The invention provides a detection method and device for the collapsed device, which includes: step 1, extracting the behavior characteristic data of the host according to the original network traffic, and restoring the application data related to TCP/IP application; step 2, matching IOC security threat information based on the restored application data; step 3, determining the collapsed host according to the results of the matching. \u672c\u7cfb\u7edf\u901a\u8fc7\u5b89\u5168\u5a01\u80c1\u60c5\u62a5\u68c0\u6d4b\u51fa\u5f88\u591a\u901a\u8fc7\u4f20\u7edf\u6740\u6bd2\u8f6f\u4ef6\u65e0\u6cd5\u53d1\u73b0\u7684\u5931\u9677\u4e3b\u673a\uff0c\u540c\u65f6\u4e5f\u5305\u62ec\u4e2d\u4e86\u6728\u9a6c\u7684\u624b\u673a\u3002
【技术实现步骤摘要】
失陷设备检测方法及装置
本专利技术涉及一种网络安全
,特别涉及一种失陷设备检测方法及装置。
技术介绍
目前检测失陷设备的通常做法,是在设备上安装杀毒软件。但是,杀毒软件很容易被绕过。比如可以针对特定的杀毒软件做免杀处理;另外,有些强力的恶意软件可以直接关闭杀毒软件,使其失效。此外,恶意软件也可以通过系统的rootkit隐藏自身的进程和端口,防止杀毒软件检测。
技术实现思路
有鉴于上述
技术介绍
中提及的恶意软件可以用多种方式保护自身的技术问题,本专利技术提供了一种失陷设备检测方法及装置,该方法通过识别其特定的网络行为,来定位失陷设备。本专利技术提供了一种失陷设备检测方法,包括:步骤1,根据原始网络流量提取出主机的行为特征数据,并将涉及TCP/IP应用的应用数据进行还原;步骤2,基于还原的应用数据进行IOC安全威胁情报的匹配;步骤3,根据所述匹配的结果,确定失陷主机。作为优选,进行还原操作的所述应用数据包括普通流量的五元组信息、DNS请求应答信息、HTTP请求应答信息。作为优选,所述步骤1包括:步骤11,过滤原始网络数据包;步骤12,做IP分片的还原操作,如果是TCP协议要进行TCP分段的还原操作;步骤13,识别应用层的协议。作为优选,步骤11获取IP数据包,并对端口做数据过滤,保留预设端口号对应的数据包。作为优选,步骤2进一步包括:将所有情报载入内存中进行匹配。作为优选,所述方法还包括:步骤4,将确定的失陷主机的相关信息存储起来,并存储相对应的PCAP文件,供以调查分析。作为优选,所述方法还包括:设置一读写锁,在更新或变动所述安全威胁情报时锁上所述读写锁,否 ...
【技术保护点】
1.一种失陷设备检测方法,其特征在于,包括:步骤1,根据原始网络流量提取出主机的行为特征数据,并将涉及TCP/IP应用的应用数据进行还原;步骤2,基于还原的应用数据进行IOC安全威胁情报的匹配;步骤3,根据所述匹配的结果,确定失陷主机。
【技术特征摘要】
1.一种失陷设备检测方法,其特征在于,包括:步骤1,根据原始网络流量提取出主机的行为特征数据,并将涉及TCP/IP应用的应用数据进行还原;步骤2,基于还原的应用数据进行IOC安全威胁情报的匹配;步骤3,根据所述匹配的结果,确定失陷主机。2.根据权利要求1所述的失陷设备检测方法,其特征在于,进行还原操作的所述应用数据包括普通流量的五元组信息、DNS请求应答信息、HTTP请求应答信息。3.根据权利要求1所述的失陷设备检测方法,其特征在于,所述步骤1包括:步骤11,过滤原始网络数据包;步骤12,做IP分片的还原操作,如果是TCP协议要进行TCP分段的还原操作;步骤13,识别应用层的协议。4.根据权利要求3所述的失陷设备检测方法,其特征在于,步骤11获取IP数据包,并对端口做数据过滤,保留预设端口号对应的数据包。5.根据权利要求1所述的失陷设备检测方法,其特征在于,步骤2进一步包括:将所有情报载入内存中进行匹配。6.根据权利...
【专利技术属性】
技术研发人员:刘斐然,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。