CN107995179B - 一种未知威胁感知方法、装置、设备及*** - Google Patents
一种未知威胁感知方法、装置、设备及*** Download PDFInfo
- Publication number
- CN107995179B CN107995179B CN201711205572.3A CN201711205572A CN107995179B CN 107995179 B CN107995179 B CN 107995179B CN 201711205572 A CN201711205572 A CN 201711205572A CN 107995179 B CN107995179 B CN 107995179B
- Authority
- CN
- China
- Prior art keywords
- data
- unknown
- threat
- malicious
- analysis system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000004458 analytical method Methods 0.000 claims abstract description 74
- 238000004590 computer program Methods 0.000 claims description 14
- 241000700605 Viruses Species 0.000 claims description 10
- 230000006399 behavior Effects 0.000 claims description 9
- 230000008447 perception Effects 0.000 abstract description 13
- 230000007123 defense Effects 0.000 abstract description 8
- 230000000694 effects Effects 0.000 abstract description 2
- 244000035744 Hura crepitans Species 0.000 description 3
- 238000013480 data collection Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 108010064775 protein C activator peptide Proteins 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种未知威胁感知方法,包括:每个设备检测到未知数据后会将未知数据上传,通过云端的威胁分析***对未知数据进行分析识别;若没有检测到恶意数据,则生成对应的匹配规则,以继续收集与匹配规则对应的未知数据,继续进行分析;检测到恶意数据后,会通知所有的设备,实现每个设备对未知威胁的预警及防护,从而提高对未知威胁的防御能力;本发明还公开了一种未知威胁感知装置、设备、***及计算机可读存储介质,同样能实现上述技术效果。
Description
技术领域
本发明涉及网络威胁检测技术领域,更具体地说,涉及一种未知威胁感知方法、装置、设备、***及计算机可读存储介质。
背景技术
目前,对用户网络流量中隐藏的攻击行进行检测时,都是通过威胁感知***进行检测;但是现有的安全厂商的威胁感知***都是基于单个客户的威胁感知,只能够检测这个客户的网络环境中隐藏的威胁,很难发现整个互联网中隐藏的未知威胁。并且,目前的安全厂商都是基于定时发布规则库的形式进行安全能力提升,这种方法很难做到对未知威胁的实时防护。
因此,如何提高对未知威胁的防御能力,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种未知威胁感知方法、装置、设备、***及计算机可读存储介质,以实现提高对未知威胁的防御能力。
为实现上述目的,本发明实施例提供了如下技术方案:
一种未知威胁感知方法,包括:
接收每个设备上传的未知数据;
通过威胁分析***对未知数据进行分析识别,判断所述未知数据中是否存在恶意数据;
若存在恶意数据,则将所述恶意数据下发至每个设备,以使每个设备根据所述恶意数据识别攻击行为;
若不存在恶意数据,则生成与所述未知数据对应的匹配规则,将所述匹配规则下发至每个设备,并在接收到每个设备上传的与所述匹配规则对应的未知数据后,继续执行所述通过威胁分析***对未知数据进行分析识别的步骤。
其中,所述接收每个设备上传的未知数据,包括:
接收每个设备上传的根据匹配规则匹配的未知数据;或者,
接收每个设备上传的黑白名单库以外的未知数据。
其中,所述接收每个设备上传的未知数据之后,还包括:
设置所述未知数据的数据标签;
根据所述未知数据的数据类型进行标准化处理,并存储。
其中,所述通过威胁分析***对未知数据进行分析识别,判断所述未知数据中是否存在恶意数据,包括:
利用特征分析***对未知数据进行分析,判断所述未知数据中是否存在恶意数据;
若存在恶意数据,则执行所述将所述恶意数据下发至每个设备的步骤;
若不存在恶意数据,则将所述未知数据输入与所述未知数据的数据类型相对应的分析***,通过相对应的分析***对所述未知数据进行分析识别,判断所述未知数据中是否存在恶意数据。
其中,所述将所述未知数据输入与所述未知数据的数据类型相对应的分析***,通过相对应的分析***对所述未知数据进行分析识别,包括:
识别所述未知数据的数据类型;
若所述数据类型为域名数据,则将所述未知数据输入域名分析***;若所述数据类型为URL数据,则将所述未知数据输入URL分析***;若所述数据类型为可疑文件,则将所述未知数据输入病毒分析***。
其中,所述将所述恶意数据下发至每个设备之后,还包括:
将所述恶意数据输出成标准威胁情报格式,并发布至互联网威胁情报平台,以使所述互联网威胁情报平台对全网发布威胁预警。
一种未知威胁感知装置,包括:
接收模块,用于接收每个设备上传的未知数据;所述未知数据包括每个设备上传的与所述匹配规则对应的未知数据;
判断模块,用于通过威胁分析***对未知数据进行分析识别,判断所述未知数据中是否存在恶意数据;
数据下发模块,用于存在恶意数据时,将所述恶意数据下发至每个设备,以使每个设备根据所述恶意数据识别攻击行为;
规则下发模块,用于不存在恶意数据时,生成与所述未知数据对应的匹配规则,将所述匹配规则下发至每个设备。
其中,所述接收模块,包括:
第一接收单元,用于接收每个设备上传的根据匹配规则匹配的未知数据;或者,
第二接收单元,用于接收每个设备上传的黑白名单库以外的未知数据。
其中,本方案还包括:
数据处理模块,用于设置所述未知数据的数据标签,根据所述未知数据的数据类型进行标准化处理,并存储。
其中,所述判断模块包括:
第一判断单元,用于利用特征分析***对未知数据进行分析,判断所述未知数据中是否存在恶意数据;若存在恶意数据,则调用数据下发模块;
数据输入单元,用于不存在恶意数据时,将所述未知数据输入与所述未知数据的数据类型相对应的分析***;
第二判断单元,用于通过与所述未知数据的数据类型相对应的分析***对所述未知数据进行分析识别,判断所述未知数据中是否存在恶意数据。
其中,所述数据输入单元包括:
数据类型识别子单元,用于识别所述未知数据的数据类型;
数据输入子单元,用于在所述数据类型为域名数据时,将所述未知数据输入域名分析***;所述数据类型为URL数据,将所述未知数据输入URL分析***;所述数据类型为可疑文件,将所述未知数据输入病毒分析***。
其中,本方案还包括:
数据发布模块,用于将所述恶意数据输出成标准威胁情报格式,并发布至互联网威胁情报平台,以使所述互联网威胁情报平台对全网发布威胁预警。
一种未知威胁感知设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述未知威胁感知方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述未知威胁感知方法的步骤。
一种未知威胁感知***,包括设备及未知威胁感知云平台;每个设备用于上传未知数据;
所述未知威胁感知云平台,用于执行计算机程序,以实现上述未知威胁感知方法的步骤。
通过以上方案可知,本发明实施例提供的一种未知威胁感知方法,包括:接收每个设备上传的未知数据;通过威胁分析***对未知数据进行分析识别,判断所述未知数据中是否存在恶意数据;若存在恶意数据,则将所述恶意数据下发至每个设备,以使每个设备根据所述恶意数据识别攻击行为;若不存在恶意数据,则生成与所述未知数据对应的匹配规则,将所述匹配规则下发至每个设备,并在接收到每个设备上传的与所述匹配规则对应的未知数据后,继续执行所述通过威胁分析***对未知数据进行分析识别的步骤。
可见,在本方案中,每个设备检测到未知数据后会将未知数据上传,通过云端的威胁分析***对未知数据进行分析识别;若没有检测到恶意数据,则生成对应的匹配规则,以继续收集与匹配规则对应的未知数据,继续进行分析;检测到恶意数据后,会通知所有的设备,实现每个设备对未知威胁的预警及防护,从而提高对未知威胁的防御能力;本发明还公开了一种未知威胁感知装置、设备、***及计算机可读存储介质,同样能实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种未知威胁感知方法流程示意图;
图2为本发明实施例公开的另一种未知威胁感知方法流程示意图;
图3为本发明实施例公开的一具体的未知威胁感知方法流程示意图;
图4为本发明实施例公开的一种未知威胁感知装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种未知威胁感知方法、装置、设备、***及计算机可读存储介质,以实现提高对未知威胁的防御能力。
参见图1,本发明实施例提供的一种未知威胁感知方法,包括:
S101、接收每个设备上传的未知数据;
其中,所述接收每个设备上传的未知数据,包括:接收每个设备上传的根据匹配规则匹配的未知数据;或者,接收每个设备上传的黑白名单库以外的未知数据。
具体的,在本实施例中,每个设备上传的未知数据,包括以下两种情况下上报的未知数据:一种是云端首先将需要上报的数据以规则的形式下发到安全设备,设备将匹配到这些规则的流量上报到云端。另一种是预先设定黑白名单库,每个设备将黑白名单库之外的DNS、HTTP等数据,按照一定的格式上报到云端。
需要说明的是,本方案中的规则包括S104中生成的匹配规;具体来说,该规则可以是IP地址或者网址,例如:若云端想要IP地址:1.1.1.1的流量,则需要将包括IP地址1.1.1.1的规则下发到设备;同样的,若云端想要***.com的流量,则将包括***.com的规则下发下去;进一步的,如果云端想要某个病毒特征的流量,则将包括这些特征的规则下发下去,以使设备采集到数据后上传至云端进行分析。
S102、通过威胁分析***对未知数据进行分析识别,判断所述未知数据中是否存在恶意数据;
其中,所述接收每个设备上传的未知数据之后,还包括:设置所述未知数据的数据标签;根据所述未知数据的数据类型进行标准化处理,并存储。
具体来说,云端将接收到的数据打上时间、数据源等标签。并将数据按照不同维度(可疑文件、DNS、HTTP、PCAP)进行标准化处理和存储。
在进行标准化处理时,需要根据数据维度的不同进行标准化处理,例如:DNS数据可能最关心的是域名、目的IP、解析时间、TTL、请求类型等信息,将这些信息以一条记录的形式进行存储。可疑文件可能最关心的是文件类型、文件大小、文件md5、文件哈希、文件存储位置、被下载次数等信息,将这些信息以一条记录的形式进行存储。
S103、若存在恶意数据,则将所述恶意数据下发至每个设备,以使每个设备根据所述恶意数据识别攻击行为;
具体的,在本实施例中,云端接收到每个设备的发送的未知数据后,会对未知数据进行检测,来判断未知数据中是否存在恶意数据;这里的恶意数据是具有攻击行为的恶意数据;若检测到,则将该恶意数据下发至每个设备,这样其他设备接收到该恶意数据后,就能快速的识别出来,从而实现每个设备对未知威胁的预警及防护,提高了对未知威胁的防御能力。
S104、若不存在恶意数据,则生成与所述未知数据对应的匹配规则,将所述匹配规则下发至每个设备,并在接收到每个设备上传的与所述匹配规则对应的未知数据后,继续执行S102。
需要说明的是,如果该未知数据中不存在恶意数据,为了避免该未知数据是由于数据收集不充分导致识别不出的情况出现,在本实施例中,会生成与该未知数据匹配的规则,通过将该规则下发至每个设备,从而收集更多的相关数据,以实现再次进行分析。可以理解的是,若间隔预定时间或者能判定该未知数据为安全的数据时,便可将该匹配规则从每个设备中清除,不再进行相关数据的收集。
在本方案中,通过设备端和云端的实时交互,设备端按需采集设备端的未知DNS、HTTP等数据,使云端从中发现未知威胁,并向全网所有设备端下发拦截策略,实现了每个设备对未知威胁的预警及防护,从而提高对未知威胁的防御能力。
参见图2,为本实施例提供的一种具体的未知威胁感知方法,包括:
S201、接收每个设备上传的未知数据;
S202、利用特征分析***对未知数据进行分析,判断所述未知数据中是否存在恶意数据;若存在恶意数据,则执行S205;若不存在恶意数据,则执行S203;
S203、将所述未知数据输入与所述未知数据的数据类型相对应的分析***,通过相对应的分析***对所述未知数据进行分析识别;
S204、判断所述未知数据中是否存在恶意数据;若存在恶意数据,则执行S205;若不存在恶意数据,则执行S207;
S205、将所述恶意数据下发至每个设备,以使每个设备根据所述恶意数据识别攻击行为;
S206、将所述恶意数据输出成标准威胁情报格式,并发布至互联网威胁情报平台,以使所述互联网威胁情报平台对全网发布威胁预警;
S207、生成与所述未知数据对应的匹配规则,将所述匹配规则下发至每个设备,并在接收到每个设备上传的与所述匹配规则对应的未知数据后,继续执行S202。
其中,将所述未知数据输入与所述未知数据的数据类型相对应的分析***,通过相对应的分析***对所述未知数据进行分析识别,包括:
识别所述未知数据的数据类型;
若所述数据类型为域名数据,则将所述未知数据输入域名分析***;若所述数据类型为URL数据,则将所述未知数据输入URL分析***;若所述数据类型为可疑文件,则将所述未知数据输入病毒分析***。
参见图3,为本实施例提供的一具体的未知威胁感知方法流程示意图;由图3可知,外部威胁情报即为本方案中每个设备上传的未知数据,云平台接收到该未知数据后,会存储至原始数据仓库,并进行数据标准化处理,进行数据聚合后发送至特征分析***,通过该特征分析***对标准化处理的数据进行多维度的特征分析,例如:DGA域名、DNS隧道域名识别、URL聚类、关联分析等。
进一步的,将特征分析后仍然不能确定是否为恶意数据的未知数据,按照数据类型发送到对应的分析***,在本实施例中,提供三种不同类型的分析***,具体包括:域名分析***、URL分析***、病毒沙盒分析***。域名分析***用于分析未识别出恶意数据的域名数据,URL分析***用于分析未识别出恶意数据的URL数据,病毒沙盒分析***用于分析未识别出恶意数据的可以文件。经过上述***分析过之后的数据,如果仍然不能确定威胁度,则将这些数据自动化生成规则下发到设备端,采集匹配到这些规则的数据,继续分析;可以理解的是,在本方案中仅以域名分析***、URL分析***、病毒沙盒分析***为例对本方案进行说明,但并不局限于此,在实际应用时,只要是与数据类型相对应的分析***均可。
如果分析出恶意数据,则将分析的恶意数据下发到每个设备进行防护,同时将这些恶意数据输出成标准威胁情报格式,发布到互联网威胁情报平台,并对全网发布威胁预警;需要说明的是,标准威胁情报格式不仅包括恶意数据的规则信息,还包括恶意数据的其他维度的相关信息,例如IP端口、域名、规则、URL等。
可见在本方案中,通过云端与设备端实时数据交互,基于大数据分析,做到了对未知威胁的实时防护与预警,实现了一种云+端的新型产品形态,这种产品形态的安全分析能力主要集中于云端,从而提高了每个设备对未知威胁的预警及防护,提高对未知威胁的防御能力。
下面对本发明实施例提供的未知威胁感知装置进行介绍,下文描述的未知威胁感知装置与上文描述的未知威胁感知方法可以相互参照。
参见图4,本发明实施例提供的一种未知威胁感知装置,包括:
接收模块100,用于接收每个设备上传的未知数据;所述未知数据包括每个设备上传的与所述匹配规则对应的未知数据;
判断模块200,用于通过威胁分析***对未知数据进行分析识别,判断所述未知数据中是否存在恶意数据;
数据下发模块300,用于存在恶意数据时,将所述恶意数据下发至每个设备,以使每个设备根据所述恶意数据识别攻击行为;
规则下发模块400,用于不存在恶意数据时,生成与所述未知数据对应的匹配规则,将所述匹配规则下发至每个设备。
其中,所述接收模块100,包括:
第一接收单元,用于接收每个设备上传的根据匹配规则匹配的未知数据;或者,
第二接收单元,用于接收每个设备上传的黑白名单库以外的未知数据。
其中,本方案还包括:
数据处理模块,用于设置所述未知数据的数据标签,根据所述未知数据的数据类型进行标准化处理,并存储。
其中,所述判断模块200包括:
第一判断单元,用于利用特征分析***对未知数据进行分析,判断所述未知数据中是否存在恶意数据;若存在恶意数据,则调用数据下发模块;
数据输入单元,用于不存在恶意数据时,将所述未知数据输入与所述未知数据的数据类型相对应的分析***;
第二判断单元,用于通过与所述未知数据的数据类型相对应的分析***对所述未知数据进行分析识别,判断所述未知数据中是否存在恶意数据。
其中,所述数据输入单元包括:
数据类型识别子单元,用于识别所述未知数据的数据类型;
数据输入子单元,用于在所述数据类型为域名数据时,将所述未知数据输入域名分析***;所述数据类型为URL数据,将所述未知数据输入URL分析***;所述数据类型为可疑文件,将所述未知数据输入病毒分析***。
其中,本方案还包括:
数据发布模块,用于将所述恶意数据输出成标准威胁情报格式,并发布至互联网威胁情报平台,以使所述互联网威胁情报平台对全网发布威胁预警。
本发明实施例还提供一种未知威胁感知设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述未知威胁感知方法的步骤。
本发明实施例还提供一种未知威胁感知***,包括设备及未知威胁感知云平台;每个设备用于上传未知数据;
所述未知威胁感知云平台,用于执行计算机程序,以实现上述未知威胁感知方法的步骤。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述未知威胁感知方法的步骤。
具体的,该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (15)
1.一种未知威胁感知方法,其特征在于,包括:
接收每个设备上传的未知数据;
通过威胁分析***对未知数据进行分析识别,判断所述未知数据中是否存在恶意数据;
若存在恶意数据,则将所述恶意数据下发至每个设备,以使每个设备根据所述恶意数据识别攻击行为;
若不存在恶意数据,则生成与所述未知数据对应的匹配规则,将所述匹配规则下发至每个设备,并在接收到每个设备上传的与所述匹配规则对应的未知数据后,继续执行所述通过威胁分析***对未知数据进行分析识别的步骤。
2.根据权利要求1所述的未知威胁感知方法,其特征在于,所述接收每个设备上传的未知数据,包括:
接收每个设备上传的根据匹配规则匹配的未知数据;或者,
接收每个设备上传的黑白名单库以外的未知数据。
3.根据权利要求1所述的未知威胁感知方法,其特征在于,所述接收每个设备上传的未知数据之后,还包括:
设置所述未知数据的数据标签;
根据所述未知数据的数据类型进行标准化处理,并存储。
4.根据权利要求3所述的未知威胁感知方法,其特征在于,所述通过威胁分析***对未知数据进行分析识别,判断所述未知数据中是否存在恶意数据,包括:
利用特征分析***对未知数据进行分析,判断所述未知数据中是否存在恶意数据;
若存在恶意数据,则执行所述将所述恶意数据下发至每个设备的步骤;
若不存在恶意数据,则将所述未知数据输入与所述未知数据的数据类型相对应的分析***,通过相对应的分析***对所述未知数据进行分析识别,判断所述未知数据中是否存在恶意数据。
5.根据权利要求4所述的未知威胁感知方法,其特征在于,所述将所述未知数据输入与所述未知数据的数据类型相对应的分析***,通过相对应的分析***对所述未知数据进行分析识别,包括:
识别所述未知数据的数据类型;
若所述数据类型为域名数据,则将所述未知数据输入域名分析***;若所述数据类型为URL数据,则将所述未知数据输入URL分析***;若所述数据类型为可疑文件,则将所述未知数据输入病毒分析***。
6.根据权利要求1至5中任意一项所述的未知威胁感知方法,其特征在于,所述将所述恶意数据下发至每个设备之后,还包括:
将所述恶意数据输出成标准威胁情报格式,并发布至互联网威胁情报平台,以使所述互联网威胁情报平台对全网发布威胁预警。
7.一种未知威胁感知装置,其特征在于,包括:
接收模块,用于接收每个设备上传的未知数据;所述未知数据包括每个设备上传的与匹配规则对应的未知数据;
判断模块,用于通过威胁分析***对未知数据进行分析识别,判断所述未知数据中是否存在恶意数据;
数据下发模块,用于存在恶意数据时,将所述恶意数据下发至每个设备,以使每个设备根据所述恶意数据识别攻击行为;
规则下发模块,用于不存在恶意数据时,生成与所述未知数据对应的匹配规则,将与所述未知数据对应的匹配规则下发至每个设备。
8.根据权利要求7所述的未知威胁感知装置,其特征在于,所述接收模块,包括:
第一接收单元,用于接收每个设备上传的根据匹配规则匹配的未知数据;或者,
第二接收单元,用于接收每个设备上传的黑白名单库以外的未知数据。
9.根据权利要求7所述的未知威胁感知装置,其特征在于,还包括:
数据处理模块,用于设置所述未知数据的数据标签,根据所述未知数据的数据类型进行标准化处理,并存储。
10.根据权利要求9所述的未知威胁感知装置,其特征在于,所述判断模块包括:
第一判断单元,用于利用特征分析***对未知数据进行分析,判断所述未知数据中是否存在恶意数据;若存在恶意数据,则调用数据下发模块;
数据输入单元,用于不存在恶意数据时,将所述未知数据输入与所述未知数据的数据类型相对应的分析***;
第二判断单元,用于通过与所述未知数据的数据类型相对应的分析***对所述未知数据进行分析识别,判断所述未知数据中是否存在恶意数据。
11.根据权利要求10所述的未知威胁感知装置,其特征在于,所述数据输入单元包括:
数据类型识别子单元,用于识别所述未知数据的数据类型;
数据输入子单元,用于在所述数据类型为域名数据时,将所述未知数据输入域名分析***;所述数据类型为URL数据,将所述未知数据输入URL分析***;所述数据类型为可疑文件,将所述未知数据输入病毒分析***。
12.根据权利要求7至11中任意一项所述的未知威胁感知装置,其特征在于,还包括:
数据发布模块,用于将所述恶意数据输出成标准威胁情报格式,并发布至互联网威胁情报平台,以使所述互联网威胁情报平台对全网发布威胁预警。
13.一种未知威胁感知设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述未知威胁感知方法的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述未知威胁感知方法的步骤。
15.一种未知威胁感知***,其特征在于,包括设备及未知威胁感知云平台;每个设备用于上传未知数据;
所述未知威胁感知云平台,用于执行计算机程序,以实现如权利要求1至6任一项所述未知威胁感知方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711205572.3A CN107995179B (zh) | 2017-11-27 | 2017-11-27 | 一种未知威胁感知方法、装置、设备及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711205572.3A CN107995179B (zh) | 2017-11-27 | 2017-11-27 | 一种未知威胁感知方法、装置、设备及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107995179A CN107995179A (zh) | 2018-05-04 |
| CN107995179B true CN107995179B (zh) | 2020-10-27 |
Family
ID=62033429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711205572.3A Active CN107995179B (zh) | 2017-11-27 | 2017-11-27 | 一种未知威胁感知方法、装置、设备及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107995179B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108900467B (zh) * | 2018-05-31 | 2020-12-22 | 华东师范大学 | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 |
| CN109327433B (zh) * | 2018-09-03 | 2022-05-17 | 北京智游网安科技有限公司 | 基于运行场景分析的威胁感知方法及*** |
| CN109714342B (zh) * | 2018-12-28 | 2021-07-20 | 国家电网有限公司 | 一种电子设备的保护方法及装置 |
| CN109951477B (zh) * | 2019-03-18 | 2021-07-13 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
| CN112039840B (zh) * | 2020-07-22 | 2023-07-11 | 中国人民解放军陆军工程大学 | 一种基于区块链共识机制的可信威胁情报识别方法及装置 |
| CN115001789B (zh) * | 2022-05-27 | 2024-04-02 | 绿盟科技集团股份有限公司 | 一种失陷设备检测方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御*** |
| CN107154950A (zh) * | 2017-07-24 | 2017-09-12 | 深信服科技股份有限公司 | 一种日志流异常检测的方法及*** |
-
2017
- 2017-11-27 CN CN201711205572.3A patent/CN107995179B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| CN105260662A (zh) * | 2014-07-17 | 2016-01-20 | 南京曼安信息科技有限公司 | 一种未知应用漏洞威胁检测装置及方法 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御*** |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| CN107154950A (zh) * | 2017-07-24 | 2017-09-12 | 深信服科技股份有限公司 | 一种日志流异常检测的方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107995179A (zh) | 2018-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107995179B (zh) | 一种未知威胁感知方法、装置、设备及*** | |
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| CN109951477B (zh) | 一种基于威胁情报检测网络攻击的方法和装置 | |
| CN108471429B (zh) | 一种网络攻击告警方法及*** | |
| CN111401416B (zh) | 异常网站的识别方法、装置和异常对抗行为的识别方法 | |
| CN108683687B (zh) | 一种网络攻击识别方法及*** | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及*** | |
| CN109862003B (zh) | 本地威胁情报库的生成方法、装置、***及存储介质 | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN107733581B (zh) | 基于全网环境下的快速互联网资产特征探测方法及装置 | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| KR20140027616A (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN102945349A (zh) | 未知文件处理方法与装置 | |
| KR20100005518A (ko) | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| KR20180079434A (ko) | 바이러스 데이터베이스 획득 방법 및 기기, 장비, 서버 그리고 시스템 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| CN113849820A (zh) | 一种漏洞检测方法及装置 | |
| CN105843916A (zh) | 基于文件归并的敏感数据检测方法及设备 | |
| KR101986738B1 (ko) | 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20180504 Assignee: Shenzhen zhongyun Data Technology Co.,Ltd. Assignor: SANGFOR TECHNOLOGIES Inc. Contract record no.: X2022980010468 Denomination of invention: An unknown threat sensing method, device, equipment and system Granted publication date: 20201027 License type: Common License Record date: 20220714 |
|
| EE01 | Entry into force of recordation of patent licensing contract |