一种网络安全检测的方法、设备、装置、电子设备及介质转让专利
申请号 : CN202211283315.2
文献号 : CN115361235B
文献日 : 2023-03-03
发明人 : 熊福魏 , 樊兴华 , 薛锋 , 陈杰 , 赵林林 , 童兆丰
申请人 : 北京微步在线科技有限公司
摘要 :
本申请实施例提供一种网络安全检测的方法、设备、装置、电子设备及介质,属于网络安全领域,该方法包括:在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息;至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。通过本申请的一些实施例能够解决单纯地址检测导致的漏报问题,从而能够及时的发现具有攻击性的设备,进而提升网络的安全性。
权利要求 :
1.一种网络安全检测的方法,其特征在于,应用于网络安全设备,所述方法包括:在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息;
至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备;
其中,确认与所述地址对应的设备是否属于具有攻击性的设备的具体步骤如下所示:在进程缓存数据库中通过域名系统返回的地址,反向查找所述进程信息,其中,所述进程缓存数据库用于存储地址和进程信息的对应关系;
在文件缓存数据库中通过与所述进程信息对应的进程标识符,提取文件操作信息,其中,所述文件缓存数据库用于存储任一进程信息与文件操作信息的对应关系;
根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备;
其中,在确认与所述地址对应的设备属于具有攻击性的设备之后执行如下步骤:根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,其中,所述攻击画像使用所述地址对应的设备的攻击顺序进行表征;
基于所述攻击画像对所述任一主机进行检测,获得与所述任一主机对应的检测结果;
按照所述攻击画像对所有的外网设备的访问进程进行检测,获得符合所述攻击画像的外网设备所对应的异常地址,其中,所述外网设备与所述网络安全设备不属于同一网络;
将所述异常地址添加到威胁攻击库中。
2.根据权利要求1所述的方法,其特征在于,在所述确认任一主机请求连接的地址属于安全地址之后,所述方法还包括:获取与所述地址对应的设备对所述任一主机上文件的操作得到文件操作信息;
所述至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备,包括:根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备。
3.根据权利要求2所述的方法,其特征在于,所述地址与至少一个进程信息相对应,其中,所述至少一个进程信息中包括第i进程信息,所述第i进程信息为所述至少一个进程信息中的任意一个,所述第i进程信息中包括至少一个文件操作信息;
所述根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备,包括:确认所述第i进程信息包括的所述至少一个文件操作信息中,存在异常操作信息,其中,所述异常操作至少包括读写敏感文件;
按照风险等级对所述异常操作信息进行评分,获得评分结果;
确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备。
4.根据权利要求3所述的方法,其特征在于,所述按照风险等级对所述异常操作信息进行评分,获得评分结果,包括:获取与所述异常操作信息相对应的分值和权重;
基于所述分值和权重对所述异常操作信息进行加权平均,获得评分值;
所述确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备,包括:确认所述评分值大于预设评分阈值,则判断与所述地址对应的设备属于具有攻击性的设备。
5.根据权利要求1所述的方法,其特征在于,所述根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,包括:基于所述第i进程信息记录所述地址对应的设备进行异常操作的操作顺序;
将所述操作顺序作为所述地址对应的设备的攻击画像。
6.根据权利要求3所述的方法,其特征在于,在所述判断与所述地址对应的设备属于具有攻击性的设备之后,所述方法还包括:对与所述异常操作信息相关的文件进行隔离操作,并且向所述地址对应的设备发送阻断数据包。
7.一种网络安全检测的方法,其特征在于,应用于任一主机上,所述方法包括:在确认本主机请求连接的地址属于安全地址的条件下,获取在所述本主机上启动的与所述地址对应的进程得到进程信息,其中,所述本主机为至少一个主机中的任意一个,所述至少一个主机与网络安全设备属于同一个局域网;
至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备;
其中,确认与所述地址对应的设备是否属于具有攻击性的设备的具体步骤如下所示:在进程缓存数据库中通过域名系统返回的地址,反向查找所述进程信息,其中,所述进程缓存数据库用于存储地址和进程信息的对应关系;
在文件缓存数据库中通过与所述进程信息对应的进程标识符,提取文件操作信息,其中,所述文件缓存数据库用于存储任一进程信息与文件操作信息的对应关系;
根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备;
其中,在确认与所述地址对应的设备属于具有攻击性的设备之后执行如下步骤:根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,其中,所述攻击画像使用所述地址对应的设备的攻击顺序进行表征;
基于所述攻击画像对所述任一主机进行检测,获得与所述任一主机对应的检测结果;
按照所述攻击画像对所有的外网设备的访问进程进行检测,获得符合所述攻击画像的外网设备所对应的异常地址,其中,所述外网设备与所述网络安全设备不属于同一网络;
将所述异常地址添加到威胁攻击库中。
8.一种网络安全检测的设备,其特征在于,所述设备包括:接收单元,被配置为获取域名系统DNS解析服务器向第一网络中各主机发送的域名解析响应报文;
处理单元,被配置为确认所述域名解析响应报文所携带的地址属于安全地址;
获取单元,被配置为获取与所述地址对应的进程得到进程信息;
安全性判别单元,被配置为至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备;
其中,所述安全性判别单元还被配置为:
在进程缓存数据库中通过域名系统返回的地址,反向查找所述进程信息,其中,所述进程缓存数据库用于存储地址和进程信息的对应关系;
在文件缓存数据库中通过与所述进程信息对应的进程标识符,提取文件操作信息,其中,所述文件缓存数据库用于存储任一进程信息与文件操作信息的对应关系;
根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备;
其中,所述安全性判别单元还被配置为:
根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,其中,所述攻击画像使用所述地址对应的设备的攻击顺序进行表征;
基于所述攻击画像对所述任一主机进行检测,获得与所述任一主机对应的检测结果;
按照所述攻击画像对所有的外网设备的访问进程进行检测,获得符合所述攻击画像的外网设备所对应的异常地址,其中,所述外网设备与所述网络安全设备不属于同一网络;
将所述异常地址添加到威胁攻击库中。
9.一种网络安全检测的装置,其特征在于,所述装置包括:信息获取模块,被配置为在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息;
攻击检测模块,被配置为至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备;
其中,所述攻击检测模块还被配置为:
在进程缓存数据库中通过域名系统返回的地址,反向查找所述进程信息,其中,所述进程缓存数据库用于存储地址和进程信息的对应关系;
在文件缓存数据库中通过与所述进程信息对应的进程标识符,提取文件操作信息,其中,所述文件缓存数据库用于存储任一进程信息与文件操作信息的对应关系;
根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备;
其中,所述攻击检测模块还被配置为:
根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,其中,所述攻击画像使用所述地址对应的设备的攻击顺序进行表征;
基于所述攻击画像对所述任一主机进行检测,获得与所述任一主机对应的检测结果;
按照所述攻击画像对所有的外网设备的访问进程进行检测,获得符合所述攻击画像的外网设备所对应的异常地址,其中,所述外网设备与所述网络安全设备不属于同一网络;
将所述异常地址添加到威胁攻击库中。
10.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机程序,所述计算机程序由所述处理器执行时可实现如权利要求1‑7任一项所述方法。
11.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时可实现如权利要求1‑7任一项所述方法。
说明书 :
一种网络安全检测的方法、设备、装置、电子设备及介质
技术领域
[0001] 本申请实施例涉及网络安全领域,具体涉及一种网络安全检测的方法、设备、装置、电子设备及介质。
背景技术
[0002] 相关技术中,通过威胁情报库对比请求的域名是否为恶意域名来进行网络安全检测,但是现有的需要访问内网设备的外网攻击设备为了能够躲避检测,将自身的域名或IP进行隐藏,导致仅依靠威胁情报库进行安全检测会出现漏报的情况。
[0003] 因此,如何提升网络安全检测的准确率成为需要解决的问题。
发明内容
[0004] 本申请实施例提供一种网络安全检测的方法、设备、装置、电子设备及介质,通过本申请的一些实施例至少解决单纯地址检测导致的漏报问题,从而能够及时的发现具有攻击性的设备,进而提升网络的安全性。
[0005] 第一方面,本申请提供了一种网络安全检测的方法,应用于网络安全设备,所述方法包括:在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息;至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0006] 因此,与相关技术中仅使用地址进行网络安全检测的方法不同的是,本申请实施例在确认请求连接的地址是安全地址的情况下,进一步的获取进程信息,能够解决安全检测的漏报问题,从而能够及时的发现具有攻击性的设备,进而提升网络的安全性。
[0007] 结合第一方面,在本申请的一些实施例中,在所述确认任一主机请求连接的地址属于安全地址之后,所述方法还包括:获取与所述地址对应的设备对所述任一主机上文件的操作得到文件操作信息;所述至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备,包括:根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0008] 因此,本申请实施例通过获取文件操作信息和进程信息能够不局限于仅对地址进行检测,从而能够检测到将地址进行隐藏并且具有攻击性的设备。
[0009] 结合第一方面,在本申请的一些实施例中,所述地址与至少一个进程信息相对应,其中,所述至少一个进程信息中包括第i进程信息,所述第i进程信息为所述至少一个进程信息中的任意一个,所述第i进程信息中包括至少一个文件操作信息;所述根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备,包括:确认所述第i进程信息包括的所述至少一个文件操作信息中,存在异常操作信息,其中,所述异常操作至少包括读写敏感文件;按照风险等级对所述异常操作信息进行评分,获得评分结果;确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备。
[0010] 因此,本申请实施例通过按照风险等级对异常操作信息进行评分,能够将多个异常操作信息对系统的影响程度进行综合考量,从而能够准确的评估异常操作信息对于系统的影响。
[0011] 结合第一方面,在本申请的一些实施例中,所述按照风险等级对所述异常操作信息进行评分,获得评分结果,包括:获取与所述异常操作信息相对应的分值和权重;基于所述分值和权重对所述异常操作信息进行加权平均,获得评分值;所述确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备,包括:确认所述评分值大于预设评分阈值,则判断与所述地址对应的设备属于具有攻击性的设备。
[0012] 因此,本申请实施例通过将各异常操作信息的相对应分值进行加权平均,能够将与地址对应的设备的异常操作行为进行量化,从而准确的判断该设备是否属于具有攻击性的设备。
[0013] 结合第一方面,在本申请的一些实施例中,在所述判断与所述地址对应的设备属于具有攻击性的设备之后,所述方法还包括:根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,其中,所述攻击画像使用所述地址对应的设备的攻击顺序进行表征;基于所述攻击画像对所述任一主机进行检测,获得与所述任一主机对应的检测结果。
[0014] 因此,本申请实施例通过建立与地址对应的设备的攻击画像,能够按照该画像进行全网扫描,从而能够找到更多的具有攻击性的设备,从而能够提升内网的安全性。
[0015] 结合第一方面,在本申请的一些实施例中,所述根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,包括:基于所述第i进程信息记录所述地址对应的设备进行异常操作的操作顺序;将所述操作顺序作为所述地址对应的设备的攻击画像。
[0016] 结合第一方面,在本申请的一些实施例中,在所述根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像之后,所述方法还包括:按照所述攻击画像对所有的外网设备的访问进程进行检测,获得符合所述攻击画像的外网设备所对应的异常地址,其中,所述外网设备与所述网络安全设备不属于同一网络;将所述异常地址添加到威胁攻击库中。
[0017] 因此,本申请实施例通过使用攻击画像进行全网扫描,并且更新威胁攻击库,能够将被动检测转化为主动检测,从而主动发现更多的具有攻击性的设备,进而能够获得更加完善的威胁攻击库。
[0018] 结合第一方面,在本申请的一些实施例中,在所述判断与所述地址对应的设备属于具有攻击性的设备之后,所述方法还包括:对与所述异常操作信息相关的文件进行隔离操作,并且向所述地址对应的设备发送阻断数据包。
[0019] 第二方面,本申请提供了一种网络安全检测的方法,应用于任一主机上,所述方法包括:在确认本主机请求连接的地址属于安全地址的条件下,获取在所述本主机上启动的与所述地址对应的进程得到进程信息,其中,所述本主机为至少一个主机中的任意一个,所述至少一个主机与网络安全设备属于同一个局域网;至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0020] 第三方面,本申请提供了一种网络安全检测的设备,所述设备包括:接收单元,被配置为获取DNS解析服务器向第一网络中各主机发送的域名解析响应报文;处理单元,被配置为确认所述域名解析响应报文所携带的地址属于安全地址;获取单元,被配置为获取与所述地址对应的进程得到进程信息;安全性判别单元,被配置为至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0021] 第四方面,本申请提供了一种网络安全检测的装置,所述装置包括:信息获取模块,被配置为在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息;攻击检测模块,被配置为至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0022] 结合第四方面,在本申请的一些实施例中,所述信息获取模块还被配置为:获取与所述地址对应的设备对所述任一主机上文件的操作得到文件操作信息;所述攻击检测模块还被配置为:根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0023] 结合第四方面,在本申请的一些实施例中,所述地址与至少一个进程信息相对应,其中,所述至少一个进程信息中包括第i进程信息,所述第i进程信息为所述至少一个进程信息中的任意一个,所述第i进程信息中包括至少一个文件操作信息;所述攻击检测模块还被配置为:确认所述第i进程信息包括的所述至少一个文件操作信息中,存在异常操作信息,其中,所述异常操作至少包括读写敏感文件;按照风险等级对所述异常操作信息进行评分,获得评分结果;确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备。
[0024] 结合第四方面,在本申请的一些实施例中,所述攻击检测模块还被配置为:获取与所述异常操作信息相对应的分值和权重;基于所述分值和权重对所述异常操作信息进行加权平均,获得评分值,确认所述评分值大于预设评分阈值,则判断与所述地址对应的设备属于具有攻击性的设备。
[0025] 结合第四方面,在本申请的一些实施例中,所述攻击检测模块还被配置为:根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,其中,所述攻击画像使用所述地址对应的设备的攻击顺序进行表征;基于所述攻击画像对所述任一主机进行检测,获得与所述任一主机对应的检测结果。
[0026] 结合第四方面,在本申请的一些实施例中,所述攻击检测模块还被配置为:基于所述第i进程信息记录所述地址对应的设备进行异常操作的操作顺序;将所述操作顺序作为所述地址对应的设备的攻击画像。
[0027] 结合第四方面,在本申请的一些实施例中,所述攻击检测模块还被配置为:按照所述攻击画像对所有的外网设备的访问进程进行检测,获得符合所述攻击画像的外网设备所对应的异常地址,其中,所述外网设备与所述网络安全设备不属于同一网络;将所述异常地址添加到威胁攻击库中。
[0028] 结合第四方面,在本申请的一些实施例中,所述攻击检测模块还被配置为:对与所述异常操作信息相关的文件进行隔离操作,并且向所述地址对应的设备发送阻断数据包。
[0029] 第五方面,本申请提供了一种电子设备,包括:处理器、存储器和总线;所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机程序,所述计算机程序由所述处理器执行时可实现如第一方面任意实施例所述的方法。
[0030] 第六方面,本申请提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时可实现如第一方面任意实施例所述的方法。
附图说明
[0031] 图1为本申请实施例示出的一种网络安全检测的系统组成示意图;
[0032] 图2为本申请实施例示出的网络安全检测的方法流程图之一;
[0033] 图3为本申请实施例示出的网络安全检测的方法的流程图之二;
[0034] 图4为本申请实施例示出的网络安全检测的装置组成示意图;
[0035] 图5为本申请实施例示出的一种电子设备组成示意图。
具体实施方式
[0036] 为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对附图中提供的本申请的实施例的详情描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护范围。
[0037] 本申请实施例可以应用于检测并阻断具有攻击性设备的访问行为的场景,为了改善背景技术中的问题,在本申请的一些实施例中,在确认请求连接的地址属于安全地址的条件下,对与地址对应的设备进行进一步检测,得到该设备是否确实具有攻击性。例如,在本申请的一些实施例中,对请求连接的地址进行初步检测确定属于安全地址的情况下,获取与地址对应的设备的文件操作信息和进程信息,并且根据文件操作信息和进程信息对该设备进行进一步的检测。
[0038] 下面结合附图详细描述本申请实施例中的方法步骤。
[0039] 图1提供了本申请一些实施例中的网络安全检测的系统组成示意图,该系统包括多台主机(例如,图1示出的第一主机110)、域名系统(Domain Name System,DNS)解析服务器120、网络安全设备130和业务服务器(即与地址对应的设备)140。具体的,第一主机110向业务服务器140发送Http访问请求,业务服务器140同时向网络安全设备130和第一主机110发送返回报文,第一主机110基于返回报文向DNS解析服务器120发送DNS域名解析请求报文,DNS解析服务器120在接收到DNS域名解析请求报文之后,执行解析域名的操作,获得DNS域名解析应答报文,并且同时向网络安全设备130和第一主机110发送DNS域名解析应答报文。网络安全设备130将DNS域名解析应答报文中包括的地址信息进行检测,从而判断与地址对应的设备是否属于具有攻击性的设备。
[0040] 需要说明的是,业务服务器可接收主机业务请求并向主机返回其所需的数据,例如,主机提供该业务服务器的域名之后再由DNS域名服务器返回与该域名对应的IP地址,之后该主机实现与业务服务器的互连,本申请的实施例可以验证业务服务器是否属于安全设备。
[0041] 与本申请实施例不同的是相关技术中,通过威胁情报对比请求的域名是否为恶意域名来进行网络安全检测,但是现有的需要访问内网设备的外网攻击设备为了能够躲避检测,将自身的域名或IP进行隐藏,导致仅依靠威胁情报库进行安全检测会出现漏报的情况。而本申请的实施例是在确认请求连接的地址属于安全地址的条件下,对与地址对应的设备进行进一步检测,因此本申请的实施例能够准确并且及时的对访问内网主机的设备进行安全检测。
[0042] 下面以网络安全设备为例示例性阐述本申请一些实施例提供的一种网络安全检测的方法。可以理解的是,本申请实施例的网络安全检测的方法的技术方案可以应用于任何安全设备上,例如,防火墙产品上。
[0043] 至少为了解决上述问题,如图2所示,本申请一些实施例提供了一种网络安全检测的方法,该方法包括:
[0044] S210,在确认任一主机请求连接的地址属于安全地址的条件下,获取在任一主机上启动的与地址对应的进程得到进程信息。
[0045] 在本申请的一种实施方式中,在确认任一主机请求连接的地址属于安全地址之后,获取与地址对应的设备对任一主机上文件的操作得到文件操作信息,并且获取在任一主机上启动的与地址对应的进程得到进程信息。
[0046] 也就是说,首先,网络安全设备对协议栈上的数据进行采集过滤,获得DNS数据,可以理解的是,协议栈的类型可以是TCP协议栈或者是IP协议栈。之后对获得的DNS数据进行协议字段解析,可以理解的是,网络安全设备通过向DNS解析服务器发送DNS域名解析请求报文来获取DNS域名解析应答报文,之后通过查看DNS域名解析应答报文的返回类型(例如,查看返回类型是1或28,可以理解的是,1表示ipv4类型地址,28表示ipv6类型地址,本申请可以将该返回类型修改为ipv4或ipv6)、数据转换(例如,将网络流量数据转为可识别的结构数据)等操作,得到与该DNS数据相对应的地址。该地址可以是IP地址,还可以是域名。
[0047] 其次,在获得对任一主机请求连接的地址之后,通过威胁情报库对该地址进行初步检测。具体的,判断请求连接的地址是否在威胁情报库中存在,若该地址在威胁情报库中存在,则说明该地址为异常地址,需要将该地址上报警告,若该地址不在威胁情报库中存在,则对该地址进行后续的进一步检测。其中,若该地址在威胁情报库中存在,则对告警IP或域名进行自动阻断,包括通过威胁情报库识别或通过行为关联识别以及自动封禁异常的IP地址或域名。
[0048] 作为本申请一具体实施例,通过威胁情报库对该地址进行初步检测包括:判断DNS请求的域名是否在威胁情报库中存在,若存在则将该域名判断为异常域名,并且上报告警异常域名及对应的IP。
[0049] 作为本申请另一具体实施例,通过威胁情报库对该地址进行初步检测包括:判断DNS请求的域名返回的IP是否在威胁情报库中存在,若存在则判断为异常IP,并且上报告警异常IP及对应的域名。
[0050] 需要说明的是,相关技术中只针对单一域名或IP与威胁情报库对比,容易造成危险漏报的情况发生。也就是说,相关技术中未对请求进程做关联操作,导致告警误报、精准攻击溯源问题得不到解决。一旦攻击者为了绕过域名检测,不断变化域名,那么就会增加溯源难度,降低了内网系统的安全性。
[0051] 本申请在通过上述步骤对请求访问的地址进行初步检测的同时,监控任一主机的进程得到进程信息,以及监控文件的操作过程得到文件操作信息,将进程信息存储在进程缓存数据库,将文件操作信息存储在文件缓存数据库。
[0052] 具体的,网络安全设备中配置的进程行为监控模块通过内核与发送源之间的双向数据传输技术实时采集新创建的进程信息,把监控获得的进程信息存入进程缓存数据库,进程信息主要包含命令行、打开的句柄、进程权限、用户信息、创建时间,打开socket等。当进程信息中的句柄存在socket外连的情况,则通过net文件,找到进程对外的通信信息,包括本地IP、端口、远端IP、端口、协议类型等。
[0053] 网络安全设备中配置的文件监控系统通过对内核虚拟文件系统中文件打开、修改、删除、移动动作实时监控,一旦有事件发生则记录该动作、对应的进程及发生的时间点等,得到文件操作信息,并且将文件操作信息保存至文件缓存数据库中同时上报文件动作告警。
[0054] 接着,在确认任一主机请求连接的地址属于安全地址时,从进程缓存数据库读取与地址对应的设备对任一主机上文件的操作得到文件操作信息,并且在文件缓存数据库中读取在任一主机上启动的与地址对应的进程得到进程信息。
[0055] 也就是说,在对地址进行初步检测后,即使判断该地址为安全地址也不能够判断与该地址对应的设备就是安全设备,需要通过读取进程信息与文件操作信息进行进一步的判断,防止由于与该地址对应的设备对IP或者域名进行隐藏,导致的危险漏报的情况发生。
[0056] S220,至少根据进程信息确认与地址对应的设备是否属于具有攻击性的设备。
[0057] 在本申请的一种实施方式中,S220包括:根据进程信息和文件操作信息确认与地址对应的设备是否属于具有攻击性的设备。
[0058] 也就是说,若确认威胁情报库中不存在DNS请求的域名或对应返回的IP,则进行进程行为识别,通过对域名系统(Domain Name System,DNS)中返回的地址(例如,IP地址)反向查找进程信息,通过地址进行关联后,在进程缓存数据库(存储了地址和进程信息的对应关系)中找到对应的进程,通过该进程标识符(Process Identification,PID)在文件缓存数据库(存储了任一进程信息与文件操作行为的对应关系)提取文件操作信息,之后将该进程的上下文再次进行识别过滤。
[0059] 需要说明的是,地址与至少一个进程信息相对应,其中,至少一个进程信息中包括第i进程信息,第i进程信息为至少一个进程信息中的任意一个,第i进程信息中包括至少一个文件操作信息。
[0060] 具体的,以第i进程信息为例,确认与地址对应的设备是否属于具有攻击性的设备的具体实施步骤如下所示:
[0061] 步骤一:确认第i进程信息包括的至少一个文件操作信息中,存在异常操作信息。
[0062] 需要说明的是,异常操作包括读写敏感文件、执行敏感命令、在异常时间段进行访问、控制主机外连网络、判断异常IP地址对应的域名为异常域名、域名为经过伪装的域前置域名(即各云服务器厂商提供的域名或内容分发网络(Content Delivery Network,CDN)提供的域名)。
[0063] 也就是说,遍历第i进程信息中所有的文件操作信息,并且与预设的异常操作的类型进行对应,判断第i进程信息中包括的至少一个文件操作信息是否存在异常操作信息,若存在则执行下述步骤二,若不存在则判断与地址对应的设备不属于具有攻击性的设备。
[0064] 步骤二:按照风险等级对异常操作信息进行评分,获得评分结果。
[0065] 也就是说,在步骤一中找到异常操作信息之后,由于每一类的异常操作信息对整体系统的影响不同,因此不能够直接判断地址对应的设备属于具有攻击性的设备,还需要对异常操作信息进行进一步的判断。同时,还可以按照评分结果选取与该评分结果相对应的处理操作。
[0066] 具体的,首先,获取与异常操作信息相对应的分值和权重,然后,基于分值和权重对异常操作信息进行加权平均,获得评分值。
[0067] 也就是说,针对于每种异常操作信息的风险程度使用分值来进行表征,分值越大表示异常操作信息的风险程度越大,并且针对于每种异常操作信息的重要程度使用权重值进行表征,权重值越大表示异常操作信息对于系统的运行越重要。
[0068] 例如,与异常操作信息相对应的分值和权重如下表1所示:
[0069] 表1 异常操作信息对照表
[0070]
[0071] 如表1所示,异常操作的类型包括执行敏感指令、访问敏感文件、异常时间段访问以及网络外连,其中,明确了指令中含有“Java”和“mv”字段的操作被认定为执行敏感指令,访问第一敏感文件和第二敏感文件的行为被认定为是访问敏感文件,在00:00‑06:00和22:00‑24:00进行访问,被认定为是异常时间段访问,对外有连接被认定为有网络外连的异常操作。并且分别规定了与各操作对应的权重。
[0072] 例如:获得评分结果的过程包括:通过进程信息和文件操作信息确认与地址对应的设备执行了如下操作:通过iptables配置了一条防火墙策略,容许其进入、对/etc/crontab文件增加一条计划任务和计划任务里面进行了反弹外网地址。其中,各操作分别对应的得分为90分、80分和70分。
[0073] 评价结果为:90 × 0.4 + 80 × 0.4 + 70 ×0.2 = 36+ 32 + 14 = 82 分。
[0074] 作为本申请一具体实施例,权重分析过程包括:对读写(访问)敏感文件、执行敏感命令,异常时间段,是否外连网络进行4类风险程度打分,打分分为四个等级0‑45、45‑70、70‑90和90‑100分值,每种记录信息存在于数据库中,每种等级打分之后再乘以权重,权重是经过系统长时间运行得出的一个特殊值,每种类型权重也是不一样的,当每项得分乘以权重综合大于预设评分阈值,则确认为入侵行为,进行告警。
[0075] 可以理解的是,上述举例仅为示例,本申请中的异常操作类型、分值、权重等可以根据实际情况进行设置。本申请不对此进行限制。
[0076] 步骤三:确认评分结果满足预设条件,则判断与地址对应的设备属于具有攻击性的设备。
[0077] 具体的,确认评分值大于预设评分阈值,则判断与地址对应的设备属于具有攻击性的设备。
[0078] 也就是说,需要预先依据经验在系统中设备预设评分阈值,若评分大于预设评分阈值,则判断与地址对应的设备属于具有攻击性的设备,若评分小于或等于预设评分阈值,则判断与地址对应的设备不属于具有攻击性的设备。
[0079] 例如,当预设评分阈值为80分,评分结果为82分,那么评分结果就大于预设评分阈值,则判断与地址对应的设备属于具有攻击性的设备。
[0080] 在本申请的一种实施方式中,在确认与地址对应的设备属于具有攻击性的设备之后,还执行如下步骤:
[0081] 步骤一:建立攻击画像,并且对全网主机进行检测。
[0082] 具体的,首先,根据进程信息和文件操作信息建立地址对应的设备的攻击画像,其中,攻击画像使用地址对应的设备的攻击顺序进行表征。
[0083] 也就是说,基于第i进程信息记录地址对应的设备进行异常操作的操作顺序,将操作顺序作为地址对应的设备的攻击画像。即根据威胁情报库匹配结果,攻击者DNS请求行为、进程信息、文件操作信息的关联结果实现攻击者完整攻击链进行精准溯源,得到攻击者画像。
[0084] 例如,与地址对应的设备的攻击顺序为先访问第一敏感文件,再执行第一敏感指令,最后控制主机,例如,控制主机外连目标网址。那么得到与攻击顺序相对应的攻击者画像。
[0085] 然后,基于攻击画像对任一主机进行检测,获得与任一主机对应的检测结果。
[0086] 也就是说,对与地址对应的设备登录主机进行操作全盘记录落地,在全网所有的主机上检测与该攻击者画像相符合的主机,并且发送阻断数据包。
[0087] 作为本申请一具体实施例,通过威胁情报库识别或通过行为关联识别异常IP地址,跟踪捕获异常IP地址对外连接的进程上下文异常操作,得到溯源信息包括异常进程对应的读写敏感文件、执行敏感命令、异常时间点、异常外连网络。之后生成攻击者画像,包括记录进行反弹外连的异常外连网络(如异常IP)、执行敏感命令(如执行系统命令、设置计划任务、下载文件、提权等信息及事件)、读写敏感文件(如查看系统文件、修改系统文件)发生异常时间(或异常时间点)的先后顺序生成攻击者画像。
[0088] 之后,通过上述步骤生成的攻击者画像,溯源全网并反制。具体的,根据获取的攻击者画像的攻击者信息(外连IP、外连域名、进程文件),进行全网同步覆盖检测,对全网进程文件、外连IP、外连域名进行匹配,对应匹配成功的主机确认沦陷,确保无其他服务器未受到攻击和及时隔离沦陷的主机。
[0089] 步骤二:更新威胁攻击库。
[0090] 按照攻击画像对所有的外网设备的访问进程进行检测,获得符合攻击画像的外网设备所对应的异常地址,其中,外网设备与网络安全设备不属于同一网络,将异常地址添加到威胁攻击库中。
[0091] 具体的,对威胁情报库识别的异常IP/域名,根据溯源结果将异常外连IP的进程对应的文件hash值补充到威胁情报库中。对威胁情报库未能识别的异常IP或异常域名,通过行为关联识别确认告警,把对应的域名、IP信息、异常文件hash值丰富到威胁情报库中。能够实现提升后续检测溯源的效率。
[0092] 步骤三:执行隔离和阻断操作。
[0093] 也就是说,对与异常操作信息相关的文件进行隔离操作,并且向地址对应的设备发送阻断数据包。具体的,进行文件隔离,即删除清理攻击者相关的执行程序及下载的异常文件及当前目录下的文件;阻断进程,对攻击者发起的相关进程进行查杀操作;全网同步攻击者行为检测:根据外连域名、外连IP、进程文件匹配,对应匹配成功的主机确认沦陷并及时隔离。
[0094] 上文描述了本申请由网络安全设备执行的网络安全检测的实施方式,下文将描述本申请由网络安全设备执行的网络安全检测的方法的具体实施例。
[0095] 本申请涉及主机终端安全检测技术、主机流量检测技术、攻击溯源技术等。通过终端检测和响应(Endpoint Detection and Response,EDR)架构部署,实现流量检测和主机行为检测,同时结合威胁情报库,能够及时发现攻击威胁,精准溯源。随着网络安全防御技术的发展,传统的利用单一事件行为检测及溯源攻击者的历史一去不复返,需要结合多种技术多个场景相互配合,实现精准溯源,减少误报。
[0096] 现有技术中,在网络安全设备上部署检测装置,实时监控网络流量,解析DNS信息,获取域名信息,之后再结合威胁情报判断是否是恶意域名,进行溯源。其缺陷包括:现有技术通过威胁情报库对比请求的域名是否为恶意域名,但云服务器厂商提供的域名均为正常域名,通过云服务器提供商提供的域名信息再和发送源进行映射,得到的流量均为正常流量,容易导致漏报的情况发生。其次,威胁情报库白名单中的IP或域名对应的设备进行异常操作时,由于通过域前置技术隐藏了攻击设备,因此难以实现IP或域名溯源。域前置技术为利用云服务器作为跳板对目标主机发起攻击,从而达到隐藏攻击者IP的地址的目的。
[0097] 因此,本申请解决通过对DNS请求进程的入侵检测及溯源误报问题。通过对DNS请求流量的捕获、进程行为的捕获和文件实时监控,再关联DNS请求进行进程行为检测,实现精准溯源。
[0098] 具体的,如图3所示,本申请在网络安全设备或任一主机上安装入侵检测系统301,其中,入侵检测系统301包括DNS流量检测模块302、文件监控模块303和进程行为监控模块304,三个模块同时执行各自的操作。具体的,DNS流量检测模块302首先执行S305DNS域名解析,获得地址,之后根据该地址执行S308判断威胁情报库是否存在该地址,可以理解的是,该地址包括域名和IP地址。与此同时,文件监控模块303执行S306监控系统文件变化,得到文件操作信息;进程行为监控模块304执行S307监控系统创建进程行为,得到进程信息。
[0099] 在S308判断威胁情报库是否存在该地址中,若不存在,则执行S309根据进程信息和文件操作信息确认与地址对应的设备是否属于具有攻击性的设备,若存在,则执行S310生成告警。在执行S309之后,若判断与地址对应的设备不属于具有攻击性的设备,则执行S312结束,若判断与地址对应的设备属于具有攻击性的设备,则执行S310生成告警。之后执行S311生成攻击画像、溯源、更新威胁情报库、全网同步情报库以及隔离反制,之后执行S312结束。
[0100] 也就是说,本申请通过威胁情报库匹配结合异常行为关联,在现有技术基础上,通过监控进程行为,实时获取关联的进程操作行为,通过监控外连行为,实时获取关联进程外连行为,通过监控文件系统,实时获取文件变化。之后再通过DNS信息与进程、网络、文件行为关联,达到精准溯源。并且通过生成攻击者画像,溯源全网并反制,同时补充丰富威胁情报库,便于后续检测溯源。
[0101] 因此,本申请的技术关键点在于,通过威胁情报库识别和关联行为识别实现精确识别异常行为,精准告警。通过溯源对攻击者进入主机进行的操作全盘记录落地,实现更新丰富情报库,能够为后续威胁情报库识别提供依据,不需要持续进行关联分析,提升后续检测溯源的效率。通过溯源,生成的攻击者画像,溯源全网并反制。实现单点检测,全网响应。
[0102] 因此,本申请通过对DNS服务流量解析,获取域名以及IP信息,并结合威胁情报库进行精准识别恶意连接;其次通过监控发送源的行为、计算异常操作权重以及实时监控外连信息,实现对攻击者的精准溯源;通过单点捕获、全网检测沦陷主机以及及时响应,能够准确无误的发挥联动的优势,让攻击者完全暴露在内网的监控之下,并实时进行自动阻断反击。
[0103] 上文描述本申请由网络安全设备执行的网络安全检测的方法的具体实施例,下文将描述本申请由本主机执行的网络安全检测的方法。
[0104] 需要说明的是,本主机为与网络安全设备在同一个内网的任意主机,本申请不仅可以于网络安全设备上,还可以应用于内网的任意主机。
[0105] 在本申请的一种实施方式中,本主机在确认本主机请求连接的地址属于安全地址的条件下,获取在本主机上启动的与地址对应的进程得到进程信息,其中,本主机为至少一个主机中的任意一个,至少一个主机与网络安全设备属于同一个局域网,至少根据进程信息确认与地址对应的设备是否属于具有攻击性的设备。
[0106] 可以理解的是,网络安全检测的方法的具体实施步骤已经在上文详细描述,本申请在此不再赘述。
[0107] 上文描述了本申请由本主机执行的网络安全检测的方法,下文将描述本申请的一种网络安全检测的装置。
[0108] 如图4所示,本申请的一些实施例提供一种网络安全检测的装置400,该装置包括:信息获取模块410和攻击检测模块420。
[0109] 信息获取模块410,被配置为在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息。
[0110] 攻击检测模块420,被配置为至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0111] 在本申请的一些实施例中,所述信息获取模块410还被配置为:获取与所述地址对应的设备对所述任一主机上文件的操作得到文件操作信息;所述攻击检测模块420还被配置为:根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0112] 在本申请的一些实施例中,所述地址与至少一个进程信息相对应,其中,所述至少一个进程信息中包括第i进程信息,所述第i进程信息为所述至少一个进程信息中的任意一个,所述第i进程信息中包括至少一个文件操作信息;所述攻击检测模块420还被配置为:确认所述第i进程信息包括的所述至少一个文件操作信息中,存在异常操作信息,其中,所述异常操作至少包括读写敏感文件;按照风险等级对所述异常操作信息进行评分,获得评分结果;确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备。
[0113] 在本申请的一些实施例中,所述攻击检测模块420还被配置为:获取与所述异常操作信息相对应的分值和权重;基于所述分值和权重对所述异常操作信息进行加权平均,获得评分值,确认所述评分值大于预设评分阈值,则判断与所述地址对应的设备属于具有攻击性的设备。
[0114] 在本申请的一些实施例中,所述攻击检测模块420还被配置为:根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,其中,所述攻击画像使用所述地址对应的设备的攻击顺序进行表征;基于所述攻击画像对所述任一主机进行检测,获得与所述任一主机对应的检测结果。
[0115] 在本申请的一些实施例中,所述攻击检测模块420还被配置为:基于所述第i进程信息记录所述地址对应的设备进行异常操作的操作顺序;将所述操作顺序作为所述地址对应的设备的攻击画像。
[0116] 在本申请的一些实施例中,所述攻击检测模块420还被配置为:按照所述攻击画像对所有的外网设备的访问进程进行检测,获得符合所述攻击画像的外网设备所对应的异常地址,其中,所述外网设备与所述网络安全设备不属于同一网络;将所述异常地址添加到威胁攻击库中。
[0117] 在本申请的一些实施例中,所述攻击检测模块420还被配置为:对与所述异常操作信息相关的文件进行隔离操作,并且向所述地址对应的设备发送阻断数据包。
[0118] 在本申请实施例中,图4所示模块能够实现图1、图2和图3方法实施例中的各个过程。图4中的各个模块的操作和/或功能,分别为了实现图1、图2和图3中的方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
[0119] 如图5所示,本申请实施例提供一种电子设备500,包括:处理器510、存储器520和总线530,所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如上述所有实施例中任一项所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
[0120] 其中,总线用于实现这些组件直接的连接通信。其中,本申请实施例中处理器可以是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0121] 存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read‑Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read‑Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read‑Only Memory,EEPROM)等。存储器中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,可以执行上述实施例中所述的方法。
[0122] 可以理解,图5所示的结构仅为示意,还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
[0123] 本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被服务器执行时实现上述所有实施方式中任一所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
[0124] 以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0125] 以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。