CN116938605B - 网络攻击防护方法、装置、电子设备及可读存储介质 - Google Patents

网络攻击防护方法、装置、电子设备及可读存储介质 Download PDF

Info

Publication number
CN116938605B
CN116938605B CN202311199492.7A CN202311199492A CN116938605B CN 116938605 B CN116938605 B CN 116938605B CN 202311199492 A CN202311199492 A CN 202311199492A CN 116938605 B CN116938605 B CN 116938605B
Authority
CN
China
Prior art keywords
network address
target
associated network
risk
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311199492.7A
Other languages
English (en)
Other versions
CN116938605A (zh
Inventor
卜凡钢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202311199492.7A priority Critical patent/CN116938605B/zh
Publication of CN116938605A publication Critical patent/CN116938605A/zh
Application granted granted Critical
Publication of CN116938605B publication Critical patent/CN116938605B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种网络攻击防护方法、装置、电子设备及可读存储介质,该方法包括:获取目标终端中至少一个进程的当前进程信息,在当前进程信息中识别出针对进程的进程创建操作和进程退出操作对应的操作记录;基于操作记录,构建目标终端对应的进程树;获取进程的关联网络地址,并将关联网络地址添加至对应的节点,得到目标进程树;当在进程中检测到风险进程时,在关联网络地址中查询风险进程对应的目标关联网络地址;若未查询到目标关联网络地址,则在目标进程树中识别出风险进程对应的主进程,并对主进程对应的关联网络地址进行拦截。本申请能够实现精准的网络防护。本发明实施例可应用于云技术、人工智能、智慧交通、辅助驾驶等各种场景。

Description

网络攻击防护方法、装置、电子设备及可读存储介质
技术领域
本申请涉及计算机技术领域,具体涉及一种网络攻击防护方法、装置、电子设备及可读存储介质。
背景技术
随着网络技术的发展,出现了网络安全技术,网络安全技术主要是为了维护计算机通信网络的安全,在发现恶意进程发起网络攻击时,需要对恶意进程进行拦截、阻断,以实现网络安全防护。
然而,恶意进程为了避开安全检测,可能会分成多个恶意进程发起多段网络攻击,由于每个恶意进程是相互独立的,若未能成功拦截所有的恶意进程,则无法成功地阻断多段网络攻击,从而无法实现全面、精准的网络安全防护。
发明内容
本申请实施例提供一种网络攻击防护方法、装置、电子设备和存储介质,能够提升应用程序的分包效率,降低分包复杂度和分包所需的人力资源消耗。
本申请实施例第一方面提供一种网络攻击防护方法,所述方法包括:
获取目标终端中至少一个进程的当前进程信息,并在所述当前进程信息中识别出针对所述进程的进程创建操作和进程退出操作对应的操作记录;
基于所述操作记录,构建所述目标终端对应的进程树,所述进程树包括多个节点,每一节点对应一个进程;
获取所述进程的关联网络地址,并将所述关联网络地址添加至对应的节点,得到目标进程树,所述关联网络地址包括所述进程发起网络通信时连接的网络地址;
当在所述进程中检测到风险进程时,在所述关联网络地址中查询所述风险进程对应的目标关联网络地址;
若未查询到所述目标关联网络地址,则在所述目标进程树中识别出所述风险进程对应的主进程,并对所述主进程对应的关联网络地址进行拦截。
相应地,本申请实施例第二方面提供一种网络攻击防护装置,所述装置包括:
操作记录识别单元,用于获取目标终端中至少一个进程的当前进程信息,并在所述当前进程信息中识别出针对所述进程的进程创建操作和进程退出操作对应的操作记录;
进程树构建单元,用于基于所述操作记录,构建所述目标终端对应的进程树,所述进程树包括多个节点,每一节点对应一个进程;
目标进程树构建单元,用于获取所述进程的关联网络地址,并将所述关联网络地址添加至对应的节点,得到目标进程树,所述关联网络地址包括所述进程发起网络通信时连接的网络地址;
地址查询单元,用于当在所述进程中检测到风险进程时,在所述关联网络地址中查询所述风险进程对应的目标关联网络地址;
地址拦截单元,用于若未查询到所述目标关联网络地址,则在所述目标进程树中识别出所述风险进程对应的主进程,并对所述主进程对应的关联网络地址进行拦截。
可选地,所述进程树构建单元,包括:
预设节点构建子单元,用于基于所述操作记录,构建包含多个节点的预设节点集合;
关联关系确定子单元,用于获取所述预设节点的进程与每个候选节点的进程的从属关系,确定所述多个节点之间的关联关系,所述候选节点为所述节点之外的其他节点;
进程树构建子单元,用于基于所述关联关系和所述多个节点,构建所述进程树。
可选地,所述预设节点构建子单元,包括:
预设节点更新子单元,用于在所述操作记录中识别出针对所述进程的目标操作,基于所述目标操作的操作类型,对所述预设节点集合进行更新;
目标节点集合确定子单元,用于返回执行在所述操作记录中识别出针对所述进程的目标操作的步骤,直至所述操作记录中的操作均为所述目标操作时,得到目标节点集合。
可选地,所述预设节点更新子单元还具体用于:
当所述目标操作为创建操作时,在所述预设节点集合创建所述进程对应的节点;
当所述目标操作为退出操作时,删除所述进程对应的节点。
可选地,所述目标进程树构建单元还具体用于:
当检测到所述进程的数据包发送操作,识别所述数据包发送操作的接收方;
识别所述接收方的网络地址,并将所述网络地址作为所述进程的关联网络地址。
可选地,所述目标进程树构建单元还具体用于:
建立所述进程与所述关联网络地址之间的关联关系;
基于关联关系,将所述关联网络地址的信息添加至所述进程对应的节点,对所述进程树进行更新,得到所述目标进程树。
可选地,所述地址拦截单元还具体用于:
在所述目标进程树中识别与所述风险进程对应的风险节点;
获取所述风险节点与连接节点的节点从属关系,所述连接节点为在所述目标进程树中与所述风险节点相连的节点;
根据所述节点从属关系,确定所述风险节点的主节点,将所述主节点对应的进程确定为所述主进程。
可选地,所述地址拦截单元,包括:
信息获取子单元,用于获取所述主进程的信息;
关联网络地址识别子单元,用于根据所述主进程的信息,在所述目标进程树中识别所述主进程的关联网络地址;
拦截配置文件构建子单元,用于构建关联网络地址对应的拦截配置文件,基于所述拦截配置文件对所述关联网络地址的目标数据包进行拦截。
可选地,所述拦截配置文件构建子单元还具体用于:
将所述拦截规则信息添加到所述拦截配置文件中;
加载所述拦截配置文件,以加载所述拦截规则信息;
当识别到所述目标数据包,对所述目标数据包进行拦截并丢弃。
可选地,所述装置还包括:
风险评估结果检测单元,用于检测所述主进程的风险评估结果;
拦截解除单元,用于当所述风险评估结果指示所述主进程不存在风险时,更新并重新加载所述拦截配置文件,放行所述主进程发送的数据包,以解除对所述主进程的关联网络地址的拦截操作。
可选地,所述地址查询单元还具体用于:
在所述目标进程树中查询与所述风险进程对应的风险节点;
识别所述风险节点对应的关联网络地址,得到所述目标关联网络地址。
可选地,所述装置还包括:
地址拦截第二单元,用于当所述风险进程存在所述目标关联网络地址,对所述风险进程的所述目标关联网络地址进行拦截。
可选地,所述装置还包括:
地址追查函数获取单元,用于获取网络地址追查函数;
触发逻辑获取单元,用于获取追查所述关联网络地址的触发逻辑;
触发逻辑添加单元,用于在所述网络地址追查函数中添加所述触发逻辑,得到目标网络地址追查函数;
函数调用单元,用于当检测到所述进程发起网络通信时,调用所述目标网络地址追查函数追查所述进程的关联网络地址。
本申请实施例第三方面提供的一种电子设备,包括:
处理器和存储介质;
所述处理器,用于实现各个指令;
所述存储介质用于储存多条指令,所述指令用于由处理器加载并执行以上所述的网络攻击防护方法。
本申请实施例第四方面还提供一种计算机可读存储介质,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行本申请实施例所提供的任一种网络攻击防护方法中的步骤。
本申请实施例第五方面还提供一种计算机程序产品,包括计算机程序或指令,所述计算机程序或指令被处理器执行时实现本申请实施例所提供的任一种网络攻击防护方法。
由此可知,应用本申请实施例,可以获取目标终端中至少一个进程的当前进程信息,并在当前进程信息中识别出进程对应的操作记录,使得可以通过进程的操作记录进一步地识别出进程的创建操作和退出操作,并基于进程的创建操作和退出操作来准确地构建进程树。并且,本申请实施例的方法还能够在进程产生网络活动时,准确地获取与该进程进行网络通信的关联网络地址,并将该关联网络地址记录在进程树的对应节点中,以构建具备进程节点和对应关联网络地址的目标进程树。
当检测到风险进程时,便可以在目标进程树中识别出该风险进程对应的主进程,以及该主进程的关联网络地址。由于多段网络攻击的多个进程通常寄生在同一个主进程中,因此通过切断该主进程的关联网络地址,能够全面、精确地阻断多段网络攻击,以提升网络安全防护的效果。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的网络攻击防护方法的应用场景示意图;
图2a是本申请实施例提供的网络攻击防护方法的流程示意图;
图2b是本申请实施例提供的网络攻击防护方法的流程示意图;
图3a是本申请实施例提供的攻击阻断设备中各组件连接的示意图;
图3b是本申请实施例提供的部署攻击阻断设备的示意图;
图3c是本申请实施例提供的EDR系统与攻击阻断设备进行信息交互的示意图;
图4是本申请实施例提供的网络攻击防护装置的结构示意图;
图5是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了实现应用程序的自动分包操作,并提升分包效率、降低分包复杂度和分包所需的人力资源,本申请实施例提供一种网络攻击防护方法、装置、介质及设备。下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于理解本申请实施例所述的技术方案及其产生的技术效果,本申请实施例对于涉及到的相关专业名词进行解释:
EDR:全称Endpoint Detection and Response,终端检测与响应系统,是一种用于终端安全的安全技术,旨在检测、防御和响应各种恶意活动和安全威胁。EDR 技术通常在终端设备(如计算机、服务器、移动设备)上部署特定的软件代理,以检测、分析和报告与安全相关的事件和活动。
进程树:是一个描述操作系统中进程之间层次关系的数据结构。在操作系统中,进程是指正在执行的程序实例,而进程树显示了这些进程之间的父子关系,通常以层次结构表示。
进程网络行为:是指操作系统中运行的进程与网络之间的交互活动。当进程需要与网络通信时,它会发送和接收网络数据包,这些数据包可以是用于通信、数据传输、请求响应等。
网络攻击:是指通过网络通信渠道,针对计算机系统、网络设备、应用程序等进行的恶意行为,旨在获取未授权的访问、盗取敏感信息、干扰正常运行或造成其他损害。
Netlink-connect:是 Linux 内核中用于内核和对象空间之间通信的一种机制,它允许对象空间应用程序与内核模块之间进行通信和数据交换,提供了一种可靠和高效的方式,使对象空间程序能够与内核进行通信,例如获取系统状态、配置网络参数、检测网络活动等。
Netfilter:是Linux内核中的一个子系统,用于在网络协议栈中实现数据包的过滤、转发和修改等功能,允许管理员配置防火墙规则,以控制数据包的流动,从而增强网络的安全性和管理性能。
本发明实施例提供一种网络攻击防护方法、装置及可读存储介质。其中,该网络攻击防护装置可以集成在电子设备中,该电子设备可以是服务器,也可以是终端等设备。
其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、网络加速服务(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
例如,参见图1,以网络攻击防护装置集成在服务器中为例,服务器可以获取目标终端中至少一个进程的当前进程信息,并在所述当前进程信息中识别出针对所述进程的进程创建操作和进程退出操作对应的操作记录;然后基于所述操作记录,构建所述目标终端对应的进程树,所述进程树包括多个节点,每一节点对应一个进程;再获取所述进程的关联网络地址,并将所述关联网络地址添加至对应的节点,得到目标进程树,所述关联网络地址包括所述进程发起网络通信时连接的网络地址;然后,当在所述进程中检测到风险进程时,在所述关联网络地址中查询所述风险进程对应的目标关联网络地址;最终,若未查询到所述目标关联网络地址,则在所述目标进程树中识别出所述风险进程对应的主进程,并对所述主进程对应的关联网络地址进行拦截。
以下分别进行详细说明。需要说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
本实施例将从网络攻击防护装置的角度进行描述,该网络攻击防护装置具体可以集成在电子设备中,该电子设备可以是服务器,也可以是终端等设备;其中,终端包括但不限于手机、电脑、智能语音交互设备、智能家电、车载终端、飞行器等。本发明实施例可应用于各种场景,包括但不限于云技术、人工智能、智慧交通、辅助驾驶等。
以下介绍本申请提供的一种网络攻击防护方法。图2a是本申请实施例提供的一种网络攻击防护方法的流程图,本申请提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。请参照图2a,本申请实施例提供的一种网络攻击防护方法可以包括如下步骤:
步骤101、获取目标终端中至少一个进程的当前进程信息,并在所述当前进程信息中识别出针对所述进程的进程创建操作和进程退出操作对应的操作记录。
其中,当前进程信息是指与进程相关的属性信息和当前操作信息。例如,进程的属性信息可以包括进程的名称、创建时间、退出时间等,进程的当前操作信息可以包括进程创建、进程执行、进程通信、进程调用、进程加载、进程退出等操作。
可以理解,在获取一个进程的当前进程信息后,由于当前进程信息中包含该进程的当前操作信息,因此可以从当前进程信息中准确地识别出该进程的操作记录,例如可以从操作记录中识别出前文所提到的进程创建操作和进程退出操作等。
在一些实施例中,操作记录所包含的内容可以根据进程的操作类型来决定,例如,进程创建操作的操作记录可以包括记录进程创建时间的时间戳、记录新创建进程的进程名称、记录创建该进程的父进程的名称或标识符的父进程、记录新进程的唯一标识符的进程ID(PID)、记录用于启动该进程的命令或路径的启动命令。又例如,进程退出的操作记录可以包括记录进程退出时间的时间戳、记录退出进程的进程名称、记录指示进程退出的退出原因,例如退出原因可以为进程正常退出、进程异常终止等。
在一些实施例中,本申请的方法可以由攻击阻断设备来执行。请参阅图3a,图3a是本申请实施例提供的攻击阻断设备中各组件连接的示意图。如图3a所示,攻击阻断设备可以通过进程树维护组件netlink-connect来获取和识别当前进程信息,并进一步地在操作记录中识别用于构建进程树的目标操作,以通过进程树来准确地记录进程的历史活动,关于构建进程树的细节请参阅步骤102的描述。
步骤102、基于所述操作记录,构建所述目标终端对应的进程树。
在一些实施例中,进程树维护组件可以根据Netlink Connector机制收集多个进程的操作记录,并从操作记录中识别每个进程的创建操作和退出操作,以此来构建进程树,其中,进程树可以包括多个节点,每一节点对应一个进程。可以理解,进程的创建操作表示该进程启动,而进程的退出操作表示该进程终止,因此可以将创建操作对应的进程记录在进程树中,相应的将退出操作对应的进程从进程树种删除。此外,当识别到一个进程的创建操作是由另一个进程执行的,还能够根据该创建操作识别出该进程的主进程。
可选地,步骤102可以包括:
基于所述操作记录,构建包含多个节点的预设节点集合;
获取所述预设节点的进程与每个候选节点的进程的从属关系,确定所述多个节点之间的关联关系,所述候选节点为所述节点之外的其他节点;
基于所述关联关系和所述多个节点,构建所述进程树。
在一些实施例中,可以先构建一个预设节点集合,每个预设节点代表一个进程,预设节点的生成可以通过识别进程的创建操作来实现,每个预设节点的名称可以是对应进程的名称,以此通过生成预设节点的方式将每个对应进程的创建操作和退出操作联系起来。
在一些实施例中,对于每个预设节点,可以通过识别操作记录中每个预设节点对应进程的创建操作来确定进程之间的从属关系。例如进程A是由进程B创建的,则进程A为进程B的子节点,进程B为进程A的或父节点。
可以理解,在确定多个进程之间的从属关系后,由于进程于预设节点是一一对应的关系,便可以得到每个预设节点于其他的候选节点之间的关联关系,例如关联关系可以为预设节点A为预设节点B的子节点,预设节点C为预设节点B的父节点等。
可以理解,在预设节点集合中,每个预设节点都已经与其父节点建立了关联关系,可以根据多个预设节点之间的关联关系,逐步将所有的预设节点连接起来,构建出完整的进程树。
通过以上方式,基于进程的操作记录,可以构建包含多个预设节点的进程树,进城数的每个节点代表一个进程,而节点之间的关联关系通过进程的从属关系来确定。进程树可以帮助更好地理解和分析目标终端中进程之间的关系,从而为后续更准确地识别进程的异常行为或威胁奠定基础。
可选地,步骤“基于所述操作记录,构建包含多个节点的预设节点集合”,包括:
在所述操作记录中识别出针对所述进程的目标操作,基于所述目标操作的操作类型,对所述预设节点集合进行更新;
返回执行在所述操作记录中识别出针对所述进程的目标操作的步骤,直至所述操作记录中的操作均为所述目标操作时,得到目标节点集合。
可以理解,由于操作记录中可以包含关于进程的多种操作,使得进程树维护组件会更加关注与构建预设节点集合相关的目标操作,当确定好目标操作的类型后,便可以识别进程的目标操作来更新预设节点集合,每识别到一个目标操作,均会对预设节点集合进行更新。例如目标操作的操作类型为进程的创建操作,则识别该目标操作时,表示系统中启动该进程,则将该进程的节点作为一个新的目标节点添加到集合中。
通过不断重复上述步骤,直至所有在操作记录中出现的目标操作均被识别到,可以得到一个更新好的目标节点集合,该目标节点集合中包含了在操作记录中涉及的所有进程及其关联的操作。
通过以上方式,能够识别出与进程相关的目标操作,并在预设节点集合中更新这些目标操作的相关节点,以上过程能够构建一个更加精确和详细的目标节点集合,后续能够根据该目标节点集合更准确地构建进程树。
可选地,步骤“基于所述目标操作的操作类型,对所述预设节点集合进行更新”,包括:
当所述目标操作为创建操作时,在所述预设节点集合创建所述进程对应的节点;
当所述目标操作为退出操作时,删除所述进程对应的节点。
在一些实施例中,目标操作可以包括进程的创建操作和进程的退出操作。可以理解,在预设节点集合中创建一个新的节点表示系统新创建了一个进程,如果该进程与其他进程之间存在从属关系,则在预设节点集合中建立相应的关联关系。
相应的,可以在预设节点集合中查找并删除对应于退出操作的进程的节点。同时,还需要更新任何与该预设节点相关的关联关系,以确保进程树中节点构建的准确性。
步骤103、获取所述进程的关联网络地址,并将所述关联网络地址添加至对应的节点,得到目标进程树。
其中,关联网络地址可以包括进程发起网络通信时连接的网络地址。网络地址即IP地址,在进程进行网络活动时,例如进程最常见的网络活动是发送数据包,在该场景中,进程的关联网络地址为与该进程建立网络通信连接的数据包接收方的网络地址。
可选地,在步骤103之前,本申请的方法还包括:
获取网络地址追查函数;
获取追查所述关联网络地址的触发逻辑;
在所述网络地址追查函数中添加所述触发逻辑,得到目标网络地址追查函数;
当检测到所述进程发起网络通信时,调用所述目标网络地址追查函数追查所述进程的关联网络地址。
请参阅图3b,图3b是本申请实施例提供的部署攻击阻断设备的示意图。在一些实施例中,攻击阻断设备可以基于hook功能来追查进程的关联网络地址。
其中,网络地址追查函数为sock_sendmsg内核函数。如图3b所示,首先攻击阻断设备需要加载一个驱动,以便在内核中进行hook操作,驱动可以通过操作系统提供的接口来实现这执行hook操作的功能。
在一些实施例中,可以定义追查进程的关联网络地址的出发逻辑,以确定何时应该调用网络地址追查函数,例如触发逻辑可以是基于进程向外发送数据包的网络通信行为作为触发事件。进一步地,可以将获取的触发逻辑嵌入到网络地址追查函数中,得到目标网络地址追查函数。这样,每当满足触发逻辑时,目标网络地址追查函数将会被攻击阻断设备调用。
在一些实施例中,当进程调用目标网络地址追查函数发送网络数据包时,通过ftrace hook操作插入的hook代码会被触发执行。在hook代码中,可以获取正在发起网络通信的进程,以及与该进程通信的关联网络地址等信息,并通过获取的信息用来建立进程与关联网络地址之间的关联。
可选地,步骤103可以包括:
当检测到所述进程的数据包发送操作,识别所述数据包发送操作的接收方;
识别所述接收方的网络地址,并将所述网络地址作为所述进程的关联网络地址。
在一些实施例中,系统可以检测到进程的数据包发送操作,识别到该进程正在进行网络活动,并分析数据包的内容,确定数据包将要发送到哪个地址,即数据发送操作的接收方所对应的地址。
可以理解,攻击者会通过进程发送数据包的方式来实时网络攻击,而数据包的接收方可能是攻击者控制及的服务器或恶意程序,使得攻击者可以控制这些远程服务器发起后续的网络攻击。因此,本申请实施例通过识别每个进程的关联网络地址,能够在检测出网络攻击的风险进程时,以最快地速度发现与风险进程进行网络通信的服务器或程序,以便后续能够快速、准确地阻断该进程相关的网络攻击。
可选地,步骤103可以包括:
建立所述进程与所述关联网络地址之间的关联关系;
基于关联关系,将所述关联网络地址的信息添加至所述进程对应的节点,对所述进程树进行更新,得到所述目标进程树。
在一些实施例中,攻击阻断设备可以通过hook功能将进程与关联网络地址之间的关联关系告知给进程树维护组件,以使进程树维护组件能够基于获取的关联关系更新对应的节点。
仅作为示例,假设进程树维护组件获取进程A的关联网络地址为172.94.57.10,进程A在进程树中对应节点a,由于进程树中只记录节点a的名称,以及节点a与其他节点之间的从属关系,因此可以将节点a对应的进程A的关联网络地址作为一个新的信息添加到节点a中,实现对进程树的更新,便得到了最终的目标进程树。
通过以上方式,可以将进程树更新为一个信息更加丰富的目标进程树。该目标进程树能够反映每个节点对应的进程,以及与该进程关联的网络地址,有助于后续通过目标进程树来更准确地追查进程之间的通信走向,并且根据需求及时采取相应的防御措施,从而能够提升对网络攻击的处理响应速度和精准性。
步骤104、当在所述进程中检测到风险进程时,在所述关联网络地址中查询所述风险进程对应的目标关联网络地址。
请参阅图3c,图3c是本申请实施例提供的EDR系统与攻击阻断设备进行信息交互的示意图。如图3a和3c所示,在一些实施例中,当终端检测与响应系统,即EDR系统检测到发起网络攻击的风险进程时,会将该风险进程报告给攻击阻断设备,向攻击阻断设备发送一条风险进程拦截指令,收到该风险进程拦截指令后,攻击阻断设备会启用进程行为限制组件,进程行为限制组件可以在目标进程树中查询风险进程对应的目标关联地址。
可选地,步骤104可以包括:
在所述目标进程树中查询与所述风险进程对应的风险节点;
识别所述风险节点对应的关联网络地址,得到所述目标关联网络地址。
其中,目标关联网络地址为具有风险和威胁的网络地址,在一些实施例中,当检测到风险进程后,需要在目标进程树中查询与该风险进程对应的风险节点,以进一步地准确找出该风险进程的关联网络地址,由于风险进程是具有潜在或直接网络攻击风险的进程,因此该风险进程的网络地址为目标关联网络地址。可以理解,由于目标进程树的每个节点都记录对应进程的关联网络地址,因此可以通过查询风险节点的方式来查询该风险进程的关联网络地址。
仅作为示例,假设风险进程为B,查询出与该风险进程B对应的风险节点b,再进一步地查询出与该风险节点b对应的关联网络地址为123.456.789,则将该查询结果对应的网络地址123.456.789作为该风险进程B的目标关联网络地址。
可选地,在步骤“得到所述目标关联网络地址”之后,还包括:
当所述风险进程存在所述目标关联网络地址,对所述风险进程的所述目标关联网络地址进行拦截。
可以理解,大多数攻击者为了发起较为隐蔽的网络攻击,通常是在攻陷了正常的业务进程后,将风险进程寄生在业务进程中,风险进程本身无需进行网络活动,等待业务进程发起网络活动后,借助业务进程的网络通信来发动网络攻击,使得风险进程本身并不存在与之对应的。
但除了上面所提到的网络攻击场景,有的风险进程也会直接参与网络活动,例如与攻击者远程控制的恶意服务器、正常主流业务服务器等进行网络通信,使得这些风险进程是具有对应的目标关联网络地址的,从而通过切断关联网络地址的网络、过滤来自关联网络地址的数据包等方式,即可有效地阻断风险进程的网络攻击。
步骤105、若未查询到所述目标关联网络地址,则在所述目标进程树中识别出所述风险进程对应的主进程,并对所述主进程对应的关联网络地址进行拦截。
可以理解,在上面提到的当风险进程寄生在正常的业务进程的网络攻击场景中,风险进程是不存在对应的目标关联网络地址的,便无法直接锁定目标关联网络地址。
在一些实施例中,EDR系统可以通过目标进程树提供的节点信息,以风险节点为起始节点向上溯源,查询风险节点对应的级别最高的父节点,该级别最高的父节点不再具有对应的父节点,将该级别最高的父节点的进程确定为风险进程的主进程,即风险进程的祖宗进程,将该主进程的关联网络地址确定为目标关联网络地址,并对其进行拉黑处理。
可以理解,在风险进程寄生于正常进程的网络攻击场景中,攻击者想要发起多段网络攻击的话,需要在同一个正常进程中寄生多个独立的风险进程。通过切断主进程的目标关联网络地址的网络活动,由于后续多段网络攻击的其他风险进程的网络活动均要依赖该目标关联网络地址,使得本申请的方法能够及时、全面、准确地阻断多段网络攻击的危害。
可选地,步骤105可以包括:
在所述目标进程树中识别与所述风险进程对应的风险节点;
获取所述风险节点与连接节点的节点从属关系,所述连接节点为在所述目标进程树中与所述风险节点相连的节点;
根据所述节点从属关系,确定所述风险节点的主节点,将所述主节点对应的进程确定为所述主进程。
在一些实施例中,可以根据已经建立的目标进程树提供的节点信息,确定与风险进程对应的风险节点。风险节点可能是一个与风险进程相关联的节点,可能是直接或间接连接到风险进程的节点。
在一些实施例中,在确定了风险节点后,需要获取与该风险节点相连的连接节点。可以理解,这些连接节点是与风险节点直接相连的节点,通过节点之间的关联关系可以获取它们的从属关系。
在一些实施例中,通过分析节点之间的从属关系,可以确定风险节点的主节点。可以理解,主节点在目标进程树中位于风险节点的上层,通常是更加关键或更具影响力的节点,通过寻找风险进程的主进程能够有效地捕捉整个网络攻击链中的关键部分或源头,是全面、精准地阻断多段网络攻击中最为重要的部分。
可选地,步骤105可以包括:
获取所述主进程的信息;
根据所述主进程的信息,在所述目标进程树中识别所述主进程的关联网络地址;
构建关联网络地址对应的拦截配置文件,基于所述拦截配置文件对所述关联网络地址的目标数据包进行拦截。
在一些实施例中,进程行为限制组件可以通过netfilter设置网络过滤规则,将过滤规则添加到拦截配置文件中。例如网络过滤规则可以为的拦截并丢弃来自目标关联网络地址的数据包,以断开与具有风险的目标关联网络地址的全部网络连接,有效地阻断多段网络攻击,实现网络防护。
可选地,步骤“基于所述拦截配置文件对所述关联网络地址的目标数据包进行拦截”,包括:
将所述拦截规则信息添加到所述拦截配置文件中;
加载所述拦截配置文件,以加载所述拦截规则信息;
当识别到所述目标数据包,对所述目标数据包进行拦截并丢弃。
在一些实施例中,可以根据之前的步骤构建的拦截规则,将这些规则和相应的信息添加到拦截配置文件中。这些拦截规则信息可能包括目标网络地址、通信协议、端口以及其他需要拦截的条件。
在一些实施例中,一旦拦截配置文件中所需的拦截规则信息配置完成,攻击限制终端的系统可以加载这个拦截配置文件。加载过程会将拦截规则信息载入系统的进程行为限制组件,以便在网络数据包传输时对其进行检查。
在一些实施例中,当检测到来自目标关联网络地址的目标数据包从特定的主进程或风险进程发出时,拦截配置文件中的拦截规则信息将被应用。如果目标数据包与拦截规则信息相匹配,系统将会对该目标数据包进行拦截并丢弃,即阻止其继续传递或被处理。
需要说明的是,本申请的拦截规则信息可以根据网络安全防护的需求进行自由定制,本实施例对此不做限制。
可选地,在步骤“基于所述拦截配置文件对所述关联网络地址的目标数据包进行拦截”之后,还包括:
检测所述主进程的风险评估结果;
当所述风险评估结果指示所述主进程不存在风险时,更新并重新加载所述拦截配置文件,放行所述主进程发送的数据包,以解除对所述主进程的关联网络地址的拦截操作。
在一些实施例中,本申请的方法还提供一种正常进程误报的解除机制。可以理解,当风险进程寄生在正常进程的场景中,主进程对应的目标关联网络地址也有可能是正常业务流的IP地址,因此拦截该正常IP地址会影响正常业务的进行,因此需要在阻断风险进程的网络攻击之后,对主进程进行风险评估来判断本次网络攻击防护的操作是否存在“将正常进程的IP地址拉黑”的误报操作。
在一些实施例中,出现误报操作的常见情况可以包括:EDR系统提供风险进程的信息不准确、风险进程寄生到正常进程的信息误判、风险进程或寄生的主进程的行为复杂、风险进程或主进程的网络行为突发变化、拦截规则信息配置出现错误等。
在一些实施例中,当风险评估的结果显示主进程没有风险和威胁,则认定为主进程为安全进程,接下来会采取措施来解除之前对其关联网络地址的拦截操作。
具体的,在确认主进程不存在风险之后,可以针对该主进程的相关信息更新拦截配置文件。进程行为限制组件可以基于netfilter机制调整应用于主进程的拦截规则信息,以便放行该主进程发送的数据包。在重新加载更新后的拦截配置文件后,之前针对主进程的目标关联网络地址的拦截操作将会被解除。如此,解除限制后的主进程将能够正常发送数据包,而不会受到之前的拦截限制。
通过以上检测误报进程,并对误报进程解除限制的操作,能够根据风险评估结果动态地调整拦截策略,确保对误报的主进程的拦截操作能够及时解除,从而在前期阻断风险进程的多段网络攻击的同时,后续还不会影响到正常业务进程的网络通信。
由此可知,应用本申请实施例,可以获取目标终端中至少一个进程的当前进程信息,并在当前进程信息中识别出进程对应的操作记录,使得可以通过进程的操作记录进一步地识别出进程的创建操作和退出操作,并基于进程的创建操作和退出操作来准确地构建进程树。并且,本申请实施例的方法还能够在进程产生网络活动时,准确地获取与该进程进行网络通信的关联网络地址,并将该关联网络地址记录在进程树的对应节点中,以构建具备进程节点和对应关联网络地址的目标进程树。
其中,上述网络攻击防护方法的另一具体流程如下,参考图2b,该方法还包括以下步骤:
步骤201、获取目标终端中至少一个进程的当前进程信息,并在当前进程信息中识别出进程对应的操作记录。
其中,当前进程信息指的是正在运行的进程的相关信息,例如进程的名称、标识等。
在一些实施例中,在已获取的当前进程信息中,可以识别出与该进程相关的操作记录。这些操作记录可以包括进程的创建、退出以及网络通信等操作。该操作记录可以被记录在系统日志、安全审计日志或其他记录中,或者通过特定的系统进行捕获和保存,对于操作记录的存储形式,对此本实施例不做限制。
步骤202、基于操作记录,构建包含多个节点的预设节点集合。
在一些实施例中,构建包含多个节点的预设节点集合是指根据记录的操作事件和信息,创建一个初始的预设节点集合,其中每个节点代表一个进程或操作。以上预设节点是构建进程树的起始点,可以在后续的步骤中根据实际情况进行更新和拓展,以形成最终的预设节点集合。
步骤203、获取节点的进程与每个候选节点的进程的从属关系,确定多个节点之间的关联关系。
在一些实施例中,可以获取节点的进程与每个候选节点的进程的从属关系,在预设节点集合中的每个节点与其他候选节点之间,通过分析操作记录,确定每个节点之间的父子或从属关系。这种从属关系可以帮助建立进程树的层次结构,以展示进程之间的层级关系和操作流程。
步骤204、基于关联关系和多个节点,构建进程树。
可以理解,通过关联关系和多个几点,可以逐步建立一个清晰的进程树,展示出不同进程之间的关系和操作流程,有利于理解系统中各个进程的层次结构,以及它们之间的关联关系。
步骤205、将关联网络地址添加至对应的节点,得到目标进程树。
在一些实施例中,可以在已经建立好的进程树的基础上,将之前获取的关联网络地址信息与各个节点关联起来,从而构建一个更为完整和丰富的进程树,以便更好地理解每个节点的网络活动和关联情况。
步骤206、在关联网络地址中查询风险进程对应的目标关联网络地址。
在一些实施例中,可以根据之前建立的关联关系,寻找与风险进程相关联的网络地址,这些网络地址可能表示与该风险进程有直接或间接联系的其他节点或系统。这个步骤有助于确定风险进程的潜在威胁来源或进一步的关联关系。
步骤207、在目标进程树中识别出风险进程对应的主进程,并对主进程对应的关联网络地址进行拦截。
可以理解,本申请实施例的方法可以通过拦截主进程的网络通信,阻止潜在的威胁或攻击活动,从而实现更为全面、及时、准确的网络安全防护。
根据上述实施例所描述的方法,以下将作进一步详细说明。
如图4所示,为本申请实施例提供的网络攻击防护装置的结构示意图,该装置包括:
操作记录识别单元301,用于获取目标终端中至少一个进程的当前进程信息,并在所述当前进程信息中识别出针对所述进程的进程创建操作和进程退出操作对应的操作记录;
进程树构建单元302,用于基于所述操作记录,构建所述目标终端对应的进程树,所述进程树包括多个节点,每一节点对应一个进程;
目标进程树构建单元303,用于获取所述进程的关联网络地址,并将所述关联网络地址添加至对应的节点,得到目标进程树,所述关联网络地址包括所述进程发起网络通信时连接的网络地址;
地址查询单元304,用于当在所述进程中检测到风险进程时,在所述关联网络地址中查询所述风险进程对应的目标关联网络地址;
地址拦截单元305,用于若未查询到所述目标关联网络地址,则在所述目标进程树中识别出所述风险进程对应的主进程,并对所述主进程对应的关联网络地址进行拦截。
可选地,所述进程树构建单元302,包括:
预设节点构建子单元,用于基于所述操作记录,构建包含多个节点的预设节点集合;
关联关系确定子单元,用于获取所述预设节点的进程与每个候选节点的进程的从属关系,确定所述多个节点之间的关联关系,所述候选节点为所述节点之外的其他节点;
进程树构建子单元,用于基于所述关联关系和所述多个节点,构建所述进程树。
可选地,所述预设节点构建子单元,包括:
预设节点更新子单元,用于在所述操作记录中识别出针对所述进程的目标操作,基于所述目标操作的操作类型,对所述预设节点集合进行更新;
目标节点集合确定子单元,用于返回执行在所述操作记录中识别出针对所述进程的目标操作的步骤,直至所述操作记录中的操作均为所述目标操作时,得到目标节点集合。
可选地,所述预设节点更新子单元还具体用于:
当所述目标操作为创建操作时,在所述预设节点集合创建所述进程对应的节点;
当所述目标操作为退出操作时,删除所述进程对应的节点。
可选地,所述目标进程树构建单元303还具体用于:
当检测到所述进程的数据包发送操作,识别所述数据包发送操作的接收方;
识别所述接收方的网络地址,并将所述网络地址作为所述进程的关联网络地址。
可选地,所述目标进程树构建单元303还具体用于:
建立所述进程与所述关联网络地址之间的关联关系;
基于关联关系,将所述关联网络地址的信息添加至所述进程对应的节点,对所述进程树进行更新,得到所述目标进程树。
可选地,所述地址拦截单元305还具体用于:
在所述目标进程树中识别与所述风险进程对应的风险节点;
获取所述风险节点与连接节点的节点从属关系,所述连接节点为在所述目标进程树中与所述风险节点相连的节点;
根据所述节点从属关系,确定所述风险节点的主节点,将所述主节点对应的进程确定为所述主进程。
可选地,所述地址拦截单元305,包括:
信息获取子单元,用于获取所述主进程的信息;
关联网络地址识别子单元,用于根据所述主进程的信息,在所述目标进程树中识别所述主进程的关联网络地址;
拦截配置文件构建子单元,用于构建关联网络地址对应的拦截配置文件,基于所述拦截配置文件对所述关联网络地址的目标数据包进行拦截。
可选地,所述拦截配置文件构建子单元还具体用于:
将所述拦截规则信息添加到所述拦截配置文件中;
加载所述拦截配置文件,以加载所述拦截规则信息;
当识别到所述目标数据包,对所述目标数据包进行拦截并丢弃。
可选地,所述装置还包括:
风险评估结果检测单元,用于检测所述主进程的风险评估结果;
拦截解除单元,用于当所述风险评估结果指示所述主进程不存在风险时,更新并重新加载所述拦截配置文件,放行所述主进程发送的数据包,以解除对所述主进程的关联网络地址的拦截操作。
可选地,所述地址查询单元304还具体用于:
在所述目标进程树中查询与所述风险进程对应的风险节点;
识别所述风险节点对应的关联网络地址,得到所述目标关联网络地址。
可选地,所述装置还包括:
地址拦截第二单元,用于当所述风险进程存在所述目标关联网络地址,对所述风险进程的所述目标关联网络地址进行拦截。
可选地,所述装置还包括:
地址追查函数获取单元,用于获取网络地址追查函数;
触发逻辑获取单元,用于获取追查所述关联网络地址的触发逻辑;
触发逻辑添加单元,用于在所述网络地址追查函数中添加所述触发逻辑,得到目标网络地址追查函数;
函数调用单元,用于当检测到所述进程发起网络通信时,调用所述目标网络地址追查函数追查所述进程的关联网络地址。
由此可知,应用本申请实施例,可以获取目标终端中至少一个进程的当前进程信息,并在当前进程信息中识别出进程对应的操作记录,使得可以通过进程的操作记录进一步地识别出进程的创建操作和退出操作,并基于进程的创建操作和退出操作来准确地构建进程树。并且,本申请实施例的方法还能够在进程产生网络活动时,准确地获取与该进程进行网络通信的关联网络地址,并将该关联网络地址记录在进程树的对应节点中,以构建具备进程节点和对应关联网络地址的目标进程树。
当检测到风险进程时,便可以在目标进程树中识别出该风险进程对应的主进程,以及该主进程的关联网络地址。由于多段网络攻击的多个进程通常寄生在同一个主进程中,因此通过切断该主进程的关联网络地址,能够全面、精确地阻断多段网络攻击,以提升网络安全防护的效果。
本申请实施例还提供一种电子设备,该电子设备可以为终端、服务器等设备。如图5所示,其示出了本申请实施例所涉及的电子设备的结构示意图,具体来讲:
该电子设备可以包括一个或者一个以上处理核心的处理器401、一个或一个以上计算机可读存储介质的存储器402、电源403、输入单元404以及通信单元405等部件。本领域技术人员可以理解,图5中示出的电子设备结构并不生成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器401是该电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器402内的软件程序和/或单元,以及调用存储在存储器402内的数据,执行电子设备的各种功能和处理数据。在一些实施例中,处理器401可包括一个或多个处理核心;在一些实施例中,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、展示界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
存储器402可用于存储软件程序以及单元,处理器401通过运行存储在存储器402的软件程序以及单元,从而执行各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据电子设备的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器402还可以包括存储器控制器,以提供处理器401对存储器402的访问。
电子设备还包括给各个部件供电的电源403,在一些实施例中,电源403可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源403还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该电子设备还可包括输入单元404,该输入单元404可用于接收输入的数字或字符信息,以及产生与对象设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
该电子设备还可包括通信单元405,在一些实施例中通信单元405可以包括无线单元,电子设备可以通过该通信单元405的无线单元进行短距离无线传输,从而为对象提供了无线的宽带互联网访问。比如,该通信单元405可以用于帮助对象收发电子邮件、浏览网页和访问流式媒体等。
尽管未示出,电子设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,电子设备中的处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现各种功能。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
由此可知,应用本申请实施例,可以获取目标终端中至少一个进程的当前进程信息,并在当前进程信息中识别出进程对应的操作记录,使得可以通过进程的操作记录进一步地识别出进程的创建操作和退出操作,并基于进程的创建操作和退出操作来准确地构建进程树。并且,本申请实施例的方法还能够在进程产生网络活动时,准确地获取与该进程进行网络通信的关联网络地址,并将该关联网络地址记录在进程树的对应节点中,以构建具备进程节点和对应关联网络地址的目标进程树。
当检测到风险进程时,便可以在目标进程树中识别出该风险进程对应的主进程,以及该主进程的关联网络地址。由于多段网络攻击的多个进程通常寄生在同一个主进程中,因此通过切断该主进程的关联网络地址,能够全面、精确地阻断多段网络攻击,以提升网络安全防护的效果。
为此,本申请实施例提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请实施例所提供的任一种网络攻击防护方法中的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一种网络攻击防护方法中的步骤,因此,可以实现本申请实施例所提供的任一种网络攻击防护方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本申请实施例所提供的一种网络攻击防护方法、装置、电子设备和存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (16)

1.一种网络攻击防护方法,其特征在于,所述方法包括:
获取目标终端中至少一个进程的当前进程信息,并在所述当前进程信息中识别出针对所述进程的进程创建操作和进程退出操作对应的操作记录;
基于所述操作记录,构建所述目标终端对应的进程树,所述进程树包括多个节点,每一节点对应一个进程;
获取所述进程的关联网络地址,并将所述关联网络地址添加至对应的节点,得到目标进程树,所述关联网络地址包括所述进程发起网络通信时连接的网络地址;
当在所述进程中检测到风险进程时,在所述关联网络地址中查询所述风险进程对应的目标关联网络地址;
若未查询到所述目标关联网络地址,则在所述目标进程树中识别出所述风险进程对应的主进程,并对所述主进程对应的关联网络地址进行拦截。
2.根据权利要求1所述的方法,其特征在于,所述基于所述操作记录,构建所述目标终端对应的进程树,包括:
基于所述操作记录,构建包含多个节点的预设节点集合;
获取所述预设节点的进程与每个候选节点的进程的从属关系,确定所述多个节点之间的关联关系,所述候选节点为所述预设节点之外的其他节点;
基于所述关联关系和所述多个节点,构建所述进程树。
3.根据权利要求2所述的方法,其特征在于,所述基于所述操作记录,构建包含多个节点的预设节点集合,包括:
在所述操作记录中识别出针对所述进程的目标操作,基于所述目标操作的操作类型,对所述预设节点集合进行更新;
返回执行在所述操作记录中识别出针对所述进程的目标操作的步骤,直至所述操作记录中的操作均为所述目标操作时,得到目标节点集合。
4.根据权利要求3所述的方法,其特征在于,所述基于所述目标操作的操作类型,对所述预设节点集合进行更新,包括:
当所述目标操作为创建操作时,在所述预设节点集合创建所述进程对应的节点;
当所述目标操作为退出操作时,删除所述进程对应的节点。
5.根据权利要求1所述的方法,其特征在于,所述获取所述进程的关联网络地址,包括:
当检测到所述进程的数据包发送操作,识别所述数据包发送操作的接收方;
识别所述接收方的网络地址,并将所述网络地址作为所述进程的关联网络地址。
6.根据权利要求1所述的方法,其特征在于,所述将所述关联网络地址添加至对应的节点,得到目标进程树,包括:
建立所述进程与所述关联网络地址之间的关联关系;
基于关联关系,将所述关联网络地址的信息添加至所述进程对应的节点,对所述进程树进行更新,得到所述目标进程树。
7.根据权利要求1所述的方法,其特征在于,所述在所述目标进程树中识别出所述风险进程对应的主进程,包括:
在所述目标进程树中识别与所述风险进程对应的风险节点;
获取所述风险节点与连接节点的节点从属关系,所述连接节点为在所述目标进程树中与所述风险节点相连的节点;
根据所述节点从属关系,确定所述风险节点的主节点,将所述主节点对应的进程确定为所述主进程。
8.根据权利要求1所述的方法,其特征在于,所述对所述主进程对应的关联网络地址进行拦截,包括:
获取所述主进程的信息;
根据所述主进程的信息,在所述目标进程树中识别所述主进程的关联网络地址;
构建关联网络地址对应的拦截配置文件,基于所述拦截配置文件对所述关联网络地址的目标数据包进行拦截。
9.根据权利要求8所述的方法,其特征在于,所述基于所述拦截配置文件对所述关联网络地址的目标数据包进行拦截,包括:
将拦截规则信息添加到所述拦截配置文件中;
加载所述拦截配置文件,以加载所述拦截规则信息;
当识别到所述目标数据包,对所述目标数据包进行拦截并丢弃。
10.根据权利要求8所述的方法,其特征在于,在基于所述拦截配置文件对所述关联网络地址的目标数据包进行拦截之后,还包括:
检测所述主进程的风险评估结果;
当所述风险评估结果指示所述主进程不存在风险时,更新并重新加载所述拦截配置文件,放行所述主进程发送的数据包,以解除对所述主进程的关联网络地址的拦截操作。
11.根据权利要求1所述的方法,其特征在于,所述在所述关联网络地址中查询所述风险进程对应的目标关联网络地址,包括:
在所述目标进程树中查询与所述风险进程对应的风险节点;
识别所述风险节点对应的关联网络地址,得到所述目标关联网络地址。
12.根据权利要求11所述的方法,其特征在于,在所述得到所述目标关联网络地址之后,还包括:
当所述风险进程存在所述目标关联网络地址,对所述风险进程的所述目标关联网络地址进行拦截。
13.根据权利要求1所述的方法,其特征在于,在所述获取所述进程的关联网络地址之前,还包括:
获取网络地址追查函数;
获取追查所述关联网络地址的触发逻辑;
在所述网络地址追查函数中添加所述触发逻辑,得到目标网络地址追查函数;
当检测到所述进程发起网络通信时,调用所述目标网络地址追查函数追查所述进程的关联网络地址。
14.一种网络攻击防护装置,其特征在于,所述装置包括:
操作记录识别单元,用于获取目标终端中至少一个进程的当前进程信息,并在所述当前进程信息中识别出针对所述进程的进程创建操作和进程退出操作对应的操作记录;
进程树构建单元,用于基于所述操作记录,构建所述目标终端对应的进程树,所述进程树包括多个节点,每一节点对应一个进程;
目标进程树构建单元,用于获取所述进程的关联网络地址,并将所述关联网络地址添加至对应的节点,得到目标进程树,所述关联网络地址包括所述进程发起网络通信时连接的网络地址;
地址查询单元,用于当在所述进程中检测到风险进程时,在所述关联网络地址中查询所述风险进程对应的目标关联网络地址;
地址拦截单元,用于若未查询到所述目标关联网络地址,则在所述目标进程树中识别出所述风险进程对应的主进程,并对所述主进程对应的关联网络地址进行拦截。
15.一种电子设备,其特征在于,包括:
处理器和存储介质;
所述处理器,用于实现各个指令;
所述存储介质用于储存多条指令,所述指令用于由处理器加载并执行如权利要求1至13中任一项所述的网络攻击防护方法。
16.一种计算机可读存储介质,存储有可执行指令,其特征在于,所述可执行指令被处理器执行时实现权利要求1至13中任一项所述的网络攻击防护方法。
CN202311199492.7A 2023-09-18 2023-09-18 网络攻击防护方法、装置、电子设备及可读存储介质 Active CN116938605B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311199492.7A CN116938605B (zh) 2023-09-18 2023-09-18 网络攻击防护方法、装置、电子设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311199492.7A CN116938605B (zh) 2023-09-18 2023-09-18 网络攻击防护方法、装置、电子设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN116938605A CN116938605A (zh) 2023-10-24
CN116938605B true CN116938605B (zh) 2024-01-05

Family

ID=88382946

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311199492.7A Active CN116938605B (zh) 2023-09-18 2023-09-18 网络攻击防护方法、装置、电子设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN116938605B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101944167A (zh) * 2010-09-29 2011-01-12 中国科学院计算技术研究所 识别恶意程序的方法及系统
CN109347876A (zh) * 2018-11-29 2019-02-15 深圳市网心科技有限公司 一种安全防御方法及相关装置
CN110598410A (zh) * 2019-09-16 2019-12-20 腾讯科技(深圳)有限公司 一种恶意进程的确定方法、装置、电子设备及存储介质
CN111786964A (zh) * 2020-06-12 2020-10-16 深信服科技股份有限公司 网络安全检测方法、终端及网络安全设备
CN111930588A (zh) * 2020-06-30 2020-11-13 苏州三六零智能安全科技有限公司 进程监测方法、装置、设备和存储介质
CN112114995A (zh) * 2020-09-29 2020-12-22 平安普惠企业管理有限公司 基于进程的终端异常分析方法、装置、设备及存储介质
CN115827379A (zh) * 2022-11-23 2023-03-21 腾讯科技(深圳)有限公司 异常进程检测方法、装置、设备和介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8635686B2 (en) * 2007-05-25 2014-01-21 Apple Inc. Integrated privilege separation and network interception
US11831658B2 (en) * 2018-01-22 2023-11-28 Nuix Limited Endpoint security architecture with programmable logic engine

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101944167A (zh) * 2010-09-29 2011-01-12 中国科学院计算技术研究所 识别恶意程序的方法及系统
CN109347876A (zh) * 2018-11-29 2019-02-15 深圳市网心科技有限公司 一种安全防御方法及相关装置
CN110598410A (zh) * 2019-09-16 2019-12-20 腾讯科技(深圳)有限公司 一种恶意进程的确定方法、装置、电子设备及存储介质
CN111786964A (zh) * 2020-06-12 2020-10-16 深信服科技股份有限公司 网络安全检测方法、终端及网络安全设备
CN111930588A (zh) * 2020-06-30 2020-11-13 苏州三六零智能安全科技有限公司 进程监测方法、装置、设备和存储介质
CN112114995A (zh) * 2020-09-29 2020-12-22 平安普惠企业管理有限公司 基于进程的终端异常分析方法、装置、设备及存储介质
CN115827379A (zh) * 2022-11-23 2023-03-21 腾讯科技(深圳)有限公司 异常进程检测方法、装置、设备和介质

Also Published As

Publication number Publication date
CN116938605A (zh) 2023-10-24

Similar Documents

Publication Publication Date Title
US20200304390A1 (en) Synthetic data for determining health of a network security system
CN112073411B (zh) 一种网络安全推演方法、装置、设备及存储介质
US10560434B2 (en) Automated honeypot provisioning system
CN109829297B (zh) 监控装置、方法及其电脑存储介质
CN110661658B (zh) 一种区块链网络的节点管理方法、装置及计算机存储介质
US10862854B2 (en) Systems and methods for using DNS messages to selectively collect computer forensic data
CN112422484B (zh) 确定用于处理安全事件的剧本的方法、装置及存储介质
CN104219316A (zh) 一种分布式系统中的调用请求处理方法及装置
CN112073437B (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
WO2017185827A1 (zh) 用于确定应用程序可疑行为的方法和装置
US9866575B2 (en) Management and distribution of virtual cyber sensors
CN108234400B (zh) 一种攻击行为确定方法、装置及态势感知系统
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN103428212A (zh) 一种恶意代码检测及防御的方法
CN110880983A (zh) 基于场景的渗透测试方法及装置、存储介质、电子装置
CN115174279B (zh) 一种以太坊智能合约漏洞实时检测方法、终端及存储介质
CN105378745A (zh) 基于安全问题禁用和启用节点
CN114208114B (zh) 每参与者的多视角安全上下文
US9871810B1 (en) Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties
CN116107846A (zh) 一种基于EBPF的Linux系统事件监控方法及装置
CN108737421B (zh) 一种发现网络内潜在威胁的方法、系统、装置及存储介质
CN112528296B (zh) 漏洞检测方法、装置和存储介质及电子设备
US11196710B1 (en) Systems and methods for monitoring and securing networks using a shared buffer
JP2022067092A (ja) サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム
CN116938605B (zh) 网络攻击防护方法、装置、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant