CN117640258B - 网络资产测绘的防护方法、装置、设备和存储介质 - Google Patents
网络资产测绘的防护方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN117640258B CN117640258B CN202410103610.8A CN202410103610A CN117640258B CN 117640258 B CN117640258 B CN 117640258B CN 202410103610 A CN202410103610 A CN 202410103610A CN 117640258 B CN117640258 B CN 117640258B
- Authority
- CN
- China
- Prior art keywords
- mapping
- behavior
- detection
- module
- tool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013507 mapping Methods 0.000 title claims abstract description 1152
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000001514 detection method Methods 0.000 claims abstract description 295
- 230000006399 behavior Effects 0.000 claims description 401
- 230000008447 perception Effects 0.000 claims description 31
- 239000000523 sample Substances 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 12
- 238000013145 classification model Methods 0.000 claims description 7
- 230000009471 action Effects 0.000 description 13
- 230000011218 segmentation Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000003066 decision tree Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- YHVACWACSOJLSJ-UHFFFAOYSA-N n-methyl-n-(1-oxo-1-phenylpropan-2-yl)nitrous amide Chemical compound O=NN(C)C(C)C(=O)C1=CC=CC=C1 YHVACWACSOJLSJ-UHFFFAOYSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,提供一种网络资产测绘的防护方法、装置、设备和存储介质,该方法包括:针对任一测绘探测节点,在利用测绘探测节点检测存在第一测绘行为情况下,利用测绘探测节点上报第一测绘行为的探测信息至测绘感知模块;利用测绘感知模块根据探测信息、预设的第一测绘平台或工具确定第一测绘行为是否为第二测绘平台或工具的测绘行为;在确定第一测绘行为为第二测绘平台或工具的测绘行为情况下,利用测绘感知模块根据第一测绘行为的测绘载荷生成第一测绘行为的测绘检测规则并发送给测绘防护模块;利用测绘防护模块根据测绘检测规则、测绘类型和测绘载荷,对第一测绘行为进行防护。本发明提升了测绘检测及防护的准确度。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络资产测绘的防护方法、装置、设备和存储介质。
背景技术
随着互联网应用的快速增长,暴露在互联网中的网络资产已经成为攻击者关注的重点。攻击者通常使用资产搜索平台(例如SHODAN、CENSYS)或者资产扫描工具(例如网络映射器Network Mapper,NMAP)对互联网资产开展资产探测,攻击者通过资产探测,获取操作系统和应用软件版本信息,如果资产存在安全漏洞,随后开展对资产的攻击操作。
现有网络资产测绘的防护方法,是基于预设规则的单点检测方法,可以基于预设规则检测符合已知预设规则的测绘行为,但是无法检测未知测绘行为,导致检测的准确度较低。
发明内容
本发明提供一种网络资产测绘的防护方法、装置、设备和存储介质,用以解决现有技术中检测的准确度较低的缺陷,提升网络资产测绘行为检测的准确率。
第一方面,本发明提供一种网络资产测绘的防护方法,该方法应用于网络资产测绘的防护系统,所述网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;所述方法包括:
针对所述至少一个测绘探测节点中的任一所述测绘探测节点,在利用所述测绘探测节点检测存在第一测绘行为的情况下,利用所述测绘探测节点上报所述第一测绘行为的探测信息至测绘感知模块;
利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为;
在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,并发送给所述测绘防护模块;
利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护。
可选地,所述利用测绘感知模块,根据接收到的所述测绘探测节点上报的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为,包括:
利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,判断所述第一测绘行为是否为所述第一测绘平台或工具对应的测绘行为;
在所述第一测绘行为不是所述第一测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块确定上报所述第一测绘行为的探测信息的测绘探测节点的数量是否大于或等于两个;
在利用所述测绘感知模块确定上报所述第一测绘行为的探测信息的测绘探测节点的数量为大于或等于两个的情况下,确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为。
可选地,在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,包括:
利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,确定所述第一测绘行为对应的测绘数据;
利用所述测绘感知模块对所述第一测绘行为对应的测绘数据进行分词,得到分词后的测绘数据;
利用所述测绘感知模块利用预训练的分类模型,将所述分词后的测绘数据进行分类,得到至少一个分类对应的测绘数据;
针对任一所述分类对应的测绘数据,利用所述测绘感知模块提取分类对应的载荷特征;
利用所述测绘感知模块根据各个所述分类对应的载荷特征,生成所述第一测绘行为对应的测绘检测规则。
可选地,所述利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护,包括:
利用所述测绘防护模块,根据所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,选择目标容器以及所述目标容器中的目标服务;
利用所述测绘防护模块,启动加载所述目标容器并运行所述目标服务,并将所述第一测绘行为对应的测绘流量重定向至所述目标服务上。
可选地,所述方法还包括:
利用所述测绘防护模块,输出所述目标服务对应的操作系统版本信息。
可选地,所述测绘感知模块和各个所述测绘探测节点部署在互联网中,任一所述测绘探测节点的全部端口为开放状态;所述测绘防护模块部署在互联网和被保护的网络资产之间。
可选地,所述探测信息包括:所述第一测绘行为对应的访问互联网协议IP地址、所述第一测绘行为对应的探测载荷和所述第一测绘行为对应的探测载荷流量数据包。
第二方面,本发明还提供一种网络资产测绘的防护装置,应用于网络资产测绘的防护系统,所述网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;所述装置包括:
上报模块,用于针对所述至少一个测绘探测节点中的任一所述测绘探测节点,在利用所述测绘探测节点检测存在第一测绘行为的情况下,利用所述测绘探测节点上报所述第一测绘行为的探测信息至测绘感知模块;
规则生成模块,用于利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为;
在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,并发送给所述测绘防护模块;
防护模块,用于利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护。
第三方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述网络资产测绘的防护方法。
第四方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述网络资产测绘的防护方法。
第五方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述网络资产测绘的防护方法。
本发明提供的一种网络资产测绘的防护方法、装置、设备和存储介质,该方法应用于网络资产测绘的防护系统;网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;该方法包括:首先,针对至少一个测绘探测节点中的任一测绘探测节点,在利用测绘探测节点检测存在第一测绘行为的情况下,利用测绘探测节点上报第一测绘行为的探测信息至测绘感知模块;然后,利用测绘感知模块根据接收到的第一测绘行为的探测信息,预设的第一测绘平台或工具,确定第一测绘行为是否为第二测绘平台或工具对应的测绘行为;进一步地,在确定第一测绘行为为第二测绘平台或工具对应的测绘行为的情况下,利用测绘感知模块根据第一测绘行为对应的测绘载荷,生成第一测绘行为对应的测绘检测规则,并发送给测绘防护模块;最后,利用测绘防护模块根据接收到的第一测绘行为对应的测绘检测规则、第一测绘行为对应的测绘类型和第一测绘行为对应的测绘载荷,对第一测绘行为进行测绘防护。
本发明实施例提供的方法中,首先,利用测绘探测节点检测网络资产测绘行为,在检测到第一测绘行为的情况下,利用测绘探测节点上报探测信息至测绘感知模块,进而,利用测绘感知模块,根据探测信息,预设的第一测绘平台或工具,确定第一测绘行为是否为第二测绘平台或工具对应的测绘行为,也即确定第一测绘行为是否为未知的测绘平台或工具对应的未知的测绘行为;利用测绘防护模块,根据未知的测绘行为第一测绘行为对应的测绘检测规则实现对网络资产的防护,实现了对未知测绘行为的检测及防护,提升了对测绘行为检测及防护的准确度。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的网络资产测绘的防护方法的流程示意图;
图2是本发明提供的网络资产测绘的防护系统的结构示意图;
图3是本发明提供的网络资产测绘的防护装置的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更清楚地理解本发明提供的各项实施例,首先对本发明的应用场景做如下介绍:
现有网络资产测绘的防护方法是基于预设规则的单点检测方法,可以基于预设规则检测符合已知预设规则的测绘行为,但是无法检测未知测绘行为,导致检测的准确度较低。
另外,在网络资产测绘的防护技术中,在检测到测绘行为后,通常是基于中间代理方式,对资产测绘的响应数据包进行修改,例如修改其中版本信息和关键字,从而实现资产信息的掩藏、欺骗和干扰。但存在如下问题1)资产的响应数据包中可能存在多处版本信息和关键字,而且有些信息不易被修改,容易造成尽管修改响应信息,攻击者仍然可能通过其他字段信息,推断出资产版本信息进而实现攻击。2)需实现多种网络协议(http、tcp、udp)代理,管理多个代理会话机制,针对每一个代理要设置多种规则,篡改响应数据包,复杂度和难度较大,容易造成网络数据包丢包。
基于上述不足,本发明提供一种可以实现对未知测绘行为进行检测及防护的网络资产测绘的防护方法,提升测绘检测及防护的准确度。
下面结合图1-图4描述本发明的网络资产测绘的防护方法、装置、设备和存储介质。
图1是本发明提供的网络资产测绘的防护方法的流程示意图,该方法应用于网络资产测绘的防护系统;网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;如图1所示,该方法包括:
步骤101、针对至少一个测绘探测节点中的任一测绘探测节点,在利用测绘探测节点检测存在第一测绘行为的情况下,利用测绘探测节点上报第一测绘行为的探测信息至测绘感知模块;
具体地,本发明实施例提供的方法可以应用于网络资产测绘的防护系统,示例性地,图2是本发明提供的网络资产测绘的防护系统的结构示意图,如图2所示,该网络资产测绘的防护系统包括测绘探测模块、测绘感知模块、测绘防护模块,其中,测绘探测模块中包括至少一个测绘探测节点,测绘探测节点的部署位置根据实际需求确定,本实施例对此不做限定,测绘探测节点上报探测信息至测绘感知模块;进而,测绘防护模块可以包括多个测绘防护子系统,测绘防护子系统位于互联网和被保护的网络资产之间,测绘防护子系统的部署信息根据实际需求确定,本实施例对此不做限定;测绘感知模块将生成的测绘检测规则下发至测绘防护模块,便于测绘防护系统根据测绘检测规则实现对网络资产的防护,避免被攻击者获取所述网络资产的真实信息。
进而,利用网络资产测绘的防护系统实现对网络资产的测绘检测及防护的过程示例如下:
首先,针对至少一个测绘探测节点中的任一测绘探测节点,利用测绘探测节点检测网络行为,进而,在利用测绘探测节点检测存在第一测绘行为的情况下,利用测绘探测节点上报探测信息至测绘感知模块;探测信息例如包含第一测绘行为对应的访问IP地址、第一测绘行为对应的探测载荷和第一测绘行为对应的探测载荷流量数据包。
步骤102、利用测绘感知模块根据接收到的第一测绘行为的探测信息,预设的第一测绘平台或工具,确定第一测绘行为是否为第二测绘平台或工具对应的测绘行为;
具体地,可以理解的是,预设的第一测绘平台或工具也即已知的测绘平台或工具,例如资产搜索平台(例如SHODAN、CENSYS)或者资产扫描工具(例如网络映射器NetworkMapper,NMAP)等等。
进一步地,在接收到测绘探测节点上报的探测信息之后,可以利用测绘感知模块,根据接收到的测绘探测节点上报的探测信息在预设的第一测绘平台或工具中进行匹配,得到匹配结果;进一步地,可以根据匹配结果确定第一测绘行为是否为第二测绘平台或工具对应的测绘行为,也即根据匹配结果确定第一测绘行为是否为未知测绘主体对应的测绘行为。
步骤103、在确定第一测绘行为为第二测绘平台或工具对应的测绘行为的情况下,利用测绘感知模块根据第一测绘行为对应的测绘载荷,生成第一测绘行为对应的测绘检测规则,并发送给测绘防护模块;
具体地,在步骤102确定第一测绘行为为第二测绘平台或工具对应的测绘行为的情况下,也即第一测绘行为为未知测绘主体对应的测绘行为时,进一步利用测绘感知模块根据第一测绘行为对应的测绘载荷,生成第一测绘行为对应的测绘检测规则;例如基于聚类算法和最长公共子串方法算法,生成第一测绘行为对应的新的测绘检测规则,具体如何生成检测规则取决于聚类算法和最长公共子串方法算法的实现,本实施例对生成规则的过程不做限制。
步骤104、利用测绘防护模块根据接收到的第一测绘行为对应的测绘检测规则、第一测绘行为对应的测绘类型和第一测绘行为对应的测绘载荷,对第一测绘行为进行测绘防护。
具体地,在利用测绘感知模块生成第一测绘行为对应的测绘检测规则后,可以利用测绘感知模块下发第一测绘行为对应的测绘检测规则至测绘防护模块中的至少一个测绘防护系统。
然后,测绘防护模块接收到后第一测绘行为对应的测绘检测规则后,利用测绘防护模块,根据第一测绘行为对应的测绘检测规则、第一测绘行为对应的测绘类型和第一测绘行为对应的测绘载荷,对第一测绘行为进行测绘防护。例如,将测绘流量重定向至虚假的目标容器和服务,实现将资产信息隐藏。
本实施例提供的方法中,该方法应用于网络资产测绘的防护系统;网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;该方法包括:首先,针对至少一个测绘探测节点中的任一测绘探测节点,在利用测绘探测节点检测存在第一测绘行为的情况下,利用测绘探测节点上报第一测绘行为的探测信息至测绘感知模块;然后,利用测绘感知模块根据接收到的第一测绘行为的探测信息,预设的第一测绘平台或工具,确定第一测绘行为是否为第二测绘平台或工具对应的测绘行为;进一步地,在确定第一测绘行为为第二测绘平台或工具对应的测绘行为的情况下,利用测绘感知模块根据第一测绘行为对应的测绘载荷,生成第一测绘行为对应的测绘检测规则,并发送给测绘防护模块;最后,利用测绘防护模块根据接收到的第一测绘行为对应的测绘检测规则、第一测绘行为对应的测绘类型和第一测绘行为对应的测绘载荷,对第一测绘行为进行测绘防护。
本发明实施例提供的方法中,首先,利用测绘探测节点检测网络资产测绘行为,在检测到第一测绘行为的情况下,利用测绘探测节点上报探测信息至测绘感知模块,进而,利用测绘感知模块,根据探测信息,预设的第一测绘平台或工具,确定第一测绘行为是否为第二测绘平台或工具对应的测绘行为,也即确定第一测绘行为是否为未知的测绘平台或工具对应的未知的测绘行为;利用测绘防护模块,根据未知的测绘行为第一测绘行为对应的测绘检测规则实现对网络资产的防护,实现了对未知测绘行为的检测及防护,提升了对测绘行为检测及防护的准确度。
可选地,利用测绘感知模块,根据接收到的测绘探测节点上报的探测信息,预设的第一测绘平台或工具,确定第一测绘行为是否为第二测绘平台或工具对应的测绘行为,包括:
利用测绘感知模块根据接收到的第一测绘行为的探测信息,判断第一测绘行为是否为第一测绘平台或工具对应的测绘行为;
在第一测绘行为不是第一测绘平台或工具对应的测绘行为的情况下,利用测绘感知模块确定上报第一测绘行为的探测信息的测绘探测节点的数量是否大于或等于两个;
在利用测绘感知模块确定上报第一测绘行为的探测信息的测绘探测节点的数量为大于或等于两个的情况下,确定第一测绘行为为第二测绘平台或工具对应的测绘行为。
具体地,在一些实施例中,步骤102可以通过如下方式实现:
首先,利用测绘感知模块,接收探测信息;具体地,在步骤101中,当探测节点检测到存在第一测绘行为时,将第一测绘行为对应的探测信息上报至所述测绘感知模块,对应地,利用所述测绘感知模块,接收所述探测信息,探测信息例如包含第一测绘行为对应的访问IP地址、第一测绘行为对应的探测载荷和第一测绘行为对应的探测载荷流量数据包。
然后,利用测绘感知模块根据接收到的探测信息,判断第一测绘行为是否为第一测绘平台或工具对应的测绘行为;例如,首先根据接收到的探测信息,确定所述第一测绘行为对应的目标测绘平台或工具,进而,将所述目标测绘平台或工具与预设的第一测绘平台或工具进行对比,确定预设的第一测绘平台或工具中是否存在与目标测绘平台或工具匹配的对象,进而,判断所述第一测绘行为是否为第一测绘平台或工具对应的测绘行为,例如,在目标测绘平台或工具可以匹配到第一测绘平台或工具的情况下,确定第一测绘行为为第一测绘平台或工具对应的测绘行为,反之,则确定第一测绘行为为备选的未知测绘行为。
进一步地,在第一测绘行为不是第一测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块确定上报第一测绘行为的探测信息的测绘探测节点的数量是否大于或等于两个;例如,在确定第一测绘行为为备选的未知测绘行为后,进一步地,可以验证所述第一测绘行为是否可以被测绘探测节点中的多个测绘探测节点检测点,例如第一测绘行为被两个测绘探测节点检测到,或者第一测绘行为被三个测绘探测节点检测到,也即只要上报第一测绘行为的探测信息的测绘探测节点的数量大于或等于两个,就可以认为第一测绘行为为未知测绘行为,该步骤中的判断是为了排除单个测绘探测节点误判断的情况。其中,判断第一测绘行为是否被任意两个测绘探测节点检测到可以基于分类回归决策树算法实现,具体如何实现取决于分类回归决策树算法的具体实现,此实施例对此不做限定。
进一步地,在利用测绘感知模块确定上报第一测绘行为的探测信息的测绘探测节点的数量为大于或等于两个的情况下,则确定第一测绘行为为第二测绘平台或工具对应的测绘行为,也即进一步确定所述第一测绘行为为未知测绘行为,例如未知测绘源对应的测绘行为。
本实施例提供的方法中,首先,利用测绘感知模块,接收探测信息;然后,根据接收到的探测信息,判断第一测绘行为是否为第一测绘平台或工具对应的测绘行为;在第一测绘行为不是第一测绘平台或工具对应的测绘行为的情况下,利用测绘感知模块确定上报第一测绘行为的探测信息的测绘探测节点的数量是否大于或等于两个;进而,在利用测绘感知模块确定上报第一测绘行为的探测信息的测绘探测节点的数量为大于或等于两个的情况下,确定第一测绘行为为第二测绘平台或工具对应的测绘行为。本发明实施例基于测绘探测节点、测绘感知模块的协同感知的测绘检测方法,能够有效感知未知测绘主体的测绘行为,实现对未知测绘行为的检测以及防护,提升了测绘检测及防护的准确度。
可选地,在确定第一测绘行为为第二测绘平台或工具对应的测绘行为的情况下,利用测绘感知模块根据第一测绘行为对应的测绘载荷,生成第一测绘行为对应的测绘检测规则,包括:
利用测绘感知模块根据第一测绘行为对应的测绘载荷,确定第一测绘行为对应的测绘数据;
利用测绘感知模块对第一测绘行为对应的测绘数据进行分词,得到分词后的测绘数据;
利用测绘感知模块利用预训练的分类模型,将分词后的测绘数据进行分类,得到至少一个分类对应的测绘数据;
针对任一分类对应的测绘数据,利用测绘感知模块提取分类对应的载荷特征;
利用测绘感知模块根据各个分类对应的载荷特征,生成第一测绘行为对应的测绘检测规则。
具体地,在一些实施例中,步骤103可以通过如下方式实现:
首先,利用测绘感知模块根据第一测绘行为对应的测绘载荷,确定第一测绘行为对应的测绘数据;可以理解的是,载荷一般指的就是载体所带的信息,即信息位,根据测绘载荷可以确定出第一测绘行为对应的测绘数据。
然后,利用测绘感知模块对第一测绘行为对应的测绘数据进行分词,得到分词后的测绘数据;可以理解的是,数据分析的其中一个步骤是对输入内容分词,分词是指将由连续字符组成的语句,按照一定的规则划分成一个个独立词语的过程。不同的语言具有不同的语法结构,以常见的英文和中文为例,英文的句子中是以空格为分隔符的,所以可以指定空格为分词的标记,而中文并没有一个形式上的分界符,它只有字、句和段能通过明显的分界符来简单地划分。因此,中文分词要比英文分词困难很多。进一步地,根据中文的结构特点,可以把分词算法分为以下三类:基于规则的分词方法、基于统计的分词方法和基于理解的分词方法,此处对分词算法不做限定。
可选地,在对所述测绘数据进行分词得到分词后的测绘数据之后,还可以训练词向量,从而将测绘数据转化为由0或1组成的向量模式。
进一步地,可以利用预训练的分类模型,将分词后的测绘数据进行分类,得到至少一个分类对应的测绘数据;例如分类后得到不同测绘平台或工具各自对应的测绘数据。
进一步地,针对任一分类对应的测绘数据,利用测绘感知模块提取分类对应的载荷特征;具体地,针对各个分类对应的测绘数据中的任一分类对应的测绘数据,提取分类对应的载荷特征。
进一步地,利用测绘感知模块根据各个分类对应的载荷特征,生成第一测绘行为对应的测绘检测规则;具体地,针对任一分类对应的载荷特征,生成该分类对应的载荷特征的测绘检测规则,进一步地,根据各个分类对应的载荷特征可以生成各个分类对应的载荷特征的测绘检测规则;根据各个分类对应的载荷特征的测绘检测规则可以得到第一测绘行为对应的测绘检测规则。
本实施例提供的方法中,首先,利用测绘感知模块根据第一测绘行为对应的测绘载荷,确定第一测绘行为对应的测绘数据;然后,利用测绘感知模块对第一测绘行为对应的测绘数据进行分词,得到分词后的测绘数据;进而,利用预训练的分类模型,将分词后的测绘数据进行分类,得到至少一个分类对应的测绘数据;最后,针对任一分类对应的测绘数据,利用测绘感知模块提取分类对应的载荷特征;利用测绘感知模块根据各个分类对应的载荷特征,生成第一测绘行为对应的测绘检测规则。本实施例提供的方法中,判断第一测绘行为为未知测绘主体对应的测绘行为后,通过分词聚类的算法生成第一测绘行为对应的测绘检测规则,后续可以基于测绘检测规则实现对第一测绘行为进行检测及防护。
可选地,利用测绘防护模块根据接收到的第一测绘行为对应的测绘检测规则、第一测绘行为对应的测绘类型和第一测绘行为对应的测绘载荷,对第一测绘行为进行测绘防护,包括:
利用测绘防护模块,根据第一测绘行为对应的测绘检测规则、第一测绘行为对应的测绘类型和第一测绘行为对应的测绘载荷,选择目标容器以及目标容器中的目标服务;
利用测绘防护模块,启动加载目标容器并运行目标服务,并将第一测绘行为对应的测绘流量重定向至目标服务上。
具体地,在一些实施例中,步骤104可以通过如下方式实现:
首先,利用测绘防护模块,根据第一测绘行为对应的测绘检测规则、第一测绘行为对应的测绘类型和第一测绘行为对应的测绘载荷,选择目标容器以及目标容器中的目标服务;其中,第一测绘行为对应的测绘检测规则为所述测绘感知模块下发的适用于新的测绘行为的检测规则,适用于检测第一测绘行为;测绘类型与访问端口、访问服务有关,例如测绘类型包含以下任一项:测绘平台类型、测绘工具类型、爬虫测绘类型、拓扑测绘类型、关键基础设施测绘类型、工控系统测绘类型、脆弱性测绘类型等;此处可以理解的是,当检测到存在网络资产测绘行为时,可以利用测绘防护模块基于第一测绘行为对应的测绘检测规则、测绘类型和测绘载荷,随机选择虚假的容器和服务,将虚假的容器和服务确定为目标容器以及目标服务。
进一步地,在确定了目标容器和目标服务后,利用测绘防护模块启动加载目标容器并运行目标服务,之后将第一测绘行为对应的测绘流量重定向至目标服务上,因而,攻击者获取的资产服务是虚假的操作系统和服务版本,从而可以防止攻击者获取资产信息,实现了资产信息的隐藏、欺骗和干扰,准确高效地实现了测绘防护。
本实施例提供的方法中,当检测到网络测绘行为时,通过重定向机制,将测绘流量重定向至虚假的容器和服务上,也即将测绘流量转发到动态选择的容器和服务上,无需根据各种请求数据包修改响应数据包,降低测绘防护的复杂度和难度。
从而可以有效防止泄露资产信息,实现有效地测绘防护。
可选地,方法还包括:
利用测绘防护模块,输出目标服务对应的操作系统版本信息。
具体地,在将测绘流量通过重定向机制定位至目标服务也即虚假的容器和服务上之后,进一步地,可以将第三方也即目标服务对应的真实的操作系统和服务版本信息发回至攻击者,从而可以有效防止泄露资产信息。
本实施例提供的方法中,当检测到网络测绘行为时,通过重定向机制,返回目标容器和服务对应的真实的操作系统和服务版本信息,可以有效防止泄露资产信息,实现有效地测绘防护。
可选地,测绘感知模块和各个测绘探测节点部署在互联网中,任一测绘探测节点的全部端口为开放状态;测绘防护模块部署在互联网和被保护的网络资产之间。
具体地,在一些实施例中,上述网络资产测绘的防护系统的部署过程示例如下:
其中,测绘感知模块和各个测绘探测节点部署在互联网中,任一测绘探测节点开放全端口,测绘防护模块部署在互联网和被保护的网络资产之间。例如,第一,在互联网中部署测绘感知模块,并设置测绘感知模块对应的网络地址A;第二,在互联网中部署多个测绘探测节点,测绘探测节点均开放全端口服务,并设置上传服务器地址B,可以理解的是,测绘探测节点开放全端口,但不提供正常访问服务,所以访问测绘探测节点的通常是测绘行为;第三,部署多个测绘防护模块,测绘防护模块分别位于互联网和被保护的网络资产之间,在测绘防护模块中可以设置更新检测规则的地址C,通过检测规则的地址C建立与测绘感知系统之间的连接,至此,完成网络资产测绘的防护系统的部署,后续可以利用该网络资产测绘的防护系统实现对测绘行为的检测以及防护。
本实施例提供的方法中,该网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块,通过部署网络资产测绘的防护系统可以实现对未知测绘行为的探测及防护。
可选地,探测信息包括:第一测绘行为对应的访问互联网协议IP地址、第一测绘行为对应的探测载荷和第一测绘行为对应的探测载荷流量数据包。
具体地,在一些实施例中,测绘探测节点上报的探测信息通常包含第一测绘行为对应的访问IP地址、第一测绘行为对应的探测载荷和第一测绘行为对应的探测载荷流量数据包,基于上述探测信息测绘感知模块可以综合分析,例如判断是否为已知测绘行为对应的测绘工具或测绘平台,也即判断是否存在新的测绘源;又例如,基于多个测绘探测节点上报的探测信息判断第一测绘行为是否可以被两个及以上的测绘探测节点检测到;又例如,测绘感知模块可以基于测绘探测节点上报的探测信息特别是测绘载荷生成新的测绘检测规则,并将新的测绘检测规则下发至测绘防护模块,用于进行测绘防护等。
本实施例提供的方法中,通过测绘探测节点实时上报的探测信息可以判断是否存在新的测绘源,确定存在新的测绘源的情况下,生成新的测绘源对应的检测规则,可以实现对未知测绘行为的检测及防护,提升了对测绘行为检测及防护的准确度。
下面对本发明提供的网络资产测绘的防护装置进行描述,下文描述的网络资产测绘的防护装置与上文描述的网络资产测绘的防护方法可相互对应参照。
图3是本发明提供的网络资产测绘的防护装置的结构示意图,该装置应用于网络资产测绘的防护系统,所述网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;所述装置包括:
上报模块310,用于针对所述至少一个测绘探测节点中的任一所述测绘探测节点,在利用所述测绘探测节点检测存在第一测绘行为的情况下,利用所述测绘探测节点上报所述第一测绘行为的探测信息至测绘感知模块;
规则生成模块320,用于利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为;
在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,并发送给所述测绘防护模块;
防护模块330,用于利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护。
本实施例提供的装置中,该方法应用于网络资产测绘的防护系统;网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;该方法包括:首先,上报模块310针对至少一个测绘探测节点中的任一测绘探测节点,在利用测绘探测节点检测存在第一测绘行为的情况下,利用测绘探测节点上报第一测绘行为的探测信息至测绘感知模块;然后,规则生成模块320利用测绘感知模块根据接收到的第一测绘行为的探测信息,预设的第一测绘平台或工具,确定第一测绘行为是否为第二测绘平台或工具对应的测绘行为;进一步地,在确定第一测绘行为为第二测绘平台或工具对应的测绘行为的情况下,利用测绘感知模块根据第一测绘行为对应的测绘载荷,生成第一测绘行为对应的测绘检测规则,并发送给测绘防护模块;最后,防护模块330根据接收到的第一测绘行为对应的测绘检测规则、第一测绘行为对应的测绘类型和第一测绘行为对应的测绘载荷,对第一测绘行为进行测绘防护。
本发明实施例提供的装置中,首先,利用测绘探测节点检测网络资产测绘行为,在检测到第一测绘行为的情况下,利用测绘探测节点上报探测信息至测绘感知模块,进而,利用测绘感知模块,根据探测信息,预设的第一测绘平台或工具,确定第一测绘行为是否为第二测绘平台或工具对应的测绘行为,也即确定第一测绘行为是否为未知的测绘平台或工具对应的未知的测绘行为;利用测绘防护模块,根据未知的测绘行为第一测绘行为对应的测绘检测规则实现对网络资产的防护,实现了对未知测绘行为的检测及防护,提升了对测绘行为检测及防护的准确度。
可选地,所述规则生成模块320,具体用于:
利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,判断所述第一测绘行为是否为所述第一测绘平台或工具对应的测绘行为;
在所述第一测绘行为不是所述第一测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块确定上报所述第一测绘行为的探测信息的测绘探测节点的数量是否大于或等于两个;
在利用所述测绘感知模块确定上报所述第一测绘行为的探测信息的测绘探测节点的数量为大于或等于两个的情况下,确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为。
可选地,所述规则生成模块320,还用于:
利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,确定所述第一测绘行为对应的测绘数据;
利用所述测绘感知模块对所述第一测绘行为对应的测绘数据进行分词,得到分词后的测绘数据;
利用所述测绘感知模块利用预训练的分类模型,将所述分词后的测绘数据进行分类,得到至少一个分类对应的测绘数据;
针对任一所述分类对应的测绘数据,利用所述测绘感知模块提取分类对应的载荷特征;
利用所述测绘感知模块根据各个所述分类对应的载荷特征,生成所述第一测绘行为对应的测绘检测规则。
可选地,所述防护模块330,具体用于:
利用所述测绘防护模块,根据所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,选择目标容器以及所述目标容器中的目标服务;
利用所述测绘防护模块,启动加载所述目标容器并运行所述目标服务,并将所述第一测绘行为对应的测绘流量重定向至所述目标服务上。
可选地,所述防护模块330,还用于:
利用所述测绘防护模块,输出所述目标服务对应的操作系统版本信息。
可选地,所述测绘感知模块和各个所述测绘探测节点部署在互联网中,任一所述测绘探测节点的全部端口为开放状态;所述测绘防护模块部署在互联网和被保护的网络资产之间。
可选地,所述探测信息包括:所述第一测绘行为对应的访问互联网协议IP地址、所述第一测绘行为对应的探测载荷和所述第一测绘行为对应的探测载荷流量数据包。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行网络资产测绘的防护方法,该方法应用于网络资产测绘的防护系统,所述网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;所述方法包括:
针对所述至少一个测绘探测节点中的任一所述测绘探测节点,在利用所述测绘探测节点检测存在第一测绘行为的情况下,利用所述测绘探测节点上报所述第一测绘行为的探测信息至测绘感知模块;
利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为;
在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,并发送给所述测绘防护模块;
利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的网络资产测绘的防护方法,该方法应用于网络资产测绘的防护系统,所述网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;所述方法包括:
针对所述至少一个测绘探测节点中的任一所述测绘探测节点,在利用所述测绘探测节点检测存在第一测绘行为的情况下,利用所述测绘探测节点上报所述第一测绘行为的探测信息至测绘感知模块;
利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为;
在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,并发送给所述测绘防护模块;
利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的网络资产测绘的防护方法,该方法应用于网络资产测绘的防护系统,所述网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;所述方法包括:
针对所述至少一个测绘探测节点中的任一所述测绘探测节点,在利用所述测绘探测节点检测存在第一测绘行为的情况下,利用所述测绘探测节点上报所述第一测绘行为的探测信息至测绘感知模块;
利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为;
在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,并发送给所述测绘防护模块;
利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种网络资产测绘的防护方法,其特征在于,应用于网络资产测绘的防护系统,所述网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;所述方法包括:
针对所述至少一个测绘探测节点中的任一所述测绘探测节点,在利用所述测绘探测节点检测存在第一测绘行为的情况下,利用所述测绘探测节点上报所述第一测绘行为的探测信息至测绘感知模块;
利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为;所述探测信息包括:所述第一测绘行为对应的访问互联网协议IP地址、所述第一测绘行为对应的探测载荷和所述第一测绘行为对应的探测载荷流量数据包;所述第二测绘平台或工具用于表征所述第一测绘行为为未知测绘主体对应的测绘行为;
在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,并发送给所述测绘防护模块;
利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护;
所述利用测绘感知模块,根据接收到的所述测绘探测节点上报的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为,包括:
利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,判断所述第一测绘行为是否为所述第一测绘平台或工具对应的测绘行为;
在所述第一测绘行为不是所述第一测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块确定上报所述第一测绘行为的探测信息的测绘探测节点的数量是否大于或等于两个;
在利用所述测绘感知模块确定上报所述第一测绘行为的探测信息的测绘探测节点的数量为大于或等于两个的情况下,确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为;
所述在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,包括:
利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,确定所述第一测绘行为对应的测绘数据;
利用所述测绘感知模块对所述第一测绘行为对应的测绘数据进行分词,得到分词后的测绘数据;
利用所述测绘感知模块利用预训练的分类模型,将所述分词后的测绘数据进行分类,得到至少一个分类对应的测绘数据;
针对任一所述分类对应的测绘数据,利用所述测绘感知模块提取分类对应的载荷特征;
利用所述测绘感知模块根据各个所述分类对应的载荷特征,生成所述第一测绘行为对应的测绘检测规则。
2.根据权利要求1所述的网络资产测绘的防护方法,其特征在于,所述利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护,包括:
利用所述测绘防护模块,根据所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,选择目标容器以及所述目标容器中的目标服务;
利用所述测绘防护模块,启动加载所述目标容器并运行所述目标服务,并将所述第一测绘行为对应的测绘流量重定向至所述目标服务上。
3.根据权利要求2所述的网络资产测绘的防护方法,其特征在于,所述方法还包括:
利用所述测绘防护模块,输出所述目标服务对应的操作系统版本信息。
4.根据权利要求1或2所述的网络资产测绘的防护方法,其特征在于,所述测绘感知模块和各个所述测绘探测节点部署在互联网中,任一所述测绘探测节点的全部端口为开放状态;所述测绘防护模块部署在互联网和被保护的网络资产之间。
5.一种网络资产测绘的防护装置,其特征在于,应用于网络资产测绘的防护系统,所述网络资产测绘的防护系统包括至少一个测绘探测节点、测绘感知模块、测绘防护模块;所述装置包括:
上报模块,用于针对所述至少一个测绘探测节点中的任一所述测绘探测节点,在利用所述测绘探测节点检测存在第一测绘行为的情况下,利用所述测绘探测节点上报所述第一测绘行为的探测信息至测绘感知模块;
规则生成模块,用于利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,预设的第一测绘平台或工具,确定所述第一测绘行为是否为第二测绘平台或工具对应的测绘行为;所述探测信息包括:所述第一测绘行为对应的访问互联网协议IP地址、所述第一测绘行为对应的探测载荷和所述第一测绘行为对应的探测载荷流量数据包;所述第二测绘平台或工具用于表征所述第一测绘行为为未知测绘主体对应的测绘行为;
在确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,生成所述第一测绘行为对应的测绘检测规则,并发送给所述测绘防护模块;
防护模块,用于利用所述测绘防护模块根据接收到的所述第一测绘行为对应的测绘检测规则、所述第一测绘行为对应的测绘类型和所述第一测绘行为对应的测绘载荷,对所述第一测绘行为进行测绘防护;
所述规则生成模块,具体用于:
利用所述测绘感知模块根据接收到的所述第一测绘行为的探测信息,判断所述第一测绘行为是否为所述第一测绘平台或工具对应的测绘行为;
在所述第一测绘行为不是所述第一测绘平台或工具对应的测绘行为的情况下,利用所述测绘感知模块确定上报所述第一测绘行为的探测信息的测绘探测节点的数量是否大于或等于两个;
在利用所述测绘感知模块确定上报所述第一测绘行为的探测信息的测绘探测节点的数量为大于或等于两个的情况下,确定所述第一测绘行为为所述第二测绘平台或工具对应的测绘行为;
所述规则生成模块,还用于:
利用所述测绘感知模块根据所述第一测绘行为对应的测绘载荷,确定所述第一测绘行为对应的测绘数据;
利用所述测绘感知模块对所述第一测绘行为对应的测绘数据进行分词,得到分词后的测绘数据;
利用所述测绘感知模块利用预训练的分类模型,将所述分词后的测绘数据进行分类,得到至少一个分类对应的测绘数据;
针对任一所述分类对应的测绘数据,利用所述测绘感知模块提取分类对应的载荷特征;
利用所述测绘感知模块根据各个所述分类对应的载荷特征,生成所述第一测绘行为对应的测绘检测规则。
6.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述网络资产测绘的防护方法。
7.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述网络资产测绘的防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410103610.8A CN117640258B (zh) | 2024-01-25 | 2024-01-25 | 网络资产测绘的防护方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410103610.8A CN117640258B (zh) | 2024-01-25 | 2024-01-25 | 网络资产测绘的防护方法、装置、设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117640258A CN117640258A (zh) | 2024-03-01 |
CN117640258B true CN117640258B (zh) | 2024-04-26 |
Family
ID=90016684
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410103610.8A Active CN117640258B (zh) | 2024-01-25 | 2024-01-25 | 网络资产测绘的防护方法、装置、设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117640258B (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594620A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于行为描述的可联动分布式网络入侵检测方法 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN109525427A (zh) * | 2018-11-12 | 2019-03-26 | 广东省信息安全测评中心 | 分布式资产信息探测方法与系统 |
CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
CN111553332A (zh) * | 2020-07-10 | 2020-08-18 | 杭州海康威视数字技术股份有限公司 | 入侵检测规则生成方法、装置及电子设备 |
CN112019529A (zh) * | 2020-08-14 | 2020-12-01 | 山东中瑞电气有限公司 | 新能源电力网络入侵检测系统 |
CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
CN114070760A (zh) * | 2021-11-16 | 2022-02-18 | 北京知道创宇信息技术股份有限公司 | 一种网络空间资产的测绘方法、装置、网络空间资产数据库及计算机可读存储介质 |
CN115865739A (zh) * | 2022-12-21 | 2023-03-28 | 安天科技集团股份有限公司 | 一种网络资产探测方法、装置、电子设备及存储介质 |
CN116074029A (zh) * | 2021-11-03 | 2023-05-05 | 腾讯科技(深圳)有限公司 | 风险预测信息确定方法、装置、电子设备及存储介质 |
WO2023216641A1 (zh) * | 2022-05-07 | 2023-11-16 | 国网浙江省电力有限公司电力科学研究院 | 一种电力终端安全防护方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11588857B2 (en) * | 2019-10-04 | 2023-02-21 | Palo Alto Networks, Inc. | Network asset lifecycle management |
-
2024
- 2024-01-25 CN CN202410103610.8A patent/CN117640258B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594620A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于行为描述的可联动分布式网络入侵检测方法 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN109525427A (zh) * | 2018-11-12 | 2019-03-26 | 广东省信息安全测评中心 | 分布式资产信息探测方法与系统 |
CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
CN111553332A (zh) * | 2020-07-10 | 2020-08-18 | 杭州海康威视数字技术股份有限公司 | 入侵检测规则生成方法、装置及电子设备 |
CN112019529A (zh) * | 2020-08-14 | 2020-12-01 | 山东中瑞电气有限公司 | 新能源电力网络入侵检测系统 |
CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
CN116074029A (zh) * | 2021-11-03 | 2023-05-05 | 腾讯科技(深圳)有限公司 | 风险预测信息确定方法、装置、电子设备及存储介质 |
CN114070760A (zh) * | 2021-11-16 | 2022-02-18 | 北京知道创宇信息技术股份有限公司 | 一种网络空间资产的测绘方法、装置、网络空间资产数据库及计算机可读存储介质 |
WO2023216641A1 (zh) * | 2022-05-07 | 2023-11-16 | 国网浙江省电力有限公司电力科学研究院 | 一种电力终端安全防护方法及系统 |
CN115865739A (zh) * | 2022-12-21 | 2023-03-28 | 安天科技集团股份有限公司 | 一种网络资产探测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117640258A (zh) | 2024-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Shibahara et al. | Efficient dynamic malware analysis based on network behavior using deep learning | |
US10178107B2 (en) | Detection of malicious domains using recurring patterns in domain names | |
US10924502B2 (en) | Network security using inflated files for anomaly detection | |
US6880087B1 (en) | Binary state machine system and method for REGEX processing of a data stream in an intrusion detection system | |
US20050144480A1 (en) | Method of risk analysis in an automatic intrusion response system | |
CN109711171A (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
US20040205411A1 (en) | Method of detecting malicious scripts using code insertion technique | |
CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
CN110730175A (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
US10601847B2 (en) | Detecting user behavior activities of interest in a network | |
US10757029B2 (en) | Network traffic pattern based machine readable instruction identification | |
EA037617B1 (ru) | Способ и система для обнаружения несанкционированного вторжения в трафик данных в сети передачи данных | |
US8903749B2 (en) | Method of identifying a protocol giving rise to a data flow | |
CN111917792A (zh) | 一种流量安全分析挖掘的方法及系统 | |
US20170155683A1 (en) | Remedial action for release of threat data | |
JP2016091549A (ja) | マルウェアイベントとバックグラウンドイベントとを分離するためのシステム、デバイス、および方法 | |
Ageyev et al. | Traffic monitoring and abnormality detection methods analysis | |
KR102011603B1 (ko) | 탐지 규칙 검증을 위한 패킷 생성 방법 및 장치 | |
CN113704772B (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
CN112948578B (zh) | 一种dga域名开集分类方法、装置、电子设备及介质 | |
CN111314370B (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
CN117640258B (zh) | 网络资产测绘的防护方法、装置、设备和存储介质 | |
Choi et al. | Implementation and design of a zero-day intrusion detection and response system for responding to network security blind spots | |
US7900255B1 (en) | Pattern matching system, method and computer program product | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |