CN114189360B - 态势感知的网络漏洞防御方法、装置及*** - Google Patents
态势感知的网络漏洞防御方法、装置及*** Download PDFInfo
- Publication number
- CN114189360B CN114189360B CN202111374774.7A CN202111374774A CN114189360B CN 114189360 B CN114189360 B CN 114189360B CN 202111374774 A CN202111374774 A CN 202111374774A CN 114189360 B CN114189360 B CN 114189360B
- Authority
- CN
- China
- Prior art keywords
- network
- vulnerability
- network node
- attack
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种态势感知的网络漏洞防御方法、装置及***,涉及网络安全技术领域。所述处理方法包括步骤:对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型;预测网络漏洞类型对网络节点和关联网络节点的影响范围;获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。本发明通过获取网络漏洞的攻击特征,对应前述攻击特征确定基于时间轴的攻击顺序,并对当前时间下的攻击操作进行对应防御。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及态势感知的网络漏洞防御方法。
背景技术
在现有技术中,态势感知***通过整合防病毒软件、防火墙、网管***、入侵监测***、安全审计***等多个数据信息***,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
为保障对网络环境中的网络漏洞的防御能力,网络安全以及对潜在网络威胁的感知能力,选用态势感知***实现多***的联动防御能有效提高防御网络漏洞的能力。
在实际防御网络漏洞的过程中,其最主要的操作包括找到网络漏洞进行修复,以及监测到攻击方利用网络漏洞对网络节点发起攻击的操作。其中,最为重要的是监测到攻击方访问网络节点的攻击特征,并通过前述攻击特征,掌握攻击方的攻击路径和攻击方式,并给予精准的防御打击。但是在现有技术中,还难以通过历史数据和实时数据获取攻击方的攻击顺序,并进一步根据准确的攻击顺序给出相应的防御方案。
为此,提供一种态势感知的网络漏洞防御方法、装置及***,以解决通过态势感知获取网络漏洞的攻击特征,对应前述攻击特征确定基于时间轴的攻击顺序,并对当前时间下的攻击操作进行对应防御,以实现网络安全防御,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种态势感知的网络漏洞防御方法、装置及***,本发明能够对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型;基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
为解决现有的技术问题,本发明提供了如下技术方案:
一种态势感知的网络漏洞防御方法,其特征在于包括步骤,
对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型;
基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;
获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
进一步,所述漏洞扫描操作中选取的数据包括发现时间、漏洞名称、危害级别、资产IP、扫描任务名称、数据来源、状态、处置优先级、操作。
进一步,所述网络漏洞类型包括缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、Web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、Webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制和Webshell上传。
进一步,在进行前述防御操作后,对前述网络漏洞对应的网络节点进行持续监测,对所述持续监测设定时间周期和监控等级,所述时间周期和监控等级与前述网络漏洞的危害级别相匹配;当所述网络节点,以及所述网络节点与关联网络节点的通信连接满足网络安全要素时,解除前述持续监控的设置;否则,对该网络节点再一次进行漏洞扫瞄,以得到故障原因。
进一步,所述预测的影响范围包括前述网络漏洞对应的网络节点,以及前述网络节点与关联网络节点间的通信连接。
进一步,对对应网络漏洞造成的告警信息进行故障处理,所述故障处理包括对对应网络漏洞依据预设的漏洞防御方案进行防御。
进一步,所述攻击特征信息中还包括对应前述攻击特征的提示特征信息。
进一步,包括步骤,对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,以及对应前述攻击特征的提示特征信息,根据前述攻击特征和提示特征确定前述网络节点和关联网络节点的网络漏洞类型;
基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;
获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
一种态势感知的网络漏洞防御装置,包括结构:
漏洞扫描单元,用以对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型;
漏洞影响确定单元,用以基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;
漏洞防御单元,用以获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
一种态势感知的网络漏洞防御***,包括:
网络节点,用于收发数据;
态势感知***,定期检测出现过网络漏洞的网络节点,将前述网络节点的日志信息进行安全分析;
***服务器,所述***服务器连接网络节点和态势感知***;
所述***服务器被配置为:对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型;基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
基于上述优点和积极效果,本发明的优势在于:对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型;基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
进一步,所述攻击特征信息中还包括对应前述攻击特征的提示特征信息。
进一步,包括步骤,对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,以及对应前述攻击特征的提示特征信息,根据前述攻击特征和提示特征确定前述网络节点和关联网络节点的网络漏洞类型;
基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;
获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
附图说明
图1为本发明实施例提供的一个流程图。
图2为本发明实施例提供的另一个流程图。
图3为本发明实施例提供的装置的结构示意图。
图4为本发明实施例提供的***的结构示意图。
附图标记说明:
装置200,漏洞扫描单元201,漏洞影响确定单元202,漏洞防御单元203;
***300,网络节点301,态势感知***302,***服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种态势感知的网络漏洞防御方法、装置及***作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。
所述网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述关联网络节点是指与前述网络节点具有关联关系的网络节点。所述关联关系包括但不限制于因果关系、递进关系等。
所述漏洞扫描是指基于漏洞数据库,通过自动化工具扫描等手段对指定的远程或者本地计算机***的安全脆弱性进行检测,从而发现可利用漏洞的一种安全检测行为。
所述漏洞扫描能够基于漏洞数据库中预设的漏洞扫描规则扫描网络环境中的网络节点和各网络节点间的数据传输协议,来确定网络漏洞。
作为举例而非限制,所述漏洞扫描可以优选通过扫描网络节点的访问操作来获取网络漏洞,即在网络节点的访问操作与***的安全策略冲突时,视为存在网络漏洞。
所述攻击特征包括但不限制于网络报文嗅探、IP地址欺骗、密码攻击、拒绝服务攻击、分布式拒绝服务等。
所述网络报文嗅探通过嗅探器,以利用计算机的网络接口,截获目的计算机数据报文的一种技术。
所述IP地址欺骗攻击是通过假冒受信主机的IP地址,对目标进行攻击。
所述密码攻击通过多种不同方法实现,包括但不限制于蛮力攻击,特洛伊木马程序等。
所述拒绝服务(Denial of Service,DoS)攻击通过拒绝服务访问,破坏网络的正常运行,最终网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器***的相关服务崩溃、***资源耗尽。
所述分布式拒绝服务(Distributed Denial of Service,简称DDoS)是一种基于DoS的特殊形式的分布、协作式的大规模拒绝服务攻击,通过同时实施几个,甚至十几个不同服务的拒绝攻击,从而使网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器***的相关服务崩溃、***资源耗尽。
值得注意的是,当某一网络节点处监测到存在前述攻击特征时,可以优选视为存在网络攻击或是攻击方正在尝试利用网络漏洞对网络节点发起网络攻击。
所述网络漏洞类型包括但不限制于缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、Web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、Webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制和Webshell上传等。
在确定攻击特征和网络漏洞类型后,可以依据前述攻击特征和网络漏洞类型从预设的态势感知***的网络漏洞数据库中调取对应前述攻击特征和网络漏洞类型的防御方案。
S102,基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围。
所述态势感知***是指整合防病毒软件、防火墙、网管***、入侵监测***、安全审计***等多个数据信息***,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
所述影响范围能够基于前述态势感知***的态势感知能力获得。所述影响范围涉及与前述存在网络漏洞信息的网络节点,以及该网络节点的关联网络节点。
S103,获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
所述基于时间轴的攻击顺序可以优选以访问网络节点时攻击特征所涉及的发生时间顺序为序。
例如,现通过漏洞扫描操作获取了五个攻击特征,此时,所述攻击顺序可以是攻击特征1、攻击特征2、攻击特征3、攻击特征4、至攻击特征5。
作为本实施例的一个优选实施方式,现通过漏洞扫描操作获取网络漏洞信息,并得到了网络环境中的前述五个攻击特征在访问网络节点中的攻击顺序、前述五个攻击特征对应所述网络节点和关联网络节点的两种网络漏洞类型,以及前述网络漏洞对网络节点和关联网络节点预测的影响范围涉及一个网络节点和两个关联网络节点。
其中,五个攻击特征分别为攻击特征1、攻击特征2、攻击特征3、攻击特征4和攻击特征5;前述攻击特征对应所述网络节点和关联网络节点的网络漏洞类型为网络漏洞类型1和网络漏洞类型2;以及,影响范围网络节点1、关联网络节点1和关联网络节点2。
获取前述基于时间轴的攻击顺序(即攻击特征1、攻击特征2、攻击特征3、攻击特征4至攻击特征5)、前述攻击特征对应所述网络节点和关联网络节点的网络漏洞类型(即网络漏洞类型1和网络漏洞类型2),以及前述网络漏洞对网络节点和关联网络节点预测的影响范围(即网络节点1、关联网络节点1和关联网络节点2)。
然后,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
例如,当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的结果可以是由网络漏洞类型1和网络节点1匹配攻击特征1,也可以是由网络漏洞类型2和关联网络节点1匹配攻击特征2,由网络漏洞类型2和关联网络节点1匹配攻击特征3,还可以是由网络漏洞类型2和关联网络节点2匹配攻击特征4,以及,由网络漏洞类型2和关联网络节点2匹配攻击特征5。
所述当前时间下的攻击操作可以对应前述攻击特征1、攻击特征2、攻击特征3、攻击特征4和攻击特征5的任一攻击操作。
在获得前述匹配的结果后,从预设的态势感知***的网络漏洞数据库的防御方案中调取对应前述攻击特征的防御顺序,以进行防御。
前述防御可以针对网络节点中的硬件设备故障,也可以针对网络节点中的软件***故障进行防御,例如:网络端口、网络板卡、网络环路、广播风暴、流量占用、病毒等。
优选的,所述漏洞扫描操作中选取的数据包括发现时间、漏洞名称、危害级别、资产IP、扫描任务名称、数据来源、状态、处置优先级、操作。
优选的,所述网络漏洞类型包括缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、Web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、Webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制和Webshell上传。
优选的,在进行前述防御操作后,对前述网络漏洞对应的网络节点进行持续监测,对所述持续监测设定时间周期和监控等级,所述时间周期和监控等级与前述网络漏洞的危害级别相匹配;当所述网络节点,以及所述网络节点与关联网络节点的通信连接满足网络安全要素时,解除前述持续监控的设置;否则,对该网络节点再一次进行漏洞扫瞄,以得到故障原因。
优选的,所述预测的影响范围包括前述网络漏洞对应的网络节点,以及前述网络节点与关联网络节点间的通信连接。
优选的,对对应网络漏洞造成的告警信息进行故障处理,所述故障处理包括对对应网络漏洞依据预设的漏洞防御方案进行防御。
在本实施例的优选实施方式中,所述告警是一种用于传递告警信息的事件报告,简称告警。它可以由生产厂商定义好,也可以由管理员结合网络中的告警进行定义。在发生一次告警时,***就会接收到一次告警信号,表示已发生一次告警,并通过告警信息的形式进行故障描述,所述故障体现网络环境中的设备产生告警的原因。所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
可选的,对前述存在网络漏洞信息的网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
在进行数据监控时,所述态势感知***同时可以对发生告警的网络节点中未触发告警的端口和/或IP地址进行监控,所述端口和/或IP地址采取多路复用方式进行通信。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于态势感知***对用户的访问路径进行跟踪。
在触发告警时,所述告警会显示针对触发告警的网络节点的端口信息,同时,对其他未触发告警的网络节点的端口的执行操作进行监控,能够确保网络安全的实时布控,使前述端口和/或IP地址在未触发告警时保持与其他网络节点的正常通信和稳定运行。
可选的,对与前述存在网络漏洞信息的网络节点具有通信连接的网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
可选的,对基于态势感知能力得到的与前述存在网络漏洞信息的网络节点具有因果关系的网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
优选的,所述攻击特征信息中还包括对应前述攻击特征的提示特征信息。
参见图2所示,为本发明的另一实施例,具体包括步骤S110:
S111,对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,以及对应前述攻击特征的提示特征信息,根据前述攻击特征和提示特征确定前述网络节点和关联网络节点的网络漏洞类型。
所述提示特征可以是网络节点在发出访问请求信息时,对相应的访问操作行为进行提醒或起到警示作用的特征。
所述提示特征还可以针对前述攻击特征进行对应的提醒或警示。
作为举例而非限制,例如所述提示特征的表现形式优选可以是在访问网络节点时,输入用户名和密码错误的情况下,出现“密码应为8个字符”的提示特征信息。
值得注意的是,当某一网络节点处监测到存在前述攻击特征和前述提示特征时,可以优选视为存在网络攻击或是攻击方正在尝试利用网络漏洞对网络节点发起网络攻击。
S112,基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围。
S113,获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
作为本实施例的一个优选实施方式,现通过漏洞扫描操作获取网络漏洞信息,并汇总了网络环境中的前述五个攻击特征和三个提示特征在访问网络节点中的攻击顺序、前述五个攻击特征对应所述网络节点和关联网络节点的两种网络漏洞类型,以及前述网络漏洞对网络节点和关联网络节点预测的影响范围涉及一个网络节点和两个关联网络节点。
其中,五个攻击特征分别为攻击特征1、攻击特征2、攻击特征3、攻击特征4和攻击特征5;三个提示特征分别为提示特征1、提示特征2和提示特征3;前述攻击特征对应所述网络节点和关联网络节点的两种网络漏洞类型分别为网络漏洞类型1和网络漏洞类型2;以及,影响范围网络节点1、关联网络节点1和关联网络节点2。
获取前述基于时间轴的攻击顺序(攻击特征1、提示特征1、攻击特征2、攻击特征3、提示特征2、攻击特征4、攻击特征5至提示特征3)、前述攻击特征对应所述网络节点和关联网络节点的网络漏洞类型(即网络漏洞类型1和网络漏洞类型2),以及前述网络漏洞对网络节点和关联网络节点的影响范围(即网络节点1、关联网络节点1和关联网络节点2)。
然后,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
例如,当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的结果可以是由网络漏洞类型1和网络节点1匹配攻击特征1,由网络漏洞类型1和网络节点1匹配提示特征1;也可以是由网络漏洞类型2和关联网络节点1匹配攻击特征2,由网络漏洞类型2和关联网络节点1匹配攻击特征3,由网络漏洞类型2和关联网络节点1匹配提示特征2;还可以是由网络漏洞类型2和关联网络节点2匹配攻击特征4,由网络漏洞类型2和关联网络节点2匹配攻击特征5,以及,由网络漏洞类型2和关联网络节点2匹配提示特征3。
此时,所述当前时间下的攻击操作可以是对应前述攻击特征1、攻击特征2、攻击特征3、攻击特征4、攻击特征5、提示特征1、提示特征2和提示特征3中的任一攻击操作。
在获得前述匹配的结果后,从预设的态势感知***的网络漏洞数据库的防御方案中调取对应前述攻击特征的防御顺序,以进行防御。
其它技术特征参考在前实施例,在此不再赘述。
参见图3所示,本发明还给出了一个实施例,提供了一种态势感知的网络漏洞防御装置200,其特征在于包括结构:
漏洞扫描单元201,用以对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型。
漏洞影响确定单元202,用以基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围。
漏洞防御单元203,用以获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
此外,参见图4所示,本发明还给出了一个实施例,提供了一种态势感知的网络漏洞防御***300,其特征在于包括:
网络节点301,用于收发数据。
态势感知***302,定期检测出现过网络漏洞的网络节点,将前述网络节点的日志信息进行安全分析。
所述定期检测可以设置检测时间或是检测时间周期,所述的定期检测可以是下述项目,包括但不限于网页防篡改,进程异常行为,异常登录等。
所述网络节点的日志信息是指网络设备、***及服务程序等,在运作时产生的事件记录,其中,每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于连接持续的时间,协议类型,目标主机的网络服务类型,连接正常或错误的状态,从源主机到目标主机的数据字节数,从目标主机到源主机的数据字节数,错误分段的数量,加急包的个数,连接是否来自同一个主机,是否有相同的端口等。
***服务器303,所述***服务器303连接网络节点301和态势感知***302。
所述***服务器303被配置为:对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型;基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (7)
1.一种态势感知的网络漏洞防御方法,其特征在于包括步骤,
对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征信息确定前述网络节点和关联网络节点的网络漏洞类型;其中,所述攻击特征信息中还包括对应前述攻击特征信息的提示特征信息;在对网络节点和关联网络节点进行漏洞扫描操作时,获取网络漏洞的攻击特征信息,以及对应前述攻击特征信息的提示特征信息,根据前述攻击特征信息中的提示特征信息确定前述网络节点和关联网络节点的网络漏洞类型;基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御;
在获取前述匹配的结果后,从预设的态势感知***的网络漏洞数据库的防御方案中调取对应前述攻击特征的防御顺序进行防御;在进行前述防御操作后,对前述网络漏洞对应的网络节点进行持续监测,对所述持续监测设定时间周期和监控等级,所述时间周期和监控等级与前述网络漏洞的危害级别相匹配;当所述网络节点,以及所述网络节点与关联网络节点的通信连接满足网络安全要素时,解除前述持续监测的设置;否则,对该网络节点再一次进行漏洞扫描,以得到故障原因。
2.根据权利要求1所述的方法,其特征在于,所述漏洞扫描操作中选取的数据包括发现时间、漏洞名称、危害级别、资产IP、扫描任务名称、数据来源、状态、处置优先级、操作。
3.根据权利要求1所述的方法,其特征在于,所述网络漏洞类型包括缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、Web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、Webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制和Webshell上传。
4.根据权利要求1所述的方法,其特征在于,所述预测的影响范围包括前述网络漏洞对应的网络节点,以及前述网络节点与关联网络节点间的通信连接。
5.根据权利要求1所述的方法,其特征在于,对对应网络漏洞造成的告警信息进行故障处理,所述故障处理包括对对应网络漏洞依据预设的漏洞防御方案进行防御。
6.一种态势感知的网络漏洞防御装置,包括如权利要求1-5中任一项所述的方法,其特征在于包括结构:
漏洞扫描单元,用以对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型;
漏洞影响确定单元,用以基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;
漏洞防御单元,用以获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
7.一种态势感知的网络漏洞防御***,包括如权利要求1-5中任一项所述的方法,其特征在于包括:
网络节点,用于收发数据;
态势感知***,定期检测出现过网络漏洞的网络节点,将前述网络节点的日志信息进行安全分析;
***服务器,所述***服务器连接网络节点和态势感知***;
所述***服务器被配置为:对网络节点和关联网络节点进行漏洞扫描操作,获取网络漏洞的攻击特征信息,根据前述攻击特征确定前述网络节点和关联网络节点的网络漏洞类型;
基于态势感知***预测前述网络漏洞类型对前述网络节点和关联网络节点的影响范围;
获取攻击方对前述网络节点执行的基于时间轴的攻击顺序,基于前述攻击顺序,根据时间轴信息从预设的态势感知***的网络漏洞数据库中调取与当前时间下的攻击操作对应的网络漏洞类型和影响范围信息匹配的防御方案进行防御。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111374774.7A CN114189360B (zh) | 2021-11-19 | 2021-11-19 | 态势感知的网络漏洞防御方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111374774.7A CN114189360B (zh) | 2021-11-19 | 2021-11-19 | 态势感知的网络漏洞防御方法、装置及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114189360A CN114189360A (zh) | 2022-03-15 |
| CN114189360B true CN114189360B (zh) | 2023-09-29 |
Family
ID=80602227
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111374774.7A Active CN114189360B (zh) | 2021-11-19 | 2021-11-19 | 态势感知的网络漏洞防御方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114189360B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及*** |
| CN109257329A (zh) * | 2017-07-13 | 2019-01-22 | 国网浙江省电力公司电力科学研究院 | 一种基于海量Web日志的网站风险指数计算***及方法 |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及*** |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
| CN110912945A (zh) * | 2019-12-31 | 2020-03-24 | 深信服科技股份有限公司 | 网络攻击入口点的检测方法、装置、电子设备及存储介质 |
| CN111294345A (zh) * | 2020-01-20 | 2020-06-16 | 支付宝(杭州)信息技术有限公司 | 一种漏洞检测方法、装置及设备 |
| CN111464507A (zh) * | 2020-03-17 | 2020-07-28 | 南京航空航天大学 | 一种基于网络报警信息的apt检测方法 |
| CN111741023A (zh) * | 2020-08-03 | 2020-10-02 | 中国人民解放军国防科技大学 | 面向网络攻防试验平台的攻击研判方法、***及介质 |
| CN113660224A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于网络漏洞扫描的态势感知防御方法、装置及*** |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2163063A2 (en) * | 2007-05-24 | 2010-03-17 | Iviz Techno Solutions Pvt. Ltd | Method and system for simulating a hacking attack on a network |
| US9680855B2 (en) * | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
| US10474966B2 (en) * | 2017-02-27 | 2019-11-12 | Microsoft Technology Licensing, Llc | Detecting cyber attacks by correlating alerts sequences in a cluster environment |
-
2021
- 2021-11-19 CN CN202111374774.7A patent/CN114189360B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109257329A (zh) * | 2017-07-13 | 2019-01-22 | 国网浙江省电力公司电力科学研究院 | 一种基于海量Web日志的网站风险指数计算***及方法 |
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及*** |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及*** |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
| CN110912945A (zh) * | 2019-12-31 | 2020-03-24 | 深信服科技股份有限公司 | 网络攻击入口点的检测方法、装置、电子设备及存储介质 |
| CN111294345A (zh) * | 2020-01-20 | 2020-06-16 | 支付宝(杭州)信息技术有限公司 | 一种漏洞检测方法、装置及设备 |
| CN111464507A (zh) * | 2020-03-17 | 2020-07-28 | 南京航空航天大学 | 一种基于网络报警信息的apt检测方法 |
| CN111741023A (zh) * | 2020-08-03 | 2020-10-02 | 中国人民解放军国防科技大学 | 面向网络攻防试验平台的攻击研判方法、***及介质 |
| CN113660224A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于网络漏洞扫描的态势感知防御方法、装置及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114189360A (zh) | 2022-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11405359B2 (en) | Network firewall for mitigating against persistent low volume attacks | |
| US10587636B1 (en) | System and method for bot detection | |
| Binde et al. | Assessing outbound traffic to uncover advanced persistent threat | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| US8375120B2 (en) | Domain name system security network | |
| US8966631B2 (en) | Detecting malicious behaviour on a computer network | |
| US8302198B2 (en) | System and method for enabling remote registry service security audits | |
| JP2020515962A (ja) | Apt攻撃に対する防御 | |
| US20160014081A1 (en) | System, apparatus, and method for protecting a network using internet protocol reputation information | |
| US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
| CN113839935B (zh) | 网络态势感知方法、装置及*** | |
| US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
| US9253153B2 (en) | Anti-cyber hacking defense system | |
| WO2009039434A2 (en) | System and method for detecting security defects in applications | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及*** | |
| KR100973076B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
| CN114301647B (zh) | 态势感知中漏洞信息的预测防御方法、装置及*** | |
| CN112583845A (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及*** | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及*** | |
| CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及*** | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及*** | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及*** | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |