CN117439757A - 终端风险程序的数据处理方法、装置和服务器 - Google Patents

终端风险程序的数据处理方法、装置和服务器 Download PDF

Info

Publication number
CN117439757A
CN117439757A CN202310934667.8A CN202310934667A CN117439757A CN 117439757 A CN117439757 A CN 117439757A CN 202310934667 A CN202310934667 A CN 202310934667A CN 117439757 A CN117439757 A CN 117439757A
Authority
CN
China
Prior art keywords
target
domain name
risk
flow data
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310934667.8A
Other languages
English (en)
Inventor
张茜
孙源
丁炎
魏兴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310934667.8A priority Critical patent/CN117439757A/zh
Publication of CN117439757A publication Critical patent/CN117439757A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本说明书提供了终端风险程序的数据处理方法、装置和服务器,涉及信息安全领域。基于该方法,先获取目标系统的目标流量数据的属性特征;再根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。从而能较好地适用复杂、多样的业务场景,有效保护目标系统的数据安全。

Description

终端风险程序的数据处理方法、装置和服务器
技术领域
本说明书属于信息安全技术领域,尤其涉及终端风险程序的数据处理方法、装置和服务器。
背景技术
在金融业务场景中,金融交易平台的数据处理系统中的设备终端常常由于被攻击者安装恶意风险程序(或称恶意软件),进而被操控访问一些具有恶意链接的网址,使得金融交易平台的重要数据遭到泄露,对平台系统的数据安全造成威胁。
基于现有方法,大多通过人工规则检测的方式来排查系统中的设备终端是否被安装有恶意风险程序。上述方法具体实施时,往往存在处理效率低,容易出现误差,且无法灵活适用复杂、多样的业务场景等问题。
针对上述问题,目前尚未提出有效的解决方案。
发明内容
本说明书提供了一种终端风险程序的数据处理方法、装置和服务器,能够好地适用复杂、多样的业务场景,区分不同情况,精准、高效地定位出目标终端中的目标风险程序,有效地保护目标系统的数据安全。
本说明书提供了一种终端风险程序的数据处理方法,包括:
获取目标系统的目标流量数据的属性特征;其中,所述属性特征至少包括:源IP地址、源端口号、目的IP地址、目的端口号、访问域名;
根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;
根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;
在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;
根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。
在一个实施例中,根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型,包括:
根据当前时间段的安全环境信息,确定出预设的安全检测策略的权重参数;其中,所述预设的安全检测策略包括:白名单访问策略、黑名单禁止策略、域名特征判断策略;
根据预设的安全检测策略的权重参数,组合使用多个预设的安全检测策略,得到相匹配的第一动态策略规则;
确定目标终端的业务关键程度;
根据目标终端的业务关键程度,在确定目标终端的业务关键程度大于预设的关键程度阈值的情况下,调整第一动态策略规则中预设的安全检测策略的权重参数,得到相匹配的第二动态策略规则。
在一个实施例中,确定目标终端的业务关键程度,包括:
从目标流量数据的属性特征中提取出源IP地址和源端口号;
根据源IP地址和源端口号,查询目标系统的关键业务系统地址数据范围表,得到对应的查询结果;
根据所述查询结果,确定目标终端的业务关键程度。
在一个实施例中,根据当前时间段的安全环境信息,确定出预设的安全检测策略的权重参数,包括:
根据当前时间段的安全环境信息,在确定目标系统当前处于重报环境或演练环境的情况下,至少将白名单访问策略的权重参数确定为第一权重值;
和/或,根据当前时间段的安全环境信息,在确定目标系统当前处于正常工作环境的情况下,至少将黑名单禁止策略的权重参数确定为第一权重值;
和/或,根据当前时间段的安全环境信息,在确定目标系统当前处于安全性风险环境的情况下,至少将域名特征判断策略的权重参数确定为第一权重值。
在一个实施例中,在目标系统当前处于重报或演练环境的情况下,根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,包括:
根据目标风险域名检测模型和目标流量数据的属性特征,检测目标流量数据所涉及的访问域名是否属于预设的域名白名单;
在确定目标流量数据所涉及的访问域名不属于预设的域名白名单的情况下,对目标流量数据进行阻断处理。
在一个实施例中,在目标系统当前处于正常工作环境的情况下,根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,包括:
根据目标风险域名检测模型和目标流量数据的属性特征,检测目标流量数据所涉及的访问域名是否属于预设的域名黑名单;
在确定目标流量数据所涉及的访问域名属于预设的域名黑名单的情况下,对目标流量数据进行阻断处理。
在一个实施例中,在目标系统当前处于安全性风险环境的情况下,根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,包括:
根据目标风险域名检测模型和目标流量数据的属性特征,获取目标流量数据所涉及的访问域名的域名特征;其中,所述域名特征包括以下至少之一:域名结构、域名长度、特殊字段、TTL值;
根据访问域名的域名特征,确定访问域名与预设的域名行为基线模板之间的偏离程度;其中,预设的域名行为基线模板为预先通过监督学习和聚类处理得到的;
在确定偏离程度大于预设的风险偏离程度阈值的情况下,对目标流量数据进行阻断处理。
在一个实施例中,在根据访问域名的域名特征,确定访问域名与预设的域名行为基线模板之间的偏离程度之后,所述方法还包括:
在确定偏离程度小于等于预设的风险偏离程度阈值的情况下,调用域名查询接口检测访问域名是否为匿名注册;
在确定访问域名为匿名注册的情况下,对目标流量数据进行阻断处理。
在一个实施例中,确定目标流量数据是否涉及风险域名,包括:
在确定目标流量数据所涉及的访问域名属于预设的域名黑名单的情况下,确定目标流量数据涉及风险域名;
在确定对目标流量数据进行阻断处理,且目标流量数据所涉及的访问域名不属于预设的域名黑名单的情况下,根据预设的风险检测规则,检测该访问域名是否为风险域名。
在一个实施例中,根据预设的风险检测规则,检测该访问域名是否为风险域名,包括:
调用预设的安全软件接口对目标风险进程进行静态分析,得到静态分析结果;
将目标风险进程复制并载入隔离虚拟环境中,并运行该目标风险进程进行动态分析,得到动态分析结果;
根据所述静态分析结果和/或所述动态分析结果,确定目标风险进程是否存在安全性风险;
在确定目标风险进程存在安全性风险的情况下,确定访问域名为风险域名,并将该访问域名存入预设的域名黑名单中。
在一个实施例中,在确定出目标终端中的目标风险程序之后,所述方法还包括:
检测目标风险程序是否属于预设的误报程序表;
在确定目标风险程序不属于预设的误报程序表的情况下,从目标终端删除该目标风险程序。
在一个实施例中,在确定出目标终端中的目标风险程序之后,所述方法还包括:
获取目标终端的安全日志;
根据目标终端的安全日志,获取目标风险程序的历史操作数据;其中,所述历史操作数据包括以下至少之一:进程的启动时间、命令行参数、文件路径、网络连接信息、打开的文件记录、注册表操作;
根据目标风险程序的历史操作数据,确定出目标风险程序的行为特征;
根据目标风险程序的行为特征,追溯目标风险程序的传播途径和感染来源。
本说明书还提供了一种终端风险程序的数据处理装置,包括:
获取模块,用于获取目标系统的目标流量数据的属性特征;其中,所述属性特征至少包括:源IP地址、源端口号、目的IP地址、目的端口号、访问域名;
动态调整模块,用于根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;
处理模块,用于根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;
第一确定模块,用于在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;
第二确定模块,用于根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。
本说明书还提供了一种服务器,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现所述终端风险程序的数据处理方法的相关步骤。
本说明书还提供了一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时实现以下步骤:获取目标系统的目标流量数据的属性特征;其中,所述属性特征至少包括:源IP地址、源端口号、目的IP地址、目的端口号、访问域名;根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。
基于本说明书提供的终端风险程序的数据处理方法、装置和服务器,可以先获取目标系统的目标流量数据的属性特征;再根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。从而能够好地适用复杂、多样的业务场景,自动区分不同场景情况,基于动态调整后的风险域名检测模型准确、高效地处理流量数据,并自动判断该流量数据是否涉及风险域名;在确定流量数据涉及风险域名的情况下,进一步精准地定位出目标终端的目标风险程序,以便及时进行相应处理,有效保护目标系统的数据安全。
附图说明
为了更清楚地说明本说明书实施例,下面将对实施例中所需要使用的附图作简单地介绍,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书的一个实施例提供的终端风险程序的数据处理方法的流程示意图;
图2是在一个场景示例中,应用本说明书实施例提供的终端风险程序的数据处理方法的一种实施例的示意图;
图3是在一个场景示例中,应用本说明书实施例提供的终端风险程序的数据处理方法的一种实施例的示意图;
图4是在一个场景示例中,应用本说明书实施例提供的终端风险程序的数据处理方法的一种实施例的示意图;
图5是在一个场景示例中,应用本说明书实施例提供的终端风险程序的数据处理方法的一种实施例的示意图;
图6是在一个场景示例中,应用本说明书实施例提供的终端风险程序的数据处理方法的一种实施例的示意图;
图7是本说明书的一个实施例提供的服务器的结构组成示意图;
图8是本说明书的一个实施例提供的终端风险程序的数据处理装置的结构组成示意图;
图9是在一个场景示例中,应用本说明书实施例提供的终端风险程序的数据处理方法的一种实施例的示意图;
图10是在一个场景示例中,应用本说明书实施例提供的终端风险程序的数据处理方法的一种实施例的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
参阅图1所示,本说明书实施例提供了一种终端风险程序的数据处理方法。其中,该方法具体应用于服务器一侧。具体实施时,该方法可以包括以下内容:
S101:获取目标系统的目标流量数据的属性特征;其中,所述属性特征至少包括:源IP地址、源端口号、目的IP地址、目的端口号、访问域名;
S102:根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;
S103:根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;
S104:在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;
S105:根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。
基于上述实施例,服务器对于所监测到的目标流量数据,会综合当前时间段的安全环境信息,以及目标终端的业务关键程度,精细地区分不同场景情况;进而根据不同场景情况,动态调整风险域名监测模型,得到与当前的业务场景相匹配的目标风险域名检测模型;再根据该目标风险域名检测模型,结合所监测到的目标流量数据的属性特征,准确、高效地处理该目标流量数据,并精细地判断该流量数据是否涉及风险域名;在确定流量数据涉及风险域名的情况下,进一步精准地定位出目标终端中的目标风险程序,以便后续进行相应处理,从而能够有效地保护目标系统的数据安全,避免目标系统中的终端设备由于被攻击安装了风险程序访问恶意的风险域名导致目标系统的关键数据遭到泄露。
其中,上述风险域名又可以称为恶意域名,具体可以是指一类具有恶意的网址链接。上述风险程序又可以称为恶意软件,具体可以是指一类需要与外部服务器进行通信,获取相关指令、上传数据,或下载其他恶意组件,以窃取系统中敏感数据的代码程序。
通常,风险程序、风险域名作为构成网络攻击的重要组成部分,两者往往相互关联、相互配合,存在紧密联系。例如,恶意域名通常与恶意软件的传播、控制以及攻击活动紧密相关。而恶意软件又能操控相关终端设备主动访问恶意域名所指示的相关的网页。
在一些实施例中,具体的,参阅图2所示,上述终端风险程序的数据处理方法具体可以应用于服务器一侧。
其中,上述服务器具体可以包括一种应用于金融交易服务机构的目标系统的监控后台一侧,能够实现数据传输、数据处理,以及风险检测、风险消除等功能的后台服务器。具体的,所述服务器例如可以为一个具有数据运算、存储功能以及网络交互功能的电子设备。或者,所述服务器也可以为运行于该电子设备中,为数据处理、存储和网络交互提供支持的软件程序。在本实施例中,并不具体限定所述服务器的数量。所述服务器具体可以为一个服务器,也可以为几个服务器,或者,由若干服务器形成的服务器集群。
上述目标系统具体可以理解为金融交易服务机构的交易数据处理系统,负责具体的交易数据的处理。其中,上述目标系统具体可以包括隶属于不同业务系统的设备终端。上述设备终端用于具体负责所属业务系统的具体的业务数据处理。
具体的,上述业务系统可以包括以下至少之一:账户管理系统、支付结算系统、数据库管理系统、信贷系统等等。
具体实施时,服务器可以实时监测流出目标系统的目标流量数据,并获取该目标流量数据的属性特征。在具体处理该流量数据之前,会先根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,动态调整与当前业务场景相匹配的目标风险域名检测模型。再根据上述目标风险域名检测模型,结合目标流量数据的属性特征,准确地对该目标流量数据自动进行相应处理,以及判断该目标流量数据是否涉及风险域名(例如,恶意域名)。再确定目标流量数据涉及风险域名的情况下,进一步在目标终端确定出与该目标流量数据相关的目标风险进程;再根据该目标风险进程定位并确定出目标风险程序(例如,被攻击者安装于目标终端的恶意软件)。进而服务器可以及时地对该目标风险程序进行相应处理,以消除安全性风险,保护目标系统整体的数据安全。
在一些实施例中,上述目标流量数据具体可以理解包括从目标系统内部向外流出的、待监测的网络通信数据包。目标流量数据的属性特征至少可以包括:源IP地址、源端口号、目的IP地址、目的端口号,以及访问域名等相关数据。
在一些实施例中,参阅图3所示,上述根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型,具体实施时,可以包括以下内容:
S1:根据当前时间段的安全环境信息,确定出预设的安全检测策略的权重参数;其中,所述预设的安全检测策略包括:白名单访问策略、黑名单禁止策略、域名特征判断策略;
S2:根据预设的安全检测策略的权重参数,组合使用多个预设的安全检测策略,得到相匹配的第一动态策略规则;
S3:确定目标终端的业务关键程度;
S4:根据目标终端的业务关键程度,在确定目标终端的业务关键程度大于预设的关键程度阈值的情况下,调整第一动态策略规则中预设的安全检测策略的权重参数,得到相匹配的第二动态策略规则。
基于上述实施例,可以较为全面地综合当前时间段的安全环境信息,以及与目标流量数据相关的目标终端的业务关键程度,准确地区分不同的业务场景,精细地通过动态调整配置得到针对该目标流量数据的目标风险域名检测模型,以便后续可以利用该目标风险域名检测模型精准地检测判断该目标流量数据所涉及的访问域名是否为风险域名,并及时地对该目标流量数据进行合适且有效的处理。
在一些实施例中,上述白名单访问策略(可以简记为检测策略1)还可以包含有预设的域名白名单。具体的,基于该策略,可以通过构建并使用预设的域名白名单来处理流量数据,将不属于预设的域名白名单中的域名视为风险域名,并对相应的流量数据进行阻断处理。
上述黑名单禁止策略(可以简记为检测策略2)还可以包含有预设的域名黑名单。具体的,基于该策略,可以通过构建并使用预设的域名黑名单来处理流量数据,将属于预设的域名黑名单中的域名视为风险域名,并对相应的流量数据进行阻断处理。
上述域名特征判断策略(可以简记为检测策略3)还包含有预设的域名行为基线模板。具体的,基于该策略,可以通过构建并使用预设的域名行为基线模板来处理流量数据,将域名特征与预设的域名行为基线模板之间的偏离程度较大的域名视为风险域名,并对相应的流量数据进行阻断处理。
其中,上述预设的域名黑名单中包含有多个已经确定属于风险域名的风险域名的域名信息。其中,上述风险域名的域名信息至少包括:风险域名的具体域名,基于该风险域名解析得到的IP地址,以及与该风险域名关联的风险程序的程序标识。
考虑到对于风险程序而言,考虑到固定的IP地址无法实现隐蔽,以及对终端的长期、有效控制,同一个风险程序可能内置有多个域名,且同一个域名可能与多个IP地址关联。因此,基于上述预设的域名黑名单通过同时使用域名以及IP地址来指示风险域名,能够更加准确、全面地辅助服务器找出风险域名。
具体实施前,服务器可以获取金融交易服务机构,以及其他外部机构(包括:监管机构等)对外发布的恶意域名和恶意软件清单;从上述恶意域名和恶意软件清单中提取出相关的域名信息构建上述预设的域名黑名单。此外,具体实施时,服务器还可以利用基于域名特征判断策略所检测出的新的风险域名,及时更新上述预设的域名黑名单。从而可以得到不断更新,较为全面、效果较好的预设的域名黑名单。
上述预设的域名白名单具体可以是金融交易服务机构根据具体的业务需要,和内部评估结果,自定义设置的。上述预设的域名白名单具体可以包含有该金融交易服务机构确定的安全域名。
上述预设的域名行为基线模板包含有正常、安全的域名的域名特征的参照值。上述预设的域名行为基线模板具体可以是预先通过对大量正样本域名的行为数据和属性数据进行监督学习和聚类处理所得到的。
在一些实施例中,上述确定目标终端的业务关键程度,具体实施时,可以包括以下内容:
S1:从目标流量数据的属性特征中提取出源IP地址和源端口号;
S2:根据源IP地址和源端口号,查询目标系统的关键业务系统地址数据范围表,得到对应的查询结果;
S3:根据所述查询结果,确定目标终端的业务关键程度。
基于上述实施例,服务器可以准确地确定出目标终端个体的业务关键程度。
具体实施前,服务器可以先统计整理目标系统中各个业务系统的地址数据范围;再结合不同业务系统所涉及的数据的敏感程度,以及对上述数据操作时操作动作的敏感程度,确定出各个业务系统所对应的业务关键程度;再组合各个业务系统的地址数据范围,以及各个业务系统所对应的业务关键程度,得到上述目标系统的关键业务系统地址数据范围表。
在一些实施例中,上述根据当前时间段的安全环境信息,确定出预设的安全检测策略的权重参数,具体实施时,可以包括以下内容:
根据当前时间段的安全环境信息,在确定目标系统当前处于重报环境或演练环境的情况下,至少将白名单访问策略的权重参数确定为第一权重值;
和/或,根据当前时间段的安全环境信息,在确定目标系统当前处于正常工作环境的情况下,至少将黑名单禁止策略的权重参数确定为第一权重值;
和/或,根据当前时间段的安全环境信息,在确定目标系统当前处于安全性风险环境的情况下,至少将域名特征判断策略的权重参数确定为第一权重值。
基于上述实施例,可以根据当前时间段的安全环境信息,准确、高效地确定相应的预设的安全检测策略的权重参数,以便后续可以根据上述权重参数合理地组合使用多个预设的安全检测策略,得到效果较好的目标风险域名检测模型。
具体实施时,在确定当前的业务场景为目标系统当前处于重报环境或演练环境的情况下,可以确定当前对目标系统的安全性要求最高,这时重点是要满足目标系统的安全性要求,可以通过将白名单访问策略的权重参数设置为第一权重值(例如,1),提高该策略的优先级。相对的,还可以将其他策略的权重参数设置为第二权重值(例如,0),以进一步凸显出白名单访问策略的优先级。
在确定当前的业务场景为目标系统当前处于正常工作环境的情况下,可以确定当前对目标系统的安全性要求相对较低,这时重点是要满足目标系统的工作顺畅性要求,可以通过将黑名单禁止策略的权重参数设置为第一权重值,提高该策略的优先级。相对的,还可以将其他策略的权重参数设置为第二权重值,以进一步凸显黑名单禁止策略的优先级。
在确定当前的业务场景为目标系统当前处于安全性风险环境的情况下,可以确定当前对目标系统的安全性要求中等,这时要保证目标系统的工作顺畅,同时目标系统客观上也面临网络攻击增加的风险环境,可以通过将域名特征判断策略的权重参数设置为第一权重值,提高该策略的优先级。相对的,还可以将其他策略的权重参数设置为第二权重值,以进一步凸显域名特征判断策略的优先级。
具体实施时,服务器可以先检测当前时间段(例如,最近的24小时)内是否接收到关于重报或演练的通知消息,在确定当前时间段内接收到上述通知消息的情况下,确定目标系统当前处于重报环境或演练环境。
在确定目标系统当前未处于重报环境或演练环境的情况下,服务器可以获取当前时间段内的网络攻击记录,并根据当前预设时间段内的网络攻击记录分析并确定当前预设时间段内网络攻击的数量变化趋势;在确定当前预设时间段内网络攻击的数量变化趋势为平稳趋势或下降趋势的情况下,可以确定目标系统当前处于正常工作环境;相反,在确定当前预设时间段内网络攻击的数量变化趋势为上升趋势的情况下,可以确定目标系统当前处于安全性风险环境。
在一些实施例中,具体实施时,还可以利用预先训练好的权重参数自动调整模型通过处理输入的当前时间段的安全环境信息,自动调整并输出对应的预设的安全检测策略的权重参数,进而可以更加高效、便捷地自动得到符合要求的目标风险域名检测模型。
具体实施前,可以按照以下方式训练权重参数自动调整模型:获取历史时间段的安全环境信息(包括历史通知消息、历史网络攻击记录等),以及历史权重参数调整记录;根据历史权重参数调整记录标注历史时间段的安全环境信息,得到标注后的样本数据;利用标注后的样本数据训练初始的回归模型,以得到符合要求的权重参数自动调整模型。
在一些实施例中,基于上述方式,考虑了当前时间段的安全环境信息的基于安全环境的整体维度,通过对预设的安全检测策略的权重参数进行第一次调整,得到了第一动态策略规则(或称第一动态策略调整机制)。
在得到第一动态策略规则之后,还可以进一步考虑目标流量关联的目标终端的业务关键程度,结合目标终端的个体维度,通过对第一动态策略规则进行调整,得到更加精准的第二动态策略规则(或称第二动态策略调整机制)。
具体调整调整第一动态策略规则时,可以检测目标终端的业务关键程度是否大于预设的关键程度阈值,在确定目标终端的业务关键程度大于预设的关键程度阈值的情况下,可以确定目标终端为目标系统属于目标系统中重要业务系统,相应的,具有更高的安全性要求,这时,可以在第一动态策略规则的基础进一步增加白名单访问策略的权重参数,进一步提高优先级。相反,在确定目标终端的业务关键程度小于等于预设的关键程度阈值的情况下,则可以不对第一动态策略规则进行调整,直接将原有的第一动态策略规则作为第二动态策略规则使用。
从而可以得到调整相对更加精细、安全性相对更高、匹配效果相对更好的目标风险域名检测模型。
在一些实施例中,在目标系统当前处于重报或演练环境的情况下,上述根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,具体实施时,可以包括以下内容:
S1:根据目标风险域名检测模型和目标流量数据的属性特征,检测目标流量数据所涉及的访问域名是否属于预设的域名白名单;
S2:在确定目标流量数据所涉及的访问域名不属于预设的域名白名单的情况下,对目标流量数据进行阻断处理。
基于上述实施例,在目标系统当前处于重报或演练环境的情况下,根据目标风险域名检测模型处理目标流量数据时,可以只放行所涉及的访问域名属于预设的域名白名单的目标流量数据;对于不属于预设的域名白名单的访问域名可以标记为嫌疑域名,对涉及嫌疑域名的目标流量数据进行阻断处理,避免系统数据遭到泄露,保护目标系统的数据安全。
在一些实施例中,在目标系统当前处于正常工作环境的情况下,上述根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,具体实施时,可以包括以下内容:
S1:根据目标风险域名检测模型和目标流量数据的属性特征,检测目标流量数据所涉及的访问域名是否属于预设的域名黑名单;
S2:在确定目标流量数据所涉及的访问域名属于预设的域名黑名单的情况下,对目标流量数据进行阻断处理。
基于上述实施例,在目标系统当前处于正常工作环境的情况下,根据目标风险域名检测模型处理目标流量数据时,可以放行所涉及的访问域名不属于预设的域名黑名单的目标流量数据;对于属于预设的域名黑名单的访问域名可以直接标记为风险域名,并对涉及风险域名的目标流量数据进行阻断处理。
在一些实施例中,在目标系统当前处于安全性风险环境的情况下,参阅图4所示,上述根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,具体实施时,可以包括以下内容:
S1:根据目标风险域名检测模型和目标流量数据的属性特征,获取目标流量数据所涉及的访问域名的域名特征;其中,所述域名特征包括以下至少之一:域名结构、域名长度、特殊字段、TTL值;
S2:根据访问域名的域名特征,确定访问域名与预设的域名行为基线模板之间的偏离程度;其中,预设的域名行为基线模板为预先通过监督学习和聚类处理得到的;
S3:在确定偏离程度大于预设的风险偏离程度阈值的情况下,对目标流量数据进行阻断处理。
基于上述实施例,在目标系统当前处于安全性风险环境的情况下,根据目标风险域名检测模型处理目标流量数据时,可以先根据目标风险域名检测模型和目标流量数据的属性特征,检测目标流量数据所涉及的访问域名是否属于预设的域名黑名单;在确定目标流量数据所涉及的访问域名属于预设的域名黑名单的情况下,将该访问域名标记为风险域名,并对目标流量数据进行阻断处理;在确定目标流量数据所涉及的访问域名不属于预设的域名黑名单的情况下,可以进一步按照上述方式,基于域名特征,通过计算访问域名与预设的域名行为基线模板之间的偏离程度,对访问域名是否为涉及安全性风险的嫌疑域名进行较为精细的判断;在确定访问域名与预设的域名行为基线模板之间的偏离程度较小时,可以确定访问域名较为安全,不是嫌疑域名,这时,可以直接放行该目标流量数据;相反,在确定访问域名与预设的域名行为基线模板之间的偏离程度较大时,可以确定访问域名存在较高风险,是嫌疑域名,这时,可以对该目标流量数据进行阻断处理。
其中,上述TTL(Time To Live,生存时间)值具体可以是指DNS(Domain NameSystem,域名系统)解析记录在DNS服务器上的生存时间。通常,在涉及访问风险域名的流量数据中,所设置的生存时间TTL值相对极低或甚至为0,这样能够迫使其每次访问时均需向DNS服务器请求解析,达到频繁改变域名与IP地址映射关系的目的。因此,可以引入TTL值作为域名特征之一,来检测访问域名是否存在风险,是否为嫌疑域名。
上述特殊字段具体可以包括:.tk字段、Pl字段等。通过对大量负样本域名的行为数据进行整理和统计,发现许多风险域名常常会使用诸如.tk字段、Pl字段等特殊字段。这是由于使用上述特殊字段的域名是相对最容易申请到的免费域名,使用成本、使用门槛相对最低。因此,可以引入特殊字段作为域名特征之一,来检测访问域名是否存在风险,是否为嫌疑域名。
此外,对于正常、安全的域名,域名结构通常是较为常规、通用的。而风险域名为了某些目的所使用的域名结构会比较少见、异常。因此,还可以引入域名结构作为域名特征之一,来检测访问域名是否存在风险,是否为嫌疑域名。
进一步,对于正常、安全的域名,域名的长通常也是固定。而风险域名的域名长度有时则会显得过长,或过短。因此,还可以引入域名长度作为域名特征之一,来检测访问域名是否存在风险,是否为嫌疑域名。
其中,上述预设的偏离程度为预先对正样本域名的域名特征,以及负样本域名的域名特征分别进行聚类处理后,根据两种聚类结果的差异值确定得到的。
在一些实施例中,在根据访问域名的域名特征,确定访问域名与预设的域名行为基线模板之间的偏离程度之后,所述方法具体实施时,还可以包括以下内容:
S1:在确定偏离程度小于等于预设的风险偏离程度阈值的情况下,调用域名查询接口检测访问域名是否为匿名注册;
S2:在确定访问域名为匿名注册的情况下,对目标流量数据进行阻断处理。
基于上述实施例,可以更加准确地找出存在风险的嫌疑域名,避免在检测嫌疑域名时出现遗漏,更好地保护了目标系统的数据安全。
在一些实施例中,上述确定目标流量数据是否涉及风险域名,具体实施时,可以包括以下内容:
在确定目标流量数据所涉及的访问域名属于预设的域名黑名单的情况下,确定目标流量数据涉及风险域名;
在确定对目标流量数据进行阻断处理,且目标流量数据所涉及的访问域名不属于预设的域名黑名单的情况下,根据预设的风险检测规则,检测该访问域名是否为风险域名。
基于上述实施例,可以准确地判断出目标流量数据所涉及的访问域名是否为风险域名。
在一些实施例中,参阅图5所示,上述根据预设的风险检测规则,检测该访问域名是否为风险域名,具体实施时,可以包括以下内容:
S1:调用预设的安全软件接口对目标风险进程进行静态分析,得到静态分析结果;
S2:将目标风险进程复制并载入隔离虚拟环境中,并运行该目标风险进程进行动态分析,得到动态分析结果;
S3:根据所述静态分析结果和/或所述动态分析结果,确定目标风险进程是否存在安全性风险;
S4:在确定目标风险进程存在安全性风险的情况下,确定访问域名为风险域名,并将该访问域名存入预设的域名黑名单中。
基于上述实施例,可以较为准确地检测并判断相关的访问域名(即,嫌疑域名)是否真的为风险域名,并在确定访问域名为风险域名的情况下,将该访问域名存入预设的域名黑名单中,以及时对预设的域名黑名单进行更新,提高预设的域名黑名单的覆盖度。
具体实施时,可以根据目标流量数据,通过查询目标终端的系统运行日志,确定出与该目标流量数据相关的目标风险进程。
具体实施时,调用预设的安全软件接口对目标风险进程进行静态分析,具体可以包括:调用预设的安全软件接口,利用反编译软件对目标风险进程反编译进程文件,得到对应的静态文件;再基于静态文件,检测是否存在静态风险特征。其中,静态风险特征包括:涉及与敏感操作相关的函数调用(例如,访问注册表、网络通信、文件操作等)、涉及可疑的DLL库、涉及的加解密算法等。如果检测到上述静态风险特征,则可以判断该目标风险进程确实是存在静态风险,所涉及的访问域名存在静态风险,得到对应的静态分析结果。
具体实施时,将目标风险进程复制并载入隔离虚拟环境中,并运行该目标风险进程进行动态分析,具体可以包括:将目标风险进程复制后将复制出的目标风险禁止设置在隔离虚拟环境中,并运行该目标风险进程;在目标风险进程运行的过程中,监测是否存在动态风险特征。其中,动态风险特征包括:修改配置文件、修改注册表、修改网络通信参数、资源异常使用等。检测到上述动态风险特征,则可以判断该目标风险进程确实是存在动态风险,所涉及的访问域名存在动态风险,得到对应的动态分析结果。
具体实施时,在根据所述静态分析结果和/或所述动态分析结果,确定目标风险进程确实存在静态风险和/或动态风险的情况下,可以确定目标风险进程存在安全性风险,进而可以确定该目标流量数据所涉及访问域名确实为风险域名。
具体实施时,还可以进一步检测目标风险进程的数字签名是否有效;如果数字签名无效,且该目标风险进程还具有自启动、无法删除等特性,则可以确定该目标风险进程确实存在安全性风险。
在一些实施例中,在确定目标风险进程存在安全性风险的情况下,可以根据目标风险进程的执行目录数据(例如,临时目录),通过(exe可执行文件的)文件路径定位,在目标终端中定位出目标风险程序。
在一些实施例中,在确定出目标终端中的目标风险程序之后,所述方法具体实施时,还可以包括以下内容:
S1:检测目标风险程序是否属于预设的误报程序表;
S2:在确定目标风险程序不属于预设的误报程序表的情况下,从目标终端删除该目标风险程序。
基于上述实施例,可以结合预设的误报程序表,通过在处理目标风险程序前进行误报判断,能够更加准确地处理目标风险程序,有效地避免误处理。
具体实施时,还可以将上述目标风险程序的程序标识发送至技术人员进行人工核验。技术人员在通过人工核验,确定该目标风险程序确实存在安全性风险,且不属于误报的情况下,可以生成并反馈针对该目标风险程序的确认指示。相应的,服务器接收并根据该确认指示,从目标终端删除该目标风险程序,避免该目标风险程序在目标系统内部继续传播。相反,技术人员在通过人工核验,确定该目标风险程序其实不存在安全性风险,或者属于误报的情况下,可以生成并反馈针对该目标风险程序的误报指示。相应的,服务器接收并根据该误报指示,不对目标风险程序进行处理,同时还将目标风险程序的程序标识存入预设的误报程序表中,以对预设的误报程序表进行更新。
在一些实施例中,在确定出目标终端中的目标风险程序之后,参阅图6所示,所述方法具体实施时,还可以包括以下内容:
S1:获取目标终端的安全日志(或者网络日志等);
S2:根据目标终端的安全日志,获取目标风险程序的历史操作数据;其中,所述历史操作数据包括以下至少之一:进程的启动时间、命令行参数、文件路径、网络连接信息、打开的文件记录、注册表操作、安装请求等;
S3:根据目标风险程序的历史操作数据,确定出目标风险程序的行为特征;
S4:根据目标风险程序的行为特征,追溯目标风险程序的传播途径和感染来源。
基于上述实施例,服务器可以进一步确定并根据目标风险程序的行为特征,对目标风险程序的传播途径、感染来源进行追溯、查询,进而可以有效地消除目标风险程序对目标系统的风险影响,保护目标系统的数据安全。
由上可见,基于本说明书实施例提供的终端风险程序的数据处理方法,先获取目标系统的目标流量数据的属性特征;再根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,进行动态调整配置,得到相匹配的目标风险域名检测模型;根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。从而能够好地适用复杂、多样的业务场景,自动区分不同情况,基于动态调整后的风险域名检测模型准确、高效地处理流量数据,并准确判断该流量数据是否涉及风险域名;在确定流量数据涉及风险域名的情况下,精准地定位出目标终端中的目标风险程序,以便及时进行相应的处理,有效保护目标系统的数据安全。
本说明书实施例还提供一种服务器,参阅图7所示,所述服务器包括网络通信端口701、处理器702以及存储器703,上述结构通过内部线缆相连,以便各个结构可以进行具体的数据交互。
其中,所述网络通信端口701,具体可以用于获取目标系统的目标流量数据的属性特征;其中,所述属性特征至少包括:源IP地址、源端口号、目的IP地址、目的端口号、访问域名。
所述处理器702,具体可以用于根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。
所述存储器703,具体可以用于存储相应的指令程序。
在本实施例中,所述网络通信端口701可以是与不同的通信协议进行绑定,从而可以发送或接收不同数据的虚拟端口。例如,所述网络通信端口可以是负责进行web数据通信的端口,也可以是负责进行FTP数据通信的端口,还可以是负责进行邮件数据通信的端口。此外,所述网络通信端口还可以是实体的通信接口或者通信芯片。例如,其可以为无线移动网络通信芯片,如GSM、CDMA等;其还可以为Wifi芯片;其还可以为蓝牙芯片。
在本实施例中,所述处理器702可以按任何适当的方式实现。例如,处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式等等。本说明书并不作限定。
在本实施例中,所述存储器703可以包括多个层次,在数字系统中,只要能保存二进制数据的都可以是存储器;在集成电路中,一个没有实物形式的具有存储功能的电路也叫存储器,如RAM、FIFO等;在系统中,具有实物形式的存储设备也叫存储器,如内存条、TF卡等。
本说明书实施例还提供了一种基于上述终端风险程序的数据处理方法的计算机可读存储介质,所述计算机可读存储介质存储有计算机程序指令,在所述计算机程序指令被执行时实现:获取目标系统的目标流量数据的属性特征;其中,所述属性特征至少包括:源IP地址、源端口号、目的IP地址、目的端口号、访问域名;根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。
在本实施例中,上述存储介质包括但不限于随机存取存储器(Random AccessMemory,RAM)、只读存储器(Read-Only Memory,ROM)、缓存(Cache)、硬盘(Hard DiskDrive,HDD)或者存储卡(Memory Card)。所述存储器可以用于存储计算机程序指令。网络通信单元可以是依照通信协议规定的标准设置的,用于进行网络连接通信的接口。
在本实施例中,该计算机可读存储介质存储的程序指令具体实现的功能和效果,可以与其它实施方式对照解释,在此不再赘述。
参阅图8所示,在软件层面上,本说明书实施例还提供了一种终端风险程序的数据处理装置,该装置具体可以包括以下的结构模块:
获取模块801,具体可以用于获取目标系统的目标流量数据的属性特征;其中,所述属性特征至少包括:源IP地址、源端口号、目的IP地址、目的端口号、访问域名;
动态调整模块802,具体可以用于根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;
处理模块803,具体可以用于根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;
第一确定模块804,具体可以用于在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;
第二确定模块805,具体可以用于根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。
在一些实施例中,上述动态调整模块802具体实施时,可以按照以下方式根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型:根据当前时间段的安全环境信息,确定出预设的安全检测策略的权重参数;其中,所述预设的安全检测策略包括:白名单访问策略、黑名单禁止策略、域名特征判断策略;根据预设的安全检测策略的权重参数,组合使用多个预设的安全检测策略,得到相匹配的第一动态策略规则;确定目标终端的业务关键程度;根据目标终端的业务关键程度,在确定目标终端的业务关键程度大于预设的关键程度阈值的情况下,调整第一动态策略规则中预设的安全检测策略的权重参数,得到相匹配的第二动态策略规则。
在一些实施例中,上述动态调整模块802具体实施时,可以按照以下方式确定目标终端的业务关键程度:从目标流量数据的属性特征中提取出源IP地址和源端口号;根据源IP地址和源端口号,查询目标系统的关键业务系统地址数据范围表,得到对应的查询结果;根据所述查询结果,确定目标终端的业务关键程度。
在一些实施例中,上述动态调整模块802具体实施时,可以按照以下方式根据当前时间段的安全环境信息,确定出预设的安全检测策略的权重参数:根据当前时间段的安全环境信息,在确定目标系统当前处于重报环境或演练环境的情况下,至少将白名单访问策略的权重参数确定为第一权重值;和/或,根据当前时间段的安全环境信息,在确定目标系统当前处于正常工作环境的情况下,至少将黑名单禁止策略的权重参数确定为第一权重值;和/或,根据当前时间段的安全环境信息,在确定目标系统当前处于安全性风险环境的情况下,至少将域名特征判断策略的权重参数确定为第一权重值。
在一些实施例中,上述处理模块803具体实施时,在目标系统当前处于重报或演练环境的情况下,可以按照以下方式根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据:根据目标风险域名检测模型和目标流量数据的属性特征,检测目标流量数据所涉及的访问域名是否属于预设的域名白名单;在确定目标流量数据所涉及的访问域名不属于预设的域名白名单的情况下,对目标流量数据进行阻断处理。
在一些实施例中,上述处理模块803具体实施时,在目标系统当前处于正常工作环境的情况下,可以按照以下方式根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据:根据目标风险域名检测模型和目标流量数据的属性特征,检测目标流量数据所涉及的访问域名是否属于预设的域名黑名单;在确定目标流量数据所涉及的访问域名属于预设的域名黑名单的情况下,对目标流量数据进行阻断处理。
在一些实施例中,上述处理模块803具体实施时,在目标系统当前处于安全性风险环境的情况下,可以按照以下方式根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据:根据目标风险域名检测模型和目标流量数据的属性特征,获取目标流量数据所涉及的访问域名的域名特征;其中,所述域名特征包括以下至少之一:域名结构、域名长度、特殊字段、TTL值;根据访问域名的域名特征,确定访问域名与预设的域名行为基线模板之间的偏离程度;其中,预设的域名行为基线模板为预先通过监督学习和聚类处理得到的;在确定偏离程度大于预设的风险偏离程度阈值的情况下,对目标流量数据进行阻断处理。
在一些实施例中,上述处理模块803在根据访问域名的域名特征,确定访问域名与预设的域名行为基线模板之间的偏离程度之后,具体实施时,还可以用于:在确定偏离程度小于等于预设的风险偏离程度阈值的情况下,调用域名查询接口检测访问域名是否为匿名注册;在确定访问域名为匿名注册的情况下,对目标流量数据进行阻断处理。
在一些实施例中,上述处理模块803具体实施时,可以按照以下方式确定目标流量数据是否涉及风险域名:在确定目标流量数据所涉及的访问域名属于预设的域名黑名单的情况下,确定目标流量数据涉及风险域名;在确定对目标流量数据进行阻断处理,且目标流量数据所涉及的访问域名不属于预设的域名黑名单的情况下,根据预设的风险检测规则,检测该访问域名是否为风险域名。
在一些实施例中,上述处理模块803具体实施时,可以按照以下方式根据预设的风险检测规则,检测该访问域名是否为风险域名:调用预设的安全软件接口对目标风险进程进行静态分析,得到静态分析结果;将目标风险进程复制并载入隔离虚拟环境中,并运行该目标风险进程进行动态分析,得到动态分析结果;根据所述静态分析结果和/或所述动态分析结果,确定目标风险进程是否存在安全性风险;在确定目标风险进程存在安全性风险的情况下,确定访问域名为风险域名,并将该访问域名存入预设的域名黑名单中。
在一些实施例中,在确定出目标终端中的目标风险程序之后,所述装置具体实施时,还可以用于:检测目标风险程序是否属于预设的误报程序表;在确定目标风险程序不属于预设的误报程序表的情况下,从目标终端删除该目标风险程序。
在一些实施例中,在确定出目标终端中的目标风险程序之后,所述装置具体实施时,还可以用于:获取目标终端的安全日志;根据目标终端的安全日志,获取目标风险程序的历史操作数据;其中,所述历史操作数据包括以下至少之一:进程的启动时间、命令行参数、文件路径、网络连接信息、打开的文件记录、注册表操作;根据目标风险程序的历史操作数据,确定出目标风险程序的行为特征;根据目标风险程序的行为特征,追溯目标风险程序的传播途径和感染来源。
需要说明的是,上述实施例阐明的单元、装置或模块等,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
由上可见,基于本说明书实施例提供的终端风险程序的数据处理装置,能够好地适用复杂、多样的业务场景,自动区分不同情况,基于动态调整后的风险域名检测模型准确、高效地处理流量数据,并精细判断该流量数据是否涉及风险域名;在确定流量数据涉及风险域名的情况下,精准地定位出目标终端中的目标风险程序,以便及时进行相应的处理,有效保护目标系统的数据安全。
在一个具体的场景示例中,可以应用本说明书提供的终端风险程序的数据处理方法实现基于恶意域名访问的终端恶意软件定位与防御。具体实施过程可以结合图9,参阅以下内容
S1:制定多个恶意域名检测策略,构建恶意域名检测模型(例如,目标风险域名检测模型),参阅图10。
a)检测策略1(例如,白名单访问策略):构建域名访问白名单列表,非白名单内的域名为恶意域名。
b)检测策略2(例如,黑名单禁止处理):构建域名访问黑名单列表,形式为[恶意域名、对应解析IP、关联的恶意软件],与黑名单列表中对应域名或解析IP匹配的为恶意域名。
c)检测策略3(例如,域名特征判断策略):将一段时间正常的网络通信数据流量作为基础数据,提取域名信息,通过训练构建正常域名行为基线作为恶意域名评估标准,正常域名特征包含:域名长度范围,域名的结构和组成特征、域名的TTL范围、域名解析后映射到的IP地址。将不符合正常域名行为基线的判断为恶意域名。
S2:通过制定多个恶意域名检测策略,依据终端关键程度、企业各时间段安全防御能力级别、安全事件与网络攻击趋势等动态调整每个策略的权重,增加或降低各策略的优先级,以适应不同的威胁情境(例如,不同的业务场景)。企业管理员依据年度安全计划标识企业各时间段安全防御能力。
a)依据企业各时间段安全防御能力的级别,动态选择第一动态策略调整机制(例如,第一动态策略规则):
i.企业日常工作情境下(企业安全防御能力为基础),允许非域名访问白名单内的互联网通信行为,将检测策略2权重动态调整为高。在域名检测中将域名访问黑名单内的通信流量及时阻断。实行多策略组合检测方式,将非域名访问黑名单内的通信流量允许通过并执行其他检测策略。
ii.当前网络安全事件频发或网络攻击趋势急剧上升时(企业安全防御能力为中),检测策略3权重动态调整为高,帮助检测异常的、潜在的、未知的恶意域名活动,及时发现与阻止潜在的恶意域名感染或恶意行为。实行多策略组合检测方式,将检测结果传递给下一个策略进一步分析。
iii.企业在重保、演练等关键时期(企业安全防御能力为高),仅允许域名访问白名单内的互联网通信行为,检测策略1权重动态调整为高,将域名检测中不在域名访问白名单内的通信流量及时阻断,实行单策略检测方式。
b)依据捕获的企业IP判断终端终端关键程度选择第二动态策略调整机制(例如,第二动态策略规则):
i.若访问企业IP属于关键业务系统地址范围的,检测策略1权重动态调整为高,仅允许白名单内域名访问通信流量通过。
ii.若访问企业IP属于企业内网办公终端或非关键业务系统地址范围的,检测策略2权重动态调整为高,黑名单外的通信流量可通过。
S3:镜像捕获企业网络实时通信流量(例如,目标流量数据),逐条分析通信数据,提取[源IP、源端口、目的IP、目的端口、域名](例如,目标流量数据的属性特征)。依据检测时间的企业安全防御能力级别,通过第一动态策略调整机制选择待执行的检测策略:
a)若白名单检测策略权重动态调整为高,则实行单策略检测方式,后续不与其他策略组合使用;
b)若黑名单检测策略权重动态调整为高,判断待检测域名或访问目的IP是否存在域名访问黑名单列表中:
i.若在黑名单中,则监测到的恶意域名与恶意软件样本可建立关联关系,说明访问终端安装恶意软件,存在失陷情形,进一步定位感染终端与恶意软件信息。
ii.若不在黑名单中,进一步通过第二策略动态调整机制分析检测:通过提取的源IP与目的IP判断通信IP是否在关键业务系统地址范围内,若为关键业务系统,执行白名单检测策略,仅允许白名单内的域名访问通过,若非关键业务系统,不做进一步分析。
c)若基于域名正常基线的检测策略权重动态调整为高,将待检测域名与正常域名行为基线匹配:
i.若域名超出正常域名长度范围或是结构与组成异常(如存在异常长或异常短的域名、存在.tk等未知结构域名)、或是TTL值过低,则判断域名偏离正常域名行为基线,疑为恶意域名。若未偏离正常域名基线,调用域名查询接口,判断域名注册信息是否为匿名注册,若是则判断可能为恶意域名,进一步定位感染终端与恶意软件信息。
ii.若域名符合正常域名行为基线,进一步通过第二策略动态调整机制分析检测:通过提取的源IP与目的IP判断通信IP是否在关键业务系统地址范围内,若为关键业务系统,执行白名单检测策略,仅允许白名单内的域名访问通过;若为内网办公终端或非关键业务系统地址范围的,执行黑名单检测策略,黑名单外的域名访问通信流量允许通过。黑名单内的域名访问进一步定位感染终端与恶意软件信息。
S4:通过提取到的通信数据包中恶意域名访问的访问源IP地址、源端口号,基于源IP查找对应MAC地址,通过MAC定位主机名,实现企业内真实访问终端的定位。及时隔离定位到的受感染终端,阻断感染终端的通信流量,保障网络环境安全。若访问域名在域名访问黑名单列表中,且列表中存在与恶意域名关联的恶意软件信息,同步删除恶意域名访问终端上的恶意软件以消除威胁。
S5:若访问域名不在黑名单列表中或无关联的恶意软件信息,则根据定位到的访问终端,获取与恶意域名对应的IP地址和端口连接相关的进程信息。
a)提取待检测的进程,调用安全软件接口对进程进行分析扫描,判断是否是恶意软件特征。若存在恶意软件特征,则判断为恶意进程,查找是否存在对应的恶意软件。
b)检查对应进程的数字签名是否有效,若签名无效,且进程具有自启动、无法删除等特性,则判断进程为恶意进程,进一步分析进程执行的临时目录,通过exe可执行文件的文件路径定位实现恶意软件定位。
S6:根据进程定位到恶意软件时,若恶意软件不在误报报表中,采取响应措施,系统通知终端所有者排查:若为恶意软件,则删除恶意域名访问终端上的恶意软件以消除威胁,更新黑名单列表;若为误判,为特定软件或进程相关误报问题,则更新误报报表。
S7:通过检查访问终端中的安全日志等方式同步收集与恶意进程相关的历史记录,包含进程的启动时间、命令行参数、文件路径、网络连接信息、打开的文件、注册表操作,建立进程行为时间轴,生成恶意软件执行信息,作为受感染终端恶意软件外联恶意域名的可视化展示的输入,结合在隔离虚拟环境中运行恶意软件掌握的行为特征,辅助管理员进一步清除威胁内容。
S8:定位恶意软件后,结合终端行为数据,根据网络日志、安全日志等系统日志,分析网络通信数据中有上传对应恶意软件安装文件的请求,基于此追溯恶意软件的传播路径和感染来源。
通过上述场景示例,验证了本说明书提供的终端风险程序的数据处理方法采用白名单、黑名单、正常域名行为基线检测三种策略,在检测过程中依据具体的情境、攻击趋势与终端的关键程度动态选择策略和调整策略权重的优先级,随威胁环境的变化与安全需求,选择单策略检测或多策略组合串行检测的方式,确保企业安全防御能力与威胁保持同步,提高检测的准确性与鲁棒性。同时,基于恶意域名访问通过自动化装置实现感染终端定位、恶意进程识别与恶意软件定位,可解决受感染终端、感染进程难定位的问题。此外,在3)定位恶意软件、恶意进程后,基于终端日志信息实现恶意进程操作溯源可帮助管理员掌握恶意软件攻击意图。基于终端网络连接请求日志可实现恶意软件传播路径溯源,从攻击源头清除威胁。
虽然本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境,甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机可读存储介质中。
虽然通过实施例描绘了本说明书,本领域普通技术人员知道,本说明书有许多变形和变化而不脱离本说明书的精神,希望所附的权利要求包括这些变形和变化而不脱离本说明书的精神。

Claims (15)

1.一种终端风险程序的数据处理方法,其特征在于,包括:
获取目标系统的目标流量数据的属性特征;其中,所述属性特征至少包括:源IP地址、源端口号、目的IP地址、目的端口号、访问域名;
根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;
根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;
在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;
根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。
2.根据权利要求1所述的方法,其特征在于,根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型,包括:
根据当前时间段的安全环境信息,确定出预设的安全检测策略的权重参数;其中,所述预设的安全检测策略包括:白名单访问策略、黑名单禁止策略、域名特征判断策略;
根据预设的安全检测策略的权重参数,组合使用多个预设的安全检测策略,得到相匹配的第一动态策略规则;
确定目标终端的业务关键程度;
根据目标终端的业务关键程度,在确定目标终端的业务关键程度大于预设的关键程度阈值的情况下,调整第一动态策略规则中预设的安全检测策略的权重参数,得到相匹配的第二动态策略规则。
3.根据权利要求2所述的方法,其特征在于,确定目标终端的业务关键程度,包括:
从目标流量数据的属性特征中提取出源IP地址和源端口号;
根据源IP地址和源端口号,查询目标系统的关键业务系统地址数据范围表,得到对应的查询结果;
根据所述查询结果,确定目标终端的业务关键程度。
4.根据权利要求2所述的方法,其特征在于,根据当前时间段的安全环境信息,确定出预设的安全检测策略的权重参数,包括:
根据当前时间段的安全环境信息,在确定目标系统当前处于重报环境或演练环境的情况下,至少将白名单访问策略的权重参数确定为第一权重值;
和/或,根据当前时间段的安全环境信息,在确定目标系统当前处于正常工作环境的情况下,至少将黑名单禁止策略的权重参数确定为第一权重值;
和/或,根据当前时间段的安全环境信息,在确定目标系统当前处于安全性风险环境的情况下,至少将域名特征判断策略的权重参数确定为第一权重值。
5.根据权利要求4所述的方法,其特征在于,在目标系统当前处于重报或演练环境的情况下,根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,包括:
根据目标风险域名检测模型和目标流量数据的属性特征,检测目标流量数据所涉及的访问域名是否属于预设的域名白名单;
在确定目标流量数据所涉及的访问域名不属于预设的域名白名单的情况下,对目标流量数据进行阻断处理。
6.根据权利要求4所述的方法,其特征在于,在目标系统当前处于正常工作环境的情况下,根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,包括:
根据目标风险域名检测模型和目标流量数据的属性特征,检测目标流量数据所涉及的访问域名是否属于预设的域名黑名单;
在确定目标流量数据所涉及的访问域名属于预设的域名黑名单的情况下,对目标流量数据进行阻断处理。
7.根据权利要求4所述的方法,其特征在于,在目标系统当前处于安全性风险环境的情况下,根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,包括:
根据目标风险域名检测模型和目标流量数据的属性特征,获取目标流量数据所涉及的访问域名的域名特征;其中,所述域名特征包括以下至少之一:域名结构、域名长度、特殊字段、TTL值;
根据访问域名的域名特征,确定访问域名与预设的域名行为基线模板之间的偏离程度;其中,预设的域名行为基线模板为预先通过监督学习和聚类处理得到的;
在确定偏离程度大于预设的风险偏离程度阈值的情况下,对目标流量数据进行阻断处理。
8.根据权利要求7所述的方法,其特征在于,在根据访问域名的域名特征,确定访问域名与预设的域名行为基线模板之间的偏离程度之后,所述方法还包括:
在确定偏离程度小于等于预设的风险偏离程度阈值的情况下,调用域名查询接口检测访问域名是否为匿名注册;
在确定访问域名为匿名注册的情况下,对目标流量数据进行阻断处理。
9.根据权利要求8所述的方法,其特征在于,确定目标流量数据是否涉及风险域名,包括:
在确定目标流量数据所涉及的访问域名属于预设的域名黑名单的情况下,确定目标流量数据涉及风险域名;
在确定对目标流量数据进行阻断处理,且目标流量数据所涉及的访问域名不属于预设的域名黑名单的情况下,根据预设的风险检测规则,检测该访问域名是否为风险域名。
10.根据权利要求9所述的方法,其特征在于,根据预设的风险检测规则,检测该访问域名是否为风险域名,包括:
调用预设的安全软件接口对目标风险进程进行静态分析,得到静态分析结果;
将目标风险进程复制并载入隔离虚拟环境中,并运行该目标风险进程进行动态分析,得到动态分析结果;
根据所述静态分析结果和/或所述动态分析结果,确定目标风险进程是否存在安全性风险;
在确定目标风险进程存在安全性风险的情况下,确定访问域名为风险域名,并将该访问域名存入预设的域名黑名单中。
11.根据权利要求1所述的方法,其特征在于,在确定出目标终端中的目标风险程序之后,所述方法还包括:
检测目标风险程序是否属于预设的误报程序表;
在确定目标风险程序不属于预设的误报程序表的情况下,从目标终端删除该目标风险程序。
12.根据权利要求1所述的方法,其特征在于,在确定出目标终端中的目标风险程序之后,所述方法还包括:
获取目标终端的安全日志;
根据目标终端的安全日志,获取目标风险程序的历史操作数据;其中,所述历史操作数据包括以下至少之一:进程的启动时间、命令行参数、文件路径、网络连接信息、打开的文件记录、注册表操作;
根据目标风险程序的历史操作数据,确定出目标风险程序的行为特征;
根据目标风险程序的行为特征,追溯目标风险程序的传播途径和感染来源。
13.一种终端风险程序的数据处理装置,其特征在于,包括:
获取模块,用于获取目标系统的目标流量数据的属性特征;其中,所述属性特征至少包括:源IP地址、源端口号、目的IP地址、目的端口号、访问域名;
动态调整模块,用于根据当前时间段的安全环境信息,以及与目标流量数据关联的目标终端的业务关键程度,通过动态调整配置,得到相匹配的目标风险域名检测模型;
处理模块,用于根据目标风险域名检测模型和目标流量数据的属性特征,处理目标流量数据,并确定目标流量数据是否涉及风险域名;
第一确定模块,用于在确定目标流量数据涉及风险域名的情况下,确定出目标终端中与目标流量数据相关的目标风险进程;
第二确定模块,用于根据目标风险进程的执行目录数据,通过文件路径定位,确定出目标终端中的目标风险程序。
14.一种服务器,其特征在于,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现权利要求1至12中任一项所述方法的步骤。
15.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,所述指令被处理器执行时实现权利要求1至12中任一项所述方法的步骤。
CN202310934667.8A 2023-07-27 2023-07-27 终端风险程序的数据处理方法、装置和服务器 Pending CN117439757A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310934667.8A CN117439757A (zh) 2023-07-27 2023-07-27 终端风险程序的数据处理方法、装置和服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310934667.8A CN117439757A (zh) 2023-07-27 2023-07-27 终端风险程序的数据处理方法、装置和服务器

Publications (1)

Publication Number Publication Date
CN117439757A true CN117439757A (zh) 2024-01-23

Family

ID=89552264

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310934667.8A Pending CN117439757A (zh) 2023-07-27 2023-07-27 终端风险程序的数据处理方法、装置和服务器

Country Status (1)

Country Link
CN (1) CN117439757A (zh)

Similar Documents

Publication Publication Date Title
JP6894003B2 (ja) Apt攻撃に対する防御
CN112637220B (zh) 一种工控系统安全防护方法及装置
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
US20190207966A1 (en) Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store
WO2019133453A1 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
CN110719291A (zh) 一种基于威胁情报的网络威胁识别方法及识别系统
EP3264312A1 (en) Model-based computer attack analytics orchestration
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
CN109922062B (zh) 源代码泄露监控方法及相关设备
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US11636208B2 (en) Generating models for performing inline malware detection
KR102222377B1 (ko) 위협 대응 자동화 방법
US11374946B2 (en) Inline malware detection
US12056237B2 (en) Analysis of historical network traffic to identify network vulnerabilities
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
US20210194915A1 (en) Identification of potential network vulnerability and security responses in light of real-time network risk assessment
US12058147B2 (en) Visualization tool for real-time network risk assessment
CN118337540B (zh) 一种基于物联网的网络入侵攻击识别系统及方法
CN107231364B (zh) 一种网站漏洞检测方法及装置、计算机装置及存储介质
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
CN115361235A (zh) 一种网络安全检测的方法、设备、装置、电子设备及介质
CN116340943A (zh) 应用程序保护方法、装置、设备、存储介质和程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination