CN116962049A - 一种综合监测和主动防御的零日漏洞攻击防控方法和系统 - Google Patents
一种综合监测和主动防御的零日漏洞攻击防控方法和系统 Download PDFInfo
- Publication number
- CN116962049A CN116962049A CN202310930809.3A CN202310930809A CN116962049A CN 116962049 A CN116962049 A CN 116962049A CN 202310930809 A CN202310930809 A CN 202310930809A CN 116962049 A CN116962049 A CN 116962049A
- Authority
- CN
- China
- Prior art keywords
- zero
- attack
- monitoring
- day vulnerability
- vulnerability attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 355
- 230000007123 defense Effects 0.000 title claims abstract description 132
- 238000000034 method Methods 0.000 title claims abstract description 74
- 230000002265 prevention Effects 0.000 title claims abstract description 25
- 230000008569 process Effects 0.000 claims abstract description 20
- 230000008260 defense mechanism Effects 0.000 claims abstract description 17
- 230000004044 response Effects 0.000 claims description 45
- 238000001914 filtration Methods 0.000 claims description 21
- 230000008859 change Effects 0.000 claims description 16
- 210000001503 joint Anatomy 0.000 claims description 14
- 230000007246 mechanism Effects 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 8
- 238000003032 molecular docking Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 230000001939 inductive effect Effects 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 7
- 230000006399 behavior Effects 0.000 description 13
- 230000009286 beneficial effect Effects 0.000 description 11
- 230000002159 abnormal effect Effects 0.000 description 4
- 235000012907 honey Nutrition 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007670 refining Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Abstract
本发明提供了一种综合监测和主动防御的零日漏洞攻击防控方法和系统,其方法包括:基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系;基于综合监测体系对零日漏洞攻击进行实时监测,并当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征;基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御。保障了对零日漏洞攻击监测的及时性以及可靠性,同时,保障了防御体系的完善性,提高了对零日漏洞攻击防御的效果以及效率,大大降低了企业在运行过程中的损失。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种综合监测和主动防御的零日漏洞攻击防控方法和系统。
背景技术
零日漏洞又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现,这种攻击往往具有很大的突发性与破坏性,会对系统造成严重的损坏,同时也会给企业带来巨大的损失;
目前,市面上常见的零日漏洞攻击监测和主动防御存在以下缺点:
1.当前的防御零日漏洞攻击的方法较为传统,更多的取决于企业自身的网络安全水平和人员能力;
2.多数企业认为买够一定足量的设备,配合一定的网络安全人员即可有效应对零日漏洞的攻击,但在整体处置串联、产品的搭配的过程中却很难执行和有效应对;
3.零日漏洞多数来源于业务,对于业务的不理解让防范过程中漏洞百出;
4.网络安全防护设备防零日漏洞能力单一,无法形成体系化和流程化;
综上所述,目前市面上常见的零日漏洞攻击监测和主动防御能力较弱,不能及时有效的发现零日漏洞攻击,且不能采用有效的防御手段进行主动防御,从而延误了主动防御的最佳时机,降低了零日漏洞攻击的防御效果;
因此,本发明提供了一种综合监测和主动防御的零日漏洞攻击防控方法和系统。
发明内容
本发明提供一种综合监测和主动防御的零日漏洞攻击防控方法和系统,用以通过构建综合监测体系,实现对待监测系统进行全面有效的零日漏洞攻击监测,保障了对零日漏洞攻击监测的及时性以及可靠性,同时,在监测到零日漏洞攻击后,根据构建的零日漏洞攻击主动防御体系对零日漏洞攻击进行针对性且可靠有效的主动防御,保障了防御体系的完善性,同时提高了对零日漏洞攻击防御的效果以及效率,大大降低了企业在运行过程中的损失。
本发明提供了一种综合监测和主动防御的零日漏洞攻击防控方法,包括:
步骤1:基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系;
步骤2:基于综合监测体系对零日漏洞攻击进行实时监测,并当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征;
步骤3:基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御。
优选的,一种综合监测和主动防御的零日漏洞攻击防控方法,步骤1中,基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系,包括:
获取预设监测指标,并对预设监测指标进行解析,确定每一预设监测指标的指标属性,且基于指标属性确定对零日漏洞攻击的监测类型,其中,监测类型包括全网络流量监测、日志监测、资产信息监测以及终端、服务器安全防护监测;
基于每一预设监测指标的指标属性确定每一监测类型的监测特征,并将监测特征与预设监测策略表进行匹配,得到每一监测类型对应的子监测体系和部署主体,且基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系。
优选的,一种综合监测和主动防御的零日漏洞攻击防控方法,得到每一监测类型对应的子监测体系和部署主体,包括:
当监测类型为全网络流量监测时,基于预设监测策略库调取预设全网络流量监测预警子体系,并获取待监测系统的结构特征,且基于结构特征确定待监测系统中的网络运行节点,其中,网络运行节点至少为两个;
将预设全网络流量监测预警子体系在网络运行节点进行第一部署;
当监测类型为日志监测时,基于预设监测策略库调取预设日志收集与分析子体系,并基于待监测系统的结构特征确定待监测系统中的安全设备集合和防护软件集合;
提取安全设备集合中各安全设备的通讯端口以及防护软件集合中各防护软件的数据端口,并将预设日志收集与分析子体系分别与安全设备的通讯端口和防护软件的数据端口进行第一对接,且基于第一对接结果完成第二部署。
优选的,一种综合监测和主动防御的零日漏洞攻击防控方法,得到每一监测类型对应的子监测体系和部署主体,还包括:
当监测类型为资产信息监测时,基于预设监测策略库调取预设资产信息管理子体系,并基于待监测系统的结构特征确定待监测系统中的目标信息资产模块;
将预设资产信息管理子体系与目标信息资产模块进行第二对接,并基于第二对接结果完成第三部署;
当监测类型为终端、服务器安全防护监测时,基于预设监测策略库调取预设防护工具,并基于待监测系统的结构特征确定待监测系统中的目标终端集合以及目标服务器集合,其中,预设防护工具至少为两种;
提取预设防护工具的防护属性,并基于防护属性确定各预设防护工具之间的组合防护策略,且基于组合防护策略将预设防护工具在目标终端集合中的各目标终端以及目标服务器集合中的各目标服务器中进行第四部署;
基于第一部署、第二部署、第三部署以及第四部署构建零日漏洞攻击的综合监测体系。
优选的,一种综合监测和主动防御的零日漏洞攻击防控方法,步骤2中,基于综合监测体系对零日漏洞攻击进行实时监测,包括:
获取得到的综合监测体系,并对综合监测体系进行解析,确定综合监测体系中每一子监测体系的监测任务,且基于监测任务确定每一子监测体系对应的待监测零日漏洞攻击特征;
基于待监测零日漏洞攻击特征确定对应零日漏洞攻击类型,同时,基于预设策略根据待监测零日漏洞攻击特征生成过滤规则,并将零日漏洞攻击类型以及过滤规则在对应的子监测体系中进行适配,且基于适配结果得到目标综合监测体系;
将目标综合监测体系分别与待监测系统中各运行模块的运行脚本数据库进行对接,并基于对接结果根据综合监测体系实时获取对应运行模块的网络运行数据;
基于预设网络协议对得到的网络运行数据进行协议解析,得到各运行模块在运行过程中的请求数据和响应数据,并基于目标综合监测体系中的过滤规则分别对请求数据和响应数据进行数据过滤,提取请求数据和响应数据中的敏感运行数据;
确定敏感运行数据的数据特征,并将敏感运行数据的数据特征与不同零日漏洞攻击类型对应的待监测零日漏洞攻击特征进行相似度匹配,且将相似度匹配值与预设相似度阈值进行比较;
当相似度匹配值大于或等于预设相似度阈值时,则判定监测到零日漏洞攻击,否则,判定未监测到零日漏洞攻击。
优选的,一种综合监测和主动防御的零日漏洞攻击防控方法,步骤2中,当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征,包括:
当监测到零日漏洞攻击时,基于预构建的蜜罐诱捕主动防御体系引诱攻击者进行零日漏洞攻击尝试,并实时监测待监测系统在零日漏洞攻击尝试后的实时状态数据以及零日漏洞攻击尝试的实时操作数据;
获取实时状态数据的目标取值,并基于目标取值确定待监测系统在零日漏洞攻击尝试后的运行状态,且将运行状态与标准运行状态进行比较,得到零日漏洞攻击的攻击程度以及对待监测系统的影响范围;
基于攻击程度以及零日漏洞攻击对待监测系统的影响范围得到零日漏洞特征;
同时,对零日漏洞攻击尝试的实时操作数据进行解析,得到零日漏洞攻击尝试在待监测系统中的攻击方式,并基于攻击方式确定零日漏洞攻击特征。
优选的,一种综合监测和主动防御的零日漏洞攻击防控方法,基于预构建的蜜罐诱捕主动防御体系引诱攻击者进行零日漏洞攻击尝试,包括:
基于蜜罐诱捕主动防御体系实时获取攻击者进行零日漏洞攻击尝试时的访问对象,并实时监测访问对象在零日漏洞攻击尝试下的数据变化参数,其中,数据变化参数包括数据类型变化以及数据取值变化;
基于数据变化参数确定攻击者的在零日漏洞攻击尝试时的攻击痕迹数据,并对攻击痕迹数据进行分析,确定攻击者在零日漏洞攻击尝试的目标切入点以及每一攻击步骤的攻击属性;
基于目标切入点以及每一攻击步骤的攻击属性得到攻击者的攻击行为特征,并对攻击行为特征进行记录,得到攻击者的目标画像。
优选的,一种综合监测和主动防御的零日漏洞攻击防控方法,步骤3中,基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御,包括:
获取得到的零日漏洞特征以及攻击特征,并基于零日漏洞特征以及攻击特征确定目标入侵事件;
提取目标入侵事件的事件标识,并将事件标识与预设应急响应方案库中的各预设保障方案的方案标识进行匹配,且基于匹配结果确定目标保障方案;
确定目标保障方案中的响应流程以及响应规则,并基于协同联防机制将目标保障方案中的响应流程以及响应规则向各预设响应机构进行发送,且基于发送结果对零日漏洞攻击进行主动防御。
优选的,一种综合监测和主动防御的零日漏洞攻击防控方法,基于发送结果对零日漏洞攻击进行主动防御,包括:
获取对零日漏洞攻击的主动防御进程,并当完成对当前零日漏洞攻击的主动防御后,对当前零日漏洞攻击的第一攻击标识进行记录;
实时监测待监测系统的新零日漏洞攻击,并提取新零日漏洞攻击的漏洞属性,且基于漏洞属性确定新零日漏洞攻击的第二攻击标识,其中,新零日漏洞攻击至少为一个;
将第一攻击标识分别与第二攻击标识进行匹配;
若存在第二攻击标识与第一攻击标识一致,则判定对零日漏洞攻击的主动防御失败,并重新对已完成主动防御的零日漏洞攻击进行主动防御完善,直至不存在第二攻击标识与第一攻击标识一致;
否则,判定成功完成对零日漏洞攻击的主动防御。
优选的,一种综合监测和主动防御的零日漏洞攻击防控系统,包括:
综合监测体系构建模块,用于基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系;
零日漏洞攻击监测模块,用于基于综合监测体系对零日漏洞攻击进行实时监测,并当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征;
主动防御模块,用于基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御。
与现有技术相比,本发明的有益效果如下:
1.通过构建综合监测体系,实现对待监测系统进行全面有效的零日漏洞攻击监测,保障了对零日漏洞攻击监测的及时性以及可靠性,同时,在监测到零日漏洞攻击后,根据构建的零日漏洞攻击主动防御体系对零日漏洞攻击进行针对性且可靠有效的主动防御,保障了防御体系的完善性,同时提高了对零日漏洞攻击防御的效果以及效率,大大降低了企业在运行过程中的损失。
2.通过对综合监测体系中不同子监测体系的监测任务进行分析,实现对每一子监测体系对应的零日漏洞攻击类型以及过滤规则进行准确有效的制定,并将零日漏洞攻击类型以及过滤规则在对应的子监测体系中进行适配,最后,通过适配好的综合监测体系对待监测系统中的各运行模块进行有效监测,实现实时对不同运行模块的网络运行数据进行有效监测和分析,从而保障了对待监测系统中存在的零日漏洞攻击发现的及时性以及对零日漏洞攻击发现的可靠性,为实现及时对零日漏洞攻击进行主动防御提供了便利与保障,确保了待监测系统的运行安全,降低了企业的损失。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中一种综合监测和主动防御的零日漏洞攻击防控方法的流程图;
图2为本发明实施例中一种综合监测和主动防御的零日漏洞攻击防控方法中步骤1的流程图;
图3为本发明实施例中一种综合监测和主动防御的零日漏洞攻击防控系统的结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例1:
本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控方法,如图1所示,包括:
步骤1:基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系;
步骤2:基于综合监测体系对零日漏洞攻击进行实时监测,并当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征;
步骤3:基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御。
该实施例中,预设监测指标是提前设定好的,用于表征需要采用到的监测体系以及监测体系需要部署的位置,是提前已知的。
该实施例中,零日漏洞指的是系统中的漏洞被发现后立即被恶意利用的安全漏洞,零日漏洞攻击则是通过利用安全漏洞对运行的系统进行破坏或者侵入。
该实施例中,子监测体系是用来监测系统中不同运行模块的监测系统,包括全网络流量监测预警子体系、日志收集与分析子体系、资产信息管理子体系以及防护工具。
该实施例中,部署主体指的是需要将子监测体系在待监测系统进行安装的位置,从而实现对待监测系统进行相应的零日漏洞攻击监测,例如可以是待监测系统中的不同运行模块的脚本数据库等。
该实施例中,综合监测体系指的是将不同子监测体系进行综合后得到的,目的是为了实现对待监测系统进行全面的零日漏洞攻击监测,从而达到保障系统的安全运行。
该实施例中,零日漏洞攻击主动防御体系是提前构建的,包括高甜度蜜罐诱捕主动防御技术以及企业内部纵横向协同联防体系和企业外部横向协同联防机制等,用于当出现零日漏洞攻击时,及时对零日漏洞攻击进行防御以及及时对漏洞进行修复。
该实施例中,零日漏洞特征指的是漏洞存在的严重程度以及零日漏洞在被利用时能够对当前运行系统造成的影响范围等。
该实施例中,攻击特征指的是零日漏洞攻击在对当前运行系统进行攻击时的攻击方式以及攻击步骤等。
该实施例中,目标保障方案是根据零日漏洞特征和攻击特征确定的,不同的零日漏洞特征和攻击特征对应不同的保障方案,其中,目标保障方案用于表征应对零日漏洞攻击的具体方法以及需要协同的机构等,是提前已知的。
该实施例中,协同联防机制是提前设定好的,用于在出现零日漏洞攻击时,及时向相应机构发送应急响应以及应急响应策略,从而实现对零日漏洞攻击进行主动防御。
该实施例中,基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御指的是根据协同联防机制参照目标保障方案中的应急响应步骤,及时向相应机构发送响应通知以及应急响应方案,从而协调各机构同步进行零日漏洞攻击的主动防御,具体包括成立企业网络安全领导小组和指挥部,下设综合联络组、监测防护组、应急响应组及内部各单位防护组织,实现了内部纵横向协同联防体系;建立与公安机关、主管部门、行业部门、供应链厂商等的协同配合、联动共防、情报共享措施,实现了企业外部横向协同联防机制,形成了顺畅高效的协同防守指挥机制,提高了对零日漏洞攻击的协同联动应急处置能力。
上述技术方案的有益效果是:通过构建综合监测体系,实现对待监测系统进行全面有效的零日漏洞攻击监测,保障了对零日漏洞攻击监测的及时性以及可靠性,同时,在监测到零日漏洞攻击后,根据构建的零日漏洞攻击主动防御体系对零日漏洞攻击进行针对性且可靠有效的主动防御,保障了防御体系的完善性,同时提高了对零日漏洞攻击防御的效果以及效率,大大降低了企业在运行过程中的损失。
实施例2:
在实施例1的基础上,本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控方法,如图2所示,步骤1中,基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系,包括:
步骤101:获取预设监测指标,并对预设监测指标进行解析,确定每一预设监测指标的指标属性,且基于指标属性确定对零日漏洞攻击的监测类型,其中,监测类型包括全网络流量监测、日志监测、资产信息监测以及终端、服务器安全防护监测;
步骤102:基于每一预设监测指标的指标属性确定每一监测类型的监测特征,并将监测特征与预设监测策略表进行匹配,得到每一监测类型对应的子监测体系和部署主体,且基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系。
该实施例中,指标属性指的是每一预设监测指标的指标类型以及每一预设监测指标表征的需要达到的监测标准。
该实施例中,全网络流量监测指的是对全网络流量做到全覆盖不留死角,及时监测发现和分析网络中的异常流量和异常行为,并及时阻断网络攻击行为。
该实施例中,日志监测指的是对接安全设备和防护软件自身存在的零日漏洞,开展7*24小时的日志的监测与分析,及时监测发现和分析异常日志。
该实施例中,资产信息监测指的是形成完备准确的信息资产清单,以便于及时更新补丁、修复历史或老旧漏洞,尽量缩短历史漏洞在组合漏洞攻击中的影响范围和存在时间,并可在受到攻击后立即定位相关资产,为快速处置提供支持。
该实施例中,终端、服务器安全防护监测指的是在所有终端、所有服务器上部署相关安全防护系统、传统安全设备、应用软件防护设备、主机防护和内存保护软件等基本防护工具,进行组合式策略保护,不断细化控制策略,防止零日漏洞直接对资产进行打击和利用。
该实施例中,监测特征每一监测类型需要达到的监测标准以及在监测过程中具体的监测方式和执行方案等。
该实施例中,预设监测策略表是提前设定好的,用于存储不同监测特征对应的子监测体系和部署主体。
上述技术方案的有益效果是:通过对预设监测指标进行解析,实现根据预设监测指标对零日漏洞攻击的监测类型进行准确有效的确定,其次,根据预设监测指标的指标属性对每一监测类型的监测特征进行准确有效确定,最终实现根据监测特征从预设监测策略表中对每一监测类型对应的子监测体系和部署主体进行有效确定,为实现构建综合监测体系提供了便利与保障,也便于对待监测系统的零日漏洞攻击进行全面可靠的监测。
实施例3:
在实施例2的基础上,本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控方法,得到每一监测类型对应的子监测体系和部署主体,包括:
当监测类型为全网络流量监测时,基于预设监测策略库调取预设全网络流量监测预警子体系,并获取待监测系统的结构特征,且基于结构特征确定待监测系统中的网络运行节点,其中,网络运行节点至少为两个;
将预设全网络流量监测预警子体系在网络运行节点进行第一部署;
当监测类型为日志监测时,基于预设监测策略库调取预设日志收集与分析子体系,并基于待监测系统的结构特征确定待监测系统中的安全设备集合和防护软件集合;
提取安全设备集合中各安全设备的通讯端口以及防护软件集合中各防护软件的数据端口,并将预设日志收集与分析子体系分别与安全设备的通讯端口和防护软件的数据端口进行第一对接,且基于第一对接结果完成第二部署。
该实施例中,预设监测策略库是提前设定好的,用于存储不同监测类型对应的子监测体系。
该实施例中,预设全网络流量监测预警子体系是提前设定好的,用于对待监测系统的全网络流量进行监测,从而便于及时发现异常网络行为。
该实施例中,待监测系统指的是各企业在运行过程中需要使用的系统,且至少为一个。
该实施例中,结构特征指的是待监测系统包含的模块种类以及各模块之间的关联关系等。
该实施例中,网络运行节点指的是待监测系统中能够对各模块的网络运行数据进行存储的位置或者区块。
该实施例中,第一部署指的是将预设全网络流量监测预警子体系在网络运行节点进行安装,从而便于对全网络流量进行监测。
该实施例中,预设日志收集与分析子体系是提前设定好的,用于对接安全设备和防护软件自身存在的零日漏洞,开展7*24小时的日志的监测与分析,及时监测发现和分析异常日志。
该实施例中,第一对接指的是将预设日志收集与分析子体系分别与安全设备的通讯端口和防护软件的数据端口进行,从而便于及时对安全设备和防护软件的工作日志进行收集。
该实施例中,第二部署指的是将预设日志收集与分析子体系分别与安全设备的通讯端口和防护软件的数据端口进行对接,目的是为了实现对工作日志的采集和收集。
上述技术方案的有益效果是:通过对全网络流量监测类型和日志监测类型进行分析,实现将预设全网络流量监测预警子体系和预设日志收集与分析子体系分别与对应的部署主体进行对接,从而便于及时对相应的监测内容进行有效监测,保障了对待检测系统中零日漏洞攻击监测的可靠性以及全面性。
实施例4:
在实施例3的基础上,本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控方法,得到每一监测类型对应的子监测体系和部署主体,还包括:
当监测类型为资产信息监测时,基于预设监测策略库调取预设资产信息管理子体系,并基于待监测系统的结构特征确定待监测系统中的目标信息资产模块;
将预设资产信息管理子体系与目标信息资产模块进行第二对接,并基于第二对接结果完成第三部署;
当监测类型为终端、服务器安全防护监测时,基于预设监测策略库调取预设防护工具,并基于待监测系统的结构特征确定待监测系统中的目标终端集合以及目标服务器集合,其中,预设防护工具至少为两种;
提取预设防护工具的防护属性,并基于防护属性确定各预设防护工具之间的组合防护策略,且基于组合防护策略将预设防护工具在目标终端集合中的各目标终端以及目标服务器集合中的各目标服务器中进行第四部署;
基于第一部署、第二部署、第三部署以及第四部署构建零日漏洞攻击的综合监测体系。
该实施例中,预设资产信息管理子体系是提前设定好的,目的是以便于及时更新补丁、修复历史或老旧漏洞,尽量缩短历史漏洞在组合漏洞攻击中的影响范围和存在时间,并可在受到攻击后立即定位相关资产,为快速处置提供支持。
该实施例中,目标信息资产模块指的是待监测系统在运行过程中与信息资产相关的运行区块,且至少为一个。
该实施例中,第二对接指的是将预设资产信息管理子体系与目标信息资产模块进行对接。
该实施例中,预设防护工具是提前设定好的,包括:安全防护系统、传统安全设备、应用软件防护设备、主机防护和内存保护软件等基本防护工具,,进行组合式策略保护,不断细化控制策略,防止零日漏洞直接对资产进行打击和利用。
该实施例中,目标终端集合指的是待监测系统中包含的所有终端。
该实施例中,目标服务器集合指的是待监测系统中包含的所有的服务器。
该实施例中,防护属性指的是预设防护工具在防护过程中的防护类型。
该实施例中,组合防护策略是用于表征各预设防护工具在防护过程中之间的相互配合方式。
该实施例中,第四部署指的是将预设防护工具在目标终端集合中的各目标终端以及目标服务器集合中的各目标服务器中进行安装,从而便于对终端和服务器进行有效的零日漏洞攻击监测。
上述技术方案的有益效果是:通过对资产信息监测类型和终端、服务器安全防护监测类型进行分析,实现将预设资产信息管理子体系和预设监测策略库调取预设防护工具分别与对应的部署主体进行对接,最后根据第一部署、第二部署、第三部署以及第四部署实现对综合监测体系进行准确有效的构建,从而保障了对待监测系统的零日漏洞攻击监测的全面性,也便于及时对监测到的零日漏洞攻击进行主动防护,保障了待监测系统的安全。
实施例5:
在实施例1的基础上,本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控方法,步骤2中,基于综合监测体系对零日漏洞攻击进行实时监测,包括:
获取得到的综合监测体系,并对综合监测体系进行解析,确定综合监测体系中每一子监测体系的监测任务,且基于监测任务确定每一子监测体系对应的待监测零日漏洞攻击特征;
基于待监测零日漏洞攻击特征确定对应零日漏洞攻击类型,同时,基于预设策略根据待监测零日漏洞攻击特征生成过滤规则,并将零日漏洞攻击类型以及过滤规则在对应的子监测体系中进行适配,且基于适配结果得到目标综合监测体系;
将目标综合监测体系分别与待监测系统中各运行模块的运行脚本数据库进行对接,并基于对接结果根据综合监测体系实时获取对应运行模块的网络运行数据;
基于预设网络协议对得到的网络运行数据进行协议解析,得到各运行模块在运行过程中的请求数据和响应数据,并基于目标综合监测体系中的过滤规则分别对请求数据和响应数据进行数据过滤,提取请求数据和响应数据中的敏感运行数据;
确定敏感运行数据的数据特征,并将敏感运行数据的数据特征与不同零日漏洞攻击类型对应的待监测零日漏洞攻击特征进行相似度匹配,且将相似度匹配值与预设相似度阈值进行比较;
当相似度匹配值大于或等于预设相似度阈值时,则判定监测到零日漏洞攻击,否则,判定未监测到零日漏洞攻击。
该实施例中,监测任务指的是每一子监测体系需要达到的监测目标以及对应的监测类型和监测对象等。
该实施例中,待监测零日漏洞攻击特征指的是每一子监测体系能够监测到的零日漏洞攻击的类型以及特点等。
该实施例中,预设策略是提前设定好的,用于生成不同类型的零日漏洞攻击对应的过滤规则,即用于筛选不同零日漏洞攻击对应的数据。
该实施例中,将零日漏洞攻击类型以及过滤规则在对应的子监测体系中进行适配指的是将零日漏洞攻击类型以及过滤规则在相应的子监测体系中进行部署,从而便于不同的子监测体系根据零日漏洞攻击类型和过滤规则对相应的数据进行有效筛选,从而便于及时发现存在的零日漏洞攻击。
该实施例中,目标综合监测体系指的是将零日漏洞攻击类型以及过滤规则在相应的子监测体系中进行部署后得到的综合监测体系。
该实施例中,运行脚本数据库指的是待监测系统中用于存储各运行模块在工作过程中产生的运行数据的地方。
该实施例中,网络运行数据指的是不同运行模块在工作过程中产生的运行数据,从而便于根据运行数据及时发现是否存在零日漏洞攻击。
该实施例中,预设网络协议是提前已知的,用于对待监测系统中产生的运行数据进行协议解析,从而便于对得到的网络运行数据进行分析和识别,从而便于实现对零日漏洞攻击进行及时有效的发现和防御。
该实施例中,请求数据指的是操作者在待检测系统中提交的操作请求对应的数据信息。
该实施例中,响应数据指的是待监测系统在收到请求后做出的响应操作对应的数据。
该实施例中,敏感运行数据指的是请求数据和响应数据中与零日漏洞攻击相关的数据,且不唯一。
该实施例中,数据特征指的是敏感运行数据的数据类型以及对应的取值大小情况。
该实施例中,预设相似度阈值是提前设定好的,是用于衡量当前敏感运行数据是否为零日漏洞攻击对应的数据的参考依据,是可以进行调整的。
上述技术方案的有益效果是:通过对综合监测体系中不同子监测体系的监测任务进行分析,实现对每一子监测体系对应的零日漏洞攻击类型以及过滤规则进行准确有效的制定,并将零日漏洞攻击类型以及过滤规则在对应的子监测体系中进行适配,最后,通过适配好的综合监测体系对待监测系统中的各运行模块进行有效监测,实现实时对不同运行模块的网络运行数据进行有效监测和分析,从而保障了对待监测系统中存在的零日漏洞攻击发现的及时性以及对零日漏洞攻击发现的可靠性,为实现及时对零日漏洞攻击进行主动防御提供了便利与保障,确保了待监测系统的运行安全,降低了企业的损失。
实施例6:
在实施例1的基础上,本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控方法,步骤2中,当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征,包括:
当监测到零日漏洞攻击时,基于预构建的蜜罐诱捕主动防御体系引诱攻击者进行零日漏洞攻击尝试,并实时监测待监测系统在零日漏洞攻击尝试后的实时状态数据以及零日漏洞攻击尝试的实时操作数据;
获取实时状态数据的目标取值,并基于目标取值确定待监测系统在零日漏洞攻击尝试后的运行状态,且将运行状态与标准运行状态进行比较,得到零日漏洞攻击的攻击程度以及对待监测系统的影响范围;
基于攻击程度以及零日漏洞攻击对待监测系统的影响范围得到零日漏洞特征;
同时,对零日漏洞攻击尝试的实时操作数据进行解析,得到零日漏洞攻击尝试在待监测系统中的攻击方式,并基于攻击方式确定零日漏洞攻击特征。
该实施例中,蜜罐诱捕主动防御体系是提前构建好的,是对攻击者的一种欺骗技术,它是一个包含漏洞的诱骗系统,可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,也可以收集到大量有价值的数据。
该实施例中,零日漏洞攻击尝试指的是通过蜜罐诱捕主动防御体系引诱攻击者尝试进行零日漏洞攻击,从而便于及时对攻击者的零日漏洞攻击行为进行监测。
该实施例中,实时状态数据指的是待监测系统在遭受到的零日漏洞攻击后的实时运行状态情况。
该实施例中,实时操作数据指的是攻击者在进行零日漏洞攻击时的具体攻击步骤以及攻击的手段等。
该实施例中,目标取值指的是实时状态数据的取值大小情况。
该实施例中,标准运行状态是提前设定好的,用于衡量待监测系统在遭受到零日漏洞攻击后的状态变化情况。
该实施例中,攻击程度是用于表征零日漏洞攻击对待监测系统造成的危害程度。
该实施例中,影响范围指的是零日漏洞攻击对待监测系统中各运行模块造成影响的数量,从而便于对零日漏洞的漏洞特征进行有效确定。
该实施例中,攻击方式是用于表征零日漏洞攻击在对待监测系统进行攻击时采用的具体攻击方法。
上述技术方案的有益效果是:通过预构建的蜜罐诱捕主动防御体系引诱攻击者进行零日漏洞攻击尝试,从而实现对待监测系统在零日漏洞攻击尝试后的实时状态数据以及零日漏洞攻击尝试的实时操作数据进行有效获取,最后,通过对实时状态数据和实时操作数据进行分析,实现对零日漏洞特征以及攻击特征进行有效确定,为进行准确的主动防御提供了便利与保障,便于在发现零日漏洞攻击时,及时进行主动防御,保障了待监测系统的运行可靠性,也提高了主动防御的效率。
实施例7:
在实施例6的基础上,本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控方法,基于预构建的蜜罐诱捕主动防御体系引诱攻击者进行零日漏洞攻击尝试,包括:
基于蜜罐诱捕主动防御体系实时获取攻击者进行零日漏洞攻击尝试时的访问对象,并实时监测访问对象在零日漏洞攻击尝试下的数据变化参数,其中,数据变化参数包括数据类型变化以及数据取值变化;
基于数据变化参数确定攻击者的在零日漏洞攻击尝试时的攻击痕迹数据,并对攻击痕迹数据进行分析,确定攻击者在零日漏洞攻击尝试的目标切入点以及每一攻击步骤的攻击属性;
基于目标切入点以及每一攻击步骤的攻击属性得到攻击者的攻击行为特征,并对攻击行为特征进行记录,得到攻击者的目标画像。
该实施例中,访问对象指的是攻击者对待监测系统中进行攻击的主体。
该实施例中,攻击痕迹数据指的是攻击者在进行零日漏洞攻击时的攻击点以及具体攻击的环节等。
该实施例中,目标切入点指的是攻击者在进行零日漏洞攻击时的入手点,目的是为了对攻击者的攻击行为进行有效分析,最终达到对攻击者的身份进行有效确认。
该实施例中,攻击属性指的是每一攻击步骤要实现的攻击目的以及每一攻击步骤造成的影响程度。
该实施例中,攻击行为特征指的是攻击者在进行零日漏洞攻击时的攻击特征,从而便于对攻击者的身份进行确认。
该实施例中,目标画像指的是对攻击者的攻击行为特征进行记录后得到的数据报告,从而便于根据目标画像对攻击者的身份信息进行确认。
上述技术方案的有益效果是:通过采用蜜罐诱捕主动防御体系对攻击者在对待监测系统攻击时的攻击数据进行分析,实现对攻击者的攻击行为特征进行准确有效的确定,并对攻击者的攻击行为特征进行记录,实现对攻击者进行准确有效的画像,从而便于对攻击者进行溯源,保障了待监测系统的安全,也提高了零日漏洞攻击的综合监测和主动防御的实用性。
实施例8:
在实施例1的基础上,本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控方法,步骤3中,基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御,包括:
获取得到的零日漏洞特征以及攻击特征,并基于零日漏洞特征以及攻击特征确定目标入侵事件;
提取目标入侵事件的事件标识,并将事件标识与预设应急响应方案库中的各预设保障方案的方案标识进行匹配,且基于匹配结果确定目标保障方案;
确定目标保障方案中的响应流程以及响应规则,并基于协同联防机制将目标保障方案中的响应流程以及响应规则向各预设响应机构进行发送,且基于发送结果对零日漏洞攻击进行主动防御。
该实施例中,目标入侵事件指的是根据零日漏洞特征和攻击特征确定的攻击行为,从而便于调取对应的保障方案进行相应的主动防御。
该实施例中,事件标识是用于标记不同目标入侵事件的一种标记标签。
该实施例中,预设应急响应方案库是提前设定好的,用于存储不同的预设保障方案。
该实施例中,预设保障方案是提前设定好的,用于针对不同类型的零日漏洞特征以及攻击特征做出的主动防御方案。
该实施例中,方案标识是用于标记不同预设保障方案的一种标记标签。
该实施例中,响应流程指的是目标保障方案中限定的主动防御的流程,是提前已知的。
该实施例中,响应规则指的是目标保障方案在进行主动防御时需要依据的规则,目的是为了规范主动防御的操作合规性。
该实施例中,预设响应机构是提前设定好的,具体包括综合联络组、监测防护组、应急响应组及内部各单位防护组织,实现了内部纵横向协同联防体系;建立与公安机关、主管部门、行业部门、供应链厂商等的协同配合、联动共防、情报共享措施,实现了企业外部横向协同联防机制。
上述技术方案的有益效果是:通过根据零日漏洞特征以及攻击特征确定目标入侵事件,实现根据目标入侵事件从预设应急响应方案库对目标保障方案进行准确有效的确定和调取,其次,对目标保障方案进行解析,最终实现根据目标保障方案中的响应流程以及响应规则控制各预设响应机构对零日漏洞攻击进行主动防御,保障了主动防御的可靠性以及全面性,保障了待监测系统的运行可靠性以及运行安全性,也提高了主动防御的可靠性和准确性。
实施例9:
在实施例8的基础上,本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控方法,基于发送结果对零日漏洞攻击进行主动防御,包括:
获取对零日漏洞攻击的主动防御进程,并当完成对当前零日漏洞攻击的主动防御后,对当前零日漏洞攻击的第一攻击标识进行记录;
实时监测待监测系统的新零日漏洞攻击,并提取新零日漏洞攻击的漏洞属性,且基于漏洞属性确定新零日漏洞攻击的第二攻击标识,其中,新零日漏洞攻击至少为一个;
将第一攻击标识分别与第二攻击标识进行匹配;
若存在第二攻击标识与第一攻击标识一致,则判定对零日漏洞攻击的主动防御失败,并重新对已完成主动防御的零日漏洞攻击进行主动防御完善,直至不存在第二攻击标识与第一攻击标识一致;
否则,判定成功完成对零日漏洞攻击的主动防御。
该实施例中,第一攻击标识是用于标记当前零日漏洞攻击的标记标签,从而便于后续验证对当前零日漏洞攻击的主动防御是否成功。
该实施例中,新零日漏洞攻击指的是待监测系统在运行过程中产生的新的零日漏洞攻击。
该实施例中,漏洞属性是用于标准新零日漏洞攻击的攻击范围、攻击类型以及对待监测系统的影响程度。
该实施例中,第二攻击标识是用于标记新零日漏洞攻击的标记标签。
上述技术方案的有益效果是:通过将完成主动防御的零日漏洞攻击标识与产生的新零日漏洞攻击标识进行比较,实现对已完成主动防御的零日漏洞攻击的防御效果进行准确有效的核验,便于及时对主动防御方案进行完善,保障了对零日漏洞攻击防御的可靠性,也大大降低了企业依靠系统运行而产生的损失。
实施例10:
本实施例提供了一种综合监测和主动防御的零日漏洞攻击防控系统,如图3所示,包括:
综合监测体系构建模块,用于基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系;
零日漏洞攻击监测模块,用于基于综合监测体系对零日漏洞攻击进行实时监测,并当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征;
主动防御模块,用于基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御。
上述技术方案的有益效果是:通过构建综合监测体系,实现对待监测系统进行全面有效的零日漏洞攻击监测,保障了对零日漏洞攻击监测的及时性以及可靠性,同时,在监测到零日漏洞攻击后,根据构建的零日漏洞攻击主动防御体系对零日漏洞攻击进行针对性且可靠有效的主动防御,保障了防御体系的完善性,同时提高了对零日漏洞攻击防御的效果以及效率,大大降低了企业在运行过程中的损失。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种综合监测和主动防御的零日漏洞攻击防控方法,其特征在于,包括:
步骤1:基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系;
步骤2:基于综合监测体系对零日漏洞攻击进行实时监测,并当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征;
步骤3:基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御。
2.根据权利要求1所述的一种综合监测和主动防御的零日漏洞攻击防控方法,其特征在于,步骤1中,基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系,包括:
获取预设监测指标,并对预设监测指标进行解析,确定每一预设监测指标的指标属性,且基于指标属性确定对零日漏洞攻击的监测类型,其中,监测类型包括全网络流量监测、日志监测、资产信息监测以及终端、服务器安全防护监测;
基于每一预设监测指标的指标属性确定每一监测类型的监测特征,并将监测特征与预设监测策略表进行匹配,得到每一监测类型对应的子监测体系和部署主体,且基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系。
3.根据权利要求2所述的一种综合监测和主动防御的零日漏洞攻击防控方法,其特征在于,得到每一监测类型对应的子监测体系和部署主体,包括:
当监测类型为全网络流量监测时,基于预设监测策略库调取预设全网络流量监测预警子体系,并获取待监测系统的结构特征,且基于结构特征确定待监测系统中的网络运行节点,其中,网络运行节点至少为两个;
将预设全网络流量监测预警子体系在网络运行节点进行第一部署;
当监测类型为日志监测时,基于预设监测策略库调取预设日志收集与分析子体系,并基于待监测系统的结构特征确定待监测系统中的安全设备集合和防护软件集合;
提取安全设备集合中各安全设备的通讯端口以及防护软件集合中各防护软件的数据端口,并将预设日志收集与分析子体系分别与安全设备的通讯端口和防护软件的数据端口进行第一对接,且基于第一对接结果完成第二部署。
4.根据权利要求3所述的一种综合监测和主动防御的零日漏洞攻击防控方法,其特征在于,得到每一监测类型对应的子监测体系和部署主体,还包括:
当监测类型为资产信息监测时,基于预设监测策略库调取预设资产信息管理子体系,并基于待监测系统的结构特征确定待监测系统中的目标信息资产模块;
将预设资产信息管理子体系与目标信息资产模块进行第二对接,并基于第二对接结果完成第三部署;
当监测类型为终端、服务器安全防护监测时,基于预设监测策略库调取预设防护工具,并基于待监测系统的结构特征确定待监测系统中的目标终端集合以及目标服务器集合,其中,预设防护工具至少为两种;
提取预设防护工具的防护属性,并基于防护属性确定各预设防护工具之间的组合防护策略,且基于组合防护策略将预设防护工具在目标终端集合中的各目标终端以及目标服务器集合中的各目标服务器中进行第四部署;
基于第一部署、第二部署、第三部署以及第四部署构建零日漏洞攻击的综合监测体系。
5.根据权利要求1所述的一种综合监测和主动防御的零日漏洞攻击防控方法,其特征在于,步骤2中,基于综合监测体系对零日漏洞攻击进行实时监测,包括:
获取得到的综合监测体系,并对综合监测体系进行解析,确定综合监测体系中每一子监测体系的监测任务,且基于监测任务确定每一子监测体系对应的待监测零日漏洞攻击特征;
基于待监测零日漏洞攻击特征确定对应零日漏洞攻击类型,同时,基于预设策略根据待监测零日漏洞攻击特征生成过滤规则,并将零日漏洞攻击类型以及过滤规则在对应的子监测体系中进行适配,且基于适配结果得到目标综合监测体系;
将目标综合监测体系分别与待监测系统中各运行模块的运行脚本数据库进行对接,并基于对接结果根据综合监测体系实时获取对应运行模块的网络运行数据;
基于预设网络协议对得到的网络运行数据进行协议解析,得到各运行模块在运行过程中的请求数据和响应数据,并基于目标综合监测体系中的过滤规则分别对请求数据和响应数据进行数据过滤,提取请求数据和响应数据中的敏感运行数据;
确定敏感运行数据的数据特征,并将敏感运行数据的数据特征与不同零日漏洞攻击类型对应的待监测零日漏洞攻击特征进行相似度匹配,且将相似度匹配值与预设相似度阈值进行比较;
当相似度匹配值大于或等于预设相似度阈值时,则判定监测到零日漏洞攻击,否则,判定未监测到零日漏洞攻击。
6.根据权利要求1所述的一种综合监测和主动防御的零日漏洞攻击防控方法,其特征在于,步骤2中,当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征,包括:
当监测到零日漏洞攻击时,基于预构建的蜜罐诱捕主动防御体系引诱攻击者进行零日漏洞攻击尝试,并实时监测待监测系统在零日漏洞攻击尝试后的实时状态数据以及零日漏洞攻击尝试的实时操作数据;
获取实时状态数据的目标取值,并基于目标取值确定待监测系统在零日漏洞攻击尝试后的运行状态,且将运行状态与标准运行状态进行比较,得到零日漏洞攻击的攻击程度以及对待监测系统的影响范围;
基于攻击程度以及零日漏洞攻击对待监测系统的影响范围得到零日漏洞特征;
同时,对零日漏洞攻击尝试的实时操作数据进行解析,得到零日漏洞攻击尝试在待监测系统中的攻击方式,并基于攻击方式确定零日漏洞攻击特征。
7.根据权利要求6所述的一种综合监测和主动防御的零日漏洞攻击防控方法,其特征在于,基于预构建的蜜罐诱捕主动防御体系引诱攻击者进行零日漏洞攻击尝试,包括:
基于蜜罐诱捕主动防御体系实时获取攻击者进行零日漏洞攻击尝试时的访问对象,并实时监测访问对象在零日漏洞攻击尝试下的数据变化参数,其中,数据变化参数包括数据类型变化以及数据取值变化;
基于数据变化参数确定攻击者的在零日漏洞攻击尝试时的攻击痕迹数据,并对攻击痕迹数据进行分析,确定攻击者在零日漏洞攻击尝试的目标切入点以及每一攻击步骤的攻击属性;
基于目标切入点以及每一攻击步骤的攻击属性得到攻击者的攻击行为特征,并对攻击行为特征进行记录,得到攻击者的目标画像。
8.根据权利要求1所述的一种综合监测和主动防御的零日漏洞攻击防控方法,其特征在于,步骤3中,基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御,包括:
获取得到的零日漏洞特征以及攻击特征,并基于零日漏洞特征以及攻击特征确定目标入侵事件;
提取目标入侵事件的事件标识,并将事件标识与预设应急响应方案库中的各预设保障方案的方案标识进行匹配,且基于匹配结果确定目标保障方案;
确定目标保障方案中的响应流程以及响应规则,并基于协同联防机制将目标保障方案中的响应流程以及响应规则向各预设响应机构进行发送,且基于发送结果对零日漏洞攻击进行主动防御。
9.根据权利要求8所述的一种综合监测和主动防御的零日漏洞攻击防控方法,其特征在于,基于发送结果对零日漏洞攻击进行主动防御,包括:
获取对零日漏洞攻击的主动防御进程,并当完成对当前零日漏洞攻击的主动防御后,对当前零日漏洞攻击的第一攻击标识进行记录;
实时监测待监测系统的新零日漏洞攻击,并提取新零日漏洞攻击的漏洞属性,且基于漏洞属性确定新零日漏洞攻击的第二攻击标识,其中,新零日漏洞攻击至少为一个;
将第一攻击标识分别与第二攻击标识进行匹配;
若存在第二攻击标识与第一攻击标识一致,则判定对零日漏洞攻击的主动防御失败,并重新对已完成主动防御的零日漏洞攻击进行主动防御完善,直至不存在第二攻击标识与第一攻击标识一致;
否则,判定成功完成对零日漏洞攻击的主动防御。
10.一种综合监测和主动防御的零日漏洞攻击防控系统,其特征在于,包括:
综合监测体系构建模块,用于基于预设监测指标确定对零日漏洞攻击的子监测体系和部署主体,并基于子监测体系和部署主体构建零日漏洞攻击的综合监测体系;
零日漏洞攻击监测模块,用于基于综合监测体系对零日漏洞攻击进行实时监测,并当监测到零日漏洞攻击时,基于构建的零日漏洞攻击主动防御体系提取零日漏洞特征以及攻击特征;
主动防御模块,用于基于零日漏洞特征以及攻击特征确定目标保障方案,并基于协同联防机制根据目标保障方案对零日漏洞攻击进行主动防御。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310930809.3A CN116962049B (zh) | 2023-07-25 | 2023-07-25 | 一种综合监测和主动防御的零日漏洞攻击防控方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310930809.3A CN116962049B (zh) | 2023-07-25 | 2023-07-25 | 一种综合监测和主动防御的零日漏洞攻击防控方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116962049A true CN116962049A (zh) | 2023-10-27 |
CN116962049B CN116962049B (zh) | 2024-03-12 |
Family
ID=88456207
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310930809.3A Active CN116962049B (zh) | 2023-07-25 | 2023-07-25 | 一种综合监测和主动防御的零日漏洞攻击防控方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116962049B (zh) |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1420562A2 (en) * | 2002-11-12 | 2004-05-19 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
WO2006107712A2 (en) * | 2005-04-04 | 2006-10-12 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for defending against zero-day worm-based attacks |
US7181769B1 (en) * | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
JP2007188437A (ja) * | 2006-01-16 | 2007-07-26 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
US20120233699A1 (en) * | 2011-01-11 | 2012-09-13 | Sushil Jajodia | K-zero day safety |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
CN105847291A (zh) * | 2016-05-13 | 2016-08-10 | 内蒙古工业大学 | 计算机网络防御决策系统 |
CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
US20190098027A1 (en) * | 2016-12-14 | 2019-03-28 | Ping An Technology(Shenzhen) Co., Ltd. | Joint defence method and apparatus for network security, and server and storage medium |
CN109558729A (zh) * | 2018-11-28 | 2019-04-02 | 河北省科学院应用数学研究所 | 一种网络攻击的智能防御系统 |
CN110855506A (zh) * | 2019-11-27 | 2020-02-28 | 国家电网有限公司信息通信分公司 | 安全态势监测方法及系统 |
CN112235130A (zh) * | 2020-09-23 | 2021-01-15 | 建信金融科技有限责任公司 | 一种实现基于sdn网络的运维自动化的方法和装置 |
CN114679341A (zh) * | 2022-05-27 | 2022-06-28 | 江苏益柏锐信息科技有限公司 | 结合erp系统的网络入侵攻击分析方法、设备及介质 |
CN115694982A (zh) * | 2022-10-30 | 2023-02-03 | 济南三泽信息安全测评有限公司 | 网络攻防虚拟仿真系统 |
CN116248389A (zh) * | 2023-03-06 | 2023-06-09 | 武汉威悦信息科技有限公司 | 一种基于企业数据分析的数据监管平台 |
-
2023
- 2023-07-25 CN CN202310930809.3A patent/CN116962049B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7181769B1 (en) * | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
EP1420562A2 (en) * | 2002-11-12 | 2004-05-19 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
WO2006107712A2 (en) * | 2005-04-04 | 2006-10-12 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for defending against zero-day worm-based attacks |
JP2007188437A (ja) * | 2006-01-16 | 2007-07-26 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
US20120233699A1 (en) * | 2011-01-11 | 2012-09-13 | Sushil Jajodia | K-zero day safety |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
CN105847291A (zh) * | 2016-05-13 | 2016-08-10 | 内蒙古工业大学 | 计算机网络防御决策系统 |
US20190098027A1 (en) * | 2016-12-14 | 2019-03-28 | Ping An Technology(Shenzhen) Co., Ltd. | Joint defence method and apparatus for network security, and server and storage medium |
CN109558729A (zh) * | 2018-11-28 | 2019-04-02 | 河北省科学院应用数学研究所 | 一种网络攻击的智能防御系统 |
CN110855506A (zh) * | 2019-11-27 | 2020-02-28 | 国家电网有限公司信息通信分公司 | 安全态势监测方法及系统 |
CN112235130A (zh) * | 2020-09-23 | 2021-01-15 | 建信金融科技有限责任公司 | 一种实现基于sdn网络的运维自动化的方法和装置 |
CN114679341A (zh) * | 2022-05-27 | 2022-06-28 | 江苏益柏锐信息科技有限公司 | 结合erp系统的网络入侵攻击分析方法、设备及介质 |
CN115694982A (zh) * | 2022-10-30 | 2023-02-03 | 济南三泽信息安全测评有限公司 | 网络攻防虚拟仿真系统 |
CN116248389A (zh) * | 2023-03-06 | 2023-06-09 | 武汉威悦信息科技有限公司 | 一种基于企业数据分析的数据监管平台 |
Non-Patent Citations (3)
Title |
---|
刘继全;: "信息系统运行安全综合管理监控平台的设计与实现", 铁路计算机应用, no. 01 * |
张振华;: "基于动态策略联动响应的网络安全防护技术", 工业控制计算机, no. 03, pages 42 - 44 * |
谢非;: "零日攻击的原理与防范浅谈", 华章, no. 11 * |
Also Published As
Publication number | Publication date |
---|---|
CN116962049B (zh) | 2024-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110535855B (zh) | 一种网络事件监测分析方法和系统、信息数据处理终端 | |
CN112738126B (zh) | 基于威胁情报和att&ck的攻击溯源方法 | |
CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
CN114070629B (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及系统 | |
CN114826880B (zh) | 一种数据安全运行在线监测系统 | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
CN111885210A (zh) | 一种基于最终用户环境的云计算网络监控系统 | |
CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
CN114553471A (zh) | 一种租户安全管理系统 | |
CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
CN116962049B (zh) | 一种综合监测和主动防御的零日漏洞攻击防控方法和系统 | |
CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
CN112491883A (zh) | 一种检测web攻击的方法、装置、电子装置和存储介质 | |
CN116781380A (zh) | 一种校园网安全风险终端拦截溯源系统 | |
CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
CN110839045B (zh) | 一种电力监控系统异常流量检测方法 | |
CN106993005A (zh) | 一种网络服务器的预警方法及系统 | |
CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
Chaudhuri | Network forensics and incident response | |
CN116089965B (zh) | 一种基于sod风险模型的信息安全应急管理系统及方法 | |
CN113691518B (zh) | 情报分析方法、装置、设备及存储介质 | |
Karie et al. | Cybersecurity Incident Response in the Enterprise | |
CN116545747A (zh) | Dns隧道攻击的防御系统 | |
CN116886361A (zh) | 一种基于安全大数据分析平台的自动化响应方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |