CN113381980B - 信息安全防御方法及***、电子设备、存储介质 - Google Patents
信息安全防御方法及***、电子设备、存储介质 Download PDFInfo
- Publication number
- CN113381980B CN113381980B CN202110523608.2A CN202110523608A CN113381980B CN 113381980 B CN113381980 B CN 113381980B CN 202110523608 A CN202110523608 A CN 202110523608A CN 113381980 B CN113381980 B CN 113381980B
- Authority
- CN
- China
- Prior art keywords
- data packet
- data
- information
- module
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种信息安全防御方法及***、电子设备、存储介质,所述方法主要包括:监听并捕获待测业务***进入主机的数据包;将数据包中的数据与预先存储的历史数据进行对比,确定数据包是否存在未知威胁;若确定出数据包存在未知威胁,则对数据包中的数据进行特征提取,得到多个特征信息;分别将每个特征信息与特征库中的危险特征信息进行匹配,得到匹配结果;若匹配结果指示数据包为非正常请求数据,则将数据包输入机器学习模块中,通过机器学习模型进行计算,得到数据包对应的危险特征信息,并将其更新至特征库中;若匹配结果指示数据包为正常请求数据,则将数据包发送至主机。从而基于机器学习,实现一种及时有效的信息网络安全的防御方法。
Description
技术领域
本申请涉及信息网络安全技术领域,特别涉及一种信息安全防御方法及***、电子设备、存储介质。
背景技术
在网络、计算机软硬件技术逐渐成熟的当下,我们的生活、生产都在趋于网络化、智能化,这是科技给我们的带来的便捷之处,但也同时引发了一系列的安全问题,在一次次惨痛的安全事件的冲击下,安全问题越来越来受到重视,随之一系列的安全软件也在不断地诞生和趋于成熟。
但是这些安全软件都将依赖于强大的漏洞库或防御规则,而漏洞库和防御规则都需要人工去添加和定制,在一阶段产生的人力和时间的消耗无疑是巨大的。并且,现今越来越多的网络攻击者则是通过自动化技术发起网络攻击,而受到攻击的企业或组织却仍在使用人力来汇总内部安全问题,再结合外部威胁信息进行对比。这种方式部署的入侵检测***往往需要花费数周,甚至几个月的时间来修复,然而就在这段时间内,攻击者依然能够利用漏洞侵入***,肆意掠夺数据,所以可见现有的方式时效性比较差,无法有效保证信息网络的安全。
发明内容
基于上述现有技术的不足,本申请提供了一种信息安全防御方法及***、电子设备、存储介质,以解决现有技术无法有效保证信息网络安全的问题。
为了实现上述目的,本申请提供了以下技术方案:
本申请第一方面提供了一种信息安全防御方法,包括:
监听并捕获待测业务***进入主机的数据包;
将所述数据包中的数据与预先存储的历史数据进行对比,确定所述数据包是否存在未知威胁;
若确定出所述数据包存在未知威胁,则对所述数据包中的数据进行特征提取,得到多个特征信息;
分别将每个所述特征信息与特征库中的危险特征信息进行匹配,得到匹配结果;
若所述匹配结果指示所述数据包为非正常请求数据,则将所述数据包输入机器学习模块中,通过所述机器学习模型进行计算,得到所述数据包对应的危险特征信息;其中,若存在任意一个所述特征信息与特征库中的危险特征信息匹配成功,则得到的所述匹配结果指示所述数据包为非正常 请求数据;
将所述数据包对应的危险特征信息更新至所述特征库中;
若所述匹配结果指示所述数据包为正常请求数据,则将所述数据包发送至所述主机。
可选地,在上述的信息安全防御方法中,所述分别将所述特征信息与特征库中的危险特征信息进行匹配,得到匹配结果,包括:
基于关联分析法、基线分析法以及数据建模,分别将各个所述特征信息与特征库中的危险特征信息进行匹配,确定每个所述特征信息是否属于安全异常行为数据或未知威胁数据;
基于属于安全异常行为数据和属于所述未知威胁数据的所述特征信息生成匹配结果。
可选地,在上述的信息安全防御方法中,将所述数据包的危险特征信息更新至所述特征库中之后,还包括:
将所述数据包的危险特征信息进行展示,并将所述数据包的危险特征信息作为日志进行存储。
可选地,在上述的信息安全防御方法中,所述监听并捕获待测业务***进入主机的数据包,还包括:
将所述数据包中的数据调整为统一的指定格式。
可选地,在上述的信息安全防御方法中,所述将所述数据包输入机器学习模块中,通过所述机器学习模型进行计算,得到所述数据包对应的危险特征信息之后,还包括:
将所述数据包中的数据与历史日志进行对比分析,确定各个数据维度与异常数据的关联关系;
当到达预设时间间隔时,将所述数据包删除。
本申请第二方面提供了一种信息安全防御***,其特征在于,包括:
捕获模块,用于监听并捕获待测业务***进入主机的数据包;
中央处理控制模块,用于将所述数据包中的数据与预先存储的历史数据进行对比,确定所述数据包是否存在未知威胁;
特征提取模块,用于在所述中央处理控制模块确定出所述数据包存在未知威胁时,对所述数据包中的数据进行特征提取,得到多个特征信息;
特征匹配模块,用于分别将每个所述特征信息与特征库中的危险特征信息进行匹配,得到匹配结果;
特征处理模块,用于在所述匹配结果指示所述数据包为非正常请求数据时,将所述数据包输入机器学习模块中,以及在所述匹配结果指示所述数据包为正常请求数据时,将所述数据包发送至所述主机;其中,若存在任意一个所述特征信息与特征库中的危险特征信息匹配成功,则得到的所述匹配结果指示所述数据包为非正常 请求数据;
机器学习模块,用于对输入的所述数据包进行计算,得到所述数据包对应的危险特征信息,并将所述数据包对应的危险特征信息更新至所述特征库中。
可选地,在上述的信息安全防御***中,所述特征匹配模块,包括:
分析模块,用于基于关联分析法、基线分析法以及数据建模,分别将各个所述特征信息与特征库中的危险特征信息进行匹配,确定每个所述特征信息是否属于安全异常行为数据或未知威胁数据;
生成模块,用于基于属于安全异常行为数据和属于所述未知威胁数据的所述特征信息生成匹配结果。
可选地,在上述的信息安全防御***中,还包括:
可视化展示模块,用于将所述数据包的危险特征信息进行展示;
日志存储模块,用于将所述数据包的危险特征信息作为日志进行存储。
可选地,在上述的信息安全防御***中,还包括:
文件格式调整模块,用于将所述数据包中的数据调整为统一的指定格式。
可选地,在上述的信息安全防御***中,还包括:
日志对比分析模块,用于将所述数据包中的数据与历史日志进行对比分析,确定各个数据维度与异常数据的关联关系;
删除模块,用于当到达预设时间间隔时,将所述数据包删除。
本申请第三方面提供了一种电子设备,其特征在于,包括:
存储器和处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述程序,所述程序被执行时,具体用于实现如上述任意一项所述的信息安全防御方法。
本申请第四方面提供了一种计算机存储介质,用于存储计算机程序,所述计算机程序被执行时,用于实现如上述任意一项所述的信息安全防御方法。
本申请提供的一种信息安全防御方法,通过监听并捕获待测业务***进入主机的数据包,避免有危险的数据直接进入主机。然后将数据包中的数据与预先存储的历史数据进行对比,确定数据包是否存在未知威胁,若确定出数据包存在未知威胁,则对数据包中的数据进行特征提取,得到多个特征信息,并分别将每个特征信息与特征库中的危险特征信息进行匹配,得到匹配结果。若匹配结果指示数据包为非正常请求数据,则将数据包输入机器学习模块中,通过所述机器学习模型进行计算,得到数据包对应的危险特征信息,最后将数据包对应的危险特征信息更新至特征库中,若匹配结果指示数据包为正常请求数据,则将所述数据包发送至所述主机。从而通过机器学习及时地发现危险特征信息,进而实现对特征库的及时更新,不再需要人为花费大量时间进行修复,实现对信息网络的主动防御,有效保证了信息网络的安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种信息安全防御***的架构示意图;
图2为本申请另一实施例提供的一种中央处理控制模块的结构示意图;
图3为本申请另一实施例提供的一种信息安全防御方法的流程图;
图4为本申请另一实施例提供的一种特征信息匹配的方法的流程图;
图5为本申请另一实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本申请实施例提供了一种信息安全防御***,如图1所示,包括以下模块:捕获模块101、中央处理控制模块102、特征提取模块103、特征匹配模块104、特征处理模块105、机器学习模块106、大数据分析模块107。
其中,大数据分析模块107中包括用于实现数据存储和查询的大数据安全查询存储模块1071。
捕获模块101,用于监听并捕获待测业务***进入主机的数据包。
具体的,捕获模块101对待测业务***的前端报文进行实时监听和捕获。其中,报文以数据包的形式发生至主机,即数据表包括报文以及其他信息。在捕获到数据包后传输至与其连接的中央处理控制模块102,并且可以进一步传递至大数据分析模块107中。
其中,待测业务***包括网站、服务器、终端设备或应用软件。
中央处理控制模块102,主要用于控制各个模块,实现将数据包中的数据与预先存储的历史数据进行对比,确定数据包是否存在未知威胁。
所以,中央处理控制模块102可以通过对比大数据安全查询存储模块1071 和捕获模块101捕获的数据,实现对未知威胁分级及实施检索。
可选地,中央处理控制模块102可以利用现场可编程逻辑门阵列(FieldProgrammable Gate Array,FPGA)计算***来加速对数据的处理。
可选地,本申请另一实施例中,如图2所示,中央处理控制模块102除了包括用于将数据包中的数据与预先存储的历史数据进行对比,确定数据包是否存在未知威胁的处理控制子模块201外,还可以进一步包括有:数据接收模块202、日志对比分析模块203、文件格式调整模块204、大数据查询与搜索统计模块205、外部第三方连接模块206。
其中,数据接收模块202主要用于接收数据捕获模块101捕获的数据包。日志对比分析模块用于将数据包中的数据与历史日志进行对比分析,确定各个数据维度与异常数据的关联关系。文件格式调整模块204用于将数据包中的数据调整为统一的指定格式。大数据查询与搜索统计模块205,则用于实现对数据的查询搜索、插叙以及统计。外部第三方连接模块206,主要用于为其它模块或配置平台提供与中央处理控制模块102进行交互的接口,同时为信息安全防御***外的***提供进行数据交互的接口。
特征提取模块103,用于在中央处理控制模块确定出数据包存在未知威胁时,对数据包中的数据进行特征提取,得到多个特征信息。
具体的,特征提取模块103对接收到的数据包进行分析,提取出里面的特征信息。其中,提取的特征信息中应该包括能够造成攻击的特殊字符和特殊语句等。例如,对数据包中的报文进行解析得到数据域、目的IP、MAC、端口信息等。在提取出特征信息后,将特征信息传递给特征匹配模块104。
特征匹配模块104,用于分别将每个特征信息与特征库中的危险特征信息进行匹配,得到匹配结果。
可选地,特征匹配模块具体可以包括:分析模块和生成模块。分析模块1 用于基于关联分析法、基线分析法以及数据建模,分别将各个特征信息与特征库中的危险特征信息进行匹配,确定每个特征信息是否属于安全异常行为数据或未知威胁数据。生成模块用于基于属于安全异常行为数据和属于未知威胁数据的特征信息生成匹配结果,然后将匹配结果发送给特征处理模块 105。
其中,特征库设置于大数据安全查询存储模块1071中。
特征处理模块105,用于在匹配结果指示数据包为非正常请求数据时,将数据包输入机器学习模块中,以及在匹配结果指示数据包为正常请求数据时,将数据包发送至主机。其中,若存在任意一个特征信息与特征库中的危险特征信息匹配成功,则得到的匹配结果指示数据包为非正常 请求数据。
机器学习模块106,用于对输入的数据包进行计算,得到数据包对应的危险特征信息,并将数据包对应的危险特征信息更新至特征库中。
具体的,机器学习模块106对特征处理模块105过滤出的,属于非正常请求数据的数据表进行快速学习,得到数据包对应的危险特征信息以及相应的特征码。然后将学习得到的信息更新到大数据安全查询查询模块1071中。
需要说明的是,大数据安全查询存储模块1071中存储有大量的正常请求样本和攻击样本,提供给机器学习模块106进行学习。并且,获取的数据包也存储在大数据安全查询存储模块1071中,所以可选的,可以定时将大数据安全查询存储模块1071中已被机器学习模块106学习的数据包是删除,或者机器学习模块106可以定期通知,将大数据安全查询存储模块1071将已学习网的数据表从数据库中删除。
因此,本申请实施例提供的信息安全防御***还可以进一步包括:删除模块,用于当到达预设时间间隔时,将数据包删除,或在接收到机器学习模块106的删除通知时进行删除。具体为,将大数据安全查询存储模块1071存储的数据包删除。
可选地,大数据分析模块107中,还可以进一步包括:可视化展示模块 1072、日志存储模块1073、应用安全防护模块1074以及网络安全防护模块 1075。
其中,可视化展示模块1072,用于将数据进行可视化,所以可以用于将数据包的危险特征信息进行展示。日志存储模块1073则主要用于记录日志,并且可以用于将捕获模块101捕获的数据包,以及将数据包的危险特征信息作为日志进行存储。
应用安全防护模块1073和网络安全防护模块1074,则可以在接到非正常请求数据时,主动对非正常请求数据进行拦截和粉碎,即可以用于根据相应的大数据安全查询存储模块1071中存储的数据进行网络安全态势感知、分析与预警。
基于上述提供的信息安全防御***,本申请实施例提供的一种信息安全防御方法,如图3所示,具体包括以下步骤:
S301、监听并捕获待测业务***进入主机的数据包。
其中,待测业务***可以包括一个或多个。并且,待测业务***具体可以是网站、服务器、终端设备或应用软件中的任意一种,并不仅仅限于是***。
具体的,为了保证信息安全性,所以实时监听要进入主机的数据包,并将其拦截送入中央处理控制模块进行安全分析,同时还可以传输至日志模块进行记录。
可选地,在本申请另一实施例中,在捕获到待测业务***进入主机的数据包之后,还可以先将数据包中的数据调整为统一的指定格式,以便于数据的存储和查询。
S302、将数据包中的数据与预先存储的历史数据进行对比,确定数据包是否存在未知威胁。
具体的,可以是存储有大量的具有危险的历史数据,和/或先前分析出的危险的数据的特征。将所存储的大量数据与数据包中所要传输至主机中进行写入或处理等操作的数据进行对比,确定数据包是否包含有异常的数据,即初步确定数据包中的数据是否具有威胁。
还需说明的是,在确定数据包中可能存在异常数据,即数据包存在未知威胁,所以需要从数据包的特征信息的层面上进行进一步分析,所以若执行步骤S302确定数据包存在未知威胁,则执行步骤S303。
S303、对数据包中的数据进行特征提取,得到多个特征信息。
其中,所提取的特征值信息至少包括能够对信息网络造成攻击的字符、字段和特殊语句等。例如,例如解析数据包中报文的数据域,解析出源、目的IP、MAC、端口号信息等。
S304、分别将每个特征信息与特征库中的危险特征信息进行匹配,得到匹配结果。
其中,一个特征信息与一个危险特征信息的相似度高于预设相似度,则确定该特征信息与该危险特征信息相匹配。特征库中的危险特征信息是由机器学习模块对传入的具有威胁的数据包进行学习得到的。所以,通过将数据包的特征信息与威胁特征信息进行匹配,从而可以确定出特征信息是否存在危险,而根据相匹配的危险特征信息,可以知道特征信息所具有的威胁的类型。通过匹配也能确定出无法确定存在什么样的威胁的特征信息。
然后根据匹配的情况生成匹配结果。可选的,匹配结果中可以包括有指示数据包为正常请求数据或非正常请求数据的标识,还可以包括有匹配成功的每一组特征信息与危险特征信息等。
可选地,本申请另一实施例中,步骤S304的一种具体实施方式,如图4所示,具体包括以下步骤:
S401、基于关联分析法、基线分析法以及数据建模,分别将各个特征信息与特征库中的危险特征信息进行匹配,确定每个特征信息是否属于安全异常行为数据或未知威胁数据。
具体的,分别基于关联分析法、基线分析法以及数据建模三种方法,对特征信息进行匹配,以能保证能准备的确定出其中的异常行为数据,以及未知威胁数据。分别根据每个特征信息所匹配的威胁特征信息,可以确定特征信息是否属于安全异常行为数据,或未知威胁数据,即不属于安全数据,但还未确定存在什么样威胁的数据。
S402、基于属于安全异常行为数据和属于未知威胁数据的所述特征信息生成匹配结果。
S305、判断匹配结果是否指示数据包为非正常数据。
其中,若匹配结果指示数据包为非正常请求数据,则需要对数据包进行学习,以能对特征库进行及时更新,所以此时执行步骤S306。若匹配结果指示数据包为正常请求数据,则执行步骤S308。
S306、将数据包输入机器学习模块中,通过机器学习模型进行计算,得到数据包对应的危险特征信息。
其中,若存在任意一个特征信息与特征库中的危险特征信息匹配成功,则得到的匹配结果指示数据包为非正常 请求数据。
具体的,可以预先通过大量的正常请求样本和攻击样本对机器学习模块进行训练,直至机器学习模块可以有效学习得到攻击样本中的危险特征信息。所以,在确定数据包为非正常请求数据时,将非正常请求数据输入机器学习模块中,通过机器学习模型进行计算,得到数据包对应的危险特征信息。
可选地,由于在经过机器学习模型学习后的数据包通常都不会再使用,所以可以当达到预设时间间隔时,将数据包删除。
具体的,预先设定时间间隔,每达到依次时间间隔,则将机器学习模型已学习的各个数据包进行删除。
S307、将数据包对应的危险特征信息更新至特征库中。
可选地,为了便于让用户及时了解当前提取的数据表对应的危险特征信息,在将数据包对应的危险特征信息更新至特征库后,还可以将数据包的危险特征信息进行展示。
由于,大数据安全查询存储模块的特征库中的数据,主要用于进行网络安全态势感知、预警的,但大数据安全查询存储模块并非是专门的日志管理模块,所以在得到数据包对应的危险特征信息后,还可以将数据包对应的危险特征信息作为日志进行存储,从而在日志存储模块中不仅存储有数据包,还存储有数据包对应的危险特征信息。
可选地,在本申请另一实施例中,对于存储至日志存储模块中的数据包,可以进一步将数据包中的数据与历史日志进行对比分析,确定各个数据维度与异常数据的关联关系。
具体的,可以从时间、空间、类型等多个维度,对数据包和历史日志进行对比分析。通过分析可以发现异常事件的因果关系和潜在的规律,以及发现易受攻击的点,从而以便于维护人员进行针对性的修补和更新,提升安全保护能力。
S308、将数据包发送至主机。
本申请实施例提供的一种信息安全防御方法,通过监听并捕获待测业务***进入主机的数据包,避免有危险的数据直接进入主机。然后将数据包中的数据与预先存储的历史数据进行对比,确定数据包是否存在未知威胁,若确定出数据包存在未知威胁,则对数据包中的数据进行特征提取,得到多个特征信息,并分别将每个特征信息与特征库中的危险特征信息进行匹配,得到匹配结果。若匹配结果指示数据包为非正常请求数据,则将数据包输入机器学习模块中,通过所述机器学习模型进行计算,得到数据包对应的危险特征信息,最后将数据包对应的危险特征信息更新至特征库中,若匹配结果指示数据包为正常请求数据,则将所述数据包发送至所述主机。从而通过机器学习及时地发现危险特征信息,进而实现对特征库的及时更新,不再需要人为花费大量时间进行修复,实现对信息网络的主动防御,有效保证了信息网络的安全。
本申请另一实施例提供了一种电子设备,如图5所示,包括:
存储器501和处理器502。
其中,存储器501用于存储程序。处理器502用于执行存储器501存储的程序,并且该程序被执行时,具体用于实现如上述任意一个实施例提供的信息安全防御方法。
本申请另一实施例提供了一种计算机存储介质,用于存储计算机程序,所述计算机程序被执行时,用于实现如上述任意一个实施例提供的信息安全防御方法。
计算机存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器 (CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种信息安全防御方法,其特征在于,包括:
监听并捕获待测业务***进入主机的数据包;
将所述数据包中的数据与预先存储的历史数据进行对比,确定所述数据包是否存在未知威胁;
若确定出所述数据包存在未知威胁,则对所述数据包中的数据进行特征提取,得到多个特征信息;所述特征信息至少包括能够对信息网络造成攻击的字符、字段和特殊语句;
分别将每个所述特征信息与特征库中的危险特征信息进行匹配,得到匹配结果,包括:基于关联分析法、基线分析法以及数据建模,分别将各个所述特征信息与特征库中的危险特征信息进行匹配,确定每个所述特征信息是否属于安全异常行为数据或未知威胁数据;基于属于所述安全异常行为数据和属于所述未知威胁数据的所述特征信息生成匹配结果;
若所述匹配结果指示所述数据包为非正常请求数据,则将所述数据包输入机器学习模块中,通过所述机器学习模型进行计算,得到所述数据包对应的危险特征信息;其中,若存在任意一个所述特征信息与特征库中的危险特征信息匹配成功,则得到的所述匹配结果指示所述数据包为非正 常请求数据;
将所述数据包对应的危险特征信息更新至所述特征库中;
若所述匹配结果指示所述数据包为正常请求数据,则将所述数据包发送至所述主机。
2.根据权利要求1所述的方法,其特征在于,将所述数据包的危险特征信息更新至所述特征库中之后,还包括:
将所述数据包的危险特征信息进行展示,并将所述数据包的危险特征信息作为日志进行存储。
3.根据权利要求1所述的方法,其特征在于,所述监听并捕获待测业务***进入主机的数据包,还包括:
将所述数据包中的数据调整为统一的指定格式。
4.根据权利要求1所述的方法,其特征在于,所述将所述数据包输入机器学习模块中,通过所述机器学习模型进行计算,得到所述数据包对应的危险特征信息之后,还包括:
将所述数据包中的数据与历史日志进行对比分析,确定各个数据维度与异常数据的关联关系;
当到达预设时间间隔时,将所述数据包删除。
5.一种信息安全防御***,其特征在于,包括:
捕获模块,用于监听并捕获待测业务***进入主机的数据包;
中央处理控制模块,用于将所述数据包中的数据与预先存储的历史数据进行对比,确定所述数据包是否存在未知威胁;
特征提取模块,用于在所述中央处理控制模块确定出所述数据包存在未知威胁时,对所述数据包中的数据进行特征提取,得到多个特征信息;所述特征信息至少包括能够对信息网络造成攻击的字符、字段和特殊语句;
特征匹配模块,用于分别将每个所述特征信息与特征库中的危险特征信息进行匹配,得到匹配结果;
所述特征匹配模块,包括:分析模块、生成模块;
所述分析模块,用于基于关联分析法、基线分析法以及数据建模,分别将各个所述特征信息与特征库中的危险特征信息进行匹配,确定每个所述特征信息是否属于安全异常行为数据或未知威胁数据;
所述生成模块,用于基于属于所述安全异常行为数据和属于所述未知威胁数据的所述特征信息生成匹配结果;
特征处理模块,用于在所述匹配结果指示所述数据包为非正常请求数据时,将所述数据包输入机器学习模块中,以及在所述匹配结果指示所述数据包为正常请求数据时,将所述数据包发送至所述主机;其中,若存在任意一个所述特征信息与特征库中的危险特征信息匹配成功,则得到的所述匹配结果指示所述数据包为非正 常请求数据;
机器学习模块,用于对输入的所述数据包进行计算,得到所述数据包对应的危险特征信息,并将所述数据包对应的危险特征信息更新至所述特征库中。
6.根据权利要求5所述的***,其特征在于,还包括:
可视化展示模块,用于将所述数据包的危险特征信息进行展示;
日志存储模块,用于将所述数据包的危险特征信息作为日志进行存储。
7.一种电子设备,其特征在于,包括:
存储器和处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述程序,所述程序被执行时,具体用于实现如权利要求1至4任意一项所述的信息安全防御方法。
8.一种计算机存储介质,其特征在于,用于存储计算机程序,所述计算机程序被执行时,用于实现如权利要求1至4任意一项所述的信息安全防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110523608.2A CN113381980B (zh) | 2021-05-13 | 2021-05-13 | 信息安全防御方法及***、电子设备、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110523608.2A CN113381980B (zh) | 2021-05-13 | 2021-05-13 | 信息安全防御方法及***、电子设备、存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113381980A CN113381980A (zh) | 2021-09-10 |
CN113381980B true CN113381980B (zh) | 2022-11-22 |
Family
ID=77570903
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110523608.2A Active CN113381980B (zh) | 2021-05-13 | 2021-05-13 | 信息安全防御方法及***、电子设备、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113381980B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4207678A1 (en) * | 2021-12-28 | 2023-07-05 | Ecolux Technology Co., Ltd. | Network equipment and processing system and method for learning network behavior characteristics |
CN115208647A (zh) * | 2022-07-05 | 2022-10-18 | 南京领行科技股份有限公司 | 一种攻击行为处置方法及装置 |
CN117014211A (zh) * | 2023-08-16 | 2023-11-07 | 华能信息技术有限公司 | 一种基于大数据的电厂网络安全动态防御方法及*** |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护*** |
CN110798429A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的威胁追捕方法、装置及设备 |
CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御*** |
CN107634931A (zh) * | 2016-07-18 | 2018-01-26 | 深圳市深信服电子科技有限公司 | 异常数据的处理方法、云端服务器、网关及终端 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测*** |
CN110753064B (zh) * | 2019-10-28 | 2021-05-07 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测*** |
CN112788008B (zh) * | 2020-12-30 | 2022-04-26 | 上海磐御网络科技有限公司 | 一种基于大数据的网络安全动态防御***及方法 |
-
2021
- 2021-05-13 CN CN202110523608.2A patent/CN113381980B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110798429A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的威胁追捕方法、装置及设备 |
CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护*** |
CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113381980A (zh) | 2021-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113381980B (zh) | 信息安全防御方法及***、电子设备、存储介质 | |
CN108471429B (zh) | 一种网络攻击告警方法及*** | |
CN108683687B (zh) | 一种网络攻击识别方法及*** | |
CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及*** | |
CN108881263B (zh) | 一种网络攻击结果检测方法及*** | |
CN112787992B (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
CN114584405B (zh) | 一种电力终端安全防护方法及*** | |
CN108833185B (zh) | 一种网络攻击路线还原方法及*** | |
CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及*** | |
CN108512841B (zh) | 一种基于机器学习的智能防御***及防御方法 | |
CN112953971B (zh) | 一种网络安全流量入侵检测方法和*** | |
CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
US10462170B1 (en) | Systems and methods for log and snort synchronized threat detection | |
CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
US20190121970A1 (en) | Graph model for alert interpretation in enterprise security system | |
CN114070629A (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及*** | |
CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
US10805326B1 (en) | Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion | |
CN115001934A (zh) | 一种工控安全风险分析***及方法 | |
CN116094817A (zh) | 一种网络安全检测***和方法 | |
CN114024734A (zh) | 基于ueba的智能网络安全检测分析*** | |
CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
CN111726355A (zh) | 一种基于大数据的网络安全态势感知*** | |
CN117220961A (zh) | 一种基于关联规则图谱的入侵检测方法及装置 | |
CN115473675B (zh) | 一种网络安全态势感知方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20220905 Address after: Room E, Room 205, No. 1150, Qinghewan Road, Qingpu District, Shanghai, 201799 Applicant after: UNICODE (Shanghai) Data Technology Co.,Ltd. Address before: Block B, Building 10#, No. 619, Longchang Road, Yangpu District, Shanghai, 200093 Applicant before: UCloud Technology Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |