CN117040909A - 一种对网络设备进行安全防护的方法及系统 - Google Patents

一种对网络设备进行安全防护的方法及系统 Download PDF

Info

Publication number
CN117040909A
CN117040909A CN202311167901.5A CN202311167901A CN117040909A CN 117040909 A CN117040909 A CN 117040909A CN 202311167901 A CN202311167901 A CN 202311167901A CN 117040909 A CN117040909 A CN 117040909A
Authority
CN
China
Prior art keywords
data packet
network
network device
sample
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311167901.5A
Other languages
English (en)
Other versions
CN117040909B (zh
Inventor
马娜
白红霞
王潇
甄小丽
李海亮
徐剑南
刘瑞全
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiang Nan Information Security Beijing Technology Co ltd
Original Assignee
Jiang Nan Information Security Beijing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiang Nan Information Security Beijing Technology Co ltd filed Critical Jiang Nan Information Security Beijing Technology Co ltd
Priority to CN202311167901.5A priority Critical patent/CN117040909B/zh
Publication of CN117040909A publication Critical patent/CN117040909A/zh
Application granted granted Critical
Publication of CN117040909B publication Critical patent/CN117040909B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种对网络设备进行安全防护的方法及系统,其中方法包括:网关设备基于请求方网络设备发送的作为样本的恶意数据分组的属性信息,确定关联数据分组;随后将所述内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组;获取与所述请求方网络设备相关联的数据过滤规则,计算候选数据分组与所述数据过滤规则的规则匹配度,将规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组;以及为新的恶意数据分组添加网络攻击标识,将添加了网络攻击标识的新的恶意数据分组转发给所述请求方网络设备,使得所述请求方网络设备能够根据所述网络攻击标识对所述新的恶意数据分组进行处理。

Description

一种对网络设备进行安全防护的方法及系统
技术领域
本发明涉及网络信息安全技术领域,并且更具体地涉及,一种对网络设备进行安全防护的方法及系统、计算机可读存储介质以及电子设备。
背景技术
随着网络技术的不断发展,越来越多的设备或终端接入网络从而成为网络设备或网络终端。通过网络设备,用户可以获取各种类型的信息,并且通过网络设备,服务提供方可以提供各种类型的服务。为此,网络设备已经成为人们日常行为所经常使用的设备。
然而,针对网络设备的恶意攻击从未停止。恶意攻击者出于各种目的要侵入或攻击部分网络设备。这种恶意攻击行为通常会给用户造成不同程度的损失。在现有技术中,当收到或确定恶意数据分组时,仅仅利用恶意数据分组进行提示处理,而不会利用恶意数据分组为用户的网络设备提供安全防护。因此,现有技术中需要基于对恶意数据分组进行分析的基础上对网络设备进行安全防护的技术。
发明内容
为了解决现有技术中的问题,本发明提出了一种对网络设备进行安全防护的方法及系统、计算机可读存储介质以及电子设备。本发明的技术方案能够对恶意数据分组进行分析确定恶意数据分组相关联的关联数据分组,并且随后将与恶意数据分组的内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组,从而规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组,最后为新的恶意数据分组添加网络攻击标识。
根据本发明的一个发明,提供了一种对网络设备进行安全防护的方法,所述方法包括:
当网关设备接收到网络告警消息时,从所述网络告警消息中提取作为样本的恶意数据分组的属性信息,所述属性信息包括:源网络地址、源端口号、目的网络地址、目的端口号、有效载荷以及时间戳,基于所述作为样本的恶意数据分组的属性信息中的目的网络地址,确定发送所述网络告警消息的请求方网络设备;
所述网关设备基于作为样本的恶意数据分组的属性信息,对去往所述源网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以确定去往所述请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组;
当确定去往所述请求方网络设备的数据分组是与作为样本的恶意数据分组相关联的关联数据分组时,确定关联数据分组与作为样本的恶意数据分组的内容匹配度,将所述内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组;
获取与所述请求方网络设备相关联的数据过滤规则,计算候选数据分组与所述数据过滤规则的规则匹配度,将规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组;以及
为新的恶意数据分组添加网络攻击标识,将添加了网络攻击标识的新的恶意数据分组转发给所述请求方网络设备,使得所述请求方网络设备能够根据所述网络攻击标识对所述新的恶意数据分组进行处理。
优选地,还包括,当所述请求方网络设备在所接收的多个数据分组中检测到恶意数据分组时,将检测到的恶意数据分组确定为作为样本的恶意数据分组,获取所述作为样本的恶意数据分组的属性信息,并将所述作为样本的恶意数据分组的属性信息和生存时间信息封装在网络告警消息中,将所述网络告警消息发送给网关设备,
其中,所述生存时间信息用于指示所述网络告警消息的失效时刻。
优选地,其中,基于所述作为样本的恶意数据分组的属性信息中的目的网络地址,确定发送所述网络告警消息的请求方网络设备,包括:
将所述作为样本的恶意数据分组的属性信息中的目的网络地址处的网络主机确定为发送所述网络告警消息的请求方网络设备。
优选地,其中,所述网关设备基于作为样本的恶意数据分组的属性信息,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以确定去往所述请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组,包括:
所述网关设备对所接收的数据分组的属性信息进行解析以获取所接收的数据分组的目的网络地址,将目的网络地址为所述请求方网络设备的所接收的数据分组确定为经由所述网关设备去往所述请求方网络设备的数据分组;
所述网关设备基于作为样本的恶意数据分组的属性信息和去往所述请求方网络设备的数据分组的属性信息,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果;
根据网络关联性检测的检测结果,确定去往所述请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组。
优选地,其中,所述网关设备基于作为样本的恶意数据分组的属性信息和去往所述请求方网络设备的数据分组的属性信息,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:
所述网关设备基于作为样本的恶意数据分组的属性信息,确定作为样本的恶意数据分组的源网络地址、目的端口号和时间戳;
所述网关设备基于去往所述请求方网络设备的数据分组的属性信息,确定去往所述请求方网络设备的数据分组的源网络地址、目的端口号和时间戳;
基于作为样本的恶意数据分组的源网络地址、目的端口号和时间戳,以及去往所述请求方网络设备的数据分组的源网络地址、目的端口号和时间戳,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。
优选地,其中,基于作为样本的恶意数据分组的源网络地址、目的端口号和时间戳,以及去往所述请求方网络设备的数据分组的源网络地址、目的端口号和时间戳,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:
当作为样本的恶意数据分组的时间戳早于去往所述请求方网络设备的数据分组的时间戳、作为样本的恶意数据分组的源网络地址与去往所述请求方网络设备的数据分组的源网络地址相同并且作为样本的恶意数据分组的目的端口号和去往所述请求方网络设备的数据分组的目的端口号相同时,则确定对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为具有关联性;
否则,确定对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为不具有关联性。
优选地,其中,所述网关设备基于作为样本的恶意数据分组的属性信息和去往所述请求方网络设备的数据分组的属性信息,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:
所述网关设备基于作为样本的恶意数据分组的属性信息,确定作为样本的恶意数据分组的源端口号、目的端口号和时间戳;
所述网关设备基于去往所述请求方网络设备的数据分组的属性信息,确定去往所述请求方网络设备的数据分组的源端口号、目的端口号和时间戳;
基于作为样本的恶意数据分组的源端口号、目的端口号和时间戳,以及去往所述请求方网络设备的数据分组的源端口号、目的端口号和时间戳,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。
根据本发明的再一方面,提供了一种对网络设备进行安全防护的系统,所述系统包括:
提取装置,用于促使当网关设备接收到网络告警消息时,从所述网络告警消息中提取作为样本的恶意数据分组的属性信息,所述属性信息包括:源网络地址、源端口号、目的网络地址、目的端口号、有效载荷以及时间戳,基于所述作为样本的恶意数据分组的属性信息中的目的网络地址,确定发送所述网络告警消息的请求方网络设备;
检测装置,用于促使所述网关设备基于作为样本的恶意数据分组的属性信息,对去往所述源网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以确定去往所述请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组;
确定装置,用于当确定去往所述请求方网络设备的数据分组是与作为样本的恶意数据分组相关联的关联数据分组时,确定关联数据分组与作为样本的恶意数据分组的内容匹配度,将所述内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组;
计算装置,用于获取与所述请求方网络设备相关联的数据过滤规则,计算候选数据分组与所述数据过滤规则的规则匹配度,将规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组;以及
转发装置,用于为新的恶意数据分组添加网络攻击标识,将添加了网络攻击标识的新的恶意数据分组转发给所述请求方网络设备,使得所述请求方网络设备能够根据所述网络攻击标识对所述新的恶意数据分组进行处理。
根据本发明的再一方面,提供一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序用于执行任意实施例所述的方法。
根据本发明的再一方面,提供一种电子设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现任意实施例所述的方法。
本发明的技术方案基于作为样本的恶意数据分组的属性信息,对去往源网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以确定去往所述请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组;随后,当确定去往所述请求方网络设备的数据分组是与作为样本的恶意数据分组相关联的关联数据分组时,确定关联数据分组与作为样本的恶意数据分组的内容匹配度,将所述内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组;以及最后,获取与所述请求方网络设备相关联的数据过滤规则,计算候选数据分组与所述数据过滤规则的规则匹配度,将规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组,从而为新的恶意数据分组添加网络攻击标识,将添加了网络攻击标识的新的恶意数据分组转发给所述请求方网络设备,使得所述请求方网络设备能够根据所述网络攻击标识对所述新的恶意数据分组进行处理。
根据本发明的技术方案,能够对恶意数据分组进行分析确定恶意数据分组相关联的关联数据分组,并且随后将与恶意数据分组的内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组,从而规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组,最后为新的恶意数据分组添加网络攻击标识,从而使得网络设备能够根据网络攻击标识对所接收的数据分组进行处理,实现了对网络设备进行安全防护的有益效果。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施方式的对网络设备进行安全防护的方法的流程图;
图2为根据本发明实施方式的安全防护系统的结构示意图;以及
图3为根据本发明实施方式的对网络设备进行安全防护的系统的结构示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明实施方式的对网络设备进行安全防护的方法的流程图。方法100包括:
步骤101,当网关设备接收到网络告警消息时,从网络告警消息中提取作为样本的恶意数据分组的属性信息,属性信息包括:源网络地址、源端口号、目的网络地址、目的端口号、有效载荷以及时间戳,基于作为样本的恶意数据分组的属性信息中的目的网络地址,确定发送网络告警消息的请求方网络设备。
图2为根据本发明实施方式的安全防护系统的结构示意图。如图2所示,网络中包括多个网络设备,例如网络设备1、网络设备2、……、网络设备N,以及网关设备。为了说明方便,在下面的实施例中,将发送网络告警消息给网关设备的网络设备称为请求方网络设备。应当了解的是,请求方网络设备是网络中的网络设备。其中网络可以是广域网、局域网或特定区域的网络。为了实现各种功能,各个网络设备之间都可以进行数据分组的发送和接收。
在一个实施例中,当请求方网络设备在所接收的多个数据分组中检测到恶意数据分组时,将检测到的恶意数据分组确定为作为样本的恶意数据分组,获取作为样本的恶意数据分组的属性信息,并将作为样本的恶意数据分组的属性信息和生存时间信息封装在网络告警消息中,将网络告警消息发送给网关设备。其中,生存时间信息可以用于指示网络告警消息的失效时刻。
优选地,请求方网络设备可以利用自身的检测工具对在所接收的多个数据分组中对恶意的数据分组进行检测。当请求方网络设备在所接收的多个数据分组中检测到恶意数据分组时,将检测到的恶意数据分组确定为作为样本的恶意数据分组。将检测到的恶意数据分组确定为作为样本的恶意数据分组的目的是,为了让网关设备能够帮助请求方网络设备对后续的数据分组中与恶意数据分组具有相同特征或行为的数据分组进行标记或过滤。随后,请求方网络设备将作为样本的恶意数据分组的属性信息和生存时间信息封装在网络告警消息中,将网络告警消息发送给网关设备,如图2所示。优选地,请求方网络设备可以将网络告警消息发送给一个或多个网关设备。
应当了解的是,由于恶意数据分组的属性信息可能失效,例如,恶意数据分组的属性信息变化,那么导致利用原来的属性信息进行数据分组的标记或过滤都可能会导致错误的标记或过滤,为此,本申请为网络告警消息设置生存时间信息,以表明网络告警消息的失效时刻。生存时间信息可以是网络告警消息的生存时间长度或网络告警消息的失效时刻。
在一个实施例中,基于作为样本的恶意数据分组的属性信息中的目的网络地址,确定发送网络告警消息的请求方网络设备,包括:将作为样本的恶意数据分组的属性信息中的目的网络地址处的网络主机确定为发送网络告警消息的请求方网络设备。
步骤102,网关设备基于作为样本的恶意数据分组的属性信息,对去往源网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以确定去往请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组,具体包括:网关设备对所接收的数据分组的属性信息进行解析以获取所接收的数据分组的目的网络地址,将目的网络地址为请求方网络设备的所接收的数据分组确定为经由网关设备去往请求方网络设备的数据分组。如图2所示,网络设备1、网络设备2、……、网络设备N都可能发送数据分组给请求方网络设备,这些数据分组可以经过网关设备。由于网关设备可能转发或处理发送到不同网络设备的数据分组,因此网关设备需要确定目的网络地址为请求方网络设备的数据分组。
在一个实施例中,网关设备基于作为样本的恶意数据分组的属性信息和去往请求方网络设备的数据分组的属性信息,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。根据网络关联性检测的检测结果,确定去往请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组。应当了解的是,可以将网络关联性检测作为对去往请求方网络设备的第一次检测、过滤或筛查。
在一个实施例中,网关设备基于作为样本的恶意数据分组的属性信息和去往请求方网络设备的数据分组的属性信息,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:网关设备基于作为样本的恶意数据分组的属性信息,确定作为样本的恶意数据分组的源网络地址、目的端口号和时间戳;网关设备基于去往请求方网络设备的数据分组的属性信息,确定去往请求方网络设备的数据分组的源网络地址、目的端口号和时间戳;基于作为样本的恶意数据分组的源网络地址、目的端口号和时间戳,以及去往请求方网络设备的数据分组的源网络地址、目的端口号和时间戳,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。通过数据分组的网络特性,例如,源网络地址、目的端口号和时间戳,对去往请求方网络设备的数据分组进行关联性检测。
在一个实施例中,基于作为样本的恶意数据分组的源网络地址、目的端口号和时间戳,以及去往请求方网络设备的数据分组的源网络地址、目的端口号和时间戳,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:当作为样本的恶意数据分组的时间戳早于去往请求方网络设备的数据分组的时间戳、作为样本的恶意数据分组的源网络地址与去往请求方网络设备的数据分组的源网络地址相同并且作为样本的恶意数据分组的目的端口号和去往请求方网络设备的数据分组的目的端口号相同时,则确定对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为具有关联性;否则,确定对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为不具有关联性。通过数据分组的网络特性,例如,源网络地址、目的端口号和时间戳,对去往请求方网络设备的数据分组进行关联性检测。
在一个实施例中,网关设备基于作为样本的恶意数据分组的属性信息和去往请求方网络设备的数据分组的属性信息,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:网关设备基于作为样本的恶意数据分组的属性信息,确定作为样本的恶意数据分组的源端口号、目的端口号和时间戳;网关设备基于去往请求方网络设备的数据分组的属性信息,确定去往请求方网络设备的数据分组的源端口号、目的端口号和时间戳;基于作为样本的恶意数据分组的源端口号、目的端口号和时间戳,以及去往请求方网络设备的数据分组的源端口号、目的端口号和时间戳,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。通过数据分组的网络特性,例如,源网络地址、目的端口号和时间戳,对去往请求方网络设备的数据分组进行关联性检测。
在一个实施例中,基于作为样本的恶意数据分组的源端口号、目的端口号和时间戳,以及去往请求方网络设备的数据分组的源端口号、目的端口号和时间戳,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:当作为样本的恶意数据分组的时间戳早于去往请求方网络设备的数据分组的时间戳、作为样本的恶意数据分组的源端口号与去往请求方网络设备的数据分组的源端口号相同并且作为样本的恶意数据分组的目的端口号和去往请求方网络设备的数据分组的目的端口号相同时,则确定对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为具有关联性;否则,确定对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为不具有关联性。
作为结果,根据网络关联性检测的检测结果,确定去往请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组,包括:当网络关联性检测的检测结果为具有关联性时,确定去往请求方网络设备的数据分组是与作为样本的恶意数据分组相关联的关联数据分组;当网络关联性检测的检测结果为不具有关联性时,确定去往请求方网络设备的数据分组不是与作为样本的恶意数据分组相关联的关联数据分组。
步骤103,当确定去往请求方网络设备的数据分组是与作为样本的恶意数据分组相关联的关联数据分组时,确定关联数据分组与作为样本的恶意数据分组的内容匹配度,将内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组。根据本申请的技术方案,在确定了与作为样本的恶意数据分组相关联的关联数据分组后,需要对关联数据分组的内容进行进一步检测,例如,第二次检测、过滤或筛查,从而确定可以进一步判断是否为恶意数据分组的候选数据分组。
在一个实施例中,确定关联数据分组与作为样本的恶意数据分组的内容匹配度,包括:从作为样本的恶意数据分组的属性信息中提取第一有效载荷,并且从关联数据分组的属性信息中提取第二有效载荷;基于第一有效载荷和第二有效载荷的最大公共子串和公共字符数,计算第一有效载荷和第二有效载荷的公共匹配度;计算第一有效载荷和第二有效载荷的熵值匹配度;计算第一有效载荷和第二有效载荷的字符分布匹配度;基于公共匹配度、熵值匹配度和函数分布匹配度,确定关联数据分组与作为样本的恶意数据分组的内容匹配度。
在一个实施例中,基于第一有效载荷和第二有效载荷的最大公共子串和公共字符数,计算第一有效载荷和第二有效载荷的公共匹配度,包括:
确定第一有效载荷和第二有效载荷的最大公共子串:
Constr=Maxsubstring(PayLoad_A,PayLoad_B)
其中,Constr为第一有效载荷和第二有效载荷的最大公共子串,Maxsubstring为用于确定两个字符串的最大公共子串的函数,PayLoad_A为第一有效载荷的所有字符所构成的字符串以及PayLoad_B为第二有效载荷的所有字符所构成的字符串;
确定第一有效载荷和第二有效载荷的公共字符的数量:
Conch=Conchar(PayLoad_A,PayLoad_B)
其中,Conch为第一有效载荷和第二有效载荷的公共字符的数量,Conchar为用于确定两个字符串的公共字符的数量的函数,PayLoad_A为第一有效载荷的所有字符所构成的字符串以及PayLoad_B为第二有效载荷的所有字符所构成的字符串;
基于最大公共子串和公共字符数,计算第一有效载荷和第二有效载荷的公共匹配度:
其中,Scon为第一有效载荷和第二有效载荷的公共匹配度,NConstr为第一有效载荷和第二有效载荷的最大公共子串的字符的数量,NPayLoad_A为第一有效载荷的字符的数量,NPayLoad_B为第二有效载荷的字符的数量。
在一个实施例中,其中,计算第一有效载荷和第二有效载荷的熵值匹配度,包括:
计算第一有效载荷的熵值:
其中,H(PayLoad_A)为第一有效载荷的熵值,p(xi)为第一有效载荷的第i个不同字符的出现概率,1≤i≤NdifPayLoad_A,i、NdifPayLoad_A和NPayLoad_A为自然数,NdifPayLoad_A为第一有效载荷中的不同字符的数量,NPayLoad_A为第一有效载荷的字符的数量;其中NdifPayLoad_A≤NPayLoad_A
p(xi)=count(xi,PayLoad_A)/NPayLoad_A,其中,count(xi,PayLoad_A)用于确定PayLoad_A中xi出现的次数;xi为第一有效载荷中第i个不同字符;
计算第二有效载荷的熵值:
其中,H(PayLoad_B)为第二有效载荷的熵值,p(yj)为第二有效载荷的第j个不同字符的出现概率,1≤j≤NdifPayLoad_B,j、NdifPayLoad_B和NPayLoad_B为自然数,NdifPayLoad_B为第二有效载荷中的不同字符的数量;NPayLoad_B为第二有效载荷的字符的数量;其中,NdifPayLoad_B≤NPayLoad_B
p(yj)=count(yj,PayLoad_B)/NPayLoad_B,其中,count(yj,PayLoad_B)
用于确定PayLoad_B中yj出现的次数;yj为第二有效载荷中第j个不同字符;
计算第一有效载荷和第二有效载荷的熵值匹配度:
其中,Sentropy为第一有效载荷和第二有效载荷的熵值匹配度。
在一个实施例中,其中,计算第一有效载荷和第二有效载荷的字符分布匹配度,包括:
确定第一有效载荷中字符的编码值的取值范围E1;
确定第二有效载荷中字符的编码值的取值范围E2,其中E1和E2相同;
将取值范围E1划分为多个取值子区间Dk,其中1≤k≤M,k和M为自然数并且M为取值范围E1内包括的取值子区间的数量;
基于区间字符统计函数Count,确定第一有效载荷在第k个取值子区间中的字符的数量Count(PayLoad_A,Dk),其中;
基于区间字符统计函数,确定第二有效载荷在第k个取值子区间中的字符的数量Count(PayLoad_B,Dk);其中,Dk为第k个取值子区间;
基于以下公式计算第一有效载荷和第二有效载荷的字符分布匹配度:
其中,Distribution是第一有效载荷和第二有效载荷的字符分布匹配度,Count(PayLoad_A,Dk)为第一有效载荷在第k个取值子区间中的字符的数量,Count(PayLoad_B,Dk)为第二有效载荷在第k个取值子区间中的字符的数量,MAX(Count(PayLoadA,Dk),Count(PayLoad_B,Dk))为取Count(PayLoadA,Dk)和Count(PayLoad_B,Dk)中的最大值,αk为第k个取值子区间的调节系数,0.8<αk≤1。
在一个实施例中,其中,基于公共匹配度、熵值匹配度和函数分布匹配度,确定关联数据分组与作为样本的恶意数据分组的内容匹配度,包括:
基于以下公式计算关联数据分组与作为样本的恶意数据分组的内容匹配度:
SIM=Distribution×β+Scon×γ+Sentropy×ε
其中,SIM为关联数据分组与作为样本的恶意数据分组的内容匹配度,β,γ和ε为权重值,β+γ+ε=1并且0<β<1,0<γ<1,0<ε<1。
步骤104,获取与请求方网络设备相关联的数据过滤规则,计算候选数据分组与数据过滤规则的规则匹配度,将规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组。
在一个实施例中,获取与请求方网络设备相关联的数据过滤规则,包括:基于请求方网络设备的网络地址,从网关设备的本地存储器中获取与请求方网络设备相关联的数据过滤规则,数据过滤规则包括多个网络地址对,其中每个网络地址对为<网络地址,恶意匹配度>,其中恶意匹配度的取值范围为[0,100%]。如图2所示,请求方网络设备可以预先将数据过滤规则发送给网关设备,以使得网关设备在本地存储器中存储请求方网络设备的数据过滤规则,例如,请求方网络设备的网络地址和数据过滤规则。可替换地,请求方网络设备可以根据网关设备的请求,将数据过滤规则发送给网关设备,或在请求方网络设备可以将数据过滤规则添加到网络告警消息中。
在一个实施例中,计算候选数据分组与数据过滤规则的规则匹配度,包括:从候选数据分组的属性信息中获取候选数据分组的源网络地址;将候选数据分组的源网络地址与多个网络地址对中的网络地址进行匹配,当确定存在与候选数据分组的源网络地址相匹配的网络地址对时,将相匹配的网络地址对中的恶意匹配度确定为候选数据分组与数据过滤规则的规则匹配度;当确定不存在与候选数据分组的源网络地址相匹配的网络地址对时,将候选数据分组与数据过滤规则的规则匹配度设置为0。优选地,规则匹配度阈值为60%、65%、70%或80%。
步骤105,为新的恶意数据分组添加网络攻击标识,将添加了网络攻击标识的新的恶意数据分组转发给请求方网络设备,使得请求方网络设备能够根据网络攻击标识对新的恶意数据分组进行处理。
在一个实施例中,还包括,将规则匹配度小于规则匹配度阈值的候选数据分组不确定为新的恶意数据分组,并且不为规则匹配度小于规则匹配度阈值的候选数据分组添加网络攻击标识,如图2所示。
在一个实施例中,使得请求方网络设备能够根据网络攻击标识对新的恶意数据分组进行处理,包括:请求方网络设备在接收到新的数据分组时,检查接收到的新的数据分组是否具有网络攻击标识;当确定接收到的新的数据分组具有网络攻击标识时,确定接收到的新的数据分组是新的恶意数据分组;以及将新的恶意数据分组丢弃。
在一个实施例中,使得请求方网络设备能够根据网络攻击标识对新的恶意数据分组进行处理,包括:请求方网络设备在接收到新的数据分组时,检查接收到的新的数据分组是否具有网络攻击标识;当确定接收到的新的数据分组不具有网络攻击标识时,确定接收到的新的数据分组不是新的恶意数据分组;以及对接收到的新的数据分组进行数据处理。优选地,时间戳用于指示数据分组的生成时刻。
图3为根据本发明实施方式的对网络设备进行安全防护的系统的结构示意图。如图3所示,系统包括:提取装置301、检测装置302、确定装置303、计算装置304以及转发装置305。
提取装置301,用于当网关设备接收到网络告警消息时,促使从网络告警消息中提取作为样本的恶意数据分组的属性信息,属性信息包括:源网络地址、源端口号、目的网络地址、目的端口号、有效载荷以及时间戳,基于作为样本的恶意数据分组的属性信息中的目的网络地址,确定发送网络告警消息的请求方网络设备。
在一个实施例中,当请求方网络设备在所接收的多个数据分组中检测到恶意数据分组时,将检测到的恶意数据分组确定为作为样本的恶意数据分组,获取作为样本的恶意数据分组的属性信息,并将作为样本的恶意数据分组的属性信息和生存时间信息封装在网络告警消息中,将网络告警消息发送给网关设备。其中,生存时间信息可以用于指示网络告警消息的失效时刻。
优选地,请求方网络设备可以利用自身的检测工具对在所接收的多个数据分组中对恶意的数据分组进行检测。当请求方网络设备在所接收的多个数据分组中检测到恶意数据分组时,将检测到的恶意数据分组确定为作为样本的恶意数据分组。将检测到的恶意数据分组确定为作为样本的恶意数据分组的目的是,为了让网关设备能够帮助请求方网络设备对后续的数据分组中与恶意数据分组具有相同特征或行为的数据分组进行标记或过滤。随后,请求方网络设备将作为样本的恶意数据分组的属性信息和生存时间信息封装在网络告警消息中,将网络告警消息发送给网关设备,如图2所示。优选地,请求方网络设备可以将网络告警消息发送给一个或多个网关设备。
应当了解的是,由于恶意数据分组的属性信息可能失效,例如,恶意数据分组的属性信息变化,那么导致利用原来的属性信息进行数据分组的标记或过滤都可能会导致错误的标记或过滤,为此,本申请为网络告警消息设置生存时间信息,以表明网络告警消息的失效时刻。生存时间信息可以是网络告警消息的生存时间长度或网络告警消息的失效时刻。
在一个实施例中,提取装置301具体用于将作为样本的恶意数据分组的属性信息中的目的网络地址处的网络主机确定为发送网络告警消息的请求方网络设备。
检测装置302,用于促使网关设备基于作为样本的恶意数据分组的属性信息,对去往源网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以确定去往请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组,具体包括:网关设备对所接收的数据分组的属性信息进行解析以获取所接收的数据分组的目的网络地址,将目的网络地址为请求方网络设备的所接收的数据分组确定为经由网关设备去往请求方网络设备的数据分组。如图2所示,网络设备1、网络设备2、……、网络设备N都可能发送数据分组给请求方网络设备,这些数据分组可以经过网关设备。由于网关设备可能转发或处理发送到不同网络设备的数据分组,因此网关设备需要确定目的网络地址为请求方网络设备的数据分组。
在一个实施例中,检测装置302还用于促使网关设备基于作为样本的恶意数据分组的属性信息和去往请求方网络设备的数据分组的属性信息,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。根据网络关联性检测的检测结果,确定去往请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组。应当了解的是,可以将网络关联性检测作为对去往请求方网络设备的第一次检测、过滤或筛查。
在一个实施例中,检测装置302还用于促使网关设备基于作为样本的恶意数据分组的属性信息,确定作为样本的恶意数据分组的源网络地址、目的端口号和时间戳;网关设备基于去往请求方网络设备的数据分组的属性信息,确定去往请求方网络设备的数据分组的源网络地址、目的端口号和时间戳;基于作为样本的恶意数据分组的源网络地址、目的端口号和时间戳,以及去往请求方网络设备的数据分组的源网络地址、目的端口号和时间戳,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。通过数据分组的网络特性,例如,源网络地址、目的端口号和时间戳,对去往请求方网络设备的数据分组进行关联性检测。
在一个实施例中,检测装置302具体用于当作为样本的恶意数据分组的时间戳早于去往请求方网络设备的数据分组的时间戳、作为样本的恶意数据分组的源网络地址与去往请求方网络设备的数据分组的源网络地址相同并且作为样本的恶意数据分组的目的端口号和去往请求方网络设备的数据分组的目的端口号相同时,则确定对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为具有关联性;否则,确定对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为不具有关联性。通过数据分组的网络特性,例如,源网络地址、目的端口号和时间戳,对去往请求方网络设备的数据分组进行关联性检测。
在一个实施例中,检测装置302具体用于促使网关设备基于作为样本的恶意数据分组的属性信息,确定作为样本的恶意数据分组的源端口号、目的端口号和时间戳;网关设备基于去往请求方网络设备的数据分组的属性信息,确定去往请求方网络设备的数据分组的源端口号、目的端口号和时间戳;基于作为样本的恶意数据分组的源端口号、目的端口号和时间戳,以及去往请求方网络设备的数据分组的源端口号、目的端口号和时间戳,对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。通过数据分组的网络特性,例如,源网络地址、目的端口号和时间戳,对去往请求方网络设备的数据分组进行关联性检测。
在一个实施例中,检测装置302具体用于当作为样本的恶意数据分组的时间戳早于去往请求方网络设备的数据分组的时间戳、作为样本的恶意数据分组的源端口号与去往请求方网络设备的数据分组的源端口号相同并且作为样本的恶意数据分组的目的端口号和去往请求方网络设备的数据分组的目的端口号相同时,则确定对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为具有关联性;否则,确定对去往请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为不具有关联性。
作为结果,检测装置302具体用于当网络关联性检测的检测结果为具有关联性时,确定去往请求方网络设备的数据分组是与作为样本的恶意数据分组相关联的关联数据分组;当网络关联性检测的检测结果为不具有关联性时,确定去往请求方网络设备的数据分组不是与作为样本的恶意数据分组相关联的关联数据分组。
确定装置303,用于当确定去往请求方网络设备的数据分组是与作为样本的恶意数据分组相关联的关联数据分组时,确定关联数据分组与作为样本的恶意数据分组的内容匹配度,将内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组。根据本申请的技术方案,在确定了与作为样本的恶意数据分组相关联的关联数据分组后,需要对关联数据分组的内容进行进一步检测,例如,第二次检测、过滤或筛查,从而确定可以进一步判断是否为恶意数据分组的候选数据分组。
在一个实施例中,确定装置303具体用于从作为样本的恶意数据分组的属性信息中提取第一有效载荷,并且从关联数据分组的属性信息中提取第二有效载荷;基于第一有效载荷和第二有效载荷的最大公共子串和公共字符数,计算第一有效载荷和第二有效载荷的公共匹配度;计算第一有效载荷和第二有效载荷的熵值匹配度;计算第一有效载荷和第二有效载荷的字符分布匹配度;基于公共匹配度、熵值匹配度和函数分布匹配度,确定关联数据分组与作为样本的恶意数据分组的内容匹配度。
在一个实施例中,确定装置303具体用于确定第一有效载荷和第二有效载荷的最大公共子串:
Constr=Maxsubstring(PayLoad_A,PayLoad_B)
其中,Constr为第一有效载荷和第二有效载荷的最大公共子串,Maxsubstring为用于确定两个字符串的最大公共子串的函数,PayLoad_A为第一有效载荷的所有字符所构成的字符串以及PayLoad_B为第二有效载荷的所有字符所构成的字符串;
确定第一有效载荷和第二有效载荷的公共字符的数量:
Conch=Conchar(PayLoad_A,PayLoad_B)
其中,Conch为第一有效载荷和第二有效载荷的公共字符的数量,Conchar为用于确定两个字符串的公共字符的数量的函数,PayLoad_A为第一有效载荷的所有字符所构成的字符串以及PayLoad_B为第二有效载荷的所有字符所构成的字符串;
基于最大公共子串和公共字符数,计算第一有效载荷和第二有效载荷的公共匹配度:
其中,Scon为第一有效载荷和第二有效载荷的公共匹配度,NConstr为第一有效载荷和第二有效载荷的最大公共子串的字符的数量,NPayLoad_A为第一有效载荷的字符的数量,NPayLoad_B为第二有效载荷的字符的数量。
在一个实施例中,确定装置303具体用于计算第一有效载荷的熵值:
其中,H(PayLoad_A)为第一有效载荷的熵值,p(xi)为第一有效载荷的第i个不同字符的出现概率,1≤i≤NdifPayLoad_A,i、NdifPayLoad_A和NPayLad_A为自然数,NdifPayLoad_A为第一有效载荷中的不同字符的数量,NPayLoad_A为第一有效载荷的字符的数量;其中NdifPayLoad_A≤NPayLoad_A
p(xi)=count(xi,PayLoad_A)/NPayLoad_A,其中,count(xi,PayLoad_A)用于确定PayLoad_A中xi出现的次数;xi为第一有效载荷中第i个不同字符;
计算第二有效载荷的熵值:
其中,H(PayLoad_B)为第二有效载荷的熵值,p(yj)为第二有效载荷的第j个不同字符的出现概率,1≤j≤NdifPayLoad_B,j、NdifPayLoad_B和NPayLoad_B为自然数,NdifPayLoad_B为第二有效载荷中的不同字符的数量;NPayLoad_B为第二有效载荷的字符的数量;其中,NdifPayLoad_B≤NPayLoad_B
p(yj)=count(yj,PayLoad_B)/NPayLoad_B,其中,count(yj,PayLoad_B)用于确定PayLoad_B中yj出现的次数;yj为第二有效载荷中第j个不同字符;
计算第一有效载荷和第二有效载荷的熵值匹配度:
其中,Sentropy为第一有效载荷和第二有效载荷的熵值匹配度。
在一个实施例中,确定装置303具体用于确定第一有效载荷中字符的编码值的取值范围E1;
确定第二有效载荷中字符的编码值的取值范围E2,其中E1和E2相同;
将取值范围E1划分为多个取值子区间Dk,其中1≤k≤M,k和M为自然数并且M为取值范围E1内包括的取值子区间的数量;
基于区间字符统计函数Count,确定第一有效载荷在第k个取值子区间中的字符的数量Count(PayLoad_A,Dk),其中;
基于区间字符统计函数,确定第二有效载荷在第k个取值子区间中的字符的数量Count(PayLoad_B,Dk);其中,Dk为第k个取值子区间;
基于以下公式计算第一有效载荷和第二有效载荷的字符分布匹配度:
其中,Distribution是第一有效载荷和第二有效载荷的字符分布匹配度,Count(PayLoad_A,Dk)为第一有效载荷在第k个取值子区间中的字符的数量,Count(PayLoad_B,Dk)为第二有效载荷在第k个取值子区间中的字符的数量,MAX(Count(PayLoadA,Dk),Count(PayLoad_B,Dk))为取Count(PayLoadA,Dk)和Count(PayLoad_B,Dk)中的最大值,αk为第k个取值子区间的调节系数,0.8<αk≤1。
在一个实施例中,确定装置303具体用于计算内容匹配度:
SIM=Distribution×β+Scon×γ+Sentropy×ε
其中,SIM为关联数据分组与作为样本的恶意数据分组的内容匹配度,β,γ和ε为权重值,β+γ+ε=1并且0<β<1,0<γ<1,0<ε<1。
计算装置304,用于获取与请求方网络设备相关联的数据过滤规则,计算候选数据分组与数据过滤规则的规则匹配度,将规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组。
在一个实施例中,计算装置304具体用于基于请求方网络设备的网络地址,从网关设备的本地存储器中获取与请求方网络设备相关联的数据过滤规则,数据过滤规则包括多个网络地址对,其中每个网络地址对为<网络地址,恶意匹配度>,其中恶意匹配度的取值范围为[0,100%]。如图2所示,请求方网络设备可以预先将数据过滤规则发送给网关设备,以使得网关设备在本地存储器中存储请求方网络设备的数据过滤规则,例如,请求方网络设备的网络地址和数据过滤规则。可替换地,请求方网络设备可以根据网关设备的请求,将数据过滤规则发送给网关设备,或在请求方网络设备可以将数据过滤规则添加到网络告警消息中。
在一个实施例中,计算装置304具体用于从候选数据分组的属性信息中获取候选数据分组的源网络地址;将候选数据分组的源网络地址与多个网络地址对中的网络地址进行匹配,当确定存在与候选数据分组的源网络地址相匹配的网络地址对时,将相匹配的网络地址对中的恶意匹配度确定为候选数据分组与数据过滤规则的规则匹配度;当确定不存在与候选数据分组的源网络地址相匹配的网络地址对时,将候选数据分组与数据过滤规则的规则匹配度设置为0。优选地,规则匹配度阈值为60%、65%、70%或80%。
转发装置305,用于为新的恶意数据分组添加网络攻击标识,将添加了网络攻击标识的新的恶意数据分组转发给请求方网络设备,使得请求方网络设备能够根据网络攻击标识对新的恶意数据分组进行处理。在一个实施例中,还包括,将规则匹配度小于规则匹配度阈值的候选数据分组不确定为新的恶意数据分组,并且不为规则匹配度小于规则匹配度阈值的候选数据分组添加网络攻击标识,如图2所示。
在一个实施例中,请求方网络设备在接收到新的数据分组时,检查接收到的新的数据分组是否具有网络攻击标识;当确定接收到的新的数据分组具有网络攻击标识时,确定接收到的新的数据分组是新的恶意数据分组;以及将新的恶意数据分组丢弃。在一个实施例中,请求方网络设备在接收到新的数据分组时,检查接收到的新的数据分组是否具有网络攻击标识;当确定接收到的新的数据分组不具有网络攻击标识时,确定接收到的新的数据分组不是新的恶意数据分组;以及对接收到的新的数据分组进行数据处理。优选地,时间戳用于指示数据分组的生成时刻。

Claims (10)

1.一种对网络设备进行安全防护的方法,所述方法包括:
当网关设备接收到网络告警消息时,从所述网络告警消息中提取作为样本的恶意数据分组的属性信息,所述属性信息包括:源网络地址、源端口号、目的网络地址、目的端口号、有效载荷以及时间戳,基于所述作为样本的恶意数据分组的属性信息中的目的网络地址,确定发送所述网络告警消息的请求方网络设备;
所述网关设备基于作为样本的恶意数据分组的属性信息,对去往所述源网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以确定去往所述请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组;
当确定去往所述请求方网络设备的数据分组是与作为样本的恶意数据分组相关联的关联数据分组时,确定关联数据分组与作为样本的恶意数据分组的内容匹配度,将所述内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组;
获取与所述请求方网络设备相关联的数据过滤规则,计算候选数据分组与所述数据过滤规则的规则匹配度,将规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组;以及
为新的恶意数据分组添加网络攻击标识,将添加了网络攻击标识的新的恶意数据分组转发给所述请求方网络设备,使得所述请求方网络设备能够根据所述网络攻击标识对所述新的恶意数据分组进行处理。
2.根据权利要求1所述的方法,还包括,当所述请求方网络设备在所接收的多个数据分组中检测到恶意数据分组时,将检测到的恶意数据分组确定为作为样本的恶意数据分组,获取所述作为样本的恶意数据分组的属性信息,并将所述作为样本的恶意数据分组的属性信息和生存时间信息封装在网络告警消息中,将所述网络告警消息发送给网关设备,
其中,所述生存时间信息用于指示所述网络告警消息的失效时刻。
3.根据权利要求1所述的方法,其中,基于所述作为样本的恶意数据分组的属性信息中的目的网络地址,确定发送所述网络告警消息的请求方网络设备,包括:
将所述作为样本的恶意数据分组的属性信息中的目的网络地址处的网络主机确定为发送所述网络告警消息的请求方网络设备。
4.根据权利要求1所述的方法,其中,所述网关设备基于作为样本的恶意数据分组的属性信息,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以确定去往所述请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组,包括:
所述网关设备对所接收的数据分组的属性信息进行解析以获取所接收的数据分组的目的网络地址,将目的网络地址为所述请求方网络设备的所接收的数据分组确定为经由所述网关设备去往所述请求方网络设备的数据分组;
所述网关设备基于作为样本的恶意数据分组的属性信息和去往所述请求方网络设备的数据分组的属性信息,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果;
根据网络关联性检测的检测结果,确定去往所述请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组。
5.根据权利要求4所述的方法,其中,所述网关设备基于作为样本的恶意数据分组的属性信息和去往所述请求方网络设备的数据分组的属性信息,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:
所述网关设备基于作为样本的恶意数据分组的属性信息,确定作为样本的恶意数据分组的源网络地址、目的端口号和时间戳;
所述网关设备基于去往所述请求方网络设备的数据分组的属性信息,确定去往所述请求方网络设备的数据分组的源网络地址、目的端口号和时间戳;
基于作为样本的恶意数据分组的源网络地址、目的端口号和时间戳,以及去往所述请求方网络设备的数据分组的源网络地址、目的端口号和时间戳,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。
6.根据权利要求5所述的方法,其中,基于作为样本的恶意数据分组的源网络地址、目的端口号和时间戳,以及去往所述请求方网络设备的数据分组的源网络地址、目的端口号和时间戳,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:
当作为样本的恶意数据分组的时间戳早于去往所述请求方网络设备的数据分组的时间戳、作为样本的恶意数据分组的源网络地址与去往所述请求方网络设备的数据分组的源网络地址相同并且作为样本的恶意数据分组的目的端口号和去往所述请求方网络设备的数据分组的目的端口号相同时,则确定对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为具有关联性;
否则,确定对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测的检测结果为不具有关联性。
7.根据权利要求4所述的方法,其中,所述网关设备基于作为样本的恶意数据分组的属性信息和去往所述请求方网络设备的数据分组的属性信息,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果,包括:
所述网关设备基于作为样本的恶意数据分组的属性信息,确定作为样本的恶意数据分组的源端口号、目的端口号和时间戳;
所述网关设备基于去往所述请求方网络设备的数据分组的属性信息,确定去往所述请求方网络设备的数据分组的源端口号、目的端口号和时间戳;
基于作为样本的恶意数据分组的源端口号、目的端口号和时间戳,以及去往所述请求方网络设备的数据分组的源端口号、目的端口号和时间戳,对去往所述请求方网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以获取网络关联性检测的检测结果。
8.一种对网络设备进行安全防护的系统,所述系统包括:
提取装置,用于促使当网关设备接收到网络告警消息时,从所述网络告警消息中提取作为样本的恶意数据分组的属性信息,所述属性信息包括:源网络地址、源端口号、目的网络地址、目的端口号、有效载荷以及时间戳,基于所述作为样本的恶意数据分组的属性信息中的目的网络地址,确定发送所述网络告警消息的请求方网络设备;
检测装置,用于促使所述网关设备基于作为样本的恶意数据分组的属性信息,对去往所述源网络设备的数据分组和作为样本的恶意数据分组进行网络关联性检测,以确定去往所述请求方网络设备的数据分组是否为与作为样本的恶意数据分组相关联的关联数据分组;
确定装置,用于当确定去往所述请求方网络设备的数据分组是与作为样本的恶意数据分组相关联的关联数据分组时,确定关联数据分组与作为样本的恶意数据分组的内容匹配度,将所述内容匹配度大于内容匹配度阈值的关联数据分组确定为候选数据分组;
计算装置,用于获取与所述请求方网络设备相关联的数据过滤规则,计算候选数据分组与所述数据过滤规则的规则匹配度,将规则匹配度大于或等于规则匹配度阈值的候选数据分组确定为新的恶意数据分组;以及
转发装置,用于为新的恶意数据分组添加网络攻击标识,将添加了网络攻击标识的新的恶意数据分组转发给所述请求方网络设备,使得所述请求方网络设备能够根据所述网络攻击标识对所述新的恶意数据分组进行处理。
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序用于执行权利要求1-7中任一项所述的方法。
10.一种电子设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现权利要求1-7中任一项所述的方法。
CN202311167901.5A 2023-09-11 2023-09-11 一种对网络设备进行安全防护的方法及系统 Active CN117040909B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311167901.5A CN117040909B (zh) 2023-09-11 2023-09-11 一种对网络设备进行安全防护的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311167901.5A CN117040909B (zh) 2023-09-11 2023-09-11 一种对网络设备进行安全防护的方法及系统

Publications (2)

Publication Number Publication Date
CN117040909A true CN117040909A (zh) 2023-11-10
CN117040909B CN117040909B (zh) 2024-05-10

Family

ID=88633872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311167901.5A Active CN117040909B (zh) 2023-09-11 2023-09-11 一种对网络设备进行安全防护的方法及系统

Country Status (1)

Country Link
CN (1) CN117040909B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105825129A (zh) * 2015-01-04 2016-08-03 中国移动通信集团设计院有限公司 一种融合通信中恶意软件鉴别方法和系统
CN107231258A (zh) * 2017-06-01 2017-10-03 国网电子商务有限公司 一种网络告警数据处理方法及装置
CN109191021A (zh) * 2018-10-30 2019-01-11 全球能源互联网研究院有限公司 电网异常事件的关联规则匹配方法及装置
CN111506478A (zh) * 2020-04-17 2020-08-07 上海浩方信息技术有限公司 基于人工智能实现告警管理控制的方法
US20200329069A1 (en) * 2019-04-09 2020-10-15 Arbor Networks, Inc. Statistical automatic detection of malicious packets in ddos attacks using an encoding scheme associated with payload content
CN112580027A (zh) * 2020-12-15 2021-03-30 北京天融信网络安全技术有限公司 恶意样本的确定方法、装置、存储介质及电子设备
KR20230086538A (ko) * 2021-12-08 2023-06-15 한국과학기술정보연구원 APT (Advanced Persistent Threat) 공격 탐지 방법 및 장치
CN116633672A (zh) * 2023-06-28 2023-08-22 深圳市深信服信息安全有限公司 告警信息检测方法、装置、电子设备及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105825129A (zh) * 2015-01-04 2016-08-03 中国移动通信集团设计院有限公司 一种融合通信中恶意软件鉴别方法和系统
CN107231258A (zh) * 2017-06-01 2017-10-03 国网电子商务有限公司 一种网络告警数据处理方法及装置
CN109191021A (zh) * 2018-10-30 2019-01-11 全球能源互联网研究院有限公司 电网异常事件的关联规则匹配方法及装置
US20200329069A1 (en) * 2019-04-09 2020-10-15 Arbor Networks, Inc. Statistical automatic detection of malicious packets in ddos attacks using an encoding scheme associated with payload content
CN111506478A (zh) * 2020-04-17 2020-08-07 上海浩方信息技术有限公司 基于人工智能实现告警管理控制的方法
CN112580027A (zh) * 2020-12-15 2021-03-30 北京天融信网络安全技术有限公司 恶意样本的确定方法、装置、存储介质及电子设备
KR20230086538A (ko) * 2021-12-08 2023-06-15 한국과학기술정보연구원 APT (Advanced Persistent Threat) 공격 탐지 방법 및 장치
CN116633672A (zh) * 2023-06-28 2023-08-22 深圳市深信服信息安全有限公司 告警信息检测方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
曹天杰等: "基于非用户操作序列的恶意软件检测方法", 计算机应用, no. 01 *

Also Published As

Publication number Publication date
CN117040909B (zh) 2024-05-10

Similar Documents

Publication Publication Date Title
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
US9860278B2 (en) Log analyzing device, information processing method, and program
CN106330944B (zh) 恶意系统漏洞扫描器的识别方法和装置
US20230224232A1 (en) System and method for extracting identifiers from traffic of an unknown protocol
US20060161986A1 (en) Method and apparatus for content classification
CN106470214B (zh) 攻击检测方法和装置
US20200304521A1 (en) Bot Characteristic Detection Method and Apparatus
CN111866024B (zh) 一种网络加密流量识别方法及装置
CN110519265B (zh) 一种防御攻击的方法及装置
CN110798488B (zh) Web应用攻击检测方法
CN111988309B (zh) 一种icmp隐蔽隧道检测方法及系统
CN107209834B (zh) 恶意通信模式提取装置及其系统和方法、记录介质
JPWO2015141640A1 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
CN113556343B (zh) 基于浏览器指纹识别的DDoS攻击防御方法及设备
CN111147489A (zh) 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
CN114021040A (zh) 基于业务访问的恶意事件的告警及防护方法和系统
CN113746804B (zh) Dns隐蔽信道检测方法、装置、设备及存储介质
CN113905016A (zh) 一种dga域名检测方法、检测装置及计算机存储介质
CN112583827B (zh) 一种数据泄露检测方法及装置
CN117040909B (zh) 一种对网络设备进行安全防护的方法及系统
WO2024036822A1 (zh) 一种恶意域名确定方法、装置、设备及介质
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN111371727A (zh) 一种针对ntp协议隐蔽通信的检测方法
CN109684831B (zh) 一种检测计算机网络病毒的方法和装置
CN115499251B (zh) 一种边缘IoT设备的异常流量及攻击检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant