、脚本等。
在实际应用中,网络攻击活动比如APT的切入点通常是payload或恶意软件的下载行为,因此,在本发明实施例中,从网络流量数据中获取表征数据下载行为的数据,能够实现对APT相关的恶意下载行为的流量数据的锁定,从而为后续的攻击确定提供数据支撑。
在一种实施方式中,第一数据可以包括网络流量数据中用于描述数据下载行为、且与数据下载行为直接相关的数据;示例性的,网络流量数据中可以包括多个第一数据,不同的第一数据对应的数据下载行为可以不同。
在实际应用中,可能包括触发数据下载行为的网络流量数据比如安全日志,包括后渗透框架,例如CobaltStrike、暴力破解、任意文件下载漏洞、shellcode执行、流量转发、操作系统漏洞、后门扫描、命令注入、远程桌面、任意代码以及脚本执行等。
示例性的,攻击确定设备可以确定数据下载行为的关键词或关键信息,并基于关键词或关键信息对网络流量数据进行搜索,并将搜索得到的数据确定为第一数据。
在一种实施方式中,在获取第一数据之后,还可以获取数据下载行为的时间、执行数据下载行为的设备的标识或地址、以及数据下载行为下载的数据量和数据类型等信息。
步骤103、从网络流量数据中获取第二数据。
其中,第二数据包括与网络流量数据中与数据下载行为关联的上下文数据。
在一种实施方式中,与数据下载行为关联的上下文数据,可以包括执行数据下载行为的电子设备在数据下载行为时、以及在数据下载行为结束之后所执行的操作的数据。
在一种实施方式中,与数据下载行为关联的上下文数据,可以包括数据下载行为的触发类型,示例性的,触发类型可以包括电子设备主动触发或被动触发。
在一种实施方式中,与数据下载行为关联的上下文数据,可以包括触发电子设备执行数据下载行为的原因、以及数据下载行为执行完毕之后对电子设备或电子设备所在的设备组产生的影响等数据。
示例性的,步骤102与步骤103之间的执行顺序可以先后调整,也可以并行进行,本发明实施例对此不作限定。
步骤104、对第一数据以及第二数据进行聚合,确定网络流量数据对应的电子设备是否被攻击。
在一种实施方式中,电子设备是否被攻击,可以包括电子设备被攻击且被成功攻击、被攻击但攻击失败、以及被攻击但攻击结果未确定中的任一;示例性的,电子设备是否被攻击还可以包括电子设备被是否被指定来源的或指定级别的攻击行为攻击;示例性的,在电子设备的数量为多个的情况下,电子设备是否被攻击可以包括电子设备所在的设备组的是否被攻击。
在一种实施方式中,电子设备可以为攻击确定设备;示例性的,电子设备可以包括服务器设备或终端设备。
示例性的,电子设备是否被攻击可以通过以下任一方式确定:
基于第一数据对第二数据中的至少部分数据进行聚合分析,从而确定与网络流量数据对应的至少一个电子设备的被攻击概率,并将被攻击概率最高的设备确定为目标设备,即确定目标设备被攻击,而至少一个电子设备中除去目标设备之外的其它设备未被攻击。
基于第一数据对第二数据进行筛选聚合,得到筛选聚合结果,并对筛选聚合结果进行特征识别,从而基于特征识别结果确定与网络流量数据对应的电子设备是否被攻击。
由以上可知,本发明实施例提供的攻击确定方法中,在获取网络流量数据之后,能够从网络流量数据中获取表征数据下载行为的第一数据、以及与数据下载行为关联的上下文数据即第二数据,并对第一数据以及第二数据进行聚合,确定与网络流量数据对应的电子设备是否被攻击。
由此,本发明实施例提供的攻击确定方法中,由于网络流量数据能够精确的刻画网络世界中数据传输的实际状态,且从网络流量数据中获取的用于表征数据下载行为的第一数据以及第二数据,能够精准的描述电子设备的每一数据下载行为、以及与数据下载行为关联的下载结果,那么,对第一数据以及第二数据进行聚合,能够精准且全面的再现电子设备是否被攻击的结果以及被攻击的过程;并且,由于APT等攻击行为通常与数据下载行为相关,因此,在上述攻击确定方法应用于威胁捕猎场景时,能够摆脱对预先设定的规则以及安全检测专家的依赖,从而能够灵活且精准全面的进行威胁捕猎。
基于前述实施例,本发明实施例提供的攻击确定方法中,从网络流量数据中获取第二数据,可以通过以下方式实现:
基于第一数据对网络流量数据中的数据进行关联匹配,获取第二数据。
示例性的,可以获取第一数据中数据下载行为的时间点,并基于该时间点对网络流量数据中的数据进行时间关联或逻辑关联,从而得到第二数据;示例性的,第二数据可以包括网络流量数据中的、第一数据中的数据下载行为出现的时刻之前和/或之后的数据;示例性的,第二数据可以包括网络流量数据中的、与第一数据中的数据下载行为存在因果关联的数据。
由以上可知,本发明实施例提供的攻击确定方法,能够基于第一数据对网络流量数据中的数据进行关联匹配,获取第二数据。
由此,本发明实施例提供的攻击确定方法,通过对表征数据下载行为的第一数据对网络流量数据中的数据进行关联匹配得到第二数据,使得第二数据能够全面而精确的复现电子设备执行数据下载行为前后所执行的操作、以及各种操作之间的关联关系。
基于前述实施例,本发明实施例提供的攻击确定方法中,基于第一数据对网络流量数据中的数据进行关联匹配,获取第二数据,可以通过图2所示的流程实现,图2为本发明实施例提供的获取第二数据的流程示意图,如图2所示,该流程可以包括步骤201至步骤202:
步骤201、从第一数据中获取数据下载行为的地址信息。
在一种实施方式中,上述地址信息可以包括执行数据下载行为的电子设备的地址;示例性的,地址信息可以包括电子设备的网络协议(Internet Protocol,IP)地址、媒体存取控制(Media Access Control,MAC)地址、以及域名系统(Domain Name System,DNS)中的至少一种;示例性的,地址信息还可以包括电子设备所在的设备组的标识和/或电子设备的设备标识,本发明实施例对此不作限定。
在一种实施方式中,地址信息可以包括数据下载行为对应的下载数据的来源地址,示例性的,来源地址可以包括攻击设备的地址。
示例性的,攻击确定设备可以通过正则匹配的方式对第一数据进行筛选,从而获取地址信息。
步骤202、基于地址信息对第三数据进行筛选匹配,获取第二数据。
其中,第三数据包括网络流量数据中除去第一数据之外的数据。
示例性的,第二数据可以是通过以下任一方式得到的:
在地址信息为被攻击设备的地址的情况下,基于地址信息对第三数据中的地址信息进行筛选匹配,得到与数据下载行为具备时间关联的被攻击设备的数据,并将该数据确定为第二数据;示例性的,上述被攻击设备的数量可以为至少一个。
在地址信息表示攻击设备的地址的情况下,基于地址信息对第三数据中的地址信息进行筛选匹配,得到与数据下载行为相关的、攻击设备的后续行为数据,并将攻击设备的后续行为数据确定为第二数据;示例性的,攻击设备的数量也可以为至少一个。
由以上可知,本发明实施例提供的攻击确定方法中,从第一数据中获取数据下载行为的地址信息之后,能够基于地址信息对网络流量数据中除去第一数据之外的第三数据进行筛选匹配,从而获取第二数据。
由此,由于地址信息能够表征执行数据下载行为的电子设备的地址,还能够表征触发数据下载行为的攻击设备的地址,那么,基于地址信息对第三数据进行筛选匹配得到的第二数据,不仅包括执行数据下载行为的电子设备、执行数据下载行为的状态,还能够涵盖触发数据下载行为的攻击设备的信息,从而使得第二数据能够从被攻击设备以及攻击设备的维度,全方位的、精准的体现与实际的数据下载行为相关的攻击过程。将上述方案应用于威胁捕猎场景中时,通过上述方式得到的第二数据能够全面的体现APT发起设备发动攻击的过程。
基于前述实施例,本发明实施例提供的攻击确定方法中,基于地址信息对第三数据进行筛选匹配,获取第二数据,可以通过步骤A1至步骤A2实现:
步骤A1、确定时段信息。
在一种实施方式中,时段信息可以是预先设置的;示例性的,时段信息可以根据网络流量数据对应的电子设备的类型、功能、工作状态、攻击确定需求、以及攻击确定设备的数据处理能力中的至少一种因素确定和调整,本发明实施例对此不作限定。
在一种实施方式中,时段信息可以包括第一数据携带的时间点或时间段,比如,第一数据指示的数据下载行为的执行时间为第一时刻,那么时段信息可以包括第一时刻;示例性的,时段信息可以包括第一数据携带的时间点或时间段之前的一段时间,比如时段信息可以包括从第二时刻至第一时刻之间的时段,其中,第二时刻可以早于第一时刻,第一时刻与第二时刻之间的时段可以为比如24小时;示例性的,第一时刻可以并不是时段信息的起始点或结束点,时段信息可以包括第一时刻之前的一段时间,还可以包括第一时刻之后的一段时间。
步骤A2、基于地址信息,对第三数据中与时段信息对应的数据进行筛选匹配,获取第二数据。
示例性的,可以首先得到第三数据中与时段信息对应的数据,然后基于地址信息对第三数据中与时段信息对应的数据进行筛选匹配,得到第二数据,还可以首先基于地址信息对第三数据进行筛选匹配,得到筛选匹配结果,然后基于时段信息对筛选匹配结果进行划分,得到第二数据。
由以上可知,本发明实施例提供的攻击确定方法,在确定时段信息之后,能够基于地址信息,对第三数据中与时段信息对应的数据进行筛选匹配,获取第二数据。
由此,本发明实施例提供的攻击确定方法中,通过上述方法能够剔除第三数据中的冗余数据,从而能够降低攻击确定过程中的计算量;并且,基于地址信息,对第三数据中与时段信息对应的数据进行筛选匹配获取第二数据时,通过调整时段信息,能够得到与数据下载行为关联的数据在不同时间窗内的历史表现,从而使得第二数据的确定方式也更加灵活。
在将上述方案应用于威胁捕猎场景时,由于APT攻击方式具备特定的时间特征,因此基于APT的攻击特征确定时段信息,能够使得通过上述方式得到的第二数据能够充分的体现APT的攻击过程中的各种状态。
基于前述实施例,本发明实施例提供的攻击确定方法中,对第一数据以及第二数据进行聚合,确定网络流量数据对应的电子设备是否被攻击,可以通过图3A所示的流程实现,图3A为本发明实施例提供的确定电子设备是否被攻击的流程示意图,如图3A所示,该流程可以包括步骤301至步骤303:
步骤301、从第一数据中获取数据下载行为的地址信息。
示例性的,地址信息可以包括执行数据下载行为的电子设备的地址。
步骤302、从第二数据中获取与地址信息关联的指定时段内的关联信息。
在一种实施方式中,关联信息,可以包括执行数据下载行为的电子设备在执行数据下载行为之前、执行数据下载行为时、以及在数据下载行为结束之后所执行的操作的信息。
在一种实施方式中,关联信息,可以包括触发电子设备执行数据下载行为的原因、以及数据下载行为执行完毕之后对电子设备或电子设备所在的设备组产生的影响等信息。
示例性的,可以确定包括数据下载行为的触发时刻在内的时间窗,并将时间窗内的第二数据,确定为关联信息;示例性的,上述时间窗可以包括指定时段;示例性的,指定时段可以为前述实施例中的时段信息。
步骤303、对地址信息以及关联信息进行聚合,确定电子设备是否被攻击。
示例性的,可以对地址信息以及关联信息之间的关联程度进行分析,若关联程度大于关联阈值,则可以按照攻击确定策略对地址信息以及关联信息进行聚合,从而确定电子设备是否被攻击;示例性的,若关联程度小于或等于关联阈值,则可以丢弃地址信息以及关联信息。
示例性的,可以对关联信息进行分析,确定关联信息对应的风险级别,若风险级别大于风险阈值,则按照攻击确定策略对地址信息以及关联信息进行特征分析处理,确定电子设备是否被攻击;示例性的,若风险级别小于或等于风险阈值,则可以丢弃关联信息以及地址信息。
示例性的,攻击确定策略可以包括对地址信息以及关联信息分析处理的算法、特征检测模型的类型、以及特征检测模型的结构中的至少一种,本发明实施例对此不作限定。
在相关技术的威胁捕猎方案中,专业技术人员需要对海量的流量数据进行分析,才能确定是否发生APT攻击事件。而在本发明实施例中,通过从网络流量数据中获取的数据下载行为的地址信息以及关联信息,就能够方便快捷的确定电子设备是否被攻击,降低了对专业技术人员以及对数量庞大的流量数据的依赖。
由以上可知,本发明实施例提供的攻击确定方法,在从第一数据中获取数据下载行为的地址信息、从第二数据中获取与地址信息关联的指定时段内的关联信息之后,能够对地址信息以及关联信息进行聚合,从而确定电子设备是否被攻击。
由此,本发明实施例提供的攻击确定方法中,通过地址信息能够锁定执行数据下载行为的电子设备,而通过与地址信息关联的指定时段内的关联信息能够锁定执行数据下载行为的电子设备、在执行数据下载行为前后的过程,那么,对地址信息以及关联信息进行分析处理确定的攻击结果,不仅能够表征电子设备执行的数据下载行为的风险概率或风险等级,还能够表征电子设备执行数据下载行为的原因及影响,从而能够从多个维度全面精准的体现电子设备的网络安全状态。
基于前述实施例,本发明实施例提供的攻击确定方法中,对地址信息以及关联信息进行聚合,确定电子设备是否被攻击,可以通过步骤B1至步骤B2实现:
步骤B1、关联地址信息以及关联信息,得到与攻击设备关联的攻击信息以及与电子设备关联的攻击结果信息。
在一种实施方式中,攻击设备可以包括远程设备;示例性的,攻击设备可以包括服务器设备或PC,比如发起APT的设备;示例性的,攻击设备可以包括物理机设备或虚拟机设备;示例性的,攻击设备的数量可以为多个,此时,多个攻击设备的类型可以不同。
在一种实施方式中,与攻击设备关联的攻击信息可以包括攻击设备向电子设备发动攻击的时间、攻击类型、攻击手法、攻击目标、以及攻击结果返回方式中的至少一种。
在一种实施方式中,与电子设备关联的攻击结果信息,可以包括电子设备被成功攻击、电子设备被攻击但被攻击失败、电子设备被攻击的次数或频率、以及电子设备被攻击后所处的状态信息中的至少一种信息;示例性的,示例性的,攻击信息可以包括入侵指标(Indicator Of Compromise,IOC),其中IOC可以包括与攻击设备高度相关的URL、DNS、文件哈希值(File Hash)、以及主机注册表值(Registry)等。
示例性的,可以基于地址信息中携带的时间信息、以及关联信息中携带的时间信息,关联地址信息以及关联信息,从而得到电子设备在被攻击前后所执行的一系列操作以及一系列操作执行前后其所处的状态;示例性的,电子设备执行数据下载行为的时间、数据下载行为的触发设备、触发电子设备执行数据下载行为的原因等信息,可以为与攻击设备关联的攻击信息,而电子设备执行数据下载行为前后的、与数据下载行为关联的操作或状态信息,可以为与电子设备关联的攻击结果信息。
步骤B2、对攻击信息以及攻击结果信息进行聚合处理,确定电子设备是否被攻击。
示例性的,可以从攻击信息中获取第一操作以及第一时间,从攻击结果信息中获取第二操作、第二时间、以及与第二操作关联的信息,并基于第一时间和第二时间,对第一操作、第二操作以及与第二操作关联的信息进行聚合汇总,可以得到电子设备执行数据下载行为的原因、数据下载行为的执行过程、数据下载行为的每一环节执行之后对电子设备的运行状态和/或数据安全产生的影响等信息,并根据这些信息确定电子设备是否被攻击。
示例性的,可以基于数据下载行为对应的下载数据的统一资源定位系统(UniformResource Locator,URL)的DNS、与攻击设备的地址比如IP,对攻击信息以及攻击结果信息进行聚合处理。
示例性的,电子设备是否被攻击的攻击结果,可以包括从攻击设备的维度以及被攻击设备的维度,体现的恶意数据下载行为的诱发、执行、以及影响程度等信息,从而使攻击结果能够全方位的、多维度的体现攻击行为发起过程、攻击行为执行过程以及攻击行为影响后果等信息。
由以上可知,本发明实施例提供的攻击确定方法,能够关联地址信息以及关联信息,得到与攻击设备关联的攻击信息以及与电子设备关联的攻击结果信息,然后对攻击信息以及攻击结果信息进行聚合处理,从而确定电子设备是否被攻击。
由此,本发明实施例提供的攻击确定方法,能够从攻击设备以及被攻击设备两个维度、全面而精准的再现攻击行为从发起、执行到后续影响的各个环节对电子设备状态的改变,从而不仅能够精确的确定针对电子设备的攻击结果,还可以复现出现上述攻击结果的原因。上述方法应用于威胁捕猎场景时,能够多维度的、全方面的体现APT攻击的发起、执行以及影响程度等信息。
并且,由于地址信息以及关联信息分别从第一数据以及第二数据中获取,因此,关联地址信息以及关联信息、以及对攻击信息和对攻击结果信息的聚合处理,体现了对多源安全日志的整合,从而能够高效准确的捕获安全事件,还能快速的跟踪攻击设备的IOC,进而改善攻击结果确定的效果。
基于前述实施例,本发明实施例提供的攻击确定方法中,从网络流量数据中获取第一数据,可以通过步骤C1至步骤C3实现:
步骤C1、获取下载行为特征。
在一种实施方式中,下载行为特征可以是攻击确定设备从其它设备获取的,还可以是从其存储空间中获取的,本发明实施例对此不作限定。
在一种实施方式中,下载行为特征可以通过对多种类型的数据下载行为中的下载时间、下载频率、下载数据的源地址、以及下载数据的类型中的至少一种进行分析而确定。
在一种实施方式中,下载行为特征可以是攻击确定设备对海量的、包括数据下载行为的网络流量数据进行特征检测而确定的;示例性的,可以对网络流量数据的拦截字段、返回数据包、返回数据包的长度、状态码、以及目标服务器类型中的至少一种进行分析,从而确定下载行为特征。
示例性的,下载行为特征可以根据目标检测类型确定,比如,目标检测类型为APT,则可以分析APT的数据下载过程中各个环节的特征,并将这些特征确定为下载行为特征。
步骤C2、基于下载行为特征对网络流量数据进行筛选,得到第四数据。
示例性的,下载行为特征可以包括网络拦截特征,其中,网络拦截特征可以通过拦截字段体现。
示例性的,可以判断网络流量数据的拦截字段,若拦截字段表示第一下载行为处于拦截状态,则可以表示与拦截状态关联的第一下载行为,已经被安全检测设备比如防火墙设备连接,则跳过第一下载行为,并丢弃与第一下载行为关联的网络流量数据。
示例性的,若拦截字段表示第二下载行为处于未拦截状态,则获取与第二下载行为关联的返回数据包,并从返回数据包中获取返回状态码;若返回状态码是以4或5开头,则可以表示第二下载行为已经由于客户端或服务器错误而失败,此时可以跳过第二下载行为,并丢弃与第二下载行为关联的网络流量数据。
示例性的,若第二下载行为关联的返回数据包的返回状态码以3开头,则可以表示第二下载行为被服务器重定向跳转,此时可以跳过第二下载行为,并丢弃与第二下载行为关联的网络流量数据。
示例性的,若第二下载行为关联的返回数据包的返回状态码并非以3、4或5开头,但返回数据包的长度为0,此时可以跳过第二下载行为,并丢弃与第二下载行为关联的网路流量数据。
示例性的,若拦截字段表示第三下载行为处于未被拦截状态、第三下载行为关联的返回数据包的状态码并非以3、4或5开头、且第三下载行为的返回数据包的长度不为0,那么此时可以获取与第三下载行为关联的网络流量数据,得到第四数据。
示例性的,第一下载行为、第二下载行为以及第三下载行为可以为网络流量数据中包含的任意数据下载行为。
步骤C3、对第四数据进行处理,获取第一数据。
示例性的,可以按照执行数据下载行为的电子设备的设备标识,对第四数据进行分类处理,从而得到第一数据;示例性的,设备标识可以包括电子设备的MAC地址、IP地址以及DNS等。
示例性的,可以从第四数据中获取时间信息,并按照第四数据的时间信息对第四数据进行排序处理,从而获取第一数据。
示例性的,可以剔除第四数据中的冗余信息,并将剔除冗余信息之后的第四数据,确定为第一数据。
由以上可知,本发明实施例提供的攻击确定方法,在获取下载行为特征后,能够基于下载行为特征对网络流量数据进行筛选,得到第四数据,再对第四数据进行处理,获取第一数据。
由此,本发明实施例提供的攻击确定方法中,由于下载行为特征能够精准的体现各种类型比如APT的数据下载行为、各种设备执行数据下载行为时的典型特征,因此,基于下载行为特征对网络流量数据筛选得到的第四数据中,包括电子设备执行的各种类型比如APT的数据下载行为的日志数据,那么,对第四数据处理得到的第一数据,能够精准的体现电子设备执行的历史数据下载行为,从而为攻击确定流程提供精确的数据基础。
基于前述实施例,本发明实施例提供的攻击确定方法中,对第四数据进行处理,获取第一数据,可以通过以下方式实现:
获取地址筛选信息,基于地址筛选信息对第四数据进行筛选处理,至少获取第一数据。
在一种实施方式中,地址筛选信息可以包括对触发数据下载行为的来源设备的地址进行筛选的信息;示例性的,地址筛选信息可以包括至少一个目标地址的集合;示例性的,上述目标地址可以包括威胁等级大于或等于威胁阈值的地址,比如非安全设备或网络的地址;示例性的,上述目标地址可以包括威胁等级小于威胁阈值的地址,比如安全DNS集合;示例性的,安全DNS集合可以包括安全地域范围内的、且经过网络内容服务商(InternetContent Provider,ICP)备案的DNS、知名DNS、以及可信DNS等。
在一种实施方式中,可以结合数据包中的至少一种字段比如referer字段以及地址筛选信息,对第四数据进行筛选。
示例性的,可以获取第四数据中第四下载行为关联的数据的URL的DNS,若该DNS为安全DNS集合中的DNS,则第四下载行为可以为高安全级别的下载行为,此时可以丢弃第四数据中与第四下载行为关联的数据;示例性的,若第四数据中第四下载行为关联的数据的URL的DNS不满足以上条件,则可以初步判断第四下载行为可能为危险下载行为。
示例性的,若初步判断第四下载行为可能为危险下载行为,则对第四数据中第四下载行为关联的数据中包含的、数据返回包的referer字段进行分析,若该字段的URL对应的DNS属于安全DNS集合内的DNS,则可以判定第四下载行为为误记录下载行为,同时可以丢弃第四数据中与第四下载行为关联的数据;示例性的,若referer字段URL的DNS属于安全DNS集合之外的DNS,则判断第四下载行为是否为已知下载行为,若为已知下载行为比如测试下载行为,则可以丢弃第四数据中与第四下载行为关联的数据。
示例性的,若第四下载行为的referer字段URL的DNS属于安全DNS集合之外的DNS、且第四下载行为不为已知下载行为,则判断其是否为低风险下载行为,比如通过高速下载器绑定的软件触发的下载行为;示例性的,若第四下载行为为低风险下载行为,则可以丢弃第四数据中与第四下载行为关联的数据。
示例性的,若第四下载行为的referer字段URL的DNS属于安全DNS集合之外的DNS、第四下载行为不为已知下载行为,并且,第四下载行为不为低风险下载行为,则可以将第四数据中与第四下载行为关联的数据确定为第一数据中的部分数据。
通过上述方式对第四数据中的数据进行递归筛选过滤,就可以得到第一数据。
由以上可知,本发明实施例提供的攻击确定方法,获取地址筛选信息之后,能够基于地址筛选信息对第四数据进行筛选处理,从而获得第一数据。
由此,本发明实施例提供的攻击确定方法中,在得到与下载行为特征匹配的第四数据之后,还能基于地址筛选信息对第四数据进行进一步的筛选,从而能够从第四数据中获得威胁级别较高的、与数据下载行为相关的数据,如此,不仅减少第一数据中冗余数据的数据量,也能提高后续攻击结果的精度。
基于前述实施例,本发明实施例提供的攻击确定方法,还可以包括步骤D1至步骤D3:
步骤D1、确定至少两个攻击结果的级别信息。
其中,攻击结果包括电子设备是否被攻击的结果。
在一种实施方式中,可以根据预先设定的风险级别判定规则,对至少两个攻击结果中的攻击次数、攻击来源、攻击威胁等级、以及攻击是否成功等信息进行分析判断,从而确定每一攻击结果的级别信息。
在一种实施方式中,可以根据单个电子设备在单位时间内执行恶意数据下载行为的次数和/或频率、以及执行恶意数据下载行为后对电子设备工作状态的影响程度,对攻击结果进行划分,从而确定攻击结果的级别信息。
步骤D2、基于级别信息对至少两个攻击结果进行排序,得到排序结果。
示例性的,可以基于级别信息对单一电子设备的攻击结果进行排序,得到的排序结果可以表示单一电子设备在一定时段内的被攻击的状态。
示例性的,可以基于级别信息对多个电子设备的攻击结果进行排序,得到的排序结果可以表示至少一种恶意数据下载行为对多个电子设备的影响状态,还可以得到多个电子设备在一定时段内所处的危险状态。
示例性的,可以基于级别信息对多个电子设备的攻击结果进行排序,得到的排序结果可以表示多个电子设备中设置的不同安全检测策略对至少一种恶意数据下载行为的防范级别、以及至少一种恶意数据下载行为对安全检测策略的攻击深度。
步骤D3、输出排序结果。
示例性的,可以将排序结果整合到文本文件或图表文件中,并输出文本文件或图表文件;示例性的,可以以音频、视频、灯光等形式输出排序结果。
由以上可知,本发明实施例提供的攻击确定方法中,确定至少两个攻击结果的级别信息之后,能够基于级别信息对至少两个攻击结果进行排序,得到排序结果。
由此,本发明实施例提供的攻击确定方法,能够将多个分散的、相互独立的攻击结果有机的整合在一起,使得排序结果能够体现出数据下载行为对不同的电子设备、或者在不同时段内对电子设备的威胁程度,进而使得排序结果能够从时间维度以及设备维度更全面的体现数据下载行为的影响深度和影响广度。
图3B为本发明实施例提供的攻击结果确定的结构示意图,如图3B所示,服务端设备304可以为与终端设备组305建立有通信连接的远程设备,也可以为与终端设备组305位于同一物理空间的设备;示例性的,服务端设备304和/或终端设备组305中的设备可以为虚拟机设备,也可以为物理机设备;示例性的,终端设备组305中所包含的第一设备3051至第三设备3053可以为前述实施例中的电子设备。
示例性的,服务端设备304可以获取第一设备3051至第三设备3053中的至少一个设备的设备安全日志;示例性的,服务端设备304还可以获取终端设备组305中任一设备的网络安全日志;示例性的,服务端设备304还可以对设备安全日志以及网络安全日志按照时间信息和/或设备信息进行关联,从而得到网络流量数据。
示例性的,服务端设备304可以通过前述实施例提供的方法,从网络流量数据中获取第一数据以及第二数据;然后对第一数据以及第二数据进行聚合,从而确定终端设备组305中的至少一个设备是否被攻击。
示例性的,服务端设备304可以从第一数据中获取数据下载行为比如APT下载行为的地址信息,并基于上述地址信息对网络流量数据中除去第一数据之外的数据中、与预先确定的时段信息对应的数据进行筛选匹配,从而得到第二数据。
示例性的,服务端设备304还能从第二数据中获取与上述地址信息关联的指定时段内的关联信息,比如在APT下载行为前后时段内、终端设备组305中的设备所执行的操作、以及各个操作之间的先后顺序或因果关系;服务端设备304还能对地址信息以及关联信息进行聚合,从而确定终端设备组305中的设备是否被攻击,比如是否被APT攻击;示例性的,服务端设备305能够从攻击设备发起攻击的时间、攻击来源、攻击次数、以及被攻击设备被攻击后所执行的操作等维度,全面而精准的展示终端设备组305中的设备是否被攻击、以及被攻击的过程。
示例性的,服务端设备304还能对终端设备组305中设备是否被攻击的结果进行排序得到排序结果;示例性的,排序结果能够展示终端设备组305中各个设备或终端设备组305中的威胁防范能力以及威胁防范水平,从而为优化更新终端设备组305中的网络安全防范策略提供整体依据。
由以上可知,本发明实施例提供的攻击识别方法,服务端设备通过其所获取的终端设备组的网络流量数据,在不依赖专家的威胁防范经验的情况下,能够精准而全面的确定终端设备组中的设备是否被攻击。
图4为本发明实施例提供的APT检测的流程示意图,如图4所示,该方法可以包括:
步骤401、开始。
示例性的,攻击确定设备可以切换至就绪状态。
步骤402、APT安全日志预处理。
示例性的,攻击确定设备可以获取可能发生APT的网络日志;示例性的,可以将可能发生APT的网络日志记为APT安全日志;示例性的,攻击确定设备可为APT检测设备,APT检测设备可以执行APT日志预处理操作;示例性的,APT安全日志可以包括前述实施例中的网络流量数据;示例性的,APT日志预处理可以包括依据APT类型的数据下载行为对APT安全日志进行分类。
步骤403、得到第一日志。
示例性的,攻击确定设备可以将APT安全日志中、与APT下载行为对应的日志确定为第一日志。
步骤404、得到第二日志。
示例性的,攻击确定设备可以将APT安全日志中与第一日志关联的日志确定为第二日志。
步骤405、APT下载行为筛选。
示例性的,攻击确定设备可以获取APT下载行为特征,并通过前述实施例提供的方法,基于APT下载行为特征,对第一日志进行筛选,得到筛选结果;示例性的,筛选结果可以包括前述实施例中的第四数据。
步骤406、APT下载域名过滤。
示例性的,攻击确定设备可以获取安全DNS集合,并基于安全DNS集合对筛选结果执行APT下载域名过滤操作,从而得到过滤结果;示例性的,过滤结果可以为前述实施例中的第一数据;示例性的,上述过滤操作,可以与前述实施例中基于安全DNS集合对第四数据进行处理,得到第一数据的流程一致,此处不再赘述。
步骤407、日志关联。
示例性的,攻击确定设备可以将过滤结果、与第二日志中与过滤结果对应时段内的数据关联;示例性的,第二日志中与过滤结果对应时段内的数据可以为前述实施例中的第二数据。
步骤408、关联结果聚合。
示例性的,攻击确定设备可以将过滤结果中的攻击信息与第二日志中的攻击结果信息关联,从而得到APT检测结果;示例性的,APT检测结果可以包括前述实施例中的电子设备是否被攻击的攻击结果,比如被APT攻击的结果;示例性的,APT检测结果可以包括是否发生APT、APT级别、以及APT发生次数等。
步骤409、输出APT检测结果。
示例性的,攻击确定设备可以输出APT检测结果。
步骤410、结束。
由以上可知,本发明实施例提供的攻击确定方法,在不依赖专业技术人员以及预先设定规则的条件下,通过多源日志关联聚合,就能够灵活高效且精确的确定APT攻击结果。
基于前述实施例,本发明实施例还提供了一种攻击确定装置5,图5为本发明实施例提供的攻击确定装置5的结构示意图,如图5所示,该装置可以包括获取模块501和确定模块502;其中:
获取模块501,用于获取网络流量数据;从网络流量数据中获取第一数据以及第二数据;其中,第一数据包括网络流量数据中表征数据下载行为的数据;第二数据包括网络流量数据中与数据下载行为关联的上下文数据;
确定模块502,用于对第一数据以及第二数据进行聚合,确定网络流量数据对应的电子设备是否被攻击。
在一些实施例中,攻击确定装置5还包括处理模块,用于基于第一数据对网络流量数据中的数据进行关联匹配,获取第二数据。
在一些实施例中,获取模块501,用于从第一数据中获取数据下载行为的地址信息;
处理模块,用于基于地址信息对第三数据进行筛选匹配,获取第二数据;其中,第三数据包括网络流量数据中除去第一数据之外的数据。
在一些实施例中,确定模块502,用于确定时段信息;
处理模块,用于基于地址信息,对第三数据中与时段信息对应的数据进行筛选匹配,获取第二数据。
在一些实施例中,获取模块501,用于从第一数据中获取数据下载行为的地址信息;从第二数据中获取与地址信息关联的指定时段内的关联信息;
处理模块,用于对地址信息以及关联信息进行聚合,确定电子设备是否被攻击。
在一些实施例中,处理模块,用于关联地址信息以及关联信息,得到与攻击设备关联的攻击信息以及与电子设备关联的攻击结果信息;对攻击信息以及攻击结果信息进行聚合处理,确定电子设备是否被攻击。
在一些实施例中,获取模块501,用于获取下载行为特征;
处理模块,用于基于下载行为特征对网络流量数据进行筛选,得到第四数据;对第四数据进行处理,至少获取第一数据。
在一些实施例中,获取模块501,用于获取地址筛选信息;
处理模块,用于基于地址筛选信息对第四数据进行筛选处理,得到第一数据。
在一些实施例中,确定模块502,用于确定至少两个攻击结果的级别信息;其中,攻击结果包括电子设备是否被攻击的结果;
处理模块,用于基于级别信息对至少两个攻击结果进行排序,得到排序结果;输出排序结果。
基于前述实施例,本发明实施例还提供了一种攻击确定设备6,图6为本发明实施例提供的攻击确定设备6的结构示意图,如图6所示,该设备可以包括处理器601以及存储器602;其中,存储器602中存储有计算机程序,该计算机程序被处理器601执行时,能够实现如前任一实施例提供的攻击确定方法。
上述处理器601可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。上述存储器,可以是易失性存储器(volatile memory),例如随机存取存储器(Random Access Memory,RAM);或者非易失性存储器(non-volatile memory),例如只读存储器(Read-Only Memory,ROM),flash memory,硬盘驱动器(Hard Disk Drive,HDD)或固态硬盘(Solid State Disk,SSD);或者上述种类的存储器的组合,并向处理器提供指令和数据。
上述获取模块501、确定模块502以及处理模块,可以通过处理器601实现。
基于前述实施例,本发明实施例还提供了一种计算机可读存储介质,该存储介质中存储有计算机程序,该计算机程序被电子设备的处理器执行时,能够实现如前任一实施例提供的攻击确定方法。
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述。
本发明所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本发明所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本发明所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
需要说明的是,上述计算机可读存储介质可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种电子设备,如移动电话、计算机、平板设备、个人数字助理等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件节点的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台电子设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所描述的方法。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (12)
1.一种攻击确定方法,其特征在于,所述方法包括:
获取网络流量数据;
从所述网络流量数据中获取第一数据;其中,所述第一数据包括所述网络流量数据中表征数据下载行为的数据;
从所述网络流量数据中获取第二数据;其中,所述第二数据包括所述网络流量数据中与所述数据下载行为关联的上下文数据;
对所述第一数据以及所述第二数据进行聚合,确定所述网络流量数据对应的电子设备是否被攻击。
2.根据权利要求1所述的方法,其特征在于,所述从所述网络流量数据中获取第二数据,包括:
基于所述第一数据对所述网络流量数据中的数据进行关联匹配,获取所述第二数据。
3.根据权利要求2所述的方法,其特征在于,所述基于所述第一数据对所述网络流量数据中的数据进行关联匹配,获取所述第二数据,包括:
从所述第一数据中获取所述数据下载行为的地址信息;
基于所述地址信息对第三数据进行筛选匹配,获取所述第二数据;其中,所述第三数据包括所述网络流量数据中除去所述第一数据之外的数据。
4.根据权利要求3所述的方法,其特征在于,所述基于所述地址信息对第三数据进行筛选匹配,获取所述第二数据,包括:
确定时段信息;
基于所述地址信息,对所述第三数据中与所述时段信息对应的数据进行筛选匹配,获取所述第二数据。
5.根据权利要求1所述的方法,其特征在于,所述对所述第一数据以及所述第二数据进行聚合,确定所述网络流量数据对应的电子设备是否被攻击,包括:
从所述第一数据中获取所述数据下载行为的地址信息;
从所述第二数据中获取与所述地址信息关联的指定时段内的关联信息;
对所述地址信息以及所述关联信息进行聚合,确定所述电子设备是否被攻击。
6.根据权利要求5所述的方法,其特征在于,所述对所述地址信息以及所述关联信息进行聚合,确定所述电子设备是否被攻击,包括:
关联所述地址信息以及所述关联信息,得到与攻击设备关联的攻击信息以及与所述电子设备关联的攻击结果信息;
对所述攻击信息以及所述攻击结果信息进行聚合处理,确定所述电子设备是否被攻击。
7.根据权利要求1所述的方法,其特征在于,所述从所述网络流量数据中获取第一数据,包括:
获取下载行为特征;
基于所述下载行为特征对所述网络流量数据进行筛选,得到第四数据;
对所述第四数据进行处理,获取所述第一数据。
8.根据权利要求7所述的方法,其特征在于,所述对所述第四数据进行处理,获取所述第一数据,包括:
获取地址筛选信息;
基于所述地址筛选信息对所述第四数据进行筛选处理,获取所述第一数据。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定至少两个攻击结果的级别信息;其中,所述攻击结果包括所述电子设备是否被攻击的结果;
基于所述级别信息对至少两个所述攻击结果进行排序,得到排序结果;
输出所述排序结果。
10.一种攻击确定装置,其特征在于,所述装置包括:
获取模块,用于获取网络流量数据;从所述网络流量数据中获取第一数据以及第二数据;其中,所述第一数据包括所述网络流量数据中表征数据下载行为的数据;所述第二数据包括所述网络流量数据中与所述数据下载行为关联的上下文数据;
确定模块,用于对所述第一数据以及所述第二数据进行聚合,确定所述网络流量数据对应的电子设备是否被攻击。
11.一种攻击确定设备,其特征在于,所述设备包括处理器以及存储器;所述存储器中存储有计算机程序;所述计算机程序被所述处理器执行时,能够实现如权利要求1至9任一所述的攻击确定方法。
12.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,所述计算机程序被电子设备的处理器执行时,能够实现如权利要求1至9任一所述的攻击确定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211128188.9A CN115664708A (zh) | 2022-09-16 | 2022-09-16 | 一种攻击确定方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211128188.9A CN115664708A (zh) | 2022-09-16 | 2022-09-16 | 一种攻击确定方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115664708A true CN115664708A (zh) | 2023-01-31 |
Family
ID=84983944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211128188.9A Pending CN115664708A (zh) | 2022-09-16 | 2022-09-16 | 一种攻击确定方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115664708A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375303A (zh) * | 2016-08-30 | 2017-02-01 | 江苏博智软件科技有限公司 | 攻击防御方法及装置 |
| WO2018177210A1 (zh) * | 2017-03-27 | 2018-10-04 | 新华三技术有限公司 | 防御apt攻击 |
| CN112307292A (zh) * | 2020-10-30 | 2021-02-02 | 中国信息安全测评中心 | 基于高级持续性威胁攻击的信息处理方法及系统 |
| CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
| CN114205128A (zh) * | 2021-12-01 | 2022-03-18 | 北京安天网络安全技术有限公司 | 网络攻击分析方法、装置、电子设备及存储介质 |
-
2022
- 2022-09-16 CN CN202211128188.9A patent/CN115664708A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375303A (zh) * | 2016-08-30 | 2017-02-01 | 江苏博智软件科技有限公司 | 攻击防御方法及装置 |
| WO2018177210A1 (zh) * | 2017-03-27 | 2018-10-04 | 新华三技术有限公司 | 防御apt攻击 |
| CN112307292A (zh) * | 2020-10-30 | 2021-02-02 | 中国信息安全测评中心 | 基于高级持续性威胁攻击的信息处理方法及系统 |
| CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
| CN114205128A (zh) * | 2021-12-01 | 2022-03-18 | 北京安天网络安全技术有限公司 | 网络攻击分析方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323466B2 (en) | Malicious HTTP cookies detection and clustering | |
| US11405419B2 (en) | Preventing advanced persistent threat attack | |
| US9916447B2 (en) | Active defense method on the basis of cloud security | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| US9609015B2 (en) | Systems and methods for dynamic cloud-based malware behavior analysis | |
| US9507944B2 (en) | Method for simulation aided security event management | |
| US9152789B2 (en) | Systems and methods for dynamic cloud-based malware behavior analysis | |
| Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
| US8549645B2 (en) | System and method for detection of denial of service attacks | |
| CN110958257B (zh) | 一种内网渗透过程还原方法和系统 | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| Hatada et al. | Empowering anti-malware research in Japan by sharing the MWS datasets | |
| US10178109B1 (en) | Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| Deng et al. | Lexical analysis for the webshell attacks | |
| Wang et al. | Using honeypots to model botnet attacks on the internet of medical things | |
| CN112910895A (zh) | 网络攻击行为检测方法、装置、计算机设备和系统 | |
| Al Makdi et al. | Trusted security model for IDS using deep learning | |
| Zeinali | Analysis of security information and event management (SIEM) evasion and detection methods | |
| CN115664708A (zh) | 一种攻击确定方法、装置、设备及介质 | |
| CN114257403A (zh) | 误报检测方法、设备及可读存储介质 | |
| RU186198U1 (ru) | Средство обнаружения вторжений уровня узла сети | |
| US20120005206A1 (en) | Apparatus and method for analysis of data traffic | |
| Singh et al. | Botnet detection using logistic regression technique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |