CN108092948A - 一种网络攻击模式的识别方法和装置 - Google Patents

一种网络攻击模式的识别方法和装置 Download PDF

Info

Publication number
CN108092948A
CN108092948A CN201611062203.9A CN201611062203A CN108092948A CN 108092948 A CN108092948 A CN 108092948A CN 201611062203 A CN201611062203 A CN 201611062203A CN 108092948 A CN108092948 A CN 108092948A
Authority
CN
China
Prior art keywords
attack
characteristic value
network
value collection
collection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611062203.9A
Other languages
English (en)
Other versions
CN108092948B (zh
Inventor
姚子健
熊胜
吴勤华
杨晶蕾
田纪军
朱尧
程琨
吴人超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Hubei Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Hubei Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Hubei Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201611062203.9A priority Critical patent/CN108092948B/zh
Publication of CN108092948A publication Critical patent/CN108092948A/zh
Application granted granted Critical
Publication of CN108092948B publication Critical patent/CN108092948B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种网络攻击模式的识别方法和装置,涉及通信技术领域,能够解决漏报网络攻击的问题。该网络攻击模式的识别方法包括:获取待测业务***的日志信息和待测业务***中预设的低交互蜜罐转发给高交互蜜罐的网络流量;从网络流量和待测业务***的日志信息中获取攻击行为特征;判断攻击行为特征是否符合预设的正常行为条件,根据判断结果得到攻击行为特征值集合;计算攻击行为特征值集合与预设的多个已知攻击模式的特征值集合的相似度;获取与攻击行为特征值集合相似度最高的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。

Description

一种网络攻击模式的识别方法和装置
技术领域
本发明涉及通信技术领域,尤其涉及一种网络攻击模式的识别方法和装置。
背景技术
随着网络应用在人们的学习、工作和生活中的地位越来越重要,黑客为了窃取用户信息或者破坏网络,会对网络发起网络攻击,比如利用网络中没有补丁的漏洞进行攻击的0day攻击,或者利用先进攻击手段对特定目标进行长期持续性网络攻击的APT(AdvancedPersistent Threat,高级持续性威胁)攻击等。
为了能够检测识别出黑客的各种网络攻击的攻击模式,一般通过传统边界安全网关设备来在网络边界进行数据捕捉,利用捕捉的数据与公有云中数据库的攻击模型的数据进行匹配,将公有云的数据库中具有与捕捉的数据能够匹配的攻击模式,作为捕捉的数据对应的网络攻击的攻击模式,实现网络攻击的攻击模式的识别。但是,对于与公有云中数据库的攻击模型不能够匹配的捕捉到的数据来说,无法识别捕捉到的数据对应的网络攻击的攻击模式,从而产生网络攻击漏报的情况,降低了网络的安全性。
发明内容
本发明实施例提供了一种网络攻击模式的识别方法和装置,能够避免网络攻击漏报的情况,提高网络的安全性。
第一方面,本发明实施例提供了一种网络攻击模式的识别方法,包括:获取待测业务***的日志信息和待测业务***中预设的低交互蜜罐转发给高交互蜜罐的网络流量;从网络流量和待测业务***的日志信息中获取攻击行为特征;判断攻击行为特征是否符合预设的正常行为条件,并根据判断结果得到攻击行为特征值集合,攻击行为特征值集合包括至少一种攻击行为特征的值;计算攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度;获取与攻击行为特征值集合相似度最高的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。
结合第一方面,在第一方面的第一种可能中,待测业务***的日志信息包括高交互蜜罐的日志信息。
结合第一方面,在第一方面的第二种可能中,待测业务***的日志信息包括高交互蜜罐的日志信息以及待测业务***所在网络中的网络边界安全防护设备的告警日志。
结合第一方面,在第一方面的第三种可能中,上述网络攻击模式的识别方法还包括:根据攻击行为特征值集合的攻击模式,生成对应的安全防护策略。
结合第一方面的第三种可能,在第一方面的第四种可能中,根据攻击行为特征值集合的攻击模式,生成对应的安全防护策略的步骤之后,还包括:将生成的安全防护策略下发至网络边界安全防护设备,和/或将所生成的安全防护策略在待测业务***所在的网络中共享。
结合第一方面,在第一方面的第五种可能中,上述网络攻击模式的识别方法还包括:利用低交互蜜罐构建虚拟主机,虚拟主机的网络协议IP地址与待测业务***中的真实主机的IP地址一致;改写虚拟主机中的漏洞模拟代码,以修补虚拟主机中的漏洞;将待测业务***接收的网络流量导入修补了漏洞后的虚拟主机。
结合第一方面,在第一方面的第六种可能中,判断所述攻击行为特征是否符合预设的正常行为条件,并根据判断结果得到攻击行为特征值集合的步骤,包括:判断攻击行为特征是否符合预设的正常行为条件;将符合预设的正常行为条件的攻击行为特征的值赋为第一取值;将不符合预设的正常行为条件的攻击行为特征的值赋为第二取值;将赋为第一取值的攻击行为特征的值和/或赋为第二取值的攻击行为特征的值,组合成攻击行为特征值集合。
结合第一方面的第六种可能,在第一方面的第七种可能中,针对所述攻击行为特征中的任一种,在判断攻击行为特征是否符合预设的正常行为条件的步骤之前,还包括:对攻击行为特征进行多次采集,得到多个攻击行为特征采集值;计算多个攻击行为特征采集值的平均值和标准误差;计算标准误差和预设的修正参数的积作为修正标准误差;计算在平均值的基础上浮动修正标准误差的范围,作为正常行为条件。
结合第一方面,在第一方面的第八种可能中,计算攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度的步骤包括:计算攻击行为特征值集合与已知攻击模式的特征值集合中的每一个集合的欧式距离;并且其中,获取与攻击行为特征值集合相似度最高的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式的步骤,包括:获取与攻击行为特征值集合的欧式距离最小的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。
结合第一方面,在第一方面的第九种可能中,低交互蜜罐的网络协议IP地址与高交互蜜罐的IP地址相同。
第二方面,本发明实施例提供了一种网络攻击模式的识别装置,包括:日志获取模块,被配置为获取待测业务***的日志信息和待测业务***中预设的低交互蜜罐转发给高交互蜜罐的网络流量;特征获取模块,被配置为从网络流量和待测业务***的日志信息中获取攻击行为特征;集合获取模块,被配置为判断攻击行为特征是否符合预设的正常行为条件,并根据判断结果得到攻击行为特征值集合,攻击行为特征值集合包括至少一种攻击行为特征的值;计算模块,被配置为计算攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度;分析模块,被配置为获取与攻击行为特征值集合相似度最高的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。
结合第二方面,在第二方面的第一种可能中,待测业务***的日志信息包括高交互蜜罐的日志信息。
结合第二方面,在第二方面的第二种可能中,待测业务***的日志信息包括高交互蜜罐的日志信息以及待测业务***所在网络中的网络边界安全防护设备的告警日志。
结合第二方面,在第二方面的第三种可能中,上述网络攻击模式的识别装置还包括:策略生成模块,被配置为根据攻击行为特征值集合的攻击模式,生成对应的安全防护策略。
结合第二方面的第三种可能,在第二方面的第四种可能中,上述网络攻击模式的识别装置还包括:策略下发模块,被配置为将生成的安全防护策略下发至网络边界安全防护设备,和/或策略共享模块,被配置为将生成的安全防护策略在待测业务***所在的网络中共享。
结合第二方面,在第二方面的第五种可能中,上述网络攻击模式的识别装置还包括:虚拟主机构建模块,被配置为利用低交互蜜罐构建虚拟主机,虚拟主机的网络协议IP地址与待测业务***中的真实主机的IP地址一致;漏洞修补模块,被配置为改写虚拟主机中的漏洞模拟代码,以修补虚拟主机中的漏洞;流量导入模块,被配置为将待测业务***接收的网络流量导入修补了漏洞后的虚拟主机。
结合第二方面,在第二方面的第六种可能中,集合获取模块被配置为:判断攻击行为特征是否符合预设的正常行为条件;将符合预设的正常行为条件的攻击行为特征的值赋为第一取值;将不符合预设的正常行为条件的攻击行为特征的值赋为第二取值;将赋为第一取值的攻击行为特征的值和/或赋为第二取值的攻击行为特征的值,组合成攻击行为特征值集合。
结合第二方面的第六种可能,在第二方面的第七种可能中,上述网络攻击模式的识别装置还包括条件设定模块,条件设定模块被配置为:对攻击行为特征进行多次采集,得到多个攻击行为特征采集值;计算多个攻击行为特征采集值的平均值和标准误差;计算标准误差和预设的修正参数的积作为修正标准误差;计算在平均值的基础上浮动修正标准误差的范围,作为正常行为条件。
结合第二方面,在第二方面的第八种可能中,计算模块具体被配置为计算攻击行为特征值集合与已知攻击模式的特征值集合中的每一个集合的欧式距离;分析模块具体被配置为获取与攻击行为特征值集合欧式距离最小的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。
结合第二方面,在第二方面的第九种可能中,低交互蜜罐的网络协议IP地址与高交互蜜罐的IP地址相同。
本发明实施例提供的网络攻击模式的识别方法和装置,可以从待测业务***的日志信息和网络流量中提取攻击行为特征,判断攻击行为特征是否符合预设的正常行为条件,根据判断结构得到攻击行为特征值集合,通过计算攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度,判断攻击行为特征值的攻击模式。将与攻击行为特征值集合的相似度最高的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。针对待测业务***接收到的网络攻击,都可以根据网络攻击的攻击行为特征找到与其最接近的攻击模式,不会出现现有技术中公有云数据库中无匹配的攻击模式的情况,从而可以识别未知的攻击模式,避免网络攻击漏报的情况,从而提高网络的安全性。
附图说明
从下面结合附图对本发明的具体实施方式的描述中可以更好地理解本发明其中,相同或相似的附图标记表示相同或相似的特征。
图1为本发明一实施例中的网络攻击模式的识别方法的流程图;
图2为本发明另一实施例中的网络攻击模式的识别方法的流程图;
图3为本发明又一实施例中的网络攻击模式的识别方法的流程图;
图4为本发明一实施例提供的网络攻击模式的识别装置的结构示意图;
图5为本发明另一实施例中网络攻击模式的识别装置的结构示意图;
图6为本发明又一实施例中网络攻击模式的识别装置的结构示意图;
图7为本发明再一实施例中网络攻击模式的识别装置的结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例。在下面的详细描述中,提出了许多具体细节,以便提供对本发明的全面理解。但是,对于本领域技术人员来说很明显的是,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明的更好的理解。本发明决不限于下面所提出的任何具体配置和算法,而是在不脱离本发明的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中,没有示出公知的结构和技术,以便避免对本发明造成不必要的模糊。
图1为本发明一实施例中的网络攻击模式的识别方法的流程图。如图1所示,本实施例的网络攻击模式的识别方法包括步骤101-步骤105。
在步骤101中,获取待测业务***的日志信息和待测业务***中预设的低交互蜜罐转发给高交互蜜罐的网络流量。
本发明实施例中提到的网络攻击可以为确实的网络攻击,也可以是疑似网络攻击等有可能会对网络造成伤害的威胁。网络中存在至少一个业务***,每个业务***中均可以模拟出低交互蜜罐,比如honeyd蜜罐。由于低交互蜜罐对主机资源的占用极低,在一个业务***中可以模拟出多个低交互蜜罐,具体的,可以模拟出多个不同操作***的低交互蜜罐。比如:不同的低交互蜜罐分别支持windows、linux、solaris等操作***。低交互蜜罐可以使用业务***占用的网段内的空闲状态的真实IP(Internet Protocol,网络协议)地址。为了提高低交互蜜罐模拟出的虚拟主机的真实度,可以为低交互蜜罐虚拟出各种带有安全漏洞的服务,从而吸引网络入侵者的网络攻击。由于低交互蜜罐只能模拟出网络连接的简单指纹信息以及各种服务的banner信息(标题信息),而高交互蜜罐能够捕捉更多、更详细的网络入侵信息,从网络入侵信息中提取攻击特征。因此低交互蜜罐会将接受到的网络流量转发给高交互蜜罐,以便于收集并分析网络入侵者的各种攻击行为。高交互蜜罐也可以称为物理蜜罐。具体的,可以利用策略路由结合GRE(Generic Routing Encapsulation,通用路由封装)通道技术,使得低交互蜜罐的IP地址与高交互蜜罐的IP地址相同,从而使得发送至低交互蜜罐的网络流量转发至高交互蜜罐。
低交互蜜罐接收的网络流量可以包括非授权用户的操作信息。待测业务***可以针对高交互蜜罐进行基线建模,从用户基线、端口基线、进程基线、服务基线、关键文件、网络流量基线等能够获取待测业务的***日志信息中的具体信息。具体的,待测业务***的日志信息可以包括高交互蜜罐的日志信息,还可以包括待测业务***所在网络中的网络边界安全防护设备的告警日志。
在步骤102中,从网络流量和待测业务***的日志信息中获取攻击行为特征。
其中,根据网络流量和待测业务***的日志信息,能够判断业务***是否存在增删账号异常行为,端口、进程、服务启动或异常行为,关键文件修改以及异常外联等行为。待测业务***的日志信息中包含日志的时间戳信息,具体可以通过sebek这种数据捕获工具来收集网络流量以及网络边界安全防护设备的告警日志。网络边界安全防护设备可以包括防火墙、IDS(Intrusion Detection Systems,入侵检测***)、IPS(Intrusion PreventionSystem,入侵防御***)、WAF(Web Application Firewall,网站应用防护***)、流量清洗设备等。
从接收的网络流量(可以由入侵检测***snort进行检测,由sebek数据捕获工具记录)和待测业务***的日志信息中,可以获取到攻击行为特征。具体的,可以获取到多种攻击行为特征,比如过多的出站流量(简称为EOT)、过多的入站流量(简称为EIT)、非工作时间登录(简称为LI)、防火墙接受(简称为FWA)、防火墙拒绝(简称为FWD)、内网登录(简称为LOIN)、连续多次登录失败(简称为MFL)、至少1次成功登录(简称为SL)、单一源探查多个目标IP(简称为SSPMD)、单一来源探查多个目标IP和端口(简称为SSPMDP)、新建账号(简称为MU)、文件操作(简称为MF)、进程操作(简称为MP)、端口操作(简称为PP)中的一项或多项。
在步骤103中,判断攻击行为特征是否符合预设的正常行为条件,并根据判断结果得到攻击行为特征值集合。
其中,针对一种攻击行为特征,可以具有不同的值。比如,攻击行为特征为过多的出站流量,若出站流量不符合预设的正常行为条件,则具有过多的出站流量的情况,可以将过多的出站流量的值记为yes或1,若出站流量符合预设的正常行为条件,则不具有过多的出站流量的情况,可以将过多的出站流量的值记为no或0。在上述网络流量和待测业务***的日志信息中可获取到至少一种攻击行为特征,根据获取到的至少一种攻击行为特征,能够得到攻击行为特征的值组成的攻击行为特征值集合,攻击行为特征值集合包括至少一种攻击行为特征的值。比如,攻击行为特征为过多的出站流量、过多的入站流量、非工作时间登录、防火墙接受、防火墙拒绝、内网登录、连续多次登录失败、至少1次成功登录、单一源探查多个目标IP、单一来源探查多个目标IP和端口、新建账号、文件操作、进程操作、端口操作,其中,出现了过多的入站流量、内网登录、连续多次登录失败和至少1次成功登录的情况,则对应的攻击行为特征值集合为{no,yes,no,no,no,yes,yes,yes,no,no,no,no,no,no}或者{0,1,0,0,0,1,1,1,0,0,0,0,0,0}。
在步骤104中,计算攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度。
其中,可以在待测业务***所在的网络中预先设置多个已知攻击模式的特征值集合,每个已知攻击模式的特征值集合对应一种攻击模式,可以通过计算得到的攻击行为特征值集合与各个已知攻击模式的特征值集合的相似度,查找得到与攻击行为特征值集合最相似的已知攻击模式的特征值集合,将最相似的已知攻击模式的特征值集合对应的攻击模式作为攻击行为特征值集合的攻击模式。
相似度可以利用欧式距离来计算,也就是说,可以通过计算攻击行为特征值集合与已知攻击模式的特征值集合中的每一个集合的欧式距离,来计算攻击行为特征值集合与已知攻击模式的特征值集合中的每一个集合的相似度,欧氏距离越小表示相似度越高。具体的,可以利用下面的公式(1)来计算欧式距离。
其中,se为欧式距离,i为正整数,n为攻击行为特征值集合中的攻击行为特征的值的个数,pi为一段时间内针对某一IP地址的未知的攻击行为特征值集合中的第i个元素,qi为已知攻击模式的特征值集合中的第i个元素。需要说明的是,其他计算相似度的方法也适用于本发明实施例,也属于本发明实施例的保护范围内。
在步骤105中,获取与攻击行为特征值集合相似度最高的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。
其中,若利用欧式距离来表示相似度,则获取与攻击行为特征值集合的欧氏距离最小的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。
比如,已知攻击模式的特征值集合如表一所示,未知网络攻击的攻击行为特征值集合如表二所示,其中,攻击行为特征值集合以及已知攻击模式的特征值集合中的yes用Y表示,no用N表示,经过相似度计算,可以得知表二中的攻击行为特征值集合1对应的攻击模式为表一中的可能的暴力破解登录,表二中的攻击行为特征值集合2对应的攻击模式为表一中的端口扫描,表二中的攻击行为特征值集合3对应的攻击模式为表一中的恶意软件安装,表二中的攻击行为特征值集合4对应的攻击模式为表一中的可能的渗透攻击。从而识别未知网络攻击的攻击模式。
表一
表二
本发明实施例提供的网络攻击模式的识别方法,可以从待测业务***的日志信息和网络流量中提取攻击行为特征,判断攻击行为特征是否符合预设的正常行为条件,根据判断结果得到攻击行为特征值集合,通过计算攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度,判断攻击行为特征值的攻击模式。将与攻击行为特征值集合的相似度最高的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。针对待测业务***接收到的网络攻击,都可以根据网络攻击的攻击行为特征找到与其最接近的攻击模式,不会出现现有技术中公有云数据库中无匹配的攻击模式的情况,从而可以识别未知的攻击模式,避免网络攻击漏报的情况,从而提高网络的安全性。
图2为本发明另一实施例中的网络攻击模式的识别方法的流程图,图2中的步骤101-步骤105与图1中的步骤101-步骤105基本相同。不同之处在于,图2所示的网络攻击模式的识别方法还可以包括步骤106-步骤108。
在步骤106中,根据攻击行为特征值集合的攻击模式,生成对应的安全防护策略。
其中,针对不同的攻击模式可以生成不同的安全防护策略。比如,可以生成防火墙策略,针对防火墙下发的安全防护策略,一般是临时性的安全防护策略,如远程漏洞扫描攻击的阻断、口令猜测破解攻击的阻断、非授权远程管理访问。源IP地址并不会大范围变化,短时间关闭某一源IP地址到目的IP地址的访问,对待测业务***不会产生太多影响。下发给防火墙的安全防护策略具体格式可以为Sip+Sport+Dip+Dport+(permit,deny),其中Sip指源IP地址,Sport指源端口,Dip指目的IP地址,Dport指目的端口,permit指允许通信,deny指不允许通信。
再比如,可以生成IDS策略,针对IDS设备下发的安全防护策略,一般是远程溢出攻击防护策略,在识别出网络流量中的攻击后,会自动与CVE(Common Vulnerabilities&Exposures,公共漏洞和暴露)漏洞库进行关联,因此在将IDS的安全防护策略下发给网络中已有的IDS设备时,需要将攻击漏洞的CVE编号一起下发给IDS设备,并由IDS设备调用相应的安全防护策略进行防护。下发给IDS设备的安全防护策略具体格式可以为Sip+Sport+Dip+Dport+(漏洞编号),其中Sip指源IP地址,Sport指源端口,Dip指目的IP地址,Dport指目的端口。
又比如,可以生成流量清洗设备策略,针对流量清洗设备下发的安全防护策略,一般是DDOS(Distributed Denial of Service,分布式拒绝服务)流量攻击类的安全防护策略,在识别出网络流量中的网络攻击后,会自动区分网络攻击的类型,包括syn-flood(拒绝服务攻击)、udp-flood(流量型拒绝服务攻击)、ack-flood(确认字符攻击)等,因此在将安全防护策略下发给网络中已有的流量清洗设备时,需要将攻击类型一起下发给流量清洗设备,并由流量清洗设备调用相应的安全防护策略进行防护。下发给流量清洗设备的安全防护策略具体格式可以为Sip+Sport+Dip+Dport+(攻击类型),其中Sip指源IP地址,Sport指源端口,Dip指目的IP地址,Dport指目的端口。
网络中还存在一些特殊用途的安全防护设备,如DNS(Domain Name System,域名***)前端部署的攻击防护***、门户网站前端部署的WAF设备,可以提供详细的攻击行为特征,接收维护人员的安全防护策略调整指令。
在步骤107中,将生成的安全防护策略下发至网络边界安全防护设备。
将安全防护策略下发至网络边界安全防护设备,以实现对未知网络攻击的纵深防御。具体的,可以将生成的安全防护策略以工单形式下发给维护人员的终端设备中。需要说明的是,维护人员的终端设备还可以接收维护人员输入的策略调整指令,从而调整安全防护策略。
在步骤108中,将所生成的安全防护策略在待测业务***所在的网络中共享。
在生成对应的安全防护策略后,可以将安全防护策略在待测业务***所在的网络中共享,使得网络中的其他业务***也可以获取生成的安全防护策略,从而实现网络攻击的多路径阻断,提高全网络的网络攻击预警和防护能力。需要说明的是,在步骤106之后,可以只执行步骤107,也可以只执行步骤108,还可以执行步骤107和步骤108。若在步骤106之后执行步骤107和步骤108,则在这里并不限定步骤107与步骤108的先后执行时序。
图3为本发明又一实施例中的网络攻击模式的识别方法的流程图,图3中的步骤101-步骤105与图1中的步骤101-步骤105基本相同。不同之处在于,图3所示的网络攻击模式的识别方法还可以包括步骤109-步骤111。
在步骤109中,利用低交互蜜罐构建虚拟主机。
其中,虚拟主机的IP地址与待测业务***中的真实主机的IP地址一致。可以将真实主机的漏洞模拟至虚拟主机中,使得虚拟主机与真实主机具有相同的漏洞。利用低交互蜜罐的TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)指纹模拟和操作***指纹模拟功能,来保证虚拟主机的真实性。
在步骤110中,改写虚拟主机中的漏洞模拟代码,以修补虚拟主机中的漏洞。
改写虚拟主机中的漏洞模拟代码,以保证虚拟出的虚拟主机以及该虚拟主机上的应用已完成所有漏洞的修补。
在步骤111中,将待测业务***接收的网络流量导入修补了漏洞后的虚拟主机。
具体的,可以利用策略路由功能,将去往真实主机的网络流量导入虚拟主机,网络流量中可能会包含网络攻击流量,从而实现对真实主机的“虚拟补丁”功能,有效的隐藏各类漏洞,提高了业务***的安全性。通过“虚拟补丁”功能,还能够检测对漏洞的修补是否合适,并不会危及到真实主机的网络安全。
值得一提的是,在本发明实施例中,并不限定步骤109-步骤111与步骤101-步骤105之间的执行时序关系,图3所示的只是其中一种步骤109-步骤111与步骤101-步骤105的执行时序关系,步骤109-步骤111与步骤101-步骤105之间其他可行的执行时序关系也属于本发明实施例的保护范围内。
需要说明的是,上述实施例中的步骤103的内容可以具体细化为步骤1031-步骤1034的内容。
在步骤1031中,判断攻击行为特征是否符合预设的正常行为条件。
其中,待测业务***所在的网络中预先设置了正常行为条件,正常行为条件是攻击行为特征是否有可能属于网络攻击的判断条件。
在步骤1032中,将符合预设的正常行为条件的攻击行为特征的值赋为第一取值。
在步骤1033中,将不符合预设的正常行为条件的攻击行为特征的值赋为第二取值。
其中,第一取值与第二取值不等。第一取值和第二取值可以为数字、字母、符号等字符,在此并不限定。若利用欧氏距离等具有具体数值的计算方法表示相似度,则第一取值和第二取值设置为数字较好,便于计算欧式距离。
在步骤1034中,将赋为第一取值的攻击行为特征的值和/或赋为第二取值的攻击行为特征的值,组合成攻击行为特征值集合。
若攻击行为特征符合预设的正常行为条件,将该攻击行为特征的值赋为第一取值,若攻击行为特征不符合预设的正常行为条件,将该攻击行为特征的值赋为第二取值,从而得到攻击行为特征值集合。比如,攻击行为特征为过多的出站流量、过多的入站流量、非工作时间登录、防火墙接受、防火墙拒绝、内网登录、连续多次登录失败、至少1次成功登录、单一源探查多个目标IP、单一来源探查多个目标IP和端口、新建账号、文件操作、进程操作、端口操作,其中,过多的入站流量、内网登录、连续多次登录失败和至少1次成功登录均不符合预设的正常行为条件,除过多的入站流量、内网登录、连续多次登录失败和至少1次成功登录以外的攻击行为特征符合预设的正常行为条件,设置第一取值为0,第二取值为1,则对应的攻击行为特征值集合为{0,1,0,0,0,1,1,1,0,0,0,0,0,0}。
还需要说明的是,在判断攻击特征是否符合预设的异常条件之前,可以设置正常行为条件,可以利用机器学习的方法来设置正常行为条件,设置正常行为条件的步骤可以包括步骤1035-步骤1038。
在步骤1035中,对攻击行为特征进行多次采集,得到多个攻击行为特征采集值。具体的,可以在一段时间内,对攻击行为特征进行周期性采集。
在步骤1036中,计算多个攻击行为特征采集值的平均值和标准误差。
在步骤1037中,计算标准误差和预设的修正参数的积作为修正标准误差。
在步骤1038中,计算在平均值的基础上浮动修正标准误差的范围,作为正常行为条件。
比如,在一段时间内,如4-6周的时间内通过对从待测业务***日志信息获取的攻击特征进行采样,具体可采用周期式采样,得到多个攻击特征采集值。根据采集得到的多个攻击特征采集值,能够计算得到攻击特征采集值的平均值、标准偏差以及标准误差。为了使得后面设置的正常行为条件判断网络攻击能够更加精准,引入修正参数,修正参数具体可以根据置信度计算得到。利用标准误差和修正参数得到修正标准误差,从而根据平均值和修正标准误差,得到正常行为条件。
下面以过多的出站流量为例进行说明。在一段时间内N次采集出站流量,得到N个出站流量采集值。根据下列公式(2)至公式(4)进行计算,最终计算到出站流量的基线阀值范围,并将基线阀值范围作为正常行为条件。
其中,xk为N个出站流量采集值中的第k个值,k为正整数,μ为平均值,σ为标准偏差,s为标准误差,N为正整数。
设置置信度为95%,则根据置信度得到的修正参数为1.96,1.96×s为修正标准误差,所以基线阀值范围为(μ-1.96×s,μ+1.96×s],也就是说,过多的出站流量对应的正常行为条件为(μ-1.96×s,μ+1.96×s],当过多的出站流量在(μ-1.96×s,μ+1.96×s]这个范围内时,过多的出站流量的值赋为第一取值,当过多的出站流量在(μ-1.96×s,μ+1.96×s]这个范围外时,过多的出站流量的值赋为第二取值。
需要说明的是,有些攻击行为特征没有具体的数值量,其正常行为条件可以直接判断,比如防火墙接受,可根据实际情况中防火墙是否能够接受,用“是”或“否”或者其他字符来表明,如若防火墙接受,则可设定防火墙接受的值为yes或1,若防火墙不接受,则可设定防火墙接受的值为no或0。
图4为本发明一实施例提供的网络攻击模式的识别装置的结构示意图,图4所示的网络攻击模式的识别装置200包括日志获取模块201、特征获取模块202、集合获取模块203、计算模块204和分析模块205。
其中,日志获取模块201,可被配置为获取待测业务***的日志信息和待测业务***中预设的低交互蜜罐转发给高交互蜜罐的网络流量。
特征获取模块202,可被配置为从网络流量和待测业务***的日志信息中获取攻击行为特征。
集合获取模块205,被配置为判断攻击行为特征是否符合预设的正常行为条件,并根据判断结果得到攻击行为特征值集合,攻击行为特征值集合包括至少一种攻击行为特征的值。
计算模块204,可被配置为计算攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度。
分析模块205,可被配置为获取与攻击行为特征值集合相似度最高的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。
需要说明的是,待测业务***的日志信息可以包括高交互蜜罐的日志信息。待测业务***的日志信息也可以包括高交互蜜罐的日志信息以及待测业务***所在网络中的网络边界安全防护设备的告警日志。上述低交互蜜罐的网络协议IP地址与上述高交互蜜罐的IP地址相同。
本发明实施例提供的网络攻击模式的识别装置200,可以从待测业务***的日志信息和网络流量中提取攻击行为特征,判断攻击行为特征是否符合预设的正常行为条件,根据判断结果,得到攻击行为特征值集合,通过计算攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度,判断攻击行为特征值的攻击模式。将与攻击行为特征值集合的相似度最高的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。针对待测业务***接收到的网络攻击,都可以根据网络攻击的攻击行为特征找到与其最接近的攻击模式,不会出现现有技术中公有云数据库中无匹配的攻击模式的情况,从而可以识别未知的攻击模式,避免网络攻击漏报的情况,从而提高网络的安全性。
图5为本发明另一实施例中网络攻击模式的识别装置的结构示意图,图5中的日志获取模块201、特征获取模块202、集合获取模块203、计算模块204和分析模块205与图4中的日志获取模块201、特征获取模块202、集合获取模块203、计算模块204和分析模块205基本相同。不同之处在于,图5所示的网络攻击模式的识别装置200还包括策略生成模块206、策略下发模块207和策略共享模块208。
其中,策略生成模块206,可被配置为根据攻击行为特征值集合的攻击模式,生成对应的安全防护策略。
策略下发模块207,可被配置为将生成的安全防护策略下发至网络边界安全防护设备。
策略共享模块208,可被配置为将所生成的安全防护策略在待测业务***所在的网络中共享。
在本发明实施例中,策略下发模块207将安全防护策略下发至网络边界安全防护设备,以实现对未知网络攻击的纵深防御。策略共享模块208可以将安全防护策略在待测业务***所在的网络中共享,使得网络中的其他业务***也可以获取生成的安全防护策略,从而实现网络攻击的多路径阻断,提高全网络的网络攻击预警和防护能力。需要说明的是,在本发明实施例中,网络攻击模式的识别装置200可以包括策略下发模块207和策略共享模块208,也可以只包括策略下发模块207和策略共享模块208中的一个功能模块,在此并不限定。
图6为本发明又一实施例中网络攻击模式的识别装置的结构示意图,图6中的日志获取模块201、特征获取模块202、集合获取模块203、计算模块204和分析模块205与图4中的日志获取模块201、特征获取模块202、集合获取模块203、计算模块204和分析模块205基本相同。不同之处在于,图6所示的网络攻击模式的识别装置200还包括虚拟主机构建模块209、漏洞修补模块210和流量导入模块211。
其中,虚拟主机构建模块209,可被配置为利用低交互蜜罐构建虚拟主机,虚拟主机的网络协议IP地址与待测业务***中的真实主机的IP地址一致。
漏洞修补模块210,可被配置为改写虚拟主机中的漏洞模拟代码,以修补虚拟主机中的漏洞。
流量导入模块211,可被配置为将待测业务***接收的网络流量导入修补了漏洞后的虚拟主机。
本发明实施例可以实现对真实主机的“虚拟补丁”功能,有效的隐藏各类漏洞,提高了业务***的安全性。通过“虚拟补丁”功能,还能够检测对漏洞的修补是否合适,并不会危及到真实主机的网络安全。
图7为本发明再一实施例中网络攻击模式的识别装置的结构示意图,图7中的日志获取模块201、特征获取模块202、集合获取模块203、计算模块204和分析模块205与图4中的日志获取模块201、特征获取模块202、集合获取模块203、计算模块204和分析模块205基本相同。不同之处在于,图7所示的网络攻击模式的识别装置200还包括条件设定模块212。
其中,条件设定模块212可被配置为:对攻击行为特征进行多次采集,得到多个攻击行为特征采集值;计算多个攻击行为特征采集值的平均值和标准误差;计算标准误差和预设的修正参数的积作为修正标准误差;计算在平均值的基础上浮动修正标准误差的范围,作为正常行为条件。
需要说明的是,上述实施例中的集合获取模块203具体可被配置为:判断攻击行为特征是否符合预设的正常行为条件;将符合预设的正常行为条件的攻击行为特征的值赋为第一取值;将不符合预设的正常行为条件的攻击行为特征的值赋为第二取值;将赋为第一取值的攻击行为特征的值和/或赋为第二取值的攻击行为特征的值,组合成攻击行为特征值集合。
上述实施例中的计算模块204具体可被配置为计算攻击行为特征值集合与已知攻击模式的特征值集合中的每一个集合的欧式距离。
分析模块205具体可被配置为获取与攻击行为特征值集合欧式距离最小的已知攻击模式的特征值集合对应的攻击模式,作为攻击行为特征值集合的攻击模式。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。并且,为了简明起见,这里省略对已知方法技术的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神之后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构示意图中所示的功能模块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

Claims (20)

1.一种网络攻击模式的识别方法,包括:
获取待测业务***的日志信息和所述待测业务***中预设的低交互蜜罐转发给高交互蜜罐的网络流量;
从所述网络流量和所述待测业务***的日志信息中获取攻击行为特征;
判断所述攻击行为特征是否符合预设的正常行为条件,并根据判断结果得到攻击行为特征值集合,所述攻击行为特征值集合包括至少一种攻击行为特征的值;
计算所述攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度;
获取与所述攻击行为特征值集合相似度最高的所述已知攻击模式的特征值集合对应的攻击模式,作为所述攻击行为特征值集合的攻击模式。
2.根据权利要求1所述的方法,其中,所述待测业务***的日志信息包括所述高交互蜜罐的日志信息。
3.根据权利要求1所述的方法,其中,所述待测业务***的日志信息包括所述高交互蜜罐的日志信息以及所述待测业务***所在网络中的网络边界安全防护设备的告警日志。
4.根据权利要求1所述的方法,还包括:
根据所述攻击行为特征值集合的攻击模式,生成对应的安全防护策略。
5.根据权利要求4所述的方法,还包括:
将所生成的安全防护策略下发至网络边界安全防护设备,和/或
将所生成的安全防护策略在所述待测业务***所在的网络中共享。
6.根据权利要求1所述的方法,还包括:
利用所述低交互蜜罐构建虚拟主机,其中,所述虚拟主机的网络协议IP地址与所述待测业务***中的真实主机的IP地址一致;
改写所述虚拟主机中的漏洞模拟代码,以修补所述虚拟主机中的漏洞;
将所述待测业务***接收的网络流量导入修补了漏洞后的所述虚拟主机。
7.根据权利要求1所述的方法,其中,判断所述攻击行为特征是否符合预设的正常行为条件,并根据判断结果得到攻击行为特征值集合的步骤包括:
判断所述攻击行为特征是否符合所述预设的正常行为条件;
将符合所述预设的正常行为条件的攻击行为特征的值赋为第一取值;
将不符合所述预设的正常行为条件的攻击行为特征的值赋为第二取值;
将赋为所述第一取值的攻击行为特征的值和/或赋为所述第二取值的攻击行为特征的值,组合成所述攻击行为特征值集合。
8.根据权利要求7所述的方法,其中,针对所述攻击行为特征中的任一种,在判断所述攻击行为特征是否符合预设的正常行为条件的步骤之前,还包括:
对所述攻击行为特征进行多次采集,得到多个攻击行为特征采集值;
计算多个攻击行为特征采集值的平均值和标准误差;
计算所述标准误差和预设的修正参数的积作为修正标准误差;
计算在所述平均值的基础上浮动所述修正标准误差的范围,作为所述正常行为条件。
9.根据权利要求1所述的方法,其中,计算所述攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度的步骤包括:
计算所述攻击行为特征值集合与所述已知攻击模式的特征值集合中的每一个集合的欧式距离;
并且其中,获取与所述攻击行为特征值集合相似度最高的所述已知攻击模式的特征值集合对应的攻击模式,作为所述攻击行为特征值集合的攻击模式的步骤,包括:
获取与所述攻击行为特征值集合的欧式距离最小的已知攻击模式的特征值集合对应的攻击模式,作为所述攻击行为特征值集合的攻击模式。
10.根据权利要求1中所述的方法,其中,所述低交互蜜罐的网络协议IP地址与所述高交互蜜罐的IP地址相同。
11.一种网络攻击模式的识别装置,包括:
日志获取模块,被配置为获取待测业务***的日志信息和所述待测业务***中预设的低交互蜜罐转发给高交互蜜罐的网络流量;
特征获取模块,被配置为从所述网络流量和所述待测业务***的日志信息中获取攻击行为特征;
集合获取模块,被配置为判断所述攻击行为特征是否符合预设的正常行为条件,并根据判断结果得到攻击行为特征值集合,所述攻击行为特征值集合包括至少一种攻击行为特征的值;
计算模块,被配置为计算所述攻击行为特征值集合与多个已知攻击模式的特征值集合的相似度;
分析模块,被配置为获取与所述攻击行为特征值集合相似度最高的所述已知攻击模式的特征值集合对应的攻击模式,作为所述攻击行为特征值集合的攻击模式。
12.根据权利要求11所述的装置,其中,所述待测业务***的日志信息包括所述高交互蜜罐的日志信息。
13.根据权利要求11所述的装置,其中,所述待测业务***的日志信息包括所述高交互蜜罐的日志信息以及所述待测业务***所在网络中的网络边界安全防护设备的告警日志。
14.根据权利要求11所述的装置,还包括:
策略生成模块,被配置为根据所述攻击行为特征值集合的攻击模式,生成对应的安全防护策略。
15.根据权利要求14所述的装置,还包括:
策略下发模块,被配置为将生成的所述安全防护策略下发至网络边界安全防护设备,
和/或策略共享模块,被配置为将所生成的所述安全防护策略在所述待测业务***所在的网络中共享。
16.根据权利要求11所述的装置,还包括:
虚拟主机构建模块,被配置为利用所述低交互蜜罐构建虚拟主机,其中,所述虚拟主机的网络协议IP地址与所述待测业务***中的真实主机的IP地址一致;
漏洞修补模块,被配置为改写所述虚拟主机中的漏洞模拟代码,以修补所述虚拟主机中的漏洞;
流量导入模块,被配置为将所述待测业务***接收的网络流量导入修补了漏洞后的所述虚拟主机。
17.根据权利要求11所述的装置,其中,集合获取模块被配置为:
判断所述攻击行为特征是否符合所述预设的正常行为条件;
将符合所述预设的正常行为条件的攻击行为特征的值赋为第一取值;
将不符合所述预设的正常行为条件的攻击行为特征的值赋为第二取值;
将赋为所述第一取值的攻击行为特征的值和/或赋为所述第二取值的攻击行为特征的值,组合成所述攻击行为特征值集合。
18.根据权利要求17所述的装置,还包括条件设定模块,所述条件设定模块被配置为:
对所述攻击行为特征进行多次采集,得到多个攻击行为特征采集值;
计算多个攻击行为特征采集值的平均值和标准误差;
计算所述标准误差和预设的修正参数的积作为修正标准误差;
计算在所述平均值的基础上浮动所述修正标准误差的范围,作为所述正常行为条件。
19.根据权利要求11所述的装置,其中,所述计算模块具体被配置为计算所述攻击行为特征值集合与所述已知攻击模式的特征值集合中的每一个集合的欧式距离;
所述分析模块具体被配置为获取与所述攻击行为特征值集合的欧式距离最小的已知攻击模式的特征值集合对应的攻击模式,作为所述攻击行为特征值集合的攻击模式。
20.根据权利要求11中所述的装置,其中,所述低交互蜜罐的网络协议IP地址与所述高交互蜜罐的IP地址相同。
CN201611062203.9A 2016-11-23 2016-11-23 一种网络攻击模式的识别方法和装置 Active CN108092948B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611062203.9A CN108092948B (zh) 2016-11-23 2016-11-23 一种网络攻击模式的识别方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611062203.9A CN108092948B (zh) 2016-11-23 2016-11-23 一种网络攻击模式的识别方法和装置

Publications (2)

Publication Number Publication Date
CN108092948A true CN108092948A (zh) 2018-05-29
CN108092948B CN108092948B (zh) 2021-04-02

Family

ID=62170221

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611062203.9A Active CN108092948B (zh) 2016-11-23 2016-11-23 一种网络攻击模式的识别方法和装置

Country Status (1)

Country Link
CN (1) CN108092948B (zh)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167767A (zh) * 2018-08-17 2019-01-08 苏州亮磊知识产权运营有限公司 一种对于DHCP架构的DDoS攻击防御***的工作方法
CN109302401A (zh) * 2018-10-25 2019-02-01 国家电网有限公司 信息安全防护方法及装置
CN109361670A (zh) * 2018-10-21 2019-02-19 北京经纬信安科技有限公司 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法
CN109818984A (zh) * 2019-04-10 2019-05-28 吉林亿联银行股份有限公司 漏洞的防御方法及装置
CN110351237A (zh) * 2019-05-23 2019-10-18 中国科学院信息工程研究所 用于数控机床的蜜罐方法及装置
CN110751570A (zh) * 2019-09-16 2020-02-04 中国电力科学研究院有限公司 一种基于业务逻辑的电力业务报文攻击识别方法及***
CN110830457A (zh) * 2019-10-25 2020-02-21 腾讯科技(深圳)有限公司 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质
CN110839088A (zh) * 2018-08-16 2020-02-25 深信服科技股份有限公司 一种被虚拟货币挖矿的检测方法、***、装置及存储介质
CN111447168A (zh) * 2019-01-16 2020-07-24 河南信安通信技术股份有限公司 一种多维的网络安全预测方法
CN111726264A (zh) * 2020-06-18 2020-09-29 中国电子科技集团公司第三十六研究所 网络协议变种检测方法、装置、电子设备和存储介质
CN111835777A (zh) * 2020-07-20 2020-10-27 深信服科技股份有限公司 一种异常流量检测方法、装置、设备及介质
CN112165459A (zh) * 2020-09-08 2021-01-01 广州锦行网络科技有限公司 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法
CN112333196A (zh) * 2020-11-10 2021-02-05 恒安嘉新(北京)科技股份公司 一种攻击事件溯源方法、装置、电子设备和存储介质
CN112367307A (zh) * 2020-10-27 2021-02-12 中国电子科技集团公司第二十八研究所 一种基于容器级蜜罐群的入侵检测方法及***
CN112632531A (zh) * 2020-12-15 2021-04-09 平安科技(深圳)有限公司 恶意代码的识别方法、装置、计算机设备及介质
CN112910895A (zh) * 2021-02-02 2021-06-04 杭州安恒信息技术股份有限公司 网络攻击行为检测方法、装置、计算机设备和***
CN113395288A (zh) * 2021-06-24 2021-09-14 浙江德迅网络安全技术有限公司 基于sdwan主动防御ddos***
CN113422787A (zh) * 2021-08-24 2021-09-21 广州乐盈信息科技股份有限公司 一种用于无源光网络***的智能防攻击方法
CN114006766A (zh) * 2021-11-04 2022-02-01 杭州安恒信息安全技术有限公司 网络攻击检测方法、装置、电子设备及可读存储介质
CN114205127A (zh) * 2021-11-29 2022-03-18 中国铁路北京局集团有限公司北京通信段 一种针对铁路的网络安全监测方法及***
CN114866349A (zh) * 2022-07-06 2022-08-05 深圳市永达电子信息股份有限公司 一种网络信息过滤方法
CN115529145A (zh) * 2021-06-25 2022-12-27 ***通信集团广东有限公司 网络安全入侵检测与防护***及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101102314A (zh) * 2007-06-21 2008-01-09 北京联合大学 一种基于危险模型的三级模块式入侵检测***
CN103971054A (zh) * 2014-04-25 2014-08-06 天津大学 一种基于行为序列的浏览器扩展漏洞的检测方法
US20150271199A1 (en) * 2014-03-19 2015-09-24 International Business Machines Corporation Generating Accurate Preemptive Security Device Policy Tuning Recommendations
CN105245495A (zh) * 2015-08-27 2016-01-13 哈尔滨工程大学 一种基于相似性匹配恶意shellcode快速检测方法
CN105488394A (zh) * 2014-12-27 2016-04-13 哈尔滨安天科技股份有限公司 一种面向蜜罐***进行入侵行为识别和分类的方法及***
CN105721416A (zh) * 2015-11-16 2016-06-29 哈尔滨安天科技股份有限公司 一种apt事件攻击组织同源性分析方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101102314A (zh) * 2007-06-21 2008-01-09 北京联合大学 一种基于危险模型的三级模块式入侵检测***
US20150271199A1 (en) * 2014-03-19 2015-09-24 International Business Machines Corporation Generating Accurate Preemptive Security Device Policy Tuning Recommendations
CN103971054A (zh) * 2014-04-25 2014-08-06 天津大学 一种基于行为序列的浏览器扩展漏洞的检测方法
CN105488394A (zh) * 2014-12-27 2016-04-13 哈尔滨安天科技股份有限公司 一种面向蜜罐***进行入侵行为识别和分类的方法及***
CN105245495A (zh) * 2015-08-27 2016-01-13 哈尔滨工程大学 一种基于相似性匹配恶意shellcode快速检测方法
CN105721416A (zh) * 2015-11-16 2016-06-29 哈尔滨安天科技股份有限公司 一种apt事件攻击组织同源性分析方法及装置

Cited By (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110839088A (zh) * 2018-08-16 2020-02-25 深信服科技股份有限公司 一种被虚拟货币挖矿的检测方法、***、装置及存储介质
CN109167767A (zh) * 2018-08-17 2019-01-08 苏州亮磊知识产权运营有限公司 一种对于DHCP架构的DDoS攻击防御***的工作方法
CN109361670B (zh) * 2018-10-21 2021-05-28 北京经纬信安科技有限公司 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法
CN109361670A (zh) * 2018-10-21 2019-02-19 北京经纬信安科技有限公司 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法
CN109302401A (zh) * 2018-10-25 2019-02-01 国家电网有限公司 信息安全防护方法及装置
CN109302401B (zh) * 2018-10-25 2021-07-09 国家电网有限公司 信息安全防护方法及装置
CN111447168B (zh) * 2019-01-16 2022-05-24 河南信安通信技术股份有限公司 一种多维的网络安全预测方法
CN111447168A (zh) * 2019-01-16 2020-07-24 河南信安通信技术股份有限公司 一种多维的网络安全预测方法
CN109818984A (zh) * 2019-04-10 2019-05-28 吉林亿联银行股份有限公司 漏洞的防御方法及装置
CN110351237A (zh) * 2019-05-23 2019-10-18 中国科学院信息工程研究所 用于数控机床的蜜罐方法及装置
CN110751570A (zh) * 2019-09-16 2020-02-04 中国电力科学研究院有限公司 一种基于业务逻辑的电力业务报文攻击识别方法及***
CN110830457A (zh) * 2019-10-25 2020-02-21 腾讯科技(深圳)有限公司 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质
CN110830457B (zh) * 2019-10-25 2022-06-21 腾讯科技(深圳)有限公司 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质
CN111726264A (zh) * 2020-06-18 2020-09-29 中国电子科技集团公司第三十六研究所 网络协议变种检测方法、装置、电子设备和存储介质
CN111726264B (zh) * 2020-06-18 2021-11-19 中国电子科技集团公司第三十六研究所 网络协议变种检测方法、装置、电子设备和存储介质
CN111835777A (zh) * 2020-07-20 2020-10-27 深信服科技股份有限公司 一种异常流量检测方法、装置、设备及介质
CN111835777B (zh) * 2020-07-20 2022-09-30 深信服科技股份有限公司 一种异常流量检测方法、装置、设备及介质
CN112165459A (zh) * 2020-09-08 2021-01-01 广州锦行网络科技有限公司 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法
CN112165459B (zh) * 2020-09-08 2021-06-11 广州锦行网络科技有限公司 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法
CN112367307A (zh) * 2020-10-27 2021-02-12 中国电子科技集团公司第二十八研究所 一种基于容器级蜜罐群的入侵检测方法及***
CN112367307B (zh) * 2020-10-27 2023-05-23 中国电子科技集团公司第二十八研究所 一种基于容器级蜜罐群的入侵检测方法及***
CN112333196A (zh) * 2020-11-10 2021-02-05 恒安嘉新(北京)科技股份公司 一种攻击事件溯源方法、装置、电子设备和存储介质
CN112333196B (zh) * 2020-11-10 2023-04-04 恒安嘉新(北京)科技股份公司 一种攻击事件溯源方法、装置、电子设备和存储介质
CN112632531A (zh) * 2020-12-15 2021-04-09 平安科技(深圳)有限公司 恶意代码的识别方法、装置、计算机设备及介质
CN112910895A (zh) * 2021-02-02 2021-06-04 杭州安恒信息技术股份有限公司 网络攻击行为检测方法、装置、计算机设备和***
CN112910895B (zh) * 2021-02-02 2022-11-15 杭州安恒信息技术股份有限公司 网络攻击行为检测方法、装置、计算机设备和***
CN113395288A (zh) * 2021-06-24 2021-09-14 浙江德迅网络安全技术有限公司 基于sdwan主动防御ddos***
CN115529145A (zh) * 2021-06-25 2022-12-27 ***通信集团广东有限公司 网络安全入侵检测与防护***及方法
CN113422787B (zh) * 2021-08-24 2021-11-09 广州乐盈信息科技股份有限公司 一种用于无源光网络***的智能防攻击方法
CN113422787A (zh) * 2021-08-24 2021-09-21 广州乐盈信息科技股份有限公司 一种用于无源光网络***的智能防攻击方法
CN114006766A (zh) * 2021-11-04 2022-02-01 杭州安恒信息安全技术有限公司 网络攻击检测方法、装置、电子设备及可读存储介质
CN114205127A (zh) * 2021-11-29 2022-03-18 中国铁路北京局集团有限公司北京通信段 一种针对铁路的网络安全监测方法及***
CN114866349A (zh) * 2022-07-06 2022-08-05 深圳市永达电子信息股份有限公司 一种网络信息过滤方法
CN114866349B (zh) * 2022-07-06 2022-11-15 深圳市永达电子信息股份有限公司 一种网络信息过滤方法

Also Published As

Publication number Publication date
CN108092948B (zh) 2021-04-02

Similar Documents

Publication Publication Date Title
CN108092948A (zh) 一种网络攻击模式的识别方法和装置
Vidal et al. Adaptive artificial immune networks for mitigating DoS flooding attacks
Brewer Advanced persistent threats: minimising the damage
CN107659583B (zh) 一种检测事中攻击的方法及***
Schmittner et al. Security application of failure mode and effect analysis (FMEA)
CN111490970A (zh) 一种网络攻击的溯源分析方法
Eian et al. Cyber attacks in the era of covid-19 and possible solution domains
WO2020060503A1 (en) An email threat simulator for identifying security vulnerabilities in email protection mechanisms
CN105939311A (zh) 一种网络攻击行为的确定方法和装置
CN106713358A (zh) 一种攻击性检测方法及装置
CN107493256A (zh) 安全事件防御方法及装置
Grechishnikov et al. Algorithmic model of functioning of the system to detect and counter cyber attacks on virtual private network
CN113079185B (zh) 实现深度数据包检测控制的工业防火墙控制方法及设备
Innab et al. Hybrid system between anomaly based detection system and honeypot to detect zero day attack
CN108200095A (zh) 互联网边界安全策略脆弱性确定方法及装置
CN114143096A (zh) 安全策略配置方法、装置、设备、存储介质及程序产品
Adeleke Intrusion detection: issues, problems and solutions
CN117544335A (zh) 诱饵激活方法、装置、设备及存储介质
KR102377784B1 (ko) 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템
CN115694965A (zh) 一种电力行业网络安全密网***
CN115396167A (zh) 基于大数据的网络信息安全防护方法
Bendiab et al. IoT Security Frameworks and Countermeasures
Bokovnya et al. Taxonomy of attacks on cyber-physical systems: Technological and legal aspects
CN113411288A (zh) 设备安全的检测方法、装置和存储介质
Wisthoff Ddos countermeasures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant