CN116112295A - 一种外连类攻击结果研判方法及装置 - Google Patents
一种外连类攻击结果研判方法及装置 Download PDFInfo
- Publication number
- CN116112295A CN116112295A CN202310388337.3A CN202310388337A CN116112295A CN 116112295 A CN116112295 A CN 116112295A CN 202310388337 A CN202310388337 A CN 202310388337A CN 116112295 A CN116112295 A CN 116112295A
- Authority
- CN
- China
- Prior art keywords
- attack
- address
- log
- identifier
- external connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种外连类攻击结果研判方法及装置,通过获取目标机的攻击日志、生成异常标识;基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库;获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识;查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库,解决了目前无法从海量告警中筛选出外连类攻击,并进行及时处置,服务器多次遭到相同地址的外部设备攻击的问题,有效提高了对有外连类攻击的筛选,使得安全运维人员能够及时处置。
Description
技术领域
本申请各实施例属计算机技术领域,尤其涉及一种外连类攻击结果研判方法及装置。
背景技术
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
当前的流量检测类产品、IDS设备,由于缺少对攻击结果的研判导致告警噪声过大,其中,外连类攻击混杂在海量的告警日志中,而现有的产品或设备无法从海量告警中筛选出外连类攻击,并进行及时处置,且存在服务器多次遭到相同地址的攻击机攻击的情况。
发明内容
本实施例提供了一种外连类攻击结果研判方法及装置,能够解决现有技术中存在的难以海量告警中筛选出有效威胁,并及时处置,服务器多次遭到相同地址的攻击机的攻击的问题。
第一方面,本实施例提供了一种外连类攻击结果研判方法,包括:
获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识;
基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库;
获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识;
查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库。
在一些实施例中,所述获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识,包括:
基于告警日志的标签识别并获取所述攻击日志;
判断所述攻击日志内是否含有所述攻击载荷,若所述攻击日志内含有所述攻击载荷,则提取所述攻击载荷中的地址;
拼接所述目标机的地址及所述攻击载荷中的地址,生成所述异常标识。
在一些实施例中,所述异常标识包括IP异常标识和域名异常标识;
所述拼接所述目标机的地址及所述攻击载荷中的地址,生成所述异常标识,包括:
若所述攻击载荷中的地址是IP地址且包含端口号,则拼接所述目标机的IP地址、所述攻击载荷中的IP地址及所述端口号,生成所述IP异常标识;
若所述攻击载荷中的地址是IP地址且不包含端口号,则基于所述攻击日志中的协议字段补充默认端口号,并拼接所述目标机的IP地址、所述攻击载荷中的IP地址及所述默认端口号,生成所述IP异常标识;
若所述攻击载荷中的地址是域名地址,则拼接所述目标机的IP地址及所述攻击载荷中的域名地址,生成所述域名异常标识。
在一些实施例中,所述基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库,包括:
建立IP异常告警缓存及域名异常告警缓存;
将所述IP异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述IP异常告警缓存;
将所述域名异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述域名异常告警缓存;
其中,所述IP异常告警缓存及所述域名异常告警缓存共同形成所述异常标识告警库。
在一些实施例中,所述获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识,包括:
基于告警日志的标签识别并获取所述外连日志;
提取所述外连日志中的地址,并拼接所述目标机的地址及所述外连日志中的地址,生成所述外连标识。
在一些实施例中,所述外连标识包括IP外连标识和域名外连标识;
所述提取所述外连日志中的地址,并拼接所述目标机的地址及所述外连日志中的地址,生成所述外连标识,包括:
若所述外连日志中的地址是IP地址且包含端口号,则拼接所述目标机的IP地址、所述外连日志中的IP地址及所述端口号,生成所述IP外连标识;
若所述外连日志中的地址是IP地址且不包含端口号,则基于所述攻击日志中的协议字段补充默认端口号,并拼接所述目标机的IP地址、所述外连日志中的IP地址及所述默认端口号,生成所述IP外连标识;
若所述外连日志中的地址是域名地址,则拼接所述目标机的IP地址、及所述外连日志中的域名地址,生成所述域名外连标识。
在一些实施例中,所述查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库,具体为:
查询所述IP外连标识是否在所述IP异常告警缓存内,若所述IP外连标识在所述IP异常告警缓存内,则标记所述攻击日志的结果为攻击成功状态,并将所述IP外连标识及标记后的所述攻击日志存储至数据库;和/或
查询所述域名外连标识是否在所述域名异常告警缓存内,若所述域名外连标识在所述域名异常告警缓存内,则标记所述攻击日志的结果为攻击成功状态,并将所述域名外连标识及标记后的所述攻击日志存储至数据库。
在一些实施例中,所述外连类攻击结果研判方法,还包括:
查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则将所述攻击载荷中的地址发送至防火墙,以阻断与所述攻击载荷中的地址的连接。
第二方面,本实施例提供了一种外连类攻击结果研判装置,包括:
异常标识建立模块,用于获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识;
告警库建立模块,用于基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库;
外连标识建立模块,用于获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识;以及
结果研判模块,用于查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库。
第三方面,本实施例提供了一种电子设备,包括处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如第一方面中任一实施例所述方法的步骤。
本申请提供了一种外连类攻击结果研判方法及装置,通过获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识;基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库;获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识;查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库,解决了目前的产品或设备无法从海量告警中筛选出外连类攻击,并进行及时处置,且存在服务器多次遭到相同地址的攻击机攻击的情况的问题,有效提高了对有外连类攻击的筛选,使得安全运维人员能够及时处置,减少企业因外连类攻击造成的损失。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分,本领域技术人员应该理解的是,这些附图未必是按比例绘制的,在附图中:
图1为本说明书实施例提供的一种外连类攻击结果研判方法的流程图;
图2为本说明书实施例提供的一种外连类攻击结果研判装置的示意图;
图3为本说明书实施例提供的一种电子设备示意图;
图4为本说明书实施例提供的外连类攻击流程图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
目前的入侵检测类产品通常是入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备;NTA(Network Terminal Appliance)服务平台,是一个结合IBMxSeries 技术、BladeCenter的解决方案,整合了VPN、Web 化和瘦客户技术的安全的即插即用的设备,NTA 集成了互联网中的安全模块,有防火墙、SSL VPN、数字证书、各类密码验证等,为在广域网上的远程访问提供了安全的完整的解决方案;NDR(Network Detection andResponse)是NTA的“2.0版本”——网络威胁检测及响应技术因此应运而生。
然而目前的IDS设备存在告警噪声大,安全运营人员难以快速筛选出有效告警;在NTA/NDR类设备无法实现跨流日志关联功能,以对攻击结果进行研判,其中,如图4所示,本实施例所述外连类攻击是指攻击者发送PAYLOAD(攻击载荷),尝试使目标服务器外连外部服务器,所述外部服务器通常为攻击者所有或互联网上公开漏洞严重的平台,目标服务器存在脆弱点时,攻击者的PAYLOAD(攻击载荷)生效,目标服务器主动外连攻击者发送的PAYLOAD(攻击载荷)中的地址,进而使目标服务器遭到攻击的攻击方式;本实施例所述跨流是指攻击机与目标服务器之间的流量通道及目标服务器与外连的外部服务器之间的流量通道是不同的流量通道,而本申请实施例可实现跨流攻击结果的分析。
针对上述问题,第一方面,如图1所示,本实施例提供了一种外连类攻击结果研判方法,包括:
S101:获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识;
需要说明的是,在外连类攻击中,攻击者通常发送PAYLOAD(攻击载荷)来使目标服务器连接外部有害设备,如服务器、电脑或平台等,通常PAYLOAD中包含攻击者想让目标服务器连接的外部设备的地址,故可通过提取所述攻击载荷内的地址和所述目标机的地址来生成一个唯一标识,即异常标识,以便后续依据所述异常标识进行判断。
在一些实施例中,所述获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识,包括:基于告警日志的标签识别并获取所述攻击日志;判断所述攻击日志内是否含有所述攻击载荷,若所述攻击日志内含有所述攻击载荷,则提取所述攻击载荷中的地址;拼接所述目标机的地址及所述攻击载荷中的地址,生成所述异常标识。
需要说明的是,本实施例所述目标机通常已安装入侵检测类产品,通常入侵检测类产品对网络传输进行即时监视,产生告警日志或协议日志,并对产生的告警日志或协议日志打上不同标签,如告警日志的标签是event_type: alert、所述攻击日志的标签可以是event_type: attack等,在获取所述目标机的攻击日志时,可基于所述告警日志的标签获取所述攻击日志。
需要说明的是,并非所有的攻击日志中都包含PAYLOAD,本实施例仅针对外连类攻击,故筛选包含PAYLOAD的攻击日志即可。
需要说明的是,通常攻击日志的产生优于或先于外连日志,针对外连类攻击来说,若所述目标机外连了外部设备,如服务器、电脑或平台等,则说明攻击者发送的PAYLOAD生效,目标机遭到了外部设备的攻击,故可基于外连类攻击的特征,若包含PAYLOAD的攻击日志中的PAYLOAD内的地址与外连日志中的外连地址相同,即可判断外连类攻击成功。
在一些实施例中,所述异常标识包括IP异常标识和域名异常标识;所述拼接所述目标机的地址及所述攻击载荷中的地址,生成所述异常标识,包括:若所述攻击载荷中的地址是IP地址且包含端口号,则拼接所述目标机的IP地址、所述攻击载荷中的IP地址及所述端口号,生成所述IP异常标识;若所述攻击载荷中的地址是IP地址且不包含端口号,则基于所述攻击日志中的协议字段补充默认端口号,并拼接所述目标机的IP地址、所述攻击载荷中的IP地址及所述默认端口号,生成所述IP异常标识;若所述攻击载荷中的地址是域名地址,则拼接所述目标机的IP地址及所述攻击载荷中的域名地址,生成所述域名异常标识。
需要说明的是,电子设备的地址通常分为IP地址和域名地址,故为了对不同类型的地址分别进行处理,所述异常标识也分为IP异常标识和域名异常标识。
需要说明的是,本实施例通过拼接所述目标机的IP地址、所述攻击载荷中的IP地址及所述端口号的方式生成所述IP异常标识,也可通过仅拼接所述目标机的IP地址及所述攻击载荷中的IP地址的方式生成所述IP异常标识;或拼接所述攻击载荷中的IP地址及所述端口号的方式生成所述IP异常标识。
需要说明的是,拼接所述IP异常标识的方式与后续拼接外连标识的方式相同,以便后续查找比对。
需要说明的是,补充默认端口号时,通常是补充通信协议的默认端口号,如HTTP协议代理服务器常用端口号:80/8080、SOCKS代理协议服务器常用端口号:1080、FTP(文件传输)协议代理服务器常用端口号:21、Telnet(远程登录)协议代理服务器常用端口号:23、HTTP服务器,默认端口号为80/tcp(木马Executor开放此端口)。
需要说明的是,在生成所述域名异常标识时,也可仅使用所述攻击载荷中的域名地址作为域名异常标识,相应的,在生成后续的外连域名标识时,也使用相同的方式(即将外连日志中的域名地址作为域名外连标识)。
S102:基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库;
需要说明的是,基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成的异常标识,所述攻击日志中的攻击载荷存在攻击成功及攻击失败两种情况,相应的,所述异常标识也就包含了攻击成功的异常标识及攻击失败的异常标识,而每次攻击都会产生攻击日志,故可将攻击成功和攻击失败的异常标识及与所述异常标识对应的攻击日志进行储存,以便与后续的外连标识进行比对。
在一些实施例中,所述基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库,包括:建立IP异常告警缓存及域名异常告警缓存;将所述IP异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述IP异常告警缓存;将所述域名异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述域名异常告警缓存;其中,所述IP异常告警缓存及所述域名异常告警缓存共同形成所述异常标识告警库。
需要说明的是,将异常标识库分为IP异常告警缓存和域名异常告警缓存可实现对不同类地址的分别存储、管理,将所述异常标识、所述攻击日志存入缓存中,可以加快后续查询及修改的速度。
需要说明的是,将所述IP异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述IP异常告警缓存;将所述域名异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述域名异常告警缓存;能够将所述IP异常标识、域名异常标识与其相应的攻击日志对应起来(异常标识相当于键key,攻击日志相当于值value),便于后续修改所述攻击日志。
S103:获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识;
需要说明的是,本实施例所述目标机通常已安装入侵检测类产品,通常入侵检测类产品对网络传输进行即时监视,产生告警日志或协议日志,并对产生的告警日志或协议日志打上不同标签,如外连日志的标签是event_type: dns或event_type: revlink等,在获取所述目标机的外连日志时,可基于所述告警日志的标签获取所述外连日志。
在一些实施例中,所述外连标识包括IP外连标识和域名外连标识;所述提取所述外连日志中的地址,并拼接所述目标机的地址及所述外连日志中的地址,生成所述外连标识,包括:若所述外连日志中的地址是IP地址且包含端口号,则拼接所述目标机的IP地址、所述外连日志中的IP地址及所述端口号,生成所述IP外连标识;若所述外连日志中的地址是IP地址且不包含端口号,则基于所述攻击日志中的协议字段补充默认端口号,并拼接所述目标机的IP地址、所述外连日志中的IP地址及所述默认端口号,生成所述IP外连标识;若所述外连日志中的地址是域名地址,则拼接所述目标机的IP地址、及所述外连日志中的域名地址,生成所述域名外连标识。
需要说明的是,电子设备的地址通常分为IP地址和域名地址,外连日志中的地址也分为IP地址和域名地址,故为了对不同类型的地址分别进行处理,所述外连标识也分为IP外连标识和域名外连标识,其中,所述外连日志可以是四元组日志、五元组日志、七元组日志或DNS日志(Domain Name System, 域名系统,缩写:DNS),其中,所述四元组日志、所述五元组日志、所述七元组日志中的地址是IP地址,所述DNS日志中的地址是域名地址。
需要说明的是,本实施例通过拼接所述目标机的IP地址、所述外连日志中的IP地址及所述端口号的方式生成所述IP外连标识,也可通过仅拼接所述目标机的IP地址及所述外连日志中的IP地址的方式生成所述IP外连标识;或拼接所述外连日志中的IP地址及所述端口号的方式生成所述IP外连标识。
需要说明的是,拼接所述IP外连标识的方式与拼接所述异常标识的方式相同,以便查找比对。
需要说明的是,补充默认端口号时,通常是补充通信协议的默认端口号,如HTTP协议代理服务器常用端口号:80/8080、SOCKS代理协议服务器常用端口号:1080、FTP(文件传输)协议代理服务器常用端口号:21、Telnet(远程登录)协议代理服务器常用端口号:23、HTTP服务器,默认端口号为80/tcp(木马Executor开放此端口)。
S104:查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库。
需要说明的是,若所述外连标识在所述异常标识告警库内,说明此外连类攻击成功,若所述外连标识未在所述异常标识告警库内,说明此外连类攻击未成功,通过此方式可以对外连类攻击的攻击结果进行研判,并能够从海量的告警日志中,找出外连类攻击,并且能够找到所述外连类攻击中攻击成功和攻击失败的外连类攻击,可减轻安全运营人员的工作难度及工作量。
需要说明的是,在判断出所述外连类攻击成功后,可标记与所述异常标识对应的攻击日志为攻击成功状态,或修改所述攻击日志内的攻击结果,将所述攻击结果修改为攻击成功状态,并将所述异常标识及标记或修改后的所述攻击日志输出至数据库,便于储存、查看,在将所述异常标识及标记或修改后的所述攻击日志输出至数据库后,可删除标记或修改后的所述攻击日志,以节省存储空间。
需要说明的是,在查询所述外连标识是否在所述异常标识告警库内时,可设定查询时间阈值,若查询时间超过所述查询时间阈值,则判定所述外连标识不在所述异常标识告警库内,并将相应的攻击日志的攻击结果标记或修改为攻击失败状态;还可将上述外连标识及与之对应的攻击日志输出至数据库存储,然后删除所述攻击日志,以节省存储空间。
在一些实施例中,所述查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库,具体为:查询所述IP外连标识是否在所述IP异常告警缓存内,若所述IP外连标识在所述IP异常告警缓存内,则标记所述攻击日志的结果为攻击成功状态,并将所述IP外连标识及标记后的所述攻击日志存储至数据库;和/或查询所述域名外连标识是否在所述域名异常告警缓存内,若所述域名外连标识在所述域名异常告警缓存内,则标记所述攻击日志的结果为攻击成功状态,并将所述域名外连标识及标记后的所述攻击日志存储至数据库。
需要说明的是,在查询所述外连标识是否在所述异常标识告警库内时,可先判断所述外连标识是IP外连标识还是域名外连标识,若所述外连标识是IP外连标识,则在所述IP异常告警缓存内进行查询;若所述外连标识是域名外连标识,则在所述域名异常告警缓存内进行查询,如此可减少每次查询的数量,提高查询的速度。
在一些实施例中,所述外连类攻击结果研判方法,还包括:查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则将所述攻击载荷中的地址发送至防火墙,以阻断与所述攻击载荷中的地址的连接。
需要说明的是,将所述攻击载荷内的地址发送至防火墙等防护系统,可以在目标机再次连接该地址的外部设备时阻断该连接,以增强对目标机的保护。
需要说明的是,可以将本实施例所述的方法加入到当前的IDS类设备中,以解决其告警噪声大,无法提供对外连类攻击的结果研判的问题;可将可以将本实施例所述的方法加入到当前的NTA/NDR类设备中,增加其跨流日志关联功能,通过提取攻击日志中的IP/域名,关联后续五元组连接日志或DNS日志,对攻击结果进行研判。
综上所述,本实施例提供了一种外连类攻击结果研判方法及装置,通过获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识;基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库;获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识;查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库,解决了目前的产品或设备无法从海量告警中筛选出外连类攻击,并进行及时处置,且存在服务器多次遭到相同地址的攻击机攻击的情况的问题,有效提高了对有外连类攻击的筛选,使得安全运维人员能够及时处置,减少企业因外连类攻击造成的损失。
第二方面,如图2所示,本实施例提供了一种外连类攻击结果研判装置,包括:
异常标识建立模块210,用于获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识;
告警库建立模块220,用于基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库;
外连标识建立模块230,用于获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识;以及
结果研判模块240,用于查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库。
在一些实施例中,所述获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识,包括:基于告警日志的标签识别并获取所述攻击日志;判断所述攻击日志内是否含有所述攻击载荷,若所述攻击日志内含有所述攻击载荷,则提取所述攻击载荷中的地址;拼接所述目标机的地址及所述攻击载荷中的地址,生成所述异常标识。
在一些实施例中,所述异常标识包括IP异常标识和域名异常标识;所述拼接所述目标机的地址及所述攻击载荷中的地址,生成所述异常标识,包括:若所述攻击载荷中的地址是IP地址且包含端口号,则拼接所述目标机的IP地址、所述攻击载荷中的IP地址及所述端口号,生成所述IP异常标识;若所述攻击载荷中的地址是IP地址且不包含端口号,则基于所述攻击日志中的协议字段补充默认端口号,并拼接所述目标机的IP地址、所述攻击载荷中的IP地址及所述默认端口号,生成所述IP异常标识;若所述攻击载荷中的地址是域名地址,则拼接所述目标机的IP地址及所述攻击载荷中的域名地址,生成所述域名异常标识。
在一些实施例中,所述基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库,包括:建立IP异常告警缓存及域名异常告警缓存;将所述IP异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述IP异常告警缓存;将所述域名异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述域名异常告警缓存;其中,所述IP异常告警缓存及所述域名异常告警缓存共同形成所述异常标识告警库。
在一些实施例中,所述获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识,包括:基于告警日志的标签识别并获取所述外连日志;提取所述外连日志中的地址,并拼接所述目标机的地址及所述外连日志中的地址,生成所述外连标识。
在一些实施例中,所述外连标识包括IP外连标识和域名外连标识;所述提取所述外连日志中的地址,并拼接所述目标机的地址及所述外连日志中的地址,生成所述外连标识,包括:若所述外连日志中的地址是IP地址且包含端口号,则拼接所述目标机的IP地址、所述外连日志中的IP地址及所述端口号,生成所述IP外连标识;若所述外连日志中的地址是IP地址且不包含端口号,则基于所述攻击日志中的协议字段补充默认端口号,并拼接所述目标机的IP地址、所述外连日志中的IP地址及所述默认端口号,生成所述IP外连标识;若所述外连日志中的地址是域名地址,则拼接所述目标机的IP地址、及所述外连日志中的域名地址,生成所述域名外连标识。
在一些实施例中,所述查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库,具体为:查询所述IP外连标识是否在所述IP异常告警缓存内,若所述IP外连标识在所述IP异常告警缓存内,则标记所述攻击日志的结果为攻击成功状态,并将所述IP外连标识及标记后的所述攻击日志存储至数据库;和/或查询所述域名外连标识是否在所述域名异常告警缓存内,若所述域名外连标识在所述域名异常告警缓存内,则标记所述攻击日志的结果为攻击成功状态,并将所述域名外连标识及标记后的所述攻击日志存储至数据库。
在一些实施例中,还包括:查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则将所述攻击载荷中的地址发送至防火墙,以阻断与所述攻击载荷中的地址的连接。
第三方面,如图3所示,本实施例提供了一种电子设备,包括处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如第一方面中任一实施例所述方法的步骤。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种外连类攻击结果研判方法,其特征在于,包括:
获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识;
基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库;
获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识;
查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库。
2.根据权利要求1所述的外连类攻击结果研判方法,其特征在于,所述获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识,包括:
基于告警日志的标签识别并获取所述攻击日志;
判断所述攻击日志内是否含有所述攻击载荷,若所述攻击日志内含有所述攻击载荷,则提取所述攻击载荷中的地址;
拼接所述目标机的地址及所述攻击载荷中的地址,生成所述异常标识。
3.根据权利要求2所述的外连类攻击结果研判方法,其特征在于,所述异常标识包括IP异常标识和域名异常标识;
所述拼接所述目标机的地址及所述攻击载荷中的地址,生成所述异常标识,包括:
若所述攻击载荷中的地址是IP地址且包含端口号,则拼接所述目标机的IP地址、所述攻击载荷中的IP地址及所述端口号,生成所述IP异常标识;
若所述攻击载荷中的地址是IP地址且不包含端口号,则基于所述攻击日志中的协议字段补充默认端口号,并拼接所述目标机的IP地址、所述攻击载荷中的IP地址及所述默认端口号,生成所述IP异常标识;
若所述攻击载荷中的地址是域名地址,则拼接所述目标机的IP地址及所述攻击载荷中的域名地址,生成所述域名异常标识。
4.根据权利要求3所述的外连类攻击结果研判方法,其特征在于,所述基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库,包括:
建立IP异常告警缓存及域名异常告警缓存;
将所述IP异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述IP异常告警缓存;
将所述域名异常标识及所述目标机响应于所述攻击载荷的攻击日志以键值对的形式存储至所述域名异常告警缓存;
其中,所述IP异常告警缓存及所述域名异常告警缓存共同形成所述异常标识告警库。
5.根据权利要求4所述的外连类攻击结果研判方法,其特征在于,所述获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识,包括:
基于告警日志的标签识别并获取所述外连日志;
提取所述外连日志中的地址,并拼接所述目标机的地址及所述外连日志中的地址,生成所述外连标识。
6.根据权利要求5所述的外连类攻击结果研判方法,其特征在于,所述外连标识包括IP外连标识和域名外连标识;
所述提取所述外连日志中的地址,并拼接所述目标机的地址及所述外连日志中的地址,生成所述外连标识,包括:
若所述外连日志中的地址是IP地址且包含端口号,则拼接所述目标机的IP地址、所述外连日志中的IP地址及所述端口号,生成所述IP外连标识;
若所述外连日志中的地址是IP地址且不包含端口号,则基于所述攻击日志中的协议字段补充默认端口号,并拼接所述目标机的IP地址、所述外连日志中的IP地址及所述默认端口号,生成所述IP外连标识;
若所述外连日志中的地址是域名地址,则拼接所述目标机的IP地址、及所述外连日志中的域名地址,生成所述域名外连标识。
7.根据权利要求6所述的外连类攻击结果研判方法,其特征在于,所述查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库,具体为:
查询所述IP外连标识是否在所述IP异常告警缓存内,若所述IP外连标识在所述IP异常告警缓存内,则标记所述攻击日志的结果为攻击成功状态,并将所述IP外连标识及标记后的所述攻击日志存储至数据库;和/或
查询所述域名外连标识是否在所述域名异常告警缓存内,若所述域名外连标识在所述域名异常告警缓存内,则标记所述攻击日志的结果为攻击成功状态,并将所述域名外连标识及标记后的所述攻击日志存储至数据库。
8.根据权利要求1所述的外连类攻击结果研判方法,其特征在于,还包括:
查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则将所述攻击载荷中的地址发送至防火墙,以阻断与所述攻击载荷中的地址的连接。
9.一种外连类攻击结果研判装置,其特征在于,包括:
异常标识建立模块,用于获取目标机的攻击日志,并基于所述攻击日志中攻击载荷内的地址及所述目标机的地址生成异常标识;
告警库建立模块,用于基于所述异常标识及所述目标机响应于所述攻击载荷的攻击日志建立异常标识告警库;
外连标识建立模块,用于获取所述目标机的外连日志,并基于所述外连日志中的地址及所述目标机的地址生成外连标识;以及
结果研判模块,用于查询所述外连标识是否在所述异常标识告警库内,若所述外连标识在所述异常标识告警库内,则标记所述攻击日志的结果为攻击成功状态,并将所述外连标识及标记后的所述攻击日志存储至数据库。
10.一种电子设备,其特征在于,包括:
处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至8中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310388337.3A CN116112295B (zh) | 2023-04-12 | 2023-04-12 | 一种外连类攻击结果研判方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310388337.3A CN116112295B (zh) | 2023-04-12 | 2023-04-12 | 一种外连类攻击结果研判方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116112295A true CN116112295A (zh) | 2023-05-12 |
| CN116112295B CN116112295B (zh) | 2023-07-04 |
Family
ID=86256570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310388337.3A Active CN116112295B (zh) | 2023-04-12 | 2023-04-12 | 一种外连类攻击结果研判方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116112295B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100153316A1 (en) * | 2008-12-16 | 2010-06-17 | At&T Intellectual Property I, Lp | Systems and methods for rule-based anomaly detection on ip network flow |
| US20100218250A1 (en) * | 2007-09-28 | 2010-08-26 | Nippon Telegraph And Telephone Corp. | Network monitoring apparatus, network monitoring method, and network monitoring program |
| US20110283360A1 (en) * | 2010-05-17 | 2011-11-17 | Microsoft Corporation | Identifying malicious queries |
| US20160127406A1 (en) * | 2014-09-12 | 2016-05-05 | Level 3 Communications, Llc | Identifying a potential ddos attack using statistical analysis |
| CN109040071A (zh) * | 2018-08-06 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种web后门攻击事件的确认方法 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN112422554A (zh) * | 2020-11-17 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种检测异常流量外连的方法、装置、设备及存储介质 |
| WO2021189257A1 (zh) * | 2020-03-24 | 2021-09-30 | 深圳市欢太科技有限公司 | 恶意进程的检测方法、装置、电子设备及存储介质 |
| CN113852615A (zh) * | 2021-09-15 | 2021-12-28 | 广东电力信息科技有限公司 | 一种在多级dns环境中失陷主机监测方法及装置 |
| CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
| CN115001789A (zh) * | 2022-05-27 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种失陷设备检测方法、装置、设备及介质 |
| CN115801305A (zh) * | 2022-09-08 | 2023-03-14 | 武汉思普崚技术有限公司 | 一种网络攻击的检测识别方法及相关设备 |
-
2023
- 2023-04-12 CN CN202310388337.3A patent/CN116112295B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100218250A1 (en) * | 2007-09-28 | 2010-08-26 | Nippon Telegraph And Telephone Corp. | Network monitoring apparatus, network monitoring method, and network monitoring program |
| US20100153316A1 (en) * | 2008-12-16 | 2010-06-17 | At&T Intellectual Property I, Lp | Systems and methods for rule-based anomaly detection on ip network flow |
| US20110283360A1 (en) * | 2010-05-17 | 2011-11-17 | Microsoft Corporation | Identifying malicious queries |
| US20160127406A1 (en) * | 2014-09-12 | 2016-05-05 | Level 3 Communications, Llc | Identifying a potential ddos attack using statistical analysis |
| CN109040071A (zh) * | 2018-08-06 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种web后门攻击事件的确认方法 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| WO2021189257A1 (zh) * | 2020-03-24 | 2021-09-30 | 深圳市欢太科技有限公司 | 恶意进程的检测方法、装置、电子设备及存储介质 |
| CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
| CN112422554A (zh) * | 2020-11-17 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种检测异常流量外连的方法、装置、设备及存储介质 |
| CN113852615A (zh) * | 2021-09-15 | 2021-12-28 | 广东电力信息科技有限公司 | 一种在多级dns环境中失陷主机监测方法及装置 |
| CN115001789A (zh) * | 2022-05-27 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种失陷设备检测方法、装置、设备及介质 |
| CN115801305A (zh) * | 2022-09-08 | 2023-03-14 | 武汉思普崚技术有限公司 | 一种网络攻击的检测识别方法及相关设备 |
Non-Patent Citations (1)
| Title |
|---|
| 孙勇,杨义先: "非法外联监测系统的设计和实现", 网络安全技术与应用, no. 12 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116112295B (zh) | 2023-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
| EP4027604A1 (en) | Security vulnerability defense method and device | |
| CN111193719A (zh) | 一种网络入侵防护系统 | |
| EP2555486B1 (en) | Multi-method gateway-based network security systems and methods | |
| Ganame et al. | A global security architecture for intrusion detection on computer networks | |
| US8347383B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
| US20040193943A1 (en) | Multiparameter network fault detection system using probabilistic and aggregation analysis | |
| US20140075564A1 (en) | Network asset information management | |
| CN113014571B (zh) | 一种访问请求处理的方法、装置及存储介质 | |
| US10652259B2 (en) | Information processing apparatus, method and medium for classifying unauthorized activity | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
| KR20220081145A (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| KR100607110B1 (ko) | 종합 보안 상황 관리 시스템 | |
| CN112671781A (zh) | 基于rasp的防火墙系统 | |
| CN116112295B (zh) | 一种外连类攻击结果研判方法及装置 | |
| KR100446816B1 (ko) | 네트워크 기반의 통합 보안 관리 서비스망 | |
| Ghaleb et al. | A framework architecture for agentless cloud endpoint security monitoring | |
| Alim et al. | IDSUDA: An Intrusion Detection System Using Distributed Agents | |
| Allan | Intrusion Detection Systems (IDSs): Perspective | |
| CN113194087A (zh) | 一种用于不同信息域的安全风险高强度监测系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |