CN116668051A - 攻击行为的告警信息处理方法、装置、程序、电子及介质 - Google Patents
攻击行为的告警信息处理方法、装置、程序、电子及介质 Download PDFInfo
- Publication number
- CN116668051A CN116668051A CN202210163052.5A CN202210163052A CN116668051A CN 116668051 A CN116668051 A CN 116668051A CN 202210163052 A CN202210163052 A CN 202210163052A CN 116668051 A CN116668051 A CN 116668051A
- Authority
- CN
- China
- Prior art keywords
- information
- attack
- attack behavior
- target system
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 116
- 238000003672 processing method Methods 0.000 title claims abstract description 30
- 238000012545 processing Methods 0.000 claims abstract description 92
- 238000000034 method Methods 0.000 claims abstract description 70
- 238000001914 filtration Methods 0.000 claims abstract description 38
- 238000003860 storage Methods 0.000 claims abstract description 13
- 238000004590 computer program Methods 0.000 claims abstract description 9
- 230000006399 behavior Effects 0.000 claims description 306
- 230000008569 process Effects 0.000 claims description 31
- 230000000903 blocking effect Effects 0.000 claims description 27
- 230000007123 defense Effects 0.000 claims description 23
- 238000012544 monitoring process Methods 0.000 claims description 14
- 230000001960 triggered effect Effects 0.000 claims description 14
- 230000008520 organization Effects 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 8
- 230000014509 gene expression Effects 0.000 claims description 8
- 238000004140 cleaning Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 6
- 238000005336 cracking Methods 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 24
- 230000006870 function Effects 0.000 description 18
- 238000004458 analytical method Methods 0.000 description 12
- 238000013473 artificial intelligence Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 238000013528 artificial neural network Methods 0.000 description 5
- 235000012907 honey Nutrition 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 239000002131 composite material Substances 0.000 description 3
- 238000013527 convolutional neural network Methods 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 235000019800 disodium phosphate Nutrition 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000004549 pulsed laser deposition Methods 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 101000995928 Mus musculus Nucleolar protein 58 Proteins 0.000 description 1
- 102100039692 RNA-binding motif, single-stranded-interacting protein 1 Human genes 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 238000004659 sterilization and disinfection Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供了一种攻击行为的告警信息处理方法,相关实施例可应用于云技术、云安全、智慧交通等各种场景。方法包括:对第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息;对第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息;对第三攻击行为告警信息的进行模式匹配处理,由此,能够实现通过即时通讯客户端,利用模式匹配结果触发目标系统防御策略,并通过所触发的防御策略对攻击行为进行及时处理,本发明还提供了装置计算机程序产品、电子设备及存储介质,不但可以提高对攻击行为的告警信息处理的效率,同时可能够提升对攻击行为处理的准确性,保证目标系统的安全运行。
Description
技术领域
本发明涉及攻击行为的告警信息处理技术,尤其涉及攻击行为的告警信息处理方法、计算机程序产品、装置、电子设备及存储介质。
背景技术
相关技术中攻击行为检测方法通常采用静态分析和动态分析,随着互联网技术的不断发展,软件开发者对软件不断地进行更新迭代,应用市场以及其他不同渠道中会不断地出现大量属于不同类别的攻击行为家族,传统的攻击行为的告警信息处理方法仅仅是通过人工登录设备对攻击行为进行处理,这种处理方式的效率低,同时容易产生对攻击行为处理的遗漏,不利于及时地对目标系统进行检测,并触发的防御策略对攻击行为进行处理,无法保证目标系统的运行安全。
发明内容
有鉴于此,本发明实施例提供一种攻击行为的告警信息处理方法、计算机程序产品、装置、计算机程序产品、电子设备及存储介质,能够实现通过即时通讯客户端,利用模式匹配结果触发目标系统防御策略,并通过所触发的防御策略对攻击行为进行及时处理,由此,不但可以提高对攻击行为的告警信息处理的效率,使得使用云托管的对象获得更好的使用体验,同时可能够提升对攻击行为处理的准确性,保证目标系统的安全运行。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种攻击行为的告警信息处理方法,包括:
获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息;
根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息;
对所述第三攻击行为告警信息的IP归属地信息进行查询,得到IP归属地信息;
基于所述IP归属地信息,对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果;
利用所述威胁信息的标记结果,对所述第三攻击行为告警信息进行模式匹配处理,得到所述第三攻击行为告警信息的模式匹配结果;
通过即时通讯客户端,利用所述模式匹配结果触发所述目标系统防御策略,通过所触发的防御策略对所述攻击行为进行处理。
本发明实施例还提供了一种攻击行为的告警信息处理装置,包括:
信息传输模块,用于获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息;
信息处理模块,用于根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息;
所述信息处理模块,用于对所述第三攻击行为告警信息的IP归属地信息进行查询,得到IP归属地信息;
所述信息处理模块,用于基于所述IP归属地信息,对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果;
所述信息处理模块,用于利用所述威胁信息的标记结果,对所述第三攻击行为告警信息进行模式匹配处理,得到所述第三攻击行为告警信息的模式匹配结果;
所述信息处理模块,用于通过即时通讯客户端,利用所述模式匹配结果触发所述目标系统防御策略,通过所触发的防御策略对所述攻击行为进行处理。
上述方案中,
所述信息处理模块,用于通过多线程轮询方式获取所述目标系统的第一攻击行为告警信息,其中,所述第一攻击行为告警信息包括至少以下之一:
蜜罐告警信息、网络层攻击告警信息、WEB攻击告警信息、DDOS攻击告警信息、暴力破解事件告警信息和异地登录事件告警信息;
所述信息处理模块,用于计算所述第一攻击行为告警信息中每一条攻击行为告警信息对应的哈希值;
所述信息处理模块,用于基于所述每一条攻击行为告警信息对应的哈希值组成告警消息哈希表;
所述信息处理模块,用于基于所述告警消息哈希表对所述目标系统获取的每一条告警信息进行去重处理与合并处理,得到第二攻击行为告警信息。
上述方案中,
所述信息处理模块,用于根据所述目标系统的安全配置,到达时间间隔阈值对所述告警消息哈希表进行清空;或者
所述信息处理模块,用于根据所述目标系统的标识,查询所述目标系统对应的云托管信息;
所述信息处理模块,用于根据所述云托管信息,确定与目标系统相匹配的主机数量,根据所述主机数量对所述告警消息哈希表进行清空。
上述方案中,
所述信息处理模块,用于获取所述目标系统的安全配置中的过滤事件,其中,所述过滤事件包括至少以下之一:
攻击来源IP、攻击目标IP、攻击来源端口、攻击目标端口、攻击类型和攻击行为详情;
所述信息处理模块,用于根据所述过滤事件,确定与所述过滤事件对应的正则表达式;
所述信息处理模块,用于通过所述正则表达式,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息。
上述方案中,
所述信息处理模块,用于通过离线查询进程,对所述第三攻击行为告警信息的IP归属地信息进行查询,得到所述第三攻击行为告警信息的第一IP归属地信息;
所述信息处理模块,用于当所述离线查询进程未查询到所述第三攻击行为告警信息的IP归属地信息时,触发在线查询进程;
所述信息处理模块,用于通过所述离线查询进程,对所述第三攻击行为告警信息的IP归属地信息进行查询,得到所述第三攻击行为告警信息的第二IP归属地信息;
所述信息处理模块,用于对所述第一IP归属地信息和所述第二IP归属地信息进行合并,得到IP归属地信息。
上述方案中,
所述信息处理模块,用于基于所述IP归属地信息,查询所述IP归属地信息对应的攻击历史信息;
所述信息处理模块,用于在所述攻击历史信息中查询所述IP归属地信息对应的攻击类型与攻击行为说明信息;
所述信息处理模块,用于通过所述攻击类型与攻击行为说明信息对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果。
上述方案中,
所述信息处理模块,用于通过所述即时通讯客户端接收封禁操作指令,其中,所述封禁操作指令包括至少以下之一:
网络层封禁、主机层封禁以及应用层封禁;
所述信息处理模块,用于基于所述封禁操作指令,对所述攻击行为进行处理;或者
所述信息处理模块,用于通过所述即时通讯客户端接收监测信息,基于所述监测信息确定所述攻击行为对应的引流位置;
所述信息处理模块,用于根据所述攻击行为对应的引流位置,将所述攻击行为进行引流处理,以实现通过所述引流位置的资源对所述攻击行为进行高防清洗。
上述方案中,
所述信息处理模块,用于当不同类型的目标系统获取对应的攻击行为时,基于所述攻击行为,捕获所述攻击行为的访问服务的记录;
所述信息处理模块,用于基于所述攻击行为的访问服务的记录,获取并解析攻击行为所携带的网络数据包;
所述信息处理模块,用于基于所述网络数据包,确定并监测所述攻击行为入侵目标系统后的目标系统连接行为。
上述方案中,
所述信息处理模块,用于根据所述目标系统的使用环境,确定对应的固件配置信息;
所述信息处理模块,用于根据固件配置信息,从云托管服务进程的云服务器中获取相匹配的目标系统镜像,其中,目标系统镜像支持不同组织架构的目标系统结构;
所述信息处理模块,用于在目标系统中创建容器,并通过所述容器创建支持不同组织架构的目标系统,以实现通过所部署的目标系统捕获对所述目标系统的攻击行为。
本发明实施例还提供了一种电子设备,所述电子设备包括:
存储器,用于存储可执行指令;
处理器,用于运行所述存储器存储的可执行指令时,实现前序的攻击行为的告警信息处理方法,或者实现前序述的攻击行为的告警信息处理方法。
本发明实施例还提供了一种计算机可读存储介质,存储有可执行指令,所述可执行指令被处理器执行时实现前序的攻击行为的告警信息处理方法,或者实现前序的攻击行为的告警信息处理方法。
本发明实施例具有以下有益效果:
本发明实施例通过获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息;根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息;对所述第三攻击行为告警信息的IP归属地信息进行查询,得到IP归属地信息;基于所述IP归属地信息,对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果;利用所述威胁信息的标记结果,对所述第三攻击行为告警信息进行模式匹配处理,得到所述第三攻击行为告警信息的模式匹配结果;由此,能够实现通过即时通讯客户端,利用模式匹配结果触发目标系统防御策略,并通过所触发的防御策略对攻击行为进行及时处理,由此,不但可以提高对攻击行为的告警信息处理的效率,使得使用云托管的对象获得更好的使用体验,同时可能够提升对攻击行为处理的准确性,保证目标系统的安全运行。
附图说明
图1是本发明实施例提供的攻击行为的告警信息处理方法的使用环境示意图;
图2为本发明实施例提供的攻击行为的告警信息处理装置的组成结构示意图;
图3为本发明实施例提供的攻击行为的告警信息处理方法一个可选的流程示意图;
图4为本发明实施例提供的攻击行为的告警信息处理方法一个可选的流程示意图;
图5为本申请所提供的攻击行为的告警信息处理方法的前端显示示意图;
图6为本发明实施例提供的攻击行为的告警信息处理方法一个可选的流程示意图;
图7是本申请实施例提供的一种数据存储示意图;
图8是本申请实施例提供的一种行为日志存储示意图;
图9为本发明实施例提供的攻击行为的告警信息处理方法一个可选的流程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
对本发明实施例进行进一步详细说明之前,对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。
1)响应于,用于表示所执行的操作所依赖的条件或者状态,当满足所依赖的条件或状态时,所执行的一个或多个操作可以是实时的,也可以具有设定的延迟;在没有特别说明的情况下,所执行的多个操作不存在执行先后顺序的限制。
2)终端,包括但不限于:普通终端、专用云服务器,其中所述普通终端与发送通道保持长连接和/或短连接,所述专用云服务器与所述发送通道保持长连接。
3)客户端,终端中实现特定功能的载体,例如移动客户端(APP)是移动终端中特定功能的载体,例如执行支付消费功能或者是购买理财产品的功能。
4)Web应用防火墙(WAF,Web Application Firewall):也称网站应用级入侵防御系统,其通过检测超文本传输协议(HTTP,Hyper Text Transfer Protocol)或超文本传输安全协议(HTTPS,Hyper Text Transfer Protocol over SecureSocket Layer) 报文中的特征,来对恶意的攻击请求进行阻断。
5)API:全称Application Programming Interface,可翻译成应用程序接口,是一些预先定义的函数,或指软件系统不同组成部分衔接的约定。目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问原码,或理解内部工作机制的细节。
6)DDoS(Denial of Service)攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问,即分布式拒绝服务,是指攻击者控制僵尸网络中的大量僵尸主机向攻击目标发送大流量数据,耗尽攻击目标的系统资源,导致其无法响应正常的服务请求。
7)MSS:Managed Security Service,也称为安全托管服务,或托管安全服务,通常指用户为降低安全监测分析和运营投入,将企业安全运营中较繁重的工作托管给专业的第三方厂商进行,从而专注于自身业务发展,实现降本增效。
8)MSSP:Managed Security Service Provider,安全托管服务商,指开展安全托管服务的运营商或服务厂商。
9)SOAR:Security Orchestration,Automation and Response,安全编排和自动化响应,通过SOAR技术可以收集安全运营所关注的输入,例如源自SIEM和其他安全技术的告警信息。并且通过SOAR技术技术可进行事件分析与分类,综合运用人类分析师和计算机的处理能力来帮助定义、排序和驱动按标准工作流程执行的安全事件响应活动,通过使用SOAR工具来数字化的定义事件分析与响应工作流程可以加快事件响应,减少事件处置响应时间。
10)云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力; 3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。本申请实施例中基于云计算平台为用户提供云安全托管服务。
图1为本发明实施例提供的攻击行为的告警信息处理方法的使用场景示意图,参见图1,服务集群(包括服务器10-1和服务器10-2)上设置有能够执行不同功能相应客户端其中,所属客户端为终端(包括服务器10-1和服务器10-2) 通过网络300从相应的服务器200中获取不同的相应信息进行浏览,终端通过网络300连接服务器200,网络300可以是广域网或者局域网,又或者是二者的组合,使用无线链路实现数据传输,其中,终端与网络进行信息交互的过程中,有可能遭受攻击行为的攻击,因此,可以部署云托管引擎例如:网站应用级入侵防御系统(WAF Web Application Firewall),来实现对攻击行为的处理。
作为一个示例,服务器200用于布设云托管引擎,在部署云托管引擎之前,需要对标准任务信息进行准确高效地收集,相关技术中,以待处理任务为攻击行为为例,攻击行为的分类一般有静态分析和动态分析。静态分析是在没有运行恶意代码时对其进行分析的技术,这种类型的方法一般通过解压缩然后反编译APK,这种方法相对动态分析的速度要更快。传统的攻击行为的告警信息处理方法仅仅是通过人工登录设备对攻击行为进行处理,对攻击行为的及时处理就可以保证目标系统的运行安全,保证用户的云托管产品的使用体验。
具体来说,本申请所提供的攻击行为的告警信息处理方法可以通过云服务器网络的云托管产品实现,例如面向所有用户推出的抗DDoS攻击的付费软件程序,支持任意源站位置执行本申请所提供的攻击行为的告警信息处理方法,所适配的使用环境的交换带宽可以达到900Gbps,即提供900Gbps的BGP线路防护功能,能轻松有效应对DDoS攻击、CC(Challenge Collapsar)攻击,确保业务稳定正常。当网站处于云服务器网络中时,可以使用本申请所提供的攻击行为的告警信息处理方法,实现对游戏、互联网及金融等业务遭受大流量DDoS 攻击时,触发目标系统防御策略,并通过触发的防御策略对所击事件进行处理,保护对游戏、互联网及金融等业务的正常运行。其中,用户通过配置高防IP,将攻击流量引流到高防IP进行清洗,确保源站业务的稳定可用,边界网关协议 BGP(Border GatewayProtocol)的高防IP可以使用公网代理的接入方式,同时支持TCP,UDP,HTTP,HTTPS和HTTP2等协议,以通过本申请所提供的攻击行为的告警信息处理方法覆盖金融、电商、游戏等各类业务使用场景。
下面对本发明实施例的攻击行为的告警信息处理装置的结构做详细说明,攻击行为的告警信息处理装置可以各种形式来实施,如带有攻击行为的告警信息处理装置处理功能的专用云服务器,也可以为设置有攻击行为的告警信息处理装置处理功能的服务器或者服务器群组,例如部署于目标系统中的web防火墙系统,例如前序图1中的服务器200。图2为本发明实施例提供的攻击行为的告警信息处理装置的组成结构示意图,可以理解,图2仅仅示出了攻击行为的告警信息处理装置的示例性结构而非全部结构,根据需要可以实施图2示出的部分结构或全部结构。
本发明实施例提供的攻击行为的告警信息处理装置包括:至少一个处理器 201、存储器202、用户接口203和至少一个网络接口204。攻击行为的告警信息处理装置中的各个组件通过总线系统205耦合在一起。可以理解,总线系统 205用于实现这些组件之间的连接通信。总线系统205除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图2中将各种总线都标为总线系统205。
其中,用户接口203可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
可以理解,存储器202可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。本发明实施例中的存储器202能够存储数据以支持终端(如10-1)的操作。这些数据的示例包括:用于在终端(如10-1)上操作的任何计算机程序,如操作系统和应用程序。其中,操作系统包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序可以包含各种应用程序。
在一些实施例中,本发明实施例提供的攻击行为的告警信息处理装置可以采用软硬件结合的方式实现,作为示例,本发明实施例提供的攻击行为的告警信息处理装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本发明实施例提供的攻击行为的告警信息处理方法。例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable LogicDevice)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)或其他电子元件。
作为本发明实施例提供的攻击行为的告警信息处理装置采用软硬件结合实施的示例,本发明实施例所提供的攻击行为的告警信息处理装置可以直接体现为由处理器201执行的软件模块组合,软件模块可以位于存储介质中,存储介质位于存储器202,处理器201读取存储器202中软件模块包括的可执行指令,结合必要的硬件(例如,包括处理器201以及连接到总线205的其他组件)完成本发明实施例提供的攻击行为的告警信息处理方法。
作为示例,处理器201可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
作为本发明实施例提供的攻击行为的告警信息处理装置采用硬件实施的示例,本发明实施例所提供的装置可以直接采用硬件译码处理器形式的处理器201 来执行完成,例如,被一个或多个应用专用集成电路(ASIC,Application Specific IntegratedCircuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)或其他电子元件执行实现本发明实施例提供的攻击行为的告警信息处理方法。
本发明实施例中的存储器202用于存储各种类型的数据以支持攻击行为的告警信息处理装置的操作。这些数据的示例包括:用于在攻击行为的告警信息处理装置上操作的任何可执行指令,如可执行指令,实现本发明实施例的从攻击行为的告警信息处理方法的程序可以包含在可执行指令中。
在另一些实施例中,本发明实施例提供的攻击行为的告警信息处理装置可以采用软件方式实现,图2示出了存储在存储器202中的攻击行为的告警信息处理装置,其可以是程序和插件等形式的软件,并包括一系列的模块,作为存储器202中存储的程序的示例,可以包括攻击行为的告警信息处理装置,攻击行为的告警信息处理装置中包括以下的软件模块信息传输模块2081和信息处理模块2082。当攻击行为的告警信息处理装置中的软件模块被处理器201读取到 RAM中并执行时,将实现本发明实施例提供的攻击行为的告警信息处理方法,其中,攻击行为的告警信息处理装置中各个软件模块的功能,包括:
信息传输模块2081,用于获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息;
信息处理模块2082,用于根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息。
所述信息处理模块2082,用于对所述第三攻击行为告警信息的IP归属地信息进行查询,得到IP归属地信息。
所述信息处理模块2082,用于基于所述IP归属地信息,对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果。
所述信息处理模块2082,用于利用所述威胁信息的标记结果,对所述第三攻击行为告警信息进行模式匹配处理,得到所述第三攻击行为告警信息的模式匹配结果。
所述信息处理模块2082,用于通过即时通讯客户端,利用所述模式匹配结果触发所述目标系统防御策略,通过所触发的防御策略对所述攻击行为进行处理。
根据图2所示的电子设备,在本申请的一个方面中,本申请还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述攻击行为的告警信息处理方法的各种可选实现方式中所提供的方法。
其中,本申请实施例所提供的攻击行为的告警信息处理方法可以是基于人工智能实现的,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法,使机器具有感知、推理与决策的功能。
人工智能技术是一门综合学科,涉及领域广泛,既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
在本申请实施例中,主要涉及的人工智能软件技术包括上述语音处理技术和机器学习等方向。例如,可以涉及语音技术(Speech Technology)中的攻击行为的告警信息处理技术(Automatic Speech Recognition,ASR),其中包括语音信号预处理(Speech signalpreprocessing)、语音信号频域分析(Speech signal frequenc y analyzing)、语音信号特征提取(Speech signal feature extraction)、语音信号特征匹配/识别(Speechsignal feature matching/recognition)、语音的训练(Speech tr aining)等。
例如可以涉及机器学习(Machine learning,ML),机器学习是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能。机器学习是人工智能的核心,是使计算机具有智能的根本途径,其应用遍及人工智能的各个领域。机器学习通常包括深度学习(Deep Learning)等技术,深度学习包括人工神经网络(artificial neural network),例如卷积神经网络(ConvolutionalNeural Network,CNN)、循环神经网络(Recurrent Neural Network,RNN)、深度神经网络(Deep neural n etwork,DNN)等。
在介绍本申请所提供的攻击行为的告警信息处理方法之前,首先对相关技术中的告警信息处理方法进行介绍,相关技术中,攻击行为的告警信息处理方法仅仅是通过人工登录设备对攻击行为进行处理,这种方式的缺陷在于需要人工分别登录目标系统的不同设备进行处理,处置的繁琐操作,同时封禁策略也需要人工分别登录目标系统的不同设备发送,使得不能及时的对攻击行为进行处理影响目标系统的使安全。
结合图2示出的攻击行为的告警信息处理装置说明本发明实施例提供的攻击行为的告警信息处理方法,参见图3,图3为本发明实施例提供的攻击行为的告警信息处理方法一个可选的流程示意图,可以理解地,图3所示的步骤可以由运行攻击行为的告警信息处理装置的各种电子设备执行,例如可以是如带有攻击行为的告警信息处理功能的专用云服务器、带有攻击行为的告警信息处理功能的杀毒引擎服务器或者云托管软件程序的服务器集群。下面针对图3示出的步骤进行说明。
步骤301:攻击行为的告警信息处理装置获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息。
在本发明的一些实施例中,获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息,可以通过以下方式实现:
通过多线程轮询方式获取所述目标系统的第一攻击行为告警信息,其中,所述第一攻击行为告警信息包括至少以下之一:蜜罐告警信息、网络层攻击告警信息、WEB攻击告警信息、DDOS攻击告警信息、暴力破解事件告警信息和异地登录事件告警信息;计算所述第一攻击行为告警信息中每一条攻击行为告警信息对应的哈希值;基于所述每一条攻击行为告警信息对应的哈希值组成告警消息哈希表;基于所述告警消息哈希表对所述目标系统获取的每一条告警信息进行去重处理与合并处理,得到第二攻击行为告警信息。其中,采用多线程轮询方式可以同时调用目标系统的所有API接口,保证攻击行为的告警信息获取的及时性,对于使用云安全托管的目标系统来说,多线程轮询方式可以充分利用CPU的空闲时间片,通过尽可能少的时间来对攻击行为的告警信息做出响应,提高目标系统的运行效率,同时,因为同一目标系统的所有线程是共享同一内存空间,所以不需要设计特殊的数据传送机制,也不需要建立共享存储区或共享文件,因此可以很方便地进行不同任务之间的协调操作与运行、数据的交互和资源分配,节省目标系统的资源消耗成本。
在本发明的一些实施例中,第一攻击行为告警信息可以根据目标系统的不同使用环境进行获取,具体来说,可以包括:
(1)蜜罐告警信息:在目标系统的使用过程中,为了避免目标系统遭受网络攻击,可以在服务器或者服务器群组中部署蜜罐系统,具体来说,可以根据目标系统的使用环境,确定对应的固件配置信息;根据固件配置信息,从蜜罐镜像云服务器中获取相匹配的蜜罐镜像,其中,蜜罐镜像支持不同组织架构的蜜罐结构;而云服务器中存储有不同类型的蜜罐镜像,进一步地,在目标系统中创建容器,并通过所述容器创建支持不同组织架构的蜜罐系统,可以实现通过所部署的蜜罐系统捕获对目标系统的攻击流量,其中,攻击流量是指攻击者通过互联网发起的攻击行为,一个攻击行为对应一个攻击流量,蜜罐告警信息的具体的字段为:时间,攻击目标IP,攻击目标端口,攻击来源IP地址,攻击来源端口,蜜罐节点,用户名,用户密码,协议类型和事件额外信息。
(2)网络层攻击告警信息:网络层攻击数据来自于企业中的网络入侵防护系统或者网络入侵检测系统,主要检测的是基于网络层的攻击行为。具体的字段包括:时间,攻击来源IP,攻击来源端口,攻击目的IP,攻击目的端口,风险阶段,攻击次数,传输数据,协议类型,攻击类型和攻击载荷等。
(3)WEB攻击告警信息:Web攻击数据主要来自于目标系统中的waf设备,主要反映的目标系统中的web系统被攻击的事件信息,具体的字段有时间,攻击来源IP地址,攻击来源端口,攻击目的IP地址,攻击目的端口,攻击域名,协议类型,HTTP方法,HTTP UA,攻击地址,攻击报文,攻击类型和攻击载荷。
(4)DDOS攻击告警信息:DDOS数据主要来自于目标系统中的的抗DDOS 设备,描述的是来自外部攻击者的拒绝服务攻击事件,具体的数据字段有:攻击开始时间,攻击结束时间,攻击类型,攻击源IP分布列表,攻击抓包和攻击流量最大峰值等。
(5)暴力破解事件告警信息:暴力破解事件数据记录的是目标系统中的业务服务器被来自互联网的攻击者进行密码暴力破解的事件,具体的字段有:时间,目标IP地址,目标端口,源IP地址,源端口,协议类型,用户名,密码和破解次数等。
(6)异地登录事件告警信息:异地登录事件数据记录的是企业业务服务器上的登录行为事件,如果登录源IP是来自目标系统中的操作人员不常用的IP地址,很可能就是一个非法登录行为。数据具体的字段有:时间,目标IP地址,目标端口,源IP地址,源端口,协议类型,用户名,密码和登录指令。
在本发明的一些实施例中,可以根据所述目标系统的使用环境,确定对应的固件配置信息;根据固件配置信息,从云托管服务进程的云服务器中获取相匹配的目标系统镜像,其中,目标系统镜像支持不同组织架构的目标系统结构;在目标系统中创建容器,并通过所述容器创建支持不同组织架构的目标系统,以实现通过所部署的目标系统捕获对所述目标系统的攻击行为。为了避免服务器遭受网络攻击,可以在服务器或者服务器群组中部署目标系统,具体来说,可以根据目标系统的使用环境,确定对应的固件配置信息;根据固件配置信息,从目标系统镜像云服务器中获取相匹配的目标系统镜像,其中,目标系统镜像支持不同组织架构的目标系统结构;而云服务器中存储有不同类型的目标系统镜像,进一步地,在目标系统中创建容器,并通过所述容器创建支持不同组织架构的目标系统,可以实现通过所部署的目标系统捕获对目标系统的攻击事件,其中,攻击事件是指攻击者通过互联网发起的攻击行为,一个攻击行为对应一个攻击事件。
在本发明的一些实施例中,为了实现对第一攻击行为告警信息进行去重处理与合并处理,参见图4,图4为本发明实施例提供的攻击行为的告警信息处理方法一个可选的流程示意图,可以理解地,图4所示的步骤可以由运行攻击行为的告警信息处理装置的各种电子设备执行,例如可以是如带有攻击行为的告警信息处理功能的专用云服务器、带有攻击行为的告警信息处理功能的杀毒引擎服务器或者云托管软件程序的服务器集群。下面针对图4示出的步骤进行说明。
步骤401:计算所述第一攻击行为告警信息中每一条攻击行为告警信息对应的哈希值。
步骤402:基于所述每一条攻击行为告警信息对应的哈希值组成告警消息哈希表。
步骤403:基于所述告警消息哈希表对所述目标系统获取的每一条告警信息进行去重处理与合并处理,得到第二攻击行为告警信息
具体来说,由于攻击行为对目标系统的攻击不是一步到位的(可以分步骤攻击,也可以直接进行一步攻击),往往会分散成很多步骤,而且单个步骤也会生成多条告警。因此需要对告警信息需要进行去重处理,避免目标系统的操作人员通过即时通讯客户端在同一时间接收大量重复的提示信息,造成系统宕机。因此可以将每分钟内同一攻击源IP的攻击类型为同一类型的事件归并为一条记录。同时可以新建告警消息哈希表用于存储不同的告警消息hash值。每读取到一条告警信息,将告警信息进行HASH计算得到一个hash值,然后使用hash 值在告警消息哈希表中进行匹配,如果匹配成功说明是重复消息,直接进行丢弃。如果未匹配成功,将该hash值存入告警消息哈希表中,用于对其他告警消息hash值的匹配。同时告警消息保留进入下一步处理。这样非重复消息的hash 值就会在告警消息哈希表存储,用于比对所接收的攻击行为告警信息是否重复。
步骤404:根据所述目标系统的安全配置,到达时间间隔阈值对所述告警消息哈希表进行清空。
在本发明的一些实施例中,还可以根据所述目标系统的标识,查询所述目标系统对应的云托管信息;根据所述云托管信息,确定与目标系统相匹配的主机数量,根据所述主机数量对所述告警消息哈希表进行清空。其中,云服务器中可以保存各类云安全托管服务的云安全服务内容,云安全服务内容中记录了各个云安全服务操作以及用于执行各个云安全服务操作的各个执行工具。云安全服务操作指实现云安全托管服务的各类执行动作,执行工具可以是具体的设备、也可以是应用程序。可选地,云安全服务内容还可以记录各个云安全服务操作的执行顺序。另外,各类云安全托管服务的云安全服务内容也可以保存于区块链中。
安全托管服务的云安全服务内容可以以剧本的形式进行记录。具体实施中,从数据平台中获取事件源以及事件处置流程,其中,事件源可以是从云平台或其他外部安全系统中采集的历史安全事件。事件处置流程可以由人工录入,也可以从外部安全系统中获取。通过编排引擎对事件源以及事件处置流程进行编排处理,获得相应的云安全托管服务以及云安全托管服务的剧本。
步骤302:攻击行为的告警信息处理装置根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息。
在本发明的一些实施例中,根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息,可以通过以下方式实现:
获取所述目标系统的安全配置中的过滤事件,其中,所述过滤事件包括至少以下之一:攻击来源IP、攻击目标IP、攻击来源端口、攻击目标端口、攻击类型和攻击行为详情;根据所述过滤事件,确定与所述过滤事件对应的正则表达式;通过所述正则表达式,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息。其中,由于不同的目标系统有着不同的使用需求,因此,为了保证能够满足尽量多样化的过滤需求,告警消息的过滤逻辑需要保证过滤条件的开放性,可以生成正则表达式的过滤事件包括:
(1)攻击来源IP地址:针对攻击行为的告警信息中的描述的攻击事件的攻击来源ip进行匹配,匹配方式支持等于和包含两种匹配逻辑,同时支持ip地址掩码的匹配。
(2)攻击目标IP:针对攻击行为的告警信息中的描述的攻击事件的攻击目标ip进行匹配,匹配方式支持等于和包含两种匹配逻辑,同时支持ip地址掩码的匹配。
(3)攻击来源端口:针对攻击行为的告警信息中的描述的攻击事件的攻击来源端口号进行匹配,匹配方式支持等于和包含两种匹配逻辑。
(4)攻击目标端口:针对攻击行为的告警信息中的描述的攻击事件的攻击目标端口号进行匹配,匹配方式支持等于和包含两种匹配逻辑。
(5)攻击类型:针对告警消息的攻击类型进行匹配,支持单个或者多个类型的匹配逻辑。
(6)攻击事件详情:针对告警消息的详情进行特征匹配,支持字符串正则表达式的匹配逻辑。
在本发明的一些实施例中,当多个过滤事件同时存在的情况下,可以根据过滤事件的优先级进行降序匹配,也可以通过对不同的过滤事件进行组合,以保证过滤处理的准确性。
步骤303:攻击行为的告警信息处理装置对所述第三攻击行为告警信息的IP 归属地信息进行查询,得到IP归属地信息。
在本发明的一些实施例中,可以通过离线查询进程,对所述第三攻击行为告警信息的IP归属地信息进行查询,得到所述第三攻击行为告警信息的第一IP 归属地信息;当所述离线查询进程未查询到所述第三攻击行为告警信息的IP归属地信息时,触发在线查询进程;通过所述离线查询进程,对所述第三攻击行为告警信息的IP归属地信息进行查询,得到所述第三攻击行为告警信息的第二 IP归属地信息;对所述第一IP归属地信息和所述第二IP归属地信息进行合并,得到IP归属地信息。其中,离线查询是将地址及对应的地址信息通过离线文本的方式保存在服务器本地,需要查询的时候,直接在离线文本中查询,获取到归属地域信息。在线查询则是通过互联网的公共接口查询ip地址的归属信息,在线查询可以获取到最新的归属地域信息,通过在线查询与离线查询的组合,可以保证IP归属地信息的完整性与准确性,其中IP归属地信息的一个可选方式如表1所示:
名称 | 详细含义 |
CDN | 内容分发网络的IP地址 |
学校单位 | 大学院校或科研机构的IP地址 |
移动网络 | 2/3/4/5G移动网络使用的基站IP地址 |
交换中心 | 大型数据交换平台IP地址 |
企业专线 | 特定企业办公IP地址 |
数据中心 | 运营商数据中心IP地址 |
卫星通信 | 卫星通讯机构IP地址 |
住宅用户 | 一般居民ADSL拨号上网IP地址 |
专用出口 | 运营商专用IDC出口IP地址 |
组织机构 | 组织机构使用IP地址 |
云厂商 | 云计算厂商对外售卖给商业用户的IP地址 |
其他 | 其他用途IP地址 |
表1
步骤304:攻击行为的告警信息处理装置基于所述IP归属地信息,对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果。
在本发明的一些实施例中,对所述第三攻击行为告警信息的威胁信息进行标记,可以通过以下方式实现:
基于所述IP归属地信息,查询所述IP归属地信息对应的攻击历史信息;在所述攻击历史信息中查询所述IP归属地信息对应的攻击类型与攻击行为说明信息;通过所述攻击类型与攻击行为说明信息对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果。其中,第三攻击行为告警信息的威胁信息的标记结果如表2所示:
表2
步骤305:攻击行为的告警信息处理装置利用所述威胁信息的标记结果,对所述第三攻击行为告警信息进行模式匹配处理,得到所述第三攻击行为告警信息的模式匹配结果。
其中,第三攻击行为告警信息的模式匹配结果包括:
(1)高频地域:每个攻击行为的告警消息的攻击源IP的所属地域信息获取到之后,需要对所有告警消息的归属地域进行统计,筛选出高频出现的归属地域前十位。如果新的告警信息中的攻击源IP的归属地域是高频出现的归属地域前十位,则将这个告警消息标记为“高频地域”。
(2)密集网段:每个告警消息的攻击源IP的所属IP地址网段需要进行数量统计,筛选出高频出现的前十位网段。如果新的告警信息中的攻击源IP的归属网段是高频出现的网段前十位,则将这个告警消息标记为“密集网段”。
(3)复合攻击:每个告警消息的攻击源IP的所关联的攻击类型进行数量统计,如果告警信息中的攻击源IP的关联的攻击行为大于或等于2个,则将这个告警消息标记为“复合攻击”。
步骤306:攻击行为的告警信息处理装置通过即时通讯客户端,利用所述模式匹配结果触发所述目标系统防御策略,通过所触发的防御策略对所述攻击行为进行处理。
在本发明的一些实施例中,参见图6,图6为本发明实施例提供的攻击行为的告警信息处理方法一个可选的流程示意图,可以理解地,图6所示的步骤可以由运行攻击行为的告警信息处理装置的各种电子设备执行,例如可以是如带有攻击行为的告警信息处理功能的专用云服务器、带有攻击行为的告警信息处理功能的杀毒引擎服务器或者云托管软件程序的服务器集群。下面针对图6示出的步骤进行说明。
步骤601:通过所述即时通讯客户端接收封禁操作指令,其中,所述封禁操作指令包括至少以下之一:网络层封禁、主机层封禁以及应用层封禁。
由于目标系统的运行人员通过即时通讯客户端绑定目标系统后,可以通过云服务器网络对目标系统的运行转态进行监测,攻击行为的告警信息通过去重归并,消息过滤,地域信息标记,威胁情报标记和模式匹配标记之后,攻击行为的告警信息已经足够完善丰富,运行人员也可以对攻击行为的告警信息做出准确评判。云安全托管进程可以通过格式化告警信息,添加地域信息标记,威胁情报标记和模式匹配标记生成最终的消息文本,通过即时通讯客户端的接口发送给运行人员相应的消息,运行人员通过即时通讯客户端进行审核,确认是否封禁该攻击源IP地址。
步骤602:基于所述封禁操作指令,对所述攻击行为进行处理。
其中,封禁操作指令的处理结果包括:(1)网络层封禁:针对攻击源IP,使用网络访问控制设备进行封禁,比如网络入侵防护系统,网络防火墙和云防火墙。(2)主机层封禁:针对攻击源IP,在主机层面进行封禁,主要的方法有服务器安全组,系统iptables,系统主机入侵防护系统。(3)应用层封禁:针对攻击源IP,在应用层进行封禁,主要的封禁设备有WAF(web应用防火墙)。
步骤603:通过所述即时通讯客户端接收监测信息,基于所述监测信息确定所述攻击行为对应的引流位置。
步骤604:根据所述攻击行为对应的引流位置,将所述攻击行为进行引流处理,以实现通过所述引流位置的资源对所述攻击行为进行高防清洗。
在本发明的一些实施例中,以云游戏的对网络攻击信息处理为例,在新的云游戏上线初期,可能就会被攻击事件频繁攻击。因为新游首发阶段,如果连续被频繁攻击,游戏用户的留存率会很低,给游戏运营商带来很大经济损失,因此,可以通过配置大量的高防资源,例如:新游戏可以使用BGP高防IP或者 BGP高防包覆盖所有公网服务,在发生攻击时,可以通过提升防护资源的数量快速解除黑洞状态,恢复业务访问,在新游戏投入运营一段时间后,可以解除高防资源的绑定,以减少高防资源的使用费用,使得对网络攻击信息处理更加灵活。在高防清洗的过程中,用户可根据攻击情况灵活调整高防清洗的开始时间,对不同类型的DDoS攻击进行快速响应,充分匹配不同用户不同业务类型,使得本申请所提供的攻击行为的告警方法能够适用更多的业务场景。
进一步地,在使用蜜罐系统时,当不同类型的目标系统获取对应的攻击行为时,基于所述攻击行为,捕获所述攻击行为的访问服务的记录;基于所述攻击行为的访问服务的记录,获取并解析攻击行为所携带的网络数据包;基于所述网络数据包,确定并监测所述攻击行为入侵目标系统后的目标系统连接行为。例如记录网络攻击行为的源网际互连协议地址(即IP地址)、网络攻击行为的时间与次数、网络攻击行为的类型、攻击流量发起源等。此外,计算机设备捕获到网络攻击行为时,可以对网络攻击行为进行响应,将回复报文返回给网络攻击行为的攻击方,从而通过和攻击方进行交互,避免被攻击方识别出入侵了蜜罐环境。此外,计算机设备可以隐藏自身的IP地址,以免泄露真实的IP地址,保护目标系统的安全运行。
在本发明的一些实施例中,攻击行为的告警信息处理装置可以封装于云托管软件程序中,对云服务器上新创建的Web程序文件进行可疑风险判断,对于少量疑似Webshell文件,需要上报到云端,通过云端的机器学习检测引擎模块做进一步检测,检测完成后会实时删除该样本文件。通过固定时间间隔全盘扫描不间断的获取待处理任务。其中,待处理任务的类型如表3所示。
表3
图7是本申请实施例提供的一种数据存储示意图。如图7所示,在正常工作时,A库为提供读写服务的主库,B库为进行数据备份的备库,即A库作为主库能够承载所有的数据读写工作,B库作为备库,能够从A库进行数据同步,将A库中所存储的数据备份至B库。当A库作为主库发生故障时,该A库无法对外提供数据读写服务,数据读写服务改为B库来承担,同时中断A库与B库之间的数据同步备份。当A库的故障修复时,此时A库和B库之间的身份发生交换,将B库切换为提供读写服务的主库,将A库切换为进行数据备份的备库, A库能够从B库进行数据同步。
另外,在服务器的运行过程中,会产生行为日志,该行为日志用于记录该服务器发生的行为。因此也需要对该行为日志进行存储。
可选地,服务器将行为日志存储到日志服务器中,同时在服务器本地还采用文本的方式存储一份行为日志。图8是本申请实施例提供的一种行为日志存储示意图。如图8所示,服务器获取到行为日志后,将行为日志存储至日志服务器,同时在本地以文本的方式存储一份。
其中,上述行为日志能够进行等级划分,如日志等级包括:ERROR(错误)、 WARN(警告)、INFO(关键信息)、DEBUG(调试)等,上述日志等级详情信息如下述表5所示
表5
可选的,上述行为日志用于系统日常的故障排查以及状态记录,根据日志内容对行为日志进行分类,如下述表6所示,将行为日志划分为配置日志、监测日志、告警日志以及运行日志信息。
表6
分类 | 说明 |
配置日志 | 记录用户新增,删除,修改配置的行为。 |
监测日志 | 记录监测各模块每次操作行为。 |
告警日志 | 记录告警模块每次对外告警动作的行为。 |
运行日志 | 用于记录整个系统后台运行过程中的行为。 |
下面以支付(或者领取)金融支付使用场景中的对需要进行领取金融支付的目标用户进行预测为例,对本申请所提供的攻击行为的告警信息处理方法进行说明,其中,参见图5,图5为本申请所提供的攻击行为的告警信息处理方法的前端显示示意图,其中终端(例如图1中的服务器10-1和服务器10-2)上设置有能够显示相应进行金融支付的软件的客户端,例如虚拟资源或者实体资源进行金融活动或者通过虚拟资源游戏的金融支付的客户端或插件,用户通过相应的客户端可以获从金融机构或平台领取支付金融支付(例如即时通讯客户端的支付小程序领取不同金额的金融支付红包);终端通过网络300连接服务器200,网络300可以是广域网或者局域网,又或者是二者的组合,使用无线链路实现数据传输。服务器(例如图1中的服务器)银行、证券、互金等提供支付、游戏金融支付、理财等金融业务的企业的服务器。当进行红包发放时,通过本申请提供的攻击行为的告警信息处理方法,可以及时地识别出现异常行为的用户,从而封锁作弊的黑产用户。由此,利用云托管系统协助金融平台或者金融支付提供方对是否为用户提供支付金融支付进行判断,保证金融平台的安全运行。
参考图9,图9为本申请所提供的攻击行为的告警信息处理方法使用过程示意图,其中本申请所提供的攻击行为的告警信息处理方法包括以下步骤:
步骤901:金融服务器系统入侵行为告警信息统一收集。
步骤902:以每分钟内同一攻击源IP的攻击类型为同一类型的事件合并为一条记录的原则对告警消息进行去重和归并
步骤903:判断是否重复消息,如果是执行步骤904,否则忽略。
步骤904:针对系统控制下发的过滤策略进行消息过滤
步骤905:判断是否匹配过滤策略,如果是执行步骤906,否则忽略.
步骤906:针对告警事件的攻击源I的归属地域进行查询,通过离线查询和在线查询结合的方式保证查询的准确性
步骤907:对攻击源IP进行威胁情报标记;
步骤908:对告警消息进行模式匹配标记
步骤909:是否匹配高频地域模式,如果否执行步骤904,否则记为高频地域模式。
步骤910:是否匹配密集网段模式,如果否执行步骤904,否则记为密集网段模式。
步骤911:是否匹配复合攻击模式,如果否执行步骤912,否则记为复合攻击模式。
步骤912:不进行模式匹配标记
步骤913:即时通讯客户端进行消息展示及封禁审批
步骤914:是否封禁攻击源IP,如果是执行步骤915,否则忽略。
步骤915:调用api接口进行封禁模式下发
步骤916:对金融服务器系统进行管控,查看告警信息及过滤模式下发
步骤917:数据存储全过程数据,并记录全过程详细日志。
其中,对金融平台的待处理任务的识别判断为攻击行为后,处理模式具体包括:对高风险用户禁用支付或领取功能,对中低风险用户发放支付红包,由此可以避免支付红包被高风险用户领取。
本发明具有以下有益技术效果:
本发明实施例通过获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息;根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息;对所述第三攻击行为告警信息的IP归属地信息进行查询,得到IP归属地信息;基于所述IP归属地信息,对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果;利用所述威胁信息的标记结果,对所述第三攻击行为告警信息进行模式匹配处理,得到所述第三攻击行为告警信息的模式匹配结果;由此,能够实现通过即时通讯客户端,利用模式匹配结果触发目标系统防御模式,并通过所触发的防御模式对攻击行为进行及时处理,由此,不但可以提高对攻击行为的告警信息处理的效率,使得使用云托管的对象获得更好的使用体验,同时可能够提升对攻击行为处理的准确性,保证目标系统的安全运行。
以上所述,仅为本发明的实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种攻击行为的告警信息处理方法,其特征在于,所述方法包括:
获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息;
根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息;
对所述第三攻击行为告警信息的IP归属地信息进行查询,得到IP归属地信息;
基于所述IP归属地信息,对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果;
利用所述威胁信息的标记结果,对所述第三攻击行为告警信息进行模式匹配处理,得到模式匹配结果;
通过即时通讯客户端,利用所述模式匹配结果触发所述目标系统防御策略,通过所触发的防御策略对所述攻击行为进行处理。
2.根据权利要求1所述的方法,其特征在于,获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息,包括:
通过多线程轮询方式获取所述目标系统的第一攻击行为告警信息,其中,所述第一攻击行为告警信息包括至少以下之一:
蜜罐告警信息、网络层攻击告警信息、WEB攻击告警信息、DDOS攻击告警信息、暴力破解事件告警信息和异地登录事件告警信息;
计算所述第一攻击行为告警信息中每一条攻击行为告警信息对应的哈希值;
基于所述每一条攻击行为告警信息对应的哈希值组成告警消息哈希表;
基于所述告警消息哈希表对所述目标系统获取的每一条告警信息进行去重处理与合并处理,得到第二攻击行为告警信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
根据所述目标系统的安全配置,到达时间间隔阈值对所述告警消息哈希表进行清空;或者
根据所述目标系统的标识,查询所述目标系统对应的云托管信息;
根据所述云托管信息,确定与目标系统相匹配的主机数量,根据所述主机数量对所述告警消息哈希表进行清空。
4.根据权利要求1所述的方法,其特征在于,所述根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息,包括:
获取所述目标系统的安全配置中的过滤事件,其中,所述过滤事件包括至少以下之一:
攻击来源IP、攻击目标IP、攻击来源端口、攻击目标端口、攻击类型和攻击行为详情;
根据所述过滤事件,确定与所述过滤事件对应的正则表达式;
通过所述正则表达式,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息。
5.根据权利要求1所述的方法,其特征在于,所述对所述第三攻击行为告警信息的IP归属地信息进行查询,得到IP归属地信息,包括:
通过离线查询进程,对所述第三攻击行为告警信息的IP归属地信息进行查询,得到所述第三攻击行为告警信息的第一IP归属地信息;
当所述离线查询进程未查询到所述第三攻击行为告警信息的IP归属地信息时,触发在线查询进程;
通过所述离线查询进程,对所述第三攻击行为告警信息的IP归属地信息进行查询,得到所述第三攻击行为告警信息的第二IP归属地信息;
对所述第一IP归属地信息和所述第二IP归属地信息进行合并,得到IP归属地信息。
6.根据权利要求1所述的方法,其特征在于,所述基于所述IP归属地信息,对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果,包括:
基于所述IP归属地信息,查询所述IP归属地信息对应的攻击历史信息;
在所述攻击历史信息中查询所述IP归属地信息对应的攻击类型与攻击行为说明信息;
通过所述攻击类型与攻击行为说明信息对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果。
7.根据权利要求1所述的方法,其特征在于,所述通过即时通讯客户端,利用所述模式匹配结果触发所述目标系统防御策略,通过所触发的防御策略对所述攻击行为进行处理,包括:
通过所述即时通讯客户端接收封禁操作指令,其中,所述封禁操作指令包括至少以下之一:
网络层封禁、主机层封禁以及应用层封禁;
基于所述封禁操作指令,对所述攻击行为进行处理;或者
通过所述即时通讯客户端接收监测信息,基于所述监测信息确定所述攻击行为对应的引流位置;
根据所述攻击行为对应的引流位置,将所述攻击行为进行引流处理,以实现通过所述引流位置的资源对所述攻击行为进行高防清洗。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当不同类型的目标系统获取对应的攻击行为时,基于所述攻击行为,捕获所述攻击行为的访问服务的记录;
基于所述攻击行为的访问服务的记录,获取并解析攻击行为所携带的网络数据包;
基于所述网络数据包,确定并监测所述攻击行为入侵目标系统后的目标系统连接行为。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述目标系统的使用环境,确定对应的固件配置信息;
根据固件配置信息,从云托管服务进程的云服务器中获取相匹配的目标系统镜像,其中,目标系统镜像支持不同组织架构的目标系统结构;
在目标系统中创建容器,并通过所述容器创建支持不同组织架构的目标系统,以实现通过所部署的目标系统捕获对所述目标系统的攻击行为。
10.一种攻击行为的告警信息处理装置,其特征在于,所述训练装置包括:
信息传输模块,用于获取目标系统的第一攻击行为告警信息,并且对所述第一攻击行为告警信息进行去重处理与合并处理,得到第二攻击行为告警信息;
信息处理模块,用于根据目标系统的安全配置,对所述第二攻击行为告警信息进行过滤,得到第三攻击行为告警信息;
所述信息处理模块,用于对所述第三攻击行为告警信息的IP归属地信息进行查询,得到IP归属地信息;
所述信息处理模块,用于基于所述IP归属地信息,对所述第三攻击行为告警信息的威胁信息进行标记,得到威胁信息的标记结果;
所述信息处理模块,用于利用所述威胁信息的标记结果,对所述第三攻击行为告警信息进行模式匹配处理,得到所述第三攻击行为告警信息的模式匹配结果;
所述信息处理模块,用于通过即时通讯客户端,利用所述模式匹配结果触发所述目标系统防御策略,通过所触发的防御策略对所述攻击行为进行处理。
11.一种计算机程序产品,包括计算机程序或指令,其特征在于,所述计算机程序或指令被处理器执行时,实现权利要求1至9任一项所述的攻击行为的告警信息处理方法。
12.一种电子设备,其特征在于,所述电子设备包括:
存储器,用于存储可执行指令;
处理器,用于运行所述存储器存储的可执行指令时,实现权利要求1至9任一项所述的攻击行为的告警信息处理方法。
13.一种计算机可读存储介质,存储有可执行指令,其特征在于,所述可执行指令被处理器执行时实现权利要求1至9任一项所述的攻击行为的告警信息处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210163052.5A CN116668051A (zh) | 2022-02-22 | 2022-02-22 | 攻击行为的告警信息处理方法、装置、程序、电子及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210163052.5A CN116668051A (zh) | 2022-02-22 | 2022-02-22 | 攻击行为的告警信息处理方法、装置、程序、电子及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116668051A true CN116668051A (zh) | 2023-08-29 |
Family
ID=87724783
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210163052.5A Pending CN116668051A (zh) | 2022-02-22 | 2022-02-22 | 攻击行为的告警信息处理方法、装置、程序、电子及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116668051A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117411726A (zh) * | 2023-12-13 | 2024-01-16 | 天津市亿人科技发展有限公司 | 一种基于神经网络的抗DDoS攻击及云WAF防御方法 |
-
2022
- 2022-02-22 CN CN202210163052.5A patent/CN116668051A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117411726A (zh) * | 2023-12-13 | 2024-01-16 | 天津市亿人科技发展有限公司 | 一种基于神经网络的抗DDoS攻击及云WAF防御方法 |
CN117411726B (zh) * | 2023-12-13 | 2024-03-12 | 天津市亿人科技发展有限公司 | 一种基于神经网络的抗DDoS攻击及云WAF防御方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhang et al. | An IoT honeynet based on multiport honeypots for capturing IoT attacks | |
Banerjee et al. | A blockchain future for internet of things security: a position paper | |
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
US20230123314A1 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain | |
CN108111487B (zh) | 一种安全监控方法及系统 | |
Mukhopadhyay et al. | A comparative study of related technologies of intrusion detection & prevention systems | |
Stergiopoulos et al. | Automatic detection of various malicious traffic using side channel features on TCP packets | |
KR20060117693A (ko) | 웹 보안방법 및 그 장치 | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
US20220217164A1 (en) | Inline malware detection | |
WO2022257226A1 (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
CN113079151B (zh) | 一种异常处理方法、装置、电子设备及可读存储介质 | |
Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
CN117527412A (zh) | 数据安全监测方法及装置 | |
Djap et al. | Xb-pot: Revealing honeypot-based attacker’s behaviors | |
Gupta | HoneyKube: designing a honeypot using microservices-based architecture | |
CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
CN116668051A (zh) | 攻击行为的告警信息处理方法、装置、程序、电子及介质 | |
CN116708033B (zh) | 终端安全检测方法、装置、电子设备及存储介质 | |
US12061696B2 (en) | Sample traffic based self-learning malware detection | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
US20230069731A1 (en) | Automatic network signature generation | |
Vassilev et al. | Network security analytics on the cloud: Public vs. private case | |
Tudosi et al. | Design and Implementation of an Automated Dynamic Rule System for Distributed Firewalls. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |