亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于攻擊關(guān)聯(lián)的安全檢測(cè)方法和系統(tǒng)的制作方法_2

文檔序號(hào):8490013閱讀:來源:國(guó)知局
應(yīng)的【具體實(shí)施方式】詳細(xì)說明。
[0042]圖1是本發(fā)明的一實(shí)施例的輸入流量具有攻擊行為時(shí)的安全檢測(cè)方法的流程圖。如圖1所示,該方法包括如下步驟:
[0043]步驟S1:檢測(cè)輸入流量是否具有攻擊行為??梢岳斫獾兀撦斎肓髁靠梢苑譃榫哂泄粜袨楹筒痪哂泄粜袨?。在本實(shí)施例中,假設(shè)檢測(cè)出該輸入流量具有攻擊行為,則依次執(zhí)行下述步驟。
[0044]需要說明的是,若檢測(cè)出該輸入流量不具有攻擊行為,則直接分析該輸入流量與日志記錄的關(guān)聯(lián)關(guān)系。
[0045]步驟S2:阻斷輸入流量的攻擊行為,并提取輸入流量的信息,添加至顯性攻擊源集合,并同時(shí)向管理員發(fā)送危險(xiǎn)告警信息。
[0046]其中,提取出的輸入流量的信息為檢測(cè)到的輸入流量的IP、登陸賬號(hào)、及登陸時(shí)間。
[0047]優(yōu)選地,攻擊源集合可用hash表存儲(chǔ)輸入流量的信息,每個(gè)hash節(jié)點(diǎn)包含輸入流量的IP、登陸賬號(hào)、及登錄時(shí)間信息。
[0048]步驟S3:分析輸入流量與日志記錄的關(guān)聯(lián)關(guān)系。其中,日志記錄是指由業(yè)務(wù)系統(tǒng)生成的事件信息。信息通常包括事件發(fā)生的時(shí)間,該事件發(fā)生時(shí)連接的ip、端口、登陸賬號(hào)。
[0049]具體地,在本實(shí)施例中,分析輸入流量與日志記錄的關(guān)聯(lián)關(guān)系,是指以提取出的具有攻擊行為的該輸入流量的IP、登陸賬號(hào)、及登陸時(shí)間為基礎(chǔ),結(jié)合操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、各種網(wǎng)絡(luò)設(shè)備的日志記錄的詳細(xì)事件信息,深度挖掘該輸入流量所涉及的所有操作,并將挖掘出的所有操作中具有危險(xiǎn)行為的信息在相應(yīng)的日志記錄中進(jìn)行詳細(xì)描述。
[0050]可以理解地,當(dāng)檢測(cè)到該輸入流量不具有攻擊行為時(shí),分析輸入流量與日志記錄的關(guān)聯(lián)關(guān)系的方法對(duì)應(yīng)不同。
[0051]進(jìn)一步地,在步驟S3之前,用戶根據(jù)安全知識(shí)庫存儲(chǔ)的攻擊規(guī)則、漏洞等信息,預(yù)定義了輸入流量的檢測(cè)規(guī)則和分類標(biāo)準(zhǔn)。例如:webshell的檢測(cè)規(guī)則為制定一種asp、php或其他服務(wù)器腳本實(shí)現(xiàn)的判斷標(biāo)準(zhǔn),這是由于安全知識(shí)庫中記錄了 webshell是一種asp、Php或其他服務(wù)器腳本實(shí)現(xiàn)的木馬后門,黑客在入侵了一個(gè)網(wǎng)站后,常常在將這些木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中,與正常的網(wǎng)頁文件混在一起。然后黑客就可以用web的方式,通過木馬后門控制網(wǎng)站服務(wù)器,包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。
[0052]分類標(biāo)準(zhǔn)指的是將具有攻擊行為的輸入流量按危險(xiǎn)程度分為高危攻擊源、低危攻擊源,或者按類型分為sql注入類、webshell類。
[0053]圖2為步驟S3對(duì)應(yīng)的流程圖。由圖2可知,步驟S3具體包括如下步驟:
[0054]步驟S3-1:利用預(yù)定義好的分類標(biāo)準(zhǔn),將輸入流量分為高危攻擊源或低危攻擊源;或分為sql注入類攻擊源或webshell攻擊源。
[0055]步驟S3-2:用戶開啟日志關(guān)聯(lián)分析,將分類之后的輸入流量指定相關(guān)的日志記錄進(jìn)行全網(wǎng)分析,匹配出與輸入流量相關(guān)聯(lián)的日志記錄,并建立輸入流量與匹配出的日志記錄的關(guān)聯(lián)關(guān)系。例如:檢測(cè)到的輸入流量的IP為1.1.1.1,根據(jù)預(yù)定義好的輸入流量的檢測(cè)規(guī)則檢測(cè)出該輸入流量具有SQL注入攻擊行為,指定的日志記錄為SSh登錄日志。
[0056]在分析ssh的登陸日志時(shí),若發(fā)現(xiàn)IP為1.1.1.1的用戶曾經(jīng)用user_a登陸過ssh,則建立IP:1.1.1.1、用戶名user_a& SSh的登陸日志三者的關(guān)聯(lián)關(guān)系。之后若用戶終端再次用user_a登陸ssh則建議用戶禁止用user_a登陸或者修改登陸密碼,并同時(shí)向管理員發(fā)送危險(xiǎn)告警信息。
[0057]步驟S4:生成威脅報(bào)表。其中威脅報(bào)表具體包括攻擊源在全網(wǎng)存在的所有風(fēng)險(xiǎn)信息和針對(duì)分險(xiǎn)信息的解決方法。
[0058]通過圖1所示實(shí)施例,我們可知,本發(fā)明的基于攻擊關(guān)聯(lián)的安全檢測(cè)方法檢測(cè)出外部流量的攻擊行為,在阻斷該攻擊行為的同時(shí),將該外部流量的信息添加至攻擊源集合,并利用預(yù)定的檢測(cè)規(guī)則及結(jié)合日志記錄,方便用戶找出與該流量流入相關(guān)的全網(wǎng)有可能存在的分險(xiǎn),幫助管理員更安全、有效的管理整個(gè)網(wǎng)絡(luò)。
[0059]圖3是本發(fā)明的另一實(shí)施例的輸入流量沒有攻擊行為時(shí)的安全檢測(cè)方法的流程圖。如圖3所示,該方法包括如下步驟:
[0060]步驟Sll:檢測(cè)輸入流量是否具有攻擊行為。在本實(shí)施例中,假設(shè)該輸入流量不具有攻擊行為,則需要進(jìn)一步分析輸入流量與日志記錄的關(guān)聯(lián)關(guān)系,其具體分析過程如步驟S22。
[0061]步驟S22:分析輸入流量與日志記錄的關(guān)聯(lián)關(guān)系。具體地,由于該輸入流量不具有攻擊行為,則以用戶IT資源、及業(yè)務(wù)系統(tǒng)的日志詳細(xì)記錄為基礎(chǔ),分析該輸入流量是否具有未檢測(cè)到的攻擊行為,若發(fā)現(xiàn)具有未檢測(cè)到的攻擊行為,則幫助安全設(shè)備攔截該潛在威脅,并提取出該輸入流量的IP、登陸賬號(hào)、或登陸時(shí)間在對(duì)應(yīng)的日志中做詳細(xì)記錄,并執(zhí)行下一步驟,若未檢測(cè)到攻擊行為,則結(jié)束。
[0062]可以理解地,分析該輸入流量是否具有未檢測(cè)到的攻擊行為時(shí),用戶可選擇打開分析隱藏攻擊源選項(xiàng),對(duì)日志記錄結(jié)合安全知識(shí)庫及用戶預(yù)定義好的檢測(cè)規(guī)則進(jìn)行分析,查找輸入流量是否具有攻擊行為的記錄;有,則判斷為隱藏的攻擊源;否,則結(jié)束。例如:檢測(cè)到的輸入流量的IP為1.1.1.1,指定的日志記錄為apache訪問日志,貝Ij用IP為1.1.1.1對(duì)指定的apache的訪問日志進(jìn)行分析。
[0063]在分析apache的日志時(shí),若發(fā)現(xiàn)5個(gè)月前IP為1.1.1.1的終端曾經(jīng)上傳webshell,那時(shí)系統(tǒng)還沒有該安全檢測(cè)方法,導(dǎo)致被入侵,則建立IP:1.1.1.1與webshell上傳攻擊這條日志的關(guān)聯(lián)關(guān)系,確定該輸入流量為隱藏的攻擊源,系統(tǒng)可將其連接阻斷,并同時(shí)向管理員發(fā)送危險(xiǎn)告警信息。
[0064]可以理解地,對(duì)所有的日志記錄按照預(yù)定的規(guī)則進(jìn)行掃描,將符合預(yù)定的檢測(cè)規(guī)則的日志記錄全部篩選出來,便可成功的發(fā)現(xiàn)任意時(shí)段攻擊源留下的痕跡并判斷該攻擊源是否為隱藏的攻擊源。
[0065]進(jìn)一步地,提取輸入流量的信息,并添加至隱藏攻擊源集合。同樣的,提取出的輸入流量的信息為檢測(cè)到的輸入流量的IP、登陸賬號(hào)、及登錄時(shí)間信息。
[0066]可以理解地,隱藏攻擊源集合和顯性攻擊源集合采用相同的存儲(chǔ)方式,即在本實(shí)施例中用hash表存儲(chǔ)攻擊源的信息,每個(gè)hash節(jié)點(diǎn)包含攻擊者的IP、登陸賬號(hào)、及登錄時(shí)間?目息。
[0067]步驟S33:生成威脅報(bào)表。可以理解地,該威脅報(bào)表具體包括攻擊源在全網(wǎng)存在的所有風(fēng)險(xiǎn)信息和針對(duì)分險(xiǎn)信息的解決方法。
[0068]通過圖3所示實(shí)施例,我們可知,本發(fā)明的基于攻擊關(guān)聯(lián)的安全檢測(cè)方法檢測(cè)出輸入流量不具有攻擊行為時(shí),打開隱藏攻擊源分析,結(jié)合安全知識(shí)庫及用戶預(yù)定義的檢測(cè)規(guī)則對(duì)日志記錄的內(nèi)容進(jìn)行掃描分析,可成功的發(fā)現(xiàn)任意時(shí)段輸入流量留下的痕跡并判斷該輸入流量是否為隱藏的攻擊源,使用戶的網(wǎng)絡(luò)環(huán)境更加安全可靠。
[0069]通過以上兩個(gè)實(shí)施例,我們可以了解到本發(fā)明采用雙向關(guān)聯(lián)分析的方法,在檢測(cè)到輸入流量具有攻擊行為時(shí),以該輸入流量為基礎(chǔ),分析用戶系統(tǒng)的日志記錄,挖掘該輸入流量與日志記錄相關(guān)的所有操作,當(dāng)檢測(cè)到輸入流量不具有攻擊行為時(shí),以系統(tǒng)的日志記錄、并結(jié)合安全知識(shí)庫的知識(shí)為基礎(chǔ),分析該輸入流量是否具有隱藏的攻擊行為??梢愿_的發(fā)現(xiàn)用戶在內(nèi)網(wǎng)中存在的安全分險(xiǎn),即便攻擊者已經(jīng)成功滲透至用戶網(wǎng)絡(luò),也可以通過關(guān)聯(lián)分析發(fā)現(xiàn)其對(duì)內(nèi)網(wǎng)設(shè)備的其他攻擊行
當(dāng)前第2頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1