CN116232776A - 跳板攻击检测方法、装置、终端设备及计算机存储介质 - Google Patents
跳板攻击检测方法、装置、终端设备及计算机存储介质 Download PDFInfo
- Publication number
- CN116232776A CN116232776A CN202310515237.2A CN202310515237A CN116232776A CN 116232776 A CN116232776 A CN 116232776A CN 202310515237 A CN202310515237 A CN 202310515237A CN 116232776 A CN116232776 A CN 116232776A
- Authority
- CN
- China
- Prior art keywords
- physical system
- time sequence
- predicted
- target physical
- flow time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络安全的技术领域,尤其涉及一种跳板攻击检测方法、装置、终端设备及计算机存储介质,该方法包括:获取所述初始物理系统在预设的预测时间节点发送给所述目标物理系统的实际流量时间序列,其中,所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值;基于预设的指数平滑模型获取预测流量时间序列,其中,所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值;根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。本发明提高了跳板攻击检测的效率。
Description
技术领域
本发明涉及网络安全的技术领域,尤其涉及一种跳板攻击检测方法、装置、终端设备及计算机存储介质。
背景技术
随着互联网在各类公司的普及,公司局域网(专用互联网)的安全问题也日益凸显,公司的关键设施与网络数据成为黑客攻击的重点目标,其中,跳板攻击是黑客常用攻击手段之一,这给各类公司的信息安全造成了极大的威胁,用户也对防御跳板攻击的手段提出了更高的要求。
跳板攻击是指通过攻击较为容易获取权限的专用互联网内的边缘设施来对目标关键设施进行间接的跳板攻击,这样可以绕过关节设施的一些检测手段,更容易攻击成功,然后获取关键设施的操控权限以及数据,对整个专用互联网产生巨大的威胁和破坏。然而,目前对于跳板攻击的检测手段比较匮乏,大多是通过人工方式进行监测,这种方式存在极大的缺陷,费时耗力且防御效率低下。
综上,如何提高检测跳板攻击的效率是目前亟需解决的技术问题。
发明内容
本发明的主要目的在于提供一种跳板攻击检测方法、装置、终端设备及计算机存储介质,旨在提高检测跳板攻击的效率。
为实现上述目的,本发明提供一种跳板攻击检测方法,所述跳板攻击检测方法应用于跳板攻击检测系统中的交换机,所述跳板攻击检测系统还包括:初始物理系统和目标物理系统,所述初始物理系统和所述目标物理系统通过所述交换机建立有通信连接;
所述跳板攻击检测方法包括:
获取所述初始物理系统在预设的预测时间节点发送给所述目标物理系统的实际流量时间序列,其中,所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值;
基于预设的指数平滑模型获取预测流量时间序列,其中,所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值;
根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。
可选地,所述根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测的步骤,包括:
获取所述预测流量时间序列和所述实际流量时间序列之间的差距数值;
检测所述差距数值是否超过预设的威胁阈值;
当所述差距数值超过所述威胁阈值时触发预警提示,并对所述目标物理系统执行预警保护操作。
可选地,所述跳板攻击检测系统还包括:特定检测主机,所述特定检测主机和所述目标物理系统通过所述交换机建立有通信连接;
所述对所述目标物理系统执行预警保护操作的步骤,包括:
判断所述目标物理系统是否属于连接计算机或者其它网络的内网关键设施;
在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上,并停用所述目标物理系统上用于接收所述可疑流量包的端口;
在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上。
可选地,所述将所述目标物理系统中的可疑流量包折射到所述特定检测主机上的步骤,包括:
获取所述目标物理系统在接收到所述预警提示时发送给所述特定检测主机的复检请求;
获取与所述复检请求对应的威胁流量包;
将所述威胁流量包作为可疑流量包折射到所述特定检测主机上,以供所述特定检测主机根据所述可疑流量包在所述内网通信数据包中截取到进行跳板攻击的完整关联数据包。
可选地,所述方法还包括:
获取所述初始物理系统发送给所述目标物理系统的历史通信数据;
按照预设的季节性指数平滑算法对所述历史通信数据进行训练学习,建立所述指数平滑模型。
可选地,所述基于预设的指数平滑模型获取预测流量时间序列的步骤,包括:
在预设的指数平滑模型中获取原始流量时间序列,其中,所述原始流量时间序列是指所述历史通信数据在不同的历史时间节点变化的一组值;
根据所述原始流量时间序列和所述预测时间节点得到预测流量时间序列。
可选地,所述根据所述原始流量时间序列和所述预测时间节点得到预测流量时间序列的步骤,包括:
获取与所述预测时间节点对应的目标时间节点;
从所述原始流量时间序列中获取所述目标时间节点对应的目标流量时间序列,并将所述目标流量时间序列作为预测流量时间序列。
此外,为实现上述目的,本发明还提供一种跳板攻击检测装置,本发明跳板攻击检测装置包括:
获取模块,用于获取初始物理系统在预设的预测时间节点发送给目标物理系统的实际流量时间序列,其中,所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值;
预测模块,用于基于预设的指数平滑模型获取预测流量时间序列,其中,所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值;
攻击检测模块,用于根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。
本发明跳板攻击检测装置的各个功能模块在运行时实现如上所述的本发明跳板攻击检测方法的步骤。
此外,为实现上述目的,本发明还提供一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的跳板攻击检测程序,所述跳板攻击检测程序被所述处理器执行时实现上述跳板攻击检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机存储介质,所述计算机存储介质上存储有跳板攻击检测程序,所述跳板攻击检测程序被处理器执行时实现上述的跳板攻击检测方法的步骤。
在本发明中,跳板攻击检测方法应用于跳板攻击检测系统中的交换机,跳板攻击检测系统还包括:初始物理系统和目标物理系统,初始物理系统和目标物理系统通过交换机建立有通信连接;交换机获取初始物理系统在预设的预测时间节点发送给目标物理系统的实际流量时间序列,其中,实际流量时间序列是指初始物理系统发送给目标物理系统的内网通信数据包在预测时间节点的实际流量变化值,然后基于预设的指数平滑模型获取预测流量时间序列,其中,预测流量时间序列是指初始物理系统与目标物理系统在预设的预测时间节点进行正常交互的预测流量变化值;最后再根据预测流量时间序列和实际流量时间序列进行跳板攻击检测。
区别于传统的跳板攻击检测方式,本申请采用交换机代替人工检测方式,快速准确地获取初始物理系统与目标物理系统之间的实际流量时间序列,并通过预设的指数平滑模型获取预测流量时间序列,然后将实际流量时间序列和预测流量时间序列进行有效对比,不仅提高了检测跳板攻击的准确性,还可以快速地监控发生跳板攻击的情况,有效地避免了人工检测方式存在着跳板攻击检测效率差的技术问题,进而有效地提高了检测跳板攻击的效率。
附图说明
图1是本发明跳板攻击检测方法第一实施例的流程示意图;
图2是本发明实施例方案涉及的跳板攻击检测装置的结构示意图;
图3为本发明实施例方案涉及的终端设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
本发明实施例提供了一种跳板攻击检测方法,参照图1所示,图1是本发明跳板攻击检测方法第一实施例的流程示意图。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。
本实施例中,本发明跳板攻击检测方法应用于跳板攻击检测系统中的交换机,所述跳板攻击检测系统还包括:初始物理系统和目标物理系统,所述交换机分别与所述初始物理系统和所述目标物理系统建立有通信连接。
在本实施例中,交换机可以包括:边缘交换机和中央交换机,且边缘交换机包括第一边缘交换机和第二边缘交换机,其中,第一边缘交换机与所述初始物理系统建立有通信连接,第一边缘交换机、中央交换机、第二边缘交换机依次建立用通信连接,第二边缘交换机与目标物理系统建立有通信连接;另外,每一初始物理系统对应着一个第一边缘交换机,每一目标物理系统对应着一个第二边缘交换机。
需要说明的是,跳板攻击检测系统设置在专用互联网内,在具体实施例中,将交换机(即可编程交换)部署在专用互联网的物理系统和控制系统边缘,即通过交换机进行初始物理系统与目标物理系统之间的通信交互。
初始物理系统可以理解为在专用互联网内向目标物理系统发送通讯数据包的设备,例如,计算机主机、IP地址、车控中心和电脑、平板、手机等通讯设备。
目标物理系统可以理解为在专用互联网内接收通讯数据包的设备,例如,计算机主机、IP地址、车控中心和电脑、平板、手机等通讯设备。并且,初始物理系统和目标物理系统可以是同一类型设备,也可以是不同类型设备。
边缘交换机可以理解为直接与移动用户终端进行交互的交换装置,且边缘交换机设置有协议解析模块,即第一边缘交换机和第二边缘交换机都设置有协议解析模块。
中央交换机可以理解为数据处理中心。
在具体实施例中,通过第一边缘交换机接收初始物理系统发送的通讯数据包,然后按照协议解析模块对通讯数据包进行分类,得到内网通信数据包(内网的主机间进行通信的数据包)或者内外网交互数据包(内网的主机和外网主机或其他设备间的通信),若通讯数据包为内外网交互数据包,则通过第一边缘交换机将所述内外网交互数据包转换成内网通信数据包后,再根据协议解析模块确定内网通信数据包的数据类型,若数据类型为加密类型时,按照预设的加密算法对内网通信数据包进行加密后,再将加密后的内网数据包通过中央交换机转发至第二边缘交换机,然后第二边缘交换机按照预设的加密算法对加密后的内网通信数据包进行反向解密,得到内网通信数据包,最后通过第二边缘交换机将内网通信数据包发送给目标物理系统。
在另一实施例中,若数据类型为不加密类型时,则通过第一边缘交换机将内网通信数据包发送中央交换机,然后通过中央交换机将内网通信数据包转发至第二边缘交换机,最后通过第二边缘交换机将内网通信数据包发送给目标物理系统。
另外,需要说明的是,加密算法包括但不限于AES算法、PBE算法等多种对称加密算法。并且,内网关键设施(即区域网中的关键设施)可以不定时进行加密方式地选择。例如,当需要将AES算法的加密方式变更为PBE算法的加密方式时,内网关键设施先获取AES算法对应的第一加密算法编号和PBE算法对应的第二加密算法编号,然后将第二加密算法编号覆盖在第一加密算法编号上,以将AES算法变更为PBE算法。
本发明跳板攻击检测方法包括:
步骤S10:获取所述初始物理系统在预设的预测时间节点发送给所述目标物理系统的实际流量时间序列,其中,所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值;
在本实施例中,通过交换机的区域网加密模块获取初始物理系统在预设的预测时间节点发送给目标物理系统的实际流量时间序列。
需要说明的是,实际流量时间序列可以理解为初始物理系统发送给目标物理系统的内网通信数据包在预设的预测时间节点的实际流量变化值。
步骤S20:基于预设的指数平滑模型获取预测流量时间序列,其中,所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值;
在本实施例中,交换机获取初始物理系统发送给目标物理系统的历史通信数据,然后在交换机的检测模块(即,跳板攻击威胁检测模块)中,按照预设的季节性指数平滑算法对历史通信数据进行训练学习,建立指数平滑模型,在完成指数平滑模型的构建后,通过构建指数平滑模型获取原始流量时间序列,然后根据原始流量时间序列确定在预设的预测时间节点时的预测流量时间序列。
需要说明的是,历史通信数据可以理解为初始物理系统与目标物理系统进行通信的正常流量数据;原始流量时间序列是指历史通信数据在不同的历史时间节点的变化的一组值;预测流量时间序列是指初始物理系统与目标物理系统在预测时间节点进行正常交互的预测流量变化值。
预设的预测时间节点可以根据用户的需求进行自定义,在此不做限制。
在本实施例中,本申请通过预设的指数平滑模型去预测初始物理系统与目标物理系统进行正常通信的在预测时间节点上的流量变化值(即,预测流量时间序列),进而有效地提高了预测数据的准确性。
步骤S30:根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。
在本实施例中,通过交换机的检测模块获取预测流量时间序列和实际流量时间序列之间的差距数值,然后将差距数值与预设的威胁阈值进行对比,当差距数值超过预设的威胁阈值时,通过交换机的检测模块触发预警提示,并在确定交换机的检测模块触发预警提示的同时,通过交换机的处理模块(即跳板攻击威胁处理模块)对目标物理系统执行预警保护操作;当差距数值未超过预设的威胁阈值时,则通过交换机的检测模块进一步地确定目标物理系统不存在跳板攻击的风险。
在本实施例中,根据预测流量时间序列和实际流量时间序列得到预警提示,是为了提醒用户注意目标物理系统存在跳板攻击的威胁。
在本发明中,跳板攻击检测方法应用于跳板攻击检测系统中的交换机,跳板攻击检测系统还包括:初始物理系统和目标物理系统,初始物理系统和目标物理系统通过交换机建立有通信连接;交换机获取初始物理系统在预设的预测时间节点发送给目标物理系统的实际流量时间序列,其中,实际流量时间序列是指初始物理系统发送给目标物理系统的内网通信数据包在预测时间节点的实际流量变化值,然后基于预设的指数平滑模型获取预测流量时间序列,其中,预测流量时间序列是指初始物理系统与目标物理系统在预设的预测时间节点进行正常交互的预测流量变化值;最后再根据预测流量时间序列和实际流量时间序列进行跳板攻击检测。
区别于传统的跳板攻击检测方式,本申请采用交换机代替人工检测方式,快速准确地获取初始物理系统与目标物理系统之间的实际流量时间序列,并通过预设的指数平滑模型获取预测流量时间序列,然后将实际流量时间序列和预测流量时间序列进行有效对比,不仅提高了检测跳板攻击的准确性,还可以快速地监控发生跳板攻击的情况,有效地避免了人工检测方式存在着跳板攻击检测效率差的技术问题,进而有效地提高了检测跳板攻击的效率。
进一步地,基于本发明跳板攻击检测第一实施例,提出本发明跳板攻击检测第二实施例。
进一步地,在一些可行的实施例中,上述步骤S30:根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测,还可以包括以下实施步骤:
步骤S301:获取所述预测流量时间序列和所述实际流量时间序列之间的差距数值;
在本实施例中,通过交换机的检测模块获取预测流量时间序列和实际流量时间序列之间的差值,并将这个差值作为差距数值。
步骤S302:检测所述差距数值是否超过预设的威胁阈值;
在本实施例中,通过交换机的检测模块检测差距数值是否超过预设的威胁阈值。
需要说明的是,预设的威胁阈值可以根据经验或者用户的实际需求进行设置,在此不做限制。
步骤S303:当所述差距数值超过所述威胁阈值时触发预警提示,并对所述目标物理系统执行预警保护操作。
在本实施例中,当差距数值超过预设的威胁阈值时(即通过交换机的检测模块),通过交换机的检测模块触发预警提示,并在确定交换机的检测模块触发预警提示的同时,通过交换机的处理模块对目标物理系统执行预警保护操作。
需要说明的是,预警提示是指所述目标物理系统存在跳板攻击的威胁,换句话说,目标物理系统存在跳板攻击的几率。
在本实施例中,通过交换机的处理模块迅速执行对目标物理系统进行预警保护操作,有效地避免了黑客入侵事件的发生。
进一步地,在另一些可行的实施例中,所述跳板攻击检测系统还包括:特定检测主机,所述特定检测主机和所述目标物理系统通过所述交换机建立有通信连接,上述步骤S303:对所述目标物理系统执行预警保护操作,还可以包括以下实施步骤:
步骤S3031:判断所述目标物理系统是否属于连接计算机或者其它网络的内网关键设施;
在本实施例中,通过交换机的处理模块判断目标物理系统是否属于连接计算机或者其它网络的内网关键设施。
步骤S3032:在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上,并停用所述目标物理系统上用于接收所述可疑流量包的端口;
在本实施例中,若通过交换机的处理模块确定到目标物理系统是属于连接计算机或者其它网络的内网关键设施;则触发预警提示,并将目标物理系统中的可疑流量包折射到特定检测主机上,并停用目标物理系统上用于接收可疑流量包的端口。
需要说明的是,用于接收可疑流量包的端口可以理解为目标物理系统进行通信交互的数据端口。
内网关键设施可以包括网络服务器、网络工作站和网络接口控制器(即,网络适配器)等。
在本实施例中,通过停用目标物理系统进行通信交互的数据端口有效地防止了黑客入侵的事件发生。
步骤S3033:在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上。
在本实施例中,若通过交换机的处理模块确定到目标物理系统是普通设施(即非内网关键设施),则触发预警提示,并将目标物理系统中的可疑流量包折射到特定检测主机上。
进一步地,在另一些可行的实施例中,上述步骤S3032:将所述目标物理系统中的可疑流量包折射到所述特定检测主机上,还可以包括以下实施步骤:
步骤S30321:获取所述目标物理系统在接收到所述预警提示时发送给所述特定检测主机的复检请求;
在本实施例中,通过交换机的请求答复模块(即,跳板攻击细粒度复检请求及答复模块)获取发送给特定检测主机的复检请求。
需要说明的是,复检请求是目标物理系统在接收到预警提示时发送给特定检测主机的。
在本实施例中,通过交换机的请求答复模块获取发送给特定检测主机的复检请求,是为了能够及时弥补误报带来的流量损失,进一步地提高跳板攻击检测的准确性。
步骤S30322:获取与所述复检请求对应的威胁流量包;
在本实施例中,在交换机的请求答复模块接收到特定检测主机对复检请求做出响应后,通过交换机的请求答复模块获取与特定检测主机对复检请求做出响应对应的威胁流量包,换句话说,交换机的请求答复模块根据特定检测主机对复检请求做出响应,得到威胁流量包。
步骤S30323:将所述威胁流量包作为可疑流量包折射到所述特定检测主机上,以供所述特定检测主机根据所述可疑流量包在所述内网通信数据包中截取到进行跳板攻击的完整关联数据包。
在本实施例中,通过交换机的请求答复模块将威胁流量包作为可疑流量包折射到特定检测主机上,以供特定检测主机根据可疑流量包在目标物理系统接收到的内网通信数据包中截取到进行跳板攻击的完整关联数据包。
在又一实施例中,特定检测主机接收到可疑流量包后,获取与可疑流量包对应流量频段,然后在目标物理系统接收到的内网通信数据包中查找与流量频段相同\相关的完整关联数据包,最后再根据查找到的完整关联数据包得到初始物理系统作为跳板主机被入侵的过程和入侵者的主控主机。
进一步地,在一些可行的实施例中,跳板攻击检测方法还可以包括以下实施步骤:
步骤A10:获取所述初始物理系统发送给所述目标物理系统的历史通信数据;
在本实施例中,通过交换机的检测模块获取初始物理系统发送给目标物理系统的历史通信数据。
需要说明的是,历史通信数据的数量有多个。
步骤A20:按照预设的季节性指数平滑算法对所述历史通信数据进行训练学习,建立所述指数平滑模型。
在本实施例中,通过交换机的检测模块按照预设的季节性指数平滑算法对多个历史通信数据进行训练学习,进而建立指数平滑模型。
进一步地,在一些可行的实施例中,上述步骤S20:基于预设的指数平滑模型获取预测流量时间序列,还包括以下实施步骤:
步骤S203:在预设的指数平滑模型中获取原始流量时间序列,其中,所述原始流量时间序列是指所述历史通信数据在不同的历史时间节点变化的一组值;
在本实施中,在完成指数平滑模型的构建后,根据交换机的检测模块在指数平滑模型获取原始流量时间序列。
需要说明的是,原始流量时间序列是指所述历史通信数据在不同的历史时间节点变化的一组值。
步骤S204:根据所述原始流量时间序列和所述预测时间节点得到预测流量时间序列。
在本实施中,通过交换机的检测模块先获取与预测时间节点对应的目标时间节点,然后从原始流量时间序列中获取与目标时间节点对应的目标流量时间序列,并将该目标流量时间序列作为预测流量时间序列。
进一步地,在一些可行的实施例中,上述步骤S204:根据所述原始流量时间序列和所述预测时间节点得到预测流量时间序列,还包括以下实施步骤:
步骤S2041:获取与所述预测时间节点对应的目标时间节点;
在本实施例中,通过交换机的检测模块获取与预测时间节点对应的目标时间节点。
步骤S2042:从所述原始流量时间序列中获取所述目标时间节点对应的目标流量时间序列,并将所述目标流量时间序列作为所述预测流量时间序列。
在本实施例中,通过交换机的检测模块从原始流量时间序列中获取目标时间节点对应的目标流量时间序列,并将目标流量时间序列作为预测流量时间序列。
需要说明的是,目标流量时间序列是指原始流量时间序列在目标时间节点上的一段流量时间序列。
综上,本发明首先获取初始物理系统在预设的预测时间节点发送给所述目标物理系统的实际流量时间序列,然后通过季节性指数平滑算法构建指数平滑模型以预测区域网中初始物理系统和目标物理系统进行正常通信时的预测流量时间序列,进一步地将预测流量时间序列与实际流量进行对比,从而能够有效地监测到可能发生跳板攻击的情况,并在监测到跳板攻击威胁的同时,对目标物理系统采取一定的保护措施以避免黑客入侵的发生,并且还获取复检请求,根据复检请求进一步判断目标物理系统是否存在跳板攻击的情况,进而可以及时弥补误报带来的流量损失,还也可以进一步的挖掘作为跳板主机的被入侵过程以及找到入侵者,从而有效地提高了跳板攻击的检测效率。
此外,本发明还提供一种跳板攻击检测装置,请参照图2,图2是本发明实施例方案涉及的跳板攻击检测装置的结构示意图。
本发明跳板攻击检测装置包括:
获取模块H01,用于获取初始物理系统在预设的预测时间节点发送给目标物理系统的实际流量时间序列,其中,所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值;
预测模块H02,用于基于预设的指数平滑模型获取预测流量时间序列,其中,所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值;
攻击检测模块H03,用于根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。
可选地,攻击检测模块H03,还可以包括:
差值获取单元,用于获取所述预测流量时间序列和所述实际流量时间序列之间的差距数值;
检测单元,用于检测所述差距数值是否超过预设的威胁阈值;
第一执行单元,用于当所述差距数值超过所述威胁阈值时触发预警提示,并对所述目标物理系统执行预警保护操作。
可选地,攻击检测模块H03,还可以包括:
判断单元,用于判断所述目标物理系统是否属于连接计算机或者其它网络的内网关键设施;
停用单元,用于在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上,并停用所述目标物理系统上用于接收所述可疑流量包的端口;
第二执行单元,用于在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上;
可选地,攻击检测模块H03,还可以包括:
复检单元,用于获取所述目标物理系统在接收到所述预警提示时发送给所述特定检测主机的复检请求;
响应单元,用于获取与所述复检请求对应的威胁流量包;
折射单元,用于将所述威胁流量包作为可疑流量包折射到所述特定检测主机上,以供所述特定检测主机根据所述可疑流量包在所述内网通信数据包中截取到进行跳板攻击的完整关联数据包。
可选地,预测模块H02,还可以包括:
历史数据发送单元,用于获取所述初始物理系统发送给所述目标物理系统的历史通信数据;
建模单元,用于按照预设的季节性指数平滑算法对所述历史通信数据进行训练学习,建立所述指数平滑模型。
可选地,预测模块H02,还可以包括:
原始序列获取单元,用于在预设的指数平滑模型中获取原始流量时间序列,其中,所述原始流量时间序列是指所述历史通信数据在不同的历史时间节点变化的一组值;
序列预测单元,用于根据所述原始流量时间序列和所述预测时间节点得到预测流量时间序列。
可选地,预测模块H02,还可以包括:
目标节点获取单元,用于获取与所述预测时间节点对应的目标时间节点;
目标序列单元,用于从所述原始流量时间序列中获取所述目标时间节点对应的目标流量时间序列,并将所述目标流量时间序列作为预测流量时间序列。
本发明跳板攻击检测装置的各个功能模块在运行时实现如上所述的本发明跳板攻击检测方法的步骤。
此外,本发明还提供一种终端设备。请参照图3,图3为本发明实施例方案涉及的终端设备的结构示意图。本发明实施例终端设备具体可以是为本地运行跳板攻击检测的设备。
如图3所示,本发明实施例终端设备可以包括:处理器1001,例如CPU,通信总线1002,用户接口1003,网络接口1004,存储器1005和感知单元1006。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如Wi-Fi接口)。
存储器1005设置在终端设备主体上,存储器1005上存储有程序,该程序被处理器1001执行时实现相应的操作。存储器1005还用于存储供终端设备使用的参数。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图3中示出的终端设备结构并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图3所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及终端设备的跳板攻击检测程序。
在图3所示的终端设备中,处理器1001可以用于调用存储器1005中存储的终端设备的跳板攻击检测程序,并执行以下操作。
获取所述初始物理系统在预设的预测时间节点发送给所述目标物理系统的实际流量时间序列,其中,所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值;
基于预设的指数平滑模型获取预测流量时间序列,其中,所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值;
根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。
进一步地,所述根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测的操作,包括:
获取所述预测流量时间序列和所述实际流量时间序列之间的差距数值;
检测所述差距数值是否超过预设的威胁阈值;
当所述差距数值超过所述威胁阈值时触发预警提示,并对所述目标物理系统执行预警保护操作。
进一步地,所述跳板攻击检测系统还包括:特定检测主机,所述特定检测主机和所述目标物理系统通过所述交换机建立有通信连接,所述对所述目标物理系统执行预警保护操作的操作,包括:
判断所述目标物理系统是否属于连接计算机或者其它网络的内网关键设施;
在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上,并停用所述目标物理系统上用于接收所述可疑流量包的端口;
在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上。
进一步地,所述在触发所述预警提示的同时将所述目标物理系统中的可疑流量包折射到所述特定检测主机上的操作,包括:
获取所述目标物理系统在接收到所述预警提示时发送给所述特定检测主机的复检请求;
获取与所述复检请求对应的威胁流量包;
将所述威胁流量包作为可疑流量包折射到所述特定检测主机上,以供所述特定检测主机根据所述可疑流量包在所述内网通信数据包中截取到进行跳板攻击的完整关联数据包。
进一步地,处理器1001可以用于调用存储器1005中存储的终端设备的跳板攻击检测程序,并执行以下操作:
获取所述初始物理系统发送给所述目标物理系统的历史通信数据;
按照预设的季节性指数平滑算法对所述历史通信数据进行训练学习,建立所述指数平滑模型。
进一步地,所述基于预设的指数平滑模型获取预测流量时间序列的操作,包括:
在预设的指数平滑模型中获取原始流量时间序列,其中,所述原始流量时间序列是指所述历史通信数据在不同的历史时间节点变化的一组值;
根据所述原始流量时间序列和所述预测时间节点得到预测流量时间序列。进一步地,所述根据所述原始流量时间序列和所述预测时间节点得到预测流量时间序列的操作,包括:
获取与所述预测时间节点对应的目标时间节点;
从所述原始流量时间序列中获取所述目标时间节点对应的目标流量时间序列,并将所述目标流量时间序列作为预测流量时间序列。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上述的一个计算机存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种跳板攻击检测方法,其特征在于,所述跳板攻击检测方法应用于跳板攻击检测系统中的交换机,所述跳板攻击检测系统还包括:初始物理系统和目标物理系统,所述初始物理系统和所述目标物理系统通过所述交换机建立有通信连接;
所述跳板攻击检测方法包括:
获取所述初始物理系统在预设的预测时间节点发送给所述目标物理系统的实际流量时间序列,其中,所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值;
基于预设的指数平滑模型获取预测流量时间序列,其中,所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值;
根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。
2.如权利要求1所述跳板攻击检测方法,其特征在于,所述根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测的步骤,包括:
获取所述预测流量时间序列和所述实际流量时间序列之间的差距数值;
检测所述差距数值是否超过预设的威胁阈值;
当所述差距数值超过所述威胁阈值时触发预警提示,并对所述目标物理系统执行预警保护操作。
3.如权利要求2所述跳板攻击检测方法,其特征在于,所述跳板攻击检测系统还包括:特定检测主机,所述特定检测主机和所述目标物理系统通过所述交换机建立有通信连接;
所述对所述目标物理系统执行预警保护操作的步骤,包括:
判断所述目标物理系统是否属于连接计算机或者其它网络的内网关键设施;
在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上,并停用所述目标物理系统上用于接收所述可疑流量包的端口;
在判断到所述目标物理系统不属于所述内网关键设施时触发所述预警提示,并将所述目标物理系统中的可疑流量包折射到所述特定检测主机上。
4.如权利要求3所述跳板攻击检测方法,其特征在于,所述将所述目标物理系统中的可疑流量包折射到所述特定检测主机上的步骤,包括:
获取所述目标物理系统在接收到所述预警提示时发送给所述特定检测主机的复检请求;
获取与所述复检请求对应的威胁流量包;
将所述威胁流量包作为可疑流量包折射到所述特定检测主机上,以供所述特定检测主机根据所述可疑流量包在所述内网通信数据包中截取到进行跳板攻击的完整关联数据包。
5.如权利要求1所述跳板攻击检测方法,其特征在于,所述方法还包括:
获取所述初始物理系统发送给所述目标物理系统的历史通信数据;
按照预设的季节性指数平滑算法对所述历史通信数据进行训练学习,建立所述指数平滑模型。
6.如权利要求5所述跳板攻击检测方法,其特征在于,所述基于预设的指数平滑模型获取预测流量时间序列的步骤,包括:
在预设的指数平滑模型中获取原始流量时间序列,其中,所述原始流量时间序列是指所述历史通信数据在不同的历史时间节点变化的一组值;
根据所述原始流量时间序列和所述预测时间节点得到预测流量时间序列。
7.如权利要求6所述跳板攻击检测方法,其特征在于,所述根据所述原始流量时间序列和所述预测时间节点得到预测流量时间序列的步骤,包括:
获取与所述预测时间节点对应的目标时间节点;
从所述原始流量时间序列中获取所述目标时间节点对应的目标流量时间序列,并将所述目标流量时间序列作为预测流量时间序列。
8.一种跳板攻击检测装置,其特征在于,所述跳板攻击检测装置,包括:
获取模块,用于获取初始物理系统在预设的预测时间节点发送给目标物理系统的实际流量时间序列,其中,所述实际流量时间序列是指所述初始物理系统发送给所述目标物理系统的内网通信数据包在所述预测时间节点的实际流量变化值;
预测模块,用于基于预设的指数平滑模型获取预测流量时间序列,其中,所述预测流量时间序列是指所述初始物理系统与所述目标物理系统在所述预测时间节点进行正常交互的预测流量变化值;
攻击检测模块,用于根据所述预测流量时间序列和所述实际流量时间序列进行跳板攻击检测。
9.一种终端设备,其特征在于,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的跳板攻击检测程序,所述处理器执行所述跳板攻击检测程序时实现如权利要求1至7中任一项所述跳板攻击检测方法的步骤。
10.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有跳板攻击检测程序,所述跳板攻击检测程序被处理器执行时实现如权利要求1至7中任一项所述跳板攻击检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310515237.2A CN116232776B (zh) | 2023-05-09 | 2023-05-09 | 跳板攻击检测方法、装置、终端设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310515237.2A CN116232776B (zh) | 2023-05-09 | 2023-05-09 | 跳板攻击检测方法、装置、终端设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116232776A true CN116232776A (zh) | 2023-06-06 |
| CN116232776B CN116232776B (zh) | 2023-08-25 |
Family
ID=86580998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310515237.2A Active CN116232776B (zh) | 2023-05-09 | 2023-05-09 | 跳板攻击检测方法、装置、终端设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116232776B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973663A (zh) * | 2013-02-01 | 2014-08-06 | 中国移动通信集团河北有限公司 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
| US20170134413A1 (en) * | 2015-11-09 | 2017-05-11 | Electronics And Telecommunications Research Institute | System and method for connection fingerprint generation and stepping-stone traceback based on netflow |
| CN110445645A (zh) * | 2019-07-26 | 2019-11-12 | 新华三大数据技术有限公司 | 链路流量预测方法及装置 |
| CN112200254A (zh) * | 2020-10-16 | 2021-01-08 | 鹏城实验室 | 一种网络入侵检测模型生成方法、检测方法及电子设备 |
| CN113452699A (zh) * | 2021-06-24 | 2021-09-28 | 西安电子科技大学 | 基于配置文件的跳板攻击路径分析方法 |
| CN115102781A (zh) * | 2022-07-14 | 2022-09-23 | 中国电信股份有限公司 | 网络攻击处理方法、装置、电子设备和介质 |
-
2023
- 2023-05-09 CN CN202310515237.2A patent/CN116232776B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973663A (zh) * | 2013-02-01 | 2014-08-06 | 中国移动通信集团河北有限公司 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
| US20170134413A1 (en) * | 2015-11-09 | 2017-05-11 | Electronics And Telecommunications Research Institute | System and method for connection fingerprint generation and stepping-stone traceback based on netflow |
| CN110445645A (zh) * | 2019-07-26 | 2019-11-12 | 新华三大数据技术有限公司 | 链路流量预测方法及装置 |
| CN112200254A (zh) * | 2020-10-16 | 2021-01-08 | 鹏城实验室 | 一种网络入侵检测模型生成方法、检测方法及电子设备 |
| CN113452699A (zh) * | 2021-06-24 | 2021-09-28 | 西安电子科技大学 | 基于配置文件的跳板攻击路径分析方法 |
| CN115102781A (zh) * | 2022-07-14 | 2022-09-23 | 中国电信股份有限公司 | 网络攻击处理方法、装置、电子设备和介质 |
Non-Patent Citations (2)
| Title |
|---|
| KHALID ALMINSHID、MOHD NIZAM OMAR: ""Detecting backdoor using stepping stone detection approach"", 《2013 SECOND INTERNATIONAL CONFERENCE ON INFORMATICS & APPLICATIONS (ICIA)》 * |
| 姜建国、王继志、孔斌、胡波、刘吉强: ""网络攻击源追踪技术研究综述"", 《信息安全学报》, vol. 3, no. 1, pages 111 - 131 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116232776B (zh) | 2023-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11212299B2 (en) | System and method for monitoring security attack chains | |
| US20200329065A1 (en) | Method for protecting iot devices from intrusions by performing statistical analysis | |
| US20220150266A1 (en) | Network anomaly detection and profiling | |
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| US8839440B2 (en) | Apparatus and method for forecasting security threat level of network | |
| KR100468232B1 (ko) | 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법 | |
| US10862926B2 (en) | Cybersecurity threat detection and mitigation system | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN111935143B (zh) | 一种攻击防御策略可视化的方法及系统 | |
| US20140298399A1 (en) | Apparatus and method for detecting anomality sign in controll system | |
| CN103685575A (zh) | 一种基于云架构的网站安全监控方法 | |
| US11128655B2 (en) | Method and system for managing security vulnerability in host system using artificial neural network | |
| US9692779B2 (en) | Device for quantifying vulnerability of system and method therefor | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN107733834B (zh) | 一种数据泄露防护方法及装置 | |
| US20120329426A1 (en) | System and method for monitoring the security of cellular device communication | |
| WO2015160357A1 (en) | Rating threat submitter | |
| CN111726342A (zh) | 一种提升蜜罐系统告警输出精准性的方法及系统 | |
| CN114679327A (zh) | 网络攻击等级确定方法、装置、计算机设备和存储介质 | |
| CN116232776B (zh) | 跳板攻击检测方法、装置、终端设备及计算机存储介质 | |
| CN110381082B (zh) | 基于Mininet的电力通信网络的攻击检测方法和装置 | |
| CN117729032A (zh) | 一种办公网络夜间安全防护方法 | |
| CN110881016B (zh) | 一种网络安全威胁评估方法及装置 | |
| CN107835153B (zh) | 一种脆弱性态势数据融合方法 | |
| CN114268481A (zh) | 内网终端违规外联信息处理方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |