CN113014574B - 一种域内探测操作检测方法、装置及电子设备 - Google Patents
一种域内探测操作检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN113014574B CN113014574B CN202110201588.7A CN202110201588A CN113014574B CN 113014574 B CN113014574 B CN 113014574B CN 202110201588 A CN202110201588 A CN 202110201588A CN 113014574 B CN113014574 B CN 113014574B
- Authority
- CN
- China
- Prior art keywords
- intra
- domain
- detection
- domain detection
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种域内探测操作检测方法,包括:获取域内探测操作;确定域内探测操作对应的操作行为组合类型;将预设恶意组合类型与操作行为组合类型进行匹配;在预设恶意组合类型与操作行为组合类型匹配成功的情况下,判定域内探测操作为恶意域内探测操作;本方法利用域内探测操作的操作行为组合类型对恶意域内探测操作进行检测,由于网络攻击人员以组合的形式执行恶意域内探测操作,因此本方法利用预设恶意组合类型对操作行为组合类型进行匹配检测,并在匹配成功后才判定为恶意域内探测操作,提升了恶意域内探测操作检测的准确度;本发明还提供一种域内探测操作检测装置、电子设备及计算机可读存储介质,具有上述有益效果。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种域内探测操作检测方法、装置、电子设备及计算机可读存储介质。
背景技术
域内探测操作原先用于网络管理及开发,为网络管理人员及开发人员设置,每种域内探测操作均可获取丰富的内部网络信息。由于获取内部网络信息较为高效,同时可以暴露出内部网络中存在的漏洞,因此域内探测操作也常常被用于内部网络攻击。网络攻击人员利用域内探测操作不仅可轻松获取内部网络的信息及漏洞,同时也可将恶意的域内探测操作隐藏于正常的内部网络管理中。因此在网络安全检测中,对域内探测操作的检测尤为重要。
目前,对恶意域内探测操作的检测主要针对于是否使用域内探测操作,当域内探测操作出现时就判定其为恶意域内探测操作。由于在内部网络管理场景中也存在使用域内探测操作的情况,因此该方法难以区分正常的域内探测操作及恶意的域内探测操作,降低了域内探测操作检测的准确度。
发明内容
本发明的目的是提供一种域内探测操作检测方法、装置、电子设备及计算机可读存储介质,本方法利用恶意组合类型对域内探测操作的操作行为组合类型进行匹配,并在匹配成功后才判定匹配成功的域内探测操作为恶意域内探测操作,提升了恶意域内探测检测的准确度。
为解决上述技术问题,本发明提供一种域内探测操作检测方法,包括:
获取域内探测操作;
确定所述域内探测操作对应的操作行为组合类型;
将预设恶意组合类型与所述操作行为组合类型进行匹配;
在所述预设恶意组合类型与所述操作行为组合类型匹配成功的情况下,判定所述域内探测操作为恶意域内探测操作。
可选地,在确定所述域内探测操作对应的操作行为组合类型之前,还包括:
利用所述域内探测操作的时间信息,判断所述域内探测操作是否在预设时间段内执行;
若是,则执行所述确定所述域内探测操作对应的操作行为组合类型的步骤。
可选地,所述获取域内探测操作,包括:
获取日志数据;
利用所述日志数据的操作类型,判断所述日志数据对应的操作是否为所述域内探测操作;
若是,则将所述日志数据对应的操作作为所述域内探测操作。
可选地,在判定所述域内探测操作为恶意域内探测操作之后,还包括:
执行提示存在所述恶意域内探测操作的告警操作。
可选地,所述确定所述域内探测操作对应的操作行为组合类型,包括:
将所述域内探测操作与预设域内探测行为包含的操作类型进行匹配;
在所述域内探测操作与所述操作类型匹配成功的情况下,利用匹配成功的域内探测操作对应的预设域内探测行为确定所述操作行为组合类型。
可选地,在利用匹配成功的域内探测操作对应的预设域内探测行为确定所述操作行为组合类型之前,还包括:
对匹配成功的域内探测操作的操作特征进行统计,得到第一统计数据;
判断所述第一统计数据是否大于预设阈值;
若是,则执行所述利用所述预设域内探测行为确定所述操作行为组合类型的步骤。
可选地,在所述预设域内探测行为为SMB匿名登录行为的情况下,所述确定所述域内探测操作对应的操作行为组合类型,包括:
将所述域内探测操作与所述SMB匿名登录行为包含的操作类型进行匹配;
对匹配成功的域内探测操作的操作特征进行统计,得到所述第一统计数据;所述操作特征包括所述域内探测操作的登录频率、登录目标主机数量及登录失败比例;
判断所述第一统计数据是否大于预设阈值;
若是,则执行所述利用所述预设域内探测行为确定所述操作行为组合类型的步骤。
可选地,所述对所述域内探测操作进行统计,得到第一统计数据,包括:
对匹配成功的域内探测操作的操作特征进行统计,得到第二统计数据;
对所述第二统计数据进行加权处理,得到所述第一统计数据。
可选地,在所述预设域内探测行为为域内账号探测行为的情况下,所述确定所述域内探测操作对应的操作行为组合类型,包括:
将所述域内探测操作与所述域内账号探测行为包含的操作类型进行匹配;
对匹配成功的域内探测操作的操作特征进行统计,得到所述第二统计数据;所述操作特征包括所述域内探测操作的执行次数、执行频率及枚举账号的个数;
对所述第二统计数据进行加权处理,得到所述第一统计数据;
判断所述第一统计数据是否大于预设阈值;
若是,则执行所述利用所述预设域内探测行为确定所述操作行为组合类型的步骤。
本发明还提供一种域内探测操作检测装置,包括:
获取模块,用于获取域内探测操作;
组合确定模块,用于确定所述域内探测操作对应的操作行为组合类型;
匹配模块,用于利用预设恶意组合类型与所述操作行为组合类型进行匹配;
判定模块,用于在所述预设恶意组合类型与所述操作行为组合类型匹配成功的情况下,判定所述域内探测操作为恶意域内探测操作。
本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的域内探测操作检测方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述所述的域内探测操作检测方法。
本发明提供一种域内探测操作检测方法,包括:获取域内探测操作;确定所述域内探测操作对应的操作行为组合类型;将预设恶意组合类型与所述操作行为组合类型进行匹配;在所述预设恶意组合类型与所述操作行为组合类型匹配成功的情况下,判定所述域内探测操作为恶意域内探测操作。
可见,本方法利用域内探测操作的操作行为组合类型,对正常的域内探测操作和恶意的域内探测操作进行区分。由于在对内部网络攻击时,网络攻击人员会利用内网渗透工具以组合的形式执行多种恶意域内探测操作,因此本方法利用预设恶意组合类型,对域内探测操作的操作行为组合类型进行匹配,并在匹配成功后才判定匹配上的域内探测操作为恶意域内探测操作,可有效区分正常的域内探测操作及恶意的域内探测操作,并可有效提升域内探测操作检测的准确度。本发明还提供一种域内探测操作检测装置、电子设备及计算机可读存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种域内探测操作检测方法的流程图;
图2为本发明实施例所提供的另一种域内探测操作检测方法的流程图;
图3为本发明实施例所提供的一种域内探测操作检测装置的结构框图;
图4为本发明实施例所提供的一种电子设备的结构框图;
图5为本发明实施例所提供的一种电子设备的具体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
域内探测操作是一种用于收集域内网络信息的操作,原先用于网络管理及开发,为网络管理人员及开发人员设置,每种域内探测操作均可获取丰富的内部网络信息。由于获取内部网络信息较为高效,同时可以暴露出内部网络中存在的漏洞,因此域内探测操作也常常被用于内部网络攻击。网络攻击人员利用域内探测操作不仅可轻松获取内部网络的信息及漏洞,同时也可将恶意的域内探测操作隐藏于正常的内部网络管理中。因此在网络安全检测中,对域内探测操作的检测尤为重要。
目前,对域内探测操作的检测主要针对于域内探测操作的使用情况,当检测到域内探测操作被执行时就判定其为恶意域内探测操作。然而域内环境比较复杂,除了恶意操作外,这种域内探测操作也可能出现在正常的内网管理中,例如域内一些常规操作也会用到枚举域内用户这种域内探测操作。因此,对域内探测操作使用情况进行检测的方案不仅容易产生大量告警信息,同时也会产生大量误报,降低网络安全人员的管理排查效率。有鉴于此,本发明提供一种域内探测检测方式,根据域内探测操作的组合类型对正常的域内探测操作及恶意的域内探测操作进行区分,可有效提升而已域内探测检测的准确度,进而提升网络安全人员的工作效率。请参考图1,图1为本发明实施例所提供的一种域内探测操作检测方法的流程图,该方法可以包括:
S101、获取域内探测操作。
需要说明的是,本发明实施例并不限定域内探测操作的数量,该数量可为任意数量,用户可根据实际应用需求进行设置。考虑到本发明实施例利用域内探测操作的组合类型对正常的域内探测操作及恶意的域内探测操作进行区分,而为了构成组合则至少需要两个域内探测操作,因此在本发明实施例中,待检测的域内探测操作的数量可以至少为两个。本发明实施例也不限定待检测的域内探测操作是否为相同种类的域内探测操作,当仅对一种域内探测操作的数量组合进行检测时,待检测的域内探测操作可以只有一种类型,到需要对多种域内探测操作的类型组合进行检测时,待检测的域内探测操作也可以有多种类型。考虑到在内网攻击中,网络攻击人员会利用脚本工具或其他内网渗透工具以组合的形式执行多种域内探测操作,因此在本发明实施例中需要对域内探测操作的类型组合进行检测,而在本发明实施例中待检测的域内探测操作可以有多种。本发明实施例也不限定域内探测操作的具体种类,例如域内探测操作可以为账号枚举操作、SMB匿名登录、端口扫描或其他种类的域内探测操作。其中,SMB(Server Message Block)是一种网络协议,可用于Web连接和客户端与服务器之间的信息沟通。本发明实施例也不限定各种域内探测操作的具体实现方式,用户可参考域内探测操作的相关技术。
进一步,本发明实施例并不限定域内探测操作的获取方式,例如可以通过读取管道数据流的方式获取,或者通过读取日志获取,也可以通过其他方式获取,其中,管道(Pipeline)是一系列将标准输入输出链接起来的进程,其中每一个进程被直接作为下一个进程的输入;日志(Logfile)是记录在操作***或其他软件运行中发生的事件或在通信中不同设备之间的消息的文件,具有处理历史数据、追踪诊断问题以及理解***活动等重要作用。由于读取日志方便快捷,因此在本发明实施例中可以采用读取日志的方式获取域内探测操作。本发明实施例也不限定利用日志获取域内探测操作的具体过程,例如可以通过日志数据的操作类型,判断该日志数据是否为域内探测操作,也可以利用预设的域内探测操作类型,在日志数据中进行匹配,并将匹配成功的日志数据作为域内探测操作。由于直接利用日志数据的操作类型进行判断较为简单,因此在本发明实施例中可以采用日志数据的操作类型判断该数据是否为域内探测操作。
进一步,本发明实施例并不限定域内探测操作是否需要在预设时间段内执行,当域内探测操作的种类较少,域内探测操作的组合类型较为简单时,或是恶意域内探测操作之间的时间关联性较为薄弱,或是域内探测操作检测的精度已符合要求时,可不要求域内探测操作在预设时间段内执行;当域内探测操作的种类较多,域内探测操作的组合类型较为复杂,或是恶意域内探测操作之间的时间关联性较为紧密,或是需要提升域内探测操作的准确度时,可要求域内探测操作在预设时间段内执行。考虑到网络攻击人员一般采用脚本程序或其他内网渗透工具,将在短期内恶意地执行多种域内探测操作,以在短时间内从多角度获取内部网络信息,因此恶意域内探测操作不仅种类较多,同时也具有紧密的时间关联性,一般在短时间内集中出现。综合考虑以上情况后,为了进一步提升域内探测检测的准确性,在本发明实施例中可以要求域内探测操作需要在预设时间段内执行。需要说明的是,本发明实施例并不限定预设时间段的具体数值,用户可根据实际应用需求进行设置。本发明实施例也不限定检测域内探测操作是否在预设时间段内执行的具体方式,例如可以在获取域内探测操作时,便利用域内探测操作的时间信息确定该域内探测操作是否在预设时间段内执行,若是则保留,若否则继续获取下一域内探测操作;也可以先对待检测的域内探测操作进行获取,然后利用所有获取到的域内探测操作的时间信息,判断这些域内探测操作是否在预设时间段内执行,并只对在预设时间段内执行的域内探测操作进行后续的检测操作。由于先对域内探测操作进行获取,然后再利用域内探测操作的时间信息判断其是否在预设时间段内执行的方式较为简单,易于实现,因此在本发明实施例中可以采用先对域内探测操作进行获取,然后再利用域内探测操作的时间信息判断其是否在预设时间段内执行的方式,检测域内探测操作是否在预设时间段内执行。当然,在另外一些实施例中,当域内探测操作是通过日志数据获取到的,也可首先利用日志数据的时间信息及预设时间段,确定日志数据是否为在预设时间段内生成的,若是则保留该日志数据,若否则忽略该日志数据,最后利用预设时间段内生成的日志数据的操作类型,判断这些日志数据是否为域内探测操作,并最终得到在预设时间段内出现的域内探测操作。
S102、确定域内探测操作对应的操作行为组合类型。
由于网络攻击人员一般会采用脚本程序或其他内网渗透工具执行多种域内探测操作,从多个角度收集各种内部网络信息,例如使用域渗透工具BloodHound执行多种域内探测操作,可同时收集内部网络中的用户名、用户组、域控制器等信息,因此本发明实施例利用域内探测操作的操作行为组合类型,对恶意域内探测操作进行检测,可有效判断出内部网络中是否存在利用脚本程序及其他域内探测软件进行域内探测的情况,进而提升域内探测检测的准确度。
需要说明的是,本发明实施例并不限定该操作行为组合类型的具体内容,例如可以包含为数量,也可以包含为种类组合信息,也可以同时包含种类组合信息和数量信息。当仅对某个种类的域内探测操作的数量进行检测时,操作行为组合类型可以包含数量,当共同对多个种类的域内探测操作进行检测时,操作行为组合类型可以包含这些域内探测操作的种类组合信息,当然,也可以包含同种域内探测操作的数量信息,即操作行为组合类型也可同时包含种类和数量信息。需要说明的是,本发明实施例并不限定具体的种类组合信息,该信息与具体检测的域内探测操作的种类有关,用户可根据实际选择检测的域内探测操作进行选择。本发明实施例也不限定域内探测操作的种类组合信息包含的具体内容,例如可以只包含获取到的所有域内探测操作的种类,也可以包含利用排列组合方式对获取到的所有域内探测操作的种类生成的所有组合类型。
进一步,本发明实施例并不限定是否需要对域内探测操作进行一定预处理,将多个域内探测操作整理为某种预设的域内探测行为,再根据域内探测行为确定操作行为组合类型,当域内探测操作种类较少,进而操作行为组合类型的数量较少时,可无需对域内探测操作进行预处理;当域内探测操作种类较多时,进而操作行为组合类型的数量较多时,也可对域内探测操作进行预处理,将多个域内探测操作整理为某种预设的域内探测行为,再根据域内探测行为确定操作行为组合类型。本发明实施例也不限定具体的预处理方式,例如该预处理方式可以为判断域内探测操作是否包含特殊字段,也可以判断域内探测操作的数量是否大于预设阈值。
S103、将预设恶意组合类型与操作行为组合类型进行匹配。
需要说明的是,本发明实施例并不限定预设恶意组合类型的数量,用户可根据实际应用需求设置任意数量的预设恶意组合类型。本发明实施例也不限定预设恶意组合类型的具体内容,该内容首先与需要检测的域内探测操作的种类有关,其次与网络攻击人员所使用的脚本工具或其他内网渗透软件的工作方式有关,用户可参考内网渗透软件的相关技术并结合实际检测的域内探测操作的种类,对预设恶意组合类型的具体内容进行设置。本发明实施例也不限定预设恶意组合类型的设置方式,例如可利用配置文件等人为设置的方式进行设置,当然也可以利用机器学习、神经网络等模型对样本数据进行学习,并利用学习结果进行自动设置。
进一步,本发明实施例并不限定预设恶意组合类型与操作行为组合类型匹配成功的判定标准,例如可以确定预设恶意组合类型包含的信息是否与操作行为组合类型包含的信息完全相同,并在确定完全相同时判定匹配成功,也可以确定操作行为组合类型中是否包含预设恶意组合类型的信息,如果包含则判定匹配成功。
S104、在预设恶意组合类型与操作行为组合类型匹配成功的情况下,判定域内探测操作为恶意域内探测操作。
本发明实施例并不限定判定域内探测操作为恶意域内探测操作后的步骤,例如可以输出这些恶意域内探测操作,也可以执行提示存在恶意域内探测操作的告警操作。由于直接执行告警操作便于网络安全人员立即进行排查,因此在本发明实施例中,在判定域内探测操作为恶意域内探测操作之后,可直接进行告警操作。
在一种可能的情况中,在判定域内探测操作为恶意域内探测操作之后,还可以包括:
步骤11:执行提示存在恶意域内探测操作的告警操作。
需要说明的是,本发明实施例并不限定告警操作的具体方式,例如可显示告警信息,也可以语音播放告警信息,也可采用其他告警方式。
基于上述实施例,本方法利用域内探测操作的操作行为组合类型,对正常的域内探测操作和恶意的域内探测操作进行区分。由于在内网攻击中,网络攻击人员会利用内网渗透工具,以组合的形式同时执行多种恶意域内探测操作,因此本方法在获取到待检测的域内探测操作后,便首先确定域内探测操作的操作行为组合类型,并利用预设恶意组合类型对该操作组合类型进行匹配检测。当预设恶意组合类型与该操作组合类型匹配成功时,才判定域内探测行为为恶意域内探测行为,有效提升了恶意域内探测检测的准确度。
基于上述实施例,考虑到日志的读取方便快捷,通过读取日志数据的方式进行域内探测操作获取易于实现,因此本发明实施例可通过日志数据进行域内探测操作的获取。下面对这一过程进行介绍,在一种可能的情况中,获取域内探测操作的过程可以包括:
S301、获取日志数据。
需要说明的是,本发明实施例并不限定日志数据的具体内容及形式,由于日志数据不仅记录通信中不同设备之间的信息,还记录操作***及其他软件运行中发生的事件,因此在日志数据中不仅包含域内探测操作的信息,也包含操作***及其他软件的信息,而不同的信息之间存在着内容及形式上的差异,用户可参考日志数据的相关技术,而在本发明实施例中,日志数据仅需满足包含域内探测操作的信息即可。
S302、利用日志数据的操作类型,判断日志数据对应的操作是否为域内探测操作;若是,则进入步骤S303;若否,则对下一日志数据执行操作类型判断操作。
需要说明的是,本发明实施例并不限定日志数据的操作类型的具体形式,例如可以是日志数据对应操作执行的函数名,也可以是日志数据对应操作调用的对象名,也可以是函数名及对象名的组合,用户可根据实际应用需求进行选择。
S303、将日志数据对应的操作作为域内探测操作。
基于上述实施例,本方法可通过读取日志的方式,实现对域内探测操作的快速获取,可提升域内探测操作检测的效率,并可帮助网络管理人员及时定位恶意域内探测操作。
基于上述实施例,考虑到网络攻击人员一般采用脚本程序或其他内网渗透工具,将在短期内恶意地执行多种域内探测操作,以在短时间内从多角度获取内部网络信息,因此恶意域内探测操作不仅种类较多,同时也具有紧密的时间关联性。为了获取到时间关联性较强的域内探测操作,在本发明实施例中,还可以与域内探测操作的时间信息进行检测,以确保域内探测操作在预设时间段内执行。下面将对域内探测操作时间信息的检测过程进行介绍,在一种可能的情况中,在获取待检测的域内探测操作之后,在确定域内探测操作对应的操作行为组合类型之前,还可以包括:
S401、利用域内探测操作的时间信息,判断域内探测操作是否在预设时间段内执行;若是,则进入步骤S402,若否,则进入步骤S403。
需要说明的是,本发明实施例并不限定时间信息的具体形式,例如可以为时间戳的形式,也可为包含日期及具体时间的形式,只要可用于判断域内探测操作是否在预设时间段内执行即可。
S402、执行确定域内探测操作对应的操作行为组合类型的步骤。
S403、不执行确定域内探测操作对应的操作行为组合类型的步骤。
基于上述实施例,本方法可对域内探测操作的时间信息进行检测,以判定域内探测操作是否在预设事件段内执行。由于恶意域内探测操作不仅具有较多的种类,同时也具有紧密的时间关联性,因此本方法对域内探测操作的时间信息进行检测,可有效确保获取到域内探测操作均具有紧密的时间联系性,进而可有效提升恶意域内探测操作检测的准确性。
基于上述实施例,当内网中存在多种域内探测操作,进而可能存在大量操作行为组合类型,降低了域内探测检测的效率,因此在本发明实施例中,可首先利用域内探测操作确定预设域内探测行为,并利用预设域内探测行为确定操作行为组合类型,可减少组合类型的数量。在一种可能的情况中,确定域内探测操作对应的操作行为组合类型,可以包括:
S201、将域内探测操作与预设域内探测行为包含的操作类型进行匹配。
域内探测操作的种类较多,进而导致域内探测操作的操作行为组合类型数量较大,为恶意域内探测操作的检测增添了麻烦。而在本发明实施例中,可将多种域内探测操作整理为某个预设域内探测行为,并利用预设域内探测行为的类型确定操作行为类型组合,由于预设域内探测行为的种类少于域内探测操作的种类,因此可有效减少操作行为组合类型的数量,进而减少恶意域内探测操作检测的复杂度。
需要说明的是,本发明实施例并不限定具体的预设域内探测行为,该预设域内探测行为可自由设定,用户可根据实际的应用需求进行设置,例如在一种可能的情况中,预设域内探测行为可以有账号探测、***信息探测、服务探测、域控探测和域内策略收集等。本发明实施例也不限定预设域内探测行为包含的操作类型,该操作类型也可自由设定,用户可根据实际的应用需求进行设置。例如在一种可能的情况中,预设域内探测行为可包含账号探测、***信息探测、服务探测、域控探测和域内策略收集,其中账号探测可包含账号枚举类型的操作,***信息探测可包含SMB匿名登录类型的操作,服务探测可包含SPN扫描、端口扫描、共享目录探测的操作,域控探测可包含定位域管理员、域控机器类型的操作,域内策略收集可包含收集域内域名、查询域内所有计算机名类型的操作。其中,SPN扫描(Service Principal Names)可以查询域内所有注册的服务。
进一步,本发明实施例并不限定在域内探测操作与操作类型匹配成功后,是否需要满足其他预设条件才可确定该域内探测操作对应该操作类型的预设域内探测行为,当某一预设域内探测行为在域内探测操作与操作类型匹配成功后便可确定时,可无需满足其他预设条件,当某一预设域内探测行为需要精确匹配时,也可以在满足其他预设条件后才进行判定。为了进一步准确描述预设域内探测行为,并最终提升域内探测检测的准确度,在本发明实施例中,还可以要求匹配成功的域内探测操作满足其他预设条件。需要说明的是,本发明实施例并不限定具体的预设条件,例如可以为对域内探测操作进行统计得到的统计结果符合预设阈值要求,也可为包含某些特殊字段,也可为其他预设条件。由于域内探测操作包含的内容较多,若对域内探测操作中包含的特殊字段进行检测效率较低,而对域内探测操作进行统计,并利用预设阈值对统计结果进行检测可确保检测高效进行,因此在本发明实施例中,类型匹配成功的域内探测操作还可满足的预设条件可以为:对域内探测操作进行统计得到的统计结果符合预设阈值要求。
需要说明的是,本发明实施例并不限定是否可以依据域内探测操作中包含的具体操作特征进行统计,其中,该操作特征可以为域内探测操作在执行动作上的操作特征,也可以为域内探测操作在携带数据上的操作特征。当对域内探测操作自身的统计数据已能够满足需求时,可无需依据域内探测操作的具体执行内容中包含的进行统计,当需要精确描述预设的域内探测行为时,也可以依据域内探测操作中包含的具体操作特征进行统计。在本发明实施例汇中,为了更加准确地描述预设域内探测行为,可对域内探测操作的操作特征进行统计。
S202、在域内探测操作与操作类型匹配成功的情况下,利用匹配成功的域内探测操作对应的预设域内探测行为确定操作行为组合类型。
基于上述实施例,本方法将域内探测操作与预设域内探测行为的操作类型进行匹配,并将多个匹配成功的域内探测操作统一归类为某种预设域内探测行为,进而利用预设域内探测行为确定操作行为组合类型。由于预设域内探测行为的种类少于域内探测操作种类,因此利用预设域内探测行为进行确定可有效减少操作行为组合类型的数量,进而减少恶意域内探测操作检测的复杂度,提升域内探测操作检测的效率。
基于上述实施例,考虑到某些预设域内探测行为无法通过确定域内探测操作是否匹配成功的方式进行确定,还需要对匹配成功的域内探测操作的操作特征进行再次统计,并对统计结果进行检测后才可确定域内存在此种类型的预设域内探测行为。下面介绍对域内探测操作的操作特征进行统计,并对统计结果进行检测的过程。在一种可能的情况中,在利用匹配成功的域内探测操作对应的预设域内探测行为确定操作行为组合类型之前,还可以包括:
S501、匹配成功的域内探测操作的操作特征进行统计,得到第一统计数据。
在本发明实施例中,匹配成功的域内探测操作还需经过操作特征的统计,并在统计结果通过验证后,才可与预设域内探测行为确定对应关系。
需要说明的是,本发明实施例并不限定具体的操作特征,该操作特征可以为执行域内探测操作的次数、频率等;当域内探测操作具有成功或失败的标识时,该操作特征也可以为域内探测操作的成功比例或失败比例;当域内探测操作携带有目标主机的具体信息时,该操作特征也可以为域内探测操作访问的目标主机数量。可以理解的是,不同类型的域内探测操作可能具有不同的执行方式,同时也可能携带有不同的信息内容,因此只要该操作特征能够表示域内探测操作的在执行动作方面的操作特征,或是在携带数据方面的操作特征即可。
进一步,本发明实施例并不限定是否需要对统计数据进行加权处理,当某一域内探测操作的数量达到预设阈值,便可确定某一预设域内探测行为时,可以需要对统计数据进行加权操作,当多种域内探测操作具有关联时,也可以对统计数据进行加权操作以表示关联关系。为了提升检测精度,在本发明实施中,可以对统计数据进行加权操作。
S502、判断第一统计数据是否大于预设阈值;若是,则进入步骤S503;若否,则进入步骤S504。
当第一统计数据大于预设阈值时,说明域内探测操作可与操作类型对应的预设域内探测行为进行匹配,此时便可利用预设域内探测操作行为确定操作行为组合类型。
S503、执行利用预设域内探测行为确定操作行为组合类型的步骤。
S504、不执行利用预设域内探测行为确定操作行为组合类型的步骤。
基于上述实施例,本方法在域内探测操作和预设域内探测行为包含的操作类型匹配成功后,还对域内探测操作的操作特征进行了统计,并根据统计结果进一步判定域内是否存在预设域内探测行为。由于某些域内探测行为无法通过简单的匹配结果进行判定,因此本方法可根据统计结果进一步确定预设域内探测行为是否在域内出现,可有效提升预设域内探测行为的判定准确度,并最终提升域内探测检测的准确度。
基于上述实施例,在对域内探测操作的操作特征进行统计时,还可对统计结果进行加权处理,以进一步提升预设域内探测行为的检测准确度。下面对上述过程进行介绍,在一种可能的情况中,对匹配成功的域内探测操作进行统计,得到第一统计数据,还可以包括:
S601、对匹配成功的域内探测操作的操作特征进行统计,得到第二统计数据。
S602、对第二统计数据进行加权处理,得到第一统计数据。
需要说明的是,本发明实施例并不限定具体的权值,用户可根据实际应用需求进行设置。本发明实施例也不限定加权处理的具体过程,用户可参考加权计算的相关技术。
基于上述实施例,本方法可对域内探测操作操作特征的统计结果进行加权计算,可进一步提升预设域内探测行为的判定准确度,并最终提升域内探测操作检测的准确度。
基于上述实施例,下面结合另一具体的例子解释上述域内探测操作操作特征的统计和检测过程。在一种可能的情况中,在预设域内探测行为为SMB匿名登录行为的情况下,确定域内探测操作对应的操作行为组合类型,包括:
S801、将域内探测操作与SMB匿名登录行为包含的操作类型进行匹配;
S802、对匹配成功的域内探测操作的操作特征进行统计,得到第一统计数据;操作特征包括域内探测操作的登录频率、登录目标主机数量或登录失败比例中的一种或多种的组合;
S803、判断第一统计数据是否大于预设阈值;若是,则进入步骤S804;若否,则进入步骤S805。
S804、执行利用预设域内探测行为确定操作行为组合类型的步骤。
S805、不执行利用预设域内探测行为确定操作行为组合类型的步骤。
下面具体解释上述将域内探测操作与预设域内探测行为包含的操作类型进行匹配的过程。在另一种情况中,预设域内探测行为为恶意SMB匿名登录,包含的操作类型有SMB匿名登录类型的操作,此时可利用预设时间段,以及SMB匿名登录操作中的时间信息、目标主机信息及登录失败的标识,得到如下统计数据:SMB匿名操作在预设时间段内登录的目标主机数、SMB匿名操作在预设时间段内登录频率以及SMB匿名操作在预设时间段内登录失败比例。最后,判断以上统计数据是否大于预设阈值,并在统计数据大于预设阈值时判定存在恶意SMB匿名登录。
基于上述实施例,本方法在利用SMB匿名登录行为包含的操作类型进行匹配后,还对匹配成功的域内探测操作的操作特征进行统计,并对统计结果进行进一步检测。上述过程可有效提升域内账号探测行为这一预设域内探测行为的判定准确度,并最终提升域内探测操作的检测准确度。
基于上述实施例,下面结合具体的例子解释上述域内探测操作操作特征的统计和检测过程。在一种可能的情况中,在预设域内探测行为为域内账号探测行为的情况下,确定域内探测操作对应的操作行为组合类型,包括:
S701、将域内探测操作与域内账号探测行为包含的操作类型进行匹配;
S702、对匹配成功的域内探测操作的操作特征进行统计,得到第二统计数据;操作特征包括域内探测操作的执行次数、执行频率或枚举账号的个数中的一种或多种的组合;
S703、对第二统计数据进行加权处理,得到第一统计数据;
S704、判断第一统计数据是否大于预设阈值;若是,则进入步骤S705;若否,则进入步骤S706。
S705、执行利用预设域内探测行为确定操作行为组合类型的步骤。
S706、不执行利用预设域内探测行为确定操作行为组合类型的步骤。
下面具体解释上述将域内探测操作与预设域内探测行为包含的操作类型进行匹配的过程。在这种情况中,预设域内探测行为是恶意SID枚举(也就是域内账号探测行为),其中,SID(Security Identifiers)为标识用户、组合计算机账号的唯一号码。在SID枚举这一预设域内探测行为中,包含了Lasrlookupsid这一枚举SID的操作,其中,lookupsid为MSF(Microsoft Solution Framework,微软解决方案框架)中的smb_lookupsid模块提供的功能,该模块利用DEC/RPC协议的LSARPC管道进行数据传输,DCE/RPC(DistributedComputing Environment/Remote Procedure Calls)是一种用于分布式框架的远程调用过程,LSARPC(Local Security Authority/Remote Procedure Calls)是本地安全机构远程协议。在这种情况中,首先获取待检测的日志数据,并利用预设的Lasrlookupsid操作类型对Lasrlookupsid操作进行匹配。在匹配成功之后利用预设时间段、Lasrlookupsid操作的时间信息、Lasrlookupsid操作对应的IP地址进行统计,得到如下统计数据:同一个IP地址在预设时间段中的执行次数,在预设时间段中的执行频率及枚举SID的数量。最后,对以上统计数据进行加权处理,并在统计数据大于预设阈值时判定存在恶意SID枚举行为。
基于上述实施例,本方法在利用域内账号探测行为包含的操作类型进行匹配后,还对匹配成功的域内探测操作的操作特征进行统计,并对统计结果进行了加权处理及进一步检测。上述过程可有效提升域内账号探测行为这一预设域内探测行为的判定准确度,并最终提升域内探测操作的检测准确度。
下面结合具体的实例解释上述域内探测操作检测的过程,请参考图2,图2为本发明实施例所提供的另一种域内探测操作检测方法的流程图。该过程可以包括:
1、获取域内探测操作;
2、将域内探测操作与预设域内探测行为包含的操作类型进行匹配;
3、在域内探测操作与操作类型匹配成功的情况下,对匹配成功的域内探测操作进行统计,得到第二统计数据;
4、对第二统计数据进行加权处理,得到第一统计数据;
5、判断第一统计数据是否大于预设阈值;若是,则执行步骤6;若否则结束;
6、将预设恶意组合类型与操作行为组合类型进行匹配;
7、在预设恶意组合类型与操作行为组合类型匹配成功的情况下,判定域内探测操作为恶意域内探测操作。
下面对本发明实施例提供的一种域内探测操作检测装置、电子设备及计算机可读存储介质进行介绍,下文描述的域内探测操作检测装置、电子设备及计算机可读存储介质与上文描述的域内探测操作检测方法可相互对应参照。
请参考图3,图3为本发明实施例所提供的一种域内探测操作检测装置的结构框图,该装置可以包括:
获取模块401,用于获取域内探测操作;
组合确定模块402,用于确定域内探测操作对应的操作行为组合类型;
匹配模块403,用于利用预设恶意组合类型与操作行为组合类型进行匹配;
判定模块404,用于在预设恶意组合类型与操作行为组合类型匹配成功的情况下,判定域内探测操作为恶意域内探测操作。
基于上述实施例,本装置利用域内探测操作的操作行为组合类型,对正常的域内探测操作和恶意的域内探测操作进行区分。由于在内网攻击中,网络攻击人员会利用内网渗透工具,以组合的形式同时执行多种恶意域内探测操作,因此本装置在获取到待检测的域内探测操作后,便首先确定域内探测操作的操作行为组合类型,并利用预设恶意组合类型对该操作组合类型进行匹配检测,并在预设恶意组合类型与该操作组合类型匹配成功时,判定域内探测行为为恶意域内探测行为,提升了恶意域内探测检测的准确度。
优选地,该装置还可以包括:
执行时间判断模块,用于利用域内探测操作的时间信息,判断域内探测操作是否在预设时间段内执行;。
优选地,获取模块401可以包括:
日志获取子模块,用于获取日志数据;
操作类型判断子模块,用于利用日志数据的操作类型,判断日志数据对应的操作是否为域内探测操作;
信息设置子模块,用于将日志数据对应的操作作为域内探测操作。
优选地,该装置还可以包括:
告警模块,用于执行提示存在恶意域内探测操作的告警操作。
优选地,组合确定模块402可以包括:
行为类型匹配子模块,用于将域内探测操作与预设域内探测行为包含的操作类型进行匹配;
组合确定子模块,用于在域内探测操作与操作类型匹配成功的情况下,利用匹配成功的域内探测操作对应的预设域内探测行为确定操作行为组合类型。
优选地,组合确定模块402还可以包括:
统计子模块,用于对匹配成功的域内探测操作的操作特征进行统计,得到第一统计数据;
统计数据判断子模块,用于判断第一统计数据是否大于预设阈值;
优选地,在预设域内探测行为为SMB匿名登录行为的情况下,组合确定模块402,可以包括:
第一行为类型匹配子模块,用于将域内探测操作与SMB匿名登录行为包含的操作类型进行匹配;
第一组合确定子模块,用于对匹配成功的域内探测操作的操作特征进行统计,得到第一统计数据;操作特征包括域内探测操作的登录频率、登录目标主机数量或登录失败比例中的一种或多种的组合;
第一统计数据判断子模块,用于判断第一统计数据是否大于预设阈值。
优选地,第一统计子模块可以包括:
统计单元,用于对匹配成功的域内探测操作的操作特征进行统计,得到第二统计数据;
加权处理单元,用于对第二统计数据进行加权处理,得到第一统计数据。
优选地,在预设域内探测行为为域内账号探测行为的情况下,组合确定模块402,可以包括:
第二行为类型匹配子模块,用于将域内探测操作与域内账号探测行为包含的操作类型进行匹配;
第二组合确定子模块,用于对匹配成功的域内探测操作的操作特征进行统计,得到第二统计数据;操作特征包括域内探测操作的执行次数、执行频率或枚举账号的个数中的一种或多种的组合;
第一加权处理单元,用于对第二统计数据进行加权处理,得到第一统计数据;
第二统计数据判断子模块,用于判断第一统计数据是否大于预设阈值。
本发明实施例还提供了一种电子设备。可以参见图4所示,该电子设备可以包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的网络设备配置方法。
具体的,请参考图5,图5为本发明实施例提供的一种电子设备的具体结构示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,处理器322可以设置为与存储介质330通信,在电子设备301上执行存储介质330中的一系列指令操作。
电子设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作***341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的域内探测操作检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种域内探测操作检测方法、装置、电子设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (12)
1.一种域内探测操作检测方法,其特征在于,包括:
获取域内探测操作;所述域内探测操作为用于收集域内网络信息的操作,并包含多种操作类型;所述域内探测操作至少获取两个;
确定所述域内探测操作构成的组合对应的操作行为组合类型;所述组合根据所述操作类型和/或同种域内探测操作的数量构成;
将预设恶意组合类型与所述操作行为组合类型进行匹配;
在所述预设恶意组合类型与所述操作行为组合类型匹配成功的情况下,判定所述域内探测操作为恶意域内探测操作。
2.根据权利要求1所述的域内探测操作检测方法,其特征在于,在确定所述域内探测操作构成的组合对应的操作行为组合类型之前,还包括:
利用所述域内探测操作的时间信息,判断所述域内探测操作是否在预设时间段内执行;
若是,则执行所述确定所述域内探测操作构成的组合对应的操作行为组合类型的步骤。
3.根据权利要求1所述的域内探测操作检测方法,其特征在于,所述获取域内探测操作,包括:
获取日志数据;
利用所述日志数据的操作类型,判断所述日志数据对应的操作是否为所述域内探测操作;
若是,则将所述日志数据对应的操作作为所述域内探测操作。
4.根据权利要求1所述的域内探测操作检测方法,其特征在于,在判定所述域内探测操作为恶意域内探测操作之后,还包括:
执行提示存在所述恶意域内探测操作的告警操作。
5.根据权利要求1至4任一项所述的域内探测操作检测方法,其特征在于,所述确定所述域内探测操作构成的组合对应的操作行为组合类型,包括:
将所述域内探测操作与预设域内探测行为包含的操作类型进行匹配;
在所述域内探测操作与所述操作类型匹配成功的情况下,利用匹配成功的域内探测操作对应的预设域内探测行为确定所述操作行为组合类型。
6.根据权利要求5所述的域内探测操作检测方法,其特征在于,在利用匹配成功的域内探测操作对应的预设域内探测行为确定所述操作行为组合类型之前,还包括:
对匹配成功的域内探测操作的操作特征进行统计,得到第一统计数据;
判断所述第一统计数据是否大于预设阈值;
若是,则执行所述利用所述预设域内探测行为确定所述操作行为组合类型的步骤。
7.根据权利要求6所述的域内探测操作检测方法,其特征在于,在所述预设域内探测行为为SMB匿名登录行为的情况下,所述确定所述域内探测操作对应的操作行为组合类型,包括:
将所述域内探测操作与所述SMB匿名登录行为包含的操作类型进行匹配;
对匹配成功的域内探测操作的操作特征进行统计,得到所述第一统计数据;所述操作特征包括所述域内探测操作的登录频率、登录目标主机数量或登录失败比例中的一种或多种的组合;
判断所述第一统计数据是否大于预设阈值;
若是,则执行所述利用所述预设域内探测行为确定所述操作行为组合类型的步骤。
8.根据权利要求6所述的域内探测操作检测方法,其特征在于,对所述域内探测操作进行统计,得到第一统计数据,包括:
对匹配成功的域内探测操作的操作特征进行统计,得到第二统计数据;
对所述第二统计数据进行加权处理,得到所述第一统计数据。
9.根据权利要求8所述的域内探测操作检测方法,其特征在于,在所述预设域内探测行为为域内账号探测行为的情况下,所述确定所述域内探测操作对应的操作行为组合类型,包括:
将所述域内探测操作与所述域内账号探测行为包含的操作类型进行匹配;
对匹配成功的域内探测操作的操作特征进行统计,得到所述第二统计数据;所述操作特征包括所述域内探测操作的执行次数、执行频率或枚举账号的个数中的一种或多种的组合;
对所述第二统计数据进行加权处理,得到所述第一统计数据;
判断所述第一统计数据是否大于预设阈值;
若是,则执行所述利用所述预设域内探测行为确定所述操作行为组合类型的步骤。
10.一种域内探测操作检测装置,其特征在于,包括:
获取模块,用于获取域内探测操作;所述域内探测操作为用于收集域内网络信息的操作,并包含多种操作类型;所述域内探测操作至少获取两个;
组合确定模块,用于确定所述域内探测操作构成的组合对应的操作行为组合类型;所述组合根据所述操作类型和/或同种域内探测操作的数量构成;
匹配模块,用于利用预设恶意组合类型与所述操作行为组合类型进行匹配;
判定模块,用于在所述预设恶意组合类型与所述操作行为组合类型匹配成功的情况下,判定所述域内探测操作为恶意域内探测操作。
11.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至9任一项所述的域内探测操作检测方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至9任一项所述的域内探测操作检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110201588.7A CN113014574B (zh) | 2021-02-23 | 2021-02-23 | 一种域内探测操作检测方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110201588.7A CN113014574B (zh) | 2021-02-23 | 2021-02-23 | 一种域内探测操作检测方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113014574A CN113014574A (zh) | 2021-06-22 |
CN113014574B true CN113014574B (zh) | 2023-07-14 |
Family
ID=76407644
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110201588.7A Active CN113014574B (zh) | 2021-02-23 | 2021-02-23 | 一种域内探测操作检测方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113014574B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109428857A (zh) * | 2017-08-23 | 2019-03-05 | 腾讯科技(深圳)有限公司 | 一种恶意探测行为的检测方法和装置 |
US10440044B1 (en) * | 2018-04-08 | 2019-10-08 | Xm Cyber Ltd. | Identifying communicating network nodes in the same local network |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9654485B1 (en) * | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
WO2019181005A1 (ja) * | 2018-03-19 | 2019-09-26 | 日本電気株式会社 | 脅威分析システム、脅威分析方法および脅威分析プログラム |
CN108647509A (zh) * | 2018-05-11 | 2018-10-12 | 北京北信源信息安全技术有限公司 | 一种防止敏感文件泄露的方法及装置 |
US10965709B2 (en) * | 2019-04-15 | 2021-03-30 | Qualys, Inc. | Domain-specific language simulant for simulating a threat-actor and adversarial tactics, techniques, and procedures |
CN113364725B (zh) * | 2020-03-05 | 2023-02-03 | 深信服科技股份有限公司 | 一种非法探测事件检测方法、装置、设备及可读存储介质 |
CN112350864B (zh) * | 2020-10-30 | 2022-07-22 | 杭州安恒信息技术股份有限公司 | 域控终端的保护方法、装置、设备和计算机可读存储介质 |
-
2021
- 2021-02-23 CN CN202110201588.7A patent/CN113014574B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109428857A (zh) * | 2017-08-23 | 2019-03-05 | 腾讯科技(深圳)有限公司 | 一种恶意探测行为的检测方法和装置 |
US10440044B1 (en) * | 2018-04-08 | 2019-10-08 | Xm Cyber Ltd. | Identifying communicating network nodes in the same local network |
Also Published As
Publication number | Publication date |
---|---|
CN113014574A (zh) | 2021-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107888571B (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测*** | |
CN107294982B (zh) | 网页后门检测方法、装置及计算机可读存储介质 | |
KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
CN110417778B (zh) | 访问请求的处理方法和装置 | |
CN109587179A (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
CN111651757A (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
CN110351248B (zh) | 一种基于智能分析和智能限流的安全防护方法及装置 | |
CN110602032A (zh) | 攻击识别方法及设备 | |
CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
CN109727027B (zh) | 账户识别方法、装置、设备及存储介质 | |
CN110879889A (zh) | Windows平台的恶意软件的检测方法及*** | |
CN104852916A (zh) | 一种基于社会工程学的网页验证码识别方法及*** | |
CN112163198B (zh) | 一种主机登录安全检测方法、***、装置及存储介质 | |
CN113542199B (zh) | 一种网络安全状态的评估方法及服务器 | |
CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
CN113014574B (zh) | 一种域内探测操作检测方法、装置及电子设备 | |
CN111131203B (zh) | 一种外联监控方法及装置 | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
CN115795475A (zh) | 软件***风险的确定方法、装置及电子设备 | |
CN110955890A (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN111800409B (zh) | 接口攻击检测方法及装置 | |
CN114629711A (zh) | 一种针对Windows平台特种木马检测的方法及*** | |
CN114329450A (zh) | 数据安全处理方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |