CN116055083A - 一种提升网络安全性方法及相关设备 - Google Patents
一种提升网络安全性方法及相关设备 Download PDFInfo
- Publication number
- CN116055083A CN116055083A CN202211101646.XA CN202211101646A CN116055083A CN 116055083 A CN116055083 A CN 116055083A CN 202211101646 A CN202211101646 A CN 202211101646A CN 116055083 A CN116055083 A CN 116055083A
- Authority
- CN
- China
- Prior art keywords
- response message
- fingerprint information
- specific response
- remote
- connection request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 230000004044 response Effects 0.000 claims abstract description 65
- 238000013507 mapping Methods 0.000 claims abstract description 53
- 238000004590 computer program Methods 0.000 claims description 19
- 239000000523 sample Substances 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 12
- 238000007621 cluster analysis Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008260 defense mechanism Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种提升网络安全性方法及相关设备。该方法包括:基于远端IP连接请求发送特定响应报文,其中,特定响应报文包括自定义标识和远端IP连接请求对应的IP地址信息;在目标空间测绘平台搜索自定义标识以获取特定响应报文对应的资产指纹信息;基于资产指纹信息更新防火墙IP规则库。本申请实施例提出的提升网络安全性方法,通过在主流的目标空间测绘平台保存的资产指纹信息中搜索是否存有带有该自定义标识的特定响应报文,便可以通过特定响应报文获取到空间测绘平台恶意扫描时所用的IP地址,并将此IP地址更新到防火墙IP规则库中,避免后续被此IP地址再次恶意扫描,从而提升网络的安全性。
Description
技术领域
本说明书涉及通信领域,更具体地说,本发明涉及一种提升网络安全性方法及相关设备。
背景技术
由于空间探测引擎扫描方式采用随机化目标IP和端口的方法进行随机探测,扫描行为不具有连续性,因此不能触发防火墙的端口扫描防御机制。目前常见的对恶意扫描IP的标记及收集,是通过布置蜜罐采集、人工标记上报等方法。但采用此种方法仅能做到定位到IP及发起时间,对应溯源IP归属,并不能收集定位指定空间测绘引擎的扫描IP,不能对后续的恶意扫描做出有效防控。
发明内容
在发明内容部分中引入了一系列简化形式的概念,这将在具体实施方式部分中进一步详细说明。本发明的发明内容部分并不意味着要试图限定出所要求保护的技术方案的关键特征和必要技术特征,更不意味着试图确定所要求保护的技术方案的保护范围。
第一方面,本发明提出一种提升网络安全性方法,上述方法包括:
基于远端IP连接请求发送特定响应报文,其中,上述特定响应报文包括自定义标识和上述远端IP连接请求对应的IP地址信息;
在目标空间测绘平台搜索自定义标识以获取上述特定响应报文对应的资产指纹信息;
基于上述资产指纹信息更新防火墙IP规则库。
可选的,上述方法还包括:
通过ansible批量部署网络探针;
上述基于远端IP连接请求发送特定响应报文,包括:
通过上述网络探针监测上述远端IP连接请求;
在接收到上述远端IP连接请求的情况下,向上述远端IP连接请求对应的IP地址发送上述特定响应报文。
可选的,上述IP地址信息为根据预设加密规则加密后的上述远端IP连接请求对应的IP地址信息;
上述基于上述资产指纹信息更新防火墙IP规则库,包括:
根据上述预设加密规则对上述资产指纹信息进行解密以获取上述IP地址信息;
基于上述IP地址信息更新防火墙IP规则库。
可选的,上述预设加密规则是基于BASE64加密方法实现的。
可选的,上述基于上述资产指纹信息更新防火墙IP规则库,包括:
基于不同的目标空间测绘平台对上述资产指纹信息分类处理;
将同类资产指纹信息对应的IP地址进行去重处理后更新上述防火墙IP规则库。
可选的,上述方法还包括:
对同类资产指纹信息对应的IP地址进行聚类分析以获取IP地址内在逻辑关系;
基于上述内在逻辑关系创建风险IP识别库。
可选的,所述在目标空间测绘平台搜索自定义标识以获取所述特定响应报文对应的资产指纹信息,包括:
通过特定的API接口连接所述目标空间测绘平台;
通过所述API接口搜索自定义标识以获取所述特定响应报文对应的资产指纹信息。
第二方面,本发明还提出一种提升网络安全性装置,包括:
发送单元,用于基于远端IP连接请求发送特定响应报文,其中,上述特定响应报文包括自定义标识和上述远端IP连接请求对应的IP地址信息;
获取单元,用于在目标空间测绘平台搜索自定义标识以获取上述特定响应报文对应的资产指纹信息;
更新单元,用于基于上述资产指纹信息更新防火墙IP规则库。
第三方面,一种电子设备,包括:存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,上述处理器用于执行存储器中存储的计算机程序时实现如上述的第一方面任一项的提升网络安全性方法的步骤。
第四方面,本发明还提出一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现第一方面上述任一项的提升网络安全性方法。
综上,本申请实施例的提升网络安全性方法包括:基于远端IP连接请求发送特定响应报文,其中,上述特定响应报文包括自定义标识和上述远端IP连接请求对应的IP地址信息;在目标空间测绘平台搜索自定义标识以获取上述特定响应报文对应的资产指纹信息;基于上述资产指纹信息更新防火墙IP规则库。本申请实施例提出的提升网络安全性方法,在接收到远端IP连接请求的情况下,向该远端IP发送包括自定义标识和IP地址的特定响应报文,通过在主流的目标空间测绘平台保存的资产指纹信息中搜索是否存有带有该自定义标识的特定响应报文,便可以通过特定响应报文获取到空间测绘平台恶意扫描时所用的IP地址,并将此IP地址更新到防火墙IP规则库中,避免后续被此IP地址再次恶意扫描,从而提升网络的安全性。
本发明的提升网络安全性方法,本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本说明书的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本申请实施例提供的一种提升网络安全性方法流程示意图;
图2为本申请实施例提供的一种提升网络安全工作原理示意图;
图3为本申请实施例提供的一种安全扫描工作原理示意图;
图4为本申请实施例提供的一种提升网络安全性装置结构示意图;
图5为本申请实施例提供的一种提升网络安全性的电子设备结构示意图。
具体实施方式
本申请实施例提出的提升网络安全性方法,在接收到远端IP连接请求的情况下,向该远端IP发送包括自定义标识和IP地址的特定响应报文,通过在主流的目标空间测绘平台保存的资产指纹信息中搜索是否存有带有该自定义标识的特定响应报文,便可以通过特定响应报文获取到空间测绘平台恶意扫描时所用的IP地址,并将此IP地址更新到防火墙IP规则库中,避免后续被此IP地址再次恶意扫描,从而提升网络的安全性。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。
网络空间测绘通过探测、采集、分析和处理,发现识别网络空间设施、服务和资源,基于地理信息和逻辑关系进行图形绘制,直观展现网络空间资产、属性、状态和安全态势等。如Shadon号称黑暗搜索引擎。国内的有白帽汇的FOFA、360的quake、奇安信的hunter,知道创宇的zoomeye均可以搜索全球网络空间上的设备情况,包括工控设备等。网络探测识别是网络空间测绘的核心,可以从协议栈、应用服务等多方面开展分析识别,而指纹是其中的核心。由于空间探测引擎扫描方式的特殊性,采用随机化目标IP和端口的方法进行随机探测,扫描行为不具有连续性,因此不能触发防火墙的端口扫描防御机制。目前常见的对恶意扫描IP的标记及收集,是通过布置蜜罐采集、人工标记上报等方法。仅能做到定位到IP及发起时间,对应溯源IP归属,确少方案去收集定位指定空间测绘引擎的扫描IP。还有一种方案是在指定的空间测绘引擎中,搜索指定关键字可获取探测IP,但是目前已经被大部分空间测绘引擎屏蔽。未授权的IP对MYSQL连接时会响应远端连接的IP。此时空间探测引擎,就会记录下自己的IP。目前此类信息,已被大部分探测引擎屏蔽为空或者*。为了有效地防止空间测绘平台对需要保护的服务器进行扫描,请参阅图1,为本申请实施例提供的一种提升网络安全性方法流程示意图,具体可以包括:
S110、基于远端IP连接请求发送特定响应报文,其中,上述特定响应报文包括自定义标识和上述远端IP连接请求对应的IP地址信息;
示例性的,HTTP协议(超文本传输协议)是浏览器和Web服务器之间进行数据通信的格式,也就是说如果想要实现浏览器和Web服务器之间的通信就需要HTTP这个协议。并且HTTP协议是基于TCP协议的,发送数据之前都需要建立连接。服务器接收到IP连接请求的情况下,服务器通常会生成连接相应报文以求和发送IP连接请求端建立连接。连接相应报文包括服务器的响应时间发送的内容类型,服务器的名字等信息。
而本申请主要是为了解决空间测绘平台对服务器进行非法的扫描,基于此在接收到远端的IP连接请求后会发送特定的响应报文,特定响应报文包括自定义标识和远端IP连接请求对应的地址信息,如果远端IP连接请求是目标空间测绘平台发出的,则该远端IP即为空间测绘平台进行恶意扫描时用到的IP地址。
需要说明的是,特定响应报文的格式可以如下设置:
HTTP/1.1 200OK
Server:[自定义标记]
content-type:text/html;charset=UTF-8
<html lang="zh-CN"><head><title>[BASE64加密后的原始请求信息]</title></head><body><h1>[BASE64加密后的原始请求信息]</h1></body></html>
其中server字段,保存有自定义标识便于后续在空间探测引擎进行遍历搜索;
其中http body部分,构造的http响应中,html标题及正文中均带有BASE64加密后的原始请求信息,原始请求信息即为远端IP连接请求对应的IP地址信息。
S120、在目标空间测绘平台搜索自定义标识以获取上述特定响应报文对应的资产指纹信息;
示例性的,服务端在接收到远端IP连接请求后会向该请求对应的IP地址发送特定响应报文,如果该IP地址为空间测绘平台对应的地址,那么在空间测绘平台中的资产指纹信息汇总就会存储有这条特定响应报文,通过特定的API接口与主流的空间测绘平台对接,对目标空间测绘平台中存储区的资产指纹信息进行搜索,通过搜索自定义标识的方式便可以查询是否存在特定响应报文。
S130、基于上述资产指纹信息更新防火墙IP规则库。
示例性的,当目标空间测绘平台中的资产指纹信息中存有特定响应报文的情况下,解码特定响应报文中的IP地址信息,并将该IP地址信息更新到防火墙的拦截名单中,以避免该IP地址的攻击。
综上,本申请实施例提出的提升网络安全性方法,在接收到远端IP连接请求的情况下,向该远端IP发送包括自定义标识和IP地址的特定响应报文,通过在主流的目标空间测绘平台保存的资产指纹信息中搜索是否存有带有该自定义标识的特定响应报文,便可以通过特定响应报文获取到空间测绘平台恶意扫描时所用的IP地址,并将此IP地址更新到防火墙IP规则库中,避免后续被此IP地址再次恶意扫描,从而提升网络的安全性。
在一些示例中,上述方法还包括:
通过ansible批量部署网络探针;
上述基于远端IP连接请求发送特定响应报文,包括:
通过上述网络探针监测上述远端IP连接请求;
在接收到上述远端IP连接请求的情况下,向上述远端IP连接请求对应的IP地址发送上述特定响应报文。
示例性的,ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。ansible是基于模块工作的,本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块,ansible只是提供一种框架。通过批量地在网络总部署探针,并执行指定剧本,侦听指定高风险端口组,通过网络探针检测高风险端口组是否接收到远端IP连接请求,在接收到上述远端IP连接请求的情况下,向上述远端IP连接请求对应的IP地址发送上述特定响应报文。通过批量部署网络探针将其暴露在互联网中,通过网络探针广泛收集远端IP连接请求和发送特定响应报文,并通过后续在目标空间测绘平台的资产指纹信息中搜索自定义标识,能够针对不同的空间探测平台,批量采集带有自定义标记的指纹信息,并通过该指纹信息获取恶意扫描时的IP地址以更新防火墙IP规则库。
综上,本申请实施例提出的提升网络安全性方法,批量部署响应特定响应报文的网络探针,采集网络空间探测引擎IP,批量侦听端口组,针对不同的空间探测平台,批量采集特定标记的指纹信息,针对空间探测引擎IP,可以通过防火墙定时更新规则库的方式进行更新,并生成阻断策略,提升网络安全性。
在一些示例中,上述IP地址信息为根据预设加密规则加密后的上述远端IP连接请求对应的IP地址信息;
上述基于上述资产指纹信息更新防火墙IP规则库,包括:
根据上述预设加密规则对上述资产指纹信息进行解密以获取上述IP地址信息;
基于上述IP地址信息更新防火墙IP规则库。
示例性的,为了避免目标空间测绘平台识别到特殊响应报文中的IP地址信息,防止空间测绘平台对其进行修改和屏蔽,在生成特定响应报文的时候可以对IP地址信息基于预设加密规则进行加密,在搜索到包括自定义标识的资产指纹信息的情况下,通过同样的预设加密规则进行解密,从而可以有效地收集到IP地址信息。加密的方式,可以使用BASE64,也可以使用其他加密或编码方法,如RC2、HEX等。
综上,本申请实施例提出的提升网络安全性方法,通过预设加密规则对IP地址信息进行加密,可以避免目标空间测绘平台识别到特殊响应报文中的IP地址信息,防止空间测绘平台对其进行修改和屏蔽,同时也不会暴露合理的IP连接请求的IP地址信息。
在一些示例中,上述预设加密规则是基于BASE64加密方法实现的。
示例性的,Base64编码是一种基于用64个可打印字符来表示二进制数据的表示方法。它通常用作存储、传输一些二进制数据编码的方式。用64个可打印字符表示二进制所有数据方法,由于2的6次方等于64,所以用每6个位元(二进制位)为一个Base64单元,对某个可打印字符。三个字节有24个位元,可以刚好对应于4个Base64单元,即三个字节需要用4个Base64的可打印字符来表示。通过BASE64加密方法可将IP地址有效加密,避免目标网络空间探测平台发觉其隐藏的IP地址信息。
在一些示例中,上述基于上述资产指纹信息更新防火墙IP规则库,包括:
基于不同的目标空间测绘平台对上述资产指纹信息分类处理;
将同类资产指纹信息对应的IP地址进行去重处理后更新上述防火墙IP规则库。
示例性的,空间测绘平台有多种,例如Shado、白帽汇的FOFA、360的quake、奇安信的hunter,知道创宇的zoomeye等。针对不同的测绘平台对收集到的资产指纹信息进行分类处理,由于资产管理指纹信息可能是基于多个网络探针获取的,存在重复收集的可能,针对资产管理指纹信息获取对应的IP地址进行去重处理,并按照分类更新到防火墙IP规则库中。
综上,本申请实施例提出的提升网络安全性方法,对不同目标空间测绘平台的资产指纹信息进行分类,并去掉重复的IP地址,可以有效杜绝防火墙IP规则库冗余。
在一些示例中,上述方法还包括:
对同类资产指纹信息对应的IP地址进行聚类分析以获取IP地址内在逻辑关系;
基于上述内在逻辑关系创建风险IP识别库。
示例性的,对同类资产指纹信息对应的IP地址进行聚类分析,也就是说对同一空间测绘平台恶意扫描时采用的IP地址进行距离分析,以发掘多个IP地址之间的内在逻辑关系,其内在逻辑关系可以是空间位置关系,即可能是同一个地区的IP地址,也可能是从属逻辑关系,通过内在的逻辑关系可以扩展出其他虽然未通过搜索资产指纹信息方式获取到但是在后续仍可能会产生恶意扫描的IP地址,根据这类地址创建风险IP识别库,对后续存在于风险IP识别库中的IP地址进行重点筛查,以提升网络的安全性能。
综上,本申请实施例提出的提升网络安全性方法,通过对同类资产指纹信息对应的IP地址进行聚类分析获取IP地址内在逻辑关系,通过内在的逻辑关系创建风险IP识别库,对后续存在于风险IP识别库中的IP地址进行重点筛查,以提升网络的安全性能。
在一些示例中,所述在目标空间测绘平台搜索自定义标识以获取所述特定响应报文对应的资产指纹信息,包括:
通过特定的API接口连接所述目标空间测绘平台;
通过所述API接口搜索自定义标识以获取所述特定响应报文对应的资产指纹信息。
示例性的,通过与目标空间测绘平台创建API接口可以自动通过目标空间测绘平台对自定义标识进行搜索从而快速地获取目标空间测绘平台中存在自定义标识的资产指纹信息。
在一些示例中,如图2所示,是一种提升网络安全工作原理示意图,通过ansible批量部署分布式探针程序,并执行指定剧本,侦听指定高风险端口组;针对不同的远端IP反馈特定响应的http格式的报文,特定响应报文中包含远端IP原始请求信息(即IP地址信息);从空间测绘平台采集探针对应的资产指纹。解密对应指纹信息,入库;防火墙更新网络空间探测引擎黑名单IP库,并根据使能开关判断是否需要进行防护。如图3所示,防火墙通过云端更新空间探测引擎IP规则库,并根据防护开关,判断是否需要进行拦截。存在黑名单IP流量则进行记录,记录方式可以如表1所示。
请参阅图4,本申请实施例中提升网络安全性装置的一个实施例,可以包括:
发送单元21,用于基于远端IP连接请求发送特定响应报文,其中,上述特定响应报文包括自定义标识和上述远端IP连接请求对应的IP地址信息;
获取单元22,用于在目标空间测绘平台搜索自定义标识以获取上述特定响应报文对应的资产指纹信息;
更新单元23,用于基于上述资产指纹信息更新防火墙IP规则库。
如图5所示,本申请实施例还提供一种电子设备300,包括存储器310、处理器320及存储在存储器320上并可在处理器上运行的计算机程序311,处理器320执行计算机程序311时实现上述提升网络安全的任一方法的步骤。
由于本实施例所介绍的电子设备为实施本申请实施例中一种提升网络安全性方法所采用的设备,故而基于本申请实施例中所介绍的方法,本领域所属技术人员能够了解本实施例的电子设备的具体实施方式以及其各种变化形式,所以在此对于该电子设备如何实现本申请实施例中的方法不再详细介绍,只要本领域所属技术人员实施本申请实施例中的方法所采用的设备,都属于本申请所欲保护的范围。
在具体实施过程中,该计算机程序311被处理器执行时可以实现图1对应的实施例中任一实施方式。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其它实施例的相关描述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机软件指令,当计算机软件指令在处理设备上运行时,使得处理设备执行如图1对应实施例中的提升网络安全的流程。
计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种提升网络安全性方法,其特征在于,包括:
基于远端IP连接请求发送特定响应报文,其中,所述特定响应报文包括自定义标识和所述远端IP连接请求对应的IP地址信息;
在目标空间测绘平台搜索自定义标识以获取所述特定响应报文对应的资产指纹信息;
基于所述资产指纹信息更新防火墙IP规则库。
2.如权利要求1所述的方法,其特征在于,还包括:
通过ansible批量部署网络探针;
所述基于远端IP连接请求发送特定响应报文,包括:
通过所述网络探针监测所述远端IP连接请求;
在接收到所述远端IP连接请求的情况下,向所述远端IP连接请求对应的IP地址发送所述特定响应报文。
3.如权利要求1所述的方法,其特征在于,所述IP地址信息为根据预设加密规则加密后的所述远端IP连接请求对应的IP地址信息;
所述基于所述资产指纹信息更新防火墙IP规则库,包括:
根据所述预设加密规则对所述资产指纹信息进行解密以获取所述IP地址信息;
基于所述IP地址信息更新防火墙IP规则库。
4.如权利要求3所述的方法,其特征在于,所述预设加密规则是基于BASE64加密方法实现的。
5.如权利要求1所述的方法,其特征在于,所述基于所述资产指纹信息更新防火墙IP规则库,包括:
基于不同的目标空间测绘平台对所述资产指纹信息分类处理;
将同类资产指纹信息对应的IP地址进行去重处理后更新所述防火墙IP规则库。
6.如权利要求5所述的方法,其特征在于,还包括:
对同类资产指纹信息对应的IP地址进行聚类分析以获取IP地址内在逻辑关系;
基于所述内在逻辑关系创建风险IP识别库。
7.如权利要求1所述的方法,其特征在于,所述在目标空间测绘平台搜索自定义标识以获取所述特定响应报文对应的资产指纹信息,包括:
通过特定的API接口连接所述目标空间测绘平台;
通过所述API接口搜索自定义标识以获取所述特定响应报文对应的资产指纹信息。
8.一种提升网络安全性装置,其特征在于,包括:
发送单元,用于基于远端IP连接请求发送特定响应报文,其中,所述特定响应报文包括自定义标识和所述远端IP连接请求对应的IP地址信息;
获取单元,用于在目标空间测绘平台搜索自定义标识以获取所述特定响应报文对应的资产指纹信息;
更新单元,用于基于所述资产指纹信息更新防火墙IP规则库。
9.一种电子设备,包括:存储器和处理器,其特征在于,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-7中任一项所述的提升网络安全性方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的提升网络安全性方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211101646.XA CN116055083B (zh) | 2022-09-09 | 2022-09-09 | 一种提升网络安全性方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211101646.XA CN116055083B (zh) | 2022-09-09 | 2022-09-09 | 一种提升网络安全性方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116055083A true CN116055083A (zh) | 2023-05-02 |
| CN116055083B CN116055083B (zh) | 2023-11-10 |
Family
ID=86117414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211101646.XA Active CN116055083B (zh) | 2022-09-09 | 2022-09-09 | 一种提升网络安全性方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055083B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测系统 |
| US20190281072A1 (en) * | 2018-03-07 | 2019-09-12 | Saudi Arabian Oil Company | Asset discovery using established network connections of known assets |
| US20210105304A1 (en) * | 2019-10-04 | 2021-04-08 | Expanse, Inc. | Network asset lifecycle management |
| CN114070760A (zh) * | 2021-11-16 | 2022-02-18 | 北京知道创宇信息技术股份有限公司 | 一种网络空间资产的测绘方法、装置、网络空间资产数据库及计算机可读存储介质 |
| CN114880641A (zh) * | 2022-04-29 | 2022-08-09 | 湖北天融信网络安全技术有限公司 | Api资产探测方法、装置、设备和介质 |
-
2022
- 2022-09-09 CN CN202211101646.XA patent/CN116055083B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测系统 |
| US20190281072A1 (en) * | 2018-03-07 | 2019-09-12 | Saudi Arabian Oil Company | Asset discovery using established network connections of known assets |
| US20210105304A1 (en) * | 2019-10-04 | 2021-04-08 | Expanse, Inc. | Network asset lifecycle management |
| CN114070760A (zh) * | 2021-11-16 | 2022-02-18 | 北京知道创宇信息技术股份有限公司 | 一种网络空间资产的测绘方法、装置、网络空间资产数据库及计算机可读存储介质 |
| CN114880641A (zh) * | 2022-04-29 | 2022-08-09 | 湖北天融信网络安全技术有限公司 | Api资产探测方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116055083B (zh) | 2023-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10333971B2 (en) | Systems and methods for detecting and preventing cyber-threats | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| JP5917573B2 (ja) | リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| KR101497610B1 (ko) | 컴퓨터 네트워크 보안을 보조하기 위한 자산 모델의 실시간식별 및 자산의 카테고리화 | |
| CN101605074B (zh) | 基于网络通讯行为特征监测木马的方法与系统 | |
| CN110719291A (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| US20100235915A1 (en) | Using host symptoms, host roles, and/or host reputation for detection of host infection | |
| CN111988339B (zh) | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN111600856A (zh) | 数据中心运维的安全系统 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| CN111510463B (zh) | 异常行为识别系统 | |
| CN101901232A (zh) | 用于处理网页数据的方法和装置 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN116055083B (zh) | 一种提升网络安全性方法及相关设备 | |
| EP4044505B1 (en) | Detecting botnets | |
| Kusuma et al. | Network forensics against ryuk ransomware using trigger, acquire, analysis, report, and action (TAARA) method | |
| CN111031068B (zh) | 一种基于复杂网络的dns分析方法 | |
| US11770388B1 (en) | Network infrastructure detection | |
| CN113572776A (zh) | 非法侵入检测装置及方法 | |
| KR20050095147A (ko) | 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법 | |
| CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 | |
| Kobiela et al. | Analysis of Data Obtained from the Mobile Botnet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |