CN115208647A - 一种攻击行为处置方法及装置 - Google Patents
一种攻击行为处置方法及装置 Download PDFInfo
- Publication number
- CN115208647A CN115208647A CN202210783258.8A CN202210783258A CN115208647A CN 115208647 A CN115208647 A CN 115208647A CN 202210783258 A CN202210783258 A CN 202210783258A CN 115208647 A CN115208647 A CN 115208647A
- Authority
- CN
- China
- Prior art keywords
- attack
- threat value
- value score
- target
- attack behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000006399 behavior Effects 0.000 claims abstract description 192
- 238000004891 communication Methods 0.000 claims abstract description 48
- 230000016571 aggressive behavior Effects 0.000 claims description 12
- 230000000903 blocking effect Effects 0.000 claims description 10
- 206010001488 Aggression Diseases 0.000 claims description 5
- 238000009825 accumulation Methods 0.000 claims description 4
- 238000007405 data analysis Methods 0.000 claims description 3
- 208000012761 aggressive behavior Diseases 0.000 claims 3
- 238000012545 processing Methods 0.000 description 19
- 238000004458 analytical method Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种攻击行为处置方法及装置,通过获取预设时间段内的日志数据,并对日志数据中攻击行为关联设备的通信地址以及目标攻击行为信息的统计与分析,根据预设规则,生成针对攻击源设备的威胁值评分,通过对攻击源设备评分,直接封禁威胁值大于预设阈值的攻击源设备,从攻击源去避免再次受到威胁,可以阻断恶意攻击源设备的所有攻击行为。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种攻击行为处置方法、装置、电子设备及计算机可读存储介质。
背景技术
安全编排和自动化响应是将复杂的威胁事件响应过程和运维任务转化为一致的,可重复的处理工作流,在执行威胁事件时,通过调度处理工作流,完成响应。
目前,对威胁事件的处置的重点在于调度每个威胁事件处置的顺序以及处理工作流的设计,以应对每一次的攻击行为。
针对新型的变种攻击,由于识别难度较大,利用已有的处理工作流难以进行准确的识别与处理。
发明内容
本发明实施例提供一种攻击行为处置方法及装置,以解决现有技术中对变种攻击难以识别并处理的问题。
第一方面,本发明实施例提供了一种攻击行为处置方法,所述方法包括:
获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息;
对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息;
根据所述出现频次和/或所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,所述威胁值评分与所述通信地址的出现频次以及所述目标攻击行为信息的种类成正比例关系;
在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。
第二方面,本发明实施例提供了一种攻击行为处置装置,所述装置包括:
日志数据获取模块,用于获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息;
日志数据分析模块,用于对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息;
威胁值评分生成模块,用于根据所述出现频次和/或所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,所述威胁值评分与所述通信地址的出现频次以及所述目标攻击行为信息的种类成正比例关系;
攻击源设备封禁模块,用于在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。
第三方面,本发明实施例还提供了一种电子设备,包括处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现所述第一方面的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,当所述计算机可读存储介质中的指令由电子设备的处理器执行时,使得所述电子设备能够执行所述第一方面的方法。
在本发明实施例中,通过获取预设时间段内的日志数据,并对日志数据中攻击行为关联设备的通信地址以及目标攻击行为信息的统计与分析,根据预设规则,生成针对攻击源设备的威胁值评分,通过对攻击源设备评分,直接封禁威胁值大于预设阈值的攻击源设备,从攻击源去避免再次受到威胁,可以阻断恶意攻击源设备的所有攻击行为。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
图1是本发明实施例提供的一种攻击行为处置方法的步骤流程图;
图2是本发明实施例提供的又一种攻击行为处置方法的步骤流程图;
图3是本发明实施例提供的再一种攻击行为处置方法的步骤流程图;
图4是本发明实施例提供的一种攻击行为处理流程图;
图5是本发明实施例提供的一种攻击行为处置装置框图;
图6是本发明实施例提供的一种电子设备的逻辑框图;
图7是本发明实施例提供的一种另一种电子设备的逻辑框图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1,是本发明实施例提供的一种攻击行为处置方法的步骤流程图,如图1所示,该方法可以包括:
步骤101、获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息。
在本发明实施例中,日志数据可以为安全防护设备获得的数据,攻击行为关联设备包括:攻击源设备和被攻击方设备,攻击源设备用于表征发起攻击以侵入另一设备的设备或攻击地址,被攻击方设备用于表征被攻击入侵的设备或地址,日志数据中可以包含攻击源设备和被攻击方设备的通信地址,如攻击源设备的IP(Internet Protocol,网际互连协议)地址、被攻击方设备的域名或统一资源标识符(Uniform Resource Identifier,URI)信息等,攻击行为信息可以为攻击源设备发送至被攻击方设备的有效负载(payload)信息。对于攻击方来说发送至被攻击方的病毒通常会做一些有害的或者恶性的动作,payload信息为在被攻击方***中执行的代码或指令,payload可以实现任何运行在被攻击方环境中的程序所能做的事情,并且能够执行动作如:破坏文件删除文件,向攻击方或者任意的接收者发送敏感信息,以及提供通向被攻击方设备的权限等。在日志数据中记载着每一次攻击行为对应的攻击源地址、被攻击方地址、攻击行为信息等记录,通过获取的日志数据,可以对攻击行为进行分析并处置。
步骤102、对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息。
在本发明实施例中,可以通过对日志数据中记录的内容的统计与分析,对攻击行为进行判断,例如,可以获得在一定时间内,某一个攻击源IP出现的频次,通过对频次的统计,确定是否要对攻击源进行处理。或者可以获得攻击源设备对应的攻击行为信息,通过对攻击行为信息的分析,判断其是否携带有威胁被攻击方设备的信息,进一步对该攻击行为信息对应的攻击源设备做出处理。
步骤103、根据所述出现频次和/或所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,所述威胁值评分与所述通信地址的出现频次以及所述目标攻击行为信息的种类成正比例关系。
在本发明实施例中,威胁值评分为用于表征攻击源设备的威胁真实性或者威胁可能性的参数,威胁值评分越大,表明攻击源设备对被攻击方设备可能造成的威胁最大。本申请中可以根据出现频次和/或所述目标攻击行为信息,生成针对攻击源设备的威胁值评分,以确定是否需要对攻击源设备进行处置,获得攻击源设备的威胁值评分的方式可以为:统计通信地址的出现频次,例如,若攻击源设备的IP地址在两小时内出现了10次,则对该攻击源设备的威胁值的评分加10,若攻击源设备的IP地址在两小时内出现了20 次,则对该攻击源设备的威胁值的评分加20,通过出现频次与威胁值评分的对应关系,得到攻击源设备的威胁值评分。或者设置出现频次的阈值,在出现频次超过阈值后,则给攻击源设备的评分赋值一个固定的分值,通过对出现频次的统计可以得到攻击源设备的威胁值评分。
进一步的,还可以通过对目标攻击行为信息的分析,得到攻击源设备的威胁值评分,例如,分析目标攻击行为信息中是否包含存在威胁可能的字段,若存在,则给攻击源设备的威胁值评分赋值。
步骤104、在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。
在本发明实施例中,可以设置威胁值评分的阈值,当攻击源设备的威胁值评分达到阈值后,即认为该攻击源设备具有威胁性,对其进行封禁处理。例如:配置IP黑名单,将威胁值评分大于或等于第一预设阈值的攻击源设备的IP地址加入黑名单,拒绝其对被攻击方设备的网络的请求,被攻击方设备在接收到请求服务之前,对发起请求服务的设备的地址与黑名单地址进行匹配,判断其是否在黑名单中,若在,则拒绝该设备的访问或拒绝接收该设备发送的数据包。威胁值评分可以为根据出现频次统计得到,也可以为根据对目标攻击行为信息的分析得到,也可以为两者得到的分数进行加和得到,本发明在此不作限制。
进一步地,若设置第一预设阈值为85分,若统计得到的攻击源设备的威胁值评分大于或等于85分,则可以对攻击源设备直接封禁处理,若攻击源设备的威胁值评分在60-85之间,则发送告警信息至被攻击方设备或管理设备,以提示业务人员关注该攻击源设备,若统计得到的攻击源设备的威胁值评分小于60分,则安全防护设备继续保持对该攻击源设备的攻击行为的记录与统计。
综上,在本发明实施例中,通过获取预设时间段内的日志数据,并对日志数据中攻击行为关联设备的通信地址以及目标攻击行为信息的统计与分析,根据预设规则,生成针对攻击源设备的威胁值评分,通过对攻击源设备评分,直接封禁威胁值大于预设阈值的攻击源设备,从攻击源去避免再次受到威胁,可以阻断恶意攻击源设备的所有攻击行为。
图2是本发明实施例提供的又一种攻击行为处置方法的步骤流程图,如图2所示,该方法可以包括:
步骤201、获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息。
该步骤具体可以参照上述步骤101,此处不再赘述。
步骤202、对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次。
该步骤具体可以参照上述步骤102,此处不再赘述。
步骤203、根据所述出现频次,生成针对所述攻击源设备的威胁值评分。
在本发明实施例中,可以通过对预设时间段内攻击源设备的地址或被攻击方设备的地址在日志数据中出现的频次的统计,得到威胁值评分。若攻击源设备的地址在预设时间段内在日志数据中出现的频次较高,则表明该攻击源设备的攻击频率较高,通过对预设时间内攻击源设备的地址出现频次的统计,可以得到关于该攻击源设备的威胁值评分。同样,可以通过对攻击源设备在预设时间段内攻击的被攻击方设备的数量的统计、或攻击源设备对应的攻击行为信息的种类的统计,获得威胁值评分。
可选地,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址;步骤203具体可以包括:
子步骤2031,获取预设时间段内所述日志数据中与所述第一地址相关的日志的第一数目。
在本发明实施例中,可以通过对日志数据中第一地址的统计,获得威胁值评分,若预设时间内,第一地址频繁出现,则表明第一地址对应的攻击源设备的攻击频率较高,因此,可以通过对第一地址的出现频次的统计,对攻击源设备的威胁性做出判断,在统计出现频次时,若每次统计时可以统计 10秒内的日志数据,可以将两小时作为预设时间段,通过对连续两小时内的日志数据的持续的统计与分析,综合得到两小时内第一地址出现频次的数据。
子步骤2032,根据所述第一数目确定所述威胁值评分,所述第一数目与所述威胁值评分呈正比例关系。
在本发明实施例中,在得到两小时内第一地址出现频次的数据后。可以通过对频次的分析,得到威胁值评分,分析方法可以为:分析出现频次是否超过预设的阈值,若超过预设的阈值则为该攻击源设备的威胁值评分进行赋值。例如,设置两小时内出现频次的预设的阈值为10次,超过阈值则攻击源的评价加10。统计得到两小时内第一地址的出现次数为8次,则不为攻击源设备赋分,若统计的过程中,在统计到一小时内的数据后,第一地址的出现频次已经达到10次,则直接为攻击源设备赋分10分,无需对剩余时间内第一地址的出现频次进行统计。
或者,分析方法可以为:设置出现频次与威胁值评分的对应关系,根据对应关系得到攻击源设备的威胁值评分,例如,设置两小时内出现频次在 10次至20次,威胁值评分为10分,两小时内出现频次在21次至30次,威胁值评分为20分,两小时内出现频次在31次至40次,威胁值评分为30 分,,两小时内出现频次在大于40,威胁值评分为40分,则在统计得到第一地址的出现频次后,通过判断出现频次位于哪一个频次区间,得到对应该频次的威胁值评分,如:若两小时内统计得到的第一地址的出现频次为20 次,则对应该攻击源设备的威胁值评分加10。
通过设置第一地址出现频次的阈值,可以避免第一地址出现频次过高后,得到较高的分数,导致仅统计第一地址后,威胁值评分的分数就超过阈值,以至于对攻击源设备直接封禁,造成误判,同时,在小于预设时间范围内,第一地址的出现频次达到预设阈值后,不对剩余时间的第一地址的出现频次进行统计,避免了资源浪费,提高统计的效率。
可选地,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址;所述第一地址与所述目标攻击行为信息具有对应关系;步骤203具体可以包括:
子步骤2033,获取预设时间段内所述日志数据中与所述第一地址对应的目标攻击行为信息的种类的第二数目。
在本发明实施例中,可以通过统计日志数据中与第一地址对应的目标攻击行为信息的种类的第二数目,对攻击源设备的威胁值评分进行赋分。不同种类的目标攻击行为信息可以对被攻击方设备造成不同的威胁,若第一地址对应的目标攻击行为信息的种类较多,表明该第一地址对应的攻击源设备具有较强的攻击性,通过统计预设时间内,第一地址对应的目标攻击行为信息的种类即可判断攻击源设备是否对被攻击方设备具有一定的威胁。
子步骤2034,根据所述第二数目确定所述威胁值评分,所述第二数目与所述威胁值评分呈正比例关系。
在本发明实施例中,在得到表示预设时间内,第一地址对应的目标行为信息的种类的第二数目后,可以通过第二数目确定威胁值评分,确定方式可以为:分析第二数目是否超过预设的阈值,若超过预设的阈值则为该攻击源设备的威胁值评分进行赋值。例如,设置两小时内第二数目的预设的阈值为 10个,超过阈值则攻击源的评价加10。统计得到两小时内第二数目为8个,则不为攻击源设备赋分,若统计的过程中,在统计到一小时内的数据后,第二数目的数值已经达到10个,则直接为攻击源设备赋分10分,无需对剩余时间内第一地址对应的目标行为信息的种类进行统计。
或者,分析方法可以为:设置第二数目与威胁值评分的对应关系,根据对应关系得到攻击源设备的威胁值评分,例如,设置两小时内第二数目在 10至20,威胁值评分为10分,两小时第二数目在21至30,威胁值评分为 20分,两小时内第二数目在31至40,威胁值评分为30分,两小时内第二数目在大于40,威胁值评分为40分,则在统计得到第二数目的数值后,通过判断数值位于哪一个区间,即得到对应该数目的威胁值评分,如:若两小时内统计得到的第二数目的数值为20,则对应该攻击源设备的威胁值评分加10。
可选地,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址,被攻击方设备的第二地址;所述第二地址包括:被攻击方的域名以及统一资源标识符;所述第一地址与所述第二地址具有对应关系;步骤203具体可以包括:
子步骤2035,获取预设时间段内所述日志数据中与所述第一地址对应的第二地址的第三数目。
在本发明实施例中,可以通过对第一地址对应的第二地址的第三数目的统计,得到攻击源设备的威胁值评分,若日志数据中,某一个攻击源地址攻击的被攻击方地址的数目较多,则可以判断该攻击源设备具有较强的攻击性,因此,通过对与第一地址对应的第二地址的第三数目的统计可以得到攻击源设备的威胁值评分。
子步骤2036,根据所述第三数目确定所述威胁值评分,所述第三数目与所述威胁值评分呈正比例关系。
在得到表示预设时间内,第一地址对应的第二地址的第三数目后,可以通过第三数目确定威胁值评分,确定方式可以为:设置第三数目的阈值,判断第三数目是否超过阈值,若超过,则将攻击源设备的威胁值评分赋值预设值,或者,设置第三数目数值区间与威胁值评分的对应关系,判断预设时间内第三数目在本发明实施例中,所处区间,根据所处区间对应的威胁值评分,得到攻击源设备的攻击源评分,具体实施方式可以参考子步骤2032或子步骤2034,此处不再赘述。
步骤204、在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。
在本发明实施例中,可以通过设置威胁值评分的预设阈值,确定是否对攻击源设备进行封禁。判断威胁值评分是否大于或等于第一预设阈值,可以通过判断根据第一数目确定所述威胁值评分或者根据第二数目确定所述威胁值评分或者根据第三数目确定所述威胁值评分是否大于或等于第一预设阈值确定,也可以通过判断根据第一数目确定所述威胁值评分以及根据第二数目确定所述威胁值评分以及根据第三数目确定所述威胁值评分,三者相加后得到的威胁值评分是否大于或等于第一预设阈值确定,若大于或等于,则将攻击源设备进行封禁,若不大于,则不进行处理。通过设置预设阈值,可以将超过预设阈值的攻击源设备及时的做出处理,通过综合计算第一数目、第二数目以及第三数目对应的威胁值评分得到攻击源设备的最终威胁值评分,使得攻击源设备对应的威胁值评分更加客观,可以准确反映攻击源设备是否造成威胁,避免误判。
综上,在本发明实施例中,通过获取预设时间段内的日志数据,并对日志数据中攻击行为关联设备的通信地址以及目标攻击行为信息的统计与分析,根据预设规则,生成针对攻击源设备的威胁值评分,通过对攻击源设备评分,直接封禁威胁值大于预设阈值的攻击源设备,从攻击源去避免再次受到威胁,可以阻断恶意攻击源设备的所有攻击行为。
图3是本发明实施例提供的再一种攻击行为处置方法的步骤流程图,如图3所示,该方法可以包括:
步骤301、获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息。
该步骤具体可以参照上述步骤101,此处不再赘述。
步骤302、对所述日志数据进行分析,获取所述攻击行为关联设备的目标攻击行为信息。
该步骤具体可以参照上述步骤102,此处不再赘述。
步骤303、根据所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分。
在本发明实施例中,目标攻击行为信息即攻击源设备携带的payload信息,payload信息里通常会会出现大量的路径穿越符以及相关敏感目录,例如:/etc/passwd,/etc/group,C:\boot.int等,攻击源设备可以进一步利用这些路径对被攻击方设备的源码文件进行读取,或者利用:web.xmI、*.class 等关键字进行相关的编码操作。因此,可以对攻击源设备携带的目标攻击行为信息进行分析,判断其中出否包括上述示例字段,或其他攻击字段的,进一步通过预设的攻击字段与威胁值评分的对应关系,确定攻击源设备的威胁值评分。
可选地,所述攻击行为信息为所述目标攻击源设备携带的信息,步骤 303具体可以包括:
子步骤3031、获取预设数据库中的特征评分表,所述特征评分表包括攻击行为信息的第一关键字段与威胁值评分的对应关系。
在本发明实施例中,特征评分表为预存在被攻击方设备的数据库中的表,特征评分表中存储有攻击行为信息的第一关键字段与威胁值评分的对应关系。其中,第一关键字段为获取的目标攻击行为信息即payload信息中携带的部分字段,如可以为:“etc/passwd”、“and‘1=1”等,攻击源设备可以通过这些字段获得被攻击方设备的文件权限,在特征评分表存储有这些字段对应的威胁值评分,如“etc/passwd”对应10分,“and‘1=1”对应20分。通过获取特征评分表,并利用特征评分表与获得的目标攻击行为信息进行比对,可以对获取的目标攻击行为信息中是否包含与第一关键字段相同的字段进行判断,若存在对应的字段,根据第一关键字段对应的威胁值评分,可以直接将第一关键字段对应的威胁值评分作为攻击源设备的威胁值评分进行赋分。通过特征评分表,可以快速确定攻击源设备的威胁值评分,在攻击源设备的攻击频率较低,无法通过统计出现频次确定威胁值评分时,利用特征评分表确定威胁值评分可以保证攻击频率较低的攻击源设备被检测到。
子步骤3032、根据所述对应关系,获取与所述目标攻击行为信息的第二关键字段匹配的第一关键字段,并根据所述第一关键字段对应的评分,获得所述攻击源设备的威胁值评分。
在本发明实施例中,获取到攻击行为信息后,可以将攻击行为信息与特征评分表进行比对,目标攻击行为信息的第二关键字段表征的为目标攻击行为信息中携带的攻击特征,可以通过对目标攻击行为信息的分析,获取第二关键字段,如:通过对获取的多个目标攻击行为信息的分析,得到多个目标攻击行为信息中共同携带的字段,此字段即可作为目标攻击行为信息的第二关键字段,在与特征评分表中的第一关键字段比较时,若特征评分表中存在与第二关键字段匹配的第一关键字段,则该第一关键字段对应的威胁值评分,即该目标攻击行为信息对应的攻击源设备的威胁值评分可以在已有威胁值评分的基础上累加第一关键字段对应的威胁值评分,或者在威胁值评分为 0时,将第一关键字段对应的威胁值评分作为攻击源设备的威胁值评分。
例如,若攻击源设备此时的威胁值评分为20,在与特征评分表匹配后,得到目标攻击行为信息的第二关键字段“etc/passwd”与特征评分表中的第一关键字段“etc/passwd”匹配,则此时攻击源设备的威胁值评分可以在20的基础上累加第一关键字段“etc/passwd”对应的威胁值评分10,攻击源设备对应的威胁值评分更新为30。
步骤304、在所述威胁值评分大于或等于第一预设阈值后,攻击源设备对所述攻击源设备进行封禁。
该步骤具体可以参照上述步骤104,此处不再赘述。
可选地,所述方法还可以包括:
步骤305、若所述特征评分表中,不存在与所述第二关键字段匹配的第一关键字段,则将所述第二关键字段作为目标第一关键字段加入所述特征评分表中。
在本发明实施例中,若特征评分表中,不存在与第二关键字段匹配的第一关键字段,表明,当前特征评分表中还未建立该关键字段与威胁值评分的对应关系,此时,可以将该第二关键字段作为目标第一关键字段加入所述特征评分表,通过对获取的目标攻击行为信息的分析,不断的将新的攻击特征加入特征评分表中,以更新特征评分表,使得特征评分表中记录的攻击特征的信息更加全面,可以更加的准确的判断获取的第二关键字段是否是具有威胁的字段,例如:在目标攻击行为信息中确定的第二关键字段为“cmd”,通过将该字段与特征评分表中存储的第一关键字段比对,发现特征评分表中未存储有所述的第二关键字段,则可以将该第二关键字段作为目标第一关键字段添加至特征评分表中,并建立与威胁值评分的对应关系,实现特征评分表的更新,保证特征评分表识别的准确性。
步骤306、在所述特征评分表中建立所述目标第一关键字段与威胁值评分的对应关系,所述目标第一关键字段对应的威胁值评分为第一预设值。
在本发明实施例中,在初次将目标第一关键字段加入特征评分表后,可以为该特征赋值一个预设分值,例如:字段“cmd”作为目标第一关键字段加入特征评分表,字段“cmd”对应的威胁值评分可以赋值为预设值1。
可选地,在步骤306之后,还可以包括:
步骤307、若后续对所述日志数据分析再次获得所述第二关键字段,则在所述特征评分表中,将所述目标第一关键字段的威胁值评分累加第二预设值,直至所述目标第一关键字段的威胁值评分累加值达到第二预设阈值后终止累加。
在本发明实施例中,若在后续再次获得的目标行为信息中包含的第二关键字段包括“cmd”,则可以将特征评分表中“cmd”对应的威胁值评分进行更新,如将“cmd”对应的威胁值评分更新为2,此后,在每一次获得字段“cmd”后,特征评分表中“cmd”对应的威胁值评分均累加1,以此来更新特征评分表中“cmd”对应“cmd”的威胁值评分,将特征评分表中“cmd”对应的威胁值评分与字段“cmd”出现次数关联,使得特征评分表中中的第一关键字段对应的威胁值评分更加准确,更能反映攻击源设备的威胁值。
进一步的,对于每一个第一关键字段对应的威胁值评分可以设置一个第二预设阈值,以限制第一关键字段对应的威胁值评分无限增长,如:第二预设阈值为30,则对于字段“cmd”对应的威胁值评分来说,再每一次出现字段“cmd”为其累加1,在威胁值评分累加至30后,后续再次出现的字段“cmd”,威胁值评分不再累加,通过限制第一关键字段对应的威胁值评分,避免第一关键字段对应的威胁值评分无限增长后,若目标攻击行为信息中包括的第二关键字段与第一关键字段匹配后,由于第一关键字段对应的威胁值评分较大,使得对应的攻击源设备的威胁值赋分较大,导致对攻击源设备直接进行封禁,以致仅根据一条目标攻击行为信息即封禁攻击源设备出现误判的情况。
可选地,所述方法还可以包括:
步骤308、获取预设时间段内的所述目标攻击行为信息。
在本发明实施例中,预设时间段内的日志数据中包括的目标攻击行为信息可以有多条,通过对多条目标攻击行为信息的分析,可以判断目标攻击行为信息中的是否携带可以表征攻击行为的字段。
步骤309、统计所述日志数据中所述目标攻击行为信息中出现频次大于或等于第三预设阈值的关键字段,并作为所述第二关键字段。
在本发明实施例中,若多条目标攻击行为中存在共同出现的字段,则表明该字段可以作为判断目标攻击行为信息是否是具有攻击行为的信息,通过对目标攻击行为信息的分析,可以将多条目标攻击行为信息中出现的频次大于或等于第三预设阈值的关键字段,作为第二关键字段,例如,第三预设阈值为20,字段“and‘1=1“在预设时间为2小时内,出现频次为30,则字段“and ‘1=1“可以作为目标攻击行为的第二关键字段。通过对目标攻击行为信息中出现频次大于或等于第三预设阈值的关键字段的分析,可以准确的获得第二关键字段。
可选地,所述方法还可以包括:
步骤310、根据所述出现频次确定所述攻击源设备的第一威胁值评分。
在本发明实施例中,威胁值评分可以为根据出现频次统计得到,如:获取预设时间段内日志数据中与第一地址相关的日志的第一数目,通过获取的第一数目,得到对应的威胁值评分为10,得到方式参考子步骤2032,获取预设时间段内所述日志数据中与所述第一地址对应的目标攻击行为信息的种类的第二数目,通过获取的第二数目,得到对应的威胁值评分为20,得到方式参考子步骤2034,获取预设时间段内所述日志数据中与所述第一地址对应的第二地址的第三数目,通过获取的第三数目,得到对应的威胁值评分为20,得到方式参考子步骤2036,根据对出现频次的统计,得到的三种情况下的威胁值评分可以进行加和,得到攻击源设备在统计出现频次方式下的总的威胁值评分为50,则50即为攻击源设备的第一威胁值评分。加和计算可以更加全面的反映攻击源设备的威胁值。
步骤311、根据所述目标攻击行为信息确定所述攻击源设备的第二威胁值评分。
在本发明实施例中,通过获得特征评分表,将目标攻击行为信息与特征评分表进行比对,若存在相同的关键字段,可以将特征评分表中第一关键字段对应的威胁值评分,作为攻击源设备的威胁值评分,使得在攻击源设备攻击频率不高时,也可以通过对攻击行为信息的分析,判断攻击源设备是否具有威胁性,通过对目标攻击行为信息分析后,确定攻击源设备的第二威胁值评分可以为30。确定方式参考子步骤3031。
步骤312、将所述第一威胁值评分和第二威胁值评分加和,得到所述攻击源设备的威胁值评分。
参考图4,图4时本发明实施例提供的一种攻击行为处置流程图,在本发明实施例中,可以将根据出现频次统计下的威胁值评分与根据对目标攻击行为信息分析得到的威胁值评分进行加和,最终得到攻击源设备在综合出现频次与目标攻击行为信息的分析下的威胁值评分,使得得到的威胁值评分为从多个角度综合得到,可以准确反映攻击源设备的攻击性。
具体的,参考图4,安全防护设备为记录攻击行为并处置攻击行为的设备,从安全防护设备可以获取攻击行为的日志数据,抓取到预设时间段内的日志数据后,可以对日志数据中包括的:攻击源设备的第一地址、被攻击方设备的第二地址以及与攻击源设备对应的攻击行为信息进行分析,通过对得到的攻击行为信息的分析,可以获得攻击行为信息的攻击特征,若攻击特征是特征评分表中未出现的特征,则将攻击特征添加至特征评分表并赋值预设分值,若攻击特征是特征评分表中已有的特征,则更新特征评分表的中的攻击特征对应的威胁值评分,通过对攻击行为信息的分析以及与特征评分表的比对,可以获得第二威胁值评分,根据对击源设备的第一地址、被攻击方设备的第二地址等关联信息的频次的分析,可以获得第一威胁值评分,综合第一威胁值评分与第二威胁值评分可以得到攻击源设备最终的威胁值评分,若威胁值评分大于预设阈值,则生成对攻击源设备的安全处置指令,安全防护设备根据安全处置指令,对攻击源设备进行封禁处理。
例如:通过步骤310获得的第一威胁值评分为50,通过步骤311获得的第二威胁值评分为20,则综合第一威胁值评分与第二威胁值评分可以得到攻击源设备的威胁值评分为80,若预设的第一预设阈值为75,可见,攻击源设备的威胁值评分已经大于第一预设阈值,此时即可由安全防护设备实施对攻击源设备的封禁,避免再次受到攻击源设备的攻击。
综上,在本发明实施例中,通过获取预设时间段内的日志数据,并对日志数据中攻击行为关联设备的通信地址以及目标攻击行为信息的统计与分析,根据预设规则,生成针对攻击源设备的威胁值评分,通过对攻击源设备评分,直接封禁威胁值大于预设阈值的攻击源设备,从攻击源去避免再次受到威胁,可以阻断恶意攻击源设备的所有攻击行为。
图5是本发明实施例提供的一种攻击行为处置装置的框图,该装置30 包括:
日志数据获取模块401,用于获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息;
日志数据分析模块402,用于对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息;
威胁值评分生成模块403,用于根据所述出现频次和/或所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,所述威胁值评分与所述通信地址的出现频次以及所述目标攻击行为信息的种类成正比例关系;
攻击源设备封禁模块404,用于在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。
可选地,威胁值评分生成模块403,包括:
特征评分表获取子模块:用于获取预设数据库中的特征评分表,所述特征评分表包括攻击行为信息的第一关键字段与威胁值评分的对应关系;
第一威胁值评分生成子模块:用于根据所述对应关系,获取与所述目标攻击行为信息的第二关键字段匹配的第一关键字段,并根据所述第一关键字段对应的评分,获得所述攻击源设备的威胁值评分。
可选地,所述装置,还包括:
特征添加模块,用于若所述特征评分表中,不存在与所述第二关键字段匹配的第一关键字段,则将所述第二关键字段作为目标第一关键字段加入所述特征评分表中;
评分建立模块,用于在所述特征评分表中建立所述目标第一关键字段与威胁值评分的对应关系,所述目标第一关键字段对应的威胁值评分为第一预设值。
可选地,所述装置,还包括:
特征评分更新模块,用于若后续对所述日志数据分析再次获得所述第二关键字段,则在所述特征评分表中,将所述目标第一关键字段的威胁值评分累加第二预设值,直至所述目标第一关键字段的威胁值评分累加值达到第二预设阈值后终止累加。
可选地,所述装置,还包括:
目标攻击行为信息获取模块,用于获取预设时间段内的所述目标攻击行为信息;
第二关键字段确定模块,用于统计所述日志数据中所述目标攻击行为信息中出现频次大于或等于第三预设阈值的关键字段,并作为所述第二关键字段。
可选地,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址;威胁值评分生成模块403,包括:
第二威胁值评分生成子模块:用于获取预设时间段内所述日志数据中与所述第一地址相关的日志的第一数目,并根据所述第一数目确定所述威胁值评分,所述第一数目与所述威胁值评分呈正比例关系。
可选地,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址;所述第一地址与所述目标攻击行为信息具有对应关系;威胁值评分生成模块403,包括:
第三威胁值评分生成子模块:用于获取预设时间段内所述日志数据中与所述第一地址对应的目标攻击行为信息的种类的第二数目,并根据所述第二数目确定所述威胁值评分,所述第二数目与所述威胁值评分呈正比例关系。
可选地,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址,被攻击方设备的第二地址;所述第二地址包括:被攻击方的域名以及统一资源标识符;所述第一地址与所述第二地址具有对应关系;威胁值评分生成模块403,包括:
第四威胁值评分生成子模块:用于获取预设时间段内所述日志数据中与所述第一地址对应的第二地址的第三数目,并根据所述第三数目确定所述威胁值评分,所述第三数目与所述威胁值评分呈正比例关系。
可选地,威胁值评分生成模块403,还用于:
根据所述出现频次确定所述攻击源设备的第一威胁值评分;
根据所述目标攻击行为信息确定所述攻击源设备的第二威胁值评分;
将所述第一威胁值评分和第二威胁值评分加和,得到所述攻击源设备的威胁值评分。
综上,在本发明实施例中,通过获取预设时间段内的日志数据,并对日志数据中攻击行为关联设备的通信地址以及目标攻击行为信息的统计与分析,根据预设规则,生成针对攻击源设备的威胁值评分,通过对攻击源设备评分,直接封禁威胁值大于预设阈值的攻击源设备,从攻击源去避免再次受到威胁,可以阻断恶意攻击源设备的所有攻击行为。
图6是根据一示例性实施例示出的一种电子设备600的框图。例如,电子设备600可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图6,电子设备600可以包括以下一个或多个组件:处理组件602,存储器604,电源组件606,多媒体组件608,音频组件610,输入/输出(I/ O)的接口612,传感器组件614,以及通信组件616。
处理组件602通常控制电子设备600的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件602可以包括一个或多个处理器620来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件602可以包括一个或多个模块,便于处理组件602和其他组件之间的交互。例如,处理组件602可以包括多媒体模块,以方便多媒体组件608和处理组件602之间的交互。
存储器604用于存储各种类型的数据以支持在电子设备600的操作。这些数据的示例包括用于在电子设备600上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,多媒体等。存储器604可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器 (ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件606为电子设备600的各种组件提供电力。电源组件606可以包括电源管理***,一个或多个电源,及其他与为电子设备600生成、管理和分配电力相关联的组件。
多媒体组件608包括在所述电子设备600和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板 (TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的分界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件608包括一个前置摄像头和/或后置摄像头。当电子设备600 处于操作模式,如拍摄模式或多媒体模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜***或具有焦距和光学变焦能力。
音频组件610用于输出和/或输入音频信号。例如,音频组件610包括一个麦克风(MIC),当电子设备600处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器604或经由通信组件616发送。在一些实施例中,音频组件610还包括一个扬声器,用于输出音频信号。
I/O接口612为处理组件602和***接口模块之间提供接口,上述***接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件614包括一个或多个传感器,用于为电子设备600提供各个方面的状态评估。例如,传感器组件614可以检测到电子设备600的打开/ 关闭状态,组件的相对定位,例如所述组件为电子设备600的显示器和小键盘,传感器组件614还可以检测电子设备600或电子设备600一个组件的位置改变,用户与电子设备600接触的存在或不存在,电子设备600方位或加速/减速和电子设备600的温度变化。传感器组件614可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件614 还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件614还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件616用于便于电子设备600和其他设备之间有线或无线方式的通信。电子设备600可以接入基于通信标准的无线网络,如WiFi,运营商网络(如2G、3G、4G或5G),或它们的组合。在一个示例性实施例中,通信组件616经由广播信道接收来自外部广播管理***的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件616还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID) 技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,电子设备600可以被一个或多个应用专用集成电路 (ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于实现本申请实施例提供的一种攻击行为处置方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器604,上述指令可由电子设备600的处理器620 执行以完成上述方法。例如,所述非临时性存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
图7是根据一示例性实施例示出的一种电子设备700的框图。例如,电子设备700可以被提供为一服务器。参照图7,电子设备700包括处理组件 722,其进一步包括一个或多个处理器,以及由存储器732所代表的存储器资源,用于存储可由处理组件722的执行的指令,例如应用程序。存储器 732中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件722被配置为执行指令,以执行本申请实施例提供的一种攻击行为处置方法。
电子设备700还可以包括一个电源组件726被配置为执行电子设备700 的电源管理,一个有线或无线网络接口750被配置为将电子设备700连接到网络,和一个输入输出(I/O)接口758。电子设备700可以操作基于存储在存储器732的操作***,例如WindowsServerTM,Mac OS XTM,UnixTM, LinuxTM,FreeBSDTM或类似。
本申请实施例还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现所述的攻击行为处置方法。
本领域技术人员在考虑说明书及实践这里公开的申请后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (12)
1.一种攻击行为处置方法,其特征在于,所述方法包括:
获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息;
对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息;
根据所述出现频次和/或所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,所述威胁值评分与所述通信地址的出现频次以及所述目标攻击行为信息的种类成正比例关系;
在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。
2.根据权利要求1所述的攻击行为处置方法,其特征在于,所述攻击行为信息为所述目标攻击源设备携带的信息,所述根据所述攻击行为信息,生成针对所述攻击源设备的威胁值评分,包括:
获取预设数据库中的特征评分表,所述特征评分表包括攻击行为信息的第一关键字段与威胁值评分的对应关系;
根据所述对应关系,获取与所述目标攻击行为信息的第二关键字段匹配的第一关键字段,并根据所述第一关键字段对应的评分,获得所述攻击源设备的威胁值评分。
3.根据权利要求2所述的攻击行为处置方法,其特征在于,所述方法还包括:
若所述特征评分表中,不存在与所述第二关键字段匹配的第一关键字段,则将所述第二关键字段作为目标第一关键字段加入所述特征评分表中;
在所述特征评分表中建立所述目标第一关键字段与威胁值评分的对应关系,所述目标第一关键字段对应的威胁值评分为第一预设值。
4.根据权利要求3所述的攻击行为处置方法,其特征在于,所述在所述特征评分表中建立所述目标第一关键字段与威胁值评分的对应关系之后,还包括:
若后续对所述日志数据分析再次获得所述第二关键字段,则在所述特征评分表中,将所述目标第一关键字段的威胁值评分累加第二预设值,直至所述目标第一关键字段的威胁值评分累加值达到第二预设阈值后终止累加。
5.根据权利要求2所述的攻击行为处置方法,其特征在于,所述方法还包括:
获取预设时间段内的所述目标攻击行为信息;
统计所述日志数据中所述目标攻击行为信息中出现频次大于或等于第三预设阈值的关键字段,并作为所述第二关键字段。
6.根据权利要求1所述的攻击行为处置方法,其特征在于,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址;
所述根据所述出现频次,生成针对所述攻击源设备的威胁值评分,包括:
获取预设时间段内所述日志数据中与所述第一地址相关的日志的第一数目,并根据所述第一数目确定所述威胁值评分,所述第一数目与所述威胁值评分呈正比例关系。
7.根据权利要求1所述的攻击行为处置方法,其特征在于,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址;所述第一地址与所述目标攻击行为信息具有对应关系;
所述根据所述出现频次,生成针对所述攻击源设备的威胁值评分,包括:
获取预设时间段内所述日志数据中与所述第一地址对应的目标攻击行为信息的种类的第二数目,并根据所述第二数目确定所述威胁值评分,所述第二数目与所述威胁值评分呈正比例关系。
8.根据权利要求1所述的攻击行为处置方法,其特征在于,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址,被攻击方设备的第二地址;所述第二地址包括:被攻击方的域名以及统一资源标识符;所述第一地址与所述第二地址具有对应关系;
所述根据所述出现频次,生成针对所述攻击源设备的威胁值评分,包括:
获取预设时间段内所述日志数据中与所述第一地址对应的第二地址的第三数目,并根据所述第三数目确定所述威胁值评分,所述第三数目与所述威胁值评分呈正比例关系。
9.根据权利要求1所述的攻击行为处置方法,其特征在于,所述根据所述出现频次和所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,包括:
根据所述出现频次确定所述攻击源设备的第一威胁值评分;
根据所述目标攻击行为信息确定所述攻击源设备的第二威胁值评分;
将所述第一威胁值评分和第二威胁值评分加和,得到所述攻击源设备的威胁值评分。
10.一种攻击行为处置装置,其特征在于,所述装置包括:
日志数据获取模块,用于获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息;
日志数据分析模块,用于对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息;
威胁值评分生成模块,用于根据所述出现频次和/或所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,所述威胁值评分与所述通信地址的出现频次以及所述目标攻击行为信息的种类成正比例关系;
攻击源设备封禁模块,用于在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。
11.一种电子设备,其特征在于,包括:处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1至9中任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,当所述计算机可读存储介质中的指令由电子设备的处理器执行时,使得所述电子设备能够执行如权利要求1至9中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210783258.8A CN115208647A (zh) | 2022-07-05 | 2022-07-05 | 一种攻击行为处置方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210783258.8A CN115208647A (zh) | 2022-07-05 | 2022-07-05 | 一种攻击行为处置方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115208647A true CN115208647A (zh) | 2022-10-18 |
Family
ID=83578104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210783258.8A Pending CN115208647A (zh) | 2022-07-05 | 2022-07-05 | 一种攻击行为处置方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208647A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865519A (zh) * | 2023-02-07 | 2023-03-28 | 苏州市卫生计生统计信息中心 | 适用于网络攻防虚拟仿真的数据处理方法及*** |
| CN117527440A (zh) * | 2023-12-22 | 2024-02-06 | 财信证券股份有限公司 | 一种网络攻击的ip自动封禁方法及*** |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| CN107370754A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种基于云防护的ip信誉度评分模型的网站防护技术 |
| CN107786542A (zh) * | 2017-09-26 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于大数据智能分析恶意ip的评分方法及装置 |
| CN108243189A (zh) * | 2018-01-08 | 2018-07-03 | 平安科技(深圳)有限公司 | 一种网络威胁管理方法、装置、计算机设备及存储介质 |
| CN110995693A (zh) * | 2019-11-28 | 2020-04-10 | 杭州迪普信息技术有限公司 | 一种攻击特征的提取方法、装置及设备 |
| US20200186563A1 (en) * | 2018-12-11 | 2020-06-11 | F5 Networks, Inc. | Methods for detecting and mitigating malicious network activity based on dynamic application context and devices thereof |
| CN112819336A (zh) * | 2021-02-03 | 2021-05-18 | 国家电网有限公司 | 一种基于电力监控***网络威胁的量化方法及*** |
| CN113225349A (zh) * | 2021-05-21 | 2021-08-06 | 中国工商银行股份有限公司 | 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置 |
| CN113381980A (zh) * | 2021-05-13 | 2021-09-10 | 优刻得科技股份有限公司 | 信息安全防御方法及***、电子设备、存储介质 |
| CN113709176A (zh) * | 2021-09-06 | 2021-11-26 | 北京华清信安科技有限公司 | 基于安全云平台的威胁检测与响应方法及*** |
| CN113973012A (zh) * | 2021-10-18 | 2022-01-25 | 北京安天网络安全技术有限公司 | 一种威胁检测方法、装置、电子设备及可读存储介质 |
| CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
-
2022
- 2022-07-05 CN CN202210783258.8A patent/CN115208647A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| CN107370754A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种基于云防护的ip信誉度评分模型的网站防护技术 |
| CN107786542A (zh) * | 2017-09-26 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于大数据智能分析恶意ip的评分方法及装置 |
| CN108243189A (zh) * | 2018-01-08 | 2018-07-03 | 平安科技(深圳)有限公司 | 一种网络威胁管理方法、装置、计算机设备及存储介质 |
| US20200186563A1 (en) * | 2018-12-11 | 2020-06-11 | F5 Networks, Inc. | Methods for detecting and mitigating malicious network activity based on dynamic application context and devices thereof |
| CN110995693A (zh) * | 2019-11-28 | 2020-04-10 | 杭州迪普信息技术有限公司 | 一种攻击特征的提取方法、装置及设备 |
| CN112819336A (zh) * | 2021-02-03 | 2021-05-18 | 国家电网有限公司 | 一种基于电力监控***网络威胁的量化方法及*** |
| CN113381980A (zh) * | 2021-05-13 | 2021-09-10 | 优刻得科技股份有限公司 | 信息安全防御方法及***、电子设备、存储介质 |
| CN113225349A (zh) * | 2021-05-21 | 2021-08-06 | 中国工商银行股份有限公司 | 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置 |
| CN113709176A (zh) * | 2021-09-06 | 2021-11-26 | 北京华清信安科技有限公司 | 基于安全云平台的威胁检测与响应方法及*** |
| CN113973012A (zh) * | 2021-10-18 | 2022-01-25 | 北京安天网络安全技术有限公司 | 一种威胁检测方法、装置、电子设备及可读存储介质 |
| CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865519A (zh) * | 2023-02-07 | 2023-03-28 | 苏州市卫生计生统计信息中心 | 适用于网络攻防虚拟仿真的数据处理方法及*** |
| CN117527440A (zh) * | 2023-12-22 | 2024-02-06 | 财信证券股份有限公司 | 一种网络攻击的ip自动封禁方法及*** |
| CN117527440B (zh) * | 2023-12-22 | 2024-05-28 | 财信证券股份有限公司 | 一种网络攻击的ip自动封禁方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108632081B (zh) | 网络态势评估方法、装置及存储介质 | |
| JP2022529300A (ja) | 違反イベント検出方法及び装置、電子デバイス並びに記憶媒体 | |
| CN115208647A (zh) | 一种攻击行为处置方法及装置 | |
| EP3076646B1 (en) | Methods and devices for labeling a number | |
| JP2019512113A (ja) | 通知メッセージ処理方法及び装置 | |
| CN109842612B (zh) | 基于图库模型的日志安全分析方法、装置及存储介质 | |
| EP3226128B1 (en) | Method and device for online payment | |
| CN110728815A (zh) | 基于视频分析的预警方法及装置、电子设备和存储介质 | |
| CN110610090A (zh) | 信息处理方法及装置、存储介质 | |
| CN110807393A (zh) | 基于视频分析的预警方法及装置、电子设备和存储介质 | |
| CN116707965A (zh) | 一种威胁检测方法、装置、存储介质以及电子设备 | |
| CN107609402B (zh) | 一种安全漏洞的处理方法、装置及存储介质 | |
| CN110928425A (zh) | 信息监控方法及装置 | |
| CN111651627A (zh) | 数据处理方法及装置、电子设备和存储介质 | |
| CN115378686A (zh) | 一种工控网络的沙盒应用方法、装置及存储介质 | |
| CN106028297B (zh) | 携带网址的短信处理方法及装置 | |
| CN110149310B (zh) | 流量入侵检测方法、装置及存储介质 | |
| CN113810328A (zh) | 异常账户确定方法、装置及存储介质 | |
| CN113626808B (zh) | 一种攻击溯源方法及装置 | |
| CN112733141B (zh) | 一种信息处理方法及装置 | |
| CN110365653B (zh) | 用户注册方法及装置 | |
| CN114980116B (zh) | 基于5g消息的目标号码识别方法和电子设备 | |
| CN113810327B (zh) | 异常账户检测方法、装置及存储介质 | |
| CN111314291A (zh) | 网址安全性检测方法及装置、存储介质 | |
| EP4361861A1 (en) | Method and device for enhancing electronic content security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |