CN113839912B

CN113839912B - 主被动结合进行异常主机分析的方法、装置、介质和设备

Info

Publication number: CN113839912B
Application number: CN202010587801.8A
Authority: CN
Inventors: 请求不公布姓名
Original assignee: Jike Xin'an Beijing Technology Co ltd
Current assignee: Jike Xin'an Beijing Technology Co ltd
Priority date: 2020-06-24
Filing date: 2020-06-24
Publication date: 2023-08-22
Anticipated expiration: 2040-06-24
Also published as: CN113839912A

Abstract

本发明提供了一种主被动结合进行异常主机分析的方法、装置、介质和设备，包括：持续缓存第一设定时间段内的网络流量日志，基于被动规则检测方法，对经过网络边界的数据流进行检测，记录发现异常行为的可疑主机IP的数据流特征信息；通过所述可疑主机IP的数据流特征信息，收集与所述可疑主机IP相关的数据流信息；收集回溯流量，构建主动探测规则；对所述可疑主机IP进行主动扫描分析，判断所述可疑主机是否存在异常；将主动扫描与被动检测结果对比分析，确定所述可疑主机是否为异常主机。本发明以被动检测作为初步基础，降低主动扫描的成本；基于被动检测发现可疑主机进行的主动扫描更加具有目的性，提高了分析效率和准确率。

Description

主被动结合进行异常主机分析的方法、装置、介质和设备

技术领域

本发明涉及计算机技术领域，具体而言，涉及一种主被动结合进行异常主机分析的方法、装置、介质和设备。

背景技术

在网络安全领域，主机的异常行为一般包括两种情形，一是该主机主动实施恶意行为，即攻击者控制的主机；二是主机遭受攻击而产生的一些异常响应信息，如信息泄漏、开放非必要端口等。发现主机的异常行为(恶意行为)并分析定位可能的原因，是网络安全领域需要实施的必要步骤。在网络层面，传统的异常主机发现与分析往往采用被动流量检测或主动扫描的方法来实施。

被动流量检测方法在较短时间内获取的信息量较少，无法快速全面的发现主机异常；

主动扫描的方法对内网往往较为有效，因为内网主机数量是有限的，目标比较容易确定，但是对于外网主机难以确定扫描目标，无法有效实施。

发明内容

本发明的目的在于提供一种主被动结合进行异常主机分析的方法、装置、介质和设备，能够解决上述提到的至少一个技术问题。具体方案如下：

根据本发明的具体实施方式，第一方面，本发明提供一种主被动结合进行异常主机分析的方法，包括：

持续缓存第一设定时间段内的网络流量日志，基于被动规则检测方法，对经过网络边界的数据流进行检测，记录发现异常行为的可疑主机IP的数据流特征信息；其中，所述数据流特征信息，是指异常行为数据的所有相关协议字段特征，包括：源IP地址、目的IP地址、源端口、目的端口、传输层协议类型、应用层协议类型、应用层协议关键协议字段内容和应用层负载数据；

通过所述可疑主机IP的数据流特征信息，收集与所述可疑主机IP相关的数据流信息；

收集回溯流量，构建主动探测规则,其中，所述回溯流量是指基于当前告警信息的基本内容，在缓存流量中寻找该告警之前和之后的部分流量；

对所述可疑主机IP进行主动扫描分析，判断所述可疑主机是否存在异常；

将主动扫描与被动检测结果对比分析，确定所述可疑主机是否为异常主机。

可选的，所述通过所述可疑主机IP数据流特征，收集与所述可疑主机IP相关的数据流信息，包括：

通过发现异常行为的可疑主机IP的数据流特征，在所述缓存第二设定时间段内的网络流量日志中收集与所述异常行为的可疑主机IP地址相关的数据流特征信息。

可选的，所述收集回溯流量，包括：

通过在所述缓存第二设定时间段内的网络流量日志中收集在出现告警信息之前和告警之后的与所述异常行为的可疑主机IP地址相关的数据流特征信息。

可选的，所述构建主动探测规则，包括：扫描探测、脚本探测和安全探测；

所述扫描探测，是指当告警信息中可以对应相应的漏洞信息，则基于扫描器预先内置的各类漏洞扫描脚本作为扫描策略；

所述脚本探测，是指将告警信息中触发告警的内容作为主动探测的脚本进行探测，形成一系列的探测脚本；

所述安全探测，是指对回溯发现的关联协议进行安全探测。

可选的，所述对所述可疑主机IP进行主动扫描分析，判断所述可疑主机是否存在异常，包括：

通过各项所述主动探测规则，对所述异常行为的可疑主机IP进行主动扫描，通过所述主动扫描获得的信息，判定所述可疑主机IP是否存在异常。

可选的，所述将主动扫描与被动检测结果对比分析，确定所述可疑主机是否为异常主机，包括：

将被动发现的可疑异常行为与主动扫描发现的异常行为进行对比，通过对比结果，确认所述可疑主机是否为异常主机。

可选的，所述对比结果，包括：

若被动发现的可疑异常行为的数据流特征与主动扫描发现的异常行为数据流特征相同，则判定所述可疑主机为异常主机，否则，为非异常主机。

根据本发明的具体实施方式，第二方面，本发明提供一种主被动结合进行异常主机分析的装置，包括：记录单元201、收集单元202、回溯单元203、分析单元204和对比单元205；

所述记录单元201，用于持续缓存第一设定时间段内的网络流量日志，基于被动规则检测方法，对经过网络边界的数据流进行检测，记录发现异常行为的可疑主机IP的数据流特征信息；

所述收集单元202，用于通过所述可疑主机IP的数据流特征信息，收集与所述可疑主机IP相关的数据流信息；

所述回溯单元203，用于收集回溯流量，构建主动探测规则,其中，所述回溯流量是指基于当前告警信息的基本内容，在缓存流量中寻找该告警之前和之后的部分流量；

所述分析单元204，用于对所述可疑主机IP进行主动扫描分析，判断所述可疑主机是否存在异常；

所述对比单元205，用于将主动扫描与被动检测结果对比分析，确定所述可疑主机是否为异常主机。

可选的，所述收集回溯流量，包括：

可选的，所述构建主动探测规则，包括：扫描探测、脚本和安全探测；

所述安全探测，是指对回溯发现的关联协议进行安全探测。

可选的，所述对比结果，包括：

根据本发明的具体实施方式，第三方面，本发明提供一种设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上任一项所述的对文档中的内容进行编辑的方法。

根据本发明的具体实施方式，第四方面，本发明提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如上任一项所述的对文档中的内容进行编辑的方法。

本发明实施例的上述方案与现有技术相比，至少具有以下有益效果：

本发明提供一种主被动结合进行异常主机分析的方法，基于被动规则检测到的可疑主机进行主动扫描，再通过主被动扫描结果进行对比，确定所述可疑主机是否为异常主机；以被动检测作为初步基础，降低主动扫描的成本；对需要扫描的问题更加有针对性，被动检测中已经显示出了一定的异常线索，缩小扫描所要利用的规则；

本发明采用的主动扫描更加具有目的性，基于被动检测发现可疑主机，提高了分析效率；

本发明以主动扫描的方式对被动检测发现的异常行为进行二次分析确认，可以提高分析的准确率。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1示出了根据本发明实施例的一种主被动结合进行异常主机分析的方法流程图；

图2示出了根据本发明实施例的一种主被动结合进行异常主机分析的装置示意图；

图3示出了根据本发明实施例的一种设备连接结构的示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义，“多种”一般包含至少两种。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应当理解，尽管在本发明实施例中可能采用术语第一、第二、第三等来描述……，但这些……不应限于这些术语。这些术语仅用来将……区分开。例如，在不脱离本发明实施例范围的情况下，第一……也可以被称为第二……，类似地，第二……也可以被称为第一……。

取决于语境，如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的商品或者装置中还存在另外的相同要素。

下面结合附图详细说明本发明的可选实施例。

实施例1

如图1所示，根据本发明的具体实施方式，第一方面，本发明提供一种主被动结合进行异常主机分析的方法,包括:

步骤S101:持续缓存第一设定时间段内的网络流量日志，基于被动规则检测方法，对经过网络边界的数据流进行检测，记录发现异常行为的可疑主机IP的数据流特征信息；

其中,持续缓存一段时间的网络流量日志，例如，如果在一小时内,以10分钟为设定时间，收集缓存第一个10分钟的网络流量日志后，再收集缓存第二个10分钟的网络流量日志，以此类推，在一小时结束时，就是收集到了缓存第六个10分钟的网络流量日志。

被动规则检测方法，指基于被动检测常用的规则或模型的检测方法，对经过网络边界的数据流进行异常检测，若发现有异常行为的数据流特征，就记录数据流特征的全部信息。其中，数据流特征，包括：源IP地址、目的IP地址、源端口、目的端口、传输层协议类型、应用层协议类型、应用层协议关键协议字段内容，应用层负载数据等。

步骤S102:通过所述可疑主机IP的数据流特征，收集与所述可疑主机IP相关的数据流信息；

其中，第二设定时间段与第一设定时间段都是提前设定的，区别是：第二设定时间段是在发现了异常行为的可疑主机IP的数据流特征之后开始收集，而第一设定时间段是在发现了异常行为的可疑主机IP的数据流特征之前开始收集；因此，第一设定时间段进行的是被动收集，第二设定时间段进行的是主动收集。

步骤S103:收集回溯流量，构建主动探测规则；

其中，所谓回溯，是指基于当前告警信息的基本内容，在缓存流量中收集该告警之前和之后的部分流量，具体的回溯规则是：

a、应该与告警流量相关主机IP地址是相同的；

b、应用层协议具有关联性，如HTTP协议告警需要获得相关IP的HTTP协议流量以及同一IP地址的DNS交互流量；

c、回溯时间应该发生在告警出现的前后各一段时间，如5分钟。

其中，当前告警信息的基本内容，是指步骤S1021发现的的异常行为的可疑主机IP相关数据以及告警信息。

其中，告警之前和之后的这两个时间段,即第二设定时间段。

其中，收集回溯流量，指通过在所述缓存第二设定时间段内的网络流量日志中收集在出现告警信息之前和告警之后的与所述异常行为的可疑主机IP地址相关的数据流特征信息。

其中，构建主动探测规则，是指基于被动告警信息，构建主动探测所需的策略。

构建主动探测规则，包括：扫描探测、脚本探测和安全探测；

其中，告警信息，例如CVE编号，CVE的英文全称是“Common Vulnerabilities&Exposures”通用漏洞披露。

其中，告警信息中触发告警的内容，例如SQL注入、XSS攻击等。

所述安全探测，是指对回溯发现的关联协议进行安全探测。

其中，安全探测，是指对步骤S103收集到的流量信息发现的关联协议进行安全探测。

步骤S104:所述对所述可疑主机IP进行主动扫描分析，判断所述可疑主机是否存在异常，包括：

其中，对主机进行主动扫描分析，是根据扫描探测、脚本探测和安全探测的扫描，对可疑主机IP进行主动扫描，获得更加全面详细的主机信息，用来判定是否存在异常行为。

步骤S105:所述将主动扫描与被动检测结果对比分析，确定所述可疑主机是否为异常主机，包括：

其中，根据步骤S101被动发现的可疑异常行为与步骤S105主动探测发现的异常行为进行数据流特征对比，根据对比结果，确认可疑主机是否为异常主机。所述对比结果，包括：若被动发现的可疑异常行为的数据流特征与主动扫描发现的异常行为数据流特征相同，则判定所述可疑主机为异常主机，否则，为非异常主机。

本发明以被动检测作为初步基础，降低主动扫描的成本；对需要扫描的问题更加有针对性，被动检测中已经显示出了一定的异常线索，缩小扫描所要利用的规则；

本发明采用的主动扫描更加具有目的性，基于被动检测发现的主机，仅需要扫描一个主机甚至主机对应的一个端口即可完成分析任务，提高了分析效率；

实施例2

本发明提供一种主被动结合进行异常主机分析的装置，如图2所示，包括：记录单元201、收集单元202、回溯单元203、分析单元204和对比单元205；

可选的，所述收集回溯流量，包括：

所述安全探测，是指对回溯发现的关联协议进行安全探测。

可选的，所述对比结果，包括：

实施例3

如图3所示，本实施例提供一种设备，该设备用于一种主被动结合进行异常主机分析，所述设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够对一种主被动结合进行异常主机分析进行处理。

下面参考图3，其示出了适于用来实现本公开实施例的设备的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图3示出的设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图3所示，设备可以包括处理装置(例如中央处理器、图形处理器等)301，其可以根据存储在只读存储器(ROM)302中的程序或者从存储装置308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM 303中，还存储有设备操作所需的各种程序和数据。处理装置301、ROM 302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。

通常，以下装置可以连接至I/O接口305：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置306；包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置307；包括例如磁带、硬盘等的存储装置308；以及通信装置309。通信装置309可以允许设备与其他设备进行无线或有线通信以交换数据。虽然图3示出了具有各种装置的设备，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置309从网络上被下载和安装，或者从存储装置308被安装，或者从ROM 302被安装。在该计算机程序被处理装置301执行时，执行本公开实施例的方法中限定的上述功能。

实施例4

本公开实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的主被动结合进行异常主机分析。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述设备中所包含的；也可以是单独存在，而未装配入该设备中。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

Claims

1.一种主被动结合进行异常主机分析的方法，其特征在于，包括：

持续缓存第一设定时间段内的网络流量日志，基于被动规则检测方

法，对经过网络边界的数据流进行检测，记录发现异常行为的可疑主机IP的数据流特征信息；其中，所述数据流特征信息，是指异常行为数据的所有相关协议字段特征，包括：源IP地址、目的IP地址、源端口、目的端口、传输层协议类型、应用层协议类型、应用层协议关键协议字段内容和应用层负载数据；

收集回溯流量，构建主动探测规则,其中，所述回溯流量是指基于当前告警信息的内容，在缓存流量中寻找该告警之前和之后的流量；

将主动扫描与被动检测结果对比分析，确定所述可疑主机是否为异常主机；

所述通过所述可疑主机IP数据流特征，收集与所述可疑主机IP相关的数据流信息，包括：

通过发现异常行为的可疑主机IP的数据流特征，在第二设定时间段内的网络流量日志中收集与所述异常行为的可疑主机IP地址相关的数据流特征信息；

所述收集回溯流量，包括：

通过在所述第二设定时间段内的网络流量日志中收集在出现告警信息之前和告警之后的与所述异常行为的可疑主机IP地址相关的数据流特征信息；

所述构建主动探测规则，包括：扫描探测、脚本探测和安全探测；

所述扫描探测，是指当告警信息中对应相应的漏洞信息，则基于扫描器预先内置的各类漏洞扫描脚本作为扫描策略；

所述安全探测，是指对回溯发现的关联协议进行安全探测；

所述被动规则检测方法，指基于被动检测常用的规则或模型的检测

方法，对经过网络边界的数据流进行异常检测；

2.根据权利要求1所述的方法，其特征在于，所述对所述可疑主机IP进行主动扫描分析，判断所述可疑主机是否存在异常，包括：

3.根据权利要求1所述的方法，其特征在于，所述将主动扫描与被动检测结果对比分析，确定所述可疑主机是否为异常主机，包括：

4.根据权利要求3所述的方法，其特征在于，所述对比结果，包括：

5.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1至4中任一项所述的方法。

6.一种设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1至4中任一项所述的方法。