CN116566739B - 一种安全检测系统、电子设备及存储介质 - Google Patents
一种安全检测系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116566739B CN116566739B CN202310782317.4A CN202310782317A CN116566739B CN 116566739 B CN116566739 B CN 116566739B CN 202310782317 A CN202310782317 A CN 202310782317A CN 116566739 B CN116566739 B CN 116566739B
- Authority
- CN
- China
- Prior art keywords
- flow
- access request
- url
- request
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 83
- 238000000034 method Methods 0.000 claims abstract description 185
- 230000008569 process Effects 0.000 claims abstract description 117
- 238000007405 data analysis Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 6
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 claims description 3
- 230000006399 behavior Effects 0.000 abstract description 14
- 238000012544 monitoring process Methods 0.000 abstract description 6
- 230000007123 defense Effects 0.000 abstract description 3
- 230000009471 action Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种安全检测系统、电子设备及存储介质,该系统包括网关设备,网关设备连接有流量检测设备和若干个主机设备,流量检测设备用于接收网关设备发送的访问请求流量;获取对应的URL;确定URL是否符合预设类型条件;若URL符合预设类型条件,则根据流量资源可分配容量和主机资源可分配容量,确定访问请求流量对应的请求进程是否为可疑进程;若访问请求流量对应的请求进程为可疑进程,则向目标主机设备发送报警信息。本发明通过提取云服务平台的流量特征,检测网关设备的端点流量是否存在可疑进程,检测该进程是否进行恶意行为,对相应进程进行行为监测,针对可疑攻击进行检测与防御。
Description
技术领域
本发明涉及安全检测领域,特别是涉及一种安全检测系统、电子设备及存储介质。
背景技术
目前,由于云平台具有方便创建、测试环境容易的特点,越来越多的APT组织(黑客组织)利用合法云平台服务提供商投递恶意载荷的方法进行恶意行为,由于网络中的主机可能在此前已经与云平台进行了通信,恶意代码通过网站下载后续恶意载荷就不容易引起怀疑,且云平台服务提供商通常使用SSL/TLS对通信数据进行加密,无法直接对其进行封禁,为攻击者提供额外的保护,因此借助云平台投递恶意载荷可能会给恶意载荷的入侵提供掩护,安全软件也很难检测出异常,加大了安全产品的检测难度。
发明内容
有鉴于此,本发明提供一种安全检测系统、电子设备及存储介质,至少部分解决现有技术中存在的技术问题,本发明采用的技术方案为:
根据本申请的一个方面,提供一种安全检测系统,包括网关设备,网关设备连接有流量检测设备和若干个主机设备,每一主机设备具有对应的主机标识;
流量检测设备用于执行以下方法:
接收网关设备发送的访问请求流量;访问请求流量由目标主机设备发送至网关设备;目标主机设备为任一主机设备;
根据访问请求流量,获取访问请求流量对应的URL;
根据URL,确定URL是否符合预设类型条件;
若URL符合预设类型条件,则获取流量检测设备对应的流量资源可分配容量和目标主机设备对应的主机资源可分配容量;
若流量资源可分配容量大于主机资源可分配容量,则根据访问请求流量的流量特征,确定访问请求流量对应的请求进程是否为可疑进程;
若访问请求流量对应的请求进程为可疑进程,则向目标主机设备发送报警信息。
在本申请的一种示例性实施例中,根据访问请求流量,获取访问请求流量对应的URL,包括:
若访问请求流量对应的传输协议为加密协议,则向目标主机设备发送密钥查询请求;
接收目标主机设备根据密钥查询请求发送的访问请求流量对应的流量密钥;
根据流量密钥,对访问请求流量进行解密,得到URL。
在本申请的一种示例性实施例中,根据访问请求流量,获取访问请求流量对应的URL,包括:
若访问请求流量对应的传输协议为加密协议,则在预设密钥列表中确定访问请求流量对应的流量密钥;预设密钥列表根据目标主机设备发送的流量密钥确定;
根据流量密钥,对访问请求流量进行解密,得到URL。
在本申请的一种示例性实施例中,根据URL,确定URL是否符合预设类型条件,包括:
若URL包括预设服务域名和预设请求字段,则确定URL符合预设类型条件。
在本申请的一种示例性实施例中,获取流量检测设备对应的流量资源可分配容量和目标主机设备对应的主机资源可分配容量,包括:
获取流量检测设备在预设第一时间段T1=[t11,t12]内的每单位时间所占用资源量;
根据每单位时间所占用资源量,确定流量检测设备在预设第二时间段T2=[t21,t22]内所占用的资源量L3;其中,t22>t21≥t12>t11;
流量资源可分配容量Q1=L1-L2-L3;其中,L1为流量检测设备的流量资源总容量,L2为流量检测设备的当前流量资源已分配量;
主机资源可分配容量Q2=Z1-Z2;其中,Z1为目标主机设备的主机资源总容量,Z2为目标主机设备的当前主机资源已分配量。
在本申请的一种示例性实施例中,获取流量检测设备对应的流量资源可分配容量和目标主机设备对应的主机资源可分配容量,还包括:
若流量资源可分配容量小于等于主机资源可分配容量,则网关设备向目标主机设备发送数据分析请求;数据分析请求包括URL和访问请求流量的流量特征;
目标主机设备接收到数据分析请求后,执行以下方法:
根据访问请求流量的流量特征,确定访问请求流量对应的请求进程是否为可疑进程;
若访问请求流量对应的请求进程为可疑进程,则将其结束,并根据请求进程的进程行为生成风险载荷报告;风险载荷报告包括请求进程对应的风险载荷的名称及地址。
在本申请的一种示例性实施例中,根据访问请求流量的流量特征,确定访问请求流量对应的请求进程是否为可疑进程,包括:
获取URL包括的ID标识对应的历史风险载荷数量D1、URL包括的时间字段D2、URL包括的类型字段D3、请求进程的启动时间D4、请求进程的历史下载文件总数量D5、请求进程的历史下载风险载荷数量D6;
确定请求进程的安全风险值Y=A1+A2×(D2-D4)+A3+A4×(D6/D5);其中,A1为ID字段风险值;A2为下载时间权重;A3为类型字段风险值;A4为风险载荷下载权重;
若Y>Y0;则将请求进程确定为可疑进程;其中,Y0为预设安全风险阈值;
其中,A1通过以下方法确定:
若D1≤F1,则A1=q1;若F1<D1<F2,则A1=q2;若D1≥F2,则A1=q3;其中,q1<q2<q3;F1、F2为预设风险载荷发送阈值;
A2通过以下方法确定:
若(D2-D4)≤M1,则A2=1;若M1<(D2-D4)<M2,则A2=p;若(D2-D4)≥M2,则A2=0;其中,0<p<1;M1、M2为预设下载时间阈值;
A3通过以下方法确定:
若D3为预设风险类型,则A3=H;若D3不为预设风险类型,则A3=0;其中,H>1;
A4通过以下方法确定:
若(D6/D5)≤N1,则A4=0;若N1<(D6/D5)<N2,则A4=r1;若(D6/D5)≥N1,则A4=r2;其中,r1<r2;N1、N2为预设风险载荷下载比例阈值。
在本申请的一种示例性实施例中,目标主机设备在接收到流量检测设备发送的报警信息后,执行以下方法:
根据请求进程的进程行为,确定请求进程调用过的历史可执行文件;
将历史可执行文件确定为风险载荷;
根据若干个风险载荷,生成风险载荷报告,并结束请求进程。
根据本申请的一个方面,提供一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现前述的安全检测系统的执行方法。
根据本申请的一个方面,提供一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
本发明至少具有以下有益效果:
本发明涉及流量监测和网络信息安全技术领域,基于端点流量联动检测,通过提取云服务平台的流量特征,检测网关设备的端点流量是否存在可疑进程,并与云服务平台进行交互,通过检测发出流量的进程是否为云服务平台对应的终端程序进程,判断其是否为可疑进程,而后检测该进程是否包含打开、读取、执行下载文件的行为,检测当前系统中是否存在进程正在进行收集系统信息、收集浏览器信息、收集邮件信息、利用计算机外设收集音频和视频信息、屏幕截图、键盘记录、批量文件及后缀名修改等恶意行为,一定程度上阻止远控木马、勒索软件、窃密木马等多种类型的恶意代码破坏电脑文件,保障端点安全不受侵害,对相应进程进行行为监测,针对可疑攻击进行检测与防御,占用系统资源少,且全部流程采用自动化,无需人员参与,降低了使用要求,具有一定的通用性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的流量检测设备的执行方法的流程图;
图2为本发明实施例提供的安全检测系统的连接框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前利用合法云平台服务提供商(如百度云、有道云)投递恶意载荷进行恶意行为的攻击方法频繁发生,攻击者经常利用DDR技术,即利用合法服务托管C2载荷,这是由于Web服务提供商采用HTTPS加密信道,安全软件只能监测到访问相关域名而不能获取流量数据,故无法将恶意行为与正常使用的Web服务区分开,所以目前的安全检测软件无法直接对其进行封禁,同时借助云平台投递恶意载荷还可以保护后端C2基础设施不被恶意代码逆向分析发现,提高了存活能力,因此借助云平台投递恶意载荷可能会给恶意载荷的入侵提供掩护,安全软件也很难检测出异常,加大了安全产品的检测难度,所以就需提出一种可以对云平台服务提供商的进程进行行为监测,且对可疑攻击进行检测与防御的安全检测系统。
一种安全检测系统,如图2所示,包括网关设备,网关设备连接有流量检测设备和若干个主机设备,每一主机设备具有对应的主机标识。
网关设备为进行网络流量分配的设备,其连接的流量检测设备用于检测网关设备的端口流量,主机设备为发出请求流量的设备,网关设备通信连接有若干个云服务平台,云服务平台可以为百度云、有道云等服务提供商,主机设备的主机标识用于识别对应的主机设备,每一主机设备均可发送对云服务平台的访问请求流量,用来进行与云服务平台的交互通信。
如图1所示,流量检测设备用于执行以下方法:
步骤S100、接收网关设备发送的访问请求流量;访问请求流量由目标主机设备发送至网关设备;目标主机设备为任一主机设备;
目标主机设备为发送访问请求流量的主机设备,访问请求流量中包括对应的目标主机设备的主机标识、对应的云服务平台的地址。访问请求流量由目标主机设备中的进程发送至网关设备处,网关设备的流量端口处连接流量检测设备,传输至网关设备的访问请求流量由网关设备传输至流量检测设备,流量检测设备在接收到访问请求流量后,对访问请求流量进行检测,确定发出访问请求流量的进程是否为可疑进程。
步骤S200、根据访问请求流量,获取访问请求流量对应的URL;
由于访问请求流量为对应的进程发出,并由对应的服务平台接收的,所以,就需要查看访问请求流量中的访问信息是否安全,故通过对访问请求流量包含的URL(UniformResource Locator,统一资源定位器)进行检测来实现对访问请求流量的检测,URL即访问请求流量对应的访问网络地址,其中包含了对应的类型、时间、ID等信息,通过检测其对应的URL来检测访问请求流量是否为可疑访问流量。
进一步,步骤S200中,根据访问请求流量,获取访问请求流量对应的URL,包括:
步骤S210、若访问请求流量对应的传输协议为加密协议,则向目标主机设备发送密钥查询请求;
步骤S211、接收目标主机设备根据密钥查询请求发送的访问请求流量对应的流量密钥;
步骤S212、根据流量密钥,对访问请求流量进行解密,得到URL。
在接收到访问请求流量后,要查看访问请求流量的URL是否为加密数据,由于云服务平台通常会使用SSL/TLS加密,故无法通过访问请求流量直接获取其包含的URL,只会获取到访问请求流量对应的域名,无法获取通信的具体信息和从云服务平台获取的数据,如URL为https[:]//note.youdao.com/ynoteshare/index.html?id=XX&type=XX&_time=XX,由于其为https协议,所以其为加密的URL,若不对其进行解密,流量检测设备只会查看到对应的域名,即https[:]//note.youdao.com/,无法获知此域名具体的访问信息,也就无法对其进行安全检测,所以,为了能获取到加密的访问请求流量中的URL,就需要流量检测设备在接收到访问请求流量后,对其进行解密。
对访问请求流量进行解密由流量检测设备来执行,当流量检测设备接收到访问请求流量后,查看其是否为加密数据,若访问请求流量中的域名协议为http,则表示访问请求流量中的域名为明文,无需解密即可查看完整的URL中的数据信息,则直接进行步骤S300;若访问请求流量中的域名协议为https,则表示访问请求流量中的域名为密文,需要进行解密才能查看URL中的完整数据,则执行步骤S210,由流量检测设备通过网关设备,向目标主机设备发送密钥查询请求,密钥查询请求中包含访问请求流量对应的域名信息,目标主机设备在接收到密钥查询请求后,根据访问请求流量对应的域名信息,在其存储的密钥列表中,查找到与该域名信息对应的流量密钥,目标主机设备再将该流量密钥通过网关设备传输至流量检测设备,流量检测设备接收到流量密钥,通过流量密钥对访问请求流量进行解密,得到对应的URL。
进一步,步骤S200的又一实施例,根据访问请求流量,获取访问请求流量对应的URL,包括:
步骤S220、若访问请求流量对应的传输协议为加密协议,则在预设密钥列表中确定访问请求流量对应的流量密钥;预设密钥列表根据目标主机设备发送的流量密钥确定;
步骤S221、根据流量密钥,对访问请求流量进行解密,得到URL。
步骤S220和步骤S221为对访问请求流量进行解密的又一实施例,步骤S210为流量检测设备根据访问请求流量的域名向目标主机设备调取对应的流量密钥,而步骤S220为流量检测设备根据访问请求流量的域名在自存储的预设密钥列表中查找到对应的流量密钥,预设密钥列表是每个主机设备根据域名将对应的流量密钥发送至流量检测设备中,流量检测设备根据接收的域名和对应的流量密钥生成密钥列表,在流量检测设备接收到加密的访问请求流量后,在预设密钥列表中找到对应的流量密钥,并对访问请求流量进行解密,得到对应的URL。
步骤S300、根据URL,确定URL是否符合预设类型条件;若URL符合预设类型条件,则表示目标主机设备通过访问请求流量从URL对应的存储地址下载目标文件;
得到URL后,需要对其进行检测,来验证其是否为云服务平台对应的下载请求,预设类型条件为云服务平台对应的下载请求的类型,由于攻击者会通过目标主机设备自动发送下载请求,来在目标主机设备中下载对应的目标文件,目标文件即通过符合预设类型条件的URL下载的文件,所以,就需要检测URL是否为文件下载请求。
进一步,步骤S300中,根据URL,确定URL是否符合预设类型条件,包括:
步骤S310、若URL包括预设服务域名和预设请求字段,则确定URL符合预设类型条件。
预设服务域名为对应的云服务平台对应的域名,如https[:]//note.youdao.com,预设请求字段为对应的表示文件下载的字段,如/ynoteshare/,如果URL中包括了对应的预设服务域名和预设请求字段,则表示URL为对应的云服务平台的下载请求,则确定URL符合预设类型条件。
步骤S400、若URL符合预设类型条件,则获取流量检测设备对应的流量资源可分配容量和目标主机设备对应的主机资源可分配容量;
在确定了URL符合预设类型条件后,即访问请求流量对应的请求为云服务平台的下载请求,则要对URL进行进一步安全检测,对URL进行安全检测通过流量检测设备或目标主机设备执行,具体执行的设备视当前的资源可分配容量而定,所以,要获取流量检测设备对应的流量资源可分配容量和目标主机设备对应的主机资源可分配容量,将资源可分配容量更大的设备确定为进行URL安全检测的设备。
进一步,步骤S400中,获取流量检测设备对应的流量资源可分配容量和目标主机设备对应的主机资源可分配容量,包括:
步骤S410、获取流量检测设备在预设第一时间段T1=[t11,t12]内的每单位时间所占用资源量;
步骤S420、根据每单位时间所占用资源量,确定流量检测设备在预设第二时间段T2=[t21,t22]内所占用的资源量L3;其中,t22>t21≥t12>t11;
步骤S430、流量资源可分配容量Q1=L1-L2-L3;其中,L1为流量检测设备的流量资源总容量,L2为流量检测设备的当前流量资源已分配量;
步骤S440、主机资源可分配容量Q2=Z1-Z2;其中,Z1为目标主机设备的主机资源总容量,Z2为目标主机设备的当前主机资源已分配量;
流量资源可分配容量为流量检测设备的流量资源总容量与当前流量资源已分配量和预测占用资源量之间的差值,L3即为预测占用资源量,先获取在T1时间段内的每单位时间的占用资源量,T1时间段即历史时间段,通过对历史时间段的占用资源量进行统计,得到预测时间段,即T2时间段内,流量检测设备所要占用的资源量,T2时间段为未来时间段,如将来一小时;主机资源可分配容量为主机资源总容量与当前主机资源已分配量的差值。
步骤S450、若流量资源可分配容量小于等于主机资源可分配容量,则网关设备向目标主机设备发送数据分析请求;数据分析请求包括URL和访问请求流量的流量特征;
在确定了流量资源可分配容量和主机资源可分配容量后,由于对URL进行检测需要占用资源空间,所以,将资源可分配容量大的设备确定为进行URL安全检测的设备。
目标主机设备接收到数据分析请求后,执行以下方法:
步骤S451、根据访问请求流量的流量特征,确定访问请求流量对应的请求进程是否为可疑进程;
步骤S452、若访问请求流量对应的请求进程为可疑进程,则将其结束,并根据请求进程的进程行为生成风险载荷报告;风险载荷报告包括请求进程对应的风险载荷的名称及地址。
将目标主机设备确定为安全检测设备后,目标主机设备对访问请求流量进行安全检测,通过流量特征来确定访问请求流量对应的请求进程是否为可疑进程,请求进程为发送访问请求流量的进程。
步骤S500、若流量资源可分配容量大于主机资源可分配容量,则根据访问请求流量的流量特征,确定访问请求流量对应的请求进程是否为可疑进程;
进一步,步骤S500中,根据访问请求流量的流量特征,确定访问请求流量对应的请求进程是否为可疑进程,包括:
步骤S510、获取URL包括的ID标识对应的历史风险载荷数量D1、URL包括的时间字段D2、URL包括的类型字段D3、请求进程的启动时间D4、请求进程的历史下载文件总数量D5、请求进程的历史下载风险载荷数量D6;
步骤S520、确定请求进程的安全风险值Y=A1+A2×(D2-D4)+A3+A4×(D6/D5);其中,A1为ID字段风险值;A2为下载时间权重;A3为类型字段风险值;A4为风险载荷下载权重;
步骤S530、若Y>Y0;则将请求进程确定为可疑进程;其中,Y0为预设安全风险阈值;
访问请求流量的流量特征包括ID标识、时间字段、类型字段、请求进程的信息等,以https[:]//note.youdao.com/ynoteshare/index.html?id=XX&type=XX&_time=XX为例,id=XX为ID标识,表示发出该访问请求流量的用户标识,type=XX为类型字段,表示该访问请求流量对应的类型,time=XX为时间字段,表示访问请求流量对应的时间,若URL对应的请求为下载请求,则其对应的时间字段表示文件的下载时间,请求进程的信息包括启动时间、历史下载文件总数量、历史下载风险载荷数量等,历史下载文件总数量表示该请求进程下载过的文件的数量,历史下载风险载荷数量表示该请求进程下载过的风险载荷的数量,风险载荷为风险文件、风险代码、可疑文件,在获得了访问请求流量和请求进程的相关数据后,根据相关数据确定对应的权重,根据各个权重,得到请求进程的安全风险值,安全风险值表示请求进程的安全风险,安全风险值越大,表示该请求进程的安全风险越高,当其大于预设安全风险阈值时,则表示对应的请求进程为可疑进程。
其中,A1通过以下方法确定:
若D1≤F1,则A1=q1;若F1<D1<F2,则A1=q2;若D1≥F2,则A1=q3;其中,q1<q2<q3;F1、F2为预设风险载荷发送阈值;
A2通过以下方法确定:
若(D2-D4)≤M1,则A2=1;若M1<(D2-D4)<M2,则A2=p;若(D2-D4)≥M2,则A2=0;其中,0<p<1;M1、M2为预设下载时间阈值;
A3通过以下方法确定:
若D3为预设风险类型,则A3=H;若D3不为预设风险类型,则A3=0;其中,H>1;
A4通过以下方法确定:
若(D6/D5)≤N1,则A4=0;若N1<(D6/D5)<N2,则A4=r1;若(D6/D5)≥N1,则A4=r2;其中,r1<r2;N1、N2为预设风险载荷下载比例阈值。
通过访问请求流量的同一流量特征数据的不同数值,确定其对应的权重,使其得到的权重数值呈线性变化,且通过不同流量特征数据的不同权重,可以表示该请求进程的风险程度。
步骤S600、若访问请求流量对应的请求进程为可疑进程,则向目标主机设备发送报警信息。
目标主机设备在接收到流量检测设备发送的报警信息后,执行以下方法:
步骤S610、根据请求进程的进程行为,确定请求进程调用过的历史可执行文件;
步骤S620、将历史可执行文件确定为风险载荷;
步骤S630、根据若干个风险载荷,生成风险载荷报告,并结束请求进程。
若请求进程为可疑进程,则获取可疑进程在目标主机设备上的进程行为,通过进程行为确定请求进程调用过的历史可执行文件,进程行为包括对历史可执行文件的修改、调用、删除、接收、发送等,再将若干个历史可执行文件进行统计,根据其存储地址、名称、修改时间等信息生成风险载荷报告,并保存在用户指定的文件夹下,用户可以根据该风险载荷报告获取风险载荷的文件名、所在路径、恶意行为等信息,及时删除保存在本地的风险载荷,避免可能造成的其他风险,进一步保障流量端点的安全。
本发明涉及流量监测和网络信息安全技术领域,基于端点流量联动检测,通过提取云服务平台的流量特征,检测网关设备的端点流量是否存在可疑进程,并与云服务平台进行交互,通过检测发出流量的进程是否为云服务平台对应的终端程序进程,判断其是否为可疑进程,而后检测该进程是否包含打开、读取、执行下载文件的行为,检测当前系统中是否存在进程正在进行收集系统信息、收集浏览器信息、收集邮件信息、利用计算机外设收集音频和视频信息、屏幕截图、键盘记录、批量文件及后缀名修改等恶意行为,一定程度上阻止远控木马、勒索软件、窃密木马等多种类型的恶意代码破坏电脑文件,保障端点安全不受侵害,对相应进程进行行为监测,针对可疑攻击进行检测与防御,占用系统资源少,且全部流程采用自动化,无需人员参与,降低了使用要求,具有一定的通用性。
本发明的实施例还提供一种计算机程序产品,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种安全检测系统,其特征在于,包括网关设备,所述网关设备连接有流量检测设备和若干个主机设备,每一所述主机设备具有对应的主机标识;
所述流量检测设备用于执行以下方法:
接收所述网关设备发送的访问请求流量;所述访问请求流量由目标主机设备发送至所述网关设备;所述目标主机设备为任一所述主机设备;
根据所述访问请求流量,获取所述访问请求流量对应的URL;
根据所述URL,确定所述URL是否符合预设类型条件;
若所述URL符合所述预设类型条件,则获取所述流量检测设备对应的流量资源可分配容量和所述目标主机设备对应的主机资源可分配容量;
若所述流量资源可分配容量大于所述主机资源可分配容量,则根据所述访问请求流量的流量特征,确定所述访问请求流量对应的请求进程是否为可疑进程;
若所述访问请求流量对应的请求进程为可疑进程,则向所述目标主机设备发送报警信息;
其中,所述获取所述流量检测设备对应的流量资源可分配容量和所述目标主机设备对应的主机资源可分配容量,包括:
获取所述流量检测设备在预设第一时间段T1=[t11,t12]内的每单位时间所占用资源量;
根据所述每单位时间所占用资源量,确定所述流量检测设备在预设第二时间段T2=[t21,t22]内所占用的资源量L3;其中,t22>t21≥t12>t11;
所述流量资源可分配容量Q1=L1-L2-L3;其中,L1为所述流量检测设备的流量资源总容量,L2为所述流量检测设备的当前流量资源已分配量;
所述主机资源可分配容量Q2=Z1-Z2;其中,Z1为所述目标主机设备的主机资源总容量,Z2为所述目标主机设备的当前主机资源已分配量;
其中,所述根据所述访问请求流量的流量特征,确定所述访问请求流量对应的请求进程是否为可疑进程,包括:
获取所述URL包括的ID标识对应的历史风险载荷数量D1、所述URL包括的时间字段D2、所述URL包括的类型字段D3、所述请求进程的启动时间D4、所述请求进程的历史下载文件总数量D5、所述请求进程的历史下载风险载荷数量D6;
确定所述请求进程的安全风险值Y=A1+A2*(D2-D4)+A3+A4*(D6/D5);其中,A1为ID字段风险值;A2为下载时间权重;A3为类型字段风险值;A4为风险载荷下载权重;
若Y>Y0;则将所述请求进程确定为可疑进程;其中,Y0为预设安全风险阈值;
其中,A1通过以下方法确定:
若D1≤F1,则A1=q1;若F1<D1<F2,则A1=q2;若D1≥F2,则A1=q3;其中,q1<q2<q3;F1、F2为预设风险载荷发送阈值;
A2通过以下方法确定:
若(D2-D4)≤M1,则A2=1;若M1<(D2-D4)<M2,则A2=p;若(D2-D4)≥M2,则A2=0;其中,0<p<1;M1、M2为预设下载时间阈值;
A3通过以下方法确定:
若D3为预设风险类型,则A3=H;若D3不为预设风险类型,则A3=0;其中,H>1;
A4通过以下方法确定:
若(D6/D5)≤N1,则A4=0;若N1<(D6/D5)<N2,则A4=r1;若(D6/D5)≥N1,则A4=r2;其中,r1<r2;N1、N2为预设风险载荷下载比例阈值。
2.根据权利要求1所述的安全检测系统,其特征在于,所述根据所述访问请求流量,获取所述访问请求流量对应的URL,包括:
若所述访问请求流量对应的传输协议为加密协议,则向所述目标主机设备发送密钥查询请求;
接收所述目标主机设备根据所述密钥查询请求发送的所述访问请求流量对应的流量密钥;
根据所述流量密钥,对所述访问请求流量进行解密,得到所述URL。
3.根据权利要求1所述的安全检测系统,其特征在于,所述根据所述访问请求流量,获取所述访问请求流量对应的URL,包括:
若所述访问请求流量对应的传输协议为加密协议,则在预设密钥列表中确定所述访问请求流量对应的流量密钥;所述预设密钥列表根据所述目标主机设备发送的流量密钥确定;
根据所述流量密钥,对所述访问请求流量进行解密,得到所述URL。
4.根据权利要求1所述的安全检测系统,其特征在于,所述根据所述URL,确定所述URL是否符合预设类型条件,包括:
若所述URL包括预设服务域名和预设请求字段,则确定所述URL符合预设类型条件。
5.根据权利要求1所述的安全检测系统,其特征在于,所述获取所述流量检测设备对应的流量资源可分配容量和所述目标主机设备对应的主机资源可分配容量,还包括:
若所述流量资源可分配容量小于等于所述主机资源可分配容量,则所述网关设备向所述目标主机设备发送数据分析请求;所述数据分析请求包括所述URL和所述访问请求流量的流量特征;
所述目标主机设备接收到所述数据分析请求后,执行以下方法:
根据所述访问请求流量的流量特征,确定所述访问请求流量对应的请求进程是否为可疑进程;
若所述访问请求流量对应的请求进程为可疑进程,则将其结束,并根据所述请求进程的进程行为生成风险载荷报告;所述风险载荷报告包括所述请求进程对应的风险载荷的名称及地址。
6.根据权利要求1所述的安全检测系统,其特征在于,所述目标主机设备在接收到所述流量检测设备发送的报警信息后,执行以下方法:
根据所述请求进程的进程行为,确定所述请求进程调用过的历史可执行文件;
将所述历史可执行文件确定为风险载荷;
根据若干个所述风险载荷,生成风险载荷报告,并结束所述请求进程。
7.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-6中任意一项所述的安全检测系统的执行方法。
8.一种电子设备,其特征在于,包括处理器和权利要求7中所述的非瞬时性计算机可读存储介质。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310782317.4A CN116566739B (zh) | 2023-06-29 | 2023-06-29 | 一种安全检测系统、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310782317.4A CN116566739B (zh) | 2023-06-29 | 2023-06-29 | 一种安全检测系统、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116566739A CN116566739A (zh) | 2023-08-08 |
CN116566739B true CN116566739B (zh) | 2023-09-15 |
Family
ID=87486391
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310782317.4A Active CN116566739B (zh) | 2023-06-29 | 2023-06-29 | 一种安全检测系统、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116566739B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117201195B (zh) * | 2023-11-06 | 2024-01-26 | 联通(广东)产业互联网有限公司 | 进程网络策略限制方法及装置、设备、存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045360A (zh) * | 2010-12-27 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 恶意网址库的处理方法及装置 |
US8800040B1 (en) * | 2008-12-31 | 2014-08-05 | Symantec Corporation | Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants |
CN105391674A (zh) * | 2014-09-04 | 2016-03-09 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及系统、服务器、客户端 |
US10791138B1 (en) * | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8726376B2 (en) * | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
US9992217B2 (en) * | 2015-12-31 | 2018-06-05 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting malicious network traffic |
US11671448B2 (en) * | 2019-12-27 | 2023-06-06 | Paypal, Inc. | Phishing detection using uniform resource locators |
-
2023
- 2023-06-29 CN CN202310782317.4A patent/CN116566739B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8800040B1 (en) * | 2008-12-31 | 2014-08-05 | Symantec Corporation | Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants |
CN102045360A (zh) * | 2010-12-27 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 恶意网址库的处理方法及装置 |
CN105391674A (zh) * | 2014-09-04 | 2016-03-09 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及系统、服务器、客户端 |
US10791138B1 (en) * | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116566739A (zh) | 2023-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10235524B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
CN107211016B (zh) | 会话安全划分和应用程序剖析器 | |
US9100432B2 (en) | Cloud-based distributed denial of service mitigation | |
WO2019133453A1 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
WO2019133451A1 (en) | Platform and method for enhanced-cyber-attack detection and response employing a global data store | |
US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
CN111783096B (zh) | 检测安全漏洞的方法和装置 | |
CN111163095B (zh) | 网络攻击分析方法、网络攻击分析装置、计算设备和介质 | |
US11394746B2 (en) | DNS prefetching based on triggers for increased security | |
CN116566739B (zh) | 一种安全检测系统、电子设备及存储介质 | |
CN112926048B (zh) | 一种异常信息检测方法和装置 | |
CN110324416B (zh) | 下载路径跟踪方法、装置、服务器、终端及介质 | |
RU2738337C1 (ru) | Система и способ обнаружения интеллектуальных ботов и защиты от них | |
CN111212031A (zh) | 一种接口访问频率的控制方法、装置、电子设备和存储介质 | |
CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
KR101917996B1 (ko) | 악성 스크립트 탐지 방법 및 장치 | |
CN110808997B (zh) | 对服务器远程取证的方法、装置、电子设备、及存储介质 | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
US8266704B1 (en) | Method and apparatus for securing sensitive data from misappropriation by malicious software | |
WO2017036042A1 (zh) | 信息采集方法和装置 | |
CN113839948B (zh) | 一种dns隧道流量检测方法、装置、电子设备和存储介质 | |
CN109714371B (zh) | 一种工控网络安全检测系统 | |
WO2014181476A1 (ja) | データ変換方法及び装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |